JP2014506704A - セキュアランタイム環境でのデータ交換方法 - Google Patents

セキュアランタイム環境でのデータ交換方法 Download PDF

Info

Publication number
JP2014506704A
JP2014506704A JP2013554811A JP2013554811A JP2014506704A JP 2014506704 A JP2014506704 A JP 2014506704A JP 2013554811 A JP2013554811 A JP 2013554811A JP 2013554811 A JP2013554811 A JP 2013554811A JP 2014506704 A JP2014506704 A JP 2014506704A
Authority
JP
Japan
Prior art keywords
secure
runtime environment
data
environment
swd
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013554811A
Other languages
English (en)
Inventor
スピッツ、ステファン
Original Assignee
トラストニック リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by トラストニック リミテッド filed Critical トラストニック リミテッド
Publication of JP2014506704A publication Critical patent/JP2014506704A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Abstract

本発明は、多数のセキュアなアプリケーション(TL)を実行できるセキュアランタイム環境(SWd)と、特に、携帯端末などの、アプリケーションデータ(AD)と制御データ(MCP,NQ)が異なるバッファを介して送信されるマイクロプロセッサ装置(MP)の非セキュア環境(NWd)との間でデータを交換する方法に関する。

Description

本発明は、多数のセキュアなアプリケーションを実行できるセキュアランタイム環境と、特に、携帯端末などのマイクロプロセッサ装置の非セキュア環境との間でデータを交換する方法に関する。
セキュアランタイム環境は、従来技術から公知で、攻撃に対して保護された方法で、マイクロプロセッサ装置を使用してプログラムを実行することができる。この場合、マイクロプロセッサ装置は、プログラムを実行するためのハードウエアであり、特に、実際のマイクロプロセッサ装置や、プログラムを実行する時にデータを記憶するために使用するそれに対応する揮発性メモリ及び非揮発性メモリなどすべてのハードウエアを意味すると理解して欲しい。
セキュリティ上の要件を充足するために、セキュアランタイム環境を有するマイクロプロセッサ装置の記憶制限と通信メカニズムについては、マルチタスク特性を最適にする必要がある。
本発明の目的は、マイクロプロセッサ装置のセキュアランタイム環境と非セキュア実行環境の間でデータを交換する方法であって、マルチタスク特性の改良を可能にする方法に関する。本発明の別の目的は、改良されたマルチタスク特性を有するマイクロプロセッサ装置を規定することである。
これらの目的は、特許請求項1の特徴による方法と、特許請求項13の特徴によるマイクロプロセッサ装置によって達成される。本発明の好ましい改良点は、独立請求項によって規定される。
多数のセキュアなアプリケーションを実行可能なセキュアランタイム環境と、特に、携帯端末などの、アプリケーションデータと制御データが異なるバッファを介して送信されるマイクロプロセッサ装置の非セキュア環境との間でデータを交換するための本発明による方法が提供される。
これによって、バイナリコードを安全にダウンロードできる厳密なプロセス分離が可能になる。さらに、非セキュアな環境のアプリケーションとセキュアランタイム環境におけるプロセスの間でもっと早くデータの交換をすることができる。
異なるタイプの制御データが異なるバッファを介して送信されることは好ましい。同様に、セキュアランタイム環境と非セキュア環境の間の切替えに関するモニタリングデータが別のセキュアなバッファを介して送信されることも好ましい。モニタリングデータを使用して、セキュアランタイム環境と非セキュア環境を切り替えることができる。これは、特に、早いコンテキスト切り替え時間を達成し、その結果、プロセス間のタスク切替えの場合に良好なパフォーマンスを達成する。
別の好都合な改良点は、アプリケーションデータ及び制御データ、また随意的に、モニタリングデータの送信は、セキュアランタイム環境と非セキュア環境に対する複数のインターフェースを有するモニタ装置で実施されるARMモニタコードに基づく。
また、アプリケーションデータと制御データが、セキュアランタイム環境と、非セキュア環境のドラバの間で送信されることも好ましい。非セキュア環境、特に、制御データのためのドライバのインターフェースに於いて実施されるスケジューラは、好都合に、セキュアランタイム環境に於いてどのセキュアなアプリケーションが実行されるか規定する。
データが、メモリのメモリエリアを使って交換され、メモリエリアは、セキュアランタイム環境及び非セキュア環境によって読み出され、及び/又は書き込まれることが可能であることも好都合である。メモリエリアは、好適に、モニタリングメッセージによってイニシャライズされる。この場合、特に、ランタイム環境のために意図されたメモリエリアの中のデータが通知される対象の制御メッセージを使って、ランタイム環境を確保する措置が行われる。この場合は、セキュアランタイム環境で実行されるアプリケーションの1つに対して制御メッセージを割当てるために、制御データは、好適には、セキュアランタイム環境で実行されるアプリケーションの1つに対して制御メッセージを割当てるために、セキュアランタイム環境で使うことができる固有なセッション識別子(セッションID)を与えられる。
別の好都合な改良点は、超えることができない規定された計算時間が、ランタイム環境で稼働している各々のプロセスに割当てられる。この計算時間は、セキュリティ上の理由から超えてはならない。これによって、厳密なプロセス分離を達成することができる。
別の好都合な改良によると、セキュアランタイム環境で稼働しているプロセスは、以下のスレッド構造、つまり、スレッド識別子(ID)、スレッドの現在の状態、スレッドのためのローカル例外ハンドラ、スレッドの優先度を有する。好適には、各々のプロセスは、次のタスク構造、つまり、タスクの現在の状態、ジェネレータタスクのタスク識別子、タスクのための外部例外ハンドラ、タスクのための計算時間割当、タスクによって起動され又は提供され得るスレッドの数、タスクの優先度及び権利を有する。上記のスレッド及び/又はタスク構造の結果、コンテキストの切替があった場合、大量のデータのコピーをする必要がない。これによって、素早いコンテキスト切替え時間の達成が可能になる。
本発明はまた、セキュアランタイム環境及び非セキュア環境を有するマイクロプロセッサ装置を提供するが、マイクロプロセッサ装置は、アプリケーションデータと制御データは、セキュアランタイム環境と非セキュア環境の間でデータを交換するために、異なるバッファを経由して送信されるように形成されている。この場合、「マイクロプロセッサ」という用語は、再び、広義に理解されるべきで、データを交換するために必要なすべてのハードウエア構成要素を含み、例えば、ポータブルデータ記憶媒体、特に、チップカードなどがある。
本発明はまた、携帯端末、特に、それに対応するマイクロプロセッサ装置を備える携帯電話に関する。
本発明は、以下の図面で示した例示的実施形態を使用して詳細に説明する。
本発明の方法の略図である。 本発明による方法を実施するために必要なマイクロプロセッサ装置の構成要素の略図である。 本発明による方法の操作方法を説明するための略図である。 本発明による方法の例示的応用の略図である。
図1は、所謂、ARMトラストゾーンの形式のマイクロプロセッサ装置のセキュアランタイム環境SWdと、非セキュアランタイム環境NWdの間でのデータ交換に関して説明するために使われる。ARMトラストゾーンは、マイクロプロセッサ装置の中に、トラストレットと呼ばれるアプリケーションを実行するためのセキュアランタイム環境SWdとして使われる保護された領域を生成するために使用される公知の技術である。セキュアランタイム環境は、「セキュアワールド」と呼ばれ、非セキュア環境は、「ノーマルワールド」と呼ばれる。ここに記述される実施形態において、例えば、携帯電話などの携帯端末の、所謂、トラストゾーンハードウエアなどのハードウエアプラットフォーム上で実行される。この場合、ランタイム環境は、アプリケーションレイヤとマイクロプロセッサ装置のオペレーティングシステムレイヤの間のソフトウエアレイヤである。
図1は、所謂モビコア通信モデュールという形式の通信ユニットMCCMを有するセキュアランタイム環境SWdを有するマイクロプロセッサ装置の概略を示す。この場合は、通信ユニットMCCMは、セキュアランタイム環境SWdのオペレーティングシステムMC(モビコア)を使用する。所謂モビコアドライバの形式のドライバMCDを有する非セキュア環境NWdも図示されている。リッチオOS(OS)が、オペレーティングシステムとして使われている。セキュアランタイム環境SWdと、非セキュア環境NWdは、所謂トラストゾーンハードウエアTSHで実行される。
モニタ装置Mが、セキュアランタイム環境SWdと非セキュア環境NWdの間でデータを交換する目的で設置される。アプリケーションデータAD、制御データMCP(モビコア制御プロトコルデータ)、制御データNQ(通知キュー)及びモニタリングデータFC(所謂、ファーストコール)が、各々の異なるバッファを介して送信される。アプリケーションデータAD、制御データMCP及びNQ、及びモニタリングデータFCの送信は、セキュアランタイム環境SWdと非セキュア環境NWdに対するインターフェースを有するモニタ装置Mの中で実行されるARMモニタコードに基づく。
図2は、本発明による方法を実行するために必要なマイクロプロセッサMPの構成要素を示す。該マイクロプロセッサ装置は、セキュアランタイム環境SWd(記述済み)と非セキュア環境NWdを有している。セキュア環境はトラストゾーンTZと呼ばれる。後者は、トラストレットTLと呼ばれる少なくとも1つのアプリケーションを含む。該アプリケーションは、アプリケーション特異的インターフェース(MCトラストレットAPI)を介して、例えば、モビコア(ブロックB1)などのセキュアランタイム環境MCのオペレーティングシステムと交信をする。セキュアランタイム環境SWdも、ドライバDRVを含んでいる(ブロックB2)
アプリケーション特異的インターフェース(アプリケーション特異的API)を介してブロックA1のアプリケーションコネンクタTLC(所謂トラストレットコネクタ)とデータを交換することの可能な少なくとも1つのアプリケーションAPPが、オペレーティングシステムとして、例えば、リッチオーエスを使用する非セキュア環境に設置される。アプリケーションコネクタは、インターフェースTCIを介してセキュアランタイム環境に於けるアプリケーションTLと交信することができる。非セキュア環境NWdも、ブロックA2に、例えば、モビコアドライバなどのドライバMCDを含んでおり、該ドライバには、アプリケーション特異的インターフェース(MCドライバAPI)が割り当てられている。非セキュア環境もまたブロックA3にバーチャルドライバVDRVを含んでいる。モビコアドライバMCDは、インターフェース(MCI)を介して、セキュアランタイム環境のオペレーティングシステムMCと交信が可能である。バーチャルドライバVDRVとセキュアランタイム環境のドライバDRVとの交信は、インターフェースDCIを介して可能である。
マイクロプロセッサ装置の独創的特質は、モビコアドライバMCDの中の非セキュア環境のアウトソース的プロセスのスケジューラである。例えば、モビコアなどのセキュアランタイム環境のオペレーティングシステムは、例えば、いかなるプロセス間通信も含んでいない最適化されたマイクロカーネルを含んでいる。時間割当によるプリエンプティブマルチタスクが、MCで実行される。MCはまた最適化タスクコンテキストを備えている。最後に、マイクロプロセッサ装置は、B1でマルチタスクが可能な環境と非同期的通信のために最適化されたブロックA1、A2、A3にマルチレイヤドライバコンセプトを備えている。
マルチレイヤドライバコンセプトについては、図3を使用して以下でより詳細に述べる。モビコアドライバMCD(ブロックA2)は、図3に図示され、制御データMCP及びNQと、及びモニタリングデータFCを非セキュア環境と、セキュアランタイム環境SWdの間で送信するための3つのインターフェースを備えている。ランタイム管理ユニットMCRTと、モニタリングデータハンドラFCHが、モビコアオペレーティングシステム(ブロックB1)に設置されている。セキュアランタイム環境SWdと非セキュア環境NWdの間のデータ交換をコーディネイトするモニタユニットM(既に始めに説明した)も図示されている。
制御データMCPの送信に割り当てられたインターフェースは、主として、モビコアオペレーティングシステムMCの制御に責任がある。ここに、オペレーティングシステムのどのタスクをスタートさせ、ストップさせるのかに関して決定を行う。モビコアのオペレーティングシステムによって提供されるデータは、正しいフォーマットであるかチェックされる。通信のために、特別バッファがメモリに保存されており、モニタリングメッセージFCを経由してイニシャライズされる。
メモリは、ワールド共有メモリと呼ばれる。該メモリは、非セキュア環境NWdとセキュアランタイム環境によってアクセスされる。
制御データNQの送信に割り当てられたインターフェースは、データはメモリに収集される準備状態にあることをランタイムマネージメントユニットに知らせるためのメッセージを使用する責任がある。これらのデータはモビコアドライバMCDから発生しても良く、つまり、非セキュア環境NWdのアプリケーションとセキュアランタイム環境SWdの特定のアプリケーション(トラストレットTL)との間のデータ通信に属している。モビコアドラバMCDのレイヤ上の通信の場合、メッセージは、識別子、つまり、所謂セッションIDが付与されるが、セッションIDは、そのメッセージを、一意的に、セキュアランタイム環境SWdの特定のアプリケーションに割り当てるために、モビコアオペレーティングシステムMCが使うことができる。
制御データMCPのレイヤからの制御データは、同様に、制御データNQのバッファに存在しても良い。どちらの場合も、NQに割り当てられたインターフェースは、ランタイムマネージメントユニットMCRPに特別割り込み(好ましくは、特別トラストゾーン割り込みSIQ)のトリガを知らせる。
非セキュア環境NWdとセキュアランタイム環境SWdの間の実際の切り替えが、モニタリングデータFCに割り当てられたインターフェースを介して起こる。この点に関して、モニタユニットMと相互交流するには3つの方法が可能である:所謂ファーストコールを介するか、N−SIQメッセージ又はNQ−IRQメッセージを介する方法である。後者は、通知IRQと呼ばれる。最初の2つは、非セキュア環境からセキュアランタイム環境にだけ切り替わる。NQ−IRQの場合には、反対方向に切り替えることができる。
制御データMCPに割り当てたインターフェースは、非セキュア環境のモビコアドライバMCDの中のスケジューラのタスクを引き受ける。ドライバはどのモビコアのタスクを実行するか決定する。
上記のコンセプトは、マイクロカーネルによるアプローチにおける最適化を可能にする。従来のマイクロカーネルのアプローチと比較すると、モビコアのオペレーティングシステムMCで、プロセス間通信IPCは行われない。しかし、モビコアプロセスは、通常使用するメモリ(ワールド共有メモリ)を介してデータを交換する。モビコアプロセスには、セキュリティ上の理由から超過することができない特別な計算時間が割り当てられている。
モビコアプロセスは簡単なスレッドとタスク構造を有している。その結果、コンテキスト切り替えがあっても、大量のデータをコピーする必要がない。これによって、高速のコンテキスト切り替え時間となる。
スレッド構造は、次のようになる:スレッドID,スレッドの現在の状態、スレッドのためのローカルな例外ハンドラ―、スレッドの優先度。タスク構造は次のようになる:タスクの現在の状態、ジェネレータタスクのタスクID,タスクのための外部例外ハンドラ、タスクのための計算時間割当、タスクによって活性化又は提供されることができるスレッドの数、タスクの優先度と権利。
異なるバッファを介したアプリケーションデータ、制御データ及びモニタリングデータを送信は、図4に示したアプリケーションのために使用することができる。
携帯電話H1、H2、・・・Hnのセキュア領域のアプリケーションは、中央バックグラウンドシステム(データベースD)と交信して、そのバックグラウンドシステムから、セキュリティモードの表示画面に表示する情報アイテムを受信する。表示される情報は、例えば、数列、画像、ロゴ等などが可能である。バックグラウンドシステムDは、通常の時間間隔で、セキュリティモードで表示されるべき情報を変更する。表示されるべき情報は、広いユーザサークルに同時に公然と開示される。セキュアディスプレ装置を備える端末H1,H2、・・・Hnのユーザは、第2通信チャンネルを介して現在有効な情報をチェックすることができる。第2通信チャンネルとは、例えば、毎日の新聞等の、セキュアワールドからのウェブリンクを含むインターネット可能なコンピュータや携帯電話のブラウザであって良い。
これによって、例えば、暗号キーなどのセキュリティが重要なデータの保護は、フォアグラウンドはない。その代わりに、ここでは、ユーザの、セキュアな表示やセキュアな入力手段に対する感じ方は重要である。その結果、携帯端末のエンドユーザ、例えば、モバイルバンキングのアプリケーションや支払いのアプリケーションに対する信頼を増大させることができる。
この目的のために、データベースシステムDは、データベースの最新クライアントを介して端末で実施された最新サーバを使用して、端末H1,H2、・・・Hnで交換された情報を記憶する。図4では、情報は、例えば、クリスマスツリーである。同じ情報が、公共チャンネルvを介してデータベースシステムと一体化されたウェブサーバを使用して、公的に任意の認証システムVSでも利用可能である。情報を更新する順序は次の通りである。
1.更新サーバは、新しい情報アイテムを送るために、セキュアなチャンネルを介して、データベースDにリスト化されているすべての携帯端末H1、H2、・・・Hnにコンタクトする。これは、バックグラウンドシステムが、定期的な間隔で、携帯端末H1、H2、・・・Hnのセキュリティモードで表示される情報を変更するということを意味する。
2.更新を首尾よく実行するために、更新クライアントは、その端末の更新サーバに認証されなければならない。これは、例えば、クライアントの認可を使って実行することができる。端末の更新サーバは、同様に、データベースの更新クライアントに、更新のために正しいサーバとコンタクトしたことを証明しなければならない。これは、サーバの認可を使用して実行することができる。
3.首尾よくいった相互の認証に続いて、新しい情報(ここでは、クリスマスツリー)が、携帯端末装置の更新サーバとデータベースの更新クライアントの間のセキュリティチャンネルsを介して、セキュリティモードにのみアクセス可能なエリアの端末にロードされる。
4.情報は、随意的に、電子透かしで保護され、各々の端末のために個人用設定される。
5.個人用設定は、例えば、セキュアランタイム環境で検査することができる。もし、それが端末のために適切ではない場合には、セキュアランタイム環境のある種の機能性がブロックされる。これによって、例えば、モーバイルの支払い操作は不可能になる。
エンドユーザによる認証の順序は次の通りである。
1.エンドユーザが、携帯端末H1、H2,・・・・Hnをセキュリティモードに切り替える行動を実行する。
2.関係する携帯端末は、現在、任意の情報アイテム、ここでは、クリスマスツリーを、セキュアなスクリーン上の特異な場所に表示する。
3.端末のユーザは、第2の平行なチャンネルを介して、自分の携帯端末上の情報が、その他の場所に公開されている情報に対応するかどうかを確認することができる。
これによって、携帯電話に於けるエンドユーザの信頼、特に、支払いやバンキングのアプリケーションのための信頼が増す。電子端末のセキュリティ状態を装う攻撃は、はるかに困難になる。ユーザは、携帯装置がセキュリティモードであるかどうかチェックすることが可能である。これによって、上記のアプリケーションに対するユーザのより高い信頼につながる。

Claims (15)

  1. 多数のセキュアアプリケーション(TL)を実行可能なセキュアランタイム環境(SWd)と、特に、アプリケーションデータ(AD)及び制御データ(MCP NQ)が異なるバッファを経由して送信される携帯端末などの、マイクロプロセッサ装置(MP)の非セキュア環境の間でデータを交換するための方法。
  2. 制御データ(MCP NQ)の異なるタイプが、異なるバッファを経由して送信されることを特徴とする請求項1の方法。
  3. 前記セキュアランタイム環境(SWd)と前記非セキュア環境(NWd)の間の切り替えに関係したモニタリングデータ(FC)が、別々のセキュアなバッファを介して送信されることを特徴とする請求項1又は2の方法。
  4. 前記アプリケーションデータ(AD)及び前記制御データ(MCP,NQ)及び、随意的に、モニタリングデータ(FC)の送信が、前記セキュアランタイム環境(SWd)及び前記非ランタイム環境(NWd)に対するインターフェースを有するモニタ装置(M)で実施されたARMモニタコードに基づいていることを特徴とする先行する請求項の1つの方法。
  5. 前記アプリケーションデータ(AD)及び前記制御データ(MCP、NQ)は、前記セキュアランタイム環境(SWd)と前記非ランタイム環境(NWd)のドラバとの間を送信されることを特徴とする先行する請求項の1つの方法。
  6. 前記非セキュア環境(NWd)、特に、前記制御データ(NCP)のためのドラバ(MCD)のインターフェースで実施されたスケジューラは、どの前記セキュアなアプリケーション(TL)を、前記セキュアランタイム環境で実行するか規定することを特徴とする請求項5の方法。
  7. 前記データは、メモリ(WSM)のメモリエリアを使って交換され、前記メモリエリアは、前記セキュアランタイム環境(SWd)及び前記非セキュア環境によって読みだされる、及び/又は書き込まれることが可能であることを特徴とする先行する請求項の1つの方法。
  8. 制御データは、前記環境のために意図されている前記メモリエリアの中のデータの前記セキュアランタイム環境に知らせるために使われることを特徴とする請求項7の方法。
  9. 前記制御メッセージは、前記セキュアランタイム環境(SWd)で実行される前記アプリケーション(TL)の1つに対して、前記制御メッセージを割当てるために、前記セキュアランタイム環境(SWd)によって使うことができる固有なセッション識別子を与えられることを特徴とする請求項8の方法。
  10. 超えることができない規定された計算時間が、前記ランタイム環境(SWd)で稼働している各々のプロセスに割当てられることを特徴とする先行する請求項の1つの方法。
  11. 各々のプロセスは、次のスレッド構造、つまり、スレッド識別子(ID)、前記スレッドの現在の状態、前記スレッドのためのローカル例外ハンドラ、前記スレッドの優先度を有することを特徴とする請求項10の方法。
  12. 各々のプロセスは、次のタスク構造、つまり、前記タスクの現在の状態、前記ジェネレータタスクのタスク識別子、前記タスクのための外部例外ハンドラ、前記タスクのための計算時間割当、前記タスクによって起動され又は提供され得るスレッドの数、タスクの優先度及び権利、を有することを特徴とする請求項10の方法。
  13. セキュアランタイム環境(SWd)及び非セキュア環境(NWd)を有するマイクロプロセッサ装置であって、前記装置は、アプリケーションデータ(AD)と制御データ(MCP、NQ,FC)は、前記セキュアランタイム環境(SWd)と前記非セキュア環境(NWd)の間でデータを交換するために、異なるバッファを経由して送信されるように形成されていることを特徴とする。
  14. 前記装置は、請求項2乃至12のうちの1つによる方法を実行するために、前記装置は使用できるように形成されていることを特徴とする請求項13のマイクロプロセッサ装置。
  15. 請求項13又は14のマイクロプロセッサ装置を有することを特徴とする携帯端末。
JP2013554811A 2011-02-24 2012-02-22 セキュアランタイム環境でのデータ交換方法 Pending JP2014506704A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102011012227A DE102011012227A1 (de) 2011-02-24 2011-02-24 Verfahren zum Datenaustausch in einer gesicherten Laufzeitumgebung
DE102011012227.3 2011-02-24
PCT/EP2012/000763 WO2012113545A2 (de) 2011-02-24 2012-02-22 Verfahren zum datenaustausch in einer gesicherten laufzeitumgebung

Publications (1)

Publication Number Publication Date
JP2014506704A true JP2014506704A (ja) 2014-03-17

Family

ID=45922632

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013554811A Pending JP2014506704A (ja) 2011-02-24 2012-02-22 セキュアランタイム環境でのデータ交換方法

Country Status (7)

Country Link
US (1) US20140007251A1 (ja)
EP (1) EP2678796B1 (ja)
JP (1) JP2014506704A (ja)
KR (1) KR20140027109A (ja)
CN (1) CN103477344A (ja)
DE (1) DE102011012227A1 (ja)
WO (1) WO2012113545A2 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011018431A1 (de) 2011-04-21 2012-10-25 Giesecke & Devrient Gmbh Verfahren zur Anzeige von Informationen auf einer Anzeigeeinrichtung eines Endgeräts
DE102011115135A1 (de) 2011-10-07 2013-04-11 Giesecke & Devrient Gmbh Mikroprozessorsystem mit gesicherter Laufzeitumgebung
US9342695B2 (en) 2012-10-02 2016-05-17 Mordecai Barkan Secured automated or semi-automated systems
EP2904743B1 (en) 2012-10-02 2017-09-06 Mordecai Barkan Secure computer architectures, systems, and applications
US11188652B2 (en) 2012-10-02 2021-11-30 Mordecai Barkan Access management and credential protection
US9672360B2 (en) 2012-10-02 2017-06-06 Mordecai Barkan Secure computer architectures, systems, and applications
FR3003967B1 (fr) * 2013-03-29 2015-05-01 Alstom Transport Sa Procede d'execution d'un logiciel securitaire et d'un logiciel non securitaire entrelaces
GB201408539D0 (en) * 2014-05-14 2014-06-25 Mastercard International Inc Improvements in mobile payment systems
CN104378381A (zh) * 2014-11-27 2015-02-25 上海斐讯数据通信技术有限公司 智能终端企业邮件安全办公方法及系统
CN110059500A (zh) * 2015-11-30 2019-07-26 华为技术有限公司 用户界面切换方法和终端
CN106845160B (zh) * 2015-12-03 2018-04-20 国家新闻出版广电总局广播科学研究院 一种用于智能操作系统的数字版权管理(drm)方法和系统
CN113641518A (zh) * 2021-08-16 2021-11-12 京东科技控股股份有限公司 服务调用方法、装置及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01185734A (ja) * 1988-01-20 1989-07-25 Fujitsu Ltd バッファメモリ管理方式
JPH05265779A (ja) * 1992-03-23 1993-10-15 Nec Corp タスク間通信システム
JP2004288155A (ja) * 2002-11-18 2004-10-14 Arm Ltd メモリへのアクセスを管理するための装置および方法
JP2006506751A (ja) * 2002-11-18 2006-02-23 エイアールエム リミテッド 安全モードと非安全モードとを切り換えるプロセッサ
JP2006309760A (ja) * 2005-04-26 2006-11-09 Arm Ltd データプロセッサの異常動作を検出するためのモニタリング論理及びモニタリング方法
JP2010129054A (ja) * 2008-12-01 2010-06-10 Ntt Docomo Inc プログラム実行装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6633984B2 (en) * 1999-01-22 2003-10-14 Sun Microsystems, Inc. Techniques for permitting access across a context barrier on a small footprint device using an entry point object
US6795905B1 (en) * 2000-03-31 2004-09-21 Intel Corporation Controlling accesses to isolated memory using a memory controller for isolated execution
GB0226874D0 (en) * 2002-11-18 2002-12-24 Advanced Risc Mach Ltd Switching between secure and non-secure processing modes
GB2406403B (en) * 2003-09-26 2006-06-07 Advanced Risc Mach Ltd Data processing apparatus and method for merging secure and non-secure data into an output data stream
DE102004054571B4 (de) * 2004-11-11 2007-01-25 Sysgo Ag Verfahren zur Verteilung von Rechenzeit in einem Rechnersystem
US7765399B2 (en) * 2006-02-22 2010-07-27 Harris Corporation Computer architecture for a handheld electronic device
CN101299228B (zh) * 2008-01-26 2010-09-01 青岛大学 一种基于单cpu双总线的安全网络终端
GB2459097B (en) * 2008-04-08 2012-03-28 Advanced Risc Mach Ltd A method and apparatus for processing and displaying secure and non-secure data
US8615799B2 (en) * 2008-05-24 2013-12-24 Via Technologies, Inc. Microprocessor having secure non-volatile storage access
US7809875B2 (en) * 2008-06-30 2010-10-05 Wind River Systems, Inc. Method and system for secure communication between processor partitions
US8595491B2 (en) * 2008-11-14 2013-11-26 Microsoft Corporation Combining a mobile device and computer to create a secure personalized environment
US9207968B2 (en) * 2009-11-03 2015-12-08 Mediatek Inc. Computing system using single operating system to provide normal security services and high security services, and methods thereof

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01185734A (ja) * 1988-01-20 1989-07-25 Fujitsu Ltd バッファメモリ管理方式
JPH05265779A (ja) * 1992-03-23 1993-10-15 Nec Corp タスク間通信システム
JP2004288155A (ja) * 2002-11-18 2004-10-14 Arm Ltd メモリへのアクセスを管理するための装置および方法
JP2006506751A (ja) * 2002-11-18 2006-02-23 エイアールエム リミテッド 安全モードと非安全モードとを切り換えるプロセッサ
JP2006309760A (ja) * 2005-04-26 2006-11-09 Arm Ltd データプロセッサの異常動作を検出するためのモニタリング論理及びモニタリング方法
JP2010129054A (ja) * 2008-12-01 2010-06-10 Ntt Docomo Inc プログラム実行装置

Also Published As

Publication number Publication date
CN103477344A (zh) 2013-12-25
WO2012113545A2 (de) 2012-08-30
KR20140027109A (ko) 2014-03-06
WO2012113545A3 (de) 2013-01-10
DE102011012227A1 (de) 2012-08-30
EP2678796A2 (de) 2014-01-01
US20140007251A1 (en) 2014-01-02
EP2678796B1 (de) 2015-08-19

Similar Documents

Publication Publication Date Title
JP2014506704A (ja) セキュアランタイム環境でのデータ交換方法
CN111143890B (zh) 一种基于区块链的计算处理方法、装置、设备和介质
EP3812903A1 (en) Method, apparatus and system for implementing multi-core parallel on tee side
US10762204B2 (en) Managing containerized applications
CN102411693B (zh) 虚拟机的继承产品激活
EP3074867B1 (en) Managing containerized applications
CN109460373B (zh) 一种数据共享方法、终端设备和存储介质
US8479264B2 (en) Architecture for virtual security module
EP3554034B1 (en) Method and device for authenticating login
US20140317686A1 (en) System with a trusted execution environment component executed on a secure element
JP2017536603A (ja) モバイル支払い装置および方法
WO2006022161A1 (ja) 情報通信装置及びプログラム実行環境制御方法
CN104318182A (zh) 一种基于处理器安全扩展的智能终端隔离系统及方法
KR101843730B1 (ko) 보안 런타임 환경을 갖는 마이크로 프로세서 시스템
WO2006134691A1 (ja) 情報処理装置、復旧装置、プログラム及び復旧方法
JP2007220086A (ja) 入出力制御装置、入出力制御システム及び入出力制御方法
US10068068B2 (en) Trusted timer service
EP3534583A1 (en) Secure processor chip and terminal device
WO2014056425A1 (zh) 应用程序整合方法及装置
CN115544586B (zh) 用户数据的安全存储方法、电子设备及存储介质
US8631480B2 (en) Systems and methods for implementing security services
CN101499113B (zh) 安全调度显示的系统、方法及辅助显示装置
CN116049813B (zh) 基于可信执行环境的触屏数据处理方法、设备及存储介质
JP5727349B2 (ja) 通信装置
EP3276906B1 (en) Method for an enhanced level of authentication related to a software client application within a client computing device comprising a subscriber identity module entity with a subscriber identity module toolkit as well as a subscriber identity module applet, system, client computing device and subscriber identity module entity for an enhanced level of authentication related to a software client application within the client computing device, program comprising a computer readable program code, and computer program product

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140305

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150203

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20150430

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20150603

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150618

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150804

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20160106