每个命令CMD之后,功能DTCF 激活信号EN或停用信号EN,这取决于相应的能由处理器CPU发送的响应消息REP是否可 以包含将被保护的数据。因此,在附录1中给出的示例中,在接收到"SELECT"-、"COMPUTE CRYPTOGRAPHIC CHECKSUM" -和"GPO"型命令消息CMD之后,所述功能停用信号EN,并在接 收到"READ RECORD"型命令消息REP之后激活该信号。
[0069] 应当注意,在没有任何位于组件NTOD之内或之外的安全元件的情况下,可以保证 数据保护。
[0070] 图3示出了根据另一个实施例的组件Nran。组件Nran与组件NrcD的区别在 于:组件NTODl包括控制器NFCCl和安全元件SEl。控制器NFCCl可以包括寄存器以存储 安全模式指示符SK,安全模式指示符SK的值可以由处理器MPU修改。当激活安全模式时, 控制器NFCCl将通过其接口 CLF接收到的所有响应路由到安全元件SEl,安全元件SEl然后 可能以经修改的形式将它们或不将它们重传到处理器MPU,这取决于预先定义的规则。安全 元件SEl然后可以实施安全功能以保护机密性并可能保护通过接口 CLF接收的数据的完整 性。当修改指示符SK的值以停用安全模式时,激活功能DTCF以检测对将被保护的数据的 可能接收并激活功能MSKF(使用信号EN),以便检测这种数据的存在并将它们从重传到处 理器MPU的响应消息REP'中移除。
[0071] 应当注意,组件NTOD(图2中)还可以包括指示符SK,因为只有当停用指示符SK 时,功能DTCF是开启的。当该指示符被激活时,可以通过与系统HD的安全元件SE建立的 安全通道(经由图1中指示的链路B3)传输由控制器NFCC接收到的响应消息。
[0072] 当响应消息REP包含将被保护的数据时(在控制器NFCCl不在被保护的模式的情 况下),功能MSKF可以将这种响应消息传输到安全元件SE1,而不是从这种响应消息中移除 将被保护的数据。安全元件SEl然后可以采取任何适合的措施来保护这种数据,诸如使用 已知的安全程序(可以在处理器MPU或远程服务器上安装)的加密密钥来加密该数据。
[0073] 图4示出了根据另一个实施例的组件NTOD2。组件NTOD2包括控制器NFCC2并可 选择地包括安全元件SE1。控制器NFCC2与图2或图3中的控制器NFCC的区别在于:功能 DTCF不是对接收自处理器MPU的命令而是对通过接口 CLF接收的响应消息执行其检测任 务。然后可以将功能DTCF和MSKF合并,或者可以移除功能DTCF。在附录1中给出的事务 的示例中,当标签"70"在所接收的响应消息的头部中出现时,功能DTCF可以激活信号EN。 该实施例在以下情况下特别适合:假设安装在电路CPU中的应用能经由组件NFCD2与处理 器MPU进行通信,并且这些应用能使用事务协议和命令及响应的格式,可能由组件NTOD2接 收的响应消息REP的内容是清楚的。
[0074] 可以理解,图3中的实施例也可以执行仅在响应消息REP中的这种检测。
[0075] 根据另一个实施例,功能DTCF和MSKF可以被配置为仅保护根据某些事务协议或 按照某些格式传输的数据。因此,在附录1给出的事务的示例中,只有当标签"70"出现在 接收到的响应消息的头部中时,功能DTCF才能激活信号EN,而且在将接收到的响应消息重 传到处理器MPU之前,功能MSKF只能移除处于与标签"56"相关联的字段中的数据。
[0076] 可以这样规定,以便当控制器NFCC2的功能DTCF根据响应消息REP的头数据检测 到该响应消息可能包含被保护的数据时,该功能执行对该响应消息的格式控制。因此,在附 录1中的示例中,当在响应消息REP的头部中检测到标签"70"时,功能DTCF可以特别地检 查在标签后提供的消息长度值符合消息的数据字段的长度。以这种方式,功能DTCF可以消 除涉及响应消息的格式和内容的某些模糊性。
[0077] 在以上描述的所有实施例中,可以规定使用指示符SK并考虑该指示符的值以激 活功能DTCF。
[0078] 图5示出了图3中通过处理器MPU(和通信电路RCT)与远程服务器TSRV进行通 信的NFC系统。图5例如对应于使用安全元件SEl (而不是电路Cl)执行与服务器TSRV的 事务。在此,组件NFCDl可能不包括任何用于存储安全模式指示符SK的寄存器。
[0079] 根据一个实施例,在以下情况下,控制器NFCCl可以激活功能DTCF :当具有安全元 件SEl的处理器MPU发起事务时、当没有激活由指示符SK指示的安全模式时、或者当不存 在该指示符时。如上所述,在由处理器MPU传输并且目的地是元件SEl的命令消息CMD中, 功能DTCF检测对这些命令的响应消息REP是否可能包含被保护的数据。如果是,则功能 DTCF激活功能MSKF,并在将在响应消息中检测到的任何数据传输到处理器MPU之前将其加 密,其中,功能MSKF检测由元件SEl提供的响应消息中将被保护的数据。
[0080] 图6示出了图3中与NFC终端(RD)进行通信的NFC系统。在这种情况下,组件 NFCD以卡仿真模式工作。在该配置中,以下也是所希望的:当经由非安全的近场通信链路 RL传输由元件SEl存储的机密数据时,保护该数据。在此再一次地,在以下情况下,控制器 NFCCl可以激活功能DTCF :当在终端RD与安全元件SEl之间发起事务时、当没有激活由指 示符SK指示的安全模式时、或者当不存在该指示符时。如上所述,在由终端RD传输并且目 的地是元件SEl的命令消息CMD中,功能DTCF检测对这些命令的响应消息REP是否可能包 含将被保护的数据。如果是,则功能DTCF激活功能MSKF,并在将响应消息中检测到的任何 数据传输到处理器MPU之前将其加密,其中,功能MSKF检测由元件SEl提供的响应消息中 将被保护的数据。
[0081] 可以以应用或小应用的形式来产生功能DTCF和MSKF,其可以根据传输协议或将 被处理的数据的格式而改变。例如,除了应用之外,可以加载命令消息和/或响应消息中的 所有将被识别的标签。
[0082] 可以理解,在图5和图6的实施例中,可以由检测功能DTCF仅针对响应消息REP 执行将被保护的数据的检测。
[0083] 图7示出了步骤11到步骤35,其由处理器MPU、控制器NFCCl和经由NFC链路与 控制器NFCCl通信的外部处理器(图2至图5的实例)执行。在图7的示例中,由安全元 件SEl的应用EAPP执行对将被保护的数据的加密。元件SEl包括路由功能DSPT,路由功能 DSPT将接收到的命令路由到接收命令的元件SEl的应用。在步骤Sll中,处理器MPU将发 起消息INIT TRT的事务传输到元件SEl。在步骤S12中,处理器MPU将用于激活数据保护 的消息STRT传输到控制器NFCCl。在步骤S13和S14中,控制器NFCCl接收消息STRT并查 询元件SEl以获得将被用于检测将被保护的数据的标签列表。在步骤S15中,元件SEl将 待监视的标签列表TGS传输到控制器NFCCl,待监视的标签列表TGS基于规定了事务类型的 消息INIT TRT来确定。
[0084] 在步骤S16中,处理器MPU将第一命令消息CMD传输到用于外部处理器CI的控制 器NFCCl。在步骤S17中,控制器NFCCl将消息CMD重传到处理器CI。在步骤S18中,处理 器CI发送响应消息REP。在步骤S19中,控制器NFCCl接收消息REP,其测试是否存在将待 保护的数据引入消息REP的标签。如果没有检测到将被保护的数据,则将未作任何修改的 消息REP传输到处理器MPU,否则控制器NFCCl执行步骤S20。在步骤S20中,控制器NFCCl 提取与在步骤S19中定位的每个标签相关联的数据DT。在步骤S21和S22中,将由此提取 的数据DT传输到安全元件SEl。在步骤S23中,元件SEl使用加密功能Enc加密数据DT。 在步骤S24和S25中,将所获取的被加密的数据ED传输到控制器NFCCl。在步骤S26中,控 制器NFCCl接收被加密的数据ED并将其插入响应消息REP以替换数据DT。在步骤S27中, 控制器NFCCl将响应消息REP'传输到处理器MPU,消息REP'包含替换数据DT的数据ED。 在步骤S28中,处理器确定命令消息CMD是否是在步骤Sll、S12中发起的事务的最后一个 消息。如果消息CMD不是所述事务的最后一个消息,则使用下一个命令消息再次执行步骤 S16 到 S28。
[0085] 如果处理器MPU确定消息CMD是所述事务的最后一个消息,则在步骤S28中,其执 行步骤S29。在步骤S29中,处理器MPU将请求在步骤S23中使用的加密密钥标识符的消息 传输到控制器NFCCl。在步骤S30中,将该请求消息传输到元件SEl。在步骤S31中,元件 SEl传输加密密钥标识符KSN。标识符KSN可以例如包括元件SEl的标识符和事务计数器 值。在步骤S32中,控制器NFCCl将该标识符传输到处理器MPU。在步骤S33中,处理器MPU 将可能经修改的由处理器CI提供的所有响应消息REP、REP'和密钥标识符KSN传输到专用 于数据解密的中间服务器GSRV。服务器GSRV根据接收到的标识符KSN确定解密密钥,解密 密钥使包含在接收到的经修改的消息REP'中的数据DT能够被解密。在步骤S34中,服务 器GSRV提取并解密在经修改的消息REP'中的数据EC,然后恢复对应的消息REP并在步骤 S35中将所有接收的和可能恢复的消息REP传输到接收所述事务的服务器(例如TSRV)。
[0086] 在步骤S23中由元件SEl实施的加密功能Enc可以是保留格式加密(FPE)式功能, FPE式功能保留数据的格式。功能ENC可以取决于将被加密的数据的格式。因此,就由16 个数字组成的银行卡号来说,仅可以修改这16个数字中的一部分。根据一个示例,银行卡 号的前6个数字被保留以便能够将事务数据路由到发行该银行卡的银行。可以通过使用加 密密钥(可以由服务器GSRV根据标识符KSN确定),使用适合的加密算法来加密所述银行 卡号的其它数字的全部或一部分。加密算法可以是高级加密标准(AES)或三重数字加密标 准(3DES)。
[0087] 图7中的步骤还可以由图5