-
Die Erfindung betrifft das Gebiet
der zellularen Funkkommunikationssysteme mit Endgeräten (auch
als Mobilstationen bezeichnet). Auf dem Gebiet der zellularen Funkkommunikation
ist insbesondere in Europa der GSM-Standard („Groupe spécial Systèmes Mobiles publics de radiocommunication fonctionnant
dans la bande des 900 MHz")
bekannt.
-
Genauer gesagt betrifft die Erfindung
ein Verfahren zur Sicherung der Benutzung eines Endgerätes eines
zellularen Funkkommunikationssystems. Das erfindungsgemäße Verfahren
kann insbesondere aber nicht ausschließlich in einem GSM-System eingesetzt
werden.
-
Allgemein wird ein zellulares Funkkommunikationssystem
in einem Netz von geographischen Zellen eingesetzt, in dem sich
Mobilstationen (oder Endgeräte)
bewegen. Eine Basisstation ist jeder Zelle zugeordnet, und eine
Mobilstation kommuniziert über
die Basisstation, die derjenigen Zelle zugeordnet ist, in der sie
sich befindet.
-
Unter Mobilstation oder Endgerät (beide Ausdrücke werden
in der vorliegenden Beschreibung synonym verwendet) wird die physikalische
Ausrüstung
verstanden, die von dem Benutzer des Netzes eingesetzt wird, um
auf die angebotenen Fernmeldedienste zuzugreifen. Es gibt unterschiedliche
Typen von Endgeräten
wie etwa die an Fahrzeugen montierten Mobilstationen, die beweglichen
oder schließlich
die tragbaren.
-
Allgemein muss ein Benutzer, wenn
er ein Endgerät
benutzt, eine Anwenderkarte anschließen, die er besitzt, damit
diese dem Endgerät
seine Teilnehmernummer gibt. So ist im Fall des GSM die Anwenderkarte,
die der Benutzer an das Endgerät
anschlie ßen
muss, eine austauschbare Speicherkarte, auch als Teilnehmeridentifikationsmodul
(oder SIM für
englisch Subscriber Identity Module) bezeichnet, die dem Endgerät seine
internationale Teilnehmernummer (oder IMSI für englisch International Mobile Subscriber
Identity) gibt.
-
Mit anderen Worten sind alle individuellen
Informationen, die den Teilnehmer betreffen, auf der Anwenderkarte
(oder SIM-Karte)
gespeichert. Jedes Endgerät
kann daher im allgemeinen mit jeder beliebigen Anwenderkarte benutzt
werden.
-
Um eine deliktische Verwendung der
Identität
eines Netzteilnehmers zu vermeiden, ist ein Authentisierungsmechanismus
definiert. Es soll nämlich vermieden
werden, dass ein Betrüger
sich nur durch Kenntnis der Identität (oder IMSI) eines Teilnehmers dem
Netz gegenüber
als dieser Teilnehmer ausgeben kann. Hierfür enthält die Anwenderkarte auch einen
individuellen Authentisierungsschlüssel und einen Authentisierungsalgorithmus.
So kann, nachdem der Teilnehmer sich ausgewiesen hat, das Netz seine Identität überprüfen und
die Prozedur unterbrechen, wenn die Authentisierung nicht gelungen
ist.
-
Außerdem kann der Teilnehmer
beim Betreiber oder Verwalter des Netzes seine Karte als verloren
oder gestohlen melden. Auf diese Weise kann jeder Versuch einer
Verwendung dieser Anwenderkarte durch einen Dritten auf Systemniveau
erfasst und gesperrt werden.
-
Außerdem bietet der Betreiber
sehr oft einen zusätzlichen
Grad des Schutzes für
die Anwenderkarte. Hierfür
ist eine persönliche
Identitätsnummer (oder
PIN für
englisch Personal Identity Number) auf der Anwenderkarte gespeichert.
Dieser PIN-Code wird beim Teilnehmer, der ihn in die Tastatur seines Endgerätes eingibt,
jedes Mal abgefragt, wenn die Karte in das Endgerät eingeführt oder
dieses in Betrieb genommen wird. So kann ein eventueller Betrüger eine
verlorene oder gestohlene Anwenderkarte nur benutzen, wenn er den
dieser Anwenderkarte zugeordneten PIN-Code herausfindet.
-
Seit den Anfängen der zellularen Funkkommunikationssysteme
sind diverse Mittel zum Schutz der Anwenderkarten gegen Betrug vorgeschlagen worden,
wie oben erläutert,
doch hat das gleiche nicht für
den Schutz der Endgeräte
gegolten. Die Endgeräte
der ersten Generationen verfügen über keinerlei
besonderen Schutz gegen Betrug. Infolge dessen kann ein verlorenes
oder gestohlenes Endgerät
von jedem beliebigen Benutzer einer gültigen Anwenderkarte verwendet
werden. Das Netz überprüft nämlich die
Gültigkeit
der Anwenderkarte, nicht aber die des Endgerätes. Das Endgerät kann daher unter
dem Gesichtspunkt des Schutzes als passiv qualifiziert werden.
-
Jedes Endgerät eines zellularen Funkkommunikationssystems
ist jedoch ein sehr kostspieliges Gerät, egal, ob diese Kosten vom
Teilnehmer oder vom Betreiber getragen werden. Es besteht daher
ein offensichtliches Interesse daran, zu versuchen, seine Benutzung
zu sichern, insbesondere im Fall von Verlust oder Diebstahl.
-
Allgemein besteht die Sicherung der
Benutzung eines Endgeräts
darin, zusätzlich
zum normalen Betriebsmodus einen sogenannten verriegelten Modus
vorzuschlagen, in dem das Endgerät
nur mit der Anwenderkarte, als verknüpfte Anwenderkarte bezeichnet,
verwendet werden kann, mit der es verriegelt worden ist. Mit anderen
Worten wird eine Verbindung zwischen dem Endgerät und einer bestimmten Anwenderkarte
(der sogenannten verknüpften Anwenderkarte)
hergestellt.
-
Eine bekannte Technik zur Anwendung
eines solchen verriegelten Modus ist in dem Dokument
EP 301 740 im Namen von Nokia Mobile
Phones Ltd. beschrieben. Das in dem Patent beschriebene Ver fahren
umfasst eine Phase der Erzeugung einer Verknüpfung Endgerät/Anwenderkarte
und eine Phase der Überprüfung der
Verknüpfung
Endgerät/Anwenderkarte.
-
In der Phase der Erzeugung der Verknüpfung liest
das Endgerät
Anwender-Identifikationsdaten, die auf der Anwenderkarte gespeichert
sind und speichert sie dann in seinen Speicher.
-
In der Phase der Überprüfung der Verknüpfung liest
das Endgerät
die Anwenderidentifikationsdaten, die auf der Anwenderkarte, mit
der es zusammenwirkt, gespeichert sind, vergleicht sie mit den in seinem
Speicher bei der Phase der Erzeugung der Verknüpfung gespeicherten und lässt schließlich den Betrieb
zu oder nicht zu, je nachdem, ob die gelesenen und die gespeicherten
Daten identisch sind oder nicht.
-
Mit dieser Technik kann also verhindert
werden, dass ein Endgerät
mit einer anderen Anwenderkarte als der, mit der es verriegelt worden
ist, angewendet wird. So ist ein verlorenes oder gestohlenes Endgerät ohne seine
Anwenderkarte für
einen eventuellen Betrüger
unbenutzbar. Dies trägt
also zur Verringerung der Zahl von Diebstählen von Endgeräten bei.
-
Zu beachten ist jedoch, dass wenn
das Endgerät
mit seiner verknüpften
Anwenderkarte verloren geht oder gestohlen wird, es nur mit dieser
angewendet werden kann. Wie bereits oben erläutert, kann der Teilnehmer
bei seinem Betreiber den Verlust oder den Diebstahl seiner Anwenderkarte
anzeigen, damit deren Verwendung auf Systemniveau gesperrt wird. Der
Diebstahl des Endgeräts
hat also in diesem Fall keinen Nutzen.
-
Diese bekannte Technik zur Sicherung
der Nutzung eines Endgeräts
hat dennoch zwei wesentliche Nachteile.
-
Zunächst erlaubt sie es nicht,
alle Gefahren der betrügerischen
Anwendung des Endgeräts
völlig zu
beseitigen. Die Verknüpfung
zwischen dem Endgerät
und der Anwenderkarte beruht nämlich
auf der Speicherung der Anwender-Identifikationsdaten (die von dem
Endgerät
in der Phase der Erzeugung der Verknüpfung auf der Anwenderkarte
gelesen werden) in dem Speicher des Endgeräts. Es ist jedoch immer noch
möglich,
dass ein Betrüger
den Inhalt des Speichers des Endgeräts direkt abändert, um
die existierende verriegelnde Verknüpfung abzuändern. In diesem Fall ersetzt
er im Speicher des Endgeräts die
Identifikationsdaten der verknüpften
Anwenderkarte durch neue Identifikationsdaten einer anderen Anwenderkarte.
Auf diese Weise funktioniert das Endgerät (betrügerisch), obwohl es sich im
verriegelten Modus befindet, weil es die andere Anwenderkarte als
diejenige ansieht, mit der es verknüpft ist.
-
Außerdem ist diese bekannte Technik
im allgemeinen mit dem Schutz verknüpft, der darin besteht, vom
Teilnehmer die Eingabe seines PIN-Codes bei jeder Einführung seiner
Anwenderkarte in das Endgerät
oder jeder Inbetriebnahme desselben zu verlangen. Diese Operation
der PIN-Code-Eingabe kann jedoch beschwerlich werden, wenn sie im Laufe
eines gleichen Tages vielfach wiederholt wird. Aus diesem Grund
lassen bestimmte Teilnehmer ihr Endgerät laufen, um nicht mehrere
Male den PIN-Code
eingeben zu müssen.
So ermöglicht
der Diebstahl des Endgerätes,
das eingeschaltet ist und mit seiner verknüpften Anwenderkarte zusammenwirkt,
auch wenn der verriegelte Modus ausgewählt ist, es einem Betrüger, auf
die Dienste des Netzes zuzugreifen, und zwar bis zu einer Sperrung
auf Systemniveau, nachdem der Teilnehmer den Verlust oder Diebstahl seiner
Anwenderkarte angezeigt hat. Es sei daran erinnert, dass es für die Benutzung
der gestohlenen Endgeräte
keine Sperrmöglichkeit
auf Systemniveau gibt, die zu der für die gestohlenen Anwenderkarten existierenden äquivalent
ist.
-
Ziel der Erfindung ist insbesondere,
diese Nachteile des Standes der Technik zu lindern.
-
Es ist außerdem aus dem Dokument
DE 92 17 379 U ein
Sicherungsverfahren bekannt, das eine Phase des Erzeugens einer
Verknüpfung
zwischen Endgerät
und Anwenderkarte und eine Phase der Überprüfung der Verknüpfung umfasst.
Bei der Phase der Erzeugung der Verknüpfung liest das Endgerät auf der
Anwenderkarte gespeicherte Identifikationsdaten und speichert sie,
gegebenenfalls verschlüsselt,
in seinem Speicher.
-
Ziel der vorliegenden Erfindung ist,
eine alternative Lösung
für die
Erzeugung einer Verknüpfung
zwischen Endgerät
und Anwenderkarte vorzuschlagen.
-
Genauer gesagt ist eines der Ziele
der vorliegenden Erfindung, ein Verfahrung zur Sicherung der Benutzung
eines Endgeräts
eines zellularen Funkkommunikationssystems anzugeben, wobei das
Verfahren es ermöglicht,
alle Gefahren der betrügerischen
Verwendung des Endgeräts
völlig
zu beseitigen.
-
Dieses Ziel wird erfindungsgemäß erreicht mit
Hilfe eines Verfahrens zur Sicherung der Benutzung eines Endgeräts eines
zellularen Funkkommunikationssystems, wobei das Endgerät von dem
Typ ist, der vorgesehen ist, um mit einer Anwenderkarte zusammenzuarbeiten
und in wenigstens zwei verschiedenen Betriebsmodi arbeiten kann,
nämlich
einem normalen Modus, in dem es mit einer beliebigen Anwenderkarte
benutzt werden kann, und einem verriegelten Modus, in dem es nur
mit derjenigen Anwenderkarte, als verknüpfte Anwenderkarte bezeichnet,
benutzt werden kann, mit der es verriegelt worden ist,
dadurch
gekennzeichnet, dass in einer Speicherzone der verknüpften Anwenderkarte
erste Verriegelungsdaten gespeichert werden, die durch eine für das Endgerät eigentümliche Rechenfunktion
berechnet werden;
und dass in dem verriegelten Modus das Verfahren eine
Phase der Authentisierung, durch das Endgerät, der Anwenderkarte, mit der
es zusammenarbeitet, umfasst, wobei diese Authentisierungsphase
insbesondere die folgenden Schritte umfasst:
- – Berechnen
von zweiten Verriegelungsdaten, in dem Endgerät und ausgehend von einer dem Endgerät eigentümlichen
und mit der vorhergehenden identischen Rechenfunktion und von in
einer für
das Endgerät
zugänglichen
Speicherzone gelesenen intermediären
Daten;
- – Vergleichen
der ersten und zweiten Verriegelungsdaten und Zulassen der Benutzung
des Endgeräts
nur bei Gleichheit, das heißt,
wenn die Anwenderkarte, mit der das Endgerät zusammenarbeitet, als die
verknüpfte
Anwenderkarte authentisiert ist.
-
Das allgemeine Prinzip der Erfindung
besteht also darin, eine Verknüpfung
zwischen einem Endgerät
und einer Anwenderkarte herzustellen, indem Verriegelungsdaten auf
dieser Anwenderkarte (als verknüpfte
Anwenderkarte bezeichnet) gespeichert werden. Dieses Prinzip unterscheidet
sich grundlegend von dem in den zitierten Patent
EP 301 740 vorgeschlagenen. Das bekannte
Prinzip beruht zwar ebenfalls darauf, eine Verknüpfung zwischen dem Endgerät und einer
Anwenderkarte herzustellen, beruht aber auf der Speicherung der
Verriegelungsdaten im Endgerät
(und nicht in der verknüpften Anwenderkarte).
-
Auf diese Weise ermöglicht das
erfindungsgemäße Verfahren
einen Betrieb im verriegelten Modus, bei dem die Benutzung des Endgeräts nur mit der
verknüpften
Anwenderkarte möglich
ist.
-
Außerdem erlaubt es, alle Gefahren
einer betrügerischen
Benutzung des Endgeräts
vollständig zu
beseitigen. Es hat daher nicht die Verwundbarkeit des bekannten
Verfahrens. Die Verknüpfung
zwischen Endgerät
und Anwenderkarte ist nämlich
einerseits abhängig
von den auf der verknüpften
Anwenderkarte gespeicherten ersten Daten und andererseits von einer
dem Endgerät
eigentümlichen
Rechenfunktion. Ein Betrüger
kann aber keinesfalls diese Rechenfunktion herausfinden, die nicht
lesend zugänglich
ist. Außerdem
kennt er, sofern die Anwenderkarte nicht zusammen mit dem Endgerät gestohlen
worden ist, auch nicht die gespeicherten ersten Daten. Infolge dessen
kann er eine Anwenderkarte in seinem Besitz auch nicht so abwandeln,
dass diese von dem Endgerät
als die mit ihm verknüpfte
Anwenderkarte angesehen wird.
-
Andere Ziele werden mit dem erfindungsgemäßen Verfahren,
wie in den abhängigen
Ansprüchen
definiert, erreicht.
-
Ein zusätzliches Ziel der Erfindung
ist, ein solches Verfahren anzugeben, das lokal oder aus der Ferne
die Blockierung (völlige
Sperrung des Betriebs) oder Entblockierung (Autorisierung des Betriebs
im verriegelten Modus) eines Endgeräts ermöglicht.
-
Ein anderes Ziel ist, ein derartiges
Verfahren anzugeben, das es einem Teilnehmer, der über mehrere
Endgeräte
für einen
gleichen Teilnehmervertrag verfügt,
ermöglicht,
ständig über wenigstens
ein Endgerät
zu verfügen,
mit dem diverse „passive
Empfangsfunktionen" (Betrieb
von Typ Anrufbeantworter) wie etwa die Speicherung der empfangenen
Anrufe sichergestellt werden können.
-
Es ist offensichtlich, dass, wenn
die verknüpfte
Anwenderkarte zusammen mit dem Endgerät gestohlen worden ist, der
Teilnehmer den Betreiber oder Verwalter des Netzes benachrichtigen
kann, damit die Verwendung seiner Anwenderkarte auf Systemniveau
gesperrt wird.
-
Außerdem bietet das erfindungsgemäße Verfahren
einen Betrieb in verriegeltem Modus an, der ausreichend abgesichert
ist, so dass nicht jedes Mal, wenn der Anwender seine Anwenderkarte
in das Endgerät
einführt
oder dieses in Betrieb nimmt, die Eingabe seines PIN-Codes verlangt
werden muss.
-
Vorteilhafter Weise wird die Authentisierungsphase
insbesondere durchgeführt
bei:
- – jeder
Inbetriebnahme des Endgeräts
und/oder
- – bei
jeder Änderung
der mit dem Endgerät
zusammenarbeitenden Anwenderkarte.
-
Die Authentisierungsphase kann ebenfalls vorteilhaft
nach einer vorgegebenen Strategie, das heißt in vorgegebenen (regelmäßigen oder
nicht regelmäßigen) Zeitintervallen,
wiederholt werden.
-
Vorzugsweise ist die dem Endgerät eigentümliche Rechenfunktion
eine Verschlüsselungsfunktion
nach einem vorgegebenen Algorithmus, und die ersten und zweiten
Verriegelungsdaten sind mit dieser Verschlüsselungsfunktion verschlüsselte Daten.
-
Auf diese Weise wird der Grad der
Absicherung der Verwendung des Endgeräts noch weiter erhöht.
-
Bei einer ersten bevorzugten Ausgestaltung der
Erfindung wird der Schritt des Speicherns der ersten Verriegelungsdaten
in einer Speicherzone der verknüpften
Anwenderkarte bei einer vorhergehenden Personalisierung der verknüpften Anwenderkarte
durchgeführt.
-
Diese vorhergehende Personalisierung
wird zum Beispiel bei der Herstellung der Anwenderkarte, bei der
Inbetriebnahme der Anwenderkarte (durch den Hersteller, Betreiber
oder Vertreiber) oder auch beim Zusammenfügen einer personalisierten
Anordnung, die das Endgerät
und seine Anwenderkarte umfasst, durchgeführt. Mit anderen Worten wird
die Anwenderkarte im Werk oder von einem Vertreiber personalisiert.
Was ihren Betrieb im verriegelten Modus angeht, ist die Anwenderkarte
also ab ihrer Personalisierung mit einem bestimmten Endgerät verknüpft, nämlich demjenigen,
dessen ihm eigentümliche
Rechenfunktion es ihm erlaubt, anhand von intermediären Daten
zweite Verriegelungsdaten zu berechnen, die mit den in der verknüpften Anwenderkarte
gespeicherten ersten Verriegelungsdaten identisch sind. Mit anderen
Worten kann die Anwenderkarte nur mit diesem ersten Endgerät verriegelt
werden.
-
Bei einer zweiten bevorzugten Ausgestaltung
der Erfindung wird der Schritt des Speicherns der ersten Verriegelungsdaten
in einer Speicherzone der verknüpften
Anwenderkarte bei jedem Übergang vom
normalen in den verriegelten Modus durchgeführt, wobei neue zu speichernde
erste Daten in dem Endgerät
anhand der für
das Endgerät
eigentümlichen
Rechenfunktion und den intermediären
Daten berechnet werden.
-
In diesem Fall ist die Anwenderkarte
nicht vorab mit einem Endgerät
verknüpft
und kann somit mit jedem beliebigen Endgerät verriegelt werden. Es wird
nämlich
nur beim Übergang
vom normalen Modus in den verriegelten Modus die Verknüpfung mit dem
Endgerät
erzeugt (das somit dasjenige ist, mit dem die Anwenderkarte zusammenwirkt).
-
Vorteilhafterweise wird bei jedem Übergang vom
verriegelten Modus in den normalen Modus der Inhalt der Speicherzone
der zuvor verknüpften
Anwenderkarte, in der die ersten Verriegelungsdaten gespeichert
werden, abgewandelt, um so die Authentisierungsverknüpfung zwischen
dem Endgerät
und der zuvor damit verknüpften
Anwenderkarte aufzuheben.
-
So ist man vor dem nächsten Übergang
in den verriegelten Modus sicher, dass keine Anwenderkarte mit dem
Endgerät
verknüpft
ist. Mit anderen Worten behält
im normalen Modus keine Anwen derkarte, auch diejenige nicht, mit
der das Endgerät
zuvor verriegelt war, in ihrem Speicher eine Spur einer früheren Verknüpfung mit
dem Endgerät.
-
Vorteilhafterweise kann im verriegelten
Modus das Endgerät
mit wenigstens einer anderen Anwenderkarte, als andere verknüpfte Anwenderkarte bezeichnet,
während
einer Multi-Anwender-Sitzung verwendet werden, die beginnt, nachdem
ein Multi-Anwender-Code an das Endgerät übertragen worden ist und die
endet, wenn entweder die andere Anwenderkarte nicht mehr mit dem
Endgerät
zusammenarbeitet oder wenn das Endgerät angehalten und wieder in
Gang gesetzt wird.
-
In diesem Fall arbeitet das Endgerät im verriegelten
Modus mit der einen oder mit der anderen der zwei verknüpften Anwenderkarten.
Wenn die Multi-Anwender-Sitzung, die die Verwendung einer zweiten
verknüpften
Anwenderkarte ermöglicht,
endet, wird zur Verknüpfung
zwischen dem Endgerät und
der ersten verknüpften
Anwenderkarte zurückgekehrt.
Die verknüpfte
Anwenderkarte, mit der das Endgerät zusammenwirkt, kann also
durch eine andere Anwenderkarte ersetzt werden, ohne dass dies den Übergang über den
normalen Modus erfordert. Infolge dessen bleibt die Sicherung der
Verwendung des Endgeräts
vollständig,
selbst wenn es zwei und nicht nur eine verknüpfte Anwenderkarte gibt.
-
Vorzugsweise werden die intermediären Daten
in einer Speicherzone des Endgeräts
gespeichert.
-
Eine bevorzugten Abwandlung zufolge
werden die intermediären
Daten in einer Speicherzone der Anwenderkarte gespeichert, mit der
das Endgerät
zusammenarbeitet.
-
Einer zweiten bevorzugten Variante
zufolge, die die zwei oben genannten Lösungen kombiniert, werden die
intermediären
Daten zum Teil in einer Speicherzone des Endgeräts und zum anderen Teil in einer
Speicherzone der Anwenderkarte gespeichert, mit der das Endgerät zusammenarbeitet.
-
Vorteilhafterweise wird der Schritt
des Speicherns der intermediären
Daten durchgeführt:
- – bei
der Herstellung des Endgeräts
für die
intermediären
Daten, die in einer Speicherzone des Endgeräts gespeichert werden,
- – bei
der Herstellung der Anwenderkarte für die intermediären Daten,
die in einer Speicherzone der Anwenderkarte gespeichert werden.
-
Vorzugsweise erfordert der Übergang
des Endgeräts
vom normalen Modus in den verriegelten Modus die Übertragung
eines vorgegebenen Verriegelungs-/Entriegelungscodes, und der Übergang
des Endgeräts
vom verriegelten Modus in den normalen Modus erfordert die Übertragung
des Verriegelungs-/Entriegelungscodes.
-
Auf diese Weise ist die Sicherung
der Anwendung des Endgeräts
noch weiter verbessert.
-
Vorteilhafterweise wird der Verriegelungs-/Entriegelungscode
von einem Anwender des Endgeräts
in eine mit dem Endgerät
verbundene Tastatur eingegeben.
-
Bei einer vorteilhaften Ausgestaltung
der Erfindung erfasst im verriegelten Modus das Verfahren
- – einen
Schritt des Blockierens des Endgerätes, in dessen Verlauf der
Inhalt der Speicherzone der verknüpften Anwenderkarte, in der
die ersten Verriegelungsdaten gespeichert sind, wenigstens teilweise
verändert
wird, um das Endgerät
unbenutzbar zu machen, selbst wenn die Anwenderkarte, mit der es
zusammenarbeitet, die verknüpfte
Anwenderkarte ist,
- – einen
Schritt des Entblockierens des Endgerätes, in dessen Verlauf die
ersten Verriegelungsdaten in einer Speicherzone der verknüpften Anwenderkarte
neu geschrieben werden, um das Endgerät von neuem benutzbar zu machen,
wenn die Anwenderkarte, mit der es zusammenarbeitet, die verknüpfte Anwenderkarte
ist.
-
So kann das Endgerät, wenn
es im verriegelten Modus ist, unbenutzbar gemacht werden (vollständige, eine
betrügerische
Benutzung verhindernde Blockierung), ohne dafür ausgeschaltet zu werden.
In diesem Zustand „eingeschaltet
aber blockiert" kann
das Endgerät
diverse „passive
Empfangsfunktionen" (Anrufbeantworterfunktion)
wie etwa die Speicherung der empfangenen Anrufe wahrnehmen.
-
Vorzugsweise wird der Schritt des
Blockierens durchgeführt,
wenn ein Blockierbefehl an das Endgerät übertragen wird, und der Schritt
des Entblockierens wird durchgeführt,
wenn ein Entblockierbefehl an das Endgerät übertragen wird.
-
So erlaubt das erfindungsgemäße Verfahren lokal
oder aus der Ferne die Blockierung (vollständige Funktionssperrung) oder
Entblockierung (Autorisierung der Funktion im verriegelten Modus)
des Endgeräts.
-
Vorteilhafterweise werden die Blockier-
und Entblockierbefehle von dem Endgerät nur berücksichtigt, wenn sie von einem
vorgegebenen Blockier-/Entblockiercode begleitet sind. Dies ermöglicht eine
weitere Absicherung der Anwendung des Endgeräts.
-
Vorzugsweise werden die Blockier-
und Entblockierbefehle an das Endgerät über einen Kurznachrichtendienst übertragen.
-
Eine bevorzugten Variante zufolge
werden die Blockier- und Entblockierbefehle an das Endgerät über einen
Datenübertragungsdienst übertragen.
-
Bei einer bevorzugten Ausgestaltung
der Erfindung werden die Blockier- und Entblockierbefehle an das
Endgerät,
als erstes Endgerät
bezeichnet, von einem anderen Endgerät, als zweites Endgerät bezeichnet,
aus übertragen,
und
die Anwenderkarte, mit der das zweite Endgerät zusammenarbeitet, und die
Anwenderkarte, mit der das erste Endgerät zusammenarbeitet, entsprechen einem
gleichen Teilnehmervertrag.
-
So ermöglicht es das erfindungsgemäße Verfahren
einem Teilnehmer, der über
mehrere Endgeräte
für einen
gleichen Kundenvertrag verfügt,
permanent über
wenigstens ein Endgerät
zu verfügen, das
es erlaubt, eine Funktion vom Typ Anrufbeantworter (zum Beispiel
Speicherung von empfangenen Anrufen) durchzuführen.
-
Die Erfindung betrifft auch ein Endgerät, das in
der Lage ist, das erfindungsgemäße Verfahren
wie oben dargestellt durchzuführen.
-
Das erfindungsgemäße Endgerät umfasst Mittel zur Sicherung
seiner Verwendung, insbesondere
- – eine dem
Endgerät
(T) eigentümliche
Rechenfunktion (A),
- – Mittel
zum Speichern, in einer Speicherzone der verknüpften Anwenderkarte, von ersten
Verriegelungsdaten, die von der besagten Rechenfunktion berechnet
werden;
- – erste
Mittel zum Lesen der ersten Verriegelungsdaten in der Speicherzone
der verknüpften Anwenderkarte;
- – zweite
Mittel zum Lesen von intermediären
Daten in einer für
das Endgerät
zugänglichen
Speicherzone;
- – Mittel
zum Berechnen, ausgehend von der Rechenfunktion und den intermediären Daten,
von zweiten Verriegelungsdaten;
- – Mittel
zum Vergleichen der ersten und zweiten Verriegelungsdaten; und
- – Mittel
zum selektiven Autorisieren, die die Anwendung des Endgeräts nur im
Falle der Gleichheit, das heißt
wenn die Anwenderkarte, mit der das Endgerät zusammenarbeitet, als die
verknüpfte
Anwenderkarte authentisiert worden ist, zulassen,
wobei
die Sicherungsmittel in dem verriegelten Modus bei einer Phase der
Authentisierung, durch das Endgerät, der mit ihm zusammenarbeitenden
Anwenderkarte verwendet werden.
-
Andere Merkmale und Vorteile der
Erfindung ergeben sich aus der nachfolgenden Beschreibung mehrerer
bevorzugter Ausgestaltungen der Erfindung, die als erläuternde
und nicht einschränkende Beispiele
gegeben werden, sowie den beigefügten Zeichnungen.
-
1 erlaubt
es, das allgemeine Prinzip des erfindungsgemäßen Verfahrens anhand eines
vereinfachten Flussdiagramms der Phase der Authentisierung der Endgeräte-Anwenderkarte-Verbindung zu
erläutern;
-
jedes der drei Figurenpaare (2A, 2B), (3A, 3B) und (4A, 4B)
zeigt eine andere Technik zur Durchführung der Authentisierungsphase
aus 1 mit einer für jedes
Paar abweichenden Ausgestaltung der Speicherung der intermediären Daten,
wobei jedes Paar umfasst:
- – eine erste 2A, 3A und 4A, die schematisch die Verteilung
von Elementen, die die Anwendung des erfindungsgemäßen Verfahrens
ermöglichen, zwischen
dem Endgerät
und der Anwenderkarte zeigen;
- – eine
zweite 2B, 3B und 4B, die schematisch den Ablauf der Phase
der Authentisierung der Anwenderkarte durch das Endgerät zeigt;
-
5 zeigt
ein vereinfachtes Flussdiagramm einer ersten Ausgestaltung des erfindungsgemäßen Verfahrens;
-
6 zeigt
ein vereinfachtes Flussdiagramm einer zweiten Ausgestaltung des
erfindungsgemäßen Verfahrens;
-
7 zeigt
detaillierter die in 6 vorkommende
Phase der Erzeugung der Verbindung;
-
8 zeigt
detaillierter die Phase der Blockierung des Endgeräts;
-
9 zeigt
detaillierter die in 6 auftretende
Phase der Entblockierung des Endgeräts und einer Anwenderkarte
gemäß der Erfindung.
-
Die Erfindung betrifft also ein Verfahren
zur Sicherung der Anbindung eines Endgeräts eines zellularen Funkkommunikationssystems.
Das Endgerät ist
von dem Typ, der vorgesehen ist, um mit einer Anwenderkarte zusammenzuarbeiten,
und der in wenigstens zwei verschiedenen Betriebsmodi arbeiten kann,
nämlich
einem normalem Modus, in dem es mit einer beliebigen Anwenderkarte
benutzt werden kann, und einem verriegelten Modus, in dem es nur mit
derjenigen Anwenderkarte, als verknüpfte Anwenderkarte bezeichnet,
benutzt werden kann, mit der es verriegelt worden ist.
-
Es ist daher zweckmäßig, einerseits
eine Verknüpfung
zwischen dem Endgerät
und der Anwenderkarte herzustellen und andererseits diese Verknüpfung zwischen
dem Endgerät
und der Anwenderkarte zu authentisieren, um im verriegelten Modus
die An wendung einer anderen Anwenderkarte als der verknüpften Anwenderkarte
zu verhindern.
-
Die Phase der Erzeugung der Verknüpfung besteht
erfindungsgemäß darin,
in einer Speicherzone der verknüpften
Anwenderkarte erste Verriegelungsdaten zu speichern. Wie in der
weiteren Beschreibung genauer erläutert, kann diese Erzeugungsphase
bei der Herstellung der Anwenderkarte oder bei jedem Übergang
vom normalen Modus in den verriegelten Modus durchgeführt werden.
-
In dem verriegelten Modus besteht
die Phase der Authentisierung der Verknüpfung in einer Überprüfung der
Anwenderkarte durch das mit ihr zusammenarbeitende Endgerät. Erfindungsgemäß und wie
in dem vereinfachten Flussdiagramm der 1 dargestellt, umfasst diese Authentisierungsphase 10 insbesondere
die folgenden Schritte:
- – Berechnen (11),
in dem Endgerät,
ausgehend von einer dem Endgerät
eigentümlichen
Rechenfunktion A und von in einer für das Endgerät zugänglichen
Speicherzone gelesenen intermediären
Daten DI, von zweiten Verriegelungsdaten D2;
- – Vergleichen
(12) der ersten und zweiten Verriegelungsdaten D1, D2 in
dem Endgerät
und
- – Autorisieren
(13) der Anwendung des Endgeräts nur im Fall der Übereinstimmung,
das heißt
wenn die Anwenderkarte, mit der das Endgerät zusammenarbeitet, als die
verknüpfte
Anwenderkarte authentisiert ist. Im entgegengesetzten Fall wird die
Anwendung des Endgeräts
verweigert (14)
-
Diese Authentisierungsphase 10 wird
zum Beispiel bei jeder Inbetriebnahme des Endgeräts und bei jeder Änderung
der mit dem Endgerät
zusammenarbeitenden Anwenderkarte durchgeführt. Sie kann auch wiederholt
nach einer vorgegebenen Strategie (zum Beispiel in regelmäßigen Zeitintervallen während des
Betriebs im verriegelten Modus) durchgeführt werden.
-
Die dem Endgerät eigentümliche Rechenfunktion A ist
zum Beispiel eine Verschlüsselungsfunktion
nach einem vorgegebenen Algorithmus, so dass die ersten Verriegelungsdaten
D1 und zweiten Verriegelungsdaten D2 mit dieser Verschlüsselungsfunktion
A verschlüsselte
Daten sind.
-
Jedes der drei Paare von Figuren
(2A, 2B), (3A, 3B), (4A, 4B)
zeigt eine andere Technik zur Durchführung der Authentisierungsphase 10 aus 1.
-
Für
jedes Paar zeigt die erste 2A, 3A und 4A schematisch die Aufteilung zwischen
dem Endgerät
T und der Anwenderkarte CU von Elementen, die die Durchführung des
erfindungsgemäßen Verfahrens
ermöglichen.
Diese Elemente sind insbesondere die ersten Verriegelungsdaten D1,
die dem Endgerät
eigentümliche
Rechenfunktion A, eine Vergleichsfunktion C und die intermediären Daten
DI. Aufgrund des Prinzips der Erfindung sind die ersten Verriegelungsdaten
D1 immer auf der verknüpften Anwenderkarte
CU gespeichert. Außerdem
sind per definitionem die dem Endgerät eigentümliche Rechenfunktion A und
die Vergleichsfunktion C auf dem Endgerät T gespeichert. Die intermediären Daten
DI können
jedoch je nach verwendeter Technik auf dem Endgerät (vergleiche 2A und 2B), auf der Anwenderkarte CU (vergleiche 3A und 3B) oder verteilt zwischen dem Endgerät T und
der Anwenderkarte CU (vergleiche 4A und 4B) gespeichert sein.
-
Die zweite 2B, 3B und 4B zeigt schematisch den
Ablauf der Authentisierungsphase der Anwenderkarte CU durch das
Endgerät
T.
-
Einer ersten Technik zufolge (vergleiche 2A und 2B) sind die intermediären Daten
DI in einer Speicherzone des Endgeräts T gespeichert. Der Ablauf
der Phase der Authentisierung der Verknüpfung ist der folgende (vergleiche 2B): das Endgerät liest
auf der Anwenderkarte die ersten Verriegelungsdaten D1 und vergleicht
sie (C) mit zweiten Verriegelungsdaten D2, die es anhand der Rechenfunktion
A und der von ihm gespeicherten intermediären Daten DI berechnet hat.
Das Ergebnis R dieses Vergleichs ermöglicht die Autorisierung oder
Nichtautorisierung des Endgeräts
T.
-
Einer zweiten Technik zufolge (vergleiche 3A und 3B) sind die intermediären Daten
in einer Speicherzone der Anwenderkarte CU gespeichert, mit der
das Endgerät
T zusammenarbeitet. Der Ablauf der Phase der Authentisierung der
Verknüpfung (vergleiche 3B) ist der gleiche wie
bei der ersten Technik, mit der Ausnahme, dass das Endgerät T die intermediären Daten
DI auf der Anwenderkarte CU liest.
-
Einer dritten Technik zufolge (vergleiche 4A und 4B) werden die intermediären Daten
DI zu einem Teil DI' in
einer Speicherzone des Endgeräts
T und zu einem anderen Teil DI'' in einer Speicherzone
der Anwenderkarte CU gespeichert, mit der das Endgerät zusammenarbeitet.
Der Ablauf der Phase der Authentisierung der Verknüpfung (vergleiche 4B) ist der gleiche wie
bei der ersten Technik, mit der Ausnahme, dass das Endgerät T mit
einer Kombinationsfunktion fc die im Endgerät gespeicherten
intermediären
Daten DI' und die
in der Anwenderkarte gespeicherten intermediären Daten DI'' kombiniert und das Ergebnis DIr dieser Kombination verwendet, um mit der
Rechenfunktion A die zweiten Verriegelungsdaten D zu berechnen.
-
Wie man sieht, können mehrere Endgeräte eine
gleiche Verschlüsselungsfunktion
haben. In diesem Fall wird die Authentisierungsphase 10 vorzugsweise
mit der ersten oder der dritten oben angeführten Technik durchgeführt. So
wird mit Hilfe der intermediären
Daten DI, DI', die
in einer Speicherzone des Endgeräts
gespeichert sind, die aber von einem Endgerät zum anderen unterschiedlich
sind, vermieden, dass erste Verriege lungsdaten, die in den mit den
verschiedenen Endgeräten
verknüpften
Anwenderkarten gespeichert sind, eine gleiche Verschlüsselungsfunktion
haben.
-
Die intermediären Daten DI, DI', DI'' werden zum Beispiel bei der Herstellung
des Materials (von Fall zu Fall Endgerät oder Anwenderkarte) gespeichert,
in dem sie gespeichert werden.
-
5 zeigt
ein vereinfachtes Flussdiagramm einer ersten Ausgestaltung des erfindungsgemäßen Verfahrens.
Der Schritt 51 der Erzeugung der Verknüpfung zwischen Endgerät und Anwenderkarte,
das heißt
der Schritt, bei dem die ersten Verriegelungsdaten D1 in einer Speicherzone
der verknüpften Anwenderkarte
gespeichert werden, wird definitiv bei der Personalisierung der
verknüpften
Anwenderkarte (zum Beispiel bei ihrer Herstellung) durchgeführt. Während des
Betriebs im verriegelten Modus wird die Phase 10 der Authentisierung
der Verknüpfung
so oft wie notwendig durchgeführt.
Außerdem
ist es möglich,
vom normalen Modus in den verriegelten Modus überzugehen und umgekehrt.
-
6 zeigt
ein vereinfachtes Flussdiagramm einer zweiten Ausgestaltung des
erfindungsgemäßen Verfahrens.
Die Phase 61 der Erzeugung der Verknüpfung wird bei jedem Übergang
vom normalen Modus in den verriegelten Modus durchgeführt.
-
Die 7 zeigt
detaillierter diese Phase 61 der Erzeugung der Verknüpfung, die
die folgenden Schritte umfasst:
- – im Endgerät werden
neue erste Daten D1 anhand der dem Endgerät eigentümlichen Rechenfunktion A und
der intermediären
Daten DI berechnet (71);
- – diese
neuen ersten Verriegelungsdaten D1 werden in einer Speicherzone
der verknüpften
Anwenderkarte gespeichert (72).
-
Es kann auch ein Schritt 62 der
Aufhebung der vorhergehenden Verknüpfung zwischen Endgerät und verknüpfter Anwenderkarte
vorgesehen werden, der bei jedem Übergang vom verriegelten Modus
in den normalen Modus durchgeführt
wird. Hierfür
wird der Inhalt der Speicherzone der zuvor verknüpften Anwenderkarte, in dem
die ersten Verriegelungsdaten gespeichert sind, wenigstens teilweise verändert.
-
Optionsweise kann auch vorgesehen
werden, dass unter Aufrechterhaltung des mit einer ersten Anwenderkarte
verriegelten Modus das Endgerät mit
wenigstens einer zweiten verknüpften
Anwenderkarte in einer Multi-Anwender-Nutzung verwendet werden kann.
Diese Sitzung, in der die zweite Anwenderkarte angewendet wird,
beginnt mit dem Liefern eines Multi-Anwender-Codes an das Endgerät und endet,
wenn die zweite verknüpfte
Anwenderkarte nicht mehr mit dem Endgerät zusammenarbeitet, oder wenn
das Endgerät
angehalten und wieder in Gang gesetzt wird. Am Ende der Sitzung
wird in den verriegelten Modus mit der Verknüpfung zwischen dem Endgerät und der
ersten verknüpften
Anwenderkarte zurückgekehrt.
-
Es werden nun in Beziehung zu der
zweiten Ausgestaltung des erfindungsgemäßen Verfahrens, wie in 6 dargestellt, diverse zusätzliche
Schritte dargestellt, die das erfindungsgemäße Verfahren aufweisen kann.
Diese zusätzlichen
Schritte können auch
zu der ersten Ausgestaltung des Verfahrens, wie in 5 dargestellt, hinzugefügt werden.
-
So kann für den Übergang vom normalen Modus
in den verriegelten Modus sowie für den entgegengesetzten Übergang
die Bereitstellung eines vorgegebenen Verriegelungs-/Entriegelungscodes (mit 63 und 64 bezeichnete
Schritte) verlangt werden. Dieser Verriegelungs-/Entriegelungscode
wird zum Beispiel vom Teilnehmer auf einer mit seinem Endgerät verbundenen
(oder in dieses integrierten) Tastatur eingegeben.
-
Das Verfahren kann auch im verriegelten Modus
einen Schritt 65 des Blockierens des Endgeräts und einen
Schritt 66 des Entblockieren des Endgeräts umfassen.
-
8 zeigt
detaillierter diese Phase der Blockierung des Endgeräts, die
insbesondere einen Schritt 83 der wenigstens partiellen Änderung
des Inhalts der Speicherzone der verknüpften Anwenderkarte umfasst,
in der die ersten Verriegelungsdaten D1 gespeichert sind. Dadurch
ist es möglich
das Endgerät
unbenutzbar zu machen, selbst wenn die Anwenderkarte, mit der es
zusammenarbeitet, die verknüpfte
Anwenderkarte ist. Es ist wichtig, festzuhalten, dass in diesem
blockierten Zustand das Endgerät
eingeschaltet bleibt und daher Anrufbeantworterfunktionen (zum Beispiel
im Falle eines Anrufs die Speicherung der Nummer des Anrufers oder
einer von diesem hinterlassenen Nachricht) wahrnehmen kann.
-
Die Ausführung des Blockierschritts 65 kann durch
die folgende doppelte Bedingung bedingt sein: (81) ein
Blockierbefehl muss an das Endgerät übertragen werden, (82)
dieser Blockierbefehl muss von einem vorgegebenen Blockier-/Entblockiercode
begleitet sein.
-
9 zeigt
detaillierter die Phase des Entblockierens des Endgeräts, die
insbesondere einen Schritt 93 des erneuten Schreibens der
Verriegelungsdaten D1 in die Speicherzone der verknüpften Anwenderkarte
umfasst. Dadurch kann das Endgerät erneut
nutzbar gemacht werden, sofern natürlich die Anwenderkarte, mit
der es zusammenarbeitet, die verknüpfte Anwenderkarte ist.
-
Die Durchführung des Entblockierschritts 66 kann
durch die folgende doppelte Bedingung bedingt sein: (91)
ein Entblockierbefehl muss an das Endgerät übertragen werden, (92)
die ser Entblockierbefehl muss von einem vorgegebenen Blockier-/Entblockiercode
begleitet sein.
-
Wie in 10 gezeigt,
werden die Blockier- und Entblockierbefehle zum Beispiel an das
Endgerät
(als erstes Endgerät
T1 bezeichnet) von einem anderen Endgerät (als zweites Endgerät T2 bezeichnet) über einen
Kurznachrichtendienst oder einen Datenübertragungsdienst übertragen
(101). Diese zwei Dienste werden nach den in den GSM-Empfehlungen
der Serien 2, 3, 4 und 7 beschriebenen
Techniken eingesetzt. In beiden Fällen muss das Netz auf Systemniveau
Mittel zum Leiten derartiger Blockier- und Entblockierbefehle aufweisen.
-
So kann ein Benutzer, der für einen
gleichen Teilnehmervertrag über
zwei verschiedene Anwenderkarten C1, C2 verfügt (die jeweils mit einem anderen
Endgerät
T1, T2 zusammenarbeiten) ständig über wenigstens
ein Endgerät
verfügen,
das diverse „passive
Empfangsfunktionen" (Betrieb
vom Typ Anrufbeantworter) gewährleistet.
-
Es wird nun ein Beispiel für die Anwendung des
erfindungsgemäßen Verfahrens
in dem Fall vorgestellt, wo das erste Endgerät T1 ein auf einem Fahrzeug
montiertes mobiles Endgerät
ist und wo das zweite Endgerät
T2 ein tragbares Endgerät
ist.
-
Während
eines vorgegebenen Zeitraums, zum Beispiel während eines wichtigen Treffens,
kann es sein, dass ein Teilnehmer keinen Anruf auf seinem tragbaren
Endgerät
empfangen möchte,
um nicht gestört
zu werden. Dennoch möchte
dieser Teilnehmer später
wissen, ob man versucht hat, ihn während dieses Zeitraums anzurufen.
Diese Möglichkeit
wird ihm durch das erfindungsgemäße Verfahren
geboten, wenn er die folgenden Operationen durchführt:
- – er
lässt sein
mobiles Endgerät
laufen;
- – er
bringt sein mobiles Endgerät
in den verriegelten Modus;
- – von
seinem tragbaren Endgerät
schickt er (durch Kurznachrichtendienst oder Datenübertragungsdienst)
einen Blockierbefehl an sein mobiles Endgerät;
- – er
schaltet sein tragbares Endgerät
aus.
-
So kann sein mobiles Endgerät sich als
Anrufbeantworter verhalten und gleichzeitig blockiert (das heißt unbenutzbar)
sein, weil die Anwenderkarte nicht mehr die ersten Verriegelungsdaten
D1 enthält. Später (zum
Beispiel wenn das Treffen zu Ende ist) führt der Benutzer die folgenden
Operationen durch:
- – er setzt sein tragbares Endgerät in Gang;
- – von
seinem tragbaren Endgerät
sendet er einen Entblockierbefehl an sein mobiles Endgerät.
-
So kann er sein mobiles Endgerät normal
benutzen, insbesondere um die aufgezeichneten Nachrichten oder die
während
des Betriebs des mobilen Endgeräts
als Anrufbeantworter gespeicherten Rufnummern zu lesen.
-
Die Erfindung betrifft auch ein Endgerät und eine
Anwenderkarte, die die Durchführung
des Verfahrens wie oben dargestellt ermöglichen. 11 zeigt ein vereinfachtes Schema einer
Ausgestaltung dieses Endgeräts
und dieser Anwenderkarte.
-
Die Anwenderkarte CU umfasst eine
Speicherzone 110, die vorgesehen ist, um erste Verriegelungsdaten
D1 aufzunehmen. Das Endgerät
T umfasst Mittel 111 zur Sicherung einer Benutzung, die insbesondere
umfassen:
- – erste
Mittel 112 zum Lesen, in der Speicherzone 110 der
verknüpften
Anwenderkarte CU, der ersten Verriegelungsdaten D1;
- – zweite
Mittel 113 zum Lesen von intermediären Daten DI in einer für das Endgerät zugänglichen Speicherzone 114;
- – Mittel 115 zum
Berechnen von zweiten Verriegelungsdaten D2 anhand einer dem Endgerät eigentümlichen
Rechenfunktion A und der gelesenen intermediären Daten DI;
- – Mittel 116 zum
Vergleichen der ersten und zweiten Verriegelungsdaten D1, D2; und
- – Mittel 117 zum
selektiven Autorisieren, die die Benutzung des Endgeräts nur im
Fall der Gleichheit gestatten, das heißt, wenn die Anwenderkarte,
mit der das Endgerät
zusammenarbeitet, als die verknüpfte
Anwenderkarte authentisiert ist.
-
Diese Sicherungsmittel 111 werden
im verriegelten Modus bei der Phase der Authentisierung 10 der
Anwenderkarte CU durch das Endgerät, mit dem diese zusammenarbeitet,
verwendet (vergleiche 1).
-
Bei der in 11 gezeigten Ausgestaltung werden die
intermediären
Daten DI in einer Speicherzone 114 des Endgeräts gespeichert.
Die Technik zur Durchführung
der Authentisierungsphase 1 ist dann die erste, oben in
Bezug auf die 2A und 2B beschriebene.
-
Es ist offensichtlich, dass die Erfindung
nicht auf diese besondere Ausgestaltung beschränkt ist, sondern auch den Fall
betrifft, wo die intermediären Daten
in einer Speicherzone der Anwenderkarte gespeichert sind, oder auch
den Fall, wo die intermediären
Daten zwischen dem Endgerät
und der Anwenderkarte verteilt sind.