控制微电路卡中被保护的内部功能和应用的方法和设备

摘要

一种控制微电路卡中被保护的内部功能和应用的方法和设备。本发明特别地涉及执行嵌入在移动终端微电路卡中的被保护的内部功能和应用的控制。所述被保护的内部功能的控制直接在微电路卡中执行。在基于自与所述卡连接的移动终端接收的信息项检测到(400)用于将所述卡置于备用的命令之后，分析(415)关于所述被保护的内部功能的执行的至少一个指示。如果所述被保护的内部功能倾向于被用于置于备用的所述命令的执行影响，则推迟用于置于备用的所述命令的执行(410)。

说明书

技术领域

本发明涉及在微电路卡中执行的功能，并且更特别地涉及一种用 于对嵌入在移动终端的微电路卡中的被保护的内部功能执行控制方法 和设备，所述微电路卡特别是身份识别卡。

背景技术

例如移动电话等移动终端的发展引起多种应用的发展，所述多种 应用自身未必是电话应用。在这些应用中，特别是有游戏应用、用于 个人信息管理的应用、用于时间管理的应用、电子钱包应用、支付应 用等。支付或电子钱包应用使产品或服务能经由一个人的移动电话被 支付。

基于所述应用的属性，可以控制对这些应用的接入或对这些应用 的特定功能的接入。因此，例如支付应用，特别是大额支付，通常要 求用户的身份识别。如果用于执行应用的移动终端具有身份识别卡， 则这种身份识别可以基于身份识别卡实现。

已知存在的特别的身份识别卡名为SIM卡(SIM是用户身份模块 的首字母缩写)、USIM卡(USIM是通用用户身份模块的首字母缩 写)、UICC卡(UICC是UMTS集成电路卡的首字母缩写，UMTS 代表通用移动通讯系统)以及RUIM卡(RUIM是可移动的通用身份 模块的首字母缩写)。

这些卡通常包括用于处理数据的装置和用于存储移动电话网络的 用户专用的信息的数据存储装置。在移动终端，特别是移动电话中出 现的这种卡使所述终端能依靠包含在身份识别卡中的信息连接到网络 并且与网络中的其他终端交换数据，特别是以安全方式进行(所述卡 包含例如加密密钥，该加密密钥使能网络中的用户的验证和数据交换 的加密)。

所述身份识别卡形成移动终端的安全元件，所述移动终端依靠存 储在存储器中(例如这些卡的存储装置中)的验证密钥使能这些卡的 用户的验证。

此外，一些移动终端具有近程无线通信装置，例如NFC型(NFC 代表近场通信)的近程无线通信装置。所述移动终端包括近场通信天 线。这种天线还可以被集成到可从所述终端移除的卡中。该天线使能 移动终端和例如收费站点等设备的外部物品之间的数据交换。

因此，可以使用移动终端通过无接触式通信，进行收费。这种通 信是例如根据涉及身份识别卡格式和相关联的通信协议的标准ISO 14443的。

为了使用这种类型的服务或交换信息，用户使其移动终端靠近所 述收费站点，使得能够实现通过近场通信的交易。

此外，可以在使用的移动终端的身份识别卡中激活银行应用的选 择，例如通过SIM卡的微控制器激活。关于具有触点的身份识别卡， 例如根据ISO 7816标准，对应用的这种选择的激活由移动终端命令。 用户之后可以选择所选择的银行应用中的一个。

如前所述并且为了使由所选择的应用实现的操作安全可靠，可以 执行用户的验证。这可以特别地包括经由移动终端的图形界面请求来 自用户的口令，例如他或她的PIN代码(PIN是个人身份号码的首字 母缩写)。此处使用的PIN代码通常与接入电话功能所使用的PIN代 码不同。在用户例如使用真实的或虚拟的键盘(例如使用触摸屏)输 入了所述口令后，例如根据ISO 7816标准，该口令被发送到身份识别 卡，所述身份识别卡将所述口令与存储在身份识别卡的非易失性存储 器中的代码相比较。如果所述口令与所述代码匹配，则操作被授权， 在相反的情况下，操作被拒绝。

为了安全可靠的原因，由用户输入的口令通常具有有限的期限。 因此，如果涉及的操作未在设置时间内执行，则所述代码过期。这种 时间通常是预定的，其值通常是1分钟。如果所述时间已过期而用户 仍期望执行涉及的操作，则该用户必须重新输入口令。

虽然这种系统使能限制诈骗的风险，但仍持续地需要改善与由移 动终端执行的特定操作的实施相关的安全性。特别是交易的安全性。

发明内容

本发明使能解决以上提出的多个问题中的至少一个。

因此，本发明涉及一种用于执行至少一个被保护的内部功能的控 制的方法，所述被保护的内部功能嵌入在适于结合移动终端使用的微 电路设备中，在所述微电路设备中实现的这种方法包括以下步骤：

检测用于将所述微电路设备置于备用的命令，基于自与所述微电 路设备连接的移动终端接收的信息项，检测用于置于备用的所述命令；

分析关于所述至少一个被保护的内部功能的执行的至少一个指 示；以及

如果所述至少一个被保护的内部功能倾向于被用于置于备用的 所述命令的执行影响，则推迟用于置于备用的所述命令的执行。

因此，使得根据本发明的所述方法可以保护例如微电路卡等微电 路设备的完整性并且通过在必要的情况下推迟用于将所述设备置于备 用的命令的执行，而确保对由所述设备执行的被保护的应用的保护。 为了这些目的，用于置于备用的命令根据被保护的内部功能的执行而 推迟，所述内部功能例如为可以用于确定口令或微电路设备的存储器 管理功能的有效性的倒数计时功能。

根据一个特定的实施例，所述方法进一步包括以下步骤：

基于所述至少一个被保护的内部功能的开始而将状态变量设置 为第一值；以及

当终止执行所述至少一个被保护的内部功能或当所述被保护的 内部功能被再次初始化时，将所述状态变量设置为第二值；

所述分析步骤包括分析所述状态变量的值的步骤。

根据本实施例，状态变量用作在被保护的内部功能之间交换信息 的装置并且用作对将所述设备置于备用进行管理的模块，所述模块能 够基于所述变量的值，也就是说，基于被保护的内部功能的执行，所 述模块能够推迟或不推迟用于置于备用的命令的执行。

根据另一个实施例，用于置于备用的所述命令的执行直接由所述 至少一个被保护的内部功能控制。因此，不必为此目的使用任何状态 变量。

有益的是，所述方法进一步包括以下步骤：将与用于置于备用的 所述命令相关联的被请求的备用的等级与所述微电路设备的备用状态 相比较。因此，根据被请求的相对值和备用的实际等级，可以确定是 否需要对用于置于备用的命令的执行是否必须被推迟进行校验。

仍然根据一个特定的实施例，所述微电路设备或所述移动终端提 供有近程无线通信装置，并且所述微电路设备包括嵌入的被保护的应 用，所述嵌入的被保护的应用使用所述近程无线通信装置和所述被保 护的内部功能，所述方法进一步包括以下步骤：

接收用于执行所述被保护的应用的验证数据项，所述验证数据项 自所述移动终端接收；

将接收到的所述验证数据项与存储在所述微电路设备中的至少 一个数据项相比较；

如果接收到的所述验证数据项相应于所述至少一个存储的数据 项，并且如果所述被保护的应用被调用，则根据在所述微电路设备中 动态地定义的至少一个准则而校验接收到的所述验证数据项的有效 性；以及

如果接收到的所述验证数据项有效，则执行所述被保护的应用。

因此，使得根据本发明的所述方法可以确定由用户输入的口令的 有效性，而不求助于其中使用了微电路设备的移动终端的装置。因此， 根据本发明的所述方法使能改善与口令的使用相关的安全性。

有益的是，所述被保护的内部功能是倒数计时功能，如果接收到 的所述验证数据项相应于所述至少一个存储的数据项，则所述方法进 一步包括调用所述倒数计时功能持续预定的时间的步骤，所述校验步 骤包括校验所述时间未耗尽。由此，口令的有效性具有时限，在微电 路设备中以安全方式进行时间倒数计时。所述倒数计时功能优选为基 于所述微电路设备的硬件时钟。

仍然根据一个特定的实施例，所述方法进一步包括以下步骤：

自连接所述微电路设备的所述移动终端接收至少一个信息项，从 而指示可经由所述近场无线通信装置接入至少一个无接触式接入站 点；

响应于接收到的所述至少一个信息项而至少选择嵌入在所述微 电路设备中的所述被保护的应用，并且将对所述至少一个选择的应用 的至少一个标记发送到所述移动终端；以及

接收应用的至少一个标识符，所述标识符相应于对所述嵌入的被 保护的应用的标记。

因此，所述方法可以使能例如支付应用等应用的简单且安全的实 施。

本发明还涉及一种包括指令的计算机程序，当所述程序在计算机 上执行时，所述指令适于如前所述的方法的每个步骤的实施。

本发明还涉及一种包括装置的设备，所述装置例如为适于如前所 述的方法的每个步骤的实施方式的微控制器，以及对包括这种设备的 移动电话网络和集成这种设备的移动终端的订购者的身份识别卡。

根据一个特定的实施例，所述设备进一步包括至少一个存储器， 该存储器被配置为存储关于所述至少一个被保护的内部功能的至少一 个数据项。仍然根据一个特定的实施例，所述微控制器进一步被配置 为执行密码算法，该密码算法保护关于所述至少一个被保护的内部功 能的所述至少一个数据项，和/或所述微控制器进一步被配置为执行一 种用于所述设备的至少一个组件的硬件保护的算法，从而改善所述至 少一个内部功能的保护。

由这种计算机程序、这种设备和这种身份识别卡获得的优点与上 述优点类似。

附图说明

本发明的其他优点、目的和特征将通过以下以非限制性示例的方 式给出的关于附图的详细说明而显现出来，在附图中：

图1是使本发明的实施方式成为可能的移动终端和相关联的微电 路卡的图示；

图2说明了在根据本发明的移动终端中实现的特定步骤；

图3说明了在根据本发明的微电路卡中实现的特定步骤；以及

图4说明了根据本发明的用于管理置于备用的模块的示例性算法 的特定步骤。

具体实施方式

已观察到与由移动终端结合微电路卡执行的特定操作的实施相关 的安全性有缺点，因为部分安全机构在移动终端中实现，而所述移动 终端不能被视为安全实施区域。

特别地，已观察到由于移动和银行运营商的规范，移动终端实现 了中介应用(intermediary application)。这些应用特别地用于计算 由用户输入的口令的期满时间。这可以移动信息设备小程序(midlet) 的形式实现，也就是说，一组Java API(API代表应用程序接口)， 该Java API定义了在插入到与终端接口连接的移动终端中的卡中的 应用的执行方式。同样，口令可以在给定的使用次数内有效。

换句话说，经由移动终端执行的被保护的应用的安全性并非全是 这么好。通过说明的方式，在期满时间的末尾的用于口令的无效命令 是在移动终端上实现的功能，并且因此，结果通常以非安全的方式发 送到微电路卡，例如SIM卡。实现这些功能的所述移动信息设备小程 序未被认证，特别是未被银行官方认证。因此，这些功能可以是诈骗 攻击的目标并且其结果可以被窃取。

此外，移动信息设备小程序可能具有缺陷，这可能导致口令在很 长的时期内有效。因此，例如当用户必须输入口令来执行大于给定总 和的交易时，该用户可以执行大于所述总和的交易，而未意识到口令 期满机构是否存在缺陷。

此外，观察到微电路卡通常具有被称作备用模式的模式，该模式 使能禁止这些卡的部分或全部功能。这种模式引起微电路卡的电耗的 降低，从而节约了其中使用了微电路卡(微电路卡通常由其连接的移 动终端供电)的移动终端的电池电荷。因此，换句话说，具有微电路 卡可以“正常”使用的活跃状态，仅可以使用所述卡的特定功能的一 个或更多个备用状态，以及不可以使用任何功能的停止状态。为了从 停止状态进入到活跃或备用状态，通常需要启动所述卡，这通常需要 不可忽略的时间。根据当前标准，微电路卡的状态被其中使用了所述 卡的移动终端控制。因此，例如根据ISO 7816标准，用于将微电路卡 置于备用的移动终端的功能，特别是用于停止所述微电路卡的内部时 钟的移动终端的功能是“clockstop”，该功能的作用是停止由移动终 端发送到微电路卡的时钟信号。当所述微电路卡检测到时钟信号的停 止时，所述微电路卡进入备用。

本发明涉及被保护的内部功能在微电路卡中的实施方式，特别是 安全功能的实施方式，所述安全功能例如为用于计算口令的期满时间 的功能，或更一般地为用于计算由用户输入的验证数据项的期满时间 的功能，所述微电路卡例如为SIM卡、UICC卡、UMTS卡或RUIM 卡，其被配置为结合移动终端使用。因此，根据本发明，用户的验证 数据项的有效性根据在身份识别卡中动态地定义的准则而实现。这种 准则通常是有效时间和/或使用次数。本发明还涉及例如存储器管理功 能等其他被保护的功能的实施方式。

图1表示适于实现本发明的移动终端100。如图所示，移动终端 100包括移动电话模块105，该移动电话模块105有益地连接到扩音器 110和麦克风115。移动电话模块连接到移动终端100的天线(未示出)， 从而与移动电话网络通信。移动终端100还包括中央处理单元120， 并且优选地还包括屏幕125，所述中央处理单元120还被称作CPU。

移动终端100进一步包括用于近程通信的模块130，有益地为近 程无线通信模块。模块130例如为NFC型。模块130可以例如以集成 电路和天线的形式被直接植入移动终端100中，或者例如以包括集成 天线的微电路卡的形式插入到移动终端100中。

所述移动终端还包括输入设备135，该输入设备135例如为键盘 或等价的设备，用以输入字符、值和/或命令。输入设备135结合屏幕 125形成用户界面。输入设备135还可以触摸屏的形式集成到屏幕125 中。

所述移动终端100还包括存储器模块140，该存储器模块140适 于至少存储在移动终端100和这些组件中的一些组件之间使用的应用 和/或软件界面145，所述组件是固定的或可移除的，例如模块130和 连接到所述移动终端的微电路卡，所述微电路卡例如为身份识别卡 150。

此处，身份识别卡150是提供有微控制器155、第一存储器160 和第二存储器170的SIM卡。第一存储器160在此处用于存储应用， 例如用户的应用、用户的运营商的应用以及银行应用。该存储器的部 件165进一步用于存储使用户能接入移动电话网络的信息、参数和/ 或用户信息，特别是PIN型代码。第一存储器160通常是闪存型存储 器。第二存储器170在此处是ROM型存储器(ROM是只读存储器的 首字母缩写)。所述第二存储器170尤其用于存储身份识别卡的操作 系统以及接口功能。

根据一个特定的实施例，所述近程通信模块130可以部分或全部 地集成到身份识别卡150中。

身份识别卡150优选为可移除并且是安全的。

本发明涉及直接在微电路卡中实现的机构，也就是说，一般来说， 涉及例如在SIM卡150中的微电路设备，该微电路设备用于控制关于 所述卡的状态的被保护的内部功能的执行，特别是由被保护的应用调 用的内部功能的执行。包括例如微控制器155以及存储器160和170 的微电路设备可以被集成到移动终端中。

根据一个特定的实施例，本发明涉及一种用于动态地管理由用户 使用输入装置输入的口令的有效性的机构，所述输入装置例如为键盘 135。这种机构可以特别地包括校验口令的有效性的持续时间和/或测 试使用相同的输入口令的被保护的应用的执行次数。与在移动终端中 实现的类似机构相比，位于微电路卡内部的这种机构对攻击的灵敏度 降低，这是由于微电路卡的环境通常比移动终端的环境更安全。此外， 这种机构可以例如通过银行官方被容易地认证。

有益的是，这种机构使用微电路卡的通常被称作定时器的内部功 能。定时器通常被定义为硬件或软件功能，所述功能被给定的任务是 管理在多个时钟脉冲后的中断，从而激活或执行其他功能，所述定时 器通常为软件代码。所述数量的时钟脉冲和被使用的时钟(例如微电 路卡的时钟)通常作为参数被提供到所述功能。

根据本发明，接口(API)例如被添加到在微电路卡内使用的操 作系统，从而提供用于校验自与所述卡连接的移动终端接收到的口令 的有效性的内部功能。这些功能特别地使能口令的预定义的有效时间， 该时间被倒数计时。此处添加的接口例如包括由SIM卡的操作系统向 银行应用提供的服务，所述应用例如为卡上小程序(cardlet)型应用。 例如，在接收到的口令被视为正确时，也就是说，当接收到的口令与 之前存储在存储器中的验证数据项匹配时，这种服务被立即调用。

为了校验口令的预定义的有效时间，优选为使用微电路卡的硬件 时钟。使用这种时钟的定时器功能还被称作硬件定时器，其可以被视 为微电路卡的操作系统的硬件扩展，所述操作系统通常为软件。通常 存在于SIM卡内，更特别地存在于微控制器内的这种硬件定时器功能 给予了由制造商根据在EAL4+标准下公知的通用准则一般地进行认 证的优点。

作为一种变型，可以使用已知为软件定时器的定时器软件功能。 用于这些目的的时钟可以自微电路卡的硬件时钟生成或自移动终端的 时钟生成。软件定时器一般不由制造商认证。

根据一个优选的实施例，所述微电路卡包括至少两个等级的备用。 第一等级相应于全部备用，其中所述微电路卡的全部组件均处于备用 (因此这是一个标准的备用模式)。第二等级相应于部分备用，其中 特定的功能活跃。因此，例如用于口令的预定义的有效时间的倒数计 时功能可以在这种备用等级下仍为活跃。换句话说，在部分备用模式 中，定时器功能(软件定时器或硬件定时器)在此处为活跃。

图2说明了根据本发明的移动终端中实现的特定步骤。

第一步骤(步骤200)涉及检测站点，例如用于支付物体或服务 的收费站点，例如访问博物馆。根据所使用的近程无线通信模块的配 置，该步骤可以通过信号的检测或响应于经由所使用的移动终端的接 口产生的来自用户的命令而自动地执行。

在以下步骤(步骤205)中，在移动终端和之前检测到的站点之 间建立通信信道。这种通信信道在此处根据标准协议建立，例如根据 ISO 14443标准的协议。并行、同时或在之前，在所使用的移动终端 和其中包含的微电路卡之间建立通信信道(步骤210)。此外，这种 通信信道优选为根据标准协议建立，例如根据ISO 7816标准的协议。

之后，关于检测到的站点的信息项被发送到微电路卡，从而使微 电路卡能选择包含在该卡中并且可以被执行的应用。应用的选择优选 为基于检测到的站点的类型。对这些被选择的应用的标记例如以列表 的形式被发送到移动终端(步骤215)。所述被选择的应用例如为银 行应用。

被选择的应用的列表可以在移动终端上显示，以便使用户能选择 其中之一(步骤220)。被选择的应用的标记之后被发送到微电路卡， 如果可用，则向移动终端指示口令必须由用户输入。在此情况下，用 户使用例如连接到移动终端的键盘或类似的设备输入口令(步骤 225)。这种口令之后例如根据ISO 7816标准被发送到微电路卡，所 述微电路卡认证所述口令并且开始被选择的应用的执行，也就是说， 开始该应用的功能的执行。这些功能可以由被选择的应用本身标识或 由用户选择。特别地可以存在用于支付数额的定单，所述数额可以由 用户输入或由基于建立移动终端和站点之间的通信的站点发送。

在这些功能执行时(步骤230)，移动终端通常被用作微电路卡 和移动终端的近程无线通信模块之间的接口。

如图所示，所述方法可以被重复，直至该方法被(自动地或由用 户)终止。

图3说明了根据本发明的在例如SIM卡等微电路卡中实现的特定 步骤。

第一步骤(步骤300)在此处涉及身份标识卡中包含的应用的选 择。如前所述，这种选择优选为根据站点的特性进行，所述站点与包 括微电路卡的移动终端建立了通信信道。因此，这种特性可以涉及关 于支付总数的指示或者关于电子钱包或通信信用的再次充值的指示。

被选择的应用的标记之后例如以列表的形式发送到移动终端。当 移动终端接收到这种列表时，该列表优选为被显示，从而使用户能够 选择多个应用中的一个。当选择了一个应用时，其标记被发送到微电 路卡，更具体地，被发送到微电路卡的微控制器，从而使所述微电路 卡能开始相应的应用(步骤305)。

可替换地，如果仅一个应用能够被执行或者基于配置参数，则应 用可以直接开始，而无需被用户明确地选择。

当开始一个应用，执行测试以确定所述应用是否被保护，也就是 说，该应用的执行或该应用的功能中的特定功能的执行是否要求用户 的验证(步骤310)。如果为否，则所述应用通过微电路卡的微控制 器以传统方式执行。

在相反的情况下，如果所述应用被保护，则指令在此处被发送到 移动终端，以便获得口令，该口令使所述应用能通过验证被锁定。所 述口令优选为由用户使用连接到移动终端的键盘或类似设备输入，之 后被发送到微电路卡。

此处应注意到，可以使用符合FIPS标准(FIPS是联邦信息处理 标准的首字母缩写)的口令算法保护与被保护的一个或多个功能相关 的数据，所述数据被存储在微电路卡的存储器中，例如参考图1说明 的存储器160和/或存储器170。

同样，例如参考图1说明的微控制器155以及存储器160和170 等微电路卡的组件可以提供有抵御所谓的非入侵性攻击(例如通过时 间分析、消耗分析、电磁分析的攻击和/或基于时钟的攻击)、入侵性 攻击或半入侵性攻击的硬件保护，所述微电路卡的组件中具有被存储 的关于被保护的一个或多个功能的数据。

在获得了口令(步骤315)后，执行测试以确定接收到的口令是 否正确(步骤320)。为了这些目的，微电路卡的微控制器或连接到 所述微控制器的密码模块将接收到的口令与预先存储的数据项相比 较。可以特别地使用标准密码和验证算法来进行这种比较。

可替换地，可以使用例如指纹识别等其他验证模式。

如果所述口令不正确，则处理被终止或将指令发送到移动终端以 邀请所述用户再次输入口令(如虚线箭头所示)。

相反，如果所述口令正确，则激活时间倒数计时功能，也就是说， 激活被保护的内部功能(步骤325)。如前所述，这种功能的目标是 标识时间，在该时间内，接收到的口令被视为有效。这种时间的长度 优选为预定的。倒数计时功能基于微电路卡的时钟，或者可替换地， 基于移动终端的时钟。

可替换地，所述倒数计时功能可以在校验所述口令之前开始，如 果所述口令不正确，则停止所述倒数计时功能。

所述倒数计时功能通常基于如前所述的定时器功能(优选为硬件 定时器功能)。这种功能与作为参数的口令有效性的持续时间以及所 使用的时钟一起被调用。当定时器期满时，也就是说，在执行定时器 功能的末尾，生成中断。这向倒数计时功能指示该倒数计时功能已终 止。所述倒数计时功能还可以类似于定时器功能。

根据一个特定的实施例，当所述倒数计时功能被激活时，第一指 示被发送到微电路卡的操作系统，或者更一般地被发送到用于管理置 于备用的模块。同样，当所述倒数计时功能被再次初始化或者所述倒 数计时已终止时，第二指示被发送到身份识别卡的操作系统，或者更 一般地被发送到用于管理置于备用的模块。因此，已知倒数计时功能 的状态，操作系统或者更一般地用于管理置于备用的模块可以在倒数 计时功能活跃时禁止身份识别卡的完全备用状态。换句话说，当倒数 计时功能活跃时(当使用身份标识卡的时钟时)，仅可以使用其中的 微电路卡的时钟处于活跃的活跃状态或部分备用状态。如果倒数计时 功能是基于移动终端的时钟的，则部分备用的状态是这样一种状态， 在该状态中，倒数计时功能可操作，而不需要使身份识别卡的时钟处 于活跃。

可替换地，当倒数计时功能活跃时，可以禁止改变身份识别卡的 状态。因此，有益的是，当倒数计时功能被激活时，优选为存储在易 失性存储器中的例如为状态变量PIN_OK的状态变量被设置为第一值 (例如，PIN_OK＝1)。当倒数计时功能被再次初始化或者当倒数计 时已终止时，所述状态变量被设置为第二值(例如，PIN_OK＝0)。 可替换地，当定时器功能发出中断时(当定时器期满时)，这种状态 变量可以被直接设置为所述第二值，当所述状态变量被设置为所述第 二值时，所述倒数计时功能被去激活。在此情况下，由定时器功能生 成的中断触发用于更新状态变量PIN_OK的功能，优选为软件功能。

之后，当涉及所执行的被保护的应用的功能的命令被微电路卡的 微控制器处理时，执行测试以确定接收到的口令是否有效(步骤335)。 此处应注意到，涉及所执行的被保护的应用的功能的命令可以直接连 接到所述功能(即，在此情况下，被自动接收)，所述命令可以自用 户的选择产生(所述命令之后经由中央处理单元120通过来自移动终 端的指令的中介被接收，如虚线箭头所示)或者可以来自移动终端连 接的站点(所述命令之后经由模块130被接收，如虚线箭头所示)。

为了确定口令是否有效，微电路卡的微控制器在此处使用之前开 始的时间倒数计时功能。因此，如果所述时间被耗尽，则所述口令被 视为无效。此外，根据一个特定的实施例，由于口令的输入而执行的 被保护的应用(或该应用的功能)的次数可以与预定的使用次数相比 较。因此，可以限制口令被用于单个命令、两个命令等等。

如果所述口令无效，则指令被发送到移动终端，从而邀请用户再 次输入口令(所述算法返回到之前所述的步骤315)。

相反，如果所述口令被视为有效，则处理所考虑的命令并且执行 相应的功能(步骤340)。如前所述，这种功能的执行可以基于移动 终端调用，特别地，利用被使用的近程无线通信模块。根据口令仅可 用于执行单个功能的特定的实施例，时间倒数计时功能被再次初始化 (以使其停止)。这样，如果必须执行新的被保护的命令，则所述口 令将被视为无效，而无需将由于所述口令的接收而被执行的命令的次 数与预定的使用次数相比较。

此处观察到，因为应用的特定功能的执行受到特定的约束，所以 所述应用可以被保护，如前所述，所述约束特别是用户的验证。然而， 应用还可以被全局地保护，也就是说，当所述应用的执行已被授权时 (在用户的验证之后)，不需要验证用户以执行应用的功能。但是， 当这种应用使用了其他被保护的应用时，可能需要再次验证用户以执 行所述其他应用。

当微电路卡检测到用于置于备用的命令时，并且如果置于备用的 等级使得其倾向于影响被保护的应用(特别是内部倒数计时功能)的 执行，则执行测试以确定是否可以执行用于置于备用的命令或者是否 必须推迟所述命令的执行。为了这些目的，用于管理置于备用的模块 优选为在微电路卡中实现。所述模块可以是硬件模块或软件模块。所 述模块可以特别地集成到微电路卡的操作系统中。如果使用了例如状 态变量PIN_OK等优选为存储在易失性存储器中的状态变量，则用于 管理置于备用的模块确定所述状态变量的值，并且基于该值，授权或 不授权置于被请求的备用状态。

图4说明了根据本发明的用于管理置于备用的模块的一个示例性 算法的特定步骤。如图所示，第一步骤(步骤400)涉及检测用于将 包括所述模块的微电路卡置于备用的命令。根据ISO 7816标准，当时 钟信号停止时，基于来自使用了微电路卡的移动终端的时钟信号检测 这种命令。

在接下来的步骤中，用于管理置于备用的模块确定与用于置于备 用的命令相关联的被请求的备用状态是否低于当前的备用状态(步骤 405)，也就是说，被请求的备用状态是否涉及微电路卡的特定功能的 激活(在此情况下，被请求的备用状态低于或等于当前的备用状态)， 或者相反，被请求的备用状态是否涉及微电路卡的特定功能的禁止(在 此情况下，被请求的备用状态高于当前的备用状态)。

如果被请求的备用状态低于或等于当前的备用状态，则执行接收 到的用于置于备用的命令(步骤410)。

相反，如果被请求的备用状态大于当前的备用状态，则执行测试 以确定所使用的状态变量的值，从而指示被保护的内部功能倾向于被 置于比当前的备用状态更高等级的备用影响(步骤415)。根据之前 给出的示例，该步骤在此处涉及确定变量PIN_OK的值。

如果所使用的状态变量的值指示被保护的内部功能未倾向于被置 于比当前的备用状态更高等级的备用影响，则执行接收到的用于置于 备用的命令(步骤410)。

相反，如果所使用的状态变量的值指示被保护的内部功能倾向于 被置于比当前的备用状态更高等级的备用影响，则执行另一个测试以 确定被请求的备用等级是否影响了被保护的内部功能的执行(步骤 420)，例如被请求的备用状态是否涉及禁止倒数计时功能或定时器功 能(如果倒数计时功能和定时器功能不同的话)。在肯定的情况下， 最后两个步骤(步骤415和420)被重复以推迟检测到的用于置于备 用的命令的执行。

作为一种变型，由定时器功能生成的中断可以用于触发用以更新 状态变量PIN_OK的功能，优选为软件功能，这种更新功能包括用于 备用管理的功能。因此，如果已检测到用于置于备用的命令，也就是 说，如果备用在等待，则当发生所述中断时，微电路卡被置于备用， 直至更新状态变量PIN_OK。

相反，如果被请求的备用等级未影响被保护的内部功能的执行， 则执行检测到的用于置于备用的命令(步骤410)。

所使用的状态变量的值可以根据微电路卡的备用等级被存储在易 失性或非易失性存储器中，使得所述值可在最高的备用状态中被存取， 在所述最高的备用状态中，可以执行被保护的内部功能。此处注意到， 可以修改备用状态(自一个备用状态转到更低的等级)以改变状态变 量的值。

根据一个特定的实施例，可以由被保护的内部功能来控制用于置 于备用的命令的执行，所述被保护的内部功能关于所述命令来管理状 态变量，或者可以由使用这些被保护的内部功能的被保护的应用来控 制用于置于备用的命令的执行。根据本实施例，在接收到检测到用于 置于备用的命令的指示后，被保护的内部功能或被保护的应用向用于 管理置于备用的模块指示可以执行用于置于备用的命令的时间。

根据另一个实施例，嵌入在微电路卡中的被保护的内部功能涉及 用于管理所述卡的存储器的功能。该功能可以特别是被称作“耗损均 衡”的功能。

此处回想起在微电路卡中使用的存储器通常包括EEPROM型 (EEPROM代表电可擦除可编程只读存储器)存储器，该EEPROM 型存储器通常具有有限数量的写入周期，例如2千万或1亿次写入操 作。然而，为了写入，一些存储器区域通常比其他区域更频繁地存取。 因此，为了避免过早结束微电路卡的寿命(连接到微电路卡不能写入 到特定的存储器区域)，执行用于在存储器的区域间移动数据的功能， 以便尽可能平均地分配写入操作。这种存储器管理功能通常被称作耗 损均衡。

这种内部功能可以与由用户调用的应用的执行并行执行，这可以 导致微电路卡的性能下降。当微电路卡未被使用时，同样可以执行所 述内部功能和所述应用。在此情况下，稍后进行的将微电路卡的特定 组件置于备用，特别是将具有读取和写入操作的任务的组件置于备用 可以导致例如数据丢失。因此，需要提供一种用于避免基于将微电路 卡置于备用的数据丢失的机构。

本发明有益地解决了这个问题。根据一个特定的实施例，当激活 耗损均衡功能时，第一指示被发送到身份识别卡的操作系统，或者更 一般地被发送到用于管理置于备用的模块。同样，当终止耗损均衡功 能的执行时，第二指示被发送到身份识别卡的操作系统，或者更一般 地被发送到用于管理置于备用的模块。因此，已知耗损均衡功能的状 态，在耗损均衡功能活跃时，操作系统或者更一般地用于管理置于备 用的模块可以禁止微电路卡的完全备用状态。可替换地，在耗损均衡 功能活跃时，可以禁止改变微电路卡的状态。为了这些目的，当激活 所述耗损均衡功能时，例如状态变量WL_OK等状态变量被设置为第 一值(例如WL_OK＝1)。当终止耗损均衡功能的执行时，所述状态 变量被设置为第二值(例如WL_OK＝0)。

因此，用于管理置于备用的模块与参考图4说明的模块类似，状 态变量PIN_OK被状态变量WL_OK代替。有益的是，例如 STANDBY_OK的相同的状态变量被用于控制被保护的内部功能的执 行，以便在适当的时候推迟用于置于备用的命令。

如前所述，上述算法，特别是参考图3和图4说明的算法有益地 在微电路卡中实现，所述微电路卡例如为移动电话网络的订购者的身 份识别卡，所述身份识别卡例如为SIM卡。

必然地，为了满足特定需要，本领域技术人员将能够对前述说明 进行修改。