CN118332620A - 安全元件中的个性化数据的改变和恢复 - Google Patents
安全元件中的个性化数据的改变和恢复 Download PDFInfo
- Publication number
- CN118332620A CN118332620A CN202410042049.7A CN202410042049A CN118332620A CN 118332620 A CN118332620 A CN 118332620A CN 202410042049 A CN202410042049 A CN 202410042049A CN 118332620 A CN118332620 A CN 118332620A
- Authority
- CN
- China
- Prior art keywords
- software
- data
- update agent
- personalization data
- secure element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000008859 change Effects 0.000 title description 5
- 238000011084 recovery Methods 0.000 title description 4
- 238000000034 method Methods 0.000 claims abstract description 29
- 238000004590 computer program Methods 0.000 claims abstract description 11
- 238000004519 manufacturing process Methods 0.000 claims description 39
- 230000007246 mechanism Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 description 7
- 230000001419 dependent effect Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
在第一方面,本发明涉及一种用于改变和恢复安全元件(100)中的可信软件(60a)的个性化数据(65a)的方法,并且特别地涉及改变和恢复例如安全元件(100)中的操作系统(30a)的多样化数据(35a)。该方法包括以下步骤:在安全元件(100)中提供(S1)更新代理(10);将个性化数据(35a;65a)存储(S2)在所安装的软件(60a,30a)中;执行完全重新刷新(S3)以恢复或更新软件或操作系统,包括以下步骤:在随后的步骤(S3b)中将软件映像(30b;60b)恢复或加载到所述安全元件(100)中之前,首先将个性化数据(35a;65a)固定(S3a)到所述更新代理(10)的存储器(12)。该方法包括作为最终步骤(S4),通过在完全重新刷新(S3)的第一步骤(S3a)期间保全的个性化数据(65b、35b)来个性化软件映像(30b、60b)。根据另外的方面,本发明涉及相应的安全元件(100)、更新代理(10)和计算机程序产品。
Description
技术领域
本发明涉及改变和恢复安全元件中的可信软件的个性化数据,并且特别地涉及改变和恢复例如安全元件的操作系统的多样化数据。
背景技术
安全元件广泛用于各种系统中,诸如移动电话、智能卡、支付卡和访问卡,以提供识别、认证、数据存储和应用处理。例如,在智能卡包含安全关键应用和敏感数据的情况下,诸如在支付卡等的情况下,使用安全元件来存储数据。
安全元件是防篡改元件TRE,其提供安全存储器和执行环境,其中可以安全地存储和管理应用代码和应用数据。安全元件确保仅在被授权时才提供对存储在卡上的数据的访问。此类安全元件可以任何形状因子存在,诸如UICC、嵌入式SE、smartSD、智能microSD、eSIM等。
安全元件包括操作系统、应用和个性化数据,后者包括操作操作系统和应用所需的密钥和/或证书。操作系统、应用程序和个性化数据被存储在安全元件内的易失性和非易失性存储器模块中,并且在安全元件的安全处理器中执行。
规范Global Platform Card Technology Open Firmware Loader for TamperResistant Elements v1.3描述了用于将固件(即,可以包含操作系统和应用数据的用例相关数据)和个性化数据加载到安全元件中的标准化机制。特别地,在安全元件内部提供的更新代理(例如,映像可信加载器ITL)被配置为接收操作系统映像,并且使用个性化数据对映像执行安全检查,触发将映像内容安装到安全元件的存储器中,并且操作映像,以便在安全元件中安装可操作的操作系统。
图1示出了在生产阶段期间将包括更新代理的固件(例如,操作系统OS)加载到安全元件中的过程的示意图。上行示出了负责对应阶段(I、II、III、IV)的实体,而下行示出了在该阶段中的安全元件(即,芯片)的内容。在芯片生产站点(即,芯片工厂)处的第一生产阶段I期间,芯片制造商提供要加载有可信软件(诸如安全操作系统或更新代理)的安全元件100。此外,可信软件利用个性化数据35a(安全凭证)进行个性化,个性化数据35a(安全凭证)在个性化时被存储在个性化软件映像中,例如,个性化操作系统映像,在图1中被称为“maxiInit”。可信软件或OS由特定命令(所谓的APDU)个性化,该特定命令从芯片生产站点处的外部个性化设备发送到安全元件。个性化软件最终被加载到芯片内。
然后,具有其个性化软件的芯片在设备制造商的站点处被嵌入在便携式卡状设备(诸如(e)UICC或(e)SIM)中(阶段II),或者可以被递送到另一设备制造商的站点以被包括在电子终端设备(诸如智能电话、计算机、汽车、测量设备等)中(阶段III),并且最终被发布到市场(阶段IV)。
通过遵循上述过程,个性化数据和个性化软件映像在芯片工厂被加载到芯片中(阶段I),因为出于安全原因,个性化数据(诸如密钥和证书)必须在芯片生产期间被加载到认证环境中。因此,当执行更新代理“完全重新刷新”时,所有个性化数据35a被删除并且不能被恢复,至少没有达到它没有被保存在个性化软件映像(特别是所谓的MaxiInit)中或安全元件的单独的、特别受保全的存储器中的程度。
为了能够在完全重新刷新之后恢复未存储在软件/OS映像中的个性化数据,在生产过程(阶段I)期间将个性化数据保全在更新代理的数据存储器区域中。然而,问题是以这种方式保全的个性化数据在芯片生产(阶段I)之后不能改变。特别地,例如在安全漏洞之后,无法改变和恢复以这种方式保全的个性化数据。
因此,需要一种改变和恢复个性化数据以克服上述缺点。
发明内容
本发明通过独立权利要求所涵盖的主题来解决上述目的。本发明的优选实施例在从属权利要求中限定。优选实施例有助于进一步改进本发明提出的解决方案。
根据本发明的第一方面,提供了一种用于在安全元件中在完全重新刷新期间改变和恢复安装的软件的个性化数据(特别是操作系统的个性化数据)的方法。该方法包括在第一步骤中在安全元件中提供更新代理。在进一步的步骤中,个性化数据被存储在所安装的软件中。也就是说,个性化数据被集成在安全元件中的安装的软件内,使得个性化数据与安装的软件形成一个整体单元。完全重新刷新包括两个步骤:首先将个性化数据从安装的的软件保全到更新代理的存储器,并且此后,在完全重新刷新的第二步骤中,将软件映像加载到安全元件中。这里,软件映像优选地表示安装的软件的更新版本。在最后的步骤中,在已经执行了完全重新刷新之后,使用在更新代理的存储器中保全的个性化数据来个性化软件映像。
在本发明的上下文中,表述“个性化数据”指定用于在安全元件中个性化软件的数据,并且出于安全原因,(通常地)加载在认证环境中。个性化数据对于每个安全元件是不同的,并且包括安全凭证,其包括密钥和证书。个性化数据是应用程序管理、操作安装的软件、对软件映像执行安全检查(特别是认证和完整性检查)以及在安全元件上安装软件映像以使得其可以被执行所需的。
在整个本申请中,术语“软件”是指要在安全元件中加载和执行的任何可信软件。这种软件的示例包括固件、操作系统(OS)和任何其他依赖于用例的安全应用。表述“软件映像”(或“OS映像”)是指封装要由操作系统或SE的代理(诸如根据本发明的更新代理)使用的软件版本和密码数据的通用数据格式。
更新代理“完全重新刷新”是指在软件映像上传之前或内在地在软件映像上传期间从芯片的用户存储器区域中完全删除所有安装的软件(特别是安装的操作系统)以及所有个性化数据的过程。在软件更新时需要这种删除,因为ROM更新是不可能的。
在完全重新刷新期间,用户存储器区域中的所有软件和个性化数据都被删除/重写。因此,通常不可能在认证环境外部更新安全元件的安装的软件,因为用于个性化并使软件映像可操作的个性化数据在认证环境外部不可用。原则上,这可以通过在安全元件的生产阶段I期间保全认证环境中的更新代理的存储器中的个性化数据来克服。在已经执行了完全重新刷新之后,个性化数据然后可以从更新代理的存储器中恢复并且用于个性化软件映像。
然而,安装的软件可能在生产阶段I之后进一步个性化。例如,服务提供商信任的服务管理器SP-TSM可以进一步利用个性化数据对软件进行个性化,以定制安全元件或解决安全漏洞。在这种情况下,在生产阶段I期间使用在更新代理的存储器中保全的个性化数据来恢复个性化数据是不可能的,或者将仅恢复个性化数据的过时版本。
因此,本发明的一个关键特征是,在完全重新刷新开始时,将个性化数据从安装的软件保全到更新代理的存储器,以在完成完全重新刷新之后重新使用以个性化恢复/更新的软件映像。这样,本发明提供了一种安全且有效的方式来改变个性化数据并保全其在完全重新刷新期间不被过时的个性化数据删除和/或重写。
此外,由于对更新代理的存储器的写入只能在整个页面的基础上进行,因此本发明有助于节省更新代理的存储器中的空间。根据本发明,个性化数据在完全重新刷新开始时在一个单个操作中被保存。相反,这通常在生产阶段I期间通过每次个性化数据改变时的单独写入操作来完成。
在本发明的一些实施例中,存储、保全和用于个性化所加载的软件映像的个性化数据包括多样化数据。
在本发明的上下文中,表述“多样化数据”是指存储在安装的软件/OS中但不存储在个性化软件/OS映像(MaxiInit)中的个性化数据的子集。也就是说,多样化数据被集成在安全元件中的所安装的软件/OS内,个性化数据被集成在个性化软件/OS映像(MaxiInit)内,但是不被集成在个性化软件/OS映像(MaxiInit)内。多样化数据尤其可以包括高级加密标准(AES)密钥、EID号和/或证书。
本发明特别地与多样化数据相关,因为当所安装的软件是操作系统时,这样的数据不被存储在相应的软件映像中,特别地不被存储在MaxiInit中。
在本发明的一些实施例中,个性化数据被存储在安装的软件中,即,个性化数据再次被集成在安全元件中的安装的软件内,使得个性化数据与安装的软件形成整体单元和/或个性化数据在安全元件的生产阶段I之后的阶段(II、III、IV)中由更新代理保全。
当在安全元件的生产阶段之后进一步个性化安装的软件时,例如以定制安全元件或解决安全漏洞,和/或当在生产阶段之后执行完全重新刷新以更新或恢复安装的软件时,本发明是特别相关的。
在本发明的一些实施例中,个性化数据与安装的软件一起存储在安全元件的存储区域中,特别是存储安装的和/或可执行的软件的存储区域,诸如安全元件的非易失性存储器。
在本发明的一些实施例中,通过将个性化数据从安全元件的存储器区域重用和/或复制到更新代理的存储器来保全个性化数据。优选地,个性化数据存储在更新代理的特定存储器或存储器结构中,诸如非易失性存储器的专用和安全段,更新代理对其具有独占访问。
在本发明的一些实施例中,通过在加载软件映像之前或由于将软件映像加载到存储器区域中而删除安全元件的存储器区域,所安装的软件与个性化数据一起被删除。具体地讲,在所安装的软件是安全元件的操作系统的情况下,取消完整的操作系统包括取消所有个性化数据,包括证书、密钥、安全凭证等。
在本发明的一些实施例中,通过在安全元件的生产阶段期间将更新代理加载到安全元件中来提供更新代理。
根据本发明的第二方面,提供了一种安全元件,其包括安装的软件,特别是操作系统,以及包括存储器的更新代理。这里,所安装的软件被配置用于存储操作所安装的软件所需的个性化数据。更新代理被配置用于执行完全重新刷新,其包括两个步骤:首先将个性化数据从安装的软件保全到更新代理的存储器,然后将软件映像加载到安全元件中。这里,软件映像优选地表示安装的软件的更新版本。在完成完全重新刷新之后的步骤中,更新代理还被配置为使用在完全重新刷新开始时保全的个性化数据来个性化软件映像。
在本发明的一些实施例中,安全元件被配置为存储在安装的软件中,以保全在更新代理的存储器中,并且通过个性化数据来个性化软件映像,个性化数据包括多样化数据,优选地是AES密钥、EID和/或证书。
在本发明的一些实施例中,安全元件被配置为将个性化数据与安装的软件一起存储在SE的存储器区域中,并且通过将个性化数据从SE的存储器区域重用和/或复制到更新代理的存储器来保全个性化数据。
根据本发明的第三方面,提供了一种用于在安全元件中使用的更新代理。更新代理包括存储器并且被配置用于执行完全重新刷新,其包括两个步骤:首先将个性化数据从安装的软件保全到更新代理的存储器,然后将软件映像加载到安全元件中。这里,软件映像优选地表示安装的软件的更新版本。更新代理还被配置为在完成完全重新刷新之后的步骤中使用在完全重新刷新开始时所保全的个性化数据来个性化软件映像。
在本发明的一些实施例中,更新代理被配置为保全在更新代理的存储器中,并且通过个性化数据来个性化软件映像,个性化数据包括多样化数据,优选地是AES密钥、EID和/或证书。
在本发明的一些实施例中,更新代理被配置用于在生产阶段I之后的阶段(II、III、IV)中执行完全重新刷新并且用于通过所保全的个性化数据对软件映像进行个性化。
在本发明的一些实施例中,更新代理被配置为执行根据本发明的第一方面的方法和/或被实现为可执行软件产品,该可执行软件产品被配置为安装在根据本发明的第二方面的安全元件上并由安全元件的处理器执行。
根据本发明的又一方面,提供了一种用于与根据本发明的第二方面的安全元件结合使用的计算机程序,该计算机程序在其中嵌入有或可以嵌入有安全元件的电子设备中。计算机程序产品包括非暂时性计算机可读存储介质和嵌入其中的计算机程序机制。该计算机程序机制包括用于执行完全重新刷新的指令,该完全重新刷新包括用于将个性化数据从安装的软件保全到更新代理的存储器的指令以及用于将软件映像加载到安全元件中的指令,其中软件映像优选地表示安装的软件的更新版本。此外,计算机程序机制包括用于通过保全的个性化数据对软件映像进行个性化的指令。
必须注意,本申请中描述的所有设备、元件、单元和装置可以以软件或硬件元件或其组合来实现。由本申请中描述的各种实体执行的所有步骤以及所描述的功能旨在表示相应的实体适于或被配置为执行相应的步骤和功能。
在结合附图阅读本发明的优选实施例和变型的以下详细描述后,本发明的其他方面、特征和优点对于本领域普通技术人员而言将变得显而易见。
附图说明
现在将参考附图,其中
图1示出了安全元件的生产流程的示意性表示;
图2a示出了根据本发明第一优选实施例的安全元件的结构;
图2b示出了根据本发明第二优选实施例的安全元件的结构;
图3示出了说明根据本发明的方法的流程图。
具体实施方式
下面参考附图给出本发明的详细说明,附图示出了本发明的具体实施例示例。足够详细地描述这些实施例以使本领域技术人员能够实践本发明。应当理解,本发明的各种实施例虽然不同,但不一定是相互排斥的。例如,在不脱离本发明范围的情况下,本文结合一个实施例描述的特定特征、结构或特性可以在其他实施例中实现。另外,应当理解,在不脱离本发明范围的情况下,可以修改每个公开的实施例内的各个元件的位置或布置。因此,以下详细描述不应被视为具有限制意义,并且本发明的范围仅由适当解释的所附权利要求以及权利要求所赋予的等同物的全部范围来限定。在附图中,贯穿若干视图,相同的附图标记指代相同或相似的功能。
图2a和2b更详细地示出了根据两个优选实施例的安全元件SE 100的结构。图3结合图2a和2b示出了根据本发明的方法的步骤。
图2a中所示的SE 100是防篡改元件TRE,其包含更新代理10、操作系统OS 30和处理器CPU 40。更新代理10和OS 30都可以存储在SE 100的存储器(诸如非易失性存储器50)中。OS 30和更新代理10是可以通过适当的接口(例如通过应用编程接口API)彼此通信的独立实体。存储器50是SE 100的非易失性存储器,其包括存储软件的存储区域55,该存储区域55安装在SE 100上并且可由CPU 40执行。这种安装的软件可以是由图2a中的附图标记60a标识的可执行应用或程序,其向安全元件提供特定功能,或者甚至可以是由图2b中的附图标记30a标识的安全元件100的操作系统,其在本上下文中也是安装的软件。图2b的OS 30a和图2a的OS 30都是例如基于Java卡平台的安全元件或智能卡的标准操作系统。它们是等同的,并且图2a和2b之间的差异在于,图2a的OS 30在图2b中经历在生产阶段I之后的阶段II、III、IV中的个性化数据(例如多样化数据)的改变,并且然后例如由于操作系统30更新和/或恢复而经历完全重新刷新。
更新代理10可以是操作系统30或加载器实体的功能部分或实现为操作系统30或加载器实体的功能,其允许在SE 100内提供软件(例如,依赖于用例的固件)。这样的加载器实体在本领域中也被称为映像可信加载器ITL。更新代理是负责将软件或软件映像加载到安全元件中以及与其相关的任何其他过程(诸如更新、恢复、回滚等)的主要实体。在图2a和2b中,要加载到SE 100上的软件映像分别由标识任意软件映像的附图标记60b和标识操作系统映像的附图标记30b表示。无论更新代理10被实现为独立实体还是操作系统30的功能部分,更新代理10都在工厂生产期间也被加载到SE 100上(参见图1的阶段I),因为它反映了SE 100的安全关键实体。
更新代理10可以以存储器结构12的形式包含其自己的预留存储器空间,以在其上存储敏感数据,例如个性化数据和/或认证数据,后者用于在软件映像30b、60b被个性化之前对其进行认证和/或解密。在个性化过程的某个时刻,更新代理10的存储器结构12因此可以包含个性化数据35b、65b,并且操作系统30可以访问存储器结构12的至少一部分。
根据图2a,可执行软件60a以个性化方式安装在SE 100上。因此,安装的软件60a具有与其相关联的个性化数据65a,包括例如多样化数据,诸如AES密钥、EID、证书和/或包括凭证和/或加密密钥的特定数据,其允许由SEI-TSM和/或由SP-TSM进行(联合)应用管理,并且确保安装的软件是认证的、可信的和未篡改的软件。
安装的软件60a和个性化数据65a一起存储在SE 100的存储区域55中。在存储区域55内,安装的软件60a和相应的个性化数据65a可以以交织的方式存储,以在SE 100的存储区域55中形成整体单元,因为在安装时,软件60a以各种方式配备或丰富个性化数据65a。在SE 100的工厂生产期间(图1的阶段I),软件60a可能已经被个性化并安装在SE 100上,因为个性化是传统上在SE 100的制造商的生产站点的认证环境内执行的安全关键操作。图2b与图2a的不同之处在于,它涉及安装的软件实际上是SE 100本身的操作系统30a的情况,其具有与其附接的个体个性化数据35a。由于上述原因,操作系统30a在SE 100的工厂生产期间被个性化并安装在SE 100上(参见图1的阶段I)。
然而,在生产阶段I之后,安装的软件60a/OS30a也可能已经被(进一步)个性化。例如,SP-TSM可能已经用个性化数据/多样化数据对软件进行个性化,以进一步定制SE 100或解决安全漏洞,或者SP-TSM可能已经对新安装的小应用程序进行个性化。
为了能够在生产阶段I之后的阶段II、III、IV中更新和/或恢复安装的软件60a、30a,个性化数据65a、35a可以被保全到更新代理10的存储器12。保全个性化数据通常在生产阶段I期间在经认证的环境内发生,其中个性化数据65a、35a在每次个性化数据65a、35a在生产阶段I期间改变时被保全。
当安全元件100在生产阶段I之后进行到阶段II、III、IV时(参见图1),安全数据35b、65b通常以SE 100离开生产阶段I时的状态保存。因此,更新代理10在生产阶段I结束时停止保全个性化数据65a、35a。然而,这造成了以下问题:例如,在需要完全重新刷新的更新或恢复之后,不能恢复对个性化数据65a、35a的后续改变,尤其是多样化数据。
图3示出了根据本发明的一个实施例的用于在完全重新刷新之后改变和恢复个性化数据35a、65a的方法的主要步骤。参考图2a和图2b中所示的安全元件100并且为了方便起见参考安装的操作系统30a的多样化数据35a来详细描述该方法的步骤。
如下文所述,根据本发明的方法不限于任何软件或软件映像的多样化数据。事实上,可以存储在安装在安全元件100上并由安全元件100执行的安全软件中的任何个性化数据可以经历如本文所公开的用于改变和恢复个性化数据的方法,例如存储在SE 100的固件或OS中或小应用程序/应用程序中的个性化数据。
参考图3,在初始芯片生产阶段I期间在认证环境内执行的第一步骤S1中,更新代理10被加载到SE 100上。更新代理10反映在工厂生产期间加载到SE 100上的SE 100的安全关键实体。
在第二步骤S2(包括步骤S2a至S2c)中,利用多样化数据35a对OS 30a进行个性化,多样化数据35a例如包括AES密钥、EID和证书。第二步骤S2可以在生产阶段I期间在经认证的环境内发生。第二步骤S2也可以在生产阶段之后的后续阶段II、III、IV中发生,例如当SP-TSM用多样化数据35a个性化OS 30a以进一步定制OS 30a/SE 100或解决安全漏洞时。在步骤S2中,多样化数据35a与操作系统35a一起存储在存储区域55中。在一个实施例中,该多样化数据35a或其子集也可以被保全到更新代理10的存储器12。在一个实施例中,可进一步创建定义多样化数据35a的子集的记录。
第三和第四步骤S3、S4示出了在生产阶段I(参见图1)之后的阶段II、或III、或IV中需要完全重新刷新的操作系统30a的实际恢复/更新。
在完全重新刷新的第一步骤S3a中,多样化数据35a被保全到更新代理10的存储器12。在一个实施例中,可以仅保全多样化数据35a的预定义子集,例如,对应于由在先前步骤S2中创建的记录定义的子集。仅在随后的步骤S3b中,将操作系统映像(即,MaxiInit,30b)从外部映像服务器200恢复或加载到SE 100的存储区域55中。或者在加载图像之前,或者本质上在加载图像的同时,多样化数据35a与安装的操作系统30a一起从存储区域55中完全删除。因此,一旦操作系统映像30b被加载到SE 100的存储器区域55中,多样化数据35a就不再可用。此时,安全元件100通常会变得无用或过时,因为任何操作系统映像30b都需要使用最新版本的多样化数据来个性化。这通常在生产阶段I的认证环境之外是不可能的,或者需要使用在生产阶段I期间保全的多样化数据来完成。
在最终步骤S4中,更新代理10因此使用在完全重新刷新的第一步骤S3a期间在存储器12中保全的多样化数据35b来个性化加载的操作系统映像30b。多样化数据35b表示在完全重新刷新的第二步骤S3b中删除存储器55之前就已经保全的多样化数据35a的副本。因此,当在完成完全重新刷新之后在步骤S4中对操作系统映像30b进行个性化时,即使多样化数据35a在生产阶段I之后的阶段II、III、IV中被改变,更新代理10也恢复最新/当前有效的多样化数据35b。通过恢复多样化数据,可使用最新/当前有效的多样化数据35b使操作系统映像30b可操作,而不管多样化数据35a的最后改变发生的阶段。
此外,由于操作系统30a与更新代理12的存储器12(例如,映像可信加载器ITL)的通信是有限的(操作系统30a只能从/向更新代理的存储器12读取/写入一个整页),因此所描述的方法使得能够更好地管理更新代理10的存储器12。
在前述说明书中,已经参考本发明的具体实施例描述了本发明。然而,显而易见的是,在不脱离本发明的更宽范围的情况下,可以对其进行各种修改和改变。例如,参考处理动作的特定顺序来描述上述处理流程。然而,在不影响本发明的范围或操作的情况下,可以改变许多所描述的过程动作的顺序。因此,说明书和附图应被认为是说明性的而不是限制性的。
Claims (13)
1.一种用于在安全元件SE(100)中在完全重新刷新期间改变和恢复所安装的软件(60a)的个性化数据(35a,65a),特别是操作系统OS(30a)的个性化数据(35a)的方法,所述方法包括:
-在所述SE(100)中提供(S1)更新代理(10);
-将个性化数据(35a、65a)存储(S2)在所安装的软件(30a、60a)中;
-执行(S3)完全重新刷新,包括:
-将所述个性化数据(35a、65a)从所述所安装的软件(30a、60a)保全(S3a)到所述更新代理(10)的存储器(12),以及
-将软件映像(30b、60b)加载(S3b)到所述安全元件(100)中,其中,所述软件映像(30b、60b)优选地表示所安装的软件(30a、60a)的更新版本;以及
-通过在所述更新代理(10)的所述存储器(12)中保全的所述个性化数据(35b、65b)来个性化(S4)所述软件映像(30b、60b)。
2.根据权利要求1所述的方法,其中存储(S2)个性化数据(35a、65a),并且保全(S3a)个性化数据(35b、65b)包括所安装的软件(30a;60a)的多样化数据的个性化数据(35b、65b)。
3.根据前述权利要求中任一项所述的方法,其中,在所述安全元件(100)的生产阶段(I)之后的阶段(II、III、IV)中,所述个性化数据(35a;65a)被存储(S2)在所安装的软件(30a;60a)中和/或由所述更新代理(10)保全(S3a)。
4.根据前述权利要求中任一项所述的方法,其中,所述个性化数据(35a;65a)与所安装的软件(30a;60a)一起被存储(S2)在所述SE(100)的存储器区域(55)中,并且其中,所述个性化数据(35a;65a)通过将所述个性化数据(35a;65a)从所述安全元件(100)的所述存储器区域(55)重用和/或复制到所述更新代理(10)的存储器(12)而被保全(S3a)。
5.根据前述权利要求中任一项所述的方法,其中,通过在加载(S3b)所述软件映像(30b;60b)之前或者由于将所述软件映像(30b;60b)加载(S3b)到所述存储器区域(55)中而删除所述SE(100)的所述存储器区域(55),所安装的软件(30a;60a)与所述个性化数据(35a;65a)一起被删除。
6.一种安全元件(100),包括所安装的软件(60a),特别是操作系统(30a),以及更新代理(10),所述更新代理(10)包括存储器(12),所述所安装的软件(30a;60a)被配置成用于存储(S2)操作所述所安装的软件(30a;60a)所需的个性化数据(35a;65a),并且所述更新代理(10)被配置成:
-用于执行完全重新刷新(S3),所述完全重新刷新(S3)包括:
-将个性化数据(35a;65a)从所安装的软件(30a;60a)保全(S3a)到所述更新代理(10)的所述存储器(12),以及
-将软件映像(30b、60b)加载(S3b)到所述SE(100)中,其中,所述软件映像(30b、60b)优选地表示所安装的软件(30a、60a)的更新版本;以及
-用于通过所保全的个性化数据(35b、65b)对所述软件映像(30b、60b)进行个性化(S4)。
7.根据权利要求6所述的安全元件(100),其中,要存储(S2)的所述个性化数据(35a、65a)和要保全(S3a)的所述个性化数据(35b、65b)包括所安装的软件(30a;60a)的多样化数据。
8.根据权利要求6和7中任一项所述的安全元件(100),其中所述个性化数据(35a;65a)与所安装的软件(30a;60a)一起被存储(S2)在所述SE(100)的存储器区域(55)中,并且其中所述个性化数据(35a;65a)通过将所述个性化数据(35a;65a)从所述SE(100)的所述存储器区域(55)重用和/或复制到所述更新代理(10)的存储器(12)而被保全(S3a)。
9.一种用于在安全元件(100)中使用的更新代理(10),所述更新代理(10)包括存储器(12)并且被配置为:
-用于执行完全重新刷新(S3),所述完全重新刷新(S3)包括:
-将个性化数据(35a;65a)从所安装的软件(30a;60a)保全(S3a)到所述更新代理(10)的所述存储器(12),以及
-将软件映像(30b、60b)加载(S3b)到所述SE(100)中,其中,所述软件映像(30b、60b)优选地表示所安装的软件(30a、60a)的更新版本;以及
-用于通过所保全的个性化数据(35b、65b)对所述软件映像(30b、60b)进行个性化(S4)。
10.根据权利要求9所述的更新代理(10),其中,所述个性化数据(35a、65a、35b、65b)包括所安装的软件(30a;60a)的多样化数据。
11.根据权利要求9和10中任一项所述的更新代理(10),其中,所述更新代理(10)被配置用于在所述生产阶段(I)之后的阶段(II、III、IV)中执行完全重新刷新(S3)并且用于通过所述所保全的个性化数据(35b、65b)对所述软件映像(30b、60b)进行个性化(S4)。
12.根据权利要求9至11中任一项所述的更新代理(10),其中,所述更新代理(10)被配置为执行根据权利要求1至5中任一项所述的方法和/或被实现为可执行软件产品,所述可执行软件产品被配置为安装在根据权利要求6至8中任一项所述的安全元件(100)上并且由所述安全元件(100)的处理器(40)执行。
13.一种与电子设备中的安全元件(100)结合使用的计算机程序产品,所述计算机程序产品包括非暂时性计算机可读存储介质和嵌入其中的计算机程序机制,所述计算机程序机制包括
-用于执行完全重新刷新(S3)的指令,包括:
-用于将个性化数据(35a;65a)从所安装的软件(30a;60a)保全(S3a)到所述更新代理(10)的所述存储器(12)的指令,以及
-用于将软件映像(30b、60b)加载(S3b)到所述SE(100)中的指令,其中,所述软件映像(30b、60b)优选地表示所安装的软件(30a、60a)的更新版本;以及
-用于通过所述所保全的个性化数据(35b、65b)对所述软件映像(30b、60b)进行个性化(S4)的指令。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP23382020.8 | 2023-01-12 | ||
| EP23382020.8A EP4400964A1 (en) | 2023-01-12 | 2023-01-12 | Change and recovery of personalization data in a secure element |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118332620A true CN118332620A (zh) | 2024-07-12 |
Family
ID=84981171
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410042049.7A Pending CN118332620A (zh) | 2023-01-12 | 2024-01-11 | 安全元件中的个性化数据的改变和恢复 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20240241959A1 (zh) |
| EP (1) | EP4400964A1 (zh) |
| CN (1) | CN118332620A (zh) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2887213A1 (en) * | 2013-12-19 | 2015-06-24 | Gemalto SA | Method for transferring applicative data between two instances of an application |
| US9436455B2 (en) * | 2014-01-06 | 2016-09-06 | Apple Inc. | Logging operating system updates of a secure element of an electronic device |
| JP2017531873A (ja) * | 2014-10-10 | 2017-10-26 | ビザ インターナショナル サービス アソシエーション | モバイルアプリケーションの更新中に部分パーソナライゼーションを行うための方法とシステム |
-
2023
- 2023-01-12 EP EP23382020.8A patent/EP4400964A1/en active Pending
-
2024
- 2024-01-11 CN CN202410042049.7A patent/CN118332620A/zh active Pending
- 2024-01-12 US US18/411,563 patent/US20240241959A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20240241959A1 (en) | 2024-07-18 |
| EP4400964A1 (en) | 2024-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20050085222A1 (en) | Software updating process for mobile devices | |
| US6754828B1 (en) | Algorithm for non-volatile memory updates | |
| US10521589B2 (en) | Systems, methods, and computer program products for managing data re-installation | |
| KR102036411B1 (ko) | 보안 엘리먼트의 비휘발성 메모리 내로의 데이터의 로딩의 보안화 | |
| US9390259B2 (en) | Method for activating an operating system in a security module | |
| CN113672878B (zh) | 防止回滚攻击的系统及方法 | |
| CN107678762B (zh) | 一种系统版本升级方法及装置 | |
| CN112613011B (zh) | U盘系统认证方法、装置、电子设备及存储介质 | |
| US10809930B2 (en) | Configuring an embedded subscriber identity module | |
| CN118332620A (zh) | 安全元件中的个性化数据的改变和恢复 | |
| EP4124979A1 (en) | Software update in a security element | |
| KR20230019032A (ko) | 사전 개인화된 보안 요소 및 내장된 개인화 | |
| JP2006338311A (ja) | 複数のアプリケーションを搭載したデバイスを処理するコンピュータシステム、デバイスおよびコンピュータプログラム | |
| EP4390735A1 (en) | Update agent with linear memory | |
| US20240354091A1 (en) | Update backup and failsafe rollback in secure elements | |
| EP4124958A1 (en) | Update backup and failsafe rollback in secure elements | |
| US20240289116A1 (en) | Method of updating a software installed on a secure element | |
| CN117795511A (zh) | 更新代理和更新代理中的数据预播种 | |
| US20240346147A1 (en) | Update agent with provisioning connectivity and secure element comprising the same | |
| EP4246315A1 (en) | Electronic component for electronic equipment and a method for provisioning and updating such an electronic component | |
| US20240273206A1 (en) | Personalization of a secure element | |
| JP6915437B2 (ja) | 電子情報記憶媒体、icカード、電子情報記憶媒体によるアップデート方法及びアップデートプログラム | |
| CN118036018A (zh) | 安全元件中操作系统的更新方法、相关装置及存储介质 | |
| CN118535186A (zh) | 更新安装在安全元件上的软件的方法 | |
| CN116028381A (zh) | 用于锁定可重写非易失性存储器的方法和实施所述方法的电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |