CN105493538A - 用于安全元件中心式nfc架构的nfc访问控制的系统和方法 - Google Patents
用于安全元件中心式nfc架构的nfc访问控制的系统和方法 Download PDFInfo
- Publication number
- CN105493538A CN105493538A CN201380079091.6A CN201380079091A CN105493538A CN 105493538 A CN105493538 A CN 105493538A CN 201380079091 A CN201380079091 A CN 201380079091A CN 105493538 A CN105493538 A CN 105493538A
- Authority
- CN
- China
- Prior art keywords
- request
- access level
- nfc
- access
- safety element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开描述了与安全元件中心式架构的近场通信(NFC)访问控制有关的系统、方法和计算机可读介质。安全元件可接收针对信息的请求并处理接收到的请求以识别与请求相关联的第一访问级别以及与请求的发起者相关联的第二访问级别。安全元件可确定第一访问级别是否匹配第二访问级别。如果第一访问级别不匹配第二访问级别,则安全元件可向请求的发起者发送指示对请求的拒绝的消息。如果第一访问级别匹配第二访问级别,则安全元件向近场通信(NFC)控制器发送该请求,从该NFC控制器接收信息,并且将来自NFC控制器的信息发送至请求的发起者。
Description
背景技术
随着诸如智能电话和平板之类的移动设备变得流行,用户越来越多地采用移动设备来发起和完成财务交易。例如,移动设备可采用近场通信(NFC)标准通过将移动设备与NFC使能设备触碰在一起或者使得它们足够邻近来建立与NFC使能设备的无线电通信,从而交换诸如交易数据和支付信息之类的数据。在一些情形中,移动设备可从无电源的NFC芯片(被称作NFC标签)(例如,从信用卡)获得信息。在一些实施例中,移动设备的应用处理器和NFC控制器之间的直接有线通信可增加移动设备经受硬件和/或软件攻击的易损性,该硬件和/或软件攻击可导致敏感信息在移动设备的用户不知道的情况下被第三方获得。
附图说明
详细描述是参考附图提出的。相同的标号用于指示类似或相等的组件或元件;然而,不同的标号也可被用于指示类似或相等的组件或元件。本公开的各种实施例可采用除了图示中所描绘的那些组件或元件之外的元件和/或组件,并且一些元件和/或组件可能不存在于各种实施例中。依据上下文,用于描述元件或者组件的类似术语可涵盖多种这样的元件或组件,并且反之亦然。
图1是根据本公开的一个或多个实施例,包括用于安全元件中心式架构的NFC访问控制的示例性系统架构的各种硬件和软件组件的框图。
图2A-2B是根据本公开的一个或多个实施例包括用于安全元件中心式架构的NFC访问控制的各种架构的示例性框图。
图3A是根据本公开的一个或多个实施例的NFC访问控制小型应用程序实现的示例性实施例。
图3B是根据本公开的一个或多个实施例的NFC访问控制原生实现的示例性实施例。
图3C是根据本公开的一个或多个实施例的NFC访问控制Java卡OS扩展实现的示例性实施例。
图4是根据本公开的一个或多个实施例,用于安全元件中心式架构的NFC访问控制的示例性方法的流程图。
具体实施方式
除了其他事物之外,本公开涉及使能安全元件中心式近场通信(NFC)架构以针对要求硬件和/或软件篡改保护的场景(如支付验收、数字身份、物理和逻辑访问控制等)提供软件和/或硬件篡改防护NFC子系统的系统、方法、计算机可读介质、技术和方法。在一些实施例中,安全元件被置于应用处理器和NFC控制器之间,消除应用处理器和NFC控制器之间的任何直接连接。通过消除应用处理器和NFC控制器之间的直接连接,由NFC控制器提供的NFC接口与应用处理器以及可由应用处理器运行的任何软件(例如,移动设备的操作系统)物理隔离。应用处理器和NFC控制器之间的所有NFC流量可被路由通过安全元件。
在一些实施例中,安全元件可包括NFC访问控制管理器,其可以是小型应用程序(applet)、原生应用程序、或Java卡操作系统扩展。NFC访问控制管理器可分析NFC流量并确定哪些交易被允许由应用处理器所执行的主机操作系统服务并且哪些交易是特许的并且必须由在安全元件内运行的受信任应用程序进行服务。在一些实施例中,安全元件中的访问控制管理器可对由安全元件接收到的NFC流量进行过滤以分离交易类型并强制施行访问控制策略。访问控制策略可由受信任服务管理器生成并加密,该受信任服务管理器然后可将它们发送给移动设备。应用处理器可接收访问控制策略并将它们发送至安全元件。访问控制策略可由访问控制管理器使用安全密钥进行解密并且访问控制策略可被应用于接收到的NFC流量以识别特许的流量和正常的流量。特许的流量可由安全元件处理,而正常的流量可由应用处理器所运行的主机操作系统处理。
安全元件可以是嵌入式安全元件、通用集成电路卡(UICC)、安全数字(SD)卡等等的形式。在一些实施例中,安全元件可以是经评估保证级别(EAL)4+认证的篡改防护设备。
在安全元件内实现的访问控制管理器可分析NFC请求(例如,从应用处理器接收的NFC控制器接口请求)并对NFC请求应用一个或多个访问控制策略。访问控制策略可将NFC交易的类型映射至访问级别。依据访问级别,访问控制管理器可至少部分地基于与交易发起者相关联的访问级别来允许或拒绝交易。
上文已经讨论了各种示例性实施例。本公开的这些和其他示例实施例将在后面参考附图来进行更详细的描述。图示和相应描述仅被提供用于描述性目的而并不意图以任何方式限制本公开。应当认识到,众多的其他实施例、变更等等在本公开的范围之内。
示例性系统架构
图1是根据本公开的一个或多个实施例,包括用于安全元件中心式架构的NFC访问控制的示例性系统架构的各种硬件和软件组件的框图。尽管本公开是在基于近场通信和/或NFC的交易的上下文中进行描述的,这里所述的硬件、系统和方法可同等应用于其他无线交易协议,例如BluetoothTM等等。示例性系统架构100可包括可由一个或多个用户操作的一个或多个移动设备102、一个或多个受信任服务管理器(TSM)104、一个或多个NFC使能设备108、和/或一个或多个数据库106。(一个或多个)移动设备102可包括任何适合的处理器驱动的移动计算设备,包括但不限于:膝上型计算设备、智能电话、平板等等。为了便于解释,(一个或多个)移动设备102在这里以单数形式进行描述,然而应当认识到可提供多个移动设备102。(一个或多个)TSM104可包括任何适合的处理器驱动的移动计算设备,包括但不限于:台式计算设备、膝上型计算设备、服务器、智能电话、平板等等。为了便于解释,(一个或多个)TSM104在这里以单数形式进行描述,然而应当认识到可提供多个TSM104。
移动设备102、(一个或多个)TSM104、(一个或多个)NFC使能设备108、和/或(一个或多个)数据库106中的任一者可被配置为经由一个或多个网络110彼此通信以及与系统架构100的任何其他组件通信。(一个或多个)网络110可包括但不限于:不同类型的适合通信网络(例如,有线网络、公共网络(例如,互联网)、私有网络、无线网络、蜂窝网络、或者任何其他适合的私有和/或公共网络)中的任何一者或组合。另外,(一个或多个)网络110可具有与其相关联的任何适合通信范围并且例如可包括:全球网络(例如,互联网)、城域网(MAN)、广域网(WAN)、局域网(LAN)、或个域网(PAN)。此外,(一个或多个)网络110可包括可通过其载送网络流量的任何类型的介质,包括但不限于:同轴线缆、双绞线、光纤、混合光纤(HFC)介质、微波陆基收发器、无线电频率通信介质、卫星通信介质、或它们的任何组合。
(一个或多个)移动设备102可包括一个或多个处理器132以及一个或多个存储器136(这里被统称为存储器136)。(一个或多个)处理器132可包括能够接受数字数据作为输入、基于存储的计算机可执行指令处理输入数据以及生成输出数据的任何适合处理单元。计算机可执行指令例如可被存储在数据存储设备134中并且可包括(除了其他事物之外)操作系统软件和应用程序软件。计算机可执行指令可从数据存储设备134中取回并按照执行的需要被加载至存储器136中。(一个或多个)处理器132可被配置为执行计算机可执行指令以使得各种操作被执行。(一个或多个)处理器132可包括任何类型的处理器单元,包括但不限于:中央处理单元、微处理器、微控制器、精简指令集计算机(RISC)微处理器、复杂指令集计算机(CISC)微处理器、专用集成电路(ASIC)、片上系统(SoC)、现场可编程门阵列(FPGA)等等。
数据存储设备134可存储可由(一个或多个)处理器132加载和执行的程序指令以及由(一个或多个)处理器132在程序指令的运行期间操纵和生成的数据。程序指令可按照执行的需要被加载到存储器136中。依据(一个或多个)移动设备102的配置和实现方式,存储器136可以是诸如随机存取存储器(RAM)之类的易失性存储器(被配置为在不供电时不保留所存储的信息的存储器)和/或诸如只读存储器(ROM)、闪存等等非易失性存储器(被配置为即使在不供电时也保留所存储的信息的存储器)。在各种实现方式中,存储器136可包括许多不同类型的存储器,例如各种形式的静态随机存取存储器(SRAM)、各种形式的动态随机存取存储器(DRAM)、不可更改ROM、和/或ROM的可写入变体(例如,电可擦写可编程只读存储器(EEPROM))、闪存等等。
(一个或多个)移动设备102还可包括诸如可移除的存储设备和/或不可移除的存储设备之类的附加数据存储设备134,包括但不限于:磁性存储设备、光盘存储设备、和/或磁带存储设备。数据存储设备134可提供计算机可执行指令和其他数据的非易失性存储。存储器136和/或数据存储设备134(可移除和/或不可移除的)是计算机可读存储介质(CRSM)的示例。
(一个或多个)移动设备102还可包括(一个或多个)网络接口140,其辅助(一个或多个)移动设备102与示例性系统架构100中的其他设备(例如,(一个或多个)TSM104、(一个或多个)数据库106等等)或应用程序软件经由(一个或多个)网络110的通信。(一个或多个)网络接口140可包括一个或多个天线172和一个或多个无线电装置170,其可包括用于通过上面所述的各种类型的网络110发送和/或接收无线信号的硬件和软件。(一个或多个)网络接口140可包括使得移动设备102能够接收和/或发送无线信号到(一个或多个)NFC使能设备108和/或(一个或多个)受信任服务管理器104的一个或多个无线电装置170和天线172。移动设备102还可包括可接收和发送无线电频率信号的无线电收发器(未示出)。收发器(或者接收器和/或发送器)可被耦合到一个或多个天线(例如,与移动设备102相关联的天线172)。
(一个或多个)移动设备102可以可选地包括一个或多个输入/输出(I/O)接口138(以及可选地,诸如设备驱动器之类的相关联的软件组件),该一个或多个I/O接口可支持用户和多种I/O设备(例如,键盘、鼠标、笔、指向设备、语音输入设备、触摸输入设备、显示器、扬声器、相机、麦克风、打印机等等)之间的交互。
再次参考数据存储设备134,各种程序模块、应用程序等等可被存储在其中,这可包括当被(一个或多个)处理器132执行时使得各种操作被执行的计算机可执行指令。存储器136可能已经从数据存储设备134加载了一个或多个操作系统(O/S)142,该一个或多个操作系统142可提供在移动设备142上运行的各种其他应用程序软件(例如,专用应用程序、浏览器应用程序、基于web的应用程序、分布式客户端-服务器应用程序等等)与移动设备102的硬件资源的接口连接。更具体地,O/S142可包括用于管理(一个或多个)移动设备102的硬件资源并且用于向其他应用程序提供通用服务(例如,管理各种应用程序间的存储器分配)的一组计算机可执行指令。O/S142可包括现在已知或者可在将来被研发出来的任何操作系统,包括但不限于:任何移动操作系统、台式或膝上型操作系统、大型机操作系统、或者任何其他专属或开源操作系统。
数据存储设备134还可包括一个或多个数据库管理系统(DBMS)144用于访问、取回、存储、和/或操纵在一个或多个数据库中存储的数据。DBMS144可使用多种数据库模型(例如,关系型模型、对象模型等等)中的任何模型并且可支持多种查询语言中的任何语言。
数据存储设备134可另外包括各种其他程序模块,这可包括用于支持各种相关联的功能的计算机可执行指令。例如,数据存储设备134可包括一个或多个应用程序146。
(一个或多个)应用程序146可包括响应于由(一个或多个)处理器132的执行使得操作被执行(包括发起财务交易(例如,购买)或者以其他方式从NFC使能设备108请求敏感信息)的计算机可执行指令。
(一个或多个)移动设备102还可包括一个或多个NFC控制器148。
NFC控制器148可以是实现无线电频率接口或非接触式接口以使能近场通信。NFC控制器148可识别并与一个或多个NFC使能设备108通信。NFC控制器148可发送信息至NFC使能设备108并从NFC使能设备108接收信息。在一些实施例中,NFC控制器148可从未被供电的NFC芯片(也称作NFC标签)获得信息。
(一个或多个)移动设备102还可包括一个或多个安全元件150。安全元件可以是嵌入式安全元件、通用集成电路卡(UICC)、安全数字(SD)卡等等的形式。在一些实施例中,安全元件可以是经评估保证级别(EAL)4+认证的任意篡改防护设备。
安全元件150可包括可从受信任服务管理器104接收一个或多个访问控制策略的访问控制管理器151。一个或多个访问控制策略可由受信任服务管理器104生成,使用与安全元件150相关联的安全密钥进行加密,该安全密钥是从一个或多个安全数据库(例如,数据库106)取回的并且通过安全连接被发送至移动设备102并被指向至安全元件150的访问控制管理器151。
访问控制管理器151可对从信任服务管理器104接收的经加密访问控制策略进行解密,该访问控制策略是使用在制造时被存储和/或注入到安全元件150中的安全密钥进行加密的。访问控制管理器151可从不同组件(例如,应用处理器132、由应用处理器132执行的应用程序146等等)接收信息、通过对信息应用一个或多个访问控制策略来分析信息以识别与交易或信息的发起者(例如,应用处理器138、由应用处理器执行的软件等等)相关联的访问级别、映射交易的类型等等和/或至少部分地基于对信息的分析来拒绝或准许对NFC控制器148的访问。
在数据存储设备134内,一个或多个模块可被存储。如这里所用,术语模块可指代可由一个或多个处理器132执行的指令的功能集合。为了便于描述(而非限制性方式),分离的模块被描述。然而,要理解的是,在一些实现方式中,由模块提供的各种功能可被合并、分离等等。另外,模块可相互通信或者以其他方式彼此交互,以使得一者的条件影响另一者的操作。
(一个或多个)TSM104可包括一个或多个处理器152以及一个或多个存储器156(这里被统称为存储器156)。(一个或多个)处理器152可包括能够接受数字数据作为输入、基于存储的计算机可执行指令处理输入数据以及生成输出数据的任何适合处理单元。计算机可执行指令例如可被存储在数据存储设备154中并且可包括(除了其他事物之外)操作系统软件和应用程序软件。计算机可执行指令可从数据存储设备154中取回并按照执行的需要被加载至存储器156中。(一个或多个)处理器152可被配置为执行计算机可执行指令以使得各种操作被执行。(一个或多个)处理器152可包括任何类型的处理器单元,包括但不限于:中央处理单元、微处理器、微控制器、精简指令集计算机(RISC)微处理器、复杂指令集计算机(CISC)微处理器、专用集成电路(ASIC)、片上系统(SoC)、现场可编程门阵列(FPGA)等等。
数据存储设备154可存储可由(一个或多个)处理器152加载和执行的程序指令以及由(一个或多个)处理器152在程序指令的运行期间操纵和生成的数据。程序指令可按照执行的需要被加载到存储器156中。依据(一个或多个)TSM104的配置和实现方式,存储器156可以是诸如随机存取存储器(RAM)之类的易失性存储器(被配置为在不供电时不保留所存储的信息的存储器)和/或诸如只读存储器(ROM)、闪存等等非易失性存储器(被配置为即使在不供电时也保留所存储的信息的存储器)。在各种实现方式中,存储器156可包括许多不同类型的存储器,例如各种形式的静态随机存取存储器(SRAM)、各种形式的动态随机存取存储器(DRAM)、不可更改ROM、和/或ROM的可写入变体(例如,电可擦写可编程只读存储器(EEPROM))、闪存等等。
(一个或多个)TSM104还可包括诸如可移除的存储设备和/或不可移除的存储设备之类的附加数据存储设备154,包括但不限于:磁性存储设备、光盘存储设备、和/或磁带存储设备。数据存储设备154可提供计算机可执行指令和其他数据的非易失性存储。存储器156和/或数据存储设备154(可移除和/或不可移除的)是计算机可读存储介质(CRSM)的示例。
(一个或多个)TSM104还可包括(一个或多个)网络接口160,其辅助(一个或多个)TSM104与示例性系统架构100中的其他设备(例如,(一个或多个)移动设备102、(一个或多个)数据库106等等)或应用程序软件经由(一个或多个)网络110的通信。(一个或多个)TSM104可以附加地包括一个或多个输入/输出(I/O)接口158(以及可选地,诸如设备驱动器之类的相关联的软件组件),该一个或多个I/O接口可支持用户和多种I/O设备(例如,键盘、鼠标、笔、指向设备、语音输入设备、触摸输入设备、显示器、扬声器、相机、麦克风、打印机等等)之间的交互。
再次参考数据存储设备154,各种程序模块、应用程序等等可被存储在其中,这可包括当被(一个或多个)处理器152执行时使得各种操作被执行的计算机可执行指令。存储器156可能已经从数据存储设备154加载了一个或多个操作系统(O/S)162,该一个或多个操作系统162可提供在(一个或多个)TSM104上运行的各种其他应用程序软件(例如,专用应用程序、浏览器应用程序、基于web的应用程序、分布式客户端-服务器应用程序等等)与(一个或多个)TSM104的硬件资源的接口连接。更具体地,O/S162可包括用于管理(一个或多个)TSM104的硬件资源并且用于向其他应用程序提供通用服务(例如,管理各种应用程序间的存储器分配)的一组计算机可执行指令。O/S162可包括现在已知或者可在将来被研发出来的任何操作系统,包括但不限于:任何移动操作系统、台式或膝上型操作系统、大型机操作系统、或者任何其他专属或开源操作系统。
数据存储设备154还可包括一个或多个数据库管理系统(DBMS)164用于访问、取回、存储、和/或操纵在一个或多个数据库(例如,数据库106)中存储的数据。DBMS164可使用多种数据库模型(例如,关系型模型、对象模型等等)中的任何模型并且可支持多种查询语言中的任何语言。
数据存储设备154可另外包括各种其他程序模块,这可包括用于支持各种相关联的功能的计算机可执行指令。例如,数据存储设备154可包括一个或多个策略引擎166和/或一个或多个安全模块168。
(一个或多个)策略引擎166可包括响应于由(一个或多个)处理器152的执行而使得操作(包括生成一个或多个访问控制策略)被执行的计算机可执行指令。在一些实施例中,访问控制策略可以是响应于从用户接收输入而生成的。在一些实施例中,访问控制策略可以是响应于一个或多个预确定的事件或者响应于机器学习算法而生成的。策略引擎166可向安全模块168发送一个或多个访问控制策略以进行加密。
(一个或多个)安全模块168可包括响应于由(一个或多个)处理器152的执行而使得操作(包括从一个或多个安全数据库106取回与移动设备102的安全元件150相关联的安全密钥)被执行的计算机可执行指令。安全模块168可使用所取回的安全密钥加密一个或多个访问控制策略并辅助经加密的访问控制策略到移动设备102的安全元件150的发送。在一些实施例中,安全模块168可经由应用处理器从移动设备的安全元件150接收经加密的信息并可至少部分地基于所取回的安全密钥对信息进行解密。安全模块168然后可向远程服务器发送未加密的设备以进行进一步处理。
在数据存储设备154内,一个或多个模块可被存储。如这里所用,术语模块可指代可由一个或多个处理器152执行的指令的功能集合。为了便于描述(而非限制性方式),分离的模块被描述。然而,要理解的是,在一些实现方式中,由模块提供的各种功能可被合并、分离等等。另外,模块可相互通信或者以其他方式彼此交互,以使得一者的条件影响另一者的操作。
本领域普通技术人员将认识到:在不背离本公开的范围的情况下,系统架构100的任何组件可包括除了所描述或示出的那些之外的替换的和/或附加的硬件、软件或固件组件。更具体地,应当认识到,所示出或描述的形成系统架构100的示例性组件的任何组件一部分的硬件、软件或固件组件以及这些组件支持的相关功能仅仅是示例性的,并且在各种实施例中,一些组件可能不存在或者附加组件可被提供。尽管已经相对于系统架构100的各种示例性组件示出和描述了各种程序模块,但应当认识到被描述为由程序模块支持的功能可以能够由硬件、软件和/或固件的任意组合实现。还应当认识到,在各种实施例中,上文提到的模块中的每个模块可表示所支持的功能的逻辑划分。此逻辑划分是为了便于解释功能而示出的,并不代表用于实现功能的硬件、软件和/或固件的结构。因此,应当认识到,在各种实施例中,被描述为由具体模块提供的功能可由一个或多个其他模块至少部分地提供。另外,一个或多个示出的模块在某些实施例中可能不存在,而在其他实施例中,未示出的附加模块可存在并且可支持所描述的功能和/或附加公的至少一部分。另外,尽管某些模块被示出和描述为另一模块的子模块,但在某些实施例中这样的模块可被提供为独立模块。
本领域普通技术人员将认识到示例性系统架构100仅是通过示例的方式被提供的。众多其他操作环境、系统架构和设备配置在本公开的范围内。本公开的其他实施例可包括更少或更多数目的组件和/或设备并且可并入针对示例性系统架构100所述的功能中的一些或全部或者附加功能。
图2A-2B是根据本公开的一个或多个实施例,包括用于安全元件中心式架构的NFC访问控制的各种架构的示例性框图。具体地,图2A示出了安全元件中心式架构以及应用处理器132和NFC控制器148之间通过安全元件150的NFC流量流。在一些实施例中,移动设备102可包括一个或多个应用处理器132、一个或多个NFC控制器148、和/或一个或多个安全元件150。NFC控制器148可实现无线电频率接口或非接触式接口以使能NFC。NFC控制器148可识别一个或多个NFC使能设备108并与一个或多个NFC使能设备148通信。NFC使能设备108可以是能够与其他NFC设备通信以通过所建立的无线电频率接口交换数据的设备。
NFC控制器148可具有三种不同模式。例如,第一模式可以是卡模拟(cardemulation),其中NFC控制器148使得移动设备102能够充当与NFC使能设备(例如,NFC使能销售点设备)通信的信用卡。NFC控制器148还可具有读取器/写入器模式,其中NFC控制器148使得移动设备102能够读出NFC使能设备108或NFC标签的信息或者可向NFC使能设备108写入信息。与NFC控制器148相关联的第三模式可以是对等通信模式,其中NFC控制器148使得移动设备102能够识别邻近的NFC使能设备108并与那些设备双向交换信息。
应用处理器132可包括图1中所述的任何处理器。应用处理器132可负责执行一个或多个用户应用146并与一个或多个受信任服务管理器104通信。在没有安全元件150的典型架构中,NFC控制器148和应用处理器132可具有直接连接(例如,经由集成电路间(inter-integratedcircuit,I2C))。I2C是用于将低速外设附着至母板、嵌入式系统、呼叫电话或另一电子设备的多主设备串行单端计算机总线。通过消除应用处理器132和NFC控制器148之间的直接连接,由NFC控制器148提供的NFC接口可与应用处理器132物理隔离。
安全元件150可以是能够承受硬件和软件攻击并且被连接到应用处理器132和NFC控制器148的独立芯片。安全元件150可存储敏感或机密信息(例如密钥(key)和证书),并且防止它们被第三方用户或组件提取。安全元件150可以用密钥一直存在于安全元件150内侧且不被暴露于安全元件150外侧的方式使用密钥进行数据签名的签署或认证的加密或解密。访问控制管理器151可分析NFC流量并且确定哪些NFC交易将被准许由应用处理器132所执行的O/S142服务以及哪些NFC交易是敏感的并且必须由在安全元件150内运行的受信任应用程序进行服务。在一些实施例中,访问控制管理器151可确定与请求的发起者(例如,应用处理器132、由应用处理器132执行的软件等等)相关联的访问级别和/或由安全元件150接收的NFC流量和/或请求中的数据的类型。
在一些实施例中,在安全元件150的制造时刻,安全密钥可被诸如和/或被存储在安全元件150上。每个安全元件150可具有独有的安全密钥。相应的密钥可被存储在可由受信任服务管理器104访问的安全数据库(例如,数据库106)中。受信任服务管理器104仅可通过已建立的安全通道访问数据库106。密钥可被用于在移动设备102的安全元件150和/或受信任的服务管理器104上加密或解密数据。
应用处理器132可包括通用输入/输出(GPIO)引脚208。NFC控制器148可包括相应的GPIO引脚210。在一些实施例中,GPIO引脚208、210可被用于发送控制信号,例如重设移动设备102、从睡眠状态唤醒、返回特定状态、进入特定模式进行更新等等。GPIO引脚208、210未被用于在应用处理器132和NFC控制器148之间发送信息或数据。
应用处理器132可包括串行外设接口(SPI)总线212。安全元件150可包括相应的SPI总线214。SPI总线可以是在全双工模式中操作的同步串行数据链路业界标准。数据可以用应用协议数据单元(APDU)的形式从SPI总线212发送至SPI总线214。APDU可由ISO/IEC7816-4定义。APDU的有效载荷可以是NFC控制器接口(NCI)分组。
安全元件150可包括单线协议(SWP)连接器216。NFC控制器148可包括相应的SWP连接器218。SWP是用于安全元件150和NFC芯片之间的单线连接的规范。SWP可以是用于非接触式通信的基于接触的协议。数据可经由主机控制器协议(HCP)分组在SWP连接器216和SWP连接器218之间进行发送。HCP的有效载荷可以是NCI分组。
如图2A中所示,NCI分组可源自应用处理器132并且可在APDU中从SPI总线212发送至SPI总线214。安全元件150可接收NCI分组并应用一个或多个NFC访问控制策略。访问控制管理器151可使用一个或多个访问控制策略以将NFC请求类型映射至要求的访问级别。如果请求的发起者(例如,应用处理器132)匹配所要求的访问级别,则请求可被转发至NFC控制器148。否则,请求可被拒绝并且发起者可被通知。
交易类型的粒度可以足够精细以通过RF技术类型(例如,A、B和F),RF协议(例如,T1T、T2T、T3T、ISO-DEP和NFC-DEP),RF接口(例如,帧RF、ISO-DEPRF和NFC-DEPRF),在ISO-DEP协议和接口的情形中通过APDU命令类型、EF和AID来区分NFC交易。可存在至少两种访问级别被定义:正常(NORMAL)和有资格的特许(PRIVILEGED)级别的集合(例如,在特许类别内,不同的受信任应用可具有不同的访问级别)。由应用处理器132执行的主机软件可被分配以正常的访问级别,而在安全元件执行环境内运行的应用可被分配以有资格的特许级别。NFC访问控制策略可在制造时或者在适当的验证之后经由安全通道在任何时间源自受信任NFC访问控制管理远程系统的场区中被安全地配设到安全元件150中。访问控制策略可在安全元件150内被管理和强制施行并通过安全连接上与一个或多个受信任服务管理器104的通信被更新。NFC访问控制管理器151可在安全元件150内被实现为原生应用程序、小型应用程序、或者被实现为Java卡OS的一部分,如图3A-3B中进一步所述。
在一个示例中,由应用处理器132执行的应用146可向NFC控制器148发送请求以获得信息。请求可被发送至安全元件150。NFC访问控制小型应用程序302可接收请求并确定该请求是否匹配发起者的特许级别。如果存在匹配,则请求可被转发至NFC控制器148。从NFC控制器148接收的信息可由NFC访问控制小型应用程序302接收并被转发至发起者。如果请求不匹配发起者的特许级别,则NFC访问控制小型应用程序302可拒绝请求并通知请求的发起者。
在另一示例中,其中请求发起者是特许组件或应用(例如,小型应用程序304A),NFC访问控制小型应用程序可允许特许组件发送和接收来自NFC组件148的信息。小型应用程序304A能够访问通过由SWP218和SWP216提供的非接触式接口接收到的信用卡信息。小型应用程序304A可经由SPI214和SPI212向应用处理器132发送所接收的数据。应用处理器132可利用接收到的数据来完成交易、使用一种或多种已知的加密技术来加密数据并将数据发送至远程服务器以进一步处理等等。
图2B示出了安全元件中心式架构以及应用处理器132和NFC控制器148之间通过安全元件150的NFC流量流。此实施例可以是图2A中的实现方式的变体,其中图2B中的实施例包括安全元件150和通用集成电路卡(UICC)224二者。UICC224可以是用于GSM和UMTS网络中的移动终端的智能卡,其可确保个人数据的完整性和安全性。在图2B中示出的实施例中,NFC控制器148包括两个单线协议连接器(例如,SWP1218和SWP2228)。SWP1连接器218可与安全元件150的SWP连接器216通信。NFC控制器148的SWP2连接器228可与UICC224的SWP连接器230通信。UICC224还可包括ISO7816接口226,该接口226是典型的智能卡接口。
图3A是NFC访问控制小型应用程序实现方式的示例性实施例。在一些实施例中,安全元件150可包括NFC访问控制小型应用程序302形式的访问控制管理器151、一个或多个小型应用程序304A-304B(被统称为304)、Java卡306、和/或原生O/S308。原生O/S308可提供到在安全元件150内执行的微控制器的接入。Java卡306可以是允许基于Java的应用程序(也被称为小型应用程序304)在智能卡和类似的小型存储器占用设备上安全运行的软件技术。安全元件150可存储一个或多个密钥。安全元件150中的一个或多个小型应用程序304可被分配特许的访问级别。处于例如NFC访问控制小型应用程序302形式的NFC访问控制管理器151可接收来自小型应用程序304的请求并至少部分地基于一个或多个访问控制策略,将请求转发至NFC控制器148。NFC访问控制小型应用程序302可在安全元件150上安全地运行。NFC访问控制小型应用程序302可由第三方研发者研发。
图3B是NFC访问控制原生实现方式的示例性实施例。此实施例可以是图3A中的实现方式的变体。NFC访问控制管理器151可以是在原生O/S308顶部执行的NFC访问控制原生应用程序310的形式。NFC访问控制原生应用程序310可不使用Java卡306,因而失去了由图3A中的NFC访问控制小型应用程序302提供的便携性,这意味着如果被迁移到具有不同O/S的不同安全元件,原生应用程序310将不得不具体针对新的安全元件被重写,因为例如新的安全元件可具有不同的微控制器。因为NFC访问控制原生应用程序310在原生级别处执行,原生应用程序310可直接调用可用的硬件上的操作,因而增加了性能。NFC访问控制原生应用程序310可由熟悉移动设备102的固件和硬件的某人编写。例如,NFC访问控制原生应用程序310可由移动设备102的供应商研发。
图3C是NFC访问控制Java卡O/S扩展实现方式的示例性实施例。此实施例是图3A和3B中的实现方式的变体。NFC访问控制管理器151可以是NFC访问控制Java卡O/S扩展312的形式。NFC访问控制Java卡O/S扩展312可由Java卡O/S供应商研发。与在Java卡306的顶部上执行的应用程序或者在O/S308的顶部上执行的应用程序相反,NFC访问控制Java卡O/S扩展312可以是O/S的一部分。NFC访问控制Java卡O/S扩展312的性能可比NFC访问控制小型应用程序302更好,但没有NFC访问控制原生应用程序310好。
图3A-3B中示出的小型应用程序304可具有不同的功能。例如,小型应用程序可被用于加密敏感信息、存储密码等等。例如,小型应用程序304可存储多个密码。如果用户提供主密码,则小型应用程序可至少部分地基于请求密码的站点释放所存储的密码中的一个密码。
示例性处理
图4是根据本公开的一个或多个实施例的用于安全元件中心式架构的NFC访问控制的示例性方法的流程图。在区块405处,安全元件150的访问控制管理器151(例如,NFC访问控制小型应用程序302、NFC访问控制原生应用程序310、和/或NFC访问控制Java卡操作系统扩展312)可接收请求。在一些实施例中,信息可以从应用处理器132、由应用处理器132执行的软件、安全元件150内的小型应用程序304等等中被接收。在一些实施例中,请求可以是从与应用处理器138相关联的SPI总线212发送到与安全元件150相关联的SPI总线214的APDU形式的NFC流量。APDU可包括有效载荷中的NCI分组。
在区块410处,安全元件150的访问控制管理器151可处理请求以识别与信息和/或发起者相关联的访问级别。例如,安全元件150的访问控制管理器151可从APDU中提取信息并应用从受信任服务管理器104接收到的一个或多个访问控制策略。在一些实施例中,安全元件150的访问控制管理器151必须至少部分地基于在安全元件104中存储的安全密钥来对从受信任服务管理器104中接收的一个或多个控制策略进行解密。至少部分地基于一个或多个访问控制策略,访问控制管理器151可确定与请求的发起者相关联的授权级别。至少部分地基于一个或多个访问控制策略,访问控制管理器151可确定与请求相关联的授权级别。
在区块415处,安全元件150的访问控制管理器151确定与请求相关联的授权级别是否匹配与请求的发起者相关联的授权级别。如果与请求相关联的授权级别不匹配与请求的发起者相关联的授权级别,则在区块420处,访问控制管理器151可拒绝请求并向请求的发起者通知该拒绝。
如果在区块415处,访问控制管理器151确定与请求相关联的授权级别匹配与请求的发起者相关联的授权级别,那么在区块425处访问控制管理器151可发送或转发请求至NFC控制器148。在一些实施例中,安全元件150的访问控制管理器151可将来自发起者的请求从SWP连接器216发送或转发至与NFC控制器148相关联的SWP连接器218。请求可在HCP中被发送。HCP可包含有效载荷中来自APDU的NCI分组的信息。访问控制管理器151可至少部分地基于在请求和/或NFC流量中接收的信息生成指令以使得NFC控制器148能够进入上文所述的三种模式(例如,卡模拟模式、读取器/写入器模式、和/或对等通信模式)中的一者,并且可将指令与转发的请求一起发送。
在区块430处,访问控制管理器151可接收来自NFC控制器148的、响应于所发送或转发的请求的信息。在一个实施例中,NFC控制器148可将通过NFC无线电频率接口获得信息从SWP连接器218发送至与安全元件150相关联的SWP连接器216。
在区块435处,访问控制管理器151可发送或转发从NFC控制器151接收的信息至请求的发起者。请求的发起者(例如,应用处理器132)可使用接收的信息来完成交易或者以其他方式利用接收到的信息。在一些实施例中,发起者可使用一个或多个已知的加密技术来加密接收到的信息并且将经加密的信息发送至远程服务器以进一步处理或存储。
在一个实施例中,计算机可读介质可存储计算机可执行指令,该计算机可执行指令当被处理器执行时,使得处理器执行包括以下各项的操作:接收针对信息的请求;处理接收到的请求以识别与请求相关联的第一访问级别以及与请求的发起者相关联的第二访问级别;确定第一访问级别是否匹配第二访问级别;响应于确定第一访问级别不匹配第二访问级别,向请求的发起者发送指示对请求的拒绝的消息;以及响应于确定第一访问级别匹配第二访问级别,向近场通信(NFC)控制器发送请求;从该NFC控制器接收信息;以及将来自NFC控制器的信息发送至请求的发起者。
在实施例的一个方面中,处理接收到的请求以识别与请求相关联的第一访问级别以及与请求的发起者相关联的第二访问级别还可包括:至少部分地基于一个或多个访问控制策略,处理接收到的请求以识别与请求相关联的第一访问级别以及与请求的发起者相关联的第二访问级别。
在实施例的一个方面中,计算机可执行指令还可使得处理器执行包括以下项的操作:从受信任服务管理器接收一个或多个访问控制策略,其中一个或多个访问控制策略是由受信任服务管理器至少部分地基于安全密钥加密的。
在实施例的一个方面中,计算机可执行指令还可使得处理器执行包括以下项的操作:使用第二本地存储的安全密钥对来自受信任服务管理器的一个或多个访问控制策略进行解密。
在实施例的一个方面中,计算机可执行指令还可使得处理器执行包括以下项的操作:至少部分地基于请求来生成一个或多个指令,其中一个或多个指令指示NFC控制器进入一模式;以及向NFC控制器发送一个或多个指令。
在实施例的一个方面中,模式可以是卡模拟模式、读取器/写入器模式、或者对等通信模式中的一者。
在实施例的一个方面中,来自NFC控制器的信息可以是从NFC使能设备接收的。
在另一实施例中,一种方法可被提供。方法可包括:由安全元件接收针对信息的请求;由安全元件处理接收到的请求以识别与请求相关联的第一访问级别以及与请求的发起者相关联的第二访问级别;由安全元件确定第一访问级别是否匹配第二访问级别;响应于确定第一访问级别不匹配第二访问级别,由安全元件向请求的发起者发送指示对请求的拒绝的消息;以及响应于确定第一访问级别匹配第二访问级别,由安全元件向近场通信(NFC)控制器发送请求;由安全元件从该NFC控制器接收信息;以及由安全元件将来自NFC控制器的信息发送至请求的发起者。
在实施例的一个方面中,方法可包括:由安全元件,至少部分地基于一个或多个访问控制策略,处理接收到的请求以识别与请求相关联的第一访问级别以及与请求的发起者相关联的第二访问级别。
在实施例的一个方面中,方法可包括:由安全元件从受信任服务管理器接收一个或多个访问控制策略,其中一个或多个访问控制策略是由受信任服务管理器至少部分地基于安全密钥加密的。
在实施例的一个方面中,方法可包括:由安全元件使用第二本地存储的安全密钥对来自受信任服务管理器的一个或多个访问控制策略进行解密。
在实施例的一个方面中,方法可包括:由安全元件至少部分地基于请求来生成一个或多个指令,其中一个或多个指令指示NFC控制器进入一模式;以及由安全元件向NFC控制器发送一个或多个指令。
在实施例的一个方面中,模式可以是卡模拟模式、读取器/写入器模式、或者对等通信模式中的一者。
在实施例的一个方面中,方法可包括:来自NFC控制器的信息可以是从NFC使能设备接收的。
在实施例的一个方面中,安全元件可包括NFC访问控制小型应用程序、NFC控制原生应用程序、或者NFC访问控制Java卡操作系统扩展中的一者。
在另一实施例中,一种设备可被提供。设备可包括:至少一个天线;至少一个收发器;至少一个近场通信(NFC)控制器;至少一个处理器;存储计算机可执行指令的至少一个存储器;以及至少一个安全元件,其中至少一个安全元件被配置为访问至少一个存储器并且执行计算机可执行指令以:接收针对信息的请求;处理接收到的请求以识别与请求相关联的第一访问级别以及与请求的发起者相关联的第二访问级别;确定第一访问级别是否匹配第二访问级别;响应于确定第一访问级别不匹配第二访问级别,向请求的发起者发送指示对请求的拒绝的消息;以及响应于确定第一访问级别匹配第二访问级别,向近场通信(NFC)控制器发送请求;从该NFC控制器接收信息;以及将来自NFC控制器的信息发送至请求的发起者。
在实施例的一个方面中,为了处理接收到的请求以识别与请求相关联的第一访问级别以及与请求的发起者相关联的第二访问级别,至少一个安全元件可被配置为访问至少一个存储器并且执行计算机可执行指令以:至少部分地基于一个或多个访问控制策略,处理接收到的请求以识别与请求相关联的第一访问级别以及与请求的发起者相关联的第二访问级别。
在实施例的一个方面中,至少一个安全元件可被配置为访问至少一个存储器并且执行计算机可执行指令以:从受信任服务管理器接收一个或多个访问控制策略,其中一个或多个访问控制策略是由受信任服务管理器至少部分地基于安全密钥加密的。
在实施例的一个方面中,至少一个安全元件可被配置为访问至少一个存储器并且执行计算机可执行指令以:使用第二本地存储的安全密钥对来自受信任服务管理器的一个或多个访问控制策略进行解密。
在实施例的一个方面中,至少一个安全元件可被配置为访问至少一个存储器并且执行计算机可执行指令以:至少部分地基于请求来生成一个或多个指令,其中一个或多个指令指示NFC控制器进入一模式;以及向NFC控制器发送一个或多个指令。
在实施例的一个方面中,该模式可以是卡模拟模式、读取器/写入器模式、或者对等通信模式中的一者。
在实施例的一个方面中,来自NFC控制器的信息可以是从NFC使能设备接收的。
在实施例的一个方面中,安全元件可包括NFC访问控制小型应用程序、NFC控制原生应用程序、或者NFC访问控制Java卡操作系统扩展中的至少一者。
在另一实施例中,一种系统可被提供。系统可包括:用于接收针对信息的请求的装置;用于处理接收到的请求以识别与请求相关联的第一访问级别以及与请求的发起者相关联的第二访问级别的装置;用于确定第一访问级别是否匹配第二访问级别的装置;响应于确定第一访问级别不匹配第二访问级别,用于向请求的发起者发送指示对请求的拒绝的消息的装置;以及响应于确定第一访问级别匹配第二访问级别,用于向近场通信(NFC)控制器发送请求的装置;用于从该NFC控制器接收信息的装置;以及用于将来自NFC控制器的信息发送至请求的发起者的装置。
在实施例的一个方面中,用于处理接收到的请求以识别与请求相关联的第一访问级别以及与请求的发起者相关联的第二访问级别的装置还可包括:用于至少部分地基于一个或多个访问控制策略,处理接收到的请求以识别与请求相关联的第一访问级别以及与请求的发起者相关联的第二访问级别的装置。
在实施例的一个方面中,系统可包括用于从受信任服务管理器接收一个或多个访问控制策略的装置,其中一个或多个访问控制策略是由受信任服务管理器至少部分地基于安全密钥加密的。
在实施例的一个方面中,系统可包括用于使用第二本地存储的安全密钥对来自受信任服务管理器的一个或多个访问控制策略进行解密的装置。
在实施例的一个方面中,用于至少部分地基于请求来生成一个或多个指令的装置,其中一个或多个指令指示NFC控制器进入一模式;以及用于向NFC控制器发送一个或多个指令的装置。
在实施例的一个方面中,模式可以是卡模拟模式、读取器/写入器模式、或者对等通信模式中的一者。
在实施例的一个方面中,来自NFC控制器的信息可以是从NFC使能设备接收的。
在实施例的一个方面中,安全元件可包括NFC访问控制小型应用程序、NFC控制原生应用程序、或者NFC访问控制Java卡操作系统扩展中的至少一者。
结论
在各种实现方式中,可以按照需要以任意适当的顺序来实施或执行上面所描述和所示的操作和处理。附加地,在某些实现方式中,至少一部分操作可以被并行实施。而且,在某些实现方式中,可以执行比所描述的操作更少或者更多的操作。
上面根据各种实现方式,参照系统、方法、装置和/或计算机程序产品的框和流程图,对本公开的某些方面进行了描述。应当理解,框图和流程图中的一个或多个框以及框图和流程图中的框的组合分别可以由计算机可执行程序指令来实现。同样,根据一些实现方式,框图和流程图中的一些框不一定需要以所呈现的顺序来执行,或者根本不一定需要执行。
这些计算机可执行程序指令可加载到通用计算机、专用计算机、处理器、或其它可编程数据处理设备以产生特定机器,从而在计算机、处理器或其它可编程数据处理设备上执行的指令创建用于实现流程图的一个或多个块中指定的一个或多个功能的装置。这些计算机程序指令还可以存储在计算机可读存储器中,其可以指导计算机或其它可编程数据处理设备以特定方式工作,从而存储在计算机可读存储器中的指令产生制品(包括实现流程图的一个或多个块中指定的一个或多个功能的指令装置)。作为示例,本公开的实施例可以提供计算机程序产品,包括具有其中体现计算机可读程序代码或程序指令的计算机可用介质,该计算机可读程序代码适于被执行以流程图的一个或多个块中指定的一个或多个功能。计算机程序指令还可以加载到计算机或其它可编程数据处理设备上以产生计算机实现的过程,从而在计算机或其它可编程数据处理设备上执行的指令提供用于实现流程图的一个或多个块中指定的功能的步骤或元件。
相应地,框图和流程图的块支持用于执行指定功能的装置的组合、用于执行指定功能的元件或步骤的组合、以及用于执行指定功能的程序指令装置。还应当理解,框图和流程图中的每个块,以及框图和流程图中每个块的组合可以由执行指定功能、元件或步骤的专用的基于硬件的计算机系统、或者专用计算机系统和计算机指令的组合来实现。
除非另外具体陈述或者在所使用的上下文内被另外理解,否则条件语言(例如,“能够”、“能”“可以”、“可能”等)一般旨在传递某些实现方式可以包括某些特征、要素和/或操作,而其他实现方式不包括。因此,这样的条件语言一般不意欲隐含,特征、要素和/或操作为一个或多个实现方式所需的任何方式,或者不意欲隐含,一个或多个实现方式必然包括用于利用或不利用用户输入或提示来决定是否包括这些特征、要素和/或操作或者是否能够以任意特定的实现方式来执行这些特征、要素和/或操作。
通过前面的描述和相关联的附图中所呈现的教导的益处,本文所提出的本公开的许多修改和其他实现方式将会显而易见。因此,应当理解,本公开不限于所公开的具体实现方式和修改,并且其他实现方式旨在被包括于所附权利要求的范围之内。尽管本文使用了特定术语,但它们仅被用于一般性和说明性含义而非出于限制性的目的。
Claims (25)
1.一种存储了计算机可执行指令的计算机可读介质,所述计算机可执行指令当被处理器执行时,使得所述处理器执行包括以下各项的操作:
接收针对信息的请求;
处理所接收到的请求以识别与所述请求相关联的第一访问级别以及与所述请求的发起者相关联的第二访问级别;
确定所述第一访问级别是否匹配所述第二访问级别;
响应于确定所述第一访问级别不匹配所述第二访问级别,向所述请求的发起者发送指示拒绝所述请求的消息;以及
响应于确定所述第一访问级别匹配所述第二访问级别,
向近场通信(NFC)控制器发送所述请求;
从所述NFC控制器接收信息;以及
将来自所述NFC控制器的所述信息发送至所述请求的发起者。
2.如权利要求1所述的计算机可读介质,其中处理所接收到的请求以识别与所述请求相关联的第一访问级别以及与所述请求的发起者相关联的第二访问级别还包括:
至少部分地基于一个或多个访问控制策略,处理所述接收到的请求以识别与所述请求相关联的第一访问级别以及与所述请求的发起者相关联的第二访问级别。
3.如权利要求2所述的计算机可读介质,其中所述计算机可执行指令还使得所述处理器执行包括以下项的操作:
从受信任服务管理器接收所述一个或多个访问控制策略,其中所述一个或多个访问控制策略是由所述受信任服务管理器至少部分地基于安全密钥加密的。
4.如权利要求3所述的计算机可读介质,其中所述计算机可执行指令还使得所述处理器执行包括以下项的操作:
使用第二本地存储的安全密钥对来自所述受信任服务管理器的所述一个或多个访问控制策略进行解密。
5.如权利要求1所述的计算机可读介质,其中所述计算机可执行指令还使得所述处理器执行包括以下项的操作:
至少部分地基于所述请求来生成一个或多个指令,其中所述一个或多个指令指示所述NFC控制器进入一模式;以及
向所述NFC控制器发送所述一个或多个指令。
6.如权利要求1所述的计算机可读介质,其中所述模式是卡模拟模式、读取器/写入器模式、或者对等通信模式中的一者。
7.如权利要求1所述的计算机可读介质,其中来自所述NFC控制器的信息是从NFC使能设备接收的。
8.一种计算机实现的方法,包括:
由安全元件接收针对信息的请求;
由所述安全元件处理所接收到的请求以识别与所述请求相关联的第一访问级别以及与所述请求的发起者相关联的第二访问级别;
由所述安全元件确定所述第一访问级别是否匹配所述第二访问级别;
响应于确定所述第一访问级别不匹配所述第二访问级别,由所述安全元件向所述请求的发起者发送指示拒绝所述请求的消息;以及
响应于确定所述第一访问级别匹配所述第二访问级别,
由所述安全元件向近场通信(NFC)控制器发送所述请求;
由所述安全元件从所述NFC控制器接收信息;以及
由所述安全元件将来自所述NFC控制器的所述信息发送至所述请求的发起者。
9.如权利要求8所述的计算机实现的方法,其中处理所接收到的请求以识别与所述请求相关联的第一访问级别以及与所述请求的发起者相关联的第二访问级别还包括:
由所述安全元件,至少部分地基于一个或多个访问控制策略,处理所述接收到的请求以识别与所述请求相关联的第一访问级别以及与所述请求的发起者相关联的第二访问级别。
10.如权利要求9所述的计算机实现的方法,还包括:
由所述安全元件从受信任服务管理器接收所述一个或多个访问控制策略,其中所述一个或多个访问控制策略是由所述受信任服务管理器至少部分地基于安全密钥加密的。
11.如权利要求10所述的计算机实现的方法,还包括:
由所述安全元件使用第二本地存储的安全密钥对来自所述受信任服务管理器的所述一个或多个访问控制策略进行解密。
12.如权利要求8所述的计算机实现的方法,还包括:
由所述安全元件至少部分地基于所述请求来生成一个或多个指令,其中所述一个或多个指令指示所述NFC控制器进入一模式;以及
由所述安全元件向所述NFC控制器发送所述一个或多个指令。
13.如权利要求8所述的计算机实现的方法,其中所述模式是卡模拟模式、读取器/写入器模式、或者对等通信模式中的一者。
14.如权利要求13所述的计算机实现的方法,其中来自所述NFC控制器的信息是从NFC使能设备接收的。
15.如权利要求8所述的计算机实现的方法,其中所述安全元件包括NFC访问控制小型应用程序、NFC控制原生应用程序、或者NFC访问控制Java卡操作系统扩展中的至少一者。
16.一种设备,包括:
一个或多个天线;
一个或多个无线电装置;
至少一个收发器;
至少一个近场通信(NFC)控制器;
至少一个处理器;
存储计算机可执行指令的至少一个存储器;以及
至少一个安全元件,其中所述至少一个安全元件被配置为访问所述至少一个存储器并且执行所述计算机可执行指令以:
接收针对信息的请求;
处理所接收到的请求以识别与所述请求相关联的第一访问级别以及与所述请求的发起者相关联的第二访问级别;
确定所述第一访问级别是否匹配所述第二访问级别;
响应于所述第一访问级别不匹配所述第二访问级别的确定,向所述请求的发起者发送指示拒绝所述请求的消息;以及
响应于所述第一访问级别匹配所述第二访问级别的确定,
向至少一个NFC控制器发送所述请求;
从所述至少一个NFC控制器接收信息;以及
将来自所述至少一个NFC控制器的所述信息发送至所述请求的发起者。
17.如权利要求16所述的设备,其中为了处理所述接收到的请求以识别与所述请求相关联的第一访问级别以及与所述请求的发起者相关联的第二访问级别,所述至少一个安全元件被配置为访问所述至少一个存储器并且执行所述计算机可执行指令以:
至少部分地基于一个或多个访问控制策略,处理所述接收到的请求以识别与所述请求相关联的第一访问级别以及与所述请求的发起者相关联的第二访问级别。
18.如权利要求17所述的设备,其中所述至少一个安全元件被配置为访问所述至少一个存储器并且执行所述计算机可执行指令以:
从受信任服务管理器接收所述一个或多个访问控制策略,其中所述一个或多个访问控制策略是由所述受信任服务管理器至少部分地基于安全密钥加密的。
19.如权利要求18所述的设备,其中所述至少一个安全元件被配置为访问所述至少一个存储器并且执行所述计算机可执行指令以:
使用第二本地存储的安全密钥对来自所述受信任服务管理器的所述一个或多个访问控制策略进行解密。
20.如权利要求16所述的设备,其中所述至少一个安全元件被配置为访问所述至少一个存储器并且执行所述计算机可执行指令以:
至少部分地基于所述请求来生成一个或多个指令,其中所述一个或多个指令指示所述至少一个NFC控制器进入一模式;以及
向所述至少一个NFC控制器发送所述一个或多个指令。
21.如权利要求16所述的设备,其中所述模式是卡模拟模式、读取器/写入器模式、或者对等通信模式中的一者。
22.如权利要求21所述的设备,其中来自所述至少一个NFC控制器的信息是从NFC使能设备接收的。
23.如权利要求16所述的设备,其中所述安全元件包括NFC访问控制小型应用程序、NFC控制原生应用程序、或者NFC访问控制Java卡操作系统扩展中的至少一者。
24.一种系统,包括:
用于接收针对信息的请求的装置;
用于处理所接收到的请求以识别与所述请求相关联的第一访问级别以及与所述请求的发起者相关联的第二访问级别的装置;
用于确定所述第一访问级别是否匹配所述第二访问级别的装置;
响应于确定所述第一访问级别不匹配所述第二访问级别,用于向所述请求的发起者发送指示拒绝所述请求的消息的装置;以及
响应于确定所述第一访问级别匹配所述第二访问级别,
用于向近场通信(NFC)控制器发送所述请求的装置;
用于从所述NFC控制器接收信息的装置;以及
用于将来自所述NFC控制器的所述信息发送至所述请求的发起者的装置。
25.如权利要求24所述的系统,其中用于处理所接收到的请求以识别与所述请求相关联的第一访问级别以及与所述请求的发起者相关联的第二访问级别的装置还包括:
用于至少部分地基于一个或多个访问控制策略,处理所述接收到的请求以识别与所述请求相关联的第一访问级别以及与所述请求的发起者相关联的第二访问级别的装置。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2013/061411 WO2015047224A1 (en) | 2013-09-24 | 2013-09-24 | Systems and methods for nfc access control in a secure element centric nfc architecture |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105493538A true CN105493538A (zh) | 2016-04-13 |
CN105493538B CN105493538B (zh) | 2019-05-03 |
Family
ID=52692267
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380079091.6A Active CN105493538B (zh) | 2013-09-24 | 2013-09-24 | 用于安全元件中心式nfc架构的nfc访问控制的系统和方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US10194318B2 (zh) |
EP (1) | EP3050335B1 (zh) |
CN (1) | CN105493538B (zh) |
BR (1) | BR112016003676B1 (zh) |
WO (1) | WO2015047224A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109478352A (zh) * | 2016-06-14 | 2019-03-15 | 多玛卡巴瑞士有限责任公司 | 用于在安装场所配置多个访问控制装置的方法和装置 |
WO2019104989A1 (zh) * | 2017-11-30 | 2019-06-06 | 华为技术有限公司 | 终端和通信方法 |
CN112567708A (zh) * | 2018-07-19 | 2021-03-26 | 马士基集装箱工业公司 | 对冷藏控制系统的安全远程访问 |
CN114153564A (zh) * | 2021-12-07 | 2022-03-08 | 北京鲸鲮信息系统技术有限公司 | 多系统中近场通信单元访问方法及装置、电子设备、存储介质 |
CN115633362A (zh) * | 2022-12-01 | 2023-01-20 | 北京紫光青藤微系统有限公司 | 基于安全元件的nfc功能控制方法及移动终端设备 |
Families Citing this family (123)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10152706B2 (en) | 2013-03-11 | 2018-12-11 | Cellco Partnership | Secure NFC data authentication |
US9503159B2 (en) * | 2013-05-01 | 2016-11-22 | Cellco Partnership | Storing and retrieving electronic device information |
US10206109B2 (en) * | 2014-12-24 | 2019-02-12 | Intel Corporation | Offline access network discovery and selection function (ANDSF) provisioning using near field communications (NFC) |
US10019605B2 (en) * | 2015-03-30 | 2018-07-10 | Square, Inc. | Systems, methods and apparatus for secure peripheral communication |
US10063375B2 (en) * | 2015-04-20 | 2018-08-28 | Microsoft Technology Licensing, Llc | Isolation of trusted input/output devices |
EP3101607A1 (en) * | 2015-06-02 | 2016-12-07 | Orange | NFC-ENABLED DEVICES FOR & xA;PERFORMING SECURE CONTACTLESS TRANSACTIONS AND USING HCE |
US10476661B2 (en) * | 2016-06-27 | 2019-11-12 | Fujitsu Limited | Polynomial-based homomorphic encryption |
CN108734005B (zh) * | 2018-02-09 | 2021-02-09 | 深圳市微付充科技有限公司 | 一种安全/身份验证方法、移动设备及存储装置 |
US10721223B2 (en) | 2018-04-12 | 2020-07-21 | Rockwell Automation Technologies, Inc. | Method and apparatus for secure device provisioning in an industrial control system |
US10546444B2 (en) | 2018-06-21 | 2020-01-28 | Capital One Services, Llc | Systems and methods for secure read-only authentication |
US10505738B1 (en) | 2018-10-02 | 2019-12-10 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
US10949520B2 (en) | 2018-10-02 | 2021-03-16 | Capital One Services, Llc | Systems and methods for cross coupling risk analytics and one-time-passcodes |
AU2019351911A1 (en) | 2018-10-02 | 2021-02-25 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
US11210664B2 (en) | 2018-10-02 | 2021-12-28 | Capital One Services, Llc | Systems and methods for amplifying the strength of cryptographic algorithms |
WO2020072670A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
WO2020072529A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
US10579998B1 (en) | 2018-10-02 | 2020-03-03 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
WO2020072583A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for establishing identity for order pick up |
US10489781B1 (en) | 2018-10-02 | 2019-11-26 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
US10554411B1 (en) | 2018-10-02 | 2020-02-04 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
US10582386B1 (en) | 2018-10-02 | 2020-03-03 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
WO2020072440A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
US10771253B2 (en) | 2018-10-02 | 2020-09-08 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
US10771254B2 (en) | 2018-10-02 | 2020-09-08 | Capital One Services, Llc | Systems and methods for email-based card activation |
US10592710B1 (en) | 2018-10-02 | 2020-03-17 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
WO2020072537A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
JP2022502901A (ja) | 2018-10-02 | 2022-01-11 | キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニーCapital One Services, LLC | 非接触カードの暗号化認証のためのシステムおよび方法 |
US10581611B1 (en) | 2018-10-02 | 2020-03-03 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
KR20210065109A (ko) | 2018-10-02 | 2021-06-03 | 캐피탈 원 서비시즈, 엘엘씨 | 비접촉식 카드의 암호화 인증을 위한 시스템 및 방법 |
US10607214B1 (en) | 2018-10-02 | 2020-03-31 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
CA3113590A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
US10542036B1 (en) | 2018-10-02 | 2020-01-21 | Capital One Services, Llc | Systems and methods for signaling an attack on contactless cards |
US10511443B1 (en) | 2018-10-02 | 2019-12-17 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
CA3115107A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
CA3110521A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
CA3114753A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
US10565587B1 (en) | 2018-10-02 | 2020-02-18 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
US10748138B2 (en) | 2018-10-02 | 2020-08-18 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
US10909527B2 (en) | 2018-10-02 | 2021-02-02 | Capital One Services, Llc | Systems and methods for performing a reissue of a contactless card |
WO2020072552A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
US11361302B2 (en) | 2019-01-11 | 2022-06-14 | Capital One Services, Llc | Systems and methods for touch screen interface interaction using a card overlay |
US11037136B2 (en) | 2019-01-24 | 2021-06-15 | Capital One Services, Llc | Tap to autofill card data |
US11120453B2 (en) | 2019-02-01 | 2021-09-14 | Capital One Services, Llc | Tap card to securely generate card data to copy to clipboard |
US10510074B1 (en) | 2019-02-01 | 2019-12-17 | Capital One Services, Llc | One-tap payment using a contactless card |
US10467622B1 (en) | 2019-02-01 | 2019-11-05 | Capital One Services, Llc | Using on-demand applications to generate virtual numbers for a contactless card to securely autofill forms |
US11449319B2 (en) | 2019-02-14 | 2022-09-20 | Samsung Electronics Co., Ltd. | Method and apparatus for downloading bundle to smart secure platform by using activation code |
KR102607207B1 (ko) * | 2019-02-14 | 2023-11-29 | 삼성전자주식회사 | 활성화 코드를 이용한 ssp의 번들 다운로드 방법 및 장치 |
US10425129B1 (en) | 2019-02-27 | 2019-09-24 | Capital One Services, Llc | Techniques to reduce power consumption in near field communication systems |
US10523708B1 (en) | 2019-03-18 | 2019-12-31 | Capital One Services, Llc | System and method for second factor authentication of customer support calls |
US10438437B1 (en) | 2019-03-20 | 2019-10-08 | Capital One Services, Llc | Tap to copy data to clipboard via NFC |
US10535062B1 (en) | 2019-03-20 | 2020-01-14 | Capital One Services, Llc | Using a contactless card to securely share personal data stored in a blockchain |
US10643420B1 (en) | 2019-03-20 | 2020-05-05 | Capital One Services, Llc | Contextual tapping engine |
US10984416B2 (en) | 2019-03-20 | 2021-04-20 | Capital One Services, Llc | NFC mobile currency transfer |
US10970712B2 (en) | 2019-03-21 | 2021-04-06 | Capital One Services, Llc | Delegated administration of permissions using a contactless card |
FR3094517A1 (fr) * | 2019-03-25 | 2020-10-02 | Proton World International N.V. | Système électronique |
FR3094516A1 (fr) * | 2019-03-25 | 2020-10-02 | Proton World International N.V. | Système électronique |
FR3094514A1 (fr) | 2019-03-25 | 2020-10-02 | Proton World International N.V. | Système électronique |
US10467445B1 (en) | 2019-03-28 | 2019-11-05 | Capital One Services, Llc | Devices and methods for contactless card alignment with a foldable mobile device |
US11521262B2 (en) | 2019-05-28 | 2022-12-06 | Capital One Services, Llc | NFC enhanced augmented reality information overlays |
US10516447B1 (en) | 2019-06-17 | 2019-12-24 | Capital One Services, Llc | Dynamic power levels in NFC card communications |
US11694187B2 (en) | 2019-07-03 | 2023-07-04 | Capital One Services, Llc | Constraining transactional capabilities for contactless cards |
US11392933B2 (en) | 2019-07-03 | 2022-07-19 | Capital One Services, Llc | Systems and methods for providing online and hybridcard interactions |
US10871958B1 (en) | 2019-07-03 | 2020-12-22 | Capital One Services, Llc | Techniques to perform applet programming |
US10713649B1 (en) | 2019-07-09 | 2020-07-14 | Capital One Services, Llc | System and method enabling mobile near-field communication to update display on a payment card |
US10885514B1 (en) | 2019-07-15 | 2021-01-05 | Capital One Services, Llc | System and method for using image data to trigger contactless card transactions |
US10498401B1 (en) | 2019-07-15 | 2019-12-03 | Capital One Services, Llc | System and method for guiding card positioning using phone sensors |
US10733601B1 (en) | 2019-07-17 | 2020-08-04 | Capital One Services, Llc | Body area network facilitated authentication or payment authorization |
US10832271B1 (en) | 2019-07-17 | 2020-11-10 | Capital One Services, Llc | Verified reviews using a contactless card |
US11182771B2 (en) | 2019-07-17 | 2021-11-23 | Capital One Services, Llc | System for value loading onto in-vehicle device |
US11521213B2 (en) | 2019-07-18 | 2022-12-06 | Capital One Services, Llc | Continuous authentication for digital services based on contactless card positioning |
US10506426B1 (en) | 2019-07-19 | 2019-12-10 | Capital One Services, Llc | Techniques for call authentication |
US10541995B1 (en) | 2019-07-23 | 2020-01-21 | Capital One Services, Llc | First factor contactless card authentication system and method |
CA3153291A1 (en) | 2019-10-02 | 2021-04-08 | Evan Lerner | Client device authentication using contactless legacy magnetic stripe data |
US10755262B1 (en) | 2019-10-15 | 2020-08-25 | Capital One Services, Llc | System, method, and computer-accessible medium for blocking malicious EMV transactions |
EP3836503A1 (en) | 2019-12-10 | 2021-06-16 | Nxp B.V. | Access control for near field communication functions |
US10733283B1 (en) | 2019-12-23 | 2020-08-04 | Capital One Services, Llc | Secure password generation and management using NFC and contactless smart cards |
US10885410B1 (en) | 2019-12-23 | 2021-01-05 | Capital One Services, Llc | Generating barcodes utilizing cryptographic techniques |
US10862540B1 (en) | 2019-12-23 | 2020-12-08 | Capital One Services, Llc | Method for mapping NFC field strength and location on mobile devices |
US11615395B2 (en) | 2019-12-23 | 2023-03-28 | Capital One Services, Llc | Authentication for third party digital wallet provisioning |
US11651361B2 (en) | 2019-12-23 | 2023-05-16 | Capital One Services, Llc | Secure authentication based on passport data stored in a contactless card |
US11113685B2 (en) | 2019-12-23 | 2021-09-07 | Capital One Services, Llc | Card issuing with restricted virtual numbers |
US10657754B1 (en) | 2019-12-23 | 2020-05-19 | Capital One Services, Llc | Contactless card and personal identification system |
US10853795B1 (en) | 2019-12-24 | 2020-12-01 | Capital One Services, Llc | Secure authentication based on identity data stored in a contactless card |
US10664941B1 (en) | 2019-12-24 | 2020-05-26 | Capital One Services, Llc | Steganographic image encoding of biometric template information on a card |
US11200563B2 (en) | 2019-12-24 | 2021-12-14 | Capital One Services, Llc | Account registration using a contactless card |
US10909544B1 (en) | 2019-12-26 | 2021-02-02 | Capital One Services, Llc | Accessing and utilizing multiple loyalty point accounts |
US10757574B1 (en) | 2019-12-26 | 2020-08-25 | Capital One Services, Llc | Multi-factor authentication providing a credential via a contactless card for secure messaging |
US11038688B1 (en) | 2019-12-30 | 2021-06-15 | Capital One Services, Llc | Techniques to control applets for contactless cards |
US11455620B2 (en) | 2019-12-31 | 2022-09-27 | Capital One Services, Llc | Tapping a contactless card to a computing device to provision a virtual number |
US10860914B1 (en) | 2019-12-31 | 2020-12-08 | Capital One Services, Llc | Contactless card and method of assembly |
US11210656B2 (en) | 2020-04-13 | 2021-12-28 | Capital One Services, Llc | Determining specific terms for contactless card activation |
US11823175B2 (en) | 2020-04-30 | 2023-11-21 | Capital One Services, Llc | Intelligent card unlock |
US11030339B1 (en) | 2020-04-30 | 2021-06-08 | Capital One Services, Llc | Systems and methods for data access control of personal user data using a short-range transceiver |
US10861006B1 (en) | 2020-04-30 | 2020-12-08 | Capital One Services, Llc | Systems and methods for data access control using a short-range transceiver |
US11222342B2 (en) | 2020-04-30 | 2022-01-11 | Capital One Services, Llc | Accurate images in graphical user interfaces to enable data transfer |
US10915888B1 (en) | 2020-04-30 | 2021-02-09 | Capital One Services, Llc | Contactless card with multiple rotating security keys |
US10963865B1 (en) | 2020-05-12 | 2021-03-30 | Capital One Services, Llc | Augmented reality card activation experience |
US11063979B1 (en) | 2020-05-18 | 2021-07-13 | Capital One Services, Llc | Enabling communications between applications in a mobile operating system |
US11100511B1 (en) | 2020-05-18 | 2021-08-24 | Capital One Services, Llc | Application-based point of sale system in mobile operating systems |
CN111881162A (zh) * | 2020-06-16 | 2020-11-03 | 深圳酷派技术有限公司 | Nfc门禁卡的控制方法、装置、存储介质及终端 |
US11062098B1 (en) | 2020-08-11 | 2021-07-13 | Capital One Services, Llc | Augmented reality information display and interaction via NFC based authentication |
US11482312B2 (en) | 2020-10-30 | 2022-10-25 | Capital One Services, Llc | Secure verification of medical status using a contactless card |
US11165586B1 (en) | 2020-10-30 | 2021-11-02 | Capital One Services, Llc | Call center web-based authentication using a contactless card |
US11373169B2 (en) | 2020-11-03 | 2022-06-28 | Capital One Services, Llc | Web-based activation of contactless cards |
CN112560082B (zh) * | 2020-12-01 | 2023-09-08 | Oppo(重庆)智能科技有限公司 | 一种锁定终端设备的方法及终端设备 |
US11216799B1 (en) | 2021-01-04 | 2022-01-04 | Capital One Services, Llc | Secure generation of one-time passcodes using a contactless card |
US11682012B2 (en) | 2021-01-27 | 2023-06-20 | Capital One Services, Llc | Contactless delivery systems and methods |
US11792001B2 (en) | 2021-01-28 | 2023-10-17 | Capital One Services, Llc | Systems and methods for secure reprovisioning |
US11687930B2 (en) | 2021-01-28 | 2023-06-27 | Capital One Services, Llc | Systems and methods for authentication of access tokens |
US11562358B2 (en) | 2021-01-28 | 2023-01-24 | Capital One Services, Llc | Systems and methods for near field contactless card communication and cryptographic authentication |
US11438329B2 (en) | 2021-01-29 | 2022-09-06 | Capital One Services, Llc | Systems and methods for authenticated peer-to-peer data transfer using resource locators |
US11777933B2 (en) | 2021-02-03 | 2023-10-03 | Capital One Services, Llc | URL-based authentication for payment cards |
US11637826B2 (en) | 2021-02-24 | 2023-04-25 | Capital One Services, Llc | Establishing authentication persistence |
US11245438B1 (en) | 2021-03-26 | 2022-02-08 | Capital One Services, Llc | Network-enabled smart apparatus and systems and methods for activating and provisioning same |
US11961089B2 (en) | 2021-04-20 | 2024-04-16 | Capital One Services, Llc | On-demand applications to extend web services |
US11935035B2 (en) | 2021-04-20 | 2024-03-19 | Capital One Services, Llc | Techniques to utilize resource locators by a contactless card to perform a sequence of operations |
US11902442B2 (en) | 2021-04-22 | 2024-02-13 | Capital One Services, Llc | Secure management of accounts on display devices using a contactless card |
US11354555B1 (en) | 2021-05-04 | 2022-06-07 | Capital One Services, Llc | Methods, mediums, and systems for applying a display to a transaction card |
EP4095728A1 (en) * | 2021-05-26 | 2022-11-30 | Thales DIS France SA | Secure applet access protection |
US12041172B2 (en) | 2021-06-25 | 2024-07-16 | Capital One Services, Llc | Cryptographic authentication to control access to storage devices |
US12061682B2 (en) | 2021-07-19 | 2024-08-13 | Capital One Services, Llc | System and method to perform digital authentication using multiple channels of communication |
US12062258B2 (en) | 2021-09-16 | 2024-08-13 | Capital One Services, Llc | Use of a payment card to unlock a lock |
US12069173B2 (en) | 2021-12-15 | 2024-08-20 | Capital One Services, Llc | Key recovery based on contactless card authentication |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101202621A (zh) * | 2006-12-13 | 2008-06-18 | 联想(北京)有限公司 | 非接触设备间对数据进行安全验证的方法和系统 |
US20090247077A1 (en) * | 2008-03-27 | 2009-10-01 | Vladimir Sklovsky | Method and Apparatus for Automatic Near Field Communication Application Selection in an Electronic Device |
US20100162348A1 (en) * | 2008-12-24 | 2010-06-24 | Qualcomm Incorporated | Method and apparatus for providing network communication association information to applications and services |
US20120159149A1 (en) * | 2010-12-20 | 2012-06-21 | Philippe Martin | Methods, systems, and computer readable media for designating a security level for a communications link between wireless devices |
CN102819721A (zh) * | 2012-08-15 | 2012-12-12 | 腾讯科技(深圳)有限公司 | 基于nfc的信息交互方法和装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB0525635D0 (en) * | 2005-12-16 | 2006-01-25 | Innovision Res & Tech Plc | Chip card and method of data communication |
EP2043016A1 (en) | 2007-09-27 | 2009-04-01 | Nxp B.V. | Method, system, trusted service manager, service provider and memory element for managing access rights for trusted applications |
KR101630755B1 (ko) * | 2010-01-15 | 2016-06-15 | 삼성전자주식회사 | 모바일 디바이스 간 보안 통신 방법 및 장치 |
WO2011102825A1 (en) * | 2010-02-19 | 2011-08-25 | Thomson Licensing | System and method for publishing content on the internet |
KR101209812B1 (ko) * | 2011-02-23 | 2012-12-07 | 고려대학교 산학협력단 | 홈 네트워크 시스템에서의 클라이언트 접근 제어 방법 및 이를 위한 장치 |
EP2663110A1 (en) * | 2012-05-11 | 2013-11-13 | BlackBerry Limited | Near Field Communication Tag Data Management |
-
2013
- 2013-09-24 US US14/128,961 patent/US10194318B2/en active Active
- 2013-09-24 CN CN201380079091.6A patent/CN105493538B/zh active Active
- 2013-09-24 WO PCT/US2013/061411 patent/WO2015047224A1/en active Application Filing
- 2013-09-24 EP EP13894612.4A patent/EP3050335B1/en active Active
- 2013-09-24 BR BR112016003676-0A patent/BR112016003676B1/pt active IP Right Grant
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101202621A (zh) * | 2006-12-13 | 2008-06-18 | 联想(北京)有限公司 | 非接触设备间对数据进行安全验证的方法和系统 |
US20090247077A1 (en) * | 2008-03-27 | 2009-10-01 | Vladimir Sklovsky | Method and Apparatus for Automatic Near Field Communication Application Selection in an Electronic Device |
US20100162348A1 (en) * | 2008-12-24 | 2010-06-24 | Qualcomm Incorporated | Method and apparatus for providing network communication association information to applications and services |
US20120159149A1 (en) * | 2010-12-20 | 2012-06-21 | Philippe Martin | Methods, systems, and computer readable media for designating a security level for a communications link between wireless devices |
CN102819721A (zh) * | 2012-08-15 | 2012-12-12 | 腾讯科技(深圳)有限公司 | 基于nfc的信息交互方法和装置 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109478352A (zh) * | 2016-06-14 | 2019-03-15 | 多玛卡巴瑞士有限责任公司 | 用于在安装场所配置多个访问控制装置的方法和装置 |
CN109478352B (zh) * | 2016-06-14 | 2022-07-05 | 多玛卡巴瑞士有限责任公司 | 用于在安装场所配置多个访问控制装置的方法和装置 |
WO2019104989A1 (zh) * | 2017-11-30 | 2019-06-06 | 华为技术有限公司 | 终端和通信方法 |
CN109862553A (zh) * | 2017-11-30 | 2019-06-07 | 华为技术有限公司 | 终端和通信方法 |
CN115065966A (zh) * | 2017-11-30 | 2022-09-16 | 华为技术有限公司 | 终端和通信方法 |
US11487910B2 (en) | 2017-11-30 | 2022-11-01 | Huawei Technologies Co., Ltd. | Terminal and communication method |
CN115065966B (zh) * | 2017-11-30 | 2024-04-09 | 华为技术有限公司 | 终端和通信方法 |
CN112567708A (zh) * | 2018-07-19 | 2021-03-26 | 马士基集装箱工业公司 | 对冷藏控制系统的安全远程访问 |
CN114153564A (zh) * | 2021-12-07 | 2022-03-08 | 北京鲸鲮信息系统技术有限公司 | 多系统中近场通信单元访问方法及装置、电子设备、存储介质 |
CN114153564B (zh) * | 2021-12-07 | 2024-04-26 | 北京字节跳动网络技术有限公司 | 多系统中近场通信单元访问方法及装置、电子设备、存储介质 |
CN115633362A (zh) * | 2022-12-01 | 2023-01-20 | 北京紫光青藤微系统有限公司 | 基于安全元件的nfc功能控制方法及移动终端设备 |
CN115633362B (zh) * | 2022-12-01 | 2023-02-28 | 北京紫光青藤微系统有限公司 | 基于安全元件的nfc功能控制方法及移动终端设备 |
Also Published As
Publication number | Publication date |
---|---|
WO2015047224A1 (en) | 2015-04-02 |
EP3050335B1 (en) | 2019-12-04 |
BR112016003676A2 (zh) | 2017-08-01 |
EP3050335A4 (en) | 2017-05-31 |
BR112016003676B1 (pt) | 2022-10-18 |
EP3050335A1 (en) | 2016-08-03 |
CN105493538B (zh) | 2019-05-03 |
US10194318B2 (en) | 2019-01-29 |
US20150089586A1 (en) | 2015-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105493538A (zh) | 用于安全元件中心式nfc架构的nfc访问控制的系统和方法 | |
KR102341247B1 (ko) | 익스프레스 크리덴셜 트랜잭션 시스템 | |
CN110826043B (zh) | 一种数字身份申请系统及方法、身份认证系统及方法 | |
US9563794B2 (en) | Method for upgrading RFID readers in situ | |
CN104778794A (zh) | 移动支付装置和方法 | |
CN110741370A (zh) | 利用用户输入的生物识别认证 | |
EP2998900B1 (en) | System and method for secure authentication | |
US20110281558A1 (en) | Telecommunications chip card and mobile telephone device | |
CN103701605A (zh) | 一种数据认证方法及装置 | |
KR20100075896A (ko) | Nfc 시스템 내에서 애플리케이션 데이터를 관리하는 방법 및 장치 | |
EP4246402A1 (en) | Transaction method and device based on near-field communication (nfc) | |
CN110300083A (zh) | 一种获取身份信息的方法、终端及验证服务器 | |
US9307403B2 (en) | System and method for NFC peer-to-peer authentication and secure data transfer | |
US20210240807A1 (en) | Authentication method for mobile terminal and mobile terminal | |
JP6553810B2 (ja) | モバイル端末のための支払い認証方法及び装置並びにモバイル端末 | |
CN110941821A (zh) | 数据处理方法、装置及存储介质 | |
CN108475304A (zh) | 一种关联应用程序和生物特征的方法、装置以及移动终端 | |
US8328104B2 (en) | Storage device management systems and methods | |
US20180025344A1 (en) | Communicating authentication information between mobile devices | |
KR102490395B1 (ko) | 외부 전자 장치의 키를 공유하는 전자 장치 및 전자 장치의 동작 방법 | |
KR102650721B1 (ko) | 원격 결제를 처리하는 전자 장치 및 결제 방법 | |
CN117852565B (zh) | Nfc卡片生成方法、系统、装置、电子设备及服务器 | |
EP3041281A1 (en) | A method for accessing a shared wireless device using a client wireless communications device, and devices for the same . | |
KR101513435B1 (ko) | 키 입력 보호 방법과 이를 위한 키 입력 보호 장치 | |
Leinonen et al. | Implementing Open Authentication for Web Services with a Secure Memory Card |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |