-
Der
Bereich der Erfindung ist der der jeweils aus einem mit einer Anwenderkarte
mit Mikroprozessor zusammenwirkenden Terminal gebildeten Kommunikationssysteme
mit Terminalausrüstungen.
-
Die
Erfindung findet insbesondere, jedoch nicht ausschließlich, im
Falle eines zellularen Funkkommunikationssystems mit jeweils aus
einem mit einer Anwenderidentifikationsmodul (oder SIM, aus dem
englischen „Subscriber
identity Module")
genannten Anwenderkarte zusammenwirkenden Terminal gebildeten mobilen
Stationen Anwendung.
-
Die
Erfindung findet ebenfalls, ebenfalls nicht ausschließlich, auf
den Fall eines Kommunikationssystems mit jeweils aus einem mit einer
Zahlkarte zusammenwirkenden Bankenterminal gebildeten Zahlstationen Anwendung.
-
Genauer
gesagt betrifft die Erfindung ein eine gesicherte und unabhängige Verwaltung
einer Vielzahl von Anwendungen für
jede Anwenderkarte erlaubendes Kommunikationssystem. Die Erfindung
betrifft ebenfalls eine entsprechende Anwenderkarte und ein entsprechendes
Verwaltungsverfahren.
-
Die
Nachteile der bekannten Kommunikationssysteme werden hier mithilfe
des Beispiels eines zellularen Funkkommunikationssystems nachstehend
vorgestellt. Es ist dennoch klar, dass die Erfindung nicht auf diesen
Systemtyp beschränkt
ist, sondern allgemein jedes Kommunikationssystem betrifft, in dem
eine zum Zusammenwirken mit einem Terminal bestimmte Anwenderkarte
mehrere Anwendungen unterstützt.
-
Im
Bereich der zellularen Funkkommunikation ist insbesondere vor allem
in Europa die Norm SMG (in der Bandbreite von 900 MHz arbeitendes
Special Mobile Group des öffentlichen
Funknetzes) bekannt.
-
Die
Erfindung findet insbesondere, jedoch nicht ausschließlich, auf
ein System gemäß der Norm
SMG Anwendung. Ganz allgemein kann sie auf alle Systeme angewendet
werden, in denen jede Anwenderkarte wenigstens zwei unterschiedliche
Anwendungen verwalten kann.
-
Im
Fall eines zellularen Funksystems ist ein Terminal eine von einem
Anwender des Netzes zum Zugang zu den angebotenen Telekommunikationsdiensten
eingesetzte physische Ausrüstung.
Es gibt verschiedene Terminaltypen, wie zum Beispiel insbesondere
die transportablen, die tragbaren oder auch die in Fahrzeuge eingebauten
mobilen Terminals.
-
Wenn
ein Terminal von einem Anwender benutzt wird, muss dieser seine
Anwenderkarte (SIM-Modul), die im Allgemeinen die Form einer Chipkarte
aufweist, an das Terminal anschließen.
-
Die
Anwenderkarte unterstützt
eine telefonische Hauptanwendung (zum Beispiel die Anwendung SMG,
die ihren Betrieb zulässt,
sowie die des Terminals, an das sie im zellularen Funkkommunikationssystem angeschlossen
ist. Insbesondere verschafft die Anwenderkarte dem Terminal, an
das sie angeschlossen ist, eine individuelle Teilnehmeridentifizierung
(oder IMSI-Identifizierung aus dem englischen „International Mobile Subscriber
Identity"). Dafür beinhaltet
die Anwenderkarte Ausführungsmittel
von Befehlen (zum Beispiel einen Mikroprozessor und einen Programmspeicher)
und Datenspeichermittel (zum Beispiel einen Datenspeicher).
-
Die
IMSI-Identifizierung sowie alle individuellen Informationen bezüglich des
Teilnehmers, die zur Verwendung durch das Terminal bestimmt sind,
werden in den Datenspeichermitteln des SIM-Moduls gespeichert. Dadurch
kann jedes Terminal mit jedem beliebigen SIM-Modul genutzt werden.
-
In
bestimmten bekannten Systemen, und insbesondere in einem SMG-System,
gibt es einen den Versand kurzer Meldungen zu mobilen Stationen
zulassenden Dienst für
kurze Meldungen (oder SMS, aus dem englischen „Short Message Service). Diese
Meldungen werden durch ein Servicecenter für kurze Meldungen (oder SMS-C
aus dem englischen „SMS
Center") ausgegeben.
-
Wenn
eine mobile Station eine kurze Meldung erhält, speichert sie sie in den
Datenspeichermitteln ihres SIM-Moduls. Die telefonische Hauptanwendung
jedes SIM-Moduls lässt
die Verarbeitung jeder empfangenen kurzen Meldung zu.
-
Ursprünglich bestand
die einzige Funktion einer kurzen Meldung in der Lieferung einer
Information für den
Teilnehmer, im Allgemeinen über
einen Anzeigebildschirm des Terminals. Die als normale Kurzmeldungen bezeichneten
kurzen Meldungen, die diese einzigartige Funktion erfüllen, enthalten
daher nur rohe Daten.
-
Anschließend wurde
ein verbesserter Dienst für
verbesserte kurze Meldungen (oder ESMS aus dem englischen „Enhanced
SMS") erdacht, in
dem zwei Arten von kurzen Meldungen versandt werden können, nämlich die
zuvor genannten normalen Kurzmeldungen und verbesserte kurze Meldungen,
die Befehle enthalten können.
-
Somit
wird in der Patentschrift
EP 562
890 zum Beispiel die Übertragung
von die Aktualisierung oder die Neukonfiguration dieses SIM-Moduls über eine
Entfernung hinweg erlaubenden Befehlen über verbesserte kurze Meldungen
auf ein SIM-Modul vorgeschlagen. Mit anderen Worten, in verbesserten
kurzen Meldungen verkapselte Befehle, die die Änderung der telefonischen Hauptanwendung
des SIM-Moduls erlaubende Befehle.
-
Der
Patentantrag EP-A-0 666 550 beschreibt ein Datenaustauschsystem
mit wenigstens einer tragbaren Einheit mit Kommunikationsmitteln,
Verarbeitungsmitteln und Speichermitteln. Letztere umfassen ein
Ausführungsprogramm
und eine oder mehrere Anwendungsbeschreibung(en), die wenigstens
eine Zugangspolitik und eine Datenzugangsmethode umfassen.
-
Der
Patentantrag FR-A-0 644 513 beschreibt eine an eine Vielzahl von
Dienstleistern angepasste multiapplikative Karte, in der der Zugang
zu den Anwendungen von einem Hauptprogramm mit einer einzigen Zugangspolitik
verwaltet wird. Insbesondere wird der Zugang durch eine Datei mit
einem einem Anwender gehörenden
Passwort verwaltet, das von anderen nicht geändert werden kann.
-
Es
wurde ebenfalls vorgeschlagen, dass das SIM-Modul anderen Anwendungen als der telefonischen Hauptanwendung
als Träger
dient, wie zum Beispiel insbesondere Anwendungen zum Anmieten von
Fahrzeugen, zum Zahlen oder auch Treueanwendungen.
-
Aufgrund
der Tatsache, dass die zu diesen anderen Anwendungen gehörenden Befehle
in den verbesserten kurzen Meldungen enthalten sind und sich somit
außerhalb
des SIM-Moduls befinden, werden diese anderen Anwendungen entfernt
oder OTA bezeichnet (aus dem englischen „Over The Air"). Im Gegensatz dazu
wird die telefonische Hauptanwendung, deren Befehle in den Datenspeichermitteln
des SIM-Moduls sind, als lokal bezeichnet. Die Befehle werden ebenfalls
je nachdem, ob die Anwendung, zu der sie gehören, selbst lokal oder entfernt
ist, als lokal oder entfernt bezeichnet.
-
Die
Patentschrift PCT/GB/9401295 (WO-A-9430023) beschreibt zum Beispiel
ein die folgenden entfernten Anwendungen unterstützendes SIM-Modul: Aktualisierung
von Telefonnummern über
eine Entfernung hinweg, Mieten (insbesondere von Fahrzeugen oder
Hotelzimmern) und Zahlung. Jede Meldung umfasst einen von Daten
gefolgten Befehl. Beispielhaft werden die vier folgenden entfernten
(aus 255 möglichen)
Befehlstypen vorgestellt:
- – die die Speicherung von in
den empfangenen Meldungen enthaltenen Daten im SIM-Modul ab einem
spezifizierten Speicherplatz erlaubenden Einschreibbefehle;
- – die
das Lesen von Daten im SIM-Modul ab einem spezifizierten Speicherplatz
erlaubende Lesebefehle, wobei die gelesenen Daten in für externe
Anrufer bestimmte Meldungen eingegeben werden;
- – die
die Zulassung oder das Verbot des Einschreibens und des Lesens von
spezifizierten Speicherplätzen des
SIM-Moduls erlaubende Verriegelungs-/Entriegelungsbefehle:
- – die
die Ausführung
eines im SIM-Modul gespeicherten Programms erlaubende Programmausführungsbefehle.
-
Mit
diesen entfernten Befehlen kann man daher entfernte Anwendungen
ausführen
(Mieten, Zahlung, Neukonfiguration der telefonischen Hauptanwendung,
usw.). Man kann ebenfalls neue Funktionen zum SIM-Modul hinzufügen. Somit
kann das SIM-Modul eine Multiservice-Karte, zum Beispiel mit den Funktionen einer
Kreditkarte, eines Passes, eines Führerscheins, einer Mitgliedskarte,
usw. werden.
-
Es
ist klar, dass dieses neue Multiapplikationskonzept des SIM-Moduls
für den Teilnehmer
sehr vorteilhaft ist. Dieser kann jetzt nämlich auf sehr einfache Weise
nur mit einem Terminal, in dem sein SIM-Modul eingeführt wird,
zahlreiche Operationen durchführen,
wie zum Beispiel das Mieten eines Fahrzeugs oder die Zahlung einer
Leistung.
-
Dieses
neue Multiapplikationskonzept des SIM-Moduls weist jedoch, so, wie es derzeitig
umgesetzt wird, den großen
Nachteil auf, nicht die unabhängige
Verwaltung jeder der lokalen oder entfernten Anwendungen zu gewährleisten.
In allen bisher bekannten Systemen sind die Dateien der Datenspeichermittel
des SIM-Moduls nämlich
für alle
Anwendungen auf dieselbe Weise zugänglich.
-
Somit
wird in der zuvor genannten Patentschrift PCT/GB/9401295 (WO-A-9430023)
der Zugang zu bestimmten Speicherplätzen durch einen Befehl immer
zugelassen, während
der Zugang zu anderen Speicherplätzen
durch einen Befehl entweder zugelassen oder verweigert werden kann.
Unabhängig
von dem betroffenen Speicherplatz hängt die Zugänglichkeit durch einen Befehl
jedoch auf keinen Fall von der Anwendung ab, zu der dieser Befehl
gehört.
-
In
den derzeitigen SMG-Spezifikationen (und insbesondere die SMG-Spezifikation
11.11) wird ebenfalls keine Unterscheidung zwischen den Anwendungen
hinsichtlich der Zugangsbedingungen zu den Dateien der Datenspeichermittel
des SIM-Moduls gemacht. Jede Datei besitzt nämlich ihre eigene Standardzugangskontrollpolitik,
die einzigartig ist und durch einen Satz von Standardzugangsbedingungen
definiert ist, wobei jede dieser Standardzugangsbedingungen auf
einen für
diese Datei unterschiedlichen Befehl Anwendung findet. Jede Standardzugangsbedingung
kann unterschiedliche Werte annehmen, wie zum Beispiel „ALWAYS" (stets zugelassener
Zugang), „CHV1" oder „CHV2" (nach Überprüfung des
Besitzers des SIM-Moduls zugelassener Zugang) und „NEVER" (niemals zugelassener
Zugang). Keiner dieser Werte jedoch zielt auf die Verbindung des
Zugangs zur Datei mit der Identität der Anwendung ab, zu der
der Befehl gehört,
der diesen Zugang anfordert.
-
Diese
fehlende Kontrolle des Zugangs zu den Dateien in Abhängigkeit
von den Anwendungen ist mit Blick auf die Sicherheit nicht zufrieden
stellend. Dies bedeutet nämlich,
dass alle von den Datenspeichermitteln unterstützen entfernten Anwendungen
ein und desselben SIM-Moduls auf alle Dateien dieser Datenspeichermittel
zugreifen können.
Daher hindert nichts die zu einer dieser entfernten Anwendungen
gehörenden
Daten daran, von einer anderen dieser entfernten Anwendungen gelesen
oder sogar abgeändert
zu werden. Daraus geht eindeutig hervor, dass keine entfernte Anwendung
für ihre
eigenen, im SIM-Modul gespeicherten Daten über eine ausreichende Sicherheit
und Vertraulichkeit verfügt.
-
Aufgabe
der Erfindung ist insbesondere die Behebung dieses großen Nachteils
des Standes der Technik.
-
Genauer
gesagt ist eine der Aufgaben der vorliegenden Erfindung die Lieferung
eines Kommunikationssystems (und insbesondere, jedoch nicht ausschließlich, eines
zellularen Kommunikationssystems), in dem jede Anwenderkarte auf
gesicherte und unabhängige
Weise eine Vielzahl von Anwendungen verwalten kann.
-
Mit
anderen Worten ist es eine der Aufgaben der Erfindung, jedem Anwendungslieferanten
die Vermeidung zu ermöglichen,
dass andere Anwendungen als seine eigene zumindest auf bestimmte
Objekte (zum Beispiel Dateien) der Anwenderkarte zugreifen können, die
seine Anwendung unterstützen.
-
Eine
weitere Aufgabe der Erfindung ist es, die Aktualisierung (oder die
Neukonfiguration) der Objekte der Anwenderkarte zuzulassen, die
die unterschiedlichen Anwendungen unterstützen und dabei gleichzeitig zu
gewährleisten,
dass diese Anwendungen weiterhin auf gesicherte und unabhängige Weise
verwaltet werden.
-
Eine
zusätzliche
Aufgabe der Erfindung ist es, das entfernte Anlegen einer neuen
Anwendung zuzulassen, die wie die bereits vorhandenen Anwendungen
von den Objekten unterstützt
wird, von denen wenigstens einige derart sind, dass sie allein darauf
zugreifen kann.
-
Diese
unterschiedlichen Aufgaben, sowie weitere Aufgaben, die im Folgenden
deutlich werden, werden erfindungsgemäß mithilfe eines Kommunikationssystems
von der Art erreicht, umfassend wenigstens ein mit einer Anwenderkarte
mit Mikroprozessor zusammenwirkendes Terminal
Wobei jede Anwenderkarte
Datenspeichermittel mit einer Vielzahl von Objekten umfasst, wobei
die genannten Datenspeichermittel als Träger für wenigstens zwei unterschiedliche
Anwendungen dient, wobei die genannte Anwenderkarte Ausführungsmittel
von zu den genannten Anwendungen gehörenden Befehlen umfassen,
wobei
jedes in den Datenspeichermitteln einer Anwenderkarte einer ersten,
durch einen Satz erster Zugangsbedingungen definierten Zugangskontrollpolitik
zugeordnet ist, wobei jede der genannten ersten Zugangsbedingungen
für das
genannte Objekt auf eine Gruppe von wenigstens einem zu der oder
den die genannte erste Zugangspolitik nutzende Anwendung(en) gehörenden Befehl
angewendet wird,
dadurch gekennzeichnet, dass jedes Objekt
ebenfalls wenigstens einer anderen Zugangspolitik zugeordnet ist, wobei
jede andere Zugangskontrollpolitik durch einen Satz von wenigstens
einer alternativen Zugangsbedingung definiert wird, wobei jede alternative
Zugangsbedingung einer anderen vorgegebenen Zugangskontrollpolitik
für das
genannte Objekt auf eine Gruppe von wenigstens einem zu der oder
die genannte vorgegebene Zugangskontrollpolitik nutzende(n) den
Anwendung en) gehörenden
Befehl angewendet wird,
und dass jedes Objekt ebenfalls einer
Vielzahl von Zugangskontrollpolitikindikatoren zugeordnet ist, wobei
jeder Zugangskontrollpolitikindikator für eine der genannten Anwendungen
anzeigt, welche Zugangskontrollpolitik, nämlich die erste oder eine andere,
mit dieser Anwendung genutzt wird, wobei die genannten Zugangskontrollpolitikindikatoren
in dem genannten Datenspeicher gespeichert werden.
-
Das
allgemeine Prinzip der Erfindung besteht daher in.
- – jedem
Objekt (das zum Beispiel eine Datei ist) zusätzlich zu der ersten (in bestimmten
Fällen
als „Standard" bezeichneten) Zugangskontrollpolitik
eine oder mehrere weitere Zugangskontrollpolitiken zuzuordnen; und
- – für jedes
Objekt die (erste oder andere) mit jeder Anwendung anzusetzende
Zugangskontrollpolitik anzeigen.
-
Somit
kann der Zugang zum Objekt (durch einen Befehl) nicht für alle Anwendungen
identisch sein. Jede Anwendung hat den Zugang ihrer unterschiedlichen
Befehle auf ein von den Zugangskontrollpolitiken definiert, die
ihr für
dieses Objekt zugeordnet ist.
-
Für jedes
Objekt ist vorteilhaft wenigstens eine andere Zugangskontrollpolitik
spezifisch für
eine Anwendung, wobei jede alternative Zugangskontrollpolitik dieser
anderen spezifischen Zugangskontrollpolitik für das genannte Objekt auf eine
Gruppe von wenigstens einem zu der einzigartigen, diese andere spezifische Zugangskontrollpolitik
nutzende Anwendung gehörenden
Befehl Anwendung findet.
-
Für jedes
Objekt ist vorteilhaft wenigstens eine andere Zugangskontrollpolitik
mit wenigstens zwei Anwendungen vollkommen gemeinsam, wobei jede
alternative Zugangskontrollpolitik dieser vollkommen gemeinsamen
anderen Zugangskontrollpolitik für
das genannte Objekt auf eine Gruppe von wenigstens einem zu den
genannten wenigstens zwei, diese andere vollkommen gemeinsame Zugangskontrollpolitik
nutzenden Anwendungen gehörenden
Befehl Anwendung findet.
-
Wenigstens
eine andere Zugangskontrollpolitik ist für jedes Objekt vorteilhaft
teilweise mit wenigstens zwei Anwendungen gemeinsam,
wobei
bestimmte alternative Zugangsbedingungen dieser anderen Zugangskontrollpolitik
für das
genannte Objekt auf eine Gruppe von wenigstens einem zu den genannten
wenigstens zwei, diese andere gemeinsame Zugangskontrollpolitik
verwendende Anwendungen gehörenden
Befehl Anwendung finden,
wobei andere der alternativen Zugangsbedingungen
dieser anderen, teilweise gemeinsamen Zugangskontrollpolitik für das genannte
Objekt auf eine Gruppe von wenigstens einem ausschließlich zu
einer der wenigstens zwei diese andere gemeinsame Zugangskontrollpolitik
verwendende Anwendungen gehörenden
Befehl Anwendung finden.
-
Somit
kann jedes Objekt, jede Anwendung:
- – entweder
ihren eigenen Satz alternativer Zugangsbedingungen haben;
- – oder
ihren Satz von alternativen Zugangsbedingungen mit einer oder mehreren
anderen Anwendungen teilen;
- – oder
nur einen Teil ihres/seines Satzes von alternativen Zugangsbedingungen
mit einer oder mehreren anderen Anwendungen teilen.
-
Im
einfachsten Fall wird jedes Objekt einerseits der ersten Zugangskontrollpolitik
und andererseits einer einzigartigen anderen Zugangskontrollpolitik zugeordnet.
Letztere wird durch eine einzige, allgemein auf alle Befehle der
Anwendungen angewendete Zugangsbedingung definiert, die sie benutzen.
-
Im
komplexesten Fall wird jedes Objekt einerseits der ersten Zugangskontrollpolitik
und andererseits ebenso vielen unterschiedlichen Zugangskontrollpolitiken
zugeordnet, wie es Anwendungen gibt. Jede dieser anderen Zugangskontrollpolitiken
wird durch eine Vielzahl von unterschiedlichen, jeweils auf einen
oder mehrere zu dieser anderen Zugangskontrollpolitik gehörenden (s)gemäßen Systems
von der eine zellulare Funkkommunikation erlaubenden Art ist die
genannte Vielzahl von Terminalausrüstungen eine Vielzahl von mobilen Stationen,
wobei die genannten Anwenderkarten Teilnehmeridentifikationsmodule
sind.
-
In
diesem besonderen Fall eines zellularen Funkkommunikationssystems
umfasst die Vielzahl von durch die Speichermittel der Anwenderkarte
unterstützten
Anwendungen zum Beispiel die telefonische Hauptanwendung (zum Beispiel
die Anwendung SMG) und:
- – entweder wenigstens eine
entfernte Anwendung (zum Beispiel zum Mieten von Fahrzeugen, zur
Zahlung oder auch Treueanwendungen), deren Befehle von außen an Befehlsausführungsmittel
der Anwenderkarte geliefert werden (zum Beispiel über verbesserte
kurze Mitteilungen); und
- – oder
mittels einer anderen lokalen Anwendung, deren Befehle intern an
die Befehlsausführungsmittel
der Anwenderkarte geliefert werden (zum Beispiel ab einem Programmspeicher
ROM dieser Anwenderkarte).
-
Es
ist anzumerken, dass die erste Situation aufgrund der Tatsache,
dass eine Anwenderkarte im Allgemeinen nur eine lokale Anwendung
unterstützt,
nämlich
die telefonische Hauptanwendung, häufiger ist als die zweite.
Die zweite Situation kann jedoch ebenfalls in Betracht gezogen werden.
-
Somit
kann jede Anwenderkarte erfindungsgemäß in dem besonderen Fall eines
zellularen Funkkommunikationssystems auf gesicherte und unabhängige Weise
alle oder bestimmte Anwendungen verwalten, die es unterstützt.
-
In
einem vorteilhaften Ausführungsmodus
der Erfindung ist das genannte System von der Art, die darüber hinaus
wenigstens ein Meldungsservicecenter umfasst,
wobei die genannten
Datenspeichermittel einer Anwenderkarte als Träger für wenigstens eine lokale Anwendung
und wenigsten eine entfernte Anwendung der genannten Anwenderkarte
dienen, wobei die Befehle als lokal bezeichnet werden, wenn sie
zu der genannten lokalen Anwendung gehören, oder als entfernt, wenn
sie zu der genannten entfernten Anwendung gehören,
wobei jedes Terminal
Meldungen von der normalen oder verbesserten, von dem genannten
Meldungsservicecenter ausgegebenen Art empfangen kann, wobei jede
Anwenderkarte Speicher- und Verarbeitungsmittel der durch das Terminal
empfangenen Meldungen umfasst, mit denen sie zusammenwirkt,
wobei
die normalen Meldungen eine zur Lieferung der entfernte Befehle
enthaltende verbesserten Meldungen insbesondere über einen Anzeigebildschirm
des Terminals bestimmte Information bildende rohe Daten umfassen,
wobei
das genannte System dadurch gekennzeichnet ist, dass die genannten
Datenspeichermittel jeder Anwenderkarte ebenfalls eine Liste zugelassener
entfernter Anwendungen speichern,
und dass jede Anwenderkarte
ebenfalls die Blockierung jeder verbesserten Meldung, die nicht
zu einer der genannten zugelassenen entfernten Anwendungen gehörenden entfernte
Befehle enthält,
erlaubende Diskriminierungsmittel der verbesserten Meldungen umfasst.
-
Somit
stellt die Anwenderkarte fest, ob die die verbesserte Meldung ausgebende
entfernte Anwendung zum Zugriff auf diese Anwenderkarte berechtigt
ist. Diese Diskriminierungsoperation stellt ein zusätzliches
Sicherheitsniveau für
den Zugang der Befehle auf den Datenspeicher der Anwenderkarte dar.
-
Die
normalen oder verbesserten Meldungen sind zum Beispiel kurze Meldungen
gemäß dem Vokabular
SMG.
-
Die
genannten Datenspeichermittel jeder Anwenderkarte speichern bevorzugt
ebenfalls für
jede der genannten entfernten zugelassenen Anwendungen eine geheime
Referenz und einen zugeordneten Meldungsauthentifizierungsmodus
und
jede Anwenderkarte umfasst ebenfalls Authentifizierungsmittel der
diskriminierten verbesserten Meldungen, die die Authentifizierung
einer verbesserten diskriminierten Meldung durch Einsatz der geheimen
Referenz und des zugeordneten Meldungsauthentifizierungsmodus in
den genannten Datenspeichermitteln auf die entfernte zugelassene
Anwendung erlauben, zu der die in der genannten verbesserten diskriminierten
Meldung enthaltenen Befehle gehören.
-
Mit
anderen Worten, die Anwenderkarte authentifiziert jede verbesserte
diskriminierte Meldung gemäß dem Authentifizierungsmodus
und der der Ausgabeanwendung dieser Meldung zugeordneten geheimen
Referenz. Diese Authentifizierungsoperation bildet noch ein anderes
zusätzliches
Sicherheitsniveau für
den Zugang der Befehle zum Datenspeicher der Anwenderkarte.
-
Für jedes
Objekt wird vorteilhaft die oder wenigstens eine der anderen, als
sekundäre
Zugangskontrollpolitik bezeichnete Zugangskontrollpolitik(en) durch
einen Satz von wenigstens einer besonderen alternativen Zugangsbedingung
definiert, wobei jede alternative besondere Zugangsbedingung insbesondere
die folgenden Werte annehmen kann:
- – „kein Zugang": wenn das genannte
Objekt durch keinen Befehl der genannten Gruppe von wenigstens einem
Befehl zugänglich
ist, auf den die genannten besondere alternative Zugangsbedingung
angewendet wird;
- – „privater
Zugang": wenn das
genannte Objekt nur durch die zu einer einzigen vorbestimmten Anwendung gehörenden Befehle
aus der genannten Gruppe von wenigstens einem Befehl zugänglich ist,
auf den die genannte besondere alternative Zugangsbedingung angewendet
wird;
- – „geteilter
Zugang": wenn das
genannte Objekt durch die zu wenigstens zwei vorbestimmten Anwendungen
gehörenden
Befehle aus der genannten Gruppe von wenigstens einem Befehl zugänglich ist,
auf den die genannte besondere alternative Zugangsbedingung angewendet
wird.
-
In
einem anderen besonderen Ausführungsmodus
der Erfindung wird für
jedes Objekt wenigstens eine als entfernte Zugangskontrollpolitik
bezeichnete andere Zugangskontrollpolitik durch einen Satz von wenigstens
einer entfernten Zugangsbedingung definiert, wobei jede entfernte
Zugangsbedingung für
das genannten Objekt zu einer Gruppe von wenigstens einem zu der
oder den die genannte entfernte Zugangskontrollpolitik nutzende
entfernten Anwendung en) gehörenden
entfernten Befehl gehört,
und
für jedes
Objekt nur die jeweils einer der entfernten Anwendungen zugeordneten
Zugangskontrollpolitindikatoren die genannte entfernte Zugangskontrollpolitik
anzeigen können.
-
In
dieser besonderen Ausführungsart
kann der Zugang für
jedes Objekt zu jeder entfernten Anwendung zugelassen oder verboten
werden, selbstverständlich
unter der Bedingung, dass die entfernte Zugangskontrollpolitik diejenige
ist, die effektiv mit dieser entfernten Anwendung verwendet werden
soll.
-
Für jedes
Objekt kann man Folgendes vorsehen:
- – entweder
eine für
jede entfernte Anwendung unterschiedliche Zugangskontrollpolitik;
- – oder
ein und dieselbe entfernte Zugangskontrollpolitik für wenigstens
bestimmte entfernte Anwendungen (oder für alle).
-
Es
ist anzumerken, dass, abgesehen von der ersten Zugangskontrollpolitik,
wenn die einzige oder alle anderen Zugangskontrollpolitiken entfernte
Zugangskontrollpolitik(en) ist/sind, die erste Zugangskontrollpolitik dann
obligatorisch mit der oder den lokalen Anwendung en) verwendet werden
muss.
-
Für jedes
Objekt kann jede entfernte Zugangsbedingung vorteilhaft dieselben
Werte annehmen wie die genannten besonderen alternativen Zugangsbedingungen.
-
Somit
ist es möglich,
eine Aufteilung des Datenspeichers der Anwenderkarte zwischen den
unterschiedlichen entfernten Anwendungen zu realisieren. Bestimmte
Objekte können
in der Tat zugänglich
gemacht werden:
- – entweder („kein Zugang") durch keinen entfernten
Befehl, unabhängig
von der entfernten Anwendung, zu der dieser entfernte Befehl gehört;
- – oder
(„privater
Zugang") nur durch
alle oder bestimmte, zu einer einzigen, so genannten übergeordneten entfernten
Anwendung dieses Objekts gehörende
Befehle;
- – oder
(„geteilter
Zugang") durch alle
oder bestimmte zu bestimmten entfernten, genau festgelegten Anwendungen
gehörende
Befehle.
-
Auf
diese Weise bilden alle mit ein und derselben entfernten übergeordneten
Anwendung verbundene Objekte mit privatem Zugang einen gesicherten
und abgedichteten, dieser übergeordneten
Anwendung eigenen und für
andere Anwendungen unzugänglichen
Bereich. Der Lieferant einer bestimmten entfernten Anwendung hat
somit die Gewissheit, dass andere entfernte Anwendungen als seine
Anwendung nicht auf den gesicherten Bereich zugreifen können, der
ihm zugeordnet ist.
-
In
einem vorteilhaften Ausführungsmodus
der Erfindung, in dem die genannten Speichermittel jeder Anwenderkarte
von der Art mit einer hierarchischen Struktur von wenigstens drei
Niveaus sind und wenigstens drei der folgenden Dateitypen umfassen:
- – Masterdatei
oder Hauptverzeichnis;
- – Spezialdatei
oder unter dem genannten Masterverzeichnis platziertes Unterverzeichnis;
- – Unter
einer der genannten, als übergeordnete
Spezialdatei bezeichnete Spezialdateien oder direkt unter der genannten,
als übergeordnete
Masterdatei bezeichnete Masterdatei platzierte elementare Datei;
wobei
das genannte System dadurch gekennzeichnet ist, dass die genannten
Datenspeichermittel jeder Anwenderkarte wenigstens eine elementare
Systemdatei umfassen, wobei jede mit einer entfernten zugelassenen
und eine erste Lokalisierungsinformation der geheimen Referenz und
des dieser entfernten zugelassenen Anwendung, mit der es verbunden
ist, zugeordneten Meldungsauthentifizierungsmodus speichernde Anwendung
verbundenen elementare Systemdatei,
und dass jede verbesserte
Meldung eine zweite Lokalisierungsinformation der elementaren Systemdatei umfasst,
mit der die entfernte zugelassene Anwendung verbunden ist, zu der
die in der genannten verbesserten Meldung enthaltenen Befehle gehören,
wobei
die genannten Authentifizierungsmittel in jeder verbesserten diskriminierten
Meldung die genannte zweite Lokalisierungsinformation der elementaren
Systemdatei lesen, so dass in der elementaren Systemdatei die genannte
erste Lokalisierungsinformation der geheimen Referenz und des zur
Meldungsauthentifizierung der genannten verbesserten diskriminierten
Meldung zu nutzenden Meldungsauthentifizierungsmodus gelesen wird.
-
Somit
enthält
jede elementare Systemdatei das Wiederfinden der zur Authentifizierungsoperation
einer durch die entfernte Anwendung, mit der diese elementare Systemdatei
verbunden ist, ausgegebene Meldung notwendigen Elemente erlaubende
Informationen. Jede Meldung enthält
ihrerseits (in ihrer Kopfzeile) das Wiederfinden der elementaren
Systemdatei, mit der ihre ausgebende Anwendung verbunden ist, erlaubende
Informationen, so dass ihre Authentifizierung erfolgen kann.
-
Jede
elementare Systemdatei wird vorteilhaft in eine Spezialdatei oder
direkt unter der Masterdatei platziert, wobei maximal eine elementare
Systemdatei unter jeder Spezialdatei platziert werden kann und maximal
eine elementare Systemdatei direkt unter der Masterdatei platziert
werden kann.
-
Wenn
eine elementare Systemdatei weder unter einer Spezialdatei noch
unter der Masterdatei vorhanden ist, ist jede unter der genannten
Spezialdatei platzierte elementare Datei dann unabhängig vom
Wert der dieser elementaren Datei zugeordneten entfernten Zugangsbedingungen
vorteilhaft durch keinen entfernten Befehl zugänglich,
und wenn keine
elementare Systemdatei direkt unter der Hauptdatei vorhanden ist,
dann ist jede direkt unter der Masterdatei platzierte elementare
Datei unabhängig
vom Wert der dieser elementaren Datei zugeordneten entfernten Zugangsbedingungen
durch keinen entfernten Befehl zugänglich.
-
Das
bedeutet, dass eine Datei unter einer Spezialdatei oder direkt unter
einer Masterdatei platziert sein muss, auf die sich eine elementare
Systemdatei bezieht, um durch einen entfernten Befehl zugänglich zu sein.
Was hier unter „sich
beziehen" verstanden
wird, wird später
ausgeführt.
-
Die
genannte zweite Lokalisationsinformation der elementaren Systemdatei
ist ein Identifikator einer Spezialdatei oder einer Masterdatei,
auf die sich die genannte elementare Systemdatei gemäß einer
in den Datenspeichermitteln vorbestimmten Suchstrategie bezieht.
-
Die
genannte, in den Datenspeichermitteln vorbestimmte Suchstrategie
ist vorteilhaft ein Suchmechanismus oberhalb (vom Typ „backtracking"), bestehend in der
Suche danach, ob eine elementare Systemdatei unter der Spezialdatei
oder der von dem genannten Indikator angegebenen Masterdatei vorhanden
ist, und im negativen Fall und wenn der Indikator keine Masterdatei
angibt, in der Suche danach, ob eine elementare Systemdatei direkt
unter der Masterdatei vorhanden ist.
-
Somit
entspricht der zuvor benutzte Ausdruck „sich beziehen" zum Beispiel auf
eine Suche der Art „backtracking".
-
In
einem vorteilhaften Ausführungsmodus
der Erfindung, im Falle einer Datei, von denen eine der entfernten
Zugangsbedingungen den Wert „privater
Zugang" besitzt,
ist die einzige genannte vorbestimmte entfernte Anwendung, deren
entfernte Befehle auf die genannte Datei zugreifen können, unter
dem Vorbehalt, dass seine Authentifizierung gelingt, die entfernte,
zugelassene übergeordnete
Anwendung der genannten Datei, das heißt, die entfernte zugelassene,
mit derselben elementaren Systemdatei verbundene Anwendung wie die,
die sich auf die übergeordnete
Spezialdatei oder die übergeordnete
Masterdatei der genannten Datei bezieht,
und im Fall einer
Datei, deren entfernte Zugangsbedingung den Wert „geteilter
Zugang" besitzt,
sind die genannten wenigstens zwei entfernten vorbestimmten Anwendungen,
deren entfernte Befehle auf die genannte Datei zugreifen können, unter
dem Vorbehalt, dass ihre Authentifizierung gelingt, alles entfernten
zugelassenen Anwendungen, unabhängig
von der elementaren Systemdatei, mit der jede von ihnen verbunden
ist.
-
Somit
hat eine mit einer bestimmten elementaren Systemdatei verbundene übergeordnete
Anwendung alle Dateien als untergeordnete Dateien, deren übergeordnete
Spezialdatei oder übergeordnete
Masterdatei (das heißt,
die Spezialdatei oder die Masterdatei, unter der sie direkt platziert
sind) sich auf diese bestimmte elementare Systemdatei bezieht.
-
Die
Struktur der untergeordneten Dateien einer übergeordneten Anwendung bildet
eine ebenfalls als dieser Anwendung eigene Sicherheitsdomäne bezeichnete
logische Dateiengruppierung. Im Fall eines zugelassenen entfernten
Zugangs vom Typ „privat" ist es diese Sicherheitsdomäne, die
den für
die dieses private Recht in Anspruch nehmende Anwendung spezifischen
gesicherten Bereich begrenzt.
-
Mit
anderen Worten besteht die Sicherheitsdomäne teilweise in der logischen
Gruppierung der Dateien in Abhängigkeit
von ihrer abhängigen
Verbindung Überordnung/Unterordnung
einer Anwendung. Jede Anwendung besitzt ihre Sicherheitsdomäne. Das
bedeutet in der Tat die Vergabe einer Definition der Objekte der
Sicherheitsdomäne
der Anwendung. Die logische Gruppierung der Dateien kann dann Sicherheitsdomäne der Anwendung
oder auch Gültigkeitsdomäne des Sicherheitsschemas
der Anwendung genannt werden.
-
Jede
elementare Systemdatei umfasst vorteilhaft eine unterschiedliche
Zugangskontrollpolitikindikatorstruktur, wobei jeder Zugangskontrollpolitikindikator
für eine
der genannten Anwendungen angibt, welche Zugangskontrollpolitik,
nämlich
die erste oder eine andere, mit dieser Anwendung zu verwenden ist,
wobei
die genannte unterschiedliche Struktur der Zugangskontrollpolitikindikator
allen Dateien zugeordnet ist, deren übergeordneten Spezialdatei
oder übergeordnete
Masterdatei sich auf die genannte elementare Systemdatei bezieht.
-
Die
Erfindung betrifft ebenfalls eine Anwenderkarte mit Mikroprozessor
von der zum Zusammenwirken mit einem Terminal bestimmten Art, so
dass eine Terminalausrüstung
eines Kommunikationssystems gemäß Beschreibung
gebildet wird, wobei die genannte Karte
Datenspeichermittel
(8) mit einer Vielzahl von Objekten (MF, DF, EF) umfasst,
wobei die genannten Datenspeichermittel (8) als Träger für wenigstens
zwei unterschiedliche Anwendungen dienen, wobei die genannte Anwenderkarte
Ausführungsmittel
(6, 7) von zu den genannten Anwendungen gehörenden Befehlen
umfasst,
wobei jedes in den Datenspeichermitteln einer Anwenderkarte
inbegriffene Objekt einer ersten, durch den Satz einer Zugangsbedingungen
definierten Zugangskontrollpolitik zugeordnet ist, wobei jede der
genannten ersten Zugangsbedingungen für das genannte Objekt auf eine
Gruppe von wenigstens einem zu der oder den die erste Zugangskontrollpolitik
nutzende Anwendung en) gehörenden
Befehl angewendet werden,
und dadurch gekennzeichnet, dass
jedes Objekt der Datenspeichermittel der genannten Anwenderkarte
ebenfalls wenigstens einer anderen entfernten Zugangskontrollpolitik
zugeordnet ist, wobei jede andere Zugangskontrollpolitik durch einen
Satz von wenigstens einer alternativen Zugangsbedingung definiert
wird, wobei jede alternative Zugangsbedingung einer anderen vorgegebenen
Zugangskontrollpolitik für
das genannte Objekt auf eine Gruppe von wenigstens einem zu der
oder den die genannte andere Datenzugangskontrollpolitik nutzende
Anwendung en) gehörenden
Befehl angewendet wird,
und dass jedes Objekt ebenfalls einer
Vielzahl von Zugangskontrollpolitindikatoren zugeordnet ist, wobei
jeder Zugangskontrollpolitikindikator für eine der genannten Anwendungen
anzeigt, welche Zugangskontrollpolitik, nämlich die erste oder eine andere,
mit dieser Anwendung genutzt wird, wobei die genannten Zugangskontrollpolitikindikatoren
in den Datenspeichermitteln der genannten Anwenderkarte gespeichert
werden.
-
Die
Erfindung betrifft auch ein gesichertes und unabhängiges Verwaltungsverfahren
mit wenigstens zwei entfernten Anwendungen durch eine Anwenderkarte
mit Mikroprozessor von der zum Zusammenwirken mit einem Terminal
bestimmten Art, so dass eine Terminalausrüstung eines Kommunikationssystems
wie zuvor beschrieben gebildet wird,
dadurch gekennzeichnet,
dass die genannte Anwenderkarte für jede empfangene verbesserte
Meldung insesondere die folgende Stufe ausführt: Überprüfung der Zugänglichkeit
dieses entfernten Befehls für
das betreffende Objekt für
jeden, in der genannte verbesserten Meldung enthaltenen entfernten
Befehl, wobei die genannte Überprüfung der
Zugänglichkeit
diese entfernten Befehls für
das betreffende Objekt sich auf eine erste oder entfernte, für das genannte
Objekt mit der genannten laufenden entfernten Anwendung zu nutzende
Zugangskontrollpolitik stützt.
-
Für jede verbesserte
Meldung führt
die genannte Anwenderkarte vorteilhaft ebenfalls eine vorherige Diskriminierungsstufe
der genannten verbesserten Meldung durch, so dass ihre Verarbeitung
nur fortgeführt wird,
wenn die als laufende entfernte Anwendung bezeichnete entfernte
Anwendung, zu der die entfernten Befehle gehören, die sie enthält, eine
zugelassene entfernte Anwendung ist.
-
Wenigstens
bestimmte, zu folgenden Gruppe gehörende Elemente können vorteilhaft
mittels entfernter Befehle angelegt und/oder aktualisiert und/oder
gelöscht
werden:
- – die
Werte der insbesondere der ersten oder entfernten Zugangsbedingungen
der jedem Objekt zugeordneten Zugangskontrollpolitik;
- – der
mit jeder Anwendung für
jedes Objekt zu verwendende insbesondere erste oder entfernte Zugangskontrollpolitikindikator;
- – die
Liste der zugelassenen entfernten Anwendungen;
- – die
zugeordnete geheime Referenz und der zugeordnete Meldungsauthentifizierungsmodus
für jede
der zugelassenen entfernten Anwendungen der genannten Liste;
- – die
mit jeweils einer unterschiedlichen zugelassenen entfernten Anwendung
verbundene(n) elementare(n) Systemdatei(en);
- – die
elementaren Dateien, Spezialdateien und Masterdateien.
-
Somit
kann die Zugangssicherung zu den Objekten erfindungsgemäß durch
Aktualisierung oder Neukonfiguration auf die Entwicklung des Bedarfs
jeder Anwendung angepasst werden.
-
Darüber hinaus
können
vollständig
neue (zum Beispiel entfernte) Anwendungen hinzugefügt und vom Datenspeicher
der Speicherkarte unterstützt
werden. Diese neuen (entfernten) Anwendungen können auf dieselbe Weise wie
die (entfernten) ursprünglich
vorgesehenen Anwendungen von einer eigenen Zugangssicherheit profitieren
(zum Beispiel ein Authentifizierungsmodus, eine geheime Referenz
und ein spezifisches Sicherheitsschema).
-
Weitere
Merkmale und Vorteile der Erfindung werden bei der Lektüre der nachstehenden
Beschreibung eines beispielhaft und nicht einschränkend genannten
bevorzugten Ausführungsmodus
der Erfindung und den beigefügten
Zeichnungen deutlich, in denen:
-
1 ein
vereinfachtes synoptisches Schema eines besonderen Ausführungsmodus
eines erfindungsgemäßen zellularen
Funkkommunikationssystems darstellt;
-
2 die
Struktur eines erfindungsgemäßen besonderen
Realisierungsmodus einer vom SIM-Modul der 1 empfangenen
verbesserten kurzen Meldung darstellt;
-
3A schematisch
einen besonderen Ausführungsmodus
einer Datei des Datenspeichers der 1 mit seinen
Zugangskontrollpolitiken und seinen zugeordneten Indikatoren darstellt;
-
3B ein
Beispiel einer Vielzahl von einer Datei zugeordneten Indikatoren
wie in 3A dargestellt darstellt;
-
4 ein
erstes Aufteilungsbeispiel des Datenspeichers der 1 zwischen
mehreren Anwendungen darstellt;
-
5 ein
vereinfachtes Organigramm eines besonderen Ausführungsmodus der Behandlung
durch das SIM-Modul der 1 einer verbesserten kurzen
Meldung darstellt;
-
Die 6 und 7 die
Erläuterung
der in 5 erscheinenden Anwendungsfilterstufen und Meldungsauthentifizierungsstufen
erlauben;
-
Die 8 und 9 die
Erläuterung
der in 5 erscheinenden Sicherungsstufe der Ausführung eines
Befehls erlauben;
-
10 ein
zweites Aufteilungsbeispiel des Datenspeichers der 1 zwischen
mehreren Anwendungen erlauben.
-
In
dem besonderen, oben ausschließlich
beispielhaft beschriebenen Ausführungsmodus
ist das Kommunikationssystem ein zellulares Funkkommunikationssystem
vom Typ SMG. Es ist jedoch klar, dass die Erfindung nicht auf diese
besondere Art von Kommunikationssystem beschränkt ist, sondern ganz allgemein
alle Kommunikationssysteme mit einer Vielzahl von jeweils aus einem
mit einer Anwenderkarte mit Mikroprozessor zusammenwirkenden Terminal
gebildeten Terminalausrüstungen
betrifft.
-
In
dem Bemühen
um Vereinfachung wurde in 1 ausschließlich eine über ein
Netz 2 mit einem Servicecenter für kurze Meldungen 3 verbundene
mobile Station (MS) dargestellt. In Wirklichkeit umfasst das System
eine Vielzahl von jeweils aus einem mit einem Teilnehmeridentifizierungsmodul
(SIM-Modul) 5 zusammenwirkenden Terminal (ME) 4 gebildeten
mobilen Stationen 1.
-
Jedes
SIM-Modul 5 entspricht insbesondere auf klassische Weise:
- – allgemein
aus einem Mikroprozessor gebildeten Befehlsausführungsmitteln 6;
- – einem
die Anwendung SMG (oder allgemein die telefonische Hauptanwendung)
und eventuell andere lokale Anwendungen speichernden Programmspeicher 7.
Dieser Programmspeicher 7 ist zum Beispiel ein Speicher
ROM;
- – einem
als Träger
für alle
lokalen oder entfernten Anwendungen dienenden Datenspeicher 8,
die das SIM-Modul ausführen
kann. Mit anderen Worten, er speichert alle Daten, auf die die unterstützten Anwendungen
bei ihrer Ausführung
zugreifen können
müssen.
Zum Beispiel speichert er alle individuellen Informationen des Teilnehmers
(wie zum Beispiel insbesondere seine internationale Teilnehmernummer
(IMSI-Identifizierung), seinen individuellen Authentifizierungsschlüssel (Ki)
und den Authentifizierungsalgorithmus (A3), die für die Ausführung der
SMG-Anwendung notwendig sind. Dieser Datenspeicher 8 ist
zum Beispiel ein Speicher EEPROM;
- – den
Speicher- und Verarbeitungsmitteln 9 der empfangenen kurzen
Meldungen. Jede vom Terminal 4 empfangene kurze Meldung
wird nämlich
zur Verarbeitung durch die SMG-Anwendung an das SIM-Modul 5 gesendet.
Das SMS-C 3 setzt einen Service verbesserter kurzer Meldungen
um, der den Versand von zwei Arten von kurzen Meldungen an alle
mobilen Stationen 1 erlaubt, und zwar:
- – „normale" kurze Meldungen,
die ausschließlich
rohe Daten transportieren. Die rohen Daten einer normalen kurzen
Meldung entsprechen einer auf einem Bildschirm des Terminals 4 anzuzeigenden
Information, zum Beispiel um den Teilnehmer zum Zurückrufen
einer bestimmten Nummer aufzufordern;
- – „verbesserte" kurze Meldungen,
die zu so genannten entfernten Anwendungen (oder OTA) (da die auch als
entfernte Befehle bezeichneten Befehle, die sie bilden, nicht im
Programmspeicher 7 des SIM-Moduls gehören) gehörenden Befehle transportieren.
-
2 stellt
die Struktur eines besonderen erfindungsgemäßen Ausführungsmodus der Struktur einer vom
SIM-Modul 5 empfangen verbesserten kurzen Meldung dar.
Diese verbesserte kurze Meldung 20 umfasst eine Kopfzeile
SMS 21 (SMS Header im Englischen) und einen Körper 22 (TP-UD,
aus dem englischen „Transfer
layer Protocol – User
Date"). Die entfernten
Befehle Cmd1, Cmd2, usw. sind in den Körper 22 platziert.
Es handelt sich zum Beispiel um klassische (operationelle oder administrative),
in den Normen SMG 11.11, ISO 78.16-4 oder auch EN 726-3 definierte
Befehle, wie zum Beispiel SELECT, UPDATE BINARY, UPDATE RECORD,
SEEK, CREATE FILE, CREATE RECORD, EXTEND, usw. Die anderen von der
Erfindung betroffenen Felder werden in der nachfolgenden Beschreibung
im Einzelnen vorgestellt.
-
Der
Datenspeicher 8 umfasst eine Vielzahl von Dateien. Herkömmlicherweise
und wie in der Norm SMG 11.11 spezifiziert, ist jede dieser Dateien
einer Standardzugangskontrollpolitik zugeordnet. Diese wird durch
eine Vielzahl von jeweils auf einen entfernten Befehl, der auf diese
Datei zugreifen kann, Anwendung findende Standardzugangsbedingungen
(Standard AC) definiert. Jede Standardzugangsbedingung kann unterschiedliche
Werte annehmen (zum Beispiel „ALWays", „CHV1", oder auch „NEVer"). Keiner dieser
Werte hängt
von der Anwendung ab, zu der der Befehl gehört, der auf die Datei zugreifen
will.
-
Das
allgemeine Prinzip der Erfindung besteht ebenfalls in der Zuordnung
zu dem Datenspeicher 8 zu jeder Datei:
- – wenigstens
einer anderen Zugangskontrollpolitik, wobei jede andere Zugangskontrollpolitik
durch einen Satz von wenigstens einer alternativen Zugangsbedingung
definiert wird, wobei jede alternative Zugangsbedingungen einer
anderen bestimmten Zugangskontrollpolitik für diese Datei auf eine Gruppe
von wenigstens einem zu der oder den diese andere Zugangskontrollpolitik
nutzenden Anwendungen gehörenden
Befehl angewendet wird; und
- – für jede der
unterstützten
Anwendungen eines Zugangskontrollpolitikindikators der angibt, welche Zugangskontrollpolitik,
nämlich
die standardmäßige oder
eine andere, mit dieser Anwendung genutzt wird.
-
In
dem Bemühen
um Vereinfachung besitzen die Anwendungen im in der nachfolgenden
Beschreibung vorgestellten Beispiel für jede Datei jeweils keine
andere Zugangskontrollpolitik, die ihnen eigen ist (mit ihrem eigenen
Satz an alternativen Zugangsbedingungen), sondern teilen sich alle
auf vollständige
Weise (das heißt,
ohne Unterscheidung für
alle ihre Befehle) zwei andere gemeinsame Zugangskontrollpolitiken
(jede mit einer einzigen Zugangsbedingung, die auf alle Befehle
Anwendung findet).
-
3A stellt
schematisch einen besonderen Ausführungsmodus einer Datei 30 des
Datenspeichers 8 mit seinen Zugangskontrollpolitiken 31 und
seinen zugeordneten Indikatoren 32 dar. Die Tabelle des
Anhangs 1 stellt ein Beispiel einer Vielzahl von dieser Datei 30 zugeordneten
Zugangskontrollpolitiken dar. 3B stellt
ein Beispiel einer Vielzahl von der Datei 30 zugeordneten
Indikatoren 32 dar.
-
In
dem folgenden, im Zusammenhang mit der 3B und
der Tabelle des Anhangs 1 beschriebenen Beispiel von einer Datei 30 zugeordneten
Merkmalen wird berücksichtigt,
dass:
- – das
SIM-Modul die (einzige lokale Anwendung) SMG-Anwendung und drei
entfernte Anwendungen (entf. Anwend. 1, entf. Anwend. 1' und entf. Anwend.
1'') unterstützt;
- – eine
Standardzugangskontrollpolitik (PCA Standard) und zwei entfernte
Zugangskontrollpolitiken (entfernte PCA Nr. 1 und entfernte PCA
Nr. 2) vorhanden sind.
-
Wie
in der Tabelle des Anhangs 1 dargestellt ist in der Standardzugangskontrollpolitik
jeder (entfernte oder lokale) Befehl unabhängig von der Anwendung, zu
der er gehört
(SMG-Anwendung oder eine der entfernten Anwendungen) einer spezifischen
Standardzugangsbedingung (Zugangsbed. Std. 1, Zugangsbed. Std. 2, usw.)
zugeordnet. Auf herkömmliche
Weise besitzt jede Standardzugangsbedingung einen zur Gruppe mit: „ALWAYS" (immer zugelassener
Zugang), „CHV1", oder „CHV2" (nach Überprüfung des
Besitzers des SIM-Moduls zugelassener Zugang) und „NEVER" (niemals zugelassener
Zugang) gehörenden
Wert.
-
In
der entfernten Zugangskontrollpolitik Nr. 1 sind alle entfernten
Befehle (in dem Bemühen
um Vereinfachung) unabhängig
von der Anwendung, zu der sie gehören, ein und derselben entfernten
Zugangsbedingung zugeordnet (ebenfalls in dem Bemühen um Vereinfachung)
(Entf. Zugangsbed.). Diese entfernte Zugangsbedingung kann zum Beispiel
einen der drei folgenden Werte annehmen: „TEILUNG", „PRIVAT" und „NIEMALS". Somit besitzt sie
in diesem Beispiel den Wert „TEILEN".
-
Nun
wird der Sinn jeder dieser drei Werte erläutert:
- – „NIEMALS" (oder „kein Zugang") bedeutet, dass
die Datei 30 durch keinen Befehl zugänglich ist, unabhängig von
der Anwendung, zu der dieser Befehl gehört;
- – „PRIVAT" (oder „privater
Zugang") bedeutet,
dass die Datei 30 nur durch die zu einer einzigen vorbestimmten
Anwendung gehörenden
Befehle zugänglich
ist;
- – „TEILUNG" (oder „geteilter
Zugang") bedeutet,
dass die Datei 30 durch die zu wenigstens zwei vorbestimmten
Anwendungen gehörenden
Befehle zugänglich
ist.
-
Es
ist anzumerken, dass die drei Werte „TEILUNG", „PRIVAT" und „NIEMALS" in der nachfolgenden Beschreibung
im Zusammenhang mit den 9 bis 11 noch
besprochen werden.
-
In
der entfernten Zugangskontrollpolitik Nr. 2 sind alle entfernten
Befehle unabhängig
von der Anwendung, zu der sie gehören, ein und derselben entfernten
Zugangsbedingung (Entf. Zugangsbed. 2) zugeordnet. Diese entfernte
Zugangsbedingung kann zum Beispiel aus einer anderen Gruppe von
Werten (X, Y, Z, usw.) als der vorgenannten Gruppe (mit den Werten „TEILUNG", „PRIVAT" und „NIEMALS") einen Wert X annehmen.
-
Wie
in 3B vorgestellt, präzisiert für jede der unterstützten Anwendungen
(SMG-Anwend., entf. Anwend. 1, Ist.-Awend. 1' und entf. Anwend. 1'')
ein Zugangskontrollpolitikindikator, welche Zugangskontrollpolitik mit
dieser Anwendung zu benutzen ist (nämlich Standard-PCA, entfernte
PCA Nr. 1 oder entfernte PCA Nr. 2).
-
Somit
kann man eine Aufteilung des Datenspeichers 8 (und genauer
gesagt der Struktur der ein und dieselbe entfernte Zugangskontrollpolitik
nutzenden Dateien) in Abhängigkeit
von den von diesem Datenspeicher unterstützten unterschiedlichen entfernten
Anwendungen erreichen.
-
In
dem in 4 gezeigten Beispiel verwenden alle Dateien des
Datenspeichers die entfernte Zugangskontrollpolitik Nr. 1. Somit
erscheint der Datenspeicher von außen betrachtet (das heißt für die entfernten Anwendungen)
zwischen einer lokalen Anwendung und drei entfernten Anwendungen
(Treue, Zahlung und SMG) aufgeteilt. Es ist anzumerken, dass die
SMG genannte Anwendung in diesem Beispiel keine lokale sondern eine
entfernte Anwendung ist.
-
Der
Datenspeicher 8 besitzt im beispielhaft vorgestellten Ausführungsmodus
eine hierarchische Struktur in drei Ebenen und umfasst die folgenden
drei Dateientypen:
- – eine Masterdatei (MF) oder
Hauptverzeichnis;
- – eine
Vielzahl von Spezialdateien (DF, DFTreue, DFZahlung, DFSMG, DFTelekom),
die sekundäre,
unter der Masterdatei platzierte Verzeichnisse sind;
- – eine
Vielzahl von jeweils entweder unter einer der (dann als übergeordnete
Spezialdatei bezeichneten) Spezialdateien oder direkt unter der
(dann als übergeordnete
Masterdatei bezeichnete) Masterdatei platzierten elementaren Dateien
(EF).
-
Man
unterscheidet zwischen acht Gruppen von Dateien, und zwar:
- – Gruppe
A: die ausschließlich
durch die Befehle der entfernten Anwendung Treue zugänglichen Dateien, das
heißt,
die Dateien, deren entfernte Zugangsbedingung für die Anwendung Treue „PRIVAT" ist;
- – Gruppe
B: die ausschließlich
durch die Befehle der entfernten Anwendung Zahlung zugänglichen
Dateien;
- – Gruppe
C: die durch die Befehle der entfernten Anwendungen Treue und Zahlung
zugänglichen
Dateien, das heißt,
die Dateien, deren entfernte Zugangsbedingung für die Anwendungen Treue und
Zahlung „TEILUNG" ist;
- – Gruppe
D: die ausschließlich
durch die Befehle der entfernten Anwendung Telekom zugänglichen
Dateien;
- – Gruppe
E: die durch die Befehle der entfernten Anwendungen Telekom und
Treue zugänglichen
Dateien;
- – Gruppe
F: die durch die Befehle der entfernten Anwendungen Zahlung und
Treue zugänglichen
Dateien;
- – Gruppe
G: die durch die Befehle der entfernten Anwendungen Telekom, Zahlung
und Treue zugänglichen Dateien;
- – Gruppe
H: die durch die Befehle keiner entfernten Anwendung zugänglichen
Dateien, das heißt
die Dateien, deren entfernte Zugangsbedingung „NIEMALS" ist.
-
Es
ist anzumerken, dass die Dateien der Gruppe H für die Befehle der lokalen Anwendung
zugänglich bleiben
(unter dem Vorbehalt, dass die entsprechenden Standardzugangsbedingungen überprüft werden). Ebenso sollen
die Dateien der Gruppe H für
die entfernten Anwendungsbefehle zugänglich sein, die die Standardzugangskontrollpolitik
und nicht die entfernte Zugangskontrollpolitik nutzen (auch hier
unter dem Vorbehalt, dass die entsprechenden Standardzugangsbedingungen
geprüft
werden).
-
Nunmehr
wird im Zusammenhang mit dem Organigramm der 5 ein besonderer
Ausführungsmodus
des Verarbeitungsverfahrens einer verbesserten kurzen Meldung durch
das SIM-Modul vorgestellt. Für jede
empfangene verbesserte kurze Meldung führt das SIM-Modul insbesondere die folgenden Stufen
aus:
- – es
bestimmt (51), ob die (auch OTA-Signal genannte) empfangene
kurze Meldung eine verbesserte kurze Meldung ist (und somit zu einer
entfernten Anwendung gehörende
Befehle enthält)
oder eine normale kurze Meldung ist;
- – es
fährt mit
der Verarbeitung fort (52), wenn es sich um eine verbesserte
kurze Meldung handelt und bricht sie im gegenteiligen Fall ab (53);
- – es
bestimmt (54), ob die die Meldung ausgebende entfernte
Anwendung (das heißt,
die Anwendung, deren Befehle in der Meldung enthalten sind) eine
zugelassene entfernte Anwendung ist (Anwendungsdiskriminierungsstufe 54);
- – es
fährt mit
der Verarbeitung fort (55), wenn es sich um eine zugelassene
entfernte Anwendung handelt und bricht sie im gegenteiligen Fall
ab (56);
- – es überprüft (57)
die Authentizität
der Meldung durch Nutzung einer geheimen Referenz und eines der die
Meldung ausgebenden entfernten Anwendung zugeordneten Meldungsauthentifizierungsmodus
(Meldungsauthentifizierungsstufe 57);
- – es
fährt mit
der Verarbeitung (58) fort, wenn die Authentifizierung
korrekt ist und bricht sie im gegenteiligen Fall ab (59);
- – für jeden
in der Meldung enthaltenen entfernten Befehl:
- – interpretier
(510) er jeden in der Meldung enthaltenen (auch als Operation
bezeichneten) entfernten Befehl
- – überprüft (511)
es die Zugänglichkeit
dieses entfernten Befehls zur (ebenfalls als Datenfeld bezeichneten) betreffenden
Datei in Abhängigkeit
von der für
die betreffende Datei mit der entfernten, die Meldung ausgebenden
Anwendung zu benutzende standardmäßigen oder entfernten Zugangskontrollpolitik
(Sicherungsstufe 511 der Ausführung eines Befehls);
- – es
fährt mit
der Verarbeitung fort (512), wenn der entfernte Befehl
auf die Datei zugreifen kann und geht im gegenteiligen Fall in die
Erstellungsstufe 515 eines Protokolls über (513);
- – es
führt den
Befehl aus (514); und
- – erstellt
einen Ausführungsbericht
(515).
-
Die 6, 7 und 8 erlauben
die Erläuterung
der Anwendungsdiskriminierungsstufe 54 und Meldungsauthentifizierungsstufe 57.
-
Wie
in 6 dargestellt, speichert eine Datei 60 des
Datenspeichers 8 eine Liste zugelassener entfernter Anwendungen.
Diese als elementare Eingangsdatei (oder auch EF EMS Log.) bezeichnete
Datei 60 enthält
zum Beispiel die Adressen (TP-OA 1 bis TP-OA n) von jeder zugelassenen
entfernten Anwendungen der Lieferanten. Diese Adressen werden als
TP-OA bezeichnet, aus dem englischen „TP-Originating-Addresses". Im Übrigen umfasst
jede verbesserte kurze Meldung in ihrer Kopfzeile (siehe 2)
ein Feld „TP-OA".
-
Somit
identifiziert das SIM-Modul bei der Anwendungsdiskrimnierungsstufe 54 die
die Meldung ausgebende entfernte Anwendung, indem es sich vergewissert,
dass die Adresse TP-OA der Meldung mit einer der Adressen TP-OA
der elementaren Eingangsdatei 60 identisch ist
-
6 stellt
ebenfalls die Tatsache dar, dass das SIM-Modul für jede Adresse TP-OA (das heißt, für jede zugelassene
entfernte Anwendung) der elementaren Eingangsdatei 60 die
Möglichkeit
hat, im Datenspeicher 8 auf eine Struktur 61 bis 63 von
drei Parametern zuzugreifen: eine geheime Referenz (Kappli), einen Meldungsauthentifizierungsmodus
(algo_id) und ein Sicherheitsschema.
-
Somit
verwendet das SIM-Modul wie in 7 dargestellt
zur Durchführung
der Meldungsauthentifizierungsstufe 57 die geheime Referenz
(Kappli) und den Meldungsauthentifizierungsmodus (algo_id), die
der die Meldung ausgebenden Anwendung zugeordnet sind und die es
zuvor im Datenspeicher 8 vorgefunden hat. Ausgehend von
diesen beiden Parametern (Kappli und algo_id) und den Daten des
Körpers
der Meldung berechnet das SIM-Modul zum Beispiel ein Kryptogramm,
das mit einem im Körper
der Meldung enthaltenen Kryptogramm (siehe 2) (SMS-Cert)
identisch sein muss, damit die Authentifizierung der Meldung gelingt.
-
8 erlaubt
die Erläuterung
der Sicherungsstufe 511 der Ausführung eines Befehls. Jeder
Befehl (oder jede Operation) einer Meldung wird effektiv nur dann
ausgeführt,
wenn nach dem aktuellen Sicherheitszustand des SIM-Moduls sowie
den Informationen und den Sicherheitsattributen, die der die Meldung
ausgebenden entfernten Anwendung zugeordnet sind, dieser Befehl
zum Zugriff auf die Dateien zugelassen ist, auf denen er arbeitet.
Dies entspricht dem Sicherheitsschema der entfernten Anwendung.
-
In
der nachfolgenden Beschreibung wird ein besonderer Ausführungsmodus
der Erfindung vorgestellt, in dem jede zugelassene entfernte Anwendung
einer elementaren Systemdatei (EF SMS System) des Datenspeichers 8 zugeordnet
ist.
-
Jede
elementare Systemdatei speichert eine die Lokalisierung eines Moments
(geheime Referenz, Meldungsauthentifizierungsmodus algo_id) im Datenspeicher 8 erlaubende
erste Information, wobei dieses Moment der zugelassenen entfernten
Anwendung zugeordnet ist, mit dem diese elementare Systemdatei verbunden
ist.
-
In
diesem Ausführungsmodus
ist diese erste Lokalisierungsinformation eines Moments (Kappli, algo_id)
ein Identifikator einer Spezialdatei, unter der sich die dieses
Moment enthaltende Datei EF key_op befindet. Die Datei EF key_op
kann ihrerseits den Meldungsauthentifizierungsmodus oder nur einen
den Speicherort dieses Meldungsauthentifizierungsmodus anzeigenden
Zeiger algo_id speichern.
-
Im Übrigen umfasst
jede verbesserte kurze Meldung eine zweite Lokalisierungsinformation
der elementaren Systemdatei, mit der die die verbesserte kurze Meldung
ausgebende zugelassene entfernte Anwendung verbunden ist.
-
Wie
in 2 dargestellt ist diese sekundäre Lokalisierungsinformation
einer elementaren Systemdatei in diesem Ausführungsmodus ein Identifikator „Eingang
DF" (oder Login
DF in der englischen Sprache) einer Spezialdatei oder einer Masterdatei,
auf die sich gemäß einer
in den Datenspeichermitteln vorbestimmten Suchstrategie diese elementare
Systemdatei bezieht:
-
Das
SIM-Modul setzt zum Beispiel einen Suchmechanismus oberhalb um (vom
Typ „backtracking") um, bestehend aus:
- – der
Suche einer elementaren Systemdatei zunächst unter der Spezialdatei
oder der laufenden Masterdatei (das heißt, durch den Identifikator „Eingang
DF" angezeigte Datei),
- – dann,
wenn keine elementare Systemdatei unter der Spezialdatei oder der
laufenden Masterdatei existiert und wenn der Identifikator „Eingang
DF" die Masterdatei
nicht anzeigt, der Suche einer elementaren Systemdatei direkt unter
der Masterdatei.
-
Somit
liest das SIM-Modul in jeder gefilterten verbesserten kurzen Meldung
den Identifikator DF Id. Ausgehend von diesem Identifikator „Eingang
DF" findet es die
elementare Systemdatei, mit der die die Meldung ausgebende zugelassene
entfernte Anwendung verbunden ist. Das SIM-Modul liest in dieser
elementaren Systemdatei den Identifikator der Spezialdatei, unter
der sich die Datei EF key_op befindet. In dieser Datei EF key_op
liest es das Moment (Kappli, algo_id), so dass es die geheime Referenz
und den Meldungsauthentifizierungsmodus kennt, die für die Authentifizierung
der gefilterten verbesserten kurzen Meldung zu benutzen ist.
-
Eine
elementare Systemdatei kann maximal unter einer Spezialdatei platziert
werden. Ebenso kann eine elementare Systemdatei direkt unter der
Masterdatei platziert werden.
-
Wenn
eine elementare Systemdatei weder unter einer Spezialdatei noch
unter der Masterdatei vorhanden ist, sind die unter dieser Spezialdatei
platzierten EF unabhängig
vom Wert der jeder dieser elementaren Dateien zugeordneten entfernten
Zugangsbedingung durch keinen entfernten Befehl zugänglich.
-
Ebenso,
wenn eine elementare Systemdatei weder direkt noch unter der Masterdatei
vorhanden ist, dann, sind die direkt unter der Masterdatei platzierten
elementaren Dateien unabhängig
vom jeder dieser elementaren Dateien zugeordneten Wert der entfernten
Zugangsbedingung durch keinen entfernten Befehl zugänglich.
-
In
dem Fall einer Datei, deren entfernte Zugangsbedingung den Wert „PRIVAT" („privater
Zugang") besitzt,
ist die einzige entfernte Anwendung, deren entfernte Befehle unter
dem Vorbehalt auf diese Datei zugreifen können, dass ihre Authentifizierung
gelingt, die mit derselben elementaren Systemdatei verbundene zugelassene
entfernte Anwendung wie die, die sich auf die Spezialdatei oder
die übergeordnete
Masterdatei dieser Datei bezieht. Diese zugelassene entfernte Anwendung
wird als übergeordnete
Anwendung dieser Datei bezeichnet.
-
In
dem Fall einer Datei, deren entfernte Zugangsbedingung den Wert „TEILEN" („geteilter
Zugang") besitzt,
sind die vorbestimmten entfernten Anwendungen, deren entfernte Befehle
unter dem Vorbehalt auf diese Datei zugreifen können, dass ihre Authentifizierung
gelingt, alle zugelassenen entfernten Anwendungen, unabhängig von
der elementaren Systemdatei, mit der jeder von ihnen verbunden ist.
-
2 stellt
ein Beispiel eines zwischen zwei entfernten Anwendungen geteilten
Datenspeichers 8 dar, und zwar:
- – der Anwendung „DF1", von der sich das
System EF SMS Systems 91 auf die Spezialdatei DF1 bezieht; und
- – der
Anwendung „MF", deren elementare
Systemdatei 92 sich auf die Masterdatei MF bezieht.
-
Es
ist anzumerken, dass die durch die Anwendung „DF1" ausgegebenen Meldungen in ihrem Feld „Eingang
DF" den Wert DF1
umfassen, der die Spezialdatei ist, unter der sich die elementare
Systemdatei 91 dieser Anwendung „DF1" befindet.
-
Die
von der Anwendung „MF" ausgegebenen Meldungen
jedoch umfassen in ihrem Feld „Eingang
DF" den Wert MF/DF2
und nicht den Wert MF. Da sich nämlich
unter dieser Spezialdatei DF2 keine elementare Systemdatei befindet,
wird das SIM-Modul die elementare Systemdatei 92 dieser
Anwendung „MF" unter der Masterdatei
suchen („Backtracking"-Mechanismus).
-
In
diesem Beispiel unterscheidet man die vier folgenden Dateiengruppen:
- – Gruppe
A': die ausschließlich durch
die Befehle der entfernten Anwendung „DF1" zugänglichen
Dateien (DF1, DF2), das heißt
die Dateien, deren entfernte Zugangsbedingung für die Anwendung „DF1" „PRIVAT" ist;
- – Gruppe
B': die ausschließlich durch
die Befehle der entfernten Anwendung „MF" zugänglichen
Dateien (MF, DF2, EF5, EF7);
- – Gruppe
C': die durch die
Befehle der entfernten Anwendungen „DF1" und „MF" zugänglichen
Dateien (EF3, EF1, EF6), das heißt, die Dateien, deren entfernte
Zugangsbedingung für
die Anwendungen „DF1" und „MF" „TEILUNG" ist;
- – Gruppe
D': die durch die
Befehle keiner entfernten Anwendung zugänglichen Dateien (EF4), das
heißt
die Dateien, deren entfernte Zugangsbedingung „NIEMALS" ist.
-
Es
ist wichtig zu unterstreichen, dass die vorliegende Erfindung mittels
entfernter Befehle das Anlegen, das Aktualisieren oder auch das
Löschen
bestimmter oben erwähnter
Elemente ermöglicht,
und zwar insbesondere:
- – die Werte der standardmäßigen oder
entfernten Zugangsbedingungen, der mit jeder Datei verbundenen Zugangskontrolle;
- – den
mit jeder Anwendung für
jede Datei zu benutzende Indikator der standardmäßigen oder entfernten Zugangskontrollpolitik;
- – die
Liste der zugelassenen entfernten Anwendungen;
- – für jede der
zugelassenen entfernten Anwendungen die zugeordnete geheime Referenz
und den zugeordneten Meldungsauthentifizierungsmodus;
- – die
mit jeder unterschiedlichen zugelassenen entfernten Anwendung verbundenen
elementaren Systemdateien EF SMX System;
- – die
elementaren EF, Spezial- DF und Materdateien MF.
-
10 stellt
ein zweites Aufteilungsbeispiel des Datenspeichers 8 dar.
In diesem zweiten Beispiel wird der Datenspeicher 8 zwischen
vier entfernten Anwendungen aufgeteilt, und zwar:
- – der Anwendung „MF", deren elementare
Systemdatei EFSMX System 0 eine aktivierte Sicherheit aufweist und
sich auf die Masterdatei bezieht;
- – der
Anwendung „DF1", deren elementare
Systemdatei EF SMS System 1 eine deaktivierte Sicherheit aufweist
und sich auf die Spezialdatei DF1 bezieht;
- – der
Anwendung „DF2", deren elementare
Systemdatei EF SMS System 2 eine aktivierte Sicherheit aufweist
und sich auf die Spezialdatei DF2 bezieht; und
- – der
Anwendung „DF4", deren elementare
Systemdatei EF SMS System 4 eine deaktivierte Sicherheit aufweist
und sich auf die Spezialdatei DF4 bezieht.
-
Unter
aktivierter Sicherheit wird bei einer elementaren Systemdatei die
Tatsache verstanden, dass der in dieser elementaren Systemdatei
enthaltene Zugangskontrollpolitikindikator die Nutzung einer entfernten
Zugangskontrollpolitik vorsieht. Ebenso versteht man unter deaktivierter
Sicherheit bei einer elementaren Systemdatei die Tatsache, dass
der in dieser elementaren Systemdatei enthaltene Zugangspolitikkontrollindikator die
Nutzung der standardmäßigen Zugangskontrollpolitik
vorsieht.
-
Es
ist anzumerken, dass die Spezialdatei DF3 sowie alle unter der Spezialdatei
DF3 platzierte Dateien „MF" als übergeordnete
Anwendung haben, da unter der Spezialdatei DF3 keine elementare
Systemdatei vorhanden ist.
-
Jede
elementare Datei ist einem entfernten Zugangsbedingungswert („niemals", „privat" oder „geteilt") zugeordnet.
-
Die
Tabelle des Anhangs 2 fasst die unterschiedlichen Zugangssituationen
(zugelassener oder verweigerter Zugang) für jede elementare Systemdatei
der 10 in Abhängigkeit
von der in der Kopfzeile der Meldung spezifizierten Spezialdatei
(oder Masterdatei) zusammen.
-
Für jede elementare
Systemdatei, auf die durch den Befehl zugegriffen werden soll (erste
Spalte), wurde Folgendes angegeben:
- – den dieser
Datei zugeordneten Zugangsbedingungswert (ebenfalls erste Spalte);
- – das
EF ESMS System, auf das sich die Datei bezieht, auf die zugegriffen
werden soll (zweite Spalte); und
- – den
(aktivierten oder deaktivierten) Zustand der Sicherheit dieses EF
ESMS Systems (ebenfalls zweite Spalte).
-
Für jede in
der Kopfzeile der Meldung spezifizierte Spezialdatei (oder Masterdatei)
wurde die übergeordnete
Spezialdatei (oder Masterdatei) der elementaren Systemdatei angegeben,
in der die Meldungsauthentifizierung durchgeführt wird. Es ist anzumerken,
dass keinerlei Meldungsauthentifizierung für die Spezialdateien DF1 und
DF4 vorgenommen wird, deren elementare Systemdateien (jeweils 1
und 4) jeweils eine deaktivierte Sicherheit aufweisen.
-
Diese
Tabelle zeigt deutlich, dass:
- – wenn eine
elementare Systemdatei in einer Spezialdatei vorhanden ist, eine
elementare Datei dieser Spezialdatei, deren entfernte Zugangsbedingung „PRIVAT" ist, nicht über einen
in einer in einer Spezialdatei authentifizierten Meldung enthaltenen
entfernten Befehl zugänglich
ist;
- – wenn
keine elementare Systemdatei in einer Spezialdatei vorhanden ist,
sondern in einer Masterdatei existiert, eine elementare Datei dieser Spezialdatei,
deren entfernte Zugangsbedingung „PRIVAT" ist, nicht über einen in einer in einer
anderen, von der Masterdatei unterschiedlichen und ihrerseits eine
elementare Systemdatei enthaltende Spezialdatei authentifizierten
Meldung enthaltenen entfernten Befehl zugänglich sein kann;
- – wenn
eine elementare Systemdatei weder in einer Spezialdatei noch in
einer Masterdatei vorhanden ist, kann unter dieser Spezialdatei
keine Meldung authentifiziert werden, und eine elementare Datei
dieser Spezialdatei kann unabhängig
von der entfernten Zugangsbedingung nicht über einen entfernten Befehl
zugänglich
sein (mit anderen Worten, wenn keine elementare Systemdatei einer
Datei zugeordnet ist, ist jeder entfernte Zugang – über einen
entfernten Befehl – verboten);
- – auf
jeden Fall kann eine elementare Datei, deren entfernte Zugangsbedingung „TEILUNG" ist, über einen in
einer Meldung, die authentifiziert wurde, enthaltenen entfernten
Befehl zugänglich
sein.
-
Nachstehend
wird aus Vereinfachungsgründen
Folgendes festgehalten:
- – „LA" (aus dem englischen „Logi Appli"): die elementare
Systemdatei, die sich auf die in der Kopfzeile der Meldung spezifizierte
Spezialdatei DF bezieht, und
- – „PA" (aus dem englischen „Parent
Appli"): die elementare
Systemdatei, die sich auf die Datei bezieht, auf die zugegriffen
werden soll.
-
Die
Sicherheit kann dann allgemein vollständig ganz allgemein und formal
mit den folgenden sieben Regeln beschrieben werden:
- – R1.
wenn keine Datei PA gefunden werden kann:
- – Dann
ist der entfernte Zugriff verboten.
- – R2.
Wenn eine Datei PA gefunden wird, aber die entfernte Zugangsbedingung
der Datei, auf die zugegriffen werden soll, „PRIVAT" ist:
- – Dann
ist der entfernte Zugriff verboten
- – R3.
Wenn eine Datei PA gefunden wird und die entfernte Zugangsbedingung
der Datei, auf die zugegriffen werden soll, „PRIVAT" ist, und die Datei PA nicht dieselbe
ist wie die Datei LA:
- – Dann
ist der entfernte Zugang verboten.
- – R4.
Wenn eine Datei PA gefunden wird und die entfernte Zugangsbedingung
der Datei, auf die zugegriffen werden soll, „PRIVAT" ist, und die Datei PA dieselbe ist
wie die Datei LA, und die Sicherheit in der Datei LA deaktiviert
ist:
- – Dann
hängt der
entfernte Zugang von den standardmäßigen Zugangsbedingungen zur
Datei ab.
- – R5.
Wenn eine Datei PA gefunden wird und die entfernte Zugangsbedingung
der Datei, auf die zugegriffen werden soll, „PRIVAT" ist und die Datei PA dieselbe ist wie
die Datei LA, und die Sicherheit in der Datei LA aktiviert ist:
- – Dann
wird der entfernte Zugriff zugelassen.
- – R6.
Wenn eine Datei PA gefunden wird und die entfernte Zugangsbedingung
der Datei, auf die zugegriffen werden soll, „TEILUNG" ist, und die Sicherheit in der Datei
LA deaktiviert ist:
- – Dann
hängt der
entfernte Zugang von den standardmäßigen Zugangsbedingungen zur
Datei ab.
- – R7.
Wenn eine Datei PA gefunden wird und die entfernte Zugangsbedingung
der Datei, auf die zugegriffen werden soll, „TEILUNG" ist und die Sicherheit in der Datei
LA aktiviert ist:
- – Dann
ist der entfernte Zugang zugelassen.
-
-
