智慧卡接口竄改的探測的製作方法

2023-05-21 03:56:56

專利名稱：智慧卡接口竄改的探測的製作方法
技術領域：
本發明涉及一種探測電路擴展/竄改設備存在的方法，以及對應的終端。
背景技術：
智慧卡通常用於為了權限檢查、支付、衛星電視、數據存儲等目的的廣泛的應用範圍。作為一個例子，健康保險和銀行產業廣泛地使用智慧卡。智慧卡在尺寸和形狀上通常類似信用卡，而特別地是在內部包含嵌入的微處理器。具有讀卡器的終端與控制對卡上數據訪問的微處理器通信。智慧卡可例如和附於或位於個人計算機上的智慧卡讀卡器一起使用來鑑權用戶等等。也能在用於讀GIM卡的行動電話中和自動販賣機中見到智慧卡讀卡器。
對於具有讀智慧卡能力的私人和/或家用終端，諸如機頂盒(STB)、集成數位電視(IDTV)、數位電視、家庭網關、訪問系統、GSM、網際網路音頻設備，以及車載系統等等，偵察智慧卡和/或安全訪問卡與終端之間的電子通信的可能性比公用的銀行自動機(ATM)或類似的例如用於電子商務相/與電子商務相關的半公用/公用終端要大得多。由於在私有區域內操作，這使得能夠對智慧卡的進行攻擊，這種攻擊對於公用和/或半公用終端上的傳統智慧卡應用是不可能。
在歐洲的金融和服務產業協會Finread正試圖標準化用於公用ATM和個人計算機(PC)中的電子商務終端的形式，並且也為了將來的STB，IDTV和類似的家用終端。直到現在，該協會一直關注於昂貴的用於家用電子商務終端的竄改探測和竄改抵抗構造。嵌入式Finread是Finread協會的一部分，其檢查用於電子商務的低成本終端，諸如IDTV，Jave終端和STB的問題。專用終端(即ATM)通常採用的竄改抵抗和其它防範措施的成本相對於低成本的家用終端被認為是複雜的和/或昂貴的。
存在多種智慧卡/安全訪問卡，一些沒有複雜的處理能力，典型地是只有存儲器的卡。其它的卡，典型地是所謂的多應用/多功能卡，包括更多高級的屬性和功能，這些屬性和功能典型地提供卡用戶/所有者的安全鑑權，例如涉及獲得對設備、帳戶、功能、貨幣轉帳、以及電子商務應用等等的訪問。
這種卡具有卡上動態數據處理能力並且分配卡內存到指派給特定功能和/或應用的獨立的部分。
多應用/多功能智慧卡由一個發行人分發但是允許兩個或更多的應用/功能駐留在智慧卡上。典型地，高級32位處理器卡用於此目的。
Java智慧卡是具有允許應用進入並駐留在卡上的Java虛擬機(JVM)的智慧卡。通過這種方式，Java智慧卡是接近多應用智慧卡的第一步。
如提到的傳統智慧卡僅運行一個進程，而Java智慧卡具有在卡上運行多個進程的能力，這是智慧卡保護能力的增強，其允許智慧卡不僅僅執行安全事務，而且還允許監視卡本身和攻擊的存在。
典型地指定了子終端的設備是包括一些終端特徵的設備，即用戶輸入、顯示、存儲和到網際網路的遠程連接、或廣播信道，但不是所有的特徵。因此終端是完整的，並且實例是例如IDTV、STB或GSM(或類似的像3G、UMTS、GPRS等的蜂窩系統)，但子終端是不完整的。通過這種方式，子終端是提供終端的一些但不是所有功能的低成本版本的終端。子終端的一個實例是例如電視遙控。子終端也可例如是在STB和/或電視中實現的條件訪問系統的(美國的POD(配置點)典型代表的)條件訪問模塊。條件訪問模塊是源於DVB終端的通用接口概念的基於DVB的術語。
大多數系統能被提供充足資源的攻擊實體成功地攻擊。然而需要對提供合理資源的安全攻擊提供充足的防禦(保護和/或探測)，或者必須至少提供足以使單一形式的攻擊不再比其它攻擊更成功的防範措施。以便宜的方式完成這點也是所希望的。
假的終端能用於獲得對粗心用戶的卡的pin碼或其它應用信息的訪問，這是難於防護的，並且將需要不同於本發明所提供的其他保護/探測方案。
然而，對真的終端/子終端上的典型的安全攻擊是在終端和智慧卡之間的電信號通路中插入電路擴展設備，如擴充器、採樣電路、仿真電路等等，在該電信號通路中，電路擴展設備連接到將被觀察的智慧卡和任何用於偵察卡和終端之間的通信的電子設備。
發明目的和概述本發明的目的是提供一種探測電路擴展/竄改設備存在的方法(和對應的終端)，該方法(和系統)提供探測和/或保護以防禦插入的欺騙設備。另一個目的是以便宜的方式提供該方法。而另一個目的是使用最少的電測量達到該目的。
通過探測插入在連接到終端的物理接口和智慧卡之間的電路擴展設備存在的方法來實現該目的，物理接口適合於接收智慧卡，該方法包括步驟●測量物理接口的至少一個電特徵，並且●根據所述測量，確定改變所述物理接口的至少一個特徵的電路擴展設備是否連接到所述物理接口。
通過這種方式，提供對電路擴展設備的探測。
在一個實施例中，測量步驟包括●測量經由所述物理接口從所述終端提供到所述智慧卡的第一電流，●測量從所述智慧卡返回到所述終端的第二電流，並且其中所述方法還包括步驟●比較所述第一和所述第二電流是否基本上相等，並且如果不相等，確定電路擴展設備存在。
因此，得到了一種非常簡單和可靠的探測電路擴展設備的方式。
在一個實施例中，該方法還包括步驟●比較所述測量的至少一個電特徵和在製造期間校準的至少一個電特徵。
在一個實施例中，校準物理接口以創建至少一個可行但不穩定的在物理層的電屬性，該至少一個屬性允許所述智慧卡的正常事務，但是如果一個電路擴展設備連接到所述物理接口，將引起接口失效。
因此，接口失效將因而直接抵制竄改的攻擊。
在一個實施例中，該至少一個不穩定的電屬性涉及所述物理接口的電流和/或電壓特徵。
在一個實施例中，該方法還包括步驟●基於所述比較步驟，調整智慧卡的使用。
通過這種方式，終端能例如或者(例如使用通信/IP鏈路)警告用戶和/或者卡發行部門。接著將會由執行/發行部門終止和/或小心地監視涉及該卡的事務、訪問等等。
本發明也涉及對應於根據本發明的方法的終端。
更特定地，本發明涉及用於探測插入在連接到所述終端的物理接口和智慧卡之間的電路擴展設備存在的終端，該物理接口適合於接收該智慧卡，終端包括監視電路，其包括●用於測量物理接口的至少一個電特徵的裝置，和●用於根據用於測量的裝置的輸出，確定改變所述物理接口的至少一個特徵的電路擴展設備是否連接到所述物理接口的裝置。
在一個實施例中，用於測量的裝置包括●第一測量電路，測量經由所述物理接口從所述終端提供到所述智慧卡的第一電流，●第二測量電路，測量從所述智慧卡返回到所述終端的第二電流，並且終端還包括●比較器，連接到所述第一和第二測量電路並適合於比較所述第一和所述第二電流是否基本上相等，並且如果不相等，產生代表電路擴展設備存在的信號。
在一個可選實施例中，終端另外還包括用於比較所述的測量的至少一個電特徵和在製造期間的校準的至少一個電特徵的比較器。
在一個實施例中，校準物理接口以創建至少一個可行但不穩定的在物理層的電屬性，該至少一個屬性允許所述智慧卡的正常事務，但如果電路擴展設備和所述物理接口連接，將引起接口失效。
在一個實施例中，該至少一個不穩定的電屬性涉及所述物理接口的電流和/或電壓特徵。
在一個實施例中，終端還包括
●用於基於來自於所述比較器的所述信號調整智慧卡的使用的裝置。
此外，本發明也涉及計算機可讀介質，該介質具有在其上存儲的用於引起一個或多個處理單元執行根據本發明的方法的指令。
附圖簡述

圖1示意性地說明了智慧卡；圖2說明了智慧卡和現有技術終端；圖3說明了根據本發明的未竄改的電路的實例圖4說明了根據本發明的已竄改的電路的實例優選實施例描述圖1示意性地說明了一種典型的智慧卡。所顯示的是在現有技術中眾所周知的安全卡/智慧卡(100)。典型地，儘管形式、布局、尺寸等等可變化，卡(100)具有標準尺寸信用卡的形式。卡(100)典型地包括嵌入的存儲器、處理器/控制器和用於經由多個觸點(100』)與適當的讀卡器/(子)終端(未示出)通信的輸入/輸出(I/O)。示出的觸點(100』)(為了說明的目的放大/擴大其尺寸)遵循ISO 7816部分2的標準並且包括電源(10)、接地(11)、依賴特定卡用於不同的功能的三個可選的觸點/引腳(12，14，15)、雙向的輸入/輸出引腳(13)、以及檢查(16)和復位(17)。所有的這些信號由接收卡的終端提供給智慧卡(100)，並且為了觀察智慧卡(100)的響應，希望終端根據該標準協議監視雙向輸入/輸出(13)。
這樣的卡(100)可用於存儲如PIN碼、標識信息、個人信息、以及安全信息等信息。
圖2說明了智慧卡和典型的現有技術的終端。所顯示的是智慧卡(100)和通過物理智慧卡接口(115)進行通信的終端(101)。終端(101)包括主處理器(105)和通用的標準智慧卡接口(106)，該智慧卡接口優選地集成或嵌入到終端(101)中的集成電路(IC)(110)中。可選地，終端(101)也包括例如用於各種電子商務應用和/或其它功能的通信/IP鏈路。
當智慧卡(100)插入私人和/或家用終端/子終端(110)(以後都用終端代表)時，因為智慧卡(100)不具有電源，智慧卡(100)將通過來自中心源的電源來供電，並且該接地將是終端(101)的電系統的中心接地。在終端(101)中的物理智慧卡接口(115)的控制信號由串行智慧卡接口(106)典型地提供，該串行智慧卡接口(106)由終端(101)的中央處理器(105)編程以執行標準的協議來尋址智慧卡物理接口(115)。這是一個廉價且靈活的設備，其允許終端/STB軟體的開發者使用標準的電子接口和過程來訪問卡。然而如上面所描述的，通過偵察該通信，標準串行接口(106)的使用使終端(101)對竄改的形式開放。
圖3說明了根據本發明的未竄改的電路的實例。所顯示的是根據本發明修改的智慧卡/安全訪問卡(100)和終端(101)。智慧卡(100)和物理接口(115)對應於關於圖2示出和解釋的智慧卡和物理接口。
終端(101)對應於關於圖2示出和解釋的終端，不同的是其包括專門的智慧卡接口/控制器(113)而不是通用的接口(圖2中的106)，並且其還包括監視/探測電路(114)，該電路優選地集成/嵌入到構成終端(101)的功能的IC(110)中，並連接到主處理器(105)和物理智慧卡接口(115)。
接著IC(110)的接口引腳或其它接線直接連接到與智慧卡(100)連接的機械接口(115)。通過這種方式，IC(110)可配備考慮了對物理/機械接口(115)進行電測量的額外功能，以便探測考慮了偵察經由接口(115)的通信的對接口(115)的竄改。
在所示的實施例中，終端(101)包括由監視和比較物理接口(115)的特定電特徵的監視/探測電路(114)完成的監視進程，後面將會更加詳細地解釋。
如所提到的，智慧卡(100)是一個沒有內部電源的電路，其中終端(101)提供能量，即智慧卡(100)內的電流。這意味著供給卡的所有DC和AC電流總和(ISC)必須返回到源，即終端(101)中的IC(110)中的智慧卡接口/控制器(113)。如果存在來自源的而未返回到源的電流(DC和/或AC)洩漏，那麼幹擾和/或竄改一定存在。這樣的竄改可例如是具有加電的傳感器/放大器的監視/偵察電路、擴充器等等。根據本發明的監視/探測電路(114)能夠感知返回通路，即源的而不是終端本身的電流的AC或者DC的丟失。
在圖2所示的實施例中，監視/探測電路(114)更特別地包括連接到一個VDD連接(例如圖1中的電源引腳(10))以及測量/監視電流(用IDD代表)的第一電流監視器(102a)，和連接到一個VSS連接(例如圖1中的接地引腳(11))以及測量/監視電流(用ISS代表)的第二電流監視器(102b)。第一和第二電流監視器(102a，102b)都連接到比較IDD和ISS的比較器電路(103)中以確定它們(基本上)是否相等或(根本或比預定因數大的因數的)不同，即是否ISS(基本上)＝IDD或不等於。如果它們相等，表示從終端(101)引入到智慧卡(100)的電流也再次被返回，表示沒有插入竄改電路。如果電流不同(例如超過考慮了正常幹擾的邊界)，表示插入了偵察電路、竄改電路、擴展設備等等。
比較器(103)連接到控制器(104)，基於從比較器(103)接收的信號，該控制器(104)產生供應給主處理器(105)的控制信號。通過這種方式，如果探測到竄改電路，主處理器(105)可初始適當的動作。在所示的實例中，沒有插入竄改電路，並且因此引入到卡中的電流(ISS)(基本上)等於返回到終端(101)的電流(IDD)。
探測電路(110)可例如是使用由控制器(104)確定並由比較器(103)執行的窗口功能來比較ISS和IDD的標準電流鏡電路。
優選地，重新校準卡(100)和終端(101)之間接口的能力在終端(101)裡是不可用的。畢竟，特定裝備的使用僅僅在製造現場可用。
一個可替換的實施例包括用於創建可行但不穩定的在物理層的電屬性的接口的校準，電屬性例如是到智慧卡(100)的接口的時間/時序、電壓和/或電流。這些屬性應該是足夠可行以允許卡的正常事務，但卻如此專用於某些電條件以致於電路擴展設備(111，112)，例如擴展器、監視設備等的插入會引起接口失效。接口的失效將因而直接阻擋抵制的攻擊。
其中一個實現是使用一種基於阻抗的方法，該方法使用接口的電流和/或電壓特徵來創建脆弱的電條件。這例如通過在終端(101)中創建對信號通路的電阻抗可編程的驅動器電路而是可能的。特殊地，這些驅動器電路能夠使用信號通路反射屬性。為此，一個條件可例如是驅動器的信號瞬變時間和從源到接收器的飛躍時間(flight time)的重要的部分。在這種情況下，信號通路具有傳輸線的屬性，從而基於阻抗的方法非常實用。
而另一個實施例包括一個比較接口的已知電特徵(如在製造期間校準的)和當前條件的監視進程。該監視進程將調整智慧卡的使用。如果插入終端的實際卡的當前條件(例如完全和/或在預定義界限內)偏離校準條件，那麼終端能例如警告用戶和/或卡發行部門(例如使用該通信/IP鏈路)。接著將會由執行/發行部門終止和/或小心地監視涉及該卡的事務、訪問等等。
圖4說明了根據本發明的竄改的電路的實例。所顯示的是圖3顯示的但具有插入並連接到一個偵察/監視電路(112)的擴展器(111)的設備。因為插入的擴展器(111)和/或偵察電路(112)引入了電流「洩漏」，所以ISS不同於IDD，即由終端供應的所有電流沒有接收回來，這將會由比較器(103)探測到並由控制器(104)通知到主處理器(105)。通過這種方式，通過簡單的方式很容易地探測到偵察、竄改等的嘗試。
權利要求
1.一種探測插入在連接到終端(101)的物理接口(115)和智慧卡(100)之間的電路擴展設備存在的方法，物理接口(115)適合於接收智慧卡(100)，該方法包括步驟●測量物理接口(115)的至少一個電特徵，並且●基於所述測量，確定改變所述物理接口(115)的至少一個特徵的電路擴展設備(111，112)是否連接到所述物理接口(115)。
2.如權利要求1所述的方法，其特徵在於所述測量步驟包括●測量經由所述物理接口(115)從所述終端(101)提供到所述智慧卡(100)的第一電流，●測量從所述智慧卡(100)返回到所述終端(101)的第二電流，並且其中所述方法還包括步驟●比較所述第一和所述第二電流是否基本上相等，並且如果不相等，確定電路擴展設備(111，112)存在。
3.如權利要求1所述的方法，其特徵在於所述的方法還包括步驟●比較所述的測量的至少一個電特徵和在製造期間校準的至少一個電特徵。
4.如權利要求1所述的方法，其特徵在於校準所述物理接口(115)以創建至少一個可行但不穩定的在物理層的電屬性，該至少一個屬性允許所述智慧卡(100)的正常事務，但是如果一個電路擴展設備(111，112)連接到所述物理接口(115)，會引起接口失效。
5.如權利要求4所述的方法，其特徵在於所述的至少一個不穩定的電屬性涉及所述物理接口(115)的電流和/或電壓特徵。
6.如權利要求1-5所述的方法，其特徵在於該方法還包括步驟●基於所述比較步驟調整智慧卡(100)的使用。
7.用於探測插入在連接到所述終端(101)的物理接口(115)和智慧卡(100)之間的電路擴展設備(111，112)存在的終端，物理接口(115)適合於接收所述的智慧卡(100)，終端(101)包括監視電路(114)，其包括●用於測量物理接口(115)的至少一個電特徵的裝置(102a，102b)，和●用於根據用於測量的裝置(102a，102b)的輸出，確定改變所述物理接口(115)的至少一個特徵的電路擴展設備(111，112)是否連接到所述物理接口(115)的裝置(104)。
8.如權利要求7所述的終端，其特徵在於所述用於測量的裝置包括●第一測量電路(102a)，測量經由所述物理接口(115)從所述終端(101)提供到所述智慧卡(100)的第一電流，●第二測量電路(102b)，測量從所述智慧卡(100)返回到所述終端(101)的第二電流，並且所述終端還包括●比較器(103)，連接到所述第一和第二測量電路(102a，102b)並適合於比較所述第一和所述第二電流是否基本上相等，並且如果不相等，產生代表電路擴展設備(111，112)存在的信號。
9.如權利要求7所述的終端，其特徵在於所述終端另外還包括用於比較所述的測量的至少一個電特徵和在製造期間的校準的至少一個電特徵的比較器(103)。
10.如權利要求7所述的終端，其特徵在於校準所述的物理接口(115)以創建至少一個可行但不穩定的在物理層的電屬性，該至少一個屬性允許所述智慧卡(100)的正常事務，但如果電路擴展設備(111，112)和所述物理接口(115)連接，將引起接口失效。
11.如權利要求10所述的終端，其特徵在於所述的至少一個不穩定的電屬性涉及所述物理接口(115)的電流和/或電壓特徵。
12.如權利要求7-11所述的終端，其特徵在於終端(101)還包括●用於基於來自所述比較器的所述信號來調整智慧卡(100)的使用的裝置(106)。
13.具有在其上存儲的用於引起一個或多個處理單元執行如權利要求1-6中任何一個所述的方法的指令的計算機可讀介質。
全文摘要
本發明涉及一種探測插入在連接到終端的物理接口和智慧卡之間的電路擴展設備存在的方法(和對應的終端)，該物理接口適合於接收智慧卡，該方法包括步驟測量物理接口的至少一個電特徵，基於所述測量確定改變所述物理接口的至少一個特徵的電路擴展設備是否連接到所述物理接口。通過這種方式，提供了簡單而有效的竄改/偵察電路的探測。
文檔編號G06K17/00GK1739110SQ200380108709
公開日2006年2月22日 申請日期2003年12月4日 優先權日2003年1月14日
發明者K·巴克, J·M·普盧尼斯 申請人:皇家飛利浦電子股份有限公司