知財求人 - 知財ポータルサイト「IP Force」
▶ ギーゼッケプラスデフリエント モバイル セキュリティ ジャーマニー ゲーエムベーハーの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-08-14
(54)【発明の名称】セキュリティエレメントにおけるソフトウェア更新
(51)【国際特許分類】
G06F 8/65 20180101AFI20240806BHJP
【FI】
G06F8/65
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024503482
(86)(22)【出願日】2022-07-26
(85)【翻訳文提出日】2024-02-09
(86)【国際出願番号】 EP2022025349
(87)【国際公開番号】W WO2023006246
(87)【国際公開日】2023-02-02
(31)【優先権主張番号】21382706.6
(32)【優先日】2021-07-28
(33)【優先権主張国・地域又は機関】EP
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVA
(71)【出願人】
【識別番号】523479709
【氏名又は名称】ギーゼッケプラスデフリエント モバイル セキュリティ ジャーマニー ゲーエムベーハー
(74)【代理人】
【識別番号】100079108
【弁理士】
【氏名又は名称】稲葉 良幸
(74)【代理人】
【識別番号】100109346
【弁理士】
【氏名又は名称】大貫 敏史
(74)【代理人】
【識別番号】100117189
【弁理士】
【氏名又は名称】江口 昭彦
(74)【代理人】
【識別番号】100134120
【弁理士】
【氏名又は名称】内藤 和彦
(72)【発明者】
【氏名】ルアウ,マリアノ
(72)【発明者】
【氏名】ジフレ,クララ
(72)【発明者】
【氏名】ガルシア ファレス,アンドリュー
(72)【発明者】
【氏名】ゴメス ソル,パブロ ダニエル
【テーマコード(参考)】
5B376
【Fターム(参考)】
5B376CA48
(57)【要約】
第一の態様では、本発明は、セキュアエレメント(100)におけるインストールされたソフトウェア(60a)、特にオペレーティングシステム、OS(30a)を更新する方法に関する。この方法は、セキュアエレメント(100)に更新エージェント(10)を提供するステップS1と、インストールされたソフトウェア(30a、60a)を動作させるために必要な特定データ(35a、65a)を更新エージェント(10)のメモリ(12)内に確保するステップS3と、ソフトウェアイメージ(30b)、(60b)をセキュアエレメント(100)にロードするステップS4aであって、ソフトウェアイメージ(30b、60b)は、インストールされたソフトウェア(30a、60a)の更新を表す、ステップS4aと、ソフトウェアイメージ(30b、60b)を、確保された特定データ(35b、65b)によって動作可能にするステップとを含む。さらなる態様によれば、本発明は、本発明の他の態様に関連するそれぞれのセキュアエレメント(100)、更新エージェント(10)及びコンピュータプログラム製品に関する。
【特許請求の範囲】
【請求項1】
セキュアエレメント、SE(100)におけるインストールされたソフトウェア(60a)、特にオペレーティングシステム、OS(30a)を更新する方法であって、- 前記SE(100)に更新エージェント(10)を提供すること(S1)、
- 前記インストールされたソフトウェア(30a、60a)を動作させるために必要な特定データ(35a、65a)を前記更新エージェント(10)のメモリ(12)内に確保すること(S3)、
- ソフトウェアイメージ(30b、60b)を前記SE(100)にロードすること(S4a)であって、前記ソフトウェアイメージ(30b、60b)は、前記インストールされたソフトウェア(30a、60a)の更新を表す、ロードすること(S4a)、
- 前記ソフトウェアイメージ(30b、60b)を、前記確保された特定データ(35b、65b)によって動作可能にすること(S5)
を含む方法。
【請求項2】
前記確保するステップ(S3)において、前記インストールされたソフトウェア(30a、60a)の個人化データ、特に安全なクレデンシャル及び/又は暗号鍵を含む特定データ(35a、65a)が確保される、請求項1に記載の方法。
【請求項3】
前記インストールされたソフトウェア(30a、60a)は、前記個人化データ(35a、65a)で個人化されており、及び前記インストールされたソフトウェア(30a、60a)は、前記ソフトウェアイメージ(30b、60b)が、前記個人化データ(35b、65b)を使用して前記ソフトウェアイメージ(30b、60b)を個人化することによって動作可能にされる(S5)ことにおいて更新される(S4、S5)、請求項2に記載の方法。
【請求項4】
前記インストールされたソフトウェア(30a、60a)は、前記特定データ(35a、65a)と共に前記SE(100)のメモリ領域(55)内に記憶され、及び前記特定データ(35a、65a)は、前記SE(100)の前記メモリ領域(55)からの前記特定データ(35b、65b)を再使用し、及び/又はそれを前記更新エージェント(10)の前記メモリ(12)にコピーすることによって確保される(S3)、請求項1~3の何れか一項に記載の方法。
【請求項5】
前記インストールされたソフトウェア(60a、30a)は、前記ソフトウェアイメージ(30b、60b)をロードする(S4a)前に、又は前記ソフトウェアイメージ(30b、60b)を前記メモリ領域(55)にロードした(S4a)結果として、前記SE(100)の前記メモリ領域(55)を削除することにより、前記特定データ(35a、65a)と共に削除される(S4)、請求項4に記載の方法。
【請求項6】
前記特定データ(35a、65a)は、前記SE(100)の生産段階(I)中に確保され(S3)、及び前記ソフトウェアイメージ(30b、60b)は、前記SE(100)の前記生産段階(I)後の後続段階(II、III、IV)でロードされ(S4a)、及び動作可能にされる(S5)、請求項1~5の何れか一項に記載の方法。
【請求項7】
前記特定データ(35a、65a)は、前記特定データ(35a、65a)が前記SE(100)の生産段階(I)中に変更される場合、前記更新エージェント(10)によって確保され(S3)、前記更新エージェント(10)は、前記SE(100)が前記SE(100)の前記生産段階(I)後の後続段階(II、III、IV)に進む場合、前記特定データ(35a、65a)を確保することを停止する、請求項1~6の何れか一項に記載の方法。
【請求項8】
前記更新エージェント(10)は、前記SE(100)の生産段階(I)中に前記更新エージェント(10)を前記SE(100)にロードする(S1)ことによって提供される、請求項1~7の何れか一項に記載の方法。
【請求項9】
インストールされたソフトウェア(60a)、特にオペレーティングシステム(30a)と更新エージェントとを含むセキュアエレメント(100)であって、前記更新エージェント(10)は、前記インストールされたソフトウェア(30a、60a)を動作させるために必要な特定データ(35b、65b)が確保されるメモリ(12)を含み、及びソフトウェアイメージ(30b、60b)を、前記確保された特定データ(65b、35b)によって動作可能にするように構成され、前記ソフトウェアイメージ(30b、60b)は、前記セキュアエレメント(100)にロードされ、及び前記インストールされたソフトウェア(30a、60a)の更新を表す、セキュアエレメント(100)。
【請求項10】
前記確保された特定データ(35b、65b)は、前記インストールされたソフトウェア(30a、60a)の個人化データ、特に安全なクレデンシャル及び/又は暗号鍵を含み、及び前記インストールされたソフトウェア(30a、60a)は、前記個人化データ(35a、65a)で個人化されている一方、前記更新エージェント(10)は、前記ロードされたソフトウェアイメージ(30b、60b)が、前記確保された個人化データ(35b、65b)を使用してそれを個人化することによって動作可能にされることにおいて、前記インストールされたソフトウェア(30a、60a)を更新するように構成される、請求項9に記載のセキュアエレメント(100)。
【請求項11】
前記更新エージェント(10)の前記メモリ(12)内に確保された前記特定データ(35b、65b)は、前記インストールされたソフトウエア(30a、60a)と共に前記セキュアエレメント(100)のメモリ領域(55)内に記憶された特定データ(35a、65a)の再使用及び/又はコピーである、請求項9又は10に記載のセキュアエレメント(100)。
【請求項12】
セキュアエレメント(100)で使用するための更新エージェント(10)であって、メモリ(12)を含み、及び- 前記セキュアエレメント(100)にインストールされたソフトウェア(30a、60a)を動作させるために必要な特定データ(35a、65a)を前記セキュアエレメント(100)のメモリ領域(55)内に確保することと、
- ソフトウェアイメージ(30b、60b)を、前記確保された特定データ(35b、65b)によって動作可能にすることであって、前記ソフトウェアイメージ(30b、60b)は、前記セキュアエレメント(100)にロードされ、及び前記インストールされたソフトウェア(30a、60a)の更新を表す、動作可能にすることと
を行うように構成される更新エージェント(10)。
【請求項13】
個人化データであって、それにより、前記インストールされたソフトウェア(30a、60a)が個人化されている、個人化データ、特に安全なクレデンシャル及び/又は暗号鍵を含む特定データ(35a、65a)を確保し、及び前記確保された個人化データ(35b、65b)を使用して、前記ロードされたソフトウェアイメージ(30b、60b)を個人化することにより、前記インストールされたソフトウェア(30a、60a)を更新するように構成される一方、好ましくは、前記特定データ(35a、65a)は、前記SE(100)の生産段階(I)中に確保され、及び前記インストールされたソフトウェア(30a、60a)は、前記SE(100)の前記生産段階(I)後の後続段階(II、III、IV)で更新される、請求項12に記載の更新エージェント(10)。
【請求項14】
請求項1~8の何れか一項に記載の方法を実施するように構成され、及び/又は請求項9~11の何れか一項に記載のセキュリティエレメント(100)にインストールされ、及び前記セキュリティエレメント(100)のプロセッサ(40)によって実行されるように構成された実行可能ソフトウェア製品として実現される、請求項12~14の何れか一項に記載の更新エージェント(10)。
【請求項15】
電子デバイス内のセキュアエレメント(100)と共に使用するためのコンピュータプログラム製品であって、前記電子デバイス内の前記セキュアエレメント(100)にソフトウェアをロードするための非一時的コンピュータ可読記憶媒体及びその中に組み込まれたコンピュータプログラムメカニズムを含み、前記コンピュータプログラムメカニズムは、- 前記セキュアエレメント(100)にインストールされたソフトウェア(30a、60a)を動作させるために必要な特定データ(35a、65a)をメモリ領域(55)内に確保するための命令であって、前記特定データ(35a、65a)は、個人化データであって、それを用いて、前記インストールされたソフトウェア(30a、60a)が個人化されている、個人化データを含む、命令と、
- 前記セキュアエレメント(100)にロードされるソフトウェアイメージ(30b、60b)を受け取るための命令であって、前記ソフトウェアイメージ(30b、60b)は、前記インストールされたソフトウェア(30a、60a)の更新を表す、命令と、
- 前記ソフトウェアイメージ(30b、60b)を、前記確保された特定データ(35b、65b)によって動作可能にし、及び/又は前記ソフトウェアイメージ(30b、60b)を、前記特定のメモリ(12)に含まれる前記個人化データによって個人化するための命令と
を含む、コンピュータプログラム製品。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュアエレメントにインストールされたソフトウェアの更新、特にセキュアエレメントの個人化されたトラステッドソフトウェア、例えばオペレーティングシステムの更新に関する。
【背景技術】
【0002】
発明の背景
セキュアエレメントは、モバイルフォン、スマートカード、支払カード、アクセスカードなどの様々なシステムにおいて、本人確認、真正性証明、データ記憶及びアプリケーション処理を提供するために広く使用されている。
セキュアエレメントは、モバイルフォン、スマートカード、支払カード、アクセスカードなどの様々なシステムにおいて、本人確認、真正性証明、データ記憶及びアプリケーション処理を提供するために広く使用されている。
【0003】
例えば、支払カードの場合など、セキュリティクリティカルなアプリケーション及び機密データがスマートカードに含まれる場合、データを記憶するためにセキュアエレメントが使用される。セキュアエレメントは、耐タンパー性エレメント、TREであり、アプリケーションコード及びアプリケーションデータを安全に記憶して管理できる安全なメモリ及び実行環境を提供する。セキュアエレメントにより、カードに記憶されたデータへのアクセスが、許可された場合にのみ可能であることが確実となる。このようなセキュアエレメントは、UICC、エンベデッドSE、smartSD、smart microSD、eSTM等、何れのフォームファクタでも存在し得る。
【0004】
セキュアエレメントは、例えば、セキュリティ分野において、ファームウェア/オペレーティングシステム、パッケージ、アプレット、アプリケーション等のデータ集合を含み、これは、これらを動作させるために必要な特定データ、例えばセキュリティキーを使用して真正性が証明される個人化データ等を含む。オペレーティングシステム及びアプリケーションは、セキュアエレメント内で揮発性及び不揮発性メモリモジュールに記憶され、セキュアエレメントの安全なプロセッサ内で実行される。
【0005】
Global Platform Card Technology Open Firmware Loader for Tamper resistant Elements v1.3の仕様書は、ファームウェア(すなわちオペレーティングシステム及びアプリケーションデータを含み得るユースケース依存データ)及び個人化データをセキュアエレメントにロードするための標準化されたメカニズムを記載している。特に、セキュアエレメント内で提供されるImage Trusted Loader、ITL又は更新エージェントは、オペレーティングシステムのイメージを受け取り、そのイメージについてセキュリティチェック、特に真正性及び完全性のチェックを実行し、イメージを操作するために必要な特定データを使用してセキュアエレメントのメモリへのイメージコンテンツのインストールをトリガして、動作可能なオペレーティングシステムをセキュアエレメントにインストールさせるように構成される。
【0006】
図1は、ファームウェア(例えば、オペレーティングシステム、OS)をセキュアエレメントにロードする従来のプロセスの概略図を示す。上段は、対応する生産段階(I、II、III、IV)を担当するエンティティを示し、下段は、その特定の生産段階におけるセキュアエレメント(すなわちチップ)の内容を示す。第一の生産段階Iでは、チップ生産現場(すなわちチップ工場)において、チップメーカは、セキュアオペレーティングシステム等、トラステッドソフトウェアをロードされるセキュアエレメント100を提供する。チップ生産現場では、トラステッドソフトウェアは、クレデンシャル65aで個人化され、これらは、鍵又は証明書を含む特定データであり、個人化されると、個人化されたソフトウェアイメージ、例えば個人化されたオペレーティングシステム、OS 30aに記憶され、これは、図1で「maxiInit」と呼ばれる。トラステッドソフトウェア又はOSは、チップ生産現場の外部個人化装置からセキュアエレメントに送られる特定のコマンド、いわゆるAPDUによって個人化される。最後に、個人化されたソフトウェアは、チップにロードされる。
【0007】
その個人化されたソフトウェアを有するチップは、その後、装置メーカの現場で(e)UICC又は(e)SIM等のポータブルカード式デバイスに組み込まれるか(段階II)、又は他のデバイスメーカの現場に送られて、スマートフォン、コンピュータ、自動車、測定機器等の最終的な電子デバイスに含められ得(段階III)、最後に市場で販売される(段階IV)。チップのライフサイクルの何れかの段階において、個人化されたトラステッドソフトウェアを修正又は更新する必要が生じた場合、修正又は更新対象のインストールされたソフトウェアを個人化するために使用された個人化データは、失われるが、それでもなお、修正又は更新されたバージョン、それぞれのソフトウェアイメージは、個人化されなければならない点に留意されたい。
【発明の概要】
【発明が解決しようとする課題】
【0008】
したがって、前述の欠点を克服する、セキュアエレメントにインストールされたトラステッドソフトウェアの更新を可能にすることが依然として必要とされている。
【課題を解決するための手段】
【0009】
発明の概要
本発明は、独立請求項によって包含される主題により、上述の目的に対処する。本発明の好ましい実施形態は、従属請求項に定義される。
本発明は、独立請求項によって包含される主題により、上述の目的に対処する。本発明の好ましい実施形態は、従属請求項に定義される。
【0010】
本発明の第一の態様によれば、セキュアエレメント、SEにおけるインストールされたソフトウェア、特にオペレーティングシステム、OSを更新する方法が提供される。方法は、第一のステップにおいて、SEに更新エージェントを提供することを含む。さらなるステップでは、インストールされたソフトウェア、特にオペレーティングシステムをSE上で動作させるために必要な特定データが更新エージェントの特定のメモリ内に確保される。さらに、インストールされたソフトウェア、特にオペレーティングシステムの更新を表し、及びそれを置き換えることが意図されるソフトウェアイメージがSEにロードされる。最後のステップでは、ソフトウェアイメージは、確保された特定データによって動作可能にされ、及びインストールされたソフトウェア、特にオペレーティングシステムをその更新として置き換える。
【0011】
本願全体を通して、「ソフトウェア」という用語は、セキュアエレメントにロードされ、その中で実行されるあらゆるトラステッドソフトウェアを指す。このようなソフトウェアの例は、ファームウェア、オペレーティングシステム(OS)及び他のあらゆるユースケース依存セキュアアプリケーションを含む。「ソフトウェアイメージ」(又は「OSイメージ」)という表現は、オペレーティングシステム又はSEのエージェント、例えば本発明による更新エージェントによって使用されるソフトウェアバージョン及び暗号データを包含する包括的なデータフォーマットを指す。
【0012】
好ましくは、特定データは、インストールされたソフトウェア又はソフトウェアイメージの一体部分ではないが、それにもかかわらず、インストールされたソフトウェア(及びインストールされたソフトウェアイメージ)を動作させ、及び/又はソフトウェアイメージをセキュアエレメントにインストールして、それを実行できるようにするために必要である。すなわち、特定データがなければ、ソフトウェアイメージは、インストールされたソフトウェアの更新として動作及び/又はインストールされ得ず、それを置き換え及び/又は更新し得ない。
【0013】
本発明の本質は、更新エージェントにより、インストールされたソフトウェアに関連付けられる特定データがソフトウェアイメージを動作可能にするために再使用、すなわち「リサイクル」され、新しい特定データセットを生成するか、又は安全が証明された環境内で外部エンティティから安全に取得若しくは取り扱う必要がないことである。更新エージェント自体が、認証されたトラステッドソフトウェアであるため、これは、チップメーカの現場における安全が証明された環境の機能的置き換えとして見ることができ、なぜなら、それにより、インストールされたソフトウェアの特定データをその更新時に安全に再使用、すなわち「リサイクル」できるためである。これにより、特定データは、セキュアエレメントの安全な環境内において、信頼できるエンティティ、すなわち更新エージェントの制御下に保持され、改ざんされ得ず、したがってソフトウェアイメージの完全性が確保される。
【0014】
本発明に関して、ソフトウェアイメージを、確保された特定データによって動作可能にするという記述は、その特定データを利用して、ソフトウェアイメージが、特定データがなければ動作しないようにするあらゆるプロセスを含む。したがって、ソフトウェアイメージを動作可能にするとは、ソフトウェアイメージが特定データを使用することによってセキュアエレメントに正しく動作可能にインストールされることを意味する。すなわち、ソフトウェアイメージをインストールするプロセスの特定の時点において特定データが存在することは、それが、インストールされたソフトウェアの更新として適正に機能するための要件である。これは、ソフトウェアイメージのインストール時に特定データを使用するという要件又は好ましくはソフトウェアイメージの個人化時に特定データを使用するという要件を含み得る。
【0015】
したがって、好ましくは、特定データは、ソフトウェアイメージを個人化するために必要な個人化データ、特に安全なクレデンシャル及び/又は暗号鍵を含むか又はそれらからなる。その意味において、本発明は、安全が証明された環境内でソフトウェアイメージを個人化するという従来の要件を克服し、したがってセキュアエレメントにインストールされたソフトウェアを更新するための選択肢が広がる。換言すれば、本発明により、インストールされたソフトウェア、特にセキュアエレメントのトラステッドオペレーティングシステムをチップメーカの現場外において、いかなる安全が証明された環境とも関係なく安全に更新することが可能となる。更新エージェントは、従来、チップメーカの安全が証明された環境によって提供される必要なセキュリティレベルを提供するため、置き換えられるインストールされたソフトウェアの個人化データの再使用、すなわち「リサイクル」が可能となる。
【0016】
提案される方法は、従来のセキュリティの概念に関係なく、トラステッドソフトウェアを更新するための効率的で安全な解決策を提供する。インストールされたソフトウェアを更新するトラステッドソフトウェアイメージは、インストールされたソフトウェアが、もともと個人化されたのと同じように個人化される必要がないため、セキュアエレメントのライフサイクル中の何れかの時点でソフトウェア更新を個人化するための柔軟な解決策が提供される。インストールされたソフトウェアを適当なソフトウェアイメージによって更新するための提案された方法により、極秘の個人化データが更新エージェント内の厳格に安全な条件下にとどまり、したがって不正な変更から保護されることが確実となる。
【0017】
好ましくは、特定又は機密データ及び/又は個人化データは、更新エージェントの特定のメモリ又はメモリ構造、例えば更新エージェントのみが独占的にアクセスできる不揮発性メモリの専用の安全なセグメントに記憶される。
【0018】
本発明の幾つかの実施形態において、インストールされたソフトウェアは、特定データに含まれる個人化データで個人化されており、インストールされたソフトウェアは、特定データ及び/又は個人化データと共に、セキュアエレメントの不揮発性メモリ等、インストールされた及び/又は実行可能なソフトウェアが記憶されるSEのメモリ領域内に記憶される。
【0019】
更新エージェントは、インストールされたソフトウェアと共に記憶された特定データ及び/又は個人化データを、後の使用に備えて特定データ及び/又は個人化データを更新エージェントの特定のメモリにコピー又は複製することによって確保する。特定データ及び/又は個人化データは、更新プロセス中、例えばインストールされたソフトウェアをそれぞれの特定データ及び/又は個人化データと共に削除することによって削除されるか、又は劣化することから保護される。特定データ及び/又は個人化データが更新エージェントの特定のメモリ内に確保され、及び/又はそれにコピーされると、インストールされたソフトウェアを更新することができ、これは、そのときに初めて、インストールされたソフトウェアの更新を表すソフトウェアイメージを動作可能にできるためである。最後に、インストールされたソフトウェアは、個人化データを使用してソフトウェアイメージを個人化し、及び/又は更新エージェントの特定のメモリ内に記憶された特定データを使用してソフトウェアイメージを動作可能にすることによって更新される。
【0020】
本発明の幾つかの実施形態において、ソフトウェアイメージを、動作可能にすること及び/又は個人化することを含めてインストールする前に、インストールされたソフトウェアの全体は、すなわち、それを動作可能にするために使用された特定データ及び/又は個人化データと共にキャンセルされる。これは、セキュアエレメントの、インストールされたソフトウェアがその中にあるか又はその一部が存在する何れかのメモリ又はメモリ領域をキャンセルすることを含む。例えば、更新されるインストールされたソフトウェアがセキュアエレメントのオペレーティングシステムである場合、完全なオペレーティングシステムをキャンセルすることは、全ての個人化データ、OS固有のデータ、証明書、暗号鍵、クレデンシャルなどをキャンセルすることも含む。
【0021】
ソフトウェアイメージ又はオペレーティングシステムイメージが、キャンセルされたソフトウェアの更新を提供するためにセキュアエレメントにロードされると、更新エージェント内において、それにより安全が確保される特定データ及び/又は個人化データは、ロードされたソフトウェアイメージを動作可能にし、及び/又はそれを個人化するために必要となる。
【0022】
最初に、インストールされたソフトウェア、例えばSEのトラステッドオペレーティングシステムは、SEの第一の生産段階中に特定データによって動作可能にされるか又は個人化データによって個人化されるため、その特定データ及び/又は個人化データは、この初期生産段階中にチップメーカの現場で更新エージェントによって確保される。したがって、それ自体がトラステッドソフトウェアである更新エージェントは、SEにロードされ、同じくチップメーカの安全が証明された環境内でのSEの第一の生産段階中、そのデータ/個人化データによって動作可能にされる/個人化される。これにより、インストールされたソフトウェア、例えばトラステッドオペレーティングシステムの特定データ/個人化データをすでにこの早期の生産段階で更新エージェントによって確保することが可能となる。
【0023】
本発明の幾つかの実施形態によれば、更新エージェントは、SEのインストールされたソフトウェアの特定データ及び/又は個人データを、その特定データ及び/又は個人化データがインストールプロセス中に変更又は調整される場合にその特定のメモリ内に確保する。SEのインストールされたソフトウェアのこのサブセットは、SEのオペレーティングシステムのみを含み得、SE上にインストールされた、SEのライフサイクル中におそらく更新され得る何れのソフトウェア又はアプリケーションも含み得る。
【0024】
SEの最初の生産段階I中に更新エージェントによって特定データ及び/又は個人化データが確保された後、ソフトウェアイメージがSEの最初の生産段階よりも後の段階でSEにロードされることが好ましい。これにより、セキュアエレメント及びそのアプリケーションの電子デバイス内でのそれらの利用の柔軟性及び多用途性が増大する一方、ソフトウェアの個人化のために必要なセキュリティレベルが依然として提供され、これは、このようなソフトウェアイメージが、その後、チップメーカの安全が証明された環境外で動作可能にされ、及び/又は個人化され得るためである。
【0025】
好ましくは、特定データ及び/又は個人化データが信頼できる状態で確保されることを確実にするために、個人データ及び/又は個人化データの確保は、セキュアエレメントが最初の生産段階から製造プロセスのその後の段階に進む際に停止される。これにより、インストールされたソフトウェアの更新時、それぞれの特定データ及び/又は個人化データが改ざんされていないことが確実となる。
【0026】
本発明の第二の態様によれば、インストールされたソフトウェア、特にオペレーティングシステムを含むセキュアエレメント及び更新エージェントが提供される。更新エージェントは、インストールされたソフトウェアを動作させるために必要な特定データが確保され得るか又は確保される、特定のメモリ又はメモリ構造を含むか又はそれにアクセスすることができる。
【0027】
セキュアエレメントがチップ工場から出荷される時点において、インストールされたソフトウェアを動作させるために必要な特定データは、更新エージェントのよるその後の更新プロセスのために確保されている。
【0028】
チップ生産段階後の段階(図1で段階II、III又はIVとされる)において、ソフトウェアイメージは、ある時点でセキュアエレメントにロードされ、それによりインストールされたソフトウェアが更新される。更新エージェントは、ロードされたソフトウェアイメージを、確保された特定データを用いて動作可能にすることにより、インストールされたソフトウェアの更新を完了させるように構成される。
【0029】
好ましくは、更新エージェントのメモリ構造内に確保された特定データは、インストールされたソフトウェアの個人化データ、特にインストールされたソフトウェアがそれにより個人化されている安全なクレデンシャル及び/又は暗号鍵を含む。すなわち、更新エージェントにより、その中に確保された特定又は個人化データは、インストールされたソフトウェアの個人化に使用された個人化データの複製であるか又は少なくともそれを含む。この意味において、更新エージェントは、ロードされたソフトウェアイメージが、確保された個人化データを使用して個人化されることにおいて、インストールされたソフトウェアを更新するように構成される。
【0030】
幾つかの実施形態において、セキュアエレメントは、プロセッサと、プロセッサに連結され、及びプロセッサによって実行されるプログラムモジュールを記憶するメモリとを含む。プログラムモジュールは、セキュアエレメントによって実行される前述の動作の少なくとも幾つか、例えば本発明による更新エージェントのものに関する命令を含み得る。
【0031】
本発明の第三の態様によれば、セキュアエレメントで使用するための更新エージェントが提供される。第一及び第二の態様に関してすでに詳述したように、更新エージェントは、メモリを含み、セキュアエレメントにインストールされたソフトウェアを動作させるために必要な特定データを確保し、アップロードされたソフトウェアイメージを、インストールされたソフトウェアの更新を表す確保された特定データによって動作可能にするように構成される。更新エージェントは、好ましくは、本発明によるセキュアエレメントにインストールされ、それにより実行されて、セキュアエレメントにインストールされたソフトウェアを更新できるようにするソフトウェアとして設計される。
【0032】
上述の態様の何れかによる本発明の幾つかの実施形態において、更新エージェントは、ソフトウェアイメージのロード時、更新エージェントのメモリに記憶された認証データを使用してソフトウェアイメージの認証を行うように構成される。好ましくは、セキュアエレメント、特に更新エージェントは、ソフトウェアイメージを、そのセキュアエレメントのベンダ又はそのセキュアエレメントが組み込まれている電子デバイスのプロバイダに関連付けられ得るデジタル署名を検証することによって認証する。例えば、更新エージェントは、特定のベンダ又はデバイスに関連付けられる暗号鍵を使用して、ソフトウェアイメージの完全性を検証し得る。更新エージェントは、ソフトウェアイメージがセキュアエレメントにロードされたとき、更新エージェントのメモリに記憶された認証データを使用してソフトウェアイメージを復号することもできる。
【0033】
更新エージェントは、したがって、工場でセキュアエレメントにロードされるスタンドアロンのエンティティであり、これによりオペレーティングシステム及び/又は他のトラステッドソフトウェアイメージを、任意の時点において、セキュアエレメント又はセキュアエレメントが組み込まれているデバイスがすでに現場で展開されていてもその上にロードすることができる。したがって、更新エージェントは、ソフトウェアイメージ又はオペレーティングシステムを現場で、すなわち安全が証明された環境外で直接ロードして、セキュアエレメントにインストールされたソフトウェアを更新することを可能にする。
【0034】
本発明のまた別の態様によれば、第二の態様によるセキュアエレメントと共に、セキュアエレメントが組み込まれているか又はそれを組み込むことができる電子デバイス内で使用するためのコンピュータプログラムが提供される。コンピュータプログラム製品は、ソフトウェアイメージを電子デバイス内のセキュアエレメントにロードするための非一時的コンピュータ可読記憶媒体及びそれに組み込まれたコンピュータプログラムメカニズムを含む。コンピュータプログラムメカニズムは、セキュアエレメントにインストールされたソフトウェアを動作させるために必要な特定データをメモリ内に確保するための命令であって、特定データは、個人化データであって、それを用いて、インストールされたソフトウェアが個人化されている、個人化データを含む、命令と、セキュアエレメントにロードされるソフトウェアイメージを受け取る命令であって、ソフトウェアイメージは、インストールされたソフトウェアの更新を表す、命令と、ソフトウェアイメージを、確保された特定データによって動作可能にし、及び/又はソフトウェアイメージを、特定データに含まれる個人化データによって個人化するための命令とを含む。
【0035】
本願に記載されているデバイス、エレメント、ユニット及び手段は、全てソフトウェア若しくはハードウェアエレメント又はそれらの組合せで実装できることに留意する必要がある。本願に記載されている各種のエンティティによって実行される全ステップ及び記載されている機能は、それぞれのエンティティがそれぞれのステップ及び機能を実行するように適合又は構成されることを意味するものとする。
【0036】
本発明の他の態様、特徴及び利点は、本発明の好ましい実施形態及び変形形態に関する以下の詳細な説明を添付の図と共に読むことで当業者に明らかになるであろう。
【0037】
図面の簡単な説明
ここで、下記の添付の図を参照する。
ここで、下記の添付の図を参照する。
【図面の簡単な説明】
【0038】
【図1】セキュアエレメントの従来の生産フローの概略図を示す。
【図2a】本発明の第一の好ましい実施形態による、インストールされたソフトウェアがそれにより更新されるセキュアエレメントの構造を示す。
【図2b】本発明の第二の好ましい実施形態による、オペレーティングシステムがそれにより更新されるセキュアエレメントの構造を示す。
【図3】本発明による方法を図解するフロー図を示す。
【発明を実施するための形態】
【0039】
詳細な説明
以下では、本発明の具体的な実施例を示す添付図面を参照して本発明の詳細な説明がなされる。これらの実施形態は、当業者が本発明を実践できるように十分に詳細に説明される。本発明の各種の実施形態は、異なっていても、必ずしも相互に排他的ではないと理解されたい。例えば、本明細書において1つの実施形態に関して記載されている特定の特徴、構造又は特長は、他の実施形態でも実装され得、それも本発明の範囲から逸脱しない。加えて、開示される各実施形態の個々の要素の位置又は配置は、変更され得、それも本開示の範囲から逸脱しないと理解されたい。したがって、以下の詳細な説明は、限定的な意味で解釈されるべきではなく、本発明の範囲は、適切に解釈される付属の請求項及び請求項が有し得る均等物の全範囲によってのみ定義される。図面において、複数の図を通して同様の番号は、同じ又は類似の機能を指す。
以下では、本発明の具体的な実施例を示す添付図面を参照して本発明の詳細な説明がなされる。これらの実施形態は、当業者が本発明を実践できるように十分に詳細に説明される。本発明の各種の実施形態は、異なっていても、必ずしも相互に排他的ではないと理解されたい。例えば、本明細書において1つの実施形態に関して記載されている特定の特徴、構造又は特長は、他の実施形態でも実装され得、それも本発明の範囲から逸脱しない。加えて、開示される各実施形態の個々の要素の位置又は配置は、変更され得、それも本開示の範囲から逸脱しないと理解されたい。したがって、以下の詳細な説明は、限定的な意味で解釈されるべきではなく、本発明の範囲は、適切に解釈される付属の請求項及び請求項が有し得る均等物の全範囲によってのみ定義される。図面において、複数の図を通して同様の番号は、同じ又は類似の機能を指す。
【0040】
【0041】
図2aに示されるSE 100は、耐タンパー性エレメントであり、更新エージェント10、オペレーティングシステム、OS 30及びプロセッサ、CPU 40を含む。更新エージェント10とOS 30は、何れもSE 100内のメモリ、例えば不揮発性メモリ50に記憶され得る。OS 30と更新エージェント10は、独立したエンティティであり、これらは、適切なインタフェース、例えばアプリケーションプログラミングインタフェース、APIを通して相互に通信できる。メモリ50は、SE 100の不揮発性メモリであり、これは、メモリ領域55を含み、そこに、SE 100上にインストールされてCPU 40によって実行可能であるソフトウェアが記憶される。このようなインストールされたソフトウェアは、図2aにおいて参照番号60aで識別される、セキュアエレメントに特定の機能を提供する実行可能アプリケーション若しくはプログラムであり得るか、又はさらに図2bにおいて参照番号30aで識別されるセキュアエレメント100のオペレーティングシステムであり得、これは、本願に関して、SE 100のライフサイクル中の特定の時点で更新する必要があり得るインストールされたソフトウェアでもある。図2bのOS 35a及び図2aのOS 30の何れも、例えばJava Cardプラットフォームに基づくセキュアエレメント又はスマートカードの標準的オペレーティングシステムである。これらは、均等であり、図2a及び2b間の違いは、図2aのOS 30が図2bで本発明によるソフトウェア更新の対象であることである。図2aの個人化されたOS 30aは、図1で「maxInit」として示されている。
【0042】
更新エージェント10は、オペレーティングシステム30又はローダエンティティの機能部分であるか又はその機能として実現され得、SE 100内でのソフトウェア(例えば、ユースケース依存ファームウェア)のプロビジョニングを可能にする。このようなローダエンティティは、当技術分野でImage Trusted Loader、ITLとも呼ばれる。更新エージェントは、ソフトウェア又はソフトウェアイメージをセキュアエレメントにロードすること及びそれに関係する他のあらゆる手順、例えば更新、復元、ロールバックなどを担当する主なエンティティである。図2a及び2bにおいて、SE 100にロードされるソフトウェアイメージは、それぞれ任意のソフトウェアイメージを識別する参照番号60b及びオペレーティングシステムイメージを識別する30bで示される。更新エージェント10は、それが独立したエンティティとして実現されるか、又はオペレーティングシステム30の機能部分として実現されるかを問わず、工場での生産中にもSE 100にロードされ(図3のステップS1を参照されたい)、これは、それがSE 100のセキュリティクリティカルのエンティティを反映しているためである(図1、段階I)。
【0043】
更新エージェント10は、それ自体の留保されたメモリ空間をメモリ構造12の形態で含み得、そこに機密データ、例えば個人データ及び/又は認証データが記憶され、後者は、ソフトウェアイメージ30b、60bをその個人化の前に認証及び/又は復号するために使用さる。したがって、個人化プロセスの何れかの時点において、更新エージェント10のメモリ構造12は、個人化データ35b、65bを含み得、オペレーティングシステム30は、メモリ構造12の少なくとも一部にアクセスでき得る。
【0044】
図2aによれば、実行可能ソフトウェア60aが個人化されてSE 100にインストールされる。インストールされたソフトウェア60aは、したがって、それに関連付けられる個人化データ65a、例えば安全なクレデンシャル及び/又は暗号鍵であり、それにより、インストールされたソフトウェアは、認証され、信頼できる改ざんされていないソフトウェアであることが確実となる。インストールされたソフトウェア60a及び個人化データ65aは、SE 100のメモリ領域55に一緒に記憶される。メモリ領域55内には、インストールされたソフトウェア60a及びその個人化データ65aが絡み合せて記憶され得、これは、インストール時、ソフトウェア60aに個人化データ65aが様々な方法で備えられるか又は補足されているためである。ソフトウェア60aは、SE 100の工場での生産中に個人化されてSE 100上にインストールされ(図3のステップS2を参照されたい)、これは、個人化が、従来、SE 100のメーカの生産現場の安全が証明された環境内で行われるセキュリティクリティカルな動作であるためである。
【0045】
図2bは、インストールされたソフトウェアが実際にはSE 100のオペレーティングシステム30a自体であり、そこに個々の個人化データ35aが付属している場合に関する点で図2aと異なる。前述の理由から、オペレーティングシステム30aは、SE 100の工場での生産中に個人化されてSE 100にインストールされる(図3のステップS2を参照されたい)。
【0046】
図2a及び2bに示された状態のSE 100は、最初のチップ生産(図1の段階I)を終えて、チップメーカの安全が証明された環境外に出ている。この状況では、個人化データ65a、35aのコピー65b、35bは、更新エージェント10のメモリ構造12内に確保され、ソフトウェアイメージ60b、30bは、外部サーバ200によって提供されてセキュアエレメント100にロードされ、インストールされたソフトウェア60a、30bを更新し、置き換える。ソフトウェアイメージ60b、30bは、それぞれインストールされたソフトウェア60a又はオペレーティングシステム30aのソフトウェア更新を表す。外部サーバ200は、SE 100と通信するエンティティを表し得る。これは、LPA(ローカルプロファイルアシスタント)、端末又はSEが接続され得るあらゆるデバイスであり得る。特に、外部サーバ200は、イメージ送達サーバであるか又はそれを含み、その後の生産段階(図1の段階II、III、IV)中、カスタムインタフェースを通してソフトウェアイメージ60b又はオペレーティングシステムイメージ30bをSEに提供する。
【0047】
図3は、セキュアエレメント100におけるインストールされたソフトウェア60a(図2aを参照されたい)、例えばオペレーティングシステム、OS 30a(図2bを参照されたい)を更新する方法の主なステップのフローチャートを示す。方法のステップは、図2a及び図2bに示されるSEに関して詳細に説明される。
【0048】
本発明による方法は、以下に説明するように、特定の種類のソフトウェア又はソフトウェアイメージに限定されない。実際に、セキュアエレメント100にインストールし、それにより実行できる何れのセキュアソフトウェア又はソフトウェアイメージも、本願で開示される更新方法の対象であり得、これは、例えば、SE 100のファームウェア若しくはOS又はアプレット/アプリケーションである。
【0049】
ステップS1~S3は、SE 100の工場での生産段階中に安全が証明された環境内で実行され、それによりそのソフトウェアコンポーネント及びデータのセキュリティ及び真正性が確保される。ステップS4及びS5は、ソフトウェア更新プロセスを表し、これは、その後の段階II又はIII、さらにそれ以降にチップメーカの安全が証明された環境外で実行できる(図1を参照されたい)。
【0050】
図3に関して、最初のチップ生産段階Iで実行される第一のステップS1において、更新エージェント10がSE 100にロードされる。更新エージェント10は、工場での生産中にSE 100にロードされるSE 100のセキュリティクリティカルなエンティティを反映する。
【0051】
第二のステップS2では、ソフトウェアがSE 100にインストールされ、これは、例えば、SE 100の他のソフトウェア60a又はオペレーティングシステム30aのアプリケーションである。ソフトウェア60a又はオペレーティングシステム30aのインストール時、これらは、それぞれの個人化データ65a、35bによってそれぞれ個人化される。これは、特にセキュリティクレデンシャル及び暗号鍵を含む両方の個人化データ65a、35aと、SE 100にインストールされるソフトウェア60a又はオペレーティングシステム30aとをロードすることを含む。クレデンシャル及び鍵65a、35aを使用することにより、ロードされたソフトウェア60a又はオペレーティングシステム60aは、最後に個人化されて、実行可能なソフトウェア60a、65a又はオペレーティングシステム30a、35aがSE 100上にインストールされるようにし、これは、図1で「maxInit」として示されている。
【0052】
更新エージェント10は、それが個人化データ65a、35aをメモリ構造12にロードし、ロードされた個人化データ65a、35aを使用してソフトウェア60a又はオペレーティングシステム30aを個人化することにおいて、ステップS2を容易にするか又はさらに実行し得る。実際に、インストールされたソフトウェアは、動作可能ソフトウェア60a及びクレデンシャルを含むその特定の個人化/構成65aを含む。同様に、図2bに関して、オペレーティングシステムは、動作可能システム30a及びその特定の個人化/構成35aを含む。
【0053】
ステップS1及びS2は、逐次的に、すなわち2つ以上のロードコマンド(例えば、APDUコマンド)又は更新エージェント10がソフトウェア60a/オペレーティングシステム30a及び/又は個人化データ65a、35aと共にセキュアエレメント100にロードされる1ステップでも実行され得る。
【0054】
本発明によるチップメーカの安全が証明された環境外でのインストールされたソフトウェア60a又はオペレーティングシステム30aの更新を可能にするために、更新エージェント30は、ステップS3において、インストールされたソフトウェア60a又はオペレーティングシステム30aの特定の機密データ、例えば個人化データ65a、35aをメモリ構造12内に確保する。セキュアエレメント100にインストールされたソフトウェア60a、30aに関して、このような確保された特定データ65b、35bは、それがインストールされたソフトウェア60a又はオペレーティングシステム30a自体の一体部分ではなく、別々にロードされ、インストールされたソフトウェア60a又はオペレーティングシステム60aを動作させるために必要となることによって特徴付けられる。本発明に関して、確保された特定データ65b、35bは、SE 100にロードされた何れかのソフトウェアイメージ60b又はオペレーティングシステムイメージ30bを、インストールされたソフトウェア60a又はオペレーティングシステム60aのそれに置き換わる更新として動作可能にするか又は動作させるためにも必要である。特に、個人化データ65a、35aは、前述の意味で特定データであり、ステップS3において、更新エージェント10によって複製された個人化データ65b、35bとして確保される。
【0055】
特定及び/又は個人化データ65b、35bを確保するステップS3は、チップ生産段階I内の連続プロセスであり得、その過程において、特定及び/又は個人化データ65b、35bは、特定及び/又は個人化データ65a、35aがソフトウェア60a又はオペレーティングシステム30aのインストール中に修正される際に毎回確保される。
【0056】
個人化データ65b、35b及びセキュアエレメント100及び/又は特定のインストールされたソフトウェア60a、例えばオペレーティングシステム30aに固有の、それを動作させるために必要な他の機密データは、ステップS3で更新エージェント10によって確保され、それは、特定の種類のその後の更新時、このようなデータが、例えば、特定データ領域が更新されるか又はメモリ領域55の特定の部分が上書きされる際に失われ得るためである。
【0057】
インストールされたソフトウェア60a、例えばオペレーティングシステム30aの更新を、ソフトウェア60a、30aの個人化及びしたがって動作性を損なうことなくチップメーカの安全が証明された環境外で更新できるようにするために、このような特定データ65b、35bは、更新エージェント10内にそれにより確保されることにより、それを後で取り出して、ソフトウェアイメージ60b又はオペレーティングシステムイメージ30bを更新してインストールし、それを動作可能にできるようにする。
【0058】
本発明によれば、ステップS3は、セキュアエレメント100の生産段階中にのみ、すなわちセキュアエレメント100が依然としてチップメーカの安全が確認された環境内にある間に行われる。セキュアエレメント100が図1によるその後の生産段階II、III又はIVに進むと、確保されたデータ35b、65bは、SE 100が生産段階Iを完了したときの状態に保持される。したがって、更新エージェント10は、生産サイクルのこの時点における特定及び/又は個人化データ65b、35bを確保することを停止する。
【0059】
ステップS4及びS5は、その後の生産段階II若しくはIII又はその後(図1を参照されたい)における、インストールされたソフトウェア60a又はインストールされたオペレーティングシステム30aのソフトウェアイメージ60b又はオペレーティングシステムイメージ30bによる実際の更新を示す。
【0060】
ステップS4の一環として、ソフトウェアイメージ60b又はオペレーティングシステムイメージ30bが外部のイメージサーバ200からSE 100のメモリ領域55にロードされる(ステップS4a)。イメージアップロード前又は本質的にイメージアップロードの過程の何れかにおいて、インストールされたソフトウェア60a又はインストールされたオペレーティングシステム30aは、メモリ領域55から、それぞれ関係する又は関連付けられた特定及び個人化データ65a、35aの全てと共に完全に削除される。この削除は、ときに「フルリフラッシュ」と呼ばれ、ソフトウェア更新時に必要となり、これは、ROM更新が不可能であるためである。フルリフラッシュ時、メモリ領域55は、削除され、すなわちインストールされたソフトウェア60aの全体又はインストールされたオペレーティングシステム30aの全体がその個人化データ65a、35a、例えばプライベートクレデンシャル及び暗号鍵並びにインストールされたソフトウェア60a又はオペレーティングシステム30aを動作させるために必要なあらゆる特定データと共に削除される。
【0061】
ステップS4aでは、更新エージェント10は、更新されたソフトウェアバージョン又はオペレーティングシステムバージョンを、イメージサーバ200によって提供されたソフトウェアイメージ60b又はオペレーティングシステムイメージ30bの形態でメモリ領域55にロードする。フルリフラッシュにより、ソフトウェアイメージ60b又はオペレーティングシステムイメージ30bがSE 100のメモリ領域55にロードされると、何れの特定又は個人化データ65a、35aも利用できない。この時点において、セキュアエレメント1000は、従来、無用とされ、それは、何れのソフトウェアイメージ60b又はオペレーティングシステムイメージ30bも個人化する必要がないためであり、これは、従来、生産段階Iの安全が証明された環境外では不可能であった。
【0062】
ステップS5では、更新エージェント10は、ロードされたソフトウェアイメージ60b又はオペレーティングシステムイメージ30bを、ステップS3でメモリ構造12内にすでに確保された特定及び個人化データ65b、35bによって個人化する。特定及び個人化データ65b、35bは、ステップS4におけるフルリフラッシュの過程で削除された特定及び個人化データ65a、35aの複製を表すため、更新エージェント10は、ステップS5で確保された特定及び個人化データ65b、35bを回復する。データ回復の影響として、アップロードされたソフトウェアイメージ60b又はオペレーティングシステムイメージ30bは、確保された特定及び個人化データ65b、35bにより、例えばアップロードされたソフトウェアイメージ60b又はオペレーティングシステムイメージ30bが個人化データ65b、35bを使用して個人化されることにおいて動作可能にされる。したがって、ステップS5では、更新エージェント10は、ロードされたソフトウェア60b又はオペレーティングシステムイメージ30bを、それがSE 100にインストールされる新しい更新された動作可能なソフトウェア又はオペレーティングシステムとなるように変換する。
【0063】
このプロセスの終わりにおいて、ソフトウェアイメージ60a又はオペレーティングシステムイメージ30aは、それぞれ個人化データ65b、35bによって個人化されている。オペレーティングシステム30aをオペレーティングシステムイメージ30bによって更新する場合、個人化されたオペレーティングシステムイメージは、図1で「maxiInit」と呼ばれる。これは、それが動作可能なシステム及びクレデンシャルを含むその特定の個人化/構成を含むことを意味する。
【0064】
この更新プロセスは、SE 100のライフサイクル中に複数回繰り返される可能性があるため、インストールされたソフトウェア60a又はインストールされたオペレーティングシステム30aが更新されるたびに、更新エージェント10は、フルリフラッシュ、それに続くSE 100のチップ生産段階I中に確保された特定及び個人化データ65b、35bの回収を行う。このプロセスにより、チップ生産段階I後の段階でSE 100にアップロードされたソフトウェアイメージ60b又はオペレーティングシステムイメージ30bは、それでもなお、それがセキュアエレメント100の生産段階I中に従来の方法で個人化されるかのように、同等に安全に動作可能にし、個人化することができる。
【0065】
上述の実施形態を通して説明した方法及び装置は、チップメーカの現場の安全が証明された環境外でトラステッドソフトウェアイメージを個人化するための効率的で安全な解決策を提供する。ソフトウェアイメージは、後の段階においてチップメーカの環境外で個人化できるため、セキュアエレメントのライフサイクル中の何れの時点でもソフトウェアを個人化できる柔軟な解決策が提供される。
【0066】
上記の本明細書において、本発明は、その特定の実施形態に関して説明されている。しかしながら、本発明のより広い範囲から逸脱することなく、それらに対する様々な修正形態及び変更形態がなされることが明らかであろう。例えば、前述のプロセスフローは、プロセス動作の特定の順序に関して説明されている。しかしながら、説明されたプロセス動作の多くの順序は、本発明の範囲又は動作に影響を与えずに変更され得る。本明細書及び図面は、したがって、限定的な意味ではなく、例示としてみなされる。
【図1】
【図2a】
【図2b】
【図3】
【手続補正書】
【提出日】2024-02-09
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
セキュアエレメント、SE(100)におけるインストールされたソフトウェア(60a)、特にオペレーティングシステム、OS(30a)を更新する方法であって、- 前記SE(100)に更新エージェント(10)を提供すること(S1)、
- 前記インストールされたソフトウェア(30a、60a)を動作させるために必要な特定データ(35a、65a)を前記更新エージェント(10)のメモリ(12)内に確保すること(S3)、
- ソフトウェアイメージ(30b、60b)を前記SE(100)にロードすること(S4a)であって、前記ソフトウェアイメージ(30b、60b)は、前記インストールされたソフトウェア(30a、60a)の更新を表す、ロードすること(S4a)、
- 前記ソフトウェアイメージ(30b、60b)を、前記確保された特定データ(35b、65b)によって動作可能にすること(S5)
を含む方法。
【請求項2】
前記確保するステップ(S3)において、前記インストールされたソフトウェア(30a、60a)の個人化データ、特に安全なクレデンシャル及び/又は暗号鍵を含む特定データ(35a、65a)が確保される、請求項1に記載の方法。
【請求項3】
前記インストールされたソフトウェア(30a、60a)は、前記個人化データ(35a、65a)で個人化されており、及び前記インストールされたソフトウェア(30a、60a)は、前記ソフトウェアイメージ(30b、60b)が、前記個人化データ(35b、65b)を使用して前記ソフトウェアイメージ(30b、60b)を個人化することによって動作可能にされる(S5)ことにおいて更新される(S4、S5)、請求項2に記載の方法。
【請求項4】
前記インストールされたソフトウェア(30a、60a)は、前記特定データ(35a、65a)と共に前記SE(100)のメモリ領域(55)内に記憶され、及び前記特定データ(35a、65a)は、前記SE(100)の前記メモリ領域(55)からの前記特定データ(35b、65b)を再使用し、及び/又はそれを前記更新エージェント(10)の前記メモリ(12)にコピーすることによって確保される(S3)、請求項1~3の何れか一項に記載の方法。
【請求項5】
前記インストールされたソフトウェア(60a、30a)は、前記ソフトウェアイメージ(30b、60b)をロードする(S4a)前に、又は前記ソフトウェアイメージ(30b、60b)を前記メモリ領域(55)にロードした(S4a)結果として、前記SE(100)の前記メモリ領域(55)を削除することにより、前記特定データ(35a、65a)と共に削除される(S4)、請求項4に記載の方法。
【請求項6】
前記特定データ(35a、65a)は、前記SE(100)の生産段階(I)中に確保され(S3)、及び前記ソフトウェアイメージ(30b、60b)は、前記SE(100)の前記生産段階(I)後の後続段階(II、III、IV)でロードされ(S4a)、及び動作可能にされる(S5)、請求項1に記載の方法。
【請求項7】
前記特定データ(35a、65a)は、前記特定データ(35a、65a)が前記SE(100)の生産段階(I)中に変更される場合、前記更新エージェント(10)によって確保され(S3)、前記更新エージェント(10)は、前記SE(100)が前記SE(100)の前記生産段階(I)後の後続段階(II、III、IV)に進む場合、前記特定データ(35a、65a)を確保することを停止する、請求項1に記載の方法。
【請求項8】
前記更新エージェント(10)は、前記SE(100)の生産段階(I)中に前記更新エージェント(10)を前記SE(100)にロードする(S1)ことによって提供される、請求項1に記載の方法。
【請求項9】
インストールされたソフトウェア(60a)、特にオペレーティングシステム(30a)と更新エージェントとを含むセキュアエレメント(100)であって、前記更新エージェント(10)は、前記インストールされたソフトウェア(30a、60a)を動作させるために必要な特定データ(35b、65b)が確保されるメモリ(12)を含み、及びソフトウェアイメージ(30b、60b)を、前記確保された特定データ(65b、35b)によって動作可能にするように構成され、前記ソフトウェアイメージ(30b、60b)は、前記セキュアエレメント(100)にロードされ、及び前記インストールされたソフトウェア(30a、60a)の更新を表す、セキュアエレメント(100)。
【請求項10】
前記確保された特定データ(35b、65b)は、前記インストールされたソフトウェア(30a、60a)の個人化データ、特に安全なクレデンシャル及び/又は暗号鍵を含み、及び前記インストールされたソフトウェア(30a、60a)は、前記個人化データ(35a、65a)で個人化されている一方、前記更新エージェント(10)は、前記ロードされたソフトウェアイメージ(30b、60b)が、前記確保された個人化データ(35b、65b)を使用してそれを個人化することによって動作可能にされることにおいて、前記インストールされたソフトウェア(30a、60a)を更新するように構成される、請求項9に記載のセキュアエレメント(100)。
【請求項11】
前記更新エージェント(10)の前記メモリ(12)内に確保された前記特定データ(35b、65b)は、前記インストールされたソフトウエア(30a、60a)と共に前記セキュアエレメント(100)のメモリ領域(55)内に記憶された特定データ(35a、65a)の再使用及び/又はコピーである、請求項9又は10に記載のセキュアエレメント(100)。
【請求項12】
セキュアエレメント(100)で使用するための更新エージェント(10)であって、メモリ(12)を含み、及び- 前記セキュアエレメント(100)にインストールされたソフトウェア(30a、60a)を動作させるために必要な特定データ(35a、65a)を前記セキュアエレメント(100)のメモリ領域(55)内に確保することと、
- ソフトウェアイメージ(30b、60b)を、前記確保された特定データ(35b、65b)によって動作可能にすることであって、前記ソフトウェアイメージ(30b、60b)は、前記セキュアエレメント(100)にロードされ、及び前記インストールされたソフトウェア(30a、60a)の更新を表す、動作可能にすることと
を行うように構成される更新エージェント(10)。
【請求項13】
個人化データであって、それにより、前記インストールされたソフトウェア(30a、60a)が個人化されている、個人化データ、特に安全なクレデンシャル及び/又は暗号鍵を含む特定データ(35a、65a)を確保し、及び前記確保された個人化データ(35b、65b)を使用して、前記ロードされたソフトウェアイメージ(30b、60b)を個人化することにより、前記インストールされたソフトウェア(30a、60a)を更新するように構成される一方、好ましくは、前記特定データ(35a、65a)は、前記SE(100)の生産段階(I)中に確保され、及び前記インストールされたソフトウェア(30a、60a)は、前記SE(100)の前記生産段階(I)後の後続段階(II、III、IV)で更新される、請求項12に記載の更新エージェント(10)。
【請求項14】
請求項1に記載の方法を実施するように構成され、及び/又は請求項9に記載のセキュアエレメント(100)にインストールされ、及び前記セキュアエレメント(100)のプロセッサ(40)によって実行されるように構成された実行可能ソフトウェア製品として実現される、請求項12~13の何れか一項に記載の更新エージェント(10)。
【請求項15】
電子デバイス内のセキュアエレメント(100)と共に使用するためのコンピュータプログラム製品であって、前記電子デバイス内の前記セキュアエレメント(100)にソフトウェアをロードするための非一時的コンピュータ可読記憶媒体及びその中に組み込まれたコンピュータプログラムメカニズムを含み、前記コンピュータプログラムメカニズムは、- 前記セキュアエレメント(100)にインストールされたソフトウェア(30a、60a)を動作させるために必要な特定データ(35a、65a)をメモリ領域(55)内に確保するための命令であって、前記特定データ(35a、65a)は、個人化データであって、それを用いて、前記インストールされたソフトウェア(30a、60a)が個人化されている、個人化データを含む、命令と、
- 前記セキュアエレメント(100)にロードされるソフトウェアイメージ(30b、60b)を受け取るための命令であって、前記ソフトウェアイメージ(30b、60b)は、前記インストールされたソフトウェア(30a、60a)の更新を表す、命令と、
- 前記ソフトウェアイメージ(30b、60b)を、前記確保された特定データ(35b、65b)によって動作可能にし、及び/又は前記ソフトウェアイメージ(30b、60b)を、前記特定のメモリ(12)に含まれる前記個人化データによって個人化するための命令と
を含む、コンピュータプログラム製品。
【国際調査報告】