CN1308882C - 开放式功能动态集成的智能卡系统 - Google Patents

Abstract

本发明涉及一种集成电路智能卡系统。包括有一个智能卡装置(90)、卡的读写与网络接入器(10)，其中智能卡装置(90)上可虚拟出若干张智能卡，各虚拟智能卡上可加载或下载、使用和卸载各种应用系统，卡的读写与网络接入器(10)与智能卡装置(90)通过非接触式或接触式连接，为智能卡装置(90)提供电源能量及进行数据交互，其中智能卡装置(90)至少包括有：一个智能卡的外部接口(91)，智能卡装置(90)通过智能卡的外部接口(91)与卡的读写与网络接入器(10)可用非接触式或接触式连接，以及一个半导体基片，在这个基片上集成了规则处理系统(92)、通讯池(93)和应用处理系统(94)。本发明在使用性能、安全性能上能达到或接近物理上的智能卡，是一种硬件和软件一体化的智能卡。

Description

开放式功能动态集成的智能卡系统

1、技术领域：

本发明涉及一种集成电路智能卡系统，属于集成电路智能卡系统的创新技术。

2、背景技术：

随着集成电路技术的发展，集成电路卡(IC卡)向智能化、多功能，大容量、微型化、低功耗的方向发展。特别是非接触式IC卡，这种卡是在IC卡内含有CPU及固件，卡内装有电磁感应线圈及无线数据接收装置，数据的读出与写入由设备发出电磁波作为IC卡的电源能量供应和无线数据传送。这种卡已迅速被社会各阶层人士使用。

智能卡在人们的工作和生活中发挥了不可替代的作用，但也由此引起以下问题：

1)智能卡的应用场合在飞速发展，而用户个人持卡的种类和数量在不断增多。如从大的种类上分，有银行卡，交通卡，身份卡，考勤卡，....；就以某一类卡，如银行卡，目前中国的几大银行卡也没有真正意义上的“一卡通”，各个银行有各银行的卡。如需新增一类应用，一般还需新增一个物理上的IC卡。这种个人持卡数量的快速增多给持卡人在携带、保管、管理上都带来极大的不方便性。

2)IC卡功能的动态集成问题。个人的工作生活环境迁移及商务、旅游活动范围扩大、频繁，这种变化客观上要求IC卡具有很好的扩充和集成能力，IC卡的应用固件可以很方便地加载和卸载(即功能的动态集成)。若IC卡内应用程序的加载和卸载可以象电子钱包充值一样即载即用，就更能发挥IC卡的作用，因为网络时代的所有工作和生活节奏都在加快，许多现在未知的应用，如果将来要增加和使用，若用现在的IC卡的一次性加载模式则很难适应。

3)对IC卡的集中式辅助管理，安全防范非法使用，同时保护持卡人和商户的合法权益问题。随着IC卡应用领域的增多，对IC卡进行智能化的统一管理极为重要；同时，IC卡的增多及读写卡器的增多，无论对消费者或商户，潜在的安全威胁也在增大，世界范围的信用卡犯罪也经常发生。

而现有的IC卡，绝大多数只是在单用户智能卡设计上的技术改进和技术上的提高。中国国内使用的“一卡通”，如校园一卡通，只着重在一个组织范围内的通用，未能做到开放的，功能集成的一卡通。这些智能卡的共同特点是在同一张智能卡上只有单个CPU，在安全上是难以虚拟出功能可动态集成的多张智能卡，因而也难以实现多种IC卡的智能化统一管理。

还有一些专利技术可以在一张卡上集成多张物理上的IC卡，如中国专利申请号为99805715.0中公开了一种在一张卡上集成多张物理上的IC卡的智能卡，这种多张物理上存在的IC卡也未能完全解决上述问题。因为n张智能卡集成在一起就有n个物理上的CPU卡，有n套物理上的指令执行机构，在数量与体积、数量与功耗等方面的矛盾难以解决，一张卡同一时刻一般只执行一种任务，在这种场合下多个CPU并行优势并不体现。

另外，现有的智能卡系统一般都只注重对非法持卡人的防范，对商户的监督和防范不足，商户机的地理位置绝大多数用地名/街道名这种相对定位系统表示，没有使用GPS经纬度坐标这种先进的定量定位系统。地名/街道名由于建设等原因容易变更，也不方便检索、法律举证等。

3、发明内容：

本发明的目的在于克服上述缺点而提供一种可以用分割卡内的程序存储区和数据存储区来创建多张虚拟智能卡的开放式功能动态集成的智能卡系统。本发明在使用性能、安全性能上能达到或接近物理上的智能卡，是一种硬件和软件一体化的智能卡，从而实现真正意义的“一卡通”。

本发明的另一个目的是提供一种可对卡的使用过程进行有效的监控和管理，实现卡的管理电子化、智能化，从而方便持卡人对智能卡进行统一管理，使持卡人对卡的电子货币等重要信息流能完整、准确、及时地掌握的开放式功能动态集成的智能卡系统。

本发明的再一个目的是提供一种可为现代社会提供法律上的辅助证据，配合社会法规以进一步防范与智能卡相关的信息犯罪的开放式功能动态集成的智能卡系统。

本发明的结构示意图如附图所示，包括有一个智能卡装置(90)、卡的读写与网络接入器(10)，其中智能卡装置(90)上可虚拟出若干张智能卡，各虚拟智能卡上可加载或下载、使用和卸载各种应用系统，卡的读写与网络接入器(10)与智能卡装置(90)通过非接触式或接触式连接，为智能卡装置(90)提供电源能量及进行数据交互，其特征在于智能卡装置(90)至少包括有：

一个智能卡的外部接口(91)，智能卡装置(90)通过智能卡的外部接口(91)与卡的读写与网络接入器(10)可用非接触式或接触式连接，为整个智能卡装置提供电源和实现智能卡装置(90)与卡的读写与网络接入器(10)的数据通讯；以及一个半导体基片，在这个基片上集成了规则处理系统(92)、通讯池(93)和应用处理系统(94)，其中通讯池(93)和规则处理系统(92)中的功能区保护机制(20)把规则处理系统(92)和应用处理系统(94)连接起来，规则处理系统(92)与卡的外部接口(91)连接；通讯池(93)是一个双端口存储器，可以分别从规则处理系统(92)和应用处理系统(94)进行读写。

上述基片上的规则处理系统(92)包括有规则处理器RCPU(30)、身份特征映像与认证(31)、操作系统RCOS(32)、日志(33)、帮助信息(34)、发行商密码管理(35)和功能区保护机制(20)，身份特征映像与认证(31)、操作系统RCOS(32)、日志(33)、帮助信息(34)，发行商密码管理(35)和功能区保护机制(20)均和规则处理器RCPU(30)连接，且和规则处理器RCPU(30)处于同一总线上，其中操作系统(32)由规则处理器(30)控制，其余由规则处理器(30)和功能区保护机制(20)联合控制；处理器的程序空间和数据空间是独立编址的，功能区保护机制(20)将该系统空间中的各类程序和数据进行分块保护，其中每个功能区由若干个基本程序区和若干个基本数据区联合构成，功能区的程序区和数据区作为一个不可分割的应用单元处理。

上述基片上的应用处理系统(94)包括有应用处理器APCPU(60)、操作系统APCOS(61)、功能区1～n(70，75)、辅助区(79)，操作系统APCOS(61)、功能区1～n(70，75)、辅助区(79)均和应用处理器APCPU(60)连接，且处于应用处理器的总线上，其中功能区1～n(70，75)由应用处理器(60)和规则处理系统(92)中的功能区保护机制(20)联合控制，其它部分由应用处理器(60)控制；处理器的程序空间和数据空间是独立编址的，功能区保护机制(20)将该系统空间中的各类程序和数据进行分块保护，其中一个功能区由若干个基本程序区和若干个基本数据区联合构成，这个功能区的程序区和数据区作为一个不可分割的应用单元处理，功能区1～n(70，75)中的程序和数据可以在使用过程中动态地分区独立下载，独立使用。

上述卡的读写与网络接入器(10)包括有查询类终端和非查询类终端，其中查询类终端只能进行智能卡装置(90)的数据维护或管理，不能进行数据交易处理；非查询类终端在功能区加载时需查看功能区使用情况除外，只能进行查询类终端不能做的操作，其中非查询类终端进一步分为私用查询类终端和公用查询终端；公用查询终端只能读出卡中管理数据，而私用查询终端还可以进行修改卡中的个人资料，删除日志的管理数据；应用处理系统(94)的每个功能区(70，75)均对应一类卡的读写与网络接入器(10)的非查询类终端，在其一次与装置(90)的接入过程中，至多只能使用与应用处理系统(94)相对应的一个功能区。

上述卡的读写与网络接入器(10)包括有地名位置标识法，还包括有全球定位系统GPS的经纬度坐标表示法，它们安装到营运网点，且在它们各自的明显位置设有以便持卡人核对的ID号、类别和GPS坐标的关键特征。

上述身份特征映像与认证(31)包括有：

身份的静态特征库，进一步包括特征库数据和特征数据处理方法，其中静态特征库数据用于记录和认证持卡人的相片，指纹，DNA的永久性身份特征信息，这些特征信息与非接触式IC卡居民身份证的信息化特征一致；

动态特征库，进一步包括动态特征库数据和动态特征数据处理方法，它与静态特征库互为补充，其中动态特征库还包括用于记录和处理公安部门及发行商随机分配给持卡人的注册及认证密码数据。

上述身份特征映像与认证(31)的认证方法可以通过以下途径之一实现：认证过程由一组格式化的规则串控制，智能卡装置(90)由规则处理器(30)中的解释程序解释执行；或这个规则字串由一与规则处理系统(92)集成在同一基片上的专用集成电路执行。

上述规则处理系统(92)中的日志(32)包括日志的记录，输出，删除，密码管理方法和存储保护区，其中日志的输出、修改和密码管理只能在智能卡的查询类终端上进行，日志记录中包含了卡的读写与接入器(10)的类别及GPS坐标的关键特征。

上述帮助信息(34)包括帮助信息的加载、输出、卸载等方法及相应的信息存储保护区，这些信息由使用应用处理系统(94)的发行商加载，用于说明各功能区的使用方法，或给出使用方法的网址信息，并由持卡人用查询类终端阅读。

上述规则处理系统(92)中的发行商密码管理(35)包括有发行商密码保护区，在密码区中为规则处理系统(92)和应用处理系统(94)的每个功能区建立一条发行商的密码和密码处理规则的记录，用于标识各功能区的合法拥有者。

上述规则处理系统(92)中的功能区保护机制(20)包括有：

功能区规则库数据，功能区规则库数据包括功能区属性，功能区运行状态记录，功能区使用表；

规则库数据管理，规则库数据管理用于对功能区属性，功能区运行状态记录，功能区使用表进行配置、管理和维护；

功能区实现逻辑，功能区实现逻辑包括规则处理系统(92)的应用程序区保护逻辑，规则处理系统的存储区保护逻辑，应用处理系统(94)的应用程序区保护逻辑，应用处理系统的存储区保护逻辑，规则实现逻辑的规则寄存器组。

上述功能区属性的每个功能区对应的记录内容至少包括功能区ID，使用状态，程序重载属性，程序区基址，程序区选择码，存储区基址，存储区选择码，删除标志，其中功能区ID、使用状态用于标识这个功能区是否已被使用；程序重载属性和删除标志分别用于设定该功能区加载后是否可以被删除及标识商户是否已删除该功能区；程序区基址、程序区选择码和存储区基址，存储区选择码分别用于选择和控制功能区的程序空间和存储空间。

上述规则寄存器组包括：

规则处理系统(92)的程序区规则寄存器，进一步包括该程序区的程序区基址寄存器，程序区选择码寄存器，程序区ID寄存器；

规则处理系统(92)的存储区规则寄存器，进一步包括该存储区的存储区基址寄存器，存储区选择码寄存器，存储区ID寄存器，存储区读写权限寄存器；

应用处理系统(94)的程序区规则寄存器，进一步包括该程序区的程序区基址寄存器，程序区选择码寄存器，程序区ID寄存器，程序区编程权限寄存器；

应用处理系统(94)的存储区规则寄存器，进一步包括该存储区的存储区基址寄存器，存储区选择码寄存器，存储区ID寄存器，存储区读写权限寄存器。

上述功能区实现逻辑中的程序区地址保护逻辑包括一个CPU，一个EEPROM，一个状态异常检测器，一个N位基址寄存器，一个N位选择码寄存器，一个N位数字相等比较器，一个N组二选一开关；其中N组二选一开关与CPU，EEPROM，基址寄存器，选择码寄存器连接，用于生成EEPROM的M位物理地址，其中M≤N，N≥1，N位数字相等比较器与CPU，EEPROM，状态异常检测器连接，用于生成EEPROM的片选信号及状态检测信号。

上述功能区实现逻辑中的存储区地址保护逻辑包括一个CPU，一个EEPROM，一个状态异常检测器，一个N位基址寄存器，一个N位选择码寄存器，一个M位程序区ID，一个M位存储区ID，一个N+M位数字相等比较器，其中M≥0，一个N组二选一开关，其中N组二选一开关与CPU，EEPROM，基址寄存器，选择码寄存器连接，用于生成EEPROM的L位物理地址，其中L≤N，N≥1；N+M位数字相等比较器与CPU，EEPROM，程序区ID，存储区ID，状态异常检测器连接，用于生成EEPROM的片选信号及状态检测信号。

上述功能区实现逻辑中的程序区执行及编程允许逻辑包括一个CPU，一个EEPROM，一个编程权限寄存器，一个状态检测器，一个程序区ID，一个熔丝控制逻辑，及若干个与门及或门，其中CPU的读控制线、编程权限寄存器的校验允许位、熔丝控制逻辑的一个输出相或后形成状态检测信号及这个信号与CPU的取指令控制线相与后生成EEPROM的读控制线；CPU的写控制线、编程权限寄存器的编程允许线、熔丝控制逻辑的一个输出相或后生成EEPROM的写控制线并送状态检测器检测；程序熔丝控制逻辑受程序区ID寄存器控制，其当前状态还输出到状态检测器。

上述智能卡装置(90)需要进行信息管理，该信息管理为需要变更身份特征映像库的数据，其处理过程为：持卡人需要到发卡机构或公安部门授权的营业网点进行身份认证，认证成功则允许操作，否则做操作失败备案。

上述智能卡装置(90)需要采取安全防范措施，其具体方法为：

持卡人可以用以下过程识别非法商户：持卡人进行一次可疑的交易后，记下商户机的ID号和GPS坐标，然后到就近的查询终端或用自带的PDA读出卡的日志相比较，若仍可疑则进一步根据卡中帮助信息提供的网址通过因特网调出商户更详细资料进行相应处理；

商户可以用以下过程识别非法持卡人：商户通过卡的认证后，仍对一次交易可疑，则商户可通过持卡人在发卡机构或公安部门的注册号/身份证号，找到注册服务器的网址，然后下载持卡人的身份特征数据，如相片、指纹等，与卡、持卡人同时比较，若一致，则持卡人身份可信，否则不可信而作相应处理。

上述智能卡装置(90)的功能区加载方法包含以下步骤：

持卡人将智能卡装置(90)内的允许加载标志设置为真，允许发行商加载新功能；

将智能卡装置(90)交由发行商授权的营运网点进行卡的认证处理，并使卡(90)与发行商的功能区数据下载服务器建立数据连接；

认证通过后在卡中找出一个足够大的空白功能区，在功能区保护逻辑的规则库中新增一条记录，设置相应的数据，并将这些数据写入对应的功能区规则寄存器，然后命令应用处理系统(94)进入编程状态，若这个空白区不够大，持卡人可回收一些无用的程序可重载区再重复上述过程；

根据智能卡装置(90)的设置、发行商的服务器生成新功能区的程序代码和数据并下载到卡内的应用处理系统(94)的相应功能区，然后再生成发行商密码、帮助信息分别下载到规则处理系统的发行商密码区和帮助信息区；

若加载过程完整，则更新智能卡装置(90)的规则处理系统和应用处理系统，同时若该功能区设置为“非程序重载区”，则熔断功能区保护机制对应该区的加载熔丝，禁止对这一程序区的读出或删除；否则取消所有规则处理系统的存储器写入操作；持卡人在适当时候关闭卡中的允许加载标志。

本发明由于采用用分割卡内的程序存储区和数据存储区来创建多张虚拟智能卡结构，因此，本发明在使用性能、安全性能上能达到或接近物理上的智能卡，是一种硬件和软件一体化的智能卡，从而实现真正意义的“一卡通”。另外，本发明可对卡的使用过程进行有效的监控和管理，实现卡的管理电子化、智能化，从而方便持卡人对智能卡进行统一管理，使持卡人对卡的电子货币等重要信息流能完整、准确、及时地掌握。此外，本发明还可为现代社会提供法律上的辅助证据，配合社会法规以进一步防范与智能卡相关的信息犯罪。本发明是一种设计巧妙，方便实用的开放式功能动态集成的智能卡系统。

4、附图说明：

图1是开放式功能动态集成的智能卡系统的原理图；

图2是身份特征映像与认证的处理流程图；

图3是身份特征映像与认证原理图；

图4是写日志流程图；

图5是帮助信息的加载流程图；

图6是日志输出，删除及修改日志密码流程图；

图7是帮助信息的卸载流程图；

图8是帮助信息的读取流程图；

图9是置功能区删除标志流程图；

图10是删除程序重载区流程图；

图11是功能区的规则实现逻辑图；

图12是RCPU应用程序区保护逻辑的一种结构图；

图13是RCPU存储区保护逻辑的一种结构图；

图14是APCPU程序区保护逻辑的一种结构图；

图15是APCPU存储区保护逻辑的一种结构图；

图16是存储器读写允许逻辑的一种结构图；

图17是APCPU执行及编程允许逻辑的一种结构图；

图18是程序区地址保护逻辑的一种结构图；

图19是存储区地址保护逻辑的一种结构图；

图20是APCPU功能区进程调度流程图；

图21是加载卡的新功能流程图；

图22是RCPU给APCPU的命令通讯流程图；

图23是APCPU给RCPU的通讯请求流程图；

图24是忘记密码后重新设置密码的流程图；

图25是变更个人身份特征数据的流程图；

图26是持卡人防范非法商户的处理流程图；

图27是商户防范非法持卡人的处理流程图。

5、具体实施方式：

实施例：

本发明的结构示意图如图1所示，包括有一个智能卡装置90、卡的读写与网络接入器10，其中智能卡装置90上可虚拟出若干张智能卡，各虚拟智能卡上加载或下载、使用和卸载各种应用系统，卡的读写与网络接入器10与智能卡90通过非接触式或接触式连接，为智能卡装置90提供电源能量及进行数据交互。其中智能卡装置90中的规则处理系统92，通讯池93，应用处理系统94是集成在一块半导体基片上的，它由卡的外部接口91，两个总线相互独立的微处理系统—规则CPU系统92，应用CPU系统94及连接这两个CPU系统的通讯接口93组成。卡的外部接口91有两个作用，一是通过它给整个智能卡装置90提供电源，另一个是实现规则CPU系统92与卡的读写与网络接入器10的通讯。智能卡装置90的使用者可以通过INTERNET，个人电脑，PDA等其它智能设备其中之一和卡的读写与网络入器10建立物理链接，再由卡的读写与网络接入器10将数据转换为智能卡装置90的格式和通讯，从而建立卡的使用者和智能卡装置90的数据链路。

卡的读写与网络接入器10包括查询类终端和非查询类终端，其中查询类终端只能进行智能卡装置90的数据维护或管理，至少包括输出、删除日志内容，输出帮助信息，设置卡中各种所需的个人密码，以及查阅功能区的使用情况，删除可重载功能区等操作，不能进行数据交易处理；非查询类终端只能进行查询类终端不能做的操作(加载新功能区时需查看功能区的使用情况除外)。由于本系统是开放式系统，因此在不影响使用时要尽量限制商户查阅卡内与交易无关的信息和限制持卡人非法使用卡内功能区的数据。因此，持卡人只有使用查询终端对卡的数据进行统一管理的权限；商户只有使用自己所加载的功能区的权限。

在非查询类终端中，进一步包括发行商的非查询类终端，卡中应用处理系统94的每个功能区对应一类非查询类终端，该非查询类终端在与智能卡装置90的一次链接中，只能使用所对应的一个功能区。跨区操作可以使用应用处理系统的辅助区79作为数据转发器。如要使用应用处理系统的A，B两功能区，必须先用A区建立一次链接，A区将中间结果存入辅助区79，关闭链接；然后启动一次B区链接，B区从辅助区79中取出由A写入的数据，再进行操作。同理，B区也可用A区的方法将数据写入辅助区79，关闭该次链接，再启动A区的接入，如此反复。

对于非查询类终端，还有一个重要的特点，就是进一步包括其位置的标识除了地名等常规方法外，还有全球定位系统GPS的经纬度坐标表示法，每一个营运中的卡的读写与网络接入器10的安装位置，都有一个全球唯一的位置标识。

规则CPU系统92负责对整个智能卡装置90的监督管理任务，它由规则处理器30，身份特征映像与认证31、操作系统RCOS32、日志33、帮助信息34、发行商密码管理35等数据和处理方法，功能区保护机制20的控制方法和硬件电路构成。规则CPU系统92的所用固件既可用本系统的默认IP(IntellectualProperty)，也可用符合规则CPU系统92的其它IP。但这个固件IP必须随规则CPU系统92集成在同一块半导体基片上，92的硬件体系结构保证集成后其所有固件只能作为RCPU30的微程序扩展来执行，其程序代码不会被更改或读出。虽然规则CPU系统92的固件是不可更改的，但它内含规则或电子交易标准的解释程序，可以象JAVA一样方便地实现各种IC卡的管理功能。规则处理系统92的固件操作系统32包括规则处理器30的进程调度、认证解释执行程序、与卡的读写与网络接入器10的通讯控制、进程控制、与应用处理系统94的通讯控制、应用处理系统94的功能区管理、规则解释执行程序、运行异常监控与容错等处理流程和方法。

应用处理系统94负责加载、维护、删除各功能区的程序和数据，并在规则处理系统的规则控制下执行各功能区的程序。应用处理系统94包括应用处理器APCPU60，操作系统APCOS61，功能区1～n(70，75)、辅助区79的程序和数据。其中固操作系统APCOS 61必须随应用CPU系统94集成在同一基片上，94的硬件体系结构保证集成后APCOS61只能作为APCPU60的微程序扩展来执行，其程序代码不会被更改或读出。应用处理系统94的操作系统61包括应用处理器60的进程调度、与规则处理系统92的通讯、功能区程序和数据的加载及删除控制、运行异常监控与容错处理、辅助区管理等处理流程和方法。

根据规则CPU管理特点，规则处理系统92划分为若干个管理区，必要的区有身份特征映像与认证区31，日志区33，帮助信息区34，发行商密码管理区35。这些区都包含了数据区和程序区，每个区都由一组处理方法对应的程序和这些程序使用的数据，以及控制这个区的程序空间、存储空间、读写权限的规则信息组成。

身份特征映像与认证区31用于记录、管理和检验持卡人的特征数据，它包括静态特征库及动态特征库，和独立分割的程序和存储空间。其中静态特征库进一步包含静态特征数据(如身份证号码，相片，指纹，DNA数据)和认证方法；动态特征库进一步包括动态特征数据(如发卡机构或公安部门分配给持卡人的认证密钥数据等)和认证方法。所有认证过程都被格式化为一串认证数据，即认证信息帧来控制。认证信息帧的控制信息的每一项都包含一个处理步骤，这种处理步骤存放在操作系统RCOS的函数库中，并由解释程序调用。认证的信息帧由规则处理器的操作系统RCOS32中的解释程序对认证信息帧顺序识别出每一项内容，并按处理规则调用函数库中的处理步骤逐项执行。下图为特征映像与认证过程中商户机发给智能卡的一种命令结构：

命令码

商户ID

信息帧长度

格式化的规则描述字串

授权码

下图为特征映像与认证过程中智能卡回送的一种应答信息结构：

应答码

身份ID

信息长度

信息正文

授权码

身份特征映像与认证的另一种实现方案是利用一个与规则处理单元92集成在一起，并由规则处理器30负责管理和控制的专用认证集成电路实现，如图3所示。在图3中，通讯池用于规则处理器与身份识别专用IC的高速数据交换，它是一种具有双端口的存储器或缓冲器。总线隔离器用于身份识别专用IC与规则处理器30的总线隔离，以防止身份识别专用IC对规则处理系统的非法使用、攻击或干扰。若使用身份识别专用IC，它在处理认证过程的特性，至少包括认证加解密算法速度特性，如RSA，DES的算法速度，图像类识别特性，如面像识别，DNA识别，指纹识别速度，及所生成的伪随机数分布特性之一，性能上远远超过规则处理器30。身份识别与映像认证的认证流程见图2，它可以处理有专用认证IC和没有专用认证IC的智能卡。

在本系统中，身份特征映像与认证的数据建立、变更、维护极为方便和安全。身份特征中的持卡人静态特征数据，如相片、DNA识别，指纹等图像数据，经压缩后，正本存于发卡机构或公安部门的认证服务器，并用身份证号或注册号与智能卡关联；智能卡中既可存储这些特征的副本数据，也可只存储其注册数据和认证服务器的网址。身份特征中的持卡人动态特征数据是为辅助静态特征数据从信息管理的角度进一步识别特卡人的身份：由发卡机构的认证服务器分配一组密码数据对，一份存放在认证服务器，一份下载到智能卡中。使用时认证算法使用这种密码数据对，若正确才确认为合法身份。

图25是变更(包括创建)个人身份特征数据的流程。考虑到中国将使用非接触IC卡作为居民身份证，中国公安部门会将中国公民的上述的静态特征数据(身份证号，相片、指纹，DNA等)逐步数字化、信息化，同时也会配套建立与静态特征相应的动态特征数据(如使用密码等)及相关的服务，使得本系统所述的身份特征映像与认证变得更易实现。中国公民身份特征数字化后，持卡人可将这些数字化的合法部份，如相片，身份证号，密码数据等副本及使用方法的信息化标准数据到公安部门申请，安装到持卡人的卡上，这样就建立了卡与公共认证服务器的联系。图25中所述的“到发卡机构或公安部门授权的营运网点上的专用卡的读写与网络接入器进行身份认证”就是指这种申请在信息处理上的流程。这种认证分以下步骤：持卡人向工作人员(或机器自动识别系统)出示身份证件，验证无误后，持卡人将身份证(IC卡式)及要变更的IC卡一同放入卡的读写与网络接入器，这些信息通过INTERNET到达公安部门的认证服务器，并将申请的数据下载到要变更的卡中，以后这张卡就可使用这些认证数据。出于安全考虑，若持卡人的身份不符，公安部门可对持卡人的行为进行信息备案。

日志区33用于对智能卡装置90的各种操作行为进行记录，特别是对发生在应用CPU系统94中的各种交易行为进行记录。日志的内部结构包含了日志的记录，输出，删除和日志密码管理等方法和独立分割的程序和存储空间。图4是写日志流程，其特点是日志对卡的读写与网络接器的每次接入的特征行为无条件记录，记录的内容至少包括发行商ID，卡的读写与网络接入器ID及GPS坐标，接入时间，使用的功能区号；同时，应用处理系统的功能区可以在接入过程中以写日志帧的方式向规则CPU申请写附加的内容，如交易金额等。日志的数据可以方便地用图6的输出流程输出到PDA(Personal DigitalAssistant)，或个人电脑，或INTERNET上的计算机，从而可以利进一步用这些计算机上的软硬件资源对所有智能卡装置90的操作数据实施统一的智能化管理。由于商户机的任何一种接入操作，日志都无条件地记录了商户ID标识，商户机的GPS坐标，这就对商户机的地理位置有定量的数据，这不但方便持卡人掌握营业网点的精确地理分布，办理业务就可到最近的营业点，提高办事效率；而且持卡人在核对该商户时，就有一个可信的地理位置基准，因为地球上每个点的GPS坐标都是唯一的。有了这一基准，核对其它数据就变得容易，同时也为交易纠纷提供一种辅助证据，图26是持卡人防范非法商户的一种方法。现代微电子技术的发展，且卡的查询类终端只有日志、密码、规则等管理工作，对查询类终端的处理器性能要求很低，使得卡的查询类终端变得价格低，体积小，功耗小而普及，因而日志的查询可随时进行。同时，随着INTERNET在中国的普及，根据卡中的信息利用INTERNET核对商户也变得容易，从而使这种防范方法容易实施。同时，图27给出了商户防范非法持卡人的一种方法。由于本系统的身份特征映像与认证区与公共认证服务器可以建立联合认证机制，商户利用卡的特征数据，如身份证号，注册号等，通过INERNET与认证服务器进行链接，从认证服务器中调出正本特征，特别是静态特征数据，如相片等，就可进行特卡人和卡进行多维识别，从而且达到现有智能卡认证方法无法实现的效果。

帮助信息34的内部结构由信息加载、卸载，信息读取等方法和独立分割的程序和存储空间组成，它相当于智能卡装置90的随机使用手册，以便使持卡人随时可查阅卡中的各个功能区的作用和使用方法。由于智能卡装置90是开放式功能动态集成的，卡中的各功能区的发行商既可以是有业务关系的，也可以是毫无关系的，因此要独立记载发行商的帮助信息，但又可以将它们集中在一起管理。

下图给出了一种帮助信息的通讯及存储格式：

功能区ID

发行商ID

读写卡器类别

操作概述

发行商网址

授权码

图5和图7分别是帮助信息的加载和卸载流程，这些流程都是根据发行商的需要而设置的。各功能区中的帮助信息的记录是随发行商加载功能区时加载，删除功能区时删除。帮助信息可用图8的流程读出，使持卡人可全面了解各功能区的使用方法。

发行商密码管理区35用于记录、管理和对发行商的认证，即发行商在卡90上的注册，每个发行商的密码数据包括发行商的密码数据和密码处理规则，这些数据存储在独立分割的存储空间中，而密码的处理规则则由规则处理器的操作系统32解释执行。发行商用图21的流程将程序和数据加载到规则处理系统94的功能区后，就应同时在发行商管理区内写入相应的密码和密码处理规则，以表征对所加载的功能区的拥有权，即功能区注册。在使用时，注册过的发行商可以用以下的命令帧要求与智能卡装置90建立一次链接：

命令码

商户ID

信息帧长度

格式化的规则描述字串

授权码

智能卡90用以下的响应帧回应商户的要求：

响应码

注册ID

信息长度

信息正文

授权码

以下是商户和智能卡进行的一次认证过程：

通过这一认证过程，智能卡装置90就和商户建立了本次通讯的一种相互信任关系，就可进入图20的流程使用应用CPU系统94的相应功能区资源。

为了在硬件层次上将应用CPU系统94的各功能区进行分割，使各功能区的地址和数据空间相互隔离，在硬件上实现用应用CPU系统94的程序和数据存储区虚拟出多张智能卡，智能卡装置90系统使用了一种特殊的、严密的方法实施功能区地址保护。本系统地址保护机制的工作原理如下：

功能区保护机制20的特点是需两个总线上相互隔离的CPU系统配合工作，本系统为规则CPU系统92和应用CPU系统94，它们通过通讯池交换数据，通过功能区的保护机制实现硬件控制，使这两个处理系统构成一个全新的、完备的、不可分割的整体。

功能区保护机制的内部结构进一步包括功能区规则库数据201、功能区规则库管理202、功能区规则实现逻辑203。

功能区规则库数据201进一步包括功能区属性2010，功能区运行状态记录2011，功能区使用表2012；功能区规则管理202进一步包括对功能区属性2010，功能区运行状态记录2011，功能区使用表2012的数据写入、使用、修改、删除和维护等方法；功能区规则实现逻辑203进一步包括规则处理系统92的应用程序区保护逻辑2030、存储区保护逻辑2031的硬件电路，应用处理系统94的应用程序区保护逻辑2032、存储区保护逻辑2033的硬件电路，和规则寄存器组2034。

功能区规则实现逻辑的规则寄存器组2034进一步包括规则处理系统92的程序区规则寄存器20340、存储区规则寄存器20341，应用处理系统92的程序区规则寄存器20342、存储区规则寄存器20343。

规则处理系统92的程序区规则寄存器20340进一步包括程序区基址寄存器203401、程序区选择码寄存器203402、程序区ID寄存器203403；存储区规则寄存器20341进一步包括存储区基址寄存器203411、存储区选择码寄存器203412、存储区ID寄存器203413、存储区读写权限寄存器203414。

应用处理系统94的程序区规则寄存器20342进一步包括程序区基址寄存器203421、程序区选择码寄存器203422、程序区ID寄存器203423，程序区编程权限寄存器203424；存储区规则寄存器20343进一步包括存储区基址寄存器203431、存储区选择码寄存器203432、存储区ID寄存器203433、存储区读写权限寄存器203434。

在上电复位后及规则处理器30将规则寄存器组清0后，规则寄存器组设置为初始状态，这种状态禁止规则处理器及应用处理器对所有功能区的操作，规则处理器及应用处理器只能运行各自的操作系统(32，61)。在使用功能区前，必须先使用图20的流程进行进程调度，对这些寄存器组写入数据，才能使用相应的功能区。在运行过程中，功能区的执行程序可以向规则处理器的操作系统32动态地申请该功能区的读写和编程权限，规则处理器根据规则批准或拒绝这些请求。在应用程序退出功能区的同时，规则处理器无条件地将相应的规则寄存器组清0，禁止对该功能区的进一步操作，同时使得在使用下一个功能区时，完全不受上一次的硬件干扰。

功能区规则库201记录了功能区的使用和运行情况，这些数据是使用和控制功能区保护机制20的主要依据。在没有装载功能区时，规则库都是空白的，在装载了功能区后，就由图21的加载程序设置相应的内容，供新功能区加载、删除，进程调度时使用。功能区属性2010描述了应用CPU系统94各功能区的使用特性。下图是功能区属性的一种数据格式，

功能区ID

使用状态

程序重载属性

发行商ID

程序区基址

程序区长度

程序区选择码

存储区基址

存储区长度

存储区选择码

删除标志

校验码

其中功能区的使用状态指明该功能区有没有被占用，如果该功能区被占用，就暂不能加载新功能。程序重载属性指出该功能区的程序是否是可重载的，如果不是可重载的，则该功能区一旦加载了功能后，就指示规则处理程序将图17中的熔丝控制逻辑中的对应熔丝熔断，其程序就永远不能读出和删除；若该功能区的重载属性设置为“可重载”，则可先用图24的流程置功能区删除标志为有效，再用图10的流程删除该功能区，然后用图21的流程重新加载新功能。因为功能区为商户下载的，所以必须得到商户的许可才能删除功能区，图24就是商户许可的流程。商户许可后，还应得到持卡人确认才可删除，所以用了图10的流程删除功能区的控制数据，回收该功能区。

功能区运行状态记录2011用于记录每个功能区的运行情况，下图是一种功能区运行状态的数据格式。

当前事务的完成状态

数据更新标记

功能区ID

读写卡器ID

恢复执行断点

接入时间

校验码

其中，当前事务的完成状态是指该功能区最近一次操作是否顺利完成。如果顺利完成，下一次操作就可正常进行。如果上一次操作是非正常结束(如尚未操作完成就掉电等)，就要再根据数据是否已更新等其它状态，根据功能区ID及读写卡器ID，配合商户作必要的故障恢复处理。由于智能卡装置90的应用CPU系统94的存储区可以虚拟多达n(1，2，...，N)张智能卡，这n张卡是相互独立的，因此每张虚拟卡就有一条与之相应的运行状态记录。

功能区使用表记录了应用CPU系统94的程序存储空间和数据存储空间的使用情况。下图是程序区使用状态表：

程序区0状态

程序区1状态

......

程序区n状态

校验

下图则是存储区的使用状态表：

存储区0状态

存储区1状态

......

存储区n状态

校验码

其中的使用状态有已使用和未使用两种。在未装载功能区时，对应的功能区为“未使用”状态；已装载的功能区为“已使用”状态。  未使用的程序区或存储区，可以用图21的流程来分配和加载新功能；对于用图10的流程删除的功能区，则可回收后再重新分配。

图11是功能区规则实现逻辑的硬件整体结构图，规则实现逻辑的规则寄存器组2034是规则处理系统92中的应用程序区保护逻辑2030、存储区保护逻辑2031，及应用处理系统94中的应用程序区保护逻辑2032、数据存储区保护逻辑2033的控制寄存器，这些保护逻辑的所有控制命令均来自规则实现逻辑的规则寄存器组2034。

规则处理系统92的应用程序保护逻辑2030用于保护规则处理器的应用程序及常用函数据库区364；其存储区保护逻辑2031保护非易失性数据存储区365。所保护的数据和程序区包括身份特征映像与认证31，日志33，帮助信息34，发行商密码管理35，这些功能区的程序和数据作为一个整体对象处理。

应用处理系统94的应用程序保护逻辑2032用于保护应用处理系统的应用程序区663；其数据存储区保护逻辑2033保护非易失性数据存储区664。所保护的数据和程序区为功能区1～n(70，75)，这些功能区的程序和数据是作为一个整体对象处理。辅助区79不被保护，它可随时被功能区1～n(n＝1，2，...，N)的程序使用，作为中间/媒介性非易失性存储器。

图11中的360，361，362分别是规则CPU系统92的数据总线，地址总线和控制总线；660，661，662分别是应用CPU系统94的数据总线，地址总线和控制总线。

图11的通讯池93是一个双端口数据存储器，用于规则处理系统92和应用处理系统94的高速双向数据通讯。规则处理系统92和应处理系统94分别通过各自的接口控制逻辑(366，666)对通讯池93进行读写控制和状态信息交互。下面的四个图分别是规则处理系统92给应用处理系统94的命令信息结构、应用处理系统94给规则处理系统92的命令响应信息结构、应用处理系统94给规则处理系统92的通讯请求信息结构、规则处理系统92给应用处理系统94的请求响应信息结构。

命令码

正文长度

正文

校验码

应答码

正文长度

正文

校验码

请求码

正文长度

正文

校验码

响应码

正文长度

正文

校验码

图22是规则处理系统92用命令方式与应用处理系统94通讯的处理流程；图23是应用处理系统94请求与规则处理系统92通讯的流程，这些流程中的所有数据均在通讯池93中交换。在通讯过程中，设置有超时检测，一旦在规定时间内没有响应，就进行超时处理，中断该次通讯并作相应的恢复处理。

各程序及数据区的保护逻辑的实现原理如下：

图12是规则处理系统92应用程序区保护逻辑2030的硬件电路图，图中程序区地址保护逻辑2060与规则处理器30的地址线A0-An(n＝1，2，...，N)，程序区EEPROM 364的地址线A0-An和片选信号CS，程序区基址寄存器203401、程序区选择码寄存器203402相连接；规则处理器30的取指令控制线PSEG与EEPROM 364的读控制线 RD连接。规则处理器的数据线与程序区EEPROM的数据线相连。

图18为程序区地址保护逻辑的进一步实现原理图，在地址保护逻辑2060的实例中，CPU对应规则处理器30，程序区基址寄存器和程序区选择码寄存器分别对应规则处理系统的程序区基址寄存器20341和程序区选择码寄存器20342，EEPROM对应364。图18中的处理器的地址线A0-An(n＝1，2，...，N)分别与n位数字比较器、n组二选一开关连接；n组二选一开关还分别与程序区基址寄存器的RA0-RAn、程序区选择码寄存器的SD0-SDn、EEPROM的地址线PA0-PAn连接；n位数字比较器的比较结果输出EQ信号线与EEPROM的片选信号线CS及状态异常检测装置连接；EEPROM的地址信号线PA0-PAn还与n位数字相等比较器连接。n组二选一开关的特性为：

对于PA0-PAn中的任一PAi(i＝0，1，2，...n)，若SDi＝“假”，则PAi＝RAi；否则PAi＝Ai。这里“假”实例化为0信号，“真”实例化为1信号。

n位数字比较器的特性为：

当且仅当对所有的i(i＝0，1，2，...n)，Ai＝PAi时， EQ为有效电平。这里 EQ的有效电平实例化为0电平，相等比较的电路实例化为n组异或门和一n输入或门，公式为

EQ＝(A0PA0)(A1PA1)…(AnPAn)

图13是规则处理系统92存储区保护逻辑2031的硬件电路图，其中存储区地址保护逻辑2061分别与规则处理器30的地址线A0-An，存储区EEPROM 365的地址线A0-An和片选信号 CS，存储区基地址寄存器203411，存储区选择码寄存器203412，存储区ID203413，程序区ID203403相连接；存储区EEPROM 365的数据线与规则处理器30的数据线相连接，读写控制线 RD和 WR与读写允许逻辑2070连接；读写允许逻辑2070与存储区读写权限寄存器203414的输出线，规则处理器30的读写控制线 RD和 WR连接。

图16为读写允许逻辑的进一步硬件实现逻辑，其中CPU发出的读写信号RD和 WR分别与读写权限寄存器的读允许 RDEN和写允许 WREN通过与门相与后，分别形成存储区EEPROM的读写信号并送状态检测器检测。

图19是存储区地址保护逻辑2061的进一步实现原理图，图中处理器的地址线A0-An分别与n位数字比较器、n组二选一开关连接；n组二选一开关还分别与存储区基址寄存器的RA0-RAn、存储区选择码寄存器的SD0-SDn、EEPROM的地址线PA0-PAn连接；n位数字比较器的比较结果输出 EQ1信号线与m位数字相等比较器的输出EQ2通过与门后与EEPROM的片选信号线CS及状态异常检测装置连接；EEPROM的地址信号线PA0-PAn还与n位数字相等比较器连接；m(m＝0，1，2，...，M)位数字相等比较器还和程序区ID、存储ID连接。

图14是应用处理系统94应用程序区保护逻辑的硬件电路图。图中的程序区地址保护逻辑2062与应用处理器60的地址线A0-An，程序区EEPROM 663的地址线A0-An和片选信号CS，程序区基地址寄存器203421、程序区选择码寄存器203422相连接；执行及编程允许逻辑208的读写信号输出线RD和WR与程序区EEPROM 663，应用处理器60的取指控制线PSEG、读写控制线RD和WR，程序区编程权限寄存器的输出信号线等相连；应用处理器60的数据线与程序区EEPROM 663的数据线相连。

图18是程序区保护逻辑2062的进一步实现原理图。图中的CPU为应用处理60，程序区基址、选择码寄存器、EEPROM均属应用处理系统的应用程序区。图18的工作原理与上述规则处理系统92的程序区地址保护逻辑一致。

图17是应用处理系统94的执行及编程允许逻辑208的进一步实现原理图。图中编程权限寄存器的数据输出 PRGEN、 CHKEN分别为编程允许和读出校验允许；程序区EEPROM 663的编程信号 WR由熔丝控制逻辑的输出、 PRGEN及应用处理器60的存储器写信号WR通过一个三与门相与后生成，并送状态检测器检测；熔丝控制逻辑的另一个输出、 CHKEN和应用处理器60的存储器读信号 RD通过一个三或门生成状态检测信号，并与应用处理器60的取指信号PSEG相与后，生成程序区EEPROM的读出信号线 RD。熔丝控制逻辑的输出状态还送状态检测器检测，程序区ID寄存器的输出与熔丝控制逻辑连接。这里的熔丝控制逻辑使用可编程逻辑阵列，如PLD等实现。

各功能区保护逻辑的工作原理如下：

在若要使用规则处理系统的功能区，其操作系统32的进程调度程序先要从功能区规则库中的功能区属性中取出该功能区的程序区基址、程序区选择码、存储区基址、存储区选择码分别写入规则处理系统92的规则寄存器20340、20341中的程序区基址寄存器203401、程序区选择码寄存器203402、存储区基址寄存器203411、存储区选择码寄存器203412，在功能区属性中取出功能区ID号，作为程序区ID、存储区ID的共同ID，写入规则处理系统92的程序区ID寄存器203403、存储区ID寄存器203413。并设置规则处理系统92的存储区读写权限寄存器203414的 RDEN为有效， WREN为无效。然后转发转入该功能区执行程序。在功能区执行程序过程中，若要执行写存储器操作，则要先向操作系统32申请存储器写权限，操作系统32批准后，就设置存储区读写权限寄存器203414的 WREN为有效；当功能区不需写操作时，要及时通知操作系统32置 WRREN无效，关闭存储器的写操作。在功能区完成操作，退出功能区后，操作系统32的调度程序会先清除规则处理系统的规则寄存器20340、20341，然后才做其它工作。

在若要使用应用处理系统的功能区(70，75)，则规则处理器92的操作系统32的进程调度程序先要从功能区规则库中的功能区属性中取出该功能区的程序区基址、程序区选择码、存储区基址、存储区选择码分别写入应用处理系统94的规则寄存器20342、20343中的程序区基址寄存器203421、程序区选择码寄存器203422、存储区基址寄存器203431、存储区选择码寄存器203432；在功能区属性中取出功能区ID号，作为程序区ID、存储区ID的共同ID，写入应用处理系统94的程序区ID寄存器203423、存储区ID寄存器203433。并设置应用处理系统94的存储区读写权限寄存器203434的 RDEN为有效， WREN为无效，程序区编程权限寄存器的 PRGEN、 CHKEN无效。然后以命令帧的格式命令应用处理系统94转入该功能区。应用处理系统94接收到这一命令后，就转入该功能区执行程序。在功能区执行程序过程中，若要执行写存储器操作，则应用处理系统94向规则处理系统进行通讯，要求应用处理系统的存储器写权限。操作系统32批准后，就设置存储区读写权限寄存器203434的 WREN为有效；当功能不需写操作时，要及时通知操作系统32置 WREN无效，关闭存储器的写操作。在功能区完成操作，退出功能区后，操作系统32的调度程序会先清除规则寄存器20342、20343，然后才做其它工作。

图21是应用处理系统92的功能区加载流程。新功能区的加载先要持卡的允许，这个工作可用卡的私用类查询终端开放卡的加载锁，并删除无用的功能区，使有足够的空间给新功能区用，然后该卡交由发行商进行加载。在加载开始时，操作系统32的应用处理系统的功能区管理程序就在规则库中增加一条记录，分配程序区和存储区的空间，并设置好新功能区的属性2010的数据。然后将新设置的功能区属性中的程序区基址、程序区选择码、存储区基址、存储区选择码、功能区ID写入相应的应用处理系统94的程序区规则寄存器20342和存储区规则寄存器20343。然后规则处理系统命令应用处理系统进入编程和状态，应用处理系统准备好后，就通知规则处理系统。接着规则处理统系将程序区编程权限寄存器203424的 PRGEN、 CHKEN，存储区读写权限寄存器203434的 RDEN， WREN均设置为有效。之后发行商的功能区代码及数据就通过卡的读写与网络接入器10传送到规则处理系统92，再由规则处理系统传送到应用处理系统，并由应用处理系统写入到相应的功能区并作校验处理。然后再将发行商的密码数据、帮助信息分别加载到规则处理系统对应的发行商密码管理区35和帮助信息区34。若这一加载过程顺利完成，规则处理系统就更新规则库中的功能区属性和功能区使用表，发行商密码管理区，帮助信息区相应的内容，若功能区属性设置为“非重载区”，还需熔断招行及编程允许逻辑中的熔丝控制逻辑中相应的熔丝，禁止对该功能区的程序区读写，该功能区的程序只能执行。若这一加载过程不成功，则要取消这次所有的操作，恢复原来状态。操作完成后，持卡人可用私用查询终端将加载功能上锁，防止非法加载新功能区。

用本系统的功能区保护机制20实现的区间保护逻辑，如图11到图19，其控制逻辑严密，每种控制的译码延时小，如二选一开关，相等比较器等一般为两三级门延时，这种电路支持高速CPU。同时，本系统使用规则库来控制各功能区的区间范围，使不同的发行商可根据实际需要设定不同的功能区大小，提高程序和存储区EEPROM的利用率。

另外，图26，图27分别给出了消费者和商户防范对方非法使用的一种方法，进一步提高了本发明的信息安全性。持卡人可以用以下过程识别非法商户：持卡人进行一次可疑的交易后，记下商户机的ID号和GPS坐标，然后到就近的查询终端或用自带的PDA读出卡的日志相比较，若仍可疑则进一步根据卡中帮助信息提供的网址通过因特网调出商户更详细资料进行相应处理；

商户可以用以下过程识别非法持卡人：商户通过卡的认证后，仍对一次交易可疑，则商户可通过持卡人在发卡机构或公安部门的注册号/身份证号，找到注册服务器的网址，然后下载持卡人的身份特征数据，如相片、指纹等，与卡、特卡人同时比较，若一致，则持卡人身份可信，否则不可信而作相应处理。

上述智能卡功能区加载方法包含以下步骤：

持卡人将智能卡装置(90)内的允许加载标志设置为真，允许发行商加载新功能；

将智能卡装置(90)交由发行商授权的营运网点进行卡的认证处理，并使卡(90)与发行商的功能区数据下载服务器建立数据连接；

认证通过后在卡中找出一个足够大的空白功能区，在功能区保护逻辑的规则库中新增一条记录，设置相应的数据，并将这些数据写入对应的功能区规则寄存器，然后命令应用处理系统(94)进入编程状态，若这个空白区不够大，持卡人可回收一些无用的程序可重载区再重复上述过程；

根据智能卡装置(90)的设置、发行商的服务器生成新功能区的程序代码和数据并下载到卡内的应用处理系统(94)的相应功能区，然后再生成发行商密码、帮助信息分别下载到规则处理系统的发行商密码区和帮助信息区；

若加载过程完整，则更新智能卡装置(90)的规则处理系统和应用处理系统，同时若该功能区设置为“非程序重载区”，则熔断功能区保护机制对应该区的加载熔丝，禁止对这一程序区的读出或删除；否则取消所有规则处理系统的存储器写入操作；持卡人在适当时候关闭卡中的允许加载标志。

Claims (19)

1、一种开放式功能动态集成的智能卡系统，包括有一个智能卡装置(90)、卡的读写与网络接入器(10)，其中智能卡装置(90)上可虚拟出若干张智能卡，各虚拟智能卡上可加载或下载、使用和卸载各种应用系统，卡的读写与网络接入器(10)与智能卡装置(90)通过非接触式或接触式连接，为智能卡装置(90)提供电源能量及进行数据交互，其特征在于智能卡装置(90)至少包括有：

一个智能卡的外部接口(91)，智能卡装置(90)通过智能卡的外部接口(91)与卡的读写与网络接入器(10)可用非接触式或接触式连接，为整个智能卡装置提供电源和实现智能卡装置(90)与卡的读写与网络接入器(10)的数据通讯；以及一个半导体基片，在这个基片上集成了规则处理系统(92)、通讯池(93)和应用处理系统(94)，其中通讯池(93)和规则处理系统(92)中的功能区保护机制(20)把规则处理系统(92)和应用处理系统(94)连接起来，规则处理系统(92)与卡的外部接口(91)连接；通讯池(93)是一个双端口存储器，可以分别从规则处理系统(92)和应用处理系统(94)进行读写。

2、根据权利要求1所述的开放式功能动态集成的智能卡系统，其特征在于上述基片上的规则处理系统(92)包括有规则处理器RCPU(30)、身份特征映像与认证(31)、操作系统RCOS(32)、日志(33)、帮助信息(34)、发行商密码管理(35)和功能区保护机制(20)，身份特征映像与认证(31)、操作系统RCOS(32)、日志(33)、帮助信息(34)，发行商密码管理(35)和功能区保护机制(20)均和规则处理器RCPU(30)连接，且和规则处理器RCPU(30)处于同一总线上，其中操作系统(32)由规则处理器(30)控制，其余由规则处理器(30)和功能区保护机制(20)联合控制；处理器的程序空间和数据空间是独立编址的，功能区保护机制(20)将该系统空间中的各类程序和数据进行分块保护，其中每个功能区由若干个基本程序区和若干个基本数据区联合构成，功能区的程序区和数据区作为一个不可分割的应用单元处理。

3、根据权利要求1所述的开放式功能动态集成的智能卡系统，其特征在于上述基片上的应用处理系统(94)包括有应用处理器APCPU(60)、操作系统APCOS(61)、功能区1～n(70，75)、辅助区(79)，操作系统APCOS(61)、功能区1～n(70，75)、辅助区(79)均和应用处理器APCPU(60)连接，且处于应用处理器的总线上，其中功能区1～n(70，75)由应用处理器(60)和规则处理系统(92)中的功能区保护机制(20)联合控制，其它部分由应用处理器(60)控制；处理器的程序空间和数据空间是独立编址的，功能区保护机制(20)将该系统空间中的各类程序和数据进行分块保护，其中一个功能区由若干个基本程序区和若干个基本数据区联合构成，这个功能区的程序区和数据区作为一个不可分割的应用单元处理，功能区1～n(70，75)中的程序和数据可以在使用过程中动态地分区独立下载，独立使用。

4、根据权利要求1所述的开放式功能动态集成的智能卡系统，其特征在于上述卡的读写与网络接入器(10)包括有查询类终端和非查询类终端，其中查询类终端只能进行智能卡装置(90)的数据维护或管理，不能进行数据交易处理；非查询类终端在功能区加载时需查看功能区使用情况除外，只能进行查询类终端不能做的操作，其中非查询类终端进一步分为私用查询类终端和公用查询终端，公用查询终端只能读出卡中管理数据，而私用查询终端还可以进行修改卡中的个人资料，删除日志的管理数据；应用处理系统(94)的每个功能区(70，75)均对应一类卡的读写与网络接入器(10)的非查询类终端，在其一次与装置(90)的接入过程中，至多只能使用与应用处理系统(94)相对应的一个功能区。

5、根据权利要求1所述的开放式功能动态集成的智能卡系统，其特征在于上述卡的读写与网络接入器(10)包括有地名位置标识法，还包括有全球定位系统GPS的经纬度坐标表示法，它们安装到营运网点，且在它们各自的明显位置设有以便持卡人核对的ID号、类别和GPS坐标的关键特征。

6、根据权利要求2所述的开放式功能动态集成的智能卡系统，其特征在于上述身份特征映像与认证(31)包括有：

身份的静态特征库，进一步包括特征库数据和特征数据处理方法，其中静态特征库数据用于记录和认证持卡人的相片，指纹，DNA的永久性身份特征信息，这些特征信息与非接触式IC卡居民身份证的信息化特征一致；

动态特征库，进一步包括动态特征库数据和动态特征数据处理方法，它与静态特征库互为补充，其中动态特征库还包括用于记录和处理公安部门及发行商随机分配给持卡人的注册及认证密码数据。

7、根据权利要求2所述的开放式功能动态集成的智能卡系统，其特征在于上述身份特征映像与认证(31)的认证方法可以通过以下途径之一实现：认证过程由一组格式化的规则串控制，智能卡装置(90)由规则处理器(30)中的解释程序解释执行；或这个规则字串由一与规则处理系统(92)集成在同一基片上的专用集成电路执行。

8、根据权利要求2所述的开放式功能动态集成的智能卡系统，其特征在于上述规则处理系统(92)中的日志(32)包括日志的记录，输出，删除，密码管理方法和存储保护区，其中日志的输出、修改和密码管理只能在智能卡的查询类终端上进行，日志记录中包含了卡的读写与接入器(10)的类别及GPS坐标的关键特征。

9、根据权利要求2所述的开放式功能动态集成的智能卡系统，其特征在于上述帮助信息(34)包括帮助信息的加载、输出、卸载方法及相应的信息存储保护区，这些信息由使用应用处理系统(94)的发行商加载，用于说明各功能区的使用方法，或给出使用方法的网址信息，并由持卡人用查询类终端阅读。

10、根据权利要求2所述的开放式功能动态集成的智能卡系统，其特征在于上述规则处理系统(92)中的发行商密码管理(35)包括有发行商密码保护区，在密码区中为规则处理系统(92)和应用处理系统(94)的每个功能区建立一条发行商的密码和密码处理规则的记录，用于标识各功能区的合法拥有者。

11、根据权利要求2所述的开放式功能动态集成的智能卡系统，其特征在于上述规则处理系统(92)中的功能区保护机制(20)包括有：

功能区规则库数据，功能区规则库数据包括功能区属性，功能区运行状态记录，功能区使用表；

规则库数据管理，规则库数据管理用于对功能区属性，功能区运行状态记录，功能区使用表进行配置、管理和维护；

功能区实现逻辑，功能区实现逻辑包括规则处理系统(92)的应用程序区保护逻辑，规则处理系统的存储区保护逻辑，应用处理系统(94)的应用程序区保护逻辑，应用处理系统的存储区保护逻辑，规则实现逻辑的规则寄存器组。

12、根据权利要求11所述的开放式功能动态集成的智能卡系统，其特征在于上述功能区属性的每个功能区对应的记录内容至少包括功能区ID，使用状态，程序重载属性，程序区基址，程序区选择码，存储区基址，存储区选择码，删除标志，其中功能区ID、使用状态用于标识这个功能区是否已被使用；程序重载属性和删除标志分别用于设定该功能区加载后是否可以被删除及标识商户是否已删除该功能区；程序区基址、程序区选择码和存储区基址，存储区选择码分别用于选择和控制功能区的程序空间和存储空间。

13、根据权利要求11所述的开放式功能动态集成的智能卡系统，其特征在于上述规则寄存器组包括：

规则处理系统(92)的程序区规则寄存器，进一步包括该程序区的程序区基址寄存器，程序区选择码寄存器，程序区ID寄存器；

规则处理系统(92)的存储区规则寄存器，进一步包括该存储区的存储区基址寄存器，存储区选择码寄存器，存储区ID寄存器，存储区读写权限寄存器；

应用处理系统(94)的程序区规则寄存器，进一步包括该程序区的程序区基址寄存器，程序区选择码寄存器，程序区ID寄存器，程序区编程权限寄存器；

应用处理系统(94)的存储区规则寄存器，进一步包括该存储区的存储区基址寄存器，存储区选择码寄存器，存储区ID寄存器，存储区读写权限寄存器。

14、根据权利要求11所述的开放式功能动态集成的智能卡系统，其特征在于上述功能区实现逻辑中的程序区保护逻辑包括一个CPU，一个EEPROM，一个状态异常检测器，一个N位基址寄存器，一个N位选择码寄存器，一个N位数字相等比较器，一个N组二选一开关；其中N组二选一开关与CPU，EEPROM，基址寄存器，选择码寄存器连接，用于生成EEPROM的M位物理地址，其中M≤N，N≥1，N位数字相等比较器与CPU，EEPROM，状态异常检测器连接，用于生成EEPROM的片选信号及状态检测信号。

15、根据权利要求11所述的开放式功能动态集成的智能卡系统，其特征在于上述功能区实现逻辑中的存储区保护逻辑包括一个CPU，一个EEPROM，一个状态异常检测器，一个N位基址寄存器，一个N位选择码寄存器，一个M位程序区ID，一个M位存储区ID，一个N+M位数字相等比较器，其中M≥0，一个N组二选一开关，其中N组二选一开关与CPU，EEPROM，基址寄存器，选择码寄存器连接，用于生成EEPROM的L位物理地址，其中L≤N，N≥1；N+M位数字相等比较器与CPU，EEPROM，程序区ID，存储区ID，状态异常检测器连接，用于生成EEPROM的片选信号及状态检测信号。

16、根据权利要求11所述的开放式功能动态集成的智能卡系统，其特征在于上述功能区实现逻辑中的程序区保护逻辑包括一个CPU，一个EEPROM，一个编程权限寄存器，一个状态检测器，一个程序区ID，一个熔丝控制逻辑，及若干个与门及或门，其中CPU的读控制线、编程权限寄存器的校验允许位、熔丝控制逻辑的一个输出相或后形成状态检测信号及这个信号与CPU的取指令控制线相与后生成EEPROM的读控制线；CPU的写控制线、编程权限寄存器的编程允许线、熔丝控制逻辑的一个输出相或后生成EEPROM的写控制线并送状态检测器检测；程序熔丝控制逻辑受程序区ID寄存器控制，其当前状态还输出到状态检测器。

17、根据权利要求1所述的开放式功能动态集成的智能卡系统，其特征在于上述智能卡装置(90)需要进行信息管理，其信息管理处理过程为：持卡人需要到发卡机构或公安部门授权的营业网点进行身份认证，认证成功则允许操作，否则做操作失败备案。

18、根据权利要求1所述的开放式功能动态集成的智能卡系统，其特征在于上述智能卡装置(90)需要采取安全防范措施，其具体方法为：

持卡人可以用以下过程识别非法商户：持卡人进行一次可疑的交易后，记下商户机的ID号和GPS坐标，然后到就近的查询终端或用自带的PDA读出卡的日志相比较，若仍可疑则进一步根据卡中帮助信息提供的网址通过因特网调出商户更详细资料进行相应处理；

商户可以用以下过程识别非法持卡人：商户通过卡的认证后，仍对一次交易可疑，则商户可通过持卡人在发卡机构或公安部门的注册号/身份证号，找到注册服务器的网址，然后下载持卡人的身份特征数据，与卡、持卡人同时比较，若一致，则持卡人身份可信，否则不可信而作相应处理。

19、根据权利要求1所述的开放式功能动态集成的智能卡系统，其特征在于上述智能卡装置(90)的功能区加载方法包含以下步骤：

持卡人将智能卡装置(90)内的允许加载标志设置为真，允许发行商加载新功能；

将智能卡装置(90)交由发行商授权的营运网点进行卡的认证处理，并使卡(90)与发行商的功能区数据下载服务器建立数据连接；

认证通过后在卡中找出一个足够大的空白功能区，在功能区保护逻辑的规则库中新增一条记录，设置相应的数据，并将这些数据写入对应的功能区规则寄存器，然后命令应用处理系统(94)进入编程状态，若这个空白区不够大，持卡人可回收一些无用的程序可重载区再重复上述过程；

根据智能卡装置(90)的设置、发行商的服务器生成新功能区的程序代码和数据并下载到卡内的应用处理系统(94)的相应功能区，然后再生成发行商密码、帮助信息分别下载到规则处理系统的发行商密码区和帮助信息区；

若加载过程完整，则更新智能卡装置(90)的规则处理系统和应用处理系统，同时若该功能区设置为“非程序重载区”，则熔断功能区保护机制对应该区的加载熔丝，禁止对这一程序区的读出或删除；否则取消所有规则处理系统的存储器写入操作；持卡人在适当时候关闭卡中的允许加载标志。

Images