用于保护在nfc系统中传输的敏感数据的方法
【技术领域】
[0001] 本发明涉及近场通信(NFC)事务,特别地,涉及在非接触式微电路卡和诸如集成 了 NFC组件的移动终端之类的NFC终端之间执行的事务。
【背景技术】
[0002] NFC组件可以具有若干工作模式,即"读取器"模式、"卡仿真"模式、"设备"模式 (还被称为"设备对设备"模式或"端对端"模式)。在"读取器"模式中,NFC组件像标准 RFID读取器一样工作以读取或写入RFID芯片(芯片卡或非接触式标签)。在该模式中,NFC 组件发射磁场、通过调制磁场的幅度来发送数据并通过负载调制和感应耦合来接收数据。
[0003] 在"仿真"模式中,特别地在属于申请人的专利EP 1327222中所描述的,NFC组件 像应答器一样以无源方式工作。在该模式中,NFC组件被在读取器模式中的NFC终端看到 并像RFID芯片一样与后者进行对话。因此,NFC组件不发射任何磁场,其通过解调由其它 读取器发射的磁场来接收数据,并通过调制其天线电路的阻抗(负载调制)来发送数据。
[0004] 在"设备"或"端对端"模式中,NFC组件必须与也正在相同工作模式中的NFC终端 配对。组件和终端通过交替地将它们自身置于无源状态(不发射任何场)以接收数据并且 置于有源状态(发射场)以发送数据来相互通信,或在事务期间保持相同的无源或有源状 ??τ O
[0005] 除了这三种工作模式之外(未来可能会设计其它工作模式),NFC组件可以实施 若干非接触式通信协议,并且其例如能够根据ISO 14443-Α协议、ISO 14443-Β协议、ISO 15693协议等来交换数据。每个协议定义了磁场的发射频率、用于调制磁场的幅度以通过有 源方式发送数据的调制方法、通过无源方式发送数据的感应耦合负载调制方法。从而NFC 组件是多模式和多协议设备。申请人例如出售以"MicroRead?"命名的此种NFC组件。
[0006] 由于其扩展的通信容量,意在将NFC组件集成到诸如像智能电话的移动电话、触 摸式平板电脑、笔记本电脑或膝上型电脑之类的便携式设备中。这种便携式设备形成NFC 系统(也被称为"NFC芯片组",即包括NFC组件和至少一个主机处理器的芯片组)。"主机 处理器"指任何包括微处理器和/或微控制器的集成电路,并且其被连接到NFC组件的端 口。许多NFC系统包括若干主机处理器,诸如安装有NFC组件的设备的主处理器、安全处理 器。主处理器一般是非安全处理器,例如移动电话的基带电路(或无线电话电路)。安全主 机处理器例如是SM卡或通用集成电路卡(UICC)中的微控制器或NFC组件中的微控制器。 从而将NFC组件的资源提供给主机处理器以使它们能够管理非接触式应用。
[0007] 构想使用这种NFC系统来执行与包括NFC通信接口的外部安全处理器的诸如支付 事务之类的安全事务,如同那些在非接触式信用卡中实施的安全事务那样。外部安全处理 器还可以被集成到另一个NFC系统中,然后以"卡仿真"模式工作。
[0008] 但是,诸如电话之类的NFC系统的主处理器是不安全的。因此它可以执行这样的 恶意应用:其被设计为获取存储在外部安全处理器中的机密信息,其中,所述外部安全处理 器诸如是在卡中的处理器,其根据NFC型协议与系统的NFC组件进行通信。机密数据可以 涉及银行卡,如银行卡的识别号、有效期限、持有人姓名、验证码等。实际上,该机密数据一 般不特别地以受保护的(加密的)形式进行传输,因为该数据中的某些数据(诸如银行卡 号的第一位数字)用于在银行网络内路由交易数据。由于标准的兼容性或标准的版本(尤 其是向上兼容性),还以明文的方式传输此类数据,投入使用的最初的支付卡以该方式传输 此类数据。
[0009] 为了克服这样的问题,已经建议实施受保护的NFC系统工作模式,其中,在NFC系 统的非安全主机处理器和外部处理器之间交换的所有信息都通过NFC系统的安全处理器。 然后,所述安全处理器被配置为从将被传输到非安全主机处理器的数据中移除必须保留其 机密性的所有数据,或者加密这样的数据,以使得只有经授权的实体才可以访问被加密的 数据。如果将所述安全处理器集成到NFC组件(其是具有特定操作系统的封闭组件)中, 则在将机密数据传输到所述NFC组件的安全处理器之前,从中提取接收自外部处理器的这 种机密数据是相对困难的。如果不将所述安全处理器集成到NFC组件中,则可以在所述NFC 组件和所述安全处理器之间建立可能安全的特定传输通道。
[0010] 但是,规定该受保护的工作模式通过改变由非安全主机处理器管理的指示符的值 来激活。结果是,由所述非安全主机处理器执行的恶意应用可以仅通过改变所述指示符的 值来停用受保护的模式。然后,机密数据不再由所述安全处理器过滤,所述恶意程序从而可 以获得所述机密数据。
[0011] 因此,希望增加可能由NFC卡或在"卡仿真"模式中的另一个NFC系统传输到NFC 系统的机密数据的保护安全性。还希望当这种数据将由这种系统中的安全元件发送或发送 到这种系统之外时,保护这种数据。
【发明内容】
[0012] 某些实施例涉及一种经由连接到路由控制器的非安全处理器或非安全链路的在 安全处理器与事务服务器之间的事务方法,所述方法包括以下步骤:所述路由控制器将由 所述非安全处理器或通过所述非安全链路发送的命令消息传输到所述安全处理器;所述路 由控制器接收由所述安全处理器发送的响应消息;以及所述路由控制器将所述响应消息传 输到所述非安全处理器或经由所述非安全链路传输所述响应消息。根据一个实施例,所述 方法包括以下步骤:所述路由控制器分析所述响应消息的内容以便检测其中的第一类型的 数据;通过从所述响应消息中移除至少一部分检测到的数据或在所述响应消息中加密至少 一部分检测到的数据,生成经修改的消息;以及将所述经修改的消息传输到所述非安全处 理器或经由所述非安全链路传输所述经修改的消息。
[0013] 根据一个实施例,所述路由控制器系统地分析所有接收到的响应消息的内容而不 分析所述命令消息的内容。
[0014] 根据一个实施例,所述方法包括以下步骤:所述路由控制器分析所述命令消息; 如果对所述命令消息的分析显示所述第一类型的数据可能被包含在随后的响应消息中,则 激活对所述响应消息的内容的分析。
[0015] 根据一个实施例,所述方法包括:对于由所述路由控制器接收的每个命令消息,确 定所述第一类型数据是否可能被包含在相应响应消息中,以及根据所述第一类型的数据是 否可能被包含在所述相应响应消息中,激活或停用对所述相应响应消息的内容的分析。
[0016] 根据一个实施例,所述路由控制器修改在所述响应消息中检测到的所述第一类型 的数据;通过在所述响应消息中将检测到的所述第一类型的数据替换为经修改的数据,生 成经修改的响应消息;以及将所述经修改的响应消息传输到所述非安全处理器。
[0017] 根据一个实施例,修改在所述响应消息中检测到的所述第一类型的数据包括以下 步骤:将检测到的数据传输到连接到所述路由控制器的安全处理器;所述安全处理器通过 加密至少一部分所提取的数据来生成经修改的数据;以及所述安全处理器将所述经修改的 数据传输到所述路由控制器,所述非安全处理器将所述经修改的响应消息和密钥标识符传 输到中间服务器,所述密钥标识符使所述中间服务器能够确定解密密钥,所述中间服务器 解密在所述经修改的响应消息中的经加密的数据,并通过在所述经修改的响应消息中将所 述经加密的数据替换为经解密的数据而恢复原始的响应消息,将所恢复的响应消息传输到 事务服务器。
[0018] 根据一个实施例,当已经在所述响应消息中检测到所述第一类型的数据时,所述 路由控制器将所述响应消息传输到连接到所述路由控制器和所述非安全处理器的安全处 理器,所述安全处理器以加密形式将所述响应消息传输到所述非安全处理器。
[0019] 根据一个实施例,仅当路由控制器的工作模式的工作模式指示符指示所述路由控 制器处于不受保护的模式时,所述路由控制器才分析所述消息的内容。
[0020] 根据一个实施例,基于包含在所述响应消息中的标签字段的值来检测所述第一类 型的数据。
[0021] 根据一个实施例,对所述响应消息的内容的分析包括以下步骤:验证所述响应消 息的数据字段的长度对应于包含在所述响应消息中的长度字段的值。
[0022] 根据一个实施例,所述方法包括以下步骤:所述路由控制器分析所述命令消息以 确定事务协议或在所述非安全处理器和NFC设备之间交换的数据的格式,如此确定的事务 协议或数据格式用于搜索所述响应消息中的所述第一类型的数据。
[0023] 某些实施例还涉及非安全处理器和与安全处理器通信的路由控制器,其被配置为 实施上述方法,所述路由控制器被配置为:响应于由所述路由控制器传输到所述安全处理 器的命令消息,分析响应消息的内容,以便检测其中的第一类型的数据,所述响应消息由所 述安全处理器发送并且其目的地是所述非安全处理器或意在经由非安全链路来传输;通过 从所述响应消息中移除至少一部分检测到的数据或在所述响应消息中加密至少一部分检 测到的数据,生成经修改的消息;以及将所述经修改的消息传输到所述非安全处理器或经 由所述非安全链路传输所述经修改的消息。
[0024] 根据一个实施例,所述安全处理器被集成到集成电路卡中或被连接到所述路由控 制器,所述集成电路卡包括与所述路由控制器进行NFC通信的近场通信接口。
[0025] 根据一个实施例,所述路由控制器与安全处理器相关联,所述安全处理器被配置 为:在所述路由控制器的受保护的工作模式中接收所有响应消息,并在不受保护的工作模 式中仅接收包含所述第一类型的数据的响应消息;以及在将接收到的消息传输到所述非安 全处理器之前加密所述消息。
[0026] 根据一个实施例,所述路由控制器与安全处理器相关联,所述安全处理器被配置 为:从所述路由控制器接收提取自由所述路由控制器接收的消息的所述第一类型的数据; 加密接收到的所述第一类型的数据;以及将经加密的数据传输到所述路由控制器,所述路 由控制器被配置为在所述响应消息中将所述第一类型数据替换为接收到的经加密的数据, 并将如此修改的响应消息传输到所述非安全处理器。<