數(shù)據(jù)處理設(shè)備和用于執(zhí)行應(yīng)用程序的方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及用于執(zhí)行應(yīng)用程序的數(shù)據(jù)處理設(shè)備�。此外,本發(fā)明還涉及用于在數(shù)據(jù) 處理設(shè)備中執(zhí)行應(yīng)用程序的方法�。
【背景技術(shù)】
[0002] 現(xiàn)如今,安全性在許多電子設(shè)備和計(jì)算環(huán)境中都起著重要的作用���。例如�����,傳統(tǒng)的移 動(dòng)電子設(shè)備可以用于支付交易����,支付交易需要將與支付有關(guān)的敏感數(shù)據(jù)諸如用戶憑證輸入 和/或存儲(chǔ)到所述設(shè)備上��。為了與位于銷售終端(POS)處的終端設(shè)備交換與支付有關(guān)的數(shù) 據(jù),這樣的移動(dòng)電子設(shè)備可以例如配備有基于射頻(RF)技術(shù)的近場(chǎng)通信(NFC)接口�。
[0003] 通常,與支付有關(guān)的敏感數(shù)據(jù)已經(jīng)被存儲(chǔ)到專用的安全令牌諸如智能卡中��,在安 全令牌諸如智能卡中���,數(shù)據(jù)被固有地限制在相對(duì)被信任的環(huán)境中����。然而��,隨著集成解決方案 的出現(xiàn)�,特別是隨著在移動(dòng)設(shè)備中集成安全元件(SE)的出現(xiàn),與支付有關(guān)的數(shù)據(jù)通常被暴 露于潛在的危險(xiǎn)環(huán)境�,因此這些數(shù)據(jù)的機(jī)密性可能處于危險(xiǎn)當(dāng)中。
[0004] 安全元件通常實(shí)現(xiàn)為嵌入式芯片����,更具體地說(shuō)是實(shí)現(xiàn)為(預(yù)先)安裝有智能卡級(jí) 別的應(yīng)用程序的防篡改集成電路,智能卡級(jí)別的應(yīng)用程序例如是支付應(yīng)用程序����,智能卡級(jí) 別的應(yīng)用程序具有規(guī)定的功能和規(guī)定的安全等級(jí)。這樣的安全元件的例子是由NXP半導(dǎo)體 公司制造的SmartMX?或SmartMX2?系列的集成電路�?;蛘?���,用戶身份識(shí)別模塊(SIM)或通 用用戶識(shí)別模塊(USM)也可以用作安全元件����。此外,安全數(shù)字(SD)卡��,諸如傳統(tǒng)的SD卡 或微型SD卡也可以用作安全元件����。安全元件可以被嵌入到移動(dòng)設(shè)備或另外的主機(jī)設(shè)備中, 例如作為小型封裝直接焊在印刷電路板上�。或者�����,安全元件可以作為可拆卸的組件(例如 SIM卡或SD卡)包含在所述移動(dòng)設(shè)備中���。
[0005] 盡管安全元件提供相對(duì)安全的環(huán)境用于執(zhí)行應(yīng)用程序����,但是執(zhí)行這些應(yīng)用程序通 常需要將用戶輸入的數(shù)據(jù),例如個(gè)人識(shí)別號(hào)碼(PIN)或交易確認(rèn)數(shù)據(jù)���,經(jīng)由主機(jī)設(shè)備的用 戶接口提供給安全元件�����,例如經(jīng)由移動(dòng)電話的物理鍵盤或虛擬鍵盤提供給安全元件����,其中 在移動(dòng)電話中嵌入有安全元件�����。此外�����,執(zhí)行這些應(yīng)用程序可能需要經(jīng)由主機(jī)設(shè)備的用戶接 口�,例如顯示器,將輸出數(shù)據(jù)呈現(xiàn)給用戶����。很顯然,輸入數(shù)據(jù)和輸出數(shù)據(jù)兩者都必須要保密�����, 因?yàn)檫@些數(shù)據(jù)本質(zhì)上可能都是敏感的。然而�,由于用戶接口通常是由主機(jī)設(shè)備的中央處理 器驅(qū)動(dòng)的�����,因此這些輸入數(shù)據(jù)和輸出數(shù)據(jù)可能會(huì)相對(duì)容易地被攻擊者獲得和操控�。
[0006] 現(xiàn)如今,高端的移動(dòng)設(shè)備架構(gòu)是先進(jìn)的�、小型的計(jì)算機(jī)系統(tǒng),通常包含應(yīng)用程序處 理器和基帶處理器���?��;鶐幚砥鳎ɑ蛘{(diào)制解調(diào)器處理器)控制無(wú)線電接口,諸如GSM���、GPS��、 藍(lán)牙和Wi-Fi接口����。應(yīng)用程序處理器是移動(dòng)設(shè)備的主處理單元或中央處理單元,用于執(zhí)行 許多不同的應(yīng)用程序���。這表明用于安全元件的輸入數(shù)據(jù)和來(lái)自安全元件的輸出數(shù)據(jù)可能被 暴露于移動(dòng)設(shè)備的許多不同的組件和處理���。
[0007] 圖1示出了通用數(shù)據(jù)處理設(shè)備,例如所述移動(dòng)設(shè)備����。數(shù)據(jù)處理設(shè)備100包括主處理 單元或中央處理單元102,安全元件104,用戶輸出接口 106,以及用戶輸入接口 108。在操作 過(guò)程中���,處理單元102可以執(zhí)行應(yīng)用程序�,并且對(duì)于某些特定功能依賴于安全元件104,諸 如驗(yàn)證用戶憑證和執(zhí)行加密操作��?���;蛘撸踩?04可以代替中央處理單元102來(lái)安全 地執(zhí)行專門應(yīng)用程序��,諸如上述支付應(yīng)用程序�。換句話說(shuō),對(duì)于要求高等級(jí)安全性的應(yīng)用�, 當(dāng)擔(dān)心應(yīng)用的執(zhí)行安全時(shí)����,安全元件104可以充當(dāng)中央處理單元102�����。然而���,如同從圖1中 可以看到的,安全元件104仍然可以要求由用戶輸入接口 108獲得輸入數(shù)據(jù)����。此外,安全元 件104仍然需要經(jīng)由用戶輸出接口 106將輸出數(shù)據(jù)呈現(xiàn)給用戶���。遺憾的是��,用戶輸入接口 108和用戶輸出接口 106是由中央處理單元102驅(qū)動(dòng)的���,中央處理單元102暴露于數(shù)據(jù)處理 設(shè)備100的許多其他的組件和處理。這樣對(duì)所執(zhí)行的應(yīng)用造成了安全威脅���。
[0008] 為了充分地保護(hù)支付交易����,服務(wù)提供者(例如EuroCard、MasterCard和Visa)已 經(jīng)開(kāi)發(fā)了專用的標(biāo)準(zhǔn)用于信用卡和借記卡����。這些卡以及用這些卡執(zhí)行的交易通常是通過(guò)用 戶憑證授權(quán)或通過(guò)4位保密的PIN碼解鎖來(lái)受到保護(hù)的。必須保護(hù)保密的PIN碼不受到任 何攻擊����,否則能夠獲得該P(yáng)IN碼及其他用戶數(shù)據(jù)的攻擊者可能能夠以用戶的名義來(lái)執(zhí)行交 易。現(xiàn)如今�,通常是經(jīng)由信任終端來(lái)進(jìn)行交易,以便用戶可以依賴于顯示器和鍵盤的正確功 能����,而不用擔(dān)心在交易期間例如特洛伊木馬攻擊獲得用戶在鍵盤上輸入的數(shù)據(jù)和/或操控 顯示器。
[0009] 在移動(dòng)電話架構(gòu)中����,已經(jīng)進(jìn)行了許多嘗試來(lái)對(duì)所述交易提供合理地好的安全等 級(jí)。例如�,ARM TrustZone提供了一種機(jī)制,用于在計(jì)算體系內(nèi)隔離安全世界��,即由硬件功能 支持的安全子環(huán)境���。在由ARM Limited出版��,?2005-2009,文件號(hào)為PRD 29-GENC-009492C 的"ARM Security Technology :Building Secure System using TrustZone(I)TechnoIogy^ 中已經(jīng)對(duì)ARM TrustZone機(jī)制進(jìn)行了描述�����。然而�����,ARM TrustZone機(jī)制要求在安全世界和 非安全世界之間進(jìn)行上下文轉(zhuǎn)換�����,由于轉(zhuǎn)換機(jī)制自身至少是部分受非安全世界的元件來(lái)控 制的�,因此對(duì)整個(gè)系統(tǒng)提供了攻擊點(diǎn)����。此外,移動(dòng)電話容易受到越獄攻擊的破壞�,越獄攻擊 允許攻擊者更新移動(dòng)電話的整個(gè)閃速存儲(chǔ)器。因此�,今天的移動(dòng)電話平臺(tái)必須仍然被認(rèn)為 是相對(duì)不安全的。
[0010] 如上所述��,被引入到移動(dòng)電話架構(gòu)中的安全元件,例如與NFC技術(shù)相結(jié)合�,提供相 對(duì)高的安全等級(jí)用于存儲(chǔ)和處理用戶憑證和密鑰,因此安全元件可以被認(rèn)為是任何這樣的 架構(gòu)中的信任錨或信任根�����。然而����,安全元件的信任錨特征在當(dāng)前的實(shí)現(xiàn)過(guò)程中不能被充分 地利用,這是因?yàn)閺膽?yīng)用的角度來(lái)看�,安全元件在一定程度上仍然被用作從屬設(shè)備。安全元 件另一個(gè)很強(qiáng)的特征是它能夠?yàn)槿魏螒?yīng)用建立端到端的安全信道�����,對(duì)于任何應(yīng)用所需的密 鑰已經(jīng)被預(yù)先安裝在安全環(huán)境中的安全元件上��。
[0011] 鑒于上述情況���,希望進(jìn)一步提高電子設(shè)備和計(jì)算環(huán)境的安全性�����,其中安全元件用 于便于應(yīng)用的安全執(zhí)行���。更具體地����,希望在電子設(shè)備和計(jì)算環(huán)境中更好地開(kāi)拓安全元件的 能力�����。
【發(fā)明內(nèi)容】
[0012] 本發(fā)明公開(kāi)了一種用于執(zhí)行應(yīng)用程序的數(shù)據(jù)處理設(shè)備�,該數(shù)據(jù)處理設(shè)備包括處理 單元和安全元件,處理單元用于控制對(duì)包含在數(shù)據(jù)處理設(shè)備中的至少一個(gè)用戶接口的訪 問(wèn)�����,安全元件用于便于應(yīng)用程序的安全執(zhí)行��。其中�,執(zhí)行應(yīng)用程序包括從用戶接口接收輸入 數(shù)據(jù)和/或?qū)⑤敵鰯?shù)據(jù)發(fā)送到用戶接口�;以及其中,安全元件被配置成使得處理單元在應(yīng) 用程序的執(zhí)行期間限制對(duì)用戶接口的訪問(wèn)���。
[0013] 根據(jù)本發(fā)明的數(shù)據(jù)處理設(shè)備的示例性實(shí)施例����,限制對(duì)用戶接口的訪問(wèn)包括:局限 于所述應(yīng)用程序中包含的指令能夠訪問(wèn)用戶接口。
[0014] 根據(jù)本發(fā)明的數(shù)據(jù)處理設(shè)備的另一個(gè)示例性實(shí)施例���,通過(guò)將處理單元中的至少一 個(gè)控制寄存器設(shè)定為表示安全訪問(wèn)模式的值來(lái)局限于所述應(yīng)用程序中包含的指令能夠訪 問(wèn)用戶接口�。
[0015] 根據(jù)本發(fā)明的數(shù)據(jù)處理設(shè)備的另一個(gè)示例性實(shí)施例�����,控制寄存器被包括在處理單 元的應(yīng)用程序控制器中���。
[0016] 根據(jù)本發(fā)明的數(shù)據(jù)處理設(shè)備的另一個(gè)示例性實(shí)施例��,安全元件包括集成電路�,在 集成電路中已經(jīng)安裝有應(yīng)用程序���。
[0017] 根據(jù)本發(fā)明的數(shù)據(jù)處理設(shè)備的另一個(gè)示例性實(shí)施例���,安全元件還被配置成在應(yīng)用 程序已經(jīng)執(zhí)行之后,使得處理單元取消對(duì)訪問(wèn)的限制�。
[0018] 根據(jù)本發(fā)明的數(shù)據(jù)處理設(shè)備的另一個(gè)示例性實(shí)施例,處理單元利用安裝在處理單 元中的至少一個(gè)硬件和控制程序來(lái)提供用戶接口訪問(wèn)控制