CN108432278A

CN108432278A - 具有多个配置文件并针对验证命令设计的用户身份模块

Info

Publication number: CN108432278A
Application number: CN201680076642.7A
Authority: CN
Inventors: U.休伯; N.尼奇
Original assignee: Quartech Mobile Security LLC
Current assignee: Quartech Mobile Security LLC
Priority date: 2015-12-01
Filing date: 2016-11-30
Publication date: 2018-08-21
Anticipated expiration: 2036-11-30
Also published as: JP2019504530A; EP3384699A1; WO2017092868A1; EP3823330A1; JP6559895B2; US20220014913A1; US11202201B2; EP3384699B1; US20180367992A1; DE102015015734B3; US11716620B2; CN108432278B

Abstract

本发明涉及一种用户身份模块(eUICC)，其包括用于在移动通信网络中使用移动终端的配置文件。该配置文件包括至少一个第一配置文件和至少一个第二配置文件，第二配置文件(Pr1、Pr2)设计为活动配置文件。第一配置文件设计为根配置文件(PrR)，其在用户身份模块处于正常状态时处于不活动状态，并设计为在转换时段期间响应于在用户身份模块处接收的验证命令(AUTHENTICATE)而被激活，所述验证命令是以网络参数(P2)的特定根值针对根配置文件(PrR)专门地参数化的。最初时活动的第二配置文件(Pr1、Pr2)在转换时段期间被去活，并且在转换时段结束后，第一配置文件(PrR)被再次去活，并且第二配置文件(Pr1、Pr2)被再次激活。

Description

具有多个配置文件并针对验证命令设计的用户身份模块

技术领域

本发明涉及一种包括至少两个订阅配置文件并用于接收和处理验证命令AUTHENTICATE的用户身份模块。

为了在网络提供商的移动通信网络中利用智能电话或移动电话等移动终端设备，终端设备包含具有订阅配置文件或简称为配置文件的用户身份模块。订阅配置文件由支持建立、操作和断开移动通信网络中的终端设备的连接的数据集形成，并包括密码验证密钥Ki和国际移动用户识别码IMSI等。用户身份模块可设计为可移除插件式SIM卡(SIM＝用户身份模块)、USIM卡(通用SIM)或UICC(通用集成电路卡)，或者作为固态焊接eUICC(嵌入式UICC)、eSIM或eUSIM。

背景技术

同时，还制造了具有多个订阅配置文件的用户身份模块。为了始终保持终端设备可唯一寻址，优选在任何时候只有一个配置文件处于活动的启用状态。包含在用户身份模块中的其它配置文件处于不活动的禁用状态。

文献"[1]SGP02-Remote-Provisioning-Architecture-for-Embedded-UICC-Technical-Specification-v2.0，2014年10月13日，GSMA"说明了eUICC形式的用户身份模块中的配置文件的配置(或等效的远程维护)。eUICC中的功能可利用由外部服务器(即SubMan安全路由器(SM-SR))发送给eUICC内的授权实体(即发行者安全域根ISD-R(ISD-Root))的命令来实现。由此在eUICC中实现了远程维护的内容。文献[1]的第3章说明了eUICC中的新配置文件P的创建。为此，SM-SR向位于eUICC中的根域ISD-R发送为配置文件P创建发行者安全域ISD-P的命令。根域提示ISD-P的创建(“create”)。ISD-P通过第一密钥集个性化。于是，配置文件数据以及实际配置文件被载入到eUICC中。配置文件可由随后从SM-SR经由根域ISD-R发送至配置文件域ISD-P的“enable”命令激活。根据文献[1]的第5.3.5节的说明，eUICC中的配置文件可利用在eUICC中执行的功能ProfileEnable激活，从而置于(切换为)活动状态。由于Sub Man安全路由器SM-SR向eUICC的安全域ISD-R(ISD-Root)发送相应的命令，因此ProfileEnable功能生效。

为了正常操作，终端设备的用户在用户身份模块中存储了与移动网络运营商的合同以及网络提供商的相应配置文件。正常操作(例如拨打电话、SMS和MMS交换、网上冲浪等)主要经由网络提供商的移动通信网络处理。

在利用终端设备的特殊情况下，例如紧急呼叫(或“eCall”)或制造过程中的设备测试，需要有其它可供选择的订阅参数，而不是用于终端设备在移动通信网络中正常操作的参数。

用于特殊情况的参数存储在单独的备选订阅配置文件中。通常，为了能够利用备选配置文件，必须向用户身份模块发送命令ProfileEnable，以激活备选配置文件。随后该配置文件用于特殊情况下的移动通信网络中的连接。在特殊情况结束之后，必须再向用户身份模块发送命令ProfileEnable，以再次激活用于正常操作的配置文件。因此，每种特殊情况都需要两个ProfileEnable命令来两次切换活动配置文件。

即使在用户身份模块的所有权和所有者彼此不同的情况下，也可能希望有备选配置文件。例如，前一个所有者是终端设备制造商，而后一个所有者是移动网络运营商。

文献"[2]ETSI 102 221v4.16.0，2007-07"是UICC与终端之间通信的接口规范。文献[2]的第11.1.16节中定义了命令AUHTENTICATE，通过该命令，终端在UICC中提示在UICC中从储存在UICC中的秘密信息和终端收到的口令计算了验证值。命令AUHTENTICATE设计为使用第11.1.16.2节中所述的参数(尤其是网络参数P2)来参数化。技术(又称为上下文)可通过用于验证的移动通信网络应服从的网络参数P2声明。根据表11.18的最后一行，网络参数P2的最后五个字节b5b4b3b2b1的某些值作为基准数据(参见图2)。具有网络参数P2中的声明值之一的AUTHENTICATE命令导致对相应上下文的验证，即，对于采用相应技术的移动通信网络的验证。

将来，汽车制造商有义务为其新车配备紧急呼叫系统(eCall或紧急呼叫)，在紧急情况下，安装在汽车内的eUICC或通用M2M模块自动经由移动通信网络输出紧急呼叫。根据具体情况，为紧急呼叫的输出规定了特定的移动通信网络。该移动通信网络无需与汽车车主自己通常使用的移动通信网络相符。

终端设备制造商在制造场所对终端设备进行设备分析测试(针对新制造的设备和已有设备)，以确定可能存在故障的终端设备。对于这种设备分析测试，通过分析设备或分析系统(所谓的测试网络)模拟移动通信网络。利用ETSI 102 221 AUTHENTICATE在被检查的终端设备与模拟测试网络之间进行验证。通常，制造商从用于进行设备分析测试的终端设备移除SIM卡，并将其替换为设计用于在模拟测试网络中进行验证的测试SIM。尤其是，测试SIM包含模拟测试网络已知的验证密钥。对于固态焊接的eUICC，这种SIM卡替换是不可能的。

发明内容

上述的特殊情况(eCall，设备测试)仅仅是暂时的。与此相反，使用ProfileEnable切换配置文件是永久的。本发明的目的是产生一种用户身份模块，该用户身份模块支持仅临时、短暂地激活备选配置文件，并由此实现以较低的工作量进行配置文件切换。

该目的通过如权利要求1所述的用户身份模块实现的。在从属权利要求中提出了本发明的一些有利的实施方式。

如权利要求1的创新性用户身份模块包括用于在移动通信网络中使用移动终端设备的配置文件。该配置文件包括至少一个第一配置文件和至少一个第二配置文件。由此，第二配置文件设计为活动配置文件。用户身份模块设计为接收并处理用网络参数参数化的验证命令，并由此计算由网络参数的网络值确定的移动通信网络的验证数据。所述用户身份模块的特征在于，第一配置文件设计为根配置文件，其在用户身份模块处于正常状态时处于不活动状态，并设计为在响应于在所述用户身份模块处接收到的验证命令的转换时段期间被激活，所述验证命令针对根配置文件专门参数化为具有网络参数的特定根值。在此过程中，在转换时段期间，最初处于活动状态的第二配置文件被去活。在转换时段结束后，第一配置文件被再次去活，而第二配置文件被再次激活。

去活在标准情况下处于活动状态的第二配置文件、激活第一配置文件(即，根配置文件)、以及在转换时段结束后重新激活标准的第二配置文件的操作由专门参数化的验证命令自动实现，而无需主动监视转换时段。通常，为了实现这种效果，需要四个命令，即禁用(DISABLE)第二配置文件，启用(ENABLE)第一配置文件，并在转换时段结束后禁用(DISABLE)第一配置文件，启用(ENABLE)第二配置文件，其中，还必须主动监视转换时段。

因此，根据权利要求1，产生了一种用户身份模块，该用户身份模块支持仅临时、短暂地激活备选配置文件，并由此实现以较低的工作量进行配置文件切换。

例如，特殊情况可能是应经由预定网络输出紧急电话(所谓的eCall或紧急呼叫)的紧急情况，根据具体情况，该网络可能与用于正常操作的网络不同。另一种特殊情况可能是在终端设备的制造期间在终端设备中进行设备测试的情况，其中，应该对终端设备制造商的内部测试网络进行连接，而不是产生连接至移动网络运营商网络的收费连接。另一种特殊情况可能是服务呼叫，其中，终端设备的用户呼叫服务提供商的客户服务服务器，并由此获得服务提供商提供的服务，例如咨询，向终端设备下载软件等。利用本发明的专门参数化的验证命令，活动配置文件在转换时段期间从标准配置文件(第二配置文件)短暂地切换为紧急呼叫网络的紧急呼叫配置文件(eCall配置文件)，或切换为测试网络的测试配置文件，或者切换为服务呼叫的服务配置文件等。

转换时段优选限制在验证命令的处理时间范围之内。因此，一旦处理了专门参数化的验证命令，就会自动地再次激活在标准情况下活动的第一配置文件，并将根配置文件恢复到去活状态。

网络参数的值有以下选项：对于3G网络，P2＝P3G(81)作为网络值；对于2G网络，P2＝P2G(80)作为网络值；对于根配置文件的短暂激活，不同于P2＝P3G和P2＝P2G的值P2＝PR(例如，FF)以及其它网络值(优选不同于其它预先分配的值)作为根值。

可选地，提供APDU命令作为验证命令(尤其是ETSI 102 221所述的AUTHENTICATE命令)，并且参数P2作为参数。

可选地，用户身份模块的所有者(尤其是终端设备制造商)的配置文件可作为第一配置文件，并且用户身份模块的所有者(尤其是网络提供商)的配置文件可作为第二配置文件。

可选地，下列配置文件之一可作为第一配置文件：在紧急情况下用于在紧急呼叫网络中输出紧急呼叫的紧急情况配置文件；用于在测试网络中进行终端设备测试的测试配置文件；用于呼叫服务提供商的服务网络的服务配置文件。

配置文件可选地分别包括验证密钥(例如，Ki)。验证命令可选地用于从当前活动的配置文件的验证密钥计算验证数据。

配置文件可选地分别包括发行者安全域。

可选地，用户身份模块还包括发行者安全域根，该发行者安全域根尤其作为用于在Sub Man安全路由器与用户身份模块之间配置用户身份模块的信道的用户身份模块中的端点。可选地，第一配置文件具有与发行者安全域根相同的发行者安全域。从另一个观点来说，发行者安全域根和整个根配置文件都在用户身份模块中产生。

附图说明

下面将参照附图基于示例性实施方式更详细地说明本发明，在附图中：

图1示出了本发明的一种实施方式的具有三个配置文件的用户身份模块；

图2示出了具有本发明的扩展参数化的ETSI 102 221AUTHENTICATE命令的参数。

具体实施方式

图1示出了本发明的一种实施方式的具有三个配置文件PrR、Pr1、Pr2的用户身份模块eUICC。第一配置文件设计为根配置文件PrR，并包括发行者安全域根ISD R。两个第二配置文件Pr1和Pr2设计为通常的订阅配置文件，并分别包括特定于配置文件的发行者安全域ISD-P1或ISD-P2。在用户身份模块eUICC中还可包含更多的配置文件。配置文件Pr1在图1中是(通常)活动的配置文件，如带圈的A所示。此外，具有发行者安全域根IDS-R的用户身份模块eUICC包含耦合并嵌入的CASD、ECASD，其中存储有用于配置文件下载的证书和密钥。

根配置文件PrR的发行者安全域ISD-R同时是作为用于在Sub Man安全路由器SM-SR和用户身份模块eUICC之间配置用户身份模块的信道的用户身份模块eUICC中的端点的发行者安全域根(ISD-R)。为了配置eUICC，SM-SR向发行者安全域根ISD-R发送常规的配置命令pv。发行者安全域根ISD-R把配置命令pv(在图1中表示为pv')转发至各个配置文件Pr*的发行者安全域ISD-P*。特别是，发行者安全域根ISD-R由此配置了发行者安全域ISD-P1和ISD-P2，以及其本身。发行者安全域ISD-P1、ISD-P2、ISD-R还分别包含配置文件Pr1、Pr2或PrR的验证密钥Ki-1、Ki-2、Ki-R。尤其是，根配置文件PrR因此还包含单独的验证密钥Ki-R，该验证秘钥Ki-R链接在根配置文件PrR中，更确切地说是链接至发行者安全域根ISD-R。

图2示出了具有本发明的扩展参数化的ETSI 102 221AUTHENTICATE命令的参数表。图2的表格的A部分除了示出其它参数之外，还示出了AUTHENTICATE命令的网络参数P2，利用该网络参数能够声明所用的网络技术，并且对于该网络参数，共有八位b8...b3...b1可用。表格的B部分示出了网络参数P2的最后三位b3...b1的常规值。P2的最后三位b3b2b1的编码确定如下。GSM(2G)上下文或技术由值b3b2b1＝000指定。UMTS(3G)上下文或技术由值b3b2b1＝001指定。VGCS/VBS上下文或技术由值b3b2b1＝010指定。GBA上下文或技术由值b3b2b1＝100指定。根据本发明，在AUTHENTICATE命令的处理期间，不采用分配为网络值b3b2b1＝111的值来实现用户身份模块eUICC的永久活动配置文件Pr1(或者，根据实际情况，也可能为Pr2)的活动配置文件向根配置文件PrP的短暂切换。

如果因此具有参数值P2＝**b3b2b1＝**111(**代表对于本发明而言不重要的其它位)的命令AUTHENTICATE到达用户身份模块eUICC，那么发行者安全域根节点ISD-R将正常配置文件Pr1的活动状态转移至根配置文件PrR。于是，用户身份模块eUICC在采用根域R(即，根配置文件PrR)的验证密钥Ki-R的同时计算验证数据。一旦AUTHENTICATE命令的处理完成，活动状态就自动地从根配置文件恢复到常规配置文件Pr1。

现有技术的引用

[1]SGP02-Remote-Provisioning-Architecture-for-Embedded-UICC-Technical-Specification-v2.0，2014年10月13日，GSMA

[2]ETSI 102 221v4.16.0,2007-07

Claims

1.一种用户身份模块(eUICC)，

-包括用于在移动通信网络中使用移动终端的配置文件，其中，该配置文件包括至少一个第一配置文件和至少一个第二配置文件，其中的第二配置文件(Pr1、Pr2)设计为活动配置文件，

-设计为接收并处理用网络参数(P2)参数化的验证命令(AUTHENTICATE)，并由此计算由网络参数(P2)的网络值确定的移动通信网络的验证数据。

其特征在于

第一配置文件设计为根配置文件(PrR)，其在用户身份模块处于正常状态时处于不活动状态，并设计为响应于在用户身份模块处接收的验证命令(AUTHENTICATE)而被激活，所述验证命令是以在转换时段期间待激活的网络参数(P2)的特定根值(FF；b3b2b1＝111；……)针对根配置文件(PrR)专门地参数化的，其中最初时活动的第二配置文件(Pr1、Pr2)在转换时段期间被去活，并且其中在转换时段结束后，第一配置文件(PrR)被再次去活，并且第二配置文件(Pr1、Pr2)被再次激活。

2.如权利要求1所述的用户身份模块，其中，所述转换时段被限制在验证命令的处理时间范围之内。

3.如权利要求1或2所述的用户身份模块，其中，网络参数(P2)的值有以下选项：对于3G网络，P2＝P3G(81)作为网络值；对于2G网络，P2＝P2G(80)作为网络值；对于根配置文件的短暂激活，不同于P2＝P3G和P2＝P2G的值P2＝PR(FF)以及可能其它网络值、优选不同于其它预先分配的值作为根值。

4.如权利要求1至3中任何一项所述的用户身份模块，其中，APDU命令作为验证命令，尤其是ETSI 102 221中所述的AUTHENTICATE命令。

5.如权利要求1至4中任何一项所述的用户身份模块，其中，提供所述用户身份模块的所有者、尤其是终端设备制造商的配置文件作为第一配置文件，并提供所述用户身份模块的所有者、尤其是网络提供商的配置文件作为第二配置文件。

6.如权利要求1至5中任何一项所述的用户身份模块，其中，提供下列配置文件之一作为第一配置文件：在紧急情况下用于在紧急呼叫网络中输出紧急呼叫的紧急情况配置文件；用于在测试网络中进行终端设备测试的测试配置文件；用于呼叫服务提供商的服务网络的服务配置文件。

7.如权利要求1至6中任何一项所述的用户身份模块，其中，所述配置文件(P)分别包括验证密钥(Ki)，并且其中所述验证命令(AUTHENTICATE)设计为用于从当前活动的配置文件(Pr1、Pr2、PrR)的验证密钥(Ki-1、Ki-2、Ki-R)计算验证数据。

8.如权利要求1至7中任何一项所述的用户身份模块，其中，所述配置文件(Pr1、Pr2、PrR)分别包括发行者安全域(ISD-P1、ISD-P2、ISD-R)。

9.如权利要求1至8中任何一项所述的用户身份模块，还包括发行者安全域根(ISD-R)，该ISD-R尤其设计为用于在Sub Man安全路由器(SM-SR)与用户身份模块之间配置用户身份模块的信道的用户身份模块中的端点，其中，第一配置文件具有发行者安全域(ISD-R)，该ISD-R与发行者安全域根(ISD-R)相同。