DE102015015212B4 - Verfahren zum Betreiben eines Sicherheitsmoduls und Sicherheitsmodul - Google Patents

Verfahren zum Betreiben eines Sicherheitsmoduls und Sicherheitsmodul Download PDF

Info

Publication number
DE102015015212B4
DE102015015212B4 DE102015015212.2A DE102015015212A DE102015015212B4 DE 102015015212 B4 DE102015015212 B4 DE 102015015212B4 DE 102015015212 A DE102015015212 A DE 102015015212A DE 102015015212 B4 DE102015015212 B4 DE 102015015212B4
Authority
DE
Germany
Prior art keywords
subscription data
subscription
record
fbz2
fbz1
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102015015212.2A
Other languages
English (en)
Other versions
DE102015015212A1 (de
Inventor
Ulrich Wimböck
Nikola Mamuzic
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE
Original Assignee
Giesecke and Devrient Mobile Security GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient Mobile Security GmbH filed Critical Giesecke and Devrient Mobile Security GmbH
Priority to DE102015015212.2A priority Critical patent/DE102015015212B4/de
Publication of DE102015015212A1 publication Critical patent/DE102015015212A1/de
Application granted granted Critical
Publication of DE102015015212B4 publication Critical patent/DE102015015212B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/183Processing at user equipment or user record carrier

Abstract

Verfahren in einem Sicherheitsmodul, in welchem mehrere Subskriptionsdatensätze (SD1, SD2, SD3) verwendet werden können, wobei jedem der Subskriptionsdatensätze (SD1, SD2, SD3) eine nur für diesen gültige Authentifizierungsinformation (PIN1, PIN2, PIN3) und ein Fehlbedienungszähler (FBZ1, FBZ2, FBZ3) zugeordnet ist, mit den Schritten: a) Empfangen einer Verwaltungsanweisung (VA1, VA2) zur Verwaltung eines ersten Subskriptionsdatensatzes (SD3, SD4); und b) Prüfen eines Sicherheitszustandes vor der Ausführung der Verwaltungsanweisung (VA1, VA2); dadurch gekennzeichnet, dass vor der Ausführung der Verwaltungsanweisung für den ersten Subskriptionsdatensatz (SD3, SD4) in dem Schritt des Prüfen des Sicherheitszustandes eine Verifizierung durchgeführt wird, dass ein Fehlbedienungszähler (FBZ1, FBZ2) zumindest eines zweiten Subskriptionsdatensatzes (SD1, SD2), der einem jeweiligen zweiten Subskriptiondatensatz (SD1, SD2) zugeordnet ist, nicht abgelaufen ist; und dass ein Statuselement (FBZS) anzeigt, ob der Fehlbedienungszähler (FBZ1, FBZ2) zumindest eines zweiten Subskriptionsdatensatzes (SD1, SD2) abgelaufen ist oder nicht; und dass die Verwaltungsanweisung (VA1, VA2) zur Verwaltung des ersten Subskriptionsdatensatzes (SD3, SD4) nicht ausgeführt wird, wenn das Statuselement (FBZS) anzeigt, dass der Fehlbedienungszähler (FBZ1, FBZ2) zumindest eines zweiten Subskriptionsdatensatzes (SD1, SD2) abgelaufen ist und/oder wenn der Fehlbedienungszähler (FBZ1, FBZ2) zumindest eines zweiten Subskriptionsdatensatzes (SD1, SD2) abgelaufen ist.

Description

  • Die Erfindung betrifft ein Verfahren in einem Sicherheitsmodul, in welchem mehrere Subskriptionsdatensätze verwendet werden können, wobei jedem der Subskriptionsdatensätze eine nur für diesen gültige Authentifizierungsinformation und ein Fernfehlbedienungszähler zugeordnet ist.
  • Das Verfahren umfasst insbesondere die Schritte des Empfangen einer Verwaltungsanweisung zur Verwaltung eines ersten Subskriptionsdatensatzes und des Prüfen eines Sicherheitszustands vor der Ausführung der Verwaltungsanweisung. Neben der lokal gültigen Authentifizierungsinformation weist somit jeder Subskriptionsdatensatz auch einen lokalen Fehlbedienungszähler auf, mit dem die Anzahl an nicht korrekt eingegebenen Versuchen einer Authentifizierung erfasst wird.
  • Bei der Authentifizierungsinformation kann es sich um eine persönliche Identifikationsnummer (englisch: Personal Identification Number, PIN) handeln. Eine Verwaltungsanweisung im Sinne dieser Beschreibung stellt zusammen mit die Authentifizierung eines Subskriptionsdatensatzes betreffenden Kommandos eine Anweisung dar, welche zur Verwaltung oder Nutzung eines Subskriptionsdatensatzes genutzt werden.
  • Für einen auf einem Endgerät installierten Subskriptionsdatensatz, auch Subskription oder Profil genannt, ist zum Schutz vor unbefugten Zugriffen ein Identifikationsdatum als Authentifizierungsinformation vorgesehen. Bei dem Identifikationsdatum kann es sich z. B. um eine persönliche Identifikationsnummer (PIN) handeln. Bei Endgeräten besteht zudem die Möglichkeit, mehrere Subskriptionen zu nutzen. Dabei besteht das Problem, dass bei jedem Wechsel der Subskription der Nutzer ein der Subskription zugeordnetes, individuelles Identifikationsdatum eingeben muss. In Zukunft ist auch vorgesehen, mehrere Subskriptionen auf einem Endgerät oder sogar einem einzigen Identifikationsmodul in Gestalt einer Universal Integrated Chip Card (UICC) vorzusehen. Hierzu ist es für einen Nutzer erforderlich, bei einer Mehrzahl von Subskriptionen eine Mehrzahl an zugeordneten Identifikationsdaten kennen zu müssen.
  • Eine für eine jeweilige Subskription lokal gültige PIN schafft einem Angreifer eine Möglichkeit, für jede Subskription im Rahmen des maximal möglichen Wertes des Fehlbedienungszählers die Authentifizierungsinformation zu verifizieren. Gelingt dem Angreifer dies, so kann er die der Authentifizierungsinformation zugehörige Subskription der UICC unberechtigt nutzen.
  • Aus der Firmenschrift ”Bedienungsanleitung DuoBill” aus dem März 2010 der VODAFONE D2 GmbH geht ein Verfahren zum Trennen von privaten und geschäftlichen Verbindungskosten bei einer SIM-Karte mit zwei Telefonnummern hervor. Der private Bereich und der geschäftliche Bereich sind auf der SIM-Karte jeweils mit einer eigenen PIN versehen. Wird eine PIN für eine der beiden Bereiche dreimal aufeinanderfolgend falsch eingegeben, so wird der entsprechende Bereich gesperrt. Der andere Bereich bleibt weiterhin verfügbar.
  • Aus Gründen einer für einen Nutzer verbesserten Nutzbarkeit wäre es demgegenüber erstrebenswert, eine gemeinsame Authentifizierungsinformation für mehrere Subskriptionen zu nutzen. Dies erfordert Überlegungen im Hinblick auf Angreifer, welche versuchen, durch Verifikation einer Subskription sämtliche Subskriptionen unberechtigt nutzen zu können.
  • Die Aufgabe der Erfindung ist es, ein Verfahren anzugeben, welches es bei einem mehrere Subskriptionsdatensätze umfassenden Sicherheitsmodul für einen Angreifer erschwert, unberechtigt Subskriptionsdatensätze zu nutzen. Eine weitere Aufgabe besteht darin, ein entsprechendes Sicherheitsmodul sowie einen entsprechenden Datenträger mit einem erfindungsgemäßen Sicherheitsmodul anzugeben.
  • Diese Aufgabe wird gelöst durch den Gegenstand der unabhängigen Ansprüche. Vorteilhafte Ausgestaltungen sind in den abhängigen Patentansprüchen aufgeführt.
  • Zur Lösung dieser Aufgabe wird ein Verfahren in einem Sicherheitsmodul, in welchem mehrere Subskriptionsdatensätze (nachfolgend auch kurz als Subskription bezeichnet) verwendet werden können, vorgeschlagen. Dabei sind jedem der Subskriptionsdatensätze eine nur für diesen gültige Authentifizierungsinformation und ein Fehlbedienungszähler zugeordnet. Die Authentifizierungsinformation repräsentiert ein Identifikationsdatum, wie z. B. eine persönliche Identifikationsnummer (PIN), welche von einem Nutzer in ein das Sicherheitsmodul umfassendes Endgerät eingegeben wird, um sich gegenüber einem bestimmten Subskriptionsdatensatz zu authentisieren. Der Fehlbedienungszähler ist beispielsweise ein von einem Ausgangswert infolge einer fehlerhaft eingegebenen Authentifizierungsinformation fortlaufend inkrementierter oder dekrementierter Wert. Bei Erreichen eines vorgegebenen Grenzwertes ist keine weitere Authentifizierung gegenüber dem Subskriptionsdatensatz mehr möglich, was dem Ablauf des Fehlbedienungszählers entspricht.
  • Das Verfahren weist die Schritte des Empfangen einer Verwaltungsanweisung zur Verwaltung eines ersten Subskriptionsdatensatzes, und des Prüfen eines Sicherheitszustandes vor der Ausführung der Verwaltungsanweisung auf. Unter einer Verwaltungsanweisung wird ein Kommando des sog. Subskriptionsmanagements (Subscription Management) verstanden, welches zur Verwaltung von Subskriptionsdatensätzen genutzt wird. Eine solche Verwaltungsanweisung kann beispielsweise ein Lade-Kommando („Load”), ein Installation-Kommando („Install”), ein Lösch-Kommando („Delete”), ein Änderungs-Kommando („Change”), ein Aktivierungs-Kommando („Activate”), ein Deaktivierungs-Kommando („Deactivate”), usw. sein. Ein Sicherheitsmodul im Sinne der vorliegenden Beschreibung kann eine SIM(Subscriber Identity Module)-Karte, eine UICC oder eine eingebettete UICC (embedded Universal Integrated Chip Card, eUICC) sein. Eine solche Verwaltungsanweisung, die über einen sicheren Kommunikationskanal zwischen dem Sicherheitsmodul und einem Server, der das Subskriptionsmanagement ausführt, übertragen wird, wird herkömmlicherweise durch das Sicherheitsmodul ohne Verifikation einer dem ersten Subskriptionsdatensatz zugeordneten Authentifizierungsinformation ausgeführt.
  • Erfindungsgemäß wird vor der Ausführung der Verwaltungsanweisung für den ersten Subskriptionsdatensatz in dem Schritt des Prüfen des Sicherheitszustands eine Verifizierung durchgeführt, dass ein Fehlbedienungszähler zumindest eines zweiten Subskriptionsdatensatzes nicht abgelaufen ist, wobei der Fehlbedienungszähler einem jeweiligen zweiten Subskriptionsdatensatz zugeordnet ist.
  • Erfindungsgemäß blockiert somit der Ablauf eines oder mehrerer Fehlbedienungszähler eines zweiten Subskriptionsdatensatzes die ansonsten unabhängig von der Authentifizierungsinformation nutzbare Verwaltungsanweisung. Da bei einem Ablauf des Fehlbedienungszählers zumindest eines zweiten Subskriptionsdatensatzes davon auszugehen ist, dass das Sicherheitsmodul (im Gesamten) angegriffen wurde, ergibt sich durch das vorgeschlagene Vorgehen eine Erhöhung der Sicherheit. Durch das Blockieren der Verwaltungsanweisung ist kein Wechsel und/oder erneutes Laden des gleichen Subskriptionsdatensatzes möglich. Hierdurch wird die Chance auf einen Erfolg für den Angreifer, auf einen Subskriptionsdatensatz zuzugreifen, verringert. Dies ermöglicht es, dass die lokalen Fehlbedienungszähler voneinander unabhängig bleiben können, jedoch ein gemeinsamer Status geprüft wird, bevor bestimmte Verwaltungsanweisungen im Kontext von Subskriptionsdaten ausgeführt werden.
  • Erfindungsgemäß zeigt ein Statuselement an, ob der Fehlbedienungszähler zumindest eines zweiten Subskriptionsdatensatzes abgelaufen ist oder nicht. Insbesondere wird das Statuselement auf einen vorgegebenen ersten Wert gesetzt, sobald oder zeitlich nachdem der Fehlbedienungszähler zumindest eines zweiten Subskriptionsdatensatzes abgelaufen ist, wobei der erste Wert anzeigt, dass zumindest ein Fehlbedienungszähler abgelaufen ist. Der Status des Statuselements wird bereits dann auf den vorgegebenen ersten Wert gesetzt, wenn der Ablauf des Fehlbedienungszählers eines einzigen Subskriptionsdatensatzes festgestellt wird. Das Setzen des Statuselements kann dabei zeitgleich mit dem Ablauf des Fehlbedienungszählers erfolgen, oder zeitlich verzögert.
  • Alternativ kann das Statuselement mehrere vorgegebene Werte aufweisen, so dass beispielsweise der bereits erwähnte vorgegebene erste Wert erst dann gesetzt wird, wenn mehrere Fehlbedienungszähler abgelaufen sind oder ein oder mehrere Fehlbedienungszähler einen Wert aufweisen, ohne dass jedoch der Ablaufwert erreicht ist.
  • Erfindungsgemäß wird die Verwaltungsanweisung zur Verwaltung des ersten Subskriptionsdatensatzes nicht ausgeführt, wenn das Statuselement den ersten Wert aufweist und/oder der Fehlbedienungszähler des zumindest einen zweiten Subskriptionsdatensatzes abgelaufen ist. Hierdurch ist z. B. kein Laden eines (neuen) Subskriptionsdatensatzes möglich.
  • Die Verifizierung umfasst gemäß einer Ausgestaltung die Prüfung, dass keiner der Fehlbedienungszähler aller zweiten Subskriptionsdatensätze abgelaufen ist. Die Blockierung der Verwaltungsanweisung erfolgt somit bereits dann, wenn lediglich ein einziger Fehlbedienungszähler aller zweiten Subskriptionsdatensätze abgelaufen ist. Hierdurch kann die Sicherheit gegenüber einem Angriff erhöht werden eines ersten Subskriptionsdatensatzes ausgeführt werden, wenn der Fehlbedienungszähler des zumindest einen zweiten Subskriptionsdatensatzes nicht abgelaufen ist.
  • Gemäß einer weiteren Ausgestaltung wird zusammen mit der Verifikation der Authentifizierungsinformation der Fehlbedienungszähler des zweiten Subskriptionsdatensatzes geprüft. Dadurch kann, zusätzlich zur Prüfung des Statuselements, verifiziert werden, welcher der zweiten Subskriptionsdatensätze zum Setzen des Statuselements geführt hat.
  • Gemäß einer weiteren Ausgestaltung wird zur Ausführung der Verwaltungsanweisung zur Verwaltung des ersten Subskriptionsdatensatzes die Authentifizierungsinformation des zweiten Subskriptionsdatensatzes nicht verarbeitet. Dieses Vorgehen entspricht dem üblichen Vorgehen bei der Ausführung einer Verwaltungsanweisung eines Subskriptionsmanagements, falls das Statuselement nicht gesetzt ist, d. h. den ersten Wert aufweist.
  • Der durch die Verwaltungsanweisung zu verwaltende erste Subskriptionsdatensatz kann ein auf dem Sicherheitsmodul gespeicherter Subskriptionsdatensatz oder ein neuer, auf das Sicherheitsmodul zu ladender und/oder installierender Subskriptionsdatensatz sein.
  • Gemäß einer weiteren Ausgestaltung werden nur Fehlbedienungszähler solcher zweiter Subskriptionsdatensätze auf ihren Ablauf überprüft, die in dem Sicherheitsmodul als aktiv markiert sind. Lediglich ein als aktiv markierter Subskriptionsdatensatz kann für eine Authentisierung ausgewählt werden. Nicht-aktive Subskriptionsdatensätze sind zwar auf dem Sicherheitsmodul enthalten, können jedoch aufgrund ihrer Nicht-Aktivierung noch nicht ausgewählt werden.
  • Gemäß einer weiteren Ausgestaltung wird die Ausführung der Verwaltungsanweisung für den ersten Subskriptionsdatensatz ermöglicht, wenn oder sobald der Fehlbedienungszähler des zumindest einen zweiten Subskriptionsdatensatzes auf einen Ausgangswert zurückgesetzt ist. Hierdurch wird die Ausführung der Verwaltungsanweisung beispielsweise dadurch ermöglicht, dass ein durch den Ablauf des Fehlbedienungszählers gesperrter Subskriptionsdatensatz durch eine andere Authentifizierungsinformation, z. B. eine PUK (Personal Unblocking Key), welche nur dem Benutzer bekannt ist, ausgeführt werden kann.
  • Gemäß einer weiteren Ausgestaltung kann vorgesehen sein, dass von der Prüfung des Ablaufs des Fehlbedienungszählers des zumindest eines zweiten Subskriptionsdatensatzes Anweisungen, die die Provisionierung von Subskriptionsdatensätzen betreffen (sog. Provisioning Profile), ausgenommen sind.
  • Gemäß einer weiteren zweckmäßigen Ausgestaltung kann das Sicherheitsmodul eine Nutzereingabe, die eine weitere Authentifizierungsinformation für ein das Sicherheitsmodul enthaltende Endgerät ist, empfangen, wobei die Nutzereingabe durch das Sicherheitsmodul in die Authentifizierungsinformation für zumindest einen der Subskriptionsdatensätze umgesetzt und dem Sicherheitsmodul zur Prüfung und Authentifizierung des zumindest einen Subskriptionsdatensatzes übergeben wird. Dies ermöglicht es, die Anmeldung an dem Endgerät und das Sicherheitsmodul in einem gemeinsamen Schritt durchzuführen.
  • Diese Ausgestaltung beruht auf der Überlegung, dass heutige Endgeräte meist über eine eigene Applikation verfügen, welche vor dem Zugriff unberechtigter Nutzer schützt. Der Schutz erfolgt zumeist über die Eingabe einer Zahlenfolge, ähnlich einer PIN, durch die Eingabe von graphischen Gesten oder mittels eines Fingerabdrucksensors. Die Eingabe der einem Subskriptionsdatensatzes zugeordneten Authentifizierungsinformation wird gemäß diesem Vorschlag mit den oben genannten Verfahren zur Freigabe oder zum Entsperren des Endgeräts kombiniert. Da das Sicherheitsmodul jedoch keinen Zugriff auf die Benutzerschnittstelle und/oder einen eventuell in dem Endgerät eingebauten Fingerabdrucksensor hat, ist vorgesehen, die Nutzereingabe in Gestalt der weiteren Authentifizierungsinformation in einen Zahlencode umzuwandeln, der dann an das Sicherheitsmodul zur Verifikation der dem Subskriptionsdatensatz zugeordneten Authentifizierungsinformation übertragen wird. Unter der Nutzereingabe ist dabei der Fingerabdruck, eine Geste oder eine Zahlenfolge zu verstehen.
  • Das Verfahren für die Generierung dieses Zahlencodes ist bei gleicher Eingabe auf verschiedenen Geräten reproduzierbar, so dass die gleiche Geste, der gleiche Fingerabdruck oder die eingegebene Zahlenfolge eine erfolgreiche Verifikation der dem Subskriptionsdatensatz zugeordneten Authentifizierungsinformation zur Folge hat.
  • Dieses Vorgehen schafft zudem die Möglichkeit, die einem Subskriptionsdatensatz zugeordnete Authentifizierungsinformation abzulösen. Dies wird dadurch ermöglicht, dass der Nutzer die Authentifizierungsinformation in das Endgerät eingibt, zusammen mit der weiteren Authentifizierungsinformation (Fingerabdruck, Geste, Zahlenfolge). Das Endgerät bzw. das Sicherheitsmodul erzeugt dann aus diesen beiden Informationen das Identifikationsdatum, das für die zukünftige Verifikation übernommen wird.
  • Das neu erzeugte Identifikationsdatum, z. B. eine PIN, kann beispielsweise dem Benutzer ausgegeben werden für den Einsatz in solchen Endgeräten, welche die beschriebene Methode der Kombination von weiterer Authentifizierungsinformation und Authentifizierungsinformation, die dem Subskriptionsdatensatz zugeordnet ist, nicht unterstützen.
  • Dieses Vorgehen dient somit der Anmeldung am Endgerät und einem Subskriptionsdatensatz des Sicherheitsmoduls. Sollte eine hierzu vorhandene Applikation auf dem Endgerät erkennen, dass die weitere Authentifizierungsinformation zu verifizieren ist, wird das neue Identifikationsdatum errechnet und dem Sicherheitsmodul als Authentifizierungsinformation zur Verifikation übertragen.
  • Zur weiteren Absicherung kann vorgesehen sein, die Berechnung des neuen Identifikationsdatums mit einem Wert des Sicherheitsmoduls zu verbinden. Dies hat zur Folge, dass identische Eingaben auf verschiedenen Sicherheitsmodulen zu unterschiedlichen neuen Authentifizierungsinformationen führen.
  • Dieses Vorgehen erhöht im Ergebnis die Nutzbarkeit für den Nutzer und bietet insbesondere dort, wo die Authentifizierungsinformation für einen Subskriptionsdatensatz deaktiviert wird, die Sicherheit vor einem Missbrauch.
  • Die jedem Subskriptionsdatensatz zugeordnete Authentifizierungsinformation wird vom Herausgeber des Subskriptionsdatensatzes festgelegt. In der Regel wird die Authentifizierungsinformation zunächst deaktiviert, da es schwierig ist, diese dem Nutzer im Rahmen des Ladens des Subskriptionsdatensatzes zur Verfügung zu stellen. Hintergrund ist, dass der Subskriptionsdatensatz für den Nutzer sofort verwendbar sein soll. Die Aktivierung der Authentifizierungsinformation für den Subskriptionsdatensatz bleibt damit dem Nutzer überlassen.
  • Die Nutzbarkeit kann gemäß einer weiteren Ausgestaltung dadurch erhöht werden, dass eine Authentifizierungsinformation durch den Nutzer genutzt wird, jedoch ohne, dass diese an einen bestimmten Subskriptionsdatensatz gebunden ist. Dazu werden Authentifizierungsinformationen unterschiedlicher Subskriptionsdatensätze durch eine globale Authentifizierungsinformation ersetzt, die dann für das gesamte Sicherheitsmodul gelten. Diese globalen Authentifizierungsinformationen sind für alle Subskriptionsdatensätze des Sicherheitsmoduls gültig. Dies bedeutet, wenn ein Benutzer die entsprechende globale Authentifizierungsinformation verifiziert hat, dann ist sie für jeden Subskriptionsdatensatz auf dem Sicherheitsmodul verifiziert. Wird ein Subskriptionsdatensatz gewechselt, so bleibt der Status der positiven Verifikation erhalten. Auch wenn verschiedene Subskriptionsdatensätze gleichzeitig selektiert sind, bleibt der Status der globalen Authentifizierungsinformation bis zu einem Zurücksetzen des Sicherheitsmoduls erhalten. Hierdurch erübrigt sich eine erneute Eingabe einer Authentifizierungsinformation beim Wechseln eines Subskriptionsdatensatzes.
  • Für den Bereitsteller der Subskriptionsdatensätze können dabei weiterhin die ursprünglich zugeordneten Authentifizierungsinformationen definiert sein. Diese werden jedoch bei der Verifikation in der oben beschriebenen Weise ignoriert. Der Benutzer kann jedoch bei Bedarf auch die den jeweiligen Subskriptionsdatensätzen zugeordneten Authentifizierungsinformationen aktivieren und von der globalen Authentifizierungsinformation ausnehmen, falls bestimmte Subskriptionsdatensätze gesondert abgesichert werden sollen.
  • Eine globale Authentifizierungsinformation verhält sich wie eine herkömmliche Authentifizierungsinformation, d. h. mit einem Fehlbedienungszähler und zugeordneten Entsperr-Authentifizierungsinformationen (PUK), welche ebenfalls in bekannter Weise einen Fehlbedienungszähler zugeordnet haben.
  • Die globale Authentifizierungsinformation kann vordefiniert sein und mit dem Sicherheitsmodul an den Benutzer übergeben werden. Alternativ kann eine globale Default-Authentifizierungsinformation für alle ausgegebenen Sicherheitsmodule identisch sein, welche dann durch einen Benutzer geändert werden kann.
  • Der Bereitsteller der Subskriptionsdatensätze hat weiter die Möglichkeit, die den einzelnen Subskriptionsdatensätzen zugeordneten Authentifizierungsinformationen, insbesondere einen Administrationsschlüssel („Admin Key”) spezifisch für einen jeweiligen Subskriptionsdatensatz zu definieren. Dabei soll der Herausgeber lediglich Zugriff auf seine Profildaten haben, jedoch nicht auf Profile/Subskriptionsdatensätze von anderen Herausgebern. Darüber hinaus ist es zweckmäßig, wenn die den Subskriptionsdatensätzen lokal zugeordneten Authentifizierungsinformationen für den Herausgeber verifizierbar bleiben, um beispielsweise einen Subskriptionsdatensatz testen zu können. Wenn eine Verifikation einer, einem bestimmten Subskriptionsdatensatz zugeordneten Authentifizierungsinformation erfolgt, soll diese Verifikation lediglich für den zugeordneten Subskriptionsdatensatz erfolgen.
  • Für den Fall, dass aufgrund einer mehrfachen Fehlbedienung eine globale Authentifizierungsinformation gesperrt wird (dessen Fehlbedienungszähler abläuft), ist es zweckmäßig, auch die lokale Verifikation der einem Subskriptionsdatensatz zugeordneten Authentifizierungsinformation nicht mehr zu zuzulassen. Dadurch können weitere Angriffsversuche unterbunden werden.
  • Durch diese vorgeschlagene Vorgehensweise erhöht sich die Nutzbarkeit unter Beibehaltung des gewohnten Zugriffsschutzes der Authentifikationsinformationen.
  • Die Authentifizierungsinformation ist eine konstante Authentifizierungsinformation, die vorzugsweise benutzerindividuell ist. Beispiele für eine Authentifizierungsinformation sind eine PIN, ein biometrischer Datensatz (abgeleitet aus Fingerabdruck, Irisbild, Sprachmustererkennung oder Handvenenbild) oder ein ähnlicher Datensatz (z. b. abgeleitet aus einer Benutzergeste oder einer Benutzerauswahl).
  • Die Erfindung stellt ferner ein Sicherheitsmodul bereit, das dazu ausgebildet ist, mehrere Subskriptionsdatensätze zu speichern und verarbeiten, wobei jedem der Subskriptionsdatensätze eine nur für diesen gültige Authentifizierungsinformation und ein Fehlbedienungszähler zugeordnet sind. Das Sicherheitsmodul umfasst ein erstes Mittel zum Empfangen einer Verwaltungsanweisung zur Verwaltung eines ersten Subskriptionsdatensatzes und ein zweites Mittel zum Prüfen eines Sicherheitszustands vor der Ausführung der Verwaltungsanweisung. Das Sicherheitsmodul ist weiter dazu ausgebildet, vor der Ausführung der Verwaltungsanweisung für den ersten Subskriptionsdatensatz in dem Schritt des Prüfens des Sicherheitszustands eine Verifizierung durchzuführen, dass ein Fehlbedienungszähler zumindest eines zweiten Subskriptionsdatensatzes, der einem jeweiligen zweiten Subskriptionsdatensatz zugeordnet ist, nicht abgelaufen ist.
  • Das Sicherheitsmodul weist die gleichen Vorteile auf, wie diese vorstehend in Verbindung mit dem erfindungsgemäßen Verfahren beschrieben wurden.
  • Darüber hinaus kann das Sicherheitsmodul weitere Mittel zur Durchführung des oben beschriebenen Verfahrens umfassen.
  • Schließlich schlägt die Erfindung einen Datenträger mit einem erfindungsgemäß ausgebildeten Sicherheitsmodul vor.
  • Die Erfindung wird nachfolgend näher anhand eines Ausführungsbeispiels in der Zeichnung erläutert. Es zeigen:
  • 1 eine schematische Darstellung einer typischen hierarchischen Baumstruktur auf einem erfindungsgemäß ausgebildeten Sicherheitsmodul, anhand dem das erfindungsgemäße Verfahren erläutert wird; und
  • 2 mehrere Anweisungen, um die Wirkungen des erfindungsgemäßen Verfahrens zu verdeutlichen.
  • 1 zeigt in einer schematischen Darstellung die typische Baumstruktur von auf einem Sicherheitsmodul enthaltenen Dateien. Das im Weiteren nicht näher dargestellte Sicherheitsmodul ist in einem ebenfalls nicht dargestellten Endgerät, z. B. einem Mobilfunkendgerät oder einem tragbaren Computer, vorgesehen. Das Sicherheitsmodul kann beispielsweise in Gestalt einer SIM-Karte oder einer UICC vorliegen. Das Sicherheitsmodul kann in eingebetteter Form in dem Endgerät vorliegen, wodurch dieses nicht durch ein anderes Identifikationsmodul austauschbar ist, sondern hardwaremäßig in das Endgerät integriert ist. Ein solches eingebettetes Sicherheitsmodul ist als eSIM oder eUICC bekannt. Das Sicherheitsmodul umfasst im vorliegenden Ausführungsbeispiel drei Subskriptionsdatensätze SD1, SD2 und SD3. Diese werden auch als Profil bezeichnet.
  • Die Subskriptionsdatensätze SD1, SD2, SD3 sind Bestandteil eines Ordners MSecDom. In dem Ordner MSecDom können neben den Subskriptionsdatensätzen SD1, SD2, SD3 ferner ein oder mehrere gemeinsame Speicherbereiche SD vorgesehen sein. Der Ordner MSecDom stellt eine mobile sichere Domäne dar. Neben diesem Ordner umfasst die Baumstruktur beispielhaft zwei weitere Ordner UserSecDom und ISD. Der Ordner UserSecDom ist für Nutzerdaten reserviert. Neben den genannten Ordnern können weitere Dateien EFs (sog. Elementary Files) und Ordner DF (Directory Files) in der Baumstruktur enthalten sein. Die Ordner MSecDom, UserSecDom und ISD, ebenso wie die Dateien EF und die Ordner DF sind in einem Master File MF angeordnet. In dem Master File MF sind beliebige Strukturen mit Ordnern und Dateien möglich.
  • Jeder Subskriptionsdatensatz SD1, SD2 umfasst zumindest Subskriptionsdaten, nämlich einen Identifikator IMSI (International Mobile Subscriber Identity) sowie einen Schlüssel Ki. Diese werden zur Authentisierung gegenüber einem Mobilfunknetzwerk benötigt. Diese Daten liegen in einem Ordner SIM1 bzw. SIM2 bzw. SIM3. Daneben kann jeder Subskriptionsdatensatz SD1, SD2, SD3 weitere Anwendungen, wie z. B. eine ISIM (eine andere Authentisierungsanwendung) umfassen.
  • In dem Ordner SIM1, SIM2, SIM3 ist neben den Subskriptionsdaten auch eine lokale, d. h. dem jeweiligen Subskriptionsdatum SD1, SD2, SD3 zugeordnete Authentifizierungsinformation PIN1, PIN2 bzw. PIN3 enthalten. Jeder der Authentifizierungsinformation PIN1, PIN2, PIN3 ist darüber hinaus ein Fehlbedienungszähler FBZ1, FBZ2, FBZ3 zugeordnet. Die in Bezug auf die Subskriptionsdatensätze SD1, SD2, SD3 mit durchbrochenen Linien dargestellten Kästchen repräsentieren weitere, optional vorhandene Anwendungen.
  • In dem in 1 gezeigten Ausführungsbeispiel sind lediglich die Subskriptionsdatensätze SD1, SD2 mittels eines Flags FA aktiviert. In der Zeichnung ist dies durch ein Kreuz gekennzeichnet. Demgegenüber ist der Subskriptionsdatensatz SD3 nicht-aktiv, so dass dieser Subskriptionsdatensatz SD3 durch einen Nutzer nicht auswählbar ist. Der mit durchbrochenen Linien gekennzeichnete Subskriptionsdatensatz SD4 mit den wie oben beschriebenen Subskriptionsdaten und Anwendungen ist zu einem späteren Zeitpunkt in das Sicherheitsmodul ladbar, zum gegenwärtigen Zeitpunkt jedoch nicht auf dem Sicherheitsmodul enthalten.
  • Der gemeinsame Speicher SD dient dazu, ein Statuselement FBZS („FBZ-Status”) über den Ablauf eines der Fehlbedienungszähler FBZ1, FBZ2, FBZ3 der Subskriptionsdateien SD1, SD2, SD3 anzuzeigen. Dies bedeutet, bei einer Eingabe einer Authentifizierungsinformation zur Verifikation gegenüber einem bestimmten Subskriptionsdatensatz SD1 oder SD2 wird das Statuselement FBZS auf einen vorgegebenen Wert gesetzt, wenn der betreffende Fehlbedienungszähler FBZ1 oder FBZ2 nach einer vorgegebenen Anzahl an Fehlbedienungen abgelaufen ist. Gegebenenfalls kann das Statuselement FBZS bereits beim Verändern des Fehlbedienungszählers aufgrund einer einmaligen Fehlbedienung eine Statusänderung gegenüber einem Status bei keiner vorliegenden Fehlbedienung anzeigen.
  • Empfängt das Sicherheitsmodul eine Verwaltungsanweisung eines Subskriptionsmanagements, welche das Laden, Installieren, Löschen, die Veränderung, Aktivierung oder Deaktivierung z. B. des Subskriptionsdatensatzes SD1 durchführen möchte, so wird vor der Ausführung der Verwaltungsanweisung überprüft, dass der Fehlbedienungszähler des Subskriptionsdatensatzes SD2 nicht abgelaufen ist. Dies erfolgt zweckmäßigerweise anhand der Überprüfung des Statuselements FBZS, dessen Wert in dem gemeinsamen Speicher SD flüchtig gespeichert ist. Weist das Statuselement FBZS den vorgegebenen ersten Wert auf, der anzeigt, dass der Fehlbedienungszähler des zweiten Subskriptionsdatensatzes abgelaufen ist, so wird die Verwaltungsanweisung nicht ausgeführt.
  • Das Statuselement lässt sich zurücksetzen, indem der Fehlbedienungszähler FBZ2 des zweiten Subskriptionsdatensatzes SD2 zurückgesetzt wird. Das Zurücksetzen kann beispielsweise mit Hilfe einer PUK des zweiten Subskriptionsdatensatzes SD2 erfolgen. Mit dem Zurücksetzen des Fehlbedienungszählers FBZ2 des zweiten Subskriptionsdatensatzes SD2 wird auch der Wert des Statuselementes FBZS auf einen Ausgangswert zurückgesetzt, welcher es ermöglicht, die den ersten Subskriptionsdatensatz SD1 betreffende Verwaltungsanweisung auszuführen.
  • 2 zeigt beispielhaft mehrere Anweisungen, welche die Wirkung des vorgeschlagenen Verfahrens aufzeigen. Anweisungen sind Verwaltungsanweisungen VA1, VA2, VA3, VA4 sowie Kommandos, welche die Verifikation einer Authentifizierungsinformation nach sich ziehen.
  • Die in 2a) gezeigte erste Verwaltungsanweisung VA1 bezweckt das Aktivieren des Subskriptionsdatensatzes SD3 („Aktiviere SD3”). Infolgedessen wird durch das Sicherheitsmodul die Verwaltungsanweisung VA1 geprüft, ebenso wie das Statuselement FBZS. Eine Überprüfung der dem Subskriptionsdatensatz SD3 zugeordneten Authentifizierungsinformation PIN3 findet hingegen nicht statt. Zeigt das Statuselement FBZS an, dass keiner der Fehlbedienungszähler FBZ1, FBZ2 der Subskriptionsdatensätze SD1, SD2 abgelaufen ist, so kann die Verwaltungsanweisung VA1 ausgeführt und der Subskriptionsdatensatz SD3 aktiviert werden. Dies wird durch das Antwortdatum „OK” signalisiert.
  • In 2b) erfolgt ein Kommando zur Verifizierung der Authentifizierungsinformation PIN3 („Verifiziere PIN3”). Als Reaktion hierauf prüft das Sicherheitsmodul zunächst den Fehlbedienungszähler FBZ3, welcher hier in Ordnung ist („OK”). Die Prüfung der Authentifizierungsinformation PIN3 ergibt, dass die eingegebene Authentifizierungsinformation falsch war. Das Statuselement FBZS wird dadurch auf den vorgegebenen ersten Wert („FBZSneu = „1”) gesetzt. Der Fehlbedienungszähler FBZ3 wird z. B. auf „0” dekrementiert.
  • Gemäß 2c) wird als Verwaltungsanweisung VA2 ein Auswahlbefehl („Wähle SD1”) übertragen, welcher durch das Sicherheitsmoduls ausgeführt wird („OK”), wodurch eine Auswahl des Subskriptionsdatensatzes SD1 erfolgt. Eine Überprüfung des Statuselements erfolgt nicht.
  • Gemäß 2d) wird ein Kommando zur Verifikation der Authentifizierungsinformation PIN1 übertragen („Verifiziere PIN1”). Infolgedessen überprüft das Sicherheitsmodul den Fehlbedienungszähler FBZ1 des ersten Subskriptionsdatensatzes SD1, der in Ordnung ist („OK”). Die Überprüfung ergibt, dass die eingegebene Authentifizierungsinformation in Ordnung ist („OK”). Damit wurde die Verifikation erfolgreich durchgeführt („OK”).
  • Gemäß 2e) wird mit einer dritten Verwaltungsanweisung VA3 der Ordner MsecDom ausgewählt („Wähle MSecDom”). Dies wird ohne weiteres ausgeführt („OK”), ohne eine Prüfung des Statuselements FBZS vorzunehmen.
  • Gemäß 2f) soll mit einer vierten Verwaltungsanweisung VA4 der Subskriptionsdatensatz SD2 gelöscht werden. Hierzu werden die Verwaltungsanweisung VA4 und das Statuselement FBZS geprüft (Prüfe VA4 + FBZS”). Da das Statuselement FBZS den vorgegebenen Wert 1 aufweist (siehe 2b), ist die Prüfung negativ („Fehler”). Das Löschen des Subskriptionsdatensatzes SD2 wird daher nicht ausgeführt.
  • Die Anweisungen werden in der Regel von außerhalb des Sicherheitsmoduls als Kommandos empfangen. Verwaltungsanweisungen können jedoch auch als interne Anweisungen von einer Instanz im Sicherheitsmodul empfangen werden.
  • Eine Verwaltungsanweisung kann einen neuen Subskriptionsdatensatz SD4 betreffen. Beispielsweise kann der neue Subskriptionsdatensatz SD4 mittels einer Verwaltungsanweisung „Laden” oder „Installieren” in das Sicherheitsmodul eingebracht werden.
  • Solange ein Subskriptionsdatensatz deaktiviert ist, ist dieser für eine Authentisierung nicht auswählbar. In 1 ist der Subskriptionsdatensatz SD3 deaktiviert, d. h. sein Fehlbedienungszähler FBZ3 ist damit irrelevant, solange ein Aktivieren des Subskriptionsdatensatzes SD3 verhindert bzw. ein Deaktivieren oder Löschen des zweiten Subskriptionsdatensatzes SD2 mit abgelaufenem Fehlbedienungszähler verhindert wird und/oder ein erneutes Installieren des gleichen Subskriptionsdatensatzes unter neuem Namen verhindert wird.
  • Eine Ausnahme von den genannten Vorgehensweisen können Provisionierungs-Subskriptionsdatensätze sein, da diese nicht einem Nutzer des Sicherheitsmoduls zugeordnet werden. Dadurch kann beispielsweise durch einen Fernzugriff über das Subskriptionsmanagement im Falle eines den vorgegebenen ersten Wert aufweisenden Statuselements das Sicherheitsmodul wieder freigeschaltet werden.

Claims (13)

  1. Verfahren in einem Sicherheitsmodul, in welchem mehrere Subskriptionsdatensätze (SD1, SD2, SD3) verwendet werden können, wobei jedem der Subskriptionsdatensätze (SD1, SD2, SD3) eine nur für diesen gültige Authentifizierungsinformation (PIN1, PIN2, PIN3) und ein Fehlbedienungszähler (FBZ1, FBZ2, FBZ3) zugeordnet ist, mit den Schritten: a) Empfangen einer Verwaltungsanweisung (VA1, VA2) zur Verwaltung eines ersten Subskriptionsdatensatzes (SD3, SD4); und b) Prüfen eines Sicherheitszustandes vor der Ausführung der Verwaltungsanweisung (VA1, VA2); dadurch gekennzeichnet, dass vor der Ausführung der Verwaltungsanweisung für den ersten Subskriptionsdatensatz (SD3, SD4) in dem Schritt des Prüfen des Sicherheitszustandes eine Verifizierung durchgeführt wird, dass ein Fehlbedienungszähler (FBZ1, FBZ2) zumindest eines zweiten Subskriptionsdatensatzes (SD1, SD2), der einem jeweiligen zweiten Subskriptiondatensatz (SD1, SD2) zugeordnet ist, nicht abgelaufen ist; und dass ein Statuselement (FBZS) anzeigt, ob der Fehlbedienungszähler (FBZ1, FBZ2) zumindest eines zweiten Subskriptionsdatensatzes (SD1, SD2) abgelaufen ist oder nicht; und dass die Verwaltungsanweisung (VA1, VA2) zur Verwaltung des ersten Subskriptionsdatensatzes (SD3, SD4) nicht ausgeführt wird, wenn das Statuselement (FBZS) anzeigt, dass der Fehlbedienungszähler (FBZ1, FBZ2) zumindest eines zweiten Subskriptionsdatensatzes (SD1, SD2) abgelaufen ist und/oder wenn der Fehlbedienungszähler (FBZ1, FBZ2) zumindest eines zweiten Subskriptionsdatensatzes (SD1, SD2) abgelaufen ist.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Verifizierung die Prüfung umfasst, dass keiner der Fehlbedienungszähler (FBZ1, FBZ2) aller zweiten Subskriptionsdatensätze (SD1, SD2) abgelaufen ist.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass das Statuselement (FBZS) auf einen vorgegebenen ersten Wert gesetzt wird, sobald oder zeitlich nachdem der Fehlbedienungszähler (FBZ1, FBZ2) zumindest eines zweiten Subskriptionsdatensatzes (SD1, SD2) abgelaufen ist, wobei der erste Wert anzeigt, dass einer der Fehlbedienungszähler (FBZ1, FBZ2) abgelaufen ist.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Verwaltungsanweisung (VA1, VA2) zur Verwaltung eines ersten Subskriptionsdatensatzes (SD3, SD4) ausgeführt wird, wenn der Fehlbedienungszähler (FBZ1, FBZ2) des zumindest einen zweiten Subskriptionsdatensatzes (SD1, SD2) nicht abgelaufen ist.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass mit der Verifikation der Authentifizierungsinformation (PIN1, PIN2) der Fehlbedienungszähler (FBZ1, FBZ2) des ersten Subskriptionsdatensatzes (SD3, SD4) geprüft wird.
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zur Ausführung der Verwaltungsanweisung (VA1, VA2) zur Verwaltung des ersten Subskriptionsdatensatzes (SD3, SD4) die Authentifizierungsinformation des zweiten Subskriptionsdatensatzes (SD1, SD2) nicht verarbeitet wird.
  7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der durch die Verwaltungsanweisung (VA1, VA2) zu verwaltende erste Subskriptionsdatensatz (SD3) ein auf dem Sicherheitsmodul gespeicherter Subskriptionsdatensatz oder ein neuer, auf das Sicherheitsmodul zu ladender und/oder installierender Subskriptionsdatensatz ist.
  8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass nur Fehlbedienungszähler (FBZ1, FBZ2) solcher zweiter Subskriptionsdatensätze (SD1, SD2) auf ihren Ablauf überprüft werden, die in dem Sicherheitsmodul als aktiv markiert sind.
  9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Ausführung der Verwaltungsanweisung für den ersten Subskriptionsdatensatz (SD3, SD4) ermöglicht wird, wenn oder sobald der Fehlbedienungszähler (FBZ1, FBZ2) des zumindest einen zweiten Subskriptionsdatensatzes (SD1, SD2) auf einen Ausgangswert zurückgesetzt ist.
  10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Sicherheitsmodul eine Nutzereingabe, die eine weitere Authentifizierungsinformation für ein das Sicherheitsmodul enthaltendes Endgerät ist, empfängt, wobei die Nutzereingabe durch das Sicherheitsmodul in die Authentifizierungsinformation für zumindest einen der Subskriptionsdatensätze umgesetzt und dem Sicherheitsmodul zur Prüfung und Authentifizierung des zumindest einen Subskriptionsdatensatzes übergeben wird.
  11. Sicherheitsmodul, das dazu ausgebildet ist, mehrere Subskriptionsdatensätze (SD1, SD2, SD3) zu speichern und verarbeiten, wobei jedem der Subskriptionsdatensätze (SD1, SD2, SD3) eine nur für diesen gültige Authentifizierungsinformation (PIN1, PIN2, PIN3) und ein Fehlbedienungszähler (FBZ1, FBZ2, FBZ3) zugeordnet ist, umfassend: a) ein erstes Mittel zum Empfangen einer Verwaltungsanweisung (VA1, VA2) zur Verwaltung eines ersten Subskriptionsdatenatzes (SD3, SD4); und b) ein zweites Mittel zum Prüfen eines Sicherheitszustandes vor der Ausführung der Verwaltungsanweisung (VA1, VA2); dadurch gekennzeichnet, dass das Sicherheitsmodul weiter dazu ausgebildet ist, vor der Ausführung der Verwaltungsanweisung für den ersten Subskriptionsdatensatz (SD3, SD4) in dem Schritt des Prüfen des Sicherheitszustandes eine Verifizierung durchzuführen, dass ein Fehlbedienungszähler (FBZ1, FBZ2) zumindest eines zweiten Subskriptionsdatenatzes (SD1, SD2), der einem jeweiligen zweiten Subskriptionsdatensatz (SD1, SD2) zugeordnet ist, nicht abgelaufen ist, dass ein Statuselement (FBZS) dazu ausgebildet ist, um anzuzeigen, ob der Fehlbedienungszähler (FBZ1, FBZ2) zumindest eines zweiten Subskriptionsdatenatzes (SD1, SD2) abgelaufen ist oder nicht; und dass das Sicherheitsmodul dazu ausgebildet ist die Verwaltungsanweisung (VA1, VA2) zur Verwaltung des ersten Subskriptionsdatensatzes (SD3, SD4) nicht auszuführen, wenn das Statuselement (FBZS) anzeigt, dass der Fehlbedienungszähler (FBZ1, FBZ2) zumindest eines zweiten Subskriptionsdatensatzes (SD1, SD2) abgelaufen ist und/oder wenn der Fehlbedienungszähler (FBZ1, FBZ2) zumindest eines zweiten Subskriptionsdatensatzes (SD1, SD2) abgelaufen ist.
  12. Sicherheitsmodul nach Anspruch 11, dadurch gekennzeichnet, dass dieses weitere Mittel zur Durchführung des Verfahrens nach einem der Ansprüche 2 bis 10 umfasst.
  13. Tragbarer Datenträger, umfassend ein Sicherheitsmodul gemäß Anspruch 11 oder 12.
DE102015015212.2A 2015-11-24 2015-11-24 Verfahren zum Betreiben eines Sicherheitsmoduls und Sicherheitsmodul Active DE102015015212B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102015015212.2A DE102015015212B4 (de) 2015-11-24 2015-11-24 Verfahren zum Betreiben eines Sicherheitsmoduls und Sicherheitsmodul

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015015212.2A DE102015015212B4 (de) 2015-11-24 2015-11-24 Verfahren zum Betreiben eines Sicherheitsmoduls und Sicherheitsmodul

Publications (2)

Publication Number Publication Date
DE102015015212A1 DE102015015212A1 (de) 2017-05-24
DE102015015212B4 true DE102015015212B4 (de) 2017-09-14

Family

ID=58693618

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015015212.2A Active DE102015015212B4 (de) 2015-11-24 2015-11-24 Verfahren zum Betreiben eines Sicherheitsmoduls und Sicherheitsmodul

Country Status (1)

Country Link
DE (1) DE102015015212B4 (de)

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
VODAFONE D2 GmbH: Bedienungsanleitung DuoBill. März 2010. - Firmenschrift *

Also Published As

Publication number Publication date
DE102015015212A1 (de) 2017-05-24

Similar Documents

Publication Publication Date Title
EP2898714B1 (de) Identitätsmodul zum authentisieren eines teilnehmers in einem kommunikationsnetzwerk
EP2910039B1 (de) Verfahren zum einbringen von teilnehmeridentitätsdaten in ein teilnehmeridentitätsmodul
EP2528362B1 (de) Wechsel von subskriptionsdaten in einem identifizierungsmodul
EP2862340A1 (de) Mobilstation mit bindung zwischen endgerät und sicherheitselement
EP2987350B1 (de) Mobilstation umfassend sicherheitsressourcen mit unterschiedlichen sicherheitsniveaus
DE102008046639A1 (de) Serversystem und Verfahren zur Bereitstellung mindestens einer Leistung
EP2673731B1 (de) Verfahren zur programmierung eines mobilendgeräte-chips
EP2528363A2 (de) Wechsel der Subskription in einem Identifizierungsmodul
EP3314933B1 (de) Kommunizieren eines teilnehmeridentitätsmoduls zu einem server, insbesondere bei profilwechsel
DE102015015212B4 (de) Verfahren zum Betreiben eines Sicherheitsmoduls und Sicherheitsmodul
EP2675193B1 (de) Chipkarte, Endgerät mit Chipkarte sowie Verfahren zum Modifizieren einer Chipkarte
EP1869921B1 (de) Verfahren zur verbesserung des missbrauchsschutzes bei einer chipkarte und eine chipkarte zur durchführung des verfahrens
EP2524333B1 (de) Verfahren zum bereitstellen eines sicheren zählers auf einem endgerät
WO2017190830A1 (de) Verfahren zur erstmaligen inbetriebnahme eines nicht vollständig personalisierten sicheren elements
DE102012011729A1 (de) Mobilstation mit festgesetztem Betriebsumfang
DE102016000324B4 (de) Verfahren zur Verwaltung von Identifikationsdaten mehrerer Anwendungen
DE19818998B4 (de) Verfahren zum Schutz vor Angriffen auf den Authentifizierungsalgorithmus bzw. den Geheimschlüssel einer Chipkarte
EP2723111B1 (de) Mehrfaktor-Authentifikation für mobile Endgeräte
DE102014018891A1 (de) Verfahren und Vorrichtungen zum Verwalten von Subskriptionen auf einem Sicherheitselement
WO2016116270A1 (de) Verfahren und vorrichtungen zum verwalten von subskriptionsprofilen auf einem mobilen endgerät
WO2016096147A1 (de) Verfahren zum verwalten einer anzahl von subskriptionen eines mobilfunknetzbetreibers auf einem sicherheitselement
WO2016008581A1 (de) Teilnehmeridentitätsmodul mit mehreren diensten
EP3269167B1 (de) Netzwerkzugangsunterstützung
WO2023051950A1 (de) Universal integrated chip card, uicc, zum verwalten von profilen, sowie verfahren
DE102014210434A1 (de) Verfahren und System zur Herstellung einer gesicherten Kommunikationsverbindung zwischen einer ersten und zweiten Vorrichtung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE

R020 Patent grant now final
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT EPAYMENTS GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT EPAYMENTS GMBH, 81677 MUENCHEN, DE