用于操作设计成执行可重新装载的功能程序的数据载体的方法.pdf

用于操作设计成执行可重新装载的功能程序的数据载体的方法
    本发明从根据主权利要求的前序所述的方法开始。

    智能卡形式的数据载体用于增长的各个应用领域中。尤其广泛使用的卡是基于ISO7810标准的卡，此卡包括封装的集成半导体电路的塑料载体和与相应读取器产生电子连接的接触装置。还有提到使卡更小，或完全省略它并代之以安装如单片微控制器在手表、珠宝、服装或其它日用物品中。术语“智能卡”因而是指包括所有当前和未来的可移动(小)物体，其中内嵌微控制器，使其所有者或持有者能够执行与相应的，特别是给定的交互站进行智能卡类型的交互作用。典型的智能卡应用是信用卡、现金卡、医疗保险卡或电话卡。术语“应用”这里是指智能卡内地所有数据、命令、操作、状态、机制和算法的整体，这些在系统内，例如在信用卡支付系统内，对操作智能卡是必需的。

    每个应用通常有自己相应的智能卡，并且每个新应用及现存应用的更新同样产生新的智能卡。因而从根本上要求智能卡能在诸如信用卡组织、银行、保险、电话公司等卡系统的不同的操作者和服务提供商的多个应用中使用。

    适于几个应用的这种智能卡的文件组织见于Rankl/Effing的“Handbuch der Chipkarten”(Carl Hauser Verlag，1996年，第5和6章)。其中描述的组织结构是基于ISO/IEC标准7816-4。在文件结构的顶部是包含智能卡上出现的所有其它文件的目录的主文件。主文件的下一级是一个或多个专用文件，这些专用文件包括成组文件的文件名，尤其这些成组晚间属于一个应用。每个专用文件的下一级最后是一个或多个包含应用的有用数据的基本文件。此篇文章还将程序代码的重新装载描述为技术上是可行的，但出于安全原因却是不明智的。作为克服安全难题的最有前途的措施，它指出建立内存管理单元以监视被执行的程序代码是否遵守规定的限制。

    文章WO-A1-98/09257揭示了用于在智能卡上装载应用的系统和方法，这使得除了已经装载的应用数据之外，在智能卡上装载更多应用的程序和应用数据成为可能。根据合适的密码技术采取的预防措施以允许验证执行数据重新装载的机构的授权。在附加应用的数据访问智能卡的内存后，相应的程序数据的真实性被检查。然后程序数据根据它们的语法和有效类型限制被检查。假如在这些检查步骤之一中，不一致性被确认，附加装载的数据就被丢弃并从内存中删除。已知的系统允许在智能卡发送到最终用户后，控制应用的重新装载。尽管如此，这意味着卡发行人发行带有可用空闲内存空间的智能卡给服务提供商时，举例说，就必须已经知道此服务提供商的所有代理的身份，此服务提供商稍后为了重新装载被授权以提供应用给最终用户。这些可通过卡发行人验证服务提供商的某些公开签名密钥做到，以便能够例如通过存放它自己的公开签名密钥到智能卡的掩膜ROM中，检查重新装载数据的真实性。尽管如此，在已知的系统中，除了真实性和正确语法之外，卡发行人不可能在单张卡上检查由服务提供商占用的内存容量。

    DE 197 18 115 A1还揭示了智能卡和用于装载数据到智能卡的方法，使得卡在生产处理结束之后，将卡的应用装载至智能卡成为可能。智能卡所提供的是一个容器存储空间，在其中服务提供商可装载它自己的应用。在容器存储空间中，可重新装载的应用的基本程序结构被预定义；所重新装载的内容只是专用数据和密钥。可重新装载的应用的结构的预定义实现了在卡上的不同服务提供商的数据的可靠分离。此文不提供带有未知数据结构的应用的重新装载。通常，它不描述用于管理容器存储空间的预定义应用结构的替代方法。如果稍后未定义范围的程序代码被装载，预定义应用结构的概念不能被使用。见于DE 197 18 115 A1的解决方案因而不适于应用到以后应用的整个程序代码。

    本发明基于此问题，即提供在智能卡上装载附加应用的方法以及避免现有技术的缺点的智能卡。

    根据本发明，此问题可通过具有权利要求1中所述特征的方法和通过具有独立权利要求4中所述特征的智能卡得以解决。此问题同样可通过具有权利要求8中所述特征的方法和通过具有独立权利要求12中所述特征的智能卡得以解决。一方面，权利要求1和4的客体；另一方面，权利要求8和12的客体，每个都具有独立发明的重要性。根据权利要求1和8的方法和根据权利要求4和12的客体也可以相结合。

    根据权利要求1所述的发明方法以及根据权利要求8所述的方法，许可卡的发行人以便利的方式让用户稍后装载功能程序到有他自己权限的卡中。卡发行人不再需要预定义哪个用户或服务提供商被给予在特定智能卡上重新装载附加应用的许可。甚至当智能卡已经被发行并且在用户已拥有时，它使得重新装载应用成为可能。本方法因而尤其适于由智能卡发行人实现将智能卡存储资源的可精确定义的权利合同转移到第三方。

    本方法确保高的安全标准。根据权利要求1所述，这可通过以下事实获得，即装载许可重新装载应用功能程序的应用，仅通过由卡发行人设置在卡上的主装载器接口被装载卡中。主装载器接口尤其有利于许可被精确定义的重新装载功能程序的物理位置和逻辑行为范围。重新装载功能程序的可能性的创建，还以便利的方式简化了相应的卡的生产。

    根据权利要求8所述的标记系统提供便利，使卡发行人能检查个人用户用于重新装载应用的可用内存空间的容量。标记系统此外还提供建立应用相关的费用系统。例如，这种系统也许会被提供以使用户或服务提供商依据他或它占用的智能卡内存设备的多少来分担智能卡的整个费用。

    所提出的方法和智能卡的有益的开发和合适的实施例可见于附属权利要求。

    本发明将以举例和不限定的方式，通过实施例参照图例作更详细的解释，其中：

    图1表示微处理器智能卡的结构；

    图2示意性地表示带有主装载器的内存设备的占用；

    图3表示专用装载器装载后，内存设备的占用；

    图4表示包括主装载器和几个专用装载器的等级结构的示意图。

    图1表示配有微处理器的智能卡10的典型结构。主要元件是中央处理器单元20，它通过执行功能程序赋予智能卡10它的功能。处理器单元20又分配给由3个存储电路30、40、50构成的内存设备110。存储电路30代表可编程掩膜只读存储器(ROM)，特别包含中央处理器单元20的操作系统；存储电路50代表电子可擦除只读存储器50(EEPROM)，用于接收被中央处理器单元20使用的数据和功能程序的程序代码；存储电路40一般代表易失性随机存储器40(RAM)，用于作为工作存储器执行功能程序。卡功能来源于包含在存储电路30、40、50中的数据或程序代码的整体。如果是技术上的需要或为了方便，则存储电路30、40、50可以按诸如重叠的方式使用，如果在EEPROM上的特定内存地址区域被用于操作系统的程序数据，或ROM上的内存地址区域被应用数据占用。因此在下文中，整体上总是将存储电路30、40、50作为一个内存设备110来理解。为了与外部设备交换数据，卡10还有同样连接到中央处理器单元20的数据接口60。所示卡10的典型应用是执行电子支付操作。图1所示智能卡的详细描述见于Rankl/Effing的“Handbuch derChipkarten”(Carl Hauser Verlag，1996年，第2和3章)。

    本发明的第一实施例基于此概念：允许可依次装载应用功能程序的装载应用被放到卡上，但许可装载应用经由专用的装载器接口自己单独地被建立。图2示意地说明了智能卡的内存设备110的占用，首先该卡仅包括定义第一装载器接口120的单功能程序120的程序代码。装载器接口120专门被设计重新装载实现装载应用的功能程序到内存设备110，即该功能程序依次地装载功能和许可应用功能程序的重新装载。装载器接口120是智能卡基本配置的便利部分并由卡发行人或卡制造商装载卡中。装载器接口120以下指定为主装载器(HL)，占用了内存设备110的整个内存区域的可用部分。实现主装载器接口120的功能程序尤其可以成为智能卡的操作系统的一部分，并相应地作为在只读内存(ROM)30中的可编程掩膜代码被执行。整个内存区域的另外部分一开始没有被数据占用，并作为空闲内存130提供用于将被装载的其它功能程序。整个空闲内存130的管理首先受主装载器120影响。在作为管理设备的功能中，主装载器120尤其控制要被重新装载到空闲内存130中的第一功能程序的程序代码的装载和地址空间的分配。第一和其它所有被重新装载的功能程序的字节代码经由数据接口60以适当的电子信号形式传输。

    主装载器120最好只装载那些满足被定义的安全条件的功能程序到内存设备110中。通过检查等待被装载的程序代码是否显示没有改变制造商认可的形式，或者例如通过从卡发行人那里获得权限利用智能卡资源来检查装载应用的制造商是否实际上被授权装载此装载应用，在装载期间主装载器120最好检查要被装载的装载应用的一致性和真实性。

    图3表示来自图2的内存阵列，由此主装载器120使实现装载应用的第一功能程序210装载到空闲内存130中。装载应用210定义第二个接口，即在下文中指定的专用装载器210(DL)。它允许更多功能程序随后继续被装载到内存设备110中。尽管如此，它只定义不可扩展的可用赋值地址空间220。在专用装载器210装载期间，赋值地址空间220由主装载器120分配给专用装载器210。所述分配将对赋值地址空间220的管理完全转移到专用装载器210，这样，专用装载器210具有类似于主装载器120的管理设备所必需的功能。主装载器120不能影响或者访问已赋予专用装载器210的地址空间220的进一步的利用。

    主装载器120仍然对不由专用装载器210接管而被占用的空闲内存地址空间的部分进行管理，并对分割成独立分区130a、130b的地址空间220进行分配。

    专用装载器210可被卡的使用者装载，这与主装载器120不同。专用装载器210许可，并且当他选择时，为用户预先准备装载实现应用的功能程序到赋值地址空间220中。术语“应用”这里是指用于操作智能卡的所有数据、命令、操作、状态、机制和算法的整体，这些在应用内就操作智能卡而言是必需的。当实现应用的新功能程序被转移到赋值地址空间220时，专用装载器210确保被装载的功能程序的程序代码绝不会访问位于赋值地址空间220外部的数据代码。在由主装载器120装载期间，赋予专用装载器210的地址空间220已经被提供有保护措施，它可防止物理地或逻辑地访问位于赋值地址空间220以外的内存设备110的局部区域。赋值地址空间220被专用装载器210划分给被重新装载的功能程序。举例说，用于实现新的卡应用的功能程序230可能已经被分配给赋值地址空间220的局部区域231。

    以上述结构的形式特别有利于转移内存空间给第三方，如图4所示，内存设备110的占用是等级结构，并且被重新装载的功能程序以限定的方式被给予有可能访问已在内存设备110存在的其它功能程序。所示树状结构说明不同功能程序被加入的时间顺序。简言之，卡仅配有主装载器120；主装载器是初始访问卡的内存设备110的唯一入口。主装载器120许可装载专用装载器210a、210b、210c以装载实现基本卡功能的通用功能或功能程序240。如果主装载器120位于卡上，任何时候专用装载器210和功能程序240都能经由主装载器120被装载；如图4的树状结构所示，它们也从主装载器开始呈平行路径排列。

    在主装载器120装载期间，所有新装载的功能程序210、240都要被检查许可性和安全性。只有检查为肯定的功能程序被装载。每个被装载的专用装载器210a、b、c由主装载器120在内存设备110中分配给不可改变的位置限定的地址空间220，地址空间220不能由相关的专用装载器210扩展。如果主装载器120任何容量的信息，它分配一个标准地址空间。

    当功能程序210、240正在装载时，主装载器120确保不同专用装载器210的赋值地址空间220在物理上或逻辑上是严格分离的，并且一个专用装载器210决不会访问其它专用装载器210的赋值地址空间220。在地址空间被装载和赋值之后，对特定赋值地址空间220的控制被完全地和独占地转移给相关的专用装载器210a、210b、210c。现在每个专用装载器210在特定赋值地址空间220中可装载更多的功能程序，尤其是可实现卡的应用的功能程序，例如用于安全地执行金融交易地密钥和方法。在装载期间，专用装载器210对属于要被装载的功能程序的字节代码进行安全性和许可性测试。

    专用装载器210还能将新装载的功能程序与已存在的功能程序以限定的方式链接起来。在功能程序装载期间，专用装载器210相对于内存设备110中已存在的功能程序，定义其可能的访问权限和链接可能性。同样地可建立一些明显地防止新装载的功能程序访问或链接已存在或将被装载的功能程序的限制。访问或链接限制不仅可在专用装载器的赋值地址空间内建立，还可以交叠在其它专用装载器的赋值地址空间上。

    在图4的例子中，专用装载器210a被检查，许可，并在赋值地址空间220被装载两个功能程序310、311、专用装载器210b、三个功能程序320、321、322以及专用装载器210c，许可装载另外的功能程序330到赋值地址空间220。如果所要求的专用装载器210存在于卡上，则功能程序310、311、320、321、322、330的重新装载可由专用装载器210在任何时候以任何方式来影响。在图4中，每个被重新装载的功能程序310、311、320、321、322、330相应地被分配给特定装载的专用装载器210a、210b、210c。假如在装载期间被特定激活的专用装载器210许可，则功能程序310、311、320、321、322、330能相互访问或彼此链接。在图4的例子中，例如功能程序330能访问功能程序321或310，以使用其本身提供的程序。另一方面，功能程序330没有访问和链接功能程序311的可能，对于功能程序330这种阻断是由于缺乏相应的访问和链接的许可；这阻断了所有外来的访问。

    作为对由主装载器120或专用装载器210装载的新功能程序的补充，原则上可能删除现存于内存设备110中的功能程序210、240、310、330。对删除的授权建立在由装载器120、210装载功能程序期间。仅当被分配的地址空间220不再含有任何功能程序时，专用装载器210才能被删除。主装载器120不能被删除。

    有利于支持智能卡内存空间向第三方低风险转移的措施是标记系统的使用，标记系统通过主装载器120和/或专用装载器210a、210b、210c来实现存储空间的分配。标记具有数字信息的形式。它们加入到要被装载的专用装载器210或功能程序上，并且尤其包括关于所需赋值地址空间220的容量或功能程序所要求的地址空间230的容量的说明。用于装载专用装载器或功能程序230的装载器120、210被给予标记，必定能够评估标记。标记系统可为卡中全部装载器120、210建立或仅为单个装载器建立；图3所示装载器的等级结构不是建立标记系统的前提。标记由智能卡发行人或装载器120 210的制造商生成。标记必须事先从所述发行人或要新装载内存设备110的专用装载器210或功能程序的制造商处获得。由此可见卡发行人/装载器制造商总是被告知分配给它的装载器120/210的地址空间的占用。借助于有关标记的相关信息，通过仅分配绝对必需的地址空间给专用装载器或要新装载的功能程序，能特别确保赋值地址空间的内存空间节省利用。

    除容量信息以外，标记还能包含更多信息，例如许可作标记的真实性检查的信息。最好通过加密方法进一步确保标记的真实性和防止伪造。在这种情况下标记上的信息被加密，标记因而包含例如初始化密钥，它能允许授权的装载器导出用于读取标记的密钥。便利的是，标记还包含加密实现的数字签名。为了便于管理，标记还能提供例如功能程序的标示、应用的标示符、日期或类似的等。还可以建立限制功能程序可用性的信息，例如用以限制应用被使用的时间，或指明被完全授权使用功能程序的卡的标示符。