-
Gebiet der Erfindung
-
Die Erfindung betrifft die Kommunikation über Mobilfunknetze im Allgemeinen und insbesondere Verfahren und Vorrichtungen zum Verwalten von Subskriptionsprofilen zum Einbuchen in ein Mobilfunknetzwerk, wobei die Subskriptionsprofile auf einem mobilen Endgerät, und zwar vorzugsweise auf einem Sicherheitselement eines mobilen Endgeräts hinterlegt sind.
-
Hintergrund der Erfindung
-
Die Nutzung von Mobilfunkdiensten in einem mobilen Endgerät, beispielsweise einem Mobiltelefon, über ein Mobilfunknetzwerk (auch als PLMN [Public Land Mobile Network] bezeichnet), das von einem Netzbetreiber (auch als MNO [Mobile Network Operator] bezeichnet) betrieben wird, erfordert in der Regel, dass das mobile Endgerät mit einem Sicherheitselement zum sicheren Speichern von Daten ausgestattet ist, die das mobile Endgerät und/oder dessen Benutzer gegenüber dem Mobilfunknetzwerk eindeutig identifizieren und authentisieren. Derartige Daten zum Identifizieren und Authentisieren des mobilen Endgeräts, die auch als Subskriptionsberechtigungsdaten (”Subscription Credentials”) bezeichnet werden, einschließlich beispielsweise einer IMSI (International Mobile Subscriber Identity) und eines Authentisierungsschlüssels Ki, sind in der Regel Teil eines sogenannten Subskriptionsprofils, das neben den Subskriptionsberechtigungsdaten weitere Daten und/oder ausführbaren Programmcode enthalten kann, der beispielsweise einen MNO-spezifischen Authentisierungsalgorithmus implementiert.
-
Bei Sicherheitselementen für Endgeräte in Form von Mobiltelefonen, wie ein SIM (”Subscriber Identity Module”) oder eine eUICC (”embedded Universal Integrated Circuit Card”), ist es bekannt, mehrere Subskriptionsprofile auf einem solchen Sicherheitselement vorzusehen, zwischen denen der Benutzer je nach Bedarf umschalten kann. In der Regel kann dabei jedoch immer nur ein Subskriptionsprofil zu einem bestimmten Zeitpunkt aktiv sein, um über ein entsprechendes Mobilfunknetzwerk zu kommunizieren.
-
Es besteht ein Bedarf nach verbesserten Verfahren und Vorrichtungen zum Verwalten einer Vielzahl von Subskriptionsprofilen auf einem mobilen Endgerät, vorzugsweise einem Mobiltelefon, zum Einbuchen in ein jeweiliges Mobilfunknetz.
-
Zusammenfassung der Erfindung
-
Die vorstehende Aufgabe wird gemäß der vorliegenden Erfindung durch den jeweiligen Gegenstand der unabhängigen Ansprüche gelöst. Bevorzugte Ausgestaltungen der Erfindung werden in den abhängigen Ansprüchen definiert.
-
Gemäß einem ersten Aspekt der Erfindung wird ein Verfahren zum Verwalten einer Vielzahl von Subskriptionsprofilen auf einem mobilen Endgerät bereitgestellt, mittels denen das mobile Endgerät über ein jeweiliges Mobilfunknetzwerk kommunizieren kann. Dabei umfasst das Verfahren die folgenden Schritte: das Authentifizieren des mobilen Endgeräts gegenüber einem Zugangskontrollsystem, um sich den Zugang zu einem durch das Zugangskontrollsystem abgesicherten Bereich zu verschaffen; und das automatische Umschalten von einem ersten Subskriptionsprofil der Vielzahl von Subskriptionsprofilen zu einem zweiten Subskriptionsprofil der Vielzahl von Subskriptionsprofilen bei einer erfolgreichen Authentifizierung des mobilen Endgeräts gegenüber dem Zugangskontrollsystem.
-
Vorzugsweise erfolgt der Schritt des Authentifizieren des mobilen Endgeräts gegenüber dem Zugangskontrollsystem über einen NFC-Kommunikationskanal zwischen dem mobilen Endgerät und dem Zugangskontrollsystem.
-
Gemäß bevorzugter Ausführungsform der Erfindung erfolgt die Authentifizierung des mobilen Endgeräts gegenüber dem Zugangskontrollsystem mittels eines Challenge-Response-Verfahren.
-
Vorzugsweise gelten für das erste Subskriptionsprofil und das zweite Subskriptionsprofil derart unterschiedliche Sicherheitseinstellungen des mobilen Endgeräts, dass durch das Umschalten vom ersten Sicherheitsprofil zum zweiten Sicherheitsprofil definierte Sicherheits- und/oder Zugangsfunktionen und/oder Zugangsschlüssel des mobilen Endgeräts freigeschaltet oder gesperrt werden.
-
Gemäß bevorzugter Ausführungsformen der Erfindung sind die Subskriptionsprofile die Vielzahl von Subskriptionsprofilen auf einem Sicherheitselement des mobilen Endgeräts hinterlegt.
-
Vorzugsweise umfasst das Verfahren den weiteren Schritt des automatischen Umschalten vom zweiten Subskriptionsprofil zum ersten Subskriptionsprofil, falls sich das mobile Endgerät zum Verlassen des durch das Zugangskontrollsystem abgesicherten Bereichs erfolgreich gegenüber dem Zugangskontrollsystem authentifiziert.
-
Gemäß bevorzugter Ausführungsformen der Erfindung handelt es sich bei dem durch das Zugangskontrollsystem abgesicherten Bereich um ein Firmengelände oder eine Teil davon, wobei das erste Subskriptionsprofil ein privates Subskriptionsprofil und das zweite Subskriptionsprofil ein Firmen-Subskriptionsprofil ist.
-
Gemäß einem zweiten Aspekt der Erfindung wird ein Sicherheitselement für ein mobiles Endgerät zum Kommunizieren über ein Mobilfunknetzwerk bereitgestellt, wobei das Sicherheitselement dazu ausgestaltet ist, wenigstens zwei Subskriptionsprofile nach einem Verfahren gemäß dem ersten Aspekt der Erfindung zu verwalten.
-
Bei einem erfindungsgemäßen Sicherheitselement handelt es sich beispielsweise um einen in Hardware ausgestalteten Datenträger. Das Sicherheitselement ist beispielsweise als ein fest integrierter Bestandteil in einem Endgerät angeordnet, wobei es entweder in der Form nicht vom Endgerät entnommen werden kann, beispielsweise als Teilnehmeridentifikationsmodul, M2M-Modul, Co-Prozessor, Trusted Base, Trusted Platform Module. Alternativ ist das Sicherheitselement als ein entnehmbares Modul mit dem mobilen Endgerät verbunden, beispielsweise als Chipkarte, insbesondere als Teilnehmeridentifikationsmodul, Smart Card, Massenspeicherkarte, USB-Token, Multimediakarte, Secure MicroSD-Karte, Mobilfunknetztoken, z. B. ein UMTS-Surfstick und/oder als elektronisches Identitätsdokument, beispielsweise als elektronischer Personalausweis beziehungsweise Reisepass mit in einem Speicherbereich abgelegten maschinenlesbaren Identifikationsdaten einer Person.
-
Gemäß einer weiteren Alternative kann das Sicherheitselement als eine Kombination aus Hard- und Softwarekomponenten in einem vertrauenswürdigen Teil eines Betriebssystems des Endgeräts ausgebildet sein, die dem Fachmann auch als gesicherte Laufzeitumgebung (”Trusted Execution Environment”; TEE) bekannt ist. Das Sicherheitselement kann dann beispielsweise innerhalb einer solchen gesicherten Laufzeitumgebung in Form von darin ablaufenden Programmen ausgebildet sein.
-
Bei dem Sicherheitselement kann es sich grundsätzlich um einen in Baugröße und Ressourcenumfang reduzierten Computer handeln, der einen Prozessor und mindestens eine Schnittstelle zur Kommunikation mit einem externen Gerät aufweist. Häufig besitzt er keine oder nur eine rudimentäre eigene Nutzerdatenausgabe. Das Sicherheitselement weist insbesondere einen Datenspeicher zum Ablegen von Daten, Informationen, Dateien und/oder Applikationen mit dazugehörigen Variablen ab, wobei Bereiche des Datenspeichers flüchtig oder nicht-flüchtig sein können. Der nichtflüchtige Datenspeicher kann insbesondere permanent, beispielsweise als ein Read-Only-Memory, kurz ROM oder semi-permanent sein, beispielsweise als ein Electrically-Erasable-Programmable-Read-Only-Memory, kurz EEPROM, Flashspeicher, Ferroelectric Random Access Memory, kurz FRAM bzw. FeRAM-Speicher oder Magnetoresistive Random Access Memory, kurz MRAM-Speicher.
-
Gemäß einem dritten Aspekt der Erfindung wird ein mobiles Endgerät zum Kommunizieren über ein Mobilfunknetzwerk mit einem Sicherheitselement gemäß dem zweiten Aspekt der Erfindung bereitgestellt.
-
Wie der Fachmann erkennt, lassen sich die vorstehend beschriebenen bevorzugten Ausgestaltungen im Rahmen der unterschiedlichen Aspekte der Erfindung vorteilhaft implementieren.
-
Weitere Merkmale, Vorteile und Aufgaben der Erfindung gehen aus der folgenden detaillierten Beschreibung mehrerer Ausführungsbeispiele und Ausführungsalternativen hervor. Es wird auf die Zeichnungen verwiesen, in denen zeigen:
-
1 eine schematische Darstellung eines Kommunikationssystems mit einem mobilen Endgerät zur Kommunikation über ein Mobilfunknetzwerk, die unterschiedliche Aspekte der vorliegenden Erfindung illustriert, und
-
2 eine schematische Darstellung einer erfindungsgemäßen Interaktion zwischen dem mobilen Endgerät von 1 und einem Zugangskontrollsystem.
-
1 zeigt eine schematische Darstellung der Komponenten eines Kommunikationssystems 10 sowie einige der Kommunikationsverbindungen zwischen diesen Komponenten, das unterschiedliche Aspekte der vorliegenden Erfindung illustriert.
-
In 1 sind in einem mobilen Endgerät in Form eines Mobiltelefons 12 elektronische Komponenten 13 verbaut. Wie sich dies der vergrößerten Ansicht in 1 entnehmen lässt, umfassen diese elektronischen Komponenten vorzugsweise ein Sicherheitselement (”Secure Element”) 14. Neben dem Sicherheitselement 14 verfügen die elektronischen Komponenten 13 bzw. das mobile Endgerät 12 vorzugsweise über ein GSM-Modul 18 zur Kommunikation über ein Mobilfunknetzwerk und ein NFC-Modul zur Kommunikation mit einem NFC-Lesegerät.
-
Gemäß bevorzugter Ausführungsformen der Erfindung ist das Sicherheitselement 14 als eine eUICC (embedded Universal Integrated Circuit Card) mit einer darauf implementierten SIM-Applikation ausgestaltet, d. h. als ein Sicherheitselement, das fester Bestandteil des mobilen Endgeräts 12 ist und in einem Mobilfunknetzwerk für die eindeutige und sichere Identifizierung des Benutzers bzw. Teilnehmers und für die Bereitstellung unterschiedlicher Funktionen und Mehrwertdienste verwendet wird. Alternativ kann das Sicherheitselement 14 als eine UICC (Universal Integrated Circuit Card) oder SIM-Karte (Subscriber Identity Module) ausgestaltet sein, die dem Fachmann als eine der zurzeit am häufigsten verwendeten Formen eines Sicherheitselements bekannt ist. Der Fachmann wird jedoch erkennen, dass andere Arten von Sicherheitselementen, die je nach Generation und Typ des zugrunde liegenden Mobilfunkstandards als USIM, R-UIM, ISIM und dergleichen bezeichnet werden, ebenfalls von der vorliegenden Erfindung umfasst werden.
-
Wie bereits vorstehend erwähnt, ist das mobile Endgerät 12 mittels seines GSM-Moduls 18 dazu ausgestaltet, über die Luftschnittstelle mit einem Mobilfunknetzwerk (auch kurz als ”Mobilfunknetz” oder als ”Public Land Mobile Network” [PLMN] bezeichnet) eines Mobilfunksystems 20 zu kommunizieren. In 1 sind beispielhaft die Mobilfunknetze 30 und 40 dargestellt. Dabei ist es denkbar, dass das Mobilfunknetz 30 von einem ersten Mobilfunknetzbetreiber (auch als ”Mobile Network Operator” oder MNO bezeichnet) und das zweite Mobilfunknetz 40 von einem zweiten Mobilfunknetzbetreiber betrieben wird. Gemäß bevorzugter Ausführungsformen der Erfindung werden das Mobilfunknetz 30 und/oder das Mobilfunknetz 40 gemäß dem GSM-Standard (”Global Standard for Mobile Communications”) betrieben.
-
Nachstehend werden bevorzugte Ausführungsformen der Erfindung im Zusammenhang mit Mobilfunknetzwerken 30, 40 als Teil des Mobilfunksystems 20 gemäß dem GSM-Standard beschrieben, der in einer Vielzahl von ETSI-Spezifikationen spezifiziert ist. Der Fachmann wird jedoch erkennen, dass die vorliegende Erfindung auch im Zusammenhang mit anderen Mobilfunknetzen vorteilhaft eingesetzt werden kann. Derartige Netze umfassen Mobilfunknetze der dritten Generation (3GPP), wie UMTS (Universal Mobile Telecommunications System), Mobilfunknetze der vierten Generation (4G), wie LTE (Long Term Evolution), sowie andere Mobilfunknetze, wie CDMA und dergleichen.
-
Wie dies dem Fachmann bekannt ist, umfasst ein gemäß dem GSM-Standard aufgebautes Mobilfunknetz bzw. PLMN im Allgemeinen ein BSS (”Base Station Subsystem”), das aus einer Vielzahl von BTS (”Base Transceiver Station”) besteht, die jeweilige Funkzellen des PLMN definieren und mit einem BSC (”Base Station Controller”) verbunden sind. Üblicherweise handelt es sich bei dem BSC um einen einer Vielzahl von BSC, die mit einem gemeinsamen MSC (”Mobile Switching Center”) kommunizieren. Häufig ist eine lokale Datenbank, die VLR (”Visitor Location Register”) genannt wird, Teil des MSC, um Informationen über die Mobilfunkteilnehmer vorzuhalten, die sich momentan in den Funkzellen befinden, die von einem MSC versorgt werden (d. h. der von einem MSC abgedeckte Bereich). Das MSC stellt im Wesentlichen dieselbe Funktionalität wie eine Vermittlungsstelle im Festnetz (public-switched telephone network; PSTN) bereit und steht in Kommunikation mit einem HLR (”Home Location Register”), bei dem es sich um die primäre Datenbank des PLMN handelt, in der Informationen zur Anmeldung bzw. Authentisierung der Mobilfunkteilnehmer gespeichert sind. Hierzu hat das HLR üblicherweise Zugriff auf ein AUC (”Authentication Center”). Wie dies dem Fachmann bekannt ist, können die Kommunikationsverbindungen zwischen den vorstehend beschriebenen Komponenten eines PLMNs auf proprietären und/oder offenen Standards basieren. Die verwendeten Protokolle können beispielsweise SS7- oder IP-basiert sein. Wie die Netzwerkkomponenten als separate oder zusammengefasste Einheiten ausgebildet sind und wie die Schnittstellen zwischen diesen Komponenten ausgebildet sind, ist Sache des MNO, so dass die vorstehende Beschreibung lediglich als beispielhaft zu verstehen ist.
-
Der Fachmann wird erkennen, dass, obgleich die vorstehend beschriebenen Funktionseinheiten eines herkömmlichen Mobilfunknetzes gemäß dem GSM-Standard in anderen oder zukünftigen Mobilfunkstandards andere Namen aufweisen können, die zugrundeliegenden Prinzipien im Wesentlichen gleich sind und diese daher von der Erfindung ebenfalls umfasst werden.
-
Der Übersichtlichkeit halber sind von den vorstehend beschriebenen Komponenten eines Mobilfunknetzes lediglich die folgenden in der schematischen Darstellung von 1 gezeigt: ein beispielhaftes BTS 32 sowie ein HLR 34 für das Mobilfunknetz 30 und ein beispielhaftes BTS 42 sowie ein HLR 44 für das Mobilfunknetz 40. Wie sich dies 1 entnehmen lässt, können das Mobilfunknetz 30 und das Mobilfunknetz 40 zumindest zeitweise in Kommunikation mit einem Hintergrundsystem 50 stehen, vorzugsweise in Form eines geeignet ausgestalteten Subscription-Management-Servers. Das Mobilfunknetz 30 und/oder das Mobilfunknetz 40 können neben weiteren dem Fachmann bekannten Funktionseinheiten beispielsweise jeweils ein SMS-C (”Short Message Service Center”) zum Speichern, Weiterleiten, Konvertieren und Zustellen von SMS-Nachrichten aufweisen, mittels derer beispielsweise Daten vom Hintergrundsystem 50 an das Sicherheitselement 14 des Telematik-Moduls 13 und umgekehrt übertragen werden können.
-
Wie sich dies der vergrößerten Ansicht des Sicherheitselements 14 in 1 entnehmen lässt, umfasst das Sicherheitselement 14 vorzugsweise eine zentrale Verarbeitungseinheit bzw. einen zentralen Prozessor (”central processing unit”; CPU) 15. Vorzugsweise ist der Prozessor 15 derart ausgestattet, dass Applikationen auf dem Prozessor 15 ausgeführt werden können, wie beispielsweise eine Subskriptionsverwaltungsapplikation 16 (”subscription management applet”; SM Applet). Vorzugsweise ist die Subskriptionsverwaltungsapplikation 16 in Form eines Java Applets implementiert.
-
Das Sicherheitselement 14 umfasst vorzugsweise ferner eine Speichereinheit 17, die vorzugsweise als eine nicht-flüchtige, wiederbeschreibbare Speichereinheit, z. B. in Form eines Flash-Speichers, implementiert ist. Wie sich 1 entnehmen lässt, sind ein erstes Subskriptionsprofil SP1 und ein zweites Subskriptionsprofil SP2 in der Speichereinheit 17 des Sicherheitselements 14 gespeichert. Vorzugsweise enthalten das erste Subskriptionsprofil SP1 und das zweite Subskriptionsprofil SP2 Daten, die es dem Sicherheitselement 14 und dem mobilen Endgerät ermöglichen, sich mit dem GSM-Modul 18 in das Mobilfunknetz 30 bzw. das Mobilfunknetz 40 einzubuchen und über dieses zu kommunizieren, d. h. Daten, wie Subskriptionsberechtigungsdaten (”Subscription Credentials”), einen MNO-spezifischen Authentisierungsalgorithmus und/oder dergleichen. Vorzugsweise sind zumindest Teile der Speichereinheit 17 des Sicherheitselements 14 dazu ausgestaltet, sicher die Daten darin zu speichern, beispielsweise geheimzuhaltende Subskriptionsberechtigungsdaten, wie einen Authentisierungsschlüssel Ki, die Teil des ersten Subskriptionsprofils SP1 oder des zweiten Subskriptionsprofils SP2 sind.
-
Unter weiterer Bezugnahme auf 2 wird nachstehend ein bevorzugtes erfindungsgemäßes Verhalten des mobilen Endgeräts 12 beim Umschalten vom ersten Subskriptionsprofil SP1 für die Kommunikation über das Mobilfunknetzwerk 30 zum zweiten Subskriptionsprofil über das Mobilfunknetzwerk 40 beschrieben.
-
2 zeigt das mobile Endgerät 12 in drei unterschiedlichen Zuständen bzw. bei drei unterschiedlichen Schritten S1, S2 und S3.
-
Im Zustand S1 ist das erste Subskriptionsprofil SP1 auf dem mobilen Endgerät 12 aktiv, so dass das mobile Endgerät 12 mit dem Subskriptionsprofil SP1 und seinem GSM-Modul 18 über das Mobilfunknetz 30 kommunizieren kann. Das zweite Subskriptionsprofil SP2 ist inaktiv, wie dies in 2 durch die Schraffierung angedeutet ist.
-
Im Zustand S2 befindet sich das mobile Endgerät 12 innerhalb eines Kommunikationsbereichs eines Terminals eines Zugangskontrollsystems 62, das den Zugang zu einem lokal begrenzten Bereich 60 absichert. In dem in 2 dargestellten Beispiel umfasst das beispielhafte Terminal des Zugangskontrollsystems 62 ein NFC-Modul, das dazu ausgestaltet ist, mit dem NFC-Modul 19 des mobilen Endgeräts 12 zu kommunizieren. Vorzugsweise sind auf dem mobilen Endgerät 12 Daten hinterlegt, die es erlauben, dass mittels des mobilen Endgeräts 12 über das Terminal des Zugangskontrollsystems 62 der Zugang zu dem durch das Zugangskontrollsystem 62 abgesicherten Bereich 60 ermöglicht wird, indem sich das mobile Endgerät 12 gegenüber dem Terminal des Zugangskontrollsystems 62 authentifiziert. Wie dies dem Fachmann bekannt ist, kann eine solche Authentifizierung beispielsweise mittels eines Challenge-Response-Verfahrens durchgeführt werden, bei dem das Terminal des Zugangskontrollsystems 62 als Challenge eine Nonce an das mobile Endgerät 12 sendet, dieses mittels der Nonce und eines auf dem mobilen Endgerät 12 hinterlegten Geheimnisses, z. B. eines geheimen Schlüssels, eine Response berechnet und diese an das Terminal des Zugangskontrollsystems 62 zurücksendet, wo dieses die Richtigkeit der Response überprüft.
-
Erfindungsgemäß ist nun vorgesehen, dass durch die Authentifizierung des mobilen Endgeräts 12 gegenüber einem Terminal des Zugangskontrollsystems 62 ein Umschalten vom ersten (aktiven) Subskriptionsprofil SP1 auf das zweite (inaktive) Subskriptionsprofil SP2 ausgelöst wird. Mit anderen Worten: die Authentifizierung gegenüber einem Terminal des Zugangskontrollsystems 62 bewirkt, dass das bisher aktive erste Subskriptionsprofil SP1 deaktiviert wird und das zweite Subskriptionsprofil SP2 aktiviert wird, so dass mit dem mobilen Endgerät 12 nicht mehr über das Mobilfunknetz 30, sondern über das Mobilfunknetz 40 kommuniziert werden kann, sobald sich das mobile Endgerät 12 bzw. dessen Benutzer in dem durch das Zugangskontrollsystem 62 abgesicherten Bereich 60 befindet. Dieses Umschalten vom ersten Subskriptionsprofil SP1 zum zweiten Subskriptionsprofil SP2 wird vorzugsweise von dem SM Applet 16 auf dem Sicherheitselement 16 durchgeführt. Das Ergebnis der Umschaltung vom ersten Subskriptionsprofil SP1 zum zweiten Subskriptionsprofil SP2 ist in 2 bei S3 durch die Schraffierung des ersten Subskriptionsprofils SP1 dargestellt.
-
Sobald der Benutzer des mobilen Endgeräts 12 den durch das Zugangskontrollsystem 62 abgesicherten Bereich 60 wieder verlässt, indem wiederum eine Authentifizierung des mobilen Endgeräts 12 gegenüber einem Terminal des Zugangskontrollsystems 62 durchgeführt wird, erfolgt ein Zurückschalten von dem zweiten Subskriptionsprofil SP2 zu dem ersten Subskriptionsprofil SP1, also wieder in den bei S1 dargestellten Zustand.
-
Gemäß bevorzugter Ausführungsformen der Erfindung handelt es sich bei dem durch das Zugangskontrollsystem 62 abgesicherten Bereich 60 um ein Firmengelände. In diesem Fall könnte es sich bei dem zweiten Subskriptionsprofil SP2 um ein Firmen-Subskriptionsprofil mit dem über ein Firmen-Mobilfunknetz 40 kommuniziert werden kann, während es sich bei dem ersten Subskriptionsprofil SP1 um ein privates Subskriptionsprofil handelt.
-
Erfindungsgemäß ist vorstellbar, dass mit den zwei Sicherheitsprofilen SP1 und SP2 unterschiedliche Sicherheitseinstellungen des mobilen Endgeräts 12 verbunden sind, beispielsweise indem durch das Umschalten vom Sicherheitsprofil SP1 zum Sicherheitsprofil SP2 bestimmte Sicherheits- und/oder Zugangsfunktionen und/oder Zugangsschlüssel des mobilen Endgeräts 12 freigeschaltet oder gesperrt werden.
-
Der Fachmann wird erkennen, dass, obgleich die vorstehend offenbarte bevorzugte Ausführungsform der Erfindung im Rahmen eines mobilen Endgeräts in Form eines Mobiltelefons beschrieben worden ist, die Erfindung ebenso bei mobilen Endgeräten in einer anderen Form vorteilhaft eingesetzt werden kann.