[发明专利]带有保护操作系统的芯片卡

说明书

芯片卡在日常生活的各个领域以强烈上升的势头得到应用。与此相应大量的芯片卡在流通。在芯片卡发行以后，即在其正常使用期间，为了避免特别是卡持有者的财产损失，通常要采取大量措施。例如在卡丢失以后，至少得防止卡被任意第三者擅自使用。

由于芯片卡的数量扩展得很快，为了使特别是大量的芯片卡在分别单独发给最终用户之前已经得到保护，也必须采取措施。例如由卡制造厂家将可能特别多的芯片卡发送给卡的分发者，例如一金融机构。这种途径相当于在银行间运送大量的钱，因此相应地易遭受危险。

在JP62-221089公开的技术中通过输入数据编码，将其与一个存储在芯片卡上的相对应的数据编码作比较，使芯片卡的封锁在初始化时被撤消。只有当芯片卡上所存储的编码与使用者输入的编码一致的时候卡才被解除锁定进行初始化。在此有一个比较过程。被用来进行比较的数据代码已经包含在卡上了。

由JP61一235994所公开的芯片卡在初始化时由使用者输入使用者特有的数据。芯片卡包含两个不同的命令组。第一命令组允许进行初始化，当初始化成功结束后通过设置一个所谓的“结束标志”来代替第一命令组，而使第二命令组被启动。由此芯片卡被解除闭锁，供使用者继续使用。

本发明的目的在于对芯片卡提供一种保护，该保护在芯片卡制造后与交付给正常使用期间的中间阶段即生效。由此应该特别排除下列情况，即例如在芯片卡生产过程中加设在芯片卡上的程序密码本身，尤其是操作系统密码能被查阅到，以及密码可能未经许可或非业务性地被修改。

本发明的目的通过权利要求1中所提供的芯片卡来实现。

在上述芯片卡中，该内部处理器和一个装有操作系统且非易失(nicht-flüchtiger)的程序存储器相互协调，使得芯片卡在其制造后第一次与读写器建立数据联系的时候，只能执行一条指令，其中操作系统用于处理器和由此可能需要的芯片卡其它功能元件的操作运行，这些功能元件例如是电源，用于在芯片卡和外部读写器之间交换数据的数据接口等等。该指令将操作系统特有的命令表补充加载到处理器非易失的存储器中。只有在这个加载操作顺利结束后，才有可能将其它的特别是通过芯片卡外部读写器输入的用户指令配置给用于执行该指令的操作系统部分。因而只有在装入命令表之后才能执行属于使芯片卡按规定正常工作的，所有在芯片卡正常使用期间最大限度的可能的操作的指令。

这种执行方式的优点在于，即使有时大量新制造的芯卡片也几乎完全不能使用。对于各芯片卡而言基本上只有在其单独交付给合法的最终顾客之前的那一刻起才能使用。因此新制造的芯片卡不能使用，虽然在其上非易失的存储器和其它的存储区域已经加载了顺序排列的操作系统指令编码，因为由于缺少命令表输入的用户指令无法识别，执行这些指令所必需的操作系统部分由于没有所属的分支地址而不能被激活。实际上以合理的时间和方法几乎不可能以一种“反求工程”的方式去重建操作系统的功能结构，从而以进入地址的方式获得执行单个用户指令的部分及其可能的相互作用。

本发明芯片卡的这种设计有这样的优点，即在通过将芯片卡交付给新的所有者使用之前的那一刻补充加载命令表而授予用户使用权之前，几乎可防止任何形式的非法使用，而不必在芯片卡的硬件和软件区域内采取昂贵的，使得芯片卡的制造费用提高和可能使其使用功能受到限制的种种措施。一方面可以简单的方式使芯片卡能单独执行加载命令表的指令。另一方面命令表的补充加载对于一个合法地拥有命令表编码的机构，例如一个银行来说，不存在任何数据技术方面的问题。在这个过程中若需要也可以同时传送一些其它的例如使新用户的芯片卡具有个人特色的数据。

通过本发明，除了阻止芯片卡在其交付正常使用之前被无权使用以外，也防止了在此中间阶段在生产过程中加设在芯片卡上的程序编码，尤其是操作系统编码以未经许可的方式被查阅，以及未经许可或非业务性地被修改。

按照本发明的另一有利改进方案，可采取辅助手段，使命令表的传送以密码逻辑编码的形式进行。在加载过程中虽然传送的命令表的编码指令序列可能被窃听，然而，命令表也不会成为可能的非法使用者手中的明文。密码逻辑编码通过一种所谓的校验和而有利地得到保护。

下面借助附图所示实施例对本发明作进一步的详细说明。