专利名称:具有操作错误计数器的便携式数据载体的制作方法
技术领域:
本发明涉及一种具有操作错误计数器的便携式数据载体、以及用于利用操作错误计数器保护数据载体中的命令的方法。
背景技术:
连同例如芯片卡的便携式数据载体而使用操作错误计数器,用于限制具有获得该数据载体的安全相关数据的目的的安全相关命令的未授权执行。例如,这里已知限制连续虚假输入的数目。如果此数目过高,则封锁(block)数据载体。利用操作错误计数器,还可以辨识对数据载体上执行的任意命令的其它种类的攻击。例如,如果通过命令执行的计算被对数据载体的外部动作干扰(disturb),则可以通过在结果被输出之前重复的计算来在数据载体内部辨识到此,其中所述外部动作具有使用经干扰的结果窥探出该计算中涉及的机密数据的目的。仅当两个计算达到一致的结果时才实现计算结果的输出。否则,可以假设存在对计算之一的攻击,并且对应的操作错误计数器记录此攻击。然而,对数据载体(例如其已经被偷)的命令执行上述攻击的攻击者可以通过对特定数据载体参数的分析(例如,通过当前计算)而辨识到两个计算结果的比较是否产生一致性。因此,攻击者具有在操作错误计数器可以记录攻击之前通过中断电源来禁用数据载体的可能性。这样,攻击者似乎可以中止操作错误计数器,并如他希望地经常执行攻击。为此,较新的实践是从指定的正初始值开始,在执行安全相关命令之前已经递减操作错误计数器,并且仅当已经在不中断的情况下执行了该命令时递增该操作错误计数器。这样,可以通过操作错误计数器安全地辨识到上述攻击,因为在执行该命令期间,当电源中断时不再发生计数器的递增。在该命令的下次调用(call-up)时,操作错误计数器的读数相应地减小I。如果假定只在操作错误计数器具有正值时才在数据载体中执行命令,则对该命令的攻击数目被操作错误计数器的初始值限制。这样,可以安全地防止对该命令的广泛攻击。但是,这种操作错误计数器也具有缺点。如果一开始(即,通常在数据载体的制造期间)将计数器设置得太高,则在初始化或个人化阶段中,存在攻击者至少以特定的不可忽略的概率成功攻击的风险。由此降低了数据载体的安全性。另一方面,如果将初始值设置得太低,则存在如下危险:在未发生攻击的情况下,由于授权用户的偶然操作错误、或由于技术干扰(例如,该技术干扰导致执行命令期间电源的中断以及数据载体被禁用),计数器在数据载体的操作时间的过程中降至最小容许值之下。数据载体的可靠性和持久可操作性受损。
发明内容
本发明的目的是提出一种用于利用操作错误计数器保护数据载体的方法,其将数据载体的高安全性与数据载体的可靠性和持久可操作性相结合。此目的通过具有独立权利要求的特征的方法和数据载体来实现。在从属权利要求中说明了有利实施例和发展。在根据本发明的方法中,在用于保护数据载体以防对数据载体的外部攻击的便携式数据载体中,在数据载体中采用至少一个计数器。这里,保护指定命令,以使得仅当该至少一个计数器处于指定的容许值范围中(特别地,不低于指定的最小值)时数据载体才执行该命令。在执行该命令之前递减该至少一个计数器,并且仅当已经在不中断的情况下执行了该命令时才递增该至少一个计数器。根据本发明,甚至在向用户给出该数据载体之后也设置该至少一个计数器。也就是,除了在制造数据载体时初始地设置计数器之外,存在当数据载体已经被投入操作时重新设置计数器的可能性。在本发明的框架内,计数器的设置指派计数器的值的设置、计数器的容许值范围的设置、以及计数器的容许递进(progression)模式的设置。不言而喻的是,与上述第一变型例类似地,根据第二变型例,计数器也可以被适配以使得仅当该至少一个计数器不在向上的方向上离开指定的值范围(即,不超过指定的最大值)时才执行指定的命令。这里,该至少一个计数器接着在命令的执行之前递增,并仅当已经在不中断的情况下执行了该命令时才递减。为了简单易懂,说明书和权利要求书将仅引用两个变型例中首先提及的变型例,其在功能上完全等同于第二变型例。因此,根据本发明的便携式数据载体包括至少一个存储器、被适配用于执行存储在存储器中的命令的处理器、以及至少一个用于保护命令的计数器。数据载体被适配于仅当该至少一个计数器不低于指定的值时才执行命令。此外,数据载体被适配于在执行命令之前递减该至少一个计数器、以及仅当已经在不中断的情况下执行了命令时才递增所述至少一个计数器。根据本发明,该至少一个计数器被适配为甚至在向用户发布数据载体之后也是可设置的。这样,可以使得授权的主体能够在任何时候设置计数器。特别地,这甚至当数据载体已经在使用时也成立。另一方面,由此可以在发布时将具有相当低的初始值的计数器发给用户。这保证数据载体和可在其上执行的命令的高安全性。这在用户丢失数据载体(例如通过偷窃)的情况下特别成立。另一方面,可以利用合适的设置在若干时间之后再次增大计数器,例如,当计数器由于授权用户的非有意的操作错误、或由于技术故障而已经从初始值减小时,将其增大至原始的初始值。因此,可以防止对数据载体的非故意封锁。这在如下时候是有利的:在使用数据载体的过程中,已经导致计数器递减的非有意的授权操作错误和技术缺陷的数目已经合计达将达到初始值的值的数目。因此,根据本发明的多次计数器设置使得可以防止数据载体的封锁。由此,在不限制安全性的情况下提高了使用数据载体的可操作性和可靠性。在数据载体的寿命周期中的任何时间,可以将计数器保持得如此低,以至于未授权方对指定的命令的攻击仅可能达到非常有限的程度。同时,可以避免由于偶然、非有意或技术上引起的操作错误而对数据载体的封锁。甚至在数据载体的制造之后,即,甚至当数据载体已经被发布给用户并且可能已经运转了若干时间时,也可以重新且合适地设置因这样的原因而被递减的计数器。作为被赋予设置计数器的权利的授权主体,可以考虑一些实体。例如,可以对数据载体的用户允许这样的设置。发布数据载体的主体也可以执行计数器的设置。最后,此设置同样可以由数据载体自己执行。此外,为了使相关实体能够执行设置而必须满足的需求可以改变。最后,一方面,当设置时计数器被设置的值、或容许值范围、或计数器的容许递进可以被自由地指定。另一方面,计数器的重新设置值可依赖于外部规范、或计数器读数的在前递进。在下文中将描述根据本发明的方法的优选实施例的不同方面。必须强调,除非这些方面在技术上互相排除,否则这些方面可以分别自由地相互组合,而不需要明确描述这些方面的每个可能组合。根据第一方面,可以在向数据载体成功认证之后设置至少一个计数器。仅当数据载体可无疑地确定(ascertain)是要在授权且可认证的用户的请求下、或在另一授权且可认证的主体的请求下执行计数器的设置时,才允许在数据载体的部分上进行的这样的设置。这里,用户可以例如通过输入机密数据而向数据载体认证自己。这样的认证可以“离线”进行,即,数据载体不连接至检查认证的数据处理设备。然而,如果数据载体自己不具有输入部件(例如键盘等),则数据载体可以连接至合适的接口(例如芯片卡终端)以使得机密数据的输入成为可能。替代地或附加地,用户还可以向发布数据载体的主体认证自己。其可以是例如银行或移动通信提供商。这里,可以假定用户在使用数据载体的同时建立与发布主体的通信连接,并在此数据通信的框架内认证自己。因此,“在线”进行认证。此认证同样需要来自用户的关于他的授权的证据。为此,仅有数据载体是不够的。用户可以例如通过机密数据、生物特征,通过拥有与所述数据载体不同的另外的数据载体,或类似的已知手段,向发布主体识别自己。当数据载体经由合适的读取设备(例如利用芯片卡终端)“在线”地连接至发布主体时,以已知方式进行发布数据载体的主体向数据载体的认证。例如,可以通过交换所谓的密码(加密的数据包)来进行这样的认证。使用这些密码,数据载体可以认证发布主体。第二方面涉及执行至少一个计数器的设置的实体。通常可以在成功认证之后进行这样的设置。一方面,可以由发布数据载体的主体执行此设置(例如,在所述主体参与认证的情况下)。这样,主体可以总是检查并合适地管理发布的数据载体的计数器读数。甚至在数据载体的“实地(in the field)”操作期间,发布主体也可以保证数据载体的安全性和可操作性。因此,例如,只要用户通过数据载体“在线”,即,经由数据通信连接而连接至发布主体,发布主体就可以检查并在适当的情况下重新设置计数器的读数。替代地,还可以由用户自己进行该至少一个计数器的设置,优选地,在用户向数据载体或发布主体成功认证之后。这样,用户可以通过计数器的设置来定义他自己的安全性需要。可以将用户的设置可能性限制到如下效果:用户的设置仅在数据载体的安全性总是被保证的范围是可能的。也就是说,例如,计数器的初始值不可以超过指定的值,以不允许潜在攻击者对安全相关的命令的太多攻击。最后,数据载体自己可以执行至少一个计数器的设置。例如,这可以当用户已经向数据载体成功认证了自己时进行。此设置可以对用户保持透明,即,他根本注意不到该设置。这样的设置(例如分别对于原始的初始值)确保数据载体的安全性、以及对于用户在常规操作(包括偶然的操作错误)时的错误容限。根据另一方面,在数据载体中提供多个计数器。这里,采用第一计数器用于保护第一命令,并且,采用与第一计数器不同的第二计数器用于保护通常与第一命令不同的第二命令。计数器的数目可以改变。如上文中所述,每个计数器是可单独设置的。这样,可以以适当的方式不同地保护不同的命令。一个命令的非有意的操作错误的概率可能高于另一个命令。因此,应当更频繁地重新设置相关计数器,以避免对数据载体、或至少数据载体上的命令的非故意封锁。而且,由于技术条件而对一个命令的干扰可能比另一个命令更频繁。在此情况下,分别合适地处理对应的计数器也是有益的。从而,有利的是,设计保护对应的命令的计数器,以便可以被单独设置。这样,利用与数据载体上的每个单独的命令特别关联的可单独设置的计数器,可以最优地保护此命令。当第一计数器保护在数据载体的第一操作模式中执行的命令、而第一计数器保护在数据载体的第二操作模式中执行的命令时,这是特别有益的。第一操作模式可以是例如接触式操作模式,而第二操作模式可以是例如非接触操作模式。如果数据载体因此被适配于以接触方式以及非接触方式的操作,则可以有益地使用分别与不同操作模式关联的不同计数器。保护第二操作模式中的命令的该计数器通常被分别设置得更高、且被更频繁地重新设置。这是由于如下事实:在此操作模式中,数据载体的电源由于技术原因而偶尔中断,导致在对应的命令由此已经中断的情况下的计数器递减。与关于数据载体的电源更稳定的第一操作模式中的命令关联的计数器将通常被设置得更低、且被较不频繁地重新设置。在两个情况下,可以保证数据载体的安全性以及可靠的可操作性,并同时考虑了两个操作模式的技术条件。最后,与不同的命令关联的不同计数器也可以被单独设置到如下效果:一个命令在低数目的攻击下已经处于将敏感数据传递至攻击者的危险中,而另一命令在这一点上更加稳健。另一方面涉及至少一个计数器的具体设置。一方面,这简单地指在根据本发明的设置时计数器被置于的值。这可以例如是在制造数据载体时计数器被原始设置的值。从这个新设置的初始值,接着进行所描述的计数器的递减和递增。然而,也可以在不同的设置时将计数器设置为偏离在前初始值的相应的其它新初始值。这样做,计数器的过去的递进可以进入对要被设置的初始值的确定。然而,设置至少一个计数器的方面还涉及更复杂的关系。当在此更复杂的意义上设置计数器时,制定定义计数器的容许递进的规范,特别是关于时间间隔。如所提及的,至少一个计数器的设置还涉及指定在数据载体或所保护的命令不被禁用的情况下计数器不可离开的容许值范围。一般地,对于计数器的容许递进模式,这同样成立。根据此方面,可以向容许范围提供涉及值范围不可离开的时间间隔的规范。因此,并行地定义几个容许值范围变为可能。这样做,在短的指定时间间隔(例如I小时)内值范围之一离开可能将导致数据载体的禁用,而如果计数器例如仅在几个月之后离开此值范围,这将被认为不严重。一般而言,这些设置指定对于相应的给定时间跨度、至少一个计数器的递减与该至少一个计数器的递增的容许比例。不仅可以在向用户发布数据载体之后进行这样的设置,而且在制造数据载体时已经进行了这样的设置。可以以相对的和/或绝对的数字来陈述该比例。也就是,可以关于例如I小时、I天、I周等的时间跨度而设置所进行的递减与所进行的递增的比例可以是多少而不推断出对计数器所保护的命令的攻击。这样,例如可以设置对于任何时间跨度可以进行不多于10个直接连续的递减,即在任何地方不存在中断此序列的递增。此外,例如可以设置在I年内递减的数目可以超过递增的数目指定的绝对数目(例如200)或相对数目(例如5%)。这样,一方面,很可能来自于已知攻击的递减和递增的那些模式可以被可靠地设置为不被允许。另一方面,可以将在数据载体的普通使用期间所预期的计数器的递进设置为容许。另一方面,上述时间跨度可以被理解为绝对时间跨度。于是,数据载体优选地包括其自己的时间测量设备,该时间测量设备由数据载体的独立电源(例如电池)供电。替代地,所指定的时间跨度还可以规定数据载体的严格操作时间,即数据载体在它不具有其自己的电源的情况下由外部读取设备供电并从而投入运转的时间。数据载体的合适的时间测量设备然后相应地测量此操作时间,并且还能够存储总操作时间。还可以的是:以绝对时间测量某些时间跨度,而以数据载体的严格操作时间测量其它时间跨度。根据又一方面,还可以依赖于数据载体自己确定的那些数据来设置至少一个计数器。此设置可以涉及具体值、以及涉及复杂意义上的设置,如上文所述。这些数据通常涉及对数据载体的处理,例如,在数据载体的使用期间数据载体如何移动、哪些其它外部力(例如压力或弯曲力)作用在数据载体上,等等。为此,可以在数据载体中提供运动传感器或对应的其它传感器,其可以捕获力在数据载体上的作用。在此方法背后的思想例如是攻击者利用高级技术手段攻击的数据载体通常不移动,至少不随机移动,而是基本上保持固定在装置中。因此,没有任何中间递增的较小数目的递减、伴随着数据载体的不动,可能已经指向攻击。当数据载体根据惯常的运动特性而移动时,相同的数目将被认为是不可疑的。在至少一个计数器离开指定的值范围、或者不再满足(S卩,通常超过)递减与递增的容许比例的情况下,由至少一个计数器保护的数据载体或至少命令被禁用。于是,对数据载体的进一步攻击是不可能的。敏感数据无法进入未授权的手中。因为根据本发明,通过按需重新且合适地设置计数器以补偿偶然的操作错误或技术困难,基本排除了对数据载体或命令的错误禁用,所以可以在禁用数据载体时以非常高的概率假设对数据载体的攻击。
在下文中,将参考附图而通过示例说明本发明。其中示出:图1示出根据本发明的数据载体的优选实施例,以及图2示出根据现有技术的用于利用操作错误计数器保护命令的方法的步骤。
具体实施例方式在这里呈现为芯片卡的便携式数据载体10包括两个不同的数据通信接口 20、22。第一数据通信接口 20被配置为接触垫。利用该接触垫,可以经由接触式读取设备(例如普通的芯片卡终端)接触数据载体10。第二数据通信接口 22用作非接触数据通信并且被配置为天线线圈。在接触式或非接触的相应操作模式中,经由相应的数据通信接口 20、22,以已知方式分别进行向数据载体10的供电。数据载体10可以附加地包括其自己的电源,例如以电池(未示出)的形式。替代地,数据载体10还可以被适配用于仅接触式或非接触的一个操作模式。此外,数据载体10包括处理器(CPU30)、一排存储器50、60、70、以及运动传感器40。不可重写的非易失性ROM存储器50包括控制数据载体10的操作系统(OS)52、以及被适配用于支持在数据载体10上执行安全相关的命令(例如,在认证时、在密码函数的计算时等)的应用54、56。操作系统52或至少其部分、以及应用54、56也可以被替代地存储在可重写的非易失性闪存(FLASH)60中。其中还存储了应用66 (例如不同的用户应用)、以及用于保护安全相关的命令54、56的两个计数器62、64。在下文中将参照图2而更准确地描述计数器62、64的功能。运动传感器40被适配用于辨识数据载体10的运动并将在这一点上收集的数据传送至数据载体的控制单元(例如处理器30连同操作系统52)。同样,在下文中将更准确地描述运动传感器40以及由此辨识到的数据载体10的运动模式的功能。替代地或附加地,数据载体10可以包括另外的传感器(未示出),其指示例如力在数据载体10上的外部作用。参照图2,将简要地描述对用于保护命令的计数器62、64的普通使用。当用于执行的命令被传递至命令解释器时,在第一步骤SI中检查与该命令关联的计数器62、64是否仍然处于容许的指定最小值(例如“O”)之上。如果不是这种情况,则在第二步骤中封锁数据载体10。也就是,计数器62、64下降到最小值之下导致禁用数据载体10。也可以仅仅封锁由计数器62、64保护的命令的执行,而数据载体10其它方面保持可操作。如果计数器62、64仍然处于容许值范围之内,即在这里的最小值之上,则在步骤S3中,在命令的执行开始(onset)之前递减计数器62、64,即通常减小值“I”。在之后的步骤S4中,接着执行命令。命令处理可以包括这里未单独指示的几个子步骤。当命令处理彻底完成时,在步骤S5中再次递增计数器62、64,即通常增大值“I”。由此,计数器62、64采用其在用于执行与计数器62、64关联的命令的命令解释器的最后调用开始之前已经采用的值。然而,在对命令的处理被干扰使得对命令的处理在到达命令处理的结尾之前异常中断的情况下,步骤S5中计数器的递增因此也被省略。这因为在执行步骤S5之前数据载体10中所预期的序列被异常中断而成立。数据载体10中的序列的这种异常中断可以基于数据载体10的供电中断。例如,当操作在非接触操作模式中的数据载体10被移除得距对应的读取设备太远时,这可能非故意地发生。还可能的是,当数据载体10操作在接触式操作模式中时,数据载体10的接触区域20、或读取设备的对应接触区域的磨损或污损导致电源中断。最后,这种非故意中断也可以基于可能偶然发生的其它技术缺陷。另一方面,数据载体10的电源中断也可能已经被故意地引起。这是如下时候的情况:对数据载体10、或对数据载体10的特定命令的攻击将在数据载体内的设备可以辨识到该攻击之前被通过电源中断而中断的数据载体10内的序列所隐藏。这种对攻击的隐藏现在被计数器62、64所防止,所述计数器62、64并非如之前所惯常的那样仅当已经肯定地辨识到攻击时才递减。如上文中所述,现在在执行要被保护的命令之前已经递减了对应的计数器62、64 (所谓“预防性地(preventively)”),并且仅当未进行(可辨识的)攻击时才递增对应的计数器62、64。然而,序列的异常中断也可能由于在数据载体中辨识到不存在用于执行命令的授权的事实。这例如对于基于机密数据的输入的授权命令成立。如果输入的机密数据不正确,则在到达结尾之前(即在步骤S4内),认证命令被异常中断。计数器62、64然后用于对无效(fruitless)的认证尝试进行计数。当授权的用户例如在输入机密数据时仅犯了打字错误时,可能再次错误地引起这样的异常中断。然而,当攻击者尝试通过连续输入所有可能的机密数据来猜测机密数据时,在每个无效的尝试时,计数器62、64被故意地递减I。准确地,计数器62、64的这些改变是攻击者实际上想要通过上述电源中断而防止的改变。在数据载体10中的正当(proper)序列异常中断的情况下,无论什么原因,在执行命令期间,计数器62、64因此都包含在命令解释器的下个调用时减小I的值,这是因为未执行递增。因此,从计数器62、64的指定初始值开始,此值在命令的执行未适当地达到结尾时总是减小I。如果计数器62、64由此降至最小值之下,则数据载体10被禁用,如参照步骤S2所提及的。也就是,如果数据载体10的电源中断的数目和/或在执行命令期间分别发生异常中断的其它原因的数目超过初始值,则封锁数据载体10或至少封锁对应命令。为了防止对数据载体10的非故意封锁,将可以在制造数据载体时相应地将计数器62、64的初始值设置得较高。然而,这将赋予攻击者在数据载体10被禁用之前发动对数据载体10的对应数目的攻击的可能性。关于每个攻击,敏感数据离开数据载体10的概率较高。如果在制造数据载体时将初始值设置得非常低,则数据载体被相当好地保护以防外部攻击。然而,相应地,较小数目的非故意的操作错误或技术缺陷可导致数据载体10的非故意关闭。为了该原因,数据载体10被适配使得:甚至在向用户发布数据载体10之后,计数器62、64也可以被重新设置多次。这对于计数器62、64的值、以及计数器62、64可以在时间跨度期间移动的值范围成立,该时间跨度是规定的或同样可在设置计数器62、64时定义。对于设置计数器62、64的授权可以被许可给用户、以及发布数据载体10的主体。这通常需要向数据载体10进行相应认证。最后,还可以通过数据载体10自己来进行设置,例如,依赖于计数器62、64过去的递进、或者依赖于运动传感器40的数据。还可能的是,为了能够进行计数器62、64的设置,所述条件中的不同条件必须同时存在。不同的计数器62、64是分别可单独设置的。一个计数器62、64的设置独立于另一个计数器62、64的设置。因此,不同的命令可以被特定地保护。当例如计数器62保护在非接触操作模式中执行的命令时,有利的是:将此计数器62的初始值设置得高于计数器64,计数器64保护在接触式操作模式中执行的对应命令。与非接触操作模式有关的非有意电源中断预期比接触式操作模式更频繁。当数据载体10的用户向数据载体10成功认证了他自己时,他可以执行对计数器62、64的设置。这可以例如通过输入机密数据(例如PIN)而进行。为了输入这样的机密数据,数据载体10可以具有输入设备(未示出),例如键盘。还可能的是,为了将这样的数据输入至数据载体10,数据载体10经由接口 20、22之一连接至具有输入设备的合适读取设备(例如芯片卡终端)。可能的是,用户然后可以自己执行关于计数器62、64的设置。替代地,数据载体10也可以一出现用户的成功认证时就将计数器62、64的设置恢复至内部指定的值。还可以由发布数据载体10的主体(例如银行)来执行计数器62、64的设置。为此,数据载体10必须连接至此主体。这可以例如经由其部分连接(例如经由因特网)至发布主体的合适读取设备来完成。为了获得用于设置计数器62、64的授权,发布主体必须以已知方式向数据载体10认证它自己。此后,可以根据发布主体的规范来设置计数器62、64。在此情况中,也可以在发布主体的成功认证之后由数据载体10自己执行对计数器的设置。数据载体10可以例如在相应的指定时间间隔期满之后提供此。数据载体10可以从内部时间测量设备或从发布主体获得的经证实的时间戳获取时间间隔的期满。
如所述的,计数器62、64在此最简单的情况下可以被恢复至指定的或重新定义的初始值。这在如下时侯完成:计数器62、64由于非故意的误用或技术条件而已经在数据载体10的操作过程中被递减,使得其当前值处于最小值附近,从而由于较小数目的进一步递减而导致的数据载体10的禁用即将发生。如所述的,依赖于要被保护的命令和执行命令的操作模式,将不同的计数器设置为不同的初始值。然而,还可以关于计数器62、64设置更复杂的规范。这里,可以指定计数器62、64在数据载体10的操作过程中可以如何改变,而不被看作对数据载体10的攻击。不仅可以在向用户发布数据载体10之后进行这样的设置,而且可以在制造数据载体10时已经进行了这样的设置。这种设置主要用于区分计数器62、64的通常在对数据载体10的普通使用时发生的那些递进模式、与指向对数据载体10的攻击的那些模式。当普通使用时,例如如下发生:在计数器62、64的递增再次发生之前,计数器62、64的偶然两个(极少为三个或更多个)递减相互接续。这将归因于用户的偶然操作错误和偶然技术缺陷。相比之下,由攻击引起的计数器递进的模式通常特性在于:在相对短的时间内观察到没有中间递增的许多递减。计数器62、64的合适设置可以使得这样的不同模式可辨识。对于例如对应于数据载体10的平均使用寿命的大的时间跨度,可以指定递减的数目可以超过递增的数目相当大的值(例如“1000”)。这对应于如下假设:在数据载体10的操作时间期间,预期总共不多于1000个操作错误和技术缺陷。相对短的时间段(例如,I周、I天、I小时)内容许的操作错误的数目被相应地设置得较低。这里,容许的操作错误对应于计数器的两个递减直接相互接续的情况。如果许多递减直接相互接续,则这指向攻击,例如,当将通过列举所有可能的PIN来猜测数据载体的PIN时。这样的攻击可以被容易地辨识到,并可以利用所述设置(例如,简单地通过认为I小时内多于10个操作错误是不被容许的)而阻止。最后,可以依赖于数据载体10利用运动传感器40或其它内部测量设备感测它自己的那些数据,来执行对计数器62、64的设置。首先提及的数据提供关于数据载体10的运动模式的信息。其它测量的值例如是由于接触困难等而导致的数据载体中的电流波动。特定运动模式指向对数据载体10的普通使用。这些是示出基本上随机运动的模式。这里,要注意运动模式以及可以在时间上与其并行辨识的计数器62、64的改变。在计数器62、64的各个递减/递增之间数据载体10没有任何可辨识的(特别是随机的)运动的情况下计数器62,64的较大数目的连续改变指向攻击。在这种情况下,数据载体10通常被固定在合适的装置中。因此,依赖于数据载体10的运动模式来设置计数器62、64的递减与递增之间的容许比例。在几乎不运动时,特别是在几乎不可辨识的随机运动时,执行严格设置,即,容许比例被适配为仅允许相对少的不具有中间递增的递减的效果。在数据载体10的可辨识的“常规”运动时,可以再次放宽对应设置。最后,使用数据载体内收集的测量值,可以进行尝试(特别是考虑到引起数据载体10的电源中断的攻击)区分这样的攻击与非故意操作错误和技术缺陷。直接跟在电压波动之后的电源中断可以指示接触困难(例如由于不足的接触面积而导致),而不太可能是有目的的攻击。这类似地适用于直接跟在数据载体10的剧烈运动之后的中断,通过该剧烈运动,数据载体10例如已被不经意地从非接触读取设备的读取场移除。
权利要求
1.一种便携式数据载体(10)中的方法,其中,仅当所述数据载体的至少一个计数器(62 ;64)处于指定的值范围中时(SI),所述数据载体(10)才执行指定的命令(54 ;56),并且其中,在所述命令(54 ;56)的执行之前递减(S3)所述至少一个计数器(62 ;64),并且仅当在不中断的情况下已经执行了所述命令(54 ;56)时(S4)才递增(S5)所述至少一个计数器(62 ;64),其特征在于,在向用户发布所述数据载体(10)之后设置所述至少一个计数器(62 ;64)。
2.按权利要求1所述的方法,其特征在于,在向所述数据载体(10)成功认证之后设置所述至少一个计数器(62 ;64)。
3.按权利要求2所述的方法,其特征在于,用户和/或发布所述数据载体(10)的主体向所述数据载体(10)认证他自己/它自己。
4.按权利要求1至3中的任一项所述的方法,其特征在于,由发布所述数据载体(10)的主体执行对所述至少一个计数器(62 ;64)的设置。
5.按权利要求1至4中的任一项所述的方法,其特征在于,由所述数据载体(10)的用户执行对所述至少一个计数器(62 ;64)的设置。
6.按权利要求1至5中的任一项所述的方法,其特征在于,提供多于一个计数器(62;64),采用第一计数器(62)用于保护第一命令(54),以及采用第二计数器(64)用于保护第二命令(56)。
7.按权利要求6所述的方法,其特征在于,所述第一计数器(62)保护在所述数据载体(10)的第一操作模式中、尤其是在接触式操作模式中执行的命令(54),而所述第二计数器(64)保护在与所述第一操作模式不同的第二操作模式中、尤其是在非接触操作模式中执行的命令(56)。
8.按权利要求1至7中的任一项所述的方法,其特征在于,关于初始值设置所述至少一个计数器(62 ;64),在所述设置之后,在执行所述指定的命令(54 ;56)之前,从所述初始值开始递减所述至少一个计数器(62 ;64)。
9.按权利要求1至8中的任一项所述的方法,其特征在于,关于所述至少一个计数器(62 ;64)的递减与所述至少一个计数器(62 ;64)的递增的比例而设置所述至少一个计数器(62 ;64 ),所述比例对于指定的时间跨度是容许的。
10.按权利要求1至9中的任一项所述的方法,其特征在于,所述数据载体(10)依赖于所述数据载体(10)自己确定的数据、尤其是利用所述数据载体(10)的运动传感器(40)确定的数据,来设置所述至少一个计数器(62 ;64)。
11.按权利要求1至10中的任一项所述的方法,其特征在于,当所述至少一个计数器(62 ;64)离开所述指定的值范围时,禁用所述数据载体(10),或至少禁用由所述至少一个计数器(62 ;64)保护的命令(54 ;56)。
12.一种便携式数据载体(10),包括至少一个存储器(50 ;60 ;70)、被适配为执行存储在所述存储器(50 ;60 ;70)中的命令(54 ;56)的处理器(30)、以及用于保护所述命令(54 ;56)的至少一个计数器(62 ;64),所述数据载体(10)被适配为仅当所述至少一个计数器(62 ;64)处于指定的值范围中时才执行所述命令(54 ;56),并且被适配为在所述命令(54 ;56)的执行之前递减所述至少一个计数器(62 ;64),并仅当在不中断的情况下已经执行了所述命令(54 ;56)时才递增所述至少一个计数器(62 ;64),其特征在于,所述至少一个计数器(62 ;64)被适配为在向用户发布所述数据载体(10)之后能够被设置。
13.按权利要求12所述的数据载体(10),其特征在于,所述数据载体(10)被适配为执行根据权利要求1至9中任一项所述的方法。
14.按权利要求12或13所述的数据载体(10),其特征在于,所述数据载体(10)的传感器、尤其是运动传感器(40),用于辨识对所述数据载体(10)的外部影响、尤其是用于辨识所述数据载体(10)的运动,并且所述数据载体(10)被适配为依赖于利用所述传感器而确定的数据设置所述至少一个 计数器(62 ;64)。
全文摘要
本发明涉及一种便携式数据载体(10)中的方法,用于保护数据载体(10)以防对数据载体(10)的外部攻击。这由于在数据载体(10)中使用至少一个计数器(62;64)而实现。保护指定的命令(54;56)以使得仅当至少一个计数器(62;64)处于指定的值范围中时,数据载体(10)才执行所述命令。至少一个计数器(62;64)在命令(54;56)的执行之前递减,并且仅当在不中断的情况下已经执行了命令(54;56)时才随后递增。至少一个计数器(62;64)可以被多次设置,特别是甚至在数据载体(10)向用户输出之后。
文档编号G06K19/073GK103098067SQ201180043280
公开日2013年5月8日 申请日期2011年9月8日 优先权日2010年9月8日
发明者O.吉比斯 申请人:德国捷德有限公司