DE102021005869A1 - Verfahren zum Ändern eines Zugriffsrechts in einer UICC - Google Patents

Verfahren zum Ändern eines Zugriffsrechts in einer UICC Download PDF

Info

Publication number
DE102021005869A1
DE102021005869A1 DE102021005869.0A DE102021005869A DE102021005869A1 DE 102021005869 A1 DE102021005869 A1 DE 102021005869A1 DE 102021005869 A DE102021005869 A DE 102021005869A DE 102021005869 A1 DE102021005869 A1 DE 102021005869A1
Authority
DE
Germany
Prior art keywords
uicc
terminal
file
imsi
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021005869.0A
Other languages
English (en)
Inventor
Claus Dietze
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE
Original Assignee
Giesecke and Devrient Mobile Security GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient Mobile Security GmbH filed Critical Giesecke and Devrient Mobile Security GmbH
Publication of DE102021005869A1 publication Critical patent/DE102021005869A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephone Function (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Ändern eines Zugriffsrechts eines Endgeräts auf zumindest eine in einer Universal Integrated Chip Card, UICC, bevorzugt einem Teilnehmeridentitätsmodul der fünften Generation, abgelegte Datei, wobei die UICC betriebsbereit in dem Endgerät eingebracht ist, mit den Verfahrensschritten: Empfangen einer Endgeräteinformation von dem Endgerät in der UICC, wobei die Endgeräteinformation eine technische Endgeräteeigenschaft anzeigt; und Ändern des Zugriffsrecht auf die zumindest eine Datei in der UICC durch die UICC, wenn die Endgeräteinformation eine Endgeräteeigenschaft aufweist, die das Ändern des Zugriffsrechts bei zumindest gleichem Funktionsumfang zulässt. Die Erfindung betrifft zudem eine entsprechende UICC, ein Computerprogrammprodukt und ein entsprechendes System aufweisend eine UICC und ein Endgerät.

Description

  • TECHNISCHES GEBIET DER ERFINDUNG
  • Die Erfindung bezieht sich auf ein Verfahren zum Ändern eines Zugriffsrechts eines Endgeräts auf zumindest eine Datei einer Universal Integrated Chip Card, UICC, bevorzugt eines Teilnehmeridentitätsmoduls der fünften Generation, eine entsprechende UICC, ein Computerprogrammprodukt und ein entsprechendes System aufweisend eine UICC und ein Endgerät.
  • Zur Nutzung von Diensten enthält ein Endgerät, beispielsweise ein Mobilfunktelefon oder ein Maschine-zu-Maschine-Gerät, englisch: Machine-to-Machine-Device, kurz M2M-Gerät, oder ein Gerät zur Nutzung von Technologien des Internets-der-Dinge, englisch: Intemet-of-Things, kurz: IoT, eine UICC. Der Begriff „UICC“ wird in dieser Beschreibung synonym zu den Begriffen „eUICC“, „Teilnehmeridentitätsmodul“, „Chipkarte“, „iUICC“, „Integrated eUICC“, „Integrated Secure Element“, „embedded Secure Element“, „Secure Element“ oder „SIM“ verwendet. In der UICC sind Benutzerdaten abgelegt, um einen Teilnehmer (Person oder Gerät) für die Nutzung eines Dienst eines Kommunikationsnetzes oder an einem Kommunikationsnetz eindeutig zu identifizieren und/oder zu authentisieren. Damit ist es einem Betreiber der Dienstleistung oder des Kommunikationsnetzwerks möglich, die Nutzung seines angebotenen Dienstes, jedem Teilnehmer eindeutig zuzuordnen. Weiterhin ist es dem Betreiber eines Kommunikationsnetzes möglich, einen Netzzugang, also das Einbuchen in das Kommunikationsnetz, zu ermöglichen, sobald eine Authentisierung des Teilnehmers stattgefunden hat. Er kann zudem den Netzzugang verweigern, falls eine Authentisierung des Teilnehmers nicht möglich ist.
  • TECHNISCHER HINTERGRUND
  • Die Welt ist mobil vernetzt, und die mobile Vernetzung schreitet weiter. Mobilfunkfähige Endgeräte kommunizieren über Mobilfunknetze.
  • Zur Nutzung eines mobilfunkfähigen Endgeräts, wie Smartphones oder Mobiltelefons, in einem Mobilfunknetzwerk eines Netzbetreibers enthält das Endgerät eine UICC, die zumindest eine Subskription enthält. Die Subskription ist durch eine USIM-Applikation (USIM = Universal Subscriber Identity Module) und ein Subskriptions-Profil oder kurz Profil gebildet. Das Profil bewerkstelligt die Konfiguration des Endgeräts für Verbindungen im Mobilfunknetz. Das Profil ist durch einen Datensatz gebildet, der den Aufbau, Betrieb und Abbau einer Verbindung des Endgeräts im Mobilfunknetzwerk ermöglicht, und umfasst beispielsweise einen kryptographischen Authentisierungs-Schlüssel Ki und eine International Mobile Subscriber Identity IMSI. Die USIM-Applikation bewerkstelligt Aufbau, Betrieb und Abbau von Verbindungen des Endgeräts im Mobilfunknetz, unter Verwendung des Profils.
  • Einem Endgerät, in das die UICC betriebsbereit eingebracht ist, werden Zugriffsrechte auf Dateien einer UICC vergeben. Ein Zugriff auf diese Dateien ist beispielsweise nötig, um im Endgerät bestimmte Funktionen ausführen zu können, beispielsweise das Identifizieren und/oder Authentisieren eines Teilnehmers an einem Kommunikationsnetzes, beispielsweise zur Nutzung eines Dienstes des Kommunikationsnetzes.
  • Dieser notwendige Zugriff des Endgeräts auf die UICC birgt naturgemäß eine Gefahr des Daten-Ausspähens in sich. Beispielsweise kann ein Angreifer versuchen, über den Zugriff auf diese Dateien Zugang zu vertrauenswürdigen (personenbezogenen, sicherheitsrelevanten) Informationen zu erlangen. Ein in der Mobilfunkwelt weit verbreiteter Angriff ist das sogenannte „IMSI-Catching“, bei dem versucht wird, die eindeutige internationale Mobilfunk-Teilnehmerkennung, kurz IMSI, auszuspionieren. Üblicherweise wird die IMSI als Datei in einem Dateisystem der UICC abgelegt.
  • In der Standardisierung für Mobilfunknetze wird ein Mechanismus vorgeschlagen, mit dem der Zugriff auf derartige vertrauenswürdige Informationen innerhalb einer UICC beschränkt werden kann. Beispielsweise wird in dem Standardisierungsdokument 3GPP TS 31.102 der Version V16.2.0 im Abschnitt 4.2.8 eine Datei EFUST beschrieben, die Abkürzung „UST“ steht hierbei für „USIM Dienste-Tabelle“, englisch: „USIM Service Table“. Diese Datei EFUST gibt an, welche Dienste für den Benutzer (bzw. das Endgerät) verfügbar sind. Wenn ein Dienst in der Datei EFUST als „nicht verfügbar“ angegeben ist, kann das Endgerät, in dem die UICC eingebracht ist und dass diesen Dienst für sich oder das Mobilfunknetzwerk anfragt, diesen Dienst der UICC nicht auswählen. Als ein „verfügbarer Dienst“ wird dabei definiert, dass die UICC per se in der Lage ist, den Dienst zu unterstützen, und dass der Dienst für den Benutzer der UICC nutzbar ist. Wenn ein Dienst in dieser Datei EFUST als „nicht verfügbar“ gekennzeichnet ist, so kann dieser Dienst vom Benutzer der UICC nicht genutzt werden, selbst wenn die UICC prinzipiell die Fähigkeit hat, diesen Dienst zu unterstützen. Ein Zugriff auf Dateien kann demnach basierend auf der Verfügbarkeit eines Dienstes gemäß dieser EFUST deaktiviert oder aktiviert werden. Es werden keine Zugriffsrechte der Dateien verändert, sondern die gelisteten EFs oder deren entsprechende Funktionen sind nicht Bestandteil des Profils bzw. des Funktionsumfangs des Betriebssystems.
  • Mit der EFUST wird dem Endgerät lediglich angegeben, welche Dienste von der UICC unterstützt werden. Damit kann das Endgerät bestimmte Dienste entweder nutzen oder nicht. Falls das Endgerät fehlerhafte Implementierungen aufweist und trotzdem auf einen deaktivierten Dienst der UICC zugreifen will, führt das üblicherweise zu einer entsprechenden Fehlermeldungen. Diese Fehlermeldung ist ineffizient und wird durch den Mechanismus mit der Datei EFUST verhindert. Die EFUST erhöht also nicht die Sicherheit, sondern unterstützt eine gewünschte Kompatibilität. Sie ist als kein „Sicherheitsfeature“, sondern ein „Kompatibilitätsfeature“.
  • Nun gibt es Dienste im Netzwerk, die verfügbar sein sollten und die einen Zugriff auf eine Datei verlangen, die aber aufgrund einer vorliegenden Endgeräteeigenschaft nicht notwendigerweise verfügbar sein müssten. Beispielsweise kann ein Zugriff auf eine Datei EFIMSI zum Erhalten und Verwenden einer Subscriber Identity, beispielsweise der IMSI, beim Identifizieren an einem Netzwerk (5G) unterbleiben, wenn die UICC die Berechnung eines Subscription Concealed Identifier, kurz SUCI, unterstützt. Allerdings wäre ein Zugriff auf eine Datei EFIMSI zum Erhalten und Verwenden der IMSI beim Identifizieren an dem Netzwerk notwendig, wenn die UICC die Berechnung des SUCI nicht unterstützt.
  • Bislang wird ein Zugriff auf eine Datei in der UICC nur diensteabhängig gesteuert, sodass eine UICC den Zugriff auf Dateien - zur Erhaltung der Abwärtskompatibilität älterer Endgeräte - zulässt, obwohl ein Endgerät beispielsweise Fähigkeiten aufweist, die den Zugriff auf diese Datei gar nicht nötig machen würden. Ein Angreifer, der sich eines in der UICC als verfügbar gekennzeichneten Dienstes bedient, kann somit auf die Datei zugreifen (lassen) und erhält die vertrauenswürdigen Informationen, wodurch die Sicherheit vertrauenswürdiger Informationen unnötig verschlechtert ist.
  • Aus der DE 60310968 ist eine Sicherheitsvorrichtung in Form einer SIM mit einer Funktion zur gegenseitigen Authentisierung bekannt, die eine Schaltlogik aufweist, welche an das SIM gesendete Befehle daraufhin analysiert, ob sie aus einer normalen oder weniger sicheren Umgebung stammen. Das SIM autorisiert zum Zugriff auf residente Anwendungsdateien nur, wenn es in einer normalen Umgebung betrieben wird. Befindet es sich in einer unsicheren Umgebung, wird der Zugriff auf die residenten Dateien gesperrt. Die Feststellung der Umgebung kann beim Hochfahren des Endgerätes erfolgen, in dem sich das SIM befindet, beispielsweise anhand des erkannten Netzwerkbetreibers. Wird die Umgebung als sicher eingestuft, ist der Zugriff auf die residenten Dateien möglich. Eine Prüfung, ob ein Zugriff Daten im SIM tatsächlich notwendig ist, erfolgt nicht.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren anzubieten, bei dem der Zugriff auf Datei(en) in einer UICC restriktiver ist, um die in der jeweiligen Datei befindliche vertrauenswürdige (sicherheitsrelevante und/oder benutzerbezogene) Information besser zu schützen, ohne dass die UICC eine Funktionseinschränkung erleidet.
  • Die Aufgabe wird durch die in den unabhängigen Patentansprüchen beschriebenen Merkmale gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben.
  • Erfindungsgemäß wird ein Verfahren zum Ändern eines Zugriffsrechts eines Endgeräts auf zumindest eine in einer UICC abgelegte Datei vorgeschlagen. Die UICC ist dabei betriebsbereit in das Endgerät eingebracht. Das Verfahren umfasst die Schritte: Empfangen einer Endgeräteinformation von dem Endgerät in der UICC, wobei die Endgeräteinformation eine technische Endgeräteeigenschaft anzeigt und Ändern des Zugriffsrecht auf die zumindest eine Datei in der UICC durch die UICC, wenn die Endgeräteinformation eine Endgeräteeigenschaft aufweist, die das Ändern des Zugriffsrechts bei zumindest gleichem Funktionsumfang zulässt.
  • Mit diesem Verfahren wird eine Endgeräteinformation in der UICC empfangen. Diese Endgeräteinformationen beinhaltet technische Informationen zum Endgerät in dem die UICC eingebracht ist. Mit der Endgeräteinformationen werden Eigenschaften (Eignungen) des Endgeräts an die UICC übermittelt. Als Endgeräteeigenschaften werden beispielsweise unterstützende Betriebsparameter des Endgeräts, wie unterstützende Spannungswerte, unterstützende Kommunikationsprotokolle zwischen Endgerät und UICC und/oder zwischen Endgerät und Kommunikationsnetzwerk, der UICC mitgeteilt. Als Endgeräteeigenschaften werden beispielsweise auch Funktionen des Endgeräts, wie unterstützte Berechnungsalgorithmen, Verschlüsselungsalgorithmen, Verschleierungsalgorithmen, etc. der UICC mitgeteilt. Als Endgeräteeigenschaften werden der UICC beispielsweise auch Kommunikationsmodus-Unterstützung zwischen Endgerät und UICC und/oder zwischen Endgerät und Kommunikationsnetzwerk mitgeteilt.
  • Die Endgeräteinformationen werden in der UICC bewertet bzw. ausgewertet, um festzustellen, ob ein Dateizugriff geändert werden kann oder sollte. Erfindungsgemäß wird durch die Bereitstellung der Endgeräteinformationen erreicht, dass die UICC die Zugriffsrechte zusätzlich bewertet, um festzustellen, ob ein Zugriff auf eine Datei in der UICC geändert werden kann oder sollte. Es erfolgt der mögliche Schutz eines Dateiinhalts in Abhängigkeit einer empfangenen Endgeräteeigenschaft, dadurch dass das Zugriffsrecht an die Endgeräteeigenschaft angepasst wird.
  • Mit anderen Worten: Durch die empfangene Endgeräteeigenschaft können Zugriffsrechte geändert werden, um die Sicherheit der vertrauenswürdigen Informationen (in den jeweiligen Dateien) der UICC zu erhöhen, ohne dass der Funktionsumfang der UICC geschmälert wird. Die Endgeräteeigenschaft informiert bevorzugt darüber, dass der gewünschte Funktionsumfang mit besserer Datenabsicherung erhalten werden kann.
  • Als Funktionsumfang wird hierbei eine Menge an Funktionen verstanden, die von der UICC bereitgestellt werden müssen. Dieser Funktionsumfang ist identisch und ist unabhängig vom Ändern der Zugriffsrechte. Er wird durch das Ändern des Zugriffsrechts nicht geschmälert, er kann aber vergrößert werden. Darin inbegriffen ist ein Blockieren des Zugriffs auf unsichere Funktionen, wobei bevorzugt sichergestellt wird, dass eine äquivalente Funktion zur blockierten unsicheren Funktion ausführbar ist, wobei die äquivalente Funktion sicherer ist als die unsichere Funktion. Dieses Sicherstellen wird durch das Empfangen der Endgeräteeigenschaft der UICC angezeigt.
  • Das Ändern eines Zugriffsrechts ist insbesondere das Aktivieren eines Zugriffs, Lesen, auf eine Datei der UICC. Mit der Zugriffserlaubnis auf die Datei wird es einem anfragenden Dienst sodann gestattet auf den Inhalt der Datei, z.B. lesend, zuzugreifen.
  • Das Ändern eines Zugriffsrechts ist kann weiter das Deaktivieren des Zugriffs auf eine Datei der UICC sein. Mit der Zugriffsverweigerung auf die Datei wird es einem anfragenden Endgerät oder eines auf dem Endgerät laufenden Dienstes sodann untersagt auf den Inhalt der Datei zuzugreifen.
  • Das Ändern des Zugriffsrecht kann weiter eine nicht-flüchtige Änderung sein, beispielsweise durch Beschreiben eines nicht-flüchtigen Speicherbereichs der UICC. Damit wird diese Änderung protokolliert und ist auch nach Beendigung einer aktuellen UICC-Sitzung (Card Session) verfügbar. Alternativ ist die Änderung des Zugriffsrechts nur für der Dauer einer aktuellen UICC Sitzung aktiv. In diesem Fall sind die Zugriffsrechte der UICC Dateien beim Neustart des Endgeräts wieder in den ursprünglichen Zustand (zurück-)versetzt und in Abhängigkeit der vom Endgerät übermittelten Information geändert.
  • Ein Zugriffsrecht ist ein Recht des - die Endgeräteinformation bereitstellenden - Endgeräts zum Zugreifen auf die Datei, insbesondere auf den Dateiinhalt. Das Zugriffsrecht - oder auch Ausführungsrecht - ist eine Regel der administrativen Zugriffskontrolle, nach der entschieden wird, ob das Endgerät (also dessen Programme oder Programmteile), eine oder mehrere Operationen auf diese Datei bzw. diese Dateien bzw. dieses Dateisystem ausführen darf. Es handelt sich bei dem Zugriffsrecht vorrangig um Berechtigungen, durch die festgelegt wird, ob das Endgerät den Inhalt einer Datei oder eines Dateisystems auslesen, beschreiben, verändern, überschreiben, löschen und/oder ausführen darf bzw. die Datei als Ganzes aktiviert oder deaktiviert werden darf.
  • Das Zugriffsrecht kann dabei nur für eine spezielle Datei der UICC geändert werden. In diesem Fall wird mit der UICC-geprüften Zulässigkeit der Änderung des Zugriffsrechts genau ein Datei-Zugriffsrecht für das Endgerät geändert. Alternativ wird mit der UICC-geprüften Zulässigkeit das Zugriffsrecht für eine Mehrzahl von Dateien der UICC geändert werden. Diese Änderungen werden dann quasi-parallel durchgeführt.
  • Beispielsweise wird bei der Änderung des Zugriffsrechts auf eine spezielle Datei eine Lese-Zugriffsbedingung für die spezielle Datei von der Zugriffsbedingung „PIN“ auf die Zugriffsbedingung „ADM“ oder auf die Zugriffsbedingung „NEV“ geändert. Die Zugriffsbedingungen sind beispielsweise in der ETSI TS 102 221 definiert. Die Zugriffsbedingung „ADM“ bedeutet dabei, dass ein Zugriff auf diese Datei, beispielsweise ein Elementary File, nur unter Kontrolle der Instanz, die die Datei erstellt hat, erlaubt ist. Die Zugriffsbedingung „NEV“ bedeutet, dass ein Zugriff auf diese Datei niemals („Never“) erlaubt ist. Die Zugriffsbedingung „PIN“ bedeutet, dass, entweder mit verifizierter PIN Eingabe durch den Benutzer oder bei der Konfiguration PIN disabled (also keine PIN Verifikation notwendig), das Endgerät mit der entsprechenden Operation, beispielsweise schreibend oder lesend auf das EF zugreifen kann. Die Durchführung der Änderung des Zugriffsrechts wird bevorzugt von einem Betriebssystem der UICC durchgeführt.
  • Bei einer UICC im Sinne der Erfindung handelt es sich um ein in Baugröße und Ressourcenumfang reduziertes elektronisches Modul, welches eine Steuereinheit (Mikrocontroller) und mindestens eine Schnittstelle (Datenschnittstelle) zur Kommunikation mit dem Gerät aufweist. Diese Kommunikation erfolgt bevorzugt über ein Verbindungsprotokoll, insbesondere einem Protokoll gemäß dem Standard ETSI TS 102 221 bzw. ISO-7816. Bei in System on Chip, kurz SoC, integrierten UICC Bauformen, wie beispielsweise der „iUICC“, „Integrated eUICC“, „Integrated SE“ oder dem „Integrated TRE“, erfolgt die Kommunikation über einen SoC internen Bus. Die UICC weist einen internen oder externen sicheren nichtflüchtigen Speicherbereich auf, in dem Teilnehmeridentitätsdaten sicher eingebracht sind, um Manipulation- und/oder Missbrauchsversuche bei der Identifizierung und/oder Authentisierung am Netzwerk zu verhindern. Diese UICC weist einen Speicherbereich auf, in dem interne Zustände einer UICC-Sitzung abgelegt werden können.
  • Die UICC kann in einer Ausgestaltung mittels eines Geräts betriebsfähig sein, wobei die UICC in dieser Ausgestaltung bis auf Versorgungssignale, wie Versorgungsspannung, Takt, Reset etc. autark ist.
  • Der Begriff „UICC“ ist synonym zum Begriff „eUICC“, „Teilnehmeridentitätsmodul“, „Chipkarte“, „iUICC“, „Integrated eUICC“, „Integrated Secure Element“, „embedded Secure Element“, „Secure Element“ oder „SIM“. Bei der UICC handelt es sich beispielsweise um eine Chipkarte oder eine SIM-Karte oder ein Teilnehmeridentitätsmodul. Die UICC dient dazu, mit den im sicheren nicht-flüchtigen Speicherbereich gespeicherten maschinenlesbaren Teilnehmeridentitätsdaten einen Teilnehmer in einem Kommunikationsnetz zu identifizieren und für das Nutzen von Diensten zu authentifizieren. Unter UICC sind auch USIM, TSIM, ISIM, CSIM oder R-UIM . So ist beispielsweise eine UICC als eine USIM Anwendung in der ETSI TS 131 102 definiert, als eine SIM Anwendung in der ETSI TS 151 011, als eine TSIM Anwendung gemäß ETSI TS 100 812, as eine ISIM Anwendung in der ETSI TS 131 103, als eine CSIM Anwendung gemäß 3GPP2 C.S0065-B, als eine R-UIM Anwendung gemäß 3GPP2 C.S0023-D.
  • Die UICC kann ein integraler Bestandteil innerhalb des Geräts sein, beispielsweise ein fest verdrahteter elektronischer Baustein. Derartige UICC werden auch als eUICC bezeichnet. In dieser Bauform sind diese UICC nicht für eine Entnahme aus dem Gerät vorgesehen und können prinzipiell nicht einfach ausgetauscht werden. Derartige UICC können auch als embedded Secure Elements ausgestaltet sein und sind eine sichere Hardwarekomponente im Gerät.
  • Die UICC kann auch eine Softwarekomponente in einem vertrauenswürdigen Teil eines Betriebssystems, einer sogenannten Trusted Execution Environment, kurz TEE, des Gerätes sein. Die UICC ist beispielsweise innerhalb einer gesicherten Laufzeitumgebung in Form von darin ablaufenden Programmen, sogenannten „Trustlets“ oder „Trusted Applications“, ausgebildet.
  • Die UICC kann auch ein integraler Bestandteil eines größeren integrierten Schaltkreises, beispielsweise eines Modem oder Applikationsprozessors sein. Derartige UICC werden als „integrated UICC“, „integrated TRE“, „integrated eUICC“ oder „Integrated SE“ bezeichnet. Derartige UICC werden als integrierter Prozessorblock in ein SoC fest integriert und können über einen chipinternen Bus angebunden werden.
  • Der Begriff „Endgerät“ wird hier bevorzugt verwendet, da das Endgerät in der Kommunikationstechnik vorrangig ein „terminal“ sein kann. Das schließt nicht aus, dass das „Endgerät“ ein „Gerät“ in einer anderen Technik sein kann. Die Begriffe „Endgerät“ und „Gerät“ werden hierbei synonym verwendet.
  • Die UICC kann der Fernüberwachung, -kontrolle und -wartung von Geräten wie Maschinen, Anlagen und Systemen dienen. Es kann für Zähleinheiten wie Stromzähler, Warmwasserzähler etc. verwendet werden. Die UICC ist beispielsweise Bestandteil der Technologie des IoT.
  • Bei einem Endgerät im Sinn der Erfindung handelt es sich prinzipiell um ein Gerät oder eine Gerätekomponente mit Mitteln zur Kommunikation mit einem Kommunikationsnetzes, um Dienste des Kommunikationsnetzes nutzen zu können oder um Dienste eines Servers über ein Gateway des Kommunikationsnetzes nutzen zu können. Beispielsweise ist ein mobiles Endgerät wie ein Smartphone, ein Tablet-PC, ein Notebook, ein PDA unter dem Begriff zu fassen. Unter dem Endgerät können beispielsweise auch Multimedia-Geräte wie digitale Bilderrahmen, Audiogeräte, Fernsehgeräte, E-Book-Reader verstanden werden, die ebenfalls Mittel zur Kommunikation mit dem Kommunikationsnetzwerk aufweisen.
  • Insbesondere ist das Endgerät in einer Maschine, einem Automat und/oder einem Fahrzeug eingebracht. Ist das Endgerät in einem Kraftfahrzeug eingebracht, hat es beispielsweise eine UICC integriert. Die UICC kann mittels des Endgeräts, beispielsweise eines Modems des Endgeräts, eine Datenverbindung zu einem Server über das Kommunikationsnetz aufbauen. Mit dem Endgerät kann beispielsweise ein Server des Endgeräteherstellers kontaktiert werden, um Steuereinheiten, z.B. ECUs (ECU = Electronic Control Unit) für Funktionalitäten des Endgeräts anzusprechen. Über die UICC lässt sich ein Server im Hintergrundsystem des Mobilfunknetz-Betreibers, MNO, kontaktieren, beispielsweise ein Server, um Aktualisierungen für Software, Firmware oder/und Betriebssystem der UICC in die UICC zu laden.
  • Zu den mobilfunkfähigen Endgeräten zählen neben den Smartphones und Mobiltelefonen auch Regelungsgeräte (Steuerungsgeräte oder Messgeräte oder kombinierte Steuer/Messgeräte) für industrielle Einrichtungen im kommerziellen oder im privaten Umfeld. Industrielle Einrichtungen sind beispielsweise Produktionsanlagen, die ein oder mehrere Regelungsgeräte (Endgeräte) haben, die über ein Mobilfunknetz mit einem Hintergrundsystem oder/und miteinander kommunizieren können. Weitere industrielle Einrichtungen sind Smart Home Einrichtung wie z.B. Heizungen oder Stromverbraucher mit Endgeräten in Gestalt von Regelungsgeräten.
  • Eine UICC-Sitzung, auch als „Card Session“ oder einfach „Sitzung“ bezeichnet, ist beispielsweise ein Zeitrahmen, beginnend mit dem Senden einer Aktivierungsbestätigung durch die UICC, beispielsweise der Bestätigung einer Rücksetzprozedur, englisch Answer-to-Reset, kurz ATR. Der Zeitrahmen endet beispielsweise mit einem Deaktivieren der UICC oder durch eine spätere Rücksetzprozedur, initialisiert durch das Endgerät. Innerhalb dieses Zeitrahmens können Kommandos (APDUs) zwischen dem Gerät und der UICC ausgetauscht werden.
  • Ein Kommando kann beispielsweise eine Anweisung, ein Befehl oder eine Instruktion sein, die vom Gerät gesendet wird. Dieses Kommando ist beispielsweise ein vom Protokolltyp-Auswahl-Kommando (PTS) verschiedenes Kommando. Das Kommando ist bevorzugt ein Kommando gemäß ETSI TS 102 221 bzw. ISO/IEC 7816 Standard. In einer bevorzugten Ausgestaltung werden Kommandos als APDU Kommandos in der UICC empfangen. Ein APDU ist ein kombinierter Kommando-/Datenblock eines Verbindungsprotokolls zwischen der UICC und dem Gerät. Die Struktur der APDU ist durch den Standard ISO-7816-4 definiert. APDUs stellen ein Informationselement der Anwendungsebene (Schicht 7 des OSI-Schichtenmodels) dar.
  • Das Aktivieren der UICC umfasst beispielsweise das Aktivieren von Kontakten einer kontaktbehafteten Schnittstelle unter Anlegen einer Betriebsspannung an die UICC. Das Aktivieren der Kontakte der UICC erfolgt beispielsweise gemäß der technischen Spezifikation ISO 7816-3 in folgender Reihenfolge: Setzen des „Reset“ Kontakts auf logisch „LOW“; Anschalten der Betriebsspannung Vcc; Setzen des Dateneingangs auf I/O in einen Empfangsmodus und Anlegen eines stabilen Takts; Setzen des „Reset“ Kontakts auf logisch „HIGH“. Mit einem derartigen Aktivieren der UICC wird der ordnungsgemäße Betrieb der UICC aufgenommen und ein geregeltes Hochfahren der Steuereinheit (µP) der UICC ermöglicht.
  • Ist die UICC beispielsweise ein integraler Bestandteil eines größeren integrierten Schaltkreises, beispielsweise eines Modem oder Applikationsprozessors, also ein „integrated UICC“, „integrated TRE“, „integrated eUICC“ oder „Integrated SE“ , dann kann die UICC als integrierter Prozessorblock in einen SoC fest integriert sein und wird dann über einen SoC-internen Bus angebunden. Die Kommunikation zwischen UICC und den übrigen Elementen im SoC erfolgt dann beispielsweise proprietär oder über übliche chipinterne Kommunikationsmethoden.
  • In einer bevorzugten Ausgestaltung ist das Ändern des Zugriffsrechts ein Ändern einer Zugriffsbedingung für das Endgerät auf die zumindest eine Datei, beispielsweise das Deaktivieren einer Zugriffserlaubnis des Endgeräts auf die zumindest eine Datei. Weiter bevorzugt ist ein Deaktivieren einer zuvor erlaubten Zugriffserlaubnis des Endgeräts auf die zumindest eine Datei ist. Dabei ist zunächst ein Zugriff auf die zumindest eine Datei erlaubt. Diese Zugriffserlaubnis wird dann bei festgestellter Endgeräteeignung deaktiviert (geblockt), also widerrufen. Insbesondere wird bei der Zugriffsrechtänderung der Lesezugriff blockiert, also die Zugriffsbedingung geändert. Beispielsweise wird die Zugriffsbedingung von „PIN“ auf „ADM“ oder „NEV“ umgesetzt. Mit dem hierin beschriebenen Ändern der Zugriffsrechte ist nicht das Aktivieren/Deaktivieren (ACTIVATE / DEACTIVATE) einer speziellen Datei, insbesondere einer kompletten EF, gemeint und das Änderung der Zugriffsrechte ist nicht mit einem derartigen Aktivieren/Deaktivieren zu verwechseln. Die UICC ist damit auch für ältere Endgeräte-Generationen operabel und einsatzfähig und es wird zunächst ein Zugriff auf vertrauenswürdige Informationen zugelassen, um (unsichere) Funktionen und Dienste zu zulassen. Ggf. sind damit sicherheitsrelevante Informationen, wie Benutzerdaten, Netzzugangsdaten, Identifikationsdaten, auslesbar.
  • Stellt sich im Betrieb - idealerweise bei Erstinbetriebnahme - heraus, dass eine empfangene Endgeräteeigenschaft des Endgeräts einen höheren Schutz vertrauenswürdiger Informationen ermöglicht, so wird im Rahmen dieses Verfahrens die Zugriffserlaubnis verweigert. Die empfangene Endgeräteeigenschaft zeigt damit - indirekt oder direkt - an, dass ein größerer Schutz der vertrauenswürdigen Informationen möglich ist, da der Zugriff auf Dateien der UICC - durch Nutzung äquivalenter Funktionen - eingeschränkt werden kann.
  • In einer bevorzugten Ausgestaltung ist das Ändern des Zugriffsrechts ein Deaktivieren einer Leseerlaubnis des Endgeräts zum Auslesen dieser zumindest einen Datei. Insbesondere das Auslesen ermöglicht ein Ausspähen von vertraulichen Informationen und gilt im Speziellen zu unterbinden. Beispielsweise soll das Auslesen der Datei EFIMSI unterbunden werden, um zu verhindern, dass eine (Schad-)Applikation im Endgerät die IMSI ausliest und missbräuchlich verwendet. Der aus der Literatur bekannte „IMSI-Catching“ Angriff erfolgt üblicherweise über die Luftschnittstelle und hat mit dem hier zu verhindernden Auslesen der IMSI durch das Endgerät das Ergebnis, nämlich das unerlaubte Auslesen der IMSI aus der UICC gemein.
  • In einer bevorzugten Ausgestaltung empfängt die UICC vor dem Ändern des Zugriffsrechts eine Anfrage zum Zugreifen auf die zumindest eine Datei. Diese Anfrage kann vom Endgerät selbst oder vom Netzwerk generiert worden sein. Insbesondere wird mit der Anfrage bei der UICC angefragt, ob ein Dienst in der UICC verfügbar ist. Bevorzugt wird dazu die Datei EFUST von der UICC ausgelesen, um die Anfrage zu beantworten. Nunmehr wird mit der Anfrage erkannt, dass ein Zugriff auf sicherheitsrelevante oder personengebundene oder netzwerkspezifische Informationen gewünscht ist und der Dienst verfügbar ist. Bevor die Anfrage dennoch durch Auslesen der Datei beantwortet wird, wird eine empfange Endgeräteinformation ausgewertet. Eine Änderung der Zugriffsrechte wird geprüft und ggf. durchgeführt, wenn die Endgeräteinformation die Änderung der Zugriffsrechte zulässt. Es erfolgt mit der Dienstanfrage demnach eine zweistufige Prüfung in der UICC, erstens ob der Dienst verfügbar ist und zweitens ob es Endgeräteeigenschaften ermöglichen, äquivalente Funktionen/Dienste anstelle des angefragten Dienstes zu verwenden.
  • In einer bevorzugten Ausgestaltung fragt die UICC die Endgeräteinformationen an, bevor sie sie von dem Endgerät empfängt. Dieses Anfragen kann als proaktives Kommando versendet werden. Das Endgerät beantwortet die Anfrage, wodurch die Endgeräteeigenschaft in der UICC empfangen wird.
  • In einer bevorzugten Ausgestaltung wird die UICC die Endgeräteinformationen automatisch ohne explizite Anfrage dieser Endgeräteinformation von der UICC erhalten. Dieses Erhalten kann im Rahmen der Abarbeitung eines TERMINAL CAPABILITY Kommandos, beispielsweise im Rahmen eines Startvorgangs, erfolgen.
  • Dieser bevorzugten Ausgestaltungen folgend ist dann ein bevorzugter Verfahrensablauf wie folgt: Die UICC empfängt eine Anfrage zum Zugreifen auf zumindest eine Datei (=Diensteanfrage). Daraufhin sendet sie ein proaktives Kommando zum Anfragen einer Endgeräteeigenschaft. Das Endgerät antwortet auf das proaktive Kommando mit einer Endgeräteinformation. Alternativ erhält die UICC automatisch während des Startvorgangs eine TERMINAL CAPABILITY Antwort mit der Endgeräteinformation. Diese Endgeräteinformation betrifft eine technische Eignung. Diese Eignung überprüfend, ändert die UICC das Zugriffsrecht auf diese zumindest eine Datei unter Beibehaltung eines zumindest gleichen Funktionsumfangs. Der angefragte Zugriff - auf eine Datei mit vertrauenswürdigen Informationen - wird deaktiviert, wenn die Eigenschaft des Endgeräts dies zulässt, d.h. wenn im Endgeräte Funktionen, Dienste oder Mittel zur Verfügung stehen, die einen sichereren Umgang mit den Daten der UICC ermöglichen, ohne dass der Funktionsumfang geschmälert wird.
  • Bevorzugt ist die UICC eine USIM der fünften Generation, auch als „5G USIM“ bezeichnet. Damit kann das Identifizieren eines Teilnehmers nach dem 5G-Standard erfolgen.
  • In einer weiter bevorzugten Ausgestaltung ist die zumindest eine Datei die Datei EFIMSI, die eine internationale Mobilfunk-Teilnehmerkennung, IMSI, beinhaltet. Diese IMSI gilt es zu schützen, sie sollte - wenn möglich - nicht im Klartext ans Endgerät oder im Netz übertragen werden. Im 5G-Netz sind alternative Identifikations-Abläufe möglich, bei denen die IMSI nicht im Klartext zwischen Endgerät und UICC und ggf. dem Kommunikationsnetz ausgetauscht werden muss.
  • In einer weiter bevorzugten Ausgestaltung ist die zumindest eine Datei die Datei EFNSI, die eine permanente Teilnehmerkennung, englisch „Subscription Permanent Identifier“, kurz SUPI, beinhaltet. Diese SUPI gilt es zu schützen, sie sollte - wenn möglich - nicht im Klartext an das Endgerät oder im Netz übertragen werden. Diese SUPI in der EFNSI ist bevorzugt nicht die IMSI. Diese SUPI kann eine Netzzugangskennung, englisch „Network Access Identifier“, kurz NAI sein, wie sie im Standard 3GPP TS 23.003 definiert ist.
  • In einer weiter bevorzugten Ausgestaltung ist die zumindest eine Datei die Datei EFRouting Identicator, die einen Routingindikator zur SUCI-Berechnung (s.u.) beinhaltet. Mit Hilfe dieses Parameters kann ein Endgerät oder die UICC die SUCI Berechnen. Diese Datei EFRouting Identicator enthält den Routingindikator, der es zusammen mit einer MCC und einem MNC ermöglicht, Netzwerksignalisierung mit SUCI an AUSF- und UDM-Instanzen weiterzuleiten, die in der Lage sind, den Teilnehmer zu bedienen, wie sie im Standard 3GPP TS 23.003 definiert ist.
  • Im 5G-Netz wird beispielsweise als Identifizierdatensatz ein Subscription Permanent Identifier, kurz SUPI, verwendet, der jedem Netzteilnehmer zugewiesen wird. SUPI ist in der 3GPP - Spezifikation TS 23.501 definiert. Ein gültiger SUPI kann dabei eine IMSI sein oder ein Network Access Identifier, kurz NAI, so wie er in der RFC 4282 in Verbindung mit 3GPP TS 23.003 definiert ist. Der SUPI kann dann unter Verwendung der 5G USIM in einen Subscription Concealed Identifier, kurz SUCI, umgewandelt werden (verschlüsseltes SUPI). Der SUCI ist eine die Privatsphäre schützende Netzwerk-Kennung, die den darin verborgenen SUPI enthält. Das Endgerät- so es dafür geeignet ist - oder die 5G-USIM generiert eine SUCI unter Verwendung eines ECIES-basierten Schutzschemas mit einem öffentlichen Schlüssel des Heimnetzwerks, der der USIM während der USIM-Registrierung sicher zur Verfügung gestellt wurde. Die IMSI (die Teil der SUPI ist) wird dann verschleiert als SUCI versendet.
  • Damit das Versenden als SUCI zur Identifizierung/Authentisierung am Netzwerk möglich ist, muss das Endgerät eine Eignung zur Unterstützung der SUCI aufweisen. Diese Eignung wird der UICC mitgeteilt, entweder als Anfrage (UICC) -Antwort (Endgerät)- Prinzip oder die Eignung wird als SUCI-Berechnungsunterstützungsinformation durch das Endgerät bereitgestellt (in der UICC empfangen). Diese Information kann als eine binäre Information (Ja/Nein) in der UICC empfangen werden.
  • Wenn die SUCI-Berechnungsunterstützungsinformation angibt, dass das Endgerät eine SUCI-Berechnung in der UICC unterstützt, wird eine Zugriffserlaubnis des Endgeräts zumindest auf die Datei EFIMSI in der UICC durch die UICC deaktiviert. Dies ist möglich, weil das Endgerät durch die angezeigte SUCI-Berechnungsunterstützung in der UICC die SUCI direkt in der UICC berechnen und von dieser anfordern kann und somit keine Kenntnis der SUPI /IMSI im Endgerät zur Berechnung der SUCI erforderlich ist. Somit wird der Zugriff auf die Datei EFIMSI sicherheitshalber zur Verhinderung von Angriffen gesperrt.
  • In einer bevorzugten Ausgestaltung wird die Endgeräteinformation durch ein Kommando/Funktion TERMINAL CAPABILITY bereitgestellt. Dieses Kommando ist bevorzugt gemäß der Spezifikation ETSI TS 102 221 ab der Version 16.2.0 aufgebaut.
  • In einem weiteren Aspekt weist eine UICC, bevorzugt ein Teilnehmeridentitätsmodul der fünften Generation, folgendes auf: eine Schnittstelle zu einem Endgerät, eingerichtet zum Herstellen einer Betriebsbereitschaft durch Signale des Endgeräts; einen nicht-flüchtigen Speicher, eingerichtet zum Ablegen zumindest einer Datei; und eine Steuereinheit, eingerichtet zum Empfangen einer Endgeräteinformation von dem Endgerät in der UICC, wobei die Endgeräteinformation eine technische Endgeräteeigenschaft anzeigt; und Ändern des Zugriffsrecht auf die zumindest eine Datei in der UICC durch die UICC, wenn die Endgeräteinformation eine Endgeräteeigenschaft aufweist, die das Ändern des Zugriffsrechts zulässt.
  • Bevorzugt umfasst die UICC weiter ein Betriebssystem, welches ausführbar in dem nichtflüchtigen Speicher abgelegt ist und was dazu eingerichtet ist, wenn es ausgeführt wird, die Schritte der Steuereinheit durchzuführen.
  • In einem weiteren Aspekt ist ein Computerprogramprodukt ausführbar in der UICC, bevorzugt einem Teilnehmeridentitätsmodul der fünften Generation, installiert und weist Mittel zum Ausführen der Verfahrensschritte des vorhergehend beschriebenen Verfahrens auf.
  • In einem weiteren Aspekt ist ein System aufweisend eine Universal Integrated Chip Card, UICC, bevorzugt ein Teilnehmeridentitätsmodul der fünften Generation, und ein Endgerät vorgesehen, wobei das System zum Ausführen der Verfahrensschritte des vorhergehend beschriebenen Verfahrens eingerichtet ist.
  • Die UICC ist beispielsweise dazu eingerichtet, eine logische Datenverbindung zu einem Server über ein Kommunikationsnetz aufzubauen, um Dienste eines Servers zu nutzen und mit diesem Server Daten auszutauschen. Beim Aufbau einer derartigen Datenverbindung von einer UICC zu einem Server werden Verbindungsparameter, beispielsweise eine eindeutige Server-Adresse und das zu verwendende Datenverbindungs-Protokoll benötigt. Zum Aufbau, Abbau und Betrieb einer Datenverbindung wird beispielsweise ein Karten-Applikations-Werkzeugkasten, englisch Card Applikation Toolkit, kurz CAT, des Teilnehmeridentitätsmoduls gemäß dem ETSI Standard TS 102 223 verwendet.
  • Ein Kommunikationsnetz ist eine technische Einrichtung, auf der die Übertragung von Signalen unter Identifizierung und/oder Authentisierung des Teilnehmers stattfindet. Das Kommunikationsnetz bietet eigene Dienste an (eigene Sprach- und Datendienste) und/oder ermöglicht das Nutzen von Diensten von externen Instanzen. Das Kommunikationsnetz ist bevorzugt ein Mobilfunknetz. Eine Gerät-zu-Gerät Kommunikation unter Aufsicht des Kommunikationsnetzes ist dabei möglich. Insbesondere wird hier ein Mobilfunknetz beispielsweise das „Global System for Mobile Communications“, kurz GSM als Vertreter der zweiten Generation oder das „General Packet Radio Service“, kurz GPRS bzw. „Universal Mobile Telecommunications System“, kurz UMTS als Vertreter der dritten Generation, das „Long Term Evolution“, kurz LTE, als Vertreter der vierten Generation als Mobilfunknetz verstanden oder ein Mobilfunknetz der 5. Generation mit dem derzeitigen Arbeitstitel „5G“ als ein Kommunikationsnetz verstanden. Die Kommunikation im Kommunikationsnetz kann über einen sicheren Kanal erfolgen, beispielsweise so, wie es in den technischen Standards ETSI TS 102 225 und/oder ETSI TS 102 226 definiert ist, beispielsweise SCP80, SCP81 oder eine Transport-Layer-Security, TLS.
  • Erfindungsgemäß ist ein Server eine räumlich von dem Endgerät entfernte Instanz. Der Server kann ein Teil des Kommunikationsnetzes sein. Alternativ oder zusätzlich ist der Server eine externe Instanz (also keine Instanz des Kommunikationsnetzes). Der Server ist bevorzugt ein Server des Endgeräte-Herstellers, um Steuereinheiten, z.B. ECUs (ECU = Electronic Control Unit), für Funktionalitäten des Endgeräts anzusprechen. Alternativ oder zusätzlich ist der Server ein Server zur Fernverwaltung der eUICC, beispielsweise ein sogenannter Provisionierungs-Server, um Aktualisierungen für Software, Firmware oder/und Betriebssystem des eUICC in das eUICC zu laden.
  • Teilnehmeridentitätsdaten, so wie sie beispielsweise im nicht-flüchtigen Speicherbereich der UICC abgelegt sind, sind beispielsweise Daten, die einen Teilnehmer (eine Person oder ein Gerät) eindeutig im Kommunikationsnetz identifizieren. Dazu zählt beispielsweise eine Teilnehmerkennung, auch International Mobile Subscriber Identity, kurz IMSI und/oder teilnehmerspezifische Daten. Dazu zählt auch die o.g. NSI oder der o.g. „Routing Indicator“. Die IMSI oder NSI oder der „Routing Indicator“ werden in den entsprechenden Dateien in der UICC abgelegt und dienen in einem Mobilfunkkommunikationsnetzwerk dazu, eine eindeutige Teilnehmeridentität bereitzustellen. Die IMSI oder auch die NSI setzen sich zusammen aus dem Landescode MCC (Mobile Country Code), dem Netzwerkcode MNC (Mobile Network Code) und einer laufenden Nummer, die vom Netzbetreiber vergeben wird. Diese Teilnehmerdaten können in einem 5G Netzwerk verschlüsselt als SUCI übertragen werden, so das Endgerät bzw. das Netzwerk dies unterstützt.
  • Zudem sind Teilnehmeridentitätsdaten beispielsweise Daten, die einen Teilnehmer eindeutig am Kommunikationsnetz authentisieren, beispielsweise ein Authentisierungsalgorithmus, spezifische Algorithmus-Parameter, ein kryptografischer Authentisierungsschlüssel Ki und/oder ein kryptografischer Over-The-Air, kurz OTA, Schlüssel. Zudem sind Teilnehmeridentitätsdaten beispielsweise Daten, die einen Teilnehmer eindeutig an einem Dienst (=Service) authentisieren, beispielsweise eine eindeutige Kennung oder Signatur. Ein Dienst ist insbesondere ein Sprachdienst oder ein Datendienst eines Servers, mit dem Informationen und/oder Daten über das Kommunikationsnetzwerk übertragen werden.
  • Die UICC ist betriebsbereit in das Gerät eingebracht. Die Kommunikation zwischen UICC und Gerät basiert auf einem Verbindungsprotokoll. Das Gerät kann zusätzlich zudem auch dazu eingerichtet sein, eigenständig eine Datenverbindung zu dem räumlich entfernten Server aufzubauen, um ebenfalls dessen Dienste zu nutzen und mit diesem Server Daten auszutauschen.
  • Figurenliste
  • Nachfolgend wird anhand von Figuren die Erfindung bzw. weitere Ausführungsformen und Vorteile der Erfindung näher erläutert, wobei die Figuren lediglich Ausführungsbeispiele der Erfindung beschreiben. Gleiche Bestandteile in den Figuren werden mit gleichen Bezugszeichen versehen. Die Figuren sind nicht als maßstabsgetreu anzusehen, es können einzelne Elemente der Figuren übertrieben groß bzw. übertrieben vereinfacht dargestellt sein.
    • 1 zeigt ein Ausführungsbeispiel eines Systems aus Gerät und erfindungsgemäßer UICC;
    • 2 zeigt ein Ausführungsbeispiel einer erfindungsgemäßen UICC; und
    • 3 zeigt ein Ausführungsbeispiel eines Ablaufdiagrams eines erfindungsgemäßen Verfahrens in einer UICC;
    • 4 zeigt ein bevorzugtes Ausführungsbeispiel eines Ablaufdiagrams eines erfindungsgemäßen Verfahrens in einer UICC.
  • DETAILLIERTE BESCHREIBUNG VON AUSFÜHRUNGSBEISPIELEN
  • 1 zeigt ein Ausführungsbeispiel eines Systems aus Endgerät 2 und erfindungsgemäßer UICC 1, in der das Verfahren der 3 abläuft. Das Endgerät 2 ist beispielsweise ein M2M-Gerät in einer IoT Umgebung. Das Endgerät 2 kann eine Mehrzahl von ECUs 21 aufweisen, hier stellvertretend sind zwei ECUs 21a und 21b dargestellt. Durch diese ECUs 21 wird die Funktionalitäten des Endgeräts 2 gesteuert. Wenn das Endgerät 2 ein Kfz ist, könnten die ECUs Motorsteuerung, Getriebesteuerung, Klimasteuerung, und dergleichen sein.
  • Die UICC 1 ist betriebsbereit in das Endgerät 2 eingebracht und wird vom Endgerät 2 mit einer Versorgungsspannung Vcc und einem Takt CLK versorgt. Die UICC 1 ist in 2 detaillierter dargestellt. In 1 ist angedeutet, dass die UICC 1 Applets 13 aufweist. Diese Applets 13 können über ein Card Application Toolkit, CAT, 12, unterschiedliche APDU-Kommandos 11 an das Endgerät 2 senden.
  • Das Endgerät 2 umfasst auch ein Modem 22. Das Modem 22 kann beispielsweise als eine logische Einheit zum Umsetzen von Daten zwischen der UICC 1 und einem Server 4 angesehen werden. Das Endgerät 2 kann durch das Modem 22 eine Kommunikationsverbindung 3 zur UICC 1 aufbauen. Die Kommunikation 3 zwischen dem Endgerät 2 und der UICC 1 erfolgt beispielsweise gemäß den in der internationalen Normen ISO/IEC 7816-3 und ISO/IEC 7816-4 definierten Protokollen, auf die hiermit ausdrücklich Bezug genommen wird.
  • Der gesamte Datenaustausch zwischen der UICC 1 und dem Endgerät 2 findet bevorzugt unter Verwendung der sogenannten APDUs (application protocol data units) gemäß der Norm ISO/IEC 7816-4 statt. Eine APDU stellt eine Dateneinheit der Anwendungsschicht dar, also eine Art Container, mit dem Kommandos und/ oder Daten an die eUICC 1 übertragen werden. Man unterscheidet zwischen Kommando-APDUs, die von einem Endgerät 2 an die UICC 1 gesendet werden, und Antwort-APDUs, die von der UICC 1 in Reaktion auf eine Kommando-APDU an das Endgerät 2 gesendet werden.
  • Das Modem 22 ist dabei eine Kommunikationseinheit des Endgeräts 2, um auch Daten des Endgeräts 2 oder der UICC 1 über eine Kommunikationsschnittstelle 41 mit dem Kommunikationsserver 4, beispielsweise ein Server eines Netzbetreibers, auszutauschen. Die ausgetauschten Daten zwischen UICC 1 und Modem 22 können im Modem 22 in ein IP-basiertes Verbindungsprotokoll umgesetzt werden.
  • 2 zeigt ein Blockschaltbild einer erfindungsgemäßen UICC 1, vorzugsweise eine fest verdrahtete eUICC 1. Alternativ ist die eUICC 1 ein portabler Datenträger mit einer anderen Bauform. Die UICC 1 hat ein Betriebssystem 15, in dem das Verfahren 100 gemäß 3 abläuft. Das Betriebssystem 15 ist beispielsweise ein natives Betriebssystem. Es ist zudem denkbar, dass das Betriebssystem 15 eingerichtet ist, eine Java Card Laufzeitumgebung, JCRE, 16 zu betreiben.
  • Die UICC 1 ist dazu ausgestaltet mit dem Gerät 2 gemäß 3 Daten auszutauschen. Zur Datenübertragung bzw. Kommunikation zwischen der UICC 1 und dem Endgerät 2 weisen sowohl die UICC 1 als auch das Endgerät 2 jeweils geeignete Kommunikationsschnittstellen 31 auf. Die Schnittstellen können beispielsweise so ausgestaltet sein, dass die Kommunikation zwischen diesen bzw. zwischen der UICC 1 und dem Endgerät 2 galvanisch, d.h. kontaktbehaftet, verbunden werden. Die Kontaktbelegung ist in der ISO/IEC 7816 definiert. In einer nicht dargestellten Ausführungsform ist die Kommunikationsschnittstelle kontaktlos, beispielsweise gemäß einem RFID oder NFC oder WLAN Standard. Das Endgerät 2 kann die Eignung zur Kommunikation über eine der Schnittstellen als eine Endgeräteinformation der UICC 1 anzeigen (Schritt 103 des Verfahrens 100 in der 3). Daraufhin kann die UICC 1 Zugriffsrechte auf Dateien in der UICC 1 ändern (Schritt 103 des Verfahrens 100 in der 3).
  • Die UICC 1 hat zudem eine zentrale Prozessor- bzw. Steuereinheit, CPU 19, die in Kommunikationsverbindung mit der Schnittstelle 31 steht. Zu den primären Aufgaben der CPU 19 gehören das Ausführen von arithmetischen und logischen Funktionen und das Zugreifen (Lesen, Schreiben, Ändern, Überschreiben, Anlegen und/oder Löschen) von Dateien in der UICC 1, wie dies durch von der CPU 19 ausgeführten Programmcode definiert wird. Die Dateien sind beispielsweise Elementare Dateien, Elementary Files, EF, in einem Dateiverzeichnis, Directory Files, DF, eines Root-Verzeichnisses oder eines Profilverzeichnisses der UICC 1 eines nichtflüchtigen Speichers 17. Die CPU 19 steht ferner mit einem flüchtigen Arbeitsspeicher, RAM 18 und dem nichtflüchtigen wieder beschreibbaren Speicher 17 in Verbindung. Vorzugsweise handelt es sich bei dem nichtflüchtigen Speicher 17 um einen Flash-Speicher (Flash-EEPROM). Dabei kann es sich beispielsweise um einen Flash-Speicher mit einer NAND- oder einer NOR-Architektur handeln.
  • Bei der in 2 dargestellten bevorzugten Ausführungsform ist in dem nichtflüchtigen Speicher 17 der Programmcode gespeichert, der von der CPU 19 ausgeführt werden kann. Insbesondere kann in dem nichtflüchtigen Speicher 17 der Programmcode des Chipkarten-Betriebssystems, OS, 15, der Java Card Laufzeitumgebung, JCRE, 16 (bestehend aus Java Card Virtual Machine, JCVM und Java Card Application Programming Interfaces, JCAPI), einer ersten und zweiten Applikation 13a, 13b hinterlegt sein. Dabei liegen die Applikationen 13a, 13b vorzugsweise in Form von Java Card™ Applets vor. Zudem ist der in 1 gezeigte CAT 12 gemäß ETSI TS 102 223 eingebracht.
  • Heutige Endgeräte 2, wie Smartphones, enthalten ein Chipset, die eine Mehrzahl von Chips oder Prozessoren umfassen kann, speziell einen Applikations-Prozessor, einen Baseband-Prozessor, und ggf. eine speziell gesicherte Secure Processing Unit SPU (allesamt nicht dargestellt in 1 und 2). Für den derzeit in Entwicklung befindlichen künftigen 5G-Mobilfunkstandard wird das Konzept des integrated UICC, iUICC, vorgeschlagen, bei dem die Funktionalität einer USIM-Karte oder eines UICC verteilt in das Chipset, d.h. in ein oder mehrere Chips oder Prozessor(en), des Endgeräts 2 integriert ist. Dieses Konzept wird erfindungsgemäß nicht ausgeschlossen.
  • 3 zeigt ein Ausführungsbeispiel eines Ablaufdiagrams eines erfindungsgemäßen Verfahrens 100 in einer UICC 1 der 1 und 2. Im optionalen Schritt 101 wird eine Dienste-Anfrage in der UICC 1 empfangen. Diese Dienste-Anfrage ist beispielsweise ein Kommando eines Endgeräts 2 der 1 und 2, in dem die UICC 1 eingebracht ist und mittels dem in der UICC 1 ein Dateiinhalt einer Datei aus dem Speicher 17 der UICC 1 auslesen soll. Diese Dienste-Anfrage des Schritts 101 muss nicht vom Endgerät 2 ursprünglich initiiert worden sein, es kann eine Anfrage sein, die vom Server 4 (1) über die Kommunikationsschnittstelle 41 an das Endgerät 2 herangetragen wurde. Das Endgerät 2 setzt diese Server-Anfrage dann in die Anfrage gemäß Schritt 101 um. Die UICC 1 erkennt anhand der Anfrage des Schritts 101, dass eine zur Beantwortung der Anfrage auszulesende Datei der UICC 1 sicherheitsrelevante und/oder personenbezogene Daten beinhaltet. Beispielsweise wird eine Netzwerkkennung oder ein Authentisierungsalgorithmus abgefragt.
  • Beispielsweise werden personenbezogene Daten abgefragt, die in der UICC 1 abgespeichert sind. Diese sicherheitsrelevanten und/oder personenbezogenen Dateien sind möglicherweise speziell gekennzeichnet oder werden in einer Liste der UICC 1 geführt und die UICC 1 prüft, ob die Anfrage im Schritt 101 einen Eintrag in der Liste entspricht. Die UICC 1 prüft nun eine Möglichkeit die Anfrage des Schritts 101 zu beantworten, ohne dass dabei diese sicherheitsrelevanten und/oder personenbezogenen Informationen an das Endgerät 2 bzw. den Server 4 zu übermitteln sind. Beispielsweise initiiert die UICC 1 dazu eine (Gegen-) Anfrage an das Endgerät 3 im Schritt 102. Mittels der Anfrage im Schritt 102 fragt die UICC 1 eine Endgeräte-Eignung des Endgeräts 2 ab.
  • Die Schritte 101 und 102 des Verfahrens 100 in der 3 sind optional und ermöglichen, dass die UICC 1 bei Anfrage eines Dienstes prompt das erfindungsgemäße Verfahren der Schritte 103 und 104 umsetzt. Alternativ kann das Umsetzen der Schritte 103 oder 104 auch unabhängig von einer Dienste-Anfrage im Schritts 101 und/oder unabhängig von einer Eignungs-Anfrage im Schritt 102 erfolgen.
  • Der Schritt 101 kann in einer Ausgestaltung auch nach dem Schritt 104 erfolgen, sodass nachfolgende Dienste-Anfragen entsprechend abgehandelt werden. Somit werden stets Dienste-Anfragen und die Endgeräte-Eignung geprüft und ein Zugriffsrecht auf Datei(en) entsprechend angepasst.
  • Im Schritt 103 empfängt die UICC 1 eine Endgeräteinformation von dem Endgerät 2. Die Endgeräteinformation zeigt eine technische Endgeräteeigenschaft an.
  • Das Empfangen der Endgeräteinformation im Schritt 103 erfolgt beispielsweise mittels eines APDU Kommandos. Bevorzugt wird die Endgeräteinformation gemäß dem Schritt 103 in Form des APDU-Kommandos TERMINAL CAPABILITY gemäß der Spezifikation ETSI TS 102 221 übermittelt.
  • Dieses APDU-Kommando TERMINAL CAPABILITY besteht aus einem 4 Byte großen Kopfteil (= Header) mit CLA, INS, PI, P2, wie er im Abschnitt 11.1.19.2.0 der Spezifikation ETSI TS 102 221 kodiert ist:
    Kodierung Länge Inhalt Teil der APDU
    CLA 1 ‚8X‘ or ‚CX‘ or ‚EX‘ Header
    INS 1 ‚AA‘
    P1 1 ‚00‘
    P2 1 ‚00‘
    Lc 0 oder 1 Länge des nachfolgenden Datenteils Body
    Datenfeld Lc Kommandodaten
    Le 0 oder 1 Wird nicht verwendet
  • Das Datenfeld des APDU Kommandos TERMINAL CAPABILITY ist als Type-Length-Value, TLV, Objekt strukturiert und gemäß dem Abschnitt 11.1.19.2.0 der Spezifikation ETSI TS 102 221, wie folgt aufgebaut:
    Byte (s) Beschreibung Länge
    1 TERMINAL CAPABILITY TAG = ‚A9‘ 1
    2 Länge 1
    3 bis 2+X Proprietäre Daten X
  • Die Endgeräte-Information des Schritts 103 ist dann im Datenfeld des APDU-Kommandos TERMINAL CAPABILITY im TLV-Format beispielsweise wie folgt kodiert:
    Endgeräte-Information TAG Abschnitt der TS 102 221
    Endgeräte-Energieversorgung ‚80‘ 11.1.19.2.1
    Unterstützung des erweiterten logischen Kanals ‚81‘ 11.1.19.2.2
    Zusätzliche Schnittstellen-Unterstützung ‚82‘ 11.1.19.2.3
    eUICC-bezogene Endgeräte-Eignung ‚83‘ 11.1.19.2.4
    SUCI-Berechnungs-Unterstützung tbd tbd
    Weitere Endgeräte-Eignung tbd tbd
  • Die Endgeräte-Information „SUCI-Berechnungs-Unterstützung“ könnte beispielsweise das TAG ‚84‘ sein, wie es in Abschnitt 11.1.19.2.5 oder 11.1.19.2.4.1 „Additional Terminal capability indications related to SUCI calculation in 5G USIM support“ in einer neueren Version der TS 102 221 definiert ist.
  • Endgeräte 2, die die SUCI-Berechnung in der 5G USIM-Funktionalität, wie in 3GPP TS 31.102 definiert, unterstützen, würden dies der UICC 1 anzeigen, indem sie das Kommando TERMINAL CAPABILITY mit der zusätzlichen Endgeräte-Informationsanzeige bezüglich der SUCI-Berechnung anzeigen. Diese Anzeige könnten ein 5G USIM TLV-Objekt während einer neuen Kartensitzung (UICC session) vor der Auswahl der ersten Anwendung sein.
  • Um künftige Erweiterungen dieses TLV-Objekts zu ermöglichen, könnte die hier beschriebene UICC 1 alle zusätzlichen Bytes im TLV-Objekt ignorieren.
  • Die Angaben zur Endgeräte-Information im Zusammenhang mit der SUCI-Berechnung in der 5G USIM-Funktionalität könnten durch das Tag ‚84‘ innerhalb des konstruierten TLV-Objekts angezeigt werden. Das TLV-Objekt wäre beispielsweise wie folgt strukturiert:
    Byte(s) Beschreibung Wert Länge
    1 Tag ‚84‘ 1
    2 Länge ‚01‘ 1
    3 SUCI Berechnung in einer 5G USIM 1
  • Die Kodierung der SUCI-Berechnung in einer 5G USIM könnte wie folgt sein:
    b8 b7 b6 b5 b4 b3 b2 b1 Bedeutung
    - - - - - - - 1 SUCI Berechnung in 5G USIM unterstützt
    - - - - - - - 0 SUCI Berechnung in 5G USIM nicht unterstützt
    x x x x x x x - RFU
  • Eine Definition für eine Datei EFIMSI im Kapitel 4.2.2 des Standards TS 31.102 könnte ebenfalls entsprechend geändert werden. Es könnte darin zusätzlich definiert werden, dass bei Verfügbarkeit eines Dienstes Nr. 124 und eines Dienstes Nr. 125 und der Angabe einer TERMINAL CAPABILITY gemäß TS 102 221, dass die SUCI-Berechnung in 5G USIM unterstützt würde, die Datei EFIMSI dem Endgerät 1 nicht zur Verfügung steht.
  • Die Art und Weise, wie die Datei EFIMSI für das Endgerät 2 nicht verfügbar gemacht wird, kann in der TS 31.102 als ein Hinweis erläutert werden. Es kann implementierungsspezifisch umgesetzt sein, beispielsweise kann die Datei EFIMSI in der UICC 1 nicht vorhanden sein, die Datei EFIMSI kann in der UICC 1 vorhanden, aber für das Endgerät 2 nicht lesbar sein (Zugriffsbedingung geändert), oder die Datei EFIMSI kann vorhanden, aber deaktiviert sein.
  • Somit erfährt die UICC 1 Endgeräte-Eignungen, die es der UICC 1 ermöglichen, die Eignung des Endgeräts 2 festzustellen. Als Endgeräteeigenschaften werden beispielsweise auch Funktionen des Endgeräts, wie unterstützende Berechnungsalgorithmen, Verschlüsselungsalgorithmen, Verschleierungsalgorithmen, der UICC 1 im Schritt 103 mitgeteilt. Als Endgeräteeigenschaften werden beispielsweise Unterstützungsinformationen des Endgeräts, wie Kommunikationsmodus-Unterstützung zwischen Endgerät und UICC und/oder zwischen Endgerät und Kommunikationsnetzwerk, der UICC mitgeteilt.
  • Diese Endgeräte-Eignungen können Betriebsparameter betreffen, die das Endgerät 2 bereitstellen kann, um die UICC 1 zu betreiben, beispielsweise eine Spannungsversorgung oder eine Taktfrequenz. Alternativ oder zusätzlich kann die Endgeräte-Eignung die Unterstützung zusätzlicher Kommunikationsprotokolle zwischen der UICC 1 und dem Endgerät 2 betreffen.
  • Insbesondere betrifft die Endgeräte-Eignung eine Information, dass das Endgerät 2 die UICC 1 bei der Durchführung von Verschlüsselungen einer Teilnehmerkennung unterstützen kann, beispielsweise indem das Endgerät 2 mittels einer SUCI-Berechnungs-Unterstützungsinformation anzeigt, dass es dazu eingerichtet ist die SUCI-Berechnung in der UICC 1 zu unterstützen.
  • Die UICC 1 prüft im darauffolgenden Schritt 104 aufgrund der Informationen aus dem Schritt 103 die angezeigte technische Endgeräteeigenschaft darauf, ob diese bei zumindest gleichem Funktionsumfang der UICC 1 die Übermittlung der in der Datei EFIMSI gespeicherten sicherheitsrelevanten und/oder personenbezogenen Information erfordert. Ist das nicht der Fall, wird ein Zugriffsrecht auf eine Datei der UICC 1 geändert. Die Zugriffsrechtsänderung wird beispielsweise in der EFUST der 3GPP TS 31.102 gemäß Abschnitt 4.2.8 festgehalten (protokolliert). Die Zugriffsänderung ist dann zulässig, wenn die im Schritt 103 empfangene Endgeräteinformation eine Endgeräteeigenschaft des Endgeräts 2 anzeigen, die das Ändern des Zugriffsrechts bei zumindest gleichem Funktionsumfang zulässt.
  • In der 4 wird nun ein Ablauf 200 eines bevorzugtes Ausführungsbeispiel zur Durchführung des erfindungsgemäßen Verfahrens 100 beschrieben. Die Verfahrensschritte 201 bis 204 entsprechen den Verfahrensschritten 201 und 204 und sind nur anders bezeichnet, um das Ausführungsbeispiel hervorzuheben. Die UICC 1 ist in 4 eine 5G USIM.
  • Im optionalen Schritt 201 wird ein Anfrage-Kommando zum Auslesen der IMSI aus der Datei EFIMSI der UICC 1 in der UICC 1 empfangen. Die IMSI ist eine sicherheitsrelevante und personenbezogene Information. Sie ist Teil einer Teilnehmerkennung und sollte - wenn möglich - nicht ausgelesen werden. Die UICC 1 ist eine 5G USIM und ist daher eingerichtet zum Erzeugen einer SUCI basierend auf der IMSI. Das Verwenden der SUCI anstelle der IMSI ist vorteilhaft, da beim Versenden der SUCI die IMSI nicht im Klartext an das Endgerät 2 bzw. den Server 4 gesendet wird. Das Versenden der SUCI würde demnach die sicherheitsrelevante und/oder personenbezogene Information aus der Datei EFIMSI schützen, sodass es bevorzugt ist, die SUCI anstelle der IMSI als Netzwerkkennung zu versenden.
  • Um anstelle einer IMSI eine SUCI als Antwort auf die Anfrage 201 zu senden, muss das Endgerät 2 dazu geeignet sein, eine SUCI-Berechnung der 5G USIM zu unterstützen. Diese Endgeräte-Eignung wird im Schritt 202 von der UICC 1 abgefragt.
  • Die Schritte 201 und 202 des Verfahrens 200 in der 4 sind optional und ermöglichen, dass die 5G USIM 1 bei Anfrage eines Dienstes prompt das erfindungsgemäße Verfahren der Schritte 203 und 204 umsetzen kann. Alternativ kann das Umsetzen der Schritte 203 oder 204 auch unabhängig von einer Dienste-Anfrage im Schritts 201 (beispielsweise bei Einrichten der 5G USIM im Endgerät 2) und/oder unabhängig von einer Eignungs-Anfrage im Schritt 202 erfolgen.
  • Im Schritt 203 empfängt die 5G USIM eine Endgeräte-Informationen. Diese Endgeräte-Information zeigt der 5G USIM die Eignung des Endgeräts 2 an, eine SUCI-Berechnung in der UICC zu unterstützen. Durch die Anzeige der SUCI-Berechnungsunterstützung durch das Endgerät 2 im Schritt 203 erkennt die UICC 1, dass das Endgerät 2 keinen Zugriff auf die Datei EFIMSI mehr benötigt. Die bis dahin ggf. gültige Zugriffserlaubnis auf die Datei EFIMSI in der UICC 1 wird im Schritt 204 durch die UICC 1 deaktiviert. Ab diesem Zeitpunkt ist es dem Endgerät 2 nicht mehr gestattet, auf die Datei EFIMSI zuzugreifen, die Zugriffsänderung ist ein Leseverbot. Das Endgerät 2 hat damit seine Eignung zur Teilnehmerkennung gemäß 5G Netzwerkmechanismen angezeigt.
  • Diese Zugriffsrechtsänderung wird im optionalen Schritt 205 beispielsweise in der Datei EFUST der 3GPP TS 31.102 gemäß Abschnitt 4.2.8 festgehalten (protokolliert), wobei der Dienst „IMSI-Aufruf“ dort als „nicht verfügbar“ gekennzeichnet wird.
  • Im optionalen Folgeschritt 206 wird dann eine SUCI berechnet. Diese Berechnung folgt den standardisierten Vorgehensweisen gemäß 3 GPP 23.501 und wird hier nur angedeutet. Der Teilnehmer-Identifikationsmechanismus gemäß dem 5G Netzen ermöglicht die Identifizierung eines Endgerätes 2 auf der Over-the-Air-Funkschnittstelle (Schnittstelle 41 der 1) mit Hilfe der generierten SUCI. Wenn das Endgerät 2 zum ersten Mal versucht, sich zu registrieren, verschlüsselt die UICC 1 die SUPI in eine SUCI, insbesondere wenn das Kommando GET IDENTITY vom Endgerät 1 unterstützt wird, und stellt diese SUCI dem Endgerät 2 zur Verfügung. Das Endgerät 2 sendet einen „Initial Registration Request“ unter Verwendung der „SUCI“. Ein Server 4, beispielsweise ein „AMF“ leitet diese SUCI im Netzwerk weiter, um die dazugehörige SUPI mit der Authentifizierungsanforderung abzurufen. Ferner generiert der „AMF“ eine temporäre Teilnehmerkennung „GUTI“ für diese permanente Teilnehmerkennung „SUPI“ und behält die Zuordnung von „GUTI“ zu „SUPI“ für weitere Registrierungen bei. Die „GUTI“ wird dem Endgerät 2 über die Schnittstelle 41 übermittelt. In einer nachfolgenden Registrierungsanfrage sendet das Endgerät 2 die Registrierungsanfrage nur noch mit der temporären Teilnehmerkennung „GUTI“.
  • Wenn der Server „AMF“ nicht in der Lage, eine „SUPI“ ausgehend von einer „GUTI“ zu generieren, dann fordert der Server „AMF“ das Endgerät 2 zur Identitätsprüfung auf. Das Endgerät 2 kann dann mit der Identitätsantwort antworten, die die „SUCI“ enthält. Die IMSI wird in diesem Szenario nicht an das Netzwerk übermittelt, ein Angriff auf die IMSI schlägt wegen der Deaktivierung des Zugriffserlaubnis auf die EFIMSI fehl.
  • Mit diesem Verfahren 200 wird eine Teilnehmerkennung durch die UICC 1 weiterhin standardgemäß bereitgestellt. Anstelle der Übertragung einer IMSI im Klartext wird nun aber eine SUCI übertragen, die Daten der IMSI bleiben für einen potenziellen Angreifer, der als „IMSI-Catcher“ möglicherweise die Dienste-Anfrage fingiert hat, nicht einsehbar. Der Funktionsumfang hat sich durch diese Zugriffsänderung nicht geändert.
  • Mit dem erfindungsgemäßen Verfahren 100 bzw. 200 ist es möglich, dass ein 5G-fähiges Endgerät 2 der 5G USIM anzeigt (Schritt 103, 203), dass es eine SUCI-Berechnung unterstützt. Eine Zugriffserlaubnis des Endgeräts 2 auf die Datei EFIMSI kann damit deaktiviert werden. Um eine Abwärtskompatibilität zu ermöglichen wird der Zugriff auf die Datei EFIMSI gewährt, wenn das Endgerät 2 eine SUCI-Berechnung nicht unterstützt.
  • Der Schritt 101 kann in einer Ausgestaltung auch nach dem Schritt 104 erfolgen, sodass nachfolgende Dienste-Anfragen entsprechend abgehandelt werden. Somit werden stets Dienste-Anfragen und die Endgeräte-Eignung geprüft und ein Zugriffsrecht auf Datei(en) entsprechend angepasst.
  • Das Verfahren 100 und das Verfahren 200 werden dabei in einem Betriebssystem (OS) der UICC 1 integriert und können so in jeder nativen UICC eingesetzt und verwendet werden.
  • Im Rahmen der Erfindung können alle beschriebenen und/oder gezeichneten und/oder beanspruchten Elemente beliebig miteinander kombiniert werden.
  • Bezugszeichenliste
    • 1
    UICC, Teilnehmeridentitätsmodul, SIM, eUICC
    11
    Übertragungskommando, APDU
    12
    Card Application Toolkit, CAT
    13
    Applet
    15
    Betriebssystem, OS
    16
    Java Laufzeitumgebung, JCRE
    17
    Nichtflüchtiger Speicher
    18
    Speicherbereich
    19
    Steuereinheit, CPU
    20
    UICC-Zustand
    2
    Gerät
    21a,b
    Steuereinheit, ECU
    22
    Modem
    23
    Übertragungskommando, APDU
    3
    Kommunikationsverbindung zwischen Gerät und UICC
    31
    Schnittstelle der UICC
    4
    Server
    41
    Schnittstelle Gerät - Server
    101-104
    Verfahrensschritte gemäß der Erfindung
    201-205
    Verfahrensschritte gemäß einer bevorzugten Ausführungsform
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 60310968 [0011]

Claims (13)

  1. Ein Verfahren (100, 200) zum Ändern eines Zugriffsrechts eines Endgeräts (2) auf zumindest eine in einer Universal Integrated Chip Card, UICC (2), bevorzugt einem Teilnehmeridentitätsmodul der fünften Generation, abgelegte Datei (EFIMSI, EFNSI, EFRouting Indicator), wobei die UICC (2) betriebsbereit in das Endgerät (1) eingebracht ist und wobei die zumindest eine Datei (EFIMSI, EFNSI, EFRouting Indicator) eine sicherheitsrelevante und/oder personenbezogene Information enthält, mit den Verfahrensschritten: - Empfangen einer Anfrage (101, 201) zum Zugreifen auf die zumindest eine Datei (EFIMSI, EFNSI, EFRouting Indicator) durch die UICC (1); - Empfangen (103, 203) einer Endgeräteinformation von dem Endgerät (2) in der UICC (1), wobei die Endgeräteinformation eine technische Endgeräteeigenschaft anzeigt; - Prüfen, ob die angezeigte technische Endgeräteeigenschaft die Übermittlung der sicherheitsrelevanten und/oder personenbezogenen Information erfordert; - Ändern (104, 204) des Zugriffsrechtes auf die zumindest eine Datei (EFIMSI, EFNSI, EFRouting Indicator) in der UICC (1) durch die UICC (1), wenn die Endgeräteinformation eine Endgeräteeigenschaft aufweist, die das Ändern des Zugriffsrechts bei zumindest gleichem Funktionsumfang zulässt.
  2. Das Verfahren (100, 200) nach Anspruch 1, wobei das Ändern (104, 204) des Zugriffsrechts ein Ändern der Zugriffsbedingung zum Zugreifen auf die zumindest eine Datei (EFIMSI, EFNSI, EFRouting Indicator), insbesondere ein Deaktivieren einer Zugriffserlaubnis des Endgeräts (2) auf die zumindest eine Datei (EFIMSI, EFNSI, EFRouting Indicator) ist, bevorzugt ein Deaktivieren einer zuvor erlaubten Zugriffserlaubnis des Endgeräts (2) auf die zumindest eine Datei (EFIMSI, EFNSI, EFRouting Indicator) ist.
  3. Das Verfahren (100, 200) nach einem der vorhergehenden Ansprüche, wobei das Ändern (104, 204) des Zugriffsrechts ein Deaktivieren einer Leseerlaubnis des Endgeräts (2) zum Auslesen dieser zumindest einen Datei (EFIMSI, EFNSI, EFRouting Indicator) ist.
  4. Das Verfahren (100, 200) nach Anspruch 1, wobei die Anfrage (101, 201) das Verfügbarsein eines Dienstes in der UICC (1) umfasst.
  5. Das Verfahren (100, 200) nach einem der vorhergehenden Ansprüche, wobei vor dem Empfangen (103, 203) der Endgeräteinformation von dem Endgerät (2) in der UICC (1), die UICC (1) Endgeräteinformationen anfragt (102, 202).
  6. Das Verfahren (100, 200) nach einem der vorhergehenden Ansprüche, wobei die zumindest eine Datei (EFIMSI) die Datei EFIMSI ist, die eine internationale Mobilfunk-Teilnehmerkennung, IMSI/NSI, beinhaltet.
  7. Das Verfahren (100, 200) nach einem der vorhergehenden Ansprüche, wobei die Endgeräteinformation eine Subscription Concealed Identifier-, SUCI-, Berechnungsunterstützungsinformation durch das Endgerät (2) ist.
  8. Das Verfahren (100, 200) nach Anspruch 7, wobei wenn die SUCI-Berechnungsunterstützungsinformation angibt, dass das Endgerät (2) eine SUCI-Berechnung unterstützt, eine Zugriffserlaubnis des Endgeräts (2) zumindest auf eine Datei EFIMSI in der UICC (1) durch die UICC (1) deaktiviert wird.
  9. Das Verfahren (100, 200) nach einem der vorhergehenden Ansprüche, wobei die Endgeräteinformation durch ein TERMINAL CAPABILITY Kommando bereitgestellt wird.
  10. Eine Universal Integrated Chip Card, UICC (1), bevorzugt ein Teilnehmeridentitätsmodul der fünften Generation, aufweisend: - eine Schnittstelle (31) zu einem Endgerät (2), eingerichtet zum Herstellen einer Betriebsbereitschaft durch Signale des Endgeräts (2); - einen nicht-flüchtigen Speicher (17), eingerichtet zum Ablegen zumindest einer Datei (EFIMSI) wobei die zumindest eine Datei (EFIMSI) eine sicherheitsrelevante und/oder personenbezogene Information beinhaltet; und - eine Steuereinheit (19), eingerichtet zum: - Empfangen (103, 203) einer Endgeräteinformation von dem Endgerät (2) in der UICC (1), wobei die Endgeräteinformation eine technische Endgeräteeigenschaft anzeigt; - Prüfen, ob die angezeigte technische Endgeräteeigenschaft die Übermittlung der sicherheitsrelevanten und/oder personenbezogenen Information erfordert, und - Ändern (104, 204) des Zugriffsrechts auf die zumindest eine Datei (EFIMSI, EFNSI, EFRouting Indicator) in der UICC (1) durch die UICC (1), wenn die Endgeräteinformation eine Endgeräteeigenschaft aufweist, die die Übermittlung der sicherheitsrelevanten und/oder personenbezogenen Information nicht erfordert.
  11. Die UICC (1) gemäß Anspruch 10, weiter umfassend: - ein Betriebssystem (15), ausführbar abgelegt in dem nicht-flüchtigen Speicher (17) und dazu eingerichtet, wenn in der Steuereinheit (19) ausgeführt, die Schritte des Verfahrens gemäß der Ansprüche 1 bis 9 durchzuführen.
  12. Ein Computerprogramprodukt ausführbar installiert in einer Universal Integrated Chip Card, UICC (1), bevorzugt einem Teilnehmeridentitätsmodul der fünften Generation, und aufweisend Mittel zum Ausführen der Verfahrensschritte des Verfahrens (100, 200) gemäß einem der Ansprüche 1 bis 9.
  13. Ein System aufweisend eine Universal Integrated Chip Card, UICC (1), bevorzugt ein Teilnehmeridentitätsmodul der fünften Generation, und ein Endgerät (2), wobei das System zum Ausführen der Verfahrensschritte des Verfahrens (100, 200) gemäß einem der Ansprüche 1 bis 9 eingerichtet ist.
DE102021005869.0A 2020-11-26 2021-11-26 Verfahren zum Ändern eines Zugriffsrechts in einer UICC Pending DE102021005869A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020007238.0 2020-11-26
DE102020007238 2020-11-26

Publications (1)

Publication Number Publication Date
DE102021005869A1 true DE102021005869A1 (de) 2022-06-02

Family

ID=81585808

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021005869.0A Pending DE102021005869A1 (de) 2020-11-26 2021-11-26 Verfahren zum Ändern eines Zugriffsrechts in einer UICC

Country Status (1)

Country Link
DE (1) DE102021005869A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115942323A (zh) * 2023-01-09 2023-04-07 中国电子科技集团公司第三十研究所 安全增强usim装置和usim安全增强方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60310968T2 (de) 2002-10-07 2007-10-11 Telefonaktiebolaget Lm Ericsson (Publ) Sicherheits- und Privatsphärenverbesserungen für Sicherheitseinrichtungen

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60310968T2 (de) 2002-10-07 2007-10-11 Telefonaktiebolaget Lm Ericsson (Publ) Sicherheits- und Privatsphärenverbesserungen für Sicherheitseinrichtungen

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115942323A (zh) * 2023-01-09 2023-04-07 中国电子科技集团公司第三十研究所 安全增强usim装置和usim安全增强方法

Similar Documents

Publication Publication Date Title
EP2898714B1 (de) Identitätsmodul zum authentisieren eines teilnehmers in einem kommunikationsnetzwerk
EP2910039B1 (de) Verfahren zum einbringen von teilnehmeridentitätsdaten in ein teilnehmeridentitätsmodul
EP3939344B1 (de) Verfahren zum bereitstellen von subskriptions-profilen, teilnehmeridentitätsmodul und subskriptions-server
DE112013004444T5 (de) Verfahren und Vorrichtung zum Verwalten von Daten in einem sicheren Element
DE102020003275B3 (de) Personalisierung eines Secure Element
US10136323B2 (en) Method and device for operating a mobile terminal in a mobile communication network
EP2705477A1 (de) Beantwortung von anfragen mittels des kommunikationsendgeräts eines nutzers
DE102021005869A1 (de) Verfahren zum Ändern eines Zugriffsrechts in einer UICC
EP3314933A1 (de) Kommunizieren eines teilnehmeridentitätsmoduls zu einem server, insbesondere bei profilwechsel
US12114166B2 (en) Method for setting up a subscription profile, method for providing a subscription profile, subscriber identity module
EP3664490A1 (de) Imei speicherung
US20160315966A1 (en) Methods and Apparatuses for Managing Subscriptions on a Security Element
EP2701359B1 (de) Verfahren zum Erhalten von Teilnehmeridentitätsdaten
DE102022002276A1 (de) Verfahren in einem secure element
EP4392884A1 (de) Verfahren in einem secure element
WO2023016669A1 (de) Verfahren in einem secure element
DE102022000931A1 (de) Universal integrated chip card, UICC, zum Verwalten von Authentisierungsdaten, sowie Verfahren
EP4320900A1 (de) Verfahren zum personalisieren eines sicheren elementes
DE102023110415A1 (de) Ein Verfahren zum Bereitstellen von Daten für ein Abonnementenprofil für ein Secure Element
DE102018005201A1 (de) Verfahren zur authentifizierung eines benutzers, teilnehmer-identitäts modul, authentifizierungsserver und authentifizierungssystem
WO2023186348A1 (de) Verfahren zur verwaltung einer anwendung zur elektronischen identifizierung eines nutzers
DE102015000693A1 (de) Verfahren und Vorrichtungen zum Bereitstellen eines Subskriptionsprofils auf einem mobilen Endgerät

Legal Events

Date Code Title Description
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT EPAYMENTS GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT EPAYMENTS GMBH, 81677 MUENCHEN, DE