控制微電路卡中被保護的內部功能和應用的方法和設備的製作方法

2023-05-27 18:29:51 1

專利名稱：控制微電路卡中被保護的內部功能和應用的方法和設備的製作方法
技術領域：
本發明涉及在微電路卡中執行的功能，並且更特別地涉及一種用於對嵌入在移動終端的微電路卡中的被保護的內部功能執行控制方法和設備，所述微電路卡特別是身份識別卡。
背景技術：
例如行動電話等移動終端的發展引起多種應用的發展，所述多種應用自身未必是電話應用。在這些應用中，特別是有遊戲應用、用於個人信息管理的應用、用於時間管理的應用、電子錢包應用、支付應用等。支付或電子錢包應用使產品或服務能經由一個人的行動電話被支付。基於所述應用的屬性，可以控制對這些應用的接入或對這些應用的特定功能的接入。因此，例如支付應用，特別是大額支付，通常要求用戶的身份識別。如果用於執行應用的移動終端具有身份識別卡，則這種身份識別可以基於身份識別卡實現。已知存在的特別的身份識別卡名為SIM卡(SIM是用戶身份模塊的首字母縮寫)、 USIM卡(USIM是通用用戶身份模塊的首字母縮寫)、UICC卡(UICC是UMTS集成電路卡的首字母縮寫，UMTS代表通用移動通訊系統)以及RUIM卡(RUIM是可移動的通用身份模塊的首字母縮寫)。這些卡通常包括用於處理數據的裝置和用於存儲行動電話網絡的用戶專用的信息的數據存儲裝置。在移動終端，特別是行動電話中出現的這種卡使所述終端能依靠包含在身份識別卡中的信息連接到網絡並且與網絡中的其他終端交換數據，特別是以安全方式進行(所述卡包含例如加密密鑰，該加密密鑰使能網絡中的用戶的驗證和數據交換的加密)。所述身份識別卡形成移動終端的安全元件，所述移動終端依靠存儲在存儲器中 (例如這些卡的存儲裝置中)的驗證密鑰使能這些卡的用戶的驗證。此外，一些移動終端具有近程無線通信裝置，例如NFC型(NFC代表近場通信)的近程無線通信裝置。所述移動終端包括近場通信天線。這種天線還可以被集成到可從所述終端移除的卡中。該天線使能移動終端和例如收費站點等設備的外部物品之間的數據交換。因此，可以使用移動終端通過無接觸式通信，進行收費。這種通信是例如根據涉及身份識別卡格式和相關聯的通信協議的標準IS014443的。為了使用這種類型的服務或交換信息，用戶使其移動終端靠近所述收費站點，使得能夠實現通過近場通信的交易。此外，可以在使用的移動終端的身份識別卡中激活銀行應用的選擇，例如通過SIM 卡的微控制器激活。關於具有觸點的身份識別卡，例如根據ISO 7816標準，對應用的這種選擇的激活由移動終端命令。用戶之後可以選擇所選擇的銀行應用中的一個。如前所述並且為了使由所選擇的應用實現的操作安全可靠，可以執行用戶的驗證。這可以特別地包括經由移動終端的圖形界面請求來自用戶的口令，例如他或她的PIN 代碼(PIN是個人身份號碼的首字母縮寫)。此處使用的PIN代碼通常與接入電話功能所使用的PIN代碼不同。在用戶例如使用真實的或虛擬的鍵盤(例如使用觸控螢幕)輸入了所述口令後，例如根據ISO 7816標準，該口令被發送到身份識別卡，所述身份識別卡將所述口令與存儲在身份識別卡的非易失性存儲器中的代碼相比較。如果所述口令與所述代碼匹配，則操作被授權，在相反的情況下，操作被拒絕。為了安全可靠的原因，由用戶輸入的口令通常具有有限的期限。因此，如果涉及的操作未在設置時間內執行，則所述代碼過期。這種時間通常是預定的，其值通常是1分鐘。 如果所述時間已過期而用戶仍期望執行涉及的操作，則該用戶必須重新輸入口令。雖然這種系統使能限制詐騙的風險，但仍持續地需要改善與由移動終端執行的特定操作的實施相關的安全性。特別是交易的安全性。

發明內容
本發明使能解決以上提出的多個問題中的至少一個。因此，本發明涉及一種用於執行至少一個被保護的內部功能的控制的方法，所述被保護的內部功能嵌入在適於結合移動終端使用的微電路設備中，在所述微電路設備中實現的這種方法包括以下步驟檢測用於將所述微電路設備置於備用的命令，基於自與所述微電路設備連接的移動終端接收的信息項，檢測用於置於備用的所述命令；分析關於所述至少一個被保護的內部功能的執行的至少一個指示；以及如果所述至少一個被保護的內部功能傾向於被用於置於備用的所述命令的執行影響，則推遲用於置於備用的所述命令的執行。因此，使得根據本發明的所述方法可以保護例如微電路卡等微電路設備的完整性並且通過在必要的情況下推遲用於將所述設備置於備用的命令的執行，而確保對由所述設備執行的被保護的應用的保護。為了這些目的，用於置於備用的命令根據被保護的內部功能的執行而推遲，所述內部功能例如為可以用於確定口令或微電路設備的存儲器管理功能的有效性的倒數計時功能。根據一個特定的實施例，所述方法進一步包括以下步驟基於所述至少一個被保護的內部功能的開始而將狀態變量設置為第一值；以及當終止執行所述至少一個被保護的內部功能或當所述被保護的內部功能被再次初始化時，將所述狀態變量設置為第二值；所述分析步驟包括分析所述狀態變量的值的步驟。根據本實施例，狀態變量用作在被保護的內部功能之間交換信息的裝置並且用作對將所述設備置於備用進行管理的模塊，所述模塊能夠基於所述變量的值，也就是說，基於被保護的內部功能的執行，所述模塊能夠推遲或不推遲用於置於備用的命令的執行。根據另一個實施例，用於置於備用的所述命令的執行直接由所述至少一個被保護的內部功能控制。因此，不必為此目的使用任何狀態變量。有益的是，所述方法進一步包括以下步驟將與用於置於備用的所述命令相關聯的被請求的備用的等級與所述微電路設備的備用狀態相比較。因此，根據被請求的相對值和備用的實際等級，可以確定是否需要對用於置於備用的命令的執行是否必須被推遲進行校驗。仍然根據一個特定的實施例，所述微電路設備或所述移動終端提供有近程無線通信裝置，並且所述微電路設備包括嵌入的被保護的應用，所述嵌入的被保護的應用使用所述近程無線通信裝置和所述被保護的內部功能，所述方法進一步包括以下步驟接收用於執行所述被保護的應用的驗證數據項，所述驗證數據項自所述移動終端接收；將接收到的所述驗證數據項與存儲在所述微電路設備中的至少一個數據項相比較；如果接收到的所述驗證數據項相應於所述至少一個存儲的數據項，並且如果所述被保護的應用被調用，則根據在所述微電路設備中動態地定義的至少一個準則而校驗接收到的所述驗證數據項的有效性；以及如果接收到的所述驗證數據項有效，則執行所述被保護的應用。因此，使得根據本發明的所述方法可以確定由用戶輸入的口令的有效性，而不求助於其中使用了微電路設備的移動終端的裝置。因此，根據本發明的所述方法使能改善與口令的使用相關的安全性。有益的是，所述被保護的內部功能是倒數計時功能，如果接收到的所述驗證數據項相應於所述至少一個存儲的數據項，則所述方法進一步包括調用所述倒數計時功能持續預定的時間的步驟，所述校驗步驟包括校驗所述時間未耗盡。由此，口令的有效性具有時限，在微電路設備中以安全方式進行時間倒數計時。所述倒數計時功能優選為基於所述微電路設備的硬體時鐘。仍然根據一個特定的實施例，所述方法進一步包括以下步驟自連接所述微電路設備的所述移動終端接收至少一個信息項，從而指示可經由所述近場無線通信裝置接入至少一個無接觸式接入站點；響應於接收到的所述至少一個信息項而至少選擇嵌入在所述微電路設備中的所述被保護的應用，並且將對所述至少一個選擇的應用的至少一個標記發送到所述移動終端；以及接收應用的至少一個標識符，所述標識符相應於對所述嵌入的被保護的應用的標記。因此，所述方法可以使能例如支付應用等應用的簡單且安全的實施。本發明還涉及一種包括指令的電腦程式，當所述程序在計算機上執行時，所述指令適於如前所述的方法的每個步驟的實施。本發明還涉及一種包括裝置的設備，所述裝置例如為適於如前所述的方法的每個步驟的實施方式的微控制器，以及對包括這種設備的行動電話網絡和集成這種設備的移動終端的訂購者的身份識別卡。根據一個特定的實施例，所述設備進一步包括至少一個存儲器，該存儲器被配置為存儲關於所述至少一個被保護的內部功能的至少一個數據項。仍然根據一個特定的實施例，所述微控制器進一步被配置為執行密碼算法，該密碼算法保護關於所述至少一個被保護的內部功能的所述至少一個數據項，和/或所述微控制器進一步被配置為執行一種用於CN 102547682 A所述設備的至少一個組件的硬體保護的算法，從而改善所述至少一個內部功能的保護。由這種電腦程式、這種設備和這種身份識別卡獲得的優點與上述優點類似。


本發明的其他優點、目的和特徵將通過以下以非限制性示例的方式給出的關於附圖的詳細說明而顯現出來，在附圖中圖1是使本發明的實施方式成為可能的移動終端和相關聯的微電路卡的圖示；圖2說明了在根據本發明的移動終端中實現的特定步驟；圖3說明了在根據本發明的微電路卡中實現的特定步驟；以及圖4說明了根據本發明的用於管理置於備用的模塊的示例性算法的特定步驟。
具體實施例方式已觀察到與由移動終端結合微電路卡執行的特定操作的實施相關的安全性有缺點，因為部分安全機構在移動終端中實現，而所述移動終端不能被視為安全實施區域。特別地，已觀察到由於移動和銀行運營商的規範，移動終端實現了中介應用 (intermediary application)。這些應用特別地用於計算由用戶輸入的口令的期滿時間。 這可以移動信息設備小程序(midlet)的形式實現，也就是說，一組Java API (API代表應用程式接口)，該Java API定義了在插入到與終端接口連接的移動終端中的卡中的應用的執行方式。同樣，口令可以在給定的使用次數內有效。換句話說，經由移動終端執行的被保護的應用的安全性並非全是這麼好。通過說明的方式，在期滿時間的末尾的用於口令的無效命令是在移動終端上實現的功能，並且因此，結果通常以非安全的方式發送到微電路卡，例如SIM卡。實現這些功能的所述移動信息設備小程序未被認證，特別是未被銀行官方認證。因此，這些功能可以是詐騙攻擊的目標並且其結果可以被竊取。此外，移動信息設備小程序可能具有缺陷，這可能導致口令在很長的時期內有效。 因此，例如當用戶必須輸入口令來執行大於給定總和的交易時，該用戶可以執行大於所述總和的交易，而未意識到口令期滿機構是否存在缺陷。此外，觀察到微電路卡通常具有被稱作備用模式的模式，該模式使能禁止這些卡的部分或全部功能。這種模式引起微電路卡的電耗的降低，從而節約了其中使用了微電路卡(微電路卡通常由其連接的移動終端供電)的移動終端的電池電荷。因此，換句話說， 具有微電路卡可以「正常」使用的活躍狀態，僅可以使用所述卡的特定功能的一個或更多個備用狀態，以及不可以使用任何功能的停止狀態。為了從停止狀態進入到活躍或備用狀態，通常需要啟動所述卡，這通常需要不可忽略的時間。根據當前標準，微電路卡的狀態被其中使用了所述卡的移動終端控制。因此，例如根據ISO 7816標準，用於將微電路卡置於備用的移動終端的功能，特別是用於停止所述微電路卡的內部時鐘的移動終端的功能是 「clockstop」，該功能的作用是停止由移動終端發送到微電路卡的時鐘信號。當所述微電路卡檢測到時鐘信號的停止時，所述微電路卡進入備用。本發明涉及被保護的內部功能在微電路卡中的實施方式，特別是安全功能的實施方式，所述安全功能例如為用於計算口令的期滿時間的功能，或更一般地為用於計算由用戶輸入的驗證數據項的期滿時間的功能，所述微電路卡例如為SIM卡、UICC卡、UMTS卡或 RUIM卡，其被配置為結合移動終端使用。因此，根據本發明，用戶的驗證數據項的有效性根據在身份識別卡中動態地定義的準則而實現。這種準則通常是有效時間和/或使用次數。 本發明還涉及例如存儲器管理功能等其他被保護的功能的實施方式。圖1表示適於實現本發明的移動終端100。如圖所示，移動終端100包括行動電話模塊105，該行動電話模塊105有益地連接到擴音器110和麥克風115。行動電話模塊連接到移動終端100的天線(未示出)，從而與行動電話網絡通信。移動終端100還包括中央處理單元120，並且優選地還包括屏幕125，所述中央處理單元120還被稱作CPU。移動終端100進一步包括用於近程通信的模塊130，有益地為近程無線通信模塊。 模塊130例如為NFC型。模塊130可以例如以集成電路和天線的形式被直接植入移動終端 100中，或者例如以包括集成天線的微電路卡的形式插入到移動終端100中。所述移動終端還包括輸入設備135，該輸入設備135例如為鍵盤或等價的設備，用以輸入字符、值和/或命令。輸入設備135結合屏幕125形成用戶界面。輸入設備135還可以觸控螢幕的形式集成到屏幕125中。所述移動終端100還包括存儲器模塊140，該存儲器模塊140適於至少存儲在移動終端100和這些組件中的一些組件之間使用的應用和/或軟體界面145，所述組件是固定的或可移除的，例如模塊130和連接到所述移動終端的微電路卡，所述微電路卡例如為身份識別卡150。此處，身份識別卡150是提供有微控制器155、第一存儲器160和第二存儲器170 的SIM卡。第一存儲器160在此處用於存儲應用，例如用戶的應用、用戶的運營商的應用以及銀行應用。該存儲器的部件165進一步用於存儲使用戶能接入行動電話網絡的信息、參數和/或用戶信息，特別是PIN型代碼。第一存儲器160通常是快閃記憶體型存儲器。第二存儲器170在此處是ROM型存儲器(ROM是只讀存儲器的首字母縮寫)。所述第二存儲器170尤其用於存儲身份識別卡的作業系統以及接口功能。根據一個特定的實施例，所述近程通信模塊130可以部分或全部地集成到身份識別卡150中。身份識別卡150優選為可移除並且是安全的。本發明涉及直接在微電路卡中實現的機構，也就是說，一般來說，涉及例如在SIM 卡150中的微電路設備，該微電路設備用於控制關於所述卡的狀態的被保護的內部功能的執行，特別是由被保護的應用調用的內部功能的執行。包括例如微控制器155以及存儲器 160和170的微電路設備可以被集成到移動終端中。根據一個特定的實施例，本發明涉及一種用於動態地管理由用戶使用輸入裝置輸入的口令的有效性的機構，所述輸入裝置例如為鍵盤135。這種機構可以特別地包括校驗口令的有效性的持續時間和/或測試使用相同的輸入口令的被保護的應用的執行次數。與在移動終端中實現的類似機構相比，位於微電路卡內部的這種機構對攻擊的靈敏度降低，這是由於微電路卡的環境通常比移動終端的環境更安全。此外，這種機構可以例如通過銀行官方被容易地認證。有益的是，這種機構使用微電路卡的通常被稱作定時器的內部功能。定時器通常被定義為硬體或軟體功能，所述功能被給定的任務是管理在多個時鐘脈衝後的中斷，從而激活或執行其他功能，所述定時器通常為軟體代碼。所述數量的時鐘脈衝和被使用的時鐘 (例如微電路卡的時鐘)通常作為參數被提供到所述功能。根據本發明，接口(API)例如被添加到在微電路卡內使用的作業系統，從而提供用於校驗自與所述卡連接的移動終端接收到的口令的有效性的內部功能。這些功能特別地使能口令的預定義的有效時間，該時間被倒數計時。此處添加的接口例如包括由SIM卡的作業系統向銀行應用提供的服務，所述應用例如為卡上小程序(cardlet)型應用。例如，在接收到的口令被視為正確時，也就是說，當接收到的口令與之前存儲在存儲器中的驗證數據項匹配時，這種服務被立即調用。為了校驗口令的預定義的有效時間，優選為使用微電路卡的硬體時鐘。使用這種時鐘的定時器功能還被稱作硬體定時器，其可以被視為微電路卡的作業系統的硬體擴展， 所述作業系統通常為軟體。通常存在於SIM卡內，更特別地存在於微控制器內的這種硬體定時器功能給予了由製造商根據在EAL4+標準下公知的通用準則一般地進行認證的優點。作為一種變型，可以使用已知為軟體定時器的定時器軟體功能。用於這些目的的時鐘可以自微電路卡的硬體時鐘生成或自移動終端的時鐘生成。軟體定時器一般不由製造商認證。根據一個優選的實施例，所述微電路卡包括至少兩個等級的備用。第一等級相應於全部備用，其中所述微電路卡的全部組件均處於備用(因此這是一個標準的備用模式)。 第二等級相應於部分備用，其中特定的功能活躍。因此，例如用於口令的預定義的有效時間的倒數計時功能可以在這種備用等級下仍為活躍。換句話說，在部分備用模式中，定時器功能(軟體定時器或硬體定時器)在此處為活躍。圖2說明了根據本發明的移動終端中實現的特定步驟。第一步驟(步驟200)涉及檢測站點，例如用於支付物體或服務的收費站點，例如訪問博物館。根據所使用的近程無線通信模塊的配置，該步驟可以通過信號的檢測或響應於經由所使用的移動終端的接口產生的來自用戶的命令而自動地執行。在以下步驟(步驟20 中，在移動終端和之前檢測到的站點之間建立通信信道。 這種通信信道在此處根據標準協議建立，例如根據ISO 14443標準的協議。並行、同時或在之前，在所使用的移動終端和其中包含的微電路卡之間建立通信信道(步驟210)。此外，這種通信信道優選為根據標準協議建立，例如根據ISO 7816標準的協議。之後，關於檢測到的站點的信息項被發送到微電路卡，從而使微電路卡能選擇包含在該卡中並且可以被執行的應用。應用的選擇優選為基於檢測到的站點的類型。對這些被選擇的應用的標記例如以列表的形式被發送到移動終端(步驟21 。所述被選擇的應用例如為銀行應用。被選擇的應用的列表可以在移動終端上顯示，以便使用戶能選擇其中之一(步驟 220)。被選擇的應用的標記之後被發送到微電路卡，如果可用，則向移動終端指示口令必須由用戶輸入。在此情況下，用戶使用例如連接到移動終端的鍵盤或類似的設備輸入口令 (步驟22幻。這種口令之後例如根據ISO 7816標準被發送到微電路卡，所述微電路卡認證所述口令並且開始被選擇的應用的執行，也就是說，開始該應用的功能的執行。這些功能可以由被選擇的應用本身標識或由用戶選擇。特別地可以存在用於支付數額的定單，所述數額可以由用戶輸入或由基於建立移動終端和站點之間的通信的站點發送。
9
在這些功能執行時(步驟230)，移動終端通常被用作微電路卡和移動終端的近程無線通信模塊之間的接口。如圖所示，所述方法可以被重複，直至該方法被(自動地或由用戶)終止。圖3說明了根據本發明的在例如SIM卡等微電路卡中實現的特定步驟。第一步驟(步驟300)在此處涉及身份標識卡中包含的應用的選擇。如前所述， 這種選擇優選為根據站點的特性進行，所述站點與包括微電路卡的移動終端建立了通信信道。因此，這種特性可以涉及關於支付總數的指示或者關於電子錢包或通信信用的再次充值的指示。被選擇的應用的標記之後例如以列表的形式發送到移動終端。當移動終端接收到這種列表時，該列表優選為被顯示，從而使用戶能夠選擇多個應用中的一個。當選擇了一個應用時，其標記被發送到微電路卡，更具體地，被發送到微電路卡的微控制器，從而使所述微電路卡能開始相應的應用(步驟305)。可替換地，如果僅一個應用能夠被執行或者基於配置參數，則應用可以直接開始， 而無需被用戶明確地選擇。當開始一個應用，執行測試以確定所述應用是否被保護，也就是說，該應用的執行或該應用的功能中的特定功能的執行是否要求用戶的驗證(步驟310)。如果為否，則所述應用通過微電路卡的微控制器以傳統方式執行。在相反的情況下，如果所述應用被保護，則指令在此處被發送到移動終端，以便獲得口令，該口令使所述應用能通過驗證被鎖定。所述口令優選為由用戶使用連接到移動終端的鍵盤或類似設備輸入，之後被發送到微電路卡。此處應注意到，可以使用符合FIPS標準(FIPS是聯邦信息處理標準的首字母縮寫)的口令算法保護與被保護的一個或多個功能相關的數據，所述數據被存儲在微電路卡的存儲器中，例如參考圖1說明的存儲器160和/或存儲器170。同樣，例如參考圖1說明的微控制器155以及存儲器160和170等微電路卡的組件可以提供有抵禦所謂的非入侵性攻擊(例如通過時間分析、消耗分析、電磁分析的攻擊和/ 或基於時鐘的攻擊)、入侵性攻擊或半入侵性攻擊的硬體保護，所述微電路卡的組件中具有被存儲的關於被保護的一個或多個功能的數據。在獲得了口令(步驟31 後，執行測試以確定接收到的口令是否正確(步驟 320)。為了這些目的，微電路卡的微控制器或連接到所述微控制器的密碼模塊將接收到的口令與預先存儲的數據項相比較。可以特別地使用標準密碼和驗證算法來進行這種比較。可替換地，可以使用例如指紋識別等其他驗證模式。如果所述口令不正確，則處理被終止或將指令發送到移動終端以邀請所述用戶再次輸入口令(如虛線箭頭所示)。相反，如果所述口令正確，則激活時間倒數計時功能，也就是說，激活被保護的內部功能(步驟325)。如前所述，這種功能的目標是標識時間，在該時間內，接收到的口令被視為有效。這種時間的長度優選為預定的。倒數計時功能基於微電路卡的時鐘，或者可替換地，基於移動終端的時鐘。可替換地，所述倒數計時功能可以在校驗所述口令之前開始，如果所述口令不正確，則停止所述倒數計時功能。
所述倒數計時功能通常基於如前所述的定時器功能(優選為硬體定時器功能)。 這種功能與作為參數的口令有效性的持續時間以及所使用的時鐘一起被調用。當定時器期滿時，也就是說，在執行定時器功能的末尾，生成中斷。這向倒數計時功能指示該倒數計時功能已終止。所述倒數計時功能還可以類似於定時器功能。根據一個特定的實施例，當所述倒數計時功能被激活時，第一指示被發送到微電路卡的作業系統，或者更一般地被發送到用於管理置於備用的模塊。同樣，當所述倒數計時功能被再次初始化或者所述倒數計時已終止時，第二指示被發送到身份識別卡的作業系統，或者更一般地被發送到用於管理置於備用的模塊。因此，已知倒數計時功能的狀態，作業系統或者更一般地用於管理置於備用的模塊可以在倒數計時功能活躍時禁止身份識別卡的完全備用狀態。換句話說，當倒數計時功能活躍時(當使用身份標識卡的時鐘時)，僅可以使用其中的微電路卡的時鐘處於活躍的活躍狀態或部分備用狀態。如果倒數計時功能是基於移動終端的時鐘的，則部分備用的狀態是這樣一種狀態，在該狀態中，倒數計時功能可操作，而不需要使身份識別卡的時鐘處於活躍。可替換地，當倒數計時功能活躍時，可以禁止改變身份識別卡的狀態。因此，有益的是，當倒數計時功能被激活時，優選為存儲在易失性存儲器中的例如為狀態變量ΡΙΝ_0Κ 的狀態變量被設置為第一值(例如，ΡΙΝ_0Κ= 1)。當倒數計時功能被再次初始化或者當倒數計時已終止時，所述狀態變量被設置為第二值(例如，ΡΙΝ_0Κ = 0)。可替換地，當定時器功能發出中斷時(當定時器期滿時)，這種狀態變量可以被直接設置為所述第二值，當所述狀態變量被設置為所述第二值時，所述倒數計時功能被去激活。在此情況下，由定時器功能生成的中斷觸發用於更新狀態變量ΡΙΝ_0Κ的功能，優選為軟體功能。之後，當涉及所執行的被保護的應用的功能的命令被微電路卡的微控制器處理時，執行測試以確定接收到的口令是否有效(步驟33 。此處應注意到，涉及所執行的被保護的應用的功能的命令可以直接連接到所述功能(即，在此情況下，被自動接收)，所述命令可以自用戶的選擇產生(所述命令之後經由中央處理單元120通過來自移動終端的指令的中介被接收，如虛線箭頭所示)或者可以來自移動終端連接的站點(所述命令之後經由模塊130被接收，如虛線箭頭所示)。為了確定口令是否有效，微電路卡的微控制器在此處使用之前開始的時間倒數計時功能。因此，如果所述時間被耗盡，則所述口令被視為無效。此外，根據一個特定的實施例，由於口令的輸入而執行的被保護的應用(或該應用的功能)的次數可以與預定的使用次數相比較。因此，可以限制口令被用於單個命令、兩個命令等等。如果所述口令無效，則指令被發送到移動終端，從而邀請用戶再次輸入口令(所述算法返回到之前所述的步驟315)。相反，如果所述口令被視為有效，則處理所考慮的命令並且執行相應的功能(步驟340)。如前所述，這種功能的執行可以基於移動終端調用，特別地，利用被使用的近程無線通信模塊。根據口令僅可用於執行單個功能的特定的實施例，時間倒數計時功能被再次初始化(以使其停止)。這樣，如果必須執行新的被保護的命令，則所述口令將被視為無效， 而無需將由於所述口令的接收而被執行的命令的次數與預定的使用次數相比較。此處觀察到，因為應用的特定功能的執行受到特定的約束，所以所述應用可以被保護，如前所述，所述約束特別是用戶的驗證。然而，應用還可以被全局地保護，也就是說當所述應用的執行已被授權時(在用戶的驗證之後)，不需要驗證用戶以執行應用的功能。 但是，當這種應用使用了其他被保護的應用時，可能需要再次驗證用戶以執行所述其他應用。當微電路卡檢測到用於置於備用的命令時，並且如果置於備用的等級使得其傾向於影響被保護的應用(特別是內部倒數計時功能)的執行，則執行測試以確定是否可以執行用於置於備用的命令或者是否必須推遲所述命令的執行。為了這些目的，用於管理置於備用的模塊優選為在微電路卡中實現。所述模塊可以是硬體模塊或軟體模塊。所述模塊可以特別地集成到微電路卡的作業系統中。如果使用了例如狀態變量ΡΙΝ_0Κ等優選為存儲在易失性存儲器中的狀態變量，則用於管理置於備用的模塊確定所述狀態變量的值，並且基於該值，授權或不授權置於被請求的備用狀態。圖4說明了根據本發明的用於管理置於備用的模塊的一個示例性算法的特定步驟。如圖所示，第一步驟(步驟400)涉及檢測用於將包括所述模塊的微電路卡置於備用的命令。根據ISO 7816標準，當時鐘信號停止時，基於來自使用了微電路卡的移動終端的時鐘信號檢測這種命令。在接下來的步驟中，用於管理置於備用的模塊確定與用於置於備用的命令相關聯的被請求的備用狀態是否低於當前的備用狀態(步驟405)，也就是說，被請求的備用狀態是否涉及微電路卡的特定功能的激活(在此情況下，被請求的備用狀態低於或等於當前的備用狀態)，或者相反，被請求的備用狀態是否涉及微電路卡的特定功能的禁止(在此情況下，被請求的備用狀態高於當前的備用狀態)。如果被請求的備用狀態低於或等於當前的備用狀態，則執行接收到的用於置於備用的命令(步驟410)。相反，如果被請求的備用狀態大於當前的備用狀態，則執行測試以確定所使用的狀態變量的值，從而指示被保護的內部功能傾向於被置於比當前的備用狀態更高等級的備用影響(步驟41幻。根據之前給出的示例，該步驟在此處涉及確定變量ΡΙΝ_0Κ的值。如果所使用的狀態變量的值指示被保護的內部功能未傾向於被置於比當前的備用狀態更高等級的備用影響，則執行接收到的用於置於備用的命令(步驟410)。相反，如果所使用的狀態變量的值指示被保護的內部功能傾向於被置於比當前的備用狀態更高等級的備用影響，則執行另一個測試以確定被請求的備用等級是否影響了被保護的內部功能的執行(步驟420)，例如被請求的備用狀態是否涉及禁止倒數計時功能或定時器功能(如果倒數計時功能和定時器功能不同的話)。在肯定的情況下，最後兩個步驟 (步驟415和420)被重複以推遲檢測到的用於置於備用的命令的執行。作為一種變型，由定時器功能生成的中斷可以用於觸發用以更新狀態變量ΡΙΝ_0Κ 的功能，優選為軟體功能，這種更新功能包括用於備用管理的功能。因此，如果已檢測到用於置於備用的命令，也就是說，如果備用在等待，則當發生所述中斷時，微電路卡被置於備用，直至更新狀態變量ΡΙΝ_0Κ。相反，如果被請求的備用等級未影響被保護的內部功能的執行，則執行檢測到的用於置於備用的命令(步驟410)。所使用的狀態變量的值可以根據微電路卡的備用等級被存儲在易失性或非易失性存儲器中，使得所述值可在最高的備用狀態中被存取，在所述最高的備用狀態中，可以執行被保護的內部功能。此處注意到，可以修改備用狀態(自一個備用狀態轉到更低的等級) 以改變狀態變量的值。根據一個特定的實施例，可以由被保護的內部功能來控制用於置於備用的命令的執行，所述被保護的內部功能關於所述命令來管理狀態變量，或者可以由使用這些被保護的內部功能的被保護的應用來控制用於置於備用的命令的執行。根據本實施例，在接收到檢測到用於置於備用的命令的指示後，被保護的內部功能或被保護的應用向用於管理置於備用的模塊指示可以執行用於置於備用的命令的時間。根據另一個實施例，嵌入在微電路卡中的被保護的內部功能涉及用於管理所述卡的存儲器的功能。該功能可以特別是被稱作「耗損均衡」的功能。此處回想起在微電路卡中使用的存儲器通常包括EEPROM型(EEPR0M代表電可擦除可編程只讀存儲器)存儲器，該EEPROM型存儲器通常具有有限數量的寫入周期，例如2 千萬或1億次寫入操作。然而，為了寫入，一些存儲器區域通常比其他區域更頻繁地存取。 因此，為了避免過早結束微電路卡的壽命(連接到微電路卡不能寫入到特定的存儲器區域)，執行用於在存儲器的區域間移動數據的功能，以便儘可能平均地分配寫入操作。這種存儲器管理功能通常被稱作耗損均衡。這種內部功能可以與由用戶調用的應用的執行並行執行，這可以導致微電路卡的性能下降。當微電路卡未被使用時，同樣可以執行所述內部功能和所述應用。在此情況下， 稍後進行的將微電路卡的特定組件置於備用，特別是將具有讀取和寫入操作的任務的組件置於備用可以導致例如數據丟失。因此，需要提供一種用於避免基於將微電路卡置於備用的數據丟失的機構。本發明有益地解決了這個問題。根據一個特定的實施例，當激活耗損均衡功能時， 第一指示被發送到身份識別卡的作業系統，或者更一般地被發送到用於管理置於備用的模塊。同樣，當終止耗損均衡功能的執行時，第二指示被發送到身份識別卡的作業系統，或者更一般地被發送到用於管理置於備用的模塊。因此，已知耗損均衡功能的狀態，在耗損均衡功能活躍時，作業系統或者更一般地用於管理置於備用的模塊可以禁止微電路卡的完全備用狀態。可替換地，在耗損均衡功能活躍時，可以禁止改變微電路卡的狀態。為了這些目的， 當激活所述耗損均衡功能時，例如狀態變量WL_0K等狀態變量被設置為第一值(例如WL_0K =1)。當終止耗損均衡功能的執行時，所述狀態變量被設置為第二值(例如WL_0K = 0)。因此，用於管理置於備用的模塊與參考圖4說明的模塊類似，狀態變量ΡΙΝ_0Κ被狀態變量WL_0K代替。有益的是，例如STANDBY_0K的相同的狀態變量被用於控制被保護的內部功能的執行，以便在適當的時候推遲用於置於備用的命令。如前所述，上述算法，特別是參考圖3和圖4說明的算法有益地在微電路卡中實現，所述微電路卡例如為行動電話網絡的訂購者的身份識別卡，所述身份識別卡例如為SIM卡。必然地，為了滿足特定需要，本領域技術人員將能夠對前述說明進行修改。
權利要求
1.一種用於執行對至少一個被保護的內部功能的控制的方法，所述至少一個被保護的內部功能嵌入在適於結合移動終端(100)使用的微電路設備(150)中，所述方法的特徵在於該方法在所述微電路設備中實現並且包括以下步驟檢測(400)用於將所述微電路設備置於備用的命令，基於自與所述微電路設備連接的移動終端接收的信息項檢測用於置於備用的所述命令；分析(415)關於所述至少一個被保護的內部功能的執行的至少一個指示；以及如果所述至少一個被保護的內部功能傾向於被用於置於備用的所述命令的執行影響， 則推遲用於置於備用的所述命令的執行G10)。
2.如權利要求1所述的方法，進一步包括以下步驟在所述至少一個被保護的內部功能開始執行時，將狀態變量設置為第一值(325)；以及當終止執行所述至少一個被保護的內部功能或當所述被保護的內部功能被再次初始化時，將所述狀態變量設置為第二值(325)；所述分析步驟包括分析所述狀態變量的值的步驟。
3.如權利要求1所述的方法，其中用於置於備用的所述命令的執行由所述至少一個被保護的內部功能控制。
4.如權利要求1-3中任意一個權利要求所述的方法，進一步包括以下步驟005)將與用於置於備用的所述命令相關聯的被請求的備用的等級與所述微電路設備的備用狀態相比較。
5.如權利要求1-4中任意一個權利要求所述的方法，所述微電路設備或所述移動終端提供有近程無線通信裝置(130)，所述微電路設備包括嵌入的被保護的應用，所述嵌入的被保護的應用使用所述近程無線通信裝置和所述被保護的內部功能，所述方法進一步包括以下步驟接收(31 用於執行所述被保護的應用的驗證數據項，所述驗證數據項自所述移動終端接收；將接收到的所述驗證數據項與存儲在所述微電路設備中的至少一個數據項相比較 (320)；如果接收到的所述驗證數據項相應於至少一個存儲的數據項，並且如果所述被保護的應用被調用，則根據在所述微電路設備中動態地定義的至少一個準則而校驗(33 接收到的所述驗證數據項的有效性；以及如果接收到的所述驗證數據項有效，則執行(340)所述被保護的應用。
6.如權利要求5所述的方法，其中所述被保護的內部功能是倒數計時功能，所述方法進一步包括如果接收到的所述驗證數據項相應於所述至少一個存儲的數據項，則調用所述倒數計時功能持續預定的時間(325)，所述校驗步驟包括校驗所述時間未耗盡。
7.如權利要求6所述的方法，其中所述倒數計時功能基於所述微電路設備的硬體時鐘。
8.如權利要求5-7中任意一個權利要求所述的方法，所述方法進一步包括以下步驟 自連接所述微電路設備的所述移動終端接收至少一個信息項，從而指示可經由所述近程無線通信裝置接入至少一個無接觸式接入站點；響應於接收到的所述至少一個信息項而至少選擇(300)嵌入在所述微電路設備中的所述被保護的應用，並且將對所述至少一個選擇的應用的至少一個標記發送到所述移動終端；以及接收應用的至少一個標識符，所述標識符相應於所述嵌入的被保護的應用的標記。
9.如前述權利要求中任意一個權利要求所述的方法，其中所述微電路設備是微電路卡。
10.一種包括指令的電腦程式，當所述程序在計算機上執行時，所述指令適於執行如前述權利要求中任意一個權利要求所述的方法的每個步驟。
11.一種包括適於如權利要求1-9中任意一個權利要求所述的方法的每個步驟的實施的裝置的設備。
12.一種用於執行至少一個被保護的內部功能的控制的微電路設備，所述至少一個被保護的內部功能嵌入在適於結合移動終端(100)使用的所述微電路設備(150)中，所述設備的特徵在於該設備包括配置為實現以下步驟的微控制器檢測(400)用於將所述微電路設備置於備用的命令，基於自與所述微電路設備連接的移動終端接收的信息項檢測用於置於備用的所述命令；分析(415)關於所述至少一個被保護的內部功能的執行的至少一個指示；以及如果所述至少一個被保護的內部功能傾向於被用於置於備用的所述命令的執行影響， 則推遲用於置於備用的所述命令的執行G10)。
13.如權利要求12所述的設備，進一步包括至少一個存儲器，該存儲器被配置為存儲關於所述至少一個被保護的內部功能的至少一個數據項。
14.如權利要求13所述的設備，其中所述微控制器進一步被配置為執行密碼算法，該密碼算法保護關於所述至少一個被保護的內部功能的所述至少一個數據項。
15.如權利要求12、13和14中任意一個權利要求所述的設備，所述微控制器進一步被配置為執行一種用於所述設備的至少一個組件的硬體保護的算法。
16.一種行動電話網絡的訂購者的身份識別卡，所述身份識別卡包括如權利要求 11-15中任意一個權利要求所述的設備。
17.一種集成了如權利要求11-15中任意一個權利要求所述的設備的移動終端。
全文摘要
一種控制微電路卡中被保護的內部功能和應用的方法和設備。本發明特別地涉及執行嵌入在移動終端微電路卡中的被保護的內部功能和應用的控制。所述被保護的內部功能的控制直接在微電路卡中執行。在基於自與所述卡連接的移動終端接收的信息項檢測到(400)用於將所述卡置於備用的命令之後，分析(415)關於所述被保護的內部功能的執行的至少一個指示。如果所述被保護的內部功能傾向於被用於置於備用的所述命令的執行影響，則推遲用於置於備用的所述命令的執行(410)。
文檔編號H04W12/00GK102547682SQ201110409178
公開日2012年7月4日 申請日期2011年12月9日 優先權日2010年12月9日
發明者A·拉伯森, S·丹尼斯 申請人:歐貝特技術公司