DE102022001094A1 - Verfahren zur Verwaltung einer Anwendung zur elektronischen Identifizierung eines Nutzers - Google Patents

Verfahren zur Verwaltung einer Anwendung zur elektronischen Identifizierung eines Nutzers Download PDF

Info

Publication number
DE102022001094A1
DE102022001094A1 DE102022001094.1A DE102022001094A DE102022001094A1 DE 102022001094 A1 DE102022001094 A1 DE 102022001094A1 DE 102022001094 A DE102022001094 A DE 102022001094A DE 102022001094 A1 DE102022001094 A1 DE 102022001094A1
Authority
DE
Germany
Prior art keywords
user
server
application
data
subscription profile
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022001094.1A
Other languages
English (en)
Inventor
Jan Eichholz
Michael Edwards
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE
Original Assignee
Giesecke and Devrient ePayments GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient ePayments GmbH filed Critical Giesecke and Devrient ePayments GmbH
Priority to DE102022001094.1A priority Critical patent/DE102022001094A1/de
Priority to PCT/EP2023/025138 priority patent/WO2023186348A1/de
Publication of DE102022001094A1 publication Critical patent/DE102022001094A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]

Abstract

Die Erfindung betrifft ein Verfahren (100) zur Verwaltung einer Anwendung zur elektronischen Identifizierung eines Nutzers eines ein Teilnehmeridentitätsmodul (1) aufweisenden mobilen Endgerätes (2) in einem Mobilfunknetz, Das Verfahren (100) umfasst folgende Verfahrensschritte:- Senden (103) einer Anfrage zur Erzeugung eines Subskriptionsprofils mit der Anwendung an einen Subscription Manager Data Preparation (SM-DP+) Server des Mobilfunknetzes;- Erzeugen (105) eines Subskriptionsprofils mit der Anwendung zur elektronischen Identifizierung des Nutzers, wobei das Erzeugen des Subskriptionsprofils das Erzeugen eines dem Subskriptionsprofil zugeordneten privaten asymmetrischen Personalisierungsschlüssels und eines dem Subskriptionsprofil zugeordneten öffentlichen asymmetrischen Personalisierungsschlüssels für die Anwendung umfasst;- Senden (106) des öffentlichen asymmetrischen Personalisierungsschlüssels an einen Server des Betreibers des Mobilfunknetzes (MNO) oder an einen Server eines Identifizierungsanbieters;- Verschlüsseln (107) von Identitätsdaten des Nutzers mittels des öffentlichen asymmetrischen Personalisierungsschlüssels; und- Distribuieren (108) des Subskriptionsprofils mit der Anwendung und des privaten asymmetrischen Personalisierungsschlüssels auf das mobile Endgerät (2).

Description

  • TECHNISCHES GEBIET DER ERFINDUNG
  • Die Erfindung bezieht sich auf ein Verfahren zur Verwaltung einer Anwendung zur elektronischen Identifizierung eines Nutzers eines ein Teilnehmeridentitätsmodul aufweisenden mobilen Endgerätes in einem Mobilfunknetz.
  • Zur Nutzung von Diensten eines Kommunikationsnetzes enthält ein Endgerät, beispielsweise ein Mobilfunktelefon oder ein Maschine-zu-Maschine-Gerät, englisch: Machine-to-Machine-Device, kurz M2M-Gerät, oder ein Gerät zur Nutzung von Technologien des Internets-der-Dinge, englisch: Intemet-of-Things, kurz: IoT, ein Teilnehmeridentitätsmodul. Der Begriff „Teilnehmeridentitätsmodul“ wird in dieser Beschreibung synonym zu den Begriffen „UICC“, „eUICC“, „Chipkarte“, „iUICC“, „Integrated eUICC“, „Integrated Secure Element“, „embedded Secure Element“, „Secure Element“ oder „SIM“ verwendet. Das Teilnehmeridentitätsmodul umfasst in der Regel eine oder mehrere Subskriptionsprofile, die dazu eingerichtet ist/sind, das Teilnehmeridentitätsmodul oder ein Gerät, in dem das Teilnehmeridentitätsmodul betrieben wird, wie beispielsweise einem mobilen Endgerät, gegenüber dem Mobilfunknetz zu authentisieren.
  • Die Anwendung zur elektronischen Identifizierung kann beispielsweise als Computerprogramm, insbesondere als Applet ausgebildet sein. Die elektronische Identifizierung bezeichnet einen digitalen Identitätsnachweis von Bürgern oder Organisationen. Die elektronische Identifizierung wird auch als eID bezeichnet. Die elektronische Identifizierung kann u.A. eine eID-Registrierungsnummer, einen Namen, einen Vornamen, ein Geburtsdatum; ein Geschlecht, einen Geburtsort, eine Staatsangehörigkeit und/oder ein Gesichtsbild der zu identifizierenden Person umfassen. Im dem vorliegenden Verfahren entspricht die zu identifizierende Person dem Nutzer des Endgerätes.
  • TECHNISCHER HINTERGRUND
  • Bei Abschluss eines Mobilfunkvertrages durch einen Nutzer eines Endgerätes werden beim Betreiber des Mobilfunknetzes (MNO) oder bei einem von dem Betreiber des Mobilfunknetzes beauftragten Identifizierungsdienst in der Regel Identitätsdaten des Nutzers erfasst. Die Identitätsdaten des Nutzers liegen dem Betreiber des Mobilfunknetzes (MNO) oder dem Identifizierungsdienst zum Zeitpunkt der Erfassung der Daten vor.
  • Es besteht der Bedarf für Regierungen, ihren Nutzern in einfacher und sicherer Weise eine Anwendung zur elektronischen Identifizierung des Nutzers bereitzustellen, wie beispielsweise ein eID-Applet, welche insbesondere auf dem Endgerät des Nutzers ausführbar ist. Die Bereitstellung der Daten für die Anwendung soll unter Nutzung der dem Betreiber des Mobilfunknetzes oder dem Identifizierungsdienst vorliegenden Identitätsdaten erfolgen. Ein solches eID-Applet kann als elektronischer Personalausweis dienen.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zu schaffen, mit welchem es in einfacher und sicherer Weise möglich ist, eine Anwendung zur elektronischen Identifizierung des Nutzers bereitzustellen.
  • Es ist eine weitere Aufgabe der vorliegenden Erfindung, dem Nutzer eine einfache und datenschutzkonforme Möglichkeit zur Personalisierung der Anwendung bereit zu stellen.
  • Die Aufgabe wird durch die in den unabhängigen Patentansprüchen beschriebenen Merkmale gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben.
  • Das erfindungsgemäße Verfahren zur Verwaltung einer Anwendung zur elektronischen Identifizierung eines Nutzers eines ein Teilnehmeridentitätsmodul aufweisenden mobilen Endgerätes in einem Mobilfunknetz umfasst folgende Verfahrensschritte:
    • - Senden einer Anfrage zur Erzeugung eines Subskriptionsprofils mit der Anwendung zur elektronischen Identifizierung des Nutzers an einen Subscription Manager Data Preparation (SM-DP+) Server des Mobilfunknetzes;
    • - Erzeugen eines Subskriptionsprofils mit der Anwendung zur elektronischen Identifizierung des Nutzers, wobei das Erzeugen des Subskriptionsprofils das Erzeugen eines dem Subskriptionsprofil zugeordneten privaten asymmetrischen Personalisierungsschlüssels und eines dem Subskriptionsprofil zugeordneten öffentlichen asymmetrischen Personalisierungsschlüssels für die Anwendung zur elektronischen Identifizierung des Nutzers umfasst;
    • - Senden des öffentlichen asymmetrischen Personalisierungsschlüssels an einen Server des Betreibers des Mobilfunknetzes (MNO) oder an einen Server eines Identifizierungsanbieters;
    • - Verschlüsseln von Identitätsdaten des Nutzers mittels des öffentlichen asymmetrischen Personalisierungsschlüssels; und
    • - Distribuieren des Subskriptionsprofils mit der Anwendung zur elektronischen Identifizierung des Nutzers und des privaten asymmetrischen Personalisierungsschlüssels auf das mobile Endgerät.
  • Ein Subskriptionsprofil ist ein in dem Teilnehmeridentitätsmodul zugewiesener Speicherbereich (Container, Slot). In dem Subskriptionsprofil werden unter anderem Subskriptionsdaten (Berechtigungsdaten, Netzzugangsdaten, Network Access Credential Daten, Credentials) abgelegt, die es einem Benutzer (Teilnehmer) erlauben, Dienste, wie Sprach- und/oder Datendienste, eines Mobilfunknetzwerks zu verwenden. Die Verwendung dieser Dienste wird nach einem erfolgreichen Einbuchen in das Mobilfunknetzwerk ermöglicht.
  • Zum Einbuchen in ein Mobilfunknetzwerk werden Subskriptionsdaten eines Subskriptionsprofils verwendet, um einen Benutzer (Teilnehmer) eines Endgeräts, in dem das Teilnehmeridentitätsmodul betriebsbereit eingebracht ist, an dem Mobilfunknetz eindeutig zu identifizieren und/oder zu authentifizieren.
  • Die Subskriptionsverwaltung kann ein Root Issuer Security Domain (ISD-R) sein. Dabei ist besonders bevorzugt, dass die Subskriptionsverwaltung ein Root Issuer Security Domain (ISD-R) gemäß der Spezifikation GSM SGP.22, insbesondere gemäß der Spezifikation GSM SGP.22 in der Version 2.3 vom 30 Juni 2021 ist.
  • Eine solche Anwendung zur elektronischen Identifizierung des Nutzers kann beispielsweise Bestandteil des Subskriptionsprofils sein.
  • Der Subscription Manager Data Preparation (SM-DP+) Server kann insbesondere ein Subscription Manager Data Preparation (SM-DP+) Server gemäß der Spezifikation GSM SGP.22, insbesondere gemäß der Spezifikation GSM SGP.22 in der Version 2.3 vom 30 Juni 2021 sein.
  • Das Teilnehmeridentitätsmodul weist beispielsweise ein Dateisystem auf, wie es in der 3GPP TS 11.11 oder der 3GPP TS 11.14 beschrieben ist. Das Dateisystem weist Dateien, bspw. Elementary Files, EF, auf. Ein EF beinhaltet Kopfdaten und Hauptdaten und kommt in drei Arten vor: Transparent EF, Linear Fixed EF und Cyclic EF. Das Dateisystem der des Teilnehmeridentitätsmoduls umfasst beispielsweise Dedicated Files, DF, die Kopfdaten mit einer hierarchischen Struktur von Elementardateien, EF, auf dem Teilnehmeridentitätsmodul aufweisen. DFs haben keine eigenen Daten. Man kann sich ein DF vorstellen wie eine Verzeichnisstruktur. Das Dateisystem des Teilnehmeridentitätsmoduls weist mindestens eine Masterdatei, Master File, MF, auf und stellt die Stammdatei im UICC-Dateisystem dar.
  • Bei einem Teilnehmeridentitätsmodul im Sinne der Erfindung handelt es sich beispielsweise um ein in Baugröße und Ressourcenumfang reduziertes elektronisches Modul, welches eine Steuereinheit (Mikrocontroller) und mindestens eine Schnittstelle (Datenschnittstelle) zur Kommunikation mit dem Gerät aufweist. Diese Kommunikation erfolgt bevorzugt über ein Verbindungsprotokoll, insbesondere einem Protokoll gemäß dem Standard ETSI TS 102 221 bzw. ISO-7816.
  • Bei Teilnehmeridentitätsmodul-Bauformen, die als integriertes System auf einem Chip als sogenanntes System on Chip, kurz SoC, realisiert sind, wie der „iUICC“, der „Integrated eUICC“, dem Plugin eUICC, dem „Integrated SE“ oder dem „Integrated TRE“, erfolgt die Kommunikation über einen SoC-internen Bus. Das Teilnehmeridentitätsmodul weist einen internen oder externen sicheren nicht-flüchtigen Speicherbereich auf, in dem Teilnehmeridentitätsdaten und Authentisierungsdaten sicher eingebracht sind, um Manipulation- und/oder Missbrauchsversuche bei der Identifizierung und/oder Authentisierung am Netzwerk zu verhindern.
  • Das Teilnehmeridentitätsmodul kann in einer Ausgestaltung mittels eines Geräts betriebsfähig sein, wobei das Teilnehmeridentitätsmodul in dieser Ausgestaltung bis auf Versorgungssignale, wie Versorgungsspannung, Takt, Reset etc. autark ist.
  • Der Begriff Teilnehmeridentitätsmodul ist synonym zum Begriff „UICC“, „eUICC“, „Chipkarte“, „iUICC“, „Integrated eUICC“, „Integrated Secure Element“, „embedded Secure Element“, „Secure Element“ oder „SIM“. Bei der UICC handelt es sich beispielsweise um eine Chipkarte oder eine SIM-Karte oder ein Teilnehmeridentitätsmodul. Das Teilnehmeridentitätsmodul dient dazu, mit den im sicheren nicht-flüchtigen Speicherbereich gespeicherten maschinenlesbaren Teilnehmeridentitätsdaten einen Teilnehmer in einem Kommunikationsnetz zu identifizieren und für das Nutzen von Diensten zu authentifizieren. Unter Teilnehmeridentitätsmodul zu verstehen sind auch USIM, TSIM, ISIM, CSIM oder R-UIM. So ist beispielsweise eine UICC als eine USIM Anwendung in der ETSI TS 131 102 definiert. So ist beispielsweise eine UICC als eine SIM Anwendung in der ETSI TS 151 011 definiert. So ist beispielsweise eine UICC als eine TSIM Anwendung gemäß ETSI TS 100 812 definiert. So ist beispielsweise eine UICC als eine ISIM Anwendung gemäß ETSI TS 131 103 definiert. So ist beispielsweise eine UICC als eine CSIM Anwendung gemäß 3GPP2 C.S0065-B definiert. So ist beispielsweise eine UICC als eine R-UIM Anwendung gemäß 3GPP2 C.S0023-D definiert.
  • Das Teilnehmeridentitätsmodul kann ein integraler Bestandteil innerhalb des Geräts sein, beispielsweise ein fest verdrahteter elektronischer Baustein. Derartige Teilnehmeridentitätsmodule werden auch als eUICC bezeichnet. In dieser Bauform sind diese Teilnehmeridentitätsmodule nicht für eine Entnahme aus dem Gerät vorgesehen und können prinzipiell nicht einfach ausgetauscht werden. Derartige Teilnehmeridentitätsmodule können auch als embedded Secure Elements ausgestaltet sein und sind eine sichere Hardwarekomponente im Gerät.
  • Das Teilnehmeridentitätsmodul kann auch eine Softwarekomponente in einem vertrauenswürdigen Teil eines Betriebssystems, einer sogenannten Trusted Execution Environment, kurz TEE, des Gerätes sein. Das Teilnehmeridentitätsmodul ist beispielsweise innerhalb einer gesicherten Laufzeitumgebung in Form von darin ablaufenden Programmen, sogenannten „Trustlets“, ausgebildet.
  • Das Teilnehmeridentitätsmodul kann auch ein integraler Bestandteil eines größeren integrierten Schaltkreises, beispielsweise eines Modems oder Applikationsprozessors sein. Derartige UICC werden als „integrated UICC“, „integrated TRE“, „integrated eUICC“ oder „Integrated SE“ bezeichnet. Derartige UICC werden als integrierter Prozessorblock in ein SoC fest integriert und können über einen chipinternen Bus angebunden werden.
  • Das Teilnehmeridentitätsmodul kann der Fernüberwachung, -kontrolle und -wartung von Geräten wie Maschinen, Anlagen und Systemen dienen. Es kann für Zähleinheiten wie Stromzähler, Warmwasserzähler etc. verwendet werden. Das Teilnehmeridentitätsmodul ist beispielsweise Bestandteil der Technologie des IoT.
  • Bevorzugt wird hier der Begriff „Endgerät“ verwendet, wobei das Endgerät in der Kommunikationstechnik vorrangig ein „Terminal“ sein kann. Das schließt nicht aus, dass ein „Endgerät“ ein „Gerät“ in einer anderen Technik sein kann. Die Begriffe „Endgerät“ und „Gerät“ werden synonym verwendet.
  • Bei einem Endgerät im Sinn der Erfindung handelt es sich prinzipiell um ein Gerät oder eine Gerätekomponente mit Mitteln zur Kommunikation mit einem Kommunikationsnetz, um Dienste des Kommunikationsnetzes nutzen zu können oder um Dienste eines Servers über ein Gateway des Kommunikationsnetzes nutzen zu können. Beispielsweise ist ein mobiles Gerät wie ein Smart Phone, ein Tablet-PC, ein Notebook, ein PDA unter den Begriff zu fassen. Als Gerät können auch Multimedia-Geräte wie digitale Bilderrahmen, Audiogeräte, Fernsehgeräte, E-Book-Reader verstanden werden, die ebenfalls Mittel zur Kommunikation mit dem Kommunikationsnetzwerk aufweisen.
  • Insbesondere ist das Gerät in einer Maschine, einem Automaten und/oder einem Fahrzeug eingebracht. Ist das Gerät in einem Kraftfahrzeug eingebracht, besitzt es typischerweise eine integrierte UICC als Teilnehmeridentitätsmodul. Die UICC kann über das Gerät, etwa mittels eines Modems des Geräts, eine Datenverbindung zu einem Server über das Kommunikationsnetz aufbauen. Mit dem Gerät kann beispielsweise ein Server des Geräte-Herstellers kontaktiert werden, um Steuereinheiten, z.B. ECUs (ECU = Electronic Control Unit) für Funktionalitäten des Geräts anzusprechen. Über die UICC lässt sich ein Server im Hintergrundsystem des Mobilfunknetz-Betreibers, MNO, kontaktieren, beispielsweise ein Server, um Aktualisierungen für Software, Firmware oder/und Betriebssystem der UICC in die UICC zu laden.
  • Ein Kommando ist dabei eine Anweisung, ein Befehl oder eine Instruktion, die vom Gerät gesendet wird. Das Kommando ist bevorzugt ein Kommando gemäß ETSI TS 102 221 bzw. ISO/IEC 7816 Standard. Es kann dabei einen Kommandokopf und einen Kommandokörper aufweisen.
  • Bevorzugt umfasst das Teilnehmeridentitätsmodul ein Betriebssystem, das ausführbar in dem Datenspeicher abgelegt ist und eingerichtet ist, die Schritte der Steuereinheit durchzuführen.
  • Das Teilnehmeridentitätsmodul ist beispielsweise dazu eingerichtet, eine logische Datenverbindung zu einem Server des Mobilfunknetzes aufzubauen, um Dienste des Servers oder eines anderen Servers zu nutzen und Daten auszutauschen. Beim Aufbau einer derartigen Datenverbindung von einem Teilnehmeridentitätsmodul zu einem Server werden Verbindungsparameter, beispielsweise eine eindeutige Server-Adresse und das zu verwendende Datenverbindungs-Protokoll benötigt. Zum Aufbau, Abbau und Betrieb einer Datenverbindung wird beispielsweise ein Karten-Applikations-Werkzeugkasten, englisch Card Applikation Toolkit, kurz CAT, des Teilnehmeridentitätsmoduls gemäß dem ETSI Standard TS 102 223 verwendet.
  • Ein Mobilfunknetz ist eine technische Einrichtung, auf der die Übertragung von Signalen unter Identifizierung und/oder Authentisierung des Teilnehmers stattfindet. Das Mobilfunknetz bietet eigene Dienste an (eigene Sprach- und Datendienste) und/oder ermöglicht das Nutzen von Diensten von externen Instanzen. Eine Gerät-zu-Gerät Kommunikation unter Aufsicht des Mobilfunknetzes ist dabei möglich. Insbesondere wird hier ein Mobilfunknetz beispielsweise das „Global System for Mobile Communications“, kurz GSM als Vertreter der zweiten Generation oder das „General Packet Radio Service“, kurz GPRS bzw. „Universal Mobile Telecommunications System“, kurz UMTS als Vertreter der dritten Generation, das „Long Term Evolution“, kurz LTE, als Vertreter der vierten Generation als Mobilfunknetz verstanden oder ein Mobilfunknetz der 5. Generation mit dem derzeitigen Arbeitstitel „5G“ als ein Kommunikationsnetz verstanden. Die Kommunikation im Kommunikationsnetz kann über einen sicheren Kanal erfolgen, beispielsweise so, wie es in den technischen Standards ETSI TS 102 225 und/oder ETSI TS 102 226 definiert ist, beispielsweise SCP80, SCP81 oder eine Transport-Layer-Security, TLS.
  • Ein Server kann eine räumlich von dem Endgerät entfernte Instanz sein. Der Server kann ein Teil des Mobilfunknetzes sein. Alternativ oder zusätzlich ist der Server eine externe Instanz (also keine Instanz des Mobilfunknetzes). Der Subscription Manager Data Preparation (SM-DP+) Server kann eine räumlich von dem Endgerät entfernte Instanz sein, die Teil des Mobilfunknetzes ist.
  • Teilnehmeridentitätsdaten (=Subskriptionsdaten), so wie sie beispielsweise im nicht-flüchtigen Speicherbereich des Teilnehmeridentitätsmoduls abgelegt sind, sind beispielsweise Daten, die einen Teilnehmer (eine Person oder ein Gerät) eindeutig im Mobilfunknetz identifizieren. Dazu zählt beispielsweise eine Teilnehmerkennung, beispielsweise International Mobile Subscriber Identity, kurz IMSI oder Subscription Permanent Identifier, SUPI und/oder teilnehmerspezifische Daten. Die IMSI/SUPI ist das in einem Mobilfunkkommunikationsnetzwerk eindeutige Teilnehmeridentitätsdatei. Zudem sind Teilnehmeridentitätsdaten beispielsweise Parameter und/oder Daten, die es ermöglichen, dass sich ein Teilnehmer eindeutig am Kommunikationsnetz authentifizieren kann, beispielsweise ein Authentisierungsalgorithmus, spezifische Algorithmus-Parameter, ein kryptografischer Authentisierungsschlüssel Ki und/oder ein kryptografischer Over-The-Air, kurz OTA, Schlüssel. Zudem sind Teilnehmeridentitätsdaten beispielsweise Daten, die einen Teilnehmer eindeutig an einem Dienst (=Service) authentisieren, beispielsweise eine eindeutige Kennung oder Signatur. Ein Dienst ist insbesondere ein Sprachdienst oder ein Datendienst eines Servers, mit dem Informationen und/oder Daten über das Kommunikationsnetzwerk übertragen werden.
  • Das Teilnehmeridentitätsmodul kann betriebsbereit in das Endgerät eingebracht sein. Die Kommunikation zwischen Teilnehmeridentitätsmodul und Endgerät basiert auf einem Verbindungsprotokoll. Das Endgerät kann zusätzlich zudem auch dazu eingerichtet sein, eigenständig eine Datenverbindung zu dem räumlich entfernten Server aufzubauen, um ebenfalls dessen Dienste zu nutzen und mit diesem Server Daten auszutauschen.
  • Gemäß einer bevorzugten Ausgestaltung des Verfahrens erfolgt das Erzeugen des öffentlichen asymmetrischen Personalisierungsschlüssels und des privaten asymmetrischen Personalisierungsschlüssels mittels eines Hardware-Sicherheitsmoduls, HSM.
  • Vorzugsweise werden nach dem Verschlüsseln der Identitätsdaten des Nutzers die verschlüsselten Identitätsdaten auf einem Server abgelegt. Dieser Server ist bevorzugt ein vom SM-DP+ Server verschiedener Server.
  • Gemäß einer bevorzugten Ausgestaltung wird ein Verweis auf die verschlüsselten Identitätsdaten, insbesondere auf die auf dem Server abgelegten verschlüsselten Identitätsdaten, in Form einer URL oder eines QR-Codes an den Nutzer übermittelt. Ein solcher Verweis kann auch als URL, Link oder Hyperlink bezeichnet werden.
  • Gemäß einer bevorzugten Ausgestaltung des Verfahrens initiiert der Nutzer eine Personalisierung der Identitätsdaten des Nutzers anhand der Anwendung zur elektronischen Identifizierung des Nutzers und des Verweises auf die verschlüsselten Identitätsdaten.
  • Vorzugsweise werden vor dem Senden der Anfrage zur Erzeugung des Subskriptionsprofils die Identitätsdaten des Nutzers von dem Betreiber des Mobilfunknetzes (MNO) oder dem Identifizierungsanbieter erfasst und auf einem Server des Betreibers des Mobilfunknetzes (MNO) oder des Identifizierungsanbieters gespeichert.
  • Gemäß einer bevorzugten Ausgestaltung werden die Identitätsdaten des Nutzers von einem elektronischen Ausweisdokuments des Nutzers ausgelesen.
  • Gemäß einer bevorzugten Ausgestaltung des Verfahrens werden die Identitätsdaten nach dem Senden der Anfrage zur Erzeugung des Subskriptionsprofils von dem Server des Betreibers des Mobilfunknetzes (MNO) oder des Identifizierungsanbieters gelöscht.
  • KURZE BESCHREIBUNG DER FIGUREN
  • Nachfolgend werden anhand von Figuren die Erfindung bzw. weitere Ausführungsformen und Vorteile der Erfindung näher erläutert, wobei die Figuren lediglich Ausführungsbeispiele der Erfindung beschreiben. Gleiche Bestandteile in den Figuren sind mit gleichen Bezugszeichen versehen. Die Figuren sind nicht als maßstabsgetreu anzusehen, insbesondere können einzelne Elemente der Figuren übertrieben groß bzw. übertrieben vereinfacht dargestellt sein.
    • 1 zeigt ein Ausführungsbeispiel eines Systems aus Mobilfunknetzwerk, Endgerät und Teilnehmeridentitätsmodul;
    • 2 zeigt ein Ausführungsbeispiel eines Teilnehmeridentitätsmoduls;
    • 3 zeigt ein weiteres Ausführungsbeispiel eines Teilnehmeridentitätsmoduls; und
    • 4 zeigt ein Ausführungsbeispiel eines Ablaufdiagrams eines erfindungsgemäßen Verfahrens.
  • DETAILLIERTE BESCHREIBUNG VON AUSFÜHRUNGSBEISPIELEN
  • 1 zeigt ein Ausführungsbeispiel eines Systems mit einem Mobilfunknetzwerk, einem Endgerät 2 und einem beispielhaften Teilnehmeridentitätsmoduls 1 mit einem Speicher 17. In dem Speicher 17 können Applets, ein Card Application Toolkit, CAT, Authentisierungsdatensätze 172, eine Authentisierungsdatenverwaltung 171 und wenigstens ein Subskriptionsprofil 173a-c, insbesondere eine Vielzahl an Subskriptionsprofilen 173a-c abgelegt sein.
  • Das oder die Subskriptionsprofile 173a-c des Teilnehmeridentitätsmoduls 1 werden in der Regel in ein Anwendungsbündel installiert. Das Anwendungsbündel kann eine (virtuelle) Laufzeitumgebung, insbesondere eine Javacard Laufzeitumgebung, JCRE (gemäß dem Standard Java Card Classic Edition) sein.
  • Das Teilnehmeridentitätsmodul 1 kann mehrere Anwendungsbündel umfassen. Diese Anwendungsbündel sollen nach GSMA-Standard streng voneinander getrennt sein und sollen voneinander „abgeschirmte“ Anwendungen aufweisen. Ein Anwendungsbündel kann derart ausgestaltet sein, dass es keine eigenen Elemente einem anderen Anwendungsbündel exponiert (aufdeckt).
  • In dem Anwendungsbündel kann neben dem Subskriptionsprofil noch beispielhaft ein GSM-Applet mit einem Dateisystem und Ereignisse (Events), ein Remote-File-Management, kurz RFM, Applet und weitere Applets umfasst sein.
  • Anwendungsbündel können als leere Anwendungsbündel auf dem Teilnehmeridentitätsmodul 1 vorinstalliert sein oder dynamisch mittels eines Aufrufes über eine Systemprogrammierschnittstelle (englisch: System API) erzeugt werden. Als System-API wird bevorzugt eine API des Teilnehmeridentitätsmoduls 1 verstanden.
  • Das Teilnehmeridentitätsmodul 1 ist betriebsbereit in das Endgerät 2 eingebracht und wird vom Endgerät 2 mit einer Versorgungsspannung Vcc und einem Takt CLK versorgt. Das Teilnehmeridentitätsmodul 1 ist in 2 detaillierter dargestellt. In 1 ist angedeutet, dass das Teilnehmeridentitätsmodul 1 den Speicher 17 aufweist. In diesem Speicher 17 können Applets, das Card Application Toolkit, CAT, Authentisierungsdatensätze 172 und die Authentisierungsdatenverwaltung 171 abgelegt sein. Unterschiedliche APDU-Kommandos 11 können mittels der Applets, der CAT und dem Betriebssystem (nicht dargestellt) zwischen der UICC 1 und dem Endgerät 2 ausgetauscht werden.
  • Das Endgerät 2 umfasst beispielsweise - aber nicht zwingend - ein Modem 3. Das Modem 3 kann als logische Einheit zum Umsetzen von Daten zwischen dem Teilnehmeridentitätsmodul 1 und einem Server 40 eines Netzwerks 4 angesehen werden. Das Endgerät 2 kann durch das Modem 3 eine Kommunikationsverbindung 12 zum Teilnehmeridentitätsmodul 1 aufbauen. Die Kommunikation 12 zwischen dem Endgerät 2 und dem Teilnehmeridentitätsmodul 1 erfolgt gemäß den in der internationalen Normen ISO/IEC 7816-3 und ISO/IEC 7816-4 definierten Protokollen, auf die hiermit ausdrücklich Bezug genommen wird.
  • Der gesamte Datenaustausch zwischen dem Teilnehmeridentitätsmodul 1 und dem Endgerät 2 findet bevorzugt unter Verwendung von sogenannten APDUs (application protocol data units) gemäß der Norm ISO/IEC 7816-4 statt. Eine APDU stellt eine Dateneinheit der Anwendungsschicht dar, also eine Art Container, mit dem Kommandos und/ oder Daten an das Teilnehmeridentitätsmodul 1 übertragen werden. Man unterscheidet zwischen Kommando-APDUs, die von einem Endgerät 2 an das Teilnehmeridentitätsmodul 1 gesendet werden, und Antwort-APDUs, die von dem Teilnehmeridentitätsmodul 1 in Reaktion auf eine Kommando-APDU an das Endgerät 2 gesendet werden.
  • Das Modem 3 ist eine Kommunikationseinheit des Endgeräts 2, um auch Daten des Endgeräts 2 oder dem Teilnehmeridentitätsmodul 1 mit dem Kommunikationsnetz 4 und dem darin befindlichen Server 40 auszutauschen. Die ausgetauschten Daten zwischen Teilnehmeridentitätsmodul 1 und Modem 3 können im Modem 3 in ein IP-basiertes Verbindungsprotokoll umgesetzt werden.
  • 2 zeigt ein Blockschaltbild eines beispielhaften Teilnehmeridentitätsmoduls 1, vorzugsweise eine fest verdrahtete eUICC. Alternativ ist das Teilnehmeridentitätsmodul 1 ein portabler Datenträger mit einer anderen Bauform. Das Teilnehmeridentitätsmodul 1 hat ein Betriebssystem 15. Das Betriebssystem 15 ist beispielsweise ein natives Betriebssystem. Es ist zudem denkbar, dass das Betriebssystem 15 eingerichtet ist, eine Javacard Laufzeitumgebung, JCRE, 16 zu betreiben, die sodann in dem Speicher 17 zusammen mit dem Betriebssystem 17 abgelegt ist.
  • Das Teilnehmeridentitätsmodul 1 ist dazu ausgestaltet, mit dem Endgerät 2 gemäß 3 Daten auszutauschen. Zur Datenübertragung bzw. Kommunikation zwischen dem Teilnehmeridentitätsmodul 1 und dem Endgerät 2 weisen sowohl das Teilnehmeridentitätsmodul 1 als auch das Endgerät 2 jeweils geeignete Kommunikationsschnittstellen 12 auf. Die Schnittstellen können beispielsweise so ausgestaltet sein, dass die Kommunikation zwischen diesen bzw. zwischen dem Teilnehmeridentitätsmodul 1 und dem Endgerät 2 galvanisch, d.h. kontaktbehaftet, verbunden werden. Die Kontaktbelegung ist in der ISO/IEC 7816 definiert. In einer nicht dargestellten Ausführungsform ist die Kommunikationsschnittstelle kontaktlos, beispielsweise gemäß einem RFID oder NFC oder WLAN Standard.
  • Das Teilnehmeridentitätsmodul 1 hat zudem eine zentrale Prozessor- bzw. Steuereinheit, CPU 19, die in Kommunikationsverbindung mit der Schnittstelle 12 steht. Zu den primären Aufgaben der CPU 19 gehören das Ausführen von arithmetischen und logischen Funktionen und das Lesen und Schreiben von Datenelementen, wie dies durch von der CPU 19 ausgeführten Programmcode definiert wird. Die CPU 19 steht ferner mit einem flüchtigen Arbeitsspeicher, RAM 18, und einem nichtflüchtigen wiederbeschreibbaren Speicher 17 in Verbindung. Vorzugsweise handelt es sich bei dem nichtflüchtigen Speicher 17 um einen Flash-Speicher (Flash-EEPROM). Dabei kann es sich beispielsweise um einen Flash-Speicher mit einer NAND- oder einer NOR- Architektur handeln.
  • Bei der in 2 dargestellten bevorzugten Ausführungsform ist in dem nichtflüchtigen Speicher 17 der Programmcode gespeichert, der von der CPU 19 ausgeführt werden kann. Insbesondere kann in dem nichtflüchtigen Speicher 17 der Programmcode des Chipkarten-Betriebssystems, OS, 15, der Java Card Laufzeitumgebung, JCRE, 16 (bestehend aus Java Card Virtual Machine, JCVM und Java Card Application Programming Interfaces, JCAPI), Applikation 13 zur Authentisierungsdatenverwaltung sowie zumindest zwei Authentisierungsdatensätze 171a, 171b abgelegt sein. Dabei liegt eine Applikation vorzugsweise in Form von Java Card™ Applets vor. Zudem kann ein nicht gezeigtes CAT gemäß ETSI TS 102 223 eingebracht sein. Statt einer Applikation kann auch ein in nativem Code, etwa in C oder in Assembler geschriebenes Programmelement vorgesehen sein.
  • 3 zeigt ein weiteres Ausführungsbeispiel eines Teilnehmeridentitätsmoduls 1, genauer eines Speicherbereichs 17 eines Teilnehmeridentitätsmoduls 1. Der Speicherbereich 17 ist ein nichtflüchtiger Speicher, kann aber auch ein flüchtiger Speicher (RAM) sein. Der Speicherbereich 17 kann ein exklusiv zugewiesener Speicherbereich 17 sein, der Teil einer größeren Speichereinheit ist. Der Speicherbereich 17 kann ein Remote-Speicherbereich sein. Mit Speicherbereich 17 des Teilnehmeridentitätsmoduls 1 wird ein Speicherbereich beschrieben, auf den das Teilnehmeridentitätsmodul 1 bzw. die Steuereinheit 19 des Teilnehmeridentitätsmoduls 1 exklusiv Zugriff hat. Die Zugriffsrechte auf den Speicherbereich 17, also das Lesen, Schreiben, Überschreiben, können in einer Sicherheitsdomäne (SD) definiert sein, sodass unterschiedliche Untereinheiten des Teilnehmeridentitätsmoduls 1 auf unterschiedliche Bereiche des Dateisystems 175 Zugriff haben oder eben nicht.
  • Der Speicherbereich 17 der 3 hat beispielsweise (aber nicht zwingend) eine Subskriptionsverwaltung 174 (ISD-R), die verschiedene Subskriptionsprofile 173a-c verwalten kann. Mittels einer OTA-Kommunikation zwischen Servern 40 des Kommunikationsnetzes, beispielsweise Subskriptionsservern SM-SR oder Datenbereitstellungsservern SM-DP, SM-DP+ gemäß den GSMA Spezifikationen SGP.02 und SGP.22, kann ein Subskriptionsprofil 173 a-c verwaltet werden, wozu beispielsweise SMS, CAT_TP oder HTTPS für die Over-The-Air, OTA, Kommunikation mit dem Teilnehmeridentitätsmodul 1 verwendet wird. Dieses Profilverwalten - das nicht Teil dieser Beschreibung ist - umfasst das „Erstellen“, „Laden“, „Aktivieren“, „Deaktivieren“, „Löschen“ und „Aktualisieren“. Für Details wird auf die genannten GSMA-Spezifikationen verwiesen.
  • Ein Subskriptionsprofil 173a-c weist Profil-Daten auf. Beispielsweise kann eine der folgenden Komponenten als Profil-Datei pro Subskriptionsprofil 173a-c vorhanden sein: eine MNO-Sicherheitsdomäne (MNO-SD) mit den OTA-Schlüsselsätzen von OTA-Servern; mindestens ein Authentisierungsparameter (Ki, OP, RAND, SGN) oder zumindest ein Verweis 176 (Pointer oder Adresse) auf einen entsprechenden Eintrag 172 im Dateisystem 175 des Teilnehmeridentitätsmoduls 1; eine Netzwerkzugriffsanwendung, Richtlinienregeln; ein profilspezifisches Dateisystem beinhaltend DFs, EFs für das jeweilige Subskriptionsprofil 173a-c; Verbindungsparameter des Profils; Anwendungen; eine Teilnehmerkennung, IMSI, eine Teilnehmeridentitätsmodulkennung ICCID und ggf. Profilaktualisierungen.
  • Das Teilnehmeridentitätsmodul 1 weist weiterhin eine Authentisierungsdatenverwaltung 171 auf. Diese kann in Form eines Java-Applets (siehe 1) ausführbar im Speicherbereich 17 des Teilnehmeridentitätsmoduls 1 abgelegt sein. Die Datenverwaltung 171 kann auch nur als nativer Programmcode ausführbar im Speicherbereich 17 des Teilnehmeridentitätsmoduls 1 abgelegt sein. Die Steuereinheit 19 führt die Authentisierungsdatenverwaltung 171 bei Bedarf aus.
  • Weiterhin sind im Speicher 17 des Teilnehmeridentitätsmoduls 1 Authentisierungsdatensätze 172 abgelegt. Beispielhaft sind zwei Authentisierungsdatensätze 172a und 172b dargestellt, die Anzahl ist aber nicht beschränkt. Ein Authentisierungsdatensatz 172 kann verschiedene Authentisierungsdaten umfassen. Dies ist in 2 beispielhaft dargestellt anhand des ersten Authentisierungsdatensatzes 172a. Er weist einen Authentisierungsalgorithmus (Milenage, TUAK) mit entsprechenden Authentisierungsparametern, einen oder mehrere Authentisierungsschlüssel (CK, IK, Ki), ggf., Sequenzparameter (Zähler SGN-MS, SGN-HE, andere Zähler) und Authentisierungsaktualisierungen etc. auf. Neben den angeführten kann ein Authentisierungsdatensatz 172 weitere Authentisierungsdaten enthalten. Die Authentisierungsdaten sind bevorzugt, wie in 3 angedeutet, im Dateisystem 175 strukturiert abgelegt. Es können aber auch proprietäre Dateien erstellt werden, um die Authentisierungsdatensätze 172 abzulegen.
  • Mit einem Verweis 176 können die Authentisierungsdatensätze 172 einem jeweiligen Subskriptionsprofil 173 zugeordnet werden. Dazu ist in einer Ausgestaltung der Erfindung im Dateisystem 175 ein Bereich definiert, in dem die aktivierten Authentisierungsdaten abgelegt werden. Ein Subskriptionsprofil 173 greift dann auf diesen Bereich zu, um das Teilnehmeridentitätsmodul 1 beim Server 40 des Kommunikationsnetzes 4 zu authentisieren.
  • In einer anderen Ausgestaltung werden die Authentisierungsdaten nach dem in den jeweiligen Speicherbereich des Dateisystems geschrieben.
  • Implementierungsdetails dazu sind in den technischen Berichten TR 33.834 und TR 133.935 ausführlich beschrieben und auf die Implementierungen, insbesondere die Aktualisierung gemäß den Lösungen 4b und 5 wird hierin Bezug genommen. Werden Aktualisierungen empfangen, so werden sie mit Hilfe der Authentisierungsdatenverwaltung 171 in einen Speicherbereich der UICC abgelegt. Dazu wird entweder eine neue Datei bzw. eine neue Dateistruktur im Dateisystem 175 erstellt oder ein entsprechender Authentisierungsdatensatz 172 aktualisiert, z.B. überschrieben oder erweitert. Zudem kann ein Verweis 176 auf die Authentisierungsdaten aktualisiert werden, beispielsweise indem eine Speicheradresse aktualisiert, ein Pointer aktualisiert oder das aktualisierte Authentisierungsdatum in den entsprechenden Bereich des Profils kopiert wird. Es kann immer nur ein Authentisierungsdatensatz aktiviert sein, sodass das Teilnehmeridentitätsmodul 1 gegenüber dem Kommunikationsnetz eine eindeutige Authentisierung vornimmt.
  • Die Datensätze sind beispielsweise in EF-Dateien des Teilnehmeridentitätsmoduls 1 abgelegt sein. Alternativ oder zusätzlich können die Authentisierungsdaten in Datenobjekten, beispielsweise in Datenobjekten des Teilnehmeridentitätsmoduls 1, abgelegt sein. Alternativ oder zusätzlich können die Authentisierungsdaten in reservierten Speicherbereichen des Betriebssystems, OS, des Teilnehmeridentitätsmoduls 1 abgelegt sein. Diese verschiedenen Ablageorte bedingen möglicherweise eine Veränderung der Struktur der Datensätze.
  • Die Datensätze können also entsprechend ihrem Ablageort in verschieden strukturierten Datensätzen 172a, 172b abgelegt sein. Die Authentisierungsdatenverwaltung 171 ist insbesondere dazu eingerichtet, die abgelegten Authentisierungsdaten, insbesondere die Datensätze 172a, 172b der Authentisierungsdaten, jeweils entsprechend umzustrukturieren und anzupassen, um sie einerseits für eine bestimmungsgemäße Authentisierung verwendet zu können und um sie andererseits an dem gewünschten Ablageort abzulegen.
  • 4 zeigt ein Ausführungsbeispiel eines Ablaufdiagrams eines erfindungsgemäßen Verfahrens. Das Verfahren 100 zur Verwaltung einer Anwendung zur elektronischen Identifizierung eines Nutzers eines ein Teilnehmeridentitätsmodul 1 aufweisenden mobilen Endgerätes 2 in einem Mobilfunknetz gemäß dem Ausführungsbeispiel umfasst folgende Verfahrensschritte:
    • - Senden 103 einer Anfrage zur Erzeugung eines Subskriptionsprofils 173a-c mit der Anwendung zur elektronischen Identifizierung des Nutzers an einen Subscription Manager Data Preparation (SM-DP+) Server des Mobilfunknetzes;
    • - Erzeugen 105 eines Subskriptionsprofils 173a-c mit der Anwendung zur elektronischen Identifizierung des Nutzers, wobei das Erzeugen des Subskriptionsprofils 173a-c das Erzeugen eines dem Subskriptionsprofil 173a-c zugeordneten privaten asymmetrischen
  • Personalisierungsschlüssels und eines dem Subskriptionsprofil 173a-c zugeordneten öffentlichen asymmetrischen Personalisierungsschlüssels für die Anwendung zur elektronischen Identifizierung des Nutzers umfasst;
    • - Senden 106 des öffentlichen asymmetrischen Personalisierungsschlüssels an einen zweiten Server, nämlich einen Server des Betreibers des Mobilfunknetzes (MNO) oder einen Server eines Identifizierungsanbieters;
    • - Verschlüsseln 107 von Identitätsdaten des Nutzers mittels des öffentlichen asymmetrischen Personalisierungsschlüssels; und
    • - Distribuieren 108 des Subskriptionsprofils 173a-c mit der Anwendung zur elektronischen Identifizierung des Nutzers und des privaten asymmetrischen Personalisierungsschlüssels auf das mobile Endgerät 2.
  • Der Subscription Manager Data Preparation (SM-DP+) Server ist in der Regel ein Server, der Teil des Mobilfunknetzes ist und mit anderen Entitäten des Mobilfunknetztes kommuniziert. Der Subscription Manager Data Preparation (SM-DP+) Server bereitet in der Regel Subskriptionsprofile 173a-c vor, sichert diese mit einem Profilschutzschlüssel, speichert Profilschutzschlüssel auf sichere Weise und die geschützten Subskriptionsprofile 173a-c in einem Profilpaket-Repository und ordnet die geschützten Profilpakete bestimmten Kennungen (englisch: identifier) des Teilnehmeridentitätsmoduls 1 (EIDs) zu.
  • Der SM-DP+ Server bindet in der Regel Geschützte Subskriptionsprofile 173a-c an die jeweilige EID und lädt diese gebundenen Profilpakete sicher auf den LPA des jeweiligen Teilnehmeridentitätsmoduls 1 (eUICC) herunter.
  • Der Subscription Manager Data Preparation (SM-DP+) Server kann insbesondere ein Subscription Manager Data Preparation (SM-DP+) Server gemäß der Spezifikation GSM SGP.22, insbesondere gemäß der Spezifikation GSM SGP.22 in der Version 2.3 vom 30 Juni 2021 sein.
  • Die Erzeugung des öffentlichen asymmetrischen Personalisierungsschlüssels sowie eines korrespondierenden privaten asymmetrischen Personalisierungsschlüssels basiert in Regel auf einem asymmetrisches Kryptosystem, insbesondere einem Public-Key-Verschlüsselungsverfahren.
  • Die Anwendung zur elektronischen Identifizierung des Nutzers kann beispielsweise ein Applet zur elektronischen Identifizierung (eID-Applet) sein, welches insbesondere auf dem Endgerät 2 des Nutzers ausführbar ist. Das Applet zur elektronischen Identifizierung kann mit dem Subskriptionsprofil 173a-c verknüpft sein, Bestandteil desselben sein oder Bestandteil eines Anwendungsbündels des Subskriptionsprofils 173a-c sein.
  • Das Endgerät 2 kann insbesondere ein Mobiltelefon des Nutzers sein.
  • Durch das Verschlüsseln 107 der Identitätsdaten des Nutzers mittels des öffentlichen asymmetrischen Personalisierungsschlüssels kann gewährleistet werden, dass die Identitätsdaten nur in das für den Nutzer vorgesehene Subskriptionsprofil 173a-c mit der entsprechenden Anwendung zur elektronischen Identifizierung des Nutzers einspielbar sind. Das Verfahren 100 genügt den gängigen Datenschutzbestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO oder DS-GVO; englisch: General Data Protection Regulation GDPR).
  • Bevorzugt erfolgt das Erzeugen 105 des öffentlichen asymmetrischen Personalisierungsschlüssels und des privaten asymmetrischen Personalisierungsschlüssels mittels eines Hardware-Sicherheitsmoduls.
  • Gemäß einer bevorzugten Ausgestaltung des Verfahrens 100 werden vor dem Senden 103 der Anfrage zur Erzeugung des Subskriptionsprofils 173a-c die Identitätsdaten des Nutzers von dem Betreiber des Mobilfunknetzes (MNO) oder dem Identifizierungsanbieter erfasst 101 und auf einem ersten Server, nämlich einem Server des Betreibers des Mobilfunknetzes (MNO) oder des Identifizierungsanbieters, gespeichert 102. Dabei können die Identitätsdaten des Nutzers von einem elektronischen Ausweisdokuments des Nutzers ausgelesen werden, wie beispielsweise einem elektronischen Reisepass oder Personalausweis. Ein solches elektronisches Ausweisdokument ist in der Regel mit einem auslesbaren Chip versehen und kann als sogenannte Smartcard vorliegen. Durch das Auslesen des elektronischen Ausweisdokuments des Nutzers kann eine hohe Genauigkeit der erhaltenen Identitätsdaten gewährleistet werden.
  • Die Identifizierung des Nutzers kann beispielsweise durch den Betreiber des Mobilfunknetzes bei Abschluss eines Mobilfunkvertrages für den Nutzer erfolgen. Bei Abschluss eines Mobilfunkvertrages für den Nutzer müssen ohnehin die Identitätsdaten des Nutzers erfasst werden. Alternativ kann der Betreiber des Mobilfunknetzes zur Identifizierung des Nutzers auch einen Identifizierungsdienst beauftragen und/oder auf dessen Dienste zurückgreifen.
  • Nach dem Senden 103 der Anfrage zur Erzeugung des Subskriptionsprofils 173a-c von dem Server des Betreibers des Mobilfunknetzes (MNO) oder des Identifizierungsanbieters können die Identitätsdaten gelöscht werden 104.
  • Das Erzeugen 105 des öffentlichen asymmetrischen Personalisierungsschlüssels und des privaten asymmetrischen Personalisierungsschlüssels kann mittels eines Hardware-Sicherheitsmoduls erfolgen.
  • Nach dem Verschlüsseln 107 der Identitätsdaten des Nutzers können die verschlüsselten Identitätsdaten auf einem Server abgelegt werden, insbesondere dem zweiten Server abgelegt werden.
  • Die verschlüsselten Identitätsdaten sind von einem Subskriptionsprofil 173a-c, welches die Anwendung zur elektronischen Identifizierung des Nutzers umfasst, mittels der Anwendung zur elektronischen Identifizierung des Nutzers entschlüsselbar. Bevorzugt sind die verschlüsselten Identitätsdaten sind ausschließlich von einem Subskriptionsprofil 173a-c, welches die Anwendung zur elektronischen Identifizierung des Nutzers umfasst, entschlüsselbar.
  • Ein Verweis auf die verschlüsselten Identitätsdaten, insbesondere auf die auf dem Server abgelegten verschlüsselten Identitätsdaten, können in Form einer URL oder eines QR-Codes an den Nutzer übermittelt werden. Ein solcher Verweis kann auch als Link, Hyperlink oder URL bezeichnet werden.
  • Der Nutzer kann eine Personalisierung seine Identitätsdaten anhand der Anwendung zur elektronischen Identifizierung des Nutzers und des Verweises auf die verschlüsselten Identitätsdaten initiieren. Mittels der Anwendung kann der Nutzer seine Identitätsdaten ergänzen oder bei Fehlern berichtigen.
  • Anhand des Verfahrens 100 wird Betreibern eines Mobilfunknetzes, insbesondere Betreibern eines Subscription Manager Data Preparation (SM-DP+) Servers ermöglicht, eine solche Anwendung (eID-Applet) zu generieren und auf den Endgeräten 2 der Nutzer zu distribuieren. Die Anwendung kann anschließend durch den Nutzer personalisiert werden.
  • Das Teilnehmeridentitätsmodul 1 kann ein Register umfassen. In diesem Register können Daten abgelegt werden, mittels derer alle Entitäten eindeutig referenziert werden können. Diese Daten umfassen einen Bezeichner des entsprechenden Anwendungsbündels und einen Bezeichner des entsprechenden Subskriptionsprofil 173a-c (gemäß ISO/IEC 7816). Gemäß dieser Ausgestaltung können, ausgehend von dem aktiven Anwendungsbündel, die Entitäten herausgefiltert werden, die dem Bezeichner des aktiven Anwendungsbündels und der Subskriptionsverwaltung 174 entsprechen. Darüber hinaus kann ein Nicht-UICC-Anwendungsbündel erstellt werden, das die gleiche Schnittstelle hat, aber nicht vom der Subskriptionsverwaltung 174 verwaltet wird.
  • Im Rahmen der Erfindung können alle beschriebenen und/oder gezeichneten und/oder beanspruchten Elemente beliebig miteinander kombiniert werden.
  • BEZUGSZEICHENLISTE
    • 1
    Teilnehmeridentitätsmodul, SIM, UICC
    11
    Kommando, APDU
    12
    Schnittstelle
    15
    Betriebssystem, OS
    16
    Java Laufzeitumgebung, JCRE
    17
    Nichtflüchtiger Speicher
    171
    Authentisierungsdatenverwaltung
    172
    Authentisierungsdatensatz
    173a
    Subskriptionsprofil
    173b
    Subskriptionsprofil
    173c
    Subskriptionsprofil
    174
    Subskriptionsverwaltung
    175
    Dateisystem
    176
    Verweis
    18
    Flüchtiger Speicher
    19
    Steuereinheit, CPU
    2
    Endgerät
    3
    Modem zwischen Endgerät und UICC
    4
    Kommunikationsnetz
    40
    Server
    5
    Over-The-Air Kommunikation

Claims (8)

  1. Verfahren zur Verwaltung einer Anwendung zur elektronischen Identifizierung eines Nutzers eines ein Teilnehmeridentitätsmodul (1) aufweisenden mobilen Endgerätes (2) in einem Mobilfunknetz, umfassend folgende Verfahrensschritte: - Senden (103) einer Anfrage zur Erzeugung eines Subskriptionsprofils (173a-c) mit der Anwendung zur elektronischen Identifizierung des Nutzers an einen Subscription Manager Data Preparation (SM-DP+) Server des Mobilfunknetzes; - Erzeugen (105) eines Subskriptionsprofils (173a-c) mit der Anwendung zur elektronischen Identifizierung des Nutzers, wobei das Erzeugen des Subskriptionsprofils (173a-c) das Erzeugen eines dem Subskriptionsprofil (173a-c) zugeordneten privaten asymmetrischen Personalisierungsschlüssels und eines dem Subskriptionsprofil (173a-c) zugeordneten öffentlichen asymmetrischen Personalisierungsschlüssels für die Anwendung zur elektronischen Identifizierung des Nutzers umfasst; - Senden (106) des öffentlichen asymmetrischen Personalisierungsschlüssels an einen Server des Betreibers des Mobilfunknetzes (MNO) oder an einen Server eines Identifizierungsanbieters; - Verschlüsseln (107) von Identitätsdaten des Nutzers mittels des öffentlichen asymmetrischen Personalisierungsschlüssels; und - Distribuieren (108) des Subskriptionsprofils (173a-c) mit der Anwendung zur elektronischen Identifizierung des Nutzers und des privaten asymmetrischen Personalisierungsschlüssels auf das mobile Endgerät (2).
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Erzeugen (105) des öffentlichen asymmetrischen Personalisierungsschlüssels und des privaten asymmetrischen Personalisierungsschlüssels mittels eines Hardware-Sicherheitsmoduls erfolgt.
  3. Verfahren nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass nach dem Verschlüsseln (107) der Identitätsdaten des Nutzers die verschlüsselten Identitätsdaten auf einem Server abgelegt werden.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass ein Verweis auf die verschlüsselten Identitätsdaten, insbesondere auf die auf dem Server abgelegten verschlüsselten Identitätsdaten, in Form einer URL oder eines QR-Codes an den Nutzer übermittelt wird.
  5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass der Nutzer eine Personalisierung der Identitätsdaten des Nutzers anhand der Anwendung zur elektronischen Identifizierung des Nutzers und des Verweises auf die verschlüsselten Identitätsdaten initiiert.
  6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass vor dem Senden (103) der Anfrage zur Erzeugung des Subskriptionsprofils (173a-c) die Identitätsdaten des Nutzers von dem Betreiber des Mobilfunknetzes (MNO) oder dem Identifizierungsanbieter erfasst werden (101) und auf einem Server des Betreibers des Mobilfunknetzes (MNO) oder des Identifizierungsanbieters gespeichert werden (102).
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Identitätsdaten des Nutzers von einem elektronischen Ausweisdokuments des Nutzers ausgelesen werden.
  8. Verfahren nach einem der Ansprüche 6 oder 7, dadurch gekennzeichnet, dass die Identitätsdaten nach dem Senden (103) der Anfrage zur Erzeugung des Subskriptionsprofils (173a-c) von dem Server des Betreibers des Mobilfunknetzes (MNO) oder des Identifizierungsanbieters gelöscht werden (104).
DE102022001094.1A 2022-03-30 2022-03-30 Verfahren zur Verwaltung einer Anwendung zur elektronischen Identifizierung eines Nutzers Pending DE102022001094A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102022001094.1A DE102022001094A1 (de) 2022-03-30 2022-03-30 Verfahren zur Verwaltung einer Anwendung zur elektronischen Identifizierung eines Nutzers
PCT/EP2023/025138 WO2023186348A1 (de) 2022-03-30 2023-03-28 Verfahren zur verwaltung einer anwendung zur elektronischen identifizierung eines nutzers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022001094.1A DE102022001094A1 (de) 2022-03-30 2022-03-30 Verfahren zur Verwaltung einer Anwendung zur elektronischen Identifizierung eines Nutzers

Publications (1)

Publication Number Publication Date
DE102022001094A1 true DE102022001094A1 (de) 2023-10-05

Family

ID=86142818

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022001094.1A Pending DE102022001094A1 (de) 2022-03-30 2022-03-30 Verfahren zur Verwaltung einer Anwendung zur elektronischen Identifizierung eines Nutzers

Country Status (2)

Country Link
DE (1) DE102022001094A1 (de)
WO (1) WO2023186348A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160277930A1 (en) 2015-03-22 2016-09-22 Apple Inc. Methods and apparatus for user authentication and human intent verification in mobile devices
US20180098213A1 (en) 2016-03-24 2018-04-05 Verizon Patent And Licensing Inc. Profile deletion codes in subscription management systems
US20210342462A1 (en) 2015-05-22 2021-11-04 Huawei Device Co., Ltd. Cryptographic unit for public key infrastructure (pki) operations

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10346147B2 (en) * 2015-12-22 2019-07-09 Samsung Electronics Co., Ltd. Method and apparatus for providing a profile
DE102016000324B4 (de) * 2016-01-13 2023-07-27 Giesecke+Devrient Mobile Security Gmbh Verfahren zur Verwaltung von Identifikationsdaten mehrerer Anwendungen
DE102019100335A1 (de) * 2019-01-08 2020-07-09 Bundesdruckerei Gmbh Verfahren zum sicheren Bereitstellen einer personalisierten elektronischen Identität auf einem Endgerät
EP3930361A1 (de) * 2020-06-23 2021-12-29 Koninklijke Philips N.V. System und verfahren zum betreiben einer benutzervorrichtung mit personalisierten identitätsmodulprofilen

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160277930A1 (en) 2015-03-22 2016-09-22 Apple Inc. Methods and apparatus for user authentication and human intent verification in mobile devices
US20210342462A1 (en) 2015-05-22 2021-11-04 Huawei Device Co., Ltd. Cryptographic unit for public key infrastructure (pki) operations
US20180098213A1 (en) 2016-03-24 2018-04-05 Verizon Patent And Licensing Inc. Profile deletion codes in subscription management systems

Also Published As

Publication number Publication date
WO2023186348A1 (de) 2023-10-05

Similar Documents

Publication Publication Date Title
EP2691855B1 (de) Verfahren zum aktualisieren eines datenträgers
EP2910039B1 (de) Verfahren zum einbringen von teilnehmeridentitätsdaten in ein teilnehmeridentitätsmodul
DE112014006112T5 (de) Applet-Migration in einem sicheren Element
EP2692157B1 (de) Verfahren und vorrichtung zur aktualisierung einer datenträgerapplikation
DE102013225416A1 (de) Fernfunktions-Fob zum Ermöglichen einer Kommunikation zwischen einem Fahrzeug und einem Gerät sowie Verfahren für denselben
DE102009013332A1 (de) Verfahren und Vorrichtung zum Erzeugen eines kryptografischen Schlüssels
DE102011103740A1 (de) Verfahren und Anordnung zum Bereitstellen und Verwalten von mit RFID-Datenträgern verknüpften Informationen in einem Netzwerk
DE102012015573A1 (de) Verfahren zum Aktivieren eines Betriebssystems in einem Sicherheitsmodul
DE102014005566A1 (de) Verfahren und Vorrichtung zum Betreiben eines mobilen Endgeräts in einem Mobilfunknetzwerk
DE102012016164A1 (de) Sicherheitselement und Verfahren zur Installation von Daten in dem Sicherheitselement
DE102022001094A1 (de) Verfahren zur Verwaltung einer Anwendung zur elektronischen Identifizierung eines Nutzers
EP3070690A1 (de) Chipkarte und verfahren zur softwarebasierten modifikation einer chipkarte
DE102021005869A1 (de) Verfahren zum Ändern eines Zugriffsrechts in einer UICC
DE102021004912A1 (de) Universal integrated chip card, uicc, zum verwalten von profilen, sowie verfahren
EP2478435A1 (de) Verfahren zum installieren und konfigurieren von applikationen auf einem portablen datenträger
DE102022000931A1 (de) Universal integrated chip card, UICC, zum Verwalten von Authentisierungsdaten, sowie Verfahren
EP4320900A1 (de) Verfahren zum personalisieren eines sicheren elementes
DE102022002276A1 (de) Verfahren in einem secure element
DE102023110415A1 (de) Ein Verfahren zum Bereitstellen von Daten für ein Abonnementenprofil für ein Secure Element
WO2023025411A1 (de) Verfahren in einem secure element
WO2023016669A1 (de) Verfahren in einem secure element
DE102021004158A1 (de) Verfahren zum Betreiben einer universal integrated Circuit Card, UICC, und UICC
DE102022104834A1 (de) Onboarding von cloud-diensten ohne vorherige anpassung der endgeräte
EP3215957B1 (de) Chipkarte, chipkartensystem und verfahren zum zugriff auf eine chipkarte
EP4054223A1 (de) Teilnehmeridentitätsmodul mit oder eingerichtet für applikation

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT EPAYMENTS GMBH, 81677 MUENCHEN, DE