用于更新数据载体的方法

用于更新数据载体的方法
【专利摘要】本发明涉及一种关于在数据载体上可执行的数据载体应用来更新可插入电信终端设备中的数据载体的方法，包括步骤：将更新数据提供到在数据载体中安装的安全性应用；根据更新数据来更新数据载体，数据载体的更新包括步骤：将更新数据的至少一部分由安全性应用传输到在电信终端设备中安装的、构造为用于在电信终端设备和数据载体之间通信的编程接口；将传输的更新数据从编程接口进一步传输到在数据载体中安装的、数据载体的数据载体管理；根据进一步传输的更新数据来更新数据载体。
【专利说明】用于更新数据载体的方法
【技术领域】
[0001]本发明涉及一种关于数据载体中可执行的数据载体应用来更新数据载体的方法，其中数据载体在电信终端设备中被采用，还涉及一种相应构造的数据载体和一种相应构造的电信终端设备。
【背景技术】
[0002]目前构造为具有高性能处理器和多种应用的电信终端设备-即所谓的智能电话-非常流行。为此所需的电信连接或者说移动无线电连接和/或对于多种的、通常也处理秘密的数据的应用所需的安全的存储空间由能插入各自电信终端设备中的安全的数据载体提供，例如由(U) SIM移动无线电卡、智能卡、安全的数字(SD)存储卡等提供。这些安全的数据载体通常还包括处理器和可在上面执行的应用。在此可以区分两种不同类型的应用，即在电信终端设备上安装的终端设备应用，在一些智能电话情况下也称为“应用(Apps)”，和可在数据载体上执行的数据载体应用，在一些数据载体情况下也称为“小应用(Applets)”。
[0003]利用终端设备应用(例如Apps)在电信终端设备上提供多种应用，数据载体应用(例如Applets)通常涉及与电信终端设备的安全方面有关的应用，例如电信连接或移动无线电连接、用户的身份、货币交易或其他秘密的或值得保护的数据。数据载体就此而言具有特别的安全功能，特别是安全的存储器。在电信终端设备上执行的终端设备应用通常需要对安全的数据载体中的数据载体应用的访问。为了防止滥用数据载体应用的安全相关的功能和在那里存储的秘密数据，例如可以设置访问权限管理，其允许终端设备应用仅仅在相应的访问权限情况下访问数据载体应用。但是这样的机制仅涉及这些终端设备应用的访问权限，其在制造数据载体时、例如在其初始化或个性化时就已经是已知的并且可以被考虑。事后在电信终端设备上安装的终端设备应用对于访问权限管理来说由此是未知的，并且因此也不具有对安装的数据载体应用的访问。对还必须在数据载体上安装的这些数据载体应用的访问更是不太可能的。对访问权限的事后更新或甚至在已经交付的数据载体上事后安装新的数据载体应用，在此特别地由于安全性原因而是不期望的或根本不可能的。
[0004]因为电信终端设备通常仅具有唯一一个数据载体插槽，所以改变的访问权限或新的数据载体应用也不能够在第二安全数据载体上提供。由提供者提供相应更新的交换数据载体虽然是可以考虑的，但是不是特别有利的，因为会丢失重要的和根本不能或很难恢复的用户数据，例如数字证书、许可或权限。
[0005]在此EP1361527A1建议，借助无接触的数据通信通过空气或OTA接口(“over theair”)来更新交付的移动无线电卡的数据库。但是其他可被插入电信终端设备中的数据载体，例如SD卡等，通常不提供为此所需的技术架构。此外具有秘密的用户数据的安全数据载体的用户动摇对数据安全性的信赖，因为无线的数据传输通常并且有理由引起关于数据安全性和数据滥用的担心。
[0006]为了使外部设备(例如电信设备)实现对于数据载体的编程的访问，通常的是，在设备中安装数据载体的编程接口，其中声明了当数据在数据载体中编程时必须考虑的、例如数据载体的对数据格式等的要求。这样的编程接口例如可以作为为了控制设备而在设备中安装的操作系统的、操作系统补充或扩展来实现。借助数据载体的编程接口，设备能够对数据载体中的数据编程，而无需本身知道关于对于数据载体所需的数据格式的细节。这样的编程接口通常称为应用编程接口(API)。
[0007]在发明人的非公开的公司内部现有技术中，所述现有技术在与本专利申请同一天提交的专利申请中描述，给出了一种关于新安装到电信终端设备中的终端设备应用(“App”)来更新插入电信终端设备中的数据载体的方法。为了更新数据载体，使用配置数据，利用所述配置数据更新新的终端设备应用(“App”)对在数据载体上安装的数据载体应用(“Applets”)的访问权限。可选地在更新数据载体时此外还将新的数据载体应用(“Applet”)加载到数据载体中，新的终端设备应用需要其功能。借助配置数据对访问权限的更新在此通常同样是需要的。在该方法中，将配置数据(可选地以及将数据载体应用)与要新安装的终端设备应用首先加载到电信终端设备中。终端设备应用被安装在电信终端设备中。配置数据被进一步传输到在数据载体中安装的安全性应用。利用配置数据来更新安全性应用。
[0008]在安全性应用中准备好的数据载体应用不可以直接通过安全性应用在数据载体中安装。因为安全性应用构造为用于管理在终端设备应用和数据载体应用之间的访问权限，并且具体来说可以接收配置数据和借助配置数据来更新在安全性应用内部实现的访问权限。相反，安全性应用不是构造为并且也不能够在没有其他措施的情况下执行在安全性应用外部的数据载体应用的安装。数据载体应用的安装仅可以通过数据载体的数据载体管理来执行。在安全性应用和数据载体管理之间的直接通信是不可以的。
[0009]在绕开安全性应用的条件下，例如直接借助数据载体管理来允许数据载体应用到数据载体中的直接加载是不利的，因为存在风险，即，来自于未知源的软件没有被检查地到达数据载体。在此有损害的软件也可能到达数据载体。

【发明内容】

[0010]本发明要解决的技术问题是，实现一种关于可在数据载体中执行的数据载体应用来更新数据载体的安全和可多方面采用的方法，特别是一种实现将在数据载体的安全性应用外部待安装的更新数据例如数据载体应用以更安全的方式在数据载体中安装的方法。
[0011]上述技术问题通过按照权利要求1的方法解决。本发明的有利的构造在从属权利要求中给出。
[0012]按照权利要求1的方法被构造为关于可在数据载体上执行的数据载体应用来更新数据载体，其中数据载体被插入电信终端设备中。
[0013]该方法包括步骤:
[0014]-将更新数据提供到在数据载体中安装的安全性应用；
[0015]-根据更新数据来更新数据载体，数据载体的更新包括步骤:
[0016]-将更新数据的至少一部分由安全性应用传输到在电信终端设备中安装的、构造为用于在电信终端设备和数据载体之间通信的数据载体编程接口；
[0017]-将之前传输的更新数据从编程接口进一步传输到在数据载体中安装的、数据载体的数据载体管理；并且
[0018]-根据进一步传输的更新数据来更新数据载体。
[0019]要加载到数据载体中的更新数据以安全的方式始终在接通安全性应用的情况下被加载到数据载体中，并且由此经历安全性应用的控制机制。对于更新数据的至少一部分提供将来自于安全性应用的更新数据传输到编程接口并且从那里传输到数据载体管理的可能性。编程接口由此作为在安全性应用和数据载体管理之间的代理服务器被使用，并且本身实现在这两个在空间上在数据载体内部设置的、但是在通信技术上是互相分离的机构(安全性应用和数据载体管理)之间的通信。由此可以以安全的方式也考虑在安全性应用外部待安装的更新数据。
[0020]由此按照权利要求1实现一种关于可在数据载体中执行的数据载体应用来更新数据载体的安全和可多方面应用的方法。
[0021]特别是在安全性应用外部要安装的更新数据，诸如要新加入数据载体的数据载体应用，可以利用按照本发明的方法通过作为代理服务器使用的编程接口安全地引入到数据载体中，并且在那里被安装。
[0022]更新数据优选通过电信终端设备被提供到数据载体，特别是通过编程接口。编程接口安装在通信终端设备中，与数据载体对应，并且构造为用于在电信终端设备和数据载体之间的通信，诸如智能卡API (应用编程接口)。
[0023]可选地，更新数据包括数据载体应用，其中在该情况下传输包括了数据载体应用的传输，进一步传输包括了数据载体应用的进一步传输，并且数据载体的更新包括了例如通过数据载体管理执行的、数据载体应用在数据载体中的安装。
[0024]更新数据可选地包括配置数据，其中数据载体的更新在该情况下包括了借助配置数据对数据载体的配置，特别是安全性应用的配置。配置数据可以直接在安全性应用中安装，无需绕到通过作为代理服务器使用的编程接口，因为其安装在安全性应用内部进行。
[0025]配置数据特别可以包括用于安全性应用的更新数据。可选地，安全性应用包括证书列表和至少一个访问权限列表。证书列表包括在数据载体中安装的数据载体应用的数据载体应用证书。至少一个访问权限列表给出在通信终端设备中安装的终端设备应用对在数据载体中安装的数据载体应用的访问权限。在数据载体的配置时，证书列表和至少一个访问权限列表根据更新数据，更确切来说根据配置数据被更新。
[0026]配置数据可选地包括数据载体应用证书，其包含了数据载体应用的提供者的公开密钥。数据载体的配置，特别是安全性应用的配置，在该情况下包括将数据载体应用证书通过安全性应用录入到证书列表中。利用数据载体应用的提供者的公开密钥，可以验证由数据载体应用的提供者利用合适的秘密的密钥建立的签名。由此可以验证，要加载到数据载体中的数据载体应用实际上是由数据载体应用的提供者建立的或者至少授权的。
[0027]可选地，在按照更新数据来更新数据载体之前，通过编程接口或通过安全性应用验证签名，特别是与更新数据相关联的签名。
[0028]可选地借助数据载体应用的提供者的秘密的密钥建立签名，或者是类似这样被建立的。然后可选地利用上面举出的公开密钥来验证签名，所述公开密钥例如如上面举出的那样利用数据载体应用证书被引入到数据载体中。
[0029]可选地，更新数据的提供包括步骤:[0030]-将更新数据集成到在终端设备中要安装的终端设备应用的终端设备应用证书中；
[0031]-将终端设备应用证书和终端设备应用加载到电信终端设备中；
[0032]-在电信终端设备中安装终端设备应用；
[0033]-从终端设备应用证书中提取更新数据；和
[0034]-将提取的更新数据，特别是通过编程接口提供到安全性应用。
[0035]按照本发明的数据载体可以插入或被插入电信终端设备中并且包括在数据载体中安装的数据载体应用。按照本发明，数据载体还包括在数据载体中安装的安全性应用，其构造为，根据按照本发明的方法接收并且传输更新数据，并且利用更新数据来更新数据载体。特别地，安全性应用和数据载体的数据载体管理由此能够利用属于数据载体的并且在电信终端设备中安装的、按照权利要求1被使用的、也就是作为代理服务器被使用的编程接口来交换数据。
[0036]数据载体例如是(U) SIM移动无线电卡或安全的数字存储器卡或安全的多媒体卡，例如SD或μ -SD卡，也就是尤其是可插入电信终端设备中的并且可从电信终端设备中去除的数据载体。替换地，数据载体是构造为用于固定实现于电信终端设备中的数据载体，例如用于固定实现于电信终端设备中的嵌入的安全元件或嵌入的智能卡芯片，并且例如被终端设备制造者置于并且固定实现于电信终端设备中，从而其不能(或至少不能无破坏地)通过用户从终端设备中去除，特别是对于具有NFC能力的电信终端设备的NFC芯片。数据载体的操作系统可选地是基于Java的和/或适合全平台的操作系统，和/或数据载体应用和安全性应用可选地是Java-小应用。
[0037]按照本发明的电信终端设备具有接口，例如卡插槽，从而使数据载体可以插入电信终端设备中。替换地，数据载体，例如用于固定实现于电信终端设备中的嵌入的安全元件或嵌入的智能卡芯片，特别地还有NFC芯片，可以固定置于，S卩，实现于电信终端设备中。在电信终端设备中安装了终端设备应用。按照本发明，在电信终端设备中还安装了数据载体的编程接口，其构造为，根据按照本发明的方法接收、进一步传输和可选地按照权利要求8提供更新数据。编程接口由此被构造为，作为相对于数据载体的代理服务器，特别是作为在数据载体的安全性应用和数据载体的数据载体管理之间的代理服务器。可选地，电信终端设备是具有安卓操作系统和作为应用可在其上执行的、所谓的安卓“应用”的智能电话。但是本发明也适合于其他操作系统。
【专利附图】

【附图说明】
[0038]以下借助附图结合实施例详细解释本发明。其中，
[0039]图1示出在更新数据载体时关于方法流程的示意性概览图；
[0040]图2示出在加载配置数据时在根据图1的方法中采用的装置的示意性总概览图；
[0041]图3示出在利用根据本发明的方法加载数据载体应用时，在本发明的一种根据图1的实施方式中采用的装置的示意性细节概览图；
[0042]图4示出按照本发明的扩展的集成于终端设备应用证书中的示例性更新数据；
[0043]图5示出对于图4的扩展的示例性终端设备应用证书。【具体实施方式】
[0044]图1示出在更新数据载体400时关于方法流程的示意性概览图。方法步骤SI至Sll描述了通过对于在步骤SI中已经(可能甚至更早)安装的数据载体应用110安装配置数据111、418来更新数据载体400，如其在没有本发明的情况下或作为本发明的附加可以进行的那样。步骤顺序S2至S9、SlOa至SlOe、Sll在使用在智能电话300中设置的API330作为在SD卡400的、本身不能直接互相通信的部分之间的代理服务器(在步骤10处的步骤顺序IOa-1Oe,特别是IOc-1Oe)的条件下相应于本发明的实施方式，其中在步骤SlOe中安装要向数据载体400新加入的数据载体应用110。
[0045]以下结合图2和4a解释按照方法步骤SI至Sll对SD卡400的更新。结合图3和4b解释按照步骤顺序S2至S9、SlOa至SlOe、Sll按照本发明来处理和安装要向数据载体400新添加的数据载体应用110，其中API330按照步骤顺序IOc-1Oe作为代理。
[0046]数据载体400是用于在以现代的智能电话300形式的电信终端设备中运行的安全元件，其上安装了 Google公司的小计算机操作系统“安卓”310，也就是例如用于这样的终端设备的(U)SM卡或作为(U)SM卡使用的安全微SD卡。当然本发明也可以有意义地应用于具有其他操作系统的其他计算机形式并且可以在其上实现，例如在个人数字助理(PDA)、膝上型电脑、便携式计算机、平板电脑和其他便携式小计算机上，它们通常也提供电信或移动无线电功能。
[0047]可在安卓智能电话300上执行的终端设备应用是所谓的“应用”210、311、312(App3、Appl、App2)，也就是特别与智能电话300的资源、使用范围和应用匹配的应用，其例如可以从安卓市场下载并且在智能电话300上安装。但是除了具有其上运行的安卓应用210、311、312的安卓操作系统310之外，还存在具有特殊化的智能电话应用的其他智能电话操作系统，在其上也可以实现本发明。但是安卓由于其开放资源概念而很好地适合于本发明的以下示例性解释。
[0048]本发明涉及的除了智能电话300之外还有以SD卡400 (SDC)形式的安全的数字数据载体，其被插入到智能电话300的为此设置的插槽中，代表了智能电话300的安全的存储器或安全的存储器扩展。SD卡400优选包括基于Java的操作系统,例如Java卡等,从而在SD卡400上安装的数据载体应用110、421、422、423 (Apl4、Apll、Apl2、Apl3)是小应用或Java-小应用。当然按照本发明的安全的数据载体400还可以是具有处理器和其他计算资源的其他在智能电话300中采用的数据载体，例如(U) SIM移动无线电卡，微SD卡、安全的多媒体卡等。这些数据载体也可以构造为具有任意的智能卡操作系统或存储卡操作系统和在其上可执行的应用。
[0049]特别地在SD卡400上安装的小应用是所谓的安全性小应用410(SecApl, “security applet”)，其接管与应用210对小应用110的访问和小应用110的更新有关的安全性功能和控制功能。
[0050]安全性小应用410管理安全性结构，包括证书列表412(CL)，在该证书列表中存储了以小应用证书IlKAplCertl至AplCert4)形式的不同数据载体应用证书。此外安全性小应用410还管理一个或多个访问权限列表416，其通过小应用标识414 (AID1至AID4)与证书列表412的证书111对应。在证书权限列表416中还存放了应用标识417(HashAppCertl至 HashAppCert3),其分别对访问权限 418 的列表 416(AC1、AC2、AC3,“access condition”)进行寻址，其给出通过应用-1D417表示的应用210对其小应用-1D414指向涉及的访问权限列表416的那个小应用110的访问权限418。
[0051]只要应用210必须访问小应用110，则安全性小应用410可以检查各自的小应用-1D414，涉及的应用210是否具有所需要的访问权限418。通过访问权限列表416与应用210关联的访问权限418通过与应用证书211的Hash值相应的应用-1D417被识别，所述Hash值在对访问权限418的每次检查时被重新形成。
[0052]对于应用210需要对于小应用110进行访问，后者的访问权限418不允许这一点或者后者还甚至根本没有作为小应用110安装到SD卡400的情况，可以进行小应用110的相应的更新(即，通过在该小应用110和其他小应用之间的和/或小应用110的安装的访问权限418的更新来配置小应用110)，方法是，为此所需的更新数据按照图1的方法以应用证书211 (AppCert3)形式被引入到终端设备应用证书中，并且对于安卓操作系统310透明地进一步传输到SD卡400上的安全性小应用410，从而在那里可以进行小应用110的与更新数据相应的配置。
[0053]以下结合图2、图4a考察步骤顺序S1-S11。在此，将API330按照本发明作为代理服务器使用是不需要的。对于新加载到终端设备中的应用210 (App3)，其需要对已经在数据载体400中存在的小应用Apl4110的访问，如下进行在新加载的应用210 (App3)和小应用Apl4110之间的访问权限418的更新。
[0054]在步骤SI (“安装Apl4”)中将或者已经将小应用Apl4110由小应用提供者100(AplProv)或至少在其发起下在SK卡400上安装，例如在SD卡400的制造过程的范围内，例如在其初始化或个性化时。在此也将在此时刻不同的应用311、312 (Appl、App2)对该小应用110 (Apl4)的已知的访问权限418存储在SD卡400的安全性小应用410中。
[0055]步骤S2至Sll涉及要新安装的应用210 (App3)在终端设备300中的安装和应用210 (App3)对已经安装的小应用110 (Apl4)的访问权限418的更新。为此在智能电话300中，作为安卓操作系统310的补充或扩展，安装了用于对SD卡400进行标准化的访问的编程接口 330 (API)。API330与安全性小应用410共同作用，以便实现用于事后更新小应用110的安全过程。对于已经安装的小应用421、422、423 (Apll、Apl2、Apl3)，API330可以与安全性小应用410协作地检查访问小应用421、422、423的应用311、312的访问权限418。
[0056]访问权限更新的出发点是应用证书211，其除了应用210本身之外是待新安装的应用210的安装包的部分，并且是由值得信赖的部门分发的应用210的应用提供者200(AppProv)的公开密钥221。除了应用证书211之外，在应用210的安装包中还存在应用210的签名212 (AppSig3)，利用该签名，应用提供者200借助其秘密的密钥220保证应用210的真实性。
[0057]在步骤S2 (“写UpdtDat”)中，小应用提供者100将在此具有访问权限418形式的更新数据、也就是配置数据集成到应用证书211中，以便为安全性小应用410以该方式提供由小应用提供者100提供的并且由应用210所需的访问权限418，用于关于小应用110来相应地配置数据载体。
[0058]在步骤S3中(“签名AppCert3”)，待更新的小应用110的提供者100借助其秘密的密钥120分发补充了更新数据的应用证书211的签名113 (AplSig3)，其与应用210相连，例如通过将签名113引入到应用210的安装包中。[0059]图4a示出，对于仅在SD卡400中要新安装配置数据，而所属的小应用已经存在于SD卡400中的情况，应用App3210的这样的安装包的主要内容包括应用提供者200的签名212、应用证书211和小应用提供者100的签名113。在本实施例中，是按照X.509证书格式的应用证书211，从而以访问权限418形式的更新数据可以被录入到按照X.509标准规定的扩展区域213 (Ext)中。该按照X.509标准规定的扩展区域可以容纳与证书211的实际功能、也就是与公开密钥211的值得信赖的提供不必相关的其他数据。图5示出按照X.509标准的应用证书211的例子以及其中集成的扩展数据(“Extensions”)。
[0060]利用扩展区域213的机制，以便将更新数据这样引入到应用证书211中，使得其对于智能电话300和其功能和软件组件是透明的，SD卡400的编程接口 API330可能除外。应用证书211也就是代表容器数据格式，其可以将扩展区域213中的数据从智能电话300外部，例如从小应用提供者100透明地通过智能电话300传输到SD卡400或其安全性小应用410。在应用证书211的扩展区域213中存储的更新数据由此保持不由智能电话300考虑。
[0061]小应用提供者100的签名113是利用小应用提供者100的秘密的密钥120加密的、应用证书211的密码(Chiffrat)，并且可以单独存在于应用210的安装包中(参考图4)。签名113例如可以按照X.509标准被引入到签名区域中。应用证书211可以在扩展区域213中容纳小应用提供者100的(还有其他)信息，其涉及小应用110，例如具有小应用提供者100的公开密钥121的小应用证书111或(在图4a中没有示出的、为此参考图4b和以下文本)总的小应用110的字节代码。除了访问权限AC418之外，同样可以还存在明确的应用-1D417作为在应用证书211中的扩展213。
[0062]这样构造的应用210然后由小应用提供者100在步骤S4中(“部署App3”)向在公开的应用市场中潜在的用户提供，以用于在其智能电话上的安装，例如在所谓的“GoogleMarket Place”。从那里将应用210在步骤S5 (“安装App3”)中下载，并且在安卓操作系统310下在智能电话300中安装。
[0063]因为在“Market Place”或其他公开的平台上提供的应用210携带有小应用提供者100的签名113，其通过总应用证书211连同访问权限418形成，所以签名113代表了通过小应用提供者100授权应用210对小应用110的访问。
[0064]在步骤S5中，在安卓操作系统310条件下借助特殊的安装例程320(“安装包”)安装应用210，方法是，安装例程320首先检查应用提供者200的签名212。为此将签名212利用应用提供者200的公开密钥解密，并且与应用210的签名的明文比较。安装例程320从应用210附带的应用证书211中获得公开密钥221，该应用证书保证了公开密钥221的置信度。
[0065]在步骤S6中(“启动App3”)，智能电话300的用户启动安装的应用210，并且其然后在步骤S7 (“访问Apl4”)中试图访问小应用Apl4110。为此应用App3210但是首先在安全性小应用410的访问权限列表416中还没有访问权限418。所需的访问权限418至此仅在应用证书211中存在。
[0066]然后在步骤S8中(“验证AppCert3”)，由API330验证应用证书211，方法是，利用小应用提供者100的公开密钥121将签名113解密，并且与应用证书211的明文比较。与此不同地，应用证书211的验证和紧随其后的访问权限列表416的更新也可以直接在步骤S5中应用210的安装之后或安装时进行。在优选的实施变型中也可以在SD卡400的安全的环境中由安全性小应用410进行步骤S8的验证。在该情况下，应用证书211从编程接口330到达安全性小应用410。
[0067]在签名113的验证时，API330 (或安全性应用410)从证书列表412中获得小应用提供者100的公开密钥121，在步骤SI中进行的、小应用110在SD卡400中的安装时，在该证书列表中存储了小应用证书111。只要签名113的验证成功，则由API330提取在应用证书211的扩展区域213中给出的更新数据，也就是至少访问权限418，并且在步骤S9中(IfUpdtDat传输到SecApl”)为了小应用110的配置而进一步传输给安全性小应用410。如果在步骤S8中通过安全性小应用410进行验证，则其在成功验证的情况下通知API330，更新数据418可以从应用证书211中被提取。替换地，安全性小应用410也可以从应用证书211提取更新数据418。但是在更新数据418的提取时或之后不必进一步检查其完整性，因为其已经通过小应用提供者100的签名113的验证在步骤S8中检查过了。
[0068]在步骤SlO中(“更新CL”)，安全性小应用410最后关于小应用110来配置SD卡400，其方式是，利用以应用210对小应用110的访问权限418形式的更新数据来更新访问权限列表416。为此通过小应用-1D414确定相关的访问权限列表416。然后形成以应用证书211的SHA-1-Hash值形式的应用-1D417，并且与已经在访问权限列表416中列出的应用-1D417比较或在那里以相应的访问权限418重新录入。在应用210对小应用110的后面访问时，安全性小应用410可以关于小应用-1D414和应用-1D417在任何时候检查，是否存在需要的访问权限418。最后安全性小应用410在步骤Sll (“同意访问”)中提供通过应用210对小应用110的访问。
[0069]以下结合图3、图4b考察步骤顺序S2至S9、SlOa至SlOe和SI I，包括按照本发明作为代理服务器使用API330。通过步骤顺序SlOa-SlOe代替步骤S10，相应于通过作为代理服务器的API330安装新的小应用110到SD卡400中。按照图3和4b的本发明的实施方式，借助应用证书211的容器数据结构为安全性小应用410提供至此在SD卡400上没有安装的小应用110。关于小应用110更新SD卡400在此包括在SD卡400上安装小应用110和设置相应的访问权限418。在将小应用110安装到SD卡400上时，在智能电话300中实现的编程接口 API330作为在安全性小应用410和SD卡400的数据载体管理之间的代理服务器使用，以便能够将从应用证书211中提取的并且在安全性小应用410中接收的小应用110安装到SD卡400中。该实施方式的其他流程通过在智能电话300上的API330和SD卡400上的安全性小应用410之间的与第一实施方式类似的相互作用，从图1的步骤S2至S9、SlOa至SlOe和Sll的序列得到。
[0070]在此取消了提前安装小应用110的步骤SI，因为本发明的内容恰好是，将更新数据，在此作为小应用110，事后安装。此外在该实施方式中还取消了配置步骤S10，而是借助步骤SlOa至SlOe来配置和安装小应用110。
[0071]在步骤S2中，由小应用提供者100不仅如结合图2和4a示出的那样将应用210对小应用110的访问权限418，而且也将小应用110本身，或其字节代码，以及具有小应用提供者100的公开密钥121的小应用证书111集成到应用证书211中。在步骤S3中，小应用提供者100利用其秘密的密钥120对具有总的更新数据的应用证书211进行签名，并且形成签名113。应用210的安装包除了包括签名212和113之外，还包括按照图4b的应用证书211，后者包括具有访问权限418的按照X.509标准的扩展区域213、待安装的小应用110的字节代码和小应用证书111。
[0072]就此而言，在步骤S4之后，应用210位于“Market Place”中或位于其他的公开的下载平台上，其以数据容器的形式也包括要在SD卡400上安装的小应用110，通过小应用提供者100借助关于总的应用证书211的签名113来授权。
[0073]为了确保在扩展区域213中的更新数据的、特别是小应用110的字节代码的完整性，设置了在小应用提供者100和SD卡400或其安全性小应用410之间的端对端加密。这例如可以通过对称的AES加密来实现，其中共同的秘密的密钥仅交给小应用提供者100和安全性小应用410。
[0074]步骤S5至S8的其他流程类似于根据图2和4a描述的步骤。在此重要的仅仅是，在步骤S8中检查应用证书211和其扩展区域213，方式是，利用小应用提供者100的公开密钥121验证签名113，其小应用证书111 (尚)没有存在于证书列表412中，而是在应用证书211的扩展区域213中。优选由安全性小应用410进行验证步骤S8，从而可以在SD卡400的安全环境中进行验证。
[0075]在小应用提供者100的签名113的成功验证之后，API330在步骤S9中从应用证书211提取更新数据(也就是访问权限418、小应用110和小应用证书111)，并且将其进一步传输到安全性小应用410。但是如在第一实施方式中那样，也可以直接由安全性小应用410提取更新数据。
[0076]与步骤SlO类似地，然后在步骤SlOa (“更新CL，AC”)访问权限418被存储在相应的访问权限列表416中，通过应用证书211的Hash值作为应用-1D417标识。在此，然后也将小应用-1D414存储在安全性小应用410中，并且将从应用证书211的扩展区域213中提取的小应用证书111与小应用提供者100的公开密钥121 —起存储在证书列表412中。就此而言，从小应用-1D414出发建立全新的访问权限列表416，其中，通过以应用证书211的Hash值形式的应用-1D417寻址地存储应用210对小应用110新的访问权限418。
[0077]在步骤SlOb中(“从UpdtDat解码Apl4”)，将对于安全性小应用410来说尚以由小应用提供者100加密的或编码的形式存在的、小应用110的提取的字节代码，在安全性小应用410的安全环境中解码和/或解密。在步骤SlOb中也进行用于小应用110的安装的预准备的全部其他所需操作。
[0078]于是不是直接由安全性小应用410安装小应用110的字节代码。也就是按照在智能电话领域中至少将来重要的全球平台组织标准(参见WWW.globalplatform.0rg)没有设置这样的直接安装。取而代之，通过智能电话300或其API330安装小应用110。由此API330在其余步骤SlOc至SlOe中作为在安全性小应用410和SD卡400的“卡管理器(Card-Manager)”420 (SDCMngr)之间的中介或代理单元工作，其表示SD卡400的中央管理单元并且本身对于新的小应用110的安装负责。
[0079]为了保证小应用110的字节代码的数据完整性，可以在步骤SlOb中进行小应用110的另一个加密，因为小应用110又要离开安全性小应用410的安全环境,并且通过潜在的不安全的API330向卡管理器420提供。就此而言，或者在安全性小应用410和卡管理器420之间设置另一个端对端加密，或者小应用110的字节代码，不是已经在步骤SlOb中在安全性小应用410中被解密，而是在步骤SlOe中在卡管理器420中在小应用110的安装的范围内才被解密。在后者情况下，在小应用提供者100和卡管理器420之间存在端对端加密，其中所需的密钥在SD卡400中，或在安全性小应用410中和/或在卡管理器420中被安全地保管。
[0080]在步骤SlOc和SlOd中，然后相应于全球平台组织标准将小应用110由安全性小应用410传输到API330，并且由其进一步传输到卡管理器420用于最终的安装。API330也就是相对于卡管理器420作为主机单元工作，其将待提供的数据，也就是小应用110，在其方面由SD卡400的安全性小应用410接收。
【权利要求】
1.一种关于在数据载体(400)上可执行的数据载体应用(110)来更新(S2-S9，SlOa-SlOe, Sll)数据载体(400)的方法，其中数据载体(400)被插入电信终端设备(300)中，其特征在于以下步骤: -将更新数据(110，111，418)提供到在所述数据载体(400)中安装的安全性应用(410)(S9)； -根据所述更新数据(110，111，418 )来更新所述数据载体(400 )，该数据载体(400 )的更新包括步骤: -将所述更新数据(110，111，418)的至少一部分由所述安全性应用(410)传输到在所述电信终端设备(300)中安装的、构造为用于在所述电信终端设备(300)和所述数据载体(400)之间通信的编程接口(330)； -将所传输(SlOc)的更新数据(110)从所述编程接口( 330)进一步传输(SlOd)到在所述数据载体(400)中安装的、数据载体(400)的数据载体管理(420);并且 -根据所述进一步传输的更新数据(110)来更新(IOe)所述数据载体(400 )。
2.根据权利要求1所述的方法，其中， -所述更新数据(110，111，418 )包括数据载体应用(110)， -所述传输(SlOc)包括所述数据载体应用(110)的传输， -所述进一步传输(SlOd)包括所述数据载体应用(110)的进一步传输，并且-所述数据载体(400)的更新包括所述数据载体应用(110)在所述数据载体(400)中的安装(10e)。
3.根据权利要求1或2所述的方法，其中，所述更新数据包括配置数据(111，418)，并且其中，所述数据载体(400 )的更新包括借助所述配置数据(111，418 )来配置(SlOa)所述数据载体(400 )，特别是所述安全性应用(410)。
4.根据权利要求3所述的方法，其中， -所述安全性应用(410)包括证书列表(412)和至少一个访问权限列表(416)， -其中，所述证书列表(412)包括在所述数据载体(400)中安装的数据载体应用(110，421,422,423)的数据载体应用证书(111)，并且所述至少一个访问权限列表(416)给出在所述电信终端设备(300 )中安装的终端设备应用(210，311，312 )对在所述数据载体(40 )中安装的数据载体应用(110,421-423)的访问权限(418)，并且其中， -在所述数据载体(400 )的配置时，按照所述更新数据(111，418 )来更新所述证书列表(412)和所述至少一个访问权限列表(416)。
5.根据权利要求4所述的方法，其中，所述配置数据(111，418)包括具有所述数据载体应用(110)的提供者(100)的公开密钥(121)的数据载体应用证书(111)，并且其中，所述数据载体(400)的配置(SlOa)，特别是所述安全性应用(410)的配置(SlOa)，包括通过所述安全性应用(410)将所述数据载体应用证书(111)录入到所述证书列表(412)中。
6.根据上述权利要求1至5中任一项所述的方法，其中，在按照所述更新数据来更新(SlOa, SlOe)所述数据载体(400)之前，通过所述编程接口(330)或通过所述安全性应用(410)来验证(S8)签名(113)，特别是与所述更新数据(110，111，418)相关联的签名。
7.根据权利要求6所述的方法，其中，借助所述数据载体应用(110)的提供者(100)的秘密的密钥(120)来建立或已经建立所述签名(113)。
8.根据权利要求1至7中任一项所述的方法，其中，更新数据(110，111，418)的提供包括步骤: -将所述更新数据(110，111，418)集成到在终端设备(300)中要安装的终端设备应用(210)的终端设备应用证书(211)中； -将所述终端设备应用证书(211)和所述终端设备应用(210)加载到所述电信终端设备(300)中； -在所述电信终端设备(300)中安装(S5)所述终端设备应用(210)； -从所述终端设备应用证书(211)中提取(S9)所述更新数据(110，111，418);和 -将提取的所述更新数据(110，111，418)，特别是通过所述编程接口(330)，提供到所述安全性应用(410) (S9)。
9.一种数据载体(400)，其能插入电信终端设备(300)中或被插入到电信终端设备(300)中，包括在所述数据载体(400)中安装的数据载体应用(421，422，423)，其特征在于，在所述数据载体(400)中安装的安全性应用(410)，其构造为，按照根据权利要求1至8中任一项所述的方法来接收并且传输更新数据(110，111，418)，并且利用所述更新数据(110，111，418)来更新所述数据载体(400)。
10.一种电信终端设备(300)，在其中能插入或插入根据权利要求9所述的数据载体(400)，包括在所述电信终端设备(300)中安装的终端设备应用(311，312)，其特征在于所述数据载体的编程接口(330)，其构造为，根据按照权利要求1至8中任一项所述的方法来接收、进一步传输和可选地 按照权利要求8来提供更新数据(110)。
【文档编号】G06F9/445GK103460186SQ201280014907
【公开日】2013年12月18日 申请日期:2012年3月29日 优先权日:2011年3月31日
【发明者】A.萨默尔 申请人:德国捷德有限公司