智能卡和操作智能卡的方法

专利名称：智能卡和操作智能卡的方法
智能卡和操作智能卡的方法发明领域本发明涉及智能卡和操作智能卡的方法。
技术背景智能卡或芯片卡可以是极小的安全密码处理器，其内置在信用卡尺寸的卡或甚至更小的卡中，如移动电话的SIM卡。智能卡通常不 含有电池，而由读卡器/写卡器供电，也就是说，读和/写设备通过从 智能卡读取数据或者通过将数据写入到智能卡而控制智能卡的功能。智能卡通常用在金融、安全访问和传输领域。智能卡通常包括高 安全性的处理器，其充当诸如持卡人数据(例如，名称、账号、忠诚 点数)之类的数据的安全存储模块。当把卡插入到读/写终端时，才 能访问这些数据。把用户接口功能直接集成到智能卡中是一项艰巨的任务。例如， 可以将显示器集成在智能卡中，从而向用户显示信息。或者，智能卡 中可以包括按钮，从而使用户输入数据。精心设计的智能卡不具有提供用户交互功能的人机界面。不支持 用户交互反映在公知的智能卡的硬件设计和软件设计(操作系统)两 个方面。对薄的、柔性的显示器的技术缺乏和对智能卡的严格安全要求已 经驱动了这种精心的选择。目前，因为可以获得薄的、柔性的显示器 的技术，所以严格的安全规则和程序使实现用户交互变得很困难。从 消费电子设备和从个人计算机设备中获知API (应用程序接口)的引 入是困难的，因为安全规则要求每一系统部件必须在遵守特定程序的 基础上才能开发出来，例如对于安全和可靠性而言。当开发或改变任 何芯片卡处理器部件或软件部件时，这在行业认同的漫长过程之前需 要漫长的认证程序。
下面参照图l，将描述依照现有技术具有集成显示功能的智能卡。智能卡100包括塑料基板101,在塑料基板101上形成有提供智能卡功能的集成电路。在智能卡100的安全域或处理器102 (安全IC处理器)中，其 中提供了高度的安全性，卡管理器单元103 (其可以是逻辑单元，当 接收应用协议数据单元APDU时运行的软件程序)用于与多个应用 单元104进行通信，每个应用单元104均包括提供不同应用服务所需 的数据和指令。操作系统105包括用于操作智能卡100的软件。此外， 提供了多个驱动器单元106，它们分别用于驱动相关的硬件单元107。智能卡100用于与作为主设备的智能卡读和写终端108进行通 信。依照ISO 7816通过交换应用协议数据单元(APDU)而执行终端 108和智能卡100之间的通信。卡管理器单元103与一个特定的应用 单元104交换APDU，从而实现一个相应的应用。智能卡100的内部结构与在众所周知的分层模型中描述的标准 (个人计算机式的)结构类似。参见硬件单元107，这些单元可以包 括处理器、存储器、外设和与低级驱动器直接一起工作的若干加密/ 解密协处理器。驱动器单元106形成一部分操作系统层(OSL)。 OSL 以硬件方式给应用程序提供了功能抽象，并提供通常由应用再用的附 加功能。操作系统105还负责在启动期间进行芯片初始化。在操作系统之上，可以运行提供者专用的应用程序，其在图1中 示意性地示为应用单元104。因为所使用的诸如智能卡IOO之类的智 能卡通常要和诸如智能卡读和写终端108之类的终端结合起来用，所 以使用主从式的通信行为。这意味着终端108通过将应用协议数据单 元(APDU)发送到处理器102而发起与智能卡100的通信。使用 APDU中的地址域的卡管理器103可以识别出应当将其转发到哪个应 用单元104。在接收到该信息之后，被寻址到的应用程序执行所请求 的动作，从而向终端108发送状态/数据以做出响应。对于复杂的应 用程序而言，这一通信方案需要终端108和智能卡100必须存储通信 的实际状态。除了所描述的部件及其功能之外，智能卡100还包括扩展能力，
从而实现智能卡100的用户接口功能。为此，在与处理器102 (安全区域)无关的一部分智能卡100中， 提供了按钮112和显示器113。为了使用户通过按钮112键入指令并 通过在显示器113上输出信息而与智能卡100进行交互，按钮112/ 显示器113和按钮/显示接口单元111之间的线路设置在硬件单元107 的水平线上。此外，按钮/显示驱动器单元110设置在驱动器单元106 的水平线上，从而使用户在视觉上感知到在显示器113上显示的数 据。在图1所示的智能卡100中，由显示器113和按钮112提供显示 功能或用户接口功能。此外，操作系统105的扩展或自适应是必需的， 其示意性地示为图1中的操作系统扩展109。用实线示出了智能卡100的标准模块，用虚线标出了输入/输出 功能所需的附加模块。可以看出，已经添加了按钮/显示驱动器单元 110、按IE/显示接口单元111、按钮112和显示器113以及操作系统 扩展109，并且，已经将操作系统105扩展而具有各种功能，从而为 依照应用单元104执行的应用程序提供显示功能API。但是，依照图1实现的智能卡ioo存在一些缺陷。首先，操作系统105需要以操作系统扩展109的形式做出改变。 这导致了开发成本和认证成本问题。此外，由于这些改变会干扰智能 卡100的处理器102 (安全区域)，所以会产生潜在的安全风险。第二，除了对硬件驱动器进行添加之外，必须定义智能卡100的 附加模式，其与固有的主从模式不同。当以非终端方式(所谓的"独 立模式")启动智能卡从而向按压按钮110的用户做出响应并显示信 息时，可以使用这种附加模式。这影响了智能卡110系统的结构，并 带来了附加的安全威胁，这需要附加的限制条件。第三，需要修改应用单元104以加入输入/lf出功能。对于众所 周知的已经成型并得到认同的诸如EMV ("Europay、 Mastercard、 VISA"，用于借贷金融卡应用的标准)或CEPS("公共电子钱包规范"， 用于电子钱包应用的标准)之类的标准而言，这难以实现，并将需要 重新进行标准化。第四，智能卡设备(芯片)需要另外具有硬件接口，即按钮/显
示接口 111，从而分别与按钮112/显示器113和按钮/显示驱动器110 进行通信。由于安全威胁，这种接口并不是所期望的。JP 2001-331771公开了一种具有自动显示功能的IC卡，其中， 在读卡器/写卡器和微控制器之间进行通信的信号线路通常用作将数据从微控制器传递到显示驱动器的信号线路。根据JP 2001-331771， 在显示器和安全微处理器之间提供有附加的时钟线路(标为CLK2)， 所述附加的时钟线路不会导致外部部件。换句话说，根据JP 2001-331771，微控制器控制与显示器的通信。但是，这存在不利之 处，艮卩，当操作IC卡时，会出现安全问题。此外，在JP2001-331771 中，仅当卡处于读/写设备中时才能向显示器进行写入。发明内容本发明的一个目的是以安全的方式操作智能卡。 为了实现以上目的，提供了依照独立权利要求的一种智能卡和一 种操作智能卡的方法。依照本发明的一个示例性实施例，提供了一种包括处理器的智能 卡。该智能卡还包括读和/或写设备接口，用于在处理器和读和/或 写设备之间进行通信；用户输入和/或输出单元，用于经由读和/或写设备接口在用户和处理器之间发起通信。此外，依照本发明的另一示例性实施例，提供了一种操作智能卡的方法。该方法包括下列步骤操作智能卡的处理器；经由智能卡的 读和/或写设备接口，在处理器和读和/或写设备之间进行通信；借助 于用户输入和/或输出单元，经由读和/或写设备接口在用户和处理器 之间发起通信。应当指出的是，并不必须依照给定的次序执行上述步具体地说，"智能卡" 一词可以表示接触型芯片卡或非接触型芯 片卡，其可以包括用于提供一个或多个应用的安全处理器。具体地说，"处理器" 一词表示控制单元或智能卡管理单元，如 微处理器或中央处理单元(CPU)。这种处理器可以制成单片集成的 电路，例如采用半导体(具体而言采用硅)技术生产。
具体地说，"读和/写设备" 一词表示通过从智能卡读取数据和/ 或通过将数据写入智能卡而控制智能卡的功能的外部设备(相对于智 能卡而言)。具体地说，"用户输入和/或输出单元" 一词表示可以至少部分地 位于智能卡上以及使用户与智能卡进行交互的设备。具体而言，这种 "用户输入和/或输出单元"可以使用户单向地或双向地向处理器发 送数据和/或从处理器接收数据，所述数据与智能卡提供的特定应用 有关。具体地说，"接口"可以提供对通信系统的特定部件进行连接或 访问的功能。依照本发明的智能卡能够提供应用，并且，可以操作智能卡的处 理器从而提供该应用。"应用" 一词表示可由智能卡提供的任何功能 或服务，其中，所述处理器可以提供计算资源，从而实现这种应用。具体而言，本发明的典型特征具有以下优点，即，智能卡除了可选地实现至少一个特定应用之外还提供了用户接口 (例如，显示器和 /或键盘)，该用户接口与处理器相连所经由的信号路径跟处理器与读 和/或写设备相连从而从智能卡读取信息和/或将信息写入智能卡的信 号路径相同。用户(交互地使用用户输入和/或输出单元作为用户接 口)与处理器之间的通信可以由读和/或写设备接口发起。换句话说， 用户接口和处理器之间的通信可以由用户端而非处理器端控制。因 此，从处理器(其可以位于智能卡的安全部分中)的角度来说，与读 和/或写(主设备)终端的通信可以用与用户输入和/或输出(主设备) 单元的通信相似或相同的方法实现。因此，依照本发明的所述实施例 的智能卡的处理器可以在具有读和/或写设备终端的通信信道和具有 用户输入和/或输出(主设备)单元的通信信道中作为从设备。因此， 这种通信保持容纳处理器的安全部分不发生改变，因而提供了高度的 安全性。与公知的构思(例如，根据JP2001-331771)作基本对比，依照 本发明的所述示例性的实施例的智能卡不使用用于控制输入/输出模 块(例如，键盘、显示器)的处理器。而是，输入/输出模块自身主
动发起与处理器进行通信，如果用户需要的话。换句话说，依照本发 明的输入/输出模块充当主节点，而处理器在该通信信道中充当从节 点。输入/输出模块有效地仿效终端或读和/或写设备。因为在读和/或写设备和智能卡之间的通信通常(例如，在提款 卡应用中)是由读和/或写设备发起的，所以，智能卡实际上不区分 与读和/或写终端进行的通信或与用户接口 (例如，键盘或显示器) 进行的通信之间的差别。这具有以下优点，即，为读和/或写接口和 智能卡之间的通信(已经)提供的所有安全特征也能用于智能卡(或 者甚至智能卡的处理器之间)和用户输入和/或输出单元之间的通信。 因此，依照本发明的改进的智能卡可以不需要昂贵的认证。依照本发明的系统可以采用简单但非常高效的方式将诸如键盘 或显示器之类的一个或多个用户输入和/或输出单元连接到智能卡的 处理器。依照所描述的结构，处理器得到安全保护以免受操控，因而 可以用该智能卡可靠地实现关键的安全应用(例如，信用卡、电子钱 包)。因而，还可以在没有安全风险的情况下实现所执行的用户输入 和/或输出应用。本发明在不减弱其安全机制的情况下将用户输入和/ 或输出单元连接到处理器。因为依照本发明提供用户接口不需要改变 现有智能卡的主要部件，所以可以毫不费力地构建依照本发明的智能 卡。依照本发明的一方面，智能卡的外部接口同时用于将诸如显示器 或键盘之类的附加部件整合到智能卡中，所述接口通常在智能卡和终 端之间提供通信。在位于安全区域的现有部件和可以在安全区域外提 供的新颖部件之间的通信可以通过作为智能卡的一部分但位于安全 区域外的第三方而发生。因此，现有智能卡的主要部件(例如，非常安全的传统应用程序) 可以保持不变，因为用于处理器和用户接口之间通信的通信协议可以 与用于处理器和终端之间通信的通信协议相同。有益的是，依照本发明的系统在不影响整个系统安全的情况下， 将例如显示功能整合到现有智能卡系统中。此外，可以实现与现有系 统的向后兼容。
依照本发明的一方面，提供了将用户交互功能加到智能卡中的方 法。为此，智能卡的外部接口用于将附加部件连接到智能卡，所述接 口通常实现智能卡和读/写终端之间的数据通信。依照本发明的一方面，显示驱动器单元可以在通信中扮演主设备这一角色，以仿效普通的ISO 7816终端。依照本发明的显示驱动器 可以使用较高级协议APDU (应用协议数据单元)而依照标准方式与 安全集成电路(IC)或处理器进行通信。因此，安全IC将显示驱动 器视为普通终端。因此，依照本发明的系统提供了一种将显示器连接 到安全集成电路的非常安全的方法，因为不需要改变安全集成电路硬 件或安全集成电路(低级)软件。与依照本发明的系统相比，依照JP2001-331771的IC卡需要从 安全IC到显示驱动器的附加时钟线路。此外，根据JP2001-331771， 用于在安全IC和显示驱动器之间进行通信的专用协议是必需的。依 照JP 2001-331771的系统基于如下假设，即，终端或安全IC在通信 中是主设备，并且，显示驱动器总是从设备(即不发起通信)。依照本发明的智能卡可以依照这样一种结构来实现，即，其中在 用户交互设备和处理器之间的通信是主从结构。在这种通信的帧中， 用户交互设备可以扮演主设备(即可以通过向处理器发送相应的消息 而发起通信)这一角色，而处理器可以扮演从设备(即只在用户交互 设备先前发送消息的情况下可以向用户交互设备发送响应)这一角 色。依照本发明的智能卡可以工作在所谓的"独立模式"下，即它也 可以在没有读/写终端的情况下工作。在这种独立模式下，不管有还 是没有读/写终端，用户均可以使用用户交互设备与处理器进行通信。 此外，公知的标准开发工具(SDE)可以用于开发应用程序。值得一提的是，依照本发明的智能卡可以包括一个或多个用户输 入和/或输出单元，并可以适用于在处理器和一个或多个读和/或写设 备之间进行通信。参照从属权利要求，下面将描述本发明的另外的示例性实施例。 这些实施例还涉及操作智能卡的方法。 可以对智能卡进行设计，从而使在读和/或写设备和处理器之间 进行通信所用的通信协议等于在用户和处理器之间进行通信所用的 通信协议。换句话说，可以依这样的方式设置输入和/或输出模块， 即其与处理器通信的方式基本上跟终端与处理器通信的方式相同。这 可以用非常简单的方式构建处理器，因为执行单个通信协议足以能与 读和/或写终端进行通信并能经由用户输入和/或输出单元与用户进行 通信。智能卡可以包括至少一个有线连接部件，其能够将读和/或写设 备与处理器相连，其中，所述至少一个有线连接部件的至少一部分可 以形成用户输入和/或输出单元与处理器的连接(专门地或非专门 地)。根据所描述的实施例，相同的导体或电线或接触器可以用于将 读和/或写设备与处理器相连，并用于将用户接口与处理器相连。通 过采用这种方法，可以对智能卡做出简单和节约空间的构建，由于协 同使用了配线。但是，附加的或可选的是，对于提供有线连接部件而言，依照本发明，安全IC和智能显示控制器之间的非接触操作也是可以的。可以对智能卡进行设计，从而可以依照ISO 7816在用户输入和/ 或输出单元和处理器之间进行通信。这里，对与应用协议数据单元 (APDU)的定义及使用有关的ISO 7816的部分做出了具体介绍。ISO 7816系列或标准不仅定义了智能卡的物理形状和其电子连接器的形 状，而且定义了用于这些连接器的通信协议和电源电压、发往智能卡 的指令和由智能卡返回的响应的功能和格式。根据该实施例，可以实 现读和/或设备和处理器之间的通信，根据与用户输入和/或输出单元 和处理器之间的通信相同的工业标准，这只需要简单的通信结构。此外，可以对智能卡进行设计，从而使其通过传输至少一个应用 协议数据单元(APDU)在用户输入和/或输出单元和处理器之间进行 通信。根据ISO 7816标准，可以将应用协议以数据单元定义为芯片 卡和读和/或写设备之间的通信单元。在两个实体之间有传送指令的 指令APDU和向指令发送响应的响应APDU。 APDU通信方案涉及 众所周知的OSI模型("开放系统互联")，具体对于智能卡而言，在
IS07816-4中描述了 APDU的概念，因此对其进行了清楚的介绍。可以将智能卡分为提供安全功能的安全部分和剩余部分，其中安 全部分包括处理器，其中剩余部分包括用户输入和/或输出单元。安 全部分可以是智能卡的一部分，其中，对智能卡的包括数据的部件进 行设置，这些部件对于安全方面至关重要。依照本发明的处理器处于 该安全部分中。但是，通过将输入和/或输出单元设在剩余部分(不 具有或具有较低的安全措施)中，将处理器设在安全区域，而将输入 和/或输出模块设在较低安全的区域。通过采用这种方法，提高了整 体安全性，用户通过用户输入和/或输出单元进行访问不会影响到安 全部分内的安全。用户输入和/或输出单元可以包括显示器、键盘、按钮、声音输 入和/或输出模块以及用户识别传感器中至少之一。通常，用户输入 和/或输出单元可以包括使个人用户影响智能卡功能或以感知方法获 悉这种功能的任何部件。具体而言，用户输入和/或输出单元可以包 括使用户向处理器提供数据或指令或消息的模块，因而控制在智能卡 上运行的应用程序的功能。另一方面，这还包括从处理器向用户提供 数据或消息以向用户告知在智能卡上运行的应用程序的状态。例如，用户可以通过使用键盘或按钮键入密码来识别她自己或他 自己。或者，可以通过显示器将支付卡上的剩余信用显示给用户。用户输入和/或输出单元可以包括任何适当类型的显示模块。例 如，可以用智能卡实现依照飞利浦柔性显示系统技术的柔性显示器。 然后，用户接口包括较小的显示器和若干按钮，从而使用户使用位于 智能卡上的应用程序实现简单的基于菜单的交互过程。此外，可以将键盘设在智能卡上，用户通过它可以键入要发送给 处理器的指令或消息。通过在智能卡上提供一个或多个按钮可以实现 类^l的结果。具体而言，键盘可以具体体现为多个按钮。可以将诸如麦克风(具体为MEMS麦克风)之类的声音传感器 设在智能卡上，其可以使用户提供具有诸如"显示我的当前信用！" (如果需要或想要的话，在语音识别系统的帧中)之类的声音指令的 智能卡。此外，可以将声音输出单元(具体为MEMS扬声器)设在 智能卡中，因此，例如个人语音可以依可听方式向用户输出所请求的信息，如"你的当前信用为100€"。此外，用户输入和/或输出单元可以包括用户识别传感器，即使 智能卡判断是否许可用户访问智能卡的传感器。这种识别传感器可以 是指纹传感器、视网膜传感器、DNA传感器等。用户输入和/或输出单元可以用软件和/或硬件来实现。因此，依 照本发明的用户输入和/或输出功能可以用计算机程序即软件或者用 一个或多个特定的电子优化电路即硬件或者用混合形式即通过软件 部件和硬件部件来实现。—般而言，用户输入和/或输出单元可以包括使用户感知由智能 卡提供的数据的部件。另一方面，用户输入和/或输出单元可以包括 使用户将人类指令转变成电子形式的部件。依照本发明的智能卡还可以包括能够提供相应应用的有关数据 但不能用由用户输入和域输出单元(例如，显示器)可输出(例如， 可显示)的格式提供相应应用的有关数据的至少一个应用单元。智能 卡还可以包括用户交互应用单元(也可以将其称为应用数据转换单元)，其至少能够将应用单元提供的数据转换成可由用户输入和/或输 出单元输出的格式。应用单元和用户交互应用单元之间的通信可以由用户输入和/或输出单元协调，然后作为数据镜像。这一实施例允许 扩展可以位于安全部分中的己经现有的应用单元，但不能提供可显示 的数据。扩展是用户交互应用单元(或应用数据转换单元)，其可以 实现将应用单元提供的数据转换成可显示格式的功能。还可以将应用 数据转换单元提供在安全部分中。除了转换功能外，用户交互应用单 元可以可选地实现一个或多个其他功能，即，并不限于将数据转换成 可显示的格式。智能卡的用户交互应用单元可以用于扮演与应用单元进行通信 的主设备这一角色。换句话说，当用户交互应用单元与应用单元进行 通信时，用户交互应用单元于是可以控制与类似从设备的应用单元的 通信，并可以具体发起这种通信。可以优选地使用可以位于安全部分外的用户输入和/或输出单元
执行应用单元和用户交互应用单元之间的通信。换句话说，用户输入 和/或输出单元可以作为一面镜子，从而只将来自应用单元的数据转 发到应用数据转换单元或反之亦然。可以改变智能卡，从而加密在应用单元和用户交互应用单元之间 发送的消息。通过采用这种方法，获得了非常安全的通信系统，因为 即使当消息经由非安全区而协调时，加密确保维持高安全标准。将在应用单元和用户交互应用单元之间传送的消息协调的用户 输入和/或输出单元不能解密该消息。因此，维持了高度的安全性， 因为协调模块缺少将协调的消息解码的任何能力。应用单元可以包括与所谓的"传统应用"有关的编码。该术语表示在可获得显示功能之前就已经开发出的应用。这些应用将会被很好地建立和标准化(如EMV或CEPS)，但不提供显示功能。根据所描 述的实施例，将这种传统应用与显示应用组合起来，显示应用与传统 应用一样，也可以位于安全区域。可以将用户输入和/或输出单元的 智能显示控制器视为通信方案中的第三方，其在传统应用和显示应用 之间进行协调。例如，显示应用可以将数据(以及要求将数据转发到传统应用的 请求)发送到智能显示控制器。智能显示控制器可以转发所请求的数 据。传统应用可以依通常方法做出响应，例如与终端进行通信。智能 显示控制器可以将响应转发到显示应用。然后，显示应用可以请求智 能显示控制器显示所接收的数据。应用单元和用户交互应用单元(应用数据转换单元)均可以位于安全部分中。根据这种设置，数据经由位于非安全区域的智能显示控制器从位于安全区域的应用单元传送到位于安全位置的用户交互应用单元或反之亦然。但是，用户输入和/或输出单元只将来自一个所述单元的数据传输到另一单元而不对它们进行处理，因此不会发生安全问题。事实是，可以依加密的方式发送数据，而智能显示控制器不执行数据的解密。应用单元和用户交互应用单元之间的通信可以包括至少一个应用协议数据单元(APDU)的传输。因此，这种镜像功能所用的通信
协议可以与用户输入和/或输出单元和处理器之间的通信或者读和/或 写设备和处理器之间的通信所用的通信协议相同。具体而言，应用单元可以是传统应用单元，即仅提供应用而不提 供复杂的显示功能的应用单元。依照本发明的智能卡的示例性应用包括用作信用卡、移动电话的SIM卡、付费电视的认证卡、识别和访问控制卡、公共交通票等。依照本发明的智能卡可以实现成接触型智能卡或非接触智能卡。 在接触型智能卡中，包括处理器的集成电路或半导体可以由导电接触 器实现。在非接触型智能卡中，芯片可以通过无线自感应供电技术(具 体而言，例如在高频域中通过在读卡器/写卡器和智能卡之间交换电 磁波)与读卡器/写卡器进行通信。依照本发明的非接触智能卡的技 术可以用RFID (射频识别)来实现或组合。接下来，将要描述操作智能卡的方法的示例性实施例。这一实施 例也适用于依照本发明的智能卡。通过设置在智能卡中的用户输入和/或输出单元可以发起经由读 和/或写设备接口在用户和处理器之间的通信。根据这一实施例，将 用户输入和/或输出单元设于智能卡中。根据后面将要描述的实施例的示例，本发明的上述方面和其他方 面将会显而易见，并参照实施例的这些示例对其进行说明。


下面将结合实施例对本发明进行详细描述，但本发明不限于此。 图1示出了依照现有技术的智能卡； 图2示出了依照本发明的示例性实施例的智能卡； 图3示出了依照本发明的示例性实施例的智能卡； 图4示出了依照本发明的实施例的用于说明用户输入和/或输出 单元的镜像功能的智能卡的一部分。
具体实施方式
附图的说明是示意性的。在不同的附图中，类似或相同的部件标
有相同的标号。下面参照图2，将详细描述依照本发明的示例性实施例的智能卡 200。对于所使用的与图1类似的部件，也参照对图1的以上描述。智能卡200的各部件设置在塑料基板201之上或之中。智能卡 200的尺寸可以是传统信用卡的尺寸。图2所示的智能卡200能够提 供多种应用(各应用与一个特定的应用单元204相关)。智能卡200 包括微处理器202，其用于在提供不同应用服务的帧中执行计算和控 制功能。智能读和写终端208 (也称为读卡器/写卡器)用于读取在智能卡 200中存储或生成的信息或者用于在智能卡200中编程或引入外部输 入的数据。智能卡200的读和写设备接口 213用于在智能卡读和写设 备208和微处理器202之间进行双向通信。此外，将用户输入和输出单元212 (IZO单元)设置在智能卡中。 用户输入和输出单元212可以通过智能卡读和写设备接口213在个人 用户(未显示)和微处理器202之间主动发起通信。因此，在用户输 入和输出单元212和微处理器202之间进行通信的帧中，用户输入和 输出单元212扮演主设备这一角色，而微处理器202扮演从设备这一 角色。这种功能分配是非典型的，因为在电子领域，微处理器通常扮 演主设备这一角色。但是，这种功能分配具有重大的优点，它提高了 在智能卡200的不同部件之间传递数据的安全性。用户输入和输出单元212包括依照所描述的实施例用硬件实现 的智能显示控制器211，并且，智能显示控制器211协调处理器202 和显示硬件210及按钮209(如用户输入和输出单元212的其他部件) 之间的通信。用户可以使用按钮209键入要经由智能显示控制器211和接口 213传送到处理器203的指令，从而进一步依照分配给应用单元204 的一个应用对其进行处理。例如，应用可以是信用/借贷金融卡应用 等等。此外，与智能卡200执行的应用相关的数据可以从处理器202 经由接口 213和智能显示控制器211传送到显示硬件210，显示硬件 210为个人用户显示相应的视频和/或音频信息。
从图2中可以看出，智能卡200分成安全部分或处理器202和剩 余的非安全部分。包括多个应用单元204的微处理器202位于安全部 分中。此外，提供了操作系统205，其可以包括用于操作智能卡200 的软件部分。此外，提供了多个驱动器单元206和多个硬件单元207。 每个硬件单元207可以包括诸如子处理器、存储器、外设或加密/解 密子处理器之类的部件。在智能卡读和写终端208和微处理器202之间进行通信所用的通 信协议等于在操作用户输入和输出单元212的用户(未显示)和微处 理器202之间进行通信所用的通信协议。这两条通信信道通过交换应 用协议数据单元(APDU)并根据工业标准ISO 7816来实现。用户输入和输出单元212包括显示器210 (其可以根据飞利浦柔 性显示系统技术来实现)和按钮209。根据图2所示的实施例，用户 输入和输出单元212实现成硬件单元。智能卡200是高速、安全和低成本的设备，其中，智能卡设备和 相应的软件的高安全状态基本上保持不变(因而对于潜在的攻击而言 是安全的且不易受到损害的)，但所述智能卡可能包括卡应用，所述 卡应用能够通过现有的安全基础设施实现用户交互。虽然图2所示的 实施例集中于与智能卡200硬件相连的显示器210和按钮209，但根 据本发明的系统还可以连接其他卡内电子器件，如指纹读取器等。下面，将描述通过现有物理和逻辑接口的显示功能的硬件/软件 连接。图2示出了具有显示功能的智能卡系统的扩展。在智能卡200 中，智能卡处理器系统(硬件和软件)基本上保持不变，因而仍旧是 安全的。在图2中，将I/O功能添加为与智能卡200的处理器或安全 区域202相邻的分开的用户输入和输出单元212。智能显示控制器211通过使用ISO 7816接口 213并通过与微处 理器202交换APDU而与智能卡应用(或者甚至与微处理器202)进 行通信。采用与跟智能卡读和写终端208进行通信相同的方式实现在 用户输入和输出单元212和微处理器212之间进行的通信。通过接口 213，智能显示控制器211可以通过相应的消息向应用单元204告知 用户已经按了按钮209，并向各应用单元请求应当在显示器210上显示的数据。系统的安全并不受到添加用户输入和输出单元212的影 响，因为仅有的变化位于需要理解用于驱动显示器210上的数据的协 议的应用中。不需要对其他系统部件做出改变。智能显示控制器211可以用硬件和软件实现，这两种实现方法在 概念上相等。智能卡200以硬件方式示出了智能显示控制器211的实施例。这 需要实现显示驱动器中的功能模块和从ISO 7816接触器到所述驱动 器的连接。图2的实施例是非常灵活的，因为显示功能仅取决于应用 开发者。在这种情况下，在微处理器202上不需要附加的硬件接口。下面参照图3，将要描述依照本发明的另一示例性实施例的智能 卡300。在图3所示的实施例中，智能显示控制器211是用软件实现的。 因此，用户输入和输出单元302的智能显示控制器211位于智能卡 300的软件模块304中。智能显示控制器211还包括按钮209和显示 硬件210。接收机/发射机缓冲器303 (RX/TX缓冲器)和防火墙单元 301也位于软件模块304中。用软件实现智能显示控制器211意味着有这样的功能，即通过函 数调用，例如通过接收机/发射机缓冲器303以软件形式向微处理器 202的卡管理器203发送APDU并从其接收APDU。还根据软件指令 操作智能显示控制器211。它运行在与安全区域202 (与飞利浦智能 卡处理器上的飞利浦Mifare仿真程序类似)完全隔开的卡控制器的 防火墙区域。它通过专用的接口例如通过串行接口来驱动显示硬件 210和按钮209。图3的实施例不需要或者仅需要少许认证。下面参照图4，将要描述依照本发明的另一实施例的智能卡的部 分400，其中，实现了智能显示控制器的数据镜像功能。图4示出了 向传统应用添加显示功能的概念。如图4所示，部分400包括位于安全部分或处理器202中的显示 应用单元401和也位于安全部分或处理器202中的传统应用单元402。 除了显示应用单元401和传统应用单元402之外，还在安全部分202 中提供有应用单元204。下面将要描述显示应用单元401和传统应
用单元402之间的通信是通过多个传输信道403至407执行的，并由 作为数据镜像的智能显示控制器211进行协调。图4所示的实施例解决了根据业已成型并标准化的传统应用(如 在传统应用单元402中包括的那个传统应用)例如电子钱包(CEPS、 Geldkarte、 Chipknip)而显示信息的问题。在很多情况下，这种已经 现有的应用不用于将诸如在电子钱包中存储的数量之类的信息显示 在显示器上。这一问题的简单直接的解决方案是将显示功能添加到应用单元。 但是，这种方法将需要做出大量的开发努力，紧跟着是认证，并需要 很长时间来实现产业认同。另一可行的解决方案可以是在智能显示控制器211中实现终端 仿真功能。这种仿真的终端将能够从传统应用中读取所需要的数据(如电子钱包数量)，将其格式化，并将其显示在显示器上。但是， 这种解决方案将具有一些缺点。例如，智能显示控制器211将必须使 用不同的应用标准(例如，德国的Geldkarte、荷兰的Chipknip或用 于新卡的CEPS)所用的协议实现整个终端功能。这将使硬件和/或软件模块变得复杂和昂贵。此外，通常对与传统应用单元402的通信进行加密。因而这一实 施方案需要在卡完成过程中将加密密钥存储在智能卡显示控制器211 中(其成本高且复杂)。它还将需要在智能显示控制器211中实现密 码运算。此外，对于在智能卡上显示的信息不可能定制，因为智能显 示控制器211必须将显示内容格式化。依照图4的解决方案在具有隔开的显示应用单元401的智能显示 控制器211中对APDU包实现了镜像功能。该显示应用单元401能 够使用标准的公知的传统应用协议获得将显示内容格式化所需的信 息。通过图4所示的智能显示控制器211镜像在显示应用单元401和 显示应用转换单元402之间传送的任何通信消息。在图4中，仅将智 能卡的一些有关部件表示为部分400。通信箭头403至407用符号表 示出ISO 7816协议的数据交换的主从原理，以简化图面。将应用部件封装在智能卡IC的安全区域202中。在图4的实施
方案中，有显示应用单元401，它是通过智能显示控制器211对一个 或多个给定的传统应用单元401的数据进行获取、解释和显示的特定 应用。通信工作过程如下显示应用单元401将请求发送到智能显示控 制器2U，从而将通信消息镜像(即转发)到目标传统应用单元402。 与所述请求一起，显示应用单元401发送将要转发给传统应用单元 402的封装的APDU，参见第一传输箭头403。随后，智能显示控制器211将所请求的APDU发送(即镜像) 到传统应用单元401，参见第二传输箭头404。传统应用单元402通过将数据/状态发送到智能显示控制器211 而以普通方式(就如同与终端进行的通信一样)做出响应，参见第三 传输箭头405。智能显示控制器211再将所述响应发回到显示应用单元401，参 见第四传输箭头406。然后，显示应用单元401可以根据从传统应用单元402接收的数 据向智能显示控制器2U提供显示内容，参见第五传输箭头407。这种方法的显著优点是安全。因为智能显示控制器211不需要解 释所影像的数据，所以可以在不离开安全区域202的情况下通过密码 密钥对该数据进行加扰。这意味着，显示应用单元401可以依安全的 方式从传统应用单元402获得信息(并且反之亦然)，并提取出可以 在屏幕上显示的信息，然后将其发送到智能显示控制器211。因此， 均作为安全区域的一部分的显示应用单元401和传统应用单元402可 以依照安全的方式通过安全区域外的智能显示控制器211进行通信。该解决方案的另一益处在于，服务提供者能够定制显示应用单元 401 (即，例如改变显示数据的方式)，并保持独立于卡或者操作所使 用的系统。所述解决方案甚至可以通过例如PIN码向传统应用单元 402添加用户识别，从而安全访问传统应用单元402中的个人数据。 可以在智能显示控制器211中轻易地实现镜像功能。依照本发明的系统可以用在多部件的智能卡特别是具有显示器 的智能卡中。本发明可以在不影响整个系统安全的情况下将显示功能
快速加入到现有的智能卡系统中，并且，它提供了向后兼容的解决方案。依照本发明的系统通过使用诸如ISO 7816之类的现有标准而为 潜在的客户提供了高度的使用简化。本发明的智能卡200还可以用于显示从读和/或写设备接口 213 接收的数据。在一个实施例中，所述数据通过读和/或写设备接口213 直接传送到(不使用处理器202)输入和/或输出单元212。在这种情 况下，输入和/或输出单元212充当从设备。但是，在这种数据显示 操作中也会涉及到处理器202。需要注意的是，"包括" 一词并不把其它要素或者步骤排除在外， 使用不定冠词"一个"或"一种"并不把多个排除在外。也可以将围 绕不同实施例描述的要素予以组合。还应注意的是，权利要求中的附图标记不应解释为对权利要求的 保护范围构成限制。
权利要求
1、一种智能卡(200)，包括处理器(202)；读和/或写设备接口(213)，用于在所述处理器(202)和至少一个读和/或写设备(208)之间进行通信；以及至少一个用户输入和/或输出单元(212)，用于经由所述读和/或写设备接口(213)在用户和所述处理器(202)之间发起通信。
2、 如权利要求l所述的智能卡(200)，其是以如下方式设计的 在所述处理器(202)和所述至少一个读和/或写设备(208)之间进行通信所用的通信协议与在所述至少一个用户输入和/或输出单 元(212)和所述处理器(202)之间进行通信所用的通信协议相同。
3、 如权利要求l所述的智能卡(200)，其依照ISO 7816在所述 处理器(202)和所述至少一个用户输入和/或输出单元(212)之间 进行通信。
4、 如权利要求1所述的智能卡(200)，其通过传输至少一个应 用协议数据单元在所述处理器(202)和所述至少一个用户输入和/或 输出单元(212)之间进行通信。
5、 如权利要求1所述的智能卡(200)，其分为提供安全功能的 安全部分和剩余部分，其中所述安全部分包括所述处理器(202)，其 中所述剩余部分包括所述至少一个用户输入和/或输出单元(212)的 至少一部分。
6、 如权利要求1所述的智能卡(200)，包括应用单元(402)，所述应用单元(402)能够向所述处理器 (202)提供与相应的应用有关的数据，所述应用单元(402)能够以 所述至少一个用户输入和/或输出单元(212)可输出的格式提供数据; 以及包括用户交互应用单元(401)，所述用户交互应用单元(401) 至少能够将所述应用单元(402)提供的数据转换成所述至少一个用 户输入和/或输出单元(212)可输出的格式。
7、 如权利要求6所述的智能卡(200)，其中，所述用户交互应 用单元(401)起着与所述应用单元(402)通信的主设备的作用。
8、 如权利要求6所述的智能卡(200)，其中，所述应用单元(402) 和所述用户交互应用单元(401)之间的通信由所述至少一个用户输 入和/或输出单元(212)协调。
9、 如权利要求8所述的智能卡(200)，其是以如下方式使用的 在所述应用单元(402)和所述用户交互应用单元(401)之间传输的消息是加密的。
10、 如权利要求8所述的智能卡(200)，其中，对在所述应用单 元(402)和所述用户交互应用单元(401)之间传输的消息进行协调 的所述至少一个用户输入和/或输出单元(212)无法对该消息进行解 密。
11、 如权利要求5和6所述的智能卡(200)，其中，所述应用单 元(402)和所述用户交互应用单元(401)位于所述安全部分中。
12、 如权利要求6所述的智能卡(200)，其中，所述应用单元(402) 和所述用户交互应用单元(401)之间的通信包括传输至少一个应用协议数据单元。
13、 一种操作智能卡(200)的方法，其中，所述方法包括下列 操作所述智能卡(203)的处理器(202);经由所述智能卡(200)的读和/或写设备接口 (213)，在所述处 理器(202)和读和/或写设备(208)之间进行通信；借助于用户输入和/或输出单元(212)，经由所述读和/或写设备 接口 (213)在用户和所述处理器(202)之间发起通信。
14、如权利要求13所述的方法，其中，借助于设置在所述智能 卡(200)内的用户输入和/或输出单元(212)，经由所述读和/或写设 备接口 (213)在所述用户和所述处理器(202)之间发起通信。
全文摘要
一种智能卡(200)，包括处理器(202)；读和/或写设备接口(213)，用于在处理器(202)和读和/或写设备(208)之间进行通信；用户输入和/或输出单元(212)，用于经由读和/或写设备接口(213)在用户和处理器(202)之间发起通信。
文档编号G06K19/077GK101120364SQ200680005084
公开日2008年2月6日 申请日期2006年2月14日 优先权日2005年2月17日
发明者P·斯里克维尔, P·穆夏尔 申请人:皇家飞利浦电子股份有限公司