用于更新安全模塊的固件的方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明一般涉及移動(dòng)通信,并且具體涉及一種用于更新安全模塊的固件的方法和系統(tǒng)����。
【背景技術(shù)】
[0002]安全模塊包括系統(tǒng)資源,特別是用于數(shù)據(jù)輸入和輸出數(shù)據(jù)的數(shù)據(jù)接口�、一個(gè)或多個(gè)中央處理單元CPU、作為RAM的易失性存儲(chǔ)器���、以及特別是ROM����、EEPROM或FLASH的非易失性存儲(chǔ)單元����。安全模塊上的應(yīng)用和文件需要在它們的執(zhí)行期間訪問那些系統(tǒng)資源�。通過固件管理這些系統(tǒng)資源���。因此�,固件是安全模塊的應(yīng)用與安全模塊的系統(tǒng)資源之間的接口�。
[0003]如果在固件中發(fā)現(xiàn)錯(cuò)誤、或者確定不包括固件中的特定功能性(例如��,函數(shù)�、方法或程序代碼庫(kù)),固件的那些部分在發(fā)行后被加載并在現(xiàn)場(chǎng)被安裝��。此方法是公知的并且稱為打補(bǔ)丁(patching)��。打補(bǔ)丁(即����,固件的部分交換)可以通過為了安裝目的將補(bǔ)丁完全寫入到安全模塊的存儲(chǔ)器中來實(shí)現(xiàn)。此過程需要安全模塊中的相應(yīng)存儲(chǔ)量�,這通常由于成本原因而無法獲得�����。因此,打補(bǔ)丁是昂貴的并且僅導(dǎo)致固件的錯(cuò)誤(bug)的修正和/或小部分的擴(kuò)展��。
[0004]不時(shí)地開發(fā)更新版本的固件��。當(dāng)前��,未預(yù)見到安全模塊的固件的完全交換��。然而�����,由于安全模塊具有較長(zhǎng)壽命并且在它們的技術(shù)環(huán)境中技術(shù)不斷發(fā)展的事實(shí)�����,需要保持安全模塊的固件為最新��。這個(gè)必要性的一個(gè)原因是安全模塊中包含的應(yīng)用必須在安全模塊的壽命期間具有關(guān)于攻擊或安全模塊的加密算法的可靠安全機(jī)制�。
[0005]從DE10336568A1可知,提供用于安全模塊的操作系統(tǒng)���,其包含用于在常規(guī)條件下操作安全模塊的主操作系統(tǒng)�����。此外���,在操作系統(tǒng)中�����,提供了緊急服務(wù)�,通過其可以代替主操作系統(tǒng)而操作安全模塊���。
[0006]DE102004013904A1公開了包含具有用于將程序代碼發(fā)送至移動(dòng)安全模塊的介質(zhì)的終端和接收所發(fā)送的代碼的接口的系統(tǒng)����。該終端具有用于驗(yàn)證代碼的驗(yàn)證器�,所述代碼將經(jīng)驗(yàn)證的程序代碼提供給載體。該終端具有處理單元�,其中,設(shè)計(jì)該終端和驗(yàn)證器以使得僅在驗(yàn)證之后將代碼加載至載體�����。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的是提供一種用于更新安全模塊的固件的方法和系統(tǒng)�����,其使得可以進(jìn)行固件的完全或部分交換���,其需要盡可能小的存儲(chǔ)足跡(footprint)�。
[0008]通過根據(jù)權(quán)利要求1的特征的方法以及根據(jù)權(quán)利要求15的特征的系統(tǒng)實(shí)現(xiàn)以上目的���。在從屬權(quán)利要求中陳述了優(yōu)選實(shí)施例�。
[0009]根據(jù)本發(fā)明�����,提供了一種用于更新設(shè)備中的安全模塊的固件的方法�����。該設(shè)備包括裝置和安全模塊����。布置該裝置和安全模塊以使得可以在安全模塊與裝置之間交換數(shù)據(jù)。該方法包括步驟:
[0010]a)由安全模塊接收第一消息��,其中第一消息指示由提供商提供的固件更新的可用性���,并且其中第一消息包含對(duì)于該安全模塊獨(dú)有的(individual)交易號(hào)��;
[0011]b)將第二消息從設(shè)備傳送至提供商�����,利用第二消息從提供商請(qǐng)求固件更新�����,其中第二消息包含獨(dú)有的交易號(hào)以使得提供商能夠進(jìn)行對(duì)安全模塊的識(shí)別�����;
[0012]c)基于對(duì)獨(dú)有的交易號(hào)的評(píng)估將固件更新從提供商傳送至設(shè)備��,并將固件更新存儲(chǔ)在裝置的存儲(chǔ)器中����;以及
[0013]d)由設(shè)備或安全模塊的引導(dǎo)加載器對(duì)固件解壓縮。
[0014]根據(jù)本發(fā)明����,安全模塊是尺寸縮小的模塊,并且資源包括中央處理單元����、至少一個(gè)用于與裝置和存儲(chǔ)區(qū)域通信的數(shù)據(jù)接口����。此存儲(chǔ)區(qū)域可包括密文(secret)數(shù)據(jù)�����。安全模塊包括禁止操縱和/或防止讀出密文數(shù)據(jù)的企圖的特征��。安全模塊中的密文數(shù)據(jù)用于用戶在裝置�、終端或網(wǎng)絡(luò)系統(tǒng)中的識(shí)別和/或認(rèn)證�����。
[0015]安全模塊例如是諸如UICC���、SM��、U-SIM, R-UIM或ISM卡的智能卡�����、諸如eID或ePassport的電子身份文件�����、電子駕照�����、電子車輛登記�、或者諸如信用卡或借記卡的支付卡。
[0016]特別地��,安全模塊是訂戶在移動(dòng)無線電網(wǎng)絡(luò)環(huán)境中的認(rèn)證/識(shí)別的訂戶身份模塊��。這樣的訂戶身份模塊使用終端中的卡讀取器單元操作��,并且原則上可以從終端移除以被另一智能卡替換�����、或者操作在不同終端中�����。替代地�,安全模塊是終端內(nèi)的組成部分,諸如硬接線電子模塊�����。這樣的安全模塊也稱為ncc、eUICC或嵌入式安全元件����。
[0017]替代地,安全模塊是機(jī)器對(duì)機(jī)器模塊��。這些模塊用于諸如機(jī)器����、設(shè)備和系統(tǒng)的裝置或設(shè)備的遠(yuǎn)程監(jiān)控���、控制和維護(hù)���。替代地,這些模塊用于諸如電表���、水表�����、所謂的智能電表的計(jì)數(shù)單元����。
[0018]替代地,安全模塊是操作系統(tǒng)的可信部分(稱為設(shè)備的可信執(zhí)行環(huán)境(TEE))中的軟件組件�。然后例如在安全運(yùn)行時(shí)環(huán)境中設(shè)計(jì)安全模塊。
[0019]安全模塊可以通過裝置操作����。根據(jù)本發(fā)明的裝置包括用于與通信網(wǎng)絡(luò)通信的部件,以便接收固件更新�����。裝置可以是如智能電話��、平板式PC�、筆記本、PDA的移動(dòng)設(shè)備��。替代地����,裝置是諸如數(shù)碼相框、音頻設(shè)備����、TV�����、機(jī)頂盒����、電子書閱讀器等的多媒體裝置�����。通過舉例����,術(shù)語“裝置”還包括任何類型的機(jī)器�,如自動(dòng)售貨機(jī)、車輛��、智能電表等����。固件更新特別經(jīng)由諸如OTA的空中接口接收,空中接口可以實(shí)施為在蜂窩信令層或GPRS層上的基于SMS的通信�����。替代地,經(jīng)由諸如OTI (例如WLAN)的基于因特網(wǎng)協(xié)議的信道接收固件更新���。替代地����,經(jīng)由例如基于LTE的信道的分組交換服務(wù)接收固件更新��。
[0020]這里使用的術(shù)語“固件”等效于術(shù)語“操作系統(tǒng)”�����,因?yàn)閷?duì)于每個(gè)定義����,固件都是專有操作系統(tǒng)?����?梢愿鶕?jù) IS0/IEC 7816-4,ETSI TS 10222UETSI TS 101 220,ETSI TS 102241和ETSI TS 102 226設(shè)計(jì)固件��。固件管理安全模塊的系統(tǒng)資源之間的數(shù)據(jù)處理和數(shù)據(jù)傳送�。固件管理數(shù)據(jù)處理和從安全模塊到外部單元/從外部單元到安全模塊的數(shù)據(jù)傳輸。固件管理指令命令的控制流�。固件管理存儲(chǔ)區(qū)域的物理存儲(chǔ)地址���。固件管理運(yùn)行在安全模塊上的應(yīng)用和文件系統(tǒng)的執(zhí)行。因此�,固件包括I/O管理器、命令解釋器�����、返回代碼管理器���、固件內(nèi)核�����、資源管理器和/或指令集��。關(guān)于安全模塊的固件的更多信息可以在被全文引用的作者是 Wolfgang Eff ing 和 Wolfgang Rankle 的書“Handbuch der Chipkarten”的第 13章中找到���。
[0021]固件的更新導(dǎo)致具有帶有附加的和/或改進(jìn)的功能性的替代開發(fā)階段的實(shí)際固件的另一版本���。替代地和/或附加地��,固件更新是提供附加的和/或不同的功能性的實(shí)際固件的另一變型�����。在本說明書中�,更新安全模塊的固件包括固件的完全交換和固件的部分交換,其可以是安全模塊的實(shí)際固件的更新��。
[0022]該方法通過確保最小存儲(chǔ)足跡而實(shí)現(xiàn)安全模塊的固件的容易且便宜的更新��。特別地��,該方法適合于嵌入在裝置中的這種安全模塊�����。
[0023]可以在不需要使用不對(duì)稱加密方法的情況下實(shí)現(xiàn)安全模塊的固件的更新�。因此,根據(jù)本發(fā)明的方法僅需要關(guān)于安全模塊和裝置的小資源����。
[0024]根據(jù)優(yōu)選實(shí)施例,第一消息還包括第一解鎖密文��,并且����,在步驟c)之后���,該方法還包括步驟:
[0025]d)將第二解鎖密文從提供商傳送至設(shè)備;
[0026]e)由設(shè)備驗(yàn)證第二解鎖密文是否對(duì)應(yīng)于第一解鎖密文���;以及
[0027]f