专利名称:一种测试数据载体可靠性的方法
技术领域:
本发明涉及一种测试数据载体可靠性的方法。本发明还涉及一种执行该方法的数据载体装置。
从EPA1 0,321,728中可获知一种已知的数据载体可靠性测试方法实例。在这种已知的方法中,数据载体由外部设备所发出的控制信号来控制,从常规方式转换到进行可靠性测试的检测方式。为此,该数据载体要有一个附加的转换逻辑,靠它根据外部信号来实现这种方式转换。然后,在检测方式中,数据载体接收外来检验数据,而这些数据是由诸如模似计算机形式的附加电路进行处理的。此时,模拟计算机便开始处理这些包含了数据载体可靠性特征的检验数据。在已知的方法中,需要退出常规方式而在数据载体的检验方式中进行可靠性测试,从而使作为标准化规程中一个标准的常规方式不受可靠性测试的干扰。但是,这意味着在每次进行可靠性测试之前都必须借助于附加的转换逻辑从常规方式转换到检验方式中。
本发明要解决的问题是,提出一种对数据载体可靠性进行测试的方法,其中可靠性检测与现行的标准化规程兼容,并可采用较简单的电路完成此功能。
这一问题通过权利要求1所述的特征来解决。
本发明的基本构思是,在数据载体开机顺序过程中,首先传送或接收可靠性测试所用的数据,其中该数据线至此时还没有定义为与外部设备进行数据交换的状态。比如,数据线可以在依据ISO/IEC 7816-3基准的开机启动过程中于一个确定时域内处在未定义状态。由于第一次传送或接收数据是在该基准规定的时域内完成的,因此不会干扰用芯片插件通信所用的标准化数据交换。所以根据本发明能用符合基准的现行规程进行测试程序。
数据载体有一个附加的专用电路,该电路在所述时域内与外部设备交换(传送或接收)可靠性测试所需的数据,在此期间数据线不必处在规程所定义的状态下。
在第一个实施例中,如在硬件中实现的数据载体识别符,可以在所述的时域内传送到外部设备。而外部设备,如读卡装置,也有一个专用电路,可接收在该时域内由该卡传来的数据,从而使该装置可以进行可靠性测试。然而,即使该装置没有这样的专用电路而且也不处于在所述时间内接收来自该卡中数据的状态下,通信规程仍不受该数据传输的干扰。因此,当在该时间内用传统装置进行卡通信时,该规程的运行不会发生错误。
数据载体集成电路中的专用电路经开发还能在所述时域内产生一随机数字,然后该数字通过数据载体的专用转换逻辑与数据载体识别符进行逻辑组合,组合出来的结果在所述时域内从数据载体传送到外部设备,但最终成为应答-重置信号(ATR)。随机数字的使用,使重复问题,即在前传送的数据被重复,可以被避免。
在另一个实施例中,外部设备,如读卡机也可以有一个用于产生随机数字的附加电路。由于转移速率较高,最好该随机数字将在所述时域内与时钟信号同步地传送到数据载体。该数据载体的专用附加电路处于接收在所述时域内传来的随机数字的状态,其连接元件不必处在所定义的状态,而且该电路至少将一部分接收来的随机数字在该时间内返还到外部设备。接下来,数据载体的专用转换逻辑在所述时域内还可以将接收到的随机数字与数据载体识别符进行逻辑组合,并将组合的结果返还给外部设备,或者最终转换成能证实随机数字被接收的ATR信号。然后,该外部设备可以使用来自数据载体的组合结果,检验该数据载体是否能检测可以在所述时域内接收所传来的随机数字、及是否能在预定时间内将其与数据载体识别符正确组合,并将组合结果传送到外部设备中。在ATR信号中所含的组合结果构成了数据载体的类别识别符,并可以用外部设备对其进行评价,而组合结果的内容构成了数据载体特征识别符。
而且其优点及优良的设计可以从本发明参照附图的描述中获得。其中,
图1表示了用于可靠性测试的数据载体装置。
图2表示了数据载体开机工作过程中的标准化信号图形。
图3a至3c表示了本发明测试程序的一个实施例,其中数据载体进行着数据传递。
图4和5表示了本发明方法的一个实施例,其中数据由外部设备传送出来,而被数据载体接收。
图6表示了一个由外部设备与测试数据载体可靠性所用数据载体构成的数据载体装置。
图7表示了保护模块,它是外部设备的一部分并用于实现可靠性测试。
图7a表示了一个由外部设备与测试数据载体可靠性所用数据载体构成的数据载体装置。
图8a表示了一个装有保护模块的数据载体。
图8b表示了图8a数据载体电子模块的截面。
图9表示了数据载体的基本书写图表。
图10表示了专用电路的一个实施例。
图11表示了另一个数据载体专用电路的实施例。
图12表示了专用电路的一部分。
图13和14表示了测试数据载体可靠性特征的流程图。
图1表示了一个数据载体装置,它以芯片卡1的方式测试数据载体的可靠性。该芯片卡通过数据线4与外部设备5,如读卡机进行联系。该芯片卡可以是一个接触式芯片卡或一个不与外部设备接触而进行联系的非接触式芯片卡。
图2表示了当数据载体按标准化,如按国际标准ISO/IEC 7816-3的方式重置时的信号图形。具体可看到接地电位GND,电源电压VCC,送出去以重置数据载体的重置信号RST,时钟信号CLK和数据线I/O。当接通电源电压且在电压稳定和在T0时刻输入时钟信号时,数据线I/O处于接收状态,以接收外部设备在T1时刻提供的重置信号RST。根据所述的标准,在T0时刻数据线I/O可以处于时域t2的未定义状态。而标准时域t2必须小于或等于时钟频率fi分出的200个时钟周期。当这个时间过去后,数据线I/O必须马上进入定义状态,而且在重置信号RST之前不能用于传送或接收数据。当在T1时刻接收了重置信号RST时,数据载体在时间t1之后用应答-重置信号ATR做应答。
图3a表示了在时域t2之内传向外部设备的第一个传输过程,如数据载体识别符KN的传输。时钟信号CLK一经输入,数据载体便自动地朝外部设备传送识别符,如序列号,这种传送最好与时钟信号同步。同步传输具有比非同步传输更高的传输速率。当然只要可能,序列号可以在时域t2内不与时钟信号同步地进行传输。在任何情况下,数据载体不仅有通常的逻辑与存储单元而且还有专用电路,它可以在所述时间内完成这种快速的传送。根据标准命令,此后外部设备可以从数据载体的存储器中读出序列号,并将它与数据载体送来的序列号进行比较。如果借助于专用电路从数据载体传送来的序列号与数据载体存储器的一读出值相吻合,则显然数据载体能检测可以在时域t2内快速传送可靠性测试所必需的数据。这一特性是一个可靠性的特征,它无法由现有数据载体,即没有这种专用电路的数据载体来完成。
图3b所示方法的步骤是图3a所示方法的继续,识别符KN可以按“异-或”方式与数据载体产生的随机数字RND组合,与该随机数字RND的组合结果被传送到外部设备。随机数字RND在时域t2内产生。与随机数字RND组合的结果也最好在时间t2内传送。但是,如图3c所示,也可以在数据载体的应答-重置信号中传送组合结果和随机数字,比如在ATR信号的历史符中传送。然后,外部设备可以根据常规规程的运行,在后面的鉴别步骤中再次将接收到的随机数字与相同逻辑操作自数据载体中读出的识别符KN相组合,并把组合结果与从数据载体输出经ATR传送的组合结果进行比较。随机数字的使用可以消除重复问题,即重复在前记录数据的危害。
图4表示了本发明方法的另一个实施例。在第一方法的步骤中,外部设备在时间t2内将可含8个字节的随机数字RND传送到数据载体上。最好与时钟信号同步地进行数字传输,当然也可以不同步。在时间t2内,数据载体至少将接收到的随机数字中最后的字节R8′传送回外部设备中。然后,外部设备将其产生的随机数字最后字节R8与从数据载体接收的字节R8′相比较。如果它们相符,则数据载体就能够正确地接收传送来的随机数字并将至少其中一部分返回。数据载体能很快地接收数据这一情况是一个可靠性的表征。当然数据载体也可以将t2时间内接收到的全部随机数字传送回外部设备,而不只是其最后一个字节的随机数字。这种传送也可以通过ATR信号完成。
此外,t2时间内从外部设备接收到的随机数字RND,可以通过逻辑运算与由数据载体专用转换逻辑表示的数据载体识别符KN组合。作为逻辑运算,例如可采用一种对随机数字进行的,以识别符为多项式除数的多项式模数除法。这种逻辑运算对本领域技术人员来说是熟知的。因此本文不再做详述。以这种方式与数据载体随机数字组合的识别符KN,在t2时间内或者以数据载体ATR信号的形式传送到外部设备。两种形式均可。外部设备通过反函数的逻辑运算,再次从随机数字与识别符组合结果中获得经数据载体接收过的随机数字,外部设备再将其与外部设备产生的随机数字相比较。如果它们相符,则表示数据载体,尤其是数据载体的专用电路显然能够很快地接收和组合随机数字,并在t2内或在最后以数据载体ATR信号的形式、如历史符的形式、将组合结果传送至外部设备。
图5表示了另一个实施例,其中由外部设备传出的含几个字节的随机数字在t2时间内被数据载体接收,进而根据随机数字的长度或者全部随机数字或者传送出随机数字的至少最后一个字节将与数据载体识别符KN进行异-或组合,然后在t2时间内或以ATR信号的形式把组合结果连带着数据载体识别符一起传送到外部设备。外部设备接着再对接收到的识别符KN与所产生的随机数字RND做相同的逻辑运算,并将外部设备所做的组合结果与从数据载体接收到的组合结果进行比较。
对于图3至5的描述可见为了测试数据载体可靠性特征,外部设备必须进行外部设备与数据载体间常规通信之外的运算操作。比如,如上所述外部设备向数据载体传送一个在载体内将与识别符逻辑组合的随机数字,并在外部设备中检验该逻辑组合的结果。
可以在初始就为外部设备设计一种微处理器单元,使它能够进行数据载体可靠性特征测试所必须的运算操作。在外部设备中已使用的微处理器没有按这种方法制做。不过,如若这样的外部设备被用于数据载体可靠性特征的测试,除了它的处理器之外,它还有能为测试工作提供具有保护模块的外部设备的特殊优点。许多已实用化的外部设备都具有至少一个附加引出端,以便加入至少一个附加模块,因此不必一定采用专门适配的外部设备。这些端口不能从外面轻易触及。因此,把测试可靠性特征所必须的功能装入单独的保护模块内也不存在安全问题。
在特别优选的实施例中,保护模块可以做成象数据载体一样的芯片卡,由于大多数外部设备的空间局限,它适宜被做成一个插件(即比标准芯片卡尺寸小的一种芯片卡)。
图6示意性地表示了用于测试芯片卡1形式的数据载体可靠性的数据载体装置,其芯片卡1与外部设备5相互联络。这里仅示出了理解下面叙述所需的组件间连线。在外部设备5中包含有微处理器单元9和保护模块11。为了数据载体1与外部设备5之间的联络,首先接通微处理器单元9,然后鉴别数据载体是否放在外部设备5中。接着由微处理器单元9接通保护模块11并请求测试数据载体1的可靠性特征。这可以通过加载着有定义信号的控制线ST1和ST2来完成,该信号对应于请求,比如控制线ST1和控制线ST2上的逻辑1。保护模块11中随之产生一个随机数字,在微处理器单元9请求之后首先将其存储在保护模块11中。该请求可以再通过加载有定义信号的控制线ST1和ST2来发生,该信号可以是控制线ST1上的逻辑0和控制线ST2上的逻辑1。
随机数字存入保护模块11后,微处理器单元9接通数据载体1,如前述应于图2的说明部分所述。当给数据载体1加上电压,且电压稳定和T0时刻给数据载体1加上时钟信号时,通向数据载体1的数据线I/O处于接收由微处理器9送至数据载体的重置信号RST的接收状态。在T0时通向数据载体1的数据线I/O可以处于时域t2期间的未定义状态,正如对应于图2的说明部分所示。时域t2被用来借助于保护模块11测试数据载体1的可靠性特征。
为此,保护模块11在微处理器单元9接通数据载体1并发出请求之后,通过I/O将前述存储的随机数字送至数据载体1。传送随机数字的请求还是由加载着有定义信号的控制线ST1和ST2发生,该信号对应于所述的请求(如控制线ST1上为逻辑1而控制线ST2为逻辑0)。
在数据载体1中,传来的随机数字在时域t2内与识别符KN逻辑组合,且组合结果与识别符KN一道由数据载体1传送回外部设备5的保护模块11。
在保护模块11中,传来的识别符KN的数据载体1中相同的方式与该随机数字逻辑组合,且其组合结果与由数据载体1传来的结果作比较。结果相吻合,证明数据载体1可靠。保护模块11向微处理器单元9发出一个相应的信息,于是外部设备5与数据载体1之间开始实际通信联系。
尽管对应图6所描述的可靠性特征测试事实上很象对应图4所述的测试,但保护模块11实际上还可以用于实现各种不同方式的可靠性测试(比如图3和图5所示的)。保护模块11还应适用于数据载体1的特殊可靠性特征测试。
图7表示了保护模块11构成情况的示意图。与图6一样,图7仅示出了便于理解所必需的各组件之间的连线。在此实施例中,保护模块11有一个由单独的集成电路构成的微处理器单元13。而且保护模块11还有一个与微处理器13相连接的集成电路15。集成电路15有一个尽可能简单的结构,以便可快速方便地驱动,并快速地测试数据载体1(未示出)的可靠性特征。
集成电路15适宜有一个硬件逻辑,它可以由微处理器单元9通过控制线ST1和ST2(参见图6)快速简便地控制。具体如下述控制信号-控制线ST1为逻辑0,控制线ST2为逻辑0表示不测试可靠性特征,-控制线ST1为逻辑1控制线ST2为逻辑1表示测试可靠性特征,-控制线ST1为逻辑0。控制线ST2为逻辑1表示保护模块11产生的随机数字应首先存储在集成电路15的寄存器中(参见图6),-控制线ST1为逻辑1,控制线ST2为逻辑0表示上述寄存器内容,即随机数字,应传送到数据载体(仍参见图6)。
于是,两控制线ST1和ST2可以完成集成电路15的控制和保护模块11的外部控制。
下文将讨论集成电路15与标准微处理器13之间的内部通信。当集成电路15接收到微处理器单元9关于测试数据载体可靠性特征的请求之后,集成电路15根据符合ISO(ISO/IEC 7816-3)的开机顺序接通标准微处理器13。该开机顺序是本领域技术人员所熟知的而且前文对应图2已做简要说明,因此这里不必详细讨论。
标准微处理器单元13随之产生一个随机数字,并传送至集成电路15存储在其中的前述寄存器之中。在微处理器单元9发生请求之后,存储的随机数据被送到数据载体1,并如对应图6的前文所述那样在该载体处被逻辑组合。然后数据载体1将测试可靠性特征所必须的信息传送到保护模块11,如前述图6说明部分所示的那样。传来的信息存储在集成电路15的暂存寄存器内。然后标准微处理器13从集成电路15中请求所存信息并检验获得的随机数字(见前文)。
结合图7解释了保护模块11有两个能实现所述功能的集成电路。显然也可以将两个集成电路组合成一个集成电路,或者用一个带有微处理器单元的集成电路,它仍由微处理器单元9发生的特定命令驱动并独立测试可靠性。但是用微处理器命令进行这种驱动是一种比前述通过控制线ST1和ST2集成电路15的控制更费时的方式。
图7a表示了保护模块11只有一个集成电路的实施例。该集成电路有一个微处理器单元,以使其能够完成测试可靠性特征所必须的功能。微处理器单元9,保护模块11,外部设备5和数据载体1之间的通信实际上如对应图6的说明那样进行,因此下文仅讨论其不同之处。
微处理器单元9通过I/O1驱动集成电路15。于是测试可靠性特征所必需的微处理器命令通过I/O1传送。相应的命令如前述图7的说明部分。只是在该实施例中如图6所示配置的是控制线ST1和ST2。
由保护模块11的集成电路15送到数据载体1的数据,也与图6中所传送的数据相对应。这些数据通过集成电路15上的集成电路芯片卡商品固有的接口I/O2,传输到数据载体的接口I/O1。在此情况下,从微处理器单元9到集成电路15的命令传输路径,与从集成电路15至数据载体1的数据传输路径是彼此分开的。当然也可以如图6所示那样,从集成电路15的接口I/O1到数据载体的接口I/O1传输数据。
图8a表示了一个放大的而非真实尺寸的可插芯片卡17,其中装有电子模块19形式的保护模块11。小型芯片卡17插在外部设备5的前述引出端之一中,以便即可借助于芯片卡17测试数据载体1的可靠性特征(见图1)。
图8b表示了沿图8a所示AA线的电子模块放大的非真实尺寸的截面。这种电子模块的结构可从现有技术(比如从EPO,299,530B1)中获知,因此这里不做详述。电子模块9包含有标准微处理器单元13和集成电路15,两者都与接触表面21电连接。两集成电路适宜如图8b所示那样叠放,当然也可以彼此并排放置。在加上相应电压之后,两电路可以通过接触表面21相互传递信号并能与微处理器单元9通信。组件间的通信次序已在前说明过了。
现在解释了外部设备5与数据载体1之间的通信及外部设备5的内部通信,下面将讨论数据载体1本身。
图9所示的数据载体1不同于常规的数据载体,比如带有一个微处理器,在其中除了通常的微控制器3之外,还有一个用来传送和接收数据并能将该数据与硬件实现的数据载体识别符,如序列号,相组合的专用电路2。该数据载体识别符可以在集成电路制作过程中作为该集成电路中专用电路的硬件特征,通过烧熔制出。这种识别符的硬件实现可以如尚未公开的专利申请PCT/EP/93/03668所述的那样。除了该申请所述的实例之外,识别符也可以在基片生产过程中用激光切割机烧制出熔丝来获得,因此该熔丝永久设定在一个定义的逻辑状态下。
硬件实现识别符的其他办法是在产生集成电路的硅片上的某一区域内形成一个非晶硅区,用此区域作熔凝区。非晶区是不导电的,但是让足够大的电流通过此区域将能够将其变成晶体性导电硅。因此,非烧制的熔凝区是电介质而烧制的熔丝则是导体。由非晶硅区形成识别符熔凝区有一个特殊的优点,即非晶硅与晶体硅不能从光学上区别。因此数据载体识别符不能被光学方法探查出。
数据载体的微控制器3也可以在所示的结构中直接与专用电路2联络。比如当专用电路2计算出的结果作为ATR信号的一部分诸如历史符要被传送到外部设备时,微控制器3可以读出专用转换逻辑2计算出的组合结果。但是专用电路2在时域t2内也可以直接通过数据线I/O将组合结果传送到外部设备而不必借助于微控制器3,这是因为专用电路2直接与GND(地线)、Vcc(电源)、重置、时钟及I/O数据线连接的缘故。这种数据载体硬件结构可以进行数据的快速传送或接收,并能使数据载体识别符与数据的组合在所述的时间t2内完成。除了I/O线之外,专用电路2还可以与两个未示出的RFV线(反向备用线)之一相连。作为数据载体可靠性特征的该专用电路的装备,防止了该可靠性测试法被现有的数据载体模仿或仿制,比如被后来者采用微处理器,或借助于外部逻辑电路实现。
图10表示了数据载体专用电路2的主要部分,它可以用数据载体识别符做除数多项式进行随机数字的多项式模数除法。专用电路2包括32位XOR(异或)门,32位AND(与)门,1个NEG(非)门及移位寄存器A。而数据载体的该集成电路带有熔丝(未示出),它们是在基片制作过程中用激光切割机制定在一个确定逻辑状态的。这些熔丝可以用于以硬件特征方式形成识别符,而且寄存器B包含着设定熔丝的逻辑状态的组合。由外部设备传送的随机数字RND装在移位寄存器A中,而逻辑门被用于借助寄存器B在寄存器A中实现随机数字比特位置的多项式模数除法操作,其中寄存器B由数据载体识别符,如序列号,来确定。
图11表示了数据载体专用附加电路2的另一个实施例。在此实施例中,由外部设备传送的随机数字RND被送至第一移位寄存器SR1,数据载体识别符KN包含在寄存器B中。数据载体识别符可以由两部分组成,第二部分是第一部分比特顺序的“非”。随后随机数字RND与时钟信号同步地和识别符诸如序列号进行“异或”组合。当利用适合的计数器获知组合已完成时,组合结果与识别符一起与时钟信号同步地传到第二移位寄存器,并传回到外部设备。这些最好在时域t2内完成。
从上描述可见,数据载体1的专用电路2中所含的识别符对数据载体的可靠性测试很重要。如果它是数据载体特征识别符,则可以通过改变识别符仿制出另一种特征。因此,使数据载体1识别符不易被仿制是尤为重要的。
如果数据载体识别符是通过烧熔作为硬件识别符实现的(见关于图9的说明),则该识别符可用一个图12所示电路保护起来防止仿制,该电路是专用电路2的一部分(见图9)。图12表示了32个熔丝,它们或是烧制的,如熔丝1和2,或是未烧制的,如熔丝32。烧制的熔丝对应于逻辑1而未烧制的熔丝对应逻辑0。熔丝1至32代表数据载体识别符。1至32熔丝的每一个都对应着一个互补熔丝,此互补熔丝处于对应熔丝的互补状态(即烧制熔丝的互补熔丝是未烧熔丝,反之亦然)。对应于熔丝1的互补熔丝1是未烧制的,因为熔丝1被表示为烧制的。对应于熔丝2的互补熔丝2亦然。相反地,由于图12中熔丝32是未烧制过的,所以互补熔丝32是烧制过的。
图12所示的“异或”门23检验与一熔丝对应的互补熔丝是否确实处于互补状态。分别与熔丝及其互补熔丝逻辑状态相对应的门输入端27和29如果处在互补状态,则门23在其输出端25仅显示逻辑1。
最后,“与”(AND)门31检验连到“与”门31输入端的“异或”门23的所有输出端是否都是逻辑1。在这种情况,“与”门31的输出为逻辑1,否则为0。当“与”门31表示为逻辑1时,即可确认每个熔丝的互补熔丝都在其正确的状态中。数据载体的专用电路2被设计成,只有识别符是真的,即“与”门31输出端为逻辑1时,识别符才能用于数据载体的可靠性测试。
如果数据载体1的识别符是为欺骗目的而伪造的,则确定识别符的熔丝1至32的状态,必然至少一部分在另一种状态下。图12所示电路中,如果熔丝32被烧过,以仿制识别符,这会使其显示为逻辑1状态。此时互补熔丝32的烧灼情况会被破坏,但这会使其显示逻辑0状态,而与熔丝32及互补熔丝32相对应的“异或”门23在输出端25还会显示逻辑1。如果互补熔丝32没有被破坏,则“异或”门23将在输出端25显示逻辑0,且“与”门31的输出也显示逻辑0,于是便显示出识别符是伪制的。
可以用这样的方法制作熔丝,即制出用正当手段不能破坏的烧灼,从而使专用电路2及数据载体1的识别符得到很好地保护,而不被欺骗性地仿制。
上述叙述主要涉及了用外部设备5对数据载体1的可靠性特征进行的测试。可靠性特征作为一个单独的硬件电路被形成在数据载体的集成电路上。如果该可靠性特征能够被外部设备检验通过,则证明数据载体1是一个内部可靠的数据载体。对于数据载体的大多数应用而言,确认数据载体集成电路中所含的特定数据是否已被仿制是很重要的。对包含在数据载体1的集成电路中的数据所做的这种检验也可以用图13实例所示专用电路2所含的可靠性特征按优选的方式来完成。
图13左边一列对应于外部设备5,并表示了包含有存储于外部设备5中用于执行下述算术运算的变量的区域33。即在一个特殊的主关键字KM中,而图13左边一列包含了外部设备中进行的全部算术运算。
图13的中间一列对应于数据载体1的专用电路2(见图6),且区域35包含有用于执行下述算术运算存储于专用电路2中的变量。这些都包含在特殊数据B和C中,信息B可以是一组数字,而信息C可以是数据载体的卡号或其他识别符。而且图13的中列包含着那些由专用电路2执行的算术运算。
图13的右列对应于数据载体1的控制器3(见图6),且在区域37中包含着那些存储于微控制器3中用于执行微控制器中下述算术运算的变量。即,在对应于数据载体的特殊关键字KICC中,该主关键字是主关键字KM及数据B和C的函数。关键字KICC在数据载体1的生产过程中总是存储在微控制器3中的。
当外部设备5与数据载体1通信时,如前多次所述,首先要检验数据载体1的可靠性特征。为此目的,外部电路5产生的随机数字R1首先由外部设备5传送到专用电路2(见图13最左侧所示步骤中的步骤1)。在专用电路中,随机数字R1与数据B和C逻辑组合形成结果A(见步骤2)。数据A,B和C在步骤3中由专用电路2传送到外部设备5。然后传来的数据B和C在外部设备5中与存储在那里的随机数字R1逻辑组合成结果A′(见步骤4)。在步骤5中,信息A′与由专用电路2传送的信息A比较。如果两者相符,则由于外部设备正确检验出可靠性特征,而确认数据载体1是系统内部可靠的数据载体。
在步骤6中,在专用电路2中算出的信息A被传输到数据载体1的微控制器3(见步骤6)。在微控制器3中,将函数g用到采用关键字KICC的信息A上,且该结果是关键字KS适用于这种特殊通信(见步骤7产生的随机数字R1通过信息A进入关键字KS,从而关键字KS实际上每次通信都是变化的)。
然后外部设备5把其中产生的随机数字R2传送到数据载体1的微控制器3(见步骤8)。在微控制器3中,函数g用到采用关键字KS的随机数字R2上,以产生结果x(见步骤9)。结果x由微控制器3传输到外部设备5(见步骤10)。
在外部设备中,数据载体关键字KICC,借助于外部设备5中存储的主关键字KM,从步骤3传送来的数据B和C中被计算出来。算出的数据载体关键字KICC这时可用于从信息A中计算现行关键字KS,该信息A是在步骤3传到外部设备中的(见步骤12)。最后,从用关键KS产生的随机数字R2中算出信息X′(见步骤13),所述信息最终在此与微控制器3传送来的信息X比较(见步骤14)。
如果数据X′与X相符,则外部设备5可证明数据载体1的专用电路2能够与数据载体1的微控制器3通信联络,这是因为只要在步骤6,专用电路2预先把正确的信息A传送到微控制器3中,数据载体1的微控制器3就能正确地算出信息X。因此,不会提供一个专用电路2与微控制器3不连接的不可靠的外系统数据载体。
而且用外部设备5可以证明数据载体1的专用电路2与微控制器3是一体的,因为只要专用电路2与微控制器3是一体的,则微控制器3含有与专用电路2相同并对应于数据载体关键字KICC的数据B和C。只有此时,微控制器3中才会算出与外部设备5中相同的信息X。
由于专用电路2与微控制器3一体是由外部设备证实的,因此不会提供一种带有假冒和仿制的数据载体识别符及系统接纳符的专用电路2的根本不可靠的外系统数据载体。
而不能为欺诈目的在可靠的系统内部数据载体的微控制器3中伪制数据B和C。一方面,由于数据载体关键字KICC可以在外部设备5中由微控制器3中所存数据B和C算出任意次,且能与存储的关键字KICC比较,所以要采用数据载体关键字KICC。而伪造品由于没有主关键字KM,所以不能采用它。另一方面,由于外部设备5和微控制器3会计算出不同信息X,因此也有必要改变专用电路2中的数据B和C。但是,专用电路2中数据B和C可以很好地保护不被仿制,如对应图12的说明。
数据B和C可以是例如,一组数字和各芯片号,或者是卡持有者的个人数据,如姓名,帐号等等。如果仅使用数据B或C而不是数据B和C,上述测试程序显然也能执行。
图14表示如何采用非对称编码算法证明数据载体1的专用电路2与微控制器3是一体的。图14与图13一样,是一个结构示意图,即区域33,35和37表示存储于相应组元中的信息。而且与上述图13中步骤1至5的描述部分一样,数据载体1的可靠性特征的测试是由外部设备5完成的。因此不再重复讨论。
测试了数据载体1可靠性特征之后,专用电路2把信息A传送到数据载体1的微控制器3(参见图6);在步骤7,在外部设备5产生随机数字R20步骤8,在微控制器3中从利用数据载体1的保密关键字SKICC的数据A,B和C及随机数字R2中得出证明符ZER2。证明符ZER2与存储于微控制器3中的证明符ZER1一起传送到外部设备5中(步骤9)。数据载体1的标识符ID,数据B和C及公开关键字PKICC,从用原则Z的公开关键字PKz的证明符ZER1中算出(见步骤10)。然后,随机数字R2′和信息A′,B′和C′从用刚得到的数据载体公开关键字PKICC的证明符ZER2中算出(见步骤11)。最后,在步骤12中,让刚得到的随机数字R2′与外部设备5产生的随机数字R2相比较,而让刚得到的数据A′,B′和C′与步骤3传送来的数据A,B和C比较。
如果比较的结果是肯定,则可以证明专用电路2处于与微控制器3保持通信的状态(见步骤6),而且还可证明专用电路2与微控制器3是一体的。另外,由于存储于数据载体1的专用电路2和微控制器3中的数据B和C不同,步骤12中比较的数据也会不相符。
还可以进一步证明,存储于微控制器中的数据B和C不曾被仿制,否则所得信息将不再与证明符ZER1中存储的数据B和C相符。在步骤12中测试这些数据的相符与否,可获知哪个伪造品。那时这些数据在步骤12的测试中,将不再与专用电路2中存储的数据B和C相符。如果用非对称编码法,则数据B和C会很好地被保护起来而不被仿制。
对应图13和14所述的操作由外部设备5来执行,它也能适宜用图6至8所示的保护模块11来完成。
权利要求
1.一种测试数据载体可靠性的方法,该数据载体至少有一个带有记忆单元和逻辑单元并通过数据线与外部设备交换数据的集成电路,数据载体从外部设备中接收操作所必需的操作和控制信号,其特征在于该集成电路还带有一个在规程规定的开机顺序过程中传输和/或接收数据并用于可靠性测试的单独硬件电路,对用于可靠性测试的数据的第一次传送或接收,要在开机顺序的一个确定时间域内完成,在此确定的时间顺序内数据线没有规程定义的状态。
2.如权利要求1的方法,其特征在于开机顺序根据标准化规程ISO/IEC 7816-3进行,数据的第一次传输或接收在该规程规定的时域t2内完成。
3.如权利要求2的方法,其特征在于数据在t2时域内由外部设备传输,由数据载体接收,且接收的数据同样由数据载体在t2内和/或按规程定义的数据载体应答-重置信号的方式传输回外部设备。
4.如权利要求3的方法,其特征在于从外部设备接收的数据在数据载体中与数据载体识别符组合,且组合结果在t2时域内或以应答-重置信号方式传送回外设备。
5.如权利要求4的方法,其特征在于与数据载体识别符组合的结果由数据载体传送到外部设备,以进行可靠性测试。
6.如权利要求4的方法,其特征在于由外部设备传送的数据是它产生的随机数字,数据载体将其与数据载体识别符进行异或组合操作,或者以识别符作多项式除数对随机数字进行多项式模数除法操作。
7.如权利要求3的方法,其特征在于从外部设备接收到的数据通过数据载体专用电路与数据载体识别符组合,组合结果(A)在时域t2内或以应答-重置信号方式传回外部设备,且组合结果(A)另外被传输到数据载体集成电路的逻辑单元。
8.如权利要求7的方法,其特征在于传到逻辑单元的逻辑组合结果(A)被逻辑单元传到外部设备,并在外部设备中测定出其通过专用电路传到外部设备的结果(A)之预定关系。
9.如权利要求8的方法,其特征在于逻辑组合结果(A)与数据载体逻辑单元中的数据进一步组合成结果(X),将逻辑组合的结果(X)传送到外部设备,把从专用电路得到结果(A)与外部设备中的数据进一步组合成结果(X′),在外部设备中测试出结果(X)和(X′)的预定关系,该关系可证明如果该预定关系正确,结果(A)可以被专用电路正确传送到数据载体的逻辑单元并能在那里进行正确的逻辑组合。
10.如权利要求9的方法,其特征在于外部设备把数据传送到数据载体的逻辑单元,它们在那里与结果(A)逻辑组合成结果(X),在外部设备中进行与数据载体逻辑单元中相同的逻辑组合,以形成结果(X′),以及在外部设备中测试结果(X)和(X′)是否相符。
11.如权利要求8至9之一的方法,其特征在于结果(A)在数据载体的逻辑单元中与其记忆单元中所存储的数据逻辑组合成结果(X),数据载体专用电路传送数据到外设备,结果(A)在外部设备中与专用电路所传送的数据组合成结果(X′),逻辑单元传送的结果(X),在外部设备中受检验以确定其与该设备所算出的结果(X′)之预定关系,这可证明如果预定关系正确,则数据载体记忆单元中所存储的数据与专用电路中所存数据满足预定关系。
12.如权利要求2的方法,其特征在于数据载体在t2时域内向外部设备传送一数据载体识别符,该识别符随之接受外部设备的鉴定,以测定数据载体的可靠性。
13.如权利要求12的方法,其特征在于数据载体将其识别符与数据载体产生的随机数字组合之后传送至外部设备,以进行数据载体可靠性的测试。
14.如权利要求1至13之一的方法,其特征在于可靠性测试所用数据与外部设备传送到数据载体的时钟信号同步地传送。
15.如权利要求14的方法,其特征在于可靠性测试时的数据传输,与外时钟频率的倍数同步进行。
16.用于实现权利要求1方法并带有一数据载体的数据载体装置,其数据载体有至少一个带记忆单元和逻辑单元并通过数据线与外部设备交换数据的集成电路,该数据载体从外部设备接收操作数据载体所必需的操作与控制信号,而该外部设备具有至少在数据载体记忆单元部分区域内进行读和/或写的通道,其特征其于该集成电路还带有一个在根据规程定义的开机顺序内,用于传送和/或接收数据并用于可靠性测试的独立硬件电路;独立的硬件电路在开机顺序的确定时域内第一次传送或接收用于可靠性测试的数据,而与数据载体的记忆单元及逻辑单元无关,在所述的确定时域内数据线的状态不是由规程确定的状态。
17.如权利要求16的数据载体装置,其特征在于独立电路有一个用硬件实现数据载体的识别符。
18.如权利要求17的数据载体装置,其特征在于数据载体识别符用熔丝实现,至少一部分熔丝是烧过的,而且识别符的每一个熔丝都有一对应的互补熔丝,互补熔丝处于与对应熔丝互补的状态。
19.如权利要求18的数据载体装置,其特征在于专用的独立电路有一个测试与每个熔丝相关的互补熔丝是否处于合适状态的电路,而且只有当所有熔丝及与其对应的熔丝都处于合适状态时,数据载体识别符才可读。
20.如权利要求17至19之一的数据载体装置,其特征在于数据载体的独立电路在规程ISO/IEC 7816-3规定的时域t2内,向外部设备传送数据载体识别符。
21.如权利要求17的数据载体装置,其特征在于数据载体的独立电路产生一个随机数字,并将其与数据载体识别符组合。
22.如权利要求17的数据载体装置,其特征在于数据载体的独立电路将自外部设备接收到的随机数字与数据载体识别符组合。
23.如权利要求16的数据载体装置,其特征在于外部设备有一个微处理器单元和一个保护模块,该保护模块由微处理器单元驱动,而且权利要求1至15的数据载体可靠性测试方法由该保护模块实施。
24.如权利要求23的数据载体装置,其特征在于保护模块直接与数据载体专用电路连接,且数据可在保护模块与专用电路之间直接和双向交换。
25.如权利要求22至24之一的数据载体装置,其特征在于保护模块直接与数据载体的逻辑单元连接,且数据可以在保护模与专用电路之间直接和双向交换。
26.如权利要求22至25之一的数据载体设置,其特征在于保护模块是一个插在外部设备一个引出端中的芯片卡。
全文摘要
一种测试数据载体可靠性的方法,该数据载体具有至少一个带记忆单元的逻辑单元的集成电路,及一个用于与外部设备进行数据交换的数据线。本发明的特征在于其集成电路还带有一个在开机顺序时传递和/或接收数据的独立硬件电路,它在开机顺序中数据线尚未定义状态的确定时域内完成第一次数据传送或接收。
文档编号G06K19/10GK1131991SQ95190730
公开日1996年9月25日 申请日期1995年6月2日 优先权日1994年6月6日
发明者迈克尔·拉姆拉, 沃尔夫冈·兰克尔, 弗朗兹·韦克曼, 沃尔夫冈·埃芬 申请人:吉赛克与德弗连特股份有限公司