电子认证系统的制作方法

电子认证系统的制作方法
【技术领域】
[0001] 本发明涉及电子认证系统，特别是用于付款交易的电子认证系统。
【背景技术】
[0002] 用于付款交易的电子授权系统使用诸如由国际芯片卡标准化组织(EMVCo)有限责 任公司所开发的协议，它们被公开成名称为"付款系统的集成电路卡规范"的规范。这些规 范针对接触式卡并且公开可用，当前处于版本4 · 3 (当前在http : //www · emvco · com/ 8口6(^；^031：；[0118.38口11(1 = 223处可以找到）。一组同样的用于无接触式装置的规范（当前处 于版本2.4)已经由EMVCo有限责任公司所开发并且也公开可用。
[0003] 这些规范限定一组在全球性的基础上，不管制造商、金融机构或者在哪使用该卡， 均确保交易装置(例如，集成电路芯片卡)和交互点(Ρ0Ι)(例如，卡终端)之间的互操作性的 要求。
[0004] 本发明的目的是提供对用于付款交易的现存电子认证系统的各种改进。例如，虽 然诸如EMV的当前的付款技术将执行处理的发行者决定转移到终端，但是本发明至少部分 地重新限定付款装置和Ρ0Ι之间的平衡，同时保护免受新的攻击并且在交易装置持有者和 商户之间提供新的交易机会。

【发明内容】

[0005] 根据本发明的第一方面，提供了一种用于通过通信网络与交互点（Ρ0Ι)建立共享 秘密以能够实现交易装置和交互点之间的加密通信的交易装置，该装置包括:输入端，被布 置为从交互点接收通信;处理器，被布置为根据迪菲-赫尔曼协议生成第一通信;输出端，被 布置为将第一通信发送到交互点；其中，处理器被布置为当生成第一通信时应用随机生成 的盲因子r;以及其中，响应于在输入端从交互点接收第二通信，处理器被布置为基于被包 含在第二通信内的数据，应用随机生成的盲因子，根据迪菲-赫尔曼协议生成共享秘密，第 二通信已根据迪菲-赫尔曼协议生成。
[0006] 根据本发明的本方面的交易装置应用改良的迪菲-赫尔曼交换，在改良的迪菲-赫 尔曼交换中，交易装置在与交互点(Ρ0Ι)的安全信道的建立中将随机盲因子应用两次。盲因 子被应用在到Ρ0Ι的外发消息中并且再次被应用在从Ρ0Ι接收的数据上。以该方式，交易装 置和Ρ0Ι仍可以生成共享的秘密。附加地，隐藏由交易装置发送的数据(例如，交易装置的公 钥）为不可见。由于所应用的因子是随机的，因而随后的交易将不利用从交易装置到Ρ0Ι的 同一初始通信而被发起，因此交易装置的用户将具有移动的隐私。
[0007] 优选地，处理器被布置为使用椭圆迪菲-赫尔曼协议。该装置可以包括静态公钥Qc 并且处理器被布置为当生成第一通信时使用公钥。
[0008] 交易装置可以合宜地包括公钥Qc，公钥Qc是私钥dc和作为椭圆群的一部分的曲线 上的点G的乘积。需要指出的是，点G可以被布置为在第一通信被生成之前被交易装置和交 互点两者所知道。换言之，在任何交易发生之前，点G在交易装置被用于的交易系统内可以 是已知的。
[0009] 处理器可以被布置为计算R = r · Qc，以用于包括在第一通信中。第二通信可以包 括交互点的暂时公钥Qt，其中Qt = dt · G并且dt是交互点的暂时私钥。处理器可以被布置为 通过将来自第二通信的公钥与私钥d。组合并且应用盲因子r以生成rcU t · G来生成共享秘 您 I_L| 〇
[0010] 响应于生成共享秘密，处理器可以被布置为生成到交互点的另一个通信，另一个 通信包括交易装置的公钥、安全凭证和盲因子r，取决于共享秘密加密另一个通信。
[0011] 处理器可以被布置为计算加密密钥Kc，其中，Kc = f(rdc · Qc)并且使用密钥Kc加密 与交互点的随后通信。
[0012] 为了保持该系统内的隐私，处理器在与交互点的通信会话的结尾处，可以被布置 为删除随机盲因子和密钥K。。
[0013] 优选地，交易装置包括用于生成盲因子r的随机数发生器。
[0014] 本发明扩展到包括根据本发明的第一方面的交易装置的移动通信装置。移动通信 装置可以包括安全元件，交易装置至少部分地位于安全元件内。
[0015] 本发明还扩展到包括根据本发明的第一方面的交易装置的银行交易卡。
[0016] 根据本发明的第二方面，提供了一种通过通信网络在交易装置和交互点（Ρ0Ι)之 间建立共享秘密以能够实现交易装置和交互点之间的加密通信的方法，该方法包括:在交 易装置处根据迪菲-赫尔曼协议生成第一通信;将第一通信发送到交互点；其中，生成第一 通信包括应用随机生成的盲因子r，并且其中，响应于在输入端处从交互点接收第二通信， 该方法包括基于被包含在第二通信内的数据，应用随机生成的盲因子来根据迪菲-赫尔曼 协议生成共享秘密，第二通信已根据迪菲-赫尔曼协议生成。
[0017]根据第三方面，提供了一种检测通信网络中的第一装置和第二装置之间的中继攻 击的方法，包括:将第一数据从第一装置发送到第二装置;从第二装置接收通信，该通信包 括在第二装置处生成的第二数据和与第二数据的生成有关的时间参数;在第一装置处测量 发送第一数据到接收通信之间的总传送时间；从测量到的总传送时间确定与第二数据的生 成有关的另一个时间参数;基于时间参数和另一个时间参数的比较来确定第一装置和第二 装置之间的中继攻击的存在。
[0018]根据本发明的本方面的方法有助于减轻中继攻击。在第一装置和第二装置之间交 换分别在第一装置和第二装置处生成的诸如随机数的第一数据和第二数据。附加地，第二 装置将其生成其随机数所花的时间发送给第一装置。然后，第一装置能够测量用于消息交 换发生的总时间，并且基于通信网络内的传送速度的知识，能够推导出第二装置花费以生 成第二数据的时间的值。然后，将该推导出的值与由第二装置发送的时间参数值执行比较 以便确定中继攻击是否正在发生。
[0019 ]优选地，确定中继攻击的存在可以包括确定时间参数和另一个时间参数之间的差 是否超过预定阈值。
[0020] 另一个通信可以是在第一装置处从第二装置接收的，另一个通信通过加密信道， 并且包括第一数据、第二数据和时间参数。
[0021] 确定中继攻击的存在可以包括检查加密的另一个通信中的第一数据和第二数据 是否匹配在发送步骤中发送的第一数据和在第一接收步骤中接收的第二数据。（另一个通 信和被包含在其中的信息允许第一装置验证在没有第三方的干扰的情况下它发送的第一 数据被第二装置接收。更进一步地，第二数据和时间参数被包括在另一个通信内以允许相 对于来自第二装置的（更早的)通信中接收的信息来检查。这还允许第一装置验证在与第二 装置的通信中不曾存在干扰。）
[0022] 从第二装置接收的通信进一步可以包括来自第二装置的总传送时间的估计。从第 二装置接收的通信还可以进一步包括来自第二装置的用来通过通信网络将通信从第二装 置发送到第一装置的时间的估计。
[0023] 第一装置可以包括交互点。第二装置可以包括交易装置。
[0024] 根据本发明的第三方面的交易装置可以包括根据本发明的第一方面的交易装置。
[0025] 根据本发明的第四方面，提供了一种检测通信网络中的第一装置和第二装置之间 的中继攻击的方法，包括:在第二装置处从第一装置接收第一数据;在第二装置处生成第二 数据;确定与第二数据的生成有关的时间参数;将第二数据和时间参数发送到第一装置以 能够实现确定中继攻击的存在。
[0026] 根据本发明的第五方面，提供了一种被布置为检测交互点和交易装置之间的通信 网络中的中继攻击的交互点，该交互点包括:输入端、输出端和处理器，并且被布置为:将第 一数据从输出端发送到交易装置;并且在输入端处从交易装置接收通信，该通信包括在交 易装置处生成的第二数据和与第二数据的生成有关的时间参数;在交互点处测量发送第一 数据到接收该通信之间的总传送时间；从测量到的总传送时间确定与第二数据的生成有关 的另一个时间参数;取决于时间参数和另一个时间参数的比较来确定交互点和交易装置之 间的中继攻击的存在。
[0027] 根据本发明的第六方面，提供了一种交易装置，包括:输入端，被布置为从交互点 接收第一数据;处理器，被布置为生成第二数据和与第二数据的生成有关的时间参数;输出 端，被布置为将通信输出到交互点，该通信包括第二数据和时间参数。
[0028]根据本发明的第七方面，提供了一种用于与交互点交互以执行交易的交易装置， 该装置包括:输入端，用于从交互点接收交易数据;处理器，用于处理接收的交易数据;输出 端，用于将交易数据输出到交互点，其中，处理器包括用于处理与交互点的交易的付款应 用，付款应用被布置为输出根据给定的数据格式而被格式化的交易数据;处理器包括在功 能上被放置在输入端和输出端与付款应用之间的通信模块;其中，通信模块被布置为将经 由输入端接收的交易数据映射到付款应用的数据格式并且被布置为将从付款应用输出的 交易数据重新格式化为适合用于交互点的数据格式，从付款应用输出的重新格式化的数据 经由输出端而被发送到交互点。
[0029] 根据本发明的本方面的交易装置包括通信模块，通信模块被放置在一方面上的输 入端/输出端和另一方面上的付款应用之间。通信模块被布置为将在付款应用和交互点 (Ρ0Ι)之间来回发送的交易数据翻译成恰当的数据格式。
[0030] 优选地，交易装置包括认证模块，认证模块被布置为建立付款应用和交互点之间 的安全通信信道。
[0031] 该装置可以包括多个付款应用。单个认证模块可以被共享于多个付款应用之间。 替换地，每个付款应用可以包括认证模块。
[0032] 交易装置可以包括系统环境模块，系统环境模块被布置为确定对于给定的交易来 说付款应用是否合格。在该装置包括多个付款应用的情况下，系统环境模块可以被布置为 编制对于给定的交易来说合格的付款应用的列表。
[0033]系统环境模块可以被布置为相对于交易装置中的每个付款应用的功能性来比较 从交互点接收的交易数据和从交互点接收的交互点功能性数据，以便确定合格的付款应 用。
[0034]根据本发明的第八方面，提供了一种交易装置与交互点交互以执行交易的方法， 该装置包括:输入端，用于从交互点接收交易数据;处理器，用于处理接收的交易数据；以及 输出端，用于将交易数据输出到交互点；处理器包括用于处理与交互点的交易的付款应用， 付款应用被布置为输出根据给定的数据格式而被格式化的交易数据，并且处理器包括在功 能上被放置在输入端和输出端与付款应用之间；该方法包括:在输入端处接收交易数据;在 通信模块处将经由输入端接收的交易数据映射到付款应用的数据格式;将从付款应用输出 的交易数据重新格式化为适合用于交互点的数据格式;经由输出端将从付款应用输出的重 新格式化的数据发送到交互点。
[0035]根据本发明的第九方面，提供了一种交互点装置与交易装置执行交易的方法，该 方法包括:将交互点消息发送到交易装置，交互点消息包括:数据请求分部，数据请求分部 与从交互点装置到交易装置的针对与交易有关的数据的数据请求有关，消息数据分部与满 足来自交易装置的上一个数据请求的消息数据有关;从交易装置接收交易装置消息，交易 装置消息包括:数据请求分部，数据请求分部与从交易装置到交互点装置的针对与交易有 关的数据的数据请求有关；以及消息数据分部，消息数据分部与满足交互点消息中的来自 交互点装置的数据请求的消息数据有关;在所交换的消息的基础上完成该交易。
[0036]根据本发明的本方面的方法提供一种在交互点装置(Ρ0Ι)和交易装置之间发送数 据消息的方法。这样的消息允许Ρ0Ι请求它处理交易所要求的信息并且对交易装置所请求 的信息作出响应。以该方式，仅为了能够实现该交易所要求(并且被请求)的信息被交换，这 意味着各装置之间的通信被优化。
[0037]该方法可以包括与交易装置交换多条消息。该方法可以包括发送其他交互点消息 并且接收其他交易装置消息。
[0038]当发送其他交互点消息时交互点装置可以被布置为仅将已由交易装置所请求的 数据对象封在上一个交易装置消息的数据请求分部中。
[0039]当发送其他交互点消息时交互点装置可以被布置为以由交易装置请求的顺序将 数据对象封在上一个交易消息中。
[0040] 根据本发明的第十方面，提供了一种交易装置与交互点装置执行交易的方法，该 方法包括:将交易装置消息发送到交互点装置，交易装置消息包括:数据请求分部，数据请 求分部与从交易装置到交互点消息装置的针对与交易有关的数据的数据请求有关；以及消 息数据分部，消息数据分部与满足来自交互点消息装置的上一个数据请求的消息数据有 关;从交互点消息装置接收交互点装置消息，交互点装置消息包括:数据请求分部，数据请 求分部与从交互点消息装置到交易装置的针对与该交易有关的数据的数据请求有关；以及 消息数据分部，消息数据分部与满足交易装置消息中的来自交易装置的数据请求的消息数 据有关;在所交换的消息的基础上完成交易。
[0041] 本发明扩展到被布置为执行本发明的第九方面和第十方面的方法的交互点（交互 点装置)和交易装置。
[0042]根据本发明的第十一方面，提供了在交易期间在第一装置和第二装置之间交换的 消息，该消息包括:数据请求分部，数据请求分部与针对与该交易有关的数据的从第一装置 到第二装置的数据请求有关，消息数据分部与满足来自第二装置的上一个数据请求的消息 数据有关。
[0043]本发明的本方面提供用于在交互点和交易装置之间交换消息的消息格式。
[0044]消息数据分部可以不包括数据，例如，一系列的消息交换中的第一消息可以包括 数据请求分部和空的消息数据分部，因为不存在要答复的上一个消息。
[0045]根据本发明的第十二方面，提供了一种交易装置，包括:用于与交互点通信的输入 端和输出端;处理器，被布置为处理与交互点的交易数据，处理器与数据存储器通信，其中， 处理器被布置为在交易的过程期间将与交易有关的交易数据存储在数据存储器中，并且响 应于与交互点的交易的中断，被布置为当与交互点的通信被恢复时，检索被存储在数据存 储器中的交易数据以便重新开始与交互点的交易。
[0046]根据本发明的本方面的交易装置在交易期间存储交易数据，使得在交易的中断的 情况下(例如，功率损耗、装置去除），当通信被恢复时交易数据能够被重新加载。
[0047]数据存储器可以包括非易失性存储模块。非易失性存储模块可以包括EEPR0M模 块。非易失性存储模块可以包括安全元件并且处理器被布置为将交易数据存储在安全元件 中。
[0048]处理器可以被布置为在交易完成以后清除被存储在数据存储器中的交易数据。 [0049]处理器可以被布置为存储以下交易数据类型中的一个或者更多个:交易金额、交 易项目、数据/时间数据、交易标识符。
[0050] 交易装置可以进一步包括用于管理交易装置上的交易的付款应用，其中，处理器 被布置为响应于由付款应用所采取的预定的动作或决定来存储交易数据。
[0051] 处理器可以包括根据本发明的第七方面的用于与交互点交互以执行交易的交易 装置。
[0052] 根据本发明的另一个方面，提供了一种对交易装置执行操作的方法，交易装置包 括：用于与交互点通信的输入端和输出端，以及被布置为处理与交互点的交易数据的处理 器，处理器与数据存储器通信，该方法包括:在交易的过程期间将与交易有关的交易数据存 储在数据存储器中，并且响应于与交互点的交易的中断，检索被存储在数据存储器中的交 易数据以便重新开始与交互点的交易。
[0053]本发明扩展到载体介质，用于承载计算机可读的代码，计算机可读的代码用于控 制交易装置以执行本发明的任何第二、第三、第四、第八、第十和其它方面的方法。
[0054]本发明扩展到非暂时性计算机可读存储介质，用于存储实现本发明的第二方面、 第三方面、第四方面、第八方面、第十方面和其他方面中的任何方面的可执行的计算机程序 指令。
[0055]在本发明的上面的方面中，交易装置可以包括银行交易卡或者包括安全元件的移 动通信装置。交互点(Ρ0Ι)可以包括销售点终端。
【附图说明】
[0056] 现在将参考附图通过示例的方式来描述本发明的实施例，在附图中：
[0057] 图1(a)是包括集成电路芯片的交易装置的示意性框图；
[0058] 图1(b)是图1(a)的集成电路芯片的示意性框图；
[0059] 图2是根据本发明的实施例的图1(a)的交易装置中的模块的示意性框图；
[0060] 图3是根据本发明的另一实施例的图1(a)的交易装置中的模块的示意性框图；
[0061] 图4是被示出与彼此通信的Ρ0Ι和交易装置的示意性框图；
[0062] 图5是现有技术的集成电路芯片的示意性框图；
[0063] 图6(a)和(b)是Ρ0Ι和交易装置之间的现有技术数据流示例；
[0064] 图7是根据本发明的实施例的集成电路芯片的示意性框图；
[0065] 图8是根据本发明的实施例的消息的示意性框图；
[0066] 图9是Ρ0Ι和交易装置之间的多条消息交换的示例的示意性框图；
[0067] 图10(a)是包括集成电路芯片和感应电路的交易装置的示意性框图；
[0068] 图10(b)是图10(a)的集成电路芯片的示意性框图；
[0069] 图11是根据本发明的实施例的执行付款交易的处理的流程图；
[0070] 图12是示出两方之间的共享秘密的现有技术推导的表示；
[0071]图13是根据本发明的实施例的由Ρ0Ι和交易装置执行的处理的流程图；
[0072]图14是根据本发明的实施例的Ρ0Ι和交易装置之间的数据流；
[0073]图15是Ρ0Ι和交易装置的示意性图；
[0074]图16(a)和(b)是其中Ρ0Ι和交易装置操作的正常环境的示意性框图；
[0075] 图17(a)和(b)是其中Ρ0Ι和交易装置对中继攻击执行操作的环境的示意性框图；
[0076] 图18是确定中继攻击是否发生于付款交易中的现有技术处理的流程图；
[0077] 图19是正常交易和具有中继攻击的交易中的通信路径的图示；
[0078]图20是根据本发明的实施例的交易装置的示意性框图；
[0079] 图21是根据本发明的实施例的正常交易和具有中继攻击的交易中的通信路径的 图示；
[0080] 图22是会话管理实用工具（Session Management Utility)的示意性框图；
[0081 ]图23是具有Open CAL信号的会话管理实用工具的示意性框图；
[0082]图24是具有SendMsg CAL数据交换的会话管理实用工具的示意性框图；
[0083] 图25是针对ISO 7816-4的协议数据单元序列化的示意性框图；
[0084] 图26是异步平衡模式的示意性框图；以及
[0085] 图27是多会话和信道的示意性框图。
【具体实施方式】
[0086] 在以下描述中，交易装置是可以采用许多形式（例如，智能卡或者如移动通信装 置、钥匙扣......等的另一形式因素)的付款者装置。组成交易装置的功能块可以是分布式 的;从而该装置的一部分或全部可以被实现在云中。
[0087]交互点（Ρ0Ι)是可以采用如下