管理安全元件的方法与流程

本发明涉及管理嵌入在设备中的安全元件的方法。本发明特别地涉及安全地管理安全元件的内容的方法。

背景技术：

安全元件是小型设备，其包括存储器、微处理器和用于计算处理的操作系统。这种安全元件可以包括多个不同类型的存储器，例如非易失性存储器和易失性存储器。它们被称为“安全”，因为它们能够控制对它们包含的数据的访问并授权或不授权其他机器使用该数据。安全元件还可以基于密码部件提供计算服务。通常，安全元件具有有限的计算资源和有限的存储器资源，并且它们旨在连接到为其提供电力的主机。安全元件可以是可移除的或固定到主机的。例如，由全球平台卡规范（globalplatformcardspecification）v2.3或javacardv3.0.5定义的智能卡和嵌入式安全元件是安全元件的种类。

安全元件可以具有旨在检测攻击的安全机制。这种安全机制通常使反映检测到的异常事件的数量的计数器递减。在设备生产阶段执行的测试期间，若干事件（如托管终端或其他硬件部件的通电/断电）可能产生意外的电压值，这被认为是可疑事件。在该情况下，安全机制可以递减其计数器，并且当计数器达到预设阈值时，可以永久地锁定安全元件。

存在对允许在安全元件中的安全计数器在设备生产阶段达到其锁定阈值之前安全地重置在安全元件中的安全计数器的需要。

技术实现要素：

本发明的目的是解决上述技术问题。

本发明的目的是一种用于管理嵌入在包括nfc控制器的设备中的安全元件的方法。该安全元件包括安全指示符。该方法包括以下步骤：

-在接收到nfc控制器发送的触发命令时，安全元件切换进（switchin）测试上下文中，

-在接收到由应用发送的恢复命令时，仅当安全元件处于测试上下文中时，安全元件才将安全指示符设置为预定义值，并且

-在接收到nfc控制器发送的结束命令时，安全元件切换进实况上下文（livecontext）中。安全元件对在测试上下文中的切换保持跟踪并拒绝任何进一步的触发命令。

有利地，仅当应用成功地认证到安全元件时，安全元件才可以将安全指示符设置为预定义值。

有利地，当安全指示符已被设置为预定义值时，安全元件可以向nfc控制器发送特定消息，并且nfc控制器可以响应于特定消息的接收而发送结束命令。

有利地，在接收到由管理设备发送的切换命令时，nfc控制器可以切换进测试模式中并将触发命令发送到安全元件。在发送结束命令之后，nfc控制器可以自动切换进实况模式中。

有利地，应用可以由设备或（即与设备不同的）外部计算机托管。

本发明的另一个目的是一种nfc控制器，其被配置为向安全元件发送触发命令，用于请求所述安全元件切换进测试上下文中。nfc控制器被配置为向安全元件发送结束命令，用于请求所述安全元件永久地切换进实况上下文中。

有利地，nfc控制器可以被配置为响应于从安全元件接收的特定消息的接收而发送结束命令。

有利地，nfc控制器可以被配置为在接收到由管理设备发送的切换命令时切换进测试模式中并且将触发命令发送到安全元件。nfc控制器可以被配置为在发送结束命令之后自动地切换进实况模式中。

有利地，nfc控制器可以被配置为对在实况模式中的切换保持跟踪并且拒绝任何进一步的触发命令。

本发明的另一个目的是一种安全元件，其包括安全指示符并被配置为在接收到从nfc控制器接收的触发命令时切换进测试上下文中安全元件被配置为在接收到从应用接收的恢复命令时，仅当安全元件处于测试上下文中时，才将安全指示符设置为预定义值。安全元件被配置为在接收到从nfc控制器接收的结束命令时切换进实况上下文中。安全元件被配置为保持对在测试上下文中的切换的跟踪并且拒绝任何进一步的触发命令。

有利地，安全元件可以被配置为仅当应用成功地认证到安全元件时才将安全指示符设置为预定义值。

本发明的另一个目的是一种设备，其包括根据本发明的nfc控制器和根据本发明的安全元件。该设备包括应用，该应用被配置为向安全元件进行认证并向安全元件发送恢复命令以请求安全元件将安全指示符设置为预定义值。

有利地，该设备可以是移动电话、连接的表、嵌入在个人计算机或平板计算机中的设备。

附图说明

参考相应的附图，本发明的其他特性和优势将从对本发明的多个优选实施例的以下描述的阅读更清楚的浮现，附图中：

图1示意性地描绘了根据本发明的包括nfc控制器和安全元件的设备的架构的示例；和

图2示意性地描绘了根据本发明的允许重置嵌入式安全元件中存储的安全指示符的消息交换的示例。

具体实施方式

nfc（近场通信）技术基于经由磁场的数据的交换。例如，iso14443和iso18092标准提供可以在nfc领域中使用的调制技术和通信协议。

nfc控制器是还称为非接触前端芯片或非接触式前端（clf）的硬件模块。通常，非接触前端是处理非接触通信的模拟部分、处理非接触传输链路的通信协议层并与uicc或安全元件交换数据的电路。本发明可以应用于能够与安全元件通信的任何类型的nfc控制器。

本发明应用于嵌入nfc控制器和安全元件的任何类型的设备。本发明应用于任何种类的nfc使能设备，例如，它应用于终端设备或便携式设备，如移动电话、平板计算机、连接的表、个人计算机、游戏机或用于支付的电子转账终端。它应用于嵌入计算机中的设备或盒子。它也应用于比如汽车之类的车辆以及配备有nfc控制器和安全元件的任何计算机机器。

本发明依赖于nfc控制器适于控制安全元件的当前上下文的事实。在第一上下文（称为操作上下文、实况上下文或现场上下文（fieldcontext））中，不能重置存储在安全元件中的安全指示符。在第二上下文（称为测试上下文）中，可以重置存储在安全元件中的安全指示符。

图1示出了根据本发明的包括nfc控制器和安全元件的设备的架构的示例。

设备20可以是移动电话。nfc控制器30连接到天线（未示出）和安全元件10。

安全元件10包括安全指示符40和注册表（registry）45。

在本说明书中，词语注册表意味着用于保持项目记录的系统。例如，注册表可以实现为数据库、一个或若干个文件、一个或若干个寄存器，或者实现为一个或若干个软件容器。

安全指示符40可以是错误计数器，反映检测到的恶意事件的数量的安全计数器，或例如认证标志。它也可以实现为多个计数器、标志、文件或寄存器。安全指示符40具有旨在进化以反映安全元件的寿命期间的某些种类事件的值。

设备20包括nfc控制器30、安全元件10和被设计用于与嵌入式安全元件10通信的软件应用50。

在优选实施例中，安全元件10是嵌入式安全元件（ese），包括处理器、非易失性存储器和操作系统。

替代地，安全元件10可以是安全数字（sd）卡、minisd卡、microsd卡、嵌入式通用集成电路卡（euicc）、智能卡、集成的安全元件（ise）或甚至软件安全元件。

nfc控制器30和安全元件10通过直接单线链路链接，其允许在nfc控制器30和安全元件10之间以接触模式进行通信。在优选实施例中，nfc控制器30和安全元件10两者都使用如ts102.613定义的单线协议（swp）。

安全元件10包括软件应用49，其掌管更新安全指示符40。软件应用49可以例如以javacard®语言实现为小应用。替代地，软件应用49可以是安全元件10的操作系统的部分。

安全元件10被设计成在至少两个不同的上下文中工作：实况上下文和测试上下文。当在实况上下文中工作时，安全元件拒绝重置安全指示符40的所有尝试。当在测试上下文中工作时，如果满足附加的安全条件，则安全元件可以接受重置安全指示符40。安全元件10被设计为单次切换进测试上下文中并且拒绝切换进测试上下文中的所有进一步尝试。

nfc控制器30适于向安全元件10发送触发命令60，以便请求安全元件10切换进测试上下文中。例如，触发命令60可以是如由ts_102622v120100定义的命令，其具有专用于切换到测试上下文的请求的特定参数值。

nfc控制器30还适于向安全元件10发送结束命令65，以便请求安全元件10永久地切换进实况上下文中。例如，结束命令65可以是命令，其具有专用于切换到实况上下文的请求的特定参数值。

nfc控制器30可以适于响应于来自安全元件10的特定消息64的接收而将结束命令65发送到安全元件10。例如，特定消息64可以是由ts_102622v120100定义的命令，具有专用于通知clf30需要切换到实况上下文的特定参数值。

nfc控制器30可以被设计为以至少两种不同的模式工作：实况和测试模式。实况模式也称为操作模式或现场模式。当在实况模式中工作时，nfc控制器30不能发送请求安全元件10的上下文的改变的任何命令。当在测试模式中工作时，nfc控制器30监视安全元件10的当前上下文。

nfc控制器30可以适于在接收到从管理设备80接收的切换命令66时自动地将触发命令60发送到安全元件10并且切换进测试模式中两者。例如，切换命令66可以通过usb连接或tcp/ip连接（使用专用套接字）传送，其具有专用于通知clf30其必须切换到测试模式的特定参数值。

管理设备80可以是生产计算机或包括至少一个计算机的测试平台。另外，nfc控制器30可以适于在将结束命令65发送到安全元件10之后自动切换回实况模式中。

可选地，nfc控制器30可以被配置为切换进测试模式中仅一次。

安全元件10被配置为在接收到由nfc控制器30发送的触发命令60时切换进测试上下文中。应当注意，仅当通过专用于与clf的通信的物理接口接收到触发命令60时，安全元件10才接受触发命令60。

响应于由应用50发送的恢复命令63，安全元件10被配置为仅在安全元件10当前处于测试上下文中时才将安全指示符40设置为预定义值。应当注意，仅当通过专用于与应用50的通信的物理接口接收到恢复命令63时，安全元件10才接受恢复命令63。

恢复命令63可以是如由iso7816-3/4定义的apdu形式发送的专用命令。

软件应用49被设计为检查注册表45的内容，以便验证当前上下文是测试上下文。要注意的是，软件应用49具有读取注册表45的访问权限。实体（即被授权运行触发命令60的安全元件10的操作系统和被授权重置安全指示符40的实体（即应用49）通过注册表45共享反映当前上下文的一条信息。

在接收到nfc控制器30发送的结束命令65时，安全元件10被配置为切换进实况上下文中。

安全元件10被配置为保持对在测试上下文中的切换的跟踪并且拒绝任何进一步的触发命令。换句话说，安全元件10可以仅切换进测试上下文中一次。安全元件10可以适于在注册表45中存储上下文指示符。

优选地，安全元件10被配置为仅在应用50成功地认证到安全元件10时才将安全指示符40设置为预定义值。可以使用众所周知的机制作为静态认证或相互认证来执行认证。

预定义值可以是安全指示符40的默认值。

可选地，安全元件10可以适于一旦安全指示符40已经恢复到预定义值就将特定消息64发送到nfc控制器。

可选地，上下文指示符（反映当前上下文）和切换指示符（反映发生的到测试上下文的切换）可以存储在两个不同的注册表中。

有利地，当被供电时，安全元件10被配置为在实况上下文中开始而不管其最后的当前上下文。因此，在安全元件10的启动阶段期间可以覆写当前上下文的指示符。

应用50可以被设计为在android®环境、ios®环境中运行或利用在设备20上运行的任何操作系统。

可选地，应用50可以是独立软件应用或将命令路由到nfc控制器30的代理应用。

在另一实施例中，应用50可位于另一计算机中（即在设备20外面）。例如，应用50可以由nfc使能的计算机或能够通过clf30向安全元件10发送非接触命令的nfc读取器托管。

软件应用49可以在其自己的代码（硬编码）中包括预定义值，或者可以从安全元件10的非易失性存储器的另一区域检索预定义值。

图2示出了根据本发明的允许重置存储在嵌入的安全元件中的安全指示符的消息序列的示例。

假设nfc控制器30、安全元件10、应用50、设备20和管理设备80类似于图1处描述的那些。

在第一实施例中，假设安全元件10处于实况上下文中并且从未切换到测试上下文。nfc控制器30向安全元件10发送触发命令60。安全元件10执行触发命令60，并且因此切换到测试上下文并更新注册表45以记录新的当前上下文以及测试上下文已被激活的事实。

然后，安全元件10接收由应用50发送的恢复命令63。安全元件检查当前上下文是测试上下文（通过检查注册表45）并且将安全指示符40设置为预定义值，因为安全元件10目前处于测试上下文中。如果当前上下文曾是实况上下文，则安全元件10将拒绝安全指示符40的更新。安全元件10可以发送对恢复命令63的响应，使得应用50知道执行结果。可选地，该响应的接收可以触发从设备20卸载应用50。

然后，nfc控制器30向安全元件发送结束命令65，其永久切换进实况上下文中。

有利地，应用50和软件应用49可以更新命令计数器，该命令计数器每次在它们之间发送命令时递增并且避免了安全元件对敏感命令的重放。

在第二实施例中，除了在第一实施例中执行的动作之外，安全元件10在更新安全指示符40之后自动地将特定消息64发送到nfc控制器30。该特定消息64旨在通知clf30安全元件10在测试上下文中不再具有要执行的动作。clf30接收特定消息64触发nfc控制器30发送结束命令65。因此，nfc控制器30完全监视安全元件10的当前上下文。

在第三实施例中，除了在第一或第二实施例中执行的动作之外，应用50还向安全元件10发送认证命令62。例如，应用50可以发送认证（）命令。

在该实施例中，安全元件在更新安全指示符40之前检查应用50成功地认证，并且在缺少认证的情况下拒绝重置安全指示符40。

有利地，应用50可以向安全元件10发送选择命令（由全球平台卡规范v2.3定义）以便选择软件应用49。在该情况下，应用49可以处理认证命令62。

可选地，应用50可以向软件应用49发送读取命令以获得安全指示符40的当前值。

在第四实施例中，除了在任何先前呈现的实施例中执行的动作之外，管理设备80可以向nfc控制器30发送切换命令66，用于请求cfl切换进测试模式中。nfc控制器30切换进测试模式中并自动将触发命令60发送到安全元件10。

当clf30切换到实况模式时，禁用nfc控制器30处理切换命令66的能力。因此，在clf侧已经使用一次测试模式之后，不能使用切换命令66。

优选地，管理设备80可以通过接触通信接口将切换命令66发送到nfc控制器30。替代地，管理设备80可以通过clf30的非接触通信接口发送切换命令66。

管理设备80还可以向应用50发送另一个切换命令，以同步重置安全指示符的过程。

在该实施例中，nfc控制器30在将结束命令65发送到安全元件时自动切换回来（优选地恰在发送命令后）。

本发明不限于由clf监视的单个安全元件。nfc控制器30可以管理由设备20托管的若干安全元件的上下文。例如，nfc控制器可以具有连接到一样多（asmany）的安全元件的2或3个swp链路。

归功于本发明，安全元件的生命周期保持不变并且可以保持符合全球平台卡规范v2.3规范。

本发明允许防止对现场安全指示符的未授权访问。

归功于本发明，监视安全元件上下文的nfc控制器和有权请求更新安全指示符的应用50之间的协作提供了增强的安全框架。应注意，nfc控制器和应用50使用它们自己的逻辑信道来与安全元件通信。

在一个实施例中，应用50可以使用clf30作为直通（pass-through）以便与安全元件10通信。在该情况下，nfc控制器30在应用50和安全元件10之间在两个方向上路由消息。

必须理解，在本发明的范围内，提供上述实施例作为非限制性示例。特别地，该设备可包括根据本发明管理的任何数量的安全元件。

本发明不限于所描述的实施例或示例。特别地，可以组合所呈现的实施例和示例中描述的特征。

设备20的架构和图1处所示的安全元件的架构仅作为示例提供。这些架构可以是不同的。

本发明非常适合于管理非可移除的安全元件。