BESTEHENDEN APPLIKATION IN EIN AUS MEHREREN KOMPONENTEN BESTEHENDEN GERÄTES

Die Erfindung betrifft ein Verfahren zum Laden einer Applikationseinheit in ein Gerät, wobei das Gerät mehrere Geräte-Komponenten umfasst und die Applikationseinheit zwei oder mehr Applikations-Komponenten umfasst, wobei jeweils eine Applikations-Komponente für eine Geräte-Komponente bestimmt ist.

Geräte wie Mobilstationen umfassen mehrere Geräte-Komponenten. Eine Mobilstation umfasst ein mobiles Endgerät, z.B. Mobil telefon oder Smart- phone, und ein Sicherheitselement oder Secure Element, z.B. SIM/USIM- Karte, UICC oder embedded UICC (eUICC). Manche Applikationen einer Mobilstation laufen auf die Geräte-Komponenten verteilt. Zusätzlich haben einige mobile Endgeräte eine zweigeteilte Laufzeitarchitektur (zum Teil auch ARM- Architektur genannt, nach einem Anbieter einer solchen Architektur), die eine normale Laufzeitumgebung unter einem gängigen Normalbetriebssystem und zusätzlich eine gesicherte oder sichere Lauf zeitumgebung unter einem Sicherheitsbetriebssystem umfasst. Hierbei umfasst die Mobilstation also bereits drei getrennte Geräte-Komponenten, nämlich Sicherheitsele- ment, normale Laufzeitumgebung und sichere Lauf zeitumgebung.

Damit die verteilte Applikation funktionsfähig ist, ist es notwendig, dass die Applikations-Komponenten der einzelnen Geräte-Komponenten aufeinander abgestimmt und vollständig sind.

Wird eine verteilte Applikation, die mehrere Applikations-Komponenten für mehrere Geräte-Komponenten der Mobilstation umfasst, neu in die Mobilstation geladen, muss jede Applikations-Komponente in die richtige Geräte- Komponente geladen werden. Wird eine in der Mobilstation bereits vorhan- dene verteilte Applikation durch Änderungsdaten geändert, z.B. aktualisiert oder personalisiert, müssen die Änderungsdaten (z.B. Aktualisierungen oder Personalisierungsdaten) den richtigen bereits vorhandenen Applikations- Komponenten zugeführt werden.

Herkömmlicherweise werden die Applikations-Komponenten von verteilten Applikationen oder Änderungsdaten zu verteilten Applikationen durch unterschiedliche Server über die Luftschnittstelle, d.h. OTA („over-the-air") einzeln in die Geräte-Komponenten geladen, wie beispielhaft in Fig. 2 gezeigt ist. Um Applikationen oder Änderungen zu Applikationen OTA in eine gesicherte Laufzeitumgebung zu laden, wird beispielsweise ein Trusted Ser- vice Manger TSM verwendet. Um Applikationen oder Änderungen dazu in eine normale Laufzeitumgebung zu laden, wird beispielsweise ein OTA Server verwendet. Um Applikationen oder Änderungen dazu in ein Sicherheitselement (z.B. SIM-Karte etc.) eines Geräts zu laden, wird beispielsweise ein SIM OTA Server verwendet.

Auf Grund des Ladens durch mehrere unabhängige Server besteht die Gefahr, dass zusammengehörige Applikations-Komponenten fälschlicherweise in Geräte-Komponenten unterschiedlicher Geräte geladen werden. Hierdurch kann die verteilte Applikation insgesamt unvollständig werden, weil Applikations-Komponenten fehlen, oder inkonsistent, weil falsche Applikations-Komponenten empfangen wurden. In jedem der beiden Fälle ist die verteilte Funktion in der Regel nicht funktionsfähig.

Der Erfindung liegt die Aufgabe zu Grunde, ein Verfahren zu schaffen, das es ermöglicht, eine auf mehrere Komponenten eines Geräts verteilte Applikation oder Änderungen (z.B. Aktualisierungen oder Personalisierungsdaten) zu einer verteilten Applikation zuverlässig, vollständig und konsistent in das Gerät zu laden. Die Aufgabe wird gelöst durch ein Verfahren nach Anspruch 1.

Das Verfahren nach Anspruch 1 ist zum Laden einer Applikationseinheit in ein Gerät vorgesehen, das mehrere Geräte-Komponenten umfasst. Die Ap- plikationseinheit umfasst zwei oder mehr Applikations-Komponenten, wobei jeweils eine Applikations-Komponente für eine Geräte-Komponenten bestimmt ist. Die Applikationseinheit umfasst Applikations-Komponenten zu allen oder manchen (zumindest zwei) Geräte-Komponenten des Geräts. Das Verfahren zeichnet sich dadurch aus, dass die Applikationseinheit, um- fassend die Applikations-Komponenten, in eine ausgewählte Geräte- Komponente von den Geräte-Komponenten geladen wird und, ausgehend von der ausgewählten Geräte-Komponente, jede Applikations-Komponente in diejenige Geräte-Komponente geladen wird, für die die Applikations- Komponente bestimmt ist.

Die Applikationseinheit wird somit zunächst als Ganzes in das Gerät geladen. Die Applikations-Komponente der ausgewählten Geräte-Komponente ist bereits in die richtige Geräte-Komponente geladen. Die ein oder mehreren anderen Applikations-Komponenten werden von der ausgewählten Geräte- Komponente aus in die richtigen ein oder mehreren anderen Geräte- Komponenten geladen. Hierdurch ist sichergestellt, dass alle erforderlichen Applikations-Komponenten in ein- und dasselbe Gerät geladen werden. Ein unvollständiges Laden einer verteilten Applikation wird vermieden. Andererseits ist sichergestellt, dass alle geladenen Applikations-Komponenten zur selben übergeordneten Applikationseinheit gehören. Somit wird ein inkonsistentes Laden einer verteilten Applikation (Laden von Applikations- Komponenten, die nicht zum selben Gerät gehören) vermieden. Erst im Gerät selbst werden die Applikations-Komponenten für die einzelnen Geräte- Komponenten voneinander getrennt und verteilt. Daher ist gemäß Anspruch 1 ein Verfahren geschaffen, das es ermöglicht, eine auf mehrere Komponenten eines Geräts verteilte Applikation oder Änderungen zu einer verteilten Applikation zuverlässig, vollständig und kon- sistent in das Gerät zu laden.

Wahlweise ist als Gerät eine Mobilstation vorgesehen, die ein mobiles Endgerät und ein im Endgerät betreibbares Sicherheitselement umfasst, wobei als Geräte-Komponenten zumindest das Sicherheitselement und das mobile Endgerät vorgesehen sind.

Wahlweise sind in dem mobilen Endgerät eine normale Laufzeitumgebung unter Verwaltung eines Normalbetriebssystems und eine sichere Laufzeitumgebung unter Verwaltung eines Sicherheitsbetriebssystems implemen- tiert, und wobei als die Geräte-Komponente, die durch das Endgerät gebildet ist, zumindest die normale Laufzeitumgebung und die gesicherte Lauf zeit- umgebung vorgesehen sind. Insgesamt umfasst das Gerät also die drei Geräte-Komponenten Sicherheitselement, normale Laufzeitumgebung und sichere Laufzeitumgebung.

Wahlweise ist als ausgewählte Geräte-Komponente eine Geräte-Komponente mit einem hohen Sicherheitsniveau vorgesehen, z.B. das Sicherheitselement oder die gesicherte Laufzeitumgebung. Hierdurch wird die Aufteilung der Applikationseinheit in Applikations-Komponenten in einer sicheren Umge- bung, unter Verwaltung einer Sicherheitsinstanz, durchgeführt. Applikations-Komponenten, die für eine Geräte-Komponente mit hohem Sicherheitsniveau bestimmt sind, werden durchgängig in einer Umgebung mit hohem Sicherheitsniveau behandelt. Die Aufteilung der Applikationseinheit in einer unsicheren Geräte-Komponente (z.B. in der normalen Laufzeitumgebung) könnte hingegen Angriffsmöglichkeiten auf Applikations-Komponenten für sichere Geräte-Komponenten (z.B. Sicherheitselement oder sichere Laufzeit- umgebung) bieten. Gemäß einer Ausführungsform wird eine Applikationseinheit für ein Endgerät mit einem Sicherheitselement zunächst als Ganzes in das Sicherheitselement geladen. Die Applikationseinheit umfasst eine Applikations- Komponente für das Endgerät und eine Applikations-Komponente für das Sicherheitselement. Die Applikations-Komponente für das Sicherheitsele- ment ist bereits in der richtigen Geräte-Komponente. Die Applikations- Komponente für das Endgerät wird aus der Applikationseinheit extrahiert und vom Sicherheitselement aus in das Endgerät geladen.

Gemäß weiteren Ausführungsformen wird eine Applikationseinheit für ein Endgerät mit einer normalen Laufzeitumgebung, einer sicheren Laufzeitumgebung und einem Sicherheitselement zunächst als Ganzes in die sichere Laufzeitumgebung (alternativ in das Sicherheitselement) geladen. Die Applikationseinheit umfasst je eine Applikations-Komponente für die normale Laufzeitumgebung, die sichere Laufzeitumgebung und das Sicherheitsele- ment. Die Applikations-Komponente für die sichere Laufzeitumgebung (alternativ für das Sicherheitselement) ist bereits in der richtigen Geräte- Komponente. Die Applikations-Komponenten für das Sicherheitselement und für die normale Laufzeitumgebung (alternativ für die sichere Laufzeitumgebung und die normale Laufzeitumgebung) werden aus der Applikati- onseinheit extrahiert und von der sicheren Laufzeitumgebung aus (alternativ vom Sicherheitselement aus) in das Sicherheitselement bzw. die normale Laufzeitumgebung (alternativ in die sichere Laufzeitumgebung bzw. die normale Laufzeitumgebung) geladen. Wahlweise ist als Applikationseinheit eine neu in das Gerät zu ladende Applikation vorgesehen. Die Applikation wird in das Gerät geladen, im Gerät (in der ausgewählten Geräte-Komponente) in Applikations-Komponenten aufgeteilt, und jede Applikations-Komponente wird in der zugehörigen Ge- räte-Komponente implementiert.

Wahlweise ist als Applikationseinheit eine Applikationsänderung zu einer bereits in dem Gerät vorhandenen Applikation vorgesehen. Wahlweise sind als Applikationsänderung Aktualisierungsdaten zur Aktualisierung der vorhandenen Applikation oder/ und Personalisierungsdaten zur Personalisierung der vorhandenen Applikation vorgesehen.

Wahlweise wird im Anschluss an das Laden der Applikationsänderung die vorhandene Applikation gemäß der Applikationsänderung geändert, also z.B. aktualisiert oder personalisiert. Dabei werden mit den geladenen, die Applikationsänderungen beinhaltenden Applikations-Komponenten, die bereits vorhandenen, durch die Applikationsänderungen zu ändernden Applikations-Komponenten geändert. Der Vorgang des Aktualisierens oder Personalisierens der einzelnen Komponenten der bereits vorhandenen Applikation (d.h. der bereits vorhandenen Applikations-Komponenten) mit den neu geladenen Daten (mit den neu geladenen Applikations-Komponenten, durch welche die Änderungen gebildet sind) an sich kann auf beliebige bekannte Weise erfolgen.

Wahlweise wird bei dem Verfahren zusätzlich ein Funktionalitätstest durchgeführt, bei welchem:

- die geladenen Applikations-Komponenten bzw. mit den geladenen Applikations-Komponenten geänderten vorhandenen Applikations-Komponenten in Betrieb gesetzt werden,

- überprüft wird, ob die Applikations-Komponenten bestimmungsgemäß zusammenarbeiten, so dass die gesamte, ggf. geänderte, Applikationseinheit in Betrieb gesetzt wird, und

- falls die Applikations-Komponenten bestimmungsgemäß zusammenarbeiten, das Laden der Applikationseinheit als abgeschlossen festgelegt wird, und,

- falls die Applikations-Komponenten nicht bestimmungsgemäß zusammenarbeiten, eine Fehlerbehandlungsmaßnahme ergriffen wird.

Als Fehlerbehandlungsmaßnahme kann beispielsweise ein nochmaliges Laden der Applikationseinheit vorgesehen sein. Alternativ oder zusätzlich kann ein nochmaliges Implementieren einer neu geladenen Applikation vorgesehen sein, oder ein nochmaligen Aktualisieren oder Personalisieren einer bereits vorhandenen Applikation mit den neu geladenen Änderungsdaten (z.B. Aktualisierungsdaten oder Personalisierungsdaten), oder beides.

Im Folgenden wird die Erfindung an Hand von Ausführungsbeispielen und unter Bezugnahme auf die Zeichnung näher erläutert, in der zeigen:

Fig. 1 eine schematische Darstellung einer Mobilstation, die ein Endgerät mit einer normalen Laufzeitumgebung und einer sicheren Laufzeitumgebung sowie ein Sicherheitselement umfasst;

Fig. 2 ein schematisches Flussdiagramm zum herkömmlichen Laden von

Personalisierungsdaten für eine verteilte Applikation in die Mobilstation aus Fig. 1;

Fig. 3 ein schematisches Flussdiagramm zum Laden von Personalisierungsdaten für eine verteilte Applikation in die Mobilstation aus Fig. 1, gemäß einer Ausführungsform der Erfindung; ein Flussdiagramm zum Gesamtablauf der Personalisierung einer verteilten Applikation in der Mobilstation aus Fig. 1, gemäß einer Ausführungsform der Erfindung. Fig. 1 zeigt eine schematische Darstellung einer typischen Mobilstation MS, die ein Endgerät ME mit einer normalen Laufzeitumgebung REE (Rieh Exe- cution Environment) und einer sicheren Laufzeitumgebung TEE (Trusted Execution Environment) sowie ein Sicherheitselement SE umfasst. Das Sicherheitselement SE ist als entfernbare SIM/USIM-Karte gestaltet, und kann alternativ festimplementiert sein, z.B. als eUICC. Die normale Laufzeitumgebung REE wird durch ein beliebiges für Mobiltelefone und Smartphones übliches Normalbetriebssystem gesteuert. Die sichere Laufzeitumgebung TEE wird durch ein Sicherheitsbetriebssystem gesteuert. In der normalen Laufzeitumgebung REE und in der sicheren Laufzeitumgebung TEE sind Applikationen implementiert. Im Sicherheitselement SE sind Applikationen in Gestalt von Applets implementiert. Manche Applikationen sind über die Mobilstation MS verteilt implementiert, so dass jeweils eine Applikations- Komponente der Applikation im Sicherheitselement SE, in der normalen Laufzeitumgebung REE und in der sicheren Lauf zeitumgebung TEE imple- mentiert ist. Ist die verteilte Applikation in Betrieb, arbeiten die Applikations-Komponenten im Sicherheitselement SE, in der normalen Lauf zeitumgebung REE und in der sicheren Laufzeitumgebung TEE zusammen, so dass insgesamt die verteilte Applikation läuft und funktioniert. Falls die verteilte Applikation geändert werden muss, z.B. aktualisiert oder personalisiert, müssen die von den Änderungen betroffenen Applikations-Komponenten im Sicherheitselement SE, in der normalen Laufzeitumgebung REE und in der sicheren Laufzeitumgebung TEE gleichermaßen geändert werden. Fig. 2 zeigt ein schematisches Flussdiagramm zum herkömmlichen Laden von Personalisierungsdaten für eine verteilte Applikation APP in die Mobilstation MS aus Fig. 1. Die Applikation APP ist auf sichere Laufzeitumgebung TEE, normale Lauf zeitumgebung REE und Sicherheitselement SE verteilt und umfasst eine Komponente APP TEE in der gesicherten Laufzeitumgebung TEE, eine Komponente APP REE in der normalen Laufzeitumgebung REE und eine Komponente APP SE im Sicherheitselement SE. Bei einem Inhalteserver werden Personalisierungsdaten APP-Perso für die verteilte Applikation APP erzeugt und in individuelle Personalisierungsdaten Perso TEE, Perso REE und Perso SE für die Geräte-Komponenten TEE, REE bzw. SE aufgeteilt. Jeder der Sätze von individuellen Personalisierungsdaten Perso TEE, Perso REE und Perso SE wird an einen eigenen OTA Server TEE Server TSM, REE Server bzw. SE OTA Server gesendet, der zur Datenpflege der jeweiligen Geräte-Komponente TEE, REE bzw. SE eingerichtet ist. Der TEE TSM Server erzeugt aus den Personalisierungsdaten für das TEE, Perso TEE, ein versandfähiges, durch die Mobilstation MS empfangbares Datenpaket, einen sogenannten OTA Job, genauer einen durch die gesicherte Lauf zeitumgebung empfangbaren TEE OTA Job, und sendet den TEE OTA Job an eine vom TEE TSM verwaltete gesicherte Laufzeitumgebung TEE. Der REE Server erzeugt analog aus den Personalisierungsdaten Perso REE einen REE OTA Job und sendet ihn an eine vom REE Server verwaltete normale Laufzeitumgebung REE. Der SE OTA Server erzeugt auf analoge Weise aus den Personalisierungsdaten Perso SE einen SE OTA Job (durch SE empfangbares Datenpaket) und sendet ihn an ein vom SE OTA Server verwaltetes Sicher- heitselement SE. Falls alle drei OTA Server ihre OTA Jobs, und damit die individuellen Personalisierungsdaten, an dieselbe Mobilstation MS senden, sind die Grundvoraussetzungen für eine erfolgreiche Personalisierung der Applikation APP geschaffen. Fig. 3 zeigt ein schematisches Flussdiagramm zum Laden von Personalisierungsdaten APP-Perso für eine verteilte Applikation APP in die Mobilstation MS aus Fig. 1, gemäß einer Ausführungsform der Erfindung. Bei einem Inhalteserver werden Personalisierungsdaten APP-Perso für die verteilte Ap- plikation APP erzeugt und an einen zentralen OTA Server bereitgestellt. Personalisierungsdaten APP-Perso umfassen individuelle Personalisierungsdaten Perso TEE, Perso REE und Perso SE für die sichere Laufzeitumgebung TEE, die normale Laufzeitumgebung REE und das Sicherheitselement SE. Der OTA Server erzeugt aus den gebündelten Personalisierungsdaten APP- Perso (umfassend Perso TEE, Perso REE, Perso SE) einen einzigen OTA Job und sendet ihn an die Mobilstation MS. Der OTA Job ist auf diejenige Geräte-Komponente abgestimmt, die dazu ausgewählt ist, den OTA Job zu empfangen und aufzuteilen, beispielsweise das Sicherheitselement SE oder die sichere Laufzeitumgebung TEE. Die ausgewählte Geräte-Komponente wirkt in der Mobilstation MS als Gateway, d.h. als Verteilerstation, für die Personalisierungsdaten APP-Perso. Das Gateway teilt die Personalisierungsdaten APP-Perso in individuelle Personalisierungsdaten auf und leitet die individuellen Personalisierungsdaten Perso TEE, Perso REE bzw. Perso SE an die Geräte-Komponenten gesicherte Laufzeitumgebung TEE, normale Lauf zeit- Umgebung REE bzw. Sicherheitselement SE weiter. Die weitere Personalisierung der Applikations-Komponenten APP TEE, APP REE und APP SE mit den individuellen Personalisierungsdaten Perso TEE, Perso REE bzw. Perso SE wird beispielsweise auf herkömmliche Weise durchgeführt. Ein Vergleich der erfindungsgemäßen Personalisierung nach Fig. 3 mit der herkömmlichen Personalisierung aus Fig. 2 zeigt, dass bei der erfindungsgemäßen Personalisierung nur ein einziger OTA Server erforderlich ist. Herkömmlicherweise werden dagegen so viele OTA Server benötigt wie die Mobilstation Geräte-Komponenten hat (in Fig. 2 somit drei OTA Server). Gemäß Fig. 3 werden die Personalisierungsdaten in einem einzigen OTA Job gesendet. Falls es zweckmäßig ist, kann der einzige OTA Server auch mehrere OTA Jobs (nacheinander) senden. Fig. 4 zeigt ein Flussdiagramm zum Gesamtablauf der Personalisierung einer verteilten Applikation APP in der Mobilstation MS aus Fig. 1, gemäß einer Ausführungsform der Erfindung. Aus Personalisierungsdaten APP-Perso für eine verteilte Applikation APP werden individuelle Personalisierungsdaten Perso TEE, Perso REE, Perso SE für alle betroffenen Geräte-Komponenten TEE, REE, SE abgeleitet und zu einem einzigen Personalisierungs-OTA-Job gefügt. Der OTA Job wird an die Mobilstation MS gesendet, genauer an eine Geräte-Komponente mit hohem Sicherheitsniveau, die die Funktion einer Sicherheitsinstanz in der Mobilstation MS hat, beispielsweise das Sicherheitselement SE oder die sichere Laufzeitumgebung TEE. Die Sicherheitsinstanz (SE oder TEE) prüft, ob der OTA Job vollständig empfangen worden ist. Falls nein, beantragt die Sicherheitsinstanz beim OTA Server ein nochmaliges Senden des OTA Jobs. Falls ja, extrahiert die Sicherheitsinstanz aus dem Personalisierungs-OTA-Job die individuellen Personalisierungsdaten Perso TEE, Perso REE, Perso SE und verteilt sie auf die Geräte-Komponenten TEE, REE, SE der Mobilstation MS. Die Applikations-Komponenten APP TEE, APP REE, APP SE werden mit den individuellen Personalisierungsdaten Perso TEE, Perso REE, Perso SE personalisiert. Anschließend wird durch Sicherheitsinstanz/Gateway ein Funktionalitätstest durchgeführt, um zu verifizieren, dass die personalisierten Applikations-Komponenten auch nach der Personalisierung noch zusammenarbeiten. Falls ja, ist die Personalisierung der verteilten Applikation erfolgreich abgeschlossen. Falls nein, wird die Personalisierung wiederholt, oder das Laden der Personalisierungsdaten wird wiederholt, und nachfolgend die Personalisierung. In Fig. 2-4 wurde die Personalisierung einer in der Mobilstation MS vorhandenen verteilten Applikation APP dargelegt. Auf analoge Weise werden andere Änderungen einer vorhandenen verteilten Applikation durchgeführt, z.B. Aktualisierungen einer vorhandenen verteilten Applikation, sowie das neue Laden einer noch nicht vorhandenen verteilten Applikation in die Mobilstation MS.