具有操作錯誤計數器的可攜式數據載體的製作方法

2023-04-24 07:41:36 3

專利名稱：具有操作錯誤計數器的可攜式數據載體的製作方法
技術領域：
本發明涉及一種具有操作錯誤計數器的可攜式數據載體、以及用於利用操作錯誤計數器保護數據載體中的命令的方法。
背景技術：
連同例如晶片卡的可攜式數據載體而使用操作錯誤計數器，用於限制具有獲得該數據載體的安全相關數據的目的的安全相關命令的未授權執行。例如，這裡已知限制連續虛假輸入的數目。如果此數目過高，則封鎖(block)數據載體。利用操作錯誤計數器，還可以辨識對數據載體上執行的任意命令的其它種類的攻擊。例如，如果通過命令執行的計算被對數據載體的外部動作幹擾(disturb)，則可以通過在結果被輸出之前重複的計算來在數據載體內部辨識到此，其中所述外部動作具有使用經幹擾的結果窺探出該計算中涉及的機密數據的目的。僅當兩個計算達到一致的結果時才實現計算結果的輸出。否則，可以假設存在對計算之一的攻擊，並且對應的操作錯誤計數器記錄此攻擊。然而，對數據載體(例如其已經被偷)的命令執行上述攻擊的攻擊者可以通過對特定數據載體參數的分析(例如，通過當前計算)而辨識到兩個計算結果的比較是否產生一致性。因此，攻擊者具有在操作錯誤計數器可以記錄攻擊之前通過中斷電源來禁用數據載體的可能性。這樣，攻擊者似乎可以中止操作錯誤計數器，並如他希望地經常執行攻擊。為此，較新的實踐是從指定的正初始值開始，在執行安全相關命令之前已經遞減操作錯誤計數器，並且僅當已經在不中斷的情況下執行了該命令時遞增該操作錯誤計數器。這樣，可以通過操作錯誤計數器安全地辨識到上述攻擊，因為在執行該命令期間，當電源中斷時不再發生計數器的遞增。在該命令的下次調用(call-up)時，操作錯誤計數器的讀數相應地減小I。如果假定只在操作錯誤計數器具有正值時才在數據載體中執行命令，則對該命令的攻擊數目被操作錯誤計數器的初始值限制。這樣，可以安全地防止對該命令的廣泛攻擊。但是，這種操作錯誤計數器也具有缺點。如果一開始(即，通常在數據載體的製造期間)將計數器設置得太高，則在初始化或個人化階段中，存在攻擊者至少以特定的不可忽略的概率成功攻擊的風險。由此降低了數據載體的安全性。另一方面，如果將初始值設置得太低，則存在如下危險:在未發生攻擊的情況下，由於授權用戶的偶然操作錯誤、或由於技術幹擾(例如，該技術幹擾導致執行命令期間電源的中斷以及數據載體被禁用)，計數器在數據載體的操作時間的過程中降至最小容許值之下。數據載體的可靠性和持久可操作性受損。

發明內容
本發明的目的是提出一種用於利用操作錯誤計數器保護數據載體的方法，其將數據載體的高安全性與數據載體的可靠性和持久可操作性相結合。此目的通過具有獨立權利要求的特徵的方法和數據載體來實現。在從屬權利要求中說明了有利實施例和發展。在根據本發明的方法中，在用於保護數據載體以防對數據載體的外部攻擊的可攜式數據載體中，在數據載體中採用至少一個計數器。這裡，保護指定命令，以使得僅當該至少一個計數器處於指定的容許值範圍中(特別地，不低於指定的最小值)時數據載體才執行該命令。在執行該命令之前遞減該至少一個計數器，並且僅當已經在不中斷的情況下執行了該命令時才遞增該至少一個計數器。根據本發明，甚至在向用戶給出該數據載體之後也設置該至少一個計數器。也就是，除了在製造數據載體時初始地設置計數器之外，存在當數據載體已經被投入操作時重新設置計數器的可能性。在本發明的框架內，計數器的設置指派計數器的值的設置、計數器的容許值範圍的設置、以及計數器的容許遞進(progression)模式的設置。不言而喻的是，與上述第一變型例類似地，根據第二變型例，計數器也可以被適配以使得僅當該至少一個計數器不在向上的方向上離開指定的值範圍(即，不超過指定的最大值)時才執行指定的命令。這裡，該至少一個計數器接著在命令的執行之前遞增，並僅當已經在不中斷的情況下執行了該命令時才遞減。為了簡單易懂，說明書和權利要求書將僅引用兩個變型例中首先提及的變型例，其在功能上完全等同於第二變型例。因此，根據本發明的可攜式數據載體包括至少一個存儲器、被適配用於執行存儲在存儲器中的命令的處理器、以及至少一個用於保護命令的計數器。數據載體被適配於僅當該至少一個計數器不低於指定的值時才執行命令。此外，數據載體被適配於在執行命令之前遞減該至少一個計數器、以及僅當已經在不中斷的情況下執行了命令時才遞增所述至少一個計數器。根據本發明，該至少一個計數器被適配為甚至在向用戶發布數據載體之後也是可設置的。這樣，可以使得授權的主體能夠在任何時候設置計數器。特別地，這甚至當數據載體已經在使用時也成立。另一方面，由此可以在發布時將具有相當低的初始值的計數器發給用戶。這保證數據載體和可在其上執行的命令的高安全性。這在用戶丟失數據載體(例如通過偷竊)的情況下特別成立。另一方面，可以利用合適的設置在若干時間之後再次增大計數器，例如，當計數器由於授權用戶的非有意的操作錯誤、或由於技術故障而已經從初始值減小時，將其增大至原始的初始值。因此，可以防止對數據載體的非故意封鎖。這在如下時候是有利的:在使用數據載體的過程中，已經導致計數器遞減的非有意的授權操作錯誤和技術缺陷的數目已經合計達將達到初始值的值的數目。因此，根據本發明的多次計數器設置使得可以防止數據載體的封鎖。由此，在不限制安全性的情況下提高了使用數據載體的可操作性和可靠性。在數據載體的壽命周期中的任何時間，可以將計數器保持得如此低，以至於未授權方對指定的命令的攻擊僅可能達到非常有限的程度。同時，可以避免由於偶然、非有意或技術上引起的操作錯誤而對數據載體的封鎖。甚至在數據載體的製造之後，即，甚至當數據載體已經被發布給用戶並且可能已經運轉了若干時間時，也可以重新且合適地設置因這樣的原因而被遞減的計數器。作為被賦予設置計數器的權利的授權主體，可以考慮一些實體。例如，可以對數據載體的用戶允許這樣的設置。發布數據載體的主體也可以執行計數器的設置。最後，此設置同樣可以由數據載體自己執行。此外，為了使相關實體能夠執行設置而必須滿足的需求可以改變。最後，一方面，當設置時計數器被設置的值、或容許值範圍、或計數器的容許遞進可以被自由地指定。另一方面，計數器的重新設置值可依賴於外部規範、或計數器讀數的在前遞進。在下文中將描述根據本發明的方法的優選實施例的不同方面。必須強調，除非這些方面在技術上互相排除，否則這些方面可以分別自由地相互組合，而不需要明確描述這些方面的每個可能組合。根據第一方面，可以在向數據載體成功認證之後設置至少一個計數器。僅當數據載體可無疑地確定(ascertain)是要在授權且可認證的用戶的請求下、或在另一授權且可認證的主體的請求下執行計數器的設置時，才允許在數據載體的部分上進行的這樣的設置。這裡，用戶可以例如通過輸入機密數據而向數據載體認證自己。這樣的認證可以「離線」進行，即，數據載體不連接至檢查認證的數據處理設備。然而，如果數據載體自己不具有輸入部件(例如鍵盤等)，則數據載體可以連接至合適的接口(例如晶片卡終端)以使得機密數據的輸入成為可能。替代地或附加地，用戶還可以向發布數據載體的主體認證自己。其可以是例如銀行或移動通信提供商。這裡，可以假定用戶在使用數據載體的同時建立與發布主體的通信連接，並在此數據通信的框架內認證自己。因此，「在線」進行認證。此認證同樣需要來自用戶的關於他的授權的證據。為此，僅有數據載體是不夠的。用戶可以例如通過機密數據、生物特徵，通過擁有與所述數據載體不同的另外的數據載體，或類似的已知手段，向發布主體識別自己。當數據載體經由合適的讀取設備(例如利用晶片卡終端)「在線」地連接至發布主體時，以已知方式進行發布數據載體的主體向數據載體的認證。例如，可以通過交換所謂的密碼(加密的數據包)來進行這樣的認證。使用這些密碼，數據載體可以認證發布主體。第二方面涉及執行至少一個計數器的設置的實體。通常可以在成功認證之後進行這樣的設置。一方面，可以由發布數據載體的主體執行此設置(例如，在所述主體參與認證的情況下)。這樣，主體可以總是檢查併合適地管理髮布的數據載體的計數器讀數。甚至在數據載體的「實地(in the field)」操作期間，發布主體也可以保證數據載體的安全性和可操作性。因此，例如，只要用戶通過數據載體「在線」，即，經由數據通信連接而連接至發布主體，發布主體就可以檢查並在適當的情況下重新設置計數器的讀數。替代地，還可以由用戶自己進行該至少一個計數器的設置，優選地，在用戶向數據載體或發布主體成功認證之後。這樣，用戶可以通過計數器的設置來定義他自己的安全性需要。可以將用戶的設置可能性限制到如下效果:用戶的設置僅在數據載體的安全性總是被保證的範圍是可能的。也就是說，例如，計數器的初始值不可以超過指定的值，以不允許潛在攻擊者對安全相關的命令的太多攻擊。最後，數據載體自己可以執行至少一個計數器的設置。例如，這可以當用戶已經向數據載體成功認證了自己時進行。此設置可以對用戶保持透明，即，他根本注意不到該設置。這樣的設置(例如分別對於原始的初始值)確保數據載體的安全性、以及對於用戶在常規操作(包括偶然的操作錯誤)時的錯誤容限。根據另一方面，在數據載體中提供多個計數器。這裡，採用第一計數器用於保護第一命令，並且，採用與第一計數器不同的第二計數器用於保護通常與第一命令不同的第二命令。計數器的數目可以改變。如上文中所述，每個計數器是可單獨設置的。這樣，可以以適當的方式不同地保護不同的命令。一個命令的非有意的操作錯誤的概率可能高於另一個命令。因此，應當更頻繁地重新設置相關計數器，以避免對數據載體、或至少數據載體上的命令的非故意封鎖。而且，由於技術條件而對一個命令的幹擾可能比另一個命令更頻繁。在此情況下，分別合適地處理對應的計數器也是有益的。從而，有利的是，設計保護對應的命令的計數器，以便可以被單獨設置。這樣，利用與數據載體上的每個單獨的命令特別關聯的可單獨設置的計數器，可以最優地保護此命令。當第一計數器保護在數據載體的第一操作模式中執行的命令、而第一計數器保護在數據載體的第二操作模式中執行的命令時，這是特別有益的。第一操作模式可以是例如接觸式操作模式，而第二操作模式可以是例如非接觸操作模式。如果數據載體因此被適配於以接觸方式以及非接觸方式的操作，則可以有益地使用分別與不同操作模式關聯的不同計數器。保護第二操作模式中的命令的該計數器通常被分別設置得更高、且被更頻繁地重新設置。這是由於如下事實:在此操作模式中，數據載體的電源由於技術原因而偶爾中斷，導致在對應的命令由此已經中斷的情況下的計數器遞減。與關於數據載體的電源更穩定的第一操作模式中的命令關聯的計數器將通常被設置得更低、且被較不頻繁地重新設置。在兩個情況下，可以保證數據載體的安全性以及可靠的可操作性，並同時考慮了兩個操作模式的技術條件。最後，與不同的命令關聯的不同計數器也可以被單獨設置到如下效果:一個命令在低數目的攻擊下已經處於將敏感數據傳遞至攻擊者的危險中，而另一命令在這一點上更加穩健。另一方面涉及至少一個計數器的具體設置。一方面，這簡單地指在根據本發明的設置時計數器被置於的值。這可以例如是在製造數據載體時計數器被原始設置的值。從這個新設置的初始值，接著進行所描述的計數器的遞減和遞增。然而，也可以在不同的設置時將計數器設置為偏離在前初始值的相應的其它新初始值。這樣做，計數器的過去的遞進可以進入對要被設置的初始值的確定。然而，設置至少一個計數器的方面還涉及更複雜的關係。當在此更複雜的意義上設置計數器時，制定定義計數器的容許遞進的規範，特別是關於時間間隔。如所提及的，至少一個計數器的設置還涉及指定在數據載體或所保護的命令不被禁用的情況下計數器不可離開的容許值範圍。一般地，對於計數器的容許遞進模式，這同樣成立。根據此方面，可以向容許範圍提供涉及值範圍不可離開的時間間隔的規範。因此，並行地定義幾個容許值範圍變為可能。這樣做，在短的指定時間間隔(例如I小時)內值範圍之一離開可能將導致數據載體的禁用，而如果計數器例如僅在幾個月之後離開此值範圍，這將被認為不嚴重。一般而言，這些設置指定對於相應的給定時間跨度、至少一個計數器的遞減與該至少一個計數器的遞增的容許比例。不僅可以在向用戶發布數據載體之後進行這樣的設置，而且在製造數據載體時已經進行了這樣的設置。可以以相對的和/或絕對的數字來陳述該比例。也就是，可以關於例如I小時、I天、I周等的時間跨度而設置所進行的遞減與所進行的遞增的比例可以是多少而不推斷出對計數器所保護的命令的攻擊。這樣，例如可以設置對於任何時間跨度可以進行不多於10個直接連續的遞減，即在任何地方不存在中斷此序列的遞增。此外，例如可以設置在I年內遞減的數目可以超過遞增的數目指定的絕對數目(例如200)或相對數目(例如5%)。這樣，一方面，很可能來自於已知攻擊的遞減和遞增的那些模式可以被可靠地設置為不被允許。另一方面，可以將在數據載體的普通使用期間所預期的計數器的遞進設置為容許。另一方面，上述時間跨度可以被理解為絕對時間跨度。於是，數據載體優選地包括其自己的時間測量設備，該時間測量設備由數據載體的獨立電源(例如電池)供電。替代地，所指定的時間跨度還可以規定數據載體的嚴格操作時間，即數據載體在它不具有其自己的電源的情況下由外部讀取設備供電並從而投入運轉的時間。數據載體的合適的時間測量設備然後相應地測量此操作時間，並且還能夠存儲總操作時間。還可以的是:以絕對時間測量某些時間跨度，而以數據載體的嚴格操作時間測量其它時間跨度。根據又一方面，還可以依賴於數據載體自己確定的那些數據來設置至少一個計數器。此設置可以涉及具體值、以及涉及複雜意義上的設置，如上文所述。這些數據通常涉及對數據載體的處理，例如，在數據載體的使用期間數據載體如何移動、哪些其它外部力(例如壓力或彎曲力)作用在數據載體上，等等。為此，可以在數據載體中提供運動傳感器或對應的其它傳感器，其可以捕獲力在數據載體上的作用。在此方法背後的思想例如是攻擊者利用高級技術手段攻擊的數據載體通常不移動，至少不隨機移動，而是基本上保持固定在裝置中。因此，沒有任何中間遞增的較小數目的遞減、伴隨著數據載體的不動，可能已經指向攻擊。當數據載體根據慣常的運動特性而移動時，相同的數目將被認為是不可疑的。在至少一個計數器離開指定的值範圍、或者不再滿足(S卩，通常超過)遞減與遞增的容許比例的情況下，由至少一個計數器保護的數據載體或至少命令被禁用。於是，對數據載體的進一步攻擊是不可能的。敏感數據無法進入未授權的手中。因為根據本發明，通過按需重新且合適地設置計數器以補償偶然的操作錯誤或技術困難，基本排除了對數據載體或命令的錯誤禁用，所以可以在禁用數據載體時以非常高的概率假設對數據載體的攻擊。


在下文中，將參考附圖而通過示例說明本發明。其中示出:圖1示出根據本發明的數據載體的優選實施例，以及圖2示出根據現有技術的用於利用操作錯誤計數器保護命令的方法的步驟。
具體實施例方式在這裡呈現為晶片卡的可攜式數據載體10包括兩個不同的數據通信接口 20、22。第一數據通信接口 20被配置為接觸墊。利用該接觸墊，可以經由接觸式讀取設備(例如普通的晶片卡終端)接觸數據載體10。第二數據通信接口 22用作非接觸數據通信並且被配置為天線線圈。在接觸式或非接觸的相應操作模式中，經由相應的數據通信接口 20、22，以已知方式分別進行向數據載體10的供電。數據載體10可以附加地包括其自己的電源，例如以電池(未示出)的形式。替代地，數據載體10還可以被適配用於僅接觸式或非接觸的一個操作模式。此外，數據載體10包括處理器(CPU30)、一排存儲器50、60、70、以及運動傳感器40。不可重寫的非易失性ROM存儲器50包括控制數據載體10的作業系統(OS)52、以及被適配用於支持在數據載體10上執行安全相關的命令(例如，在認證時、在密碼函數的計算時等)的應用54、56。作業系統52或至少其部分、以及應用54、56也可以被替代地存儲在可重寫的非易失性快閃記憶體(FLASH)60中。其中還存儲了應用66 (例如不同的用戶應用)、以及用於保護安全相關的命令54、56的兩個計數器62、64。在下文中將參照圖2而更準確地描述計數器62、64的功能。運動傳感器40被適配用於辨識數據載體10的運動並將在這一點上收集的數據傳送至數據載體的控制單元(例如處理器30連同作業系統52)。同樣，在下文中將更準確地描述運動傳感器40以及由此辨識到的數據載體10的運動模式的功能。替代地或附加地，數據載體10可以包括另外的傳感器(未示出)，其指示例如力在數據載體10上的外部作用。參照圖2，將簡要地描述對用於保護命令的計數器62、64的普通使用。當用於執行的命令被傳遞至命令解釋器時，在第一步驟SI中檢查與該命令關聯的計數器62、64是否仍然處於容許的指定最小值(例如「O」)之上。如果不是這種情況，則在第二步驟中封鎖數據載體10。也就是，計數器62、64下降到最小值之下導致禁用數據載體10。也可以僅僅封鎖由計數器62、64保護的命令的執行，而數據載體10其它方面保持可操作。如果計數器62、64仍然處於容許值範圍之內，即在這裡的最小值之上，則在步驟S3中，在命令的執行開始(onset)之前遞減計數器62、64，即通常減小值「I」。在之後的步驟S4中，接著執行命令。命令處理可以包括這裡未單獨指示的幾個子步驟。當命令處理徹底完成時，在步驟S5中再次遞增計數器62、64，即通常增大值「I」。由此，計數器62、64採用其在用於執行與計數器62、64關聯的命令的命令解釋器的最後調用開始之前已經採用的值。然而，在對命令的處理被幹擾使得對命令的處理在到達命令處理的結尾之前異常中斷的情況下，步驟S5中計數器的遞增因此也被省略。這因為在執行步驟S5之前數據載體10中所預期的序列被異常中斷而成立。數據載體10中的序列的這種異常中斷可以基於數據載體10的供電中斷。例如，當操作在非接觸操作模式中的數據載體10被移除得距對應的讀取設備太遠時，這可能非故意地發生。還可能的是，當數據載體10操作在接觸式操作模式中時，數據載體10的接觸區域20、或讀取設備的對應接觸區域的磨損或汙損導致電源中斷。最後，這種非故意中斷也可以基於可能偶然發生的其它技術缺陷。另一方面，數據載體10的電源中斷也可能已經被故意地引起。這是如下時候的情況:對數據載體10、或對數據載體10的特定命令的攻擊將在數據載體內的設備可以辨識到該攻擊之前被通過電源中斷而中斷的數據載體10內的序列所隱藏。這種對攻擊的隱藏現在被計數器62、64所防止，所述計數器62、64並非如之前所慣常的那樣僅當已經肯定地辨識到攻擊時才遞減。如上文中所述，現在在執行要被保護的命令之前已經遞減了對應的計數器62、64 (所謂「預防性地(preventively)」)，並且僅當未進行(可辨識的)攻擊時才遞增對應的計數器62、64。然而，序列的異常中斷也可能由於在數據載體中辨識到不存在用於執行命令的授權的事實。這例如對於基於機密數據的輸入的授權命令成立。如果輸入的機密數據不正確，則在到達結尾之前(即在步驟S4內)，認證命令被異常中斷。計數器62、64然後用於對無效(fruitless)的認證嘗試進行計數。當授權的用戶例如在輸入機密數據時僅犯了打字錯誤時，可能再次錯誤地引起這樣的異常中斷。然而，當攻擊者嘗試通過連續輸入所有可能的機密數據來猜測機密數據時，在每個無效的嘗試時，計數器62、64被故意地遞減I。準確地，計數器62、64的這些改變是攻擊者實際上想要通過上述電源中斷而防止的改變。在數據載體10中的正當(proper)序列異常中斷的情況下，無論什麼原因，在執行命令期間，計數器62、64因此都包含在命令解釋器的下個調用時減小I的值，這是因為未執行遞增。因此，從計數器62、64的指定初始值開始，此值在命令的執行未適當地達到結尾時總是減小I。如果計數器62、64由此降至最小值之下，則數據載體10被禁用，如參照步驟S2所提及的。也就是，如果數據載體10的電源中斷的數目和/或在執行命令期間分別發生異常中斷的其它原因的數目超過初始值，則封鎖數據載體10或至少封鎖對應命令。為了防止對數據載體10的非故意封鎖，將可以在製造數據載體時相應地將計數器62、64的初始值設置得較高。然而，這將賦予攻擊者在數據載體10被禁用之前發動對數據載體10的對應數目的攻擊的可能性。關於每個攻擊,敏感數據離開數據載體10的概率較高。如果在製造數據載體時將初始值設置得非常低，則數據載體被相當好地保護以防外部攻擊。然而，相應地，較小數目的非故意的操作錯誤或技術缺陷可導致數據載體10的非故意關閉。為了該原因，數據載體10被適配使得:甚至在向用戶發布數據載體10之後，計數器62、64也可以被重新設置多次。這對於計數器62、64的值、以及計數器62、64可以在時間跨度期間移動的值範圍成立，該時間跨度是規定的或同樣可在設置計數器62、64時定義。對於設置計數器62、64的授權可以被許可給用戶、以及發布數據載體10的主體。這通常需要向數據載體10進行相應認證。最後，還可以通過數據載體10自己來進行設置，例如，依賴於計數器62、64過去的遞進、或者依賴於運動傳感器40的數據。還可能的是，為了能夠進行計數器62、64的設置，所述條件中的不同條件必須同時存在。不同的計數器62、64是分別可單獨設置的。一個計數器62、64的設置獨立於另一個計數器62、64的設置。因此，不同的命令可以被特定地保護。當例如計數器62保護在非接觸操作模式中執行的命令時，有利的是:將此計數器62的初始值設置得高於計數器64，計數器64保護在接觸式操作模式中執行的對應命令。與非接觸操作模式有關的非有意電源中斷預期比接觸式操作模式更頻繁。當數據載體10的用戶向數據載體10成功認證了他自己時，他可以執行對計數器62、64的設置。這可以例如通過輸入機密數據(例如PIN)而進行。為了輸入這樣的機密數據，數據載體10可以具有輸入設備(未示出)，例如鍵盤。還可能的是，為了將這樣的數據輸入至數據載體10，數據載體10經由接口 20、22之一連接至具有輸入設備的合適讀取設備(例如晶片卡終端)。可能的是，用戶然後可以自己執行關於計數器62、64的設置。替代地，數據載體10也可以一出現用戶的成功認證時就將計數器62、64的設置恢復至內部指定的值。還可以由發布數據載體10的主體(例如銀行)來執行計數器62、64的設置。為此，數據載體10必須連接至此主體。這可以例如經由其部分連接(例如經由網際網路)至發布主體的合適讀取設備來完成。為了獲得用於設置計數器62、64的授權，發布主體必須以已知方式向數據載體10認證它自己。此後，可以根據發布主體的規範來設置計數器62、64。在此情況中，也可以在發布主體的成功認證之後由數據載體10自己執行對計數器的設置。數據載體10可以例如在相應的指定時間間隔期滿之後提供此。數據載體10可以從內部時間測量設備或從發布主體獲得的經證實的時間戳獲取時間間隔的期滿。
如所述的，計數器62、64在此最簡單的情況下可以被恢復至指定的或重新定義的初始值。這在如下時侯完成:計數器62、64由於非故意的誤用或技術條件而已經在數據載體10的操作過程中被遞減，使得其當前值處於最小值附近，從而由於較小數目的進一步遞減而導致的數據載體10的禁用即將發生。如所述的，依賴於要被保護的命令和執行命令的操作模式，將不同的計數器設置為不同的初始值。然而，還可以關於計數器62、64設置更複雜的規範。這裡，可以指定計數器62、64在數據載體10的操作過程中可以如何改變，而不被看作對數據載體10的攻擊。不僅可以在向用戶發布數據載體10之後進行這樣的設置，而且可以在製造數據載體10時已經進行了這樣的設置。這種設置主要用於區分計數器62、64的通常在對數據載體10的普通使用時發生的那些遞進模式、與指向對數據載體10的攻擊的那些模式。當普通使用時，例如如下發生:在計數器62、64的遞增再次發生之前，計數器62、64的偶然兩個(極少為三個或更多個)遞減相互接續。這將歸因於用戶的偶然操作錯誤和偶然技術缺陷。相比之下，由攻擊引起的計數器遞進的模式通常特性在於:在相對短的時間內觀察到沒有中間遞增的許多遞減。計數器62、64的合適設置可以使得這樣的不同模式可辨識。對於例如對應於數據載體10的平均使用壽命的大的時間跨度，可以指定遞減的數目可以超過遞增的數目相當大的值(例如「1000」)。這對應於如下假設:在數據載體10的操作時間期間，預期總共不多於1000個操作錯誤和技術缺陷。相對短的時間段(例如，I周、I天、I小時)內容許的操作錯誤的數目被相應地設置得較低。這裡，容許的操作錯誤對應於計數器的兩個遞減直接相互接續的情況。如果許多遞減直接相互接續，則這指向攻擊，例如，當將通過列舉所有可能的PIN來猜測數據載體的PIN時。這樣的攻擊可以被容易地辨識到，並可以利用所述設置(例如，簡單地通過認為I小時內多於10個操作錯誤是不被容許的)而阻止。最後，可以依賴於數據載體10利用運動傳感器40或其它內部測量設備感測它自己的那些數據，來執行對計數器62、64的設置。首先提及的數據提供關於數據載體10的運動模式的信息。其它測量的值例如是由於接觸困難等而導致的數據載體中的電流波動。特定運動模式指向對數據載體10的普通使用。這些是示出基本上隨機運動的模式。這裡，要注意運動模式以及可以在時間上與其並行辨識的計數器62、64的改變。在計數器62、64的各個遞減/遞增之間數據載體10沒有任何可辨識的(特別是隨機的)運動的情況下計數器62,64的較大數目的連續改變指向攻擊。在這種情況下，數據載體10通常被固定在合適的裝置中。因此，依賴於數據載體10的運動模式來設置計數器62、64的遞減與遞增之間的容許比例。在幾乎不運動時，特別是在幾乎不可辨識的隨機運動時，執行嚴格設置，即，容許比例被適配為僅允許相對少的不具有中間遞增的遞減的效果。在數據載體10的可辨識的「常規」運動時，可以再次放寬對應設置。最後，使用數據載體內收集的測量值，可以進行嘗試(特別是考慮到引起數據載體10的電源中斷的攻擊)區分這樣的攻擊與非故意操作錯誤和技術缺陷。直接跟在電壓波動之後的電源中斷可以指示接觸困難(例如由於不足的接觸面積而導致)，而不太可能是有目的的攻擊。這類似地適用於直接跟在數據載體10的劇烈運動之後的中斷，通過該劇烈運動，數據載體10例如已被不經意地從非接觸讀取設備的讀取場移除。
權利要求
1.一種可攜式數據載體(10)中的方法,其中，僅當所述數據載體的至少一個計數器(62 ;64)處於指定的值範圍中時(SI)，所述數據載體(10)才執行指定的命令(54 ;56)，並且其中，在所述命令(54 ;56)的執行之前遞減(S3)所述至少一個計數器(62 ;64)，並且僅當在不中斷的情況下已經執行了所述命令(54 ;56)時(S4)才遞增(S5)所述至少一個計數器(62 ;64)，其特徵在於，在向用戶發布所述數據載體(10)之後設置所述至少一個計數器(62 ;64)。
2.按權利要求1所述的方法，其特徵在於，在向所述數據載體(10)成功認證之後設置所述至少一個計數器(62 ;64)。
3.按權利要求2所述的方法，其特徵在於，用戶和/或發布所述數據載體(10)的主體向所述數據載體(10)認證他自己/它自己。
4.按權利要求1至3中的任一項所述的方法，其特徵在於，由發布所述數據載體(10)的主體執行對所述至少一個計數器(62 ；64)的設置。
5.按權利要求1至4中的任一項所述的方法，其特徵在於，由所述數據載體(10)的用戶執行對所述至少一個計數器(62 ；64)的設置。
6.按權利要求1至5中的任一項所述的方法,其特徵在於,提供多於一個計數器(62；64)，採用第一計數器(62)用於保護第一命令(54)，以及採用第二計數器(64)用於保護第二命令(56)。
7.按權利要求6所述的方法，其特徵在於，所述第一計數器(62)保護在所述數據載體(10)的第一操作模式中、尤其是在接觸式操作模式中執行的命令(54)，而所述第二計數器(64)保護在與所述第一操作模式不同的第二操作模式中、尤其是在非接觸操作模式中執行的命令(56)。
8.按權利要求1至7中的任一項所述的方法，其特徵在於，關於初始值設置所述至少一個計數器(62 ;64)，在所述設置之後，在執行所述指定的命令(54 ；56)之前，從所述初始值開始遞減所述至少一個計數器(62 ;64)。
9.按權利要求1至8中的任一項所述的方法，其特徵在於，關於所述至少一個計數器(62 ；64)的遞減與所述至少一個計數器(62 ；64)的遞增的比例而設置所述至少一個計數器(62 ;64 )，所述比例對於指定的時間跨度是容許的。
10.按權利要求1至9中的任一項所述的方法，其特徵在於，所述數據載體(10)依賴於所述數據載體(10)自己確定的數據、尤其是利用所述數據載體(10)的運動傳感器(40)確定的數據，來設置所述至少一個計數器(62 ;64)。
11.按權利要求1至10中的任一項所述的方法，其特徵在於，當所述至少一個計數器(62 ;64)離開所述指定的值範圍時，禁用所述數據載體(10)，或至少禁用由所述至少一個計數器(62 ；64)保護的命令(54 ;56)。
12.一種可攜式數據載體(10)，包括至少一個存儲器(50 ；60 ;70)、被適配為執行存儲在所述存儲器(50 ；60 ；70)中的命令(54 ；56)的處理器(30)、以及用於保護所述命令(54 ；56)的至少一個計數器(62 ;64)，所述數據載體(10)被適配為僅當所述至少一個計數器(62 ；64)處於指定的值範圍中時才執行所述命令(54 ;56)，並且被適配為在所述命令(54 ；56)的執行之前遞減所述至少一個計數器(62 ;64)，並僅當在不中斷的情況下已經執行了所述命令(54 ；56)時才遞增所述至少一個計數器(62 ;64)，其特徵在於，所述至少一個計數器(62 ；64)被適配為在向用戶發布所述數據載體(10)之後能夠被設置。
13.按權利要求12所述的數據載體(10)，其特徵在於，所述數據載體(10)被適配為執行根據權利要求1至9中任一項所述的方法。
14.按權利要求12或13所述的數據載體(10)，其特徵在於，所述數據載體(10)的傳感器、尤其是運動傳感器(40)，用於辨識對所述數據載體(10)的外部影響、尤其是用於辨識所述數據載體(10)的運動，並且所述數據載體(10)被適配為依賴於利用所述傳感器而確定的數據設置所述至少一個 計數器(62 ;64)。
全文摘要
本發明涉及一種可攜式數據載體(10)中的方法，用於保護數據載體(10)以防對數據載體(10)的外部攻擊。這由於在數據載體(10)中使用至少一個計數器(62；64)而實現。保護指定的命令(54；56)以使得僅當至少一個計數器(62；64)處於指定的值範圍中時，數據載體(10)才執行所述命令。至少一個計數器(62；64)在命令(54；56)的執行之前遞減，並且僅當在不中斷的情況下已經執行了命令(54；56)時才隨後遞增。至少一個計數器(62；64)可以被多次設置，特別是甚至在數據載體(10)向用戶輸出之後。
文檔編號G06K19/073GK103098067SQ201180043280
公開日2013年5月8日 申請日期2011年9月8日 優先權日2010年9月8日
發明者O.吉比斯 申請人:德國捷德有限公司