專利名稱:具有可修改操作程序的集成電路卡和相應(yīng)的修改方法
技術(shù)領(lǐng)域:
本發(fā)明涉及尤其適用于數(shù)據(jù)介質(zhì)的智能卡,例如用于構(gòu)成識別智能卡攜帶者的裝 置�、用于進入住宅或訪問裝備的裝置、例如銀行卡或電話卡之類的支付裝置����。
背景技術(shù):
智能卡一般包括其上固定有集成電路的本體,該集成電路包括形成處理器單元的 處理器��、只讀存儲器(ROM)和例如電可擦除可編程只讀存儲器(EEPROM)型可編程ROM�����。處 理器單元配置成執(zhí)行包含在ROM中并包含功能性部分的操作程序,每個功能性部分定義處 理器單元的一個功能���。由處理器單元使用的數(shù)據(jù)一般包含在可編程ROM中��。ROM比可編程 ROM更便宜����,因此采用ROM存儲操作程序有助于壓低智能卡的成本��。然而����,操作程序需要在 集成電路制造時存儲在ROM中并且之后無法再次更改。因此����,改進操作程序——更具體地 說對其作出任何修改——需要制造新的集成電路����。發(fā)明目的本發(fā)明的目的是提供允許以簡單和快速的方式和由現(xiàn)存智能卡選擇性應(yīng)用的方 式修改操作程序。為此��,本發(fā)明提供一種包括與ROM和可編程ROM相關(guān)聯(lián)的處理器單元的智能卡����,該 ROM包含可由處理器單元執(zhí)行并具有功能性部分的操作程序��,每個功能性部分定義處理器 單元的一功能�����。程序包括每個功能性部分的入口 /出口點�,且每個功能性部分關(guān)聯(lián)于一標 識符���??删幊蘎OM包含至少一個可替代功能性部分����,該至少一個可替代功能性部分適于替 代ROM的功能性部分中的一個功能性部分并關(guān)聯(lián)于與ROM的相應(yīng)功能性部分的標識符對應(yīng) 的標識符。處理器單元配置成執(zhí)行該可替代功能性部分而不是ROM的該相應(yīng)功能性部分���。操作程序的入口 /出口點因此配置在各功能性部分之間以使處理器單元能使操 作程序的原始功能性部分短路并取而代之地執(zhí)行存儲在可編程ROM中的可替代功能性部 分��。另外�,操作程序中的入口 /出口點的多樣性能夠?qū)?gòu)成存儲在可編程ROM中的可替代 功能性部分的程序段的大小限制在所要代替的功能性部分的大小����。由可替代功能性部分占 據(jù)的可編程ROM的量因此相對較小����?��?商娲δ苄圆糠植粌H可通過集成電路的制造商而且 可通過智能卡的發(fā)行商存儲在可編程ROM中��,由此簡化其管理�����。較為有利地�����,可替代功能性部分被加載入可編程ROM的起動區(qū)���。這可能加速可替代功能性部分的搜索以使操作程序的執(zhí)行不會以有害方式減慢。優(yōu)選地�����,可編程ROM包括指示可替代功能性部分的存在性的指示符�。因此�,處理器單元可快速檢測是否需要對可編程只讀存儲器進行讀取以搜索可替 代功能性部分����。同樣優(yōu)選地��,處理器單元被編程以至少在第一次執(zhí)行可替代功能性部分前驗證該 可替代功能性部分�����。不誠實的人可能受誘惑而使用可替代功能性部分來獲得對集成電路中包含的機 密信息的訪問或使處理器單元執(zhí)行正常不允許的操作���。認證可替代功能性部分能核實可替 代功能性部分由經(jīng)授權(quán)人員存儲��,因此推定為無害�����。
3
在這類情形下���,較為有利地,將簽名關(guān)聯(lián)于該可替代功能性部分或每個可替代功 能性部分并對處理器單元編程以核實該簽名或每個簽名的真實性�����,和/或加密可替代功能 性部分�����,并且認證包括解密和核實填充位的步驟。這些認證技術(shù)是可靠和快速的���。本發(fā)明還提供核實包含在ROM中并可由集成電路的處理器單元執(zhí)行的程序的方 法����,該程序包括功能性部分�,每個功能性部分關(guān)聯(lián)于標識符和入口 /出口點,并且該方法包 括步驟·在可編程ROM中存儲至少一個可替代功能性部分����,該至少一個可替代功能性部 分用于替代ROM的功能性部分中的一個功能性部分并關(guān)聯(lián)于與ROM的相應(yīng)功能性部分的標 識符對應(yīng)的標識符?����!?一旦通過處理器單元執(zhí)行程序��,則執(zhí)行該可替代功能性部分而不是相應(yīng)功能性 部分�����。在閱讀下面對本發(fā)明的特定�、非限定性實施例的詳細說明后�����,本發(fā)明的其它特征 和優(yōu)勢將變得清楚。
參照附圖�,在附圖中圖1是示出根據(jù)本發(fā)明的智能卡的框圖;圖2是智能卡的只讀存儲器的內(nèi)容的框圖���;圖3是用于智能卡中的可替代功能性部分的框圖�。
具體實施例方式參照附圖�,根據(jù)本發(fā)明的智能卡包括本體1,該本體1具有與之固定的集成電路��, 該集成電路總地用附圖標記2表示并包含例如處理器的處理器單元3�,該處理器單元3連接 于ROM 4、在本例中為EEPROM型的可編程ROM 5以及隨機存取存儲器(RAM) 6�����。根據(jù)本發(fā)明 的智能卡的物理結(jié)構(gòu)本身是已知的��。ROM 4包含總地由附圖標記7表示的操作程序�����,它具有主模塊10和功能性部分 8 (通過標記A、B�、C和D彼此區(qū)別開),其間安排有程序的入口 /出口點9 (由標記A-E 一一 列舉)����。每個功能性部分8關(guān)聯(lián)于其特定的一個標識符。術(shù)語“操作程序”用來表示在被執(zhí)行之際允許處理器單元3執(zhí)行與構(gòu)成功能性部 分的每個程序部分對應(yīng)的處理功能的程序��。操作程序可包括提供處理器單元基本操作的部 分(操作系統(tǒng))或應(yīng)用部分����。程序可包括將多個功能性部分編組到一起的功能性模塊。在已知方式中���,可編程ROM 5任選地包含當執(zhí)行操作程序時由處理器單元使用的 機密數(shù)據(jù)�����。RAM 6包含從外部接收或發(fā)至外部的數(shù)據(jù)以及在執(zhí)行操作程序時由處理器單元 執(zhí)行的計算的中間結(jié)果��?���?删幊蘎OM 5具有含數(shù)據(jù)塊的啟動區(qū)11,該數(shù)據(jù)塊總地由附圖標記12表示并包括 用于代替功能性部分8B和8D的可替代功能性部分8�����,(分別借助標記B和D表示)����。數(shù)據(jù) 塊12以模式循環(huán)的形式存儲���,該模式連續(xù)地包括
·可替代功能性部分8’ B的標識符13B ����;·可替代功能性部分8���,B的數(shù)據(jù)長度的指示14B �����; 討論中的數(shù)據(jù)15B;·對于標識符13B����、指示14B和數(shù)據(jù)15B計算出的完整性值(例如����,完整性值是循 環(huán)冗余校驗(CRC)型方法的結(jié)果)�����;·可替代功能性部分8���,D的標識符13D ;·可替代功能性部分8����,D的數(shù)據(jù)的長度的指示14D ; 討論中的數(shù)據(jù)15D;·末尾標識符16 ����;·末尾數(shù)據(jù)的長度的指示17 ;以及·尤其包括簽名以及可選地包括加速指示符19和完整性值的討論中的數(shù)據(jù)�。在操作程序的執(zhí)行期間,處理器單元3核實可編程ROM 5中是否存在可替代功能 性部分8’的存在性的指示符20����。在適當?shù)那樾蜗拢幚砥鲉卧?對每個功能性部分8核實 是否存在可替代功能性部分8’����,如果確實存在��,則執(zhí)行該可替代功能性部分而不是相應(yīng)的 功能性部分8���。加速指示符19標識其中功能性部分將被替換的功能性模塊,由此允許程序執(zhí)行 加速�。在每個功能性部分的執(zhí)行前,掃描可替代功能性部分8’的標識符并將其與處理器 單元3正準備執(zhí)行的功能性部分的標識符進行比較����。為了執(zhí)行可替代功能性部分8’��,例如可替代功能性部分8’ B���,處理器單元經(jīng)由在 相應(yīng)功能性部分8B之前的入口 /出口點9B退出操作程序�����,并在執(zhí)行可替代功能性部分8’b 后�����,經(jīng)由緊隨相應(yīng)功能性部分8B的入口 /出口點9C返回到操作程序��。在執(zhí)行第一可替代功能性部分8’B前��,處理器單元3繼續(xù)驗證步驟����,即核實可替代 功能性部分8’的數(shù)據(jù)塊12的簽名。如果簽名得到驗證�,可替代功能性部分8’正常執(zhí)行。 否則��,處理器單元3執(zhí)行原始操作程序7�����。在變例中��,可規(guī)定當可替代功能性部分8’的數(shù)據(jù) 塊12未得到驗證時使處理器單元3發(fā)布警告信號�。另外,優(yōu)選地規(guī)定通過使用在標識符13B��、指示14B和數(shù)據(jù)15B上計算出的完整性 值19在執(zhí)行可替代功能性部分前核實可替代功能性部分的完整性�。在操作程序每次新執(zhí) 行前,在其處存儲可替代功能性部分8’的數(shù)據(jù)塊的起動區(qū)11的信息及其簽名借助處理器 單元3的專門命令被恢復(fù)�����。對該命令的響應(yīng)可采用下列形式·沒有可替代功能性部分��,因此響應(yīng)可例如由具有值FF的字節(jié)串構(gòu)成;·具有已生效的存儲著的可替代功能性部分��,響應(yīng)則由要被代替的功能性部分的 列表和簽名塊的簽名構(gòu)成����;以及·存在已被加載但無效的可替代功能性部分,則響應(yīng)例如由具有值00的字節(jié)串構(gòu) 成�����。在第二種情形下�����,在執(zhí)行第一可替代功能性部分8��,前核實該簽名��。下面描述將功能性部分8���,加載入可編程ROM。在加載前���,操作者需要通過密鑰進行驗證���?��?商娲δ苄圆糠?’的數(shù)據(jù)塊12以加密形式傳遞給處理器單元3以存儲在可編
5程ROM 5的起動區(qū)11中。處理器單元3則執(zhí)行驗證可替代功能性部分8’的數(shù)據(jù)塊12的 步驟�。該驗證步驟是通過解密可替代功能性部分8’的數(shù)據(jù)塊12并核實填充位匹配(在加 密過程中使用的位)來實現(xiàn)的。核實填充位允許智能卡確信這實際上就是數(shù)據(jù)塊12所打 算的目的地���。之后�,處理器單元3核實可替代功能性部分8’的數(shù)據(jù)塊12中的簽名和完整 性要素��。應(yīng)當注意到�,簽名本身可構(gòu)成完整性要素。作為示例�����,完整性要素可通過CRC方法 獲得���,也就是處理數(shù)據(jù)塊好像它是多項式的二進制系數(shù)串那樣�。如果這兩種核實中的任一者失敗����,則加載中斷并使該數(shù)據(jù)塊無效��,由此使其不可 用�。一旦可替代功能性部分8’已存儲在可編程R0M5中��,則計算并存儲可用存儲器的大小��。 存在可替代功能性部分的指示符在可編程ROM 5的確定區(qū)域內(nèi)被更新�����。當可替代功能性部分8����,變得無用時(例如如果只執(zhí)行有限次數(shù)),可例如通過重 新加載可替代功能性部分8’的新數(shù)據(jù)塊12——其不包含過期的可替代功能性部分——來 刪除所述可替代功能性部分���。也可擦除全部可替代功能性部分�。尤其當智能卡的制造和/或更新被轉(zhuǎn)包給同樣為競爭對手制造智能卡的供應(yīng)商 時����,加密可替代功能性部分的數(shù)據(jù)塊是有利的����。不同解密代碼可關(guān)聯(lián)于每個競爭對手以確 保他們沒人能無意或惡意地獲得對其競爭對手的可替代功能性部分的數(shù)據(jù)塊的訪問����。更普 遍地����,這也防止第三方獲得對可替代功能性部分數(shù)據(jù)塊的內(nèi)容的訪問。當然���,本發(fā)明不局限于前述實施例��,相反覆蓋使用等效手段的任意變例以重現(xiàn)前 面闡述的實質(zhì)特征����。具體地說�,可修改替代性功能部分的數(shù)量和格式。也可修改可替代功能性部分的 數(shù)據(jù)塊的架構(gòu)�。另外,可使用其它類型可編程ROM以代替EEPR0M�����,尤其可使用可擦除可編程存儲 器(EPROM)����。
權(quán)利要求
一種包括與ROM(4)和可編程ROM(5)相關(guān)聯(lián)的處理器單元(3)的智能卡���,所述ROM包含可由處理器單元執(zhí)行并具有功能性部分(8)的操作程序(10),每個功能性部分定義所述處理器單元的一功能�,所述智能卡的特征在于,所述程序包括每個功能性部分的入口/出口點(9)�,且每個功能性部分關(guān)聯(lián)于一標識符,所述可編程ROM包含至少一個可替代功能性部分(8’)�,所述至少一個可替代功能性部分(8’)適于替代所述ROM的所述功能性部分中的一個功能性部分并關(guān)聯(lián)于與所述ROM的相應(yīng)功能性部分的標識符對應(yīng)的標識符,以及所述處理器單元配置成執(zhí)行所述可替代功能性部分而不是所述ROM的所述相應(yīng)功能性部分��。
2.如權(quán)利要求1所述的智能卡�,其特征在于,所述可替代功能性部分(8’)被加載入所 述可編程R0M(5)的起動區(qū)(11)中��。
3.如權(quán)利要求1所述的智能卡�����,其特征在于�,所述可編程ROM(5)包括用于指示可替代 功能性部分的存在性的指示符(20)。
4.如權(quán)利要求1所述的智能卡��,其特征在于�,所述處理器單元(3)被編程以至少在可替 代功能性部分(8’ )第一次執(zhí)行前對所述可替代功能性部分(8’ )進行認證���。
5.如權(quán)利要求4所述的智能卡�����,其特征在于����,所述或每個可替代功能性部分(8’)關(guān)聯(lián) 于一簽名并且所述處理器單元(3)被編程以核實所述或每個簽名的真實性。
6.如權(quán)利要求5所述的智能卡��,其特征在于�,所述或每個可替代功能性部分(8’)被加 密,并且認證包括解密與核實填充位的步驟�����。
7.一種核實包含在R0M(4)中并可由集成電路(2)的處理器單元(3)執(zhí)行的程序的方 法��,所述程序包括功能性部分����,每個功能性部分關(guān)聯(lián)于標識符和入口 /出口點(9),并且所 述方法包括步驟在所述可編程ROM中存儲至少一個可替代功能性部分(8’)��,所述至少一個可替代功能 性部分(8’ )適用于替代所述ROM的所述功能性部分中的一個功能性部分并關(guān)聯(lián)于與所述 ROM的相應(yīng)功能性部分的標識符對應(yīng)的標識符;以及一旦通過所述處理器單元執(zhí)行所述程序��,則執(zhí)行所述可替代功能性部分而不是所述相 應(yīng)功能性部分�。
8.如權(quán)利要求7所述的方法,其特征在于�,包括在已存儲所述可替代功能性部分(8’) 后,所述處理器單元(3)認證所述可替代功能性部分的步驟���,以及在認證成功的情況下��,使 所述可替代功能性部分有效有效�����,允許其之后執(zhí)行的步驟���。
9.如權(quán)利要求7所述的方法,其特征在于���,所述可替代功能性部分(8’)以加密形式存 儲��,且所述方法包括所述處理器單元(3)解密所述可替代功能性部分的步驟���。
10.如權(quán)利要求7所述的方法��,其特征在于��,包括在至少一次使用后擦除可替代功能性 部分(8,)的步驟����。
全文摘要
本發(fā)明涉及包含與ROM(4)和可編程ROM(5)相關(guān)聯(lián)的處理器單元(3)的智能卡,該ROM包含可由處理器單元執(zhí)行并具有功能性部分的操作程序���,每個功能性部分定義處理器單元的一功能�����。根據(jù)本發(fā)明����,程序包括每個功能性部分的入口/出口點且每個功能性部分關(guān)聯(lián)于一標識符�����,可編程ROM包含適用于替代ROM的功能性部分中的一個功能性部分并關(guān)聯(lián)于與ROM的相應(yīng)功能性部分的標識符對應(yīng)的標識符的至少一個功能性部分�����,處理器單元配置成執(zhí)行該可替代功能性部分而不是ROM的相應(yīng)可替代功能性部分。
文檔編號G07F7/10GK101971218SQ200980109408
公開日2011年2月9日 申請日期2009年3月11日 優(yōu)先權(quán)日2008年3月13日
發(fā)明者C·佩潘, G·魯?shù)弦?申請人:摩福公司