Gebiet der Erfindung

Die Erfindung betrifft ein Secure Element, insbesondere ein Teilnehmeridentitätsmodul (Subscriber Identity Module SIM) zum Betrieb in einem mobilen Endgerät, und einer Zugriffsregel-Applikation, ARA-Applikation, durch welche der Zugriff des mobilen Endgeräts auf Applikationen in dem Secure Element geregelt ist.

Mobile (mobilfunkfähige) Endgeräte kommunizieren über Mobilfunknetze. Zu den klassischen mobilen Endgeräten zählen Smartphones und Mobiltelefone. Zu mobilen Endgeräten zählen weiter Automotive-Telematik-Geräte und Regelungsgeräte (Steuerungsgeräte oder Messgeräte oder kombinierte Steuer/Messgeräte) für industrielle Einrichtungen im kommerziellen oder im privaten Umfeld. Industrielle Einrichtungen sind beispielsweise Produktionsanlagen, die ein oder mehrere Regelungsgeräte (Endgeräte) haben, die über ein Mobilfunknetz mit einem Hintergrundsystem oder/und miteinander kommunizieren können. Weitere industrielle Einrichtungen sind Smart Home Einrichtung wie z.B. Heizungen oder Stromverbraucher mit Endgeräten in Gestalt von Regelungsgeräten.

Zur Nutzung eines mobilen Endgeräts in einem Mobilfunknetzwerk eines Netzbetreibers enthält das im mobilen Endgerät betriebene Teilnehmeridentitätsmodul ein oder mehrere Subskriptions-Profile oder kurz Profile. Das Profil bewerkstelligt die Konfiguration des Endgeräts und der Verbindung des Endgeräts im Mobilfunknetz. Das Profil umfasst Profildaten, der den Aufbau, Betrieb und Abbau einer Verbindung des Endgeräts im Mobilfunknetzwerk ermöglichen, beispielsweise einen kryptographischen Authentisierungs-Schlüssel Ki und eine International Mobile Subscriber Identity I MSI . Weiter kann jedes Profil Applikationen umfassen.

Das Endgerät selbst hat einen oder mehrere Endgerät-Chips zum Betrieb von Funktionen des Endgeräts. Aktuelle Smartphones haben beispielsweise typischerweise zumindest drei Endgeräte-Chips, nämlich einen Transceiver-IC, der die physische Funkkommunikation durchführt, zumindest einen Baseband-Prozessor (oder gleichbedeutend Modem), der Funktionen zur Datenübertragung über Funkkommunikation auf Protokollebene durchführt, und einen Application-Prozessor, auf welchem das Betriebssystem und Anwendungssoftware ausgeführt werden. Als weitere End- geräte-Chips können Transceiver-ICs für andere Funkkanäle vorgesehen sein, insbesondere für kurzreichweitige Funkkanäle wie NFC (NFC: near field communication) oder Bluetooth.

Das Teilnehmeridentitätsmodul kann in unterschiedlichen Formfaktoren gestaltet sein, insbesondere Plug-In, Embedded, Integrated und Software. Teilnehmeridentitätsmodule vom Formfaktor Plug-In und Embedded sind auf einem dezidierten, eigenen Chip oder SoC (System-on-Chip) angeordnet. Beispiele für Plug-Ins sind SIM- Karte (SIM = Subscriber Identity Module) oder USIM-Karte (Universal SIM) oder UICC (Universal Integrated Circuit Card) und kontaktieren das Endgerät über einen Kartenleser. Alternativ kann der dezidierte Chip in ein Gehäuse integriert sein, das in das Endgerät festeinlötbar bzw. festeingelötet ist. Ein einlötbares/eingelötetes Teilnehmeridentitätsmodul wird mit dem Zusatz „embedded" versehen und als eUlCC bezeichnet, wobei e für embedded steht und die weitere Bezeichnung vom entsprechend ausgestatteten Plug-In übernommen ist. Weitere mögliche Formfaktoren eines Teilnehmeridentitätsmoduls sind integrierte Teilnehmeridentitätsmodule, die auf einem Endgeräte-Chip oder SoC (System-on-Chip) des Endgeräts mit integriert sind, also keinen eigenen Chip besitzen. Integrierte Teilnehmeridentitätsmodule werden mit dem Zusatz „integrated" versehen und z.B. als integrated UICC, iUICC. Weitere mögliche Formfaktoren eines Teilnehmeridentitätsmoduls sind reine Software-Module mit der Funktionalität eines Teilnehmeridentitätsmoduls, die in einen Endgeräte-Chip integriert sind.

Aktuelle Betriebssysteme für mobile Endgeräte, beispielsweise Android, erlauben Zugriffe auf das Teilnehmeridentitätsmodul (SIM-Zugriffe) auf Applikations-Ebene über verschiedene APIs (API = Application Programing Interface = Applikations-Programmier-Schnittstelle), beispielsweise die in [3] [OM API] beschriebene OpenMo- bile API oder die in [4] [Device API] beschriebene Device API. In [3] sind mehrere API-Klassen (Classes) definiert, unter anderem die SE-Service-APL Darüber hinaus gibt es die Telephony-API, welche von Google definiert wurde. .

Stand der Technik

Das Dokument [1] [SEAC] GlobalPlatform Device Technology, Secure Element Access Control, Version 1.1, Public Release, September 2014, Dokument-Referenz GPD_SPE_013, beschreibt Zugriffsregeln, durch welche der Zugriff eines mobilen Endgeräts auf Applikationen in einem Secure Element geregelt ist. Unter einem Secure Element wird in [1] eine fälschungssichere Komponente verstanden, die in einem Gerät (Device) verwendet wird, um Sicherheit, Vertrauenswürdigkeit und eine Multiapplikationsumgebung bereitzustellen. Der Formfaktor des Secure Element kann beispielsweise der eines UICC (Universal Integrated Circuit Card) oder eSE (embedded Secure Element) sein.

Die Zugriffsregeln aus [1] werden auch im Zusammenhang mit Teilnehmeridentitätsmodulen angewandt.

Dokument [1] definiert die im Secure Element implementierte Access Rule Application ARA.

Fig. 1 zeigt die aus [1] übernommene Figur 2-1, die ein elementares Secure Element mit einer einzelnen Issuer Security Domain (Sicherheitsdomäne) SD und einer einzelnen Access Rule Application Master ARA-M darstellt. Die Access Rule Application Master ARA-M kontrolliert anhand von Zugriffsregeln, der Access Rules, den Zugriff des Geräts (Device) mittels des im Gerät implementierten Access Control Enforcers auf das Secure Element. Fig. 1 bzw. Figur 2-1 spiegelt eine typische UICC oder SIM- Karte mit einem festimplementierten Profil eines einzigen Netzbetreibers wieder. Fig. 2 zeigt die ebenfalls aus [1] übernommene Figur 2-2, die ein Secure Element mit einer Issuer Security Domain (Sicherheitsdomäne) SD und mehreren Application Provider Security Domains darstellt. In der Issuer Security Domain und in jeder Application Provider Security Domain ist jeweils eine Access Rule Application ARA-M bzw. ARA-C enthaltenDie Access Rule Application (ARA-Applikation) Master ARA-M in der Issuer Security Domain (SGP.22: ISD-P) kontrolliert anhand von Zug riffs rege In, Access Rules, des Herausgebers des Secure Element den Zugriff des Geräts (Device) mittels des im Gerät implementierten Access Control Enforcers auf das Secure Element, genauer auf die Issuer Security Domain . Die jeweilige Access Rule Application (ARA-Applikation) Client ARA-C kontrolliert anhand von Zugriffsregeln, Access Rules, des jeweiligen Applikations-Providers den Zugriff des Device auf die jeweilige Application Provider Security Domain (SGP.22: AP-SD unter der ISD-P).

Das Dokument [1] sieht in Kapitel 5 vor, dass über Kommandos, die mittels Applikations-Fernverwaltung, Remote Application Management (RAM), bei dem Secure Element eingehen, Zugriffsregeln, Access Rules, verwalten werden können. Insbesondere können mittels der Fernverwaltung neue Zugriffsregeln in das Secure Element gespeichert, aus dem Secure Element gelöscht, sowie im Secure Element geändert und aktualisiert werden. Zur Kommunikation mit dem Secure Element schlägt [1] einen gesicherten Kommunikationskanal, secure channel, nach Vorgaben von Global Platform vor. Die Applikations-Fernverwaltung, Remote Application Management (RAM), geht davon aus, dass die Kommandos für die Zugriffsregeln von einem entfernten (REMOTE) Server an das Secure Element gesendet werden.

Die Nutzer von Consumer Endgeräten wie Smartphones mit einem Teilnehmeridentitätsmodul (eUlCC) oder mobilfunkfähigen Tablets laden verbreitet Applikationen in ihre Endgerät, beispielsweise Apps aus App-Stores. Hierbei kann auch eine Appli- kation in ein Endgerät geladen werden, die Zugriff auf das Teilnehmeridentitätsmodul bekommen soll, aber keinen Zugriff bekommt, da die Zugriffsregeln (ARA Access Rules) der ARA-Applikation im Teilnehmeridentitätsmodul dies verbieten.

Aktuell sind die Zug riffs rege In für ISD-Ps und deren Profile (also im Modell von [1] Application Provider Security Domains) durch den Netzbetreiber (MNO) festgelegt, und können nur durch den Netzbetreiber durch Fernverwaltung OTA (Over-The-Air) verwaltet werden, insbesondere neu in das Teilnehmeridentitätsmodul gespeichert oder gelöscht oder geändert werden.

Nutzer ändern den Bestand an Apps aus App-Stores auf ihrem Endgerät teilweise sehr rasch und sehr häufig. Für den Nutzer wäre es daher wünschenswert, die Zugriffsregeln der ARA-Applikation im Teilnehmeridentitätsmodul selbst anpassen zu können, entsprechend den gerade im Endgerät enthaltenen Applikationen (insbesondere Apps aus App-Stores).

Auch für Secure Elements in anderen Anwendungsbereichen, beispielsweise Zahlungsverkehrskarten oder digitalen Zahlungsverkehrslösungen oder Identifikationsdokumenten, in denen eine ARA-Applikation verwendet wird, kann der Wunsch aufkommen, eine Anpassung von ARA-Zugriffsregeln durch den Nutzer zu ermöglichen.

Zusammenfassung der Erfindung

Der Erfindung liegt die Aufgabe zu Grunde, ein Secure Element mit einer ARA- Applikation zu schaffen, das eine flexible Anpassung der Zugriffsmöglichkeiten auf SE Applikationen im Secure Element ermöglicht.

Die Aufgabe wird gelöst durch ein Secure Element nach Anspruch 1. Vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben. Das erfindungsgemäße Secure Element nach Anspruch 1 umfasst eine darin implementierte SE Applikation oder ist eingerichtet eine SE Applikation darin zu implementieren, und umfasst weiter: - eine SE-Endgerät-Schnittstelle zu einem Endgerät, in Verbindung mit dem das Secure Element betrieben werden kann; - eine ARA- Applikation und ARA-Zugriffsregeln, durch welche Zugriffe von in dem Endgerät implementierten Applikationen über die SE-Endgerät-Schnittstelle auf in dem Secure Element implementierte oder implementierbare SE Applikationen geregelt sind.

Das Secure Element ist gekennzeichnet durch:

- eine ARA-Nutzer-Schnittstelle, die dazu eingerichtet ist:

** Nutzer-Kommandos entgegenzunehmen, die durch einen Nutzer an einer, am Endgerät oder am Secure Element vorgesehenen, Nutzer-Schnittstelle eingegeben werden;

** entgegengenommene Nutzer-Kommandos an die ARA-Applikation im Secure Element weiter zu leiten; und

** die ARA-Applikation zu veranlassen, weitergeleitete Nutzer-Kommandos auf die ARA-Applikation anzuwenden.

Im Unterschied zu bisherigen Verwaltungsmöglichkeiten für die ARA-Applikation ist der Nutzer nicht darauf angewiesen, auf eine Verwaltungsaktion eines entfernten Servers zu warten, und diese Verwaltungsaktion ggf. bei dem entfernten Server zu beantragen, sondern kann über die ARA-Nutzer-Schnittstelle lokal an seinem Endgerät selbst eine Verwaltungsaktion veranlassen. Dadurch kann der Nutzer, wenn auf seinem Endgerät geänderte Zugriffserfordernisse auf SE Applikationen des Secure Element entstehen, beispielsweise durch neue auf das Endgerät heruntergeladene Applikationen, sofort lokal selbst reagieren und die ARA-Applikation entsprechend anpassen.

Daher ist gemäß Anspruch 1 ein Secure Element geschaffen, das eine flexible Anpassung der Zugriffsmöglichkeiten auf SE Applikationen im Secure Element ermöglicht. lm Zusammenhang mit der Erfindung wird der Begriff Endgerät so verstanden, dass darunter auch ein Gerät im Sinn des Dokuments [1] [SEAC] fällt.

Die ARA-Nutzer-Schnittstelle wird insbesondere als Programmcode-Schnittstelle zwischen Programmcodes verstanden, die es ermöglicht Nutzer-Kommandos der ARA-Applikation zuzuführen. Im Unterschied dazu ist die Nutzer-Schnittstelle dazu vorgesehen, Nutzer-Kommandos vom Nutzer entgegenzunehmen. Eine typische Nutzer-Schnittstelle sind die Bedienelement eines Smartphone oder Tablet PC, wie Touch-Display, Tasten oder/und Spracheingabeschnittstellen (Mikrofon).

Wahlweise sind die Nutzer-Kommandos darauf gerichtet, ARA-Zugriffsregeln zu verwalten, und das Anwenden des Nutzer-Kommandos auf die ARA-Applikation umfasst das den Nutzer-Kommandos entsprechende Verwalten der ARA-Zugriffsregeln.

Als das Verwalten ist bzw. sind wahlweise eine oder mehrere der folgenden Verwaltungsmaßnahmen vorgesehen:

- Erzeugen einer neuen ARA-Zugriffsregel;

- Speichern einer neuen ARA-Zugriffsregel im Secure Element;

- Löschen einer im Secure Element gespeicherten ARA-Zugriffsregel;

- Ändern, insbesondere Aktualisieren auf eine neuere Version oder beliebiges anderweitiges Ändern, einer im Secure Element gespeicherten ARA-Zugriffsregel.

Wahlweise umfasst das Verwalten ein Erzeugen oder Anpassen und Speichern einer ARA-Zugriffsregel im Secure Element für eine Applikation, die neu in das Endgerät geladen worden ist, und für die im Secure Element noch keine oder keine passende ARA-Zugriffsregel vorhanden ist. Die Applikation kann dabei insbesondere aus einem App-Store in das Endgerät heruntergeladen werden.

Die Nutzer-Schnittstelle kann wahlweise im Endgerät vorgesehen sein. Wahlweise ist das Secure Element weiter dazu eingerichtet, die Nutzer-Kommandos von einer zwischen die Nutzer-Schnittstelle und die ARA-Nutzer-Schnittstelle gekoppelten oder koppelbaren, in dem Endgerät implementierten ARA-Konfigurations- Applikation entgegenzunehmen.

Bei dieser Ausführungsform werden im Endgerät durch die ARA-Konfigurations- Applikation die Nutzer-Kommandos an die ARA-Nutzer-Schnittstelle des Secure Element weitergeleitet, und bedarfsweise in durch die ARA-Nutzer-Schnittstelle interpretierbare (verständliche) Anweisungen umgewandelt. Konkret kann durch das Nutzer-Kommando oder die Anweisung die ARA-Nutzer-Schnittstelle angewiesen werden, eine neue ARA-Zugriffsregel zu erzeugen und in das Secure Element zu speichern, oder eine vorhandene ARA-Zugriffsregel zu ändern.

Wahlweise sind die Nutzer-Schnittstelle und die ARA-Konfigurations-Applikation beide im Endgerät implementiert, und die ARA-Nutzer-Schnittstelle im Secure Element übernimmt die Nutzer-Kommandos von der ARA-Konfigurations-Applikation im Endgerät.

Insbesondere Teilnehmeridentitätsmodule für mobile Endgeräte haben häufig keine eigene Nutzer-Schnittstelle, sondern nehmen Nutzer-Kommandos und andere Nutzer-Eingaben über das mobile Endgerät entgegen, dabei wahlweise über SIM Toolkit-Kommandos oder Card-Toolkit-Kommandos. Alternativ gibt es allerdings auch NFC-SIM-Karten als Teilnehmeridentitätsmodule mit eigener kontaktloser Nutzer- Schnittstelle, auf die ein Nutzer unter Umgehung des mobilen Endgeräts, in dem das Teilnehmeridentitätsmodul betrieben wird, zugreifen kann. Eine entsprechende Ausführungsform ist weiter unten beschrieben.

Insbesondere kann die ARA-Konfigurations-Applikation bei einem mobilen Endgerät als App gestaltet sein, die beispielsweise aus einem App-Store in das Endgerät heruntergeladen werden kann. Entsprechend kann die ARA-Konfigurations-Applikation wahlweise wie eine beliebige App aus einem App-Store durch einen Nutzer bedienbar sein. Die zusätzliche ARA-Konfigurations-Applikation ermöglicht eine Trennung der technischen Lösung in eine maschinennahe ARA-Nutzer-Schnittstelle einerseits und eine intuitiv bedienbare ARA-Konfigurations-Applikation andererseits. Diese Trennung hat den Vorteil, den Bedien-Komfort für den Nutzer zu erhöhen. Weitere Vorteile, die mit einer ARA-Konfigurations-Applikation erzielt werden können, sind weiter unten beschrieben.

Die Nutzer-Schnittstelle kann wahlweise im Secure Element vorgesehen sein, und derart dass sie ein Nutzer direkt, unter Umgehung eines Endgeräts mit oder in dem das Secure Element betrieben wird, kontaktieren kann, beispielsweise als NFC- Sch nittstelle des Secure Element.

Wahlweise umfasst das Secure Element weiter eine zwischen die Nutzer-Schnittstelle und die ARA-Nutzer-Schnittstelle gekoppelte oder koppelbare ARA- Konfigurations-Applikation, die dazu eingerichtet ist, Nutzer-Kommandos an die ARA-Applikation zu leiten. Wahlweise sind hierbei die ARA-Nutzer-Schnittstelle und die ARA-Konfigurations-Applikation im Secure Element vorgesehen. Insbesondere ist die Nutzer-Schnittstelle, wenn sie im Secure Element vorgesehen ist, wahlweise eine Kontaktlosschnittstelle wie eine NFC-Schnittstelle. Als ARA-Konfigurations- Applikation im Secure Element kann wahlweise eine eigens in das Secure Element geladene Applikation genutzt werden, oder eine Applikation im Endgerät / Device, welche die Telephony API oder die SE-Service-API verwendet um dadurch eine Konfiguration im ARA-M oder ARA-C vorzunehmen.

Nutzer-Kommandos, die über mehrere Applikationen hinweg transportiert werden, können wahlweise durch an dem Transport beteiligte Applikationen (z.B. durch die ARA-Konfigurations-Applikation) bearbeitet und/oder verändert werden, oder/und mit Zusätzen wie Hashwerten, Signaturen und dergleichen versehen werden. Wahlweise umfasst das Secure Element weiter einen Timer, der dazu eingerichtet ist, zu bewirken, dass an der ARA-Nutzer-Schnittstelle entgegengenommene Nutzer-Kommandos nur während eines begrenzten Zeitintervalls auf die ARA- Applikation angewendet werden, und nach Ablauf des Zeitintervalls nicht mehr auf die ARA-Applikation angewendet werden.

Wahlweise wird der Timer durch ein Secure Element Kommando, beispielsweise ein SIM Toolkit Kommando oder Card Toolkit Kommando, erzeugt und gestartet, wobei das Zeitintervall festgesetzt wird, während dessen der Timer bis zu seinem Ablauf läuft. Bei dieser Ausführungsform werden an der ARA-Nutzer-Schnittstelle entgegengenommene Kommandos ab dem Erzeugen des Timers und innerhalb des Zeitintervalls auf die ARA-Applikation angewendet, und außerhalb des Zeitintervalls, nach Ablauf des Timers, nicht angewendet oder/und nicht weitergeleitet. Innerhalb des Zeitintervalls kann beispielsweise für eine neu in das Endgerät geladene Applikation eine ARA-Zugriffsregel erzeugt und in das Secure Element gespeichert werden. Geht nach Ablauf des Timers ein Kommando zur Erzeugung einer neuen ARA- Zugriffsregel ein, so wird keine ARA-Zugriffsregel erzeugt. Dazu muss ein neuer Timer erzeugt und gestartet werden.

Die ARA-Nutzer-Schnittstelle kann wahlweise als eigenständige Applikation gestaltet sein. Wahlweise kann die ARA-Nutzer-Schnittstelle, insbesondere falls sie im Endgerät vorgesehen ist, in die ARA-Applikation integriert sein, beispielsweise als zusätzliches funktionelles Programmcode-Modul.

Die ARA-Konfigurations-Applikation kann wahlweise als eigenständige Applikation gestaltet sein. Wahlweise kann die ARA-Konfigurations-Applikation, insbesondere falls sie im Endgerät vorgesehen ist, in die ARA-Applikation integriert sein, beispielsweise als zusätzliches funktionelles Programmcode-Modul. Das Secure Element kann wahlweise als Teilnehmeridentitätsmodul gestaltet sein, zum Betrieb in Verbindung mit (als Endgerät) einem mobilen Endgerät, wobei als SE Applikation eine oder mehrere der folgenden vorgesehen ist bzw. sind:

- ein Profil (Subskriptions-Profil, insbesondere i.S.v. SGP.22);

- eine mit einem Profil assoziierte Applikation;

- eine unabhängig von einem Profil in dem Secure Element implementierte oder implementierbare Applikation.

Als Applikationen, die mit einem Profil assoziiert sind oder von einem Profil unabhängig sind, können Applikationen auf dem Gebiet des Mobilfunks vorgesehen sein, oder Applikationen außerhalb des Gebiets des Mobilfunks wie beispielsweise Zahlungsapplikationen oder Identitätsapplikationen.

Eine Station umfasst ein Secure Element und ein Endgerät, insbesondere ein mobiles Endgerät.

Das Endgerät umfasst wahlweise die Nutzer-Schnittstelle, an der die Nutzer-Kommandos eingegeben werden, und die ARA-Konfigurations-Applikation.

Ein erfindungsgemäßes Verfahren zur Verwaltung eines Secure Element zeichnet sich aus durch die Schritte:

- an einer ARA-Nutzer-Schnittstelle:

** Entgegennehmen eines Nutzer-Kommandos, das durch einen Nutzer an einer Nutzer-Schnittstelle des Endgeräts oder des Secure Element eingegeben wird;

** Weiterleiten des entgegengenommenen Nutzer-Kommandos an die ARA- Applikation; und

** Veranlassen der ARA-Applikation, das weitergeleitete Nutzer-Kommando auf die ARA-Applikation anzuwenden;

** durch die ARA-Applikation, in Reaktion auf das Veranlassen, Anwenden des Nutzer-Kommandos. Wahlweise ist das Nutzer-Kommando darauf gerichtet, ARA-Z ug riffs rege In zu verwalten, wobei das Anwenden des Nutzer-Kommandos das Verwalten der ARA- Zugriffsregeln umfasst, wobei als das Verwalten eine oder mehrere der folgenden Verwaltungsmaßnahmen vorgesehen ist bzw. sind:

- Erzeugen einer neuen ARA-Zugriffsregel;

- Speichern einer neuen ARA-Zugriffsregel im Secure Element;

- Löschen einer im Secure Element gespeicherten ARA-Zugriffsregel;

- Ändern einer im Secure Element gespeicherten ARA-Zugriffsregel.

Ein erfindungsgemäßes Verfahren zum Verwalten einer Station umfasst wahlweise:

- Herunterladen einer Target-Applikation in das Endgerät;

- erfindungsgemäßes Verwalten eines Secure Element einschließlich Verwalten von ARA-Zugriffsregeln;

- wobei das Verwalten der ARA-Zugriffsregeln umfasst:

** ein Erzeugen einer neuen ARA-Zugriffsregel für die Target-Applikation, durch welche insbesondere der Target-Applikation Zugriff auf SE Applikationen des Secure Element gemäß der erzeugten neuen ARA-Zugriffsregel erlaubt wird; und

** ein Speichern der erzeugten neuen ARA-Zugriffsregel im Secure Element.

Wahlweise erfolgt das Verwalten der ARA-Zugriffsregeln unter Einsatz einer ARA- Konfigurations-Applikation, wie weiter oben beschrieben.

Wahlweise sieht die ARA-Konfigurations-Applikation die Möglichkeit vor, Target-Applikationen in der ARA-Konfigurations-Applikation zu registrieren. Einer registrierten Target-Applikation können wahlweise festgelegte oder festlegbare Berechtigungen eingeräumt werden. Beispielsweise erhalten nur Target-Applikationen, die bei der ARA-Konfigurations-Applikation registriert sind, die Berechtigung, eine ARA- Zugriffsregel zu bekommen, die der Target-Applikation Zugriff auf SE Applikationen des Secure Element ermöglicht. Wahlweise ist bei der Registrierung einer Target-Applikationen in der ARA- Konfigurations-Applikation eine Authentisierung der Target-Applikationen gegenüber der ARA-Konfigurations-Applikation erforderlich.

Die Registrierung der Target-Applikation kann beispielsweise anhand eines Hash- Werts über Bestandteile der Target-Applikation erfolgen, oder anhand eines Applet Identifiers wie z.B. eines AID der Target-Applikation.

Ein wesentlicher Vorteil der Erfindung ist, dass der Nutzer über die lokale ARA- Nutzer-Schnittstelle aktiv auf die ARA-Zugriffsregeln Einfluss nehmen kann, insbesondere lokal an seinem Endgerät. Eine zusätzliche ARA-Konfigurations-Applikation kann es erlauben weitere Funktionalitäten zu verwirklichen, und den Bedien-Komfort für den Nutzer zu erhöhen. Als Erweiterung kann die ARA-Nutzer-Schnittstelle die Möglichkeit vorsehen, eine Verwaltung von ARA-Zugriffsregeln über Fernverwaltung OTA (Over-The-Air) zu initiieren. Falls im Dateisystem des Secure Element Access Rule Files ARF gemäß [1] SEAC] verwendet werden, kann die Fernverwaltung insbesondere in der Form von Remote File Management erfolgen.

Kurze Beschreibung der Zeichnungen

Im Folgenden wird die Erfindung an Hand von Ausführungsbeispielen und unter Bezugnahme auf die Zeichnung näher erläutert, in der zeigen:

Fig. 1 ein elementares Secure Element mit einer einzelnen Issuer Security Domain (Sicherheitsdomäne) SD und einer einzelnen Access Rule Application Master ARA-M, gemäß dem Stand der Technik [1], Figur 2-1;

Fig. 2 ein Secure Element mit einer Issuer Security Domain (Sicherheitsdomäne) SD mit einer Access Rule Application ARA-M, und mehreren Application Provider Security Domains mit jeweils eine Access Rule Application ARA-C, gemäß dem Stand der Technik [1], Figur 2-2; Fig. 3 Anwendungsmöglichkeiten der Erfindung auf typische Implementierungen von ARA-Applikationen gemäß [1] in einem eUlCC gemäß [2];

Fig. 4 eine Detailansicht eines Endgeräts und eines Secure Element mit einer Security Domain (Sicherheitsdomäne) SD mit einer ARA-Applikation, gemäß mehreren Ausführungsformen der Erfindung;

Fig. 5 ein Ablaufdiagramm zur Veranschaulichung eines Verfahrens zur Verwaltung eines Secure Element, umfassend Verwalten von ARA-Zugriffsregeln in Reaktion auf ein Nutzer-Kommando, gemäß Ausführungsformen der Erfindung;

Fig. 6 ein Ablaufdiagramm zur Veranschaulichung eines Verfahrens zur Verwaltung eines Secure Element, umfassend Verwalten von ARA-Zugriffsregeln in Reaktion auf ein Nutzer-Kommando unter Verwendung eine ARA-Konfigurations- Applikation, gemäß Ausführungsformen der Erfindung.

Detaillierte Beschreibung von Ausführungsbeispielen

Fig. 1 und 2 zeigen zwei Konfigurationen von ARA-Applikationen aus dem Dokument [1] aus dem Stand der Technik, die zur Anwendung der Erfindung geeignet sind. Die weiteren in [1] gezeigten Konfigurationen von ARA-Applikationen sind ebenfalls zur Anwendung der Erfindung geeignet.

Fig. 3 zeigt Anwendungsmöglichkeiten der Erfindung auf typische Implementierungen von ARA-Applikationen gemäß [1] in (als Secure Element) einem eUlCC gemäß [2], Fig. 3 zeigt genauer ein einzelnes Profil P einer eUlCC, angelehnt an Figur 3 aus [2], SGP.22, ergänzt um eine in der Netzbetreiber-Sicherheitsdomäne MNO-SD implementierte ARA-Applikation Master ARA-M, und in den Unter-Sicherheitsdomänen angeordneten ARA-Applikationen Client ARA-C. Gemäß Ausführungsformen der Erfindung ist in der Netzbetreiber-Sicherheitsdomäne MNO-SD eine ARA-Nutzer- Schnittste Ile ARA-UI implementiert. Gemäß Ausführungsformen der Erfindung ist in der Applet-Sicherheitsdomäne Applet eine ARA-Nutzer-Schnittstelle ARA-UI implementiert. Gemäß Ausführungsformen der Erfindung ist in der SSD- Sicherheitsdomäne SSD eine ARA-Nutzer-Schnittstelle ARA-UI implementiert. Gemäß Ausführungsformen der Erfindung ist in der CASD (Controlling Authority Security Domain) eine ARA-Nutzer-Schnittstelle ARA-UI implementiert. In den weiteren untergeordneten oder anderen Sicherheitsdomänen, wie FileSystem (Dateisystem), NAAs (Net Access Applications - Netzzugangsapplikationen), können gemäß Ausführungsformen der Erfindung ebenfalls ARA-Nutzer-Schnittstelle ARA-UI implementiert sein.

Fig. 4 zeigt eine Detailansicht eines Endgeräts DEV/ME und eines Secure Element SE/SIM mit einer Security Domain (Sicherheitsdomäne) SD mit einer ARA- Applikation, gemäß mehreren Ausführungsformen der Erfindung. Das Endgerät DEV/ME enthält einen Access Control Enforcer ACE gemäß [1] [SEAC], Das Secure Element SE/SIM enthält eine ARA-Applikation ARA-X, die je nach Art der Issuer Security Domain ISD eine ARA-M oder ARA-C oder ARA-D Applikation gemäß [1] [SEAC] sein kann. Erfindungsgemäß enthält das Secure Element eine ARA-Nutzer- Applikation ARA-UI. Zwischen dem Endgerät DEV/ME und dem Secure Element SE/SIM ist eine Schnittstelle DEV-SE-IF bzw. ME-SIM-IF zur Kommunikation zwischen dem Endgerät DEV/ME und dem Secure Element SE/SIM vorgesehen.

Das Endgerät DEV/ME weist eine Nutzer-Schnittstelle Ul (insbesondere D-Ul oder ME-UI) auf, über die ein Nutzer Eingaben vornehmen kann. Die Nutzer-Schnittstelle Ul kann beispielsweise ein Touch-Display sein, oder eine Tastatur oder ein oder mehrere Tasten, oder eine Kombination aus Touch-Display, Tastatur und/oder ein oder mehreren Tasten.

Gemäß manchen Ausführungsformen werden Nutzer-Eingaben an der Nutzer- Schnittstelle Ul über eine STK-Applikation (STK = SIM Toolkit) oder CTK-Applikation (CTK = Card Toolkit) des Endgeräts DEV/ME an das Secure Element SE/SIM weitergeleitet, und hierbei direkt an die ARA-Nutzer-Applikation ARA-UI weitergeleitet. Gemäß manchen Ausführungsformen enthält das Endgerät DEV/ME weiter eine ARA-Konfigurations-Applikation ARA-Config-App. Bei diesen Ausführungsformen werden Nutzer-Eingaben an der Nutzerschnittstelle Ul beispielsweise an die ARA- Konfigurations-Applikation ARA-Config-App weitergeleitet. Die ARA-Konfigurations- Applikation ARA-Config-App stellt die Nutzer-Eingaben der ARA-Applikation ARA-X im Secure Element SE/SIM zur Verfügung, und wirkt hierbei mit dem Access Control Enforcer ACE des Endgeräts DEV/ME zusammen.

Gemäß manchen Ausführungsformen ist in Fig. 4 ein beliebiges Endgerät DEV mit einem beliebigen Secure Element SE dargestellt. In der Issuer Security Domain ISD ist eine an der Art der ISD entsprechende ARA-Applikation ARA-X vorgesehen.

Gemäß manchen Ausführungsformen ist in Fig. 4 ein mobiles Endgerät ME im Sinn von [2] [SGP.22] dargestellt, und ein Teilnehmeridentitätsmodul oder eUlCC SIM im Sinn von [2] [SGP.22], Bei diesen Ausführungsformen ist in dem Secure Element als Sicherheitsdomäne SD eine MNO-SD vorgesehen, in der eine ARA-Applikation Master ARA-M gemäß [1] vorgesehen ist. Gemäß manchen Ausführungsformen ist in dem Secure Element als Sicherheitsdomäne SD eine Unterdomäne SSD (Supplementary Security Domain) eines Profils P vorgesehen, wobei in der SSD eine ARA- Applikation Client ARA-C gemäß [1] vorgesehen ist.

Fig. 5 zeigt ein Ablaufdiagramm zur Veranschaulichung eines Verfahrens zur Verwaltung eines Secure Element SE/SIM, umfassend Verwalten von ARA-Zugriffsregeln in Reaktion auf ein Nutzer-Kommando, gemäß Ausführungsformen der Erfindung. Das Verfahren wird anhand eines Endgeräts, das ein mobiles Endgerät ME in Form eines Smartphone ist, beispielhaft dargestellt. Im Endgerät ME ist eine Sim-Toolkit-Appli- kation STK-App implementiert. Das Secure Element SE/SIM ist als Teilnehmeridentitätsmodul SIM (eUlCC) gestaltet. Im Secure Element SE/SIM sind eine ARA- Applikation ARA-X und ARA-Zugriffsregeln für die ARA-Applikation ARA-X implementiert. Im Secure Element SE/SIM ist weiter eine ARA-Nutzer-Schnittstelle ARA- Ul implementiert.

Gemäß Fig. 5 besucht der Nutzer mittels des Touch-Display und ggf. Tasten seines Smartphone, als Nutzer-Schnittstelle Ul des Endgeräts ME, einen App-Store und sendet an den App-Store eine Anforderung, eine bestimmte App in das Endgerät ME herunterzuladen, im weiteren als Target-App bezeichnet. Die Target-App wird aus dem App-Store in das Endgerät ME heruntergeladen. Die Target-App würde Zugriff auf Applets (SE Applikationen) des Secure Element SE des Endgeräts ME benötigen, hat aber diesen Zugriff nicht, da die neu heruntergeladene Target-App nicht in den ARA-Zugriffsregeln (Access Rules) der ARA-Applikation (Access Rule Application) eingetragen ist.

Gemäß manchen Ausführungsformen der Erfindung lässt die ARA-Applikation keine direkte Bearbeitung von ARA-Zugriffsregeln durch den Nutzer zu, sondern erfordert, dass der Nutzer die ARA-Applikation zuerst zur Bearbeitung freischaltet.

Gemäß Ausführungsformen der Erfindung lässt die ARA-Applikation es zu, dass der Nutzer durch ein SIM-Toolkit-Kommando, oder im Fall eines allgemeinen Secure Element Card-Toolkit-Kommandos, die ARA-Applikation zur Bearbeitung freischaltet. Der Nutzer sendet beispielsweise über die Nutzer-Schnittstelle Ul des Endgeräts ein Sim-Toolkit-Kommando Timer(Zeitangabe) an die ARA-Nutzer-Schnittstelle ARAUL Durch das Sim-Toolkit-Kommando Timer(Zeitangabe) wird die ARA-Nutzer- Schnittstelle ARA-UI veranlasst, eine ARA-Zugriffsregel ARA-ALLOW zu erzeugen, die eine Bearbeitung von ARA-Zugriffsregeln während eines durch „Zeitangabe" gegebenen Zeitintervalls erlaubt. „Zeitangabe" kann beispielsweise eine Zeitdauer von 1 bis 10 Minuten betragen, beispielsweise fünf Minuten. Die ARA-Nutzer-Schnittstelle ARA-UI sendet die ARA-Zugriffsregel ARA-ALLOW an die ARA-Applikation ARA-X. Das Verfahren kann jedoch auch ohne den Timer ablaufen (ohne die gestrichelten Pfeile in der Figur).

Der Nutzer startet spätestens nun die heruntergeladene Target-App. Die Target- App oder der Nutzer sendet eine Anforderung zur Verwaltung der ARA- Zugriffsregeln an die ARA-Nutzer-Schnittstelle. In der Anforderung wird gefordert, der Target-App Zugriff auf SE Applikationen (wahlweise alle oder nur bestimmte SE Applikationen) des Secure Element SE zu gewähren. Die ARA-Nutzer-Schnittstelle ARA-UI erzeugt eine ARA-Zugriffsregel, die der Target-App den angeforderten Zugriff auf das Secure Element gewährt und sendet die ARA-Zugriffsregel an die ARA- Applikation ARA-X. Die ARA-Applikation ARA-X trägt die von der ARA-Nutzer- Schnittstelle ARA-UI gesendete neu erzeugte ARA-Zugriffsregel in die ARA- Zugriffsregeln ein. Nachfolgend hat die Target-App Zugriff auf das Secure Element SE, so wie in der neuen ARA-Zugriffsregel festgelegt.

Der mit dem Nutzer-Kommando angeforderte und in der ARA-Zugriffsregel festgesetzte Zugriff auf SE Applikationen des Secure Element SE kann wahlweise alle SE Applikationen oder nur bestimmte spezifizierte SE Applikationen umfassen.

Fig. 6 zeigt ein Ablaufdiagramm zur Veranschaulichung eines Verfahrens zur Verwaltung eines Secure Element SE, umfassend Verwalten von ARA-Zugriffsregeln in Reaktion auf ein Nutzer-Kommando unter Verwendung eine ARA-Konfigurations- Applikation ARA-Config-App, gemäß Ausführungsformen der Erfindung.

Im Vergleich zum Verfahren aus Fig. 5 ist beim Verfahren aus Fig. 6 im Endgerät IVIE zusätzlich eine ARA-Konfigurations-Applikation ARA-Config-App vorgesehen. Die Abläufe bis zum Download der Target-App erfolgen beispielsweise wie beim Beispiel aus Fig. 5. Der optionale Timer kann wahlweise wie beim Verfahren gemäß Fig. 5 mittels der SIM-Toolkit-Applikation STK-App bzw. Card-Toolkit-Applikation CTK-App gesetzt werden, wie anhand Fig. 5 beschrieben, oder alternativ durch die ARA- Konfigurations-Applikation ARA-Config-App gesetzt werden, ansonsten analog zum anhand Fig. 5 beschriebenen Timer. Das Verfahren kann jedoch auch ohne den Timer ablaufen (ohne die gestrichelten Pfeile in der Figur).

Nach dem Download der Target-App wird die ARA-Konfigurations-Applikation ARA- Config-App auf dem Endgerät IVIE gestartet, beispielsweise durch den Nutzer durch Eingabe an der Nutzer-Schnittstelle Ul. Wahlweise wird die ARA-Konfigurations- Applikation ARA-Config-App als auswählbare App (z.B. als Icon oder Widget) auf einem Display des Endgeräts IVIE angezeigt, so dass der Nutzer sie wie jede App auf dem Endgerät IVIE starten kann. Der Nutzer fordert mittels der ARA-Konfigurations- Applikation ARA-Config-App des Endgeräts IVIE bei der ARA-Nutzer-Schnittstelle ARA-UI des Secure Element SE an, dass für die neu heruntergeladene Target-App eine ARA-Zugriffsregel angelegt wird. Die Target-App muss zu diesem Zeitpunkt noch nicht zwingend, kann aber schon, gestartet worden sein. Die ARA-Nutzer- Schnittstelle ARA-UI erzeugt eine ARA-Zugriffsregel, die der Target-App den angeforderten Zugriff auf das Secure Element SE gewährt und sendet die ARA- Zugriffsregel an die ARA-Applikation ARA-X. Die ARA-Applikation ARA-X trägt die von der ARA-Nutzer-Schnittstelle ARA-UI gesendete neu erzeugte ARA-Zugriffsregel in die ARA-Zugriffsregeln ein. Nachfolgend hat die Target-App Zugriff auf das Secure Element SE, so wie in der neuen ARA-Zugriffsregel festgelegt.

Spätestens nun wird die Target-App gestartet. Gemäß einer anderen Ausführungsform wird nach dem Download der Target-App die Target-App gestartet, und bei Bedarf durch die Target-App die ARA-Konfigurations-App ARA-Config-App gestartet, und nachfolgend das Verfahren durchgeführt wie oben anhand Fig. 6 beschrieben, um der Target-App Zugriff auf die gewünschten SE Applikationen des Secure Element SE einzuräumen. Zitierte Dokumente

[1] SEAC] GlobalPlatform Device Technology, Secure Element Access Control, Version 1.1, Public Release, September 2014, Dokument-Referenz GPD_SPE_013; [2] [SGP.22] GSMA SGP.22 RSP Technical Specification, Version 2.2.2, 05 June 2020;

[3] [OM API] GlobalPlatform Technology, Open Mobile API Specification, Version

3.3, Public Release July 2018, Document Reference: GPD_SPE_075;

[4] [Device API] GlobalPlatform Device Technology, Device API Access Control, Version 1.0, Public Release November 2017, Document Reference: GPD_SPE_068.