EP2941697A1 - Method for loading an application consisting of a plurality of components onto a device consisting of a plurality of components - Google Patents

Method for loading an application consisting of a plurality of components onto a device consisting of a plurality of components

Info

Publication number
EP2941697A1
EP2941697A1 EP13818189.6A EP13818189A EP2941697A1 EP 2941697 A1 EP2941697 A1 EP 2941697A1 EP 13818189 A EP13818189 A EP 13818189A EP 2941697 A1 EP2941697 A1 EP 2941697A1
Authority
EP
European Patent Office
Prior art keywords
app
application
perso
tee
ree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP13818189.6A
Other languages
German (de)
French (fr)
Inventor
Claus Dietze
Gero Galka
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient Mobile Security GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Publication of EP2941697A1 publication Critical patent/EP2941697A1/en
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4406Loading of operating system

Definitions

  • the invention relates to a method for loading an application unit into a device, wherein the device comprises a plurality of device components and the application unit comprises two or more application components, wherein in each case an application component for a device component is determined.
  • a mobile station comprises a mobile terminal, e.g. Mobile phone or smartphone, and a security element or secure element, e.g. SIM / USIM card, UICC or embedded UICC (eUICC).
  • Some mobile station applications run on the device components.
  • some mobile terminals have a two-part runtime architecture (sometimes called an ARM architecture, according to a vendor of such an architecture) that includes a normal runtime environment under a common normal operating system and additionally a secure or secure runtime environment under a security operating system.
  • the mobile station already comprises three separate device components, namely security element, normal runtime environment and secure runtime environment.
  • each application component must be loaded into the correct device component. If a distributed application already existing in the mobile station is changed by change data, eg updated or personalized, then the change data (eg updates or Personalization data) are fed to the correct already existing application components.
  • change data eg updated or personalized
  • OTA over-the-air
  • a trusted service manager TSM is used for example, to load applications or changes into a normal runtime environment, an OTA server is used, for example, a SIM OTA server is used to load applications or changes thereto into a security element (eg SIM card etc.) of a device.
  • a security element eg SIM card etc.
  • the distributed application can be incomplete overall, because application components are missing or inconsistent because incorrect application components have been received. In either case, the distributed function is usually not functional.
  • the object of the invention is to provide a method which makes it possible to reliably, completely and consistently load an application or changes (eg updates or personalization data) distributed over several components of a device into a distributed application into the device.
  • the object is achieved by a method according to claim 1.
  • the method according to claim 1 is provided for loading an application unit into a device which comprises a plurality of device components.
  • the application unit comprises two or more application components, wherein in each case one application component is intended for a device component.
  • the application unit includes application components to all or some (at least two) device components of the device.
  • the method is characterized in that the application unit, comprising the application components, is loaded into a selected device component of the device components and, starting from the selected device component, each application component is loaded into the device component. Component for which the application component is intended.
  • the application unit is thus initially loaded as a whole into the device.
  • the application component of the selected device component is already loaded in the correct device component.
  • the one or more other application components are loaded from the selected device component into the correct one or more other device components. This ensures that all required application components are loaded into one and the same device. An incomplete loading of a distributed application is avoided. On the other hand, it is ensured that all loaded application components belong to the same higher-level application unit. This avoids inconsistent loading of a distributed application (loading of application components which do not belong to the same device). Only in the device itself are the application components for the individual device components separated and distributed. Therefore, according to claim 1, a method is provided which makes it possible to reliably, completely and consistently load an application distributed to several components of a device or changes to a distributed application into the device.
  • a mobile station is provided as the device, which comprises a mobile terminal and a security element operable in the terminal, wherein at least the security element and the mobile terminal are provided as device components.
  • a normal runtime environment under management of a normal operating system and a secure runtime environment are implemented under management of a security operating system, and wherein as the device component formed by the terminal at least the normal runtime environment and the secured runtime environment are provided.
  • the device includes the three device components security element, normal runtime environment and secure runtime environment.
  • a device component with a high security level is provided as the selected device component, eg the security element or the secure runtime environment.
  • the application unit is divided into application components in a secure environment, under the administration of a safety authority.
  • Application components intended for a high-security device component are consistently handled in a high-security environment.
  • Splitting the application unit into an insecure device component eg in the normal runtime environment
  • it could offer opportunities for attacking application components for secure device components (eg security element or secure runtime environment).
  • an application unit for a terminal with a security element is initially loaded as a whole in the security element.
  • the application unit comprises an application component for the terminal and an application component for the security element.
  • the application component for the security element is already in the correct device component.
  • the application component for the terminal is extracted from the application unit and loaded from the security element into the terminal.
  • an application unit for a terminal with a normal runtime environment, a secure runtime environment and a security element is initially loaded as a whole into the secure runtime environment (alternatively into the security element).
  • the application unit comprises in each case one application component for the normal runtime environment, the secure runtime environment and the security element.
  • the application component for the secure runtime environment (alternatively for the security element) is already in the correct device component.
  • the application components for the security element and for the normal runtime environment are extracted from the application unit and from the secure runtime environment (alternatively from the security element) into the security element or the normal runtime environment (alternatively in the secure runtime environment or the normal runtime environment) loaded.
  • an application to be loaded into the device application is provided as an application unit.
  • the application is loaded into the device, split into application components in the device (in the selected device component), and each application component is implemented in the associated device component.
  • an application change to an application already present in the device is provided as an application unit.
  • updating data for updating the existing application or / and personalization data for personalizing the existing application are provided as an application change.
  • the existing application is changed according to the application change, e.g. updated or personalized.
  • the application components containing the application changes that are already loaded change the application components that are to be changed by the application changes.
  • the process of updating or personalizing the individual components of the already existing application (ie the already existing application components) with the newly loaded data (with the newly loaded application components through which the changes are formed) per se can be done in any known manner respectively.
  • the method additionally performs a functionality test in which:
  • a re-loading of the application unit can be provided.
  • a renewed implementation of a newly loaded application can be provided, or a renewed updating or personalization of an already existing application with the newly loaded modification data (for example update data or personalization data), or both.
  • FIG. 1 is a schematic representation of a mobile station comprising a terminal with a normal runtime environment and a secure runtime environment and a security element;
  • Fig. 2 is a schematic flow diagram for the conventional loading of
  • FIG. 3 is a schematic flowchart for loading personalization data for a distributed application into the mobile station of FIG. 1, according to an embodiment of the invention; a flowchart for the overall flow of personalization of a distributed application in the mobile station of Fig. 1, according to an embodiment of the invention.
  • 1 shows a schematic representation of a typical mobile station MS comprising a terminal ME with a normal runtime environment REE (Rewe Execution Environment) and a secure runtime environment TEE (Trusted Execution Environment) as well as a security element SE.
  • the security element SE is designed as a removable SIM / USIM card, and may alternatively be permanently implemented, eg as an eUICC.
  • the normal runtime environment REE is controlled by any normal operating system common to mobile phones and smartphones.
  • the secure runtime environment TEE is controlled by a safety operating system.
  • Applications are implemented in the normal runtime environment REE and in the secure runtime environment TEE.
  • the security element SE applications in the form of applets are implemented. Some applications are implemented distributed over the mobile station MS, so that in each case an application component of the application is implemented in the security element SE, in the normal runtime environment REE and in the secure runtime environment TEE. If the distributed application is in operation, the application components work together in the security element SE, in the normal runtime environment REE and in the secure runtime environment TEE, so that overall the distributed application runs and functions.
  • Fig. 2 shows a schematic flow diagram for the conventional loading of personalization data for a distributed application APP in the mobile station MS of Fig. 1.
  • the application APP is distributed to safe runtime environment TEE, normal running time environment REE and security element SE and comprises a component APP TEE in the secure runtime environment TEE, a component APP REE in the normal runtime environment REE and a component APP SE in the security element SE.
  • Perso for the distributed application APP are generated and divided into individual personalization data Perso TEE, Perso REE and Perso SE for the device components TEE, REE or SE.
  • Each of the sets of individual personalization data Perso TEE, Perso REE and Perso SE is sent to its own OTA server TEE server TSM, REE server or SE OTA server, which is set up to maintain the data of the respective device component TEE, REE or SE.
  • the TEE TSM Server generates from the personalization data for the TEE, Perso TEE, a dispatchable data packet receivable by the mobile station MS, a so-called OTA job, more precisely a TEE OTA job receivable by the secure runtime environment, and sends the TEE OTA job to one Secure TEE managed by the TEE TSM.
  • the REE server generates a REE OTA job from the personalization data Perso REE and sends it to a normal runtime environment REE managed by the REE server.
  • the SE OTA server generates an SE OTA job (data package receivable by the SE) in an analogous manner from the personalization data Perso SE and sends it to a security element SE managed by the SE OTA server. If all three OTA servers send their OTA jobs, and thus the individual personalization data, to the same mobile station MS, the basic prerequisites for a successful personalization of the application APP are created.
  • 3 shows a schematic flow diagram for loading personalization data APP-Perso for a distributed application APP into the mobile station MS from FIG. 1, according to an embodiment of the invention.
  • personalization data APP-Perso for the distributed application APP is generated and provided to a central OTA server.
  • Personalization data APP Perso comprise individual personalization data Perso TEE, Perso REE and Perso SE for the secure runtime environment TEE, the normal runtime environment REE and the security element SE.
  • the OTA server generates a single OTA job from the bundled personalization data APP Perso (comprising Perso TEE, Perso REE, Perso SE) and sends it to the mobile station MS.
  • the OTA job is tuned to the device component that is selected to receive and split the OTA job, for example the security element SE or the secure runtime environment TEE.
  • the selected device component acts in the mobile station MS as a gateway, ie as a distribution station, for the personalization data APP-Perso.
  • the gateway divides the personalization data APP Perso into individual personalization data and forwards the individual personalization data Perso TEE, Perso REE or Perso SE to the device components secured runtime environment TEE, normal runtime environment REE or security element SE.
  • the further personalization of the application components APP TEE, APP REE and APP SE with the individual personalization data Perso TEE, Perso REE or Perso SE is performed, for example, in a conventional manner.
  • a comparison of the inventive personalization according to FIG. 3 with the conventional personalization from FIG. 2 shows that in the personalization according to the invention only a single OTA server is required. Conventionally, however, as many OTA servers are required as the mobile station has device components (in Fig. 2 thus three OTA servers).
  • the personalization data is sent in a single OTA job. If appropriate, the single OTA server can also send multiple OTA jobs (one at a time). 4 shows a flowchart for the overall procedure of personalization of a distributed application APP in the mobile station MS of FIG. 1, according to an embodiment of the invention. From personalization data APP-Perso for a distributed application APP individual personalization data Perso TEE, Perso REE, Perso SE are derived for all affected device components TEE, REE, SE and added to a single personalization OTA job.
  • the OTA job is sent to the mobile station MS, more specifically to a high security device component that has the function of a security instance in the mobile station MS, for example the security element SE or the secure runtime environment TEE.
  • the safety authority (SE or TEE) checks whether the OTA job has been completely received. If not, the security authority requests the OTA server to resubmit the OTA job. If so, the security instance extracts from the personalization OTA job the individual personalization data Perso TEE, Perso REE, Perso SE and distributes it to the device components TEE, REE, SE of the mobile station MS.
  • the application components APP TEE, APP REE, APP SE are personalized with the individual personalization data Perso TEE, Perso REE, Perso SE.
  • a safety check / gateway performs a functionality test to verify that the personalized application components still work together after the personalization. If so, the personalization of the distributed application is successfully completed. If not, the personalization is repeated or the personalization data is loaded again, and subsequently the personalization.
  • Fig. 2-4 the personalization of an existing in the mobile station MS distributed application APP has been set forth. In an analogous manner, other changes are made to an existing distributed application, eg, updates to an existing distributed application, as well as the new loading of a distributed application that does not yet exist into the mobile station MS.

Abstract

The invention relates to a method for loading an application unit onto a device, said device comprising a plurality of device components and the application unit comprising two or more application components, wherein each application component is intended for a device component. The application unit is loaded onto a selected device component of the device components. Proceeding from the selected device component, each application component is loaded onto each device component for which the application component is intended.

Description

VERFAHREN ZUM LADEN EINER AUS MEHREREN KOMPONENTEN  METHOD FOR LOADING ONE OF MULTIPLE COMPONENTS
BESTEHENDEN APPLIKATION IN EIN AUS MEHREREN KOMPONENTEN BESTEHENDEN GERÄTES  EXISTING APPLICATION IN A DEVICE COMPOSED OF MULTIPLE COMPONENTS
Die Erfindung betrifft ein Verfahren zum Laden einer Applikationseinheit in ein Gerät, wobei das Gerät mehrere Geräte-Komponenten umfasst und die Applikationseinheit zwei oder mehr Applikations-Komponenten umfasst, wobei jeweils eine Applikations-Komponente für eine Geräte-Komponente bestimmt ist. The invention relates to a method for loading an application unit into a device, wherein the device comprises a plurality of device components and the application unit comprises two or more application components, wherein in each case an application component for a device component is determined.
Geräte wie Mobilstationen umfassen mehrere Geräte-Komponenten. Eine Mobilstation umfasst ein mobiles Endgerät, z.B. Mobil telefon oder Smart- phone, und ein Sicherheitselement oder Secure Element, z.B. SIM/USIM- Karte, UICC oder embedded UICC (eUICC). Manche Applikationen einer Mobilstation laufen auf die Geräte-Komponenten verteilt. Zusätzlich haben einige mobile Endgeräte eine zweigeteilte Laufzeitarchitektur (zum Teil auch ARM- Architektur genannt, nach einem Anbieter einer solchen Architektur), die eine normale Laufzeitumgebung unter einem gängigen Normalbetriebssystem und zusätzlich eine gesicherte oder sichere Lauf zeitumgebung unter einem Sicherheitsbetriebssystem umfasst. Hierbei umfasst die Mobilstation also bereits drei getrennte Geräte-Komponenten, nämlich Sicherheitsele- ment, normale Laufzeitumgebung und sichere Lauf zeitumgebung. Devices such as mobile stations include multiple device components. A mobile station comprises a mobile terminal, e.g. Mobile phone or smartphone, and a security element or secure element, e.g. SIM / USIM card, UICC or embedded UICC (eUICC). Some mobile station applications run on the device components. In addition, some mobile terminals have a two-part runtime architecture (sometimes called an ARM architecture, according to a vendor of such an architecture) that includes a normal runtime environment under a common normal operating system and additionally a secure or secure runtime environment under a security operating system. In this case, the mobile station already comprises three separate device components, namely security element, normal runtime environment and secure runtime environment.
Damit die verteilte Applikation funktionsfähig ist, ist es notwendig, dass die Applikations-Komponenten der einzelnen Geräte-Komponenten aufeinander abgestimmt und vollständig sind. For the distributed application to be functional, it is necessary that the application components of the individual device components are coordinated and complete.
Wird eine verteilte Applikation, die mehrere Applikations-Komponenten für mehrere Geräte-Komponenten der Mobilstation umfasst, neu in die Mobilstation geladen, muss jede Applikations-Komponente in die richtige Geräte- Komponente geladen werden. Wird eine in der Mobilstation bereits vorhan- dene verteilte Applikation durch Änderungsdaten geändert, z.B. aktualisiert oder personalisiert, müssen die Änderungsdaten (z.B. Aktualisierungen oder Personalisierungsdaten) den richtigen bereits vorhandenen Applikations- Komponenten zugeführt werden. If a distributed application comprising several application components for several device components of the mobile station is newly loaded into the mobile station, each application component must be loaded into the correct device component. If a distributed application already existing in the mobile station is changed by change data, eg updated or personalized, then the change data (eg updates or Personalization data) are fed to the correct already existing application components.
Herkömmlicherweise werden die Applikations-Komponenten von verteilten Applikationen oder Änderungsdaten zu verteilten Applikationen durch unterschiedliche Server über die Luftschnittstelle, d.h. OTA („over-the-air") einzeln in die Geräte-Komponenten geladen, wie beispielhaft in Fig. 2 gezeigt ist. Um Applikationen oder Änderungen zu Applikationen OTA in eine gesicherte Laufzeitumgebung zu laden, wird beispielsweise ein Trusted Ser- vice Manger TSM verwendet. Um Applikationen oder Änderungen dazu in eine normale Laufzeitumgebung zu laden, wird beispielsweise ein OTA Server verwendet. Um Applikationen oder Änderungen dazu in ein Sicherheitselement (z.B. SIM-Karte etc.) eines Geräts zu laden, wird beispielsweise ein SIM OTA Server verwendet. Conventionally, the application components of distributed applications or change data become distributed applications through different servers over the air interface, i. OTA ("over-the-air") is loaded individually into the device components, as shown by way of example in Fig. 2. In order to load applications or changes to applications OTA into a secure runtime environment, for example, a trusted service manager TSM is used For example, to load applications or changes into a normal runtime environment, an OTA server is used, for example, a SIM OTA server is used to load applications or changes thereto into a security element (eg SIM card etc.) of a device.
Auf Grund des Ladens durch mehrere unabhängige Server besteht die Gefahr, dass zusammengehörige Applikations-Komponenten fälschlicherweise in Geräte-Komponenten unterschiedlicher Geräte geladen werden. Hierdurch kann die verteilte Applikation insgesamt unvollständig werden, weil Applikations-Komponenten fehlen, oder inkonsistent, weil falsche Applikations-Komponenten empfangen wurden. In jedem der beiden Fälle ist die verteilte Funktion in der Regel nicht funktionsfähig. Due to the fact that several independent servers are being loaded, there is a risk that associated application components are incorrectly loaded into device components of different devices. As a result, the distributed application can be incomplete overall, because application components are missing or inconsistent because incorrect application components have been received. In either case, the distributed function is usually not functional.
Der Erfindung liegt die Aufgabe zu Grunde, ein Verfahren zu schaffen, das es ermöglicht, eine auf mehrere Komponenten eines Geräts verteilte Applikation oder Änderungen (z.B. Aktualisierungen oder Personalisierungsdaten) zu einer verteilten Applikation zuverlässig, vollständig und konsistent in das Gerät zu laden. Die Aufgabe wird gelöst durch ein Verfahren nach Anspruch 1. The object of the invention is to provide a method which makes it possible to reliably, completely and consistently load an application or changes (eg updates or personalization data) distributed over several components of a device into a distributed application into the device. The object is achieved by a method according to claim 1.
Das Verfahren nach Anspruch 1 ist zum Laden einer Applikationseinheit in ein Gerät vorgesehen, das mehrere Geräte-Komponenten umfasst. Die Ap- plikationseinheit umfasst zwei oder mehr Applikations-Komponenten, wobei jeweils eine Applikations-Komponente für eine Geräte-Komponenten bestimmt ist. Die Applikationseinheit umfasst Applikations-Komponenten zu allen oder manchen (zumindest zwei) Geräte-Komponenten des Geräts. Das Verfahren zeichnet sich dadurch aus, dass die Applikationseinheit, um- fassend die Applikations-Komponenten, in eine ausgewählte Geräte- Komponente von den Geräte-Komponenten geladen wird und, ausgehend von der ausgewählten Geräte-Komponente, jede Applikations-Komponente in diejenige Geräte-Komponente geladen wird, für die die Applikations- Komponente bestimmt ist. The method according to claim 1 is provided for loading an application unit into a device which comprises a plurality of device components. The application unit comprises two or more application components, wherein in each case one application component is intended for a device component. The application unit includes application components to all or some (at least two) device components of the device. The method is characterized in that the application unit, comprising the application components, is loaded into a selected device component of the device components and, starting from the selected device component, each application component is loaded into the device component. Component for which the application component is intended.
Die Applikationseinheit wird somit zunächst als Ganzes in das Gerät geladen. Die Applikations-Komponente der ausgewählten Geräte-Komponente ist bereits in die richtige Geräte-Komponente geladen. Die ein oder mehreren anderen Applikations-Komponenten werden von der ausgewählten Geräte- Komponente aus in die richtigen ein oder mehreren anderen Geräte- Komponenten geladen. Hierdurch ist sichergestellt, dass alle erforderlichen Applikations-Komponenten in ein- und dasselbe Gerät geladen werden. Ein unvollständiges Laden einer verteilten Applikation wird vermieden. Andererseits ist sichergestellt, dass alle geladenen Applikations-Komponenten zur selben übergeordneten Applikationseinheit gehören. Somit wird ein inkonsistentes Laden einer verteilten Applikation (Laden von Applikations- Komponenten, die nicht zum selben Gerät gehören) vermieden. Erst im Gerät selbst werden die Applikations-Komponenten für die einzelnen Geräte- Komponenten voneinander getrennt und verteilt. Daher ist gemäß Anspruch 1 ein Verfahren geschaffen, das es ermöglicht, eine auf mehrere Komponenten eines Geräts verteilte Applikation oder Änderungen zu einer verteilten Applikation zuverlässig, vollständig und kon- sistent in das Gerät zu laden. The application unit is thus initially loaded as a whole into the device. The application component of the selected device component is already loaded in the correct device component. The one or more other application components are loaded from the selected device component into the correct one or more other device components. This ensures that all required application components are loaded into one and the same device. An incomplete loading of a distributed application is avoided. On the other hand, it is ensured that all loaded application components belong to the same higher-level application unit. This avoids inconsistent loading of a distributed application (loading of application components which do not belong to the same device). Only in the device itself are the application components for the individual device components separated and distributed. Therefore, according to claim 1, a method is provided which makes it possible to reliably, completely and consistently load an application distributed to several components of a device or changes to a distributed application into the device.
Wahlweise ist als Gerät eine Mobilstation vorgesehen, die ein mobiles Endgerät und ein im Endgerät betreibbares Sicherheitselement umfasst, wobei als Geräte-Komponenten zumindest das Sicherheitselement und das mobile Endgerät vorgesehen sind. Optionally, a mobile station is provided as the device, which comprises a mobile terminal and a security element operable in the terminal, wherein at least the security element and the mobile terminal are provided as device components.
Wahlweise sind in dem mobilen Endgerät eine normale Laufzeitumgebung unter Verwaltung eines Normalbetriebssystems und eine sichere Laufzeitumgebung unter Verwaltung eines Sicherheitsbetriebssystems implemen- tiert, und wobei als die Geräte-Komponente, die durch das Endgerät gebildet ist, zumindest die normale Laufzeitumgebung und die gesicherte Lauf zeit- umgebung vorgesehen sind. Insgesamt umfasst das Gerät also die drei Geräte-Komponenten Sicherheitselement, normale Laufzeitumgebung und sichere Laufzeitumgebung. Optionally, in the mobile terminal, a normal runtime environment under management of a normal operating system and a secure runtime environment are implemented under management of a security operating system, and wherein as the device component formed by the terminal at least the normal runtime environment and the secured runtime environment are provided. Overall, the device includes the three device components security element, normal runtime environment and secure runtime environment.
Wahlweise ist als ausgewählte Geräte-Komponente eine Geräte-Komponente mit einem hohen Sicherheitsniveau vorgesehen, z.B. das Sicherheitselement oder die gesicherte Laufzeitumgebung. Hierdurch wird die Aufteilung der Applikationseinheit in Applikations-Komponenten in einer sicheren Umge- bung, unter Verwaltung einer Sicherheitsinstanz, durchgeführt. Applikations-Komponenten, die für eine Geräte-Komponente mit hohem Sicherheitsniveau bestimmt sind, werden durchgängig in einer Umgebung mit hohem Sicherheitsniveau behandelt. Die Aufteilung der Applikationseinheit in einer unsicheren Geräte-Komponente (z.B. in der normalen Laufzeitumgebung) könnte hingegen Angriffsmöglichkeiten auf Applikations-Komponenten für sichere Geräte-Komponenten (z.B. Sicherheitselement oder sichere Laufzeit- umgebung) bieten. Gemäß einer Ausführungsform wird eine Applikationseinheit für ein Endgerät mit einem Sicherheitselement zunächst als Ganzes in das Sicherheitselement geladen. Die Applikationseinheit umfasst eine Applikations- Komponente für das Endgerät und eine Applikations-Komponente für das Sicherheitselement. Die Applikations-Komponente für das Sicherheitsele- ment ist bereits in der richtigen Geräte-Komponente. Die Applikations- Komponente für das Endgerät wird aus der Applikationseinheit extrahiert und vom Sicherheitselement aus in das Endgerät geladen. Optionally, a device component with a high security level is provided as the selected device component, eg the security element or the secure runtime environment. As a result, the application unit is divided into application components in a secure environment, under the administration of a safety authority. Application components intended for a high-security device component are consistently handled in a high-security environment. Splitting the application unit into an insecure device component (eg in the normal runtime environment) On the other hand, it could offer opportunities for attacking application components for secure device components (eg security element or secure runtime environment). According to one embodiment, an application unit for a terminal with a security element is initially loaded as a whole in the security element. The application unit comprises an application component for the terminal and an application component for the security element. The application component for the security element is already in the correct device component. The application component for the terminal is extracted from the application unit and loaded from the security element into the terminal.
Gemäß weiteren Ausführungsformen wird eine Applikationseinheit für ein Endgerät mit einer normalen Laufzeitumgebung, einer sicheren Laufzeitumgebung und einem Sicherheitselement zunächst als Ganzes in die sichere Laufzeitumgebung (alternativ in das Sicherheitselement) geladen. Die Applikationseinheit umfasst je eine Applikations-Komponente für die normale Laufzeitumgebung, die sichere Laufzeitumgebung und das Sicherheitsele- ment. Die Applikations-Komponente für die sichere Laufzeitumgebung (alternativ für das Sicherheitselement) ist bereits in der richtigen Geräte- Komponente. Die Applikations-Komponenten für das Sicherheitselement und für die normale Laufzeitumgebung (alternativ für die sichere Laufzeitumgebung und die normale Laufzeitumgebung) werden aus der Applikati- onseinheit extrahiert und von der sicheren Laufzeitumgebung aus (alternativ vom Sicherheitselement aus) in das Sicherheitselement bzw. die normale Laufzeitumgebung (alternativ in die sichere Laufzeitumgebung bzw. die normale Laufzeitumgebung) geladen. Wahlweise ist als Applikationseinheit eine neu in das Gerät zu ladende Applikation vorgesehen. Die Applikation wird in das Gerät geladen, im Gerät (in der ausgewählten Geräte-Komponente) in Applikations-Komponenten aufgeteilt, und jede Applikations-Komponente wird in der zugehörigen Ge- räte-Komponente implementiert. According to further embodiments, an application unit for a terminal with a normal runtime environment, a secure runtime environment and a security element is initially loaded as a whole into the secure runtime environment (alternatively into the security element). The application unit comprises in each case one application component for the normal runtime environment, the secure runtime environment and the security element. The application component for the secure runtime environment (alternatively for the security element) is already in the correct device component. The application components for the security element and for the normal runtime environment (alternatively for the secure runtime environment and the normal runtime environment) are extracted from the application unit and from the secure runtime environment (alternatively from the security element) into the security element or the normal runtime environment (alternatively in the secure runtime environment or the normal runtime environment) loaded. Optionally, an application to be loaded into the device application is provided as an application unit. The application is loaded into the device, split into application components in the device (in the selected device component), and each application component is implemented in the associated device component.
Wahlweise ist als Applikationseinheit eine Applikationsänderung zu einer bereits in dem Gerät vorhandenen Applikation vorgesehen. Wahlweise sind als Applikationsänderung Aktualisierungsdaten zur Aktualisierung der vorhandenen Applikation oder/ und Personalisierungsdaten zur Personalisierung der vorhandenen Applikation vorgesehen. Optionally, an application change to an application already present in the device is provided as an application unit. Optionally, updating data for updating the existing application or / and personalization data for personalizing the existing application are provided as an application change.
Wahlweise wird im Anschluss an das Laden der Applikationsänderung die vorhandene Applikation gemäß der Applikationsänderung geändert, also z.B. aktualisiert oder personalisiert. Dabei werden mit den geladenen, die Applikationsänderungen beinhaltenden Applikations-Komponenten, die bereits vorhandenen, durch die Applikationsänderungen zu ändernden Applikations-Komponenten geändert. Der Vorgang des Aktualisierens oder Personalisierens der einzelnen Komponenten der bereits vorhandenen Applikation (d.h. der bereits vorhandenen Applikations-Komponenten) mit den neu geladenen Daten (mit den neu geladenen Applikations-Komponenten, durch welche die Änderungen gebildet sind) an sich kann auf beliebige bekannte Weise erfolgen. Optionally, following loading of the application change, the existing application is changed according to the application change, e.g. updated or personalized. In this case, the application components containing the application changes that are already loaded change the application components that are to be changed by the application changes. The process of updating or personalizing the individual components of the already existing application (ie the already existing application components) with the newly loaded data (with the newly loaded application components through which the changes are formed) per se can be done in any known manner respectively.
Wahlweise wird bei dem Verfahren zusätzlich ein Funktionalitätstest durchgeführt, bei welchem: Optionally, the method additionally performs a functionality test in which:
- die geladenen Applikations-Komponenten bzw. mit den geladenen Applikations-Komponenten geänderten vorhandenen Applikations-Komponenten in Betrieb gesetzt werden, - The loaded application components or modified with the loaded application components existing application components to be put into operation
- überprüft wird, ob die Applikations-Komponenten bestimmungsgemäß zusammenarbeiten, so dass die gesamte, ggf. geänderte, Applikationseinheit in Betrieb gesetzt wird, und  - Checks whether the application components work together as intended, so that the entire, possibly changed, application unit is put into operation, and
- falls die Applikations-Komponenten bestimmungsgemäß zusammenarbeiten, das Laden der Applikationseinheit als abgeschlossen festgelegt wird, und,  - if the application components work together as intended, the loading of the application unit is determined to be completed, and
- falls die Applikations-Komponenten nicht bestimmungsgemäß zusammenarbeiten, eine Fehlerbehandlungsmaßnahme ergriffen wird.  - If the application components do not work together as intended, an error handling action is taken.
Als Fehlerbehandlungsmaßnahme kann beispielsweise ein nochmaliges Laden der Applikationseinheit vorgesehen sein. Alternativ oder zusätzlich kann ein nochmaliges Implementieren einer neu geladenen Applikation vorgesehen sein, oder ein nochmaligen Aktualisieren oder Personalisieren einer bereits vorhandenen Applikation mit den neu geladenen Änderungsdaten (z.B. Aktualisierungsdaten oder Personalisierungsdaten), oder beides. As an error treatment measure, for example, a re-loading of the application unit can be provided. Alternatively or additionally, a renewed implementation of a newly loaded application can be provided, or a renewed updating or personalization of an already existing application with the newly loaded modification data (for example update data or personalization data), or both.
Im Folgenden wird die Erfindung an Hand von Ausführungsbeispielen und unter Bezugnahme auf die Zeichnung näher erläutert, in der zeigen: In the following the invention will be explained in more detail with reference to exemplary embodiments and with reference to the drawing, in which:
Fig. 1 eine schematische Darstellung einer Mobilstation, die ein Endgerät mit einer normalen Laufzeitumgebung und einer sicheren Laufzeitumgebung sowie ein Sicherheitselement umfasst; 1 is a schematic representation of a mobile station comprising a terminal with a normal runtime environment and a secure runtime environment and a security element;
Fig. 2 ein schematisches Flussdiagramm zum herkömmlichen Laden von Fig. 2 is a schematic flow diagram for the conventional loading of
Personalisierungsdaten für eine verteilte Applikation in die Mobilstation aus Fig. 1; Personalization data for a distributed application in the mobile station of Fig. 1;
Fig. 3 ein schematisches Flussdiagramm zum Laden von Personalisierungsdaten für eine verteilte Applikation in die Mobilstation aus Fig. 1, gemäß einer Ausführungsform der Erfindung; ein Flussdiagramm zum Gesamtablauf der Personalisierung einer verteilten Applikation in der Mobilstation aus Fig. 1, gemäß einer Ausführungsform der Erfindung. Fig. 1 zeigt eine schematische Darstellung einer typischen Mobilstation MS, die ein Endgerät ME mit einer normalen Laufzeitumgebung REE (Rieh Exe- cution Environment) und einer sicheren Laufzeitumgebung TEE (Trusted Execution Environment) sowie ein Sicherheitselement SE umfasst. Das Sicherheitselement SE ist als entfernbare SIM/USIM-Karte gestaltet, und kann alternativ festimplementiert sein, z.B. als eUICC. Die normale Laufzeitumgebung REE wird durch ein beliebiges für Mobiltelefone und Smartphones übliches Normalbetriebssystem gesteuert. Die sichere Laufzeitumgebung TEE wird durch ein Sicherheitsbetriebssystem gesteuert. In der normalen Laufzeitumgebung REE und in der sicheren Laufzeitumgebung TEE sind Applikationen implementiert. Im Sicherheitselement SE sind Applikationen in Gestalt von Applets implementiert. Manche Applikationen sind über die Mobilstation MS verteilt implementiert, so dass jeweils eine Applikations- Komponente der Applikation im Sicherheitselement SE, in der normalen Laufzeitumgebung REE und in der sicheren Lauf zeitumgebung TEE imple- mentiert ist. Ist die verteilte Applikation in Betrieb, arbeiten die Applikations-Komponenten im Sicherheitselement SE, in der normalen Lauf zeitumgebung REE und in der sicheren Laufzeitumgebung TEE zusammen, so dass insgesamt die verteilte Applikation läuft und funktioniert. Falls die verteilte Applikation geändert werden muss, z.B. aktualisiert oder personalisiert, müssen die von den Änderungen betroffenen Applikations-Komponenten im Sicherheitselement SE, in der normalen Laufzeitumgebung REE und in der sicheren Laufzeitumgebung TEE gleichermaßen geändert werden. Fig. 2 zeigt ein schematisches Flussdiagramm zum herkömmlichen Laden von Personalisierungsdaten für eine verteilte Applikation APP in die Mobilstation MS aus Fig. 1. Die Applikation APP ist auf sichere Laufzeitumgebung TEE, normale Lauf zeitumgebung REE und Sicherheitselement SE verteilt und umfasst eine Komponente APP TEE in der gesicherten Laufzeitumgebung TEE, eine Komponente APP REE in der normalen Laufzeitumgebung REE und eine Komponente APP SE im Sicherheitselement SE. Bei einem Inhalteserver werden Personalisierungsdaten APP-Perso für die verteilte Applikation APP erzeugt und in individuelle Personalisierungsdaten Perso TEE, Perso REE und Perso SE für die Geräte-Komponenten TEE, REE bzw. SE aufgeteilt. Jeder der Sätze von individuellen Personalisierungsdaten Perso TEE, Perso REE und Perso SE wird an einen eigenen OTA Server TEE Server TSM, REE Server bzw. SE OTA Server gesendet, der zur Datenpflege der jeweiligen Geräte-Komponente TEE, REE bzw. SE eingerichtet ist. Der TEE TSM Server erzeugt aus den Personalisierungsdaten für das TEE, Perso TEE, ein versandfähiges, durch die Mobilstation MS empfangbares Datenpaket, einen sogenannten OTA Job, genauer einen durch die gesicherte Lauf zeitumgebung empfangbaren TEE OTA Job, und sendet den TEE OTA Job an eine vom TEE TSM verwaltete gesicherte Laufzeitumgebung TEE. Der REE Server erzeugt analog aus den Personalisierungsdaten Perso REE einen REE OTA Job und sendet ihn an eine vom REE Server verwaltete normale Laufzeitumgebung REE. Der SE OTA Server erzeugt auf analoge Weise aus den Personalisierungsdaten Perso SE einen SE OTA Job (durch SE empfangbares Datenpaket) und sendet ihn an ein vom SE OTA Server verwaltetes Sicher- heitselement SE. Falls alle drei OTA Server ihre OTA Jobs, und damit die individuellen Personalisierungsdaten, an dieselbe Mobilstation MS senden, sind die Grundvoraussetzungen für eine erfolgreiche Personalisierung der Applikation APP geschaffen. Fig. 3 zeigt ein schematisches Flussdiagramm zum Laden von Personalisierungsdaten APP-Perso für eine verteilte Applikation APP in die Mobilstation MS aus Fig. 1, gemäß einer Ausführungsform der Erfindung. Bei einem Inhalteserver werden Personalisierungsdaten APP-Perso für die verteilte Ap- plikation APP erzeugt und an einen zentralen OTA Server bereitgestellt. Personalisierungsdaten APP-Perso umfassen individuelle Personalisierungsdaten Perso TEE, Perso REE und Perso SE für die sichere Laufzeitumgebung TEE, die normale Laufzeitumgebung REE und das Sicherheitselement SE. Der OTA Server erzeugt aus den gebündelten Personalisierungsdaten APP- Perso (umfassend Perso TEE, Perso REE, Perso SE) einen einzigen OTA Job und sendet ihn an die Mobilstation MS. Der OTA Job ist auf diejenige Geräte-Komponente abgestimmt, die dazu ausgewählt ist, den OTA Job zu empfangen und aufzuteilen, beispielsweise das Sicherheitselement SE oder die sichere Laufzeitumgebung TEE. Die ausgewählte Geräte-Komponente wirkt in der Mobilstation MS als Gateway, d.h. als Verteilerstation, für die Personalisierungsdaten APP-Perso. Das Gateway teilt die Personalisierungsdaten APP-Perso in individuelle Personalisierungsdaten auf und leitet die individuellen Personalisierungsdaten Perso TEE, Perso REE bzw. Perso SE an die Geräte-Komponenten gesicherte Laufzeitumgebung TEE, normale Lauf zeit- Umgebung REE bzw. Sicherheitselement SE weiter. Die weitere Personalisierung der Applikations-Komponenten APP TEE, APP REE und APP SE mit den individuellen Personalisierungsdaten Perso TEE, Perso REE bzw. Perso SE wird beispielsweise auf herkömmliche Weise durchgeführt. Ein Vergleich der erfindungsgemäßen Personalisierung nach Fig. 3 mit der herkömmlichen Personalisierung aus Fig. 2 zeigt, dass bei der erfindungsgemäßen Personalisierung nur ein einziger OTA Server erforderlich ist. Herkömmlicherweise werden dagegen so viele OTA Server benötigt wie die Mobilstation Geräte-Komponenten hat (in Fig. 2 somit drei OTA Server). Gemäß Fig. 3 werden die Personalisierungsdaten in einem einzigen OTA Job gesendet. Falls es zweckmäßig ist, kann der einzige OTA Server auch mehrere OTA Jobs (nacheinander) senden. Fig. 4 zeigt ein Flussdiagramm zum Gesamtablauf der Personalisierung einer verteilten Applikation APP in der Mobilstation MS aus Fig. 1, gemäß einer Ausführungsform der Erfindung. Aus Personalisierungsdaten APP-Perso für eine verteilte Applikation APP werden individuelle Personalisierungsdaten Perso TEE, Perso REE, Perso SE für alle betroffenen Geräte-Komponenten TEE, REE, SE abgeleitet und zu einem einzigen Personalisierungs-OTA-Job gefügt. Der OTA Job wird an die Mobilstation MS gesendet, genauer an eine Geräte-Komponente mit hohem Sicherheitsniveau, die die Funktion einer Sicherheitsinstanz in der Mobilstation MS hat, beispielsweise das Sicherheitselement SE oder die sichere Laufzeitumgebung TEE. Die Sicherheitsinstanz (SE oder TEE) prüft, ob der OTA Job vollständig empfangen worden ist. Falls nein, beantragt die Sicherheitsinstanz beim OTA Server ein nochmaliges Senden des OTA Jobs. Falls ja, extrahiert die Sicherheitsinstanz aus dem Personalisierungs-OTA-Job die individuellen Personalisierungsdaten Perso TEE, Perso REE, Perso SE und verteilt sie auf die Geräte-Komponenten TEE, REE, SE der Mobilstation MS. Die Applikations-Komponenten APP TEE, APP REE, APP SE werden mit den individuellen Personalisierungsdaten Perso TEE, Perso REE, Perso SE personalisiert. Anschließend wird durch Sicherheitsinstanz/Gateway ein Funktionalitätstest durchgeführt, um zu verifizieren, dass die personalisierten Applikations-Komponenten auch nach der Personalisierung noch zusammenarbeiten. Falls ja, ist die Personalisierung der verteilten Applikation erfolgreich abgeschlossen. Falls nein, wird die Personalisierung wiederholt, oder das Laden der Personalisierungsdaten wird wiederholt, und nachfolgend die Personalisierung. In Fig. 2-4 wurde die Personalisierung einer in der Mobilstation MS vorhandenen verteilten Applikation APP dargelegt. Auf analoge Weise werden andere Änderungen einer vorhandenen verteilten Applikation durchgeführt, z.B. Aktualisierungen einer vorhandenen verteilten Applikation, sowie das neue Laden einer noch nicht vorhandenen verteilten Applikation in die Mobilstation MS. 3 is a schematic flowchart for loading personalization data for a distributed application into the mobile station of FIG. 1, according to an embodiment of the invention; a flowchart for the overall flow of personalization of a distributed application in the mobile station of Fig. 1, according to an embodiment of the invention. 1 shows a schematic representation of a typical mobile station MS comprising a terminal ME with a normal runtime environment REE (Rewe Execution Environment) and a secure runtime environment TEE (Trusted Execution Environment) as well as a security element SE. The security element SE is designed as a removable SIM / USIM card, and may alternatively be permanently implemented, eg as an eUICC. The normal runtime environment REE is controlled by any normal operating system common to mobile phones and smartphones. The secure runtime environment TEE is controlled by a safety operating system. Applications are implemented in the normal runtime environment REE and in the secure runtime environment TEE. In the security element SE, applications in the form of applets are implemented. Some applications are implemented distributed over the mobile station MS, so that in each case an application component of the application is implemented in the security element SE, in the normal runtime environment REE and in the secure runtime environment TEE. If the distributed application is in operation, the application components work together in the security element SE, in the normal runtime environment REE and in the secure runtime environment TEE, so that overall the distributed application runs and functions. If the distributed application needs to be changed, eg updated or personalized, the application components affected by the changes must be changed equally in the security element SE, in the normal runtime environment REE and in the secure runtime environment TEE. Fig. 2 shows a schematic flow diagram for the conventional loading of personalization data for a distributed application APP in the mobile station MS of Fig. 1. The application APP is distributed to safe runtime environment TEE, normal running time environment REE and security element SE and comprises a component APP TEE in the secure runtime environment TEE, a component APP REE in the normal runtime environment REE and a component APP SE in the security element SE. In a content server personalization data APP Perso for the distributed application APP are generated and divided into individual personalization data Perso TEE, Perso REE and Perso SE for the device components TEE, REE or SE. Each of the sets of individual personalization data Perso TEE, Perso REE and Perso SE is sent to its own OTA server TEE server TSM, REE server or SE OTA server, which is set up to maintain the data of the respective device component TEE, REE or SE. The TEE TSM Server generates from the personalization data for the TEE, Perso TEE, a dispatchable data packet receivable by the mobile station MS, a so-called OTA job, more precisely a TEE OTA job receivable by the secure runtime environment, and sends the TEE OTA job to one Secure TEE managed by the TEE TSM. Analogously, the REE server generates a REE OTA job from the personalization data Perso REE and sends it to a normal runtime environment REE managed by the REE server. The SE OTA server generates an SE OTA job (data package receivable by the SE) in an analogous manner from the personalization data Perso SE and sends it to a security element SE managed by the SE OTA server. If all three OTA servers send their OTA jobs, and thus the individual personalization data, to the same mobile station MS, the basic prerequisites for a successful personalization of the application APP are created. 3 shows a schematic flow diagram for loading personalization data APP-Perso for a distributed application APP into the mobile station MS from FIG. 1, according to an embodiment of the invention. In a content server, personalization data APP-Perso for the distributed application APP is generated and provided to a central OTA server. Personalization data APP Perso comprise individual personalization data Perso TEE, Perso REE and Perso SE for the secure runtime environment TEE, the normal runtime environment REE and the security element SE. The OTA server generates a single OTA job from the bundled personalization data APP Perso (comprising Perso TEE, Perso REE, Perso SE) and sends it to the mobile station MS. The OTA job is tuned to the device component that is selected to receive and split the OTA job, for example the security element SE or the secure runtime environment TEE. The selected device component acts in the mobile station MS as a gateway, ie as a distribution station, for the personalization data APP-Perso. The gateway divides the personalization data APP Perso into individual personalization data and forwards the individual personalization data Perso TEE, Perso REE or Perso SE to the device components secured runtime environment TEE, normal runtime environment REE or security element SE. The further personalization of the application components APP TEE, APP REE and APP SE with the individual personalization data Perso TEE, Perso REE or Perso SE is performed, for example, in a conventional manner. A comparison of the inventive personalization according to FIG. 3 with the conventional personalization from FIG. 2 shows that in the personalization according to the invention only a single OTA server is required. Conventionally, however, as many OTA servers are required as the mobile station has device components (in Fig. 2 thus three OTA servers). Referring to Figure 3, the personalization data is sent in a single OTA job. If appropriate, the single OTA server can also send multiple OTA jobs (one at a time). 4 shows a flowchart for the overall procedure of personalization of a distributed application APP in the mobile station MS of FIG. 1, according to an embodiment of the invention. From personalization data APP-Perso for a distributed application APP individual personalization data Perso TEE, Perso REE, Perso SE are derived for all affected device components TEE, REE, SE and added to a single personalization OTA job. The OTA job is sent to the mobile station MS, more specifically to a high security device component that has the function of a security instance in the mobile station MS, for example the security element SE or the secure runtime environment TEE. The safety authority (SE or TEE) checks whether the OTA job has been completely received. If not, the security authority requests the OTA server to resubmit the OTA job. If so, the security instance extracts from the personalization OTA job the individual personalization data Perso TEE, Perso REE, Perso SE and distributes it to the device components TEE, REE, SE of the mobile station MS. The application components APP TEE, APP REE, APP SE are personalized with the individual personalization data Perso TEE, Perso REE, Perso SE. Subsequently, a safety check / gateway performs a functionality test to verify that the personalized application components still work together after the personalization. If so, the personalization of the distributed application is successfully completed. If not, the personalization is repeated or the personalization data is loaded again, and subsequently the personalization. In Fig. 2-4, the personalization of an existing in the mobile station MS distributed application APP has been set forth. In an analogous manner, other changes are made to an existing distributed application, eg, updates to an existing distributed application, as well as the new loading of a distributed application that does not yet exist into the mobile station MS.

Claims

P a t e n t a n s p r ü c h e Patent claims
1. Verfahren zum Laden einer Applikationseinheit (APP; APP-Perso) in ein Gerät (MS), wobei das Gerät (MS) mehrere Geräte-Komponenten (ME, SE; TEE, REE, SE) umfasst und die Applikationseinheit (APP; APP-Perso) zwei oder mehr Applikations-Komponenten (APP ME, APP SE; Perso ME, Perso SE; APP TEE, APP REE, APP SE ; Perso TEE, Perso REE, Perso SE) umfasst, wobei jeweils eine Applikations-Komponente für eine Geräte-Komponente bestimmt ist, A method of loading an application unit (APP) into a device (MS), the device (MS) comprising a plurality of device components (ME, SE, TEE, REE, SE) and the application unit (APP; APP -Perso) comprises two or more application components (APP ME, APP SE, Perso ME, Perso SE, APP TEE, APP REE, APP SE, Perso TEE, Perso REE, Perso SE), wherein in each case one application component for a Device component is determined
dadurch gekennzeichnet, dass characterized in that
die Applikationseinheit (APP; APP-Perso), umfassend die Applikations- Komponenten, in eine ausgewählte Geräte-Komponente (SE; SE, TEE) von den Geräte-Komponenten (ME, SE; TEE, REE, SE) geladen wird und, ausgehend von der ausgewählten Geräte-Komponente (SE; TEE, SE), jede Applika- tions-Komponente in diejenige Geräte-Komponente (ME; SE, REE, TEE, REE) geladen wird, für die die Applikations-Komponente bestimmt ist. the application unit (APP, APP Perso), comprising the application components, is loaded into a selected device component (SE, SE, TEE) by the device components (ME, SE, TEE, REE, SE) and, starting from the selected device component (SE, TEE, SE), each application component is loaded into the device component (ME, SE, REE, TEE, REE) for which the application component is intended.
2. Verfahren nach Anspruch 1, wobei als Gerät eine Mobilstation (MS) vorgesehen ist, die ein mobiles Endgerät (ME) und ein im Endgerät (ME) be- treibbares Sicherheitselement (SE) umfasst, und wobei als Geräte- Komponenten zumindest das Sicherheitselement (SE) und das mobile Endgerät (ME) vorgesehen sind. 2. Method according to claim 1, wherein a mobile station (MS) is provided as the device, which comprises a mobile terminal (ME) and a security element (SE) which can be operated in the terminal (ME), and wherein as device components at least the security element (SE) and the mobile terminal (ME) are provided.
3. Verfahren nach Anspruch 2, wobei in dem mobilen Endgerät (ME) eine normale Laufzeitumgebung (REE) unter Verwaltung eines Normalbetriebssystems und eine sichere Laufzeitumgebung (TEE) unter Verwaltung eines Sicherheitsbetriebssystems implementiert sind, und wobei als die Geräte- Komponente, die durch das Endgerät (ME) gebildet ist, zumindest zwei Geräte-Komponenten vorgesehen sind, nämlich die normale Laufzeitumge- bung (REE) und die gesicherte Laufzeitumgebung (TEE). 3. The method of claim 2, wherein in the mobile terminal (ME) a normal runtime environment (REE) under management of a normal operating system and a secure runtime environment (TEE) are implemented under management of a safety operating system, and wherein as the device component, by the Terminal (ME) is formed, at least two device components are provided, namely the normal runtime environment (REE) and the secure runtime environment (TEE).
4. Verfahren nach einem der Ansprüche 1 bis 3, wobei als ausgewählte Geräte-Komponente eine Geräte-Komponente mit einem hohen Sicherheitsniveau vorgesehen ist, insbesondere das Sicherheitselement (SE) nach Anspruch 2 oder 3 oder die gesicherte Laufzeitumgebung (TEE) nach Anspruch 3. 4. The method according to any one of claims 1 to 3, wherein as a selected device component, a device component is provided with a high level of security, in particular the security element (SE) according to claim 2 or 3 or the secure runtime environment (TEE) according to claim 3.
5. Verfahren nach einem der Ansprüche 1 bis 4, wobei als Applikationseinheit eine neu in das Gerät zu ladende Applikation (APP), umfassend zwei oder mehr Applikations-Komponenten (APP ME, APP SE; APP TEE, APP REE, APP SE), vorgesehen ist. 5. Method according to one of claims 1 to 4, wherein the application unit is an application (APP) to be newly loaded into the device, comprising two or more application components (APP ME, APP SE, APP TEE, APP REE, APP SE), is provided.
6. Verfahren nach einem der Ansprüche 1 bis 5, wobei als Applikationseinheit eine Applikationsänderung (APP-Perso) zu einer bereits in dem Gerät vorhandenen Applikation (APP) vorgesehen ist. 6. The method according to any one of claims 1 to 5, wherein the application unit is an application change (APP perso) to an already existing in the device application (APP) is provided.
7. Verfahren nach Anspruch 6, wobei als Applikationsänderung Aktualisierungsdaten zur Aktualisierung der vorhandenen Applikation oder/ und Per- sonalisierungsdaten (APP-Perso) zur Personalisierung der vorhandenen Applikation (APP) vorgesehen sind, die Applikationsänderung umfassend zwei oder mehr Applikations-Komponenten (Perso ME, Perso SE; Perso TEE, Per- so REE, Perso SE). 7. The method according to claim 6, wherein as an application change update data for updating the existing application and / or Personal- sonzation data (APP Perso) for personalization of the existing application (APP) are provided, the application change comprising two or more application components (Perso ME , Perso SE, Perso TEE, Per- so REE, Perso SE).
8. Verfahren nach Anspruch 6 oder 7, wobei im Anschluss an das Laden der Applikationsänderung (APP-Perso) die vorhandene Applikation (APP) gemäß der Applikationsänderung (APP-Perso) geändert wird. 8. The method of claim 6 or 7, wherein following the loading of the application change (APP Perso), the existing application (APP) is changed according to the application change (APP perso).
9. Verfahren nach einem der Ansprüche 1 bis 8, wobei zusätzlich ein Funktionalitätstest durchgeführt wird, wobei bei dem Funktionalitätstest: 9. The method according to any one of claims 1 to 8, wherein in addition a functionality test is performed, wherein in the functionality test:
- die geladenen Applikations-Komponenten (APP ME, APP SE; APP TEE, APP REE, APP SE) bzw. mit den geladenen Applikations-Komponenten (Perso ME, Perso SE; Perso TEE, Perso REE, Perso SE) geänderten vorhandenen Applikations-Komponenten (APP ME, APP SE; APP TEE, APP REE, APP SE) in Betrieb gesetzt werden, - The loaded application components (APP ME, APP SE, APP TEE, APP REE, APP SE) or with the loaded application components (Perso ME, Perso SE, Perso TEE, Perso REE, Perso SE), modified existing application components (APP ME, APP SE, APP TEE, APP REE, APP SE) are put into operation,
- überprüft wird, ob die in Betrieb gesetzten Applikations-Komponenten (APP ME, APP SE; APP TEE, APP REE, APP SE) bestimmungsgemäß zusammenarbeiten, so dass die gesamte, ggf. geänderte, Applikation (APP) in Betrieb gesetzt wird, und  - Checks whether the application components (APP ME, APP SE, APP TEE, APP REE, APP SE) put into operation cooperate as intended, so that the entire, possibly modified, application (APP) is put into operation, and
- falls die in Betrieb gesetzten Applikations-Komponenten (APP ME, APP SE; APP TEE, APP REE, APP SE) bestimmungsgemäß zusammenarbeiten, das Laden der Applikationseinheit (APP; APP-Perso) als abgeschlossen festgelegt wird, und,  if the application components (APP ME, APP SE, APP TE, APP REE, APP SE) in operation cooperate as intended, the loading of the application unit (APP, APP Perso) is determined to be completed, and
- falls die in Betrieb gesetzten Applikations-Komponenten (APP ME, APP SE; APP TEE, APP REE, APP SE) nicht bestimmungsgemäß zusammenarbeiten, eine Fehlerbehandlungsmaßnahme ergriffen wird.  - If the application components put into operation (APP ME, APP SE, APP TEE, APP REE, APP SE) do not cooperate as intended, an error handling measure is taken.
EP13818189.6A 2013-01-03 2013-12-16 Method for loading an application consisting of a plurality of components onto a device consisting of a plurality of components Ceased EP2941697A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102013000106 2013-01-03
PCT/EP2013/003803 WO2014106530A1 (en) 2013-01-03 2013-12-16 Method for loading an application consisting of a plurality of components onto a device consisting of a plurality of components

Publications (1)

Publication Number Publication Date
EP2941697A1 true EP2941697A1 (en) 2015-11-11

Family

ID=49920307

Family Applications (1)

Application Number Title Priority Date Filing Date
EP13818189.6A Ceased EP2941697A1 (en) 2013-01-03 2013-12-16 Method for loading an application consisting of a plurality of components onto a device consisting of a plurality of components

Country Status (4)

Country Link
US (1) US20150331698A1 (en)
EP (1) EP2941697A1 (en)
CN (1) CN104937549A (en)
WO (1) WO2014106530A1 (en)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102281782B1 (en) * 2014-11-14 2021-07-27 삼성전자주식회사 Method and apparatus for managing an application of a terminal remotely in a wireless communication system
CN106940776A (en) * 2016-01-04 2017-07-11 中国移动通信集团公司 A kind of sensitive data operating method and mobile terminal
WO2018129726A1 (en) * 2017-01-13 2018-07-19 华为技术有限公司 Authorization credential migration method, terminal device and service server
CN106909851A (en) * 2017-02-27 2017-06-30 努比亚技术有限公司 A kind of secure storage method of data and device
CN108985756B (en) 2017-06-05 2022-11-22 华为技术有限公司 SE application processing method, user terminal and server
CN107329788A (en) * 2017-06-29 2017-11-07 广州优视网络科技有限公司 application program loading method, device and user terminal
CN108021823A (en) * 2017-12-04 2018-05-11 北京元心科技有限公司 Method, device and terminal for seamlessly running application program based on trusted execution environment
WO2019205108A1 (en) * 2018-04-27 2019-10-31 华为技术有限公司 Constructing common trusted application for a plurality of applications

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008046556A1 (en) * 2007-09-20 2009-04-02 Siemens Aktiengesellschaft Components e.g. image reconstruction system and gantry firmware, updating method for e.g. computer tomography, involves storing copy of updated components, if local updating runs successfully

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7124401B2 (en) * 2002-09-03 2006-10-17 Sap Aktiengesellschaft Testing versions of applications
DE602005021801D1 (en) * 2004-10-05 2010-07-22 Research In Motion Ltd
GB2440170B8 (en) * 2006-07-14 2014-07-16 Vodafone Plc Digital rights management
CN101765846B (en) * 2007-08-01 2013-10-23 Nxp股份有限公司 Mobile communication device and method for disabling applications
US8549657B2 (en) * 2008-05-12 2013-10-01 Microsoft Corporation Owner privacy in a shared mobile device
US8285949B2 (en) * 2009-06-03 2012-10-09 Apple Inc. Secure software installation
DE102011015710A1 (en) * 2011-03-31 2012-10-04 Giesecke & Devrient Gmbh Method for updating a data carrier
US8712407B1 (en) * 2012-04-05 2014-04-29 Sprint Communications Company L.P. Multiple secure elements in mobile electronic device with near field communication capability
US9369867B2 (en) * 2012-06-29 2016-06-14 Intel Corporation Mobile platform software update with secure authentication

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008046556A1 (en) * 2007-09-20 2009-04-02 Siemens Aktiengesellschaft Components e.g. image reconstruction system and gantry firmware, updating method for e.g. computer tomography, involves storing copy of updated components, if local updating runs successfully

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
G&D: "White Paper The OTA Platform in the World of LTE", 31 December 2011 (2011-12-31), pages 1 - 12, XP055359356, Retrieved from the Internet <URL:https://www.gi-de.de/gd_media/media/en/documents/brochures/mobile_security_2/cste_1/OTA-and-LTE.pdf> [retrieved on 20170328] *
See also references of WO2014106530A1 *

Also Published As

Publication number Publication date
WO2014106530A1 (en) 2014-07-10
CN104937549A (en) 2015-09-23
US20150331698A1 (en) 2015-11-19

Similar Documents

Publication Publication Date Title
WO2014106530A1 (en) Method for loading an application consisting of a plurality of components onto a device consisting of a plurality of components
EP2898714B1 (en) Identity module for user authentication in a communication network
EP2910039B1 (en) Method for incorporating subscriber identity data into a subscriber identity module
EP3275228B1 (en) Method for loading a profile
WO2014170006A1 (en) Mobile station comprising security resources with different security levels
WO2016128141A1 (en) Subscriber identification module
DE102015015734B3 (en) Subscriber identity module with multiple profiles and set up for an Authenticate command
EP3080950A1 (en) Method and system for deterministic auto-configuration of a device
DE102015119800A1 (en) Method and device for testing a device
DE102021003392B3 (en) Flexible remote SIM provisioning
EP3452946B1 (en) Method for a first start-up operation of a secure element which is not fully customized
EP2675193B1 (en) Chip card, terminal having chip card and a method for modifying a chip card
WO2015018510A2 (en) Method and devices for changing a mobile radio network
DE102021003391B3 (en) Flexible remote SIM provisioning
DE102016000324B4 (en) Procedure for managing identification data of multiple applications
DE102019214922A1 (en) Configuration procedure for a railway signal system and update system
DE102015015212B4 (en) Method for operating a security module and security module
DE102018006208A1 (en) Chipset, for terminal, with updatable program
EP3360356A1 (en) Blocking the acceptance or the processing of a packet for loading a profile into a euicc
DE102018007576A1 (en) Subscriber identity module with profile or set up for profile
WO2021115629A1 (en) Personalizing a secure identification element
WO2015090586A1 (en) Method and apparatuses for managing subscriptions on a security element
WO2018015018A1 (en) Chipset with protected firmware
DE102019000743A1 (en) Methods and devices for managing subscription profiles of a security element
DE102014008268A1 (en) Methods and apparatus for managing subscription profiles on a security element

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20150803

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20170405

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH

REG Reference to a national code

Ref country code: DE

Ref legal event code: R003

18R Application refused

Effective date: 20180201

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED