专利名称:用于在终端中初始化应用的方法
技术领域:
本发明涉及一种用于初始化或扩展应用的方法,即按照权利要求1的前序部分的、用于在分级授权系统范围内利用移动数据载体将属于应用的信息传输到系统的终端或读写站上的方法,以及涉及一种按照权利要求28的前序部分的移动数据载体。具有移动数据载体(例如有接触的和优选地为非接触式识别媒介、芯片卡或预付卡等等)的系统可以使用户在所属的读写站上执行相应的应用、例如接入业务(访问PC和商品)或访问受保护的区域、建筑物、活动等等。
在WO 97/34265中描述了这样的系统的一个例子,其具有非接触式识别媒介或移动数据载体和分级授权系统。
首先在较大的系统中,在不同终端上,总是必须重复扩展、补充和修改应用,也就是说必须在特定的终端上设立新的或扩展的应用App。到目前为止,只能用以下两种方法来实现终端中应用程序的更新和修改1.通过数据线与中央应用计算机、例如主机连接的终端可以由中央应用计算机提供新应用或相应的应用程序和信息。然而,这需要高成本以用于提供和驱动到终端的在线连接。因此,分散的终端(孤立的、离线的意思)不能重新编程或改编程序。
2.通过交换程序存储器或通过借助业务设备装载新的应用程序,业务技术人员单独地改编终端的程序,该业务设备通过一个接口来连接。这需要高成本以用于改变软件。
现在,本发明的任务是找到一种简单的方法,以便在终端中、特别是分散的终端中改变和设立应用。按照本发明,该任务通过按照权利要求1所述的方法以及按照权利要求28所述的移动数据载体来解决。
在此,新应用App装载到系统的所选择的被授权终端WRZ中。数据载体IM出现在该被授权终端上,由其进行检查,以及必要时装载新的应用信息Iex。如果所装载的数据载体IMex出现在系统的其它终端WR上时,那么该数据载体由该终端再次进行检查,如果该新应用App被分配给该终端,那么该应用App或相应的应用信息Iex被装载到该终端中并且随后也由该终端执行。
从属权利要求涉及本发明的有利的改进方案,其在应用、安全性以及匹配其它条件方面具有特别的优点。下面根据附图和实施例进一步讲述本发明。其中
图1a、1b、1c示出了将新应用从被授权终端WRZ传输到数据载体IMex上、从该数据载体传输到另一个终端WR上以及利用其它的数据载体IM来执行该应用的本发明方法,图2示出了具有状态回复的本发明方法的过程,图3示出了通过把终端WR转化为被授权终端WRZ的本发明方法的迭代过程,图4a、4b示出了用于执行本发明方法的被授权终端WRZ、数据载体IMex以及终端WR的结构和所传输的应用信息Iex,图5a、5b、5c说明了应用信息在终端WR和数据载体IMex上的分配以及应用的执行,图6示出了具有多个被授权终端WRZ、数据载体IMex以及终端WR的系统,图7示出了按照图6的系统的一个例子,其具有几个独立的应用的初始化,该应用属于独立的用户,以及具有信息流Iex和状态回复。
图1a、1b、1c、2和3说明了用于初始化或扩展应用App的本发明方法、即用于将属于应用App的应用信息Iex传输到系统的终端或读写站WR上的本发明方法,该系统具有移动数据载体IM、终端WR和分级授权系统A。应用信息Iex从所选择的、被授权终端WRZ装载到移动数据载体IMex上,紧接着当该数据载体IMex出现在其它终端WR上时,该应用信息Iex被传输到应用所属的其它终端WR上,因此紧接着在这些终端WR上可以为合法的数据载体IM和IMex执行应用App。
新的或扩展的应用App装载到所选择的被授权终端WRZ中(图1a中步骤10)、例如装载到具有安全级别SL-WR的安全模块SM中。优选地将相对重要的终端确定为被授权终端WRZ,其由许多不同的数据载体IM频繁使用,并且从其出发,数据载体将应用信息Iex继续传输给所期望的其它系统终端WR。在出现数据载体IMex的情况下,被授权终端WRZ为应用App检查该数据载体IMex的合法性(步骤11)或反之。如图1a所示,在合法的情况下,应用或应用信息Iex被写入数据载体IMex的存储器中。这里,可以在数据载体IMex中设置标志/指针F/P。如果该数据载体紧接着被传送给系统的其它读取站或终端WR(13)并且在那里出现,那么在终端WR和数据载体之间再次进行检查(14)。在此,还可以检查数据载体IMex的标志/指针F/P(15)。数据载体和终端检查新应用是否被规定用于该终端WR,以及满足何种程度的特定的安全性要求、例如该终端WR的安全级别SL-WR是否对应于新应用或数据载体的安全级别SL-IM。如果情况如此,那么将应用信息Iex传输到该终端WR中(15)、例如传输到安全模块SM中(图1b)。紧接着,其它的数据载体IM1、IM2、IM3等可以出现在该终端WR上并被检查(17),接着通过该终端可以在其它合法的数据载体、例如IM1、IM3上以及可能还可以在所传输的数据载体IMex上执行新应用App(18)(图1c),而在不合法的数据载体、例如IM2上不能执行该应用。
在应用从数据载体IMex传输到终端WR上之后,直接由该终端WR执行该应用可以实现具有特殊应用特征ind的应用。
但是,该数据载体IMex也可以只用作为传输应用信息Iex的邮差,而不规定其本身用于该应用App(不能自己执行该应用)。
借助标志/指针F/P可以确定或检查,在数据载体IMex上是否存在应用信息Iex。
尤其必须在下列标志/指针F/P之间进行区分-数据载体IMex的标志/指针F/P-IMex标志/指针IMex最初被分配给数据载体IMex,并且应该可以在该数据载体上实现应用信息Iex的管理。
标志/指针F/P-IMex一般指向应用信息Iex(App)或应用App,该应用在其侧包含应用信息Iex(App)和标志/指针F/P-App。
-数据载体IMex上应用App的标志/指针F/P-App标志/指针F/P-App最初被分配给应用App(例如作为应用App的一部分),并且可以使应用App的应用信息Iex的管理变得简单。
在应用信息Iex在部件WR、WRZ和IMex之间传输的范畴内,可以区分该传输是主动出现的(即作为发送方由其提供应用信息Iex)或是被动出现的(即作为接收方接收应用信息Iex)。使用、也就是设置标志/指针F/P是实现主动部件WR、WRZ、IMex的一种可能性。因此,在步骤15中(将应用信息Iex传输到终端WR上),可以按照终端WR的需求(主动)询问数据载体是否存在应用信息Iex(通过检查例如标志/指针F/P-IMex以及可能的话对其进行分析),或者数据载体IMex可以(主动)通知终端WR存在应用信息Iex(通过向终端WR发送例如标志/指针F/P-IMex以便可能的话进行分析)。类似地也适用于状态信息Ist的回复。
为了将应用信息Iex传输到数据载体IMex上以及从该数据载体IMex传输到终端WR上,需要适当的授权。也就是说该传输只允许利用或通过合法的数据载体IMex或终端WR来实现,应用被规定用于这些数据载体或终端,因此保证了所需的安全性。可以用不同的方式来实现合法性,并且可以根据应用的类型和重要性为安全性要求匹配或选择合法性,例如利用系统A的授权规则为分配给数据载体IMex的相应的安全级别SL-IM以及分配给终端WR的安全级别SL-WR匹配或选择合法性,安全级别控制新的应用信息Iex的传输以及其紧接着的实现。在此,重要的是授权系统A的规则防止数据载体或终端中的安全级别SL-IM或SL-WR可能被提高或改变。因此,借助数据载体IM来控制和限制应用App到终端WR的传播以及应用的使用。
在此,在授权系统A的范围内,可以根据或扩展已经存在的层级、例如按照WO 97/34265的组织层级OL或者通过不依赖于现有层级的新层级(利用新的原则)来确定安全级别SL的特征。
但是,也存在以下可能性,即不在授权系统A的范围内,而是在附加的独立的安全性授权系统SA的范围内确定安全级别SL。
如在图2中进一步讲述的,其它的安全和控制部件形成识别数据ID-IM和ID-WR或附加的个人代码pers。这可以与安全级别SL联系起来。
还可以为应用引入分离的编码器cryp2。在此,在被授权终端WRZ中利用cryp2对应用信息进行加密,该应用信息以加密的形式传送到数据载体IMex中,以及在终端WR中才利用cryp2对被传送的应用信息Iex重新进行解密(图1a、1b、2)。在此,数据载体IMex本身大多不具有密钥cryp2。应用信息Iex应该只能在终端WR中或通过相应的应用所属的数据载体IMex进行解密。
也可以为独立的用户的、不同的独立的应用App1、App2以及所属的终端WR选择不同的相互独立的编码器cryp2。如图4的例子所示,应用的编码器cryp2不依赖于非接触式系统中非接触式通信Rf-K的编码器cryp1。
按照本发明传输的新应用或相应的应用信息Iex可以理解为终端WR中现有应用的应用扩展Appu(Update更新)或理解为新的还不存在的应用Appn。
图2示出了具有状态回复消息Ist的如图1所述的本发明方法的过程。新应用App(Appn或Appu)从主机(总站)H或传输授权媒介AM装载到被授权终端WRZ中(步骤10)。在那里检查出现的数据载体IMex(步骤11),如果该数据载体对于该终端来说是合法的并且被规定用于该终端,那么应用信息Iex被写入该数据载体中(12),紧接着该数据载体被传送给系统的其它终端WR(13)。这里,例如借助于安全级别SL的相互分配的检验和参考/序列号的检验来检查,是否为新应用分配了该终端WR(或是否为该终端WR分配了数据载体IMex)以及是否存在所有的合法性(步骤14),紧接着信息Iex被写入或传输到该终端WR中(15)。
为了检查在被授权终端WRZ上或在应用所属的终端WR上的授权和合法性,数据载体IMex可以包含特殊的识别数据ID-IM。因此,可以通过识别数据ID-IM规定该数据载体IMex用于传输特定的应用信息Iex。
以及终端的特殊的识别数据ID-WR可被用于检查在终端WR上的授权和合法性,利用该识别数据规定该终端用于接收特定的应用信息Iex。
在新的应用信息Iex传输到数据载体IMex上并且从该数据载体传输到终端WR上时,还可以规定对数据载体的拥有者或具有个人代码pers(例如PIN码或生物统计学代码)的终端的拥有者进行个人身份识别,以作为附加的安全性要求。
为了防止较老的应用不小心重写较新的应用,可以设置一种例如根据时间或借助于版本号的控制机制。如果早先由数据载体IMex初始化的应用版本App1a由稍后的、新修改过的版本App1b所代替,那么必须防止例如当老版本稍后由于还包含该老版本的另一个数据载体IMex而出现在终端WR上时,新安装的版本可能稍后又被老版本App1a所代替。这可以通过时间控制来实现,例如通过根据时间注明应用的日期以及通过以下条件来实现,即具有时间点ta的较老版本App1a不能取消或代替具有时间点tb的较新应用App1b条件tb>ta。另一种可能性在于借助于版本号vn和以下条件的控制,即具有版本号va的较老版本App1a不能取消或代替具有版本号vb的较新应用App1b条件vb>va。
图2还示出了关于终端WR上在传输应用信息Iex方面的事件的状态信息Ist的回复(步骤20),该应用信息可以由(传输应用的那个或另一个)数据载体IMex回复给被授权终端WRZ,例如哪个应用何时在哪个终端WR中被正确安装。也可以这样回复关于在终端WR上实现被初始化的应用的状态消息Ist。在此,可以优选地由终端WR在不同的时间、例如直接在传输了应用信息Iex之后、在确定的稍后的时间点上或在利用数据载体IM第一次实现了该应用之后初始化该回复。该状态回复还可以被用于控制应用信息Iex的传播。因此,可以使应用信息Iex从数据载体IMex到终端WR的完全传输依赖于以下事实,即该终端WR向数据载体IMex传输状态信息Ist。这可以借助例如在WO97/34265中描述的阴影存储器来实现。
图2和4此外还示出了终端WR所属的、用于在物理上执行应用的应用硬件/软件App HW/SW或终端的物理结构(例如门禁控制器)。该App HW/SW可以包含功能设备(如电动机、继电器)、输入设备、指示设备、生物统计学传感器等等。图2还说明了在终端WR上利用所属的功能设备App HW/SW为数据载体IMex或者也为后面出现的其它数据载体IM实现已初始化的应用(步骤18)。利用新近被初始化的应用,终端还能实现最初没有被设计的功能,只要存在为此所属的App HW/SW并且可以通过按照新应用要求的应用信息Iex来设计该App HW/SW。
图3示出了通过将终端WR转化为被授权终端WRZ的本发明方法的迭代过程,其意义是经几个被授权终端WRZ可控地传播或取消新应用(病毒原理)。在此,一般在授权系统A的范围内,必要时通过将终端WRi转化为被授权终端WRZj来选择第一被授权终端WRZj(步骤9)。紧接着,通过该第一被授权终端WRZj实现应用信息Iex到数据载体IMex以及经该数据载体IMex到其它终端WR的传输。作为传输应用信息Iex的结果,一个或几个终端WR可以转换为其它被授权终端WRZ。紧接着,应用信息从这些其它被授权终端WRZ装载到其它的数据载体IMex上,应用信息Iex通过该数据载体又传输给其它的一般终端WR。由终端WRi转化为被授权终端WRZj的终端可以随时(优选地在应用信息传输到系统的所有终端WR上之后)再转化回终端WRi(步骤22)。图3示出了应用信息Iex的这种可控的、迭代的传播。在本方法开始时,选择被授权终端WRZ。这可以是被授权终端WRZj,其在系统范围内从一开始就被选择为被授权终端。但是也可以将终端WRi转化为被授权终端WRZj(步骤9)。转化为被授权终端WRZj可能取决于借助授权信息Ia的授权,其由主机H或授权媒介(数据载体)AM来实现。如果事先不应借助释放信息If来实现作为被授权终端WRZ的功能的释放(作为附加的、可选的安全性措施),那么紧接着被授权终端WRZ准备好接收应用信息Iex。在后一种情况下,应用信息Iex的传输被视为隐式的释放。在第一种情况下,优选地再次由主机H或授权媒介AM借助释放信息If来实现释放。于是,应用信息Iex从一个或几个重要的终端WRZ1、WRZ2出发,通过数据载体IM1ex、IM2ex传输给几个终端WRa,WRb,...,WRd,紧接着在这些终端上可以实现新应用App(步骤18)。从中选出一些终端、例如WRd,这些终端在其侧转换到被授权终端WRZd的状态中(步骤21)。或许在借助释放信息If释放之后,应用信息Iex也可以通过这些新的被授权终端WRZd并借助数据载体IMex4、IMex5用可控的方式传输给其它终端WRf,...,WRh。对于该新的被授权终端WRZd,优选地通过IMex来实现释放信息If的传输。如图所示,为将应用信息Iex传输到数据载体IMex4和IMex5上,不需要与连接在主机H上的被授权终端、例如WRZ1进行直接联系。可以任意次重复该迭代原理,例如终端WRh可以转换为被授权终端WRZh。这可以实现在具有不同的被授权终端WRZ、不同的终端WR和数据载体IM或IMex的系统内可控地传输应用信息Iex,因此可以在系统中更快并且更有针对性地传播新应用。
可控传播的一个重要方面是终端WRd、WRh转换为被授权终端WRZd、WRZh的可能性,而该终端不与主机H连接,并且应用信息Iex不必借助附加的特殊的传输授权媒介AM而传输到该终端中。在引入或初始化新应用时,这导致成本进一步降低,因为可以放弃单个终端WR在主机H上的连接,或者可以放弃借助于传输授权媒介AM的到每个单独的终端WR的现场传输。系统的用户、即识别媒介的载体(数据载体)IMex用最简单的方式、通过使用系统而在系统中传播了新应用。
类似于按照病毒原理的这种可控的传播,也可以实现应用App的可控的取消,而不依赖于该应用如何以及从哪儿装载或传输到终端WR中。
在此,终端WR也可以只是暂时地转换为被授权终端WRZ。因此,在一段特定的时间之后或基于特定的标准,例如在应用信息Iex传输到预定数量的数据载体IMex上之后或者根据特定的状态信息Ist,转换的被授权终端WRZ(例如WRZd)可以再转换回一般的终端WRd。
这里同样适用的是,被授权终端、例如WRZd不必将应用信息Iex传输到所有IMex上,而只有当该应用信息被规定用于所有IMex时,才必须传输到所有IMex上。
还有可能的是,终端WR只为了传输状态信息才转换为被授权终端WRZ。
图4a、4b示出了部件WRZ、IM和WR的结构以及本发明方法中的通信和信息流。该例子示出了在部件Rf-WRZ、Rf-IMex、Rf-WR之间具有非接触式通信Rf-K的非接触式系统Rf。与接触式系统相比,非接触式系统提供其它的特别优点以及扩展的应用可能性。在此,不仅为数据载体IM中的通信逻辑而且为终端WR中的通信逻辑,例如利用借助对信息进行逻辑处理的单元、例如处理器的编码器cryp1对非接触式通信Rf-K进行加密。
被授权终端Rf-WRZ包含数据存储器MEM以及微处理器uP-WR,以便存储或处理应用信息Iex以及用于通信和其它的安全性功能和控制功能。在此,应用信息Iex为Idat,Ipar,Icod,其中Idat可以包含应用数据,例如识别号、密钥、编码器的代码(cryp);Ipar可以包含参数,例如可设置的结构参数或通信、类型、功率、通信编码、通信协议、到App HW/SW的接口的选择等等;Icod可以包含程序数据或程序代码。
图4示出了两种可能的数据载体Rf-IMex没有应用微处理器uP-IM、具有用于应用信息Iex的存储器MEM的数据载体;
以及附加地具有应用微处理器uP-IM的数据载体。这可以使数据载体IMex自己就能够执行应用或一部分应用。在此,相应的程序代码不传输到终端WR中,而是留在数据载体IMex中并且由该数据载体的应用处理器uP-IM执行或控制,因此该应用处理器构成应用处理器uP-WR的扩展部分,甚至可能构成App HW/SW的扩展部分。然而,即使在这样的扩展情况下,还是由终端WR实现对授权系统A的规则的遵守,也就是说为此所需的(一般由应用Icod处理的)应用数据Idat必须在执行应用之前由数据载体IMex提供给终端WR。
图4a示出了应用信息Iex=Idat,Ipar,Icod从被授权终端Rf-WRZ到数据载体Rf-IMex上的传输,以及图4b示出了从数据载体Rf-IMex到终端Rf-WR的传输。
终端WR可以包含逻辑通信和应用接口LCAI(LogicalCommunication and Application Interface),通过该接口可以将应用信息Iex装载到终端中并读出。
本实施例中的终端WR包含逻辑通信和应用接口LCAI,其保证;该终端的微处理器可以理解并且在遵守授权系统A的规则的情况下可以处理应用信息Iex、例如程序代码Icod的语言。该逻辑通信和应用接口LCAI基本上包含以下三个任务-其首先起翻译器或虚拟机的作用,尤其用于处理程序数据Icod和参数Ipar,-其次,作为应用程序接口API,尤其用于处理应用数据Idat,还用于处理程序数据Icod和参数Ipar、尤其是与应用有直接联系的数据或只有该应用才理解的数据,-第三,其确保授权系统A的规则的遵守。
API是用于到程序函数的标准化接入的软件接口,因此遵守了用于执行应用的逻辑规则。
相应地,必须通过该逻辑通信和应用接口LCAI来实现将应用信息Iex写入数据载体IMex(12)。类似地,还必须通过该逻辑通信和应用接口LCAI来实现应用信息Iex从数据载体IMex到终端WR的传输(15),在该接口上此外还可以进行安全级别SL的检查。
图4a还说明了在遵守授权系统A的规则的情况下用可控的、被授权的方法第一次将应用信息Iex传输到被授权终端WRZ中的两种可能性。该传输可以由传输授权媒介AM(其包含应用信息Iex以及同时被用于按照授权系统A进行授权)或由主机H来实现。在通过主机H进行传输时,必须用其它方式、例如通过以下方式来遵守授权系统A的规则,即通过授权媒介AM2、优选地经与WRZ的非接触式通信Rf-K显式地释放主机H和被授权终端WRZ之间的通信。在此,作为附加的安全性措施,通过终端的逻辑通信和应用接口LCAI已经可以实现应用信息Iex到被授权终端WRZ中的传输(10)。
逻辑通信和应用接口LCAI是用于在所有的层级上遵守授权系统A的规则的重要部件,并且是系统的所有终端WR、WRZ和数据载体IM的重要部件。
也可以配备还未包含应用的终端、即所谓的具有应用微处理器uP-WR的普通终端g-WR,应用Iex通过数据载体IMex暂时地装载到该终端中并且也在该终端中实现。之后,该应用信息Iex可以再被取消。因此,例如为一次接入或为实现具有特殊应用特征ind的应用,原则上每个数据载体IM可以自己带来其应用。
普通终端g-WR的另一个优点在于,其必须具有相对灵活的应用处理器uP-WR。该应用处理器可供自身不具有应用处理器uP-IM的数据载体IM、IMex使用,也就是说该uP-WR可以用于模拟不存在的uP-IM。这使得在同一个系统中同时使用具有和不具有应用处理器uP-IM的数据载体IM、IMex成为可能。
图5a、5b、5c说明了在遵守授权系统A的规则的情况下应用信息Iex、即应用数据Idat和程序代码Icod在终端WR、WRZ和数据载体IM、IMex上的分配以及应用App在所属的功能设备App HW/SW上的实现。应用数据Idat和程序代码Icod在终端WR中被处理,并且通过构造函数f(A,Icod,Idat)来检查授权规则A的遵守。在检查了该函数(17)之后,在所属的功能设备App HW/SW上实现该应用(18)。
图5a描述了非接触式系统的已公开的现有技术。这里,在终端WR中的程序代码Icod和数据载体IM中的应用数据Idat之间进行严格区分。在终端WR中,通过终端的应用处理器uP-WR检测函数f(A,Icod,Idat)来实现授权规则A的遵守。
图5b描述了按照本发明方法的一种新的可能性。取消目前在终端WR或WRZ中的程序代码Icod1和数据载体IM中的应用数据Idat之间的严格区分。这里,部分程序代码Icod2(或者全部的程序代码)位于数据载体IMex中。该程序代码Icod2像应用数据Idat一样传输到终端WR、WRZ中。在终端WR中,通过终端的应用处理器uP-WR检测具有Icod1、Icod2的单独处理的函数f(A,Icod1,Icod2,Idat)或具有Icod1和Icod的组合处理的函数f(A,Icod1+Icod2,Idat)来实现规则的遵守。
图5c描述了另一种新的可能性,即如果数据载体IMex也具有应用处理器uP-IM。在这种情况下,可以在数据载体IMex中由uP-IM检测函数f1(Icod2,Idat),该函数可被用于终端中函数f2的检测。函数f2可以是f2(A,f1,Icod1,Icod2,Idat)或f2(A,f1,Icod1)或最简单的形式f2(A,f1)。在终端WR、WRZ中,只用最简单的形式实现授权系统A的规则的遵守,并且在终端中不对Idat、Icod1和Icod2进行处理,而只在数据载体IMex中对其进行处理。
图5b和5c还说明了普通终端g-WR的设计方案,其特色是在终端WR中不存在属于应用的程序代码Icod1,而只在数据载体中存在程序代码Icod2。图5b和5c还说明了通过以下方式实现具有特殊应用特征ind的应用的基础,即在被授权终端WRZ的情况下,不仅个性化所需的程序代码Icod而且必要的应用数据Idat被装载到数据载体IMex上。
图6用简图示出了用于借助应用信息Iex来初始化应用App的本发明系统,该应用信息由被授权终端WRZ经数据载体IMex传送给应用App所属的终端WR,写入该终端并且也在该终端上实现。本例子示出了几个中央主机H1、H2、几个被授权终端WRZ1、WRZ2、WRZ3和几个终端WR4-WR8。在授权系统A的范围内,原则上可以通过被授权终端WRZ和数据载体IMex将任何不同的并且独立的应用以任意的组合形式初始化到不同的所属终端WR中,只要存在的存储器容量对此而言足够大(图7)。
图7示出了按照图6的系统的一个实施例,该系统具有属于独立的用户的、三个不同的独立的应用App1、App2、App3,该应用从被授权终端WRZ1、WRZ2、WRZ3传输到移动数据载体IMex上,并且从移动数据载体传输给所属的终端WR4-WR8,例如应用App2从WRZ1传输到终端WR4,5,7中,应用App1从WRZ2传输到终端WR4,7,8中,以及应用App3从WRZ3暂时地传输到(作为g-WR的)终端WR6中。
在应用在终端WR中安装了之后,通过数据载体IMex实现相应的到被授权终端WRZ的状态回复Ist以及从该被授权终端WRZ到中央主机H的状态回复Ist,例如假设在终端WR8中安装了应用App1,则向WRZ3和H回复。
在实践中,通常多个数据载体IMex向特定的终端WR提供相同的应用Iex,当然只须传送一次该应用到该终端中。同样地,多个数据载体IMex向被授权终端WRZ(和主机H)回复关于特定应用已写入特定终端WR的相同的状态消息Ist。在所有所要求的终端中安装了所有所要求的应用之后,原则上可以在数据载体IMex中以及在被授权终端WRZ中再取消该应用,或者可以停止向IMex继续传输。并且在实现了所有所需的状态回复Ist之后,也可以停止其它的状态回复。
按照需要,只要有需要,也可以继续进行关于在终端WR上执行了应用的状态回复。
按照需要,应用信息Iex可以只是暂时地存在于数据载体IMex、终端WR和/或被授权终端WRZ中,并且可以紧接着再被取消。在此,该应用信息Iex可以在可预定的持续时间内或在特定数量或类型的过程中暂时存在,或可以暂时存在直到满足了特定的条件。
按照本发明在终端中初始化应用的例子在此,可以涉及新应用Appn或现有应用的更新,该现有应用由修改过的、扩展的应用Appu代替或补充。
更新应用Appu的一个例子是通过检查数据载体IM1的参考号并且通过该数据载体IM1的拥有者输入PIN码而进入房间。应这样扩展该现有应用,使得只有当在短时间(例如30秒)内提供第二个合法的数据载体IM2并且在终端上输入第二个人的PIN码时,才可以进入。这样修改扩展的应用Appu,使得检查过程相应地运行两次。终端WR上必须已经存在用于在物理上实现该应用的功能装备App HW/SW。
作为应用扩展Appu的其它例子,作为进入条件的现有的4位PIN码可以利用Appu由6位PIN码来代替。
新应用Appn的例子到目前为此,通过检查数据载体IM的参考号来实现进入。新应用还应附加地实现数据载体IM的拥有者的PIN码的输入和检查。为此,通过数据载体IMex在终端WR中安装新应用Appn,其中必要的功能设备App HW/SW已经在终端上存在或者可以例如用PSOC(Programmabel System on Chip可编程片上系统)、由微处理器和模拟部分组成的模块来仿真,其中该模拟部分的功能在一定范围内可由微处理器决定和修改(即从广义上讲,借助软件来仿真模块的硬件)。因此,还可以利用新应用Appn来设立终端WR上现有装备或功能设备的新的或扩展的使用。
作为实施例,功能设备特征量的匹配说明了应用Appu的更新与App HW/SW的重新配置的结合。该应用在于通过例如继电器断开触点,保险销机械地移动以及电动机打开门来自动开门。为了补偿部件的老化和磨损,可以通过应用信息Iex来重新设置终端WR。为此,属于App HW/SW的功能设备(继电器、电动机)的应用参数Ipar的更新传输到该终端WR中,由此用新的参考值(例如用增大的电流)来驱动继电器和电动机,以便防止在用老的参考值工作时,继电器不断开保险销或夹住门。
数据载体IMex还可以具有有特殊应用特征ind的应用信息Iex。
例如每个人特殊的进入时间只能存储在其自己的数据载体IM上,而只有一般的进入条件作为应用被写入终端WR中。或者也可以初始化具有特殊特征ind的应用Iex,其按照数据载体IMex的拥有者而不同。例如在终端WR中对进入房间进行有区别的检查。对于特定的较受限制的员工,只需检查其数据载体的参考号。而对于其它人,除了参考号之外还需检查其PIN码。
选择性进入的临时证件对于国家B中子公司的生产设备的进入系统,应制定新的证件,来自国家a的总部的专员可以利用该新证件实现未经宣布的控制访问。为此,在总部,可以在被授权终端WRZ上为数据载体IMex装载相应的应用信息Iex。在国家b,在那里的终端上提交该数据载体IMex,应用被暂时初始化并且也被实现、即在所计划的控制访问期间允许进入。
另一个例子应用在于EDV中心的访问合法性,其中检查卡拥有者的数据载体。现在通过新的、扩展的应用App来加强访问合法性,利用该应用,访问检查还需要数据载体拥有者的个人代码pers(PIN码或生物统计学代码)。此外还应输出或指示某些数据或信息。如果终端不具有显示器,那么存在以下可能性,即在该终端旁边安装一个显示器单元,其例如可以像数据载体一样与终端进行非接触式通信。这允许放弃显示器单元(与终端WR或主机H)的电缆敷设。在这样扩展的情况下,终端必须放置在可寻址显示器单元的位置,也就是说必须这样重新设置终端或其相应的参数Ipar,使得不仅可以与数据载体IMex而且可以与显示器单元进行通信。为此所需的应用信息Iex通过数据载体IMex传输到该终端WR中。此外,在具有特殊应用特征ind的应用情况下,例如根据数据载体IMex上的应用信息Iex判断显示器单元是否是应用App的组成部分以及终端WR应如何寻址该显示器单元。
例如利用由另一个应用App2产生的附加的加强来初始化访问安全性的进一步提高,利用该应用只允许两个人一起进入,即在扩展的应用App2中,终端检查第一个人的数据载体及其个人代码,并且紧接着检查第二个人的数据载体及其个人代码,接着只有在所有数据一致时才允许访问EDV中心。
在本说明书范围内使用了下列符号H主机、中央站A授权系统AM 授权工具、传输授权媒介IM 移动数据载体、识别媒质IMex 用于传输应用信息Iex的IMRf 非接触式Rf-K 非接触式通信WR 终端、读写站WRZ 被授权终端、特定的重要终端g-WR 普通终端App 应用Appn 新应用Appu 应用扩展、更新App1、App2 独立的应用ind 特殊应用特征App HW/SWWR、功能设备的应用硬件/软件Iex 应用信息Idat 应用数据Ipar 参数Icod 程序数据、程序代码Iex=Idat,Ipar,IcodIst 状态信息f具有检查变量的函数SL 安全级别SL-IM、SL-WR IM或WR、WRZ的SLID 识别数据ID-IM、ID-WR IM的ID或WR、WRZ的IDSM 安全模块MEM 存储器、数据存储器API 应用程序接口
cryp1通信编码器cryp2应用编码器pers 个人数据或代码(PIN、生物统计学代码)uP-WR用于App的WR中的微处理器uP-IM用于App的IM中的微处理器ta、tb 时间点va、vb 版本号Ia 授权信息F/P 标志/指针F/P-Imex IMex的F/PF/P-App 具有Iex(App)的应用的F/PIf 释放信息9WR转换为WRZ,选择,授权10 新应用装载到WRZ中11 检查IMex12 Iex的写入,设置F/P13 传送IMex14 检查WR、IMex15 向WR传输17 检查IM18 实现App20 状态回复21 WR转换为WRZ22 从WRZ转换回WR
权利要求
1.用于初始化或扩展应用App的方法,即用于将属于应用App的应用信息Iex传输到系统的终端或读写站WR上的方法,所述系统具有移动数据载体IM、终端WR和分级授权系统A,其特征在于,选择并授权特定的终端WRZ,将应用信息Iex从被授权终端WRZ装载到移动数据载体IMex上,紧接着在所述数据载体IMex出现在其它终端WR上时,所述应用信息Iex被传输到应用所属的该其它终端WR上,使得紧接着可以在所述终端WR上为合法的数据载体IM和IMex执行所述应用App。
2.如权利要求1所述的方法,其特征在于,终端WR借助于授权信息Ia转换为被授权终端WRZ。
3.如权利要求1所述的方法,其特征在于,在借助释放消息If释放被授权终端WRZ之后,实现应用信息Iex从被授权终端WRZ到数据载体IMex上的装载。
4.如权利要求1所述的方法,其特征在于,所述系统在所述终端WR、WRZ和所述数据载体IM、IMex之间具有非接触式通信(Rf-K)。
5.如权利要求1所述的方法,其特征在于,所述应用信息Iex可以包含应用数据Idat、应用参数Ipar和程序数据Icod。
6.如权利要求1所述的方法,其特征在于,关于终端WR上在传输所述应用信息Iex和执行相应的应用方面的事件的状态信息Ist由所述移动数据载体IMex回复给所述被授权终端WRZ。
7.如权利要求1所述的方法,其特征在于,借助于数据载体IMex传输应用信息Iex,终端WR转换为另一个被授权终端WRZ;紧接着所述应用信息Iex从所述另一个被授权终端WRZ装载到其它数据载体IMex上,所述应用信息Iex通过所述其它数据载体又传输到其它终端WR上。
8.如权利要求7所述的方法,其特征在于,终端WR只是暂时地转换为被授权终端WRZ。
9.如权利要求7所述的方法,其特征在于,终端WR只是为了传输状态信息Ist才转换为被授权终端WRZ。
10.如权利要求1所述的方法,其特征在于,所述应用信息Iex只是暂时地存在于所述数据载体IMex、所述终端WR和/或所述被授权终端WRZ中并且紧接着又被取消。
11.如权利要求10所述的方法,其特征在于,所述应用信息Iex在一段可预定的持续时间内或在特定数量或类型的过程中暂时存在。
12.如权利要求1所述的方法,其特征在于,设有一种控制机制,其保证在终端WR中,稍后由另一个数据载体IMex提交的较老的应用Appa不会取消或重写较新的应用Appb。
13.如权利要求12所述的方法,其特征在于,所述控制机制具有时间控制(tb>ta)或版本控制(vb>va)。
14.如权利要求1所述的方法,其特征在于,所述数据载体IM包含安全级别SL-IM并且所述终端WR包含安全级别SL-WR,所述安全级别控制所述新应用App到所述数据载体IMex上和到终端WR上的传输或其紧接着的执行。
15.如权利要求14所述的方法,其特征在于,所述安全级别SL是所述授权系统A的功能组成部分,并且所述授权系统A的规则防止在数据载体IM中或终端WR中可能提高安全级SL-IM或SL-WR。
16.如权利要求1所述的方法,其特征在于,为了从所述被授权终端WRZ传输到所述终端WR,可以用分离的编码器cryp2对所述应用信息Iex进行加密,并在只能在终端WR中或由数据载体IMex进行解密,所述数据载体被分配给对应于所述应用信息Ist的应用。
17.如权利要求1所述的方法,其特征在于,通过识别数据ID-IM规定所述数据载体IMex用于传输特定的应用信息Iex。
18.如权利要求1所述的方法,其特征在于,通过识别数据ID-WR规定所述终端WR用于接收特定的应用信息Iex。
19.如权利要求1所述的方法,其特征在于,为将所述新应用App传输到所述数据载体IMex上或从所述数据载体传输到所述终端WR上,需要卡拥有者或所述终端的拥有者的个人身份证明pers(例如PIN码或生物统计学代码)作为附加的安全性要求。
20.如权利要求1所述的方法,其特征在于,为传输所述应用信息Iex或状态信息Ist,所述数据载体IMex和/或所述终端WR能够主动地工作(即由其提供信息Iex、Ist)。
21.如权利要求1所述的方法,其特征在于,在所述数据载体IMex中,还利用应用数据Iex的传输来设置标志/指针F/P。
22.如权利要求1所述的方法,其特征在于,所述数据载体IMex具有应用微处理器(uP-IM),其能够与所述终端的应用微处理器(uP-WR)一起合作处理应用信息Iex。
23.如权利要求1所述的方法,其特征在于,所述数据载体IMex具有有特殊应用特征ind的应用信息Iex。
24.如权利要求1所述的方法,其特征在于,普通终端g-WR设有应用微处理器(uP-WR),在所述应用微处理器中不包含特定的应用,并且所述应用通过数据载体IMex暂时地装载到所述普通终端中。
25.如权利要求1所述的方法,其特征在于,所述终端WR包含逻辑通信和应用接口LCAI,通过所述逻辑通信和应用接口能够将应用信息Iex装载到所述终端中并且读出。
26.如权利要求25所述的方法,其特征在于,应用App只有在通过所述逻辑通信和应用接口LCAI装载并且读出之后才能被执行。
27.如权利要求25所述的方法,其特征在于,所述逻辑通信和应用接口LCAI保证所述授权系统A的规则的遵守。
28.如权利要求25所述的方法,其特征在于,在所述逻辑通信和应用接口LCAI中实现所述安全级别SL的检查。
29.如权利要求25所述的方法,其特征在于,所述逻辑通信和应用接口LCAI包含翻译器或应用程序接口(API)。
30.如权利要求1所述的方法,其特征在于,分别在所属被授权终端(WRZ1、WRZ2)上的多个独立的应用(App1、App2)被装载到所述移动数据载体IMex中,并且被分别传输给相应的所属终端(WR1、WR2),其中所述应用分别属于所属终端(WR1、WR2)的独立的用户。
31.具有数据载体IM、所属终端WR和分级授权系统A的系统中的移动数据载体,其特征在于,数据载体IMex在存储器中包含从所选择的被授权终端WRZ装载的、具有应用信息Iex的新的或扩展的应用App,在所述数据载体出现在应用所属的其它终端WR上时,所述应用可以被写入所述终端并且随后也可以由所述终端执行。
32.如权利要求31所述的移动数据载体,其特征在于,所述数据载体IMex包含不同的独立的应用(App1、App2)的应用信息Iex1、Iex2,其可以传输到不同的所属终端(WR1、WR2)上。
33.具有移动数据载体IM、终端WR和分级授权系统A的系统,其特征在于至少一个所选择的被授权终端WRZ,在所述被授权终端WRZ上,具有应用信息Iex的新的或扩展的应用App被装载到数据载体IMex中,在应用App所属的其它终端WR上的所述信息Iex被写入所述终端中并且也由所述终端执行。
全文摘要
本发明涉及一种用于初始化或扩展应用App的方法,即用于将属于应用App的信息Iex传输到系统的终端WR上的方法,该系统具有移动数据载体IM、终端WR和分级授权系统A,本发明方法使用从所选择的被授权终端WRZ装载到移动数据载体IMex上的应用信息Iex。紧接着在所述数据载体IMex出现在其它终端WR上时,应用信息Iex被传输到应用所属的终端WR上,因此紧接着在所述终端WR上可以为合法的数据载体IM执行所述的应用App。为了进一步可控地传播或取消应用信息Iex,所述终端WR也可以转换为其它被授权终端WRZ(“病毒”原理)。
文档编号G06F21/62GK1620675SQ02828067
公开日2005年5月25日 申请日期2002年12月17日 优先权日2001年12月17日
发明者K·U·克罗萨 申请人:莱吉克识别系统股份有限公司