EP3132626A1

EP3132626A1 - Verfahren und vorrichtung zum betreiben eines mobilen endgeräts in einem mobilfunknetzwerk

Info

Publication number: EP3132626A1
Application number: EP15718141.3A
Authority: EP
Inventors: Thomas Stocker; Monika Eckardt
Original assignee: Giesecke and Devrient GmbH
Current assignee: Giesecke and Devrient Mobile Security GmbH
Priority date: 2014-04-16
Filing date: 2015-04-16
Publication date: 2017-02-22
Also published as: US10136323B2; DE102014005566A1; WO2015158434A1; US20170034705A1

Abstract

Die Erfindung betrifft ein Verfahren zum Betreiben eines Sicherheitsmoduls (300) eines mobilen Endgeräts (200) und ein Sicherheitsmodul (300). Das Sicherheitsmodul (300) dazu ausgestaltet, über eines einer Vielzahl von Mobilfunknetzwerken (110, 120) zu kommunizieren, wobei das Sicherheitsmodul (300) für unterschiedliche Mobilfunknetzwerke (110, 120) der Vielzahl von Mobilfunknetz werken (110, 120) unterschiedliche Systemkonfigurationen (331, 332, 333) aufweist. Das Sicherheitsmodul (300) empfängt Subskriptionsdaten zum Einbuchen in ein Mobilfunknetzwerk (110, 120) der Vielzahl von Mobilfunknetzwerken (110, 120), analysiert die Subskriptionsdaten (321, 322) und identifiziert das Mobilfunknetzwerk (110, 120) aus der Vielzahl von Mobilfunknetzwerken (110, 120). Anschließend wählt das Sicherheitsmodul (300) eine Systemkonfiguration (331, 332, 333) entsprechend dem im vorhergehenden Schritt identifizierten Mobilfunknetzwerk (110, 120) der Vielzahl von Mobilfunknetzwerken (110, 120) aus. Das Sicherheitsmodul (300) wird mit der ausgewählten Systemkonfiguration (331, 332, 333) in dem identifizierten Mobilfunknetzwerk (110, 120) betrieben.

Description

Verfahren und Vorrichtung zum Betreiben eines mobilen Endgeräts in einem

Mobilfunknetzwerk

Gebiet der Erfindung

Die Erfindung betrifft die Kommunikation über Mobilfunknetze im Allgemeinen. Insbesondere betrifft die Erfindung ein Verfahren und eine Vorrich tung zum Betreiben eines mobilen Endgeräts in einem Mobilfunknetzwerk mittels eines Sicherheitsmoduls zur Kommunikation über eines einer Vielzahl von Mobilfunknetzwerken.

Hintergrund der Erfindung Für eine Kommunikation mit einem mobilen Endgerät, beispielsweise ein Mobiltelefon, über ein Mobilfunknetzwerk, das von einem Netzwerkbetreiber betrieben wird, ist in der Regel erforderlich, dass das mobile Endgerät mit einem Sicherheitselement zum sicheren Speichern von Daten ausgestaltet ist. Diese Daten dienen zur eindeutigen Identifizierung des Benutzers des mobilen Endgeräts gegenüber dem Mobilfunknetzwerk. Beispielsweise kommt bei einem mobilen Endgerät, das dazu ausgestaltet ist, gemäß dem GSM-Standard (Global System for Mobile Communications) zu kommunizieren, bei dem es sich zur Zeit um einen der am weitesten verbreiteten Mobilfunkstandards handelt, ein Sicherheitselement mit dem Namen SIM (Sub- scriber Identity Module) üblicherweise in Form einer Chipkarte bzw. Smartcard zum Einsatz. Gemäß dem GSM-Standard, dessen technische Merkmale in einer Vielzahl von miteinander verknüpften und voneinander abhängigen Spezifikationen definiert werden, erhält die SIM-Karte Teilnehmeridentifikationsdaten bzw. Subskriptionsberechtigungsdaten („subscriptions creden- tials") zum Identifizieren und Authentisieren des Benutzers bzw. des Teilnehmers, einschließlich einer IMSI (International Mobile Subscriber Identity; Nummer zur eindeutigen (internen) Identifizierung von Netzteilnehmer) und eines Authentisierungsschlüssels. Bevor einem Teilnehmer seine SIM- Karte zur Verfügung gestellt wird, werden diese Subskriptionsberechti- gungsdaten üblicherweise vom SIM- Karten-Hersteller oder dem Netzbetreiber im Rahmen eines Personalisierungsprozesses als Teil eines Subskriptionsprofils auf der SIM-Karte sicher hinterlegt. Eine nicht-personalisierte SIM-Karte ist im Allgemeinen nicht für die bestimmungsgemäße Verwendung in einem mobilen Endgerät geeignet. Dies bedeutet, dass mit einer nicht-personalisierten SIM-Karte ohne Subskriptionsprofil auf von einem Mobilfunknetzwerk bereitgestellte Dienste nicht zugegriffen werden kann.

Ein bestimmtes Anwendungsgebiet von Sicherheitselementen, wie SIM- Karten, UICCs, eUICCs und dergleichen, das aller Voraussicht nach in der nahen Zukunft beträchtlich wachsen wird, ist die M2M-Kommunikation („machine to machine communication''). Unter einer M2M-Kommunikation ist die Kommunikation zwischen Maschinen über ein Mobilfunknetzwerk ohne menschliche Interaktion zu verstehen. Dabei können Daten automatisch zwischen zahlreichen unterschiedlichen Maschinenarten ausgetauscht werden, die mit einem Sicherheitselement in Form eines M2M-Moduls ausgestaltet sind, beispielsweise TV-Systeme, Set-Top-Boxen, Verkaufsautomaten, Fahrzeuge, Verkehrsampeln, Überwachungskameras, Sensor- und Steuerungsvorrichtungen und dergleichen. Es ist abzusehen, dass zumindest bei einigen derartigen Vorrichtungen es unmöglich oder zumindest sehr schwierig sein wird, das Sicherheitselement bereits bei der Herstellung mit einem Subskriptionsprofil zu versehen. Dies liegt insbesondere daran, dass in vielen M2M- Vorrichtungen das Sicherheitselement in Form eines oberflächenmontierten Chips (surface mounted chip) oder Chipmoduls implementiert wird. Zu diesem Zeitpunkt ist jedoch beispielsweise nicht klar, in welchem Land eine bestimmte M2M- Vorrichtung zum Einsatz kommen wird. Folglich ist es bei solchen M2M- Vorrichtungen mit nicht-personalisierten Sicherheitselementen erforderlich, dass diese erst beim Einsatz im Feld über die Luftschnittstelle mit einem Subskriptionsprofil versehen werden können. Für die Inanspruchnahme der von einem Mobilfunknetzwerkbetreiber bereitgestellten Dienste, insbesondere das Kommunizieren über das entsprechende Mobilfunknetzwerk, muss der Benutzer eines mobilen Endgeräts in der Regel eine monatliche Gebühr zahlen. Falls der Benutzer beispielsweise aufgrund von niedrigeren monatlichen Gebühren und/ oder anderen Diens- ten und/ oder einem anderen örtlichen Einsatz des mobilen Endgeräts zu einem anderen Mobilfunknetzbetreiber wechseln möchte, muss der Benutzer üblicherweise selbst die vom bisherigen Mobilfunknetzwerkbetreiber bereitgestellte SIM-Karte (Sicherheitsmodul) mit dem bisherigen Subskriptionsprofil zur Nutzung des Mobilfunknetzwerkes des bisherigen Mobilf unk- netzwerkbetreibers durch eine vom neuen Mobilfunknetzwerkbetreiber bereitgestellte SIM-Karte mit einem neuen Subskriptionsprofil zur Nutzung des Mobilfunknetzwerkes des neuen Mobilfunknetzwerkbetreibers ersetzen. Anstatt dieser herkömmlichen Vorgehensweise wäre es für den Benutzer ohne Frage einfacher und bequemer, ein Sicherheitselement zu haben, das über die Luftschnittstelle mit einem neuen Subskriptionsprofil umprogrammiert werden kann.

Aus dem Stand der Technik sind bereits Verfahren zum Herunterladen eines Subskriptionsprofils über eine Luftschnittstelle von einer Serverinstanz auf ein Sicherheitselement bekannt, auf dem bereits ein Subskriptionsprofil vorliegt. Nach dem Herunterladen des neuen Subskriptionsprofils wird ein Wechsel von dem bereits vorhandenen Subskriptionsprofil auf das neue Subskriptionsprofil durch das Sicherheitselement durchgeführt. Aufgrund des mobilen Einsatzes des Sicherheitsmoduls in dem mobilen Endgerät, ins- besondere bei einer M2M- Vorrichtung, kann jedoch das Problem auftreten, dass Nachrichten von der Serverinstanz über die Luftschnittstelle an das Sicherheitselement verloren gehen. Weiterhin ist zum Laden einer Subskription über die Luftschnittstelle eine bereits hergestellte Verbindung der M2M- Vorrichtung mit einem Mobilfunknetzwerk unter Verwendung einer bereits geladenen Subskription notwendig. Jedoch ist es unwahrscheinlich, dass die Verwendung der bereits geladenen Subskription von jedem anderen Mobilfunknetzwerkanbieter akzeptiert wird. Ohne vorherige Anmeldung im neuen Mobilfunknetzwerk kann keine neue Subskription geladen werden.

Eine Lösung dieses Problems stellt ein Sicherheitselement bereit, das mit mehreren Subskriptionsprofilen für eine Vielzahl von Mobilfunknetzwerken versehen ist. Jedes dieser Subskriptionsprofile ist voneinander abgeschottet, so dass beim Betrieb eines Subskriptionsprofils ein anderes Subskriptions- profil nicht einsehbar ist. Insbesondere für den Einsatz in international eingesetzten M2M- Vorrichtungen bedeutet dies das Vorhalten einer annähernd unendlichen Anzahl an Subskriptionsprofilen. Zur Einsparung von Speicherplatz werden die Subskriptionsprofile auf eine Anzahl bestimmter Mobilfunknetzwerkbetreiber beschränkt.

Der Aufbau und die Inhalte der Vielzahl an Subskriptionsprofilen sind sehr unterschiedlich, so dass ein Wechsel von Subskriptionsprofilen nur standardisierte Inhalte betrifft. Netzwerkbetreiberspezifische Funktionen und Inhalte, beispielsweise Verschlüsselungsalgorithmen oder Roaming-Daten, wer- den durch das Subskription-Management nicht unterstützt.

Vor diesem Hintergrund stellt sich der vorliegenden Erfindung die Aufgabe, ein verbessertes Verfahren und eine Vorrichtung bereitzustellen, mit der die Probleme des Standes der Technik gelöst werden. Insbesondere soll eine erleichterte Verwaltung von Subskriptionsprofilen ermöglicht werden.

Zusammenfassung der Erfindung

Die vorstehende Aufgabe wird durch den jeweiligen Gegenstand der unabhängigen Ansprüche gelöst. Bevorzugte Ausgestaltungen der Erfindung werden in den abhängigen Ansprüchen definiert.

Gemäß einem ersten Aspekt der Erfindung wird ein Verfahren zum Betreiben eines Sicherheitsmoduls eines mobilen Endgeräts bereitgestellt. Ein Subskriptionsprofil umfasst Subskriptionsdaten und eine Systemkonfiguration. Die Systemkonfiguration umfasst ausschließlich netzwerkspezifische Systemkonfiguration, die proprietäre Eigenschaften, Parameter und/ oder Algorithmen zum Einbuchen und zum Betrieb des Sicherheitsmoduls in einem Mobilfunknetzwerk umfassen. Dies bedeutet, dass in der Systemkonfiguration Daten enthalten sind, die besonders sensibel zu behandeln sind. Dritte, insbesondere andere Mobilfu knetzwerkbetreiber können diese Daten nicht einsehen oder verändern. Das Sicherheitsmodul weist für unterschiedliche Mobilfunknetzwerke unterschiedliche Systemkonfigurationen auf.

Bei den Subskriptionsdaten handelt es sich unter Anderem um Identifikationsdaten, damit sich der Benutzer des Mobiltelefons gegenüber dem Mobilfunknetzwerk beim Einbuchen identifiziert. Diese Identifikationsdaten können und teilweise, sollen für andere Mobilfunknetzwerke, insbesondere für Roaming verfügbar sein. Die Subskriptionsdaten können bevorzugt durch einen Dienstleister, bspw. Subskriptionsmanager, oder dem Mobilfunknetzwerkanbieter über eine Luftschnittstelle geladen, insbesondere aktualisiert werden. Weiterhin können diese Daten während des Einbuchungsvorgangs in ein Mobilfunknetzwerk durch dieses verändert, insbesondere durch ein erneutes Herunterladen aktualisiert, werden. Dazu könnte ein Datenausgleich mit einem HLR („Home Location Register", Heimatregister einer Mobilfunknummer) stattfinden.

Das Sicherheitsmodul empfängt in einem ersten Schritt Subskriptionsdaten zum Einbuchen in ein Mobilfunknetzwerk einer Vielzahl von Mobilfunknetzwerken. Die Subskriptionsdaten werden vorzugsweise dem Sicher-^ heitsmodul über eine Luftschnittstelle von einem Subskriptionsmanager o- der dem Anbieter des Mobilfunknetzwerkes, für das die Subskriptionsdaten bestimmt sind, übertragen. Das Sicherheitsmodul analysiert die Subskriptionsdaten und identifiziert das Mobilfunknetzwerk der Vielzahl von Mobilfunknetzwerken, in das sich das Sicherheitsmodul mittels der Subskriptionsdaten einbuchen kann.

Nach dem Auswählen und Identifizieren des Mobilfunknetzwerkes wählt das Sicherheitsmodul entsprechend den Subskriptionsdaten bzw. dem identifizierten Mobilfunknetzwerk eine Systemkonfiguration aus. Mit den Subskriptionsdaten und der Systemkonfiguration kann sich das mobile Endgerät in das Mobilfunknetzwerk einbuchen. Weiterhin wird das Sicherheitsmodul mit der ausgewählten Systemkonfiguration in dem identifizierten Mobilfunknetzwerk betrieben.

Bei einem erfindungsgemäßen Sicherheitselement handelt es sich beispielsweise um einen in Hardware ausgestalteten Datenträger. Das Sicherheitselement ist beispielsweise als ein fest integrierter Bestandteil in einem Endgerät angeordnet, wobei es entweder in der Form nicht vom Endgerät entnommen werden kann, beispielsweise als Teilnehmeridentifikationsmodul, M2M- Modul, Co-Prozessor, Trusted Base, Trusted Platform, Modul. Alterna- tiv ist das Sicherheitselement als ein entnehmbares Modul mit dem mobilen Endgerät verbunden, beispielsweise als Chipkarte, insbesondere als Teilnehmeridentifikationsmodul, Smartcard, Massenspeicherkarte, USB-Token, Multimediakarte, Secure Micro SD- Karte, Mobilfunknetztoken, z.B. ein UMTS-Surf stick und/ oder als elektronisches Identifikationsdokument, beispielsweise als elektronischer Personalausweis bzw. Reisepass mit in einem Speicherbereich abgelegten maschinenlesbaren Identifikationseinheiten einer Person.

Gemäß einer weiteren Alternative kann das Sicherheitselement als eine Kombination aus Hard- und Softwarekomponenten in einem vertrauenswürdigen Teil eines Betriebssystem des mobilen Endgeräts ausgebildet sein, die dem Fachmann als gesicherte Lauf zeitumgebung („Trusted Execution Environment"; TEE) bekannt ist. Das Sicherheitselement kann somit innerhalb einer solchen gesicherten Laufzeitumgebung in Form von darin ablaufenden Programmen, sogenannten Trustlets®, ausgebildet sein. Bei dem Sicherheitsmodul kann es sich grundsätzlich um einen in Baugröße und Res- sourcenumfang reduzierten Computer handeln, der einen Prozessor und mindestens eine Schnittstelle zur Kommunikation mit einem externen Gerät aufweist. Häufig besitzt er keine oder nur eine rudimentäre eigene Nutzerdatenausgabe. Das Sicherheitsmodul weist insbesondere einen Datenspeicher zum Ablegen von Daten, Informationen, Dateien und/ oder Applikationen mit dazugehörigen Variablen auf, wobei Bereiche des Datenspeichers flüchtig oder nicht-flüchtig sein können. Der nicht-flüchtige Datenspeicher kann insbesondere permanent, beispielsweise ein Read-Only-Memory, kurz ROM, oder semi-permanent sein, beispielsweise als ein Electrically-Erasable- Programmable-Read-Only-Memory, kurz EEPROM, Flashspeicher, Ferro- electric Random Access Memory, kurz FRAM bzw. FeRAM-Speicher oder Magnetoresistive Random Access Memory, kurz MRAM-Speicher ausgeführt sein.

Die Auswahl des Mobilfunknetzwerkes, in das eingebucht werden soll, kann durch den Benutzer vorgenommen werden. Dazu kann dem Benutzer eine Liste mit möglichen verfügbaren und/ oder zum Einbuchen erlaubten Mobilfunknetzwerken dargestellt werden. Der Benutzer kann anschließend ein gewünschtes Mobilfunknetzwerk auswählen. Die Auswahl des einzubuchenden Mobilfunknetzwerks aus der Vielzahl von Mobilfunknetzwerken kann alternativ automatisch erfolgen. Dazu könnte in dem mobilen Endgerät und/ oder im Sicherheitsmodul eine Prioritätsliste hinterlegt sein. In der Prioritätsliste ist eine Rangreihenfolge von zum Einbuchen möglichen und erlaubten Mobilfunknetzwerken eingetragen. Des Wei- teren kann im Sicherheitsmodul ein Auswahlalgorithmus hinterlegt sein, bei dem zusätzliche Informationen, beispielsweise örtliche Informationen des Mobilfunknetzes bzw. aktuelle Positionsinformationen des Sicherheitsmoduls und/ oder Verfügbarkeitsprognosen in die Auswahl des Mobilfunknetzwerks miteinbezogen werden. Weiterhin könnte bereits bei der Herstel- l ng des Sicherheitsmoduls eine Auswahl getroffen werden. Ein einheitliches Sicherheitsmodul mit einer Vielzahl an Systemkonfigurationen könnte hergestellt werden, wobei entsprechend den Betreiber des Sicherheitsmoduls (Mobilfunknetzwerkbetreiber) vom Hersteller des Sicherheitsmoduls eine Subskription geladen und/ oder eine bereits installierte Subskription akti- viert wird. Entsprechend der aktivierten Subskription wird die Systemkonfiguration ausgewählt.

Die unterschiedlichen Subskriptionsdaten umfassen vorzugsweise Identifikationsdaten und allgemeine Betriebsdaten zu dem jeweiligen Mobilfunk- netzwerk. Beispielsweise umfassen die Subskriptionsdaten eine eindeutige Identifikationsnummer des Sicherheitsmoduls und/ oder des Benutzers, z. B. eine IMSI („International Mobile Subscriber Identity"), oder eine Telefonnummer (MSISDN,„Mobile Station Integrated Services Digital Network Number"), einen Authentisierungsschlüssel (Ki), einen Identifikationsschlüssel, einen Netzwerkbetreibernamen, eine Stringinf ormation, eine Inf ormati- on zur Zusammenstellung der Dateistruktur und/ oder einer Zusammenstellung von Applikationen. Als Systemkonfiguration kommen insbesondere proprietäre Konfigurationen, wie Authentisierungsalgorithmen, zusätzliche Verschlüsselungsalgorithmen, Roaming-Daten, Informationen zum Remote- File-Management, besondere Betriebsdaten, z. B. Übermittlungsmethoden für Bezahltransaktionen, besondere Serveradressen und/ oder Seriennummern bzw. Lizenzschlüssel, in Betracht. Vorzugsweise sind in der Systemkonfiguration Informationen zu Einstellungen enthalten, welche über ein Standardwerk an Einstellungen der üblichen und standardisierten Subskriptionsdaten, insbesondere nach ETSI, hinausgehen.

Während es grundsätzlich möglich ist, die Subskriptionsdaten durch das jeweilige Mobilfunknetzwerk bzw. einen Betreiber des Mobilfunknetzwerks oder einen Subskriptionsmanager zu aktualisieren, ist die Systemkonfiguration nicht unmittelbar, vorzugsweise nicht, veränderbar.

Die Systemkonfiguration ist vorzugsweise im Betriebssystem des Sicherheitsmoduls implementiert. Je nach Sicherheitsanforderung eines Datums können diese auch beispielsweise mittels Link auf eine Library (Bibliotheksdatei) ausgelagert werden, wobei die Library nachgeladen werden kann. Die Systemkonfiguration weist vorzugsweise eine Systemkonfigurationsidentifikation auf, mit der beispielsweise das Betriebssystem oder eine Umschalteinheit, welche in das Betriebssystem implementiert sein kann, eine Zuord- nung von der Systemkonfiguration zu einem Mobilfunknetzwerk bzw. einem Subskriptionsprofil herstellen kann.

Bei der Herstellung eines Sicherheitsmoduls können somit insbesondere proprietäre Funktionen bzw. mobilfunknetzwerkspezifische Konfigurationen zu jeweils einem Mobilfunknetzwerk einer Vielzahl von Mobilfunknetzwerken auf dem Sicherheitsmodul gespeichert werden. Zum Einbuchen in das identifizierte Mobilf unknetzwerk wählt das Betriebssystem automatisch die dem identifizierten Mobilfunknetzwerk zugeordnete Systemkonfiguration aus. Das Sicherheitsmodul ist so zum Kommunizieren über eines einer Vielzahl von Mobilfunknetzwerken geeignet. Insbesondere bei der Verwendung mit einem M2M-Modul, beispielsweise in einem Kraftfahrzeug, kann ein Sicherheitsmodul hergestellt werden, das zum Einbuchen in und für den Betrieb einer großen Anzahl von Mobilfunknetzwerken in unterschiedlichen Ländern geeignet ist. Das Sicherheitsmodul wählt für ein bestimmtes, beispielsweise ein vom Benutzer ausgewähltes, Mobilfunknetzwerk eine dafür geeignete Systemkonfiguration aus. Somit kann der Hersteller das Sicherheitsmodul in einem M2M-Modul in Verbindung mit bestimmten Mobilfunknetzwerken mit besonderen Funktionen ausstatten. Insbesondere können besondere Regelungen zur Datenkommunikation geregelt sein. Je nach Land und Mobilfunknetzwerkanbieter wählt das Sicherheitsmodul ein entsprechendes Subskriptionsprofil.

Weiterhin ermöglicht das erfindungsgemäße Verfahren, dass beispielsweise bei einer Überführung ins Ausland nicht das Sicherheitsmodul gewechselt oder aufwändig neu konfiguriert werden muss. Zudem ist der Benutzer nicht verpflichtet, bei längerem Auslandseinsatz Roaming-Funktionen in Anspruch zu nehmen. Vielmehr ist es dem Benutzer nunmehr möglich, sich als Vertragspartner eines Mobilfunknetzwerkbetreibers in dessen Mobil- funknetzwerk einzubuchen, ohne vorheriges Laden von vollständigen Subskriptionsprofilen. Weiterhin ist mit der Erfindung die Funktionalität des Sicherheitsmoduls im Hinblick auf die Vielzahl von Mobilfunknetzwerken gesteigert, wobei gleichzeitig Speicherplatz eingespart wird.

Vorzugsweise stellt die Systemkonfiguration Einstellungen zur Kommunikation des Sicherheitsmoduls und/ oder des mobilen Endgeräts mit einem Mobilfunknetzwerk bereit. So werden, wie bereits erwähnt, von der Systemkonfiguration proprietäre Einstellungen, beispielsweise Algorithmen zur Au- thentisierung des Benutzers bzw. des Sicherheitsmoduls gegenüber einem Mobilfunknetzwerk, bereitgestellt. Weiterhin können durch die Systemkonfiguration Schlüssel und/ oder Codes zur gesicherten Datenübertragung zwischen dem Mobütelefon bzw. dem Sicherheitsmodul und dem Mobilfunknetzwerk enthalten sein. Vorzugsweise sind die Codes (Algorithmen) zur gesicherten Datenübertragung Verschlüsselungscodes. In einer Ausführungsform sind die Verschlüsselungscodes zusätzlich zu einer Standardverschlüsselung. Die Verschlüsselungscodes sind dabei nicht alternativ sondern optional. Es kann eine zusätzliche, über den Standard hinausgehende Verschleierung von z. B. Kommunikationsdaten und/ oder Transaktionsdaten ermöglicht werden. Bestenfalls wird die Sicherheit der Kommunikation erhöht.

Die Systemkonfiguration kann eine Funktion des Sicherheitsmoduls und/ oder des mobilen End eräts beeinflussen. Speziell könnten in der Systemkonfiguration beispielsweise Regeln zur Datenkommunikation für Bezahlverfahren eingetragen sein. Dies könnte beispielsweise eine Verschlüsselung von eingegebenen bzw. empfangenen Daten, Sicherheitseinstellungen zur Verwendung des Mobilfunknetzwerkes und / oder eines weiteren Netzwerkes, und/ oder eine Auswahl an zu benutzenden Adressen zur Kommu- nikation umfassen. So wäre beispielsweise zur Sicherheit des Benutzers und/ oder des Betreibers eines Mobilfunknetzwerks möglich, dass Bezahltransaktionen nur gegenüber bestimmten Finanzdienstleister möglich sind. Entsprechend ist ein Eintrag in der Systemkonfiguration enthalten. Aus den Daten der Systemkonfiguration könnte das mobile Endgerät bestimmte Einstellungen erkennen und entsprechend Funktionen freischalten oder sperren. So könnte beispielsweise das mobile Endgerät aus der Systemkonfiguration erkennen, ob eine Bezahltransaktion mittels einer über NFC verbundenen Kreditkarte möglich und/ oder zulässig ist. Erkennt das mobile End gerät, dass in diesem Mobilfunknetzwerk die Funktion nicht vorgesehen und / oder ausgeschlossen ist, so könnte das mobile Endgerät die NFC-FunktionaJität während einer Bezahltransaktion deaktivieren oder nicht zulassen.

Insbesondere kann die Systemkonfiguration Parameter für eine NFC- Transaktion umfassen. Insbesondere handelt es sich um NFC-Transaktionen, welche über das Sicherheitsmodul geroutet und/ oder mittels des Sicherheitsmoduls initiiert sind. Die„Routing" -Funktion des Sicherheitsmoduls kann ein aktives Weiterleiten von Daten an und/ oder von einer NFC- Schnittstelle, beispielsweise über ein mobiles Endgerät, sein. Das Sicherheitsmodul kann Datenempfänger aus den NFC-Transaktionsdaten (NFC- Daten) selbst ermitteln und die NFC-Daten an den Datenempfänger senden. Weiterhin kann das Sicherheitsmodul passiv„r outen". Das Sicherheitsmodul bestimmt dabei nicht selbst den Datenempfänger und leitet nur die NFC- Daten. Beispielsweise können Daten, welche das mobile Endgerät über die NFC-KorrLmumkatiomschnittstelle von einem Gerät empfängt, vom Sicherheitsmodul bearbeitet werden. Z. B. könnte eine Authentisierung, ein zusätzliches Bereitstellen eines Zertifikats zu den NFC-Daten und/ oder eine Verschlüsselung der NFC-Daten vorgesehen sein. Die bearbeiteten NFC-Daten werden von dem Sicherheitsmodul wieder an das mobile Endgerät übertragen und durch das mobile Endgerät über das Mobilfunknetzwerk an einem Empfänger versandt. Weiterhin kann das Sicherheitsmodul den NFC-Daten bspw. eine Empfängeradresse hinzufügen. Diese zusätzliche Information kann das Sicherheitsmodul der Systemkonfiguration entnehmen. Die Transaktion zwischen dem über die NFC-Schnittstelle und dem Empfänger könnte das Sicherheitsmodul mithilfe der Systemkonfiguration durchführen. Entsprechend könnte das Sicherheitsmodul eine NFC- Applikation aufweisen. Diese Applikation ist vorzugsweise Teil des Betriebssystems des Sicherheitsmoduls. Weiterhin könnte das Sicherheitsmodul gegenüber dem Mobiltelefon für diese Kornmunikation in einen Mastermodus, das Mobiltelefon in einen Slavemodus wechseln. Weiterhin könnte das Sicherheitsmodul lediglich zur Bearbeitung der zu transferierenden Daten eingesetzt werden.

Nachdem das Sicherheitsmodul das Mobilfunknetzwerk, in das eingebucht werden soll, identifiziert hat, kann zur Auswahl der Systemkonfiguration vorzugsweise eine Einheit zum Aktivieren und/ oder Deaktivieren von Systemkonfigurationen angesprochen werden. Diese Einheit zum Aktivieren und/ oder Deaktivieren aktiviert eine Systemkonfiguration entsprechend dem identifizierten Mobilfunknetzwerk, so dass sich das mobile Endgerät in das identifizierte Mobilfunknetzwerk einbuchen kann und darin betrieben werden kann. Die Einheit zum Aktivieren und/ oder Deaktivieren kann beispielsweise eine Umschalteinheit sein. Vorzugsweise ist die Einheit zum Aktivieren und/ oder Deaktivieren in das Betriebssystem des Sicherheitsmoduls implementiert bzw. ein Teil des Betriebssystems. Die Einheit zum Aktivieren und/ oder Deaktivieren kann eine Applikation sein und bevorzugt in einer gesicherten Umgebung des Sicherheitsmoduls bzw. des Betriebssystems ausgeführt werden. Zum Aktivieren der Systemkonfiguration kann die Auswahleinheit die Funktion eines Laufzeitschalters aufweisen, beispielsweise durch Herstellen einer Verlinkung. Dies bedeutet, dass während der Laufzeit des Sicherheitsmoduls aus der Vielzahl von Systemkonfigurationen eine Systemkonfiguration passend zu den Subskriptionsdaten bzw. dem identifizierten Mobilfunknetzwerk ausgewählt und aktiviert bzw. zugeschalten wird. Bucht sich das mobile Endgerät aus einem Mobilfunknetzwerk der Vielzahl an Mobilfunknetzwerken aus, beispielsweise bei einem Mobilfunknetzwerkbetrei- berwechsel bzw. Wechsel des Mobilfunknetzwerks, so wird die bis dahin gültige und aktivierte Systemkonfiguration deaktiviert. Somit wird verhindert, dass zwei Systemkonfigurationen für zwei unterschiedliche Mobilfunknetzwerke gleichzeitig aktiv sind.

Weiterhin kann vorgesehen sein, dass eine inaktive Systemkonfiguration verschlüsselt und/ oder verpackt oder insbesondere thematisch aufgeteilt vorliegt. Dementsprechend kann das Betriebssystem und/ oder eine Applikation eine Funktion umfassen, womit beim Ausbuchen aus einem Mobilfunknetzwerk die bisher gültige Systemkonfiguration nicht nur deaktiviert wird, sondern auch verschlüsselt und/ oder verpackt und/ oder aufgeteilt wird. Entsprechend könnte insbesondere die Einheit zum Aktivieren der Systemkonfiguration, das Betriebssystem und/ oder eine Applikation nach dem Auswählen einer Systemkonfiguration zum Einbuchen in ein Mobilfunknetzwerk und/ oder zum Betrieb des mobilen Endgeräts in dem Mobilfunknetzwerk die Systemkonfiguration und/ oder Teile der Systemkonfiguration entschlüsseln, zusammenführen und/ oder entpacken. Weiterhin kann auch vorgesehen sein, dass nach einem Wechsel der Systemkonfiguration die bisherige zumindest teilweise gelöscht wird. Die zu löschenden Inhalte sind vorzugsweise ein Authentisierungs- oder ein Verschlüsselungsalgorithmus. Weiterhin wird die eingangs genannte Aufgabe durch ein Sicherheitsmodul zur Verwendung in einem mobilen Endgerät gelöst. Das Sicherheitsmodul umfasst einen Speicher, wobei der Speicher zum Ablegen von Subskriptionsprofilen ausgebildet ist. Die Subskriptionsprofile sind zum Einbuchen in ein Mobilfunknetzwerk einer Vielzahl von Mobilfunknetzwerken ausgebildet. Ein Subskriptionsprofil umfasst Subskriptionsdaten und eine Systemkonfiguration. Eine Systemkonfiguration umfasst ausschließlich netzwerkspezifische Daten, die proprietäre Eigenschaften, Parameter und/ oder Algorithmen zum Einbuchen und zum Betrieb des Sicherheitsmoduls in einem Mobilfunknetzwerk umfassen. Dies bedeutet, dass in den Systemkonfigurationen besonders sensible Daten enthalten sind. Dritte, insbesondere andere Mobilfunknetzwerkbetreiber können diese Daten nicht einsehen oder verändern. Bei den Subskriptionsdaten handelt es sich unter Anderem um Identifikationsdaten, damit sich der Benutzer des Mobiltelefons gegenüber dem Mobilfunknetzwerk beim Einbuchen identifiziert. Diese Identifikationsdaten können und teilweise sollen für andere Mobilfunknetzwerke, insbesondere für Roaming verfügbar sein. Die Subskriptionsdaten können bevorzugt durch einen Dienstleister, bspw. Subskriptionsmanager, oder dem Mobilfunknetzwerkanbieter über eine Luftschnittstelle geladen, insbesondere aktualisiert werden. Weiterhin können diese Daten während des Einbuchungs- vorgangs in ein Mobilfunknetzwerk durch dieses verändert, insbesondere durch ein erneutes Herunterladen aktualisiert, werden. Dazu könnte ein Datenausgleich mit einem HLR („Home Location Register", Heimatregister einer Mobilfunknummer) stattfinden. In dem Speicher können verschiedene Systemkonfigurationen abgelegt sein, ohne dass zugehörige Subskriptionsdaten im Speicher hinterlegt sind.

Das Sicherheitsmodul umfasst eine Analyseeinheit zur Analyse der Subskriptionsdaten für ein Mobilfunknetzwerk der Vielzahl von Mobilfunk- netzwerken, in das sich das Sicherheitsmodul einbuchen kann. Weiterhin umfasst das Sicherheitsmodul eine Auswahleinheit zum Auswählen der Systemkonfiguration entsprechend der Subskriptionsdaten des Mobilfunknetzwerkes, in das sich das Sicherheitsmodul mittels der Subskriptionsdaten einbuchen kann. Vorzugsweise ist der Speicher zum Ablegen der Systemkonfiguration als gesicherter Speicher ausgebildet, wobei der gesicherte Speicher Teil des Speichers sein kann. Somit kann gewährleistet werden, dass kein unberechtigter Dritter Inhalte der Systemkonfiguration einsehen und/ oder editieren kann. Besonders soll verhindert werden, dass ein Mobilfunknetzwerkbetreiber Inhalte einer Systemkonfiguration eines anderen Mobilfunknetzwerkbetreibers einsehen und bearbeiten kann. Insbesondere kann vorgesehen sein, dass die Systemkonfigurationen zueinander getrennt vorliegen und somit voneinander abgeschottet sind. Das Sicherheitsmodul, vorzugsweise das Betriebssystem des Sicherheitsmoduls, ist demnach zuständig für die Auswahl der zu verwendenden Subskription(-daten) und /oder entsprechend der ausgewählten Subskription(-daten) für die Auswahl der Systemkonfiguration zuständig.

In einer Ausführungsform kann vorgesehen sein, dass die Einheit zum Aktivieren einer Systemkonfiguration eine bestimmte Laufzeit aktiv ist. Somit ist die Systemkonfiguration nur für eine bestimmte Zeit gültig. Nach Ablauf der Zeit wird die Systemkonfiguration wieder deaktiviert und der Betrieb beispielsweise eines mobilen Endgeräts in dem identifizierten Mobilfunknetzwerk wäre mit dieser Systemkonfiguration nicht mehr möglich. Ein Herausgeber des Sicherheitsmoduls, aber auch ein Herausgeber der Systemkonfiguration könnte auf die Betriebsdauer des Sicherheitsmoduls, beispielsweise mittels nachladbarer Betriebsparameter in einem bestimmten Mobilfunknetzwerk, Einfluss nehmen und die Laufzeit verlängern. Weiterhin könnte ein Mobilfunknetzwerkbetreiber als Herausgeber des Sicherheitsmoduls ei- nem Benutzer eine zeitlich begrenzte Verwendung anderer Mobilfunknetze ermöglichen.

Weiterhin kann vorgesehen sein, dass im Speicher des Sicherheitsmoduls eine Systemkonfiguration als Basiskonfiguration ausgebildet ist. Die Basiskonfiguration kann vom Sicherheitsmodul in Verbindung mit einem Mobilfunknetzwerk verwendet werden, zu dem keine Systemkonfiguration vorliegt. Somit kann das Sicherheitsmodul und/ oder das mobile Endgerät zur Verwendung von beispielsweise Diensten eines bisher unbekannten Mobil- funknetzwerkes vorbereitet und eingestellt werden. Insbesondere könnten in der Basiskonfiguration Regeln zur Übertragung von Daten hinsichtlich einer M2M-Kommunikation eingetragen sein.

In einer Ausführungsform kann vorgesehen sein, dass wenigstens ein Teil einer Systemkonfiguration in einen für andere Systemkonfiguration nutzbaren und einsehbaren Speicher abgelegt ist. Dieser für andere Systemkonfiguration einsehbare und nutzbare Speicher, ein sogenannter„Common- Bereich" ermöglicht eine einfache Verwaltung von Parameter und Einstellungen der Systemkonfiguration. Weiterhin können somit mobilfunknetz- werkübergreifend Betriebsdaten zur Verfügung gestellt werden. Um den

Common- Bereich zu nutzen, könnte in der eigentlichen Systemkonfiguration für ein Mobilfunknetzwerk eine Verlinkung oder ein Zeiger zu dem Com- mon-Bereich gesetzt sein. Weitere Merkmale und Vorteile der Erfindung ergeben sich aus der folgenden Beschreibung verschiedener erfindungsgemäßer Ausführungsbeispiele und -alternativen im Zusammenhang mit den Figuren. Darin zeigen: Fig. 1 eine erste schematische Darstellung eines Kommunikationsnetzwerkes; eine weitere schematische Darstellung eines Kommunikationsnetzwerkes unter Verwendung eines Sicherheitsmoduls gemäjß der Erfindung; und

Fig. 3 eine mögliche Zuordnung von Subskriptionsdaten zu Systemkonfiguration.

In der Fig. 1 ist eine schematische Darstellung eines Kommu ikationssys- tems 100 gemäß der Erfindung dargestellt. Ein Mobiltelefon 200 weist ein Sicherheitsmodul 300 auf. Das Sicherheitsmodul 300 umfasst einen Speicher 310. Der Speicher 310 umfasst einem Subskriptionsdatenspeicher 320 zum Speichern von ersten Subskriptionsdaten 321 und zweite Subskriptionsdaten 322. Weiterhin weist das Sicherheitsmodul 300 im Speicher 310 einen Systemkonfigurationsspeicher 330 auf. In dem Systemkonfigurationsspeicher 330 ist eine erste Systemkonfiguration 331, eine zweite Systemkonfiguration 332 und eine dritte Systemkonfiguration 333 abgespeichert. Die erste Sys- temkonfiguration 331 ist einem ersten Mobilfunknetzwerk 110 zugeordnet, die zweite Systemkonfiguration 332 ist einem zweiten Mobilfunknetzwerk 120 zugeordnet und die dritte Systemkonfiguration 333 ist keinem bestimmten Mobilfunknetzwert zugeordnet. Die dritte Systemkonfiguration 333 ist in diesem Ausführungsbeispiel als Basissystemkonfiguration zu verstehen. In der ersten oder zweiten Systemkonfiguration 331, 332 sind jeweils mobil- funknetzwerkspezifische, in der Regel unveränderliche Informationen enthalten, die zum Einbuchen in das Mobilfunknetz und für das Betreiben des Sicherheitsmoduls 300 und/ oder des Mobiltelefons 200 in dem ersten oder zweiten Mobilfunknetzwerk 110, 120 notwendig sind. Insbesondere kommen hier ein Authentifizierungsalgorithmus, Roaming-Daten, Sprachcodes, Übertragungskanäle und/ oder Seriennummern in Betracht.

Die ersten und zweiten Subskriptionsdaten 321, 322 umfassen Daten, die zum Einbuchen in das erste oder zweite Mobilfunknetzwerk 110, 120 notwendig sind. Die Subskriptionsdaten 321, 322 werden zumindest teilweise vom Betreiber des ersten oder zweiten Mobilfunknetzwerk 110, 120 bereitgestellt. Insbesondere enthalten die ersten und zweiten Subskriptionsdaten 321, 322 jeweils einen Netzwerkschlüssel, eine IMSI zur eindeutigen Identifi- zierung eines Mobilfunkteilnehmers und/ oder die Mobilfunknummer (MSISDN).

Das erste und zweite Mobilfunknetzwerk 110, 120 umfassen jeweils ein HLR („home location register") 111, 121. Bei dem HLR III, 121 handelt es sich um eine primäre Datenbank des Betreibers, in der Informationen zur Anmeldung bzw. Authentisierung der Mobilfunkteilnehmer gespeichert sind.

Möchte sich der Benutzer des Mobiltelefons 200 in ein Mobilfunknetzwerk einbuchen, wählt der Benutzer des Mobiltelefons 200 das erste Mobilfunk- netzwerk 110 oder zweite Mobilfunknetzwerk 120 aus. Vorliegend wählt der Benutzer das erste Mobilfunknetzwerk 110 aus. Das Mobiltelefon 200 und das Sicherheitsmodul 300 empfangen Subskriptionsdaten zum ersten Mobilfunknetzwerk 110. Diese Subskriptionsdaten werden im Sicherheitsmodul 300 als erste Subskriptionsdaten 321 abgespeichert. Anschließend analysiert das Sicherheitsmodul 300 die ersten Subskriptionsdaten 321 und erkennt aus den ersten Subskriptionsdaten 321, dass in das erste Mobilfunknetzwerk 110 eingebucht und das Sicherheitsmodul 300 und Mobiltelefon 200 in dem ersten Mobilfunknetzwerk 110 betrieben werden soll. Mit anderen Worten: das Sicherheitsmodul 300 erkennt anhand der ersten Subskriptionsdaten 321, dass die ersten Subskriptionsdaten 321 das Einbuchen in das erste Mobil- funknetzwerk 110 ermöglichen, beispielsweise indem in den ersten Subskriptionsdaten 321 der Name des Betreibers des ersten Mobilfunknetzwerkes 110 hinterlegt ist. Entsprechend wählt das Sicherheitsmodul 300 die ers- ten Systemkonfiguration 331 als Ergänzung zu den ersten Subskriptionsdaten 321 aus. Aus den Systemkonfiguration 331 erhält das Sicherheitsmodul 300 beispielsweise einen Authentisierungsalgorithrnus, so dass das Sicherheitsmodul 300 zum Beispiel in Verbindung mit dem Netzwerkschlüssel sich gegenüber dem ersten Mobilfunknetzwerk 110 authentisieren und in dieses einbuchen kann.

Möchte der Benutzer des Mobiltelefons 200 vom ersten Mobilfunknetzwerk 110 zum zweiten Mobilfunknetzwerk 120 wechseln, beispielsweise aufgrund einer Grenzüberschreitung, so muss sich das Mobiltelefon 200 aus dem ers- ten Mobilfunknetzwerk 110 ausbuchen und in das zweite Mobilfunknetzwerk 120 einbuchen. Dazu empfängt das Sicherheitsmodul 300 Subskriptionsdaten vom zweiten Mobilfunknetzwerk 120 und aktualisiert damit die zweiten Subskriptionsdaten 322. Vorzugsweise sucht das Sicherheitsmodul 300 nach bereits vorhandenen Subskriptionsdaten zum zweiten Mobilfunk- netzwerk 120. Sind bereits welche zum zweiten Mobilfunknetzwerk 120 gespeichert, werden diese gespeicherten Subskriptionsdaten vorzugsweise gelöscht und die neuen Subskriptionsdaten gespeichert. Sind noch keine Subskriptionsdaten zum zweiten Mobilfunknetz werk 120 gespeichert, wird ein freier Speicherplatz gesucht und dort gespeichert. Alternativ könnten andere Subskriptionsdaten gelöscht und der somit frei gewordene Speicherplatz zum Speichern der Subskriptionsdaten des zweiten Mobilfunknetzwerks 120 genutzt werden. Vorliegend werden Subskriptionsdaten des zweiten Mobilfunknetzwerks 120 in einen freien Speicherplatz als zweite Subskriptionsdaten 332 abgespeichert. Mit dem Wechsel vom ersten Mobilfunknetzwerk 110 auf das zweite Mobilfunknetzwerk 120 analysiert das Sicherheitsmodul 300 die zweiten Subskriptionsdaten 332. Aufgrund des Ergebnisses der Analyse erkennt das Sicherheitsmodul 300, dass die zweite Systemkonfiguration 331 zum Einbuchen des Sicherheitsmoduls 300 in und zum Betrieb des Sicherheitsmoduls 300 im zweiten Mobilfunknetzwerk verwendet werden soll. Dementsprechend wechselt das Sicherheitsmodul 300 von den ersten Systemkonfiguration 331 auf die zweite Systemkonfiguration 332.

Sowohl die zweiten Subskriptionsdaten 322 als auch die zweite Systemkonfiguration 332 enthalten Informationen zum Einbuchen und Betrieb des Mobiltelefons 200 und des Sicherheitsmoduls 300 in dem zweiten Mobilfunknetzwerk 120. Über die zweite Systemkonfiguration 332 werden zusätzliche Parameter, beispielsweise ein Authentisierungsalgorithmus oder Roaming- Daten bereitgestellt.

Von einem Subskriptionsserver 130 eines Subskriptionsmanagers können Subskriptionsdaten betreffend das erste Mobilfunknetzwerk 110, das zweite Mobilfunknetzwerk 120 und/ oder ein weiteres Mobilfunknetzwerk bereitgestellt und auf das Sicherheitsmodul 300 übertragen werden. Beispielsweise könnte vom Subskriptionsserver 130 ein Update betreffend die ersten Subskriptionsdaten 321 auf das Sicherheitsmodul 300 geladen werden.

Im Speicher 310 des Sicherheitsmoduls 300 sind die ersten und zweiten Subskriptionsdaten 321, 322 im Subskriptionsdatenspeicher 320 abgelegt. Im Systemkonfigurationsspeicher 330 sind erste, zweite und dritte Systemkonfi- gurationen 331, 332, 333 abgespeichert. Dabei bilden die ersten Subskriptionsdaten 321 mit der ersten Systemkonfiguration 331 ein erstes Subskriptionsprofil und die zweiten Subskriptionsdaten 322 mit der zweiten Systemkonfiguration 332 ein zweites Subskriptionsprofil. Die dritte Systemkonfigu- ration 333 ist eine Basiskonfiguration 333. In der Basiskonfiguration 333 sind Einstellungen beispielsweise hinsichtlich der Seriennummer des Sicherheitsmoduls 300 oder grundlegende Parameter zur Datenübertragung zu beispielsweise Werte von Betriebszuständen von Maschinen zur M2M- Kornmunikation, in fremde und bisher unbekannte Mobilfunknetzwerke eingetragen.

Möchte sich nun ein Benutzer des Mobiltelefons 200 an ein dem Sicherheitsmodul 300 unbekannten Mobilfunknetzwerk mittels des Mobiltelefons 200 einbuchen, so könnte das Sicherheitsmodul 300 Subskriptionsdaten betreffend das unbekannte neue Mobilfunknetzwerk von einem Subskriptionsserver 130 herunterladen und sich mit Hilfe der neu geladenen Subskriptionsdaten und der Systemkonfiguration 333 in das neue Mobilfunknetzwerk einbuchen.

In der Fig. 2 ist eine weitere schematische Darstellung der Erfindung im Hinblick auf das Sicherheitsmodul 300 dargestellt. Die Ausführung aus Fig. 2 ist ähnlich der Ausführung aus Fig. 1, jedoch wird näher auf die Zusammenhänge bzw. den Aufbau im Sicherheitsmodul 300 eingegangen. Ein mobiles Endgerät 200 in Form eines Mobiltelefons 200 umfasst ein Sicherheitsmodul 300. Das Sicherheitsmodul 300 umfasst eine zentrale Recheneinheit 340 (CPU) mit einem Betriebssystem 341 (OS) und einem Speicher 310. In dem Speicher 310 ist ein Subskriptionsdatenspeicher 320 mit einem Speicherplatz für erste Subskriptionsdaten 321 und zweite Subskriptionsdaten 322 vorhanden. Im Gegensatz zum Aufbau gemäß Fig. 1 sind im Betriebssystem 341 ist eine erste Systemkonfiguration 331, eine zweite Systemkonfiguration 332 und eine Basiskonfiguration 333 enthalten. Die erste Systemkonfiguration 331 umfasst hinsichtlich eines ersten Mobilfunknetzwerkes 110 spezifische Konfigurationen, die zweite Systemkonfiguration 332 weist hinsichtlich eines zweiten Mobilf unknetz werkes 120 spezifische Konfigurationen auf. Die Basiskonfiguration 333 hingegen umfasst Daten für eine standardkonforme Konfiguration weiterer Mobilfunknetzwerke. Zum Einbuchen und Betreiben eines Mobil telefons 200 und/ oder Sicherheitsmoduls 300 in dem ersten Mo- bilfunknetzwerk 110 empfängt das Sicherheitsmodul 300 über das Mobiltelefon 200 Subskriptionsdaten betreffend das erste Mobilf unknetz werk 110. Die empfangenen Subskriptionsdaten werden als Subskriptionsdaten werden mit den Inhalten der erste Subskriptionsdaten 321 gespeichert. Anschließend werden die ersten Subskriptionsdaten 321 entsprechend dem ersten Mobil- funknetzwerk als weiterhin zu verwendende Subskriptionsdaten ausgewählt. Das Betriebssystem 341 analysiert über eine im Betriebssystem 341 integrierte Analyseeinheit die ersten Subskriptionsdaten und identifiziert das erste Mobilf unknetz werk 110 als Mobilfunknetzwerk in das eingebucht werden soll. Alternativ kann die Analyseeinheit als eigenständige Applikati- on oder in Verbindung mit einer anderen Applikation bereitgestellt sein.

Anschließend bestimmt eine Applikation 342 als Auswahleinheit des Betriebssystems 341 die erste Systemkonfiguration 331 passend zum identifizierten ersten Mobilfunknetzwerk 110. Zum Aktivieren der ersten System- konfiguration 331 weist die Applikation 342 eine Umschalteinheit 343 an, die erste Systemkonfiguration 331 zu aktivieren. Zeitgleich werden durch die Umschalteinheit 343 die zweite Systemkonfiguration 332 und Basiskonfiguration 333 deaktiviert. Grundsätzlich könnte die Umschalteinheit 343 in die Applikation 342 integriert und/ oder Bestandteil des Betriebssystems 341 sein.

Während die erste Systemkonfiguration aktiviert ist, liegt die zweite Systemkonfiguration 332 und Basiskonfiguration 333 jeweils versteckt und geschützt vor einem Zugriff Dritter vor. Insbesondere soll verhindert werden, dass die in der zweiten Systemkonfiguration 332 und die in der Basiskonfiguration 333 abgelegten Informationen nicht vom Mobiltelefon 200 oder dem ersten Mobilfunknetzwerkbetreiber einsehbar sind. Die Applikation 342 und die Umschalteinheit 343 werden in einer gesicherten Umgebung des Sicher- heitsmoduls bzw. des Betriebssystems 341 ausgeführt und können dementsprechend als Trustlets® bereitgestellt sein. Während die ersten und zweiten Subskriptionsdaten 321, 322 von einem Mobilfunknetzbetreiber oder einem Subskriptionsmanager geändert und/ oder überschrieben werden können, ist es nach dem Herstellen des Sicherheitsmoduls 300 nahezu unmöglich, die erste Systemkonfiguration 331, zweite Systemkonfi uration 332 und/ oder Basiskonfiguration 333 zu ändern. Eine derartige Änderung wäre einem Eingriff in das Betriebssystem 341 gleichgesetzt. Um dennoch bestimmte Änderungen an der ersten und zweiten Systemkonfiguration 331, 332 und/ oder an der Basiskonfiguration 333 vornehmen zu können, könnten einzelne Teilin alte beispielsweise als Library-Dateien im Dateisystem bereitgestellt sein.

Die Auswahl der Systemkonfiguration durch die Applikation 342 könnte auch durch eine Analyse der Subskriptionsdaten zum Mobilfunknetzwerk, in das sich das Mobiltelefon 200 und/ oder Sicherheitsmodul 300 einbuchen kann, beispielsweise anhand des Dateisystems, durchgeführt werden. Alternativ könnte die Applikation 342 eine Identifikationsinformation aus den ersten Subskriptionsdaten des ausgewählten Mobilfunknetzwerks auslesen. Das Aktivieren bzw. Umschalten zwischen den einzelnen Systemkonfigura- tionen 331, 332 und/ oder der Basiskonfiguration 333 durch die Umschalteinheit 343 erfolgt vorzugsweise durch Setzen eines Links durch die Umschalteinheit 343. In der Fig. 3 sind beispielhaft verschiedene Subskriptionsprofile zur Verwendung gemäß der Erfindung dargestellt. Ein Subskriptionsprofil umfasst Subskriptionsdaten und eine Systemkonfiguration. Die Subskriptionsdaten und die Systemkonfiguration umfassen zusammen betreiberspezifische und mobilfunknetzwerkspezifische Informationen zum Einbuchen des Mobilfunktelefons und zum Betrieb des Mobilfunktelefons in einem bestimmten Mobilfunknetzwerk. Der Unterschied zwischen den Subskriptionsdaten und der Systemkonfiguration besteht darin, dass die Subskriptionsdaten von einem Netzwerkbetreiber oder einem Subskriptionsmanager unmittelbar ver- änderbar sind. Beispielsweise können Subskriptionsdaten vor dem Einbuchen in das bestimmte Mobilfunknetzwerk auf das Sicherheitsmodul geladen werden. Dagegen kann die Systemkonfiguration in der Regel von Dritten nicht editiert werden. Für ein erstes Mobilfunknetzwerk eines ersten Betreibers (Mobile Network Operator - Mobilfunkbetreiber; MNOl) umfassen die ersten Subskriptionsdaten 321 (Subskription) Identifikationsmerkmale, beispielsweise eine IMSI oder die zugeordnete Mobilfunktelefonnummer MSISDN. Darüber hinaus sind in den Subskriptionsdaten Informationen für den Zugriff auf das erste Mobilfunknetzwerk, beispielsweise Roaming-Informationen oder Netzwerkschlüssel angegeben. Weiterhin können Einstellungen und Berechtigungen hinsichtlich JAVA- Applikationen oder JAVA-Grundeinstellungen, beispielsweise Framework, eingetragen sein. Die Inhalte der Subskriptionsdaten 321 können von einem Subskriptionsmanager über das erste Mobilfunk - netzwerk dem Sicherheitsmodul übermittelt werden. Insbesondere ist vorgesehen, dass die Inhalte der Subskriptionsdaten beispielsweise durch ein HLR oder den Subskriptionsmanager editiert werden können. Die erste Systemkonfiguration 331 umfasst für das Mobilfunknetzwerk besonders sicherheitssensible Daten, die spezifische Konfigurationen des Sicherheitsmoduls und/ oder des Mobil telefons zum Einbuchen und zum Betrieb in einem bestimmten Mobilfunknetzwerk enthalten. Im Ausführungs- beispiel der Fig. 3 umfasst die erste Systemkonfiguration 331 einen Authenti- sierungsalgorithmus, der zur Authentifizierung des Sicherheitsmoduls in dem ersten Mobilfunknetzwerk verwendet wird. Weiterhin sind in der ersten Systemkonfiguration 331 Daten zum Roaming-Management hinterlegt. Diese Roaming-Daten können auf dem Sicherheitsmodul als Applet abge- speichert sein, so dass aus der ersten Systemkonfiguration 331 auf die Ro- aming-Applets mittels einer Verlinkung zugegriffen werden kann. Weiterhin sind in der ersten Systemkonfiguration 331 Berechtigungen zum Remote- File-Management angegeben. Mit diesen Berechtigungen wird geregelt, welche Instanz, Person und/ oder Objekt auf welche Dateien zugreifen darf.

Weiterhin sind besondere spezifische Betriebsdaten in der ersten Systemkonfiguration 331 abgelegt. Dazu sind Parameter für einen Bezahldienst hinterlegt. Die Parameter umfassen Verbindungsdaten und Zugangsdaten zu Bankserver und gegebenenfalls Konten und/ oder Algorithmen zur Authen- tisierung von Transaktionen. Somit erhält das Mobiltelefon ebenfalls die Information, ob ein mobiles Bezahlen über das Mobiltelefon 200 möglich ist. Weiterhin sind in den Betriebsdaten Betriebsparameter zur Einstellung der Übertragung und Verarbeitung der Bezahldaten in dem Mobilfunknetzwerk enthalten. Die erste Systemkonfiguration 331 umfasst einen Ortcode (LAI; local area Information). Mit dem Ortcode wird ein örtlicher Bereich angegeben, in dem das Subskriptionsprofil gültig ist. Somit kann festgelegt werden, dass das Mobiltelefon nur in dem bestimmten örtlichen Bereich sich in dem Mobilfunknetzwerk des ersten Betreibers einbuchen und betrieben werden kann. Wenn das Mobiltelefon und somit das Sicherheitsmodul den örtlichen Bereich verlässt, kann sich das Sicherheitsmodul bzw. das Mobiltelefon in das das Mobilfunknetzwerk des ersten Betreibers nicht mehr einbuchen. Ein Betrieb des Mobiltelefons wäre somit in diesem Mobilfunknetzwerk nicht möglich.

Wie aus der Fig. 3 zu entnehmen ist, sind das erste Subskriptionsprofil 331 und das zweite Subskriptionsprofil 332 ähnlich aufgebaut. Sie unterscheiden sich im Wesentlichen in ihrem Inhalt, wie Parameter, und den Funktionen. In dem zweiten Subskriptionsprofil 332 sind keine Eintragungen zu Bezahlfunktionen hinterlegt. Somit sind keine besonderen Einstellungen zum Durchführen von Bezahltransaktionen, insbesondere für die Verbindung, verfügbar.

Weiterhin ist auf dem Sicherheitsmodul ein gemeinsam benutzter Bereich (common) vorhanden. Beispielhaft ist in dem gemeinsam genutzten Bereich gemeinsame Systemkonfiguration 334 hinterlegt. In der gemeinsamen Systemkonfiguration 334 ist ein Hinweis auf die zu verwendenden Sprachcodes sowie eine sowohl für das erste als auch zweite Subskriptionsprofil zu verwendende Seriennummer enthalten. Die erste Systemkonfiguration und zweite Systemkonfiguration 331, 332 weisen jeweils ein Link zum gemeinsam genutzten Bereich der gemeinsamen Systemkonfiguration 334 auf. Somit können gleiche profilspezifische Eintragungen des Subskriptionsprofils, die von mehreren Mobilfunknetzwerken genutzt werden, platzsparend auf einem Sicherheitsmodul abgelegt werden. Gleichzeitig wird bei der Herstellung eine einfache Verwaltung von Systemkonfiguration, die von mehreren Subskriptionsprofilen genutzt werden, ermöglicht. Dieser gemeinsam benutzte Bereich kann somit übergreifende Daten und Parameter, wie z. B. Sys- tem-Packages, umfassen. Weiterhin befindet sich auf der SIM-Karte ein Basis-Subskriptionsprofil (Basic). Dieses Basis-Subskriptionsprofil ist keinem bestimmten Mobilfunknetzwerk bzw. Mobilfunknetzwerkbetreiber zugeordnet Das Basis- Subskriptionsprofil dient als Grundlage zum Einbuchen und Betrieb des Mobiltelefons in einem dritten, noch unbekannten Netzwerk. Hierzu können in den Subskriptionsdaten 324 eindeutige Identifikationsmerkmale eingetragen sein. Weiterhin können in der zugehörigen Basis- Systemkonfiguration 323 spezifische Informationen, beispielsweise Betriebsdaten zur Abrechnung von Dienstleistungen durch das dritte Mobilfunknetzwerk, eine Regelung zum Remote-File-Management oder ein Ortcode enthalten sein.

Wie aus den in den Figuren dargestellten Ausfuhrungsbeispielen erkennbar ist, kann mit der Erfindung ein dem Netzwerkbetreiber bzw. dem Mobilfunknetzwerk spezifisches Subskriptionsprofil automatisch durch das Si- cherheitsmodul bereitgestellt werden. Insbesondere können spezifische und proprietäre Funktionalitäten für einen oder mehrere MobilfunJknetzwerkbe- treiber und Mobilfunknetzwerke sowie auch Einstellungen hierzu hinterlegt und entsprechend freigegeben werden. Weiterhin können Systempakete und Systemparameter in einem gemeinsamen Bereich vorgehalten werden, so dass verschiedene Subskriptionsprofile auf gleiche Daten bzw. gleiche Datensätze zurückgreifen können. Die Systemkonfiguration ist vorzugsweise bereits zumindest in Teilen im Betriebssystem eingebunden. Lediglich zur Verwaltung besonderer Parameter, beispielsweise von Ortcode oder Sprachcodes könnten deren Inhalte beispielsweise als Library nachgeladen werden. Alternativ könnten Parameter in einem für beispielsweise einen Subskriptionsmanager zugänglichen Bereich hinterlegt sein, wobei in der jeweiligen Systemkonfiguration ein entsprechender Link zu dem Bereich gesetzt wird.

Claims

P a t e n t a n s p r ü c h e

1. Verfahren zum Betreiben eines Sicherheitsmoduls (300) eines mobilen Endgeräts (200), das dazu ausgestaltet ist, über eines einer Vielzahl von Mobilfunknetz werken (110, 120) zu kommunizieren, wobei das Sicherheitsmodul (300) für unterschiedliche Mobilfunknetzwerke (110, 120) der Vielzahl von Mobilfunknetzwerken (110, 120) unterschiedliche Systemkonfigurationen (331, 332, 333) aufweist und das Verfahren im Sicherheitsmodul (300) die folgenden Schritte umfasst:

Empfangen von Subskriptionsdaten zum Einbuchen in ein Mobilfunknetzwerk (110, 120) der Vielzahl von Mobilfunknetzwerken (110, 120);

Analysieren der Subskriptionsdaten (321, 322) und Identifizieren des Mobilfunknetzwerkes (110, 120) der Vielzahl von Mobilfunk- netzwerken (110, 120), in das sich das Sicherheitsmodul (300) mittels der Subskriptionsdaten (321, 322) einbuchen kann;

Auswählen einer Systemkonfiguration (331, 332, 333), die für das im vorhergehenden Schritt identifizierte Mobilfunknetz werk (110, 120) der Vielzahl von Mobilfunknetzwerken (110, 120) bestimmt ist; und

Betreiben des Sicherheitsmoduls (300) mit der ausgewählten Systemkonfiguration (331, 332, 333) in dem identifizierten Mobilfunknetzwerk (110, 120).

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Subskriptionsdaten (321, 322) eine IMSI, einen Netzzugangsschlüssel, einen Identifikationsschlüssel, einen Netzwerkbetreibernamen und/ oder eine Stringinformation umfassen.

3. Verfahren nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass die Systemkonfiguration (331, 332, 333) Einstellungen zur Kommunikation des Sicherheitsmoduls (300) und/ oder des mobilen Endgeräts (200) mit dem Mobilfunknetzwerk (110, 120) vornimmt und/ oder Funktionen des Sicherheitsmoduls (300) und/ oder des mobilen Endgeräts (200) freischaltet oder sperrt.

4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass der Schritt des Auswählens der Systemkonfiguration (331, 332, 333) umfasst, dass eine Auswahleinheit (342) zum Aktivieren und/ oder Deaktivieren von Systemkonfigurationen (331, 332, 333) angesprochen wird.

5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass zum Aktivieren der ausgewählten Systemkonfiguration (331, 332, 333) die Auswahleinheit (342) zum Auswählen eine Verlinkung herstellt.

6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei einem Ausbuchen des mobilen Endgeräts (200) aus dem identifizierten Mobilfunknetzwerk (110, 120) die ausgewählte Systemkonfiguration (331, 332, 333) deaktiviert wird.

7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zum Aktivieren der Systemkonfiguration (331, 332, 333) das Sicherheitsmodul (300) die Systemkonfiguration (331, 332, 333) entschlüsselt, zusammenführt und/ oder entpackt.

8. Sicherheitsmodul (300) zur Verwendung in einem mobilen Endgerät (200) , umfassend

einen Speicher (320), wobei der Speicher (320) zum Ablegen von Subskriptionsdaten (321, 322) einer Vielzahl von Mobilfunknetzwerken (110, 120) ausgebildet ist und die jeweiligen Subskriptionsdaten (321, 322) zum Einbuchen in ein Mobilfunknetzwerk (110, 120) einer Vielzahl an Mobilfunknetzwerken (110, 120) ausgebildet sind;

dadurch gekennzeichnet, dass

der Speicher (320) zum Ablegen einer Vielzahl an Systemkonfigurationen (331, 332, 330) ausgebildet ist, wobei eine Systemkonfiguration (331, 332, 333) einem Mobilfunknetzwerk (110, 120) der Vielzahl an Mobilfunknetzwerken (110, 120) zugeordnet ist;

das Sicherheitsmodul (300) eine Analyseeinheit zur Analyse von Subskriptionsdaten (321, 322) für ein Mobilfunknetzwerk (110, 120) der Vielzahl von Mobilfunknetzwerken (110, 120), in das sich das Sicherheitsmodul (300) mithilfe der Subskriptionsdaten (321, 322) einbuchen kann, umfasst; und

das Sicherheitsmodul (300) eine Auswahleinheit (342) zum Auswählen der Systemkonfiguration (331, 332, 333) entsprechend der Subskriptionsdaten (321, 322) des Mobilf unknetz werkes (110, 120) umfasst.

9. Sicherheitsmodul (300) nach Anspruch 8, dadurch gekennzeichnet, dass der Speicher (320, 330) zum Ablegen der Systemkonfigurationen (331, 332, 333) ein gesicherter Speicher ist.

10. Sicherheitsmodul (330) nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass das Sicherheitsmodul (300) ein Betriebssystem (341) umfasst und die Auswahleinheit (342) zum Auswählen der Systemkonfiguration (331, 332, 333) Teil des Betriebssystems (341) ist.

11. Sicherheitsmodul (300) nach einem der Ansprüche 8 bis 10, dadurch gekennzeichnet, dass eine Systemkonfiguration (331, 332, 333) der Systemkonfigurationen (331, 332, 333) eine bestimmte Zeit gültig ist.

12. Sicherheitsmodul (300) nach einem der Ansprüche 8 bis 11, dadurch gekennzeichnet, dass eine Systemkonfiguration (331, 332, 333) der Systemkonfigurationen (331, 332, 333) eine Basiskonfiguration (333) sind.

13. Sicherheitsmodul nach einem der Ansprüche 8 bis 12, dadurch gekennzeichnet, dass ein Teil einer Systemkonfiguration (331, 332, 333) in einem für eine andere Systemkonfiguration (332, 333, 331) nutzbaren Speicher abgelegt ist.

14. Sicherheitsmodul nach einem der Ansprüche 8 bis 13, dadurch gekennzeichnet, dass die Auswahleinheit (342) eine Applikation ist und/ oder die Analyseeinheit eine Applikation ist und insbesondere als Applikation zum Betrieb in einer gesicherten Umgebung des Sicherheitsmoduls (300) ausgebildet ist.