Die vorliegende Erfindung betrifft ein Verfahren zur Subskriptionsverwal- tung. Genauer betrifft die Erfindung ein Verfahren zum Verwalten von Subskriptionen in einem Sicherheitselement für ein mobiles Endgerät.

Einer Subskription ist dabei jeweils ein Subskriptionsprofil zugeordnet. Ein solches Subskriptionsprofil ist dann, als Datensatz oder Applikation, in dem Sicherheitselement gespeichert. Das Subskriptionsprofil definiert Bedingungen, d.h. z.B. Art, Umfang und Kosten, einer Nutzung eines der Subskription zugeordneten Mobilfunknetzwerks mittels des Sicherheitselements und des mobilen Endgeräts, in welches das Sicherheitselement integriert ist. Verschiedene Subskriptionen fragen in verschiedener Weise Funktionalitäten des Sicherheitselements nach, in welchem das der Subskription zugeordneten Subskriptionsprofil gespeichert ist. Eine„einfache" Subskription, welche beispielsweise lediglich einen Datentransfer gemäß einem vorgegebenen Maximalvolumen über das der Subskription zugeordnete Mobilfunknetz- werk erlaubt, benötigt sehr wenige Funktionalitäten des Sicherheitselements. Eine„umfangreiche" Subskription jedoch, welche es einem Nutzer beispielsweise erlaubt, praktisch sämtliche seitens des Mobilfunknetzwerks bereitgestellten Dienste (z.B. Mobilfunk, SMS, Internet) vollumfänglich zu nutzen, erfordert auch zahlreiche komplexe, seitens des Sicherheitselements be- reitgestellte Funktionalitäten, beispielsweise kryptographische Funktionalitäten oder Zugriff auf ein Modul zur kontaktlosen Datenkommunikation (z.B. via NFC). Da ein Subskriptionsprofil bzw. innerhalb eines solchen Subskriptionsprofils ausführbare Applikationen in dem Sicherheitselement grundsätzlich sämtliche, im Rahmen einer Initialisierung des Sicherheitselements bereitgestellte Funktionalitäten des Sicherheitselements nutzen können, kann ein Zugriff einer Subskription auf eine für die Subskription nicht erforderliche Funktionalität nur dadurch beschränkt werden (z.B. aus Sicherheitsgründen), dass eine Initialisierung des Sicherheitselements auf eine auf das Sicherheitselement zu ladende Subskription abgestimmt wird. Dies ist zum einen aufwän- dig, da für verschiedene Subskriptionen jeweils verschiedene Initialisierungen eines Sicherheitselements erzeugt werden müssen. Zum anderen ist dies dann problematisch, wenn nachfolgend eine weitere Subskription auf das Sicherheitselement geladen werden soll, welche sich hinsichtlich des zum Betreiben der Subskription notwendigen Zugriffs auf Funktionalitäten des Sicherheitselements von der bereits geladenen Subskription unterscheidet.

Aufgabe der vorliegenden Erfindung ist es demnach, den vorstehend genannten Problemen Rechnung zu tragen. Diese Aufgabe wird mittels eines Verfahrens, eines Sicherheitselements und eines Systems mit den Merkmalen der unabhängigen Ansprüche gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen sind in den abhängigen Ansprüchen angegeben. Grundgedanke der vorliegenden Erfindung ist es, subskriptionsprofilspezi- fisch den Zugriff eines Subskriptionsprofils auf Funktionalitäten des Sicherheitselements zu beschränken. Mit anderen Worten umf asst ein Subskriptionsprofil selbst, nach einer geeigneten Modifikation, die Information dar- über, welche Funktionalitäten des Sicherheitselements für das Subskriptionsprofil zugreifbar sind.

Gemäß einer bevorzugten Ausführungsform eines Verfahrens zur Subskrip- tionsverwaltung in einem Sicherheitselement für ein mobiles Endgerät, in welchem einer Subskription jeweils ein in dem Sicherheitselement gespeichertes oder speicherbares Subskriptionsprofil zugeordnet ist, wird ein Zugriff eines solchen Subskriptionsprofils auf grundsätzlich in dem Sicherheitselement verfügbare Funktionalitäten des Sicherheitselements subskriptions- spezifisch beschränkt. Mit anderen Worten wird ein Subskriptionsprofil derart spezifiziert oder modifiziert oder ergänzt, dass dadurch ein Zugriff des Subskriptionsprofils auf Funktionalitäten das Sicherheitselement angegeben, d.h. insbesondere auch beschränkt werden kann. Dabei wird vorzugsweise subskriptionsprofilspezifisch ein Zugriff einer dem Subskriptionsprofil zugeordneten, in dem Sicherheitselement innerhalb eines Subskriptionsprofils ausführbaren Applikation auf Funktionalitäten des Sicherheitselements beschränkt. Gemäß einer bevorzugten Ausführungsform sind die Funktionalitäten des Sicherheitselements durch Programmierschnittstellen des Sicherheitselements bereitgestellt, so dass die Beschränkung des Zugriffs auf die Funktionalitäten als Beschränkung des Zugriffs oder der Nutzungsmöglichkeit auf Prograrrurderschnittstellen des Sicherheitselements verwirklicht ist.

Gemäß einer bevorzugten Ausführungsform werden für ein vorgegebenes Subskriptionsprofil das Subskriptionsprofil spezifizierende Metadaten erzeugt. Diese Metadaten können insbesondere als Header-Information erzeugt werden, welche, wenn das Subskriptionsprofil als ein Datensatz ange- sehen wird, als den Datensatz spezifizierende Anteile des Datensatzes vorliegen, in der Regel zu Beginn des Datensatzes.

Solche Metadaten können einerseits als Teil eines modifizierten Subskripti- onsprofils oder als ein dem Subskriptionsprofil zugeordneter, zusätzlicher Datensatz, d.h. separat vom den Subskriptionsprofil, in dem Sicherheitselement gespeichert werden.

Diese das Subskriptionsprofil spezifizierenden Metadaten bezeichnen dann diejenigen Funktionalitäten des Sicherheitselements, auf welche das Subskriptionsprofil bzw. innerhalb des Subskriptionsprofils ausführbare Applikationen zugreifen können.

Alternativ oder zusätzlich können die Metadaten auch solche Funktionalitä- ten des Sicherheitselementes bezeichnen, welche seitens des Subskriptionsprofils nicht verwendet werden können, d.h. auf welche ein Zugriff durch das Subskriptionsprofil verwehrt wird.

Gemäß einer bevorzugten Variante bezeichnen die Metadaten diejenigen Programmierschnittstellen (API) des Sicherheitselements, auf welche das Subskriptionsprofil bzw. innerhalb des Subskriptionsprofils ausführbare Applikationen zugreifen (bzw. nicht zugreifen) können. Auf diese Weise werden somit indirekt diejenigen Funktionalitäten bezeichnet, auf welche das Subskriptionsprofil, über die bezeichnenden APIs, zugreifen (bzw. nicht zugreifen) kann.

Die Metadaten können dabei einerseits bereits vor dem Laden des Subskriptionsprofils in das Sicherheitselement erzeugt und dann zusammen mit dem Subskriptionsprofil in das Sicherheitselement geladen bzw. gespeichert werden.

Alternativ oder zusätzlich kann es ebenfalls vorgesehen sein, dass die Meta- daten erst dann erzeugt und in das Sicherheitselement gespeichert bzw. in dem Sicherheitselement geändert werden, nachdem das Subskriptionsprofil bereits in das Sicherheitselement geladen worden ist. Eine solche nachträgliche Ergänzung bzw. Änderung der Metadaten kann beispielsweise über eine Luftschnittstelle erfolgen. Auf diese Weise kann ein Zugriff eines Subskripti- onsprofils auf Funktionalitäten des Datenträgers nachträglich angepasst werden, wodurch beispielsweise auf eine Änderung der Subskription, d.h. eine Änderung oder Anpassungen der Bedingungen zur Nutzung des Mobilfunknetzwerks, flexibel reagiert werden kann. In der Regel wird ein Hersteller oder ein Herausgeber des Sicherheitselements, in der Rolle eines Subskriptionsverwalters oder Subskriptionsmanagers, einen Zugriff eines spezifischen Subskriptionsprofils auf Funktionalitäten des Sicherheitselements in der beschriebenen Weise subskriptionsspezifisch beschränken. Mit anderen Worten obliegt es in der Regel dem Herstel- ler oder Herausgeber des Sicherheitselements, die vorstehend beschriebenen, das Subskriptionsprofil spezifizierenden Metadaten zu erzeugen und in dem Sicherheitselement zu speichern bzw. anzupassen. Ein Betreiber eines Mobilfunknetzwerks, welchem eine Subskription zugeordnet ist, ist in der Regel nicht befugt und technisch nicht in der Lage, einen Zugriff eines Subskripti- onsprofils auf Funktionalitäten des Sicherheitselements anhand eines Subskriptionsprofils festzulegen oder zu beeinflussen.

Der wesentliche Vorteil des erfindungsgemäßen Konzepts, wonach subskrip- tionsprofilspezif isch ein Zugriff eines Subskriptionsprofils auf Funktionalitä- ten eines Sicherheitselements begrenzt werden kann, liegt darin, dass ein Hersteller eines Sicherheitselements das Sicherheitselement, unabhängig von den im Folgenden darauf zu ladenden Subskriptionen, standardisiert und in vollem Umfang initialisieren kann. Ein Zugriff der dann später auf das Si- cherheitselement geladenen Subskriptionen auf einzelne Funktionalitäten des Sicherheitselements kann dann für jede Subskription subskriptionsspezifisch in der vorstehend beschriebenen Weise beschränkt werden.

Auf diese Weise wird es möglich, dass jede Subskription einen durch das Subskriptionsprofil vorgegebenen, begrenzten Zugriff auf Funktionalitäten des Sicherheitselements erhält, welcher von Subskription zu Subskription verschieden sein kann. Die Herstellung des Sicherheitselements wird dadurch vereinfacht, da dieses stets standardisiert initialisiert werden kann. Trotzdem kann für jede auf das Sicherheitselement - auch nachträglich - ge- ladene Subskription spezifisch ein auf die Subskription zugeschnittener Zugriff auf Funktionalitäten des Sicherheitselements gewährleistet werden.

Eine bevorzugte Ausführungsform eines erfindungsgemäßen Sicherheitselements für ein mobiles Endgerät, in welchem Sicherheitselement zu zu- mindest einer Subskription ein Subskriptionsprofil gespeichert ist, zeichnet sich dadurch aus, dass subskriptionsprofilspezifisch ein Zugriff des Subskriptionsprofils auf Funktionalitäten des Sicherheitselements beschränkt ist.

Wie bereits angedeutet, können in dem Sicherheitselement zu einem in dem Sicherheitselement gespeicherten Subskriptionsprofil zusätzlich das Subskriptionsprofil spezifizierende Metadaten gespeichert sein. Diese Metadaten bezeichnen vorzugsweise positiv diejenigen Funktionalitäten oder diejenigen Programmierschnittstellen des Sicherheitselements, auf welche das Subskriptionsprofil zugreifen kann. Alternativ oder zusätzlich können die Metadaten auch diejenigen Funktionalitäten und/ oder Programmierschnittstellen negativ bezeichnen, auf welche das Subskriptionsprofil nicht zugreifen kann.

Ein erfindungsgemäßes mobiles Endgerät umf asst ein vorstehend beschrie- benes Sicherheitselement. Das Sicherheitselement kann dabei entfernbar in das Endgerät integriert werden, beispielsweise in Form einer SIM/UICC- Mobilfunkkarte, oder fest in das Endgerät eingebaut sein, z.B. als embedded- SIM/UICC. Eine bevorzugte Ausführungsform eines erfindungsgemäßen Systems um- fasst eine Subslo'iptionsverwaltungseinrichtung sowie zumindest ein Sicherheitselement für ein mobiles Endgerät der beschriebenen Art. Die Subskrip- tionsverwaltungseinrichtung ist dabei eingerichtet, ein Subskriptionsprofil, welches in dem Sicherheitselement gespeichert ist oder in dem Sicherheits- element speicherbar ist, derart zu spezifizieren, dass dadurch ein Zugriff des Subskriptionsprofils auf in dem Sicherheitselement vorliegende Funktionalitäten beschränkt wird.

Die Subsl riptiorisverwaltungseinrichtung ist vorzugsweise bei einem Her- steller oder einem Herausgeber des Sicherheitselements angeordnet. Ein Betreiber eines einer Subskription zugeordneten Mobilfunknetzwerks hat in der Regel organisatorisch und technisch keine Möglichkeit, über ein Subskriptionsprofil einen Zugriff des Subskriptionsprofils auf Funktionalitäten des Sicherheitselements zu beeinflussen.

Die Subskriptionsverwaltungseinrichtung ist bevorzugt eingerichtet, für ein vorgegebenes Subskriptionsprofil das Subskriptionsprofil spezifizierende Metadaten, insbesondere in Form von Header-Informationen oder dergleichen, zu erzeugen und als einen ergänzenden Anteil des Subskriptionsprofils oder zusätzlich zu dem Subskriptionsprofil in dem Sicherheitselement zu speichern. Diese Metadaten bezeichnen in der vorstehend bereits ausführlich beschriebenen Weise einen Zugriff des Subskriptionsprofils auf das Sicherheitselement.

Die Subskriptiorisverwaltungseinrichtung ist schließlich eingerichtet, entsprechende, in dem Sicherheitselement gespeicherte Metadaten nachträglich zu verändern oder anzupassen. Allgemein ist die Subskriptionsverwaltungs- einrichtung eingerichtet, ein in dem Sicherheitselement gespeichertes Sub- skriptionsprofil nachträglich dahingehend anzupassen, dass dadurch der

Zugriff des Subskriptionsprofils auf Funktionalitäten des Sicherheitselements beschränkt wird.

Die Erfindung wird im Folgenden mit Bezug auf die beiliegende Figur bei- spielhaft beschrieben. Diese gibt Schritte einer bevorzugten Ausführungsform eines Verfahrens zur Subskriptionsverwaltung in einem Sicherheitselement für ein mobiles Endgerät an.

In einem ersten Schritt Sl wird ein Sicherheitselement mit einer standardi- sierten Initialisierung bereitgestellt.

Diese Initialisierung erlaubt grundsätzlich Zugriff auf sämtliche Funktionalitäten des Sicherheitselements für ein Subskriptionsprofil, welches in das Sicherheitselement geladen werden kann.

Ein Sicherheitselement im Sinne der vorliegenden Erfindung ist insbesondere eine herkömmliche SIM/UICC- Mobilfunkkarte, eine embedded SIM/UICC, oder jedes andere Sicherheitselement, welches geeignet ist, ein Subskripti- onsprofil für eine Subskription zur Nutzung eines Mobilfunknetzwerkes in gesicherter Weise zu speichern.

In einem zweiten Schritt S2 wird ein Subskriptionsprofil zu einer einem Mobilfunknetzwerk zugeordneten Subskription bereitgestellt. Ein solches Subskriptionsprofil definiert Bedingungen (Art, Umfang, Kosten, etc.) einer Nutzung von Diensten, welche durch ein der Subskription zugeordnetes Mobilfunknetzwerk bereitgestellt werden.

In Schritt S3 wird nun das Subskriptionsprofil spezifiziert. Auf diese Weise kann ein Zugriff des Subskriptionsprofils bzw. innerhalb des Subskriptionsprofils ausführbarer Applikationen auf ausgewählte Funktionalitäten des Sicherheitselements beschränkt werden.

Gemäß einer bevorzugten Variante erfolgt die Spezifikation des Subskriptionsprofils dadurch, dass zu dem Subskriptionsprofil Metadaten erzeugt werden, beispielsweise Header-Informationen, welche dem Subskriptionsprofil vorangestellt werden.

Nachfolgend wird exemplarisch eine mögliche Codierung eines derart spezifizierten Subskriptionsprofils in Form einer XML-Datei angegeben. Das eigentliche, ursprüngliche Subskriptionsprofil ist dabei lediglich knapp, in den letzten drei Zeilen („profile data"), angedeutet. Der in dem Beispiel angegebene„ProfileHeader" entspricht den vorstehend beschriebenen Metadaten.

<?ProfilePackageVersion = „1.0"?>

<Profi1eHeader MAC= "AABBCCDDEEFFO01122334455 ">

<AllowedAPIs

<Aid Name=" javacard. framework" Value=" A0 00 00 00 62 01 01"></Aid> //All APIs available <Aid Name=" javacard. security" Value=" AO 00 00 00 62 02 01"> <SubFunctionality Name="DES"/> //DES ciphering allowed <SubFunctionality Name="RSA"/> //RSA ciphering allowed

//AES and ECC forbidden

</Aid>

<Aid Name="org.globalplatform" Value=" A0 00 00 01 51

00"></Aid> //All APIs available

</ AllowedAPIs>

</ ProfileHeader>

<ProfileData>

//Ciphered and MACed profile data

</ProfileData>

Dem vorstehend gezeigten Beispiel kann beispielsweise entnommen werden, dass für das Subskriptionsprofil Prograrrtmierschrtittstellen des Sicherheitselements positiv angegeben werden, auf welche das Subskriptionsprofil zugreifen kann. Dies sind im gezeigten Beispiel sämtliche APIs des„ja- vacard.framework". Weiterhin sind einzelne Funktionalitäten aus dem Bereich„javacard.security" zugreifbar (z.B. Ver- und Entschlüsselung mittels RSA und DES), andere daraus sind nicht zugreifbar (z.B. Ver- und Entschlüsselung mittels AES und ECC).

Es versteht sich, dass das angegebene Beispiel lediglich exemplarisch zu verstehen ist und eine Implementation eines Header-Datensatzes auf andere Weise erfolgen kann.

Allgemein betreffen diejenigen Funktionalitäten, auf die ein Subskriptionsprofil zugreifen kann, und welche subskriptionsprof ilspezifisch gemäß der vorliegenden Erfindung bezeichnet und dadurch beschränkt werden, solche Funktionalitäten, die durch ein Subskriptionsprofil oder durch eine innerhalb des Subskriptionsprofils ausgeführte Applikation als Hilfsfunktionalität auf gerufen werden können, wie beispielsweise kryptographische Funktionalitäten. Funktionalitäten des Sicherheitselements hingegen, welche auf eine Änderung des Sicherheitselements selbst oder auf eine Änderung der Funktionalität des Sicherheitselements gerichtet sind, sollen von der vorliegenden Erfindung in der Regel nicht umfasst sein.

In Schritt S4 kann dann ein derart spezifiziertes Subskriptionsprofil, d.h. insbesondere zusammen mit den zu dem Subskriptionsprofil erzeugten Metadaten, in das Sicherheitselement geladen bzw. gespeichert werden.

Während das Sicherheitselement bereits bestimmungsgemäß verwendet wird, das heißt in einen mobilem Endgerät integriert verwendet wird, kann, wie mit Bezug auf Schritt S5 dargestellt, eine Anpassung des spezifizierten Subskriptionsprofils in dem Sicherheitselement erfolgen. Dadurch kann ein Zugriff eines Subskriptionsprofils auf Funktionalitäten des Sicherheitselements nachträglich verändert werden. Eine solche Veränderung kann zum einen eine Erweiterung des Zugriffs, zum anderen eine weitere Beschränkung des Zugriffs bedeuten.