CN101765846B

CN101765846B - 用于禁用应用程序的移动通信设备和方法

Info

Publication number: CN101765846B
Application number: CN2008801009773A
Authority: CN
Inventors: 亚历山大·科尔达; 伊斯梅拉·瓦内
Original assignee: Koninklijke Philips Electronics NV
Current assignee: Koninklijke Philips NV
Priority date: 2007-08-01
Filing date: 2008-07-21
Publication date: 2013-10-23
Anticipated expiration: 2028-07-21
Also published as: JP5060620B2; WO2009016540A2; US8811971B2; EP2176808A2; CN101765846A; US20100330958A1; WO2009016540A3; JP2010535444A

Abstract

移动通信设备(1)可连接至包括多个存储扇区(0-F)的存储设备(MIF)，其中，至少一个应用程序存储在至少一个存储扇区中。扇区密钥(密钥A、密钥B，4)保护该存储扇区对抗未授权访问5。移动通信设备(1)包括：应用程序管理器(MAM)，适于在被外部触发事件所触发时禁用所存储的应用程序(TK1、AC1、AC2、TR2、TR3、CP1、TR4、AC3、TK3)。

Description

用于禁用应用程序的移动通信设备和方法

技术领域

本发明涉及一种可连接至包括多个存储扇区的存储设备的移动通信设备，其中，至少一个应用程序存储在至少一个存储扇区中，其中，扇区密钥保护所述存储扇区对抗未授权访问。

本发明还涉及一种用于在可连接至包括多个存储扇区的存储设备的移动通信设备中禁用应用程序的方法，其中，扇区密钥保护扇区对抗未授权访问，其中，每个应用程序存储在至少一个存储扇区中。

本发明还涉及一种计算机程序产品，可直接加载到可连接至包括多个存储扇区的存储设备的移动通信设备的存储器中，其中，至少一个应用程序存储在至少一个存储扇区中，其中，扇区密钥保护所述存储扇区对抗未授权访问。

本发明还涉及一种电信系统，包括移动网络运营商、多个移动通信设备和可信任服务管理器。

背景技术

由NXP Semiconductors开发的

经典系列是工作于13.56MHz频率范围的、具有读/写能力的无接触智能卡IC中的先锋和领跑者。

是NXP Semiconductors的商标。MIFARE符合与在当今所有无接触智能卡中超过80％的智能卡中使用的ISO14443A。该技术体现在卡和卡读取器设备中。MIFARE卡正用在越来越宽范围的应用程序(包括运输售票、访问控制、电子支付、道路收费以及忠诚应用)中。MIFARE标准(或经典)卡采用具有用于认证和加密的所有权安全协议的所有权高级协议。

技术已成为具有密钥保护的存储器扇区的存储器设备的标准。公开出版的技术产品规范的一个示例是数据手册“

Standard Card IC MFl IC S50-Functional Specification”(1998)，在此将其并入作为参考。在以下文档中也讨论了

技术：Klaus Finkenzeller，″RFID Handbuch″，HANSER，3rd edition(2002)。

在根本上，MIFARE经典卡就是存储器设备，其中，存储器被划分成具有用于访问控制的简单安全机制的扇区和块。每个设备具有唯一的序列号。提供防冲突，以使得可以顺序地选择和操作现场的若干卡。

MIFARE标准1k提供了大约768字节的数据存储，这768字节被分割成16个扇区，每一个扇区具有4个16字节的块(一个块由16个字节组成)；每一个扇区由两个不同的密钥(称之为A和B)保护。可以针对诸如读、写、增加值块等操作对这768个字节的数据存储进行编程。每个扇区的最后的块称为“尾部”，包含两个秘密密钥(A和B)以及对该扇区中的每个块的可编程访问条件。为了支持具有密钥等级的多应用程序，对每个扇区(每个应用程序)提供单个两密钥(A和B)集。

图1示出了MIFARE标准1k卡的存储器组织。以16个扇区，每个扇区4个16字节的块来组织1024×8比特的EEPROM存储器。第一扇区(扇区0)的第一数据块(块0)是图2详细示出的生产商块。该数据块包含长度为四字节(字节0至3)的MIFARE卡序列号、校验字节(字节4)以及11字节IC生产商数据(字节5至15)。序列号有时称为MIFARE用户标识(MUID)，并且是唯一的号码。由于安全和系统需要，当IC生产商在生产时已对生产商块进行编程之后，对该生产商块进行写保护。然而，MIFARE规范允许在操作MIFARE卡期间改变序列号，这对于诸如智能MX卡之类的MIFARE仿真卡来说是特别有益的。

智能MX(存储器扩展)是NXP Semiconductors是NXPSemiconductors针对需要高度可靠解决方案的高安全性智能卡应用而设计的智能卡系列，具有或不具有多个接口选项。关键应用程序是电子政务、银行业务/财政、移动通信和先进公共运输。

与由用户操作系统实现的其他无接触传送协议同时运行MIFARE协议的能力使得可以在基于单个双接口控制器的智能卡上将新的业务和基于MIFARE的已存在应用程序(例如，售票)相结合。智能MX卡能够对MIFARE经典设备进行仿真，从而使该接口与任何安装的MIFARE经典基础设施兼容。无接触接口可以用于经由任何协议(特别是MIFARE协议和自定义的无接触传送协议)进行通信。智能MX使得可以容易地实现目前技术水平的操作系统以及包括JCOP(Java卡操作系统)在内的开放平台解决方案，并提供了优化特性集合以及最高级别的安全性。智能MX结合了多种安全特性，以防范诸如DPA、SPA等旁信道攻击。真正的防撞击方法(见ISO/IEC 14443-3)使得能够同时处理多个卡。

通过在巨大的所安装的底座上构建

接口平台，智能MX使例如服务提供商能够引入甚至更方便的售票系统和支付概念。智能MX的高安全性(PKI和3-DES)和扩展的功能允许结合忠诚概念、对自动售货机的访问、或使用电子钱包来支付费用而不是预付的电子售票。智能MX卡的本质特性是以下各项：

·根据ISO 7816的接触接口UART；

·根据ISO 14443的无接触接口UART；

·针对电压、频率和温度的异常传感器；

·存储管理单元；

·

经典仿真；

·Java卡操作系统；

·DES和/或RSA引擎；

·最多到72千字节的EEPROM存储空间。

应当注意，MIFARE经典卡的仿真不仅限于智能MX卡，而是还可以存在能够对MIFARE经典卡进行仿真的其他目前的或未来的智能卡。

近来，已开发了包含或可连接至包括多个存储扇区的存储设备的移动通信设备，其中，扇区密钥保护存储扇区对抗未授权访问。这样的存储设备的示例包括MIFARE经典卡或者诸如智能MX卡之类的仿真MIFARE经典设备。这些移动通信设备被配置为例如具有近距离通信(NFC)能力的移动电话。配备有上述存储设备的移动通信设备可以用于多应用程序的目的。即，可以在一个存储设备中安装多个应用程序，如票、优惠券、访问控制等。每个应用程序存储在存储设备的一个或多个分离的扇区中，使得终端读取器仅能够读取在具有终端读取器已知的扇区密钥的扇区中存储的那些应用程序。

尽管只要移动通信设备的拥有者持有该移动通信设备，这种保护概念就适用，但如果该移动通信设备被盗，则存在潜在安全风险。让我们假定被盗的移动通信设备是移动电话。在这种情况下，当用户意识到盗窃时，该用户将立即向移动网络运营商通报其移动电话已丢失或被盗，于是，移动网络运营商可以远程封锁该移动电话的基本网络服务。然而，在存储设备中存储的应用程序仍可用在终端读取器上，这是由于这些终端读取器不会识别移动电话的实际用户。这表明了在移动网络运营商展开NFC增值服务之前需要解决的重要安全性问题。

发明内容

本发明的目的是提供第一段中所定义类型的移动通信设备以及第二段中所定义类型的方法，在该移动通信设备和该方法中克服了上述问题。

为了实现上述目的，利用根据本发明的移动通信设备来提供了特异性特征，以使得可以通过以下定义的方式刻画这种移动通信设备的特征：

移动通信设备(1)可连接至包括多个存储扇区(0-F)的存储设备(MIF)，其中，至少一个应用程序存储在至少一个存储扇区中，其中，扇区密钥(密钥A、密钥B，4)保护存储扇区对抗未授权访问，其中，移动通信设备(1)包括：应用程序管理器(MAM)，适于在被外部触发事件所触发时禁用所存储的应用程序(TK1、AC1、AC2、TR2、TR3、CP1、TR4、AC3、TK3)。

移动通信设备包括：经典的或仿真的MIFARE存储器、交换存储器和MIFARE应用程序管理器，MIFARE应用程序管理器适于在MIFARE存储器与交换存储器之间交换MIFARE应用程序。

为了实现上述目的，利用根据本发明的方法来提供了特异性特征，以使得可以通过以下定义的方式刻画这种方法的特征，即：

用于在移动通信设备(1)中禁用应用程序的方法，该移动通信设备(1)连接至包括多个存储扇区(0-F)的存储设备(MIF)，其中，扇区密钥(密钥A、密钥B，4)保护扇区对抗未授权访问，其中，每个应用程序存储在至少一个存储扇区(0-F)中，其中，该方法包括：在被外部触发事件所触发时禁用所存储的应用程序(TK1、AC1、AC2、TR2、TR3、CP1、TR4、AC3、TK3)。

为了实现上述目的，提供了一种计算机程序产品，能够直接加载到移动通信设备(1)的存储器中，该移动通信设备(1)能够连接至包括多个存储扇区(0-F)的存储设备(MIF)，其中，至少一个应用程序存储在至少一个存储扇区中，其中，扇区密钥(密钥A、密钥B，4)保护所述存储扇区对抗未授权访问，其中，该计算机程序产品包括：软件代码部分，用于在移动通信设备上运行时执行根据上一段所述的方法的步骤。

为了实现上述目的，提供了一种电信系统，包括移动网络运营商、如上所述的多个移动通信设备以及可信任服务管理器，其中，可信任服务管理器适于通过请求移动网络运营商来与移动通信设备建立通信，并指示该移动通信设备禁用在连接至该移动通信设备的存储设备中存储的应用程序。

本发明提供了远程禁用在具有受保护的存储扇区的所述存储器中存储的所有应用程序的机制，从而在使用这种增值的应用程序的过程中关闭潜在的安全漏洞。在与被实现为MIFARE经典卡或仿真的MIFARE经典设备的存储设备以及被实现为MIFARE应用程序(如，票、优惠券、访问控制等)的应用程序相结合时，本发明是特别有益的。

本发明允许从外部源(如移动网络运营商)触发应用程序禁用。然而，为了提供改进的安全级别，优选地，可信任服务管理器与移动通信设备建立通信链路，并指示移动通信设备禁用所存储的应用程序。

根据本发明，有三种禁用所存储的应用程序的备选方案。在第一实施例中，禁用所存储的应用程序包括：从存储设备擦除应用程序。可以通过用空信息或随机数据重写存储设备的相应扇区来进行擦除。尽管该解决方案提供了高安全性并且将在完全不可能恢复所有应用程序的情况下禁用所有应用程序，但如果新用户(在移动电话被盗的情况下，是小偷)通过从移动电话拆下电池来迅速中断禁用例程，从而例如将所存储的应用程序中的一些保持为“活的”，则擦除过程的速度可能是潜在的问题。因此，结论是：禁用例程应当尽可能快地工作。

与第一实施例相比，本发明的另一实施例提供了更快的禁用例程。该第二禁用方案包括：通过对存储设备中的应用程序进行加扰，优选地通过在存储设备的相应扇区的随机位置写入随机信息，来禁用所存储的应用程序。该禁用方法非常快速，但不是100％的安全。某些重要数据可能仍处于存储设备中，这是由于应用程序仅被维持在不可用状态，而并未完全从存储设备中移去。

本发明的第三实施例通过改变存储设备的扇区密钥以禁用所存储的应用程序，来将高处理速度和安全性相结合。由于仅必须重写扇区密钥(如果使用了MIFARE存储设备，则是扇区尾部)，该禁用方法是快速的，并且由于存储设备的所有扇区将不能被终端读取器所访问，该禁用方法是100％安全的。

本发明完全适用于具有NFC能力的、可配备有具有多个由扇区密钥保护的存储扇区的存储设备(例如(仿真的)MIFARE设备，如智能MX卡)的移动电话。

本发明的上述方面以及其他方面从以下描述的示例实施例中变得显而易见，并参照这些示例实施例进行解释。

附图说明

以下将参照示例实施例来更详细地描述本发明。然而，本发明不限于这些示例实施例。示例实施例包括被配置为MIFARE设备的存储设备。

图1示出了MIFARE标准1k EEPROM的存储器组织。

图2示出了MIFARE存储器的生产商块。

图3示出了MIFARE存储器的扇区的扇区尾部。

图4示出了实现本发明的电信系统。

图5示出了本发明第一实施例的方案。

图6示出了本发明第二实施例的方案。

图7示出了本发明第三实施例的方案。

具体实施方式

参照图4来解释根据本发明的电信系统。该系统包括：移动网络运营商MNO，向客户提供全程移动服务，特别提供UICC和NFC终端以及无线电(OTA)传输设备。在图4中，示出了一个用户5，该用户5是被配置为NFC移动电话的移动通信设备1的拥有者。客户将移动通信设备1用于移动通信和移动NFC服务。为了使用移动NFC服务，读取器终端2有必要适于与移动通信设备1进行无线通信。在服务提供商的影响下操作读取器终端2。客户预订MNO并使用移动NFC服务。移动NFC被定义为基于NFC技术将无接触服务与移动电话技术相结合。具有基于硬件的安全身份权标(UICC)的移动电话可以提供针对NFC应用程序的理想环境。UICC可以替换物理卡，从而对所谓服务提供商的成本进行优化，并向用户提供更方便的服务。移动网络运营商MNO与向MNO客户群安全地分发和管理服务的可信任服务管理器TSM进行通信。图4还示出了向用户5提供无接触服务的服务提供商(SP)(SP例如是银行、公共运输公司、忠诚程序拥有者等)。可信任服务管理器TSM还将向MNO客户群安全地分发和管理服务提供商的服务。为了解释本发明，方便起见，假定移动网络运营商MNO也充当服务提供商。可信任服务管理器TSM的作用是针对服务提供商SP(这里也是移动网络运营商MNO)提供单个接触点以通过MNO来访问其客户群。可信任服务管理器TSM还代表服务提供商来管理移动NFC应用程序的安全下载和生存周期管理。可信任服务管理器TSM不参与服务的交易阶段，从而确保不会干扰服务提供商的现有业务模型。根据国家市场需要和状况，可信任服务提供商TSM可以由一个移动网络运营商MNO或MNO团体或者独立的可信任第三方来管理。

根据本发明，移动通信设备1配备有包括多个存储扇区(0-F)的存储设备MIF，其中，秘密密钥(见图3中的密钥A和密钥B或图7中的数字4)保护每个存储扇区对抗未授权访问。在本发明的本实施例中，存储设备MIF是MIFARE经典卡(如图1至3所示)或诸如智能MX卡之类的仿真MIFARE经典设备。服务提供商SP和移动网络运营商MNO分别提供需要将应用程序(这里是MIFARE应用程序)下载到移动通信设备1的存储设备MIF中的NFC服务。如上所述，应用程序的下载专门由从服务提供商SP和移动网络运营商MNO接收应用程序且将其转发至移动通信设备1的可信任服务管理器TSM来处理。可信任服务管理器TSM是决定必须将应用程序写入存储设备MIF的哪些扇区中的可信任服务管理器。移动通信设备1包括负责执行可信任服务管理器的所有指令的、软件实现的可信任服务管理器小应用程序(图中未示出)。特别地，可信任服务管理器小应用程序将应用程序写入存储设备MIF的指定扇区中。应用程序包括例如票、访问控制和中转应用程序，但不限于所述类型的应用程序。通过更仔细地查看存储设备MIF，存储设备MIF当前包括以下应用程序：

扇区0中的票1(TK1)

扇区1中的访问控制1(AC1)

扇区2中的访问控制2(AC2)

扇区3中的中转2(TR2)

扇区4中的中转3(TR3)

扇区5中的优惠券1(CP1)

扇区6中的中转4(TR4)

扇区7中的访问控制3(AC31)

扇区8、9和A中的票3(TK3)

扇区B、C、D、E、F仍为空

为了解释本发明，假定用户5已意识到他的移动通信设备1被盗。用户5向移动网络运营商MNO报告他的移动通信设备1被盗(见箭头MSG)。移动网络运营商MNO封锁该移动通信设备1的所有基本网络服务。此外，移动网络运营商MNO向可信任服务管理器TSM发送请求(箭头REQ)，以丢弃在移动通信设备1的存储设备MIF中存储的所有应用程序。在接收到该请求REQ时，可信任服务管理器与移动通信设备1建立连接，特别与作为移动通信设备1内的软件实现方式而驻留的应用程序管理器MAM建立连接。优选地，应用程序管理器MAM位于安全存储元件(例如，SIM卡)中。可信任服务管理器TSM指示(见箭头INS)应用程序管理器MAM禁用在连接至移动通信设备1的存储设备MIF中存储的所有应用程序(TK1、AC1、AC2、TR2、TR3、CP1、TR4、AC3、TK3)。

应用程序管理器MAM可以以以下讨论的多种备选方式来处理该禁用指令INS。

图5示意性地示出了由应用程序管理器MAM执行的第一应用程序禁用过程。该禁用方法包括：从存储设备MIF物理地擦除(由箭头ERS表示)所有应用程序。该任务是可以通过将空信息写入存储设备MIF的所有扇区中来实现的。该擦除方法进行的应用程序禁用是安全的，这是由于将从存储设备MIF移去所有应用程序，但是可能出现性能问题。移动通信设备1的新用户(在移动通信设备被盗的情况下，是小偷)可以通过例如拆下设备的电池来中断擦除过程。因此，重要的是尽可能快地执行禁用，以排除对禁用过程的中断。

图6示出了应用程序管理器MAM如何实现对存储设备MIF中存储的应用程序进行禁用的另一种方式。该第二禁用方案包括：通过对存储设备MIF中的应用程序进行加扰(由箭头SCR表示)，优选地通过在存储设备的相应扇区的随机位置写入随机信息，来禁用所存储的应用程序。在图6中，随机信息由位于应用程序内的点表示。该禁用方法非常快速，但有不完全安全的缺陷。应用程序内的某些重要数据可能仍处于存储设备MIF中，这是由于尽管在禁用例程之后应用程序被维持在不可用状态，但没有从存储设备完全移去应用程序。

图7示出了将高处理速度与安全性相结合的第三禁用方案。在本发明的本实施例中，应用程序管理器MAM通过改变(由箭头CHG表示)存储设备MIF的扇区密钥4来禁用在存储设备MIF中存储的应用程序。该禁用方法是快速的，这是由于仅必须重写扇区密钥(如果使用了MIFARE存储设备，则是：扇区尾部)，并且该禁用方法是100％安全的，这是由于存储设备的所有扇区将不能被仅知道先前扇区密钥4的终端读取器2(见图4)所访问。

应该注意到，上面提到的实施例是用以解释而非限制本发明，本领域一般技术人员能够设计出很多替代实施例，而未背离所附权利要求的保护范围。在权利要求中，括号之间的附图标记不应等同于对权利要求的限制。用语“包括”并不排除除了在权利要求中列出之外呈现的元件或步骤。在组件之前的不定冠词“一”或“一个”并不排除存在多个这样的组件。在设备的权利要求中列举了若干装置，这些装置中的若干可以通过同一项硬件来实施。一个基本的事实是在相互不同的从属权利要求中提到的特定方法并不意味着这些方法的组合不能用来取得有益效果。

Claims

1.一种移动通信设备(1)，包括：

包括多个存储扇区的存储设备，其中，至少一个应用程序存储在至少一个存储扇区中，扇区密钥(4)保护所述存储扇区对抗未授权访问，

所述移动通信设备(1)还包括：应用程序管理器，适于在被外部触发事件触发时禁用所存储的应用程序，其中，禁用所存储的应用程序包括改变所述存储设备的所述扇区密钥。

2.根据权利要求1所述的移动通信设备，其中，所述存储设备是MIFARE经典卡或仿真MIFARE经典设备，以及所述应用程序是MIFARE应用程序。

3.根据权利要求2所述的移动通信设备，其中，所述MIFARE应用程序是票、优惠券、访问控制中的任何项。

4.根据权利要求1或2所述的移动通信设备，其中，所述外部触发事件是从外部源发送至所述移动通信设备(1)的禁用指令。

5.根据权利要求4所述的移动通信设备，其中，所述外部源是可信任服务管理器。

6.根据权利要求1或2所述的移动通信设备，其中，所述移动通信设备(1)是移动电话。

7.根据权利要求6所述的移动通信设备，其中，所述移动电话是NFC移动电话。

8.一种用于在移动通信设备(1)中禁用应用程序的方法，所述移动通信设备(1)连接至包括多个存储扇区的存储设备，其中，扇区密钥(4)保护扇区对抗未授权访问，其中，每个应用程序存储在至少一个存储扇区中，其中，所述方法包括：在被外部触发事件触发时禁用所存储的应用程序，其中，禁用所存储的应用程序包括改变所述存储设备的所述扇区密钥。

9.根据权利要求8所述的方法，其中，所述存储设备是MIFARE经典卡或仿真MIFARE经典设备，以及所述应用程序是MIFARE应用程序。

10.根据权利要求9所述的方法，其中，所述MIFARE应用程序是票、优惠券、访问控制中的任何项。

11.根据权利要求8或9所述的方法，其中，所述外部触发事件是从外部服务器发送至所述移动通信设备(1)的禁用指令。

12.根据权利要求11所述的方法，其中，所述外部服务器是可信任服务管理器。

13.一种电信系统，包括移动网络、根据权利要求1至4中任一项所述的多个移动通信设备(1)以及可信任服务管理器，其中，所述可信任服务管理器适于通过请求移动网络来与移动通信设备(1)建立通信，并指示所述移动通信设备(1)禁用在所述移动通信设备(1)包括的存储设备中存储的应用程序。