CN1127701C

CN1127701C - 智能卡加载应用的系统和方法

Info

Publication number: CN1127701C
Application number: CN97191527A
Authority: CN
Inventors: G·利斯马奎; P·派列特
Original assignee: Gemplus SCA
Current assignee: Jin Yatuo; Gemalto Oy; Gemplus SA
Priority date: 1996-08-30
Filing date: 1997-08-29
Publication date: 2003-11-12
Anticipated expiration: 2017-08-29
Also published as: WO1998009257A1; CN1206482A; ATE235725T1; AU4842897A; US5923884A; EP0858644B1; CA2233217C; ES2196358T3; DE69720181D1; DE69720181T2; RU2159467C2; CA2233217A1; EP0858644A1; AU732887B2

Abstract

本发明提供了一种用于将一个小程序及其相关的使用权限加载于包含具有相关使用权限的其它小程序的智能卡中的系统，该其它小程序的相关使用权限具有随着应用被使用而改变的数值，该系统远离智能卡地存储一个小程序及具有预定初始值的、与该小程序相关的使用权限，并包括具有一个处理单元，和一个存储单元的智能卡，该存储单元连接到处理单元并存储具有使用权限的第二应用。该智能卡可连接到所述远端存储装置，而具有预定值使用权限的应用可由所述远端存储装置加载于所述智能卡中。

Description

智能卡加载应用的系统和方法

发明背景

本发明一般地涉及诸如智能卡的安全的便携代币，具体地，本发明涉及具有可再装应用程序的智能卡。

众所周知，智能卡可以是一个塑料的，信用卡大小的卡片，它包含诸如嵌入智能卡中的微处理器的半导体芯片，这使得它可以执行一些简单的，被称为JAVA小应用程序(applet)的应用程序。智能卡中的一些应用实例包括安全和鉴权，信息存储和提取，管理帐户(valueaccount)的信用和借贷操作，例如预付费电话的通话时间以及借方帐户(debit accounts)。智能卡的每一个帐户应用都有一个与应用有关的使用权限。例如，一个预付费电话通话时间的应用应有预设的预付费通话分钟数，它随着用卡进行通话而逐渐耗尽，一个预付费公共交通帐户包含预设的金额，它随着每次使用公共交通而从帐户上划出。为了存储和执行这些小程序(applet)，上述智能卡具有嵌入式存储器和处理器。为了确保在这些智能卡上的使用权限的安全性，只有智能卡中的处理器可以日常性地更换权限的数值，并且只能在已成功执行了授权过程后进行。智能卡使用的网络不能直接访问卡的存储器和任何应用的使用权限。

智能卡通常分为两种不同类型，可丢弃型的智能卡和永久型、不可丢弃的智能卡。可丢弃型智能卡具有嵌埋于智能卡中的基本半导体芯片，并可以有有限量的存储器和一些硬件逻辑。可丢弃型智能卡可以具有预先设定的预付费使用权限或其它数值的初始值，它们在智能卡制造时被存储于智能卡的存储器中。随着智能卡的使用，智能卡的使用权限逐渐耗尽。预付费的电话卡或地铁费用卡都是典型的可丢弃型智能卡，因为在预付费使用权限耗尽后，这些智能卡被抛弃。由于使用简单的半导体芯片，这些智能卡比较便宜，但同时由于卡中存储值不能被刷新，并无法安装其它应用，所以它们只具有有有限的应用。另外由于有限的存储器和处理能力，这些可丢弃型智能卡也无法执行复杂的加密算法，这也意味着这些智能卡的安全性较低。

非可丢弃的，永久型智能卡可具有一个嵌埋于智能卡中的更复杂的半导体芯片，并可以具有一个可编程微控制器以及一个扩展存储器。该存储器可以存储一个或更多的小程序，这些小程序为不同功能分别设置了一定的使用权限。重要的是，这些永久型智能卡中的使用权限可以刷新，因此当使用权限用尽后，永久型智能卡无须抛弃。永久型智能卡包括根据Europe/Mastercard/Visa标准的银行卡，收费电视访问控制卡。这些永久型智能卡具有更多的存储器，以存储多个小程序，而智能卡上的使用权限可以分别和独立地被刷新。然而，这些永久型智能卡由于额外的存储器和微控制器，价格可能相对较贵，并且刷新只能由卡发行商来完成。

最初，由于较低的初始成本，许多公司发行可抛弃型智能卡。但是，由于对这些可抛弃型智能卡安全性的考虑和卡上只能运行有限的应用，现在已趋向为使用永久型智能卡，因为一个智能卡上可以加载多个应用。同时，由于该永久型智能卡使用复杂的加密技术，永久型智能卡具有更高的安全性。

大多数传统的永久型智能卡可能有一个存储器单元，该存储器单元可包括一个只读存储器(ROM)，一个随机存取存储器(RAM)，和一个非易失性存储器(NVM)。例如，该NVM可以是一个诸如快速电可檫除只读存储器(Flash EEPROM)，或一个EEPROM。这些永久型智能卡从使用时与之连接的终端接收它们所有的电能。因此，易失型的存储器RAM只能在无须存储的简单运算中用作中间结果暂存器。而永久型的ROM可以存储智能卡操作系统(OS)和诸如一些永久性小程序的无须刷新和改变的其它程序。NVM可以存储某些小程序和使用权限秘密信息，以及智能卡中与各种应用有关的数值。此类普通的永久型智能卡可以具有驻留在智能卡存储器中的多种应用。

一些普通的永久型智能卡具有在智能卡制造时存储于ROM中的固定应用程序。此类智能卡不允许出于安全的考虑而存储任何应用。这些存储于ROM中的程序不能被更换。然而，此类基于ROM的应用经历了很长一段时间才得到发展，因为这些应用必须得到发展，然后被硬连接到ROM中。此外，这些固定应用不能改变或取消。

为了解决ROM中的固定应用的问题，现有的智能卡允许应用存储于NVM中。然而，应用的处理和它们在智能卡NVM中相应的使用权限造成一些问题。

首先，这里存在一个安全问题，因为访问NVM中的应用也可允许一个更聪明的家伙访问在NVM中的其它应用，除非谨慎地控制。另外，由于使用权限也存储于NVM中，一个更聪明的家伙也可找出一个方法来非法刷新他的使用权限。这对于想要发行贷款或电子金额卡的银行来说尤其是一个大问题，因为个人可以刷新他在智能卡上可用的钱，而无须记入他的银行帐户。对于银行，它希望只有银行本身可以访问在智能卡中的使用权限。这意味着在智能卡上的小程序的使用权限只能由卡发行商，例如银行来刷新，这是不方便的。此外，具有在卡上的小程序的其它公司必须与卡发行商保持联系。

第二，因为当使用权限改变时，这必定伴随有许多安全性过程，所以在智能卡中小程序使用权限的刷新会很慢。例如，这必有一些鉴权过程以确保没有非法行为的产生。

第三，因为各种类型的应用在各种不同单元都可能具有不同类型的使用权限，诸如在计时单元中的电话通话时间对在货币单元的现金，每个不同应用将适当地要求不同使用权限再加载过程。例如，用于通话时间的使用权限再加载过程不能补充智能卡上借方帐户的货币金额。从而，将使用权限加载于智能卡中的过程必定是重复的。

为了限制对这些使用权限的访问，普通的永久型智能卡必须做几件事。首先，一些普通永久型智能卡将这些访问限制在存储器的某些所谓存储带的区域，使得这些存储带为一次写(write-once)区域。其它普通永久型智能卡使用数据代码本(data dictionary)，该代码本可以跟踪其中必须驻留有每一个应用的存储区域。因而，一些存储器管理系统必须经常验证没有应用在进行非法活动。

总而言之，一些普通永久型智能卡不允许任何应用驻留在NVM中以降低安全风险。其它普通智能卡具有用于补充包含于智能卡中的使用权限的系统，但将这种能力限制在智能卡发行商处，并对于每个小程序要求分别的加载过程。这些普通智能卡都不提供用于将任何类型包括使用权限的完整应用加载于永久型智能卡的存储器中。因此，普通智能卡不能存储诸如预付费电话计时小程序的可丢弃应用，因为当它耗尽无法取消此可丢弃应用或无法用一个新的小程序取代高可丢弃小程序。因而，在普通智能卡中，这些已耗尽可丢弃应用将保持在智能卡中，占用宝贵的存储空间。由于以上原因，现有的大多数智能卡没有处理可丢弃应用的能力。

从而，需要有一种用于在多种应用智能卡中通用地再加载不同类型使用权限的系统和方法，该系统和方法避免了已知设备的这些和其它问题，这也是本发明的目的。

发明概述

本发明提供了一种智能卡，以及用于将应用加载于智能卡存储器中的系统和方法，该智能卡可加载任何类型的应用及其有关的使用权限，其中所述使用权限可以有任何类型的单位。此外，由于那些可丢弃应用一旦耗尽，将被新的小程序取代，因而该系统可将一个或更多的可丢弃应用加载于永久型智能卡上。

本发明还提供了一种用于智能卡的小程序加载系统，在智能卡中可通过将小程序和使用权限再加载于智能卡存储器中而补充与小程序相关的使用权限。所述用于将应用加载于智能卡中的系统是通用的，这使得对于各种应用可只使用一种加载系统。根据本发明，提出了一种用于在智能卡中加载应用的系统和方法，其中该系统可以具有远离所述智能卡的，用于存储小程序和及其相关的具有预定值的使用权限的存储器，该系统还包括具有处理单元和存储单元的智能卡，该存储单元与处理单元相连接并存储具有使用权限的第二应用。所述智能卡可与所述远端存储装置相连接，而具有预定值使用权限的应用可以由所述远端存储装置加载于所述智能卡中。一个智能卡可以有一个用于执行一个应用的处理器，一个与该处理器相连并存储具有使用权限的第二应用的存储器。该智能卡可以与所述远端存储装置相连接，而具有预定值使用权限的该应用可以从所述远端存储装置加载于所述智能卡中。本发明还提供了一种智能卡，它包括用于执行应用的处理器、连接到处理器用以存储多个应用的存储器、用于将第二应用从远端位置经接口加载于智能卡中的系统、用于将第二应用存储入所述智能卡的所述存储器中的系统和用于改变所述第一应用和所述第二应用的使用权限的系统，所述多个应用包括具有第一使用权限和具有与第一使用权限有关的第一数值的第一应用，该第一数值随着第一使用权限的使用从预定初始值开始变化，该第二应用具有第二使用权限。另外，本发明还提供一种补充智能卡中使用权限的方法。

附图简述

图1是用于实施本发明的智能卡的框图。

图2是描述运行于图1智能卡上的程序的产生的框图。

图3是图1智能卡的存储器构造的框图。

图4是用于将应用再加载于智能卡中的优选系统的框图。

图5是根据将应用加载于智能卡中的本发明的方法的第一实施例的框图。

图6是根据将应用加载于智能卡中的本发明的方法的第二实施例的框图。

图7是根据将应用加载于智能卡中的本发明的方法的第三实施例的框图。

图8是在将使用权限记入智能卡中的方法的流程图。

图9是根据本发明，在智能卡中补充入一个应用的使用权限的方法流程图。

优选实施例详述

本发明尤其适用于将具有使用权限的应用再加载于永久型智能卡上，以使得当应用的使用权限耗尽时可以再次补充的系统和方法。将在上下文中对本发明进行描述。不管怎样，根据本发明的系统和方法将有更大的用处。

图1是用于实施本发明的也被称做代币的智能卡20的框图。智能卡可与将应用加载于根据本发明的智能卡中的系统与方法一起使用。优选地，智能卡可以是永久型智能卡，但也可以是可丢弃型智能卡。智能卡20可以具有处理器或CPU22和存储器24。该存储器可以包含只读存储器(ROM)26，随机存取存储器(RAM)28，和非易失型存储器(NVM)30。该NVM可以是任何类型的可写非易失型存储器，例如电可擦除，可编程只读存储器(EEPROM)，电池后备RAM，快速闪存，当未将电能加于所述存储器上时，所述存储器可以保持所存储的数据。优选地，ROM可以存储控制智能卡CPU操作的操作系统(OS)，而RAM可被用作暂时性的中间结果暂存器(scratchpad memory)。因为如下所述，智能卡从插入终端接收能量，所以当智能卡由该终端取出时，RAM中的所有内容都将丢失。优选地，该NVM可被用作存储一个或更多的由于实际程序代码较短而被称为小程序的应用。每一个小程序可具有相关的使用权限，该使用权限对于小程序是特定的。其它诸如信用/借贷程序的不改变的永久型应用可被存储到ROM中。

处理器22控制智能卡的工作。处理器可以与存储系统24中所有存储器相连。由于具有与应用相关的使用权限，因此必须保证智能卡的安全以防盗窃和更改使用权限。为实现这种保护，处理器是唯一可以访问任何存储器的系统。此外，任何对智能卡中存储器的访问必须经过连接到处理器22的输入/输出(I/O)线32进行引导。智能卡也可以具有一根以上的I/O线以仔细地控制经由每一根I/O线的访问，使得从智能卡的外部不能直接访问任何存储器。从而，智能卡在对其中所存应用的使用权限做任何改变之前可以鉴权和验证进入(incoming)请求，并可以防止所不期望或非法的减少应用使用权限的尝试。可以通过加密系统来引导该鉴权和验证过程。现在，将简要描述用于为智能卡产生小程序的优选系统。

图2是智能卡结构和为智能卡产生小程序的方式的框图。为了对智能卡提供足够的安全性，智能卡的一个优选实施例可以具有包含于智能卡中的虚拟机40。该虚拟机包含运行于硬件处理器22上的硬件翻译器42。该翻译器是一片用作为硬件处理器与小程序之间接口的软件。采用这种方式，该小程序通过翻译器运行以使得小程序不会有任何直接到智能卡硬件的访问。从而，翻译器可以验证没有小程序执行非法操作。除了完全翻译器和虚拟机，智能卡还可具有指令擦写器(dispatcher)以控制小程序到智能卡任何部分的访问。该擦写器通过防止小程序接收任何访问直至一个鉴权检查已完成为止来控制小程序对硬件的访问。一个指令擦写器可以被认为是翻译器的功能较低版本，该指令翻译器仅翻译由小程序所接收的指令，而不是翻译完整的应用代码。

如图所示，为了执行在翻译器上的小程序，小程序的源代码46被编译为字节代码(byte code)48。然后，该字节代码可由在任何智能卡上的任何翻译器所执行。在PCT申请号No.PCT/NL95/00055，国际公布号No.WO95/22126的PCT申请中详细陈述了该优选智能卡的构造，该PCT申请将作为参考文献而被引用。现在将描述智能卡存储器中的程序的结构。

图3是可以包含一个用于将小程序加载于根据本发明的智能卡中的系统的智能卡20的程序结构的框图。可包括ROM和NVM的智能卡存储器24可以被逻辑构造为一个OS层50，一个执行层52，一个应用层54。该OS层可包含诸如加密代码本(cryptographic library)56的大多数基本操作软件，和一个翻译器58。这些程序是永久型的，并可被存储入ROM中。如上所述，该加密代码本可以用于鉴权对智能卡的访问。如上所述，该翻译器58可以用于防止小程序直接访问智能卡的硬件。

例如，执行层52可以包含一个应用发射器(applicationlauncher)60，一个根据本发明的通用应用加载器62，和其它OS子系统64。应用发射器接收访问一个应用的请求，并在适当的鉴权过程之后，发射并控制该小程序。该通用应用加载器62控制将一个应用，或小程序加载于智能卡的NVM中。如同下面将详细描述的，应用加载器可以验证期望将一个小程序加载于智能卡中的远端系统具有适当的权力，然后可以执行必要的操作以将该小程序加载于智能卡的NVM中。

应用层54可包含一个永久型应用66和一个或多个具有相关使用权限的可丢弃型应用。该永久型应用可存储于ROM中，因为ROM是永久型的并可以是信用/借贷系统，它能为在智能卡中具有使用权限的所有可丢弃型应用执行信用和借贷业务。该信用/借贷系统能以任何类型的使用权限工作，这使得对于每种智能卡仅需要单一的信用/借贷应用。采用这种方式，智能卡中的任何使用权限可通过永久型信用/借贷应用66来改变。在本发明的优选实施例中，加载器62和信用/借贷应用66可以是单个程序，因为两个程序都运行在具有使用权限的所有小程序上。例如，如下所述，当使用权限耗尽时，一个具有使用权限的小程序需要信用/借贷应用确认该小程序的再加载。

可丢弃型应用68可以是任何类型的具有有限寿命的应用或小程序，该寿命是由诸如预定电话通话时间量，预订的货币金额数，或预订的存储信用量的确定使用权限量来限定。如下面将更详细描述的，再补充特定应用使用权限的通用智能卡对于每一个不同应用需要一个分离的使用权限加载系统，因为每一个应用的使用权限可要求进行不同处理和不同的安全性。例如将确定数量的商场经常购买者点(storefrequent buyer point)补充到智能卡中可能与将诸如销售点小程序(point-of-sale)小程序的现金金额记入小程序补充入智能卡中不同。另外，为了补充任何小程序的使用权限，智能卡必须与卡发行商进行实际联系(physically connect)或返回卡发行商，因为只有卡发行商才有更改小程序使用权限的权力。因此，每个可能具有智能卡上小程序的公司必须与卡发行商有联系以使得卡发行商能补充小程序的使用权限。

然而值得注意的，根据本发明的智能卡可以具有可去除的通用小程序加载器，然后再加载完整的小程序，而非建立智能卡和仅再加载使用权限的小程序发行商之间的联系。将完整的小程序再加载于智能卡中意味着加载器不必限定于处理可能出现在智能卡中的不同类型使用权限的多样性，因为包括使用权限的完整小程序正被再加载于智能卡中。将在下面更详细地描述将小程序加载到智能卡中以允许补充小程序的使用权限的过程。

根据本发明的通用加载器62也是可用于将新的小程序加载于智能卡中以使智能卡具有可用的存储器。另外，通用加载器也可允许将使用权限耗尽的小程序从智能卡的存储器中删除，并代以具有刷新使用权限的新的不同类型应用。随后将更详细地描述每一个操作。现在将描述智能卡外部的用于将具有使用权限的小程序加载于智能卡中的一个优选系统。

图4是根据本发明用于将具有使用权限的小程序加载于智能卡中的系统的框图。该系统可包括智能卡20，一个终端80，和一个服务器82。上文中参照图1-3描述了该智能卡20。该终端可以由智能卡发行商，或诸如银行的一些其它机构操作。该服务器可以由银行或智能卡发行商维持，并可包括可下载小程序。终端与服务器之间的连接可以是任何通用网络，诸如在遍及世界的ATM机之间的普通连接。

如上所述，智能卡可以具有处理器22，存储于ROM26中的OS层50和处理层52，和存储于NVM30中的应用层。此外，智能卡可以具有一个接口系统86，该接口系统可以利用相应接口88将智能卡连接到终端80。第二接口90可以经由一个接口92将终端连接到服务器82。从而，该智能卡可以经由终端连接到服务器。现在将描述一个优选的用于将应用加载于智能卡中的方法。

当智能卡连接到终端时，处理器22使用加载器验证终端和服务器的可靠性。终端和服务器也可验证智能卡的可靠性。例如，当智能卡连接到终端时，使用者可以输入个人身份号码(PIN)，该号码可以由服务器更改。另外，例如服务器可以发送一个编码字，该编码字必须由智能卡正确应答。如果服务器和智能卡相互确认，则智能卡中的通用加载器62开始加载过程。无论哪种类型的使用权限，存储于服务器中的小程序都可具有相同结构，以使得通用加载器除了识别所要加载的小程序外，无须区分小程序的不同类型。如图所示，NVM30通常可存储永久型信用/借贷应用66，和具有使用权限的已存在的第一小程序94。如下所述，在加载操作之后，NVM存储器还可存储具有使用权限的第二小程序96。在所示智能卡中，第一小程序94的使用权限已耗尽。因此，位于服务器82中具有刷新使用权限的小程序98新的拷贝可加载于智能卡的NVM中。具有刷新的使用权限的小程序98取代了使用权限耗尽的初始小程序94。

除了使用权限的刷新，一个具有使用权限的新的小程序100可从服务器82以相同方式加载于智能卡20中。因此，在加载过程完成之后，智能卡可包含一个具有刷新使用权限的第一小程序，和具有预定使用权限的新的第二小程序96。例如，一个包含使用权限耗尽的电话呼叫(telephone call)小程序的智能卡可以有一个具有刷新使用权限的新电话呼叫小程序，和一个具有预定数值的借贷小程序，例如，加载于智能卡上的100$。终端80和服务器82之间的连接可以是可用于家庭银行事务(home banking)和类似事务的普通网络。现在将描述一些根据本发明将小程序加载于智能卡中的例子。

如上所述，普通网络通过将新的使用权限再加载于智能卡上的小程序中来补充小程序的使用权限。上文已描述了将小程序的使用权限再加载到智能卡中的一些问题。现在将描述操作根据本发明的小程序加载系统的一些例子。

图5是根据本发明被用于补充智能卡中小程序的使用权限的加载系统的框图。如图所示，例如智能卡20可以具有第一小程序102，第二小程序104，和第三小程序106。在此例子中，第一和第三小程序保持其使用权限，然而第二小程序必需补充使用权限。根据本发明，具有刷新使用权限的新的第二小程序108加载于智能卡20中并取代旧的第二小程序104。从而，在加载过程之后，智能卡可以具有第一小程序102，第三小程序106，和一个具有刷新使用权限的新的第二小程序108。如图所示，加载过程只影响第二小程序。如上所示，因为完整的小程序被加载回智能卡中，所以使用权限的类型无关紧要，加载系统可以加载智能卡中任何类型的小程序，而不论小程序具有何种类型的使用权限。

图6是根据本发明用于将可丢弃应用加载于已有智能卡上的加载系统的框图。如图所示，智能卡20可以包含第一小程序102。另外，在远端系统112处，可以存储一个可丢弃小程序114。可丢弃小程序可加载于智能卡20中以使得智能卡可包含第一小程序102和新的可丢弃小程序114。可丢弃小程序可以很容易地加载于智能卡中。另外，一旦可丢弃小程序的使用权限耗尽，可使用根据本发明的加载方法用一个具有新使用权限的新小程序取代该可丢弃小程序。

例如，一个用户可以做一次外国旅游并希望将一些当地货币加载到智能卡上以使得他不需要携带任何现金。旅游终了，使用者不希望保持这些货币小程序，因为他将不会再使用它们。因此，本发明允许用诸如预付费电话呼叫小程序取代外国货币小程序。

图7是根据本发明用于补充智能卡中小程序的使用权限的加载系统的框图。在此例中，智能卡20包含具有使用权限的单个小程序116。根据本发明，小程序116可以由具有与旧小程序相同的功能，但具有补充的使用权限的新小程序120代替。

如图所示，本发明不限于任何具体数量的小程序，并可用于刷新少到单个小程序的使用权限或刷新多个小程序的使用权限。本发明也可用于加载和取代智能卡上的单个可丢弃小程序。现在将描述将使用权限记入智能卡中的方法。

图8是将使用权限记入智能卡中的方法200的流程图。首先，在步骤202中，可以选取智能卡中的一个小程序。例如，当智能卡放入电话终端，然后终端可以选取具有电话使用权限的小程序。为了选取小程序，智能卡可以验证该终端具有适当的访问该特定小程序的权力。随后，例如在步骤204，智能卡接收一个来自终端的应用选择指令。如果该所选应用不是在智能卡中初始化或存在于智能卡中，则该方法在步骤206结束。如果选取一个有效应用，随后在步骤208中，在发出一个记入使用权限指令之后，在步骤208，智能卡接收记入使用权限指令。如果使用权限已用尽，则在步骤210，记入失败，在步骤212，小程序的使用权限可以补充，如下所述。如果接收到一个有效记入指令，在步骤214，计算所减少的小程序的使用权限，并将其存储到智能卡的存储器中。然后，如果对于小程序有附加的借贷，则方法回到步骤208，否则方法终止于步骤216。现在将描述根据本发明补充智能卡上小程序的使用权限的方法。

图9是图8中用于根据本发明刷新小程序使用权限的步骤212的流程图。可以选取所述小程序，因为它已用光它的使用权限或因为使用者选取一个特定小程序。如上所述，通用加载器可将具有任何类型使用权限的任何类型的小程序加载于智能卡的存储器中。另外，由于加载器可加载任何类型的小程序，因此无须卡发行商再加载小程序的使用权限。从而，通用加载器具有更大的使用灵活性。

一旦选取具有有关使用权限的任何小程序，在步骤230，智能卡验证诸如小程序的服务器的提供者的可靠性。如果鉴权过程失败，则该方法终止于步骤232。如果鉴权过程成功，则在步骤234，提供者利用加载器将小程序加载于智能卡的NVM中。、

典型地，智能卡可以通过数字签名，加密检查集或预定随机数值的验证来完成对小程序代码的鉴权。在步骤236，该智能卡验证该小程序的程序代码的可靠性以检测病毒，和类似物。在步骤238，如果对小程序代码的鉴权失败，则从智能卡的存储器中删除该小程序。

接下的步骤是一个并不要求的，为了将一个应用加载于根据本发明的智能卡中的可选步骤。该步骤要求智能卡具有更大容量的存储器。在可选步骤240中，智能卡可执行静态检查和小程序代码的语法检查。如果该检查失败，则在步骤242，从智能卡的存储器中删除该小程序代码。在最后的步骤244中，智能卡初始化小程序的代码以使得小程序的使用权限可被记入，如上参照图8所描述的。

在前面参照本发明的具体实施例的同时，那些本技术领域的技术人员应理解可以对本发明做一些不背离本发明的原理和精神的改变，本发明的范围由附属权利要求限定。

Claims

1.一种用于将存储在智能卡中的任何应用的使用权限补入的系统，无论是何种类型的使用权限皆可，所述使用权限具有刷新状态和耗尽状态并且随着该应用的使用而逐渐被用尽，该智能卡具有一个处理单元，和一个存储单元，该存储单元连接到该处理单元以用于存储多个应用，所述多个应用包括一个具有处于耗尽状态的第一应用，该系统包括：

-用于远离所述智能卡地存储一个第二应用的装置，该第二应用具有相同结构和等同的使用权限；

-所述第二应用的使用权限具有一个刷新状态；

-用于将所述智能卡连接到所述远端存储装置的装置；和

-用于将具有刷新的使用权限的第二应用从所述远端存储装置加载到所述智能卡中，用所述第二应用替换所述存储在该存储单元中的所述第一应用以使得在存储单元中的应用的使用权限被补入的装置。

2.根据权利要求1的系统，其特征在于，连接装置进一步包括用于验证远端存储装置的权限以将一个应用加载到智能卡的存储单元中的装置。

3.用于将使用权限补入任何应用的智能卡器件，所述使用权限具有刷新状态和耗尽状态并且随着该应用的使用而耗尽，该智能卡包括：

-用于执行一个应用的处理单元；

-一个连接到该处理单元的存储单元，其用于存储多个应用，该多个应用包括具有处于耗尽状态的使用权限的第一应用；

一一个使得所述智能卡的处理单元可以与在远端存储的应用相通信的接口单元；

-用于在智能卡中经由所述接口接收来自远端的第二应用的装置，该第二应用具有等同于该第一使用权限的第二使用权限，该等同的使用权限具有一个刷新状态；和

-用于将所述具有刷新的使用权限的第二应用存储入所述智能卡的所述存储单元中，用所述第二应用替换所述存储在该存储单元中的所述第一应用以使得在存储单元中的应用的使用权限被补入的装置。

4.根据权利要求3的智能卡器件，其特征在于，该接收装置进一步包括用于验证远端存储装置的权限以将一个应用加载到智能卡的存储单元中的装置。

5.一种补充存储于智能卡中的任何应用的使用权限的方法，该使用权限具有刷新状态和耗尽状态并随着应用的使用而逐渐被用尽，该智能卡具有一个处理单元和一个存储单元，该存储单元被连接到该处理单元以用于存储该应用，该方法包括：

-将包含具有处于耗尽状态使用权限的第一应用的智能卡连接到通信系统，该通信系统被连接到远离所述智能卡的远端系统，该远端系统存储包括具有相同结构的应用，所述应用包括有具有与第一应用相同结构的第二应用和与第一使用权限等同的第二使用权限，该等同使用权限具有一个刷新状态；

-在该智能卡中验证所述远端存储系统具有替换在智能卡中的第一应用的权限；和

-用具有刷新的使用权限的第二应用取代在所述存储单元中的第一应用，以使得驻留在智能卡存储单元中的应用的使用权限被补充。

6.根据权利要求5的方法，其特征在于，替换过程进一步包括将所述第一应用从所述智能卡的所述存储单元中删除，并将来自远端系统的具有刷新使用权限的所述第二应用加载于所述智能卡的所述存储单元中，以使得位于智能卡的存储单元中的应用的使用权限被补充。