智能卡或芯片卡可以是嵌入在信用卡尺寸的卡中或甚至像GSM卡的更小尺寸卡中的微小安全加密处理器。智能卡通常不包含电池，而是由读卡器/写卡器供电，也就是说，由控制读取智能卡数据或写入智能卡数据的智能卡功能性的读和/或写装置供电。
智能卡一般用于金融、安全接入和运输领域。智能卡通常包括高安全处理器，其作为储存诸如持卡者数据(例如，姓名、账号、累积信誉点数)的数据的安全存储装置。只有当把该卡插入到读取/写入终端时，才有可能访问这些数据。
将用户接口功能直接集成进智能卡中是一项挑战性工作。例如，可以将显示器集成进智能卡中以便为用户显示信息。或者，可以在智能卡中包括按键以便用户输入数据。
将智能卡故意设计为不具有为用户提供交互能力的人机接口。用户交互的缺乏既反映在已知智能卡的硬件设计中也反映在已知智能卡的软件设计(操作系统)中。
缺乏薄、柔韧的显示器技术以及对智能卡的强安全要求是驱动这种有意识选择的原因。现今，由于出现了薄、柔韧的显示器技术，严格的安全规则和程序为实现用户交互带来困难。因为安全规则要求每个系统组件都必须处在例如就安全性和可靠性而言的专门程序的管制下，所以从消费电子装置和个人计算机装置引入API(应用编程接口)很困难。这要求在开发或改变任何芯片卡处理器组件或软件组件时，在工业接受的长时间处理后还有长时间的认证过程。
下面将参考图1说明集成有当前技术显示功能的智能卡100。
该智能卡100包括了其上形成集成电路的塑料衬底101，该集成电路提供智能卡功能。
在该智能卡的安全域或处理器102(安全IC处理器)中，提供了高级别的安全，安排有卡管理单元103(其可以是逻辑单元，可以是当接收到应用协议数据单元APDU时运行的软件程序)，其适于与多个应用单元104通信，每个应用单元包含服务不同应用所需的数据和命令。提供了一个操作系统105，其包含用于操作该智能卡100的软件。此外，提供了多个驱动器单元106，每个驱动器单元用于驱动相关的硬件单元107。
将该智能卡100设计用于与作为主控的智能卡读取和写入终端108进行通信。通过根据ISO 7816的应用协议数据单元(APDU)交换来进行终端108和智能卡100之间的通信。卡管理器单元103与特定一个应用单元104交换APDU，以便实现相应的一个应用。
该智能卡100的内部结构与标准(类似个人计算机)结构相似，可以用众所周知的分层模型说明。就硬件单元107来看，这些单元可以包括处理器、存储器、外围设备以及几个直接与低级别驱动器一起工作的加密/解密协处理器。驱动器单元106形成操作系统层(OSL)的一部分。OSL为应用提供了硬件功能的提取并且提供常被应用重用的附加功能。操作系统105也负责上电期间的芯片初始化。
在操作系统的顶端，可以运行供应者专用应用，在图1中将其示意性示为应用单元104。因为类似智能卡100的智能卡通常与类似智能卡读取和写入终端108的终端一起使用，所以采用了类似主控-从属的通信行为。这就意味着终端108通过把应用协议数据单元(APDU)发送给处理器102来发起与智能卡100的通信。使用APDU中地址字段的卡管理器103可以识别应进行到哪个应用单元104。接收到该信息后，被寻址的应用执行所要求的动作并且以状态/数据对终端108作出响应。该通信方案要求，对于复杂应用来说，终端108和智能卡100都必须存储通信的实际状态。
除了上述组件及其功能，智能卡100包括允许智能卡100的用户接口功能的扩展。
出于此目的，在不涉及安全域102的智能卡一部分中，可以提供按键112和显示硬件113。为使用户通过按键112输入命令与智能卡100进行交互，按键112和在硬件单元107的级别上以及安全域102中安排的显示接口单元111之间有连接。此外，在驱动器单元106的级别上提供显示驱动器单元110，以使用户可视化地感知到显示在显示硬件113上的数据。在图1所示的智能卡100中，由显示器113和按键112提供显示功能或用户接口功能。此外，对操作系统105有必要进行扩展和适应修改，其示意性示出为图1中的操作系统扩展109。
在实线示出的标准方框旁边，智能卡100包括了用点化线标记的附加方框110、111、112、113。这些附加方框提供了用户接口功能。可以看到，添加了具有相应显示驱动器110的新硬件组件111，并且对操作系统105进行了功能扩展，以便将显示功能API提供给根据应用单元104执行的应用。
然而，如图1所述的智能卡实现具有一些缺陷。
首先，操作系统105要求以操作系统扩展109的形式进行修改。这就引起了开发成本和认证成本。另外，由于这些修改干预了智能卡的安全域101，所以会出现潜在的安全风险。
其次，除了添加硬件驱动器外，必须定义不同于本地主控-从属模式的用于智能卡100的附加模式。当智能卡100响应于用户按下按键112而脱离终端启动(所谓“独立”模式)并显示信息时，可以使用该附加模式。这对智能卡100系统的结构有影响，并且带来要求额外限制条件的额外安全威胁。
第三，需要修改应用单元104来合并显示功能。这对于诸如EMV(“Europay、Mastercard、VISA”，用于信用/借记金融卡应用的标准)或CEPS(“通用电子钱包规范”，用于电子钱包e-Purse应用的标准)的广为人知的已制定并被接受的标准来说很难达到，需要重新标准化。
第四，智能卡设备(芯片)要求额外具有硬件接口以便分别与显示器113和显示驱动器110进行通信，称为显示接口111。由于安全威胁，所以不希望有这种接口。US6,256,690公开了一种包括微处理器和存储器的智能卡，其中该存储器存储了第一和第二应用。该存储器还包括指定为消息盒的存储器部分，该消息盒适于从至少第一应用接收消息数据对象并且适于将该数据消息对象发送给至少第二应用。然而，如US6,256,690所述的结构和通信方案具有操作IC卡时可能出现安全问题的缺陷。

本发明的目标是使能装置组件之间的有效通信。
为了达到上面定义的目标，提供了如独立权利要求所述的操作装置的装置和方法。
根据本发明的一个示例实施例，提供了一种装置，其包括均在该装置第一部分中提供的第一应用单元和第二应用单元以及在该装置第二部分中提供的传送单元，其中第一部分提供了相比第二部分更高级别的安全性。该传送单元可以适于在第一应用单元和第二应用单元之间发送消息。
此外，根据本发明的另一个示例实施例，提供了一种操作装置的方法，在该装置第一部分中包括了第一应用单元和第二应用单元，并且在该装置第二部分中包括了传送单元，其中在第一部分中提供了相比第二部分中更高级别的安全性。该方法可以包括通过该传送单元在第一应用单元和第二应用单元之间发消息的步骤。
根据本发明的另一个实施例，提供了一种装置，其包括在该装置第一部分中提供的第一应用单元和第二应用单元，以及在该装置的第二部分中提供传送单元。该传送单元可以适于在第一应用单元和第二应用单元之间传输消息，当在第一应用单元和第二应用单元之间发送信息时，该传送单元可以适于作为通信主控。
根据本发明的另一个实施例，提供操作装置的方法，其中该装置包括了在该装置第一部分中的第一应用单元和第二应用单元，以及在该装置第二部分中的传送单元。该方法可以包括通过传送单元在第一应用单元和第二应用单元之间发送消息的步骤，其中当在第一应用单元和第二应用单元之间发送消息时，该传送单元可以适于作为通信主控。
可以通过计算机程序，即通过软件，或者通过使用一个或多个专用电子优化电路，即以硬件方式，或者以混合形式，即通过软件组件和硬件组件的方式，来实现如本发明示例实施例所述的有效通信结构。
术语“应用单元”可以具体表示装置的任何软件和/或硬件组件，其具有在整个装置操作的框架内提供指定功能或服务的能力。在该装置为信用卡的例子中，这种应用可以是提供类似信用结余值的特定数据。在该装置为信用卡的例子中，另一个应用可以是提供特定格式的数据，例如准备显示在显示设备上的数据。这种应用可以取决于或不取决于该装置上运行的或提供的其它应用。
术语“传送单元”可以具体表示装置的任何软件和/或硬件组件，其具有向数据宿发送接收自数据源的数据的能力。该传递可以包括或排除该传递单元的任何数据处理。例如，传送单元可以只传递数据而不对数据进行修改。可替换地，在将数据发送到信宿之前，该传送单元可以分析、解释或修改数据(例如，改变格式)。
术语“更高级别的安全性”可以具体表示在该装置第一部分内采取任何涉及数据安全处理的措施而在该装置第二部分内不采取这些措施。换句话说，第一部分可以具有至少一个第二部分缺乏的安全特征。第二部分可以是相对安全的区域，然而以绝对措施来说其比第一部分较不安全。可替换地，在第二部分中可以根本不采取安全措施。“安全性”可以具体表示数据访问和数据传送的安全性，并且可以包括关于授权访问或者否则处理数据或访问该装置特定部分的限制。这可以包括类似数据加密和/或数据访问所需口令的特征。
术语“通信主控”具体有以下含义：相应的通信实体或实例发起和/或控制与一个或多个其它通信实体或实例的通信，然后将这些其它实体或实例作为从属。在计算机网络中，主控/从属可以是通信协议的模型，其中一个实体或进程(已知为主控)控制一个或多个其它实体或进程(已知为从属)。一旦建立了主控/从属关系，控制方向总是从主控到(多个)从属。
术语“上下文主控”的具体含义是：相应实体对消息的内容负责或者产生消息。
如本发明所述的特点特征可以具体具有能实现一个有效通信结构的共同优点。根据第一方面，可以通过在安全区域内提供应用单元以及在安全较差区域内提供传送单元或数据镜像来获得该优点，这样可以通过传送单元在应用单元之间进行通信，而无需修改和认证(已存在)应用单元。根据第二方面，就主控可以控制并发起通信的通信方案而言，可以通过将应用单元提供为从属，将传送单元和数据镜像提供为主控来获得该优点。这可以具有相同的效果：接收通信消息内容的两个应用单元中至少有一个单元不必识别或分析消息来源，这样可以将其实现为现有模块，无需将(已存在)应用单元适用于新的使用目的。
根据第一方面，两个应用单元(均处于安全区域)之间传输的消息的安全传送由传送单元(位于较不安全或不安全区域)作为中介。换句话说，以传送单元的形式提供数据镜像，其可以“反射”位于装置安全部分内的两个应用单元之间要发送的数据。该传送单元可以不必对在两个应用单元之间发送的数据进行解密或修改。这可以使装置安全部分内提供的两个应用单元之间的通信成为可能，而无需修改应用单元。对安全部分内提供的应用单元进行修改是非常耗费时间并且困难的，然而为了在应用单元之间运输或传输数据，在安全区域以外提供传送单元则容易得多。
如本发明所述的示例应用是智能卡，其中两个应用单元能够提供两种不同应用并且在智能卡的安全处理器中提供这两个应用单元。可以在该安全处理器以外提供传送单元，并且该传送单元可以允许在两个应用单元之间进行通信。
例如，一个应用单元可以提供对要可视化显示的数据进行格式化的功能，另一个应用单元可以提供在智能卡中提供特定数据内容的功能。在必须将该数据内容显示在智能卡显示装置上的情况下，可以将数据内容表述为通过数据镜像或传送单元从相应应用单元发送到能对要显示数据重新格式化的另一个应用单元的消息。通过使用该消息，无需修改能提供数据内容但不能提供可显示数据的(认证的)应用单元，就有可能在智能卡中提供显示功能。
根据本发明的一个方面，能够在两个不同安全软件模块(例如，信用卡、电子钱包)之间进行通信，其中软件模块可以由智能卡的处理器执行，其中可以保护处理器防止外部操纵。如本发明的一个实施例所述能够无需修改或相应地改变软件模块来进行通信。修改智能卡安全部分中提供的软件模块要求对修改后的智能卡进行安全认证，这要求较高的金钱花费和时间损耗。
出于这个目的，可以在安全部分外部提供数据镜像，其中数据镜像能够将消息从一个应用传递到另一个应用。在该上下文中，可以将相同(或另一个)通信协议用于智能卡与远程终端(诸如取款机或智能卡读取/写入装置)之间的通信。这样，对于应用之间的通信来说，可以将相同的通信协议用于与终端(取款机或智能卡读取器)的通信。这可以至少保持通信路径的一部分。
根据一个示例实施例，对于一个应用单元来说，识别其是否与远程终端或(通过传送单元)与另一个应用单元进行通信可以是“不可见的”或不可检测的。
这样，应用单元可以位于安全部分中，而传送单元可以位于该装置的较不安全部分中，其中较不安全部分提供了较低程度的安全性，或者根本无安全性。这样，访问较不安全部分所必需的条件可以比访问该装置中更安全部分所必需的条件要更不严格些。
采取这些措施带来的优点是所有在终端和智能卡之间有效的安全特征也会对应用单元之间的通信有效，而不必对所有应用单元进行重写。这样，认证审查是可有可无的。此外，例如智能卡这种装置的操作系统可以保持不变。只有发送应用或源应用必须变为主动的。
第一通信单元可以顺序地或同时地将消息发送给一个或多个第二应用单元。这可以允许非常有效的数据交换。
根据本发明的一个方面，提供了通过位于装置第二区域的传送模块，进行均处于该装置第一区域的第一应用和至少第二应用之间通信的方法。第二区域相比第一区域在防止篡改方面较不安全。该方法可以包括根据用于在装置和远程终端之间进行通信的通信协议从第一应用到传送模块传输消息的步骤，以及根据该通信协议从传送模块到第二应用传输消息的步骤。
可以将如本发明所述的装置实现为接触型装置或者实现为非接触型装置。
如本发明一个示例实施例所述，提供的装置不要求为不同应用单元之间的通信而对该装置(例如，智能卡)操作系统作任何修改。只需要两个应用之一准备以镜像功能工作。另一个应用可以保持完全不变。
根据该镜像功能，正如终端所做的一样，一个应用可以将应用协议数据单元(APDU)发送给另一个应用。换句话说，第一应用可以作为终端启动，并且在数据交换处理中作为主控。原则上第二应用不会察觉与其进行通信的是第一应用而并非真正的终端。
例如，在安全区域中(现存的和/或新的)部分之间的通信可以通过作为第三方的传送单元来进行，该传送单元可以是智能卡的一部分但是其位于安全区域以外。因为用于装置内通信的通信协议可以与用于装置与终端通信的协议相同，所以现存部分(例如，高安全传统应用)可以保持不变。
可以在安全区域中提供传统应用以及显示应用。与此相比，可以在安全区域之外提供作为第三方的智能显示控制器，其可以传递传统应用和显示应用之间交换的消息。
例如，显示应用可以向智能显示控制器发送数据以及将该数据转发给传统应用的请求。然后，智能显示控制器如所请求的那样转发数据。此后，传统应用可以以通常方式(类似与终端通信的方式)做出响应。智能显示控制器可以将响应转发给显示应用。此外，显示应用可以请求智能显示控制器显示接收到的数据。
这可以无需影响整个系统安全性，使显示功能快速地集成到现存智能卡系统中。而且，可以提供对现存系统的向后兼容性。
根据第二方面，当在第一应用单元和第二应用单元之间传输消息时，传送单元可以适于作为通信主控。换句话说，传送单元可以是两个应用单元之间通信的发起者。特别是，传送单元可以向第一应用单元发送询问，以询问是否建立通信。在要将消息发送给第二应用单元的情况下，第一应用单元为传送单元提供该消息。然后，传送单元可以将消息(以原始格式或重新格式化后)发送给第二应用单元。换句话说，传送单元可以作为关于接收自特定一个应用单元和/或发送给特定一个应用单元的发起的主控，而应用单元作为该层次级别上的从属。相比这种情况，关于要广播的消息内容，发送应用单元可以作为一种主控，并且接收应用单元可以作为从属。
通过使传送单元适于作为所实现通信结构的通信主控，使应用单元适于作为从属，至少接收消息的应用单元不必知道哪个单元发起了通信，而只是简单提供所需服务。这可以有以下结果，现存的硬件和/或软件模块可以用于(第二)应用单元。因为该应用单元仅仅是简单满足其所需功能，所以使这种模块适于特定的通信路径是不必要的，无需知道复杂的通信路径。
例如，可以将如所述方面的装置实现为发射机应答器，或者可以可替换地实现在USB总线通信的框架中。
参考相关权利要求，下面说明本发明的其它示例实施例。这些实施例同时具有本发明的第一方面和第二方面。
具体地，可以将如第一和第二实施例的任何方面实现在如第三和第四实施例的装置范围内。
接着，将说明该装置的示例实施例。也可以将这些实施例应用于操作装置的方法。
该装置可以包括设计用于根据第一通信协议与至少一个读和/或写装置进行通信的读和/或写装置接口。换句话说，可以使该装置适于这样一种方式：通过读和/或写装置从该装置中读取数据，和/或通过读和/或写装置将数据写入到该装置。可以将特定的通信协议用于装置和读和/或写装置之间的通信。
具体地，也可以将该装置适于使用第一通信协议以用于通过(也就是说，经由)传送单元在第一应用单元和第二应用单元之间发送消息。根据该实施例，一方面可以将一个相同的通信协议用于装置和读取/写入装置之间的通信，另一方面可以将该相同协议用于该装置两个应用单元之间的通信。因为只需要考虑单个通信协议的要求，所以这可以简化该装置的构造。
具体地，该装置的传送单元可以适于根据第二通信协议(其可以不同于第一通信协议)从第一应用单元接收消息，并将该消息转换为第一通信协议以便将转换后的消息发送给第二应用单元。根据该实施例，能够在第一和至少一个第二应用之间进行通信，两个应用都位于该装置的第一区域。该通信可以由传送模块作为中介，该传送模块可以位于该装置的第二区域，其防御篡改的安全性要低于第一区域。在这里的上下文中，可以从第一应用单元到传送模块传输消息。此外，可以在传送模块中根据用于在装置和远程终端之间通信的通信协议将该消息进行转换。该转换可以将消息格式从第一通信协议改为第二通信协议。然后，可以将转换后的消息从传送模块发送到第二应用单元。
可替换地，该装置的传送单元可以适于根据第一通信协议从第一应用单元接收消息，并将消息转换为用于将转换后的消息发送到第二应用单元的第二通信协议(其可以不同于第一通信协议)。根据该实施例，可以提供在第一和至少一个第二应用单元之间的通信，这些单元都可以位子该装置的第一区域。可以由位于该装置第二区域中的传送模块作为该通信的中介，该区域防御篡改的安全性要低于第一区域。在该实施例的范围内，可以根据用于装置和远程终端之间通信的第一通信协议来从第一应用到传送模块发送消息。此外，可以在传送模块中将该消息转换为与第二应用使用的通信协议相一致，将该协议表示为第二通信协议。然后可以将转换后的消息从传送模块传输到第二应用。
根据本发明的另一示例实施例，可以在第一部分中提供安全功能，而第二部分可以没有任何安全功能。根据该实施例，第一部分组件内的通信以及与第一部分组件的通信可以受保护以防止未授权的访问，其提供了高等级的安全性。相比之下，在第一部分以外的组件不具有已实现的安全措施，这就允许对这些组件有简单的构造并且可以对这些组件有简便的外部访问。
如本发明所述的装置可以包括包含有第一应用单元和第二应用单元的处理器。此外，该装置可以包括设计用于在处理器和至少一个读和/或写装置之间通信的读和/或写装置接口。此外，该装置可以包括至少一个用于通过读和/或写装置接口来发起用户和处理器之间通信的用户输入和/或输出单元。
术语“处理器”可以具体表示控制单元或智能卡管理单元，类似例如微处理器或中央处理单元(CPU)。可以将这种处理器制造为单片集成电路，例如以半导体(具体地以硅)技术来制造。
术语“读和/或写装置”可以具体表示用于通过从智能卡读取数据和/或往智能卡写入数据来控制智能卡功能的外部(相对于例如智能卡的装置)装置。
术语“用户输入和/或输出单元”可以具体表示至少部分地在该装置(例如智能卡)上提供的并且允许人类用户与该装置交互的装置。具体地说，这种用户输入和/或输出单元可以允许用户单向或双向地发送数据给处理器和/或从处理器接收数据，其中数据可以关于由智能卡提供的具体应用。
“接口”可以具体为通信系统的特定组件提供连接或访问。
根据所说明的实施例，提供了例如智能卡的装置，其提供了通过相同信号路径连接到处理器上的用户接口(例如，显示器和/或键区)，该相同路径也用于将处理器和用于从智能卡读取信息和/或将信息写入智能卡的读和/或写装置连接起来。在用户(在作为用户接口的用户输入和/或输出单元上交互工作)和处理器之间的通信可以由读和/或写装置接口发起。换句话说，相比从处理器端控制通信，可以从用户端控制用户接口与处理器之间的通信。因此，从处理器(位于智能卡的安全部分)的观点来说，可以以与用户输入和/或输出(主控)单元通信相类似或相同的方式实现与读和/或写(主控)终端的通信。这样，如本发明所说明的实施例，在与读和/或写终端以及与用户输入和/或输出(主控)单元通信的两个通信信道上，智能卡的处理器都可以作为从属。这样，该通信保持包含有处理器的安全部分不变，因此提供了高级别的安全性。
此外，第一应用单元能够为处理器提供数据，该数据与相应应用相关，并且第一应用单元不能提供能被至少一个用户输入和/或输出单元输出的格式的数据。此外，第二应用单元至少能够将第一应用单元提供的数据转换为可以被至少一个用户输入和/或输出单元输出的格式。这样，可以由用户输入和/输出单元来居间中介第一应用单元和第二应用单元之间的通信，然后作为数据镜像或传送单元。该实施例也可以允许扩展已经存在的位于安全部分中的应用单元，但是不能提供可显示的数据。该扩展是第二应用单元，其可以完成将第一应用单元提供的数据转换为可显示格式的功能。也可以在安全部分中提供第二应用单元。在转换功能之外，可选地，第二应用单元可以履行一个或多个更多的功能，也就是说，第二应用单元不被限制于将数据变成可显示格式的转换功能。
传送单元可以适于作为通信主控，其涉及在第一应用单元和第二应用单元之间消息的传输。因此，传送单元可以发起应用单元之间的通信，并且为了该目的，可以建立相应的通信网络。在该级别上，两个应用单元都可以作为从属。
第一应用单元可以适于作为主控，其涉及被发送到第二应用单元的消息的内容。换言之，当第一应用单元与第二应用单元进行通信时，那么第一应用单元可以控制与类似从属的第二应用单元进行通信的内容，并且可以特别指定与根据该通信的消息相关的主题或数据内容。在该级别上，第二应用单元作为从属。
可以通过至少一个用户输入和/或输出单元作为传送单元来作为第一应用单元和第二应用单元之间通信的中介。因此，用户输入和/或输出单元可以作为数据镜像等，其简单地将数据从第一应用单元前向传送到第二应用单元，或者将数据从第二应用单元前向传送到第一应用单元。
装置可以适于这样的方式，即对在第一应用单元和第二应用单元之间发送的消息进行加密。通过采取这种方式，由于甚至当经由非安全区域作为消息的中介时，加密确保维持高的安全标准，所以就获得安全通信系统。用于解密的任何解密密钥可以位于安全部分内。
在装置中，传送单元可能不能对消息进行解密。因此，由于中介实例缺乏对中介消息进行解码的任何能力，所以可以获得高级别的安全性。
第一应用单元和第二应用单元之间的通信可以包括至少一个应用协议数据单元(APDU)的传输。可以将应用协议数据单元定义为根据ISO 7816标准的通信单元。存在命令APDU和响应APDU，其中，命令APDU在两个实体之间发送命令，响应APDU发送对命令的响应。APDU通信方案与众所周知的OSI模型(“开放系统互连”)相关。特别地，对于智能卡，在ISO 7816-4中对APDU的概念进行了说明，在此对ISO 7816-4进行了清楚参考。
装置的第一应用单元可以是传统应用单元，也就是说，可以是仅提供应用而不提供复杂额外(例如，显示)功能的应用。
可以将装置设计为用于根据ISO 7816在第一应用单元和第二应用单元之间发送消息。在这个方面，对在ISO 7816中与应用协议数据单元(APDU)的定义和使用相关的部分进行特定的参考。ISO 7816系列和标准不仅对智能卡的物理形状及其电子连接器的位置和形状进行了定义，而且还对将要应用到这些连接器的通信协议和电源电压、被发送到智能卡的命令的功能和格式以及由智能卡返回的响应进行了定义。根据该实施例，根据与一方面是读和/或写设备另一方面是处理器之间的通信相同的工业标准，可以通过传送单元实现应用单元之间的通信。
可以将本发明的装置实现为智能卡或者近场通信装置。
被实现为本发明的智能卡的装置的示例性应用包括用作信用卡、用于移动电话的SIM卡、用于付费电视的授权卡、识别和接入控制卡、公共交通票等。
可以将本发明的智能卡实现为接触式智能卡或者非接触智能卡。在接触式智能卡中，可以通过电传导接触对包括处理器在内的集成电路或者半导体芯片进行识别。在非接触式智能卡中，芯片可以通过无线自供电感应技术与卡读取器/写入器进行通信(特别地，通过例如在高频区域内在智能卡的卡读取器/写入器之间交换电磁波)，其中，还可以将非接触式智能卡表示为非接触智能卡。可以将本发明的非接触智能卡技术实现为RFID(Radio Frequency Identification无线频率识别)技术或者将其与RFID技术合并。
可替换地，可以将装置实现为近场通信(NFC)装置。近场通信可以使得用户简单地通过将两个装置靠近在一起安全地交换所有类型的信息。由于当装置仅可以“听见”它们紧靠的邻居时存在更少的混淆，所以诸如几个厘米的近程交互作用可以大大简化整个识别问题。NFC可以允许连接诸如数码相机、PDA、机顶盒、计算机和移动电话的装置。从下文将要描述的实施例的例子中，上文所定义的方面和本发明的更多方面显而易见，并且参考这些实施例的例子对其进行解释。

下面将参考实施例的例子对本发明进行更详细的说明，但是不是将本发明限于这些实施例的例子。
图1示出了根据现有技术的智能卡；
图2示出了根据本发明一个示例性实施例的智能卡；
图3示出了根据本发明另一个示例性实施例的智能卡；
图4示出了根据本发明一个示例性实施例的智能卡的一部分，其说明了用户输入和/或输出单元的镜像功能。

图中的说明是示意性的。在不同的图中，以相同的参考标号表示类似或相同的部件。
在下列图的说明中，将术语“智能显示控制器”用作为“传送单元”的例子。类似地，将术语“显示应用单元”和“传统应用单元”用作“第一应用单元”和“第二应用单元”的例子。术语“处理器”可以代表“智能卡”安全的“第一部分”并且术语“用户输入和输出单元”可以代表“智能卡”较不安全的“第二部分”，“智能卡”是更一般术语“装置”的例子。然而，本发明不限于这些例子。
在下文中，参考图2，将对本发明的示例性实施例的智能卡200进行详细说明。至于在图2中所涉及的类似组件，补充参考上文图1的说明。
在塑料衬底201上和/或内部提供智能卡200的各个组件。智能卡200的大小可以是传统信用卡的大小。图2中所示的智能卡200可以提供多种应用(每个应用与一个特定的应用单元204相关)。智能卡200包含微处理器202，将其设计为在对不同应用进行服务的范围内实现计算和控制功能。
提供智能卡读和写终端208(也表示为卡读取器/写入器)，读取在智能卡200中存储或者生成的信息，或者对智能卡200中的外部输入数据进行编程或引进。将智能卡200的读和写装置接口213设计为用于智能卡读和写装置208以及微处理器202之间的双向通信。
此外，在智能卡中提供用户输入和输出单元212(I/O单元)。用户输入和输出单元212可以主动地发起人类用户(未示出)和微处理器202之间经由智能卡读和写装置接口213的通信。因此，在一方面用户输入和输出单元212以及另一方面微处理器202之间通信的范围内，用户输入和输出单元212作为主控，并且微处理器202作为从属。由于在电子领域中，通常是微控制器作为主控，所以这种安排是非正常的。然而，这种安排具有重要的优点，其改善了智能卡200的不同组件之间数据传送的安全性。
用户输入和输出单元212包含智能显示控制器211，根据所描述的实施例在硬件中对其进行实现，并且其对一端的处理器202以及另一端的显示硬件210和按钮209(作为用户输入和输出单元212的更多组件)之间的通信进行协调。
用户可以使用按钮209以便通过智能显示控制器211和接口213键入将要提供给处理器203的命令，用于在被分配给应用单元204的应用之一的上下文中对这些数据进行进一步处理。例如，应用可以是信用/借记金融卡应用，或者类似的应用。此外，可以经由接口213和智能显示控制器211将与由智能卡200执行的应用相关的数据从处理器202发送到显示硬件210，该显示硬件210显示对于人类用户可视和/或可听的相应信息。
如从图2中所见，将智能卡200分成安全部分或处理器202以及剩余非安全部分。包括多个应用单元204在内的微处理器202驻留在安全部分中。此外，提供了操作系统205，其可以包含用于操作智能卡200的软件组件。而且，提供了多个驱动器单元206和多个硬件单元207。每个硬件单元207可以包括诸如子处理器、存储器、外围装置、或者加密/解密子处理器的组件。
用于在智能卡读和写终端208和微处理器202之间进行通信的通信协议等于用于在正在操作用户输入和输出单元212的用户(未示出)和微处理器202之间进行通信的通信协议。通过交换应用协议数据单元(APDU)并且根据工业标准ISO 7816来实现这两条通信信道。
用户输入和输出单元212包括显示器210(可以基于Philips柔韧显示系统技术对其进行实现)和按钮209。如图2中所示的实施例，将用户输入和输出单元212实现为硬件单元。
智能卡200是快速、安全和低成本装置，在其中，智能卡装置的高安全世界和相应的软件本质上保持不变(因此是安全的，并且不受潜在攻击的伤害)，但是智能卡200包括通过现存安全体系结构实现用户交互作用的卡应用可能性。虽然图2中所示的实施例集中在被连接到智能卡200硬件的显示器210和按钮209上，但是本发明的系统还可以连接其它诸如指纹读取器或者类似器件的卡内电子器件。
在下文中，将对通过现存物理和逻辑接口的显示功能的硬件/软件连接进行说明。图2示出了具有显示功能的智能卡系统的扩展。在智能卡200中，智能卡处理器系统(硬件和软件)本质上保持不变，并且因此保持安全。在图2中，将I/O功能添加为临近智能卡200的处理器或安全域202的独立模块212。
智能显示控制器211使用ISO 7816接口213并且通过与微处理器202交换APDU与智能卡应用进行通信(更具体地与微处理器202进行通信)。以与智能卡读和写终端208进行通信相同的方式来实现在用户输入和输出单元212与微处理器202之间的通信。通过接口213，智能显示控制器211可以通过相应的消息告知应用单元204用户已经按下按钮209并且向各自的应用204要求用于应该显示在显示器210上的数据。由于仅有的变化驻留在应用中，其需要理解协议以便在显示器210上驱动数据，所以系统的安全不受添加用户输入和输出单元212的影响。不需要在其它系统组件上的修改。
可以在硬件和软件中实现智能显示控制器211，其中，就概念而言两种实现是相同的。
智能卡200示出了智能显示控制器211在硬件中的实现。这需要在显示驱动器中实现功能模块，并且需要到接触该驱动器的ISO7816的连接。由于显示功能仅取决于应用开发者，所以图2的实施例非常灵活。在该情景中，不需要在微处理器202上额外的硬件接口。
在下文中，参考图3，将对本发明的另一个示例性实施例的智能卡300进行说明。
在图3中所示的实施例中，以软件实现智能显示控制器211。这样，用户输入和输出单元302的智能显示控制器211驻留在智能卡300的软件块304中。智能显示控制器211还包含按钮209和显示硬件210。接收机/发射机缓冲器303(RX/TX缓冲器)和防火墙单元301也驻留在软件模块304中。
以软件方式实现智能显示控制器211意味着，存在通过功能呼叫的方式将APDU例如通过接收机/发射机缓冲器303以软件发送到/接收自微处理器202的卡主控203的功能。也基于软件命令对智能显示控制器211进行操作。它运行在卡控制器的防火墙区域内，完全从安全域202中分离出来(类似于在Philips智能卡处理器上的Philips Mifare模拟仿真)。它通过诸如串行接口的专用接口对显示硬件210和按钮209进行驱动。图3的该实施例不需要或者仅需要很少验证。
在下文中，参考图4，将本发明的示例性实施例的智能卡的部件400描述为已经实现了智能显示控制器的数据镜像功能。
图4说明了用于将显示功能添加到传统应用的概念。可以将图4的系统集成到图2中所示的装置200或者图3中所示的装置300中。特别地，对于图4，参考图1至3所提及的所有方面还都成立。更具体地，在图2或图3中，可以在任何组件204的位置处对如图4中所示的组件401和402进行连接。
如图4中所见，该部分400包含驻留在安全部分或处理器202中的显示应用单元401以及也驻留在安全部分或处理器202中的传统应用单元402。除显示应用401和传统应用单元402之外，在安全部分202中还提供应用单元204。如将要在下文中所说明的，可以经由多个传输信道403至407并且可以通过作为数据镜像或传送单元的智能显示控制器211居间中介，进行显示应用单元401和传统应用单元402之间的通信。
图4中所示的实施例解决了从诸如电子钱包(CEPS、Geldkarte、Chipknip)的良好建立和标准化的传统应用(类似于被包括在传统应用单元402中的应用)中显示信息的问题。在许多情况下，不将这种已经存在的应用设计为将诸如存储在e钱包中数量的信息显示在显示器上。
对于该问题直接的解决方法是将显示功能添加到应用单元。然而，该方法需要跟随着认证以及获得工业接受的很长一段时间的主要发展努力。
另一种可能的解决方法可以是在智能显示控制器211中实现终端模拟仿真功能。这种模拟仿真终端将可以从传统应用中读取所需的数据(例如，电子钱包数量)，对其进行格式化，并且将其显示在显示器上。然而，该解决方法将具有若干缺点。例如，智能显示控制器211将必须以用于不同应用标准(例如，德国的Geldkarte，荷兰的Chipknip，或者用于新卡的CEPS)的协议实现全部终端功能。这将导致复杂和昂贵的硬件和/或软件块。
此外，通常对与传统应用单元402的通信进行加密。这样，该实现将需要在卡完成过程期间将加密密钥存储在智能显示控制器211中(其成本大并且复杂)。还将需要在智能显示控制器211中实现密码算法。此外，由于智能显示控制器211将必须对显示内容进行格式化，所以对于在智能卡上显示的信息，将不存在定制可能。
根据图4的解决方法是，在智能显示控制器211内实现与独立显示应用单元401的APDU分组的镜像功能。该显示应用单元401可以使用标准的、已知的传统应用协议取得对显示内容进行格式化所必需的信息。如图4中所说明的，通过智能显示控制器211对在显示应用单元401和显示应用转换单元402之间发送的任何通信消息进行镜像。在图4中，仅将智能卡的某些相关组件表示为部分400。通信箭头403到407对ISO 7816协议的数据交换的主控-从属原则进行符号化表示，以便简化图片。
将应用组件封装到智能卡IC的安全域202中。在图4的实现中，存在显示应用单元401，其为被设计为通过智能显示控制器211取得、解释和显示一个或多个给定的传统应用单元402的数据的特定应用。
通信工作如下：智能显示控制器211可以发起与显示应用单元401和/或传统应用单元402的通信，并且可以作为该通信方案中的主控，而组件401、402作为从属。显示应用单元401将请求发送到智能显示控制器211以便将通信消息镜像(即，向前传送)到目标传统应用单元402。显示应用单元401将被封装的APDU与该请求一起进行发送，将被封装的APDU向前传送到传统应用单元402，见第一个传输箭头403。换言之，关于将要被发送的消息的内容，显示应用单元401作为主控，而传统应用单元402作为从属。
随后，智能显示控制器211将所请求的APDU发送(也就是说，镜像)到传统应用单元402，见第二个传输箭头404。
传统应用单元402以通常方式(就象在与终端的通信中那样)用数据/状况对智能显示控制器211作出响应，见第三个传输箭头405。
智能显示控制器211再次将该响应镜像回显示应用单元401，见第四个传输箭头406。
然后，显示应用单元401可以基于从传统应用单元402接收的数据，将显示内容提供给智能显示控制器211，见第五个传输箭头407。
该方法的一个显著优点是改进的安全性。由于智能显示控制器211不需要对镜像数据进行解释，所以可以不离开安全域202以密码密钥对数据进行加扰。这意味着显示应用单元401可以以安全的方式从传统应用单元402得到信息(反之亦然)，并且提取出可以在屏幕上显示的信息，并且随后将其发送到智能显示控制器211。
该解决方案的另一个益处是服务提供商可以定制显示应用单元401(例如，改变数据的显示方式)并且保持独立于所使用的卡或操作系统。甚至可以通过诸如PIN码将用户标识添加到显示应用单元401，以便确保对传统应用单元402中个人数据的安全访问。可以在智能显示控制器211中容易地实现镜像功能。
可以在多组件智能卡尤其是具有显示器的智能卡中使用本发明的系统。本发明允许将显示功能快速集成到现存的智能卡系统中而不对系统总体安全性造成影响，并且它提供了对后向兼容性的解决方案。本发明的系统通过使用诸如ISO 7816的现存标准，提供在潜在客户使用中的高度简便性。
应该注意，术语“包括”不是将其它部件或者步骤排除在外，并且“一个”不是要排除多个。还可以对结合不同实施例所描述的多个部件进行合并。还应该注意，权利要求中的参考符号不应该被理解为对权利要求的范围进行限制。