本发明专利技术涉及安全元件的操作系统的更新。一种包括至少一个微处理器、非易失性存储器以及通信接口的安全元件,该安全元件能够经由通信接口与更新器装置进行通信,非易失性存储器存储有至少一个引导程序,微处理器被配置为在安全元件启动期间执行引导程序,该安全元件的特征在于,引导程序包括在被微处理器执行时用于执行以下步骤的指令:启动步骤,确定非易失性存储器是否存储有启用的操作系统,如果是,则启动操作系统的执行;更新器装置根据安全元件所确定的第一认证数据和从更新器装置接收的第二认证数据进行的认证步骤;响应于认证步骤,将从更新器装置接收的新的操作系统存储在非易失性存储器中的存储步骤以及新的操作系统的启用步骤。
【技术实现步骤摘要】
安全元件的操作系统的更新
本专利技术涉及诸如智能卡的板载安全元件的领域。
技术介绍
板载安全元件,例如智能卡,典型地具有计算机的材料架构,特别包括微处理器以及包含可由微处理器执行的计算机程序的非易失性存储器。特别的是,该非易失性存储器包括操作系统,该操作系统在可由用户使用之前由厂商使用该安全元件载入。首选的是,在向用户提供该安全元件之后更新这种操作系统。文献W02012 / 062632A1描述了一种板载元件中的软件更新处理。此处理包括擦除该软件、载入代替该软件的更新管理程序,此更新管理程序载入在板载元件启动时更新的起动程序。该方案的安全仅仅基于该软件的印记(imprint)。该方案因此不适用于需要高安全性的应用。同样,该处理需要重新启动该安全元件两次。因此,需要一种可靠的、安全的对安全元件的软件进行更新的方法。
技术实现思路
本专利技术提出了一种包括至少一个微处理器、非易失性存储器以及通信接口的安全元件,该安全元件经由该通信接口与更新器装置进行通信,该非易失性存储器存储有至少一个引导程序,该微处理器被配置为在该安全元件启动期间执行该引导程序,该安全元件的特征在于,该引导程序包括在被该微处理器执行时用于执行以下步骤的指令:-启动步骤,确定该非易失性存储器是否存储有启用(activated)的操作系统,如果是,则启动该操作系统的执行,-该更新器装置根据该安全元件所确定的第一认证数据和从该更新器装置接收的第二认证数据进行的认证步骤,-响应于该认证步骤,将从该更新器装置接收的新的操作系统存储在该非易失性存储器中的存储步骤以及该新的操作系统的启用步骤。因此引导程序可安全可靠地实施对操作系统的更新。事实上,由于此更新需要更新器装置的认证,因此,第三方不可能向安全元件提供操作系统损坏的版本。根据实施方式,该更新器装置的认证步骤包括:-向更新器装置发送包括变量的消息的步骤,-接收第二认证数据的步骤,-基于上述变量和存储在上述非易失性存储器中的密钥来确定第一认证数据的确定步骤,以及-比较第一认证数据和第二认证数据的比较步骤。这样,引导程序本身包括完成对更新器装置的认证的所有必需的指令。因此在非易失性存储器不包括操作系统或操作系统被停用时,例如在之前的更新尝试未成功期间,可启动或继续对操作系统的更新。引导程序也可包括执行向更新器装置发送消息的步骤的指令,该消息包括基于密钥和上述变量的加密数据。这使得更新器装置能够认证安全元件。因此完成了安全元件和更新器装置之间的相互认证。这样,只有安全的认证元件才可获得操作系统的新版本。根据实施方式,非易失性存储器包括操作系统,该操作系统包括指令用以执行:-向更新器装置发送包括所述变量的消息的步骤,-接收第二认证数据的步骤,-在需要时,向更新器装置发送消息的步骤,该消息包括根据所述密钥和所述变量而加密的数据。在此情况下,如果非易失性存储器包括启用的操作系统,则该操作系统与启动程序协作,包括特别用于认证的指令。因此,当安全元件被操作系统所管理时,可在安全元件的正常操作期间更新该操作系统。存储步骤可包括对新的加密的操作系统的接收。这样,窃听更新器装置和安全元件之间通信的第三方不可能获得操作系统的新版本。在此情况下,认证步骤可包括基于上述密钥和上述变量来确定会话密钥,存储步骤可包括接收使用上述会话密钥加密的新的操作系统。由于相同的会话密钥用于加密的认证和通信,所以限制了安全元件中必需的密码资源。出于安全性和可靠性的原因,优选地存储该引导系统以使其不可被修改。例如,该引导程序被存储在非易失性存储器的不可重写部分中。作为变化,该引导程序被存储在非易失性存储器的可重写部分中,包括操作系统的非易失性存储器被配置为阻止对引导程序的写入命令。本专利技术还提出了一种终端,包括至少一个微处理器、非易失性存储器和根据本专利技术的安全元件,该终端的非易失性存储器包括设计为用于安全元件提供的服务的更新管理程序和应用,该更新管理程序包括在由终端的微处理器执行时用于执行以下步骤的指令:-传输步骤,包括从更新器装置接收新的操作系统以及向安全元件发送接收到的新的操作系统,-至少在传输步骤期间停用上述服务的步骤。本专利技术还提供了一种系统,该系统包括根据本专利技术的至少一个安全元件,以及存储有操作系统的新版本的更新器装置。【附图说明】参考示出了具有非限定性特征的实施方式的附图,本专利技术的其它特征和优点将在下述说明书中得以体现,其中:图1示出了根据该专利技术的实施方式的包括安全元件的系统,图2示出了与图1的安全元件的引导程序的执行相对应的主要步骤,图3示出了在该安全元件的操作系统的更新期间,图1的系统中的交互,图4A、4B、4C以及4D示出了图1的安全元件的非易失性存储器在不同时间的状态,图5A、5B、5C以及示出了图1的安全元件的非易失性存储器,以便示出处理命令,图6和7示出了确定包括操作系统的新加密版本的块的实例。【具体实施方式】图1示出了包括更新器装置10、终端20以及终端20中的板载安全元件30的系统。该更新器装置10具有计算机材料架构,特别包括微处理器11、通信接口 12、易失性存储器13以及非易失性存储器14。该微处理器11能够通过将易失性存储器13作为工作空间而执行存储在非易失性存储器14中的计算机程序。该通信接口 12与终端20进行通信。特别的是,该非易失性存储器14存储有用于安全元件的操作系统的新版本,表示为OS (V2),以及密钥K。该更新器装置10例如是由安全元件的制造商所建立的更新服务器。在这种情况下,通信接口 12通过电信网络例如经由因特网与终端12建立通信。通过变体,该更新器装置10本身可为安全元件,例如SD卡、NFC卡或USB存储器。在这种情况下,该通信接口 12通过安全元件阅读器与终端20建立通信。该终端20例如是属于用户的便携式终端,例如便携式电话。该终端20具有计算机材料架构,特别是包括微处理器21、通信接口 22、易失性存储器23以及非易失性存储器24。该微处理器21能够通过将易失性存储器23作为工作空间而执行存储在非易失性存储器24中的计算机程序。该通信接口 22与更新器装置10进行通信。该通信接口 26与安全元件30进行通信。特别的是,该非易失性存储器24存储有该终端20的操作系统25、更新管理程序Pl以及该用户的数据和应用,示出了其应用Al。程序Pl的功能是管理该安全元件30和更新器装置10之间的通信以更新该安全元件30的操作系统。如图1所示,该程序Pl首选的是集成到该终端20的该操作系统25中的模块。该安全元件30例如是可移动地容纳在终端20内的智能卡。该安全元件30具有计算机材料架构,特别的是包括微处理器31、通信接口 36、易失性存储器33以及非易失性存储器34。该微处理器31通过将易失性存储器33作为工作空间而执行存储在非易失性存储器34中的计算机程序。该通信接口 36与终端20进行通?目。特别的是,该非易失性存储器34存储有引导程序38 (表示为BL代表“BootLoader”)、操作系统35、用户数据37、ΜΙ密钥、序列号N1、操作系统35的状态指示符39、以及表示认证计数器C的值的变量70。在示出的状 态下,该操作系统35是与该更新器装置10所存储的版本OS (V2)不同的第本文档来自技高网...
【技术保护点】
一种包括至少一个微处理器(31)、非易失性存储器(34)以及通信接口(36)的安全元件(30),该安全元件(30)能够经由该通信接口(36)与更新器装置(10)进行通信,该非易失性存储器(34)存储有至少一个引导程序(38),该微处理器(31)被配置为在该安全元件(30)启动期间执行该引导程序(38),该安全元件(30)的特征在于,该引导程序(38)包括在被该微处理器(31)执行时用于执行以下步骤的指令:?启动步骤(E1,E12),确定该非易失性存储器(34)是否存储有启用的操作系统(35),如果是,则启动该操作系统(35)的执行,?该更新器装置(10)根据该安全元件(30)所确定的第一认证数据(AUTH30)和从该更新器装置(10)接收的第二认证数据(AUTH10)进行的认证步骤(E4,E5,E6,E7,E13,E14),?响应于该认证步骤,将从该更新器装置(10)接收的新的操作系统存储在该非易失性存储器(34)中的存储步骤(E9,E10)以及该新的操作系统的启用步骤(E11)。
【技术特征摘要】
2012.07.20 FR 12570621.一种包括至少一个微处理器(31)、非易失性存储器(34)以及通信接口(36)的安全元件(30),该安全元件(30)能够经由该通信接口(36)与更新器装置(10)进行通信,该非易失性存储器(34)存储有至少一个引导程序(38),该微处理器(31)被配置为在该安全元件(30)启动期间执行该引导程序(38),该安全元件(30)的特征在于,该引导程序(38)包括在被该微处理器(31)执行时用于执行以下步骤的指令: -启动步骤(E1,E12),确定该非易失性存储器(34)是否存储有启用的操作系统(35),如果是,则启动该操作系统(35)的执行, -该更新器装置(10)根据该安全元件(30)所确定的第一认证数据(AUTH3tl)和从该更新器装置(10)接收的第二认证数据(AUTH10)进行的认证步骤(E4,E5,E6,E7,E13,E14), -响应于该认证步骤,将从该更新器装置(10)接收的新的操作系统存储在该非易失性存储器(34)中的存储步骤(E9,E10)以及该新的操作系统的启用步骤(E11)。2.根据权利要求1所述的安全元件(30),其中,所述更新器装置的所述认证步骤包括: -向所述更新器装置(10)发送包括变量(RAND)的消息(M5)的步骤(E4), -接收所述第二认证数据(AUTHltl)的步骤(E5), -根据所述变量(RAND)和存储在所述非易失性存储器(34)中的密钥(MKi)来确定所述第一认证数据(AUTH3tl)的确定步骤(E6,E13),以及 -比较所述第一认证数据(AUTH3tl)和所述第二认证数据(AUTHltl)的比较步骤(E7,E14)。3.根据权利要求2所述的安全元件(30),其中,所述引导程序(38)包括用于执行发送步骤(ES)的指令,所述发送步骤(ES)向所述更新器装置(10)发送包含根据所述密钥(MKi)和所述变量(RAND)而加密的数据(Vl)的消息(M7)。4.根据权利要求2或3所述的安全元件(30),其中,所述非易失性存储器(...
【专利技术属性】
技术研发人员:C·吉哈德,O·查姆利,G·戈德尔,
申请(专利权)人:欧贝特科技公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。