八月瓜首页 > 专利查询 > >正文

用于操作设计成执行可重新装载的功能程序的数据载体的方法

基本信息

  • 申请号 CN00810462.X 
  • 公开号 CN1134751C 
  • 申请日 2000/06/23 
  • 公开日 2004/01/14 
  • 申请人 德国捷德有限公司  
  • 优先权日期  
  • 发明人 亚历山大·科尔贝克 托马斯·斯托克 托马斯·弗雷 迪特尔·韦斯 马丁·默克  
  • 主分类号  
  • 申请人地址 德国慕尼黑 
  • 分类号  
  • 专利代理机构 北京市柳沈律师事务所 
  • 当前专利状态 发明专利权部分无效宣告的公告 
  • 代理人 黄小临 
  • 有效性 失效 
  • 法律状态 失效
  •  

权利要求书


1.一种用于操作数据载体的方法,该数据载体备有通信装置、内存设备、 和用于执行包含于内存设备中的功能程序的程序执行单元,该方法包括下列 步骤: -安装功能程序到数据载体的内存设备(110)上,以实现装载器接口 (120),该接口依次可以重新装载功能程序,其中每个功能程序都可以实现装 载应用(210); -在内存设备(110)上提供可用于装载器接口(120)的空闲内存空间 (130); -通过通信装置(60)重新装载至少一个装载应用(210)到内存设备(110) 上,所述重新装载由装载器接口(120)控制,并且装载应用(210)被分配给空 闲内存空间(130)的一部分作为赋值地址空间(220)。

2.根据权利要求1所述的方法,其特征在于下述步骤: -在装载应用(210)的控制下,依靠程序执行单元,通过通信装置(60) 重新装载至少一个装载应用程序(230)到所分配的赋值地址空间(220)。

3.根据权利要求1所述的方法,其特征在于装载器接口(120)交出赋予 装载应用(210)的赋值地址空间(220)的控制给装载应用(210)。

4.一种数据载体,包括: -内存设备(110),用于接收功能和应用程序; -程序执行单元(20),用于执行包含于内存设备(110)中的功能程序; -通信装置(60), 其特征在于: -作为功能程序实现的装载器接口(120),用于装载至少一个装载应用 (210),该装载应用(210)许可更多应用程序通过通信装置(60)重新装载到 内存设备(110)上; -装载器接口(120),与内存设备(110)中的空闲内存地址(130)有关,用 于接收至少一个装载应用。

5.根据权利要求4所述的数据载体,其特征在于,在内存设备(110)中 接收的装载应用(210)控制与独立装载器接口(120)相关的空闲内存地址(130) 的区域(220)。

6.根据权利要求4所述的数据载体,其特征在于在装载期间,装载应用 (210)被设计为把要被重新输入的应用程序(330)与已存在于数据载体上的应 用和功能程序链接起来。

7.根据权利要求6所述的数据载体,其特征在于在装载期间,装载应用 (210)包括多个限制,用于禁止把要新装载的应用程序(330)与已存在的程序 (311、320)相链接。

8.一种用于操作数据载体的方法,其中数据载体具有内存设备,用于接 收功能和应用程序;程序执行单元,用于执行包含于内存设备中的功能和应 用程序;和通信装置,该方法特征在于包括下列步骤: -用实现装载器接口(120、210)的功能程序装备数据载体,以便重新装 载应用程序到内存设备中, -用管理设备装备数据载体,以便在内存设备(110)中分配地址空间以 便重新装载应用程序, -为要被装载的应用程序提供标记,标记包含关于应用程序所要求的内 存空间容量的信息, -在应用程序重新装载期间,评估标记。
-协同规定的容量信息,在内存设备(110)中为应用程序分配地址空间。

9.根据权利要求8所述的方法,其特征在于标记还包括指定应用程序的 信息。

10.根据权利要求8所述的方法,其特征在于标记还包括提供应用程序 的真实性的签名。

11.根据权利要求8所述的方法,其特征在于标记由数据载体的发行人 发布。

12.一种数据载体,该数据载体具有内存设备(110),用于接收功能和应 用程序;程序执行单元(20),用于执行包含于内存设备中的功能程序;通信 装置(60);和作为功能程序实现的装载器接口(120、210),用于通过通信装 置(60)重新装载至少一个应用程序到内存设备(110)上,装载器接口(120 210)具有装置,以用于检查被装载的应用程序的标记,并根据标记中包含的 容量信息在内存设备(110)上为要被装载的应用程序分配内存空间。
展开

说明书

技术领域 本发明涉及一种用于操作数据载体的方法,该数据载体备有通信装置、 内存设备、和用于执行包含于内存设备中的功能程序的程序执行单元。
背景技术 智能卡形式的数据载体用于增长的各个应用领域中。
尤其广泛使用的卡 是基于IS07810标准的卡,此卡包括封装的集成半导体电路的塑料载体和与 相应读取器产生电子连接的接触装置。
还有提到使卡更小,或完全省略它并 代之以安装如单片微控制器在手表、珠宝、服装或其它日用物品中。
术语“智 能卡”因而是指包括所有当前和未来的可移动(小)物体,其中内嵌微控制器, 使其所有者或持有者能够执行与相应的,特别是给定的交互站进行智能卡类 型的交互作用。
典型的智能卡应用是信用卡、现金卡、医疗保险卡或电话卡。
术语“应用”这里是指智能卡内的所有数据、命令、操作、状态、机制和算 法的整体,这些在系统内,例如在信用卡支付系统内,对操作智能卡是必需 的。
每个应用通常有自己相应的智能卡,并且每个新应用及现存应用的更新 同样产生新的智能卡。
因而从根本上要求智能卡能在诸如信用卡组织、银行、 保险、电话公司等卡系统的不同的操作者和服务提供商的多个应用中使用。
适于几个应用的这种智能卡的文件组织见于Rankl/Effing的 “Handbuch der Chipkarten”(Carl Hauser Verlag,1996年,第5和6章)。
其中描述的组织结构是基于ISO/IEC标准7816-4。
在文件结构的顶部是包含 智能卡上出现的所有其它文件的目录的主文件。
主文件的下一级是一个或多 个专用文件,这些专用文件包括成组文件的文件名,尤其这些成组晚间属于 一个应用。
每个专用文件的下一级最后是一个或多个包含应用的有用数据的 基本文件。
此篇文章还将程序代码的重新装载描述为技术上是可行的,但出 于安全原因却是不明智的。
作为克服安全难题的最有前途的措施,它指出建 立内存管理单元以监视被执行的程序代码是否遵守规定的限制。
文章WO-A1-98/09257揭示了用于在智能卡上装载应用的系统和方法,这 使得除了已经装载的应用数据之外,在智能卡上装载更多应用的程序和应用 数据成为可能。
根据合适的密码技术采取的预防措施以允许验证执行数据重 新装载的机构的授权。
在附加应用的数据访问智能卡的内存后,相应的程序 数据的真实性被检查。
然后程序数据根据它们的语法和有效类型限制被检查。
假如在这些检查步骤之一中,不一致性被确认,附加装载的数据就被丢弃并 从内存中删除。
已知的系统允许在智能卡发送到最终用户后,控制应用的重 新装载。
尽管如此,这意味着卡发行人发行带有可用空闲内存空间的智能卡 给服务提供商时,举例说,就必须已经知道此服务提供商的所有代理的身份, 此服务提供商稍后为了重新装载被授权以提供应用给最终用户。
这些可通过 卡发行人验证服务提供商的某些公开签名密钥做到,以便能够例如通过存放 它自己的公开签名密钥到智能卡的掩膜ROM中,检查重新装载数据的真实性。
尽管如此,在已知的系统中,除了真实性和正确语法之外,卡发行人不可能 在单张卡上检查由服务提供商占用的内存容量。
DE 197 18 115 A1还揭示了智能卡和用于装载数据到智能卡的方法,使 得卡在生产处理结束之后,将卡的应用装载至智能卡成为可能。
智能卡所提 供的是一个容器存储空间,在其中服务提供商可装载它自己的应用。
在容器 存储空间中,可重新装载的应用的基本程序结构被预定义;所重新装载的内 容只是专用数据和密钥。
可重新装载的应用的结构的预定义实现了在卡上的 不同服务提供商的数据的可靠分离。
此文不提供带有未知数据结构的应用的 重新装载。
通常,它不描述用于管理容器存储空间的预定义应用结构的替代 方法。
如果稍后未定义范围的程序代码被装载,预定义应用结构的概念不能 被使用。
见于DE 197 18 115 A1的解决方案因而不适于应用到以后应用的整 个程序代码。
发明内容 本发明基于此问题,即提供在智能卡上装载附加应用的方法以及避免现 有技术的缺点的智能卡。
根据本发明,此问题可通过具有本发明所述特征的方法和通过具有本发 明所述特征的智能卡得以解决。
本发明提供了一种用于操作数据载体的方法,该数据载体备有通信装置、 内存设备、和用于执行包含于内存设备中的功能程序的程序执行单元,该方 法包括下列步骤:安装功能程序到数据载体的内存设备上,以实现装载器接 口,该接口依次可以重新装载功能程序,其中每个功能程序都可以实现装载 应用;在内存设备上提供可用于装载器接口的空闲内存空间;通过通信装置 重新装载至少一个装载应用到内存设备上,所述重新装载由装载器接口控制, 并且装载应用被分配给空闲内存空间的一部分作为赋值地址空间。
本发明还提供了一种数据载体,包括:用于接收功能和应用程序的内存 设备;用于执行包含于内存设备中的功能程序程序执行单元;和通信装置。
在该载体中作为功能程序实现的装载器接口,用于装载至少一个装载应用, 该装载应用许可更多应用程序通过通信装置重新装载到内存设备上;而装载 器接口,与内存设备中的空闲内存地址有关,用于接收至少一个装载应用。
本发明还提供了另外一种用于操作数据载体的方法,其中数据载体具有 用于接收功能和应用程序的内存设备;用于执行包含于内存设备中的功能和 应用程序的程序执行单元;和通信装置。
该方法包括下列步骤:用实现装载 器接口的功能程序装备数据载体,以便重新装载应用程序到内存设备中;用 管理设备装备数据载体,以便在内存设备中分配地址空间以便重新装载应用 程序;为要被装载的应用程序提供标记,标记包含关于应用程序所要求的内 存空间容量的信息;在应用程序重新装载期间,评估标记;协同规定的容量 信息,在内存设备中为应用程序分配地址空间。
本发明还提供了另外一种数据载体,该数据载体具有用于接收功能和应 用程序的内存设备;用于执行包含于内存设备中的功能程序的程序执行单元; 通信装置;和作为功能程序实现的装载器接口,用于通过通信装置重新装载 至少一个应用程序到内存设备上,装载器接口具有装置,以用于检查被装载 的应用程序的标记,并根据标记中包含的容量信息在内存设备上为要被装载 的应用程序分配内存空间。
根据本发明的方法,许可卡的发行人以便利的方式让用户稍后装载功能 程序到有他自己权限的卡中。
卡发行人不再需要预定义哪个用户或服务提供 商被给予在特定智能卡上重新装载附加应用的许可。
甚至当智能卡已经被发 行并且在用户已拥有时,它使得重新装载应用成为可能。
本方法因而尤其适 于由智能卡发行人实现将智能卡存储资源的可精确定义的权利合同转移到第 三方。
本方法确保高的安全标准。
根据前述本发明的第一种方法,这可通过以 下事实获得,即装载许可重新装载应用功能程序的应用,仅通过由卡发行人 设置在卡上的主装载器接口被装载卡中。
主装载器接口尤其有利于许可被精 确定义的重新装载功能程序的物理位置和逻辑行为范围。
重新装载功能程序 的可能性的创建,还以便利的方式简化了相应的卡的生产。
根据前述本发明的另一种方法的标记系统提供便利,使卡发行人能检查 个人用户用于重新装载应用的可用内存空间的容量。
标记系统此外还提供建 立应用相关的费用系统。
例如,这种系统也许会被提供以使用户或服务提供 商依据他或它占用的智能卡内存设备的多少来分担智能卡的整个费用。
附图说明 本发明将以举例和不限定的方式,通过实施例参照图例作更详细的解释, 其中: 图1表示微处理器智能卡的结构; 图2示意性地表示带有主装载器的内存设备的占用; 图3表示专用装载器装载后,内存设备的占用; 图4表示包括主装载器和几个专用装载器的等级结构的示意图。
具体实施方式 图1表示配有微处理器的智能卡10的典型结构。
主要元件是中央处理器 单元20,它通过执行功能程序赋予智能卡10它的功能。
处理器单元20又分 配给由3个存储电路30、40、50构成的内存设备110。
存储电路30代表可 编程掩膜只读存储器(ROM),特别包含中央处理器单元20的操作系统;存储 电路50代表电子可擦除只读存储器50(EEPROM),用于接收被中央处理器单 元20使用的数据和功能程序的程序代码;存储电路40一般代表易失性随机 存储器40(RAM),用于作为工作存储器执行功能程序。
卡功能来源于包含在 存储电路30、40、50中的数据或程序代码的整体。
如果是技术上的需要或为 了方便,则存储电路30、40、50可以按诸如重叠的方式使用,如果在EEPROM 上的特定内存地址区域被用于操作系统的程序数据,或ROM上的内存地址区 域被应用数据占用。
因此在下文中,整体上总是将存储电路30、40、50作为 一个内存设备110来理解。
为了与外部设备交换数据,卡10还有同样连接到 中央处理器单元20的通信装置60。
所示卡10的典型应用是执行电子支付操 作。
图1所示智能卡的详细描述见于Rankl/Effing的“Handbuch der Chipkarten”(Carl Hauser Verlag,1996年,第2和3章)。
本发明的第一实施例基于此概念:允许可依次装载应用功能程序的装载 应用被放到卡上,但许可装载应用经由专用的装载器接口自己单独地被建立。
图2示意地说明了智能卡的内存设备110的占用,首先该卡仅包括定义第一 装载器接口120的单功能程序120的程序代码。
装载器接口120专门被设计 重新装载实现装载应用的功能程序到内存设备110,即该功能程序依次地装 载功能和许可应用功能程序的重新装载。
装载器接口120是智能卡基本配置 的便利部分并由卡发行人或卡制造商装载卡中。
装载器接口120以下指定为 主装载器(ML),占用了内存设备110的整个内存区域的可用部分。
实现主装 载器接口120的功能程序尤其可以成为智能卡的操作系统的一部分,并相应 地作为在只读内存(ROM)30中的可编程掩膜代码被执行。
整个内存区域的另 外部分一开始没有被数据占用,并作为空闲内存130提供用于将被装载的其 它功能程序。
整个空闲内存130的管理首先受主装载器120影响。
在作为管 理设备的功能中,主装载器120尤其控制要被重新装载到空闲内存130中的 第一功能程序的程序代码的装载和地址空间的分配。
第一和其它所有被重新 装载的功能程序的字节代码经由数据接口60以适当的电子信号形式传输。
主装载器120最好只装载那些满足被定义的安全条件的功能程序到内存 设备110中。
通过检查等待被装载的程序代码是否显示没有改变制造商认可 的形式,或者例如通过从卡发行人那里获得权限利用智能卡资源来检查装载 应用的制造商是否实际上被授权装载此装载应用,在装载期间主装载器120 最好检查要被装载的装载应用的一致性和真实性。
图3表示来自图2的内存阵列,由此主装载器120使实现装载应用的第 一功能程序210装载到空闲内存130中。
装载应用210定义第二个接口,即 在下文中指定的专用装载器210(DL)。
它允许更多功能程序随后继续被装载 到内存设备110中。
尽管如此,它只定义不可扩展的可用赋值地址空间220。
在专用装载器210装载期间,赋值地址空间220由主装载器120分配给专用 装载器210。
所述分配将对赋值地址空间220的管理完全转移到专用装载器 210,这样,专用装载器210具有类似于主装载器120的管理设备所必需的功 能。
主装载器120不能影响或者访问已赋予专用装载器210的地址空间220 的进一步的利用。
主装载器120仍然对不由专用装载器210接管而被占用的空闲内存地址 空间的部分进行管理,并对分割成独立分区130a、130b的地址空间220进行 分配。
专用装载器210可被卡的使用者装载,这与主装载器120不同。
专用装 载器210许可,并且当他选择时,为用户预先准备装载实现应用的功能程序 到赋值地址空间220中。
术语“应用”这里是指用于操作智能卡的所有数据、 命令、操作、状态、机制和算法的整体,这些在应用内就操作智能卡而言是 必需的。
当实现应用的新功能程序被转移到赋值地址空间220时,专用装载 器210确保被装载的功能程序的程序代码绝不会访问位于赋值地址空间220 外部的数据代码。
在由主装载器120装载期间,赋予专用装载器210的地址 空间220已经被提供有保护措施,它可防止物理地或逻辑地访问位于赋值地 址空间220以外的内存设备110的局部区域。
赋值地址空间220被专用装载 器210划分给被重新装载的功能程序。
举例说,用于实现新的卡应用的功能 程序230可能已经被分配给赋值地址空间220的局部区域231。
以上述结构的形式特别有利于转移内存空间给第三方,如图4所示,内 存设备110的占用是等级结构,并且被重新装载的功能程序以限定的方式被 给予有可能访问已在内存设备110存在的其它功能程序。
所示树状结构说明 不同功能程序被加入的时间顺序。
简言之,卡仅配有主装载器120;主装载 器是初始访问卡的内存设备110的唯一入口。
主装载器120许可装载专用装 载器210a、210b、210c以装载实现基本卡功能的通用功能或功能程序240。
如果主装载器120位于卡上,任何时候专用装载器210和功能程序240都能 经由主装载器120被装载;如图4的树状结构所示,它们也从主装载器开始 呈平行路径排列。
在主装载器120装载期间,所有新装载的功能程序210、240都要被检查 许可性和安全性。
只有检查为肯定的功能程序被装载。
每个被装载的专用装 载器210a、b、c由主装载器120在内存设备110中分配给不可改变的位置限 定的地址空间220,地址空间220不能由相关的专用装载器210扩展。
如果 主装载器120任何容量的信息,它分配一个标准地址空间。
当功能程序210、240正在装载时,主装载器120确保不同专用装载器 210的赋值地址空间220在物理上或逻辑上是严格分离的,并且一个专用装 载器210决不会访问其它专用装载器210的赋值地址空间220。
在地址空间 被装载和赋值之后,对特定赋值地址空间220的控制被完全地和独占地转移 给相关的专用装载器210a、210b、210c。
现在每个专用装载器210在特定赋 值地址空间220中可装载更多的功能程序,尤其是可实现卡的应用的功能程 序,例如用于安全地执行金融交易地密钥和方法。
在装载期间,专用装载器 210对属于要被装载的功能程序的字节代码进行安全性和许可性测试。
专用装载器210还能将新装载的功能程序与已存在的功能程序以限定的 方式链接起来。
在功能程序装载期间,专用装载器210相对于内存设备110 中已存在的功能程序,定义其可能的访问权限和链接可能性。
同样地可建立 一些明显地防止新装载的功能程序访问或链接已存在或将被装载的功能程序 的限制。
访问或链接限制不仅可在专用装载器的赋值地址空间内建立,还可 以交叠在其它专用装载器的赋值地址空间上。
在图4的例子中,专用装载器210a被检查,许可,并在赋值地址空间 220被装载两个功能程序310、311、专用装载器210b、三个功能程序320、 321、322以及专用装载器210c,许可装载另外的功能程序330到赋值地址空 间220。
如果所要求的专用装载器210存在于卡上,则功能程序310、311、 320、321、322、330的重新装载可由专用装载器210在任何时候以任何方式 来影响。
在图4中,每个被重新装载的功能程序310、311、320、321、322、 330相应地被分配给特定装载的专用装载器210a、210b、210c。
假如在装载 期间被特定激活的专用装载器210许可,则功能程序310、311、320、321、 322、330能相互访问或彼此链接。
在图4的例子中,例如功能程序330能访 问功能程序321或310,以使用其本身提供的程序。
另一方面,功能程序330 没有访问和链接功能程序311的可能,对于功能程序330这种阻断是由于缺 乏相应的访问和链接的许可;这阻断了所有外来的访问。
作为对由主装载器120或专用装载器210装载的新功能程序的补充,原 则上可能删除现存于内存设备110中的功能程序210、240、310、330。
对删 除的授权建立在由装载器120、210装载功能程序期间。
仅当被分配的地址空 间220不再含有任何功能程序时,专用装载器210才能被删除。
主装载器120 不能被删除。
有利于支持智能卡内存空间向第三方低风险转移的措施是标记系统的使 用,标记系统通过主装载器120和/或专用装载器210a、210b、210c来实现 存储空间的分配。
标记具有数字信息的形式。
它们加入到要被装载的专用装 载器210或功能程序上,并且尤其包括关于所需赋值地址空间220的容量或 功能程序所要求的地址空间230的容量的说明。
用于装载专用装载器或功能 程序230的装载器120、210被给予标记,必定能够评估标记。
标记系统可为 卡中全部装载器120、210建立或仅为单个装载器建立;图3所示装载器的等 级结构不是建立标记系统的前提。
标记由智能卡发行人或装载器120、210的 制造商生成。
标记必须事先从所述发行人、或要新装载内存设备110的专用 装载器210或功能程序的制造商处获得。
由此可见卡发行人/装载器制造商总 是被告知分配给它的装载器120/210的地址空间的占用。
借助于有关标记的 相关信息,通过仅分配绝对必需的地址空间给专用装载器或要新装载的功能 程序,能特别确保赋值地址空间的内存空间节省利用。
除容量信息以外,标记还能包含更多信息,例如许可作标记的真实性检 查的信息。
最好通过加密方法进一步确保标记的真实性和防止伪造。
在这种 情况下标记上的信息被加密,标记因而包含例如初始化密钥,它能允许授权 的装载器导出用于读取标记的密钥。
便利的是,标记还包含加密实现的数字 签名。
为了便于管理,标记还能提供例如功能程序的标示、应用的标示符、 日期或类似的等。
还可以建立限制功能程序可用性的信息,例如用以限制应 用被使用的时间,或指明被完全授权使用功能程序的卡的标示符。
展开

查看更多专利详情信息请先登录或注册会员

相关专利类别推荐

获取手机验证码,即可注册成为会员

专利详情咨询

咨询内容

姓名

手机

验证码

用户登录

手机号

手机验证码

提示

不能再减了!!!

提交成功

八月瓜客服中心已经收到您的信息,正在为您派遣知识产权顾问。知识产权顾问会携带贴心的服务以闪电搬的速度与您联系。

扫一扫关注八月瓜微信 创业一手掌握