開放式功能動態集成的智能卡系統的制作方法

專利名稱：開放式功能動態集成的智能卡系統的制作方法
技術領域：
本發明涉及一種集成電路智能卡系統，屬于集成電路智能卡系統的創新技術。
背景技術：
隨著集成電路技術的發展，集成電路卡(IC卡)向智能化、多功能，大容量、微型化、低功耗的方向發展。特別是非接觸式IC卡，這種卡是在IC卡內含有CPU及固件，卡內裝有電磁感應線圈及無線數據接收裝置，數據的讀出與寫入由設備發出電磁波作為IC卡的電源能量供應和無線數據傳送。這種卡已迅速被社會各階層人士使用。
智能卡在人們的工作和生活中發揮了不可替代的作用，但也由此引起以下問題1)智能卡的應用場合在飛速發展，而用戶個人持卡的種類和數量在不斷增多。如從大的種類上分，有銀行卡，交通卡，身份卡，考勤卡，....；就以某一類卡，如銀行卡，目前中國的幾大銀行卡也沒有真正意義上的“一卡通”，各個銀行有各銀行的卡。如需新增一類應用，一般還需新增一個物理上的IC卡。這種個人持卡數量的快速增多給持卡人在攜帶、保管、管理上都帶來極大的不方便性。
2)IC卡功能的動態集成問題。個人的工作生活環境遷移及商務、旅游活動范圍擴大、頻繁，這種變化客觀上要求IC卡具有很好的擴充和集成能力，IC卡的應用固件可以很方便地加載和卸載(即功能的動態集成)。若IC卡內應用程序的加載和卸載可以象電子錢包充值一樣即載即用，就更能發揮IC卡的作用，因為網絡時代的所有工作和生活節奏都在加快，許多現在未知的應用，如果將來要增加和使用，若用現在的IC卡的一次性加載模式則很難適應。
3)對IC卡的集中式輔助管理，安全防范非法使用，同時保護持卡人和商戶的合法權益問題。隨著IC卡應用領域的增多，對IC卡進行智能化的統一管理極為重要；同時，IC卡的增多及讀寫卡器的增多，無論對消費者或商戶，潛在的安全威脅也在增大，世界范圍的信用卡犯罪也經常發生。
而現有的IC卡，絕大多數只是在單用戶智能卡設計上的技術改進和技術上的提高。中國國內使用的“一卡通”，如校園一卡通，只著重在一個組織范圍內的通用，未能做到開放的，功能集成的一卡通。這些智能卡的共同特點是在同一張智能卡上只有單個CPU，在安全上是難以虛擬出功能可動態集成的多張智能卡，因而也難以實現多種IC卡的智能化統一管理。
還有一些專利技術可以在一張卡上集成多張物理上的IC卡，如中國專利申請號為99805715.0中公開了一種在一張卡上集成多張物理上的IC卡的智能卡，這種多張物理上存在的IC卡也未能完全解決上述問題。因為n張智能卡集成在一起就有n個物理上的CPU卡，有n套物理上的指令執行機構，在數量與體積、數量與功耗等方面的矛盾難以解決，一張卡同一時刻一般只執行一種任務，在這種場合下多個CPU并行優勢并不體現。
另外，現有的智能卡系統一般都只注重對非法持卡人的防范，對商戶的監督和防范不足，商戶機的地理位置絕大多數用地名/街道名這種相對定位系統表示，沒有使用GPS經緯度坐標這種先進的定量定位系統。地名/街道名由于建設等原因容易變更，也不方便檢索、法律舉證等。

發明內容
本發明的目的在于克服上述缺點而提供一種可以用分割卡內的程序存儲區和數據存儲區來創建多張虛擬智能卡的開放式功能動態集成的智能卡系統。本發明在使用性能、安全性能上能達到或接近物理上的智能卡，是一種硬件和軟件一體化的智能卡，從而實現真正意義的“一卡通”。
本發明的另一個目的是提供一種可對卡的使用過程進行有效的監控和管理，實現卡的管理電子化、智能化，從而方便持卡人對智能卡進行統一管理，使持卡人對卡的電子貨幣等重要信息流能完整、準確、及時地掌握的開放式功能動態集成的智能卡系統。
本發明的再一個目的是提供一種可為現代社會提供法律上的輔助證據，配合社會法規以進一步防范與智能卡相關的信息犯罪的開放式功能動態集成的智能卡系統。
本發明的結構示意圖如附圖所示，包括有一個智能卡裝置(90)、卡的讀寫與網絡接入器(10)，其中智能卡裝置(90)上可虛擬出若干張智能卡，各虛擬智能卡上可加載或下載、使用和卸載各種應用系統，卡的讀寫與網絡接入器(10)與智能卡(90)通過非接觸式或接觸式連接，為智能卡(90)提供電源能量及進行數據交互。
上述智能卡裝置(90)至少包括有一個智能卡的外部接口(91)，智能卡裝置(90)通過智能卡的外部接口(91)與卡的讀寫與網絡接入器(10)可用非接觸式或接觸式連接，為整個智能卡裝置提供電源和實現智能卡裝置(90)與卡的讀寫與網絡接入器(10)的數據通訊；以及一個半導體基片，在這個基片上集成了規則處理系統(92)、通訊池(93)和應用處理系統(94)，其中通訊池(93)和規則處理系統(92)中的功能區保護機制(20)把規則處理系統(92)和應用處理系統(94)連接起來，規則處理系統(92)與卡的外部接口(91)連接；通訊池(93)是一個雙端口存儲器，可以分別從規則處理系統(92)和應用處理系統(94)進行讀寫。
上述基片上的規則處理系統(92)包括有規則處理器RCPU(30)、身份特征映像與認證(31)、操作系統RCOS(32)、日志(33)、幫助信息(34)、發行商密碼管理(35)和功能區保護機制(20)，身份特征映像與認證(31)、操作系統RCOS(32)、日志(33)、幫助信息(34)，發行商密碼管理(35)和功能區保護機制(20)均和規則處理器RCPU(30)連接，且和規則處理器RCPU(30)處于同一總線上，其中操作系統(32)由規則處理器(30)控制，其余由規則處理器(30)和功能區保護機制(20)聯合控制；處理器的程序空間和數據空間是獨立編址的，功能區保護機制(20)將該系統空間中的各類程序和數據進行分塊保護，其中每個功能區由若干個基本程序區和若干個基本數據區聯合構成，功能區的程序區和數據區作為一個不可分割的應用單元處理。上述基片上的應用處理系統(94)包括有應用處理器APCPU(60)、操作系統APCOS(61)、功能區1～n(70，75)、輔助區(79)，操作系統APCOS(61)、功能區1～n(70，75)、輔助區(79)均和應用處理器APCPU(60)連接，且處于應用處理器的總線上，其中功能區1～n(70，75)由應用處理器(60)和規則處理系統(92)中的功能區保護機制(20)聯合控制，其它部分由應用處理器(60)控制；處理器的程序空間和數據空間是獨立編址的，功能區保護機制(20)將該系統空間中的各類程序和數據進行分塊保護，其中一個功能區由若干個基本程序區和若干個基本數據區聯合構成，這個功能區的程序區和數據區作為一個不可分割的應用單元處理，功能區1～n(70，75)中的程序和數據可以在使用過程中動態地分區獨立下載，獨立使用。
上述卡的讀寫與網絡接入器(10)包括有查詢類終端和非查詢類終端，其中查詢類終端只能進行智能卡裝置(90)的數據維護或管理，不能進行數據交易處理；非查詢類終端只能進行查詢類終端不能做的操作(功能區加載時需查看功能區使用情況除外)，其中非查詢類終端進一步分為私用查詢類終端和公用查詢終端，公用查詢終端只能讀出卡中管理數據，而私用查詢終端還可以進行修改卡中如個人密碼，刪除日志等的管理數據；應用處理系統(94)的每個功能區(70，75)均對應一類卡的讀寫與網絡接入器(10)的非查詢類終端，在其一次與裝置(90)的接入過程中，至多只能使用與應用處理系統(94)相對應的一個功能區。
上述卡的讀寫與網絡接入器(10)包括有地名位置標識法，還包括有全球定位系統GPS的經緯度坐標表示法，它們安裝到營運網點，且在它們各自的明顯位置設有以便持卡人核對的ID號、類別和GPS坐標等關鍵特征。
上述身份特征映像與認證(31)包括有身份的靜態特征庫，進一步包括特征庫數據和特征數據處理方法，其中靜態特征庫數據用于記錄和認證持卡人的相片，指紋，DNA等身份的永久性特征信息，這些特征信息與非接觸式IC卡居民身份證的信息化特征一致。
動態特征庫，進一步包括動態特征庫數據和動態特征數據處理方法，它與靜態特征庫互為補充，其中動態特征庫還包括用于記錄和處理公安部門及發行商隨機分配給持卡人的注冊及認證密碼數據。
上述身份特征映像與認證(31)的認證方法可以通過以下途徑之一實現認證過程由一組格式化的規則串控制，智能卡裝置(90)由規則處理器(30)中的解釋程序解釋執行；或這個規則字串由一與規則處理系統(92)集成在同一基片上的專用集成電路執行。
上述處理系統(92)中的日志(32)包括日志的記錄，輸出，刪除，密碼管理等方法和存儲保護區，其中日志的輸出、修改和密碼管理只能在智能卡的查詢類終端上進行，日志記錄中包含了卡的讀寫與接入器(10)的類別及GPS坐標等關鍵特征。
上述幫助信息(34)包括幫助信息的加載、輸出、卸載等方法及相應的信息存儲保護區，這些信息由使用應用處理系統(94)的發行商加載，用于說明各功能區的使用方法，或給出使用方法的網址信息，并由持卡人用查詢類終端閱讀。
上述處理系統(92)中的發行商密碼管理(35)包括有發行商密碼保護區，在密碼區中為規則處理系統(92)和應用處理系統(94)的每個功能區建立一條發行商的密碼和密碼處理規則的記錄，用于標識各功能區的合法擁有者。
上述處理系統(92)中的功能區保護機制(20)包括有功能區規則庫數據，功能區規則庫數據包括功能區的屬性，功能區運行狀態記錄，功能區使用表；規則庫數據管理，規則庫數據管理用于對功能區屬性，功能區運行狀態記錄，功能區使用表進行配置、管理和維護；功能區實現邏輯，功能區實現邏輯包括規則處理系統(92)的應用程序區保護邏輯，規則處理系統的存儲區保護邏輯，應用處理系統(94)的應用程序區保護邏輯，應用處理系統的存儲區保護邏輯，規則實現邏輯的規則寄存器組。
上述功能區屬性的每個功能區對應的記錄內容至少包括功能區ID，使用狀態，程序重載屬性，程序區基址，程序區選擇碼，存儲區基址，存儲區選擇碼，刪除標志，其中功能區ID、使用狀態用于標識這個功能區是否已被使用；程序重載屬性和刪除標志分別用于設定該功能區加載后是否可以被刪除及標識商戶是否已刪除該功能區；程序區基址、程序區選擇碼和存儲區基址，存儲區選擇碼分別用于選擇和控制功能區的程序空間和存儲空間。
上述規則寄存器組包括規則處理系統(92)的程序區規則寄存器，進一步包括該程序區的程序區基址寄存器，程序區選擇碼寄存器，程序區ID寄存器；規則處理系統(92)的存儲區規則寄存器，進一步包括該存儲區的存儲區基址寄存器，存儲區選擇碼寄存器，存儲區ID寄存器，存儲區讀寫權限寄存器；應用處理系統(94)的程序區規則寄存器，進一步包括該程序區的程序區基址寄存器，程序區選擇碼寄存器，程序區ID寄存器，程序區編程權限寄存器；應用處理系統(94)的存儲區規則寄存器，進一步包括存該存儲區的儲區基址寄存器，存儲區選擇碼寄存器，存儲區ID寄存器，存儲區讀寫權限寄存器。
上述程序區地址保護邏輯包括一個CPU，一個EEPROM，一個狀態異常檢測器，一個N位基址寄存器，一個N位選擇碼寄存器，一個N位數字相等比較器，一個N組二選一開關；其中N組二選一開關與CPU，EEPROM，基址寄存器，選擇碼寄存器連接，用于生成EEPROM的M位(M≤N，N＝1，2...L)物理地址；N位數字相等比較器與CPU，EEPROM，狀態異常檢測器連接，用于生成EEPROM的片選信號及狀態檢測信號。
上述存儲區地址保護邏輯包括一個CPU，一個EEPROM，一個狀態異常檢測器，一個N位基址寄存器，一個N位選擇碼寄存器，一個M位程序區ID，一個M位存儲區ID，一個N+M位數字相等比較器(M＝0，1，2，...，Q)，一個N組二選一開關，其中N組二選一開關與CPU，EEPROM，基址寄存器，選擇碼寄存器連接，用于生成EEPROM的L位(L≤N，N＝1，2...P)物理地址；N+M位數字相等比較器與CPU，EEPROM，程序區ID，存儲區ID，狀態異常檢測器連接，用于生成EEPROM的片選信號及狀態檢測信號。
上述程序區執行及編程允許邏輯包括一個CPU，一個EEPROM，一個編程權限寄存器，一個狀態檢測器，一個程序區ID，一個熔絲控制邏輯，及若干個與門及或門，其中CPU的讀控制線、編程權限寄存器的校驗允許位、熔絲控制邏輯的一個輸出相或后形成狀態檢測信號及這個信號與CPU的取指令控制線相與后生成EEPROM的讀控制線；CPU的寫控制線、編程權限寄存器的編程允許線、熔絲控制邏輯的一個輸出相或后生成EEPROM的寫控制線并送狀態檢測器檢測；程序熔絲控制邏輯受程序區ID寄存器控制，其當前狀態還輸出到狀態檢測器。
上述信息管理方法包括需要變更身份特征映像庫的數據，其處理過程為持卡人需要到發卡機構或公安部門授權的營業網點進行身份認證，認證成功則允許操作，否則做操作失敗備案。
上述安全防范方法還包括持卡人可以用以下過程識別非法商戶持卡人進行一次可疑的交易后，記下商戶機的ID號和GPS坐標，然后到就近的查詢終端或用自帶的PDA讀出卡的日志相比較，若仍可疑則進一步根據卡中幫助信息提供的網址通過因特網調出商戶更詳細資料進行相應處理；商戶可以用以下過程識別非法持卡人商戶通過卡的認證后，仍對一次交易可疑，則商戶可通過持卡人在發卡機構或公安部門的注冊號/身份證號，找到注冊服務器的網址，然后下載持卡人的身份特征數據，如相片、指紋等，與卡、特卡人同時比較，若一致，則持卡人身份可信，否則不可信而作相應處理。
上述智能卡功能區加載方法包含以下步驟持卡人將智能卡裝置(90)內的允許加載標志設置為真，允許發行商加載新功能；將智能卡裝置(90)交由發行商授權的營運網點進行卡的認證處理，并使卡(90)與發行商的功能區數據下載服務器建立數據連接；認證通過后在卡中找出一個足夠大的空白功能區，在功能區保護邏輯的規則庫中新增一條記錄，設置相應的數據，并將這些數據寫入對應的功能區規則寄存器，然后命令應用處理系統(94)進入編程狀態，若這個空白區不夠大，持卡人可回收一些無用的程序可重載區再重復上述過程；根據智能卡裝置(90)的設置、發行商的服務器生成新功能區的程序代碼和數據并下載到卡內的應用處理系統(94)的相應功能區，然后再生成發行商密碼、幫助信息分別下載到規則處理系統的發行商密碼區和幫助信息區；若加載過程完整，則更新智能卡裝置(90)的規則處理系統和應用處理系統，同時若該功能區設置為“非程序重載區”，則熔斷功能區保護機制對應該區的加載熔絲，禁止對這一程序區的讀出或刪除；否則取消所有規則處理系統的存儲器寫入操作；持卡人在適當時候關閉卡中的允許加載標志。
本發明由于采用用分割卡內的程序存儲區和數據存儲區來創建多張虛擬智能卡結構，因此，本發明在使用性能、安全性能上能達到或接近物理上的智能卡，是一種硬件和軟件一體化的智能卡，從而實現真正意義的“一卡通”。另外，本發明可對卡的使用過程進行有效的監控和管理，實現卡的管理電子化、智能化，從而方便持卡人對智能卡進行統一管理，使持卡人對卡的電子貨幣等重要信息流能完整、準確、及時地掌握。此外，本發明還可為現代社會提供法律上的輔助證據，配合社會法規以進一步防范與智能卡相關的信息犯罪。本發明是一種設計巧妙，方便實用的開放式功能動態集成的智能卡系統。


圖1是開放式功能動態集成的智能卡系統的原理圖；圖2是身份特征映像與認證的處理流程圖；圖3是身份特征映像與認證原理圖；圖4是寫日志流程圖；圖5是幫助信息的加載流程圖6是日志輸出，刪除及修改日志密碼流程圖；圖7是幫助信息的卸載流程圖；圖8是幫助信息的讀取流程圖；圖9是置功能區刪除標志流程圖；圖10是刪除程序重載區流程圖；圖11是功能區的規則實現邏輯圖；圖12是RCPU應用程序區保護邏輯的一種結構圖；圖13是RCPU存儲區保護邏輯的一種結構圖；圖14是APCPU程序區保護邏輯的一種結構圖；圖15是APCPU存儲區保護邏輯的一種結構圖；圖16是存儲器讀寫允許邏輯的一種結構圖；圖17是APCPU執行及編程允許邏輯的一種結構圖；圖18是程序區地址保護邏輯的一種結構圖；圖19是存儲區地址保護邏輯的一種結構圖；圖20是APCPU功能區進程調度流程圖；圖21是加載卡的新功能流程圖；圖22是RCPU給APCPU的命令通訊流程圖；圖23是APCPU給RCPU的通訊請求流程圖；圖24是忘記密碼后重新設置密碼的流程圖；圖25是變更個人身份特征數據的流程圖；圖26是持卡人防范非法商戶的處理流程圖；圖27是商戶防范非法持卡人的處理流程圖。
具體實施例方式實施例本發明的結構示意圖如圖1所示，包括有一個智能卡裝置90、卡的讀寫與網絡接入器10，其中智能卡裝置90上可虛擬出若干張智能卡，各虛擬智能卡上加載或下載、使用和卸載各種應用系統，卡的讀寫與網絡接入器10與智能卡90通過非接觸式或接觸式連接，為智能卡裝置90提供電源能量及進行數據交互。其中智能卡裝置90中的規則處理系統92，通訊池93，應用處理系統94是集成在一塊半導體基片上的，它由卡的外部接口91，兩個總線相互獨立的微處理系統一規則CPU系統92，應用CPU系統94及連接這兩個CPU系統的通訊接口93組成。卡的外部接口91有兩個作用，一是通過它給整個智能卡裝置90提供電源，另一個是實現規則CPU系統92與卡的讀寫與網絡接入器10的通訊。智能卡裝置90的使用者可以通過INTERNET，個人電腦，PDA等其它智能設備其中之一和卡的讀寫與網絡入器10建立物理鏈接，再由卡的讀寫與網絡接入器10將數據轉換為智能卡裝置90的格式和通訊，從而建立卡的使用者和智能卡裝置90的數據鏈路。
卡的讀寫與網絡接入器10包括查詢類終端和非查詢類終端，其中查詢類終端只能進行智能卡裝置90的數據維護或管理，至少包括輸出、刪除日志內容，輸出幫助信息，設置卡中各種所需的個人密碼，以及查閱功能區的使用情況，刪除可重載功能區等操作，不能進行數據交易處理；非查詢類終端只能進行查詢類終端不能做的操作(加載新功能區時需查看功能區的使用情況除外)。由于本系統是開放式系統，因此在不影響使用時要盡量限制商戶查閱卡內與交易無關的信息和限制持卡人非法使用卡內功能區的數據。因此，持卡人只有使用查詢終端對卡的數據進行統一管理的權限；商戶只有使用自己所加載的功能區的權限。
在非查詢類終端中，進一步包括發行商的非查詢類終端，卡中應用處理系統94的每個功能區對應一類非查詢類終端，該非查詢類終端在與智能卡裝置90的一次鏈接中，只能使用所對應的一個功能區。跨區操作可以使用應用處理系統的輔助區79作為數據轉發器。如要使用應用處理系統的A，B兩功能區，必須先用A區建立一次鏈接，A區將中間結果存入輔助區79，關閉鏈接；然后啟動一次B區鏈接，B區從輔助區79中取出由A寫入的數據，再進行操作。同理，B區也可用A區的方法將數據寫入輔助區79，關閉該次鏈接，再啟動A區的接入，如此反復。
對于非查詢類終端，還有一個重要的特點，就是進一步包括其位置的標識除了地名等常規方法外，還有全球定位系統GPS的經緯度坐標表示法，每一個營運中的卡的讀寫與網絡接入器10的安裝位置，都有一個全球唯一的位置標識。
規則CPU系統92負責對整個智能卡裝置90的監督管理任務，它由規則處理器30，身份特征映像與認證31、操作系統RCOS32、日志33、幫助信息34、發行商密碼管理35等數據和處理方法，功能區保護機制20的控制方法和硬件電路構成。規則CPU系統92的所用固件既可用本系統的默認IP(IntellectualProperty)，也可用符合規則CPU系統92的其它IP。但這個固件IP必須隨規則CPU系統92集成在同一塊半導體基片上，92的硬件體系結構保證集成后其所有固件只能作為RCPU 30的微程序擴展來執行，其程序代碼不會被更改或讀出。雖然規則CPU系統92的固件是不可更改的，但它內含規則或電子交易標準的解釋程序，可以象JAVA一樣方便地實現各種IC卡的管理功能。規則處理系統92的固件操作系統32包括規則處理器30的進程調度、認證解釋執行程序、與卡的讀寫與網絡接入器10的通訊控制、進程控制、與應用處理系統94的通訊控制、應用處理系統94的功能區管理、規則解釋執行程序、運行異常監控與容錯等處理流程和方法。
應用處理系統94負責加載、維護、刪除各功能區的程序和數據，并在規則處理系統的規則控制下執行各功能區的程序。應用處理系統94包括應用處理器APCPU60，操作系統APCOS61，功能區1～n(70，75)、輔助區79的程序和數據。其中固操作系統APCOS 61必須隨應用CPU系統94集成在同一基片上，94的硬件體系結構保證集成后APCOS61只能作為APCPU 60的微程序擴展來執行，其程序代碼不會被更改或讀出。應用處理系統94的操作系統61包括應用處理器60的進程調度、與規則處理系統92的通訊、功能區程序和數據的加載及刪除控制、運行異常監控與容錯處理、輔助區管理等處理流程和方法。
根據規則CPU管理特點，規則處理系統92劃分為若干個管理區，必要的區有身份特征映像與認證區31，日志區33，幫助信息區34，發行商密碼管理區35。這些區都包含了數據區和程序區，每個區都由一組處理方法對應的程序和這些程序使用的數據，以及控制這個區的程序空間、存儲空間、讀寫權限的規則信息組成。
身份特征映像與認證區31用于記錄、管理和檢驗持卡人的特征數據，它包括靜態特征庫及動態特征庫，和獨立分割的程序和存儲空間。其中靜態特征庫進一步包含靜態特征數據(如身份證號碼，相片，指紋，DNA數據)和認證方法；動態特征庫進一步包括動態特征數據(如發卡機構或公安部門分配給持卡人的認證密鑰數據等)和認證方法。所有認證過程都被格式化為一串認證數據，即認證信息幀來控制。認證信息幀的控制信息的每一項都包含一個處理步驟，這種處理步驟存放在操作系統RCOS的函數庫中，并由解釋程序調用。認證的信息幀由規則處理器的操作系統RCOS 32中的解釋程序對認證信息幀順序識別出每一項內容，并按處理規則調用函數庫中的處理步驟逐項執行。下圖為特征映像與認證過程中商戶機發給智能卡的一種命令結構
下圖為特征映像與認證過程中智能卡回送的一種應答信息結構
身份特征映像與認證的另一種實現方案是利用一個與規則處理單元92集成在一起，并由規則處理器30負責管理和控制的專用認證集成電路實現，如圖3所示。在圖3中，通訊池用于規則處理器與身份識別專用IC的高速數據交換，它是一種具有雙端口的存儲器或緩沖器。總線隔離器用于身份識別專用IC與規則處理器30的總線隔離，以防止身份識別專用IC對規則處理系統的非法使用、攻擊或干擾。若使用身份識別專用IC，它在處理認證過程的特性，至少包括認證加解密算法速度特性，如RSA，DES的算法速度，圖像類識別特性，如面像識別，DNA識別，指紋識別速度，及所生成的偽隨機數分布特性之一，性能上遠遠超過規則處理器30。身份識別與映像認證的認證流程見圖2，它可以處理有專用認證IC和沒有專用認證IC的智能卡。
在本系統中，身份特征映像與認證的數據建立、變更、維護極為方便和安全。身份特征中的持卡人靜態特征數據，如相片、DNA識別，指紋等圖像數據，經壓縮后，正本存于發卡機構或公安部門的認證服務器，并用身份證號或注冊號與智能卡關聯；智能卡中既可存儲這些特征的副本數據，也可只存儲其注冊數據和認證服務器的網址。身份特征中的持卡人動態特征數據是為輔助靜態特征數據從信息管理的角度進一步識別特卡人的身份由發卡機構的認證服務器分配一組密碼數據對，一份存放在認證服務器，一份下載到智能卡中。使用時認證算法使用這種密碼數據對，若正確才確認為合法身份。
圖25是變更(包括創建)個人身份特征數據的流程。號慮到中國將使用非接觸IC卡作為居民身份證，中國公安部門會將中國公民的上述的靜態特征數據(身份證號，相片、指紋，DNA等)逐步數字化、信息化，同時也會配套建立與靜態特征相應的動態特征數據(如使用密碼等)及相關的服務，使得本系統所述的身份特征映像與認證變得更易實現。中國公民身份特征數字化后，持卡人可將這些數字化的合法部份，如相片，身份證號，密碼數據等副本及使用方法的信息化標準數據到公安部門申請，安裝到持卡人的卡上，這樣就建立了卡與公共認證服務器的聯系。圖25中所述的“到發卡機構或公安部門授權的營運網點上的專用卡的讀寫與網絡接入器進行身份認證”就是指這種申請在信息處理上的流程。這種認證分以下步驟持卡人向工作人員(或機器自動識別系統)出示身份證件，驗證無誤后，持卡人將身份證(IC卡式)及要變更的IC卡一同放入卡的讀寫與網絡接入器，這些信息通過INTERNET到達公安部門的認證服務器，并將申請的數據下載到要變更的卡中，以后這張卡就可使用這些認證數據。出于安全考慮，若持卡人的身份不符，公安部門可對持卡人的行為進行信息備案。
日志區33用于對智能卡裝置90的各種操作行為進行記錄，特別是對發生在應用CPU系統94中的各種交易行為進行記錄。日志的內部結構包含了日志的記錄，輸出，刪除和日志密碼管理等方法和獨立分割的程序和存儲空間。圖4是寫日志流程，其特點是日志對卡的讀寫與網絡接器的每次接入的特征行為無條件記錄，記錄的內容至少包括發行商ID，卡的讀寫與網絡接入器ID及GPS坐標，接入時間，使用的功能區號；同時，應用處理系統的功能區可以在接入過程中以寫日志幀的方式向規則CPU申請寫附加的內容，如交易金額等。日志的數據可以方便地用圖6的輸出流程輸出到PDA(Personal DigitalAssistant)，或個人電腦，或INTERNET上的計算機，從而可以利進一步用這些計算機上的軟硬件資源對所有智能卡裝置90的操作數據實施統一的智能化管理。由于商戶機的任何一種接入操作，日志都無條件地記錄了商戶ID標識，商戶機的GPS坐標，這就對商戶機的地理位置有定量的數據，這不但方便持卡人掌握營業網點的精確地理分布，辦理業務就可到最近的營業點，提高辦事效率；而且持卡人在核對該商戶時，就有一個可信的地理位置基準，因為地球上每個點的GPS坐標都是唯一的。有了這一基準，核對其它數據就變得容易，同時也為交易糾紛提供一種輔助證據，圖26是持卡人防范非法商戶的一種方法。現代微電子技術的發展，且卡的查詢類終端只有日志、密碼、規則等管理工作，對查詢類終端的處理器性能要求很低，使得卡的查詢類終端變得價格低，體積小，功耗小而普及，因而日志的查詢可隨時進行。同時，隨著INTERNET在中國的普及，根據卡中的信息利用INTERNET核對商戶也變得容易，從而使這種防范方法容易實施。同時，圖27給出了商戶防范非法持卡人的一種方法。由于本系統的身份特征映像與認證區與公共認證服務器可以建立聯合認證機制，商戶利用卡的特征數據，如身份證號，注冊號等，通過INERNET與認證服務器進行鏈接，從認證服務器中調出正本特征，特別是靜態特征數據，如相片等，就可進行特卡人和卡進行多維識別，從而且達到現有智能卡認證方法無法實現的效果。
幫助信息34的內部結構由信息加載、卸載，信息讀取等方法和獨立分割的程序和存儲空間組成，它相當于智能卡裝置90的隨機使用手冊，以便使持卡人隨時可查閱卡中的各個功能區的作用和使用方法。由于智能卡裝置90是開放式功能動態集成的，卡中的各功能區的發行商既可以是有業務關系的，也可以是毫無關系的，因此要獨立記載發行商的幫助信息，但又可以將它們集中在一起管理。
下圖給出了一種幫助信息的通訊及存儲格式
圖5和圖7分別是幫助信息的加載和卸載流程，這些流程都是根據發行商的需要而設置的。各功能區中的幫助信息的記錄是隨發行商加載功能區時加載，刪除功能區時刪除。幫助信息可用圖8的流程讀出，使持卡人可全面了解各功能區的使用方法。
發行商密碼管理區35用于記錄、管理和對發行商的認證，即發行商在卡90上的注冊，每個發行商的密碼數據包括發行商的密碼數據和密碼處理規則，這些數據存儲在獨立分割的存儲空間中，而密碼的處理規則則由規則處理器的操作系統32解釋執行。發行商用圖21的流程將程序和數據加載到規則處理系統94的功能區后，就應同時在發行商管理區內寫入相應的密碼和密碼處理規則，以表征對所加載的功能區的擁有權，即功能區注冊。在使用時，注冊過的發行商可以用以下的命令幀要求與智能卡裝置90建立一次鏈接
智能卡90用以下的響應幀回應商戶的要求
以下是商戶和智能卡進行的一次認證過程
通過這一認證過程，智能卡裝置90就和商戶建立了本次通訊的一種相互信任關系，就可進入圖20的流程使用應用CPU系統94的相應功能區資源。
為了在硬件層次上將應用CPU系統94的各功能區進行分割，使各功能區的地址和數據空間相互隔離，在硬件上實現用應用CPU系統94的程序和數據存儲區虛擬出多張智能卡，智能卡裝置90系統使用了一種特殊的、嚴密的方法實施功能區地址保護。本系統地址保護機制的工作原理如下功能區保護機制20的特點是需兩個總線上相互隔離的CPU系統配合工作，本系統為規則CPU系統92和應用CPU系統94，它們通過通訊池交換數據，通過功能區的保護機制實現硬件控制，使這兩個處理系統構成一個全新的、完備的、不可分割的整體。
功能區保護機制的內部結構進一步包括功能區規則庫數據201、功能區規則庫管理202、功能區規則實現邏輯203。
功能區規則庫數據201進一步包括功能區屬性2010，功能區運行狀態記錄2011，功能區使用表2012；功能區規則管理202進一步包括對功能區屬性2010，功能區運行狀態記錄2011，功能區使用表2012的數據寫入、使用、修改、刪除和維護等方法；功能區規則實現邏輯203進一步包括規則處理系統92的應用程序區保護邏輯2030、存儲區保護邏輯2031的硬件電路，應用處理系統94的應用程序區保護邏輯2032、存儲區保護邏輯2033的硬件電路，和規則寄存器組2034。
功能區規則實現邏輯的規則寄存器組2034進一步包括規則處理系統92的程序區規則寄存器20340、存儲區規則寄存器20341，應用處理系統92的程序區規則寄存器20342、存儲區規則寄存器20343。
規則處理系統92的程序區規則寄存器20340進一步包括程序區基址寄存器203401、程序區選擇碼寄存器203402、程序區ID寄存器203403；存儲區規則寄存器20341進一步包括存儲區基址寄存器203411、存儲區選擇碼寄存器203412、存儲區ID寄存器203413、存儲區讀寫權限寄存器203414。
應用處理系統94的程序區規則寄存器20342進一步包括程序區基址寄存器203421、程序區選擇碼寄存器203422、程序區ID寄存器203423，程序區編程權限寄存器203424；存儲區規則寄存器20343進一步包括存儲區基址寄存器203431、存儲區選擇碼寄存器203432、存儲區ID寄存器203433、存儲區讀寫權限寄存器203434。
在上電復位后及規則處理器30將規則寄存器組清0后，規則寄存器組設置為初始狀態，這種狀態禁止規則處理器及應用處理器對所有功能區的操作，規則處理器及應用處理器只能運行各自的操作系統(32，61)。在使用功能區前，必須先使用圖20的流程進行進程調度，對這些寄存器組寫入數據，才能使用相應的功能區。在運行過程中，功能區的執行程序可以向規則處理器的操作系統32動態地申請該功能區的讀寫和編程權限，規則處理器根據規則批準或拒絕這些請求。在應用程序退出功能區的同時，規則處理器無條件地將相應的規則寄存器組清0，禁止對該功能區的進一步操作，同時使得在使用下一個功能區時，完全不受上一次的硬件干擾。
功能區規則庫201記錄了功能區的使用和運行情況，這些數據是使用和控制功能區保護機制20的主要依據。在沒有裝載功能區時，規則庫都是空白的，在裝載了功能區后，就由圖21的加載程序設置相應的內容，供新功能區加載、刪除，進程調度時使用。功能區屬性2010描述了應用CPU系統94各功能區的使用特性。下圖是功能區屬性的一種數據格式，
其中功能區的使用狀態指明該功能區有沒有被占用，如果該功能區被占用，就暫不能加載新功能。程序重載屬性指出該功能區的程序是否是可重載的，如果不是可重載的，則該功能區一旦加載了功能后，就指示規則處理程序將圖17中的熔絲控制邏輯中的對應熔絲熔斷，其程序就永遠不能讀出和刪除；若該功能區的重載屬性設置為“可重載”，則可先用圖24的流程置功能區刪除標志為有效，再用圖10的流程刪除該功能區，然后用圖21的流程重新加載新功能。因為功能區為商戶下載的，所以必須得到商戶的許可才能刪除功能區，圖24就是商戶許可的流程。商戶許可后，還應得到持卡人確認才可刪除，所以用了圖10的流程刪除功能區的控制數據，回收該功能區。
功能區運行狀態記錄2011用于記錄每個功能區的運行情況，下圖是一種功能區運行狀態的數據格式。
其中，當前事務的完成狀態是指該功能區最近一次操作是否順利完成。如果順利完成，下一次操作就可正常進行。如果上一次操作是非正常結束(如尚未操作完成就掉電等)，就要再根據數據是否已更新等其它狀態，根據功能區ID及讀寫卡器ID，配合商戶作必要的故障恢復處理。由于智能卡裝置90的應用CPU系統94的存儲區可以虛擬多達n(1，2，...，N)張智能卡，這n張卡是相互獨立的，因此每張虛擬卡就有一條與之相應的運行狀態記錄。
功能區使用表記錄了應用CPU系統94的程序存儲空間和數據存儲空間的使用情況。下圖是程序區使用狀態表
下圖則是存儲區的使用狀態表
其中的使用狀態有已使用和未使用兩種。在未裝載功能區時，對應的功能區為“未使用”狀態；已裝載的功能區為“已使用”狀態。未使用的程序區或存儲區，可以用圖21的流程來分配和加載新功能；對于用圖10的流程刪除的功能區，則可回收后再重新分配。
圖11是功能區規則實現邏輯的硬件整體結構圖，規則實現邏輯的規則寄存器組2034是規則處理系統92中的應用程序區保護邏輯2030、存儲區保護邏輯2031，及應用處理系統94中的應用程序區保護邏輯2032、數據存儲區保護邏輯2033的控制寄存器，這些保護邏輯的所有控制命令均來自規則實現邏輯的規則寄存器組2034。
規則處理系統92的應用程序保護邏輯2030用于保護規則處理器的應用程序及常用函數據庫區364；其存儲區保護邏輯2031保護非易失性數據存儲區365。所保護的數據和程序區包括身份特征映像與認證31，日志33，幫助信息34，發行商密碼管理35，這些功能區的程序和數據作為一個整體對象處理。
應用處理系統94的應用程序保護邏輯2032用于保護應用處理系統的應用程序區663；其數據存儲區保護邏輯2033保護非易失性數據存儲區664。所保護的數據和程序區為功能區1～n(70，75)，這些功能區的程序和數據是作為一個整體對象處理。輔助區79不被保護，它可隨時被功能區1～n(n＝1，2，...，N)的程序使用，作為中間/媒介性非易失性存儲器。
圖11中的360，361，362分別是規則CPU系統92的數據總線，地址總線和控制總線；660，661，662分別是應用CPU系統94的數據總線，地址總線和控制總線。
圖11的通訊池93是一個雙端口數據存儲器，用于規則處理系統92和應用處理系統94的高速雙向數據通訊。規則處理系統92和應處理系統94分別通過各自的接口控制邏輯(366，666)對通訊池93進行讀寫控制和狀態信息交互。下面的四個圖分別是規則處理系統92給應用處理系統94的命令信息結構、應用處理系統94給規則處理系統92的命令響應信息結構、應用處理系統94給規則處理系統92的通訊請求信息結構、規則處理系統92給應用處理系統94的請求響應信息結構。
圖22是規則處理系統92用命令方式與應用處理系統94通訊的處理流程；圖23是應用處理系統94請求與規則處理系統92通訊的流程，這些流程中的所有數據均在通訊池93中交換。在通訊過程中，設置有超時檢測，一旦在規定時間內沒有響應，就進行超時處理，中斷該次通訊并作相應的恢復處理。
各程序及數據區的保護邏輯的實現原理如下圖12是規則處理系統92應用程序區保護邏輯2030的硬件電路圖，圖中程序區地址保護邏輯2060與規則處理器30的地址線A0-An(n＝1，2，...，N)，程序區EEPROM 364的地址線A0-An和片選信號CS，程序區基址寄存器203401、程序區選擇碼寄存器203402相連接；規則處理器30的取指令控制線PSEG與EEPROM 364的讀控制線RD連接。規則處理器的數據線與程序區EEPROM的數據線相連。
圖18為程序區地址保護邏輯的進一步實現原理圖，在地址保護邏輯2060的實例中，CPU對應規則處理器30，程序區基址寄存器和程序區選擇碼寄存器分別對應規則處理系統的程序區基址寄存器20341和程序區選擇碼寄存器20342，EEPROM對應364。圖18中的處理器的地址線A0-An(n＝1，2，...，N)分別與n位數字比較器、n組二選一開關連接；n組二選一開關還分別與程序區基址寄存器的RA0-RAn、程序區選擇碼寄存器的SD0-SDn、EEPROM的地址線PA0-PAn連接；n位數字比較器的比較結果輸出EQ信號線與EEPROM的片選信號線CS及狀態異常檢測裝置連接；EEPROM的地址信號線PA0-PAn還與n位數字相等比較器連接。n組二選一開關的特性為對于PA0-PAn中的任一PAi(i＝0，1，2，...n)， 若SDi＝“假”，則PAi＝RAi；否則PAi＝Ai。這里“假”實例化為0信號，“真”實例化為1信號。
n位數字比較器的特性為當且僅當對所有的i(i＝0，1，2，...n)，Ai＝PAi時，EQ為有效電平。這里EQ的有效電平實例化為0電平，相等比較的電路實例化為n組異或門和一n輸入或門，公式為EQ＝(A0PA0)∪(A1PA1)∪...∪(AnPAn)圖13是規則處理系統92存儲區保護邏輯2031的硬件電路圖，其中存儲區地址保護邏輯2061分別與規則處理器30的地址線A0-An，存儲區EEPROM 365的地址線A0-An和片選信號CS，存儲區基地址寄存器203411，存儲區選擇碼寄存器203412，存儲區ID203413，程序區ID203403相連接；存儲區EEPROM 365的數據線與規則處理器30的數據線相連接，讀寫控制線RD和WR與讀寫允許邏輯2070連接；讀寫允許邏輯2070與存儲區讀寫權限寄存器203414的輸出線，規則處理器30的讀寫控制線RD和WR連接。
圖16為讀寫允許邏輯的進一步硬件實現邏輯，其中CPU發出的讀寫信號RD和WR分別與讀寫權限寄存器的讀允許RDEN和寫允許WREN通過與門相與后，分別形成存儲區EEPROM的讀寫信號并送狀態檢測器檢測。
圖19是存儲區地址保護邏輯2061的進一步實現原理圖，圖中處理器的地址線A0-An分別與n位數字比較器、n組二選一開關連接；n組二選一開關還分別與存儲區基址寄存器的RA0-RAn、存儲區選擇碼寄存器的SD0-SDn、EEPROM的地址線PA0-PAn連接；n位數字比較器的比較結果輸出EQ1信號線與m位數字相等比較器的輸出EQ2通過與門后與EEPROM的片選信號線CS及狀態異常檢測裝置連接；EEPROM的地址信號線PA0-PAn還與n位數字相等比較器連接；m(m＝0，1，2，...，M)位數字相等比較器還和程序區ID、存儲ID連接。
圖14是應用處理系統94應用程序區保護邏輯的硬件電路圖。圖中的程序區地址保護邏輯2062與應用處理器60的地址線A0-An，程序區EEPROM 663的地址線A0-An和片選信號CS，程序區基地址寄存器203421、程序區選擇碼寄存器203422相連接；執行及編程允許邏輯208的讀寫信號輸出線RD和WR與程序區EEPROM 663，應用處理器60的取指控制線PSEG、讀寫控制線RD和WR，程序區編程權限寄存器的輸出信號線等相連；應用處理器60的數據線與程序區EEPROM 663的數據線相連。
圖18是程序區保護邏輯2062的進一步實現原理圖。圖中的CPU為應用處理60，程序區基址、選擇碼寄存器、EEPROM均屬應用處理系統的應用程序區。圖18的工作原理與上述規則處理系統92的程序區地址保護邏輯一致。
圖17是應用處理系統94的執行及編程允許邏輯208的進一步實現原理圖。圖中編程權限寄存器的數據輸出PRGEN、CHKEN分別為編程允許和讀出校驗允許；程序區EEPROM 663的編程信號WR由熔絲控制邏輯的輸出、PRGEN及應用處理器60的存儲器寫信號WR通過一個三與門相與后生成，并送狀態檢測器檢測；熔絲控制邏輯的另一個輸出、CHKEN和應用處理器60的存儲器讀信號RD通過一個三或門生成狀態檢測信號，并與應用處理器60的取指信號PSEG相與后，生成程序區EEPROM的讀出信號線RD。熔絲控制邏輯的輸出狀態還送狀態檢測器檢測，程序區ID寄存器的輸出與熔絲控制邏輯連接。這里的熔絲控制邏輯使用可編程邏輯陣列，如PLD等實現。
各功能區保護邏輯的工作原理如下在若要使用規則處理系統的功能區，其操作系統32的進程調度程序先要從功能區規則庫中的功能區屬性中取出該功能區的程序區基址、程序區選擇碼、存儲區基址、存儲區選擇碼分別寫入規則處理系統92的規則寄存器20340、20341中的程序區基址寄存器203401、程序區選擇碼寄存器203402、存儲區基址寄存器203411、存儲區選擇碼寄存器203412，在功能區屬性中取出功能區ID號，作為程序區ID、存儲區ID的共同ID，寫入規則處理系統92的程序區ID寄存器203403、存儲區ID寄存器203413。并設置規則處理系統92的存儲區讀寫權限寄存器203414的RDEN為有效，WREN為無效。然后轉發轉入該功能區執行程序。在功能區執行程序過程中，若要執行寫存儲器操作，則要先向操作系統32申請存儲器寫權限，操作系統32批準后，就設置存儲區讀寫權限寄存器203414的WREN為有效；當功能區不需寫操作時，要及時通知操作系統32置WREN無效，關閉存儲器的寫操作。在功能區完成操作，退出功能區后，操作系統32的調度程序會先清除規則處理系統的規則寄存器20340、20341，然后才做其它工作。
在若要使用應用處理系統的功能區(70，75)，則規則處理器92的操作系統32的進程調度程序先要從功能區規則庫中的功能區屬性中取出該功能區的程序區基址、程序區選擇碼、存儲區基址、存儲區選擇碼分別寫入應用處理系統94的規則寄存器20342、20343中的程序區基址寄存器203421、程序區選擇碼寄存器203422、存儲區基址寄存器203431、存儲區選擇碼寄存器203432；在功能區屬性中取出功能區ID號，作為程序區ID、存儲區ID的共同ID，寫入應用處理系統94的程序區ID寄存器203423、存儲區ID寄存器203433。并設置應用處理系統94的存儲區讀寫權限寄存器203434的RDEN為有效，WREN為無效，程序區編程權限寄存器的PRGEN、CHKEN無效。然后以命令幀的格式命令應用處理系統94轉入該功能區。應用處理系統94接收到這一命令后，就轉入該功能區執行程序。在功能區執行程序過程中，若要執行寫存儲器操作，則應用處理系統94向規則處理系統進行通訊，要求應用處理系統的存儲器寫權限。操作系統32批準后，就設置存儲區讀寫權限寄存器203434的WREN為有效；當功能不需寫操作時，要及時通知操作系統32置WREN無效，關閉存儲器的寫操作。在功能區完成操作，退出功能區后，操作系統32的調度程序會先清除規則寄存器20342、20343，然后才做其它工作。
圖21是應用處理系統92的功能區加載流程。新功能區的加載先要持卡的允許，這個工作可用卡的私用類查詢終端開放卡的加載鎖，并刪除無用的功能區，使有足夠的空間給新功能區用，然后該卡交由發行商進行加載。在加載開始時，操作系統32的應用處理系統的功能區管理程序就在規則庫中增加一條記錄，分配程序區和存儲區的空間，并設置好新功能區的屬性2010的數據。然后將新設置的功能區屬性中的程序區基址、程序區選擇碼、存儲區基址、存儲區選擇碼、功能區ID寫入相應的應用處理系統94的程序區規則寄存器20342和存儲區規則寄存器20343。然后規則處理系統命令應用處理系統進入編程和狀態，應用處理系統準備好后，就通知規則處理系統。接著規則處理統系將程序區編程權限寄存器203424的PRGEN、CHKEN，存儲區讀寫權限寄存器203434的RDEN，WREN均設置為有效。之后發行商的功能區代碼及數據就通過卡的讀寫與網絡接入器10傳送到規則處理系統92，再由規則處理系統傳送到應用處理系統，并由應用處理系統寫入到相應的功能區并作校驗處理。然后再將發行商的密碼數據、幫助信息分別加載到規則處理系統對應的發行商密碼管理區35和幫助信息區34。若這一加載過程順利完成，規則處理系統就更新規則庫中的功能區屬性和功能區使用表，發行商密碼管理區，幫助信息區相應的內容，若功能區屬性設置為“非重載區”，還需熔斷招行及編程允許邏輯中的熔絲控制邏輯中相應的熔絲，禁止對該功能區的程序區讀寫，該功能區的程序只能執行。若這一加載過程不成功，則要取消這次所有的操作，恢復原來狀態。操作完成后，持卡人可用私用查詢終端將加載功能上鎖，防止非法加載新功能區。
用本系統的功能區保護機制20實現的區間保護邏輯，如圖11到圖19，其控制邏輯嚴密，每種控制的譯碼延時小，如二選一開關，相等比較器等一般為兩三級門延時，這種電路支持高速CPU。同時，本系統使用規則庫來控制各功能區的區間范圍，使不同的發行商可根據實際需要設定不同的功能區大小，提高程序和存儲區EEPROM的利用率。
另外，圖26，圖27分別給出了消費者和商戶防范對方非法使用的一種方法，進一步提高了本發明的信息安全性。持卡人可以用以下過程識別非法商戶持卡人進行一次可疑的交易后，記下商戶機的ID號和GPS坐標，然后到就近的查詢終端或用自帶的PDA讀出卡的日志相比較，若仍可疑則進一步根據卡中幫助信息提供的網址通過因特網調出商戶更詳細資料進行相應處理；商戶可以用以下過程識別非法持卡人商戶通過卡的認證后，仍對一次交易可疑，則商戶可通過持卡人在發卡機構或公安部門的注冊號/身份證號，找到注冊服務器的網址，然后下載持卡人的身份特征數據，如相片、指紋等，與卡、特卡人同時比較，若一致，則持卡人身份可信，否則不可信而作相應處理。
上述智能卡功能區加載方法包含以下步驟持卡人將智能卡裝置(90)內的允許加載標志設置為真，允許發行商加載新功能；將智能卡裝置(90)交由發行商授權的營運網點進行卡的認證處理，并使卡(90)與發行商的功能區數據下載服務器建立數據連接；認證通過后在卡中找出一個足夠大的空白功能區，在功能區保護邏輯的規則庫中新增一條記錄，設置相應的數據，并將這些數據寫入對應的功能區規則寄存器，然后命令應用處理系統(94)進入編程狀態，若這個空白區不夠大，持卡人可回收一些無用的程序可重載區再重復上述過程；根據智能卡裝置(90)的設置、發行商的服務器生成新功能區的程序代碼和數據并下載到卡內的應用處理系統(94)的相應功能區，然后再生成發行商密碼、幫助信息分別下載到規則處理系統的發行商密碼區和幫助信息區；若加載過程完整，則更新智能卡裝置(90)的規則處理系統和應用處理系統，同時若該功能區設置為“非程序重載區”，則熔斷功能區保護機制對應該區的加載熔絲，禁止對這一程序區的讀出或刪除；否則取消所有規則處理系統的存儲器寫入操作；持卡人在適當時候關閉卡中的允許加載標志。
權利要求
1.一種開放式功能動態集成的智能卡系統，其特征在于包括有一個智能卡裝置(90)、卡的讀寫與網絡接入器(10)，其中智能卡裝置(90)上可虛擬出若干張智能卡，各虛擬智能卡上可加載或下載、使用和卸載各種應用系統，卡的讀寫與網絡接入器(10)與智能卡(90)通過非接觸式或接觸式連接，為智能卡(90)提供電源能量及進行數據交互。
2.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述智能卡裝置(90)至少包括有一個智能卡的外部接口(91)，智能卡裝置(90)通過智能卡的外部接口(91)與卡的讀寫與網絡接入器(10)可用非接觸式或接觸式連接，為整個智能卡裝置提供電源和實現智能卡裝置(90)與卡的讀寫與網絡接入器(10)的數據通訊；以及一個半導體基片，在這個基片上集成了規則處理系統(92)、通訊池(93)和應用處理系統(94)，其中通訊池(93)和規則處理系統(92)中的功能區保護機制(20)把規則處理系統(92)和應用處理系統(94)連接起來，規則處理系統(92)與卡的外部接口(91)連接；通訊池(93)是一個雙端口存儲器，可以分別從規則處理系統(92)和應用處理系統(94)進行讀寫。
3.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述基片上的規則處理系統(92)包括有規則處理器RCPU(30)、身份特征映像與認證(31)、操作系統RCOS(32)、日志(33)、幫助信息(34)、發行商密碼管理(35)和功能區保護機制(20)，身份特征映像與認證(31)、操作系統RCOS(32)、日志(33)、幫助信息(34)，發行商密碼管理(35)和功能區保護機制(20)均和規則處理器RCPU(30)連接，且和規則處理器RCPU(30)處于同一總線上，其中操作系統(32)由規則處理器(30)控制，其余由規則處理器(30)和功能區保護機制(20)聯合控制；處理器的程序空間和數據空間是獨立編址的，功能區保護機制(20)將該系統空間中的各類程序和數據進行分塊保護，其中每個功能區由若干個基本程序區和若干個基本數據區聯合構成，功能區的程序區和數據區作為一個不可分割的應用單元處理。
4.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述基片上的應用處理系統(94)包括有應用處理器APCPU(60)、操作系統APCOS(61)、功能區1～n(70，75)、輔助區(79)，操作系統APCOS(61)、功能區1～n(70，75)、輔助區(79)均和應用處理器APCPU(60)連接，且處于應用處理器的總線上，其中功能區1～n(70，75)由應用處理器(60)和規則處理系統(92)中的功能區保護機制(20)聯合控制，其它部分由應用處理器(60)控制；處理器的程序空間和數據空間是獨立編址的，功能區保護機制(20)將該系統空間中的各類程序和數據進行分塊保護，其中一個功能區由若干個基本程序區和若干個基本數據區聯合構成，這個功能區的程序區和數據區作為一個不可分割的應用單元處理，功能區1～n(70，75)中的程序和數據可以在使用過程中動態地分區獨立下載，獨立使用。
5.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述卡的讀寫與網絡接入器(10)包括有查詢類終端和非查詢類終端，其中查詢類終端只能進行智能卡裝置(90)的數據維護或管理，不能進行數據交易處理；非查詢類終端只能進行查詢類終端不能做的操作(功能區加載時需查看功能區使用情況除外)，其中非查詢類終端進一步分為私用查詢類終端和公用查詢終端，公用查詢終端只能讀出卡中管理數據，而私用查詢終端還可以進行修改卡中如個人密碼，刪除日志等的管理數據；應用處理系統(94)的每個功能區(70，75)均對應一類卡的讀寫與網絡接入器(10)的非查詢類終端，在其一次與裝置(90)的接入過程中，至多只能使用與應用處理系統(94)相對應的一個功能區。
6.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述卡的讀寫與網絡接入器(10)包括有地名位置標識法，還包括有全球定位系統GPS的經緯度坐標表示法，它們安裝到營運網點，且在它們各自的明顯位置設有以便持卡人核對的ID號、類別和GPS坐標等關鍵特征。
7.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述身份特征映像與認證(31)包括有身份的靜態特征庫，進一步包括特征庫數據和特征數據處理方法，其中靜態特征庫數據用于記錄和認證持卡人的相片，指紋，DNA等身份的永久性特征信息，這些特征信息與非接觸式IC卡居民身份證的信息化特征一致。動態特征庫，進一步包括動態特征庫數據和動態特征數據處理方法，它與靜態特征庫互為補充，其中動態特征庫還包括用于記錄和處理公安部門及發行商隨機分配給持卡人的注冊及認證密碼數據。
8.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述身份特征映像與認證(31)的認證方法可以通過以下途徑之一實現認證過程由一組格式化的規則串控制，智能卡裝置(90)由規則處理器(30)中的解釋程序解釋執行；或這個規則字串由一與規則處理系統(92)集成在同一基片上的專用集成電路執行。
9.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述處理系統(92)中的日志(32)包括日志的記錄，輸出，刪除，密碼管理等方法和存儲保護區，其中日志的輸出、修改和密碼管理只能在智能卡的查詢類終端上進行，日志記錄中包含了卡的讀寫與接入器(10)的類別及GPS坐標等關鍵特征。
10.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述幫助信息(34)包括幫助信息的加載、輸出、卸載等方法及相應的信息存儲保護區，這些信息由使用應用處理系統(94)的發行商加載，用于說明各功能區的使用方法，或給出使用方法的網址信息，并由持卡人用查詢類終端閱讀。
11.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述處理系統(92)中的發行商密碼管理(35)包括有發行商密碼保護區，在密碼區中為規則處理系統(92)和應用處理系統(94)的每個功能區建立一條發行商的密碼和密碼處理規則的記錄，用于標識各功能區的合法擁有者。
12.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述處理系統(92)中的功能區保護機制(20)包括有功能區規則庫數據，功能區規則庫數據包括功能區的屬性，功能區運行狀態記錄，功能區使用表；規則庫數據管理，規則庫數據管理用于對功能區屬性，功能區運行狀態記錄，功能區使用表進行配置、管理和維護；功能區實現邏輯，功能區實現邏輯包括規則處理系統(92)的應用程序區保護邏輯，規則處理系統的存儲區保護邏輯，應用處理系統(94)的應用程序區保護邏輯，應用處理系統的存儲區保護邏輯，規則實現邏輯的規則寄存器組。
13.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述功能區屬性的每個功能區對應的記錄內容至少包括功能區ID，使用狀態，程序重載屬性，程序區基址，程序區選擇碼，存儲區基址，存儲區選擇碼，刪除標志，其中功能區ID、使用狀態用于標識這個功能區是否已被使用；程序重載屬性和刪除標志分別用于設定該功能區加載后是否可以被刪除及標識商戶是否已刪除該功能區；程序區基址、程序區選擇碼和存儲區基址，存儲區選擇碼分別用于選擇和控制功能區的程序空間和存儲空間。
14.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述規則寄存器組包括規則處理系統(92)的程序區規則寄存器，進一步包括該程序區的程序區基址寄存器，程序區選擇碼寄存器，程序區ID寄存器；規則處理系統(92)的存儲區規則寄存器，進一步包括該存儲區的存儲區基址寄存器，存儲區選擇碼寄存器，存儲區ID寄存器，存儲區讀寫權限寄存器；應用處理系統(94)的程序區規則寄存器，進一步包括該程序區的程序區基址寄存器，程序區選擇碼寄存器，程序區ID寄存器，程序區編程權限寄存器；應用處理系統(94)的存儲區規則寄存器，進一步包括存該存儲區的儲區基址寄存器，存儲區選擇碼寄存器，存儲區ID寄存器，存儲區讀寫權限寄存器。
15.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述程序區地址保護邏輯包括一個CPU，一個EEPROM，一個狀態異常檢測器，一個N位基址寄存器，一個N位選擇碼寄存器，一個N位數字相等比較器，一個N組二選一開關；其中N組二選一開關與CPU，EEPROM，基址寄存器，選擇碼寄存器連接，用于生成EEPROM的M位(M≤N，N＝1，2...L)物理地址；N位數字相等比較器與CPU，EEPROM，狀態異常檢測器連接，用于生成EEPROM的片選信號及狀態檢測信號。
16.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述存儲區地址保護邏輯包括一個CPU，一個EEPROM，一個狀態異常檢測器，一個N位基址寄存器，一個N位選擇碼寄存器，一個M位程序區ID，一個M位存儲區ID，一個N+M位數字相等比較器(M＝0，1，2，...，Q)，一個N組二選一開關，其中N組二選一開關與CPU，EEPROM，基址寄存器，選擇碼寄存器連接，用于生成EEPROM的L位(L≤N，N＝1，2...P)物理地址；N+M位數字相等比較器與CPU，EEPROM，程序區ID，存儲區ID，狀態異常檢測器連接，用于生成EEPROM的片選信號及狀態檢測信號。
17.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述程序區執行及編程允許邏輯包括一個CPU，一個EEPROM，一個編程權限寄存器，一個狀態檢測器，一個程序區ID，一個熔絲控制邏輯，及若干個與門及或門，其中CPU的讀控制線、編程權限寄存器的校驗允許位、熔絲控制邏輯的一個輸出相或后形成狀態檢測信號及這個信號與CPU的取指令控制線相與后生成EEPROM的讀控制線；CPU的寫控制線、編程權限寄存器的編程允許線、熔絲控制邏輯的一個輸出相或后生成EEPROM的寫控制線并送狀態檢測器檢測；程序熔絲控制邏輯受程序區ID寄存器控制，其當前狀態還輸出到狀態檢測器。
18.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述信息管理方法包括需要變更身份特征映像庫的數據，其處理過程為持卡人需要到發卡機構或公安部門授權的營業網點進行身份認證，認證成功則允許操作，否則做操作失敗備案。
19.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述安全防范方法還包括持卡人可以用以下過程識別非法商戶持卡人進行一次可疑的交易后，記下商戶機的ID號和GPS坐標，然后到就近的查詢終端或用自帶的PDA讀出卡的日志相比較，若仍可疑則進一步根據卡中幫助信息提供的網址通過因特網調出商戶更詳細資料進行相應處理；商戶可以用以下過程識別非法持卡人商戶通過卡的認證后，仍對一次交易可疑，則商戶可通過持卡人在發卡機構或公安部門的注冊號/身份證號，找到注冊服務器的網址，然后下載持卡人的身份特征數據，如相片、指紋等，與卡、特卡人同時比較，若一致，則持卡人身份可信，否則不可信而作相應處理。
20.根據權利要求1所述的開放式功能動態集成的智能卡系統，其特征在于上述智能卡功能區加載方法包含以下步驟持卡人將智能卡裝置(90)內的允許加載標志設置為真，允許發行商加載新功能；將智能卡裝置(90)交由發行商授權的營運網點進行卡的認證處理，并使卡(90)與發行商的功能區數據下載服務器建立數據連接；認證通過后在卡中找出一個足夠大的空白功能區，在功能區保護邏輯的規則庫中新增一條記錄，設置相應的數據，并將這些數據寫入對應的功能區規則寄存器，然后命令應用處理系統(94)進入編程狀態，若這個空白區不夠大，持卡人可回收一些無用的程序可重載區再重復上述過程；根據智能卡裝置(90)的設置、發行商的服務器生成新功能區的程序代碼和數據并下載到卡內的應用處理系統(94)的相應功能區，然后再生成發行商密碼、幫助信息分別下載到規則處理系統的發行商密碼區和幫助信息區；若加載過程完整，則更新智能卡裝置(90)的規則處理系統和應用處理系統，同時若該功能區設置為“非程序重載區”，則熔斷功能區保護機制對應該區的加載熔絲，禁止對這一程序區的讀出或刪除；否則取消所有規則處理系統的存儲器寫入操作；持卡人在適當時候關閉卡中的允許加載標志。
全文摘要
本發明涉及一種集成電路智能卡系統。包括有一個智能卡裝置(90)、卡的讀寫與網絡接入器(10)，其中智能卡裝置(90)上可虛擬出若干張智能卡，各虛擬智能卡上可加載或下載、使用和卸載各種應用系統，卡的讀寫與網絡接入器(10)與智能卡(90)通過非接觸式或接觸式連接，為智能卡(90)提供電源能量及進行數據交互。本發明由于采用用分割卡內的程序存儲區和數據存儲區來創建多張虛擬智能卡結構，因此，本發明在使用性能、安全性能上能達到或接近物理上的智能卡，是一種硬件和軟件一體化的智能卡，從而實現真正意義的“一卡通”。另外，本發明可對卡的使用過程進行有效的監控和管理，實現卡的管理電子化、智能化，從而方便持卡人對智能卡進行統一管理，使持卡人對卡的電子貨幣等重要信息流能完整、準確、及時地掌握。
文檔編號G06K5/00GK1516052SQ03113508
公開日2004年7月28日 申請日期2003年1月6日 優先權日2003年1月6日
發明者李之彥 申請人:李之彥