相連的設備架構、移動平臺和用于安全的用戶認證的系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及相連的設備架構、移動平臺以及用于安全的用戶認證的系統(tǒng)。本發(fā)明的相連的設備架構包括：用戶輸入設備以及電耦接到主安全元件的主機處理器。主安全元件包括處理器，存儲器和邏輯單元，主安全元件至少控制手持終端的用戶輸入，以確?；赑IN輸入的用戶認證的安全。PIN碼被直接輸入到主安全元件中，主機處理器不可能截獲PIN碼，或惡意軟件程序不可能將PIN碼注入到主安全元件中。
【專利說明】相連的設備架構、移動平臺和用于安全的用戶認證的系統(tǒng)
【技術領域】
[0001]本發(fā)明涉及一種相連的設備架構、移動平臺以及用于安全的用戶認證的系統(tǒng)。
[0002]2012年10月I日提交的美國專利申請(申請?zhí)?US13/632，907，發(fā)明名稱:驗證具有安全輸入和非安全輸出的交易)通過引用全部被結合在本文中。
[0003]2012年10月I日提交的美國專利申請(申請?zhí)?US13/632，932，發(fā)明名稱:用安全輸入而不需要輸入PIN碼來驗證交易)通過引用全部被結合在本文中。
【背景技術】
[0004]移動平臺或相連的設備，如智能手機、個人電腦、平板電腦和智能電表，集成有安全元件以對平臺進行認證，從而保護用戶的認證信息或確保交易的安全。安全元件通常是高防篡改設備，提供了與主機處理器隔離的安全的執(zhí)行環(huán)境。安全元件可以被集成到各種形式的元件中，例如，SIM卡，SD卡，或直接連接在印刷電路板上的小型封裝(嵌入式安全元件)。
[0005]激活設備的功能或驗證涉及設備的操作通常需要用戶通過安全元件進行認證。通常，用戶直接在觸摸屏上或設備的鍵盤上輸入PIN。輸入的PIN通過主機處理器被傳送到安全元件，主機處理器位于開放的、非安全的環(huán)境中。由于用戶設備通常連接到一個或多個網(wǎng)絡，所以用戶設備會被能夠截獲用戶的PIN的惡意軟件感染。
[0006]安全元件被集成到例如由主機處理器控制的移動手持終端或PC。安全元件通常是從設備(slave device),不能區(qū)分PIN是由用戶輸入的或是由惡意軟件輸入的。在這兩種情況下，安全元件從主機處理器接收相同的命令。在典型的移動手持終端架構中，在物理鍵盤上或觸摸屏的虛擬鍵盤上輸入PIN。用戶輸入始終是在主機處理器的控制之下，主機處理器造成了安全漏洞。通常對漏洞的解決方案是軟件解決方案，可能會或可能不會通過硬件特征來試圖將PIN輸入操作，包括鍵盤和顯示驅動器的PIN輸入操作與在主機處理器上運行的其他操作隔離。處理隔離或虛擬化的各種技術建立了安全的環(huán)境，該安全的環(huán)境通常不是防篡改的，并且通常會增加所需的軟件架構的復雜度。這種技術的一種實施方式是在2011年2月由全球平臺在TEE白皮書中提出的TEE (可信執(zhí)行環(huán)境)，其全部內(nèi)容通過引用被結合在本文中，其中包括如下內(nèi)容:
[0007]TEE是與豐富的操作系統(tǒng)(Rich OS)并行運行的獨立的執(zhí)行環(huán)境，并為多種環(huán)境提供安全的服務。TEE提供的執(zhí)行空間具有比豐富的操作系統(tǒng)更高級別的安全性，但沒有安全元件(SE)安全，TEE所提供的安全性足以滿足大多數(shù)應用。這樣，TEE實現(xiàn)了比豐富的操作系統(tǒng)具有更高的安全性，并且比安全元件具有更低的成本。
[0008]圖1中示出了現(xiàn)有技術的相連的設備架構100 (例如移動手持終端架構)。顯示器110和鍵盤120 (鍵盤120可以是物理鍵盤或虛擬鍵盤)連接到主機處理器130，以及安全元件(SE) 150和用戶身份識別模塊(SM) 140。用戶身份識別模塊140是安全元件，通常包含國際移動用戶標識(MSI)以及用于在移動網(wǎng)絡上對用戶進行身份認證的相關密鑰。安全元件150和用戶身份識別模塊140安全地存儲應用程序，諸如移動錢包應用程序。通過兩個密碼來保護安全元件150和用戶身份識別模塊140: —般用途的個人識別碼(PIN)和用于PIN解鎖的個人解鎖碼(PUK)。當安全元件150或用戶身份識別模塊140請求PIN時，主機處理器130可以通過顯示安全指示來通知用戶它是運行在安全模式下，安全指示例如是由用戶預先選擇的，諸如是母親的姓名或所選擇的照片縮略圖。雖然安全指示給用戶提供了有價值的指示，但它并不能保證安全元件150接收到的PIN是由用戶輸入的。

【發(fā)明內(nèi)容】

[0009]本發(fā)明提出了一種相連的設備架構，包括:電耦接到主安全元件的主機；以及用戶輸入設備，該用戶輸入設備直接電耦接到主安全元件，以致由主安全元件控制用于安全用戶認證的用戶輸入。
【專利附圖】

【附圖說明】
[0010]圖1示出了現(xiàn)有技術的相連的設備架構。
[0011]圖2A示出了根據(jù)本發(fā)明的實施例。
[0012]圖2B示出了根據(jù)本發(fā)明的實施例。
[0013]圖3示出了根據(jù)本發(fā)明的實施例。
[0014]圖4示出了現(xiàn)有技術的字母數(shù)字鍵盤。
[0015]圖5A示出了根據(jù)本發(fā)明的實施例。
[0016]圖5B示出了根據(jù)本發(fā)明的實施例。
[0017]圖6示出了根據(jù)本發(fā)明的實施例。
[0018]圖7示出了根據(jù)本發(fā)明的實施例。
【具體實施方式】
[0019]根據(jù)本發(fā)明，修改了圖1所示的相連的設備架構100。如圖2A所示，在根據(jù)本發(fā)明的一個實施例中，當諸如用戶PIN的安全輸入被請求時，相連的設備架構200把對鍵盤220的控制交給主安全元件(MSE) 250。當主安全元件250從用戶請求PIN輸入時，鍵盤220由主安全元件250完全控制。對于所有非安全輸入操作，鍵盤220保持在主機處理器230的控制之下。由主安全元件250接收的PIN不會被主機處理器230截獲。根據(jù)本發(fā)明，因為只有用戶知道PIN，并且只有用戶能夠輸入PIN或其他安全輸入如密碼，所以用戶通過認證。借助于安全指示器215，用戶通常對相連的設備架構200的操作狀態(tài)是很警覺的，其中安全指示器215是由主安全元件250直接控制的，以防止在非安全模式下輸入PIN。安全指示器215例如可以是發(fā)光二極管，或偏振的掩模層，或集成到顯示器210中的濾色器，激活安全指示器215以通知用戶相連的設備架構200正在安全模式下操作，鍵盤220是在主安全元件250的控制之下，而不是在主機處理器230的控制之下。
[0020]如圖2A所示，在根據(jù)本發(fā)明的一個實施例中，相連的設備架構200還可以確保對例如SM卡240的其他安全元件輸入PIN的安全。SM卡240上運行的應用程序只接受通過單線協(xié)議(SWP)從主安全元件250輸入的PIN。主安全元件250成為主機處理器230的可信擴展或安全擴展，對于與PIN輸入相關的所有操作，主安全元件250為相連的設備架構200提供了防篡改的安全保障。[0021]如圖2B所示，在根據(jù)本發(fā)明的一個實施例中，當諸如用戶PIN的安全輸入被請求時，相連的設備架構205把對觸摸屏218的控制交給主安全元件(MSE) 250。當主安全元件250從用戶請求PIN輸入時，觸摸屏218由主安全元件250完全控制。對于所有非安全輸入操作，觸摸屏218保持在主機處理器230的控制之下。由主安全元件250接收的PIN不會被主機處理器230截獲。根據(jù)本發(fā)明，因為只有用戶知道PIN，并且只有用戶能夠輸入PIN或其他安全輸入如密碼，所以用戶通過認證。借助于安全指示器215，用戶通常對相連的設備架構200的操作狀態(tài)是很警覺的，其中安全指示器215是由主安全元件250直接控制的，以防止例如在非安全模式下輸入PIN。安全指示器215例如可以是發(fā)光二極管，或偏振的掩模層，或集成到顯示器210中的濾色器，激活安全指示器215以通知用戶相連的設備架構200正在安全模式下操作，觸摸屏218是在主安全元件250的控制之下，而不是在主機處理器230的控制之下。
[0022]參照圖2B所示，在根據(jù)本發(fā)明的一個實施例，連接的設備體系結構205還可以確保對例如SM卡240的其他安全元件輸入PIN的安全。在SM卡240上運行的應用程序只通過單線協(xié)議(SWP)從主安全元件250接收PIN輸入。主安全元件250成為主機處理器230的可信擴展或安全擴展，對于與PIN輸入相關的所有操作，主安全元件250為相連的設備架構200提供了防篡改的安全保障。
[0023]此外，圖2B中的相連的設備架構205提供通信能力，例如主安全元件250和外部的安全元件255之間的近場通信能力。通常，外部的安全元件255可以是具有NFC能力的非接觸式智能卡，或者是具有NFC能力的其他移動設備的一部分。主安全元件250通過NFC將PIN安全輸入到外部的安全元件255中，主安全元件250成為外部的安全元件進行傳輸?shù)陌踩珮屑~。
[0024]根據(jù)本發(fā)明，主安全元件250允許嵌入式安全應用程序至少控制用戶輸入和連接其他安全元件(例如，SM卡240)的通信接口。主安全元件250提供通用的安全環(huán)境，支持移動設備上的非實體化的安全服務，如銀行卡，移動錢包，移動銷售點，虛擬SM，認證令牌，數(shù)字版權管理，自動售檢票等。因為被惡意軟件截獲的PIN碼不能進入主安全元件250，因此主機處理器230并不需要集成安全特征，諸如進程隔離，虛擬化，安全指示等來保護PIN輸入過程。主安全元件250保證由用戶輸入的PIN只能來自鍵盤220或觸摸屏218。
[0025]圖3示出了根據(jù)本發(fā)明的實施例的安全的PIN輸入過程。在步驟310中，主安全元件250通過主機處理器230請求用戶提供PIN。在步驟320中，主機處理器230激活顯示器210，以向用戶顯示PIN輸入字段。在步驟330中，用戶確認安全指示器215被激活，并使用觸摸屏218 (或鍵盤220)輸入PIN*，觸摸屏218 (或鍵盤220)直接連接到主安全元件250。在步驟340中，主安全元件250將安全地存儲在主安全元件250中的PIN與用戶使用鍵盤220或觸摸屏218輸入的PIN*進行比較。如果PIN等于PIN*，則用戶通過認證。請注意，只有用戶和主安全元件250可以訪問正確的PIN。如果用戶輸入的PIN*與存儲在主安全元件250中的PIN不同，則用戶不會通過認證，并且交易被終止。請注意，如果鍵盤220或觸摸屏218支持字母的話，數(shù)字的PlN可以很容易被密碼代替。圖4中所示的鍵盤420是支持數(shù)字和字母的鍵盤的一個例子。
[0026]如圖5A所示，在根據(jù)本發(fā)明的一個實施例中，主安全元件500包括電耦接到存儲器520、主機處理器接口 570和SM接口 560的處理器(CPU) 510。鍵盤接口 530和連接到主機處理器的鍵盤接口 550電耦接到多路復用器(MUX) 540，多路復用器540電耦接到CPU510。多路復用器540和(通過安全指示器接口 555連接的)安全指示器215由應用程序(APP) 525控制，應用程序525在主安全元件250中運行并被存儲在存儲器520中(參見圖2A-2B和圖5A-5B)。通過控制多路復用器540，存儲在存儲器520中并在CPU510上運行的應用程序525，根據(jù)需要適當?shù)貙碜枣I盤接口 530的用戶輸入重定向到連接到主機處理器的鍵盤接口 550或者重定向到CPU510。
[0027]主安全元件如主安全元件250可以集成完整的驅動程序用于多點觸摸和手勢輸入，或者可以集成減少的驅動器，對于PIN或密碼輸入操作只支持單點觸摸輸入。
[0028]除了 PIN或密碼輸入，根據(jù)圖5B所示的本發(fā)明的相連的設備架構205并不是配備鍵盤220，而是配備觸摸屏218 (例如，在智能手機中使用的觸摸屏)，例如可以根據(jù)手指的手勢或手寫簽名使用生物識別方法來對用戶進行認證。需要注意的是，觸摸屏218可以充當虛擬鍵盤，允許PIN和密碼輸入。
[0029]在圖5B中所示的根據(jù)本發(fā)明的一個實施例中，主安全元件505包括處理器(CPU) 510，處理器(CPU) 510電耦接到存儲器520，主機處理器接口 570和SM接口 560。觸摸屏接口 531和連接到主機處理器的觸摸屏接口 551電耦接到多路復用器(MUX) 540，多路復用器540電耦接到CPU510。多路復用器540和(通過安全指示器接口 555連接的)安全指示器215由應用程序525控制，應用程序525在主安全元件250中運行并被存儲在存儲器520中(參見圖2A-2B和圖5A-5B)。通過控制多路復用器540，存儲在存儲器520中并在CPU510上運行的應用程序525，根據(jù)需要適當?shù)貙碜杂|摸屏接口 531的用戶輸入重定向到連接到主機處理器的觸摸屏接口 551或者重定向到CPU510。此外，NFC接口 590，通常是射頻前端，直接連接到主安全元件505的CPU510。主安全元件505起到安全的NFC控制器的作用。
[0030]指紋傳感器或其他適合的生物識別傳感器可選地可以被嵌入到連接的設備架構200和205中，以對用戶進行認證。在主安全元件600內(nèi)直接對傳感器提供的生物識別模板進行驗證(參見圖6)。
[0031]在圖6中所示的根據(jù)本發(fā)明的一個實施例中，主安全元件600包括電連接到多路復用器640的觸摸屏接口 630。此外，連接到主機處理器的觸摸屏接口 650電連接到多路復用器640，多路復用器640電連接到CPU610。CPU610還電連接到存儲器620，主機處理器接口 670，NFC接口 615，SM接口 660，安全指示器接口 655，以及可選的指紋傳感器接口 605。通過控制多路復用器640，存儲在存儲器620中并在CPU610上運行的應用程序625，根據(jù)需要適當?shù)貙碜杂|摸屏接口 630的用戶輸入重定向到連接到主機處理器的觸摸屏接口 650或者重定向到CPU610。應用程序625還通過安全指示器接口 655控制安全指示器215。
[0032]通常情況下，為了驗證的目的，需要更強大的CPU來處理手寫簽名610，手指手勢或指紋模板。這些輸入和PIN輸入都可以由主安全元件600或主安全元件500實時處理，或由主安全元件600或主安全元件500加密并發(fā)送到后端服務器710處理(參照圖7)。例如，這些輸入和PIN輸入可以被實時發(fā)送到后端服務器710，或者如果到后端服務器710的數(shù)據(jù)連接暫時不可用的話，這些輸入和PIN輸入可以被存儲在存儲器620或存儲器520中，分別用于之后的后端服務器710進行驗證。
[0033]圖7示出了在根據(jù)本發(fā)明的一個實施例中的具有后端服務器710的連接結構700。箭頭I，2和3表示安全連接。應用程序525在MSE750上運行，主安全元件750安全地連接到觸摸屏218，后端服務器710，以及通過NFC連接安全地連接到如智能卡或其他移動平臺的安全元件255。所有安全特征都由主安全元件750來處理。請注意，主安全元件750和后端服務器710之間的通信是被加密的，以提供安全的端到端連接。
[0034]盡管本發(fā)明是結合特定實施例進行描述的，但是顯然對于本領域技術人員來說，按照前面的描述可以得到許多替代方案，修改方案和變化方案。因此，本發(fā)明旨在包含所有其他這樣的替代方案，修改方案和變化方案，這些方案都落入所附權利要求書的精神和范圍之內(nèi)。
【權利要求】
1.一種相連的設備架構，其特征在于，包括: 電耦接到主安全元件的主機處理器；以及 用戶輸入設備，該用戶輸入設備直接電耦接到主安全元件，以致由主安全元件控制用于安全用戶認證的用戶輸入。
2.根據(jù)權利要求1所述的相連的設備架構，其特征在于，還包括SIM卡， SM卡電耦接到主機處理器和主安全元件。
3.根據(jù)權利要求1所述的相連的設備架構，其特征在于，用戶輸入設備是觸摸屏。
4.根據(jù)權利要求1所述的相連的設備架構，其特征在于，還包括直接電連接到主安全元件的安全指示器。
5.根據(jù)權利要求1所述的相連的設備架構，其特征在于，還包括連接到主機處理器的顯示器。
6.根據(jù)權利要求1所述的相連的設備架構，其特征在于，用戶輸入是從包括PIN和密碼的組合中選擇出來的。
7.根據(jù)權利要求1所述的相連的設備架構，其特征在于，還包括直接電耦接到主安全元件的第二用戶輸入設備。
8.根據(jù)權利要求7所述的相連的設備架構，其特征在于，第二用戶輸入設備是指紋傳感器。
9.根據(jù)權利要求1所述的 相連的設備架構，其特征在于，主安全元件包括: 電耦接到存儲器、多路復用器和主機處理器接口的CPU ； 電耦接到多路復用器的鍵盤接口 ；以及 電耦接到多路復用器的連接到主機處理器的鍵盤接口，其中主機處理器接口和連接到主機處理器的鍵盤接口都電耦接到主機處理器。
10.根據(jù)權利要求1所述的相連的設備架構，其特征在于，主安全元件包括: 電耦接到存儲器、多路復用器和主機處理器接口的CPU ； 電耦接到多路復用器的觸摸屏接口；以及 電耦接到多路復用器的連接到主機處理器的觸摸屏接口，其中主機處理器接口和連接到主機處理器的觸摸屏接口都電耦接到主機。
11.根據(jù)權利要求10所述的相連的設備架構，其特征在于，主安全元件還包括電耦接到CPU的指紋傳感器接口。
12.根據(jù)權利要求11所述的相連的設備架構，其特征在于，指紋傳感器接口電耦接到指紋傳感器。
13.根據(jù)權利要求10所述的相連的設備架構，其特征在于，主安全元件還包括電耦接到CPU的SM接口。
14.根據(jù)權利要求13所述的相連的設備架構，其特征在于，SIM接口電耦接到SIM卡。
15.根據(jù)權利要求10所述的相連的設備架構，其特征在于，主安全元件還包括NFC接□。
16.根據(jù)權利要求15所述的相連的設備架構，其特征在于，NFC接口允許直接NFC連接到非接觸式智能卡。
17.根據(jù)權利要求1所述的相連的設備架構，其特征在于，主安全元件安全地耦接到后端服務器。
18.—種移動平臺，其特征在于，包括根據(jù)權利要求1所述的相連的設備架構。
19.一種移動平臺，其特征在于，包括根據(jù)權利要求10所述的相連的設備架構。
20.一種用于安全的用戶認證的系統(tǒng)，其特征在于，包括根據(jù)權利要求10所述的相連的設備架構，以及安全地 耦接到主安全元件的后端服務器。
【文檔編號】G06F21/83GK103714276SQ201310454739
【公開日】2014年4月9日 申請日期:2013年9月29日 優(yōu)先權日:2012年10月1日
【發(fā)明者】文森特·塞德里克·科爾諾 申請人:Nxp股份有限公司