恢复集成电路卡的错误状态的方法、通信系统和存储介质

本申请要求于2019年8月9日提交的意大利专利申请号102019000014595的权益，该申请通过引用结合于此。

技术领域

本公开涉及与恢复集成电路卡、特别是eUICC(嵌入式通用集成电路卡)的错误状态有关的解决方案。本公开还涉及用于在嵌入式集成电路卡(eUICC)与例如在移动通信设备中的读卡器之间执行串行通信的技术。

背景技术

本方案的技术领域是嵌入式通用集成电路卡(eUICC)与对应的读取器设备之间的串行通信，该读取器设备能够使用串行接口传输数据\信息(带有伴随的时钟)。这种接口的示例可以是串行外围设备接口(SPI)、通常用于在设备\微控制器之间发送数据的接口总线或用于智能卡通信的ISO 7816-3接口。基于任何串行连接，使用串行协议来传输数据，该串行协议通常在发送器和接收器(例如在SPI的主设备和从设备中)的处理单元中作为状态机来实现。

如图1所示，其示意性地表示协议状态机，从第一状态S1开始，第一状态S1表示例如发生传输数据的操作状态，在发送器(读取器)和接收器(卡)之间的串行接口可以进入错误状态E，然后该错误状态要求转变到复位状态R以便然后恢复第一操作状态S1。

发明内容

在图2中示出了包括eUICC的通信系统10的可能架构。通信系统10可以被包括在诸如移动通信设备或工业通信设备的托管设备中，即，包括eUICC工业卡或eUICC消费者卡的托管设备。

以11表示的第一发送器设备通过串行接口12a(具体地SPI接口)连接到第二接收器设备12，该第二接收器设备是eUICC。第一设备11可以是eUICC卡的读取器，例如，LPA(本地配置助手)模块、或通常包括处理单元的模块，该处理单元用作调制解调器，以用于与包含eUICC 12的通信设备进行往来通信。第一发送器设备11通过电压供应线AL接收电压供应VCC，这样的eUICC 12以及还有第三和第四设备13和14也被耦合到电压供应线AL以接收电力供应。这样的设备13和14可以表示用于存储移动通信设备的操作系统或由操作系统执行的应用程序或通信设备中的其他模块的存储器。示出了复位线RL，其承载有适于将设备11、12、13、14之一从错误状态E复位的复位信号RS。然而，在图2中示出了仅设备11、13和14耦合到复位线RL、而eUICC 12没有耦合到复位线RL的情况，这是因为例如eUICC 12没有复位引脚。设备13和14通过串行接口13a彼此耦合，该串行接口可以是相同的SPI接口。

读取器11可以耦合到用于与基站通信的移动通信接口，该基站可以包括GSM(全球移动通信系统)、CDMA(码分多址)收发器、W-CDMA(宽带码分多址)、UMTS(通用移动电信系统)、HSPA(高速分组接入)和/或LTE(长期演进)收发器。

在发送器11与eUICC 12中的嵌入式系统的处理单元之间交换数据的串行接口12a可以是数字通信接口，例如UART(通用异步收发器)、SPI(串行外围接口)和/或USB(通用串行总线)通信接口。

基于图2所示的系统10，可以看出，有些系统设计为包括eUICC在内的所有组件共用仅一条电源线Vcc，但有些系统中复位引脚可能没有耦合到包括eUICC的一个或多个设备。同样，这样的系统可以在包括eUICC在内的几个组件之间交替使用相同的串行接口。受上述限制而开发的系统可能因此成为eUICC生态系统的一部分。

特别地，一条共享电源线的存在和/或物理复位引脚的缺失可能是在用于通过串行接口通信互连eUICC和其他系统\设备的解决方案中的一个很强的限制。

对于eUICC有几种应用场景，在这些场景中存在使用替代信号的恢复过程可能是有用的。在任何类型的错误的情况下，eUICC可能会失去从发送器设备正确获取协议命令的能力，并且因此需要复位图1所示的协议状态机。

无法从串行输入流中恢复数据可能使得难以复位发送器和eUICC之间的协议的状态机。这可能导致被称为死锁的情况，在这种情况下接收设备和发送设备不再能够互相理解和通信。如图所示，有时并非所有的设备都有足够的引脚来保证在(串行)通信的顶部建立的协议状态机的电\物理复位。

由于有时相同的串行接口可以在eUICC和其他设备之间共享，如图2所示，因此由于不可恢复的错误而使串行接口被eUICC阻塞，这对于其他设备也造成了严重的不便。

诸如eUICC之类的设备只有一个物理复位引脚，但可能需要通过不同的串行接口(例如SPI和ISO\UART)与两个不同的设备进行通信。有时可能发生来自一个串行接口的物理复位会干扰另一个串行接口上的活动的情况。因此，另一种不便之处可能是设备可能无法仅复位通信接口中的一个。

在图3中，其示出了信号图，该信号图示出了发送器设备11经由SPI接口12a与eUICC 12进行通信并且另一设备13经由ISO接口12b与eUICC 12进行通信的情况。示出了由电源线AL共享的电源VCC和接地GNS，然后接口12a提供了读取器11和eUICC 12之间的引脚连接SMI(即SPI MISO)、SMO(即SPI MOSI)、SCK(即SPI时钟输入)、以及SSS(即NSS从(slave)选择信号)。ISO接口12b包括复位信号输入IRI、ISO时钟信号输入ICKI、以及ISO数据输入/输出IIO。在SPI接口12a上还示出了死锁DL，在没有复位引脚的情况下该死锁DL不能通过设备13在复位信号输入IRI上进行的物理复位来恢复，这是因为死锁是独立的且不知道的或者因为复位会干扰其活动。SPI 12a上的eUICC 12上的死锁DL也可能在第二接口上回荡，使其无法通过其他设备13进行任何复位或尝试恢复。在这种情况下，只有发送器设备11才能复位SPI接口12a上的eUICC 12活动并然后对错误进行恢复，但在eUICC 12中没有任何物理复位引脚可用于此目的。

对于从死锁中恢复的问题的一些解决方案可以是：对阻塞的eUICC进行物理复位，或者接通和断开系统的电压供应Vcc。然而，如参考图2所示，有些设备中特定的复位引脚不可用、或者无法断开和接通公共电源，因为这会损坏不同于eUICC的其他组件/子系统。由于eUICC通常焊接在托管设备中(或在任何情况下都几乎无法接近)，因此增加了该不便，这使得进一步难以进行干预以便提供物理复位解决方案。

实施方式提供了克服以上缺点中的一个或多个的解决方案。

进一步的实施方式提供了一种用于在与集成电路卡的串行通信中恢复错误状态的方法。其他的实施方式提供了相关的系统、方法和计算机程序产品。

在实施方式中，本公开涉及一种用于在与集成电路卡、特别是eUICC的串行通信中恢复错误状态的方法，其中，串行通信协议包括在由所述集成电路卡接收到复位信号时从所述错误状态到复位状态的转变，所述串行通信包括在串行通信接口上进行操作，所述串行通信接口至少包括将发送器设备和所述集成电路卡耦合的串行时钟信号线，并且时钟信号在该串行时钟信号线上从发送器设备发送到所述集成电路卡，所述方法包括：在检测到错误状态时，在发送器设备处将所述复位信号嵌入到发送给集成电路卡的串行时钟信号中以作为所述串行时钟信号线上的参考时钟信号，所述复位信号由时钟信号的参数的变化表示；检查在集成电路卡处的时钟信号的参数的所述变化的存在，并且在检查到集成电路卡处的时钟信号的参数的所述变化的存在时执行从错误状态到复位状态的所述转变。

在变型实施方式中，集成电路卡处的时钟信号的参数的所述变化包括改变时钟信号的频率。

在变型实施方式中，所述变化包括执行电压到频率的转换。

在变型实施方式中，集成电路卡处的时钟信号的参数的所述变化包括改变时钟占空比。

在变型实施方式中，集成电路卡处的时钟信号的参数的所述变化包括通过脉冲宽度调制来改变占空比。

在变型实施方式中，时钟信号的参数的所述变化对到集成电路卡的不同于所述复位信号的进一步命令或指令进行编码。

在变型实施方式中，在检测到错误状态时，发送器设备和集成电路卡进入时钟处理状态，在该状态期间，它们分别执行时钟信号的参数的这种变化并检查时钟信号的参数的所述变化的存在，然后发送器和集成电路卡以时间对齐的方式进入复位状态。

其他实施方式涉及一种通信系统，该通信系统包括串行通信接口，该串行通信接口至少包括数据线和串行时钟信号线，该数据线和串行时钟信号线将被配置为根据上述实施方式中的任一个的方法进行操作的发送器设备和集成电路卡耦合。

在变型实施方式中，所述发送器设备包括时钟修改器电路，该时钟修改器电路被配置为执行时钟信号的参数的所述变化，并且集成电路卡包括时钟采样器电路，该时钟采样器电路被配置为检测在串行接口的时钟信号线上的串行时钟信号的所确定的参数的变化。

在变型实施方式中，所述集成电路卡是eUICC。

在变型实施方式中，所述id通信系统被包括在托管设备中、特别是在移动通信设备中，并且所述发送器是包括处理单元的模块，该处理单元作为调制解调器操作，调制解调器用于与包含集成电路卡的通信设备进行往来通信。

本公开还涉及一种可直接加载到数字计算机的内部存储器中的计算机程序产品，其包括软件代码部分。

附图说明

现在将参照附图描述本公开的实施方式，这些附图仅通过非限制性示例的方式提供，并且在附图中：

前面已经描述了图1-3；是本文描述的技术方案的实施方式的示意性电路图。

图4示出了表示根据本文描述的方法的发送器和接收机所采取的通信协议状态的图；

图5示出了实现本文描述的方法的系统的原理框图；

图6示出了表示本文描述的方法的实施方式的流程图；以及

图7示出了表示在串行接口中发生错误状态的示例的状态图。

具体实施方式

在以下描述中，给出了许多具体细节以提供对实施方式的透彻理解。实施方式可以在没有一个或几个具体细节的情况下实践，或者利用其他方法、组件、材料等来实践。在其他实例中，未详细示出或描述众所周知的结构、材料或操作，以避免使实施方式的各方面不清楚。

贯穿整个说明书，对“一个实施方式”或“实施方式”的引用是指结合该实施方式描述的特定特征、结构或特性包括在至少一个实施方式中。因此，在整个说明书的各个地方出现的短语“在一个实施方式中”或“在实施方式中”不一定都指的是同一实施方式。此外，在一个或多个实施方式中，可以以任何合适的方式组合特定的特征、结构或特性。

本文提供的标题仅是为了方便，并不解释实施方式的范围或含义。

如前所述，由于存在通过串行接口耦合eUICC时在该串行接口中特定的复位引脚不可用、或者无法断开和接通电源线的情况，因此本文描述的方法提供使用串行接口的串行时钟信号来提供复位信号(即错误恢复序列)，该复位信号执行从图1中的错误状态E到复位状态R的转变，即如果eUICC在错误或死锁的情况下已失去接收数据线上的逻辑命令的能力则向其发出“复位”命令\序列。

在图4中，示出了发送设备11和eUICC 12(即，接收设备)的状态随时间t的演变。在时间t＝0处，系统处于错误状态E，然后发送设备11进入时钟处理状态CP，在该状态下，将时钟参数的变化VC施加到接口12a的时钟信号(例如，SPI时钟线SCK上的时钟信号)上。eUICC12还进入时钟处理状态CP，并且执行检查SPI时钟线SCK上的时钟信号的操作CC，以检测时钟参数相对于时钟信号的变化。发送器设备11随后转变为复位状态R，而eUICC 12被配置为在检查操作CC过程中，将时钟参数相对于时钟信号的这种变化解释为复位信号，并且也转变为复位状态R。因此可以恢复图1的状态机的操作，并且随后根据正常协议规定，协议例如以空闲间隔IL转变到工作状态S1。

因此，eUICC 12对协议复位状态R的恢复是通过对在时钟处理状态CP下由发送器设备11在串行接口上供应的时钟信号的一些参数的变化进行采样来执行的。

如所示的，该过程需要操作供应给接收设备12的时钟信号的某些参数的变化VP，使得当检测到时钟参数的变化时，该接收设备可以返回到协议状态机“复位”。这样的时钟参数通常包括定义时钟信号随时间演变的任何参数，并且优选地包括时钟信号频率和/或占空比。然而，振幅的变化或者抖动或相位噪声的变化或者波形的变化(例如上升时间变化)也可用于表示复位信号。

通常，由于串行协议接口状态的管理是由发送器11和eUICC 12的相应处理单元执行的，因此这些处理单元优选地被配置为还分别命令时钟参数的变化VC和检查SPI时钟线SCK上的时钟信号的操作CC(特别是通过命令和控制被配置为执行这样的操作VC、CC的特定电路或模块)，以检测时钟参数相对于时钟信号的变化。

参考图5，其中示出了具有发送器设备11和eUICC 12的系统的局部表示，发送器设备11包括时钟修改器电路111，其被配置为改变在串行接口12a的时钟信号线SCK上的串行时钟信号CKS的所确定参数，以将对应的复位信号RS嵌入到串行时钟信号CKS中。eUICC接收器设备12包括时钟采样器电路121，其被配置为检测串行接口12a的时钟信号线SCK上的串行时钟信号CKS的所确定参数的变化。

发送器设备11被配置为使得当其获得eUICC接收器设备12不响应并且需要“协议”复位R的信息时，命令时钟修改器电路111产生时钟信号CKS的参数(特别是时钟频率或时钟占空比)的变化。发送器设备11因此进入复位状态R。

时钟采样器电路121对测量对应的时钟参数(即时钟频率或时钟占空比)的时钟信号CKS进行采样，并且被配置为将这种参数的所确定的变化解释为用于eUICC 12进入复位状态R的命令，从而使发送器11和接收器12这两个设备都与协议复位状态R对齐，使得可以恢复通信。换句话说，发送器11执行时钟参数的改变并且进入复位状态R，eUICC 12对该变化进行采样并且进入与发送器11一致的复位状态R。

为了执行这样的解决方案，执行设备串行协议的分解以及对相关状态的定义，例如复位状态R、接收到的帧、发送的响应等……。错误状态E可以与关于确认、或接收到的帧或发送的响应或其他的特定条件相关联，这些条件例如定义了eUICC 12无响应或以错误数据作出响应的条件。

例如，在图7中以状态图为例示出了串行接口是串行接口并且APDU通过该接口发送的例子。APDU(应用协议数据单元)的发送是发送器和集成卡12的典型活动。该图表示发送器11处的状态。特别地，SS表示开始状态，从该状态进入空闲状态AS1。从空闲状态AS1，利用请求发送应用APDU的动作TA1，到达发送APDU状态AS2。如果执行了发送APDU动作AS2，则发送器进入等待ACK状态AS3，如果检测到NACK(未确认字符或消息)已接收动作TA4，则该状态AS3可以返回到状态AS2，或者如果检测到ACK接收动作TA3，则该状态AS3可以返回到ACK(确认字符或消息)已接收状态AS4。如果在等待ACK状态AS3中接收到除ACK或NACK之外的其他消息(动作TA5)时，则到达错误状态E，该状态在仍然接收到除ACK或NACK TA5的其他消息时保持不变。断电动作TA6或发送中止命令并接收ATR TA7可以执行到复位状态R的转变。从复位R或ACK已接收状态AS5，等待应用动作TA8以返回空闲状态AS1。

如果在命令或APDU的处理期间，发送器11达到错误状态E，并且无法断开并重新启动eUICC(例如，断电“转变”TA6)，或者eUICC 12不再能够处理任何“应用”命令(例如，发送中止命令并接收ATR TA7的肯定转变)，则它将永久保持在错误状态E状态，因此需要本文描述的解决方案来复位通信。

因此，在这种情况下，错误状态E与关于确认的特定条件相关联，即，不接收数据但也不接收ACK或NACK。例如，这定义了eUICC 12无响应或以错误数据作出响应的条件。

被设计为在不可恢复的错误的情况下修改发送设备上的时钟信号的参数的时钟修改器电路或逻辑模块111，可以是例如PWM调制电路，其应用占空比修改。时钟修改器电路或模块111也可以是电压至频率转换器，以将时钟频率修改应用于时钟信号CKS。

被设计为检测接收设备上的时钟信号的修改后的参数的时钟采样器电路或逻辑模块121可以是，例如低通滤波器以检测占空比变化，低通滤波器基本上切除了时钟的变化，仅留下时钟信号的平均值通过，以便进行分析。时钟采样器电路或逻辑模块121也可以是用于检测频率变化的频率-电压转换器电路模块，其将时钟频率转换为与频率变化成比例的电压值。也可以代替使用脉冲计数电路。

发送器设备11被配置为例如在发送期间eUICC 12无响应或以错误数据作出响应时检测协议错误。发送器设备11可以决定通过电路111修改串行时钟信号CKS，以复位协议状态机PSM并重新开始与接收模块(即eUICC 12)的通信。

作为接收器设备的eUICC 12被电路121配置为如果在由发送器11提供的所检测的串行时钟信号CKS的参数中检测到超出先验地建立的阈值或容限的任何变化，则生成发送器-接收器协议状态机PSM的复位信号，即执行从错误状态到复位状态的所述转变。

串行时钟变化也可以用于向eUICC发送简单的命令或指令，即与复位设备的需求无关的命令，也可以在其耦合连接的具有伴随的时钟的不同串行接口(例如ISO)上进行发送。

因此，通常，在与集成电路卡12、特别是eUICC 12的串行通信中恢复错误状态E的方法，其中串行通信协议包括当所述集成电路卡12接收到复位命令时从错误状态E到复位状态R的转变，其可以包括在串行通信接口12a上进行操作，该串行通信接口至少包括将发送器设备11和所述集成电路卡12耦合的数据线，即，时钟信号线可以不存在。因此，该方法通常包括：在检测到错误状态E时，在发送器设备11处将复位信号嵌入在通过所述时钟信号接口发送至集成电路卡12的信号中，该信号可以优选地是时钟信号，但也可以是数据信号。复位信号可以是接口上的时钟信号的直接变化，它成为eUICC 12处的参考内部时钟信号。因此，在集成卡12处检查所述复位信号的存在可以通过直接检查接收到的时钟信号CKS中的参数变化或从输入的时钟信号CKS导出的集成电路卡的时钟信号中的参数变化来实现，然后在集成电路卡处检查到所述复位信号的存在时，执行从错误状态E到复位状态R的所述转变。

在图6中，示出了用附图标记200表示的在与集成电路卡、特别是eUICC的串行通信中恢复错误状态的方法的可能实施方式的流程图，其中，串行通信协议如图1所示包括在所述集成电路卡接收到复位命令时从错误状态E到复位状态R的转变，串行通信包括在串行通信接口上进行操作，如图2或图5所示，该串行通信接口至少包括将这样的发送器设备11和集成电路卡12耦合的数据线(例如如图3所示的SPI中的SMI或SMO)以及串行时钟信号线(例如SCK)。

用210指示特别是在发送器11处，通过其处理单元运行串行接口协议来检测错误状态E的操作。

用220指示如果在操作210检测到错误状态E，则在发送器设备11处将复位信号RS嵌入到串行时钟信号CKS中的操作，该串行时钟信号CKS在所述串行时钟信号线CKS上发送到集成电路卡12，所述复位信号RS由时钟信号SCK的参数的变化VC表示，即优选地是占空比变化或频率时钟变化。

随后在步骤225中，发送器11进入复位状态。

用230指示检查CC在集成电路卡12处时钟信号SCK的参数的所述变化VC的存在的操作，在检查到所述变化VC的存在时，在步骤235中eUICC 12也进入复位状态R，因此由发送器11和eUICC 12表示的串行接口协议执行从错误状态E到复位状态R的所述转变。

因此，本文公开的解决方案相对于已知解决方案具有明显的优点。

要强调的是，尽管在流程图中，关于发送器11和12进入复位状态R的操作225和235被示为后续操作，但是它们在时间上是对齐的，如图4所示，这是因为它们都进入了时钟处理状态CP，在该状态期间执行变化VC和检查CC，并然后以时间对齐的方式进入复位状态R。

刚刚描述的解决方案允许针对eUICC子系统的传输协议状态机错误恢复，在eUICC子系统处，特定的复位引脚不可用或价格太昂贵、或者无法断开和接通电源。

当然，在不损害本发明的原理的情况下，构造的细节和实施方式可以相对于仅通过举例的方式在本文中描述和示出的内容大范围地变化，而不会由此脱离由所附权利要求所定义的本发明的范围。