Способ и карта с чипом для передачи информации

Настоящее изобретение относится к области карт с чипом и, более конкретно, к карте, оснащенной средствами передачи данных с использованием вспомогательных каналов передачи.

Карты с чипом имеют состояние, которое называется "конец срока эксплуатации", в котором теоретически более невозможно использовать карту. Карта находится в этом состоянии в результате сбоя или атаки. Карта блокируется и отказывает в любой операции, чтобы сохранить целостность конфиденциальных данных, которые она содержит, и убедиться, что они не похищены.

Тем не менее, было бы выгодно иметь возможность узнать первоначальную причину, вызвавшую переход карты в это состояние конца срока эксплуатации.

Когда карта блокируется, невозможно связаться с ней. Кроме того, причиной блокировки карты может быть атака, важно не поставить под угрозу конфиденциальные данные, потенциально содержащиеся на карте.

Изобретение направлено на решение вышеуказанных проблем посредством способа передачи данных картой с чипом в конце срока эксплуатации с использованием скрытых каналов связи, отличающихся от стандартных каналов связи карты.

Данные передаются с помощью модуляции двоичного сигнала в результате изменения физического параметра карты.

Таким образом, карта располагает средством передачи информации о состоянии с помощью строго одностороннего канала, который совершенно не уменьшает защищенность карты.

Изобретение относится к карте с чипом, которая включает в себя средства передачи данных, использующие вспомогательный канал передачи, определяемый фактом использования контролируемого изменения физической характеристики карты, детектируемой за пределами карты.

В соответствии с конкретным вариантом осуществления настоящего изобретения, она контролируется первой операционной системой, предназначенной для контроля карты в ходе нормального функционирования, и она включает в себя вторую операционную систему, предназначенную для контроля передачи данных с помощью вспомогательных каналов.

В соответствии с конкретным вариантом осуществления настоящего изобретения, карта включает в себя загрузочный модуль, позволяющий перевести контроль на вторую операционную систему, когда карта помечается как находящаяся в конце срока эксплуатации, и на первую систему, если нет.

В соответствии с конкретным вариантом осуществления настоящего изобретения, указанная вторая система включает в себя средства для передачи, через вспомогательный канал, данных, хранящихся в пространстве памяти, совместно используемом первой и второй системами.

В соответствии с частным вариантом осуществления настоящего изобретения, первая система включает в себя средства для, когда карта приходит к концу срока эксплуатации, копирования данных, подлежащих передаче из частного пространства памяти первой системы в пространство памяти, совместно используемое двумя системами.

В соответствии с частным вариантом осуществления настоящего изобретения, первая система дополнительно включает в себя средства шифрования копируемых данных, предназначенных для передачи.

В соответствии с частным вариантом осуществления настоящего изобретения, первая система дополнительно включает в себя средства для проверки целостности копируемых данных, подлежащих передаче.

В соответствии с частным вариантом осуществления настоящего изобретения, упомянутый вспомогательный канал использует кодирование на основе использования одной и той же инструкции, изменяя тактовую частоту выполнения, для изменения величины потребляемого картой тока, во время этого выполнения.

В соответствии с частным вариантом осуществления настоящего изобретения, упомянутый вспомогательный канал использует кодирование на основе использования инструкций криптографического сопроцессора, для изменения электромагнитных полей, испускаемых этим сопроцессором, позволяя обнаружение его использования.

Настоящее изобретение также относится к способу загрузки карты с чипом, который включает в себя:

- этап запуска загрузочного модуля при подаче напряжения на карту;

- этап тестирования для определения, не помечена ли карта как находящаяся в состоянии конца срока эксплуатации;

- этап перехода контроля к первой системе, если карта не отмечена как находящаяся в конце срока эксплуатации;

- этап перехода контроля ко второй системе, если карта отмечена как находящаяся в конце срока эксплуатации;

- этап передачи данных указанной второй системой с использованием вспомогательных каналов, определяемых фактом использования контролируемого изменения физической характеристики карты, обнаруживаемой за пределами карты.

В соответствии с частным вариантом осуществления настоящего изобретения, этап передачи данных указанной второй системой с использованием вспомогательных каналов регулярно повторяют до тех пор, пока карта запитана.

Характеристики изобретения, упомянутые выше, а также другие будут более понятны из нижеследующего описания примерного варианта осуществления; указанное описание приведено со ссылкой на приложенные чертежи, среди которых:

фиг. 1 иллюстрирует архитектуру карты с чипом в соответствии с предшествующим уровнем техники;

фиг. 2 иллюстрирует архитектуру карты с чипом в соответствии с примерным вариантом осуществления настоящего изобретения;

фиг. 3 иллюстрирует способ передачи в соответствии с вариантом осуществления настоящего изобретения.

Фиг. 1 иллюстрирует архитектуру карты с чипом 1.1. Карта содержит загрузочный модуль 1.2 (boot module по-английски). Этот модуль активируется автоматически, при подаче напряжения на карту. Этот модуль отвечает за проверку состояния карты при загрузке. Обычно существуют два возможных состояния для карты. Первое - состояние нормального функционирования карты. В этом состоянии загрузочный модуль передает контроль операционной системе 1.3, которая управляет картой. Эта операционная система 1.3 использует по меньшей мере одно пространство хранения данных 1.5. Она также управляет модулем 1.4 ввода-вывода, позволяющим обмен данными с окружением.

Карта также может быть во втором состоянии, называемом состоянием конца срока эксплуатации.

Когда загрузочный модуль распознает, что карта находится в этом состоянии конца срока эксплуатации, он не передает контроль операционной системе. Он прерывает работу карты.

Функциональная карта может решить перейти к концу срока эксплуатации по многим причинам. Это может быть обнаружение атаки или обнаружение неисправности. Процедура перехода к концу срока эксплуатации включает в себя несколько этапов. Это необходимо для защиты конфиденциальных данных на карте. Чтобы сделать это, все стираемые данные стираются. В зависимости от используемого оборудования, как правило, можно блокировать доступ к страницам памяти, блокируя диапазоны адресов. Как правило, все диапазоны адресов могут быть заблокированы. Входы и выходы карты также блокируются. Затем карта помечается как находящаяся в конце срока эксплуатации. Эта маркировка, как правило, осуществляется путем сохранения флага (flag по-английски) в энергонезависимой памяти. Этот флаг доступен загрузочному модулю. Именно через него загрузочный модуль узнает о состоянии карты.

Фиг. 2 иллюстрирует архитектуру карты в соответствии с примерным вариантом осуществления изобретения. Эта архитектура включает в себя элементы фиг. 1, помеченные с теми же самыми цифрами после 2. Она включает в себя вторую систему 2.6, имеющую доступ к пространству памяти 2.7, совместно используемому первой и второй системой. Вторая система также контролирует модуль 2.8 ввода-вывода. Эта вторая система предназначена для передачи данных, используя вспомогательный канал связи карты, управляемый модулем ввода 2.8 ввода-вывода. В настоящем описании вспомогательный канал передачи определен как канал передачи данных, использующий контролируемое изменение физической характеристики карты, это изменение детектируемо и измеримо по интенсивности за пределами карты. Эта физическая характеристика, также называемая ниже аппаратной характеристикой, может быть энергией или электрическим током, потребляемым самой картой, энергия переносимая электромагнитными или звуковыми волнами, испускаемыми картой или тепловая энергия, выделяемая картой, или любая форма энергии, излучаемая картой.

Информация, передаваемая по этому вспомогательному каналу передачи, кодируется в виде контролируемого изменения, детектируемого и измеримого за пределами карты, одной из этих физических характеристик.

Когда карта переходит к концу срока эксплуатации, информация копируется из пространства 2.5 хранения, принадлежащего первой системе 2.3, в совместно используемое пространство 2.7 хранения. Эта информация, как правило, информация о состоянии, связанном с причиной перехода к концу срока эксплуатации. Речь может идти о подозреваемом модуле для детектирования неисправности. Также речь может идти о типе распознанной атаки, если причиной перехода к концу срока эксплуатации является обнаружение атаки. Также речь может идти о любом типе информации, которой желают располагать, раз карта в конце срока эксплуатации. Эта копия информации так же, как ее возможное шифрование, обычно является единственной дополнительной операцией, связанной с изобретением, участвующей в процессе перехода карты к концу срока службы.

Фиг. 3 показывает способ загрузки карты в соответствии с вариантом осуществления изобретения.

На первом этапе 3.1 карта запускается, как правило, после подачи напряжения на последнюю. Контроль автоматически передается загрузочному модулю. Он проверяет, на этапе 3.2, не находится ли карта в конце срока эксплуатации. Этот тест обычно осуществляется путем считывания флага, предусмотренного для этой цели. Этот флаг преимущественно находится в совместно используемой области памяти карты.

Если карта не в конце срока эксплуатации, контроль переходит к первой системе карты на этапе 3.3. В этом случае карта функционирует совершенно нормально. Она использует обычную систему ввода-вывода для связи с внешним миром.

Напротив, если карта в конце срока эксплуатации, вместо того чтобы останавливаться, загрузочный модуль передает контроль второй системе на стадии 3.4. Цель этой второй системы заключается в передаче информации состояния, хранящейся в совместно используемом объеме памяти наружу. Эта передача осуществляется в виде передачи данных с помощью вспомогательного канала передачи.

Преимущественно передача данных продолжается регулярно, до тех пор, пока карта остается запитанной.

В соответствии с первым вариантом осуществления изобретения, аппаратная характеристика, используемая для вспомогательного канала, является потреблением тока картой. В этом варианте осуществления можно программно изменить тактовую частоту функционирования процессора карты. В таком случае можно использовать выбранную инструкцию процессора, которую вызывают при различных тактовых частотах для кодирования двоичной информации. В соответствии с вариантом осуществления, используется инструкция «NOP». Эта инструкция не вызывает никаких вычислений. Тем не менее, она вызывает потребление тока, зависящее от выбранной тактовой частоты. Следует отметить, что время выполнения инструкций в равной степени зависит как от выбранной частоты, так и от длительности кодируемого символа. Преимущественно состояние позволяет кодировать промежуточный символ, вводимый между двумя двоичными символами. Это позволяет легко различать два последовательных символов одного и того же значения.

Согласно другому варианту используемой характеристикой оборудования является функционирование криптографического сопроцессора. Символы кодируются в виде инструкций, которые используют или нет криптографический сопроцессор. Запись электромагнитных излучений, испускаемых в непосредственной близости от этого сопроцессора, позволяют извлечь сигнал, где отображается информация использования сопроцессора.

Кроме того, можно использовать температуру карты, так как некоторые инструкции, как известно, вызывают больший нагрев процессора, другие - меньший. Можно также использовать звук или электромагнитные поля.

Принцип в том, что информация кодируется в виде детектируемого и управляемого изменения аппаратной характеристики карты.

Можно было бы использовать физические интерфейсы коммуникации карты, но это потребовало бы реализации полноценного коммуникационного драйвера внутри второй системы. Или адаптированное решение может быть преимущественно реализовано с помощью всего нескольких строк кода. Достаточно цикла, считывающего передаваемые данные и их кодирующего в виде последовательности инструкций, позволяя изменять выбранную аппаратную характеристику. Объем памяти на карте с чипом ограничен, эта умеренность выгодна.

Также следует отметить, что конец срока эксплуатации может быть вызван отказом карты: чем более ограничены ресурсы, используемые для реализации второй системы, тем больше шансов, что она будет работать.

Значение этого утверждения заключается в использовании этого протокола связи с использованием всех измеримых изменений окружения картой. Связанным с использованием протокола связи является тот факт, что код, разработанный для этого случая, является компактным и выполняется вне какого-либо кода, используемого в процессе нормального функционирования карты. Это делает эту реализацию безопасной с точки зрения безопасности, поскольку она использует отдельный код. Не нужно изменять никакую из уже присутствующих защит, и последние должны работать как обычно для отражения какой-либо внешней атаки.

Канал связи, созданный таким образом, является строго однонаправленным. Это особенно важно с точки зрения безопасности. У злоумышленника нет возможности использовать этот канал для записи данных в карту или для попытки вызова нежелательного поведения последней.

Только заранее выбранные и перемещенные в совместно используемый объем памяти данные могут быть переданы. Вторая система не имеет доступа к пространству памяти, управляемому первой системой, потенциально содержащей конфиденциальные данные.

Настоящее изобретение в основном используется для диагностики, позволяя понять, какие проблемы вызвали переход карты к концу срока эксплуатации. В этом контексте и для примера использования вполне возможно шифровать данные для отправки, во время перехода карты к окончанию срока эксплуатации. Механизм шифрования и используемый ключ следует разумно выбрать, чтобы поддержать хороший уровень безопасности. Преимущественно используется механизм проверки целостности данных, как правило, контрольная сумма CRC (Cyclic Redundancy Check по-английски). Когда карта находится в состоянии "конца срока эксплуатации", и когда она запитана, она просто посылает посредством использования механизма настоящего изобретения уже зашифрованные данные, хранящиеся в энергонезависимой памяти.

Кроме защиты во время перехода к концу срока эксплуатации карты этот механизм также может быть использован как часть протокола связи и/или способа безопасности.

Например, при проверке подлинности карты последняя может отправить информацию, необходимую для правильного выполнения проверки подлинности. В таком случае атакующему становится сложнее увидеть и понять информацию, передаваемую таким образом. Учитывая их функции, терминалы могут иметь средства для отслеживания использования карты. Если она потребляет слишком много в данный момент, это может рассматриваться как атака и может блокировать карту. Эти дефекты особенно обнаруживаются, когда используются поддельные карты. Таким образом, в данном протоколе между терминалом и карточкой высокое потребление для отправки сообщения в конкретный момент времени может быть использовано в рамках установления подлинности, когда такое потребление обычно блокирует карту. Тут идет речь о способе, предоставляющем лучшую защиту карте и терминалу, который связывается с ней.

В этом варианте осуществления вспомогательный канал передачи данных используется в первой системе во время нормального функционирования карты. Таким образом, это функционирование осуществляется параллельно с нормальным функционированием и использованием обычных каналов передачи карты с чипом.

В соответствии с использованием вспомогательного канала, нормальная работа и передача данных должны быть исключающими в конкретный момент времени, чтобы избежать, что помехи выбранной аппаратной характеристики, вызванные нормальным функционированием карты, нарушали передачу данных через вспомогательный канал.

Изобретение описано в области карты с чипом, также относится ко всем устройствам обработки информации с использованием чипов, типа карт с чипом. К ним относятся, например, USB-устройства, содержащие такую микросхему или еще телефоны, использующие SIM-карту (Subscriber Information Module по-английски).

1. Карта с чипом, включающая в себя первую операционную систему, предназначенную для контроля карты в ходе нормального функционирования, и вторую операционную систему, предназначенную для контроля передачи данных с помощью как минимум одного вспомогательного канала, отличающаяся тем, что она дополнительно включает в себя:

- загрузочный модуль, позволяющий перевести контроль на вторую операционную систему, когда карта помечается как находящаяся в состоянии «конца срока эксплуатации», и на первую систему, если нет,

- указанный вспомогательный канал передачи, использующий измеримое изменение окружения указанной карты, для передачи данных, относящихся к информации указанного состояния "конца срока эксплуатации".

2. Карта с чипом по п. 1, отличающаяся тем, что указанная вторая система включает в себя средства для передачи через вспомогательный канал указанных данных состояния "конца срока эксплуатации", хранящихся в пространстве памяти, совместно используемом первой и второй операционной системами.

3. Карта с чипом по п. 2, отличающаяся тем, что первая система включает в себя средства для, когда карта переходит в состояние "конца срока эксплуатации", копирования указанных данных состояния, подлежащих передаче из частного пространства памяти первой операционной системы в пространство памяти, совместно используемое двумя системами.

4. Карта с чипом по п. 3, отличающаяся тем, что первая система дополнительно включает в себя средства шифрования упомянутых копируемых данных состояния, предназначенных для передачи.

5. Карта с чипом по п. 3 или 4, отличающаяся тем, что первая система дополнительно включает в себя средства для проверки целостности упомянутых копируемых данных состояния, подлежащих передаче.

6. Карта с чипом по любому из пп. 1-4, отличающаяся тем, что указанный вспомогательный канал использует ток, потребляемый указанной картой, для кодирования указанной информации, указанного состояния "конца срока эксплуатации" в двоичные данные.

7. Карта с чипом по п. 6, отличающаяся тем, что она включает в себя средства для кодирования указанной информации, указанного состояния "конца срока эксплуатации" в двоичные данные, изменяя тактовую частоту выполнения одной и той же инструкции, что таким образом изменяет величину тока, потребляемого указанной картой во время этого выполнения.

8. Карта с чипом по любому из пп. 1-4, отличающаяся тем, что указанный вспомогательный канал использует электромагнитные поля, испускаемые указанной картой, для кодирования указанной информации, указанного состояния "конца срока эксплуатации" в двоичные данные.

9. Карта с чипом по п. 8, отличающаяся тем, что она включает в себя средства для кодирования указанной информации указанного состояния "конца срока эксплуатации" в двоичные данные, используя инструкции криптографического сопроцессора, который содержит указанная карта, что изменяет электромагнитные поля, испускаемые этим сопроцессором.

10. Способ загрузки карты с чипом, отличающийся тем, что он включает в себя:

- этап тестирования для определения, не помечена ли карта как находящаяся в состоянии "конца срока эксплуатации";

- этап перехода контроля к первой операционной системе, предназначенной для контроля карты при ее нормальном функционировании, если карта не отмечена как находящаяся в состоянии "конца срока эксплуатации" или если карта отмечена как находящаяся в состоянии "конца срока эксплуатации";

- этап перехода контроля ко второй системе, предназначенной для контроля передачи данных, относящихся к информации указанного состояния "конца срока эксплуатации" с помощью как минимум одного вспомогательного канала; указанный вспомогательный канал передачи использует измеряемое изменение окружения указанной карты для передачи данных, относящихся к информации указанного состояния "конца срока эксплуатации".

11. Способ по п. 10, отличающийся тем, что этап перехода контроля к указанной второй операционной системе регулярно повторяют до тех пор, пока карта запитана.