CN107622390B - 用于没有电池的安全支付终端的***及方法 - Google Patents
用于没有电池的安全支付终端的***及方法 Download PDFInfo
- Publication number
- CN107622390B CN107622390B CN201710580809.XA CN201710580809A CN107622390B CN 107622390 B CN107622390 B CN 107622390B CN 201710580809 A CN201710580809 A CN 201710580809A CN 107622390 B CN107622390 B CN 107622390B
- Authority
- CN
- China
- Prior art keywords
- key
- dark
- response
- security
- private key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/73—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4016—Transaction verification involving fraud or risk level assessment in transaction processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/75—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/81—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer by operating on the power supply, e.g. enabling or disabling power-on, sleep or resume operations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/20—Point-of-sale [POS] network systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3823—Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/0873—Details of the card reader
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3278—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q2220/00—Business processing using cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Accounting & Taxation (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Finance (AREA)
- General Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本公开的各个实施例提供了用于使诸如金融支付终端的电子设备安全以保护敏感数据且防止对机密信息的非授权访问的***和方法。在实施例中,这无需依赖于备用能源的可用性而实现。在一些实施例中,通过在无需电池备用***并且因此消除了与普通电池备用安全***相关联的成本的支付终端内使用几乎完善的PUF电路和PUF生成的暗钥或私钥来阻挠篡改尝试。在一些实施例中,在常规操作期间,传感器针对篡改尝试和物理攻击不断地监测待保护电子设备以确保物理完整性。
Description
相关申请的交叉引用
本申请涉及2016年7月15日提交的、发明人姓名为Robert Michael Muchsel和Gregory Guez、题为“Systems and Methods for a Secure Payment Terminal withoutBatteries”的共同未决且共同受让的美国临时专利申请No.62/362,804且要求该申请的优先权利益,该申请全文特此通过引用方式并入本文。
技术领域
本公开涉及安全电子***,并且更具体地涉及用于保护金融支付终端中的敏感数据以防止非授权访问的***和方法。
背景技术
金融支付终端设备每天处理数百万的交易。由于与暴露支付信息(例如,***信息)相关联的风险和成本,支付终端必须满足要求关键信息总是加密且在终端受到潜在入侵者攻击的情形下删除暗钥的银行、发行者和***公司所接受的严格的安全标准。
传统地,这意味着终端中的主动组件必须持续地且主动地监测入侵的征兆,并且在检测到潜在攻击的征兆时从易失性存储器中擦除通常存储在计算机***内的存储器设备中的暗钥和其它敏感信息。擦除解密密钥和/或加密存储器使得攻击的目的无法达到,因为这使得潜在入侵者不可能对加密的信息进行破译,并且因此防止敌方捕获秘密信息。
因为不得不采用易失性存储器,典型地,需要备份电池来提供持续电力以保存解密密钥于存储器中,例如,在***电力变得暂时或永久不可用的情形下,例如在运输期间或者针对便携支付终端。另外,在金融终端掉电或经历非预期的断电的情况下,包含保护性电子网和其它主动部件的安全监测***电力地运行且设计成检测物理篡改。换言之,持续主动监测***保持控制设备的物理完整性。
另外,包含使用电池备用的安全监测***的安全微控制器的支付终端和其它设备具有大约七年的平均电池寿命。这在多数情况下是适合的,因为在该时间段内硬件安全模块通常已过时且被更换,使得电池寿命超过在实际应用中设备的实际运行时间。
然而,预期具有极长寿命的设备,诸如智能电表,在实际应用中运行30年或以上,实际上维修极少或根本无需维修。假设即使最先进的电池具有不到10年的寿命,该缺点使得一旦设备的电池需要更换且在执行维护工作的某时间段内必须中断电力则这些设备的保护就无效了。类似地,对于位于远程地点的工业设备,例如设计成作为非维护设备运行的油或气管线,由于极高的维护和支持成本以及更重要地与希望保持不打开的安全设备的掉电和打开相关联的安全问题,在实际应用中更换电池不是一个可用的解决方案。
当前,尚不存在确保用于高安全性和长寿命设备的连续不断的保护的实用的解决方案。一旦设备关闭,它就被暴露且毫无安全性可言。此外,诸如备用电池的能源会由于各种原因而显著增加***的成本,包括增加组件成本、由于有限的电池寿命导致的维护成本、对环境因素的脆弱性以及获得恰当认证的成本(例如,用于飞机)。
一些现有的方法将功耗降低一个数量级或以上,例如,通过重新设计入侵传感器和存储器组件。更先进的方法使用对入侵传感器和密钥存储器进行供电的主动能量采收方法。然而,即使是最精心设计的方法也不总是实用,因为它们依赖于能源的存在,比如温度梯度,以确保不间断且持续的电力,而这并不总是可供使用。
所需要的是提供一种防止对敏感数据进行非授权访问而没有与普通电池备用安全***相关联的成本的高级非间断安全性的***和方法。
附图说明
现在将参考本发明的实施例,在附图中图示出这些实施例的示例。这些图旨在示例性的,而不是限制性的。虽然通常在这些实施例的上下文中描述本发明,应当理解的是不旨在将本发明的范围限于这些特定实施例。
图1是用于在电池备用金融支付终端中生成和使用暗钥的常规过程的总体说明。
图2是根据本公开的各个实施例在无需电池备用件的安全***中生成和使用暗钥的示例性过程的流程图。
图3描绘了根据本公开的实施例的无需电池备用件的基于PUF的安全***的框图。
具体实施方式
在下面的描述中,为了说明的目的,阐述了具体的细节以便提供对本发明的理解。然而,对本领域技术人员显而易见的是可以在没有这些细节的情况下实现本发明。此外,本领域技术人员将认识到,下面描述的本发明的实施例可以多种方式来实现,例如过程、装置、***、设备或有形的计算机可读介质上的方法。
在示意图中所示的组件或模块是本发明的示例性实施例的说明,意在避免使本发明不清楚。还应理解,在整个本论述中,组件可被描述为单独的功能单元,其可以包括子单元,但是本领域技术人员将认识到各组件或其部分可划分成单独的组件或可以集成在一起,包括集成在单个***或组件内。应当注意,本文所论述的功能或操作可以实现为组件。组件可以通过软件、硬件或其组合来实现。
此外,在附图内的组件或***之间的连接不是想要限于直接连接。相反,这些组件之间的数据可以通过中间组件来修改、重新格式化或进行其它改变。而且,可使用附加的或更少的连接。还应当注意的是,术语“耦合”、“连接”或“通信耦合”应理解成包括直接的连接、通过一个或多个中间设备的间接连接和无线连接。
在说明书中提到“一个实施例”、“优选实施例”、“实施例”或“多个实施例”意指与该实施例相结合描述的特定的特征、结构、特性或功能包含在本发明的至少一个实施例中且可以在多于一个的实施例中。而且,上述短语在说明书各处的出现不一定都是指同一实施例或相同的多个实施例。
在说明书各处一些术语的使用是为了说明的目的,不应解释为限制。服务、功能或资源不限于单个服务、功能或资源;这些术语的使用可以是指相关服务、功能或资源的群组,可以是分布式的或聚合的。此外,存储器、数据库、信息库、数据仓库、表、硬件等的使用可在本文用来指代可以输入或以其它方式记录信息的***组件或多个***组件。
在该文档中,术语“密钥(key)”、“暗钥(secret key)”和“秘密(secret)”可互换使用,术语“网(mesh)、网包络(mesh envelope)和网电路(mesh circuit)”也可互换使用。术语“安全设备”包括安全微控制器、安全存储设备和本领域技术人员所知的其它安全元件。
应当注意:(1)某些步骤可以可选地执行;(2)步骤可以不限于本文阐述的具体顺序;(3)一些步骤可以按不同的顺序执行;(4)一些步骤可以同时进行。
此外,虽然本文所描述的实施例是在金融支付终端的上下文中描述的,本领域技术人员应认识到,本公开的教导不限于支付终端,同样可应用于保护其它形式的安全信息,例如在军事、接入控制、IP保护、健康和医疗领域,它们可利用本文的原理且安全地实现,而无需诉诸于备用电池。
图1是在电池备用的金融支付终端中用于生成和使用暗钥的常规过程的总体说明。在电池备用的支付终端中用于生成和使用暗钥的过程100开始于步骤102,通常,是在电池附接到支付终端以开始生命周期之际。支付终端首次被激励的事件被称为其“第一生日”。
在步骤104中,激活嵌入在支付终端中的诸如运动传感器的传感器。
在步骤106中,生成暗钥,并且***进入后台模式108,在该后台模式中,备用电池激活***100的传感器,而不会同时激活想要用来处理金融交易的***组件。
在后台模式108中,通常以相对降低的频率查询传感器,主要用来节约电池电力。
一旦在步骤110中主电路施加到支付终端,则***进入主动模式112,传感器和***组件都变为完全运行。
在实施例中,***响应于主电力缺失而返回后台模式108,但是不会执行任何电力饥饿操作直到在步骤110中恢复主电力为止。
如果在***处于主动模式112的同时检测到安全侵害,则在步骤114中,加密密钥和/或其它秘密从终端内的存储器设备内永久地擦除,或者存储器设备不可逆地被破坏,并且在步骤120中***关闭。类似地,如果在***处于后台模式108的同时检测到安全侵害或电池电力缺失,则在步骤114中过程删除密钥和/或其它秘密,并且在步骤120中关闭终端。
简言之,***100在后台模式108和终端主动地执行任务的主动模式112之间循环,除非检测到安全侵害或电池电力缺失,在该情况下终端关闭。
实际上,该过程实现于金融终端中,金融终端使用例如三个电源:1)USB电源,2)相对大的锂电池,和3)钮扣电池。终端通常以USB电力作为其主要电源来运行。一旦USB电力变得暂时或永久不可用,则终端切换到锂电池,或者作为最后手段切换到钮扣电池来继续对保护传感器供电以保持易失性存储器中的秘密存活,直至钮扣电池中的电压降至不再能支持保护传感器的水平,或直至***被手动恢复为止。
***100依赖于备用电池来对主动监测和保护电路供电。此外,***100依赖于使用易失性存储器,使得在入侵尝试的情况下快速擦除秘密。没有备用电池,秘密将暴露于有经验的攻击者,他们可以访问***100,执行电路修改而不会被检测到,使得在设备启用备用供电后,没有表明设备已经被入侵和操纵过的痕迹。
因此,期望的是具有即使在断电的情况下也提供高水平的安全性而无需依赖于普通电池备用安全***的***和方法。
图2是根据本公开的各个实施例的在无需电池备用件的安全***中生成和使用暗钥的示例性的过程的流程图。当主电力施加到***如金融支付终端时,生成和使用暗钥的过程200开始于步骤202。
在步骤204中,在常规操作中持续监测***的保护传感器被激励以防止对在步骤206中生成的暗钥(例如,加密密钥)的物理访问,生成暗钥例如通过使用PUF电路或设计成提供可用作密钥源的非可发现的、唯一的和随机的值的任何其它电路。
用于适合的PUF电路的***和方法的示例可见于2015年10月13日提交的、所列发明人是Sung Ung Kwak、题为“SYSTEMS AND METHODS FOR STABLE PHYSICALLY UNCLONABLEFUNCTIONS”的共同未决且共同拥有的美国专利申请62/240,991(律师案号是20057-1981P)以及2014年9月8日提交的、所列发明人是Pirooz Parvarandeh和Sung Ung Kwak、题为“SYSTEMS AND METHODS FOR STABLE PHYSICALLY UNCLONABLE FUNCTIONS”的专利申请14/480,129(律师案号是20057-1842),这些专利文档的全文通过引用方式合并于此,用于所有目的。
在步骤208中,***进入传感器和***组件都激活的状态。***执行加密、验证等常规的任务。在实施例中,使用例如PUF生成的暗钥或其衍生物来获得设置过程的信息或对存储在非易失性存储器(例如,闪存)中的加密信息进行解密。在该主动模式208中,护盾(例如,主动网)可用于保护正在传送且可用于以非加密格式处理的数据。
在实施例中,第二密钥从用作主密钥的PUF生成的密钥导出,主密钥可用于对第二密钥加密,第二密钥随后可存储在非易失性存储器中,并且因此,有助于最小化主密钥本身的使用和暴露。
一旦检测到安全侵害、电力缺失或存在预定事件,则***可以删除密钥和/或秘密或整个***可以关闭。在实施例中,PUF电路被物理地破坏(例如,通过加热),例如,在已经检测到多个有损***安全性的尝试后。
在实施例中,一旦***在步骤212中关闭,PUF生成的号码不再可用,结果是,不存在可被发现、偷窃和用于访问受保护信息的密钥。
在步骤202中恢复主电力时,在步骤204中过程200可以恢复,在步骤206中激励传感器并且使用PUF电路来重新生成暗钥至其原始值。
本专利文档的方面涉及信息处理***。为了该公开的目的,信息处理***可以包括可操作以计算、运算、确定、分类、处理、发送、接收、取回、发自、路由、交换、存储、显示、通信、显现、检测、记录、复制、处理或使用任何形式的信息、智力或数据用于商业、科学、控制或其它目的的任何器械或器械集合。例如,信息处理***可以是个人计算机(例如,台式机或膝上型计算机)、平板计算机、移动设备(例如,个人数字助理(PDA)或智能手机)、服务器(例如,刀片式服务器或机架式服务器)、网络存储设备或任何其它适合的设备,并且在尺寸、形状、性能、功能性和价格上可以不同。信息处理***可以包括随机存取存储器(RAM)、一个或多个处理资源如中央处理器(CPU)或硬件或软件控制逻辑、ROM和/或其它类型的非易失性存储器。信息处理***的附加组件可以包括一个或多个磁盘驱动器、用于与外部设备通信的一个或多个网络端口以及各种输入和输出(I/O)设备如键盘、鼠标、触摸屏和/或视频显示器。信息处理***还可以包括用于在各种硬件组件之间发送通信信息的一个或多个总线。
图3描绘了根据本公开的实施例的无需电池备用件的基于PUF的安全***300的框图。***300包括处理单元302、密码引擎312、***存储器304、***接口308、物理不可克隆函数(PUF)310;和护盾320,其可以是设计成检测对可包括敏感数据的***300内的任何设备的物理入侵尝试的主动网。
将理解的是,对于***300所示的功能性可以运行以支持可以不同地配置且包括如图3所示的不同组件的任何信息处理***的各个实施例。在实施例中,***300嵌入到零售点终端中,零售点终端可以创建、存储、加密、验证和发送敏感数据,如机密的支付相关的银行信息和加密密钥。如图3所示,处理单元302提供计算资源且可以利用本领域已知的任何安全微控制器来实现。处理单元可以包括图形处理器和/或浮点协处理器用于数学计算。
***300包括与***300集成的物理不可克隆函数(PUF)310电路。通常,PUF利用物理半导体设备中的微小而可测量的制造变化。这些特性变化包括由于半导体器件(例如,MOSFET)所经历的欠完善半导体制造工艺导致的栅极氧化物厚度、掺杂材料浓度和几何尺寸的公差的变化。在各应用中,变化用于产生随机而相对可重复的数据序列,其随后可用于标识设备或执行其它验证功能。现有的PUF所生成的随机的、设备唯一号码的可重复性是大约80%,对于验证应用其足够高,因为这种水平的精度足以从PUF电路生成相对唯一的响应,因为鉴于在PUF电路的输入处极小的变化在输出处产生极大的变化的事实,另一PUF电路能够正确地生成相同量的比特的可能性极小。例如,改变电路的单个比特导致输出信号的大约50%的变化,即,PUF变得不可靠。
此外,当PUF电路的物理条件(例如,导电性质)即使略微变化时,例如在物理冲击之后,或者当包含PUF电路的***被探测或改动时,通常导致对物理结构的不可逆的损伤,电路响应显著地且不可预测地改变。
本公开的实施例采用PUF电路310,其例如通过使用如在上述美国专利申请62/240,991中公开的可重复紧密耦合唯一标识元素生成随机的、设备唯一的而高度可重复的值(例如,1ppb的错误率)。不同于现有的设计,该高度可重复的值可以是能够用于可靠且可重复地生成密码密钥的号码。
在实施例中,密钥或秘密存储在可以在内部或外部或图3所示的任何组件外部的易失性存储器设备(图3中没有示出)中。易失性存储器保存有密钥,在***300检测到断电时,密钥自动删除,因为在主电力中断的情况下易失性存储器无需由电池备用***或另一可选能源来支持。由于不存在密钥,所以不同于现有技术设计,无需保护,且无需电池。
在实施例中,密码引擎312可以实现本领域技术人员所知的任何强的密码算法,例如,对称算法,诸如先进加密标准,或公钥密码法,诸如RSA或椭圆曲线密码法。应理解的是,密码引擎312可以将秘密连同其它数据或软件一起处理来提供功能保护。
在实施例中,不依赖于软件,密码引擎312实现为执行密码操作诸如数据加密、数据解密和完整性检查的硬件引擎。硬件引擎可利于增强对故障攻击的反应以及增强数据加密或解密的性能。
在实施例中,PUF生成的密钥加载且存储在密码引擎312中。在检测到安全侵害例如篡改尝试时,密钥即时地从易失性存储器中擦除。本实施例还有利地消除对在非易失性存储器中存储密钥的需要,并且因此,使得***300对本文未进一步论述的老练的攻击者进行的反向工程和其它先进方法免疫。
***300可以包括***存储器304,其可以是随机存取存储器(RAM)和只读存储器(ROM)。应注意,***300的任何部分可以实现在集成电路中。可以提供任意数量的控制器和***设备306,如图3所示。
***接口308表示诸如键盘、鼠标或指示笔的各种输入设备的接口。***300还可以包括用于与一个或多个存储设备接口的存储控制器,每个存储设备包括可能用于记录可以包括实现本发明的各方面的程序的实施例的操作***、实用程序和应用的指令程序的存储介质诸如磁带或磁盘、或光介质。存储设备还可用于存储处理后的数据或根据本发明待处理的数据。***300还可以包括显示控制器,用于提供到显示设备的接口,显示设备可以是阴极射线管(CRT)、薄膜晶体管(TFT)显示器或其它类型的显示器。计算***300还可以包括用于与打印机通信的打印机控制器。通信控制器可以与一个或多个通信设备接口,通信设备使得***300能够通过多种网络中的任一种连接到远程设备,网络包括因特网、以太网云、FCoE/DCB云、局域网(LAN)、广域网(WAN)、存储域网(SAN)或通过包括红外信号的任何适合的电磁载波信号。
在图示的***中,所有主要的***组件可以连接到总线360,总线360可以代表多于一个的物理总线。然而,各***组件可以或者可以不彼此物理接近。例如,输入数据和/或输出数据可以从一个物理位置远程地发送到另一物理位置。另外,实现本发明的各方面的程序可以通过网络从远程位置(例如,服务器)访问。这些数据和/或程序可以通过多种机器可读介质中的任一种来传送,机器可读介质包括但不限于:磁介质,诸如硬盘、软盘和磁带;光介质,诸如CD-ROM和全息设备;磁光介质;和专门配置来存储或存储且执行程序代码的硬件设备,诸如专用集成电路(ASIC)、可编程逻辑器件(PLD)、闪存设备和ROM和RAM设备。
本发明的实施例可以在一个或多个非暂时计算机可读介质上编码有用于一个或多个处理器或处理单元而使得步骤得以执行的指令。应当注意,一个或多个非暂时计算机可读介质应包括易失性和非易失性存储器。应注意的是,可替代的实现方式是可能的,包括硬件实现方式或软件/硬件实现方式。硬件实现的功能可以利用ASIC、可编程阵列、数字信号处理电路等来实现。因此,在任何权利要求中的“模块”术语旨在覆盖软件和硬件实现方式二者。类似地,本文所使用的术语“计算机可读介质或媒介”包括其中实施指令程序的软件和/或硬件,或其组合。在了解这些实现方式替选方案的情况下,应理解的是,附图和随附的说明提供了本领域技术人员需要写入程序代码(即,软件)和/或制造电路(即,硬件)来执行所需处理的功能信息。
应当注意的是,本发明的实施例可进一步涉及具有其中存储有用于执行各种计算机实现的操作的计算机代码的非暂时的、有形计算机可读介质的计算机产品。介质和计算机代码可以是那些专门设计和构造以实现本发明的目的的介质和计算机代码,或者它们可以相关领域技术人员所知或可用的类型。有形的计算机可读介质的示例包括但不限于:磁介质,诸如硬盘、软件和磁带;光介质,诸如CD-ROM和全息设备;磁光介质;和专门配置以存储或存储且执行程序代码的硬件设备,诸如专用集成电路(ASIC)、可编程逻辑器件(PLD)、闪存设备以及ROM和RAM设备。计算机代码的示例包括机器码,如由编译器所生成的,以及包含计算机可使用解释器执行的高级代码的文件。本发明的实施例可以全部或部分实现为可以在由处理设备执行的程序模块中的机器可执行指令。程序模块的示例包括库、程序、例程、对象、组件和数据结构。在分布式计算环境中,程序模块可以物理地位于本地的、远程的或两者的设置中。
本领域技术人员将认识到,没有任何计算***或编程语言对本发明的实践是关键的。本领域技术人员还将认识到,上述的多个元件可以物理地和/或功能地分成子模块或组合在一起。
应当注意,下面的权利要求的要素可以进行不同的排布,包括具有多个从属关系、配置和组合。例如,在实施例中,各权利要求的主题可以与其它权利要求组合。
本领域技术人员将意识到,前面的示例和实施例是示例性的,不是对本发明的范围的限制。目的是,本领域技术人员在阅读说明书和研究附图时显而易见的所有置换、增强、等同物、组合和对其的改进都包括在本发明的真正的精神和范围内。
Claims (20)
1.一种用于保护敏感数据而不使用备用能源的安全***,所述安全***包括:
密码引擎,其使用暗钥和私钥中的一个来处理敏感数据;
物理不可克隆函数(PUF)电路,其与所述密码引擎耦合,所述PUF电路生成所述暗钥或私钥;以及
易失性存储器,其与所述PUF电路耦合,所述易失性存储器存储所述暗钥,
其中,所述安全***被配置为响应于检测到主电力缺失而通过对所述PUF电路去激励以破坏所述暗钥或私钥,并且
其中,所述PUF电路响应于恢复对所述PUF电路的供电而重新生成所述暗钥或私钥。
2.如权利要求1所述的安全***,还包括一个或多个传感器,所述一个或多个传感器被配置成检测对安全设备的篡改尝试和物理攻击中的至少一个。
3.如权利要求1所述的安全***,还包括保护正在非加密格式下传送的数据的护盾。
4.如权利要求3所述的安全***,其中,所述护盾是主动网。
5.如权利要求1所述的安全***,其中,安全设备是金融支付终端。
6.如权利要求1所述的安全***,还包括存储第二密钥的非易失性存储器设备。
7.如权利要求1所述的安全***,其中,所述PUF电路生成具有至少百分之八十的可重复性的响应。
8.如权利要求7所述的安全***,其中,所述响应是随机的。
9.如权利要求1所述的安全***,还包括热源,所述热源响应于检测到安全侵害而破坏所述PUF电路。
10.一种用于保护不具有备用能源的安全设备中的敏感数据的方法,所述方法包括:
使用物理不可克隆函数(PUF)电路来生成暗钥或私钥中的一个;
响应于检测到主电力缺失,通过对所述PUF电路去激励以破坏所述暗钥或私钥;以及
在恢复供电时,重新生成所述暗钥或私钥。
11.如权利要求10所述的方法,还包括:使用所述暗钥或私钥来生成第二暗钥或私钥。
12.如权利要求11所述的方法,还包括:将所述暗钥或私钥存储在易失性存储器设备中且将所述第二暗钥或私钥存储在非易失性存储器设备中。
13.如权利要求10所述的方法,其中,所述PUF电路生成具有至少百分之八十的可重复性的响应。
14.如权利要求13所述的方法,其中,所述响应是随机的。
15.如权利要求10所述的方法,还包括:响应于检测到安全性侵害,破坏所述PUF电路。
16.一种不具有备用能源的安全设备,所述安全设备包括:
物理不可克隆函数(PUF)电路,其生成暗钥或私钥中的一个;以及
易失性存储器,其与所述PUF电路耦合,所述易失性存储器存储所述暗钥或私钥,
其中,所述安全设备被配置为响应于检测到主电力缺失而通过对所述PUF电路去激励以破坏所述暗钥或私钥,并且
其中,所述PUF电路响应于恢复对所述PUF电路供电而重新生成所述暗钥或私钥。
17.如权利要求16所述的安全设备,其中,响应于检测到安全侵害,所述PUF电路被物理地破坏。
18.如权利要求16所述的安全设备,其中,所述安全设备是金融支付终端。
19.如权利要求16所述的安全设备,其中,所述PUF电路生成具有至少百分之八十的可重复性的响应。
20.如权利要求19所述的安全设备,其中,所述PUF电路是通过响应于检测到安全侵害而对所述PUF电路加热来破坏的。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662362804P | 2016-07-15 | 2016-07-15 | |
| US62/362,804 | 2016-07-15 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107622390A CN107622390A (zh) | 2018-01-23 |
| CN107622390B true CN107622390B (zh) | 2023-09-15 |
Family
ID=60782667
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710580809.XA Active CN107622390B (zh) | 2016-07-15 | 2017-07-17 | 用于没有电池的安全支付终端的***及方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11797994B2 (zh) |
| CN (1) | CN107622390B (zh) |
| DE (1) | DE102017115758A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3750107A4 (en) * | 2018-02-09 | 2021-10-27 | Leung, Ka Wai Wayne | UNIT AND PROCESS FOR UNIVERSAL PASSIVE PROVISION FOR SAFE ELEMENT |
| FR3083887B1 (fr) * | 2018-07-11 | 2020-11-27 | Wallix | Procede et dispositif de detection de compromission d’une cible par une attaque laterale |
| US11030346B2 (en) | 2018-07-13 | 2021-06-08 | Ememory Technology Inc. | Integrated circuit and data processing method for enhancing security of the integrated circuit |
| US11151290B2 (en) | 2018-09-17 | 2021-10-19 | Analog Devices, Inc. | Tamper-resistant component networks |
| US11418338B2 (en) * | 2019-01-22 | 2022-08-16 | Anchor Labs, Inc. | Cryptoasset custodial system using power down of hardware to protect cryptographic keys |
| WO2021100903A1 (ko) * | 2019-11-20 | 2021-05-27 | 엘지전자 주식회사 | 복제가 불가능한 디지털 값 생성장치 및 그 방법 |
| US20220393859A1 (en) * | 2021-06-07 | 2022-12-08 | Micron Technology, Inc. | Secure Data Storage with a Dynamically Generated Key |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7880248B1 (en) * | 2005-10-17 | 2011-02-01 | Teledyne Technologies Incorporated | Destructor integrated circuit chip, interposer electronic device and methods |
| US9485094B1 (en) * | 2014-04-21 | 2016-11-01 | Maxim Integrated Products, Inc. | Systems and methods for stable physically unclonable functions |
Family Cites Families (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7840803B2 (en) * | 2002-04-16 | 2010-11-23 | Massachusetts Institute Of Technology | Authentication of integrated circuits |
| DE60331682D1 (de) * | 2002-12-18 | 2010-04-22 | Nxp Bv | Betrugssichere verpackung |
| WO2006043185A1 (en) * | 2004-10-18 | 2006-04-27 | Koninklijke Philips Electronics N.V. | Secure sensor chip |
| EP1842203A4 (en) | 2004-11-12 | 2011-03-23 | Verayo Inc | KEYS OF VOLATILE DEVICES, AND THEIR APPLICATIONS |
| WO2008152577A1 (en) * | 2007-06-14 | 2008-12-18 | Intrinsic Id Bv | Method and device for providing digital security |
| WO2009079050A2 (en) * | 2007-09-19 | 2009-06-25 | Verayo, Inc. | Authentication with physical unclonable functions |
| US7761714B2 (en) * | 2008-10-02 | 2010-07-20 | Infineon Technologies Ag | Integrated circuit and method for preventing an unauthorized access to a digital value |
| US20120185636A1 (en) * | 2010-08-04 | 2012-07-19 | Isc8, Inc. | Tamper-Resistant Memory Device With Variable Data Transmission Rate |
| EP3432152B1 (en) * | 2010-10-15 | 2020-03-18 | Coherent Logix Incorporated | Disabling communication in a multiprocessor system |
| US20120183135A1 (en) * | 2011-01-19 | 2012-07-19 | Verayo, Inc. | Reliable puf value generation by pattern matching |
| US8637985B2 (en) * | 2011-02-16 | 2014-01-28 | ISC8 Inc. | Anti-tamper wrapper interconnect method and a device |
| US20130141137A1 (en) * | 2011-06-01 | 2013-06-06 | ISC8 Inc. | Stacked Physically Uncloneable Function Sense and Respond Module |
| US8983067B2 (en) * | 2011-08-17 | 2015-03-17 | Nxp B.V. | Cryptographic circuit and method therefor |
| US9066447B2 (en) * | 2011-11-03 | 2015-06-23 | Cram Worldwide, Llc | Heat dissipation for a chip protected by an anti-tamper background |
| US9009860B2 (en) * | 2011-11-03 | 2015-04-14 | Cram Worldwide, Llc | Tamper resistance extension via tamper sensing material housing integration |
| JP5710460B2 (ja) * | 2011-12-16 | 2015-04-30 | 株式会社東芝 | 暗号化鍵生成装置およびプログラム |
| US8759976B2 (en) * | 2012-08-09 | 2014-06-24 | International Business Machines Corporation | Structure with sub-lithographic random conductors as a physical unclonable function |
| US8525169B1 (en) | 2012-08-10 | 2013-09-03 | International Business Machines Corporation | Reliable physical unclonable function for device authentication |
| US8861736B2 (en) | 2012-11-19 | 2014-10-14 | International Business Machines Corporation | Reliable physical unclonable function for device authentication |
| US8885819B2 (en) * | 2012-12-27 | 2014-11-11 | Intel Corporation | Fuse attestation to secure the provisioning of secret keys during integrated circuit manufacturing |
| WO2014112999A1 (en) * | 2013-01-16 | 2014-07-24 | Intel Corporation | Grouping of physically unclonable functions |
| US9083323B2 (en) * | 2013-02-11 | 2015-07-14 | Qualcomm Incorporated | Integrated circuit identification and dependability verification using ring oscillator based physical unclonable function and age detection circuitry |
| EP2965254B1 (en) * | 2013-03-08 | 2020-05-13 | Robert Bosch GmbH | Systems and methods for maintaining integrity and secrecy in untrusted computing platforms |
| US9225512B1 (en) * | 2013-05-01 | 2015-12-29 | Xilinx, Inc. | Encryption and decryption using a physically unclonable function |
| US9088278B2 (en) * | 2013-05-03 | 2015-07-21 | International Business Machines Corporation | Physical unclonable function generation and management |
| WO2015027070A1 (en) * | 2013-08-21 | 2015-02-26 | Carnegie Mellon University | Reliability of physical unclonable function circuits |
| US9628272B2 (en) * | 2014-01-03 | 2017-04-18 | William Marsh Rice University | PUF authentication and key-exchange by substring matching |
| DE102014218218A1 (de) * | 2014-09-11 | 2016-03-17 | Robert Bosch Gmbh | Verfahren zum Erzeugen eines kryptographischen Schlüssels in einem System-on-a-Chip |
| US9832027B2 (en) | 2014-10-01 | 2017-11-28 | Maxim Integrated Products, Inc. | Tamper detection systems and methods for industrial and metering devices not requiring a battery |
| US9502356B1 (en) * | 2015-03-12 | 2016-11-22 | Maxim Integrated Products, Inc. | Device and method with physical unclonable function |
| US9985791B2 (en) * | 2015-08-13 | 2018-05-29 | Arizona Board Of Regents Acting For And On Behalf Of Northern Arizona University | Physically unclonable function generating systems and related methods |
| US10771246B2 (en) * | 2015-10-13 | 2020-09-08 | Maxim Integrated Products, Inc. | Systems and methods for stable physically unclonable functions |
| US20170126414A1 (en) * | 2015-10-28 | 2017-05-04 | Texas Instruments Incorporated | Database-less authentication with physically unclonable functions |
| US9870811B2 (en) * | 2016-06-17 | 2018-01-16 | Qualcomm Incorporated | Physically unclonable function based on comparison of MTJ resistances |
-
2017
- 2017-07-12 US US15/647,533 patent/US11797994B2/en active Active
- 2017-07-13 DE DE102017115758.1A patent/DE102017115758A1/de active Pending
- 2017-07-17 CN CN201710580809.XA patent/CN107622390B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7880248B1 (en) * | 2005-10-17 | 2011-02-01 | Teledyne Technologies Incorporated | Destructor integrated circuit chip, interposer electronic device and methods |
| US9485094B1 (en) * | 2014-04-21 | 2016-11-01 | Maxim Integrated Products, Inc. | Systems and methods for stable physically unclonable functions |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180018673A1 (en) | 2018-01-18 |
| US11797994B2 (en) | 2023-10-24 |
| DE102017115758A1 (de) | 2018-01-18 |
| CN107622390A (zh) | 2018-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107622390B (zh) | 用于没有电池的安全支付终端的***及方法 | |
| US10733291B1 (en) | Bi-directional communication protocol based device security | |
| US10050982B1 (en) | Systems and methods for reverse-engineering malware protocols | |
| US9077747B1 (en) | Systems and methods for responding to security breaches | |
| US9483664B2 (en) | Address dependent data encryption | |
| US8656185B2 (en) | High-assurance processor active memory content protection | |
| US9230109B2 (en) | Trusted platform module security | |
| CN112074836A (zh) | 通过可信执行环境保护数据的设备和方法 | |
| US9641330B2 (en) | Trusted tamper reactive secure storage | |
| US20160283937A1 (en) | Technologies for split key security | |
| US9571280B2 (en) | Application integrity protection via secure interaction and processing | |
| CN105493097A (zh) | 用于远程存储的数据的保护方案 | |
| CN108629206B (zh) | 一种安全加密方法、加密机及终端设备 | |
| TWI631462B (zh) | 確保機板上匯流排交易安全的計算系統和計算設備實現的方法以及非暫時性的電腦可讀取媒體 | |
| CN105488421B (zh) | 无需电池的用于工业和计量装置的侵扰检测***以及方法 | |
| US9935768B2 (en) | Processors including key management circuits and methods of operating key management circuits | |
| WO2016192453A1 (zh) | 一种安全控制方法、装置和终端 | |
| US9749299B1 (en) | Systems and methods for image-based encryption of cloud data | |
| US20220269807A1 (en) | Detecting unauthorized encryptions in data storage systems | |
| US11019098B2 (en) | Replay protection for memory based on key refresh | |
| KR20180117278A (ko) | 모바일기기의 데이터 삭제방법 | |
| US11853445B2 (en) | Enhanced securing and secured processing of data at rest | |
| US11184169B1 (en) | Systems and methods for crowd-storing encrypiion keys | |
| US10601592B2 (en) | System and method trusted workspace in commercial mobile devices | |
| US12002040B2 (en) | Device driver for contactless payments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |