DE102011012226A1 - Verfahren zum Betrieb einer Mikroprozessoreinheit, insbesondere in einem mobilen Endgerät - Google Patents

Verfahren zum Betrieb einer Mikroprozessoreinheit, insbesondere in einem mobilen Endgerät Download PDF

Info

Publication number
DE102011012226A1
DE102011012226A1 DE102011012226A DE102011012226A DE102011012226A1 DE 102011012226 A1 DE102011012226 A1 DE 102011012226A1 DE 102011012226 A DE102011012226 A DE 102011012226A DE 102011012226 A DE102011012226 A DE 102011012226A DE 102011012226 A1 DE102011012226 A1 DE 102011012226A1
Authority
DE
Germany
Prior art keywords
operating system
runtime environment
microprocessor unit
secure
microprocessor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102011012226A
Other languages
English (en)
Inventor
Dr. Spitz Stephan
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Trustonic Ltd
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE102011012226A priority Critical patent/DE102011012226A1/de
Priority to EP12711340.5A priority patent/EP2663946A2/de
Priority to CN2012800100634A priority patent/CN103477343A/zh
Priority to PCT/EP2012/000765 priority patent/WO2012113547A2/de
Priority to US14/001,361 priority patent/US20140007120A1/en
Priority to KR1020137024123A priority patent/KR20140027110A/ko
Publication of DE102011012226A1 publication Critical patent/DE102011012226A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/22Microcontrol or microprogram arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Telephone Function (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Betrieb einer Mikroprozessoreinheit, insbesondere in einem mobilen Endgerät, wobei die Mikroprozessoreinheit einen Mikroprozessor (MP) umfasst, auf dem eine normale Laufzeitumgebung (NZ) mit einem ersten Betriebsystem (B1) und eine gesicherte Laufzeitumgebung mit einem zweiten gesicherten Betriebssystem (B2) implementiert ist. Des Weiteren umfasst die Mikroprozessoreinheit einen RAM-Speicher (R) außerhalb der gesicherten Laufzeitumgebung (TZ), in den das erste Betriebssystems (B1) bei der Ausführung der normalen Laufzeitumgebung (NZ) geladen wird. Die Erfindung zeichnet sich dadurch aus, dass das zweite Betriebsystem (B2) eine gesicherte Version des ersten Betriebssystems (B1) ist, welche im Rahmen der Ausführung der gesicherten Laufzeitumgebung (TZ) in einen Abschnitt des RAM-Speichers geladen wird, der für die gesicherte Laufzeitumgebung vorgesehen ist.

Description

  • Die Erfindung betrifft ein Verfahren zum Betrieb einer Mikroprozessoreinheit, insbesondere in einem mobilen Endgerät, sowie eine entsprechende Mikroprozessoreinheit und ein entsprechendes mobiles Endgerät.
  • Aus dem Stand der Technik ist es bekannt, in einer Mikroprozessoreinheit eine sog. gesicherte Laufzeitumgebung zu implementieren, um in einer isolierten Umgebung sicherheitskritische Applikationen auszuführen. Unter Mikroprozessoreinheit ist dabei die Gesamtheit der zur Ausführung der Applikationen verwendeten Hardware zu verstehen, insbesondere der eigentliche Mikroprozessor sowie entsprechende Speicher, die zur Ablage von Daten verwendet werden.
  • Herkömmliche gesicherte Laufzeitumgebungen verwenden in der Regel ein Betriebssystem mit geringem Speicherbedarf, wie das aus dem Stand der Technik bekannte MobiCore®-Betriebssystem, welches in Kombination mit einer gesicherten Laufzeitumgebung in der Form der sog. ARM TrustZone® verwendet wird. Dabei wird das in der gesicherten Laufzeitumgebung verwendete Betriebssystem in einen internen RAM-Speicher innerhalb der gesicherten Laufzeitumgebung geladen. Da der interne RAM-Speicher in seiner Größe begrenzt ist, muss das in der gesicherten Laufzeitumgebung verwendete Betriebssystem eine geringe Größe aufweisen, wodurch der durch die Mikroprozessoreinheit bereitgestellte Funktionsumfang beim Ausführen der gesicherten Laufzeitumgebung gering ist. Solange an die gesicherte Laufzeitumgebung nur sicherheitskritische Aufgaben übertragen werden, ist dies umproblematisch. In bestimmten Anwendungsfällen kann es jedoch erforderlich sein, dass eine gesicherte Laufzeitumgebung auch mit größerem Funktionsumfang durch die Mikroprozessoreinheit bereitgestellt wird. Wird die Mikroprozessoreinheit beispielsweise in einem Mobiltelefon verwendet, ist es zum Schutz gegen Abhörangriffe wünschenswert, dass eine gesicherte Laufzeitumgebung bereitgestellt wird, mit der die Sprachanruf-Funktionalität des Mobiltelefon ermöglicht wird. Dies kann durch derzeitige, in gesicherten Laufzeitumgebungen verwendete Betriebssysteme nicht erreicht werden.
  • Aufgabe der Erfindung ist es deshalb, eine Mikroprozessoreinheit derart zu betreiben, dass eine gesicherte Laufzeitumgebung mit größerem Funktionsumfang als im Stand der Technik bereitgestellt wird.
  • Diese Aufgabe wird durch das Verfahren gemäß Patentanspruch 1 bzw. die Mikroprozessoreinheit gemäß Patentanspruch 8 bzw. das mobile Endgerät gemäß Patentanspruch 10 gelöst. Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen definiert.
  • Das erfindungsgemäße Verfahren dient zum Betrieb einer Mikroprozessoreinheit, welche einen Mikroprozessor umfasst, auf dem eine normale Laufzeitumgebung mit einem ersten Betriebssystem und eine gesicherte Laufzeitumgebung mit einem zweiten, gesicherten Betriebssystem implementiert ist. Die Mikroprozessoreinheit beinhaltet dabei ferner einen RAM-Speicher außerhalb der gesicherten Laufzeitumgebung, in den das erste Betriebssystem bei der Ausführung der normalen Laufzeitumgebung geladen wird. Das erste Betriebssystem ist insbesondere ein an sich bekanntes Betriebssystem für eine Mikroprozessoreinheit, z. B. ein Mobiltelefon-Betriebssystem, falls die Mikroprozessoreinheit für ein Mobiltelefon genutzt wird. Beispiele solcher Mobiltelefon-Betriebssysteme sind Android oder Symbian, welche für Smart Phones verwendet werden und einen großen Funktionsumfang bereitstellen.
  • Das erfindungsgemäße Verfahren zeichnet sich dadurch aus, dass das zweite Betriebssystem eine gesicherte Version des ersten Betriebssystems ist, welche im Rahmen der Ausführung der gesicherten Laufzeitumgebung in einen Abschnitt des RAM-Speichers geladen wird, der für die gesicherte Laufzeitumgebung vorgesehen ist. Die gesicherte Version des ersten Betriebssystems stellt dabei insbesondere ein sog. gehärtetes Betriebssystem dar. Der Begriff des „Härten” ist aus der Computertechnik hinlänglich bekannt und bezeichnet die Erhöhung der Sicherheit eines Systems, wie z. B. eines Programms oder eines Betriebssystems, indem nur bestimmte Software eingesetzt wird, die für den Betrieb des Systems notwendig ist und für welche gewährleistet ist, dass sie unter Berücksichtigung von Sicherheitsaspekten korrekt abläuft.
  • Erfindungsgemäß wird somit neben dem ursprünglichen ersten Betriebssystem ein zweites Betriebssystem verwendet, welches höheren Sicherheitsanforderungen genügt. In der Regel ist dabei der Funktionsumfang des gesicherten bzw. gehärteten Betriebssystems gegenüber dem ursprünglichen Betriebssystem reduziert, jedoch deutlich höher als der eines herkömmlichen, für eine gesicherte Laufzeitumgebung vorgesehenen Betriebssystems (wie z. B. MobiCore®), so dass auch mehr Speicher benötigt wird. Dies wird erfindungsgemäß dadurch berücksichtigt, dass das zweite gesicherte Betriebssystem in einen RAM-Speicher außerhalb der gesicherten Laufzeitumgebung geladen wird, denn dieser Speicher kann wesentlich größer als ein interner RAM-Speicher innerhalb der gesicherten Laufzeitumgebung ausgestaltet sein.
  • In einer besonders bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird das zweite Betriebssystem in einen RAM-Speicher in der Form eines OnSoC-RAM (SOC = System an a Chip) geladen. Ein OnSoC-RAM ist dabei zusammen mit den anderen Bestandteilen der Mikroprozessoreinheit monolithisch in einem Chip integriert. In einer bevorzugten Ausführungsform ist dabei der OnSoC-RAM über den an sich bekannten AMBA-Bus an den Mikroprozessor der Mikroprozessoreinheit gekoppelt (AMBA = Advanced Microcontroller Bus Architecture).
  • In einer weiteren, besonders bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird die Mikroprozessoreinheit über einen Schalter gesteuert, über den ein Benutzer zwischen der Ausführung der normalen und der gesicherten Laufzeitumgebung wechseln kann. Auf diese Weise kann durch den Benutzer festgelegt werden, in welchem Modus er die Mikroprozessoreinheit betreiben kann. Verwendet der Benutzer die Mikroprozessoreinheit bspw. in einem sicherheitskritischen Umfeld, kann er von dem ersten nicht gesicherten Betriebssystem in das zweite gesicherte Betriebssystem schalten. Das zweite Betriebssystem stellt dabei einen größeren Funktionsumfang als eine herkömmliche gesicherte Laufzeitumgebung bereit, bei der das Betriebssystem in einen internen RAM-Speicher der gesicherten Laufzeitumgebung geladen ist.
  • In einer weiteren bevorzugten Ausführungsform wird einem Benutzer über eine Anzeigeeinheit angezeigt, wenn die gesicherte Laufzeitumgebung ausgeführt wird, so dass der Benutzer immer darüber informiert ist, in welchem Modus er die Mikroprozesseinheit gerade betreibt.
  • In einer weiteren, besonders bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens ist die Mikroprozessoreinheit für ein Mobiltelefon vorgesehen und beinhaltet einen Basisband-Prozessor (auch als Base-Band-Prozessor bezeichnet) zur Verarbeitung von Kommunikationsfunktionalitäten. Um sicherzustellen, dass bestimmte Kommunikationsfunktionalitäten auch bei der Ausführung der gesicherten Laufzeitumgebung bereitgestellt werden, wird in dieser Ausführungsform ein Teil der Kommunikationsfunktionalitäten des Basisband-Prozessors im zweiten Betriebssystem implementiert. Vorzugsweise werden dabei als Kommunikationsfunktionalitäten des Basisband-Prozessors die Sprachanruf-Funktion bzw. die SMS-Funktion bzw. beide Funktionen implementiert, so dass der Benutzer zumindest Grundfunktionalitäten des Mobiltelefons nutzen kann.
  • In einer weiteren, besonders bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird die gesicherte Laufzeitumgebung basierend auf an sich bekannter Hardware in der Form einer sog. ARM TrustZone® realisiert. Im Unterschied zu herkömmlichen Verfahren wird nunmehr in der TrustZone anstatt des üblicherweise verwendeten MobiCore®-Betriebssystems ein gesichertes bzw. gehärtetes Betriebssystem verwendet, das aus einem für die normale Laufzeitumgebung vorgesehenen Betriebssystem abgeleitet ist.
  • Neben dem oben beschriebenen Verfahren betrifft die Erfindung ferner eine Mikroprozessoreinheit, insbesondere für ein mobiles Endgerät, umfassend einen Mikroprozessor, auf dem eine normale Laufzeitumgebung mit einem ersten Betriebssystem und eine gesicherte Laufzeitumgebung mit einem zweiten Betriebssystem implementiert ist, sowie einen RAM-Speicher außerhalb der gesicherten Laufzeitumgebung, in den das erste Betriebssystem bei der Ausführung der normalen Laufzeitumgebung geladen wird. Die Mikroprozessoreinheit zeichnet sich dadurch aus, dass das zweite Betriebssystem eine gesicherte bzw. gehärtete Version des ersten Betriebssystems ist und ein Abschnitt des RAM-Speichers für das zweite Betriebssystem vorgesehen ist, in den im Rahmen der Ausführung der gesicherten Laufzeitumgebung das zweite Betriebssystem geladen wird.
  • Vorzugsweise ist die Mikroprozessoreinheit derart ausgestaltet, dass eine oder mehrere der oben beschriebenen bevorzugten Varianten des erfindungsgemäßen Verfahrens auf der Mikroprozessoreinheit durchführbar sind.
  • Die Erfindung betrifft darüber hinaus ein mobiles Endgerät, insbesondere ein Mobiltelefon, welches die erfindungsgemäße Mikroprozessoreinheit bzw. eine oder mehrere bevorzugte Varianten der erfindungsgemäßen Mikroprozessoreinheit umfasst.
  • Ausführungsbeispiele der Erfindung werden nachfolgend anhand der beigefügten Figuren detailliert beschrieben.
  • Es zeigen:
  • 1 eine Realisierung einer gesicherten Laufzeitumgebung in einer Mikroprozessoreinheit gemäß dem Stand der Technik; und
  • 2 eine Realisierung einer gesicherten Laufzeitumgebung gemäß einer Ausführungsform der Erfindung.
  • Das erfindungsgemäße Verfahren wird nachfolgend basierend auf einer Mikroprozessoreinheit beschrieben, welche für ein Mobiltelefon vorgesehen wird, wobei das Verfahren jedoch auch für Mikroprozessoreinheiten in anderen mobilen Geräten eingesetzt werden kann. Die Mikroprozessoreinheit ist dabei in der Form eines sog. SoC bzw. Ein-Chip-Systems realisiert (SoC = System an a Chip), d. h. im Wesentlichen alle Komponenten der Mikroprozessoreinheit sind auf einem einzelnen IC-Chip integriert.
  • 1 zeigt den Aufbau eines Ein-Chip-Systems, in dem eine gesicherte Laufzeitumgebung in herkömmlicher Weise implementiert ist. Dabei enthält der Chip den eigentlichen Mikroprozessor MP, bei dem es sich um einen ARM-Mikroprozessor handelt, auf dem in an sich bekannter Weise eine gesicherte Laufzeitumgebung in der Form einer TrustZone realisiert ist, welche mit TZ bezeichnet ist. In 1 und auch in der weiter unten beschriebenen 2 werden dabei Bereiche mit gesicherter Laufzeitumgebung immer schraffiert wiedergegeben. Zum Betrieb der gesicherten Laufzeitumgebung TZ wird in 1 das an sich bekannte MobiCore®-Betriebssystem verwendet. In die gesicherte Laufzeitumgebung werden sicherheitskritische Funktionen verlagert, wie z. B. mobile Bezahl-Anwendungen oder andere Anwendungen, für welche ein Zugriff auf persönliche benutzerspezifische Daten erforderlich ist. Im Betrieb der TrustZone TZ wird das MobiCore® Betriebssystem in einen internen RAM-Speicher innerhalb der TrustZone geladen, der in 1 mit IR bezeichnet ist. Der Abschnitt des RAM-Speichers, der das Betriebssystem MobiCore® enthält, ist dabei mit MC bezeichnet. Das Bezugszeichen MC wird im Folgenden auch zur Bezeichnung des Betriebssystems MobiCore® verwendet.
  • Neben der gesicherten Laufzeitumgebung TZ enthält der Mikroprozessor MP ferner eine normale Laufzeitumgebung, welche in 1 mit NZ bezeichnet ist. Hier ist das herkömmliche Betriebssystem der Mikroprozessoreinheit hinterlegt, welches einen erheblich größeren Speicherbedarf als das MobiCore®-Betriebssystem hat. Dieses Betriebssystem ist in der beschriebenen Ausführungsform ein sog. richOS mit einem großen Funktionsumfang, wie es bspw. in Smart Phones eingesetzt wird. Ein Beispiel eines solchen Betriebssystems ist das Mobiltelefon-Betriebssystem Android.
  • Bei der Ausführung der normalen Laufzeitumgebung wird in der Mikroprozessoreinheit der 1 der RAM-Speicher R verwendet, der als OnSoC-RAM auf dem Chip ausgebildet ist und welcher über den an sich bekannten AMBA-Bus B an den Mikroprozessor MP angebunden ist. Das herkömmliche richOS-Betriebssystem wird dabei in diesen RAM-Speicher geladen. In 1 ist der Abschnitt des RAM-Speichers, in dem das richOS-Betriebssystem enthalten ist, mit B1 bezeichnet. Dieses Bezugszeichen wird im Folgenden auch zur Bezeichnung des richOS-Betriebssystems verwendet.
  • Die Mikroprozessoreinheit der 1 beinhaltet neben dem Mikroprozessor MP ferner einen sog. Basisband-Prozessor bzw. Base-Band-Prozessor BP, mit dem die Kommunikationsfunktionalitäten des Mobiltelefons realisiert werden. Der Basisband-Prozessor BP kommuniziert deshalb mit der SIM/USIM-Karte des Mobiltelefons sowie dem Mobilfunknetz und gegebenenfalls auch mit einem Mikrofon.
  • Um den Mikroprozessor der 1 im sicheren Modus in der TrustZone TZ zu betreiben, ist innerhalb der normalen Zone NZ ein MobiCore®-Treiber D vorgesehen, der den Wechsel in die gesicherte Laufzeitumgebung auslöst. Im Rahmen der Ausführung der gesicherten Laufzeitumgebung wird gemäß 1 lediglich der interne RAM-Speicher IR verwendet, der nur ein begrenztes Speichervolumen (Ca. 128 kB) aufweist. Demzufolge ist der Funktionsumfang des MobiCore®-Betriebssystems MC deutlich geringer als der eines richOS, welches in den OnSoC-RAM-Speicher R geladen wird, der deutlich größer ausgelegt ist und meist mehrere MByte Speichervolumen aufweist.
  • Aufgrund des geringen Funktionsumfangs von MobiCore® können an die gesicherte Laufzeitumgebung nur sicherheitskritische Aufgaben delegiert werden. Somit können beim Ausführen der gesicherten Laufzeitumgebung keine weitergehenden Funktionalitäten der Mikroprozessoreinheit genutzt werden. Dies ist nachteilhaft, denn es ist in bestimmten Szenarien wünschenswert, dass im Rahmen der Ausführung der gesicherten Laufzeitumgebung auch mehr Funktionen des herkömmlichen Betriebssystems, wie z. B. die Sprachanruf-Funktionalität, kontrolliert werden. Insbesondere sollte ein Betrieb basierend auf einer gesicherten Laufzeitumgebung bei Angriffsszenarien im Behördenumfeld, wie z. B. beim Abhören von Telefonen, möglich sein. MobiCore® kann für solche Angriffsszenerien keinen Schutz gewährleisten, da die Sprachanruf-Funktionalität beim Ausführen des MobiCore®-Betriebssystems nicht bereitgestellt ist.
  • 2 zeigt eine Ausführungsform einer erfindungsgemäßen Mikroprozessoreinheit, mit der die oben angesprochene Problematik gelöst wird. Dabei werden für Bauteile, welche Bauteilen der 1 entsprechen, die gleichen Bezugszeichen verwendet. Die Mikroprozessoreinheit der 2 umfasst analog zu 1 einen Mikroprozessor MP mit einer TrustZone TZ und einer normalen Zone NZ. Ebenso ist wiederum ein Basisband-Prozessor BP sowie der OnSoC-RAM-Speicher R vorgesehen. Im Unterschied zur Ausführungsform der 1 wird die TrustZone nunmehr nicht mehr basierend auf dem MobiCore®-Betriebssystem ausgeführt, sondern es wird hierfür eine gehärtete Variante des herkömmlichen richOS-Betriebssystems B1 verwendet. Das gehärtete Betriebssystem, welches in 2 mit B2 bezeichnet ist, weist dabei einen geringen Funktionsumfang als das Betriebssystem B1 auf, enthält nunmehr aber deutlich mehr Funktionen als das reine MobiCore®-Betriebssystem. Der Begriff des „Härteres” wurde bereits weiter oben beschrieben und betrifft die Reduktion des Funktionsumfangs eines Betriebssystems, um hierdurch dessen Sicherheit gegenüber Angriffen unbefugter Dritter zu erhöhen. Das gehärtete Betriebssystem stellt somit ein gegenüber dem ursprünglichen Betriebssystem gesichertes Betriebssystem mit reduziertem Funktionsumfang dar.
  • Gemäß der Ausführungsform der 2 wird nunmehr im Betrieb der TrustZone TZ dieses gehärtete Betriebssystem B2 verwendet, welches hierzu jedoch nicht mehr in den internen RAM-Speicher IR geladen wird, sondern in den OnSoC-RAM-Speicher R, denn der interne RAM-Speicher ist für das gehärtete Betriebssystem B2 nicht mehr ausreichend. Im gehärteten Betriebssystem sind in der Ausführungsform gemäß 2 auch bestimmte Kommunikationsfunktionalitäten des Basisband-Prozessors BP integriert, insbesondere die Sprachanruf-Funktionalität des Basisband-Prozessors BP. Dies wird durch einen schraffierten Bereich innerhalb des Basisband-Prozessors BP angedeutet. Das gehärtete Betriebssystem enthält dabei die entsprechenden Treiber für die Kommunikation über den Basisband-Prozessor BP.
  • Die Mikroprozessoreinheit gemäß 2 ermöglicht je nach Anwendungsfall die Verwendung sowohl des normalen Betriebssystems B1 als auch des gehärteten Betriebssystems B2. Beim Start bzw. Booten der Mikroprozessoreinheit wird dabei ein sog. TrustZone-Protection-Controller TP eingesetzt, der über den AMBA-Bus auf den RAM-Speicher R zugreift und so konfiguriert ist, dass ein Teil des OnSoC-RAM-Speichers R exklusiv für das Ausführen der TrustZone TZ zur Verfügung steht. Die Sicherheit des über diesen TrustZone-Protection-Controller partitionierten OnSoC-RAM-Speichers ist zwar nicht so hoch wie die des internen RAM-Speichers IR, jedoch reicht die Sicherheit zum Schutz eines kompletten gehärteten Betriebssystems aus. Über einen entsprechenden Schalter SW wird der Benutzer des Mobiltelefons ferner in die Lage versetzt, zwischen dem herkömmlichen Betriebssystem B1 und dem gehärteten Betriebssystem B2 umzuschalten. Die Mikroprozessoreinheit der 2 beinhaltet dabei auch eine Anzeigeeinheit L in der Form einer LED, wobei durch das Leuchten der LED dem Benutzer des Mobiltelefons signalisiert wird, dass er sich im gesicherten Modus befindet, in dem das gehärtete Betriebssystem ausgeführt wird.
  • Die im Vorangegangenen beschriebene Ausführungsform der Erfindung weist eine Reihe von Vorteilen auf. Insbesondere wird ein Benutzer der Mikroprozessoreinheit bzw. des entsprechenden Mobiltelefon in die Lage versetzt, zwischen zwei Betriebsarten des Mobiltelefon in einem Gerät auszuwahlen bzw. zu wechseln. Zum einen kann er das Mobiltelefon im unsicheren Modus basierend auf dem Betriebssystem B1 verwenden, wobei er dann die Möglichkeit hat, die Vorteile gängiger richOS-Betriebssysteme zu nutzen, wie z. B. das Herunterladen von Applikationen, die Nutzung von GPS zur Navigation und dergleichen. Ist dem gegenüber ein gesicherter Betrieb des Mobiltelefons erforderlich, kann der Benutzer in den sicheren Modus wechseln, in dem das Mobiltelefon mit dem gehärteten Betriebssystem B2 betrieben wird. Dabei stehen dem Benutzer nicht mehr alle Funktionalitäten des Mobiltelefon zur Verfügung, jedoch ist das Mobiltelefon gegenüber Angriffen Dritter geschützt. Im Unterschied zur Verwendung des MobiCore®-Betriebssystems gemäß 1 ist der Funktionsumfang des Telefons im sicheren Modus jedoch höher. Insbesondere wird die Sprachanruf-Funktionalität durch das Mobiltelefon weiterhin gewährleistet. Durch die Verwendung des gehärteten Betriebssystems in einer gesicherten Laufzeitumgebung kann erfindungsgemäß ein komplettes Mobiltelefon-Betriebssystem, wie z. B. das oben erwähnte Betriebssystem Android, geschützt werden. Die Erfindung eignet sich dabei insbesondere für Anwendungen (z. B. im Behördenumfeld bei Abhörangriffen), die eine höhere Sicherheit als eine Software-Virtualisierung basierend auf MobiCore® benötigen, aber nicht unbedingt zur Sicherheit einen internen RAM-Speicher verwenden müssen.

Claims (10)

  1. Verfahren zum Betrieb einer Mikroprozessoreinheit, insbesondere in einem mobilen Endgerät, wobei die Mikroprozessoreinheit einen Mikroprozessor (MP) umfasst, auf dem eine normale Laufzeitumgebung (NZ) mit einem ersten Betriebsystem (B1) und eine gesicherte Laufzeitumgebung mit einem zweiten Betriebssystem (B2) implementiert ist, sowie einen RAM-Speicher (R) außerhalb der gesicherten Laufzeitumgebung (TZ), in den das erste Betriebssystem (B1) bei der Ausführung der normalen Laufzeitumgebung (NZ) geladen wird; dadurch gekennzeichnet, dass das zweite Betriebsystem (B2) eine gesicherte Version des ersten Betriebssystems (B1) ist, welche im Rahmen der Ausführung der gesicherten Laufzeitumgebung (TZ) in einen Abschnitt des RAM-Speichers (R) geladen wird, der für die gesicherte Laufzeitumgebung (TZ) vorgesehen ist.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das zweite Betriebssystem (B2) in einen RAM-Speicher (R) in der Form eines OnSoC-RAM geladen wird, wobei der OnSoC-RAM insbesondere über einen AMBA-Bus (B) an den Mikroprozessor (MP) gekoppelt ist.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Mikroprozessoreinheit über einen Schalter (SW) gesteuert wird, über den ein Benutzer zwischen der Ausführung der normalen und der gesicherten Laufzeitumgebung (NZ, TZ) wechseln kann.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass einem Benutzer über eine Anzeigeeinheit (L) angezeigt wird, wenn die gesicherte Laufzeitumgebung (TZ) ausgeführt wird.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Mikroprozessoreinheit für ein Mobiltelefon vorgesehen ist und einen Basisband-Prozessor (BP) zur Verarbeitung von Kommunikationsfunktionalitäten beinhaltet, wobei ein Teil der Kommunikationsfunktionalitäten des Basisband-Prozessors (BP) im zweiten Betriebssystem implementiert ist.
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass als Kommunikationsfunktionalitäten des Basisband-Prozessors (BP) die Sprachanruf-Funktion und/oder die SMS-Funktion im zweiten Betriebssystem implementiert sind.
  7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die gesicherte Laufzeitumgebung (TZ) eine ARM TrustZone® ist.
  8. Mikroprozessoreinheit, insbesondere für ein mobiles Endgerät, umfassend einen Mikroprozessor (MP), auf dem eine normale Laufzeitumgebung (NZ) mit einem ersten Betriebsystem (B1) und eine gesicherte Laufzeitumgebung (TZ) mit einem zweiten Betriebssystem (B2) implementiert ist, und einen RAM-Speicher (R) außerhalb der gesicherten Laufzeitumgebung (TZ), in den das erste Betriebssystems (B1) bei der Ausführung der normalen Laufzeitumgebung (NZ) geladen wird; dadurch gekennzeichnet, dass das zweite Betriebsystem (B2) eine gesicherte Version des ersten Betriebssystems (B1) ist und ein Abschnitt des RAM-Speichers (R) für das zweite Betriebssystem (B2) vorgesehen ist, in den im Rahmen der Ausführung der gesicherten Laufzeitumgebung (TZ) das zweite Betriebssystem (B2) geladen wird.
  9. Mikroprozessoreinheit nach Anspruch 8, dadurch gekennzeichnet, dass die Mikroprozessoreinheit derart ausgestaltet ist, dass auf der Mikroprozessoreinheit ein Verfahren nach einem der Ansprüche 2 bis 7 durchführbar ist.
  10. Mobiles Endgerät, insbesondere Mobiltelefon, dadurch gekennzeichnet, dass das mobile Endgerät eine Mikroprozessreinheit nach Anspruch 8 oder 9 umfasst.
DE102011012226A 2011-02-24 2011-02-24 Verfahren zum Betrieb einer Mikroprozessoreinheit, insbesondere in einem mobilen Endgerät Withdrawn DE102011012226A1 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE102011012226A DE102011012226A1 (de) 2011-02-24 2011-02-24 Verfahren zum Betrieb einer Mikroprozessoreinheit, insbesondere in einem mobilen Endgerät
EP12711340.5A EP2663946A2 (de) 2011-02-24 2012-02-22 Verfahren zum betrieb einer mikroprozessoreinheit, insbesondere in einem mobilen endgerät
CN2012800100634A CN103477343A (zh) 2011-02-24 2012-02-22 操作特别是移动终端中的微处理器单元的方法
PCT/EP2012/000765 WO2012113547A2 (de) 2011-02-24 2012-02-22 Verfahren zum betrieb einer mikroprozessoreinheit, insbesondere in einem mobilen endgerät
US14/001,361 US20140007120A1 (en) 2011-02-24 2012-02-22 Method for operating a microprocessor unit, in particular in a mobile terminal
KR1020137024123A KR20140027110A (ko) 2011-02-24 2012-02-22 특히 이동 단말 장치 내의 마이크로 프로세서 유닛을 작동시키기 위한 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102011012226A DE102011012226A1 (de) 2011-02-24 2011-02-24 Verfahren zum Betrieb einer Mikroprozessoreinheit, insbesondere in einem mobilen Endgerät

Publications (1)

Publication Number Publication Date
DE102011012226A1 true DE102011012226A1 (de) 2012-08-30

Family

ID=45922633

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102011012226A Withdrawn DE102011012226A1 (de) 2011-02-24 2011-02-24 Verfahren zum Betrieb einer Mikroprozessoreinheit, insbesondere in einem mobilen Endgerät

Country Status (6)

Country Link
US (1) US20140007120A1 (de)
EP (1) EP2663946A2 (de)
KR (1) KR20140027110A (de)
CN (1) CN103477343A (de)
DE (1) DE102011012226A1 (de)
WO (1) WO2012113547A2 (de)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011018431A1 (de) 2011-04-21 2012-10-25 Giesecke & Devrient Gmbh Verfahren zur Anzeige von Informationen auf einer Anzeigeeinrichtung eines Endgeräts
DE102011115135A1 (de) 2011-10-07 2013-04-11 Giesecke & Devrient Gmbh Mikroprozessorsystem mit gesicherter Laufzeitumgebung
FR2998747B1 (fr) * 2012-11-27 2015-01-23 Oberthur Technologies Procede d'aiguillage d'un message
FR2998694B1 (fr) 2012-11-27 2016-01-01 Oberthur Technologies Module electronique pour rendre un message accessible par un systeme d'exploitation vise
US11029997B2 (en) * 2013-07-15 2021-06-08 Texas Instruments Incorporated Entering protected pipeline mode without annulling pending instructions
US9218508B2 (en) * 2013-09-06 2015-12-22 Getac Technology Corporation Electronic device and protection method thereof
DE102014001843B3 (de) * 2014-02-11 2015-05-13 Giesecke & Devrient Gmbh Mikroprozessorsystem
FR3019351A1 (fr) * 2014-03-31 2015-10-02 Orange Procede de configuration securisee d'une application dans un terminal utilisateur
GB201408539D0 (en) * 2014-05-14 2014-06-25 Mastercard International Inc Improvements in mobile payment systems
CN105095765B (zh) * 2014-05-14 2018-09-11 展讯通信(上海)有限公司 移动终端及其处理器系统、一种可信执行方法
CN105787391B (zh) * 2014-12-22 2019-02-01 中国科学院信息工程研究所 基于TrustZone硬件的面向任务的安全操作系统
CN106211144B (zh) * 2015-04-30 2020-06-16 华为技术有限公司 一种移动终端的通信方法及移动终端
CN105356998B (zh) * 2015-09-28 2019-06-11 宇龙计算机通信科技(深圳)有限公司 一种基于TrustZone的域空间切换系统及方法
US11599375B2 (en) * 2020-02-03 2023-03-07 EMC IP Holding Company LLC System and method virtual appliance creation

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030200402A1 (en) * 2002-04-17 2003-10-23 Microsoft Corporation Memory isolation through address translation data edit control
FR2862397A1 (fr) * 2003-11-13 2005-05-20 St Microelectronics Sa Demarrage securise d'un appareil electronique a architecture smp
WO2009027743A2 (en) * 2007-08-31 2009-03-05 Vodafone Group Plc Telecommunications device security

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5001742A (en) * 1990-01-29 1991-03-19 At&T Bell Laboratories Baseband signal processing unit and method of operating the same
JP4423206B2 (ja) * 2002-11-18 2010-03-03 エイアールエム リミテッド 安全モードと非安全モードとを切り換えるプロセッサ
EP1678617A4 (de) * 2003-10-08 2008-03-26 Unisys Corp Computersystem-paravirtualisierung durch verwendung eines hypervisors, der in einer partition des hostsystems implementiert wird
US20070079111A1 (en) * 2005-09-30 2007-04-05 Chiu-Fu Chen Activating method of computer multimedia function
US7950020B2 (en) * 2006-03-16 2011-05-24 Ntt Docomo, Inc. Secure operating system switching

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030200402A1 (en) * 2002-04-17 2003-10-23 Microsoft Corporation Memory isolation through address translation data edit control
FR2862397A1 (fr) * 2003-11-13 2005-05-20 St Microelectronics Sa Demarrage securise d'un appareil electronique a architecture smp
WO2009027743A2 (en) * 2007-08-31 2009-03-05 Vodafone Group Plc Telecommunications device security

Also Published As

Publication number Publication date
US20140007120A1 (en) 2014-01-02
KR20140027110A (ko) 2014-03-06
WO2012113547A2 (de) 2012-08-30
WO2012113547A3 (de) 2013-01-03
CN103477343A (zh) 2013-12-25
EP2663946A2 (de) 2013-11-20

Similar Documents

Publication Publication Date Title
DE102011012226A1 (de) Verfahren zum Betrieb einer Mikroprozessoreinheit, insbesondere in einem mobilen Endgerät
DE112007000101C9 (de) Verfahren zur Kommunikation mit einer Multifunktionsspeicherkarte
DE102009013384B4 (de) System und Verfahren zur Bereitstellung einer sicheren Anwendungsfragmentierungsumgebung
EP2987350B1 (de) Mobilstation umfassend sicherheitsressourcen mit unterschiedlichen sicherheitsniveaus
EP2678796B1 (de) Verfahren zum datenaustausch in einer gesicherten laufzeitumgebung
DE102011115135A1 (de) Mikroprozessorsystem mit gesicherter Laufzeitumgebung
DE10115729A1 (de) Vielseitiges Boot-Verfahren für eine Anwendungs-Software eines Mikrocontrollers
DE102018132970A1 (de) Verfahren und Vorrichtung zur Isolation von sensiblem nichtvertrauenswürdigem Programmcode auf mobilen Endgeräten
EP2698678A2 (de) Konfigurationstechnik für ein Steuergerät mit miteinander kommunizierenden Anwendungen
DE10324337B4 (de) Rechnersystem und zugehöriges Verfahren zum Durchführen eines Sicherheitsprogramms
EP2795934B1 (de) Verfahren zur kommunikation mit einer applikation auf einem portablen datenträger sowie ein solcher portabler datenträger
DE102012105093A1 (de) Sicherer Datenspeicher für Fahrzeugnetzwerke
DE69716722T2 (de) Verfahren und vorrichtung für den schutz von daten mit verwendung von verriegelungswerten in einem rechnersystem
EP2895985B1 (de) Inhalteverwaltung für mobilstation mit laufzeitumgebung
EP2284809A2 (de) Chipkarte und Verfahren zur softwarebasierten Modifikation einer Chipkarte
EP2210241B1 (de) Daten verarbeitende vorrichtung und verfahren zum betreiben einer daten verarbeitenden vorrichtung
EP2189921A2 (de) Diagnosegerät zur Verbindung mit einem Kraftfahrzeug
DE10064025A1 (de) Verfahren mit einem bedingten deterministischen Rücksetzvektor für einen Mikroprozessor
EP2126711B1 (de) Datenspeichervorrichtung mit zusatzfunktion
DE102015114721B4 (de) Verfahren, Gerät und System zur Datenverarbeitung
DE19709975C2 (de) Mikrocomputer
DE102009042666A1 (de) Hardware-Abstraktion in eingebetteten Systemen
DE102020209133A1 (de) Verfahren zur abgesicherten Speicherung eines Datenelements in einem externen Speicher und Schnittstellenmodul
DE102015116181B4 (de) Datenverarbeitung
WO2012104063A1 (de) VERFAHREN ZUR KOMMUNIKATION EINER APPLIKATION IN EINER GESICHERTEN LAUFZEITUMGEBUNG EINER MIKROPROZESSOREINHEIT MIT EINER GEGENSTELLE AUßERHALB DER GESICHERTEN LAUFZEITUMGEBUNG

Legal Events

Date Code Title Description
R163 Identified publications notified
R081 Change of applicant/patentee

Owner name: TRUSTONIC LTD., GB

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE

Effective date: 20130912

R082 Change of representative

Representative=s name: KSNH PATENTANWAELTE KLUNKER/SCHMITT-NILSON/HIR, DE

Effective date: 20130912

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20140902