WO2016128123A1 - Teilnehmeridentitätsmodul - Google Patents

Teilnehmeridentitätsmodul Download PDF

Info

Publication number
WO2016128123A1
WO2016128123A1 PCT/EP2016/000189 EP2016000189W WO2016128123A1 WO 2016128123 A1 WO2016128123 A1 WO 2016128123A1 EP 2016000189 W EP2016000189 W EP 2016000189W WO 2016128123 A1 WO2016128123 A1 WO 2016128123A1
Authority
WO
WIPO (PCT)
Prior art keywords
subscription
subscriber identity
identity module
attack
designed
Prior art date
Application number
PCT/EP2016/000189
Other languages
English (en)
French (fr)
Inventor
Claus Jarnik
Monika Eckardt
Original Assignee
Giesecke & Devrient Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke & Devrient Gmbh filed Critical Giesecke & Devrient Gmbh
Publication of WO2016128123A1 publication Critical patent/WO2016128123A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/77Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • G06K19/07372Means for preventing undesired reading or writing from or onto record carriers by detecting tampering with the circuit
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/45Security arrangements using identity modules using multiple identity modules

Definitions

  • the present invention relates to a subscriber identity module for use in a mobile device.
  • Subscriber identity modules in particular virtual and / or permanently installed SIM cards, also referred to as (e) UICC, are used in mobile devices, such as
  • Mobile phones, tablet PCs and / or wearables used to manage at least one subscription.
  • a subscription for example, it is deposited in which network operator the subscriber identity module logs in and with what data transmission rates data with a mobile device can be received to what extent.
  • Fallback mechanism is triggered or triggered by the SIM card.
  • the prior art has the disadvantage that, even if an attack on a subscription occurs, it remains activated or activatable, or if the subscription is "destroyed" in an external attack, then the subscription will not be used further more is possible.
  • the subscriber module for use in a mobile device comprises a first, activated subscription stored in a memory of the subscriber identity module and at least one in the one
  • Attack detection device which is adapted to detect an attack on the first, activated subscription, wherein, if the attack detection means detects an attack on the first subscription, the subscriber identity module is adapted to activate the second subscription.
  • a "subscriber identity module" in the sense of the invention is an SI card which can be arranged removably in a mobile device, in particular in a mobile telephone, a tablet PC and / or a wearable the
  • Subscriber identity module to act on a fixed integrated into the mobile device secure element, which is particularly protected against attacks on the memory from the outside.
  • Subscription to be implemented according to the second subscription For example, only provide a reduced functionality in comparison to the first subscription.
  • the subscriber identity module is configured to activate the second subscription
  • the first subscription is deactivated.
  • manipulation of the first subscription should succeed, it can be ensured that if an attack is detected, the first subscription can not be immediately reused.
  • the subscriber identity module is designed to activate the second subscription temporarily and / or until the first subscription
  • Disable activation By temporarily deactivating the subscription, in the case of the attack, it is ensured that a renewed activation of the first subscription is not possible over a given period of time, for example 30 seconds, one minute, 5 minutes, one hour, one day, etc.
  • a network operator Mobile Network Operator; MNO.
  • MNO Mobile Network Operator
  • the second subscription may have limited functionality compared to the first subscription. This can ensure that the user of the mobile device in
  • Number ranges i.e., for example, only domestic calls or to certain pre-selected numbers.
  • the maximum available data rate can be throttled or only a limited amount of data services can be available.
  • the second subscription it is possible for the second subscription to be a subscription with increased security requirements, such as a more elaborate and / or longer key. This can further increase the security of switching and using the second subscription.
  • control commands in the second subscription are processed more slowly compared to the first subscription and / or are processed only with a time delay. Furthermore, it can be implemented that the more frequently they occur, the slower the execution of control commands. In this way, it is particularly advantageous possible to reduce or counteract brutal force attacks effectively.
  • Embodiment be designed to detect an attack by means of a sensor and / or a detection mechanism. In this way, it is particularly efficient and fast to detect an attack with certainty. Furthermore, the attack detection device can be designed to detect an attack on an air interface of the subscriber identity module and / or the mobile device. Thus, it can be ensured that even in the case of an attack on the
  • Air interface such as the mobile interface, a WLAN interface, a Bluetooth and / or an NFC interface, the attack can be reliably detected.
  • the attack detection device can have an error counter, which is designed to activate the second subscription when a certain value is reached. In this way, it is recognized by the attack detection device that an attack could take place. However, the second subscription is not activated immediately.
  • the first subscription can be designed such that it can only be activated again after successful notification of a server instance. This ensures that the re-activation of the first subscription can only occur after authorization by the server instance. As a result, the security is further increased with advantage.
  • a mobile device such as a mobile device a tablet PC and / or a wearable.
  • Fig. 1 shows a schematic representation of a mobile device with a subscriber identity module, wherein the
  • Subscriber identity module is shown enlarged again for better understanding.
  • FIG. 1 shows a mobile device 10 in the form of a mobile phone with a capacitive display device 12.
  • the mobile device 10 may also be designed as a tablet PC and / or as a wearable.
  • the construction of mobile devices 10 is known in the art, for which reason a detailed description of individual features of the mobile device is dispensed with.
  • SIM card subscriber identity module
  • Subscriber identity module 20 by one in the mobile device 10th insertable card.
  • This card can be provided in different formats (mini SIM, micro SIM, nano SIM, etc.). Instead of a physical SIM card, which is plugged into the mobile phone, the SIM card can also be designed as a permanently integrated into the mobile device 10 integrated circuit (eUICC, embedded Universal Integrated Circuit Card).
  • eUICC embedded Universal Integrated Circuit Card
  • At least two subscriptions S1 and S2 can be found on the subscriber identity module 20 according to the invention. Other subscriptions may be present on the subscriber identity module 20.
  • Subscriptions are used by mobile network operators to determine what services a subscriber identity module 20, and therefore the mobile device 10, will have as a function of location, i. in which country is allowed to avail. For example, it can be specified in a subscription which data rates a subscriber has at most to
  • At least two subscriptions S1 and S2 can be found on the subscriber identity module. At least one of the two subscriptions Sl is active, ie with this subscription Sl is
  • Subscriber identity module 20 logged into a mobile network.
  • the subscriber identity module 20 is also a
  • Attack detection device 22 which is designed to detect an attack on the first SI subscription and / or the second S2 subscription.
  • the attack detection device 22 may be
  • Subscriber identity module 20 can be detected. Furthermore, the attack detection device 22 can pay attention to "critical actions" and thus, for example, a logical attack in the
  • Subscriber Identity Module recognize stored data 20.
  • attack detection device 22 detects an attack on the first and currently activated subscription S1, then the subscriber identity module 20 and / or the attack recognition device 22 are located on the
  • Subscriber identity module configured to activate the second subscription S2.
  • the subscriber identity module 20 can deactivate the first subscription Sl when activating the second subscription S2. This ensures that the first subscription is protected from an attack and the unaffected subscription S2 is activated. A further attack on the first subscription S1 is therefore useless if it is deactivated or will not lead to the desired result.
  • the second subscription S2 can have a limited range of functions compared to the first subscription S1. For example, the data transmission rate in the second subscription may be reduced or only certain numbers may be permissible.
  • the second subscription S2 could indicate to the user at regular intervals that the second subscription S2 is currently active and / or that the first subscription S1 is not active. This could be done via an SMS message or a USSD message (Unstructured Supplementary Service Data).
  • attack detection device 22 could be designed to independently inform the network operator about the subscription change. The network operator can initiate further steps in this case.
  • the attack detection device 22 can also be designed to detect an attack which takes place via an air interface, such as the mobile radio interface, a WLAN interface, a Bluetooth interface and / or an NFC interface, and, if an attack via this air interface (not shown) of the mobile device 10 causing the subscription change from the first activated subscription Sl to the second subscription S2.
  • an air interface such as the mobile radio interface, a WLAN interface, a Bluetooth interface and / or an NFC interface
  • an error counter can be displayed on the Subscriber identity module 20 , which is designed to deactivate the first subscription Sl upon activation of a specific value and to activate the second subscription S2. This avoids unnecessary subscription changes.
  • an activation must first be carried out by the mobile network operator before the first subscription S1 can be reactivated.
  • a minimum period of time may be set for which the first subscription Sl must be inactive after deactivation before it can be reactivated. This period of time may be freely selectable, for example five minutes, thirty minutes, one hour, two hours and / or one day. If it is not possible by the mobile network operator, the first
  • the subscriber identity module 20 may not activate the first subscription Sl.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Telephone Function (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Teilnehmeridentitätsmodul (20) zur Verwendung in einer mobilen Einrichtung (10), wobei in einem Speicher des Teilnehmeridentitätsmoduls (20) zumindest eine erste Subskription (S1) und eine zweite Subskription (S2) zur Verfügung gestellt werden. Ferner verfügt das Teilnehmeridentitätsmodul (20) über eine Angriffserkennungseinrichtung (22), die dazu ausgebildet ist, um einen Angriff auf zumindest eine der Subskriptionen (Sl, S2) zu erkennen.

Description

Teilnehmeridentitätsmodul
Technisches Gebiet Die vorliegende Erfindung betrifft ein Teilnehmeridentitätsmodul zur Verwendung in einer mobilen Einrichtung. Teilnehmeridentitätsmodule, insbesondere virtuelle und/ oder fest verbaute SIM-Karten, auch als (e)UICC bezeichnet, werden in mobilen Einrichtungen, wie beispielsweise
Mobiltelefonen, Tablet-PCs und/ oder Wearables eingesetzt, um zumindest eine Subskription zu verwalten. In einer Subskription ist beispielsweise hinterlegt, bei welchem Netzbetreiber sich das Teilnehmeridentitätsmodul einbucht und mit welchen Datenübertragungsraten Daten mit einer mobilen Einrichtung in welchem Umfang empfangen werden können. Stand der Technik
Aus dem Dokument„Embedded SIM remote provisioning architecture", Version 1.1, 17. Dezember 2013 der GSM Assoziation geht hervor, wie verschiedene Sicherheitsmechanismen für eine Subskription auf einer SIM- Karte implementiert werden können. In dem Dokument wird ein
Rückfallmechanismus (fall-back-mechanism) offenbart, der im Fall des Verlustes einer Netzwerkverbindung ohne Veränderung des
Subskriptionsprofiles aktiviert wird. Die Aktivierung des
Rückfallmechanismus wird durch die SIM-Karte getriggert bzw. ausgelöst.
Ferner ist es im Stand der Technik bekannt auf einer fest verbauten SIM- Karte (eUICC) eine Vielzahl von Subskriptionen zu hinterlegen. Diese Subskriptionen können bei Bedarf aktiviert werden, beispielsweise kann eine neue/ andere Subskription in Abhängigkeit von dem Land, in dem sich der Nutzer mit der mobilen Einrichtung aufhält, aktiviert werden. Durch diese Weise können hohe Roamingkosten vermieden werden, welche entstehen, wenn ein mobilfunknetzfremdes Teilnehmeridentitätsmodul zum Einsatz kommt. Des Weiteren sind im Stand der Technik Szenarien bekannt, in welchen versucht wird, einen Angriff auf eine Subskription vorzunehmen, um diese zu manipulieren. Derartige Angriffe können beispielsweise erfolgen, indem wiederholt Lichtblitze auf den Bereich eines Teilnehmeridentitätsmoduls gesendet werden, indem ein Angreifer Subskriptionsdaten vermutet.
Weitere Angriffsszenarien sind im Stand der Technik bekannt.
Zusammenfassend ergibt sich aus dem Stand der Technik der Nachteil, dass, selbst wenn ein Angriff auf eine Subskription erfolgt, diese weiterhin aktiviert bzw. aktivierbar bleibt oder, falls bei einem Angriff von außen die Subskription„zerstört" wird, ein Weiter verwenden der Subskription nicht mehr möglich ist.
Darstellung der Erfindung Der Erfindung liegt die Aufgabe zugrunde, ein Teilnehmeridentitätsmodul zur Verwendung in einer mobilen Einrichtung zur Verfügung zu stellen, das die bekannten Probleme aus dem Stand der Technik löst und ferner dazu ausgebildet ist, geeignet auf einen Angriff auf eine Subskription reagieren zu können.
Die Lösung der Aufgabe erfolgt durch den Gegenstand der unabhängigen Patentansprüche. Bevorzugte Ausgestaltungen ergeben sich aus den abhängigen Ansprüchen. Die Erfindung basiert auf dem Gedanken, eine„Rückfallsubskription" vorzusehen, welche bedarfsgemäß aktivierbar ist.
Demgemäß umfasst das Teilnehmermodul zur Verwendung in einer mobilen Einrichtung eine in einem Speicher des Teilnehmeridentitätsmoduls gespeicherte erste, aktivierte Subskription und zumindest eine in dem
Speicher des Teilnehmeridentitätsmoduls gespeicherte zweite Subskription, wobei in dem Teilnehmeridentitätsmodul eine
Angriffserkennungseinrichtung vorgesehen ist, die dazu ausgebildet ist, einen Angriff auf die erste, aktivierte Subskription zu erkennen, wobei, falls die Angriffserkennungseinrichtung einen Angriff auf die erste Subskription erkennt, das Teilnehmeridentitätsmodul dazu ausgebildet ist, die zweite Subskription zu aktivieren. Bei einem„ Teilnehmer identitätsmodul" im Sinne der Erfindung handelt es sich um eine SI -Karte, welche entfernbar in einer mobilen Einrichtung, insbesondere in einem Mobil telefon, einem Tablet-PC und/ oder einem Wearable angeordnet sein kann. Alternativ kann es sich bei dem
Teilnehmeridentitätsmodul um ein fest in die mobile Einrichtung integriertes sicheres Element handeln, welches gegen Angriffe auf den Speicher von außen besonders geschützt ist.
Gemäß der Erfindung ist es besonders vorteilhaft möglich, in dem Fall, dass ein Angriff auf die erste, aktivierte Subskription erkannt wird, auf eine weitere, bevorzugt die zweite Subskription zu wechseln. Somit kann mit
Vorteil verhindert werden, dass eine manipulierte Subskription unzulässiger Weise weiterverwendet werden kann. Durch das Umschalten auf die zweite Subskription können Sicherheitsmechanismen in dieser zweiten
Subskription implementiert werden, die gemäß der zweiten Subskription beispielsweise nur noch einen reduzierten Funktionsumfang in Vergleich zu der ersten Subskription zur Verfügung stellen.
Gemäß einer Ausführungsform ist das Teilnehmeridentitätsmodul dazu ausgebildet, beim Aktivieren der zweiten Subskription die erste
Subskription zu deaktivieren. Auf diese Weise wird mit Vorteil
sichergestellt, dass, wenn die zweite Subskription im Angriffsfall aktiviert wird, die erste Subskription deaktiviert wird. Somit kann in dem Fall, dass eine Manipulation der ersten Subskription gelingen sollte, sichergestellt werden, dass, wenn ein Angriff erkannt wird, die erste Subskription nicht unmittelbar weiterverwendet werden kann.
Gemäß einer weiteren besonders bevorzugten Ausführungsform ist das Teilnehmeridentitätsmodul dazu ausgebildet, beim Aktivieren der zweiten Subskription die erste Subskription temporär und/ oder bis zur
Freischaltung zu deaktivieren. Durch die temporäre Deaktivierung der Subskription wird im Fall des Angriffs sichergestellt, dass über eine vorgegebene Zeitdauer hinweg, beispielsweise 30 Sekunden, eine Minute, 5 Minuten, eine Stunde, ein Tag, etc., eine erneute Aktivierung der ersten Subskription nicht möglich ist. Alternativ kann es erforderlich sein, dass zunächst eine Freischaltung der ersten Subskription beispielsweise bei einem Netzwerkbetreiber (Mobile Network Operator; MNO) erforderlich ist. Auf diese Weise wird mit Vorteil ein rasches Reaktivieren der ersten
Subskription verhindert.
Die zweite Subskription kann im Vergleich zur ersten Subskription lediglich über einen eingeschränkten Funktionsumfang verfügen. Dadurch kann sichergestellt werden, dass dem Nutzer der mobilen Einrichtung im
Angriffsfall noch eine Subskription zur Verfügung steht, diese jedoch nur einen eingeschränkten Funktionsumfang aufweist. Der Nutzer ist also noch in der Lage, beispielsweise Anrufe zu bestimmten Nummern oder
Nummernbereichen, d.h., beispielsweise nur Anrufe im Inland oder zu bestimmten vorab ausgewählten Nummern, zu tätigen. Zusätzlich kann die maximal verfügbare Datenrate gedrosselt werden oder es kann nur noch ein eingeschränkter Umfang an Datendiensten zur Verfügung stehen.
Weiterhin ist es gemäß einer weiteren Ausführungsform möglich, dass es sich bei der zweiten Subskription um eine Subskription mit erhöhten Sicherheitsanforderungen, wie beispielsweise einen aufwändigeren und/ oder längeren Schlüssel handelt. Dadurch kann die Sicherheit beim Umschalten und Verwenden der zweiten Subskription weiter erhöht werden. Um die Sicherheit beim Wechsel auf die zweite Subskription weiter zu erhöhen, kann gemäß einer weiteren Ausführungsform vorgesehen sein, dass Steuerbefehle in der zweiten Subskription im Vergleich zur ersten Subskription langsamer abgearbeitet werden und/ oder nur mit einer Zeitverzögerung abgearbeitet werden. Ferner kann implementiert sein, dass Steuerbefehle, je häufiger sie auftreten, umso langsamer abgearbeitet werden. Auf diese Weise ist es besonders vorteilhaft möglich, Brut-Force- Angriffe zu reduzieren bzw. ihnen wirksam zu begegnen.
Ferner kann die Angriffserkennungseinrichtung gemäß seiner
Ausführungsform dazu ausgebildet sein, einen Angriff mittels eines Sensors und/ oder eines Detektionsmechanismus zu erkennen. Auf diese Weise ist es besonders effizient und schnell möglich, einen Angriff mit Sicherheit zu erkennen. Weiterhin kann die Angriffserkennungseinrichtung dazu ausgebildet sein, einen auf eine Luftschnittstelle des Teilnehmeridentitätsmoduls und/ oder der mobilen Einrichtung geltenden Angriff zu erkennen. Somit kann sichergestellt werden, dass auch im Falle eines Angriffes über die
Luftschnittstelle, wie beispielsweise die Mobilfunkschnittstelle, eine WLAN- Schnittstelle, eine Bluetooth- und/ oder eine NFC-Schnittstelle, der Angriff sicher erkannt werden kann.
Weiterhin kann die Angriffserkennungseinrichtung einen Fehlerzähler aufweisen, der dazu ausgebildet ist, beim Erreichen eines bestimmten Wertes die zweite Subskription zu aktivieren. Auf diese Weise wird durch die Angriffserkennungseinrichtung zwar erkannt, dass ein Angriff stattfinden könnte. Es wird jedoch nicht sofort die zweite Subskription aktiviert.
Stattdessen wird zunächst überprüft, ob der Angriff bzw. der
Angriffsversuch stattfindet. Bei jedem registrierten Angriffsversuch wird der Fehlerzähler erhöht. Sowie der Fehlerzähler einen bestimmten Wert aufweist, wird die zweite Subskription aktiviert. Dadurch kann mit Vorteil sichergestellt werden, dass ein verfrühtes Aktivieren der zweiten
Subskription vermieden werden kann.
Gemäß einer weiteren Ausführungsform kann die erste Subskription derart ausgebildet sein, dass sie nur nach erfolgreicher Benachrichtigung einer Serverinstanz erneut aktivierbar ist. Auf diese Weise wird sichergestellt, dass die erneute Aktivierung der ersten Subskription nur nach Autorisierung durch die Serverinstanz erfolgen kann. Dadurch wird die Sicherheit mit Vorteil weiter erhöht.
Die erfindungsgemäßen Vorteile zeigen sich auch bei Verwendung des oben beschriebenen Teilnehmeridentitätsmoduls in einer mobilen Einrichtung, wie beispielsweise einem Mobilfunkgerät einem Tablet-PC und/ oder einem Wearable.
Kurze Beschreibung der Zeichnung
Fig. 1 zeigt eine schematische Darstellung einer mobilen Einrichtung mit einem Teilnehmeridentitätsmodul, wobei das
Teilnehmeridentitätsmodul zum besseren Verständnis nochmals vergrößert dargestellt ist.
Ausführliche Beschreibung bevorzugter Ausführungsformen der Erfindung
Im Folgenden wird die Erfindung unter Bezugnahme auf die beiliegende Fig. 1 anhand einer rein beispielhaften Ausführungsform beschrieben.
Fig. 1 zeigt eine mobile Einrichtung 10 in Form eines Mobiltelefons mit einer kapazitiven Anzeigeeinrichtung 12. Alternativ kann die mobile Einrichtung 10 auch als Tablet-PC und/ oder als Wearable ausgestaltet sein. Der Aufbau mobiler Einrichtungen 10 ist im Stand der Technik bekannt, weshalb auf eine detaillierte Beschreibung einzelner Merkmale der mobilen Einrichtung verzichtet wird.
In der mobilen Einrichtung befindet sich ein Teilnehmeridentitätsmodul (SIM-Karte), die in die mobile Einrichtung 10 eingesteckt wird und zur Identifikation des Teilnehmers/ Nutzers im Mobilfunknetz dient.
In dem gezeigten Ausführungsbeispiel handelt es sich bei dem
Teilnehmeridentitätsmodul 20 um eine in die mobile Einrichtung 10 einsteckbare Karte. Diese Karte kann in unterschiedlichen Formaten zur Verfügung gestellt werden (Mini-SIM, Micro-SIM, Nano-SIM, etc.). Anstatt einer physischen SIM-Karte, welche in das Mobiltelefon eingesteckt wird, kann die SIM-Karte auch als fest in die mobile Einrichtung 10 integrierter Schaltkreis ausgebildet sein (eUICC; embedded Universal Integrated Circuit Card).
Auf dem Teilnehmeridentitätsmodul 20 gemäß der Erfindung finden sich zumindest zwei Subskriptionen Sl und S2. Weitere Subskriptionen können auf dem Teilnehmeridentitätsmodul 20 vorhanden sein.
Subskriptionen werden von Mobilfunknetzbetreibern verwendet, um festzulegen, welche Dienste ein Teilnehmeridentitätsmodul 20 und damit die mobile Einrichtung 10 in Abhängigkeit vom Aufenthaltsort, d.h. in welchem Land, in Anspruch nehmen darf. Beispielsweise kann in einer Subskription festgelegt sein, welche Datenraten einem Teilnehmer maximal zur
Verfügung gestellt werden, selbst wenn eine größere Datenrate an dem Standort, an dem sich der Teilnehmer aufhält, verfügbar wäre. Weiterhin kann in der Subskription festgelegt sein, in welches Mobilfunknetz sich die mobile Einrichtung in Abhängigkeit von dem Land, in dem sich der
Teilnehmer aufhält, einzubuchen hat.
Bisweilen werden Versuche unternommen, eine Subskription auf einem Teilnehmeridentitätsmodul 20 zu manipulieren. Ein Angreifer, welcher einen Manipulationsversuch, d.h. einen Angriff auf eine Subskription unternimmt, hat in der Regel zum Ziel die Subskription so zu verändern, dass zusätzliche Dienste, wie beispielsweise eine erhöhte
Datenübertragungsrate, in der Subskription freigeschaltet werden. Gemäß der Erfindung finden sich auf dem Teilnehmeridentitätsmodul zumindest zwei Subskriptionen Sl und S2. Zumindest eine der beiden Subskriptionen Sl ist aktiv, d.h. mit dieser Subskription Sl ist das
Teilnehmeridentitätsmodul 20 in ein Mobilfunknetz eingebucht. In dem Teilnehmeridentitätsmodul 20 findet sich ferner eine
Angriffserkennungseinrichtung 22, die dazu ausgebildet ist, einen Angriff auf die erste Sl Subskription und/ oder die zweite S2 Subskription zu erkennen. Bei der Angriffserkennungseinrichtung 22 kann es sich
beispielsweise um einen Sensor und/ oder einen Detektionsmechanismus handeln, mit welchem beispielsweise Lichtblitzangriffe auf das
Teilnehmeridentitätsmodul 20 erkannt werden können. Ferner kann die Angriffserkennungseinrichtung 22 auf„kritische Aktionen" achten und so beispielsweise einen logischen Angriff auf in dem
Teilnehmeridentitätsmodul gespeicherte Daten 20 erkennen.
Erkennt die Angriffserkennungseinrichtung 22 einen Angriff auf die erste und derzeit aktivierte Subskription Sl, so ist das Teilnehmeridentitätsmodul 20 und/ oder die Angriffserkennungseinrichtung 22 auf dem
Teilnehmeridentitätsmodul dazu ausgebildet, die zweite Subskription S2 zu aktivieren. Zusätzlich kann, wenn die zweite Subskription S2 im Angriffsfall aktiviert wird, das Teilnehmeridentitätsmodul 20 beim Aktivieren der zweiten Subskription S2 die erste Subskription Sl deaktivieren. Auf diese Weise wird sichergestellt, dass die erste Subskription vor einem Angriff geschützt wird und die nicht-angegriffene Subskription S2 aktiviert wird. Ein weiterer Angriff auf die erste Subskription Sl ist somit, wenn diese deaktiviert ist, zwecklos bzw. wird nicht zu dem gewünschten Ergebnis führen. Die zweite Subskription S2 kann im Vergleich zur ersten Subskription Sl über einen eingeschränkten Funktionsumfang verfügen. Beispielsweise kann die Datenübertragungsrate bei der zweiten Subskription verringert sein oder es können nur bestimmte Rufnummern zulässig sein. Ferner könnte die zweite Subskription S2 den Nutzer in regelmäßigen Abständen darauf hinweisen, dass derzeit die zweite Subskription S2 aktiv ist und/ oder dass die erste Subskription Sl nicht aktiv ist. Dies könnte über eine SMS- Nachricht oder eine USSD-Nachricht (Unstructured Supplementary Service Data) erfolgen.
Weiterhin könnte die Angriffserkennungseinrichtung 22 dazu ausgebildet sein den Netzwerkbetreiber selbstständig über den Subskriptionswechsel zu informieren. Der Netzwerkbetreiber kann in diesem Fall weitere Schritte einleiten.
Weiterhin kann vorgesehen sein, dass in der zweiten Subskription S2
Steuerbefehle nur mit einer Zeitverzögerung und/ oder langsamer im
Vergleich zur ersten Subskription Sl abgearbeitet werden. Die Angriffserkennungseinrichtung 22 kann ferner dazu ausgebildet sein, einen Angriff, welcher über eine Luftschnittstelle, wie beispielsweise die Mobilfunkschnittstelle, eine WLAN-Schnittstelle, eine Bluetooth-Schnittstelle und/ oder eine NFC-Schnittstelle erfolgt, zu erkennen und, falls ein Angriff über diese Luftschnittstelle (nicht gezeigt) der mobilen Einrichtung 10 festgestellt wird, den Subskriptionswechsel von der ersten, aktivierten Subskription Sl auf die zweite Subskription S2 veranlassen.
Um zu vermeiden, dass ein„Fehlalarm" ausgelöst wird, wenn ein Angriff das erste Mal erkannt wird, kann ein Fehlerzähler auf dem Teilnehmeridentitätsmodul 20 vorgesehen sein, der dazu ausgebildet ist, beim Erreichen eines bestimmten Wertes die erste Subskription Sl zu deaktivieren und die zweite Subskription S2 zu aktivieren. Auf diese Weise wird ein unnötiger Subskriptionswechsel vermieden.
Ferner kann vorgesehen sein, dass nach einem Deaktivieren der ersten Subskription zunächst eine Freischaltung beim Mobilfunknetzbetreiber erfolgen muss, bevor die erste Subskription Sl wieder erneut aktiviert werden kann. Alternativ kann eine Mindestzeitdauer festgelegt werden, für die die erste Subskription Sl nach der Deaktivierung inaktiv sein muss, bevor sie erneut wieder aktiviert werden kann. Diese Zeitdauer kann frei wählbar sein und beispielsweise fünf Minuten, 30 Minuten, eine Stunde, zwei Stunden und/ oder einen Tag betragen. Falls es durch den Mobilfunknetzbetreiber nicht möglich ist, die erste
Subskription Sl nach einem mittels der Angriffserkennungseinrichtung 22 erkannten Angriff zu aktivieren, so muss davon ausgegangen werden, dass die erste Subskription Sl bei dem Angriff beschädigt wurde oder weiterhin ein Angriff stattfindet. In diesem Fall darf das Teilnehmeridentitätsmodul 20 die erste Subskription Sl nicht aktivieren.
Weiterhin kann vorgesehen sein, dass, falls ein Angriff auf eine Subskription Sl erkannt wird, ähnliche Subskriptionen, welche global von dem
Mobilfunknetzbetreiber verteilt wurden, vorübergehend geblockt werden bzw. deaktiviert werden und erst aktiviert werden, wenn der Angriff auf die Subskription Sl abgewehrt wurde.

Claims

P a t e n t a n s p r ü c h e
1. Teilnehmeridentitätsmodul (20) zur Verwendung in einer mobilen Einrichtung (10), aufweisend:
- eine in einem Speicher des Teilnehmeridentitätsmoduls gespeicherte, erste, aktivierte Subskription (Sl) und zumindest eine in dem Speicher des
Teilnehmeridentitätsmoduls gespeicherte, zweite Subskription (S2),
dadurch gekennzeichnet, dass
in dem Teilnehmeridentitätsmodul eine Angriffserkennungseinrichtung (22) vorgesehen ist, die dazu ausgebildet ist um einen Angriff auf die erste aktivierte Subskription zu erkennen,
wobei, falls die Angriffserkennungseinrichtung einen Angriff auf die erste Subskription erkennt, das Teilnehmeridentitätsmodul dazu ausgebildet ist, die zweite Subskription zu aktivieren.
2. Teilnehmeridentitätsmodul nach Anspruch 1, dadurch
gekennzeichnet, dass das Teilnehmeridentitätsmodul dazu ausgebildet ist, beim Aktivieren der zweiten Subskription die erste Subskription zu deaktivieren.
3. Teilnehmeridentitätsmodul nach Anspruch 2, dadurch
gekennzeichnet, dass das Teilnehmeridentitätsmodul dazu ausgebildet ist, beim Aktivieren der zweiten Subskription die erste Subskription temporär und/ oder bis einer Freischaltung zu deaktivieren.
4. Teilnehmeridentitätsmodul nach einem der vorhergehenden
Ansprüche, dadurch gekennzeichnet, dass die zweite Subskription im
Vergleich zur ersten Subskription über einen eingeschränkten
Funktionsumfang verfügt.
5. Teilnehmeridentitätsmodul nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass Steuerbefehle in der zweiten Subskription im Vergleich zur ersten Subskription langsamer abgearbeitet werden.
6. Teilnehmeridentitätsmodul nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die
Angriffserkennungseinrichtung dazu ausgebildet ist einen Angriff mittels eines Sensors und/ oder eines Detektionsmechanismus zu erkennen.
7. Teilnehmeridentitätsmodul nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die
Angriffserkennungseinrichtung dazu ausgebildet ist einen auf eine Luftschnittstelle des Teilnehmeridentitätsmoduls und/ oder der mobilen Einrichtung gerichteten Angriff zu erkennen.
8. Teilnehmeridentitätsmodul nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die
Angriffserkennungseinrichtung einen Fehlerzähler aufweist, der dazu ausgebildet ist beim Erreichen eines bestimmten Wertes die zweite
Subskription zu aktivieren.
9. Teilnehmeridentitätsmodul nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Subskription derart ausgebildet ist, dass sie nur nach erfolgreicher Benachrichtigung einer Serverinstanz erneut aktivierbar ist.
10. Verwendung eines Teilnehmeridentitätsmoduls nach einem der vorhergehenden Ansprüche in einer mobilen Einrichtung.
PCT/EP2016/000189 2015-02-09 2016-02-04 Teilnehmeridentitätsmodul WO2016128123A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015001620.2 2015-02-09
DE102015001620.2A DE102015001620A1 (de) 2015-02-09 2015-02-09 Teilnehmeridentitätsmodul

Publications (1)

Publication Number Publication Date
WO2016128123A1 true WO2016128123A1 (de) 2016-08-18

Family

ID=55361454

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2016/000189 WO2016128123A1 (de) 2015-02-09 2016-02-04 Teilnehmeridentitätsmodul

Country Status (2)

Country Link
DE (1) DE102015001620A1 (de)
WO (1) WO2016128123A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106559850A (zh) * 2016-11-22 2017-04-05 宇龙计算机通信科技(深圳)有限公司 一种入网切换的方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040092248A1 (en) * 2002-11-12 2004-05-13 Uday Kelkar Over-the-air subsidy lock resolution
US20060112436A1 (en) * 2004-11-19 2006-05-25 Proton World International N.V. Protection of a microcontroller
DE102011014665A1 (de) * 2011-03-22 2012-09-27 Giesecke & Devrient Gmbh Detektieren von Angriffen auf einen portablen Datenträger
EP2793161A1 (de) * 2013-04-18 2014-10-22 Giesecke & Devrient GmbH Verfahren zur Klassifizierung eines Angriffs auf ein Sicherheitsmodul

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7613480B2 (en) * 2003-12-31 2009-11-03 At&T Mobility Ii Llc Multiple subscription subscriber identity module (SIM) card
KR101359324B1 (ko) * 2006-03-27 2014-02-24 텔레콤 이탈리아 소시에떼 퍼 아찌오니 이동 통신 장치상의 보안 정책 시행 방법
US8479290B2 (en) * 2010-06-16 2013-07-02 Alcatel Lucent Treatment of malicious devices in a mobile-communications network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040092248A1 (en) * 2002-11-12 2004-05-13 Uday Kelkar Over-the-air subsidy lock resolution
US20060112436A1 (en) * 2004-11-19 2006-05-25 Proton World International N.V. Protection of a microcontroller
DE102011014665A1 (de) * 2011-03-22 2012-09-27 Giesecke & Devrient Gmbh Detektieren von Angriffen auf einen portablen Datenträger
EP2793161A1 (de) * 2013-04-18 2014-10-22 Giesecke & Devrient GmbH Verfahren zur Klassifizierung eines Angriffs auf ein Sicherheitsmodul

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
GSMA: "Official Document 12FAST.13 - Embedded SIM Remote Provisioning Architecture Version 1.1", 17 December 2013 (2013-12-17), XP055135431, Retrieved from the Internet <URL:http://www.gsma.com/connectedliving/wp-content/uploads/2014/01/1.-GSMA-Embedded-SIM-Remote-Provisioning-Architecture-Version-1.1.pdf> [retrieved on 20140820] *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106559850A (zh) * 2016-11-22 2017-04-05 宇龙计算机通信科技(深圳)有限公司 一种入网切换的方法及装置

Also Published As

Publication number Publication date
DE102015001620A1 (de) 2016-08-11

Similar Documents

Publication Publication Date Title
DE19823532C2 (de) Verfahren zur Steuerung eines Teilnehmeridentitätsmoduls (SIM) in Mobilfunksystemen
EP1737181B1 (de) Vorrichtung, Verfahren und Computerprogrammprodukt zum Steuern der Nutzbarkeit eines Applikationsmoduls mittels Sicherheitsmodul
EP1058467B1 (de) Verfahren zum Betrieb von zwei SIM-Karten in ein Mobiltelefon
EP3257219A1 (de) Verfahren zum betreiben eines sicherheitselements
DE102015220229B4 (de) Verfahren und Vorrichtung zur externen Bedienung eines Geräts
EP2528363A2 (de) Wechsel der Subskription in einem Identifizierungsmodul
WO2016128123A1 (de) Teilnehmeridentitätsmodul
WO2016206813A1 (de) Kommunizieren eines teilnehmeridentitätsmoduls zu einem server, insbesondere bei profilwechsel
DE10227091A1 (de) Verfahren zum Zugänglichmachen von Informationen in Telekommunikationsnetzen und Mikroprozessorkarte mit entsprechenden Applikationen zur Kommunikation mit dem betreffenden Telekommunikationsnetz
EP1183895A1 (de) Einrichtung zum schutz des ersteinsatzes einer prozessor-chipkarte
EP1869921B1 (de) Verfahren zur verbesserung des missbrauchsschutzes bei einer chipkarte und eine chipkarte zur durchführung des verfahrens
EP3813314B1 (de) Sicherungssystem und verfahren zur filterung eines datenverkehrs
DE102017209806A1 (de) Verfahren und Vorrichtung zum Erkennen von Angriffen auf einen Feldbus
EP3452946A1 (de) Verfahren zur erstmaligen inbetriebnahme eines nicht vollständig personalisierten sicheren elements
EP1768316B1 (de) Entsperren einer mobilfunkkarte
EP3656181B1 (de) Aufrechterhalten einer netzwerkverbindung
DE102005045483A1 (de) Mobiltelefon sowie Verfahren zum Blockieren des Mobiltelefons
EP3039611B1 (de) Verfahren und vorrichtung zur übertragung einer information
EP2740070B1 (de) Mechanismus zur kommunikation zwischen zwei applikationen auf einem sicherheitsmodul
DE102015015212A1 (de) Verfahren zum Betreiben eines Sicherheitsmoduls und Sicherheitsmodul
DE10218210A1 (de) Verfahren zur Absicherung von besonders schützenswerten Funktionen oder Informationen von Vorrichtungen
DE102013010262A1 (de) Verfahren zur Nutzung eines weiteren Verbindungskanals zur Übertragung von Daten
EP2911310A1 (de) Funkgerät-System und Verfahren mit Zeitparameter-Auswertung
DE10308572A1 (de) Verfahren zum automatischen Einschalten eines mobilen Kommunikationsendgerätes und entsprechendes Kommunikationsendgerät
EP3243340A1 (de) Teilnehmeridentitätsmodul sowie auf einem teilnehmeridentitätsmodul ausführbare applikation

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16704795

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16704795

Country of ref document: EP

Kind code of ref document: A1