本發(fā)明一般涉及經(jīng)由移動(dòng)無(wú)線電網(wǎng)絡(luò)的通信，尤其涉及用于個(gè)性化用于經(jīng)由移動(dòng)無(wú)線電網(wǎng)絡(luò)進(jìn)行通信的移動(dòng)終端設(shè)備的安全元件的方法和系統(tǒng)。

背景技術(shù)：

借助移動(dòng)終端設(shè)備、例如借助移動(dòng)電話通過(guò)由網(wǎng)絡(luò)運(yùn)營(yíng)商(也稱為mno[mobilenetworkoperator，移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商])運(yùn)營(yíng)的移動(dòng)無(wú)線電網(wǎng)絡(luò)(也稱為plmn[publiclandmobilenetwork，公共陸地移動(dòng)網(wǎng)絡(luò)])進(jìn)行通信，通常需要對(duì)移動(dòng)終端設(shè)備配備例如sim卡形式的安全元件，用于安全地接收相對(duì)于移動(dòng)無(wú)線電網(wǎng)絡(luò)唯一地對(duì)移動(dòng)終端設(shè)備的用戶進(jìn)行識(shí)別和認(rèn)證的訂閱授權(quán)數(shù)據(jù)(“subscriptioncredentials(訂閱憑證)”)。這種安全元件個(gè)別的訂閱授權(quán)數(shù)據(jù)、例如imsi(internationalmobilesubscriberidentity，國(guó)際移動(dòng)用戶識(shí)別碼)和認(rèn)證密鑰ki通常在所謂的“個(gè)性化”的過(guò)程中在安全元件制造商的安全環(huán)境中被存儲(chǔ)在安全元件上。

雖然過(guò)去大多數(shù)sim卡形式的安全元件可以在移動(dòng)終端設(shè)備中簡(jiǎn)單地進(jìn)行交換，但是一段時(shí)間以來(lái)存在固定地在移動(dòng)終端設(shè)備中嵌入的越來(lái)越多的安全元件。這種固定地在移動(dòng)終端設(shè)備中安裝的安全元件特別是已術(shù)語(yǔ)“嵌入式sim”或者“嵌入式uicc(euicc)”對(duì)于本領(lǐng)域技術(shù)人員是已知的。

如前面已經(jīng)提及的，迄今為止個(gè)性化通常在安全元件的制造商處的安全環(huán)境中進(jìn)行。這在未來(lái)經(jīng)常不再可能，因?yàn)閭€(gè)性化已經(jīng)必須由安全元件的處理器的制造商或者稍后必須在具有嵌入其中的安全元件的移動(dòng)終端設(shè)備的制造商的生產(chǎn)線中進(jìn)行。然而，在這種情況下必須確保，處理器制造商或者移動(dòng)終端設(shè)備的制造商不對(duì)或者在最好的情況下僅受限制地對(duì)要施加在安全元件上的安全元件個(gè)別的個(gè)性化數(shù)據(jù)、特別是包含在其中的訂閱授權(quán)數(shù)據(jù)進(jìn)行訪問。

由此需要改進(jìn)的、用于個(gè)性化優(yōu)選固定地在終端設(shè)備中安裝的安全元件的方法和裝置。

技術(shù)實(shí)現(xiàn)要素：

上述技術(shù)問題根據(jù)本發(fā)明通過(guò)獨(dú)立權(quán)利要求的相應(yīng)的主題來(lái)解決。在從屬權(quán)利要求中限定了本發(fā)明的優(yōu)選構(gòu)造。

根據(jù)本發(fā)明的第一方面，提供一種用于個(gè)性化用于經(jīng)由移動(dòng)無(wú)線電網(wǎng)絡(luò)進(jìn)行通信的終端設(shè)備的安全元件的方法。在此，所述方法包括以下步驟：初始化實(shí)例向安全元件提供初始化數(shù)據(jù)，其中，初始化數(shù)據(jù)包括個(gè)性化令牌；安全元件向個(gè)性化實(shí)例提供個(gè)性化令牌；個(gè)性化實(shí)例檢查個(gè)性化令牌的有效性；以及在成功檢查個(gè)性化令牌的有效性之后，個(gè)性化實(shí)例向安全元件提供個(gè)性化數(shù)據(jù)；其中，加密形式的用于對(duì)安全元件進(jìn)行認(rèn)證的授權(quán)數(shù)據(jù)已經(jīng)是初始化數(shù)據(jù)的一部分，并且個(gè)性化數(shù)據(jù)包括用于對(duì)授權(quán)數(shù)據(jù)進(jìn)行解密的密鑰。所述終端設(shè)備可以是移動(dòng)(或者固定)終端設(shè)備。

根據(jù)本發(fā)明，由此在第一階段，初始化實(shí)例將具有個(gè)性化令牌的初始化數(shù)據(jù)加載到安全元件上。初始化實(shí)例例如可以是安全元件的處理器的制造商的或者具有安全元件嵌入其中的移動(dòng)終端設(shè)備的制造商的服務(wù)器。初始化數(shù)據(jù)對(duì)于一批要個(gè)性化的安全元件基本上是相同的。除了這些初始化數(shù)據(jù)之外，還向安全元件提供安全元件個(gè)別的有效的個(gè)性化令牌。初始化數(shù)據(jù)例如可以是安全元件的操作系統(tǒng)的部分。

在第二階段，根據(jù)本發(fā)明，安全元件借助其有效的個(gè)性化令牌相對(duì)于個(gè)性化實(shí)例證明其除了初始化數(shù)據(jù)、還能夠從個(gè)性化實(shí)例下載安全元件個(gè)別的個(gè)性化數(shù)據(jù)的授權(quán)。利用訂閱授權(quán)數(shù)據(jù)(“訂閱憑證”)、例如imsi(internationalmobilesubscriberidentity，國(guó)際移動(dòng)用戶識(shí)別碼)和/或認(rèn)證密鑰ki，可以相對(duì)于移動(dòng)無(wú)線電網(wǎng)絡(luò)對(duì)安全元件進(jìn)行認(rèn)證。替換地或者附加地，授權(quán)數(shù)據(jù)可以包括加密密鑰。此時(shí)，加密形式的(訂閱)授權(quán)數(shù)據(jù)已經(jīng)是初始化數(shù)據(jù)的一部分。個(gè)性化數(shù)據(jù)包括用于對(duì)已經(jīng)存在于安全元件上的授權(quán)數(shù)據(jù)進(jìn)行解密的密鑰。個(gè)性化數(shù)據(jù)可以包括其它安全元件個(gè)別的數(shù)據(jù)。

優(yōu)選所述方法在初始化實(shí)例向安全元件提供初始化數(shù)據(jù)的步驟之前包括如下另外的步驟：個(gè)性化實(shí)例向初始化實(shí)例提供初始化數(shù)據(jù)和一批有效的個(gè)性化令牌。在此，有效的個(gè)性化令牌優(yōu)選由個(gè)性化實(shí)例進(jìn)行數(shù)字簽名，使得能夠檢查個(gè)性化令牌是否來(lái)自該個(gè)性化實(shí)例。

根據(jù)本發(fā)明的優(yōu)選實(shí)施方式，個(gè)性化實(shí)例向安全元件提供個(gè)性化數(shù)據(jù)經(jīng)由個(gè)性化實(shí)例和安全元件之間的安全的通信通道進(jìn)行。

為了在個(gè)性化實(shí)例和安全元件之間建立安全的通信通道，優(yōu)選在個(gè)性化實(shí)例和安全元件之間協(xié)商安全元件個(gè)別的密鑰，利用其保護(hù)個(gè)性化數(shù)據(jù)。

根據(jù)本發(fā)明的優(yōu)選實(shí)施方式，個(gè)性化實(shí)例和安全元件之間的安全通道基于公共密鑰基礎(chǔ)結(jié)構(gòu)。在這些優(yōu)選實(shí)施方式中，向安全元件傳輸?shù)某跏蓟瘮?shù)據(jù)優(yōu)選包括具有個(gè)性化實(shí)例的公鑰的個(gè)性化實(shí)例的證書。優(yōu)選可以以這種方式在個(gè)性化實(shí)例和安全元件之間形成tls通信通道(transportlayersecurity，傳輸層安全)，其中，相對(duì)于安全元件對(duì)個(gè)性化實(shí)例進(jìn)行認(rèn)證。相對(duì)于個(gè)性化實(shí)例對(duì)安全元件的認(rèn)證優(yōu)選經(jīng)由個(gè)性化令牌進(jìn)行。

優(yōu)選安全元件在向個(gè)性化實(shí)例提供個(gè)性化令牌的步驟中，除了個(gè)性化令牌之外，還向個(gè)性化實(shí)例傳輸安全元件的標(biāo)識(shí)符，例如芯片id或eid。

根據(jù)本發(fā)明的優(yōu)選實(shí)施方式，在進(jìn)行初始化時(shí)，可以在安全元件上提供多于一個(gè)的個(gè)性化令牌。在個(gè)性化實(shí)例不接受第一個(gè)性化令牌的情況下，設(shè)置其它個(gè)性化令牌是有利的。

優(yōu)選所述方法在成功檢查個(gè)性化令牌的有效性的步驟之后包括如下另外的步驟：在個(gè)性化實(shí)例上將個(gè)性化令牌標(biāo)記為無(wú)效或已經(jīng)使用。

根據(jù)本發(fā)明的優(yōu)選實(shí)施方式，個(gè)性化實(shí)例可以被構(gòu)造為，借助其它機(jī)制檢查個(gè)性化令牌的有效性，以識(shí)別并且在需要時(shí)拒絕對(duì)個(gè)性化令牌的濫用。

根據(jù)本發(fā)明的第二方面，提供一種用于個(gè)性化用于經(jīng)由移動(dòng)無(wú)線電網(wǎng)絡(luò)進(jìn)行通信的終端設(shè)備的安全元件的系統(tǒng)。在此，所述系統(tǒng)包括：初始化實(shí)例，其被構(gòu)造為，向安全元件提供初始化數(shù)據(jù)，其中，初始化數(shù)據(jù)包括個(gè)性化令牌；以及個(gè)性化實(shí)例，其被構(gòu)造為，從安全元件接收個(gè)性化令牌，檢查個(gè)性化令牌的有效性，并且在成功檢查個(gè)性化令牌的有效性之后，向安全元件提供個(gè)性化數(shù)據(jù)，其中，個(gè)性化數(shù)據(jù)包括用于相對(duì)于移動(dòng)無(wú)線電網(wǎng)絡(luò)進(jìn)行認(rèn)證的訂閱授權(quán)數(shù)據(jù)，或者加密形式的用于相對(duì)于移動(dòng)無(wú)線電網(wǎng)絡(luò)對(duì)安全元件進(jìn)行認(rèn)證的訂閱授權(quán)數(shù)據(jù)已經(jīng)是初始化數(shù)據(jù)的一部分，并且個(gè)性化數(shù)據(jù)包括用于對(duì)訂閱授權(quán)數(shù)據(jù)進(jìn)行解密的密鑰。所述終端設(shè)備可以是移動(dòng)(或者固定)終端設(shè)備。

如本領(lǐng)域技術(shù)人員認(rèn)識(shí)到的，前面描述的優(yōu)選構(gòu)造不僅能夠在本發(fā)明的第一方面的范圍內(nèi)、即在用于個(gè)性化安全元件的方法的范圍內(nèi)，而且能夠在本發(fā)明的第二方面的范圍內(nèi)、即在用于個(gè)性化安全元件的系統(tǒng)的范圍內(nèi)有利地實(shí)現(xiàn)。

附圖說(shuō)明

本發(fā)明的其它特征、優(yōu)點(diǎn)和任務(wù)由下面對(duì)多個(gè)實(shí)施例和替換實(shí)施方式的詳細(xì)描述得到。參考附圖，其中：

圖1示出了說(shuō)明本發(fā)明的不同方面的用于個(gè)性化euicc形式的安全元件的系統(tǒng)的示意性圖示，該安全元件是用于經(jīng)由移動(dòng)無(wú)線電網(wǎng)絡(luò)進(jìn)行通信的移動(dòng)電話的一部分，以及

圖2示出了個(gè)性化圖1的安全元件時(shí)的優(yōu)選流程的示意性圖示。

具體實(shí)施方式

圖1示出了說(shuō)明本發(fā)明的不同方面的、用于個(gè)性化移動(dòng)終端設(shè)備的安全元件的系統(tǒng)的部件的示意性圖示以及這些部件之間的通信連接中的一些。雖然在下面的詳細(xì)描述中稱為“移動(dòng)”終端設(shè)備，但是本領(lǐng)域技術(shù)人員應(yīng)當(dāng)認(rèn)識(shí)到，本發(fā)明能夠有利地結(jié)合被構(gòu)造用于經(jīng)由移動(dòng)或蜂窩通信網(wǎng)絡(luò)進(jìn)行通信、也即與位置實(shí)際上不發(fā)生變化的終端設(shè)備進(jìn)行通信的任意類型的終端設(shè)備來(lái)實(shí)現(xiàn)。換句話說(shuō)：這里使用的屬性“移動(dòng)”涉及終端設(shè)備經(jīng)由移動(dòng)或蜂窩通信網(wǎng)絡(luò)進(jìn)行通信的能力。

在圖1中示出了示例性的移動(dòng)終端設(shè)備10，其包括用于安全地存儲(chǔ)和處理唯一地識(shí)別例如移動(dòng)終端設(shè)備10和/或其用戶的數(shù)據(jù)的安全元件(“secureelement”)14。如在圖1中所示出的，移動(dòng)終端設(shè)備10優(yōu)選是移動(dòng)電話、智能電話或者具有顯示器12的類似裝置。然而，本領(lǐng)域技術(shù)人員應(yīng)當(dāng)認(rèn)識(shí)到，根據(jù)本發(fā)明的移動(dòng)終端設(shè)備10也可以以被配置用于經(jīng)由移動(dòng)無(wú)線電網(wǎng)絡(luò)進(jìn)行通信的其它裝置的形式來(lái)實(shí)現(xiàn)，例如平板計(jì)算機(jī)、筆記本計(jì)算機(jī)、tv系統(tǒng)、機(jī)頂盒、自動(dòng)售貨機(jī)、汽車、監(jiān)視照相機(jī)、傳感器裝置等。

根據(jù)本發(fā)明的優(yōu)選實(shí)施方式，安全元件14被構(gòu)造為其上實(shí)現(xiàn)sim應(yīng)用的euicc(embeddeduniversalintegratedcircuitcard，嵌入式通用集成電路卡)，即被構(gòu)造為作為移動(dòng)終端設(shè)備10的固定部件的安全元件，其在移動(dòng)無(wú)線電網(wǎng)絡(luò)中用于唯一并且可靠地識(shí)別用戶或參與者，并且用于提供不同的功能和增值服務(wù)。替換地，安全元件14可以被構(gòu)造為uicc(universalintegratedcircuitcard，通用集成電路卡)或者sim卡(subscriberidentitymodule，訂戶身份模塊)，其作為安全元件的目前最常用的形式對(duì)于本領(lǐng)域技術(shù)人員是已知的。然而，本領(lǐng)域技術(shù)人員應(yīng)當(dāng)認(rèn)識(shí)到，根據(jù)底層移動(dòng)無(wú)線電標(biāo)準(zhǔn)的世代和類型被稱為usim,r-uim,isim等的其它類型的安全元件也包含在本發(fā)明內(nèi)。

根據(jù)本發(fā)明的其它優(yōu)選實(shí)施方式，安全元件14可以在本領(lǐng)域技術(shù)人員也作為安全運(yùn)行環(huán)境(“trustedexecutionenvironment(可信執(zhí)行環(huán)境)”，tee)已知的、移動(dòng)終端設(shè)備10的中央處理器單元的操作系統(tǒng)的值得信任的部分中作為硬件和軟件部件的組合來(lái)構(gòu)造。安全元件14于是可以例如在移動(dòng)終端設(shè)備10的這種安全運(yùn)行環(huán)境內(nèi)部以在其中運(yùn)行的程序、即所謂的的形式構(gòu)造。

移動(dòng)終端設(shè)備10被構(gòu)造用于經(jīng)由空中接口與移動(dòng)無(wú)線電網(wǎng)絡(luò)20(也簡(jiǎn)稱為“mobilfunknetz”或者稱為“publiclandmobilenetwork”[plmn])進(jìn)行通信。為此，移動(dòng)終端設(shè)備10通常具有用于發(fā)送和接收無(wú)線電波的天線(在圖1中未示出)。

下面，結(jié)合根據(jù)在多個(gè)etsi規(guī)范中指定的gsm標(biāo)準(zhǔn)(“globalstandardformobilecommunications(全球移動(dòng)通信標(biāo)準(zhǔn))”)的移動(dòng)無(wú)線電網(wǎng)絡(luò)20來(lái)描述本發(fā)明的優(yōu)選實(shí)施方式。然而，本領(lǐng)域技術(shù)人員應(yīng)當(dāng)認(rèn)識(shí)到，也可以結(jié)合其它移動(dòng)無(wú)線電網(wǎng)絡(luò)有利地使用本發(fā)明。這些網(wǎng)絡(luò)包括第三代移動(dòng)無(wú)線電網(wǎng)絡(luò)(3gpp)、例如umts(universalmobiletelecommunicationssystem，通用移動(dòng)電信系統(tǒng))、第四代移動(dòng)無(wú)線電網(wǎng)絡(luò)(4g)、例如lte(longtermevolution，長(zhǎng)期演進(jìn))以及其它移動(dòng)無(wú)線電網(wǎng)絡(luò)、例如cdma等。

如本領(lǐng)域技術(shù)人員已知的，根據(jù)gsm標(biāo)準(zhǔn)構(gòu)建的移動(dòng)無(wú)線電網(wǎng)絡(luò)或plmn一般包括bss(“basestationsubsystem(基站子系統(tǒng))”)，bss由多個(gè)bts(“basetransceiverstation(基站收發(fā)站)”)構(gòu)成，bts定義plmn的各個(gè)無(wú)線電小區(qū)并且連接到bsc(“basestationcontroller(基站控制器)”)。bsc通常是與共同的msc(“mobileswitchingcenter(移動(dòng)交換中心)”)通信的多個(gè)bsc中的一個(gè)。稱為vlr(“visitorlocationregister(訪客位置寄存器)”)的本地?cái)?shù)據(jù)庫(kù)經(jīng)常是msc的一部分，用于保持關(guān)于目前位于由msc服務(wù)的無(wú)線電小區(qū)(即由msc覆蓋的區(qū)域)中的移動(dòng)無(wú)線電用戶的信息。msc主要提供與固定網(wǎng)絡(luò)(public-switchedtelephonenetwork(公共交換電話網(wǎng)絡(luò))；pstn)中的交換中心相同的功能并且與hlr(“homelocationregister(歸屬位置寄存器)”)通信，hlr是存儲(chǔ)關(guān)于移動(dòng)無(wú)線電用戶的注冊(cè)或認(rèn)證的信息的plmn的主數(shù)據(jù)庫(kù)。為此，hlr通常訪問auc(“authenticationcenter(認(rèn)證中心)”)。如本領(lǐng)域技術(shù)人員已知的，前面描述的plmn的部件之間的通信連接可以基于專有和/或開放標(biāo)準(zhǔn)。所使用的協(xié)議例如可以是基于ss7或者ip的。如何作為單獨(dú)或者組合的單元構(gòu)造網(wǎng)絡(luò)部件以及如何構(gòu)造這些部件之間的接口取決于mno，因此前面的描述僅應(yīng)當(dāng)理解為示例性的。

本領(lǐng)域技術(shù)人員應(yīng)當(dāng)認(rèn)識(shí)到，雖然前面描述的根據(jù)gsm標(biāo)準(zhǔn)的傳統(tǒng)移動(dòng)無(wú)線電網(wǎng)絡(luò)的功能單元在其它或未來(lái)的移動(dòng)無(wú)線電標(biāo)準(zhǔn)中可能具有其它名稱，但是基本原理基本上是相同的，因此其也包含在本發(fā)明內(nèi)。為了清楚起見，在圖1的示意性圖示中僅示出了在前面描述的移動(dòng)無(wú)線電網(wǎng)絡(luò)的部件中的如下部件：移動(dòng)無(wú)線電網(wǎng)絡(luò)20的示例性的bts22以及hlr24。

如從圖1中的安全元件14的放大視圖中可以看到的，安全元件14優(yōu)選包括中央處理單元或中央處理器(“centralprocessingunit”；cpu)15。處理器15優(yōu)選被構(gòu)造為，在處理器15上可以執(zhí)行應(yīng)用，例如個(gè)性化應(yīng)用15a(在圖1中稱為“小應(yīng)用程序”)，其優(yōu)選提供用于個(gè)性化安全元件14的特征中的至少一些，如下面將結(jié)合圖2詳細(xì)描述的。

安全元件14優(yōu)選還包括存儲(chǔ)器單元16，其優(yōu)選作為例如閃存形式的非易失性的可重寫存儲(chǔ)器單元來(lái)實(shí)現(xiàn)。根據(jù)本發(fā)明，在該存儲(chǔ)器單元16上，在第一步驟中，初始化實(shí)例30存儲(chǔ)具有個(gè)性化令牌17a的初始化數(shù)據(jù)17，并且在第二步驟中，個(gè)性化實(shí)例40存儲(chǔ)具有(訂閱)授權(quán)數(shù)據(jù)(“訂閱憑證”)18a的個(gè)性化數(shù)據(jù)18，如下面將結(jié)合圖2詳細(xì)描述的。優(yōu)選地，個(gè)性化數(shù)據(jù)18、特別是訂閱授權(quán)數(shù)據(jù)使得安全元件14和移動(dòng)終端設(shè)備10能夠登錄到移動(dòng)無(wú)線電網(wǎng)絡(luò)20中并且經(jīng)由其進(jìn)行通信。

圖2示出了個(gè)性化圖1的安全元件14時(shí)的根據(jù)本發(fā)明的優(yōu)選流程。在圖2的第一步驟s1中，個(gè)性化實(shí)例40向初始化實(shí)例30提供初始化數(shù)據(jù)17以及一批簽名的個(gè)性化令牌17a。初始化數(shù)據(jù)17例如可以是要在安全元件14上實(shí)現(xiàn)的操作系統(tǒng)的部分，其中，初始化數(shù)據(jù)17對(duì)于所有要初始化的安全元件可以是相同的。初始化實(shí)例30例如可以是安全元件的處理器的制造商的或者安全元件嵌入其中的移動(dòng)終端設(shè)備的制造商的服務(wù)器。該批簽名的個(gè)性化令牌可以是各個(gè)隨機(jī)數(shù)和這些隨機(jī)數(shù)的數(shù)字簽名的列表。

在圖2的步驟s2中，在根據(jù)本發(fā)明的用于個(gè)性化安全元件14的方法的第一階段，初始化數(shù)據(jù)17與簽名的個(gè)性化令牌17a一起由初始化實(shí)例30向安全元件14提供或傳輸。在此，根據(jù)本發(fā)明可以想到，安全元件14作為單個(gè)芯片、芯片模塊、sim等存在。在圖2的步驟s3中，將從初始化實(shí)例30接收到的初始化數(shù)據(jù)17、包括個(gè)性化令牌17a存儲(chǔ)在安全元件14上、優(yōu)選存儲(chǔ)在圖1中示出的其存儲(chǔ)器16上。

在根據(jù)本發(fā)明的用于個(gè)性化安全元件14的方法的第二階段，在圖2的步驟s4中，安全元件14優(yōu)選將個(gè)性化令牌17a與安全元件14的標(biāo)識(shí)符id、例如芯片id一起向個(gè)性化實(shí)例40發(fā)送。

在圖2的步驟s5中，個(gè)性化實(shí)例40檢查從安全元件14接收到的個(gè)性化令牌17a的有效性。根據(jù)本發(fā)明的優(yōu)選實(shí)施方式，這種檢查可以通過(guò)如下方式來(lái)進(jìn)行，即，借助個(gè)性化實(shí)例40的數(shù)據(jù)庫(kù)檢查從安全元件14接收到的個(gè)性化令牌17a是否由個(gè)性化實(shí)例40(例如在圖2的步驟s1中)輸出，以及該個(gè)性化令牌17a是否尚未用于個(gè)性化數(shù)據(jù)18的下載，即個(gè)性化令牌17a是否仍然有效。

如果圖2的步驟s5中的檢查成功，即個(gè)性化實(shí)例40確定從安全元件14接收到的個(gè)性化令牌17a有效，則在圖2的步驟s6中，個(gè)性化實(shí)例40經(jīng)由安全的通信通道向安全元件14提供或傳輸安全元件個(gè)別的個(gè)性化數(shù)據(jù)18，在圖2的步驟s7中將其存儲(chǔ)在安全元件14上。個(gè)性化實(shí)例40向安全元件14提供的個(gè)性化數(shù)據(jù)18可以包含安全元件個(gè)別的訂閱授權(quán)數(shù)據(jù)(“訂閱憑證”)18a，例如imsi(國(guó)際移動(dòng)用戶識(shí)別碼)和/或認(rèn)證密鑰ki，利用其，安全元件14可以在步驟s8中登錄到移動(dòng)無(wú)線電網(wǎng)絡(luò)20中并且經(jīng)由其進(jìn)行通信。

在此，加密形式的訂閱授權(quán)數(shù)據(jù)18a已經(jīng)是初始化數(shù)據(jù)17的一部分。在這種情況下，個(gè)性化數(shù)據(jù)18基本上僅包括用于對(duì)已經(jīng)存在于安全元件14上的訂閱授權(quán)數(shù)據(jù)18a進(jìn)行解密的密鑰。

根據(jù)本發(fā)明的優(yōu)選實(shí)施方式，可以在成功檢查從安全元件14接收到的個(gè)性化令牌17a之后，將其在個(gè)性化實(shí)例40的數(shù)據(jù)庫(kù)中標(biāo)記為無(wú)效或已經(jīng)使用。與從安全元件14接收到的個(gè)性化令牌17a相關(guān)聯(lián)，還可以在個(gè)性化實(shí)例40的數(shù)據(jù)庫(kù)中存儲(chǔ)安全元件14的標(biāo)識(shí)符id，從而個(gè)性化實(shí)例40具有關(guān)于已經(jīng)向哪個(gè)安全元件提供了個(gè)性化數(shù)據(jù)的信息。

根據(jù)本發(fā)明的優(yōu)選實(shí)施方式，個(gè)性化數(shù)據(jù)18從個(gè)性化實(shí)例40向安全元件14的提供或傳輸經(jīng)由個(gè)性化實(shí)例40和安全元件14之間的安全的通信通道進(jìn)行。物理上，個(gè)性化實(shí)例40和安全元件14之間的這種通道例如至少部分地可以例如在客戶獲得移動(dòng)終端設(shè)備10的商店中經(jīng)由wifi網(wǎng)絡(luò)形成。如在圖1中通過(guò)箭頭示出的，根據(jù)本發(fā)明還可以想到，個(gè)性化實(shí)例40經(jīng)由初始化實(shí)例30與安全元件14/移動(dòng)終端設(shè)備10通信。

為了在個(gè)性化實(shí)例40和安全元件14之間建立安全的通信通道，優(yōu)選在個(gè)性化實(shí)例40和安全元件14之間協(xié)商安全元件個(gè)別的密鑰，利用其保護(hù)個(gè)性化數(shù)據(jù)18。根據(jù)本發(fā)明的優(yōu)選實(shí)施方式，個(gè)性化實(shí)例40和安全元件14之間的安全通道基于公共密鑰基礎(chǔ)結(jié)構(gòu)。在這些優(yōu)選實(shí)施方式中，向安全元件14傳輸?shù)某跏蓟瘮?shù)據(jù)17優(yōu)選包括具有個(gè)性化實(shí)例40的公鑰的個(gè)性化實(shí)例40的證書。優(yōu)選可以以這種方式在個(gè)性化實(shí)例40和安全元件14之間形成tls通信通道(transportlayersecurity(傳輸層安全))，其中，相對(duì)于安全元件14對(duì)個(gè)性化實(shí)例40進(jìn)行認(rèn)證。在此，在安全元件14和個(gè)性化實(shí)例之間協(xié)商初始化實(shí)例30不能核算的會(huì)話密鑰。相對(duì)于個(gè)性化實(shí)例40對(duì)安全元件14的認(rèn)證優(yōu)選經(jīng)由個(gè)性化令牌17a進(jìn)行。

根據(jù)本發(fā)明的優(yōu)選實(shí)施方式，個(gè)性化實(shí)例40被構(gòu)造為，借助其它機(jī)制檢查個(gè)性化令牌17a的有效性，以識(shí)別并且在需要時(shí)拒絕對(duì)個(gè)性化令牌的濫用。在這方面可以想到，初始化實(shí)例30(優(yōu)選安全元件14的制造商)必須向個(gè)性化實(shí)例40提供關(guān)于已經(jīng)將哪個(gè)個(gè)性化令牌加載到哪個(gè)由其標(biāo)識(shí)符識(shí)別的安全元件14上的信息。還可以提供用于跟蹤個(gè)性化令牌的機(jī)制。在這種情況下，可以跟蹤在其中安裝安全元件14的移動(dòng)終端設(shè)備的路徑?？梢栽O(shè)置為，僅在從提供個(gè)性化令牌起的一定的時(shí)間窗口內(nèi)可以使用個(gè)性化令牌。