Die Erfindung betrifft ein Verfahren zum Laden einer personalisierungsbedürftigen Applikation in ein tragbares Speichermedium, ein Verfahren zum Aktualisieren einer in einem tragbaren Speichermedium abgespeicherten Applikation, sowie ein tragbares Speichermedium und eine System.

Tragbare Speichermedien werden zum Bereithalten von Applikationen für unterschiedliche Einsatzgebiete verwendet. Das tragbare Speichermedium hat einen Applikationsspeicher und eine Speicherverwaltungseinrichtung, z.B. einen Speichercontroller, durch die der Applikationsspeicher verwaltet wird. Wahlweise hat das Speichermedium einen Mikroprozessor, wobei die Aufgabe der Speicherverwaltung wahlweise vom Mikroprozessor durchgeführt wird. Beispiele solcher tragbarer Speichermedien sind mit einem Mik- roprozessor ausgestattete Smart Cards und mit einem Speichercontroller ausgestattete Speicherkarten. Bei einem Einsatz des tragbaren Speichermediums im Mobilfunkbereich kann das tragbare Speichermedium beispielsweise als Smart Card mit einem Sicherheitsmodul zur Nutzung eines Endgeräts (z.B. Mobiltelefon) in einem Mobilfunknetz gestaltet sein oder in eine solche Smart Card integriert sein. Die Smart Card ist beispielsweise eine

SIM-Karte für das GSM-System oder eine USIM-Karte für das UMTS-System oder eine ähnliche Smart Card. Wahlweise ist das tragbare Speichermedium als Pay TV Karte zur Nutzung von Bezahlfernsehen gestaltet oder in eine solche Pay TV Karte integriert. Wahlweise ist das tragbare Speichermedium eine in eine Secure Flash Card integrierte Smart Card, wobei die Secure Flash Card einen der Smart Card übergeordneten Flash-Controller hat.

Das tragbare Speichermedium lässt sich mittels eines Endgeräts auslesen und beschreiben. Als Endgerät ist beispielsweise ein mobiles Endgerät für ein Mobilfunknetz, z.B. ein Mobiltelefon, PDA, Smart Phone etc., oder eine Set Top Box für Bezahlfernsehen (Pay TV) vorgesehen. Bei einem tragbaren Speichermedium, das als in eine Secure Flash Card integrierte Smart Card gestaltet ist, kann als Endgerät ein Flash-Controller vorgesehen sein oder alternativ ein mobiles Endgerät wie z.B. Mobiltelefon etc, PDA oder Smart Phone.

Eine Applikation für ein tragbares Speichermedium muss in der Regel auf den Nutzer der Applikation personalisiert werden. Die Applikation ist zunächst unpersonalisiert, d.h. anonym, und somit für jeden potentiellen Nutzer identisch und nutzbar. Erst bei der Personalisierung wird die zunächst anonyme Applikation mit Personalisierungsdaten für den Nutzer einzigartig gemacht. Die Personalisierungsdaten umfassen beispielsweise persönliche Identitätsdaten betreffend den Nutzer und Gerätedaten eines Geräts zur Nutzung des Speichermediums und sind zumindest teilweise erforderlich, damit die Applikation auf dem Speichermedium genutzt werden kann. Zur Personalisierung wird zunächst die Applikation in unpersonalisierter Form bereitgestellt. Anschließend werden die Personalisierungsdaten in die Applikation geladen und die Applikation dadurch personalisiert.

Änderungen der Applikation beim Hersteller oder Anbieter (Provider) der Applikation machen es von Zeit zu Zeit erforderlich, dass eine aktualisierte Applikation in das tragbare Speichermedium geladen wird. Eine aktualisierte Applikation wird z.B. bereitgestellt, um Fehler der Applikation zu beheben, oder um zusätzliche oder geänderte Dienstleistungen, welche die Applikation bietet, an den Nutzer bereitzustellen.

Herkömmlicherweise werden zum Aktualisieren einer Applikation die aktualisierte Applikation, die zunächst wieder unpersonalisiert ist, und die Personalisierungsdaten zum Personalisieren der Applikation von einem Server des Herstellers oder Anbieters aus über eine serverseitige Verbindung in das tragbare Speichermedium geladen. Beim herkömmlichen Verfahren zur Applikationsaktualisierung ist es erforderlich, dass bei jedem Laden einer aktualisierten Applikation die Personalisierungsdaten beim Hersteller oder Anbieter der Applikation zur Verfügung stehen müssen, damit sie erneut in das Speichermedium geladen werden können. Hierdurch haben herkömmliche Applikationsaktualisierungen für den Hersteller oder Anbieter der Applikation einen hohen Verwaltungsaufwand. Zudem müssen die Personalisierungsdaten bei jeder Applikationsaktualisierung über die serverseitige Verbindung geladen werden. Da die Kosten der serverseitigen Verbindung häu- fig mit übertragener Datenmenge und/ oder Dauer der Verbindung steigen, verursachen die bei jeder Aktualisierung erneut mit zu übertragenden Personalisierungsdaten ggf. zusätzliche Kosten für den Hersteller oder Anbieter der Applikation und für den Nutzer des Speichermediums. Die Kosten der serverseitigen Verbindung können besonders im Fall von Applikationsaktu- alisierungen „over the air" (OTA), d.h. falls als serverseitige Verbindung eine (Mobil-)Funkverbindung verwendet wird, sogar ganz erheblich sein. Eine weitere Gefahr bei der Übertragung von Personalisierungsdaten über eine serverseitige Verbindung besteht darin, dass Personalisierungsdaten streng vertraulich sind und bei jeder serverseitigen Übertragung abgehorcht wer- den können. Bei einer Personalisierung einer erstmalig geladenen Applikation im sicheren Umfeld des Herstellers des Speichermediums („pre- issuance") mag die Gefahr des Aushorchens der Personalisierungsdaten aus der serverseitigen Verbindung noch vertretbar sein. Beim Laden von aktualisierten Applikationen nach der Herausgabe des Speichermediums durch den Hersteller („post-issuance") ist die Gefahr, dass Personalisierungsdaten aus der serverseitigen Verbindung ausgehorcht werden, dagegen groß. EP 1 936574 Al beschreibt ein Laden einer personalisierungsbedürftigen Java Card Applikation in eine Java Card. Dabei werden eine Applikation und Personalisierungsdaten zur Personalisierung der Applikation gemeinsam in einem Paket in die Java Card geladen. Die Applikation wird in der Java Card installiert und anschließend wird die installierte Applikation mit den Personalisierungsdaten aus dem Paket personalisiert.

Aufgabe der Erfindung ist es, ein effizientes, kostengünstiges und zugleich sicheres Verfahren zum Laden einer personalisierungsbedürftigen Applika- tion in ein tragbares Speichermedium sowie ein Verfahren zum Aktualisieren einer in einem tragbaren Speichermedium abgespeicherten Applikation zu schaffen. Ein entsprechendes tragbares Speichermedium und System mit Speichermedium und Endgerät sollen ebenfalls angegeben werden.

Die Aufgabe wird gelöst durch ein Lade verfahren gemäß dem unabhängigen Anspruch 1. Weiter sind angegeben ein Aktualisierungsverfahren, ein tragbares Speichermedium und ein System mit einem tragbaren Speichermedium und einem Endgerät. Vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben.

Anspruch 1 lehrt ein Verfahren zum Laden einer personalisierungsbedürftigen Applikation in ein tragbares Speichermedium, das zum Betrieb in einem Endgerät eingerichtet ist, wobei - die Applikation und Personalisierungsdaten in einem außerhalb des Spei- chermediums und außerhalb des Endgeräts angeordneten Server bereitgestellt werden, der für eine Übertragung von Applikationen und Personalisierungsdaten über eine serverseitige Verbindung mit dem tragbaren Speichermedium oder/ und dem Endgerät verbindbar ist, - die Applikation zumindest teilweise über die serverseitige Verbindung in einen Applikationsspeicher des Speichermediums geladen wird,

- die Personalisierungsdaten in die Applikation geladen werden, derart, dass die Applikation mit den Personalisierungsdaten personalisiert wird, und - die Personalisierungsdaten in ein Rückspeicher-Modul geladen werden, das von in dem Applikationsspeicher abgespeicherten Applikationen unabhängig ist, als nichtflüchtiger Speicher gestaltet ist, und innerhalb des tragbaren Speichermediums oder innerhalb des Endgeräts angeordnet ist.

Die Personalisierungsdaten werden, zusätzlich zu ihrem Laden in die Applikation, zumindest teilweise in ein von der Applikation und ggf. weiteren Applikationen unabhängiges Rückspeicher-Modul geladen und dort nicht- flüchtig abgespeichert. Dadurch, dass die Personalisierungsdaten in dem Rückspeicher-Modul im Speichermedium oder Endgerät selbst bereitgehal- ten werden, kann eine später in das Speichermedium zu ladende aktualisierte Applikation mit den Personalisierungsdaten aus dem Rückspeicher- Modul personalisiert werden. Ein Vorrätighalten der Personalisierungsdaten beim Hersteller oder Anbieter der Applikation, außerhalb des Speichermediums und außerhalb des Endgeräts, ist nicht erforderlich. Zudem kann die Personalisierung der aktualisierten Applikation erfolgen, ohne dass eine serverseitige Verbindung hergestellt wird. Hierdurch ist der Verwaltungsaufwand für den Hersteller oder Anbieter der Applikation verringert. Zudem sind die Kosten für das spätere Laden der aktualisierten Applikation reduziert, da lediglich die Applikation über die serverseitige Verbindung über- tragen werden muss, nicht jedoch die Personalisierungsdaten. Die Kostenersparnis kommt sowohl dem Hersteller oder Anbieter der Applikation als auch dem Nutzer des Speichermediums zugute. Zudem sind spätere Aktualisierungen von Applikationen besonders sicher, da keine Personalisierungsdaten mehr über die serverseitige Verbindung übertragen werden. Daher ist gemäß Anspruch 1 ein effizientes, kostengünstiges und sicheres Verfahren zum Laden einer personalisierungsbedürftigen Applikation in ein tragbares Speichermedium geschaffen.

Bei einem erfindungsgemäßen Verfahren zum Betreiben eines tragbaren Speichermediums in einem Endgerät enthält das tragbare Speichermedium eine Applikation, die wie oben beschrieben gemäß der Erfindung in das tragbare Speichermedium geladen worden ist. Die im Applikationsspeicher ab- gespeicherte und personalisierte Applikation erzeugt während des Betriebs des Speichermediums Applikationsdaten, durch welche die abgespeicherte und personalisierte Applikation geändert wird, oder die Applikation nimmt solche Applikationsdaten von außerhalb des Speichermediums entgegen. Die Applikationsdaten werden gemäß der Erfindung vollständig oder zu- mindest teilweise in das Rückspeicher-Modul geladen. Bei einer späteren

Applikationsaktualisierung können Veränderungen, die an der ursprünglich im Applikationsspeicher abgespeicherten Applikation vorgenommen worden sind, in die aktualisierte Applikation übertragen werden, indem die Applikationsdaten, die aus der ursprünglichen Applikation in das Rückspei- cher-Modul geladen worden sind, aus dem Rückspeicher-Modul in die aktualisierte Applikation geladen werden.

Als Applikationsdaten, die von der Applikation erzeugt werden, sind beispielsweise die Inhalte oder Zählerstände von Log-Dateien oder Zählern vorgesehen, die beim Ablaufen der Applikation verändert werden. Als Applikationsdaten, die von außerhalb des Speichermediums in die Applikation geladen und von der Applikation entgegengenommen werden, sind beispielsweise bei einer Pay TV Karte Empfangsberechtigungen für den Empfang von Dateninhalten (z.B. Fernsehsendungen) vorgesehen. Solche Emp- fangsberechtigungen ändern sich in regelmäßigen oder unregelmäßigen Zeitabständen, auf Veranlassung des Karteninhabers oder des Datenproviders. Alternativ sind als Applikationsdaten sonstige während des Betriebs des Speichermediums in der Applikation erzeugte oder empfangene Daten vor- gesehen, die bewirken, dass die Applikation verändert wird.

Die Applikation wird wahlweise vollständig über die serverseitige Verbindung aus dem Server direkt in den Anwendungsspeicher innerhalb des Speichermediums geladen. Wahlweise, wenn die Applikation nur teilweise über die serverseitige Verbindung geladen wird, wird die Applikation beispielsweise über die serverseitige Verbindung in das Endgerät geladen und anschließend über eine externe Verbindung zwischen dem Endgerät und dem Speichermedium (weiter unten als externe Verbindung bezeichnet, im Gegensatz zu einer internen Verbindung innerhalb des Speichermediums) aus dem Endgerät in das Speichermedium geladen.

Die Applikation wird wahlweise außerhalb des Applikationsspeichers oder innerhalb des Applikationsspeichers mit den Personalisierungsdaten personalisiert. Bei einer Personalisierung außerhalb des Applikationsspeichers, die in Fig. 1 veranschaulicht ist, werden wahlweise zuerst die Personalisierungsdaten in die Applikation geladen und die Applikation dadurch mit den Personalisierungsdaten personalisiert, und anschließend wird die personalisierte Applikation in den Applikationsspeicher geladen. Bei einer Personalisierung innerhalb des Applikationsspeichers, die in Fig. 2 und Fig. 3 veran- schaulicht ist, wird die unpersonalisierte, also noch personalisierungsbedürf- tige, Applikation zuerst in den Applikationsspeicher geladen. Anschließend werden die Personalisierungsdaten in die bereits im Applikationsspeicher befindliche Applikation geladen, so dass die Applikation innerhalb des Applikationsspeichers mit den Personalisierungsdaten personalisiert wird. Da- bei werden die Personalisierungsdaten wahlweise zuerst in den Applikationsspeicher gespeichert und anschließend vom Applikationsspeicher in das Rückspeicher-Modul gespeichert (Fig. 2) oder zuerst in das Rückspeicher- Modul gespeichert und anschließend vom Rückspeicher-Modul in den Ap- plikationsspeicher gespeichert (Fig. 3).

Im Fall, dass die Applikation außerhalb des Applikationsspeichers personalisiert wird, wird die Applikation wahlweise bereits im Server beim Hersteller oder Anbieter der Applikation personalisiert. Somit wird über die server- seitige Verbindung die personalisierte Applikation übertragen. Alternativ wird die Applikation innerhalb des Endgeräts, aber außerhalb des Speichermediums personalisiert und die personalisierte Applikation über die externe Verbindung aus dem Endgerät in das Speichermedium, genauer in den Applikationsspeicher, geladen. Bei dieser Variante werden die Persona- lisierungsdaten und die unpersonalisierte Applikation über die serverseitige Verbindung übertragen.

Die in den Applikationsspeicher geladene Applikation wird bedarfsweise in dem Applikationsspeicher installiert. Bedarfsweise werden die Personalisie- rungsdaten in die installierte Applikation geladen.

Wahlweise ist die Applikation eine Java Card Applikation oder ein Java Card Applet gemäß der Spezifikation der Virtuellen Java Card Maschine (JCVM Spec z.B. Version 2.0, 2.2, 2.2.1, 2.2.2, 3.0). In diesem Fall werden wahlweise die Applikation und die Personalisierungsdaten in einem gemeinsamen Paket in das Endgerät oder in das Speichermedium geladen. Das Paket ist beispielsweise ein Java Card CAP Datei, wahlweise gespeichert in einer Java Card JAR Datei. Die Personalisierungsdaten sind wahlweise in einer „Custom Component" (JCVM Spec 3.0, Kapitel 6.1.2) einer CAP Datei oder JAR Datei enthalten. Die Custom Component, vollständig oder zumindest teilweise, wird gemäß der Erfindung in dem Rückspeicher-Modul abgespeichert. Eine später geladene aktualisierte Applikation kann mit der Custom Component aus dem Rückspeicher-Modul personalisiert werden.

Die Erfindung schafft weiter ein Verfahren zum Aktualisieren einer in einem tragbaren Speichermedium, das zum Betrieb in einem Endgerät eingerichtet ist, abgespeicherten personalisierten Applikation, durch Laden einer aktualisierten Applikation, durch welche die abgespeicherte Applikation ersetzt werden soll, und durch Laden von Personalisierungsdaten zur Personalisierung der aktualisierten Applikation, wobei

- die aktualisierte Applikation in einem außerhalb des Speichermediums und außerhalb des Endgeräts angeordneten Server bereitgestellt wird, der für eine Übertragung von aktualisierten Applikationen über eine serverseitige Verbindung mit dem tragbaren Speichermedium oder/ und dem Endgerät verbindbar ist,

- die aktualisierte Applikation in einen Applikationsspeicher des Speichermediums geladen wird, was zumindest teilweise über die serverseitige Verbindung durchgeführt wird, und - die Personalisierungsdaten aus einem Rückspeicher-Modul in die aktualisierte Applikation geladen werden, derart, dass die aktualisierte Applikation mit den Personalisierungsdaten personalisiert wird, wobei das Rückspeicher-Modul von in dem Applikationsspeicher abgespeicherten Applikationen und/ oder aktualisierten Applikationen unabhängig ist, als nichtflüchti- ger Speicher gestaltet ist, und innerhalb des tragbaren Speichermediums oder innerhalb des Endgeräts angeordnet ist.

Die Personalisierung der aktualisierten Applikation erfolgt mit den im Rückspeicher-Modul abgespeicherten Personalisierungsdaten, und ohne dass eine serverseitige Verbindung hergestellt wird. Daher ist weder ein Bereithalten der Personalisierungsdaten beim Hersteller oder Anbieter der aktualisierten Applikation noch eine serverseitige Verbindung erforderlich. Übertragungen der Personalisierungsdaten zur Personalisierung der aktualisierten Applika- tion erfolgen ausschließlich innerhalb des geschlossenen Systems aus dem tragbaren Speichermedium und dem Endgerät, nicht jedoch über serverseitige Verbindungen. Deshalb ist das erfindungsgemäße Verfahren zum Aktualisieren einer Applikation besonders kostengünstig und besonders sicher.

Die Applikation, die durch die aktualisierte Applikation ersetzt werden soll, ist beispielsweise gemäß dem erfindungsgemäßen Verfahren zum Laden einer Applikation in das Speichermedium geladen worden, wobei auch die Personalisierungsdaten in das Rückspeicher-Modul geladen worden sind.

Wahlweise hat bei dem Verfahren zum Aktualisieren einer Applikation die im Applikationsspeicher abgespeicherte (und ggf. installierte) und personalisierte Applikation, die ersetzt werden soll, während eines vorangegangenen Betriebs des Speichermediums Applikationsdaten erzeugt, durch welche die abgespeicherte und personalisierte Applikation geändert worden ist. Die Applikationsdaten sind ganz oder zumindest teilweise in das Rückspeicher- Modul geladen worden. Bei der Aktualisierung der Applikation durch Laden der aktualisierten Applikation werden die Applikationsdaten, die aus der ursprünglichen Applikation in das Rückspeicher-Modul geladen worden sind, aus dem Rückspeicher-Modul in die aktualisierte Applikation geladen, derart, dass die aktualisierte Applikation mit den Applikationsdaten geändert wird. Hierdurch werden Veränderungen, die an der ursprünglich im Applikationsspeicher abgespeicherten Applikation vorgenommen worden sind, auf die aktualisierte Applikation übertragen. Wahlweise wird die Applikation aus dem Applikationsspeicher gelöscht. Wahlweise wird die Applikation gelöscht, nachdem die aktualisierte Applikation in den Applikationsspeicher geladen worden ist. Wahlweise wird die Applikation mit der aktualisierten Applikation überschrieben.

Die Variante der Erfindung, bei der auch Applikationsdaten im Rückspeicher-Modul abgespeichert sind und in die aktualisierte Applikation geladen werden, hat den zusätzlichen Vorteil, dass Applikationsdaten, die insbesondere bei einem Löschen der ursprünglichen Applikation verloren gehen könnten, für die aktualisierte Applikation erhalten bleiben.

Die aktualisierte Applikation wird wahlweise vollständig über die serversei- tige Verbindung aus dem Server direkt in den Anwendungsspeicher innerhalb des Speichermediums geladen. Wahlweise, wenn die aktualisierte Ap- plikation nur teilweise über die serverseitige Verbindung geladen wird, wird die aktualisierte Applikation beispielsweise über die serverseitige Verbindung in das Endgerät geladen und anschließend über eine externe Verbindung zwischen dem Endgerät und dem Speichermedium in das Speichermedium geladen.

Die aktualisierte Applikation wird wahlweise innerhalb des Applikationsspeichers (beispielhaft gezeigt in Fig. 4 und 5) oder außerhalb des Applikationsspeichers, dabei z.B. innerhalb des Endgeräts, (beispielhaft gezeigt in Fig. 6 und 7) mit den Personalisierungsdaten personalisiert. Die aktualisierte Applikation wird dabei jedoch stets mit Personalisierungsdaten aus dem Rückspeicher-Modul personalisiert, und ohne dass eine serverseitige Verbindung hergestellt wird. Wahlweise ist die serverseitige Verbindung als Funkverbindung (OTA, „over the air") gestaltet, insbesondere als Mobilfunkverbindung.

Wahlweise ist das Rückspeicher-Modul innerhalb des Speichermediums an- geordnet. Diese Variante hat den weiteren Vorteil, dass das Rückspeicher- Modul unabhängig vom verwendeten Endgerät und organisatorisch eng benachbart zum Applikationsspeicher vorgesehen ist. Hierdurch lässt sich das Rückspeicher-Modul einfacher gegen unbefugte Zugriffe auf seinen Speicherinhalt absichern als außerhalb des Speichermediums.

Das Rückspeicher-Modul ist wahlweise zugriffsgesichert. Die Zugriffssicherung wird wahlweise durch ein Authentisierungserfordernis oder/ und eine verschlüsselte Ablage der Daten im Rückspeicher-Modul erreicht. Wahlweise wird ein Zugriff auf im Rückspeicher-Modul abgespeicherte Personalisie- rungsdaten höchstens anlässlich eines berechtigten Ladens einer Applikation oder aktualisierten Applikation in das Speichermedium ermöglicht. Beispielsweise ist für das Laden einer Applikation oder aktualisierten Applikation eine Authentisierung erforderlich. Die Authentisierung für das Applikationsladen umfasst wahlweise eine Authentisierung für einen Zugriff auf die Personalisierungsdaten im Rückspeicher-Modul. Wahlweise werden die Per- sonalisierungsdaten so in das Rückspeicher-Modul gespeichert, dass sie in verschlüsselter Form im Rückspeicher-Modul abgespeichert sind.

Ein erfindungsgemäßes tragbares Speichermedium ist eingerichtet zur Durchführung eines erfindungsgemäßen Verfahrens und hat einen Applikationsspeicher, der eingerichtet ist zum Abspeichern von Applikationen, sowie ein Rückspeicher-Modul, das als nichtflüchtiger Speicher gestaltet ist, und das von im Applikationsspeicher abgespeicherten Applikationen unabhängig ist. Das Rückspeicher-Modul ist dazu eingerichtet, Personalisie- rungsdaten zur Personalisierung von Applikationen oder aktualisierten Applikationen im Applikationsspeicher bereitzuhalten, so dass eine Personalisierung von (aktualisierten) Applikation ohne ein Bereithalten der Personali- sierungsdaten beim Applikationshersteller oder -anbieter und ohne server- seitige Verbindung möglich ist.

Das tragbare Speichermedium ist wahlweise mit einem Mikroprozessor ausgestattet. Wahlweise ist das Speichermedium eine Java Card. Die Applikation ist wahlweise als Java Card Applikation oder Java Card Applet gestaltet. Wahlweise ist das Speichermedium als Pay TV Karte für die Nutzung von Bezahlfernsehen gestaltet oder in eine solche Pay TV Karte integriert. Wahlweise ist das Speichermedium als Smart Card mit einem Sicherheitsmodul zur Nutzung eines Endgeräts in einem Mobilfunknetz gestaltet, z.B. (U)SIM- Karte, oder in eine solche Smart Card (z.B. (U)SIM-Karte) integriert. Wahl- weise ist das Speichermedium als Secure Flash Card, aufweisend einen Controller und einen Flash Speicher, gestaltet oder in eine solche Secure Flash Card integriert.

Als Endgerät ist beispielsweise ein mobiles Endgerät wie z.B. Mobiltelefon, PDA, Smartphone oder dergleichen, eine Set Top Box für Bezahlfernsehen (Pay TV) oder ein Controller einer Secure Flash Card vorgesehen.

Das Rückspeicher-Modul und der Applikationsspeicher lassen sich vorzugsweise über eine interne Verbindung miteinander in Datenaustausch- Verbindung bringen. Das Speichermedium, insbesondere das Rückspeicher- Modul und der Applikationsspeicher, lassen sich vorzugsweise über ein oder mehrere externe Verbindungen miteinander in Datenaustausch- Verbindung bringen. Die ein oder mehreren externen Verbindungen können insbesondere Verbindungen gemäß ISO/ IEC 7816-3&4 sein. Ein erfindungsgemäßes System mit einem tragbaren Speichermedium und einem Endgerät zum Betrieb des Speichermediums ist eingerichtet zur Durchführung eines erfindungsgemäßen Verfahrens. Das System hat in dem Speichermedium einen Applikationsspeicher, eingerichtet zum Abspeichern von Applikationen. Das System hat weiter in dem Speichermedium oder in dem Endgerät ein Rückspeicher-Modul, das als nichtflüchtiger Speicher gestaltet ist, und das von im Applikationsspeicher abgespeicherten Applikationen unabhängig ist. Das tragbare Speichermedium ist weiter wahlweise wie obenstehend beschrieben gestaltet.

Das Rückspeicher-Modul ist wahlweise als Applikation gestaltet, beispielsweise als Java Card Applikation oder als Java Card Applet, wahlweise als eine Gruppe von mehreren zusammenwirkenden Applikationen, wahlweise als Bibliothek, z.B. als Java Card Library, oder als Gruppe von zusammenwirkenden Bibliotheken.

Eine Personalisierung im Zusammenhang mit der Erfindung kann wahlweise eine Personalisierung vor der Herausgabe des Speichermediums durch den Hersteller sein („pre-issuance"), oder eine Personalisierung nach der Herausgabe des Speichermediums durch den Hersteller des Speichermediums („post-issuance"). Eine post-issuance Personalisierung wird zum Beispiel durch einen vom Hersteller des Speichermediums unterschiedlichen Anbieter von Applikationen durchgeführt.

Das Laden von Personalisierungsdaten aus dem Rückspeicher-Modul und in das Rückspeicher-Modul erfolgt wahlweise auf Veranlassung einer personalisierten oder zu personalisierenden Applikation oder auf Veranlassung des Rückspeicher-Moduls oder auf Veranlassung einer von der personalisierten oder zu personalisierenden Applikation und dem Rückspeicher-Modul unterschiedlichen dritten Instanz. Diese dritte Instanz ist wahlweise als eine weitere Applikation gestaltet.

Eine in den Applikationsspeicher geladene Applikation oder aktualisierte Applikation wird bedarfsweise in dem Applikationsspeicher installiert. Bedarfsweise werden die Personalisierungsdaten in die installierte Applikation bzw. aktualisierte Applikation geladen.

Im Folgenden wird die Erfindung an Hand von Ausführungsbeispielen und unter Bezugnahme auf die Zeichnung näher erläutert, in der zeigen:

Fig. 1 ein Schaubild zur Veranschaulichung des Ladens einer personalisie- rungsbedürftigen Applikation, gemäß einer ersten Ausführungsform der Erfindung;

Fig. 2 das Laden einer personalisierungsbedürftigen Applikation, gemäß einer zweiten Ausführungsform der Erfindung;

Fig. 3 das Laden einer personalisierungsbedürftigen Applikation, gemäß einer dritten Ausführungsform der Erfindung; Fig.4 das Laden einer personalisierungsbedürftigen Applikation, gemäß einer vierten Ausführungsform der Erfindung;

Fig. 5 das Laden einer aktualisierten Applikation, gemäß einer ersten Ausführungsform der Erfindung;

Fig. 6 das Laden der Personalisierungsdaten beim Verfahren aus Fig. 5; Fig. 7 das Laden von Personalisierungsdaten in eine aktualisierte Applikation, gemäß einer zweiten Ausführungsform der Erfindung;

Fig. 8 das Laden der personalisierten aktualisierten Applikation beim Verfahren aus Fig. 7; Fig. 9 eine schematische Darstellung des Auf baus eines tragbaren Speichermediums, gemäß einer Ausführungsform der Erfindung;

Fig. lOeine schematische Darstellung eines tragbaren Speichermediums im Zusammenwirken mit einem Endgerät, gemäß einer Ausführungs- form der Erfindung;

Fig. Heine schematische Darstellung eines tragbaren Speichermediums im

Zusammenwirken mit einem Endgerät, gemäß einer weiteren Ausführungsform der Erfindung;

Fig. 12eine schematische Darstellung eines tragbaren Speichermediums im Zusammenwirken mit einem Endgerät, gemäß einer weiteren Ausführungsform der Erfindung.

Fig. 1 bis 4 veranschaulichen vier Ausführungsformen des Ladens einer per- sonalisierungsbedürftigen Applikation AP in eine Smart Card SC (tragbares Speichermediuni), die in einem Endgerät EG betrieben wird. Das Laden der Applikation AP in die Smart Card SC ist nicht dargestellt, lediglich das Laden der Personalisierungsdaten PD zur Personalisierung der Applikation AP. Mit Pfeilen mit Beschriftungen Lx, x=l, 2, 3, S sind Verbindungen zur Übertragung von Daten dargestellt, die auch in Fig. 9 dargestellt sind.

Bei einer ersten Ausführungsform gemäß Fig. 1 werden Personalisierungsdaten PD zur Personalisierung der Applikation AP von einem Server SER außerhalb der Smart Card SC und außerhalb des Endgeräts EG, über eine ser- verseitige Verbindung LS, einerseits in die im Applikationsspeicher AS ab- gespeicherte Applikation AP abgespeichert, so dass die Applikation AP personalisiert wird, und andererseits in ein Rückspeicher-Modul (Backup- Modul) BM gespeichert und somit für spätere Personalisierungen später geladener aktualisierter Applikationen bereit gehalten. Bei einer zweiten Ausführungsform gemäß Fig. 2 werden Personalisierungs- daten PD zur Personalisierung der Applikation AP von einem Server SER außerhalb der Smart Card SC und außerhalb des Endgeräts EG über eine serverseitige Verbindung LS in die im Applikationsspeicher AS abgespei- cherte Applikation AP abgespeichert, so dass die Applikation AP personalisiert wird. Die Personalisierungsdaten PD werden aus dem Applikationsspeicher AS über eine interne Verbindung L3 in das Rückspeicher-Modul (Backup-Modul) BM gespeichert.

Bei einer dritten Ausführungsform gemäß Fig. 3 werden im Unterschied zu der aus Fig. 2 die Personalisierungsdaten PD zuerst von einem Server SER außerhalb der Smart Card SC und außerhalb des Endgeräts EG über eine serverseitige Verbindung LS in das Rückspeicher-Modul BM gespeichert und anschließend vom Rückspeicher-Modul BM aus über eine interne Ver- bindung L3 in die im Applikationsspeicher AS abgespeicherte Applikation AP abgespeichert, so dass die Applikation AP personalisiert wird.

Bei einer vierten Ausführungsform gemäß Fig. 4 wird die Applikation AP beim Server SER außerhalb der Smart Card SC und außerhalb des Endgeräts EG personalisiert. Über eine serverseitige Verbindung LS werden die Personalisierungsdaten in das Rückspeicher-Modul BM und die personalisierte Applikation in den Applikationsspeicher AS geladen.

Bei den Ausführungsformen aus Fig. 1 bis 4 kann, in Abweichung von der Darstellung in Fig. 1 bis 4, die serverseitige Verbindung LS vom Server SER aus wahlweise nur bis zum Endgerät EG gehen und die weitere Verbindung zur Smart Card SC durch eine externe Verbindung Ll oder L2, wie die in Fig. 9 dargestellte, gebildet sein. Fig. 5 bis 8 veranschaulichen das Laden einer aktualisierten Applikation A- AP in eine Smart Card SC (tragbares Speichermedium), die in einem Endgerät EG betrieben wird. Pfeile Lx deuten Verbindungen an (vgl. auch Fig. 9).

Bei einer ersten Ausführungsform des Ladens einer aktualisierten Applikation A-AP, dargestellt in Fig. 5 und 6, wird die aktualisierte Applikation A-AP über eine serverseitige Verbindung LS in unpersonalisierter Form in den Applikationsspeicher AS der Smart Card SC geladen (Fig. 5). Anschließend werden Personalisierungsdaten PD - und ggf. Anwendungsdaten AD - , die z.B. gemäß einer der Fig. 1 bis 4 in das Rückspeicher-Modul (Backup-Modul) BM geladen worden sind, über eine interne Verbindung L3 aus dem Rückspeicher-Modul BM in die aktualisierte Applikation A-AP geladen, so dass die aktualisierte Applikation A-AP personalisiert wird (Fig. 6).

Bei einer zweiten Ausführungsform des Ladens einer aktualisierten Applikation A-AP, dargestellt in Fig. 7 und 8, wird die aktualisierte Applikation A- AP in unpersonalisierter Form vom Server SER aus über eine serverseitige Verbindung LS in das Endgerät EG geladen. Die Personalisierungsdaten PD und ggf. Anwendungsdaten AD werden über eine externe Verbindung L2 aus dem Rückspeicher-Modul BM in die im Endgerät EG bereitgehaltene aktualisierte Applikation A-AP geladen, so dass die aktualisierte Applikation A-AP außerhalb der Smart Card SC und zugleich innerhalb des Endgeräts EG personalisiert wird (Fig. 7). Anschließend wird die personalisierte aktualisierte Applikation A- AP+ PD (+AD) über eine externe Verbindung Ll in den Applikationsspeicher AS der Smart Card SC geladen (Fig. 8).

Fig. 9 zeigt schematisch den Aufbau einer Smart Card SC, gemäß einer Ausführungsform der Erfindung. Die Smart Card ist als Java Card gestaltet. Die Smart Card SC wird in einem Endgerät EG betrieben. Das Rückspeicher- Modul BM und der Applikationsspeicher AS sind über eine interne Schnittstelle API, z.B. ein Application Programming Interface (API), gekoppelt, über die eine interne Verbindung L3 herstellbar ist (Pfeil L3). Das Rückspeicher- Modul BM und der Applikationsspeicher AS sind über eine externe Schnitt- stelle APDU, z.B. ein APDU Interface, mit einem externen Endgerät gekoppelt, über die externe Verbindungen L2 bzw. Ll herstellbar sind. Über die interne Schnittstelle API lassen sich in der internen Verbindung L3 Persona- lisierungsdaten PD und ggf. Anwendungsdaten AD wahlweise vom Rückspeicher-Modul BM in den Applikationsspeicher AS oder vom Applikations- Speicher AS in das Rückspeicher-Modul BM übertragen. Über die externe Schnittstelle APDU lassen sich über die erste externe Verbindung Ll z.B. Personalisierungsdaten PD, Applikationen AP, aktualisierte Applikationen A-AP, personalisierte aktualisierte Applikationen aus dem Endgerät EG der Smart Card AC in den Applikationsspeicher AS laden. Über eine zweite ex- terne Verbindung L2 der externen Schnittstelle APDU lassen sich Personalisierungsdaten aus dem Endgerät EG in das Rückspeicher-Modul BM übertragen und umgekehrt aus dem Rückspeicher-Modul BM aus der Smart Card SC heraus übertragen. Verbindungen zum Server SER werden über serverseitige Verbindungen LS hergestellt (Pfeile LS), die zwischen einerseits dem Server SER und andererseits dem Endgerät EG, dem Rückspeicher- Modul BM bzw. dem Applikationsspeicher AS herstellbar sind.

Fig. 10 bis 12 zeigen, in schematischer Darstellung, tragbare Speichermedien SC im Zusammenwirken mit Endgeräten EG, gemäß Ausführungsformen der Erfindung. Das tragbare Speichermedium SC, mit einem Applikationsspeicher AS und einem Rückspeicher-Modul BM ausgestattet, ist als Smart Card SC gestaltet und beispielsweise aufgebaut wie in Fig. 1 bis 9 dargestellt. Fig. 10 zeigt eine Smart Card SC, die in ein Endgerät EG eingefügt ist, wobei ein Lesen von Daten aus der Smart Card SC (Pfeil R) und ein Schreiben von Daten in die Smart Card SC (Pfeil W) durch das Endgerät EG gesteuert wird. Das Endgerät in Fig. 10 ist beispielsweise ein Mobiltelefon oder ein ähnliches mobiles Endgerät oder eine Pay TV Set Top Box. Die Smart Card SC ist entsprechend z.B. eine (U)SIM-Karte oder Pay TV Karte. Das erfindungsgemäße Laden von Personalisierungsdaten PD aus dem Rückspeicher-Modul BM in eine aktualisierte Applikation A-AP, z.B. gemäß Fig. 6 oder Fig. 7, wird bei der Konfiguration aus Fig. 10 durch das Endgerät EG gesteuert.

Fig. 11 zeigt eine in eine Secure Flash Card SFC integrierte Smart Card SC. Die Secure Flash Card SFC hat weiter einen Controller CON und einen Flash Speicher FL und ist in ein Endgerät EG eingefügt. Der Applikationsspeicher AS für Applikationen AP und aktualisierte Applikationen A-AP und das Rückspeicher-Modul BM sind innerhalb der Smart Card SC angeordnet. Ein Lesen von Daten aus der Smart Card SC (Pfeil R) und ein Schreiben von Daten in die Smart Card SC (Pfeil W) wird bei der Konfiguration aus Fig. 11 durch den Controller CON der Secure Flash Card SFC gesteuert. Das erfindungsgemäße Laden von Personalisierungsdaten PD - und ggf. Anwen- dungsdaten AD - aus dem Rückspeicher-Modul BM in eine aktualisierte Applikation A-AP, z.B. gemäß Fig. 6 oder Fig. 7, wird bei der Konfiguration aus Fig. 11 durch den Controller CON der Secure Flash Card SFC gesteuert.

Fig. 12 zeigt eine ähnliche Konfiguration wie Fig. 11, mit dem Unterschied, dass ein Lesen von Daten aus der Smart Card SC (Pfeil R) und ein Schreiben von Daten in die Smart Card SC (Pfeil W), z.B. Laden von Personalisierungsdaten PD und ggf. Anwendungsdaten AD aus dem Rückspeicher-Modul BM in eine aktualisierte Applikation A-AP, nicht durch den Controller CON der Secure Flash Card SFC gesteuert wird, sondern durch das Endgerät.