Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
METHOD FOR SECURE MANAGEMENT OF SUBSCRIBER IDENTITY DATA
Document Type and Number:
WIPO Patent Application WO/2014/063775
Kind Code:
A1
Abstract:
The invention relates to a method for secure management of subscriber identity data (73) in a subscriber identity data system including a subscriber identity data generator (2) and a subscriber identity data manager (4), wherein the subscriber identity data manager (4) can manage subscriber identity data (73) in a plurality of subscriber identity modules (7) via a mobile radio system (5). The method comprises the steps: cryptographic encryption of subscriber identity data (73); storage (B) of the encrypted subscriber identity data (73) in a database (41) for subscriber identity data; re-encryption (D) of the subscriber identity data (1) by means of a hardware security module (3); and provision (F) of the re-encrypted subscriber identity data (73). The invention further relates to a system for secure management of subscriber identity data (73).

Inventors:
RUDOLPH JENS (DE)
GERSTENBERGER VOLKER (DE)
HARTEL KARL EGLOF (DE)
HUBER ULRICH (DE)
LUYKEN JOHANNES (DE)
MORAWIETZ ANDREAS (DE)
Application Number:
PCT/EP2013/002933
Publication Date:
May 01, 2014
Filing Date:
September 30, 2013
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
GIESECKE & DEVRIENT GMBH (DE)
International Classes:
H04L9/00; H04W12/00
Foreign References:
US20120260090A12012-10-11
US20110131421A12011-06-02
US20120108204A12012-05-03
Download PDF:
Claims:
P a t e n t a n s p r ü c h e

1. Verfahren zum sicheren Verwalten von Teilnehmeridentitätsdaten (73) in einem Teilnehmeridentitätsdatensystem, beinhaltend einen Teilnehmeri- dentitätsdatengenerator (2) und eine Teilnehmeridentitätsdatenverwaltung (4), wobei die Teilnehmeridentitätsdatenverwaltung (4) über ein Mobilfunksystem (5) Teilnehmeridentitätsdaten (73) in einer Vielzahl von Teilnehmeri- dentitätsmodulen (7) verwalten kann, mit den Verfahrensschritten:

Kryptografisches Verschlüsseln von Teilnehmeridentitätsdaten (73) mittels eines Speicherschlüssels (32) durch ein Hardware-Sicherheitsmodul (3);

Ablegen (B) der verschlüsselten Teilnehmeridentitätsdaten (73) in einer Teilnehmeridentitätsdaten-Datenbank (41) innerhalb der Teilnehmeridenti- tätsdatenverwaltung (4);

Umverschlüsseln (D) der Teilnehmeridentitätsdaten (73) durch das Hardware-Sicherheitsmodul (3) auf Anfrage des Mobilfunksystems (5), wobei das Umverschlüsseln (D) das kryptografische Entschlüsseln der Teilnehmeridentitätsdaten (73) mit dem Speicherschlüssel (32) und das kryptograf i- sehe Verschlüsseln der Teilnehmeridentitätsdaten (73) mit einem Teilnehme- ridentitätsmodulschlüssel (31') beinhaltet; und

Bereitstellen (F) der umverschlüsselten Teilnehmeridentitätsdaten (73) zum Versenden an ein individuelles Teilnehmeridentitätsmodul (7). 2. Verfahren nach Anspruch 1, wobei der Teilnehmeridentitätsmodul- schlüssel (31') im Hardware-Sicherheitsmodul (3) aus einem Hauptschlüssel (31) abgeleitet wird und zur Ableitung eine teilnehmeridentitätsmodulindi- viduelle ID (74) verwendet wird und wobei das individuelle Teilnehmeridentitätsmodul (7) die bereitgestellten umverschlüsselten Teilnehmeridenti- tätsdaten (73) mittels des abgeleiteten Teilnehmeridentitätsmodulschlüssels (31') kryptografisch entschlüsselt.

3. Verfahren nach Anspruch 1 oder 2, wobei die Teilnehmeridentitätsdaten (73) im Teilnehmeridentitätsdatengenerator (2) generiert werden und nach dem Schritt des kryptograf ischen Verschlüsseins mittels des Speicherschlüssels (32) sowie nach dem Schritt des Umverschlüsselns (D) über einen ersten gesicherten Kanal (8), insbesondere einen VPN-Kanal, an die Teilnehmeri- dentitätsdatenverwaltung (4) übermittelt werden.

4. Verfahren nach einem der vorhergehenden Ansprüche, wobei für den Schritt des Bereitstellens (F) der Teilnehmeridentitätsdaten (73) an das individuelle Teilnehmeridentitätsmodul (7) ein zweiter gesicherter Kanal (9), insbesondere eine OTA- Verschlüsselung, verwendet wird.

5. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Speicherschlüssel (32) und/ oder der Hauptschlüssel (31) ausschließlich dem Hardware-Sicherheitsmodul (3) und einem Mobilfunkbetreiber des Mobilfunksystems (5) bekannt ist.

6. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Teilnehmeridentitätsverwaltung (4) eine Teilnehmeridentitätsdatenplattform (43) aufweist, durch welche die Teilnehmeridentitätsdaten (73) dem individuellen Teilnehmeridentitätsmodul (7) bereitgestellt (F) werden.

7. Verfahren nach einem der vorhergehenden Ansprüche, wobei dem Hardware-Sicherheitsmodul (3) für die Umverschlüsselung (D) eine Spei- cherschlüssel-ID (320) und eine Hauptschlüssel-ID (310) von der Teilnehme- ridentitätsdatenverwaltung (4) bereitgestellt werden.

8. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Hardware-Sicherheitsmodul (3) eine Vielzahl von Hauptschlüsseln (31) und/ oder Speicherschlüsseln (32) aufweist, wobei die Hauptschlüssel (31) und/ oder Speicherschlüssel (32) hierarchisch strukturiert sind.

9. Verfahren nach Anspruch 8, wobei die Hauptschlüssel (31) und/ oder die Speicherschlüssel (32) nach vorgegebenen Parametern gruppiert sind.

10. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Teil- nehmeridentitätsdatensystem zwei Hardware-Sicherheitsmodule (3, 3') aufweist, wobei das erste Hardware-Sicherheitsmodul (3) die Teilnehmeridentitätsdaten (73) mittels des Speicherschlüssels (32) verschlüsselt und wobei das zweite Hardware-Sicherheitsmodul (31) die verschlüsselten Teilnehmeridentitätsdaten (73) mittels des Speicherschlüssels (32) entschlüsselt und mittels des Teilnehmeridentitätsmodulschlüssels (31') verschlüsselt.

11. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Teil- nehmeridentitätsmodulschlüssel (31') ein Schlüsselset bestehend aus einem Teilnehmeridentitätsdatenverwaltungsschlüssel und einem Teilnehmeriden- titätsdatenverifikationsschlüssel ist.

12. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Mobilfunksystem (5) aus zumindest einem ersten Mobilfunknetz (52) und einem zweiten Mobilfunknetz (53) besteht, wobei die Teilnehrneridentitätsdaten- plattform (43) mittels eines Gateways (51) die Teilnehmeridentitätsdaten (73) bereitstellt.

13. System zum sicheren Verwalten von Teilnehmeridentitätsdaten (73) bestehend aus:

einer Teilnehmeridentitätsdatenver waltung (4) mit einer Teilnehmeridentitätsdaten-Datenbank (43), beinhaltend Teilnehmeridentitätsdaten (73) in verschlüsselter Form;

einem Hardware-Sicherheitsmodul (3) zum Verschlüsseln und Umverschlüsseln (D) von Teilnehmeridentitätsdaten (73);

einem Teilnehmeridentitätsdatengenerator (2) zum Generieren von Teilnehmeridentitätsdaten (73); und

- einer Teilnehmeridentitätsplattform (43) zum Bereitstellen der umverschlüsselten Teilnehmeridentitätsdaten (73) an ein individuelles Teilnehmeridentitätsmodul (7) auf Anfrage des Mobilfunksystems (5).

14. System nach Anspruch 13 zur Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche 1 bis 12.

15. Hardware-Sicherheitsmodul (3) zum Verschlüsseln, Entschlüsseln und Umverschlüsseln (D) von Teilnehmeridentitätsdaten (73), aufweisend eine Vielzahl von Speicherschlüsseln (32) und/ oder Hauptschlüsseln (31), wobei diese Schlüssel (31, 32) hierarchisch strukturiert sind und mittels Schlüssel- IDs (310, 320) eindeutig referenziert sind.

Description:
Verfahren zum sicheren Verwalten von Teilnehmeridentitätsdaten Die Erfindung betrifft ein Verfahren zum sicheren Verwalten von Teilnehmeridentitätsdaten in einem Teilnehmeridentitätsdatensystem sowie ein System zum sicheren Verwalten der Teilnehmeridentitätsdaten.

Teilnehmeridentitätsdaten dienen dazu, einen Teilnehmer in einem Kom- munikationsnetzwerk, beispielsweise einem digitalen Mobilfunknetzwerk, eindeutig zu identifizieren und/ oder zu authentisieren. Durch diese Teilnehmeridentitätsdaten ist es einem Betreiber eines Kommunikationsnetzwerks möglich, die Nutzung eines vom Netzbetreiber angebotenen Dienstes, beispielsweise eines Sprach- und/ oder Datendienstes, jedem Teilnehmer in dem Kommunikationsnetzwerk eindeutig zuzuordnen. Weiterhin ist es dem Betreiber möglich, einen Netzzugang, also das Einbuchen in das Kommunikationsnetz, zu ermöglichen, sobald eine Authentisierung des Teilnehmers stattgefunden hat, oder den Netzzugang zu verweigern, falls eine Authentisierung des Teilnehmers nicht möglich ist.

Üblicherweise wird jedes Endgerät mit einem derartigen Teilnehmeridentitätsmodul ausgestattet, um Dienste des Kommunikationsnetzwerkes nutzen zu können. Bei einem Endgerät handelt es sich prinzipiell um ein Gerät oder eine Gerätekomponente, welches Mittel zur Kommunikation mit dem Kom- munikationsnetzwerk aufweist, um Dienste des Kommunikationsnetzes nutzen zu können. Beispielsweise kann ein mobiles Endgerät ein Smart Phone, ein Tablet-PC, ein Notebook oder ein PDA sein. Unter einem mobilen Endgerät können auch Multimediaendgeräte wie digitale Bilderrahmen, Audiogeräte, Fernsehgeräte, E-Book-Reader verstanden werden, die ebenfalls Mit- tel zur Kommunikation mit dem Kommunikationsnetzwerk aufweisen. Fer- ner kann der Begriff mobile Endgeräte auch jegliche Arten von Maschinen, Automaten, Fahrzeuge und Einrichtungen umfassen, die Mittel, insbesondere Mobilfunkmodems, zur Kommunikation mit dem Kommunikationsnetzwerk aufweisen.

Das Einbringen von Teilnehmeridentitätsdaten in ein Teilnehmeridentitätsmodul, auch als Subscriber Identity Modul (SIM) bezeichnet, erfolgt bislang während des Schritt des Personalisierens innerhalb einer gesicherten Umgebung, beispielsweise in einem nach der GSMA-SAS spezifizierten Herstel- lungsumgebung, wobei das Akronym SAS für Security Accreditation Scheme steht.

Mit der weitergehenden Entwicklung von Teilnehmeridentitätsmodulen ist angedacht, das Verwalten der Teilnehmeridentitätsdaten weiter zu flexibili- sieren. Dazu wird angestrebt, die Verwaltung durch eine Instanz in einem Kommunikationssystem, einer sogenannten Teilnehmeridentitätsdatenver- waltung, auch Subskription-Manager, durchführen zu lassen. Mittels dieser Teilnehmeridentitätsdatenverwaltung soll es ermöglicht werden, Teilnehmeridentitätsdaten in ein spezielles Teilnehmeridentitätsmodul zu laden, nach dem Laden zu aktivieren, zu verwenden, zu deaktivieren und nach der De- aktivierung ggf. zu löschen. Dazu sind insbesondere Over-The-Air Kommandos vorgesehen, alternativ können Push-PuU Server-Mechanismen oder eine Internet-Protokoll basierte Variante angewendet werden. Somit soll es zukünftig einem Teilnehmer ermöglicht werden, ohne Wechsel des Teilnehmeridentitätsmoduls einen anderen Kommunikationsnetzanbieter auszuwählen. Problematisch ist insbesondere das Generieren neuer Teilnehmeridentitätsdaten und das sichere Transportieren dieser generierten Teilnehmeridentitätsdaten in die Teilnehmeridentitätsdatenverwaltung und auch in das Teilnehmeridentitätsmodul. Speziell bei der zukünftigen Generation von Teilnehmeridentitätsmodulen als integraler, fest verdrahteter Bestandteil des Endgeräts ist es notwendig, derartige Verwaltungen der Teilnehmeridentitätsmodule zu verwenden.

Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren und ein System zu entwickeln, mit welchen Teilnehmeridentitätsdaten flexibel und sicher verwaltet werden. Dabei ist sicherzustellen, dass die Daten nicht korrumpiert werden können, allerdings trotzdem auf einfache Weise zu dem speziellen Teilnehmeridentitätsmodul übertragen werden können.

Die Aufgabe der Erfindung wird durch die in den nebengeordneten unabhängigen Patentansprüchen beschriebenen Maßnahmen gelöst. Vorteilhafte Ausgestaltungen sind in den jeweils abhängigen Ansprüchen beschrieben.

Die Aufgabe wird insbesondere durch ein Verfahren zum sicheren Verwalten von Teilnehmeridentitätsdaten in einem Teilnehmeridentitätsdatensys- tem beinhaltend einen Teilnehmeridentitätsdatengenerator und eine Teil- nehmeridentitätsdatenverwaltung gelöst. Dabei kann die Teilnehmeridenti- tätsdatenverwaltung über ein Mobilfunksystem Teilnehmeridentitätsdaten in einer Vielzahl von Teilnehmeridentitätsmodulen verwalten. Das Verfahren umfasst die Verfahrensschritte: Kryptografisches Verschlüsseln von Teilnehmeridentitätsdaten mittels eines Speicherschlüssels durch ein Hardware- Sicherheitsmodul; Ablegen der verschlüsselten Teilnehmeridentitätsdaten in einer Teilnehmeridentitätsdaten-Datenbank innerhalb der Teilnehmeridenti- tätsdatenverwaltung; Umverschlüsseln der Teilnehmeridentitätsdaten durch das Hardware-Sicherheitsmodul auf Anfrage des Mobilfunksystems, wobei das Umverschlüsseln das kryptografische Entschlüsseln der Teilnehmeridentitätsdaten mit dem Speicherschlüssel und das kryptografische Verschlüsseln der Teilnehmeridentitätsdaten mit einem Teilnehmeridentitätsmodulschlüs- sel beinhaltet; und Bereitstellen der umverschlüsselten Teilnehmeridentitätsdaten zum Versenden an ein individuelles Teilnehmeridentitätsmodul. Bei einem Teilnehmeridentitätsmodul im Sinne der Erfindung handelt es sich um eine in Baugröße und Ressourcenumf ang reduzierte Computereinheit, welche einen Mikrocontroller und mindestens eine Datenschnittstelle zur Kommunikation mit einem Endgerät aufweist. Dieses Teilnehmeridentitätsmodul weist einen sicheren Speicherbereich auf, in dem die Teilnehmeri- dentitätsdaten sicher eingebracht sind, um Manipulations- und/ oder Missbrauchsversuche bei der Identifizierung und/ oder Authentisierung am Netzwerk zu verhindern. Das Teilnehmeridentitätsmodul ist mittels des Endgeräts betriebsfähig. Bei dem Teilnehmeridentitätsmodul kann es sich beispielsweise um eine Chipkarte, auch Universal Integrated Circuit Card (UICC) oder SIM-Karte, in einem mobilen Funknetz mit auf einem Chip gespeicherten maschinenlesbaren Teilnehmeridentifikationsdaten des Teilnehmers handeln. Derartige Teilnehmeridentifikationsmodule werden mittels Kartenieseeinheiten in ei- nem Endgerät betrieben und sind insbesondere dafür vorgesehen, aus dem Endgerät zum Zweck eines Austausche oder der Verwendung in einem zweiten Endgerät entnommen werden zu können.

Alternativ handelt es sich bei dem Teilnehmeridentitätsmodul um einen in- tegralen Bestandteil des Endgeräts, beispielsweise einen fest verdrahteten elektronischen Baustein. Derartige Teilnehmeridentitätsmodule werden auch als embedded UICC (eUICC) bezeichnet. In dieser Bauform sind diese Teilnehmeridentitätsmodule nicht für eine Entnahme aus dem Endgerät vorgesehen und können prinzipiell nicht einfach ausgetauscht werden. Derartige Teilnehmeridentitätsmodule können auch als embedded Secure Elements, also als eine sichere Hardwarekomponente im Endgerät ausgestaltet sein.

Alternativ handelt es sich bei dem Teilnehmeridentitätsmodul um ein Ma- chine-to-Machine-, kurz M2M-Modul. Diese Module dienen der Fernüberwachung, -kontrolle und -Wartung von Endgeräten wie Maschinen, Anlagen und Systemen. Sie können alternativ auch für Zähleinheiten wie Stromzähler, Warmwasserzähler verwendet werden. Alternativ ist das Teilnehmeridentitätsmodul als eine Softwarekomponente in einem vertrauenswürdigen Teil eines Betriebssystems, einer sogenannten Trusted Execution Environment (TEE) des Endgerätes ausgebildet. Das Teilnehmeridentitätsmodul ist dann beispielsweise innerhalb einer gesicherten Laufzeitumgebung in Form von darin ablaufenden Programmen, sogenann- ten Trustlets ausgebildet.

Unter einem individuellem Teilnehmeridentitätsmodul wird hier ein aus der Vielzahl von - durch die Teilnehmeridentitätsverwaltung - verwalteten Teilnehmeridentitätsmodulen ausgewähltes Modul verstanden, welches per Anfrage von dem Mobilfunksystem die Teilnehmeridentitätsdaten bereitgestellt bekommen soll.

Teilnehmeridentitätsdaten im Sinn der Erfindung sind zum einen Daten, die einen Teilnehmer eindeutig im Kommunikationsnetz identifizieren, bei- spielsweise eine International Mobile Subscriber Identity (IMSI) und/ oder teilnehmerspezifische Daten. Die IMSI ist das in einem Mobilfunkkommuni- kationsnetzwerk eindeutige Teilnehmeridentitätsdatum. Sie setzt sich zusammen aus dem Landescode MCC (Mobile Country Code), dem Netzwerk- code MNC (Mobile Network Code) und einer fortlaufenden Nummer, die vom Netzbetreiber vergeben wird.

Darüber hinaus sind Teilnehmeridentitätsdaten vorzugsweise Daten, die einen Teilnehmer eindeutig am Kommunikationsnetz authentisieren, beispielsweise ein Authentisierungsalgorithmus, spezifische Algorithmuspara- meter, ein kryptografischer Au hentisierungsschlüssel und/ oder ein krypto- grafischer Over-The-Air (OTA) Schlüssel. Die Anzahl der Sätze von Teilnehmeridentitätsdaten auf dem Teilnehmeridentitätsmodul ist nicht beschränkt. Es ist vorstellbar, dass in Zukunft auf einem Teilnehmeridentitätsmodul dreißig oder mehr Sätze von Teilnehmeridentitätsdaten untergebracht werden können. Ein Teilnehmer im Sinn der Erfindung ist beispielsweise eine Person, die mittels des Endgeräts auf Dienste des Kommunikationsnetzes zugreifen möchte. Als ein Teilnehmer ist auch ein Endgerät in einer M2M-Umgebung zu verstehen. Ein Mobilfunksystem im Sinne der Erfindung umf asst zumindest ein Mobil- funkkommunikationsnetz, wobei das Mobilfunksystem bevorzugt eine Mehrzahl unterschiedlicher, insbesondere sich durch Authentisierung, Codierung, Frequenz, Zellgröße, Übertragungstechniken und Dienstangebot unterscheidende Mobilfunkkommunikationsnetze aufweist. Das Mobilfunk- System weist darüber hinaus noch weitere Systemkomponenten auf, die wiederum nicht Teil der Mobilfunkkommunikationsnetze sind, allerdings auf einzelne Komponenten jedes Mobilfunkkornmunikationsnetzes zugreifen können. Diese Komponenten sind unter anderem der Teilnehmeridenti- tätsdatengenerator und die Teilnehmeridentitätsdatenverwaltung. Ein Kornmunikationsnetzwerk im Sinn der Erfindung ist eine technische Einrichtung, auf der die Übertragung von Signalen unter Identifizierung und/ oder Authentisierung des Kommunikationsteilnehmers stattfindet, wodurch Dienste angeboten werden. Das Kommunikationsnetz ist bevorzugt aus Mobilfunkzellen aufgebaut. Insbesondere wird in dieser Erfindung unter einem Mobilfunknetz das„Global System for Mobile Communications", kurz GSM als Vertreter der zweiten Generation, oder das„General Packet Radio Service", kurz GPRS bzw.„Universal Mobile Telecommunica- tions System", kurz UMTS als Vertreter der dritten Generation oder das

„Long Term Evolution", kurz LTE, als Vertreter der vierten Generation verstanden.

Ein Dienst im Sinn der Erfindung ist insbesondere ein Sprachdienst oder ein Datendienst, mit dem Informationen und/ oder Daten über das Kommunikationsnetzwerk übertragen werden.

Der Teilnehmeridentitätsdatengenerator ist eine Instanz des Mobilfunksystems welches in der Lage ist, neue Teilnehmeridentitätsdaten zu generieren, die einem späteren Teilnehmer an dem Mobilfunksystem ermöglichen, sich zur Nutzung von Diensten im Mobilfunksystem zu identifizieren und/ oder authentisieren.

Ein Hardware-Sicherheitsmodul, kurz HSM (dem Fachmann auch als Hard- wäre Security Module bekannt), im Sinn der Erfindung ist eine Vorrichtung für die sichere Verwaltung von Daten und die effiziente und sichere Ausführung kryptographischer Operationen. Somit ermöglicht es das HSM, die Vertrauenswürdigkeit und die Integrität der Teilnehmeridentitätsdaten und der damit verbundenen Informationen in sicherheitskritischen IT-Systemen si- cherzustellen. Um die Vertrauenswürdigkeit zu gewährleisten, müssen die zum Einsatz kommenden kryptographischen Schlüssel sowohl softwaretechnisch als auch gegen physikalische Angriffe oder Seitenkanalangriffe geschützt werden. In einem HSM können verschiedene kryptographische Algorithmen implementiert sein, beispielsweise asymmetrische Verschlüsselungssysteme wie RSA (Verschlüsselung oder Signatur), ECDSA, Diffie- Hellman-Schlüsselaustausch oder Elliptic Curve Cryptography. Alternativ oder zusätzlich kann im HSM auch symmetrische Ver- und Entschlüsselung, insbesondere AES, DES, Triple-DES, IDEA implementiert sein. Alternativ können auch kryptologische Hash-Funktionen, wie SHA-1, SHA-2 implementiert sein. Auch das Erzeugen von Zufallszahlen, Schlüsseln und PINs kann durch ein HSM realisiert werden. HSMs bieten meist umfangreiche Funktionen zum sicheren Verwalten von Daten und kryptograf ischen Schlüsseln. In der Regel werden HSM nach Sicherheitsstandards zertifiziert, wie z. B. FIPS 140-1 und 140-2, DK oder Common Criteria.

Unter einem kryptograf ischen Verschlüsseln wird der Vorgang verstanden, bei dem eine Klarinformation mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine„unleserliche", das heißt nicht einfach interpretierba- re Zeichenfolge (Geheimtext) umgesetzt wird. Als entscheidend wichtige Parameter der Verschlüsselung werden hierbei ein oder auch mehrere Schlüssel verwendet.

Durch das erfindungsgemäße - mit einem Speicherschlüssel verschlüsselte - Ablegen der Teilnehmeridentitätsdaten wird erreicht, dass die Teilnehmeridentitätsdaten zu jedem Zeitpunkt kryptografisch gesichert abgelegt sind. Eine Manipulation oder Korrumpierung der Teilnehmeridentitätsdatenver- waltung zum Erhalt der zu diesem Zeitpunkt bereits gültigen Teilnehmeridentitätsdaten aus der Teilnehmeridentitätsdaten-Datenbank ist somit nicht möglich, da ohne eine Entschlüsselung die Daten nur verschlüsselt vorliegen und nicht verwendet werden können.

Durch das erfindungsgemäße Umverschlüsseln ist sichergestellt, dass eine sichere Umgebung geschaffen wird, um die Daten für das individuelle Teilnehmeridentitätsmodul aufzubereiten.

Alle Verschlüsselungs- und Umverschlüsselungsschritte werden durch ein HSM durchgeführt, wodurch sichergestellt ist, dass die Teilnehmeridentitätsdaten zu jedem Zeitpunkt kryptografisch gesichert sind und nur in spe- ziell gesicherten Umgebungen entschlüsselt werden können.

In einer bevorzugten Ausgestaltung wird der Teilnehmeridentitätsmodul- schlüssel im Hardware-Sicherheitsmodul von einem Hauptschlüssel abgeleitet. Zur Ableitung wird eine teilnehmeridentitätsmodulindividuelle ID ver- wendet, wobei das individuelle Teilnehmeridentitätsmodul die bereitgestellten umverschlüsselten Teilnehmeridentitätsdaten mittels des abgeleiteten Teilnehmeridentitätsmodulschlüssels kryptografisch entschlüsselt. Diese teilnehmeridentitätsmodulindividuelle ID wird bei Herstellung des Teilnehmeridentitätsmoduls in einen Speicherbereich des Teilnehmeridentitäts- moduls abgelegt, was im Allgemeinen als (Vor-) Personalisierung bezeichnet wird. Diese Personalisierung kann entweder beim Chiphersteller selbst oder beim Herausgeber der Teilnehmeridentitätsmodule erfolgen. Auf diese Weise ist eine Individualisierung der Schlüssel erreicht. Diese ID ist insbesondere die Chip ID. Diese Chip ID ist dem HSM zum

Zeitpunkt der Ableitung bekannt und wird zur Generierung des Teilnehme- ridentitätsmodulschlüssels verwendet. Dieser abgeleitete Schlüssel ist auch dem individuellen Teilnehmeridentitätsmodul bekannt und wurde beispielsweise im Rahmen einer Personalisierung in das Modul eingebracht. Somit können die Teilnehmeridentitätsdaten nach dem Laden in das Modul auch entschlüsselt werden.

Bevorzugt werden die Teilnehmeridentitätsdaten im Teilnehmeridentitäts- datengenerator generiert. Weiterhin werden diese nach dem Schritt des kryptograf ischen Verschlüsseins mittels des Speicherschlüssels sowie nach dem Schritt des Umverschlüsselns über einen ersten gesicherten Kanal, insbesondere einen VPN-Kanal, an die Teilnehmeridentitätsdatenverwaltung übermittelt. Auf diese Weise können Datengenerator und Datenverwaltung separiert werden und müssen sich nicht zwangsläufig an einem Ort befinden. Damit kann zur Generierung der Teilnehmeridentitätsdaten weiterhin eine GSMA-SAS zertifizierte Umgebung verwendet werden. Ein weiterer Vorteil ist, dass eine Mehrzahl von Datengeneratoren verwendet werden kann. Die generierten Daten können dann mittels des HSMs verschlüsselt werden und per VPN-Kanal sicher an die Datenverwaltung übermittelt werden. Durch den VPN-Kanal wird demnach eine weitere Sicherheitsstufe eingebaut, um die Daten sicher zu transportieren.

In einer bevorzugten Ausgestaltung wird für den Schritt des Bereitstellens der Teilnehmeridentitätsdaten an das individuelle Teilnehmeridentitätsmodul ein zweiter gesicherter Kanal, insbesondere eine OTA- Verschlüsselung, verwendet. Dabei wird eine OTA- Verschlüsselung von auf dem Sicherheitsmodul zum Zeitpunkt des Ladens aktiven Teilnehmeridentitätsdaten verwendet. Die OTA- Verschlüsselung ist der erfindungsgemäßen Datenverwal- tung zum Zeitpunkt des Bereitstellens bekannt.

In einer bevorzugten Ausgestaltung ist der Speicherschlüssel ausschließlich dem Hardware-Sicherheitsmodul und einem Mobilfunkbetreiber des Mobilfunksystems bekannt. Durch diese vorteilhafte Ausgestaltung wird der Zu- griff auf die Teilnehmeridentitätsdaten auf den beauftragenden Mobilf unk- kommunikationsnetzbetreiber und das HSM selbst beschränkt. Somit hat der Betreiber der Datengenerierung und Datenverwaltung keinen Einfluss auf die Verschlüsselung der Teilnehmeridentitätsdaten.

In einer vorteilhaften Ausgestaltung weist die Teilnehmeridentitätsverwaltung eine Teimehmeridentitätsdatenplattform auf, durch welche die Teilnehmeridentitätsdaten dem individuellen Teilnehmeridentitätsmodul bereitgestellt werden. Diese Plattform ermöglicht eine standardisierte Bereit- Stellung von Teilnehmeridentitätsdaten, die an unterschiedlich strukturierte Mobilfunknetze, Teilnehmeridentitätsmodule bzw. Übertragungsmethoden angepasst ist. Auf diese Weise können unterschiedliche Datengeneratoren, Mobilfunkbetreiber, Modulhersteller und/ oder Modulbetreiber mit der Plattform auf Basis eines einheitlichen Standards kommunizieren und die Teilnehmeridentitätsdaten austauschen.

In einer bevorzugten Ausgestaltung besteht das Mobilfunksystem aus zumindest einem ersten Mobilfunknetz und einem zweiten Mobilfunknetz, wobei die Teilnehmeridentitätsdatenplattf orm mittels eines Gateways die Teilnehmeridentitätsdaten bereitstellt. Dadurch ist eine Mobilfunkbetreiberunabhängigkeit erzielt.

In einer vorteilhaften Ausgestaltung wird dem HSM für die Umverschlüsse- lung eine Speicherschlüssel-ID und eine Hauptschlüssel-ID bzw. Master- schlüssel-ID von der Teilnehmeridentitätsdatenverwaltung bereitgestellt. Somit ist das HSM einerseits in der Lage, aus einer Vielzahl von Speicherschlüsseln den entsprechenden Speicherschlüssel zum Entschlüsseln der mit dem Speicherschlüssel verschlüsselten Teilnehmeridentitätsdaten auszuwählen. Andererseits ist das HSM dadurch in der Lage, auf Basis der Master- schlüssel-ID einen teilnehmerindividuellen Schlüssel abzuleiten und die Teilnehmeridentitätsdaten damit zu verschlüsseln. Die jeweiligen Schlüssel IDs sind mit den verschlüsselten Teilnehmeridentitätsdaten in der Datenbank abgelegt und werden dem HSM automatisch beim Verschlüsseln und Umverschlüsseln bereitgestellt.

Insbesondere weist das HSM eine Vielzahl von Hauptschlüsseln und/ oder Speicherschlüsseln auf, wobei die Hauptschlüssel und/ oder Speicherschlüssel hierarchisch strukturiert sind. Dies ermöglicht eine leichtere Verwaltung der Schlüssel im HSM, insbesondere auch das Löschen von Schlüsseln auf Wunsch des Mobilfunkbetreibers. Durch die Strukturierung der Schlüssel im HSM ist es möglich, ein gesamtes Bündel - ein sogenanntes Batch - von Schlüsseln, die zu einem bestimmten Mobilfunknetzbetreiber, einer Anwendung und/ oder einem bestimmten Projekt gehören, auf einfache Weise zu löschen. Durch das Löschen dieser Schlüssel ist auch der Zugriff auf die mit diesen Schlüsseln verschlüsselten Teilnehmeridentitätsdaten blockiert. Zusätzlich ist durch das Strukturieren der Schlüssel eine Protokollierung ermöglicht, um dem Schlüsselbereitsteller nachweisen zu können, dass die Schlüssel aus dem HSM gelöscht sind.

Im Hinblick auf erweiterte Funktionalitäten der Teilnehmeridentitätsmodule, insbesondere der Teilnehmeridentitätsverwaltung und dem mobilen Bezahlen können somit vielschichtige und vielzählige Schlüsselhierarchien aufgebaut werden. Für jede Hierarchiestufe wird ein eigener Schlüssel gene- riert und im HSM verwaltet.

Bei einer derartigen Ablage / Organisation der Schlüssel und Verschlüsselung der Teilnehmeridentitätsdaten ist es dem Datenverwalter nun möglich gezielt auf Wunsch des Kunden den Zugriff auf einzelne Projekte dauerhaft zu unterbinden. Dies geschieht durch das Löschen des entsprechend hierarchisch angeordneten Schlüssels. Neben dem unterbundenen Zugriff ist in diesem Setup die Beweisbarkeit gewährleistet. Die Hierarchiestufen können anhand von Mobilfunkbetreiber, Zeiträumen, Projekten und/ oder Applikationen gruppiert sein, um nur einige Parameter zum Gruppieren und hierarchischen Anordnen der Schlüssel zu nennen.

In einer bevorzugten Ausgestaltung weist das Teilnehrneridentitätsdatensys- tem zwei Hardware-Sicherheitsmodule auf, wobei das erste Hardware- Sicherheitsmodul die Teilnehmeridentitätsdaten mittels des kryptografi- schen Speicherschlüssels verschlüsselt und wobei das zweite Hardware- Sicherheitsmodul die verschlüsselten Teilnehmeridentitätsdaten mittels des Speicherschlüssels entschlüsselt und mittels des Teilnehmeridentitätsmodul- schlüsseis verschlüsselt. Diese Aufteilung in zwei HSMs hat zwei Vorteile. Der erste Vorteil ist die Erhöhung der Sicherheit durch eine Verteilung der für das Verfahren benötigten Schlüssel auf zwei unterschiedliche und unabhängige Instanzen. Der zweite Vorteil ist die Erhöhung der Flexibilität, denn der Datengenerator verwendet das erste HSM zum Erzeugen der verschlüs- selten Teilnehmeridentitäten. Hierbei wird vorzugsweise wieder die Zertifizierung gemäß GSMA-SAS eingehalten. Das zweite HSM ist logisch dem Datenverwalter zugeordnet und kann bei dieser Ausgestaltung auch Teil des Datenverwalters sein. In einer bevorzugten Ausgestaltung ist der Teilnehmeridentitätsmodul- schlüssel ein Schlüsselset bestehend aus einem Teilnehmeridentitätsdaten- verwaltungsschlüssel und einem Teilnehmeridentitätsdatenverif ikations- schlüssel. Bei der Herstellung des Teilnehmeridentitätsmoduls werden zwei einzigartige AES-Schlüssel (vorzugsweise mit einer Länge von 128 Bit oder mehr), ein Chiffrierschlüssel zur Datenverschlüsselung für die bereitgestellten Daten des Datenverwalters und ein CMAC-Schlüssel für die Überprüfung der bereitgestellten Daten individuell gestaltet. Dieses aus zwei Schlüsseln bestehende Schlüsselset wird von den Hauptschlüsseln durch die teil- nehmeridentitätsmodulindividuelle ID, kurz Chip-ID abgeleitet.

Im Erfindungsgrundgedanken ist ebenfalls ein System zum sicheren Verwalten von Teilnehmeridentitätsdaten enthalten, bestehend aus: einer Teilneh- meridentitätsdatenverwaltung mit einer Teilnehmeridentitätsdaten- Datenbank, beinhaltend Teilnehmeridentitätsdaten in verschlüsselter Form; einem Hardware-Sicherheitsmodul zum Verschlüsseln und Umverschlüsseln von Teilnehmeridentitätsdaten; einem Teilnehmeridentitätsdatengenerator zum Generieren von Teilnehmeridentitätsdaten; und einer Teilnehmeridentitätsplattform zum Bereitstellen der umverschlüsselten Teilnehmeridentitäts- daten an ein individuelles Teilnehmeridentitätsmodul auf Anfrage eines Mobilfunkbetreibers .

Weiterhin ist ein Hardware-Sicherheitsmodul zum Verschlüsseln, Entschlüsseln und Umverschlüsseln von Teilnehmeridentitätsdaten im Erfindungs- grundgedanken enthalten, aufweisend eine Vielzahl von Speicherschlüsseln und/ oder Hauptschlüsseln, wobei diese Schlüssel hierarchisch strukturiert sind und mittels Schlüssel IDs eindeutig referenziert sind.

Nachfolgend werden anhand von Figuren die Erfindung bzw. weitere Aus- führungsformen und Vorteile der Erfindung näher erläutert, wobei die Figuren lediglich Ausführungsbeispiele der Erfindung beschreiben. Gleiche Bestandteile in den Figuren werden mit gleichen Bezugszeichen versehen. Die Figuren sind nicht als maßstabsgetreu anzusehen. Es können einzelne Ele- mente der Figuren übertrieben groß bzw. übertrieben vereinfacht dargestellt sein.

Es zeigen:

Figur 1 Ein erfindungsgemäßes System zum sicheren Verwalten von

Teilnehmeridentitätsdaten

Figur 2 Eine vereinfachte Prinzipzeichnung des erfindungsgemäßen

Verfahrens

Figur 3 Ein skizzenhaftes Ablauf diagramm des erfindungsgemäßen

Verfahrens

Figur 4 Ein erfindungsgemäßes HSM für das sichere Verwalten von

Teilnehmeridentitätsdaten

Figur 5 Eine erfindungsgemäße hierarchische Strukturierung der

Schlüssel im HSM Figur 6 Ein Blockschaltbild eines Sicherheitsmoduls für das erfindungsgemäße Verfahren

Figur 1 zeigt ein erfindungsgemäßes System zum sicheren Verwalten von Teilnehmeridentitätsdaten 73. Dabei ist ein Endgerät 6 mit einem Teilnehme- ridentitätsmodul 7 ausgestattet. Der Aufbau des Teilnehmeridentitätsmoduls 7 wird anhand von Figur 6 näher erläutert. Weiterhin ist ein Mobilfunksystem 5 gezeigt, welches zumindest ein erstes Mobilfunknetz 51 und ein zweites Mobilfunknetz 52 aufweist. Zusätzlich ist ein Gateway in Form eines Short-Message-Service-Center (SMS-C) 53 im Mobilfunksystem 5 enthalten. Das SMS-C ist eine Komponente zum Senden von Nachrichten/ Kommandos zum Mobilfunkendgerät 6. Das SMS-C fungiert als ein Gateway zwischen einer TCP/IP basierten Kommunikation und den entsprechenden Mobilfunkprotokollen. Das SMS-C entkapselt die Nachricht von dem TCP/IP- Protokoll, wodurch die Nachricht zu einer klassischen Nachricht, beispielsweise OTA-SMS wird. Die Mobilfunknetze 51,52 sind dabei klassisch aufgebaut, was durch die symbolhafte Darstellung von Sendemasten und HLR angedeutet wird. Weitere Instanzen der Mobilfunknetze wurden rein aus Übersichtlichkeitsgründen nicht dargestellt. Das System 1 weist weiterhin eine Teilnehmeridentitätsdatenverwaltung 4 mit einer Teilnehmeridentitäts- datenplattform 43 und einer Teilnehmeridentitätsdaten-Datenbank 41 auf. Die Datenbank 41 ist wiederum über eine Dateninputschnittstelle 42 erreichbar. Das System 1 weist weiterhin einen Datengenerator 2 mit einem HSM 3 auf. Der Datengenerator kann weiterhin eine Datenschnittstelle 21 aufwei- sen.

Für den normalen Betrieb des Moduls 7 sei angenommen, dass in dem Modul 7 zwei Sätze von Teilnehmeridentitätsdaten geladen sind, um sich am ersten Netz 51 oder am zweiten Netz 52 zu identifizieren/ authentisieren. Dabei sind erste Teilnehmeridentitätsdaten 73 (d.h. ein erster Satz von Teilnehmeridentitätsdaten) aktiv, womit das Nutzen von Diensten am ersten Netz 51 ermöglicht ist. Nun kann der Nutzer des Endgeräts 6 (=Teilnehmer) auf die noch nicht aktiven Teilnehmeridentitätsdaten 73 wechseln, um

Dienste des zweiten Netzes 52 nutzen zu können. Das Wechseln kann prin- zipiell teilnehmerseitig, endgeräteseitig oder netzseitig initiiert werden. Zunächst müssen die inaktiven Teilnehmeridentitätsdaten 73 aktiviert werden. Ausgehend von einer netzwerkseitigen Initiierung erbittet das zweite Netzwerk 52 die Aktivierung der Teilnehmeridentitätsdaten 73 an der Datenverwaltung 4 über das Gateway 53. Mittels der Plattform 43 in Verbindung mit der Datenbank 41 wird im Datenverwalter (bzw. der Datenverwaltung) 4 der Status des individuellen Moduls 7 ermittelt und via OTA-Kommandos das Aktivieren der Teilnehmeridentitätsdaten 73 für das zweite Netzwerk 52 über einen zweiten gesicherten Kanal 9 veranlasst. Nach der Aktivierung wird durch die Plattform 43 der Wechsel der Teilnehmeridentitätsdaten 73 vom ersten Netzwerk 51 auf das zweite Netzwerk 52 veranlasst. Das Modul 7 wird aus dem HLR des ersten Netzwerks 51 ausgetragen und in das HLR des zweiten Netzwerks 52 eingetragen, wie dies durch die Pfeile angedeutet ist. Die gesamte Kommunikation zwischen den Netzwerken 51, 52 und dem Modul 7 erfolgt auf Basis von OTA-verschlüsselten Kanälen 9, so dass ein Abhören der Kommunikation unterbunden ist. Dabei werden stets die OTA- Schlüssel der aktivierten Teilnehmeridentitätsdaten 73 verwendet, da das Modul 7 nur über die aktivierten Teilnehmeridentitätsdaten 73 über das Mobilfunksystem 5 erreichbar ist. Die Status der Teilnehmeridentitätsdaten 73 wird mittels der Plattform 43 überwacht und verwaltet. Eine entsprechende Aktualisierung der Datenbank 41 erfolgt ebenfalls.

Sollen nun weitere Teilnehmeridentitätsdaten 73, d.h. ein oder mehrere weitere Sätze von Teilnehmeridentitätsdaten 73, dem Modul 7 bereitgestellt werden, beispielsweise zur Identifizierung an einem dritten - hier nicht dargestellten - Netzwerk des Mobilfunksystems 5, wird wie folgt vorgegangen: Über eine Datenschnittstelle 21 werden Teilnehmeridentitätsdaten 73 dem Datengenerator 2 übermittelt. Alternativ erzeugt der Generator 2 die Daten 73 selbst. Mittels des HSM 3 werden diese Daten 73 zunächst mit einem Speicherschlüssel Ks 32 verschlüsselt und über einen ersten sicheren Kanal 8 an den Datenverwalter übertragen. Alternativ sind die Daten 73 bereits in der Datenbank 41 enthalten. Sobald die Daten 73 dem Modul 7 bereitgestellt werden sollen, insbesondere auf Anfrage des dritten Netzes, werden die Daten 73 über den zweiten Kanal 8 an das HSM 3 übertragen, dort mit dem Speicherschlüssel 32 entschlüsselt und mit einem abgeleiteten modulindividuellen Schlüssel 31' verschlüsselt und dem Datenverwalter 4 wieder über den ersten Kanal 8 zurückübermittelt. Der abgeleitete Schlüssel 31' wird dabei aus einer teilnehmeridentitäts- modulindividuellen ID 74 und dem Hauptschlüssel 31 abgeleitet, wozu insbesondere ein DES- oder ein AES-Kryptographie- Algorithmus verwendet wird.

Die Plattform 43 erhält die umverschlüsselten Daten 73 und stellt diese über den zweiten gesicherten Kanal 9 dem Modul 7 zur Verfügung. Dort werden die Daten mittels der teilnehmeridentitätsmodulindividuellen ID 74 und dem abgeleiteten Schlüssel 31 'entschlüsselt. Dieser Vorgang wird als Laden der Teilnehmeridentitätsdaten 73 bezeichnet.

In Figur 2 ist eine Prinzipdarstellung des Verfahrens dargestellt. Der Datengenerator 2 weist das HSM 3 auf, in welchem der Speicherschlüssel Ks 32 sowie der Hauptschlüssel KM 31 sicher eingebracht sind. Die mit dem

Schlüssel 32 verschlüsselten Daten 73 werden über den ersten gesicherten Kanal 8 in die Datenbank 41 des Datenverwalters 4 übertragen. Sobald eine Anfrage des Mobilfunksystems 5, des Endgeräts 6 oder des Moduls 7 zum Datenverwalter 4 gelangt, werden die verschlüsselten Daten 73 über den ersten gesicherten Kanal 8 an das HSM 3 gesendet, dort mittels dem - aus der teilnehmeridentitätsmodulindividuellen ID 74 und dem Hauptschlüssel 31 - abgeleiteten Schlüssel 31' umverschlüsselt und über den ersten gesicherten Kanal 8 an den Datenverwalter 4 gesendet. Im Datenverwalter 4 wird der zweite gesicherte OTA-Kanal 9 zum Modul 7 aufgebaut. Die Daten 73 werden über den zweiten gesicherten Kanal 9 dem Modul 7 bereitgestellt. Mit- tels dem im Modul 7 eingebrachten abgeleiteten Schlüssel 31' werden die Daten 73 final entschlüsselt und als ein Teilnehmerprofil 71 angelegt (siehe auch Figur 6). In Figur 3 ist ein Ablauf diagramm des erfindungsgemäßen Verfahrens dargestellt. Der Teilnehmeridentitätsmodulherausgeber 10 bringt in einem Per- sonalisierungsschritt A den modulindividuellen Schlüssel 31' sowie eine modulindividuelle ID 74 in das Modul 7 ein und gibt das Modul 7 aus. Der Teilnehmeridentitätsmodulherausgeber 10 teilt dem HSM 3 die Chip-ID 74 mit und gibt die Schlüssel-ID 310 des Hauptschlüssels 31 an. Alternativ ist zu diesem Zeitpunkt bereits ein Mobilfunknetzbetreiber im Besitz des Moduls 7, der teilnehmerindividuelle Schlüssel 31' wird vom Hauptschlüssel 31 abgeleitet und in das Modul 7 eingebracht. Alternativ ist der Teilnehmeridenti- tätsmodulherausgeber 10 auch der Datengenerator 2. Der Datengenerator 2 erhält über die Datenschnittstelle 21 Teilnehmeridentitätsdaten 73 in gesicherter Form. Diese Daten werden im Schritt B der Figur 3 im HSM 3 mit einem Speicherschlüssel 32 verschlüsselt. Der Speicherschlüssel 32 ist mittels einer Speicherschlüssel-ID 320 eindeutig referenziert. Die mit dem Speicherschlüssel 32 verschlüsselten Daten 73 werden über den ersten gesicherten Kanal 8 an den Datenverwalter 4 übermittelt. Dabei können unterschiedliche Mechanismen zur Sicherungen des Kanals 8 angewendet werden, beispielsweise eine symmetrische oder asymmetrische Verschlüsselung und/ oder ein VPN-Kanal. Die Daten 73 werden im Datenverwalter 4 in mit dem Speicherschlüssel 32 verschlüsselter Form abgelegt.

Wenn zu einem bestimmten Zeitpunkt die Daten 73 einem individuellen Modul 7 bereitzustellen sind, beispielsweise auf Anfrage eines im Mobilfunksystem 5 fungierenden Mobilfunknetzwerks über die Plattform 43, werden die verschlüsselten Daten 73 im Schritt C dem HSM 3 über den ersten gesicherten Kanal 8 zurückübertragen. Vorzugsweise erfolgt in einem zweiten HSM 3' die Umverschlüsselung anhand Schritt D, das heißt die Entschlüsselung der Daten 73 mit dem Speicherschlüssel 32 und die Verschlüsselung der Daten 73 mit dem abgeleiteten Schlüssel 31' des Hauptschlüssels 31. Dazu ist dem HSM 3' die Chip-ID 74 als modulindividuelle ID 74 zur Verfügung zu stellen, was auch vom Datenverwalter 4 übernommen wird. Weiterhin wird dem HSM 3' eine Hauptschlüssel-ID 310 bereitgestellt. Hierfür ist insbesondere die Plattform 43 zuständig. Mit diesen Bereitstellungen ist sichergestellt, dass der abgeleitete Schlüssel 31' vom richtigen Haupt- Schlüssel 31 abgeleitet wurde und für das richtige individuelle Modul 7 abgeleitet wurde. Die umverschlüsselten Daten 73 werden im Schritt E über den ersten sicheren Kanal 8 wieder dem Datenverwalter 4 übertragen.

Wie bereits vorstehend beschrieben und wie dies in Figur 3 dargestellt ist, sind - für die Erfindung bevorzugt - zwei HSM 3, 3' für das System 1 vorgesehen. Die Verschlüsselung mit dem Speicherschlüssel 32 wird dabei vom ersten HSM 3 übernommen, und die Umverschlüsselung mit dem abgeleiteten Hauptschlüssel 31' wird vom zweiten HSM 3' übernommen. Diese Trennung der HSM dient zur Erhöhung der Sicherheit und zur Steigerung der Flexibilität. Das erste HSM 3 ist dabei im Datengenerator 2 eingebracht und kann die Daten 73 ohne Mobilfunkkommunikation, also offline verschlüsseln. Es ist zur Verschlüsselung keine Verbindung zum Datenverwalter 4 oder dem Mobilfunksystem 5 notwendig, wodurch die Sicherheit beträchtlich erhöht ist. Das zweite HSM 3' wird zur Umverschlüsselung verwendet und arbeitet die Umverschlüsselung mittels der von der Plattform 43 bereitgestellten Chip-ID 74 und Hautpschlüssel-ID 310 ab. Dieses Abarbeiten kann bevorzugt online erfolgen. Das zweite HSM 3' passt die Teilnehmeridentitätsdaten 73 an das jeweilige individuelle Modul 7 an. Genauere Abläufe zur Ver- und Umverschlüsselung im HSM 3 können der Beschreibung zu Figur 4 entnommen werden.

Mittels der Plattform 43 im Datenverwalter 4 wird ein zweiter sicherer Kanal 9 zu dem individuellen Modul 7 aufgebaut, um dann im Schritt F die umverschlüsselten Daten 73 dem Modul 7 bereitzustellen. Das Modul 7 kann dann in einem nichtgezeigten Schritt G die Daten 73 mit dem im Modul 7 während der Personalisierung eingebrachten abgeleiteten Schlüssel 31' entschlüsseln und verwenden.

In Figur 4 ist ein erf indungsgemäßes HSM 3 dargestellt, wie es zur Verschlüsselung und Umverschlüsselung verwendet wird. Das Modul 3 weist eine Vielzahl von Speicherschlüsseln 32 und Hauptschlüsseln 31 auf. Jeder Speicherschlüssel 32 ist anhand einer Speicherschlüssel-ID 320 eindeutig re- ferenziert. Jeder Hauptschlüssel 31 ist anhand einer Hauptschlüssel-ID 310 eindeutig referenziert. In Figur 4 ist nun exemplarisch das Umverschlüsseln gemäß Schritt D der Figur 3 dargestellt. Dazu erhält das HSM 3 die mit dem Speicherschlüssel 32 verschlüsselten Daten 73 von dem Datenverwalter 4 über den ersten sicheren Kanal 8. Mit diesen verschlüsselten Daten 73 erhält das HSM 3 weiterhin die Speicherschlüssel-ID 320, wodurch dem HSM 3 angezeigt wird, mit welchem Speicherschlüssel 32 die Daten 73 verschlüsselt sind. Mit diesen verschlüsselten Daten 73 erhält das HSM 3 weiterhin die Hauptschlüssel-ID 310, wodurch dem HSM 3 angezeigt wird, mit welchem Hauptschlüssel 31 der teilnehmeridentitätsmodulindividuelle Schlüssel 31' abzuleiten ist. Mit diesen verschlüsselten Daten 73 erhält das HSM 3 weiterhin die Chip-ID 74, wodurch dem HSM 3 angezeigt wird, für welches Modul 7 der teilnehmeridentitätsmodulindividuelle Schlüssel 31' abzuleiten ist. Die Speicherschlüssel-ID 320, die Hauptschlüssel-ID 310 und die Chip-ID 74 werden mit den verschlüsselten Daten 73 dem HSM 3 in einem Datensatz zur Verfügung gestellt. Alternativ fragt das HSM 3 die Speicherschlüssel-ID 320, die Hauptschlüssel-ID 310 und die Chip-ID 74 vom Datenverwalter 4 ab. Der Datenverwalter 4 erhält insbesondere die Hauptschlüssel-ID 310 und die Chip-ID 74 über die Plattform 43 aus dem Mobilfunksystem 5 und/ oder von dem Datengenerator 2 über die Schnittstelle 21.

Im HSM 3 wird anhand der Speicherschlüssel-ID 320 der entsprechende Speicherschlüssel 32 aus einer Vielzahl von Speicherschlüsseln im HSM 3 ausgewählt und die Daten 73 werden mittels des entsprechenden Speicher- schlüsseis 32 entschlüsselt. Zu diesem Zeitpunkt liegen die Daten 73 im Klartext, d.h. unverschlüsselt im HSM 3 vor.

Im nächsten Schritt wird anhand der Hauptschlüssel-ID 310 der entsprechende Hauptschlüssel 31 aus einer Vielzahl von Hauptschlüsseln im HSM 3 ausgewählt. Die Hauptschlüssel 31 sind ausschließlich dem HSM 3 und dem entsprechenden Inhaber des Hauptschlüssels 31, insbesondere einem Mobilfunkanbieter, bekannt. Anhand der Chip-ID 74 wird aus dem Hauptschlüssel 31 der teilnehmeridentitätsmodulindividuelle Schlüssel 31' abgeleitet. Mittels des teilnehmeridentitätsmodulindividuellen Schlüssels 31' werden die Daten 73 verschlüsselt, wodurch der Schritt des Umverschlüsselns abgeschlossen ist. Anschließend werden die umverschlüsselten Daten 73 über den ersten sicheren Kanal 8 an den Datenverwalter 4 zurückübertragen und dort mittels der Plattform 43 über einen zweiten verschlüsselten Kanal 9 dem jeweiligen Modul 7 bereitgestellt.

Bevorzugt werden beim Ableiten vom Hauptschlüssel 31 ein Schlüssel-Set aus abgeleitetem Schlüssel 31' und einem Überprüfungsschlüssel erzeugt, wodurch alle Daten 73 auf Plausibilität und Datenintegrität überprüft wer- den können. Die Schlüssel sind vorzugsweise AES-Schlüssel mit einer Größe von 128 Bits.

Wie dies bereits vorstehend beschrieben worden ist, kann das HSM 3 gemäß einer bevorzugten Ausführungsform der Erfindung in ein erstes HSM 3 und ein zweites HSM 3' aufgeteilt werden. Für den Fall, dass das zweite HSM 3' im Datenverwalter 4 sicher integriert ist, kann der erste sichere Kanal 8 entfallen. In Figur 5 ist eine hierarchische Strukturierung der Speicherschlüssel 32 und/ oder der Hauptschlüssel 31 dargestellt. Im Hinblick auf erweiterte Funktionalitäten muss einem Schlüsselinhaber, insbesondere einem Mobilfunkbetreiber die Möglichkeit geschaffen werden, die Daten 73 projekt- bzw. anwendungsbezogen zu gruppieren. Dazu werden die Daten 73 entspre- chend der in Figur 5 dargestellten hierarchischen Struktur im HSM 3 angeordnet. Im Datenverwalter 4 werden diese Daten ebenfalls gemäß dieser hierarchischen Struktur angeordnet. Für jeden Unter datensatz wird ein eigener Hauptschlüssel 31 und/ oder Speicherschlüssel 32 generiert und in das HSM 3 eingebracht. Beispielhaft könnten bei einem Mobilfunkbetreiber für unter- schiedlichste Applikationen, beispielsweise NFC-Payment Anwendungen oder auch für jede Art von Teilnehmeridentitätsdaten ein eigenes Projekt in Kombination mit Dienstanbietern angelegt werden. Falls der Mobilfunkbetreiber nun eine dieser Kombinationen nicht mehr unterstützen möchte, müssen die Module 7 für derartige Dienste gesperrt werden. Dies erfolgt einfach dadurch, dass die entsprechenden Hauptschlüssel 31 und/ oder Speicherschlüssel 32 gelöscht werden.

In Figur 5 ist die oberste Hierarchieebene die Kundenebene. Dies sind insbesondere Mobilfunkanbieter, die jeweils ein Mobilfunknetz 51, 52 im Mobil- funksystem 5 betreiben. In Figur 5 sind drei unterschiedliche Mobilfunkbetreiber angedeutet. Die nächstliegende Hierarchieebne ist die Projektebene, in der beispielsweise ein Bezahldienst als Projekt 1, ein Mobilfunkdaten- dienst als Projekt 2 und ein Mobilfunksprachdienst als Projekt 3 für den Mo- bilfunkbetreiber„Kunde!" angelegt sind. Weitere Projekte können für jeden Kunden hinzugefügt werden. Im Bezahldienst„Projekt 1" von Kunde 1 sind nun drei unterschiedliche Bank- bzw. Bezahlschemata vorgesehen, beispielsweise ein NFC-Bezahlsystem, ein Kreditbezahlsystem oder ein Debit- bezahlsystem mit Bank 1, Bank 2 und Bank 3. Für jedes einzelne Schema werden nun eigene Hauptschlüssel 31 und Speicherschlüssel 32 generiert und im HSM eingetragen. Dies ermöglicht ein schemabezogenes Löschen, wobei andere Projekte und Schemata nicht betroffen sind und weiter vom HSM 3 bearbeitet werden können. Dieses starke Strukturieren der Schlüssel 31, 32 ermöglicht ein sehr einfaches Verwalten und Löschen im HSM 3. Zu- sätzlich zum Löschen ist mit diesem Setup die Beweisbarkeit gewährleistet, wodurch die Verwaltung des HSM 3 wesentlich vereinfacht wird. Die Schlüssel-IDs 310 und 320 zeigen stets den entsprechenden Schlüssel 31, 32 an, wodurch die Auswahl des entsprechenden Schlüssels aus der Vielzahl von Schlüsseln im HSM 3 wesentlich erleichtert ist.

In Figur 6 ist ein Teilnehmeridentitätsmodul 7 für die Verwendung im erfindungsgemäßen Verfahren dargestellt. Dabei ist im Teilnehmeridentitätsmodul 7 ein Betriebssystem mit einem damit verknüpften allgemeinen Dateisystem abgelegt, wobei das Dateisystem über das Betriebssystem administrier- bar ist. Ein Speicherbereich mit teilnehmerspezifischen Daten ist ebenfalls mittels des Betriebssystems administrierbar. Das Teilnehmeridentitätsmodul 7 ist mit einer Mehrzahl von Teilnehmerprofilen 71 ausgestattet. Jedes Teilnehmerprofil 71 gemäß Figur 6 beinhaltet Teilnehmeridentitätsdaten 73, die einen Teilnehmer an jeweils unterschiedlichen Kommunikationsnetzen 51, 52 eindeutig identifizieren und/ oder authentisieren. Die Profile 71 sind dabei einzeln hinzufügbar, aktivierbar, nutzbar, deaktivierbar und auch löschbar. Eine Administration der Profile 71 und der dafür notwendigen Daten, Au- thentisierungen und Verschlüsselungen wird mittels einer im Teilnehmeri- dentitätsmodul 7 eingebrachten Applikation 72, kurz SMC- Applet durchgeführt. Das SMC- Applet 72 steht in Kommunikationsverbindung mit der Plattform 43 des Datenverwalters 4.

In einem entsprechenden Sicherheitsbereich sind der abgeleitete teilnehme- ridentitätsmodulindividuelle Schlüssel 31' sowie die Chip-ID 74 eingebracht. Dieser Sicherheitsbereich wird während der Personalisierung des Moduls 7 eingerichtet. Die jeweiligen Daten für die Teilnehmerprofile 71 werden insbesondere über eine Luftschnittstelle, insbesondere Over-The-Air (OTA) aber auch über Internetverbindung (Over-The-Internet, kurz OTI) in das Teilnehmeridentitätsmodul 7 geladen. Jedes Profil weist dazu OTA-Schlüssel KOTA auf, mit denen ein zweiter gesicherter Kanal 9 mit der Plattform 43 aufgebaut werden kann. Zu beachten ist, dass eine Kommunikation über das Mobilfunksystem 5 zwischen dem Modul 7 und dem Datenverwalter 4 in der Regel nur mittels der aktivierten Teilnehmeridentitätsdaten 73 möglich ist.