【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及在安全元件上更新诸如操作系统的一件软件,并且更具体地,涉及用于实现用于将操作系统映像下载到安全元件上的方案的方法、数据结构和更新代理。
技术介绍
1、最近,已经出现了被配置为采用电子订户配置文件来在移动网络上进行通信的移动设备。这样的移动设备通常配备有包含电子/嵌入式安全元件(se)的智能卡,例如电子/嵌入式通用集成电路卡(euiccs)、智能sd或智能microsd,仅举几例。
2、安全元件是防篡改元件tre,其在智能卡/设备内提供安全的存储器和执行环境,其中可以安全地存储和管理应用代码和应用数据。安全元件确保仅在被授权时才提供对存储在卡上的数据的访问。
3、被设计为用于电信产品(诸如移动设备)的安全元件被配置为存储一个或多个电子订户配置文件,特别是电子/嵌入式订户识别模块(esim)配置文件,其可允许移动设备连接到一个或多个移动网络。订户配置文件(例如,esim配置文件)可以由移动网络运营商(mno)生成,并且可以下载到移动网络设备。然后,可以将订户配置文件安装在移动设备的安全元件上,并用于由移动设备通过相应的移动网络进行通信。
4、图1示出了由gsm协会发布的sgp.22rsp技术规范2.0版(在下文中称为gsm arsp22)中描述的远程esim配置系统的架构的简化表示。esim配置系统1围绕若干元件组配:sm-dp+(订阅管理器-数据准备和安全路由,11)、sm-ds(订阅管理器-发现服务器,14)、lpa(本地配置文件辅助,25)和euicc 10,后者是终端用户13
5、sm-dp+11负责由mno 12提供的订户配置文件的创建、下载、远程管理(启用、禁用、更新、删除)和保护。特别地,sm-dp+11可以被配置为在绑定配置文件包中提供配置文件,并且使得绑定配置文件包能够被安全地发送。
6、lpa(本地配置文件助理,25)是设备20中负责提供将(加密的)配置文件下载到euicc/tre/se 10的能力的一组功能。它还向终端用户13呈现本地管理终端用户接口,因此它们可以管理euicc/tre/se 10上的配置文件的状态。sm-ds14为sm-dp+11提供与euicc/tre/se 10通信的手段。
7、历史上,一旦tre被部署在字段中,tre的本机实施方式或操作系统就不能被更新,并且因此一旦tre已经超过生产阶段就不会改变。这意味着如果发现与其内的软件相关的任何问题(新的攻击或漏洞、扇区规范的新更新、使用它的设备的预期生命周期),则唯一可能的动作是改变整个tre。这使得特别难以在生产方面与市场需求保持最新(生产后的软件更新是不可能的),特别是当生产必须在工厂的核实环境中执行时。
8、图1中描绘的gsma远程供应架构提供了用于实现将配置文件加载到安全元件(se)或防篡改元件(tre)上的规程的平台,然而,其仅允许实现存储在se/tre中的数据的改变,而不允许实现存在于se/tre中的基础软件的改变。该规程在tre可以准备用于负载的绑定配置文件包之前需要tre和服务器之间的若干交换,这对于新软件的广播部署可能不是最佳的。该方案还缺少部署关键数据(例如新操作系统)可能需要的额外保护层。
9、因此,期望提供一种用于更新安全元件上的操作系统的解决方案,其解决了上述缺点。
技术实现思路
1、本专利技术通过独立权利要求所涵盖的主题来解决上述目的。本专利技术的优选实施例在从属权利要求中限定。
2、根据本专利技术的第一方面,提供了一种用于将操作系统下载到安全元件上的方法,安全元件包括更新代理,该更新代理被配置为执行如下步骤。更新代理从外部设备接收用于将操作系统安装到安全元件上的安装包。更新代理请求对安全元件的控制,并将与安装包一起接收的操作系统加载到安全元件中,之后将对安全元件的控制传送到操作系统。
3、所提出的方法提供了一种用于一旦安全元件的生产完成就将可信软件(特别是操作系统)加载到安全元件上的有效且安全的解决方案。通过为更新代理配备控制安全元件的能力,更新代理在一段时间内负责不具有自有文件系统的安全元件。这允许在安全元件内有效且安全地加载、更新和重新放置软件。
4、在本专利技术的一些实施例中,安装包包括报头部分和数据承载部分,其中报头部分包括初始化安全通道签名,并且数据承载部分包括多个映像节段,其中连续映像节段的序列包括清单、清单签名和要加载到安全元件上的操作系统的映像。
5、在本专利技术的一些实施例中,接收安装包包括接收安装包的第一部分,该第一部分包括报头和多个映像节段的第一序列,第一序列承载清单签名和清单。更新代理还被配置为在接收到安装包的第一部分之后,使用存储在更新代理中的第一密钥(特别是椭圆曲线数字签名ecdsa密钥)来验证报头中包括的初始化安全通道签名和清单签名。
6、这为更新代理提供了控制机制,以确保安装包以及传输通道的可信度。
7、在本专利技术的一些实施例中,请求控制所述更新元件包括由所述更新代理向所述外部设备发送执行系统重置的请求。
8、优选地,在系统重置之后,删除包含在安全元件内的初始操作系统,并且由更新代理承担对安全元件的控制。
9、在本专利技术的一些实施例中,加载操作系统包括在系统重置之后从外部设备接收完整的安装包,完整的安装包包括多个映像节段,其中多个映像节段承载清单、清单签名和操作系统的映像,每个映像节段用一对映像保护密钥保护。在接收到安装包之后,更新代理验证安装包的完整性,从对应的映像节段中提取操作系统,并将操作系统存储到安全元件的存储器中。
10、优选地,映像保护密钥通过密钥协商过程在外部设备与安全元件之间建立,并且用于实现基于scp03t算法的保护方案,以确保安装包的完整性。
11、因此,可以在外部设备与更新代理之间建立机密通信机制。
12、优选地,报头还包括承载映像保护密钥的受保护密钥字段。
13、在本专利技术的一些实施例中,安装包的报头还包括用于认证软件安装包的包绑定签名。优选地,包绑定签名包括初始化安全通道字段和/或受保护密钥字段的签名。更新代理被配置为通过使用存储在更新代理中的第二密钥(特别是椭圆曲线数字签名ecdsa密钥)验证包绑定签名来执行软件安装包的认证。
14、根据本专利技术的第二方面,提供了一种用于向安全元件上的更新代理提供软件安装包(特别是操作系统安装包)的计算机实现的数据结构。该数据结构包括报头部分和数据承载部分。报头部分包括初始化安全通道字段,该初始化安全通道字段承载关于要实现的安装操作的信息并且用于在安全元件处执行密钥导出。数据承载部分包括多个映像节段,其中连续映像节段的序列包括清单、清单签名和要加载到安全元件上的软件的映像。
15、优选地,报头部分包括承载映像保护密钥的受保护密钥字段,用于加密软件映像。
16、优选地,报头部分包括包绑定签名,包绑定签名包括初始化安全通道字段和/本文档来自技高网...
【技术保护点】
1.一种用于将操作系统下载到安全元件上的方法,所述安全元件(100)包括更新代理(110),所述方法包括由所述更新代理执行的步骤:
2.根据权利要求1所述的方法,其中,所述安装包包括报头部分(530)和数据承载部分(520),其中,所述报头部分(530)包括初始化安全通道签名(532),并且所述数据承载部分(520)包括多个映像节段(521),其中,连续映像节段的序列包括清单(502)、清单签名(503)、以及要加载到所述安全元件(100)上的所述操作系统的映像(501)。
3.根据权利要求2所述的方法,其中,接收(S1)所述安装包(500)包括:接收(S11)所述安装包的第一部分,所述第一部分包括所述报头部分(530)和所述多个映像节段的第一序列,所述第一序列包括所述清单签名(501)和所述清单(502);并且其中,所述方法还包括通过使用存储在所述更新代理中的第一密钥、特别是椭圆曲线数字签名ECDSA密钥验证所述初始化安全通道签名(532)和所述清单签名(503)来验证(S12)所述安装包。
4.根据前述权利要求中任一项所述的方法,其中请求(
5.根据权利要求4所述的方法,还包括:承担(S22)对所述安全元件(100)的控制,并且在所述系统重置之后删除(S23)包含在所述安全元件(100)内的初始操作系统。
6.根据权利要求2至5中任一项所述的方法,其中,加载(S3)所述操作系统包括:
7.根据权利要求6所述的方法,其中,所述映像保护密钥(533)通过密钥协商过程在所述外部设备(200;300)与所述安全元件(100)之间建立,并且用于实现基于SCP03t算法的保护方案,以确保所述安装包(500)的完整性。
8.根据权利要求6或7所述的方法,其中,所述安装包(500)的所述报头(530)还包括包绑定签名(531),所述方法还包括通过使用存储在所述更新代理(110)中的第二密钥、特别是椭圆曲线数字签名ECDSA密钥验证所述包绑定签名(531)来认证所述安装包。
9.一种计算机实现的数据结构,用于向安全元件(100)上的更新代理(110)提供软件安装包(500),特别是操作系统安装包,所述数据结构包括:
10.根据权利要求9所述的计算机实现的数据结构,其中,所述报头部分(530)还包括承载用于加密所述软件映像的映像保护密钥的受保护密钥字段(533)。
11.根据权利要求9或10所述的计算机实现的数据结构,其中,所述报头部分(530)还包括用于认证所述软件安装包的包绑定签名(531),所述包绑定签名(531)包括所述初始化安全通道字段和/或所述受保护密钥字段的签名。
12.根据权利要求9至11中任一项所述的计算机实现的数据结构,其中,所述清单包含关于要上传的所述软件映像的信息,特别是用于认证所述软件映像和/或认证所述映像的发行方的信息。
13.一种用于将软件、特别是操作系统下载到安全元件(100)上的更新代理(110),所述更新代理被配置为:
14.根据权利要求13所述的更新代理,利用多个加密密钥进行个性化,所述多个加密密钥选自至少包括以下各项的集合:
15.根据权利要求14所述的更新代理(110),被配置为执行根据权利要求2至8中任一项所述的方法。
...【技术特征摘要】
【国外来华专利技术】
1.一种用于将操作系统下载到安全元件上的方法,所述安全元件(100)包括更新代理(110),所述方法包括由所述更新代理执行的步骤:
2.根据权利要求1所述的方法,其中,所述安装包包括报头部分(530)和数据承载部分(520),其中,所述报头部分(530)包括初始化安全通道签名(532),并且所述数据承载部分(520)包括多个映像节段(521),其中,连续映像节段的序列包括清单(502)、清单签名(503)、以及要加载到所述安全元件(100)上的所述操作系统的映像(501)。
3.根据权利要求2所述的方法,其中,接收(s1)所述安装包(500)包括:接收(s11)所述安装包的第一部分,所述第一部分包括所述报头部分(530)和所述多个映像节段的第一序列,所述第一序列包括所述清单签名(501)和所述清单(502);并且其中,所述方法还包括通过使用存储在所述更新代理中的第一密钥、特别是椭圆曲线数字签名ecdsa密钥验证所述初始化安全通道签名(532)和所述清单签名(503)来验证(s12)所述安装包。
4.根据前述权利要求中任一项所述的方法,其中请求(s2)对所述安全元件(100)的控制包括向所述外部设备(200;300)发送(s21)执行系统重置的请求。
5.根据权利要求4所述的方法,还包括:承担(s22)对所述安全元件(100)的控制,并且在所述系统重置之后删除(s23)包含在所述安全元件(100)内的初始操作系统。
6.根据权利要求2至5中任一项所述的方法,其中,加载(s3)所述操作系统包括:
7.根据权利要求6所述的方法,其中,所述映像保护密钥(533)通过密钥协商过程在所述外部设备(20...
【专利技术属性】
技术研发人员:C·吉弗雷,D·帕蒂诺,F·鲁奥,
申请(专利权)人:捷德移动安全德国有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。