具有可移动智能卡的装置的制作方法

本发明涉及可连接到例如运行订户识别模块(sim)应用的通用集成电路卡(uicc)之类的可移动智能卡的装置，并且涉及控制此类装置的方法。

背景技术：

当前，在装置中使用例如通用集成电路卡(uicc)之类的智能卡对于例如移动电话或其它具有蜂窝功能的装置之类的应用来说是典型的。uicc通常包括cpu和少量存储器。由于对极低成本的uicc存在较大需求，uicc内部例如cpu之类的组件在速度/效率方面受到很大限制。例如订户识别模块(sim)应用之类的应用可在uicc上运行，以允许连接到uicc的装置与蜂窝网络进行通信。这允许来自移动/远程装置的数据的长距离传输，而无需例如直接布线、wi-fi、蓝牙等连接，所述连接全部受范围或实用性限制。随着物联网(iot)的普及，包括uicc的装置在现代变得越来越常见。

此类具有iot功能的装置的实例为环境传感器，其用作宽传感器网络的一部分,以用于监测陆地的位置或区域的状况。此类装置可以记录测量，例如一天数次，并将数据存储在装置上。然后所述装置可以例如每天一次的速率将数据传送到网络。在测量/传输循环之后，所述装置还可在短时间段内保持唤醒状态，以接收可能已发送到其的任何消息。为了节省电力，此类装置可在所述装置不进行测量或不与网络进行通信的时间段内进入低功率或睡眠状态。由于此类装置的优势在于其便携性和远程定位，因此通常无法连接到恒定电源；因此，所述装置通常由电池供电。然而，在如上所述的低功率或睡眠状态期间，所述装置仍然消耗功率。这种消耗可源于例如计时器计数下次何时唤醒装置以进入测量或通信时段，或者源于uicc电源。使此功率消耗最小化是延长所述装置电池寿命的关键。

已知在所需低功率消耗时段期间以‘时钟停止模式’为uicc供电，然而，即使在此状态下，uicc也会消耗不可忽略的电量(例如15μa)。经过很长一段时间(例如几个月或几年)，此空闲功率消耗会累积，从而限制电池供电装置的使用寿命。在具有如上所述的远程传感器的应用中，将了解，定期更换电池并不合乎需要。

例如，在etsitr131970v14.0.0中，建议在装置进入睡眠状态时使uicc断电。这允许在不需要uicc的时间段期间显著地降低功率消耗。然而，此方法有各种缺点。首先，需要所述装置在电源恢复时重新初始化uicc，这需要大量电流汲取并且会花费大量时间。其次，uicc将失去其上下文，这可能会对当时在uicc上运行的应用产生潜在影响。这里使用的‘上下文’将被理解为与uicc的当前状态和/或其当前正在运行的任何应用或进程有关的任何信息。具体来说，上下文数据可包含但不限于以下一项或多项：每一逻辑信道上的所选网络访问应用(networkaccessapplication，naa)的状态、每一naa的安全状况、每一逻辑信道的所选基础文件(ef)和记录、工具包应用的状态等。为了缓解这些问题，已提出被称为暂停/恢复(suspend/resume)循环的解决方案。

暂停操作涉及uicc生成恢复信息以及完整状态信息，并将其存储在其非易失性存储器中。所述信息在本文中通俗地称为‘上下文数据’。由于uicc的尺寸和成本受到限制，因此其功能性和处理能力也受到限制。归因于此受限的处理能力，应注意，此暂停操作可能要花费大量时间。

恢复操作涉及恢复先前存储到非易失性存储器的uicc的状态。这基本上涉及uicc的重新初始化，随后是uicc状态的重新应用。再次，归因于uicc的受限处理能力，应注意，此恢复操作可能要花费大量时间。这些大量操作持续时间进一步增加了为了特定功能向uicc供电的时间。继而，这会增加总功率要求，从而缩短装置的电池寿命。

技术实现要素：

从第一方面来看，本发明提供一种控制包括存储器和连接到其上的可移动智能卡的电子装置的方法，所述方法包括：

所述装置向所述智能卡发送对上下文数据的请求；

所述智能卡响应于所述请求将上下文数据发送到所述装置；

将接收到的上下文数据存储在所述存储器中；

减少或断开对所述智能卡的供电；以及

随后增加或恢复对所述智能卡的供电，并将所述上下文数据写回到所述智能卡。

本发明扩展到适于在以上方法中使用的电子装置，且因此从第二方面来看，本发明提供一种包括存储器和连接到其上的可移动智能卡的电子装置，所述装置被布置成：

向所述智能卡发送对上下文数据的请求；

响应于所述请求从所述智能卡接收上下文数据；

将接收到的上下文数据存储在所述存储器中；

减少或断开对所述智能卡的供电；以及

随后增加或恢复对所述智能卡的供电，并将所述上下文数据写回到所述智能卡。

例如上述装置之类的装置通常独立于其适于收纳的智能卡而出售。因此，本发明还扩展到一种包括存储器并且适于收纳智能卡的电子装置，所述装置被布置成用于：

向所述智能卡发送对上下文数据的请求；

响应于所述请求接收上下文数据；

将接收到的上下文数据存储在所述存储器中；

减少或断开对所述智能卡的供电；以及

随后增加或恢复对所述智能卡的供电，并将所述上下文数据写回到所述智能卡。

本发明还扩展到一种包括用于在电子装置上执行的软件的非暂时性计算机可读介质，所述电子装置包括存储器和连接到其上的可移动智能卡，所述软件包括用于进行以下操作的指令：

向所述智能卡发送对上下文数据的请求；

响应于所述请求从所述智能卡接收上下文数据；

将接收到的上下文数据存储在所述存储器中；

减少或断开对所述智能卡的供电；以及

随后增加或恢复对所述智能卡的供电，并将所述上下文数据写回到所述智能卡。

因此，本领域技术人员将看到，根据本发明，包括存储器和可移动智能卡的电子装置可在所需低功率消耗时段期间减少或断开对智能卡的供电。尽管据设想，在一些应用中，卡可能仍然需要少量背景电流，但优选地对智能卡断开所有供电。在这些低功率状态期间可能不需要智能卡，并且因此无需对其进行供电/完全供电。此时减少或断开对智能卡的供电可使得总功率消耗降低。

然而，通过将来自智能卡的上下文数据保存在装置上，然后再将其写回，智能卡可利用装置优良的内置处理能力快速且有效地恢复其操作，而无需由智能卡自身来提供此类资源。这减少了对智能卡进行供电所需的时间，从而进一步降低了装置的总功率消耗。智能卡可能需要的唯一过程是编译上下文数据并使其可供装置使用的过程。可避免将上下文数据写入智能卡的非易失性存储器的过程，并且因此可减少完成所述过程所需的时间。另一好处可为，仍然可使用相对便宜、简单的智能卡来实现所需节电。不需要新智能卡硬件来使本发明的实施例起作用。此外，所提出的解决方案可消除uicc非易失性内部存储器的任何潜在寿命问题。

在一组实施例中，智能卡为通用集成电路卡。智能卡为uicc意味着可简化装置的内部结构和编程，以支持与uicc相关联的标准形状和电子接口。这为装置设计者带来了各种好处，例如节省时间、减少代码开销(由于只需要单个接口)、符合国际标准等。

在一组实施例中，智能卡运行订户识别模块应用。在这些实施例中，装置被启用以与蜂窝网络进行通信。如果装置具有所需的硬件，则这能准许数据往返网络的无线传输。在例如远程传感器网络的应用中，单个装置可将其传感器的数据传输到网络，然后所述数据可在别处的不同装置上下载或可被上传到因特网。所述装置还可通过网络从其它装置接收数据。这允许对装置固件/软件的无线更新、对单个装置的特定控制(如果需要)或以其它方式将数据一般传输到装置。

在一组实施例中，装置存储器为非易失性存储器。通过将上下文数据存储在非易失性存储器中，装置可在减少对存储器供电的情况下保留数据。减少供电可能是规划好的或未规划的。在规划好减少对存储器供电的情况下，装置可通过在不需要存储器的时间段期间减少对存储器的供电来降低总功率消耗。以后可在需要时增加对存储器的供电，并且上下文数据仍将存储于其中。在未规划的减少供电的情况下，将在恢复对存储器的供电后仍存储有价值的上下文数据。

在一组实施例中，所述方法进一步包括在减少或断开对智能卡的供电之后装置进入睡眠模式。通过在减少或断开对智能卡的供电之后进入睡眠模式，装置可极大地降低其功率消耗。这有各种好处。例如，由于根据本发明的装置可为电池供电的，因此总功率消耗的降低使得电池寿命延长。对于例如在远程位置中的装置，例如网络的个别传感器，更换电池并不是容易的/可行的。因此，延长电池寿命可极大地提高此类装置的性能寿命和合意性。本发明人已经注意到，尽管由于从断开或减少供电状态对智能卡进行初始化而引起电流需求增加，但是与在装置睡眠/低功率时段期间维持智能卡电源相比，随着时间流逝向智能卡供应的总电流可减少。此优点最适用于仅需要不频繁地唤醒的装置的上下文中，因为随着时间的流逝，当智能卡电源减少/无电源供应时，节电会不断累积。

在一组实施例中，智能卡对上下文数据进行加密，随后将其发送到装置。在一些实例中，上下文数据可含有敏感信息。因此，本发明的目标是保护此信息免受黑客或其它未经授权个人的侵害。在传输上下文数据之前，智能卡可通过例如aes、rsa等标准数据加密方法对其进行加密。一旦上下文数据已从智能卡传输，装置或另一个人就无法以任何有意义的方式读取所述数据。

在一组另外的实施例中，装置创建在上下文数据的加密中使用的随机标签。例如，这可与对上下文数据的请求一起被发送到智能卡。通过使在装置上生成的随机标签与上下文数据的加密相关联，智能卡可在稍后接收到上下文数据之后验证装置的身份。这防止了个人尝试绕过智能卡上的保护机制(例如，重新初始化时所需的智能卡pin验证)的情境，所述个人通过从原始装置移除智能卡，并且尝试在第二装置上重新初始化所述智能卡来尝试绕过。

在一组实施例中，智能卡计算上下文数据的哈希消息认证码。智能卡可使用在装置上或在智能卡自身上生成的密钥来计算上下文数据的哈希消息认证码(hmac)。

在一组实施例中，在已增加或恢复供电之后，智能卡验证写回到其的上下文数据的有效性。通过验证上下文数据的有效性，智能卡可确保上下文数据未被装置或希望以某种方式操控智能卡的个人修改。在验证上下文数据时，智能卡可既验证上下文数据的数据完整性，又验证数据认证。这确保数据自身尚未被修改，并且确保数据已经从原始装置发送，所述原始装置为智能卡向其发送上下文数据的装置。可通过例如将源自终端的标签和最初与上下文数据相关联的标签进行比较，或者通过计算数据包的另一hmac来进行此验证。

在一组实施例中，在已增加或恢复供电之后，智能卡对写回到其的上下文数据进行解密。通过解密上下文数据，智能卡可利用上下文数据并恢复其原始状态。

在一组实施例中，至少装置的智能卡接口在可信执行环境中运行。通过在可信执行环境中运行，加密硬件可用于辅助控制用于与智能卡进行通信的装置的cpu和/或存储器。如果需要，装置可在可信执行环境中进一步加密/解密智能卡数据。可在装置上进行此进一步加密，以便保护上下文数据，以免个人尝试通过装置存储器来访问所述数据。

在一组实施例中，装置采用硬件抽象层固件例程。通过使用硬件抽象层(hal)固件(fw)例程，可对装置进行高级编程，以便与智能卡进行低级介接。这允许简化开发。通过使用固件例程，可将装置编程分为固件和软件，并潜在地单独写入和/或加载到装置上。

在一组实施例中，智能卡选择性地延迟将上下文数据发送到装置。例如，如果智能卡处于操作或过程的中间，则智能卡可在构造数据包以发送到装置之前完成所述操作或过程。这允许智能卡在实现装置的请求并将上下文数据发送到其之前完成并验证任何可能是紧急的或不可中断的功能。

附图说明

现将参考附图描述一个或多个非限制性实例，在附图中：

图1示出了本发明实施例中连接到uicc的装置的示意性框图。

图2示出了本发明实施例中与暂停操作相关联的事件的流程图。

图3示出了本发明实施例中与恢复操作相关联的事件的流程图。

具体实施方式

图1示出了根据本发明实施例的连接到通用集成电路卡(uicc)110的装置100。例如，所述装置可以是例如远程环境传感器的物联网(iot)装置。所述装置包括存储器102、包括加密硬件106的cpu104以及uicc电源调节器108。

uicc110是标准智能卡，其用于需要蜂窝数据网络连接的装置(例如移动电话或远程传感器)中。uicc110运行订户识别模块(sim)应用，其含有用于与网络运营商建立通信的所需简档等。然后，cpu104可用此来控制装置100上用于与网络进行通信的相关硬件。uicc110与装置100的cpu104可操作地通信。

装置100是经由例如lte、3g、gsm等连接到网络以进行数据通信的装置。如上所述，装置可为例如以预定时间间隔进行测量的远程传感器，或是需要从移动网络传输/接收数据的装置。在装置进行测量/与网络进行通信的时间间隔之间，所述装置可被配置成进入(延长的)不连续接收((e)drx)或节电模式(psm)。在这些时段期间，装置内的许多系统，例如存储器102和uicc110，都将断电以便减少功率消耗/延长电池寿命。通过在(e)drx/psm期间减少或断开对这些系统的供电，随着时间的流逝，所述装置可实现显著节电。这在电池供电的装置中尤其重要，因为这些装置的功率消耗直接影响其使用寿命。

存储器102存储装置100的指令和数据。例如，由装置100进行的任何传感器测量将存储在存储器102中。存储器102是非易失性的，这意味着可断开对其的供电，并且所存储的数据将不会丢失。存储器102与cpu104可操作地通信。

cpu104通过执行存储在存储器102中的指令来控制装置上的操作。作为软件应用的部分，当需要降低功率消耗时，可指示cpu104以使装置进入(e)drx/psm操作模式。在uicc110上运行的sim应用也能够与装置100通信，以便协商如下文进一步详细描述的暂停/恢复操作。

为了与uicc110通信，装置100利用cpu104内的可信执行环境。此可信执行环境由cpu104内部的加密硬件106辅助。为了与uicc110通信，cpu运行遵循iso/iec7816-3:2006标准的硬件抽象层(hal)固件(fw)例程。装置100和uicc110之间的此标准接口确保与多种uicc的兼容性。此外，使用在cpu104上运行的加密硬件106和可信执行环境可实现装置100与uicc110之间的安全通信。这可防止在装置上运行的外部应用访问安全数据，也可防止个人尝试从装置中提取安全数据，例如上下文数据。如果需要，加密硬件106用于在暂停/恢复过程期间对uicc数据进行加密/解密。

uicc电源108控制对uicc110的供电。在此实施例中，uicc电源108集成在装置100内，例如集成到装置100主机芯片/片上系统(soc)中。然而，可设想，uicc电源108可为装置100上在主机芯片/soc外部的板级处的分立调节器组件，或集成在装置上的模块板级处的独立电源管理集成电路内。在正常操作期间，uicc110被全供电。然而，如下文进一步详细解释，在(e)drx/psm时段期间，uicc电源108被断开。uicc电源108与cpu104可操作地通信并且由所述cpu104控制。

在进入(e)drx/psm之前，装置100与uicc110进行通信以便协商暂停操作。综上所述，由cpu104发出的暂停操作向uicc110通知装置将进入(e)drx/psm时段，并且因此uicc110将很快失去其供电。响应于暂停操作，uicc110构造上下文数据包。根据本发明，将此上下文数据包发送到主机装置100以存储在存储器102中，并且断开uicc电源108。可在下文参考图2找到暂停操作的完整描述。

在第一步骤中，cpu104执行指示装置100应进入(e)drx/psm的指令。响应于此指令，装置100还例如通过加密硬件来创建随机标签，以供稍后在暂停和恢复操作中使用。随机标签可能为四位数的代码，例如‘1234’。随机标签存储在存储器102中。通常，装置100将在其进入的每一新(e)drx/psm时段创建随机标签。

然后，装置100向uicc110请求开始暂停操作。这通过可信执行环境进行，所述环境包含cpu104上的加密硬件106。halfw例程用于请求uicc进行暂停操作，并且在此请求中，先前在装置100上生成的随机标签被传递到uicc110。如果准备就绪，则uicc110接受开始暂停操作。有可能uicc110可处于过程或功能的中间，并且因此延迟接受暂停操作直到其已结束为止。

然后，uicc110构造上下文数据包。此上下文数据包含有上下文数据和恢复信息两者。具体来说，上下文数据可能包含以下至少一项：每一逻辑信道上的所选网络访问应用(naa)的状态、每一naa的安全状况、每一逻辑信道的所选基础文件(ef)和记录，以及工具包应用的状态。恢复信息是恢复操作期间uicc110在重新初始化时使用的信息。然后，使用通过暂停请求传递到uicc110的随机标签对构造的上下文数据包进行加密。然后，uicc110使用内部密钥计算加密的数据包的哈希消息认证码(hmac)，并将其写入uicc非易失性存储器。

然后，将加密的上下文数据包发送到装置100。装置100读取加密的上下文数据包并将其存储在存储器102中。由于发送上下文数据包是uicc准备好被断开的信号，因此装置100然后经由uicc电源108断开对uicc110的供电。因此，uicc110在此状态下不消耗功率，从而节省电力并延长装置100的电池寿命。然后，装置100进入(e)drx/psm。在此模式期间，实现了进一步节电。

在退出(e)drx/psm后，装置100经由uicc电源108对uicc110重新供电。然后，在cpu104上执行恢复操作。综上所述，在未通电时段之后，恢复操作重新初始化uicc110。恢复操作涉及将先前存储在存储器102中的上下文数据写入uicc110。下文参考图3可见恢复操作的完整描述。

首先，装置退出(e)drx/psm状态，以便例如将数据传输到网络、进行测量或检查任何消息。这涉及对在(e)drx/psm时段期间进入睡眠状态/未供电的系统(例如uicc110)进行通电。这通过cpu104激活uicc电源108以接通uicc110来进行。

然后，装置100向uicc110请求开始恢复操作。如果准备就绪，则uicc110接受开始恢复操作。有可能uicc110可延迟发送此接受，例如，如果所述uicc110尚未完成执行其所有启动过程时。一旦恢复操作被接受，装置100就从存储器102检索加密的上下文数据包并将其写入到uicc110。先前生成的随机标签也和加密的上下文数据包一起被发送到uicc110。

一旦接收到，uicc110就验证加密的上下文数据包的有效性，例如通过使用与之前相同的内部密钥来计算接收到的包的hmac，并将其与所存储的hmac进行比较。验证步骤还包含使用从装置100接收到的随机标签对加密的上下文数据包进行解密。一旦解密，uicc110就可使用恢复信息以及上下文数据来重新初始化并恢复其在接受暂停操作之前所处的状态。这意味着uicc110恢复正常操作，从而允许装置100利用在uicc110上运行的sim应用，并与网络进行通信。

因此，将看到，已经描述了可在所需低功率消耗时段期间减少或断开对连接到装置的智能卡的供电的电子装置和相关联方法。应了解，本文所描述的实施例仅为示例性的，并且不限制本发明的范围。已经描述了环境传感器，但是据设想，装置可为例如移动电话、无线传感器或另外的蜂窝数据网络连接式装置。尽管已经详细描述了特定的实施例，但是本领域技术人员将了解，使用本文阐述的本发明的原理，许多变化和修改是可能的。