eines Telekommunikationsmoduls

Die vorliegende Erfindung betrifft ein Verfahren zum Personalisieren eines in einem Endgerät eingebetteten Telekommunikationsmoduls mittels eines portablen Datenträgers sowie ein Telekommunikationsmodul, einen portablen Datenträger und ein Endgerät mit darin eingebettetem Telekommunikationsmodul. Es ist üblich, Chipkarten, die einem bestimmten Nutzer zugeordnet werden, z.B. kartenförmige Telekommunikationsmodule, wie z.B. zum Beispiel (U)SIM-Mobilfunkmodule, oder wertbehaftete Geld-, Bank- oder Kreditkarten, bei der Herstellung einerseits mit Nutzer-, Verwendungs- und/ oder Dienstanbieter-unabhängigen Initialisierungsdaten und andererseits mit Nutzer-, Verwendungs- und/ oder Dienstanbieter-abhängigen Personalisie- rungsdaten auszustatten. Diese beiden separaten Schritte werden als Initialisierung/ Vorpersonalisierung und Personalisierung/ Individualisierung bezeichnet. Im Falle von Mobüfunkmodulen, die einem späteren Nutzer einen Zugang zu einem Mobilfunknetz eines Mobilfunkdienstanbieters zur mobi- len Datenkommunikation bereitstellen, umfassen derartige Personalisie- rungsdaten insbesondere nutzerabhängige Daten, wie z.B. Identifikationsangaben eines Privatnutzers oder einer Firma und Dienstanbieter-abhängige Daten, wie z.B. die Netzzugangsdaten oder dergleichen. Diese frühe Personalisierung durch den Modulhersteller hat Sicherheitsvorteile, denn eine in der gesicherten Einflusssphäre des Modulherstellers vorgenommene Personalisierung eines Mobilfunkmoduls kann später nicht mehr mit unlauterer Absicht rückgängig oder geändert werden. Sofern ein Telekommunikationsmodul jedoch fest in ein Endgerät eingebaut wird, um ein eingebettetes System („Embedded System") zu bilden, ist das frühe Personalisieren durch den Modulhersteller nachteilig, da dem Herstel- 1er des Endgeräts dessen späterer Betreiber und Betriebsort zum Zeitpunkt der Modulherstellung zumeist nicht bekannt ist. Zumindest die Kenntnis des Betriebsortes des Endgeräts ist bei der Personalisierung von einzubettenden Telekommunikationsmodulen jedoch notwendig, um Zugangsdaten eines an diesem Ort verfügbaren Mobilfunknetzes aufspielen zu können.

Diese Problematik, insbesondere der damit einhergehende logistische und Verwaltungsaufwand, verhindert die Verbreitung derartiger eingebetteter Telekommunikationsmodule, insbesondere in Form von Telemetrie- und/oder M2M-Einrichtungen („Mad me-to-MacWne") zur automatisierten Datenkommunikation zwischen Endgeräten, Maschinen, Automaten, Fahrzeugen, Containern oder dergleichen mit einer zentralen Leitstelle, z.B. bei einer Messwerterfassung im Rahmen einer Fernüberwachung, -kontrolle und -Wartung von Maschinen, Anlagen und Systemen. Die DE 102006 024 041 AI offenbart ein Verfahren zur Personalisierung von Telekommunikationsmodulen in einem Telekommunikationsendgerät, indem der Nutzer Personalisierungsdaten an eine vertrauenswürdige Instanz übergibt, welche die Personalisierungsdaten prüft und anschließend die Personalisierung des Telekommunikationsmoduls vornimmt. Demgegenüber offenbart die DE 10 2005 007581 AI ein Personalisierungsverfahren für Tele- kornmunikationsmodule, bei dem sich das Telekommunikationsmodul selbst mittels einer geeigneten Personalisierungssoftware personalisiert. Mit der Personalisierung eingebetteter Telekommunikationsmodule beschäftigen sich die beiden Schriften jedoch nicht. Es ist demzufolge die Aufgabe der vorliegenden Erfindung, eine möglichst effiziente Personalisierung eines Telekommunikationsmoduls zu ermöglichen, welches bereits in einem Endgerät eingebettet ist.

Diese Aufgabe wird durch ein Verfahren und Vorrichtungen mit den Merkmalen der unabhängigen Ansprüche gelöst. Vorteilhafte Ausführungsformen und Weiterbildungen sind in den abhängigen Ansprüchen angegeben.

Erfindungsgemäß wird ein Telekommunikationsmodul in ein Endgerät fest eingebaut (eingebettet) und anschließend personalisiert, indem auf einem portablen Datenträger gespeicherte Personalisierungsdaten über eine gesicherte Datenkommunikationsverbindung in das Telekommunikationsmodul eingespielt werden, wobei die Datenkommunikationsverbindung mittels korrespondierenden Transportschlüsseln des Datenträgers und des Moduls kryptographisch, d.h. durch geeignetes Ver- und Entschlüsseln der übertragenen Daten, gesichert wird.

Die Erfindung erlaubt auf diese Weise die späte Personalisierung eines Telekommunikationsmoduls nach seiner Einbettung in ein Endgerät bzw. an dem Betriebsort des Endgeräts. Die Verlagerung der Personalisierung aus der Einflusssphäre des Modulherstellers in die Einflusssphäre des Herstellers bzw. Betreibers des Endgeräts hat hier keine Sicherheitsnachteile, da die Ü- bertragung der Personalisierungsdaten durch die kryptographische Sicherung mittels der korrespondierenden Transportschlüssel hinreichen abgesichert ist.

Der Modulhersteller des Telekorrununikationsmoduls stellt aus Zweckmä- ßigkeits- und Sicherheitsgründen vorzugsweise auch den portablen Daten- träger her. Insofern sind die korrespondierenden Transportschlüssel des Moduls und des Datenträgers nur dem Modulhersteller bekannt, vorzugsweise werden sie von dem Modulhersteller erzeugt. Während eines Herstellungsprozesses des Telekommunikationsmoduls wird dieses zunächst initia- lisiert (vorpersonalisiert), d.h. mit festen Nutzer-, Verwendungs- und/ oder Dienstleistungsanbieter-unabhängigen Initialisierungsdaten ausgestattet, während anstelle einer Personalisierung der dem Modul zugeordnete Transportschlüssel in dem Telekommunikationsmodul hinterlegt wird. Demgegenüber werden in einem gesicherten Speicherbereich des Datenträgers die Nutzer-, Verwendungs- und/ oder Dienstanbieter-abhängigen Personalisierungsdaten sowie der dem Datenträger zugeordnete Transportschlüssel hinterlegt.

Ein entsprechend unpersonalisiertes, erfindungsgemäßes Telekommunikati- onsmodul umfasst eine Datenkommunikatiorisschnittstelle zum Aufbau der gesicherten Datenkommunikationsverbindung zu dem portablen Datenträger sowie einen geeigneten Speicher mit einem darin abgelegten Transportschlüssel, der mit einem Transportschlüssel eines Datenträgers korrespondiert, auf welchem die für das unpersonalisierte Telekommunikationsmodul bestimmten Personalisierungsdaten abgelegt sind. Ferner umfasst ein erfindungsgemäßes Telekommunikationsmodul eine Steuereinrichtung, die mit Hilfe des Transportschlüssels die Personalisierungsdaten von dem Datenträger über die Datenkommunikationsverbindung kryptographisch gesichert entgegennimmt.

Ein Endgerät, in welches ein solches unpersonalisiertes Telekommunikationsmodul fest eingebettet ist, ist in der Regel ein Computer oder eine anderweitige M2M-Datenverarbeitungseinrichtung _/ die eine automatisierte Datenkommunikation mit einer zentralen Leitstelle über einen Mobilfunknetzzu- gang durchführt, der von dem (personalisierten) Telekommunikationsmodul bereitgestellt wird. Das Endgerät ist als Telemetrie-, Überwachungs-, Steuer-, Regelungs-, Wartungseinrichtung oder dergleichen in einen bestimmten technischen Kontext eingebunden, um an Maschinen, Automaten, Fahrzeu- gen oder dergleichen Messwerte zu erfassen und diese über eine Antenne und das Mobilfunknetz als Mess- oder Überwachungsprotokolle an die Leitstelle weiterzuleiten oder von der Leitstelle empfangene Steuersignale an die zu steuernde Maschine weiterzuleiten. Ein erfindungsgemäßer portabler Datenträger umfasst eine mit der Datenkommunikationsschnittstelle des Telekommunikationsmoduls korrespondierende DatenkommuniLkationsschnittstelle zum Aufbau der gesicherten Da- tenkornmunikationsverbindung. In einem gesicherten Speicher des portablen Datenträgers ist einerseits ein zu dem Transportschlüssel des Telekommuni- kationsmoduls korrespondierender Transportschlüssel und andererseits die zu übertragenden Personalisierungsdaten hinterlegt. Ferner umfasst der Datenträger eine Steuereinrichtung, die mittels des Transportschlüssels gesicherte Personalisierungsdaten über die Datenkornmunikationsverbindung an das Telekommunikationsmodul zu dessen Personalisierung überträgt. Um die unerlaubte Entnahme des Transportschlüssels oder der Personalisierungsdaten aus dem Datenträger zu verhindern, ist dieser zudem als sicherer Datenträger mit einem gesicherten Speicherbereich ausgestaltet, z.B. als SD- Speicherkarte, sicheres Token oder eine anderweitig abgesicherte Chipkarte, Smart Card oder dergleichen.

Nach der Herstellung des Moduls und des Datenträgers wird zumindest das Modul an den Hersteller des Endgeräts ausgeliefert, so dass dieser das noch unpersonalisierte Telekommunikationsmodul in das Endgeräts einbetten kann. Der Datenträger wird entweder gemeinsam mit dem Modul an den Endgerätehersteller ausgeliefert oder erst später an den Endgerätehersteller, - betreiber oder -nutzer, z.B. auf Anfrage eines Endgerätebetreibers nach Installation des Endgeräts an einem Betriebsort. Die Personalisierung des Tele- kommunikationsmoduls wird dann am Betriebsort des Endgeräts durch dessen Betreiber durchgeführt.

Am Betriebsort des Endgeräts wird eine vorzugsweise kontaktbehaftete Datenkommunikationsverbindung zwischen dem Datenträger und dem Telekommunikationsmodul aufgebaut, um die Personalisierungsdaten in das Modul einzuspielen. Die kontaktbehaftete Datenkommunikationsverbindung wird über korrespondierende Datenkommunikationsschnittstellen des Moduls und des Datenträgers realisiert, beispielsweise über USB-, Mikro-SD- oder ISO-Schnittstellen gemäß ISO 7816, wobei die anschließende gesicherte/verschlüsselte Datenkommunikation im Rahmen des betreffenden Datenkommunikationsprotokolls geeignet abgewickelt wird. Alternativ zur kontaktbehafteten Datenkommunikation kann auch eine kontaktlose Datenkommunikationsverbindung aufgebaut und die Datenkommunikation über ein geeignetes kontaktloses Datenkommuriikationsprotokoll abgewickelt werden.

Der Betreiber oder Hersteller des Endgeräts gestaltet dieses, wie oben erläutert, als eingebettetes System aus, z.B. als Datenverarbeitungseinrichtung zur Messwerterfassung mit Antenne und integriertem Telekornmunikationsmo- dul zur Messwertweitergabe. Typischerweise verbleiben solche eingebetteten Systeme zumindest zeitweilig an einem vorgegebenen Betriebsort. Der Betriebsort kann beispielsweise der Standort einer stationären technischen Anlage sein oder in einem mobilen Verkehrsmittel liegen, beispielsweise in einem Kraftfahrzeug, einem Flugzeug, oder dergleichen. Wie bereits angedeutet, kann der Hersteller oder Betreiber eines solchen Endgeräts die Personalisierung des darin eingebetteten Telekommunikationsmoduls dadurch veranlassen, dass der Datenträger mit den Personalisie- rungsdaten bei dem Modulhersteller angefordert wird, sofern der Datenträ- ger nicht bereits zusammen mit dem Modul an den Endgerätehersteller ausgeliefert wurde. Dies kann mittels einer Anfrage an den Modulhersteller geschehen, welche eine eindeutige Modulidentifikation des eingebetteten Telekommunikationsmoduls umfasst, z.B. dessen ICCID, woraufhin dieser den zur Personalisierung des Moduls benötigten portablen Datenträger herge- stellt, entsprechend einrichtet und an den Endgerätehersteller oder den Betreiber ausliefert. Aufgrund des separaten Anforderns des Datenträgers mittels einer eindeutig dem Telekommunikationsmodul, dem Endgerät und dessen Betriebsort zuzuordnenden Modulidentifikation kann auch das ansonsten notwendige Nachverfolgen („Tracking") des Telekommunikations- moduls und Rekonstruieren von dessen Verbleib vermieden werden.

Aus Sicherheitsgründen werden die Personalisierungsdaten und eventuell auch der Transportschlüssel vorzugsweise unmittelbar nach deren Einspielen in das Telekommunikationsmodul von dem Datenträger gelöscht, so dass eine unbeabsichtigte oder missbräuchliche Personalisierung eines anderen Telekommunikationsmoduls mit den gleichen Personalisierungsdaten verhindert wird.

Die korrespondierenden Transportschlüssel können symmetrische, zum Ver- und Entschlüsseln geeignete kryptographische Schlüssel sein, z.B. gemäß dem symmetrischen 3 DES- Verfahren, und insofern dem Datenträger und dem Telekommunikationsmodul in identischer oder leicht abgewandelter Weise vorliegen. Alternativ können auch asymmetrische Transportschlüssel verwendet werden. Dann wird zum Verschlüsseln ein öffentlicher Schlüssel des Nachrichtenempfängers verwendet, so dass dieser die verschlüsselte Nachricht mittels des korrespondierenden geheimen Schlüssels entschlüsseln kann. Bei einer zweitseitigen Datenkommunikation zwischen dem Telekommunikationsmodul und dem Datenträger liegt dann jedem der Kommu- nikationspartner ein asymmetrischer öffentlicher Verschlüsselungsschlüssel und ein asymmetrischer geheimer Entschlüsselungsschlüssel vor.

Weitere Merkmale und Vorteile der Erfindung ergeben sich aus der folgenden Beschreibung verschiedener erfindungsgemäßer Ausführungsbeispiele und Ausführungsalternativen im Zusammenhang mit den begleitenden Zeichnungen. Darin zeigen:

Figur 1 einen schematisierten erfindungsgemäßen Verfahrensablauf; Figur 2 eine Personalisierungsanordnung, umfassend ein Telekommunikationsmodul und einen portablen Datenträger; und

Figur 3 einen schematisierten Ablauf einer der Daterikommunikation bei der Personalisierung des Telekommunikationsmoduls.

Fig. 1 zeigt den Verfahrensablauf bei der Personalisierung eines als SIM- Mobilfunkmodul ausgestalteten Telekommunikationsmoduls 1 an einem Betriebsort eines Endgeräts 7 gemäß Fig. 2, in welches das SIM-Modul 1 im unpersonalisierten Zustand eingebettet wurde. Die eigentliche Personalisie- rung des SIM-Moduls 1 durch einen portablen Datenträger 10 über eine gesicherte Datenkommunikationsverbindung 20 wird in Schritt S10 der Fig. 1 vorgenommen und im Zusammenhang mit den Schritten AI 0.1 bis S10.9 in Fig. 3 genauer erläutert. Gemäß Schritt Sl der Fig. 1 werden das SIM-Modul 1 und der portable Datenträger 10 gemeinsam oder getrennt voneinander von einem Chipkartenmodul- bzw. Datenträgerhersteller hergestellt. Dabei werden insbesondere jeweils eine Steuereinrichtung 2, 11 und korrespondierende kontaktbehaftete Datenkommunikationsschnittstellen 6, 15 eingebaut, z.B. USB-, MicroSD- oder andere geeignete Datenträger- und Chipkartenschnittstellen, über die zum Einspielen von Personalisierungsdaten 13 (PD, PD') in das SIM-Modul 1 eine Datenkommunikationsverbindung 20 zwischen dem Datenträger 10 und dem SIM-Modul 1 aufgebaut wird. Zudem sind in dem Datenträger 10 und dem SIM-Modul 1 jeweils Steuereinrichtungen 2, 11 vorgesehen, die in

Wechselwirkung miteinander die Datenkommunikationsverbindung 20 aufbauen und die Datenkommunikation beim Einspielen der Personalisierungsdaten 13 in das SIM-Modul 1 steuern. Das SIM-Modul 1 besitzt zudem eine weitere Schnittstelle (nicht dargestellt) zu dem Endgerät 7 in welches es ein- gebettet werden soll, damit dieses über eine Antenne 9 einen von dem SIM- Modul 1 vermittelten Zugang zu einem Mobilfunknetz nutzen kann.

In Schritt S2 erzeugt der Modulhersteller symmetrische Transportschlüssel (KEY, KEY') 4, 14, so dass lediglich der Modulhersteller im Besitz des sym- metrischen Transportschlüssels 4, 14 ist. Alternativ zur Erzeugung von über- eiristimmenden symmetrischen Transportschlüsseln 4, 14 sowohl für das SIM-Modul 1 als auch für den Datenträger 10 können auch zwei asymmetrische Schlüsselpaare erzeugt werden, wobei das SIM-Modul 1 und der Datenträger 10 jeweils einen öffentlichen und einen geheimen Schlüssel der beiden Schlüsselpaare bekommen. Die Transportschlüssel 4, 14 sind ausschließlich zur Personalisierung des SIM-Moduls 1 vorgesehen und werden für keine weiteren kryptographischen Operationen eingesetzt. Insofern können sie nach der Personalisierung durch die jeweilige Steuereinrichtung 2, 11 gelöscht werden. In Schritt S3 werden Personalisierungsdaten 13 und der symmetrische Transportschlüssel 14 in dem Datenträger 10 gespeichert, vorzugsweise in einem sicheren Speicherbereich 12, der gegen Ausspähen und Manipulation besonders abgesichert ist. Die in den sicheren Speicher 12 eingebrachten Personalisierungsdaten 13 umfassen Modul-individuelle Daten, die sich von den Personalisierungsdaten 13 anderer SIM-Module unterscheiden. Hierzu zählen Nutzer-, Verwendungs- und/ oder Dienstanbieter-abhängige Personalisierungsdaten, also Daten, die das SIM-Modul 1 im Hinblick auf einen späte- ren Nutzer oder Betreiber des SIM-Moduls 1 und/ oder hinsichtlich einer Nutzung eines bestimmten Mobilfunknetzes individualisieren, für welches das SIM-Modul 1 einem Endgerät 7 Zugangsdaten bereitstellt.

Entsprechend wird das SIM-Modul 1 in Schritt S4 zwar initialisiert, d.h. mit Modul-unabhängigen Daten ausgestattet, die von einem späteren Nutzer oder Betreiber oder einem Mobilfunknetzanbieter unabhängig sind, eine „frühe" Personalisierung durch den Modulhersteller findet jedoch nicht statt. Stattdessen wird eine„späte" Personalisierung durch einen Hersteller oder Betreiber eines Endgeräts 7 vorbereitet, indem auch der Transportschlüssel 4 in dem SIM-Modul 1 hinterlegt wird. In diesem Zustand ist das SIM-Modul 1 mangels Personalisierung noch nicht bestimmungsgemäß zum Bereitstellen einer Mobilfunkverbindung einsetzbar, da es insbesondere noch keine Zugangsdaten für ein Mobilfunknetz umf asst. Entgegen dem üblichen Vorgehen bei der Herstellung von SIM-Modulen 1, Chipkarten, Smart Cards oder dergleichen wird das SIM-Modul 1 in Schritt S5 unpersonalisiert an einen Nutzer des SIM-Moduls 1 bzw. einen Hersteller oder Betreiber eines Messendgeräts 7 ausgeliefert. Der Betreiber des Messendgeräts 7 kann das eingebettete SIM-Modul 1, wenn alle Personalisie- rungsdaten vorliegen, insbesondere der Standort der Messendgeräts 7 und das dort verfügbare Mobilfunknetz bekannt sind, selbst personalisieren. Dies ermöglicht einen sehr flexiblen Einsatz eines SIM-Moduls 1 durch den Endgerätebetreiber in einem Endgerät 7 und an einen Betriebsort, der bei der Herstellung des SIM-Moduls 1 durch den Modulhersteller noch gar nicht bekannt war. Diese Angaben werden also, sobald sie feststehen, dem Modulhersteller bereitgestellt, damit dieser den korrespondierenden portablen Datenträger 10 mit den Personalisierungsdaten 13 ausstatten und an den Endgerätebetreiber liefern kann.

In Schritt S6 baut der Endgerätehersteller das SIM-Modul 1 schließlich fest und in der Regel irreversibel in das Messendgerät 7 ein, so dass ein„Embed- ded System" entsteht, welches in eine technische Anlage zur Messwerterfassung und Weitergabe der Messwerte über das Mobilfunknetz an eine Leit- stelle im Rahmen einer Überwachung oder Steuerung der Anlage integriert werden kann. Schließlich bringt der Endgerätehersteller oder ein Betreiber das Messendgerät 7 an den endgültigen Betriebsort, z.B. indem das Messendgerät 7 in einer technischen Anlage oder einem mobilen Verkehrsmittel zu deren/ dessen Überwachung und Steuerung installiert wird. Erst jetzt lie- gen alle Parameter vor, die in die noch durchzuführende Personalisierung eingehen müssen, insbesondere der Betriebsort des Messendgeräts 7 und damit das dort verfügbare Mobilfunknetz.

Diese Parameter werden dem Modulhersteller bereitgestellt, damit dieser geeignete Personalisierungsdaten 13 zur Personalisierung des SIM-Moduls 1 auf dem Datenträger 10 hinterlegen kann. Dies wird in Schritt S8 mit der Ü- bermittelung der Parameter und einer eindeutigen ICCID-Identifikations- nurnmer 5 des SIM-Moduls 1 an den Modulhersteller veranlasst, wodurch derjenige portable Datenträger 10 bei dem Modulhersteller angefordert wird, der die für das SIM-Modul 1 benötigten Personalisierungsdaten 13 bereitstellt. Der Datenträger 10 wird dann entweder erst hergestellt oder nur noch mit den erforderlichen Personalisierungsdaten 13 versehen und an den Betreiber des Messendgeräts 7 ausgeliefert.

Schließlich wird in Schritt S9 am Betriebsort des Messendgeräts 7 eine Datenkommunikationsverbindung 20 zwischen dem portablen Datenträger 10 und dem SIM-Modul 1 aufgebaut, vorzugsweise eine kontaktbehaftet Verbindung von der Schnittstelle 15 des Datenträgers 10 über die korrespondierende Schnittstelle 8 des Messendgeräts 7 weiter zu der Schnittstelle 6 des SIM-Moduls 1, welche z.B. als USB-, Mikro-SD- oder ISO-Schnittstellen ausgestaltet sind. Hierbei kann die Datenkommunikationsverbindung 20 zwischen dem portablen Datenträger 10 und dem SIM-Modul 1 also nicht nur direkt erfolgen, sondern auch wie in Fig. 2 über eine geeignete Schnittstelle 8 des Messendgeräts 7, welche die im Messendgerät 7 liegende Schnittstelle 6 des SIM-Moduls 1 aus dem Messendgerät 7 hinaus verlängert. Bei dieser mittelbaren Datenkommunikations Verbindung 20 zwischen dem Datenträger 10 und dem SIM-Modul 1 wird das verwendete Datenkommunikationsprotokoll vorzugsweise beibehalten.

Schließlich wird in Schritt S10 die eigentliche Personalisierung des SIM- Moduls 1 durch den Datenträger 10 vorgenommen, indem die Personalisierungsdaten 13 über die Datenkommunikationsverbindung 20 in das SIM- Modul 1 als Personalisierungsdaten 3 eingespielt werden. Die Schritte S9 und S10 werden veranlasst, gesteuert und durchgeführt von den beiden Steuereinrichtungen 2, 11 des SIM-Moduls 1 und des Datenträgers 10, die die Da- tenkommunikationsverbindung 20 herstellen und das Personalisieren des SIM-Moduls 1 in Wechselwirkung koordinieren. Fig. 3 illustriert die Koinmunikationsschritte S101 bis S10.9 im Rahmen des Personalisierungsschritts S10 der Fig. 1, die beim Einspielen der Personalisie- rungsdaten 13 in das SIM-Modul 1 durchgeführt werden. Die in Fig. 3 illustrierte Datenkommunikation 20 zwischen dem Datenträger 10 und dem SIM-Modul 1 unterteilt sich in zwei Phasen, nämlich die Au- thentisierungsphase des Datenträgers 10 gegenüber dem SIM-Modul 1 (AU- THENTICATE) mit den Schritten S10.1 bis S10.4 sowie die eigentliche Perso- nalisierungsphase mit den Schritten S10.5 bis S10.9 (PERSON ALIZE). In dem Verfahrensablauf gemäß Fig. 3 übernimmt der portable Datenträger 10 die bei der Chipkartenkommunikation übliche aktive Rolle des Terminals bzw. Lesegeräts, während das SIM-Modul 1 die reaktive Rolle übernimmt. Deshalb besteht jeder Datenkornmunikationsschritt immer aus zwei Teilschritten, nämlich einer Anforderung (z.B. eine„Command-APDU") des Daten- trägers 10 an das SIM-Modul 1 und einer Antwort (z.B. eine„Response- APDU") des SIM-Moduls 1 an den Datenträger 10.

In Schritt S10.1 wird die Datenkommunikation 20 mit einer Reset-Sequenz begonnen. Hierbei sendet der Datenträger 10 ein Reset-Signal an das SIM- Modul 1, mit welchem dem SIM-Modul 1 der Beginn einer Datenkommunikation 20 angezeigt wird und ein„Rücksetzen" des SIM-Moduls 1 in einen definierten Ausgangszüstand veranlasst wird. In Reaktion auf das Reset- Signal sendet das SIM-Modul 1 ein beantwortendes ATR-Signal („ Answer- to-Reset") an den Datenträger 10, in dem das von dem SIM-Modul 1 unter- stützte Datenkommunikationsprotokoll sowie diverse weitere Kommunikations- und Protokollparameter mitgeteilt werden.

Anschließend wird in den darauffolgenden Schritten S10.2 bis S10.4 eine „Challenge/ Response" -Authentisierung des Datenträgers 10 gegenüber dem SIM-Modul 1 durchgeführt, um sicherzustellen, dass es sich bei dem Datenträger 10 um eine autorisierte Instanz bzw. um genau denjenigen Datenträger 10 handelt, der die benötigten Personalisierungsdaten 13 bereitstellt. Hierzu wird in Schritt S10.2 zunächst ein Get-Challenge-Signal an das SIM- Modul 1 gesendet, mit dem dieses aufgefordert wird, eine„Challenge" (Herausforderung, Aufgabe) an den Datenträger 10 zu richten, die auf einem gemeinsamen Geheimnis des SIM-Moduls 1 und des Datenträgers 10 beruht, und welche mit dem Return-Challenge-Signal des SIM-Moduls 1 z.B. in Form einer Zufallszahl bereitgestellt wird.

In Schritt S10.3 berechnet der Datenträger 10 ein Antwortsignal („Response") auf die„Challenge" des SIM-Moduls 1, beispielsweise indem die empfangene Zufallszahl mit einem geeigneten geheimen Schlüssel verschlüsselt wird, welcher ein gemeinsames Geheimnis des SIM-Moduls 1 und des Datenträgers 10 repräsentiert. Insbesondere kann die auf diese Weise erzeugte„Response" ein Kartenkryptogramm des SIM-Moduls 1 sein, welches im Schritt S10.4 mit einem Authenticate-Signal an das SIM-Modul 1 gesendet und von diesem verifiziert wird („Validate"), zum Beispiel indem die„Response" mit einem dem SIM-Modul 1 vorliegenden Kartenkryptogramm verglichen oder erst mit dem gemeinsamen Geheimnis entschlüsselt und dann mit der mit dem Return-Challenge-Signal (Schritt S10.2) gesendeten Zufallszahl vergleichen wird. Bei einem positiven Ergebnis der Verifikation antwortet das SIM- Modul 1 schließlich mit einem Authenticate-Valid-Signal zur Bestätigung der korrekten Authentifizierung des Datenträgers 10.

Bei Bedarf kann noch eine zweite Authentisierungsphase durchgeführt werden, bei der sich das SIM-Modul 1 gegenüber dem Datenträger 10 in analoger Weise über ein Challenge-Response- Verfahren authentifiziert, so dass dann eine wechselseitige Authentifizierung vorliegt. Mit dem Schritt S10.5 wird die eigentliche Personalisierungsphase eingeleitet und der sichere Datenkommunikationskanal 20 mittels dem dem Datenträger 10 und dem SIM-Modul 1 übereinstimmend vorliegenden symmetri- sehen Transportschlüssel 14 etabliert („Open secure Channel";„Secure Channel opened").

In Schritt S10.6 werden von der Steuereinrichtung 11 des Datenträger 10 zunächst die Personalisierungsdaten 13 aus dem gesicherten Speicher 12 ent- nommen, mit dem Transportschlüssel 14 symmetrisch verschlüsselt und an das SIM-Modul 1 übertragen („Transfer PD"). Die Steuereinrichtung 2 des SIM-Moduls 1 entschlüsselt dann die empfangenen Personalisierungsdaten mit dem korrespondierenden Transportschlüssel 4 und prüft die resultierenden Personalisierungsdaten 3 auf Gültigkeit und Eignung z.B. anhand be- stirnmter Steuer- und Verwaltungsdaten innerhalb der Personalisierungsdaten 3 („Validate PD") und sendet nach erfolgreicher Validierung ein PD- Valid-Signal an den Datenträger 10.

Nach Eingang des PD-Valid-Signals bei dem Datenträger 10 werden die Per- sonalisierungsdaten 13 in Schritt S10.7 von der Steuereinrichtung 11 aus dem gesicherten Speicher 12 des Datenträgers 10 gelöscht. Dadurch wird einem Missbrauch der Personalisierungsdaten 13 vorgebeugt, beispielsweise einer unerlaubten Personalisierung weiterer SIM-Module mit den gleichen Personalisierungsdaten 13. Zusätzlich kann in Schritt S10.7 auch der Transport- Schlüssel 14 gelöscht werden.

In Schritt S10.8 wird die Personalisierung abgeschlossen, indem ein Finalize- Signal an das SIM-Modul 1 gesendet wird, aufgrund dessen die gültigen Personalisierungsdaten 3 von der Steuereinrichtung 2 des SIM-Moduls 1 an den betreff enden Stellen in Speichern und Registern des SIM-Moduls 1 derart installiert werden („Commit PD"), dass das SIM-Modul 1 nun bestimmungsgemäß zum Bereitstellen von Mobilfunkverbindungen für das Messendgerät 7 eingesetzt werden kann. Das Finalize-Signal des Datenträgers 10 ist hierbei auch eine Bestätigung des Löschvorgangs in Schritt S10.7, ohne die die Per- sonalisierungsdaten 3 aufgrund möglichen Missbrauchs nicht installiert werden würden. Bestätigt wird der Abschluss der Personalisierung mit einem Card-Finalized-Signal an den Datenträger 10, woraufhin in Schritt S10.9 der sichere Datenübertragungskanal 20 geschlossen und die Personalisierung beendet wird.