专利名称:用于管理唯一存储设备标识的方法、服务器和移动通信设备的制作方法
技术领域:
本发明涉及一种用于基于服务器管理存储设备的唯一存储设备标识(例如,序列号)的方法,存储设备例如是MIFARE设备,优选地是如智能MX卡之类的仿真MIFARE设备,所述存储设备被布置在移动通信设备中。 本发明还涉及一种服务器,具有算术逻辑单元和存储装置,并可连接至可用存储设备标识的储存库以及还可经由通信信道连接至移动通信设备,该移动通信设备包括具有唯一存储设备标识的存储设备,如MIFARE设备,优选地是如智能MX卡之类的仿真MIFARE设备。 本发明还涉及一种用于操作移动通信设备的方法,该移动通信设备包括具有唯一存储设备标识的存储设备,如MIFARE设备,优选地是如智能MX卡之类的仿真MIFARE设备。
本发明还涉及可直接加载到移动通信设备的存储器中的计算机程序产品,该移动通信设备配备有具有唯一存储设备标识的存储设备,如MIFARE设备。
本发明还涉及一种适于处理上段提到的计算机程序产品的移动通信设备。
背景技术:
由NXP Semiconductors开发的MIFARE⑧经典族是工作于13. 56MHz频率范围的、具有读/写能力的无接触智能卡IC中的先锋和领先者。MIFARE 是NXP Semiconductors的商标。MIFARE与在当今所有无接触智能卡中超过80%的智能卡中使用的IS014443A兼容。该技术体现在卡和卡读取器设备中。MIFARE卡正用在越来越宽范围的应用程序(包括运输售票、访问控制、电子支付、道路收费以及忠诚应用)中。MIFARE标准(或经典)卡采用具有用于认证和加密的所有权安全协议的所有权高级协议。MIFARE⑧技术已变为具有密钥保护存储扇区的存储设备的标准。MIFARE⑧技术的已发布的产品规范的一个示例是数据单"MIFARE Standard Card IC MF1 IC S50-FunctionalSpecification" (1998)。MIFARE⑧技术还在Klaus Finkenzeller, "RFIDHandbuch", HANSER, 3rd edition (2002)中讨论。 MIFARE经典卡基本上就是存储器设备,其中,存储器被划分成具有用于访问控制的简单安全机制的扇区和块。每个设备具有唯一的序列号。提供了防冲突,使得可以顺序地选择和操作现场中的若干卡。 MIFARE标准lk提供了大约768字节的数据存储,被分割成具有各16字节的4个块(一个块由16字节构成)的16个扇区;每个扇区由两个不同密钥(称为A和B)来保护。可以针对诸如读、写、增加值块等操作对这768个字节的数据存储进行编程。每个扇区的最后一块称为"尾部",包含两个秘密密钥(A和B)以及对该扇区中的每个块的可编程访问条件。为了支持具有密钥等级的多个应用程序,对每个扇区(每个应用程序)提供两个密钥(A和B)的个体集合。 图1示出了 MIFARE标准lk卡的存储器组织。在具有各16字节的4个块的16个扇区中组织了 1024 X 8比特EEPROM存储器。第一扇区(扇区0)的第一数据块(块0)是 生产商块,在图2中详细示出。该数据块包含长度为四字节(字节0至3)的MIFARE卡序列 号、校验字节(字节4)以及11字节IC生产商数据(字节5至15)。序列号有时称为MIFARE 用户标识(MUID),并且是唯一的号码。由于安全和系统需要,使得IC生产商在生产时已对 生产商块进行编程之后,该生产商块是写保护的。然而,MIFARE规范允许在操作MIFARE卡 期间改变序列号,这对于诸如智能MX卡之类的MIFARE仿真卡来说是特别有益的。
智能MX(存储器扩展)是NXP Semiconductors在具有或不具有多个接口选项的 情况下针对需要高度可靠解决方案的高安全性智能卡应用程序已设计的智能卡族。关键应 用程序是电子政务、银行业务/金融、移动通信和先进公共交通。 与由用户操作系统实现的其他无接触传送协议同时运行MIFARE协议的能力根据 基于单个双接口控制器的智能卡上的MIFARE (例如,售票),来实现新服务与现有应用程序 的结合。智能MX卡能够对MIFARE经典设备进行仿真,从而使该接口与任何安装的MIFARE 经典基础设施兼容。无接触接口可以用于经由任何协议(特别是MIFARE协议和自定义的 无接触传送协议)进行通信。智能MX使得可以容易地实现目前技术水平的操作系统以及 包括JCOP(Java卡操作系统)在内的开放平台解决方案,并提供了优化特性集合以及最高 级别的安全性。智能MX结合了多种安全特性,以防范诸如DPA、SPA等旁信道攻击。真正的 防撞击方法(见IS0/IEC 14443-3)使得能够同时处理多个卡。 在MIFARE⑧接口平台的巨大的安装库上进行构建,智能MX使得例如服务提供商
可以引入甚至更方便的售票系统和支付概念。智能MX的高安全性(PKI和3-DES)和扩展
功能允许结合忠诚概念、对自动售货机的访问、或使用电子钱包来支付费用而不是预付的
电子售票。智能MX卡的本质特征如下 根据ISO 7816的接触接口 UART ; 根据ISO 14443的无接触接口 UART ; 针对电压、频率和温度的异常传感器; 存储管理单元; MIFARE⑧经典仿真; Java卡操作系统; DES禾卩/或RSA弓I擎; 最多到72千字节的EEPROM存储空间。 应当注意,MIFARE经典卡的仿真不仅限于智能MX卡,而是还可以存在能够对 MIFARE经典卡进行仿真的其他目前的或未来的智能卡。 近来,已经开发出包含具有唯一存储设备标识的存储设备(如MIFARE设备)的移 动通信设备,这些移动通信设备或者被配置为MIFARE经典卡,或者被配置为如智能MX卡之 类的MIFARE仿真设备。这些移动通信设备包括例如具有近场通信(NFC)能力的移动电话, 但并不限于移动电话。 虽然已证明MIFARE经典卡和MIFARE仿真设备是市场中的成功经历,然而,这些 巨大的成功已揭示出MIFARE规范中的瓶颈,即,每一个MIFARE设备的唯一序列号的相 对较短的长度,该长度被限制在3个字节。存在着在不远的将来将耗尽所有理论上可用 的16777216个序列号的风险。在这方面,应当知道,为了保证MIFARE设备的序列号的
5唯一性,向这些设备分配序列号专门由MP Semiconductors控制。然而,为了避免NXP Semiconductors的被许可人针对生产和操作MIFARE设备的约束,所有被许可人都得到其 自身的序列号池,被授权人可以根据其自身的需要和责任来管理和使用其自身的序列号 池。 唯一存储器标识的耗尽问题还可能涉及除MIFARE设备之外的存储设备。
与MIFARE和其他存储设备的唯一序列号一起存在的另一问题是第三方可"钓鱼" 到该序列号,从而跟踪存储设备的拥有者对存储设备的使用,或者甚至更糟糕的是,为了第 三方自身未被授权的目的而滥用被钓到的序列号。关于NFC移动电话,这个问题是特别重 要的,这是因为在这种情况下,服务提供商(这些服务提供商是实体,如银行、公共交通公 司、忠诚节目拥有者等,其向NFC移动电话的用户提供无接触服务)具有以下技术可能性 钓鱼到NFC移动电话的存储设备的序列号,并在不涉及向客户提供完全范围移动服务(特 别是提供NFC终端外加无线电(OTA)传输服务)的移动网络运营商(MN0)以及赞助NFC技 术部署的其他公司的情况下,通过利用钓到的序列号在存储设备的后端系统中构建服务。 此夕卜,在不远的将来,NFC移动电话将具有动态改变仿真MIFARE卡的能力,以使用越来越多 的序列号结束。
发明内容
本发明的目的是提供在第一段和第三段中定义的那两种方法和在第二段中定义 的那种服务器,其中克服了上述问题。 为了实现上述目的,对于根据本发明的用于基于服务器管理MIFARE用户标识的 方法,提供了一些特征以使得这种方法的特征可以以如下方式描述 —种用于基于服务器管理具有唯一存储设备标识的存储设备的唯一存储设备标 识的方法,所述唯一存储设备标识例如是序列号,所述存储设备例如是MIFARE设备,优选 地是如智能MX卡之类的仿真MIFARE设备,所述存储设备被布置在移动通信设备中,所述方 法包括 保持可用存储设备标识的储存库; 从所述储存库取得存储设备标识并向特定移动通信设备发送该存储设备标识;以 及 指示所述移动通信设备将其关联存储设备的存储设备标识从当前值改变为接收 到的新值。 为了实现上述目的,对于根据本发明的服务器,提供了一些特征以使得根据本发 明的服务器的特征可以以如下方式描述 —种服务器,具有算术逻辑单元和存储装置,并能够连接至可用存储设备标识的 储存库,以及还能够经由通信信道连接至移动通信设备,所述移动通信设备包括具有唯一 存储设备标识的存储设备,如MIFARE设备,优选地是如智能MX卡之类的仿真MIFARE设备, 其中,所述服务器适于 从所述储存库取得存储设备标识并向特定移动通信设备发送该存储设备标识;以 及 指示所述移动通信设备将其关联存储设备的存储设备标识从当前值改变为接收到的新值。 为了实现上述目的,对于根据本发明的用于操作移动通信设备的方法,提供了一 些特征以使得这种方法的特征可以以如下方式描述 —种用于操作移动通信设备的方法,所述移动通信设备包括具有唯一存储设备标 识的存储设备,如MIFARE设备,优选地是如智能MX卡之类的仿真MIFARE设备,所述方法包 括以下步骤 经由通信信道来接收新存储设备标识值和指令,所述指令用于将所述移动通信设 备的关联存储设备的存储设备标识从其当前值改变为接收到的新值;以及
将存储设备的存储设备标识改变为接收到的新值。 为了实现上述目的,提供了一种能够直接加载到移动通信设备的存储器中的计算 机程序产品,所述移动通信设备配备有具有唯一存储设备标识的存储设备,如MIFARE设 备,其中,所述计算机程序产品包括软件代码部分,用于当运行于所述移动通信设备上时 执行根据上段所述的用于操作移动通信设备方法的步骤。 为了实现上述目的,根据本发明的移动通信设备包括算术逻辑单元和存储器,并 处理根据上段所述的计算机程序产品。 权利要求1、权利要求3和权利要求8中限定的、本发明的特征提供了以下优点
唯一存储设备标识(分别为MIFARE用户标识或序列号)在存储(MIFARE)设备中动态改变,
从而防止未授权的第三方成功地钓鱼到和跟踪到存储设备的存储设备标识。 根据权利要求2、权利要求4或权利要求9所述的手段分别提供了以下优点允许
保持当前未使用的存储设备标识的储存库以供将来使用,该储存库被严格地保持在可信任
权威机构的至少一个服务器的控制之下。因此,可以获得更大量的空闲可用存储设备标识。 优选地,通信信道被配置为移动网络运营商(丽0)的电信网络或者计算机网络,
其中,服务器包括连接至所述网络的接口,以实现与可容易建立且高度可靠的移动通信设
备的通信。 在本发明的特别可靠的实施例中,所述服务器被配置为向移动网络运营商(丽0)
的客户群安全地分发和管理服务提供商的服务的可信任服务管理器(TSM)。由于对服务提
供商来说,TSM是单个接触点以通过MN0来访问其客户群并代表服务提供商来管理移动NFC
应用程序的安全下载和生存周期管理,因此保证了高度可靠性和安全性。 优选地,本发明适于可配备有具有唯一存储设备标识的存储设备(例如,如智能
MX卡之类的(仿真)MIFARE设备)的、具有NFC能力的移动电话。 通过以下要描述的示例实施例,本发明的上述方面和其他方面是显而易见的,并 且,参考这些示例实施例来解释这些方面。
以下将参考示例实施例来对本发明进行更详细的描述。然而,本发明不限于此。示
例实施例包括被配置为MIFARE设备的存储设备。 图1示出了 MIFARE标准lk EEPR0M的存储器组织。 图2示出了 MIFARE存储器的生产商块。 图3示出了 MIFARE存储器的扇区的扇区尾部。
图4至8示出了本发明第一实施例的、本发明的各个步骤的流程图。
具体实施例方式
参照图4来解释根据本发明的系统。该系统包括服务器SV,连接至例如被配置 为MIFARE存储设备的存储设备的可用存储设备标识MUIDx(=序列号)的储存库DB。应 当注意,服务器SV可以被配置为单个服务器或分布式服务器,甚至多个独立的服务器,其 中每一个服务器管理不同的存储设备标识MUIDx池。以类似的方式,储存库DB以被配置
为单个储存库或分布式储存库,甚至多个独立的储存库。储存库可以是数据库、文件系统 等。服务器SV通过通信信道C来与多个移动通信设备Ul、 U2进行通信。通信设备Ul、 U2 包括被配置为MIFARE存储设备MIF1、 MIF2的存储设备,优选地,MIF1、 MIF2被配置为如智 能MX卡之类的MIFARE仿真设备。MIFARE存储设备MIF1、 MIF2中的每一个具有唯一存储 设备标识MUID1、MUID2。例如,第一移动通信设备Ul的MIFARE存储设备MIF1的存储设备 标识MUID1是'F1 11 D7 8B',而第二移动通信设备U1的MIFARE存储设备MIF2的存储设 备标识MUID2是'F2 22 F7 88'。例如,移动通信设备U1、U2可以被配置为NFC移动电话。 在一个实施例中,通信信道C被配置为向客户提供完全范围移动服务(特别是提供NFC终 端外加无线电(0TA)传输服务)的移动网络运营商(丽0)的电信网络。在备选实施例中, 通信信道C被配置为计算机网络,其中,通信设备Ul、 U2适于连接至所述计算机网络,或者 该计算机网络包括被配置为访问通信设备U1、U2的MIFARE存储设备MIF1、MIF2的卡读取 器终端。 当服务器SV想要改变MIFARE存储设备MIF1、 MIF2中特定的一个的MUID(例如 MIFARE存储设备MIF1的MUID1)时,服务器SV向储存库DB发送请求REQ以从储存库DB取 得未使用的存储设备标识MUIDx中的一个。储存库DB从其池中检索一个空闲的存储设备 标识(如'05 5C 3D 90'),将该空闲的存储设备标识从池中删除,并通过消息GET来向服 务器SV发送该空闲的存储设备标识。图5的流程图中示出了这些步骤。
接下来,如图6的流程图所示,服务器SV向包括MIFARE存储设备MIFl的移动通 信设备U1发送指令CHG。指令CHG包括所取得的存储设备标识'05 5C 3D 90'。指令CHG 请求移动通信设备Ul将其MIFARE存储设备MIFl的存储设备标识MUID1从当前的'Fl 11 D7 8B'改变为新的存储设备标识'05 5C 3D 90'。为了清楚起见,图6至8省略了通信信 道C,并且通过将设备直接相连的箭头来表示服务器SV和储存库DB之间的消息以及服务器 SV和移动通信设备Ul、 U2之间的消息,以更好地示出逻辑通信流。 如图7的流程图所示,在已经改变MIFARE存储设备MIF1的存储设备标识MUID1之 后,移动通信设备U1用包含先前存储设备标识'F111D78B'的消息RET向服务器SV答复。 服务器SV在消息ADD中将该先前存储设备标识'Fl 11 D7 8B'转发到储存库DB,以指示储 存库DB向其池添加已变为空闲的存储设备标识'Fl 11 D7 8B'以供将来使用。通过该过 程,在不减少储存库DB中可用存储设备标识MUIDx的数目的情况下,已经成功地改变了第 一 MIFARE存储设备MIFl的存储设备标识(=序列号)。应当意识到,该过程没有影响第二 MIFARE存储设备MIF2的存储设备标识MUID2。 如图8的流程图所示,新添加到储存库DB的存储设备标识'F1 11D7 8B'可以例 如用于改变第二 MIFARE存储设备MIF2的存储设备标识MUID2。为了完成这一点,服务器
8SV向储存库DB发送请求REQ,以从其池中取得未使用的存储设备标识MUIDx。储存库DB从 其池中检索空闲的存储设备标识'Fl 11 D7 8B',将该空闲的存储设备标识从池中删除,并 通过消息GET来向服务器SV发送该空闲的存储设备标识。服务器SV向MIFARE存储设备 MIF2发送指令CHG,该指令包括所取得的存储设备标识'F1 11 D7 8B'。当接收到指令CHG 时,移动通信设备U2将其MIFARE存储设备MIF2的MUID2改变为'Fl 11 D7 8B',并通过消 息RET来向服务器SV返回先前存储设备标识'F2 22 F7 88',这将指示储存库DB将存储设 备标识'F2 22 F7 88,添加到其池。 优选地,服务器SV被配置为可信任服务管理器(TSM)。这种TSM向移动网络运营 商(MNO)的客户群安全地分发和管理服务提供商的服务。可信任服务管理器的实质特征是 针对服务提供商提供单个接触点,以通过MNO来访问其客户群,并代表服务提供商来管理 移动NFC应用程序的安全下载和生存周期管理。 应当注意,以上提到的实施例示意而非限制本发明,本领域技术人员将能够在不 脱离所附权利要求的保护范围的情况下设计出许多备选实施例。在权利要求中,括号间的 附图标记不应被理解为对权利要求进行限制。词语"包括"并不排除存在除了在权利要求 中列出的元件或步骤之外的元件或步骤。元件之前的不定冠词"一"或"一个"并不排除存 在多个这样的元件。在列举若干装置的设备权利要求中,这些装置中的若干个可以由同一 项硬件来体现。在互不相同的从属权利要求中记载特定手段的起码事实并不意味着这些手 段的组合不能用来取得有益效果。
权利要求
一种用于基于服务器管理具有唯一存储设备标识的存储设备(MIF1、MIF2)的唯一存储设备标识(MUID1、MUID2)的方法,所述唯一存储设备标识(MUID1、MUID2)例如是序列号,所述存储设备(MIF1、MIF2)例如是MIFARE设备,优选地是如智能MX卡之类的仿真MIFARE设备,所述存储设备被布置在移动通信设备(U1、U2)中,所述方法包括保持可用存储设备标识(MUIDx)的储存库(DB);从所述储存库(DB)取得存储设备标识并向特定移动通信设备(U1、U2)发送该存储设备标识;以及指示所述移动通信设备(U1、U2)将其关联存储设备(MIF1、MIF2)的存储设备标识(MUID1、MUID2)从当前值改变为接收到的新值。
2. 根据权利要求1所述的用于基于服务器管理唯一存储设备标识的方法,还包括 指示所述移动通信设备(Ul、 U2)在已将关联存储设备(MIF1、 MIF2)的存储设备标识(MUID1、MUID2)的先前值改变为其新值时,返回所述先前值;以及将所返回的存储设备标识值添加到存储设备标识(MUIDx)的储存库(DB)。
3. —种服务器(SV),具有算术逻辑单元和存储装置,并能够连接至可用存储设备标识 (MUIDx)的储存库(DB),以及还能够经由通信信道(C)连接至移动通信设备(U1、U2),所述 移动通信设备(U1、U2)包括具有唯一存储设备标识的存储设备(MIF1、MIF2),如MIFARE设 备,优选地是如智能MX卡之类的仿真MIFARE设备,其中,所述服务器被设计为从所述储存库(DB)取得存储设备标识并向特定移动通信设备(U1、U2)发送该存储设 备标识;以及指示所述移动通信设备(U1、U2)将其关联存储设备(MIF1、MIF2)的存储设备标识 (MUID1、MUID2)从当前值改变为接收到的新值。
4. 根据权利要求3所述的服务器,适于指示所述移动通信设备(Ul、 U2)在已将关联存储设备(MIF1、 MIF2)的存储设备标识 (MUID1、MUID2)的先前值改变为其新值时,返回所述先前值;从所述移动通信设备(U1、U2)接收其关联存储设备(MIF1、MIF2)的存储设备标识 (MUID1、MUID2)的先前值;以及将接收到的存储设备标识值添加到存储设备标识(MUIDx)的储存库(DB)。
5. 根据权利要求3或4所述的服务器,其中,所述通信信道(C)被配置为移动网络运 营商(丽0)的电信网络,所述移动网络运营商(丽0)向客户提供完全范围移动服务,特别是 提供NFC终端外加无线电(0TA)传输服务,其中,所述服务器包括连接至所述电信网络的接 □。
6. 根据权利要求3或4所述的服务器,其中,所述通信信道(C)被配置为计算机网络, 并且所述服务器包括连接至所述计算机网络的接口。
7. 根据权利要求3至6中任一项所述的服务器,被配置为可信服务管理器,所述可信服 务管理器向移动网络运营商(MN0)的用户群安全地分发和管理服务提供商的服务。
8. —种用于操作移动通信设备(U1、U2)的方法,所述移动通信设备(U1、U2)包括具有 唯一存储设备标识的存储设备(MIF1、MIF2),如MIFARE设备,优选地是如智能MX卡之类的 仿真MIFARE设备,所述方法包括以下步骤经由通信信道(C)来接收新存储设备标识值和指令,所述指令用于将所述移动通信设备(Ul、 U2)的关联存储设备(MIF1、 MIF2)的存储设备标识(MUID1、 MUID2)从其当前值改变为接收到的新值;以及将存储设备(MIF1、MIF2)的存储设备标识(MUID1、MUID2)改变为接收到的新值。
9. 根据权利要求8所述的用于操作移动通信设备的方法,还包括以下步骤在所述存储设备中通过新值替换了所述存储设备标识(MUID1、MUID2)的先前值之后,通过所述通信信道(C)来返回所述先前值。
10. —种能够直接加载到移动通信设备(U1、U2)的存储器中的计算机程序产品,所述移动通信设备(U1、U2)配备有具有唯一存储设备标识的存储设备(MIF1、MIF2),如MIFARE设备,其中,所述计算机程序产品包括软件代码部分,用于当运行于所述移动通信设备上时执行根据权利要求8或9所述的方法的步骤。
11. 根据权利要求io所述的计算机程序产品,其中,所述计算机程序产品被存储在计算机可读介质上或能够经由通信网络从远程服务器下载。
12. —种具有算术逻辑单元和存储器的移动通信设备(U1、U2),其中,所述移动通信设备(U1、U2)适于处理根据权利要求IO所述的计算机程序产品。
13. 根据权利要求12所述的移动通信设备,被配置为具有NFC能力的移动电话。
全文摘要
提供了一种用于基于服务器管理具有唯一存储设备标识的存储设备(MIF1、MIF2)的唯一存储设备标识(MUID1、MUID2)的方法,其中,唯一存储设备标识例如是序列号,存储设备例如是MIFARE设备,优选地是如智能MX卡之类的仿真MIFARE设备,所述存储设备被布置在移动通信设备(U1、U2)中,所述方法包括保持可用存储设备标识(MUIDx)的储存库(DB);从储存库(DB)取得存储设备标识并向特定移动通信设备(U1、U2)发送该存储设备标识;以及指示移动通信设备(U1、U2)将其关联存储设备(MIF1、MIF2)的存储设备标识(MUID1、MUID2)从其当前值改变为接收到的新值。此外,服务器指示移动通信设备(U1、U2)返回其关联存储设备(MIF1、MIF2)的存储设备标识(MUID1、MUID2)的先前值。最后,服务器将所返回的存储设备标识值添加到存储设备标识(MUIDx)的储存库(DB)。
文档编号G06F21/73GK101755435SQ200880100061
公开日2010年6月23日 申请日期2008年7月21日 优先权日2007年7月25日
发明者亚历山大·科尔达, 伊斯梅拉·瓦内, 多米尼克·布吕尔 申请人:Nxp股份有限公司