专利名称:用于智能卡的随机id功能的制作方法
用于智能卡的随机ID功能本申请是2010年12月14日递交的未决美国专利申请12/967,059的部分接续申请,其全部公开结合在此作为参考。
背景技术:
智能卡、芯片卡或集成电路卡典型地是任一种具有嵌入式集成电路的小型卡 (pocket sized card)。非接触智能卡典型地是RFID (射频识别)型卡,RFID型卡遭受冲突(collision)问题。当多于一个智能卡在读取设备附近时可以发生冲突。为了帮助解决冲突问题,智能卡典型地支持卡ID (识别)码。两种类型的ID码是固定唯一 ID(UID)和随机ID。固定UID码典型地有两种功能。 WD用在防冲突过程中以在读取设备附近并行出现的多个卡之间进行区分,并且单独地对卡进行寻址。UID还被读取设备用来查明硬编码或虚拟卡设备的身份(identity)以确定当对设备寻址时使用哪些密钥。典型地每当卡上电时新产生随机ID码并且存储在RAM中。 因此,在卡使用随机ID码方案的情况下,典型地,每当卡进入读取设备的RF场时,读取设备就从卡接收新随机ID。典型地在客户卡领域,使用固定WD的一些应用遭到用户或卡发行者的拒绝,这是因为许多用户反对具有UID的智能卡逐个位置(from location to location)的全面可跟踪性。具体地,对于具有RFID或其他非接触接口的智能卡,典型地从用户角度考虑,需要防止不期望地对与读取设备的交互的跟踪或对位置改变的跟踪。从安全卡的安全性和隐私角度考虑,推荐使用随机ID,以在抗冲突过程中随机ID暴露的情况下防止逐个位置地跟踪各个独立的卡。
发明内容
本发明提供了一种改变与系统中的智能卡相关联的随机ID的方法,所述系统具有与智能卡交互的卡读取器系统,所述方法包括提供智能卡的初始随机ID码,并且将初始随机ID码存储在智能卡的非安全存储器中;以及在RF复位之后,为用户提供经由智能卡上的用户接口产生智能卡的新随机ID码的选项,并且将新随机ID码存储在非安全存储器中。本发明还提供了一种改变与系统中的智能卡相关联的随机ID的方法,所述系统具有与智能卡交互的卡读取器系统,所述方法包括在发起智能卡和读取器系统之间的交互时,从智能卡向卡读取器系统提供与智能卡相关联的当前随机ID ;在卡读取器系统中验证当前随机ID是否有效;以及如果当前随机ID有效,则提供智能卡的新随机ID。本发明还提供了一种智能卡,能够在系统中改变与智能卡相关联的随机ID,所述系统具有与智能卡交互的卡读取器系统,所述智能卡包括微控制器内核;非安全存储器, 被启用以存储随机ID码,所述非安全存储器与微控制器内核耦合;随机数发生器,用于产生新随机ID码,所述随机数发生器与微控制器内核耦合;以及用户接口,与随机数发生器电耦合,使得用户能够通过用户接口利用随机数发生器来发起随机ID码的产生,以存储在非安全存储器中。 本发明还提供了一种具有用户控制的随机ID功能的系统,包括与卡读取器用户 接口耦合的卡读取器系统;以及上述智能卡,所述智能卡还包括用于与卡读取器用户接口 交互的卡接口。
图1示出了根据本发明的实施例。图2示出了根据本发明的实施例。图3a示出了根据本发明的实施例。图3b示出了根据本发明的实施例。图4a示出了根据本发明的实施例。图4b示出了根据本发明的实施例。
具体实施例方式根据本发明实现了一种智能卡,通过在卡用户的控制下只在特定的时间改变随机 ID码,智能卡将固定nD码的能力与变化的随机ID码的能力相结合。在根据本发明的一些 实施例中,对于任意的时间段,智能卡可以被用作具有固定UID码的智能卡,从而允许逐个 卡读取器位置地跟踪,并且允许收集历史信息,所述历史信息与在两个随机ID码的产生之 间的时间内智能卡的所有交互有关。根据本发明,智能卡只需要基于nD码的低安全性,可 以基于从读取设备发送到RFID智能卡的UID来动态地改变UID码,或者在智能卡向卡读取 器发送新产生的WD的情况下基于RFID智能卡中的随机数发生器来动态地改变WD。根据本发明的实施例提供了一种集成电路卡,该集成电路卡能够响应于卡用户经 由外部接口作出的请求来产生随机ID码,或者允许UID码的动态改变。在根据本发明的实施例中,典型地将最新产生的随机ID码存储在芯片上非 易失性非安全存储器中,使得可以将所述最新产生的随机ID码用作准静态ID码或 “PseudoFixedRandomUID”,直到卡用户触发下一个随机ID码的产生。每当读取设备激活卡 时,防冲突过程期间使用所存储的随机ID,直到产生新随机ID码,即便是卡已经经历了诸 如掉电之类的复位事件或读取器RF场关断事件。因此,在响应于用户请求产生新随机ID 之前,卡始终作为使用固定WD的卡来工作。图1示出了根据本发明的实施例。智能卡10合并了用户控制的随机ID 码产生。智能卡10具有用户接190,用户接口 190允许卡用户产生新随机ID码 “PseudoFixedRandomUID”并且将其存储在非易失性非安全存储器112a中。例如,用户接 口 190可以被实现为与I/O处理机185电耦合的按钮或其他合适设备。每当卡用户按下用 户接口 190的按钮时,智能卡10将使用与智能卡微处理器内核180电耦合的随机数发生器 170内部地产生新随机ID码。智能卡微控制器内核180与非易失性安全存储器112b和非 易失性非安全存储器112a两者都电耦合。安全存储器112b的特征在于具有受限的访问权 限,受限的访问权限限制了操作模式,在所述操作模式期间,安全存储器112b可以被微控 制器内核180 (更一般地为CPU)读取或写入,但不能被诸如通用异步接收机/发射机、直接 存储器接口或I/O端口之类的外围模块自由访问。因此,内核180能够按照具有不同安全级别的操作模式单独访问非易失性安全存储器112b和非易失性非安全存储器112a两者。 对于特定的安全操作模式,例如启动阶段(boot-phase)或智能卡认证过程,内核180对非易失性安全存储器112b的一部分具有访问权,这部分在其他工作模式下是不可访问的。这种硬件实现的安全特征防止在内核180上运行的应用软件访问在安全操作模式下需要的密钥码(keycode)、错误标记和安全相关数据。智能卡10和卡读取器系统100交互,卡读取器系统100与卡读取器用户接口 110和卡读取器网络接口 120电耦合。在根据本发明的实施例中,可以将用户接口 190实现为专用固件功能,所述专用固件功能可以由安装智能卡10上的用户软件包来调用或执行。该实施例是典型适用于将智能卡10嵌入到例如移动电话、便携计算机或台式计算机等更大的通信或识别环境时,并且该实施例允许新随机ID码的产生和存储,其中将通过设备的用户菜单中的特殊菜单选项来发起新随机ID码的产生和存储。在根据本发明的实施例中,可以利用能量存储部件160来缓冲提供给智能卡10的功率,能量存储部件160与电源控制单元150电耦合,电源控制单元150如图I所示集成到智能卡10中,或者电源控制单元150是例如移动电话或其他合适便携电子设备等环境的一部分,其中智能卡10工作于该环境中。能量存储部件160确保了有足够的功率可用于发起和执行用于智能卡10的新随机ID码的产生。当用户发起新随机ID码的产生时,能量存储部件160向智能卡微控制器内核180、存非易失性非安全存储器112a和非易失性安全存储器112b供电,其中,非易失性非安全存储器112a存储随机ID码“PseudoFixedRandomUID” 和与应用相关的公共数据(例如地址列表和互联网链接),非易失性安全存储器112b存储加密密钥数据、状态标记和错误计数。注意典型的现有技术随机ID码是用于智能卡10的会话相关ID,只要智能卡10被新引入卡读取器系统100就会重新产生会话相关ID,在结束与卡读取器系统100的交互时删除会话相关ID。因此,典型的现有技术随机ID码典型地被存储在RAM(易失性存储器)中。然而根据本发明,随机ID码“PseudoFixedRandomUID”在与(例如不同位置的)不同卡读取器系统100的多个通信会话中是固定的,直到用户发起新随机ID码“PseudoFixedRandomUID”的产生。因为根据本发明的随机ID码在用户确定的时间段内用作固定WD,并且每当通信会话的开始时被智能卡10公开地发射至卡读取器系统100,所以将随机ID码存储在非易失性非安全存储器112a中。非易失性安全存储器112b存储会话密钥或登陆码,其中,当将智能卡10被新引入到卡读取器系统100时,智能卡10从应用环境接收所述会话密钥或登陆码。典型地,应用环境包括智能卡读取器终端,智能卡读取器终端是服务器网络的一部分,服务器网络使用具体应用来集中控制智能卡的所有事务。非易失性安全存储器112b还存储在应用环境内产生的私有数据。这种私有数据典型地包括在超市型环境内选择购买的物品、与互联网应用一起使用的服务或页面、以及用户在购物中心型环境中拜访的销售点。根据本发明,这种私有数据应该只能由产生数据的应用环境来访问,并且只在用于产生私有数据的“PseudoFixedRandomUID”仍然有效的同时才能被访问。基于在非易失性安全存储器 112b中存储的加密密钥,分两步来对私有数据加密,其中,使用在非易失性非安全存储器 112a中存储的当前“PseudoFixedRandomUID”来使加密密钥多样化,使得通过用户产生新 “PseudoFixedRandomUID”使在非易失性安全存储器112b中存储的数据无效。能量存储部件160可以包括电容性能量存储装置,其中,经由卡读取器系统100的RF场,或者经由智能卡10与卡读取器系统100的电接触,来对电容性能量存储装置充电。 电容性能量存储装置在功率耗尽之前允许有限个数的用户动作。电容性能量存储部件160 需要提供至少足够的能量存储,以在突然从卡读取器系统100的RF场移除智能卡10或者取消智能卡10与卡读取器系统100的电接触的情况下,正确地完成或正确地终止对随机ID 码产生过程的执行。典型地,经由来自与卡接口 130交互的卡读取器系统100的RF场,或者从卡读取器系统100与卡接口 130电接触,来获得用于操作智能卡10的电力供应。在根据本发明的实施例中,卡接口 130可以包括RF接收机天线和用于电耦合至卡读取器系统100的电接触焊盘。卡接口管理单元140电耦合至卡接口 130,并且电耦合至电源控制单元150、I/O处理机185、随机数发生器170、智能卡微控制器内核180和存储器112a和112b。在根据本发明的实施例中,可以将备用电池集成到智能卡10中,备用电池在例如没有来自卡读取器系统100的外部功率可用时仅由智能卡核心11来使用。如果将智能卡 10嵌入到更大的通信或识别环境,则可以将备用电池功能集成到所述通信或识别环境中以提供备用功率。附加功率的可用性允许将缓冲的RAM存储器代替非易失性EEPROM或闪速存储器来用作存储器112a和112b。在根据本发明的实施例中,智能卡10包括嵌入式多字符显示器作为用户接口 190 的一部分。多字符显示器可以用于提供与智能卡10的操作有关的信息,例如最新随机ID 码更新时间、充电状态、错误码或当前在智能卡10上执行的应用的状态/数据显示。在根据本发明的实施例中,智能卡10包括针对安全存储器112b加密能力,加密能力对存储器112b的包含卡状态信息和WD相关卡(UID-related card)的那部分内容进行加密或解密。UID相关卡数据的加密典型地依赖于在非易失性非安全存储器112a中存储的当前随机ID码“PseudoFixedRandomUID”。这为安全数据提供了密钥多样性。因此,对于用户产生的每一个新随机ID码,用于存储器访问的密钥的改变将使得安全存储器112b的 UID相关部分的已有内容无效。因此用户每一次产生新随机ID码表示非易失性安全存储器 112b的UID相关部分的存储器清除(memory clear)。根据本发明,需要修改典型的智能卡标准以适应为“伪UID”保留的码空间。典型的智能卡标准具有为真(genuine)UID和现有技术随机ID保留的码空间。在根据本发明的实施例中,典型地用于目标“伪WD”的码空间(现有智能卡标准为不同种类的ID限定了特定的编码空间)被限定为与为真正UID保留的码空间分离。真WD是智能卡10的唯一 ID 码以及随机ID码,唯一 ID码是由卡制造商在制造智能卡时创建的,随机ID码存储在RAM 中并且在将智能卡10新引入到卡读取器系统100附近时每当智能卡复位时重新产生。根据本发明的“PseudoFixedRandomUID”码被存储在非易失性非安全存储器112a中,并且仅按照用户的意愿(at the discretion of the user)被重新产生。这允许实现这样一种卡读取器系统100,卡读取器系统100在从智能卡10接收UID码时可以区分这些类型的ID码并相应地调整这些ID码的ID处理过程。其中使用了智能卡10的系统将针对给定ID宽度的整个编码空间分成值空间,每一个值空间为特定的ID类型(随机ID、UID、伪ID)而保留。 这意味着智能卡10的ID码中的特定比特表示该ID码是哪一种类型的ID码。图2示出了根据本发明实施例的相关生存周期(life cycle)。在生存周期的步骤 210中,在智能卡10的生产或测试期间产生初始随机ID码“PseudoFixedRandomUID (0) ”。在步骤220,也在智能卡10的生产或测试期间,将“PseudoFixedRandomUID (O) ”存储在非易失性非安全存储器112a中。一旦智能卡10被卡用户持有,执行步骤220后面的步骤。在步骤230,执行RF复位。RF复位意味着,当智能卡10进入卡读取器系统100的RF场或者与卡读取器系统100电连接时,通过智能卡微控制器内核180发起卡复位过程。在步骤240, 赋予卡用户产生和存储新随机ID码“PseudoFixedRandomUID”的机会。基于通过用户接口 190的用户输入,在步骤245中使用随机数发生器170产生随机ID码,或者在步骤270利用在非易失性非安全存储器112a中存储的当前“PseudoFixedRandomUID(N) ”实现智能卡 10的虚拟卡激活。当接收当前“PseudoFixedRandomUID (N) ”作为固定卡WD的卡读取器系统100选择和激活智能卡10时,实现了虚拟卡激活。在步骤270之后,在步骤290执行检查以确定智能卡10是否已经到达其生存周期末尾。如果智能卡10已经到达其生存周期末尾(E0L, end of lifecycle),则在步骤295智能卡10被去激活并且变得不可操作。如果还没有达到智能卡10的生存周期末尾,则在步骤230执行RF复位,并且在步骤240中智能卡10等待经由用户接口 190的与产生新随机ID码有关的用户输入。如果用户已经产生了新随机ID码,则在步骤250中将新随机ID码作为 “PseudoFixedRandomUID (N) ”存储在非易失性非安全存储器112a中。在步骤250之后,在步骤230中执行RF复位,并且在步骤240中智能卡10等待经由用户接口 190的与产生新随机ID码有关的用户输入。图3a示出了根据本发明的实施例。低成本智能卡30可以合并随机数发生器330,以在每次智能卡30与卡读取器系统300交互时产生称作“PseudoRandomUID” 的新随机ID码,以提高安全性并且避免跟踪。卡读取器系统300与卡读取器用户接口 310和卡读取器网络接口 320电耦合。智能卡30与卡读取器系统300的每一次交互导致对于智能卡30创建新“PseudoRandomUID”。随机数发生器330与智能卡状态机 380电耦合,智能卡状态机380与非安全存储器312电耦合。状态机380用于在非安全存储器312中存储“PseudoRandomUID”,并且用于根据需要从非安全存储器312中检索 (retrieve) “PseudoRandomUID” 以与卡读取器系统 300 交互。 在根据本发明的实施例中,可以利用能量存储部件360来缓冲提供给智能卡30的功率,所述能量存储部件360电耦合至电源控制单元350,电源控制单元350是智能卡30的一部分。能量存储部件360确保了存在足够的功率可用于为智能卡30产生新随机ID码。 能量存储部件360可以包括经由卡读取器系统300的RF场来充电的电容性能量存储器。电容性能量存储部件360需要足以提供至少足够的能量来允许在突然从卡读取器系统300的 RF场移除智能卡30的情况下正确地完成对随机ID码产生过程的执行。典型地,经由来自与卡接口 335交互的卡读取器系统300的RF场,来获得用于操作智能卡30的电力供应。卡接口 335可以包括RF接收器天线,RF接收器天线用于与卡读取器系统300电磁耦合。卡接口管理单元340与卡接口 335电耦合,并且与电源控制单元 350、1/0处理机384、随机数发生器330、状态机380和非安全存储器312电耦合。每当智能卡30经由卡读取器用户接口 310与卡读取器系统300交互时,能量存储部件360向随机数发生器330、状态机380和非安全存储器312供电,非安全存储器321存储新产生的随机ID码“PseudoRandomUID”以用于智能卡30与卡读取器系统300的下一次交互。
图3b示出了根据本发明的实施例。在步骤385,卡读取器系统300与智能卡 30交互,其中智能卡30向卡读取器系统300提供当前“PseudoRandomUID”,所述当前 “PseudoRandomUID”是当前与智能卡30相关联的随机ID。还将当前“PseudoRandomUID” 本地地存储在卡读取器系统300中或者远程地存储在经由卡读取器网络接口 320可访问卡读取器系统300的网络数据库中。在步骤387中,通过随机数发生器330产生新 “PseudoRandomUID”,并且将其提供给卡读取器系统300。一旦卡读取器系统300验证了当前的“PseudoRandomUID”是有效的,卡读取器系统300就本地地存储新“PseudoRandomUID” 或者将新“PseudoRandomUID”远程地存储在网络数据库中,并且在步骤389中提供肯定的响应,肯定的响应导致智能卡30将新“PseudoRandomUID”存储在非安全存储器312中(参见图3a)以用于与卡读取器系统300的下一次交互。注意,步骤391中所示的后续交互可以是与跟本发明的卡读取器系统在物理上不同的卡读取器系统300的交互,或者是与跟本发明的卡读取器系统在物理上相同的卡读取器系统300的交互。使智能卡在每一次交互时产生新“PseudoRandomUID”的优点在于提高了安全性,这是因为,“PseudoRandomUID”只用于单个交互,并且典型地对于基于感应场(inductive field)的无接触系统而言难以窃听 (eavesdrop)从智能卡30到卡读取器系统300的通信。图4a示出了根据本发明的实施例。低成本智能卡40没有合并随机数发生器430 以便每当智能卡40与卡读取器系统400交互时产生称作“PseudoRandomUID”的新随机 ID码,这使得与智能卡30相比智能卡40更节省成本。卡读取器系统400与卡读取器用户接口 410和卡读取器网络接口 420电耦合。智能卡40与卡读取器系统400的每一次交互导致通过卡读取器系统400将新“PseudoRandomUID”提供给智能卡40,以提供安全性并且防止跟踪。智能卡状态机480与非安全存储器412电耦合。状态机480用于在非安全存储器412中存储“PseudoRandomUID”,并且用于根据需要从非安全存储器412中检索 “PseudoRandomUID”以与卡读取器系统400交互。在根据本发明的实施例中,可以由能量存储部件460来缓冲提供给智能卡40的功率,能量存储部件460与电源控制单元450电耦合,电源控制单元450是智能卡40 —部分。 能量存储部件460可以包括经由卡读取器系统400的RF场来充电的电容性能量存储器。电容性能量存储部件460需要足以提供至少足够的能量来允许正确地完成对随机ID码传输过程的执行。典型地,经由来自与卡接口 435交互的卡读取器系统400的RF场来获得用于操作智能卡40的电力供应。卡接口 435可以包括用于与卡读取器系统400电磁耦合的RF接收器天线。卡接口管理单元440与卡接口 435电耦合,并且与电源控制单元450、1/0处理机 484、随机数发生器430、状态机480和非安全存储器412电耦合。每当智能卡40经由卡读取器用户接口 410与卡读取器系统400交互时,能量存储部件460向状态机480和非安全存储器412供电,非安全存储器412存储新提供的随机ID 码“PseudoRandomUID”以用于智能卡40与卡读取器系统400的下一次交互。图4b示出了根据本发明的实施例。在步骤485,卡读取器系统400与智能卡 40交互,其中智能卡40向卡读取器系统400提供当前“PseudoRandomUID”,所述当前 “PseudoRandomUID”是与智能卡40当前相关联的并且存储在非安全存储器412中的随机ID。还将与智能卡40相关联的当前“PseudoRandomUID”本地地存储在卡读取器系统400中或者远程地存储在经由卡读取器网络接口 420可访问卡读取器系统400的网络数据库中。一旦卡读取器系统400验证了当前的“PseudoRandomUID”是有效的,卡读取器系统400就在步骤489中向智能卡40提供新“PseudoRandomUID”。这导致智能卡40将新“PseudoRandomUID”存储在非安全存储器412中以用于与卡读取器系统400的下一次交互(参见图4a)。注意,步骤491中所示的其中卡读取器系统400从智能卡40获取新 “PseudoRandomUID”的后续交互可以是与跟本发明的卡读取器系统在物理上不同的卡读取器系统400的交互,或者是与跟本发明的卡读取器系统在物理上相同的卡读取器系统400 的交互。注意该实施例典型地没有图3a-b所示的实施例安全,因为典型地从卡读取器系统400到智能卡40的使用感应场的通信更容易被窃听。然而该实施例是成本更低的方案, 因为该实施例在智能卡40中不需要随机数发生器330。尽管已经结合特定实施例描述了本发明,本领域普通技术人员应该理解的根据前述描述可以明白许多替代、修改和变化。因此,本发明意欲包含落在所附权利要求的精神和范围内的所有其他这些替代、修改和变化。
权利要求
1.一种改变与系统中的智能卡相关联的随机ID的方法,所述系统具有与智能卡交互的卡读取器系统,所述方法包括提供智能卡的初始随机ID码,并且将初始随机ID码存储在智能卡的非安全存储器中;以及在RF复位之后,为用户提供经由智能卡上的用户接口产生智能卡的新随机ID码的选项,并且将新随机ID码存储在非安全存储器中。
2.根据权利要求I所述的方法,其中将新随机ID码与加密密钥一起用于对私有数据加LU O
3.根据权利要求I所述的方法,其中将智能卡嵌入到更大的通信环境中。
4.根据权利要求3所述的方法,其中所述更大的通信环境包括移动电话。
5.根据权利要求I所述的方法,其中智能卡包括微控制器内核。
6.一种改变与系统中的智能卡相关联的随机ID的方法,所述系统具有与智能卡交互的卡读取器系统,所述方法包括在发起智能卡和读取器系统之间的交互时,从智能卡向卡读取器系统提供与智能卡相关联的当如随机ID ;在卡读取器系统中验证当前随机ID是否有效;以及如果当前随机ID有效,则提供智能卡的新随机ID。
7.根据权利要求6所述的方法,其中新随机ID是由卡读取器系统提供的。
8.根据权利要求6的方法,其中新随机ID是由智能卡中的随机数发生器提供的。
9.根据权利要求6所述的方法,其中智能卡包括能量存储部件。
10.根据权利要求7所述的方法,其中将新随机ID本地地存储在卡读取器系统中。
11.一种智能卡,能够在系统中改变与智能卡相关联的随机ID,所述系统具有与智能卡交互的卡读取器系统,所述智能卡包括微控制器内核;非安全存储器,被启用以存储随机ID码,所述非安全存储器与微控制器内核耦合; 随机数发生器,用于产生新随机ID码,所述随机数发生器与微控制器内核耦合;以及用户接口,与随机数发生器电耦合,使得用户能够通过用户接口利用随机数发生器来发起随机ID码的产生,以存储在非安全存储器中。
12.根据权利要求11所述的智能卡,还包括电容性能量存储能力,用于向智能卡提供功率以产生新随机ID码。
13.根据权利要求11所述的智能卡,还包括安全存储器,用于存储加密密钥。
14.根据权利要求11所述的智能卡,其中非安全存储器是非易失性存储器。
15.一种具有用户控制的随机ID功能的系统,包括与卡读取器用户接口耦合的卡读取器系统;以及如权利要求11所述的智能卡,所述智能卡还包括用于与卡读取器用户接口交互的卡接口。
全文摘要
一种智能卡,包括诸如微控制器内核之类的状态机和能够存储随机ID码的非安全存储器,其中非安全存储器与状态机电耦合。每当智能卡与卡读取器系统交互时,可以使用随机数发生器产生新随机ID码或者可以通过卡读取器系统提供新随机ID码。用户接口可以与随机数发生器电耦合,使得用户可以通过随机数发生器来发起新随机ID码的产生,以存储在非安全存储器中。
文档编号G06F7/58GK102591617SQ20111041118
公开日2012年7月18日 申请日期2011年12月12日 优先权日2010年12月14日
发明者弗朗西斯科·加洛, 沃尔夫冈·布尔, 豪克·麦恩 申请人:Nxp股份有限公司