CN112020718A - 电子装置的完整性检查 - Google Patents
电子装置的完整性检查 Download PDFInfo
- Publication number
- CN112020718A CN112020718A CN201880088916.3A CN201880088916A CN112020718A CN 112020718 A CN112020718 A CN 112020718A CN 201880088916 A CN201880088916 A CN 201880088916A CN 112020718 A CN112020718 A CN 112020718A
- Authority
- CN
- China
- Prior art keywords
- integrity
- secure element
- mem
- data storage
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 55
- 238000013500 data storage Methods 0.000 claims abstract description 45
- 230000004044 response Effects 0.000 claims abstract description 8
- 230000006870 function Effects 0.000 claims description 11
- 238000004891 communication Methods 0.000 claims description 9
- 238000012790 confirmation Methods 0.000 claims description 3
- 230000006399 behavior Effects 0.000 claims description 2
- 230000000295 complement effect Effects 0.000 claims 1
- 238000012795 verification Methods 0.000 abstract description 10
- 238000004519 manufacturing process Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 239000000470 constituent Substances 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
一种用于检查电子装置(DE),特别是卡支付终端的完整性的方法,包括:至少一个处理器(MPU),安全元件(SE),安全元件(SE)能够存储和管理数据,并且已在其中加载旨在用于验证电子签名的公共密钥(KP),以及数据存储设备(MEM),数据存储设备(MEM)的内容先前已经过认证并且其完整性可使用公共密钥进行验证,使得检查完整性的控制命令致使执行以下连续步骤:装置的处理器(MPU)调用安全元件(SE);作为响应,安全元件(SE)向数据存储设备(MEM)发送以接收数据存储设备(MEM)的存储器的整体内容为目的的请求;然后对从数据存储设备(MEM)的存储器接收的内容执行真实性认证,以便使用公共密钥(KP)验证数据存储设备(MEM)的内容自其初始认证以来尚未被修改;当真实性认证成功时,装置被视为是完整的。
Description
技术领域
本发明涉及关于电子装置完整性检查的领域。
更具体地,本发明涉及一种用于检查电子装置的完整性的过程,这种电子装置能够实现此过程,并且涉及使用这种电子装置实现此过程的用途。在下文中,有时将电子装置简称为“装置”。
背景技术
装置(诸如在本发明中使用的装置)可以是卡支付系统,这个实例和这个应用并不排斥其他实例和应用。“卡支付系统”指的是支付终端和银行支付芯片卡的功能组合。
用于本发明的此类型的装置以其自身已知的方式至少包括:
-处理器(通常称为“微处理器单元”的MPU),
-能够存储和管理数据的安全元件(特别地可以是智能卡),并且已在其上加载了旨在用于验证电子签名的公共密钥,以及
-数据存储设备(诸如,存储器)。
此外,还已知可预先认证存储设备的内容,使得存储设备的内容的完整性可通过与用于所述认证的私人密钥相对应的公共密钥进行验证。在本发明的上下文中,这个公共密钥可以是加载在安全元件的存储器中的公共密钥。
在本发明的上下文中,“完整性检查”是指根据ISO标准7498-2号给出的定义,所述数据没有被以未经授权的方式修改或破坏的验证。
以本身已知的方式,在提供给用户之前的阶段期间,所述阶段可以是所讨论的装置的制造或由产品或服务的提供者对其配置的阶段,所述装置的组成元件可由特设、政府或私人机构认证。
在随后的部署阶段中,重要的是用户始终可满怀信心地(即对于所述装置的完整性的保护的保证)实现所述装置。这就是本发明的目的。已知用于保证电子文档或信息的完整性并用于认证作者的电子签名。然而,单独的电子签名机制并不保证提供签名的程序确实能做到其声称的功能。
信用卡支付系统通过银行卡/认证服务器和支付终端/认证服务器质询-响应机制以及支付终端确实具有的私人密钥的验证进行认证,所述私人密钥是正在使用的卡所需具有的。然而,用户不知道并且因此不确信他/她借助于支付终端进行的交易与由支付终端实际进行的交易之间的相关性。由
集团和类似组织提供的认证不阻止使用伪造或假冒的付款终端。
最新技术发展水平也由文件US 6,830,840和US 5,721,781示出。
文件US 6,839,840描述了一种方法,所述方法使存储卡和终端能够对其自身进行认证,并且其中所有算法计算都由与存储卡连接的终端执行。与认证相关联的操作在适当的交易开始之前和交易结束之后进行,以期在下一个交易开始时进行认证。
文件US 5,721,781描述一种用于认证便携式信息装置与终端之间的交易的方法,所述便携式信息装置存储链接到所述装置唯一的装置的证书,并且所述终端存储链接到所述终端唯一的终端的证书,所述便携式信息装置包括有关终端类型的信息。所述方法包括以下步骤:在交易期间在便携式信息装置与终端之间交换链接到终端和链接到终端的证书;使用链接到交换装置和终端的证书来相互认证便携式信息装置和终端;基于包含在从终端接收到的链接到终端的证书中的终端类型信息,确定在便携式信息系统上的所述终端的安全级别,所述安全级别具有在交易期间所进行的交易的值的相关联限制值;并将交易的值限制在与确定的安全级别相关联的限制值。
文件US 2002/023032涉及一种用于使得使用电子系统能够执行金融交易的方法,所述方法包括:用电子安全装置询问电子交易终端,以便获得金融交易终端的完整性度量;基于完整性度量确定交易终端是否为可信终端;如果交易终端已被标识为可信终端,则允许将金融交易数据输入交易终端。文件US 2002/023032还涉及一种金融交易系统,所述金融交易系统包括:电子金融终端;电子安全装置,所述电子安全装置具有用于询问电子金融交易终端以获得电子金融交易终端的完整性度量的询问设备,从而确定用于基于完整性度量来确定交易终端是否是终端的设备,用于在交易终端被标识为可信终端的情况下授权金融交易数据进入交易终端的设备。文件US 2002/023032中描述的方法和系统不防止交易终端的整个存储器受到安全元件的哈希处理。然而,仅对一个证书和一个校验和进行哈希处理就意味着它们可能被篡改。文件US 2002/023032中描述的方法和系统不允许根据完整性度量来调整安全元件的功能级别。
文件US 9,177,152涉及一种用于对旨在由安全元件执行的加密程序文件进行认证和解密的方法,所述方法包括从外部装置接收程序文件以及与所述程序文件相关联的数字证书。所述方法将程序文件和相关联的证书存储在位于安全元件中的安全RAM中,并对程序文件进行哈希处理以获得哈希值。所述方法通过将获得的哈希值与存储在证书中的校验和进行比较,来对程序文件进行认证。此外,所述方法将存储在证书中的执行配置信息写入安全元件中的对应配置寄存器;所述过程还使用存储在证书中的种子值和位于安全元件中的唯一标识符来生成加密密钥,并且使用所生成的加密密钥来解密程序文件。根据文件US9,177,152的方法不允许安全元件将不可被存储在其安全随机存取存储器中的程序进行哈希处理。此外,本文件不涵盖其他微处理器对程序执行的授权。
在文件US 2002/023032和US 9,177,152中描述的方法和系统是这种校验和,或者将全部但相对较小的内容提交给安全元件,对其完整性进行验证。
恰恰相反,在本发明的精神中,期望的是根据安全元件对平台其余部分执行的完整性检查的结果,决定它可涵盖哪些功能,这意味着它必须控制其余微处理器的全部存储器。
这种期望面临两个障碍。一方面,由于必须由安全元件发送内容且将内容进行哈希处理这一事实妨碍了安全检查大量信息的完整性,这对于完整性检查操作形成性能瓶颈。另一方面,另一个微处理器在传输其存储器的整个内容期间仍处于操作中的事实,使有必要确保正在传输的数据没有被修改,以便屏蔽希望损害系统的恶意第三方可能做出的修改。
这两个障碍解释了为什么当前现有的解决方案不朝此方向发展,而是在执行之前或通过简单的完整性校验和以及相关联的证书来验证内容。
然而,本发明提出的针对这两个障碍的解决方案使得能够将高级功能添加到系统。例如,事实上,根据所观察到的完整性级别的事实,安全元件不减少交付或不交付服务的二元选择,而是使用功能梯度。
这样,存在以下问题:允许用户控制交易验证装置的完整性(也就是智能卡/支付终端对的完整性(考虑到这些装置的异质性))的一般问题,以及克服上述两个障碍的特定问题。
发明内容
本发明旨在通过安全元件提供针对这些问题的解决方案。这样,在装置的后续部署阶段,用户始终可满怀信心地实现它。
为此,所述装置是在随后的部署阶段中实现的,公共密钥/私人密钥已在前一阶段(制造或配置)中使用。因此,这两个阶段是相互依存的。
下面是本发明的描述。
根据第一方面,本发明的目的是提供一种用于检查电子装置,特别是卡支付系统的完整性的方法,其至少包括:
-处理器,
-安全元件,所述安全元件能够存储和管理数据,并且已在其上加载了旨在用于验证电子签名的公共密钥,以及
-存储数据的设备,所述存储数据的设备的内容先前已经过认证并且其完整性可使用所述公共密钥进行验证。
使得完整性控制命令导致执行以下步骤:
-所述安全元件通过所述处理器对从所述数据存储设备的所述存储器中接收的所述内容执行认证检查,以便借助于所述公共密钥验证自所述初始认证程序以来,所述存储器的内容未被修改,
-当所述认证检查成功时,所述装置被视为是完整的。
所述方法使得完整性控制命令涉及执行以下连续步骤:
-所述装置的所述处理器调用所述安全元件,作为响应,所述安全元件通过所述处理器通过数据存储设备发送请求以接收数据存储设备的存储器的所述全部内容,
然后,所述安全元件执行所述认证检查。
根据一个实施例,当所述装置被视为是完整的时,所述装置能够根据由于它导致的名义行为标准进行操作,
根据一个实施例,当所述认证检查不成功时,考虑到所述验证程序的所述失败,所述装置被编程来以合适的模式操作。
根据一个实施例,所述方法包括除了每次将完整性控制命令发送到所述装置时执行的所述步骤之外,还包括配置所述电子装置的初步阶段,从而所述数据存储设备的所述存储器的所述初始内容使用数字认证设备(诸如,特别是使用与所述安全元件上加载的所述公共密钥相对应的所述私人密钥的电子签名系统)进行证实。特别地,在所述电子装置的所述初步制造或配置阶段期间初始产生的所述电子签名被加载到所述数据存储设备中或加载到所述安全元件的所述存储器中。
根据一个实施例,在启动所述装置时或在所述装置的用户请求所述装置的完整性检查时,将执行完整性控制命令。
根据一个实施例,在执行至少一个但确定数量的所述完整性控制步骤之后,不导致所述存储器相对于其初始状态的所述完整性的确认,对所述存储器的所述内容进行所述认证检查的失败导致使用以下一种或多种降级操作模式:
-通知所述用户所述完整性检查失败,
-阻止访问所述安全元件上加载的所述数据,
-阻止访问所述电子装置,
-擦除所述电子装置中存储的所述所有或部分数据以及包括所述数据的所述元件。
根据一个实施例,所述安全元件在其存储器中具有参考时间间隔T,所述参考时间间隔T被配置来短于所述安全元件恢复要认证的所述存储器的所述全部内容所需的最大限度时间,并且其中发送到所述装置的每个完整性控制命令致使执行所述以下连续步骤:
-所述安全元件通过所述处理器向所述数据存储设备发送调用以使所述安全元件发送从数据存储设备的存储器中提取的一个或多个数据序列,
-所述安全元件标识通过所述处理器发送所述调令与接收所述请求的一个或多个序列之间经过的所述时间并且将其与所述参考时间间隔T进行比较,
-如果经过的时间大于时间T,则所述安全元件拒绝认证所述数据存储设备的所述存储器内容,并且中断执行所述完整性控制程序的所述后续步骤。
根据一个实施例,当在发送所述请求的所述安全元件与被接收的所述一个或多个序列之间经过的所述时间小于所述间隔T时,所述安全元件执行所述完整性控制步骤,同时相对于必须证实的所述存储器的所述内容的所述真实性验证接收到的所述序列的所述完整性。
根据一个实施例,所述处理器的所述功能由微控制器处理。
根据第二方面,本发明涉及一种电子装置,特别是一种支付终端,其至少包括:
-处理器,
-安全元件(其特别地可以是智能卡),所述安全元件能够存储和管理数据,并且已在其上加载了旨在用于验证电子签名的公共密钥,以及
-存储数据的设备,所述存储数据的设备的内容先前已经过认证并且其完整性可使用所述公共密钥进行验证,
能够实现并且旨在实现如先前描述的完整性控制方法,其中完整性控制命令需要执行所述以下连续步骤:
-所述处理器调用所述安全元件,
-作为响应,所述安全元件通过所述处理器通过数据存储设备发送请求以接收数据存储设备的存储器的所述全部内容,
-所述安全元件通过所述处理器对从所述数据存储设备的所述存储器中接收的所述内容然后执行认证检查,以便使用所述公共密钥验证自所述初始认证程序以来,所述存储器的内容未被修改,
-当所述认证检查成功时,所述装置被视为是完整的。
更一般地,所述装置实现以上描述的所述方法的所述其他步骤和/或特性。
根据一个实施例,所述装置包括微控制器,所述微控制器的存储器包括所述数据存储设备的全部或部分,并且所述微控制器的处理器执行所述处理器的所述功能。
根据所述情况,所述装置还包括以下其他另外的装置中的一个和/或另一个:
-人机接口,特别是键盘或屏幕,
-接口,所述接口与外部数字装置(特别是计算机、通信网络或远程服务器)
进行通信。
根据第三方面,本发明涉及实现这种完整性控制方法的这种电子装置的用途。
这些用途是数据的认证、加密和所述安全的远程交换,这些数据存储在所述装置自身内部,或可通过通信网络进行远程访问,或者甚至执行交易(特别是金融交易)。
附图说明
现在简要描述附图中的图。
图1是示出根据本发明的电子装置的图解。
图2是示出制造或安装所讨论的装置的初步阶段的图解。
图3是示出所讨论的装置的完整性控制过程的部署阶段的步骤的顺序图解。
具体实施方式
本发明涉及一种用于检查电子装置DE的完整性的方法。如所指出的那样,有时将电子装置DE简称为“装置”。本发明还涉及一种能够实现并且旨在实现所述完整性控制程序的电子装置DE。
由于电子装置DE实现了完整性控制过程,所以本发明还涉及电子装置DE的用途。
“卡支付系统”是指支付终端和银行支付芯片卡的功能组合。
然而,这个实例和这个应用并不排斥其他实例和应用。
这种类型的装置以其自身已知的方式至少包括:
-处理器MPU,
-安全元件SE,所述安全元件SE能够存储和管理数据,并且已在其中加载了旨在用于验证电子签名的公共密钥KP,以及
-存储数据的设备,所述存储数据的设备的内容先前已经过认证并且其完整性可使用所述公共密钥KP进行验证。这种数据存储设备MEM包括微控制器的全部或部分内部存储器。
所述装置DE还可包括人机接口,特别是键盘或屏幕。它还可包括与外部数字装置(特别是计算机、通信网络或远程服务器)的通信接口。
所述装置DE可采用扁平且不是很厚的每边几厘米的盒子的形式,或者采用USB棒的形式。
这种装置DE可通过完整性控制方法的实现用于安全功能,诸如,特别是存储在装置DE本身中的或在通过通信网络可访问时远程进行的数据的认证、加密和安全远程交换。因此,装置DE可独立地实现,或者通过与其他电子设备通信来实现。装置DE的典型用途是以安全的方式执行交易,特别是包括用于加密货币的金融交易。
在本发明的上下文中,“完整性检查”是指根据ISO标准7498-2号给出的定义,所述数据没有被以未经授权的方式修改或破坏的验证。
在装置DE的先前制造或配置阶段FAB期间,其组成元件由特设、政府或私人机构认证。以此方式,由于此初始认证程序,装置DE被配置用于实现所述方法。
本发明的完整性控制过程在随后的部署阶段USE中实现。
现在我们将描述本发明的若干可能的实施方案。
现在将参考图2对装置DE的先前制造或配置阶段FAB给出更详细的描述。此阶段与装置DE的实体制造同时发生,或者可能在此之后发生,但在随后的部署阶段USE之前发生。从预生产或FAB配置阶段到已部署的USE阶段的转换是不可逆的。在电子装置的所述先前配置阶段期间,使用数字认证设备,诸如特别是使用与加载到安全元件SE中的公共密钥KP相对应的私人密钥Kd的电子签名系统来证实数据存储设备MEM的存储器的初始内容CO。根据情况,将电子签名SIGN加载到数据存储设备MEM中(如图3所示),或者加载到安全元件SE的存储器中。
现在将参考图3更详细地描述用于在随后的部署阶段USE期间检查电子装置DE的完整性的方法。此完整性控制方法使得完整性控制命令A导致执行下面描述的连续步骤和操作(每个步骤在图3中由箭头示出,其中描述标识所述步骤)。
首先,装置的处理器MPU调用安全元件SE(箭头B)。
作为响应,安全元件SE通过处理器MPU(箭头C)通过数据存储设备MEM发送请求(箭头D)以接收数据存储设备MEM的存储器的全部内容(箭头E)。
本发明的优点是,在不损害系统中各种微处理器的存储器的情况下提供完全控制。
安全元件必须将显示和用户交互操作委派给处理器MPU,并且为此,它需要在处理器MPU上执行经过证实的代码。因此,MPU处理器必须执行整合代码,以便避免用户在显示的信息与由安全元件SE实际操纵的信息之间存在不匹配。
由于控制与安全元件SE协作的处理器MPU的整个存储器的事实,因此提供了完全的安全性,处理器MPU没有用于操纵的空间来操作非整合程序,并且适应安全元件的功能级别。
安全元件SE可例如决定使用以下总体安全级别:
·完全安全级别:处理器MPU的存储器被识别为完整的,并且被设计来检测错误处理器MPU的策返回否定结果。
·部分(仅认证功能)安全级别:处理器MPU的存储器识别为完整的,但是被设计来检测篡改的处理器MPU的对策返回肯定结果,安全元件SE将仅接受通过用户机密进行内容认证的请求,而将拒绝其他所有请求。
·零安全级别:处理器MPU的存储器被识别为不是完整的。在这种情况下,安全元件SE将不同意任何调用用户机密的请求,但仍将授权执行其他密码操作(导入外部机密,对其进行操纵)。在这种情况下,并且作为一个选项,安全元件SE可决定擦除用户的机密以增加保密性。
从这些安全级别来看,似乎安全元件SE不仅受向其提交请求的系统控制,而且可基于这些请求来决定其自身对系统的请求的响应以及它将能够交付的功能级别。
然后,安全元件SE对从数据存储设备MEM的存储器接收到的内容(箭头F)执行认证检查(箭头G),以便借助于公共密钥KP验证其内容自其被初始认证以来未被修改。
当所述认证检查成功时,装置DE被认为是完整的。
根据情况并且根据装置DE的组成元件的容量,对应于箭头C、D、E和F的步骤和操作涉及数据存储设备MEM的存储器的全部内容,或者涉及部分所述内容,在这种情况下,重复与箭头C、D、E和F相对应的步骤和操作,直到安全元件SE接收到整个内容,使得其可执行完整性检查(箭头G)。
根据所述情况,在启动装置DE时或在用户请求完整性检查时,将执行完整性控制命令A。
当装置DE被认为是完整的时,其能够根据由它导致的名义行为进行操作。
另一方面,当认证检查失败时,考虑到验证程序的失败,装置DE被编程来以合适的模式操作。合适的模式例如可包括用户警报过程,所述用户警报过程要求用户方面采取积极行动以继续实现装置DE,或者相反,不继续实现装置DE。
在一个实施例中,预期在执行完整性控制步骤的至少一个或确定数量之后,尚未导致确认数据存储设备MEM的存储器相对于其初始状态的完整性,对数据存储设备MEM的存储器的内容进行认证检查的失败将导致使用以下一种或多种降级操作模式:
-通知所述用户所述完整性检查失败,
-阻止访问安全元件SE中加载的数据,
-阻止访问装置DE,
-擦除所述装置DE中存储的所述所有或部分数据以及包括所述数据的所述元件。
在一个实施例中(参见图3),规定安全元件SE在存储器中具有可用的参考时间间隔T,所述参考时间间隔T被配置来小于执行与箭头C、D、E和F相对应的一系列步骤所需的最大限度时间,并且其中发送到装置DE的每个完整性控制命令都需要执行以下连续步骤:
-安全元件SE通过处理器MPU向数据存储设备MEM发送请求,使得安全元件SE发送从数据存储设备MEM的存储器中提取的一个或多个数据序列,
-所述安全元件SE测量通过所述处理器(MPU)发送所述请求与接收所述请求的一个或多个序列之间经过的所述时间并且将其与所述参考时间间隔T进行比较,
-如果经过的时间大于时间T,则安全元件拒绝认证数据存储设备的存储器的内容,并且中断执行完整性控制程序的后续步骤。
当由安全元件SE发送请求与接收到所述请求的一个或多个序列之间经过的时间小于间隔T时,安全元件SE执行完整性控制程序的步骤,同时相对于必须证实的存储器内容的真实性验证接收的序列的完整性。
Claims (15)
1.一种用于检查电子装置(DE),特别是卡支付系统的完整性的方法,其至少包括:
-处理器(MPU),
-安全元件(SE),所述安全元件(SE)能够存储和管理数据,并且已在其上加载旨在用于验证电子签名的公共密钥(KP),以及
-存储数据的设备(MEM),所述存储数据的设备(MEM)的内容先前已经过认证并且其完整性可使用所述公共密钥进行验证,
使得完整性控制命令导致执行以下步骤:
-所述安全元件(SE)通过所述处理器(MPU)对从所述数据存储设备(MEM)的所述存储器接收的所述内容执行认证检查,以便使用所述公共密钥(KP)检查所述数据存储设备(MEM)的内容自初始认证以来尚未被修改,
-当所述认证检查成功时,所述装置被认为是完整的,其特征在于完整性控制命令导致执行以下连续步骤:
-所述装置的所述处理器(MPU)调用所述安全元件(SE),
-作为响应,所述安全元件(SE)通过所述处理器(MPU)通过数据存储设备(MEM)发送请求以接收数据存储设备(MEM)的存储器的所述全部内容,
-然后,所述安全元件(SE)执行所述认证检查。
2.根据权利要求1所述的用于验证所述电子装置(DE)的完整性的方法,其中当所述装置被视为完整时,所述装置能够根据归因于其的所述名义行为进行操作,
3.根据权利要求1和2中的一项所述的用于验证所述电子装置(DE)的完整性的方法,其中当所述认证检查失败时,考虑到所述认证程序的所述失败,所述装置被编程来以合适的模式操作。
4.根据权利要求1至3中的一项所述的完整性控制方法,所述方法包括除了每次将完整性控制命令发送到所述装置时执行的所述步骤之外,还包括用于所述电子装置(DE)的所述配置的初步阶段,其中所述数据存储设备(MEM)的所述存储器的所述初始内容使用数字认证设备(诸如,特别是使用与所述安全元件(SE)上加载的所述公共密钥(KP)相对应的所述私人密钥的电子签名系统)进行证实。
5.根据权利要求4所述的用于检查电子装置(DE)的所述完整性的方法,其中在所述电子装置(DE)的所述初步配置阶段期间初始产生的所述电子签名被加载到所述数据存储设备(MEM)中,或者被加载到所述安全元件(SE)的所述存储器中。
6.根据权利要求1至5中的一项所述的用于检查所述电子装置(DE)的所述完整性的方法,其中当所述装置被启动时或者当其从所述用户接收到完整性检查的请求时,执行完整性检查命令。
7.根据权利要求1至6中的一项所述的完整性控制方法,其中在执行至少一个但确定数量的所述完整性控制步骤之后,不导致所述存储器相对于其初始状态的所述完整性的确认,对所述存储器的所述内容进行所述认证检查的所述失败导致使用以下一种或多种降级操作模式:
-通知所述用户所述完整性检查失败,
-阻止访问所述安全元件(SE)上加载的所述数据,
-阻止访问所述电子装置(DE),
-擦除所述电子装置(DE)中存储的所述所有或部分数据以及包括所述数据的所述元件。
8.根据权利要求1至7中的一项所述的用于检查电子装置(DE)的所述完整性的方法,其中所述安全元件(SE)存储参考时间间隔T,所述参考时间间隔T被配置来小于所述安全元件(SE)恢复要认证的所述存储器的所述全部内容所需的最大限度时间,并且其中发送到所述装置的每个完整性控制命令导致执行所述以下连续步骤:
-所述安全元件(SE)向所述数据存储设备(MEM)发送请求,以发送从所述数据存储设备(MEM)的存储器中提取的一个或多个数据序列,
-所述安全元件(SE)测量发送所述请求与接收所述请求的一个或多个序列之间经过的所述时间并且将其与所述参考时间间隔T进行比较,
-如果所述经过的时间大于时间T,则所述安全元件(SE)拒绝认证所述数据存储设备(MEM)的所述存储器的所述内容,并且中断执行所述完整性控制程序的所述后续步骤。
9.根据权利要求8所述的用于检查电子装置(DE)的所述完整性的方法,其中当由所述安全元件(SE)发送所述请求与接收到所述请求的一个或多个序列之间经过的所述时间小于间隔T时,所述安全元件(SE)执行所述完整性控制方法的所述步骤,同时相对于必须证实的所述存储器的所述内容的所述真实性验证接收的所述序列的所述完整性。
10.根据权利要求1至9中所述的用于检查电子装置(DE)的所述完整性的方法,其中所述处理器(MPU)的所述功能由微控制器提供。
11.一种电子装置(DE),特别是支付终端,其至少包括:
-处理器(MPU),
-安全元件(SE),所述安全元件(SE)能够存储和管理数据,并且已向其中加载
旨在验证电子签名的公共密钥,以及
-数据存储设备(MEM),所述存储数据设备(MEM)的内容先前已经过认证并且其完整性可使用所述公共密钥进行验证,
所述电子设备的特征在于,它能够实现并且旨在实现根据权利要求1至9中所述的完整性控制方法,其中完整性控制命令导致执行所述以下连续步骤:
-所述处理器(MPU)调用所述安全元件(SE),
-作为响应,所述安全元件(SE)通过所述处理器(MPU)通过数据存储设备(MEM)发送请求以接收数据存储设备(MEM)的存储器的所述全部内容,
-所述安全元件(SE)然后通过所述处理器(MPU)对从所述数据存储设备(MEM)的所述存储器接收的所述内容执行认证检查,以便使用所述公共密钥(KP)检查所述数据存储设备(MEM)的内容自初始认证以来尚未被修改,
-当所述认证检查成功时,所述装置被视为是完整的。
12.根据权利要求11所述的电子装置(DE),其包括微控制器,所述微控制器的存储器包括所述数据存储设备(MEM)的全部或部分,并且所述微控制器的处理器执行所述处理器(MPU)的所述功能。
13.根据权利要求11和12中的一项所述的电子装置(DE),其特征在于,它还包括以下互补装置中的一个和/或另一个:
-人机接口,特别是键盘或屏幕,
-与外部数字装置(特别是计算机、通信网络或远程服务器)的通信接口。
14.根据权利要求11至13中的一项所述的电子装置(DE)的用途,通过实现根据权利要求1至10中的一项所述的所述装置的所述完整性控制方法来实现安全功能,诸如特别是存储在装置本身内部的或在通过通信网络可访问时远程进行的数据的认证、加密和安全远程交换。
15.根据权利要求11至13中的一项所述的电子装置(DE)的用途,通过实现用于根据权利要求1至10中的一项的此装置的所述完整性控制方法来执行交易,特别是金融交易。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1771431 | 2017-12-26 | ||
| FR1771431A FR3076014B1 (fr) | 2017-12-26 | 2017-12-26 | Controle d'integrite d'un dispositif electronique |
| PCT/FR2018/000270 WO2019129937A1 (fr) | 2017-12-26 | 2018-12-21 | Contrôle d'intégrité d'un dispositif électronique |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112020718A true CN112020718A (zh) | 2020-12-01 |
Family
ID=62143310
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880088916.3A Pending CN112020718A (zh) | 2017-12-26 | 2018-12-21 | 电子装置的完整性检查 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US11693991B2 (zh) |
| EP (1) | EP3732604A1 (zh) |
| JP (1) | JP7296390B2 (zh) |
| KR (1) | KR102663133B1 (zh) |
| CN (1) | CN112020718A (zh) |
| AU (1) | AU2018398972B2 (zh) |
| CA (1) | CA3086863A1 (zh) |
| FR (1) | FR3076014B1 (zh) |
| SG (1) | SG11202006149YA (zh) |
| WO (1) | WO2019129937A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3105484B1 (fr) * | 2019-12-19 | 2021-12-10 | Commissariat Energie Atomique | Méthode de vérification dynamique de l’intégrité d’un code machine |
| EP4145325A1 (en) | 2021-09-06 | 2023-03-08 | ID Secure Spolka Z Ograniczona Opdowiedzialnoscia | Cryptographic device, method of performing cryptographic operation, and computer program product |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020023032A1 (en) * | 2000-08-18 | 2002-02-21 | Hewlett-Packard Company | Trusted system |
| US9177152B2 (en) * | 2010-03-26 | 2015-11-03 | Maxlinear, Inc. | Firmware authentication and deciphering for secure TV receiver |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5721781A (en) | 1995-09-13 | 1998-02-24 | Microsoft Corporation | Authentication system and method for smart card transactions |
| FR2786013B1 (fr) | 1998-11-12 | 2001-01-19 | Gemplus Card Int | Procede d'authentification entre une carte a memoire et un terminal |
| DE60044971D1 (de) | 1999-04-26 | 2010-10-28 | Panasonic Corp | Betriebsverfahren für polymerelektrolyt-brennstoffzelle |
| JP2008176435A (ja) | 2007-01-17 | 2008-07-31 | Hitachi Ltd | 決済端末およびicカード |
| US20140278882A1 (en) * | 2012-09-18 | 2014-09-18 | Cheer Berry Limited | Method and system for implementing electronic promotional offers |
| JP6181493B2 (ja) | 2013-09-20 | 2017-08-16 | 国立大学法人名古屋大学 | 書換検出システム、書換検出装置及び情報処理装置 |
| JP6464816B2 (ja) | 2015-02-27 | 2019-02-06 | オムロン株式会社 | 決済端末 |
-
2017
- 2017-12-26 FR FR1771431A patent/FR3076014B1/fr active Active
-
2018
- 2018-12-21 CA CA3086863A patent/CA3086863A1/fr active Pending
- 2018-12-21 US US16/958,113 patent/US11693991B2/en active Active
- 2018-12-21 SG SG11202006149YA patent/SG11202006149YA/en unknown
- 2018-12-21 CN CN201880088916.3A patent/CN112020718A/zh active Pending
- 2018-12-21 AU AU2018398972A patent/AU2018398972B2/en active Active
- 2018-12-21 EP EP18833682.0A patent/EP3732604A1/fr active Pending
- 2018-12-21 WO PCT/FR2018/000270 patent/WO2019129937A1/fr unknown
- 2018-12-21 JP JP2020536765A patent/JP7296390B2/ja active Active
- 2018-12-21 KR KR1020207021714A patent/KR102663133B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020023032A1 (en) * | 2000-08-18 | 2002-02-21 | Hewlett-Packard Company | Trusted system |
| US9177152B2 (en) * | 2010-03-26 | 2015-11-03 | Maxlinear, Inc. | Firmware authentication and deciphering for secure TV receiver |
Also Published As
| Publication number | Publication date |
|---|---|
| US11693991B2 (en) | 2023-07-04 |
| CA3086863A1 (fr) | 2019-07-04 |
| KR20210005841A (ko) | 2021-01-15 |
| WO2019129937A1 (fr) | 2019-07-04 |
| EP3732604A1 (fr) | 2020-11-04 |
| JP2021508892A (ja) | 2021-03-11 |
| KR102663133B1 (ko) | 2024-05-03 |
| AU2018398972A1 (en) | 2020-08-06 |
| FR3076014A1 (fr) | 2019-06-28 |
| US20200342141A1 (en) | 2020-10-29 |
| JP7296390B2 (ja) | 2023-06-22 |
| SG11202006149YA (en) | 2020-07-29 |
| AU2018398972B2 (en) | 2024-05-02 |
| FR3076014B1 (fr) | 2020-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11664997B2 (en) | Authentication in ubiquitous environment | |
| JP5703391B2 (ja) | 耐タンパー性ブート処理のためのシステム及び方法 | |
| US11063749B2 (en) | Cryptographic key management based on identity information | |
| US9112705B2 (en) | ID system and program, and ID method | |
| TWI524275B (zh) | 儲存裝置及操作一儲存裝置之方法 | |
| JP2004265026A (ja) | アプリケーション認証システムと装置 | |
| CN107846396B (zh) | 存储器系统及其与主机之间的绑定方法 | |
| JP2004104539A (ja) | メモリカード | |
| JP2016531508A (ja) | データセキュアストレージ | |
| CN110999254B (zh) | 安全地执行加密操作 | |
| CN111062059B (zh) | 用于业务处理的方法和装置 | |
| CN110431803B (zh) | 基于身份信息管理加密密钥 | |
| CN112020718A (zh) | 电子装置的完整性检查 | |
| KR101876672B1 (ko) | 블록 체인을 이용한 전자 서명 방법 및 이를 실행하는 시스템 | |
| CN108270767B (zh) | 数据验证方法 | |
| JP6343928B2 (ja) | 携帯端末、認証システム、認証方法、および、認証プログラム | |
| JP5489913B2 (ja) | 携帯型情報装置及び暗号化通信プログラム | |
| CN117063174A (zh) | 用于通过基于app的身份的app间相互信任的安全模块及方法 | |
| KR20190017370A (ko) | 해시체인 기반의 일회용 패스워드를 이용한 사용자 인증 방법 및 장치 | |
| WO2018043498A1 (ja) | ワンタイム認証用icカード | |
| EP4338368A1 (en) | Method for authentication of a service provider device to a user device | |
| JP2008046676A (ja) | Icカードおよび電子バリュー譲渡システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40031709 Country of ref document: HK |