[发明专利]安全元件的操作系统的更新

说明书

本发明涉及安全元件的操作系统的更新。一种包括至少一个微处理器、非易失性存储器以及通信接口的安全元件，该安全元件能够经由通信接口与更新器装置进行通信，非易失性存储器存储有至少一个引导程序，微处理器被配置为在安全元件启动期间执行引导程序，该安全元件的特征在于，引导程序包括在被微处理器执行时用于执行以下步骤的指令：启动步骤，确定非易失性存储器是否存储有启用的操作系统，如果是，则启动操作系统的执行；更新器装置根据安全元件所确定的第一认证数据和从更新器装置接收的第二认证数据进行的认证步骤；响应于认证步骤，将从更新器装置接收的新的操作系统存储在非易失性存储器中的存储步骤以及新的操作系统的启用步骤。

技术领域

本发明涉及诸如智能卡的板载安全元件的领域。

背景技术

板载安全元件，例如智能卡，典型地具有计算机的材料架构，特别包括微处理器以及包含可由微处理器执行的计算机程序的非易失性存储器。特别的是，该非易失性存储器包括操作系统，该操作系统在可由用户使用之前由厂商使用该安全元件载入。

首选的是，在向用户提供该安全元件之后更新这种操作系统。

文献WO 2012/062632 A1描述了一种板载元件中的软件更新处理。此处理包括擦除该软件、载入代替该软件的更新管理程序，此更新管理程序载入在板载元件启动时更新的起动程序。该方案的安全仅仅基于该软件的印记(imprint)。该方案因此不适用于需要高安全性的应用。同样，该处理需要重新启动该安全元件两次。

因此，需要一种可靠的、安全的对安全元件的软件进行更新的方法。

发明内容

本发明提出了一种包括至少一个微处理器、非易失性存储器以及通信接口的安全元件，该安全元件经由该通信接口与更新器装置进行通信，该非易失性存储器存储有至少一个引导程序，该微处理器被配置为在该安全元件启动期间执行该引导程序，该安全元件的特征在于，该引导程序包括在被该微处理器执行时用于执行以下步骤的指令：

-启动步骤，确定该非易失性存储器是否存储有启用(activated)的操作系统，如果是，则启动该操作系统的执行，

-该更新器装置根据该安全元件所确定的第一认证数据和从该更新器装置接收的第二认证数据进行的认证步骤，

-响应于该认证步骤，将从该更新器装置接收的新的操作系统存储在该非易失性存储器中的存储步骤以及该新的操作系统的启用步骤。

因此引导程序可安全可靠地实施对操作系统的更新。事实上，由于此更新需要更新器装置的认证，因此，第三方不可能向安全元件提供操作系统损坏的版本。

根据实施方式，该更新器装置的认证步骤包括：

-向更新器装置发送包括变量的消息的步骤，

-接收第二认证数据的步骤，

-基于上述变量和存储在上述非易失性存储器中的密钥来确定第一认证数据的确定步骤，以及

-比较第一认证数据和第二认证数据的比较步骤。

这样，引导程序本身包括完成对更新器装置的认证的所有必需的指令。因此在非易失性存储器不包括操作系统或操作系统被停用时，例如在之前的更新尝试未成功期间，可启动或继续对操作系统的更新。

引导程序也可包括执行向更新器装置发送消息的步骤的指令，该消息包括基于密钥和上述变量的加密数据。

这使得更新器装置能够认证安全元件。因此完成了安全元件和更新器装置之间的相互认证。这样，只有安全的认证元件才可获得操作系统的新版本。

根据实施方式，非易失性存储器包括操作系统，该操作系统包括指令用以执行：

-向更新器装置发送包括所述变量的消息的步骤，