[发明专利]用于保护在NFC系统中传输的敏感数据的方法

说明书

技术领域

本发明涉及近场通信(NFC)事务，特别地，涉及在非接触式微电路卡和诸如集成了NFC组件的移动终端之类的NFC终端之间执行的事务。

背景技术

NFC组件可以具有若干工作模式，即“读取器”模式、“卡仿真”模式、“设备”模式(还被称为“设备对设备”模式或“端对端”模式)。在“读取器”模式中，NFC组件像标准RFID读取器一样工作以读取或写入RFID芯片(芯片卡或非接触式标签)。在该模式中，NFC组件发射磁场、通过调制磁场的幅度来发送数据并通过负载调制和感应耦合来接收数据。

在“仿真”模式中，特别地在属于申请人的专利EP 1327222中所描述的，NFC组件像应答器一样以无源方式工作。在该模式中，NFC组件被在读取器模式中的NFC终端看到并像RFID芯片一样与后者进行对话。因此，NFC组件不发射任何磁场，其通过解调由其它读取器发射的磁场来接收数据，并通过调制其天线电路的阻抗(负载调制)来发送数据。

在“设备”或“端对端”模式中，NFC组件必须与也正在相同工作模式中的NFC终端配对。组件和终端通过交替地将它们自身置于无源状态(不发射任何场)以接收数据并且置于有源状态(发射场)以发送数据来相互通信，或在事务期间保持相同的无源或有源状态。

除了这三种工作模式之外(未来可能会设计其它工作模式)，NFC组件可以实施若干非接触式通信协议，并且其例如能够根据ISO 14443-A协议、ISO 14443-B协议、ISO 15693协议等来交换数据。每个协议定义了磁场的发射频率、用于调制磁场的幅度以通过有源方式发送数据的调制方法、通过无源方式发送数据的感应耦合负载调制方法。从而NFC组件是多模式和多协议设备。申请人例如出售以“MicroRead^TM”命名的此种NFC组件。

由于其扩展的通信容量，意在将NFC组件集成到诸如像智能电话的移动电话、触摸式平板电脑、笔记本电脑或膝上型电脑之类的便携式设备中。这种便携式设备形成NFC系统(也被称为“NFC芯片组”，即包括NFC组件和至少一个主机处理器的芯片组)。“主机处理器”指任何包括微处理器和/或微控制器的集成电路，并且其被连接到NFC组件的端口。许多NFC系统包括若干主机处理器，诸如安装有NFC组件的设备的主处理器、安全处理器。主处理器一般是非安全处理器，例如移动电话的基带电路(或无线电话电路)。安全主机处理器例如是SIM卡或通用集成电路卡(UICC)中的微控制器或NFC组件中的微控制器。从而将NFC组件的资源提供给主机处理器以使它们能够管理非接触式应用。

构想使用这种NFC系统来执行与包括NFC通信接口的外部安全处理器的诸如支付事务之类的安全事务，如同那些在非接触式信用卡中实施的安全事务那样。外部安全处理器还可以被集成到另一个NFC系统中，然后以“卡仿真”模式工作。

但是，诸如电话之类的NFC系统的主处理器是不安全的。因此它可以执行这样的恶意应用：其被设计为获取存储在外部安全处理器中的机密信息，其中，所述外部安全处理器诸如是在卡中的处理器，其根据NFC型协议与系统的NFC组件进行通信。机密数据可以涉及银行卡，如银行卡的识别号、有效期限、持有人姓名、验证码等。实际上，该机密数据一般不特别地以受保护的(加密的)形式进行传输，因为该数据中的某些数据(诸如银行卡号的第一位数字)用于在银行网络内路由交易数据。由于标准的兼容性或标准的版本(尤其是向上兼容性)，还以明文的方式传输此类数据，投入使用的最初的支付卡以该方式传输此类数据。

为了克服这样的问题，已经建议实施受保护的NFC系统工作模式，其中，在NFC系统的非安全主机处理器和外部处理器之间交换的所有信息都通过NFC系统的安全处理器。然后，所述安全处理器被配置为从将被传输到非安全主机处理器的数据中移除必须保留其机密性的所有数据，或者加密这样的数据，以使得只有经授权的实体才可以访问被加密的数据。如果将所述安全处理器集成到NFC组件(其是具有特定操作系统的封闭组件)中，则在将机密数据传输到所述NFC组件的安全处理器之前，从中提取接收自外部处理器的这种机密数据是相对困难的。如果不将所述安全处理器集成到NFC组件中，则可以在所述NFC组件和所述安全处理器之间建立可能安全的特定传输通道。

但是，规定该受保护的工作模式通过改变由非安全主机处理器管理的指示符的值来激活。结果是，由所述非安全主机处理器执行的恶意应用可以仅通过改变所述指示符的值来停用受保护的模式。然后，机密数据不再由所述安全处理器过滤，所述恶意程序从而可以获得所述机密数据。