对主机接口具有存取控制的射频通信设备 |
|||||||
| 申请号 | CN201510014963.1 | 申请日 | 2015-01-12 | 公开(公告)号 | CN104820847B | 公开(公告)日 | 2019-08-06 |
| 申请人 | 恩智浦有限公司; | 发明人 | 斯里达·帕塔吉; 尼延·拉姆克里希纳·拉贝德; 马丁·利布尔; | ||||
| 摘要 | 本 发明 提供一种射频通信设备,该设备包括:(a)用于存储数据的数据 存储器 ,(b)用于与外部的射频设备(130)进行射频通信的射频 接口 (112),(c)用于与主机设备(120)进行通信的主机接口(111),(d)主机存取存储器单元(214,215),该主机存取存储器单元(214,215)包括主机接口存取控制数据,主机接口存取控制数据定义主机存取规则,主机存取规则用于通过主机接口(111)存取数据存储器中的数据,以及(e)主机存取控制单元,用于基于主机接口存取控制数据来控制通过主机接口(111)对数据存储器中的数据的存取。本发明还描述了一种系统和一种用于控制对射频通信设备的数据存储器中的数据的存取的方法。 | ||||||
| 权利要求 | 1.一种射频通信设备,其特征在于,该设备包括: |
||||||
| 说明书全文 | 对主机接口具有存取控制的射频通信设备技术领域[0001] 本发明涉及射频通信设备领域,特别是涉及包括主机接口的RFID和NFC标签。 背景技术[0002] 识别产品,诸如智能卡和RFID(射频识别)标签(也被称为临近集成电路卡-PICC)被广泛用于诸如交通(例如票务、道路收费、行李标记)、金融(例如借记卡和信用卡、电子钱包、会员卡)、通信(例如用于GSM电话的SIM卡)以及跟踪(例如存取控制、库存管理、资产跟踪)等领域。国际标准ISO14443A是用于非接触式智能卡的行业标准。符合ISO14443A标准的产品诸如MIFARE(www.mifare.net)和NFC(www.NFC-forum.org)提供射频通信技术用于在卡或标签与读取器设备之间传输数据。例如,在用于公共交通的电子票中,旅客只需要在旋转栅门或入口处的读取器上挥动他们的智能卡,这得益于票务处理在便利性和速度方面的改进。这样的产品对于未来个体移动性是很重要的,支持多个应用,包括道路收费、飞机票、存取控制以及很多应用。 [0003] 通常,非接触式卡被作为安全基本设施的一部分,安全基本设施包括后端系统、读卡器和卡验证器,以及其他设备,诸如个性化设备和控制设备。 [0004] 卡的数据内容一般代表某种值,该值能够引起某些个体的注意来探究卡的安全特性。然而,整个系统的安全性依赖于基本设施的所有组件,因此不能仅仅依赖于非接触式卡上的安全实现。必须与所有关键任务功能中的安全性指标一起来设计系统的所有部分。威胁来源于这些安全性指标以及它们潜在的对策。 [0005] 采用非接触式智能卡的每个系统都具有自己的系统属性的独特组合,整体上只有系统集成商和他们的用户能够理解。由系统集成商和用户来决定在不同的组件中实现的安全措施之间采取最好的平衡。最好的平衡必须包括考虑成本、用户界面(易用性)和所要求的安全等级之间的折衷。 [0006] 智能卡通常被用于具有高安全性要求的应用,而RFID标签的成本较低,定位于安全性要求较低的应用。 [0007] 只具有射频接口的RFID标签能够被用作独立的标签/卡用于不同的应用,诸如交通、金融、通信、跟踪。但是,这种RFID标签在缺少主机通信接口而没有在电子解决方案中使用。 [0008] 具有主机接口的RFID标签适用于电子解决方案,其中NFC解决方案从中受益。在这样的系统中,主机接口可用于通过标签存储器与射频接口交换数据。 [0009] 在现有的低成本RFID/NFC非接触式标签中,在任何存储操作之前的射频验证过程确保对存储区的存取只能由可信的用户进行。这样的存储器内容保护过程/特征仅在现有的用于非接触式射频接口的RFID标准诸如MIFARE、NFCFORUM等中定义。 [0010] 对RFID/NFC非接触式标签增加诸如I2C、USB、SPI、UART等主机接口打开了巨大的应用空间,诸如平滑的蓝牙/Wi-Fi切换、设备配置、高级的游戏应用等。然而同时,这也使得标签中的非易失性存储器内容很容易受到人为的攻击。 发明内容[0012] 根据第一个方面,本发明提供了一种射频通信设备,特别是RFID或NFC标签,该设备包括:(a)用于存储数据的数据存储器,(b)用于与外部的射频设备进行射频通信的射频接口,(c)用于与主机设备进行通信的主机接口,(d)主机存取存储器单元,该主机存取存储器单元包括主机接口存取控制数据,该主机接口存取控制数据定义主机存取规则,主机存取规则用于通过主机接口存取数据存储器中的数据,以及(e)主机存取控制单元,用于基于主机接口存取控制数据来控制通过主机接口对数据存储器中的数据的存取。 [0013] 这个方面所基于的思想是:通过利用存储在主机存取存储器单元中的一组主机存取规则来控制通过主机接口对数据存储器中的数据的存取。从而,可以控制并且安全地保持通过主机接口对数据的读和/或写存取。 [0015] 每个主机存取规则可以对应特定的存储器位置,并且可以包括一组位,这组位定义是否允许通过主机接口存取特定的存储器位置,例如是否允许通过主机接口从特定的存储器位置读取数据以及将该数据传送到外部的主机设备。主机存取规则的位还可以定义是否允许将通过主机接口接收到的数据写入特定的存储器位置。 [0017] 当连接到主机接口的外部的主机设备试图存取位于数据存储器中的特定位置处的数据时,主机存取控制单元基于主机接口存取控制数据的对应的主机存取规则来检查这样的存取是否是允许的,并基于检查结果允许或阻止该存取。 [0018] 从而,可以有效地控制通过主机设备对数据存储器中的敏感数据的存取,即读取、删除和重写。 [0019] 根据一个实施例,数据存储器包括多个数据存储器单元,以及主机接口存取控制数据包括用于每个数据存储器单元的主机存取规则,每个主机存取规则定义可以通过主机接口对相应的数据存储器单元进行读/写存取、只读存取或不可以通过主机接口对相应的数据存储器单元进行存取。 [0020] 数据存储器被组织成多个数据存储器单元,诸如扇区或块。每个存储器单元优选地包括用于存储数据的预定数量的字节。此外,每个数据存储器单元可以关联唯一标识符。 [0021] 对于每个数据存储器单元,对应的主机存取规则规定是否可以通过主机接口存取特定的数据存储器单元,即,是否可以通过主机接口从特定的数据存储器单元读取数据和/或将数据写入特定的数据存储器单元。 [0022] 从而,每个主机存取规则定义当通过主机接口与射频通信设备通信时,是否外部的主机设备能够存取特定的数据存储器单元。 [0023] 根据本发明的另一个实施例,主机接口存取控制数据是一次性可编程的。 [0024] 在本文的上下文中,术语“一次性可编程的”可以具体表示取决于主机接口存取控制数据的当前值,这些值可以被改变一次或根本不可以被改变。 [0025] 更具体地,值为0的主机接口存取控制数据的特定位可以被改变成1,而值为1的特定位不可以被改变。 [0026] 从而,可以防止存取规则被任意改变,特别是可以防止在“允许写入”和“不允许写入”之间周期性地重复转换。这样特别防止以下情况,例如主机设备改变存取规则,外部的射频设备通过将相同的规则改变回之前的规则来作出响应,主机设备重复该改变,等等。 [0027] 根据本发明的另一个实施例,主机存取存储器单元还包括锁定数据,锁定数据定义用于启用/禁用通过射频接口和/或主机接口来更新主机接口存取控制数据的规则。 [0028] 换句话说,锁定数据定义外部的射频设备是否可以更新主机接口存取控制数据,即外部的射频设备是否可以改变主机接口存取控制数据的一个或多个值。类似的,锁定数据定义主机设备是否可以更新主机接口存取控制数据,即主机设备是否可以改变主机接口存取控制数据的一个或多个值。 [0029] 锁定数据优选地是一次性可编程的。 [0030] 通过控制更新主机接口存取控制数据的可能性,可以进一步提高安全性。 [0031] 根据本发明的另一个实施例,数据存储器还包括射频接口存取控制数据,射频接口存取控制数据定义射频存取规则,射频存取规则用于通过射频接口存取数据存储器中的数据,以及其中主机接口存取数据包括主机存取规则,主机存取规则定义不能通过主机接口存取射频接口控制数据。 [0032] 从控制通过射频接口对数据存储器的存取、即控制来自与该设备通信的外部的射频设备的存取这方面来看,射频接口存取控制数据与主机接口存取控制数据是类似的。 [0033] 通过在主机接口存取数据中包括主机存取规则来阻止经由主机接口存取射频接口存取控制数据,由于不可能从外部设备来篡改射频接口存取控制数据,因此进一步提高了安全性。 [0034] 根据本发明的另一个实施例,该设备还包括射频存取控制单元,用于基于射频接口存取控制数据来控制通过射频接口对数据存储器中的数据的存取。 [0035] 射频存取控制单元可以与主机存取控制单元一起实现,或者可以与主机存取控制单元分开实现。 [0036] 射频存取控制单元实质上在功能的实现上与主机存取控制单元相同,即,射频存取控制单元确定射频存取控制数据是否允许通过射频接口存取数据存储器中的数据的特定部分。 [0037] 根据本发明的另一个实施例,数据存储器包括主机存取存储器单元。 [0038] 换句话说,主机接口存取控制数据被存储在数据存储器中。 [0039] 从而,在射频通信设备中不需要另外的存储器,主机存取控制机制可以很容易地在现有设备中用软件来实现。 [0040] 根据本发明的另一个实施例,主机存取存储器单元包括多个软件寄存器或保险丝。 [0041] 换句话说,代替将主机接口存取控制数据存储在常规存储器中,通过设置多个软件寄存器或者通过烧断多个保险丝中的一些保险丝来定义主机接口存取控制数据。 [0042] 从而,通过在芯片配置或生产试验期间所进行的掩模处理,可以使得最终用户不能够得到主机接口存取控制数据。 [0043] 根据本发明的另一个实施例,射频通信设备是NFC标签,该NFC标签包括预留的存储区,以及主机存取存储器单元是预留的存储区的一部分。 [0044] 通过将主机接口存取控制数据存储在NFC标签的预留的存储区中,可以有效地提供对用户区中的数据的存取控制,而不会牺牲安全性。 [0045] 根据本发明的另一个实施例,主机存取存储器单元还包括验证数据,该验证数据用于验证与主机设备的通信。 [0047] 根据第二个方面,本发明提供了一种系统,该系统包括:(a)根据第一个方面或上述任一实施例的射频通信设备,以及(b)主机设备,其中该主机设备通信耦合到射频通信设备的主机接口。 [0048] 主机设备可以是任意的电子设备,诸如个人电脑、移动电话、游戏控制器等等。相应地,该系统包括这样的配备有射频通信设备的电子设备,射频通信设备诸如是RFID或NFC标签,提供相应的射频通信能力。射频通信设备可以经由主机接口与主机设备通信,同时通过控制从主机设备对射频通信设备的数据存储器中存储的数据的存取来保持安全性。 [0049] 根据第三个方面,本发明提供了一种用于控制对射频通信设备的数据存储器中的数据的存取的方法,该射频通信设备包括:(i)用于与外部的射频设备进行射频通信的射频接口,以及(ii)用于与主机设备进行通信的主机接口,该方法包括:(a)提供主机接口存取控制数据,主机接口存取控制数据定义主机存取规则,主机存取规则用于通过主机接口存取数据存储器中的数据,以及(b)基于主机接口存取控制数据来控制通过主机接口对数据存储器中的数据的存取。 [0050] 这个方面实质上是基于与第一个方面相同的思想。 [0051] 注意,已经参考不同的主题描述了本发明的实施例。特别是,一些实施例是针对方法权利要求描述的,而其他实施例是针对产品权利要求描述的。然而,除非有明确的说明,否则本领域技术人员可以知道,除了属于一种类型的主题的特征的任意组合,还可以得到涉及不同主题的特征的任意组合,特别是方法权利要求的特征和产品权利要求的特征的组合,都已经在本文中揭示出来。 [0053] 图1示出了根据实施例的系统的框图。 [0054] 图2示出了已知的射频通信设备的典型的数据存储器结构。 [0055] 图3示出了根据实施例的射频通信设备的数据存储器结构的一部分。 具体实施方式[0056] 附图中的图示都是示意性的。注意,在不同的图中,相似的或相同的元件具有相同的参考标号,或者仅仅参考标号的第一位不同。 [0057] 图1示出了根据实施例的系统100的框图。系统100包括标签(例如RFID或NFC标签)110、主机控制器120和标签读取器130。标签110通过主机接口111(IC2)耦接到主机控制器 120,以使得主机控制器120可以访问标签的存储器,会话寄存器等。标签110还包括射频接口112,射频接口112用于当标签110和读取器130足够靠近时,通过标签读取器130的射频接口131与标签读取器130通信。 [0058] 图1还示出了三个可能的控制或主系统:射频主系统140、主机主系统141和混合主系统142。对于射频主系统(RFMS)140的情况,射频接口112被认为是可信任的接口,并且具有标签110的完全授权。在这样的系统中,射频接口112作为被信任的接口,能够完全阻止主机120存取存储器,而且不允许主机120更新有关的存取控制数据(AC字节)。因此,期望用射频接口来控制经由主机接口111的存储器存取保护机制。相反,对于主机主系统(HMS)141的情况,主机接口111被认为是可信任的接口,并且具有标签110的完全授权。在这样的系统中,主机接口111作为被信任的接口,如果需要的话,能够存取存储器和更新有关的AC字节。因此,可能不期望用射频接口来控制经由主机接口111的存储器存取保护机制。最后,对于混合主系统(HyMS)142的情况,可以基于用户的情况从每个接口(射频接口112和主机接口 111)来控制存取控制数据。例如,某些高级的游戏应用需要仅能由射频接口、仅能由主机接口(HIF)或由射频接口和HIF两者存取的专用存储器区域。因此,需要一些措施来适当地保护经由主机接口111的存储器存取。 [0059] 图2示出了已知的射频通信设备的典型的数据存储器结构213。更具体地,图2示出了典型的MIFARE Classic系列的2K字节的存储器,该存储器包括32个扇区(区0,1,...,30,31),每个扇区包括4个块(0,1,2,3)。如图所示,每个块包含16个字节(字节0,1,...,14, 15)。如图2的右侧所示,存储器213可以被分类成制造商块、区尾块和数据块。制造商块包括IC制造商数据,该数据由IC制造商或系统供应商编程和写保护。IC制造商和系统供应商都是可信任的,经由射频接口131对RFID/NFC标签所造成的安全威胁已经被很好地限定。作为安全措施,应当阻止主机接口111存取制造商块中的重要信息。 [0060] 在典型的MIFARE Classic标签中,一个扇区中的最后一个块(块3)被称为区尾块(Sector Trailer),在这个块中包括经由射频用于验证目的的密钥信息。 [0061] 在给定的系统中,应当持久地阻止主机侧存取该区尾块信息。这会使得具有主机接口的新标签向后兼容现有的没有主机接口的RFID标签。因此,经由射频的安全性是不会被妥协的。 [0062] 在一个扇区中剩下的48个字节(在区0中的32个字节)被认为是用户数据。只能在用可信的邻近耦合设备(PCD)已知的适当密钥对具体的扇区进行验证之后才能从射频侧对其进行存取。因此,用户数据对于射频侧是安全的。 [0063] 在诸如游戏应用的应用实例中,射频接口是主接口,期望用射频接口来控制主机接口的存储器存取。由于在区尾块中没有用于控制经由主机接口的存取的现有字节,因此可以使用一个数据块来控制经由主机接口的存取,并且不再以数值块格式来使用这个块。 [0064] 然而,利用附接于标签MIFARE Classic的主机接口,用户数据会受到来自主机接口侧的安全威胁。如果主机能够无限制地存取存储器,则攻击者可以很容易地通过连接主机接口诸如I2C发起设备对数据进行操控。 [0065] 因此,必须要确保非易失性存储器中的用户数据是受限制的,并且不容易受到不可信的主机经由主机接口(例如I2C)的影响。 [0066] 图3示出了根据实施例的射频通信设备(RFID/NFC标签)的数据存储器结构的一部分214。更具体地,图3示出了数据存储器的一个块214,该块部分地用于存储主机接口存取控制数据(HIF AC)。如图所示,该块214最开始的7个字节(00,01,02,03,04,05和06)包含数据,而最后的8个字节(08,09,10,11,12,13,14,15)包含主机接口存取控制数据。更具体地,如参考标号215所标识的部分所示,块214的字节08包含用于四个扇区中的每一个扇区的两个存取位,即区WW、区XX、区YY和区ZZ。在字节215中由位0和1定义的对于区ZZ可能的存取权如参考标号216所标识的部分所示:如果位0和1都是0,则允许经由主机接口对区ZZ进行读和写存取。如果位0是1且位1是0,则仅允许经由主机接口对区ZZ进行读存取。最后,如果位1是1,则不允许经由主机接口对区ZZ进行存取。 [0067] 在操作过程中,采用如下方式来使用存取位:基于存储在非易失性存储器中的相关的存取控制位的位值,硬件(处理器)对经由主机接口对存储器进行存取的任何尝试采取适当的行动以保护相应的存储器区。 [0068] 存取权字节可以是OTP(一次性可编程的)和在生产试验期间已经被适当编程的。这样对于可信的用户定义了想要进行的存取,并阻止不可信的用户经由主机接口进行无意的存取。 [0069] 如果该字节是OTP并且设定了值(取决于OTP实现值是0或1),则不再允许将它们改变回去。 [0070] 如果该字节是OTP并且只允许将它们从0变成1,则仅可以在特定扇区被验证之后由射频读取器130将这些字节从0更新为1。因此使得这些位不会受到射频接口侧的安全威胁。 [0071] 假设主机120具有如图3所示的所要求的存取,则主机120可以经由主机接口111将OTP位从0更新为1。 [0072] 对于数据块的所有上述步骤都是在MIFARE模式中实现的,以保护存储器内容不被不可信的主机存取。 [0073] 再次参考图3,块214的字节07包含用于每个接口的锁定位。这些锁定位提供扩展的保护机制,以完全阻止射频接口112或主机接口111更新主机接口存取控制字节。这些锁定位必须是OTP,即一旦这些锁定位被设置为1,则不能基于OTP实现来将它们变回到0。 [0074] 下面的表1示出了两个锁定位:HOST_HIFAC_UPDATE_DIS定义通过主机接口111(HIF)更新主机接口存取控制数据(HIF AC字节)是启用还是禁用,RF_HIFAC_UPDATE_DIS定义通过射频接口112(RFIF)更新主机接口存取控制数据(HIF AC字节)是启用还是禁用。 [0075] [0076] 表1 [0077] 注意,除非另有说明,否则术语“上”、“下”、“左”和“右”仅仅是指对应图的方向。 [0078] 应当注意,术语“包括”并不排除其他元件或步骤,“一”或“一个”的使用并不排除多个。另外,与不同实施例相关联描述的元件可以相互结合。应当注意,权利要求中的参考标号并不是用来限制权利要求的保护范围。 |
||||||
QQ群二维码
意见反馈
意见反馈