BR112017017164B1 - METHOD FOR REMOTE SUBSCRIPTION MANAGEMENT OF A COOPERATING EUICC WITH A TERMINAL, TERMINAL, AND PERMANENT COMPUTER-READABLE STORAGE MEDIUM COMPREHENDED IN A TERMINAL - Google Patents

METHOD FOR REMOTE SUBSCRIPTION MANAGEMENT OF A COOPERATING EUICC WITH A TERMINAL, TERMINAL, AND PERMANENT COMPUTER-READABLE STORAGE MEDIUM COMPREHENDED IN A TERMINAL Download PDF

Info

Publication number
BR112017017164B1
BR112017017164B1 BR112017017164-3A BR112017017164A BR112017017164B1 BR 112017017164 B1 BR112017017164 B1 BR 112017017164B1 BR 112017017164 A BR112017017164 A BR 112017017164A BR 112017017164 B1 BR112017017164 B1 BR 112017017164B1
Authority
BR
Brazil
Prior art keywords
euicc
terminal
manager server
public certificate
cert
Prior art date
Application number
BR112017017164-3A
Other languages
Portuguese (pt)
Other versions
BR112017017164A2 (en
Inventor
Xavier Berard
Benjamin MAZET
Original Assignee
Gemalto S.A
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from EP15305216.2A external-priority patent/EP3057350A1/en
Application filed by Gemalto S.A filed Critical Gemalto S.A
Publication of BR112017017164A2 publication Critical patent/BR112017017164A2/en
Publication of BR112017017164B1 publication Critical patent/BR112017017164B1/en

Links

Abstract

MÉTODO PARA GERENCIAMENTO REMOTO DE ASSINATURA DE UM eUICC COOPERANTE COM UM TERMINAL, TERMINAL, E MEIO DE ARMAZENAMENTO PERMANENTE LEGÍVEL POR COMPUTADOR COMPREENDIDO NUM TERMINAL. A invenção está relacionada a um método para gerenciamento remoto de assinatura de um eUICC (23) cooperante com um terminal (24), o eUICC (23) compreendendo uma chave privada (PrKeu) e um certificado público (Cert-eu) consignado por seu fabricante, o certificado público (Cert-eu) também compreendendo uma informação que habilita a um servidor do gerenciador de assinatura (20), sem o prévio conhecimento do eUICC (23), a decidir se ele pode admitir gerenciar o eUICC (23), o método compreendendo: a. na ocorrência de um evento, estabelecer um canal seguro entre o terminal (24) e o servidor do gerenciador de assinatura (20) mediante uso do certificado público (Cert-eu) e de serviços criptográficos dedicados do eUICC (23); b. enviar a partir do terminal (24) para o servidor do gerenciador de assinatura (20) uma solicitação de assinatura, sendo considerada como uma solicitação de inscrição pelo servidor do gerenciador de assinatura (20); c. verificar, graças à informação contida no certificado público recebida proveniente do eUICC (23), no servidor do gerenciador de assinatura (20), se o eUICC está habilitado a ser gerenciado pelo servidor do gerenciador de assinatura (20) e, se sim: d. realizar um (...).METHOD FOR REMOTE SUBSCRIPTION MANAGEMENT OF AN eUICC COOPERATING WITH A TERMINAL, TERMINAL, AND COMPUTER READABLE PERMANENT STORAGE MEDIUM COMPRISED IN A TERMINAL. The invention relates to a method for remotely managing the signature of an eUICC (23) cooperating with a terminal (24), the eUICC (23) comprising a private key (PrKeu) and a public certificate (Cert-eu) assigned by its manufacturer, the public certificate (Cert-eu) also comprising information that enables a signature manager server (20), without prior knowledge of the eUICC (23), to decide whether it can admit managing the eUICC (23), the method comprising: a. upon the occurrence of an event, establish a secure channel between the terminal (24) and the signature manager server (20) using the public certificate (Cert-eu) and dedicated eUICC cryptographic services (23); B. send from the terminal (24) to the subscription manager server (20) a subscription request, being considered as a subscription request by the subscription manager server (20); w. check, thanks to the information contained in the public certificate received from the eUICC (23), on the signature manager server (20), whether the eUICC is enabled to be managed by the signature manager server (20) and, if so: d . carry out a (...).

Description

[0001] A presente invenção está relacionada a telecomunicações e mais precisamente ao gerenciamento remoto da assinatura de eUICCs (um eUICC é um Cartão Universal de Circuito Integrado embutido) que não é acessível ou substituível, não é pretendido a ser removido ou substituído no dispositivo com o qual ele coopera, do tipo, por exemplo, definido na especificação técnica GSMA, versão 2.0 de outubro de 2014 e intitulado “Arquitetura de Acesso Remoto para UICC Integrado”). O dispositivo pode ser um aparelho do tipo M2M (Máquina para Máquina), um smartphone, um tablet, um PDA, falando de forma geral um terminal de telecomunicações.[0001] The present invention is related to telecommunications and more precisely to the remote management of the subscription of eUICCs (an eUICC is an embedded Universal Integrated Circuit Card) that is not accessible or replaceable, is not intended to be removed or replaced in the device with which it cooperates, of the type, for example, defined in the GSMA technical specification, version 2.0 of October 2014 and entitled “Remote Access Architecture for Integrated UICC”). The device can be an M2M (Machine-to-Machine) type device, a smartphone, a tablet, a PDA, generally speaking a telecommunications terminal.

[0002] Esta especificação define uma solução técnica para o provisionamento e o gerenciamento remoto de eUICCs. A adoção desta solução técnica visa proporcionar a base para garantir a interoperabilidade global entre cenários de implantação de MNO (Operadores de Redes Móveis), diferentes fabricantes de elementos de rede (por exemplo, SM-DP, SM-SR) e diferentes fornecedores de elementos eUICC. SM-DP significa Preparação de Dados para o Gerenciamento do Assinante e SM-SR significa Roteamento Seguro do Gerenciamento do Assinante.[0002] This specification defines a technical solution for the provisioning and remote management of eUICCs. The adoption of this technical solution aims to provide the basis for ensuring global interoperability between MNO (Mobile Network Operators) deployment scenarios, different network element manufacturers (e.g. SM-DP, SM-SR) and different element suppliers eUICC. SM-DP stands for Subscriber Management Data Preparation and SM-SR stands for Subscriber Management Secure Routing.

[0003] A Figura 1 mostra um sistema global de provisionamento remoto de elementos seguros.[0003] Figure 1 shows a global system for remote provisioning of secure elements.

[0004] Os elementos seguros são aqui eUICCs. Apenas um eUICC 10 é representado. O eUICC 10 foi fabricado por um EUM (Fabricante de eUICC) 11 e coopera com um terminal de telecomunicação não representado. Uma subscrição pode ser baixada de forma sem fio no eUICC 10 através de um terceirizado possuindo um SM-DP 12, tipicamente um MNO, e outra parte (ou a mesma parte) possuindo um SM-SR 13.[0004] The safe elements here are eUICCs. Only one eUICC 10 is represented. The eUICC 10 was manufactured by an EUM (eUICC Manufacturer) 11 and cooperates with an unrepresented telecommunications terminal. A subscription may be wirelessly downloaded to the eUICC 10 through a third party having an SM-DP 12, typically an MNO, and another party (or the same party) having an SM-SR 13.

[0005] O SM-DP 12 está encarregado para gerar os ‘scripts’ e para assegurar a transferência e a instalação desses ‘scripts’ no eUICC 10 através do SM-SR.[0005] The SM-DP 12 is in charge of generating the scripts and ensuring the transfer and installation of these scripts in the eUICC 10 via the SM-SR.

[0006] O SM-SR 13 garante uma camada de transporte e tem a responsabilidade de executar ações de gerenciamento de conteúdo no eUICC 10, em favor do SM-DP 12.[0006] The SM-SR 13 provides a transport layer and has the responsibility for performing content management actions on the eUICC 10, in favor of the SM-DP 12.

[0007] O SM-DP 12 pode receber do EUM 11 alguns dados executáveis (ou não), permitindo dotar o eUICC 10 com uma assinatura completa. Além disso, o SM-DP 12 completa dados do EUM com dados do operador, aplicativos, chaves, a dupla IMSI/Ki, um sistema de arquivos, etc., de acordo com as especificações do MNO.[0007] The SM-DP 12 can receive some executable data (or not) from the EUM 11, allowing the eUICC 10 to be provided with a complete signature. Furthermore, the SM-DP 12 completes EUM data with operator data, applications, keys, the IMSI/Ki duo, a file system, etc., in accordance with the MNO specifications.

[0008] A presente invenção diz respeito a um método para gerenciar um eUICC através de um servidor do gerenciador de assinatura (por exemplo, SM-DP no contexto GSMA) com um método ‘on-line’ permitindo ainda o gerenciamento remoto da assinatura pelo servidor do gerenciador de assinatura.[0008] The present invention relates to a method for managing an eUICC via a subscription manager server (e.g. SM-DP in the GSMA context) with an 'online' method further allowing remote management of the subscription by the subscription manager server.

[0009] Este método simplifica a implementação do eco-sistema para o mercado consumidor (tablets, PDA, telefonia móvel, etc.) mediante tornar inútil qualquer etapa de pré- provisionamento de chave compartilhada ou qualquer outro material.[0009] This method simplifies the implementation of the ecosystem for the consumer market (tablets, PDA, mobile phones, etc.) by rendering any shared key pre-provisioning step or any other material useless.

[00010] No estado da arte, o SM-SR para o mercado M2M tem de ser provisionado com dados do eUICC. O fabricante EUM do eUICC tem também a produzir eUICCs com restrições relacionadas com o provisionamento do SM-DP. Mais precisamente, no contexto do gerenciamento remoto da assinatura, uma das principais dificuldades é durante o ‘set-up’ (configuração) do eco- sistema quando o servidor do gerenciador de assinatura deve ser provido com dados da totalidade dos eUICCs a serem gerenciados (identificadores, credenciais, etc.). Os problemas são os seguintes: - Não são os mesmos atores que irão gerenciar a fabricação dos eUICCs e a operação do servidor do gerenciador de assinatura: O EUM tem que estar ciente de qual servidor do gerenciador de assinatura poderá ter de gerenciar seus eUICCs. - No caso de surgir um novo servidor do gerenciador de assinatura, como ele pode recuperar os dados de qualquer um dos eUICCs já implantados que ele tenha de gerenciar?[00010] In the state of the art, the SM-SR for the M2M market has to be provisioned with data from the eUICC. The eUICC manufacturer EUM also has to produce eUICCs with restrictions related to SM-DP provisioning. More precisely, in the context of remote subscription management, one of the main difficulties is during the 'set-up' (configuration) of the ecosystem when the subscription manager server must be provided with data from all the eUICCs to be managed ( identifiers, credentials, etc.). The problems are as follows: - It is not the same actors who will manage the manufacturing of the eUICCs and the operation of the signature manager server: The EUM has to be aware of which signature manager server may have to manage its eUICCs. - In the event that a new subscription manager server comes along, how can it retrieve data from any of the already deployed eUICCs that it has to manage?

[00011] Esta necessidade de provisionamento vem principalmente da restrição do mercado de M2M onde a maioria dos casos de usos se inicia pela parte servidora, no modo ‘push’ (‘download’ da conectividade inicial, comutar, apagar) uma vez que não existe usuário final para disparar as operações que devem ser executadas nos eUICCs.[00011] This need for provisioning comes mainly from the restriction of the M2M market where the majority of use cases begin with the server side, in 'push' mode ('download' of initial connectivity, switch, delete) since there is no end user to trigger the operations that must be performed on the eUICCs.

[00012] A presente invenção propõe um método para o servidor do gerenciador de assinatura para gerenciar eUICCs embutidos em terminais para o mercado consumidor. Tal gerenciamento compreende tipicamente baixar uma assinatura no eUICC, comutar de uma assinatura para uma outra ou a pagar uma assinatura em um eUICC.[00012] The present invention proposes a method for the subscription manager server to manage eUICCs embedded in terminals for the consumer market. Such management typically comprises downloading a subscription to the eUICC, switching from one subscription to another or paying for a subscription to an eUICC.

[00013] Esta invenção se aplica no mercado de consumo onde o eUICC está embutido num terminal e não há ‘push’ de dados realizados pelo servidor de gerenciamento (SM-DP no contexto da GSMA).[00013] This invention applies to the consumer market where the eUICC is embedded in a terminal and there is no data push made by the management server (SM-DP in the context of the GSMA).

[00014] O SM-SR do estado da arte é tipicamente gerenciado por um provedor de serviços (empresa gestora de dispositivos M2M, como, por exemplo, medidores de energia, carros (fabricantes de automóveis), terminais de telecomunicações, como smartphones ou tablets) e o gerenciamento do eUICCs é realizado em um modo ‘push’: O provedor de serviço decide qual eUICCs deve ser gerenciado e quando.[00014] The state-of-the-art SM-SR is typically managed by a service provider (company managing M2M devices, such as, for example, energy meters, cars (car manufacturers), telecommunications terminals, such as smartphones or tablets ) and the management of eUICCs is carried out in a 'push' mode: The service provider decides which eUICCs should be managed and when.

[00015] No mercado de consumo é mais provável que o usuário final selecione o MNO que irá prover o serviço de conectividade para seu dispositivo de consumo e que irá gerenciar seu eUICC. O usuário final faz rolagem em um ‘menu’ que mostra os MNOs disponíveis e seleciona uma assinatura em meio a esses MNOs. A assinatura selecionada é então descarregada via OTA (Over The Air - sem fio) em seu eUICC.[00015] In the consumer market it is more likely that the end user will select the MNO that will provide the connectivity service for their consumer device and that will manage their eUICC. The end user scrolls through a ‘menu’ that shows the available MNOs and selects a subscription from those MNOs. The selected subscription is then downloaded via OTA (Over The Air - wirelessly) to your eUICC.

[00016] A presente invenção propõe uma solução em que não há mais necessidade de pré-provisionar credencial e informação de eUICC, onde não há mais necessidade de usar um SM-SR para instalar uma assinatura num eUICC, onde o usuário final pode selecionar o MNO que irá gerenciar seu eUICC, e onde os eUICCs podem ser fabricados pelos diferentes EUMs.[00016] The present invention proposes a solution where there is no longer a need to pre-provision credential and eUICC information, where there is no longer a need to use an SM-SR to install a signature on an eUICC, where the end user can select the MNO that will manage its eUICC, and where eUICCs can be manufactured by the different EUMs.

[00017] Esta solução consiste em um método de gerenciamento remoto da assinatura de um eUICC cooperante com um terminal, o eUICC compreendendo uma chave privada e um certificado público consignado por esse fabricante, o certificado público também compreendendo uma informação que habilita um servidor do gerenciador de assinatura, sem o prévio conhecimento do eUICC, para decidir se ele pode admitir gerenciar o eUICC, o método compreendendo: a. Na ocorrência de um evento, estabelecer um canal seguro entre o terminal e o servidor do gerenciador de assinatura mediante uso do certificado público e de serviços criptográficos dedicados do eUICC; b. Enviar a partir do terminal para o servidor do gerenciador de assinatura uma solicitação de assinatura, sendo considerada como uma solicitação de inscrição pelo servidor do gerenciador de assinatura; c. Verificar, graças à informação contida no certificado público que se recebe proveniente do eUICC, no servidor do gerenciador de assinatura, se o eUICC está habilitado a ser gerenciado pelo servidor do gerenciador de assinatura e, se sim: d. Realizar um procedimento de estabelecimento de chave entre o servidor do gerenciador de assinatura e o eUICC mediante uso do certificado público do eUICC, essa etapa sendo a inscrição do eUICC pelo SM-DP; e. Estabelecer entre o servidor do gerenciador de assinatura e o eUICC um canal seguro com as chaves geradas na etapa d; f. Executar por meio do servidor do gerenciador de assinatura a solicitação do gerenciamento da assinatura no eUICC.[00017] This solution consists of a method of remotely managing the signature of an eUICC cooperating with a terminal, the eUICC comprising a private key and a public certificate assigned by that manufacturer, the public certificate also comprising information that enables a manager server of signature, without prior knowledge of the eUICC, to decide whether it can admit to managing the eUICC, the method comprising: a. In the event of an event, establish a secure channel between the terminal and the signature manager server using the public certificate and dedicated eUICC cryptographic services; B. Send a subscription request from the terminal to the subscription manager server, which is considered as a subscription request by the subscription manager server; w. Check, thanks to the information contained in the public certificate received from the eUICC, on the signature manager server, whether the eUICC is enabled to be managed by the signature manager server and, if so: d. Perform a key establishment procedure between the signature manager server and the eUICC using the eUICC public certificate, this step being the enrollment of the eUICC by SM-DP; It is. Establish a secure channel between the signature manager server and the eUICC with the keys generated in step d; f. Execute the subscription management request in eUICC via the subscription manager server.

[00018] De preferência, o terminal compreende um aplicativo, o aplicativo realizando as etapas a e b mediante: - na ocorrência do evento, estabelecer um canal local seguro entre o eUICC e o aplicativo mediante uso da chave privada e do certificado público; - estabelecer um canal seguro com o servidor do gerenciador de assinatura utilizando o certificado público e serviços criptográficos dedicados do eUICC; - enviar a partir do aplicativo ao servidor do gerenciador de assinatura uma solicitação de gerenciamento da assinatura do eUICC.[00018] Preferably, the terminal comprises an application, the application performing steps a and b by: - upon the occurrence of the event, establishing a secure local channel between the eUICC and the application using the private key and public certificate; - establish a secure channel with the signature manager server using the public certificate and dedicated cryptographic services of eUICC; - send an eUICC subscription management request from the application to the subscription manager server.

[00019] Alternativamente, é o eUICC que executa as etapas a e b.[00019] Alternatively, it is the eUICC that performs steps a and b.

[00020] Numa modalidade preferida, o evento é gerado por um usuário do terminal.[00020] In a preferred embodiment, the event is generated by a terminal user.

[00021] A invenção também diz respeito a um terminal compreendendo um eUICC e um aplicativo, o eUICC compreendendo uma chave privada e um certificado público, em que o aplicativo compreende instruções que induzem o computador a executar as seguintes operações: - na ocorrência de um evento, estabelecer um canal local seguro entre o eUICC e o aplicativo usando a chave privada e o certificado público, o certificado público compreendendo ainda uma informação que habilita um servidor do gerenciador de assinatura, sem o prévio conhecimento do eUICC, para decidir se ele pode admitir gerenciar o eUICC; - estabelecer um canal seguro com o servidor do gerenciador de assinatura utilizando o certificado público e os serviços criptográficos dedicados do eUICC; - enviar do aplicativo para o servidor do gerenciador de assinatura uma solicitação de gerenciamento da assinatura.[00021] The invention also relates to a terminal comprising an eUICC and an application, the eUICC comprising a private key and a public certificate, wherein the application comprises instructions that induce the computer to perform the following operations: - upon the occurrence of a event, establish a secure local channel between the eUICC and the application using the private key and public certificate, the public certificate further comprising information that enables a signature manager server, without prior knowledge of the eUICC, to decide whether it can admit managing the eUICC; - establish a secure channel with the signature manager server using the public certificate and dedicated cryptographic services of eUICC; - send a subscription management request from the application to the subscription manager server.

[00022] A invenção também diz respeito a um terminal que compreende um eUICC, o eUICC compreendendo uma chave privada e um certificado público, o certificado público compreendendo ainda uma informação que habilita um servidor do gerenciador de assinatura, sem o prévio conhecimento do eUICC, para decidir se ele pode admitir gerenciar o eUICC, em que o eUICC compreende instruções que fazem com que um computador execute as seguintes operações: - na ocorrência de um evento, estabelecer um canal seguro entre o eUICC e um servidor do gerenciador de assinatura utilizando o certificado público e serviços criptográficos dedicados do eUICC; - enviar do eUICC para o servidor do gerenciador de assinatura uma solicitação de gerenciamento da assinatura do eUICC.[00022] The invention also relates to a terminal comprising an eUICC, the eUICC comprising a private key and a public certificate, the public certificate further comprising information that enables a signature manager server, without prior knowledge of the eUICC, to decide whether it can manage the eUICC, wherein the eUICC comprises instructions that cause a computer to perform the following operations: - upon the occurrence of an event, establish a secure channel between the eUICC and a signature manager server using the eUICC public certificate and dedicated cryptographic services; - send an eUICC subscription management request from the eUICC to the subscription manager server.

[00023] A invenção também diz respeito a um meio de armazenamento permanente legível por computador compreendido em um terminal, o terminal também compreendendo um eUICC compreendendo uma chave privada e um certificado público, o certificado público também compreendendo uma informação que habilita um servidor do gerenciador de assinatura, sem o prévio conhecimento do eUICC, para decidir se ele pode admitir gerenciar o eUICC, o meio de armazenamento permanente legível por computador compreendendo instruções que induzem um computador a executar as seguintes operações: - na ocorrência de um evento, estabelecer um canal seguro entre o terminal e o servidor do gerenciador de assinatura utilizando a chave privada e o certificado público; - enviar do terminal para o servidor do gerenciador de assinatura uma solicitação de gerenciamento da assinatura do eUICC;[00023] The invention also relates to a computer-readable permanent storage medium comprised in a terminal, the terminal also comprising an eUICC comprising a private key and a public certificate, the public certificate also comprising information enabling a manager server signature, without the prior knowledge of the eUICC, to decide whether it can admit to managing the eUICC, the computer-readable permanent storage medium comprising instructions that induce a computer to perform the following operations: - on the occurrence of an event, establish a channel secure between the terminal and the signature manager server using the private key and public certificate; - send an eUICC subscription management request from the terminal to the signature manager server;

[00024] O meio de armazenamento permanente legível por computador é preferentemente compreendido no eUICC.[00024] The computer-readable permanent storage medium is preferably comprised in the eUICC.

[00025] A descrição seguinte de um exemplo de implementação da presente invenção será feita em relação das Figuras 2 e 3 que representam diferentes etapas de métodos de acordo com a presente invenção.[00025] The following description of an example of implementation of the present invention will be made in relation to Figures 2 and 3 which represent different steps of methods according to the present invention.

[00026] Na figura 2, quatro entidades estão representadas: Um servidor do gerenciador de assinatura 20, um usuário final 21, um aplicativo ao dispositivo 22 e um eUICC 23.[00026] In Figure 2, four entities are represented: A subscription manager server 20, an end user 21, a device application 22 and an eUICC 23.

[00027] Quando o padrão GSMA é implementado, o servidor do gerenciador de assinatura 20 corresponde a um SM-DP (referenciado como 12 na Fig. 1). Aqui um usuário final 21 está presente para disparar pelo menos a etapa inicial da invenção. Todavia, como será explicado, não é obrigatória a presença de um usuário final. O aplicativo ao dispositivo 22 (ou “aplicativo ao terminal” como será visto mais adiante, esse aplicativo pode estar também alocado no eUICC 23) e o eUICC 23 estão compreendidos num terminal 24. O aplicativo ao dispositivo 22 pode ser instalado no terminal ou no eUICC 23.[00027] When the GSMA standard is implemented, the subscription manager server 20 corresponds to an SM-DP (referred to as 12 in Fig. 1). Here an end user 21 is present to trigger at least the initial step of the invention. However, as will be explained, the presence of an end user is not mandatory. The application to the device 22 (or “application to the terminal” as will be seen later, this application can also be located in the eUICC 23) and the eUICC 23 are included in a terminal 24. The application to the device 22 can be installed on the terminal or on the eUICC 23.

[00028] Os eUICCs a serem gerenciados são fabricados independentemente pelos fabricantes do eUICC com uma chave privada simples PrKeu e um certificado público Cert-eu (Contendo a chave pública PuKeu do eUICC 23), o certificado sendo consignado pelos seus fabricantes de eUICC.[00028] The eUICCs to be managed are manufactured independently by the eUICC manufacturers with a simple private key PrKeu and a public certificate Cert-eu (Containing the PuKeu public key of the eUICC 23), the certificate being assigned by their eUICC manufacturers.

[00029] O servidor do gerenciador de assinatura 20 não tem conhecimento dos eUICCs individuais, mas tem apenas algum conhecimento acerca do fabricante do eUICC (chave pública Puke de cada fabricante do eUICC que seja confiável, para o que o servidor do gerenciador de assinatura 20 se habilite a gerenciar os eUICCs). Este é um processo do tipo lista branca: O servidor do gerenciador de assinatura 20 pode ser codificado para rejeitar eUICCs para os quais o fabricante do eUICC não seja confiável.[00029] The signature manager server 20 has no knowledge of individual eUICCs, but only has some knowledge about the eUICC manufacturer (Puke public key of each eUICC manufacturer that is trusted, for which the signature manager server 20 be able to manage eUICCs). This is a whitelist-type process: The signature manager server 20 may be coded to reject eUICCs for which the eUICC manufacturer is not trusted.

[00030] De preferência, o certificado público Cert-eu também compreende uma informação que habilita ao servidor do gerenciador de assinatura 20, sem o prévio conhecimento do eUICC 23, a decidir se ele pode admitir gerenciar o eUICC 23. Essa informação é, por exemplo, o sistema operacional do eUICC, sua versão ou outra informação técnica relacionada com o eUICC. AS etapas representadas na Figura 2 são as seguintes:[00030] Preferably, the Cert-eu public certificate also comprises information that enables the signature manager server 20, without prior knowledge of the eUICC 23, to decide whether it can admit managing the eUICC 23. This information is, for example, example, the eUICC operating system, its version or other technical information related to the eUICC. THE steps represented in Figure 2 are as follows:

[00031] A primeira etapa é aqui um evento 30 pelo qual um usuário final 21, através da qual o usuário final 21 dispara uma solicitação de gerenciamento do eUICC 23 compreendido no terminal 24. Isto pode consistir em selecionar em um menu (graças a uma interface homem/máquina) a ação a ser realizada pelo servidor do gerenciador de assinatura 20 no eUICC 23. O evento 30 pode também ser automático: um primeiro acionamento do terminal 24 pode gerar o acionamento. Também é possível iniciar o processo através da digitalização de um código QR pelo terminal ou pela leitura de uma etiqueta NFC, o ponto importante sendo aquele que não é por iniciativa do servidor inicialização do servidor do gerenciador de assinatura 20.[00031] The first step here is an event 30 by which an end user 21, whereby the end user 21 triggers a management request from the eUICC 23 comprised in the terminal 24. This may consist of selecting from a menu (thanks to a human/machine interface) the action to be performed by the signature manager server 20 in the eUICC 23. Event 30 may also be automatic: a first activation of terminal 24 may generate the trigger. It is also possible to start the process by scanning a QR code through the terminal or by reading an NFC tag, the important point being that it is not at the initiative of the server to initiate the signature manager server 20.

[00032] Após este evento, um canal local seguro 31 é estabelecido entre o eUICC 23 e o aplicativo 22 mediante uso da chave privada PrKeu e do certificado público Cert-eu. Isso é feito da seguinte maneira, por exemplo: Isso é feito da seguinte maneira, por exemplo: - O aplicativo 22 solicita do eUICC 23 sua chave pública, compreendida no certificado Cert-eu; - O eUICC 23 envia esta chave pública ao aplicativo 22 e o aplicativo 22 fica assim capaz de criptografar uma senha com esta chave pública. A senha pode ser considerada como uma chave de sessão; - O eUICC decifra a senha criptografada com sua chave privada PrKeu sendo então capaz de criptografar mensagens com esta senha.[00032] After this event, a secure local channel 31 is established between the eUICC 23 and the application 22 using the private key PrKeu and the public certificate Cert-eu. This is done as follows, for example: This is done as follows, for example: - Application 22 requests from eUICC 23 its public key, comprised in the Cert-eu certificate; - The eUICC 23 sends this public key to the application 22 and the application 22 is thus able to encrypt a password with this public key. The password can be thought of as a session key; - The eUICC decrypts the password encrypted with its private key PrKeu and is then able to encrypt messages with this password.

[00033] O eUICC 23 não é capaz de autenticar o aplicativo 22 porque o aplicativo não porta um certificado.[00033] The eUICC 23 is not able to authenticate the application 22 because the application does not carry a certificate.

[00034] No entanto, o aplicativo 22 é capaz de estabelecer um canal seguro 32 (por exemplo, um canal TLS) com o servidor do gerenciador de assinatura 20 pelo uso do certificado público Cert-eu e serviços criptográficos dedicados do eUICC 23: - A chave pública do eUICC é enviada pelo aplicativo 22 para o servidor do gerenciador de assinatura 20 que criptografa uma senha com esta chave pública do eUICC 23 e retorna a senha criptografada juntamente com sua chave pública (contida no seu certificado público Cert-SM) para o aplicativo 22. O aplicativo 22 age como um ‘proxy’ e transmite os dados recebidos para o eUICC 23; - O eUICC 23 decifra a senha criptografada com sua chave privada PrKeu para obter a senha; - O eUICC 23 criptografa a senha com a chave pública de servidor do gerenciador de assinatura 20 e envia a senha criptografada para o servidor do gerenciador de assinatura 20 através do aplicativo 22; - O servidor do gerenciador de assinatura 20 decifra a senha criptografada com sua chave privada Pks e verifica se a senha decifrada é a mesma que aquela que foi gerada anteriormente. Se o resultado for positivo, o servidor do gerenciador de assinatura 20 pode derivar uma chave de sessão a partir da senha que pode ser usada mais tarde (etapa 35) para comunicação diretamente com o eUICC 23.[00034] However, the application 22 is capable of establishing a secure channel 32 (e.g., a TLS channel) with the signature manager server 20 by use of the Cert-eu public certificate and eUICC dedicated cryptographic services 23:- The eUICC public key is sent by the application 22 to the signature manager server 20 which encrypts a password with this eUICC public key 23 and returns the encrypted password along with its public key (contained in its Cert-SM public certificate) to the application 22. The application 22 acts as a 'proxy' and transmits the received data to the eUICC 23; - eUICC 23 decrypts the password encrypted with its private key PrKeu to obtain the password; - The eUICC 23 encrypts the password with the public key of the subscription manager 20 server and sends the encrypted password to the subscription manager server 20 through the application 22; - The signature manager server 20 decrypts the password encrypted with its private key Pks and checks whether the deciphered password is the same as the one that was previously generated. If the result is positive, the signature manager server 20 can derive a session key from the password that can be used later (step 35) to communicate directly with the eUICC 23.

[00035] A descrição das etapas 31-32 é dada como um exemplo simples do procedimento de estabelecimento de chave entre o eUICC e o Servidor de Gerenciamento da Assinatura. Qualquer outro procedimento de estabelecimento de chave usando as credenciais do eUICC e o Servidor de Gerenciamento da Assinatura descrito nesta invenção podem ser também usados.[00035] The description of steps 31-32 is given as a simple example of the key establishment procedure between the eUICC and the Subscription Management Server. Any other key establishment procedure using the eUICC credentials and the Subscription Management Server described in this invention may also be used.

[00036] De forma vantajosa o eUICC pode também autenticar o Servidor de Gerenciamento da Assinatura se em lugar de enviar apenas sua chave pública, o Servidor de Gerenciamento da Assinatura puder enviar seu certificado consignado por uma entidade terceirizada confiável para o que o eUICC teria a sua chave pública.[00036] Advantageously, the eUICC can also authenticate the Subscription Management Server if instead of sending just its public key, the Subscription Management Server can send its certificate assigned by a trusted third-party entity to which the eUICC would have the your public key.

[00037] A próxima etapa (33) consiste em enviar do aplicativo 22 para o servidor do gerenciador de assinatura 20 uma solicitação de gerenciamento da assinatura do eUICC 23.[00037] The next step (33) consists of sending from the application 22 to the subscription manager server 20 an eUICC 23 subscription management request.

[00038] Essa solicitação compreende o certificado público Cert-eu do eUICC 23. Como já foi explicado, o certificado público Cert-eu compreende também uma informação que habilita o servidor do gerenciador de assinatura 20, para decidir, na etapa 34, se pode admitir gerenciar o eUICC 23.[00038] This request comprises the Cert-eu public certificate of the eUICC 23. As already explained, the Cert-eu public certificate also comprises information that enables the signature manager server 20, to decide, in step 34, whether it can admit managing the eUICC 23.

[00039] Se o servidor do gerenciador de assinatura 20 considerar que ele pode gerenciar o eUICC 23 (ele é um fabricante confiável de eUICC e ele é um modelo de eUICC que ele suporta), o servidor do gerenciador de assinatura 20 realiza, na etapa 35, um procedimento de estabelecimento de chave com o eUICC 23 pelo uso do certificado público Cert-eu do eUICC. Essa etapa corresponde à inscrição do eUICC pelo SM- DP.[00039] If the signature manager server 20 considers that it can manage the eUICC 23 (it is a trusted eUICC manufacturer and it is an eUICC model that it supports), the signature manager server 20 performs, in step 35, a key establishment procedure with the eUICC 23 by use of the eUICC Cert-eu public certificate. This step corresponds to the registration of the eUICC by SM-DP.

[00040] Isto permite gerar chaves de sessão (chaves privadas) ao nível do servidor do gerenciador de assinatura 20 e ao nível do eUICC 23 (por exemplo, ISD-P). Isto é feito, por exemplo, de acordo com o procedimento de estabelecimento de chave, conforme definido na GlobalPlatformScenario#3 com base na abordagem Diffie-Hellman que fornece as características de “perfeito sigilo de avanço” para as chaves geradas.[00040] This allows generating session keys (private keys) at the server level of the signature manager 20 and at the level of the eUICC 23 (e.g. ISD-P). This is done, for example, according to the key establishment procedure as defined in GlobalPlatformScenario#3 based on the Diffie-Hellman approach that provides the characteristics of “perfect forward secrecy” for the generated keys.

[00041] Na etapa 36, um canal seguro é estabelecido entre as duas entidades com as chaves geradas na etapa 35.[00041] In step 36, a secure channel is established between the two entities with the keys generated in step 35.

[00042] Na etapa 37, o servidor do gerenciador de assinatura 20 pode então gerenciar o eUICC, por exemplo, baixando uma assinatura completa.[00042] In step 37, the signature manager server 20 may then manage the eUICC, for example, downloading a complete signature.

[00043] Os serviços criptográficos dedicados acima mencionados do eUICC 23 são funções criptográficas que habilitam o eUICC 23 a criptografar e decifrar mensagens trocadas com o aplicativo 22 e o servidor do gerenciador de assinatura 20.[00043] The aforementioned dedicated cryptographic services of the eUICC 23 are cryptographic functions that enable the eUICC 23 to encrypt and decrypt messages exchanged with the application 22 and the signature manager server 20.

[00044] Na solução descrita na figura 2, o terminal 24 tem um eUICC 23 e um aplicativo dedicado ao dispositivo 22 no terminal 24 (ou no eUICC 23) para gerenciar a interface usuário local e a conexão entre o eUICC 23 e o servidor do gerenciador de assinatura 20. Mas a invenção também se aplica em um terminal compreendendo apenas o eUICC 23, o eUICC 23 sendo diretamente conectado ao servidor do gerenciador de assinatura 20.[00044] In the solution described in Figure 2, terminal 24 has an eUICC 23 and an application dedicated to device 22 on terminal 24 (or on eUICC 23) to manage the local user interface and the connection between eUICC 23 and the server. signature manager 20. But the invention also applies to a terminal comprising only the eUICC 23, the eUICC 23 being directly connected to the signature manager server 20.

[00045] Esta solução será agora descrita com respeito à Figura 3.[00045] This solution will now be described with respect to Figure 3.

[00046] Nesta figura, não há mais de um aplicativo no terminal contendo o eUICC 23.[00046] In this figure, there is no more than one application on the terminal containing eUICC 23.

[00047] O acionamento do gerenciamento do eUICC é aqui também por iniciativa do usuário final 21 (etapa 40). As etapas 31 e 32 da Figura 2 são aqui inteiramente controladas pelo eUICC 23 que recebe a solicitação de gerenciamento a partir do usuário final 21. Como descrito em relação à Figura 2, esse acionamento pode ser também gerado sem o usuário final 21.[00047] The triggering of eUICC management is here also at the initiative of the end user 21 (step 40). Steps 31 and 32 of Figure 2 are here entirely controlled by the eUICC 23 which receives the management request from the end user 21. As described in relation to Figure 2, this trigger can also be generated without the end user 21.

[00048] O eUICC 23 estabelece um canal seguro de ponta a ponta 41 com o servidor do gerenciador de assinatura 20 usando seu certificado público Cert-eu e os seus serviços criptográficos dedicados.[00048] The eUICC 23 establishes an end-to-end secure channel 41 with the signature manager server 20 using its Cert-eu public certificate and its dedicated cryptographic services.

[00049] Uma vez que este canal seguro 41 tenha sido estabelecido, o eUICC envia uma solicitação de gerenciamento da assinatura 42 para o servidor do gerenciador de assinatura 20.[00049] Once this secure channel 41 has been established, the eUICC sends a subscription management request 42 to the subscription manager server 20.

[00050] As etapas 43, 44, 45 e 46 correspondem respectivamente às etapas 34, 35, 36 e 37 da Figura 2.[00050] Steps 43, 44, 45 and 46 correspond respectively to steps 34, 35, 36 and 37 of Figure 2.

[00051] Assim, nestes dois exemplos, a invenção propõe um método para o gerenciamento remoto da assinatura de um eUICC 23 cooperante com um terminal 24, o eUICC 23 compreendendo uma chave privada PrKeu e um certificado público Cert-eu, consignado pelo seu fabricante, o certificado público Cert-eu compreendendo também uma informação habilitando um servidor do gerenciador de assinatura 20, sem conhecimento prévio do eUICC 23, a decidir se ele pode admitir gerenciar o eUICC 23, o método compreendendo: a. Na ocorrência de um evento 30 ou 40, estabelecer um canal seguro 32 ou 41 entre o terminal 24 e o servidor do gerenciador de assinatura 20 utilizando o certificado público Cert-eu e serviços criptográficos dedicados do eUICC 23; b. Enviar (33 ou 42) do terminal 24 para o servidor do gerenciador de assinatura 20 uma solicitação de gerenciamento da assinatura; c. Verificar (34 ou 43), graças à informação contida no certificado público recebido do eUICC 23, no servidor do gerenciador de assinatura 20, se o eUICC 23 está habilitado a ser gerenciado pelo servidor do gerenciador de assinatura 20 e, se sim: d. Realizar (35 ou 44) um procedimento de estabelecimento de chave entre o servidor do gerenciador de assinatura 20 e o eUICC 23 usando o certificado público eUICC 23, correspondente à inscrição do eUICC pelo SM-DP; e. Estabelecer (36 ou 45) entre o servidor do gerenciador de assinatura 20 e o eUICC 23 um canal seguro com as chaves geradas na etapa d; f. Executar (37 ou 46) pelo servidor do gerenciador de assinatura 20 a solicitação do gerenciamento de assinatura no eUICC 23.[00051] Thus, in these two examples, the invention proposes a method for remotely managing the signature of an eUICC 23 cooperating with a terminal 24, the eUICC 23 comprising a private key PrKeu and a public certificate Cert-eu, assigned by its manufacturer , the Cert-eu public certificate also comprising information enabling a signature manager server 20, without prior knowledge of the eUICC 23, to decide whether it can admit to managing the eUICC 23, the method comprising: a. Upon the occurrence of an event 30 or 40, establish a secure channel 32 or 41 between the terminal 24 and the signature manager server 20 using the Cert-eu public certificate and dedicated eUICC cryptographic services 23; B. Send (33 or 42) from the terminal 24 to the subscription manager server 20 a subscription management request; w. Check (34 or 43), thanks to the information contained in the public certificate received from the eUICC 23, on the signature manager server 20, whether the eUICC 23 is enabled to be managed by the signature manager server 20 and, if so: d. Performing (35 or 44) a key establishment procedure between the signature manager server 20 and the eUICC 23 using the eUICC public certificate 23, corresponding to the enrollment of the eUICC by the SM-DP; It is. Establish (36 or 45) between the signature manager server 20 and the eUICC 23 a secure channel with the keys generated in step d; f. Execute (37 or 46) by the subscription manager server 20 the subscription management request in the eUICC 23.

[00052] Com respeito à Figura 2, a invenção também está relacionada a um terminal 24 compreendendo um eUICC 23 e um aplicativo 22, o eUICC 23 compreendendo uma chave privada PrKeu e um certificado público Cert-eu, em que o aplicativo 22 compreende instruções que fazem com que um computador execute as seguintes operações: g. na ocorrência de um evento, estabelecer um canal local seguro entre o eUICC 23 e o aplicativo 22 usando a chave privada PrKeu e o certificado público Cert-eu, o certificado público Cert-eu compreendendo também uma informação que habilita a um servidor do gerenciador de assinatura 20, sem o prévio conhecimento do eUICC 23, a decidir se ele pode admitir gerenciar o eUICC 23; h. estabelecer um canal seguro com o servidor do gerenciador de assinatura 20 usando o certificado público Cert-eu e serviços criptográficos dedicados do eUICC 23; i. enviar do aplicativo 22 ao servidor do gerenciador de assinatura 20 uma solicitação a solicitação de gerenciamento da assinatura do eUICC 23.[00052] With respect to Figure 2, the invention also relates to a terminal 24 comprising an eUICC 23 and an application 22, the eUICC 23 comprising a private key PrKeu and a public certificate Cert-eu, wherein the application 22 comprises instructions that cause a computer to perform the following operations: g. upon the occurrence of an event, establish a secure local channel between the eUICC 23 and the application 22 using the private key PrKeu and the public certificate Cert-eu, the public certificate Cert-eu also comprising information that enables a data manager server to signature 20, without the prior knowledge of the eUICC 23, to decide whether he can admit to managing the eUICC 23; H. establishing a secure channel with the signature manager server 20 using the Cert-eu public certificate and eUICC dedicated cryptographic services 23; i. send from the application 22 to the subscription manager server 20 a request for the eUICC subscription management request 23.

[00053] Em relação à Figura 3, a invenção também diz respeito a um terminal 24 compreendendo um eUICC 23, o eUICC 23 compreendendo uma chave privada PrKeu e um certificado público Cert-eu, o certificado público Cert-eu compreendendo também uma informação que habilita a um servidor do gerenciador de assinatura 20, sem o prévio conhecimento do eUICC 23, a decidir se ele pode admitir gerenciar o eUICC 23, em que o eUICC 23 compreende instruções que fazem com que um computador execute as seguintes operações: j. na ocorrência de um evento, estabelecer um canal seguro entre o eUICC e um servidor gerenciador de assinatura 20 mediante uso do certificado público Cert-eu e serviços criptográficos dedicados do eUICC 23; k. enviar do eUICC 23 para o servidor do gerenciador de assinatura 20 uma solicitação de gerenciamento da assinatura do eUICC 23.[00053] In relation to Figure 3, the invention also concerns a terminal 24 comprising an eUICC 23, the eUICC 23 comprising a private key PrKeu and a public certificate Cert-eu, the public certificate Cert-eu also comprising information that enables a subscription manager server 20, without prior knowledge of the eUICC 23, to decide whether it can admit to managing the eUICC 23, wherein the eUICC 23 comprises instructions that cause a computer to perform the following operations: j. upon the occurrence of an event, establish a secure channel between the eUICC and a signature management server 20 using the Cert-eu public certificate and dedicated cryptographic services of the eUICC 23; k. send from the eUICC 23 to the subscription manager server 20 a request to manage the eUICC 23 subscription.

[00054] Finalmente, a invenção diz respeito a um meio de armazenamento permanente legível por computador compreendido num terminal 24, o terminal 24 também compreendendo um eUICC 23 compreendendo uma chave privada PrKeu e um certificado público Cert-eu, o certificado público Cert-eu compreendendo também uma informação que habilita um servidor do gerenciador de assinatura 20, sem o prévio conhecimento do eUICC 23, a decidir se ele pode admitir gerenciar o eUICC 23, o meio de armazenamento permanente legível por computador compreendendo instruções que fazem com que um computador execute as seguintes operações: l. na ocorrência de um evento, estabelecer um canal seguro entre o terminal 24 e o servidor do gerenciador de assinatura 20 usando a chave privada PrKeu e o certificado público Cert-eu; m. enviar a partir do terminal 24 para o servidor do gerenciador de assinatura 20 uma solicitação de gerenciamento da assinatura do eUICC 23.[00054] Finally, the invention concerns a computer-readable permanent storage medium comprised in a terminal 24, the terminal 24 also comprising an eUICC 23 comprising a private key PrKeu and a public certificate Cert-eu, the public certificate Cert-eu further comprising information that enables a signature manager server 20, without prior knowledge of the eUICC 23, to decide whether it can handle managing the eUICC 23, the computer-readable permanent storage medium comprising instructions that cause a computer to execute the following operations: l. upon the occurrence of an event, establish a secure channel between the terminal 24 and the signature manager server 20 using the private key PrKeu and the public certificate Cert-eu; m. send from the terminal 24 to the subscription manager server 20 an eUICC subscription management request 23.

[00055] O meio de armazenamento permanente legível por computador está preferentemente compreendido no eUICC 23.[00055] The computer-readable permanent storage medium is preferably included in eUICC 23.

[00056] As vantagens trazidas pela presente invenção são aquelas nas quais o servidor do gerenciador de assinatura 20 não precisa a priori de conhecimento acerca dos eUICCs individuais. Ele só precisa ser provisionado com as chaves públicas PuKe dos EUMs a fim de controlar qual eUICC individual pode ser aceito no sistema.[00056] The advantages brought by the present invention are those in which the signature manager server 20 does not need a priori knowledge about individual eUICCs. It only needs to be provisioned with the EUMs' PuKe public keys in order to control which individual eUICC can be accepted into the system.

[00057] A presente invenção também se aplica a UICCs extraíveis de terminais, mas é somente interessante no caso de UICCs embutidos (eUICCs). O fator de forma é de pouca importância.[00057] The present invention also applies to UICCs extractable from terminals, but is only interesting in the case of embedded UICCs (eUICCs). The form factor is of little importance.

Claims (8)

1. MÉTODO PARA GERENCIAMENTO REMOTO DE ASSINATURA DE UM eUICC COOPERANTE COM UM TERMINAL, o referido eUICC (23) compreendendo uma chave privada (PrKeu) e um certificado público (Cert-eu) consignado por seu fabricante, o referido certificado público (Cert-eu) também compreendendo uma informação que habilita a um servidor do gerenciador de assinatura (20), sem o prévio conhecimento do referido eUICC (23), a decidir se ele pode admitir gerenciar o referido eUICC (23), o referido método caracterizado por compreender: a. na ocorrência de um evento iniciado no referido terminal, estabelecer um canal seguro entre o referido terminal (24) e o referido servidor do gerenciador de assinatura (20) mediante uso do referido certificado público (Cert-eu) e de serviços criptográficos dedicados do eUICC (23); b. enviar a partir do referido terminal (24) para o servidor do gerenciador de assinatura (20) uma solicitação de assinatura, sendo considerada como uma solicitação de inscrição pelo referido servidor do gerenciador de assinatura (20); c. verificar, graças à informação contida no certificado público recebida proveniente do referido eUICC (23), no referido servidor do gerenciador de assinatura (20), se o referido eUICC está habilitado a ser gerenciado pelo referido servidor do gerenciador de assinatura (20) e, se sim: d. realizar um procedimento de estabelecimento de chave entre o referido servidor do gerenciador de assinatura (20) e o referido eUICC (23) mediante uso do referido certificado público, essa etapa sendo a inscrição do eUICC pelo SM-DP; e. estabelecer entre o referido servidor do gerenciador de assinatura e o referido eUICC (23) um canal seguro com as chaves geradas na etapa d; f. executar por meio do referido servidor do gerenciador de assinatura (20) a referida solicitação do gerenciamento da assinatura no referido eUICC (23).1. METHOD FOR REMOTE MANAGEMENT OF THE SIGNATURE OF AN eUICC COOPERATING WITH A TERMINAL, said eUICC (23) comprising a private key (PrKeu) and a public certificate (Cert-eu) assigned by its manufacturer, said public certificate (Cert- i) also comprising information that enables a subscription manager server (20), without prior knowledge of said eUICC (23), to decide whether it can admit managing said eUICC (23), said method characterized by comprising : The. upon the occurrence of an event initiated at said terminal, establish a secure channel between said terminal (24) and said signature manager server (20) using said public certificate (Cert-eu) and dedicated eUICC cryptographic services (23); B. sending from said terminal (24) to the subscription manager server (20) a subscription request, being considered as a subscription request by said subscription manager server (20); w. verify, thanks to the information contained in the public certificate received from said eUICC (23), on said signature manager server (20), whether said eUICC is enabled to be managed by said signature manager server (20) and, if yes: d. carrying out a key establishment procedure between said signature manager server (20) and said eUICC (23) using said public certificate, this step being the registration of the eUICC by the SM-DP; It is. establishing between said signature manager server and said eUICC (23) a secure channel with the keys generated in step d; f. executing through said signature manager server (20) said signature management request on said eUICC (23). 2. Método, de acordo com a reivindicação 1, caracterizado por o referido terminal compreender um aplicativo (22), o referido aplicativo (22) executando as etapas a e b mediante: na ocorrência do referido evento, estabelecer um canal local seguro entre o referido eUICC (23) e o referido aplicativo (22) mediante uso da referida chave privada (PrKeu) e do referido certificado público (Cert-eu); estabelecer um canal seguro com o referido servidor do gerenciador de assinatura (20) utilizando o referido certificado público (Cert-eu) e serviços criptográficos dedicados do referido eUICC (23); enviar a partir do referido aplicativo (22) ao referido servidor do gerenciador de assinatura (20) uma solicitação de gerenciamento da assinatura do referido eUICC (23).2. Method according to claim 1, characterized in that said terminal comprises an application (22), said application (22) performing steps a and b by: upon the occurrence of said event, establishing a secure local channel between said eUICC (23) and said application (22) using said private key (PrKeu) and said public certificate (Cert-eu); establishing a secure channel with said signature manager server (20) using said public certificate (Cert-eu) and dedicated cryptographic services of said eUICC (23); send from said application (22) to said subscription manager server (20) a request for managing the subscription of said eUICC (23). 3. Método, de acordo com a reivindicação 1, caracterizado por o referido eUICC (23) executar as etapas a e b.3. Method, according to claim 1, characterized in that said eUICC (23) performs steps a and b. 4. Método, de acordo com qualquer das reivindicações 1 a 3, caracterizado por o referido evento ser gerado por um usuário (21) do referido terminal (24).4. Method, according to any of claims 1 to 3, characterized in that said event is generated by a user (21) of said terminal (24). 5. TERMINAL, que compreende um eUICC (23) e uma aplicação (22), o referido eUICC (23) compreendendo uma chave privada (PrKeu) e um certificado público (Cert-eu), caracterizado por o referido aplicativo (22) compreender instruções que fazem com que o computador execute as seguintes funções: na ocorrência de um evento iniciado no referido terminal, estabelecer um canal local seguro entre o referido eUICC (23) e o referido aplicativo (22) mediante uso da referida chave privada (PrKeu) e do referido certificado público (Cert- eu), o referido certificado público (Cert-eu) compreendendo ainda uma informação que habilita a um servidor do gerenciador de assinatura (20), sem o prévio conhecimento do referido eUICC (23), a decidir se ele pode admitir gerenciar o referido eUICC (23); estabelecer um canal seguro com o referido servidor do gerenciador de assinatura (20) mediante uso do referido certificado público (Cert-eu) e de serviços criptográficos dedicados do referido eUICC (23); enviar do referido aplicativo (22) para o referido servidor do gerenciador de assinatura (20) uma solicitação de gerenciamento da assinatura do referido eUICC (23).5. TERMINAL, which comprises an eUICC (23) and an application (22), said eUICC (23) comprising a private key (PrKeu) and a public certificate (Cert-eu), characterized in that said application (22) comprises instructions that cause the computer to perform the following functions: upon the occurrence of an event initiated at said terminal, establish a secure local channel between said eUICC (23) and said application (22) using said private key (PrKeu) and said public certificate (Cert-eu), said public certificate (Cert-eu) further comprising information that enables a signature manager server (20), without prior knowledge of said eUICC (23), to decide whether he can admit to managing the aforementioned eUICC (23); establish a secure channel with said signature manager server (20) using said public certificate (Cert-eu) and dedicated cryptographic services of said eUICC (23); send from said application (22) to said subscription manager server (20) a request for managing the subscription of said eUICC (23). 6. Terminal, que compreende um eUICC (23), o referido eUICC (23) compreendendo uma chave privada (PrKeu) e um certificado público (Cert-eu), o referido certificado público (Cert-eu) também compreendendo uma informação que habilita a um servidor do gerenciador de assinatura (20), sem o prévio conhecimento do referido eUICC (23), a decidir se ele pode admitir gerenciar o referido eUICC (23), caracterizado por o referido eUICC (23) compreender instruções que fazem com que um computador execute as seguintes operações: na ocorrência de um evento iniciado no referido terminal, estabelecer um canal seguro entre o referido eUICC (23) e um servidor do gerenciador de assinatura (20) mediante uso do referido certificado público (Cert-eu) e de serviços criptográficos dedicados do referido eUICC (23); enviar do referido eUICC (23) ao referido servidor do gerenciador de assinatura (20) uma solicitação de gerenciamento da assinatura do referido eUICC (23).6. Terminal, comprising an eUICC (23), said eUICC (23) comprising a private key (PrKeu) and a public certificate (Cert-eu), said public certificate (Cert-eu) also comprising enabling information to a server of the subscription manager (20), without the prior knowledge of said eUICC (23), to decide whether it can admit to managing said eUICC (23), characterized in that said eUICC (23) understands instructions that cause a computer performs the following operations: upon the occurrence of an event initiated at said terminal, establish a secure channel between said eUICC (23) and a signature manager server (20) using said public certificate (Cert-eu) and of dedicated cryptographic services of the aforementioned eUICC (23); sending from said eUICC (23) to said subscription manager server (20) a request for managing the subscription of said eUICC (23). 7. MEIO DE ARMAZENAMENTO PERMANENTE LEGÍVEL POR COMPUTADOR COMPREENDIDO NUM TERMINAL, o referido terminal (24) também compreendendo um eUICC (23) compreendendo uma chave privada (PrKeu) e um certificado público (Cert-eu), o referido certificado público (Cert-eu) compreendendo também uma informação que permita a um servidor do gerenciador de assinatura (20), sem o prévio conhecimento do referido eUICC (23), a decidir se ele pode admitir gerenciar o referido eUICC (23), o referido meio de armazenamento permanente legível por computador caracterizado por compreender instruções que fazem com que um computador execute as seguintes operações: na ocorrência de um evento iniciado no referido terminal, estabelecer um canal seguro entre o referido terminal (24) e o referido servidor do gerenciador de assinatura (20) usando a referida chave privada (PrKeu) e o referido certificado público (Cert-eu); enviar do referido terminal (24) para o referido servidor do gerenciador de assinatura (20) uma solicitação de gerenciamento da assinatura do referido eUICC (23).7. COMPUTER READABLE PERMANENT STORAGE MEDIUM COMPRISING IN A TERMINAL, said terminal (24) also comprising an eUICC (23) comprising a private key (PrKeu) and a public certificate (Cert-eu), said public certificate (Cert- i) also comprising information that allows a subscription manager server (20), without prior knowledge of said eUICC (23), to decide whether it can admit managing said eUICC (23), said permanent storage medium computer readable characterized by comprising instructions that cause a computer to perform the following operations: upon the occurrence of an event initiated at said terminal, establish a secure channel between said terminal (24) and said signature manager server (20) using said private key (PrKeu) and said public certificate (Cert-eu); sending from said terminal (24) to said signature manager server (20) a request for managing the signature of said eUICC (23). 8. Meio de armazenamento permanente legível por computador, de acordo com a reivindicação 7, caracterizado por ele estar compreendido no referido eUICC (23).8. Permanent computer-readable storage medium according to claim 7, characterized in that it is included in said eUICC (23).
BR112017017164-3A 2015-02-13 2016-02-05 METHOD FOR REMOTE SUBSCRIPTION MANAGEMENT OF A COOPERATING EUICC WITH A TERMINAL, TERMINAL, AND PERMANENT COMPUTER-READABLE STORAGE MEDIUM COMPREHENDED IN A TERMINAL BR112017017164B1 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP15305216.2 2015-02-13
EP15305216.2A EP3057350A1 (en) 2015-02-13 2015-02-13 Method for remote subscription management of an eUICC, corresponding terminal
PCT/EP2016/052478 WO2016128311A1 (en) 2015-02-13 2016-02-05 METHOD FOR REMOTE SUBSCRIPTION MANAGEMENT OF AN eUICC, CORRESPONDING TERMINAL

Publications (2)

Publication Number Publication Date
BR112017017164A2 BR112017017164A2 (en) 2018-04-03
BR112017017164B1 true BR112017017164B1 (en) 2024-04-24

Family

ID=

Similar Documents

Publication Publication Date Title
JP6442617B2 (en) Method for eUICC remote subscription management and corresponding terminal
EP3767984B1 (en) Communicating with a machine to machine device
ES2955105T3 (en) Managed object to provision a device based on one of multiple provisioning techniques
KR102160597B1 (en) Method and apparatus for provisioning profile of embedded universal integrated circuit card
KR102231948B1 (en) A method and apparatus for updating profile managing server
CN111434087B (en) Method and electronic device for providing communication service
ES2754216T3 (en) Provisioning method of a subscriber profile for an insured module
US10356614B2 (en) Secure electronic subscriber identity module (eSIM) restoration
KR20180093333A (en) Apparatus and Methods for Access Control on eSIM
EP3114806B1 (en) Network node, device and methods for providing an authentication module
EP3281431B1 (en) Uicc key provisioning
BR112017017164B1 (en) METHOD FOR REMOTE SUBSCRIPTION MANAGEMENT OF A COOPERATING EUICC WITH A TERMINAL, TERMINAL, AND PERMANENT COMPUTER-READABLE STORAGE MEDIUM COMPREHENDED IN A TERMINAL
US20240031805A1 (en) Download of a subscription profile to a communication device
BR112021003548A2 (en) method for updating a first secret data in a credential holder including a subscriber identity module, credential holder, and server