一种可编程智能卡设备(10),带有文件系统(22、24)和使设备上文件系统与至少一个设备外文件和/或应用接口的操作软件。还包括脚本引擎(32),其可运行一个或多个与特定形式的应用相关的应用协议数据单元(APDU)以修改所述文件系统结构和/或内容,或者用于访问所述文件系统或者与之相关的任何安全条件的命令。所述可编程智能卡设备(10)具有比较器装置(34),其可由所述脚本引擎(32)运行的安全APDU配置,从而所述比较器装置(34)用于将一个或多个参考命令与实现交易所运行的命令进行比较,并且根据所述比较器装置(34)进行的所述比较的结果,限制或者防止对这些数据、文件系统、命令或者安全条件的进一步访问或者修改。因而,由于比较器(34)为每个要进行的不同类交易进行配置,所所以智能卡设备可以在智能卡设备自身可用的存储器和处理能力的限制下提供改进的安全性。
【技术实现步骤摘要】
【国外来华专利技术】改进的智能卡系统本专利技术涉及对国际专利申请No WO03/049056中描述的智能卡系统的 改进,具体涉及改进这种系统中安全结构的可能性。该智能卡系统包括可 编程智能卡设备,其带有文件系统和操作软件,使设备上的文件系统可以 和至少一个设备外的文件和/或应用交互,还包括脚本引擎,其可以运行一 个或多个应用协议数据单元(APDU)以修改文件系统的结构和/或内容, 或用于访问文件系统或者与之相关的任何安全条件的命令。这样的系统中,可编程智能卡设备包括存储在设备上的存储器内的一 个或多个应用和/或数据文件。例如,文件可能包括卡携带者的银行结余的 详细内容,或者进行过或待进行的财务交易的详细内容。为了保证这些数 据的完整性,保存这些文件和文件所包括的数据的存储器只能由卡上的处 理器访问。该处理器包括脚本引擎,其可以运行从接口设备上载的脚本(卡 可以插入到接口设备或者与之连接),以修改卡上的文件系统的结构或内 容,或者用于访问文件系统或者与之相关的任何安全条件的命令。在国际专利申请No WO03/049056的系统中,将脚本写成自描述性消 息的网络(因特网)标准语言格式的文件,并将脚本从中央"密室"通过 因特网安全传输到一个或多个接口设备,在接口设备,可将脚本加载到一 个或多个用户的智能卡设备上。因而,因为可以用如可扩展置标语言(XML)的网络标准语言通过因特网安全传输文件,所以可以快速便捷地利用因特 网分发智能卡设备上的应用软件的更新或者修改或重新格式化系统中使用 的卡上的数据,同时保持高级别的安全性。然而,虽然国际专利申请No WO03/049056中的基本系统是安全的, 但是我们理解,仍然期望进一步提高系统的安全性。对于如处理财务交易 的安全性至关重要的智能卡应用来说,命令序列和发送至智能卡设备的应 答及智能卡设备发出的应答必需符合特定的流。虽然可以开发特定应用软 件在卡上运行,但是只有在接收到期望的下一条命令时才能正常应答,相反,如果命令不是所期望的那条,就给出错误。该方法在管理方面有所有 通常存在的缺陷,特别是更新和修改。根据本专利技术,智能卡设备的特征在于,其包括比较器装置,其可由脚本引擎运行的安全APDU配置,并且比较器用于将一个或多个参考命令与 如下命令进行比较实现访问和/或修改设备上数据或文件系统的应用所运行的命令,或者用于访问系统或者与之相关的任何安全条件的命令,并且 根据比较器装置进行的比较的结果,限制或者防止对这些数据、文件系统、 命令或者安全条件的进一步访问或者修改。因而,在国际专利申请No WO03/049056中描述的智能卡系统中,用 脚本引擎来设置卡。可以通过设置卡提高安全,这样,通过仅比较命令代 码或者比较代码和操作数,卡期望并从而监控某些命令序列的出现。本专利技术还提供配置上述智能卡设备的方法。下面以示例方式参考附图详细描述本专利技术的实施例,附图是根据本发 明的智能卡设备的示意图。图中简要示出上述系统中使用的智能卡设备10。设备10包括设备上存储器20,其上存储有文件22和24,还包括处理 器30,其包括脚本引擎32和可配置比较器34。如前所述,设备上存储器 20只可以由处理器30访问,不能从智能卡10以外直接访问。设备10还包 括接口装置40,其使得设备10与外部接口设备(未示出)交互。对于所述示例,假定存储的文件22和24包括分别代表智能卡设备用 户持有的某种财务账户的当前账户结余和上次账户结余的数据。当用卡来 授权从用户账户转帐时,设备10与接口设备交互,以上载包括一个或多个 应用协议数据单元(APDU)的文件,应用协议数据单元由脚本引擎32在 设备10上运行,以修改设备存储器20中保存的各个文件的内容。交易可 能很复杂,涉及多个命令,这些命令修改多个文件的内容,但是,简单起 见,这里只考虑一个修改。当卡用户使用设备IO对向第三方进行的支付授权时,文件22内保存的当前账户结余被复制到文件24,文件24存储上次账户结余,然后,修改 文件22中的当前账户结余,以示出新的更小的结余。这样的交易中,在为了实现交易而由脚本引擎32运行的APDU中的一 系列命令中,有下面的一对命令-COPY value in file 22 to file 24 (复制文件22中的值至文件24)WRITE new current balance to file 22 (写入新的当前结余至文件22)上述系统中,智能卡设备10插入或者连接到接口设备,在要开始交易 时,接口设备将一个或多个APDU上载至设备处理器32,然后,该一个或 多个APDU由脚本引擎32运行,以修改文件22和24中的数据。根据本发 明,APDU包括安全APDU即"监察"APDU,其用于以适用于要进行的 交易的方式配置比较器34。实践中,安全APDU提供参考命令或代码,由 脚本引擎32运行的命令与这些命令或代码进行比较。在上述例子中,由脚本引擎32运行安全APDU时,安全APDU可以 配置比较器34,这样比较器34可以进行比较以检测期望的一对命令"COPY value in file 22 to file 24"禾口 "WRITE new current balance to file 22"。除非比 较器做出肯定性匹配,交易就中止。所给出的例子非常简单,但是要理解,比较器32可配置用于以同样方 式监控很长的命令序列。此外,比较器32可被配置为仅将命令的一部分与安全APDU提供的参考进行比较。例如,比较器可以确定"复制"命令是否包括文件名或文件标识符,在要进行特定交易时,要从该文件复制数据。或者,只监控命令内的操作数或者命令出现的序列,例如,检査"复制"命令后是否总跟着 "写入"命令。某些情况下,检测到匹配的情况下,可能也需要配置比较器32使交易 中止。在上述交易中,例如,脚本引擎32无合适理由而从文件24到文件 22进行复制,茵而,如果检测到这样的命令,可能意味着正在进行诈骗。 因而,比较器34可被配置为检测命令"COPY form file 22 to file 24"的存 在,将其作为限制或防止对智能卡设备IO上的文件或数据进行进一步修改 的基础。类似的,为了鉴别交易而寻求得到肯定匹配时,"否定匹配"可以基于部分比较。例如,如果特定命令序列中根本不应该出现某个文件时,比较器34可简单地被配置为寻找如特定设备上文件的文件名的特定代码,例如 "文件24"。或者,比较器34可被配置为检测命令和操作数的组合。上述例子中, 比较器34可被配置为检测要从文件24进行复制的任何命令,因为这样的 命令对于要进行的交易是不适当的。复杂情况下,脚本引擎32和安全APDU就参考集合的肯定或否定匹配 都是期望的,比较器34可被配置为检测特定的命令序列而不是一个命令。 如果期望的命令集合不是简单的线性序列而是包括如国际专利申请 WO2005/064555中描述的逻辑或者算数驱动分支,那么可用脚本引擎能力 通过比较器34映射这些命令路径。适当的话,比较器34还可以被配置为将命令与预定的一组或多个可能 期望值进行比较,而不是仅与一个比较。因而,APDU的"期望命令"脚本和比较器一起工作,类似于状态机, 脚本中的命令代表期望的命令序列,检测应该出现的命令或本文档来自技高网...
【技术保护点】
一种可编程智能卡设备(10),带有文件系统(22、24)和使设备上文件系统与至少一个设备外文件和/或应用接口的操作软件,而且包括脚本引擎(32),其可运行一个或多个应用协议数据单元(APDU)以修改所述文件系统的结构和/或内容,或者用于访问所述文件系统或者与之相关的任何安全条件的命令;所述可编程智能卡设备(10)的特征在于:其包括比较器装置(34),其可由所述脚本引擎(32)运行的安全APDU配置,并且所述比较器装置(34)用于将一个或多个参考命令与如下命令进行比较:实现访问和/或修改设备上数据或文件系统的应用所执行的命令,或者用于访问所述系统或者与之相关的任何安全条件的命令,并且根据所述比较器装置(34)进行的所述比较的结果,限制或者防止对这些数据、文件系统、命令或者安全条件的进一步访问或者修改。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:BS霍赫菲尔德,
申请(专利权)人:埃塞博斯有限公司,
类型:发明
国别省市:GB[英国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。