專利名稱:防止耦合至nfc電路的電信設備的通信信道發(fā)生錯誤路由的制作方法
技術領域:
本發(fā)明總體上涉及利用蜂窩電話類型的移動電信設備所執(zhí)行的事務����。更具體地,本發(fā)明應用于進一步配備以近場通信電路(NFC)的設備�����。
背景技術:
蜂窩電話越來越普遍地配備有近場通信接口�,該近場通信接口允許將電磁應答器功能與移動電話功能相結合。具體地�����,這向例如個人數(shù)字助理���、蜂窩電話、智能電話等的移動電信設備增加了仿真非接觸或非接觸讀卡器類型的電磁應答器的功能���。這在相當程度上增強了移動電話的功能��,其因此例如可以被用作電子錢包�����、作為接入或交通票據(jù)驗證設備
坐寸ο為了仿真非接觸芯片卡的操作��,移動通信設備配備有也被稱作NFC路由器的非接觸前端集成電路(CLF)。該路由器配備有與短距離天線相關聯(lián)的射頻(RF)收發(fā)器前端�����,以像電磁應答器一樣進行通信���。該路由器使用移動設備的(多個)處理器的能力來進行數(shù)據(jù)處理和存儲操作。對于訪問控制����、電子錢包、支付以及其它應用�,使用使得能夠對用戶進行認證的安全部件。該安全部件要么被集成到移動通信設備(專用集成電路���、被焊接至印刷電路板的電路)中要么被包含在由訂戶身份模塊(SIM)或者例如存儲卡的標準格式的任何其他可移除的卡所支持的微電路中���。NFC路由器還可以以USB密鑰類型的移動設備���、銀行出納終端����、粘貼設備(貼紙機)等的形式出現(xiàn)在移動設備之中。在移動電信設備中仿真非接觸卡會在事務安全方面產(chǎn)生弱點����。期望能夠檢測到這樣的弱點。進一步期望針對安全事務避免這樣的弱點���。
發(fā)明內(nèi)容
—個目標是克服與近場傳輸模塊相關聯(lián)的移動電信設備的全部或部分缺陷�����。另一個目標是改善抵御包含在與近場傳輸模塊相關聯(lián)的電信設備中的訂戶身份模塊類型的安全模塊上的黑客攻擊嘗試�����,而改進安全性�����。為了實現(xiàn)這些和其它目標中的全部或一部分�,實施方式提供了一種用于對包含在配備有近場通信路由器和微控制器的電信設備的安全模塊中的數(shù)據(jù)進行保護的方法,其中與安全模塊和分配給近場通信的路由器的門(gate)之間的路由相關的數(shù)據(jù)僅通過路由器可訪問的管道進行傳送�,或者利用并非由微控制器為路由器所生成的控制信號進行傳送。根據(jù)一個實施方式�,對于與路由相關的數(shù)據(jù)的所述傳輸利用為路由器和模塊之間的交換所保留的管道來執(zhí)行。根據(jù)一個實施方式�,對于與路由相關的所述數(shù)據(jù)的傳輸利用為路由器和模塊之間的交換所保留的控制信號來執(zhí)行。根據(jù)一個實施方式���,所述數(shù)據(jù)包含分配給通信的管道的標識符��。根據(jù)一個實施方式����,所述數(shù)據(jù)包含路由表的簽名����。根據(jù)一個實施方式�,對于與路由相關的所述數(shù)據(jù)的傳輸由對于路由器和近場通信終端之間的通信的檢測所觸發(fā)。一個實施方式還提供了一種配備有近場通信路由器的電信設備�����,其包括用于實施任意以上權利要求的方法的裝置����。
將結合附圖在以下的對具體實施方式
的非限制性描述中對以上和其它目標���、特征及優(yōu)勢進行詳細討論。圖1作為示例示意性示出了對其應用本發(fā)明的類型的移動電信設備����;圖2是圖示圖1中設備的近場傳輸模塊的功能的示圖;圖3非常示意性地圖示了能夠對圖1中的電信設備的弱點加以利用的攻擊�����;圖4圖示了這樣的攻擊的預備階段的實施方式��;圖5圖示了防止這樣的攻擊的方法的實施方式����;圖6圖示了防止圖3中的攻擊的方法的另一實施方式;以及圖7圖示了圖6的實施方式中所使用的控制信號����。
具體實施例方式在不同附圖中,相同元件已經(jīng)被指定以相同的附圖標記�����。為了簡明,僅示出了對于實施方式的理解有用的那些元件和步驟并且將對其進行描述���。特別地�,用于近場傳輸或GSM模式的通信的編碼和通信協(xié)議沒有進行詳述�,實施方式與慣用協(xié)議相兼容。另外��,形成移動通信設備的電路也沒有進行詳述�,實施方式同樣與慣用設備相兼容,假設它們是可編程的�����。圖1非常示意性地作為示例示出了對其應用實施方式的移動電信設備(例如����,移動電話)的類型。沒有示出與用戶對接的不同部件(鍵盤�、顯示器��、揚聲器等)�,因為這些部件并不被將要描述的實施方式的實現(xiàn)所修改。設備I包括形成設備核心的由至少一個微控制器所形成的中央處理器12 (CPU/TH)���。該微控制器目前被稱作終端主機��。對于經(jīng)由網(wǎng)絡(GSM��、3G�、UMTS等)的電信操作,微控制器使用形成設備的安全模塊的訂戶身份模塊14(SIM)所提供的識別和認證數(shù)據(jù)�����。微控制器12能夠使用電話的一個或多個內(nèi)部存儲器���,該存儲器沒有被示出����。電話I還包括存儲器讀卡器16或者與外界進行通信的其它總線以將數(shù)據(jù)和/或應用加載到電話之中����。對其應用所描述實施方式的移動設備將電信功能與近場非接觸傳輸系統(tǒng)(NFC)的功能相結合。為此�,設備I進一步包括電路18(CLF-非接觸前端),其形成諸如電磁應答器之類的近場通信模塊�。模塊18與天線182相關聯(lián),該天線182不同于用于移動電話網(wǎng)絡的天線20。電路18還可以與安全模塊(SSE) 24相關聯(lián)�,該安全模塊24不同于SM卡14并且直接出現(xiàn)在電話的印刷電路板上或者由可移除的微電路卡(例如,以存儲器卡的形式)所支持�����。模塊18也稱作NFC路由器�。設備I的不同元件根據(jù)各種協(xié)議進行通信。例如�����,電路12和18經(jīng)由I2C或SPI類型的鏈路1218進行通信�,SIM卡14與微處理器12根據(jù)ISO標準7816-3經(jīng)由鏈路1214進行通信,并且安全模塊24根據(jù)該標準經(jīng)由鏈路2418與路由器18進行通信����。路由器18例如經(jīng)由單線路總線1418 (SWP-單線路協(xié)議)與SM卡進行通信。其它協(xié)議版本和鏈路顯然也是可能的��。將結合GSM電話對實施方式進行描述��。然而���,實施方式更一般地應用于適用于移動網(wǎng)絡(例如,Wif1���、藍牙�����、WiMax等)并且與非接觸傳輸模塊(NFC路由器)相關聯(lián)的任意電信設備����,例如USB密鑰、銀行終端��、能耗計或其它�����、訪問或交通票據(jù)驗證終端����,等等。類似地�����,近場通信模塊將被稱作路由器�����,因為其通常在相同電路內(nèi)整合了對于仿真非接觸卡有用的所有功能,然而所描述的實施方式能夠應用于任意的NFC類型的模塊��。路由器18包括到鏈路1218��、1418和2418的連接的物理端子�����,并且管理邏輯門以便將這些端子分配至與近場通信相關聯(lián)的不同功能�。路由器18因此包括處理器以及易失性和非易失性存儲器,除其它之外����,上述存儲器用于存儲不同邏輯門的路由表。一些門被保留用于路由器管理功能���,而其它則可以由路由器自由分配����。在操作中���,路由器18使得與移動設備的其它電路12���、14���、24等進行通信的不同管道可以使用并且路由器18對它們進行管理����,以向這些電路提供對于給近場通信功能的訪問,也就是說�����,對于稱作RF門的連接至射頻傳輸電路的門的訪問���。圖2非常示意性地以框圖形式圖示了路由器18的路由功能�����。為了簡明��,圖2是結構性表示形式��,而實際上�����,將不同門電路分配給移動設備的不同電路是由路由表所執(zhí)行的軟件操作�����。每個路由器端子(TERMINALS)被分配以一個或多個門(GATES)���。在圖2的示例中���,假設SM卡14和微控制器12的物理鏈路1418和1218連接至路由器18的端子并且該門被分配給這些電路。若干個門可以被分配給相同電路(這在圖2中通過相同端子到若干個門的連接所符號化表示)�。路由器18的路由表將一些門分配給內(nèi)部功能(例如,配置和管理功能)�,但是也在分配給SM卡或分配給RF微控制器的一些門以及模塊18中所包括的門(RF GATES)之間創(chuàng)建管道(PIPE)。這對應于路由器18之外的電路以及其RF傳輸電路之間的��、用于實現(xiàn)需要近場通信的不同應用的管道創(chuàng)建����。例如,在銀行�����、運輸��、電子錢包、訪問以及需要用戶的安全識別或認證的其它應用中�,在路由器和SIM卡之間創(chuàng)建一個或多個管道以利用安全的用戶身份數(shù)據(jù)并且對事務進行驗證。將NFC路由器集成在移動電信設備中以及共享相同安全模塊(SM卡)在安全方面產(chǎn)生了弱點���?���?梢蕴峁┱J證工具來確保路由器和不同外部電路之間的連接不被盜取��。然而�,鑒于本發(fā)明已經(jīng)認識到并且將在隨后進行描述的弱點����,這似乎是有所不足的。路由器或NFC模塊18通常是單個集成電路���,并且其外部訪問更為良好防止可能的黑客攻擊嘗試�����。截至目前�����,主要關心的是保證移動設備所仿真的近場事務不會使得盜用設備攔截近場通信以對安全模塊所提供的數(shù)據(jù)加以利用��。然而�,風險仍然存在,因為路由器18還對SIM卡14或任意其它安全模塊和移動電信設備的微控制器12之間的通信管道(圖2中符號化表示為ATPIPE)進行管理�。該管道被正常使用,以使得SM卡14通知微控制器12有消息經(jīng)由NFC鏈路抵達���。然而�����,也可能轉移該使用而使得安全模塊14相信其是為了進行近場事務而與路由器進行通信��,并且因此經(jīng)由管道與電話的RF門進行通信���,而其實際上是在與微控制器12進行通信。圖3以框圖形式非常示意性地圖示了蜂窩電話I的SM卡14和微控制器12之間的管道ATPIPE的可能利用�����。假設在攻擊的預備階段����,GSM電話I已經(jīng)被黑客攻擊并且管道AEPIPE已經(jīng)經(jīng)由其SM卡14和其微控制器12之間的路由器18而被轉移����。路由器18的路由表因此包含“被轉移”管道的數(shù)據(jù)����。還假設盜用應用(PA)已經(jīng)被存儲在電話I的存儲器13 (MEM)中并且該應用可以向微控制器12提供指令。隨后將對該預備階段的若干實施方式進行討論�。如隨后將看到的,一旦設備I已經(jīng)被應用PA的加載以及管道ATPIPE的創(chuàng)建所攻擊���,設備I的用戶就無法注意到故障。他正常使用其電話��。應用PA的功能之一是在請求從電信網(wǎng)絡發(fā)起并且被攻擊方所擁有的另一移動設備3進行傳送之后自動觸發(fā)電話I的響應���。例如����,盜用設備是另一 GSM電話3�����,其使用自己的訂戶身份模塊經(jīng)由GSM網(wǎng)絡(由中繼天線5所符號化表示)進行通信�。其也可以是與GSM模塊相關聯(lián)的微型計算機���。在圖3的示例中,設備3也配備有非接觸路由器以例如發(fā)起與終端7 (例如�,NFC終端或其它非接觸通信終端)的近場事務。例如�,設備3被用來進行具有要由其NFC路由器所驗證的支付的購買。正常情況下����,對于這樣的支付,電話3的路由器管理與該電話的訂戶身份模塊(或其它專用安全模塊)的通信管道以認證用戶并驗證支付�����。在圖3的機制中����,在支付驗證時,電話3使用GSM網(wǎng)絡來請求電話I利用其訂戶身份模塊對支付進行驗證����。例如,設備3通過網(wǎng)絡5發(fā)送SMS�����,當其被電話I接收時由盜用應用所處理。所述應用模仿來自RF門的請求并且將它們通過管道ATPIPE進行傳送����,以使得身份模塊14響應并驗證該事務。該驗證被微控制器12所轉移并且發(fā)送回設備3�����,進而將其發(fā)送至其NFC路由器以驗證針對終端7的支付�。結果,該支付被記入電話I的訂戶而不是擁有設備3的攻擊方���。最為常見的是���,非接觸應用不需要與終端(7�����,圖3)進行交互�����,除了非接觸設備的出現(xiàn)之外。特別地����,對于近場通信而言,不需要PIN密鑰以避免延長事務�,從而設備3可以輕易地攻擊遠距離設備I。在請求認證的終端7和安全模塊之間提供加密和/或簽名的對策在應對這樣的攻擊時是無效的����。實際上,終端7和模塊14之間的數(shù)據(jù)無需解碼��。實際上已經(jīng)經(jīng)由電信網(wǎng)絡5在電話I的模塊14和終端7之間建立了通信管道����,從而模塊14表現(xiàn)得就好像其在與終端7進行近場事務一樣。對于安全訪問類型的包裹認證或驗證應用可能發(fā)生同樣類型的盜用行為���。另外����,假設所請求的認證從安全模塊發(fā)起并且遵照NFC協(xié)議所使用的格式和協(xié)議����,即使盜用設備3沒有使用其自己的NFC路由器,例如,如果其使用非接觸通信模式���,這樣的攻擊也可能成功����。另外���,這樣的攻擊可以被用來從設備I轉移對盜用系統(tǒng)有利的任意數(shù)據(jù)(例如���,在銀行支付應用中復制卡的磁條內(nèi)容的數(shù)據(jù))。另外�,假設管道要由該模塊和能夠經(jīng)由網(wǎng)絡5的通信進行管理的電路(通常是微控制器12)之間的路由器18所管理,則該攻擊可能涉及移動電話I的SIM卡或者任何其它安全模塊(例如�����,模塊24)����。在使用電信網(wǎng)絡的情況下����,該攻擊針對近場事物,這是因為連接到NFC路由器的微控制器和安全模塊之間存在經(jīng)由該路由器的通信管道。實施攻擊需要預備階段����,其中必須要有所期望被盜用的電話I的介入。該預備需要介入NFC通信管道的管理�,而該介入取決于SM卡所提供的安全級別。在簡化實施方式中�����,允許微控制器在任何空閑門上創(chuàng)建管道���。在這種情況下����,加載到微控制器的盜用應用就能夠通過NFC路由器創(chuàng)建到SM卡的管道����。此后,如果SM卡除了確認請求的格式對應于從NFC電路所發(fā)起的射頻幀的格式之外沒有執(zhí)行其它檢查��,則盜用應用可能會攻擊SIM卡�。根據(jù)另一個實施方式,安全模塊14更為先進并且對管道或其自己的門與RF門的編號之間的關聯(lián)進行檢查�。在第一種情況下��,認為SIM卡14并沒有考慮利用其創(chuàng)建門的電路(并且因此沒有考慮其可能是旨在用于微控制器的門這一事實)��。該實施方式利用了管道編號(標識符)的分配經(jīng)常是順序的這一事實���。首先以要求微控制器去除SM卡和RF門之間的管道作為開始。隨后�,在微控制器和SIM卡之間創(chuàng)建具有相同標識符的管道。圖4圖示了意在轉移路由器18(CLF)和用戶的SM卡(SMl)之間的管道的攻擊的預備階段的另一個實施方式���。更為特殊的是���,該實施方式旨在針對于其中SIM卡在向CLF路由器傳送數(shù)據(jù)之前確保已經(jīng)對與之建立通信管道進行了有效控制的系統(tǒng)。這里利用了在設備I的初始化之前SM卡檢查其是否已經(jīng)出現(xiàn)在路由器18面前這一事實���。如果還沒有�,則它對它的門和NFC路由器之間的管道進行重新配置�����。在正常操作中�,在電話I的卡SMl的首次連接時,該卡使得以所謂的傳輸層的級別創(chuàng)建與CLF路由器的至少一個管道����,其被標示為SYNCID1。為此�����,卡SMl向CLF路由器發(fā)送同步數(shù)據(jù)SYNCID1和數(shù)字(通常為��,隨機數(shù)RDl)�����。數(shù)字RDl被存儲在CLF路由器中并且被卡14用來檢查其已經(jīng)使得進行了對于與該路由器的管道的創(chuàng)建��。在每次初始化時�,該卡驗證路由器中是否存在數(shù)字RD1。為此�����,該卡從路由器請求在其被標示為GATEID的一個門和被標示為RFGATEID的一個RF門之間創(chuàng)建管道�����。該路由器隨后創(chuàng)建管道并且向其分配以標識符PIPEID�,并且與此同時���,將所述標識符存儲在路由表中并且將其傳輸至卡SM1。路由器每次請求數(shù)據(jù)時���,卡SMl就驗證管道的標識符PIPEID是否正確���。為了實施攻擊,黑客應當在一段時間內(nèi)擁有蜂窩電話I和卡SMl�����。這是相對容易的�,例如,通過向移動電話的主人借用以假裝進行呼叫�����,或者例如在移動電話商店中在維護操作期間以欺詐手段使用電話�。利用卡SMl和提供有路由器I的電話,盜用者通過將卡SMl插入盜用設備(PIRATE READER)作為開始�����,該盜用設備例如是具有能夠執(zhí)行符合所描述功能的盜用程序的微控制器的另一移動電話����,或者是具有讀卡器并且模仿路由器的計算機���。由于卡SMl從來沒有遇到過盜用設備的NFC路由器或者所述設備所效仿的NFC路由器��,所以其生成新的同步標識符SYNCID2�。它發(fā)送回門標識符RFGATEID和GATEID以創(chuàng)建相對應的管道。盜用路由器隨后至少向一對門分配與路由器和微控制器的外部門之間的通路相對應的管道FPIPEID��,而不是將門GATEID與RF門相關聯(lián)�。標識符FPIPEID以及標識符SYNCID2和RD2隨后被加載到被篡改的卡SM2中。然后�����,卡SM2包含將門RFGATEID和GATEID與管道FPIPEID相關聯(lián)的路由表�����。隨后��,卡SM2被插入電話I����。標識符SYNCID2和RD2隨后被傳輸至CLF路由器18以在被指定為GATEID和RFGATEID的門之間創(chuàng)建管道FPIPEID���。這相當于修改了路由器的路由表,從而當門GATEID和RFGATEID之間的管道被調用時��,所分配的管道是管道FPIPEID而不是PIPEID�����。管道FPIPEID的分配根據(jù)將管道分配至路由器中的門的方式可以采取各種形式�����。例如��,在將卡SM2插入盜用讀取器時���,通過將卡SM2置于路由器中而進行門分配的觀察階段以觀察管道分配方法�����?��!罢嬲摹笨⊿Ml隨后被放回電話I。由于CLU路由器知道標示符RD2和SYNCID2,所以卡認為其“了解”路由器而并不重新與其創(chuàng)建管道����。當卡SMl請求針對門RFGATEID的通信時,路由器使用所分配的管道FPIPEID��。GSM終端已經(jīng)被有效黑客攻擊���,也就是說�����,已經(jīng)在SM卡的門GATEID和微控制器12的門之間創(chuàng)建了管道FPIPE (或ATPIPE,圖2)��,同時卡SMl相信該管道將其的門GATEID連接至門RFGATEID�。該管道隨后可以被轉移以用于通過GSM網(wǎng)絡進行來自另一終端的遠距離訪問(圖3)。隨后或者在盜用管道生成的同時可以執(zhí)行盜用應用PA的下載�。根據(jù)設備I存在各種可能性。例如���,可以從路由表進行讀取����。如果不可能如此,則在卡SIMl處于盜用讀取器中時�,可能模擬CLF電路的操作,以便獲得存儲在該卡中的完整配置����。盜用卡SM2或者卡的仿真器(emulator)也可以被用來從有效電話I中的路由表中提取數(shù)據(jù)。因此能夠看到�,可能對轉移安全模塊和NFC路由器之間的通信通道進行參數(shù)設置(parameterize),以在該模塊和NFC路由器之外的電話微控制器之間建立管道。從而電話I的用戶即使在使用其非接觸模式時也不會注意到盜用����,盜用應用應當包括在路由器18向SM發(fā)送數(shù)據(jù)請求時將管道FPIPE重新定向到路由器的RF電路的功能。圖5圖示了用于保護通信設備以防止諸如以上所描述的攻擊的機制的實施方式����。該圖示非常示意性地示出了通信設備的路由器(CLF)和讀取器(READER)之間的交換以及該路由器和安全模塊(SIM)之間的交換。當被激活時�����,讀取器向不同的近場耦合設備發(fā)射磁場(PROVIDE FIELD)����。CLF路由器檢測該場并且通常使用被任意指定為管道#2的內(nèi)部管道P102向SIM卡傳送指示存在場的控制信號(EVT_FIELD_0N)。隨后在讀取器和路由器之間實施輪詢和沖突機制(polling and ant1-collisionmechanism)��。一旦這些過程已經(jīng)完成,在慣常的實施方式中(圖5中被劃掉)����,通過使用路由器和卡之間開放的通信管道P102激活卡(EVT_CARD_ACTIVATED)。這里的弱點在于設備已經(jīng)被黑客攻擊�����。實際上�����,如果路由器經(jīng)由盜用管道接收到激活控制信號��,即使其并不遵循輪詢和沖突機制��,該控制信號也將被發(fā)送至卡�����。在圖5的實施方式中��,路由器并不通過管道02而是經(jīng)由另一通信通道PIOl來發(fā)送控制信號�,其在控制信號中具有所設置的無法被路由表修改的標識符并且包括路由表所分配的管道的標識符�。用來傳送該控制信號(EVT_CARD_ACTIVATED
)的管道PIOl對應于路由器管理管道,其因此無法由微控制器所執(zhí)行的應用訪問。因此���,該控制信號無法被設備I的微控制器12所觸發(fā)����。該實施方式的實現(xiàn)要求可能經(jīng)由這樣的不受路由表管理的管理管道在路由器和SM卡之間進行直接交換����。另外,SM卡應當被設計為拒絕經(jīng)由另一管道所接收的任何激活��。該卡通過經(jīng)由管道P102所接收的控制信號EVT_FIELD_ON而被通知其應當預期經(jīng)由管道PIOl的激活控制信號����。路由器、讀取器和卡之間的其余交換相當于發(fā)送允許讀取器和卡之間的通信的各種控制信號APDU(應用協(xié)議數(shù)據(jù)單元)���。以慣用方式����,每個交換EXCHANGE包括由讀取器向路由器發(fā)送控制信號(SEND APDU)��,該路由器經(jīng)由管道P102將其發(fā)送至卡(EVT_SendData[APDU])��。SM卡隨后仍然經(jīng)由管道P102返回數(shù)據(jù)RAPDU (返回應用協(xié)議數(shù)據(jù)單元)(EVT_Send Data[RAPDU])。最后���,路由器將數(shù)據(jù)RAPDU傳送至讀取器(RETURN RAPDU)�。如果設備已經(jīng)被黑客攻擊����,則已經(jīng)在CLF路由器中修改了路由表。然而��,SM卡仍然是不可訪問的�����,因為無法從微控制器12觸發(fā)來自路由器的激活控制信號��。圖6和7圖示了保護方法的另一個實施方式��。圖6示出了設備I的CLF路由器和讀取器之間的交換以及該路由器和設備的SIM卡之間的交換的示例���。圖7圖示了用于實施圖6中的交換的控制幀的格式示例。如之前的實施方式中那樣���,傳輸以讀取器的激活開始(PROVIDE FIELD)���,通過任意選擇的通信管道P102對卡進行通知(EVT_FIELD_0N)��,隨后為輪詢和沖突機制�����。根據(jù)該實施方式�,路由器使用(例如�����,ETSI標準102613中所定義的)路由器和安全模塊之間的交換標準中可用的具體控制信號(CLT)�����。該控制信號被用來向卡傳送路由數(shù)據(jù)(CLT_INIT EVT_CARD_ACTIVATED
)����。例如,這些數(shù)據(jù)是HCI標識符�����,隨后直接跟有管道編號(如圖5所示的02)�����。作為變化,還傳送使得SIM卡能夠檢查其自身的表還沒有被改變的路由表簽名��。CLT幀僅能夠在路由器和安全模塊之間或者路由器和微控制器12之間進行交換����,但并不在微控制器和安全模塊之間進行交換。這樣的控制無法由微控制器為安全模塊生成����。利用圖5的實施方式,即使路由表已經(jīng)被黑客攻擊�,管道也因此無法在微控制器的控制之下被打開。圖7圖示了慣用CLT幀以及路由數(shù)據(jù)傳輸?shù)腃LT幀的慣用內(nèi)容�。第一字節(jié)是控制字段,其具有識別所執(zhí)行命令的五個最低有效位���。其被提供以使用一般被指定為RFU的比特來向卡通知路由配置消息被發(fā)送����。該幀的接下來的字節(jié)(在以上所提到的標準中可能多達29個字節(jié))利用例如02的管道編號傳送控制信號EVT_CARD_ACTIVATED���。當卡接收到控制信號CLT_INIT時�����,其利用控制信號CLT no Admin" OK"進行響應�。隨后��,可以以關于圖5所討論的慣用方式(EXCHANGE)來執(zhí)行事務����。圖6和7的實施方式需要對路由器和SM卡進行參數(shù)設置以使得它們能夠對這些具體控制信號進行解釋。另外��,在兩個實施方式中�����,路由器被配置為在與讀取器的初始化過程之后在預定管道PIOl上發(fā)送具體控制信號CLT或激活����。應當注意的是,大多數(shù)配備有NFC路由器的設備都應當即使在它們關機時也能夠進行操作����,也就是說,通過由將它們包含在其場中的讀取終端進行遠程供電�。這在以上所提出的解決方案中并不是弱點�。實際上���,當設備I關機時��,其微控制器也關閉�。因此不會有盜用通信通過GSM網(wǎng)絡侵犯遠距離購買的風險��。已經(jīng)對各個實施方式進行了描述��,對于本領域技術人員而言將發(fā)生各種變化和修改��。特別地�,基于以上所描述的功能指示并且參考標準ETSI 102613和ETSI 102622,通過使用標準NFC路由器傳輸協(xié)議的實施方式的實際實施方式處于本領域技術人員的能力以內(nèi)�����。這種變化�����、修改和改進意在作為本公開的一部分�,并且意在處于本發(fā)明的精神和范圍之內(nèi)。因此,以上描述僅作為示例而并非意在進行限制��。本公開僅以如下權利要求及其等同形式所限定��。
權利要求
1.一種用于對包含在配備有近場通信路由器和微控制器的電信設備的安全模塊中的數(shù)據(jù)進行保護的方法��,其中與所述安全模塊和分配給近場通信的所述路由器的門之間的路由相關的數(shù)據(jù)僅通過路由器可訪問的管道進行傳送�����,或者利用并非由所述微控制器為所述路由器所生成的控制信號進行傳送�。
2.根據(jù)權利要求1的方法�����,其中對于與所述路由相關的數(shù)據(jù)的所述傳輸利用為所述路由器和所述模塊之間的交換所保留的管道來執(zhí)行���。
3.根據(jù)權利要求1的方法�,其中對于與所述路由相關的數(shù)據(jù)的所述傳輸利用為所述路由器和所述模塊之間的交換所保留的控制信號來執(zhí)行�。
4.根據(jù)權利要求1的方法,其中所述數(shù)據(jù)包含分配給所述通信的管道的標識符�。
5.根據(jù)權利要求1的方法,其中所述數(shù)據(jù)包含路由表的簽名。
6.根據(jù)權利要求1的方法�����,其中對于與所述路由相關的數(shù)據(jù)的所述傳輸由對于所述路由器和近場通信終端之間的通信的檢測所觸發(fā)。
7.一種配備有近場通信路由器的電信設備����,其包括能夠實施權利要求1的方法的裝置。
全文摘要
一種用于對包含在配備有近場通信路由器和微控制器的電信設備的安全模塊中的數(shù)據(jù)進行保護的方法��,其中與安全模塊和分配給近場通信的路由器的門之間的路由相關的數(shù)據(jù)僅通過路由器可訪問的管道進行傳送�����,或者利用并非由微控制器為路由器所生成的控制信號進行傳送����。
文檔編號H04L29/06GK103098503SQ201180041797
公開日2013年5月8日 申請日期2011年8月25日 優(yōu)先權日2010年8月31日
發(fā)明者T·胡奎, O·范涅宇文胡伊澤 申請人:質子世界國際公司