WO2014063775A1 - Verfahren zum sicheren verwalten von teilnehmeridentitätsdaten - Google Patents

Verfahren zum sicheren verwalten von teilnehmeridentitätsdaten Download PDF

Info

Publication number
WO2014063775A1
WO2014063775A1 PCT/EP2013/002933 EP2013002933W WO2014063775A1 WO 2014063775 A1 WO2014063775 A1 WO 2014063775A1 EP 2013002933 W EP2013002933 W EP 2013002933W WO 2014063775 A1 WO2014063775 A1 WO 2014063775A1
Authority
WO
WIPO (PCT)
Prior art keywords
subscriber identity
identity data
key
data
module
Prior art date
Application number
PCT/EP2013/002933
Other languages
English (en)
French (fr)
Inventor
Jens Rudolph
Volker Gerstenberger
Karl Eglof Hartel
Ulrich Huber
Johannes Luyken
Andreas Morawietz
Original Assignee
Giesecke & Devrient Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke & Devrient Gmbh filed Critical Giesecke & Devrient Gmbh
Publication of WO2014063775A1 publication Critical patent/WO2014063775A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning

Definitions

  • the invention relates to a method for securely managing subscriber identity data in a subscriber identity data system and to a system for securely managing the subscriber identity data.
  • Subscriber identity data serves to uniquely identify and / or authenticate a subscriber in a communication network, for example a digital mobile radio network.
  • a communication network for example a digital mobile radio network.
  • an operator of a communication network it is possible for an operator of a communication network to unambiguously assign the use of a service offered by the network operator, for example a voice and / or data service, to each subscriber in the communication network.
  • the operator it is possible for the operator to enable network access, that is to say the log-on to the communications network, as soon as an authentication of the subscriber has taken place, or to refuse network access, if an authentication of the subscriber is not possible.
  • each terminal is equipped with such a subscriber identity module to use services of the communication network can.
  • a terminal is a device or a device component which has means for communication with the communication network in order to be able to use services of the communication network.
  • a mobile terminal may be a smart phone, a tablet PC, a notebook or a PDA.
  • a mobile terminal may also be understood to mean multimedia terminals such as digital picture frames, audio devices, television sets, e-book readers, which also have means for communication with the communication network.
  • FER The term mobile terminals may also include any type of machines, vending machines, vehicles and devices that have means, in particular mobile radio modems, for communicating with the communication network.
  • SIM Subscriber Identity Module
  • subscriber identity data administration also a subscription manager.
  • subscriber identity data management it should be possible to load subscriber identity data into a special subscriber identity module, to activate it after loading, to use it, to deactivate it and, if necessary, to delete it after deactivation.
  • over-the-air commands are provided, alternatively, push-PuU server mechanisms or an Internet protocol-based variant can be used.
  • the invention is therefore based on the object of developing a method and a system with which subscriber identity data can be managed flexibly and securely. It must be ensured that the data can not be corrupted, but nevertheless can be easily transferred to the specific subscriber identity module.
  • the object is achieved by a method for securely managing subscriber identity data in a subscriber identity data system comprising a subscriber identity data generator and a subscriber identity data management.
  • the subscriber identity data management can manage subscriber identity data in a plurality of subscriber identity modules via a mobile radio system.
  • the method comprises the method steps: cryptographic encryption of subscriber identity data by means of a memory key by a hardware security module; Storing the encrypted subscriber identity data in a subscriber identity data database within the subscriber identity data management; Encrypting the subscriber identity data by the hardware security module at the request of the mobile radio system, wherein the re-encrypting the cryptographic decrypting the subscriber identity data with the memory key and the cryptographic encryption the subscriber identity data includes a subscriber identity module key; and providing the encrypted subscriber identity data for transmission to an individual subscriber identity module.
  • a subscriber identity module in the sense of the invention is a computer unit reduced in size and resource envelope, which has a microcontroller and at least one data interface for communication with a terminal.
  • This subscriber identity module has a secure memory area in which the subscriber identity data are securely introduced in order to prevent manipulation and / or abuse attempts during the identification and / or authentication on the network.
  • the subscriber identity module is operable by means of the terminal.
  • the subscriber identity module can be, for example, a chip card, also known as a universal integrated circuit card (UICC) or SIM card, in a mobile radio network with machine-readable subscriber identification data stored on a chip.
  • UICC universal integrated circuit card
  • SIM subscriber identification modules
  • Such subscriber identification modules are operated by means of card reader units in a terminal and are in particular intended to be removed from the terminal for the purpose of exchange or use in a second terminal.
  • the subscriber identity module is an integral part of the terminal, for example a hard-wired electronic module.
  • Such subscriber identity modules are also referred to as embedded UICC (eUICC).
  • eUICC embedded UICC
  • these subscriber identity modules are not intended for removal from the terminal and can not be easily replaced in principle.
  • Subscriber identity modules can also be embodied as embedded secure elements, ie as a secure hardware component in the terminal.
  • the subscriber identity module is a machine-to-machine, in short M2M module. These modules are used for remote monitoring, control and maintenance of terminal equipment such as machines, plants and systems. Alternatively, they can also be used for counting units such as electricity meters, hot water meters.
  • the subscriber identity module is designed as a software component in a trustworthy part of an operating system, a so-called trusted execution environment (TEE) of the terminal. The subscriber identity module is then embodied, for example, within a secure runtime environment in the form of programs running therein, so-called trustlets.
  • TEE trusted execution environment
  • An individual subscriber identity module is understood to be a module selected from among the plurality of subscriber identity modules managed by the subscriber identity management, which module is to be provided with the subscriber identity data by the mobile radio system upon request.
  • Subscriber identity data in the sense of the invention are on the one hand data that uniquely identifies a subscriber in the communication network, for example an International Mobile Subscriber Identity (IMSI) and / or subscriber-specific data.
  • IMSI International Mobile Subscriber Identity
  • the IMSI is the subscriber identity date unique in a mobile radio communication network. It consists of the country code MCC (Mobile Country Code), the network code MNC (Mobile Network Code) and a consecutive number assigned by the network operator.
  • MCC Mobile Country Code
  • MNC Mobile Network Code
  • subscriber identity data are preferably data that uniquely authenticate a subscriber on the communication network, for example an authentication algorithm, specific algorithm parameters, a cryptographic authentication key and / or a cryptographic over-the-air (OTA) key.
  • the number of sets of subscriber identity data on the subscriber identity module is not limited. It is conceivable that in the future, thirty or more sets of subscriber identity data may be accommodated on a subscriber identity module.
  • a participant in the sense of the invention is, for example, a person who wishes to access services of the communication network by means of the terminal.
  • a subscriber is also to be understood as a terminal in an M2M environment.
  • a mobile radio system in the sense of the invention comprises at least one mobile radio communication network, wherein the mobile radio system preferably has a plurality of different mobile radio communication networks, in particular different by authentication, coding, frequency, cell size, transmission techniques and service offerings.
  • the mobile radio system also has other system components, which in turn are not part of the mobile radio communication networks, but can access individual components of each Mobilfunkkornmunikationsnetzes. These components include the Subscriber Identity Data Generator and Subscriber Identity Data Management.
  • a Kornmunikationsnetztechnik in the context of the invention is a technical device on which the transmission of signals under identification and / or authentication of the communication participant takes place, whereby services are offered.
  • the communication network is preferably constructed from mobile radio cells.
  • GSM Global System for Mobile Communications
  • UMTS Universal Mobile Telecommunications System
  • LTE Long Term Evolution
  • LTE Long Term Evolution
  • a service in the sense of the invention is in particular a voice service or a data service, with which information and / or data are transmitted via the communication network.
  • the subscriber identity data generator is an instance of the mobile radio system that is capable of generating new subscriber identity data that enables a later subscriber to the mobile radio system to identify and / or authenticate to use services in the mobile radio system.
  • a hardware security module, HSM for short (also known to the person skilled in the art as a security module) in the sense of the invention is a device for the secure management of data and the efficient and secure execution of cryptographic operations.
  • the HSM enables the trustworthiness and integrity of the subscriber identity data and the associated information in safety-critical IT systems. cherish.
  • the cryptographic keys to be used must be protected by software as well as against physical attacks or side channel attacks.
  • Various cryptographic algorithms can be implemented in an HSM, for example asymmetric encryption systems such as RSA (encryption or signature), ECDSA, Diffie-Hellman key exchange or Elliptic Curve Cryptography.
  • symmetric encryption and decryption in particular AES, DES, Triple-DES, IDEA can also be implemented in the HSM.
  • cryptological hash functions such as SHA-1, SHA-2 may also be implemented.
  • the generation of random numbers, keys and PINs can be realized by an HSM.
  • HSMs usually provide extensive capabilities for securely managing data and cryptographic keys. As a rule, HSM are certified according to safety standards, such as: FIPS 140-1 and 140-2, DK or Common Criteria.
  • Cryptographic encryption is understood as the process in which clear information is converted into an "illegible”, that is not easily interpretable, character string (ciphertext) with the aid of an encryption method (cryptosystem) or multiple keys.
  • the subscriber identity data are stored cryptographically secured at any time.
  • Manipulation or corruption of the subscriber identity data administration for obtaining the subscriber identity data already valid at this time from the subscriber identity data database is thus not possible, because without a decryption the data is only encrypted and can not be used.
  • the re-encryption according to the invention ensures that a secure environment is created in order to prepare the data for the individual subscriber identity module.
  • All encryption and re-encryption steps are performed by an HSM, ensuring that the subscriber identity data is cryptographically secured at all times and can only be decrypted in specially secured environments.
  • the subscriber identity module key in the hardware security module is derived from a master key.
  • a subscriber identity module-specific ID is used, wherein the individual subscriber identity module cryptographically decrypts the provided re-encrypted subscriber identity data by means of the derived subscriber identity module key.
  • this subscriber identity module-specific ID is stored in a memory area of the subscriber identity module, which is generally referred to as (pre-) personalization. This personalization can be done either at the chip manufacturer itself or at the publisher of the subscriber identity modules. In this way, an individualization of the keys is achieved.
  • This ID is in particular the chip ID.
  • This chip ID is the HSM for
  • the time of derivation is known and is used to generate the subscriber identity module key.
  • This derived key is also known to the individual subscriber identity module and has been incorporated into the module, for example, as part of a personalization.
  • the subscriber identity data can also be decrypted after loading into the module.
  • the subscriber identity data is preferably generated in the subscriber identity data generator. Furthermore, after the step of the cryptographic closure by means of the memory key and after the step of re-encryption via a first secure channel, in particular a VPN channel, these are transmitted to the subscriber identity data management. In this way data generator and data management can be separated and do not necessarily have to be in one place. Thus, a GSMA-SAS certified environment can continue to be used to generate the subscriber identity data. Another advantage is that a plurality of data generators can be used. The generated data can then be encrypted using the HSM and securely transmitted to the data management via VPN channel. The VPN channel therefore implements another security level to securely transport the data.
  • a second secure channel in particular an OTA encryption, is used for the step of providing the subscriber identity data to the individual subscriber identity module. It uses OTA encryption of subscriber identity data active on the security module at the time of loading.
  • the OTA encryption is known to the data management according to the invention at the time of providing.
  • the memory key is known only to the hardware security module and to a mobile radio operator of the mobile radio system.
  • This advantageous embodiment makes the supply resorted to the subscriber identity data to the charging mobile network operator and the HSM itself.
  • the data generation and data management operator has no influence on the encryption of the subscriber identity data.
  • the subscriber identity management has a subscriber identity data platform, by means of which the subscriber identity data is made available to the individual subscriber identity module.
  • This platform enables a standardized provision of subscriber identity data that is adapted to differently structured mobile radio networks, subscriber identity modules or transmission methods. In this way, different data generators, mobile operators, module manufacturers and / or module operators can communicate with the platform based on a common standard and exchange the subscriber identity data.
  • the mobile radio system consists of at least a first mobile radio network and a second mobile radio network, the subscriber identity data platform providing the subscriber identity data by means of a gateway.
  • the HSM is provided with a memory key ID and a master key ID or master key ID from the subscriber identity data management for the re-encryption.
  • the HSM is able to select from a plurality of memory keys the corresponding memory key for decrypting the subscriber identity data encrypted with the memory key.
  • the HSM is thus able, on the basis of Key ID to derive a subscriber-specific key and to encrypt the subscriber identity data with it.
  • the respective key IDs are stored with the encrypted subscriber identity data in the database and are automatically provided to the HSM for encryption and transcoding.
  • the HSM has a multiplicity of main keys and / or memory keys, wherein the main keys and / or memory keys are structured hierarchically. This allows easier management of the keys in the HSM, in particular the deletion of keys at the request of the mobile operator.
  • By structuring the keys in the HSM it is possible to easily delete an entire bundle - a so-called batch - of keys belonging to a particular mobile network operator, an application and / or a particular project. Deleting these keys also blocks access to the subscriber identity data encrypted with these keys. Additionally, structuring the keys allows logging to prove to the key provider that the keys are deleted from the HSM.
  • multi-layered and numerous key hierarchies can thus be set up. For each hierarchy level, a separate key is generated and managed in the HSM.
  • Hierarchy levels may be grouped by mobile operators, time periods, projects, and / or applications, to name just a few parameters for grouping and hierarchically arranging the keys.
  • the partial identity data system has two hardware security modules, wherein the first hardware security module encrypts the subscriber identity data by means of the cryptographic memory key and wherein the second hardware security module decrypts the encrypted subscriber identity data by means of the memory key and by means of the subscriber identity module code encrypted.
  • This split into two HSMs has two advantages. The first advantage is to increase security by distributing the keys needed for the procedure to two different and independent entities. The second advantage is the increase in flexibility, because the data generator uses the first HSM to generate the encrypted subscriber identities. In this case, the certification according to GSMA-SAS is preferably maintained again.
  • the second HSM is logically associated with the data manager and in this embodiment may also be part of the data manager.
  • the subscriber identity module key is a key set consisting of a subscriber identity data management key and a subscriber identity data verification key.
  • two unique AES keys preferably with a length of 128 bits or more
  • an encryption key for data encryption for the data provided by the data manager and a CMAC key for checking the data provided.
  • This two-key set of keys is derived from the master keys by the subscriber identity module-unique ID, chip ID for short.
  • the inventive concept also includes a system for securely managing subscriber identity data, comprising: subscriber identity data management with a subscriber identity data database, including subscriber identity data in encrypted form; a hardware security module for encrypting and re-encrypting subscriber identity data; a subscriber identity data generator for generating subscriber identity data; and a subscriber identity platform for providing the encrypted subscriber identity data to an individual subscriber identity module at the request of a mobile operator.
  • a hardware security module for encrypting, decrypting and re-encrypting subscriber identity data comprising a plurality of memory keys and / or master keys, wherein these keys are hierarchically structured and are uniquely referenced by means of key IDs.
  • FIG. 1 A system according to the invention for the secure management of
  • FIG. 2 is a simplified schematic drawing of the invention
  • FIG. 4 shows an HSM according to the invention for the secure management of
  • FIG. 5 shows a hierarchical structuring of the invention
  • FIG. 6 A block diagram of a security module for the method according to the invention
  • FIG. 1 shows a system according to the invention for the secure management of subscriber identity data 73.
  • a terminal 6 is equipped with a subscriber identity module 7.
  • the structure of the subscriber identity module 7 will be explained in more detail with reference to FIG.
  • a mobile radio system 5 is shown which has at least a first mobile radio network 51 and a second mobile radio network 52.
  • a gateway in the form of a Short Message Service Center (SMS-C) 53 is included in the mobile radio system 5.
  • SMS-C is a component for sending messages / commands to the mobile station 6.
  • the SMS-C acts as a gateway between a TCP / IP-based communication and the corresponding mobile radio protocols.
  • the SMS-C decapsulates the message from the TCP / IP protocol, making the message a classic message, for example OTA-SMS.
  • the mobile networks 51,52 are classically constructed, which is indicated by the symbolic representation of transmission towers and HLR. Other instances of mobile networks were not shown purely for reasons of clarity.
  • the system 1 further comprises a subscriber identity data management 4 with a subscriber identity data platform 43 and a subscriber identity data database 41.
  • the database 41 can in turn be reached via a data input interface 42.
  • the system 1 also has a data generator 2 with an HSM 3.
  • the data generator can furthermore have a data interface 21.
  • first subscriber identity data 73 i.e., a first set of subscriber identity data
  • Services of the second network 52 to use can in principle be initiated on the subscriber side, on the terminal side or on the network side.
  • the inactive subscriber identity data 73 must be activated.
  • the second network 52 requests the activation of the subscriber identity data 73 at the data management 4 via the gateway 53.
  • the platform 43 in conjunction with the database 41, the status of the individual module 7 is determined in the data manager (or the data management) 4 and causes the activation of the subscriber identity data 73 for the second network 52 via a second secure channel 9 via OTA commands.
  • the platform 43 causes the change of the subscriber identity data 73 from the first network 51 to the second network 52.
  • the module 7 is discharged from the HLR of the first network 51 and registered in the HLR of the second network 52, as indicated by the arrows.
  • the entire communication between the networks 51, 52 and the module 7 takes place on the basis of OTA-encrypted channels 9, so that interception of the communication is prevented.
  • the OTA keys of the activated subscriber identity data 73 are always used, since the module 7 can only be reached via the activated subscriber identity data 73 via the mobile radio system 5.
  • the status of the subscriber identity data 73 is monitored and managed by the platform 43. A corresponding update of the database 41 also takes place.
  • Subscriber identity data 73 are transmitted via a data interface 21 the data generator 2 transmitted.
  • the generator 2 generates the data 73 itself.
  • these data 73 are first encrypted with a memory key Ks 32 and transmitted via a first secure channel 8 to the data manager.
  • the data 73 is already contained in the database 41.
  • the data 73 are transmitted via the second channel 8 to the HSM 3, decrypted there with the memory key 32 and encrypted with a derived module-specific key 31 'and the Data manager 4 back over the first channel 8 back.
  • the derived key 31 ' is derived from a subscriber identity module-specific ID 74 and the main key 31, to which in particular a DES or an AES cryptography algorithm is used.
  • the platform 43 receives the encrypted data 73 and makes it available to the module 7 via the second secure channel 9. There, the data is decrypted by means of the subscriber identity module-specific ID 74 and the derived key 31 '. This process is referred to as loading the subscriber identity data 73.
  • FIG. 2 shows a schematic representation of the method.
  • the data generator 2 has the HSM 3, in which the memory key Ks 32 and the master key KM 31 are securely inserted. The with the
  • Key 32 encrypted data 73 are transmitted via the first secure channel 8 into the database 41 of the data manager 4.
  • the encrypted data 73 are sent via the first secure channel 8 to the HSM 3, there by means of the - from the subscriber identity module individual ID 74 and the master key 31 - decrypted key 31 'and sent over the first secure channel 8 to the data manager 4.
  • the second secure OTA channel 9 is established to the module 7.
  • the data 73 are provided to the module 7 via the second secure channel 9.
  • the data 73 is finally decrypted and created as a subscriber profile 71 (see also FIG. 6).
  • FIG. 3 shows a sequence diagram of the method according to the invention.
  • the subscriber identity module issuer 10 inserts the module-specific key 31 'and a module-specific ID 74 into the module 7 and outputs the module 7.
  • the subscriber identity module issuer 10 notifies the HSM 3 of the chip ID 74 and indicates the key ID 310 of the master key 31.
  • a mobile network operator is already in possession of the module 7 at this time, the subscriber-specific key 31 'is derived from the master key 31 and introduced into the module 7.
  • the subscriber identity module publisher 10 is also the data generator 2.
  • the data generator 2 receives subscriber identity data 73 in secured form via the data interface 21.
  • step B of Figure 3 in HSM 3 with a memory key 32.
  • the memory key 32 is uniquely referenced by means of a memory key ID 320.
  • the encrypted with the memory key 32 data 73 are transmitted via the first secure channel 8 to the data manager 4.
  • different mechanisms for securing the channel 8 can be used, for example, a symmetric or asymmetric encryption and / or a VPN channel.
  • the data 73 are stored in the data manager 4 in encrypted form with the memory key 32.
  • the encrypted data 73 is transferred to the HSM 3 via the first one in step C. secured channel 8 back.
  • the re-encryption takes place on the basis of step D, ie the decryption of the data 73 with the memory key 32 and the encryption of the data 73 with the derived key 31' of the master key 31.
  • the HSM 3 ' ID 74 as a module-specific ID 74 to provide, which is also taken over by the data manager 4.
  • the HSM 3 ' is provided with a master key ID 310.
  • platform 43 is responsible for this. With these deployments, it is ensured that the derived key 31 'has been derived from the correct master key 31 and has been derived for the correct individual module 7.
  • the encrypted data 73 are transmitted back to the data manager 4 via the first secure channel 8 in step E.
  • the encryption with the memory key 32 is taken over by the first HSM 3, and the re-encryption with the derived master key 31 'is taken over by the second HSM 3'.
  • the first HSM 3 is incorporated in the data generator 2 and can encrypt the data 73 without mobile communication, ie offline. There is no need for encryption to the data manager 4 or the mobile radio system 5 for encryption, whereby the security is considerably increased.
  • the second HSM 3 ' adapts the subscriber identity data 73 to the respective individual module 7. More detailed procedures for encryption and re-encryption in HSM 3 can be found in the description of FIG.
  • a second secure channel 9 is set up to the individual module 7, in order then to provide the encrypted data 73 to the module 7 in step F.
  • the module 7 can then decrypt and use the data 73 with the derived key 31 'inserted in the module 7 during personalization in a step G (not shown).
  • FIG. 4 shows an HSM 3 according to the invention, as it is used for encryption and re-encryption.
  • the module 3 has a plurality of memory keys 32 and master keys 31. Each memory key 32 is uniquely referenced by a memory key ID 320. Each master key 31 is uniquely referenced by a master key ID 310.
  • the enciphering according to step D of FIG. 3 is shown by way of example.
  • the HSM 3 receives the data 73 encrypted with the memory key 32 from the data manager 4 via the first secure channel 8. With this encrypted data 73, the HSM 3 continues to receive the memory key ID 320, which indicates to the HSM 3 which memory key 32 the data 73 are encrypted.
  • the HSM 3 continues to receive the master key ID 310, which indicates to the HSM 3 with which master key 31 the subscriber identity module-specific key 31 'is to be derived. With this encrypted data 73, the HSM 3 continues to receive the chip ID 74, which indicates to the HSM 3 for which module 7 the subscriber identity module individual key 31 'is to be derived.
  • the memory key ID 320, the master key ID 310, and the chip ID 74 are encoded with the encrypted data 73 to the HSM 3 in a record made available.
  • the HSM 3 polls the memory key ID 320, the master key ID 310, and the chip ID 74 from the data manager 4.
  • the data manager 4 receives the master key ID 310 and the chip ID 74 via the platform 43 from the mobile radio system 5 and / or from the data generator 2 via the interface 21.
  • the corresponding memory key 32 is selected from a multiplicity of memory keys in the HSM 3 on the basis of the memory key ID 320, and the data 73 are decrypted by means of the corresponding memory key 32.
  • the data 73 is in plain text, i. unencrypted in HSM 3 before.
  • the corresponding master key 31 is selected from a plurality of master keys in the HSM 3.
  • the master keys 31 are known only to the HSM 3 and the corresponding owner of the master key 31, in particular a mobile service provider.
  • the subscriber identity module-specific key 31 ' is derived from the master key 31.
  • the data 73 are encrypted, whereby the step of transcoding is completed.
  • the encrypted data 73 is transmitted back to the data manager 4 via the first secure channel 8, where it is made available to the respective module 7 via the platform 43 via a second encrypted channel 9.
  • a key set of derived key 31 'and a check key are preferably generated, whereby all data 73 are checked for plausibility and data integrity. you can.
  • the keys are preferably AES keys with a size of 128 bits.
  • the HSM 3 can be divided into a first HSM 3 and a second HSM 3 '.
  • the first secure channel 8 can be omitted.
  • FIG. 5 shows a hierarchical structuring of the memory key 32 and / or the master key 31.
  • a key owner in particular a mobile radio operator, must be given the option of grouping the data 73 on a project or application basis.
  • the data 73 are arranged in the HSM 3 in accordance with the hierarchical structure shown in FIG. In the data manager 4, these data are also arranged according to this hierarchical structure.
  • a separate master key 31 and / or memory key 32 is generated and introduced into the HSM 3.
  • a separate project could be created in combination with service providers at a mobile radio operator for a wide variety of applications, for example NFC payment applications or also for any type of subscriber identity data. If the mobile operator no longer wants to support one of these combinations, the modules 7 for such services must be disabled. This is done simply by deleting the corresponding master keys 31 and / or memory key 32.
  • the highest hierarchical level is the customer level. These are, in particular, mobile service providers, each of which has a mobile radio network 51, 52 in the mobile network. operate radio system 5.
  • the nearest hierarchy level is the project level, where, for example, a payment service is created as project 1, a mobile data service as project 2 and a mobile voice service as project 3 for the mobile operator "customer! Additional projects can be added for each customer.
  • a payment service is created as project 1
  • a mobile data service as project 2 and a mobile voice service as project 3 for the mobile operator "customer! Additional projects can be added for each customer.
  • the payment service "Project 1" of customer 1 three different bank or payment schemes are now provided, for example an NFC payment system, a credit payment system or a debit payment system with bank 1, bank 2 and bank 3.
  • For each individual scheme now become own Main key 31 and memory key 32 generated and entered in the HSM.
  • FIG. 6 shows a subscriber identity module 7 for use in the method according to the invention.
  • an operating system with a general file system linked thereto is stored in the subscriber identity module 7, wherein the file system can be administered via the operating system.
  • a memory area with subscriber-specific data can also be administered by means of the operating system.
  • the subscriber identity module 7 is equipped with a plurality of subscriber profiles 71.
  • Each subscriber profile 71 according to FIG. 6 contains subscriber identity data 73, which is a subscriber to respectively different communication networks 51, 52 uniquely identify and / or authenticate.
  • the profiles 71 are individually added, activated, usable, deactivated and also erasable.
  • An administration of the profiles 71 and the data, authentications and encryptions necessary therefor is carried out by means of an application 72 introduced in the subscriber identity module 7, in short SMC applet.
  • the SMC applet 72 is in communication with the platform 43 of the data manager 4.
  • the derived subscriber identity module-individual key 31 'and the chip ID 74 are introduced.
  • This security area is set up during the personalization of module 7.
  • the respective data for the subscriber profiles 71 are in particular loaded via an air interface, in particular over-the-air (OTA) but also via the Internet connection (Over-The-Internet, OTI short) in the subscriber identity module 7.
  • OTA over-the-air
  • OTI short Internet connection
  • Each profile has for this OTA key KOTA, with which a second secured channel 9 can be constructed with the platform 43. It should be noted that communication via the mobile radio system 5 between the module 7 and the data manager 4 is generally only possible by means of the activated subscriber identity data 73.

Abstract

Die Erfindung betrifft ein Verfahren zum sicheren Verwalten von Teilnehmeridentitätsdaten (73) in einem Teilnehmeridentitätsdatensystem beinhaltend einen Teilnehmeridentitätsdatengenerator (2) und eine Teilnehmeridentitätsdatenverwaltung (4), wobei die Teilnehmeridentitätsdatenverwaltung (4) über ein Mobilfunksystem (5) Teilnehmeridentitätsdaten (73) in einer Vielzahl von Teilnehmeridentitätsmodulen (7) verwalten kann. Das Verfahren umfasst die Schritte: Kryptografisches Verschlüsseln von Teilnehmeridentitätsdaten (73); Ablegen (B) der verschlüsselten Teilnehmeridentitätsdaten (73) in einer Teilnehmeridentitätsdaten-Datenbank (41); Umverschlüsseln (D) der Teilnehmeridentitätsdaten (1) durch das Hardware-Sicherheitsmodul (3) und Bereitstellen (F) der umverschlüsselten Teilnehmeridentitätsdaten (73). Die Erfindung betrifft ferner ein System zum sicheren Verwalten von Teilnehmeridentitätsdaten (73).

Description

Verfahren zum sicheren Verwalten von Teilnehmeridentitätsdaten Die Erfindung betrifft ein Verfahren zum sicheren Verwalten von Teilnehmeridentitätsdaten in einem Teilnehmeridentitätsdatensystem sowie ein System zum sicheren Verwalten der Teilnehmeridentitätsdaten.
Teilnehmeridentitätsdaten dienen dazu, einen Teilnehmer in einem Kom- munikationsnetzwerk, beispielsweise einem digitalen Mobilfunknetzwerk, eindeutig zu identifizieren und/ oder zu authentisieren. Durch diese Teilnehmeridentitätsdaten ist es einem Betreiber eines Kommunikationsnetzwerks möglich, die Nutzung eines vom Netzbetreiber angebotenen Dienstes, beispielsweise eines Sprach- und/ oder Datendienstes, jedem Teilnehmer in dem Kommunikationsnetzwerk eindeutig zuzuordnen. Weiterhin ist es dem Betreiber möglich, einen Netzzugang, also das Einbuchen in das Kommunikationsnetz, zu ermöglichen, sobald eine Authentisierung des Teilnehmers stattgefunden hat, oder den Netzzugang zu verweigern, falls eine Authentisierung des Teilnehmers nicht möglich ist.
Üblicherweise wird jedes Endgerät mit einem derartigen Teilnehmeridentitätsmodul ausgestattet, um Dienste des Kommunikationsnetzwerkes nutzen zu können. Bei einem Endgerät handelt es sich prinzipiell um ein Gerät oder eine Gerätekomponente, welches Mittel zur Kommunikation mit dem Kom- munikationsnetzwerk aufweist, um Dienste des Kommunikationsnetzes nutzen zu können. Beispielsweise kann ein mobiles Endgerät ein Smart Phone, ein Tablet-PC, ein Notebook oder ein PDA sein. Unter einem mobilen Endgerät können auch Multimediaendgeräte wie digitale Bilderrahmen, Audiogeräte, Fernsehgeräte, E-Book-Reader verstanden werden, die ebenfalls Mit- tel zur Kommunikation mit dem Kommunikationsnetzwerk aufweisen. Fer- ner kann der Begriff mobile Endgeräte auch jegliche Arten von Maschinen, Automaten, Fahrzeuge und Einrichtungen umfassen, die Mittel, insbesondere Mobilfunkmodems, zur Kommunikation mit dem Kommunikationsnetzwerk aufweisen.
Das Einbringen von Teilnehmeridentitätsdaten in ein Teilnehmeridentitätsmodul, auch als Subscriber Identity Modul (SIM) bezeichnet, erfolgt bislang während des Schritt des Personalisierens innerhalb einer gesicherten Umgebung, beispielsweise in einem nach der GSMA-SAS spezifizierten Herstel- lungsumgebung, wobei das Akronym SAS für Security Accreditation Scheme steht.
Mit der weitergehenden Entwicklung von Teilnehmeridentitätsmodulen ist angedacht, das Verwalten der Teilnehmeridentitätsdaten weiter zu flexibili- sieren. Dazu wird angestrebt, die Verwaltung durch eine Instanz in einem Kommunikationssystem, einer sogenannten Teilnehmeridentitätsdatenver- waltung, auch Subskription-Manager, durchführen zu lassen. Mittels dieser Teilnehmeridentitätsdatenverwaltung soll es ermöglicht werden, Teilnehmeridentitätsdaten in ein spezielles Teilnehmeridentitätsmodul zu laden, nach dem Laden zu aktivieren, zu verwenden, zu deaktivieren und nach der De- aktivierung ggf. zu löschen. Dazu sind insbesondere Over-The-Air Kommandos vorgesehen, alternativ können Push-PuU Server-Mechanismen oder eine Internet-Protokoll basierte Variante angewendet werden. Somit soll es zukünftig einem Teilnehmer ermöglicht werden, ohne Wechsel des Teilnehmeridentitätsmoduls einen anderen Kommunikationsnetzanbieter auszuwählen. Problematisch ist insbesondere das Generieren neuer Teilnehmeridentitätsdaten und das sichere Transportieren dieser generierten Teilnehmeridentitätsdaten in die Teilnehmeridentitätsdatenverwaltung und auch in das Teilnehmeridentitätsmodul. Speziell bei der zukünftigen Generation von Teilnehmeridentitätsmodulen als integraler, fest verdrahteter Bestandteil des Endgeräts ist es notwendig, derartige Verwaltungen der Teilnehmeridentitätsmodule zu verwenden.
Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren und ein System zu entwickeln, mit welchen Teilnehmeridentitätsdaten flexibel und sicher verwaltet werden. Dabei ist sicherzustellen, dass die Daten nicht korrumpiert werden können, allerdings trotzdem auf einfache Weise zu dem speziellen Teilnehmeridentitätsmodul übertragen werden können.
Die Aufgabe der Erfindung wird durch die in den nebengeordneten unabhängigen Patentansprüchen beschriebenen Maßnahmen gelöst. Vorteilhafte Ausgestaltungen sind in den jeweils abhängigen Ansprüchen beschrieben.
Die Aufgabe wird insbesondere durch ein Verfahren zum sicheren Verwalten von Teilnehmeridentitätsdaten in einem Teilnehmeridentitätsdatensys- tem beinhaltend einen Teilnehmeridentitätsdatengenerator und eine Teil- nehmeridentitätsdatenverwaltung gelöst. Dabei kann die Teilnehmeridenti- tätsdatenverwaltung über ein Mobilfunksystem Teilnehmeridentitätsdaten in einer Vielzahl von Teilnehmeridentitätsmodulen verwalten. Das Verfahren umfasst die Verfahrensschritte: Kryptografisches Verschlüsseln von Teilnehmeridentitätsdaten mittels eines Speicherschlüssels durch ein Hardware- Sicherheitsmodul; Ablegen der verschlüsselten Teilnehmeridentitätsdaten in einer Teilnehmeridentitätsdaten-Datenbank innerhalb der Teilnehmeridenti- tätsdatenverwaltung; Umverschlüsseln der Teilnehmeridentitätsdaten durch das Hardware-Sicherheitsmodul auf Anfrage des Mobilfunksystems, wobei das Umverschlüsseln das kryptografische Entschlüsseln der Teilnehmeridentitätsdaten mit dem Speicherschlüssel und das kryptografische Verschlüsseln der Teilnehmeridentitätsdaten mit einem Teilnehmeridentitätsmodulschlüs- sel beinhaltet; und Bereitstellen der umverschlüsselten Teilnehmeridentitätsdaten zum Versenden an ein individuelles Teilnehmeridentitätsmodul. Bei einem Teilnehmeridentitätsmodul im Sinne der Erfindung handelt es sich um eine in Baugröße und Ressourcenumf ang reduzierte Computereinheit, welche einen Mikrocontroller und mindestens eine Datenschnittstelle zur Kommunikation mit einem Endgerät aufweist. Dieses Teilnehmeridentitätsmodul weist einen sicheren Speicherbereich auf, in dem die Teilnehmeri- dentitätsdaten sicher eingebracht sind, um Manipulations- und/ oder Missbrauchsversuche bei der Identifizierung und/ oder Authentisierung am Netzwerk zu verhindern. Das Teilnehmeridentitätsmodul ist mittels des Endgeräts betriebsfähig. Bei dem Teilnehmeridentitätsmodul kann es sich beispielsweise um eine Chipkarte, auch Universal Integrated Circuit Card (UICC) oder SIM-Karte, in einem mobilen Funknetz mit auf einem Chip gespeicherten maschinenlesbaren Teilnehmeridentifikationsdaten des Teilnehmers handeln. Derartige Teilnehmeridentifikationsmodule werden mittels Kartenieseeinheiten in ei- nem Endgerät betrieben und sind insbesondere dafür vorgesehen, aus dem Endgerät zum Zweck eines Austausche oder der Verwendung in einem zweiten Endgerät entnommen werden zu können.
Alternativ handelt es sich bei dem Teilnehmeridentitätsmodul um einen in- tegralen Bestandteil des Endgeräts, beispielsweise einen fest verdrahteten elektronischen Baustein. Derartige Teilnehmeridentitätsmodule werden auch als embedded UICC (eUICC) bezeichnet. In dieser Bauform sind diese Teilnehmeridentitätsmodule nicht für eine Entnahme aus dem Endgerät vorgesehen und können prinzipiell nicht einfach ausgetauscht werden. Derartige Teilnehmeridentitätsmodule können auch als embedded Secure Elements, also als eine sichere Hardwarekomponente im Endgerät ausgestaltet sein.
Alternativ handelt es sich bei dem Teilnehmeridentitätsmodul um ein Ma- chine-to-Machine-, kurz M2M-Modul. Diese Module dienen der Fernüberwachung, -kontrolle und -Wartung von Endgeräten wie Maschinen, Anlagen und Systemen. Sie können alternativ auch für Zähleinheiten wie Stromzähler, Warmwasserzähler verwendet werden. Alternativ ist das Teilnehmeridentitätsmodul als eine Softwarekomponente in einem vertrauenswürdigen Teil eines Betriebssystems, einer sogenannten Trusted Execution Environment (TEE) des Endgerätes ausgebildet. Das Teilnehmeridentitätsmodul ist dann beispielsweise innerhalb einer gesicherten Laufzeitumgebung in Form von darin ablaufenden Programmen, sogenann- ten Trustlets ausgebildet.
Unter einem individuellem Teilnehmeridentitätsmodul wird hier ein aus der Vielzahl von - durch die Teilnehmeridentitätsverwaltung - verwalteten Teilnehmeridentitätsmodulen ausgewähltes Modul verstanden, welches per Anfrage von dem Mobilfunksystem die Teilnehmeridentitätsdaten bereitgestellt bekommen soll.
Teilnehmeridentitätsdaten im Sinn der Erfindung sind zum einen Daten, die einen Teilnehmer eindeutig im Kommunikationsnetz identifizieren, bei- spielsweise eine International Mobile Subscriber Identity (IMSI) und/ oder teilnehmerspezifische Daten. Die IMSI ist das in einem Mobilfunkkommuni- kationsnetzwerk eindeutige Teilnehmeridentitätsdatum. Sie setzt sich zusammen aus dem Landescode MCC (Mobile Country Code), dem Netzwerk- code MNC (Mobile Network Code) und einer fortlaufenden Nummer, die vom Netzbetreiber vergeben wird.
Darüber hinaus sind Teilnehmeridentitätsdaten vorzugsweise Daten, die einen Teilnehmer eindeutig am Kommunikationsnetz authentisieren, beispielsweise ein Authentisierungsalgorithmus, spezifische Algorithmuspara- meter, ein kryptografischer Au hentisierungsschlüssel und/ oder ein krypto- grafischer Over-The-Air (OTA) Schlüssel. Die Anzahl der Sätze von Teilnehmeridentitätsdaten auf dem Teilnehmeridentitätsmodul ist nicht beschränkt. Es ist vorstellbar, dass in Zukunft auf einem Teilnehmeridentitätsmodul dreißig oder mehr Sätze von Teilnehmeridentitätsdaten untergebracht werden können. Ein Teilnehmer im Sinn der Erfindung ist beispielsweise eine Person, die mittels des Endgeräts auf Dienste des Kommunikationsnetzes zugreifen möchte. Als ein Teilnehmer ist auch ein Endgerät in einer M2M-Umgebung zu verstehen. Ein Mobilfunksystem im Sinne der Erfindung umf asst zumindest ein Mobil- funkkommunikationsnetz, wobei das Mobilfunksystem bevorzugt eine Mehrzahl unterschiedlicher, insbesondere sich durch Authentisierung, Codierung, Frequenz, Zellgröße, Übertragungstechniken und Dienstangebot unterscheidende Mobilfunkkommunikationsnetze aufweist. Das Mobilfunk- System weist darüber hinaus noch weitere Systemkomponenten auf, die wiederum nicht Teil der Mobilfunkkommunikationsnetze sind, allerdings auf einzelne Komponenten jedes Mobilfunkkornmunikationsnetzes zugreifen können. Diese Komponenten sind unter anderem der Teilnehmeridenti- tätsdatengenerator und die Teilnehmeridentitätsdatenverwaltung. Ein Kornmunikationsnetzwerk im Sinn der Erfindung ist eine technische Einrichtung, auf der die Übertragung von Signalen unter Identifizierung und/ oder Authentisierung des Kommunikationsteilnehmers stattfindet, wodurch Dienste angeboten werden. Das Kommunikationsnetz ist bevorzugt aus Mobilfunkzellen aufgebaut. Insbesondere wird in dieser Erfindung unter einem Mobilfunknetz das„Global System for Mobile Communications", kurz GSM als Vertreter der zweiten Generation, oder das„General Packet Radio Service", kurz GPRS bzw.„Universal Mobile Telecommunica- tions System", kurz UMTS als Vertreter der dritten Generation oder das
„Long Term Evolution", kurz LTE, als Vertreter der vierten Generation verstanden.
Ein Dienst im Sinn der Erfindung ist insbesondere ein Sprachdienst oder ein Datendienst, mit dem Informationen und/ oder Daten über das Kommunikationsnetzwerk übertragen werden.
Der Teilnehmeridentitätsdatengenerator ist eine Instanz des Mobilfunksystems welches in der Lage ist, neue Teilnehmeridentitätsdaten zu generieren, die einem späteren Teilnehmer an dem Mobilfunksystem ermöglichen, sich zur Nutzung von Diensten im Mobilfunksystem zu identifizieren und/ oder authentisieren.
Ein Hardware-Sicherheitsmodul, kurz HSM (dem Fachmann auch als Hard- wäre Security Module bekannt), im Sinn der Erfindung ist eine Vorrichtung für die sichere Verwaltung von Daten und die effiziente und sichere Ausführung kryptographischer Operationen. Somit ermöglicht es das HSM, die Vertrauenswürdigkeit und die Integrität der Teilnehmeridentitätsdaten und der damit verbundenen Informationen in sicherheitskritischen IT-Systemen si- cherzustellen. Um die Vertrauenswürdigkeit zu gewährleisten, müssen die zum Einsatz kommenden kryptographischen Schlüssel sowohl softwaretechnisch als auch gegen physikalische Angriffe oder Seitenkanalangriffe geschützt werden. In einem HSM können verschiedene kryptographische Algorithmen implementiert sein, beispielsweise asymmetrische Verschlüsselungssysteme wie RSA (Verschlüsselung oder Signatur), ECDSA, Diffie- Hellman-Schlüsselaustausch oder Elliptic Curve Cryptography. Alternativ oder zusätzlich kann im HSM auch symmetrische Ver- und Entschlüsselung, insbesondere AES, DES, Triple-DES, IDEA implementiert sein. Alternativ können auch kryptologische Hash-Funktionen, wie SHA-1, SHA-2 implementiert sein. Auch das Erzeugen von Zufallszahlen, Schlüsseln und PINs kann durch ein HSM realisiert werden. HSMs bieten meist umfangreiche Funktionen zum sicheren Verwalten von Daten und kryptograf ischen Schlüsseln. In der Regel werden HSM nach Sicherheitsstandards zertifiziert, wie z. B. FIPS 140-1 und 140-2, DK oder Common Criteria.
Unter einem kryptograf ischen Verschlüsseln wird der Vorgang verstanden, bei dem eine Klarinformation mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine„unleserliche", das heißt nicht einfach interpretierba- re Zeichenfolge (Geheimtext) umgesetzt wird. Als entscheidend wichtige Parameter der Verschlüsselung werden hierbei ein oder auch mehrere Schlüssel verwendet.
Durch das erfindungsgemäße - mit einem Speicherschlüssel verschlüsselte - Ablegen der Teilnehmeridentitätsdaten wird erreicht, dass die Teilnehmeridentitätsdaten zu jedem Zeitpunkt kryptografisch gesichert abgelegt sind. Eine Manipulation oder Korrumpierung der Teilnehmeridentitätsdatenver- waltung zum Erhalt der zu diesem Zeitpunkt bereits gültigen Teilnehmeridentitätsdaten aus der Teilnehmeridentitätsdaten-Datenbank ist somit nicht möglich, da ohne eine Entschlüsselung die Daten nur verschlüsselt vorliegen und nicht verwendet werden können.
Durch das erfindungsgemäße Umverschlüsseln ist sichergestellt, dass eine sichere Umgebung geschaffen wird, um die Daten für das individuelle Teilnehmeridentitätsmodul aufzubereiten.
Alle Verschlüsselungs- und Umverschlüsselungsschritte werden durch ein HSM durchgeführt, wodurch sichergestellt ist, dass die Teilnehmeridentitätsdaten zu jedem Zeitpunkt kryptografisch gesichert sind und nur in spe- ziell gesicherten Umgebungen entschlüsselt werden können.
In einer bevorzugten Ausgestaltung wird der Teilnehmeridentitätsmodul- schlüssel im Hardware-Sicherheitsmodul von einem Hauptschlüssel abgeleitet. Zur Ableitung wird eine teilnehmeridentitätsmodulindividuelle ID ver- wendet, wobei das individuelle Teilnehmeridentitätsmodul die bereitgestellten umverschlüsselten Teilnehmeridentitätsdaten mittels des abgeleiteten Teilnehmeridentitätsmodulschlüssels kryptografisch entschlüsselt. Diese teilnehmeridentitätsmodulindividuelle ID wird bei Herstellung des Teilnehmeridentitätsmoduls in einen Speicherbereich des Teilnehmeridentitäts- moduls abgelegt, was im Allgemeinen als (Vor-) Personalisierung bezeichnet wird. Diese Personalisierung kann entweder beim Chiphersteller selbst oder beim Herausgeber der Teilnehmeridentitätsmodule erfolgen. Auf diese Weise ist eine Individualisierung der Schlüssel erreicht. Diese ID ist insbesondere die Chip ID. Diese Chip ID ist dem HSM zum
Zeitpunkt der Ableitung bekannt und wird zur Generierung des Teilnehme- ridentitätsmodulschlüssels verwendet. Dieser abgeleitete Schlüssel ist auch dem individuellen Teilnehmeridentitätsmodul bekannt und wurde beispielsweise im Rahmen einer Personalisierung in das Modul eingebracht. Somit können die Teilnehmeridentitätsdaten nach dem Laden in das Modul auch entschlüsselt werden.
Bevorzugt werden die Teilnehmeridentitätsdaten im Teilnehmeridentitäts- datengenerator generiert. Weiterhin werden diese nach dem Schritt des kryptograf ischen Verschlüsseins mittels des Speicherschlüssels sowie nach dem Schritt des Umverschlüsselns über einen ersten gesicherten Kanal, insbesondere einen VPN-Kanal, an die Teilnehmeridentitätsdatenverwaltung übermittelt. Auf diese Weise können Datengenerator und Datenverwaltung separiert werden und müssen sich nicht zwangsläufig an einem Ort befinden. Damit kann zur Generierung der Teilnehmeridentitätsdaten weiterhin eine GSMA-SAS zertifizierte Umgebung verwendet werden. Ein weiterer Vorteil ist, dass eine Mehrzahl von Datengeneratoren verwendet werden kann. Die generierten Daten können dann mittels des HSMs verschlüsselt werden und per VPN-Kanal sicher an die Datenverwaltung übermittelt werden. Durch den VPN-Kanal wird demnach eine weitere Sicherheitsstufe eingebaut, um die Daten sicher zu transportieren.
In einer bevorzugten Ausgestaltung wird für den Schritt des Bereitstellens der Teilnehmeridentitätsdaten an das individuelle Teilnehmeridentitätsmodul ein zweiter gesicherter Kanal, insbesondere eine OTA- Verschlüsselung, verwendet. Dabei wird eine OTA- Verschlüsselung von auf dem Sicherheitsmodul zum Zeitpunkt des Ladens aktiven Teilnehmeridentitätsdaten verwendet. Die OTA- Verschlüsselung ist der erfindungsgemäßen Datenverwal- tung zum Zeitpunkt des Bereitstellens bekannt.
In einer bevorzugten Ausgestaltung ist der Speicherschlüssel ausschließlich dem Hardware-Sicherheitsmodul und einem Mobilfunkbetreiber des Mobilfunksystems bekannt. Durch diese vorteilhafte Ausgestaltung wird der Zu- griff auf die Teilnehmeridentitätsdaten auf den beauftragenden Mobilf unk- kommunikationsnetzbetreiber und das HSM selbst beschränkt. Somit hat der Betreiber der Datengenerierung und Datenverwaltung keinen Einfluss auf die Verschlüsselung der Teilnehmeridentitätsdaten.
In einer vorteilhaften Ausgestaltung weist die Teilnehmeridentitätsverwaltung eine Teimehmeridentitätsdatenplattform auf, durch welche die Teilnehmeridentitätsdaten dem individuellen Teilnehmeridentitätsmodul bereitgestellt werden. Diese Plattform ermöglicht eine standardisierte Bereit- Stellung von Teilnehmeridentitätsdaten, die an unterschiedlich strukturierte Mobilfunknetze, Teilnehmeridentitätsmodule bzw. Übertragungsmethoden angepasst ist. Auf diese Weise können unterschiedliche Datengeneratoren, Mobilfunkbetreiber, Modulhersteller und/ oder Modulbetreiber mit der Plattform auf Basis eines einheitlichen Standards kommunizieren und die Teilnehmeridentitätsdaten austauschen.
In einer bevorzugten Ausgestaltung besteht das Mobilfunksystem aus zumindest einem ersten Mobilfunknetz und einem zweiten Mobilfunknetz, wobei die Teilnehmeridentitätsdatenplattf orm mittels eines Gateways die Teilnehmeridentitätsdaten bereitstellt. Dadurch ist eine Mobilfunkbetreiberunabhängigkeit erzielt.
In einer vorteilhaften Ausgestaltung wird dem HSM für die Umverschlüsse- lung eine Speicherschlüssel-ID und eine Hauptschlüssel-ID bzw. Master- schlüssel-ID von der Teilnehmeridentitätsdatenverwaltung bereitgestellt. Somit ist das HSM einerseits in der Lage, aus einer Vielzahl von Speicherschlüsseln den entsprechenden Speicherschlüssel zum Entschlüsseln der mit dem Speicherschlüssel verschlüsselten Teilnehmeridentitätsdaten auszuwählen. Andererseits ist das HSM dadurch in der Lage, auf Basis der Master- schlüssel-ID einen teilnehmerindividuellen Schlüssel abzuleiten und die Teilnehmeridentitätsdaten damit zu verschlüsseln. Die jeweiligen Schlüssel IDs sind mit den verschlüsselten Teilnehmeridentitätsdaten in der Datenbank abgelegt und werden dem HSM automatisch beim Verschlüsseln und Umverschlüsseln bereitgestellt.
Insbesondere weist das HSM eine Vielzahl von Hauptschlüsseln und/ oder Speicherschlüsseln auf, wobei die Hauptschlüssel und/ oder Speicherschlüssel hierarchisch strukturiert sind. Dies ermöglicht eine leichtere Verwaltung der Schlüssel im HSM, insbesondere auch das Löschen von Schlüsseln auf Wunsch des Mobilfunkbetreibers. Durch die Strukturierung der Schlüssel im HSM ist es möglich, ein gesamtes Bündel - ein sogenanntes Batch - von Schlüsseln, die zu einem bestimmten Mobilfunknetzbetreiber, einer Anwendung und/ oder einem bestimmten Projekt gehören, auf einfache Weise zu löschen. Durch das Löschen dieser Schlüssel ist auch der Zugriff auf die mit diesen Schlüsseln verschlüsselten Teilnehmeridentitätsdaten blockiert. Zusätzlich ist durch das Strukturieren der Schlüssel eine Protokollierung ermöglicht, um dem Schlüsselbereitsteller nachweisen zu können, dass die Schlüssel aus dem HSM gelöscht sind.
Im Hinblick auf erweiterte Funktionalitäten der Teilnehmeridentitätsmodule, insbesondere der Teilnehmeridentitätsverwaltung und dem mobilen Bezahlen können somit vielschichtige und vielzählige Schlüsselhierarchien aufgebaut werden. Für jede Hierarchiestufe wird ein eigener Schlüssel gene- riert und im HSM verwaltet.
Bei einer derartigen Ablage / Organisation der Schlüssel und Verschlüsselung der Teilnehmeridentitätsdaten ist es dem Datenverwalter nun möglich gezielt auf Wunsch des Kunden den Zugriff auf einzelne Projekte dauerhaft zu unterbinden. Dies geschieht durch das Löschen des entsprechend hierarchisch angeordneten Schlüssels. Neben dem unterbundenen Zugriff ist in diesem Setup die Beweisbarkeit gewährleistet. Die Hierarchiestufen können anhand von Mobilfunkbetreiber, Zeiträumen, Projekten und/ oder Applikationen gruppiert sein, um nur einige Parameter zum Gruppieren und hierarchischen Anordnen der Schlüssel zu nennen.
In einer bevorzugten Ausgestaltung weist das Teilnehrneridentitätsdatensys- tem zwei Hardware-Sicherheitsmodule auf, wobei das erste Hardware- Sicherheitsmodul die Teilnehmeridentitätsdaten mittels des kryptografi- schen Speicherschlüssels verschlüsselt und wobei das zweite Hardware- Sicherheitsmodul die verschlüsselten Teilnehmeridentitätsdaten mittels des Speicherschlüssels entschlüsselt und mittels des Teilnehmeridentitätsmodul- schlüsseis verschlüsselt. Diese Aufteilung in zwei HSMs hat zwei Vorteile. Der erste Vorteil ist die Erhöhung der Sicherheit durch eine Verteilung der für das Verfahren benötigten Schlüssel auf zwei unterschiedliche und unabhängige Instanzen. Der zweite Vorteil ist die Erhöhung der Flexibilität, denn der Datengenerator verwendet das erste HSM zum Erzeugen der verschlüs- selten Teilnehmeridentitäten. Hierbei wird vorzugsweise wieder die Zertifizierung gemäß GSMA-SAS eingehalten. Das zweite HSM ist logisch dem Datenverwalter zugeordnet und kann bei dieser Ausgestaltung auch Teil des Datenverwalters sein. In einer bevorzugten Ausgestaltung ist der Teilnehmeridentitätsmodul- schlüssel ein Schlüsselset bestehend aus einem Teilnehmeridentitätsdaten- verwaltungsschlüssel und einem Teilnehmeridentitätsdatenverif ikations- schlüssel. Bei der Herstellung des Teilnehmeridentitätsmoduls werden zwei einzigartige AES-Schlüssel (vorzugsweise mit einer Länge von 128 Bit oder mehr), ein Chiffrierschlüssel zur Datenverschlüsselung für die bereitgestellten Daten des Datenverwalters und ein CMAC-Schlüssel für die Überprüfung der bereitgestellten Daten individuell gestaltet. Dieses aus zwei Schlüsseln bestehende Schlüsselset wird von den Hauptschlüsseln durch die teil- nehmeridentitätsmodulindividuelle ID, kurz Chip-ID abgeleitet.
Im Erfindungsgrundgedanken ist ebenfalls ein System zum sicheren Verwalten von Teilnehmeridentitätsdaten enthalten, bestehend aus: einer Teilneh- meridentitätsdatenverwaltung mit einer Teilnehmeridentitätsdaten- Datenbank, beinhaltend Teilnehmeridentitätsdaten in verschlüsselter Form; einem Hardware-Sicherheitsmodul zum Verschlüsseln und Umverschlüsseln von Teilnehmeridentitätsdaten; einem Teilnehmeridentitätsdatengenerator zum Generieren von Teilnehmeridentitätsdaten; und einer Teilnehmeridentitätsplattform zum Bereitstellen der umverschlüsselten Teilnehmeridentitäts- daten an ein individuelles Teilnehmeridentitätsmodul auf Anfrage eines Mobilfunkbetreibers .
Weiterhin ist ein Hardware-Sicherheitsmodul zum Verschlüsseln, Entschlüsseln und Umverschlüsseln von Teilnehmeridentitätsdaten im Erfindungs- grundgedanken enthalten, aufweisend eine Vielzahl von Speicherschlüsseln und/ oder Hauptschlüsseln, wobei diese Schlüssel hierarchisch strukturiert sind und mittels Schlüssel IDs eindeutig referenziert sind.
Nachfolgend werden anhand von Figuren die Erfindung bzw. weitere Aus- führungsformen und Vorteile der Erfindung näher erläutert, wobei die Figuren lediglich Ausführungsbeispiele der Erfindung beschreiben. Gleiche Bestandteile in den Figuren werden mit gleichen Bezugszeichen versehen. Die Figuren sind nicht als maßstabsgetreu anzusehen. Es können einzelne Ele- mente der Figuren übertrieben groß bzw. übertrieben vereinfacht dargestellt sein.
Es zeigen:
Figur 1 Ein erfindungsgemäßes System zum sicheren Verwalten von
Teilnehmeridentitätsdaten
Figur 2 Eine vereinfachte Prinzipzeichnung des erfindungsgemäßen
Verfahrens
Figur 3 Ein skizzenhaftes Ablauf diagramm des erfindungsgemäßen
Verfahrens
Figur 4 Ein erfindungsgemäßes HSM für das sichere Verwalten von
Teilnehmeridentitätsdaten
Figur 5 Eine erfindungsgemäße hierarchische Strukturierung der
Schlüssel im HSM Figur 6 Ein Blockschaltbild eines Sicherheitsmoduls für das erfindungsgemäße Verfahren
Figur 1 zeigt ein erfindungsgemäßes System zum sicheren Verwalten von Teilnehmeridentitätsdaten 73. Dabei ist ein Endgerät 6 mit einem Teilnehme- ridentitätsmodul 7 ausgestattet. Der Aufbau des Teilnehmeridentitätsmoduls 7 wird anhand von Figur 6 näher erläutert. Weiterhin ist ein Mobilfunksystem 5 gezeigt, welches zumindest ein erstes Mobilfunknetz 51 und ein zweites Mobilfunknetz 52 aufweist. Zusätzlich ist ein Gateway in Form eines Short-Message-Service-Center (SMS-C) 53 im Mobilfunksystem 5 enthalten. Das SMS-C ist eine Komponente zum Senden von Nachrichten/ Kommandos zum Mobilfunkendgerät 6. Das SMS-C fungiert als ein Gateway zwischen einer TCP/IP basierten Kommunikation und den entsprechenden Mobilfunkprotokollen. Das SMS-C entkapselt die Nachricht von dem TCP/IP- Protokoll, wodurch die Nachricht zu einer klassischen Nachricht, beispielsweise OTA-SMS wird. Die Mobilfunknetze 51,52 sind dabei klassisch aufgebaut, was durch die symbolhafte Darstellung von Sendemasten und HLR angedeutet wird. Weitere Instanzen der Mobilfunknetze wurden rein aus Übersichtlichkeitsgründen nicht dargestellt. Das System 1 weist weiterhin eine Teilnehmeridentitätsdatenverwaltung 4 mit einer Teilnehmeridentitäts- datenplattform 43 und einer Teilnehmeridentitätsdaten-Datenbank 41 auf. Die Datenbank 41 ist wiederum über eine Dateninputschnittstelle 42 erreichbar. Das System 1 weist weiterhin einen Datengenerator 2 mit einem HSM 3 auf. Der Datengenerator kann weiterhin eine Datenschnittstelle 21 aufwei- sen.
Für den normalen Betrieb des Moduls 7 sei angenommen, dass in dem Modul 7 zwei Sätze von Teilnehmeridentitätsdaten geladen sind, um sich am ersten Netz 51 oder am zweiten Netz 52 zu identifizieren/ authentisieren. Dabei sind erste Teilnehmeridentitätsdaten 73 (d.h. ein erster Satz von Teilnehmeridentitätsdaten) aktiv, womit das Nutzen von Diensten am ersten Netz 51 ermöglicht ist. Nun kann der Nutzer des Endgeräts 6 (=Teilnehmer) auf die noch nicht aktiven Teilnehmeridentitätsdaten 73 wechseln, um
Dienste des zweiten Netzes 52 nutzen zu können. Das Wechseln kann prin- zipiell teilnehmerseitig, endgeräteseitig oder netzseitig initiiert werden. Zunächst müssen die inaktiven Teilnehmeridentitätsdaten 73 aktiviert werden. Ausgehend von einer netzwerkseitigen Initiierung erbittet das zweite Netzwerk 52 die Aktivierung der Teilnehmeridentitätsdaten 73 an der Datenverwaltung 4 über das Gateway 53. Mittels der Plattform 43 in Verbindung mit der Datenbank 41 wird im Datenverwalter (bzw. der Datenverwaltung) 4 der Status des individuellen Moduls 7 ermittelt und via OTA-Kommandos das Aktivieren der Teilnehmeridentitätsdaten 73 für das zweite Netzwerk 52 über einen zweiten gesicherten Kanal 9 veranlasst. Nach der Aktivierung wird durch die Plattform 43 der Wechsel der Teilnehmeridentitätsdaten 73 vom ersten Netzwerk 51 auf das zweite Netzwerk 52 veranlasst. Das Modul 7 wird aus dem HLR des ersten Netzwerks 51 ausgetragen und in das HLR des zweiten Netzwerks 52 eingetragen, wie dies durch die Pfeile angedeutet ist. Die gesamte Kommunikation zwischen den Netzwerken 51, 52 und dem Modul 7 erfolgt auf Basis von OTA-verschlüsselten Kanälen 9, so dass ein Abhören der Kommunikation unterbunden ist. Dabei werden stets die OTA- Schlüssel der aktivierten Teilnehmeridentitätsdaten 73 verwendet, da das Modul 7 nur über die aktivierten Teilnehmeridentitätsdaten 73 über das Mobilfunksystem 5 erreichbar ist. Die Status der Teilnehmeridentitätsdaten 73 wird mittels der Plattform 43 überwacht und verwaltet. Eine entsprechende Aktualisierung der Datenbank 41 erfolgt ebenfalls.
Sollen nun weitere Teilnehmeridentitätsdaten 73, d.h. ein oder mehrere weitere Sätze von Teilnehmeridentitätsdaten 73, dem Modul 7 bereitgestellt werden, beispielsweise zur Identifizierung an einem dritten - hier nicht dargestellten - Netzwerk des Mobilfunksystems 5, wird wie folgt vorgegangen: Über eine Datenschnittstelle 21 werden Teilnehmeridentitätsdaten 73 dem Datengenerator 2 übermittelt. Alternativ erzeugt der Generator 2 die Daten 73 selbst. Mittels des HSM 3 werden diese Daten 73 zunächst mit einem Speicherschlüssel Ks 32 verschlüsselt und über einen ersten sicheren Kanal 8 an den Datenverwalter übertragen. Alternativ sind die Daten 73 bereits in der Datenbank 41 enthalten. Sobald die Daten 73 dem Modul 7 bereitgestellt werden sollen, insbesondere auf Anfrage des dritten Netzes, werden die Daten 73 über den zweiten Kanal 8 an das HSM 3 übertragen, dort mit dem Speicherschlüssel 32 entschlüsselt und mit einem abgeleiteten modulindividuellen Schlüssel 31' verschlüsselt und dem Datenverwalter 4 wieder über den ersten Kanal 8 zurückübermittelt. Der abgeleitete Schlüssel 31' wird dabei aus einer teilnehmeridentitäts- modulindividuellen ID 74 und dem Hauptschlüssel 31 abgeleitet, wozu insbesondere ein DES- oder ein AES-Kryptographie- Algorithmus verwendet wird.
Die Plattform 43 erhält die umverschlüsselten Daten 73 und stellt diese über den zweiten gesicherten Kanal 9 dem Modul 7 zur Verfügung. Dort werden die Daten mittels der teilnehmeridentitätsmodulindividuellen ID 74 und dem abgeleiteten Schlüssel 31 'entschlüsselt. Dieser Vorgang wird als Laden der Teilnehmeridentitätsdaten 73 bezeichnet.
In Figur 2 ist eine Prinzipdarstellung des Verfahrens dargestellt. Der Datengenerator 2 weist das HSM 3 auf, in welchem der Speicherschlüssel Ks 32 sowie der Hauptschlüssel KM 31 sicher eingebracht sind. Die mit dem
Schlüssel 32 verschlüsselten Daten 73 werden über den ersten gesicherten Kanal 8 in die Datenbank 41 des Datenverwalters 4 übertragen. Sobald eine Anfrage des Mobilfunksystems 5, des Endgeräts 6 oder des Moduls 7 zum Datenverwalter 4 gelangt, werden die verschlüsselten Daten 73 über den ersten gesicherten Kanal 8 an das HSM 3 gesendet, dort mittels dem - aus der teilnehmeridentitätsmodulindividuellen ID 74 und dem Hauptschlüssel 31 - abgeleiteten Schlüssel 31' umverschlüsselt und über den ersten gesicherten Kanal 8 an den Datenverwalter 4 gesendet. Im Datenverwalter 4 wird der zweite gesicherte OTA-Kanal 9 zum Modul 7 aufgebaut. Die Daten 73 werden über den zweiten gesicherten Kanal 9 dem Modul 7 bereitgestellt. Mit- tels dem im Modul 7 eingebrachten abgeleiteten Schlüssel 31' werden die Daten 73 final entschlüsselt und als ein Teilnehmerprofil 71 angelegt (siehe auch Figur 6). In Figur 3 ist ein Ablauf diagramm des erfindungsgemäßen Verfahrens dargestellt. Der Teilnehmeridentitätsmodulherausgeber 10 bringt in einem Per- sonalisierungsschritt A den modulindividuellen Schlüssel 31' sowie eine modulindividuelle ID 74 in das Modul 7 ein und gibt das Modul 7 aus. Der Teilnehmeridentitätsmodulherausgeber 10 teilt dem HSM 3 die Chip-ID 74 mit und gibt die Schlüssel-ID 310 des Hauptschlüssels 31 an. Alternativ ist zu diesem Zeitpunkt bereits ein Mobilfunknetzbetreiber im Besitz des Moduls 7, der teilnehmerindividuelle Schlüssel 31' wird vom Hauptschlüssel 31 abgeleitet und in das Modul 7 eingebracht. Alternativ ist der Teilnehmeridenti- tätsmodulherausgeber 10 auch der Datengenerator 2. Der Datengenerator 2 erhält über die Datenschnittstelle 21 Teilnehmeridentitätsdaten 73 in gesicherter Form. Diese Daten werden im Schritt B der Figur 3 im HSM 3 mit einem Speicherschlüssel 32 verschlüsselt. Der Speicherschlüssel 32 ist mittels einer Speicherschlüssel-ID 320 eindeutig referenziert. Die mit dem Speicherschlüssel 32 verschlüsselten Daten 73 werden über den ersten gesicherten Kanal 8 an den Datenverwalter 4 übermittelt. Dabei können unterschiedliche Mechanismen zur Sicherungen des Kanals 8 angewendet werden, beispielsweise eine symmetrische oder asymmetrische Verschlüsselung und/ oder ein VPN-Kanal. Die Daten 73 werden im Datenverwalter 4 in mit dem Speicherschlüssel 32 verschlüsselter Form abgelegt.
Wenn zu einem bestimmten Zeitpunkt die Daten 73 einem individuellen Modul 7 bereitzustellen sind, beispielsweise auf Anfrage eines im Mobilfunksystem 5 fungierenden Mobilfunknetzwerks über die Plattform 43, werden die verschlüsselten Daten 73 im Schritt C dem HSM 3 über den ersten gesicherten Kanal 8 zurückübertragen. Vorzugsweise erfolgt in einem zweiten HSM 3' die Umverschlüsselung anhand Schritt D, das heißt die Entschlüsselung der Daten 73 mit dem Speicherschlüssel 32 und die Verschlüsselung der Daten 73 mit dem abgeleiteten Schlüssel 31' des Hauptschlüssels 31. Dazu ist dem HSM 3' die Chip-ID 74 als modulindividuelle ID 74 zur Verfügung zu stellen, was auch vom Datenverwalter 4 übernommen wird. Weiterhin wird dem HSM 3' eine Hauptschlüssel-ID 310 bereitgestellt. Hierfür ist insbesondere die Plattform 43 zuständig. Mit diesen Bereitstellungen ist sichergestellt, dass der abgeleitete Schlüssel 31' vom richtigen Haupt- Schlüssel 31 abgeleitet wurde und für das richtige individuelle Modul 7 abgeleitet wurde. Die umverschlüsselten Daten 73 werden im Schritt E über den ersten sicheren Kanal 8 wieder dem Datenverwalter 4 übertragen.
Wie bereits vorstehend beschrieben und wie dies in Figur 3 dargestellt ist, sind - für die Erfindung bevorzugt - zwei HSM 3, 3' für das System 1 vorgesehen. Die Verschlüsselung mit dem Speicherschlüssel 32 wird dabei vom ersten HSM 3 übernommen, und die Umverschlüsselung mit dem abgeleiteten Hauptschlüssel 31' wird vom zweiten HSM 3' übernommen. Diese Trennung der HSM dient zur Erhöhung der Sicherheit und zur Steigerung der Flexibilität. Das erste HSM 3 ist dabei im Datengenerator 2 eingebracht und kann die Daten 73 ohne Mobilfunkkommunikation, also offline verschlüsseln. Es ist zur Verschlüsselung keine Verbindung zum Datenverwalter 4 oder dem Mobilfunksystem 5 notwendig, wodurch die Sicherheit beträchtlich erhöht ist. Das zweite HSM 3' wird zur Umverschlüsselung verwendet und arbeitet die Umverschlüsselung mittels der von der Plattform 43 bereitgestellten Chip-ID 74 und Hautpschlüssel-ID 310 ab. Dieses Abarbeiten kann bevorzugt online erfolgen. Das zweite HSM 3' passt die Teilnehmeridentitätsdaten 73 an das jeweilige individuelle Modul 7 an. Genauere Abläufe zur Ver- und Umverschlüsselung im HSM 3 können der Beschreibung zu Figur 4 entnommen werden.
Mittels der Plattform 43 im Datenverwalter 4 wird ein zweiter sicherer Kanal 9 zu dem individuellen Modul 7 aufgebaut, um dann im Schritt F die umverschlüsselten Daten 73 dem Modul 7 bereitzustellen. Das Modul 7 kann dann in einem nichtgezeigten Schritt G die Daten 73 mit dem im Modul 7 während der Personalisierung eingebrachten abgeleiteten Schlüssel 31' entschlüsseln und verwenden.
In Figur 4 ist ein erf indungsgemäßes HSM 3 dargestellt, wie es zur Verschlüsselung und Umverschlüsselung verwendet wird. Das Modul 3 weist eine Vielzahl von Speicherschlüsseln 32 und Hauptschlüsseln 31 auf. Jeder Speicherschlüssel 32 ist anhand einer Speicherschlüssel-ID 320 eindeutig re- ferenziert. Jeder Hauptschlüssel 31 ist anhand einer Hauptschlüssel-ID 310 eindeutig referenziert. In Figur 4 ist nun exemplarisch das Umverschlüsseln gemäß Schritt D der Figur 3 dargestellt. Dazu erhält das HSM 3 die mit dem Speicherschlüssel 32 verschlüsselten Daten 73 von dem Datenverwalter 4 über den ersten sicheren Kanal 8. Mit diesen verschlüsselten Daten 73 erhält das HSM 3 weiterhin die Speicherschlüssel-ID 320, wodurch dem HSM 3 angezeigt wird, mit welchem Speicherschlüssel 32 die Daten 73 verschlüsselt sind. Mit diesen verschlüsselten Daten 73 erhält das HSM 3 weiterhin die Hauptschlüssel-ID 310, wodurch dem HSM 3 angezeigt wird, mit welchem Hauptschlüssel 31 der teilnehmeridentitätsmodulindividuelle Schlüssel 31' abzuleiten ist. Mit diesen verschlüsselten Daten 73 erhält das HSM 3 weiterhin die Chip-ID 74, wodurch dem HSM 3 angezeigt wird, für welches Modul 7 der teilnehmeridentitätsmodulindividuelle Schlüssel 31' abzuleiten ist. Die Speicherschlüssel-ID 320, die Hauptschlüssel-ID 310 und die Chip-ID 74 werden mit den verschlüsselten Daten 73 dem HSM 3 in einem Datensatz zur Verfügung gestellt. Alternativ fragt das HSM 3 die Speicherschlüssel-ID 320, die Hauptschlüssel-ID 310 und die Chip-ID 74 vom Datenverwalter 4 ab. Der Datenverwalter 4 erhält insbesondere die Hauptschlüssel-ID 310 und die Chip-ID 74 über die Plattform 43 aus dem Mobilfunksystem 5 und/ oder von dem Datengenerator 2 über die Schnittstelle 21.
Im HSM 3 wird anhand der Speicherschlüssel-ID 320 der entsprechende Speicherschlüssel 32 aus einer Vielzahl von Speicherschlüsseln im HSM 3 ausgewählt und die Daten 73 werden mittels des entsprechenden Speicher- schlüsseis 32 entschlüsselt. Zu diesem Zeitpunkt liegen die Daten 73 im Klartext, d.h. unverschlüsselt im HSM 3 vor.
Im nächsten Schritt wird anhand der Hauptschlüssel-ID 310 der entsprechende Hauptschlüssel 31 aus einer Vielzahl von Hauptschlüsseln im HSM 3 ausgewählt. Die Hauptschlüssel 31 sind ausschließlich dem HSM 3 und dem entsprechenden Inhaber des Hauptschlüssels 31, insbesondere einem Mobilfunkanbieter, bekannt. Anhand der Chip-ID 74 wird aus dem Hauptschlüssel 31 der teilnehmeridentitätsmodulindividuelle Schlüssel 31' abgeleitet. Mittels des teilnehmeridentitätsmodulindividuellen Schlüssels 31' werden die Daten 73 verschlüsselt, wodurch der Schritt des Umverschlüsselns abgeschlossen ist. Anschließend werden die umverschlüsselten Daten 73 über den ersten sicheren Kanal 8 an den Datenverwalter 4 zurückübertragen und dort mittels der Plattform 43 über einen zweiten verschlüsselten Kanal 9 dem jeweiligen Modul 7 bereitgestellt.
Bevorzugt werden beim Ableiten vom Hauptschlüssel 31 ein Schlüssel-Set aus abgeleitetem Schlüssel 31' und einem Überprüfungsschlüssel erzeugt, wodurch alle Daten 73 auf Plausibilität und Datenintegrität überprüft wer- den können. Die Schlüssel sind vorzugsweise AES-Schlüssel mit einer Größe von 128 Bits.
Wie dies bereits vorstehend beschrieben worden ist, kann das HSM 3 gemäß einer bevorzugten Ausführungsform der Erfindung in ein erstes HSM 3 und ein zweites HSM 3' aufgeteilt werden. Für den Fall, dass das zweite HSM 3' im Datenverwalter 4 sicher integriert ist, kann der erste sichere Kanal 8 entfallen. In Figur 5 ist eine hierarchische Strukturierung der Speicherschlüssel 32 und/ oder der Hauptschlüssel 31 dargestellt. Im Hinblick auf erweiterte Funktionalitäten muss einem Schlüsselinhaber, insbesondere einem Mobilfunkbetreiber die Möglichkeit geschaffen werden, die Daten 73 projekt- bzw. anwendungsbezogen zu gruppieren. Dazu werden die Daten 73 entspre- chend der in Figur 5 dargestellten hierarchischen Struktur im HSM 3 angeordnet. Im Datenverwalter 4 werden diese Daten ebenfalls gemäß dieser hierarchischen Struktur angeordnet. Für jeden Unter datensatz wird ein eigener Hauptschlüssel 31 und/ oder Speicherschlüssel 32 generiert und in das HSM 3 eingebracht. Beispielhaft könnten bei einem Mobilfunkbetreiber für unter- schiedlichste Applikationen, beispielsweise NFC-Payment Anwendungen oder auch für jede Art von Teilnehmeridentitätsdaten ein eigenes Projekt in Kombination mit Dienstanbietern angelegt werden. Falls der Mobilfunkbetreiber nun eine dieser Kombinationen nicht mehr unterstützen möchte, müssen die Module 7 für derartige Dienste gesperrt werden. Dies erfolgt einfach dadurch, dass die entsprechenden Hauptschlüssel 31 und/ oder Speicherschlüssel 32 gelöscht werden.
In Figur 5 ist die oberste Hierarchieebene die Kundenebene. Dies sind insbesondere Mobilfunkanbieter, die jeweils ein Mobilfunknetz 51, 52 im Mobil- funksystem 5 betreiben. In Figur 5 sind drei unterschiedliche Mobilfunkbetreiber angedeutet. Die nächstliegende Hierarchieebne ist die Projektebene, in der beispielsweise ein Bezahldienst als Projekt 1, ein Mobilfunkdaten- dienst als Projekt 2 und ein Mobilfunksprachdienst als Projekt 3 für den Mo- bilfunkbetreiber„Kunde!" angelegt sind. Weitere Projekte können für jeden Kunden hinzugefügt werden. Im Bezahldienst„Projekt 1" von Kunde 1 sind nun drei unterschiedliche Bank- bzw. Bezahlschemata vorgesehen, beispielsweise ein NFC-Bezahlsystem, ein Kreditbezahlsystem oder ein Debit- bezahlsystem mit Bank 1, Bank 2 und Bank 3. Für jedes einzelne Schema werden nun eigene Hauptschlüssel 31 und Speicherschlüssel 32 generiert und im HSM eingetragen. Dies ermöglicht ein schemabezogenes Löschen, wobei andere Projekte und Schemata nicht betroffen sind und weiter vom HSM 3 bearbeitet werden können. Dieses starke Strukturieren der Schlüssel 31, 32 ermöglicht ein sehr einfaches Verwalten und Löschen im HSM 3. Zu- sätzlich zum Löschen ist mit diesem Setup die Beweisbarkeit gewährleistet, wodurch die Verwaltung des HSM 3 wesentlich vereinfacht wird. Die Schlüssel-IDs 310 und 320 zeigen stets den entsprechenden Schlüssel 31, 32 an, wodurch die Auswahl des entsprechenden Schlüssels aus der Vielzahl von Schlüsseln im HSM 3 wesentlich erleichtert ist.
In Figur 6 ist ein Teilnehmeridentitätsmodul 7 für die Verwendung im erfindungsgemäßen Verfahren dargestellt. Dabei ist im Teilnehmeridentitätsmodul 7 ein Betriebssystem mit einem damit verknüpften allgemeinen Dateisystem abgelegt, wobei das Dateisystem über das Betriebssystem administrier- bar ist. Ein Speicherbereich mit teilnehmerspezifischen Daten ist ebenfalls mittels des Betriebssystems administrierbar. Das Teilnehmeridentitätsmodul 7 ist mit einer Mehrzahl von Teilnehmerprofilen 71 ausgestattet. Jedes Teilnehmerprofil 71 gemäß Figur 6 beinhaltet Teilnehmeridentitätsdaten 73, die einen Teilnehmer an jeweils unterschiedlichen Kommunikationsnetzen 51, 52 eindeutig identifizieren und/ oder authentisieren. Die Profile 71 sind dabei einzeln hinzufügbar, aktivierbar, nutzbar, deaktivierbar und auch löschbar. Eine Administration der Profile 71 und der dafür notwendigen Daten, Au- thentisierungen und Verschlüsselungen wird mittels einer im Teilnehmeri- dentitätsmodul 7 eingebrachten Applikation 72, kurz SMC- Applet durchgeführt. Das SMC- Applet 72 steht in Kommunikationsverbindung mit der Plattform 43 des Datenverwalters 4.
In einem entsprechenden Sicherheitsbereich sind der abgeleitete teilnehme- ridentitätsmodulindividuelle Schlüssel 31' sowie die Chip-ID 74 eingebracht. Dieser Sicherheitsbereich wird während der Personalisierung des Moduls 7 eingerichtet. Die jeweiligen Daten für die Teilnehmerprofile 71 werden insbesondere über eine Luftschnittstelle, insbesondere Over-The-Air (OTA) aber auch über Internetverbindung (Over-The-Internet, kurz OTI) in das Teilnehmeridentitätsmodul 7 geladen. Jedes Profil weist dazu OTA-Schlüssel KOTA auf, mit denen ein zweiter gesicherter Kanal 9 mit der Plattform 43 aufgebaut werden kann. Zu beachten ist, dass eine Kommunikation über das Mobilfunksystem 5 zwischen dem Modul 7 und dem Datenverwalter 4 in der Regel nur mittels der aktivierten Teilnehmeridentitätsdaten 73 möglich ist.

Claims

P a t e n t a n s p r ü c h e
1. Verfahren zum sicheren Verwalten von Teilnehmeridentitätsdaten (73) in einem Teilnehmeridentitätsdatensystem, beinhaltend einen Teilnehmeri- dentitätsdatengenerator (2) und eine Teilnehmeridentitätsdatenverwaltung (4), wobei die Teilnehmeridentitätsdatenverwaltung (4) über ein Mobilfunksystem (5) Teilnehmeridentitätsdaten (73) in einer Vielzahl von Teilnehmeri- dentitätsmodulen (7) verwalten kann, mit den Verfahrensschritten:
Kryptografisches Verschlüsseln von Teilnehmeridentitätsdaten (73) mittels eines Speicherschlüssels (32) durch ein Hardware-Sicherheitsmodul (3);
Ablegen (B) der verschlüsselten Teilnehmeridentitätsdaten (73) in einer Teilnehmeridentitätsdaten-Datenbank (41) innerhalb der Teilnehmeridenti- tätsdatenverwaltung (4);
Umverschlüsseln (D) der Teilnehmeridentitätsdaten (73) durch das Hardware-Sicherheitsmodul (3) auf Anfrage des Mobilfunksystems (5), wobei das Umverschlüsseln (D) das kryptografische Entschlüsseln der Teilnehmeridentitätsdaten (73) mit dem Speicherschlüssel (32) und das kryptograf i- sehe Verschlüsseln der Teilnehmeridentitätsdaten (73) mit einem Teilnehme- ridentitätsmodulschlüssel (31') beinhaltet; und
Bereitstellen (F) der umverschlüsselten Teilnehmeridentitätsdaten (73) zum Versenden an ein individuelles Teilnehmeridentitätsmodul (7).
2. Verfahren nach Anspruch 1, wobei der Teilnehmeridentitätsmodul- schlüssel (31') im Hardware-Sicherheitsmodul (3) aus einem Hauptschlüssel (31) abgeleitet wird und zur Ableitung eine teilnehmeridentitätsmodulindi- viduelle ID (74) verwendet wird und wobei das individuelle Teilnehmeridentitätsmodul (7) die bereitgestellten umverschlüsselten Teilnehmeridenti- tätsdaten (73) mittels des abgeleiteten Teilnehmeridentitätsmodulschlüssels (31') kryptografisch entschlüsselt.
3. Verfahren nach Anspruch 1 oder 2, wobei die Teilnehmeridentitätsdaten (73) im Teilnehmeridentitätsdatengenerator (2) generiert werden und nach dem Schritt des kryptograf ischen Verschlüsseins mittels des Speicherschlüssels (32) sowie nach dem Schritt des Umverschlüsselns (D) über einen ersten gesicherten Kanal (8), insbesondere einen VPN-Kanal, an die Teilnehmeri- dentitätsdatenverwaltung (4) übermittelt werden.
4. Verfahren nach einem der vorhergehenden Ansprüche, wobei für den Schritt des Bereitstellens (F) der Teilnehmeridentitätsdaten (73) an das individuelle Teilnehmeridentitätsmodul (7) ein zweiter gesicherter Kanal (9), insbesondere eine OTA- Verschlüsselung, verwendet wird.
5. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Speicherschlüssel (32) und/ oder der Hauptschlüssel (31) ausschließlich dem Hardware-Sicherheitsmodul (3) und einem Mobilfunkbetreiber des Mobilfunksystems (5) bekannt ist.
6. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Teilnehmeridentitätsverwaltung (4) eine Teilnehmeridentitätsdatenplattform (43) aufweist, durch welche die Teilnehmeridentitätsdaten (73) dem individuellen Teilnehmeridentitätsmodul (7) bereitgestellt (F) werden.
7. Verfahren nach einem der vorhergehenden Ansprüche, wobei dem Hardware-Sicherheitsmodul (3) für die Umverschlüsselung (D) eine Spei- cherschlüssel-ID (320) und eine Hauptschlüssel-ID (310) von der Teilnehme- ridentitätsdatenverwaltung (4) bereitgestellt werden.
8. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Hardware-Sicherheitsmodul (3) eine Vielzahl von Hauptschlüsseln (31) und/ oder Speicherschlüsseln (32) aufweist, wobei die Hauptschlüssel (31) und/ oder Speicherschlüssel (32) hierarchisch strukturiert sind.
9. Verfahren nach Anspruch 8, wobei die Hauptschlüssel (31) und/ oder die Speicherschlüssel (32) nach vorgegebenen Parametern gruppiert sind.
10. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Teil- nehmeridentitätsdatensystem zwei Hardware-Sicherheitsmodule (3, 3') aufweist, wobei das erste Hardware-Sicherheitsmodul (3) die Teilnehmeridentitätsdaten (73) mittels des Speicherschlüssels (32) verschlüsselt und wobei das zweite Hardware-Sicherheitsmodul (31) die verschlüsselten Teilnehmeridentitätsdaten (73) mittels des Speicherschlüssels (32) entschlüsselt und mittels des Teilnehmeridentitätsmodulschlüssels (31') verschlüsselt.
11. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Teil- nehmeridentitätsmodulschlüssel (31') ein Schlüsselset bestehend aus einem Teilnehmeridentitätsdatenverwaltungsschlüssel und einem Teilnehmeriden- titätsdatenverifikationsschlüssel ist.
12. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Mobilfunksystem (5) aus zumindest einem ersten Mobilfunknetz (52) und einem zweiten Mobilfunknetz (53) besteht, wobei die Teilnehrneridentitätsdaten- plattform (43) mittels eines Gateways (51) die Teilnehmeridentitätsdaten (73) bereitstellt.
13. System zum sicheren Verwalten von Teilnehmeridentitätsdaten (73) bestehend aus:
einer Teilnehmeridentitätsdatenver waltung (4) mit einer Teilnehmeridentitätsdaten-Datenbank (43), beinhaltend Teilnehmeridentitätsdaten (73) in verschlüsselter Form;
einem Hardware-Sicherheitsmodul (3) zum Verschlüsseln und Umverschlüsseln (D) von Teilnehmeridentitätsdaten (73);
einem Teilnehmeridentitätsdatengenerator (2) zum Generieren von Teilnehmeridentitätsdaten (73); und
- einer Teilnehmeridentitätsplattform (43) zum Bereitstellen der umverschlüsselten Teilnehmeridentitätsdaten (73) an ein individuelles Teilnehmeridentitätsmodul (7) auf Anfrage des Mobilfunksystems (5).
14. System nach Anspruch 13 zur Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche 1 bis 12.
15. Hardware-Sicherheitsmodul (3) zum Verschlüsseln, Entschlüsseln und Umverschlüsseln (D) von Teilnehmeridentitätsdaten (73), aufweisend eine Vielzahl von Speicherschlüsseln (32) und/ oder Hauptschlüsseln (31), wobei diese Schlüssel (31, 32) hierarchisch strukturiert sind und mittels Schlüssel- IDs (310, 320) eindeutig referenziert sind.
PCT/EP2013/002933 2012-10-25 2013-09-30 Verfahren zum sicheren verwalten von teilnehmeridentitätsdaten WO2014063775A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102012020987.8A DE102012020987A1 (de) 2012-10-25 2012-10-25 Verfahren zum sicheren Verwalten von Teilnehmeridentitätsdaten
DE102012020987.8 2012-10-25

Publications (1)

Publication Number Publication Date
WO2014063775A1 true WO2014063775A1 (de) 2014-05-01

Family

ID=49304877

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2013/002933 WO2014063775A1 (de) 2012-10-25 2013-09-30 Verfahren zum sicheren verwalten von teilnehmeridentitätsdaten

Country Status (2)

Country Link
DE (1) DE102012020987A1 (de)
WO (1) WO2014063775A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012025085A1 (de) 2012-12-20 2014-07-10 Giesecke & Devrient Gmbh Teilnehmeridentitätsmodul und Verfahren zum Betreiben eines Teilnehmeridentitätsmoduls
DE102019006989A1 (de) * 2019-10-08 2021-04-08 Diehl Metering Systems Gmbh Verfahren zum Paaren eines Zählers mit einem Kommunikationsmodul

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110131421A1 (en) * 2009-12-02 2011-06-02 Fabrice Jogand-Coulomb Method for installing an application on a sim card
US20120108204A1 (en) * 2010-10-28 2012-05-03 Schell Stephan V Management systems for multiple access control entities
US20120260090A1 (en) * 2011-04-05 2012-10-11 Jerrold Von Hauck Apparatus and methods for storing electronic access clients

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8094817B2 (en) * 2006-10-18 2012-01-10 Telefonaktiebolaget Lm Ericsson (Publ) Cryptographic key management in communication networks
US8032181B2 (en) * 2007-09-01 2011-10-04 Apple Inc. Service provider activation with subscriber identity module policy
KR101683883B1 (ko) * 2009-12-31 2016-12-08 삼성전자주식회사 이동 통신 시스템에서 보안을 지원하는 방법 및 시스템
US8707022B2 (en) * 2011-04-05 2014-04-22 Apple Inc. Apparatus and methods for distributing and storing electronic access clients

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110131421A1 (en) * 2009-12-02 2011-06-02 Fabrice Jogand-Coulomb Method for installing an application on a sim card
US20120108204A1 (en) * 2010-10-28 2012-05-03 Schell Stephan V Management systems for multiple access control entities
US20120260090A1 (en) * 2011-04-05 2012-10-11 Jerrold Von Hauck Apparatus and methods for storing electronic access clients

Also Published As

Publication number Publication date
DE102012020987A1 (de) 2014-04-30

Similar Documents

Publication Publication Date Title
DE102017212994B3 (de) INSTALLATION UND TESTEN EINES ELEKTRONISCHEN TEILNEHMERIDENTITÄTSMODULS (eSIM)
EP2749003B1 (de) Verfahren zur authentisierung eines telekommunikationsendgeräts umfassend ein identitätsmodul an einer servereinrichtung eines telekommunikationsnetzes, verwendung eines identitätsmoduls, identitätsmodul und computerprogramm
DE102010027586B4 (de) Verfahren zum kryptographischen Schutz einer Applikation
CN108683510A (zh) 一种加密传输的用户身份更新方法
DE102020003275B3 (de) Personalisierung eines Secure Element
EP3157192A1 (de) Verfahren und system für eine asymmetrische schlüsselherleitung
EP3595237B1 (de) Nachladen kryptographischer programminstruktionen
EP3391612B1 (de) Vereinbarung von austausch-schlüsseln ausgehend von zwei statischen asymmetrischen schlüssel-paaren
DE102017121648B3 (de) Verfahren zum anmelden eines benutzers an einem endgerät
DE602004011836T2 (de) Verfahren zur Sicherung einer Mobiltelefonkennung und entsprechendes Mobiltelefon
WO2014063775A1 (de) Verfahren zum sicheren verwalten von teilnehmeridentitätsdaten
EP3050244B1 (de) Bereitstellung und verwendung pseudonymer schlüssel bei hybrider verschlüsselung
DE102018102608A1 (de) Verfahren zur Benutzerverwaltung eines Feldgeräts
EP1801724A2 (de) Verfahren und Anordnung zum Bereitstellen sicherheitsrelevanter Dienste durch ein Sicherheitsmodul einer Frankiermaschine
EP3882796A1 (de) Nutzerauthentifizierung unter verwendung zweier unabhängiger sicherheitselemente
DE102016000324B4 (de) Verfahren zur Verwaltung von Identifikationsdaten mehrerer Anwendungen
DE102017012249A1 (de) Mobiles Endgerät und Verfahren zum Authentifizieren eines Benutzers an einem Endgerät mittels mobilem Endgerät
CN110853186A (zh) 一种蓝牙门禁系统及其开锁方法
DE19938190A1 (de) Verfahren zur verschlüsselten Übertragung von Daten zwischen zwei Instanzen eines digitalen Kommunikationssystems
DE102015014168A1 (de) Verfahren zur Verteilung privater Schlüssel von Benutzern auf Mobilgeräte
DE102020202532A1 (de) Vorrichtungen und verfahren zur authentifizierung
DE102018005502A1 (de) Sicherung einer Datenübertragung
DE102021103993A1 (de) Initialisieren applikationsspezifischer kryptographischer Sicherheitsfunktionen
DE102022000931A1 (de) Universal integrated chip card, UICC, zum Verwalten von Authentisierungsdaten, sowie Verfahren
EP4138337A1 (de) Absichern von zutrittsrechten in einem schliessanlagensystem mit einem elektronischen zutrittsmedium

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 13773607

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 13773607

Country of ref document: EP

Kind code of ref document: A1