[发明专利]安全元件的操作系统的更新

权利要求书

1.一种包括至少一个微处理器(31)、非易失性存储器(34)以及通信接口(36)的安全元件(30)，该安全元件(30)能够经由该通信接口(36)与用于更新所述安全元件的操作系统的更新器装置(10)进行通信，该非易失性存储器(34)存储有至少一个引导程序(38)，该微处理器(31)被配置为在该安全元件(30)启动期间执行该引导程序(38)，该安全元件(30)的特征在于，该引导程序(38)包括在被该微处理器(31)执行时用于执行以下步骤的指令：

-启动步骤(E1，E12)，确定该非易失性存储器(34)是否存储有启用的操作系统(35)，如果是，则启动该操作系统(35)的执行，

-该更新器装置(10)根据该安全元件(30)所确定的第一认证数据(AUTH₃₀)和从该更新器装置(10)接收的第二认证数据(AUTH₁₀)进行的认证步骤(E4，E5，E6，E7，E13，E14)，

-响应于该认证步骤，将从该更新器装置(10)接收的新的操作系统存储在该非易失性存储器(34)中的存储步骤(E9，E10)以及该新的操作系统的启用步骤(E11),

其中，当所述操作系统的更新处理被启动时并且当所述非易失性存储器存储启用的操作系统时，所述操作系统被所述安全元件选择作为更新应用，并且

其中，当所述操作系统的更新处理被启动时并且当所述非易失性存储器存储非启用的操作系统时，所述引导程序被所述安全元件选择作为更新应用。

2.根据权利要求1所述的安全元件(30)，其中，当所述非易失性存储器存储非启用的操作系统时，所述更新器装置的所述认证步骤包括：

-向所述更新器装置(10)发送包括变量(RAND)的消息(M5)的步骤(E4)，-接收所述第二认证数据(AUTH₁₀)的步骤(E5)，

-根据所述变量(RAND)和存储在所述非易失性存储器(34)中的密钥(MK_i)来确定所述第一认证数据(AUTH₃₀)的确定步骤(E6，E13)，以及

-比较所述第一认证数据(AUTH₃₀)和所述第二认证数据(AUTH₁₀)的比较步骤(E7，E14)。

3.根据权利要求2所述的安全元件(30)，其中，所述引导程序(38)包括用于执行发送步骤(E8)的指令，所述发送步骤(E8)向所述更新器装置(10)发送包含根据所述密钥(MK_i)和所述变量(RAND)而加密的数据(V1)的消息(M7)。

4.根据权利要求2所述的安全元件(30)，其中，当所述非易失性存储器存储启用的操作系统时，所述操作系统(35)包括用于执行以下步骤的指令：

-向所述更新器装置(10)发送包含所述变量(RAND)的消息(M5)的发送步骤(F4)，

-接收所述第二认证数据(AUTH₁₀)的接收步骤(F5)。

5.根据权利要求4所述的安全元件(30)，其中，所述操作系统(35)包括用于执行发送步骤(F8)的指令，所述发送步骤(F8)向所述更新器装置(10)发送包含根据所述密钥(MK_i)和所述变量(RAND)而加密的数据(V1)的消息(M7)。

6.根据权利要求1所述的安全元件(30)，其中，所述存储步骤包括接收加密的所述新的操作系统。

7.根据权利要求2所述的安全元件(30)，其中所述存储步骤包括接收加密的所述新的操作系统，并且其中，所述认证步骤包括根据所述密钥(MK_i)和所述变量来确定会话密钥(SK)，所述存储步骤包括接收用所述会话密钥(SK)加密的所述新的操作系统。

8.根据权利要求1所述的安全元件(30)，其中，所述引导程序(38)存储在所述非易失性存储器(34)的不可重写部分(41)中。