CN101281666A - 一种含Mifare功能模块的智能卡及其数据更新方法 - Google Patents

Abstract

本发明公开了一种含Mifare功能模块的智能卡及其数据更新方法，包括：Mifare功能模块根据接收到的充值或消费命令消息更新Mifare功能模块中存储的数据；控制模块，在接收到充值命令消息时，控制Mifare功能模块根据所述充值命令消息进行数据更新。使用本发明可以在包含有Mifare功能的CPU卡或Key等介质中，既可以表现出Mifare功能的便利性，也能发挥出CPU智能卡高安全性，最终提高了应用***的整体安全性。

Description

一种含Mifare功能模块的智能卡及其数据更新方法

技术领域

本发明涉及数据安全，特别涉及一种含Mifare功能模块的智能卡及其数据更新方法。

背景技术

目前Mifare家族的产品在全球的非接触应用中已经比较普遍，其主要是含有具备一定安全性的非接触逻辑加密卡(Mifare Standard)，其主要应用在需要具备一定安全或便捷需求的城市通卡、公共事业卡(包括水、煤、电、气表卡等)、停车收费记帐卡、各种贵宾卡等应用领域，当需要进行充值或者进行消费时，Mifare功能模块只需根据接收到的充值或消费命令消息对Mifare功能模块中存储的数据进行更新，便可对卡内数据映射的金额实现充值或者消费。随着小额支付应用的成熟，手机购电、手机支付、社保应用、加油应用等不同行业也更多采用了卡片介质；而跨行业、跨领域、跨应用的“多功能卡”也越来越成为新的发展趋势，多种应用逐渐集中到同一张卡内，这样有较低安全需求的应用和较高安全需求的应用将在一起构成一卡多用***。

为了满足兼容Mifare部分和提高应用***的安全性，芯片厂商推出了具备Mifare1功能的CPU智能芯片，该芯片将具有Mifare功能模块的软件/硬件模拟器和CPU卡集中在一张卡片中，通过COS(Card Operating System，卡片操作***)或相关逻辑电路来完成智能卡卡内电子钱包、电子存折等文件的金额、相关数据等信息，与Mifare区域的金额、相关数据等信息相互关联或共同完成一定的功能。图1为带Mifare功能模块的CPU智能芯片卡功能结构框架示意图，如图所示，卡上分别包括：执行COS等处理的CPU操作模块、由软件/硬件模拟器构成的Mifare功能模块部分，以及承担通信、协议等功能的ISO/IEC14443-3部分。

Mifare功能模块部分和CPU操作模块可以通过CPU卡的COS实现两者数据的相互关联，由芯片本身提供相互关联的技术基础。有的芯片处理方法是以CPU操作模块为主导，根据收到的不同的指令值由COS选择是否跳转到Mifare部分。有的芯片处理方法则是以Mifare部分为主导，根据是否收到一些特定的指令决定是否跳转到CPU操作模块。图2为带Mifare功能模块的CPU智能芯片卡逻辑结构示意图，该图为芯片处理方法是以CPU操作模块为主导，根据收到的不同的指令值由COS选择是否跳转到Mifare功能模块部分，如图所示，当命令发送单元向数据判断发送命令后，经过数据判断单元判断后触发CPU操作模块进行操作，CPU操作模块选择跳转到Mifare功能模块部分后，通过数据控制单元的数据转换模块与数据接口模块与Mifare功能模块部分进行数据关联处理。

对于应用***来说，采用带Mifare功能模块的CPU芯片，既能兼容之前的Mifare的应用，CPU操作模块又可以满足高安全性的需求。但是，应用***对充值和消费采取的策略是不同的。因为对于基于芯片卡中“电子钱包”为介质的应用***，Mifare部分由于安全性比CPU卡要低，所以对于***攻击者来说，由于在采用CPU的COS访问Mifare区域的应用中，特别要求Mifare部分的钱包和CPU操作模块的电子钱包或电子存折钱包同步更新，因此Mifare部分的钱包和CPU操作模块的电子钱包或电子存折在一定程度上是“相通”的，所以主要攻击较低安全性的Mifare部分即可。对于钱包来说，有充值和消费的功能，对于***攻击者来说，如果破解消费功能，导致攻击者/用户钱包金额的减少，攻击者没有更多的利益，也没有太大意义；因此，如果破解充值功能，攻击者/用户钱包金额将增加，攻击者会得到很多的利益，这样将驱使攻击者更多的攻击行为。

但是，现有技术的不足在于：还没有针对由于Mifare部分安全性低导致整个应用***安全性下降的解决方案。

发明内容

本发明提供了一种含Mifare功能模块的智能卡及其数据更新方法，用以提高含Mifare功能模块的智能卡的安全性问题。

本发明提供了一种含Mifare功能模块的智能卡，包括：

Mifare功能模块，用于根据接收到的充值或消费命令消息更新Mifare功能模块中存储的数据；

控制模块，用于在接收到充值命令消息时，控制Mifare功能模块根据所述充值命令消息进行数据更新。

较佳地，所述控制模块包括：密钥修改单元，用于修改Mifare功能模块中的密钥；

所述Mifare功能模块进一步用于当接收到充值命令消息时，在接收的数据通过Mifare功能模块中的密钥验证后，根据接收到的充值命令消息更新Mifare功能模块中存储的数据。

较佳地，所述控制模块进一步包括：

试错统计单元，用于统计接收的数据在通过Mifare功能模块中的密钥验证中连续错误的次数或统计一定时间内使用Mifare功能模块的次数，在所述次数超过阈值时，触发密钥修改单元修改Mifare功能模块中的密钥。

较佳地，所述控制模块包括判断单元和/或应答单元，其中：

判断单元，用于确定接收到的充值命令消息为Mifare指令时，禁止Mifare功能模块根据所述充值命令消息进行数据更新；

应答单元，用于在接收到通信层传输指令时，按CPU智能卡应答方式进行应答。

较佳地，进一步包括：

余额修正模块，用于在确定CPU操作模块中存储的数据所映射的金额小于Mifare功能模块中存储的数据所映射的金额时，更新Mifare功能模块中存储的数据为CPU操作模块中存储的数据。

本发明还提供了一种含Mifare功能模块智能卡的数据更新方法，包括如下步骤：

接收充值命令消息；

确定所述充值命令消息用于Mifare功能模块的数据更新；

控制Mifare功能模块根据所述充值命令消息进行数据更新。

较佳地，所述控制Mifare功能模块根据所述充值命令消息进行数据更新，具体为：

Mifare功能模块在接收到充值命令消息时，对接收的数据用Mifare功能模块中的密钥进行验证，所述密钥由CPU功能模块进行设置；

接收的数据在密钥验证通过后，根据接收到的充值命令消息更新Mifare功能模块中存储的数据。

较佳地，进一步包括：

统计接收的数据在通过Mifare功能模块中的密钥验证中连续错误的次数或统计一定时间内使用Mifare功能模块的次数，在所述次数超过阈值时，修改Mifare功能模块中的密钥。

较佳地，所述控制Mifare功能模块根据所述充值命令消息进行数据更新，具体为：

确定接收到的充值命令消息为Mifare指令时，禁止Mifare功能模块根据所述充值命令消息进行数据更新；

或，

在接收到包括通信层传输指令时，按CPU智能卡应答方式进行应答。

较佳地，进一步包括：

在确定CPU操作模块中存储的数据所映射的金额小于Mifare功能模块中存储的数据所映射的金额时，更新Mifare功能模块中存储的数据为CPU操作模块中存储的数据。

本发明有益效果如下：

本发明是在包含有Mifare功能的CPU卡或Key等介质中，提出的解决方案，既可以表现出Mifare功能的便利性，也能发挥出CPU智能卡高安全性，最终提高了应用***的整体安全性。该方案能有效解决目前一些应用的扩展和升级问题，特别可用在类似于以Mifare卡片为主的公交等***扩展到有更高安全性需求的多应用领域或升级到CPU卡***。

附图说明

图1为背景技术中所述带Mifare功能模块的CPU智能芯片卡功能结构框架示意图；

图2为背景技术中所述带Mifare功能模块的CPU智能芯片卡逻辑结构示意图；

图3为本发明实施例中所述含Mifare功能模块的智能卡结构示意图；

图4为本发明实施例中所述ISO/IEC 14443-3和ISO/IEC 14443-4部分机具设备和智能卡交互的示意图；

图5为本发明实施例中所述含Mifare功能模块智能卡的数据更新方法实施流程示意图。

具体实施方式

下面结合附图对本发明的具体实施方式进行说明。

图3为含Mifare功能模块的智能卡结构示意图，如图所示，在智能卡中可以包括：CPU操作模块301、Mifare功能模块302、控制模块303，其中：

CPU操作模块301，用于根据接收到的数据更新CPU操作模块中存储的数据；

Mifare功能模块302，用于根据接收到的充值或消费命令消息更新Mifare功能模块中存储的数据；

控制模块303，用于在数接收到充值命令消息时，控制Mifare功能模块根据所述充值命令消息进行数据更新。

CPU操作模块中存储的数据和Mifare功能模块中存储的数据可以包括代表了与电子钱包、电子存折等文件有关的金额、相关信息等数据。对这些数据的更新实际上便是对这些映射了金额等信息的数据进行更换。实施中，通过发送充值或消费命令消息来决定对存储的数据进行充值或者消费更新。

具体实施中，控制模块可以包括：密钥修改单元3031，用于修改Mifare功能模块中的密钥；

所述Mifare功能模块302进一步用于当接收到充值命令消息时，在接收的数据通过Mifare功能模块中的密钥验证后，根据接收到的充值命令消息更新Mifare功能模块中存储的数据。

从该实施例中可以看出，通过控制Mifare功能模块中的密钥，便可以实际上达到控制Mifare功能模块中存储数据的更新过程。

具体实施中，可以通过软件方式在COS中增加密钥修改单元的功能，这样，机具在对带Mifare功能的智能卡发出具有安全权限的指令后，由COS采用随机数、或采用自身的某些数据、或外部得到的某些数据等异于之前Mifare的密钥的数据，来更新Mifare部分的改写权限密钥、充值密钥、或读权限密钥，具体可以根据应用的不同来更新写权限密钥或读权限密钥。通过该方式改变了原来的密钥值，使得之前的充值密钥或者改写密钥将不再起作用，达到了控制Mifare功能模块中存储数据的更新过程。

进一步的，此时控制模块中还可以包括：

试错统计单元3032，用于统计接收的数据在通过Mifare功能模块中的密钥验证中连续错误的次数或统计一定时间内使用Mifare功能模块的次数，在所述次数超过阈值时，触发密钥修改单元修改Mifare功能模块中的密钥。

由于Mifare功能模块的安全***架构中并没有有效的预防穷举试错的破解方式。因此，为了更有效的规避对Mifare穷举试错的破解或攻击行为，试错统计单元对于连续试错一定次数的情形，用以弥补该数据安全架构下的不足。

具体的，可以通过软件在COS部分来实现试错统计单元的功能，即通过增加COS的功能，使之可以累计对Mifare部分试错的次数，对于连续试错一定次数的情形，COS会主动更新Mifare部分之前的写/读密钥，更新的数据可以由COS内部自行控制或者由运营方控制，该功能可以在ISO/IEC 14443-3的通信部分完成；当然，也可以为COS主动更新Mifare部分之前的写/读密钥状态，使之处于失效状态。即采用COS对Mifare部分试错的次数累计方法可以弥补Mifare对穷举试错的安全问题。

控制模块303中还可以包括：判断单元3033和/或应答单元3034，其中：

判断单元，用于确定接收到的充值命令消息为Mifare指令时，禁止Mifare功能模块根据所述充值命令消息进行数据更新；

由于很多芯片厂商实现带Mifare功能的智能卡方法不尽相同，有的先进入Mifare部分再进入CPU部分，有的则先导操作(ISO/IEC 14443-3部分)全过程则全部由CPU部分的COS控制。这样对于先导操作全过程全部由CPU部分的COS控制的情形，就需决定是否跳转到Mifare部分，只要确定输入的充值命令消息为Mifare指令时，禁止输入的数据更新Mifare功能模块中存储的数据，即无论给该类型的卡片发任何Mifare指令集(ISO/IEC 14443-3除外)的指令，都不会跳转到Mifare部分，更不会形成使Mifare功能模块部分发生数据更新的交易活动。具体实施中，可以通过软件在COS部分来实现判断单元的功能。

应答单元，用于在接收到通信层传输指令时，按CPU智能卡应答方式进行应答。

图4为ISO/IEC 14443-3和ISO/IEC 14443-4部分机具设备和智能卡交互的示意图，如图所示，其含义为：

REQA：Request Command，Type A方式下机具发出的寻卡指令；

WUPA：Wake-UP Command，Type A方式下机具发出的“唤醒”指令；

ATQA：Answer To Request，Type A方式下卡片对寻卡指令或“唤醒”指令的应答，2个字节；

AntiCollision：机具发出的防冲突指令，用于处理多张卡的情况；

UID：Unique Identifier，卡片返回自己的唯一标识符；

SELECT：Select Command，Type A下的选择卡片指令；

SAK：Select Acknowledge，Type A下卡片的选择确认指令，1字节返回值和2字节CRC(Cyclic Redundancy Check，循环冗余校验)码共3个字节；

RATS：Request for Answer To Select，ISO/IEC-4指令，CPU卡指令。

对于含Mifare功能模块的智能卡来说，在接收到ATQA时，一般返回0x02H、或者返回0x04H；SAK的1字节返回值的第三位(bit)一般为1。

对于不含Mifare功能模块的智能卡来说，在接收到ATQA时，一般返回0x08H；SAK的1字节返回值的第六位(bit)一般为1。

根据ISO/IEC 14443的这些协议规定，标准的机具需要对这些数据项进行检测。如果这些数据项不满足Mifare条件，机具则会退出应用。所以，可以通过软件在COS上实现应答单元的功能，利用其对这些数据项进行修改，如在接收到ATQA时返回0x08H，从而达到欺骗机具不进行后面包括验证、充值等指令的Mifare的流程，从而最终达到在一定程度上提高了智能卡的安全性。

智能卡还可以进一步包括：

余额修正模块3035，用于在确定CPU操作模块中存储的数据所映射的金额小于Mifare功能模块中存储的数据所映射的金额时，更新Mifare功能模块中存储的数据为CPU操作模块中存储的数据。

具体的，在每次进行交易的时候，当发现CPU功能模块部分的钱包/存折映射的余额少于Mifare功能模块部分的钱包余额时，则将Mifare功能模块余额超出CPU功能模块余额的部分减掉，或者用CPU功能模块智能功的数据替换Mifare功能模块中的数据。

本发明实施例还提供了含Mifare功能模块智能卡的数据更新方法，下面结合附图对本方法的实施进行说明。

图5为含Mifare功能模块智能卡的数据更新方法实施流程示意图，如图所示，数据更新方法实施中可以包括如下步骤：

步骤501、接收充值命令消息；

步骤502、确定所述充值命令消息用于Mifare功能模块的数据更新；

步骤503、控制Mifare功能模块根据所述充值命令消息进行数据更新。

所述控制Mifare功能模块根据所述充值命令消息进行数据更新，具体可以为以下方式：

1、Mifare功能模块在接收到充值命令消息时，对接收的数据用Mifare功能模块中的密钥进行验证，所述密钥由CPU功能模块进行设置；

接收的数据在密钥验证通过后，根据接收到的充值命令消息更新Mifare功能模块中存储的数据。

实施中，可以在机具对带Mifare功能模块的智能卡发出具有安全权限的指令时，由COS采用随机数、或者采用自身的某些数据、或者外部得到的某些数据等异于之前Mifare的密钥的数据，更新Mifare功能模块部分的改写权限密钥(或充值密钥)和读权限密钥，可以根据应用的不同更新写权限密钥或读权限密钥。这样则改变了原来的密钥值，之前的充值密钥或者改写密钥将不再起作用。

进一步还可以包括：

统计接收的数据在通过Mifare功能模块中的密钥验证中连续错误的次数或统计一定时间内使用Mifare功能模块的次数，在所述次数超过阈值时，修改Mifare功能模块中的密钥。

由于在Mifare的安全构架下，对于穷举试错并没有有效的预防措施。为了更有效的规避对Mifare穷举试错的破解或攻击行为，COS部分可以累计对Mifare部分试错的次数，对于连续试错一定次数的情形，COS主动更新Mifare部分之前的写/读密钥或者使密钥失效，更新的数据也由COS内部自行控制或者由运营方控制，该操作主要是在ISO/IEC 14443-3的通信部分完成的。即采用COS对Mifare部分试错的次数累计方法可以弥补Mifare对穷举试错的安全问题。

2、确定接收到的充值命令消息为Mifare指令时，禁止Mifare功能模块根据所述充值命令消息进行数据更新。

很多芯片厂商实现带Mifare功能的智能卡方法不尽相同，有的先进入Mifare功能部分再进入CPU功能部分，有的则先导操作(ISO/IEC 14443-3部分)全过程则全部由CPU功能部分的COS控制。对于先导操作全过程全部由CPU部分的COS控制的情形，COS可以决定是否跳转到Mifare部分。即无论给该类型的卡片发任何Mifare指令集(ISO/IEC 14443-3除外)的指令，COS都不会跳转到Mifare部分，更不会形成Mifare部分的交易。

3、在接收到通信层传输指令时，按CPU智能卡应答方式进行应答。

根据ISO/IEC 14443的协议规定，标准的机具需要对智能卡的数据项进行检测。如果这些数据项不满足Mifare条件，机具则会退出应用。所以可以通过COS对这些数据项进行修改，欺骗机具不进行后面包括验证、充值等指令的Mifare的流程，则实质上在一定程度上提高了***的安全性。

数据更新方法中还可以进一步包括：

在确定CPU操作模块中存储的数据所映射的金额小于Mifare功能模块中存储的数据所映射的金额，更新Mifare功能模块中存储的数据为CPU操作模块中存储的数据。

具体的，在每次进行交易的时候，当CPU功能模块部分的钱包/存折的余额少于Mifare功能模块部分的钱包的余额时，则将Mifare余额超出CPU余额的部分减掉。

需要注意的是，实现本发明的不一定肯定是智能卡，也可以是Key等具备Mifare功能模块的、存储有表示电子钱包或电子存折等文件的金额或相关数据的、能通过软件或者相关逻辑电路来数据更新的介质。

同时，本发明实施例中大多采用COS为例来说明如何具体实施，但并不仅仅指只能由COS来实现，本领域技术人员容易知道，采用COS是很方便的实现方式，但是采用其他软件形式、或者逻辑电路等也是可以实现的。

即，本发明是在包含有Mifare功能的CPU卡或Key等介质中，提出的解决方案，既可以表现出Mifare功能的便利性，也能发挥出CPU智能卡高安全性，最终提高了应用***的整体安全性。该方案能有效解决目前一些应用的扩展和升级问题，特别可用在类似于以Mifare卡片为主的公交等***扩展到有更高安全性需求的多应用领域或升级到CPU卡***。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (10)

1、一种含Mifare功能模块的智能卡，其特征在于，包括：

Mifare功能模块，用于根据接收到的充值或消费命令消息更新Mifare功能模块中存储的数据；

控制模块，用于在接收到充值命令消息时，控制Mifare功能模块根据所述充值命令消息进行数据更新。

2、如权利要求1所述的智能卡，其特征在于，

所述控制模块包括：密钥修改单元，用于修改Mifare功能模块中的密钥；

所述Mifare功能模块进一步用于当接收到充值命令消息时，在接收的数据通过Mifare功能模块中的密钥验证后，根据接收到的充值命令消息更新Mifare功能模块中存储的数据。

3、如权利要求2所述的智能卡，其特征在于，所述控制模块进一步包括：

试错统计单元，用于统计接收的数据在通过Mifare功能模块中的密钥验证中连续错误的次数或统计一定时间内使用Mifare功能模块的次数，在所述次数超过阈值时，触发密钥修改单元修改Mifare功能模块中的密钥。

4、如权利要求1所述的智能卡，其特征在于，所述控制模块包括判断单元和/或应答单元，其中：

判断单元，用于确定接收到的充值命令消息为Mifare指令时，禁止Mifare功能模块根据所述充值命令消息进行数据更新；

应答单元，用于在接收到通信层传输指令时，按CPU智能卡应答方式进行应答。

5、如权利要求1至4任一所述的智能卡，其特征在于，进一步包括：

余额修正模块，用于在确定CPU操作模块中存储的数据所映射的金额小于Mifare功能模块中存储的数据所映射的金额时，更新Mifare功能模块中存储的数据为CPU操作模块中存储的数据。

6、一种含Mifare功能模块智能卡的数据更新方法，其特征在于，包括如下步骤：

接收充值命令消息；

确定所述充值命令消息用于Mifare功能模块的数据更新；

控制Mifare功能模块根据所述充值命令消息进行数据更新。

7、如权利要求6所述的数据更新方法，其特征在于，所述控制Mifare功能模块根据所述充值命令消息进行数据更新，具体为：

Mifare功能模块在接收到充值命令消息时，对接收的数据用Mifare功能模块中的密钥进行验证，所述密钥由CPU功能模块进行设置；

接收的数据在密钥验证通过后，根据接收到的充值命令消息更新Mifare功能模块中存储的数据。

8、如权利要求7所述的数据更新方法，其特征在于，进一步包括：

统计接收的数据在通过Mifare功能模块中的密钥验证中连续错误的次数或统计一定时间内使用Mifare功能模块的次数，在所述次数超过阈值时，修改Mifare功能模块中的密钥。

9、如权利要求6所述的数据更新方法，其特征在于，所述控制Mifare功能模块根据所述充值命令消息进行数据更新，具体为：

确定接收到的充值命令消息为Mifare指令时，禁止Mifare功能模块根据所述充值命令消息进行数据更新；

或，

在接收到通信层传输指令时，按CPU智能卡应答方式进行应答。

10、如权利要求6至9任一所述的数据更新方法，其特征在于，进一步包括：

在确定CPU操作模块中存储的数据所映射的金额小于Mifare功能模块中存储的数据所映射的金额时，更新Mifare功能模块中存储的数据为CPU操作模块中存储的数据。

Images