CN105706472A - 订阅管理 - Google Patents
订阅管理 Download PDFInfo
- Publication number
- CN105706472A CN105706472A CN201580002439.0A CN201580002439A CN105706472A CN 105706472 A CN105706472 A CN 105706472A CN 201580002439 A CN201580002439 A CN 201580002439A CN 105706472 A CN105706472 A CN 105706472A
- Authority
- CN
- China
- Prior art keywords
- application
- service
- subscription
- safety element
- service supplier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/183—Processing at user equipment or user record carrier
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/60—Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2203/00—Aspects of automatic or semi-automatic exchanges
- H04M2203/60—Aspects of automatic or semi-automatic exchanges related to security aspects in telephonic communication systems
- H04M2203/6063—Authentication using cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/45—Security arrangements using identity modules using multiple identity modules
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种移动设备(100)的安全元件(10),其包括与服务供应商(300)关联的服务供应商网络订阅(50)。安全元件(10)布置为使得该服务供应商订阅(50)可以与安装在安全元件(10)上的用户网络订阅(40)并行使用。因此,与服务供应商(300)关联的服务(200)基于服务供应商订阅(50)变得可用,而与可能出现在同一安全元件(10)上的用户订阅(40)无关。
Description
技术领域
本发明涉及一种方法、安全元件和终端设备,其分别支持灵活的订阅管理。
背景技术
诸如移动无线电终端设备、智能电话、可穿戴设备或平板电脑的移动终端设备的用户在具有用于网络的用户订阅的条件下可以接入特定网络运营商的数据通信网络。
对于移动终端设备,用户订阅典型地由安装在用户移动终端设备的安全元件上的应用、即所谓的用户订阅应用实施。该应用具有例如安全存储和管理接入数据的任务,该接入数据对于接入网络运营商的数据通信网络是必要的,例如是接入密钥。作为安全元件在此例如可以提供(U)SIM移动无线电卡。
在通信系统内,网络负责检查和控制对于订阅者存在的任何条件,例如限制用户的经由网络的数据通信。尤其,通常为在每个时间单元可用的数据量设有上限,例如每个月300兆比特。于是超出该限制的数据通信是不可能的,或者仅在这对于订阅者不利的条件下是可能的(更高的价格、更低的数据传输率等)。
假设提出了这样的系统,在所述系统中在通信网络中存在的使用监视措施适配为忽视预定的监视结果。这例如会使得网络运营商能够管理经由网络的移动服务,而无需考虑可用的订阅者数据量。
然而这种解决方案会具有几个不利之处。一方面,该解决方案在漫游情况和/或同时同在的基于不同技术的移动通信网络方面而变得复杂。此外,根据这种解决方案,网络运营商通常丧失对于调节所需的信息,该调节可能由于网络容量不足而是必要的。例如仍不清楚网络运行商会在何时何地容量不足。
EP2437530A1使用在终端的受信运行环境中的支付应用,以便为网络订阅应用到相同运行环境中的下载进行支付。US2013/0227137A1检测用户网络订阅在仅可能需要的情况下在云服务环境中保存资源的实际使用。FR2945143A1涉及在SIM卡上并行使用多个无接触的(NFC)支付应用。EP2693784A1描述了一种SIM卡,其包括多个网络订阅和附加的支付服务接入数据,其中,基于诸如日期、QoS、覆盖率或地点的标准来选择一个订阅。EP2693784A1公开了权利要求1的前序部分。
发明内容
因此,本发明的目的是考虑所述缺点。
该目的是通过具有独立权利要求的特征的方法、安全元件和移动终端设备实现的。在从属权利要求中陈述了有利的配置和发展。
根据一个优选实施例,根据本发明提供了一种用于经由移动终端设备使得与服务供应商关联的服务对于用户可用的方法,所述移动终端设备包括安全元件并且其中可以安装用户订阅应用,该方法包括如下步骤:将与服务供应商关联的服务供应商订阅应用合并到安全元件中。服务供应商订阅应用与用户订阅应用不同也无关。服务供应商订阅应用与用户订阅应用大致相似,因为服务供应商订阅应用也安全地存储和管理用于接入网络的接入数据。虽然服务供应商订阅应用安装在用户终端设备上,但是基于服务供应商订阅应用而实施的数据通信将并不影响订阅者。如上面叙述过的,两个订阅都是网络订阅(包括用于接入网络的接入数据)。在上文和下文中至少部分地涉及订阅的一个可能的,但是仅是作为优选举出的实施形式,即订阅应用。
服务供应商订阅应用可以与可能出现在安全元件上的用户订阅应用被并行采用。并行采用在此指的尤其是,用户订阅应用可以被激活,并且同时服务供应商订阅应用可以被激活。换言之,用户订阅应用和服务供应商订阅应用并不彼此干扰并且可以被几乎同时地用于服务和/或与相应的订阅应用关联的应用。服务供应商订阅应用和所述订阅应用都可以被独立地激活和/或在使用时被激活。订阅应用的激活(和去激活)是由订阅控制应用控制的。
因此,与服务供应商关联的服务可以与用户订阅应用无关地基于服务供应商订阅应用而变得可用。以该方式,可以在不对向用户订阅提供的服务引起的数据通信收费的条件下使得用户可以使用能够经由服务供应商订阅应用精确追踪和控制的服务。服务供应商能够基于经由服务供应商订阅应用建立的条件来监视使用的性质和范围。服务供应商的网络运营商可以与所消耗的精确一致地追踪所引起的数据通信,并且以常规的方式将其分配给订阅者,即将其分配给服务供应商而非用户。
因此,安全元件根据本发明(根据一优选实施例)包括与服务供应商关联的服务供应商订阅应用。在此,安全元件被布置为集成到移动终端设备中或者作为移动终端设备的整体部件出现。合适的安全元件的一些例子是可以集成到终端设备中的(U)SIM移动无线电卡,并且安全元件是由移动无线电终端设备中的、以TEE(所谓的“受信运行环境”)形式的合适软件措施和/或硬件措施形成的。
TEE优选是根据TEE全球平台规范的受信运行环境。TEE可以被作为软件模块,作为受硬件特征保护的软件模块、如基于专用起动存储区域的安全启动,或者作为硬件模块来提供。
然而,TEE优选是通过在相同的处理器上并行提供两个运行环境而实现的,即所谓的“普通运行环境”(类似安卓或WindowsPhone)以及作为“安全运行环境”的TEE。TEE基于硬件特征与普通运行环境分离,例如用于TEE的安全起动过程、安全运行环境转换、专用TEE存储器和/或启动存储器或者特权的硬件入口。这样布置的处理器可以基于例如已知的ARM技术。
在此,安全元件被布置为使得服务供应商应用能够以上面阐述过的方式与安装在或能够安装在安全元件上的用户订阅应用并行地被采用。因此,与服务供应商关联的服务基于服务供应商订阅应用而变得可用,与可能出现在相同的安全元件上的用户订阅应用无关。
所述的与服务供应商关联的服务可以以不同的方式配置。服务可以例如在于,服务供应商使得特定的数据、例如音乐流或视频流经由数据通信网络可用。这可能需要用户在其终端设备中安装有服务供应商提供的应用(所谓的“app”)。其它服务可能不需要安装这种应用。服务最终还可以仅在于,服务供应商使得能够在终端设备上安装由该服务供应商提供的应用,而无需以后借助该应用来下载更多数据。在此的一个示例将是一次性下载地图材料以用于地理应用等。
基于服务供应商订阅应用、对与服务供应商关联的服务的使用尤其被理解为,在安装与该服务有关的应用和/或使用该服务的框架内引起的至少一部分数据通信(所述通信是经由特定网络运营商的数据通信网络实现的)不被用户订阅的网络运营商收费,而是根据本发明被安装在安全元件上的服务供应商订阅应用的网络运营商收费,所述应用是服务供应商订阅的技术表现。
本发明提供了大量优点。服务供应商仅需与个别的网络运营商达成如下共识:该与用户有合同关系的网络运营商允许上述服务供应商订阅应用被安装到对应的、该用户的安全元件上。安装本身可以由可信的第三方实现,例如所谓的订阅管理器。
所描述的程序具有的又一优点是,网络运营商和服务供应商能够精确地监视哪些用户经由哪个框架内的哪些网络消耗用于预定服务的数据。因此,网络运营商和服务供应商之间的核算也可以根据实际流动的数据量来实现。最后,可以以有针对性的方式调节所需的容量。
还有利的是,在网络运营商方面,现有的基础设施可以继续未加改变地被使用。换言之,不用在如何构建网络和管理多不同的订阅方面进行结构变化。根据本发明提供的服务供应商订阅可以被网络运营商实质上像普通用户订阅那样对待。在用户安全元件上实施服务供应商订阅应用也不会引起任何特殊的技术困难。
最后,服务供应商订阅可以由服务供应商定义为,使得后者本身可以保留例如对于订阅对个别用户有效多久的控制,以及例如对于在订阅的框架内允许的数据量会有多大的控制。对应的限制可以由网络运营商和/或订阅管理器按照与服务供应商达成共识来监视和调节。
综上,本发明使得能够灵活地管理用户移动终端设备上的安全元件上的几个不同的订阅。以该方式,提供了一种简单安全的方法来管理和处理经由数据通信网络进行的资源集中的服务。根据本发明对基本已知的方案进行的新颖实用方式和组合给出了新的方式来使用对应的服务而网络运营商无需调节现有的结构。常规的管理、追踪和核算系统也可以继续被不加改变地运行。
如上面提及的,用户的安全元件可以根据一个优选实施例包括不同类型的订阅应用。除了一个或几个服务供应商订阅应用之外,安全元件尤其可以包括常规的用户订阅应用。
优选地,将安全元件布置为用于识别不同类型的订阅应用和用于根据所识别的类型区别对待它们。关于可能出现的不同用户订阅应用,通常假设这些用户订阅应用中的仅恰好一个可以被随时激活。相反,假设不同的服务供应商订阅应用可以被彼此同时地激活。最终,可能的是,将服务供应商订阅应用和当前激活的用户订阅应用同时激活。
如已经指出的,可以通过外部订阅控制服务来实现与服务供应商订阅应用的可用性有关的一般性或特殊条件的安装、激活以及建立和调节。通常,这以已知的“空中下载”(OTA)方式和对于安全元件的用户透明的方式来完成。
这种订阅控制可以例如由网络运营商或者有利地由第三方来定位。订阅控制服务也被指定了订阅管理器。这种订阅管理器例如可以监视服务供应商订阅的所预期的用时,并且当订阅过期时将服务供应商订阅应用去激活或将其从安全元件删除。此外,订阅管理器可以建立和监视在哪个时段中可以经由给定的服务供应商订阅来传送哪些数据量。最终,订阅控制服务可以规定或限制哪些服务和/或应用经由特定的服务供应商订阅应用可用。
常规的用户订阅应用可以与安全元件上的服务供应商订阅应用同时使用的事实可以例如在如下安全元件中得到表现,该安全元件一方面包括与服务供应商订阅应用关联的第一通信应用,并且另一方面包括与常规的用户订阅应用关联的又一通信应用。与服务供应商订阅应用关联的第一通信应用基于该服务供应商订阅应用实施通过通信网络进行的数据通信。而与常规的用户订阅应用关联的又一通信应用基于该用户订阅应用实施数据通信。“通信应用”在此被宽泛地理解为安装和/或执行安全元件上的通信引用的效果,或者用户的终端设备需要有时通过网络运营商数据通信网络进行数据通信,例如,在安装应用时,或者还在继续使用应用期间。
通过这样做,对于终端设备的用户而言一目了然的是,相应的数据通信是基于哪个订阅进行。通常,终端设备的用户大多间接地通过使用与服务供应商订阅关联的、不是从常规用户订阅的可能情况中得出的服务而间接注意到安装了一个或几个服务供应商订阅应用。
根据本发明的一个优选实施例的移动终端设备包括所描述的安全元件。安全元件在此被按常规方式集成到终端设备中,例如以(U)SIM移动无线电卡的形式。替选地,安全元件也可以被配置为终端设备的整体部分,例如以上面描述的TEE的形式。
为了使得服务供应商订阅应用的可用性能够更精确地被控制和规定,终端设备可以包括订阅控制应用,其被布置为控制服务和/或应用与在安全元件上出现的不同订阅应用的关联,优选地根据上面提及的订阅控制服务的规定或限制。订阅控制应用优选地被配置为终端设备的运行系统的部分,并且也被指定了一个订阅管理器代理。
通常,订阅控制应用被布置为与外部订阅控制服务经由空中下载(OTA)接口通信以请求和/或接收订阅控制的条件。换言之,订阅控制应用主要依赖于订阅控制服务的条件,但是然后可以在终端设备中自动运行这些条件。以该方式,可以为外部订阅控制服务减负。安全元件或终端设备与订阅管理器之间的、对于控制和管理终端设备中的服务供应商订阅应用所需的数据通信可以被最小化。此外,主要的控制任务可以在终端设备中有效和直接地实现,由此使得控制任务的运行速度和效率一起增大。
将服务和/或应用与安全元件中的不同的(服务供应商)订阅关联的方式可以以不同的方式实现。这种关联的优选实施例下面以举例方式被描述。
一方面,订阅控制应用可以被布置为接入优选存储在终端设备的安全区域中的订阅条件,以便确定基于在安全元件上安装的哪些订阅应用采用哪些服务和/或应用。所述的订阅条件可以例如以表格等的形式呈现。表格可以尤其显示经由哪些网络和/或接口来路由不同的数据包。
订阅控制应用优选地布置为根据从外部订阅控制服务接收的条件来调节这种订阅条件。外部订阅控制服务可以促使订阅控制应用例如调节存储在安全元件中的路由表格,以使得在所规定的网络中,经由所规定的网关和基于与服务供应商关联的服务供应商订阅应用来路由用于所规定的服务供应商的数据包,而例如基于用户订阅应用经由标准网关来路由剩下的数据交通。
将服务或应用与服务供应商订阅应用关联的第二方式可以包括识别终端设备上可运行的客户端应用,并且将该客户端应用与安装在安全元件上的服务供应商订阅应用关联。终端设备上的订阅控制应用在此尤其可以包括网络代理服务器应用等。以该方式,可以保证仅终端设备上的、对规定的服务供应商的服务进行调用的规定的客户端应用可以使用与终端设备上的服务供应商关联的服务供应商订阅应用。
最后,假设订阅控制应用例如又是借助网络代理服务器布置为,以与该服务供应商关联的数据来对接收自客户端应用并且针对服务供应商的数据包进行签名,目的是用于服务供应商的唯一可识别性。服务供应商然后可以通过签名和例如成块地接收的没有签名的请求来唯一地识别对应的数据包,因为它们已经被直接发往服务供应商,绕开了订阅控制应用。
附图说明
此后,以举例方式参考附图来描述本发明。其中:
图1根据本发明的优选实施例示出了订阅管理中包括的部件和实体;
图2示出了根据本发明的安全元件的优选实施例,其带有存储于其中的应用和条件数据;以及
图3示出了与服务供应商订阅应用的采用关联的主要步骤。
具体实施方式
图1示出了移动终端设备100、服务供应商300、移动网络运营商400、400’和订阅管理器200。如现有技术中已知的,这些实体被布置在例如电信网络和/或基于IP的网络的至少一个网络(未示出)中,和/或经由该至少一个网络相互连接。
用户对服务供应商300的服务的使用可以借助移动终端设备100来实现。服务供应商300可以提供例如待下载的音乐数据或者视频数据。这可以要求用户将与服务供应商关联的特殊应用20安装在终端设备100和/或安全元件10中。服务的使用也可以被限于安装这种应用20。
例如可以将智能电话或者平板计算机用作终端设备100。终端设备100包括图1中示意性示出的TEE14(“受信运行环境”)形式的安全元件10。
在图1中仅示出了一个安全元件10,然而,可以存在多个安全元件。除了作为第一安全元件10提供的TEE14,可以提供硬件安全元件作为第二安全元件,例如SIM卡或者嵌入式SIM。
终端设备100的处理器11包括第一不安全运行环境12和与其分离的第二安全运行环境14,即TEE。不安全运行环境12可以是常规的运行系统,例如安卓。受信运行环境14是安全运行环境,例如TEE根据TEE全球平台规范来运行。不同的应用20、30、32可以在不安全的区域12和TEE14中存储和/或运行。在普通运行环境12中运行的普通应用20、30可以被称作app。在安全运行环境14中运行的安全应用可以被称作
为了获得对网络运营商400、400’(“移动网络运营商”,MNO)的数据通信网络的接入,在安全元件10上放置有用户订阅应用40,其尤其安全地存储和管理对于接入网络所需的数据。
下面将详述的服务供应商订阅应用50使得能够类似地接入数据通信网络,其中,在这种接入的框架内实施的数据通信并不被分配给用户,而是分配给该服务供应商订阅应用50所关联的服务供应商300(SP)。
如图1中所示,订阅应用40和服务供应商订阅应用50可以在TEE14中运行。然而,订阅应用和/或服务供应商订阅应用50也可以在第二安全元件上运行。通常,多个用户订阅应用40和/或多个服务供应商订阅应用50可以在终端设备100上共同存在。
为了提供对网络的接入,终端设备100可以包括第二处理器15(基带处理器)。在终端设备100中,可以运行每个订阅的网络过程41、51。因为标准仅允许一次一个订阅被激活(可用),所以一般的解决方案将包括仅一个单个的网络过程。在本解决方案中,为了能够实现并行使用两个订阅40、50,所以可以提供并行的网络过程41、51。每个网络过程因此使用订阅应用之一。然而,单个网络过程41也可以被适配为并行地基于多于一个订阅应用提供网络接入。
可以例如由独立的第三方也可以由网络运营商400提供的(远程)订阅管理器(SM)或者订阅控制服务200可以安装、调节和去激活用户移动无线电终端设备100的安全元件10上的应用、例如服务供应商订阅应用50。订阅控制服务200可以响应于服务供应商300的请求和/或根据与网络运行商400的协商而动作。为了该目的,在终端设备100上可以提供订阅控制应用210,即所谓的订阅管理器代理(SMA),其可以与订阅管理器200协作地以下面更详细描述的方式自动实施控制和调节的一些方面。
订阅管理器200可以经由空中下载(OTA)接口实施对订阅应用50在安全元件10上的安装和管理。订阅控制应用210出于该目的从订阅管理器200接收对应的规定或条件。类似地,订阅控制应用210可以将请求发往订阅管理器200,例如以便获得对新安装在终端设备100和/或安全元件10上的应用的、在与订阅应用40、50的关联方面的条件。
如图2中示例方式表现的,订阅控制应用210可以包括不同的部件并且访问不同的其它条件数据220以便控制在普通运行环境12中或安全元件10中运行的不同应用20、30、32与不同的订阅应用40、50的关联。
为了确立例如在终端设备100与外部通信伙伴的数据通信的框架内经由哪些网关和基于哪些订阅应用40、50传送哪些数据包,订阅控制应用210可以访问路由表222以及改变和调节其,如果合适的话。
此后在表1中示意性表示的,路由表在其原始形式中提供了:每个外部数据通信都是基于用户订阅应用40(3G)和经由标准网关1.2.3.4来实施的。应该考虑到,订阅应用40、50典型地并不转发通信本身但是被终端设备使用(例如在接入网络时是网络过程)。
表1:原始的路由表222
为了使得基于服务供应商订阅应用50(3G-SMA)和经由单独的网关5.6.7.8实现待在通过网络供应商300在网络10.10.10.x中提供的服务的框架内的数据通信,订阅控制应用210从而可以在订阅管理器200的提示下调节路由表222,如表2所示。
表2:调节后的路由表222
通常将路由表222存储在安全元件10的安全环境14中,使得仅特权应用,诸如订阅控制应用210可以执行对路由表222的修改。
如所解释的,通常仅基于目标地址实现对不同数据包的路由的控制,无关于触发数据通信的客户端应用。
通常,TEE14(和或又一安全元件)可以存储多个订阅。安全元件10将被适配以保证一次仅一个用户订阅(应用)被激活。可以由终端设备100、例如由网络过程使用激活的订阅。与此相反,去激活的订阅不能被用于验证和/或识别至网络的终端设备。安全元件10可以允许多个服务供应商订阅(应用)被并行地激活。
SMA210可以被适配以基于目的地地址切换服务供应商订阅应用。如果目的地地址并不对应于当前激活的服务供应商订阅应用,而是对应于又一服务供应商订阅应用,则SMA210执行以下步骤。SMA210将当前激活的服务供应商订阅应用50去激活,并且将又一(未示出的)服务供应商订阅应用激活。此外,SMA210可以触发终端设备中的过程的重启,诸如上面提及的网络过程,该过程使用服务供应商订阅应用。
用于产生安全元件10上的客户端应用20、30、32与订阅应用40、50的关联的又一机制可以在订阅控制应用210方面借助代理服务器功能212来实现。该机制现在附加地考虑客户端应用20、30、32的标识。虽然代理服务器功能212被示出为订阅控制应用210的一部分,但是它也可以作为安全元件10或TEE14的单独的部件被提供。
出于该目的,客户端应用20、30、32和外部通信伙伴之间的整个数据通信经由代理服务器212被路由。代理服务器212被布置为识别应用20、30、32和用其签名标识其。根据应用标识,代理服务器212确定基于哪个订阅应用40、50可以进行由客户端应用20、30、32请求的数据通信。
例如,与服务供应商300关联的服务供应商应用20可以通过其签名被识别和与服务供应商订阅应用50关联。其余安装在安全元件10上的应用30、32以相同方式被代理服务器212通过其(错误的、缺失正确的和/或缺失的)签名识别为不与服务供应商300关联,并且从而被与普通用户订阅应用40关联。
为了确认客户端应用20的哪些签名应被看做与服务供应商300关联,代理服务器212可以访问签名/签名者列表214(“白名单”)。
代理服务器功能212可以进一步被布置为借助签名功能216来对针对服务供应商300的数据包进行签名。在此借助与服务供应商300关联的数据或密钥来实现签名。以该方式,服务供应商300可以立即识别数据包是否经由代理服务器功能212并且因此基于正确关联的订阅应用50被路由。
除了路由表222,被订阅控制应用210用来控制和调节订阅应用50的条件数据220可以例如包括限制表224。在那里可以存储例如以何种方式限制服务供应商订阅应用50的使用,例如在最大数据传输量、使用时间方面的限制和其它可能的限制参数(漫游;对日期、星期等的依赖性;终端的类型)。
因为提供服务供应商订阅应用50基本上允许了不经由普通用户订阅应用40实施由于采用服务供应商的服务而变得必要的数据通信的可能性,所以可以借助订阅控制应用210在订阅管理的框架内实现更细致的协调和调节。以该方式,例如如下成为了可能:经由服务供应商订阅应用50实施数据通信直至所规定的最大数据量,但是然后基于用户订阅应用40来继续任何进一步的数据通信。此外,可以仅对于规定的时段和在规定的工作日激活服务供应商订阅应用50。
参考图3,将示例地描述如下情景,其中示出了服务供应商订阅应用50(3G-SMA)可以被如何安装和激活、使用和去激活。
在步骤S1中,用户经由其终端设备100请求服务供应商300的服务。用户终端设备100以所描述的方式包括安全元件10,在其上可以安装常规的用户订阅应用40。
服务供应商300提供服务,使得引起与该服务的连接的任何数据通信都不被对用户计费,只要数据通信并不超过规定的最大数据量并且服务仅在规定的时段中被使用。
为了使得用户能够以描述的方式采用服务,服务供应商300在步骤S2向网络运营商400请求允许安装与该服务供应商300关联的服务供应商订阅应用50,用户根据其用户订阅应用40与所述网络运营商400连接。
网络运营商400在随后的步骤S3中授权订阅管理器200在用户终端设备100的安全元件10中安装与服务供应商300关联的服务供应商订阅应用50,并且激活其,如参考步骤S4表示的那样。
从现在起,用户可以基于特定的服务供应商订阅应用50来使用服务供应商300的服务,如参照步骤S5表示那样。这种使用可以由服务供应商300和/或网络运营商400监视,如参照步骤S6示出那样,例如在最大允许数据量和使用时间方面进行监视。
当协商好的使用时间用尽,或者当协商好的数据可能性被用尽,服务供应商300在步骤S7中请求订阅管理器200将服务供应商订阅应用50去激活或将其从安全元件10删除。步骤S7也可以由网络运营商400执行。
订阅管理器200由此在步骤S8中去激活或删除用户终端设备100的安全元件10上的服务供应商订阅应用50。
Claims (16)
1.一种安全元件(10),其包括用户网络订阅(40)和第二网络订阅(50),
-安全元件(10)布置为使得第二订阅(50)能够与用户订阅(40)并行使用,其特征在于,
-第二网络订阅是与服务供应商(300)关联的服务供应商订阅(50),以及
-与服务供应商(300)关联的服务基于服务供应商订阅(50)变得可用。
2.根据权利要求1所述的安全元件(10),其特征在于,安全元件(10)包括不同类型的订阅(40;50)并且被布置为用于识别不同类型的订阅(40;50)和用于根据其类型对待其。
3.根据权利要求1或2所述的安全元件(10),其特征在于,安全元件(10)布置为用于控制能够根据订阅类型被同时激活的一定数量的订阅。
4.根据权利要求1至3中任一项所述的安全元件(10),其特征在于,安全元件被适配为用于保证仅一个用户订阅(40)被激活。
5.根据权利要求1至4中任一项所述的安全元件(10),其特征在于,安全元件被适配为允许同时激活服务供应商订阅。
6.根据权利要求1至5中任一项所述的安全元件(10),其特征在于,安全元件(10)包括与服务供应商订阅(50)关联的第一通信应用(20),以及与用户订阅(40)关联的第二通信应用(30;32)。
7.一种终端设备(100),其具有根据权利要求1至6中任一项所述的安全元件(10)。
8.根据权利要求7所述的终端设备(100),其特征在于,订阅控制应用(210),其被布置为用于控制服务和/或应用(20;30;32)与在安全元件(10)上呈现的不同订阅(40;50)的关联。
9.根据权利要求8所述的终端设备(100),其特征在于,订阅控制应用(210)是终端设备(100)的操作系统的部分。
10.根据权利要求8或9所述的终端设备(100),其特征在于,订阅控制应用(210)被布置为用于与外部订阅控制设备(200)通信,以便请求和/或接收用于订阅控制的条件。
11.根据权利要求8至10中任一项所述的终端设备(100),其特征在于,订阅控制应用(210)被布置为用于访问订阅条件(220)以便确定哪个服务和/或应用(20;30;32)应该基于哪个订阅应用(40;50)被采用。
12.根据权利要求10和11所述的终端设备(100),其特征在于,订阅控制应用(210)被布置为用于根据从订阅控制服务(200)接收的条件来调节订阅条件(222)。
13.据权利要求7至12中任一项所述的终端设备(100),其特征在于,订阅控制应用(210)被布置为用于识别能够在终端设备上执行的客户端应用(20;30;32),以及用于根据结果将所识别的客户端应用(20;30;32)与安装在安全元件(10)上的订阅(40;50)之一关联。
14.据权利要求8至13中任一项所述的终端设备(100),其特征在于,订阅控制应用(210)被布置为,利用与服务供应商(300)关联的数据,为从客户端应用(20)接收并且针对服务供应商(300)的数据包签名,目的是用于服务供应商(300)的唯一可识别性。
15.一种用于使得与服务供应商(300)关联的服务经由具有安全元件(10)的移动终端设备(100)对于用户可用的方法,其中,安全元件(10)包括用户网络订阅(40),该方法包括如下步骤:将与服务供应商(300)关联的服务供应商网络订阅(50)合并(S4)到安全元件(10)中,其中能够与用户订阅(40)并行地采用服务供应商订阅(50)(S5);以及,与用户订阅(40)无关地,与服务供应商(300)关联的服务基于服务供应商网络订阅(50)变得可用。
16.根据权利要求15所述的方法,其特征在于,通过外部订阅控制服务(200)并且如果合适的话附加地根据外部订阅控制服务(200)的条件通过终端设备(100)的订阅控制应用(210)来控制服务供应商订阅(50)的可用性。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP14001782.3 | 2014-05-20 | ||
| EP14001782.3A EP2947904A1 (en) | 2014-05-20 | 2014-05-20 | Subscription management |
| PCT/EP2015/000994 WO2015176808A1 (en) | 2014-05-20 | 2015-05-12 | Subscription management |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105706472A true CN105706472A (zh) | 2016-06-22 |
| CN105706472B CN105706472B (zh) | 2019-08-23 |
Family
ID=50819518
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580002439.0A Active CN105706472B (zh) | 2014-05-20 | 2015-05-12 | 安全元件、终端设备和使得服务对于用户可用的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9913126B2 (zh) |
| EP (1) | EP2947904A1 (zh) |
| CN (1) | CN105706472B (zh) |
| WO (1) | WO2015176808A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110166983A (zh) * | 2018-02-11 | 2019-08-23 | 中国移动通信有限公司研究院 | 一种事件订阅方法及网元设备 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160285493A1 (en) * | 2015-03-23 | 2016-09-29 | Stmicroelectronics S.R.L. | Methods for performing a remote management of a multi-subscription sim module, and corresponding sim module and computer program product |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2945143A1 (fr) * | 2009-05-04 | 2010-11-05 | Bnp Paribas | Procede et systeme d'activation d'applications de paiement sans contact |
| EP2437530A1 (en) * | 2010-10-01 | 2012-04-04 | Giesecke&Devrient | Method for provisioning of a network access for a mobile communication device |
| US20130227137A1 (en) * | 2010-11-25 | 2013-08-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for enabling service delivery in a telecommunications network |
| US20130316703A1 (en) * | 2012-05-18 | 2013-11-28 | Aquto Corporation | Charging and billing for content, services, and access |
| EP2693784A1 (en) * | 2012-07-30 | 2014-02-05 | Gemalto SA | A method for accessing a service, corresponding first device, second device and system |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030163558A1 (en) * | 2002-02-25 | 2003-08-28 | Docomo Communications Laboratories Usa, Inc. | System and method for Hyper Operator controlled network probing across overlaid heterogeneous access networks |
| FR2837652B1 (fr) * | 2002-03-25 | 2004-11-12 | Nortel Networks Ltd | Systeme de communication et procede de supervision associe |
| US7113765B2 (en) * | 2004-01-13 | 2006-09-26 | Qualcomm Inc. | System and method for allowing user based application licensing across multiple wireless communications devices |
| US20070086372A1 (en) * | 2005-10-18 | 2007-04-19 | Motorola, Inc. | Method and system for ubiquitous license and access using mobile communication devices |
| US20090191857A1 (en) * | 2008-01-30 | 2009-07-30 | Nokia Siemens Networks Oy | Universal subscriber identity module provisioning for machine-to-machine communications |
| US20110066712A1 (en) * | 2009-04-17 | 2011-03-17 | Prem Jothipragasam Kumar | User-defined services in a personal distributed network |
| US9769657B2 (en) * | 2011-04-05 | 2017-09-19 | Valid Soluciones Tecnologicas, S.A.U. | Method and system for the remote provisioning of subscription |
| WO2012177200A1 (en) * | 2011-06-23 | 2012-12-27 | Telefonaktiebolaget L M Ericsson (Publ) | Provisioning of network information into a subscriber identity module |
| US20130219481A1 (en) * | 2012-02-16 | 2013-08-22 | Robert Matthew Voltz | Cyberspace Trusted Identity (CTI) Module |
| EP2887702B1 (en) * | 2013-12-17 | 2016-11-02 | Giesecke & Devrient GmbH | Method and device for providing a secure element with a subscription profile |
| US9942762B2 (en) * | 2014-03-28 | 2018-04-10 | Qualcomm Incorporated | Provisioning credentials in wireless communications |
| US10430403B2 (en) * | 2014-08-20 | 2019-10-01 | Embarcadero Technologies, Inc. | Tracking change data in a database |
-
2014
- 2014-05-20 EP EP14001782.3A patent/EP2947904A1/en not_active Withdrawn
-
2015
- 2015-05-12 US US15/312,269 patent/US9913126B2/en active Active
- 2015-05-12 CN CN201580002439.0A patent/CN105706472B/zh active Active
- 2015-05-12 WO PCT/EP2015/000994 patent/WO2015176808A1/en active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2945143A1 (fr) * | 2009-05-04 | 2010-11-05 | Bnp Paribas | Procede et systeme d'activation d'applications de paiement sans contact |
| EP2437530A1 (en) * | 2010-10-01 | 2012-04-04 | Giesecke&Devrient | Method for provisioning of a network access for a mobile communication device |
| US20130227137A1 (en) * | 2010-11-25 | 2013-08-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for enabling service delivery in a telecommunications network |
| US20130316703A1 (en) * | 2012-05-18 | 2013-11-28 | Aquto Corporation | Charging and billing for content, services, and access |
| EP2693784A1 (en) * | 2012-07-30 | 2014-02-05 | Gemalto SA | A method for accessing a service, corresponding first device, second device and system |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110166983A (zh) * | 2018-02-11 | 2019-08-23 | 中国移动通信有限公司研究院 | 一种事件订阅方法及网元设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105706472B (zh) | 2019-08-23 |
| US20170086059A1 (en) | 2017-03-23 |
| EP2947904A1 (en) | 2015-11-25 |
| WO2015176808A1 (en) | 2015-11-26 |
| US9913126B2 (en) | 2018-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2022263450B2 (en) | Internet of things services architecture | |
| CN105472595B (zh) | 移动无线电通信设备、服务器及用于控制它们的方法 | |
| KR102231948B1 (ko) | 프로파일 관리서버의 업데이트 방법 및 장치 | |
| RU2595904C2 (ru) | Способы и устройство для крупномасштабного распространения электронных клиентов доступа | |
| CN101540980B (zh) | 业务优先级更新指示方法、业务优先级更新方法及装置 | |
| CN111052777A (zh) | 支持无线通信系统中设备间简档转移的方法和装置 | |
| CN108702613B (zh) | 嵌入式用户身份模块、发送命令的装置和通信系统 | |
| US20120185912A1 (en) | System and method for granting authorization of application in wireless communication system | |
| US20050227669A1 (en) | Security key management system and method in a mobile communication network | |
| CN109076102A (zh) | 用户设备容器和网络切片 | |
| US20170215063A1 (en) | Embedded subscriber identity module capable of managing communication profiles | |
| KR101891326B1 (ko) | 내장 uicc 환경에서의 신뢰성 있는 sm을 이용한 가입 변경 방법 및 내장 uicc 장치 | |
| CN104009872A (zh) | 一种业务访问管控方法、系统、终端及运营商策略服务器 | |
| JP7384920B2 (ja) | 加入プロファイル、加入者idモジュール、および加入サーバを提供する方法 | |
| KR101891330B1 (ko) | 내장 uicc 환경에서의 신뢰성 있는 sm을 이용한 가입 방법 및 내장 uicc 장치 | |
| CN112534839A (zh) | 用于将电子用户身份模块动态地配置给移动设备的技术 | |
| CN110024425B (zh) | 用于安装和管理esim配置文件的装置和方法 | |
| CN107852603A (zh) | 终端认证的方法及设备 | |
| EP2911428B1 (en) | Management of virtual subscriptions | |
| CN105706472A (zh) | 订阅管理 | |
| CN107710673A (zh) | 用户身份认证的方法及设备 | |
| CN116368825A (zh) | 用于管理智能安全平台的通信捆绑包的方法和装置 | |
| CN109802840B (zh) | 基于航空旅客通信的计费管控方法、系统及移动终端 | |
| CN108235320A (zh) | 无人机的入网鉴权方法、装置及系统 | |
| CN117280722A (zh) | 当euicc终端变化时识别简档删除的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20170803 Address after: Munich, Germany Applicant after: Quartech mobile security limited liability company Address before: Munich, Germany Applicant before: Giesecke & Devrient GmbH |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |