DE102016000324A1 - Verfahren zur Verwaltung von Identifikationsdaten mehrerer Anwendungen - Google Patents

Verfahren zur Verwaltung von Identifikationsdaten mehrerer Anwendungen Download PDF

Info

Publication number
DE102016000324A1
DE102016000324A1 DE102016000324.3A DE102016000324A DE102016000324A1 DE 102016000324 A1 DE102016000324 A1 DE 102016000324A1 DE 102016000324 A DE102016000324 A DE 102016000324A DE 102016000324 A1 DE102016000324 A1 DE 102016000324A1
Authority
DE
Germany
Prior art keywords
application
identification
server
terminal
date
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102016000324.3A
Other languages
English (en)
Other versions
DE102016000324B4 (de
Inventor
Nikola Mamuzic
Ulrich Wimböck
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke+devrient Mobile Security Germany De GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE102016000324.3A priority Critical patent/DE102016000324B4/de
Publication of DE102016000324A1 publication Critical patent/DE102016000324A1/de
Application granted granted Critical
Publication of DE102016000324B4 publication Critical patent/DE102016000324B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/45Security arrangements using identity modules using multiple identity modules

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung beschreibt ein Verfahren zur Verwaltung von Identifikationsdaten mehrerer Anwendungen eines Endgeräts (20), bei dem ein Identifikationsdatum (23) einer ersten Anwendung (22) einem Server (10) übergeben wird. Ferner fügt der Server (10) das erhaltene Identifikationsdatum (23) in zumindest eine gleichartige, zweite Anwendung (24, 25) ein.

Description

  • Die Erfindung betrifft ein Verfahren zur Verwaltung von Identifikationsdaten mehrerer Anwendungen.
  • Für eine auf einem Endgerät installierte Subskription ist zum Schutz vor unbefugten Zugriffen ein Identifikationsdatum, wie z. B. eine persönliche Identifikationsnummer (PIN), vorgesehen. Bei Endgeräten besteht zudem die Möglichkeit, mehrere Subskriptionen zu nutzen. Dabei besteht das Problem, dass bei jedem Wechsel der Subskription der Nutzer ein der Subskription zugeordnetes, individuelles Identifikationsdatum eingeben muss. Da in Zukunft auch vorgesehen ist, mehrere Subskriptionen auf einem Endgerät oder sogar einem einzigen Identifikationsmodul in Gestalt einer Universal Integrated Chip Card (UICC) vorzusehen, ist es erforderlich, bei einer Mehrzahl von Subskriptionen eine Mehrzahl an zugeordneten Identifikationsdaten kennen zu müssen.
  • Derartige Identifikationsmodule bieten darüber hinaus die Möglichkeit, mittels Subskriptionsmanagement auch neue Subskriptionen auf das Endgerät bzw. dessen Identifikationsmodul laden zu können, wenn das Endgerät bereits in Benutzung ist. Auch diesen neuen Subskriptionen ist ein individuelles Identifikationsdatum zugeordnet, das ein Nutzer kennen muss.
  • Die Aufgabe der Erfindung ist es, ein Verfahren anzugeben, mit dem eine vereinfachte Verwaltung von Identifikationsdaten mehrerer Anwendungen ermöglicht wird.
  • Diese Aufgabe wird gelöst durch ein Verfahren gemäß den Merkmalen des Patentanspruches 1. Vorteilhafte Ausgestaltungen ergeben sich aus den abhängigen Patentansprüchen.
  • Zur Lösung dieser Aufgabe wird ein Verfahren zur Verwaltung von Identifikationsdaten mehrerer Anwendungen eines Endgeräts vorgeschlagen, bei dem gemäß einem Schritt a) ein Identifikationsdatum einer ersten Anwendung einem Server übergeben wird; und gemäß einem Schritt b) der Server das erhaltene Identifikationsdatum in zumindest eine gleichartige, zweite Anwendung einfügt.
  • Unter einer Anwendung im Sinne der vorliegenden Beschreibung ist insbesondere eine (Netzwerk-)Subskription zu verstehen. Die Anwendung (SIM, USIM, ISIM) kann auf einem auf einem Identifikationsmodul gespeichert sein. Ein Identifikationsmodul kann eine SIM(Subscriber Identity Module)-Karte, eine UICC oder eingebettete UICC (embedded Universal Integrated Chip Card, eUICC, TPM-Modul) sein. Die Anwendung kann auf dem Endgerät gespeichert und ausgeführt werden (virtuelle SIM), vorzugsweise in einem Trusted Execution Environment, TEE, des Endgerätes im Sinne einer Global Platform-Spezifikation.
  • Das Verfahren der vorliegenden Erfindung nutzt die Mechanismen des sog. Subskriptionsmanagements (Subscription Management), welche zur Provisionierung einer Subskription auf ein Endgerät dienen. Das Subskriptionsmanagement bietet einen sicheren Kommunikationskanal zwischen dem Identifikationsmodul und einem Server, der das Subskriptionsmanagement ausführt. Dieser sichere Kommunikationskanal wird verwendet, um das der ersten Anwendung zugeordnete Identifikationsdatum von dem Endgerät bzw. dessen Identifikationsmodul zu dem Server zu übertragen. Damit ist es möglich, dieses, der ersten Anwendung zugeordnete Identifikationsdatum auf eine oder mehrere gleichartige Anwendungen zu übertragen und diese zu personalisieren.
  • Dadurch ist das Identifikationsdatum nicht mehr an eine bestimmte Anwendung (auch als Profil bezeichnet) oder das Identifikationsmodul selbst gebunden, sondern an den Nutzer des Endgeräts. Dieser kann ein einmalig, z. B. von ihm, vergebenes Identifikationsdatum nutzen, welches dann beim Ersatz eines Identifikationsmoduls oder einer weiteren, zweiten Anwendung automatisch übernommen wird. Dadurch kann eine aufwändige Verteilung von Identifikationsdaten, welche einer jeweiligen zweiten Anwendung zugeordnet sind, entfallen.
  • Die erste und die zumindest eine zweite Anwendung sind auf dem Endgerät gespeicherte Subskriptionen. Die erste und die zumindest eine zweite Anwendung können gemeinsam auf einem Sicherheitsmodul des Endgeräts gespeichert werden. Alternativ sind die erste und die zumindest eine zweite Anwendung in jeweiligen Sicherheitsmodulen des Endgeräts gespeichert.
  • Das Identifikationsdatum der ersten Anwendung kann dem Server auf unterschiedliche Weisen übergeben werden. Zum einen kann das Identifikationsdatum von einem Nutzer des Endgeräts in eine Eingabemaske des Servers eingegeben werden. Hierzu ist es nicht erforderlich, dass die Eingabemaske an einer Schnittstelle des Servers bedient wird. Stattdessen kann die Eingabemaske auch auf einem mit dem Server verbundenen Terminal angezeigt werden. Alternativ kann das Identifikationsdatum von dem Endgerät oder dem bereits erwähnten Identifikationsmodul (d. h. der SIM-Karte, der UICC oder der eUICC) automatisch über einen sicheren Kanal an den Server übertragen werden. Die Übertragung über den sicheren Kanal kann dabei mit Hilfe von gängigen und dem Fachmann bekannten Sicherungsmechanismen erfolgen. Insbesondere kann vor der Übertragung des Identifikationsdatums das Identifikationsdatum mit einem individuellen Schlüssel des Identifikationsmoduls verschlüsselt werden. Dadurch ist die Gefahr eines Missbrauchs reduziert, so dass ein und dasselbe Identifikationsdatum auch sicher für die zumindest eine zweite Anwendung genutzt werden kann.
  • Gemäß einer weiteren Ausgestaltung wird das Identifikationsdatum mit einem weiteren Schlüssel auf dem Server gespeichert, bevor der Schritt des Einfügens in die zumindest eine zweite Anwendung erfolgt. Hierdurch ist es möglich, dass das Identifikationsdatum auch für einen längeren Zeitraum auf dem Server gespeichert werden kann, um bei Bedarf in andere, gleichartige zweite Anwendungen eingefügt zu werden. Darüber hinaus kann das Identifikationsdatum nicht von einem Betreiber des Servers ausgelesen werden.
  • Das zu übertragende Identifikationsdatum von dem Endgerät bzw. dessen Identifikationsmodul zu dem Server kann mit einem individuellen Schlüssel des Identifikationsmoduls verschlüsselt und nach der Übertragung auf dem Server mittels HSM und einem definierten Ableitungsmechanismus mit dem weiteren Schlüssel verschlüsselt abgelegt werden. Das derart gespeicherte Identifikationsdatum kann nun mit Hilfe der gleichen Mechanismen auf die Profile der Identifikationsmodule, welche auf dem gleichen Identifikationsmodul oder einem anderen Identifikationsmodul gespeichert sind, übertragen werden.
  • Durch das Umverschlüsseln des Identifikationsmoduls ist es sichergestellt, dass das Identifikationsmodul selbst nur dem Benutzer bekannt ist. Ein Dienstebetreiber ist demgegenüber nicht in der Lage, das Identifikationsdatum auszuspähen.
  • Die erste Anwendung und die zumindest eine zweite Anwendung können Subskriptionsdatensätze, welche in Gestalt sog. Profile vorliegen, gleicher oder unterschiedlicher Netzbetreiber sein. Die erste Anwendung und die zumindest eine zweite Anwendung können darüber hinaus gleichartige Zahlungsanwendungen gleicher oder unterschiedlicher Netzbetreiber sein. Im Rahmen der Nutzung eines identischen Identifikationsdatums für gleichartige Zahlungsanwendungen kann beispielsweise eine gleiche PIN für gleichartige Kreditkarten-Anwendungen genutzt werden.
  • Die zumindest eine zweite Anwendung kann gemäß einer weiteren Ausgestaltung von dem Server auf das Endgerät nachgeladen werden.
  • Darüber hinaus ist es möglich, dass die zumindest eine zweite Anwendung von dem Server mit dem Identifikationsdatum personalisiert wird.
  • Gemäß einer weiteren Ausgestaltung kann das Identifikationsdatum als zusätzlicher Parameter parallel zu der zugeordneten zweiten Anwendung von dem Server an das Endgerät übertragen werden. Dies hat den Vorteil, dass das Paket, das die zweite Anwendung umfasst, bei der Übertragung von dem Server an das Endgerät bzw. dessen Identifikationsmodul unberührt bleibt. Bei der Installation wird dann das Identifikationsdatum verwendet, welches von dem Server mit übertragen wird. Im Gegensatz dazu wird bislang ein Nutzer-Identifikationsdatum für eine Übertragung auf das Endgerät bzw. dessen Identifikationsmodul mit auf dieses provisioniert. Das Identifikationsdatum ist bislang vorgeneriert und Teil eines zu ladenden Profilpakets (des sog. Profile Download Packages). Die Modifikation dieser Daten ist in Echtzeit schwierig durchzuführen und auch aus Sicherheitsgründen problembehaftet. Um Probleme zu vermeiden, ist daher bislang das Identifikationsdatum typischerweise deaktiviert. Demgegenüber kann mit dem vorgeschlagenen Vorgehen beispielsweise das durch den Nutzer selbst erzeugte Identifikationsdatum genutzt werden.
  • Das Identifikationsdatum kann zur Installation der zugeordneten zweiten Anwendung dann auf dem Endgerät verarbeitet werden.
  • Eine Sicherung des Identifikationsdatums kann durch den individuellen Schlüssel des Identifikationsmoduls und einem Transportschlüssel vorgenommen werden. Hierdurch ist sichergestellt, dass das parallel zu den Daten der zugeordneten zweiten Anwendung übertragene Identifikationsdatum sicher an das Endgerät bzw. das Identifikationsmodul übertragen werden kann.
  • Im Ergebnis ist somit die Übertragung eines vordefinierten Identifikationsdatums an den Nutzer nicht erforderlich, da er das Identifikationsdatum bereits selbst kennt. Des Weiteren kann eine erneute Eingabe des Identifikationsdatums erfolgen, wenn eine neue Anwendung auf das Identifikationsmodul über eine Luftschnittstelle (OTA – Over-The-Air) geladen wird.
  • Eine weitere Ausgestaltung sieht vor, dass eine jeweilige zweite Anwendung bei ihrer Generierung mit einem weiteren individuellen Schlüssel der zweiten Anwendung verschlüsselt wird, das bei Bedarf an das Endgerät übertragen wird, wobei nur der Transportschlüssel für das Endgerät individuell verschlüsselt wird. Hierdurch ist es möglich, die zweite Anwendung bereits bei Generierung mit einem individuellen Schlüssel zu verschlüsseln, wie es für die Verschlüsselung zum Zeitpunkt der Übertragung mit einem Bereitstellungsschlüssel (sog. Provisioning Key) notwendig wäre. Zum Zeitpunkt der Übertragung wird der zuletzt genannte Bereitstellungsschlüssel lediglich nur noch dazu verwendet, den Anwendungs-individuellen Schlüssel auf das Identifikationsmodul zu laden. Anschließend können die so vorbereiteten Daten einfach an das Identifikationsmodul übertragen werden, ohne dass diese neu verschlüsselt werden müssen. Dadurch kann die Bereitstellung einer zweiten Anwendung in Gestalt eines sog. Profilpakets (Profile Packages) erheblich beschleunigt werden, da zum Zeitpunkt des Abrufs und Übertragens keine aufwändige Verarbeitung der Daten erforderlich ist. Dies erhöht die Zuverlässigkeit und Durchsatzrate des Servers bei zugleich geringen Kosten erheblich, da das Vorgehen wesentlich ressourcenschonender und effizienter ist.
  • Demgegenüber wird im Rahmen eines bekannten Übertragens einer Anwendung (sog. Profile Download) durch eine als „Subscription Manager-Secure Rooting (SM-SR)” bezeichnete Funktionalität ein sog. „Issuer Security Domain-Profile (ISD-P)” auf dem Identifikationsmodul angelegt. Eine als „Subscription Manager-Data Preparation (SM-DP)” bezeichnete Funktionalität des Servers tauscht dann mit dem Identifikationsmodul einen als „Download Key” bezeichneten Schlüssel aus, der in die ISD-P geladen wird. In einem darauf folgenden Schritt wird dann die Anwendung (das Profil) mit dem Download Key auf das Identifikationsmodul personalisiert. Für den Download wird die vollständige Anwendung (das vollständige Profil) mit dem bereits erwähnten Bereitstellungsschlüssel (Provisioning Key) verschlüsselt. Die Verschlüsselung kann dadurch jedoch erst zum Zeitpunkt des Übertragens erfolgen, da dieser zum Zeitpunkt der Erstellung des vollständigen Datenpakets (sog. Download Packages) nicht bekannt ist. Dies verursacht jedoch einen hohen Aufwand in dem Server, welcher üblicherweise HSMs für die Verschlüsselung verwendet.
  • Demgegenüber kann bei dem erfindungsgemäß vorgeschlagenen Verfahren der Schlüssel, mit dem das vollständige Profilpaket verschlüsselt ist, temporär für den Vorgang der Übertragung auf dem Identifikationsmodul gespeichert werden.
  • Auch eine weitere kryptographische Absicherung des Transportkanals ist möglich, z. B. mit Hilfe von Session Keys, einer Absicherung gegen Replay-Attacken und dergleichen. Diese dem Fachmann geläufigen Mechanismen sind transparent für das zu übertragende Datenpaket (Profile Package), welches über einen entsprechenden Übertragungskanal übertragen wird. Das Provisionieren des Weiteren individuellen Schlüssels der zweiten Anwendung (des Profile Encryption Keys) erfolgt mit dem Bereitstellungsschlüssel (Provisioning Key). Der Transportschlüssel (Profile Encryption Key) wird dabei mit einem nur dem Server bekannten Schlüssel zur Absicherung verschlüsselt. Die Entschlüsselung des Transportschlüssels mit dem, dem Server bekannten Schlüssel (Encryption Unit Key) erfolgt vorzugsweise im HSM, wobei der Transportschlüssel zweckmäßigerweise sofort für die Übertragung auf das Identifikationsmodul vorbereitet wird, so dass dieser nicht in lesbarer Form außerhalb des HSMs vorliegt.
  • Das Identifikationsdatum ist bevorzugt ein konstantes Identifikationsdatum, das vorzugsweise benutzerindividuell ist. Beispiele für ein Identifikationsdatum sind eine PIN, ein biometrisches Datenelement (abgeleitet aus Fingerabdruck, Irisbild, Sprachmustererkennung oder Handvenenbild) oder ein ähnliches Benutzerdatenelement (z. b. abgeleitet aus einer Benutzergeste oder einer Benutzerauswahl).
  • Die Erfindung wird nachfolgend näher anhand eines Ausführungsbeispiels in der Zeichnung erläutert. Es zeigen:
  • 1 eine schematische Darstellung eines Systems zur Durchführung des erfindungsgemäßen Verfahrens;
  • 2 ein Diagramm, das die Kommunikation der beteiligten Komponenten zur Durchführung des erfindungsgemäßen Verfahrens gemäß einer ersten Ausgestaltungsvariante zeigt;
  • 3 ein Diagramm, das die Kommunikation der beteiligten Komponenten zur Durchführung des erfindungsgemäßen Verfahrens gemäß einer zweiten Ausgestaltungsvariante zeigt; und
  • 4 eine schematische Darstellung, welche Sicherheitsaspekte der späteren Verteilung von Subskriptionen zeigt.
  • 1 zeigt eine schematische Darstellung der zur Durchführung des erfindungsgemäßen Verfahrens beteiligten Komponenten. Das System umfasst einen Server 10 sowie ein Endgerät 20, beispielsweise ein Mobilfunkendgerät wie ein Smartphone, ein Tablet PC und dergleichen. Der Server 10 kann mit einem nicht näher dargestellten Terminal zur Eingabe und Ausgabe von Informationen verbunden sein oder ein solches Terminal umfassen.
  • Das Endgerät 20 umfasst in diesem Ausführungsbeispiel ein Identifikationsmodul 21, z. B. in Gestalt einer SIM-Karte oder einer UICC. Das Identifikationsmodul 21 kann in eingebetteter Form in dem Endgerät 20 vorliegen, wodurch dieses nicht durch ein anderes Identifikationsmodul austauschbar ist, sondern hardwaremäßig in das Endgerät 20 integriert ist. Ein solches eingebettetes Identifikationsmodul ist als eSIM oder eUICC bekannt. Das Identifikationsmodul 21 umfasst eine erste Anwendung 22, der ein Identifikationsdatum 23, z. B. eine PIN, zugeordnet ist. Das Identifikationsdatum 23 kann beispielsweise durch einen Nutzer des Endgeräts 20 vergeben sein und soll in diesem Ausführungsbeispiel beispielhaft „1234” betragen.
  • Zudem sind auf dem Identifikationsmodul 21 weitere, zweite Anwendungen 24 und 26 vorgesehen, welche einen sog. Profil- oder Subskriptionswechsel ermöglichen. Die Anzahl der zweiten Anwendungen 24, 26 ist grundsätzlich beliebig. Wie durch das nachfolgend näher beschriebene Verfahren ersichtlich werden wird, findet zwischen dem Endgerät 20 und dem Server 10 über einen Kommunikationskanal 30 eine Kommunikation statt, welche es erlaubt, dass das der ersten Anwendung 22 zugeordnete Identifikationsdatum 23 auch den weiteren, zweiten Anwendungen 24, 26 zugeordnet wird, wie dies in 1 dargestellt ist. Es ist ohne weiteres ersichtlich, dass das den zweiten Anwendungen 24, 26 zugeordnete Identifikationsdatum 25, 27 dem Identifikationsdatum 23 der ersten Anwendung 22 entspricht. Dementsprechend weisen diese ebenfalls den Wert „1234” auf.
  • Um eine Synchronisation des Identifikationsdatums 23 der ersten Anwendung mit den Identifikationsdaten 25, 27 der zweiten Anwendungen 24, 26 realisieren zu können, ist auf dem Identifikationsmodul 21 ein individueller Schlüssel 28 des Identifikationsmoduls vorgesehen. Darüber hinaus umfasst der Server 10 einen weiteren Schlüssel 11, welcher als Speicherschlüssel (Storage Key) bezeichnet wird.
  • Der zwischen dem Server 10 und dem Endgerät 20 bzw. dessen Identifikationsmodul 21 vorhandene Kommunikationskanal 30 ist ein sicherer Kommunikationskanal, welcher im Rahmen der sog. Subskriptions-Management-Lösung existiert. Dieser sichere Kommunikationskanal 30 wird dazu verwendet, um das Identifikationsdatum 23 der ersten Anwendung 22 (welche eine aktive Subskription oder ein aktives Profil darstellt) zu dem Server 10 zu übertragen, um anschließend dieses auf die anderen Anwendungen 24, 26 zu deren Personalisierung zu übertragen.
  • Die Übertragung des Identifikationsdatums 23 zu dem Server 10 erfolgt unter einer Verschlüsselung des Identifikationsdatums 23 mit dem individuellen Schlüssel 28 des Identifikationsmoduls 21. Auf Seiten des Servers 10 wird das empfangene Identifikationsdatum 23 mittels HSM und einem definierten Ableitungsmechanismus mit dem weiteren Schlüssel 11 verschlüsselt abgelegt. Ein hierzu erforderlicher Speicher ist in 1 nicht gesondert dargestellt. Der Speicher könnte beispielsweise Bestandteil des Servers oder eine davon getrennte Komponente sein. Das in dem Speicher abgelegte Identifikationsdatum kann nun mit Hilfe der gleichen Mechanismen auf die zweiten Anwendungen 24, 26 übertragen werden.
  • Durch das Umverschlüsseln des Identifikationsdatums 23 ist sichergestellt, dass dessen Wert „1234” selbst nur dem Benutzer bekannt ist. Ein Dienstebetreiber ist demgegenüber nicht in der Lage, den Wert des Identifikationsdatums 23 zu ermitteln oder auszuspähen.
  • Obwohl die zweiten Anwendungen 24, 26 im Ausführungsbeispiel der 1 im gleichen Identifikationsmodul 21 wie die erste Anwendung 22 angeordnet sind, könnten die zweiten Anwendungen 24, 26 auch auf einem davon separaten Identifikationsmodul vorgesehen sein. Ebenso könnte für jede zweite Anwendung ein jeweils zugeordnetes Identifikationsmodul vorgesehen sein.
  • Die 2 und 3 zeigen zwei alternative Kommunikationsabläufe der in Verbindung mit 1 beschriebenen Komponenten. Dabei wird in der Ausgestaltung gemäß 2 das Identifikationsdatum 23 nicht direkt von dem Identifikationsmodul 21 an den Server 10 übertragen, vielmehr erfolgt eine Eingabe des Identifikationsdatums 23 durch einen Nutzer an dem bereits erwähnten Terminal 5 über eine Eingabemaske. Nach Eingabe des Identifikationsdatums 23 in die Eingabemaske des Terminals 5 erfolgt die oben beschriebene Verschlüsselung mit Hilfe des weiteren Schlüssels 11 in dem Server 10. Anschließend wird das verschlüsselte Identifikationsdatum 23 von dem Server 10 an das Endgerät 20 bzw. dessen Identifikationsmodul 21 übertragen. Von dort gelangt das Identifikationsdatum 23 zu den zweiten Anwendungen 24, 26 und wird diesen als Identifikationsdatum 25, 27 mit dem Identifikationsdatum 23 entsprechenden Wert (hier: „1234”) zugeordnet.
  • Demgegenüber zeigt 3 das oben bereits beschriebene Vorgehen, gemäß dem das Identifikationsdatum 23 mit dem Wert „1234” von der ersten Anwendung 22 über das Identifikationsmodul 21 an den Server 10 über den gesicherten Kommunikationskanal 30 übertragen wird. Die Übertragung erfolgt verschlüsselt unter Verschlüsselung des Identifikationsdatums 23 mit dem individuellen Schlüssel 28 des Identifikationsmoduls 21. Wie beschrieben, wird das Identifikationsdatum 23 unter Verwendung des weiteren Schlüssels 11 verschlüsselt auf dem Server 10 abgespeichert. Anschließend erfolgt über den Kommunikationskanal 30 die verschlüsselte Übertragung des Identifikationsdatums 23. Dieses wird der ersten und der zweiten Anwendung 24, 26 als Identifikationsdatum 25, 27 zugeordnet, wobei diese den Wert „1234” des Identifikationsdatums 23 aufweisen.
  • Hierdurch ist das Identifikationsdatum nicht mehr an ein Profil bzw. eine Anwendung des Identifikationsmoduls gebunden. Vielmehr kann der Nutzer des Endgeräts 20 das Identifikationsdatum (d. h. dessen Wert) einmalig vergeben, wobei bei einem Ersatz des Identifikationsmoduls oder der Bereitstellung einer zweiten Anwendung (z. B. einer zweiten Subskription) der Wert des Identifikationsdatums automatisch übernommen wird. Hierdurch kann eine aufwändige Verteilung des Identifikationsdatums mittels Brief entfallen.
  • Wird über den sicheren Kommunikationskanal 30 neben dem Identifikationsdatum 25 und/oder 27 auch zusätzlich die zugeordnete zweite Anwendung 24 und/oder 26 übertragen, so ist es zweckmäßig, wenn die Identifikationsdaten 25, 27 separat von dem jeweils zugeordneten zweiten Anwendungen 25, 27 übertragen wird.
  • Soll zu einem späteren Zeitpunkt nach der Bereitstellung des Identifikationsmoduls 21 eine zweite Anwendung nachgeladen werden, so kann diese bereits verschlüsselt auf dem Server 10 vorgehalten werden. Die zweite Anwendung kann dann als verschlüsselte Anwendung bei Bedarf an das Endgerät 20 und dessen Identifikationsmodul 21 übertragen werden, wobei nur ein Transport-Schlüssel noch in einer sog. Management Session für den Empfänger, das Endgerät bzw. dessen Identifikationsmoduls, individuell verschlüsselt wird.
  • 4 zeigt in einer schematischen Darstellung zu berücksichtigende Sicherheitsaspekte beim Laden eines Profils (beispielsweise entsprechend der zweiten Anwendung in 1) auf ein Identifikationsmodul 21 eines hier nicht weiter dargestellten Endgeräts.
  • Das Bezugszeichen 40 bezeichnet ein sog. Profil-Paket, das sich aus dem verschlüsselten Profil 42E (beispielsweise der verschlüsselten Anwendung 24 aus 1) und einem verschlüsselten Schlüssel 41E des Profil-Pakets zusammensetzt. Der (unverschlüsselte) Schlüssel des Profil-Pakets ist mit dem Bezugszeichen 41 gekennzeichnet. Eine Verschlüsselung des Schlüssels 41 des Profil-Pakets erfolgt mit Hilfe eines Schlüssels 46 einer Wiederverschlüsselungseinheit 45. Die Wiederverschlüsselungseinheit 45 umfasst darüber hinaus einen Profil-Bereitstellungsschlüssel 47.
  • Das verschlüsselte Profil 42E umfasst spezifische Informationen einer Subskription, wie z. B. eine IMSI (International Mobile Subscriber Identity), einer ICCID (Integrated Circuit Card Identifier) sowie einer oder mehrerer Identifikationsdaten (PIN). Darüber hinaus umfasst das Profil sog. Credentials des Mobilfunknetzwerkbetreibers, z. B. K, OPc, OTA-Schlüssel sowie weitere Anwendungsschlüssel. In dem Profil sind weiterhin Einstellungen für die OTA(Over-The-Air)-Konfiguration enthalten, ebenso wie eine Spezifikation des gesamten Dateisystems. Ebenso können JAVA-Applikationen Bestandteil des Profils sein.
  • In einer mit 48 bezeichneten Einheit erfolgen eine Entschlüsselung des Schlüssels 41 des Profil-Pakets und ein Download unter Verwendung des Profil-Bereitstellungsschlüssels. Ebenso erfolgt ein Download des verschlüsselten Profils 42E. Unter Nutzung des Profil-Bereitstellungsschlüssels 47 und des Schlüssels 41 des Profil-Pakets kann dann eine Entschlüsselung des verschlüsselten Profils 42E in dem Identifikationsmodul 21 erfolgen.

Claims (15)

  1. Verfahren zur Verwaltung von Identifikationsdaten mehrerer Anwendungen eines Endgeräts (20), bei dem a) ein Identifikationsdatum (23) einer ersten Anwendung (22) einem Server (10) übergeben wird; b) der Server (10) das erhaltene Identifikationsdatum (23) in zumindest eine gleichartige, zweite Anwendung (24, 25) einfügt.
  2. Verfahren nach Anspruch 1, bei dem die erste und die zumindest eine zweite Anwendung (24, 25) auf dem Endgerät (20) gespeicherte Subskriptionen sind.
  3. Verfahren nach Anspruch 1 oder 2, bei dem das Identifikationsdatum (23) von einem Benutzer des Endgeräts (20) in eine Eingabemaske des Servers (10) eingegeben wird.
  4. Verfahren nach Anspruch 1 oder 2, bei dem das Identifikationsdatum (23) von dem Endgerät (20) oder einem Identifikationsmodul (21) automatisch über einen sicheren Kanal an den Server (10) übertragen wird.
  5. Verfahren nach Anspruch 4, bei dem vor der Übertragung des Identifikationsdatums (23) das Identifikationsdatum (23) mit einem individuellen Schlüssel (26) des Identifikationsmoduls (21) verschlüsselt wird.
  6. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das Identifikationsdatum (23) mit einem weiteren Schlüssel auf dem Server (10) gespeichert wird bevor der Schritt des Einfügens in die zumindest eine zweite Anwendung (24, 25) erfolgt.
  7. Verfahren nach einem der Ansprüche 1 bis 6, bei dem die erste Anwendung (22) und die zumindest eine zweite Anwendung (24, 25) Subskriptionsdatensätze gleicher oder unterschiedlicher Netzbetreiber sind.
  8. Verfahren nach einem der Ansprüche 1 bis 6, bei dem die erste Anwendung (22) und die zumindest eine zweite Anwendung (24, 25) gleichartige Zahlungsanwendungen gleicher oder unterschiedlicher Netzbetreiber sind.
  9. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die zumindest eine zweite Anwendung (24, 25) von dem Server (10) auf das Endgerät (20) nachgeladen wird.
  10. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die zumindest eine zweite Anwendung (24, 25) von dem Server (10) mit dem Identifikationsdatum (23) personalisiert wird.
  11. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das Identifikationsdatum (23) als zusätzlicher Parameter parallel zu der zugeordneten zweiten Anwendung (24, 25) von dem Server (10) an das Endgerät (20) übertragen wird.
  12. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das Identifikationsdatum (23) zur Installation der zugeordneten zweiten Anwendung (24, 25) auf dem Endgerät (20) verarbeitet wird.
  13. Verfahren nach einem der vorhergehenden Ansprüche, bei dem eine Sicherung des Identifikationsdatums (23) durch den individuellen Schlüssel des Identifikationsmoduls (21) und einen Transportschlüssel vorgenommen wird.
  14. Verfahren nach einem der vorhergehenden Ansprüche, bei dem eine jeweilige zweite Anwendung (24, 25) bei ihrer Generierung mit einem weiteren individuellen Schlüssel der zweiten Anwendung (24, 25) verschlüsselt wird, das bei Bedarf an das Endgerät (20) übertragen wird, wobei nur der Transportschlüssel für das Endgerät (20) individuell verschlüsselt wird.
  15. Server (10) eingerichtet zur Ausführung eines Verfahrens nach einem der Ansprüche 1 bis 14.
DE102016000324.3A 2016-01-13 2016-01-13 Verfahren zur Verwaltung von Identifikationsdaten mehrerer Anwendungen Active DE102016000324B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102016000324.3A DE102016000324B4 (de) 2016-01-13 2016-01-13 Verfahren zur Verwaltung von Identifikationsdaten mehrerer Anwendungen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016000324.3A DE102016000324B4 (de) 2016-01-13 2016-01-13 Verfahren zur Verwaltung von Identifikationsdaten mehrerer Anwendungen

Publications (2)

Publication Number Publication Date
DE102016000324A1 true DE102016000324A1 (de) 2017-07-13
DE102016000324B4 DE102016000324B4 (de) 2023-07-27

Family

ID=59118801

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016000324.3A Active DE102016000324B4 (de) 2016-01-13 2016-01-13 Verfahren zur Verwaltung von Identifikationsdaten mehrerer Anwendungen

Country Status (1)

Country Link
DE (1) DE102016000324B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023186348A1 (de) * 2022-03-30 2023-10-05 Giesecke+Devrient ePayments GmbH Verfahren zur verwaltung einer anwendung zur elektronischen identifizierung eines nutzers

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150012995A1 (en) * 2013-07-02 2015-01-08 Verizon Patent And Licensing Inc. System and Method for Providing Single Sign On Interface for Applications on Mobile Devices
US20150188907A1 (en) * 2013-12-31 2015-07-02 Cellco Partnership D/B/A Verizon Wireless Remote authentication method with single sign on credentials

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150012995A1 (en) * 2013-07-02 2015-01-08 Verizon Patent And Licensing Inc. System and Method for Providing Single Sign On Interface for Applications on Mobile Devices
US20150188907A1 (en) * 2013-12-31 2015-07-02 Cellco Partnership D/B/A Verizon Wireless Remote authentication method with single sign on credentials

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023186348A1 (de) * 2022-03-30 2023-10-05 Giesecke+Devrient ePayments GmbH Verfahren zur verwaltung einer anwendung zur elektronischen identifizierung eines nutzers

Also Published As

Publication number Publication date
DE102016000324B4 (de) 2023-07-27

Similar Documents

Publication Publication Date Title
EP3198903B1 (de) Verfahren und vorrichtungen zum bereitstellen eines subskriptionsprofils auf einem mobilen endgerät
DE102020003275B3 (de) Personalisierung eines Secure Element
WO2016050333A1 (de) Verfahren und system zum personalisieren eines sicherheitselements eines endgeräts
EP3314933B1 (de) Kommunizieren eines teilnehmeridentitätsmoduls zu einem server, insbesondere bei profilwechsel
EP2575385B1 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos, zum Durchführen einer Transaktion, sowie Endgerät
DE202015106611U1 (de) Vorrichtung zum Testen eines Gerätes
WO2017148581A1 (de) Verfahren zum laden einer subskription in ein eingebettetes sicherheitselement eines mobilen endgeräts
DE102016000324B4 (de) Verfahren zur Verwaltung von Identifikationsdaten mehrerer Anwendungen
WO2017182118A1 (de) Imei speicherung
EP2723111B1 (de) Mehrfaktor-Authentifikation für mobile Endgeräte
DE102011102489A1 (de) Verfahren und Vorrichtung zum Bereitstellen einer Indentifikationskennung eines elektronischen Endgeräts
DE102016012189A1 (de) Diffie Hellman Schlüsselableitung, Subskriptionsladen, Authentisierung
DE102015015212B4 (de) Verfahren zum Betreiben eines Sicherheitsmoduls und Sicherheitsmodul
DE102014002603A1 (de) Verfahren zum entfernten Verwalten eines auf einem Sicherheitselement gespeicherten Datenelements
EP3277005B1 (de) Personalisierung eines sicherheitselements
EP3248405A1 (de) Verfahren und vorrichtungen zum verwalten von subskriptionsprofilen auf einem mobilen endgerät
WO2016037701A1 (de) Verfahren und vorrichtungen zum testen eines mobilen endgeräts mit einem sicherheitselement
EP3314518A1 (de) Subskriptionsverwaltung mit subskriptionsspezifischen profilen zur einschräkung der funktionalitäten des sicherheitselements
EP3821579A1 (de) Sicherung einer datenübertragung
DE102011122874B4 (de) Verfahren zum Durchführen einer Transaktion, sowie Endgerät
DE102014210434B4 (de) Verfahren und System zur Herstellung einer gesicherten Kommunikationsverbindung zwischen einer ersten und zweiten Vorrichtung
DE102019003814A1 (de) Automatisches Einloggen eines Clients bei einem Server
DE102015003079A1 (de) Netzwerkzugangsunterstützung
DE102014007022A1 (de) Implementierung einer sicheren Laufzeitumgebung eines mobilen Endgeräts
DE102008057464A1 (de) Verfahren zum Bereitstellen von Daten auf mindestens einen Bereich einer Chip-Karte

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE

R018 Grant decision by examination section/examining division
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT EPAYMENTS GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT EPAYMENTS GMBH, 81677 MUENCHEN, DE

R020 Patent grant now final