本發(fā)明專利技術(shù)涉及用于檢查程序指令(13)是否已經(jīng)由終端設(shè)備(1)執(zhí)行的方法和系統(tǒng)。出于此目的,終端設(shè)備請求程序指令(13),其中該程序指令(13)已經(jīng)以可執(zhí)行形式存儲在可信任實體(3)中,特別是芯片卡中。接著,以使得修改的程序指令在方法的每次執(zhí)行時改變的方式,可變地修改可信任實體(3)中的程序指令(13)。通過在終端設(shè)備(1)中執(zhí)行指令,獲得測試值(9a),其又被傳輸?shù)娇尚湃螌嶓w(3)并且在該可信任實體中驗證。
【技術(shù)實現(xiàn)步驟摘要】
【國外來華專利技術(shù)】
本專利技術(shù)涉及和系統(tǒng)。
技術(shù)介紹
隨著電子終端設(shè)備,特別是諸如移動無線電設(shè)備、PDA、平板PC、智能電話等的終端設(shè)備的越發(fā)普及,在這些終端設(shè)備上個人的、機密的、秘密的數(shù)據(jù)和/或至少具有敏感內(nèi)容的數(shù)據(jù)的處理增加。這些數(shù)據(jù)特別包括用戶的機密,例如授權(quán)數(shù)據(jù)、訪問數(shù)據(jù)、個人身份編號、支付交易數(shù)據(jù),特別是TAN和信用卡號。如果這些數(shù)據(jù)被攻擊者窺探,則在很多情況中引起財務(wù)或個人損失。 以與具有因特網(wǎng)連接的傳統(tǒng)PC上的攻擊方法可比較的方式,例如借助于間諜軟件,便攜式終端設(shè)備越來越頻繁地變成攻擊目標(biāo)。因此,在這樣的終端設(shè)備上的數(shù)據(jù)應(yīng)當(dāng)受到最大保護(hù),從而在這樣的數(shù)據(jù)上的間諜攻擊是無果的。間諜攻擊通過植入有害第三方程序指令來完成,例如通過作為惡意軟件的所謂的木馬、病毒或蠕蟲。因此,需要便攜式終端設(shè)備檢查要執(zhí)行的各個程序指令以識別第三方程序指令的植入并且如果可行的話,初始化防御動作。這里,在要執(zhí)行的程序指令的實際執(zhí)行之前、期間或之后可以進(jìn)行要執(zhí)行的程序指令的檢查。根據(jù)本專利技術(shù)理解程序指令為便攜式終端設(shè)備的計算單元,特別是CPU可以執(zhí)行和處理的機器可讀指令、語句和/或命令的序列。對于這里的專利技術(shù),程序指令呈現(xiàn)為機器碼、字節(jié)碼或源碼,或編譯器或解譯器是否作為用于CPU中的它們的執(zhí)行的翻譯實體插入是非實質(zhì)性。從現(xiàn)有技術(shù)已知用于程序指令的檢查方法。根據(jù)美國專利US-7191464-B2,在終端設(shè)備的起始程序指令(所謂的引導(dǎo)代碼)的執(zhí)行期間已經(jīng)進(jìn)行檢查。這里程序指令細(xì)分為多個部分,在將接下來的部分的控制傳遞到終端設(shè)備之前,程序指令的每個部分檢查接下來要執(zhí)行的程序指令的部分的完整性。此過程的問題是程序指令的第一部分必須是值得信任的,因為該第一部分自身不被檢查。這可以例如通過在例如ROM存儲器的特殊組件中存儲程序指令的第一部分來解決,因為ROM存儲器在初始寫入之后不能再被改變。但是,這排除了例如借助于軟件補丁的該第一部分的任何后續(xù)更新。在US-2008/0022108-A1中,再次描述了用于檢查程序指令的第一部分的方法。這里,在程序指令的一部分的基礎(chǔ)上計算隨機密碼功能,其在程序指令的該部分的執(zhí)行之前在獨立和外部的密碼硬件單元中驗證。在此情況下,在沒有位于系統(tǒng)外的獨立單元的情況下無法這樣做。
技術(shù)實現(xiàn)思路
因此,本專利技術(shù)是基于提供用于檢查程序指令是否已經(jīng)由終端設(shè)備執(zhí)行的方法和系統(tǒng)的目的,其是簡單和安全的并且可以低成本地實現(xiàn)。同時,此檢查應(yīng)該不是可預(yù)測的并且不是資源密集的。同時,程序指令必須已經(jīng)在哪個時間點和程序指令的哪個部分必須已經(jīng)檢查應(yīng)該是無關(guān)緊要的。這里的部分目的是利用終端設(shè)備的現(xiàn)有硬件設(shè)施。本專利技術(shù)的此目的通過在同級的獨立權(quán)利要求中描述的措施完成。在各個從屬權(quán)利要求中描述有利的實施例。根據(jù)本專利技術(shù),因此提出了檢查程序指令是否已經(jīng)由終端設(shè)備執(zhí)行的方法,其中,終端設(shè)備調(diào)用(call for)該程序指令,該程序指令以可執(zhí)行形式存儲在可信任的實體中,特別是芯片卡。存儲優(yōu)選地在可信任實體的易失性存儲器區(qū)域中生效,特別是閃存。這里,優(yōu)選地經(jīng)由終端設(shè)備和可信任實體之間的現(xiàn)有通信連接使調(diào)用生效。調(diào)用步驟之后是可信任實體以使得修改的程序指令在方法的每次執(zhí)行時改變的方式可變地修改可執(zhí)行程序指令的步驟。此可變修改基本上意味著在根據(jù)本專利技術(shù)的方法的每次執(zhí)行時不同地修改程序指令。這意味著在根據(jù)本專利技術(shù)的方法的重復(fù)執(zhí)行時發(fā)生替代修改以檢查相同的程序指令。 在終端設(shè)備上無修改的程序指令的執(zhí)行具有的原始效果不由程序指令的改進(jìn)而更改。這可能引起額外效果,例如,由于程序指令的改進(jìn)所獲得的檢查值,這些額外效果用來檢查程序指令的執(zhí)行。接著,修改的程序指令從可信任的實體傳送到終端設(shè)備并由終端設(shè)備執(zhí)行,通過修改的程序指令的執(zhí)行獲得檢查值。由于程序指令的修改而獲得此檢查值。此檢查值又從終端設(shè)備傳送到可信任的實體并在可信任的實體中驗證,用以檢查所調(diào)用的程序指令是否已經(jīng)在終端設(shè)備中執(zhí)行。通過此方法,有利地實現(xiàn)了在每次執(zhí)行之前單獨地修改要執(zhí)行的程序指令。因此,在植入第三方影響的部分沒有預(yù)測是可能的,因為修改的程序指令的執(zhí)行必然引起單獨的檢查值。由于間諜攻擊將它們自身植入程序指令中的第三方程序指令不知道要獲得的檢查值或?qū)е芦@得錯誤檢查值,從而在可信任的實體內(nèi)的檢查值的基礎(chǔ)上的檢查得出其不是要執(zhí)行的所調(diào)用的程序指令。在方法的一個實施例中,要執(zhí)行的程序指令在調(diào)用它們之前從終端設(shè)備傳送到可信任的實體。因此僅臨時地和出于修改的目的在可信任實體中存儲程序指令。其結(jié)果是,降低在可信任實體中的存儲器要求并且仍然保證恰當(dāng)?shù)臋z查。有利地,所獲得的檢查值在可信任實體中與在修改的程序指令的傳送之前存儲的期望值比較,并且假如檢查值和期望值匹配,則檢查得出終端設(shè)備已經(jīng)執(zhí)行調(diào)用的程序指令。為了增加安全性并降低檢查的執(zhí)行時間,在一個實施例中,終端設(shè)備僅調(diào)用程序指令的部分。在根據(jù)本專利技術(shù)的方法的每次執(zhí)行時,可以調(diào)用存儲在可信任實體中的程序指令的不同部分。要調(diào)用的部分的選擇可以是隨機的。這些部分也可以特別地是起始程序指令,從而可以由根據(jù)本專利技術(shù)的方法安全地檢查程序指令的很多部分的起始處的部分的完整性。在有利的實施例中,可變的改進(jìn)生效從而將可執(zhí)行的檢查指令并入程序指令中。在修改的程序指令的執(zhí)行時,此檢查指令傳遞用來在可信任實體中驗證的檢查值。可信任實體類似地執(zhí)行該檢查指令并存儲該檢查指令的結(jié)果作為期望值。特別是,算法計算、所調(diào)用的程序指令的無修改或修改部分的簽名、密碼計算可以合并為檢查指令。特別是,在每次改進(jìn)時檢查指令是不同的。以示例的方式,檢查指令是可執(zhí)行散列算法,獲得某些部分,特別是修改的程序指令的計算的散列值作為檢查值。借助于修改的程序指令,本專利技術(shù)的想法得以類似地包括檢查未調(diào)用的程序指令。例如,修改的程序指令傳送到終端設(shè)備,它們由該終端設(shè)備執(zhí)行,并且通過修改的額外效果,可以是已經(jīng)執(zhí)行的所檢查的程序指令或可以是必須通過已經(jīng)執(zhí)行的程序指令,特別是軟件例行程序、接口配置或訪問權(quán)呈現(xiàn)的所檢查的效果。可以以此方式識別通過惡意軟件的所植入的第三方程序指令。在有利的實施例中,通過合并可變值,特別是隨機值來生效程序指令的可變修改。獲得該可變值作為通過終端設(shè)備執(zhí)行修改的程序指令并在可信任實體中驗證的檢查值。替代地,通過修改在可變值上執(zhí)行散列函數(shù),并且可變值的散列值作為獲得的檢查值傳送。類似地,可以獲得將要執(zhí)行或已執(zhí)行的程序指令的散列值作為檢查值。替代地,通過在所調(diào)用的程序指令的特定位置或不同位置并入空閑指令的隨機數(shù),也稱為空閑任務(wù)或NOP來生效可變修改。然后,包含這些空閑指令的程序指令的部分的 位置或散列值用作要驗證的檢查值。替代地,也可以插入程序指令而無任何目標(biāo)效果,所謂的無意義命令,也指垃圾指令。由通過所調(diào)用的程序指令的部分的隨機化來生效的可變修改獲得安全性上的進(jìn)一步增加。然后,所獲得的檢查值例如是散列值或隨機化數(shù)據(jù)流的簽名,其也由可信任實體計算并存儲為期望值。在替代實施例中,可變地修改程序指令,從而在終端設(shè)備中修改的程序指令的執(zhí)行之后,以密碼加密形式生效所獲得的檢查值的傳送,可信任實體能夠解密所獲得的檢查值。出于此目的,特別是密匙對的公共部分作為修改的程序指令的一部分傳送。在執(zhí)行修改的程序指令時,請求終端設(shè)備采用密匙的公共部分用于密碼地本文檔來自技高網(wǎng)...
【技術(shù)保護(hù)點】
【技術(shù)特征摘要】
【國外來華專利技術(shù)】...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:S鮑爾,
申請(專利權(quán))人:德國捷德有限公司,
類型:
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。