CN103609087A - 用于用户身份模块的空中下载管理的方法和设备 - Google Patents
用于用户身份模块的空中下载管理的方法和设备 Download PDFInfo
- Publication number
- CN103609087A CN103609087A CN201280028417.8A CN201280028417A CN103609087A CN 103609087 A CN103609087 A CN 103609087A CN 201280028417 A CN201280028417 A CN 201280028417A CN 103609087 A CN103609087 A CN 103609087A
- Authority
- CN
- China
- Prior art keywords
- data
- challenge
- communication system
- mobile communication
- subscription data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
- H04W8/24—Transfer of terminal data
- H04W8/245—Transfer of terminal data from a network towards a terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本发明涉及移动通信系统中的方法和设备,用于空中下载管理包含优选地是用户身份模块的安全识别元件的移动台。总体的,本发明基于以下思想:使用在移动通信系统中实现的标准挑战-响应验证过程,不用于其原本的验证目的,而是用于向移动台提供订阅数据。对标准挑战-响应验证过程的修改在于将挑战用作订阅数据的载体。响应于移动台请求允许访问或附连到移动通信系统的、包含特殊模式指示符数据元素的请求,这种包含订阅数据的挑战被提供给移动台,其中,特殊模式指示符数据元素向移动通信系统指示移动台正在请求订阅数据,并且因此适当地转发给被配置为提供订阅数据的数据提供单元。
Description
技术领域
本发明一般地涉及移动通信,具体地涉及用于移动通信系统中包含安全识别元件(优选的用户身份模块)的移动台的空中下载(over the air)管理的方法和设备。
背景技术
全球移动通信系统(GSM)是世界上最流行的移动通信系统标准。GSM的技术特点通过ETSI标准化组织发布的大量的相互联系和相互依赖的规范定义。通常,为了通过根据GSM规范实现的公共陆地移动网(PLMN)与移动台(也被称为移动或蜂窝电话)进行通信,需要通常是智能卡的形式的被称为用户身份模块(SIM)的安全识别元件。SIM包含用于验证和识别PLMN的用户的订阅数据,尤其包括国际移动安全身份(IMSI)和验证密钥Ki。这些网络特定的信息通常在向用户提供他的SIM之前在SIM个人化过程中通过PLMN运营商或SIM制造商存储在SIM上。未被个人化的SIM一般不适合在移动电话中使用,即,使用未被个人化的SIM来使用由PLNM提供的服务是不可能的。
根据GSM标准,存储在SIM上的IMSI是长达15个数字的码,它允许用户的国际唯一识别。IMSI码(number)的前3位数字代表移动国家代码(MCC),接下来的2或3个数字代表移动网络代码(MNC),其余数字(多达10个)代表PLMN运营商分配的移动台识别码(MSIN)。IMSI码允许PLMN运营商识别用户,并向用户提供他已经订阅的那些服务。
验证密钥Ki是用于关于PLMN验证移动电话中包含的SIM的128位数据元素。验证密钥Ki在SIM个人化过程中与特定的IMSI码配对。出于安全原因,验证密钥Ki只存储在SIM和被称为验证中心(AUC)的PLMN的数据库中。
下面描述的GSM验证过程是通用的挑战-响应验证过程的实现,其中一方(即PLMN)提出挑战,而另一方(即移动电话)必须提供待验证的有效响应。当手机启动时,其从其SIM检索(retrieve)IMSI码。手机用户通常必须在SIM将授权访问IMSI码之前输入PIN。移动电话通过空中接口和基站子系统(BSS)将IMSI码发送到PLMN的移动交换中心(MSC)。MSC将IMSI转发给归属位置寄存器(HLR),并请求验证三元组(triplet)。当HLR接收到IMSI码和对验证三元组的请求时,它首先检查其数据库,以确保IMSI码是有效的,并且属于该网络。一旦它完成该过程,就将IMSI码和对验证三元组的请求转发给AUC。AUC使用IMSI查找与该IMSI相关联的验证密钥Ki。AUC还将会生成128位的随机数,称为RAND,它和验证密钥一起送至A3加密算法。A3加密算法的输出是被称为签名响应(SRES)的32位码。RAND码和验证密钥Ki被送至A8加密算法。输出是被称为Kc的64位编码。Kc是在A5加密算法中用来加密和解密正通过空中接口在移动电话和PLMN之间传输的数据的加密密钥。
RAND码、SRES和加密密钥Kc形成验证三元组,该验证三元组对于用于创建该三元组的IMSI码是唯一的。一旦AUC已经生成这样的验证三元组,它就将该验证三元组转发给HLR,HLR转而将其发送给请求MSC。MSC存储加密密钥Kc和SRES,但将RAND码作为GSM挑战-响应验证过程的挑战转发给移动台,并请求验证。
验证密钥Ki安全地存储在移动电话的SIM上。A3和A8加密算法也驻留在SIM上。经由空中接口从MSC接收到的RAND码和验证密钥Ki被送至A3和A8加密算法以分别生成另一个签名响应SRES*和加密密钥Kc。移动电话将加密密钥Kc存储在SIM上,并将生成的签名响应SRES*作为GSM挑战-响应验证过程的响应返回给移动网络。MSC接收移动电话生成的签名响应SRES*,并将它与AUC生成的签名响应SRES进行比较。如果它们匹配,那么移动电话的SIM得到验证。
使用移动通信系统中已经建立的连接使用通过SMS(短消息服务)或IP(互联网协议)通信信道携带的标准化协议空中下载(OTA)管理SIM或配备有这种SIM的设备是公知的。例如,WO2010/093312描述了一种使用ODA(按需激活)应用的SIM的OTA激活和管理的方法。WO2010/093312中描述的方法适合于在SIM已经根据上述的GSM挑战-响应验证过程相对于PLMN验证其自身之后激活和管理SIM。
SIM应用的一个特定领域是M2M,即,通过移动通信网络在没有人工干预的情况下在机器之间通信,也叫物联网,预计M2M在未来几年内将会迅速增长。在M2M中,数据在许多不同类型的、配备有SIM的机器(例如,电视系统、机顶盒、自动售货机、车辆、电子书籍、自动摄像机、传感器设备等)之间自动传输。可以预见的是,至少对这些设备中的一些来说,事先向SIM提供完整的订阅数据集(例如,IMSI码)是不可能的,或者至少是非常困难的。这是因为在一些M2M应用中,SIM可以是表面安装设备,它必须在其制造过程中嵌入到相应的机器内,而不可能事先向SIM提供完整的订阅数据。因此,一旦在范围内(field),这些机器需要通过空中下载提供订阅数据。
US2009/0217038公开了一种方法,用于无线设备获得数据服务器在无线网络中的IP地址,以下载订阅数据。无线设备从无线网络响应于无线设备的验证请求发送的验证挑战值推导出数据服务器的地址。根据US2009/217038公开的方法,任何订阅数据都从由验证挑战值推导出的地址限定的数据服务器下载,或者必须一开始就存在于无线设备上,如秘密验证密钥Ki。
本发明所解决的问题是提供允许通过空中下载向包括安全识别元件(例如,SIM)的移动电话提供订阅数据的方法和设备,这些订阅数据甚至允许开始时实际上没有订阅数据的移动电话附连到PLMN。
发明内容
该目的根据本发明通过独立权利要求的主题得以实现。优选实施例在从属权利要求中限定。
总体地,本发明基于以下思想:使用在移动通信系统中实现的标准挑战-响应验证过程,不用于其原本的验证目的,而是用于通过空中下载(OTA)向移动台提供订阅数据。对挑战-响应验证过程进行修改,将挑战用作订阅数据的OTA载体。响应于移动台请求允许访问或附连到移动通信系统的、使用模式指示符数据元素的标准请求,这种包含或携带订阅数据的挑战被提供给移动台,其中,模式指示符数据元素优选地向移动通信系统指示移动台正在请求订阅数据,并因此适当地转发给订阅数据提供单元。
更具体地,根据第一方面,本发明涉及一种用于从数据提供单元向包括安全识别元件(优选地,以用户识别模块的形式)的移动台提供订阅数据以经由移动通信系统进行通信的方法。所述方法包括在数据提供单元中的下列步骤:接收来自移动台的用于启动在移动通信系统中实现的标准挑战-响应验证过程的请求,其中,所述请求包含模式指示符数据元素;创建包含订阅数据的挑战,其中,所述挑战的格式符合在移动通信系统中实现的挑战-响应验证过程;以及将包含订阅数据的挑战发送到移动台。
根据本发明的第二方面,提供了一种用于通过移动台的安全识别元件从数据提供单元获得订阅数据以经由移动通信系统进行通信的方法,所述安全识别元件优选地是用户识别模块。所述方法包括在安全上识别元件中的下列步骤:提供模式指示符数据元素到移动台的移动装备,所述移动装备发出模式指示符数据元素作为启动在移动通信系统中实现的挑战-响应验证过程的请求的一部分;接收由数据提供单元发出的携带订阅数据的挑战,其中,挑战的格式符合在移动通信系统中实现的挑战-响应验证过程;以及存储订阅数据。
根据第三方面,本发明涉及一种数据提供单元,用于向包括安全识别元件的移动台(优选地,用户身份模块)提供订阅数据以经由移动通信系统进行通信。数据提供单元被配置为或包括各个部件,用于:接收来自移动台的用于启动在移动通信系统中实现的挑战-响应验证过程的请求,所述请求包含模式指示符数据元素;创建包含订阅数据的挑战,其中,所述挑战的格式符合在移动通信系统中实现的挑战-响应验证过程;以及将包含订阅数据的挑战发送到移动台。
根据第四方面,本发明提供一种用于移动台的安全识别元件(优选地,用户身份模块),用于经由移动通信系统进行通信。安全识别元件被配置为或包括各个部件,用于:向移动台提供模式指示符数据元素,所述移动台发出模式指示符数据元素作为启动在移动通信系统中实现的挑战-响应验证过程的请求的一部分;接收由数据提供单元发出的携带订阅数据的挑战,其中所述挑战的格式符合在移动通信系统中实现的挑战-响应验证过程;以及存储订阅数据。
根据第五方面,本发明提供了一种包括如上所述的被配置为提供订阅数据的数据提供单元和具有安全识别元件的移动台(优选地,用户身份模块)的移动通信系统。
根据优选的实施例,挑战携带的订阅数据允许移动台使用在移动通信系统中实现的挑战-响应验证过程相对于移动通信系统验证其自身。此外,订阅数据可以包括与移动台的订阅相关的其他数据和/或包含执行某些动作的指令的数据,即指令数据,例如“在60秒内重试数据检索”、“使用不同的数据提供单元”等。
优选地,模式指示符数据元素使得移动通信系统将移动台的请求转发给数据提供单元,并通知数据提供单元移动台(即,其安全识别元件,优选地,其用户身份模块)正在请求订阅数据。为达到此目的,模式指示符数据元素可以定义或包含数据提供单元的地址。
根据优选的实施例,根据本发明的订阅数据检索过程在移动台已经附连到移动通信系统之前进行。
优选地,挑战携带的订阅数据是明文的、加密的或指向已经预先存储在移动台中的订阅数据的指针,所述订阅数据预先存储在例如移动台的安全识别元件中,优选地在其用户身份模块中。
根据优选的实施例,根据本发明的订阅数据检索过程可以重复多次,以向移动台提供具有比在移动通信系统中实现的挑战-响应验证过程的挑战的大小更大的订阅数据。
优选地,挑战携带的订阅数据取决于移动台的位置和/或移动台的类型。
根据优选的实施例,移动通信系统根据GSM标准实现。在这样的优选实施例中,根据GSM挑战-响应验证过程,挑战创建为携带订阅数据的128位的RAND*码,优选地作为验证三元组的一部分,该验证三元组还包括签名响应SRES和加密密钥Kc。
优选地,模式指示符数据元素是优选地限定或包含数据提供单元的地址的初级IMSI(PIMSI)码。根据优选的实施例,PIMSI码具有与IMSI码相同的格式。
在优选的情形中,移动通信系统根据GSM标准实现,挑战(RAND*)携带的订阅数据优选地包括IMSI码和/或验证密钥Ki。
数据提供单元可以是专用的独立单元,例如,移动通信系统的订阅数据提供服务器(也称为OTA服务器),或者实现为执行数据提供单元功能的移动通信系统的归属位置寄存器(HLR)的一部分。
参考附图,从下面作为非限制性的示例而给出的优选实施例的详细描述中,本发明的这些和其他特征、特性、优点和目的将变得明显。本领域技术人员将理解,特别的,上述优选实施例可以以多种方式组合,这将导致本发明明确地支持和涵盖的另外的有利实施例。
附图说明
图1示出了包括本发明的若干方面的移动通信系统的示意性概略图;
图2示出了例示根据本发明的方面的用于向用户身份模块提供订阅数据的方法的信号图;
图3示出了例示在根据本发明的方面的移动台的用户身份模块上运行的应用程序的操作的流程图;
图4示出了包括本发明的方面的另外的移动通信系统的示意性概略图。
具体实施方式
图1示意性地示出了移动通信系统10的组件以及示出本发明的不同方面的在该系统10的组件之间的一些通信信道。
移动通信系统10通常是指任何电信系统,其中当用户在系统的服务区域内移动时,系统的接入点可以改变。在下文中,将使用根据全球移动通信系统(GSM)的标准的术语和元件(如,在ETSI提供的多个规范中规定的)描述本发明的优选实施例。然而,本领域技术人员应该理解,本发明也可以有利地与其他的移动通信系统结合应用。这样的系统包括第三代移动通信系统(3GPP),如通用移动电信系统(UMTS)、CDMA2000等,以及基于上述系统的其他系统,如GPRS(通用分组无线业务)和CAMEL(移动网络增强逻辑的定制应用)。
此外,在下文中,本发明的优选实施例将在向用户身份模块(SIM)提供订阅数据的情景中描述,因为SIM是目前在移动通信系统中最使用的最流行的安全识别元件类型,用于用户的唯一和安全识别,以及用于提供不同的特殊功能和增值服务。然而,本领域技术人员将理解的是,取决于底层生成和系统标准的类型,其他类型的安全识别元件可以被指定为UICC、USIM、R-UIM或者ISIM,其也包括在本发明中。
在图1中,示出了示例性的移动台12,它包括移动终端14和插入到移动终端14的用户身份模块(SIM)16。移动台12通过空中接口(或无线电链路)与基站子系统(BSS)20通信。如本领域技术人员所了解的,基站子系统20通常包括一个或多个基站无线电收发台,其限定移动通信系统10的各个小区并连接到基站控制器。一般的,基站控制器是与移动交换中心(MSC)通信的若干基站控制器之一。通常,用于跟踪目前位于MSC所覆盖的小区(即,MSC服务区)内的移动用户的、被称为访问者位置寄存器(VLR)的本地数据库包括在MSC中,在下文中被称为MSC/VLR30。
该MSC/VLR30提供基本上与公共交换电话网(PSTN)中的中心局交换机相同的功能,另外还负责呼叫处理、移动性管理和无线电资源管理。该MSC/VLR30还与归属位置寄存器(HLR)40通信。HLR40是移动通信系统10提供的PLMN中的主要数据库,存储有关移动用户的信息。为此目的,HLR40与验证中心(AUC)50通信。
如本领域的技术人员所了解,移动通信系统10的不同组件之间的通信部件可以是专有的、或者可以使用开放标准。协议可以是SS7或基于IP的。SS7是由国际电信联盟(ITU)电信标准化部门(ITU-T)定义的电信全球标准。该标准定义公共交换电话网络中的网络元件通过数字信令网络交换信息来实现无线(蜂窝)和有线呼叫建立、路由和控制所使用的过程和协议。SS7网络和协议用于例如基本呼叫建立、管理、无线服务、无线漫游和移动用户验证,即提供高效和安全的全球电信的增强的呼叫特征。用来使各元件分组或单独剩下的物理元件以及接口——无论是专有的还是开放的——都留给PLMN运营商。此外,图1所示的移动通信系统10包括用于提供订阅数据的单元,优选地,专用订阅数据服务器(SDS;也称为OTA服务器)60。如图1中示意性示出的,SDS60可以是独立的单元,其与MSC/VLR30通信并且可选地与HLR40通信,并且被配置为提供订阅数据给移动台12。
现在将进一步参考图2描述图1中示出的SDS60结合移动通信系统10的其他元件的功能。在图2的步骤S1中,通过包含SIM16的移动台12启动获取订阅数据的处理,优选地,通过移动台12的用户例如通过使用移动设备14的触摸屏和/或键盘来启动在其移动台12上提供的订阅数据检索应用程序。可替换地,根据本发明的获取订阅数据的处理可以在用户首次启动移动台12及其SIM16时自动启动。重要的是,注意通过图2中步骤S1-S6示出的获取订阅数据的处理可以有利地在SIM16已经成功地附连到或已经相对于移动通信系统10提供的PLMN成功地验证自身之前(即,当SIM16仍处于预附连模式时)通过OTA进行。
作为触发订阅数据检索会话的结果,移动台12通过空中接口和基站子系统20将存储在SIM16上的模式指示符数据元素,优选地以初级IMSI(以下简称为PIMSI)码的形式,转发到MSC/VLR30(图2的步骤S2)。优选地,PIMSI码具有与IMSI码相同的格式,即PIMSI码最多可以有15个数字。这具有如下优点:MSC/VLR30将PIMSI码作为“常规”IMSI码进行处理,并基于该PIMSI码根据MAP协议发出“发送验证三元组”请求。MSC/VLR30将“发送验证三元组”MAP请求转发到通过PIMSI码寻址的SDS60(图2中的步骤S3)。
PIMSI码与“常规”IMSI码的不同之处仅在于PIMSI码的某些部分向从MSC/VLR30接收PIMSI码的单元指示SIM16不处于执行传统GSM附连/验证过程的模式,而是处于(优选地,预附连)订阅数据检索模式。因此,如在IMSI码的情形中那样,PIMSI码的前3个数字表示移动国家代码并且PIMSI码接下来的2个或3个数字表示移动网络代码是可能的。这将具有例如以下优点:PLMN的运营商(由某一移动国家代码和某一移动网络代码唯一限定)可以保留一个或多个未分配的移动台识别码(即,PIMSI码剩余的数字)作为SIM16处于请求获得订阅数据的订阅数据检索模式的指示符。可替代地,PIMSI码可以具有国际电信联盟还未分配的移动国家代码和/或移动网络代码,即未分配的IMSI码的能够进行全球漫游的范围。重要的是,注意与IMSI码相反,包含在具有不完整的订阅数据的SIM16上的PIMSI码并非必须是唯一的,即,根据本发明,若干个SIM可以被提供相同的PIMSI码,用于获得(缺失的)订阅数据。
根据本发明,PIMSI码实质上是最初(即在初始启动之前)存在于SIM16上的唯一的订阅数据是可以的。例如,PIMSI码可以在SIM16的制造或个人化过程中存储在SIM16上。所有例如用于执行标准的GSM挑战-响应附连/验证过程的其他的(缺失的)订阅数据可以通过本发明提供给SIM16。
响应于MSC/VLR30的提供验证三元组的MAP请求,SDS60创建该验证三元组。然而,与标准GSM挑战-响应验证过程中在传统的HLR/AUC中发生的相反,SDS60不会创建为128位随机数的RAND码,而是具有相同格式的RAND*码,即也具有128位的大小,其中RAND*码的至少一些位包括订阅数据(图2的步骤S4)。换句话说,SDS60将订阅数据封装或嵌入到具有与在传统的GSM验证过程中使用的RAND码相同的格式的RAND*码中。也就是说,RAND*码是订阅数据的OTA载体。由于只有RAND*码最终将通过DTAP验证请求从MSC/VLR30转发到移动台12,因此可以任意选择用于签名响应和加密密钥的值,只要这些数据元素的格式符合由标准GSM挑战-响应验证过程定义的格式并允许从SDS60发送到MSC/VLR30的MAP消息无缝转换成从MSC/VLR30发送到移动台12的DTAP请求。
如上面已经提到的,根据本发明,原则上可以构想PIMSI码是最初存在于SIM16上的唯一的订阅数据。优选地,SDS60提供的RAND*码形式的订阅数据包括使得SIM16能够执行标准GSM挑战-响应验证过程并能够相对于移动通信系统10提供的PLMN验证其自身的IMSI。附加地或可替换地,SDS60提供的RAND*码形式的订阅数据包括将在标准GSM挑战-响应验证过程中使用的验证密钥Ki。此外,SDS60提供的RAND*码形式的订阅数据可以包括执行某些动作的指令,比如“在60秒内重试数据检索”,“使用不同的数据提供单元”等。
SDS60可以被配置为作为明文来发送通过RAND*码携带的订阅数据。这一变型可以用于从安全角度来看不重要的订阅数据。根据另一个变型,SDS60可以仅发送指向列表(如,不同的指令集的列表或成对的IMSI码和验证密钥Ki的列表)的特定元素或指向预先存储在SIM16上的可用订阅简档列表中的完整的订阅简档的指针或索引。由于这些成对的IMSI码和验证密钥Ki优选地也存储在AUC50中,因此一旦AUC50已经(可能通过HLR40)从SDS60接收到相同的信息(即,指针或索引),AUC50就可以在标准GSM挑战-响应验证过程期间将验证密钥Ki分配给从SIM16接收到的IMSI码。
根据另一个变型,SDS60可以附加地或者可替换地被配置为使用存储在SDS60上的加密密钥对RAND*码携带的订阅数据进行加密。为了从由SIM16接收到的RAND*码提取出加密的订阅数据,该加密密钥也必须存在于SIM16上。SDS60也可以被配置为将订阅数据作为RAND*码发送,其中订阅数据是存储在SDS60和SIM16上的RAND*码和主密钥的函数。例如,可以通过将SDS60发送的RAND*码和存储在SIM16上的主密钥馈送到合适的加密算法来从订阅数据中提取验证密钥Ki。
除了上述以外,本领域的技术人员还将知道许多其他的机制,所述机制允许从SDS60向SIM16以及可选地向HLR40和/或AUC50安全传输订阅数据。根据本发明可以采用所有这些机制,优选地,只要保证SIM16执行标准GSM挑战-响应附连/验证过程所需的信息或数据以安全的方式传送到SIM16、并且如果有必要传送到HLR40和/或AUC50即可。
一旦SDS60已经以如上描述的方式建立了验证三元组,它就将像标准GSM挑战-响应附连过程中传统的HLR一样,根据MAP协议将包括“伪装”成RAND*码或通过RAND*码携带的订阅数据的“发送验证三元组确认”消息转发到MSC/VLR30(图2的步骤S5)。由于MSC/VLR30认为SIM16已经通过其PIMSI根据标准GSM挑战-响应验证过程请求了验证,因此MSC/VLR30通过DTAP验证请求经由基站子系统20和空中接口OTA将携带SDS60提供的订阅数据的RAND*码透明地转发给移动台12和它的SIM16(图2的步骤S6)。
由于SIM16已经在最初发起订阅数据的检索(图2的步骤1),因此它仍然处于(优选地,预附连的)订阅数据检索模式,并认为在图2的步骤6中从SDS60接收的RAND*码包含订阅数据(可能包括指令数据)。如上所述,RAND*码携带的订阅数据可以是明文的、加密的或仅仅是指针。一旦SIM16已经从RAND*码中提取出订阅数据,提取到的数据就存储在SIM16的非易失性存储器中以供进一步使用,并且可以执行包含在其中的任何指令。
如果将要从SDS60发送到移动台12的订阅数据的数量或大小大于挑战的大小(例如,在标准GSM挑战-响应验证过程的RAND*码的情形中为128位),那么可以根据需要多次重复图2中所示的方法,以传送若干挑战携带的订阅数据,例如,若干RAND*码。
根据本发明的一个优选实施例,取决于SIM16是处于(优选地,预附连的)订阅数据检索模式还是处于准备好进行根据标准GSM挑战-响应验证过程的验证的“正常”模式,在SIM16上运行对接收到的RAND*码进行不同处理的应用程序。SIM16上运行的应用程序的优选操作示于图3中。
当移动台12和SIM16首次启动时,在SIM16上运行的应用程序优选地由移动台12的用户手动启动或自动启动。该应用程序通过将存储在SIM16上的PIMSI码发送到由移动通信系统10提供的PLMN开始订阅数据检索会话(图3所示方法的步骤S20)。在图3所示的方法的步骤S21中,SIM16从SDS60接收RAND*码(经由MSC/VLR30),并将其传递给在SIM16上运行的应用程序。应用程序确定SIM16是处于订阅数据检索模式还是处于正常模式(图3中所示方法的步骤S22)。如果在SIM16上运行的应用程序确定SIM16处于订阅数据检索模式,那么该应用程序将尝试从SDS60发送的RAND*码中提取出订阅数据(图3中所示方法的步骤S23),并将提取得到的数据存储在SIM16上(图3中所示方法的步骤S24),并且可能执行其中包含的任何指令。然后,在SIM16上运行的应用程序从订阅数据检索模式切换到正常模式,并且可能使用SDS60借助于RAND*码提供的新的IMSI码启动标准GSM挑战-响应附连过程(图3中所示方法的步骤S25)。如果在图3中所示方法的步骤S22中,在SIM16上运行的应用程序确定SIM16处于正常模式,那么RAND*码可以选择性地被传递给在SIM16上运行的标准GSM验证算法(图3中所示方法的步骤S26)。根据一个优选实施例,上述订阅数据检索会话期间的任何失败会将SIM16和在其上运行的应用程序重新初始化到订阅数据检索模式。虽然图3中所示的步骤已经在运行在SIM16上的应用程序的情景中进行了描述,但本领域的技术人员将理解,可以通过在移动装备14上运行的应用程序或分别在SIM16和移动装备14上运行的两个交互的应用程序来实现相同的步骤。
如上面已经描述的,一旦SIM16已经接收到并优选地以RAND*码的形式存储了由SDS60提供的订阅数据,它可以切换到常规模式,并通过将其(可能是新的)IMSI码发送到MSC/VLR30(图2的步骤S8),使用SDS60提供的订阅数据来启动标准GSM挑战-响应验证/连接过程(图2的步骤S7)。从此刻开始,SIM16像一开始(诸如在其制造和/或个人化过程中)就已经具备从SDS60获得的订阅数据的常规SIM那样工作。
在图2的步骤S9中,MSC/VLR30将IMSI码转发到HLR40,并请求检验IMSI码。HLR40将IMSI码转发到AUC50并请求验证三元组。如在本发明的背景技术部分中已经描述过的,为了生成验证三元组,即签名响应(SRES)、“常规”128位随机数RAND和加密密钥Kc,AUC50需要知道IMSI码和相关联的验证密钥Ki,该相关联的验证密钥K必须与安全地存储在SIM16上的验证密钥Ki相同。如上所述,AUC50可获得该信息,因为优选地SDS60已经在预附连过程中(可能通过HLR40)通知了AUC50被分配给提供给SIM16的IMSI码的验证密钥Ki。
AUC50将验证三元组和IMSI码一起返回给HLR40。HLR40证实该IMSI码,然后将IMSI码和验证三元组返回给MSC/VLR30(图2中的步骤S10)。MSC/VLR30存储SRES和加密密钥Kc,并将RAND码转发给BSS20,并命令BSS20验证移动台12。BSS20发送验证请求消息到移动台12,RAND码是发送给移动台12的唯一参数。移动台12基于与AUC50用来计算SRES的算法相同的算法使用RAND码来计算另一个签名响应(SRES*),并将SRES*返回给BSS20,BSS20将该SRES*转发给MSC/VLR30。MSC/VLR30比较由AUC50产生的SRES和由移动台12产生的SRES*。如果这两个数字匹配,那么SIM16被验证,并且移动台12被授权访问由移动通信系统10提供的PLMN及其服务。加密密钥Kc用来对移动台12和PLMN之间的所有进一步的通信进行加密。如本领域的技术人员将理解的,上述标准GSM挑战-响应验证过程的最后的步骤已经概括为图2中的步骤S11。应该注意,上述步骤S8到S11不涉及SDS60。换句话说,SDS60优选地相对于标准GSM挑战-响应验证/连接过程是透明的。
图4示意性地示出了作为图1所示的移动通信系统10的一种变型的另一个移动通信系统10’的组件。图4中示出的移动通信系统10’与图1中示出的移动通信系统10的不同之处在于,在移动通信系统10’中,订阅数据服务器已经与HLR一起实现为单个单元,即HLR/SDS40’。根据优选的实施例,SDS可以通过额外的硬件和/或软件在HLR中实现,例如作为虚拟SDS。提供虚拟SDS作为HLR的一部分具有如下优点:在传统GSM PLMN的现有硬件基础设施中实现本发明基本上不需要硬件修改。
HLR和SDS作为单个单元40’的配置具有优于图1所示的HLR40和SDS60是通过适当的外部通信信道连接的分离单元的配置的优点,不需要将有关SDS60已经以RAND*码的形式发送到SIM16的订阅数据的重要信息沿着SDS和HLR和/或AUC之间的外部通信信道进行传送。显然,HLR/SDS40’必须被适当地配置为能够区分请求包含常规RAND码的验证三元组的IMSI码和请求具有包含订阅数据的RAND*码的验证三元组的PIMSI码。还可以构想,在其他变型中,SDS集成为AUC的一部分或者作为单个单元内的HLR和AUC实现的一部分。
根据一个优选实施例,SIM16和/或SDS60、HLR/SDS40’可以使用与订阅数据检索会话相关的信息,例如通过位置区域识别码(LAI)定义的SIM16的位置,以从若干订阅数据选项中选择最合适于SIM16的订阅数据。可替代地或附加地,设备类型可以编码在PIMSI中,其可以影响订阅简档和/或指令集的选择。
虽然上面已经描述了本发明可以有利地在SIM16已经成功地附连到移动通信系统10或10’提供的PLMN或相对于移动通信系统10或10’提供的PLMN验证其自身之前使用,但本领域技术人员将理解,本发明也可以在SIM16已经附连到PLMN之后使用。根据本发明,可以构想,SIM16包含“常规”IMSI码以及PIMSI码两者,如上所述。在这种情况下,在SIM16和/或移动装备14上运行的应用程序可以允许用户选择使用“常规”IMSI码附连到PLMN,还是使用PIMSI码请求订阅数据。
此外,如本领域技术人员将理解的,本发明也可以有利地与仅在SIM已经相对于PLMN验证其自身之后才工作的SIM的其他OTA管理方法相结合。例如,在订阅数据检索过程的第一阶段,SIM可以借助于本发明实质上仅获得那些相对于PLMN的成功验证所必需的订阅数据,尤其是IMSI码和/或验证密钥Ki。在SIM相对于PLMN的验证之后,也就是在SIM附连到PLMN之后,在这些基本订阅数据的基础上,SIM可以使用例如在WO2010/093312中描述的ODA(按需激活)应用程序获得更多的订阅数据。
根据本发明,一个以上的订阅数据提供单元参与获取订阅数据的预附连过程是可能的。例如,SIM可以借助于最初存储在SIM上的第一PIMSI从第一订阅数据提供单元请求订阅数据。在响应中,第一订阅数据提供单元可以提供包括指向第二订阅数据提供单元的第二PIMSI的第一组订阅数据。然后,SIM可以通过由第一订阅数据提供单元作为第一组订阅数据的一部分提供的第二PIMSI从第二订阅数据提供单元请求更多的订阅数据。这样的配置可以例如通过结合上述第一和第二优选实施方式来实现,即具有第一订阅数据服务器(SDS)60的移动通信系统以及结合HLR和第二SDS的功能的单元40’。
可以有利地使用本发明的许多可能的场景之一描述如下。通常,生产例如被配置为通过移动通信网络进行通信的消费者电子产品的原始设备制造商(OEM)的产品将通过该移动通信网络的运营商出售。在这种情况下,有关产品及其技术特征的专业知识将在OEM侧,而网络运营商将具有有关移动网络的详细信息。因此,使用本发明可以有利地允许OEM操作提供订阅数据的第一阶段并且网络运营商操作提供订阅数据的随后的第二阶段。在这样的场景中,第一预附连过程将被引导到由OEM操作的第一SDS,它将向产品的SIM提供例如被配置为从网络运营商操作的第二SDS获得更多的订阅数据的新的PIMSI。这样做,OEM,即初始附连运营商,可以保持不知道SIM中只有网络运营商知道的敏感的订阅详细信息(例如,验证密钥Ki)。此外,另一个SDS可以由SIM制造商操作。本发明已经在GSM网络中实现一些有利实施例的情景中进行了描述。然而,这不应该理解为将本发明限制为这些实施例的细节,这些细节仅为了说明性目的而提出,因为本发明的总体构思可以同样地在除GSM之外采用挑战-响应过程来验证用户的移动通信系统中实现。此外,根据上述详细的说明,本领域的技术人员将理解,可以对此前描述的方法和设备做出各种修改和/或添加,它们都被视为仍然在所附权利要求限定的本发明的范围之内。
Claims (18)
1.一种用于从数据提供单元(60;40’)向移动台(12)提供订阅数据以经由移动通信系统(10;10’)进行通信的方法,其中所述方法包括在数据提供单元(60;40’)中的下列步骤:
接收来自移动台(12)的用于启动在移动通信系统(10;10’)中实现的标准挑战-响应验证过程的请求,其中,所述请求包含模式指示符数据元素;
创建包含订阅数据的挑战,其中,所述挑战的格式符合在移动通信系统(10;10’)中实现的挑战-响应验证过程;以及
将包含订阅数据的挑战发送到移动台(12)。
2.一种用于通过移动台(12)的安全识别元件(16)从数据提供单元(60;40’)获得订阅数据以经由移动通信系统(10;10’)进行通信的方法,所述安全识别元件(16)优选地是用户身份模块,其中所述方法包括在安全识别元件(16)中的下列步骤:
提供模式指示符数据元素到移动台(12)的移动装备(14),其中所述移动装备(14)发出模式指示符数据元素作为用于启动在移动通信系统(10;10’)中实现的挑战-响应验证过程的请求的一部分;
接收由数据提供单元(60;40’)发出的携带订阅数据的挑战,其中,挑战的格式符合在移动通信系统(10;10’)中实现的挑战-响应验证过程;以及
存储订阅数据。
3.如权利要求1或2所述的方法,其中所述挑战携带的订阅数据允许移动台(12)使用在移动通信系统(10;10’)中实现的挑战-响应验证过程相对于移动通信系统(10;10’)验证其自身。
4.如权利要求1或2所述的方法,其中所述模式指示符数据元素使得移动通信系统(10;10’)将所述请求转发到数据提供单元(60;40’),并通知数据提供单元(60;40’)移动台(12)正在请求订阅数据。
5.如权利要求1或2所述的方法,其中所述方法的步骤在移动台(12)已经附连到移动通信系统(10;10’)之前空中下载执行。
6.如权利要求1或2所述的方法,其中所述挑战携带的订阅数据是明文的、加密的或指向预先存储在移动台(12)中的订阅数据的指针,所述订阅数据预先存储在例如移动台(12)的安全识别元件(16)中,优选地在其用户身份模块中。
7.如权利要求1或2所述的方法,其中如果订阅数据的大小大于挑战的大小,则根据需要多次重复所述方法的步骤。
8.如权利要求1或2所述的方法,其中所述挑战携带的订阅数据的选择取决于移动台(12)的位置和/或移动台(12)的移动装备(14)的类型。
9.如权利要求1或2所述的方法,其中所述移动通信系统(10;10’)根据GSM标准实现。
10.如权利要求9所述的方法,其中,根据GSM挑战-响应验证过程,所述挑战创建为携带订阅数据的128位的RAND*码,优选地作为验证三元组的一部分,所述验证三元组还包括签名响应SRES和加密密钥Kc。
11.如权利要求9所述的方法,其中所述模式指示符数据元素是限定数据提供单元(60;40’)的地址的初级IMSI(PIMSI)码,并且优选地具有与IMSI码相同的格式。
12.如权利要求9所述的方法,其中所述挑战携带的订阅数据包括IMSI码和/或验证密钥Ki,允许移动台(12)使用在移动通信系统(10;10’)中实现的挑战-响应验证过程相对于移动通信系统(10;10’)验证其自身。
13.一种用于向移动台(12)提供订阅数据以经由移动通信系统进行通信的数据提供单元(60;40’),其中所述数据提供单元(60;40’)被配置为或包括各个部件,用于:
接收来自移动台(12)的用于启动在移动通信系统(10;10’)中实现的挑战-响应验证过程的请求,所述请求包含模式指示符数据元素;
创建包含订阅数据的挑战,其中,所述挑战的格式符合在移动通信系统(10;10’)中实现的挑战-响应验证过程;以及
将包含订阅数据的挑战发送到移动台(12)。
14.如权利要求13所述的数据提供单元,其中所述模式指示符数据元素使得移动通信系统(10;10’)将所述请求转发到数据提供单元(60;40’),和/或通知数据提供单元(60;40’)移动台(12)正在请求订阅数据。
15.如权利要求13或14所述的数据提供单元,其中所述数据提供单元(60;40’)是专用的订阅数据服务器(60)或移动通信系统(10’)的归属位置寄存器(40’)的一部分。
16.一种移动台(12)的安全识别元件,优选地是用户身份模块,用于经由移动通信系统(10;10’)进行通信,其中所述安全识别元件(16)被配置为和/或包括各个部件,用于:
提供模式指示符数据元素到移动台(12)的移动装备(14),其中所述移动装备(14)发出模式指示符数据元素作为用于启动在移动通信系统(10;10’)中实现的挑战-响应验证过程的请求的一部分;
接收由数据提供单元(60;40’)发出的携带订阅数据的挑战,其中所述挑战的格式符合在移动通信系统(10;10’)中实现的挑战-响应验证过程;以及
存储订阅数据。
17.如权利要求16所述的安全识别元件,其中所述模式指示符数据元素使得移动通信系统(10;10’)将请求转发到数据提供单元(60;40’),和/或通知数据提供单元(60;40’)移动台(12)正在请求订阅数据。
18.一种移动通信系统(10;10’),包括根据权利要求13-15所述的用于提供订阅数据的数据提供单元(60;40’)以及具有根据权利要求16或17所述的优选地是用户身份模块的安全识别元件(16)的移动台(12)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP11004668.7A EP2533485B1 (en) | 2011-06-08 | 2011-06-08 | Methods and devices for OTA management of subscriber identify modules |
| EP11004668.7 | 2011-06-08 | ||
| PCT/EP2012/001740 WO2012167856A1 (en) | 2011-06-08 | 2012-04-23 | Methods and devices for ota management of subscriber identity modules |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103609087A true CN103609087A (zh) | 2014-02-26 |
| CN103609087B CN103609087B (zh) | 2016-11-09 |
Family
ID=44764322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280028417.8A Active CN103609087B (zh) | 2011-06-08 | 2012-04-23 | 用于用户身份模块的空中下载管理的方法和设备 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9191818B2 (zh) |
| EP (2) | EP2533485B1 (zh) |
| CN (1) | CN103609087B (zh) |
| ES (1) | ES2535386T3 (zh) |
| PL (1) | PL2533485T3 (zh) |
| WO (1) | WO2012167856A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105722040A (zh) * | 2014-12-03 | 2016-06-29 | 华为技术有限公司 | 一种业务消息的传输方法、装置及系统 |
| CN107111515A (zh) * | 2014-12-18 | 2017-08-29 | 阿费罗有限公司 | 物联网平台、设备和方法 |
| US10798523B2 (en) | 2015-03-30 | 2020-10-06 | Afero, Inc. | System and method for accurately sensing user location in an IoT system |
| CN112106334A (zh) * | 2018-02-21 | 2020-12-18 | 瑞典爱立信有限公司 | 欺诈订阅检测 |
| CN108848499B (zh) * | 2018-06-28 | 2021-11-09 | 恒宝股份有限公司 | 一种激活方法 |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2501694A (en) * | 2012-05-01 | 2013-11-06 | Vodafone Ip Licensing Ltd | A gateway location register (GLR) employed to assess the scale of inbound roaming usage and detect trends |
| DE102012016734A1 (de) | 2012-08-22 | 2014-02-27 | Giesecke & Devrient Gmbh | Verfahren zum Erhalten von Teilnehmeridentitätsdaten |
| US10412579B2 (en) * | 2012-12-06 | 2019-09-10 | Nec Corporation | MTC key management for sending key from network to UE |
| EP2953388A1 (en) * | 2014-06-06 | 2015-12-09 | Buzzinbees Sas | System and method for handling inactive SIM cards |
| US9961059B2 (en) | 2014-07-10 | 2018-05-01 | Red Hat Israel, Ltd. | Authenticator plugin interface |
| GB2530268A (en) * | 2014-09-16 | 2016-03-23 | Eseye Ltd | Sim card activation |
| DK3764678T3 (da) | 2014-09-17 | 2024-02-05 | Simless Inc | Anordning til implementering af en godkendt abonnementstyringsplatform |
| US11606685B2 (en) | 2014-09-17 | 2023-03-14 | Gigsky, Inc. | Apparatuses, methods and systems for implementing a trusted subscription management platform |
| US10516990B2 (en) | 2014-09-17 | 2019-12-24 | Simless, Inc. | Apparatuses, methods and systems for implementing a trusted subscription management platform |
| US11172352B2 (en) | 2014-09-17 | 2021-11-09 | Gigsky, Inc. | Apparatuses, methods, and systems for configuring a trusted java card virtual machine using biometric information |
| US9641400B2 (en) | 2014-11-21 | 2017-05-02 | Afero, Inc. | Internet of things device for registering user selections |
| US9439069B2 (en) * | 2014-12-17 | 2016-09-06 | Intel IP Corporation | Subscriber identity module provider apparatus for over-the-air provisioning of subscriber identity module containers and methods |
| US10291595B2 (en) | 2014-12-18 | 2019-05-14 | Afero, Inc. | System and method for securely connecting network devices |
| US20160180100A1 (en) | 2014-12-18 | 2016-06-23 | Joe Britt | System and method for securely connecting network devices using optical labels |
| US9832173B2 (en) | 2014-12-18 | 2017-11-28 | Afero, Inc. | System and method for securely connecting network devices |
| US9704318B2 (en) | 2015-03-30 | 2017-07-11 | Afero, Inc. | System and method for accurately sensing user location in an IoT system |
| US9717012B2 (en) | 2015-06-01 | 2017-07-25 | Afero, Inc. | Internet of things (IOT) automotive device, system, and method |
| US9729528B2 (en) | 2015-07-03 | 2017-08-08 | Afero, Inc. | Apparatus and method for establishing secure communication channels in an internet of things (IOT) system |
| US9699814B2 (en) | 2015-07-03 | 2017-07-04 | Afero, Inc. | Apparatus and method for establishing secure communication channels in an internet of things (IoT) system |
| US10015766B2 (en) | 2015-07-14 | 2018-07-03 | Afero, Inc. | Apparatus and method for securely tracking event attendees using IOT devices |
| US9793937B2 (en) | 2015-10-30 | 2017-10-17 | Afero, Inc. | Apparatus and method for filtering wireless signals |
| US10178530B2 (en) | 2015-12-14 | 2019-01-08 | Afero, Inc. | System and method for performing asset and crowd tracking in an IoT system |
| US10244392B2 (en) | 2016-05-23 | 2019-03-26 | International Business Machines Corporation | Over-the-air personalization of network devices |
| US10516994B2 (en) * | 2016-07-17 | 2019-12-24 | Qualcomm Incorporated | Authentication with privacy identity |
| WO2018052409A1 (en) * | 2016-09-14 | 2018-03-22 | Nokia Solutions And Networks Oy | Methods and apparatuses for protecting privacy of international mobile subscriber identity |
| EP3358867A1 (en) * | 2017-02-03 | 2018-08-08 | Gemalto Sa | Method for managing communication between a server and a user equipment |
| US11172350B1 (en) | 2020-06-15 | 2021-11-09 | Apple Inc. | Subscription activation for mobile wireless devices |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090217038A1 (en) * | 2008-02-22 | 2009-08-27 | Vesa Petteri Lehtovirta | Methods and Apparatus for Locating a Device Registration Server in a Wireless Network |
| US20090217348A1 (en) * | 2008-02-22 | 2009-08-27 | Patrik Mikael Salmela | Methods and Apparatus for Wireless Device Registration |
| CN101690287A (zh) * | 2007-04-20 | 2010-03-31 | Lm爱立信电话有限公司 | 用于移动设备授证的方法和系统 |
| CN101940016A (zh) * | 2008-02-07 | 2011-01-05 | 爱立信电话股份有限公司 | 移动装置资格审查的方法和系统 |
| CN101953192A (zh) * | 2008-02-22 | 2011-01-19 | 爱立信电话股份有限公司 | 用于管理无线通信装置中的预订凭证的方法和设备 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7904715B2 (en) * | 2004-04-09 | 2011-03-08 | Alcatel-Lucent Usa Inc. | Method for authenticating dual-mode access terminals |
| US7289805B2 (en) * | 2005-03-14 | 2007-10-30 | Newstep Networks Inc. | Method and system for providing a temporary subscriber identity to a roaming mobile communications device |
| US20090125996A1 (en) * | 2007-09-19 | 2009-05-14 | Interdigital Patent Holdings, Inc. | Virtual subscriber identity module |
| DE102007044905A1 (de) * | 2007-09-19 | 2009-04-09 | InterDigital Patent Holdings, Inc., Wilmington | Verfahren und Vorrichtung zur Ermöglichung einer Dienstnutzung und Feststellung der Teilnehmeridentität in Kommunikationsnetzen mittels softwarebasierten Zugangsberechtigungsausweisen (vSIM) |
| EP2245829B1 (en) * | 2008-01-18 | 2016-01-06 | InterDigital Patent Holdings, Inc. | Method for enabling machine to machine communication |
| US20090253409A1 (en) * | 2008-04-07 | 2009-10-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Method of Authenticating Home Operator for Over-the-Air Provisioning of a Wireless Device |
| DE102008024798A1 (de) * | 2008-05-23 | 2009-12-17 | T-Mobile International Ag | Verfahren zur Over-The-Air Personalisierung von Chipkarten in der Telekommunikation |
| US8245039B2 (en) * | 2008-07-18 | 2012-08-14 | Bridgewater Systems Corp. | Extensible authentication protocol authentication and key agreement (EAP-AKA) optimization |
| SE534785C2 (sv) | 2009-02-13 | 2011-12-20 | Smarttrust Ab | Förfarande för att aktivera SIM-kort |
| CN102036222B (zh) * | 2009-09-25 | 2015-05-13 | 中兴通讯股份有限公司 | 一种m2m设备归属网络运营商变更的方法和系统 |
| WO2011115407A2 (en) * | 2010-03-15 | 2011-09-22 | Samsung Electronics Co., Ltd. | Method and system for secured remote provisioning of a universal integrated circuit card of a user equipment |
| US20130189955A1 (en) * | 2010-09-17 | 2013-07-25 | Nokia Siemens Networks Oy | Method for context establishment in telecommunication networks |
| US20130227663A1 (en) * | 2010-10-08 | 2013-08-29 | Telefonica S.A. | Method, a system and a network element for ims control layer authentication from external domains |
| DE102010043878A1 (de) * | 2010-11-12 | 2012-05-16 | Vodafone Holding Gmbh | Teilnehmeridentifikationseinrichtung und Verfahren zur Teilnehmerauthentisierung |
| CN103370899B (zh) * | 2011-02-14 | 2016-09-28 | 瑞典爱立信有限公司 | 无线设备、注册服务器和无线设备预配置方法 |
-
2011
- 2011-06-08 ES ES11004668.7T patent/ES2535386T3/es active Active
- 2011-06-08 EP EP11004668.7A patent/EP2533485B1/en active Active
- 2011-06-08 PL PL11004668T patent/PL2533485T3/pl unknown
-
2012
- 2012-04-23 WO PCT/EP2012/001740 patent/WO2012167856A1/en active Application Filing
- 2012-04-23 EP EP12718911.6A patent/EP2719140A1/en not_active Withdrawn
- 2012-04-23 US US14/125,014 patent/US9191818B2/en active Active
- 2012-04-23 CN CN201280028417.8A patent/CN103609087B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101690287A (zh) * | 2007-04-20 | 2010-03-31 | Lm爱立信电话有限公司 | 用于移动设备授证的方法和系统 |
| CN101940016A (zh) * | 2008-02-07 | 2011-01-05 | 爱立信电话股份有限公司 | 移动装置资格审查的方法和系统 |
| US20090217038A1 (en) * | 2008-02-22 | 2009-08-27 | Vesa Petteri Lehtovirta | Methods and Apparatus for Locating a Device Registration Server in a Wireless Network |
| US20090217348A1 (en) * | 2008-02-22 | 2009-08-27 | Patrik Mikael Salmela | Methods and Apparatus for Wireless Device Registration |
| CN101953192A (zh) * | 2008-02-22 | 2011-01-19 | 爱立信电话股份有限公司 | 用于管理无线通信装置中的预订凭证的方法和设备 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105722040A (zh) * | 2014-12-03 | 2016-06-29 | 华为技术有限公司 | 一种业务消息的传输方法、装置及系统 |
| CN105722040B (zh) * | 2014-12-03 | 2019-10-25 | 华为技术有限公司 | 一种业务消息的传输方法、装置及系统 |
| CN107111515A (zh) * | 2014-12-18 | 2017-08-29 | 阿费罗有限公司 | 物联网平台、设备和方法 |
| CN107111515B (zh) * | 2014-12-18 | 2020-11-10 | 阿费罗有限公司 | 物联网平台、设备和方法 |
| US10798523B2 (en) | 2015-03-30 | 2020-10-06 | Afero, Inc. | System and method for accurately sensing user location in an IoT system |
| CN112106334A (zh) * | 2018-02-21 | 2020-12-18 | 瑞典爱立信有限公司 | 欺诈订阅检测 |
| CN112106334B (zh) * | 2018-02-21 | 2022-10-28 | 瑞典爱立信有限公司 | 欺诈订阅检测 |
| US11882453B2 (en) | 2018-02-21 | 2024-01-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Fraudelent subscription detection |
| CN108848499B (zh) * | 2018-06-28 | 2021-11-09 | 恒宝股份有限公司 | 一种激活方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2533485A1 (en) | 2012-12-12 |
| US9191818B2 (en) | 2015-11-17 |
| US20140098957A1 (en) | 2014-04-10 |
| ES2535386T3 (es) | 2015-05-11 |
| PL2533485T3 (pl) | 2015-08-31 |
| CN103609087B (zh) | 2016-11-09 |
| WO2012167856A1 (en) | 2012-12-13 |
| EP2533485B1 (en) | 2015-03-04 |
| EP2719140A1 (en) | 2014-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103609087A (zh) | 用于用户身份模块的空中下载管理的方法和设备 | |
| CN105379328B (zh) | 用于执行移动网络切换的方法和装置 | |
| CN105453619B (zh) | 用于执行移动网络切换的方法和设备 | |
| US9246883B2 (en) | Subscriber identity module provisioning | |
| US8498615B2 (en) | Self provisioning of wireless terminals in wireless networks | |
| EP3253092A1 (en) | Self provisioning of wireless terminals in wireless networks | |
| US20090217038A1 (en) | Methods and Apparatus for Locating a Device Registration Server in a Wireless Network | |
| US10631214B2 (en) | Methods and devices for performing a mobile network switch | |
| CN106454821A (zh) | 虚拟用户识别模块鉴权方法和装置 | |
| CN102711096B (zh) | 空中写卡的方法、装置及终端 | |
| CN104486818A (zh) | 一种选择性接入蜂窝移动网络系统的方法及云端服务器 | |
| CN105813060A (zh) | 一种获取虚拟用户身份的方法及装置 | |
| CN102355658B (zh) | 鉴权参数更新方法、装置和系统 | |
| EP3216274B1 (en) | Method and device for accessing an internet protocol multimedia subsystem type subsystem | |
| CN105828324A (zh) | 一种获取虚拟用户身份的方法及装置 | |
| EP2642777B1 (en) | Methods and devices for OTA management of mobile stations | |
| CN105072679B (zh) | 一种用户设备的注册方法、用户设备和系统 | |
| EP3122083A1 (en) | Method for providing a subscription to a secure element | |
| EP2887714A1 (en) | Methods and devices for providing data to a mobile terminal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180224 Address after: Munich, Germany Patentee after: Jiejia de mobile safety Co., Ltd. Address before: Munich, Germany Patentee before: Giesecke & Devrient GmbH |
|
| TR01 | Transfer of patent right |