專利名稱:用于操作裝置的裝置和方法
技術領域:
本發(fā)明涉及操作裝置的一種裝置及方法。
技術背景智能卡或芯片卡可以是嵌入在信用卡尺寸的卡中或甚至像GSM 卡的更小尺寸卡中的微小安全加密處理器����。智能卡通常不包含電池, 而是由讀卡器/寫卡器供電�,也就是說�����,由控制讀取智能卡數(shù)據(jù)或寫 入智能卡數(shù)據(jù)的智能卡功能性的讀和/或寫裝置供電����。智能卡一般用于金融�、安全接入和運輸領域。智能卡通常包括 高安全處理器���,其作為儲存諸如持卡者數(shù)據(jù)(例如��,姓名���、賬號、累 積信譽點數(shù))的數(shù)據(jù)的安全存儲裝置����。只有當把該卡插入到讀取/寫入 終端時,才有可能訪問這些數(shù)據(jù)��。將用戶接口功能直接集成進智能卡中是一項挑戰(zhàn)性工作���。例如����, 可以將顯示器集成進智能卡中以便為用戶顯示信息?��;蛘?����,可以在 智能卡中包括按鍵以便用戶輸入數(shù)據(jù)。將智能卡故意設計為不具有為用戶提供交互能力的人機接口�����。 用戶交互的缺乏既反映在已知智能卡的硬件設計中也反映在已知智 能卡的軟件設計(操作系統(tǒng))中����。缺乏薄、柔韌的顯示器技術以及對智能卡的強安全要求是驅動 這種有意識選擇的原因?���,F(xiàn)今,由于出現(xiàn)了薄����、柔韌的顯示器技術��, 嚴格的安全規(guī)則和程序為實現(xiàn)用戶交互帶來困難�����。因為安全規(guī)則要 求每個系統(tǒng)組件都必須處在例如就安全性和可靠性而言的專門程序 的管制下��,所以從消費電子裝置和個人計算機裝置引入API(應用編 程接口)很困難�。這要求在開發(fā)或改變任何芯片卡處理器組件或軟件 組件時��,在工業(yè)接受的長時間處理后還有長時間的認證過程�����。
下面將參考圖1說明集成有當前技術顯示功能的智能卡100�。 該智能卡IOO包括了其上形成集成電路的塑料襯底101,該集成電路提供智能卡功能����。在該智能卡的安全域或處理器102(安全IC處理器)中,提供了 高級別的安全�����,安排有卡管理單元103(其可以是邏輯單元,可以是 當接收到應用協(xié)議數(shù)據(jù)單元APDU時運行的軟件程序)���,其適于與多 個應用單元104通信����,每個應用單元包含服務不同應用所需的數(shù)據(jù) 和命令�����。提供了一個操作系統(tǒng)105����,其包含用于操作該智能卡100 的軟件。此外�����,提供了多個驅動器單元106��,每個驅動器單元用于驅 動相關的硬件單元107�����。將該智能卡100設計用于與作為主控的智能卡讀取和寫入終端 108進行通信����。通過根據(jù)ISO 7816的應用協(xié)議數(shù)據(jù)單元(APDU)交換 來進行終端108和智能卡100之間的通信?����?ü芾砥鲉卧?03與特 定一個應用單元104交換APDU��,以便實現(xiàn)相應的一個應用���。該智能卡100的內部結構與標準(類似個人計算機)結構相似���,可 以用眾所周知的分層模型說明。就硬件單元107來看���,這些單元可 以包括處理器�、存儲器���、外圍設備以及幾個直接與低級別驅動器一 起工作的加密/解密協(xié)處理器���。驅動器單元106形成操作系統(tǒng)層(OSL) 的一部分。OSL為應用提供了硬件功能的提取并且提供常被應用重 用的附加功能�。操作系統(tǒng)105也負責上電期間的芯片初始化�。在操作系統(tǒng)的頂端�,可以運行供應者專用應用,在圖1中將其 示意性示為應用單元104���。因為類似智能卡100的智能卡通常與類似 智能卡讀取和寫入終端108的終端一起使用��,所以采用了類似主控-從屬的通信行為�����。這就意味著終端108通過把應用協(xié)議數(shù)據(jù)單元 (APDU)發(fā)送給處理器102來發(fā)起與智能卡100的通信��。使用APDU 中地址字段的卡管理器103可以識別應進行到哪個應用單元104���。接 收到該信息后,被尋址的應用執(zhí)行所要求的動作并且以狀態(tài)/數(shù)據(jù)對 終端108作出響應�����。該通信方案要求����,對于復雜應用來說����,終端108 和智能卡100都必須存儲通信的實際狀態(tài)��。除了上述組件及其功能���,智能卡100包括允許智能卡100的用
戶接口功能的擴展。出于此目的��,在不涉及安全域102的智能卡一部分中���,可以提 供按鍵112和顯示硬件113�����。為使用戶通過按鍵112輸入命令與智能 卡100進行交互�,按鍵112和在硬件單元107的級別上以及安全域 102中安排的顯示接口單元111之間有連接���。此外�����,在驅動器單元 106的級別上提供顯示驅動器單元110�,以使用戶可視化地感知到顯 示在顯示硬件113上的數(shù)據(jù)�����。在圖1所示的智能卡100中,由顯示 器113和按鍵112提供顯示功能或用戶接口功能��。此外�����,對操作系 統(tǒng)105有必要進行擴展和適應修改�����,其示意性示出為圖1中的操作 系統(tǒng)擴展109���。在實線示出的標準方框旁邊�,智能卡100包括了用點化線標記 的附加方框110�、 111、 112����、 113。這些附加方框提供了用戶接口功 能�?����?梢钥吹剑砑恿司哂邢鄳@示驅動器110的新硬件組件111�����, 并且對操作系統(tǒng)105進行了功能擴展����,以便將顯示功能API提供給 根據(jù)應用單元104執(zhí)行的應用。然而�,如圖1所述的智能卡實現(xiàn)具有一些缺陷。首先�,操作系統(tǒng)105要求以操作系統(tǒng)擴展109的形式進行修改。 這就引起了開發(fā)成本和認證成本����。另外,由于這些修改干預了智能 卡的安全域IOI���,所以會出現(xiàn)潛在的安全風險�����。其次�,除了添加硬件驅動器外,必須定義不同于本地主控-從屬 模式的用于智能卡100的附加模式����。當智能卡100響應于用戶按下 按鍵112而脫離終端啟動(所謂"獨立"模式)并顯示信息時,可以使 用該附加模式�。這對智能卡100系統(tǒng)的結構有影響,并且?guī)硪?額外限制條件的額外安全威脅�。第三,需要修改應用單元104來合并顯示功能���。這對于諸如 EMV( "Europay���、 Mastercard、 VISA",用于信用/借記金融卡應用的 標準)或CEPS("通用電子錢包規(guī)范"��,用于電子錢包e-Purse應用的 標準)的廣為人知的已制定并被接受的標準來說很難達到�,需要重新 標準化。第四��,智能卡設備(芯片)要求額外具有硬件接口以便分別與顯示
器113和顯示驅動器IIO進行通信����,稱為顯示接口 111。由于安全威 脅,所以不希望有這種接口�。 US6,256,690公開了一種包括微處理器 和存儲器的智能卡���,其中該存儲器存儲了第一和第二應用。該存儲 器還包括指定為消息盒的存儲器部分�����,該消息盒適于從至少第一應 用接收消息數(shù)據(jù)對象并且適于將該數(shù)據(jù)消息對象發(fā)送給至少第二應 用��。然而����,如US6,256,6卯所述的結構和通信方案具有操作IC卡時 可能出現(xiàn)安全問題的缺陷��。發(fā)明內容本發(fā)明的目標是使能裝置組件之間的有效通信���。為了達到上面定義的目標����,提供了如獨立權利要求所述的操作 裝置的裝置和方法�����。根據(jù)本發(fā)明的一個示例實施例,提供了一種裝置���,其包括均在 該裝置第一部分中提供的第一應用單元和第二應用單元以及在該裝 置第二部分中提供的傳送單元����,其中第一部分提供了相比第二部分 更高級別的安全性�����。該傳送單元可以適于在第一應用單元和第二應 用單元之間發(fā)送消息����。此外,根據(jù)本發(fā)明的另一個示例實施例��,提供了一種操作裝置 的方法�,在該裝置第一部分中包括了第一應用單元和第二應用單元, 并且在該裝置第二部分中包括了傳送單元��,其中在第一部分中提供 了相比第二部分中更高級別的安全性����。該方法可以包括通過該傳送單元在第一應用單元和第二應用單元之間發(fā)消息的步驟。根據(jù)本發(fā)明的另一個實施例,提供了一種裝置����,其包括在該裝 置第一部分中提供的第一應用單元和第二應用單元,以及在該裝置 的第二部分中提供傳送單元�。該傳送單元可以適于在第一應用單元 和第二應用單元之間傳輸消息,當在第一應用單元和第二應用單元 之間發(fā)送信息時���,該傳送單元可以適于作為通信主控。根據(jù)本發(fā)明的另一個實施例��,提供操作裝置的方法�����,其中該裝 置包括了在該裝置第一部分中的第一應用單元和第二應用單元�����,以 及在該裝置第二部分中的傳送單元��。該方法可以包括通過傳送單元
在第一應用單元和第二應用單元之間發(fā)送消息的步驟�����,其中當在第 一應用單元和第二應用單元之間發(fā)送消息時,該傳送單元可以適于 作為通信主控���?��?梢酝ㄟ^計算機程序,即通過軟件��,或者通過使用一個或多個 專用電子優(yōu)化電路���,即以硬件方式���,或者以混合形式,即通過軟件 組件和硬件組件的方式��,來實現(xiàn)如本發(fā)明示例實施例所述的有效通 信結構���。術語"應用單元"可以具體表示裝置的任何軟件和/或硬件組件, 其具有在整個裝置操作的框架內提供指定功能或服務的能力�。在該 裝置為信用卡的例子中�,這種應用可以是提供類似信用結余值的特 定數(shù)據(jù)。在該裝置為信用卡的例子中�,另一個應用可以是提供特定 格式的數(shù)據(jù),例如準備顯示在顯示設備上的數(shù)據(jù)���。這種應用可以取 決于或不取決于該裝置上運行的或提供的其它應用�。術語"傳送單元"可以具體表示裝置的任何軟件和/或硬件組件, 其具有向數(shù)據(jù)宿發(fā)送接收自數(shù)據(jù)源的數(shù)據(jù)的能力�����。該傳遞可以包括 或排除該傳遞單元的任何數(shù)據(jù)處理����。例如,傳送單元可以只傳遞數(shù) 據(jù)而不對數(shù)據(jù)進行修改�����??商鎿Q地�����,在將數(shù)據(jù)發(fā)送到信宿之前�,該 傳送單元可以分析、解釋或修改數(shù)據(jù)(例如���,改變格式)�����。術語"更高級別的安全性"可以具體表示在該裝置第一部分內 采取任何涉及數(shù)據(jù)安全處理的措施而在該裝置第二部分內不采取這 些措施��。換句話說���,第一部分可以具有至少一個第二部分缺乏的安 全特征����。第二部分可以是相對安全的區(qū)域����,然而以絕對措施來說其 比第一部分較不安全?�?商鎿Q地�����,在第二部分中可以根本不采取安 全措施����。"安全性"可以具體表示數(shù)據(jù)訪問和數(shù)據(jù)傳送的安全性,并 且可以包括關于授權訪問或者否則處理數(shù)據(jù)或訪問該裝置特定部分 的限制���。這可以包括類似數(shù)據(jù)加密和/或數(shù)據(jù)訪問所需口令的特征�����。術語"通信主控"具體有以下含義相應的通信實體或實例發(fā) 起和/或控制與一個或多個其它通信實體或實例的通信�����,然后將這些 其它實體或實例作為從屬���。在計算機網(wǎng)絡中����,主控/從屬可以是通信 協(xié)議的模型���,其中一個實體或進程(已知為主控)控制一個或多個其它
實體或進程(己知為從屬)。 一旦建立了主控/從屬關系�����,控制方向總 是從主控到(多個)從屬�。術語"上下文主控"的具體含義是相應實體對消息的內容負 責或者產生消息。如本發(fā)明所述的特點特征可以具體具有能實現(xiàn)一個有效通信結 構的共同優(yōu)點�����。根據(jù)第一方面,可以通過在安全區(qū)域內提供應用單 元以及在安全較差區(qū)域內提供傳送單元或數(shù)據(jù)鏡像來獲得該優(yōu)點����, 這樣可以通過傳送單元在應用單元之間進行通信,而無需修改和認 證(已存在)應用單元��。根據(jù)第二方面����,就主控可以控制并發(fā)起通信的 通信方案而言,可以通過將應用單元提供為從屬��,將傳送單元和數(shù) 據(jù)鏡像提供為主控來獲得該優(yōu)點�����。這可以具有相同的效果接收通 信消息內容的兩個應用單元中至少有一個單元不必識別或分析消息 來源����,這樣可以將其實現(xiàn)為現(xiàn)有模塊,無需將(已存在)應用單元適用 于新的使用目的����。根據(jù)第一方面����,兩個應用單元(均處于安全區(qū)域)之間傳輸?shù)南?的安全傳送由傳送單元(位于較不安全或不安全區(qū)域)作為中介����。換句 話說,以傳送單元的形式提供數(shù)據(jù)鏡像����,其可以"反射"位于裝置 安全部分內的兩個應用單元之間要發(fā)送的數(shù)據(jù)。該傳送單元可以不 必對在兩個應用單元之間發(fā)送的數(shù)據(jù)進行解密或修改��。這可以使裝 置安全部分內提供的兩個應用單元之間的通信成為可能���,而無需修 改應用單元�����。對安全部分內提供的應用單元進行修改是非常耗費時 間并且困難的�����,然而為了在應用單元之間運輸或傳輸數(shù)據(jù),在安全 區(qū)域以外提供傳送單元則容易得多���。如本發(fā)明所述的示例應用是智能卡����,其中兩個應用單元能夠提 供兩種不同應用并且在智能卡的安全處理器中提供這兩個應用單 元?�?梢栽谠摪踩幚砥饕酝馓峁﹤魉蛦卧?����,并且該傳送單元可以 允許在兩個應用單元之間進行通信�����。例如��, 一個應用單元可以提供對要可視化顯示的數(shù)據(jù)進行格式 化的功能��,另一個應用單元可以提供在智能卡中提供特定數(shù)據(jù)內容 的功能�。在必須將該數(shù)據(jù)內容顯示在智能卡顯示裝置上的情況下,
可以將數(shù)據(jù)內容表述為通過數(shù)據(jù)鏡像或傳送單元從相應應用單元發(fā) 送到能對要顯示數(shù)據(jù)重新格式化的另一個應用單元的消息����。通過使 用該消息,無需修改能提供數(shù)據(jù)內容但不能提供可顯示數(shù)據(jù)的(認證 的)應用單元,就有可能在智能卡中提供顯示功能�����。根據(jù)本發(fā)明的一個方面����,能夠在兩個不同安全軟件模塊(例如, 信用卡����、電子錢包)之間進行通信,其中軟件模塊可以由智能卡的處 理器執(zhí)行����,其中可以保護處理器防止外部操縱。如本發(fā)明的一個實 施例所述能夠無需修改或相應地改變軟件模塊來進行通信�����。修改智 能卡安全部分中提供的軟件模塊要求對修改后的智能卡進行安全認 證�,這要求較高的金錢花費和時間損耗。出于這個目的���,可以在安全部分外部提供數(shù)據(jù)鏡像���,其中數(shù)據(jù) 鏡像能夠將消息從一個應用傳遞到另一個應用。在該上下文中����,可 以將相同(或另一個)通信協(xié)議用于智能卡與遠程終端(諸如取款機或 智能卡讀取/寫入裝置)之間的通信。這樣��,對于應用之間的通信來說��, 可以將相同的通信協(xié)議用于與終端(取款機或智能卡讀取器)的通信���。 這可以至少保持通信路徑的一部分�����。根據(jù)一個示例實施例�����,對于一個應用單元來說�����,識別其是否與 遠程終端或(通過傳送單元)與另 一個應用單元進行通信可以是"不可 見的"或不可檢測的�。這樣,應用單元可以位于安全部分中�����,而傳送單元可以位于該裝置的較不安全部分中��,其中較不安全部分提供了較低程度的安全 性���,或者根本無安全性�。這樣�����,訪問較不安全部分所必需的條件可 以比訪問該裝置中更安全部分所必需的條件要更不嚴格些��。采取這些措施帶來的優(yōu)點是所有在終端和智能卡之間有效的安 全特征也會對應用單元之間的通信有效����,而不必對所有應用單元進 行重寫。這樣����,認證審査是可有可無的。此外��,例如智能卡這種裝 置的操作系統(tǒng)可以保持不變。只有發(fā)送應用或源應用必須變?yōu)橹鲃?的��。第一通信單元可以順序地或同時地將消息發(fā)送給一個或多個第 二應用單元���。這可以允許非常有效的數(shù)據(jù)交換。
根據(jù)本發(fā)明的一個方面�,提供了通過位于裝置第二區(qū)域的傳送 模塊,進行均處于該裝置第一區(qū)域的第一應用和至少第二應用之間 通信的方法����。第二區(qū)域相比第一區(qū)域在防止篡改方面較不安全。該 方法可以包括根據(jù)用于在裝置和遠程終端之間進行通信的通信協(xié)議 從第一應用到傳送模塊傳輸消息的步驟�,以及根據(jù)該通信協(xié)議從傳 送模塊到第二應用傳輸消息的步驟?�?梢詫⑷绫景l(fā)明所述的裝置實現(xiàn)為接觸型裝置或者實現(xiàn)為非接 觸型裝置�。如本發(fā)明一個示例實施例所述,提供的裝置不要求為不同應用 單元之間的通信而對該裝置(例如����,智能卡)操作系統(tǒng)作任何修改。只 需要兩個應用之一準備以鏡像功能工作�。另一個應用可以保持完全 不變。根據(jù)該鏡像功能����,正如終端所做的一樣��, 一個應用可以將應用協(xié)議數(shù)據(jù)單元(APDU)發(fā)送給另一個應用���。換句話說,第一應用可以 作為終端啟動�,并且在數(shù)據(jù)交換處理中作為主控。原則上第二應用 不會察覺與其進^1通信的是第一應用而并非真正的終端����。例如,在安全區(qū)域中(現(xiàn)存的和/或新的)部分之間的通信可以通 過作為第三方的傳送單元來進行����,該傳送單元可以是智能卡的一部 分但是其位于安全區(qū)域以外。因為用于裝置內通信的通信協(xié)議可以 與用于裝置與終端通信的協(xié)議相同���,所以現(xiàn)存部分(例如��,高安全傳 統(tǒng)應用)可以保持不變����?����?梢栽诎踩珔^(qū)域中提供傳統(tǒng)應用以及顯示應用。與此相比��,可 以在安全區(qū)域之外提供作為第三方的智能顯示控制器��,其可以傳遞 傳統(tǒng)應用和顯示應用之間交換的消息。例如,顯示應用可以向智能顯示控制器發(fā)送數(shù)據(jù)以及將該數(shù)據(jù) 轉發(fā)給傳統(tǒng)應用的請求����。然后,智能顯示控制器如所請求的那樣轉 發(fā)數(shù)據(jù)��。此后����,傳統(tǒng)應用可以以通常方式(類似與終端通信的方式) 做出響應。智能顯示控制器可以將響應轉發(fā)給顯示應用��。此外���,顯 示應用可以請求智能顯示控制器顯示接收到的數(shù)據(jù)���。這可以無需影響整個系統(tǒng)安全性���,使顯示功能快速地集成到現(xiàn) 存智能卡系統(tǒng)中。而且��,可以提供對現(xiàn)存系統(tǒng)的向后兼容性��。根據(jù)第二方面���,當在第一應用單元和第二應用單元之間傳輸消 息時��,傳送單元可以適于作為通信主控���。換句話說,傳送單元可以 是兩個應用單元之間通信的發(fā)起者��。特別是���,傳送單元可以向第一 應用單元發(fā)送詢問�����,以詢問是否建立通信����。在要將消息發(fā)送給第二 應用單元的情況下,第一應用單元為傳送單元提供該消息���。然后�����, 傳送單元可以將消息(以原始格式或重新格式化后)發(fā)送給第二應用 單元�。換句話說���,傳送單元可以作為關于接收自特定一個應用單元 和/或發(fā)送給特定一個應用單元的發(fā)起的主控����,而應用單元作為該層 次級別上的從屬�。相比這種情況�����,關于要廣播的消息內容����,發(fā)送應 用單元可以作為一種主控,并且接收應用單元可以作為從屬��。通過使傳送單元適于作為所實現(xiàn)通信結構的通信主控,使應用 單元適于作為從屬����,至少接收消息的應用單元不必知道哪個單元發(fā) 起了通信,而只是簡單提供所需服務�。這可以有以下結果,現(xiàn)存的 硬件和/或軟件模塊可以用于(第二)應用單元���。因為該應用單元僅僅 是簡單滿足其所需功能�,所以使這種模塊適于特定的通信路徑是不 必要的�,無需知道復雜的通信路徑。例如�����,可以將如所述方面的裝置實現(xiàn)為發(fā)射機應答器�,或者可以可替換地實現(xiàn)在USB總線通信的框架中。參考相關權利要求���,下面說明本發(fā)明的其它示例實施例�����。這些 實施例同時具有本發(fā)明的第一方面和第二方面����。具體地,可以將如第一和第二實施例的任何方面實現(xiàn)在如第三 和第四實施例的裝置范圍內�。接著,將說明該裝置的示例實施例��。也可以將這些實施例應用 于操作裝置的方法��。該裝置可以包括設計用于根據(jù)第一通信協(xié)議與至少一個讀和/或 寫裝置進行通信的讀和/或寫裝置接口�。換句話說,可以使該裝置適于這樣一種方式通過讀和/或寫裝置從該裝置中讀取數(shù)據(jù)���,和/或通 過讀和/或寫裝置將數(shù)據(jù)寫入到該裝置�����。可以將特定的通信協(xié)議用于 裝置和讀和/或寫裝置之間的通信���。
具體地�����,也可以將該裝置適于使用第一通信協(xié)議以用于通過(也 就是說��,經由)傳送單元在第一應用單元和第二應用單元之間發(fā)送消 息�����。根據(jù)該實施例��, 一方面可以將一個相同的通信協(xié)議用于裝置和 讀取/寫入裝置之間的通信���,另一方面可以將該相同協(xié)議用于該裝置 兩個應用單元之間的通信��。因為只需要考慮單個通信協(xié)議的要求�����,所以這可以簡化該裝置的構造���。具體地,該裝置的傳送單元可以適于根據(jù)第二通信協(xié)議(其可以 不同于第一通信協(xié)議)從第一應用單元接收消息�,并將該消息轉換為 第一通信協(xié)議以便將轉換后的消息發(fā)送給第二應用單元。根據(jù)該實 施例���,能夠在第一和至少一個第二應用之間進行通信����,兩個應用都 位于該裝置的第一區(qū)域。該通信可以由傳送模塊作為中介����,該傳送 模塊可以位于該裝置的第二區(qū)域,其防御篡改的安全性要低于第一 區(qū)域�����。在這里的上下文中��,可以從第一應用單元到傳送模塊傳輸消 息��。此外���,可以在傳送模塊中根據(jù)用于在裝置和遠程終端之間通信 的通信協(xié)議將該消息進行轉換�����。該轉換可以將消息格式從第一通信 協(xié)議改為第二通信協(xié)議�。然后�����,可以將轉換后的消息從傳送模塊發(fā) 送到第二應用單元�����?����?商鎿Q地�����,該裝置的傳送單元可以適于根據(jù)第一通信協(xié)議從第 一應用單元接收消息���,并將消息轉換為用于將轉換后的消息發(fā)送到 第二應用單元的第二通信協(xié)議(其可以不同于第一通信協(xié)議)�����。根據(jù)該 實施例�,可以提供在第一和至少一個第二應用單元之間的通信���,這 些單元都可以位于該裝置的第一區(qū)域��?���?梢杂晌挥谠撗b置第二區(qū)域中的傳送模塊作為該通信的中介,該區(qū)域防御篡改的安全性要低于 第一區(qū)域�。在該實施例的范圍內,可以根據(jù)用于裝置和遠程終端之 間通信的第一通信協(xié)議來從第一應用到傳送模塊發(fā)送消息����。此外, 可以在傳送模塊中將該消息轉換為與第二應用使用的通信協(xié)議相一 致���,將該協(xié)議表示為第二通信協(xié)議�����。然后可以將轉換后的消息從傳 送模塊傳輸?shù)降诙?�。根?jù)本發(fā)明的另一示例實施例�,可以在第一部分中提供安全功 能�����,而第二部分可以沒有任何安全功能���。根據(jù)該實施例�����,第一部分
組件內的通信以及與第一部分組件的通信可以受保護以防止未授權 的訪問���,其提供了高等級的安全性。相比之下�,在第一部分以外的 組件不具有已實現(xiàn)的安全措施,這就允許對這些組件有簡單的構造 并且可以對這些組件有簡便的外部訪問���。如本發(fā)明所述的裝置可以包括包含有第一應用單元和第二應用 單元的處理器���。此外,該裝置可以包括設計用于在處理器和至少一 個讀和域寫裝置之間通信的讀和域寫裝置接口�。此外,該裝置可以 包括至少一個用于通過讀和/或寫裝置接口來發(fā)起用戶和處理器之 間通信的用戶輸入和/或輸出單元�����。術語"處理器"可以具體表示控制單元或智能卡管理單元��,類似例如微處理器或中央處理單元(CPU)�����。可以將這種處理器制造為單片集成電路���,例如以半導體(具體地以硅)技術來制造�。術語"讀和/或寫裝置"可以具體表示用于通過從智能卡讀取數(shù) 據(jù)和/或往智能卡寫入數(shù)據(jù)來控制智能卡功能的外部(相對于例如智 能卡的裝置)裝置��。術語"用戶輸入和/或輸出單元"可以具體表示至少部分地在該 裝置(例如智能卡)上提供的并且允許人類用戶與該裝置交互的裝置���。 具體地說���,這種用戶輸入和/或輸出單元可以允許用戶單向或雙向地 發(fā)送數(shù)據(jù)給處理器和/或從處理器接收數(shù)據(jù),其中數(shù)據(jù)可以關于由智 能卡提供的具體應用���。"接口"可以具體為通信系統(tǒng)的特定組件提供連接或訪問��。 根據(jù)所說明的實施例���,提供了例如智能卡的裝置,其提供了通 過相同信號路徑連接到處理器上的用戶接口(例如�����,顯示器和/或鍵 區(qū)),該相同路徑也用于將處理器和用于從智能卡讀取信息和/或將信 息寫入智能卡的讀和/或寫裝置連接起來�。在用戶(在作為用戶接口的 用戶輸入和/或輸出單元上交互工作)和處理器之間的通信可以由讀 和/或寫裝置接口發(fā)起。換句話說�,相比從處理器端控制通信,可以 從用戶端控制用戶接口與處理器之間的通信���。因此,從處理器(位于 智能卡的安全部分)的觀點來說��,可以以與用戶輸入和/或輸出(主控) 單元通信相類似或相同的方式實現(xiàn)與讀和減寫(主控)終端的通信�。
這樣,如本發(fā)明所說明的實施例�,在與讀和/或寫終端以及與用戶輸 入和域輸出(主控傳元通信的兩個通信信道上,智能卡的處理器都 可以作為從屬����。這樣,該通信保持包含有處理器的安全部分不變�, 因此提供了高級別的安全性。此外����,第一應用單元能夠為處理器提供數(shù)據(jù),該數(shù)據(jù)與相應應 用相關�����,并且第一應用單元不能提供能被至少一個用戶輸入和/或輸 出單元輸出的格式的數(shù)據(jù)。此外��,第二應用單元至少能夠將第一應 用單元提供的數(shù)據(jù)轉換為可以被至少一個用戶輸入和/或輸出單元 輸出的格式����。這樣,可以由用戶輸入和/輸出單元來居間中介第一應 用單元和第二應用單元之間的通信����,然后作為數(shù)據(jù)鏡像或傳送單元。 該實施例也可以允許擴展已經存在的位于安全部分中的應用單元���, 但是不能提供可顯示的數(shù)據(jù)�����。該擴展是第二應用單元���,其可以完成 將第一應用單元提供的數(shù)據(jù)轉換為可顯示格式的功能。也可以在安 全部分中提供第二應用單元����。在轉換功能之外,可選地,第二應用 單元可以履行一個或多個更多的功能����,也就是說,第二應用單元不 被限制于將數(shù)據(jù)變成可顯示格式的轉換功能�。傳送單元可以適于作為通信主控,其涉及在第一應用單元和第 二應用單元之間消息的傳輸�����。因此����,傳送單元可以發(fā)起應用單元之 間的通信���,并且為了該目的�����,可以建立相應的通信網(wǎng)絡��。在該級別 上�����,兩個應用單元都可以作為從屬�。第一應用單元可以適于作為主控,其涉及被發(fā)送到第二應用單元的消息的內容�����。換言之��,當?shù)谝粦脝卧c第二應用單元進行通 信時��,那么第一應用單元可以控制與類似從屬的第二應用單元進行 通信的內容��,并且可以特別指定與根據(jù)該通信的消息相關的主題或 數(shù)據(jù)內容����。在該級別上,第二應用單元作為從屬��??梢酝ㄟ^至少一個用戶輸入和/或輸出單元作為傳送單元來作為 第一應用單元和第二應用單元之間通信的中介。因此�,用戶輸入和/ 或輸出單元可以作為數(shù)據(jù)鏡像等,其簡單地將數(shù)據(jù)從第一應用單元 前向傳送到第二應用單元��,或者將數(shù)據(jù)從第二應用單元前向傳送到 第一應用單元�����。
裝置可以適于這樣的方式,即對在第一應用單元和第二應用單 元之間發(fā)送的消息進行加密����。通過采取這種方式,由于甚至當經由 非安全區(qū)域作為消息的中介時����,加密確保維持高的安全標準,所以 就獲得安全通信系統(tǒng)���。用于解密的任何解密密鑰可以位于安全部分 內�。在裝置中��,傳送單元可能不能對消息進行解密��。因此��,由于中 介實例缺乏對中介消息進行解碼的任何能力�,所以可以獲得高級別 的安全性�。第一應用單元和第二應用單元之間的通信可以包括至少一個應用協(xié)議數(shù)據(jù)單元(APDU)的傳輸??梢詫脜f(xié)議數(shù)據(jù)單元定義為根 據(jù)ISO 7816標準的通信單元���。存在命令APDU和響應APDU,其中��, 命令APDU在兩個實體之間發(fā)送命令�����,響應APDU發(fā)送對命令的響 應�����。APDU通信方案與眾所周知的OSI模型("開放系統(tǒng)互連")相關�。 特別地,對于智能卡��,在ISO 7816-4中對APDU的概念進行了說明��, 在此對ISO 7816-4進行了清楚參考�����。裝置的第一應用單元可以是傳統(tǒng)應用單元�����,也就是說,可以是 僅提供應用而不提供復雜額外(例如���,顯示)功能的應用�??梢詫⒀b置設計為用于根據(jù)ISO 7816在第一應用單元和第二應 用單元之間發(fā)送消息。在這個方面�����,對在ISO 7816中與應用協(xié)議數(shù) 據(jù)單元(APDU)的定義和使用相關的部分進行特定的參考��。ISO 7816 系列和標準不僅對智能卡的物理形狀及其電子連接器的位置和形狀 進行了定義�,而且還對將要應用到這些連接器的通信協(xié)議和電源電 壓、被發(fā)送到智能卡的命令的功能和格式以及由智能卡返回的響應 進行了定義�。根據(jù)該實施例,根據(jù)與一方面是讀和/或寫設備另一方 面是處理器之間的通信相同的工業(yè)^^準�,可以通過傳送單元實現(xiàn)應 用單元之間的通信?���?梢詫⒈景l(fā)明的裝置實現(xiàn)為智能卡或者近場通信裝置��。被實現(xiàn)為本發(fā)明的智能卡的裝置的示例性應用包括用作信用 卡�����、用于移動電話的SIM卡、用于付費電視的授權卡�����、識別和接入 控制卡��、公共交通票等���。
可以將本發(fā)明的智能卡實現(xiàn)為接觸式智能卡或者非接觸智能 卡���。在接觸式智能卡中,可以通過電傳導接觸對包括處理器在內的 集成電路或者半導體芯片進行識別����。在非接觸式智能卡中,芯片可 以通過無線自供電感應技術與卡讀取器/寫入器進行通信(特別地���,通 過例如在高頻區(qū)域內在智能卡的卡讀取器/寫入器之間交換電磁波)���, 其中,還可以將非接觸式智能卡表示為非接觸智能卡����??梢詫⒈景l(fā)明的非接觸智能卡技術實現(xiàn)為RFID(Radio Frequency Identification 無線頻率識別)技術或者將其與RFID技術合并���?�?商鎿Q地���,可以將裝置實現(xiàn)為近場通信(NFC)裝置。近場通信可 以使得用戶簡單地通過將兩個裝置靠近在一起安全地交換所有類型 的信息��。由于當裝置僅可以"聽見"它們緊靠的鄰居時存在更少的 混淆��,所以諸如幾個厘米的近程交互作用可以大大簡化整個識別問 題�。NFC可以允許連接諸如數(shù)碼相機、PDA���、機頂盒�����、計算機和移 動電話的裝置�����。從下文將要描述的實施例的例子中���,上文所定義的 方面和本發(fā)明的更多方面顯而易見,并且參考這些實施例的例子對 其進行解釋�。
下面將參考實施例的例子對本發(fā)明進行更詳細的說明,但是不是將本發(fā)明限于這些實施例的例子���。圖1示出了根據(jù)現(xiàn)有技術的智能卡�����;圖2示出了根據(jù)本發(fā)明一個示例性實施例的智能卡�;圖3示出了根據(jù)本發(fā)明另一個示例性實施例的智能卡����;圖4示出了根據(jù)本發(fā)明一個示例性實施例的智能卡的一部分,其說明了用戶輸入和/或輸出單元的鏡像功能�����。
具體實施方式
圖中的說明是示意性的��。在不同的圖中,以相同的參考標號表 示類似或相同的部件���。在下列圖的說明中��,將術語"智能顯示控制器"用作為"傳送
單元"的例子�����。類似地��,將術語"顯示應用單元"和"傳統(tǒng)應用單 元"用作"第一應用單元"和"第二應用單元"的例子�����。術語"處 理器"可以代表"智能卡"安全的"第一部分"并且術語"用戶輸 入和輸出單元"可以代表"智能卡"較不安全的"第二部分"���,"智 能卡"是更一般術語"裝置"的例子。然而���,本發(fā)明不限于這些例 子���。在下文中,參考圖2�����,將對本發(fā)明的示例性實施例的智能卡200 進行詳細說明。至于在圖2中所涉及的類似組件����,補充參考上文圖1 的說明��。在塑料襯底201上和/或內部提供智能卡200的各個組件���。智能 卡200的大小可以是傳統(tǒng)信用卡的大小����。圖2中所示的智能卡200 可以提供多種應用(每個應用與一個特定的應用單元204相關)�����。智能 卡200包含微處理器202��,將其設計為在對不同應用進行服務的范圍 內實1L計算和控制功能���。提供智能卡讀和寫終端208(也表示為卡讀取器/寫入器)�����,讀取在 智能卡200中存儲或者生成的信息���,或者對智能卡200中的外部輸 入數(shù)據(jù)進行編程或引進���。將智能卡200的讀和寫裝置接口 213設計 為用于智能卡讀和寫裝置208以及微處理器202之間的雙向通信。此外�,在智能卡中提供用戶輸入和輸出單元212(1/0單元)。用 戶輸入和輸出單元212可以主動地發(fā)起人類用戶(未示出)和微處理 器202之間經由智能卡讀和寫裝置接口 213的通信��。因此�����,在一方 面用戶輸入和輸出單元212以及另一方面微處理器202之間通信的 范圍內��,用戶輸入和輸出單元212作為主控����,并且微處理器202作 為從屬。由于在電子領域中�����,通常是微控制器作為主控���,所以這種 安排是非正常的�。然而,這種安排具有重要的優(yōu)點�����,其改善了智能 卡200的不同組件之間數(shù)據(jù)傳送的安全性���。用戶輸入和輸出單元212包含智能顯示控制器211,根據(jù)所描述 的實施例在硬件中對其進行實現(xiàn)���,并且其對一端的處理器202以及 另一端的顯示硬件210和按鈕209(作為用戶輸入和輸出單元212的 更多組件)之間的通信進行協(xié)調�。 用戶可以使用按鈕209以便通過智能顯示控制器211和接口 213 鍵入將要提供給處理器203的命令��,用于在被分配給應用單元204 的應用之一的上下文中對這些數(shù)據(jù)進行進一步處理�。例如,應用可 以是信用/借記金融卡應用�,或者類似的應用。此外���,可以經由接口 213和智能顯示控制器211將與由智能卡200執(zhí)行的應用相關的數(shù)據(jù) 從處理器202發(fā)送到顯示硬件210����,該顯示硬件210顯示對于人類用 戶可視和/或可聽的相應信息。如從圖2中所見����,將智能卡200分成安全部分或處理器202以 及剩余非安全部分。包括多個應用單元204在內的微處理器202駐 留在安全部分中�。此外,提供了操作系統(tǒng)205����,其可以包含用于操作 智能卡200的軟件組件。而且�����,提供了多個驅動器單元206和多個 硬件單元207���。每個硬件單元207可以包括諸如子處理器��、存儲器�、 外圍裝置�、或者加密/解密子處理器的組件。用于在智能卡讀和寫終端208和微處理器202之間進行通信的 通信協(xié)議等于用于在正在操作用戶輸入和輸出單元212的用戶(未示 出)和微處理器202之間進行通信的通信協(xié)議�����。通過交換應用協(xié)議數(shù) 據(jù)單元(APDU)并且根據(jù)工業(yè)標準ISO 7816來實現(xiàn)這兩條通信信道。用戶輸入和輸出單元212包括顯示器210(可以基于Philips柔韌 顯示系統(tǒng)技術對其進行實現(xiàn))和按鈕209�。如圖2中所示的實施例, 將用戶輸入和輸出單元212實現(xiàn)為硬件單元����。智能卡200是快速、安全和低成本裝置���,在其中����,智能卡裝置 的高安全世界和相應的軟件本質上保持不變(因此是安全的��,并且不 受潛在攻擊的傷害)���,但是智能卡200包括通過現(xiàn)存安全體系結構實 現(xiàn)用戶交互作用的卡應用可能性。雖然圖2中所示的實施例集中在 被連接到智能卡200硬件的顯示器210和按鈕209上��,但是本發(fā)明 的系統(tǒng)還可以連接其它諸如指紋讀取器或者類似器件的卡內電子器 件��。在下文中���,將對通過現(xiàn)存物理和邏輯接口的顯示功能的硬件/軟 件連接進行說明���。圖2示出了具有顯示功能的智能卡系統(tǒng)的擴展��。 在智能卡200中��,智能卡處理器系統(tǒng)(硬件和軟件)本質上保持不變��,
并且因此保持安全����。在圖2中����,將I/O功能添加為臨近智能卡200 的處理器或安全域202的獨立模塊212。智能顯示控制器211使用ISO 7816接口 213并且通過與微處理 器202交換APDU與智能卡應用進行通信(更具體地與微處理器202 進行通信)��。以與智能卡讀和寫終端208進行通信相同的方式來實現(xiàn) 在用戶輸入和輸出單元212與微處理器202之間的通信��。通過接口 213��,智能顯示控制器211可以通過相應的消息告知應用單元204用 戶已經按下按鈕209并且向各自的應用204要求用于應該顯示在顯 示器210上的數(shù)據(jù)��。由于僅有的變化駐留在應用中����,其需要理解協(xié) 議以便在顯示器210上驅動數(shù)據(jù)�����,所以系統(tǒng)的安全不受添加用戶輸 入和輸出單元212的影響��。不需要在其它系統(tǒng)組件上的修改��?��?梢栽谟布蛙浖袑崿F(xiàn)智能顯示控制器211,其中��,就概念而言兩種實現(xiàn)是相同的���。智能卡200示出了智能顯示控制器211在硬件中的實現(xiàn)����。這需 要在顯示驅動器中實現(xiàn)功能模塊����,并且需要到接觸該驅動器的ISO 7816的連接����。由于顯示功能僅取決于應用開發(fā)者���,所以圖2的實施 例非常靈活。在該情景中���,不需要在微處理器202上額外的硬件接 Pl�。在下文中���,參考圖3���,將對本發(fā)明的另一個示例性實施例的智能 卡300進行說明。在圖3中所示的實施例中�,以軟件實1L智能顯示控制器211。這 樣��,用戶輸入和輸出單元302的智能顯示控制器211駐留在智能卡 300的軟件塊304中���。智能顯示控制器211還包含按鈕209和顯示硬 件210�。接收機/發(fā)射機緩沖器303(RX/TX緩沖器)和防火墻單元301 也駐留在軟件模塊304中��。以軟件方式實現(xiàn)智能顯示控制器211意味著��,存在通過功能呼 叫的方式將APDU例如通過接收機/發(fā)射機緩沖器303以軟件發(fā)送到 /接收自微處理器202的卡主控203的功能。也基于軟件命令對智能 顯示控制器211進行操作�。它運行在卡控制器的防火墻區(qū)域內,完 全從安全域202中分離出來(類似于在Philips智能卡處理器上的
Philips Mifare模擬仿真)���。它通過諸如串行接口的專用接口對顯示硬 件210和按鈕209進行驅動�。圖3的該實施例不需要或者僅需要很 少驗證���。在下文中���,參考圖4,將本發(fā)明的示例性實施例的智能卡的部件 400描述為已經實現(xiàn)了智能顯示控制器的數(shù)據(jù)鏡像功能����。圖4說明了用于將顯示功能添加到傳統(tǒng)應用的概念?���?梢詫D4 的系統(tǒng)集成到圖2中所示的裝置200或者圖3中所示的裝置300中。 特別地�,對于圖4����,參考圖1至3所提及的所有方面還都成立。更具 體地,在圖2或圖3中����,可以在任何組件204的位置處對如圖4中 所示的組件401和402進行連接。如圖4中所見�,該部分400包含駐留在安全部分或處理器202 中的顯示應用單元401以及也駐留在安全部分或處理器202中的傳 統(tǒng)應用單元402。除顯示應用401和傳統(tǒng)應用單元402之外���,在安全 部分202中還提供應用單元204�。如將要在下文中所說明的�����,可以經 由多個傳輸信道403至407并且可以通過作為數(shù)據(jù)鏡像或傳送單元 的智能顯示控制器211居間中介�����,進行顯示應用單元401和傳統(tǒng)應 用單元402之間的通信�。圖4中所示的實施例解決了從諸如電子錢包(CEPS、 Geldkarte����、 Chipknip)的良好建立和標準化的傳統(tǒng)應用(類似于被包括在傳統(tǒng)應 用單元402中的應用)中顯示信息的問題。在許多情況下���,不將這種 已經存在的應用設計為將諸如存儲在e錢包中數(shù)量的信息顯示在顯不器上o對于該問題直接的解決方法是將顯示功能添加到應用單元�。然 而,該方法需要跟隨著認證以及獲得工業(yè)接受的很長一段時間的主 要發(fā)展努力�。另一種可能的解決方法可以是在智能顯示控制器211中實現(xiàn)終 端模擬仿真功能。這種模擬仿真終端將可以從傳統(tǒng)應用中讀取所需 的數(shù)據(jù)(例如�����,電子錢包數(shù)量)����,對其進行格式化,并且將其顯示在顯 示器上����。然而,該解決方法將具有若干缺點�����。例如����,智能顯示控制 器211將必須以用于不同應用標準(例如,德國的Geldkarte���,荷蘭的Chipknip���,或者用于新卡的CEPS)的協(xié)議實現(xiàn)全部終端功能。這將導 致復雜和昂貴的硬件和/或軟件塊���。此外�����,通常對與傳統(tǒng)應用單元402的通信進行加密��。這樣�����,該 實現(xiàn)將需要在卡完成過程期間將加密密鑰存儲在智能顯示控制器 211中(其成本大并且復雜)�。還將需要在智能顯示控制器211中實現(xiàn) 密碼算法�。此外,由于智能顯示控制器211將必須對顯示內容進行 格式化��,所以對于在智能卡上顯示的信息��,將不存在定制可能�����。根據(jù)圖4的解決方法是,在智能顯示控制器211內實現(xiàn)與獨立 顯示應用單元401的APDU分組的鏡像功能�����。該顯示應用單元401 可以使用標準的��、已知的傳統(tǒng)應用協(xié)議取得對顯示內容進行格式化 所必需的信息�。如圖4中所說明的,通過智能顯示控制器211對在 顯示應用單元401和顯示應用轉換單元402之間發(fā)送的任何通信消 息進行鏡像����。在圖4中,僅將智能卡的某些相關組件表示為部分400����。 通信箭頭403到407對ISO 7816協(xié)議的數(shù)據(jù)交換的主控-從屬原則進 行符號化表示,以便簡化圖片����。將應用組件封裝到智能卡IC的安全域202中。在圖4的實現(xiàn)中��, 存在顯示應用單元401�����,其為被設計為通過智能顯示控制器211取 得、解釋和顯示一個或多個給定的傳統(tǒng)應用單元402的數(shù)據(jù)的特定 應用�。通信工作如下智能顯示控制器211可以發(fā)起與顯示應用單元 401和/或傳統(tǒng)應用單元402的通信�,并且可以作為該通信方案中的 主控,而組件401���、 402作為從屬���。顯示應用單元401將請求發(fā)送到 智能顯示控制器211以便將通信消息鏡像(即,向前傳送)到目標傳統(tǒng) 應用單元402��。顯示應用單元401將被封裝的APDU與該請求一起 進行發(fā)送�����,將被封裝的APDU向前傳送到傳統(tǒng)應用單元402�,見第 一個傳輸箭頭403。換言之�����,關于將要被發(fā)送的消息的內容��,顯示應 用單元401作為主控,而傳統(tǒng)應用單元402作為從屬����。隨后,智能顯示控制器211將所請求的APDU發(fā)送(也就是說�, 鏡像)到傳統(tǒng)應用單元402,見第二個傳輸箭頭404�����。傳統(tǒng)應用單元402以通常方式(就象在與終端的通信中那樣)用數(shù)據(jù)/狀況對智能顯示控制器211作出響應���,見第三個傳輸箭頭405����。 智能顯示控制器211再次將該響應鏡像回顯示應用單元401����,見第四個傳輸箭頭406。然后�����,顯示應用單元401可以基于從傳統(tǒng)應用單元402接收的數(shù)據(jù)�,將顯示內容提供給智能顯示控制器211��,見第五個傳輸箭頭407�����。該方法的一個顯著優(yōu)點是改進的安全性�。由于智能顯示控制器 211不需要對鏡像數(shù)據(jù)進行解釋�,所以可以不離開安全域202以密碼 密鑰對數(shù)據(jù)進行加擾�。這意味著顯示應用單元401可以以安全的方 式從傳統(tǒng)應用單元402得到信息(反之亦然),并且提取出可以在屏 幕上顯示的信息��,并且隨后將其發(fā)送到智能顯示控制器211�。該解決方案的另一個益處是服務提供商可以定制顯示應用單元 401(例如,改變數(shù)據(jù)的顯示方式)并且保持獨立于所使用的卡或操作 系統(tǒng)�。甚至可以通過諸如PIN碼將用戶標識添加到顯示應用單元 401,以便確保對傳統(tǒng)應用單元402中個人數(shù)據(jù)的安全訪問�����??梢栽?智能顯示控制器211中容易地實現(xiàn)鏡像功能??梢栽诙嘟M件智能卡尤其是具有顯示器的智能卡中使用本發(fā)明 的系統(tǒng)。本發(fā)明允許將顯示功能快速集成到現(xiàn)存的智能卡系統(tǒng)中而 不對系統(tǒng)總體安全性造成影響����,并且它提供了對后向兼容性的解決 方案����。本發(fā)明的系統(tǒng)通過使用諸如ISO 7816的現(xiàn)存標準����,提供在潛 在客戶使用中的高度簡便性。應該注意���,術語"包括"不是將其它部件或者步驟排除在外�����, 并且"一個"不是要排除多個��。還可以對結合不同實施例所描述的 多個部件進行合并���。還應該注意,權利要求中的參考符號不應該被 理解為對權利要求的范圍進行限制���。
權利要求
1�����、一種裝置(200���;300)�,包括均在所述裝置(200���;300)的第一部分(202)中提供的第一應用單元(401)和第二應用單元(402)����;在所述裝置(200���,300)的第二部分(212;302)中提供的傳送單元(211)�;其中,在所述第一部分(202)中提供比在所述第二部分(212��;302)中更高級別的安全性����;其中,所述傳送單元(211)適于在所述第一應用單元(401)和所述第二應用單元(402)之間發(fā)送消息���。
2����、 如權利要求1所述的裝置(200;300),包括 被設計為根據(jù)第一通信協(xié)議與至少一個讀和/或寫裝置(208)進行通信的讀和域寫裝置接口(213)����。
3、 如權利要求2所述的裝置(200;300)�,其適于使用所述第一通 信協(xié)議,通過所述傳送單元(211 )在所述第一應用單元(401 )和所述第 二應用單元(402)之間發(fā)送消息�。
4、 如權利要求2所述的裝置(200;300)�����,其中�,所述傳送單元(211) 適于根據(jù)第二通信協(xié)議從所述第一應用單元(401)接收消息,并且根 據(jù)所述第一通信協(xié)議對所述消息進行變換�,以將所述變換后的消息 發(fā)送到所述第二應用單元(402)。
5�、 如權利要求2所述的裝置(200;300),其中�����,所述傳送單元(211) 適于根據(jù)所述第一通信協(xié)議從所述第一應用單元(401)接收消息,并 且根據(jù)第二通信協(xié)議對所述消息進行變換����,以將所述變換后的消息 發(fā)送到所述第二應用單元(402)。
6�����、 如權利要求1所述的裝置(200;300)����,包括 處理器(202),其包括所述第一應用單元(401)和所述第二應用單元(402);讀和/或寫裝置接口(213)���,被設計用于所述處理器(202)和至少一 個讀和/或寫裝置(208)之間的通信���;至少一個用戶輸入和/或輸出單元(212),被設計用于發(fā)起用戶和 所述處理器(202)之間經由所述讀和域寫裝置接口(213)的通信����。
7���、 如權利要求6所述的裝置(200;300)�����,其中�����,所述第一應用單元(401)能夠將數(shù)據(jù)施加到所述處理器 (202)�,該數(shù)據(jù)與相應的應用相關,并且其中���,所述第一應用單元(401) 不能以可以被所述至少一個用戶輸入和/或輸出單元(212)輸出的格式提供所述數(shù)據(jù)��;其中���,所述第二應用單元(402)至少能夠將由所述第一應用單元 (401)提供的所述數(shù)據(jù)變換成可以由所述至少一個用戶輸入和/或輸 出單元(212)輸出的格式。
8�����、 如權利要求1所述的裝置(200;300)����,其中,所述傳送單元(211) 適于作為關于所述第一應用單元(401)和所述第二應用單元(402)之間的消息傳輸?shù)耐ㄐ胖骺亍?br>
9���、 如權利要求8所述的裝置(200;300)�,其中,所述第一應用單 元(401)適于作為關于被發(fā)送到所述第二應用單元(402)的消息的內 容的內容主控���。
10��、 如權利要求1所述的裝置(200;300)���,其適于這樣一種方式 所述第一應用單元(401)和所述第二應用單元(402)之間所發(fā)送的消 息是被加密的或者可加密的。
11���、 如權利要求10所述的裝置(200;300)���,其中,所述傳送單元(211)不能對通過所述傳送單元(211)在所述第一應用單元(401)和所 述第二應用單元(402)之間發(fā)送的所述消息進行解密�����。
12�、 如權利要求3所述的裝置(200;300),將其設計為根據(jù)ISO 7816通過所述傳送單元(211)在所述第一應用單元(401)和所述第二 應用單元(402)之間發(fā)送消息��。
13����、 一種對裝置(200;300)進行操作的方法,所述裝置(200;300) 包括在所述裝置(200;300)的第一部分(202)中的第一應用單元(401) 和第二應用單元(402)以及在所述裝置(200;300)的第二部分(212;302) 中的傳送單元(211),其中����,在所述第一部分(202)中提供比所述第二 部分(212;302)中更高的安全級別,所述方法包括在所述第一應用單元(401)和所述第二應用單元 (402)之間經由所述傳送單元(211)發(fā)送消息的步驟���。
14����、 一種裝置(200;300)����,包括在所述裝置(200;300)的第一部分(202)中提供的第一應用單元 (401)和第二應用單元(402);在所述裝置(200;300)的第二部分(212;302)中提供的傳送單元(211);其中,所述傳送單元(211 )適于在所述第一應用單元(401 )和所述 第二應用單元(402)之間發(fā)送消息�;其中,當在所述第一應用單元(401)和所述第二應用單元(402)之 間發(fā)送所述消息時���,所述傳送單元(211)適于作為通信主控�。
15�����、 如權利要求14所述的裝置(200;300),其中����,所述第一應用 單元(401)適于作為關于被發(fā)送到所述第二應用單元(402)的消息的內容的內容主控。
16�����、 一種對裝置(200;300)進行操作的方法��,所述裝置(200;300) 包括在所述裝置(200;300)的第一部分(202)中的第一應用單元(401) 和第二應用單元(402)以及在所述裝置(200;300)的第二部分(212;302) 中的傳送單元(211)�����,所述方法包括經由所述傳送單元(211)在所述第 一應用單元(401)和所述第二應用單元(402)之間發(fā)送消息的步驟��,其 中�,當在所述第一應用單元(401)和所述第二應用單元(402)之間發(fā)送 消息時,所述傳送單元(211)適于作為通信主控����。
全文摘要
裝置(200;300)包括在該裝置(200�����;300)的第一部分(202)中提供的第一應用單元(401)和第二應用單元(402)以及在該裝置(200;300)的第二部分(212��;302)中提供的傳送單元(211)��,其中�����,傳送單元(211)適于在第一應用單元(401)和第二應用單元(402)之間發(fā)送消息�����,并且其中����,在第一部分(202)中提供比在第二部分(212���;302)中更高級別的安全性����,并且/或者其中�,當在第一應用單元(401)和第二應用單元(402)之間發(fā)送消息時,傳送單元(211)適于作為通信主控。
文檔編號G06F21/02GK101120354SQ200680005185
公開日2008年2月6日 申請日期2006年2月9日 優(yōu)先權日2005年2月17日
發(fā)明者P·斯里克維爾, P·穆夏爾 申請人:皇家飛利浦電子股份有限公司