專利名稱：對(duì)數(shù)據(jù)處理裝置的保密碼安全訪問(wèn)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明通常涉及可借助亦被稱為“口令”或“密碼”的保密碼來(lái)訪問(wèn)其與其有關(guān)的特征(feature)或服務(wù)的任何電子處理裝置，在用于做處理裝置主機(jī)的主裝置的鍵區(qū)上被輸入時(shí)，所述保密碼通常由處理裝置接收。
例如，數(shù)據(jù)處理裝置為微控制器卡，亦被稱為“集成電路卡”(“IC卡”)或“智能卡”，如用于銀行終端的信用卡或用于銷售終端點(diǎn)的電子錢包卡，或者用于任何其它終端如被配備有附加讀卡器的移動(dòng)無(wú)線電話終端，或其它，如移動(dòng)無(wú)線電話終端中的用戶識(shí)別模塊(SIM)卡。
更具體地，本發(fā)明涉及用于控制借助被提供給其的碼來(lái)訪問(wèn)智能卡特征的訪問(wèn)控制的安全，所述碼被與關(guān)聯(lián)于智能卡并被預(yù)記錄于其中的保密碼進(jìn)行比較。
通過(guò)連接設(shè)備以便測(cè)量在智能卡和其主終端之間的電接口上的電壓，想找出智能卡保密碼的攻擊者即不誠(chéng)實(shí)的人可進(jìn)行單功率分析(SPA)。
在現(xiàn)有技術(shù)智能卡中，被預(yù)記錄于智能卡非易失存儲(chǔ)器中的保密碼和臨時(shí)被寫于智能卡隨機(jī)存取存儲(chǔ)器(RAM)中的所提供的碼(presented code)，被細(xì)分為塊，并被逐塊地比較。在一個(gè)塊比較之后，如果相應(yīng)的塊不一樣，則隨后的塊比較不被執(zhí)行，并且所提供的碼被拒絕訪問(wèn)所述特征。這樣，對(duì)所提供的碼校驗(yàn)的持續(xù)時(shí)間依賴于所提供的碼中第一正確塊的數(shù)量。因此，用于校驗(yàn)任何所提供的碼以鑒定智能卡的真正持有者的對(duì)保密碼操作的持續(xù)時(shí)間是變化的，由此當(dāng)智能卡的功率消耗特征被記錄時(shí)，并且當(dāng)用于不同所提供的碼的比較持續(xù)時(shí)間被測(cè)量時(shí)，明確地給出了關(guān)于智能卡的信息。
本發(fā)明的目的是補(bǔ)救關(guān)于用于訪問(wèn)數(shù)據(jù)處理裝置如智能卡的保密訪問(wèn)碼的信息的這種泄漏，并由此根除在電功率消耗以及在比較持續(xù)時(shí)間的差異，而不管錯(cuò)誤的所提供的碼。
為了這個(gè)目的，訪問(wèn)與保密密碼關(guān)聯(lián)并可借助將所提供密碼應(yīng)用于其的主終端來(lái)訪問(wèn)的數(shù)據(jù)處理裝置的方法的特征在于，每次當(dāng)處理裝置被使用時(shí)，該方法包括被應(yīng)用于所提供的碼的常數(shù)數(shù)量的預(yù)定操作，至少一部分(a fraction of)所述數(shù)量的操作亦被應(yīng)用于保密碼，并且至多相對(duì)于所述數(shù)量操作的互補(bǔ)部分亦被應(yīng)用于一確定數(shù)。預(yù)定操作包括只要所比較的塊是相同的，就逐塊比較所提供的碼和保密碼；以及不論何時(shí)當(dāng)所提供的碼和保密碼的所比較塊不同時(shí)，逐塊比較一部分所提供的碼的和一部分?jǐn)?shù)，直到所提供的碼的所有塊已被比較。
不論何時(shí)當(dāng)所提供的碼被檢測(cè)為錯(cuò)誤時(shí)，涉及一部分所提供的碼的和不包含與保密碼有關(guān)的數(shù)據(jù)并起偽保密碼作用的一部分確定數(shù)的比較便模擬第一比較，即進(jìn)行保密碼的偽操作，如從外部所看到的。
由于獨(dú)立于所提供的碼是正確、部分錯(cuò)誤還是全部錯(cuò)誤，逐塊比較的數(shù)量總是常數(shù)，并且更通常地，由于對(duì)于所有所提供的碼，所執(zhí)行操作的順序是不變的，因此從一個(gè)所提供的碼到下一個(gè)，沒(méi)有關(guān)于功率消耗測(cè)量的明顯特征標(biāo)可被檢測(cè)。
基于閱讀參照相應(yīng)附圖所給出的對(duì)本發(fā)明優(yōu)選實(shí)施例的以下描述，本發(fā)明的其它特征和優(yōu)點(diǎn)將顯得較為清楚，在附圖中

圖1為在智能卡的情況下，示出用于實(shí)施本發(fā)明訪問(wèn)控制方法的系統(tǒng)的方塊圖；圖2為在本發(fā)明優(yōu)選實(shí)施例中訪問(wèn)控制方法的主要步驟的算法；并且圖3示出圖2方法的算法的變型。
在圖1中所示的方塊圖中，電子數(shù)據(jù)處理裝置由其“芯片”由微控制器組成的智能卡CA構(gòu)成。大致說(shuō)來(lái)，微控制器包括中央處理單元CPU，其由微處理器PR、包括卡操作系統(tǒng)OS的只讀存儲(chǔ)器(ROM)類型的存儲(chǔ)器MO形成，并且在特定的專門鑒權(quán)、通信和應(yīng)用算法中，由包含數(shù)據(jù)、特別是與卡持有者和卡提供者有關(guān)的數(shù)據(jù)的可編程且可擦除類型的非易失存儲(chǔ)器MNV如電可擦除可編程只讀存儲(chǔ)器(EEPROM)形成，并且由隨機(jī)存取存儲(chǔ)器(RAM)類型的存儲(chǔ)器MA形成，其用于接收特別是來(lái)自用于主持卡的主機(jī)的主終端TE的數(shù)據(jù)。所有部件PR、MO、MNV和MA通過(guò)內(nèi)部總線BU來(lái)互連。
主終端TE，如銀行終端或電話終端，被配備有鍵區(qū)CL，特別地用于輸入欲被提供給卡的被稱為“所提供的碼”的密碼P。卡CA的一部分被插入終端TE的讀取器LE。被插入的卡的部分包含微控制器并且當(dāng)卡為接觸類型時(shí)，典型地支持讀取器LE和卡CA的內(nèi)部總線BU之間電鏈路LI的六到八個(gè)電接觸。
參照?qǐng)D2，圖1中所示針對(duì)智能卡的本發(fā)明優(yōu)選實(shí)施例中的訪問(wèn)控制方法基本上包括步驟E1到E16。
第一步驟E1為在前步驟，在卡提供者處被執(zhí)行，即當(dāng)卡被制造時(shí)；然后當(dāng)卡CA被獲取時(shí)，例如當(dāng)為通過(guò)卡特征的訪問(wèn)的服務(wù)而取出預(yù)約(subscription)時(shí)。
具體來(lái)講，作為卡制造者數(shù)據(jù)的函數(shù)，卡提供者將具有多個(gè)數(shù)字并被寫于卡CA非易失存儲(chǔ)器MNV中預(yù)定位置的保密碼S指定給卡CA。保密碼S被細(xì)分為位S1到SI的I塊，每塊包括例如典型地在一個(gè)字節(jié)到幾個(gè)字節(jié)范圍內(nèi)變化的預(yù)定數(shù)量的八位字節(jié)。
在在前步驟E2期間，確定數(shù)A由卡CA的處理器PR通常為隨機(jī)地產(chǎn)生。數(shù)A具有與碼S相同的大小并被細(xì)分為位A1到AI的I塊。優(yōu)選地，保密碼S和確定數(shù)A被寫于卡CA的非易失存儲(chǔ)器MNV中的空間，該空間對(duì)應(yīng)于具有分別在邏輯狀態(tài)“0”和“1”下的位NB0和NB1的數(shù)的地址，其基本上是相同的；例如，對(duì)于8位地址，地址“110111011”和“11101110”，這里NB0＝2和NB1＝6，或否則相鄰空間的地址“00011111”和“00011110”，這里NB0＝3和4而NB1＝5和4，是滿足的，以便于讀取保密碼的塊Si類似于讀取隨機(jī)數(shù)的塊Ai，并由此使由電功率消耗測(cè)量所看到的兩個(gè)讀數(shù)幾乎是一樣的。這有助于避免在與不同的所提供的碼的呈現(xiàn)有關(guān)的比較之間不同的功率消耗特征標(biāo)的出現(xiàn)。
步驟E3到E16在卡CA被插入主終端TE的讀取器LE、由此使其通過(guò)電鏈路LI并通過(guò)內(nèi)部總線BU被連接于卡CA的微控制器之后被執(zhí)行。
每次當(dāng)卡被使用時(shí)，在步驟E3期間，必須在正常情況下與保密碼相同的所提供的碼被輸入在終端TE的鍵區(qū)CL上以校驗(yàn)卡CA中的所提供的碼。在步驟E4中，或者所提供的碼的數(shù)字(例如四個(gè)數(shù)字)被輸入，或者連續(xù)地，終端TE將所提供的碼P在鏈路LI上和總線BU上傳輸給卡CA以使它被寫入RAM MA。
在隨后的步驟E5和E6中，處理器復(fù)位內(nèi)部寄存器的索引i和比較結(jié)果邏輯變量Res，并且它設(shè)置兩個(gè)內(nèi)部寄存器的塊變量V1和V2為從存儲(chǔ)器MNV和MA分別讀取的第一塊S1和P1的值。
然后在循環(huán)E7-E11的第一步驟E7中，通過(guò)遵循以下邏輯關(guān)系式而加上先前循環(huán)比較結(jié)果Res，處理器PR比較變量V1和V2，即存儲(chǔ)器MNV中保密碼的第一塊S1和存儲(chǔ)器MA中所提供的碼的第一塊P1Res＝Res OR(V1 XOR V2)即Res＝Res OR(S1 XOR P1)如果在隨后步驟E8處結(jié)果Res仍等于零，即如果所比較的變量V1＝S1和V2＝P1是相同的，索引i在步驟E9中被增量，并且變量V1和V2在步驟E10中被設(shè)為隨后塊S2和P2的值。如果索引i在步驟E11中不大于I，則另一循環(huán)E7到E11被執(zhí)行以比較第二塊P2和S2并增量索引i，等等，只要所比較塊Pi和Si是相同的，并且直到索引i達(dá)到索引I。在此情況下，結(jié)果變量Res仍等于零，直到步驟E12接替E11，并且所提供的碼的塊Pi分別與保密碼的塊Si相同。最后的步驟E13接受所提供的碼P以給出到訪問(wèn)卡CA的特征的入口，例如，支付服務(wù)應(yīng)用或電話服務(wù)應(yīng)用。
返回步驟E8，如果結(jié)果變量Res等于1，即如果所提供的碼P的塊(Pi)之一與保密碼S的相應(yīng)塊Si不同，則碼P不立即被拒絕，而是在本發(fā)明中繼續(xù)由處理器PR處理，如從卡外部所看到的，好像所提供的碼P不是錯(cuò)誤的；這樣，總共步驟E7-E11的I個(gè)循環(huán)總被執(zhí)行，即塊的I個(gè)比較，即塊P1到Pi和S1到SI的i個(gè)比較，以及塊P(i+1)到PI和A(i+1)到AI的I-i個(gè)比較總被執(zhí)行，所提供的碼P包含至少一個(gè)錯(cuò)誤塊Pi。
這樣，一旦在步驟E8處Pi≠Si，索引i在步驟E14中被增量一個(gè)單位，并且在步驟E15中，處理器PR將變量V1和V2的值設(shè)為從存儲(chǔ)器MNV讀取的隨機(jī)數(shù)的塊A(i+1)的值和從存儲(chǔ)器MA讀取的所提供的碼的塊P(i+1)的值，從而在隨后循環(huán)的步驟E7期間比較它們，只要i在步驟E11中不大于I。然而，步驟E7處的比較結(jié)果Res總等于“1”，而不管在隨后的循環(huán)期間塊P(i+1)到PI和A(i+1)到AI之間的差異，處理器PR繼續(xù)執(zhí)行步驟E7、E8、E14、E15和E11的循環(huán)，直到塊PI和AI被比較。
在與塊PI和AI有關(guān)的最后比較之后，結(jié)果Res在步驟E12處為“1”，處理器PR通過(guò)使合適的消息被顯示于主終端TE的屏幕上，在步驟E16處拒絕所提供的碼P。有限數(shù)量的其它碼輸入嘗試可被任選地許可。
在一個(gè)變型中，步驟E9和E10中以及步驟E14和E15中的操作i＝i+1和V2＝Pi在步驟E7和E8之間被執(zhí)行。
顯然，在條件步驟E8“Res＝0？”處提供的兩個(gè)可能性之間的步驟數(shù)為常數(shù)，并且不管所提供的碼P的內(nèi)容，所執(zhí)行操作從所提供的碼P的輸入到步驟E3是相同的。因此，不論所提供的碼P是正確還是部分或全部錯(cuò)誤，該方法總包括常數(shù)數(shù)量的執(zhí)行步驟或操作，并因此包括常數(shù)數(shù)量的代碼行。該方法的持續(xù)時(shí)間因此為常數(shù)，并且獨(dú)立于所提供的碼，該方法期間卡的電功率消耗的變化是幾乎相同的。
這樣，對(duì)于I個(gè)塊，處理器執(zhí)行涉及與保密碼的塊S1到Sk的比較的k個(gè)循環(huán)E7、E8、E9、E10、E11，以及涉及與數(shù)A的塊A(k+1)到AI的比較的I-k個(gè)循環(huán)E7、E8、E14、E15、E11(以相對(duì)于I而與k互補(bǔ)的數(shù)量)，其中1≤k≤I。
優(yōu)選地，與相同保密碼關(guān)聯(lián)的兩個(gè)智能卡被與不同的確定數(shù)A關(guān)聯(lián)。由于確定數(shù)是先驗(yàn)(priori)隨機(jī)的，并且因此對(duì)于兩個(gè)卡來(lái)說(shuō)是不同的，因此隨機(jī)數(shù)的操作效果不能用于表征該卡。
每個(gè)保密碼S優(yōu)選地對(duì)應(yīng)于各自的確定數(shù)A。這樣，有利地，當(dāng)與卡關(guān)聯(lián)的保密碼被修改時(shí)，確定數(shù)A亦被修改。例如，如果保密碼的兩個(gè)數(shù)字被顛倒，則對(duì)應(yīng)于這兩個(gè)版本的兩個(gè)確定數(shù)A是不同的。這個(gè)變型防止了第一個(gè)卡中的確定數(shù)被借助被關(guān)聯(lián)于它所具有的與第一個(gè)卡一樣的碼的另一個(gè)卡中的確定數(shù)的操作而被識(shí)別。
圖3示出圖2訪問(wèn)方法算法的大部分，其中有遵循由字母a所示變化步驟并進(jìn)一步改進(jìn)了對(duì)卡特征的訪問(wèn)控制安全的修改和/附加步驟。
在第一變化中，在取代步驟E2的步驟E2a中，取代幾乎在卡被投入服務(wù)時(shí)就產(chǎn)生確定數(shù)，處理器PR隨機(jī)地產(chǎn)生數(shù)字A并由此每次當(dāng)所提供的碼P被應(yīng)用于卡CA以在其中校驗(yàn)它時(shí)修改其。步驟E2a在用于寫所提供的碼P的步驟E4之后，并先于雙循環(huán)E7到E11并由此先于比較E7。
針對(duì)相同錯(cuò)誤碼P的提供的明顯變化的電功率消耗的不利之處，每次當(dāng)錯(cuò)誤碼P被提供時(shí)所產(chǎn)生的數(shù)A保證了碼P的塊與數(shù)字A的塊的I個(gè)比較從不以相同的方式被執(zhí)行。
在第二變化中，在取代步驟E5的步驟E5a中，索引i由處理器PR從范圍1到I隨機(jī)選擇。對(duì)于這個(gè)第二變化，變?yōu)镋9a和E14a的步驟E9和E14包括索引i的增量i(mod I)+1。這導(dǎo)致如果數(shù)字A最初在步驟E2中被確定，則從I個(gè)數(shù)字中隨機(jī)選擇數(shù)A。
在第三變化中，該訪問(wèn)方法進(jìn)一步包括使用被實(shí)施于作為數(shù)據(jù)處理裝置的卡CA的存儲(chǔ)器MO中的變換函數(shù)FT進(jìn)行的將保密碼S變換為變換保密碼ST的在前變換E1a，變換E1a位于步驟E1和E3之間；然后，每次當(dāng)卡被用作數(shù)據(jù)處理裝置時(shí)，使用變換函數(shù)進(jìn)行的將所提供的碼P變換為變換的提供碼PT的變換E4a，在應(yīng)用步驟E5到E16之前，并特別是在逐塊比較E7之前，但涉及變換的提供碼和變換的保密碼的塊STi和PTi以及確定數(shù)A，變換E4a在步驟E4之后。
當(dāng)由智能卡構(gòu)成的處理裝置被用于該第三變化時(shí)，由變換碼ST代替的保密碼S不被存儲(chǔ)于其并因此在所提供密碼的任何提供期間不在該卡中被處理。
如被描述于為參考而引入本專利申請(qǐng)的、由申請(qǐng)人于2000年6月20日提交的未公開(kāi)法國(guó)專利申請(qǐng)No.0007886中的，變換函數(shù)可以是不可逆的；不規(guī)則的；被鏈接于當(dāng)卡被生成時(shí)設(shè)定的隨機(jī)數(shù)NA，或否則依賴于每次當(dāng)所提供的碼被提供時(shí)可被改變的第二隨機(jī)數(shù)；作為所提供的碼的先前提供數(shù)量的函數(shù)被迭代應(yīng)用；一個(gè)預(yù)定排列部分的碼；或同態(tài)函數(shù)。這些變換函數(shù)特征中的一些可被相互組合。
隨后步驟E6到E11被應(yīng)用于分別取代碼S和P的塊S1到SI和P1到PI、被寫于存儲(chǔ)器MNV和MA中的變換碼ST和PT的塊ST1到STI和PT1到PTI。
在以上描述中，可理解，術(shù)語(yǔ)“智能卡”覆蓋所有已知類型的具有芯片的卡，亦被稱為“微控制器卡”，如通過(guò)非局限性實(shí)例在以下所列出的接觸卡或無(wú)接觸卡信用卡、支付卡、預(yù)付卡、電話卡、用戶識(shí)別模塊(SIM)卡、“附加”卡、中心購(gòu)買辦公卡、游戲卡等。更通常地，本發(fā)明不僅涉及智能卡，亦涉及一般被稱為“電子數(shù)據(jù)處理裝置”的其它便攜對(duì)象，如電子組織者或助理、電子錢包、令牌、手持計(jì)算器等。
容納電子數(shù)據(jù)處理裝置的主終端可例如為以下類型計(jì)算機(jī)終端、個(gè)人計(jì)算機(jī)(PC)特別是筆記本PC、銷售終端點(diǎn)、無(wú)線電話終端、用于控制對(duì)房屋(premises)或高強(qiáng)度箱體(strong cabinet)的訪問(wèn)的訪問(wèn)控制裝置等。主裝置可以是距數(shù)據(jù)處理裝置為遠(yuǎn)距離的，則其通過(guò)任何數(shù)據(jù)傳輸裝置被連接于主裝置。
在本發(fā)明意義上的術(shù)語(yǔ)“保密碼”在特定情況下亦被稱為“口令”、或“密碼”，或否則被稱為“個(gè)人識(shí)別數(shù)字”(PIN)或“卡持有者校驗(yàn)”(SHV)或“個(gè)人電信識(shí)別符”(PTI)，特別是對(duì)于用于無(wú)線電話終端的SIM卡。
通常，保密碼為字母數(shù)字編制的碼。除了鍵區(qū)和鍵盤，它可借助任何已知碼輸入裝置被應(yīng)用于數(shù)據(jù)處理裝置(智能卡或便攜電子對(duì)象)，例如借助語(yǔ)音識(shí)別或借助對(duì)生物標(biāo)記例如至少一個(gè)指紋的識(shí)別。
權(quán)利要求
1.一種訪問(wèn)與保密碼(S)關(guān)聯(lián)并可借助將所提供的碼(P)應(yīng)用于其的主終端(TE)來(lái)訪問(wèn)的數(shù)據(jù)處理裝置(CA)的方法，所述方法的特征在于，每次當(dāng)處理裝置(CA)被使用時(shí)，它包括被應(yīng)用于所提供的碼(P)的恒定數(shù)量的預(yù)定操作(E5-E16)，至少一部分所述數(shù)量的操作亦被應(yīng)用于保密碼(S)，并且至多相對(duì)于所述數(shù)量的操作的補(bǔ)充部分亦被應(yīng)用于一確定數(shù)(A)。
2.依照權(quán)利要求1的方法，其中預(yù)定操作包括只要所比較的塊是相同的(Res＝0)，就逐塊(Pi、Si)比較(E7-E10)所提供的碼(P)和保密碼(S)；以及不論何時(shí)當(dāng)所提供的碼和保密碼的所比較塊不同(Res＝1)時(shí)，逐塊(Pi、Ai)比較(E7-E15)一部分所提供的碼和一部分確定數(shù)(A)，直到所提供的碼的所有塊(P1-PI)已被比較。
3.依照權(quán)利要求1或2的方法，其中保密碼(S)和確定數(shù)(A)由處理裝置(CA)寫于存儲(chǔ)器(MNV)的空間，該空間對(duì)應(yīng)于具有在基本上是相同的在邏輯狀態(tài)中的相應(yīng)的狀態(tài)的一些位的地址。
4.依照權(quán)利要求1或2的方法，其中保密碼(S)和確定數(shù)(A)被寫于處理裝置(CA)存儲(chǔ)器(MNV)的相鄰空間中。
5.依照權(quán)利要求1到4任何之一的方法，進(jìn)一步包括在應(yīng)用預(yù)定操作(E5-E16)之前，每次當(dāng)所提供的碼(P)被應(yīng)用于處理裝置(CA)時(shí)對(duì)確定數(shù)(A)的修改(E2a)。
6.依照權(quán)利要求1到5任何之一的方法，其中與相同保密碼(S)關(guān)聯(lián)的兩個(gè)數(shù)據(jù)處理裝置(CA)被與不同的確定數(shù)(A)關(guān)聯(lián)。
7.依照權(quán)利要求1到6任何之一的方法，其中當(dāng)與處理裝置(CA)關(guān)聯(lián)的保密碼(S)被修改時(shí)，確定數(shù)(A)被修改。
8.依照權(quán)利要求1到7任何之一的方法，進(jìn)一步包括使用被實(shí)施于處理裝置的變換函數(shù)(FT)進(jìn)行的將保密碼(S)變換為變換保密碼(ST)的在前變換(E1a)；然后，每次當(dāng)處理裝置被使用時(shí)，使用變換函數(shù)進(jìn)行將所提供的碼(P)變換為變換提供碼(PT)的變換(E4a)，在應(yīng)用預(yù)定操作(E5-E16)之前，但涉及變換提供碼和變換保密碼以及確定數(shù)(A)。
全文摘要
當(dāng)所提供的碼(P)被發(fā)現(xiàn)為錯(cuò)誤時(shí)，通過(guò)借助對(duì)所提供的碼的部分和一數(shù)字(A)的部分進(jìn)行逐塊比較(Pi、Aj)來(lái)模擬對(duì)保密碼(S)的部分與所提供的碼(P)的部分進(jìn)行的逐塊(Si、Pi)比較(E7)，本發(fā)明構(gòu)成了對(duì)于對(duì)數(shù)據(jù)處理裝置的訪問(wèn)控制安全的改進(jìn)。每次當(dāng)卡被使用時(shí)，常數(shù)數(shù)量的操作被應(yīng)用于所提供的碼(P)，其中至少的用于保密碼(S)的部分而至多的用于相對(duì)于操作數(shù)量的補(bǔ)充部分，并且被應(yīng)用于數(shù)字(A)，由此避免了對(duì)于不同所提供的碼的功率消耗的不同特征標(biāo)。
文檔編號(hào)G07F7/10GK1449548SQ01814808
公開(kāi)日2003年10月15日 申請(qǐng)日期2001年6月21日 優(yōu)先權(quán)日2000年8月29日
發(fā)明者P·莫伊特雷爾, J·帕斯卡爾 申請(qǐng)人:格姆普拉斯公司