CN106102038A - 移动设备为中心的电子订户身份模块(eSIM)的供应 - Google Patents
移动设备为中心的电子订户身份模块(eSIM)的供应 Download PDFInfo
- Publication number
- CN106102038A CN106102038A CN201610308703.XA CN201610308703A CN106102038A CN 106102038 A CN106102038 A CN 106102038A CN 201610308703 A CN201610308703 A CN 201610308703A CN 106102038 A CN106102038 A CN 106102038A
- Authority
- CN
- China
- Prior art keywords
- mobile device
- euicc
- provisioning server
- safe lane
- provision
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
- H04W8/205—Transfer to or from user equipment or user record carrier
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B1/00—Details of transmission systems, not covered by a single one of groups H04B3/00 - H04B13/00; Details of transmission systems not characterised by the medium used for transmission
- H04B1/38—Transceivers, i.e. devices in which transmitter and receiver form a structural unit and in which at least one part is used for functions of transmitting and receiving
- H04B1/3816—Mechanical arrangements for accommodating identification devices, e.g. cards or chips; with connectors for programming identification devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
- H04W8/24—Transfer of terminal data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本申请涉及移动设备为中心的电子订户身份模块(eSIM)的供应.本实施例阐述了使移动设备触发电子订户身份模块(eSIM)供应过程的技术.在一些实施例中,移动设备的主操作系统(OS)向移动设备中包括的嵌入式通用集成电路卡(eUICC)传送供应命令.进而,供应命令使eUICC建立与供应服务器的安全信道.供应命令可以包括例如与供应服务器关联的网络地址(例如,统一资源定位符(URL)、因特网协议(IP)地址等)、用于安全信道的安全协议的指示和/或其他信息.eUICC使用这些信息建立与供应服务器的安全信道,因此供应服务器可以通过安全信道将eSIM供应给eUICC。
Description
技术领域
描述的实施例阐述了用于将电子订户身份模块(eSIM)供应给包括在移动设备中的嵌入式通用集成电路卡(eUICC)的技术。
背景技术
许多移动设备被配置为利用通用集成电路卡(UICC),该通用集成电路卡使得移动设备能够访问移动网络运营商(MNO)所提供的服务。特别地,每个UICC至少包括微处理器和只读存储器(ROM),其中ROM被配置为存储移动设备可以利用的、用于向MNO注册并且与MNO进行交互的MNO简档。通常地,UICC采用小型可移除卡(通常被称为订户身份模块(SIM)卡)的形式,该小型可移除卡被配置为插入到移动设备中包括的接收UICC的底座(bay)中。但是,在较新的实施方式中,UICC被直接嵌入到移动设备的系统板上。与传统的SIM卡相比,这些嵌入式UICC(eUICC)可以提供优点,例如,eUICC可以存储多个MNO简档-在本文中被称为电子订户身份模块(eSIM)-并且可以消除在移动设备中包括接收UICC的底座的需要。此外,eSIM可以远程地供应给移动设备,这可以显著地提高在用户到不同的国家旅行、将他们的电话号码迁移到不同的MNO等等时的灵活性。
目前,将eSIM供应给移动设备的常用方法是以MNO为中心,并且首先涉及MNO识别要向其供应eSIM的目标移动设备。其次,MNO向管理eSIM的供应服务器发出供应请求,其中该供应服务器进而例如经由安全的短消息服务(SMS)承载体向目标移动设备发出命令。该命令使得目标移动设备内的eUICC例如通过使用现有的安全信道协议来发起对无线(over-the-air,OTA)安全信道的建立。当在供应服务器与目标移动设备的eUICC之间建立OTA安全信道时,供应服务器可以使用OTA安全信道远程地将合适的eSIM供应给目标移动设备中包括的eUICC。
值得注意地,上述以MNO为中心的供应技术可以具有许多缺点。例如, 一个缺点是,MNO可能对发起和实行eSIM供应过程的合适时间不知情。例如,某些服务可能需要客户注册过程被完成,并且MNO可能不知道eSIM供应过程应当发生以使得客户能够访问服务。另一个缺点是,即使当客户已经同意订阅特定功能(例如,经由客户服务电话呼叫)时,客户可能需要向MNO提供与他或她的移动设备相关联的详细信息(例如,移动设备的身份标识(ID)、eUICC的ID等等),从而使得eSIM供应可以正确地以客户的移动设备为目标。这个附加的要求对客户来说可能是繁重的,并且产生混乱,这劣化了客户的整体用户体验。此外,处理客户服务电话呼叫和管理设备信息对MNO来说可能是繁重的。
发明内容
实施例阐述了用于使移动设备能够触发电子订户身份模块(eSIM)供应过程的技术。根据一些实施例,移动设备的主操作系统(OS)向移动设备中包括的嵌入式通用集成电路卡(eUICC)传送供应命令。进而,该供应命令使得eUICC建立与供应服务器的安全信道。供应命令可以包括与供应服务器相关联的网络地址(例如,统一资源定位符(URL)、因特网协议(IP)地址等)、用于安全信道的安全协议的指示和/或其他信息。通过使用来自供应命令的信息,eUICC建立与供应服务器的安全信道,因此供应服务器可以通过所建立的安全信道将eSIM供应给eUICC。与常规的、以网络为中心的供应技术相比,以移动设备为中心的供应技术提供了用于供应eSIM的高效方法,因为供应服务器不需要知道出于供应的目的何时或如何与移动设备进行联系。
代表性的实施例阐述了一种用于将电子订户身份模块(eSIM)供应给移动设备中包括的嵌入式通用集成电路卡(eUICC)的方法。该方法被实现在eUICC处,并且包括以下步骤:(1)从移动设备接收供应命令;(2)根据所述供应命令向供应服务器发出建立与供应服务器的安全信道的请求;(3)执行与供应服务器的相互验证;(4)在相互验证成功时,建立与供应服务器的安全信道;(5)通过安全信道从供应服务器接收供应信息。
仅仅出于概括一些示例实施例的目的来提供本概述,以提供对本文所描述的主题的一些方面的基本理解。因此,应当理解的是,上述特征仅仅是示例,并且不应当以任何方式被解释为限制本文所描述的主题的范围或精神。根据下 文中的详细描述、附图和权利要求,本文所描述的主题的其它特征、方面和优点将变得显而易见。
结合附图根据以下的详细描述,本文所描述的实施例的其他方面和优点将变得显而易见,其中附图以示例的方式示出了所描述的实施例的原理。
附图说明
包括的附图是出于说明的目的,并且仅仅用于为所公开的用于提供无线计算设备的发明性装置和方法提供可能的结构和布置的示例。这些附图不以任何方式限制本领域技术人员在不背离实施例的精神和范围的情况下可能对实施例做出的形式和细节上的任何改变。通过以下的详细说明并结合附图,将会更容易地理解实施例,其中相同的附图标记指代相同的结构单元。
图1示出了根据一些实施例的被配置为实现本文所描述的各种技术的系统的不同组件的框图。
图2示出了根据一些实施例的图1中的系统的特定组件的较详细视图的框图。
图3示出了根据一些实施例的、供应用于存储在图1中的移动设备的eUICC上的eSIM的方法的序列图。
图4示出了根据一些实施例的、供应用于存储在图1中的移动设备的eUICC上的eSIM的示例方法的流程图。
图5示出了根据一些实施例的可以用于实现本文所描述的各种组件的示例计算设备的详细视图。
具体实施方式
在本部分中,提供了根据当前描述的实施例的装置和方法的代表性应用。仅仅是为了增加上下文以及帮助理解所描述的实施例而提供这些示例。因此,对于本领域技术人员来说显而易见的是,在没有这些特定细节中的一些或全部的情况下,可以实行当前描述的实施例。在其他实例中,没有详细描述众所周知的过程步骤,以便避免不必要地使当前描述的实施例难以理解。其他应用是可能的,因此下面的示例不应当被认为是限制性的。
根据本文所描述的各种实施例,术语“无线通信设备”,“无线设备”,“移动 设备”,“移动站”以及“用户装备”(UE)在本文中是可以交换使用的,以描述能够执行与本公开内容的各种实施例相关联的过程的一个或多个常用的消费者电子设备。根据各种实施方式,这些消费者电子设备中的任何一种可以涉及:蜂窝电话或智能电话、平板计算机、膝上型计算机、笔记本计算机、个人计算机、上网本计算机、媒体播放器设备、电子书设备、设备、可穿戴计算设备、以及具有无线通信能力的任何其他类型的电子计算设备,该无线通信能力可以包括经由一个或多个无线通信协议进行的通信,该无线通信协议用在诸如如下网络上的通信:无线广域网(WWAN)、无线城域网(WMAN)、无线局域网(WLAN)、无线个人局域网(WPAN)、近场通信(NFC)、蜂窝无线网络、第四代(4G)长期演进(LTE)、高级LTE(LTE-A)、和/或5G或其他当前或将来开发的高级蜂窝无线网络。
在一些实施例中,无线通信设备还可以作为无线通信系统的一部分进行操作,无线通信系统可以包括一组客户端设备,该组客户端设备还可以被称为站、客户端无线设备、或客户端无线通信设备,该组客户端设备互连到接入点(AP),例如作为WLAN的一部分,和/或彼此互连,例如作为WPAN和/或“自组织(ad hoc)”无线网络的一部分。在一些实施例中,客户端设备可以是能够经由例如根据无线局域网通信协议的WLAN技术进行通信的任何无线通信设备。在一些实施例中,WLAN技术可以包括Wi-Fi(或更一般地是WLAN)无线通信子系统或无线电,Wi-Fi无线电可以实现电气和电子工程师协会(IEEE)802.11技术,诸如以下中的一个或多个:IEEE 802.11a;IEEE 802.11b;IEEE 802.11g;IEEE 802.11-2007;IEEE802.11n;IEEE 802.11-2012;IEEE 802.11ac;或其它当前或将来开发的IEEE 802.11技术。
附加地,应当理解的是,本文所描述的移动设备可以被配置为还能够经由不同的第三代(3G)和/或第二代(2G)RAT进行通信的多模式无线通信设备。在这些情形中,与提供较低的数据速率吞吐量的其他3G传统网络(legacy network)相比,多模式移动设备可以被配置为优选附接到提供较快的数据速率吞吐量的LTE网络。例如,在一些实施方式中,当LTE和LTE-A网络以其他方式不可用时,多模式移动设备可以被配置为退回到3G传统网络,例如,演进的高速分组接入(HSPA+)网络或码分多址(CDMA)2000仅支持数据的演进(EV-DO)网络。
本文描述的实施例阐述了使得移动设备能够触发电子订户身份模块(eSIM)供应过程的技术。根据一些实施例,移动设备的主操作系统(OS)向移动设备中包括的嵌入式通用集成电路卡(eUICC)传送供应命令。进而,该供应命令使eUICC建立与供应服务器的安全信道。该供应命令可以包括,例如,与供应服务器相关联的网络地址、用于安全信道的安全协议的指示、和/或其他信息。使用这些信息,eUICC建立与供应服务器的安全信道,因此供应服务器可以通过安全信道将eSIM供应给eUICC。
因此,与常规的、网络为中心的供应技术相比,本文所描述的以移动设备为中心的供应技术提供了用于供应eSIM的高效方法,因为供应服务器不需要知道出于供应的目的何时或如何与移动设备进行联系。下面结合图1-5阐述和描述对这些技术的更详细讨论,图1-5中示出了可以用于实现这些技术的系统和方法的详细图。
图1示出了根据一些实施例的被配置为实现本文所描述的各种技术的系统100的不同组件的框图。更具体地,图1示出了系统100的高层概览,如图所示,系统100包括移动设备102、由不同的移动网络运营商(MNO)114管理的一组基站112以及与MNO 114进行通信的供应服务器116。根据图1的说明,移动设备102可以代表移动计算设备(例如,的或),基站112可以代表被配置为与移动设备102通信的不同无线电塔,而MNO 114可以代表提供移动设备102可以订阅的特定服务(例如,语音和数据)的不同无线服务提供商。
如图1所示,移动设备102可以包括主处理器104、存储器106、eUICC 108和基带组件110。这些组件结合起来工作,以使得移动设备102能够向移动设备102的用户提供有用的功能,诸如局部计算、基于位置的服务、和因特网连接。如下面更详细描述的那样,eUICC108可以被配置为存储多个eSIM,以用于通过基站112访问不同的MNO 114。例如,eUICC 108可以被配置为针对移动设备102订阅的每个MNO 114来存储和管理eSIM。为了能够访问MNO提供的服务,eSIM需要被供应给eUICC 108。根据一种方法,eSIM可以以非活动状态被预先存储在eUICC 108内,其中供应过程涉及eUICC 108获得MNO凭证(例如,密钥等)、服务信息(例如,载体信息,订阅的服务)和/或其他信息,以及使用此信息来激活eSIM。根据另一种方法,eSIM不预先存储在eUICC 108 内,供应过程涉及eUICC 108从供应服务器116获得eSIM。要注意的是,供应服务器116可以由移动设备102的制造商、MNO 114、第三方实体等来维护。虽然未在图1中示出,移动设备102还可以被配置为包括用于可移除UICC(例如SIM卡)的接收底座,该接收底座可以通过使用本文描述的各种技术以相似的方式被供应。
图2示出了根据一些实施例的图1中的移动设备102的特定组件的更详细视图200的框图。如图2所示,与存储器106结合,主处理器104可以实现被配置为执行应用204(例如,本地OS应用和用户应用)的主操作系统(OS)202。同样如图2所示,eUICC 108可以被配置为实现eUICC OS 206,eUICC OS206被配置为管理eUICC 108的硬件资源(例如,嵌入式处理器和存储器,在图2中未明确示出)。eUICC OS 206还可以被配置为例如通过激活eUICC 108内的eSIM 208以及向基带组件110提供对eSIM 208的访问来管理由eUICC 108存储的eSIM208。根据图2示出的说明,每个eSIM 208可以与唯一标识符210相关联,并且可以包括定义eSIM 208操作的方式的多个小应用程序212。例如,当被基带组件110和eUICC 108实现时,该多个小应用程序212中的一个或多个可以被配置为使得移动设备102能够与MNO 114通信,并且向移动设备102的用户提供有用的功能(例如,电话呼叫和因特网)。
同样如图2所示,移动设备102的基带组件110可以包括被配置为管理基带组件110的硬件资源(例如,处理器、存储器、不同的无线电组件等等)的基带OS 214。根据一些实施例,基带组件110可以实现管理器216,管理器216被配置为与eUICC 108相接口以实现本文所述的各种技术,这包括建立与供应服务器116的安全信道,并且从供应服务器116获得信息以用于供应eSIM 208。同样如图2所示,管理器216可以被配置为实现服务218,服务218代表通过eUICC 108中包括的激活的eSIM 208的各种小应用程序212的方式实例化的软件模块的集合。例如,服务218可以被配置为根据在eUICC 108内被激活的不同eSIM 208来管理存在于移动设备102与MNO 114之间的不同连接。
图3示出了根据一些实施例的、用于使图1中的移动设备102能够发起eSIM208供应过程的方法300的序列图。如图3所示,在操作302处,移动设备102向eUICC 108传送供应命令,以发起eSIM 208供应过程。根据一些实施例,移动设备102的主OS 202向eUICC 108传送供应命令。但其他实施例可以涉 及,在移动设备102内的不同组件(诸如应用204、基带组件110的管理器216等)向eUICC 108传送供应命令。
根据一些实施例,在移动设备102内,通过使用由移动设备102中包括的安全/受信任组件提供的凭证(例如,安全证书)来验证供应命令。例如,当移动设备102的用户经由移动设备102上包括的指纹扫描仪提供指纹时,供应命令可以被验证。这可以有益地使得eUICC 108能够至少在可靠的程度上信任:供应命令是有效的并且可以有助于抑制不适当地发出供应命令(例如,如果恶意软件在移动设备102上执行)。
在一些实施例中,供应命令采用应用协议数据单元(APDU)命令的形式。例如,见APDU命令的示例结构的ISO/IEC 7816-4标准。供应命令可以包括与供应服务器116相关联的网络地址(例如,URL、IP地址等)、应当用于建立在eUICC 108与供应服务器116之间的安全信道的安全协议(例如,基于公钥基础设施(PKI)的协议、对称加密协议等)的指示以及其它信息。在一些实施例中,响应于用户请求、响应于由移动设备102中包括的软件或硬件实体发出的请求、响应上下文事件等,主OS 202可以定期地触发供应命令。例如,主OS 202可以响应于移动设备102进入特定的地理区域而触发供应命令。例如,当移动设备102处于特定的地理区域内时,主OS 202可以:(i)识别位于特定的地理区域内的供应服务器116的网络地址;以及(ii)识别供应服务器116支持的不同安全协议。主OS 202还可以选择在建立与供应服务器116的安全信道时使用的安全协议。例如,主OS 202可以选择eUICC 108和供应服务器116支持的安全协议。在识别出这种信息时,主OS 202可以根据所识别出的网络地址和安全协议来生成供应命令,并向供应服务器116发出供应命令。
在一些实施方式中,与安全协议相关的安全密钥可以预先配置到eUICC108中。在一些情况下,当移动设备102被制造时,将在其中使用移动设备102的地理区域是未知的(因此供应服务器116的网络地址是未知的)。因此,用供应服务器116的网络地址和与供应服务器116相关联的对称安全密钥预先配置eUICC 108变得困难。但是,在这些情况下,主OS 202可以通过使用上述技术获得/建立针对供应命令的网络地址和安全协议的指示。
再参考图3,在操作304处,响应于接收到供应命令,eUICC 108发起与供应服务器116的安全信道的设置。在一些实施例中,eUICC 108根据由供应命 令阐述的信息(例如,网络地址和安全协议)发起安全信道的设置。例如,eUICC108可以经由包括用于建立安全信道的参数列表的“OPEN CHANNEL”命令来发起安全信道的设置。具体地,参数列表可以包括例如供应服务器116的网络地址(例如,URL)和安全信道的连接模式(例如,传输控制协议(TCP)客户端模式)。然后eUICC 108可以通过使用例如承载独立协议(BIP)通信信道来建立安全信道。
在一些实施例中,在可选的操作306处,在建立安全信道之前,可扩展的基于PKI的协议(或任何不对称加密协议)可以用于eUICC 108和供应服务器116的相互验证。通常地,现有的和欧洲电信标准协会(ETSI)规范依赖于预先共享的对称密钥(如在对称加密协议中使用的,例如,预先共享密钥传输层安全(PSK-TLS))来建立安全信道。虽然预先共享的对称密钥可以用于在eUICC 108与供应服务器116之间建立安全信道,但用对称密钥预先配置eUICC 108和供应服务器116可能是繁重的。具体地,在eUICC 108/移动设备102的制造期间,难以预测移动设备102将使用的用于eSIM208供应目的的供应服务器116。因此,通过使用基于PKI的协议以供验证(其中安全密钥可以即时/按需创建),可以获得建立安全信道中的额外的灵活性。基于PKI的安全协议的示例包括但不限于:提供前向加密的TLS-Diffie-Hellman(TLS-DH)和TLS-Ephemeral Diffie-Hellman(TLS-DHE)协议、椭圆曲线密码学(Elliptic Curve Cryptography,ECC)协议、Ron Rivest、Adi Shamir andLeonard Adleman(RSA)协议等等。但是要理解的是,在不背离本公开内容的范围的情况下,依赖于在eUICC 108和供应服务器116之间预先共享的对称密钥的对称加密协议可以用于相互验证。
在一些实施例中,被选择用于供应命令的安全协议可以指示:eUICC 108应当使用基于证书的验证以及密钥协商(AKA)协议,以用于eUICC 108和供应服务器116之间的相互验证。例如,当使用ECC协议时,可以使用椭圆曲线密码协商算法(ECKA)来生成安全密钥。在一些实施方式中,现有的对称加密协议可以与生成的密钥一起被使用,但是要首先执行基于PKI的密钥协商。
再参考图3,在可选的操作306处,通过使用上述的基于PKI的安全技术,eUICC 108和供应服务器116可以基于安全密钥的交换来进行彼此间的相互验证。在操作308处,当相互验证成功完成时,安全信道被建立在eUICC 108和 供应服务器116之间。可替代地,当可选的操作306没有被实行时,响应于发起安全信道设置的请求(在操作304处由eUICC 108发出),安全信道在操作308处被建立。在一些实施例中,可以直接在eUICC 108和供应服务器116之间建立基于安全超文本传输协议(HTTPS)的安全通信信道。最后,在操作310处,供应服务器116使用所建立的安全信道来向eUICC 108传送供应信息(例如,MNO 114凭证、eSIM208等等)。然后供应信息可以被eUICC 108使用以将eSIM 208供应到移动设备102内。
因此,移动设备102发起的供应命令可以触发eUICC 108建立与供应服务器116的安全信道,因此通过使用该安全信道可以向eUICC 108传送供应信息。因此,在发起供应命令后,在安全信道的设置中不涉及移动设备102/主OS 202,移动设备102/主OS 202对在eUICC 108和供应服务器116之间交换的供应信息(例如,安全密钥、供应信息等)不知情。此外,在移动设备102和供应服务器116之间存在HTTP/TCP/IP会话(无附加安全性),而在eUICC 108和供应服务器116之间直接存在安全的基于HTTPS的会话。
图4示出了用于供应与图1中的移动设备102所包括的eUICC 108相关联的eSIM208的方法400的流程图。如图4所示,方法400开始于步骤402处,在步骤402中,eUICC 108接收移动设备102发起的供应命令。具体地,如本文先前描述的那样,供应命令可以由在移动设备102上执行的主OS 202生成,并且供应命令使得eUICC 108与供应服务器116建立安全信道。根据一些实施例,供应命令包括与供应服务器116相关联的网络地址以及用于建立安全信道的安全协议的指示。
在步骤404处,eUICC 108使用包括在供应命令中的信息来建立与供应服务器116的安全信道。在步骤406处,eUICC 108(可选地)实行与供应服务器116的相互验证。例如,eUICC 108可以使用基于PKI的安全协议来执行相互验证。在步骤408处,eUICC 108建立与供应服务器116的安全信道(例如,基于HTTPS的安全信道)。最后,在步骤410处,eUICC 108通过所建立的安全信道从供应服务器116接收供应信息。
因此,与常规方法相比,本文所述的移动设备102发起的供应方法提供了各种益处。例如,该方法1)使得现有的OTA规范能够用于管理eUICC;2)在从基于UICC的设备移动到基于eUICC的设备时,不需要卡供应商(card vendors)实行大量的OS改变;3)允许MNO和卡供应商重新使用远程供应平台的现有的网络基础设施;4)减少对网络发起的供应技术所需要的传统SMS承载和对称加密协议的依赖;以及5)允许使用可扩展的基于PKI的安全框架(从而增强安全性)。
图5示出了根据一些实施例的、可以用于实现本文所述的各种组件的计算设备500的详细视图。特别地,详细视图示出了可以包括在图1示出的移动设备102中的各种组件。如图5所示,计算设备500可以包括处理器502,处理器502代表用于控制计算设备500的全部操作的微处理器或者控制器。计算设备500还可以包括用户输入装置508,用户输入装置508允许计算设备500的用户与计算设备500交互。例如,用户输入设备508可以采用各种形式,诸如按钮、小键盘、拨号盘、触摸屏、音频输入接口、视觉/图像捕捉输入接口、传感器形式的输入等。更进一步,计算设备500可以包括可以由处理器502控制以便向用户显示信息的显示器510(屏幕显示器)。数据总线516可以有助于至少在存储设备540、处理器502和控制器513之间的数据传送。控制器513可以用于通过装备控制总线514与不同装备相接口并控制不同装备。计算设备500还可以包括耦接到数据链路512的网络/总线接口511。在无线连接的情况下,网络/总线接口511可以包括无线收发器。
计算设备500还包括存储设备540,存储设备540可以包括单个盘或多个盘(例如,硬盘驱动器),并且包括管理存储设备540内的一个或多个分区的存储管理模块。在一些实施例中,存储设备540可以包括闪速存储器、半导体(固态)存储器等。计算设备500还可以包括随机存取存储器(RAM)520和只读存储器(ROM)522。ROM 522可以以非易失性方式存储要被执行的程序、实用程序或进程。RAM 520可以提供易失性数据存储,并存储与计算设备500的操作相关的指令。计算设备500还可以包括安全元件550,其可以代表在图1-2中示出并在本文中详细描述的eUICC 108。
在一些实施例中,用于将电子订户身份模块(eSIM)供应给移动设备中包括的嵌入式通用集成电路卡(eUICC)的方法包括以下在eUICC处执行的一个或多个步骤。eUICC从移动设备的主处理器接收供应命令,其中主处理器位于eUICC的外部。根据供应命令,eUICC向供应服务器发出建立与供应服务器的安全信道的请求。eUICC执行与供应服务器的相互验证,并且在相互验证成功 时建立与供应服务器的安全信道。接着eUICC经由安全信道从供应服务器接收供应信息。
在一些实施例中,在移动设备的主处理器上执行的主操作系统(OS)生成供应命令。在一些实施例中,在安全信道的建立中不涉及在移动设备的主处理器上执行的主OS。在一些实施例中,供应命令包括与供应服务器相关联的网络地址。在一些实施例中,至少部分地基于供应服务器的网络地址而发起建立安全信道的请求。在一些实施例中,通过至少使用OPEN CHANNEL命令来发起建立安全信道的请求。在一些实施例中,供应命令包括用于安全信道的安全协议的指示。在一些实施例中,安全协议包括基于PKI的安全协议。在一些实施例中,根据基于PKI的安全协议执行相互验证。
在一些实施例中,嵌入式通用集成电路卡(eUICC)被配置为支持对电子订户身份模块(eSIM)的供应,并且包括配置为存储至少一个eSIM的存储器以及配置为实行本文所述的一个或多个方法的嵌入式处理器。
在一些实施例中,移动设备被配置为支持对电子订户身份模块(eSIM)的供应,并且包括通信地耦接到存储器的主处理器、配置为经由至少一个天线与无线网络进行通信的基带组件、以及配置为实行本文所述的一个或多个方法的嵌入式通用集成电路卡(eUICC)。
所述实施例的各个方面、实施例、实施方式或特征可以单独地使用或以任何组合使用。所述实施例的各个方面可以通过软件、硬件或硬件和软件的组合来实现。所述实施例还可以被体现为计算机可读介质上的计算机可读代码。计算机可读介质是可以存储其后由计算机系统读取的数据的任何数据存储设备。计算机可读介质的示例包括只读存储器、随机存取存储器、CD-ROM、DVD、磁带、硬盘驱动器、固态驱动器和光学数据存储设备。计算机可读介质还可以通过网络耦接的计算机系统分布,使得计算机可读代码以分布的方式被存储和执行。
出于解释的目的,前面的描述使用特定的术语来提供对所述实施例的深入理解。但是,对本领域技术人员来说显而易见的是,这些特定细节不是为了实行所述实施例而需要的。因此,上面对特定实施例的描述是出于说明和描述的目的而呈现的。它们不意图穷尽或者将所述实施例限定为所公开的精确形式。对本领域普通技术人员来说将显而易见的是,鉴于以上教导,许多修改和变化是可能的。
Claims (26)
1.一种用于将电子订户身份模块eSIM供应给移动设备中包括的嵌入式通用集成电路卡eUICC的方法,所述方法包括:
在所述eUICC处:
从在所述eUICC外部的所述移动设备的主处理器接收供应命令;
根据所述供应命令向供应服务器发出建立与所述供应服务器的安全信道的请求;
执行与所述供应服务器的相互验证;
在相互验证成功时,建立与所述供应服务器的安全信道;以及
通过所述安全信道从所述供应服务器接收供应信息。
2.根据权利要求1中的方法,其中所述供应命令是由在所述移动设备的主处理器上执行的主操作系统OS生成的。
3.根据权利要求2中的方法,其中在建立所述安全信道中不涉及在所述移动设备的主处理器上执行的所述主OS。
4.根据权利要求1中的方法,其中所述供应命令包括与所述供应服务器相关联的网络地址。
5.根据权利要求4中的方法,其中至少部分地基于所述供应服务器的网络地址而发起建立所述安全信道的请求。
6.根据权利要求1中的方法,其中至少通过使用OPEN CHANNEL命令来发起建立所述安全信道的请求。
7.根据权利要求1中的方法,其中所述供应命令包括用于所述安全信道的安全协议的指示。
8.根据权利要求7中的方法,其中所述安全协议包括基于PKI的安全协议。
9.根据权利要求8中的方法,其中根据所述基于PKI的安全协议执行所述相互验证。
10.一种配置为支持用于移动设备的电子订户身份模块eSIM的供应的嵌入式通用集成电路卡eUICC,所述eUICC包括:
配置为存储至少一个eSIM的存储器;以及
配置为实行以下步骤的嵌入式处理器:
从在所述eUICC外部的所述移动设备的主处理器接收供应命令;
根据所述供应命令向供应服务器发出建立与所述供应服务器的安全信道的请求;
执行与所述供应服务器的相互验证;
在相互验证成功时,建立与所述供应服务器的安全信道;以及
通过所述安全信道从所述供应服务器接收供应信息。
11.根据权利要求10中的eUICC,其中所述供应命令是由在所述移动设备的主处理器上执行的主操作系统OS生成的。
12.根据权利要求11中的eUICC,其中在建立所述安全信道中不涉及在所述移动设备的主处理器上执行的所述主OS。
13.根据权利要求10中的eUICC,其中所述供应命令包括与所述供应服务器相关联的网络地址。
14.根据权利要求13中的eUICC,其中至少部分地基于供应服务器的网络地址而发起建立所述安全信道的请求。
15.根据权利要求10中的eUICC,其中至少通过使用OPEN CHANNEL命令来发起建立所述安全信道的请求。
16.根据权利要求10中的eUICC,其中所述供应命令包括用于所述安全信道的安全协议的指示。
17.根据权利要求16中的eUICC,其中所述安全协议包括基于PKI的安全协议。
18.根据权利要求17中的eUICC,其中根据所述基于PKI的安全协议执行所述相互验证。
19.一种配置为支持对电子订户身份模块eSIM的供应的移动设备,所述移动设备包括:
通信地耦接到存储器的主处理器;
配置为经由至少一个天线与无线网络进行通信的基带组件;以及
嵌入式通用集成电路卡eUICC,其中所述eUICC被配置为执行以下步骤:
从在所述eUICC外部的所述移动设备的主处理器接收供应命令;
根据所述供应命令向供应服务器发出建立与所述供应服务器的安全信道的请求;
执行与所述供应服务器的相互验证;
在相互验证成功时,建立与所述供应服务器的安全信道;以及
通过所述安全信道从所述供应服务器接收供应信息。
20.根据权利要求19中的移动设备,其中:
所述供应命令是由在所述移动设备的主处理器上执行的主操作系统OS生成的;并且
在建立所述安全信道中不涉及在所述移动设备的主处理器上执行的主OS。
21.根据权利要求19中的移动设备,其中所述供应命令包括与所述供应服务器相关联的网络地址。
22.根据权利要求21中的移动设备,其中至少部分地基于供应服务器的网络地址而发起建立所述安全信道的请求。
23.根据权利要求19中的移动设备,其中至少通过使用OPEN CHANNEL命令来发起建立所述安全信道的请求。
24.根据权利要求19中的移动设备,其中所述供应命令包括用于所述安全信道的安全协议的指示。
25.根据权利要求24中的移动设备,其中所述安全协议包括基于PKI的安全协议。
26.根据权利要求25中的移动设备,其中根据所述基于PKI的安全协议执行所述相互验证。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562136386P | 2015-03-20 | 2015-03-20 | |
| US62/136,386 | 2015-03-20 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106102038A true CN106102038A (zh) | 2016-11-09 |
| CN106102038B CN106102038B (zh) | 2020-02-28 |
Family
ID=56852777
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610308703.XA Active CN106102038B (zh) | 2015-03-20 | 2016-03-18 | 移动设备为中心的电子订户身份模块(eSIM)的供应 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10425118B2 (zh) |
| CN (1) | CN106102038B (zh) |
| DE (1) | DE102016204285A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108012259A (zh) * | 2017-12-15 | 2018-05-08 | 恒宝股份有限公司 | 实时切换eSIM卡的签约数据的方法和系统 |
| WO2018108132A1 (zh) * | 2016-12-15 | 2018-06-21 | 中国移动通信有限公司研究院 | 访问控制方法、系统、电子设备及计算机存储介质 |
| CN108966205A (zh) * | 2018-07-04 | 2018-12-07 | 深圳高新兴物联科技有限公司 | 一种兼容多种eSIM管理规范的方法、设备及计算机可读存储介质 |
| CN108990020A (zh) * | 2017-06-02 | 2018-12-11 | 苹果公司 | 更新辅助无线设备的配置文件 |
| CN111052776A (zh) * | 2017-09-05 | 2020-04-21 | T移动美国公司 | 嵌入式用户标识模块的监控 |
| CN111263334A (zh) * | 2018-11-30 | 2020-06-09 | 苹果公司 | 向移动无线设备配置电子用户身份模块 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102015008179A1 (de) * | 2015-06-25 | 2016-12-29 | Giesecke & Devrient Gmbh | Kommunizieren eines Teilnehmeridentitätsmoduls zu einem Server, insbesondere bei Profilwechsel |
| KR102371986B1 (ko) | 2017-08-25 | 2022-03-08 | 삼성전자주식회사 | 전자 장치 및 전자 장치에 프로파일을 원격으로 제공하는 방법 |
| CN109756447B (zh) * | 2017-11-01 | 2022-03-29 | 华为技术有限公司 | 一种安全认证方法及相关设备 |
| US10356606B2 (en) * | 2017-11-14 | 2019-07-16 | Syniverse Technologies, Llc | Proxy platform for inter-operator provisioning of eSIM profiles |
| US11129014B2 (en) * | 2019-03-08 | 2021-09-21 | Apple Inc. | Methods and apparatus to manage inactive electronic subscriber identity modules |
| DE102019002050B3 (de) * | 2019-03-22 | 2020-08-13 | Giesecke+Devrient Mobile Security Gmbh | Verfahren zum Aufbau einer Datenverbindung, Verfahren zum Bereitstellen von Verbindungsparametern, sowie Teilnehmeridentitätsmodul |
| US10764746B1 (en) * | 2019-10-28 | 2020-09-01 | Sprint Communications Company L.P. | Electronic subscriber identity module (eSIM) transfer from inactive device |
| US11146948B1 (en) | 2019-11-05 | 2021-10-12 | Sprint Communications Company L.P. | Electronic subscriber identity module (eSIM) transfer via activation code |
| US11146944B1 (en) | 2020-02-20 | 2021-10-12 | Sprint Communications Company L.P. | Mobile phone peer-to-peer electronic subscriber identity module (eSIM) transfer |
| EP4280647A1 (de) * | 2022-05-17 | 2023-11-22 | Siemens Aktiengesellschaft | Provisionieren von endgeräten in funkkommunikationsnetzen |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101164086A (zh) * | 2005-03-07 | 2008-04-16 | 诺基亚公司 | 能够使用无线网络实现信用卡个人化的方法、系统和移动设备 |
| US20120260095A1 (en) * | 2011-04-05 | 2012-10-11 | Jerrold Von Hauck | Apparatus and methods for controlling distribution of electronic access clients |
| US20130157673A1 (en) * | 2011-09-16 | 2013-06-20 | Alcatel-Lucent Usa Inc. | Network operator-neutral provisioning of mobile devices |
| US20140004827A1 (en) * | 2012-06-27 | 2014-01-02 | Rogers Communications Inc. | System and method for remote provisioning of embedded universal integrated circuit cards |
| CN103748906A (zh) * | 2011-08-22 | 2014-04-23 | 诺基亚公司 | 传统终端中允许多sim的应用以及euicc的使用 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120026009A1 (en) * | 2010-07-30 | 2012-02-02 | Yanzhu Zhao | Medical device having a multi-element antenna |
| WO2012154600A1 (en) * | 2011-05-06 | 2012-11-15 | Apple Inc. | Methods and apparatus for providing management capabilities for access control clients |
| KR101614901B1 (ko) * | 2012-02-07 | 2016-04-22 | 애플 인크. | 네트워크 보조형 사기 검출 장치 및 방법 |
| US9148785B2 (en) * | 2012-05-16 | 2015-09-29 | At&T Intellectual Property I, Lp | Apparatus and methods for provisioning devices to utilize services of mobile network operators |
| US8800015B2 (en) * | 2012-06-19 | 2014-08-05 | At&T Mobility Ii, Llc | Apparatus and methods for selecting services of mobile network operators |
| US8649765B1 (en) * | 2012-08-08 | 2014-02-11 | Telefonaktiebolaget L M Ericsson (Publ) | Communication apparatus using biometrics |
| US10009764B2 (en) * | 2012-09-21 | 2018-06-26 | Apple Inc. | Apparatus and methods for controlled switching of electronic access clients without requiring network access |
| EP2887712A1 (en) * | 2013-12-23 | 2015-06-24 | Gemalto SA | Method for accessing a service, corresponding device and system |
| EP2889799A1 (en) * | 2013-12-30 | 2015-07-01 | Gemalto SA | Method for accessing a service and a corresponding server |
-
2016
- 2016-03-16 DE DE102016204285.8A patent/DE102016204285A1/de active Pending
- 2016-03-17 US US15/073,426 patent/US10425118B2/en active Active
- 2016-03-18 CN CN201610308703.XA patent/CN106102038B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101164086A (zh) * | 2005-03-07 | 2008-04-16 | 诺基亚公司 | 能够使用无线网络实现信用卡个人化的方法、系统和移动设备 |
| US20120260095A1 (en) * | 2011-04-05 | 2012-10-11 | Jerrold Von Hauck | Apparatus and methods for controlling distribution of electronic access clients |
| CN103748906A (zh) * | 2011-08-22 | 2014-04-23 | 诺基亚公司 | 传统终端中允许多sim的应用以及euicc的使用 |
| US20130157673A1 (en) * | 2011-09-16 | 2013-06-20 | Alcatel-Lucent Usa Inc. | Network operator-neutral provisioning of mobile devices |
| US20140004827A1 (en) * | 2012-06-27 | 2014-01-02 | Rogers Communications Inc. | System and method for remote provisioning of embedded universal integrated circuit cards |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018108132A1 (zh) * | 2016-12-15 | 2018-06-21 | 中国移动通信有限公司研究院 | 访问控制方法、系统、电子设备及计算机存储介质 |
| CN108990020A (zh) * | 2017-06-02 | 2018-12-11 | 苹果公司 | 更新辅助无线设备的配置文件 |
| CN108990020B (zh) * | 2017-06-02 | 2021-07-30 | 苹果公司 | 更新辅助无线设备的配置文件 |
| CN111052776A (zh) * | 2017-09-05 | 2020-04-21 | T移动美国公司 | 嵌入式用户标识模块的监控 |
| CN111052776B (zh) * | 2017-09-05 | 2022-08-09 | T移动美国公司 | 嵌入式用户标识模块的监控 |
| CN108012259A (zh) * | 2017-12-15 | 2018-05-08 | 恒宝股份有限公司 | 实时切换eSIM卡的签约数据的方法和系统 |
| CN108966205A (zh) * | 2018-07-04 | 2018-12-07 | 深圳高新兴物联科技有限公司 | 一种兼容多种eSIM管理规范的方法、设备及计算机可读存储介质 |
| CN108966205B (zh) * | 2018-07-04 | 2021-08-27 | 高新兴物联科技有限公司 | 一种兼容多种eSIM管理规范的方法、设备及计算机可读存储介质 |
| CN111263334A (zh) * | 2018-11-30 | 2020-06-09 | 苹果公司 | 向移动无线设备配置电子用户身份模块 |
| CN111263334B (zh) * | 2018-11-30 | 2022-10-28 | 苹果公司 | 向移动无线设备配置电子用户身份模块 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102016204285A1 (de) | 2016-09-22 |
| US20160277051A1 (en) | 2016-09-22 |
| CN106102038B (zh) | 2020-02-28 |
| US10425118B2 (en) | 2019-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106102038A (zh) | 移动设备为中心的电子订户身份模块(eSIM)的供应 | |
| CN106416331B (zh) | 用于访问存储eSIM的eUICC中的文件的方法、设备、装置及介质 | |
| US10574465B2 (en) | Electronic subscriber identity module (eSIM) eligibility checking | |
| US10396981B2 (en) | Pre-personalization of electronic subscriber identity modules | |
| US9432067B2 (en) | Supporting SIM toolkit applications in embedded UICCs | |
| US10182338B2 (en) | Techniques for provisioning bootstrap electronic subscriber identity modules (eSIMs) to mobile devices | |
| JP2019520750A (ja) | ユーザローミングプランに基づいてローミングリストを作成及び使用するための方法及び装置 | |
| US20180069581A1 (en) | Update of a trusted name list | |
| CN111107543A (zh) | 蜂窝服务账户转移和认证 | |
| KR20190027488A (ko) | 무선 통신 시스템에서 디바이스들의 프로파일 이동을 지원하는 방법 및 장치 | |
| EP3059923B1 (en) | Techniques for dynamically supporting different authentication algorithms | |
| CN106105131B (zh) | 对多个装置配对的电子装置、方法、装置和计算机介质 | |
| EP4037357B1 (en) | Pre-personalization of esims to support large-scale esim delivery | |
| WO2021031051A1 (en) | Mobile device authentication without electronic subscriber identity module (esim) credentials | |
| US20230076852A1 (en) | Electronic device supporting plurality of sims and operating method therefor | |
| US20240187257A1 (en) | Digital letter of approval (dloa) for device compliance | |
| US20240187865A1 (en) | Electronic subscriber identity module transfer eligibility checking | |
| US20230179998A1 (en) | Multi-Level Authentication Security Service | |
| KR20120098215A (ko) | 가상화 정보 제공 방법 | |
| US11924637B1 (en) | Automatic in-store subscriber device detection and processing | |
| US20220385445A1 (en) | EMBEDDED UNIVERSAL INTEGRATED CIRCUIT CARD (eUICC) PROFILE CONTENT MANAGEMENT | |
| CN118250679A (zh) | 电子用户身份模块转移资格检查 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |