WO2015124317A1 - Method for remotely managing a data element stored on a security element - Google Patents

Method for remotely managing a data element stored on a security element Download PDF

Info

Publication number
WO2015124317A1
WO2015124317A1 PCT/EP2015/000402 EP2015000402W WO2015124317A1 WO 2015124317 A1 WO2015124317 A1 WO 2015124317A1 EP 2015000402 W EP2015000402 W EP 2015000402W WO 2015124317 A1 WO2015124317 A1 WO 2015124317A1
Authority
WO
WIPO (PCT)
Prior art keywords
security element
change request
memory access
data
partial
Prior art date
Application number
PCT/EP2015/000402
Other languages
German (de)
French (fr)
Inventor
Bernhard Inderst
Tobias Beschnidt
Alexander SUMMERER
Original Assignee
Giesecke & Devrient Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke & Devrient Gmbh filed Critical Giesecke & Devrient Gmbh
Priority to EP15706679.6A priority Critical patent/EP3111679A1/en
Publication of WO2015124317A1 publication Critical patent/WO2015124317A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party

Definitions

  • the invention relates to a method and a system for the remote management of a data element stored on a security element.
  • Security elements can be used for different purposes for the secure storage of data elements. Often, security elements have user identification data, such as e.g. a password or a PIN, deposited. A user can authorize functions of the security element by entering the password or the PIN, preferably via a device connected to the security element.
  • user identification data such as e.g. a password or a PIN
  • the prior art discloses methods for remotely managing data elements and in particular PINs on a security element.
  • the document WO 2007/036341 A1 describes a method for unlocking a mobile radio card locked by means of an access code of a user in which, after authentication of the user to a service device, an access for the user on the mobile radio card is established automatically. This can be done by informing the user of a valid or new access code or by prompting the user to enter a new access code.
  • the object of the invention is to provide a simple and secure method or system for the remote administration of a data element stored on a security element.
  • a change request for the data element to be changed which originates at least in part from a server, is transmitted to the security element, whereupon in the security element the data element stored therein is changed.
  • the change includes a first changing memory access and a second changing memory access to the security element.
  • the method according to the invention is characterized in that the first memory access and the second memory access occur in mutually decoupled substeps of the change of the data element.
  • a first sub-step comprises transmitting a first partial change request from the change request from the server to the security element and the first changing memory access
  • a second partial step comprises transmitting a second partial change request from the change request to the security element and the second memory access.
  • the second partial change request does not necessarily have to originate from the server.
  • the inventive method has the advantage that the security of the method is increased by the division of the memory accesses in mutually decoupled sub-steps and flexible different information of the data element can be changed independently.
  • the decoupling of the sub-steps just described can be realized in various ways in the method according to the invention.
  • the decoupling is achieved in that the first sub-step is carried out at a different time than the second sub-step.
  • the first sub-step may use a different connection type for transmitting the first partial change request than the second sub-step for transmitting the second partial change request.
  • the first sub-step can use another local application (ie a software application or a software agent) on a terminal communicating with the security element as the second sub-step.
  • the terminal is in particular a mobile terminal, such as a mobile phone.
  • the security element can be used for example in the terminal or be an integral part of the terminal.
  • the local application does not run directly on the security element, but on the end device. Nevertheless, in addition to processing the partial change requests, an application or an applet may also run on the security element.
  • the first substep may also output another feedback for confirming the first memory access than the second substep for confirming the second memory access.
  • only the first or second sub-step output a response to confirm the first or second memory access.
  • the first partial change request is transmitted directly from the server to the security element without the interposition of a local application on a terminal communicating with the security element.
  • the direct communication between the security element and the server does not preclude an application or an applet running on the security element for processing the partial change requests.
  • the second partial change request is also transmitted from the server to the security element.
  • the transmission of the second partial change request takes place with the interposition of a local application on a terminal communicating with the security element.
  • the transmission of the second partial change request can also be transmitted without involvement of the server from a local application on a terminal communicating with the security element.
  • the first partial change request comprises a change instruction and specifies the data content of the data element to be changed.
  • the second partial change request may include a change instruction and specify the data content of the data item to be changed.
  • the first partial change request has a larger or a smaller data volume than the second partial change request. In this way, an asymmetrical distribution of the data volume is effected. For example, a minimum data content may be included in the first or second partial change request, whereas a larger volume of data is communicated with the other partial change request.
  • the data element to be changed comprises both management data (in particular a header) and payload data, i. the actual data content.
  • the payload includes confidential information, and in particular user identification data, e.g. a password to be entered by the user for activating one or more functions of the security element.
  • user identification data e.g. a password to be entered by the user for activating one or more functions of the security element.
  • the term of the password is to be understood broadly and may include any string.
  • the term password also includes a PIN. The method according to the invention is thus also particularly suitable for managing passwords for protecting functions of the security element.
  • the first partial change request specifies a first memory access for invalidating the above-mentioned user identification data. This ensures that current user identification data can no longer be used and must be replaced by new user identification data within the scope of the administration according to the invention.
  • the management data specifies one or more specifications for the structure and / or use user identification data.
  • specifications may in particular include one or more of the following specifications:
  • misoperation counter indicating how often user input data may be entered incorrectly by a user
  • Encoded information about the structure of the user identification data e.g. whether the data must or may be alphanumeric and / or numeric and / or whether the data must include a certain number of special characters and / or uppercase letters and / or whether the data must be alphanumeric and / or numeric;
  • Data must include a minimum number of different characters and / or whether the data may only include a maximum number of equal characters in a row;
  • the first and / or second partial change request specifies a first or second memory access for changing at least part of the management data, wherein the change is preferably smaller than 1 byte.
  • the second partial change request specifies a second memory access for changing the user identification data and / or one or more specifications for the structure and / or use of the user identification data.
  • the inventive method can be used in combination with any security elements.
  • the security element may be a hardware security module which is reversible (SIM card) or fixed (em- bedded SIM, TP module) is inserted into a terminal, or a software security module (virtual SIM in TEE).
  • SIM card reversible
  • TP module fixed (em- bedded SIM, TP module) is inserted into a terminal
  • software security module virtual SIM in TEE
  • SIM SIM / Subscriber Identity Module
  • microSD microSD card
  • USB USB token
  • smart card an RFID module
  • RFID Radio Fre - Quency Identification
  • TPM Trusted Platform Module
  • NFC Near Field Communication
  • embedded SIM SIM
  • TEE Trusted Execution Environment in terms of the GlobalPlatform specification
  • the invention further relates to a system for the remote administration of a data element stored on a security element, the system being designed for carrying out the method according to the invention or one or more preferred variants of the method according to the invention.
  • the system comprises the server used in the method according to the invention as well as the corresponding security element.
  • the system may further include the local application described above on a communicating with the security element terminal, if the corresponding embodiment uses a local application.
  • FIG. 1 shows a schematic representation of the sequence of a variant of the method according to the invention.
  • SIM module is one Card inserted in a mobile device.
  • SIM module may also be a so-called.
  • Embedded SIM element which is an integral part of the mobile device.
  • the invention is not limited to SIM modules, but can also be used for any other security elements, examples of such security elements having been mentioned above.
  • the aim of the method described below is to manage the PIN stored in the security element via a remote server and thereby to change the PIN and corresponding specifications for the structure or use of the PIN by communication of the SIM module with the server.
  • the PIN is a code that is confidential and can be entered by the user of the mobile device when needed via an appropriate user interface on the device, for example, to enter.
  • several PINs for different cryptographic keys can also be stored in the SIM module, which are all managed via a remote server.
  • the reference numeral designates
  • the server S first receives a command CO, which instructs it to change a data element on the security element SE.
  • This data element is denoted D in FIG. 1 and comprises administration data in the form of a header H as well as payload data P relating to the actual data content.
  • user data represents a corresponding PIN for the SIM module.
  • the header H comprises the above-mentioned specifications for the structure or use of the PIN.
  • the command CO can be triggered, for example, by the user of the SIM module or the mobile device, preferably via a telephone app, a web portal or a call from the user to a call center.
  • a security query of the server is carried out at the user for authentication.
  • the server S can also initiate a change to the PIN if, for example, the rules for the structure of the PIN (eg five-digit PIN instead of four-digit PIN) have changed.
  • the PIN stored in the security element SE is reset and, on the other hand, the specification for a new PIN to be defined is modified such that the PIN must comprise five digits instead of four digits.
  • the server S After the generation of the command CO, the server S sends a first partial change request CR1 to the security element SE.
  • This first partial change request is used to specify the invalidity of the current PIN and is transmitted from the remote server via a so-called OTA channel
  • the first partial change request CR1 represents a binary SMS which, after being transmitted via the OTA channel to the security element SE, has a first memory access AC1 thereon.
  • security element which invalidates the current PIN by setting the header H of the data element D to a status indicating the invalidity of the PIN.
  • the functions secured by the PIN primarily cryptographic functions and / or an application, are then locked and no longer usable.
  • the security element SE sends an acknowledgment ("ok") to the server S.
  • a first sub-step for changing the data element D is concluded based on the first partial change request a separate sub-step, in which the default for the PIN is changed by means of a second sub-change request such that the PIN must comprise at least five digits
  • the second partial change request is preferably transmitted to the security element via an OTA channel other than the one described above
  • the transmission via a (secure) Internet connection or HTTP-based by the intermediate circuit de s local agents LA done, as indicated in Fig. 1.
  • the OTA channel described above may also be used to transmit the second partial change request. In this case, the decoupling of the first and second substep can be ensured only by performing the two substeps at different times.
  • the second change request CR2 is first transmitted together with a PUK to the local agent LA in the context of the second substep.
  • the known from the prior art PUK provides a confidential information of the security element SE, which is required to be able to initiate a change of a PIN.
  • the second partial change request CR2 contains an identifier that this is a PIN reset command, whereby depending on the embodiment the command can only relate to one key in the security element or also to the entire security element.
  • the second partial change request now contains the new specification for the structure or use of the PIN, ie it is stipulated that the PIN must have a length of at least five digits.
  • the second partial change request can also contain further specifications for the PIN and its use, which can also be changed if necessary compared with the original specifications for the PIN.
  • Corresponding specifications can specify, in addition to a minimum PIN length, also a maximum PIN length and a misoperation counter which indicates how often a PIN may be incorrectly entered by a user before the security element is blocked.
  • the specifications may also concern encoded information about the quality of the PIN. For example, it can be specified whether the PIN may or must include numeric and / or alphanumeric characters. Furthermore, the specifications can specify whether the PIN must include a certain number of special characters or uppercase letters or to what extent the PIN must contain a certain minimum number of different characters.
  • the change of the PIN is initiated in the context of the second partial step. This can be done immediately or at the next use of the security element or the corresponding PIN-protected key (for example, requesting a cryptographic operation).
  • the SIM toolkit of the SIM module or a similar software instance is triggered on the mobile device, whereupon the second partial change request CR2 (without PUK) is transmitted to the security element SE.
  • the header H of the data element D is changed by means of a second memory access AC2 to the security element SE in accordance with the new specifications from the second partial change request CR2.
  • a dialog is also triggered on the display of the mobile device, which is shown in FIG. 1 is designated DI.
  • the user is prompted to enter a new five-digit PIN for the SIM module.
  • NP is transmitted together with the PUK P 1 to the security element SE.
  • APDU Application Protocol Data Unit
  • the PUK is checked to see if it is assigned to the security element. Only in this case will the old PIN be replaced by the new PIN.
  • the storage of the new PIN can be regarded as a component of the second memory access AC2 for changing the payload data P of the data element D.
  • the PUK is transmitted securely, especially without the user seeing it.
  • the PIN is assigned by the user and not transmitted via the network.
  • the PUK is another on the security element stored data element, which is the PIN P, usually assigned via a header H contained reference and / or an access condition.
  • the embodiment of the method according to the invention described above has a number of advantages.
  • a remote administration of the PIN of a security element is achieved without the user having to visit a service facility.
  • the security of the remote administration is increased by carrying out the corresponding change of the PIN or of the administration data of the PIN in a two-step procedure.
  • in addition to the actual PIN and corresponding specifications for the PIN can be changed.

Abstract

The invention relates to a method for remotely managing a data element (D) stored on a security element (SE), wherein a change request for the data element (D) originating at least partially from a server (S) is transferred to the security element (SE), whereupon the data element (D) stored in the security element is changed in the security element (SE), wherein the change comprises a first changing memory access (AC1) and a second changing memory access (AC2) to the security element (SE). The first memory access (AC1) and the second memory access (AC2) occur in partial steps of the change that are decoupled from each other, wherein a first partial step comprises the transfer of a first partial change request (CR1) from the change request to the security element (SE) by the server (S) and the first memory access (AC1) and wherein a second partial step comprises the transfer of a second partial change request (CR2) from the change request to the security element (SE) and the second memory access (AC2).

Description

V e r f a hr e n z u m e n t f e r n t e n V e r w a l t e n e i n e s a u f e i n e m S i c h e r h e i t s e l e m e n t g e s p e i c h e r t e n D a te n e l e m e n t s  C o n n e c o m p o n t i o n c e m e n t i o n c e m e n t i o n s w o rk e n t i o n s w o rk e n t i o n s w o rk e n t i o n s w o rk e n t i o n s
Die Erfindung betrifft ein Verfahren und ein System zum entfernten Verwalten eines auf einem Sicherheitselement gespeicherten Datenelements. The invention relates to a method and a system for the remote management of a data element stored on a security element.
Sicherheitselemente können für unterschiedliche Zwecke zur sicheren Spei- cherung von Datenelementen eingesetzt werden. Oftmals sind auf Sicherheitselementen Benutzeridentifikationsdaten, wie z.B. ein Passwort oder eine PIN, hinterlegt. Ein Benutzer kann dabei durch Eingabe des Passworts oder der PIN, vorzugsweise über ein mit dem Sicherheitselement verbundenes Endgerät, Funktionen des Sicherheitselements autorisieren. Security elements can be used for different purposes for the secure storage of data elements. Often, security elements have user identification data, such as e.g. a password or a PIN, deposited. A user can authorize functions of the security element by entering the password or the PIN, preferably via a device connected to the security element.
Aus dem Stand der Technik sind Verfahren zum entfernten Verwalten von Datenelementen und insbesondere PINs auf einem Sicherheitselement bekannt. In dem Dokument WO 2007/036341 AI wird ein Verfahren zum Ent- sperren einer mittels einer Zugangskennung eines Benutzers gesperrten Mo- bilfunkkarte beschrieben, bei dem nach erfolgter Authentisierung des Benutzers gegenüber einer Serviceeinrichtung automatisch ein Zugang für den Benutzer auf der Mobilfunkkarte eingerichtet wird. Dies kann dadurch erfolgen, dass dem Benutzer eine gültige oder neue Zugangskennung mitgeteilt wird oder der Benutzer zur Eingabe einer neuen Zugangskennung aufgefor- dert wird. The prior art discloses methods for remotely managing data elements and in particular PINs on a security element. The document WO 2007/036341 A1 describes a method for unlocking a mobile radio card locked by means of an access code of a user in which, after authentication of the user to a service device, an access for the user on the mobile radio card is established automatically. This can be done by informing the user of a valid or new access code or by prompting the user to enter a new access code.
Herkömmliche Verfahren zum entfernten Verwalten von Datenelementen auf einem Sicherheitselement weisen den Nachteil auf, dass nur bestimmte Informationen der Datenelemente zentral durch einen Server geändert wer- den können. Ferner besteht ein Sicherheitsrisiko, da zur Verwaltung der Datenelemente Kommunikationskanäle zwischen dem Sicherheitselement und dem Server verwendet werden, welche durch Angriffe Dritter abgehört werden können. Conventional methods for the remote management of data elements on a security element have the disadvantage that only certain information of the data elements can be changed centrally by a server. Furthermore, there is a security risk since for the management of the data elements communication channels between the security element and used by the server, which can be intercepted by third-party attacks.
Aufgabe der Erfindung ist es, ein einfaches und sicheres Verfahren bzw. Sys- tem zum entfernten Verwalten eines auf einem Sicherheitselement gespeicherten Datenelements zu schaffen. The object of the invention is to provide a simple and secure method or system for the remote administration of a data element stored on a security element.
Diese Aufgabe wird durch den Gegenstand der unabhängigen Ansprüche gelöst. Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen definiert. This object is solved by the subject matter of the independent claims. Further developments of the invention are defined in the dependent claims.
Im Rahmen des erfindungsgemäßen Verfahrens wird eine Änderungsanforderung für das zu ändernde Datenelement, welche zumindest zum Teil von einem Server stammt, an das Sicherheitselement übermittelt, woraufhin in dem Sicherheitselement das darin gespeicherte Datenelement geändert wird. Die Änderung umfasst einen ersten ändernden Speicherzugriff und einen zweiten ändernden Speicherzugriff auf das Sicherheitselement. In the context of the inventive method, a change request for the data element to be changed, which originates at least in part from a server, is transmitted to the security element, whereupon in the security element the data element stored therein is changed. The change includes a first changing memory access and a second changing memory access to the security element.
Das erfindungsgemäße Verfahren zeichnet sich dadurch aus, dass der erste Speicherzugriff und der zweite Speicherzugriff in voneinander entkoppelten Teilschritten der Änderung des Datenelements erfolgen. Ein erster Teilschritt umfasst dabei das Übermitteln einer ersten Teiländerungsanforderung aus der Änderungsanforderung von dem Server zu dem Sicherheitselement sowie den ersten ändernden Speicherzugriff, wohingegen ein zweiter Teil- schritt das Übermitteln einer zweiten Teiländerungsanforderung aus der Änderungsanforderung zu dem Sicherheitselement und den zweiten Speicherzugriff umfasst. Im Unterschied zur Übermittlung der ersten Teiländerungsanforderung muss die zweite Teiländerungsanforderung nicht zwangsläufig von dem Server stammen. Das erfindungsgemäße Verfahren weist den Vorteil auf, dass durch die Aufteilung der Speicherzugriffe in voneinander entkoppelte Teilschritte die Sicherheit des Verfahrens erhöht wird und flexibel verschiedene Informationen des Datenelements unabhängig voneinander geändert werden können. The method according to the invention is characterized in that the first memory access and the second memory access occur in mutually decoupled substeps of the change of the data element. A first sub-step comprises transmitting a first partial change request from the change request from the server to the security element and the first changing memory access, whereas a second partial step comprises transmitting a second partial change request from the change request to the security element and the second memory access. In contrast to the transmission of the first partial change request, the second partial change request does not necessarily have to originate from the server. The inventive method has the advantage that the security of the method is increased by the division of the memory accesses in mutually decoupled sub-steps and flexible different information of the data element can be changed independently.
Die Entkopplung der soeben beschriebenen Teilschritte kann im erfindungsgemäßen Verfahren auf verschiedene Weise realisiert werden. In einer Variante wird die Entkopplung dadurch erreicht, dass der erste Teilschritt zu einem anderen Zeitpunkt als der zweite Teilschritt ausgeführt wird. Ebenso kann der erste Teilschritt einen anderen Verbindungstyp zum Übermitteln der ersten Teiländerungsanforderung nutzen als der zweite Teilschritt zum Übermitteln der zweiten Teiländerungsanforderung. Ferner kann der erste Teilschritt eine andere lokale Applikation (d.h. eine Software- Applikation bzw. einen Software- Agenten) auf einem mit dem Sicherheitselement kommunizierenden Endgerät als der zweite Teilschritt nutzen. Bei dem Endgerät handelt es sich insbesondere um ein mobiles Endgerät, wie z.B. ein Mobiltelefon. Das Sicherheitselement kann z.B. in das Endgerät eingesetzt sein oder auch integraler Bestandteil des Endgeräts sein. Die lokale Applikation läuft dabei nicht direkt auf dem Sicherheitselement, sondern auf dem Endgerät. Nichtsdestotrotz kann zusätzlich zur Verarbeitung der Teiländerungsanforderungen auch eine Applikation bzw. ein Applet auf dem Sicherheitselement laufen. Zur Entkopplung des ersten und zweiten Teilschritts kann der erste Teilschritt auch eine andere Rückmeldung zur Bestätigung des ersten Speicherzugriffs ausgeben als der zweite Teilschritt zur Bestätigung des zweiten Speicherzugriffs. Ebenso kann nur der erste oder zweite Teilschritt (d.h. nicht beide Teilschritte) eine Rückmeldung zur Bestätigung des ersten bzw. zweiten Speicherzugriffs ausgeben. The decoupling of the sub-steps just described can be realized in various ways in the method according to the invention. In a variant, the decoupling is achieved in that the first sub-step is carried out at a different time than the second sub-step. Likewise, the first sub-step may use a different connection type for transmitting the first partial change request than the second sub-step for transmitting the second partial change request. Furthermore, the first sub-step can use another local application (ie a software application or a software agent) on a terminal communicating with the security element as the second sub-step. The terminal is in particular a mobile terminal, such as a mobile phone. The security element can be used for example in the terminal or be an integral part of the terminal. The local application does not run directly on the security element, but on the end device. Nevertheless, in addition to processing the partial change requests, an application or an applet may also run on the security element. For decoupling the first and second substeps, the first substep may also output another feedback for confirming the first memory access than the second substep for confirming the second memory access. Likewise, only the first or second sub-step (ie not both sub-steps) output a response to confirm the first or second memory access.
In einer weiteren bevorzugten Variante der Erfindung wird die erste Teilän- derungsanforderung direkt ohne Zwischenschaltung einer lokalen Applikation auf einem mit dem Sicherheitselement kommunizierenden Endgerät von dem Server an das Sicherheitselement übermittelt. Die direkte Kommunikation zwischen Sicherheitselement und Server schließt nicht aus, dass auf dem Sicherheitselement eine Applikation bzw. ein Applet zum Verarbeiten der Teiländerungsanforderungen läuft. In a further preferred variant of the invention, the first partial change request is transmitted directly from the server to the security element without the interposition of a local application on a terminal communicating with the security element. The direct communication between the security element and the server does not preclude an application or an applet running on the security element for processing the partial change requests.
In einer weiteren, besonders bevorzugten Ausführungsform wird auch die zweite Teiländerungsanforderung von dem Server an das Sicherheitselement übermittelt. Vorzugsweise erfolgt die Übermittlung der zweiten Teilände- rungsanf orderung unter Zwischenschaltung einer lokalen Applikation auf einem mit dem Sicherheitselement kommunizierenden Endgerät. Alternativ oder zusätzlich kann die Übermittlung der zweiten Teiländerungsanforderung auch ohne Beteiligung des Servers von einer lokalen Applikation auf einem mit dem Sicherheitselement kommunizierenden Endgerät übermittelt werden. In a further, particularly preferred embodiment, the second partial change request is also transmitted from the server to the security element. Preferably, the transmission of the second partial change request takes place with the interposition of a local application on a terminal communicating with the security element. Alternatively or additionally, the transmission of the second partial change request can also be transmitted without involvement of the server from a local application on a terminal communicating with the security element.
In einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens um- f asst die erste Teiländerungsanforderung eine Änderungsanweisung und spezifiziert den zu ändernden Dateninhalt des Datenelements. Analog kann die zweite Teiländerungsanforderung eine Änderungsanweisung umfassen und den zu ändernden Dateninhalt des Datenelements spezifizieren. Hierdurch können die Teiländerungsanforderungen einfach voneinander unterschieden werden. In einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens weist die erste Teiländerungsanforderung ein größeres oder ein kleineres Datenvolumen als die zweite Teiländerungsanforderung auf. Auf diese Weise wird eine asymmetrische Aufteilung des Datenvolumens bewirkt. Zum Beispiel kann ein minimaler Dateninhalt in der ersten oder zweiten Teiländerungsanforderung enthalten sein, wohingegen mit der anderen Teiländerungsanforderung ein größeres Datenvolumen übermittelt wird. In a further embodiment of the method according to the invention, the first partial change request comprises a change instruction and specifies the data content of the data element to be changed. Similarly, the second partial change request may include a change instruction and specify the data content of the data item to be changed. As a result, the partial change requirements can be easily distinguished from each other. In a further embodiment of the method according to the invention, the first partial change request has a larger or a smaller data volume than the second partial change request. In this way, an asymmetrical distribution of the data volume is effected. For example, a minimum data content may be included in the first or second partial change request, whereas a larger volume of data is communicated with the other partial change request.
In einer weiteren bevorzugten Ausführungsform umfasst das zu ändernde Datenelement sowohl Verwaltungsdaten (insbesondere einen Header) als auch Nutzdaten, d.h. den eigentlichen Dateninhalt. Vorzugsweise umfassen die Nutzdaten vertrauliche Informationen und insbesondere Benutzeridentifikationsdaten, z.B. ein vom Benutzer einzugebendes Passwort zur Freischaltung einer oder mehrerer Funktionen des Sicherheitselements. Der Begriff des Passworts ist dabei weit zu verstehen und kann beliebige Zeichenfolge umfassen. Insbesondere fällt unter dem Begriff des Passworts auch eine PIN. Das erfindungsgemäße Verfahren eignet sich somit im Speziellen auch zur Verwaltung von Passwörtern zum Schutz von Funktionen des Sicherheitselements. In a further preferred embodiment, the data element to be changed comprises both management data (in particular a header) and payload data, i. the actual data content. Preferably, the payload includes confidential information, and in particular user identification data, e.g. a password to be entered by the user for activating one or more functions of the security element. The term of the password is to be understood broadly and may include any string. In particular, the term password also includes a PIN. The method according to the invention is thus also particularly suitable for managing passwords for protecting functions of the security element.
In einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens spezifiziert die erste Teiländerungsanforderung einen ersten Speicherzugriff zur Invalidierung der oben genannten Benutzeridentifikationsdaten. Hierdurch wird sichergestellt, dass aktuelle Benutzeridentifikationsdaten nicht mehr verwendet werden können und im Rahmen der erfindungsgemäßen Verwaltung durch neue Benutzeridentifikationsdaten ersetzt werden müssen. In a further embodiment of the method according to the invention, the first partial change request specifies a first memory access for invalidating the above-mentioned user identification data. This ensures that current user identification data can no longer be used and must be replaced by new user identification data within the scope of the administration according to the invention.
In einer weiteren bevorzugten Ausführungsform spezifizieren die Verwaltungsdaten eine oder mehrere Vorgaben für die Struktur und/ oder Verwen- dung der Benutzeridentifikationsdaten. Solche Vorgaben können insbesondere eine oder mehrere der folgenden Vorgaben umfassen: In a further preferred embodiment, the management data specifies one or more specifications for the structure and / or use user identification data. Such specifications may in particular include one or more of the following specifications:
- eine minimale Länge und/ oder eine maximale Länge für die Benutzeridentifikationsdaten;  a minimum length and / or a maximum length for the user identification data;
- einen Fehlbedienungszähler, der angibt, wie oft Benutzeridentifikationsdaten durch einen Benutzer falsch eingegeben werden dürfen; a misoperation counter indicating how often user input data may be entered incorrectly by a user;
- kodierte Informationen über den Aufbau der Benutzeridentifikationsdaten, z.B. ob die Daten alphanumerisch und/oder numerisch sein müssen oder dürfen und/ oder ob die Daten eine bestimmte Anzahl von Sonder- zeichen und/ oder Großbuchstaben umfassen müssen und/ oder ob die Encoded information about the structure of the user identification data, e.g. whether the data must or may be alphanumeric and / or numeric and / or whether the data must include a certain number of special characters and / or uppercase letters and / or whether the data must be alphanumeric and / or numeric;
Daten eine Mindestanzahl von unterschiedlichen Zeichen umfassen müssen und/ oder ob die Daten nur eine maximale Anzahl von gleichen Zeichen hintereinander umfassen dürfen; Data must include a minimum number of different characters and / or whether the data may only include a maximum number of equal characters in a row;
- eine Lebensdauer der Benutzeridentifikationsdaten für eine bestimmte Maximalanzahl von Zugriffen auf das Sicherheitselement.  a lifetime of the user identification data for a certain maximum number of accesses to the security element.
In einer besonders bevorzugten Ausführungsform spezifiziert die erste und/ oder zweite Teiländerungsanforderung einen ersten bzw. zweiten Speicherzugriff zum Ändern zumindest eines Teils der Verwaltungsdaten, wobei die Änderung vorzugsweise kleiner als 1 Byte ist. In a particularly preferred embodiment, the first and / or second partial change request specifies a first or second memory access for changing at least part of the management data, wherein the change is preferably smaller than 1 byte.
In einer weiteren bevorzugten Variante spezifiziert die zweite Teiländerungsanforderung einen zweiten Speicherzugriff zum Ändern der Benutzeridentifikationsdaten und/ oder von einer oder mehreren Vorgaben für die Struktur und/ oder Verwendung der Benutzeridentifikationsdaten. In a further preferred variant, the second partial change request specifies a second memory access for changing the user identification data and / or one or more specifications for the structure and / or use of the user identification data.
Das erfindungsgemäße Verfahren kann in Kombination mit beliebigen Sicherheitselementen zum Einsatz kommen. Das Sicherheitselement kann ein Hardwaresicherheitsmodul, welches reversibel (SIM-Karte) oder fest (em- bedded SIM, TP -Modul) in ein Endgerät eingesetzt ist, oder ein Softwaresicherheitsmodul (virtuelle SIM in TEE) sein. Ein Sicherheitselement kann dabei eine oder mehrere folgende Komponenten umfassen: The inventive method can be used in combination with any security elements. The security element may be a hardware security module which is reversible (SIM card) or fixed (em- bedded SIM, TP module) is inserted into a terminal, or a software security module (virtual SIM in TEE). A security element can comprise one or more of the following components:
eine SIM/USIM-Karte (SIM = Subscriber Identity Modul, USIM = Universal Subscriber Identity Modul), eine MikroSD-Karte, einen USB-Token (USB = Universal Serial Bus), eine Chipkarte, ein RFID-Modul (RFID = Radio Fre- quency Identification), ein TPM-Modul (TPM = Trusted Platform Modul), ein NFC-Modul (NFC = Near Field Communication), ein embedded SIM-Modul, eine TEE-Umgebung (TEE = Trusted Execution Environment im Sinne der GlobalPlatform Spezifikation). a SIM / Subscriber Identity Module (USIM) card, a microSD card, a USB token (USB = Universal Serial Bus), a smart card, an RFID module (RFID = Radio Fre - Quency Identification), a TPM module (TPM = Trusted Platform Module), an NFC module (NFC = Near Field Communication), an embedded SIM module, a TEE environment (TEE = Trusted Execution Environment in terms of the GlobalPlatform specification ).
Neben dem oben beschriebenen Verfahren betrifft die Erfindung ferner ein System zum entfernten Verwalten eines auf einem Sicherheitselement gespeicherten Datenelements, wobei das System zur Durchführung des erfin- dungsgemäßen Verfahrens bzw. einer oder mehrerer bevorzugter Varianten des erfindungsgemäßen Verfahrens ausgestaltet ist. Das System umfasst dabei den im erfindungsgemäßen Verfahren verwendeten Server sowie auch das entsprechende Sicherheitselement. Bei der Realisierung von bevorzugten Varianten kann das System ferner die oben beschriebene lokale Applikation auf einem mit dem Sicherheitselement kommunizierenden Endgerät beinhalten, sofern die entsprechende Ausführungsform eine lokale Applikation verwendet. In addition to the method described above, the invention further relates to a system for the remote administration of a data element stored on a security element, the system being designed for carrying out the method according to the invention or one or more preferred variants of the method according to the invention. The system comprises the server used in the method according to the invention as well as the corresponding security element. In the implementation of preferred variants, the system may further include the local application described above on a communicating with the security element terminal, if the corresponding embodiment uses a local application.
Ein Ausführungsbeispiel der Erfindung wird nachfolgend anhand der beige- fügten Figur 1 detailliert beschrieben. Diese Figur zeigt in schematischer Darstellung den Ablauf einer Variante des erfindungsgemäßen Verfahrens. An embodiment of the invention will be described below in detail with reference to the accompanying FIG. This figure shows a schematic representation of the sequence of a variant of the method according to the invention.
Das erfindungsgemäße Verfahren wird beispielhaft anhand eines Sicherheitselements in der Form eines SIM-Moduls erläutert. Dieses Modul ist eine Karte, die in ein Mobilfunkgerät eingesetzt ist. Gegebenenfalls kann das SIM- Modul auch ein sog. embedded SIM-Element sein, welches integraler Bestandteil des Mobilfunkgeräts ist. Die Erfindung ist jedoch nicht auf SIM- Module beschränkt, sondern kann auch für beliebige andere Sicherheitsele- mente eingesetzt werden, wobei Beispiele solcher Sicherheitselemente im Vorangegangenen genannt wurden. The method according to the invention is explained by way of example with reference to a security element in the form of a SIM module. This module is one Card inserted in a mobile device. Optionally, the SIM module may also be a so-called. Embedded SIM element, which is an integral part of the mobile device. However, the invention is not limited to SIM modules, but can also be used for any other security elements, examples of such security elements having been mentioned above.
Ziel des nachfolgend beschriebenen Verfahren ist es, die in dem Sicherheitselement hinterlegte PIN über einen entfernten Servers zu verwalten und da- bei durch Kommunikation des SIM-Moduls mit dem Server die PIN sowie entsprechende Vorgaben für die Struktur bzw. Verwendung der PIN zu ändern. Die PIN ist dabei ein Code, der vertraulich ist und durch den Benutzer des Mobilfunkgeräts bei Bedarf über eine entsprechende Benutzerschnittstelle am Gerät eingegeben werden kann, um z.B. das SIM-Modul als Ganzes freizuschalten oder ggf. auch nur bestimmte kryptographische Schlüssel zu aktivieren. Mit anderen Worten können in dem SIM-Modul ggf. auch mehrere PINs für unterschiedliche kryptographische Schlüssel hinterlegt sein, welche alle über einen entfernten Server verwaltet werden. In dem in Fig. 1 gezeigten Ablauf diagramm bezeichnet das BezugszeichenThe aim of the method described below is to manage the PIN stored in the security element via a remote server and thereby to change the PIN and corresponding specifications for the structure or use of the PIN by communication of the SIM module with the server. The PIN is a code that is confidential and can be entered by the user of the mobile device when needed via an appropriate user interface on the device, for example, to enter. enable the SIM module as a whole or, if necessary, activate only certain cryptographic keys. In other words, if necessary, several PINs for different cryptographic keys can also be stored in the SIM module, which are all managed via a remote server. In the sequence diagram shown in Fig. 1, the reference numeral designates
SE das Sicherheitselement in der Form des SIM-Moduls, das Bezugszeichen S einen entfernt vom Sicherheitsmodul angeordneten Server, der zur Verwaltung der Daten des Moduls dient, sowie das Bezugszeichen LA einen lokalen Agenten, d.h. eine Software- Applikation, die auf dem Mobilfunkgerät hinter- legt ist, in dem sich das Sicherheitselement SE befindet. Gemäß Fig. 1 erhält der Server S zunächst ein Kommando CO, das ihn anweist, ein Datenelement auf dem Sicherheitselement SE zu verändern. Dieses Datenelement ist in Fig. 1 mit D bezeichnet und umfasst Verwaltungsdaten in der Form eines Headers H sowie Nutzdaten P, die den eigentlichen Dateninhalt betreffen. Diese Nutzdaten stellen in der Ausführungsform der Fig. 1 eine entsprechende PIN für das SIM-Modul dar. Der Header H umfasst die oben erwähnten Vorgaben für die Struktur bzw. Verwendung der PIN. Das Kommando CO kann z.B. durch den Benutzer des SIM-Moduls bzw. des Mobilfunkgeräts ausgelöst werden, vorzugsweise über eine Telefon- App, ein Webportal oder einen Anruf des Benutzers bei einem Call-Center. Dabei wird jeweils eine Sicherheitsabfrage des Servers beim Benutzer zur Authenti- sierung durchgeführt. Ggf. kann der Server S auch von sich aus eine Ände- rung der PIN auslösen, wenn sich beispielsweise die Regeln für die Struktur der PIN (z.B. fünfstellige PIN anstatt vierstellige PIN) geändert haben. In der hier beschriebenen Ausführungsform der Erfindung wird zum einen die in dem Sicherheitselement SE hinterlegte PIN zurückgesetzt und zum anderen die Vorgabe für eine neue festzulegende PIN dahingehend verändert, dass die PIN anstatt von vier Stellen fünf Stellen umfassen muss. SE is the security element in the form of the SIM module, the reference symbol S is a remote from the security module server, which is used to manage the data of the module, and the reference LA a local agent, ie a software application that on the mobile device behind is set, in which the security element SE is located. According to FIG. 1, the server S first receives a command CO, which instructs it to change a data element on the security element SE. This data element is denoted D in FIG. 1 and comprises administration data in the form of a header H as well as payload data P relating to the actual data content. These In the embodiment of FIG. 1, user data represents a corresponding PIN for the SIM module. The header H comprises the above-mentioned specifications for the structure or use of the PIN. The command CO can be triggered, for example, by the user of the SIM module or the mobile device, preferably via a telephone app, a web portal or a call from the user to a call center. In each case, a security query of the server is carried out at the user for authentication. Possibly. For example, the server S can also initiate a change to the PIN if, for example, the rules for the structure of the PIN (eg five-digit PIN instead of four-digit PIN) have changed. In the embodiment of the invention described here, on the one hand, the PIN stored in the security element SE is reset and, on the other hand, the specification for a new PIN to be defined is modified such that the PIN must comprise five digits instead of four digits.
Nach der Generierung des Kommandos CO sendet der Server S eine erste Teiländerungsanforderung CR1 an das Sicherheitselement SE. Diese erste Teiländerungsanforderung dient zur Spezifikation der Ungültigkeit der ak- tuellen PIN und wird vom entfernten Server über einen sog. OTA-KanalAfter the generation of the command CO, the server S sends a first partial change request CR1 to the security element SE. This first partial change request is used to specify the invalidity of the current PIN and is transmitted from the remote server via a so-called OTA channel
(OTA = Over the Air) an das Sicherheitselement direkt (d.h. ohne Zwischenschaltung des lokalen Agenten LA) übermittelt. Zum Schutz der ersten Teiländerungsanforderung wird in der hier beschriebenen Ausführungsform das sichere SCP-Protokoll der GlobalPlatform Card Spezifikation 2.1.1 ver- wendet (SCP = Secure Channel Protocol). (OTA = Over the Air) to the security element directly (i.e., without interposition of the local agent LA). To protect the first partial change request, in the embodiment described here, the secure SCP protocol of the GlobalPlatform Card specification 2.1.1 is used (SCP = Secure Channel Protocol).
Die erste Teiländerungsanforderung CR1 stellt in der hier beschriebenen Variante eine binäre SMS dar, die nach Übermittlung über den OTA-Kanal an das Sicherheitselement SE dort einen ersten Speicherzugriff AC1 auf das Si- cherheitselement auslöst, der die aktuelle PIN invalidiert, indem der Header H des Datenelements D auf einen Status gesetzt wird, der die Ungültigkeit der PIN anzeigt. Die durch die PIN gesicherten Funktionen, primär krypto- graphische Funktionen und/ oder eine Anwendung, sind daraufhin gesperrt und nicht mehr benutzbar. In the variant described here, the first partial change request CR1 represents a binary SMS which, after being transmitted via the OTA channel to the security element SE, has a first memory access AC1 thereon. security element, which invalidates the current PIN by setting the header H of the data element D to a status indicating the invalidity of the PIN. The functions secured by the PIN, primarily cryptographic functions and / or an application, are then locked and no longer usable.
Nach Durchführung des ersten Speicherzugriffs wird von dem Sicherheitselement SE eine Bestätigung („ok") an den Server S gesendet. Zu diesem Zeitpunkt ist ein erster Teilschritt zum Ändern des Datenelements D basie- rend auf der ersten Teiländerungsanforderung abgeschlossen. Entkoppelt von diesem Teilschritt erfolgt über einen separaten Kanal die Durchführung eines zweiten Teilschritts, bei dem mittels einer zweiten Teiländerungsanforderung die Vorgabe für die PIN dahingehend geändert wird, dass die PIN mindestens fünf Stellen umfassen muss. Hierzu wird die zweite Teilände- rungsanforderung CR2 an das Sicherheitselement SE übermittelt. Zur Entkopplung des zweiten Teilschritts von dem ersten Teilschritt wird die zweite Teiländerungsanforderung vorzugsweise über einen anderen als den oben beschriebenen OTA-Kanal an das Sicherheitselement übertragen. Zum Beispiel kann die Übertragung über eine (sichere) Internetverbindung bzw. HTTP-basiert durch die Zwischenschaltung des lokalen Agenten LA erfolgen, wie in Fig. 1 angedeutet ist. Nichtsdestotrotz kann ggf. auch der oben beschriebene OTA-Kanal zur Übermittlung der zweiten Teiländerungsanforderung eingesetzt werden. In diesem Fall kann die Entkopplung des ersten und zweiten Teilschritts lediglich dadurch sichergestellt werden, dass die beiden Teilschritte zu unterschiedlichen Zeitpunkten durchgeführt werden. After the first memory access has been carried out, the security element SE sends an acknowledgment ("ok") to the server S. At this point in time, a first sub-step for changing the data element D is concluded based on the first partial change request a separate sub-step, in which the default for the PIN is changed by means of a second sub-change request such that the PIN must comprise at least five digits In the second substep of the first substep, the second partial change request is preferably transmitted to the security element via an OTA channel other than the one described above For example, the transmission via a (secure) Internet connection or HTTP-based by the intermediate circuit de s local agents LA done, as indicated in Fig. 1. Nevertheless, if necessary, the OTA channel described above may also be used to transmit the second partial change request. In this case, the decoupling of the first and second substep can be ensured only by performing the two substeps at different times.
Gemäß Fig. 1 wird im Rahmen des zweiten Teilschritts die zweite Änderungsanforderung CR2 zunächst zusammen mit einer PUK an den lokalen Agenten LA übermittelt. Die aus dem Stand der Technik bekannte PUK stellt eine vertrauliche Information des Sicherheitselements SE dar, welche dazu benötigt wird, eine Änderung einer PIN veranlassen zu können. Die zweite Teiländerungsanforderung CR2 enthält eine Kennung, dass es sich hierbei um ein PIN-Reset-Kommando handelt, wobei sich das Kommando je nach Ausführungsform lediglich auf einen Schlüssel in dem Sicherheitselement oder auch auf das ganze Sicherheitselement beziehen kann. Darüber hinaus enthält die zweite Teiländerungsanforderung nunmehr die neue Vorgabe für die Struktur bzw. Verwendung der PIN, d.h. es wird festgelegt, dass die PIN eine Länge von mindestens fünf Stellen aufweisen muss. According to FIG. 1, the second change request CR2 is first transmitted together with a PUK to the local agent LA in the context of the second substep. The known from the prior art PUK provides a confidential information of the security element SE, which is required to be able to initiate a change of a PIN. The second partial change request CR2 contains an identifier that this is a PIN reset command, whereby depending on the embodiment the command can only relate to one key in the security element or also to the entire security element. In addition, the second partial change request now contains the new specification for the structure or use of the PIN, ie it is stipulated that the PIN must have a length of at least five digits.
Ggf. kann die zweite Teiländerungsanforderung auch noch weitere Vorgaben für die PIN und deren Verwendung enthalten, welche bei Bedarf auch gegenüber den ursprünglichen Vorgaben für die PIN verändert sein können. Entsprechende Vorgaben können neben einer minimalen PIN-Länge auch eine maximale PIN-Länge spezifizieren sowie einen Fehlbedienungszähler, der anzeigt, wie oft eine PIN durch einen Benutzer falsch eingegeben werden darf, bevor das Sicherheitselement gesperrt wird. Die Vorgaben können ferner kodierte Informationen über die Güte der PIN betreffen. Beispielsweise kann spezifiziert werden, ob die PIN numerische und/ oder alphanumerische Zeichen umfassen darf bzw. muss. Ferner können die Vorgaben festlegen, ob die PIN eine bestimmte Anzahl von Sonderzeichen oder Großbuchstaben umfassen muss bzw. inwieweit die PIN eine bestimmte Mindestanzahl von unterschiedlichen Zeichen beinhalten muss. Ferner kann durch die Vorgaben festgelegt werden, wie viele gleiche Zeichen in der PIN maximal hinterei- nander folgen dürfen. Ggf. kann durch die Vorgaben auch die Lebensdauer der PIN für eine maximale Anzahl von Zugriffen auf das Sicherheitselement spezifiziert werden. Nach Empfang der zweiten Teiländerungsanforderung CR2 und der PUK P' im lokalen Agenten LA wird im Rahmen des zweiten Teilschritts die Änderung der PIN angestoßen. Dies kann sofort oder bei der nächsten Benutzung des Sicherheitselements bzw. des entsprechenden, über die PIN geschützten Schlüssels (z.B. Anfordern einer kryptographischen Operation) erfolgen. Dabei wird das SIM-Toolkit des SIM-Moduls oder eine ähnliche Software- Instanz auf dem Mobilfunkgerät antriggert, woraufhin die zweite Teiländerungsanforderung CR2 (ohne PUK) an das Sicherheitselement SE übermittelt wird. Anschließend wird mittels eines zweiten Speicherzugriffs AC2 auf das Sicherheitselement SE der Header H des Datenelements D entsprechend der neuen Vorgaben aus der zweiten Teiländerungsanforderung CR2 geändert. Possibly. The second partial change request can also contain further specifications for the PIN and its use, which can also be changed if necessary compared with the original specifications for the PIN. Corresponding specifications can specify, in addition to a minimum PIN length, also a maximum PIN length and a misoperation counter which indicates how often a PIN may be incorrectly entered by a user before the security element is blocked. The specifications may also concern encoded information about the quality of the PIN. For example, it can be specified whether the PIN may or must include numeric and / or alphanumeric characters. Furthermore, the specifications can specify whether the PIN must include a certain number of special characters or uppercase letters or to what extent the PIN must contain a certain minimum number of different characters. Furthermore, it can be determined by the specifications how many identical characters in the PIN may follow at most one behind the other. Possibly. The specifications can also specify the lifetime of the PIN for a maximum number of accesses to the security element. Upon receipt of the second partial change request CR2 and the PUK P 'in the local agent LA, the change of the PIN is initiated in the context of the second partial step. This can be done immediately or at the next use of the security element or the corresponding PIN-protected key (for example, requesting a cryptographic operation). In this case, the SIM toolkit of the SIM module or a similar software instance is triggered on the mobile device, whereupon the second partial change request CR2 (without PUK) is transmitted to the security element SE. Subsequently, the header H of the data element D is changed by means of a second memory access AC2 to the security element SE in accordance with the new specifications from the second partial change request CR2.
Im Rahmen des zweiten Teilschritts wird ferner an dem Display des Mobilfunkgeräts ein Dialog ausgelöst, der in FIG. 1 mit DI bezeichnet ist. Dabei wird der Benutzer dazu aufgefordert, eine neue fünfstellige PIN für das SIM- Modul einzugeben. Nach erfolgter Eingabe wird die neue mit NP bezeichnete PIN zusammen mit der PUK P1 an das Sicherheitselement SE übermittelt. Das SIM-Toolkit oder eine entsprechende Software-Instanz löst dann eine sog. APDU aus (APDU = Application Protocol Data Unit), die ein Setzen der neuen PIN bedeutet. Dabei wird die PUK dahingehend überprüft, ob sie dem Sicherheitselement zugeordnet ist. Nur in diesem Fall wird die alte PIN durch die neue PIN ersetzt. Die Speicherung der neuen PIN kann als ein Bestandteil des zweiten Speicherzugriffs AC2 zum Ändern der Nutzdaten P des Datenelements D aufgefasst werden. In the context of the second sub-step, a dialog is also triggered on the display of the mobile device, which is shown in FIG. 1 is designated DI. The user is prompted to enter a new five-digit PIN for the SIM module. After entering the new PIN designated with NP is transmitted together with the PUK P 1 to the security element SE. The SIM toolkit or a corresponding software instance then triggers a so-called APDU (APDU = Application Protocol Data Unit), which means that the new PIN is set. The PUK is checked to see if it is assigned to the security element. Only in this case will the old PIN be replaced by the new PIN. The storage of the new PIN can be regarded as a component of the second memory access AC2 for changing the payload data P of the data element D.
Es ist darauf hinzuweisen, dass somit auch zwei Regeln eingehalten werden. Die PUK wird gesichert übertragen, insbesondere ohne dass der Benutzer sie zu Gesicht bekommt. Die PIN wird vom Benutzer vergeben und nicht über das Netz übertragen. Die PUK ist ein weiteres auf dem Sicherheitselement gespeichertes Datenelement, welches der PIN P, in der Regel über einen im Header H enthaltenen Verweis und/ oder eine Zugriffsbedingung zugeordnet ist. Die im Vorangegangenen beschriebene Ausführungsform des erfindungsgemäßen Verfahrens weist eine Reihe von Vorteilen auf. Insbesondere wird eine entfernte Verwaltung der PIN eines Sicherheitselements erreicht, ohne dass durch den Benutzer eine Serviceeinrichtung aufgesucht werden muss. Dabei wird die Sicherheit der entfernten Verwaltung dadurch erhöht, dass die entsprechenden Änderung der PIN bzw. der Verwaltungsdaten der PIN in einem zweistufigen Verfahren durchgeführt wird. Insbesondere können neben der eigentlichen PIN auch entsprechende Vorgaben für die PIN geändert werden. It should be noted that therefore also two rules are observed. The PUK is transmitted securely, especially without the user seeing it. The PIN is assigned by the user and not transmitted via the network. The PUK is another on the security element stored data element, which is the PIN P, usually assigned via a header H contained reference and / or an access condition. The embodiment of the method according to the invention described above has a number of advantages. In particular, a remote administration of the PIN of a security element is achieved without the user having to visit a service facility. In doing so, the security of the remote administration is increased by carrying out the corresponding change of the PIN or of the administration data of the PIN in a two-step procedure. In particular, in addition to the actual PIN and corresponding specifications for the PIN can be changed.

Claims

P a t e n t a n s p r ü c h e P a n t a n s p r e c h e
Verfahren zum entfernten Verwalten eines auf einem Sicherheitselement (SE) gespeicherten Datenelements (D), bei dem eine Änderungsanforderung für das Datenelement (D), welche zumindest zum Teil von einem Server (S) stammt, an das Sicherheitselement (SE) übermittelt wird, woraufhin in dem Sicherheitselement (SE) das darin gespeicherte Datenelement (D) geändert wird, wobei die Änderung einen ersten ändernden Speicherzugriff (ACl) und einen zweiten ändernden Speicherzugriff (AC2) auf das Sicherheitselement (SE) umfasst, dadurch gekennzeichnet, dass Method for the remote administration of a data element (D) stored on a security element (SE), in which a change request for the data element (D), which originates at least in part from a server (S), is transmitted to the security element (SE), whereupon in the security element (SE) the data element (D) stored therein is changed, the change comprising a first changing memory access (ACI) and a second changing memory access (AC2) to the security element (SE), characterized in that
der erste Speicherzugriff (ACl) und der zweite Speicherzugriff (AC2) in voneinander entkoppelten Teilschritten der Änderung erfolgen, wobei ein erster Teilschritt das Übermitteln einer ersten Teiländerungsanforderung (CR1) aus der Änderungsanforderung von dem Server (S) zu dem Sicherheitselement (SE) sowie den ersten Speicherzugriff (ACl) umfasst und wobei ein zweiter Teilschritt das Übermitteln einer zweiten Teiländerungsanforderung (CR2) aus der Änderungsanforderung zu dem Sicherheitselement (SE) und den zweiten Speicherzugriff (AC2) umfasst. the first memory access (ACI) and the second memory access (AC2) are performed in mutually decoupled substeps of the change, wherein a first substep is the transmission of a first partial change request (CR1) from the change request from the server (S) to the security element (SE) and the first memory access (ACI) and wherein a second substep comprises transmitting a second partial change request (CR2) from the change request to the security element (SE) and the second memory access (AC2).
Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Teilschritte dadurch voneinander entkoppelt sind, dass: A method according to claim 1, characterized in that the partial steps are decoupled from one another in that:
- der erste Teilschritt zu einem anderen Zeitpunkt als der zweite Teilschritt ausgeführt wird, und/ oder  - The first sub-step is performed at a different time than the second sub-step, and / or
- der erste Teilschritt einen anderen Verbindungstyp zum Übermitteln der ersten Teiländerungsanforderung (CR1) nutzt als der zwei- te Teilschritt zum Übermitteln der zweiten Teiländerungsanforderung (CR2), und/ oder the first sub-step uses a different connection type for transmitting the first sub-change request (CR1) than the second sub-change request te substep for transmitting the second partial change request (CR2), and / or
- der erste Teilschritt eine andere lokale Applikation (LA) auf einem mit dem Sicherheitselement (SE) kommunizierenden Endgerät als der zweite Teilschritt nutzt, und/ oder  - The first sub-step uses another local application (LA) on a communicating with the security element (SE) terminal as the second sub-step, and / or
- der erste Teilschritt eine andere Rückmeldung zur Bestätigung des ersten Speicherzugriffs (AC1) ausgibt als der zweite Teilschritt zur Bestätigung des zweiten Speicherzugriffs (AC2) oder nur der erste oder zweite Teilschritt eine Rückmeldung zur Bestätigung des ersten bzw. zweiten Speicherzugriffs (AC1, AC2) ausgibt.  the first sub-step issues a different acknowledgment for confirming the first memory access (AC1) than the second sub-step for confirming the second memory access (AC2) or only the first or second sub-step a confirmation for confirming the first or second memory access (AC1, AC2) outputs.
Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die erste Teiländerungsanforderung (CR1) direkt ohne Zwischenschaltung einer lokalen Applikation (LA) auf einem mit dem Sicherheitselement (SE) kommunizierenden Endgerät von dem Server (S) an das Sicherheitselement (SE) übermittelt wird. Method according to Claim 1 or 2, characterized in that the first partial change request (CR1) is transmitted directly from the server (S) to the security element (SE) on a terminal communicating with the security element (SE) without the interposition of a local application (LA) ,
Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die zweite Teiländerungsanforderung (CR2) von dem Server (S), vorzugsweise unter Zwischenschaltung einer lokalen Applikation (LA) auf einem mit dem Sicherheitselement (SE) kommunizierenden Endgerät, an das Sicherheitselement (SE) übermittelt wird und/ oder ohne Beteiligung des Servers (S) von einer lokalen Applikation (LA) auf einem mit dem Sicherheitselement (SE) kommunizierenden Endgerät an das Sicherheitselement (SE) übermittelt wird. Method according to one of the preceding claims, characterized in that the second partial change request (CR2) from the server (S), preferably with the interposition of a local application (LA) on a communicating with the security element (SE) terminal to the security element (SE) is transmitted and / or without participation of the server (S) from a local application (LA) on a communicating with the security element (SE) terminal to the security element (SE) is transmitted.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Teiländerungsanforderung (CR1) eine Änderungsanweisung umfasst und den zu ändernden Dateninhalt des Datenelements (D) spezifiziert und/ oder die zweite Teiländerungsanforderung (CR2) eine Änderungsanweisung umfasst und den zu ändernden Dateninhalt des Datenelements (D) spezifiziert. 5. The method according to any one of the preceding claims, characterized in that the first partial change request (CR1) comprises a change instruction and the data content to be changed of the Data element (D) specified and / or the second partial change request (CR2) comprises a change instruction and specifies the data content of the data element (D) to be changed.
Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Teiländerungsanforderung (CRl) ein größeres oder kleineres Datenvolumen als die zweite Teiländerungsanforderung (CR2) aufweist. Method according to one of the preceding claims, characterized in that the first partial change request (CRI) has a larger or smaller data volume than the second partial change request (CR2).
Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das zu ändernde Datenelement (D) Verwaltungsdaten (H) und Nutzdaten (P) umfasst. Method according to one of the preceding claims, characterized in that the data element (D) to be changed comprises management data (H) and payload data (P).
Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass die Nutzdaten (P) vertrauliche Informationen und insbesondere Benutzeridentifikationsdaten, vorzugsweise ein vom Benutzer einzugebendes Passwort zur Freischaltung einer oder mehrerer Funktionen des Sicherheitselements (SE), umfassen. A method according to claim 7, characterized in that the user data (P) confidential information and in particular user identification data, preferably a password to be entered by the user for enabling one or more functions of the security element (SE) include.
Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die erste Teiländerungsanforderung (CRl) einen ersten Speicherzugriff zur In- validierung der Benutzeridentifikationsdaten spezifiziert. A method according to claim 8, characterized in that the first partial change request (CRI) specifies a first memory access for the validation of the user identification data.
Verfahren nach einem der Ansprüche 7 bis 9, dadurch gekennzeichnet, dass die Verwaltungsdaten (H) eine oder mehrere Vorgaben für die Struktur und/ oder Verwendung von Benutzeridentifikationsdaten spezifizieren. Verfahren nach einem der Ansprüche 7 bis 10, dadurch gekennzeichnet, dass die erste und/ oder zweite Teiländerungsanforderung (CR2) einen ersten bzw. zweiten Speicherzugriff zum Ändern zumindest eines Teils der Verwaltungsdaten (H) spezifiziert. Method according to one of claims 7 to 9, characterized in that the management data (H) specify one or more specifications for the structure and / or use of user identification data. Method according to one of claims 7 to 10, characterized in that the first and / or second partial change request (CR2) specifies a first or second memory access for changing at least part of the management data (H).
Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die zweite Teiländerungsanforderung (CR2) einen zweiten Speicherzugriff zum Ändern von Benutzeridentifikationsdaten und/ oder von einer oder mehreren Vorgaben für die Struktur und/ oder Verwendung der Benutzeridentifikationsdaten spezifiziert. Method according to one of the preceding claims, characterized in that the second partial change request (CR2) specifies a second memory access for changing user identification data and / or one or more specifications for the structure and / or use of the user identification data.
Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Sicherheitselement eine SIM/USIM-Karte und/ oder eine ikroSD-Karte und/ oder einen USB-Token und/ oder eine Chipkarte und/ oder ein RFID-Modul und/ oder ein TPM- Modul und/ oder ein NFC-Modul und/ oder ein embedded SIM-Modul und/ oder eine TEE-Umgebung umfasst. Method according to one of the preceding claims, characterized in that the security element is a SIM / USIM card and / or an ikroSD card and / or a USB token and / or a chip card and / or an RFID module and / or a TPM - Module and / or an NFC module and / or an embedded SIM module and / or a TEE environment includes.
System zum entfernten Verwalten eines auf einem Sicherheitselement (SE) gespeicherten Datenelements (D), wobei das System zur Durchführung eines Verfahrens eingerichtet ist, bei dem eine Änderungsanforderung für das Datenelement (D), welche zumindest zum Teil von einem Server (S) stammt, an das Sicherheitselement (SE) übermittelt wird, woraufhin in dem Sicherheitselement (SE) das darin gespeicherte Datenelement (D) geändert wird, wobei die Änderung einen ersten ändernden Speicherzugriff (AC1) und einen zweiten ändernden Speicherzugriff (AC2) auf das Sicherheitselement (SE) umfasst, System for the remote management of a data element (D) stored on a security element (SE), the system being set up to carry out a method in which a change request for the data element (D) originating at least in part from a server (S) is transmitted to the security element (SE), whereupon in the security element (SE) the data element (D) stored therein is changed, the change being a first changing memory access (AC1) and a second changing memory access (AC2) to the security element (SE) includes,
dadurch gekennzeichnet, dass der erste Speicherzugriff (ACl) und der zweite Speicherzugriff (AC2) in voneinander entkoppelten Teilschritten der Änderung erfolgen, wobei ein erster Teilschritt das Übermitteln einer ersten Teiländerungsanforderung (CR1) aus der Änderungsanforderung von dem Server (S) zu dem Sicherheitselement (SE) sowie den ersten Speicherzugriff (ACl) umfasst und wobei ein zweiter Teilschritt das Übermitteln einer zweiten Teiländerungsanforderung (CR2) aus der Änderungsanforderung zu dem Sicherheitselement (SE) und den zweiten Speicherzugriff (AC2) umfasst. characterized in that the first memory access (ACI) and the second memory access (AC2) are performed in mutually decoupled substeps of the change, wherein a first substep is the transmission of a first partial change request (CR1) from the change request from the server (S) to the security element (SE) and the first memory access (ACI) and wherein a second substep comprises transmitting a second partial change request (CR2) from the change request to the security element (SE) and the second memory access (AC2).
System nach Anspruch 14, dadurch gekennzeichnet, dass das System zur Durchführung eines Verfahrens nach einem der Ansprüche 2 bis 13 eingerichtet ist. System according to claim 14, characterized in that the system is arranged to carry out a method according to one of claims 2 to 13.
PCT/EP2015/000402 2014-02-24 2015-02-20 Method for remotely managing a data element stored on a security element WO2015124317A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP15706679.6A EP3111679A1 (en) 2014-02-24 2015-02-20 Method for remotely managing a data element stored on a security element

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102014002603.5 2014-02-24
DE102014002603.5A DE102014002603A1 (en) 2014-02-24 2014-02-24 A method of remotely managing a data item stored on a security element

Publications (1)

Publication Number Publication Date
WO2015124317A1 true WO2015124317A1 (en) 2015-08-27

Family

ID=52595261

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2015/000402 WO2015124317A1 (en) 2014-02-24 2015-02-20 Method for remotely managing a data element stored on a security element

Country Status (3)

Country Link
EP (1) EP3111679A1 (en)
DE (1) DE102014002603A1 (en)
WO (1) WO2015124317A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018009365A1 (en) 2018-11-29 2020-06-04 Giesecke+Devrient Mobile Security Gmbh Secure element as an upgradable Trusted Platform Module

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009091588A2 (en) * 2008-01-15 2009-07-23 E-Mice Group Holdings Limited Device and method for loading managing and using smartcard authentication token and digital certificates in e-commerce
EP2590383A1 (en) * 2011-11-02 2013-05-08 Research In Motion Limited Mobile communications device providing secure element data management features and related methods
US20130303122A1 (en) * 2012-05-11 2013-11-14 Li Li Provisioning an Embedded Subscriber Identity Module

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005045887A1 (en) 2005-09-26 2007-04-12 Giesecke & Devrient Gmbh Unlock mobile phone cards

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009091588A2 (en) * 2008-01-15 2009-07-23 E-Mice Group Holdings Limited Device and method for loading managing and using smartcard authentication token and digital certificates in e-commerce
EP2590383A1 (en) * 2011-11-02 2013-05-08 Research In Motion Limited Mobile communications device providing secure element data management features and related methods
US20130303122A1 (en) * 2012-05-11 2013-11-14 Li Li Provisioning an Embedded Subscriber Identity Module

Also Published As

Publication number Publication date
DE102014002603A1 (en) 2015-08-27
EP3111679A1 (en) 2017-01-04

Similar Documents

Publication Publication Date Title
EP2898714B1 (en) Identity module for user authentication in a communication network
DE102011118367B4 (en) Method for authenticating a telecommunication terminal comprising an identity module at a server device of a telecommunication network, use of an identity module, identity module and computer program
WO2009095048A1 (en) Method for administering the authorization of mobile telephones without a sim card
DE102012103106A1 (en) A method of authenticating a user to a service on a service server, application and system
DE102020003275B3 (en) Personalization of a secure element
DE102011075257B4 (en) Answering inquiries by means of the communication terminal of a user
EP2575385B1 (en) Method for initializing and/or activation of at least one user account, for carrying out a transaction, and terminal
EP3669562B1 (en) Method for starting up and personalizing a subscriber identity module
EP2697989B1 (en) Method and system for data transmission to an identification module in a mobile telephone
WO2015124317A1 (en) Method for remotely managing a data element stored on a security element
WO2014117939A1 (en) Method for accessing a service of a server using an application of a terminal
EP2929665B1 (en) Method, assembly for processing information in a domestic appliance, and domestic appliance
EP3585084A1 (en) Device of an access authorisation system for a sub-network of a mobile radio network
WO2013185889A1 (en) Mobile station with set operating range
EP3609211B1 (en) Computer-implemented method and network access server for connecting a network component with a network, in particular a mobile radio network, with an extended network access characteristic
EP3360355B1 (en) Restricting the number of times a subscription profile for an euicc can be downloaded
WO2007036341A1 (en) Unblocking of mobile telephone cards
WO2021175371A1 (en) Secured and documented key access by an application
DE102022113263A1 (en) Remote access to network resources from external networks in the landline network
DE102016000324A1 (en) Method for managing identification data of multiple applications
EP2723113A1 (en) Method for operating a safety module
WO2016008581A1 (en) Participant identity module having a number of services
EP3823235A1 (en) Connection-specific tested data transmission via a cryptographically authenticated network connection
EP3821579A1 (en) Securing a data transmission
EP3131033A1 (en) Method and communication system for secure and automated communication

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15706679

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

REEP Request for entry into the european phase

Ref document number: 2015706679

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2015706679

Country of ref document: EP