專利名稱:用于檢測偽造的和/或修改的智能卡的方法和終端的制作方法
技術領域:
本發(fā)明涉及一種檢測被插入到一個終端的物理接口中的偽造的和/或修改的智能卡的方法和相應的終端��。
背景技術:
智能卡通常被用于各種各樣的應用中����,以便有權開支票�、付款、衛(wèi)星電視��、數(shù)據(jù)存儲等等�。舉例來說,健康保險和銀行業(yè)廣泛地使用智能卡�。一個智能卡通常在大小與形狀方面類似于一張信用卡,但是一般在里面包含一個嵌入式微處理器��。具有讀卡器的終端與控制對卡上的數(shù)據(jù)的存取的微處理器進行通信�。智能卡可以例如和一個智能卡閱讀器一起使用,該智能卡閱讀器被附裝于或位于個人計算機中以驗證用戶等等���。智能卡閱讀器還可以在移動電話中用于SIM讀取以及用于自動售貨機����。
對于一個具有智能卡讀取能力的專用和/或家用終端,例如機頂盒(STB)�、集成數(shù)字電視(IDTV)、數(shù)字電視��、家用網(wǎng)關���、存取系統(tǒng)����、GSM��、因特網(wǎng)音頻組����、汽車系統(tǒng)等等,暗中監(jiān)視智能卡和/或安全存取卡與所述終端之間的電子通信的可能性比在公用的自動取款機(ATM)或類似的半公用/公用的如用于/與電子商務有關的終端中大得多���。這就使得能夠向所述智能卡進行攻擊�,該智能卡在公用的和/或半公用的終端中不可能具有傳統(tǒng)智能卡的應用程序�,由于所述操作在一個私人的范圍中進行���。
歐洲的金融和服務業(yè)聯(lián)盟Finread試圖標準化電子商務終端的形式,該電子商務終端用在公用的ATM和個人計算機(PC)以及未來的STB��、IDTV和類似的家用終端中���。直到現(xiàn)在�����,所述聯(lián)盟已經(jīng)集中于用于家用電子商務終端的昂貴的竄改檢測和抗竄改的結構�。嵌入的Finread是所述Finread聯(lián)盟的一部分�����,所述Finread聯(lián)盟檢查用于電子商務的低成本終端如IDTV����、Jave終端和STB的發(fā)布��。對于低成本的家用終端而言���,為專用終端(即ATM)通常采用的抗竄改的和其它對抗措施的費用被認為是復雜的和/或昂貴的���。
存在各種各樣的智能卡/安全存取卡�,一些不具有復雜的處理能力��,一般是只存儲卡����。其它的卡一般是所謂的多應用/多功能卡,其包含更高級的性能與功能�,一般提供所述卡的用戶/所有者的安全驗證,例如涉及可以使用設備�����、帳戶�����、功能����、貨幣轉移、電子商務應用等等��。
這樣的卡具有卡上動態(tài)數(shù)據(jù)處理能力,并且把卡存儲器配置成為獨立的部分���,所述部分被分配給一個特定的功能和/或應用�����。
所述多應用/多功能智能卡由一個發(fā)行者來分發(fā)����,但允許兩個或多個應用/功能駐留在所述智能卡上��。一般地�,高級的32位處理器卡用于該目的。
Java智能卡是一個具有Java虛擬機(JVM)的智能卡���,其允許應用程序進入并駐留在所述卡上�����。這樣����,Java智能卡是向多應用智能卡的第一階段�。
如所述的傳統(tǒng)智能卡僅僅運行一個進程,而Java智能卡具有在卡上運行多個進程的能力�,這是所述智能卡防護能力的增強,其允許所述智能卡不僅執(zhí)行安全的交易�,而且監(jiān)視它本身和出現(xiàn)的攻擊。
一般被指定為子終端的設備是包括一個終端的某些功能部件的設備�����,所述功能部件即用戶輸入端����、顯示器、存儲器和與所述因特網(wǎng)的一個遠程連接����、或一個廣播頻道,然而并非所有的功能部件�����。因而一個終端是完整的���,并且例子是例如IDTV��、STB或GSM(或類似的像3G���、UMTS����、GPRS等等的蜂窩系統(tǒng))��,但一個子終端是不完整的�。這樣,子終端是一個終端的低成本方案���,其提供一個終端的一些而不是全部功能���。子終端的一個例子是例如電視遙控裝置。所述子終端也可以是例如在STB和/或TV中執(zhí)行的條件訪問系統(tǒng)的條件訪問模塊(在美國一般表示為POD(配置點))�。條件訪問模塊是一個基于DVB的術語,它是由用于DVB終端的公共接口概念引出的�。
通過足夠資源的攻擊實體可以成功地攻擊大多數(shù)系統(tǒng)。然而對適度地資源安全性攻擊提供充分的防御(保護和/或檢測)或至少提供與其他相比較足以使得單一形式的攻擊不再成功的對抗措施是必需的���。用一種花費不多的方法來實現(xiàn)這個也是所希望的��。
偽造的終端可以使用粗心用戶的個人識別碼或所述卡的其它應用信息���,這很難防御����,于是將需要除本發(fā)明提供的方案之外的其它保護/檢測方案���。
然而,向真正的終端/子終端的典型的安全性攻擊是使用一個模擬有效卡的功能的智能卡和/或使用一個修改的智能卡���,例如已修改以便在一個終端中可以使用另外的受限制的業(yè)務�����、功能等等�。
專利說明書US 5,416,423公開了一種通過檢測連接所述卡的導線的電容來檢驗智能卡的完整性的方法����。然而,這種特定檢驗方法要求電線連接到卡上以便獲得關于一種模擬外電路的智能卡是否被耦合到那里的信息����。此外,設計和編程一個智能卡是眾所周知的�,對于普通卡讀取終端而言,該智能卡可能與一種經(jīng)授權的卡在功能上是不能區(qū)分的�����。根據(jù)上述專利說明書的終端不能檢測模擬另一個智能卡的智能卡,也就是當沒有外電路用電線連接到那里的時候���。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種檢測被插入到一個終端的物理接口中的偽造的和/或修改的智能卡的方法(和相應的終端)�,其中所述方法(和終端)提供對通過另一個和/或竄改一個有效的智能卡來替換一個有效卡的一些類別的檢測和/或保護��。一個進一步的目的是以一種簡單的方法來提供這個����。更進一步的目的是能夠檢測包含像惡意(rogue)數(shù)字電視應用(即所謂的“詐騙(roguelet)”)一樣的未被授權的應用程序的智能卡。
這通過一種檢測被插入到一個終端的物理接口中的偽造的和/或修改的智能卡的方法(和相應的系統(tǒng))來實現(xiàn)���,所述方法包含下列步驟●由一個電流監(jiān)控器執(zhí)行一系列的電流測量以便獲得第一電流特征(current signature)��,●比較獲得的第一電流特征和第二電流特征�����,該第二電流特征表示智能卡的唯一電流特征�����,和●確定存在于第一電流特征和第二電流特征之間的差異是否在預定范圍內(nèi)���。
這樣����,獲得了一種檢測偽造的和/或修改的智能卡的簡單的方法���。另外,有可能檢測(并從而防止)偽造的卡和/或駐留在智能卡上的“詐騙”應用程序��。
在優(yōu)選實施例中���,第二電流特征是IDDQ電流特征或ICCQ電流特征���。
這樣,提供了一種獲得對智能卡是唯一的特征的簡單而可靠的方法����。
在一個實施例中,所述方法進一步包含下列步驟●根據(jù)所述確定步驟調(diào)節(jié)智能卡的使用���。
這樣����,有可能執(zhí)行像密切監(jiān)視偽造/修改的卡的使用、完全拒絕所述卡等等之類的各種適當?shù)牟僮鳌?br>
在一個實施例中����,所述方法進一步包含下列步驟●測量并存儲一個耦合到所述終端的智能卡的電流特征。
因此�����,可以在由終端(本地的和/或遠程的)存儲的已知的特征和當使用所述卡進行隨后的交易時所述卡的簽名之間進行比較�����,從而同時能夠檢測所述卡是否已經(jīng)被修改����。
在優(yōu)選實施例中,通過一個將由智能卡執(zhí)行的并駐留在所述智能卡中的自測程序確定所述序列����。
這樣,所述測試程序的序列然后對于所述卡的制造商和終端(101)的測試應用程序是確定且已知的��。
在一個實施例中��,第二電流特征從一個數(shù)據(jù)庫中被檢索和/或被包含在一個數(shù)字證書中。
本發(fā)明也涉及一種與根據(jù)本發(fā)明的方法對應的終端��。
更具體地說���,本發(fā)明涉及一種用于檢測被插入到所述終端的一個物理接口中的偽造的和/或修改的智能卡的終端���,所述終端包含●適合于執(zhí)行一系列的電流測量以便獲得第一電流特征的控制器,和●用于執(zhí)行所述序列的電流測量的電流監(jiān)控器��,●其中所述控制器進一步適合于●比較獲得的第一電流特征和第二電流特征��,該第二電流特征表示智能卡的唯一電流特征��,和●確定存在于第一電流特征和第二電流特征之間的差異是否在預定范圍內(nèi)���。
在優(yōu)選實施例中,第二電流特征是IDDQ電流特征或ICCQ電流特征����。
在一個實施例中,所述終端進一步包含裝置以用于●根據(jù)所述確定步驟調(diào)節(jié)智能卡的使用���。
在一個實施例中�����,所述終端進一步包含裝置以用于●測量并存儲一個耦合到所述終端的智能卡的電流特征��。
在一個實施例中���,通過將由智能卡執(zhí)行的并駐留在所述智能卡中的自測程序確定所述序列�。
在一個實施例中����,第二電流特征從一個數(shù)據(jù)庫中被檢索和/或被包括在一個數(shù)字證書中。
進一步地�,本發(fā)明也涉及一種計算機可讀介質(zhì),其具有存儲在其上的用于使一個或多個處理單元執(zhí)行根據(jù)本發(fā)明的方法的指令�。
圖1示意性地說明智能卡;圖2說明智能卡和現(xiàn)有技術的終端���;圖3示意性地說明根據(jù)本發(fā)明的實施例的終端��。
具體實施例方式
圖1示意性地說明一般的智能卡����。顯示的是在現(xiàn)有技術中為大家所熟知的安全卡/智能卡(100)���。一般而言�����,卡(100)具有標準尺寸信用卡的形狀���,不過所述形狀�����、布局�、大小等等都可以變化��?���??100)一般包含嵌入的存儲器���、處理器/控制器和用來經(jīng)由許多觸點(100′)與合適的讀卡器/(子)終端(未示出)通信的輸入/輸出(I/O)�。所示的觸點(100′)(為了說明的目的其尺寸被夸大/擴大)遵循ISO 7816部分2的標準���,并且包含電源(10)�����、接地(11)���、根據(jù)具體的卡可用于不同功能的三個可選擇的觸點/管腳(12����、14����、15)、雙向的輸入/輸出管腳(13)�����、校驗(16)和復位(17)�。所有這些信號由一個接納所述卡的終端提供給智能卡(100),并且所述終端期望根據(jù)所述標準協(xié)議來監(jiān)視雙向的輸入/輸出(13)�,以便觀察智能卡(100)的響應。
這樣的卡(100)可以用于存儲類似于個人識別碼�����、識別信息��、個人信息、安全信息等等之類的信息��。
圖2說明智能卡和一般的現(xiàn)有技術的終端�����。顯示的是經(jīng)由智能卡接口通信的智能卡(100)和終端(101)��。終端(101)包含主處理器(105)和智能卡接口(106)以及可選地通信/IP鏈接���,例如對于各種電子商務應用或其它的功能是有用的�����。
當插入到一個私人和/或家用終端/子終端(101)(此后兩者都被表示為終端)中時�����,從來自于一個中心源的電源中為智能卡(100)提供能源,并且接地將是終端的(101)電力系統(tǒng)的中心接地�����,因為智能卡(100)不具有電源����。所述終端(101)中的智能卡接口(106)的控制信號一般將由串行接口提供�,該串行接口由所述終端(101)的中央處理器(多個)(105)編程以執(zhí)行所述標準協(xié)議來尋址所述智能卡的接口���。這是一種非常廉價且靈活的配置����,其允許終端/STB軟件的開發(fā)者使用標準的電子接口和進程以訪問所述卡��。然而����,如上所述,標準串行接口的使用使得所述終端(101)向由暗中監(jiān)視所述通信竄改的形式開放����。
圖3示意性地說明根據(jù)本發(fā)明的實施例的終端。顯示的是對應于結合圖1所顯示和解釋的智能卡的一個智能卡(100)�����。同樣顯示的是一個對應于結合圖2所顯示和解釋的終端的一個終端(101)����,例外的是它進一步包含監(jiān)控電路(102)和控制器(104)����,其中所述監(jiān)控電路(102)被連接到物理的智能卡接口(115)和控制器(104)上�����,且控制器(104)進一步被連接到主處理器(多個)(105)上����。優(yōu)選地,監(jiān)控電路(102)�����、控制器也被集成到/嵌入到所述終端(101)的IC(110)中�,其中IC(110)控制物理的智能卡接口(115)。
為了檢測一個耦合到物理接口(115)上的智能卡(100)是否是偽造的和/或修改的��,一個耦合到終端(101)的真實的智能卡(100)的電流特征(也就是第一電流特征)被獲得����。
偽造的和/或修改的智能卡(100)可以模擬一個有效的且授權的卡的功能,但是不會顯示同樣的電流特征��,因為根據(jù)本發(fā)明對于每張卡的電流特征是唯一的�����。這樣�,有可能既檢測偽造的卡,又檢測已經(jīng)被竄改的原來有效的卡�����,例如用一種非常簡單的方法可以使用其它應用�,如在下文中更詳細地解釋的。
監(jiān)控電路(102)優(yōu)選的是一個動態(tài)電流監(jiān)控電路����,其允許與智能卡(100)連接的電流被檢測、確定���、監(jiān)控等�����。
電流監(jiān)控電路(102)更具體地說被連接到所述物理卡接口(115)的VDD(例如所述圖1中的電源管腳(10))輸入��?����?商鎿Q地�,監(jiān)控電路(102)可以替代地連接到物理接口(115)的VCC(例如圖1中的接地管腳(11))輸入,或兩者都進行連接(這更進一步地增強了安全性)���。這樣可以在VDD上或者在VCC上或者在兩者上執(zhí)行檢測��。
物理接口(115)耦合/電連接IC(110)和智能卡(100)�,并且優(yōu)選的是一個具有去耦VDD線對地的控制電平的DC接口��。
可以根據(jù)許多技術測量電流��,所述技術包括使用一個或多個電流反射鏡�����、一個或多個電壓降傳感器等等�。許多用于測量集成電路的電流特征的技術已經(jīng)在文獻中進行了描述,并且一般被用于IC的調(diào)試�、測試和測量的目的。
這些技術包含用于監(jiān)視如IDDQ或者和/或ICCQ的方法����。它們也提供結合電流監(jiān)控電路(102)和電源的電壓調(diào)整以確保智能卡(100)的正確工作的能力。
測量CMOS集成電路或包含CMOS IC的成品的漏電流的過程一般被稱為“IDDQ”或“ICCQ”測試。所述IDDQ/ICCQ是在CMOS電路的靜態(tài)期間出現(xiàn)的靜態(tài)電流�����。當IC處于靜態(tài)時�,根據(jù)本發(fā)明的測量法測量VDD和/或VCC電源的電流��。如所提到的��,IDDQ或ICCQ測試通常用于IC調(diào)試���、測試和測量的方面���,例如檢查短路的柵氧化極和其它可以隨著時間的過去引起故障的IC缺陷。
電流的幅度一般是非常小的����,因為它是來自于所述電路的柵極的P和N MOSFET網(wǎng)絡對的漏泄的總和。實際的電流通過MOSFET的Vt來確定�����,其中MOSFET的Vt是一個通過管芯(die)和晶片的隨機變量���。這個隨機變量在制造期間被以非常嚴格的限制來控制�;然而當在一組狀態(tài)上測量時,每個電路具有唯一的IDDQ(和ICCQ)特性�。因此根據(jù)本發(fā)明,這種測量非常適合用于檢測修改的/偽造的智能卡�。
在終端的IC的控制器(104)中的執(zhí)行控制程序確定電流采樣的定時。這個程序?qū)⒋_定在程序中什么時候電流特征應該被測量����,它應該如何與已知的特征(即第二電流特征)比較以及根據(jù)比較的結果應該采取的任何操作。為了避免竄改��,盡可能多的這些操作應該獨立于終端(100)的中間件���。
為了測量電流特征�����,必須驅(qū)動智能卡通過多個/一系列狀態(tài)�����。這些狀態(tài)可以以任何順序被輸入���,然而電路的邏輯狀態(tài)必須對于電流測量是已知的�����,以便與所期望的或已知的電流比較���。一種改變智能卡(100)狀態(tài)的簡單方法是一個將由智能卡(100)執(zhí)行的并駐留在智能卡(100)中的自測程序。這樣�����,所述測試程序的序列然后對于所述卡的制造商和終端(101)的測試應用程序是確定且已知的�����。
優(yōu)選地��,所期望的/已知的/第二電流特征是帶有界限的范圍����,即額定電流的下限和上限���。進一步地����,如果需要的話,電流特征可以被校準/修改以補償由極端的溫度引起的可變性����。這種技術在IC測試領域中為大家所熟知,因為它們?yōu)榇蟛糠值臏y試程序所共用���,在大部分的測試程序中使用在房間以及高溫下的測試�。
單個卡的特征可以例如通過卡的發(fā)行者保留在數(shù)據(jù)庫或其它存儲器中����,并且一個交易的任何驗證最好使用智能卡(101)的電流特征以核實真實性。所述數(shù)據(jù)庫或存儲器可以例如是本地的或遠程的�����,其中通信/IP鏈接可以用來檢索信息��?��?商鎿Q地���,電流特征也可以是數(shù)字簽名(digital signature)的一部分,例如也是通過通信/IP鏈接可獲得的��。
進一步地,電流特征可以通過終端(101)中的電路(未示出)來測量�,并存儲以備將來之用。這樣�����,可以在由終端(本地的和/或遠程的)存儲的已知的簽名和當使用所述卡進行隨后的交易時卡的簽名之間進行比較���,從而同時能夠檢測所述卡是否已經(jīng)被修改�。
另外���,對于一種類型的卡或卡的應用程序具有特性簽名(characteristic signature)的更復雜的方案可以容易地成為設備。然而�����,在這些復雜的方案中�����,一些部分一般必須具有與這個特定情況相關的測量的唯一序列����。
電流特征的長度可以是虛擬無限的長度���。電流測量技術已經(jīng)被發(fā)展,其非常接近于專用電路的運行速度���。假定CMOS智能卡是非常低性能的設備�����,其中功率耗散是有限的����,則有可能在沒有損失吞吐量的情況下連續(xù)監(jiān)控電流特征�。
進一步地,可以設計其中卡(100)經(jīng)由電流特征發(fā)信號給/與所述終端(101)通信的方案�。這個經(jīng)由電流特征的發(fā)信號可以例如作為特定應用的一部分實現(xiàn),并且在卡(100)和終端(101)之間的正常通信被懷疑時或在卡(100)已經(jīng)被插入到一個偽造的終端中并且駐留在卡上的應用程序正在尋找終端真實性的某種確認的情況下將是非常有用的�。這個創(chuàng)建或修改電流特征的能力由智能卡來使用,以利用電流監(jiān)控技術來抵抗對加密算法的攻擊���。因此�,為允許通信而擴展電路將是相對較簡單且容易實現(xiàn)的�。
權利要求
1.一種檢測被插入到終端(101)的物理接口(115)中的偽造的和/或修改的智能卡(100)的方法,所述方法包括下列步驟·由電流監(jiān)控器(102)執(zhí)行一系列的電流測量以便獲得第一電流特征���,·比較獲得的第一電流特征和第二電流特征��,該第二電流特征表示智能卡(100)的唯一電流特征�����,以及·確定存在于第一電流特征和第二電流特征之間的差異是否在預定的范圍內(nèi)��。
2.根據(jù)權利要求1所述的方法�,其特征在于第二電流特征是IDDQ電流特征或ICCQ電流特征。
3.根據(jù)權利要求1-2所述的方法���,其特征在于所述方法進一步包括下述步驟·根據(jù)所述確定步驟調(diào)節(jié)智能卡(100)的使用���。
4.根據(jù)權利要求1-3所述的方法���,其特征在于所述方法進一步包括下述步驟·測量并存儲被耦合到終端(101)的智能卡(100)的電流特征���。
5.根據(jù)權利要求1-4所述的方法,其特征在于通過一個將由智能卡(100)執(zhí)行的并且駐留在智能卡(100)中的自測程序來確定所述序列��。
6.根據(jù)權利要求1-5所述的方法��,其特征在于所述第二電流特征從一個數(shù)據(jù)庫中進行檢索和/或被包括在一個數(shù)字證書中。
7.一種用于檢測被插入到終端(101)的物理接口(115)中的偽造的和/或修改的智能卡(100)的終端(101)����,所述終端(101)包括·適合于執(zhí)行一系列的電流測量以便獲得第一電流特征的控制器(104),以及·用于執(zhí)行所述序列的電流測量的電流監(jiān)控器(102)�,·其中控制器(104)進一步適合于·比較獲得的第一電流特征和第二電流特征,該第二電流特征表示智能卡(100)的唯一電流特征���,以及·確定存在于第一電流特征和第二電流特征之間的差異是否在預定范圍內(nèi)����。
8.根據(jù)權利要求7所述的終端����,其特征在于第二電流特征是IDDQ電流特征或ICCQ電流特征。
9.根據(jù)權利要求7-8所述的終端�,其特征在于所述終端進一步包括裝置(104;105)以用于·根據(jù)所述確定步驟調(diào)節(jié)智能卡(100)的使用���。
10.根據(jù)權利要求7-9所述的終端����,其特征在于所述終端進一步包括裝置以用于·測量并存儲被耦合到終端(101)的智能卡(100)的電流特征����。
11.根據(jù)權利要求7-10所述的終端����,其特征在于通過一個將由智能卡(100)執(zhí)行的并且駐留在智能卡(100)中的自測程序來確定所述序列��。
12.根據(jù)權利要求7-11所述的終端�,其特征在于所述第二電流特征從一個數(shù)據(jù)庫中進行檢索和/或被包括在一個數(shù)字證書中。
13.一種在其上存儲有指令的計算機可讀介質(zhì)���,該指令用于使一個或多個處理單元執(zhí)行根據(jù)權利要求1-6中任何一個所述的方法�����。
全文摘要
本發(fā)明涉及一種用于檢測被插入到一個終端的物理接口中的偽造的和/或修改的智能卡的方法和終端��,所述方法包括下列步驟由電流監(jiān)控器執(zhí)行一系列電流測量以便獲得第一電流特征�����;比較獲得的第一電流特征和第二電流特征,該第二電流特征表示智能卡的唯一電流特征�����;以及確定存在于第一電流特征和第二電流特征之間的差異是否在預定的范圍內(nèi)。這允許偽造的和/或修改的智能卡的簡單檢測����。進一步地,有可能檢測(并由此防止)錯誤的卡和/或駐留于智能卡上的“詐騙”應用程序��。
文檔編號G06K5/00GK1739113SQ200380108765
公開日2006年2月22日 申請日期2003年12月5日 優(yōu)先權日2003年1月14日
發(fā)明者K·巴克 申請人:皇家飛利浦電子股份有限公司