DE10336568A1 - Betriebssystem für einen tragbaren Datenträger - Google Patents

Betriebssystem für einen tragbaren Datenträger Download PDF

Info

Publication number
DE10336568A1
DE10336568A1 DE10336568A DE10336568A DE10336568A1 DE 10336568 A1 DE10336568 A1 DE 10336568A1 DE 10336568 A DE10336568 A DE 10336568A DE 10336568 A DE10336568 A DE 10336568A DE 10336568 A1 DE10336568 A1 DE 10336568A1
Authority
DE
Germany
Prior art keywords
operating system
data carrier
emergency service
portable data
primary operating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE10336568A
Other languages
English (en)
Other versions
DE10336568B4 (de
Inventor
Wolfgang Rankl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient Mobile Security GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE10336568.0A priority Critical patent/DE10336568B4/de
Priority to PCT/EP2004/008814 priority patent/WO2005017748A1/de
Publication of DE10336568A1 publication Critical patent/DE10336568A1/de
Application granted granted Critical
Publication of DE10336568B4 publication Critical patent/DE10336568B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/77Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0833Card having specific functional components
    • G07F7/084Additional components relating to data transfer and storing, e.g. error detection, self-diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4406Loading of operating system
    • G06F9/441Multiboot arrangements, i.e. selecting an operating system to be loaded

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Mathematical Physics (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Betriebssystem für einen tragbaren Datenträger, das ein primäres Betriebssystem (2) zum Betreiben des tragbaren Datenträgers unter Normalbedingungen beinhaltet. Die Besonderheit des erfindungsgemäßen Betriebssystems besteht darin, dass weiterhin ein Notfalldienst (6) vorgesehen ist, mit dem der tragbare Datenträger anstelle des primären Betriebssystems (2) betreibbar ist.

Description

  • Die Erfindung betrifft ein Betriebssystem für einen tragbaren Datenträger. Weiterhin betrifft die Erfindung einen tragbaren Datenträger mit einem derartigen Betriebssystem und ein Verfahren zum Betreiben eines tragbaren Datenträgers.
  • Tragbare Datenträger können sehr vielfältig eingesetzt werden, beispielsweise zur Abwicklung von Transaktionen des Zahlungsverkehrs, als Ausweisdokumente bei Zugangskontrollen, als Berechtigungsnachweis zur Nutzung eines Mobilfunksystems usw. Hierzu können die tragbaren Datenträger als Chipkarten ausgebildet sein, bei denen ein integrierter Schaltkreis in einen Kartenkörper mit genormten Abmessungen eingebettet ist. Weiterhin sind auch tragbare Datenträger bekannt, bei denen nicht von der Kartenform Gebrauch gemacht wird, sondern der integrierte Schaltkreis in einen andersartig ausgebildeten Gegenstand eingebettet oder in irgendeiner Form mit einem andersartig ausgebildeten Gegenstand verbunden ist. Im Extremfall kann der integrierte Schaltkreis sogar als separates Bauteil eingesetzt werden.
  • Unabhängig von seiner Einbauumgebung wird der integrierte Schaltkreis, außer bei sehr einfach strukturierten Anwendungen, mit einem Betriebssystem ausgestattet, mit dem der Betrieb des integrierten Schaltkreises gesteuert wird. Mit der Erweiterung der Einsatzgebiete der tragbaren Datenträger und der Zunahme der Leistungsfähigkeit der integrierten Schaltkreise geht eine zunehmende Komplexität der verwendeten Betriebssysteme einher, wobei ein Ende dieser Entwicklung zur Zeit noch nicht absehbar ist. Der zunehmende Umfang und die zunehmende Komplexität der Betriebssysteme von tragbaren Datenträgern erhöhen trotz sorgfältiger Programmierung und ausgedehnter Testläufe das Risiko, dass die Betriebssysteme unerkannte Fehler enthalten und dadurch möglicherweise instabil werden können. Um unkontrollierte Situationen und insbesondere daraus resultierende Manipulationsmöglichkeiten zu vermeiden, sind die Betriebssysteme für tragbare Datenträger in der Regel so ausgebildet, dass der tragbare Datenträger bei einer erkannten Fehlfunktion innerhalb der Software oder bei einem Absturz des Betriebssystems deaktiviert wird und somit vom Benutzer nicht mehr einsetzbar ist. Ein unvorhersehbarer Ausfall des tragbaren Datenträgers kann für den Benutzer mit erheblichen Unannehmlichkeiten verbunden sein, beispielsweise wenn sich der Benutzer auf den Datenträger als Zahlungsmittel verlässt und er sich in einer Situation befindet, in der er nicht über eine alternative Zahlungsmöglichkeit verfügt. Instabile Betriebssysteme können somit zu einem Rückgang der Akzeptanz von tragbaren Datenträgern führen. Diese Problematik wird dadurch verschärft, dass auf demselben tragbaren Datenträger immer mehr Anwendungen implementiert werden, so dass die Abhängigkeit des Benutzers von der Funktionstüchtigkeit des tragbaren Datenträgers ständig zunimmt.
  • Der Erfindung liegt die Aufgabe zugrunde, das Ausfallrisiko bei tragbaren Datenträgern möglichst gering zu halten.
  • Diese Aufgabe wird durch ein Betriebssystem mit der Merkmalskombination des Anspruchs 1 gelöst.
  • Das erfindungsgemäße Betriebssystem für einen tragbaren Datenträger beinhaltet ein primäres Betriebssystem zum Betreiben des tragbaren Datenträgers unter Normalbedingungen. Die Besonderheit des erfindungsgemäßen Betriebssystems besteht darin, dass weiterhin ein Notfalldienst vorgesehen ist, mit dem der tragbare Datenträger anstelle des primären Betriebssystems betreibbar ist.
  • Das erfindungsgemäße Betriebssystem hat den Vorteil, dass es sehr robust gegenüber Störeinflüssen ist und somit eine hohe Betriebssicherheit und Verfügbarkeit des tragbaren Datenträgers gewährleistet ist. Auch nach einem Ereignis, das einen Ausfall des primären Betriebssystems zur Folge hat, ist der tragbare Datenträger weiterhin betriebsbereit.
  • In der Regel ist das erfindungsgemäße Betriebssystem so ausgebildet, dass der Notfalldienst unabhängig vom primären Betriebssystem funktionsfähig ist. Insbesondere kann der Notfalldienst über sämtliche zum Betreiben des tragbaren Datenträgers erforderliche Funktionalitäten und Daten verfügen, so dass ein vom primären Betriebssystem vollständig autarker Betrieb des tragbaren Datenträgers möglich ist. Neben einer vollständigen Abschottung des Notfalldienstes besteht auch die Möglichkeit, dass der Notfalldienst über eine direkte Zugriffsmöglichkeit auf Daten weiterer Funktionseinheiten des tragbaren Datenträgers verfügt. Dies hat den Vorteil, dass die Daten für den Notfalldienst nicht zusätzlich vorgehalten werden müssen, durch den direkten Zugriff aber dennoch eine Verfügbarkeit der Daten auch bei einem Ausfall der jeweiligen Funktionseinheit sichergestellt ist.
  • Der Notfalldienst kann über einen gegenüber dem primären Betriebssystem eingeschränkten Funktionsumfang verfügen. Dadurch kann der Aufwand für den Notfalldienst in vertretbaren Grenzen gehalten werden und es können Manipulationen oder Fehlfunktionen während des Betriebs mit dem Notfalldienst verhindert werden oder zumindest der dabei potentiell entstehende Schaden begrenzt werden.
  • Abhängig von den jeweiligen Anforderungen an die Betriebssicherheit und an den Funktionsumfang kann der Notfalldienst auf unterschiedliche Weise realisiert werden. So kann der Notfalldienst beispielsweise als ein Maschi nencode ausgebildet sein, der direkt von einer Hardware des tragbaren Datenträgers ausführbar ist. Damit lässt sich eine sehr hohe Betriebssicherheit erreichen. Ebenso ist es auch möglich, den Notfalldienst als ein zusätzliches Betriebssystem auszubilden. Dies hat den Vorteil eines vergleichsweise geringen Entwicklungsaufwands und bietet die Möglichkeit eines relativ großen Funktionsumfangs.
  • Die Erfindung bezieht sich weiterhin auf einen tragbaren Datenträger mit dem erfindungsgemäßen Betriebssystem. Dieser tragbare Datenträger weist vorzugsweise einen von außen ohne Einbeziehung des primären Betriebssystems lesbaren Speicher auf und ist insbesondere als Chipkarte ausgebildet.
  • Beim erfindungsgemäßen Verfahren zum Betreiben eines tragbaren Datenträgers wird der tragbare Datenträger unter Normalbedingungen mit einem primären Betriebssystem betrieben. Beim Auftreten eines vorgebbaren Ereignisses wird vom primären Betriebssystem auf einen Notfalldienst übergegangen und der weitere Betrieb des tragbaren Datenträgers erfolgt mittels des Notfalldienstes. Dies hat den Vorteil, dass mit dem Notfalldienst Ereignisse abgefangen werden können, die beim primären Betriebssystem zu Problemen bis hin zu einem Ausfall führen würden. Der Übergang vom primären Betriebssystem zum Notfalldienst kann irreversibel erfolgen. Dadurch kann eine unkontrollierte Reaktivierung des primären Betriebssystems 5 verhindert werden. Vorzugsweise wird der Übergang vom primären Betriessystem zum Notfalldienst in von außen lesbarer Form in einem Speicher des tragbaren Datenträgers dokumentiert, so dass von außen jederzeit feststellbar ist, ob der tragbare Datenträger mit dem primären Betriebssystem oder mit dem Notfalldienst betrieben wird. Insbesondere ist es zur Erleichterung der Fehlerdiagnose möglich, die Umstände des Übergangs vom primären Betriessystem zum Notfalldienst in von außen lesbarer Form in einem Speicher des tragbaren Datenträgers zu dokumentieren. Bei einem Einsatz des tragbaren Datenträgers in Zusammenwirkung mit einem externen Gerät kann es von dem externen Gerät angezeigt werden, wenn der tragbare Datenträger mit dem Notfalldienst betrieben wird. Dies stellt eine sehr einfache Möglichkeit dar, den Benutzer des tragbaren Datenträgers über den Übergang zum Notfalldienst zu informieren, damit sich dieser darauf einstellen kann. Der Betrieb des tragbaren Datenträgers mit dem Notfalldienst kann auf eine vorgebbare Zeitspanne, im Falle von Zahlungsverkehrskarten beispielsweise auch auf einen vorgegebenen Maximalbetrag begrenzt werden. Dadurch kann ein potentieller Missbrauch des tragbaren Datenträgers während des Betriebs mit dem Notfalldienst zumindest begrenzt werden und es wird ein starker Anreiz gegeben, dass der Datenträger nach Ablauf der Zeitspanne oder bei Erreichen des Maximalbetrages einer Prüfung unterzogen wird.
  • Die Erfindung wird im folgenden anhand des in der Zeichnung dargestellten Ausführungsbeispiels näher erläutert, bei dem der tragbare Datenträger als Chipkarte ausgebildet ist.
  • Die einzige Fig. zeigt eine stark vereinfachte Darstellung der Architektur einer Chipkarte. Zum Betrieb einer Hardware 1, die üblicherweise als ein in einen Kartenkörper der Chipkarte eingebetteter integrierter Schaltkreis ausgebildet ist, ist ein Betriebssystem vorgesehen, das im folgenden als primäres Betriebssystem 2 bezeichnet wird. Weiterhin sind eine Hardware-Abstraktionsschicht 3 und ein Funktionsblock 4 vorgesehen, der eine Reihe von grundlegenden Diensten wie beispielsweise Übertragungsprotokolle, Kryptoalgorithmen und eine Speicherverwaltung repräsentiert. Abhängig vom Verwendungszweck der Chipkarte sind eine oder mehrere Anwendungen 5 vorhanden, die mit Hilfe des primären Betriebssystems 2 ausgeführt werden können. Die für die Ausführung der Anwendungen 5 erforderlichen Schnittstellen und sonstige Funktionseinheiten, die für die Erläuterung der Erfindung nicht von Relevanz sind, sind aus Gründen der Übersichtlichkeit nicht figürlich dargestellt und werden im folgenden auch nicht beschrieben.
  • Von wesentlicher Bedeutung für die Erfindung ist es, dass die Chipkarte zusätzlich zum primären Betriebssystem 2 einen Notfalldienst 6 aufweist. Der Notfalldienst 6 dient dazu, beim Ausfall des primären Betriebssystems 2 einen Notbetrieb der Chipkarte zu ermöglichen: Im Normalbetrieb der Chipkarte ist der Notfalldienst 6 nicht aktiv und die Chipkarte wird mit dem primären Betriebssystem 2 betrieben. Das primäre Betriebssystem 2 unterstützt in der Regel sämtliche auf der Chipkarte implementierten Anwendungen 5, so dass je nach Ausbildung der Chipkarte vielfältige Einsatzmöglichkeiten bestehen können. Wenn eine außergewöhnliche Betriebssituation auftritt, in der ein weiterer Betrieb der Chipkarte mit dem primären Betriebssystem 2 nicht angeraten oder nicht möglich ist, erfolgt ein Übergang vom primären Betriebssystem 2 zum Notfalldienst 6, so dass die Kontrolle über die Chipkarte an den Notfalldienst 6 übergeben wird und dadurch der Notbetrieb gestartet wird. Im Notbetrieb ist der verfügbare Funktionsumfang in der Regel gegenüber dem Normalbetrieb eingeschränkt.
  • Als Auslöser für den Übergang vom Normalbetrieb auf den Notbetrieb werden bestimmte Ereignisse definiert, deren Auftreten im Normalbetrieb fortwährend überwacht wird. Ein den Übergang auslösendes Ereignis kann beispielsweise darin bestehen, dass vom primären Betriebssystem 2 oder von der Hardware 1 eine Speichergrenzverletzung detektiert wird. Weiterhin können als auslösende Ereignisse ein von der virtuellen Javamaschine bemerkter falscher Byte-Code, ein detektierter Angriff, ein durch die Betriebs system-Integritätsprüfungen bemerktes Problem, oder ähnliches definiert sein.
  • Der Übergang vom primären Betriebssystem 2 zum Notfalldienst 6 erfolgt vorzugsweise irreversibel. Ein reversibler Übergang ist allerdings prinzipiell auch möglich. Wenn es zu einem Übergang kommt, wird dies in einer von außen lesbaren Form auf der Chipkarte gespeichert. Dabei wird auch gespeichert, durch welches auslösende Ereignis der Übergang hervorgerufen wurde, um eine spätere Fehlersuche zu unterstützen. Die Speicherung kann beispielsweise in einer Protokolldatei erfolgen. Damit der Benutzer der Chipkarte Kenntnis davon erhält, dass bei der Chipkarte ein Problem aufgetreten ist und infolgedessen nicht mehr der volle Funktionsumfang der Chipkarte, sondern nur noch die vom Notfalldienst 6 unterstützten Funktionen verfügbar sind, wird beispielsweise von einem Chipkarten-Terminal, in das die Chipkarte eingeführt worden ist, eine entsprechende Meldung angezeigt. Um eine baldige Überprüfung der Chipkarte zu erzwingen, kann die Verwendbarkeit der Chipkarte auf einen vorgebbaren Zeitraum nach dem Übergang vom primären Betriebssystem 2 zum Notfalldienst 6 oder bei Zahlungsverkehrskarten auf einen vorgegebenen Maximalbetrag begrenzt werden.
  • Die Einschränkung des Funktionsumfangs beim Übergang zum Notfalldienst 6 kann zum einen durch die Ausbildung des Notfalldienstes 6 bedingt sein und zum anderen aus Sicherheitserwägungen durchgeführt werden. Dabei wird die Einschränkung des Funktionsumfangs im Notbetrieb vorzugsweise so vorgenommen, dass ein potentiell entstehender Schaden begrenzt wird, innerhalb dieser Grenzen eine Nutzung jedoch noch möglich ist. Bei einer Telekommunikationskarte kann die Einschränkung des Funktionsumfangs beim Übergang vom primären Betriebssystem 2 zum Notfall dienst 6 beispielsweise darin bestehen, dass nur noch Inlandsgespräche geführt werden können. Ebenso ist es auch möglich, dass noch für einen vorgegebenen Restbetrag telefoniert werden kann und dann eine endgültige Sperrung der SIM erfolgt. Weiterhin könnten im Normalbetrieb verfügbare Zusatzdienste gesperrt werden und der Einsatz der Telekommunikationskarte auf das Führen von Gesprächen eingeschränkt werden oder die maximale Gesprächsdauer auf einen vorgebbaren Wert beschränkt werden. Bei einer Zahlungsverkehrskarte könnte der Übergang vom primären Betriebssystem 2 zum Notfalldienst 6 dazu führen, dass eine Bezahlung nur noch über eine Online-Autorisierung möglich ist. Im Fall einer elektronischen Börse könnte der Übergang bewirken, dass nur noch über einen kleinen Geldbetrag verfügt werden kann. Handelt es sich bei der Chipkarte um eine Signaturkarte, so könnte der Funktionsumfang beim Übergang zum Notfalldienst 6 derart eingeschränkt werden, dass mit der Signaturkarte zwar digitale Signaturen geprüft, jedoch keine digitalen Signaturen mehr erstellt werden können.
  • Um den Notfalldienst 6 möglichst robust zu machen und dadurch den Notbetrieb mit hoher Zuverlässigkeit gewährleisten zu können, ist der Notfalldienst 6 weitgehend oder vollständig autark ausgebildet. Dabei ist allerdings zu beachten, dass mit einer zunehmenden Abschottung des Notfalldienstes 6 in der Regel auch eine Einschränkung des möglichen Funktionsumfangs einhergeht. Je nach Anwendungsgebiet sind daher im Rahmen der Erfindung unterschiedliche Ausführungsbeispiele für die Ausbildung des Notfalldienstes 6 vorgesehen.
  • In einem ersten Ausführungsbeispiel ist der Notfalldienst 6 als kompakter und robuster Maschinencode ausgebildet, der nicht interpretiert, sondern direkt von der Hardware 1 ausgeführt wird. Der Maschinencode für den Notfalldienst 6 weist einen relativ geringen Umfang auf und ist einfach strukturiert, so dass eine hohe Wahrscheinlichkeit für eine fehlerfreie Ausführung besteht. Um die Wahrscheinlichkeit einer fehlerfreien Ausführung weiter zu erhöhen, kann der Maschinencode einer Evaluierung unterzogen werden. Mit Hilfe des Maschinencodes für den Notfalldienst 6 können bestimmte Notfalloperationen direkt abgewickelt werden. Vorzugsweise erfolgt die Abwicklung der Notfalloperationen unter vollständiger Umgehung des primären Betriebssystems 2. Dadurch wird mit großer Zuverlässigkeit verhindert, dass sich etwaige Fehlfunktionen des primären Betriebssystems 2 auf die Abwicklung der Notfalloperationen auswirken. Die für die Abwicklung der Notfalloperationen benötigten Daten wie beispielsweise Transaktionsnummern, persönliche Identifikationsnummern, Schlüssel usw. werden vom Notfalldienst 6 vorgehalten, so dass auch bzgl. der Daten ein Rückgriff auf das primäre Betriebssystem 2 nicht erforderlich ist und lediglich eine direkte Anbindung an die Hardware 1 benötigt wird. Die direkte Anbindung des Notfalldienstes 6 an die Hardware 1 ist in der Fig. durch einen Doppelpfeil verdeutlicht. Durch die mit den vorstehenden Maßnahmen erreichte Unabhängigkeit ist der Notfalldienst 6 extrem robust.
  • Alternativ zur vollständigen Abschottung des Notfalldienstes 6 sind auch unterschiedlich stark ausgeprägte Teilabschottungen möglich. So kann beispielsweise eine Anbindung an die Hardware-Abstraktionsschicht 3 vorgesehen sein, die in der Fig. durch einen Doppelpfeil zwischen dem Notfalldienst 6 und der Hardware-Abstraktionsschicht 3 dargestellt ist. Weiterhin besteht die Möglichkeit einer Anbindung des Notfalldienstes 6 an den Block 4, der die grundlegenden Dienste repräsentiert. Auch diese Anbindung ist in der Fig. durch einen entsprechenden Doppelpfeil dargestellt. Schließlich ist es auch möglich, die für die Notfalloperationen benötigten Daten beispielsweise aus den vom primären Betriebssystem 2 unterstützten Anwendungen 5 auszulesen. Hierzu wird im Sinne einer hohen Betriebssicherheit eine direkte Speicheradressierung bevorzugt. Dies ist in der Fig. durch Pfeile zwischen dem Notfalldienst 6 und den Anwendungen 5 dargestellt. Je nach Einsatzgebiet, für das die Chipkarte vorgesehen ist, können die vorstehend beschriebenen Abweichungen von einer vollständigen Abschottung des Notfalldienstes 6 einzeln oder in Kombination realisiert werden.
  • In einem weiteren Ausführungsbeispiel ist der Notfalldienst 6 als zusätzlich vorhandenes vollständiges Betriebssystem ausgebildet, das autark neben dem primären Betriebssystem 2 besteht und beim Vorliegen eines der auslösenden Ereignisse anstelle des primären Betriebssystems 2 aktiviert wird. Da dieses zusätzliche Betriebssystem lediglich den Notbetrieb sicherstellt und somit nicht sämtliche Funktionalitäten des primären Betriebssystems 2 aufweisen muss, kann es vergleichsweise einfach ausgebildet werden. Insbesondere kann als zusätzliches Betriebssystem ein herkömmliches Betriebssystem für Chipkarten verwendet werden, das bereits seit langer Zeit und in großer Stückzahl eingesetzt wird, so dass dessen Zuverlässigkeit nachgewiesen ist. Dadurch können aufwendige Entwicklungsarbeiten vermieden werden. Bezüglich der Abschottung des Notfalldienstes 6 gelten die zum Maschinencode gemachten Ausführungen für das zusätzliche Betriebssystem in entsprechender Weise.

Claims (17)

  1. Betriebssystem für einen tragbaren Datenträger, das ein primäres Betriebssystem (2) zum Betreiben des tragbaren Datenträgers unter Normalbedingungen beinhaltet, dadurch gekennzeichnet, dass weiterhin ein Notfalldienst (6) vorgesehen ist, mit dem der tragbare Datenträger anstelle des primären Betriebssystems (2) betreibbar ist.
  2. Betriebssystem nach Anspruch 1, dadurch gekennzeichnet, dass der Notfalldienst (6) unabhängig vom primären Betriebssystem (2) funktionsfähig ist.
  3. Betriebssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Notfalldienst (6) über sämtliche zum Betreiben des tragbaren Datenträgers erforderliche Funktionalitäten und Daten verfügt.
  4. Betriebssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Notfalldienst (6) über eine direkte Zugriffsmöglichkeit auf Daten weiterer Funktionseinheiten des tragbaren Datenträgers verfügt.
  5. Betriebssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Notfalldienst (6) über einen gegenüber dem primären Betriebssystem (2) eingeschränkten Funktionsumfang verfügt.
  6. Betriebssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Notfalldienst (6) als ein Maschinencode ausgebildet ist, der direkt von einer Hardware (1) des tragbaren Datenträgers ausführbar ist.
  7. Betriebssystem nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass der Notfalldienst (6) als ein zusätzliches Betriebssystem ausgebildet ist.
  8. Tragbaren Datenträger, dadurch gekennzeichnet, dass er ein Betriebssystem nach einem der vorhergehenden Ansprüche aufweist.
  9. Datenträger nach Anspruch 8, dadurch gekennzeichnet, dass ein von außen ohne Einbeziehung des primären Betriebssystems (2) lesbarer Speicher vorgesehen ist.
  10. Datenträger nach einem der Ansprüche 8 oder 9, dadurch gekennzeichnet, dass er als Chipkarte ausgebildet ist.
  11. Verfahren zum Betreiben eines tragbaren Datenträgers, wobei der tragbare Datenträger unter Normalbedingungen mit einem primären Betriebssystem (2) betrieben wird, dadurch gekennzeichnet, dass beim Auftreten eines vorgebbaren Ereignisses vom primären Betriebssystem (2) auf einen Notfalldienst (6) übergegangen wird und der weitere Betrieb des tragbaren Datenträgers mittels des Notfalldienstes (6) erfolgt.
  12. Verfahren nach Anspruch 11, dadurch gekennzeichnet, dass der Übergang vom primären Betriebssystem (2) zum Notfalldienst (6) irreversibel erfolgt.
  13. Verfahren nach einem der Ansprüche 11 oder 12, dadurch gekennzeichnet, dass der Übergang vom primären Betriessystem (2) zum Notfalldienst (6) in von außen lesbarer Form in einem Speicher des tragbaren Datenträgers dokumentiert wird.
  14. Verfahren nach einem der Ansprüche 11 bis 13, dadurch gekennzeichnet, dass die Umstände des Übergangs vom primären Betriessystem (2) zum Notfalldienst (6) in von außen lesbarer Form in einem Speicher des tragbaren Datenträgers dokumentiert werden.
  15. Verfahren nach einem der Ansprüche 11 bis 14, dadurch gekennzeichnet, dass bei einem Einsatz des tragbaren Datenträgers in Zusammenwirkung mit einem externen Gerät es von dem externen Gerät angezeigt wird, wenn der tragbare Datenträger mit dem Notfalldienst (6) betrieben wird.
  16. Verfahren nach einem der Ansprüche 11 bis 15, dadurch gekennzeichnet, dass der Betrieb des tragbaren Datenträgers mit dem Notfalldienst (6) auf eine vorgebbare Zeitspanne begrenzt wird.
  17. Verfahren nach einem der Ansprüche 11 bis 16, dadurch gekennzeichnet, dass der Betrieb des tragbaren Datenträgers mit dem Notfalldienst (6) auf einen Maximalbetrag begrenzt wird, wenn es sich um einen Datenträger für die Bezahlung von Waren oder Dienstleistungen handelt.
DE10336568.0A 2003-08-08 2003-08-08 Betriebssystem für einen tragbaren Datenträger Expired - Fee Related DE10336568B4 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE10336568.0A DE10336568B4 (de) 2003-08-08 2003-08-08 Betriebssystem für einen tragbaren Datenträger
PCT/EP2004/008814 WO2005017748A1 (de) 2003-08-08 2004-08-06 Betriebssystem für einen tragbaren datenträger

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10336568.0A DE10336568B4 (de) 2003-08-08 2003-08-08 Betriebssystem für einen tragbaren Datenträger

Publications (2)

Publication Number Publication Date
DE10336568A1 true DE10336568A1 (de) 2005-02-24
DE10336568B4 DE10336568B4 (de) 2019-06-19

Family

ID=34089133

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10336568.0A Expired - Fee Related DE10336568B4 (de) 2003-08-08 2003-08-08 Betriebssystem für einen tragbaren Datenträger

Country Status (2)

Country Link
DE (1) DE10336568B4 (de)
WO (1) WO2005017748A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1914653A1 (de) * 2006-10-20 2008-04-23 Vodafone Group PLC Systemstartverfahren
DE102012015573A1 (de) 2012-08-07 2014-02-13 Giesecke & Devrient Gmbh Verfahren zum Aktivieren eines Betriebssystems in einem Sicherheitsmodul
EP2704053A1 (de) 2012-08-27 2014-03-05 Giesecke & Devrient GmbH Verfahren und System zur Aktualisierung einer Firmware eines Sicherheitsmoduls

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5784549A (en) * 1994-12-13 1998-07-21 Microsoft Corporation Reduced or fail-safe bootstrapping of a system having a graphical user interface
US6381694B1 (en) * 1994-02-18 2002-04-30 Apple Computer, Inc. System for automatic recovery from software problems that cause computer failure
US6490722B1 (en) * 1999-03-30 2002-12-03 Tivo Inc. Software installation and recovery system

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5354974A (en) * 1992-11-24 1994-10-11 Base 10 Systems, Inc. Automatic teller system and method of operating same
US5708776A (en) * 1996-05-09 1998-01-13 Elonex I.P. Holdings Automatic recovery for network appliances
EP0848537B1 (de) * 1996-12-12 2001-05-09 E-Plus Mobilfunk GmbH & Co. KG Verfahren zum Aufladen einer Telefonkarte für Mobilfunkgeräte
CA2294469A1 (en) * 1997-06-23 1998-12-30 Siemens Aktiengesellschaft Chip card for executing non-modifiable system program routines and their associated replacement program routines, and a method for operating the chip card
FR2808359B1 (fr) * 2000-04-28 2002-06-28 Gemplus Card Int Carte a puce multi-applicatives

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6381694B1 (en) * 1994-02-18 2002-04-30 Apple Computer, Inc. System for automatic recovery from software problems that cause computer failure
US5784549A (en) * 1994-12-13 1998-07-21 Microsoft Corporation Reduced or fail-safe bootstrapping of a system having a graphical user interface
US6490722B1 (en) * 1999-03-30 2002-12-03 Tivo Inc. Software installation and recovery system

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
PCtip: Abgesicherter Modus- Wenn Win nicht mehr will ..., PCtip, März 1999,S.19 *
PCtip: Abgesicherter Modus- Wenn Win nicht mehr will ..., PCtip, März 1999,S.19;

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1914653A1 (de) * 2006-10-20 2008-04-23 Vodafone Group PLC Systemstartverfahren
DE102012015573A1 (de) 2012-08-07 2014-02-13 Giesecke & Devrient Gmbh Verfahren zum Aktivieren eines Betriebssystems in einem Sicherheitsmodul
WO2014023394A1 (de) 2012-08-07 2014-02-13 Giesecke & Devrient Gmbh Verfahren zum aktivieren eines betriebssystems in einem sicherheitsmodul
US9390259B2 (en) 2012-08-07 2016-07-12 Giesecke & Devrient Gmbh Method for activating an operating system in a security module
EP2704053A1 (de) 2012-08-27 2014-03-05 Giesecke & Devrient GmbH Verfahren und System zur Aktualisierung einer Firmware eines Sicherheitsmoduls
WO2014032750A1 (en) 2012-08-27 2014-03-06 Giesecke & Devrient Gmbh Method and system for updating a firmware of a security module

Also Published As

Publication number Publication date
DE10336568B4 (de) 2019-06-19
WO2005017748A1 (de) 2005-02-24

Similar Documents

Publication Publication Date Title
EP2318921B1 (de) Laden und aktualisieren einer personalisierungsbedürftigen applikation
EP2626824A1 (de) Management durch ein mobiles Endgerät bereitgestellter virtueller Brieftaschen
EP2080147B1 (de) Verfahren zum ausführen einer applikation mit hilfe eines tragbaren datenträgers
EP1611510B1 (de) Kontrollierte ausführung eines für eine virtuelle maschine vorgesehenen programms auf einem tragbaren datenträger
EP2673731B1 (de) Verfahren zur programmierung eines mobilendgeräte-chips
DE10319585A1 (de) Manipulationssicheres Datenverarbeitungssystem und zugehöriges Verfahren zur Manipulationsverhinderung
DE10336568B4 (de) Betriebssystem für einen tragbaren Datenträger
EP2652665B1 (de) Portabler datenträger mit fehlbedienungszähler
EP2524333B1 (de) Verfahren zum bereitstellen eines sicheren zählers auf einem endgerät
EP2531949B1 (de) Verfahren zum ausführen einer anwendung
EP1927870B1 (de) Tragbarer Datenträger
EP1530152B1 (de) Verfahren zum Betreiben eines tragbaren Datenträgers
DE102008056710A1 (de) Verfahren zum Betrieb eines tragbaren Datenträgers, insbesondere einer Chipkarte, in einem Endgerät
DE102007018777A1 (de) Steuervorrichtung für Fahrzeuge
EP1492008B1 (de) Behandlung eines Fehlerereignisses bei der Installation eines Anwendungsprogramms in einem tragbaren Datenträger
DE102004029104A1 (de) Verfahren zum Betreiben eines tragbaren Datenträgers
DE102007027935A1 (de) Tragbarer Datenträger und Verfahren zur Personalisierung eines tragbaren Datenträgers
DE102008027456A1 (de) Verfahren zum Schutz eines tragbaren Datenträgers
EP1564639B1 (de) Verfahren zum Betreiben einer Datenträgervorrichtung mit Ablaufdiagnosespeicher
EP0329966B1 (de) Verfahren zum Sichern von in einem Datenspeicher abgelegten geheimen Codedaten und Schaltungsanordnung zur Durchführung des Verfahrens
DE10247794A1 (de) Verwalten eines Fehlversuchszählers in einem tragbaren Datenträger
DE19930144C1 (de) Verfahren zum Erkennen von fehlerhaften Speicherzugriffen in prozessorgesteuerten Einrichtungen
DE19834486A1 (de) Verfahren und Datenverarbeitungsanordnung zum gesicherten Ausführen von Befehlen
DE102012025260A1 (de) Verfahren zum Betreiben eines portablen Datenträgers sowie ein solcher portabler Datenträger
DE102010035314B4 (de) Verfahren zum Verwalten eines Fehlbedienungszählers in einem tragbaren Datenträger

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8110 Request for examination paragraph 44
R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R006 Appeal filed
R008 Case pending at federal patent court
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE

R009 Remittal by federal patent court to dpma for new decision or registration
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee