专利名称:限制访问电子安全设备与主设备之间传输的信息的设备和相关方法
背景技术:
1.发明领域本发明涉及电子安全设备。更具体地说,本发明涉及限制对电子安全设备与主设备之间传输的信息进行访问的技术。
2.现有技术描述智能卡和其它类似的电子安全设备因它们在存储与存款、个人身份证和其它个人数据之类的各种应用相关的信息方面的能力,以及它们访问某些主设备的能力而众所周知。在本公开中,术语“智能卡”是一种类型的“电子安全设备”。国际标准化组织标准7816(ISO7816)定义了智能卡和相关电子触点的布局和电子设计。术语“电子安全设备”还包括PCMCIA(个人计算机存储卡国际协会)卡。
有关智能卡的应用包括卫星接收器顶置盒、MMDS(多信道多点分配业务)和分线盒、控制对受限区域的个人访问、提供对银行帐户的访问、电话卡和其它各种各样正在开发的应用。主设备通常拥有与之相联系的特定电子安全卡。可选地,每个用户可以拥有具有所选权限或限制的独立智能卡,以便当把一个用户的智能卡从主设备(例如,顶置盒)中移走,把另一个用户的智能卡插入主设备时,后一用户可以利用它自己的个人编程权限开始使用同一主设备。
在ISO7816中,电子触点和相关互连的物理规模相对来说很小。因此,由电子触点生成的发射出去的电磁辐射同样很小,难以检测到。这种对电磁辐射检测的限制进一步提高了智能卡的安全性。
黑客们(Hacker)试图对包含在电子安全设备中的信息进行未授权访问,或者窜改电子安全设备,以便没有授权地或不付费地进入设备。除了进行未授权访问或接受未授权设备之外,人们可能还想修改包含在智能卡中的信息,和/或修改或窥视在智能卡和主设备之间传输的信息。一种有助于这种未授权访问或信息修改的技术被称为“热连接(hot-wiring)”智能卡。这种热连接是通过把纯粹相异的电线附加在智能卡“触片”中的每个相异电子触点上实现的。然后,将这种智能卡插入主设备中,和主设备借助于从端口延伸出来的电线与智能卡交互,从而可能使机密信息暴露在主设备之外。电子线路可以与端口之外的电线相连接,这些电线可能导致包含在智能卡中的信息被修改或在智能卡与主设备之间传输的信息被修改。如果黑客使用主设备之外的其它适当设备,那么,黑客可以获取大量存储在智能卡中的机密信息,并且还可以伪造智能卡。
修改包含在智能卡中的信息的另一种技术涉及到所谓的狭长薄板(paddleboard)或智能卡仿真器。这些狭长薄板是大小与智能卡接近的印刷电路板的实际物理部分(尽管这些狭长薄板通常稍比智能卡厚一点)。和它们包含带有被配置成与主设备交互的多个电子触点的智能卡“触片”。狭长薄板包含计算机芯片,这个计算机芯片使它们能够以智能卡与主设备交互相似的方式与主设备交互。
在本公开中,用来访问或改变存储在智能卡中的信息,或访问或修改在智能卡与主设备之间传输的信息的热连接、狭长薄板和任何其它系统在本说明书中被称为“修改”信息或修改电子安全设备。
因此,在技术上存在着对用来限制智能卡修改的设备的需要。这种设备通过防止访问码被未授权使用,来提高与之相联系的安全性,从而提高用户对系统的信任度。
为了便于理解,在可能的地方利用相同的标记表示为所有图形所共有的相同单元。
详细描述
图1显示了包括已知接收器系统100的本发明一个实施例,该接收器系统100包括主设备(例如,卫星接收器)101、卫星碟形天线102和电视机104。卫星接收器101包括当今可以与例如,低地球轨道或同步卫星交互的任何种类。虽然在图1中主设备101被描绘成卫星接收器,但是,可以与ISO7816智能卡、PCMCIA卡、或希望禁止他人修改包含在其中的信息的任何其它类型电子安全设备交互的其它主设备都在本发明的范围之内。主设备的这些可替换实施例包括有线网络接收器、地面广播网络设备、分布式预记录网络设备、VCR(盒式录像机)磁带设备、DVD(数字视频盘)设备、电话机、银行取款机、安全访问系统等。
卫星接收器101包括智能卡部分106、控制器部分107和在本发明的某些实施例中的检测器130。智能卡部分106包括智能卡108(当被插入时)、智能卡端口112、智能卡环113和智能卡阅读器110。在本公开中,术语“智能卡”和“电子安全设备”可以互用。智能卡阅读器110包括智能卡阅读器头111。智能卡108包括智能卡触片109。智能卡端口112使不同的所选电子安全设备通过智能卡端口112被插入和被移走。智能卡环113把智能卡108卡在通过智能卡端口112插入电子安全设备中时所处的位置上。智能卡端口112在限定卫星接收器101的外表面的外壳121中形成。
控制器部分107包括中央处理单元(CPU)114、存储器116、输入/输出(I/O)118和总线119。它们的集成和操作是众所周知的,因此,略去不述。
插入智能卡端口112中的电子安全设备108的各个细节显示在图2的局部放大剖面图中。在智能卡108的外表面上形成智能卡触片109包括电触点202a、202b、202c和202d、集成电路205和绝缘材料例如树脂(未示出)。每个电触点通过导电体与集成电路205电连接。每个电触点202的表示暴露在智能卡触片109上,智能卡108的外表面上,以便与每个电触点202上暴露表面相接触的电极可以把信号发送到集成电路205和从集成电路205接收信号。智能卡触片109的物理尺寸有助于限制发出的磁辐射量。集成电路205,例如芯片,的重要功能是存储信息(其中的一些可以被修改了)。电路205可以采取应用特定集成电路的形式。要保存的信息可以包括金额、编程能力、服务权限、购买历史、PIN(个人识别号)码、个人和地址信息及其它类似信息。
在图2中还把智能卡阅读器110画在正好可以与电触点202交互的位置中。智能卡阅读器110包括数个阅读器头触点206a、206b、206c和206d,当智能卡被插入智能卡端口112中时,它们分别与电触点202a、202b、202c和202d电连接。尽管在图2中画了4个电触点和4个阅读器头触点,但是,如ISO7816所述,可以选择象例如在图3中所画的8个那样的任何个数的触点。而电触点的个数必须与智能卡的预定任务相适应。
在使用过程中,纯粹电磁安全设备通常归属于某些应用中的主设备;虽然在不同的电磁安全设备应用中,不同的电子安全设备可以从卫星接收器101中移走,和被插入卫星接收器101中。例如,在家庭中,不同的家庭成员可以拥有他们的智能卡能够访问的不同电视频道,或者,每个星期可以只分配给某些用户一定的卫星接收器101(和相关电视机104)使用量。虽然在本说明书中描述的和在附图中画出的是智能卡,但是,可以设想,可以从中访问信息的任何卡片、芯片、或电子线路设备均在本发明的范围之内。
PCMCIA和ISO7816协议两者都包含在国家可更新安全标准(NRSS)接口中。可以设想,本发明还可以应用于基于PCMCIA的系统。由于智能卡不断演化,因此,这是必要的。任何卡片或包含集成电路和向在这里所述的主设备提供类似交互能力的其它设备都被限定在本发明的范围之内。
智能卡108的安全问题是未授权智能卡用户试图访问主设备或包含在智能卡中的信息的时候产生的。智能卡触片109在物理结构上位于图1所示的卫星接收器101之内的事实是限制未授权用户对智能卡108与主设备101之间的信息流进行访问的初步尝试。未授权用户还把纯粹相异的、适当大小的、导电电线与每个电触点202a、202b、202c和202d电连接,试图对包含在智能卡108内的信息进行访问。因此,当智能卡108被插入使每个电触点202与各自的阅读器头触点206相接触的智能卡端口中时,可以在从智能卡端口112延伸出来的电线的另一端上读出在智能卡阅读器头111和智能卡108之间传输的任何信号。这种包含在电子安全设备(或智能卡)中的信息的未授权访问或改变,或主设备与电子安全设备之间传输的信息的改变在这里被称为电子安全设备的修改。
利用热连接进行电子安全设备修改的后果涉及到当电流通过电线时,以辐射方式从用于热连接智能卡的电线中发出电磁辐射来。在这种情况中,电流通过电线的结果是,用于热连接智能卡的电线起发出电磁辐射的天线的作用。由任何电线产生的电磁辐射在波形(形状)上类似于通过电线的成比例的电流(scaled current)。因此,当检测到具有与原始信号相似模式和频率的发出电流的模式时,就可能检测到修改电子安全设备的未授权用户。从主设备发送到智能卡108(反之亦然)的任何周期性信号(和诸如脉冲信号之类的某些非周期性信号)可以用于这种功能,包括由CPU 114生成的和发送到电子安全设备的时钟信号。
辐射检测本发明的实施例被描绘在图3中,图3显示了在图1中描绘的和针对图1所述的卫星接收器101的内部的透视图。图3显示了插入限制在智能卡环113或外壳121内的智能卡端口112中的智能卡(电子安全设备)108。为了便于显示,图3没有显示出智能卡阅读器110。智能卡触片109被清楚地显示在由智能卡环113形成的智能卡端口112中心线上,远离智能卡端口112的地方,以便用于热连接智能卡的任何电线可以肯定地通过智能卡112。在图3中,相异的热连接电线302连接到每个相异的电触点202上。尽管在图2中只画了4个电触点202a-d,但是在图3中却显示了8个智能卡电线触点。为了传输主设备101之外的信息,每根热连接电线302从它各自的电触点202延伸出来,并且通过智能卡端口112。
根据麦克斯韦(Maxwell)方程,通过被修改电子安全设备中任何热连接电线202的电信号都将产生由电场和磁场构成的电磁辐射。这个电磁辐射可以叠加在由其它信号源(例如,其它热连接电线302,以及位于卫星接收器101之外的电磁辐射源)生成的类型相似的电磁辐射上。在图3的实施例中,环形天线306环绕着智能卡环113。作用于环形天线306的磁辐射(包含在电磁辐射之内)在环形天线306中生成电流。检测器308(它是检测器130的一种形式)可以感测到环形天线中的电流。
环形天线306代表能够检测到通过智能卡端口112延伸出来的电线302生成的磁场的一种结构。不幸的是,如果环形天线与电线302垂直,那么,从智能卡端口112穿出来的电线302生成的磁场将交叉极化环形天线306中的电流。这种交叉极化限制了在天线中产生的电流,因此,在某种程度上限制了检测器308检测电线302是否存在的能力。但是,当电线302在物理上与相对于环形天线306的平面的垂直线成一定角度时,交叉极化就降低了。这种电线的“成一定角度”导致检测器308对电线302的可检测性提高了。与电线相对于天线306的物理角度无关地提供电线302的更均匀可检测性的天线306的结构是提供天线的电线卷绕在环形铁心上的铁氧体铁心。这种“绕制环形铁心”在如在本发明中所使用的术语“环形天线”的预定范围之内。
包括图4a至4e的图4描绘了当在图3的热连接电线302中生成电流时生成的一系列信号的例子。图4a描绘了在热连接电线302a中生成的标记信号的电流随时间变化的曲线。这个标记信号最好是通过把CPU 114生成的时钟信号施加到集成电路205上生成的特征周期性波形。标记信号可以从主设备101施加到智能卡108上,或从智能卡108施加到主设备101上。标记信号可以穿过一个或多于一个电触点202a-d(当标记信号在主设备101和智能卡108之间传输时)。尽管图4描绘了长方形时钟标记信号,但是在这个实施例中可以使用任何周期性标记信号(甚至是诸如脉冲信号之类的某些非周期性标记信号)。
图4b描绘了作为与通过热连接电线302的标记信号相对应的电流的结果,在环形天线306附近生成的磁辐射的例子。电流和磁辐射的单位是任意的,取决于环形天线的物理维度和材料等、电流强度、热连接电线302a的长度等。图4c显示了位于环形天线306附近的附加磁辐射的例子。图4d描绘了来源于标记信号的磁辐射被叠加在图4c的磁辐射上。图4d的电流将在环形天线306中生成。图4e代表在通过为让与图4a中的电流相联系的频率通过而选择的高通或带通滤波器之后,图4d的波形。图4e的信号施加到检测器308上。如果图4e信号的特征(包括幅度402、频率和波形)与标记信号非常相似,那么,位于检测器308中的比较器电路310就确定智能卡触片109已经被窜改了。根据从比较器电路310到上面的输入,检测器308使到CPU 114的信号适合于指示CPU应该终止与智能卡的通信或通知系统操作人员。比较器电路在技术上是众所周知的,在这里将不再作进一步描述。
图5显示了能够感测被修改电子安全设备中是否存在热连接电线302a(在显示图1中的卫星接收器101的内部的图5中只显示了一根热连接电线,这根热连接电线还穿出图5中的智能卡端口112)的可替换实施例。图3和图5实施例的不同之处在于,图3实施例利用如上所述的环形天线306测量磁辐射。相比之下,图5实施例则利用电容测量单元502,测量由通过热连接电线302a的电流生成的电辐射。电容测量单元502通常成对使用,一个位于图5中的智能卡端口112的上方,另一个则位于它的下方。在图5实施例中,电容测量单元被配置成两个基本平行的薄板。测量设备之间的电容传输到电容检测器504。对图4作如下改变之后,图4a至4e所示的波形也施加到图5实施例上。在图4b、4c和4d中,由于这是由电容测量单元502感测辐射那种类型,因此,把磁辐射改变成电辐射。另外,在图4e中,电流I代表施加到位于电容检测器504中的比较器506上的电流。况且,如果在图5实施例中,施加到比较器506上的电流超过规定阈值,那么,由于设备被修改了,电容检测器504就向控制器部分107中的CPU 114发出信号,停止交互或警告系统操作人员。来自例如热连接电线302的金属附加上去将会以电容检测器504可检测到的方式改变着这个电容量。
电容测量单元502之间的距离最好很小。利用0.125英寸的距离和1平方英寸的电容测量单元502的横截面积,就可以为简化计算创造条件。假设智能卡108充满电容测量单元502之间的整个空间。如果电容测量单元502之间的空隙的整个厚度没有被智能卡充满,那么,电容值就必然相应地发生改变。
电子安全设备电容感测在本发明的可替换实施例中,正如也在图5中所描绘的那样,当电子安全设备108被插入智能卡端口112中时,绝缘传感器510位于电子安全设备108的附近。绝缘传感器510感测电子安全设备的介电常数,并且将其与对于例如智能卡来说是已知的值相比较。如果测量的介电常数值在预定范围之外,那么,检测器504就可以断定正在使用的卡片是伪造的(譬如,在背景技术中所描述的狭长薄板)。在这些情况下,与检测器(未示出)相联系的电路可以中止主设备101的操作,或向管理机构发送正在使用假卡的警告。
大多数智能卡都是由塑料制成的,塑料介电常数的范围从聚四氟乙烯的2.1到聚碳酸脂的2.98,根据下列方程得出从4.4到5.3皮法(pf)的电容范围电容=B×面积×距离B=材料的介电常数面积=每个平板的表面积距离=平板之间的距离大多数印刷电路板具有大约4的介电常数,得出7.18pf的电容。智能卡和印刷电路板的测量电容的这个差异可以用于检测印刷电路板是否正取代智能卡被插入智能卡端口112中。
在上面已经描述了感测源自热连接电子安全设备的辐射的两种技术(在图3中感测的电磁辐射和在图5中进行的电容测量),以及感测由图5中描绘的绝缘传感器510感测的介电常数的一种技术。这些技术的每一种都致力于抵抗电子安全设备108的修改。尽管分开描述了这些技术的每一种,但是,可以设想,可以以任何组合使用这些技术。如果这些技术的任何一种或几种指示电子安全设备被修改了,那么,应该假设电子安全设备已经被修改了。
控制器逻辑存在三种控制器部分108在正常操作过程中可能遇到的、与智能卡108有关的不同选择。这些选择被描绘在图6的方法600中。在判决方块602中遇到的第一访问控制选择是智能卡是否位于智能卡端口112中。如果对判决方块602的回答是否定的,那么,该方法继续到方块604,作为缺乏智能卡108的结果,在方块604,控制器部分107指示检测器308正常工作,但由于未授权,不能访问主设备(例如,卫星接收器101)。如果对判决方块602的回答是肯定的,那么,该方法继续到方块606,在方块606,控制器部分107确定尽管智能卡在智能卡端口112中,但是智能卡是否适合于把授权提供给用户。如果对判决方块606的回答是否定的,那么,控制器部分107在方块608中指示检测器正常工作,但是由于非法智能卡引起的未授权,不可以访问卫星接收器101(或者可选地,可以通知主设备提供者有人正在使用不当智能卡)。如果对判决方块606的回答是肯定的,那么,控制器继续到代表第三访问控制选择的判决方块610,在代表第三访问控制选择的判决方块610中,检测器(例如,图3中的308或图5中的504)指示卫星接收器中的电子安全设备是否通过如上面针对在图3和5中描绘的三种修改技术所述的智能卡端口112被修改了。如果对判决方块610的回答是肯定的,那么,控制器部分107在方块612中,确定由于电子安全设备被修改了,检测器系统出故障,并且不允许用户访问系统(或者可选地,通知主设备提供者有人正在使用修改过的电子安全设备)。
在主设备101中检测修改过的电子安全设备可以根据针对图5所述的电容测量,针对图3所述的电感测量、针对图5所述的电容感测,或任何其它众所周知的适当检测器测量将都在本发明的范围之内。在方块604、608和612中,不允许用户访问主设备,方法600继续循环到判决方块602。如果在判决方块610的回答是否定的,那么,控制器部分107确定存在有效智能卡和检测器不指示智能卡被修改。在这些情况下,控制器部分107指示检测器通过并允许主设备进行操作(例如,卫星接收器101接收所希望的频道)。在方块614中的预定延迟之后,控制器部分107在方块614中,可以循环到判决方块602,继续保证电子安全设备不被修改。
尽管在这里详细描述了体现本发明精神的各种实施例,但是本领域的普通技术人员可以容易地设计出体现本发明精神的许多其它改进实施例。
权利要求
1.一种感测电子安全设备被未授权使用的设备,所述设备包括主设备,包括含有在其中形成的端口的外壳,端口被配置成接受电子安全设备;和端口检测器,位于所述端口附近,用于感测从被未授权修改的电子安全设备中发出的辐射。
2.根据权利要求1所述的设备,还包括限制设备,用于在端口检测器感测到电子安全设备被未授权修改的时候,限制主设备的操作。
3.根据权利要求1所述的设备,其中,端口检测器感测由未授权使用的电子安全设备产生的电磁能量。
4.根据权利要求1所述的设备,其中,端口检测器包括位于端口附近的环形天线。
5.根据权利要求4所述的设备,其中,当电子安全设备被插入端口中时,环形天线环绕着端口延伸。
6.根据权利要求1所述的设备,其中,端口检测器感测具有规定频率的、出现在端口上的电磁辐射。
7.根据权利要求6所述的设备,其中,标记信号由端口检测器作为磁辐射来检测,检测器是天线。
8.根据权利要求1所述的设备,其中,标记信号由端口检测器作为电辐射来检测,检测器测量电容。
9.根据权利要求1所述的设备,其中,标记信号由端口检测器作为电容值来检测。
10.根据权利要求1所述的设备,其中,电子安全设备是智能卡。
11.一种确定电子安全设备是否被未授权使用的方法,所述方法包括下列步骤监视在端口附近接收的辐射,以检测电子安全设备是否被未授权使用。
12.根据权利要求11所述的方法,还包括下列步骤如果在监视步骤中感测到与标记信号相似的所述辐射,那么,限制信息在电子安全设备与主设备之间的传输。
13.根据权利要求11所述的方法,其中,电子安全设备是智能卡。
14.一种感测电子安全设备被未授权使用的设备,所述设备包括主设备,包括含有在其中形成的端口的外壳,端口被配置成接受电子安全设备;和端口检测器,位于所述端口附近,用于测量插入端口中的电子安全设备的介电常数。
全文摘要
一种用于感测电子安全设备的未授权使用的设备,该设备含有主设备和端口检测器。主设备包括含有在其中形成的端口的外壳,该端口设计成接收电子安全设备。在一个实施例中,端口检测器位于所述端口附近,用于感测从未授权使用的电子安全设备发出的辐射。在另一个可替换实施例中,测量电子安全设备的介电常数,并且将其与预定值相比较。
文档编号H04N7/16GK1361987SQ00810337
公开日2002年7月31日 申请日期2000年6月26日 优先权日1999年7月15日
发明者迈克尔·A·普格尔, 戴维·J·达菲尔德, 罗伯特·J·拉姆斯佩彻 申请人:汤姆森特许公司