CN110249586B - 用于在智能卡上安全存储敏感数据的方法和智能卡 - Google Patents

用于在智能卡上安全存储敏感数据的方法和智能卡 Download PDF

Info

Publication number
CN110249586B
CN110249586B CN201880009874.XA CN201880009874A CN110249586B CN 110249586 B CN110249586 B CN 110249586B CN 201880009874 A CN201880009874 A CN 201880009874A CN 110249586 B CN110249586 B CN 110249586B
Authority
CN
China
Prior art keywords
transaction card
biometric
card
data
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880009874.XA
Other languages
English (en)
Other versions
CN110249586A (zh
Inventor
A·卡马尔
S·巴哈特
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mastercard International Inc
Original Assignee
Mastercard International Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mastercard International Inc filed Critical Mastercard International Inc
Publication of CN110249586A publication Critical patent/CN110249586A/zh
Application granted granted Critical
Publication of CN110249586B publication Critical patent/CN110249586B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/08Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code using markings of different kinds or more than one marking of the same kind in the same record carrier, e.g. one marking being sensed by optical and the other by magnetic means
    • G06K19/10Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code using markings of different kinds or more than one marking of the same kind in the same record carrier, e.g. one marking being sensed by optical and the other by magnetic means at least one kind of marking being used for authentication, e.g. of credit or identity cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/16Obfuscation or hiding, e.g. involving white box
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Abstract

用于允许敏感持卡人数据被安全存储在智能交易卡的常规存储元件中的方法和系统。在一个实施例中,所述智能交易卡的交易卡处理器安装与所述智能交易卡的操作系统兼容并且包括白盒卡上小程序的安全应用。所述交易卡处理器使用所述白盒卡上小程序的代码保护过程来混淆存储在生物特征传感器的常规存储器中的生物特征参考模板数据,接着将混淆的生物特征参考模板数据存储在所述常规存储器中,然后以预定时间间隔重新混淆所述生物特征参考模板数据。

Description

用于在智能卡上安全存储敏感数据的方法和智能卡
相关申请的交叉引用
本申请要求于2017年2月2日提交的美国专利申请号No.15/422,611的权益和优先权。上述申请的全部公开内容通过引用合并于此。
技术领域
实施例一般涉及允许敏感持卡人数据被安全存储在智能交易卡的常规存储元件中的系统和过程。特别地,给智能交易卡提供混淆过程和白盒过程处理以用于保护被存储在常规存储器中的消费者的敏感数据,并用来保护在智能交易卡上执行的应用免受故意破坏者的篡改和/或黑客攻击。
背景技术
由于所提供的便利,信用卡、借记卡、银行卡、存储卡、身份证、奖励卡和/或其他类型的塑料交易卡(或由其他类型的合适材料制成的卡)已经得到全世界消费者或持卡人的广泛接受。此类交易卡已被用作现金的替代物,有些还可用于启动和执行24小时银行服务。大多数常规交易卡由矩形塑料载体组成,其上压印有持卡人标识信息和/或账户信息。此外,卡载体通常包括编码有消费者账户信息的磁条。编码在磁条上的消费者账户信息的示例包括但不限于持卡人标识数据、账号数据、交易标识号数据和保密识别码数据。在一些系统中,存储在卡上的消费者数据被加密,使得伪造更加困难。然而,故意破坏者和/或黑客从磁条卡上已经窃取了消费者的敏感金融数据和/或持卡人标识数据,然后已经使用这些数据制造可以用于进行欺诈性购买的伪造的塑料交易卡。
为了打击支付卡欺诈,已经开发了智能交易卡(诸如是“欧洲支付(EuroPay)”、“万事达卡(MasterCard)”和“维萨(Visa)”的缩写的“EMV”卡)。智能交易卡包括电子电路和安全存储设备,并且被配置用于与读取器设备进行电子通信。例如,一些EMV支付卡包括近场通信(NFC)电路,当EMV支付卡在邻近读取器附近时,该近场通信电路使得邻近读取器设备能够与EMV支付卡通信,而它们之间没有任何接触。这种智能交易卡还可以被配置为允许邻近读取器查询智能交易卡以获得存储在智能交易卡上的信息,和/或提取完成购买交易或其他活动所要求的信息。然而,智能交易卡也容易发生由故意破坏者、黑客或其他人在毫无戒心的持卡人的智能交易卡的范围内非法利用远程读卡器或扫描仪进行的信息盗窃和/或身份盗窃的情况。
为了进一步打击欺诈,已经开发了合并一个或多个生物特征传感器的智能交易卡,其旨在增强安全性,而不会不希望地妨碍持卡人对智能交易卡的容易使用。这种智能交易卡已被证明对身份盗窃和支付、借记卡和信用卡欺诈有些有效,但需要增加电路和存储空间。然而,给智能交易卡增加存储空间可能昂贵,从而增加了制造智能交易卡的成本。
因此,期望提供用于以合理成本、以防止黑客攻击(例如逆向工程攻击)和/或身份盗窃和/或支付卡欺诈的方式在常规存储器上安全存储生物特征数据和/或其他敏感持卡人数据和/或智能交易卡应用的方法和系统。
附图说明
参考以下结合附图的详细描述,一些实施例的特征和优点以及实现这些特征和优点的方式将变得更加明显,附图图示了示例性实施例,其中:
图1是根据本公开的一些实施例的安全自认证智能交易卡的框图;
图2是根据本公开的一些实施例的安全自认证智能交易卡架构的实施例的框图;
图3是根据本公开实施例的安全、自认证智能交易卡的功能框图,该智能交易卡具有可操作地连接到至少一个生物特征传感器的芯片安全元件;
图4是根据本公开的一些实施例的交易系统的一部分的框图,以示出涉及安全自认证智能交易卡的交易过程;和
图5是示出根据本文描述的方法向智能交易卡提供保护的过程的流程图。
具体实施方式
一般而言,并且为了介绍本文描述的新颖实施例的概念的目的,提出了用于向具有至少一个生物特征传感器的交易卡提供混淆和白盒功能的方法,以便保护存储在生物特征传感器的常规存储器中的敏感持卡人数据,并且保护在交易卡上执行的应用免受故意破坏者和/或黑客的篡改和/或黑客攻击。特别地,生物特征传感器存储设备的开放性使得存储在这些开放设备上的软件和/或数据容易受到软件黑客或攻击者的攻击。特别地,攻击者可以得到对这种开放存储设备的执行平台和/或软件实现的控制。例如,攻击者或黑客可以在执行期间获得然后分析指纹应用的二进制代码和/或一个或多个软件应用的相应存储器页面,攻击者可以利用它们来拦截系统调用、篡改二进制文件及其执行和/或使攻击者能够使用黑客或攻击工具(诸如调试器和仿真器)来获得敏感持卡人数据。
已经认识到,使用生物特征传感器的开放式存储器来存储持卡人生物数据以便最小化制造包括这种生物特征传感器的智能交易卡的成本是有利的。因此,根据一些实施例,为了阻止攻击者和/或黑客成功入侵或故意破坏生物特征传感器的操作和/或获得存储在与智能交易卡的生物特征传感器相关联的常规存储器中的敏感持卡人数据的目的而提供白盒“卡上小程序(cardlet)”。例如,白盒卡上小程序可以是Java卡的形式(这是针对嵌入式设备的最小的Java平台),它指的是允许基于Java的应用或小应用程序在小存储器占用设备(诸如智能卡)上安全运行的软件技术。因此,在一些实现中,白盒卡上小程序包括多个功能,这些功能被配置用于混淆存储在常规存储器中的数据和/或用于感测对智能交易卡的攻击,使得可以防止这种攻击,和/或使得当需要时安全性措施可以被采取。白盒卡上小程序可以包括例如加密过程,该加密过程可以作为将给定密码转换成健壮表示的专用代码生成器来操作。例如,对秘密密钥的操作可以以某种方式与随机数据和代码相结合,以提供一种表示,其中随机数据不能与密钥信息区分开来,从而黑客不能辨别密钥。
在一些实施例中,白盒卡上小程序可以由支付处理实体(例如万事达卡国际公司)提供给软件开发者,用于合并到他们的智能交易卡应用中。例如,生物特征用户授权应用(其可以由诸如智能交易卡的发行银行之类的第三方实体开发)的开发者可以将白盒卡上小程序合并入生物特征用户授权应用,用于混淆诸如智能交易卡上持卡人的生物特征模板数据之类的敏感消费者数据。一般而言,消费者或持卡人不会意识到在他或她的智能交易卡上执行的白盒卡上小程序的功能。然而,这种白盒卡上小程序将允许敏感消费者数据,诸如消费者的生物特征数据(例如指纹数据、面部识别数据、语音数据、呼吸数据等),连同密码密钥和/或秘密密钥,被安全地存储在与智能交易卡的生物特征传感器相关联的常规存储器中。特别地,本文描述的方法利用密码过程在将数据存储在与生物特征传感器相关联的常规存储器中之前混淆数据和/或混淆与智能交易卡功能(诸如生物特征认证)相关联的软件应用。
此外,因为在给定时间和资源的情况下,坚决的黑客或攻击者最终可能会解密所混淆的敏感数据和/或软件应用,所以在一些实现中,持卡人的敏感数据以预定时间间隔被重新混淆,以防止故意破坏者和/或软件黑客成功解密所混淆的敏感数据。例如,基于白盒卡上小程序和/或智能交易卡的给定实现中利用的密码过程,可以确定有经验的攻击者或黑客可以在一个月内从智能交易卡获得消费者的生物特征数据。在这种情况下,本文公开的方法可以包括可信应用管理器服务器计算机,其与智能交易卡通信,以预定时间间隔重新混淆消费者的敏感数据,并且更新消费者的根密钥。例如,消费者的敏感数据可以每三周重新混淆一次,消费者的根密钥可以每两周更新一次,或者两个功能可以以同一时间间隔(或其他时间间隔)发生。例如,这种处理可以与在预定时间量已过去之时或之后发生的购买交易的智能交易卡处理同时发生。此外,也可以混淆已被用于加密消费者敏感数据的一种或多种加密算法。因此,本文描述的方法和系统确保存在于和/或存储在消费者的智能交易卡上的密码资产的安全性,即使当这些密码资产受到黑客和/或故意破坏者的白盒攻击时。
本文将使用许多术语。这些术语的使用不是为了限制,而是为了方便和易于阐述。例如,如本文所使用的,术语“用户”可以与术语“消费者”和/或与术语“持卡人”互换使用,并且这些术语在本文用于指消费者、人、个人、企业或其他实体。持卡人拥有(或被授权使用)金融账户,诸如支付卡账户(即信用卡和/或借记卡账户)或某种其他类型的账户(诸如忠诚卡账户或公共交通访问账户)。此外,术语“支付卡账户”可以包括信用卡账户、借记卡账户和/或存款账户或账户持有人或持卡人可以访问的其他类型的金融账户。此外,如本文所使用的术语“支付卡系统”和/或“支付网络”指的是用于处理和/或处置购买交易和相关交易的系统和/或网络,其可以由支付卡系统运营商(诸如万事达卡国际公司)或类似的处理器系统或实体来操作。在一些实施例中,术语“支付卡系统”可以限于其中成员金融机构(诸如银行)向个人、企业和/或其他实体或组织发行支付卡账户的系统。此外,术语“支付系统交易数据”和/或“支付网络交易数据”或“支付卡交易数据”或“支付卡网络交易数据”是指与已经通过支付网络或支付系统处理的支付或购买交易相关联的交易数据。例如,支付系统交易数据可以包括与已经通过支付卡系统或支付卡网络处理的持卡人的个人支付交易(或购买交易)相关联的多个数据记录。在一些实施例中,支付系统交易数据可以包括识别和/或认证持卡人的信息(诸如与持卡人相关联的生物特征数据)、识别和/或认证持卡人的支付设备和/或支付账户的数据、交易日期和时间、交易金额、已经购买的商品或服务、和/或识别商家和/或商家类别的信息。
贯穿本公开,将描述与诸如购买交易之类的金融交易相关联的示例。然而,本领域技术人员将理解,包括生物特征传感器和白盒卡上小程序的智能交易卡的实施例可以以期望的结果用于保护与其他类型的应用和/或交易(诸如允许持卡人进入建筑物的交易和/或允许进入社交游戏环境的在线交易等)相关联的敏感数据和/或软件功能。白盒卡上小程序也可以被配置用于例如使用代码混淆以防止“中间人攻击”的方式来保护用户的智能交易卡和商家的服务器计算机之间的互联网会话。例如,白盒卡上小程序可以混淆会话发生的时间,使得关于互联网连接是确切何时建立对黑客来说不清楚,以确保代码完整性。
现在将详细参考各种新颖的实施例和/或实现,其示例在附图中示出。应当理解,附图及其描述并不旨在将本发明限制于任何特定实施例。相反,本文提供的描述旨在覆盖其替代、修改及其等同物。在以下描述中,阐述了许多具体细节,以便提供对各种实施例的透彻理解,但是这些实施例中的一些或全部可以在没有一些或全部具体细节的情况下实践。在其他情况下,没有详细描述众所周知的过程操作,以免不必要地模糊新颖的方面。
图1是示出根据一些实施例的安全自认证智能交易卡100(或芯片卡)的组件的框图。如图所示,安全自认证智能交易卡100包括卡访问模块102,卡访问模块102可操作地连接到生物特征模块104,并被包含在塑料载体106内。塑料载体106可以具有传统信用卡或借记卡的尺寸(dimension),并且卡访问模块102可以包括安全存储和处理利用智能交易卡100进行交易所需的信息的组件。在一些实现中,为了初始化交易,在卡访问模块102被允许处理和/或提供进行交易所需的信息和/或数据之前,持卡人首先使用生物特征模块104用于认证目的。因此,在一些实施例中,生物特征模块104被配置为首先接收来自持卡人或用户的生物特征数据输入,将其与存储在生物特征模块的常规存储设备中的生物特征模板数据比较,并且如果接收到的生物特征数据与生物特征模板数据匹配,则允许卡访问模块102与读取器设备通信。
再次参考图1,在一些实现中,生物特征模块104是指纹传感器或指纹扫描仪。然而,可以利用各种其他类型的生物特征传感器,包括但不限于视网膜扫描仪、虹膜扫描仪、面部传感器(其可以包括数码相机)、生物化学传感器、音频传感器等。每个这样的生物特征传感器可以被配置为处置和/或管理生物特征数据捕获、生物特征数据存储和/或生物特征数据匹配过程。在包括指纹传感器的安全自认证智能交易卡100的情况下,用户在指纹传感器104的扫描仪(未示出)上滑动或扫描他或她的手指,然后将来自用户指纹扫描的数据与存储在指纹传感器104的存储器中的指纹模板数据比较。如果存在匹配,则存储在卡访问模块102中的交易信息被解锁以供使用。因此,只有当用户的扫描的指纹数据能够与存储的指纹模板数据匹配时,用户才能够使用安全自认证智能交易卡100来进行交易。此外,在根据本公开的实现中,通过利用一种或多种混淆技术和/或白盒功能来防止故意破坏者和/或黑客的篡改和/或黑客攻击,来保护用于认证用户的用户的指纹数据和各种软件应用。这种安全性特征确保丢失或被窃的智能交易卡不会被未授权的用户滥用,因为为了访问智能交易卡中的进行交易所必需的信息、程序或其他数据项,智能交易卡100必须首先自认证或自验证用户的身份。
图2是根据一些实施例的安全自认证智能交易卡架构200的实施例的框图。在一些实现中,卡访问模块202包括微控制器204,微控制器204具有可操作地连接到安全元件206的接触板(未示出)。在一些实现中,安全元件206安全地存储交易应用(例如近场通信(NFC)支付应用)、持卡人的敏感金融数据等。如图所示,安全元件206还可操作地连接到NFC通信设备208,NFC通信设备208可以包括天线(未示出),该天线有助于终端设备(例如,专用智能卡读取器设备、或者支持NFC并且包括能够从智能卡读取数据的应用的移动设备)和智能交易卡之间的无线通信。卡访问模块202被配置为允许访问智能交易卡,例如,由智能卡读取器或由模拟智能卡读取器的应用,并且模块本身可以从交易卡的表面可见或不可见。
图2还示出了可操作地连接到卡访问模块202的生物特征传感器210。在一些实施例中,生物特征传感器210是指纹传感器,其包括指纹微处理器212,指纹微处理器212可操作地连接到常规存储器214,并且可操作地连接到指纹扫描仪216(例如,其可以是电容扫描仪或超声波脉冲传感器)。在一些实施例中,卡访问模块202和生物特征传感器210是两个分开的集成电路(IC)芯片。
在通过涉及生物特征扫描仪216的授权过程授权对智能交易卡上的信息的访问之后,智能交易卡的通信和资源管理组件可以被配置为使用多种标准协议中的任何一种标准协议通信。例如,智能交易卡可以被配置为使用ISO 7816和/或ISO 14443协议,经由读取器设备与外部终端安全地通信。在一些实现中,可以使用专有通信协议。此外,在一些实施例中,数据传输和资源共享(例如,电源、接地和/或时钟资源)取决于指纹处理器212将指纹数据与存储在存储器214中的指纹模板数据相匹配,指纹数据由智能交易卡的经授权的用户通过在指纹扫描仪216上或通过指纹扫描仪216按压或滑动手指来输入。当存在匹配时,则指纹处理器212指示控制器电路214将交易卡切换到“开”状态,从而允许访问包含在智能交易卡上的信息或这种信息的通信。当然,当匹配不存在时,智能交易卡保持在“关闭”状态,例如,如果指纹数据来自未授权的人的手指的扫描和/或起因于用户的错误手指滑动而因此不匹配存储在存储器216中的指纹模板数据。
图3是根据本文描述的实施例的安全的、自认证的智能交易卡302的功能框图300,智能交易卡302具有可操作地连接到至少一个生物特征传感器306的芯片安全元件304(其可以是EMV元件或EMV芯片)。在该实施例中,自认证智能交易卡302被配置为包括EMV安全元件304和指纹传感器306的智能交易卡。指纹传感器306包括可操作地连接到常规存储设备310和指纹扫描仪312的微控制器单元308。常规存储器设备310包括交易卡操作系统(OS)和白盒小应用程序(或白盒卡上小程序)314、代码和完整性保护过程316以及一个或多个白盒加密过程318。存储设备310中还包括图像捕获过程320、匹配过程322和生物特征参考模板324。
在一些实施例中,代码和完整性保护过程316和白盒加密过程318是采用白盒的密码。此外,白盒小应用程序和卡操作系统软件314、图像捕获过程320、匹配过程322和生物特征参考模板324全部可以被代码保护,以使得故意破坏者或黑客很难从指纹传感器306的存储器310获得任何敏感数据。特别地,白盒小应用程序314、代码和完整性保护过程316和白盒加密过程318在运行时提供代码保护、代码混淆和白盒密码服务中的至少一项,以保护卡操作系统软件、图像捕获软件320、匹配过程软件322和生物特征模板数据324不被黑客和/或故意破坏者窃取或以其他方式挪用。特别地,在交易期间用于认证持卡人的持卡人的指纹模板数据,被使用白盒密码技术来加密然后存储在常规存储器310中,以挫败黑客。因此,在一些实现中,白盒卡上小程序可以包括安全密钥生成和提供应用、越狱感测应用、二进制签名核实应用、防调试保护应用、库交叉检查应用和/或防方法替换(anti-methodswizzling)应用中的一个或多个。然而,应当理解,白盒功能可以包括少于或多于这些应用的应用,这取决于标准,诸如,例如正在被保护和/或混淆的智能交易卡操作系统和/或应用类型和/或数据类型。通过使用这些保护和/或安全性过程和/或服务,允许将持卡人的生物特征参考数据(诸如指纹模板)存储到生物特征传感器的常规存储器上,以减轻和/或解决与在智能交易卡上存储和/或利用生物特征数据相关联的存储器大小限制问题。
图4是根据本公开的交易系统400的一部分的框图,以示出涉及安全自认证智能交易卡106的交易过程。该示例中的智能交易卡106可操作来执行安全用户或持卡人认证过程。交易系统400包括多个设备和/或组件和/或实体,它们相互作用以进行交易,诸如购买交易,其涉及用户或持卡人认证过程。一个或多个组件还可以向其他组件提供更新和/或信息和/或数据。此外,应该理解,为了便于理解,图4仅示出了一个交易卡106以及一个邻近读取器设备402、商家设备404、可信应用管理器计算机408和支付网络410,但是,在实践中,可以涉及大量这样的设备和/或组件(其中一个或多个可以包括一个或多个计算机或包括例如多个互连服务器计算机的计算机网络)来形成这样的交易系统400。
再次参考图4,用户或持卡人可以利用他或她的具有卡访问模块102和生物特征传感器104的安全自认证智能交易卡106来与可操作地连接到商家设备404的邻近读取器设备402进行无线交互。商家设备404还通过互联网406可操作地连接到可信应用管理器计算机408和支付网络410。支付网络408进而可操作地连接到多个发行方金融机构(FI)计算机412A、412B至412N。此外,发行方FI计算机可以经由互联网406可操作地连接到一些其他组件,诸如可信应用管理器计算机408。
可信应用管理器计算机408可以由应用服务提供商、支付卡处理商拥有和/或操作,所述应用服务提供商诸如但不限于苹果公司(Apple Inc.)、谷歌公司(Google Inc.)、亚马逊公司(Amazon.com,Inc.)、微软公司(Microsoft Inc.),支付卡处理商诸如万事达卡国际公司、全国性银行、区域性银行和/或其他金融机构等,并且可以向消费者和/或商家提供例如各种在线服务(诸如远程支付服务),和/或可以提供供应可下载的应用的一个或多个网站。例如,发行方FI计算机412A至412N中的一个或多个可以从可信应用管理器计算机408下载白盒卡上小程序,用于合并到它们的智能交易卡应用中。特别地,发行方FI可以开发生物特征用户授权应用,并将一个或多个白盒卡上小程序功能合并到该生物特征用户授权应用中,以在他们的智能交易卡中实现。白盒卡上小程序可以可操作以混淆发行方FI持卡人的敏感消费者数据,诸如那些持卡人的生物特征模板数据,并保护驻留在智能交易卡上的应用(例如购买交易软件)的代码完整性。因此,涉及处理生物特征数据捕获、生物特征数据匹配和生物特征模板数据存储的所有软件组件逻辑可以使用白盒技术进行代码混淆和代码完整性保护。
因此,在需要用户或持卡人认证才能继续进行的交易期间,智能交易卡的生物特征传感器104可以首先从用户获得生物特征数据,解密存储在传感器存储器中的生物特征模板数据,并尝试将用户生物特征数据与解密的生物特征模板数据进行匹配。(持卡人的生物特征模板数据可能已经在持卡人认证登记和设备注册过程期间被生成并被存储在生物特征传感器104的常规存储器中,并且这种注册过程可能发生在,例如,当用户首先提供金融数据以从发行方FI 412A至412N请求发行智能交易卡时。登记可以在发行方FI的营业地发生,并且涉及用户经由生物特征传感器和/或扫描仪提供一个或多个生物特征样本,诸如指纹,用于存储在智能交易卡上)。返回到上面的示例,如果从用户获得的生物特征数据和解密的生物特征模板数据之间存在匹配,则生物特征传感器104向卡访问模块102传送肯定的用户认证消息。然后,卡访问模块102启动与邻近读取器设备402的通信。这种用户生物特征认证过程可以有利地增强和/或加速交易处理,因为用户认证处理由消费者的智能交易卡106来处置,而不是要求认证数据被传送到例如由发行方FI 412A-412N之一操作的远程服务器计算机并由该远程服务器计算机来核实。
图5是示出根据本文描述的方法的向智能交易卡提供保护的过程500的流程图。当智能交易卡的交易卡处理器安装502可以由可信应用管理器计算机提供的安全应用时,该过程开始。安全应用与智能交易卡操作系统(卡OS)兼容,并且在一些实施例中包括白盒卡上小程序。交易卡处理器接下来利用白盒卡上小程序的代码保护过程来混淆504已经存储在智能交易卡的生物特征传感器的常规存储器中的生物特征参考模板数据。然后,交易卡处理器将混淆的生物特征参考模板数据存储506在生物特征传感器的常规存储器中。接下来,当预定时间间隔到期508时,交易卡处理器重新混淆510生物特征参考模板数据。预定时间间隔可以由第三方实体(诸如软件研究实验室)确定,并且指令可以被包括在白盒卡上小程序软件(其已经安装在智能交易卡上)中,该白盒卡上小程序软件被配置为当从先前交易发生的时间起测量的预定时间间隔到期时,使得交易卡处理器重新混淆生物特征参考模板数据(以及可能的其他数据和/或过程)。再次参考图5,如果交易卡处理器在步骤508中确定预定时间间隔尚未到期,则过程结束512,而不发生重新混淆。
在一些实施例中,用于向智能交易卡提供保护的过程还包括交易卡处理器运行白盒卡上小程序的代码完整性保护过程,以监控可以被配置为当进行交易时执行的一个或多个交易应用。当检测到攻击时,该过程可以包括交易卡处理器在交易处理期间向邻近读取器设备传送安全警报消息。交易应用的示例包括但不限于生物特征数据捕获过程、生物特征数据匹配过程和白盒卡上小程序的白盒过程。
在一些实现中,用于向智能交易卡提供保护的过程还包括交易卡处理器通过邻近读取器从可信应用管理器计算机接收指令。例如,可以接收重置用户根密钥的指令,然后作为响应,智能交易卡重置用户的根密钥。此外,该过程还可以包括通过运行代码保护过程,来混淆至少一个持卡人认证应用。此外,白盒卡上小程序的一些实现可以包括白盒功能,白盒功能可以以白盒二进制形式部署敏感逻辑、和/或可以混淆加密算法、和/或混淆公钥算法。因此,在一些情况下,白盒功能可以包括安全密钥生成和密钥提供应用、越狱应用、二进制签名核实应用、防调试保护应用、库交叉检查应用和防替换(anti-swizzling)应用中的一个或多个。
因此,由于与敏感持卡人信息相关联或表示敏感持卡人信息的敏感数据(诸如消费者的支付凭证和消费者的生物标识数据)需要被安全地存储在智能交易卡上,以防止软件黑客和/或类似故意破坏者篡改或窃取这些数据,因此,本文描述的方法可以包括代码保护和/或混淆技术。这种功能可以用于加密敏感数据引起混淆的数据,然后这些混淆的数据可以存储在生物特征传感器的常规(或非安全)存储器中。
然而,已经认识到,在给定的时间和资源情况下,坚决的黑客或攻击者最终将能够解密存储在智能交易卡上的混淆的数据。因此,所公开的方法还可以包括重新混淆敏感数据,这可以以预定时间(和/或以预定间隔)发生,以防止故意破坏者和/或软件黑客成功解密或获得所混淆的敏感数据。在一些实施例中,预定时间间隔可以是由软件实验室(或类似的第三方实体)提供的对有经验和/或坚决的黑客克服由白盒卡上小程序提供的防御所需时间的估计。因此,在一些实现中,例如,以建议的或估计的预定时间更新消费者的根密钥和/或重新混淆存储在生物特征传感器的存储器中的消费者的敏感数据,以便阻止可能正在进行的任何黑客企图。此外,所公开的方法可以用于混淆已经用于加密消费者的敏感数据的一个或多个加密算法。因此,在一些实施例中,消费者的智能交易卡上的白盒卡上小程序可以包括被配置给智能交易卡的生物特征处理器和/或控制器电路来以预定时间间隔更新和/或重新混淆敏感数据的代码或指令。例如,这种更新和/或重新混淆功能可以从特定交易的时间起测量的每三周发生一次。因此,在一些其他实现中,敏感数据的更新和/或重新混淆可以发生在,当在发生在从预定日期起测量的预定时间间隔已经到期之后的交易期间消费者或用户在邻近读取器设备处呈现他或她的智能交易卡时。
如上所述,预期利用生物特征传感器和根据本公开的公开过程的安全自认证智能卡也可以用作访问控制卡,例如,限制和/或监控持卡人对安全区域的访问,安全区域诸如公司大楼、公共交通终端、机场登机口区域等。此外,这种智能交易卡还可以用作金融支付和/或现金卡,用作医疗信息卡(例如,来安全和保密地存储持卡人的标识信息、家庭联系信息、处方药信息、健康信息和/或其他关键、私人和医疗信息)。此外,根据本公开的这种安全智能卡还可以用作诸如组合政府标识和支付卡之类的组合卡,和/或可以用作向诸如政府机构、公司、银行、公用事业公司等类似实体之类的实体进行的支付的会计控制卡。此外,这种安全自认证智能卡还可由证券的券商用于实时对交易进行记账,从而可以监控这种交易商及其交易,以确保失控的、未授权的或内幕交易不会不被检测到。此外,安全自认证智能卡还可以允许为地铁、公共汽车、火车、飞机等创建运输标识和支付卡,和/或为危险货物等的运输者创建驾驶员标识卡。
基于前述说明书将会理解,本公开的上述示例可以使用计算机编程或工程技术包括计算机软件、固件、硬件、中间件或其任意组合或子集,来)实现。根据本文讨论的示例,具有计算机可读代码的任何这样的所产生的程序可以在一个或多个非暂时性计算机可读介质内实施或提供,从而制造计算机程序产品,即制品。例如,合适的非暂时性计算机可读介质可以包括但不限于固定驱动器、磁盘、光盘、磁带、磁泡存储器、闪存、半导体存储器(诸如只读存储器(ROM))、纳米存储器单元和/或任何传送/接收介质(诸如互联网或其他通信网络或链路)。包含计算机代码的制品可以通过直接从一种介质执行代码、通过将代码从一种介质拷贝到另一种介质或者通过经由网络传送代码来制造和/或使用。
计算机程序(也称为程序、软件、软件应用、“app”、小应用程序或代码)可以包括用于可编程处理器的机器指令,并且可以用高级过程和/或面向对象的编程语言和/或用汇编语言和/或机器语言来实现。如本文所使用的,术语“机器可读介质”和“计算机可读介质”指用于向可编程处理器提供机器指令和/或数据的任何计算机程序产品、装置和/或设备(例如,磁盘、光盘、存储器、可编程逻辑器件(PLD)),包括接收机器指令作为机器可读信号的机器可读介质。然而,“机器可读介质”和“计算机可读介质”不包括暂时性信号。术语“机器可读信号”是指可用于向可编程处理器提供机器指令和/或任何其他类型数据的任何信号。
上文对这里的过程的描述和图示不应被认为暗示执行过程步骤的固定顺序。而是,过程步骤可以以任何可实行的顺序执行,包括同时执行至少一些步骤。此外,在一些实施例中,一个或多个步骤可能不需要用于执行。
尽管已经结合特定的示例性实施例描述了本发明,但是应当理解,在不脱离所附权利要求中阐述的本发明的精神和范围的情况下,可以对所公开的实施例进行对本领域技术人员明显的各种改变、替换和变更。

Claims (13)

1.一种用于保护存储在智能交易卡上的用户数据的方法,包括:
由智能交易卡的交易卡处理器安装由可信应用管理器计算机提供的安全应用,所述安全应用与所述智能交易卡的操作系统兼容并且包括白盒卡上小程序;
由所述交易卡处理器利用所述白盒卡上小程序的代码保护过程来混淆存储在生物特征传感器的常规存储器中的生物特征参考模板数据;
由所述交易卡处理器将混淆的生物特征参考模板数据存储在所述生物特征传感器的所述常规存储器中;
由所述交易卡处理器以第一预定时间间隔重新混淆所述生物特征参考模板数据;和
由所述交易卡处理器在需要用户认证的交易期间以不同于第一预定时间间隔的第二预定时间间隔更新用户根密钥,其中第一预定时间间隔和第二预定时间间隔是由第三方提供的用于阻止黑客攻击的估计。
2.根据权利要求1所述的方法,进一步包括:
由运行所述白盒卡上小程序的代码完整性保护过程的所述交易卡处理器监控被配置为当进行交易时执行的至少一个交易应用;和
当检测到攻击时,由所述交易卡处理器向邻近读取器设备传送安全警报消息。
3.根据权利要求2所述的方法,其中,所述至少一个交易应用包括生物特征数据捕获过程、生物特征数据匹配过程和所述白盒卡上小程序的白盒过程中的至少一个。
4.根据权利要求1所述的方法,进一步包括:
由所述交易卡处理器经由邻近读取器设备从可信应用管理器计算机接收重置用户根密钥的指令;和
由所述交易卡处理器重置所述用户根密钥。
5.根据权利要求1所述的方法,进一步包括,在重新混淆所述生物特征参考模板数据之前,由运行所述代码保护过程的所述交易卡处理器混淆至少一个持卡人认证应用。
6.根据权利要求1所述的方法,其中,所述白盒卡上小程序包括白盒功能,所述白盒功能进行以下中的至少一项:以白盒二进制形式部署敏感逻辑、混淆加密算法和混淆公钥算法。
7.根据权利要求6所述的方法,其中,所述白盒功能还包括安全密钥生成和密钥提供应用、越狱应用、二进制签名核实应用、防调试保护应用、库交叉检查应用和防替换应用中的至少一项。
8.根据权利要求1所述的方法,其中,所述智能交易卡包括指纹传感器,并且生物特征参考模板数据是持卡人指纹数据。
9.一种智能交易卡,包括:
卡访问模块,包括可操作地连接到微控制器和近场通信设备的安全元件;和
生物特征传感器,其可操作地连接到所述卡访问模块,其中,所述生物特征传感器包括可操作地连接到常规存储器和生物特征扫描仪的生物特征处理器;
其中,所述卡访问模块的所述安全元件包括被配置为使所述微控制器执行以下操作的指令:
安装与所述智能交易卡的操作系统兼容并且包括白盒卡上小程序的安全应用;
利用所述白盒卡上小程序的代码保护过程来混淆存储在所述生物特征传感器的所述常规存储器中的生物特征参考模板数据;
将混淆的生物特征参考模板数据存储在所述生物特征传感器的所述常规存储器中;
以第一预定时间间隔重新混淆所述生物特征参考模板数据;和
在需要用户认证的交易期间以不同于第一预定时间间隔的第二预定时间间隔更新用户根密钥,其中第一预定时间间隔和第二预定时间间隔是由第三方提供的用于阻止黑客攻击的估计。
10.根据权利要求9所述的智能交易卡,其中,所述生物特征传感器是指纹传感器,并且生物特征参考模板数据是持卡人指纹数据。
11.根据权利要求9所述的智能交易卡,其中,所述安全元件包括被配置为使得所述微控制器执行以下操作的进一步指令:
运行所述白盒卡上小程序的代码完整性保护过程,以监控被配置为当进行交易时执行的至少一个交易应用;和
当检测到攻击时,向邻近读取器设备传送安全警报消息。
12.根据权利要求9所述的智能交易卡,其中,所述安全元件包括被配置为使得所述微控制器执行以下操作的进一步指令:
经由邻近读取器设备,从可信应用管理器计算机接收重置用户根密钥的指令;和
重置所述用户根密钥。
13.根据权利要求9所述的智能交易卡,其中,所述安全元件包括,在用于重新混淆所述生物特征参考模板数据的指令之前,被配置为使得所述微控制器通过运行所述代码保护过程来混淆至少一个持卡人认证应用的指令。
CN201880009874.XA 2017-02-02 2018-01-19 用于在智能卡上安全存储敏感数据的方法和智能卡 Active CN110249586B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/422,611 US10615980B2 (en) 2017-02-02 2017-02-02 Methods and systems for securely storing sensitive data on smart cards
US15/422,611 2017-02-02
PCT/US2018/014314 WO2018144238A1 (en) 2017-02-02 2018-01-19 Methods and systems for securely storing sensitive data on smart cards

Publications (2)

Publication Number Publication Date
CN110249586A CN110249586A (zh) 2019-09-17
CN110249586B true CN110249586B (zh) 2022-06-24

Family

ID=61163815

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880009874.XA Active CN110249586B (zh) 2017-02-02 2018-01-19 用于在智能卡上安全存储敏感数据的方法和智能卡

Country Status (5)

Country Link
US (1) US10615980B2 (zh)
EP (1) EP3577851B1 (zh)
CN (1) CN110249586B (zh)
AU (1) AU2018214800B2 (zh)
WO (1) WO2018144238A1 (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114120523B (zh) 2016-04-27 2023-11-03 武礼伟仁株式会社 生物体数据注册系统及结算系统
SE1751451A1 (en) * 2017-11-24 2019-05-25 Fingerprint Cards Ab Biometric template handling
US10140612B1 (en) 2017-12-15 2018-11-27 Clover Network, Inc. POS system with white box encryption key sharing
US11301554B2 (en) * 2018-03-13 2022-04-12 Ethernom, Inc. Secure tamper resistant smart card
US20200184475A1 (en) * 2018-12-07 2020-06-11 Mastercard International Incorporated Data aggregation services for payment cards
US11087580B2 (en) * 2018-12-17 2021-08-10 Jpmorgan Chase Bank, N.A. Systems and methods for securing contactless cards from unauthorized payments
US11316680B2 (en) * 2019-02-21 2022-04-26 Dell Products, L.P. Protected credentials for roaming biometric login profiles
US10871958B1 (en) * 2019-07-03 2020-12-22 Capital One Services, Llc Techniques to perform applet programming
FR3101742B1 (fr) 2019-10-04 2023-04-28 St Microelectronics Rousset Procédé de communication entre circuits
CN113449833B (zh) * 2020-03-27 2024-01-26 意法半导体(鲁塞)公司 微电路卡
US11055683B1 (en) * 2020-04-02 2021-07-06 Capital One Services, Llc Computer-based systems involving fingerprint or biometrically-activated transaction cards and methods of use thereof
DE102020111565B3 (de) * 2020-04-28 2021-08-05 Infineon Technologies Ag Chipkarte

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2327911A1 (en) * 2000-12-08 2002-06-08 Cloakware Corporation Obscuring functions in computer software
WO2003003169A2 (en) 2001-06-28 2003-01-09 Cloakware Corporation Secure method and system for biometric verification
US7543156B2 (en) * 2002-06-25 2009-06-02 Resilent, Llc Transaction authentication card
US8918900B2 (en) * 2004-04-26 2014-12-23 Ivi Holdings Ltd. Smart card for passport, electronic passport, and method, system, and apparatus for authenticating person holding smart card or electronic passport
US9286457B2 (en) * 2004-06-14 2016-03-15 Rodney Beatson Method and system for providing password-free, hardware-rooted, ASIC-based authentication of a human to a mobile device using biometrics with a protected, local template to release trusted credentials to relying parties
US7318550B2 (en) * 2004-07-01 2008-01-15 American Express Travel Related Services Company, Inc. Biometric safeguard method for use with a smartcard
JP2008158681A (ja) * 2006-12-21 2008-07-10 Oki Electric Ind Co Ltd 生体認証システム及び方法、並びに、利用者識別情報物品
US20120181333A1 (en) * 2010-12-17 2012-07-19 Mark Stanley Krawczewicz Secure ID Credential With Bi-State Display For Unlocking Devices
US20150127553A1 (en) * 2012-06-06 2015-05-07 Mohan Sundaram Intelligent payment card and a method for performing secure transactions using the payment card
US20140210589A1 (en) 2013-01-29 2014-07-31 Mary Adele Grace Smart card and smart system with enhanced security features
US10380471B2 (en) 2013-07-23 2019-08-13 Capital One Services, Llc Dynamic transaction card power management
EP2958056B1 (en) * 2014-06-20 2019-02-20 Nxp B.V. Radiofrequency transponder circuit
US11234105B2 (en) * 2014-09-29 2022-01-25 Visa International Service Association Methods and systems for asset obfuscation
US10009324B2 (en) * 2015-06-29 2018-06-26 American Express Travel Related Services Company, Inc. Host card emulation systems and methods
US10146644B2 (en) * 2016-06-16 2018-12-04 Oracle International Corporation Integrity of transactional memory of card computing devices in case of card tear events

Also Published As

Publication number Publication date
WO2018144238A1 (en) 2018-08-09
AU2018214800A1 (en) 2019-08-15
EP3577851B1 (en) 2021-04-07
AU2018214800B2 (en) 2023-04-13
EP3577851A1 (en) 2019-12-11
CN110249586A (zh) 2019-09-17
US10615980B2 (en) 2020-04-07
US20180219680A1 (en) 2018-08-02

Similar Documents

Publication Publication Date Title
CN110249586B (zh) 用于在智能卡上安全存储敏感数据的方法和智能卡
US11664997B2 (en) Authentication in ubiquitous environment
CN103544599B (zh) 用于在移动终端内认证、存储和交易的嵌入式安全元件
US11238139B2 (en) Methods for securely storing sensitive data on mobile device
US11157912B2 (en) Method and system for enhancing the security of a transaction
RU2537795C2 (ru) Доверенный дистанционный удостоверяющий агент (traa)
RU2523304C2 (ru) Доверенный администратор достоверности (tim)
CN106576044B (zh) 泛在环境中的认证
US9372971B2 (en) Integration of verification tokens with portable computing devices
US20160005039A1 (en) Secure identity binding (sib)
US20100306819A1 (en) Interactive phishing detection (ipd)
WO2013155562A1 (en) Nfc card lock
WO2005109360A1 (en) Secure pin entry using personal computer
JP6329485B2 (ja) 移動端末、処理端末、及び、移動端末を用いて処理端末で処理を実行する方法
Murdoch et al. Security protocols and evidence: Where many payment systems fail
Yu et al. Security issues of in-store mobile payment
El Madhoun et al. The EMV Payment System: Is It Reliable?
Kier et al. Mobile Payment Fraud: A practical view on the Technical Architecture and Starting Points for Forensic Analysis of new attack scenarios
RU2736507C1 (ru) Способ и система создания и использования доверенного цифрового образа документа и цифровой образ документа, созданный данным способом
Sun A survey of payment token vulnerabilities towards stronger security with fingerprint based encryption on Samsung Pay
US20230245125A1 (en) Identity verification using a virtual credential
Alliance Smart Card Technology and Application Glossary
Hudaib Banks & E− Commerce Network Security Threats and Best Policies in Practice

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant