[发明专利]用于在没有内部非易失性存储器的设备中提供防回滚保护的方法

说明书

背景技术

本申请内容的方面涉及具有近场通信(NFC)技术的设备。NFC技术可以通过将不同设备触碰在一起或将它们非常靠近而在它们之间建立无线通信。NFC允许双向通信。例如，当两个设备都开启时可以进行NFC点对点通信。另外，通信也可能是在NFC设备和无源的NFC芯片之间的。例如，NFC可以涉及发起者和目标，其中发起者生成能够启动被动目标(例如、牌、钥匙扣、卡)的射频场。

NFC技术可以有助于安全业务(比如支付业务)中的信息交换。具有NFC功能的移动设备可以用于无接触支付系统，类似于那些当前用在信用卡和电子票智能卡中的移动设备。例如，具有NFC功能的移动设备允许用户将财务账户存储在虚拟钱包中，然后在接受这样的支付方法的终端处使用具有NFC功能的移动设备。具有NFC功能的移动设备还可以用作接入控制的标识，例如取代用于物理接入(例如，酒店房间)或控制(例如，发动汽车)的传统钥匙。NFC能够促进其它类型的信息(例如，在移动电话之间传输媒体、场地入口的门票)。

假定具有NFC功能的移动设备会涉及到安全业务中，保护具有NFC功能的移动设备不受恶意攻击是很重要的。尽管软件安全性一般是由在系统内对多个方法进行分层来提供的，但是关键的考虑是系统应该运行最新和最安全的软件版本。

系统上通常使用的攻击途径是回滚攻击，其中，使系统运行更旧的、不安全的软件版本而不是最新版本。运行较旧的软件版本可以使系统更容易受到潜在攻击。因此，为了防止回滚攻击，需要在更新或安装软件时安装最新软件版本。

防回滚保护的当前方法是由移动设备的操作系统来检查安装的或更新的软件的版本号。但是，攻击者能够很容易地找到操作系统中的易攻击点以操作代码并覆盖这一保护机制。

另一种方法是使用e-Fuse技术来提供“最近安装的版本”信息。因为e-Fuse无法被物理地重写，它们是相当安全的。但是，这一方法有一些缺点，因为通常有固定的相对较低数量的电熔丝可用，并且一旦这些耗尽就无法再提供防回滚保护。因此，一旦无法用正确的版本号更新e-Fuse，则有回滚攻击的潜在可能。

例如，每次有对版本号的更新，则用新的版本号更新e-Fuse。因此，如果e-Fuse技术允许十次更新，那么对于第十一次更新，新的版本号无法存储在e-Fuse上。

另外，在e-Fuse方法中，要求对芯片的物理访问，并且这只能实现在单个芯片上。因此，e-Fuse方法是无法扩展的。在e-Fuse方法中，该实现需要在芯片制造工厂中进行。

发明内容

描述了在没有内部非易失性存储器的设备中提供防回滚保护的某些实施例。

本发明的各个实施例确保被下载到设备上的新的固件版本高于先前版本，以便防止回滚攻击。由于固件版本逐渐增加，通过将潜在的固件升级版本与安全元件环境中存储的版本号进行比较，可以防止该设备受到回滚攻击。另外，由于该版本号存储在移动设备的安全元件环境中，因此本发明在启动阶段就提供防回滚保护，甚至当设备没有内部非易失性存储器时也提供防回滚保护。此外，本发明的实施例可以防止软件和硬件攻击。

一个实施例包括用于在设备中提供防回滚保护的方法，包括：获取与针对所述设备的第一固件安装相关联的固件版本号(FVN)，其中，所述设备是在不包括非易失性存储器的基底上实现的；获取最低可接受固件版本号(LAFVN)，其中，所述LAFVN存储在安全元件环境中，其中，所述安全元件环境利用独立于所述基底的存储器；以及比较所述FVN和所述LAFVN，其中，如果所述FVN小于所述LAFVN，则不允许所述第一固件安装。

另一个实施例包括用于提供防回滚保护的设备，包括：一个或多个处理器；以及存储计算机可读指令的存储器，当所述计算机可读指令由所述一个或多个处理器执行时，使得所述设备进行以下操作：获取与针对所述设备的第一固件安装相关联的固件版本号(FVN)，其中，所述设备是在不包括非易失性存储器的基底上实现的；获取最低可接受固件版本号(LAFVN)，其中，所述LAFVN存储在安全元件环境中，其中，所述安全元件环境利用独立于所述基底的存储器；以及比较所述FVN和所述LAFVN，其中，如果所述FVN小于所述LAFVN，则不允许所述第一固件安装。