DE102011015710A1 - Verfahren zum Aktualisieren eines Datenträgers - Google Patents

Verfahren zum Aktualisieren eines Datenträgers Download PDF

Info

Publication number
DE102011015710A1
DE102011015710A1 DE102011015710A DE102011015710A DE102011015710A1 DE 102011015710 A1 DE102011015710 A1 DE 102011015710A1 DE 102011015710 A DE102011015710 A DE 102011015710A DE 102011015710 A DE102011015710 A DE 102011015710A DE 102011015710 A1 DE102011015710 A1 DE 102011015710A1
Authority
DE
Germany
Prior art keywords
data
application
update
applet
data carrier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102011015710A
Other languages
English (en)
Inventor
Alexander Summerer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE102011015710A priority Critical patent/DE102011015710A1/de
Priority to US14/008,420 priority patent/US9173102B2/en
Priority to PCT/EP2012/001397 priority patent/WO2012130460A1/de
Priority to CN201280014907.2A priority patent/CN103460186B/zh
Priority to EP12714220.6A priority patent/EP2691855B1/de
Publication of DE102011015710A1 publication Critical patent/DE102011015710A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Stored Programmes (AREA)

Abstract

Die Erfindung schafft ein Verfahren zum Aktualisieren eines in einem Telekommunikationsendgerät eingesetzten Datenträgers im Hinblick auf eine in dem Datenträger ausführbare Datenträgerapplikation, umfassend die Schritte. Bereitstellen von Aktualisierungsdaten an eine in dem Datenträger installierte Sicherheitsapplikation. Aktualisieren des Datenträgers gemäß den Aktualisierungsdaten, das Aktualisieren des Datenträgers umfassend die Schritte. Übertragen zumindest eines Teils der Aktualisierungsdaten von der Sicherheitsapplikation an eine in dem Telekommunikationsendgerät installierte, zur Kommunikation zwischen dem Telekommunikationsendgerät und dem Datenträger eingerichtete Programmierschnittstelle. Weiterübertragen der übertragenen Aktualisierungsdaten von der Programmierschnittstelle an eine in dem Datenträger installierte Datenträgerverwaltung des Datenträgers. Aktualisieren des Datenträgers gemäß den weiterübertragenen Aktualisierungsdaten.

Description

  • Die Erfindung betrifft ein Verfahren zum Aktualisieren eines Datenträgers im Hinblick auf eine in dem Datenträger ausführbare Datenträgerapplikation, wobei der Datenträger in einem Telekommunikationsendgerät eingesetzt ist, einen entsprechend eingerichteten Datenträger und ein entsprechend eingerichtetes Telekommunikationsendgerät.
  • Inzwischen sind Telekommunikationsendgeräte, die mit leistungsfähigen Prozessoren und vielerlei Applikationen ausgestattet sind – so genannte Smartphones – sehr populär. Die hierfür benötigte Telekommunikations- bzw. Mobilfunkverbindung und/oder der für die vielfachen, häufig auch vertrauliche Daten verarbeitenden Anwendungen benötigte abgesicherte Speicherplatz wird von sicheren Datenträgern bereitgestellt, die in das jeweilige Telekommunikationsendgerät einsetzbar sind, z. B. von (U)SIM-Mobilfunkkarten, Smartcards, sicheren digitalen (SD) Speicherkarten oder dergleichen. Solche sicheren Datenträger umfassen in der Regel auch einen Prozessor und darauf ausführbare Applikationen. Es lassen sich hierbei zwei verschiedene Arten von Applikationen unterscheiden, nämlich die auf dem Telekommunikationsendgerät installierten Endgeräteapplikationen – bei einigen Smartphones auch als „Apps” bezeichnet –, und die auf dem Datenträger ausführbaren Datenträgerapplikationen – bei einigen Datenträgern auch als „Applets” bezeichnet.
  • Während mit den Endgeräteapplikationen (z. B. Apps) vielfältige Anwendungen auf dem Telekommunikationsendgerät bereitgestellt werden, betreffen die Datenträgerapplikationen (z. B. Applets) häufig Anwendungen im Zusammenhang mit Sicherheitsaspekten des Telekommunikationsendgeräts; z. B. die Telekommunikation- oder Mobilfunkverbindung, die Identität eines Nutzers, geldwerte Transaktionen oder sonstige vertrauliche oder schützenswerte Daten. Die Datenträger verfügen insofern über besondere Sicherheitsfunktionalitäten, insbesondere über einen abgesicherten Speicher. Auf dem Telekommunikationsendgerät ausgeführte Endgeräteapplikationen benötigen häufig Zugriff auf Datenträgerapplikationen in dem sicheren Datenträger. Um einen Missbrauch der sicherheitsrelevanten Funktionalitäten der Datenträgerapplikationen und der dort gespeicherten vertraulichen Daten zu verhindern, kann z. B. eine Zugriffsrechteverwaltung vorgesehen sein, die den Zugriff einer Endgeräteapplikation auf eine Datenträgerapplikation nur bei entsprechenden Zugriffsrechten erlaubt. Ein solcher Mechanismus betrifft jedoch nur die Zugriffsrechte solcher Endgeräteapplikationen, die bereits bei der Herstellung des Datenträgers, z. B. bei dessen Initialisierung oder Personalisierung, bekannt waren und berücksichtigt werden konnten. Endgeräteapplikationen, die nachträglich auf einem Telekommunikationsendgerät installiert werden, sind der Zugriffsrechteverwaltung deshalb nicht bekannt und haben demzufolge auch keinen Zugriff auf installierte Datenträgerapplikationen. Noch viel weniger ist ein Zugriff auf solche Datenträgerapplikationen möglich, die erst noch auf dem Datenträger installiert werden müssten. Die nachträgliche Aktualisierung von Zugriffsrechten oder gar die nachträgliche Installation neuer Datenträgerapplikationen auf einem bereits ausgelieferten Datenträger ist hierbei insbesondere aus Sicherheitsgründen nicht gewünscht bzw. gar nicht möglich.
  • Da Telekommunikationsendgeräte üblicherweise nur über einen einzigen Datenträgersteckplatz verfügen, können geänderte Zugriffsrechte oder neue Datenträgerapplikationen auch nicht auf einem zweiten sicheren Datenträger bereitgestellt werden. Die Bereitstellung eines vom Anbieter entsprechend aktualisierten Austausch-Datenträgers ist zwar denkbar aber nicht besonders vorteilhaft, da dann wichtige und gar nicht oder nur schwer wieder beschaffbare Nutzerdaten verloren wären, z. B. digitale Zertifikate, Lizenzen oder Rechte.
  • In diesem Zusammenhang schlägt die EP 1 361 527 A1 vor, den Datenbestand einer ausgelieferten Mobilfunkkarte mittels einer kontaktlosen Datenkommunikation über eine Luft- oder OTA-Schnittstelle („over-the-air”) zu aktualisieren. Andere in Telekommunikationsendgeräte einsetzbare Datenträger, z. B. SD-Karten oder dergleichen, stellen die hierfür benötigte technische Infrastruktur jedoch häufig nicht bereit. Darüber hinaus würden Nutzer eines sicheren Datenträgers mit vertraulichen Nutzerdaten in ihrem Vertrauen auf die Datensicherheit erschüttert, da kontaktlose Datenübertragungen häufig und berechtigterweise Befürchtungen hinsichtlich Datensicherheit und Datenmissbrauch auslösen.
  • Um einem externen Gerät, z. B. einem Telekommunikationsgerät, einen programmierenden Zugriff auf einen Datenträger zu ermöglichen, ist es üblich, dass in dem Gerät eine Programmierschnittstelle des Datenträgers installiert wird, in der z. B. Anforderungen des Datenträgers an Datenformate und dergleichen, die bei der Programmierung von Daten in den Datenträger berücksichtigt werden müssen, deklariert sind. Eine solche Programmierschnittstelle kann beispielsweise als Betriebssystem-Ergänzung oder -Erweiterung eines zur Steuerung des Geräts in dem Gerät installierten Betriebssystems implementiert sein. Mittels der Programmierschnittstelle des Datenträgers ist das Gerät in der Lage, Daten in den Datenträger zu programmieren, ohne selbst Details über für den Datenträger benötigte Datenformate kennen zu müssen. Eine solche Programmierschnittstelle wird häufig als Application Programming Interface (API) bezeichnet.
  • In einem unveröffentlichten firmeninternen Stand der Technik der Anmelderin, der in einer am selben Tag wie die vorliegende Patentanmeldung eingereichten Patentanmeldung beschrieben ist, ist ein Verfahren zum Aktualisieren eines Datenträgers, der in ein Telekommunikationsendgerät eingesetzt ist, im Hinblick auf in das Telekommunikationsendgerät neu zu installierenden Endgeräteapplikationen („App”) angegeben. Zur Aktualisierung des Datenträgers werden Konfigurationsdaten verwendet, mit welchen Zugriffsrechte der neuen Endgeräteapplikation („App”) auf im Datenträger installierte Datenträgerapplikationen („Applets”) aktualisiert werden. Optional wird bei der Aktualisierung des Datenträgers zudem eine neue Datenträgerapplikation („Applet”) in den Datenträger geladen, deren Funktionalitäten die neue Endgeräteapplikation benötigt. Eine Aktualisierung von Zugriffsrechten mittels Konfigurationsdaten ist hierbei häufig ebenfalls erforderlich. Bei dem Verfahren werden die Konfigurationsdaten, und optional die Datenträgerapplikation, zusammen mit der neu zu installierenden Endgeräteapplikation zunächst in das Telekommunikationsendgerät geladen. Die Endgeräteapplikation wird im Telekommunikationsendgerät installiert. Die Konfigurationsdaten werden an eine in dem Datenträger installierte Sicherheitsapplikation weitergeleitet. Die Sicherheitsapplikation wird mit den Konfigurationsdaten aktualisiert.
  • Eine bei der Sicherheitsapplikation bereitstehende Datenträgerapplikation kann nicht unmittelbar durch die Sicherheitsapplikation in dem Datenträger installiert werden. Denn die Sicherheitsapplikation ist zur Verwaltung von Zugriffsrechten zwischen Endgeräteapplikationen und Datenträgerapplikationen eingerichtet und kann zwar Konfigurationsdaten empfangen und innerhalb der Sicherheitsapplikation implementierte Zugriffsrechte mittels der Konfigurationsdaten aktualisieren. Die Sicherheitsapplikation ist dagegen nicht dazu eingerichtet und nicht in der Lage, ohne weitere Maßnahmen eine Installation von Datenträgerapplikationen außerhalb der Sicherheitsapplikation durchzuführen. Eine Installation von Datenträgerapplikationen kann ausschließlich durch eine Datenträgerverwaltung des Datenträgers durchgeführt werden. Eine direkte Kommunikation zwischen der Sicherheitsapplikation und der Datenträgerverwaltung ist nicht möglich.
  • Ein direktes Laden von Datenträgerapplikationen in den Datenträger unter Umgehung der Sicherheitsapplikation, z. B. direkt mittels der Datenträgerverwaltung, zu erlauben ist nachteilig, da die Gefahr besteht, dass Software aus unbekannter Quelle ungeprüft in den Datenträger gelangt. Hierbei kann auch schädliche Software in den Datenträger gelangen.
  • Der Erfindung liegt die Aufgabe zu Grunde, ein sicheres und vielseitig einsetzbares Verfahren zum Aktualisieren eines Datenträgers im Hinblick auf eine in dem Datenträger ausführbare Datenträgerapplikation zu schaffen, insbesondere ein Verfahren, das es ermöglicht, außerhalb einer Sicherheitsapplikation des Datenträgers zu installierende Aktualisierungsdaten wie beispielsweise Datenträgerapplikationen auf sichere Weise in dem Datenträger zu installieren.
  • Die Aufgabe wird gelöst durch ein Verfahren nach Anspruch 1. Vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben.
  • Das Verfahren nach Anspruch 1 ist zum Aktualisieren eines Datenträgers im Hinblick auf eine auf dem Datenträger ausführbare Datenträgerapplikation, wobei der Datenträger in einem Telekommunikationsendgerät eingesetzt ist, eingerichtet.
  • Das Verfahren umfasst die Schritte:
    • – Bereitstellen von Aktualisierungsdaten an eine in dem Datenträger installierte Sicherheitsapplikation;
    • – Aktualisieren des Datenträgers gemäß den Aktualisierungsdaten, das Aktualisieren des Datenträgers umfassend die Schritte:
    • – Übertragen zumindest eines Teils der Aktualisierungsdaten von der Sicherheitsapplikation an eine in dem Telekommunikationsendgerät installierte, zur Kommunikation zwischen dem Telekommunikationsendgerät und dem Datenträger eingerichtete Programmierschnittstelle des Datenträgers;
    • – Weiterübertragen der zuvor übertragenen Aktualisierungsdaten von der Programmierschnittstelle an eine in dem Datenträger installierte Datenträgerverwaltung des Datenträgers; und
    • – Aktualisieren des Datenträgers gemäß den weiterübertragenen Aktualisierungsdaten.
  • In den Datenträger zu ladende Aktualisierungsdaten werden auf sichere Weise stets unter Einschaltung der Sicherheitsapplikation in den Datenträger geladen und unterliegen somit den Kontrollmechanismen der Sicherheitsapplikation. Für zumindest einen Teil der Aktualisierungsdaten wird die Möglichkeit bereitgestellt, die Aktualisierungsdaten aus der Sicherheitsapplikation an die Programmierschnittstelle und von dort an die Datenträgerverwaltung zu übermitteln. Die Programmierschnittstelle wird somit als Proxy-Server zwischen der Sicherheitsapplikation und der Datenträgerverwaltung verwendet, und ermöglicht als solcher eine Kommunikation zwischen den beiden räumlich innerhalb des Datenträgers vorgesehenen, aber kommunikationstechnisch voneinander getrennten Instanzen Sicherheitsapplikation und Datenträgerverwaltung. Hierdurch können auf sichere Weise auch Aktualisierungsdaten berücksichtigt werden, die außerhalb der Sicherheitsapplikation zu installieren sind.
  • Daher ist gemäß Anspruch 1 ein sicheres und vielseitig einsetzbares Verfahren zum Aktualisieren eines Datenträgers im Hinblick auf eine in dem Datenträger ausführbare Datenträgerapplikation geschaffen.
  • Insbesondere Aktualisierungsdaten, die außerhalb der Sicherheitsapplikation zu installieren sind, wie z. B. neu in den Datenträger einzufügende Datenträgerapplikationen, können mit dem erfindungsgemäßen Verfahren über die als Proxy-Server genutzte Programmierschnittstelle sicher in den Datenträger eingebracht und dort installiert werden.
  • Die Aktualisierungsdaten werden vorzugsweise durch das Telekommunikationsendgerät an den Datenträger bereitgestellt, insbesondere durch die Programmierschnittstelle. Die Programmierschnittstelle ist im Telekommunikationsendgerät installiert, ist dem Datenträger zugeordnet und ist zur Kommunikation zwischen dem Telekommunikationsendgerät und dem Datenträger eingerichtet, wie beispielsweise eine Smart Card API (Application Programming Interface).
  • Wahlweise umfassen die Aktualisierungsdaten die Datenträgerapplikation, wobei in diesem Fall das Übertragen ein Übertragen der Datenträgerapplikation umfasst, das Weiterübertragen ein Weiterübertragen der Datenträgerapplikation umfasst, und das Aktualisieren des Datenträgers ein, z. B. durch die Datenträgerverwaltung durchgeführtes, Installieren der Datenträgerapplikation in dem Datenträger umfasst.
  • Die Aktualisierungsdaten umfassen wahlweise Konfigurationsdaten, wobei das Aktualisieren des Datenträgers in diesem Fall ein Konfigurieren des Datenträgers, insbesondere der Sicherheitsapplikation, mittels der Konfigurationsdaten umfasst. Die Konfigurationsdaten können direkt in der Sicherheitsapplikation installiert werden, ohne den Umweg über die als Proxy-Server genutzte Programmierschnittstelle, da ihre Installation innerhalb der Sicherheitsapplikation erfolgt.
  • Die Konfigurationsdaten können insbesondere Aktualisierungsdaten für die Sicherheitsapplikation umfassen. Wahlweise umfasst die Sicherheitsapplikation eine Zertifikatliste und zumindest eine Zugriffsrechteliste. Die Zertifikatliste umfasst Datenträgerapplikationszertifikate von in dem Datenträger installierten Datenträgerapplikationen. Die zumindest eine Zugriffsrechteliste gibt Zugriffsrechte von in dem Telekommunikationsendgerät installierten Endgeräteapplikationen auf in dem Datenträger installierte Datenträgerapplikationen an. Beim Konfigurieren des Datenträgers werden die Zertifikatliste und die zumindest eine Zugriffsrechteliste gemäß den Aktualisierungsdaten, genauer gemäß den Konfigurationsdaten, aktualisiert.
  • Die Konfigurationsdaten umfassen wahlweise ein Datenträgerapplikationszertifikat, das einen öffentlichen Schlüssel eines Anbieters der Datenträgerapplikation enthält. Das Konfigurieren des Datenträgers, insbesondere der Sicherheitsapplikation, umfasst in diesem Fall ein Eintragen, durch die Sicherheitsapplikation, des Datenträgerapplikationszertifikats in die Zertifikatsliste. Mit dem öffentlichen Schlüssel des Anbieters der Datenträgerapplikation können von dem Anbieter der Datenträgerapplikation mit dem passenden geheimen Schlüssel erstellte Signaturen verifiziert werden. Hierdurch kann verifiziert werden, dass eine in den Datenträger zu ladende Datenträgerapplikation tatsächlich vom Anbieter der Datenträgerapplikation erstellt oder zumindest authorisiert ist.
  • Wahlweise wird eine, insbesondere mit den Aktualisierungsdaten verknüpfte, Signatur durch die Programmierschnittstelle oder durch die Sicherheitsapplikation verifiziert, bevor der Datenträger gemäß den Aktualisierungsdaten aktualisiert wird.
  • Die Signatur wird wahlweise mittels eines geheimen Schlüssels eines Anbieters der Datenträgerapplikation erstellt oder ist derart erstellt worden. Die Signatur wird dann wahlweise mit dem oben angeführten öffentlichen Schlüssel verifiziert, der z. B. wie oben angegeben mit dem Datenträgerapplikationszertifikat in den Datenträger eingebracht worden ist.
  • Wahlweise umfasst das Bereitstellen von Aktualisierungsdaten die Schritte:
    • – Integrieren der Aktualisierungsdaten in ein Endgeräteapplikationszertifikat einer in dem Endgerät zu installierenden Endgeräteapplikation;
    • – Laden des Endgeräteapplikationszertifikat und der Endgeräteapplikation in das Telekommunikationsendgerät;
    • – Installieren der Endgeräteapplikation im Telekommunikationsendgerät;
    • – Extrahieren der Aktualisierungsdaten aus dem Endgeräteapplikationszertifikat; und
    • – Bereitstellen der extrahierten Aktualisierungsdaten, insbesondere durch die Programmierschnittstelle, an die Sicherheitsapplikation.
  • Ein erfindungsgemäßer Datenträger ist in ein Telekommunikationsendgerät einsetzbar oder eingesetzt und umfasst in dem Datenträger installierte Datenträgerapplikationen. Gemäß der Erfindung umfasst der Datenträger zudem eine in dem Datenträger installierte Sicherheitsapplikation, die eingerichtet ist, gemäß einem erfindungsgemäßen Verfahren Aktualisierungsdaten zu empfangen und zu übertragen und den Datenträger mit den Aktualisierungsdaten zu aktualisieren. Insbesondere sind die Sicherheitsapplikation – und eine Datenträgerverwaltung des Datenträgers – also in der Lage, mit einer zum Datenträger gehörigen und in dem Telekommunikationsendgerät installierten, gemäß Anspruch 1 genutzten, d. h. als Proxy-Server genutzten, Programmierschnittstelle Daten auszutauschen.
  • Der Datenträger ist beispielsweise eine (U)SIM-Mobilfunk-Karte oder eine sichere digitale Speicherkarte oder sichere Multimediakarte, z. B. SD oder μ-SD-Karte, also insbesondere ein in das Telekommunikationsendgerät einsetzbarer und aus dem Telekommunikationsendgerät entfernbarer Datenträger. Alternativ ist der Datenträger ein zur festen Implementierung in ein Telekommunikationsendgerät eingerichteter Datenträger, z. B. ein Embedded Secure Element oder Embedded Smart Card Chip zur festen Implementierung in ein Telekommunikationsendgerät, und wird z. B. beim Endgerätehersteller in ein Telekommunikationsendgerät eingesetzt und fest implementiert, so dass er durch einen Nutzer nicht (oder zumindest nicht zerstörungsfrei) aus dem Endgerät entfernbar ist, insbesondere ein NFC-Chip für ein NFC-fähiges Telekommunikationsendgerät. Ein Betriebssystem des Datenträgers ist wahlweise ein Java-basiertes und/oder Global-Platformkonformes Betriebssystem und/oder die Datenträgerapplikationen und die Sicherheitsapplikation sind wahlweise Java-Applets.
  • Ein erfindungsgemäßes Telekommunikationsendgerät hat eine Schnittstelle, z. B. einen Kartensteckplatz, so dass ein Datenträger in dem Telekommunikationsendgerät einsetzbar ist. Alternativ ist ein Datenträger, z. B. ein Embedded Secure Element oder Embedded Smart Card Chip zur festen Implementierung in ein Telekommunikationsendgerät, insbesondere auch ein NFC-Chip, fest in das Telekommunikationsendgerät eingesetzt, d. h. implementiert. In dem Telekommunikationsendgerät sind Endgeräteapplikationen installiert. Erfindungsgemäß ist in dem Telekommunikationsendgerät zudem eine Programmierschnittstelle des Datenträgers installiert, die eingerichtet ist, gemäß einem erfindungsgemäßen Verfahren Aktualisierungsdaten zu empfangen, weiterzuübertragen und optional nach Anspruch 8 bereitzustellen. Die Programmierschnittstelle ist somit eingerichtet, als Proxy-Server gegenüber dem Datenträger zu agieren, insbesondere als Proxy-Server zwischen einer Sicherheitsapplikation des Datenträgers und einer Datenträgerverwaltung des Datenträgers zu agieren. Wahlweise ist das Telekommunikationsendgerät ein Smartphone mit Android-Betriebssystem und darauf lauffähigen, so genannten Android-„Apps” als Applikationen. Die Erfindung ist für andere Betriebssysteme aber ebenso geeignet.
  • Im Folgenden wird die Erfindung an Hand von Ausführungsbeispielen und unter Bezugnahme auf die Zeichnung näher erläutert, in der zeigen:
  • 1 eine schematische Übersicht über den Verfahrensablauf beim Aktualisieren eines Datenträgers;
  • 2 eine schematische Gesamtübersicht der bei einem Verfahren nach 1 zum Einsatz kommenden Einrichtungen, beim Laden von Konfigurationsdaten;
  • 3 eine schematische Detailübersicht der bei einer Ausführungsform der Erfindung gemäß 1 zum Einsatz kommenden Einrichtungen, beim Laden einer Datenträgerapplikation mit dem erfindungsgemäßen Verfahren;
  • 4 beispielhafte Aktualisierungsdaten, integriert in ein Endgeräteapplikationszertifikat, gemäß einer Weiterbildung der Erfindung;
  • 5 ein beispielhaftes Endgeräteapplikationszertifikat für die Weiterbildung aus 4.
  • 1 zeigt eine schematische Übersicht über den Verfahrensablauf beim Aktualisieren eines Datenträgers 400. Die Verfahrensschritte S1 bis S11 beschreiben eine Aktualisierung des Datenträgers 400 durch eine Installation von Konfigurationsdaten 111, 418 für eine in Schritt S1 bereits (evtl. sogar viel früher) installierte Datenträgerapplikation 110, wie sie ohne die Erfindung oder zusätzlich zur Erfindung erfolgen kann. Die Schrittfolge S2 bis S9, S10a bis S10e, S11 entspricht einer Ausführungsform der Erfindung, mit einer Installation einer dem Datenträger 400 neu hinzugefügten Datenträgerapplikation 110 in Schritt S10e, unter Verwendung einer in einem Smartphone 300 vorgesehenen API 330 als Proxy-Server (Schrittfolge 10a10e, insbesondere 10c10e, an Stelle von Schritt 10) zwischen Teilen einer SD-Karte 400, die per se nicht direkt miteinander kommunizieren können.
  • Nachfolgend wird die Aktualisierung der SD-Karte 400 gemäß den Verfahrensschritten S1 bis S11 im Zusammenhang mit den 2 und 4a erläutert. Die erfindungsgemäße Verarbeitung und Installation einer dem Datenträger 400 neu hinzugefügten Datenträgerapplikation 110 gemäß der Schrittfolge S2 bis S9, S10a bis S10e, S11, mit der API 330 als Proxy gemäß Schrittfolge 10c10e, wird im Zusammenhang mit den 3 und 4b erläutert.
  • Der Datenträger 400 ist ein Secure Element zum Betrieb in einem Telekommunikationsendgerät in Form eines modernen Smartphones 300, auf dem das Kleincomputer-Betriebssystem„Android” 310 der Firma Google installiert ist, also z. B. eine (U)SIM-Karte oder eine als (U)SIM-Karte verwendete Secure MicroSD-Karte für ein solches Endgerät. Natürlich ist die Erfindung auch auf andere Computerformate mit anderen Betriebssystemen sinnvoll abwendbar und darauf implementierbar, z. B. auf persönliche digitale Assistenten (PDA), Laptops, Notebooks, Tablet-PCs und sonstige portable Kleincomputer, die häufig auch Telekommunikations- oder Mobilfunkfunktionalitäten bereitstellen.
  • Die auf dem Android-Smartphone 300 lauffähigen Endgeräteapplikationen sind sogenannte „Apps” 210, 311, 312 (App3, App1, App2), also speziell auf die Ressourcen, Einsatzbereiche und Anwendungen von Smartphones 300 angepasste Applikationen, die z. B. aus dem Android-Marketplace heruntergeladen und auf dem Smartphone 300 installiert werden können. Neben dem Android-Betriebssystem 310 mit den darunter laufenden Android-Apps 210, 311, 312 existieren aber auch noch weitere Smartphone-Betriebssysteme mit spezialisierten Smartphone-Applikationen, auf denen die vorliegende Erfindung auch implementiert werden kann. Android eignet sich aufgrund seines Open-Source-Konzepts jedoch gut für die nachfolgende beispielhafte Erläuterung der Erfindung.
  • Beteiligt an dem Verfahren ist neben dem Smartphone 300 ein sicherer digitaler Datenträger in Form einer SD-Karte 400 (SDC), die, eingefügt in einen hierfür vorgesehenen Steckplatz des Smartphones 300, einen sicheren Speicher bzw. eine sichere Speichererweiterung des Smartphones 300 repräsentiert. Die SD-Karte 400 umfasst vorzugsweise ein Java-basiertes Betriebssystem, z. B. Java-Card oder dergleichen, so dass die auf der SD-Karte 400 installierten Datenträgerapplikationen 110, 421, 422, 423 (Apl4, Apl1, Apl2, Apl3) Applets bzw. Java-Applets sind. Selbstverständlich sind als sichere Datenträger 400 gemäß der vorliegenden Erfindung auch anderweitige in einem Smartphone 300 einsetzbare Datenträger mit Prozessor und weiteren Rechenressourcen geeignet, zum Beispiel (U)SIM-Mobilfunkkarten, microSD-Karten, sichere Multimediakarten und dergleichen. Auch können diese Datenträger mit beliebigen Smartcard- oder Speicherkarten-Betriebssystemen und darauf lauffähigen Applikationen ausgestattet sein.
  • Ein besonderes auf der SD-Karte 400 installiertes Applet ist das sogenannte Sicherheits-Applet 410 (SecApl, „security applet”), welches im Zusammenhang mit dem Zugriff einer App 210 auf ein Applet 110 und mit der Aktualisierung eines Applets 110 Sicherheits- und Kontrollfunktionen übernimmt.
  • Das Sicherheits-Applet 410 verwaltet eine Sicherheitsstruktur, umfassend eine Zertifikatliste 412 (CL), in der verschiedene Datenträgerapplikationszertifikate in Form von Applet-Zertifikaten 111 (AplCert1 bis AplCert4) abgelegt sind. Ferner verwaltet das Sicherheits-Applet 410 auch eine oder mehrere Zugriffsrechtelisten 416, die über eine Applet-Identifikation 414 (AID1 bis AID4) den Zertifikaten 111 der Zertifikatliste 412 zugeordnet sind. In den Zugriffsrechtelisten 416 sind wiederum App-Identifikationen 417 (HashApp-Cert1 bis HashAppCert3) niedergelegt, die jeweils eine Liste 416 von Zugriffsrechten 418 (AC1, AC2, AC3, „access condition”) adressieren, welche die Zugriffsrechte 418 der durch die App-ID 417 bezeichneten App 210 auf dasjenige Applet 110 angeben, dessen Applet-ID 414 auf die betreffende Zugriffsrechteliste 416 verweist.
  • Sofern eine App 210 auf ein Applet 110 zugreifen muss, kann das Sicherheits-Applet 410 über die jeweilige Applet-ID 414 prüfen, ob die betreffende App 210 die notwendigen Zugriffsrechte 418 besitzt. Identifiziert werden die der App 210 über die Zugriffsrechteliste 416 zugeordneten Zugriffsrechte 418 durch die App-ID 417, die einem Hash-Wert des App-Zertifikats 211 entspricht, der bei jeder Prüfung der Zugriffsrechte 418 erneut gebildet wird.
  • Für den Fall, dass eine App 210 einen Zugriff auf ein Applet 110 benötigt, dessen Zugriffsrechte 418 dies nicht erlauben bzw. welches noch gar nicht als Applet 110 auf der SD-Karte 400 installiert ist, kann eine entsprechende Aktualisierung des Applets 110 erfolgen (d. h. eine Konfiguration des Applet 110 durch eine Aktualisierung der Zugriffsrechte 418 zwischen dem Applet 110 und anderen Applets und/oder der Installation des Applets 110), indem die hierfür benötigten Aktualisierungsdaten in ein Endgeräteapplikationszertifikat in Form eines App-Zertifikats 211 (AppCert3) gemäß dem Verfahren der 1 eingebracht werden und transparent für das Android-Betriebssystem 310 an das Sicherheits-Applet 410 auf der SD-Karte 400 weitergeleitet werden, so dass dort eine den Aktualisierungsdaten entsprechende Konfiguration des Applets 110 erfolgen kann.
  • Im Folgenden wird die Schrittfolge S1–S11 in Verbindung mit 2, 4a betrachtet. Die erfindungsgemäße Verwendung der API 330 als Proxy-Server ist hierbei nicht erforderlich. Für eine neu in das Endgerät geladene App 210 (App3), die Zugriff auf ein bereits im Datenträger 400 vorhandenes Applet Apl4 110 benötigt, wird die Aktualisierung der Zugriffsrechte 418 zwischen der neu geladenen App 210 (App3) und dem Applet Apl4 110 wie folgt vorgenommen.
  • In einem Schritt S1 („install Apl4”) wird bzw. wurde das Applet Apl4 110 von dem Applet-Anbieter 100 (AplProv) oder zumindest auf dessen Veranlassung auf der SD-Karte 400 installiert, beispielsweise im Rahmen eines Herstellungsprozesses der SD-Karte 400, z. B. bei deren Initialisierung oder Personalisierung. Hierbei werden auch die zu diesem Zeitpunkt bekannten Zugriffsrechte 418 verschiedener Apps 311, 312 (App1, App2) auf dieses Applet 110 (Apl4) in dem Sicherheits-Applet 410 der SD-Karte 400 hinterlegt.
  • Die Schritte S2 bis S11 betreffen die Installation der neu zu installierenden App 210 (App3) in dem Endgerät 300 und die Aktualisierung der Zugriffsrechte 418 der App 210 (App3) auf das bereits installierte Applet 110 (Apl4).
  • Hierzu ist in dem Smartphone 300, als Ergänzung oder Erweiterung des Android-Betriebssystems 310, eine Programmierschnittstelle 330 (API) zum standardisierten Zugriff auf die SD-Karte 400 installiert. Die API 330 wirkt mit dem Sicherheits-Applet 410 zusammen, um eine sichere Prozedur zur nachträglichen Aktualisierung des Applets 110 zu implementieren. Bei bereits installierten Applets 421, 422, 423 (Apl1, Apl2, Apl3) kann die API 330 in Kooperation mit dem Sicherheits-Applet 410 die Zugriffsrechte 418 einer auf ein Applet 421, 422, 423 zugreifenden App 311, 312 prüfen.
  • Ausgangspunkt der Zugriffsrechte-Aktualisierung ist das App-Zertifikat 211, welches, neben der App 210 selbst, Teil des Installationspakets der neu zu installierenden App 210 ist und von einer vertrauenswürdigen Stelle auf den öffentlichen Schlüssel 221 des App-Anbieters 200 (AppProv) der App 210 ausgestellt ist. Neben dem App-Zertifikat 211 existiert im Installationspaket der App 210 auch die Signatur 212 (AppSig3) der App 210, mit der der App-Anbieter 200 mit Hilfe seines geheimen Schlüssels 220 die Echtheit der App 210 garantiert.
  • Im Schritt S2 („write UpdtDat”) integriert der Applet-Anbieter 100 die Aktualisierungsdaten, die hier die Gestalt von Zugriffsrechten 418 haben, also Konfigurationsdaten sind, in das App-Zertifikat 211, um dem Sicherheits-Applet 410 auf diesem Wege die von dem Applet-Anbieter 100 bereitgestellten und von der App 210 benötigten Zugriffsrechte 418 zur entsprechenden Konfiguration des Datenträgers im Hinblick auf das Applet 110 zu Verfügung kommen zu lassen.
  • Im Schritt S3 („sign AppCert3”) stellt der Anbieter 100 des zu aktualisierenden Applets 110 mit Hilfe seines geheimen Schlüssels 120 eine Signatur 113 (AplSig3) des um die Aktualisierungsdaten ergänzten App-Zertifikats 211 aus, welche mit dem App 210 verbunden wird, z. B. indem die Signatur 113 in ein Installationspaket der App 210 eingebracht wird.
  • 4a zeigt, für den Fall dass nur Konfigurationsdaten in der SD-Karte 400 neu zu installieren sind, das zugehörige Applet hingegen schon in der SD-Karte 400 vorhanden ist, die wesentlichen Inhalte eines solches Installationspakets der App App3 210, umfassend die Signatur 212 des App-Anbieters 200, das App-Zertifikat 211 und die Signatur 113 des Applet-Anbieters 100. Bei dem vorliegenden Ausführungsbeispiel handelt es sich um ein App-Zertifikat 211 gemäß dem X.509-Zertifikatformat, so dass die Aktualisierungsdaten in Form von Zugriffsrechten 418 in die gemäß dem X.509-Standard vorgegebenen Erweiterungsfelder 213 (Ext) eingetragen werden können. Diese gemäß dem X.509-Standard vorgegebenen Erweiterungsfelder können weitere Daten aufnehmen, die mit der eigentlichen Funktion des Zertifikats 211, nämlich dem vertrauenswürdigen Bereitstellen eines öffentlichen Schlüssels 221, nicht im Zusammenhang stehen müssen. Ein Beispiel für ein App-Zertifikat 211 gemäß dem X.509-Standard mit darin integrierten Erweiterungsdaten („Extension”) zeigt 5.
  • Der Mechanismus der Erweiterungsfelder 213 wird genutzt, um die Aktualisierungsdaten derart in das App-Zertifikat 211 einzubringen, dass sie für das Smartphone 300 und seine Funktionen und Software-Komponenten – eventuell mit Ausnahme der API 330, die eine Programmierschnittstelle der SD-Karte 400 ist – transparent sind. Das App-Zertifikat 211 repräsentiert also ein Containerdatenformat, das in den. Erweiterungsfeldern 213 Daten von außerhalb des Smartphones 300, z. B. von dem Applet-Anbieter 100, transparent durch das Smartphone 300 hindurch bis in die SD-Karte 400 bzw. dessen Sicherheits-Applet 410 transportieren kann. Die in den Erweiterungsfeldern 213 des App-Zertifikats 211 abgelegten Aktualisierungsdaten bleiben von dem Smartphone 300 deshalb unberücksichtigt.
  • Die Signatur 113 des Applet-Anbieters 100 ist ein mit dem geheimen Schlüssel 120 des Applet-Anbieters 100 verschlüsseltes Chiffrat des App-Zertifikats 211 und kann in dem Installationspaket der App 210 separat vorliegen (vgl. 4). Die Signatur 113 kann beispielsweise gemäß dem X.509-Standard in das Signaturfeld eingebracht werden. Das App-Zertifikat 211 kann in den Erweiterungsfeldern 213 (noch weitere) Informationen des Applet-Anbieters 100 aufnehmen, die das Applet 110 betreffen, beispielsweise das Applet-Zertifikat 111 mit dem öffentlichen Schlüssel 121 des Applet-Anbieters 100 oder (in 4a nicht gezeigt; vgl. hierzu 4b und Text weiter unten) den Bytecode des gesamten Applets 110. Ebenso kann, neben den Zugriffsrechten AC 418, auch die eindeutige App-ID 417 als Erweiterung 213 in dem App-Zertifikat 211 vorliegen.
  • Die derart ausgestattete App 210 wird dann von dem Applet-Anbieter 100 im Schritt S4 („deploy App3”) in einem öffentlichen App-Markt potentiellen Nutzern zur Installation auf ihrem Smartphone angeboten, beispielsweise im so genannten „Google. Market Place”. Von dort wird die App 210 im Schritt S5 („install App3”) heruntergeladen und unter dem Android-Betriebssystem 310 in dem Smartphone 300 installiert.
  • Da die im „Market Place” oder einer anderen öffentlichen Plattform angebotene App 210 die Signatur 113 des Applet-Anbieters 100 trägt, welche über das gesamte App-Zertifikat 211 mitsamt den Zugriffsrechten 418 gebildet ist, repräsentiert die Signatur 113 eine Autorisierung des Zugriffs der App 210 auf das Applet 110 durch den Applet-Anbieter 100.
  • Im Schritt S5 wird die App 210 unter dem Android-Betriebssystem 310 mittels einer speziellen Installationsroutine 320 („package installer”) installiert, indem die Installationsroutine 320 zunächst die Signatur 212 des App-Anbieters 200 prüft. Hierzu wird die Signatur 212 mit dem öffentlichen Schlüssel 221 des App-Anbieters 200 entschlüsselt und mit dem signierten Klartext der App 210 verglichen. Den öffentlichen Schlüssel 221 erhält die Installationsroutine 320 aus dem der App 210 beiliegenden App-Zertifikat 211, welches die Vertrauenswürdigkeit des öffentlichen Schlüssels 221 garantiert.
  • Im Schritt S6 („start App3”) wird die installierte App 210 von einem Benutzer des Smartphones 300 gestartet und diese versucht dann in einem Schritt S7 („access Apl4”) auf das Applet Apl4 110 zuzugreifen. Hierzu hat die App App3 210 jedoch zunächst noch keine Zugriffsrechte 418 in der Zugriffsrechteliste 416 des Sicherheits-Applet 410. Die benötigten Zugriffsrechte 418 liegen bisher lediglich in dem App-Zertifikat 211 vor.
  • Anschließend wird im Schritt S8 („verify AppCert3”) das App-Zertifikat 211 von der API 330 verifiziert, indem die Signatur 113 mit dem öffentlichen Schlüssel 121 des Applet-Anbieters 100 entschlüsselt und mit dem Klartext des App-Zertifikats 211 verglichen wird. Abweichend hiervon kann die Verifikation des App-Zertifikats 211 und die sich daran anschließende Aktualisierung der Zugriffsrechteliste 416 auch unmittelbar nach oder sogar bei der der Installation der App 210 in Schritt S5 erfolgen. Die Verifikation des Schritts S8 kann bei einer bevorzugten Ausführungsvariante auch in der sicheren Umgebung der SD-Karte 400 von dem Sicherheits-Applet 410 vorgenommen werden. In diesem Fall wird das App-Zertifikat 211 von der Programmierschnittstelle 330 an das Sicherheits-Applet 410 durchgereicht.
  • Bei der Verifikation der Signatur 113 erhält die API 330 (oder die Sicherheits-Applikation 410) den öffentlichen Schlüssel 121 des Applet-Anbieters 100 aus der Zertifikatliste 412, in der das Applet-Zertifikat 111 bei der in Schritt S1 durchgeführten Installation des Applets 110 in der SD-Karte 400 hinterlegt wurde. Sofern die Verifikation der Signatur 113 erfolgreich ist, werden die in dem Erweiterungsfeld 213 des App-Zertifikats 211 angegebenen Aktualisierungsdaten, also zumindest die Zugriffsrechte 418, von der API 330 extrahiert und in Schritt S9 („transmit UpdtDat to SecApl”) an das Sicherheits-Applet 410 zur Konfiguration des Applets 110 weitergegeben. Falls die Verifikation in Schritt S8 durch das Sicherheits-Applet 410 durchgeführt wird, benachrichtigt dieses bei erfolgreicher Verifikation die API 330 dahingehend, dass die Aktualisierungsdaten 418 aus dem App-Zertifikat 211 extrahiert werden können. Alternativ kann auch das Sicherheits-Applet 410 die Aktualisierungsdaten 418 aus dem App-Zertifikat 211 extrahieren. Beim oder nach dem Extrahieren der Aktualisierungsdaten 418 muss deren Integrität jedoch nicht weiter geprüft werden, da diese bereits durch die Verifikation der Signatur 113 des Applet-Anbieters 100 in Schritt S8 geprüft wurde.
  • In dem Schritt S10 („update CL”) konfiguriert das Sicherheits-Applet 410 schließlich die SD-Karte 400 in Bezug auf das Applet 110, indem die Zugriffsrechteliste 416 mit den Aktualisierungsdaten in Form der Zugriffsrechte 418 der App 210 auf das Applet 110 aktualisiert werden. Hierzu wird die relevante Zugriffsrechteliste 416 über die Applet-ID 414 ermittelt. Danach wird die App-ID 417 in Form eines SHA-1-Hashwerts des App-Zertifikats 211 gebildet und mit den bereits in der Zugriffsrechteliste 416 verzeichneten App-IDs 417 verglichen bzw. dort mit den entsprechenden Zugriffsrechten 418 neu eingetragen. Bei einem späteren Zugriff der App 210 auf das Applet 110 kann das Sicherheits-Applet 410 über die Applet-ID 414 und die App-ID 417 jederzeit prüfen, ob die benötigten Zugriffsrechte 418 vorliegen. Schließlich gewährt die Sicherheits-Applikation 410 in Schritt S11 („grant access”) den Zugriff auf das Applet 110 durch die App 210.
  • Im Folgenden wird die Schrittfolge S2 bis S9, S10a bis S10e und S11 in Verbindung mit 3, 4b betrachtet, einschließlich der erfindungsgemäßen Verwendung der API 330 als Proxy-Server. Der Schritt 10 ist durch die Schrittfolge 10a10e ersetzt, entsprechend der Installation eines neuen Applets 110 in die SD-Karte 400 über die API 330 als Proxy-Server. Gemäß der Ausführungsform der Erfindung aus den 3 und 4b wird dem Sicherheits-Applet 410 ein bisher nicht auf der SD-Karte 400 installiertes Applet 110 mittels der Containerdatenstruktur des App-Zertifikats 211 bereitgestellt. Die Aktualisierung der SD-Karte 400 hinsichtlich des Applets 110 umfasst hierbei die Installation des Applets 110 auf der SD-Karte 400 und die Einrichtung der entsprechenden Zugriffsrechte 418. Bei der Installation des Applets 110 in die SD-Karte 400 wird die im Smartphone 300 implementierte Programmierschnittstelle API 330 als Proxy-Server zwischen dem Sicherheits-Applet 410 und einer Datenträgerverwaltung der SD-Karte 400 verwendet, um das aus dem App-Zertifikat 211 extrahierte und beim Sicherheits-Applet 410 entgegengenommene Applet 110 in die SD-Karte 400 installieren zu können. Der weitere Ablauf dieser Ausführungsform ergibt sich aus der Sequenz der Schritte S2 bis S9, S10a bis S10e und S11 der 1 durch eine mit der ersten Ausführungsform vergleichbare Wechselwirkung zwischen der API 330 auf dem Smartphone 300 und dem Sicherheits-Applet 410 auf der SD-Karte 400.
  • Der Schritt S1 der vorzeitigen Installation des Applets 110 entfällt hierbei, da es gerade der Gegenstand der Erfindung ist, Aktualisierungsdaten, hier das Applet 110, nachträglich zu installieren. Ferner fällt bei dieser Ausführungsform der Konfigurationsschritt S10 weg; vielmehr wird das Applet 110 mittels der Schritte S10a bis S10e konfiguriert und installiert.
  • In Schritt S2 werden von dem Applet-Anbieter 100 nicht nur, wie im Zusammenhang mit 2 und 4a geschildert, Zugriffsrechte 418 der App 210 auf das Applet 110 in das App-Zertifikat 211 integriert, sondern auch das Applet 110 selbst, bzw. dessen Bytecode, sowie das Applet-Zertifikat 111 mit dem öffentlichen Schlüssel 121 des Applet-Anbieters 100. In Schritt S3 signiert der Applet-Anbieter 100 das App-Zertifikat 211 mit den gesamten Aktualisierungsdaten mit seinem geheimen Schlüssel 120 und bildet die Signatur 113. Das Installationspaket der App 210 umfasst neben den Signaturen 212 und 113 ein App-Zertifikat 211 gemäß 4b, umfassend Erweiterungsfelder 213 gemäß dem X.509-Standard mit Zugriffsrechten 418, dem Bytecode des zu installierenden Applets 110 und dem Applet-Zertifikat 111.
  • Insofern befindet sich nach dem Schritt S4 also eine App 210 in dem „Market Place” oder auf einer sonstigen öffentlichen Download-Plattform, welche in Form eines Datencontainers auch ein auf der SD-Karte 400 zu installierendes Applet 110 umfasst, autorisiert durch den Applet-Anbieter 100 mittels der Signatur 113 über das gesamte App-Zertifikat 211.
  • Um die Integrität der Aktualisierungsdaten in der Erweiterung 213, insbesondere des Bytecodes des Applets 110, sicherzustellen, ist eine Ende-zu-Ende-Verschlüsselung zwischen dem Applet-Anbieter 100 und der SD-Karte 400 bzw. deren Sicherheits-Applet 410 vorgesehen. Diese kann beispielsweise durch eine symmetrische AES-Verschlüsselung realisiert werden, wobei der gemeinsame geheime Schlüssel nur dem Applet-Anbieter 100 und dem Sicherheits-Applet 410 vorliegt.
  • Der weitere Ablauf der Schritte S5 bis S8 ist dann analog zu demjenigen, der an Hand von 2 und 4a beschrieben wurde. Wichtig ist hier lediglich, dass im Schritt S8 das App-Zertifikat 211 und dessen Erweiterungen 213 geprüft werden, indem die Signatur 113 mit dem öffentlichen Schlüssel 121 des Applet-Anbieters 100 verifiziert wird, dessen Applet-Zertifikat 111 (noch) nicht in der Zertifikatliste 412 vorliegt, sondern in einem Erweiterungsfeld 213 des App-Zertifikats 211. Der Verifikationsschritt S8 wird vorzugsweise von dem Sicherheits-Applet 410 durchgeführt, so dass die Verifikation in der abgesicherten Umgebung der SD-Karte 400 stattfinden kann.
  • Nach erfolgreicher Verifikation der Signatur 113 des Applet-Anbieters 100 extrahiert die API 330 in Schritt S9 die Aktualisierungsdaten (also die Zugriffsrechte 418, das Applet 110 und das Applet-Zertifikat 111) aus dem App-Zertifikat 211 und leitet diese an das Sicherheits-Applet 410 weiter. Wie bei der ersten Ausführungsform können die Aktualisierungsdaten aber auch direkt von dem Sicherheits-Applet 410 extrahiert werden.
  • Vergleichbar mit dem Schritt S10 werden dann in Schritt S10a („update CL, AC”) die Zugriffsrechte 418 in der entsprechenden Zugriffsrechteliste 416 hinterlegt – identifiziert durch den Hash-Wert des App-Zertifikats 211 als App-ID 417. Hierbei wird dann auch die Applet-ID 414 in dem Sicherheits-Applet 410 hinterlegt und das aus der Erweiterung 213 des App-Zertifikats 211 extrahierte Applet-Zertifikat 111 mit dem öffentlichen Schlüssel 121 des Applet-Anbieters 100 wird in der Zertifikatliste 412 hinterlegt. Es wird insofern eine gänzlich neue Zugriffsrechteliste 416 ausgehend von der Applet-ID 414 erstellt, in der, adressiert durch die App-ID 417 in Form eines Hashwerts des App-Zertifikats 211, die neuen Zugriffsrechte 418 der App 210 auf das Applet 110 hinterlegt werden.
  • In Schritt S10b („decode Apl4 from UpdtDat”) wird der extrahierte Bytecode des Applets 110, der dem Sicherheits-Applet 410 noch in der von dem Applet-Anbieter 100 verschlüsselten oder kodierten Form vorliegt, in der sicheren Umgebung des Sicherheits-Applets 410 dekodiert und/oder entschlüsselt. In Schritt S10b werden auch sämtliche weiteren erforderlichen Operationen zur Vorbereitung der Installation des Applets 110 durchgeführt.
  • Der Bytecode des Applets 110 wird anschließend nicht direkt von dem Sicherheits-Applet 410 installiert. Gemäß dem im Smartphone-Bereich zumindest zukünftig relevanten Global-Plattform-Standard (vgl. www.globalplatform.org) ist eine solche direkte Installation nämlich nicht vorgesehen. Stattdessen ist die Installation eines Applets 110 über das Smartphone 300 bzw. dessen API 330 vorzunehmen. Somit fungiert die API 330 in den verbleibenden Schritten S10c bis S10e als Vermittler- bzw. Proxy-Einheit zwischen dem Sicherheits-Applet 410 und dem „Card-Manager” 420 (SDCMngr) der SD-Karte 400, der die zentrale Verwaltungseinheit der SD-Karte 400 darstellt und als solche für die Installation neuer Applets 110 verantwortlich ist.
  • Um die Datenintegrität des Bytecodes des Applets 110 zu gewährleisten, kann in Schritt S10b eine weitere Verschlüsselung des Applets 110 durchgeführt werden, da das Applet 110 die sichere Umgebung des Sicherheits-Applets 410 wieder verlässt und über die potentiell unsichere API 330 dem Card Manager 420 zur Verfügung gestellt wird Insofern ist entweder eine weitere Ende-zu-Ende-Verschlüsselung zwischen dem Sicherheits-Applet 410 und dem Card Manager 420 vorgesehen, oder der Bytecode des Applets 110 wird nicht bereits in Schritt S10b im Sicherheits-Applet 410 entschlüsselt, sondern erst im Schritt S10e in dem Card Manager 420 im Rahmen der Installation des Applets 110. Im letzteren Fall besteht eine Ende-zu-Ende-Verschlüsselung zwischen dem Applet-Anbieter 100 und dem Card-Manager 420, wobei die erforderlichen Schlüssel in der SD-Karte 400, bzw. in dem Sicherheits-Applet 410 und/oder in dem Card Manager 420 sicher verwahrt werden.
  • In den Schritten S10c und S10d wird dann, entsprechend dem Global-Plattform-Standard, das Applet 110 von dem Sicherheits-Applet 410 an die API 330 übertragen und von dieser an den Card-Manager 420 zur letztendlichen Installation weitergeleitet. Die API 330 fungiert also gegenüber dem Card-Manager 420 als Host-Einheit, die die bereitzustellenden Daten, nämlich das Applet 110, ihrerseits von dem Sicherheits-Applet 410 der SD-Karte 400 entgegennimmt.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • EP 1361527 A1 [0005]
  • Zitierte Nicht-Patentliteratur
    • www.globalplatform.org [0069]

Claims (10)

  1. Verfahren zum Aktualisieren (S2–S9, S10a–S10e, S11) eines Datenträgers (400) im Hinblick auf eine in dem Datenträger (400) ausführbare Datenträgerapplikation (110), wobei der Datenträger (400) in einem Telekommunikationsendgerät (300) eingesetzt ist, gekennzeichnet durch die Schritte: – Bereitstellen von Aktualisierungsdaten (110, 111, 418) an eine in dem Datenträger (400) installierte Sicherheitsapplikation (410) (S9); – Aktualisieren des Datenträgers (400) gemäß den Aktualisierungsdaten (110, 111, 418), das Aktualisieren des Datenträgers (400) umfassend die Schritte: – Übertragen (S10c) zumindest eines Teils (110) der Aktualisierungsdaten (110, 111, 418) von der Sicherheitsapplikation (410) an eine in dem Telekommunikationsendgerät (300) installierte, zur Kommunikation zwischen dem Telekommunikationsendgerät (300) und dem Datenträger (400) eingerichtete Programmierschnittstelle (330); – Weiterübertragen (S10d) der übertragenen (S10c) Aktualisierungsdaten (110) von der Programmierschnittstelle (330) an eine in dem Datenträger (400) installierte Datenträgerverwaltung (420) des Datenträgers (400); und – Aktualisieren (10e) des Datenträgers (400) gemäß den weiterübertragenen Aktualisierungsdaten (110).
  2. Verfahren nach Anspruch 1, wobei – die Aktualisierungsdaten (110, 111, 418) die Datenträgerapplikation (110) umfassen, – das Übertragen (S10c) ein Übertragen der Datenträgerapplikation (110) umfasst, – das Weiterübertragen (S10d) ein Weiterübertragen der Datenträgerapplikation (110) umfasst, und – das Aktualisieren des Datenträgers (400) ein Installieren (10e) der Datenträgerapplikation (110) in dem Datenträger (400) umfasst.
  3. Verfahren nach Anspruch 1 oder 2, wobei die Aktualisierungsdaten Konfigurationsdaten (111, 418) umfassen, und wobei das Aktualisieren des Datenträgers (400) ein Konfigurieren (S10a) des Datenträgers (400), insbesondere der Sicherheitsapplikation (410), mittels der Konfigurationsdaten (111, 418) umfasst.
  4. Verfahren nach Anspruch 3, wobei – die Sicherheitsapplikation (410) eine Zertifikatliste (412) und zumindest eine Zugriffsrechteliste (416) umfasst, – wobei die Zertifikatliste (412) Datenträgerapplikationszertifikate (111) von in dem Datenträger (400) installierten Datenträgerapplikationen (110, 421, 422, 423) umfasst und die zumindest eine Zugriffsrechteliste (416) Zugriffsrechte (418) von in dem Telekommunikationsendgerät (300) installierten Endgeräteapplikationen (210, 311, 312) auf in dem Datenträger (40) installierte Datenträgerapplikationen (110, 421423) angibt, und wobei – beim Konfigurieren des Datenträgers (400) die Zertifikatliste (412) und die zumindest eine Zugriffsrechteliste (416) gemäß den Aktualisierungsdaten (111, 418) aktualisiert werden (S10a).
  5. Verfahren nach Anspruch 4, wobei die Konfigurationsdaten (111, 418) ein Datenträgerapplikationszertifikat (111) mit einem öffentlichen Schlüssel (121) eines Anbieters (100) der Datenträgerapplikation (110) umfassen, und wobei das Konfigurieren (S10a) des Datenträgers (400), insbesondere der Sicherheitsapplikation (410), ein Eintragen, durch die Sicherheitsapplikation (410), des Datenträgerapplikationszertifikats (111) in die Zertifikatsliste (412) umfasst.
  6. Verfahren nach einem der Ansprüche 1 bis 5, wobei eine, insbesondere mit den Aktualisierungsdaten (110, 111, 418) verknüpfte, Signatur (113) durch die Programmierschnittstelle (330) oder durch die Sicherheitsapplikation (410) verifiziert wird (S8), bevor der Datenträger (400) gemäß den Aktualisierungsdaten (110, 111, 418) aktualisiert wird (S10a, S10e).
  7. Verfahren nach Anspruch 6, wobei die Signatur (113) mittels eines geheimen Schlüssels (120) eines Anbieters (100) der Datenträgerapplikation (110) erstellt wird oder worden ist (S3).
  8. Verfahren nach einem der Ansprüche 1 bis 7, das Bereitstellen von Aktualisierungsdaten (110, 111, 418) umfassend die Schritte: – Integrieren (S2) der Aktualisierungsdaten (110, 111, 418) in ein Endgeräteapplikationszertifikat (211) einer in dem Endgerät (300) zu installierenden Endgeräteapplikation (210); – Laden des Endgeräteapplikationszertifikat (211) und der Endgeräteapplikation (210) in das Telekommunikationsendgerät (300); – Installieren (S5) der Endgeräteapplikation (210) in dem Telekommunikationsendgerät (300); – Extrahieren (S9) der Aktualisierungsdaten (110, 111, 418) aus dem Endgeräteapplikationszertifikat (211); und – Bereitstellen der extrahierten Aktualisierungsdaten (110, 111, 418), insbesondere durch die Programmierschnittstelle (330), an die Sicherheitsapplikation (410) (S9).
  9. Datenträger (400), in ein Telekommunikationsendgerät (300) einsetzbar oder eingesetzt, umfassend in dem Datenträger (400) installierte Datenträgerapplikationen (421, 422, 423), gekennzeichnet durch eine in dem Datenträger (400) installierte Sicherheitsapplikation (410), die eingerichtet ist, gemäß einem Verfahren nach einem der Ansprüche 1 bis 8 Aktualisierungsdaten (110, 111, 418) zu empfangen und zu übertragen und den Datenträger (400) mit den Aktualisierungsdaten (110, 111, 418) zu aktualisieren.
  10. Telekommunikationsendgerät (300), in das ein Datenträger (400) nach Anspruch 9 einsetzbar oder eingesetzt ist, umfassend in dem Telekommunikationsendgerät (300) installierte Endgeräteapplikationen (311, 312), gekennzeichnet durch eine Programmierschnittstelle (330) des Datenträgers (400), die eingerichtet ist, gemäß einem Verfahren nach einem der Ansprüche 1 bis 8 Aktualisierungsdaten (110) zu empfangen, weiterzuübertragen und optional nach Anspruch 8 bereitzustellen.
DE102011015710A 2011-03-31 2011-03-31 Verfahren zum Aktualisieren eines Datenträgers Withdrawn DE102011015710A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102011015710A DE102011015710A1 (de) 2011-03-31 2011-03-31 Verfahren zum Aktualisieren eines Datenträgers
US14/008,420 US9173102B2 (en) 2011-03-31 2012-03-29 Method for updating a data carrier
PCT/EP2012/001397 WO2012130460A1 (de) 2011-03-31 2012-03-29 Verfahren zum aktualisieren eines datenträgers
CN201280014907.2A CN103460186B (zh) 2011-03-31 2012-03-29 用于更新数据载体的方法
EP12714220.6A EP2691855B1 (de) 2011-03-31 2012-03-29 Verfahren zum aktualisieren eines datenträgers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102011015710A DE102011015710A1 (de) 2011-03-31 2011-03-31 Verfahren zum Aktualisieren eines Datenträgers

Publications (1)

Publication Number Publication Date
DE102011015710A1 true DE102011015710A1 (de) 2012-10-04

Family

ID=45954593

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102011015710A Withdrawn DE102011015710A1 (de) 2011-03-31 2011-03-31 Verfahren zum Aktualisieren eines Datenträgers

Country Status (5)

Country Link
US (1) US9173102B2 (de)
EP (1) EP2691855B1 (de)
CN (1) CN103460186B (de)
DE (1) DE102011015710A1 (de)
WO (1) WO2012130460A1 (de)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2736214A1 (de) * 2012-11-27 2014-05-28 Nxp B.V. Steuerung des Anwendungszugriffs auf mobile Vorrichtungsfunktionen
WO2014079563A1 (de) * 2012-11-22 2014-05-30 Giesecke & Devrient Gmbh Installation einer applikation auf dem sicherheitselement eines portable datenträgers
WO2014106530A1 (de) * 2013-01-03 2014-07-10 Giesecke & Devrient Gmbh Verfahren zum laden einer aus mehreren komponenten bestehenden applikation in ein aus mehreren komponenten bestehenden gerätes
EP2765750A1 (de) * 2013-02-08 2014-08-13 Nxp B.V. Steuerung des Anwendungszugriffs auf mobile Vorrichtungsfunktionen
EP2876568A4 (de) * 2013-08-23 2015-08-12 Huawei Device Co Ltd Berechtigungsverwaltungsverfahren und -vorrichtung sowie endgerät
WO2017025188A1 (de) * 2015-08-11 2017-02-16 Giesecke & Devrient Gmbh Verfahren zur individualisierung eines tragbaren datenträgers, insbesondere einer chipkarte

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8898769B2 (en) 2012-11-16 2014-11-25 At&T Intellectual Property I, Lp Methods for provisioning universal integrated circuit cards
US8959331B2 (en) * 2012-11-19 2015-02-17 At&T Intellectual Property I, Lp Systems for provisioning universal integrated circuit cards
US9036820B2 (en) 2013-09-11 2015-05-19 At&T Intellectual Property I, Lp System and methods for UICC-based secure communication
US9124573B2 (en) 2013-10-04 2015-09-01 At&T Intellectual Property I, Lp Apparatus and method for managing use of secure tokens
US9208300B2 (en) 2013-10-23 2015-12-08 At&T Intellectual Property I, Lp Apparatus and method for secure authentication of a communication device
US9240994B2 (en) 2013-10-28 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for securely managing the accessibility to content and applications
US9240989B2 (en) 2013-11-01 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for secure over the air programming of a communication device
US9313660B2 (en) 2013-11-01 2016-04-12 At&T Intellectual Property I, Lp Apparatus and method for secure provisioning of a communication device
US9413759B2 (en) 2013-11-27 2016-08-09 At&T Intellectual Property I, Lp Apparatus and method for secure delivery of data from a communication device
US9713006B2 (en) 2014-05-01 2017-07-18 At&T Intellectual Property I, Lp Apparatus and method for managing security domains for a universal integrated circuit card
EP3101862A1 (de) 2015-06-02 2016-12-07 Gemalto Sa Verfahren zur verwaltung eines sicheren kanals zwischen einem server und einem sicheren element
DE102015008117A1 (de) * 2015-06-23 2016-12-29 Giesecke & Devrient Gmbh Subskriptionsverwaltung
US10782951B2 (en) * 2018-02-23 2020-09-22 Digital Turbine, Inc. Instant installation of apps

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1361527A1 (de) 2002-05-07 2003-11-12 Sony Ericsson Mobile Communications AB Verfahren zum Laden einer Anwendung in einem Gerät, Gerät und Chipkarte dafür

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2717286B1 (fr) * 1994-03-09 1996-04-05 Bull Cp8 Procédé et dispositif pour authentifier un support de données destiné à permettre une transaction ou l'accès à un service ou à un lieu, et support correspondant.
US20030216927A1 (en) * 2002-05-17 2003-11-20 V. Sridhar System and method for automated safe reprogramming of software radios
US7374099B2 (en) * 2004-02-24 2008-05-20 Sun Microsystems, Inc. Method and apparatus for processing an application identifier from a smart card
US20070168453A1 (en) * 2004-06-24 2007-07-19 Atsushi Ito Function managing apparatus
US8549586B2 (en) * 2011-12-06 2013-10-01 Broadcom Corporation System utilizing a secure element
FR2993682B1 (fr) * 2012-07-20 2014-08-22 Oberthur Technologies Mise a jour d'un systeme d'exploitation pour element securise

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1361527A1 (de) 2002-05-07 2003-11-12 Sony Ericsson Mobile Communications AB Verfahren zum Laden einer Anwendung in einem Gerät, Gerät und Chipkarte dafür

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
www.globalplatform.org

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014079563A1 (de) * 2012-11-22 2014-05-30 Giesecke & Devrient Gmbh Installation einer applikation auf dem sicherheitselement eines portable datenträgers
EP2736214A1 (de) * 2012-11-27 2014-05-28 Nxp B.V. Steuerung des Anwendungszugriffs auf mobile Vorrichtungsfunktionen
US9191212B2 (en) 2012-11-27 2015-11-17 Nxp B.V. Controlling application access to mobile device functions
WO2014106530A1 (de) * 2013-01-03 2014-07-10 Giesecke & Devrient Gmbh Verfahren zum laden einer aus mehreren komponenten bestehenden applikation in ein aus mehreren komponenten bestehenden gerätes
CN104937549A (zh) * 2013-01-03 2015-09-23 德国捷德有限公司 将由多个组件组成的应用加载到由多个组件组成的设备中的方法
EP2765750A1 (de) * 2013-02-08 2014-08-13 Nxp B.V. Steuerung des Anwendungszugriffs auf mobile Vorrichtungsfunktionen
US9226143B2 (en) 2013-02-08 2015-12-29 Nxp B.V. Controlling application access to mobile device functions
EP2876568A4 (de) * 2013-08-23 2015-08-12 Huawei Device Co Ltd Berechtigungsverwaltungsverfahren und -vorrichtung sowie endgerät
US9614834B2 (en) 2013-08-23 2017-04-04 Huawei Device Co., Ltd. Permission management method, apparatus, and terminal
US9870463B2 (en) 2013-08-23 2018-01-16 Huawei Device (Dongguan) Co., Ltd. Permission management method, apparatus, and terminal
WO2017025188A1 (de) * 2015-08-11 2017-02-16 Giesecke & Devrient Gmbh Verfahren zur individualisierung eines tragbaren datenträgers, insbesondere einer chipkarte
US10269204B2 (en) 2015-08-11 2019-04-23 Giesecke+Devrient Mobile Security Gmbh Method for individualizing a portable data carrier, in particular a chip card

Also Published As

Publication number Publication date
US20140018041A1 (en) 2014-01-16
EP2691855A1 (de) 2014-02-05
WO2012130460A1 (de) 2012-10-04
US9173102B2 (en) 2015-10-27
CN103460186B (zh) 2017-02-22
EP2691855B1 (de) 2018-02-21
CN103460186A (zh) 2013-12-18

Similar Documents

Publication Publication Date Title
EP2691855B1 (de) Verfahren zum aktualisieren eines datenträgers
EP2692157B1 (de) Verfahren und vorrichtung zur aktualisierung einer datenträgerapplikation
DE102009013332B4 (de) Verfahren und Vorrichtung zum Erzeugen eines kryptografischen Schlüssels
DE102014220616A1 (de) Verfahren zum Laden von ausführbaren Programminstruktionen in eine Chipkarte im Wirkbetrieb
DE102009004113A1 (de) Verfahren zur Installation einer elektronischen Ticket- und/oder Bezahl-Applikation auf einem mobilen Endgerät
EP2885907B1 (de) Verfahren zur installation von sicherheitsrelevanten anwendungen in einem sicherheitselement eines endgerät
EP2673731B1 (de) Verfahren zur programmierung eines mobilendgeräte-chips
DE102014001038B4 (de) Elektronische Identität für ein Fahrzeug
EP3329415B1 (de) Chipkarte mit hauptapplikation und persistenzapplikation erlaubt hauptapplikationupdate ohne die benutzerdaten im persistenzapplikation zu ändern
DE102010004446A1 (de) Verfahren zum Bereitstellen eines sicheren Zählers auf einem Endgerät
DE102010041286A1 (de) Verfahren und Server zum Bereitstellen von Nutzerinformationen
DE102008047639A1 (de) Verfahren und Vorrichtung zum Zugriff auf ein maschinenlesbares Dokument
EP3051771B1 (de) Verfahren zum entsperren eines mobilen endgerätes
EP2613491B1 (de) Ausführung von kryptografischen Operationen mit Daten eines Nutzerendgeräts
EP3361436B1 (de) Verfahren zur freigabe einer transaktion
DE102008028703A1 (de) Ausführen kryptographischer Operationen
DE102012022875A1 (de) Verfahren und System zur Applikationsinstallation
DE102009008991A1 (de) Chipkarte mit Autorun-Funktion
WO2023051950A1 (de) Universal integrated chip card, uicc, zum verwalten von profilen, sowie verfahren
DE102014209037A1 (de) Vorrichtung und Verfahren zum Schutz der Integrität von Betriebssysteminstanzen
DE102015207004A1 (de) Verfahren zum geschützten Zugriff auf Sicherheitsfunktionen eines Sicherheitsmoduls eines Hostsystems
WO2023186348A1 (de) Verfahren zur verwaltung einer anwendung zur elektronischen identifizierung eines nutzers
DE102007022941A1 (de) Verfahren zum Ausführen einer Software auf einem Endgerät
DE102022104834A1 (de) Onboarding von cloud-diensten ohne vorherige anpassung der endgeräte
DE102023102191A1 (de) Installieren eines Betriebssystems in einer Prozessoreinrichtung, insbesondere einem Sicherheitsmodul

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021220000

Ipc: G06F0021100000

Effective date: 20130131

R163 Identified publications notified
R163 Identified publications notified

Effective date: 20140514

R120 Application withdrawn or ip right abandoned