Смарт – картка

Винахід стосується сфери смарт-карток, зокрема, смарт-карток типу ISO 7876. Ці картки являють собою компактні модулі, що містять велику кількість таких електронних елементів, як пам'ять, мікропроцесори, модем. Оскільки технологія швидко прогресує, функціональні характеристики, які вчора закладалися для великих систем, від сьогодні доступні в смарт-картках. Стандартом ISO 7816 визначається сполучення для такої картки, виконане з допомогою розетки на 8 контактів, функції яких визначені цим стандартом. Ідея такої картки була продиктована потребою мати портативні засоби підтримки даних, котрі гарантують підвищену безпеку щодо захисту ци х даних. Безвідносно до їх стр уктур, еони використовуються з метою запам'ятовування та обробки в тих випадках, де вимагається невелика кількості входів-виходів. Дійсно, згідно із стандартом ISO 7816 в двоспрямованому виді півдуплексного режиму використовується лише одне з'єднання. Таким чином, ця структура обмежує еволюцію розглядуваних карток, звівши їх використання до застосування як керуючий елемент, у той час, коли швидкісна обробка даних здійснюється в інших блоках. Особливо це стосується платного телебачення, де сигнали закодовані ключем, що змінюється з часом. У потік аудіо/відео даних, що приходять на декодер, додані адміністративні повідомлення про надання права (EMM), які містять ключі в зашифрованому вигляді. Коли таке повідомлення розпізнане, воно спрямовується до смарт-картки, що виконує роль модуля захисту. У такому варіанті смарт-картка містить різні ключі, які дозволяють дешифрувати ці повідомлення і перевірити, чи має абонент достатньо прав для перегляду даної інформації. Якщо це так, то картка зі свого боку посилає інформацію, яка дозволяє декодеру розшифрувати заши фровані дані. Цій спосіб має кілька недоліків. Перший з них полягає в тому, що ключі в незашифрованому вигляді повинні подаватися на декодер, який не розглядається, як захищений елемент. Саме з цієї причини ключі змінюються через чітко визначені інтервали часу, зазвичай, щосекунди. Хоча ця структура в багатьох відношеннях задовільна, існує реальна проблема при інших її застосуваннях, наприклад, у випадку зберігання даних. При такому її застосуванні поняття тривалості дії ключа зникає, а із зашифрованими даними пов'язується ключ, який може бути розшифрований лише смарт-карткою. Зрозуміло, що факт передавання ключа до декодера, в даному прикладі, до комп'ютера, означає ризик того, що згаданий ключ буде перехопленим третьою особою і безконтрольно відкритим. Можливим розв'язанням цієї проблеми є дешифрування даних безпосередньо в смарт-картці. У цьому випадку ключ кодування не виходить з картки, оскільки цей ключ використовується для обробки закодованих даних безпосередньо всередині картки. Цей вид застосування швидко наштовхується на фізичні обмеження картки ISO 7816, порт I/O якої має швидкість передавання порядку від 10 до 100кілобіт/сек. Подібна проблема виникає і при використанні безконтактної картки типу ISO 14443, Тут швидкості передавання порядку від 106 до 425кілобіт/сек. Будь-яке структурне вдосконалення картки зустрічається з проблемою сумісності з пристроями зчитування ISO 7816 та ISO 14443, які не розумітимуть цих нови х технічних умов. Задача винаходу полягає в тому, щоб мати смарт-картку, яка зберігає сумісність з існуючими пристроями зчитування і яка пропонує інші сервісні послуги, зокрема, можливість дешифрування зашифрованих даних всередині картки зі швидкістю, що відповідає швидкості передавання даних. Ця мета досягається з допомогою смарт-картки, яка має розетку на 8 контактів ISO 7816 і принаймні один стандартний двоспрямований канал та яка відрізняється тим, що вона містить високошвидкісний канал, приєднаний до невикористаних з'єднань. Під невикористаними з'єднаннями ми розуміємо з'єднання, які згідно із стандартом не мають конкретних функцій, або з'єднання, які більше не використовуються у даному поколінні карток. До цієї категорії, зрозуміло, відносяться два з'єднання RFU (зарезервовані для використання у майбутньому), а також з'єднання Vpp, яке дозволяє подавати на енергонезалежні запам'ятовуючі пристрої напругу, вищу за 5В (зазвичай від 12В до 21В). 3 приходом нових технологій енергонезалежних запам'ятовуючи х пристроїв, таких, як NVR AM (енергонезалежна пам'ять з довільним доступом), EEPROM (програмований постійний пристрій запам'ятовування з електричним стиранням) або FLASH (флеш-пам'ять), ця напруга генерується самою карткою, і в даний час ці з'єднання більше не використовуються. Завдяки використанню цих додаткових ліній, з'являється можливість встановити протокол, відмінний від того, що використовується в стандарті ISO 7816, і таким чином відкривається простір для інших застосувань. Наявність трьох з'єднань дозволяє створити високошвидкісну лінію зв'язку, завдяки шині тактових імпульсів (CLK), каналу вводу (IN) і каналу виводу (OUT). Можна одночасно використати різні канали доступу до картки, наприклад, з допомогою стандартного каналу, який двоспрямовано функціонує через канал вводувиводу I/O. Цей високошвидкісний канал додає нові функції до вже існуючих, наприклад, високошвидкісний модуль шифрування-дешифрування. Використання цього високошвидкісного каналу позначається на архітектурі картки. Від тепер можна запропонувати модуль дешифрування (або шифрування), який повністю виконано всередині картки. З цією метою дані, що приходять через швидкісний канал, спрямовуються до спеціального модуля дешифрування. Дійсно, цим даним немає необхідності проходити через мікропроцесор, вони можуть іти безпосередньо до спеціального модуля дешифр ування по внутрішній швидкісній шині. З цією метою смарт-картка згідно з винаходом містить мультиплексні засоби, які дозволяють прямий доступ між швидкісним каналом і одним або кількома спеціальними модулями. Ці засоби у разі необхідності дозволяють також спрямовувати потік швидкісного каналу до мікропроцесора. Якщо певні мікропроцесори не можуть обробляти дані зі швидкостями в кілька мегабіт/сек, то інші більш розвинуті версії уможливлюють цю обробку і можуть замінити певні спеціальні модулі. Таким чином, мікропроцесор, завдяки програмному забезпеченню (програмований), може замістити спеціальні модулі, в яких математичні операції виконуються з допомогою електронних схем (не програмовані). Згідно з винаходом мультиплексні засоби дозволяють з'єднати послідовно кілька спеціальних модулів. Картка згідно з винаходом може містити перший модуль ущільнення даних, вихід якого спрямований до модуля шифр ування. Під час обробки даних шиною швидкісного каналу інші засоби зв'язку залишаються доступними, зокрема, канал вводу-виводу I/O, описаний у стандарті ISO 7816, або безконтактний канал типу ISO 14443. Саме з цієї причини з'являється можливість передавати з допомогою цих засобів керуючу інформацію, причому ця інформація використовується для передавання адміністративної інформації для картки, наприклад, параметрів модулів дешифр ування або прав, пов'язаних з цими параметрами. Згідно з винаходом, мультиплексні засоби містять засоби виділення та внесення для того, щоб виділити певні види даних з потоку інформації. Потік числових даних для платного телебачення містить корисну інформацію, таку, як аудіо або відео та управлінські дані. Коли цей потік спрямовано до швидкісного каналу, необхідно виділити управлінські дані, які містять інформацію про ключі дешифрування, а також різну адміністративну інформацію. Цей модуль виділення та внесення настроюється мікропроцесором, і коли повідомлення відповідає критеріям, розпізнавання, це повідомлення спрямовується в мікропроцесор. Оброблені такою карткою дані зазвичай організуються в блоки. Кожен блок починається з Ідентифікатора блоку, який описує вид інформації, що міститься у згаданому блоці. При виконанні зворотної функції, тобто ши фрування даних, цей модуль може вносити управлінські дані в потік, що надходить від швидкісної шини. Ці управлінські дані генеруються центральним процесором, наприклад, щоб кваліфікувати потік даних, передати керуючі слова у зашифрованому вигляді або передати інформацію про маршрут. З огляду на це, даний модуль містить буферну пам'ять, яка отримує блоки даних, що приходять від швидкісної шини, і блоки даних, що приходять від центрального процесора. Якщо буферна пам'ять містить блок управлінських даних, то вони вносяться в потік у кінці блоку даних, який надходить від швидкісної шини. Далі цей потік передається до формуючого модуля, щоб бути спрямованим до швидкісного вихідного порту. Завдяки цій структурі, весь потік можна обробити всередині смарт-картки, за рахунок чого значно покращується захист даних. Всередині картки можна створити також повний потік зашифрованих або дешифрованих даних, включно з адміністративною інформацією, такою, як керуючі слова. Згідно з варіантом винаходу, швидкісний канал відповідає стандартам USB (універсальної послідовної шини). Особливість цього інтерфейсу полягає в тому, що сигналами використовуються два з'єднання, одне для вхідних даних (IN), а друге для ви хідних даних (OUT). Смарт-картка згідно з винаходом містить модуль визначення протоколу, який дає їй змогу адаптуватися до протоколу USB і перетворює його у внутрішній протокол смарт-картки, наприклад, з допомогою генерування тактових імпульсів. Даний винахід буде краще зрозумілим з допомогою доданої ілюстрації, де, як приклад, що не вносить обмежень, на одному рисунку показана архітектура смарт-картки і її пристрій зчитування згідно з винаходом. На цій ілюстрації показано два відомих види зв'язку, а саме, гальванічний зв'язок (А) і безконтактний зв'язок (В). Хоча відомі картки зазвичай містять лише один із цих зв'язків, з метою сумісності можна виготовити таку картку. Канал I/O спрямований до UART (універсального асинхронного приймача-передавача), який спарений з буферною пам'яттю (BUF). Сигнали, що приходять в UART, форматуються і фільтруються, щоб усун ути шуми та інші перешкоди. Буферна пам'ять (BUF) використовується для запам'ятовування даних, що надходять, перед тим, як вони будуть оброблені мікропроцесором. Аналогічна обробка виконується і безконтактним каналом (В). Сигнали, генеровані пристроєм зчитування, одночасно використовуються для живлення картки. Саме тому антена картки (20) виконує чотири функції, тобто, передавання і приймання даних між карткою·і пристроєм зчитування, забезпечення тактових імпульсів для мікропроцесора та живлення картки. Модуль живлення (SPL) перетворює високочастотну несучу в напругу, яка може бути використана карткою. Над цим модулем знаходиться формуючий модуль ^модульованого сигналу, такий, як модем. Отримана таким чином напруга передається до модуля керування живленням PWRM, завданням якого є вибір джерела живлення, особливо, коли наявні кілька джерел. У варіанті, де картка живиться гальванічно від пристрою зчитування, модуль керування живленням (PWRM) вибирає головним чином гальванічний струм, що надходить від цього пристрою зчитування. Далі ця регульована напруга VP розноситься до елементів картки. Інформація, розшифрована модулем PWRM, стає доступною на стандартній шині (STB), показаній на Фіг. 1 жирною лінією. Ця шина дозволяє зв'язувати між собою всі модулі, де центральний процесор (CPU) виконує роль контролера управління. Для потреб пам'яті картка має компоновочний вузол пам'яті (MEM), який складається з програмної пам'яті (ROM - постійного пристрою запам'ятовування або NVRAM енергонезалежної пам'яті з довільним доступом), оперативної пам'яті (RAM - пам'яті з довільним доступом) та пам'яті зберігання (NVRAM). Ці різні види пам'яті можуть керуватися адміністратором пам'яті (MM). Даний модуль містить також адміністрування прав доступ у до різних видів пам'яті. Картка згідно з винаходом містить другу швидкісну шину (HSB), показану на Фіг.1 штриховою лінією. Шина HSB може бути шиною паралельного або послідовного виду і дозволяє мати швидкості більші мегабіта за секунду. Модулі, які приєднані до цієї шини, приєднані також до стандартної шини для передавання ініціалізацій, ключів та іншої настроювальної інформації. До швидкісної шини HSB приєднані спеціальні модулі шифр ування-дешифрування згідно з різними протоколами підтримки. У цьому відношенні передбачаються модулі типу IDEA (міжнародний алгоритм шифрування даних), DES (стандарт шифрування даних), потрійнийDES (потрійне послідовне використання стандарту DES), Hash (генерування) або AES (удосконалений стандарт шифр ування). Крім того, в залежності від потреб можуть бути додані інші спеціальні модулі, такі, як модулі ущільнення або розпаковування. Модуль, у якому використовується технологія FPLA (програмованої користувачем логічної матриці) дозволяє програмувати операції майбутніх алгоритмів ши фрування. Центральний процесор CPU може установити таку конфігурацію цього модуля, щоб він виконував операції, необхідні для шифрування інформації або виконання будь-якої іншої функції. Модуль цього виду зазвичай компонується з блоків, які виконують одну функцію (наприклад, зсувний регістр, виключне АБО) і які з'єднуються відповідно до потреб виконання вибраної складної функції. Важливий аспект цього винаходу відображається елементами, що складають швидкісний канал. Перший модуль визначення протоколу DP відповідає за форматування сигналів і розпізнавання використаного протоколу. Сигнали перетворюються згідно з внутрішнім протоколом, наприклад, на синхронізованій послідовності шин з трьох дротів. Цей модуль призначений для адаптації до стандарту, визначеного для зовнішнього сполучення. Виявлення протоколу проводиться автоматично, наприклад, в залежності від наявності, чи відсутності тактового сигналу або робочої частоти передавання. Як тільки сигнали сформатовані згідно з відомим протоколом, ці сигнали спрямовуються до мультиплексора MUX. Цей модуль, відповідно до потреб, дозволяє послати сигнали до цільового модуля. Центральний процесор CPU може конфігур увати м ультиплексор, наприклад, так, щоб той посилав сигнали швидкісного каналу до модуля шифрування за алгоритмом IDEA. Під час проходження потоку даних модуль виділення та внесення FF аналізує дані і виділяє ті, які відповідають запрограмованим критеріям. Якщо виявлена відповідність критеріям розпізнавання, модуль виділення та внесення FF генерує сигнал переривання, який інформує центральний процесор CPU про готовність цих даних. Якщо здатність обробки потоку даних достатня, то модуль мультиплексора MUX може послати також ці дані до центрального процесора CPU. В рівній мірі в модуль MUX можна інтегрувати буферну пам'ять для тимчасового зберігання даних перед тим, як цільовий модуль зможе їх обробити. Як описано вище, модуль виділення та внесення FF діє в обох напрямах і дозволяє вносити керуючі блоки в швидкісний канал. Відомо, що картка цього виду не має внутрішнього тактового генератора і що вона залежить від тактових сигналів, які приходять від пристрою зчитування. У нашому випадку є три можливих джерела тактових імпульсів, або класичний вхід CLK згідно із стандартом ISO 7816, або тактові імпульси С1, отримані від безконтактного способу передачі, або тактові імпульси, що супроводжують швидкісну шину С2. Модуль адміністрування синхронізації CLKM керує цими різними джерелами і гарантує, що картка отримає тактові імпульси. Цей модуль містить також засоби множення або ділення частоти, якщо в цьому є потреба. Залежно від необхідності цей модуль може виробляти кілька сигналів тактових імпульсів, наприклад, першу частоту для центрального процесора CPU і другу частоту для швидкісних модулів (DVB, PKC, IDEA...). Керування різними джерелами тактових імпульсів відповідає критеріям, визначеним у термінах ієрархії. В порядку пріоритету першим звичайно йде джерело ISO 7816 (CLK), далі безконтактне джерело ISO 14443 (С1) і нарешті джерело швидкісного каналу (С2). Цей винахід стосується також пристрою зчитування картки, який містить засоби для зв'язку із смарткарткою з допомогою швидкісних каналів. Цей пристрій зчитування повинен мати можливість адаптуватися до великої кількості видів карток, особливо, до карток різних поколінь. Засобами сполучення пристрою зчитування з комп'ютером переважно є порт USB, який дозволяє швидку передачу даних. Смарт-картка не може підтримувати протокол і вимагає трьох дротових з'єднань (IN, OUT, CLOCK). У цьому випадку пристрій зчитування містить інтерфейс, який дозволяє перетворити сигнали, що відповідають стандартам USB, в протокол, прийнятний для картки. Слід відмітити, що ідентифікація виду картки, а також пропускної здатності її каналу зв'язку, виконується традиційними каналами, чітко визначеними в стандарті. Ці канали можуть бути або типу ISO 7816 (гальванічні) або типу ISO 14443 (електромагнітний канал). Згідно з особливим варіантом здійснення пристрою зчитування, модуль виділення та внесення FF знаходиться всередині пристрою зчитування. Таким чином, увесь потік може приходити по швидкісному каналу, наприклад, через інтерфейс USB, і саме в цьому пристрої зчитування буде проводитися розпізнавання адміністративних повідомлень. Останні традиційними каналами будуть надсилатися до смарт-картки. ΠΜ-4784 DVB, PKC... швидкісні модулі IDEA... модуль дешифрування програмована користувачем FPLA ... логічна матриця HSB... високошвидкісна шина STB... стандартна шина MU X ... мультиплексор CPU ... центральний процесор MM... модуль адміністрування пам'яті BUF... буферна пам'ять універсальний асинхронний UART... приймач-передавач FF... модуль виділення та внесення модуль адміністрування CLKM ... синхронізації PWRM, SPL... модуль джерела живлення MODEM... модем RST... скидання CLK... тактові імпульси GND ... заземлення