专利名称:授予智能卡修改权利的方法
技术领域:
本发明涉及授予修改设备修改权利的授权方法,以便修改数据载体中的应用程序。
本发明还涉及用于运行至少一个应用程序的数据载体。
本发明还涉及用于修改数据载体中的应用程序的修改设备。
在文献EP0935214A中公开这样的数据载体,在这种情况下,由智能卡形成数据载体。将数据载体的计算机装置设计来运行多个应用程序或软件程序。已知的数据载体可例如运行金融应用程序,运行该金融应用程序可能使得货币数目被加载到提款机上的数据载体并用于在商店里支付。另外,已知的数据载体能运行病人应用程序、运行病人应用程序可能使得病人数据被医生或医药保险公司读取和修正。许多其它的应用对于本领域技术人员来说是已知的,比如信用卡应用或停车场票单应用。
当使用运行信用卡应用程序的这种类型的数据载体,在信用卡终端处进行支付时,那么为了验证数据载体的有效性,已知为信任中心的信用卡终端电子地发送识别数据载体的数据载体识别信息项。信任中心检查数据载体识别信息项的有效性,并且如果检查的结果是肯定的,将有效信息项电子地输出到信用卡终端。
在已知的数据载体中,应用程序在制造数据载体的时候或在它们在被发布给数据载体的用户之前的任何情况下就被安装或存储在数据载体的存储装置中。如果多个应用程序已经安装在数据载体上,必须保证应用程序以明显相互分离的形式运行,并且保证防止对可能是保密或安全有关的数据(例如货币数目、病人数据)的不期望的可逆访问。在EP0935214A中公开了适当的预防措施。然而,当修改在数据载体中运行或将要运行的应用程序时,还必须保证由数据载体运行的其他应用程序不受到不利影响。另外,必须保证只有授权修改应用程序的人或设备才获得对数据载体的存储装置的访问。另外,在安装应用程序之前,必须毫无疑问地验证数据载体的身份,以便应用程序不存储在由第三方使用的不同数据载体上。
本发明的一个目的是提供第一段中提到的类型的授权方法,第二段中提到的类型的数据载体和第三段中提到的类型的修改设备,其中已经采取了上述的预防措施。为了实现本目的,在这样一种授权方法中提供下列的方法步骤为由数据载体识别信息项识别的一个或多个数据载体生成第一密钥信息项和关联的第二密钥信息项;通过输出数据载体识别信息项和关联的第二密钥信息项到修改设备来授予修改权利给由数据载体识别信息项识别的数据载体;检查存储在数据载体中的第一密钥信息项和在数据载体中被修改设备输出到数据载体的第二密钥信息项的关联,并且如果检查结果是肯定的;允许修改设备去修改数据载体中的应用程序。
为实现以上目的,这种数据载体的特征在于下列特征用于运行至少一个应用程序的计算机装置,在其中处理经由接口通信的信息项或存储在数据载体中的信息项,并具有存储装置,用于存储第一密钥信息项和识别数据载体的关联的数据载体识别信息项,并具有检查装置,用于检查修改设备经由接口修改数据载体中的应用程序的修改权利,其中将检查装置设计来检查存储在存储装置中的第一密钥信息项和被修改设备输出到数据载体的第二密钥信息项的关联,并具有修改装置,在检查装置确认修改设备的修改权利之后,被设计成使修改设备能够修改数据载体中的应用程序。
为了实现以上目的,这种修改设备的特征在于以下特征至少一个接口,用于无接触和/或接触地将信息项传送到由数据载体识别信息项识别的数据载体,并具有存储装置,用于存储识别数据载体的至少一个数据载体识别信息项,以及关联的第二密钥信息项,并具有计算机装置,用于经由接口修改数据载体中的应用程序,其中在与由存储的数据载体识别信息项识别的数据载体通信的过程中,通过传递与这个数据载体识别信息项关联的第二密钥信息项,将修改设备的修改权利输出到数据载体,因此在数据载体确认修改权利之后,修改设备被授权并被设计来修改数据载体中的应用程序。
借助本发明的这些特征,实现了下列情形,即为由数据载体识别信息项识别的数据载体,生成分别关联的第一和第二密钥信息项。第一密钥信息项和数据载体识别信息项被存储在数据载体中,并且第二密钥信息项和数据载体识别信息项被输出到修改设备。结果,修改设备获得修改权利来修改由数据载体识别信息项识别的数据载体或多个数据载体的一个或多个应用程序。在这种情况下,修改数据载体的应用程序意味着在数据载体上初始化安装应用程序,更新已经安装在数据载体上的应用程序(例如新版本),以及从数据载体删除应用程序。
修改设备可因此有利地在数据载体已经被发布给用户时修改数据载体的应用程序,对于该数据载体需要通过获得数据载体识别信息项和关联的第二密钥信息项获取修改权利。获取修改权利可与为支付修改权利的费用联系在一起,由此获得一个有趣的商业方法。在该情况下尤其有利的是,修改数据载体的应用程序能发生在数据载体与修改设备进行通信的过程中,而不是必须与信任中心联系以确认修改权利。
根据权利要求2和11的方法,获得的优点在于,修改权利可例如授权修改设备只安装新的应用程序,却不能更新或删除应用程序。同样,修改权利可授权修改设备只删除应用程序,而与此同时适合于在数据载体中的存储装置的存储区域中安装新的应用程序,作为删除的结果该存储区域变为空闲。如果新版本的应用程序将被安装以替换所有数据载体上已经发布给用户的旧版本的应用程序,那么可由应用程序(金融应用程序)的操作者将对应的修改权利发布给修改设备(取款机)的操作者。有可能得到大量这样的有益用途,同时反过来可能获取在各种情况下与服务器连接的修改权利,由此获得了一种有趣的商业方法。
根据权利要求3和12的方法,获得的优点在于,借助修改权利,也就是说借助数据载体识别信息项和关联的第二密钥信息项,识别可修改的应用程序。对于运行两个应用程序的数据载体,为两个应用程序的每一个授予上述不同的修改权利(安装、更新、删除)因此可能是有利的。
根据权利要求4和13的方法,获得的优点在于,可授予修改权利来修改在数据载体中安装新的应用程序,而该新的应用程序不要求大于在存储装置中最大量的存储空间(例如1千比特)。结果,获得了一种十分有趣的商业模型,其中可以在已经发布给用户的数据载体中出售存储空间。因此,信用卡制造商可以在他的信用卡的存储装置中为将来的应用程序保留存储空间,并且当大量信用卡已经被发布给用户时,以对应的修改权利的方式将该存储空间出售给一个或多个公司,以便也能运行它们的使用信用卡的应用程序(例如,客户忠诚卡、电子停车场票)。
根据权利要求5的方法,获得的优点在于,使用由仅仅一个数据载体识别信息项和仅仅一个第二密钥信息项形成的仅仅一个修改权利,可在一组数据载体中修改应用程序,其中数据载体都由相同的数据载体识别信息项识别。
根据权利要求6和14的方法,获得的优点在于,修改权利识别待修改的应用程序的特定访问权利。例如,修改权利可被授予给信用卡,该修改权利授权安装只能使用接触接口而不能使用非接触接口的应用程序并排他地允许读取特定存储区域中的权利,该特定存储区域对信用卡的所有应用程序来说是公共的。
根据权利要求7的方法,获得的优点在于,借助存储在数据载体的与第一主密钥信息项关联的第二主密钥信息项,修改权利可为由数据载体运行的一些或所有应用程序修改访问接口或存储区域的访问权利。同样,通过使用主密钥信息项,可生成新的第一密钥信息项,并将其存储在数据载体中,并且可生成新的第二密钥信息项,并将其存储在修改设备中,以便能够修改另一个应用程序。
根据权利要求8的方法,获得的优点在于,通过使用主密钥信息项,能将修改访问权利和/或生成密钥信息项限制在仅一个特定应用程序。
根据权利要求9的方法,获得的优点在于,除了由数据载体检查密钥信息,在允许修改应用程序之前,检查待被修改的应用程序的特定属性。在该情况下,例如应用程序操作者能在应用程序中存储第三密钥信息项,在数据载体修改应用程序之前检查其正确性。
根据权利要求15的方法,获得的优点在于,特别有利地由数据载体运行所知的Java小应用程序。
根据权利要求16的方法,获得的优点在于,可由通过网络(例如互联网、公司网络、电话网络等)相互连接的应用程序的操作者的操作者计算机和读取设备(例如取款机)形成修改设备。通过这种方式,可能得到大量的有利用途。
参考附图中所示的实施例的实例来进一步描述本发明,但本发明不限于此。
图1显示了一个数据载体,其中修改设备安装另一个应用程序。
图2显示了用于在图1所示的数据载体中修改应用程序的修改方法。
图1示意地显示了用于智能卡S的制造过程H,智能卡S形成数据载体,并在完成制造过程H之后被设计用于与终端1无接触通信并用于与读取设备2进行接触通信。在制造过程H期间,集成电路被合并到塑料卡中并与天线3连接,以便进行无接触通信,并连接到接点排4,以便进行接触通信。这样的制造过程H早已被得知并且因此不在这里做详细讨论。
图2显示了授权方法E,用于授予修改设备5修改权利以便修改智能卡S中的应用程序。在这种情况下,应用程序被理解为表示智能卡S的用途(例如,信用卡、博物馆门票等)的性质,因此智能卡S的计算机装置6被理解为表示运行软件程序以便使该用途可能的计算机装置。
在智能卡S的制造过程H期间,一个或多个应用或对应的软件程序被存储在智能卡S的存储装置7中。另外,在制造过程H期间,每个智能卡S被给予一个数据载体识别信息项,根据本实施例的实例即是一个递增的序列号ID,其被存储在智能卡S的安全存储装置8中并用于明确地识别每个智能卡S。在该情况下,由具有64位数的二进制比特组合形成序列号ID,并且由防止黑客攻击特别有效的存储装置7的区域形成安全存储装置8。
根据授权方法E的方框B1,在制造过程H期间,计算机C为由每个智能卡的序列号ID识别的智能卡S生成第一密钥信息项K1和关联的第二密钥信息项K2。另外,对于由序列号ID识别的一些或所有智能卡S,生成第一主密钥信息项MKI1和第二主密钥信息项MKI2,如下面详细描述的那样。密钥信息项K1和K2以及主密钥信息项MKI1和MKI2在该情况下可由被称为对称二进制密钥和称为不对称二进制密钥形成,这对于本领域的技术人员长期以来已经得知。本领域的技术人员还知道在每个情况下具有两个密钥信息项的其他加密方法,可同样地用在这一点。
由计算机C生成的第一密钥信息项K1,和也已经生成的第一主密钥信息项MKI1以与智能卡S的序列号ID关联的方式被存储在智能卡S的安全存储装置8中,并且被由智能卡S运行的安全应用程序AS处理,如下面详细描述的那样。可能计算机生成的所有信息项,但无论如何有序列号ID、第二密钥信息项K2和也已经生成的第二主密钥信息项MKI2被存储在智能卡S的制造商的安全存储装置9中。存储在安全存储装置9中的信息项可随后被用于授予修改权利,以便修改智能卡S中的应用程序,如下面参考实施例的示例所详细描述的那样。
根据本申请的第一个实施例,假设智能卡S的制造商为信用卡公司制造一百万个智能卡S。为此目的,在智能卡S的制造期间,智能卡软件的项被存储在存储装置7中并作为第一应用程序A1由计算机装置6运行。在制造期间,序列号ID=“123...84”、第一密钥信息项K1=“2...4”、和第一主密钥信息项MKI1=“88...3”被存储在智能卡S的安全存储装置8中。序列号ID=“123...84”、与第一密钥信息项K1关联的第二密钥信息项K2=“3...5”、和与第一主密钥信息项MKI1关联的第二主密钥信息项MKI2=“99...4”以关联的方式被存储在制造商的安全存储装置9中。一个有效连接W指示生成的所有智能卡S都被发布给信用卡公司的客户。因此,智能卡S如通常所知那样用于支付商店里的交易。
当制造智能卡S时,需要注意即使在写入信用卡软件之后,也要保证存储装置7仍然具有足够的附加存储空间。例如,信用卡软件可占据3千比特的存储装置7的存储空间,并且安全存储装置8可占据4千比特,存储装置7的17千比特仍然保持空闲,所述存储装置7总共有24千比特并由EEPROM形成。另外,计算机装置6的尺寸是依照它们的计算能力而定,使得多达四个应用程序A1、A2、A3和A4可并行地或者以根据时间的偏移的方式运行。
根据本申请的实例,现在假设大的百货公司链想发布客户的忠诚度卡给其客户,以便为这些客户提供专门的廉销或返款条件。因为大量百货公司链的客户使用信用卡公司的智能卡S来支付它们的购买,并且对于客户来说更方便的是他不需要携带其他的信用卡作为客户忠诚度卡,百货公司链从信用卡公司获得修改权利以便在智能卡S上安装客户忠诚度卡软件作为第二应用程序A2。
在授权方法E的方框B2处,百货公司链作为应用程序A2的未来操作者向信用卡公司或者智能卡S的制造商要求修改权利并且为此支付需要的购买价格。在该情况下,百货公司链实质上是购买已经发布给客户的所有信用卡S的存储装置7中的存储空间,以便在存储装置7中存储客户忠诚度软件。在该情况下,购买价格取决于存储空间要求和发布给客户的智能卡S的数量。另外,购买价格还取决于第二应用程序A2要求的接口(要么只有无接触接口要么只有接触接口或两种接口)和运行第二应用程序A2所需的计算能力。另外,购买价格取决于是否已经为智能卡S生成了主密钥信息项并取决于是否在同时正在购买第二主密钥信息项MKI2。因此,通过购买修改权利获得一种有趣的商业模型。
一旦信用卡公司或智能卡S的制造商已经与第二应用程序A2的操作者达成一致,也就是说与百货公司链达成一致,在方框B3,修改权利,也就是序列号ID以及每个智能卡S的关联的第二密钥信息项K2和也占用第二主密钥信息项MKI2之处被传送到第二应用程序A2的操作者的操作者计算机10。如图1所示,这个传送可发生在数据网络NET上,在此必须例如通过接触信任中心,采取最严格的安全防范措施,以便防止未授权的人获得修改权利。但是,通过移交具有在其上存储了对应信息的CD-ROM、硬盘或DVD给应用程序A2的操作者,修改权利还可以被手动传送。该修改权利然后在操作者计算机10中是可得的。
根据本申请的实例,假设为了安全的原因,只有智能卡S的接触接口用于安装第二应用程序的目的。为此目的,由操作者计算机10和通过数据网络NET连接到操作者计算机10的大量读取设备2形成用于安装第二应用程序的修改设备5。一旦客户想使用智能卡S的信用卡应用程序来支付他的货物并且售货员将智能卡S插入到读取设备2中,在智能卡S上安装第二应用程序的过程就在方框B4上开始了。
在安装过程开始时,智能卡S经由接口装置11、读取设备2的接点排4和接点排12来传送它的序列号ID。读取设备2的计算机级13将该序列号ID传送到操作者计算机10,操作者计算机10接着检查智能卡S是否是有效的智能卡S。当需要时,智能卡S能使用它的第一密钥信息项K1加密一个代码字,并经由读取设备2将其传送到操作者计算机10,在操作者计算机10中可仅仅借助关联的第二密钥信息项K2解密加密的代码字。这种检查智能卡S的有效性用来防止第二应用程序A2被安装在无效的智能卡S上。
一旦已经在方框B4中确定了智能卡S的有效性,那么在方框B5上继续第二应用程序A2的安装,否则结束第二应用程序A2的安装。在方框B5,与操作者计算机10中的智能卡S的序列号ID关联的第二密钥信息项K2被确定并经由读取设备2被输出到智能卡S的安全应用程序AS。当需要时,为了安全的原因还可加密第二密钥信息项K2。在方框B6,安全应用程序AS接着检查存储在安全存储装置8中的第一密钥信息项K1是否与由修改设备5输出的第二密钥信息项K2关联,确定修改设备5是否具有修改或安装第二应用程序A2的修改权利。
如果在方框B6的检查结果显示出修改设备5被授权安装第二应用程序A2,那么在方框B7将第二应用程序A2存储在智能卡S的存储装置7中。为了实现此,操作者计算机10经由读取设备2传送第二应用程序A2并且智能卡S允许读取设备2在特定范围内访问存储装置7。在该情况下,修改设备5对第二应用程序A2的修改范围或性质是由修改权利的性质确定的,即是由第二密钥信息项K2确定的,并且由智能卡S中的安全应用程序AS确定。
修改权利可授权第二应用程序A2的操作者在存储装置7的一个由它的存储空间(例如5千比特的最大值)限制的部分中安装第二应用程序A2。这保证了对于4个应用程序A1到A4在存储装置7中存在实际上足够的存储空间。
另外,修改权利可确定第二应用程序A2访问存储装置7的对于应用程序公共的区域以及访问智能卡S的接口的访问权利。在该情况下,客户忠诚度卡应用程序可例如只使用无接触接口,以便传递客户数据和返款。
另外,修改权利可确定应用程序哪种类型的修改可由修改设备5执行。在该情况下,修改设备5可被授权仅用新版本的客户忠诚度卡应用程序来代替第二应用程序A2或用完全不同的第二应用程序A2来代替它。同样,修改权利可排他地允许第二应用程序的删除。同样,这些可能性的组合或所有这些可能性可只与第二密钥信息项K2一起。
另外,修改权利可以或必须还识别可修改的应用程序,以便例如防止从智能卡S的存储装置7删除错误的应用程序。但是,修改权利还可只识别存储装置7中的特定存储区域,在该存储区域中,可执行任何修改或规定的修改。
如果已经在智能卡S中存储了第一主密钥信息项MKI1并且如果对于智能卡S已经把关联的第二主密钥信息项MKI2输出到修改设备5,那么修改设备5可修改智能卡S中的访问权利和/或在智能卡S中生成另外的第一密钥信息项K1并在操作者计算机10中生成另外的第二密钥信息项K2。假设百货公司链不再期望仅使用进行无接触通信来传递客户数据的终端1,而还想使用以要求接触的方式通信的读取设备2。但是,因为在安装时第二应用程序A2只被给予访问无接触接口(接口11和天线3)的访问权利,因此这是不可能的。修改设备5可通过加密使用第二主密钥信息项MKI2的访问权利修改命令并将加密的代码传送到智能卡S来接触,以得到这样的效果,即安全应用程序AS通过使用存储在安全存储装置8中的第一主密钥信息项MKI1解密接收的代码来确定修改设备5的修改权利,并且执行访问权利修改命令。结果,第二应用程序A2获得对智能卡S中的无接触接口和接触接口的访问。因此可能有利的是,即使在由智能卡S运行的应用程序已经被发布给客户的情况下,可修改对接口以及同样对存储装置7的存储区域的访问权利。
另外,该情况可出现在存储在安全存储装置8中的第一密钥信息项K1已经被用于修改应用程序或已经被黑客发现并因此也许不能再被使用的情况。在该情况下,新的第一和第二密钥信息项可由操作者计算机10生成,其中新的第一密钥信息项可作为代码以使用第一主密钥信息项MKI1加密的方式被传送到智能卡S。智能卡S的安全应用程序AS可接着使用第二主密钥信息项MKI2解密接收的代码,因此新的第一密钥信息项可被有利地存储在智能卡S的安全存储装置8中,以修改其他的应用程序。
还可生成第一主密钥信息项MKI1和第二主密钥信息项MKI2,使得进行与将智能卡S作为整体有关的修改是不可能的,但是可能作出与仅仅一个应用程序有关的访问权利的修改,或者可能仅为该一个应用程序生成新的密钥信息项。在此可以保证特定的关键应用程序(例如信用卡应用程序、金融应用程序等)不可能被修改,也就是说即使借助主密钥信息项也不能,因为主密钥信息项的权利可被限制到其他应用程序。
作为进一步的安全防范措施,可以定义在确定应用程序待被修改的特定属性时才允许通过智能卡S的修改设备5修改智能卡S中的应用程序。例如,应用程序的操作者可能将可能甚至对于智能卡的制造商都不知道的其他密钥信息项插入到应用程序中,应用程序隐藏的另外的密钥信息项形成应用程序的属性。那么,仅当修改设备5向智能卡S传送与另外的密钥信息项关联的密钥信息项时,智能卡S允许修改(例如删除)由修改设备5存储在智能卡S中的该应用程序。由此获得的优点在于,应用程序的操作者可为它的应用程序作出进一步的安全防范措施。
根据在图中没有示出的实施例的第二个实例,智能卡S的用户可拥有计算机以及连接的无接触通信终端,在该情况下,无接触通信终端形成修改设备。根据实施例的第二实例,计算机经由互联网连接到消息发射器的服务器,通过该服务器,可呼叫消息并提供消息预定。用户电子地填写用于消息预定的注册表格并输入他的信用卡号以便支付消息预定(方框B2)。接着,经由互联网在用户的计算机上存储修改权利(ID和K1),借助修改权利,消息应用程序可被安装在智能卡上。根据上述的安装过程,接着消息应用程序作为第三应用程序被存储在智能卡上。用户接着可以使用智能卡在任何计算机上用无接触通信终端呼叫消息预定的当前消息。另外,造访电影院的电影票也包括在消息预定中。用户因此可在电影院售票处的终端出示他的智能卡,由此在无接触通信的过程中,智能卡的消息应用程序只确认电影票一次。该服务是可能的,因为电影院的操作者与消息发射器的操作者合作。
应答器、个人数字助理、移动电话或其他类似设备可用作为数据载体。无接触通信可例如依照公布的标准ISO14.443、ISO15.693、ISO18.000、ECMA340的其中一个进行或根据电话标准GSM或UMTS其中一个进行。
借助根据本发明的授权方法、根据本发明的数据载体和根据本发明的修改设备,除了上述优点外,还获得了实质上的优点,即可在已经发布给客户的数据载体中修改应用程序,因此数据载体能进行其他业务而不需要涉及为此目的的信任中心。通过避免对信用中心的需要,还可由操作“离线”的修改设备来修改应用程序并且也节省了信用中心的成本。通过出售修改权利还获得一种有趣的商业方法。
权利要求
1.一种授权方法(E),用于授予修改设备(5)修改数据载体(S)中的应用程序的修改权利,其中执行以下步骤为由数据载体识别信息项(ID)识别的一个或多个数据载体(S)生成第一密钥信息项(K1)和关联的第二密钥信息项(K2);通过输出数据载体识别信息项(ID)和关联的第二密钥信息项(K2)到修改设备(5)来授予修改权利给由数据载体识别信息项(ID)识别的数据载体(S);检查存储在数据载体(S)中的第一密钥信息项(K1)和在数据载体(S)中被修改设备(5)输出到数据载体(S)的第二密钥信息项(K2)的关联,并且如果检查结果是肯定的;允许修改设备(5)去修改数据载体(S)中的应用程序(A1,A2,A3,A4)。
2.如权利要求1所述的授权方法(E),其中修改权利给予安装和/或更新和/或删除数据载体(S)中的应用程序(A1,A2,A3,A4)的权利。
3.如权利要求1所述的授权方法(E),其中修改权利只给予修改数据载体(S)中的特定的应用程序(A1,A2,A3,A4)的权利。
4.如权利要求1所述的授权方法(E),其中修改权利只给予安装数据载体(S)中要求预定最大量存储空间的应用程序(A1,A2,A3,A4)的权利。
5.如权利要求1所述的授权方法(E),其中数据载体识别信息项(ID)识别一组数据载体(S)。
6.如权利要求1所述的授权方法(E),其中修改权利还确定在数据载体(S)中待修改的应用程序(A1,A2,A3,A4)对存储区域和数据载体(S)的接口(3,4,11)的访问权利。
7.如权利要求1所述的授权方法(E),其中执行以下进一步的步骤为由数据载体识别信息项(ID)识别的一个或多个数据载体(S)生成第一主密钥信息项(MKI1)和关联的第二主密钥信息项(MKI2),其中修改数据载体(S)中的访问权利和/或在数据载体(S)和修改设备(5)中生成另外的密钥信息项只可能利用存储在数据载体(S)中的第一主密钥信息项(MKI1)和存储在修改设备(5)中的第二主密钥信息项(MKI2)。
8.如权利要求7所述的授权方法(E),其中第一主密钥信息项(MKI1)和关联的第二主密钥信息项(MKI2)只可能修改数据载体(S)中的特定应用程序(A1,A2,A3,A4)的访问权利和/或在数据载体(S)和修改设备(5)中生成另外的密钥信息项,以便修改特定的应用程序(A1,A2,A3,A4)。
9.如权利要求1所述的授权方法(E),其中仅当确定待修改的应用程序(A1,A2,A3,A4)的特定属性时,才允许数据载体(S)的修改设备(5)修改数据载体(S)中的应用程序(A1,A2,A3,A4)。
10.用于运行至少一个应用程序(A1,A2,A3,A4)的数据载体(S),具有至少一个接口(3,4,11),用于无接触和/或接触传送信息项,并具有计算机装置(6),用于运行至少一个应用程序(A1,A2,A3,A4),其中处理经由接口(3,4,11)传递的信息项或存储在数据载体(S)中的信息项,并具有存储装置(8),用于存储第一密钥信息项和识别数据载体(S)的关联的数据载体识别信息项(ID),并具有检查装置(6,AS),用于检查修改设备(5)经由接口(3,4,11)修改数据载体(S)中的应用程序(A1,A2,A3,A4)的修改权利,其中将检查装置(6,AS)设计来检查存储在存储装置(8)中的第一密钥信息项(K1)和被修改设备(5)输出到数据载体(S)的第二密钥信息项(K2)的关联,并具有修改装置(6),在检查装置(6,AS)确认修改设备(5)的修改权利之后,被设计成使修改设备(5)能够修改数据载体(S)中的应用程序(A1,A2,A3,A4)。
11.如权利要求10所述的数据载体(S),其中检查装置(6,AS)被设计成确认限制的修改权利,该限制的修改权利只给予安装和/或更新和/或删除数据载体(S)中的应用程序(A1,A2,A3,A4)的权利。
12.如权利要求10所述的数据载体(S),其中检查装置(6,AS)被设计成确认限制的修改权利,该限制的修改权利只给予修改数据载体(S)中的特定的应用程序(A1,A2,A3,A4)的权利。
13.如权利要求10所述的数据载体(S),其中检查装置(6,AS)被设计成确认限制的修改权利,该限制的修改权利只给予安装数据载体(S)中要求预定最大量存储空间的应用程序(A1,A2,A3,A4)的权利。
14.如权利要求10所述的数据载体(S),其中检查装置(6,AS)被设计成确认一个修改权利,该修改权利确定在数据载体(S)中待修改的应用程序(A1,A2,A3,A4)对存储装置(7)的存储区域和数据载体(S)的接口(3,4,11)的访问权利。
15.如权利要求10所述的数据载体(S),其中计算机装置(6)被设计成运行由Java小应用程序形成的应用程序(A1,A2,A3,A4)。
16.用于修改数据载体(S)中的应用程序(A1,A2,A3,A4)的修改设备(5),具有至少一个接口(12),用于无接触和/或接触地将信息项传送到由数据载体识别信息项(ID)识别的数据载体(S),并具有存储装置,用于存储识别数据载体(S)的至少一个数据载体识别信息项(ID),以及关联的第二密钥信息项(K2),并具有计算机装置(13),用于经由接口(12)修改数据载体(S)中的应用程序(A1,A2,A3,A4),其中在与由存储的数据载体识别信息项(ID)识别的数据载体(S)通信的过程中,通过传递与这个数据载体识别信息项(ID)关联的第二密钥信息项(K2),将修改设备(5)的修改权利输出到数据载体(S),因此在数据载体(S)确认修改权利之后,修改设备(5)被授权并被设计来修改数据载体(S)中的应用程序(A1,A2,A3,A4)。
17.如权利要求16所述的修改设备(5),其中修改设备(5)由包含存储装置的操作者计算机(10)和通过数据网络(NET)与操作者计算机(10)连接的读取设备(2)形成,读取设备(2)包括至少一个接口(12)和修改设备(5)的计算机装置(13)的至少一部分。
全文摘要
修改设备(5)被设计成修改由数据载体(S)运行的应用程序(A1,A2,A3,A4),其中第一密钥信息项(K1)被存储在数据载体(S)中,并且关联的第二密钥信息项(K2)被存储在修改设备中。
文档编号G07F7/10GK1768357SQ200480008830
公开日2006年5月3日 申请日期2004年3月30日 优先权日2003年3月31日
发明者H·普日比拉 申请人:皇家飞利浦电子股份有限公司