TW201433996A

TW201433996A - 在近場通訊（ｎｆｃ）交易中之資料保護技術

Info

Publication number: TW201433996A
Application number: TW103103162A
Authority: TW
Inventors: Miguel Ballesteros
Original assignee: Intel Corp
Priority date: 2013-02-22
Filing date: 2014-01-28
Publication date: 2014-09-01
Also published as: EP2959423A1; EP2959423A4; TWI522940B; CN104937606A; CN104937606B; WO2014130294A1; US20140244513A1

Abstract

此處描述者為用以保護於近場通訊(NFC)通訊或交易期間運用的敏感資料之架構、平台及方法，及更明確言之，描述經組配以於近場通訊交易期間控制敏感資料的處理之一單晶片系統(SOC)微控制器。該等敏感資料可包括但非僅限於個人資訊、財務資訊、或企業識別號碼。

Description

在近場通訊(NFC)交易中之資料保護技術

本發明係有關於在近場通訊(NFC)交易中之資料保護技術。

發明背景

隨著近場通訊(NFC)收發器在行動裝置間變成普及，讓生活變得更方便的應用程式問市。更明確言之，行動商業允許使用者運用近場通訊進行交易。舉例言之，一銷售點(POS)能夠讀取一NFC作動裝置諸如信用卡，許可消費者與銷售方完成交易。此種行動商業正在擴張當中，許可其它NFC讀取器裝置諸如膝上型電腦、平板電腦、行動電話等讀取NFC作動目標裝置諸如晶片卡、信用卡及行動電話以完成交易。

典型的NFC作動讀取器架構容易受到惡意程式及惡意軟體的攻擊，惡意程式可能竊取敏感資料/資訊及將此等資料/資訊用於詐欺。在該NFC作動讀取器裝置上跑的CPU可能遭到惡意程式及惡意軟體的攻擊。被攻擊的CPU可能包含該敏感資料/資訊。

NFC架構可能仰賴特定模組元件/裝置，諸如替換式SOC、NFC控制器、安全元件組件等。此外，在一NFC架構上跑的軟體可能仰賴在此等NFC架構內部的特定協定、流程、及通訊。因此，提出保護敏感NFC目標資料/資訊且與NFC作動架構可相容的解決方案構成一項挑戰。

依據本發明之一實施例，係特地提出一種單晶片系統(SOC)，其包含：經組配以檢測及處理一安全交易的一中央處理單元(CPU)，其中該安全交易包括敏感資料；與該CPU耦接的一系統控制器單元(SCU)，其中該SCU係經組配以當該敏感資料係由該CPU所接收時控制該敏感資料的加密，並控制已加密敏感資料的解密；及耦接至該SCU的一安全引擎，其中該安全引擎係經組配以具現該敏感資料之加密或解密。

100‧‧‧景況

102、102-2~6‧‧‧可攜式裝置

104‧‧‧信用卡

200‧‧‧系統

202‧‧‧近場通訊(NFC)天線

204‧‧‧NFC控制器

206‧‧‧安全元件

208‧‧‧單晶片系統(SOC)

210‧‧‧積體電路間(I2C)控制器

212‧‧‧系統控制器單元(SCU)

214‧‧‧安全引擎

216‧‧‧中央處理單元(CPU)

300‧‧‧計算裝置

302‧‧‧處理單元

304‧‧‧系統記憶體

306‧‧‧作業系統

308‧‧‧程式模組

310‧‧‧程式資料

312‧‧‧模組

314‧‧‧虛線

316‧‧‧活動式儲存裝置

318‧‧‧非活動式儲存裝置

320、322‧‧‧輸入裝置

324‧‧‧輸出裝置

326‧‧‧通訊連結

328‧‧‧無線連結

400‧‧‧處理流程

402-414‧‧‧方塊

詳細說明部分係參考附圖作說明。於該等圖式中，一元件符號的最左位數表示該元件符號首次出現的該圖式。遍及該等圖式使用相同的元件符號以指示相似的特性件及組件。

圖1為示例說明裝置的近場通訊(NFC)配置對於NFC相關功能或交易期間具現資料保護的景況之一實施例。

圖2為於近場通訊(NFC)交易期間具現資料保護的一可攜式裝置之系統之一實施例。

圖3為於近場通訊(NFC)交易期間用具現資料保護的一系統實施例之略圖。

圖4顯示一處理流程實施例，示例說明用於於近場通訊(NFC)交易期間具現資料保護之一方法實施例。

較佳實施例之詳細說明

此處描述者為於近場通訊(NFC)通訊或交易期間利用以保護敏感資料的架構、平台及方法，及更明確言之，描述經組配以於近場通訊交易期間控制敏感資料的處理之單晶片系統(SOC)微控制器。敏感資料可包括但非僅限於個人資訊、財務資訊、或企業識別號碼。

於一具現中，一可攜式裝置藉從另一可攜式裝置或近場通訊作動物體諸如信用卡而通訊或讀取敏感資料以進入近場通訊交易。敏感資料可能暴露在該可攜式裝置內的主機軟體(亦即在中央處理單元上跑的軟體)可能的惡意程式。為了達成此項目的，SOC微控制器係安裝於該可攜式裝置以控制於近場通訊交易期間敏感資料的處理。

至於此處本具現之一實施例，SOC微控制器包括一中央處理單元(CPU)、一資料介面諸如積體電路間(I2C)控制器或串列周邊介面匯流排(SPI)控制器(或類似的控制器)、或耦接該CPU至該資料介面的一系統控制器單元(SCU)。此外，該SOC微控制器包括一安全引擎用於該SOC微控制器內的敏感資料的內部加密及解密。舉例言之，該安全引擎加密或解密接收自一目標裝置的敏感資料。

至於此處本具現之一實施例，CPU係經組配以處理接收自該SCU的加密敏感資料。於本實施例中，SCU係經組配作為該CPU於該近場通訊交易期間處理敏感資料的「代理快取伺服器」。舉例言之，SCU可從信用卡接收敏感資料，替代將敏感資料發送至CPU或發送至主機軟體，SCU安排敏感資料的路徑至安全引擎以供加密。於本實施例中，由SCU通訊至CPU供利用的加密敏感資料受保護免於可能的惡意程式或可疑的應用程式存取CPU，原因在於該敏感資料已經加密。

圖1為景況100之一實施例示例說明可攜式裝置的近場通訊配置對於近場通訊相關功能或交易期間具現資料保護。景況100可包括於近場通訊耦接配置中的可攜式裝置102及信用卡104。

至於此處本具現之一實施例，可攜式裝置102之實施例可包括但非僅限於超筆電、平板電腦、小筆電、筆記型電腦、膝上型電腦、行動電路、小區式電話、智慧型手機、個人數位助理器、多媒體回放裝置、數位音樂播放器、數位視頻播放器、導航裝置、數位相機等。於本實施例中，可攜式裝置102之實施例可包括用於近場耦接功能的近場通訊天線(圖中未顯示)，諸如近場通訊、無線功率傳輸(WPT)、歐陸萬士達卡及威士卡(EMV)交易等。

至於此處本具現之一實施例，可攜式裝置102-2及/或102-4可與信用卡104進入EMV交易。於本實施例中，藉將信用卡104定位於距其個別NFC天線某個距離，可攜式裝置102-2及/或102-4與信用卡104建立近場耦接。在此某個距離，於NFC通訊的交互感應原理適用於信用卡104與可攜式裝置102-2及/或102-4間敏感資料的通訊。同理，當利用可攜式裝置102-6以通訊敏感資料給可攜式裝置102-2及/或102-4時也適用相同原理。

資料可包括敏感資料，諸如需要額外保護避免惡意攻擊的個人、財務、或企業資訊。於本實施例中，可攜式裝置102係經組配以檢測哪些資料為敏感資料，及哪些資料為否。針對敏感資料，可攜式裝置102係經組配以在敏感資料明碼(亦即未經加密)暴露於一或多個處理器或CPU(圖中未顯示)或可攜式裝置102中的主機軟體之前隔離敏感資料的處理。藉此方式，於近場通訊交易期間利用的敏感資料避開可能從可攜式裝置102竊取敏感資料的惡意程式。

可攜式裝置102可包括耦接至其它裝置組件(圖中未顯示)的一SOC微控制器(圖中未顯示)以具現於近場通訊交易期間的資料保護。於本實施例中，該SOC微控制器係經組配以於近場通訊交易期間控制於可攜式裝置102中敏感資料的處理。換言之，SOC微控制器的此種組配允許SOC微控制器作為敏感資料的處理之一主控制器。

圖2示例說明於近場通訊交易或通訊期間，具現資料保護的可攜式裝置102之系統200之一實施例。如圖所示，系統200包括一NFC天線202、一NFC控制器204、一安全元件206及一SOC 208。此外，SOC 208可包括一積體電路間(I2C)控制器210(須瞭解可使用其它控制器，諸如串列周邊介面(SPI)匯流排控制器)、一系統控制器單元(SCU)212、一安全引擎214、及一CPU 216。

至於此處本具現之一實施例，該NFC天線202可包括一線圈天線，可從印刷電路板(PCB)、可撓性印刷電路(FPC)、金屬導線做出，或透過雷射導向結構化(LDS)方法形成。於本實施例中，NFC天線202可經組配以在一共振頻率操作(例如13.56MHz以具現NFC及/或WPT操作)，及與使用另一頻率用於無線通訊(例如5GHz用於無線保真(Wi-Fi)信號)的另一收發器天線獨立無關。於一具現中，NFC天線202發射或讀取來自信用卡104的敏感資料。於本具現中，該敏感資料可透過NFC控制器204通訊給SOC 208。

至於此處本具現之一實施例，NFC控制器204係組配作為SOC 208的一路由器。舉例言之，來自SOC 208的資料可路由自NFC天線202或路由至安全元件206。於本實施例中，SOC 208及更特別SCU 212可決定該敏感資料是否將路由自NFC天線202或路由至安全元件206。於一景況中於該處SCU 212決定該敏感資料係由外部組件或計算裝置諸如安全元件206處理，則該敏感資料將藉NFC控制器204路由至安全元件206。

至於此處本具現之一實施例，安全元件206乃針對欲處理的敏感資料之安全的隔離的執行環境。舉例言之，安全元件206乃SOC 208外部的組件或計算裝置。換言之，安全元件206係經組配以處理敏感資料而與SOC 208獨立無關；但處理敏感資料的請求係由SOC 208及特別SCU 212產生。當敏感資料的處理時，安全元件206可透過NFC控制器204供給已處理的敏感資料返回SOC 208。於一具現中，安全元件206為軟體/硬體防偽，使得敏感資料立傳送至安全伺服器係透過一安全通道(圖中未顯示)具現。

I2C控制器210係經組配作為SCU 212與在SOC 208外部的NFC控制器204間之資料介面。於本實施例中，I2C控制器210係由SCU 212直接控制。換言之，CPU 216不會直接存取I2C控制器210。於一具現中，該I2C控制器210乃雙導線雙向串列匯流排，其提供SOC 208與NFC控制器204間敏感資料交換的一簡單有效方法。於本具現中，I2C控制器210係經組配以作為SOC 208中之敏感資料的輸入及輸出。雖然圖2之實施例利用本實施例的I2C控制器210，但其它型別的資料介面可用以連結SCU 212至SOC 208外部組件。

SCU 212可經組配作為CPU 216與SOC 208外部的組件諸如NFC控制器204、安全元件206、及NFC天線202間敏感資料通訊的閘道器。舉例言之，SCU 212可經組配以作為CPU 216的代理快取控制器而具現於近場通訊交易期間敏感資料的保護。於本實施例中，SCU 212係經組配以決定哪些資料為敏感資料，及哪些資料為否。

舉例言之，當SCU 212決定特定資料(例如信用卡帳號)為敏感時，則在發送此資料給CPU 216之前，SCU 212指示此資料的加密。於本實施例中，所決定的敏感資料不會於CPU 216直接暴露於可能的資料風險(例如惡意程式)，原因在於該敏感資料已加密之故。

當CPU 216發送加密敏感資料給安全元件206 時，該SCU 212係經組配以在SCU 212發送敏感資料給安全元件206以供進一步處理之前，控制加密敏感資料的解密。換言之，SCU 212係經組配以維持由CPU 216接收的敏感資料之加密。但SCU 212係經組配以維持資料於I2C控制器210介面為明碼(亦即未加密資料)，於該處此種明碼資料係發送給安全元件206。

於另一具現中，SCU 212不發送敏感資料給主機或CPU 216，反而SCU 212轉向或直接地安排路徑該敏感資料至安全元件206。於本具現中，資料加密並非必要，原因在於主機或CPU 216將不接收敏感資料。

於前述具現中，安全元件206可接收該資料為明文(亦即未加密資料)。但於SCU 212發送敏感資料給CPU 216之情況下，在CPU 216上跑的既有應用軟體可具現的變化極少或無。將此點與SCU 212直接路由敏感資料至安全元件206成對比，在CPU 216及安全元件206上跑的既有應用軟體須經調整使得敏感資料受保護避免惡意程式存取CPU 216。

安全引擎214可耦接至SOC 208內部的SCU 212。於本具現中，安全引擎214係經組配以加密或解密敏感資料。舉例言之，當CPU 216發送加密敏感資料給安全元件206時，SCU 212接收加密敏感資料及許可安全引擎214在前傳給安全元件206之前解密此加密敏感資料。於另一個實施例中，SCU 212控制由CPU 216接收的敏感資料之加密，係經由在前傳該資料至CPU 216處理之前，首先路由該敏感資料至安全引擎214進行加密。

至於此處本具現之一實施例，CPU 216可主持處理敏感資料進行近場通訊交易的一NFC堆疊及應用程式。舉例言之，CPU 216係經組配以處理加密敏感資料，讓惡意程式無法解譯該資料。敏感資料的實際處理可在安全元件206隔離具現。

圖3為可用以具現多個具體實施例之系統實施例。但不易瞭解此處揭示技術可在其它計算裝置、系統及環境中具現。圖3顯示的計算裝置300係為計算裝置之一個實施例，而非意圖提示為有關電腦及網路架構的使用及功能範圍的任何限制。

於至少一個具現中，計算裝置300典型地包括至少一個處理單元302及系統記憶體304。取決於計算裝置的確切組態及型別，系統記憶體304可為依電性(諸如RAM)，非依電性(諸如ROM，快閃記憶體等)或其若干組合。系統記憶體304可包括一作業系統306，一或多個程式模組308，其具現長延遲回波演算法，且可包括程式資料310。計算裝置300的基本具現係以虛線314畫界。

程式模組308可包括一模組312，經組配以具現前述一分接頭連結及同步化方案。舉例言之，模組312可進行計算裝置300及其變化法中之一或多者，例如計算裝置300作用如前文就裝置102所述。

計算裝置300可具有額外特性件或功能性。舉例言之，計算裝置300也可包括額外資料儲存裝置，諸如活動式儲存裝置316及非活動式儲存裝置318。於某些具現中，活動式儲存裝置316及非活動式儲存裝置318乃電腦可存取媒體之一實施例，該媒體用以儲存可由處理單元302執行的指令以從事前述各項功能。一般而言，就圖式描述的任何功能可使用軟體、硬體(例如固定邏輯電路)或此等具現的組合具現。程式碼可儲存於一或多個電腦可存取媒體或其它電腦可讀取儲存媒體。如此，此處描述的方法及組件可由電腦程式產品具現。如前述，電腦可存取媒體包括依電性及非依電性活動式及非活動式媒體，具現於用以儲存資訊的任何方法或技術，諸如電腦可讀取指令、資料結構、程式模組、或其它資料。「電腦可存取媒體」及「多個電腦可存取媒體」等詞係指非過渡儲存裝置及包括但非僅限於RAM、ROM、EEPROM、快閃記憶體或其它記憶體技術、CD-ROM、數位影音碟(DVD)或其它光學儲存裝置、磁匣、磁帶、磁碟儲存裝置或其它磁性儲存裝置，或任何其它非過渡媒體其可用以儲存資訊供由一計算裝置例如計算裝置300及無線行動裝置102存取。任何此等電腦可存取媒體可為計算裝置300的一部分。

於一個具現中，屬於電腦可存取媒體的該活動式儲存裝置316具有一集合的指令330儲存於其上。當藉處理單元302執行時，該集合指令330使得處理單元302執行前述操作、工作、功能及/或方法，含方法300及其任何變化法。

計算裝置300也可包括一或多個輸入裝置320，諸如鍵盤、滑鼠、筆、語音輸入裝置、觸摸輸入裝置等。計算裝置300可額外地包括一或多個輸出裝置322，諸如顯示器、揚聲器、列印器等。

計算裝置300也可包括一或多個通訊連結324，其許可該計算裝置300根據近場通訊(NFC)、無線保真(Wi-Fi)、藍牙、射頻(RF)、紅外線、或其組合，透過無線連結328而與一或多個其它無線裝置無線通訊。

須瞭解示例說明的計算裝置300為適當裝置的一個實施例，而非意圖提示對所描述的多個實施例之使用或功能範圍的任何限制。

除非上下文另行指示，否則如此處使用，「通用資源識別符」一詞包括任何識別符，含GUID、序數等。

於前文具體實施例之描述中，為了用於解釋，陳述特定數目、材料組態、及其它細節以更明確地解釋本案所請本發明。但熟諳技藝人士顯然易知本案所請本發明可使用此處描述以外的不同細節實施。於其它情況下，眾所周知的特徵經刪除或簡化以澄清具體實施例之描述。

發明人意圖所描述的具現為主要實施例。發明人並非意圖此等具現限制隨附之申請專利範圍各項之範圍。反而，發明人預期本案所請本發明也可結合其它目前或未來技術以其它方式實施與具現。

此外，「實施例」一詞用於此處表示用作為實施例、案例、或示例說明。此處描述為「實施例」的任何面向或設計並非必要解譯為較佳於或優於其它面向或設計。反而，實施例一詞的使用係意圖以具現方式呈現構思及技術。例如，如此處描述的脈絡指出「技術」一詞可指一或多個裝置、設備、系統、方法、製造物件及/或電腦可讀取指令。

如本案中使用，「或」一詞意圖表示包含「或」而非互斥「或」。換言之，除非另行載明或從上下文顯然易知，否則「X採用A或B」意圖表示自然包含置換中之任一者。換言之，若X採用A；X採用B；或X採用A及B兩者，則在前述任一情況下滿足「X採用A或B」。此外，除非另行載明或從上下文顯然易知係指單數形，否則於本案中及隨附之申請專利範圍各項中使用的冠詞「一a」及「一an」通常須解譯為「一或多個」。

此等處理方法係以邏輯流程圖示例說明為方塊的一集合，其表示可單獨於機械或硬體、軟體及/或韌體的組合中具現的一串列操作。於軟體/韌體的脈絡中，方塊表示儲存於一或多個電腦可讀取儲存媒體的指令，該等指令當由一或多個處理器執行時可從事所引述的操作。

注意該等處理方法之描述順序絕非解譯為限制性，任何數目之所描述的處理方法可以任何順序組合以具現該等處理方法或其它方法。此外，不背離此處描述之主旨的精髓及範圍，可從該等處理方法中刪除個別方塊。

「電腦可讀取媒體」一詞包括電腦儲存媒體。於一個實施例中，電腦可讀取媒體為非過渡。例如，電腦儲存媒體可包括但非僅限於磁性儲存裝置(例如硬碟、軟碟、及磁條)、光碟(例如光碟(CD)及數位影音碟(DVD))、晶片卡、快閃記憶體裝置(例如大拇哥、隨身碟、鑰碟、及SD卡)、及依電性及非依電性記憶體(例如隨機存取記憶體(RAM)、唯讀記憶體(ROM))。

除非上下文另行明白指示否則此處使用的「邏輯」一詞包括硬體、軟體、韌體、電路、邏輯電路、積體電路、適用以從事針對該邏輯描述的功能之其它電子組件及/或其組合。

圖4顯示處理流程400之一實施例，示例說明於近場通訊交易期間敏感資料保護方法之一實施例。其中該方法之描述順序並非意圖解譯為限制性，及任何數目所描述處理方塊皆可以任何順序組合以具現該方法或替代方法。此外，不背離此處描述之主旨的精髓及範圍，可從該等處理方法中刪除個別方塊。再者，不背離本發明之範圍，該方法可於任何適當硬體、軟體、韌體或其組合中具現。

於方塊402，啟動一安全交易應用程式。舉例言之，一單晶片系統(SOC)(例如SOC 208)可包括一CPU(例如CPU 216)，其係經組配以於近場通訊交易期間主持一NFC堆疊及資料的應用程式處理。於本實施例中，該資料可包括接收自一目標裝置諸如信用卡或智慧型手機的敏感資料。於一具現中，該CPU 216可啟動該安全交易應用程式。舉例言之，該安全交易應用程式包含從一目標裝置諸如信用卡或智慧型手機接收敏感資料。

於方塊404，從事決定SCU是否發送敏感資料給CPU。例如，SCU 212係經組配以發送敏感資料給CPU 216 或給SOC 208外部的一組件，諸如安全元件(例如安全元件206)。若該SCU 212係發送敏感資料給CPU 216，則於「是」分支之後，於方塊406，SCU 212控制該敏感資料的加密。另外，若SCU 212發送或直接路由該敏感資料至SOC 208外部的一組件諸如安全元件206，則於「否」分支之後，於方塊408，SCU 212許可未加密敏感資料前傳至安全元件206用於進一步處理。

於前述實施例中，SCU 212係經組配以過濾敏感資料的處理而不影響或干擾不要求藉安全元件206進一步處理的使用或其它資料，諸如讀取NFC標籤或點對點交易。

於方塊410，敏感資料的處理係藉安全元件進行。

於方塊412，進行加密敏感資料的發送。舉例言之，若SCU 212發送敏感資料給CPU 216，則SCU 212係經組配以在藉SCU 212前傳該資料給CPU 216之前加密全部敏感資料。加密可藉如前述安全引擎進行。現在加密敏感資料被保護免於任何惡意軟體或惡意程式存取CPU。

於方塊414，進行該CPU發送給安全元件的敏感資料的解密。舉例言之，當CPU 216發送加密敏感資料給安全元件206用於進一步處理時，SCU 212在前傳給安全元件206之前，首先控制加密敏感資料的解密。換言之，SCU 212允許安全引擎214執行加密敏感資料的解密，因此呈明文的資料通過I2C控制器210發送給安全元件206。

已經就特定實施例之脈絡描述依據本發明之實現。此等實施例意圖為示例說明而非限制性。許多變化、修改、加添及改良為可能。據此，對此處以單一案例描述的組件可提供多個案例。各個組件、操作及資料儲存間之邊界略為任意，於特定示例說明組態之脈絡中示例說明特定操作。涵蓋其它功能配置及可落入於隨後申請專利範圍各項之範圍內。最後，以多個組態呈現為分開組件的結構及功能可具現為一組合結構或組件。此等及其它變化、修改、加添及改良可落入於隨後申請專利範圍中界定的本發明之範圍內。