DE102012003710A1 - Verlängerung der Betriebszeit eines Sicherheitselements - Google Patents

Verlängerung der Betriebszeit eines Sicherheitselements Download PDF

Info

Publication number
DE102012003710A1
DE102012003710A1 DE102012003710A DE102012003710A DE102012003710A1 DE 102012003710 A1 DE102012003710 A1 DE 102012003710A1 DE 102012003710 A DE102012003710 A DE 102012003710A DE 102012003710 A DE102012003710 A DE 102012003710A DE 102012003710 A1 DE102012003710 A1 DE 102012003710A1
Authority
DE
Germany
Prior art keywords
security element
memory
access
access events
server instance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102012003710A
Other languages
English (en)
Inventor
Jens Rudolph
Ulrich Wimböck
Bernhard Leutner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE102012003710A priority Critical patent/DE102012003710A1/de
Priority to EP13707813.5A priority patent/EP2817804B1/de
Priority to PCT/EP2013/000509 priority patent/WO2013124066A1/de
Publication of DE102012003710A1 publication Critical patent/DE102012003710A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C16/00Erasable programmable read-only memories
    • G11C16/02Erasable programmable read-only memories electrically programmable
    • G11C16/06Auxiliary circuits, e.g. for writing into memory
    • G11C16/34Determination of programming status, e.g. threshold voltage, overprogramming or underprogramming, retention
    • G11C16/349Arrangements for evaluating degradation, retention or wearout, e.g. by counting erase cycles

Landscapes

  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren und ein System zum Verlängern der Betriebszeit eines Sicherheitselements aufweisend einen integrierten Halbleiterschaltkreis. Dabei wird ein Funktionszustand des integrierten Halbleiterschaltkreises des Sicherheitselements erfasst und ein Datensatz für eine entfernte Serverinstanz bereitgestellt, wobei der Datensatz den Funktionszustand beinhaltet. Der Funktionszustand umfasst die Anzahl von Zugriffsereignissen auf zumindest einen Speicherteilbereich eines nichtflüchtigen Speichers des Sicherheitselements, wobei die Anzahl mittels einer Zugriffserfassungseinheit des Sicherheitselements erfasst wird. Eine Verwendung des Verfahrens in einem Sicherheitselements sowie ein entsprechendes Computerprogrammprodukt werden ebenfalls vorgeschlagen.

Description

  • Die Erfindung betrifft ein Verfahren und ein System zum Verlängern der Betriebszeit eines Sicherheitselements. Weiterhin betrifft die Erfindung eine Verwendung des Verfahrens in einem Sicherheitselements sowie ein Computerprogrammprodukt.
  • Bei einem Sicherheitselement handelt es sich beispielsweise um einen in Hardware ausgestalteten Datenträger. Das Sicherheitselement ist beispielsweise als ein fest integrierter Bestandteil in einem Endgerät angeordnet, wobei es entweder in der Form nicht vom Endgerät entnommen werden kann, beispielsweise als M2M Modul, Co-Prozessor, Trusted Base, Trusted Platform Module.
  • Alternativ ist das Sicherheitselement als ein entnehmbares Modul mit dem mobilen Endgerät verbunden, beispielsweise als Chipkarte, insbesondere einer Subscriber Identification Module, kurz SIM/USIM Karte, Smart Card, Massenspeicherkarte, USB-Token, Multimediakarte, Secure MicroSD-Karte, Mobilfunknetztoken, z. B. ein UMTS-Surfstick und/oder als elektronisches Identitätsdokument, beispielsweise als elektronischer Personalausweis beziehungsweise Reisepass mit, in einem Speicherbereich abgelegten maschinenlesbaren Identifikationsdaten einer Person.
  • Alternativ ist das Sicherheitselement eine Softwarekomponente und in der Form als vertrauenswürdiger Teil eines Betriebssystemkernels eines Endgerätes bzw. als ein Sicherheitssoftware-Algorithmus ausgestaltet, beispielsweise in der Verwendung als gesicherte Laufzeitumgebung zur Ausführung von Programmen bzw. Applikationen. Insbesondere kann als gesicherte Laufzeitumgebung die an sich bekannte ARM TrustZone® eingesetzt werden, auf der z. B. das ebenfalls bekannte Betriebssystem MobiCore® läuft.
  • Bei dem Sicherheitselement handelt es sich grundsätzlich um ein in Baugröße und Ressourcenumfang reduzierten Computer, der einen Mikrocontroller und mindestens eine Schnittstelle zur Kommunikation mit einem externen Gerät aufweist. Häufig besitzt er keine oder nur eine rudimentäre eigene Nutzerdatenausgabe. Das Sicherheitselement weist insbesondere einen Datenspeicher zum Ablegen von Daten, Informationen, Dateien und/oder Applikationen mit dazugehörigen Variablen ab, wobei Bereiche des Datenspeichers flüchtig oder nicht-flüchtig sein können. Der nichtflüchtige Datenspeicher kann insbesondere permanent, beispielsweise als ein Read-Only-Memory, kurz ROM oder semi-permanent, beispielsweise als ein Electrically-Erasable-Programmable-Read-Only-Memory, kurz EEPROM, Flashspeicher, Ferroelectric Random Access Memory, kurz FRAM bzw. FeRAM-Speicher oder Magnetoresistive Random Access Memory, kurz MRAM-Speicher.
  • Bei heutigen Sicherheitselementen ist die Anzahl der Schreib-/Löschzugriffe des semi-permanenten nichtflüchtigen Speichers begrenzt. Bei heutigen Speichertechnologien kann es zwingend sein, dass ein Löschzugriff erfolgen muss, bevor ein Schreibzugriff auf den Speicherteilbereich erfolgen kann. Im Folgenden wird dies auch unter dem Begriff Schreibzugriff verstanden. Bei EEPROM können je nach Logik Bits, Bytes oder Worte adressiert werden, beispielsweise 8, 16 oder 32 Bit. Bei Flash-Speichern wird ein Speicherteilbereich, auch Speicherseite oder Speicherpage bezeichnet, adressiert, beispielsweise 128 Bytes. Diese Anzahl sinkt mit zunehmender Leistungsfähigkeit und gleichzeitiger Flächenverkleinerung des Datenspeichers. Ein Hersteller derartiger nichtflüchtiger Speicher garantiert meist nur eine Maximalanzahl an Schreibzugriffereignissen pro Speicherteilbereich. Ist diese Anzahl von Schreibzugriffsereignissen erreicht, wird für die Funktionsfähigkeit des Datenspeichers keine Garantie übernommen. Wird das Sicherheitselement auch nach Erreichen des garantierten Maximalwerts an Zugriffsereignissen auf den Datenspeicher weiterhin betrieben, steigt das Risiko und die Wahrscheinlichkeit, dass der Datenspeicher nicht mehr funktionsfähig ist. In der Folge fällt das Sicherheitselement aus, was zu erheblichen Mehrkosten für den Betreiber bis hin zu Rückrufaktionen oder Endgeräteaustausch führen kann.
  • Problematisch hierbei ist, dass die Betriebszeit der Sicherheitselemente in Zukunft weiter gesteigert werden soll. So ist beispielsweise ein Kraftfahrzeug, ausgestattet mit einem Endgerät zur Aufnahme eines M2M Moduls mehrere Jahre in Betrieb, sodass der Datenspeicher eine im Vergleich zu heutigen SIM wesentlich höhere Betriebszeit erreichen muss. Damit einher muss auch der Datenspeicher für diese längere Betriebszeit gerüstet sein, da mit jeder Netzauthentisierung, M2M-Reset, OTA Softwareupdates etc. der Datenspeicher mit Zugriffsereignissen gestresst wird.
  • Alternativ werden zukünftig die Chipkarten in Mobilfunkendgeräten fest eingebaut sein, insbesondere als sogenannte Embedded-Universal-Integrated-Circuit-Card, kurz eUICC. Dann werden auf dem Mobilfunkendgerät in dessen Betriebszeit unterschiedliche Teilnehmerkennungen geladen, aktiviert, gelöscht und umgeschaltet, ein sogenanntes Over-The-Air Subscription Management, welches das häufige Zugreifen auf den nichtflüchtigen Speicher bedingt.
  • Auch die Erweiterbarkeit von Sicherheitselementen, insbesondere mit Applikationen aus dem Bereich der E-Services, wie E-payment, E-government, E-Vote, E-Education, E-Learning, E-Teaching, E-Publishing, E-Book, E-Catalog, E-Business, E-Commerce, E-Procurement, E-Shop, E-Intermediary, E-Auction, E-Culture, E-Consult und/oder E-Advising, führt zu einer Mehrbelastung des Datenspeichers des Sicherheitselements durch eine höhere Anzahl von Schriebzugriffen auf den Datenspeicher.
  • Zur Verlängerung der Betriebszeit von Datenspeichern in Flashtechnologie ist das sogenannte „Wear-Leveling” bekannt. Dazu wird auf dem Flashspeicher ein Flashcontroller zur Speicherverwaltung eingesetzt. Dieser Flashcontroller sorgt für eine gleichmäßige Auslastung/Abnutzung des Datenspeichers. Zum Einen ist das Wear-Leveling auf die Flashtechnologie beschränkt, zum Anderen hat das Sicherheitselements auf das Wear Leveling Verfahren im Flashcontroller keine Kontrolle, wodurch es ineffektiv und möglicherweise fehlerhaft eingesetzt wird.
  • Alternativ geben Hersteller von Sicherheitselementen stets den Hinweis, dass das Beschreiben des nichtflüchtigen Speichers auf ein Minimum zu reduzieren und insbesondere entsprechende Software-Routinen, beispielsweise Programmcodeschleifen, aufwendige Registerauswertungen etc., zu umgehen sind. Dabei ist nachteilig, dass sich ein Softwareprogrammierer in der Gestaltung des Softwarecodes einschränken muss. Dies beeinträchtigt die Leistungsfähigkeit, den Rechenaufwand und die Programmlaufzeit des Sicherheitselements.
  • In der DE 103 51 745 A1 wird vorgeschlagen, den Funktionszustand eines Sicherheitselements an einen Betreiber des Sicherheitselements zu melden. Dabei werden nur defekte Speicherteilbereiche ermittelt. Der Betreiber entscheidet dann, ab wann das Sicherheitselement auszutauschen ist.
  • In der DE 10 2008 056 710 A1 wird vorgeschlagen, dem Benutzer oder dem Betreiber des Sicherheitselements anzuzeigen, warm das Sicherheitselement verschlissen ist, sodass rechtzeitig ein Austausch des Sicherheitselements erfolgen kann.
  • Der Erfindung liegt die Aufgabe zugrunde, einen möglichst langen Betrieb eines Sicherheitselements sicherzustellen. Dabei soll die Leistungsfähigkeit des Sicherheitselements nicht eingeschränkt werden. Weiterhin soll der Betreiber des Sicherheitselements über den Betriebszustand der Sicherheitselemente informiert sein. Insbesondere sollen sowohl das Sicherheitselement als auch der Betreiber des Sicherheitselements Maßnahmen ergreifen können, um die Betriebszeit wesentlich zu erhöhen. Eine weitere Aufgabe besteht darin, Probleme beim Betrieb des Sicherheitselements zu identifizieren, beispielsweise eine unvorteilhaft programmierte Softwareroutine oder eine fehlerhafte Kommunikationsfähigkeit.
  • Die Aufgabe der Erfindung wird durch die in den nebengeordneten unabhängigen Patentansprüchen beschriebenen Maßnahmen gelöst. Vorteilhafte Ausgestaltungen sind in den jeweils abhängigen Ansprüchen beschrieben.
  • Insbesondere wird die Aufgabe durch ein Verfahren zum Verlängern der Betriebszeit eines Sicherheitselements aufweisend einen integrierten Halbleiterschaltkreis gelöst. Das Verfahren umfasst die Schritte: Erfassen eines Funktionszustands des integrierten Halbleiterschaltkreises des Sicherheitselements; Bereitstellen eines Datensatz durch die Sicherheitselement für eine entfernte Serverinstanz, wobei der Datensatz den Funktionszustand beinhaltet. Das Verfahren umfasst insbesondere, dass der Funktionszustand die Anzahl von Zugriffsereignissen auf zumindest einen Speicherteilbereich eines nichtflüchtigen Speichers des Sicherheitselements umfasst, wobei die Anzahl mittels einer Zugriffserfassungseinheit des Sicherheitselements erfasst wird und dass die Verwendung des nichtflüchtigen Speichers bei Überschreiten eines vordefinierten Schwellwerts der erfassten Anzahl von Zugriffsereignissen angepasst wird.
  • Mit diesem Verfahren wird in vorteilhafter Weise erreicht, dass die Serverinstanz über die Anzahl der Zugriffe auf Speicherteilbereiche informiert wird, wodurch rechtzeitig Maßnahmen eingeleitet werden können, um die Betriebszeit des Sicherheitselements zu verlängern und einem ggf. drohenden Ausfall des Sicherheitselements entgegenzuwirken. Die Erfindung hat insbesondere den Vorteil, dass die Serverinstanz Informationen über die Abnutzung des Sicherheitselements erfährt. Beispielsweise können damit Fehler bei der Kommunikationsfähigkeit des Sicherheitselements angezeigt werden. Weiterhin können Applikationen und/oder Services des Sicherheitselements detektiert werden, die unvorteilhaft programmiert sind und die Betriebslaufzeit verkürzen würden.
  • Der Schwellwert ist beispielsweise die garantierte Maximalanzahl an Zugriffen, die vom Hersteller des nichtflüchtigen Speichers für einen Speicherteilbereich garantiert wird, wodurch der entfernten Serverinstanz mitgeteilt wird, dass dieser Speicherteilbereich die garantierte Betriebszeit erreicht hat. Insbesondere ist der vordefinierte Schwellwert ein Bruchteil dieser Maximalanzahl, beispielsweise jedes Zehntel dieser Maximalanzahl, wodurch die entfernte Serverinstanz frühzeitig informiert wird, in welchem Betriebsalter der jeweilige Speicherteilbereich ist.
  • Unter Anpassen der Verwendung des nichtflüchtigen Speichers wird das Neuverwalten des Speichers, das Ändern der Zugriffsrechte für Speicherteilbereiche und/oder das Umsortieren des nichtflüchtigen Speichers verstanden, also Maßnahmen die zur Verlängerung der Betriebszeit führen. Mit Anpassen der Verwendung ist insbesondere nicht das komplette Sperren des Speichers gemeint, beispielsweise im Rahmen einer Fehlbedienungserkennung oder eines Manipulationsangriffs, da damit die Betriebsfähigkeit des Sicherheitselements zumindest temporär beendet wäre, wohingegen hier die Betriebszeit verlängert wird.
  • Dabei ist entscheidend, dass die Zugriffserfassungseinheit logisch ein Teil der zentralen Recheneinheit ist, wodurch die Anpassung der Speicherverwendung vom Sicherheitselement beeinflusst werden kann.
  • Der nichtflüchtige Speicher ist insbesondere ein semi-permanenter Datenspeicher. Das Zugriffsereignis ist dabei insbesondere ein Schreibzugriffsereignis, welches endgeräteseitig, serverseitig und/oder sicherheitselementeseitig initiiert werden kann. Als derartige Zugriffsereignisse werden insbesondere das Erfassen eines RESET des Sicherheitselements, das Erfassen einer fehlgeschlagenen oder erfolgreichen Authentisierung, das Erfassen eines EVENTS, das Erfassen eines Kommandos und/oder das Erfassen einer Datei- oder Variablenaktualisierungen verstanden, die einen Schreibzugriff auf den nichtflüchtigen Speicher bedingen.
  • Durch das Erfassen dieser Schreibzugriffsereignisse wird ein Großteil der, für das potentiellen Altern des nichtflüchtigen Speichers des Sicherheitselements verantwortlichen, Ereignisse erfasst und an die entfernte Serverinstanz übermittelt.
  • Bei dem Speicherteilbereich handelt es sich insbesondere um einen Dateisektor oder eine Speicherseite, englisch Page des nichtflüchtigen Speichers, also eine Teileinheit des Speichers. Die maximale Anzahl von Schreibzugriffsereignissen bezieht sich dabei auf einen Speicherteilbereich.
  • In einer Ausgestaltung umfasst der Datensatz die Anzahl der Schreibzugriffe von mehreren Speicherteilbereichen, wodurch eine umfassende Analyse seitens der Serverinstanz möglich ist.
  • Der zu übermittelnde Datensatz umfasst dabei in vorteilhafter Weise nicht nur die Anzahl der Zugriffsereignisse des/der Speicherteilbereich/e, sondern auch das Ereignis selbst, welches den Zugriff verursacht hat. Der Datensatz umfasst insbesondere eine Kombination aus Anzahl der Zugriffsereignisse und einer Identifizierung des jeweiligen Speicherteilbereichs, sodass häufig beschriebene Speicherteilbereich im Rahmen einer sogenannten Hotspot-Analyse lokalisiert werden können.
  • Der zu übermittelnde Datensatz umfasst in einer Ausgestaltung neben der Anzahl der Zugriffsereignisse auch eine Bezeichnung des Ereignisses welches den Zugriff ausgelöst hat.
  • In einer Ausgestaltung umfasst der Datensatz die Anzahl der Schreibzugriffe von einer Vielzahl von Speicherteilbereichen unter Angabe der in dem Speicherteilbereich enthaltenen häufig zu aktualisierenden Dateien und/oder Variablen. Dadurch können Applikationen und oder Services des Sicherheitselements detektiert werden, die die Betriebszeit des Sicherheitselements aufgrund der Aktualisierungsrate ihrer dazugehörigen Dateien und/oder Variablen am meisten verkürzen bzw. am meisten beeinflussen.
  • In einer vorteilhaften Ausgestaltung wird der Datensatz von dem Sicherheitselement automatisch versendet wird, sobald das Überschreiten des vordefinierten Schwellwerts erkannt wird. Somit wird ein Automatismus erreicht der sofort und/oder zeitversetzt den Datensatz an die Serverinstanz übermittelt. Eine Interaktion seitens des Benutzers oder der Serverinstanz ist somit an dieser Stelle nicht notwendig.
  • In einer alternativen Ausgestaltung wird der Datensatz von der Serverinstanz zur Ermittlung des Funktionszustands des Sicherheitselements angefordert. Die Serverinstanz ist somit in der Lage, jederzeit den Zustand des nichtflüchtigen Speichers abzufragen und einem möglichen Ausfall durch Anpassung der Speicherverwendung entgegenwirken.
  • In einer vorteilhaften Ausgestaltung werden in Abhängigkeit des Datensatzes Applikationen und/oder Dienste auf dem Sicherheitselement angepasst. Stellt die Serverinstanz fest, dass ein spezieller Service oder eine spezielle Applikation den nichtflüchtigen Speicher sehr oft beschreibt, kann dieser deaktiviert werden. Dies erhöht die Betriebszeit des Sicherheitselements enorm.
  • Alternativ kann die Serverinstanz oder das Sicherheitselement veranlassen, dass spezielle Daten, Dateien, Variablen etc. nicht mehr im nichtflüchtigen Speicher abgelegt werden, sondern beispielsweise nur noch in einem flüchtigen Speicherbereich. Alternativ kann veranlasst werden, dass die Aktualisierungsrate für derartige Daten, Dateien, Variablen etc. verringert wird, indem nur noch ein vordefiniertes Vielfaches der Daten, Dateien, Variablen etc im nichtflüchtigen Speicher abgelegt werden.
  • In einer vorteilhaften Ausgestaltung ordnet die Zugriffserfassungseinheit die einzelnen Speicherteilbereiche entsprechend eines entsprechenden Zählerstands der erfassten Anzahl von Zugriffsereignissen Entsprechend der Ordnung können dadurch Datensätze an die Serverinstanz in Abhängigkeit des Zählerstands gesendet werden, wobei beispielsweise nur eine vordefinierte Nummer der höchsten erfassten Anzahlen von Zugriffen auf Speicherteilbereiche im Datensatz an die Serverinstanz übermittelt werden.
  • In einer bevorzugten Ausgestaltung legt eine Verwaltungseinheit des Sicherheitselements die erfasste Anzahl der Zugriffsereignissen durch Aktualisieren eines Zählerstands in einem exklusiv für den Zählerstand reservierten Speicherteilbereich des nichtflüchtigen Speichers ab. Die Verwaltungseinheit ist wie die Zugriffserfassungseinheit eine Teilkomponente der zentralen Recheneinheit des Halbleiterschaltkreises und damit von einem Flashcontroller zu unterscheiden.
  • Sicherheitselemente werden oftmals in sogenannten Session betrieben, wobei zwischen den einzelnen Session möglicherweise keine Versorgung zum Betreiben des Sicherheitselements vorhanden ist. Alle bis dahin erfassten Anzahlen von Zugriffsereignissen wären nach der Session verworfen. Das Ablegen im nichtflüchtigen Speicher hat somit den Vorteil, dass die erfasste Anzahl von Zugriffen in Form von Zählerständen im nichtflüchtigen Speicher abgelegt ist. Der Zählerstand ist dabei eine Zahl entsprechend der erfassten Anzahl der Zugriffe auf den Speicherteilbereich im nichtflüchtigen Speicher. Dieser Zählerstand kann inkrementiert oder dekrementiert werden.
  • Unter exklusiv reserviertem Speicherteilbereich wird dabei verstanden, dass in einem Speicherteilbereich nur ein Zählerstand abgelegt werden kann. Dadurch wird sichergestellt, dass das häufige Aktualisieren der Zählerstände den nichtflüchtigen Speicher nicht zusätzlich belastet, was sogar zu einer Verkürzung der Betriebszeit führen könnte.
  • Unter exklusiv für den Zählerstand reservierten Speicherteilbereich wird dabei verstanden, dass in diesen Speicherteilbereich nur der Zählerstand und ansonsten keine zusätzlichen Daten, oder Dateien oder Variablen abgelegt werden. Dadurch wird sichergestellt, dass das häufige Aktualisieren der Zählerstände den nichtflüchtigen Speicher nicht zusätzlich belastet, was sogar zu einer Verkürzung der Betriebszeit führen könnte.
  • Problematisch ist, dass jede Aktualisierung des Zählerstands im nichtflüchtigen Speicher zusätzlich belastet und ggf. die Betriebszeit verkürzt werden würde. Daher wird der Zählerstand gemäß einer bevorzugten Ausgestaltung durch die Verwaltungseinheit zunächst in einem flüchtigen Speicherbereich des Sicherheitselements abgelegt und nur bei Überschreiten eines vordefinierten Vielfachen des im flüchtigen Speicher abgelegten Zählerstands wird ein Zählerstand im nichtflüchtigen Speicherteilbereich aktualisiert. Das vordefinierte Vielfache kann dabei in Abhängigkeit der garantierten Anzahl von Zugriffen auf einen Speicherteilbereich erfolgen oder ein vordefiniertes ganzzahliges Vielfaches sein.
  • Um den nichtflüchtigen Speicherbereich nicht zusätzlich durch die Zählerstände zu schwächen wird alternativ ein sogenanntes Zählerstand-Mapping vorgeschlagen Dabei legt die Verwaltungseinheit mehrere erfasste Anzahlen von Zugriffsereignissen in unterschiedlichen Speicherteilbereichen durch Aktualisieren entsprechender Zählerstände im nichtflüchtigen Speicherbereich ab, wobei ein zu aktualisierender Zählerstand in einem Speicherteilbereich abgelegt wird, der im Vergleich zur Aktualisierungsrate des Zählerstands eine geringere Anzahl von Zugriffsereignissen aufweist. Dadurch werden die höchsten Zählerstände in Speicherteilbereichen mit wesentlich niedrigeren Aktualisierungsraten abgelegt. Es wird weiterhin verhindert, dass ein Speicherteilbereich mit einer vergleichsweise hohen Anzahl von Schreibzugriffen zusätzlich noch einen hohen Zählerstand beinhaltet.
  • In einer bevorzugten Ausgestaltung verhindert die Verwaltungseinheit des Sicherheitselements ein Zugriffsereignis auf einen Speicherteilbereich, sobald der vordefinierte Schwellwert überschritten ist. Alternativ werden exklusive Zugriffsrechte nur für die Serverinstanz vergeben, sodass der Speicherteilbereich nicht weiter vom Sicherheitselement beschrieben werden kann. Die Betriebszeit wird dadurch weiter gesteigert, da potentiell gefährdete Speicherteilbereiche erkannt und für weitere Schreibzugriffe gesperrt werden. In einer bevorzugten Ausgestaltung erfolgt das Anpassen der Speicherverwendung, indem Daten, Dateien und/oder Variablen eines vordefinierten Typs in unterschiedliche Speicherteilbereiche abgelegt werden. Insbesondere werden Dateien mit gleichen Attributen, beispielsweise dem Attribut „High Update Activity” gemäß Rankl/Effings „Handbuch der Chipkarten” in der 5. Auflage, auf unterschiedliche Speicherteilbereiche aufgeteilt, wodurch die einzelnen Speicherteilbereich eine längere Betriebszeit aufweisen können. Dabei können diese Dateien auch in noch unbeschriebene Speicherteilbereiche abgelegt werden. Die Anpassung der Speicherverwendung erfolgt insbesondere serverseitig oder mittels der Verwaltungseinheit des Sicherheitselements.
  • In einer bevorzugten Ausgestaltung erfolgt das Anpassen der Speicherwendung derart, dass ein Datum, eine Datei und/oder eine Variable in einem vom ursprünglichen Speicherteilbereich verschiedenen Speicherteilbereich abgelegt wird, sobald die erfasste Anzahl von Zugriffsereignissen im ursprünglichen Speicherteilbereich den vordefinierten Schwellwert überschreitet. Es wird also seitens des Sicherheitselements selbst oder seitens der Serverinstanz festgestellt, dass ein Speicherteilbereich seinen Maximalwert erreicht hat, sodass die Daten, Dateien und/oder Variablen dieses Speicherteilbereichs in einen anderen Teilbereich oder in andere Teilbereiche abgelegt werden.
  • Alternativ erfolgt das Anpassen der Speicherwendung derart, dass Daten, Dateien und/oder Variablen, die ursprünglich in einem gemeinsamen Speicherteilbereich abgelegt wurden, auf mehrere unterschiedliche Speicherteilbereiche aufgeteilt werden, sobald die erfasste Anzahl von Zugriffsereignissen den vordefinierter Schwellwert übersteigt.
  • Der Datensatz wird mittels einer, für den Austausch des Datensatzes geeigneten Netzwerkverbindung an die entfernte Serverinstanz übermittelt.
  • Im Erfindungsgrundgedanken ist weiterhin die Verwendung des Verfahrens in einem Sicherheitselement vorgesehen.
  • Im Erfindungsgrundgedanken ist weiterhin ein Computerprogrammprodukt vorgesehen, welches zum Ausführen des Verfahrens eingerichtet ist, wobei das Computerprogrammprodukt in einer zentralen Recheneinheit des Sicherheitselements ausgeführt wird.
  • Im Erfindungsgrundgedanken ist weiterhin ein System bestehend aus zumindest einem Sicherheitselement aufweisend einen integrierten Halbleiterschaltkreis: mit einem nichtflüchtigen Speicher zum Ablegen von Daten; einer zentralen Recheneinheit; und zumindest einer Schnittstelle zum Übermitteln eines Datensatzes betreffend eines Funktionszustands des Sicherheitselements. Das System umfasst weiterhin eine entfernte Serverinstanz, zum Erhalten des Datensatzes und ein Netzwerk, durch das wenigstens temporär eine Datenverbindung zwischen dem Sicherheitselement und der entfernten Serverinstanz ausgebildet wird. Die zentrale Recheneinheit weist eine Zugriffserfassungseinheit zum Erfassen einer Anzahl von Zugriffsereignissen auf Speicherteilbereiche des nichtflüchtigen Speicherbereichs auf. Der Datensatz umfasst die erfasste Anzahl der Zugriffsereignisse. Der nichtflüchtige Speicher ist bei Überschreiten eines vordefinierten Schwellwerts der erfassten Anzahl von Zugriffsereignissen anpassbar.
  • Das System weist eine Vielzahl von Sicherheitselementen auf, die jeweils mit der entfernten Serverinstanz verbunden sind.
  • Die entfernte Serverinstanz ist bevorzugt ein Over-the-Air Server in einem Mobilfunknetz. Das Sicherheitselement ist bevorzugt ein Teilnehmeridentifizierungsmodul in einem Endgerät, wobei das Netzwerk ein Mobilfunknetzwerk ist.
  • Der Datensatz ist in einer bevorzugten Ausgestaltung eine Short Message Service, kurz SMS.
  • Als Mobilfunknetz wird eine technische Infrastruktur verstanden, auf der die Übertragung von Signalen für den Mobilfunk stattfindet. Dabei ist im Wesentlichen das Mobilvermittlungsnetz, in dem die Übertragung und Vermittlung der Signale zwischen ortsfesten Einrichtungen und Plattformen des Mobilfunknetzes stattfinden, sowie das Zugangsnetz (auch als Luftschnittstelle bezeichnet), in dem die Übertragung der Signale zwischen einer Mobilfunkantenne und einem mobilen Endgerät stattfindet, zu verstehen. Beispielsweise das „Global System for Mobile Communications”, kurz GSM als Vertreter der sogenannten zweiten Generation oder das General Packet Radio Service, kurz GPRS und Universal Mobile Telecommunications System, kurz UMTS als Vertreter der sogenannten dritten Generation von Mobilfunknetzen seien hier beispielhaft erwähnt, wobei bei der dritten Generation das Mobilvermittlungsnetz um die Fähigkeit einer paketorientierten Datenübertragung erweitert wird, das Funknetz an sich aber unverändert ist.
  • Der Übertragung des Datensatzes an die Serverinstanz ist prinzipiell keine Grenze gesetzt. So kann die Übertragung over-the-air, kurz OTA, over-the-internet, kurz OTI, mittels eines lokalen Netzwerkanschlusses, bspw. (W)LAN oder auch über eine Nahfeldkommunikationsschnittstelle erfolgen.
  • Zur Übertragung des Datensatzes wird beispielsweise das Bearer Independent Protocol, kurz BIP verwendet. Alternativ kann das Internet Protokoll, kurz IP, verwendet werden, insbesondere bei einer Übertragung via Long Term Evolution, kurz LTE.
  • Nachfolgend wird anhand von Figuren die Erfindung bzw. weitere Ausführungsformen und Vorteile der Erfindung näher erläutert, wobei die Figuren lediglich Ausführungsbeispiele der Erfindung beschreiben. Gleiche Bestandteile in den Figuren werden mit gleichen Bezugszeichen versehen. Die Figuren sind nicht als maßstabsgetreu anzusehen, es können einzelne Elemente der Figuren übertrieben groß bzw. übertrieben vereinfacht dargestellt sein.
  • Es zeigen:
  • 1 Ein skizziertes erfindungsgemäßes System aus Sicherheitselement und entferntem Server
  • 2 den Aufbau eines erfindungsgemäßen Sicherheitselements
  • 3 den Aufbau eines erfindungsgemäßen Sicherheitselements, alternativ zu 2
  • 4 den Aufbau eines erfindungsgemäßen Sicherheitselements, alternativ zu 2 und 3
  • 5 eine Zugriffserfassungseinheit und Verwaltungseinheit bei Erfassen eines Zugriffsereignisses gemäß der Erfindung
  • 6 ein Ausschnitt aus einem erfindungsgemäßen nichtflüchtigen Speichers eines Sicherheitselements
  • 7 ein erfindungsgemäßes Anpassen der Speicherverwendung
  • 8 ein erfindungsgemäßes Anpassen der Speicherverwendung, alternativ zu 7
  • 9 ein erfindungsgemäßes Anpassen der Speicherverwendung, alternativ zu 7 und 8
  • 10 ein erfindungsgemäßer Verfahrensablauf in dem Sicherheitselement zum Anpassen der Speicherverwendung
  • 11 ein erfindungsgemäßer Verfahrensablauf in der Serverinstanz zum Anpassen der Speicherverwendung
  • 1 zeigt ein erfindungsgemäßes System bestehend aus einer entfernten Serverinstanz 2 und einem Sicherheitselement 4. Das Sicherheitselement 4 ist hier einerseits als Hardware-Sicherheitselement 4a mit einem Datenspeicher 43 in ein Endgeräts 1 eingebracht. Das Sicherheitselement 4a ist dabei entweder ein SIM oder ein M2M Modul als integrierter Bestandteil des Endgeräts 1. Ein detaillierter Aufbau des Sicherheitselements 4a kann insbesondere der 2 und 3 entnommen werden. Alternativ oder zusätzlich ist ein Sicherheitselement 4b in Form eines Software-Sicherheitselements 4b mit einem Datenspeicher 43 in das Endgerät 1 eingebracht. Ein detaillierter Aufbau des Sicherheitselements 4b kann insbesondere der 4 entnommen werden.
  • Die entfernte Serverinstanz 2 ist ein über das Mobilfunknetz 3 mit dem Sicherheitselement zumindest temporär in Kommunikationsverbindung stehender OTA Server. Der OTA Server wird beispielsweise gemäß GSM 03.40, GSM 03.48 und/oder ETSI/SCP-3GPP-3GPP2 Standard betrieben. Er empfängt, einen vom Sicherheitselement 4 bereitgestellten Datensatz in Form von SMS. Der Datensatz beinhaltet eine Anzahl von Zugriffsereignissen 5 auf Speicherteilbereiche 4310 des Sicherheitselements.
  • In 2 ist ein Hardware-Sicherheitselement 4a als Blockschaltbild mit funktionellen Elementen dargestellt. In 2 handelt es sich um ein Teilnehmeridentifizierungsmodul, kurz SIM, das in Form einer Chipkarte in das Endgerät 1 entnehmbar eingesteckt wird. Mittels des SIM 4a authentisiert sich der Teilnehmer an dem Mobilfunknetz 2. Das SIM 4a verfügt dazu über eine Schnittstelle 42, um mit dem Endgerät 1 und/oder den Instanzen des Mobilfunknetzes 2 Daten austauschen zu können. Eine derartige Schnittstelle ist kontaktbehaftet und insbesondere nach dem Standard ISO/IEC 7816 ausgestaltet. Die Ausgestaltung der Schnittstelle 42 kann darüber hinaus auch nach alternativen Standards, beispielsweise USB oder einem Nahfeldkommunikationsstandard, beispielsweise SWP, erfolgen.
  • In der SIM 4a ist ein integrierter Halbleiterschaltkreis 41 eingebracht. Der Halbleiterschaltkreis umfasst eine zentrale Recheneinheit 46, kurz CPU mit einer darin ausgebildeten Zugriffserfassungseinheit 44. Der Halbleiterschaltkreis 41 umfasst weiterhin einen Datenspeicher 43, der aus einem flüchtigen Speicher 430, engl. Random-Access-Memory, kurz RAM und einem nichtflüchtigen Speicher 431 besteht. Im Folgenden wird nur derjenige nichtflüchtige Speicher 431 betrachtet, der semi-permanent ist, also ein EEPROM, ein Flashspeicher, ein FRAM bzw. FeRAM-Speicher oder MRAM-Speicher. Dieser nichtflüchtige Speicher kann per se nicht unendlich oft beschrieben oder ausgelesen werden. Typischerweise garantiert ein Hersteller eines EEPROM Speicher zwischen 100000 und 500000 Schreibzyklen pro Speicherteilbereich 4310, bei einem Flashspeicher werden nur bis zu 100000 Schreibzyklen pro Speicherteilbereich 4310 garantiert.
  • Sei Sicherheitselementen 4 ist die typische Größe des nichtflüchtigen Speichers 431 zwischen wenigen Kilobyte bis zu wenigen Megabyte. Der Speicher ist dabei in Speicherteilbereiche 4310 unterteilt, wobei die Teilbereiche 4310 als Speichersektor oder Speicherseite, engl. Page, bezeichnet werden. Die Größe der Speicherteilbereich 4310 variiert in Abhängigkeit der Speichertechnologie. Bei Flashspeichern beträgt die Größe der Speicherteilbereiche zwischen 32 Byte bis 256 Byte, typischerweise 128 Byte. Sicherheitselemente mit Datenspeichern 43 in Größenordnungen von mehreren Megabyte können auch Speicherteilbereiche 4310 von bis zu 64 Kilobyte aufweisen.
  • Daher ist die Lebenszeit des Sicherheitselements 4 stark abhängig von der Anzahl der Zugriffe auf diesen Speicherbereich 431. Erfindungsgemäß ist daher vorgesehen, die Zugriffe auf die einzelnen Speicherteilbereiche 4310 zu erfassen, um Aussagen über den Verbrauch des Sicherheitselements machen zu können und die Verwendung des Speicherbereichs 431 anzupassen, sobald ein Schwellwert an Zugriffsereignissen eines Speicherteilbereichs 4310 überschritten ist. Dazu ist im Sicherheitselement 4 eine Zugriffsanalyseeinheit 44 vorgesehen, die Schreibzugriffsereignisse 5 auf die einzelnen Speicherteilbereiche 4310 erfasst und protokolliert.
  • Im Folgenden wird eine Auswahl an Zugriffsereignissen 5 aufgelistet, die von der Zugriffserfassungseinheit 44 erfasst werden:
    • – Kommandos gemäß SIM Toolkit Applikation, beispielsweise „AUTHENTICATE”, „UPDATEFILE”, „ENVELOPE”, „REFRESH”, „RESET”
    • – EVENTS einer Java Card API, gemäß der JAVA Card SIM API GSM 03.19 oder USIM API für JAVA CARD 3GPP TS 31.130 oder UICC API für Java Card gemäß ETSI TS 102.241
    • – Aktualisierungen von Variablen Var 1 einer Applikation APP1 auf dem Sicherheitselement 4
    • – Aktualisierungen spezieller Elementary Files EF auf dem Sicherheitselement 4, beispielsweise EF_Loci; EF_PLMN
    • – Aktualisierungen eines Fehlbedienungszählers
  • Die Zugriffserfassungseinheit 4a erfasst die Anzahl derartiger Zugriffe 5 pro Speicherteilbereich 4310. Bei Überschreiten von vordefinierten Schwellwerten X, beispielsweise Bruchteile der garantierten Maximalanzahl (10%, 50%, 80%) der Zugriffe 5 oder bei einer absoluten Schwelle X, beispielsweise X = 5000 Zugriffe pro Speicherteilbereich 4310 wird ein Datensatz bereitgestellt und über die Schnittstelle 42 und das Netzwerk 3 dem OTA Server 2 zur Verfügung gestellt.
  • Das Hardware-Sicherheitselement 4a hat in einer nicht dargestellten Ausführung sowohl eine kontaktbehaftete Schnittstelle 42 als auch eine kontaktlose Schnittstelle. Das Betriebssystem des Hardware-Sicherheitselements 4a ist dabei so ausgelegt, dass die kontaktlose Schnittstelle beispielsweise gemäß einer der ISO/IEC 14443, 15693 oder 18092 und das kontaktbehaftete Interface beispielsweise gemäß ISO/IEC 7816 parallel bedient werden können.
  • Gemäß 3 ist eine alternative Ausführung eines Hardwaresicherheitsmoduls 4a gezeigt. Hierbei ist im einzigen Unterschied weiterhin eine Verwaltungseinheit 45 vorgesehen, um die Verwendung des Speichers anzupassen, sobald ein Schwellwert X der erfassten Anzahl überschritten ist. Einzelheiten zur Arbeitsweise der Verwaltungseinheit 45 können der 59 entnommen werden.
  • Sowohl die Zugriffserfassungseinheit 44 als auch die Verwaltungseinheit 45 werden als Teilkomponente in der zentralen Recheneinheit 46 CPU eingebracht und laufen dort beispielsweise als Softwareroutinen ab. Neben der Zugriffserfassungseinheit 44 und der Verwaltungseinheit 45 können weitere Wear-Leveling Mechanismen direkt auf dem Speicherbereich 43 integriert sein.
  • In 4 ist eine alternative Ausführung eines Sicherheitselements 4 in Form einer Software-Sicherheitselement 4b dargestellt. Prinzipiell unterscheiden sich die Sicherheitselemente 4a der 2 und 3 von dem Sicherheitselement der 4 in ihrer physischen Ausgestaltung. In 4 wird das Sicherheitselement als Teilkomponente eines Betriebssystemkernels in das Endgerät 1 eingebracht, wobei eine unsichere Betriebssystemkomponente OS und eine gesicherte Laufzeitumgebung, bspw. MobiCore vorgesehen. Wann immer eine Applikation App1 oder ein sicheres Trustlet den Speicherbereich 43 beschreiben wollen, erfasst dies eine Routine in der gesicherten Laufzeitumgebung mittels einer Zugriffserfassungseinheit 44 und passt ggf. den Speicher 43, insbesondere den nichtflüchtigen Speicher 431 mittels Verwaltungseinheit 45 an. Sobald ein Schwellwert X erreicht ist, wird der entfernten Serverinstanz 2 ein Datensatz beinhaltend die Anzahl der Zugriffe 5 bereitgestellt.
  • In 5 ist die Belegung eines Speicherbereichs 431 des Sicherheitselements 4 der vorangegangen 2 bis 4 dargestellt. Das beispielhafte Dateisystem ist mit einem Masterfile MF und diversen Directory Files DF beinhaltend mehrere DF oder Elementary Files EF ausgestattet. Weiterhin ist eine Applikation APP1 mit beispielhaften Variablen Var 1 und Var 2 im Dateisystem enthalten. Werden im Zuge des Betriebs des Sicherheitselements 4 Zugriffe 5 auf dieses Dateisystem nötig, so wird dies durch die Zugriffserfassungseinheit 44 erfasst. Beispielsweise soll EF1* die abgelegte EF1 ersetzen, wird dies als Zugriff 5 erfasst. Bevorzugt werden Zugriffe auf häufig zu aktualisierende Dateien, beispielsweise die EF_Loci, EF_PLMN, EF_Kc, EF_SMSS, EF_BCCH erfasst. Alternativ können auch Programmroutinen, die eine spezielle Variable Var 1 oft überschreiben erfasst werden.
  • In der 6 wird nun gezeigt, wie ein erfasster Zugriff 5 innerhalb des Sicherheitselements 4 weiter bearbeitet wird. Dargestellt sind mehrere Speicherteilbereiche 4310 eines nichtflüchtigen Speichers 431, beispielsweise eines EEPROM Speichers. Wird in einem Speicherteilbereich 4310 ein Zugriff 5 erfasst, so wird dies anhand der Aktualisierung eines entsprechenden Zählerstands 6 des jeweiligen Speicherteilbereichs 4310 festgehalten.
  • Der Zählerstand 6 wird in unterschiedlichen Ausführungen aktualisiert. Die Aktualisierung wird entweder von der Zugriffserfassungseinheit 44 oder der Verwaltungseinheit 45 durchgeführt. Wenn ein Sicherheitselement 4 dauerhaft mit Spannung versorgt wird, so ist es möglich, den Zählerstand 7 in einem flüchtigen Speicher 430 abzulegen und dort zu aktualisieren. Wird ein Schwellwert X überschritten, erfolgt die Bereitstellung des Datensatzes an die entfernte Serverinstanz 2. Wird die Stromversorgung unterbrochen, so verfallen alle bis dahin erfassten Zählerstände 7. Somit sollte der Zählerstand 6 in einem nichtflüchtigen Speicher 431 abgelegt werden. Dabei kann jeder Zugriff 5 auf einen Speicherteilbereich 4310 zu einer Aktualisierung des Zählerstands 6 durch dessen Inkrementierung oder Dekrementierung führen. Dadurch würde der Speicherbereich 431 aber zusätzlich gestresst, da quasi jeder Zugriff 5 doppelt erfolgt.
  • Somit sind folgende verschiedene Aktualisierungen des Zählerstands 6 zu bevorzugen:
    • a) Zunächst erfolgt eine Aktualisierung des Zählerstands 7 im RAM 430 des Sicherheitselements 4. Jedes vordefinierte Vielfache, beispielsweise 10, 100 etc. dieser Aktualisierung des Zählerstands 7 führt zu einer Aktualisierung eines Zählerstands 7 im nichtflüchtigen Speicher 431 des Sicherheitselements 4. Das vordefinierte Vielfache ist dann so zu wählen, dass zumindest die Hälfte der erfassten Zugriffe 5 auch nach dem Ende einer Session des Sicherheitselements 4 nachvollzogen werden können.
    • b) Zunächst erfolgt eine Aktualisierung des Zählerstands 7 im RAM 430 des Sicherheitselements 4. Zum Ende einer Session werden die entsprechenden Zählerstände 7 durch einmaligen Zugriff 5 auf Zählerstände 6 im nichtflüchtigen Speicher 431 aktualisiert.
    • c) Ein Zählerstand 6 wird in exklusiv für diesen Zählerstand 6 reservierten Speicherteilbereich 4310 aktualisiert. Somit wird dieser Speicherteilbereich 4310 nur von dem Zählerstand 6 gestresst. Alternativ befinden sich in diesem Speicherteilbereich 4310 nur Daten, Dateien und/oder Variablen, die nicht oder mit einer wesentlich geringeren Häufigkeit als der Zählerstand 6 selbst.
  • Somit können Datensätze vom Sicherheitselement 4 bereitgestellt werden, in denen die aktualisierten Zählerstände 6 einzelner, mehrerer oder aller Speicherteilbereiche 4310 eingebracht werden. Die entfernte Serverinstanz 2 ist somit informiert darüber, welche Speicherteilbereiche 4310 besonders häufigen Zugriffen 5 unterliegen und kann ggf. auf ein Fehlverhalten des Sicherheitselements 4, einer Applikation App1 oder eine hohe Ausfallrate des Netzes 3 rückschließen.
  • In 7 ist das Erfassen der Zugriffe 5 und das entsprechende Aktualisieren von Zählerständen 6 anhand eines Zählerstände-Mapping gezeigt. Dabei werden Zählerstände 6, die aufgrund häufig erfasster Zugriffe 5 auch häufig aktualisiert werden müssen, in Speicherteilbereiche 4310 abgelegt, die wesentlich weniger häufig aktualisiert werden müssen. Dieses Mapping wird von der Verwaltungseinheit 45 durchgeführt. Wird nun festgestellt, dass ein Zählerstand 6 doch häufiger aktualisiert wird, als entsprechend seiner ersten Annahme, so wird der Zählerstand 6 von seinem ursprünglichen Speicherteilbereich 4310 in einen alternativen Speicherteilbereich 4310 verschoben. Dabei können Zählerstände 6 auch getauscht werden. Somit werden Zählerstände 6 nicht fix an einen Speicherteilbereich 4310 gebunden, sondern können flexibel an unterschiedlichen Speicherteilbereichen 4310 verwendet werden, und passen sich daher der Betriebszeit des Sicherheitselements 4 an. Die Betriebszeit des Sicherheitselements 4 wird damit nicht verkürzt und die entfernte Serverinstanz 2 wird sehr zuverlässig über das Betriebsalter informiert, um ggf. Speicherverwendungen anzupassen.
  • In 8 ist eine alternative Ausführung zur Anpassung der Speicherverwendung gezeigt. Wird im Server 2 oder in der Verwaltungseinheit 45 erkannt, dass eine Datei EF1 sehr häufig beschrieben wird, sodass bezüglich der Datei EF1 eine vergleichsweise hohe erfasste Anzahl von Zugriffen 5 erkannt wurde, beispielsweise 50000, so wird diese Datei EF1 mittels der Verwaltungseinheit 45 oder auf Basis eines OTA Serverbefehls, in einen Speicherteilbereich 4310 verschoben, der eine geringere Anzahl von Schreibzugriffen 5 aufweist, hier gemäß eines Vertauschens des Speicherteilbereichs 4310 von Var 1 mit 20 Aktualisierungen und EF1 mit 50000 Aktualisierungen. Dies kann sehr dynamisch erfolgen, sodass erreicht wird, dass die Speicherteilbereiche 4310 annähernd gleich beschrieben werden. Somit wird der Speicher 431 gleichmäßiger abgenutzt, sogenannte Hot-Spots werden vermieden.
  • In 9 wird eine alternative Ausführung zur Anpassung der Speicherverwendung gezeigt. In 9 sind verschiedene Anpassungen beschrieben, die getrennt voneinander zu betrachten sind. In einem Speicherteilbereich 4310 sind zwei Dateien EF1, EF2 abgelegt. Die erfasste Anzahl von Zugriffen 5 auf diesen Speicherteilbereich hat einen Schwellwert X erreicht. Die Verwaltungseinheit 45 oder der Server 2 verschieben entweder eine der beiden Dateien in einen anderen Speicherteilbereich 4310 oder Sperren den Speicherteilbereich 4310 und verschieben beide Dateien in alternative Speicherteilbereiche 4310, siehe gestrichelte Linie. Das Anpassen umfasst somit auch das Verhindern von Schreibzugriffen auf Speicherteilbereiche, um die Betriebszeit des Sicherheitselements 4 zu verlängern. Dies ist durch „No Access” in 9 dargestellt.
  • Alternativ kann eine Variable Var 1 eines Speicherteilbereichs 4310 bei Überschreiten eines Schwellwertes X in einen weniger oft beschriebenen Speicherteilbereich 4310 verschoben werden.
  • Weiterhin wird erkannt, wenn eine Datei EF sehr häufig geschrieben wird. Der Server 2 kann feststellen, inwieweit dieser häufige Schreibzugriff gerechtfertigt ist, oder ob unverhältnismäßig viele Zugriffe 5 auf diese Datei erfolgten. Es können somit Fehlerfälle erkannt werden, insbesondere:
    • a) Werden Authentisierungen sehr oft durchgeführt, so kann dies an Problemen in Verbindung mit dem Einbuchen in das Netzwerk 3 aufgrund von Netzüberlastung, fehlender Netzabdeckung, fehlerhafter Antennenverbindung oder dergleichen liegen.
    • b) Werden Dateien oder Variablen sehr oft beschrieben, kann dies an einem Angriff auf Sicherheitsbereiche liegen, sodass der Server ggf. das Sicherheitselement sperrt, um vertrauenswürdige Informationen zu schützen.
    • c) Werden Dateien oder Variablen sehr oft beschrieben, kann dies an einer falschen Softwareroutine liegen, beispielsweise eine nachgeladene Applikation, die unverhältnismäßig oft in einen Speicherteilbereich 4310 schreiben möchte kann serverseitig gesperrt werden.
  • In 10 ist ein Verfahrensablauf skizziert, wie er in einem erfindungsgemäßen Sicherheitselement 4 stattfindet. Zunächst wird ein Schreibzugriffsereignis 5 in einem Speicherteilbereich 4310 erfasst. Zu diesem Speicherteilbereich 4310 wird nun der Zählerstand 6, 7 abgefragt und geprüft, ob der Zählerstand 6, 7 einen Schwellwert X überschreitet oder nicht. Ergibt die Prüfung, dass der Schwellwert X überschritten wurde, werden eine oder mehrere der folgenden Maßnahmen ausgelöst:
    • – Datensatz erstellen und an Serverinstanz 2 versenden
    • – die zu überschreibende Datei wird in einen anderen Speicherteilbereich verschoben;
    • – der Zählerstand 6 zu diesem Speicherteilbereich 4310 wird verschoben
    • – Sind mehrere kritische Dateien in einem Speicherteilbereich 4310 abgelegt
    • – Liegt ein Angriff auf sicherheitsrelevante Daten vor und müssen ggf. Sicherheitsmaßnahmen ergriffen werden?
  • Ergibt die Prüfung, dass der Schwellwert X nicht überschritten wurde, so erfolgt das Aktualisieren des Zählerstands 6 oder 7 und das Überschreiben der Datei, Variable etc. Das Verfahren ist danach beendet.
  • In 11 ist ein Verfahrensablauf skizziert, wie er in einer erfindungsgemäßen Serverinstanz 2 stattfindet. Dazu wird seitens des Servers der Status des nichtflüchtigen Speichers eines Sicherheitselements 4 abgefragt. Dies erfolgt gemäß einem PUSH-PULL Mechanismus, indem der Server 2 die im Sicherheitselement 4 bereitgestellten Daten abruft, um zu erfahren, wie der Speicher des Sicherheitselements 4 beschaffen ist. In der Serverinstanz 2 erfolgt die Überprüfung ob eine erfasste Anzahl von Speicherzugriffen 5 einen vordefinierten Schwellwert überschritten hat. Ergibt die Prüfung, dass der Schwellwert X überschritten wurde, so wird ein Zählerstand-Mapping und/oder ein Dateiverschieben initiiert. Dazu werden entweder OTA Serverbefehle generiert oder die Verwaltungseinheit 45 in dem Sicherheitselement informiert, die Datei zu verschieben.
  • Ergibt die Prüfung, dass der Schwellwert X nicht überschritten wurde, folgt ggf. eine Prüfung darauf, ob eine sehr häufig aktualisierte Variable Var1 im Datensatz identifiziert ist. Ergibt die Prüfung, dass eine kritische Variable Var1 im Datensatz identifiziert wurde, so veranlasst die Serverinstanz den Stopp des zur Variable Var1 zugehörigen Dienstes oder Applikation. Weiterhin erfolgt eine Überprüfung der zugehörigen Applikation auf fehlerhafte Programmierung und ob ein Software-Update möglich ist.
  • Ergibt die Prüfung, dass keine kritische Variable Var1 im Datensatz identifiziert wurde, folgt ggf. eine Prüfung darauf, oh eine häufig zu aktualisierende Datei EF identifiziert wurde. Ergibt die Prüfung, dass eine Datei EF identifiziert wurde, so veranlasst die Serverinstanz eine Analyse der Netzwerkverbindung und ob ein Angriff auf sicherheitskritische Daten stattgefunden haben könnte.
  • Die Serverinstanz hat durch das erfindungsgemäße Verfahren einerseits die Möglichkeit, die Sicherheitselemente 4 auf ihren Alterzustand hin abzufragen, kann weiterhin Maßnahmen zur Verlängerung der Betriebszeit anstoßen und erfährt, ob bestimmte Sicherheitselemente einem besonderen Stress ausgesetzt sind.
  • Bezugszeichenliste
    • 1
    Endgerät
    2
    Serverinstanz, OTA, OTI
    3
    Netzwerk, Mobilfunk, LAN, WLAN,
    4
    Sicherheitselement
    4a
    Hardware-Sicherheitselement, TPM, SIM, M2M
    4b
    Software-Sicherheitselement, TEE
    41
    Integrierter Halbleiterschaltkreis
    42
    Schnittstelle
    43
    Datenspeicher
    430
    Flüchtiger Speicher, RAM
    431
    Nichtflüchtiger Speicher, ROM, EEPROM, Flash
    4310
    Speicherteilbereich, Sektor, Page
    44
    Zugriffserfassungseinheit
    45
    Verwaltungseinheit
    46
    Zentrale Recheneinheit, CPU
    5
    Zugriffsereignis
    6
    Zählerstand im nichtflüchtigen Speicher
    7
    Zählerstand im flüchtigen Speicher
    App1
    Applikation auf dem Sicherheitselement
    EF
    Datei auf dem Sicherheitselement
    EF*
    zu aktualisierende Datei
    Page x
    Speicherteilbereich x
    Page count x
    Zählerstand der Zugriffe auf Speicherteilbereich x
    Var
    Variable einer Applikation
    X
    Schwellwert
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 10351745 A1 [0012]
    • DE 102008056710 A1 [0013]
  • Zitierte Nicht-Patentliteratur
    • GSM 03.40 [0066]
    • GSM 03.48 [0066]
    • ETSI/SCP-3GPP-3GPP2 Standard [0066]
    • ISO/IEC 7816 [0067]
    • ISO/IEC 14443, 15693 oder 18092 [0073]
    • ISO/IEC 7816 [0073]

Claims (20)

  1. Verfahren zum Verlängern der Betriebszeit eines Sicherheitselements (4) aufweisend einen integrierten Halbleiterschaltkreis (41) mit den Verfahrensschritten: – Erfassen eines Funktionszustands des integrierten Halbleiterschaltkreises (41) des Sicherheitselements (4); – Bereitstellen eines Datensatz durch die Sicherheitselement (4) für eine entfernte Serverinstanz (2), wobei der Datensatz den Funktionszustand beinhaltet; dadurch gekennzeichnet, dass: – der Funktionszustand die Anzahl von Zugriffsereignissen (5) auf zumindest einen Speicherteilbereich (4310) eines nichtflüchtigen Speichers (431) des Sicherheitselements (4) umfasst, wobei die Anzahl mittels einer Zugriffserfassungseinheit (44) des Sicherheitselements (4) erfasst wird; und – die Verwendung des nichtflüchtigen Speicher (431) bei Überschreiten eines vordefinierten Schwellwerts (X) der erfassten Anzahl von Zugriffsereignissen (5) angepasst wird.
  2. Verfahren nach Anspruch 1, wobei das Zugriffsereignis (5) ein Schreibzugriffsereignis ist und das Schreibzugriffsereignis endgeräteseitig, serverseitig und/oder sicherheitselementeseitig initiiert wird
  3. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Datensatz von dem Sicherheitselement (4) automatisch versendet wird, sobald das Überschreiten des vordefinierten Schwellwerts (X) erkannt wird.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Datensatz von der Serverinstanz (2) zur Ermittlung des Funktionszustands des Sicherheitselements (4) angefordert wird.
  5. Verfahren nach einem der vorhergehenden Ansprüche, wobei in Abhängigkeit des Datensatzes Applikationen (App1) und/oder Dienste auf dem Sicherheitselement (4) angepasst werden.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Zugriffserfassungseinheit (4) die einzelnen Speicherteilbereiche (4310) entsprechend eines entsprechenden Zählerstands (6) der erfassten Anzahl von Zugriffsereignissen (5) ordnet.
  7. Verfahren nach einem der vorhergehenden Ansprüche, wobei eine Verwaltungseinheit (45) des Sicherheitselements (4) die erfasste Anzahl der Zugriffsereignissen (5) durch Aktualisieren eines Zählerstands (6) in einem exklusiv für den Zählerstand (6) reservierten Speicherteilbereich (4310) des nichtflüchtigen Speichers (431) ablegt.
  8. Verfahren nach einem der vorhergehenden Ansprüche, wobei eine Verwaltungseinheit (45) des Sicherheitselements (4) die erfasste Anzahl der Zugriffsereignisse (5) durch Aktualisieren eines Zählerstands (7) zunächst in einem flüchtigen Speicherbereich (430) des Sicherheitselements (4) ablegt und nur bei Überschreiten eines vordefinierten Vielfachen des im flüchtigen Speicher (430) abgelegten Zählerstands (7) ein Zählerstand (6) im nichtflüchtigen Speicherteilbereich (4310) aktualisiert wird.
  9. Verfahren nach einem der vorhergehenden Ansprüche, wobei: – eine Verwaltungseinheit (45) des Sicherheitselements (4) mehrere erfasste Anzahlen von Zugriffsereignissen (5) in unterschiedlichen Speicherteilbereichen (4310) durch Aktualisieren entsprechender Zählerstände (6) im nichtflüchtigen Speicherbereich (431) ablegt und – die Verwaltungseinheit (45) einen zu aktualisierenden Zählerstand (6) in einem Speicherteilbereich (4310) ablegt, der im Vergleich zur Aktualisierungsrate des Zählerstands (6) eine geringere Anzahl von Zugriffsereignissen (5) aufweist.
  10. Verfahren nach einem der vorhergehenden Ansprüche, wobei eine Verwaltungseinheit (45) des Sicherheitselements (4) und/oder die entfernte Serverinstanz (2) ein Zugriffsereignis (5) auf einen Speicherteilbereich (4310) verhindert, sobald der vordefinierte Schwellwert (X) überschritten ist.
  11. Verfahren nach einem der vorhergehenden Ansprüche wobei das Anpassen der Speicherwendung erfolgt, indem Dateien (EF) und/oder Variablen (Var) eines vordefinierten Typs in unterschiedliche Speicherteilbereiche (4310) abgelegt werden.
  12. Verfahren nach einem der vorhergehenden Ansprüche wobei das Anpassen der Speicherwendung derart erfolgt, dass eine Datei (EF) und/oder eine Variable (Var) in einem vom ursprünglichen Speicherteilbereich (4310) verschiedenen Speicherteilbereich (4310) abgelegt wird, sobald die erfasste Anzahl von Zugriffsereignissen (5) im ursprünglichen Speicherteilbereich (4310) den vordefinierten Schwellwert (X) überschreitet.
  13. Verfahren nach einem der vorhergehenden Ansprüche wobei das Anpassen der Speicherwendung derart erfolgt, dass Dateien (EF) und/oder Variablen (Var), die ursprünglich in einem gemeinsamen Speicherteilbereich (4310) abgelegt wurden, auf mehrere unterschiedliche Speicherteilbereiche (4310) aufgeteilt werden, sobald die erfasste Anzahl von Zugriffsereignissen (5) den vordefinierter Schwellwert (X) übersteigt.
  14. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Datensatz mittels einer, für den Austausch des Datensatzes geeigneten Netzwerkverbindung (3) an die entfernte Serverinstanz (2) übermittelt wird.
  15. Verwendung des Verfahrens gemäß den vorhergehenden Ansprüchen in einem Sicherheitselement (4).
  16. Computerprogrammprodukt, eingerichtet zum Ausführen des Verfahrens gemäß einem der Ansprüchen 1 bis 14, wobei das Computerprogrammprodukt in einer zentralen Recheneinheit (46) des Sicherheitselements (4) ausgeführt wird.
  17. System bestehend aus: – zumindest einem Sicherheitselement (4) aufweisend einen integrierten Halbleiterschaltkreis (41) mit: – einem nichtflüchtigen Speicher (431) zum Ablegen von Daten; – einer zentralen Recheneinheit (46); und – zumindest einer Schnittstelle (42) zum Übermitteln eines Datensatzes betreffend eines Funktionszustands des Sicherheitselements (4); – einer entfernten Serverinstanz (2), zum Erhalten des Datensatzes; und – einem Netzwerk (3), durch das wenigstens temporär eine Datenverbindung zwischen dem Sicherheitselement (4) und der entfernten Serverinstanz (2) ausgebildet wird, dadurch gekennzeichnet, dass: – die zentrale Recheneinheit (46) eine Zugriffserfassungseinheit (44) zum Erfassen einer Anzahl von Zugriffsereignissen (5) auf Speicherteilbereiche (4310) des nichtflüchtigen Speicherbereichs (431) aufweist; – der Datensatz die erfasste Anzahl der Zugriffsereignisse (5) umfasst; und – der nichtflüchtige Speicher (431) bei Überschreiten eines vordefinierten Schwellwerts (X) der erfassten Anzahl von Zugriffsereignissen (5) anpassbar ist.
  18. System nach Anspruch 17, wobei das System eine Vielzahl von Sicherheitselementen (4) aufweist, die jeweils mit der entfernten Serverinstanz (2) verbunden sind.
  19. System nach einem der Ansprüche 17 oder 18, wobei die entfernte Serverinstanz (4) ein Over-the-Air Server in einem Mobilfunknetz ist.
  20. System nach einem der Ansprüche 17 bis 19, wobei das Sicherheitselement (4) ein Teilnehmeridentifizierungsmodul (SIM, M2M) in einem Endgerät ist und das Netzwerk (3) ein Mobilfunknetzwerk ist.
DE102012003710A 2012-02-24 2012-02-24 Verlängerung der Betriebszeit eines Sicherheitselements Pending DE102012003710A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102012003710A DE102012003710A1 (de) 2012-02-24 2012-02-24 Verlängerung der Betriebszeit eines Sicherheitselements
EP13707813.5A EP2817804B1 (de) 2012-02-24 2013-02-21 Verlängerung der betriebszeit eines sicherheitselements
PCT/EP2013/000509 WO2013124066A1 (de) 2012-02-24 2013-02-21 Verlängerung der betriebszeit eines sicherheitselements

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102012003710A DE102012003710A1 (de) 2012-02-24 2012-02-24 Verlängerung der Betriebszeit eines Sicherheitselements

Publications (1)

Publication Number Publication Date
DE102012003710A1 true DE102012003710A1 (de) 2013-08-29

Family

ID=47833021

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102012003710A Pending DE102012003710A1 (de) 2012-02-24 2012-02-24 Verlängerung der Betriebszeit eines Sicherheitselements

Country Status (3)

Country Link
EP (1) EP2817804B1 (de)
DE (1) DE102012003710A1 (de)
WO (1) WO2013124066A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013010261A1 (de) 2013-06-18 2014-12-18 Giesecke & Devrient Gmbh Verfahren zum Betreiben eines Sicherheitselements
DE102015223834A1 (de) * 2015-12-01 2017-06-01 Bayerische Motoren Werke Aktiengesellschaft Elektronisches Steuergerät, Fortbewegungsmittel sowie Verfahren zur Verwendung eines beschreibbaren Speichermittels

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10351745A1 (de) 2003-11-06 2005-06-23 Giesecke & Devrient Gmbh Verfahren und System zum Betreiben eines tragbaren Datenträgers
DE102008056710A1 (de) 2008-11-11 2010-05-12 Giesecke & Devrient Gmbh Verfahren zum Betrieb eines tragbaren Datenträgers, insbesondere einer Chipkarte, in einem Endgerät

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6249838B1 (en) * 1998-12-28 2001-06-19 Cisco Technology Inc. Physical medium information in file system header
US7356442B1 (en) * 2006-10-05 2008-04-08 International Business Machines Corporation End of life prediction of flash memory
US8566506B2 (en) * 2009-08-07 2013-10-22 Intel Corporation Tracking a lifetime of write operations to a non-volatile memory storage

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10351745A1 (de) 2003-11-06 2005-06-23 Giesecke & Devrient Gmbh Verfahren und System zum Betreiben eines tragbaren Datenträgers
DE102008056710A1 (de) 2008-11-11 2010-05-12 Giesecke & Devrient Gmbh Verfahren zum Betrieb eines tragbaren Datenträgers, insbesondere einer Chipkarte, in einem Endgerät

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
ETSI/SCP-3GPP-3GPP2 Standard
GSM 03.40
GSM 03.48
ISO/IEC 14443, 15693 oder 18092
ISO/IEC 7816

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013010261A1 (de) 2013-06-18 2014-12-18 Giesecke & Devrient Gmbh Verfahren zum Betreiben eines Sicherheitselements
US9930069B2 (en) 2013-06-18 2018-03-27 Giesecke+Devrient Mobile Security Gmbh Operation of a security element with the set of operating parameters matched to the selected use profile
DE102015223834A1 (de) * 2015-12-01 2017-06-01 Bayerische Motoren Werke Aktiengesellschaft Elektronisches Steuergerät, Fortbewegungsmittel sowie Verfahren zur Verwendung eines beschreibbaren Speichermittels

Also Published As

Publication number Publication date
EP2817804B1 (de) 2019-04-10
WO2013124066A1 (de) 2013-08-29
EP2817804A1 (de) 2014-12-31

Similar Documents

Publication Publication Date Title
EP2910039B1 (de) Verfahren zum einbringen von teilnehmeridentitätsdaten in ein teilnehmeridentitätsmodul
EP2898714A1 (de) Teilnehmeridentitätsmodul zum authentisieren eines teilnehmers an einem kommunikationsnetzwerk
EP2987350B1 (de) Mobilstation umfassend sicherheitsressourcen mit unterschiedlichen sicherheitsniveaus
DE102012015573A1 (de) Verfahren zum Aktivieren eines Betriebssystems in einem Sicherheitsmodul
EP3337085B1 (de) Nachladen kryptographischer programminstruktionen
EP3132626A1 (de) Verfahren und vorrichtung zum betreiben eines mobilen endgeräts in einem mobilfunknetzwerk
EP2817804B1 (de) Verlängerung der betriebszeit eines sicherheitselements
EP1661069B1 (de) Prozessorschaltung und verfahren zum zuordnen eines logikchips zu einem speicherchip
EP3011714B1 (de) Betreiben eines sicherheitselements mit dem auf das ausgewählte verwendungsprofil abgestimmten satz von betriebsparametern
EP2524333B1 (de) Verfahren zum bereitstellen eines sicheren zählers auf einem endgerät
EP2478435A1 (de) Verfahren zum installieren und konfigurieren von applikationen auf einem portablen datenträger
DE102010054783A1 (de) Verfahren zum Speichern einer Datei in einem tragbaren Datenträger
DE102021126509B4 (de) Tragbare Chipvorrichtung und Verfahren zum Ausführen eines Softwaremodul-Updates in einer tragbaren Chipvorrichtung
DE102021004912A1 (de) Universal integrated chip card, uicc, zum verwalten von profilen, sowie verfahren
DE102021000077A1 (de) Integriertes Teilnehmeridentitätsmodul mit Anti-Rollback-Mechanismus
EP2747085B1 (de) Verfahren zum Betreiben eines Sicherheitselements sowie ein solches Sicherheitselement
DE102007041873A1 (de) Installieren eines Patch in einem Smartcard-Modul
EP2879057B1 (de) Verfahren zum Betreiben eines Speichersystems sowie ein solches Speichersystem
DE102021004158A1 (de) Verfahren zum Betreiben einer universal integrated Circuit Card, UICC, und UICC
DE102018006208A1 (de) Chipset, für Endgerät, mit aktualisierbarem Programm
DE102022001094A1 (de) Verfahren zur Verwaltung einer Anwendung zur elektronischen Identifizierung eines Nutzers
EP2659349B1 (de) Verfahren zum zurücksetzen eines dateisystems
DE102021001850A1 (de) Verfahren zum Personalisieren eines sicheren Elementes
DE102014019089A1 (de) Verfahren zum Verwalten einer Anzahl von Subskriptionen eines Mobilfunknetzbetreibers auf einem Sicherheitselement
DE102022104834A1 (de) Onboarding von cloud-diensten ohne vorherige anpassung der endgeräte

Legal Events

Date Code Title Description
R163 Identified publications notified
R163 Identified publications notified

Effective date: 20140314

R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE

R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT EPAYMENTS GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT EPAYMENTS GMBH, 81677 MUENCHEN, DE