專利名稱:電子系統(tǒng)以及操作電子系統(tǒng)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種電子系統(tǒng)以及一種操作電子系統(tǒng)的方法�。
背景技術(shù):
這樣的電子系統(tǒng)例如是智能卡。通常��,智能卡是具有嵌入式集成電路的任何小型 卡���,所述嵌入式集成電路包括可以處理信息的微控制器���。可以根據(jù)不同標(biāo)準(zhǔn)來對(duì)智能卡分 類�。具體地��,可以將智能卡分類成包括相對(duì)簡(jiǎn)單邏輯的存儲(chǔ)器芯片卡以及分類成包括例如 操作系統(tǒng)的處理器芯片卡����。具體地����,處理器芯片卡可以接收通過集成電路應(yīng)用來處理的輸 入信號(hào)并傳遞輸出信號(hào)。通常�����,智能卡可以是非接觸式或接觸式智能卡或者可以是兩者的 組合���。智能卡可以在智能卡正面包括芯片�����。芯片可以由金制成并且可以具有大約 IcmXlcm的尺寸���。接觸式智能卡可以與讀取器通信。當(dāng)被插入讀取器時(shí)����,讀取器的電連接 器與芯片接觸���,以從智能卡讀取信息或?qū)⑿畔懟氐街悄芸āS捎谥悄芸ㄍǔ2⒉话?池����,所以由讀取器為接觸式芯片卡提供能量。例如IS0/IEC 7816或IS0/IEC 7810標(biāo)準(zhǔn)化 了接觸式智能卡��。在非接觸式智能卡中����,集成電路以非接觸的方式例如通過射頻標(biāo)簽(RFID)來與 讀取器通信�。例如IS0/IEC 14443或ISO 15693標(biāo)準(zhǔn)化了非接觸式智能卡。非接觸式智能 卡還稱作是可以包括或可以不包括有源能量源(如�����,電池)的轉(zhuǎn)發(fā)器���。不具有電池的轉(zhuǎn)發(fā) 器稱作是被動(dòng)轉(zhuǎn)發(fā)器�����,包括電池的轉(zhuǎn)發(fā)器稱作是主動(dòng)轉(zhuǎn)發(fā)器��。專利號(hào)為94/20929的國(guó)際申請(qǐng)公開了一種智能卡�����,所述智能卡包括電子數(shù)據(jù)存 儲(chǔ)器����、連接至所述數(shù)據(jù)存儲(chǔ)器以允許訪問讀取器的接口裝置、以及操作用于顯示表示數(shù)據(jù) 存儲(chǔ)器的內(nèi)容的信息���。智能卡可以用作銀行卡���、公交車票、購(gòu)物卡或電子護(hù)照���。由于這一點(diǎn)����,必須確保確 保相對(duì)高的安全水平以防止欺騙性篡改��。盡管智能卡的微處理器通常提供安全環(huán)境����,然而 將顯示器集成到智能卡中以及具體地微控制器與配置用于驅(qū)動(dòng)顯示器的顯示器驅(qū)動(dòng)器之 間的信息交換可能會(huì)增加智能卡的欺騙和篡改的危險(xiǎn)�。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種操作諸如智能卡之類的電子系統(tǒng)的方法�����,所述方法允許 電子系統(tǒng)內(nèi)兩個(gè)設(shè)備之間改進(jìn)的安全操作���。本發(fā)明的另一目的是提供一種諸如智能卡之類的電子系統(tǒng)��,所述電子系統(tǒng)對(duì)抗欺 騙性濫用的安全水平提高了���。根據(jù)本發(fā)明利用一種操作電子系統(tǒng)的方法實(shí)現(xiàn)了該目的��,所述方法包括以下步 驟從電子系統(tǒng)的第一設(shè)備向電子系統(tǒng)的第二設(shè)備發(fā)送消息����;在第二設(shè)備處接收所述消息;
在第二設(shè)備處�,基于在所述第二設(shè)備處先前接收到的消息的至少一部分的歷史的 至少一部分,使用第一函數(shù)來產(chǎn)生第一值��,以及將所述第一值存儲(chǔ)在所述第二設(shè)備的存儲(chǔ) 器中��;將第一值與在第一設(shè)備處產(chǎn)生的第二值相比較�,所述第二值是基于從第一設(shè)備先 前發(fā)送至第二設(shè)備的消息的至少一部分的歷史的至少一部分使用第二函數(shù)來產(chǎn)生的�����;評(píng)估第一值和第二值����;以及如果第一值和第二值的評(píng)估表示在第二設(shè)備處先前接收到的消息的歷史與從第 一設(shè)備先前發(fā)送的消息的歷史不同����,則產(chǎn)生信號(hào)。還根據(jù)本發(fā)明利用一種電子系統(tǒng)實(shí)現(xiàn)了目的��,所述電子系統(tǒng)包括第一設(shè)備和第 二設(shè)備以及嵌入第二設(shè)備中存儲(chǔ)器�;其中第一設(shè)備被配置為向第二設(shè)備發(fā)送消息;第二設(shè) 備被配置為基于在第二設(shè)備處先前接收到的消息的至少一部分的歷史的至少一部分�����,使用 第一函數(shù)來產(chǎn)生第一值�����,以及被配置為將第一值存儲(chǔ)在該第二設(shè)備的存儲(chǔ)器中���;第一設(shè)備 被配置為基于從第一設(shè)備先前發(fā)送的消息的至少一部分的歷史的至少一部分�,使用第二函 數(shù)來產(chǎn)生第二值;以及電子系統(tǒng)被配置為評(píng)估第一值和第二值���,以及被配置為如果第一值 和第二值的評(píng)估表示在第二設(shè)備處先前接收到的消息的歷史與從第一設(shè)備先前發(fā)送的消 息的歷史不同�����,則產(chǎn)生信號(hào)���。本發(fā)明的電子系統(tǒng)包括第一設(shè)備和第二設(shè)備,其中第一設(shè)備向第二設(shè)備發(fā)送消 息�。第一設(shè)備具體可以是所謂的安全設(shè)備,如安全微控制器�。在這種情況下安全設(shè)備是包 括對(duì)抗未經(jīng)授權(quán)的訪問或篡改的措施的設(shè)備。例如�����,可以由第一設(shè)備的安全架構(gòu)來實(shí)現(xiàn)這 一點(diǎn)���。如果第一設(shè)備是這樣的安全設(shè)備,則可以至少以相對(duì)高的確定性來假定離開第一設(shè) 備的消息未被篡改����。第二設(shè)備也可以是微控制器���,并且被配置為接收來自第一設(shè)備的消息。第二設(shè)備 還可以被配置為基于接收到的消息來執(zhí)行動(dòng)作并將消息存儲(chǔ)在該第二設(shè)備的存儲(chǔ)器中�。存 儲(chǔ)器具體可以是非易失性存儲(chǔ)器和/或可以嵌入第二設(shè)備中。將存儲(chǔ)器嵌入第二設(shè)備中是 可以通過將第二設(shè)備形成為包括存儲(chǔ)器但不包括第一設(shè)備的單個(gè)集成電路來實(shí)現(xiàn)的��。非易 失性存儲(chǔ)器的優(yōu)點(diǎn)是非易失性存儲(chǔ)器具有在存儲(chǔ)器沒有電力可用的情況下不丟失其內(nèi)容 的能力���。第二設(shè)備可以不是安全設(shè)備�,這是因?yàn)榈谝辉O(shè)備和第二設(shè)備可以不包含到單個(gè)集 成電路中�����,第一設(shè)備和第二設(shè)備之間的通信可能是非安全的����,結(jié)果是由第二設(shè)備接收到的 消息的未授權(quán)更改。為了檢測(cè)這種消息的更改�,第二設(shè)備利用第一函數(shù)產(chǎn)生第一值。第一函數(shù)可以基 于在第二設(shè)備處先前接收到的消息的至少一部分的歷史的至少一部分�����。第二設(shè)備還將第一 值存儲(chǔ)在該第二設(shè)備的存儲(chǔ)器中。第一值從而包括與在第二設(shè)備處接收到的消息(具體地 達(dá)到當(dāng)前接收到的消息)的歷史有關(guān)的信息��。第一設(shè)備被配置為使用第二函數(shù)來產(chǎn)生第二 值��,所述第二函數(shù)基于從第一設(shè)備先前發(fā)送的消息的至少一部分的歷史的至少一部分�����。第 二值可以存儲(chǔ)在第一設(shè)備的存儲(chǔ)器中���。因此�����,第二值包括與從第一設(shè)備發(fā)送的消息(具體 地達(dá)到當(dāng)前發(fā)送的消息)的歷史有關(guān)的信息�����。由于第二設(shè)備應(yīng)當(dāng)接收與第一設(shè)備發(fā)送給第 二設(shè)備的消息相同的消息���,所以第一值和第二值應(yīng)當(dāng)相關(guān)���。換言之��,如果本發(fā)明的電子系統(tǒng) 響應(yīng)于對(duì)第一值和第二值的評(píng)估檢測(cè)到在第二設(shè)備處先前接收到的消息的歷史與從第一設(shè)備先前發(fā)送的消息的歷史不同�,則消息之一可能已經(jīng)被篡改,并且電子系統(tǒng)產(chǎn)生信號(hào)��。第一函數(shù)和第二函數(shù)可以相同���,使得第如果先前發(fā)送和先前接收的消息的歷史相 同�,則一值和第二值相同�。這樣,僅需要針對(duì)第一值和第二值的評(píng)估來比較第一值和第二 值��,如果第一值和第二值不同則產(chǎn)生信號(hào)����。在一個(gè)實(shí)施例中,第一函數(shù)還基于在第二設(shè)備處接收到的消息的至少一部分�����,并 且第二函數(shù)還基于從第一設(shè)備發(fā)送的消息的至少一部分����。這樣,也可以檢測(cè)到當(dāng)前消息是 否改變��。此外,可以在第二設(shè)備執(zhí)行其動(dòng)作之前或之后將消息存儲(chǔ)在第二設(shè)備的存儲(chǔ)器 中���?����?梢杂傻谝辉O(shè)備或者由第二設(shè)備來執(zhí)行第一值和第二值的評(píng)估�����。因此�,本發(fā)明的方法 可以包括向第一設(shè)備發(fā)送第一值并在第一設(shè)備處評(píng)估第一值和第二值���;或者向第二設(shè)備發(fā) 送第二值并在第二設(shè)備處評(píng)估第一值和第二值�。如上所述����,第一設(shè)備可以是安全微處理器并通常是電子系統(tǒng)的主設(shè)備。第二設(shè)備 可以外圍設(shè)備�����,如操作耦合至電子系統(tǒng)的顯示器的顯示器驅(qū)動(dòng)器或顯示器控制器��、鍵盤控 制器和/或指紋傳感器控制器����。如果第二設(shè)備是顯示器控制器或驅(qū)動(dòng)器,則消息可以包括 要由顯示器來顯示的顯示信息�。在本發(fā)明的電子系統(tǒng)的一個(gè)實(shí)施例中,電子系統(tǒng)是智能卡�����,所述智能卡包括作為 第一設(shè)備的智能卡控制器���;操作耦合至智能卡控制器的通信接口����,其中通信接口被配置為 與讀取器通信�����;顯示器�;以及作為第二設(shè)備操作耦合至顯示器的顯示器驅(qū)動(dòng)器。智能卡例 如可以被配置為在與讀取器的通信期間執(zhí)行多個(gè)寫入周期��,并且消息包括要在顯示器上顯 示的多個(gè)寫入周期中的一個(gè)寫入周期(具體地���,最后的寫入周期)的顯示信息����。可以在具 有或不具有讀卡器的信息的情況下由芯片卡控制器來計(jì)算要顯示的信息����。要顯示的信息還 可以由讀取器來發(fā)起。第二設(shè)備的存儲(chǔ)器可以是非易失性存儲(chǔ)器���,顯示器驅(qū)動(dòng)器可以由包 括存儲(chǔ)器但不包括智能卡控制器或通信接口的單個(gè)集成電路形成����。智能卡控制器可以被形 成為包括智能卡存儲(chǔ)器以及可能地包括通信接口或通信接口的至少一部分在內(nèi)的單個(gè)集 成電路����。智能卡可以是接觸式智能卡,被配置為以接觸邊界的方式與讀取器通信�,智能卡可 以是非接觸式智能卡,被配置為以非接觸的方式與讀取器通信���,或者智能卡可以是這兩者 的組合�。存在許多操作智能卡(一般地�,電子系統(tǒng))的方式�。例如���,可以使用例如激光來改 變智能卡不同部件之間的內(nèi)部通信流,或者可以在例如已經(jīng)完成與讀取器的當(dāng)前通信之前 終止智能卡控制器的處理�。在這兩種情況下,智能卡可能被篡改�,使得該智能卡出于例如進(jìn) 行欺騙的目的而顯示所操作的顯示內(nèi)容。響應(yīng)于所產(chǎn)生的信號(hào)���,可以顯示與檢測(cè)到在第二 設(shè)備處先前接收到的消息的歷史與從第一設(shè)備先前發(fā)送的消息的歷史不同有關(guān)的信息�,可 以重置電子系統(tǒng)���,可以傳達(dá)與檢測(cè)到在第二設(shè)備處先前接收到的消息的歷史與從第一設(shè)備 先前發(fā)送的消息的歷史不同有關(guān)的信息�,和/或可以終止電子系統(tǒng)與電子系統(tǒng)外部的第三 設(shè)備的通信����。第三設(shè)備可以是讀取器,使得例如可以使用該讀取器來觸發(fā)不同的動(dòng)作(例 如請(qǐng)求諸如智能卡用戶的身份證明之類的附加安全性)或觸發(fā)智能卡的更換���。
隨后將參考附圖中所示實(shí)施例���、作為非限制性示例更加詳細(xì)地描述本發(fā)明�。
圖1是包括智能卡控制器和顯示器驅(qū)動(dòng)器的智能卡���;以及圖2至圖4是示出了在智能卡控制器和顯示器驅(qū)動(dòng)器之間的通行程序的不同實(shí)施 例的流程圖����。
具體實(shí)施例方式圖1示出了作為電子系統(tǒng)的示例的智能卡1���,智能卡1包括彼此通信的第一設(shè)備和 第二設(shè)備����。智能卡1包括例如由塑料制成的基板2����、作為第一設(shè)備的示例的智能卡控制器 3、操作用于耦合至智能卡控制器3的智能卡存儲(chǔ)器4���、操作用于耦合至智能卡控制器3的通 信接口 5���、作為第二設(shè)備的示例操作用于耦合至智能卡控制器3的顯示器驅(qū)動(dòng)器6、以及由 顯示器驅(qū)動(dòng)器6來驅(qū)動(dòng)的顯示器7��。可以將可能是EEPROM的智能卡存儲(chǔ)器4�、智能卡控制 器3和通信接口的至少一部分集成到單個(gè)集成電路中。對(duì)于示例實(shí)施例����,智能卡1可以使用通信接口 5與讀取器9通信。具體地�,智能卡 1可以是接觸式智能卡、非接觸式智能卡或兩者的組合����。如果智能卡1被設(shè)計(jì)為以接觸邊界的方式與讀取器9通信���,則智能卡1的通信接 口 5是接觸邊界接口��。這樣�,智能卡1可以插入讀取器9中以進(jìn)行通信�����,并且讀取器9的通 信接口與智能卡1的通信接口 5接觸�。此外,可以經(jīng)由通信接口將智能卡1的電能從讀取 器1傳遞至智能卡1����。如果智能卡1被設(shè)計(jì)為非接觸地與讀取器9通信��,則智能卡1的通信接口 5可以 是包括例如天線在內(nèi)的非接觸式接口�����。這樣���,如本質(zhì)上現(xiàn)有技術(shù)已知的,智能卡1可以通過 射頻標(biāo)簽來與讀取器9通信或者由讀取器9發(fā)射的電場(chǎng)來供電��。此外�����,如圖1所示��,智能卡1可以包括可再充電的或不可再充電的電池10���,所述電 池10具體地當(dāng)智能卡1沒有操作耦合至讀取器9時(shí)為顯示器驅(qū)動(dòng)器6供電�����。對(duì)于示例實(shí)施例��,智能卡控制器3當(dāng)與讀取器9通信時(shí)控制該通信���。通信包括多 個(gè)寫入周期���,在所述寫入周期期間智能卡控制器3在智能卡存儲(chǔ)器4上寫入數(shù)據(jù)。此外�����,智能卡1被配置為在顯示器7上顯示顯示信息�����。為了顯示所述顯示信息�����,智 能卡控制器3向顯示器驅(qū)動(dòng)器6發(fā)送消息��,所述顯示器驅(qū)動(dòng)器6驅(qū)動(dòng)顯示器7示出消息的 顯示信息�����。顯示器驅(qū)動(dòng)器6接收到的消息可能被篡改��。為了檢測(cè)發(fā)生改變的消息���,智能卡 1實(shí)現(xiàn)圖2所示的以下安全機(jī)制����。智能卡控制器3向顯示器驅(qū)動(dòng)器6發(fā)送消息m����。這是在圖2中由箭頭11指示的。 消息m包括要由顯示器7來顯示的顯示信息���。顯示器驅(qū)動(dòng)器6驅(qū)動(dòng)顯示器7�����,使得顯示器7 顯示消息m的顯示信息�。在驅(qū)動(dòng)顯示器7之前�����、之后或與此同時(shí)���,顯示器驅(qū)動(dòng)器6將消息m 存儲(chǔ)在該顯示器驅(qū)動(dòng)器6的存儲(chǔ)器8中�。此外,顯示器驅(qū)動(dòng)器6將接收到的消息的歷史存儲(chǔ)在該顯示器驅(qū)動(dòng)器6的存儲(chǔ) 器8中���。對(duì)于示例實(shí)施例��,該歷史(history)是例如通過抗沖擊單向函數(shù)根據(jù)舊歷史 (historyold)和消息m來計(jì)算的history = f (m, historyold)舊歷史也存儲(chǔ)在存儲(chǔ)器8中并且反映了在接收消息m之前在顯示器驅(qū)動(dòng)器6處先 前接收的消息的歷史(舊歷史可以被替換成新歷史)����。因此����,但前歷史始終包括到目前為止 所顯示的所有顯示信息。
8
對(duì)于示例實(shí)施例��,顯示器驅(qū)動(dòng)器6向智能卡控制器3發(fā)送歷史(=f(m, history-))����。這是在圖2中由箭頭12來指示的�����。智能卡控制器3然后通過將顯示器驅(qū)動(dòng) 器6所計(jì)算的歷史與該智能卡控制器3發(fā)送至顯示器驅(qū)動(dòng)器6的消息的歷史相比較來驗(yàn)證 顯示器驅(qū)動(dòng)器6的歷史�。由此,智能卡控制器3檢驗(yàn)是否曾經(jīng)存在例如由于攻擊而造成的 顯示器驅(qū)動(dòng)器6接收到的錯(cuò)誤值���。例如�,如果攻擊者仿真智能卡控制器3并使顯示器驅(qū)動(dòng)器6顯示所仿真消息的另 一顯示信息,則驅(qū)動(dòng)器顯示器6計(jì)算包括所仿真消息在內(nèi)的新歷史��。由于后續(xù)歷史也依賴 于該仿真歷史�,所以智能卡控制器3將會(huì)在比較其計(jì)算的歷史與顯示器驅(qū)動(dòng)器所計(jì)算的歷 史時(shí),在隨后與顯示器驅(qū)動(dòng)器6的通信期間檢測(cè)到攻擊�����,并且智能卡控制器3可以適當(dāng)?shù)刈?出反應(yīng)���。例如�,可以通過MAC或通信的加密來保護(hù)智能卡控制器3與顯示器驅(qū)動(dòng)器6之間 的通信���。因此�,基本上到目前為止顯示器驅(qū)動(dòng)器6接收到的�、或顯示器7顯示過的消息的歷 史、或至少是歷史的函數(shù)存儲(chǔ)在顯示器驅(qū)動(dòng)器6的存儲(chǔ)器8中���。該歷史用于檢測(cè)篡改攻擊��。 由此��,如果存儲(chǔ)器8是非易失性的情況下�����,甚至在它們之間的電源切斷的情況下���,智能卡控 制器3也可以控制在從它們上一次通信開始顯示器驅(qū)動(dòng)器6是否具有錯(cuò)誤值���。對(duì)于示例實(shí)施例,如果該智能卡控制器3的所計(jì)算的歷史與從顯示器驅(qū)動(dòng)器6接 收到的所計(jì)算的歷史不同�����,則智能卡控制器3產(chǎn)生信號(hào)��。響應(yīng)于該信號(hào)�����,智能卡1可以發(fā)起 適當(dāng)動(dòng)作��,如����,智能卡1的完全或臨時(shí)服務(wù)否定。如果發(fā)起完全服務(wù)否定����,則智能卡1響應(yīng)于所產(chǎn)生的信號(hào)而停止工作。如果發(fā)起臨時(shí)服務(wù)否定��,則基本上智能卡1不執(zhí)行所需的動(dòng)作��。智能卡1還可以繼續(xù)操作�����,但是將攻擊經(jīng)由讀取器9傳送至后端系統(tǒng)���。后端系統(tǒng) 然后可以判定后續(xù)操作��,例如將智能卡1替換成另一個(gè)智能卡����、或者要求附加安全措施�����。為了允許后兩種反應(yīng)�,需要智能卡1將顯示器驅(qū)動(dòng)器6的歷史與智能卡控制器3 的歷史同步����。在安全性方面�,可以通過使用非安全命令重置顯示器驅(qū)動(dòng)器6的存儲(chǔ)器8中 存儲(chǔ)的歷史來實(shí)現(xiàn)這一點(diǎn),這是因?yàn)椴荒芡ㄟ^將智能卡控制器3和顯示器驅(qū)動(dòng)器3連接的 接口-來重置智能卡控制器3處的歷史����。也不必須傳遞完整歷史。還可以傳遞與該歷史有關(guān)的函數(shù)結(jié)果��。圖3示出了智能卡控制器3與顯示器驅(qū)動(dòng)器6之間的通信的備選實(shí)施例��。如箭頭 11所指示的����,智能卡控制器3向顯示器驅(qū)動(dòng)器6發(fā)送消息m。顯示器驅(qū)動(dòng)器6驅(qū)動(dòng)顯示器 7,使得顯示器7顯示消息m的顯示信息�。在驅(qū)動(dòng)顯示器7之前、之后或與此同時(shí)�,顯示器驅(qū) 動(dòng)器6將消息m存儲(chǔ)在該顯示器驅(qū)動(dòng)器6的存儲(chǔ)器8中。此外�,顯示器驅(qū)動(dòng)器6將接收到 的消息的歷史存儲(chǔ)在該顯示器驅(qū)動(dòng)器6的存儲(chǔ)器8中。對(duì)于示例實(shí)施例�,該歷史(history) 也例如通過抗沖突單向函數(shù)根據(jù)舊歷史(hist0ry。ld)來計(jì)算的history = f (m,historyold)智能卡控制器3還將其自己的歷史(hiSt0ry��。��。nte�。llCT)發(fā)送至顯示器驅(qū)動(dòng)器3��。這在 圖3中由箭頭13指示���。然后�����,顯示器驅(qū)動(dòng)器3通過將顯示器驅(qū)動(dòng)器6所計(jì)算的歷史與智能 卡控制器3所計(jì)算的歷史相比較����,來驗(yàn)證智能卡控制器3的歷史(hiStory����。。nte��。llCT)����。由此��, 顯示器6檢驗(yàn)其是否接收到例如由于攻擊而引起的錯(cuò)誤值����。也不必須傳遞完整歷史����。還可以傳遞與該歷史有關(guān)的函數(shù)的結(jié)果。圖4示出了智能卡控制器3與顯示器驅(qū)動(dòng)器6之間的通信的另一備選實(shí)施例�����。如 箭頭11所指示的��,智能卡控制器3向顯示器驅(qū)動(dòng)器6發(fā)送消息m��。顯示器驅(qū)動(dòng)器6驅(qū)動(dòng)顯 示器7��,使得顯示器7顯示消息m的顯示信息�����。在驅(qū)動(dòng)顯示器7之前�����、之后或與此同時(shí),顯示 器驅(qū)動(dòng)器6將接收到的消息m存儲(chǔ)在該顯示器驅(qū)動(dòng)器6的存儲(chǔ)器8中��。此外��,顯示器驅(qū)動(dòng) 器6將接收到的消息的歷史存儲(chǔ)在該顯示器驅(qū)動(dòng)器6的存儲(chǔ)器8中�����。然而�����,對(duì)于該示例實(shí) 施例��,顯示器驅(qū)動(dòng)器3基于在當(dāng)前消息m之前直接接收到的消息m���。ld來計(jì)算歷史。該歷史 (history)可以是例如通過抗沖突單向函數(shù)來計(jì)算的history = f (mold, historyold)根據(jù)該歷史�����,顯示器驅(qū)動(dòng)器6計(jì)算函數(shù)f (m, history)����,該函數(shù)包括與當(dāng)前接收到 的消息m有關(guān)的信息�����。在顯示器驅(qū)動(dòng)器6發(fā)送函數(shù)f(m�,history)的值之前�����,根據(jù)已經(jīng)存儲(chǔ) 在其存儲(chǔ)器8中的消息m�。ld和歷史來計(jì)算歷史(history)。該實(shí)施例的優(yōu)點(diǎn)在于���,可以檢測(cè) 到歷史計(jì)算之后對(duì)存儲(chǔ)器8中的消息的直接攻擊���。歷史(History)的傳輸由圖4中的箭頭 14來指示。如果驅(qū)動(dòng)器顯示器6在從每個(gè)智能卡控制器3接收到消息之后直接答復(fù)歷史 (history)����,則可以忽略函數(shù)的二次使用。這意味著�����,實(shí)際消息m并不影響實(shí)際歷史,但是對(duì) 該消息m的攻擊將在下一次通信中被檢測(cè)到���。因此���,顯示器驅(qū)動(dòng)器6并不向智能卡控制器 3 發(fā)送函數(shù) f(m,history)的值�����,而僅發(fā)送 history = f (m�����。ld���,history。ld)����。最終,應(yīng)注意����,前述實(shí)施例說明而非限制本發(fā)明���,在不脫離所附權(quán)利要求所限定的 本發(fā)明的范圍的前提下,本領(lǐng)域技術(shù)人員將能夠設(shè)計(jì)出許多備選實(shí)施例����。在權(quán)利要求中,括 號(hào)中的任何參考標(biāo)記都不應(yīng)被解釋為限制權(quán)利要求�。詞語“包括”和“包含”等并不排除存 在權(quán)利要求或說明書全文中所列元件或步驟以外的其他元件或步驟。對(duì)元件的單數(shù)引用并 不排除這種元件的復(fù)數(shù)引用�����,反之亦然����。在列舉了若干裝置的設(shè)備權(quán)利要求中,這些裝置中 的幾個(gè)可以由同一項(xiàng)軟件或硬件來實(shí)現(xiàn)�。在互不相同的從屬權(quán)利要求中產(chǎn)生特定措施并不 表示不能有利地使用這些措施的組合。
權(quán)利要求
一種操作電子系統(tǒng)的方法���,包括以下步驟從電子系統(tǒng)(1)的第一設(shè)備(3)向電子系統(tǒng)(1)的第二設(shè)備(6)發(fā)送消息��;在第二設(shè)備(6)處接收消息�����;在第二設(shè)備(6)處��,基于在第二設(shè)備(6)處先前接收到的消息的至少一部分的歷史的至少一部分�����,使用第一函數(shù)來產(chǎn)生第一值���,以及將第一值存儲(chǔ)在第二設(shè)備(6)的存儲(chǔ)器(8)中�����;將第一值與在第一設(shè)備(3)處產(chǎn)生的第二值相比較��,所述第二值是基于從第一設(shè)備(3)先前發(fā)送至第二設(shè)備(6)的消息的至少一部分的歷史的至少一部分來使用第二函數(shù);評(píng)估第一值和第二值��;以及如果第一值和第二值的評(píng)估表示在第二設(shè)備(6)處先前接收到的消息的歷史與從第一設(shè)備(3)先前發(fā)送的消息的歷史不同��,則產(chǎn)生信號(hào)�����。
2.根據(jù)權(quán)利要求1所述的方法���,其中��,第一函數(shù)還基于在第二設(shè)備(6)處接收到的消息 的至少一部分��,以及第二函數(shù)還基于從第一設(shè)備(3)發(fā)送的消息的至少一部分�����。
3.根據(jù)權(quán)利要求1所述的方法����,包括從第二設(shè)備(6)向第一設(shè)備(3)發(fā)送第一值,并在第一設(shè)備(3)處評(píng)估第一值和第二 值�;或從第一設(shè)備(3)向第二設(shè)備(6)發(fā)送第二值,并在第二設(shè)備(6)處評(píng)估第一值和第二值�����。
4.根據(jù)權(quán)利要求1所述的方法�����,其中�, 存儲(chǔ)器(8)是易失性存儲(chǔ)器; 存儲(chǔ)器(8)是非易失性存儲(chǔ)器;第二設(shè)備(6)由包括存儲(chǔ)器(8)但不包括第一設(shè)備(3)的單個(gè)集成電路形成��; 第一設(shè)備(3)是第一微控制器�; 第二設(shè)備(6)是第二微控制器;第二設(shè)備是操作耦合至顯示器(7)的顯示器驅(qū)動(dòng)器(6)或顯示器控制器���,并且消息包 括要由顯示器(7)來顯示的顯示信息���; 第二設(shè)備(6)是鍵盤控制器;和/或 第二設(shè)備(6)是指紋傳感器控制器�。
5.根據(jù)權(quán)利要求1所述的方法,包括響應(yīng)于所產(chǎn)生的信號(hào)來執(zhí)行以下操作顯示與已經(jīng)檢測(cè)到在第二設(shè)備(6)處先前接收到的消息的歷史與從第一設(shè)備(3)先前 發(fā)送的消息的歷史不同有關(guān)的信息��;和/或 重置電子系統(tǒng)⑴�;和/或傳達(dá)與已經(jīng)檢測(cè)到在第二設(shè)備(6)處先前接收到的消息的歷史與從第一設(shè)備(3)先前 發(fā)送的消息的歷史不同有關(guān)的信息;和/或終止電子系統(tǒng)(1)與電子系統(tǒng)(1)外部的第三設(shè)備(9)的通信�。
6.根據(jù)權(quán)利要求1所述的方法,其中�,電子系統(tǒng)是智能卡(1),所述智能卡(1)包括 作為第一設(shè)備的智能卡控制器(3)�;操作耦合至智能卡控制器(3)的通信接口(5)�����,其中所述通信接口(5)被配置為與讀取 器(9)通信���;顯示器⑵����;以及作為第二設(shè)備操作耦合至顯示器(7)的顯示器驅(qū)動(dòng)器(6);所述方法具體還包括在智能卡(1)與讀取器(9)的通信期間的多個(gè)寫入周期�����;其中 所述消息包括要在顯示器(7)上顯示的多個(gè)寫入周期中的一個(gè)寫入周期的顯示信息��。
7. 一種電子系統(tǒng)����,包括第一設(shè)備和第二設(shè)備(3,6)����;第一設(shè)備(3)被配置為向第二設(shè)備(6)發(fā)送消息;以及 存儲(chǔ)器(8)���,嵌入第二設(shè)備(6)中�����;其中�,第二設(shè)備(6)被配置為基于在第二設(shè)備(6)處先前接收到的消息的至少一部分 的歷史的至少一部分,使用第一函數(shù)來產(chǎn)生第一值��,以及被配置為將第一值存儲(chǔ)在第二設(shè) 備的存儲(chǔ)器(8)中�����;第一設(shè)備(3)被配置為基于從第一設(shè)備(3)先前發(fā)送的消息的至少一部分的歷史的至 少一部分����,使用第二函數(shù)來產(chǎn)生第二值;以及電子系統(tǒng)(1)被配置為評(píng)估第一值和第二值��,以及被配置為如果第一值和第二值的評(píng) 估表示在第二設(shè)備(6)處先前接收到的消息的歷史與從第一設(shè)備(3)先前發(fā)送的消息的歷 史不同���,則產(chǎn)生信號(hào)��。
8.根據(jù)權(quán)利要求7所述的電子系統(tǒng)�,其中��,第一函數(shù)基于在第二設(shè)備(6)處接收到的消 息��,以及第二函數(shù)基于從第一設(shè)備(3)發(fā)送的消息�。
9.根據(jù)權(quán)利要求7所述的電子系統(tǒng),其中��,第二設(shè)備(6)被配置為向第一設(shè)備(3)發(fā)送第一值����,以及第一設(shè)備(3)被配置為評(píng)估第一值和第二值;或第一設(shè)備(3)被配置為向第二設(shè)備(6)發(fā)送第二值����,以及第二設(shè)備(6)被配置為評(píng)估 第一值和第二值。
10.根據(jù)權(quán)利要求7所述的電子系統(tǒng)��,其中��, 存儲(chǔ)器(8)是易失性存儲(chǔ)器���;存儲(chǔ)器(8)是非易失性存儲(chǔ)器�;第二設(shè)備(6)由包括存儲(chǔ)器(8)但不包括第一設(shè)備(3)的單個(gè)集成電路形成�; 第一設(shè)備(3)是第一微控制器����; 第二設(shè)備(6)是第二微控制器����;第二設(shè)備是操作耦合至顯示器(7)的顯示器驅(qū)動(dòng)器(6)或顯示器控制器�����,以及所述消 息包括要由顯示器(7)來顯示的顯示信息����; 第二設(shè)備(6)是鍵盤控制器�;和/或 第二設(shè)備(6)是指紋傳感器控制器����。
11.根據(jù)權(quán)利要求7所述的電子系統(tǒng)���,被配置為響應(yīng)于所產(chǎn)生的信號(hào)來執(zhí)行以下操作 顯示與已經(jīng)檢測(cè)到第一歷史函數(shù)和第二歷史函數(shù)之間的差異有關(guān)的信息�����;和/或 重置電子系統(tǒng)⑴��;和/或傳達(dá)與已經(jīng)檢測(cè)到第一歷史函數(shù)和第二歷史函數(shù)之間的差異有關(guān)的信息����;和/或 終止電子系統(tǒng)⑴與電子系統(tǒng)⑴外部的第三設(shè)備(9)的通信����。
12.根據(jù)權(quán)利要求7所述的電子系統(tǒng)�,其中�,所述電子系統(tǒng)是智能卡(1),所述智能卡 ⑴包括作為第一設(shè)備的智能卡控制器(3)�����;操作耦合至智能卡控制器(3)的通信接口(5)��,其中所述通信接口(5)被配置為與讀取 器(9)通信����;顯示器⑵;以及作為第二設(shè)備操作耦合至顯示器(7)的顯示器驅(qū)動(dòng)器(6)�;其中,所述智能卡(1)具體被配置為在與讀取器(9)的通信期間執(zhí)行多個(gè)寫入周期���,以 及所述消息包括要在顯示器(7)上顯示的多個(gè)寫入周期中的一個(gè)寫入周期的顯示信息����。
全文摘要
在一種操作電子系統(tǒng)的方法中,電子系統(tǒng)(1)的第一設(shè)備(3)向電子系統(tǒng)(1)的第二設(shè)備(6)發(fā)送消息��。在第二設(shè)備(6)接收所述消息���,基于在第二設(shè)備(6)處先前接收到的消息的至少一部分的歷史的至少一部分���,使用第一函數(shù)來產(chǎn)生第一值�,以及將第一值存儲(chǔ)在第二設(shè)備(6)的存儲(chǔ)器(8)中。將第一值與在第一設(shè)備(3)處產(chǎn)生的第二值相比較�����,其中所述第二值是基于從第一設(shè)備(3)先前發(fā)送至第二設(shè)備(6)的消息的至少一部分的歷史的至少一部分,使用第二函數(shù)來產(chǎn)生����。評(píng)估第一值和第二值���,如果第一值和第二值的評(píng)估指示在第二設(shè)備(6)處先前接收到的消息的歷史與從第一設(shè)備(3)先前發(fā)送的消息的歷史不同,則產(chǎn)生信號(hào)�����。
文檔編號(hào)G07F7/10GK101918952SQ200880115812
公開日2010年12月15日 申請(qǐng)日期2008年11月12日 優(yōu)先權(quán)日2007年11月14日
發(fā)明者彼德·斯里克爾維爾, 蘇珊·波爾夫伊德 申請(qǐng)人:Nxp股份有限公司