S u b s k r i p t i onsprofilen eines Siche rheitselements.

Die Erfindung bezieht sich auf ein Verfahren und Vorrichtungen zum Ver walten von Subskriptionsprofilen eines Sicherheitselements, das zur Ver wendung in einem mobilen Endgerät vorgesehen ist.

Die Kommunikation über ein mobiles Endgerät, wie beispielsweise ein Mo- biltelefon, über ein mobiles oder zellulares Kommunikationsnetzwerk (sog. Public Land Mobile Network, PLMN), das von einem Mobilfunknetzbetreiber (Mobile Network Operator, MNO) betrieben wird, erfordert im Allge meinen, dass das mobile Endgerät mit einem Sicherheitselement zum siche ren Speichern von Daten ausgestattet ist, die den Benutzer des mobilen End- geräts (auch als Teilnehmer bezeichnet) eindeutig identifizieren.

Im Kontext eines mobilen Endgeräts, das konfiguriert ist, um gemäß dem GSM-Standard (GSM = Global System for Mobile Communications) zu kommunizieren, ist das Sicherheitselement ein Teilnehmeridentitätsmodul (sog. Subscriber Identity Module, SIM), wobei dieses üblicherweise in Form einer Chipkarte bereitgestellt ist. Gemäß dem GSM-Standard enthält die SIM Anmeldeinformationen zum Authentifizieren und Identifizieren des Benutzers des mobilen Endgeräts, einschließlich insbesondere einer International Mobile Subscriber Identity (IMSI) und eines Authentifizierungsschlüssels Ki. Diese Anmeldeinformationen (Credentials) werden üblicherweise auf der SIM als Teil eines Subskriptionsprofils vom Hersteller des Sicherheitselements oder dem Mobilfunknetzbetreiber während eines SIM- Personalisierungsprozesses gespeichert, bevor dem Benutzer des mobilen Endgeräts die SIM bereitgestellt wird. Ein nicht-personalisiertes Sicherheitselement ist im Allgemeinen nicht zur Verwendung in einem mobilen Endgerät geeignet, d.h. die Verwendung der von einem PLMN mit einer nicht-personalisierten SIM bereitgestellten Diens te ohne ein Subskriptionsprofil ist nicht möglich.

Bei der Nutzung der von einem MNO bereitgestellten Dienste, insbesondere der Kommunikation über das vom MNO bereitgestellte PLMN, wird dem Nutzer des mobilen Endgeräts in der Regel vom MNO eine bestimmte mo natliche Gebühr in Rechnung gestellt. Wenn der mobile Benutzer zu einem anderen MNO wechseln möchte, beispielsweise weil er sich in einem ande ren Land aufhält, muss er im Allgemeinen die vom aktuellen MNO bereitge stellte SIM manuell durch eine andere SIM ersetzen. Mit der anderen SIM, die von dem neuen MNO bereitgestellt wird und das neue Subskriptionspro fil enthält, kann sich das mobile Endgerät mit dem PLMN des neuen MNO verbinden.

Da diese Vorgehens weise umständlich ist, wurden Verfahren entwickelt, um ein neues Subskriptionsprofil drahtlos (Over the Air, OTA) auf das Sicher heitselement mit dem bereits existierenden Subskriptionsprofil zu laden und einen Wechsel von dem bereits bestehenden Subskriptionsprofil zu dem neuen Subskriptionsprofil, das mit dem neuen MNO assoziiert ist, durchzu führen.

Die WO 2015/018533 Al offenbart hierzu ein Verfahren, auf welche Weise ein neues Subskriptionsprofil von einem Abonnementverwaltungsserver auf einfache und sichere Weise auf das Sicherheitselement eines mobilen Endge räts geladen werden kann. Hierzu wird ein Befehlsskript genutzt, das eine Sequenz von Befehlen des Subskriptionsverwaltungsservers definiert. Eine Verbindung zu dem neuen Mobilfunknetz erfolgt unter Verwendung eines neu geladenen Subskriptionsprofils, wobei die vom Befehlsskript definierte Befehlsfolge ausgeführt wird.

Typischerweise wird dem Nutzer des mobilen Endgeräts zur Auswahl ge- stellt, welches Subskriptionsprofil er nutzen möchte, wenn auf dem Sicher heitselement eine Mehrzahl an Subskriptionsprofilen geladen ist. Hierdurch kann die Handhabung bei einer Vielzahl von auf dem Sicherheitselement geladenen Subskriptionsprofilen unter Umständen unhandlich werden. Es ist Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Vorrich tung zum Verwalten von Subskriptionsprofilen eines Sicherheitselements anzugeben, welche eine leichtere Nutzung ermöglichen.

Diese Aufgaben werden durch die Merkmale gemäß den unabhängigen Pa- tentansprüchen gelöst. Vorteilhafte Ausgestaltungen ergeben sich aus den abhängigen Patentansprüchen.

Gemäß einem ersten Aspekt wird ein Verfahren zum Verwalten von Sub skriptionsprofilen eines Sicherheitselements vorgeschlagen, wobei das Si- cherheitselement zur Verwendung in einem mobilen Endgerät vorgesehen ist. Auf dem Sicherheitselement sind ein Profil-Manager und zumindest ein erstes Subskriptionsprofil geladen. Das Verfahren umfasst den Schritt des Ladens eines zweiten Subskriptionsprofils von einem Subskriptionsverwaltungsserver. Das Verfahren umfasst den weiteren Schritt der Überprüfung, ob das zumindest eine erste geladene Subskriptionsprofil eine vorgegebene Bedingung erfüllt. Schließlich umfasst das Verfahren den Schritt des Außer betriebsetzens des zumindest einen ersten Subskriptionsprofils, wenn das zumindest eine erste Subskriptionsprofil die vorgegebene Bedingung erfüllt. Das vorgeschlagene Verfahren weist den Vorteil auf, dass von dem Nutzer des mobilen Endgeräts keine aktive Profilpflege durchgeführt werden muss. Eine Profilpflege ist unter Umständen zweckmäßig, da ein einmal auf das Sicherheitselement heruntergeladenes Subskriptionsprofil auf dem Sicher- heitselement verbleibt, auch wenn weitere Subskriptionsprofile auf das Si cherheitselement geladen werden und das ursprüngliche Subskriptionsprofil nicht mehr benötigt wird. Für den Nutzer eines mobilen Endgeräts mit ei nem Sicherheitselement, auf das nachträglich Subskriptionsprofile geladen werden können, erleichtert sich dadurch die Profilpflege.

Bei dem Sicherheitselement handelt es sich um eine SIM-Karte (Subscriber Identity Module) bzw. eine UICC (Universal Integrated Circuit Card). Diese in Kartenform vorliegenden Sicherheitselemente werden in entsprechende Lesevorrichtungen des mobilen Geräts gesteckt und können aus diesen auch wieder entfernt und ersetzt werden. Es kann sich auch um eine eSIM (eSIM = embedded Subscriber Identity Module) bzw. eine eUICC (eUICC = embed- ded Universal Integrated Circuit Card) handeln, welche fest in dem mobilen Endgerät integrierte Sicherheitselemente bzw. Identifikationsmodule darstel len.

Gemäß einer zweckmäßigen Ausgestaltung werden der Schritt der Überprü fung, ob das zumindest eine erste geladene Subskriptionsprofil eine vorge gebene Bedingung erfüllt, und der Schritt des Außerbetriebsetzens durch den Profil-Manager durchgeführt. Bei dem Profil-Manager kann es sich bei- spielsweise um die in der Spezifikation GMSA SGP.22 definierte Issuer Security Domain Root ISD-R handeln. Grundsätzlich können auch andere Profil-Manager zur Durchführung des erfindungsgemäßen Verfahrens ver wendet werden. Gemäß einer weiteren Ausgestaltung umfasst der Schritt des Außerbetrieb setzens ein Löschen des zumindest einen ersten Subskriptionsprofils. Alter nativ kann der Schritt des Außerbetriebsetzens ein Deaktivieren des zumin dest einen ersten Subskriptionsprofils umfassen. In beiden Fällen kann durch den Profil-Manager ein Auslösen der Ausführung mit Hilfe eines APDU- Kommandos erfolgen, wie z.B. einem DELETE- oder DISABLE-Kommando.

Eine weitere zweckmäßige Ausgestaltung sieht vor, dass eine Nutzerinfor mation erzeugt und auf einer Nutzerschnittstelle des mobilen Endgeräts ausgegeben wird, die einem Nutzer des mobilen Endgeräts das Außerbe triebsetzen des zumindest einen ersten Subskriptionsprofils signalisiert. Ins besondere umfasst die Nutzerinformation eine Interaktionsinformation, de ren Aktivierung durch den Nutzer überwacht wird, wobei bei festgestellter Aktivierung das Außerbetriebsetzen des zumindest einen ersten Subskripti- onsprofils unterbunden oder durchgeführt wird. Hierdurch wird dem Nutzer des mobilen Endgeräts ein„Veto-Recht" bezüglich des Außerbetriebsetzens des zumindest einen ersten Subskriptionsprofils gewährt. Der Profil- Manager, z.B. ISD-R, informiert den Nutzer des mobilen Endgeräts über eine auf dem mobilen Endgerät anzeigbare Auswahlmaske, dass das zumindest eine erste Subskriptionsprofil außer Betrieb gesetzt werden soll und gibt dem Nutzer die Möglichkeit, den Vorgang abzubrechen oder zu bestätigen. Hier zu kann von dem Profil-Manager zur Anzeige der Nutzerinformation der LPA (LPA = Local Profile Assistant) des Sicherheitselements genutzt werden. Eine weitere zweckmäßige Ausgestaltung umfasst als die vorgegebene Be dingung eine oder mehrere der folgenden Kriterien:

das Verlassen eines örtlich abgegrenzten Bereichs, insbesondere beim Überschreiten einer Landesgrenze, was den Wechsel eines Subskriptionspro fils aufgrund eines anderen MNOs erforderlich macht; die Feststellung, dass ein Identifikationscode (PIN = Personal Identifi cation Number) des Sicherheitselements eine vorgegebene Anzahl an Versu chen durch den Nutzer falsch eingegeben wurde;

die Feststellung, dass von dem mobilen Endgerät ein Anruf zu einer vorgegebenen Nummer initiiert oder durchgeführt wurde (sog. one time call, wie dieser bei Prepaid-Subskriptionen oder für Notrufe zu einer festgelegten Telefonnummer genutzt wird);

die Feststellung, dass eine zulässige Anzahl an Authentisierungen des Sicherheitselements durchgeführt wurde;

- die Feststellung, dass das zumindest eine erste Subskriptionsprofil im

Home Location Register (HLR) des dem ersten Subskriptionsprofil zugeordneten MNOs gelöscht oder deaktiviert wurde.

Beim V orliegen einer oder mehrerer der Bedingungen wird das zumindest eine erste Subskriptionsprofil automatisch oder nach Bestätigung durch einen Nutzer gelöscht oder deaktiviert, wodurch eine Profilpflege auf dem Si cherheitselement durch einen Nutzer selbst nicht initiiert werden muss.

Gemäß einem zweiten Aspekt wird ein Computerprogrammprodukt vorge- schlagen, das direkt in den internen Speicher eines digitalen Computers ge laden werden kann und Softwarecodeabschnitte umfasst, mit denen die Schritte des hierin beschriebenen Verfahrens ausgeführt werden, wenn das Produkt auf einem Computer läuft. Der Computer kann eine Recheneinheit eines mobilen Endgeräts, wie dies hierin beschrieben ist, sein. Das Compu- terprogrammprodukt kann in Gestalt eines Datenträgers, wie z.B. einer

DVD, einer CD-ROM, einem USB-Speicherstick und dergleichen vorliegen. Das Computerprogrammprodukt kann auch als ein über ein drahtloses oder leitungsgebundenes Netzwerk übertragbares Signal vorliegen. Gemäß einem dritten Aspekt wird ein Sicherheitselement vorgeschlagen, das zur Verwendung in einem mobilen Endgerät vorgesehen ist, wobei auf dem Sicherheitselement ein Profil-Manager und zumindest ein erstes Subskriptionsprofil geladen sind. Das Sicherheitselement ist dazu ausgebildet, ein zweites Subskriptionsprofil von einem Subskriptionsverwaltungsserver zu laden. Das Sicherheitselement ist dazu ausgebildet, zu überprüfen, ob das zumindest eine erste geladene Subskriptionsprofil eine vorgegebene Bedin gung erfüllt. Das Sicherheitselement ist schließlich dazu ausgebildet, das zumindest eine erste Subskriptionsprofil außer Betrieb zu setzen, wenn das zumindest eine erste Subskriptionsprofil die vorgegebene Bedingung erfüllt.

Das vor geschlagene Sicherheitselement weist die gleichen Vorteile auf, wie diese vorstehend in Verbindung mit dem erfindungsgemäßen Verfahren beschrieben wurden. Ferner ist das Sicherheitselement dazu ausgebildet, die in den abhängigen Ansprüchen angegebenen bevorzugten Ausgestaltungen auszuführen.

Gemäß einem vierten Aspekt wird ein mobiles Endgerät vorgeschlagen, das ein Sicherheitselement der gemäß dieser Beschreibung ausgebildeten Art umfasst.

Die Erfindung wird nachfolgend näher anhand der beigefügten Figuren be schrieben. Es zeigen: Fig. 1 eine schematische Darstellung eines erfindungsgemäßen mobilen

Endgeräts mit einem erfindungsgemäß ausgebildeten Sicherheitsele ment; und Fig. 2 einen schematischen Ablaufplan, der den Ablauf des erfindungsge mäßen Verfahrens zum Verwalten von Subskriptionsprofilen illus triert. Fig. 1 zeigt eine schematische Darstellung eines erfindungsgemäßen mobilen Endgeräts 10. Neben den in beliebiger Ausprägung vorhandenen Komponenten eines Sende-/ Empfangsmittels 15 und einer Nutzer Schnittstelle 16, z.B. in Gestalt eines Touch-Displays zur Visualisierung und Eingabe von Nutzerinformationen, umfasst das mobile Endgerät 10 ein Sicherheitsele- ment 11. Das Sicherheitselement 11 (teilweise auch als Identifikationsmodul bezeichnet) kann in der Form einer SIM-Karte oder einer UICC vor liegen. Alternativ kann es sich bei dem Sicherheitselement auch um ein eingebette tes Sicherheitselement in Gestalt einer eSIM oder einer eUICC handeln, wel che fester Bestandteil des mobilen Endgeräts 10 sind.

Da sowohl der Aufbau und die Komponenten eines mobilen Endgeräts, beispielsweise in Gestalt eines Mobiltelefons, als auch die unterschiedlichen Prinzipien eines Sicherheitselements bekannt sind, wird an dieser Stelle auf eine detailliertere Beschreibung verzichtet und lediglich auf die für die Er- findung relevanten Komponenten im Detail eingegangen.

Das Sicherheitselement 11 umfasst einen Speicher, auf dem ein Profil- Manager 12 und ein erstes Subskriptionsprofil 13 (oder mehrere erste Sub skriptionsprofile) geladen sind. Wie einleitend beschrieben, sind die auf dem Sicherheitselement 11 gespeicherten Daten sicher gespeichert und ermöglichen es, den Nutzer des mobilen Endgeräts 10 (den sog. Teilnehmer) eindeu tig zu identifizieren. Das erste Subskriptionsprofil 13 dient in einer dem Fachmann bekannten Weise dazu, dass die von einem MNO (Mobilfunk- netzbetreiber) bereitgestellten Dienste mittels des mobilen Endgeräts 10 von dem Nutzer genutzt werden können.

Mittels bekannter Verfahren ist der Profil-Manager 12 dazu eingerichtet, in das Sicherheitselement 11 ein zweites Subskriptionsprofil 14 zu laden, damit der Nutzer des mobilen Endgeräts 10 beispielsweise von einem anderen MNO bereitgestellte Dienste nutzen kann. Gemäß dem üblichen Vorgehen verbleibt, unabhängig von der Anzahl der zweiten, auf das Sicherheitselement geladenen Subskriptionsprofile 14, das erste Subskriptionsprofil 13 in dem Sicherheitselement 11 enthalten. Dies ist auch dann der Fall, wenn das ursprüngliche, erste Subskriptionsprofil 13 durch den Nutzer nicht mehr be nötigt wird. Das nachfolgend beschriebene Verfahren ermöglich eine auto matisch durchgeführte Profilpflege, welche nicht vom Nutzer aktiv initiiert werden muss.

Dieses Vorgehen wird in Verbindung mit dem schematischen Ablauf des erfindungsgemäßen Verfahrens gemäß Fig. 2 beschrieben.

Nach dem Laden eines zweiten Subskriptionsprofils auf das Sicherheitsele- ment 11, auf dem bereits ein oder mehrere erste Subskriptionsprofile geladen sind, gemäß Schritt Sl, wird gemäß Schritt S2 überprüft, ob das erste Sub skriptionsprofil 13 eine vorgegebene Bedingung erfüllt. Die Überprüfung, ob das erste Subskriptionsprofil 13 die vorgegebene Bedingung erfüllt, wird durch den Profil-Manager 12 durchgeführt. Auch der darauffolgende Schritt S3, gemäß dem das erste Subskriptionsprofil außer Betrieb gesetzt wird, wenn das erste Subskriptionsprofil die vorgegebene Bedingung erfüllt, wird durch den Profil-Manager 12 durchgeführt. Als Profil-Manager kann beispielsweise die in der Spezifikation GSMA SGP.22 definierte Issuer Security Domain Root, ISD-R, zum Einsatz kommen. Das Außerbetriebsetzen des ersten Subskriptionsprofils 13 kann ein Löschen oder ein Deaktivieren des ersten Subskriptionsprofils umfassen. Dies kann durch Auslösen der Ausführung eines APDU-Kommandos auf das erste Subskriptionsprofil, z.B. mittels des bekannten DELETE oder DISABLE- Kommandos, erfolgen.

Bevor der Profil-Manager 12 das Löschen oder Deaktivieren des ersten Sub- skriptionsprofils 13 vornimmt, kann durch den Profil-Manager 12 optional eine Nutzerinformation erzeugt und auf der Nutzerschnittstelle 16 des mobi len Endgeräts ausgegeben werden. Durch die Nutzerinformation wird dem Nutzer des mobilen Endgeräts 10 somit das geplante Außerbetriebsetzen des ersten Subskriptionsprofils 13 signalisiert. Die Ausgabe der Nutzerinforma- tion durch den Profil-Manager 12 kann durch einen LPA (Local Profile As sistant) bewirkt werden, welcher eine auf der Nutzerschnittstelle 16 anzeig- bare Auswahlmaske zum Verwalten der Subskriptionsprofile ermöglicht.

Die Nutzerinformation umfasst eine Interaktionsinformation, deren Aktivie- rung durch den Nutzer überwacht wird, wobei bei festgestellter Aktivierung das Außerbetriebsetzen (Löschen oder Deaktivieren) des ersten Subskripti onsprofils unterbunden oder durchgeführt wird. Im Rahmen der Interakti onsinformation kann dem Nutzer damit die Auswahl angeboten werden, ob er den Vorgang des Außerbetriebsetzens abbrechen oder das erste Subskrip- tionsprofil löschen oder lediglich deaktivieren möchte.

Mögliche Bedingungen für das Außerbetriebsetzen des ersten Subskripti onsprofils 13 kann eines oder mehrere der folgenden Kriterien sein: Das Verlassen eines örtlich abgegrenzten Bereichs, insbesondere beim Überschreiten einer Landesgrenze. Das Löschen des ersten Subskriptionsprofils 13 kann beispielsweise dann zweckmäßig sein, wenn der Nut zer des mobilen Endgeräts 10 ein Urlaubsland verlässt, so dass er das während seines Aufenthalts genutzte erste Subskriptionsprofil in der

Zukunft nicht mehr benötigt.

Die Feststellung, dass ein Identifikationscode (z.B. eine PIN, Personal Identification Number) des Sicherheitselements eine vorgegebene An zahl an Versuchen falsch eingegeben wurde. Die Anzahl an Versuchen, die einem Nutzer zur Verfügung stehen, kann durch das Sicherheitsele ment vorgegeben sein.

Die Feststellung, dass von dem mobilen Endgerät ein Anruf zu einer vorgegebenen Nummer initiiert oder durchgeführt wurde. Beispielswei se kann das Außerbetriebsetzen nach der Durchführung eines sog. one time calls erfolgen, der beispielsweise für Notrufe an eine festgelegte

Teilnehmernummer erfolgt.

Die Feststellung, dass eine zulässige Anzahl an Authentisierungen des Sicherheitselements durchgeführt wurde. Mit anderen Worten wurde festgestellt, dass die maximal zulässige Anzahl von Authentisierungen im SIM-Netzwerk erreicht wurde.

Die Feststellung, dass das zumindest eine erste Subskriptionsprofil im Home Location Register (HLR) gelöscht oder deaktiviert wurde. In diesem Fall würde, wenn das erste Subskriptionsprofil im HLR gelöscht o- der deaktiviert wurde, aber in dem Sicherheitselement 11 jedoch noch vorhanden ist, von dem PLMN an das Sicherheitselement eine Ableh nungsinformation (Reject) übertragen werden. In diesem Fall kann das erste Subskriptionsprofil 13 auf dem Sicherheitselement 11 automatisch gelöscht oder deaktiviert werden. Dabei können beliebige Randbedin gungen festgelegt sein, bevor die Außerbetriebsetzung durchgeführt wird. Beispielsweise kann eine bestimmte Anzahl an Ablehnungen vor gesehen sein, wobei erst beim Überschreiten der vorgegebenen Anzahl das Außerbetriebsetzen erfolgt. Ebenso kann das Außerbetriebsetzen da von abhängig gemacht werden, dass in der Ablehnung eine den Grund angebende Information enthalten ist.

Das vorgeschlagene Vorgehen ermöglicht eine (teil)automatische Löschung oder Deaktivierung nicht mehr genutzter oder benötigter Subskriptionsprofi le. Optional kann das Außerbetriebsetzen durch den Nutzer autorisiert wer- den. Im Ergebnis ist eine Profilpflege durch den Nutzer des mobilen Endge räts nicht erforderlich.

P o s i t i o n s l i s t e

10 mobiles Endgerät

11 Sicherheitselement

12 Profil-Manager

13 erstes Subskriptionselement

14 zweites Subskriptionselement

15 Sende- / Empfangsmittel

16 Nutzerschnittstelle

Sl, S2, S3 Verfahrensschritt