Title:
Verfahren und Vorrichtung zum Testen eines Gerätes
Kind Code:
A1


Abstract:

Die Erfindung betrifft ein Verfahren zum Testen eines Gerätes, in dem ein eUICC-Modul fest verbaut ist, wobei das eUICC-Modul mit einem Zugriffsschlüssel versehen ist, der bei einer zertifizierten eUICC-Verwaltungseinheit des Diensteanbieters registriert ist, wobei eine Testautorisierung zum Testen des Mobilgerätes von der zertifizierten eUICC-Verwaltungseinheit über ein Netzwerk auf eine Testverwaltungseinheit übertragen wird, in der Testschlüssel für das eUICC-Modul bereitgestellt werden, dass die Testautorisierung von der übergeordneten Testverwaltungseinheit auf eine untergeordnete Testdurchführungseinheit übertragen wird, wobei der Testschlüssel der Testdurchführungseinheit in einem Hardware-Sicherheitsmodul (HSM) bereitgestellt wird, dass das Testen des Mobilgerätes in einem Testmodus mittels der Testdurchführungseinheit erfolgt, wobei während des Tests keine Kommunikationsverbindung zwischen der Testdurchführungseinheit und der Testverwaltungseinheit besteht.




Inventors:
Oberhokamp, Frank, Dr. (32120, Hiddenhausen, DE)
Möller, Henning (32549, Bad Oeynhausen, DE)
Käthler, Olga (33102, Paderborn, DE)
Brockerhoff, Ulrich (31812, Bad Pyrmont, DE)
Application Number:
DE102015119800A
Publication Date:
05/18/2017
Filing Date:
11/16/2015
Assignee:
COMPRION GmbH, 33100 (DE)
International Classes:
Domestic Patent References:
DE112013004641T5N/A2015-06-25



Foreign References:
EP18320932011-10-19
Attorney, Agent or Firm:
Patentanwälte Fiedler, Ostermann & Schneider, 33106, Paderborn, DE
Claims:
1. Verfahren zum Testen eines Gerätes (1), in dem ein eUICC-Modul (2) fest verbaut ist, wobei das eUICC-Modul (2) mit einem Zugriffsschlüssel versehen ist, der bei einer zertifizierten eUICC-Verwaltungseinheit (SM-SR) registriert ist, dadurch gekennzeichnet,
– dass eine Testautorisierung zum Testen des Gerätes (1) von der zertifizierten eUICC-Verwaltungseinheit (SM-SR) über ein Netzwerk (6) auf eine Testverwaltungseinheit (3) übertragen wird, in der Testschlüssel (TKS) für das eUICC-Modul (2) bereitgestellt werden,
– dass die Testautorisierung von der übergeordneten Testverwaltungseinheit (3) auf eine untergeordnete Testdurchführungseinheit (4) übertragen wird, wobei der Testschlüssel (TKS) der Testdurchführungseinheit (4) bereitgestellt wird,
– dass das Testen des Gerätes (1) in einem Testmodus mittels der Testdurchführungseinheit (4) erfolgt, wobei während des Tests keine Kommunikationsverbindung zwischen der Testdurchführungseinheit (4) und der Testverwaltungseinheit (3) besteht.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Gerät (1) in den Testmodus übergeht, sobald
– ein Netzwerksimulations-Profil (NWS-Profil) in das eUICC-Modul (2) geladen worden ist,
– das Zugangsprofil des Diensteanbieters in dem eUICC-Modul (2) entfernt worden ist,
– die eUICC-Modul-Kennung (EIS) von dem Diensteanbieter zu der Testverwaltungseinheit (3) übertragen worden ist,
– ein Testschlüssel (TKS) in dem eUICC-Modul gespeichert worden ist.

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass wahlweise
a) vor dem Testen des Mobilgerätes (1) dasselbe mit der Testdurchführungseinheit (4) verbunden wird und dass die Testdurchführungseinheit über ein Netzwerk (6) mit der Testverwaltungseinheit (3) verbunden ist, so dass der Testschlüssel (TKS) in ein Hardware-Sicherheits-Modul (C-HSM) der Testdurchführungseinheit (4) eingelesen wird.
b) vor dem Testen des Mobilgerätes (1) dasselbe mit der Testdurchführungseinheit (4) verbunden wird und das die Testdurchführungseinheit ein Hardware-Sicherheits-Modul (C-HSM) beinhaltet, das bereits den Testschlüsselsatz (TKS) enthält.
c) Gerätes (1) dasselbe mit der Testdurchführungseinheit (4) physikalisch verbunden wird, die Testdurchführungseinheit (4) über Netzwerk mit einem weiteren Sicherheitsmodul des Testdurchführers verbunden ist, so dass dessen Testschlüssel signiert durch die ebenfallverbundene C-HSM direkt an die Testdurchführungseinheit (4) und/oder an das eUICC-Modul (2) übertragen wird.

4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Testdurchführungseinheit (4) im Testmodus mit dem Gerät (1) vermittels des Netzwerksimulationsprofils (NWS-Profil) über eine Netzwerksimulation physikalisch verbunden ist.

5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass das Gerät (1) von dem Testmodus in den Netzmodus übergeht, nachdem
– die Testverwaltungseinheit (3) sichergestellt hat, dass kein Testprofil auf dem eUICC-Modul (2) gespeichert ist,
– die Testverwaltungseinheit (3) einen Autorisierungswechsel bei der zertifizierten eUICC-Verwaltungseinheit (SM-SR) beantragt hat,
– ein Zugangsprofil der zertifizierten eUICC-Verwaltungseinheit (SM-SR) auf das eUICC-Modul (2) geladen ist,
– das Netzwerksimulationsprofil (NWS-Profil) entfernt worden ist,
– die eUICC-Modul-Kennung (EIS) von der Testverwaltungseinheit (3) zu der eUICC-Verwaltungseinheit (SM-SR) übertragen worden ist.

6. Vorrichtung zum Testen eines Gerätes (1), in dem ein eUICC-Modul (2) fest verbaut ist, wobei in dem eUICC-Modul (2) ein Zugriffsschlüssel gespeichert ist, der bei einer zertifizierten eUICC-Verwaltungseinheit (SM-SR) registriert ist, so dass nur die zertifizierte eUICC-Verwaltungseinheit (SM-SR) Zugriff auf das eUICC-Modul (2) erhält, dadurch gekennzeichnet,
– dass eine zertifizierte Testverwaltungseinheit (3) vorgesehen ist, die über ein Netzwerk (6) mit der eUICC-Verwaltungseinheit (SM-SR) verbindbar ist, so dass zum Verbringen des Gerätes (1) in den Testmodus die Zugriffsrechte der eUICC-Verwaltungseinheit (SM-SR) an dem eUICC-Modul (2) übertragen werden auf die zertifizierte Testverwaltungseinheit (3),
– dass die zertifizierte Testverwaltungseinheit (3) Testschlüssel (TKS) generiert, die einer Testdurchführungseinheit (4) in einem Hardwaresicherheits-Modul (C-HSM) bereitgestellt werden, so dass mittels der Testdurchführungseinheit (4) unabhängig von der zertifizierten Testverwaltungseinheit (3) Tests an dem Gerät (1) durchführbar sind.

7. Vorrichtung nach Anspruch 6, dadurch gekennzeichnet, dass die Zugriffsrechte an dem eUICC-Modul (2) über eine zertifizierte GSMA-Wechselroutine von der eUICC-Verwaltungseinheit (SM-SR) auf die zertifizierte Testverwaltungseinheit (3) und vice versa übertragbar sind.

8. Vorrichtung nach Anspruch 6 oder 7, dadurch gekennzeichnet, dass die zertifizierte Testverwaltungseinheit (3) ein Testschlüsselmodul (C-SM-SR) zum Verwalten von Zugriffsrechten und/oder Zertifikaten und/oder Schlüsseln einerseits und ein Testdatenmodul (C-SM-DP) zum Verwalten von Test-eSIM-Profilen und/oder Schlüsseln und/oder Zertifikaten andererseits aufweist.

9. Vorrichtung nach Anspruch 8, dadurch gekennzeichnet, dass das Testschlüsselmodul (C-SM-SR) und das Testdatenmodul (C-SM-DP) GSMA zertifiziert sind.

10. Vorrichtung nach einem der Ansprüche 6 bis 9, dadurch gekennzeichnet, dass von dem Testdatenmodul (C-SM-DP) ein Voreinstellungs-Profil und/oder ein Netzwerksimulations-Profil an die Testdurchführungseinheit (4) übertragbar ist, von der aus über eine Verbindung mit dem Gerät (1) das Voreinstellungs-Profil bzw. das Netzwerksimulations-Profil in dem eUICC-Modul (2) abgespeichert wird.

11. Vorrichtung nach einem der Ansprüche 6 bis 10, dadurch gekennzeichnet, dass die Testdurchführungseinheit (4) ein Hardware-Sicherheits-Modul (C-HSM) aufweist, in dem Testschlüssel und/oder Zertifikate für die Authentisierung gegenüber dem eUICC-Modul (2) gespeichert sind.

12. Vorrichtung nach einem der Ansprüche 6 bis 11, dadurch gekennzeichnet, dass die Testdurchführungseinheit (4) ein einen Zugriff auf das eUICC-Modul (2) steuerndes Testdurchführungsschlüsselmodul (T-SM-SR) einerseits und ein die Testdaten und/oder die Testprofile auf das eUICC-Modul (2) ladendes Testdurchführungsdatenmodul (T-SM-DP) andererseits aufweist.

13. Vorrichtung nach einem der Ansprüche 6 bis 12, dadurch gekennzeichnet, dass ausschließlich die Testdurchführungseinheit (4) direkt mit dem Gerät (1) physikalisch verbindbar ist, so dass Tests an dem Gerät (1) mittels Netzwerksimulation über in dem Hardwaresicherheitsmodul (C-HSM) gespeicherte Testschlüssel und/oder Zertifikate einerseits oder über ein von einem Testbetreiber kontrolliertes ortsfern angeordnetes Hardwaresicherheitsmodul (C-HSM) durchführbar sind.

14. Vorrichtung nach einem der Ansprüche 6 bis 12, dadurch gekennzeichnet, dass über das Testdurchführungsdatenmodul (T-SM-DP) Tests, insbesondere Protokolltests, Applikationstests, Provisionierungstests und/oder Profiltests, durchführbar sind.

15. Vorrichtung nach einem der Ansprüche 6 bis 14, dadurch gekennzeichnet, dass die zertifizierte Testverwaltungseinheit (C-SM-SR) derart ausgebildet ist, dass auf Anforderung zum Wechsel des Gerätes (1) von dem Testmodus in den Netzmodus die Zugriffsrechte an dem eUICC-Modul (2) von der Testverwaltungseinheit (3) auf die eUICC-Verwaltungseinheit (SM-SR) übertragen werden.

Description:

Die Erfindung betrifft ein Verfahren zum Testen eines Gerätes, in dem ein eUICC-Modul fest verbaut ist, wobei das eUICC-Modul mit einem Zugriffsschlüssel versehen ist, der bei einer zertifizierten eUICC-Verwaltungseinheit registriert ist.

Ferner betrifft die Erfindung eine Vorrichtung zum Testen eines Gerätes, in dem ein eUICC-Modul fest verbaut ist, wobei in dem eUICC-Modul ein Zugriffsschlüssel gespeichert ist, der bei einer zertifizierten eUICC-Verwaltungseinheit registriert ist, so dass nur die zertifizierte eUICC-Verwaltungseinheit Zugriff auf das eUICC-Modul erhält.

Aus der EP 1 832 093 B1 ist ein Testsystem zur Überprüfung von Übertragungsvorgängen innerhalb eines Mobilfunknetzes bekannt. Das Mobilfunknetz dient zur Kommunikation zwischen einer Mehrzahl von Mobilfunkgeräten. Die Mobilfunkgeräte weisen jeweils ein UICC-Modul (enthaltend eine SIM-Karte) mit einer Kennung auf, mittels derer Teilnehmer des Mobilfunknetzes authentifiziert werden gegenüber dem Mobilfunknetz. Nach einer erfolgreichen Authentifizierung wird es dem Teilnehmer erlaubt, auf das Mobilfunknetz zuzugreifen und mit anderen Teilnehmern zu telefonieren. Das bekannte Testverfahren ermöglicht das Testen des Mobilfunkgerätes wahlweise mit Daten der SIM-Simulation oder mit Daten der physikalischen SIM-Karte. Bei der bekannten Testvorrichtung wird davon ausgegangen, dass die SIM-Karte lösbar in einem Kartenschlitz des Mobilfunkgerätes gehalten ist.

Zukünftige Mobilfunkgeräte können sogenannte eUICC-Module aufweisen, die in diesem Gerät fest verbaut sind, also nicht entnehmbar sind. Bei dem eUICC-Modul handelt es sich um ein eingebettetes Kartenmodul, auf dem ein oder mehrere logische Subscriber Identity Modul-Profile (eSIM-Profile) enthalten sind. Das eingebettete Kartenmodul eUICC steht für „embedded Universal Integrated Circuit Card”, das fest in dem Mobilgerät, beispielsweise Mobiltelefon, Tablet, etc. verbaut ist. Das elektronische Kartenmodul kann beispielsweise auch mehrere eSIM-Profile aufweisen, wie es aus der DE 11 2013 004 641 T5 bekannt ist. Wenn solche eingebetteten Kartenmodule eUICC in Mobilgeräten verbaut sind, bestehen erhöhte Anforderungen an das Testen eines solchen mit diesen eUICC behafteten Mobilgerätes. Insbesondere müssen auch Tests durchführbar sein, die das Ändern der in dem eUICC-Modul festgelegten Zugriffsrechte für das zellulare Netzwerk betreffen. Es kann sich bei diesem Netzwerk beispielsweise um ein UMTS-, CDMA-, GSM- oder LTE-Netzwerk handeln.

Aufgabe der vorliegenden Erfindung ist es daher, ein Verfahren und eine Vorrichtung zum Testen eines Gerätes, in dem ein eUICC-Modul fest verbaut ist, anzugeben, so dass auf einfache und sichere Weise eine Vielzahl von Tests gewährleistet ist.

Zur Lösung der Aufgabe ist das erfindungsgemäße Verfahren in Verbindung mit dem Oberbegriff des Patentanspruchs 1 dadurch gekennzeichnet, dass eine Testautorisierung zum Testen des Gerätes von der zertifizierten eUICC-Verwaltungseinheit über ein Netzwerk auf eine Testverwaltungseinheit übertragen wird, in der Testschlüssel für das eUICC-Modul bereitgestellt werden. Die übergeordnete Testverwaltungseinheit überträgt Testschlüssel auf eine Testdurchführungseinheit, die das Testen des Gerätes in einem Testmodus mittels der Testdurchführungseinheit ermöglicht, wobei während des Tests keine Kommunikationsverbindung zwischen der Testdurchführungseinheit und der Testverwaltungseinheit bestehen muss.

Nach der Erfindung erfolgt eine Testautorisierung, nämlich eine Autorisierung zum Testen des Gerätes, bei der Zugriffsrechte von einer zertifizierten eUICC-Verwaltungseinheit über ein Netzwerk auf eine Testverwaltungseinheit übertragen werden. Der Verantwortungsbereich über das eUICC-Modul wird somit von einem Diensteanbieter, beispielsweise Netzbetreiber, auf einen Testbetreiber übertragen. Das eUICC-Modul befindet sich nunmehr nicht mehr in einem Netzmodus, sondern in einem Testmodus, in dem ausschließlich Tests durchgeführt werden können. In einem weiteren Schritt erfolgt die Übertragung der Autorisierung zur Durchführung der Tests von der Testverwaltungseinheit über ein Netzwerk auf eine untergeordnete Testdurchführungseinheit. Die Testdurchführungseinheit führt die Tests an dem Gerät durch. Eine Kommunikationsverbindung zwischen der Testdurchführungseinheit und der Testverwaltungseinheit besteht während des Tests nicht. Nach der Erfindung erfolgt das Testen des Mobilgerätes mittels eines zweistufigen Autorisierungsverfahrens, wobei die Zugriffsrechte zuerst von der eUICC-Verwaltungseinheit auf die Testverwaltungseinheit des Testbetreibers und dann von der Testverwaltungseinheit des Testbetreibers auf die Testdurchführungseinheit des Testdurchführers übertragen wird. Hierbei ist die Testverwaltungseinheit des Testbetreibers übergeordnet zu der Testdurchführungseinheit des Testdurchführers ausgebildet, da die Durchführung der Tests nur durch entsprechende Zertifizierung bzw. Bereitstellung der Testschlüssel durch die Testverwaltungseinheit möglich ist. Durch dieses zweistufige Verfahren, bei dem der Testverwaltungseinheit eine Master-Funktion und der Testdurchführungseinheit eine Slave-Funktion hinsichtlich der Zugriffssteuerung auf das Gerät zukommt, wird ein sicheres, zuverlässiges und umfassendes Testen des Gerätes gewährleistet.

Nach einer bevorzugten Ausführungsform der Erfindung erfolgt die Überführung des Gerätes von einem Netzwerkmodus, in dem sich das eUICC-Modul des Gerätes im Zugriff des Diensteanbieters befindet, in einen Testmodus, in dem sich das eUICC-Modul des Gerätes im Zugriff von einem Testbetreiber bzw. einem Testdurchführer befindet, mittels Vollziehung eines Autorisierungswechsels von der eUICC-Verwaltungseinheit des Diensteanbieters zu der Testverwaltungseinheit des Testbetreibers. Hierbei wird von der eUICC-Verwaltungseinheit eine eUICC-Modul-Kennung in die Testverwaltungseinheit übertragen, so dass nachfolgend die Berechtigung besteht, ein Netzwerksimulations-Profil auf das eUICC-Modul zu laden. Das Gerät befindet sich nunmehr im Testmodus, wobei die Testdurchführungseinheit entsprechende Tests an dem Gerät durchführen kann.

Nach einer Weiterbildung der Erfindung erfolgt die Durchführung der Tests an dem Gerät mittels der Testdurchführungseinheit unter Einsatz eines Hardware-Sicherheits-Moduls, das in der Testdurchführungseinheit integriert ist. In diesem Hardware-Sicherheits-Modul sind Testschlüssel und/oder Zertifikate zur Authentisierung gegenüber dem eUICC-Modul gespeichert. Auf diese Weise können vorteilhaft Tests an dem Gerät ohne stehende Netzverbindung zwischen der Testdurchführungseinheit und der Testverwaltungseinheit durchgeführt werden. Hierdurch wird eine sichere Testumgebung während des Durchlaufens der Tests bereitgestellt.

Nach einer Weiterbildung der Erfindung ist die Testdurchführungseinheit mit dem Gerät verbunden, so dass über das in dem eUICC-Modul implementierte Netzwerksimulations-Profil unterschiedliche Tests durchgeführt werden können.

Nach einer Weiterbildung der Erfindung erfolgt nach einer Beendigung der Testreihe ein Überführen des Gerätes vom Testmodus in den Netzmodus, so dass sich das eUICC-Modul des Gerätes wieder im Autorisierungsbereich des Diensteanbieters befindet. Hierzu wird ein Autorisierungswechsel von der Testverwaltungseinheit zu der eUICC-Verwaltungseinheit durchgeführt, wobei insbesondere die eUICC-Modul-Kennung von der Testverwaltungseinheit auf die eUICC-Verwaltungseinheit übertragen wird. In dem eUICC-Modul wird das Netzwerksimulations-Profil entfernt sowie das Zugangsprofil des Diensteanbieters abgespeichert. Das Gerät befindet sich nun wieder im Netzmodus, so dass eine bestimmungsgemäße Verwendung des Gerätes im Netz des Netzanbieters ermöglicht ist.

Zur Lösung der Aufgabe ist die erfindungsgemäße Vorrichtung in Verbindung mit dem Oberbegriff des Patentanspruchs 6 dadurch gekennzeichnet, dass eine zertifizierte Testverwaltungseinheit vorgesehen ist, die über ein Netzwerk mit der eUICC-Verwaltungseinheit verbindbar ist, so dass zum Verbringen des Gerätes in den Testmodus die Zugriffsrechte an dem eUICC-Modul von der eUICC-Verwaltungseinheit auf die Testverwaltungseinheit übertragen werden, dass die Testverwaltungseinheit Testschlüssel generiert, die an eine Testdurchführungseinheit übertragbar sind, so dass mittels der Testdurchführungseinheit unabhängig von der Testverwaltungseinheit Tests an dem Gerät durchführbar sind.

Nach der erfindungsgemäßen Vorrichtung ist eine Testverwaltungseinheit vorgesehen, die ein Verbringen des zu testenden Gerätes von einem Netzmodus in einen Testmodus ermöglicht. Die Testverwaltungseinheit steht in einer Kommunikationsverbindung mit einer eUICC-Verwaltungseinheit und erhält auf Anforderung eines Autorisierungswechsels die Zugriffsrechte für ein eUICC-Modul des Gerätes von der eUICC-Verwaltungseinheit. Damit Tests an dem Gerät durchgeführt werden können, sind von der Testverwaltungseinheit Testschlüssel an eine Testdurchführungseinheit übertragbar, so dass beispielsweise ein Netzwerksimulations-Profil auf das eUICC-Modul abspeicherbar ist. Die Testverwaltungseinheit ermöglicht somit die Durchführung von Tests ausschließlich mittels der Testdurchführungseinheit. Die Durchführung der Tests erfolgt ausschließlich und unabhängig von der Testverwaltungseinheit durch die Testdurchführungseinheit. Die übergeordnete Testverwaltungseinheit dient zur Autorisierung der Tests, die durch die Testdurchführungseinheit durchgeführt wird. Während die Testverwaltungseinheit dafür sorgt, dass das Gerät in einen Testmodus gelangt, ist die hauptsächliche Aufgabe der Testdurchführungseinheit die Durchführung der Tests. Vorteilhaft kann hierdurch ein sicheres und zuverlässiges Testen des Mobilfunkgerätes erreicht werden.

Nach einer bevorzugten Ausführungsform der Erfindung erfolgt die Kommunikation zwischen der Testverwaltungseinheit und der eUICC-Verwaltungseinheit über eine zertifizierte GSMA-Routine. Insbesondere erfolgt der Wechsel vom Netzmodus in den Testmodus mittels einer zertifizierten GSMA-Wechselroutine. Der Wechsel der Autorisierungsrechte über das Gerät von der eUICC-Verwaltungseinheit auf die Testverwaltungseinheit erfolgt über eine von der GSMA (GSM Assoziation-Industrievereinigung der GSM-Mobilfunkanbieter) bereitgestellten Zertifizierungsstelle.

Nach einer Weiterbildung der Erfindung weist die Testverwaltungseinheit ein Testschlüsselmodul und ein Testdatenmodul auf. Das Testschlüsselmodul dient zum Verwalten von Zugriffsrechten und/oder Zertifikaten und/oder Schlüsseln. Das Testdatenmodul dient zum Verwalten von Test-eSIM-Profilen und/oder der zugehörigen Schlüssel und/oder Zertifikate und/oder Zugriffsrechte.

Nach einer Weiterbildung der Erfindung weist die Testdurchführungseinheit ein Hardware-Sicherheits-Modul auf, in dem Testschlüssel und/oder Zertifikate für die Authentisierung gegenüber dem eUICC-Modul des Gerätes gespeichert sind. Das Hardware-Sicherheitsmodul stellt sicher, dass die Tests nur mit der autorisierten Testdurchführungseinheit durchgeführt werden können.

Weitere Vorteile der Erfindung ergeben sich aus den weiteren Unteransprüchen.

Ein Ausführungsbeispiel der Erfindung wird nachfolgend anhand der Zeichnungen näher erläutert.

Es zeigen:

1 ein Schaubild über die verschiedenen Komponenten eines erfindungsgemäßen Testsystems,

2 eine Blockdarstellung von Komponenten einer erfindungsgemäßen Testvorrichtung,

3 eine schematische Ablaufdarstellung zum Verbringen eines zu testenden Mobilgerätes von einem Netzwerkmodus in einen Testmodus,

4 eine schematische Darstellung eines Testschlüsseltranfers und einer Durchführung des Tests und

5 eine schematische Blockdarstellung des Verbringens des Mobilgerätes vom Testmodus in den Netzmodus.

Als zu testendes Gerät ist ein Gerät 1 vorgesehen, in dem ein eUICC-Modul 2 fest verbaut ist. Das eUICC-Modul 2 weist die Zugriffsrechte bzw. Zugriffsschlüssel zum Benutzen eines zellularen Netzwerkes (Mobilfunknetzes) auf. Testobjekt ist somit das Gerät, wobei im Folgenden davon ausgegangen wird, dass das eUICC-Modul 2 ebenfalls als Testobjekt anzusehen ist, auch wenn nur von Gerät 1 die Rede ist.

Im Folgenden werden Kommunikationsabläufe im Rahmen eines Tests an einem als Mobilfunkgerät ausgebildeten Geräts beschrieben. Im Ausgangszustand ist das Mobilfunkgerät 1 im Autorisierungsbereich eines als Netzbetreiber ausgebildeten Diensteanbieters, der über eine eUICC-Verwaltungseinheit SM-SR Zugriff auf das eUICC-Modul 2 des Mobilfunkgerätes 1 hat. Die Bezeichnung SM-SR ist eine Abkürzung für „Subscription Manager-Secure Routing”. In diesem Netzmodus hat allein der Netzbetreiber Zugriff auf das eUICC-Modul und die in diesem eUICC-Modul abgelegten eSIM-Profile. Die eUICC-Verwaltungseinheit SM-SR enthält Zugriffsschlüssel für den Zugriff auf das eUICC-Modul 2.

Nach dem erfindungsgemäßen Testsystem ist es vorgesehen, dass die Autorisierung über das eUICC-Modul 2 von dem Netzbetreiber auf einen Testbetreiber übergeht. Hierbei erhält eine Testverwaltungseinheit 3 des Testbetreibers die Autorisierung zum Zugriff auf das eUICC-Modul 2. Zum Testen des Mobilfunkgerätes 1 ist eine Testdurchführungseinheit 4 vorgesehen, die mit der Testverwaltungseinheit 3 zum Übertragen von Testschlüsseln TKS von der Testverwaltungseinheit 3 zu der Testdurchführungseinheit 4 in Kommunikationsverbindung steht. Der Test des Mobilfunkgerätes 1 wird unmittelbar durch die Testdurchführungseinheit 4 durchgeführt, wobei während des Tests keine Kommunikationsverbindung zwischen der Testverwaltungseinheit 3 und der Testdurchführungseinheit 4 besteht. Die Tests werden im Testmodus durch die Testdurchführungseinheit 4 durchgeführt. Nach Beendigung des Tests erfolgt eine Rückautorisierung über das eUICC-Modul 2 und damit über das Mobilfunkgerät 1 von der Testverwaltungseinheit 3 auf die eUICC-Verwaltungseinheit SM-SR des Netzbetreibers.

In 2 sind die Komponenten des Testsystems dargestellt. In einem Sicherheitsbereich befinden sich die eUICC-Verwaltungseinheit SM-SR und die Testverwaltungseinheit 3 sowie eine Zertifizierungsstelle 5, vorzugsweise eine von der GSMA autorisierten Zertifizierungsstelle. Die Kommunikation zwischen der eUICC-Verwaltungseinheit SM-SR und der Testverwaltungseinheit 3 erfolgt über ein Netzwerk 6, vorzugsweise über Internet. Die Kommunikation zwischen der eUICC-Verwaltungseinheit SM-SR und dem Mobilfunkgerät 1 während des Autorisierungswechsels mittels der „Change SM-SR Prozedur” erfolgt über ein zellulares Netzwerk, beispielsweise über ein LTE-Netzwerk.

In dem Testbereich befindet sich die Testdurchführungseinheit 4 und das zu testende Mobilfunkgerät 1. Eine etwaige Kommunikation zwischen der Testdurchführungseinheit 4 und der Testverwaltungseinheit 3 erfolgt über das Netzwerk 6. Nach einer bevorzugten Ausführungsform der Erfindung erfolgt die Kommunikation zwischen dem Mobilfunkgerät 1 und der Testdurchführungseinheit 4 bevorzugt über eine Netzwerksimulation.

Die Testverwaltungseinheit 3 weist ein Testschlüsselmodul C-SM-SR auf zum Verwalten von Zugriffsrechten und/oder Zertifikaten und/oder Schlüsseln, insbesondere Testschlüsseln. Ferner weist die Testverwaltungseinheit 3 ein Testdatenmodul C-SM-DP zum Verwalten von Test-eSIM-Profile und zugehöriger Schlüssel und/oder Zertifikate auf. Die Testverwaltungseinheit 3 dient zur Verwaltung der eUICC-Module 2 und der Testschlüssel. Die Abkürzung SM-DP steht für Subscription-Manager-Data-Preparation.

Die Testdurchführungseinheit 4 weist ein Hardware-Sicherheits-Modul C-HSM auf, in dem Testschlüssel und/oder Zertifikate für die Authentisierung der Testdurchführungseinheit 4 gegenüber dem eUICC-Modul 2 gespeichert sind.

Die Testdurchführungseinheit 4 weist ein Testdurchführungsschlüsselmodul T-SM-SR auf, das im Vergleich zu dem Testschlüsselmodul C-SM-SR einen eingeschränkten Zugriff auf das eUICC-Modul 2 aufweist. Die Zugriffsautorisierung reicht jedoch aus, um die erforderlichen Tests durchzuführen. Ferner weist die Testdurchführungseinheit 4 ein Testdurchführungsdatenmodul T-SM-DP auf, mittels Test-eSIM-Profile mit beliebigem Inhalt auf das eUICC-Modul 2 geladen werden können. Die physikalische Verbindung zwischen der Testdurchführungseinheit 4 und dem Mobilfunkgerät 1 erfolgt bevorzugt über eine Netzwerksimulation. Die Durchführung der Tests erfolgt mit Hilfe eines Netzwerksimulations-Profils (NWS-Profil) über eine Netzwerkssimulation. Alternativ kann die physikalische Verbindung auch unter Verwendung eines Voreinstellungs-Profils über ein Live-Netzwerk erfolgen.

Anhand von 3 wird die Änderung des Mobilgerätes 1 vom Netzwerkmodus in den Testmodus erläutert. Wie bereits in 1 dargestellt, wird die Testdurchführungseinheit 4 von einem Testdurchführer betrieben, der nicht notwendigerweise personenidentisch zu dem Testbetreiber ist. Der Testbetreiber ist vorzugsweise der Hersteller des Testsystems. Der Testdurchführer ist beispielsweise ein Telekommunikationsunternehmen, das den aktuellen Test des Mobilfunkgerätes 1 durchführt. Zum Verbringen des Mobilfunkgerätes 1 von dem Netzwerkmodus in den Testmodus verbindet der Testdurchführer das Mobilfunkgerät 1 über ein Live-Netzwerk (RAN) mit dem Testschlüsselmodul C-SM-SR und fordert von diesem Testschlüssel TKS an. Der Testschlüssel TKS kann aber nur vom Testschlüsselmodul C-SM-SR bereitgestellt werden, wenn die Testverwaltungseinheit 3 über eine Testautorisierung verfügt. Diese erhält sie, wenn die Autorisierung von der eUICC-Verwaltungseinheit SM-SR auf das Testschlüsselmodul C-SM-SR übertragen wird. Hierzu fordert das Testschlüsselmodul C-SM-SR einen Autorisierungswechsel beim Netzbetreiber an. Der Netzbetreiber beauftragt die eUICC-Verwaltungseinheit SM-SR, den Autorisierungswechsel zu vollziehen. Hierzu erzeugt die eUICC-Verwaltungseinheit SM-SR eine in GSMA SGP.02 spezifizierte Prozedur „SM-SR Change”, die zu einer Übertragung der Autorisierung von der eUICC-Verwaltungseinheit SM-SR auf das Testschlüsselmodul C-SM-SR führt. Während dieser Prozedur ist die eUICC-Verwaltungseinheit SM-SR mit dem Mobilfunkgerät 1 über ein zellulares Netzwerk verbunden. Es sei vorausgesetzt, dass sowohl die eUICC-Verwaltungseinheit SM-SR als auch das Testschlüsselmodul C-SM-SR. und das Testdatenmodul C-SM-DP gegenüber einer Zertifizierungsstelle der GSMA zertifiziert sind. Der Autorisierungswechsel wird vollzogen durch Übergabe einer eUICC-Modul-Kennung EIS von der eUICC-Verwaltungseinheit SM-SR auf das Testschlüsselmodul C-SM-SR. Darüber hinaus wird das Netzwerksimulations-Profil NWS-Profil von dem Testdatenmodul C-SM-DP an das Mobilfunkgerät 1 übertragen, so dass der Zugriff auf das eUICC-Modul 2 über den Netzwerksimulator gewährleistet ist. Gleichzeitig wird das Zugangsprofil des Netzwerkbetreibers in dem eUICC-Modul 2 entfernt.

Nach Abschluss dieses Autorisierungswechsels befindet sich das Mobilfunkgerät 1 nun im Testmodus. Ein Zugriff auf das Mobilfunkgerät 1 kann nun entweder über einen Netzwerksimulator oder mittels eines Voreinstellungs-Profils über ein Live-Netzwerk erfolgen.

Damit die Testdurchführungseinheit 4 die erforderlichen Tests an dem Mobilgerät 1 durchführen kann, muss der Testschlüssel (TKS-Test Key Sets) in der Testdurchführungseinheit 4 bereitgestellt werden, was anhand von 4 erläutert wird. Hierzu wird dem Testdurchführer eine HSM bereitgestellt, die bereits das TKS-Test Key Set enthält. Dieses TKS wird zuvor beim Testbetreiber vom Testschlüsselmodul C-SM-SR der Testverwaltungseinheit 3 auf das Hardware-Sicherheits-Modul HSM der Testdurchführungseinheit 4 übertragen. Ab diesem Zeitpunkt kann der Testdurchführer unter Verwendung des Testschlüssels TKS durch die in der Testdurchführungseinheit 4 integrierten Testdurchführungsschlüsselmodul T-SM-SR und Testdurchführungsdatenmodul T-SM-DP beliebige Provisionierungstests sowie Tests mit der Manipulation von Testprofilen durchführen. Während dieser Tests ist keine Kommunikationsverbindung zum Testschlüsselmodul C-SM-SR mehr erforderlich. Die Durchführung der Tests erfolgt ausschließlich mittels der Testdurchführungseinheit 4, wobei dem Testdurchführungsdatenmodul T-SM-DP entsprechende Testprofile bereitgestellt werden, so dass über eine Netzwerksimulation verschiedene Tests durchgeführt werden können. Beispielsweise kann ein Protokoll-Test erfolgen, mittels dessen die Einhaltung von Kommunikationsprotokollen und Recovery-Prozeduren im Fehlerfalle überprüft wird. Es kann ein Applikationstest durchgeführt werden, bei dem CAT-Tests, Framework, Protokolle höherer Schichten (z. B. HCl) und Anwendungen (z. B. Payment-Applikationen) überprüft werden. Darüber hinaus können auch Tests durchgeführt werden, die ausschließlich bei fest verbauten eUICC-Modulen 2 vorgesehen sind. Dazu gehört ein Provisionierungstest, bei dem das Löschen von Profilen des alten Netzbetreibers, die Übergabe von Zugriffsrechten auf den neuen Netzbetreiber sowie das Anlegen, Konfektionieren und Aktivieren entsprechender neuer Profile getestet werden. Darüber hinaus werden spezifische Profile getestet, beispielsweise neue Profile auf das eUICC-Modul zu bringen und dort zu aktivieren. Das eUICC-Modul 2 muss die Eigenschaft haben, dass auf ihr direkt das Profil manipuliert werden kann.

Nach Abschluss der Tests kann das Mobilfunkgerät 1 vom Testmodus in den Netzmodus überführt werden, so dass es wieder in den Autorisierungsbereich des vorhergehenden Netzbetreibers oder eines anderen Netzbetreibers bzw. Diensteanbieters gelangt, siehe 5. Hierzu wird das Mobilfunkgerät 1 über ein Live-Netzwerk (RAN) mit dem Testschlüsselmodul C-SM-SR verbunden. Unter Live-Netzwerk wird ein reales Netzwerk, wie beispielsweise das GSM-Netzwerk verstanden. Das Testdurchführungsmodul fordert beim Testverwaltungsmodul eine Rückübertragung der Autorisierung an. Das Testschlüsselmodul C-SM-SR erzeugt den Change SM-SR Prozess als Autorisierungswechselprozess vom Testschlüsselmodul C-SM-SR auf die eUICC-Verwaltungseinheit SM-SR des ursprünglichen oder anderen Netzbetreibers. Während dieser Prozedur werden auf dem eUICC-Modul 2 verbliebene Testprofile deaktiviert bzw. gelöscht und ein Zugangsprofil des Netzbetreibers wird aufgebracht. Gleichzeitig wird das Netzwerksimulationsprofil NWS-Profil entfernt. Darüber hinaus wird die eUICC-Modul-Kennung, EIS von dem Testschlüsselmodul C-SM-SR auf die eUICC-Verwaltungseinheit SM-SR übertragen. Ab diesem Zeitpunkt befindet sich das Mobilfunkgerät 1 wieder in einem Netzmodus. Der Zugriff auf das eUICC-Modul 2 erfolgt nun wieder über das Live-Netzwerk mittels eines voreingestellten Profils im Verantwortungs- bzw. Autorisierungsbereich des Netzbetreibers.

Nach einer nicht dargestellten alternativen Ausführungsform (Variante 2) der Erfindung können die Testschlüssel und Zertifikate für die Authentisierung gegenüber dem eUICC-Modul 2 statt in dem Hardwaresicherheitsmodul C-HSM auch in einem separat angeordneten Modul des Testbetreibers angeordnet sein. Das Modul ist vorzugsweise ebenfalls als Hardware-Sicherheitsmodul ausgebildet. Hierbei können die durch das Testdurchführungsdatenmodul (T-SM-DP) verwalteten Testschlüssel in einem separaten Hardware-Sicherheitsmodul (HSM-ext.) in der Testdurchführungseinheit 4 erzeugt werden. Dafür muss das Hardwaresicherheitsmodul C-HSM eine Authoriesierung erteilen, die vom eUICC-Modul 2 überprüft wird. Genauer gesagt, nachdem die Testschlüssel TKS im separaten Hardware-Sicherheitsmodul HSM-ext. Erzeugt wurden, wird der öffentliche Teil zu dem Hardwaresicherheitsmodul C-HSM geschickt. Das Hardware-Sicherheitsmodul C-HSM prüft dann, von wem der öffentliche Teil des Testschlüssels TKS kommt, signiert sie und schickt die Signatur weiter an das eUICC-Modul 2. Wenn alles funktioniert hat, werden diese Schlüssel verwendet. Vorteil dieser Ausführungsform ist, dass der Testbetreiber keine Kenntnis der Testschlüssel hat.

Nach einer weiteren (Variante 3) nicht dargestellten alternativen Ausführungsform können die Testschlüssel und Zertifikate für die Authentisierung gegenüber dem eUICC-Modul 2 auch nicht in einem Hardwaremodul, sondern mittels Software über eine Live-Netzwerkverbindung des Netzbetreibers bereitgestellt werden. Der Testschlüssel wird hierbei durch die der eUICC-Verwaltungseinheit ausgehandelt.

Nach einer bevorzugten Ausführungsform der Erfindung sind die Komponenten der Testdurchführungseinheit 4 verkapselt und somit gesichert ausgebildet.

Nach einer bevorzugten Ausführungsform der Erfindung ist das Gerät 1 als ein Mobilgerät ausgebildet, das beispielsweise als ein Mobilfunkgerät bzw. Tablet und dergleichen ausgeführt ist. Alternativ kann das eUICC-Modul auch in Fahrzeugen oder anderen beweglichen Geräten angeordnet sein. Nach einer weiteren Ausführungsform der Erfindung kann das Gerät 1 auch in Standgeräten, beispielsweise Haushaltsgeräte, wie Kühlschränke oder dergleichen angeordnet sein. Die Erfindung ist überall einsetzbar, wo in Geräten eUICC-Module eingebettet sind zur Zugriffssteuerung derselben.

ZITATE ENTHALTEN IN DER BESCHREIBUNG

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.

Zitierte Patentliteratur

  • EP 1832093 B1 [0003]
  • DE 112013004641 T5 [0004]