安全元件中操作系统的更新的制作方法

本发明总体上涉及安全元件，并且具体地涉及用于更新安全元件的操作系统的方法、配备有具有更新能力的更新代理的安全元件、以及相应的更新代理和计算机程序产品。

背景技术：

1、智能卡广泛用于诸如移动电话、支付卡、访问卡的各种系统中，以提供识别、认证和数据存储服务以及应用程序处理。

2、在智能卡包含安全关键应用程序和敏感数据的情况下，诸如在支付卡等的情况下，使用安全元件来存储数据。安全元件是防篡改元件tre，其提供安全的存储器和执行环境，其中可以安全地存储和管理应用程序代码和应用程序数据。安全元件确保仅在被授权时才提供对存储在卡上的数据的访问。这样的安全元件可以以任何外形因素存在，诸如uicc、嵌入式se、smartsd、智能microsd等。

3、安全元件可包括一个或多个安全域，每个安全域包括使用安全密钥进行认证的数据集合，诸如操作系统、个性化数据、包、小应用程序、应用程序等。因此，操作系统和应用程序存储在安全元件内的易失性和非易失性存储器模块中，并且由安全元件的安全处理器执行。

4、安全元件还可以包括根据iso/iec 7816-4的文件系统，其形式为分层文件结构，该分层文件结构包括主文件和多个专用文件(df)以及基本文件(ef)，分别作为目录和数据文件。在安全元件或连接到安全元件的外部终端上执行的应用程序可以选择ef并对ef的数据执行读/写操作。安全元件的通信接口以及其与外部终端的交互在标准etsi ts102 221(智能卡；uicc-终端接口；物理和逻辑特性)中(例如，在版本v15.2.0中)指定。

5、此外，用于防篡改元件的全球平台卡片技术开放固件加载器规范(thespecification global platform card technology open firmware loader for tamperresistant element)v1.3描述了用于将固件(可能包含操作系统和应用程序数据的用例相关数据)加载到安全元件中的标准化机制。具体地，在安全元件内部提供的映像可信加载器itl或更新代理被配置为接收操作系统映像，对映像执行真实性和完整性检查，并且触发将映像安装到安全元件的存储器中。

6、在接收、检查和安装操作系统的整个过程中，itl或更新代理控制安全元件，并且特别地负责其与安全元件可以例如经由根据iso/iec 7816-4的传入和传出apdu消息连接的外部实体或终端的通信。同样地，在操作系统更新的过程中，存在更新代理负责安全元件的时段，因为操作系统既不可操作也还没完成更新过程。

7、图1示出了将固件(例如，操作系统os)加载到安全元件中的常规过程的示意图。上行示出了负责对应的生产阶段(i、ii、iii、iv)的实体，而下行示出了特定生产阶段中的安全元件(即，芯片)的内容。在芯片生产场所(即，芯片工厂)处的第一生产阶段i期间，芯片制造商提供要加载有可信软件(诸如安全操作系统)的安全元件100。初始安全os 30利用凭证13来个性化，并且个性化的安全os映像(在图1中由“maxiinit”标识)与更新代理一起被加载在芯片内。然后，具有其os的芯片可以嵌入在便携式设备中(阶段ii)或交付给另一个设备制造商以包括在更大的电子设备(如智能电话、计算机、汽车、测量设备等)中(阶段iii)，并最终发布到市场(阶段iv)。

8、与这种常规方法互补，可能需要改变或更新加载在芯片上的os，直到甚至在嵌入式芯片被交付到市场之后，因为可信软件(诸如操作系统)可以经由se的更新代理被加载到任何地方。然而，在os映像被加载到se上并作为更新的os被安装的场景中，连接到安全元件的外部终端的命令或请求可能不会被正确地响应，因为常规文件系统和相关数据在操作系统更新期间不可用。

9、更新代理不能处理这样的外部请求可能导致终端对安全元件的停用，因为它在os更新期间没有从se接收到有意义的响应。出于安全原因，这甚至可能使se完全不可用。

10、因此，仍然需要提供一种解决上述缺点的用于更新安全元件的操作系统的解决方案。

技术实现思路

1、本发明通过独立权利要求所涵盖的主题来解决上述目的。本发明的优选实施例在从属权利要求中限定。

2、根据本发明的第一方面，提出了一种用于更新管理安全元件se中的文件系统的操作系统os的方法。该方法包括在第一步骤中在se中提供更新代理。在进一步的步骤中，更新代理从操作系统承担对se的控制。此外，os映像被加载到se中，其表示当前安装的操作系统的更新。通过安装os映像，在se上提供更新的操作系统。在最后的步骤中，更新代理将se的控制移交给更新的操作系统。为了克服上述缺点，更新代理在se中提供临时文件系统，并且只要更新代理负责se，即，在从os承担控制与将控制移交回更新的os之间的时段期间，就管理临时文件系统。

3、在整个本技术中，术语“操作系统”应涵盖操作安全元件所需的并且在安全元件中加载和执行的任何可信的系统关键软件或其部分。这种可信软件的示例包括固件、操作系统和操作se所需的任何其他依赖于用例的安全应用程序。表述“os映像”是指封装要由操作系统或se的代理(诸如根据本发明的更新代理)使用的软件版本和密码数据的通用数据格式。

4、所提出的方法提供了一种有效且安全的解决方案，用于在更新可信软件的操作系统时，在不中断外部终端与安全元件的交互的情况下更新可信软件，并且因此在se不被停用或断开的情况下更新可信软件。

5、因为只要更新代理控制se及其与外部终端的通信，临时文件系统就被管理，它就替换了暂时不可用的常规文件系统，并使更新代理能够以有意义的方式处理来自外部终端的命令或请求。换句话说，临时文件系统模拟或者甚至可以推断“模拟”常规文件系统到所连接的终端接收到响应其命令和请求的有意义的响应的程度。因此，因为se与终端之间的交互不被中断，所以安全元件不需要被外部终端停用或断开。

6、在一些实施例中，由更新代理提供的临时文件系统可以仅包含最小功能和/或最小数据以允许处理来自外部终端的命令。由于临时文件系统的最小功能和/或数据，所需的存储器空间也被最小化，使得临时文件系统适合在更新过程期间更新代理可用的有限存储器空间内。

7、在一些实施例中，临时文件系统可以被充分地构造和/或配备有足够的数据，使得对于外部终端透明的是，仅临时文件系统可用而不是常规文件系统可用。优选地，对于外部终端特别透明的是，它不是管理可用文件系统的se的操作系统，而是更新代理。由此，可以可靠地防止外部终端对se的停用或断开。

8、本发明提供了以下优点：供应文件系统需要比常规文件系统少得多的存储器空间，但是仍然被充分配置为当更新代理负责se及其通信和接口时，允许对来自外部终端的命令或请求的有意义的响应，该外部终端在os更新期间寻址se。

9、事实上，在更广泛的范围上，本发明的另一个优点是配备有根据本发明的更新代理的se支持处理操作系统或操作安全元件所需的另一个可信的系统相关软件的中间非功能状态。例如，在系统从一个状态转换到另一个状态时，本发明通过提供适当的明确定义的行为来确保外部实体或终端在转换情况下与se接合或继续与se接合。

10、更新代理在芯片工厂的初始生产阶段中被加载到se中，即在芯片制造站点的安全环境内(在图1中被称为阶段i)。优选地，包括安全凭证的个性化数据与更新代理一起被加载到安全元件中，从而确保严格的安全条件并保护机密数据免受未经授权的修改。如果应用确保篡改保护的安全措施，则可以在初始生产阶段或后续阶段在se上加载、个性化和安装初始操作系统。然而，可能需要在se的生命周期的稍后阶段更新初始操作系统，例如在初始生产阶段之后的阶段(在图1中称为阶段ii、iii、iv)。

11、优选地，临时文件系统被提供在更新代理内或作为更新代理的一部分，例如作为更新代理的个性化数据的一部分或被包括在更新代理的个性化数据中。因此，由于临时文件系统被实现为更新代理的一部分，后者提供临时文件系统，使得它可以由更新代理管理，从而只要更新代理在se的控制中就临时替换不可用的常规文件系统。在这种情况下，在更新代理的加密密钥的个性化过程中提供临时文件系统。因此，在安全元件的生产阶段期间在安全环境内提供临时文件系统。

12、可以重复由可信更新代理进行的更新安装的操作系统的过程。因此，如果需要，再次更新已经更新的操作系统。原则上，在安装时提供当前安装的操作系统和/或相应个性化数据的更新的操作系统映像可以在初始生产阶段期间加载，或者可以在后续阶段中加载，只要这种加载以防篡改和可信的方式进行。

13、无论哪种方式，在某个点，更新代理从要更新的操作系统承担对se的控制，使得实际上，到这个时间点，操作系统不再负责se，并且不能控制其处理和交互。特别地，因为只要se不在常规操作系统的控制下，常规文件系统就不可用，所以更新代理被配置为通过提供和管理临时文件系统来克服在没有常规操作系统的情况下se的其他受限功能。当操作系统由于其更新而被停用时，更新代理从操作系统承担控制。

14、实质上，如果更新代理在负责，则临时文件系统被管理并且因此是激活的。一旦完成os的更新，控制就切换到更新的os，常规文件系统被管理/激活，而临时文件系统不再激活。

15、归因于临时文件系统在当前操作系统不再存在并且更新的操作系统尚未控制se的时期内的可用性，本发明提供了一种用于在现场更新操作系统的有效且安全的解决方案，因为临时文件系统确保了se的最小功能和互操作性，从而防止外部终端停用或断开se。因此，当在芯片工厂中在se的初始生产阶段期间将更新代理加载到se中时，在se的初始生产阶段之后，在安全元件的生命周期的后续阶段中，可以将os映像加载到se中和/或可以将加载的os映像安装在se上，从而提供用于在安全元件的生命周期期间的任何时间更新操作系统并防止传统更新方案的缺点的灵活解决方案。

16、在一些实施例中，临时文件系统被构造为特定数据记录，优选地被构造为由数据分组标识符dgi标识的数据分组。dgi确定如何构造数据分组以及如何访问和处理数据分组。表示临时文件系统和相应dgi的数据分组优选地可以是由se的制造商定义并在更新代理中编码的专有结构。在提供临时文件系统时，基于由dgi标识的其规范在se内创建相应的数据分组。数据分组根据其指定结构存储在se的存储器中，例如存储在其非易失性存储器中。优选地，表示临时文件系统的数据分组存储在更新代理的特定存储器结构中。

17、优选地，数据分组提供表示根据iso/iec 7816-4的分层智能卡文件系统的内部结构，包括专用文件df和基本文件ef。临时文件系统的dfs和efs表示对临时不可用的常规文件系统的dfs和efs的最小选择，而临时文件系统的分层文件结构镜像临时文件系统临时替换或模拟的常规文件系统的结构和文件。

18、优选地，所提供的数据分组和分层文件结构在逻辑上以反映各个文件的分层父/子关系的tlv格式(标签、长度、值)来组织。也就是说，临时文件系统的每个文件被编码为tlv项，其具有标识文件类型的二进制代码(标签)、字节大小的指示(长度)和携带相应文件的数据的指定大小的数据字段(值)。

19、当更新代理控制se时，如果外部终端向se发送指向基本文件的命令(例如通过命令apdu)，则通过提供指向表示相应文件的tlv项的标签的指针来选择ef。指向所选文件的指针由更新代理保持，使得指向所选文件的外部终端的命令可以由更新代理处理并响应(例如由响应-apdu)。

20、当更新代理控制se时，如果外部终端向se发送与临时文件系统的特定文件无关的命令，则更新代理可以响应状态码或状态字节，该状态码或状态字节发信令通知该命令被处理，而实际上，该命令不被更新代理处理，或者该处理被推迟直到常规文件系统可用。然而，状态码相对于外部终端发信令通知se是可操作的并且不需要被停用。

21、根据本发明的第二方面，提供了一种安全元件，所述安全元件包括管理文件系统的操作系统和被配置为执行如上所述的方法的更新代理。特别地，更新代理被配置为从操作系统承担对se的控制；将表示所述操作系统的更新的os映像加载到所述se中；安装os映像，并由此提供更新的操作系统；以及最终将se的控制移交给更新的操作系统。为了防止外部终端由于缺少对终端请求的响应或对终端请求的错误响应而停用或断开安全元件，更新代理提供或被配置为在se中提供临时文件系统，并且在更新代理控制se的时段期间(即，直到更新的操作系统承担对se的控制并提供其常规功能和互操作性)管理临时文件系统。

22、根据本发明的第三方面，提供了一种更新代理，其被配置为执行如上所述的方法。更新代理优选地被实现为可执行软件产品，该可执行软件产品被配置为安装在根据第二方面公开的安全元件上，并且由安全元件的处理器执行，以便执行根据本发明第一方面公开的方法。

23、根据本发明的又一方面，提供了一种用于与根据第二方面的安全元件结合使用的计算机程序，该安全元件被嵌入或可以被嵌入在电子设备中。该计算机程序产品包括非暂态计算机可读存储介质和嵌入其中的计算机程序机制，以将软件加载到电子设备中的安全元件中。该计算机程序机制包括用于以下操作的指令：从操作系统承担对所述se的控制；用于将表示操作系统的更新的os映像加载到所述se中；用于通过安装os映像来提供更新的操作系统；用于将更新代理对se的控制移交给更新的操作系统；以及用于在se中提供临时文件系统，并且用于只要更新代理处于se的控制中就管理临时文件系统。

24、必须注意，本技术中描述的所有过程、设备、元件、单元和装置可以以软件或硬件元件或其组合来实现。由本技术中描述的各种实体执行的所有步骤以及所描述的功能旨在表示相应的实体适于或被配置为执行相应的步骤和功能。

25、在结合附图阅读本发明的优选实施例和变型的以下详细描述后，本发明的其他方面、特征和优点对于本领域普通技术人员将变得显而易见。