用于操作安全元件的方法_3

文档序号:9635447阅读:来源:国知局
获得的命令的完整性。如果这两个校验和一致,即在良好的情况下,则芯片卡20执行该命令,即激活第二操作系统模块25c (OS模块2)。有利的是,对在步骤S1中从服务器30获得的加密的命令进行解密、形成关于该命令的校验和以及比较校验和的步骤由芯片卡20的安全域27 (SD)执行。
[0042]在图3的步骤S2中激活第二操作系统模块25c (OS模块2)例如可以如下进行:改变对第二操作系统模块25c (OS模块2)的访问权限,使得如前面结合图2所描述的,在软件层级结构中位于操作系统25上方的部件、特别是Java Card?运行时环境(JCRE) 26或JavaCard?虚拟机26a(JCVM)以及多个Java Card? API 26b、由此小应用程序28能够访问第二操作系统模块25c (OS模块2)。
[0043]根据本发明的优选实施方式,将关于在芯片卡20上可使用的操作系统模块以及关于其各自的状态或状况、即相应的操作系统模块被激活或释放、还是被去激活或禁用的信息,安全地存储在芯片卡20上、有利的是存储在其安全域27 (SD)中。这些信息例如可以以模块列表的形式存在于芯片卡20的安全域(SD)27中,在该模块列表中列出了每个操作系统模块与其相应的状态,并且服务器30在必要时可以在事先经过认证之后询问该模块列表。替换地或者附加地,这种模块列表也可以在服务器30上被维护。芯片卡20的操作系统模块的相应的初始状态、即激活或释放或者去激活或禁用例如可以在芯片卡20的制造和/或个性化的范围内定义。
[0044]在图3的步骤S2中芯片卡20的安全域(SD) 27将第二操作系统模块25c (OS模块
2)激活之后,在步骤S3中,通过在模块列表中将第二操作系统模块25c (0S模块2)的状态从去激活设置为激活,来更新存储在安全域(SD)27中的模块列表。随后,在图3的步骤S4中,芯片卡20向服务器30确认第二操作系统模块25c (0S模块2)已激活,并且具体来说优选借助来自芯片卡20的安全域(SD)27的对应的确认消息以空中(0ΤΑ)方式。
[0045]同样有利地在制造芯片卡20和/或将芯片卡20个人化时在芯片卡20上实现的芯片卡20的安全域(SD) 27有利地被配置为,其不能被删除。如前面已经描述的,安全域(SD) 27有利地作为小应用程序构造。这样配置的安全域从“全球平台”标准中已知。替换地或者附加地,芯片卡20的安全域(SD) 27可以作为运行时环境、即优选Java Card?运行时环境(JCRE)26的扩展来实现。
[0046]如本领域技术人员已知的,有利的是借助根据特定于卡的密钥得出的会话密钥,执行在图3中示出的步骤,在所述步骤中,使用加密密钥用于进行加密或解密并且在必要时用于建立校验和,该会话密钥例如基于在服务器30和芯片卡20之间协商的随机数。
[0047]本领域技术人员应当认识到,本发明不局限于在图3中示出的优选流程以及在那里示出的细节。
[0048]例如,用于调整对操作系统模块的访问权限的命令的完整性可以不同于在图3中示出并且在前面描述的方式来验证。例如,代替关于明文形式的命令,还可以关于加密的命令“ENC (ACT#2) ”形成校验和。
[0049]还可以在图3中示出的步骤之前,通过如下,S卩,芯片卡20向服务器30传输唯一的标识数据,服务器30首先确定芯片卡20的身份,该唯一的标识数据使得服务器30能够确定对应的特定于卡的加密密钥,并且以加密的方式保障随后与芯片卡20的通信的安全。在这种情境下,还可以想到,首先可以有利地在服务器30和芯片卡20之间进行单向或者双向认证。
[0050]根据另一个替换方案可以想到,在图3中的步骤S1之前,服务器30首先从芯片卡20询问模块列表,以由此确定芯片卡20的操作系统模块的状态,并且基于其判断是否必须借助对应的对芯片卡20的命令来激活或者去激活一个或更多个操作系统模块。
【主权项】
1.一种用于操作安全元件(20)的方法,所述安全元件具有处理器(21)和存储器(24),在所述存储器上存储有:操作系统(25),其包括操作系统内核(25a)和用于提供可选的操作系统功能的至少一个附加的操作系统模块(25b, 25c);以及与所述操作系统模块(25b, 25c)相关联的至少一个访问权限,其确定是否能够在操作所述安全元件(20)时访问所述操作系统模块(25b,25c),其中,所述方法包括响应于对来自服务器(30)的消息的接收,改变对用于提供可选的操作系统功能的所述操作系统模块(25b,25c)的访问权限的步骤。2.根据权利要求1所述的方法,其中,来自所述服务器(30)的消息是优选经由移动无线电网络从所述服务器(30)发送到所述安全元件(20)的OTA消息。3.根据权利要求1所述的方法,其中,改变对所述操作系统模块(25b,25c)的访问权限的步骤包括:释放或禁止对所述操作系统模块(25b,25c)的访问。4.根据权利要求1所述的方法,其中,所述安全元件(20)是JavaCard?,在其上实现包括 Java Card?虚拟机(26a)和多个 Java Card?API (26b)的 Java Card?运行时环境(26)。5.根据权利要求4所述的方法,其中,将多个JavaCard? API (26b)中的至少一个API与所述操作系统模块(25b,25c)相关联,使得对于如下情况,S卩,访问权限确定在操作所述安全元件(20)时不能访问所述操作系统模块(25b,25c),虽然能够对对应的至少一个API进行访问,但是在此该至少一个API不执行动作。6.根据权利要求1所述的方法,其中,改变对所述操作系统模块(25b,25c)的访问权限的步骤借助在所述安全元件(20)上实现的安全域(27)来执行。7.根据权利要求1所述的方法,其中,所述方法包括对来自所述服务器(30)的消息进行加密以及由所述安全元件(20)对消息进行解密的其它步骤。8.根据权利要求1所述的方法,其中,所述方法包括由所述安全元件(20)验证关于来自所述服务器(30)的消息形成的校验和的另一步骤。9.根据权利要求1所述的方法,其中,在所述安全元件(20)上和/或在所述服务器(30)上维护模块列表,在所述模块列表中除了列出至少一个操作系统模块(25b, 25c)之夕卜,还列出至少一个操作系统模块(25b, 25c)的激活状态。10.一种优选芯片卡形式的安全元件(20),所述安全元件具有处理器(21)和存储器(24),在所述存储器上存储有:操作系统(25),其包括操作系统内核(25a)和用于提供可选的操作系统功能的至少一个附加的操作系统模块(25b, 25c);以及与所述操作系统模块(25b, 25c)相关联的至少一个访问权限,其确定是否能够在操作所述安全元件(20)时访问所述操作系统模块(25b,25c),其中,所述安全元件(20)被配置为响应于对来自服务器(30)的消息的接收,改变对用于提供可选的操作系统功能的所述操作系统模块(25b,25c)的访问权限。
【专利摘要】描述了一种用于操作优选芯片卡形式的安全元件(20)的方法以及对应的安全元件(20),安全元件具有处理器和存储器。在存储器上存储有:操作系统(25),其包括操作系统内核(25a)和用于提供可选的操作系统功能的至少一个附加的操作系统模块(25b,25c);以及与操作系统模块(25b,25c)相关联的至少一个访问权限,其确定是否能够在操作安全元件(20)时访问操作系统模块(25b,25c)。在此,该方法包括响应于对来自服务器(30)的消息的接收,改变对用于提供可选的操作系统功能的操作系统模块(25b,25c)的访问权限的步骤。优选来自服务器(30)的消息是优选经由移动无线电网络从服务器(30)发送到安全元件(20)的OTA消息。
【IPC分类】H04W12/08, H04W12/10
【公开号】CN105393571
【申请号】CN201480041348
【发明人】M.罗斯纳, C.马尔多纳多米兰达
【申请人】德国捷德有限公司
【公开日】2016年3月9日
【申请日】2014年8月1日
【公告号】DE102013013179A1, EP3031227A1, US20160191527, WO2015018511A1
当前第3页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1