当前位置: 首页 > 专利查询>英特尔公司专利>正文

用于安全元件中心式NFC架构的NFC访问控制的系统和方法技术方案

技术编号:13160231 阅读:97 留言:0更新日期:2016-05-10 08:18
本公开描述了与安全元件中心式架构的近场通信(NFC)访问控制有关的系统、方法和计算机可读介质。安全元件可接收针对信息的请求并处理接收到的请求以识别与请求相关联的第一访问级别以及与请求的发起者相关联的第二访问级别。安全元件可确定第一访问级别是否匹配第二访问级别。如果第一访问级别不匹配第二访问级别,则安全元件可向请求的发起者发送指示对请求的拒绝的消息。如果第一访问级别匹配第二访问级别,则安全元件向近场通信(NFC)控制器发送该请求,从该NFC控制器接收信息,并且将来自NFC控制器的信息发送至请求的发起者。

【技术实现步骤摘要】
【国外来华专利技术】【专利说明】
技术介绍
随着诸如智能电话和平板之类的移动设备变得流行,用户越来越多地采用移动设备来发起和完成财务交易。例如,移动设备可采用近场通信(NFC)标准通过将移动设备与NFC使能设备触碰在一起或者使得它们足够邻近来建立与NFC使能设备的无线电通信,从而交换诸如交易数据和支付信息之类的数据。在一些情形中,移动设备可从无电源的NFC芯片(被称作NFC标签)(例如,从信用卡)获得信息。在一些实施例中,移动设备的应用处理器和NFC控制器之间的直接有线通信可增加移动设备经受硬件和/或软件攻击的易损性,该硬件和/或软件攻击可导致敏感信息在移动设备的用户不知道的情况下被第三方获得。【附图说明】详细描述是参考附图提出的。相同的标号用于指示类似或相等的组件或元件;然而,不同的标号也可被用于指示类似或相等的组件或元件。本公开的各种实施例可采用除了图示中所描绘的那些组件或元件之外的元件和/或组件,并且一些元件和/或组件可能不存在于各种实施例中。依据上下文,用于描述元件或者组件的类似术语可涵盖多种这样的元件或组件,并且反之亦然。图1是根据本公开的一个或多个实施例,包括用于安全元件中心式架构的NFC访问控制的示例性系统架构的各种硬件和软件组件的框图。图2A-2B是根据本公开的一个或多个实施例包括用于安全元件中心式架构的NFC访问控制的各种架构的示例性框图。图3A是根据本公开的一个或多个实施例的NFC访问控制小型应用程序实现的示例性实施例。图3B是根据本公开的一个或多个实施例的NFC访问控制原生实现的示例性实施例。图3C是根据本公开的一个或多个实施例的NFC访问控制Java卡0S扩展实现的示例性实施例。图4是根据本公开的一个或多个实施例,用于安全元件中心式架构的NFC访问控制的示例性方法的流程图。【具体实施方式】除了其他事物之外,本公开涉及使能安全元件中心式近场通信(NFC)架构以针对要求硬件和/或软件篡改保护的场景(如支付验收、数字身份、物理和逻辑访问控制等)提供软件和/或硬件篡改防护NFC子系统的系统、方法、计算机可读介质、技术和方法。在一些实施例中,安全元件被置于应用处理器和NFC控制器之间,消除应用处理器和NFC控制器之间的任何直接连接。通过消除应用处理器和NFC控制器之间的直接连接,由NFC控制器提供的NFC接口与应用处理器以及可由应用处理器运行的任何软件(例如,移动设备的操作系统)物理隔离。应用处理器和NFC控制器之间的所有NFC流量可被路由通过安全元件。在一些实施例中,安全元件可包括NFC访问控制管理器,其可以是小型应用程序(applet)、原生应用程序、或Java卡操作系统扩展。NFC访问控制管理器可分析NFC流量并确定哪些交易被允许由应用处理器所执行的主机操作系统服务并且哪些交易是特许的并且必须由在安全元件内运行的受信任应用程序进行服务。在一些实施例中,安全元件中的访问控制管理器可对由安全元件接收到的NFC流量进行过滤以分离交易类型并强制施行访问控制策略。访问控制策略可由受信任服务管理器生成并加密,该受信任服务管理器然后可将它们发送给移动设备。应用处理器可接收访问控制策略并将它们发送至安全元件。访问控制策略可由访问控制管理器使用安全密钥进行解密并且访问控制策略可被应用于接收到的NFC流量以识别特许的流量和正常的流量。特许的流量可由安全元件处理,而正常的流量可由应用处理器所运行的主机操作系统处理。安全元件可以是嵌入式安全元件、通用集成电路卡(UICC)、安全数字(SD)卡等等的形式。在一些实施例中,安全元件可以是经评估保证级别(EAL)4+认证的篡改防护设备。在安全元件内实现的访问控制管理器可分析NFC请求(例如,从应用处理器接收的NFC控制器接口请求)并对NFC请求应用一个或多个访问控制策略。访问控制策略可将NFC交易的类型映射至访问级别。依据访问级别,访问控制管理器可至少部分地基于与交易发起者相关联的访问级别来允许或拒绝交易。上文已经讨论了各种示例性实施例。本公开的这些和其他示例实施例将在后面参考附图来进行更详细的描述。图示和相应描述仅被提供用于描述性目的而并不意图以任何方式限制本公开。应当认识到,众多的其他实施例、变更等等在本公开的范围之内。示例性系统架构图1是根据本公开的一个或多个实施例,包括用于安全元件中心式架构的NFC访问控制的示例性系统架构的各种硬件和软件组件的框图。尽管本公开是在基于近场通信和/或NFC的交易的上下文中进行描述的,这里所述的硬件、系统和方法可同等应用于其他无线交易协议,例如Bluetooth?等等。示例性系统架构100可包括可由一个或多个用户操作的一个或多个移动设备102、一个或多个受信任服务管理器(TSM)104、一个或多个NFC使能设备108、和/或一个或多个数据库106。(一个或多个)移动设备102可包括任何适合的处理器驱动的移动计算设备,包括但不限于:膝上型计算设备、智能电话、平板等等。为了便于解释,(一个或多个)移动设备102在这里以单数形式进行描述,然而应当认识到可提供多个移动设备102。(一个或多个)TSM 104可包括任何适合的处理器驱动的移动计算设备,包括但不限于:台式计算设备、膝上型计算设备、服务器、智能电话、平板等等。为了便于解释,(一个或多个)TSM 104在这里以单数形式进行描述,然而应当认识到可提供多个TSM 104。移动设备102、(一个或多个)TSM 104、(一个或多个)NFC使能设备108、和/或(一个或多个)数据库106中的任一者可被配置为经由一个或多个网络110彼此通信以及与系统架构100的任何其他组件通信。(一个或多个)网络110可包括但不限于:不同类型的适合通信网络(例如,有线网络、公共网络(例如,互联网)、私有网络、无线网络、蜂窝网络、或者任何其他适合的私有和/或公共网络)中的任何一者或组合。另外,(一个或多个)网络110可具有与其相关联的任何适合通信范围并且例如可包括:全球网络(例如,互联网)、城域网(MAN)、广域网(WAN)、局域网(LAN)、或个域网(PAN)。此外,(一个或多个)网络110可包括可通过其载送网络流量的任何类型的介质,包括但不限于:同轴线缆、双绞线、光纤、混合光纤(HFC)介质、微波陆基收发器、无线电频率通信介质、卫星通信介质、或它们的任何组合。(一个或多个)移动设备102可包括一个或多个处理器132以及一个或多个存储器136(这里被统称为存储器136)。(一个或多个)处理器132可包括能够接受数字数据作为输入、基于存储的计算机可执行指令处理输入数据以及生成输出数据的任何适合处理单元。计算机可执行指令例如可被存储在数据存储设备134中并且可包括(除了其他事物之外)操作系统软件和应用程序软件。计算机可执行指令可从数据存储设备134中取回并按照执行的需要被加载至存储器136中。(一个或多个)处理器132可被配置为执行计算机可执行指令以使得各种操作被执行。(一个或多个)处理器132可包括任何类型的处理器单元,包括但不限于:中央处理单元、微处理器、微控制器、精简指令集计算机(RISC)微处理器、复杂指令集计算机(CISC)微处理器、专用集成电路(ASIC)、片上系统(SoC)、现场可编程门阵列(F本文档来自技高网...

【技术保护点】
一种存储了计算机可执行指令的计算机可读介质,所述计算机可执行指令当被处理器执行时,使得所述处理器执行包括以下各项的操作:接收针对信息的请求;处理所接收到的请求以识别与所述请求相关联的第一访问级别以及与所述请求的发起者相关联的第二访问级别;确定所述第一访问级别是否匹配所述第二访问级别;响应于确定所述第一访问级别不匹配所述第二访问级别,向所述请求的发起者发送指示拒绝所述请求的消息;以及响应于确定所述第一访问级别匹配所述第二访问级别,向近场通信(NFC)控制器发送所述请求;从所述NFC控制器接收信息;以及将来自所述NFC控制器的所述信息发送至所述请求的发起者。

【技术特征摘要】
【国外来华专利技术】

【专利技术属性】
技术研发人员:麦奎尔·巴列斯特罗斯
申请(专利权)人:英特尔公司
类型:发明
国别省市:美国;US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1