CN107925871A - 移动运营商简档管理委托 - Google Patents
移动运营商简档管理委托 Download PDFInfo
- Publication number
- CN107925871A CN107925871A CN201680048402.6A CN201680048402A CN107925871A CN 107925871 A CN107925871 A CN 107925871A CN 201680048402 A CN201680048402 A CN 201680048402A CN 107925871 A CN107925871 A CN 107925871A
- Authority
- CN
- China
- Prior art keywords
- voucher
- enterprise
- subscription
- profile
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/303—Terminal profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
- H04W8/205—Transfer to or from user equipment or user record carrier
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
- H04W8/24—Transfer of terminal data
- H04W8/245—Transfer of terminal data from a network towards a terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/47—Security arrangements using identity modules using near field communication [NFC] or radio frequency identification [RFID] modules
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
移动通信设备由运营企业服务器的企业来管理。企业服务器接收指示移动通信设备的身份的数据。指示可用于允许访问移动网络运营商的订阅服务的订阅凭证的标识符被接收。对订阅凭证的部署的控制由移动网络运营商委托给企业服务器。企业服务器确定多个移动通信设备中的哪些要用订阅凭证来供应。发起将订阅凭证传送给所选择的移动设备的过程。
Description
技术领域
本公开一般涉及对诸如启用无线的平板、PC、智能电话、智能手表、以及其它驻定的以及便携式的联网设备之类的通信设备的凭证的管理。
背景
通信设备的服务提供商一般要求通信设备具备用于访问服务以及启用对服务的使用的正确凭证。凭证安全地并且唯一地标识针对服务提供商的订阅或帐户,并且使得通信设备能够访问和使用与该订阅相关联的服务。当通信设备是移动通信设备时,服务提供商可被称为移动网络运营商(MNO),并且服务可包括例如移动语音呼叫、文本消息收发、或者因特网数据服务。
凭证可驻留在被称为通用集成电路卡(UICC)或“SIM卡”的安全容器中。UICC可被嵌入在通信设备中,在这种情况下,其可被称为嵌入式UICC(eUICC)。凭证可在制造时被供应给UICC或eUICC,或者可在UICC或eUICC驻留在通信设备中时被远程地供应给UICC或eUICC。
概述
本公开的说明性示例包括但不限于方法、系统、以及各种设备。在一个方面,移动通信设备由企业管理。企业接收指示移动通信设备的身份的数据。指示可用于允许访问移动网络运营商的订阅服务的订阅凭证的标识符被接收。对订阅凭证的部署的控制由移动网络运营商委托给企业。企业选择多个移动通信设备中的哪些要被允许访问移动网络运营商的订阅服务。发起将订阅凭证传送给所选择的移动设备的过程。
系统和方法的其它特征在下文描述。特征、功能以及优点可在各示例中独立地实现,或者在又一些其它示例中被组合,特征、功能以及优点的进一步细节可参考以下的描述和附图来看到。
附图简述
以下将参考附图更全面地描述本公开的各实施例,其中:
图1描绘了企业设备的企业管理生命周期的示例。
图2描绘了示例订阅生命周期。
图3描绘了用于供应简档的示例环境。
图4描绘了用于供应简档的示例系统。
图5描绘了凭证设备的示例逻辑结构。
图6描绘了企业服务器的示例系统。
图7描绘了用于订阅凭证的委托管理的示例系统。
图8描绘了用于委托简档管理的示例系统。
图9描绘了用于管理订阅的示例系统。
图10描绘了用于基于策略的订阅凭证选择的示例系统。
图11描绘了用于订阅凭证的委托管理的操作规程。
图12描绘了用于订阅凭证的委托管理的操作规程。
图13是在其中可实现本文描述的各技术的示例通用计算环境。
详细描述
企业(诸如公司或机构)可向其雇员或其它用户提供通信设备。如本文中所使用的通信设备可指的是包括但不限于以下的设备:智能电话、启用蜂窝的平板和膝上型计算机、伴侣设备(例如,智能手表)、以及非消费者设备(汽车中的车载(telematics)设备、蜂窝连接的公用事业量表,其中的任意一个可包括UICC或eUICC)等等。UICC或eUICC可被包括在通信设备中以确保个人数据的完整性和安全性,并且允许与移动设备通信提供商的通信或者允许访问企业的内部网络。企业还可允许雇员使用他们自己的设备,在这种情况下,企业可实施各种机制以允许对他们内部网络的安全访问。他们自己设备的用户还可提供对他们自己个人的移动通信提供商的访问。
在一个示例中,企业可通过与移动网络运营商(MNO)签订合同以获得一大批UICC(SIM卡)(企业可根据需要分发和重用这些UICC)来向其雇员或其他人提供通信服务。企业可与MNO交涉以获得特定数量的订阅服务帐户,对于这些帐户,MNO提供相应数量的SIM卡。这些SIM卡可随后通过将SIM卡插入雇员的通信设备来在任意数量的雇员之间共享,从而允许企业向雇员提供通信服务或管理通信服务。以此方式,企业可控制其订阅服务帐户的使用。通过稍后移除SIM卡,雇员将不再能够访问企业的订阅服务帐户,并且SIM卡可根据需要由企业分派给其他雇员而不需要改变订阅合同或以其它方式与服务提供商交涉。服务启用凭证与通信设备本身的物理分离可向企业提供灵活性和控制。
在另一示例中,企业还可利用eUICC,与SIM卡不同,eUICC通常不容易被触及或移除,并且可被焊接或以其它方式安装在通信设备中。eUICC可允许通信设备所使用的服务订阅被安全地重新配置而无需向通信设备物理地添加或移除eUICC。eUICC可保持一个或多个eUICC简档,其中同一时间通常一个简档时活跃的。如本文所使用的,eUICC简档一般指的是与网络订阅相关联的客户端信息,并且各实施例不限于任何具体的eUICC系统。在一些实施例中,如以下在图5中进一步描述的,eUICC简档可包括与凭证设备上供应的服务凭证相关联的文件结构、数据、以及应用的组合,并且其使得通信设备能够使用与该简档相关联的订阅服务。
图1描绘了企业设备的企业管理生命周期的示例。企业设备可指的是由企业管理的任何通信设备。在图1中,通信设备在其被添加到企业库存清单中时(例如,当设备被购买或重新激活时),通信设备变得对企业可用110。当企业设备被分派120给职工中的一员时,该企业设备可被登记到设备管理过程中。企业设备既可以是企业所拥有的设备,也可以是用户的个人设备。当企业设备被给予雇员或以其它方式投入使用时,该企业设备可被激活。这一激活可涉及物理资产(诸如UICC卡)的安装和/或软件、策略、以及其它配置信息的安装。可被安装的策略的示例可包括针对其订阅的使用的设备策略。例如,企业可配置用于企业数据连接或限制数据漫游的特定接入点网络(APN)。
企业可更新其数据库以将订阅分派给特定设备和终端用户。企业可将从MNO接收的账单记录与设备分派对应一致以便追踪其职员在其设备上的使用情况。在企业设备处于使用中130时,企业可主动管理该设备,从而更新其策略和配置以及获得对其使用情况的审计记录。当企业设备被从终端用户处归还时,该企业设备可被停用为受管理的设备,从而导致企业所拥有的物理或虚拟资产的移除以及从设备管理过程中的解除登记。企业可从设备中移除其设备管理策略,从而更新其记录以指示该设备不再被登记用于设备管理并且其订阅不再被分配。企业设备可随后被分派给新用户并且企业可在新设备上激活重新分派的简档。否则,设备可从其库存清单中被移除140。
处于活跃使用中的企业设备可能发生需要修理150的故障。如果修理过程是耗时的,则该设备可从服务中被移除,并且向用户提供一个不同的设备。如果该设备可被修理,则该设备可被返回到库存清单以供重新分派。否则,该企业设备可被回收。
图2描绘了示例MNO订阅生命周期。在企业从MNO获取订阅并且该订阅可用210时,企业可将该订阅分派给企业设备。一旦该订阅被分派220,凭证(例如,物理UICC卡或eUICC简档)可被安装在该企业设备中,然后该订阅可被设置成活跃230。终端用户可停用该订阅(例如,物理地交换UICC卡或在各eUICC简档之间切换),然后该订阅可进入非活跃状态240。终端用户稍后可激活该订阅(例如,重新安装该UICC或重新激活该简档)。企业可例如通过从设备中回收该UICC来收回该订阅。该订阅可由企业或移动运营商终止。
企业可从MNO购买并管理多个订阅。企业还可从多个不同MNO获取多组订阅。无论企业采用UICC还是eUICC,企业可能希望实现对于UICC或eUICC如何被分发给企业的雇员的更大程度的管理控制和权限,而无需直接通过MNO来进行,直接通过MNO来进行在一些情况下可能要求额外的开销和成本。
本公开描述了供诸如企业之类的实体来管理通信设备的简档或订阅以及管理与简档或订阅相关联的策略同时维持简档的安全性的各种方式。
在一个实施例中,描述了用于企业对一大批订阅凭证的控制的方法和系统。在一些实施例中,控制可从MNO委托给企业。在一些示例中,这类控制可包括企业确定在何时及在何处供应、激活、停用、以及移除订阅凭证的能力,例如图1-2中所示。在一些实施例中,委托给企业的控制还包括将订阅凭证与使用与订阅相关联的服务的策略关联起来。确定在何处供应凭证可包括例如规定要供应给哪个设备,诸如可能属于一位企业雇员的特定的通信设备。订阅凭证的供应可包括向选定的设备提供包括针对该订阅的凭证的简档的副本。订阅的激活可使得多个被供应简档中的选定的被供应简档能够访问与被激活的订阅相关联的服务。简档的移除可包括在选定的设备上移除或删除简档的当前状态,使得简档可被供应给另一设备。
企业对订阅凭证的控制可以是直接或间接的。在一个实施例中,对订阅凭证的直接控制可包括由企业对订阅凭证的副本的直接管理。企业可例如维护eUICC外部的简档的加密电子副本,即便当简档没有被供应给设备时(例如,在简档被供应之前或简档被移除之后)。对于订阅凭证的间接控制可包括其中只有MNO直接管理简档副本的各实施例。在一个实施例中,MNO可揭露一接口,通过该接口,企业可控制与企业的订阅相对应的凭证的供应和激活,而无需实行对凭证的直接控制。
除了供应和激活,对订阅凭证的控制可进一步包括将简档与针对对订阅服务的使用的策略关联起来。在一些实施例中,这类策略可由eUICC应用和可驻留在通信设备中的设备代理的某个组合来强制实施。例如,eUICC应用可被实现为被包括作为简档的一部分并在被供应的eUICC中的处理器上运行的软件。设备代理可在eUICC外部的处理器上执行,诸如包含被供应的eUICC的通信设备中的另一处理器。设备代理和eUICC应用可被配置成协作以强制实施企业的订阅策略。针对特定简档,企业指定的策略可与MNO指定的策略同时或协同地强制实施。企业指定的策略可规定例如基于指定的条件和服务来激活来自不同MNO的各备选的被供应简档。
图3描绘了用于供应简档的示例环境。MNO 320可拥有或以其它方式通过接口321控制一个或多个MNO服务器352,而企业可拥有或以其它方式通过接口321控制一个或多个企业服务器354。用户装备(UE)356可例如是包含凭证设备358的移动通信设备。凭证设备358可指的是包含电子凭证(诸如SIM卡或可移除eUICC)的物理可移除设备、可被电子地供应订阅凭证的不可移除设备(诸如焊接的eUICC)等等。根据一些实施例,凭证设备358还可指可包含一个或多个电子简档并且可被电子地供应订阅凭证的软件容器。
一旦被供应了凭证设备358上的凭证,UE 356可被配置成使用被供应的凭证来经由网络连接314访问MNO订阅服务。网络连接316可允许企业服务器354设置或以其他方式确定针对UE 356对被供应的凭证的使用的策略。网络连接314还可使得UE 356能够访问企业服务或资源。网络连接312、314以及316可以是任何类型的计算机网络连接,包括有线、WiFi、蜂窝数据连接等等。例如,连接316可允许使用由MNO提供的蜂窝数据服务的连接。
在其中订阅凭证被实现在电子简档(诸如eUICC简档)中的实施例中,对订阅凭证的控制可直接或间接地从MNO 320委托给企业310。在一个实施例中,直接控制可包括在MNO服务器352上创建凭证并且通过连接312将凭证从MNO服务器352复制到企业服务器354。企业310可随后选择要在何时以及何处供应凭证。可通过经由连接316将选定的简档从企业服务器354复制到UE 356的凭证设备358来供应UE 356。替代地,可通过经由连接312和314结合MNO服务器352将选定的简档从企业服务器354复制到UE 356的凭证设备358来供应UE356。当MNO 320或企业310选择移除被供应的凭证时,临时凭证可从凭证设备358移除并且存储在企业服务器354上直至另一UE 356被选择用于供应。
在一个实施例中,间接控制可包括在MNO服务器352上创建并存储订阅凭证。然而,在间接控制的情况下,凭证的副本可不被提供给企业服务器354。在一个实施例中,在凭证被创建并存储在MNO服务器352上之后,企业310可确定在何时以及何处经由凭证控制接口通过企业服务器354和MNO服务器352之间的连接312供应凭证。使用凭证控制接口,企业310可指示凭证应该被供应还是被从选定UE移除。
在对订阅凭证进行直接和间接控制中的任意一种的实施例中,针对对被供应凭证的使用的企业策略可经由不同于简档供应的连接316提供。
在一些实施例中,凭证设备358可以是可由MNO 320或其它制造商提供的SIM卡或可移除eUICC。对凭证的控制可随后通过将包含凭证的凭证设备物理地转移给企业310而被提供给企业310。企业310可随后将物理设备分配给用户,该用户可通过安装凭证设备358来物理地供应UE 356。企业对于服务的使用的控制可包括企业服务器354被配置成经由连接316确定UE 356上的使用策略。
现在描述进一步细节。第3代合作伙伴项目(3GPP)已定义了用于通信设备的规范,其覆盖了诸如全球移动通信系统(GSM)、通用移动电信系统(UMTS)、以及长期演进(LTE)之类的技术。第3代合作伙伴项目2(3GPP2)已定义了包括码分多址(CDMA)在内的其它规范。对于符合这些3GPP或3GPP2规范的通信设备,它们相关联的凭证通常被嵌入在SIM卡中。SIM卡可以是遵循UICC规范ETSI TS 102 221的可移除物理智能卡。SIM卡可以在通信设备被制造时或在销售点处被安装。替代地,SIM卡可从移动运营商处购买以供与通信设备一起使用,该通信设备是分开获得的并且具有符合UICC规范的物理插槽。
用于访问由MNO 320提供的通信服务的凭证可包括数据和指令两者。当指令在处理器(诸如移动通信设备356内的凭证设备358的处理器)上执行时,指令可被配置成造成处理器和通信服务服务器之间的通信,使得通信服务服务器可对凭证进行认证并且启用通信服务。一组凭证可与针对来自特定通信服务提供商的通信服务的订阅相关联。针对多个订阅可提供多组凭证。
例如,GSM联盟(GSMA)已定义了用于通过使用eUICC来针对订阅服务对通信设备进行远程供应而无需在机器到机器的场景中物理地交换SIM卡的基础架构。一些汽车车载系统是使用eUICC设备的系统的示例。虽然eUICC的使用可允许有限的订阅凭证管理而无需非得管理物理的智能卡,但是GSMA架构不允许第三方(诸如MNO的企业客户)来管理订阅凭证。
在本公开的一些实施例中,订阅凭证(诸如eUICC简档)可由受委托的实体(诸如MNO的企业客户)所指导的在各设备之间电子地传输。例如,MNO可将权限委托给企业来确定其订阅要被分配到何处。在一个实施例中,企业可执行这一分配,而在另一实施例中,MNO可维护用于分配简档的机制,但是如企业所请求的来分配简档。例如,简档可被移动以在一个较大的设备集合内重新分配订阅池,或者交换来自不同网络提供商的订阅以利用漫游网络。如本文所使用的,eUICC简档一般指的是与网络订阅相关联的客户端信息。此外,本公开的各实施例不限于如GSMA所定义的eUICC系统。
在一些实施例中,对通信设备的控制和管理可与对eUICC简档的管理协同实现。例如,企业310、MNO 320和/或设备所有者可在设备管理框架内控制通信设备的各方面。可用来自网络运营商和企业的策略来远程配置设备管理框架。受设备管理框架管理的设备可利用附加信息(诸如可用的网络或一天中的时间)来告知关于对多个eUICC简档的使用的本地决定。这一附加信息可被用于在设备上使用订阅的策略的自动实施。订阅可以是用于企业的以及个人订阅。在其中订阅通过交换物理卡来改变的场景中,这类策略可能已经难以或者不可能实施。设备管理框架可提供
当企业310已配置了针对其订阅中的一个或多个订阅的策略时,在相关联的简档被安装、激活、停用、或移除时,企业310可使用设备管理框架来实现企业对设备的控制。在各个实施例中,设备管理框架可允许企业控制例如被配置成访问企业数据或连接到企业网络资源的设备。在一个实施例中,通信设备可揭露一组可配置设置,这些设置可由企业310在设备管理会话期间用设备管理框架来控制。设备管理会话可包括通信设备和受信管理实体之间的交互,通过该交互,管理实体配置所揭露的设置并且对通信设备应用策略。被配置的设置可例如限制用户执行某些动作的能力。例如,为了访问企业电子邮件,企业310可要求通信设备被登记用于设备管理。当通信设备被登记时,可在通信设备和企业310之间建立信任关系。通过配置设备设置(诸如要由用户输入的用于解锁设备的最小口令长度),企业310可控制对通信设备的使用的各方面。这类控制可包括例如通信设备如何工作以及与通信设备被允许访问的资源有关的限制。
在一些实施例中,MNO 320可在eUICC简档的生命周期期间维持对简档的所有权和控制,而企业310可对通信设备及其相关联的简档实行管理控制。MNO 320可从eUICC简档的创建开始拥有并控制eUICC简档的内容,直到简档被删除。在一个实施例中,一组应用和文件可通过简档模板来定义并在简档被创建时被个性化。MNO 320可在简档被安装在eUICC中时更新简档的内容。更新机制可因MNO 320而异。与订阅相关联的凭证(例如,安全密钥K)可被安全地存储在eUICC简档内以及MNO基础设施中的网络访问应用中。对凭证信息的访问可纯由MNO 320维护。
设备管理框架可包括用于在订阅被改变时配置设备管理策略的机制。例如,当物理UICC已改变,或者如果eUICC简档被安装、激活、停用、或移除,可调用一规程来供应或配置设备的特征和设置。在一个实施例中,通信设备可在检测到改变时触发设备管理(DM)会话。此外,取决于设备如何被获取,个性化锁(也称为“SIM锁”)可被实现,该个性化锁将对设备的使用限制于来自特定MNO的订阅。在一些实施例中,MNO 320可保留配置设备管理策略的能力。设备管理框架可因此包括以下场景:企业可能能够配置所有设备管理策略,或者设备管理策略的各方面的配置控制可在企业和MNO之间分配,或它们的某种组合。
在一些实施例中,通信设备的用户或拥有者可在设备同时受企业310和/或MNO320管理期间保留对设备的一些控制。例如,用户可被允许使用基于eUICC的方案来改变用户的订阅,诸如当在使用与改变物理UICC卡类似的方式的情况下用户将能够做的。例如,当设备拥有者也是终端用户时(例如,BYOD——携带你自己的设备),用户可被允许在通信设备上在企业订阅和个人订阅之间切换。例如,在受企业管理的设备的情况下,用户可被允许使用基于eUICC的方案来在个人订阅和企业订阅之间切换。通信设备可被配置成强制实施针对企业资源的使用的策略限制(例如,当通信设备进入漫游状态时,企业订阅可被限制)。然而,在这类情况下,用户可被允许使用用户自己的订阅。在一些实施例中,当通信设备SIM锁定时,SIM锁可被应用于所有的订阅,既应用于企业订阅也应用于个人订阅。
图4描绘了用于供应eUICC简档的示例系统。在一些实施例中,移动设备制造商480可提供包含了凭证设备358的通信设备。eUICC制造商270通常提供以初始状态来配置的凭证设备358。参考图4,MNO 320可使用一个或多个MNO服务器352来提供网络连接服务以及管理用于访问连接服务的订阅简档。MNO 320可实现设备管理框架的各方面,包括可被配置成安全地通信以执行对凭证设备358的管理的订阅路由器功能420。在一些实施例中,订阅路由器功能420可包含由GSMA所定义的SM-SR以及SM-SR+功能的各方面。在一个实施例中,所有权可被安全地转移给附加的订阅路由器460。订阅路由器420和460可被配置成在MNO 320的请求下激活、停用、以及删除简档。
MNO 320还可实现订阅生成器功能440,订阅生成器功能440可被配置成如MNO 320所指导地创建简档以及安排该简档经由订阅路由器420供应到凭证设备358上。在一些实施例中,订阅生成器功能440可包含由GSMA所定义的SM-DP功能的各方面。订阅生成器440(经由订阅路由器420)可被配置成在MNO 320的请求下激活、停用、以及删除凭证设备358上的简档。证书发布器(CI)450可发布证书并且充当用于在系统的各实体间进行认证的受信第三方。例如,证书可被用于保护订阅路由器420和凭证设备358上的对应的安全域之间的通信(这还可被称为ISD-R)以及订阅生成器440与在eUICC 530上的安全容器的对应实例之间的通信(这还可被称为ISD-P)。
图5描绘了可包括eUICC 530的凭证设备358的示例逻辑结构,eUICC 530包含多个简档510。每一个简档可具有全局唯一的标识符,称为ICCID 515。在一些实施例中,eUICC530可通过全局唯一的值来标识,该值被称为eUICC-ID或EID 505。
凭证设备358可由eUICC 530来实现,这可以是图3的凭证设备358的一个实施例。物理UICC可以是另一实施例。如图5中描绘的,订阅路由器420可与凭证设备358(诸如eUICC530)通信。
包含在eUICC 530中的简档510中的至少一个可被用于提供到订阅路由器420的连接以用于简档管理。这一简档可被指定为供应简档520。
在一些实施例中,凭证设备358(例如,eUICC 530)的操作系统兼容用于对安全芯片技术(例如MULTOS和JavaCard)上的多个应用进行管理的GLOBALPLATFORM规范。这样的兼容操作系统可主控不同安全域内的一组应用。简档510可包含一个或多个应用540。应用540可包括用于提供对于访问网络的授权的网络访问应用(NAA)(诸如针对3GPP的通用订户身份模块(USIM)、针对3GPP2的CDMA订户身份模块(CSIM)、或针对LTE的IP多媒体服务订户身份模块(ISIM)等等)以及其它应用。USIM和CSIM NAA代表对MNO 320的订阅并且可包含诸如订户标识符(例如,国际移动订户标识符,即IMSI)以及一个或多个电话号码之类的信息。NAA还可包含用于认证和加密目的的密钥K。K可被保护并且不直接暴露于凭证设备358外部。典型地,K可以是仅对简档和拥有该简档或创建了该简档的MNO已知。
凭证设备358上被启用的简档510(包括文件系统、应用集合、网络认证和交互、卡应用工具包等)可以在功能上等同于独立的传统UICC卡,这种UICC卡通常提供供应简档并且发布MNO可控制该UICC卡的某些管理。因此,eUICC 530可不要求对于连接功能(诸如网络注册、语音呼叫、文本消息收发、分组数据服务等)的网络改变。
图6描绘了如本文所描述的用于简档的企业管理的示例系统。MNO 320可提供连接服务,MNO 320可通过由MNO服务器352管理的一组订阅来进行管理。在一些实施例中,MNO订阅可包括一组服务、策略、以及账单规则以及相关联的状态。订阅可包括能够被用于访问订阅610并且被MNO 320和用户装备(UE)356知晓的唯一身份以及一组凭证615。凭证615可由MNO 320的基础设施内的认证中心安全地存储。典型地,凭证615可与网络访问应用(NAA)的一组相关信息一起被封装在eUICC简档510内。在任何给定时刻,最多一个UE 356可包含这些客户端凭证。MNO 320可在eUICC简档510的整个生命周期期间拥有和管理eUICC简档510的内容,并且可拥有和管理UE 356上的UE 356当前与其相关联的其它策略。
如图6中所示,企业310可从MNO 320获取一大批订阅以供分发给其职员。当服务被使用时,企业310可负责针对服务的付费。企业310还可定义在其企业订阅被使用时要被应用的策略650。企业管理平台(未示出)可被实现在企业服务器354上,企业服务器354可实现以上描述的设备管理框架的功能中的至少一些。EMP可被配置成提供用于企业订阅665的账户和设备管理服务。MNO 320可将对企业订阅665的直接管理委托给实现在企业服务器354上的EMP。对于被委托给实现在企业服务器354上的EMP的订阅665,EMP可不管理eUICC简档510的内容,而可管理eUICC简档510到设备的分派以及相关联的企业策略650。
在一个实施例中,企业310可充当其自身的管理提供商。在另一实施例中,管理提供商可以是单独的实体,其可例如是MNO 320或第三方。在一些情况下,企业310可直接管理其简档(例如,通过以下进一步描述的部署管理者)。替代地,企业310可间接地管理其简档,其中管理可由例如第三方服务或由MNO自己来应企业的请求执行。
如图6中所示的,UE 356可与设备拥有者670相关联。企业310还可拥有企业提供的UE 356并将它们分配给其职员。替代地,UE 356可由各个用户所拥有。设备拥有者670可建立与其使用有关的一些策略。
终端用户可以是经由UE 356根据受企业310管理的一个或多个订阅665来使用MNO服务的企业职员中的一员。在UE 356为终端用户所拥有的情况下,终端用户可能具有终端用户可能已分开地从MNO 320获得的一个或多个个人订阅。终端用户可以能够选择在UE356上使用个人订阅还是企业订阅,并且可受一个或多个企业策略约束的影响。
移动运营商典型地拥有eUICC简档的内容并且可在任何时候更新eUICC简档,就像移动运营商也可更新物理UICC中的简档一样。在被安装在设备中时,简档状态可改变,或者是因为远程运营商管理,或者是因为本地活动。本地活动可包括例如用户对于电话簿、文本消息的短消息服务(SMS)存储、个人标识号(PIN)状态等的更新。因为简档状态可在驻留在eUICC中期间改变,因此企业310可取回简档状态并安全地存储其经修改的状态以供后续重新安装。简档的外部表示(诸如eUICC设备外部的表示)可对于企业310是不透明的,因为企业310可安装并取回简档,而MNO 320通常维持简档内容的所有权。
在企业310取回了最初分配给第一用户的订阅之后,企业310可将订阅从第一用户重新分配给第二用户。在物理UICC的情况下,卡可被转交给新的拥有者。然而,卡可以不再是与其最初被分配时相同的状态。例如,MNO可能已更新了简档,或者在之前的设备上的使用可能已导致了简档状态的元素的改变。在重新分配卡之前,企业310可通过擦除电话簿、SMS存储、呼叫历史等来重置简档状态,并且使用个人解锁密钥(PUK)将PIN重置为已知的值以及非锁定状态。订阅的重新分派可通过对简档重置策略(例如,PIN1的值、PUK1等)的企业设备管理以及通过被配置成根据该策略重置简档状态的设备代理来实现。
在使用eUICC的实现中,当前简档状态的安全的外部表示可被提供。企业310可在新的通信设备上安装并激活重新分派的简档。如企业策略所配置的,通信设备上的本地代理可被配置成重置简档状态(电话簿、SMS存储、PIN1等)。如物理UICC的情况下一样,这些操作可使用由例如ETSI所定义的现有UICC接口来执行。
当企业用户正在远程地区使用通信设备时,蜂窝服务可由与当前订阅相关联的MNO的不同的MNO来提供(例如,漫游)。对于漫游访问,企业可例如通过将附加资产提供给通信设备(诸如附加的订阅)或者通过更新策略(例如,定义这组订阅被如何使用的策略)来更新使用中的通信设备。
企业310还可选择配置通信设备上的策略以阻止通信设备漫游,在这种情况下,通信设备可被迫依赖于其它的连接方法,诸如WiFi。替代地,企业310可为企业用户提供针对漫游移动运营商的附加订阅。在物理UICC的情况下,企业310可为用户提供一组UICC,并且用户可在用户意识到需要漫游时基于用户的当前位置或根据来自通信设备的用户界面的指示选择合适的UICC卡。
企业310也可在eUICC上供应多个简档。简档可例如与来自不同移动运营商的订阅相关联。企业310还可供应与订阅要在什么条件下被使用有关的策略。如以下进一步详细描述的,在设备上执行的代理可枚举通信设备上的简档、评估企业策略规则、并且基于当前情况(例如,位置、一天中的时间、网络可用性等)来启用正确的简档。这些条件中的改变可触发代理重新评估策略并且启用不同简档。与使用物理UICC相比,企业310可以能够保留对于其订阅的使用的更大控制,而用户不需要管理多张物理卡。漫游访问场景的实施例可进一步由通信设备上的本地简档管理(枚举、启用/禁用)来实现。
在一些实施例中,通信设备可被允许基于一个或多个企业策略来切换账户。通信设备可实行与订阅使用有关的企业策略。例如,用户可被允许指令通信设备显示可用简档并且选择要激活的新简档。设备可评估对于所选简档的企业策略(如果有的话),并且可允许或拒绝用户请求。如果所选简档被允许,则通信设备可指令eUICC切换到该简档。通信设备可基于该新简档触发对移动运营商的设备管理会话。同样,根据企业策略,通信设备可基于该新的简档发起企业设备管理会话。用户在通信设备上的切换订阅的能力可通过企业管理、针对简档选择的企业策略、以及通过本地简档管理来实现。
某些企业资源可仅仅用企业订阅才可访问。相反,一些非企业资源可仅仅用个人订阅就可访问。如以上提到的,对于各种情况(诸如漫游情况),不止一个企业订阅可能是对通信设备可用的。在物理UICC的情况下,企业可为通信设备配置一些策略(例如,安装某些防火墙规则或阻止漫游)。在这种情况下,用户可交换到不同UICC卡以避免丢失服务。当eUICC被使用时,通信设备可基于企业策略并且在一些情况下受用户同意的影响切换到合适的简档。对于一些情况(诸如对归属/漫游订阅的选择),用户可选择准予一次性的同意。对于其它情况(诸如切换订阅以访问受保护资源),同意可以针对每一个实例来准予。这种场景可通过针对简档选择的管理和企业策略以及通过本地简档管理来实现。
在一些实施例中,企业310可维护设备记录,使得企业310可在通信设备上禁用或删除所选功能或内容。例如,企业310可发起对来自通信设备的企业信息的远程擦除。另外,企业310可配置通信设备上的用于在安全条件不被满足(例如,响应于多次失败的口令尝试)的情况下擦除所有企业信息的策略。通信设备可被配置成枚举安装的eUICC简档并且本地地删除所选或所有企业简档,或者执行对于整个eUICC的主清除。
图7描绘了用于订阅凭证的委托管理的示例系统。图7中描绘的示例解说了一个或多个移动运营商简档管理功能委托给企业以管理其自己的订阅。参考图7,在一个实施例中,订阅生成器440可被实现在服务器上并且可被配置成创建eUICC简档,例如如图5中所描绘的。订阅生成器440还可被配置成控制eUICC 530上的简档安装、控制从eUICC 530删除简档、以及激活和停用驻留在eUICC 530上的简档。
在一个实施例中,订阅路由器420可被实现在服务器上,并且可被配置成提供与eUICC 530的安全通信、高速缓存要被递送给eUICC 530的简档、以及激活/停用驻留在eUICC 530上的简档。与MNO 320相关联的eUICC 530上的简档可由MNO 320使用订阅生成器440和订阅路由器420来管理。在一些实施例中,订阅生成器440可与MNO 320相关联,而订阅路由器420可与eUICC制造商(EUM 270)相关联。在一些实施例中,订阅路由器420和订阅生成器440可被实现在单个服务器中。订阅生成器440可被配置成辅助UE 356及其eUICC 530定位管理eUICC 530的订阅路由器420或其它订阅路由器。
如所讨论的,企业可管理由MNO 320提供的一大批服务订阅。企业服务器354可实现企业策略管理器725和部署管理器705的功能,其可被配置成从订阅生成器440获得企业订阅的简档、本地地高速缓存简档直到它们被安装、以及经由订阅路由器420向/从eUICC530部署简档并取回简档。在一些实施例中,部署管理器705的功能可包含由GSMA所定义的SM-DM功能的各方面。ESe1接口(在一些实施例中,其对应于图3中的接口312)可连接企业服务器354和MNO 320以供订阅购买、付费、以及取消。ESe2接口可允许由订阅生成器440创建的要被委托给部署管理器705的企业拥有的简档包。在一个实施例中,从订阅生成器440到部署管理器705的委托可包括将所创建的简档的副本提供给部署管理器705。在其它实施例中,可提供对UE 356上的eUICC 530的简档递送、取回、激活以及停用的控制。部署管理器705可被配置成通过ESe3接口部署及取回简档到受管理的设备。
如图7中描绘的,企业策略管理器(EPM)725(其也可被称为移动设备管理器(MDM))可被配置用于企业UE 356的管理。EPM 725可被用于管理企业策略以及被供应的策略。在一个实施例中,EPM 725可被配置成使用例如DM以及查询和更新被组织成分层命名空间(例如,树)的值来管理目标UE 356。在一些示例中,OMA所定义的分层命名空间的布局可用由实现者所定义的具体的子树来描述。然而,应当理解,这类命名空间定义是示例实现,并且其它定义也被构想。简档的安装、移除、以及切换可由EPM 725使用其它方法来执行。替代地,简档的安装、移除和切换可由部署管理器705使用类似于订阅生成器440所使用的那些协议和接口来完成。简档的安装、移除和切换可通过请求MNO 320使用MNO的订阅生成器440来代表企业执行这一动作来完成。
在UE 356内,本地策略代理(LPA)755可被配置成使用本地发现服务(LDS)764、本地简档下载(LPD)766、以及本地用户界面(LUI)768协助eUICC简档管理。LDS 764可被配置成发现被用于供应eUICC的订阅路由器。LPD 766可被配置成协助以合适的大小下载大的简档对象。LUI 768可被配置成与设备终端用户交互以进行本地操作,诸如用户发起的简档切换。
图8描绘了用于委托简档管理的示例系统,其中企业策略和对简档的直接控制(包括数据库关系)由企业服务器354提供。在一个实施例中,AuC 810可以是认证中心并且可与主位置注册表(HLR)一起驻留在MNO基础设施中。订阅路由器420可被配置成访问eUICC数据库830。数据库830可包括受其管理的eUICC上已安装简档的本地库存清单。在一个实施例中,订阅路由器420可以是用于简档从订阅生成器440到eUICC 530的中转,或者在一些实施例中,订阅路由器420还可存储eUICC 530的简档直到简档被递送给它们的最终目的地。在一些实施例中,企业310可使用到MNO 320的接口来管理其简档,而不是直接用部署管理器705来管理它们。
图9描绘了用于经由接口管理订阅的示例系统。在图9中,企业生态系统中的各个组件之间的关系被描绘,其中企业310通过使用MNO接口(其可被称为业务服务端口920)来管理其订阅,而不是直接经由部署管理器705来管理。
在图9的示例中,企业310被示为具有与多个终端用户710的关系。终端用户710可与一个或多个设备UE 356相关联。例如,终端用户可具有个人设备以及企业提供的设备。同样,UE 356可具有与多个终端用户710的关系(例如,计算机可具有多个用户的帐户)。企业310可使用相关联的企业策略管理器725(例如,设备管理系统MDM),企业策略管理器725在多个设备上配置其设置/策略。企业310可建立与多个设备/OS供应商990(例如,Dell、Acer、Microsoft)的关系,设备/OS供应商990可进而具有与多个企业的关系。设备/OS供应商990可在多个设备上配置其软件和设置。这一配置可经由Windows Update、因OEM而异的更新机制、或某个其它的更新机制来实现。
企业310还可被配置成通过业务服务端口920与一个或多个MNO 320通信。业务服务端口920可被配置成允许企业选择、购买、取消来自MNO 320的订阅和/或与来自MNO 320的订阅交互。在一个实施例中,MNO 320可包括能够在多个设备上配置设置/策略的设备管理系统950。MNO 320还可实现设备管理协议,例如OMA DM或OMA客户供应(CP)。MNO 320可进一步实现在MNO服务器352上实现的订阅管理系统(例如,在多个设备上配置eUICC 530的订阅生成器440和订阅路由器420)。实现在MNO服务器352上的订阅管理系统可被配置成与eUICC 530直接通信或者经由UE 356上的本地策略代理(LPA)755来通信。eUICC 530可具有与MNO服务器352的多个关系。例如,eUICC 530可由多个MNO供应,每一个MNO具有其自己的订阅生成器/订阅路由器。在这一实施例中,企业可提供其自己的MNO服务器352和业务服务端口920接口。替代地,这些功能可由企业管理提供商来提供。企业管理提供商可以是MNO或第三方。
在一些实施例中,图8中描绘的系统可被配置成允许订阅凭证与委托管理的安全封装。在一个实施例中,所例示的组件中的一个或多个可被配置成允许服务提供商(例如,MNO 320)控制或拥有eUICC简档的内容(包括配置信息、密钥、以及针对服务提供商的其它信息凭证),而企业可在不具有对简档的内部内容的访问权限的情况下控制向eUICC布署和供应简档。
参考图8,订阅路由器420可被配置成提供到eUICC的安全连接,并且执行简档管理操作,诸如安装、删除、以及简档切换。订阅生成器440可被配置成为移动运营商创建eUICC简档并且通过订阅生成器440将简档供应给eUICC。安全关系可被配置在eUICC 530和订阅路由器420之间、eUICC 530和订阅生成器440之间、以及订阅路由器420和订阅生成器440之间。
在远程供应场景中,订阅路由器420可存储简档直到它们被供应给eUICC 530。eUICC 530可具有与不止一个订阅路由器420的信任关系;类似地,多个订阅生成器440可共享同一个订阅路由器420。
订阅生成器440可被配置成创建企业eUICC简档并且将简档委托给部署管理器705。部署管理器705可被配置成与订阅路由器420通信以安装以及从UE 356上安装的eUICC530移除简档。这些元素之间的安全关联可被定义。例如,信任关系可被定义在订阅生成器440和订阅路由器420之间、订阅生成器440和部署管理器705之间、部署管理器705和订阅路由器420之间、以及订阅路由器420和eUICC 530之间。
在各个实施例中,空闲的eUICC简档的在其在订阅生成器440处的创建和它递送到eUICC 530之间的安全封装可被定义。空闲的eUICC简档的安全封装可使得MNO 320能够用eUICC的空闲存储来信任受企业管理的部署管理器705。
具有安全封装的eUICC简档的系统的各实施例可包括以下元素。订阅生成器440可具有其自己的签名证书,该证书具有回到受信任根(诸如证书发布者CI 150)的链。订阅路由器420可具有与每一个订阅生成器440相关联的并且由每一个订阅生成器440签署的签名证书。
简档的外部表示可使用公钥/私钥对来加密。对称加密可被使用,其中以公钥/私钥加密会话密钥。加密该简档的实体(诸如订阅生成器440和订阅路由器420)可访问公钥。只有解密该简档的实体(诸如订阅路由器420)可访问私钥。部署管理器705可验证简档的签名是否来自订阅生成器440或订阅路由器420,但是可被阻止检查其内容,因为每一个简档(空闲简档)的外部表示可由公钥加密。
在一些实施例中,简档创建和委托的过程可包括订阅生成器440接收针对特定移动运营商和特定订阅路由器420创建新的简档并将该简档委托给企业的部署管理器705的请求。当订阅路由器420与订阅生成器440同处一处时,这一操作可按照所请求地完成。替代地,简档可与创建新简档的请求一起被提供给订阅生成器440。订阅生成器440可向订阅路由器420发送针对特定简档标识符创建公钥/私钥对的请求。订阅路由器420可创建密钥对并将密钥对安全地存储在按照简档标识符加锁的本地数据库中。订阅路由器420可将公钥发送给订阅生成器440。订阅生成器440可随后创建eUICC简档的外部表示、使用公钥来加密eUICC简档、以及用其自己的证书来签署经加密的eUICC简档。订阅生成器440可将经加密的简档与订阅路由器420的身份和证书一起递送给部署管理器705。部署管理器705可验证简档的签名是否匹配订阅生成器440。部署管理器705可将简档元数据(包括其证书)放置到长期数据库中。最后,部署管理器705可存储该简档直到部署管理器705准备好将该简档供应给eUICC 530。
在一些实施例中,简档供应给eUICC 530的过程可包括以下操作。部署管理器705可接收来自企业服务器354的将其数据库中的简档供应给eUICC 530的请求。部署管理器705可取回所存储的经加密的简档。部署管理器705可将该简档与关于要被供应的eUICC530的信息一起安全地传送给订阅路由器420。部署管理器705可删除简档的本地副本并且更新简档元数据以包括该简档的eUICC 530。订阅路由器420可验证附加到该简档的签名是否匹配订阅生成器440或其自己的签名。订阅路由器420可验证其是否识别了简档的身份。订阅路由器420可用eUICC 530来开始供应会话。订阅路由器420可随后使用私钥来解密该简档。订阅路由器420可解序列化外部表示并将简档安全地传送给eUICC 530。
在一些情况下,当简档驻留在eUICC 530上时,简档内的状态可能改变。因而对于部署管理器705或订阅路由器420而言保留经加密的副本供将来使用可能是不够的。在一些实施例中,当简档被从设备中移除时,简档的当前状态可被取回。在一个实施例中,简档的当前状态的取回可用以下操作来完成。部署管理器705可接收来自企业服务器的从特定eUICC中移除简档的请求。部署管理器705可从简档元数据中取回订阅路由器420的信息并请求订阅路由器420取回简档。订阅路由器420可用eUICC 530来开始供应会话。订阅路由器420可取回简档的当前状态并且订阅路由器420可从eUICC 530中删除该简档。订阅生成器420可使用当前简档的公钥来加密该简档,以及用其自己的证书来签署经加密的简档。订阅生成器420可将随后经加密的简档发送给部署管理器705,部署管理器705可验证该简档的签名。部署管理器705可验证该简档的身份并且存储经加密的简档。部署管理器705可在其数据库中更新该简档的元数据以指示其保持了简档数据并且没有当前eUICC。
图10描绘了用于基于策略的订阅凭证选择的示例系统。在一个实施例中,图10的示例系统包括用户装备设备上的本地策略代理755,其被配置成基于当前设备情况、用户输入、用户创立的策略、设备所有者、以及移动运营商及其它信息来在多个订阅之间进行选择。本地策略代理755可由企业策略管理器725远程地配置。本地策略代理755还可被称作为本地订阅管理器。
在一些实施例中,本地策略代理755可被配置成充当事件驱动的组件。本地策略代理755可包含例如由位于策略存储1002中的一组策略规则来驱动的规则引擎。策略存储1002可以实现在数据库、文件、注册表等中。本地策略代理755可进一步从调制解调器(例如,在Windows上,经由移动宽带接口)和/或从操作系统中的各个其它组件接收状态输入。
UICC控制器1010可被配置成执行订阅选择功能。例如,在双插槽设备或多调制解调器设备的情况下,UICC控制器1010可在选定卡上启用蜂窝数据并在其它卡上禁用蜂窝数据。这种情况中的UICC控制器1010可限制用户手动推翻这一选择。在eUICC的情况下,在一个实施例中,UICC控制器1010可通过启用eUICC 530上所选择的eUICC简档510来实现。在这种情况下,UICC控制器1010可与eUICC 530安全地通信以枚举其可用的简档510并且在简档之间切换。
本地用户界面768可包括设备终端用户能用来请求活跃订阅中的改变(例如,通过选择所需订阅)的控制面板或其它界面。本地策略代理755可被配置成根据适用的策略来评估请求并且根据适用的策略实现该请求或拒绝该请求。
在一些实施例中,简档状态的改变可经由用户同意来确认。例如,本地策略代理755可确认在使用本地用户界面768时对简档状态的改变。在一个实施例中,用户可在设备被登记用于企业设备管理时授权一总括性的同意,使得不会针对每一次改变来要求用户交互。用户可针对企业简档准予这一同意。在企业所拥有的设备的情况下,用户可隐式地准予该同意作为与企业所拥有的资产的使用有关的更宽的协议的一部分。
在一个实施例中,本地策略代理755可揭露用于表示企业和移动运营商的规则集的分层的命名空间,在一些示例中,命名空间可被实现为DM树。本地策略代理755还可为命名空间提供配置接口(例如,DM配置服务提供商插件),该配置接口与设备上的设备管理客户端协同使用。实现DM协议且被配置成与策略命名空间交互的远程管理系统可被允许管理设备,诸如举例而言,图7的企业策略管理器725。
图11例示了根据本公开的用于供应简档的示例操作规程。在一个实施例中,操作规程可被实现在包括一个或多个计算设备的系统中。计算设备可具有其上已存储了计算机可执行指令的存储器,计算机可执行指令在被执行时使得系统执行所描述的操作。参考图11,操作1100开始操作过程。操作1100可随后接着操作1102。操作1102例示了接收一个或多个服务订阅。例如,MNO 320可委托订阅并将订阅提供给企业服务器354,企业服务器354可本地地存储简档直到它们被部署和激活。在其它实施例中,订阅凭证可被生成并存储在移动网络运营商服务器上,并且企业服务器354可确定哪些设备要被供应。
操作1102可随后接着操作1104。操作1104例示了选择可用的简档用于分配给企业设备。例如,简档510可被选择用于分配给具有凭证设备358的UE 356。操作1104可随后接着操作1106。操作1106例示了将简档发送给企业设备。例如,简档510可被安装在UE 356上,包括软件、策略、以及其它配置信息。操作1106可随后接着操作1108。操作1108例示了激活简档。操作1108可随后接着操作1110。操作1110例示了对简档应用一个或多个策略。例如,企业310可应用与UE 356连接企业资源的能力有关的特定策略规则。
图12例示了用于由运营企业服务器的企业来管理多个移动通信设备的操作过程的示例。移动通信设备可被配置成在由移动网络运营商运营的移动通信网络上通信。在一个实施例中,操作过程可被实现在一系统中,该系统包括其上存储了指令的存储器,指令在由系统的处理器执行时使得系统执行各操作。参考图12,操作过程可包括操作1202、1204、以及1206。操作1200开始操作过程。操作1200可随后接着操作1202。操作1202例示了接收指示多个移动通信设备的身份的数据。
操作1202可随后接着操作1204。操作1204例示了接收指示订阅凭证的多个标识符,这些订阅凭证可用于允许经由移动通信网络访问移动网络运营商的订阅服务。在一个实施例中,对订阅凭证的部署的控制可由移动网络运营商委托给计算设备。在一个实施例中,对部署的控制可包括由企业服务器从移动网络运营商接收与标识符相关联的订阅凭证。在一些实施例中,对部署的控制可包括允许企业服务器在移动网络运营商服务器上创建凭证,并将凭证从移动网络运营商服务器发送给企业服务器。在其它实施例中,订阅凭证可在移动网络运营商服务器上生成。
在一些实施例中,可通过将选定简档从企业服务器发送到选定的移动通信设备的凭证设备来供应选定的移动通信设备。
操作1204可随后接着操作1206。操作1206例示了选择多个移动通信设备中的哪些要被允许访问移动网络运营商的订阅服务。对订阅服务的访问可通过为选定的移动通信设备供应订阅凭证来被允许。在一些实施例中,确定多个移动通信设备中的哪些要被供应可包括确定订阅凭证要在何时及何处被激活、停用、以及从选定的移动通信设备移除。可通过将选定简档从企业服务器发送到选定的移动通信设备的凭证设备来供应选定的移动通信设备。在一些实施例中,这一功能的各个方面可被实现在图7中描绘的部署管理器705中。
操作1206可随后接着操作1208。操作1208例示了供应被确定的移动通信设备。在一个实施例中,将订阅凭证传送给选定的移动设备的过程可被发起。
在一个实施例中,企业服务器可被配置成经由凭证控制接口来确定凭证的供应。凭证控制接口可被附加地配置成指示哪些凭证应该被供应还是被从选定的移动通信设备移除。在一个实施例中,凭证控制接口可对应于图3中的接口312。
在一些实施例中,凭证设备可包括可移除设备,该可移除设备被配置成其上存储有一个或多个简档并且被配置成被电子地供应订阅凭证。在其它实施例中,凭证设备可包括软件容器,该软件容器被配置成其上存储有一个或多个简档并且被配置成被电子地供应订阅凭证。
在一些实施例中,业务服务端口可被实例化。业务服务端口可被配置成允许用户选择、购买、取消、或配置订阅以供经由移动通信网络来访问移动网络运营商的订阅服务。
在一些实施例中,一个或多个简档可使用公钥/私钥对来加密。在一个示例中,订阅生成器可被允许访问公钥/私钥对中的公钥。另外,订阅路由器可被允许访问公钥/私钥对中的私钥。此外,企业服务器可被配置成验证简档的签名而无需访问简档的内容。
图13是在其中可实现本文描述的一些技术的示例通用计算环境。计算系统环境12只是合适的计算环境的一个示例,并且不旨在对当前公开的主题的使用范围或功能提出任何限制。也不应该将计算环境12解释为对示例操作环境12中示出的任一组件或其组合有任何依赖性或要求。在某些实施例中,所描绘的各种计算元素可包括被配置成实例化本发明的各具体方面的电路。例如,本公开中使用的术语电路可包括被配置成通过固件或开关来执行功能的专用硬件组件。其他示例实施例中,术语电路可包括由实施可用于执行功能的逻辑的软件指令配置的通用处理单元、存储器等。在电路包括硬件和软件的组合的示例实施例中,实施者可以编写体现逻辑的源代码,且源代码可以被编译为可以由通用处理单元处理的机器可读代码。因为本领域技术人员可以明白现有技术已经进化到硬件、软件或硬件/软件组合之间几乎没有差别的地步,因而选择硬件或是软件来实现具体功能是留给实现者的设计选择。更具体地,本领域技术人员可以明白软件进程可被变换成等价的硬件结构,而硬件结构本身可被变换成等价的软件进程。由此,对于硬件实现还是软件实现的选择是设计选择之一并留给实现者。
计算机141通常包括各种计算机可读介质。计算机可读介质可以是能由计算机141访问的任何可用介质,而且包含易失性和非易失性介质、可移动和不可移动介质。系统存储器122包括易失性和/或非易失性存储器形式的计算机可读存储介质,如只读存储器(ROM)123和随机存取存储器(RAM)160。包含诸如在启动期间帮助在计算机141内的元件之间传输信息的基本例程的基本输入/输出系统124(BIOS)通常存储在ROM 123中。RAM 160通常包含处理单元159可立即访问和/或当前正在操作的数据和/或程序模块。作为示例而非限制,图13示出了操作系统125、应用程序126、其他程序模块127和程序数据128。
计算机141也可以包括其他可移动/不可移动、易失性/非易失性计算机存储介质。仅作为示例,图13示出了从不可移动、非易失性磁介质中读取或向其写入的硬盘驱动器138,从可移动、非易失性磁盘154中读取或向其写入的磁盘驱动器139,以及从诸如CD ROM或其他光学介质等可移动、非易失性光盘153中读取或向其写入的光盘驱动器14。可以在该示例操作环境中使用的其它可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于,磁带盒、闪存卡、数字多功能盘、数字录像带、固态RAM、固态ROM等等。硬盘驱动器138通常由例如接口134之类的不可移除存储器接口连接至系统总线121,而磁盘驱动器139和光盘驱动器14通常由例如接口135之类的可移除存储器接口连接至系统总线121。
以上讨论并在图13中示出的驱动器及其相关联的计算机存储介质为计算机141提供了对计算机可读指令、数据结构、程序模块和其他数据的存储。在图13中,例如,硬盘驱动器138被示为存储操作系统158、应用程序157、其他程序模块156和程序数据155。注意,这些组件可与操作系统125、应用程序126、其他程序模块127和程序数据128相同,也可与它们不同。在此操作系统158、应用程序157、其他程序模块156以及程序数据155被给予了不同的编号,以至少说明它们是不同的副本。用户可以通过输入设备,例如键盘151和定点设备152(通常称为鼠标、跟踪球或触摸垫)向计算机141输入命令和信息。其他输入设备(未示出)可包括话筒、操纵杆、游戏手柄、圆盘式卫星天线、扫描仪等。这些以及其他输入设备通常通过耦合到系统总线的用户输入接口136连接到处理单元159,但也可通过诸如并行端口、游戏端口或通用串行总线(USB)之类的其他接口和总线结构来连接。监视器142或其他类型的显示设备也经由诸如视频接口132之类的接口连接至系统总线121。除监视器之外,计算机还可包括可以通过输出外围接口133连接的诸如扬声器144和打印机143之类的其他外围输出设备。
计算机141可使用到一个或多个远程计算机(诸如,远程计算机146)的逻辑连接而在联网环境中操作。远程计算机146可以是个人计算机、服务器、路由器、网络PC、对等设备或其他常见网络节点,并且通常包括许多或所有以上相对计算机141所描述的元件,但在图13中仅示出了存储器存储设备147。图13中所描绘的逻辑连接包括局域网(LAN)145和广域网(WAN)149,但还可包括其他网络。此类联网环境在办公室、企业范围的计算机网络、内联网和互联网中是常见的。
当在LAN联网环境中使用时,计算机141通过网络接口或适配器137连接到LAN145。当在WAN联网环境中使用时,计算机141通常包括调制解调器15或用于通过诸如因特网等WAN 149建立通信的其他手段。调制解调器15可以是内置的或外置的,可经由用户输入接口136或其他适当的机制连接到系统总线121。在联网环境中,相关于计算机141所示的程序模块或其部分可被储存在远程存储器存储设备中。作为示例而非限制,图13示出了远程应用程序148驻留在存储器设备147上。应当理解,所示的网络连接是示例性的,并且可使用在计算机之间建立通信链路的其他手段。
以上章节中描述的过程、方法以及算法中的每一个可被全部或部分自动地实例化在由一个或多个计算机或计算机处理器执行的代码模块中。代码模块可被存储在任意类型的非瞬态计算机可读介质或计算机存储设备上,诸如硬盘、固态存储器、和/或光盘等。过程和算法可被部分或全部地以专用电路来实现。所公开的过程和过程步骤的结果可被持久地或以其它方式存储在任意类型的非瞬态计算机存储中,诸如举例而言易失性或非易失性存储。
以上所描述的各特征和过程可被彼此独立地私钥,或以各种方式被组合。所有可能的组合和子组合被预期落在本公开的范围内。另外,在一些实现中,某些方法或过程块可被省略。本文描述的方法和过程也不被限于任何特定的顺序,并且各个块以及与其有关的状态可以适当的其它顺序来执行。例如,所描述的块或状态可以不同于具体公开的顺序来执行,或者多个块或状态可被组合成单个的块或状态。示例块或状态可被顺序地、并行地或以其它形式来执行。块或状态可相对于所公开的示例实施例被添加或移除。本文描述的示例系统和组件可被与所描述地不同地配置。例如,相对于所公开的示例实施例,各元素可被添加、移除或重新排列。
还将理解,各个项被例示为在被使用是被存储在存储器或存储中,并且存储器管理和数据完整性的目的,这些项目或其部分可在存储器和其它存储设备之间转移。替代地,在其它实施例中,软件模块和/或系统的一些或全部可在另一设备上的存储器中执行并且经由跨计算机通信与所例示的计算系统通信。此外,在一些实施例中,系统和/或模块的一些或全部可以其它方式被实现或提供,诸如至少部分地以固件和/或硬件的形式,硬件包括但不限于专用集成电路(ASIC)、标准集成电路、控制器(例如,通过执行恰当的指令、并且包括微控制器和/或嵌入式控制器)、现场可编程门阵列(FPGA)、复杂可编程逻辑器件(CPLD)等。模块、系统和数据结构中的一些或全部还可被存储(例如作为软件指令或结构化数据)在计算机可读介质上,诸如硬盘、存储器、网络或便携式介质产品以供恰当的驱动器或经由恰当的连接来读取。系统、模块和数据结构还可被作为各种各样的计算机可读传输介质上的生成的数据信号(例如,作为载波或其它模拟或数字传播信号的一部分)来传送,计算机可读传输介质包括基于无线和基于有线/线缆的介质,并且可采用各种形式(例如,作为单个或复用的模拟信号的一部分,或者作为多个离散数字分组或帧)。在其它实施例中,这类计算机程序产品还可采用其它形式。因此,本公开可以其它计算机系统配置来实现。
除非另外具体声明,否则在如所使用的上下文中可以理解的,本文使用的条件语言(诸如“能”、“能够”、“可能”或“可以”)一般意图表达特定实施例包括而其他实施例不包括特定特征、元素和/或步骤。因此,这样的条件语言一般并非旨在暗示对于一个或多个实施例需要特征、元素和/或步骤,或者一个或多个实施例必然包括用于决定的逻辑、具有或不具有用户输入或提示、在任何特定实施例中是否要包括或要执行这些特征、元素和/或步骤。术语“包括”、“包含”、“具有”等是同义词并且被以开放形式包括性使用,而不排除其它元素、特征、动作、操作等等。此外,术语“或”被以其包括含义来使用(而不是以其排除含义),使得当被使用时,例如用于连接一列元素时,术语“或”表示该列表中的元素中的一个、一些或全部。
虽然某些示例实施例已被描述,但是这些实施例是仅作为示例来提供的,而不旨在限制本文公开的发明的范围。因此,前述描述中没有任何旨在暗示任何特定的特征、特性、步骤、模块或块是必需或不可替代的。事实上,本文描述的新的方法和系统可以各种其它形式来实现;此外,本文描述的方法和系统的形式上的各种省略、替换和改变可在不背离本文公开的发明的精神的情况下进行。随附的权利要求及其等同体旨在覆盖这类形式或修改,如将会落在本文公开的发明的某些的范围和精神内的。
Claims (15)
1.一种由运营企业服务器的企业控制多个移动通信设备的方法,所述移动通信设备被配置成在由移动网络运营商运营的移动通信网络上通信,所述方法包括:
由所述企业服务器接收指示多个移动通信设备的身份的数据;
由所述企业服务器接收指示用于允许经由所述移动通信网络访问所述移动网络运营商的订阅服务的订阅凭证的多个标识符,其中对所述订阅凭证的部署的控制被从所述移动网络运营商委托给所述企业服务器;
由所述企业服务器选择所述多个移动通信设备中的哪些要被允许访问所述移动网络运营商的订阅服务;以及
发起将所述订阅凭证传送给所选择的移动设备的过程。
2.如权利要求1所述的方法,其特征在于,所述对所述订阅凭证的部署的控制包括由所述企业服务器从所述移动网络运营商接收与所述标识符相关联的订阅凭证。
3.如权利要求2所述的方法,其特征在于,通过将所选择的简档从所述企业服务器发送到所选择的移动通信设备的凭证设备来供应所选择的移动通信设备。
4.如权利要求1所述的方法,其特征在于:
所述对所述订阅凭证的部署的控制包括允许所述企业服务器在移动网络运营商服务器上创建凭证,并将所述凭证从所述移动网络运营商服务器发送给所述企业服务器;以及
通过将所选择的凭证从所述企业服务器发送到所选择的移动通信设备的凭证设备来供应所选择的移动通信设备。
5.如权利要求1所述的方法,其特征在于:
所述订阅凭证是在所述移动网络运营商服务器上生成的;以及
通过将所选择的订阅凭证从所述移动网络运营商服务器发送到所选择的移动通信设备的凭证设备来供应所选择的移动通信设备。
6.如权利要求1所述的方法,其特征在于,所述企业服务器被配置成经由凭证控制接口来确定所述凭证的供应,并且其中所述凭证控制接口被配置成指示哪些凭证应当被供应或者应当从所选择的移动通信设备移除。
7.如权利要求1所述的方法,其特征在于,所述选择包括确定所述订阅凭证在何时以及在何处被激活、停用、以及从所选择的移动通信设备移除。
8.如权利要求3所述的方法,其特征在于,所述凭证设备包括可移除设备,所述可移除设备被配置成其上存储有一个或多个简档并且被配置成被电子地供应订阅凭证。
9.如权利要求3所述的方法,其特征在于,所述凭证设备包括软件容器,所述软件容器被配置成存储一个或多个简档并且被配置成被电子地供应订阅凭证。
10.如权利要求1所述的方法,其特征在于,进一步包括实例化业务服务端口,所述业务服务端口被配置成允许用户选择、购买、取消、或配置订阅以供经由所述移动通信网络来访问所述移动网络运营商的订阅服务。
11.如权利要求1所述的方法,其特征在于,进一步包括使用公钥/私钥对来加密简档。
12.如权利要求11所述的方法,其特征在于,订阅生成器被允许访问所述公钥/私钥对的公钥,并且订阅路由器被允许访问所述公钥/私钥对的私钥。
13.如权利要求11所述的方法,其特征在于,所述企业服务器被配置成验证简档的签名而无需访问所述简档的内容。
14.一种被配置成控制多个移动通信设备的系统,所述移动通信设备被配置成在由移动网络运营商运营的移动通信网络上通信,所述系统包括:
其上存储有指令的存储器,所述指令在由所述系统的处理器执行时使得所述系统:
接收指示多个移动通信设备的身份的数据;
接收指示用于允许经由所述移动通信网络访问所述移动网络运营商的订阅服务的订阅凭证的多个标识符,其中对所述订阅凭证的部署的控制被从所述移动网络运营商委托给所述系统;
选择所述多个移动通信设备中的哪些要被允许访问所述移动网络运营商的订阅服务;以及
发起将所述订阅凭证传送给所选择的移动设备的过程。
15.一种被配置成控制多个移动通信设备的计算设备,所述多个移动通信设备被配置成在由移动网络运营商运营的移动通信网络上通信,所述计算设备被配置成:
接收指示多个移动通信设备的身份的数据;
接收指示用于允许经由所述移动通信网络访问所述移动网络运营商的订阅服务的订阅凭证的多个标识符,其中对所述订阅凭证的部署的控制被从所述移动网络运营商委托给所述计算设备;
确定所述多个移动通信设备中的哪些要被允许访问所述移动网络运营商的订阅服务;以及
使得所述订阅凭证被传送给所选择的移动设备。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562205457P | 2015-08-14 | 2015-08-14 | |
US62/205,457 | 2015-08-14 | ||
US14/997,395 US20170048251A1 (en) | 2015-08-14 | 2016-01-15 | Mobile operator profile management delegation |
US14/997,395 | 2016-01-15 | ||
PCT/US2016/045088 WO2017030776A1 (en) | 2015-08-14 | 2016-08-02 | Mobile operator profile management delegation |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107925871A true CN107925871A (zh) | 2018-04-17 |
Family
ID=57994542
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680048402.6A Withdrawn CN107925871A (zh) | 2015-08-14 | 2016-08-02 | 移动运营商简档管理委托 |
Country Status (4)
Country | Link |
---|---|
US (3) | US9955353B2 (zh) |
EP (1) | EP3335451A1 (zh) |
CN (1) | CN107925871A (zh) |
WO (1) | WO2017030776A1 (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112005567A (zh) * | 2018-04-25 | 2020-11-27 | 瑞典爱立信有限公司 | 无线通信网络中订阅标识符的管理 |
CN112566050A (zh) * | 2019-09-09 | 2021-03-26 | 苹果公司 | 附件无线设备的蜂窝服务账户转移 |
CN113016204A (zh) * | 2018-11-13 | 2021-06-22 | 微软技术许可有限责任公司 | 经由中继设备的esim简档发现 |
CN113424562A (zh) * | 2019-02-19 | 2021-09-21 | 瑞典爱立信有限公司 | 针对自主装置的安全用户订阅配置文件修改 |
CN113439449A (zh) * | 2019-02-19 | 2021-09-24 | 微软技术许可有限责任公司 | 用于链接esim简档的隐私增强方法 |
CN114097261A (zh) * | 2019-06-24 | 2022-02-25 | 上海诺基亚贝尔股份有限公司 | 网络切片特定凭证的动态分配 |
Families Citing this family (51)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9955353B2 (en) | 2015-08-14 | 2018-04-24 | Microsoft Technology Licensing, Llc | Delegated profile and policy management |
CN109417696B (zh) * | 2016-06-23 | 2021-11-19 | 瑞典爱立信有限公司 | 用于结束订阅的方法和实体 |
US10979890B2 (en) | 2016-09-09 | 2021-04-13 | Ibasis, Inc. | Policy control framework |
US9860736B1 (en) * | 2016-09-30 | 2018-01-02 | Microsoft Technology Licensing, Llc | Providing network resource access based on a purpose identifier |
US10505983B2 (en) * | 2016-11-09 | 2019-12-10 | Airwatch Llc | Enforcing enterprise requirements for devices registered with a registration service |
US10659955B2 (en) * | 2016-12-01 | 2020-05-19 | Samsung Electronics Co., Ltd. | Apparatus and method for installing and managing eSIM profiles |
US10820190B2 (en) | 2017-03-30 | 2020-10-27 | Ibasis, Inc. | eSIM profile switching without SMS |
US10623389B2 (en) * | 2017-05-11 | 2020-04-14 | International Business Machines Corporation | Authenticating a device based on communication patterns in a group of devices |
US10887306B2 (en) | 2017-05-11 | 2021-01-05 | International Business Machines Corporation | Authenticating an unknown device based on relationships with other devices in a group of devices |
US10868836B1 (en) * | 2017-06-07 | 2020-12-15 | Amazon Technologies, Inc. | Dynamic security policy management |
EP3629610B1 (en) * | 2017-06-14 | 2021-07-14 | Huawei Technologies Co., Ltd. | Method and apparatus for managing embedded universal integrated circuit card configuration file |
US10524116B2 (en) | 2017-06-27 | 2019-12-31 | Ibasis, Inc. | Internet of things services architecture |
US10362475B2 (en) | 2017-07-20 | 2019-07-23 | T-Mobile Usa, Inc. | Subscription management service data feeds |
US10368230B2 (en) | 2017-07-20 | 2019-07-30 | T-Mobile Usa, Inc. | Data enhancements for eSIM profile operation callbacks |
US10356604B2 (en) * | 2017-07-20 | 2019-07-16 | T-Mobile Usa, Inc. | eSIM profile reuse for eUICCs |
US10477383B2 (en) * | 2017-07-20 | 2019-11-12 | T-Mobile Usa, Inc. | ESIM profile metadata provisioning |
US10200837B1 (en) | 2017-07-27 | 2019-02-05 | Cisco Technology, Inc. | Remote provisioning of SIMs for enterprises |
EP4171088A1 (en) | 2017-07-28 | 2023-04-26 | Huawei Technologies Co., Ltd. | Method and terminal for updating network access application authentication information |
CN109379738B (zh) * | 2017-08-02 | 2022-08-30 | 威睿公司 | 双sim移动设备的企业移动管理 |
US10021557B1 (en) | 2017-08-18 | 2018-07-10 | Verizon Patent And Licensing Inc. | Universal GUTI for simplified device onboarding |
US9998896B1 (en) * | 2017-08-18 | 2018-06-12 | Verizon Patent And Licensing Inc. | Dedicated APN access using default network access key for profile download |
US11457348B2 (en) | 2017-08-30 | 2022-09-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Sim provisioning |
US10735944B2 (en) * | 2017-09-26 | 2020-08-04 | T-Mobile Usa, Inc. | Framework for eSIM profile management |
KR102424358B1 (ko) * | 2017-11-30 | 2022-07-22 | 삼성전자주식회사 | 통신 서비스를 제공하는 방법 및 전자 장치 |
GB2571294B (en) * | 2018-02-22 | 2020-09-23 | Arm Cloud Services Ltd | System and method for connectivity management |
US10440558B1 (en) * | 2018-04-18 | 2019-10-08 | Giesecke+Devrient Mobile Security America, Inc. | Embedded SIM profile download and management system |
US11436547B2 (en) | 2018-04-23 | 2022-09-06 | Bank Of America Corporation | Wearable device for operational compliance |
ES2871926T3 (es) * | 2018-08-02 | 2021-11-02 | Giesecke Devrient Mobile Security Gmbh | Procedimiento de gestión de perfiles de suscripción, servidor de gestión de suscripciones y UICC |
WO2020032589A1 (en) * | 2018-08-07 | 2020-02-13 | Samsung Electronics Co., Ltd. | Method, apparatus, and system for authorizing remote profile management |
FR3082646A1 (fr) * | 2018-09-18 | 2019-12-20 | Continental Automotive France | Procede de gestion des profils d'abonne de carte esim dans un objet partage |
EP3672300A1 (en) * | 2018-12-21 | 2020-06-24 | Telefonica, S.A. | Portable secure elements for subscription manager roles |
KR102180481B1 (ko) * | 2019-05-03 | 2020-11-18 | 삼성전자주식회사 | 번들 정보를 제공하는 방법 및 장치 |
US20200351651A1 (en) * | 2019-05-03 | 2020-11-05 | Samsung Electronics Co., Ltd. | Method and apparatus for providing bundle information |
US10687204B1 (en) * | 2019-05-20 | 2020-06-16 | T-Mobile Usa, Inc. | Intelligent SIM profile procurement |
EP3767980B1 (en) * | 2019-07-15 | 2021-09-22 | Deutsche Telekom AG | Method for using an in-vehicle system in at least a first and a second country or geographic region within a country, and in-vehicle system |
US10848961B1 (en) * | 2019-11-20 | 2020-11-24 | Giesecke+Devrient Mobile Security Gmbh | Profile download to enterprise mobile radio device |
US11284271B2 (en) | 2019-12-13 | 2022-03-22 | Cisco Technology, Inc. | Extending wireless local guest access to private radio services |
US11444987B2 (en) * | 2020-05-13 | 2022-09-13 | Verizon Patent And Licensing Inc. | Systems and methods for user capability exchange across networks |
US11109220B1 (en) | 2020-05-29 | 2021-08-31 | T-Mobile Usa, Inc. | Enterprise embedded subscriber identification module solutions |
US11310659B2 (en) | 2020-07-10 | 2022-04-19 | Cisco Technology, Inc. | Techniques for provisioning an enterprise electronic subscriber identity module (ESIM) profile for an enterprise user |
US11234132B1 (en) * | 2020-07-23 | 2022-01-25 | Hewlett Packard Enterprise Development Lp | Autonomous device authentication for private network access |
US11785456B2 (en) | 2020-08-18 | 2023-10-10 | Cisco Technology, Inc. | Delivering standalone non-public network (SNPN) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (EAP) |
US20220131847A1 (en) * | 2020-10-26 | 2022-04-28 | Micron Technology, Inc. | Subscription Sharing among a Group of Endpoints having Memory Devices Secured for Reliable Identity Validation |
US11438759B2 (en) * | 2020-12-02 | 2022-09-06 | Verizon Patent And Licensing Inc. | Mobile profile download via null-authenticated communications session |
US11564081B1 (en) | 2021-07-06 | 2023-01-24 | Cisco Technology, Inc. | Auto-update and activation of locale-specific eSIM profile for a global enterprise user |
EP4135372A1 (en) * | 2021-08-12 | 2023-02-15 | Giesecke+Devrient Mobile Security GmbH | Delegated euicc profile management |
US11829740B2 (en) | 2022-01-07 | 2023-11-28 | Dell Products L.P. | System and method for deployment level management of subscription based solutions |
US11888690B2 (en) | 2022-01-07 | 2024-01-30 | Dell Products L.P. | System and method for subscription limitation enforcement in distributed system |
US11947433B2 (en) * | 2022-01-07 | 2024-04-02 | Dell Products L.P. | System and method for subscription based solution management |
US11861577B2 (en) * | 2022-01-07 | 2024-01-02 | Dell Products L.P. | System and method for distributed enforcement of configuration limitations |
US11907153B2 (en) | 2022-01-07 | 2024-02-20 | Dell Products L.P. | System and method for distributed subscription management |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7103772B2 (en) | 2003-05-02 | 2006-09-05 | Giritech A/S | Pervasive, user-centric network security enabled by dynamic datagram switch and an on-demand authentication and encryption scheme through mobile intelligent data carriers |
US9226151B2 (en) * | 2006-04-04 | 2015-12-29 | Jasper Wireless, Inc. | System and method for enabling a wireless device with customer-specific services |
US8516133B2 (en) * | 2008-02-07 | 2013-08-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for mobile device credentialing |
US8151333B2 (en) | 2008-11-24 | 2012-04-03 | Microsoft Corporation | Distributed single sign on technologies including privacy protection and proactive updating |
US9100810B2 (en) * | 2010-10-28 | 2015-08-04 | Apple Inc. | Management systems for multiple access control entities |
US9723481B2 (en) | 2010-10-29 | 2017-08-01 | Apple Inc. | Access data provisioning apparatus and methods |
US9357380B2 (en) | 2011-05-27 | 2016-05-31 | Telefonaktiebolaget Lm Ericsson (Publ) | Subscription module assignment managing server and subscription module assignment managing method |
PL2536095T3 (pl) * | 2011-06-16 | 2016-10-31 | Sposób i system uwierzytelniania dostępu do usługi | |
KR102001869B1 (ko) * | 2011-09-05 | 2019-07-19 | 주식회사 케이티 | eUICC의 프로파일 관리방법 및 그를 이용한 eUICC, eUICC 탑재 단말과, 프로비저닝 방법 및 MNO 변경 방법 |
US20140032733A1 (en) * | 2011-10-11 | 2014-01-30 | Citrix Systems, Inc. | Policy-Based Application Management |
KR101986312B1 (ko) | 2011-11-04 | 2019-06-05 | 주식회사 케이티 | 신뢰관계 형성 방법 및 이를 위한 내장 uⅰcc |
CN103731823B (zh) | 2012-10-15 | 2017-04-12 | 华为终端有限公司 | 签约管理安全路由设备切换的方法及设备 |
US9100175B2 (en) | 2013-11-19 | 2015-08-04 | M2M And Iot Technologies, Llc | Embedded universal integrated circuit card supporting two-factor authentication |
GB2534872A (en) * | 2015-02-02 | 2016-08-10 | Chemring Tech Solutions Ltd | Cellular device policy conflict management |
US9917609B2 (en) * | 2015-07-31 | 2018-03-13 | Blackberry Limited | System and method for automatic detection and enablement of a virtual SIM on a mobile device |
US10033702B2 (en) * | 2015-08-05 | 2018-07-24 | Intralinks, Inc. | Systems and methods of secure data exchange |
US9955353B2 (en) | 2015-08-14 | 2018-04-24 | Microsoft Technology Licensing, Llc | Delegated profile and policy management |
-
2016
- 2016-01-15 US US14/997,430 patent/US9955353B2/en active Active
- 2016-01-15 US US14/997,395 patent/US20170048251A1/en not_active Abandoned
- 2016-08-02 CN CN201680048402.6A patent/CN107925871A/zh not_active Withdrawn
- 2016-08-02 EP EP16751735.8A patent/EP3335451A1/en not_active Withdrawn
- 2016-08-02 WO PCT/US2016/045088 patent/WO2017030776A1/en active Application Filing
-
2018
- 2018-03-01 US US15/909,827 patent/US10362485B2/en active Active
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112005567A (zh) * | 2018-04-25 | 2020-11-27 | 瑞典爱立信有限公司 | 无线通信网络中订阅标识符的管理 |
CN112005567B (zh) * | 2018-04-25 | 2024-04-26 | 瑞典爱立信有限公司 | 无线通信网络中订阅标识符的管理 |
CN113016204A (zh) * | 2018-11-13 | 2021-06-22 | 微软技术许可有限责任公司 | 经由中继设备的esim简档发现 |
CN113424562A (zh) * | 2019-02-19 | 2021-09-21 | 瑞典爱立信有限公司 | 针对自主装置的安全用户订阅配置文件修改 |
CN113439449A (zh) * | 2019-02-19 | 2021-09-24 | 微软技术许可有限责任公司 | 用于链接esim简档的隐私增强方法 |
CN113424562B (zh) * | 2019-02-19 | 2024-03-19 | 瑞典爱立信有限公司 | 针对自主装置的安全用户订阅配置文件修改 |
CN114097261A (zh) * | 2019-06-24 | 2022-02-25 | 上海诺基亚贝尔股份有限公司 | 网络切片特定凭证的动态分配 |
CN112566050A (zh) * | 2019-09-09 | 2021-03-26 | 苹果公司 | 附件无线设备的蜂窝服务账户转移 |
CN112566050B (zh) * | 2019-09-09 | 2022-06-07 | 苹果公司 | 附件无线设备的蜂窝服务账户转移 |
US11463883B2 (en) | 2019-09-09 | 2022-10-04 | Apple Inc. | Cellular service account transfer for accessory wireless devices |
Also Published As
Publication number | Publication date |
---|---|
US10362485B2 (en) | 2019-07-23 |
WO2017030776A1 (en) | 2017-02-23 |
US20170048713A1 (en) | 2017-02-16 |
EP3335451A1 (en) | 2018-06-20 |
US20170048251A1 (en) | 2017-02-16 |
US20180206123A1 (en) | 2018-07-19 |
US9955353B2 (en) | 2018-04-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107925871A (zh) | 移动运营商简档管理委托 | |
US10178242B2 (en) | Enterprise gateway to mobile operator | |
US11429960B2 (en) | Network configuration management for networked client devices using a distributed ledger service | |
US11051159B2 (en) | Management systems for multiple access control entities | |
US11695735B2 (en) | Security management for net worked client devices using a distributed ledger service | |
CN104221347B (zh) | 支持多个访问控制客户端的移动装置和对应的方法 | |
US20220405750A1 (en) | Network configuration management for networked client devices using a distributed ledger service | |
EP2337300B1 (en) | Method of Securely Transferring Services Between Mobile Devices | |
CN103890726B (zh) | 应用程序安装系统 | |
TWI451773B (zh) | 用以分配和儲存電子存取用戶之設備及方法 | |
JP2018136974A (ja) | 統合型モバイル・トラステッド・サービス・マネジャ | |
US20120108295A1 (en) | Access data provisioning apparatus and methods | |
GB2609872A (en) | Security management for networked client devices using a distributed ledger service | |
CN105308560A (zh) | 用于设置简档的方法和装置 | |
CN101005699A (zh) | 管理终端开放平台权限信息的方法和系统 | |
CN103733649A (zh) | 用于多网络系统中的身份管理的方法、设备和计算机程序产品 | |
CN104395909A (zh) | 用于多个服务供应商可信服务管理器和安全元件的接口连接的系统、方法和计算机程序产品 | |
CN103778379B (zh) | 管理设备上的应用执行和数据访问 | |
CN103763370B (zh) | 一种更改移动终端工作区锁屏密码的方法、系统及装置 | |
CN107332817A (zh) | 支持多个访问控制客户端的移动装置和对应的方法 | |
CN105812370B (zh) | 智能卡处理方法、装置及系统 | |
CN114679473B (zh) | 基于分布式数字身份的金融账户治理系统及方法 | |
US9544398B2 (en) | System and methods to store, retrieve, manage, augment and monitor applications on appliances | |
Fridh | eSIM Re-Selling on Mobile App | |
CN116340912A (zh) | 物联网卡相关信息的上链方法、网络设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20180417 |
|
WW01 | Invention patent application withdrawn after publication |