專利名稱:防止耦合至nfc電路的電信設(shè)備的通信信道發(fā)生錯(cuò)誤路由的制作方法
技術(shù)領(lǐng)域:
本發(fā)明總體上涉及利用蜂窩電話類型的移動(dòng)電信設(shè)備所執(zhí)行的事務(wù)。更具體地�,本發(fā)明應(yīng)用于進(jìn)一步配備以近場(chǎng)通信電路(NFC)的設(shè)備。
背景技術(shù):
蜂窩電話越來越普遍地配備有近場(chǎng)通信接口�����,該近場(chǎng)通信接口允許將電磁應(yīng)答器功能與移動(dòng)電話功能相結(jié)合�����。具體地,這向例如個(gè)人數(shù)字助理����、蜂窩電話、智能電話等的移動(dòng)電信設(shè)備增加了仿真非接觸或非接觸讀卡器類型的電磁應(yīng)答器的功能��。這在相當(dāng)程度上增強(qiáng)了移動(dòng)電話的功能�,其因此例如可以被用作電子錢包、作為接入或交通票據(jù)驗(yàn)證設(shè)備
坐寸ο為了仿真非接觸芯片卡的操作�����,移動(dòng)通信設(shè)備配備有也被稱作NFC路由器的非接觸前端集成電路(CLF)���。該路由器配備有與短距離天線相關(guān)聯(lián)的射頻(RF)收發(fā)器前端�����,以像電磁應(yīng)答器一樣進(jìn)行通信���。該路由器使用移動(dòng)設(shè)備的(多個(gè))處理器的能力來進(jìn)行數(shù)據(jù)處理和存儲(chǔ)操作。對(duì)于訪問控制�、電子錢包、支付以及其它應(yīng)用,使用使得能夠?qū)τ脩暨M(jìn)行認(rèn)證的安全部件�����。該安全部件要么被集成到移動(dòng)通信設(shè)備(專用集成電路��、被焊接至印刷電路板的電路)中要么被包含在由訂戶身份模塊(SIM)或者例如存儲(chǔ)卡的標(biāo)準(zhǔn)格式的任何其他可移除的卡所支持的微電路中�。NFC路由器還可以以USB密鑰類型的移動(dòng)設(shè)備、銀行出納終端��、粘貼設(shè)備(貼紙機(jī))等的形式出現(xiàn)在移動(dòng)設(shè)備之中����。在移動(dòng)電信設(shè)備中仿真非接觸卡會(huì)在事務(wù)安全方面產(chǎn)生弱點(diǎn)��。期望能夠檢測(cè)到這樣的弱點(diǎn)�����。進(jìn)一步期望針對(duì)安全事務(wù)避免這樣的弱點(diǎn)�。
發(fā)明內(nèi)容
—個(gè)目標(biāo)是克服與近場(chǎng)傳輸模塊相關(guān)聯(lián)的移動(dòng)電信設(shè)備的全部或部分缺陷。另一個(gè)目標(biāo)是改善抵御包含在與近場(chǎng)傳輸模塊相關(guān)聯(lián)的電信設(shè)備中的訂戶身份模塊類型的安全模塊上的黑客攻擊嘗試���,而改進(jìn)安全性��。為了實(shí)現(xiàn)這些和其它目標(biāo)中的全部或一部分���,實(shí)施方式提供了一種用于對(duì)包含在配備有近場(chǎng)通信路由器和微控制器的電信設(shè)備的安全模塊中的數(shù)據(jù)進(jìn)行保護(hù)的方法���,其中與安全模塊和分配給近場(chǎng)通信的路由器的門(gate)之間的路由相關(guān)的數(shù)據(jù)僅通過路由器可訪問的管道進(jìn)行傳送,或者利用并非由微控制器為路由器所生成的控制信號(hào)進(jìn)行傳送���。根據(jù)一個(gè)實(shí)施方式��,對(duì)于與路由相關(guān)的數(shù)據(jù)的所述傳輸利用為路由器和模塊之間的交換所保留的管道來執(zhí)行�。根據(jù)一個(gè)實(shí)施方式�,對(duì)于與路由相關(guān)的所述數(shù)據(jù)的傳輸利用為路由器和模塊之間的交換所保留的控制信號(hào)來執(zhí)行。根據(jù)一個(gè)實(shí)施方式����,所述數(shù)據(jù)包含分配給通信的管道的標(biāo)識(shí)符。根據(jù)一個(gè)實(shí)施方式��,所述數(shù)據(jù)包含路由表的簽名���。根據(jù)一個(gè)實(shí)施方式���,對(duì)于與路由相關(guān)的所述數(shù)據(jù)的傳輸由對(duì)于路由器和近場(chǎng)通信終端之間的通信的檢測(cè)所觸發(fā)��。一個(gè)實(shí)施方式還提供了一種配備有近場(chǎng)通信路由器的電信設(shè)備�����,其包括用于實(shí)施任意以上權(quán)利要求的方法的裝置�����。
將結(jié)合附圖在以下的對(duì)具體實(shí)施方式
的非限制性描述中對(duì)以上和其它目標(biāo)�����、特征及優(yōu)勢(shì)進(jìn)行詳細(xì)討論。圖1作為示例示意性示出了對(duì)其應(yīng)用本發(fā)明的類型的移動(dòng)電信設(shè)備�����;圖2是圖示圖1中設(shè)備的近場(chǎng)傳輸模塊的功能的示圖����;圖3非常示意性地圖示了能夠?qū)D1中的電信設(shè)備的弱點(diǎn)加以利用的攻擊;圖4圖示了這樣的攻擊的預(yù)備階段的實(shí)施方式�����;圖5圖示了防止這樣的攻擊的方法的實(shí)施方式;圖6圖示了防止圖3中的攻擊的方法的另一實(shí)施方式�����;以及圖7圖示了圖6的實(shí)施方式中所使用的控制信號(hào)���。
具體實(shí)施例方式在不同附圖中�,相同元件已經(jīng)被指定以相同的附圖標(biāo)記���。為了簡(jiǎn)明����,僅示出了對(duì)于實(shí)施方式的理解有用的那些元件和步驟并且將對(duì)其進(jìn)行描述���。特別地�,用于近場(chǎng)傳輸或GSM模式的通信的編碼和通信協(xié)議沒有進(jìn)行詳述�����,實(shí)施方式與慣用協(xié)議相兼容��。另外�����,形成移動(dòng)通信設(shè)備的電路也沒有進(jìn)行詳述,實(shí)施方式同樣與慣用設(shè)備相兼容�����,假設(shè)它們是可編程的���。圖1非常示意性地作為示例示出了對(duì)其應(yīng)用實(shí)施方式的移動(dòng)電信設(shè)備(例如����,移動(dòng)電話)的類型��。沒有示出與用戶對(duì)接的不同部件(鍵盤����、顯示器����、揚(yáng)聲器等),因?yàn)檫@些部件并不被將要描述的實(shí)施方式的實(shí)現(xiàn)所修改���。設(shè)備I包括形成設(shè)備核心的由至少一個(gè)微控制器所形成的中央處理器12 (CPU/TH)����。該微控制器目前被稱作終端主機(jī)。對(duì)于經(jīng)由網(wǎng)絡(luò)(GSM�����、3G�����、UMTS等)的電信操作����,微控制器使用形成設(shè)備的安全模塊的訂戶身份模塊14(SIM)所提供的識(shí)別和認(rèn)證數(shù)據(jù)。微控制器12能夠使用電話的一個(gè)或多個(gè)內(nèi)部存儲(chǔ)器����,該存儲(chǔ)器沒有被示出。電話I還包括存儲(chǔ)器讀卡器16或者與外界進(jìn)行通信的其它總線以將數(shù)據(jù)和/或應(yīng)用加載到電話之中���。對(duì)其應(yīng)用所描述實(shí)施方式的移動(dòng)設(shè)備將電信功能與近場(chǎng)非接觸傳輸系統(tǒng)(NFC)的功能相結(jié)合��。為此�,設(shè)備I進(jìn)一步包括電路18(CLF-非接觸前端)����,其形成諸如電磁應(yīng)答器之類的近場(chǎng)通信模塊���。模塊18與天線182相關(guān)聯(lián),該天線182不同于用于移動(dòng)電話網(wǎng)絡(luò)的天線20����。電路18還可以與安全模塊(SSE) 24相關(guān)聯(lián),該安全模塊24不同于SM卡14并且直接出現(xiàn)在電話的印刷電路板上或者由可移除的微電路卡(例如�,以存儲(chǔ)器卡的形式)所支持。模塊18也稱作NFC路由器�。設(shè)備I的不同元件根據(jù)各種協(xié)議進(jìn)行通信。例如����,電路12和18經(jīng)由I2C或SPI類型的鏈路1218進(jìn)行通信,SIM卡14與微處理器12根據(jù)ISO標(biāo)準(zhǔn)7816-3經(jīng)由鏈路1214進(jìn)行通信����,并且安全模塊24根據(jù)該標(biāo)準(zhǔn)經(jīng)由鏈路2418與路由器18進(jìn)行通信。路由器18例如經(jīng)由單線路總線1418 (SWP-單線路協(xié)議)與SM卡進(jìn)行通信���。其它協(xié)議版本和鏈路顯然也是可能的。將結(jié)合GSM電話對(duì)實(shí)施方式進(jìn)行描述�����。然而,實(shí)施方式更一般地應(yīng)用于適用于移動(dòng)網(wǎng)絡(luò)(例如����,Wif1、藍(lán)牙�、WiMax等)并且與非接觸傳輸模塊(NFC路由器)相關(guān)聯(lián)的任意電信設(shè)備,例如USB密鑰�����、銀行終端�����、能耗計(jì)或其它��、訪問或交通票據(jù)驗(yàn)證終端��,等等�����。類似地,近場(chǎng)通信模塊將被稱作路由器�����,因?yàn)槠渫ǔT谙嗤娐穬?nèi)整合了對(duì)于仿真非接觸卡有用的所有功能�����,然而所描述的實(shí)施方式能夠應(yīng)用于任意的NFC類型的模塊�����。路由器18包括到鏈路1218����、1418和2418的連接的物理端子,并且管理邏輯門以便將這些端子分配至與近場(chǎng)通信相關(guān)聯(lián)的不同功能���。路由器18因此包括處理器以及易失性和非易失性存儲(chǔ)器��,除其它之外�,上述存儲(chǔ)器用于存儲(chǔ)不同邏輯門的路由表��。一些門被保留用于路由器管理功能��,而其它則可以由路由器自由分配。在操作中���,路由器18使得與移動(dòng)設(shè)備的其它電路12、14����、24等進(jìn)行通信的不同管道可以使用并且路由器18對(duì)它們進(jìn)行管理,以向這些電路提供對(duì)于給近場(chǎng)通信功能的訪問���,也就是說���,對(duì)于稱作RF門的連接至射頻傳輸電路的門的訪問。圖2非常示意性地以框圖形式圖示了路由器18的路由功能��。為了簡(jiǎn)明�,圖2是結(jié)構(gòu)性表示形式,而實(shí)際上����,將不同門電路分配給移動(dòng)設(shè)備的不同電路是由路由表所執(zhí)行的軟件操作。每個(gè)路由器端子(TERMINALS)被分配以一個(gè)或多個(gè)門(GATES)�。在圖2的示例中,假設(shè)SM卡14和微控制器12的物理鏈路1418和1218連接至路由器18的端子并且該門被分配給這些電路���。若干個(gè)門可以被分配給相同電路(這在圖2中通過相同端子到若干個(gè)門的連接所符號(hào)化表示)����。路由器18的路由表將一些門分配給內(nèi)部功能(例如,配置和管理功能)����,但是也在分配給SM卡或分配給RF微控制器的一些門以及模塊18中所包括的門(RF GATES)之間創(chuàng)建管道(PIPE)。這對(duì)應(yīng)于路由器18之外的電路以及其RF傳輸電路之間的��、用于實(shí)現(xiàn)需要近場(chǎng)通信的不同應(yīng)用的管道創(chuàng)建���。例如��,在銀行����、運(yùn)輸��、電子錢包�、訪問以及需要用戶的安全識(shí)別或認(rèn)證的其它應(yīng)用中,在路由器和SIM卡之間創(chuàng)建一個(gè)或多個(gè)管道以利用安全的用戶身份數(shù)據(jù)并且對(duì)事務(wù)進(jìn)行驗(yàn)證�。將NFC路由器集成在移動(dòng)電信設(shè)備中以及共享相同安全模塊(SM卡)在安全方面產(chǎn)生了弱點(diǎn)?����?梢蕴峁┱J(rèn)證工具來確保路由器和不同外部電路之間的連接不被盜取。然而�����,鑒于本發(fā)明已經(jīng)認(rèn)識(shí)到并且將在隨后進(jìn)行描述的弱點(diǎn)��,這似乎是有所不足的�。路由器或NFC模塊18通常是單個(gè)集成電路���,并且其外部訪問更為良好防止可能的黑客攻擊嘗試��。截至目前���,主要關(guān)心的是保證移動(dòng)設(shè)備所仿真的近場(chǎng)事務(wù)不會(huì)使得盜用設(shè)備攔截近場(chǎng)通信以對(duì)安全模塊所提供的數(shù)據(jù)加以利用。然而�,風(fēng)險(xiǎn)仍然存在,因?yàn)槁酚善?8還對(duì)SIM卡14或任意其它安全模塊和移動(dòng)電信設(shè)備的微控制器12之間的通信管道(圖2中符號(hào)化表示為ATPIPE)進(jìn)行管理��。該管道被正常使用�,以使得SM卡14通知微控制器12有消息經(jīng)由NFC鏈路抵達(dá)。然而����,也可能轉(zhuǎn)移該使用而使得安全模塊14相信其是為了進(jìn)行近場(chǎng)事務(wù)而與路由器進(jìn)行通信�����,并且因此經(jīng)由管道與電話的RF門進(jìn)行通信��,而其實(shí)際上是在與微控制器12進(jìn)行通信��。圖3以框圖形式非常示意性地圖示了蜂窩電話I的SM卡14和微控制器12之間的管道ATPIPE的可能利用���。假設(shè)在攻擊的預(yù)備階段,GSM電話I已經(jīng)被黑客攻擊并且管道AEPIPE已經(jīng)經(jīng)由其SM卡14和其微控制器12之間的路由器18而被轉(zhuǎn)移�。路由器18的路由表因此包含“被轉(zhuǎn)移”管道的數(shù)據(jù)。還假設(shè)盜用應(yīng)用(PA)已經(jīng)被存儲(chǔ)在電話I的存儲(chǔ)器13 (MEM)中并且該應(yīng)用可以向微控制器12提供指令���。隨后將對(duì)該預(yù)備階段的若干實(shí)施方式進(jìn)行討論����。如隨后將看到的��,一旦設(shè)備I已經(jīng)被應(yīng)用PA的加載以及管道ATPIPE的創(chuàng)建所攻擊����,設(shè)備I的用戶就無法注意到故障����。他正常使用其電話��。應(yīng)用PA的功能之一是在請(qǐng)求從電信網(wǎng)絡(luò)發(fā)起并且被攻擊方所擁有的另一移動(dòng)設(shè)備3進(jìn)行傳送之后自動(dòng)觸發(fā)電話I的響應(yīng)���。例如����,盜用設(shè)備是另一 GSM電話3���,其使用自己的訂戶身份模塊經(jīng)由GSM網(wǎng)絡(luò)(由中繼天線5所符號(hào)化表示)進(jìn)行通信。其也可以是與GSM模塊相關(guān)聯(lián)的微型計(jì)算機(jī)�。在圖3的示例中,設(shè)備3也配備有非接觸路由器以例如發(fā)起與終端7 (例如�����,NFC終端或其它非接觸通信終端)的近場(chǎng)事務(wù)���。例如���,設(shè)備3被用來進(jìn)行具有要由其NFC路由器所驗(yàn)證的支付的購(gòu)買����。正常情況下����,對(duì)于這樣的支付,電話3的路由器管理與該電話的訂戶身份模塊(或其它專用安全模塊)的通信管道以認(rèn)證用戶并驗(yàn)證支付�。在圖3的機(jī)制中,在支付驗(yàn)證時(shí)���,電話3使用GSM網(wǎng)絡(luò)來請(qǐng)求電話I利用其訂戶身份模塊對(duì)支付進(jìn)行驗(yàn)證����。例如�,設(shè)備3通過網(wǎng)絡(luò)5發(fā)送SMS,當(dāng)其被電話I接收時(shí)由盜用應(yīng)用所處理��。所述應(yīng)用模仿來自RF門的請(qǐng)求并且將它們通過管道ATPIPE進(jìn)行傳送����,以使得身份模塊14響應(yīng)并驗(yàn)證該事務(wù)。該驗(yàn)證被微控制器12所轉(zhuǎn)移并且發(fā)送回設(shè)備3�����,進(jìn)而將其發(fā)送至其NFC路由器以驗(yàn)證針對(duì)終端7的支付。結(jié)果�����,該支付被記入電話I的訂戶而不是擁有設(shè)備3的攻擊方�����。最為常見的是�����,非接觸應(yīng)用不需要與終端(7��,圖3)進(jìn)行交互�,除了非接觸設(shè)備的出現(xiàn)之外����。特別地,對(duì)于近場(chǎng)通信而言�����,不需要PIN密鑰以避免延長(zhǎng)事務(wù)��,從而設(shè)備3可以輕易地攻擊遠(yuǎn)距離設(shè)備I。在請(qǐng)求認(rèn)證的終端7和安全模塊之間提供加密和/或簽名的對(duì)策在應(yīng)對(duì)這樣的攻擊時(shí)是無效的��。實(shí)際上�����,終端7和模塊14之間的數(shù)據(jù)無需解碼���。實(shí)際上已經(jīng)經(jīng)由電信網(wǎng)絡(luò)5在電話I的模塊14和終端7之間建立了通信管道���,從而模塊14表現(xiàn)得就好像其在與終端7進(jìn)行近場(chǎng)事務(wù)一樣。對(duì)于安全訪問類型的包裹認(rèn)證或驗(yàn)證應(yīng)用可能發(fā)生同樣類型的盜用行為����。另外,假設(shè)所請(qǐng)求的認(rèn)證從安全模塊發(fā)起并且遵照NFC協(xié)議所使用的格式和協(xié)議����,即使盜用設(shè)備3沒有使用其自己的NFC路由器,例如����,如果其使用非接觸通信模式,這樣的攻擊也可能成功。另外���,這樣的攻擊可以被用來從設(shè)備I轉(zhuǎn)移對(duì)盜用系統(tǒng)有利的任意數(shù)據(jù)(例如����,在銀行支付應(yīng)用中復(fù)制卡的磁條內(nèi)容的數(shù)據(jù))���。另外�����,假設(shè)管道要由該模塊和能夠經(jīng)由網(wǎng)絡(luò)5的通信進(jìn)行管理的電路(通常是微控制器12)之間的路由器18所管理��,則該攻擊可能涉及移動(dòng)電話I的SIM卡或者任何其它安全模塊(例如��,模塊24)���。在使用電信網(wǎng)絡(luò)的情況下���,該攻擊針對(duì)近場(chǎng)事物���,這是因?yàn)檫B接到NFC路由器的微控制器和安全模塊之間存在經(jīng)由該路由器的通信管道。實(shí)施攻擊需要預(yù)備階段,其中必須要有所期望被盜用的電話I的介入��。該預(yù)備需要介入NFC通信管道的管理���,而該介入取決于SM卡所提供的安全級(jí)別���。在簡(jiǎn)化實(shí)施方式中,允許微控制器在任何空閑門上創(chuàng)建管道���。在這種情況下�,加載到微控制器的盜用應(yīng)用就能夠通過NFC路由器創(chuàng)建到SM卡的管道����。此后,如果SM卡除了確認(rèn)請(qǐng)求的格式對(duì)應(yīng)于從NFC電路所發(fā)起的射頻幀的格式之外沒有執(zhí)行其它檢查�����,則盜用應(yīng)用可能會(huì)攻擊SIM卡��。根據(jù)另一個(gè)實(shí)施方式���,安全模塊14更為先進(jìn)并且對(duì)管道或其自己的門與RF門的編號(hào)之間的關(guān)聯(lián)進(jìn)行檢查�����。在第一種情況下���,認(rèn)為SIM卡14并沒有考慮利用其創(chuàng)建門的電路(并且因此沒有考慮其可能是旨在用于微控制器的門這一事實(shí))����。該實(shí)施方式利用了管道編號(hào)(標(biāo)識(shí)符)的分配經(jīng)常是順序的這一事實(shí)�����。首先以要求微控制器去除SM卡和RF門之間的管道作為開始����。隨后,在微控制器和SIM卡之間創(chuàng)建具有相同標(biāo)識(shí)符的管道�。圖4圖示了意在轉(zhuǎn)移路由器18(CLF)和用戶的SM卡(SMl)之間的管道的攻擊的預(yù)備階段的另一個(gè)實(shí)施方式。更為特殊的是���,該實(shí)施方式旨在針對(duì)于其中SIM卡在向CLF路由器傳送數(shù)據(jù)之前確保已經(jīng)對(duì)與之建立通信管道進(jìn)行了有效控制的系統(tǒng)���。這里利用了在設(shè)備I的初始化之前SM卡檢查其是否已經(jīng)出現(xiàn)在路由器18面前這一事實(shí)。如果還沒有�����,則它對(duì)它的門和NFC路由器之間的管道進(jìn)行重新配置�。在正常操作中,在電話I的卡SMl的首次連接時(shí)����,該卡使得以所謂的傳輸層的級(jí)別創(chuàng)建與CLF路由器的至少一個(gè)管道,其被標(biāo)示為SYNCID1�。為此,卡SMl向CLF路由器發(fā)送同步數(shù)據(jù)SYNCID1和數(shù)字(通常為�����,隨機(jī)數(shù)RDl)�。數(shù)字RDl被存儲(chǔ)在CLF路由器中并且被卡14用來檢查其已經(jīng)使得進(jìn)行了對(duì)于與該路由器的管道的創(chuàng)建。在每次初始化時(shí)�����,該卡驗(yàn)證路由器中是否存在數(shù)字RD1�����。為此�,該卡從路由器請(qǐng)求在其被標(biāo)示為GATEID的一個(gè)門和被標(biāo)示為RFGATEID的一個(gè)RF門之間創(chuàng)建管道����。該路由器隨后創(chuàng)建管道并且向其分配以標(biāo)識(shí)符PIPEID�,并且與此同時(shí),將所述標(biāo)識(shí)符存儲(chǔ)在路由表中并且將其傳輸至卡SM1�。路由器每次請(qǐng)求數(shù)據(jù)時(shí),卡SMl就驗(yàn)證管道的標(biāo)識(shí)符PIPEID是否正確�����。為了實(shí)施攻擊����,黑客應(yīng)當(dāng)在一段時(shí)間內(nèi)擁有蜂窩電話I和卡SMl。這是相對(duì)容易的����,例如,通過向移動(dòng)電話的主人借用以假裝進(jìn)行呼叫��,或者例如在移動(dòng)電話商店中在維護(hù)操作期間以欺詐手段使用電話����。利用卡SMl和提供有路由器I的電話,盜用者通過將卡SMl插入盜用設(shè)備(PIRATE READER)作為開始����,該盜用設(shè)備例如是具有能夠執(zhí)行符合所描述功能的盜用程序的微控制器的另一移動(dòng)電話�,或者是具有讀卡器并且模仿路由器的計(jì)算機(jī)����。由于卡SMl從來沒有遇到過盜用設(shè)備的NFC路由器或者所述設(shè)備所效仿的NFC路由器�����,所以其生成新的同步標(biāo)識(shí)符SYNCID2�����。它發(fā)送回門標(biāo)識(shí)符RFGATEID和GATEID以創(chuàng)建相對(duì)應(yīng)的管道��。盜用路由器隨后至少向一對(duì)門分配與路由器和微控制器的外部門之間的通路相對(duì)應(yīng)的管道FPIPEID�,而不是將門GATEID與RF門相關(guān)聯(lián)。標(biāo)識(shí)符FPIPEID以及標(biāo)識(shí)符SYNCID2和RD2隨后被加載到被篡改的卡SM2中���。然后����,卡SM2包含將門RFGATEID和GATEID與管道FPIPEID相關(guān)聯(lián)的路由表����。隨后�����,卡SM2被插入電話I���。標(biāo)識(shí)符SYNCID2和RD2隨后被傳輸至CLF路由器18以在被指定為GATEID和RFGATEID的門之間創(chuàng)建管道FPIPEID。這相當(dāng)于修改了路由器的路由表��,從而當(dāng)門GATEID和RFGATEID之間的管道被調(diào)用時(shí)��,所分配的管道是管道FPIPEID而不是PIPEID�����。管道FPIPEID的分配根據(jù)將管道分配至路由器中的門的方式可以采取各種形式����。例如,在將卡SM2插入盜用讀取器時(shí)����,通過將卡SM2置于路由器中而進(jìn)行門分配的觀察階段以觀察管道分配方法?���!罢嬲摹笨⊿Ml隨后被放回電話I�����。由于CLU路由器知道標(biāo)示符RD2和SYNCID2��,所以卡認(rèn)為其“了解”路由器而并不重新與其創(chuàng)建管道。當(dāng)卡SMl請(qǐng)求針對(duì)門RFGATEID的通信時(shí)����,路由器使用所分配的管道FPIPEID。GSM終端已經(jīng)被有效黑客攻擊��,也就是說�,已經(jīng)在SM卡的門GATEID和微控制器12的門之間創(chuàng)建了管道FPIPE (或ATPIPE,圖2)����,同時(shí)卡SMl相信該管道將其的門GATEID連接至門RFGATEID。該管道隨后可以被轉(zhuǎn)移以用于通過GSM網(wǎng)絡(luò)進(jìn)行來自另一終端的遠(yuǎn)距離訪問(圖3)��。隨后或者在盜用管道生成的同時(shí)可以執(zhí)行盜用應(yīng)用PA的下載����。根據(jù)設(shè)備I存在各種可能性�。例如�����,可以從路由表進(jìn)行讀取�。如果不可能如此,則在卡SIMl處于盜用讀取器中時(shí)����,可能模擬CLF電路的操作,以便獲得存儲(chǔ)在該卡中的完整配置�����。盜用卡SM2或者卡的仿真器(emulator)也可以被用來從有效電話I中的路由表中提取數(shù)據(jù)�。因此能夠看到,可能對(duì)轉(zhuǎn)移安全模塊和NFC路由器之間的通信通道進(jìn)行參數(shù)設(shè)置(parameterize),以在該模塊和NFC路由器之外的電話微控制器之間建立管道��。從而電話I的用戶即使在使用其非接觸模式時(shí)也不會(huì)注意到盜用���,盜用應(yīng)用應(yīng)當(dāng)包括在路由器18向SM發(fā)送數(shù)據(jù)請(qǐng)求時(shí)將管道FPIPE重新定向到路由器的RF電路的功能��。圖5圖示了用于保護(hù)通信設(shè)備以防止諸如以上所描述的攻擊的機(jī)制的實(shí)施方式���。該圖示非常示意性地示出了通信設(shè)備的路由器(CLF)和讀取器(READER)之間的交換以及該路由器和安全模塊(SIM)之間的交換���。當(dāng)被激活時(shí),讀取器向不同的近場(chǎng)耦合設(shè)備發(fā)射磁場(chǎng)(PROVIDE FIELD)����。CLF路由器檢測(cè)該場(chǎng)并且通常使用被任意指定為管道#2的內(nèi)部管道P102向SIM卡傳送指示存在場(chǎng)的控制信號(hào)(EVT_FIELD_0N)。隨后在讀取器和路由器之間實(shí)施輪詢和沖突機(jī)制(polling and ant1-collisionmechanism)�����。一旦這些過程已經(jīng)完成�����,在慣常的實(shí)施方式中(圖5中被劃掉)��,通過使用路由器和卡之間開放的通信管道P102激活卡(EVT_CARD_ACTIVATED)��。這里的弱點(diǎn)在于設(shè)備已經(jīng)被黑客攻擊�����。實(shí)際上��,如果路由器經(jīng)由盜用管道接收到激活控制信號(hào)�����,即使其并不遵循輪詢和沖突機(jī)制��,該控制信號(hào)也將被發(fā)送至卡�。在圖5的實(shí)施方式中,路由器并不通過管道02而是經(jīng)由另一通信通道PIOl來發(fā)送控制信號(hào)�����,其在控制信號(hào)中具有所設(shè)置的無法被路由表修改的標(biāo)識(shí)符并且包括路由表所分配的管道的標(biāo)識(shí)符����。用來傳送該控制信號(hào)(EVT_CARD_ACTIVATED
)的管道PIOl對(duì)應(yīng)于路由器管理管道,其因此無法由微控制器所執(zhí)行的應(yīng)用訪問���。因此���,該控制信號(hào)無法被設(shè)備I的微控制器12所觸發(fā)。該實(shí)施方式的實(shí)現(xiàn)要求可能經(jīng)由這樣的不受路由表管理的管理管道在路由器和SM卡之間進(jìn)行直接交換�。另外,SM卡應(yīng)當(dāng)被設(shè)計(jì)為拒絕經(jīng)由另一管道所接收的任何激活����。該卡通過經(jīng)由管道P102所接收的控制信號(hào)EVT_FIELD_ON而被通知其應(yīng)當(dāng)預(yù)期經(jīng)由管道PIOl的激活控制信號(hào)�����。路由器�����、讀取器和卡之間的其余交換相當(dāng)于發(fā)送允許讀取器和卡之間的通信的各種控制信號(hào)APDU(應(yīng)用協(xié)議數(shù)據(jù)單元)�����。以慣用方式��,每個(gè)交換EXCHANGE包括由讀取器向路由器發(fā)送控制信號(hào)(SEND APDU)�,該路由器經(jīng)由管道P102將其發(fā)送至卡(EVT_SendData[APDU])��。SM卡隨后仍然經(jīng)由管道P102返回?cái)?shù)據(jù)RAPDU (返回應(yīng)用協(xié)議數(shù)據(jù)單元)(EVT_Send Data[RAPDU])�����。最后�,路由器將數(shù)據(jù)RAPDU傳送至讀取器(RETURN RAPDU)����。如果設(shè)備已經(jīng)被黑客攻擊��,則已經(jīng)在CLF路由器中修改了路由表��。然而����,SM卡仍然是不可訪問的��,因?yàn)闊o法從微控制器12觸發(fā)來自路由器的激活控制信號(hào)�。圖6和7圖示了保護(hù)方法的另一個(gè)實(shí)施方式。圖6示出了設(shè)備I的CLF路由器和讀取器之間的交換以及該路由器和設(shè)備的SIM卡之間的交換的示例���。圖7圖示了用于實(shí)施圖6中的交換的控制幀的格式示例�����。如之前的實(shí)施方式中那樣���,傳輸以讀取器的激活開始(PROVIDE FIELD),通過任意選擇的通信管道P102對(duì)卡進(jìn)行通知(EVT_FIELD_0N)����,隨后為輪詢和沖突機(jī)制�����。根據(jù)該實(shí)施方式����,路由器使用(例如�,ETSI標(biāo)準(zhǔn)102613中所定義的)路由器和安全模塊之間的交換標(biāo)準(zhǔn)中可用的具體控制信號(hào)(CLT)。該控制信號(hào)被用來向卡傳送路由數(shù)據(jù)(CLT_INIT EVT_CARD_ACTIVATED
)�。例如,這些數(shù)據(jù)是HCI標(biāo)識(shí)符�,隨后直接跟有管道編號(hào)(如圖5所示的02)。作為變化��,還傳送使得SIM卡能夠檢查其自身的表還沒有被改變的路由表簽名�����。CLT幀僅能夠在路由器和安全模塊之間或者路由器和微控制器12之間進(jìn)行交換��,但并不在微控制器和安全模塊之間進(jìn)行交換���。這樣的控制無法由微控制器為安全模塊生成。利用圖5的實(shí)施方式����,即使路由表已經(jīng)被黑客攻擊�,管道也因此無法在微控制器的控制之下被打開�����。圖7圖示了慣用CLT幀以及路由數(shù)據(jù)傳輸?shù)腃LT幀的慣用內(nèi)容�����。第一字節(jié)是控制字段��,其具有識(shí)別所執(zhí)行命令的五個(gè)最低有效位�。其被提供以使用一般被指定為RFU的比特來向卡通知路由配置消息被發(fā)送。該幀的接下來的字節(jié)(在以上所提到的標(biāo)準(zhǔn)中可能多達(dá)29個(gè)字節(jié))利用例如02的管道編號(hào)傳送控制信號(hào)EVT_CARD_ACTIVATED���。當(dāng)卡接收到控制信號(hào)CLT_INIT時(shí)���,其利用控制信號(hào)CLT no Admin" OK"進(jìn)行響應(yīng)。隨后���,可以以關(guān)于圖5所討論的慣用方式(EXCHANGE)來執(zhí)行事務(wù)����。圖6和7的實(shí)施方式需要對(duì)路由器和SM卡進(jìn)行參數(shù)設(shè)置以使得它們能夠?qū)@些具體控制信號(hào)進(jìn)行解釋。另外����,在兩個(gè)實(shí)施方式中,路由器被配置為在與讀取器的初始化過程之后在預(yù)定管道PIOl上發(fā)送具體控制信號(hào)CLT或激活����。應(yīng)當(dāng)注意的是,大多數(shù)配備有NFC路由器的設(shè)備都應(yīng)當(dāng)即使在它們關(guān)機(jī)時(shí)也能夠進(jìn)行操作���,也就是說�,通過由將它們包含在其場(chǎng)中的讀取終端進(jìn)行遠(yuǎn)程供電�����。這在以上所提出的解決方案中并不是弱點(diǎn)����。實(shí)際上,當(dāng)設(shè)備I關(guān)機(jī)時(shí)�,其微控制器也關(guān)閉。因此不會(huì)有盜用通信通過GSM網(wǎng)絡(luò)侵犯遠(yuǎn)距離購(gòu)買的風(fēng)險(xiǎn)��。已經(jīng)對(duì)各個(gè)實(shí)施方式進(jìn)行了描述,對(duì)于本領(lǐng)域技術(shù)人員而言將發(fā)生各種變化和修改�。特別地��,基于以上所描述的功能指示并且參考標(biāo)準(zhǔn)ETSI 102613和ETSI 102622����,通過使用標(biāo)準(zhǔn)NFC路由器傳輸協(xié)議的實(shí)施方式的實(shí)際實(shí)施方式處于本領(lǐng)域技術(shù)人員的能力以內(nèi)。這種變化�����、修改和改進(jìn)意在作為本公開的一部分�,并且意在處于本發(fā)明的精神和范圍之內(nèi)。因此��,以上描述僅作為示例而并非意在進(jìn)行限制���。本公開僅以如下權(quán)利要求及其等同形式所限定�。
權(quán)利要求
1.一種用于對(duì)包含在配備有近場(chǎng)通信路由器和微控制器的電信設(shè)備的安全模塊中的數(shù)據(jù)進(jìn)行保護(hù)的方法�,其中與所述安全模塊和分配給近場(chǎng)通信的所述路由器的門之間的路由相關(guān)的數(shù)據(jù)僅通過路由器可訪問的管道進(jìn)行傳送,或者利用并非由所述微控制器為所述路由器所生成的控制信號(hào)進(jìn)行傳送����。
2.根據(jù)權(quán)利要求1的方法,其中對(duì)于與所述路由相關(guān)的數(shù)據(jù)的所述傳輸利用為所述路由器和所述模塊之間的交換所保留的管道來執(zhí)行�����。
3.根據(jù)權(quán)利要求1的方法,其中對(duì)于與所述路由相關(guān)的數(shù)據(jù)的所述傳輸利用為所述路由器和所述模塊之間的交換所保留的控制信號(hào)來執(zhí)行���。
4.根據(jù)權(quán)利要求1的方法��,其中所述數(shù)據(jù)包含分配給所述通信的管道的標(biāo)識(shí)符��。
5.根據(jù)權(quán)利要求1的方法,其中所述數(shù)據(jù)包含路由表的簽名�����。
6.根據(jù)權(quán)利要求1的方法��,其中對(duì)于與所述路由相關(guān)的數(shù)據(jù)的所述傳輸由對(duì)于所述路由器和近場(chǎng)通信終端之間的通信的檢測(cè)所觸發(fā)���。
7.一種配備有近場(chǎng)通信路由器的電信設(shè)備,其包括能夠?qū)嵤?quán)利要求1的方法的裝置�。
全文摘要
一種用于對(duì)包含在配備有近場(chǎng)通信路由器和微控制器的電信設(shè)備的安全模塊中的數(shù)據(jù)進(jìn)行保護(hù)的方法,其中與安全模塊和分配給近場(chǎng)通信的路由器的門之間的路由相關(guān)的數(shù)據(jù)僅通過路由器可訪問的管道進(jìn)行傳送�,或者利用并非由微控制器為路由器所生成的控制信號(hào)進(jìn)行傳送。
文檔編號(hào)H04L29/06GK103098503SQ201180041797
公開日2013年5月8日 申請(qǐng)日期2011年8月25日 優(yōu)先權(quán)日2010年8月31日
發(fā)明者T·胡奎, O·范涅宇文胡伊澤 申請(qǐng)人:質(zhì)子世界國(guó)際公司