[发明专利]用于设备应用的安全性架构

说明书

计算设备实施应用(42)的安全性架构。该安全性架构具有用于存储第一密码材料的非易失性存储装置(43)和用于存储第二密码材料的易失性存储装置(51)。第二密码材料在计算设备重新启动时丢失。至少第二密码材料可以从计算设备外部但能通过计算网络访问的源补充。还描述了由应用使用这种架构的方法。

相关申请的交叉引用

本申请要求于2017年2月21日提交的欧洲专利申请No.17157273.8的权益和优先权。上述申请的全部公开内容通过引用并入本文。

技术领域

本发明涉及用于在计算设备上执行的应用的安全性架构。在实施例中，它涉及移动应用安全性，以及移动应用对于敏感资产的使用，特别是用于移动支付应用的实施例。

背景技术

智能设备和智能电话正变得越来越普遍，全球智能电话销量从2009年的不足2亿增加到2015年的13亿以上。移动和通信技术的改进也允许智能设备和智能电话的新的和替代的使用。一个示例是近场通信(NFC)技术的发展及其在非接触式支付交易中的使用。许多智能电话及信用卡和借记卡(如果符合EMVCo在主要卡提供商的支持下开发的标准，那么通常称为“EMV卡”)现在配备了NFC芯片，使得能够安全地发送支付细节，因此用户只需向销售点终端“触摸”或“点击”电话或卡以处理支付交易。

以前，使用NFC通信进行支付交易需要设备具有安全元件(SE)芯片，其用于安全地存储支付凭证。这当然适于由发行方(诸如用户的银行)生产的EMV卡，因为发行方可以在SE芯片中使用他们的优选平台。但是，在移动设备的情况下，任何数量的发行方必须使用一个SE，这会在所有权和访问权限方面产生问题。此外，一些移动设备可能没有安全元件。因此，以其他方式配备用于非接触式支付或远程支付的移动设备将无法实施此类交易。

为移动设备中的支付交易提供安全元素的替代方案是使用受信执行环境(TEE)-这是由移动设备的主处理器提供的隔离的执行环境，其适于使得其中加载的代码和数据与主操作系统隔离。TEE与移动设备的主操作系统(有时称为富执行环境或REE)并行操作，并且处理TEE中的支付交易的某些方面提供了附加的安全性，例如因为代码受到完整性保护。

但是，在SE之外存储凭证需要替代方法来保护用于支付交易的凭证。例如，永久卡号(PAN)通常本地存储在移动应用中，这虽然方便，但不安全，因此这个数据元素常常被“标记化(tokenised)”，用非敏感值替换PAN并引入域限制，从而允许这个值仅在具体条件下使用。另一个示例是从远程安全数据存储库创建和传送单次使用交易密钥，而不是使用移动设备处的账户级别密钥。单次使用交易密钥使移动应用能够仅执行单个交易，而账户级别密钥允许它进行大量交易。

密码密钥的有效使用和管理一般而言对于交易系统是重要的，并且在卡或用户凭证存储在除SE以外的地方的情况下尤其相关-例如在申请人的早期WO2015/084755中讨论了解决方案。当移动设备需要在离线模式以及在线模式下操作时，交易系统中的密码密钥的管理和使用可能特别具有挑战性。期望用户能够在离线环境中尽可能地进行安全有效的交易，即使在外部系统元件不可用时。

发明内容

在第一方面，本发明提供了一种计算设备，实施用于应用的安全性架构，所述安全性架构包括用于存储第一密码材料的所述计算设备的非易失性存储装置和用于存储第二密码材料的所述计算设备的易失性存储装置，其中第二密码材料在计算设备重新启动时丢失。

这种方法允许灵活的方法，其允许应用在广泛的各种情况下使用，同时提供对子版本或攻击的有效保护。

在一种布置中，所述安全性架构适于使得至少第二密码材料从所述计算设备外部但能通过计算网络访问的源补充，其中所述应用适于使用第一密码材料以及在能使用的情况下的第二密码材料来执行动作，其中该动作的输出指示第二密码材料是否可用。

由于第二密码材料在重新启动时丢失，因此这种方法允许有效防御重新启动攻击，因为这些需要重新启动才能完成。