CN116996876A - 蜂窝服务账户转移和认证 - Google Patents
蜂窝服务账户转移和认证 Download PDFInfo
- Publication number
- CN116996876A CN116996876A CN202310993543.7A CN202310993543A CN116996876A CN 116996876 A CN116996876 A CN 116996876A CN 202310993543 A CN202310993543 A CN 202310993543A CN 116996876 A CN116996876 A CN 116996876A
- Authority
- CN
- China
- Prior art keywords
- target device
- transfer
- mno
- source device
- cellular service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000001413 cellular effect Effects 0.000 title claims abstract description 240
- 238000012546 transfer Methods 0.000 title claims abstract description 222
- 238000000034 method Methods 0.000 claims description 66
- 230000004044 response Effects 0.000 claims description 36
- 238000013475 authorization Methods 0.000 claims description 25
- 238000012795 verification Methods 0.000 claims description 5
- 230000003213 activating effect Effects 0.000 claims 2
- 238000012545 processing Methods 0.000 claims 2
- 238000004891 communication Methods 0.000 abstract description 23
- 230000008569 process Effects 0.000 description 24
- 238000010586 diagram Methods 0.000 description 17
- 230000003993 interaction Effects 0.000 description 16
- 238000003860 storage Methods 0.000 description 11
- 238000007726 management method Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000002452 interceptive effect Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 241000700159 Rattus Species 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/43—Security arrangements using identity modules using shared identity modules, e.g. SIM sharing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/42—Security arrangements using identity modules using virtual identity modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
- H04W8/205—Transfer to or from user equipment or user record carrier
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
Abstract
本公开涉及蜂窝服务账户转移和认证。本文所述的实施方案涉及经由安全本地连接在彼此邻近的两个移动无线设备之间转移凭据,或在该两个移动无线设备彼此不相邻的情况下经由基于网络的云服务转移该凭据。凭据的转移可包括源设备、目标设备和/或一个或多个基于网络的服务器之间的通信,该服务器可包括移动网络运营商(MNO)托管服务器,诸如应用服务器、web表单服务器、认证服务器、配置服务器、订阅管理数据准备(SM‑DP+)服务器、归属用户服务器(HSS)和/或认证服务器,以及第三方托管服务器,诸如云服务服务器和/或识别服务服务器。该认证可至少部分地基于由所述源设备获得并提供给所述目标设备的一个或多个令牌和/或信任标记。
Description
本申请是申请日为2019年10月29日、发明名称为“蜂窝服务账户转移和认证”的中国专利申请201911036926.5的分案申请。
相关申请的交叉引用
本专利申请要求于2018年10月29日提交的标题为“CELLULAR SERVICE ACCOUNTTRANSFER AND AUTHENTICATION”的美国临时申请62/752,298的权益,该文献的内容以引用方式全文并入本文用于所有目的。
技术领域
所述实施例涉及无线通信,包括支持用于蜂窝无线服务的蜂窝服务账户凭据的转移的方法和装置,诸如由用户身份模块(SIM)和/或电子SIM(eSIM)在无线设备之间授权的蜂窝语音和数据服务。
背景技术
使用更新无线电接入技术的下一代(例如第四代(4G和第五代(5G))蜂窝无线网络正在迅速发展并且在全球范围内被网络运营商部署,该技术实施一个或多个第三代合作伙伴项目(3GPP)长期演进(LTE)、高级LTE(LTE-A)和5G标准。更新的蜂窝无线网络为并行的语音和数据提供一系列基于分组的服务。无线设备的用户可以基于配置文件中包括的认证凭据控制的服务订阅,访问由无线网络服务提供商(也称为移动网络运营商(MNO))提供的服务;当包括在可移除通用集成电路卡(UICC)中时,认证凭据也称为用户身份模块(SIM),当包括在无线设备的嵌入式UICC(eUICC)中时,认证凭据也称为SIM卡,或称为电子SIM(eSIM)。利用可移除UICC和解锁的无线设备,用户可通过替换UICC/SIM组合来访问不同的服务。利用可配置eUICC,eSIM可被下载到eUICC以访问不同的无线服务。在eUICC上容纳多个UICC/SIM和/或多个eSIM的无线设备提供由同一无线设备用来访问不同服务的多个用户身份,这些服务包括可跨越使用不同蜂窝无线电接入技术(RAT)的不同蜂窝无线网络的服务。用户可在无线设备之间转移与一个或多个SIM/eSIM相关联的蜂窝服务账户,诸如当在不同无线设备之间进行切换时或在购买和配置新无线设备以替换较旧的无线设备时。需要允许用户在无线设备之间转移与SIM/eSIM相关联的蜂窝服务账户凭据的机制。
发明内容
本专利申请描述了涉及无线通信的各种实施方案,包括支持用于蜂窝无线服务的蜂窝服务凭据的转移的方法和装置,诸如由用户身份模块(SIM)和/或电子SIM(eSIM)在无线设备之间授权的蜂窝语音和数据服务。蜂窝服务凭据的转移可在彼此邻近的两个设备之间进行,例如,这两个设备可经由本地连接安全地连接,诸如经由无线局域网(WPAN)连接,经由无线局域网(WAN)连接,经由对等连接等。蜂窝服务凭据的转移也可以经由基于网络的在线服务(诸如经由服务)发生,其中设备无需彼此邻近。蜂窝服务账户转移和认证过程可至少部分地基于提供授权以使用转移令牌和信任标记进行转移,当两个设备彼此邻近时,转移令牌和信任标记例如经由对等WPAN或WLAN连接直接地提供,或者当两个设备彼此不直接连接时,例如经由基于共享网络的公共云服务账户间接地提。在一些实施方案中,当试图将蜂窝服务凭据转移至目标设备的源设备未能获得转移令牌时,目标设备可以使用质询和响应过程分别向网络服务器例如应用服务器进行认证。成功认证后,目标设备可以使用一个或多个令牌来转移蜂窝服务凭据。在一些实施方案中,信任标记提供对源设备和要转移的蜂窝服务凭据之间的信任关系的指示,以及可用于验证(或重新验证)该信任关系的共享秘密数据(诸如密钥)。在一些实施方案中,从源设备转移蜂窝服务凭据在目标设备的设置过程中发生。在一些实施方案中,源设备向目标设备提供蜂窝服务计划描述和认证数据,用于经由目标设备的用户界面呈现选项,以供选择要转移到目标设备的蜂窝服务计划凭据(如果有的话)。在一些实施方案中,为转移到目标设备的SIM/eSIM建立的信任标记关系也可被转移到目标设备。在一些实施方案中,MNO可能需要与基于网络的服务例如web表单服务器进行交互,以允许将一个或多个蜂窝服务凭据转移到目标设备。
根据结合以举例的方式示出所述实施方案的原理的附图而进行的以下详细描述,本发明的其他方面和优点将变得显而易见。
提供本发明内容仅用于概述一些示例性实施方案的目的,以便提供对本文所述主题的一些方面的基本理解。因此,应当理解,上述特征仅为示例,并且不应解释为以任何方式缩窄本文所描述的主题的范围或实质。本文所描述的主题的其它特征、方面和优点将通过以下具体实施方式、附图和权利要求书而变得显而易见。
附图说明
本公开通过下面结合附图的具体描述将更易于理解,其中类似的附图标记表示类似的结构元件。
图1示出了根据一些实施方案的用于访问蜂窝服务的蜂窝服务账户凭据从源设备到目标设备的示例性转移的图示。
图2A至图2C示出了根据一些实施方案的实现在彼此邻近的源设备和目标设备之间进行蜂窝服务账户凭据的一键模式转移的示例性流程的图示。
图2D示出了根据一些实施方案的在彼此邻近的两个设备之间进行蜂窝服务账户凭据的示例性一键转移的另一个流程图。
图2E示出了根据一些实施方案的用于蜂窝服务账户凭据从源设备到目标设备的一键模式转移的示例性方法的流程图。
图3A示出了根据一些实施方案的用于在两个设备之间转移用于蜂窝服务计划的蜂窝服务账户凭据的一系列示例性用户界面显示的图示。
图3B示出了根据一些实施方案的在源设备和目标设备之间进行蜂窝服务账户凭据的示例性基于网络的云服务账户转移的流程图。
图3C示出了根据一些实施方案的用于在两个设备之间进行蜂窝服务凭据的基于网络的云服务账户转移的示例性方法的流程图。
图4A至图4C示出了根据一些实施方案的使用交互模式将蜂窝服务账户凭据从源设备转移到目标设备的示例性流程的图示。
图5A示出了根据一些实施方案的经由基于网络的云服务在源设备和目标设备之间进行蜂窝服务账户凭据的示例性转移的图示。
图5B至图5D示出了根据一些实施方案的使用交互式模式经由基于网络的云服务进行蜂窝服务账户凭据的示例性转移的图示。
图6A至图6C示出了根据一些实施方案的使用一键模式经由基于网络的云服务来转移蜂窝服务账户凭据的示例性流程的图示。
图7A至图7E示出了根据一些实施方案的使用共享密钥来建立信任并实现设备的蜂窝服务账户凭据到MNO服务器的认证的示例的图示。
图8示出了根据一些实施方案的移动无线设备的示例性元件的框图。
具体实施方式
在该部分描述了根据本申请的方法与装置的代表性应用。提供这些示例仅为了添加上下文并有助于理解所描述的实施方案。因此,对于本领域的技术人员而言将显而易见的是,可在没有这些具体细节中的一些或全部的情况下实践所述实施方案。在其他情况下,为了避免不必要地模糊所述实施方案,未详细描述熟知的处理步骤。其他应用是可能的,使得以下示例不应被当作是限制性的。
在以下详细描述中,参考了形成说明书的一部分的附图,并且在附图中以例示的方式示出了根据所述实施方案的具体实施方案。虽然这些实施方案被描述得足够详细,以使本领域的技术人员能够实践所述实施方案,但是应当理解,这些示例不是限制性的;使得可以使用其他实施方案,并且可以在不脱离所述实施方案的实质和范围的情况下作出修改。
蜂窝无线能力继续被结合到各种各样的电子设备中,包括移动电话、平板电脑、便携式计算机、可穿戴设备、汽车等。此外,用于访问蜂窝无线服务的凭据从可移除的安全卡(也被称为用户身份模块(SIM)卡)进化为包括可在安全系统板上安装并动态更新的电子SIM(eSIM),诸如嵌入式通用集成电路卡(eUICC)。用户可拥有和使用多个不同的电子设备,这些电子设备各自具有蜂窝无线服务能力并且可在多个支持蜂窝的电子设备上寻求重新使用蜂窝服务功能和/或设置。例如,当获取新的支持蜂窝的电子设备时,用户可寻求以尽可能灵活和有效的方式将蜂窝凭据从现有设备转移至新设备。因此,本专利申请描述了可用于移动凭据并适当更新蜂窝移动网络运营商(MNO)服务器的蜂窝服务账户转移和认证过程。
用户可寻求将凭据从第一设备(可被称为源设备)转移到第二设备(可被称为目标设备)。用户可与公共用户账户(例如,由基于网络的云服务(例如,iCloud)维护的AppleID)相关联,并且可使用相同的用户账户来注册源设备和目标设备中的每一者。用户可寻求将凭据从源设备的物理SIM卡(例如,4FF卡)转移到目标设备的eUICC。另选地和/或除此之外,用户可寻求将包括在源设备的eUICC中的eSIM形式的凭据转移到目标设备的eUICC。包括eUICC的设备通常可支持多个eSIM,并且在一些情况下,用户可寻求将一组eSIM从源设备转移到目标设备。一些设备还可包括在设备的eUICC上包括一个或多个可移除SIM卡以及一个或多个eSIM,并且用户可寻求将SIM卡和/或eSIM中的凭据从设备的从eUICC转移到另一设备。
凭据的转移可在彼此邻近的两个设备之间进行,例如,这两个设备可经由本地连接安全地连接,诸如经由无线局域网(WPAN)连接,经由无线局域网(WAN)连接,经由对等连接等。凭据的转移也可以经由基于网络的云服务(诸如经由iCloud服务)发生,其中设备无需彼此邻近。在任一种情况下,凭据的转移可包括源设备、目标设备和/或一个或多个基于网络的服务器之间的通信,该服务器可包括移动网络运营商(MNO)托管服务器,诸如应用服务器、web表单服务器、认证服务器、配置服务器、订阅管理数据准备(SM-DP+)服务器、归属用户服务器(HSS)和/或认证服务器,以及第三方托管服务器,诸如云服务服务器和/或识别服务服务器。
以下参考图1至图8来论述这些实施方案和其他实施方案;然而,本领域的技术人员将容易地理解,本文相对于这些附图的所给出的详细描述仅出于说明性目的并且不应理解为限制性的。
图1示出了当源设备110和目标设备150彼此接近并且能够在目标设备150和源设备110之间建立安全连接时,凭据从源设备110到目标设备150的示例性转移的图示100。在一些实施方案中,源设备110和目标设备150可经由相应用户界面来呈现信息以帮助用户将凭据从源设备110转移到目标设备150。可在目标设备150上提供编码图像,诸如快速响应(QR)代码和/或其动态版本,以用于由源设备110验证目标设备150。当经由源设备110执行的图像扫描(或另一验证机制)的验证成功时,可提供“一键式”蜂窝服务转移选项过程,以便于用户将与特定移动设备电话号码(和/或与特定蜂窝服务账户)相关联的一个或多个凭据从源设备110转移到目标设备150。在一些实施方案中,可将与单个蜂窝服务账户相关联的多个凭据从源设备110转移到目标设备150。在一些实施方案中,可将与特定国际移动用户身份(IMSI)相关联的一个或多个凭据从源设备110转移到目标设备150。在一些实施方案中,可呈现蜂窝服务账户、计划和/或电话号码的列表,用户可从该列表中选择一个或多个项目来从源设备110转移到目标设备150。
图2A、图2B和图2C示出了当源设备110和目标设备150彼此邻近时在源设备110和目标设备150之间实现凭据的一键模式转移的示例性流程的图示200、210、220。在一些实施方案中,凭据的转移可以结合用于目标设备150的初始化过程202发生,或者在目标设备150的初始化完成之后作为单独的过程发生。图2A、2B和2C所示的一键操作允许绕过与由相关联的MNO维护的web表单服务器140的交互以简化转移过程,因为用户不需要回想起MNO进行账户服务管理所需的很少使用(因此容易被忘记)的登录凭据。相反,当源设备110提供有效的信任标记和访问令牌时,MNO服务器(例如,应用服务器130)可授权转移,响应于此,MNO提供具有有限有效性时间段的转移令牌。在204处,可将用于将一个或多个蜂窝服务订阅从源设备110转移到目标设备150的选项呈现给用户以供选择和/或批准。在206处,目标设备150可向源设备110发送请求以转移一个或多个蜂窝服务订阅。在208处,源设备110可向提供有效的访问令牌(源设备110先前已获得)和信任标记(其可提供源设备110和要转移的蜂窝服务账户之间的关系的指示)的应用服务器130发送转移授权请求。在211处,源设备110可从应用服务器130获得转移令牌,该转移令牌具有该转移令牌用于转移所关联的蜂窝服务账户的有限期满时间的指示。在212处,源设备可向目标设备150提供转移令牌和到期时间以及附加数据,以用于请求将蜂窝服务从源设备110转移到目标设备150。示例性数据可包括源设备110的硬件标识符,例如通用集成电路卡(eUICC)标识符(EID)、包括访问令牌的一组令牌、转移令牌、授权密钥协议(AKA)令牌、MNO服务器地址(例如通用资源定位符(URL))或用于为目标设备150获取适当凭据的配置服务器的完全合格域名(FQDN)。源设备110可将数据连同一个或多个令牌一起安全地转移到目标设备150(例如,加密并经由安全连接),所述一个或多个令牌可由目标设备150用来与一个或多个MNO服务器进行验证。在一些实施方案中,源设备110与同相应MNO相关联的多个MNO应用服务器130通信以获得转移令牌,从而将针对不同MNO的一个或多个蜂窝服务订阅转移到目标设备150。源设备110可将从MNO服务器收集的足够信息提供到目标设备150以用于连接(认证),识别要转移的蜂窝服务订阅,并指示将蜂窝服务订阅转移到目标设备150的授权。在一些实施方案中,待转移的凭据可与唯一标识符例如集成电路卡标识符(ICCID)相关联,并且用户可寻求将多个ICCID中的一个或多个的蜂窝服务从源设备110转移到目标设备150,其中这多个ICCID与一个公共MNO和公共用户蜂窝服务订阅账户相关联。在一些实施例方案中,在214处,用户可例如经由到目标设备150的接口来选择与公共用户蜂窝服务订阅账户相关联的一个或多个ICCID,这些ICCID的蜂窝服务被请求转移到目标设备150。(对于不同的MNO,可单独重复该过程以允许同样从多个MNO转移一个或多个ICCID的蜂窝服务;然而,每个不同的MNO可需要其自身独特的一组令牌)。在一些实施方案中,当源设备110无法从应用服务器130获得转移令牌时,可使用质询和响应消息交换来向应用服务器130认证目标设备150。在216处,目标设备150使用AKA令牌和从源设备110获得的转移令牌来向应用服务器130进行认证。在216处,目标设备150还请求使用来自源设备110的电话号码(例如,“旧IMSI”值)和有关ICCID状态将改变的指示来启用推送通知。在216处,目标设备150还向应用服务器130提交请求以将用于一个或多个SIM/eSIM的蜂窝服务从源设备110转移到目标设备150。目标设备150可向应用服务器130提供由源设备110先前从应用服务器130获得的信任标记。在218处,应用服务器130识别目标设备150请求授权来基于所提供的转移令牌和信任标记转移服务。当目标设备150成功地向应用服务器130进行认证时,诸如基于提供有效转移令牌和有效信任标记,在222处,应用服务器130与eSIM(配置)服务器145交接以获得用于目标设备150的蜂窝服务的新ICCID。在224处,应用服务器130还与MNO后端服务器,例如归属用户服务器(HSS)、运营支持系统(OSS)、业务支持系统(BSS)等(缩写为HSS/BSS147)交接,以将目标设备150提供给现有的订阅计划,更新国际移动用户身份(IMSI)以对应于新的ICCID值(用于将安装在目标设备150中的eSIM),并将目标设备150与源设备110先前使用的订阅计划相关联。在226处,应用服务器130更新与推送令牌相关联的IMSI值以对应于目标设备150的IMSI。在228处,应用服务器130向目标设备提供有关认证成功,推送通知已启用,以及SIM/eSIM的蜂窝服务可转移到目标设备150的指示。在228处,应用服务器130可提供用于配置(eSIM)服务器145的网络地址,例如URL或完全合格域名(FQDN),目标设备150m可从该网络地址下载用于访问MNO的蜂窝服务的凭据。在231处,目标设备150随后获得与新的ICCID相关联的有效eSIM并在其eUICC上安装该有效eSIM。在232处,目标设备150可进入扫描(监视器)模式以扫描与所安装的有效eSIM相关联的蜂窝无线网络的接入网络。目标设备150可使用先前安装的载波束中所包含的信息来确定用以执行对接入网络的扫描搜索的射频和其他相关参数。在234处,目标设备150可执行与应用服务器130的可扩展认证协议认证密钥协议(EAP-AKA)过程,并从应用服务器130请求与新ICCID相关联的eSIM的状态。在236处,目标设备150从应用服务器130获得AKA令牌以及有关eSIM处于活动状态的指示。在向应用服务器130进行认证之后,可使用与新ICCID相关联的凭据经由MNO的网络激活目标设备150以使用蜂窝服务。在一些实施方案中,在238处,目标设备150可通知源设备110新的ICCID已被激活,指示蜂窝服务已被转移到目标设备150。在一些实施方案中,在254处,目标设备150通知源设备110先前用于由源设备110进行蜂窝服务访问的旧ICCID现在是不活动的。在一些实施方案中,随后可利用MNO停用源设备110,例如,当在源设备110上未安装和/或激活剩余的有效eSIM或SIM卡时。在一些实施方案中,在260处,当在转移过程之后没有为源设备110安装或激活有效eSIM/SIM时,源设备可禁用基带无线电路。在一些实施方案中,在262处,可基于在尝试连接至MNO(已经针对该MNO成功完成将凭据转移到目标设备150)的蜂窝无线网络的接入网络时发生的错误来禁用源设备110的基带无线电路。图2A、图2B和图2C所示的凭据转移可用于将订阅从源设备110移动至目标设备150而不对订阅进行任何更改。这种转移可由两个设备(源设备110和目标设备150)的用户用于根据需要在它们之间进行交换,交互最少,从而允许ICCID在多个设备之间重新分配和/或重新使用而不会让MNO使ICCID失效。这种高效转移模式实现了基于熟悉的订阅计划对多个设备的灵活使用。在一些实施方案中,重复使用ICCID值。在一些实施方案中,在源设备110处使用的旧ICCID值的蜂窝服务被重新分配至目标设备150处的新ICCID值。
图2D示出了当两个设备(例如,源设备110和目标设备150)彼此接近时在这两个设备之间进行蜂窝服务凭据(例如eSIM)的一键模式转移的另一个流程图230。在步骤1处,源设备110和目标设备150可彼此配对并在它们之间建立安全连接。在步骤2处,源设备110可与MNO网络服务器例如应用服务器130执行转移认证过程。在步骤3处,源设备110可经由在步骤1的接近共享期间建立的安全连接将订阅计划信息和认证数据转移到目标设备150。在步骤4处,目标设备150可例如经由用户界面交互来获得用户同意,以将蜂窝服务计划和相关联的数据安装到目标设备150。在步骤5处,目标设备150可经由与应用服务器130的通信来执行转移。在步骤6处,目标设备150可从MNO配置服务器(例如,订阅管理数据准备平台,也称为SMDP+服务器160)获得适用eSIM(在一些实施方案中也称为配置文件)。在一些实施方案中,MNO可基于由目标设备150提供给MNO服务器的信任标记允许MNO进行凭据转移。在一些实施方案中,与所转移的凭据相关联的订阅计划(eSIM)可由目标设备150的用户配置。
图2E示出了用于蜂窝服务凭据从源设备110到目标设备150的一键模式转移的方法的示例性流程图240。在242处,目标设备150和源设备110经由接近共享特征建立安全连接。在244处,源设备110执行与应用服务器130的转移认证过程并获得认证数据以用于将蜂窝服务凭据转移到目标设备150。在246处,源设备110经由通过接近共享建立的安全连接将蜂窝服务计划描述和认证数据转移到目标设备150。在248处,目标设备150经由用户界面呈现蜂窝服务计划列表并获得用户对将蜂窝服务转移到目标设备150的同意。在250处,在获得用户同意之后,当与待安装的eSIM相关联的MNO经由目标设备150提供的信任标记支持认证/授权时,目标设备150触发将蜂窝服务凭据(eSIM)直接安装到目标设备150。在252处,可选地可以使用SIM/eSIM设置过程经由目标设备150配置蜂窝服务计划。
图3A示出了用于使用基于网络的云服务账户以及与MNO web表单服务器的附加交互在两个设备之间转移用于蜂窝服务计划的蜂窝服务账户凭据的一系列示例性用户界面显示的图示300。用户可经由设置菜单访问用于转移凭据的选项,并且指示要从其转移蜂窝服务计划凭据的设备。在一些实施方案中,可呈现与公共用户账户(例如,Apple iCloud账户)相关联的一组一个或多个设备,用户可从该组设备中选择用来转移一个或多个蜂窝服务计划凭据的设备。在一些实施方案中,图3A中指示的蜂窝服务计划凭据转移可在凭据将转移到的目标设备的初始化已发生之后执行。在一些实施方案中,源设备(从其转移凭据)和目标设备两者均可使用公共用户身份(例如相同的Apple标识符(ID))登录到公共用户账户(例如,Apple iCloud账户)中,并且源设备和转移设备无需彼此邻近。在一些实施方案中,目标设备可发现一组一个或多个相关联的源设备,来自这些源设备的蜂窝服务凭据可以转移到目标设备。在一些实施方案中,目标设备经由与相关联的MNO的web表单服务器通信来授权转移蜂窝服务凭据,例如通过将MNO用户账户凭据输入到用于现有蜂窝服务用户订阅账户的web表单服务器。经由该web表单服务器的认证可与MNO一起使用,而不是如图2A至图2E所述的转移令牌。
图3B示出了用于通过与MNO web表单服务器交互来进行凭据的示例性基于网络的云服务账户转移的流程图310。在步骤1处,源设备110和目标设备150可经由接近共享特征彼此配对并在它们之间建立安全连接。在步骤2处,源设备110可执行与应用服务器130的转移认证过程。在步骤3处,源设备110可经由通过步骤1的接近共享特征建立的安全连接将订阅计划信息和认证数据转移到目标设备150。在步骤4处,目标设备150可例如经由用户界面交互来获得同意,以将蜂窝服务计划和相关联的数据安装到目标设备150。在步骤5处,目标设备150可经由与应用服务器130的通信来执行转移。在步骤6处,可将目标设备150重定向到MNO web表单服务器并且要求用于蜂窝服务用户订阅账户的附加认证凭据,例如登录/密码/安全PIN等,并且在成功验证之后,MNO web表单服务器可向目标设备150提供附加信息,诸如用于订阅蜂窝服务计划的条款和条件等。在步骤7处,目标设备150可从MNO SMDP+服务器160获得适用eSIM(在一些实施方案中也称为配置文件)。在步骤8处,在一些实施方案中,与所转移的凭据相关联的订阅计划(eSIM)可由目标设备150的用户配置。当MNO不支持使用信任标记并且需要用户的单独认证来允许管理与蜂窝服务账户相关联的蜂窝服务时,可以使用图3B所示的流程。
图3C示出了用于蜂窝服务凭据的基于网络的云服务账户转移的示例性方法的流程图320,包括与MNO web表单服务器的交互。在322处,目标设备150和源设备110例如经由接近共享特征建立安全连接。在324处,源设备110执行与MNO服务器(例如,应用服务器130)的转移认证过程,并且从应用服务器130获得认证数据以提供给目标设备150。在326处,源设备110经由通过接近共享特征建立的安全连接将蜂窝服务计划描述和认证数据转移到目标设备150。在328处,目标设备150经由目标设备150的用户界面呈现蜂窝服务器计划列表,并且获得用户对执行一个或多个蜂窝服务凭据的转移的同意。在330处,在获得用户同意之后,目标设备150被重定向至MNO web表单服务器,这要求目标设备150成功地完成认证(登录),并且随后呈现蜂窝服务计划的条款和条件,并且可选地提供附加的(追加销售)蜂窝服务计划信息。在332处,在经由MNO web表单服务器确认之后,目标设备150触发从配置服务器(例如,MNO的SMDP+服务器160)安装凭据/配置文件(eSIM)。在334处,可选地可以使用SIM/eSIM设置过程经由目标设备150的接口配置蜂窝服务计划。
图4A、4B和4C示出了使用交互模式在源设备110和目标设备150之间进行蜂窝服务账户凭据(例如eSIM)的示例性转移的图示400、410、420。交互式值确定是否需要重定向至web表单服务器以完成凭据的转移。在402处,执行设置目标设备150的初始化过程。在404处,可经由目标设备150的输入/输出向用户呈现用以将蜂窝服务订阅计划从相关联的源设备110转移到目标设备150的选项,并且用户可提供指示来导致转移发生。在406处,目标设备150向源设备110发送消息,请求将一个或多个蜂窝服务计划从源设备110转移到目标设备150。源设备110可位于目标设备150附近,并且源设备110和目标设备150之间的通信可采用安全的直接连接。在一些实施方案中,源设备110和目标设备150可各自登录到公共用户账户(例如,Apple iCloud账户)中,并且可经由基于网络的连接进行通信(代替直接接近连接和/或除直接接近连接之外)。在408处,源设备110使用EAP-AKA认证过程向适用的MNO服务器(例如,应用服务器130)进行认证。在一些实施方案中,源设备110提供先前获得的访问令牌和信任标记(后者可能已从第三方服务器或从MNO服务器获得),其中信任标记提供对用户账户和源设备110之间的现有信任关系的指示。在一些实施方案中,应用服务器130至少部分地基于信任标记来确定是否批准对服务变更的请求,例如,将服务从源设备110转移到另一设备,诸如目标设备150。在412处,应用服务器130向源设备110提供认证和密钥协议(AKA)令牌和具有到期时间(指示转移令牌的时间段或期满时间)的转移令牌。在一些实施方案中,源设备110与同相应MNO相关联的多个MNO应用服务器130通信以获得转移令牌,从而将针对不同MNO的一个或多个蜂窝服务订阅转移到目标设备150。源设备110可将从MNO服务器收集的足够信息提供到目标设备150以用于连接(认证),识别要转移的蜂窝服务订阅,并指示将蜂窝服务订阅转移到目标设备150的授权。在414处,源设备110将数据传送至目标设备150以用于蜂窝服务转移。数据可以包括源设备110的唯一标识符(例如,EID值),用于一个或多个蜂窝服务凭据(例如,eSIM)的转移(或潜在地基于随后用户对要转移哪种蜂窝服务凭据的选择来进行转移)的一个或多个ICCID,访问令牌,转移令牌(先前从应用服务器130获得),信任标记,AKA令牌(同样在先前从应用服务器130获得),转移令牌的到期时间指示,一个或多个MNO服务器的网络地址,例如从其将适用的蜂窝服务凭据下载到目标设备150的配置服务器的URL或FQDN。在416处,用户可选择与蜂窝服务计划相关联的一个或多个ICCID以从源设备110转移到目标设备150,诸如经由在目标设备150的I/O上呈现的交互列表。在一些实施方案中,当多个ICCID与相同的MNO和相同的用户蜂窝服务订阅账户相关联时,可选择这多个ICCID。(对于不同的MNO,可单独重复该过程以允许同样从多个MNO转移一个或多个ICCID的蜂窝服务;然而,每个不同的MNO可需要其自身独特的一组令牌)。在一些实施方案中,当源设备110无法从应用服务器130获得转移令牌时,可使用质询和响应消息交换来向应用服务器130认证目标设备150。在418处,目标设备150使用AKA令牌和从源设备110获得的转移令牌来向应用服务器130进行认证。目标设备150还可使用来自源设备110的标识符(例如,源设备110的IMSI值)和要转移的ICCID的状态变化的指示来请求为目标设备启用推送通知。目标设备150还可以向应用服务器130d提交请求以将用于一个或多个SIM/eSIM的蜂窝服务从源设备110转移到目标设备150。目标设备150可向应用服务器130提供由源设备110先前从应用服务器130获得的信任标记。在一些实施方案中,目标设备150提供交互值,该交互值指示可能需要与web表单服务器进行交互来授权将蜂窝服务凭据从源设备110转移到目标设备150。在422处,应用服务器130识别目标设备150请求授权来基于所提供的转移令牌和信任标记转移服务。在424处,应用服务器130基于包括在418处提供的转移SIM/eSIM服务请求中的交互式值来确定是否需要与web表单服务器进行交互。当该交互式值指示需要web表单服务器交互时,执行进一步的步骤以实现SIM/eSIM的转移。在426处,目标设备150与MNO web表单服务器140通信并且提供用于将蜂窝服务从源设备110转移到目标设备150的信息。在430处,web表单服务器140向目标设备150呈现条款和条件信息以及可选地呈现蜂窝服务计划选项。在432处,web表单服务器140与MNO配置服务器(例如eSIM服务器145)通信以获得要配置给目标设备150的eSIM的ICCID值。在434处,web表单服务器140与适当的MNO后端服务器(例如HSS/BSS服务器147)通信以向目标设备150配置适用的蜂窝服务计划订阅。先前分配给源设备110的IMSI值(例如,电话号码)可重新分配给目标设备150并与通要下载到目标设备150的eSIM相关联的新ICCID值相关联。可将要从源设备110转移的蜂窝服务计划应用于后端服务器系统中的目标设备150。在436处,与推送令牌相关联的IMSI可由web表单服务器140更新以对应于目标设备150的适用IMSI。在438处,目标设备150和web表单服务器140执行Javascript回调过程,在440处,该过程向目标设备提供用于从配置服务器(例如,从eSIM服务器145)下载并安装用于一个或多个eSIM(具有ICCID值)的蜂窝服务凭据的信息。在442处,用户可在多个ICCID值中选择要在目标设备150处启用为活动的那一个。例如,用户可下载多个eSIM并选择它们中的哪一个将处于活动状态,其中未选择的eSIM保持不活动状态以供稍后可能的激活和使用。在442处,目标设备150进入监视器模式以扫描用于进行注册以及要预占的蜂窝接入网络。目标设备150可使用先前安装在载波束中的用于目标设备150的信息来以确定用于扫描搜索的无线网络参数。在444处,目标设备150可查询应用服务器130以获得SIM/eSIM的状态(由其ICCID值识别)。当已安装的eSIM被激活时,作为响应,目标设备150可从应用服务器130获得eSIM处于活动状态的指示。在448处,目标设备150可经由接近共享连接或经由基于网络的云服务消息来通知源设备110已安装的eSIM的ICCID是活动的。在一些实施方案中,在450处,目标设备150通知源设备110先前用于由源设备110进行蜂窝服务访问的旧ICCID现在是不活动的。在一些实施方案中,可随后利用MNO停用源设备110,例如,当在源设备110上未安装和/或激活剩余的有效eSIM或SIM卡时。在一些实施方案中,在452处,当在转移过程之后没有为源设备110安装或激活有效eSIM/SIM时,源设备可禁用基带无线电路。在一些实施方案中,在454处,可基于在尝试连接至MNO(已经针对该MNO成功完成将凭据转移到目标设备150)的蜂窝无线网络的接入网络时发生的错误来禁用源设备110的基带无线电路。
图5A示出了经由基于网络的云服务在源设备110和目标设备150之间进行蜂窝服务账户凭据的示例性转移的图示500。在步骤1处,源设备110从应用服务器130获得针对转移的授权。在步骤2处,源设备110和应用服务器130进行交互并且同意允许一个或多个蜂窝服务凭据从源设备110转移到另一设备,例如转移到目标设备150。在步骤3处,源设备110至少部分地基于信任标记来向MNO HSS/BSS147认证蜂窝服务凭据转移。在步骤4A处,源设备110在基于网络的云服务502中转移用于蜂窝服务凭据转移的信息,例如认证令牌和应用服务器130的URL。值得注意的是,步骤1至4A可由源设备110独立于目标设备150的初始化执行,例如,在不知道随后可向其转移蜂窝服务凭据的特定目标设备150的情况下。在步骤4B处,目标设备150可例如经由基于网络的云服务502执行初始化过程。需注意,在一些实施方案中,步骤4B和4A可在时间上分开,其中源设备110将转移信息预加载到云服务502中以供目标设备150稍后检索。这允许在不需要源设备110接近目标设备150的情况下转移蜂窝服务凭据。此外,在一些实施方案中,目标设备150可从基于网络的云服务502检索用于蜂窝服务凭据转移的信息,而无需源设备110被供电或连接到蜂窝无线网络或连接到基于网络的云服务502,因为用于蜂窝服务凭据转移的信息已通过步骤4A的完成实现了存储和准备。在步骤5处,目标设备150从基于网络的云服务502获得认证令牌和应用服务器130的URL。在步骤6处,目标设备150向应用服务器130进行认证以实现蜂窝服务凭据转移。在步骤7处,应用服务器130从MNO HSS/BSS147获得服务账户信息。在步骤8处,目标设备150和应用服务器130交换账户转移信息。在步骤9处,经由目标设备150呈现用于继续或退出账户转移过程的选项。在步骤10处,当账户转移继续(不退出)时,发生向MNO HSS/BSS147进行账户验证和账户转移请求。在步骤11处,HSS/BSS147与SM-DP+160进行交互,以准备将蜂窝服务凭据转移到目标设备150。在步骤12处,MNO HSS/BSS 147向应用服务器130指示激活完成。在步骤13处,目标设备150使用JavaScript回调过程从MNO SM-DP+160获得蜂窝服务凭据(eSIM)。
图5B、图5C和图5D示出了使用交互模式经由基于网络的云服务进行蜂窝服务账户凭据(例如eSIM)的示例性转移的图示510、520、530。源设备110将数据上载至云服务504,诸如唯一的设备/服务标识符、认证令牌、信任标记、URL等以便目标设备150随后检索以继续转移与MNO订阅相关联的蜂窝服务凭据。所示的流程允许使用基于网络的云服务来转移蜂窝服务凭据,这样源设备110和目标设备150不必彼此邻近。转移数据经由基于网络的云服务502而不是经由源设备110和目标设备150之间的直接安全接近连接在源设备110和目标设备150之间传送。在一些实施方案中,交互模式包括经由MNO web表单服务器呈现服务计划订阅信息和/或选项。
在512处,执行设置目标设备150的初始化过程。在514处,可经由目标设备150的输入/输出向用户呈现用以将一个或多个蜂窝服务订阅计划从源设备110转移到目标设备150的选项,并且用户可提供指示来批准转移。在一些实施方案中,在516处,用户可经由源设备110的用户界面(UI)输入来指示批准,以允许蜂窝服务订阅转移到目标设备150。在518处,源设备110执行与应用服务器130的EAP-AKA认证过程并且从应用服务器130请求转移令牌。对转移令牌的请求可包括指示源设备110和用户账户的基于时间的关系的信任标记。在524处,源设备从应用服务器130获得AKA令牌(其随后可被目标设备150用于在寻求转移蜂窝服务凭据时向应用服务器130进行认证)。在524处,源设备还获得具有相关联的到期时间的转移访问令牌,该关联的到期时间限制可使用转移访问令牌的时间。在528处,源设备110将数据上载至基于网络的云服务,例如上载至云服务504,以供另一设备例如供目标设备150进行后续检索用于蜂窝服务凭据转移。上载的数据可包括来自源设备110的标识符(例如EID值、ICCID值)以及用于认证和转移的一个或多个令牌、信任标记、网络地址(例如配置服务器的URL和/或FQDN)等。在一些实施方案中,数据上载到云服务504可以先于转移操作,并且用户可以例如通过选择解锁转移开关/设置来预先授权蜂窝服务凭据的将来转移。在一些实施方案中,由源设备110向云服务504上载蜂窝服务凭据转移数据可自动(无需额外的用户同意)实现将蜂窝服务凭据转移到另一设备,例如转移到目标设备150。在526处,目标设备150可经由用户界面提供关于用于向目标设备150转移蜂窝服务订阅(和相关联的凭据)的选项的提示。该提示可至少部分地基于例如经由公共用户账户与目标设备150相关联的源设备110已经预先放置在云服务中的订阅转移信息。在532处,目标设备150可从云服务504获得先前由源设备110上载的蜂窝服务订阅数据以用于帮助将蜂窝服务订阅凭据从源设备110转移到目标设备150。在534处,用户可选择将一个或多个蜂窝服务凭据(其可由相应的ICCID值识别)转移到目标设备150。在一些实施方案中,可在单次转移过程期间转移与不同ICCID值相关联的多个蜂窝服务凭据,其中不同的ICCID值与同一MNO和公共蜂窝服务用户订阅账户相关联。在536处,目标设备150使用例如AKA令牌和经由云服务504获得的转移访问令牌来向应用服务器30进行认证。在536处,通过向应用服务器130提供一个或多个标识符(例如,通过利用源设备110的eUICC的EID和请求其状态的eSIM的ICCID值,向应用服务器130发送对SIM/eSIM状态的请求),目标设备150还获得一个或多个蜂窝服务凭据的状态。在536处,目标设备150还请求将所识别的SIM/eSIM的蜂窝服务凭据从源设备110转移到目标设备150。转移请求可包括源设备110的标识符、目标设备150的标识符、先前获得的转移令牌、信任标记和转移模式。在一些实施方案中,在536处,目标设备150另外请求针对目标设备150启用推送通知,例如通过向应用服务器130提供适当的推送令牌。在538处,应用服务器130至少部分地基于由目标设备150提供的转移令牌和信任标记识别到目标设备150请求(并且被授权)转移蜂窝服务凭据。在540处,应用服务器130基于由目标设备130提供的转移模式值来确定是否需要蜂窝服务计划选择,诸如允许蜂窝服务计划变更或升级以及目标设备150的相关蜂窝服务计划订阅类型。在542处,应用服务器130向目标设备提供有关针对所请求的蜂窝服务计划转移的认证和授权成功的指示,以及MNO的web表单服务器140的指示,目标设备150可利用该指示来进一步认证和授权蜂窝服务凭据的转移。在544处,目标设备150向web表单服务器140提供信息,该信息可包括针对获得自(和/或先前提供给)应用服务器130的蜂窝服务计划转移而获得的数据。在一些实施方案中,作为在544和/或546处的通信的一部分,目标设备150成功地向web表单服务器140提供质询应答,并且web表单服务器140向目标设备150提供适用的蜂窝服务计划选项以及条款和条件的指示。在548处,web表单服务器140从MNO的配置服务器(例如eSIM服务器145)获的一组一个或多个eSIM(具有相关联的ICCID值)以提供给目标设备150。在550处,web表单服务器140还与适用的MNO后端服务器(诸如HSS/BSS147通信),以向目标设备配置更新的蜂窝服务计划选项。在552处,web表单服务器140可针对被转移以对应于目标设备150的蜂窝服务计划来更新IMSI的推送令牌。在554处,目标设备可参与与web表单服务器140的Javascript回调过程以获的MNO配置服务器(例如用于eSIM服务器145)的网络地址,随后在556处从该服务器下载并安装与分配给目标设备150的ICCID值相关联的eSIM。在558处,目标设备150可进入网络监视器模式以扫描用于关联、注册和预占的蜂窝无线网络的接入网络。在一些实施方案中,目标设备150使用先前安装在目标设备150中的载波束中的信息来确定用于接入网络搜索的参数。在560/562处,目标设备150可基于与应用服务器130的通信来确定针对目标设备150激活了蜂窝服务计划。在564处,目标设备150可通知源设备110蜂窝服务计划何时已经由接近共享连接或经由基于网络的云服务消息转移。在一些实施方案中,在566处,目标设备150向源设备110指示转移的蜂窝服务凭据现在对于源设备110是不活动的。
图6A、图6B和图6C示出了使用一键模式基于网络的云服务来转移蜂窝服务账户凭据(例如eSIM)的示例性流程的图示600、610、620。图6A、图6B和图6C所示的过程允许基于目标设备150呈现目标设备150经由基于网络的云服务从源设备110获得的有效认证数据(例如令牌、信任标记等),从而绕过与MNO web表单服务器140的交互。在一些实施方案中,可一次在设备之间(例如从源设备110到目标设备150)转移多个凭据(例如,多个eSIM),而不是分别要求转移和认证每个eSIM。在一些实施方案中,每个凭据/eSIM与唯一的转移令牌相关联,该唯一转移令牌可由目标设备150并行地从基于网络的云服务获得并且一起呈现以允许转移多个eSIM。在602处,执行设置目标设备150的初始化过程。在604处,可经由目标设备150的用户界面将用以将一个或多个蜂窝服务订阅计划从源设备110转移到目标设备150的选项呈现给用户。在606处,可选地,用户可经由源设备110的用户界面来提供指示,以实现将一个或多个蜂窝服务订阅计划转移到目标设备150。在608处,源设备110执行EAP-AKA过程以向应用服务器130进行认证并且从应用服务器130请求转移令牌。在一些实施方案中,源设备110可提供信任标记,该信任标记可用于指示源设备110和用户账户之间的关系,应用服务器130可通过该关系来确定是否批准该请求以向源设备110提供所请求的令牌。信任标记可用于指示对所请求的蜂窝服务凭据转移的授权(或用于针对蜂窝服务凭据的其他管理过程),并且可绕过对蜂窝服务账户在应用服务器130的登录名和密码的惯例要求。在612处,应用服务器130从授权服务器502获得一个或多个转移访问令牌以用于转移一个或多个相关联的蜂窝服务凭据。在614处,应用服务器130利用AKA令牌对源设备进行响应,该AKA令牌可指示源设备110的认证成功,并且可向源设备110提供一个或多个转移访问令牌以及转移访问令牌的到期时间的指示。在618处,源设备110可将所获得的转移访问令牌连同可用于将相关联的蜂窝服务凭据转移到另一个移动无线设备的附加数据上载至基于网络的云服务504。附加数据可包括源设备110的硬件标识符(例如,源设备110中的eUICC的EID),安装在源设备110中的SIM/eSIM的一个或多个ICCID值,信任标记,AKA令牌,网络地址(例如URL和/或FQDN),用于从其获得适用的蜂窝服务凭据(例如eSIM)以下载到另一个移动无线设备的一个或多个网络配置服务器。上载到云服务504的这组数据可被称为订阅数据。在622处,可与公共用户账户(例如,对于基于网络的云服务)相关联的目标设备150可从云服务504检索先前由源设备110上载的全部或部分订阅数据。在一些实施方案中,当源设备110无法获取用于转移蜂窝服务凭据的转移访问令牌时,目标设备150可提供对来自应用服务器130的质询的响应,例如,为蜂窝服务用户账户提供有效的用户登录标识符和密码,以认证并提供对将一个或多个蜂窝服务账户凭据转移到目标设备150的请求的授权。在624处,用户可选择一个或多个蜂窝服务账户凭据(例如,由ICCID值标识)以从源设备110转移至目标设备150。在一些实施方案中,当属于公共MNO和相同蜂窝服务用户订阅账户时,可将多个蜂窝服务凭据转移到目标设备150。在626处,目标设备150使用AKA令牌和从云服务504获得的转移访问令牌来向应用服务器130进行认证。在一些实施方案中,在626处,目标设备150请求针对特定推送令牌(其先前已用于将通知推送到源设备110)启用对目标设备150的推送通知。在一些实施方案中,在626处,目标设备150还请求将用于一个或多个SIM/eSIM的蜂窝账户服务凭据从源设备110转移到目标设备150。转移蜂窝服务账户凭据的请求可包括源设备110和目标设备150的标识符以及用于指示对转移蜂窝服务账户凭据的授权的适用令牌,例如,从云服务504获得的一个或多个转移访问令牌和信任标记。在628处,应用服务器130可至少部分地基于由目标设备150提供的转移访问令牌和信任标记来确定目标设备150是否针对该转移请求被授权。在632处,应用服务器130确定目标设备150的适用的订阅类型以及目标设备150的用户是否需要蜂窝服务计划选项,以便将一个或多个蜂窝服务账户凭据转移到目标设备150。该确定可至少部分地基于在626处由目标设备150向应用服务器130提供的转移请求中的转移模式值。在634处,应用服务器130可从配置服务器(例如eSIM服务器145)获得一组一个或多个蜂窝服务账户凭据(例如具有相关联的ICCID值的eSIM),以用于安装在目标设备150的eUICC上,其中eUICC可由特定的EID值标识。在636处,应用服务器130可与一个或多个网络后端服务器(例如HSS/BSS147)通信,以向目标设备150配置所请求的蜂窝服务账户凭据中的一个或多个的订阅,并且可指示选择蜂窝服务账户订阅计划,其可以是先前选择的计划的升级或更新。在638处,应用服务器130可更新与推送令牌相关联的IMSI值以对应于目标设备150,该目标设备可被重新分配先前分配给源设备110的IMSI值,或者在一些情况下可为不同的IMSI值。在642处,应用服务器130可向目标设备150指示成功认证,并且可指示一个或蜂窝服务凭据成功地转移到目标设备150。需注意,在642处,使用关于目标设备150的一个或多个蜂窝服务凭据的服务的信息来更新内部MNO网络服务器;然而,实际蜂窝服务凭据尚未下载到目标设备150。在642处,应用服务器130还提供信息以帮助目标设备150完成一个或多个蜂窝服务凭据的转移。该信息可包括一个或多个ICCID值,配置服务器的一个或多个网络地址(例如URL和/或FQDN),作为对目标设备150的eUICC的EID值的确认,以及对所请求的已转移蜂窝服务账户凭据的活动状态的指示。在644处,目标设备150从网络配置服务器(例如eSIM服务器145)下载并安装一个或多个蜂窝服务凭据,例如与相应ICCID值相关联的eSIM。在646处,目标设备150进入监视器模式以扫描与之相关联和要预占的蜂窝接入网络。目标设备150可使用先前安装的载波束中包括的射频扫描信息。在预占适用的接入网络之后,在648处,目标设备150可与应用服务器130执行EAP AKA过程并获的蜂窝服务凭据的状态,例如,请求对应于特定ICCID值的SIM/eSIM的状态。在150处,应用服务器652可通过AKA令牌进行响应来指示目标设备150的成功认证并指示所请求的SIM/eSIM状态是活动的。在654处,目标设备150可通知源设备110已转移的蜂窝服务凭据对于目标设备150是活动的。可经由基于接近的直接连接或经由基于网络的云服务来进行通知。在656处,在一些实施方案中,目标设备150将针对源设备110的已转移蜂窝服务凭据的不活动状态通知源设备110。[请提供对步骤658和662的说明。]在664处,当在转移过程之后没有为源设备110安装或激活有效eSIM/SIM时,源设备110可禁用其中所包含的基带无线电路。在一些实施方案中,在666处,可基于在尝试连接至MNO(已经针对该MNO成功完成将凭据转移到目标设备150)的蜂窝无线网络的接入网络时发生的错误来禁用源设备110的基带无线电路。
基于信任的认证
图7A、图7B、图7C、图7D和图7E示出了使用共享密钥(共享秘密数据)建立信任并允许向MNO服务器702(例如,应用服务器130或授权服务器502)认证移动无线设备(例如,源设备110)的SIM/eSIM而无需使用移动服务账户登录名和密码的实例的图示700、710、720、730和740。
如图7A所示,在建立SIM/eSIM与源设备110的关联期间,例如在704处,在源设备110中的SIM/eSIM进行初始设置和与MNO服务器702配对之后,在706处,源设备110和MNO服务器702生成共享秘密数据,在本文中称为共享密钥(SK),诸如基于Diffie-Hellman(DH)密钥交换或其他类似的公共/专用加密方案。在708处,SK可与特定SIM/eSIM相关联,并且因此与特定移动识别号(例如,源设备110的电话号码,也称为IMSI)相关联。在710处,SK可存储在存储源设备110的SIM/eSIM(例如,安全密钥链)的安全元件外部的安全存储装置中。SK还可单独地存储在基于网络的云服务中,例如,存储在iCloud服务器上。自SK建立起的时间端可用作评估源设备110的信任分数的一部分。SK可与质询/响应过程一起使用以验证源设备110是否保留为SIM/eSIM建立的SK。在712处,源设备110可与MNO服务器702通信,该MNO服务器可提供随机数(RAND)质询,源设备110可基于RAND值的散列和先前建立的SK来提供对该质询的响应。在714处,SIM/eSIM可被移除/停用,随后在设备中重新安装/重新激活,并且源设备110可使用重新安装/重新激活的SIM与MNO服务器702配对。源设备110可由MNO服务器702使用先前建立的SK来验证。例如,在718处,MNO服务器702可确定SK是否对由源设备110提供的特定移动标识符(例如,电话号码(IMSI值))有效。当SK值对于该IMSI值有效时,在720处,MNO服务器702可向源设备110发出认证质询,在722处,源设备可至少部分地基于SK利用适当的质询响应进行响应。认证质询和质询响应可证明源设备110具有该SK。当质询通过时,如在724处由MNO服务器702所确定的,在726处,MNO服务器702可确定源设备110保留针对SK和电话号码(IMSI值)的先前建立的信任关系。
如图7B所示,当将蜂窝服务凭据(例如SIM/eSIM)在源设备110盒目标设备150之间转移时,第一设备(例如源设备110)和MNO服务器702之间的信任关系可以被转移到第二设备(例如目标设备150),并且目标设备150可证明具有先前建立的共享密钥(SK)。Sk可存储在源设备110的外部,例如,在为源设备110保留加密信息的基于安全网络的云存储服务中。当与同样与源设备110相关联的公共用户账户相关联(并且被源设备110和目标设备150的用户的允许)时,目标设备150可访问源设备110的密钥链中本地存储(或在云存储服务中远程存储)的SK。例如,当用户允许时,目标设备150可经由基于网络的云服务从源设备110的密钥链获得信息,包括访问用于从源设备110移动到目标设备150的SIM/eSIM的先前建立的SK。作为MNO服务器702用来验证目标设备150的认证质询/响应过程的一部分,目标设备150可证明对SK的持有。当目标设备150可例如基于先前建立的SK成功地对质询作出响应时,MNO服务器702可以信任目标设备150。因此当用于所转移SIM/eSIM的相关联SK也可用于目标设备150时,源设备110的现有信任关系可与SIM/eSIM一起转移到目标设备150。
首先,在704处,源设备110基于蜂窝服务凭据(例如SIM/eSIM)与MNO服务器702配对。随后,在706处,源设备110和MNO服务器使用Diffie-Hellman(DH)密钥交换(或类似的公共/专用加密方案)来生成共享密钥(SK)。SK可安全地存储在源设备110中,例如存储在密钥链中,并且还可安全地存储在基于云的服务中,例如,存储在iCloud账户的密钥链中。在708处,SK可与同源设备110的SIM/eSIM相关联的标识符例如IMSI值(电话号码)配对。源设备110可通过利用适当的质询响应(例如,利用基于RAND和SK的组合的散列值)来响应MNO服务器702在712处提供的随机数(RAND)质询,从而证明对SK的持有。MNO服务器702可基于适当提供的质询响应来确定源设备110继续保留SK,并且至少部分地基于从SK设置到继续证明对SK的持有所经过的持续时间来维持信任关系。在732处,SIM/eSIM可从源设备110移动到目标设备150,其中目标设备150和源设备110与公共用户账户(例如相同的iCloud账户)相关联。在734处,目标设备150可使用从源设备110转移的SIM/eSIM与MNO服务器702配对。在736处,MNO服务器702可确定是否存在用于该SIM/eSIM(及其相关联的电话号码)的有效SK。当确实存在有效SK(具有隐含的信任关系)时,MNO服务器702可确定与SIM/eSIM配对的目标设备150是否也具有该关联SK。在738处,MNO服务器702基于随机(RAND)值向目标设备150发出认证质询。在740处,目标设备150利用质询响应对MNO服务器702作出回答,该质询响应基于RAND值和与用于在734处配对的SIM/eSIM相关联的SK。当MNO服务器702在742处确定该质询响应有效(适当地基于SK)时,MNO服务器702可确定目标设备150具有对应于SIM/eSIM的SK,并且在744处,为该SK建立的信任关系可被保留并与目标设备150相关联。
如图7C所示,当第二设备(例如目标设备150)尝试向MNO服务器702进行认证并且不具有先前建立的SK时,与先前建立的SK相关联的SIM/eSIM的信任关系可以丧失效力。例如,SIM/eSIM可被安装在目标设备150中,其中目标设备150不与同源设备110相同的用户账户相关联。尽管SIM可能对向MNO服务器702进行认证有效,但是目标设备150无法访问SK,因为目标设备150无法(例如,经由基于网络的云服务账户)访问源设备110的安全加密密钥链信息。因此,目标设备150无法成功地对使用来自MNO服务器702的SK的质询进行响应,并且质询/响应过程失败。MNO服务器702可确定SIM/eSIM正被新设备使用并且可要求通过目标设备150建立新的SK。可以将新SK的信任关系设置为零持续时间,并且必须重建信任(基于新SK与SIM/eSIM关联的时间长度)。
首先,在704处,源设备110基于蜂窝服务凭据(例如SIM/eSIM)与MNO服务器702配对。随后,在706处,源设备110和MNO服务器702使用Diffie-Hellman(DH)密钥交换(或类似的公共/专用加密方案)来生成共享密钥(SK)。SK可安全地存储在源设备110中,例如存储在密钥链中,并且还可安全地存储在基于云的服务中,例如,存储在iCloud账户的密钥链中。在708处,SK可与同源设备110的SIM/eSIM相关联的标识符例如IMSI值(电话号码)配对。源设备110可通过利用适当的质询响应(例如,利用基于RAND和SK的组合的散列值)来响应MNO服务器702在712处提供的随机数(RAND)质询,从而证明对SK的持有。MNO服务器702可基于适当提供的质询响应来确定源设备110继续保留SK,并且至少部分地基于从SK设置到继续证明对SK的持有所经过的持续时间来维持信任关系。在752处,SIM/eSIM可从源设备110移动到目标设备150,其中目标设备150和源设备110不与公共用户账户相关联,例如使用不同的iCloud账户或彼此没有形成关系。在150处,目标设备754可使用从源设备110转移的SIM/eSIM与MNO服务器702配对。在756处,MNO服务器702可确定是否存在用于该SIM/eSIM(及其相关联的电话号码)的有效SK。当确实存在有效SK(具有隐含的信任关系)时,MNO服务器702可确定与SIM/eSIM配对的目标设备150是否也具有该关联SK。在758处,MNO服务器702基于随机(RAND)值向目标设备150发出认证质询。在760处,目标设备150向MNO服务器702提供质询响应。由于目标设备150不具有SK,因此当由MNO服务器702在762处检查时,质询响应失败。在764处,MNO服务器702可得出结论,目标设备150不具有的SK与通安装在目标设备150中的SIM/eSIM相关联的电话号码的配对不再有效,并且必须建立新的信任关系。因此,先前SK与SIM/eSIM的电话号码之间的信任关系在764处重置。随后,在766处,目标设备150和MNO服务器702使用Diffie-Hellman(DH)密钥交换(或类似的公共/专用加密方案)生成新的共享密钥(SK),该密钥可安全地存储在目标设备150中(例如,存储在其自身的密钥链中),并且还可安全地存储在基于云的服务中(例如,存储在与目标设备150相关联的iCloud账户的密钥链中)。新SK和电话号码之间的信任关系由MNO服务器702重新启动,并且基于MNO服务器702和目标设备150之间的质询/响应交换来管理,其中目标设备150向MNO服务器702提供对该新SK的持有的证明。
如图7D所示,基于已建立的SK的信任关系可用于利用网络服务器(例如MNO服务器702)验证设备(例如源设备110),以执行某些蜂窝服务管理操作,诸如订阅新的功能或服务或变更源设备110中安装(或待安装)的SIM/eSIM的功能或服务。MNO服务器702可要求源设备110基于使用SK的质询来提供有效响应,以证明源设备110仍然具有SK(并且不只是具有eSIM/SIM)。在允许访问新的/已更改的功能或服务之前,MNO服务器702可基于已建立的SK来重新确认信任关系。
首先,在704处,源设备110基于蜂窝服务凭据(例如SIM/eSIM)与MNO服务器702配对。随后,在706处,源设备110和MNO服务器702使用Diffie-Hellman(DH)密钥交换(或类似的公共/专用加密方案)来生成共享密钥(SK)。SK可安全地存储在源设备110中,例如存储在密钥链中,并且还可安全地存储在基于云的服务中,例如,存储在iCloud账户的密钥链中。在708处,SK可与同源设备110的SIM/eSIM相关联的标识符例如IMSI值(电话号码)配对。源设备110可通过利用适当的质询响应(例如,利用基于RAND和SK的组合的散列值)来响应MNO服务器702在712处提供的随机数(RAND)质询,从而证明对SK的持有。MNO服务器702可基于适当提供的质询响应来确定源设备110继续保留SK,并且至少部分地基于从SK设置到继续证明对SK的持有所经过的持续时间来维持信任关系。在772处,源设备110可向MNO服务器702发送请求以执行对源设备110中已安装(或待安装)的SIM/eSIM的管理操作,例如,以为SIM/eSIM订阅新服务功能。在774处,MNO服务器702可确定是否存在用于该SIM/eSIM(及其相关联的电话号码)的有效SK。当确实存在有效SK(具有隐含的信任关系)时,MNO服务器702可确定先前与SIM/eSIM配对的源设备110是否也具有该关联SK。在776处,MNO服务器702基于随机(RAND)值向源设备110发出认证质询。在778处,源设备110使用所存储的SK向MNO服务器702提供质询响应。在780处,MNO服务器702确认该质询通过,并且在782处,MNO服务器向源设备110提供有关已经为与源设备110的SIM/eSIM相关联的蜂窝服务订阅启动了请求的新功能和/或服务的指示。
如图7E所示,在一些实施方案中,将账户从第一设备(例如源设备110)转移到第二设备(例如目标设备150)可能需要源设备110证明对SK的持有,然后才能允许账户转移到目标设备150。当源设备110可例如通过成功地响应基于先前建立的SK的质询来证明对SK的持有时,MNO服务器702可允许发起将服务、账户、凭据、eSIM、一组eSIM等从源设备110转移到目标设备150。当源设备110无法证明对SK的持有时,例如,不能够成功地响应基于该SK的质询,则MNO服务器702可以不允许将所请求的服务、账户、凭据等转移到目标设备150。
首先,在704处,源设备110基于蜂窝服务凭据(例如SIM/eSIM)与MNO服务器702配对。随后,在706处,源设备110和MNO服务器702使用Diffie-Hellman(DH)密钥交换(或类似的公共/专用加密方案)来生成共享密钥(SK)。SK可安全地存储在源设备110中,例如存储在密钥链中,并且还可安全地存储在基于云的服务中,例如,存储在iCloud账户的密钥链中。在708处,SK可与同源设备110的SIM/eSIM相关联的标识符例如IMSI值(电话号码)配对。源设备110可通过利用适当的质询响应(例如,利用基于RAND和SK的组合的散列值)来响应MNO服务器702在712处提供的随机数(RAND)质询,从而证明对SK的持有。MNO服务器702可基于适当提供的质询响应来确定源设备110继续保留SK,并且至少部分地基于从SK设置到继续证明对SK的持有所经过的持续时间来维持信任关系。在791处,目标设备150可例如经由与源设备110的接近共享连接和/或经由到基于网络的云服务(例如,到iCloud账户)的连接来执行设置过程。目标设备150可直接(或间接)使源设备110在792处发起从源设备110到目标设备150的蜂窝服务账户转移,其中源设备110联系MNO服务器702以发起转移。要转移的蜂窝服务账户可包括SIM/eSIM,源设备110先前利用该SIM/eSIM来与MNO服务器702配对,基于生成和存储的共享密钥(SK)存在针对该SIM/eSIM的信任关系。在793处,MNO服务器702可确定是否存在用于待转移的SIM/eSIM(及其相关联的电话号码)的有效SK。当确实存在有效SK(具有隐含的信任关系)时,MNO服务器702可确定先前使用该SIM/eSIM与MNO服务器702配对的源设备110是否继续具有与该SIM/eSIM关联的SK。在794处,MNO服务器702基于随机(RAND)值向源设备110发出认证质询。在795处,源设备110基于RAND值和SK值向MNO服务器702提供质询响应。在796处,MNO服务器702断定该质询响应有效,并且在798处,MNO服务器向源设备110提供包括SIM/eSIM的蜂窝服务账户将转移到目标设备150的指示。
代表性的示例性装置
图8以框图格式示出了根据一些实施方案,可用于实施本文所述各种部件和技术的示例性计算设备800。具体而言,示例性计算设备800的详细视图示出了可包括在源设备110和/或目标设备150中的各种部件。如图8所示,计算设备800可包括表示用于控制计算设备800的总体操作的微处理器或控制器的处理器802。在一些实施方案中,计算设备800还可包括用户输入设备808,该用户输入设备允许计算设备800的用户与计算设备800进行交互。例如,在一些实施方案中,用户输入设备808可采取多种形式,诸如按钮、小键盘、拨号盘、触摸屏、音频输入接口、视觉/图像捕获输入接口、传感器数据形式的输入等。在一些实施方案中,计算设备800可包括可由处理器802控制以向用户显示信息(例如,与传入、传出或活动通信会话有关的信息)的显示器810(屏幕显示器)。数据总线816能够促进至少存储设备840、处理器802和控制器813之间的数据传输。控制器813能够用于通过设备控制总线814来与不同装置进行交互并对其进行控制。计算设备800还可包括耦接至数据链路812的网络/总线接口811。在无线连接的情况下,网络/总线接口811可包括无线电路,诸如无线收发器和/或基带处理器。计算设备800还可包括安全元件850。安全元件850可包括eUICC和/或UICC。
计算设备800也包括存储设备840,该存储设备可包括单个存储装置或多个存储装置(例如,硬盘驱动器),并包括管理存储设备840内的一个或多个分区的存储管理模块。在一些实施方案中,存储设备840可包括闪存存储器、半导体(固态)存储器等。计算设备800还可包括随机存取存储器(RAM)820和只读存储器(ROM)822。ROM 822可以非易失性方式存储待执行的程序、实用程序或进程。RAM 820可提供易失性数据存储并存储与计算设备800的操作相关的指令。
无线术语
根据本文所述的各种实施方案,术语“无线通信设备”、“无线设备”、“移动设备”、“移动站”、和“用户设备(UE)”在本文中可互换使用,以描述可能够执行与本公开的各种实施方案相关联的过程的一个或多个普通的消费电子设备。根据各种具体实施,这些消费电子设备中的任一种消费电子设备可涉及:蜂窝电话或智能电话、平板电脑、膝上型计算机、笔记本计算机、个人计算机、上网本计算机、媒体播放器设备、电子书设备、设备、可穿戴计算设备、以及具有无限通信能力的任何其他类型的电子计算设备,该无限通信能力可包括经由一种或多种无线通信协议的通信,该无线通信协议诸如用于在以下网络上进行通信的协议:无线广域网(WWAN)、无线城域网(WMAN)、无线局域网(WLAN)、无线个人局域网(WPAN)、近场通信(NFC)、蜂窝无线网络、第四代(4G)LTE、高级LTE(LTE-A),和/或5G或其他当前或将来开发的高级蜂窝无线网络。
在一些实施方案中,无线通信设备还可作为无线通信系统的一部分来操作,该无线通信系统可包括也可被称为站、客户端无线设备、或客户端无线通信设备的一组客户端设备,其被互连到接入点(AP)例如作为WLAN的一部分,和/或彼此互连例如作为WPAN和/或“自组织”无线网络的一部分。在一些实施方案中,客户端设备可为能够经由WLAN技术(例如,根据无线局域网通信协议)来进行通信的任何无线通信设备。在一些实施方案中,WLAN技术可包括Wi-Fi(或更一般地,WLAN)无线通信子系统或无线电部件,该Wi-Fi无线电部件可实施电气电子工程师协会(IEEE)802.11技术,诸如以下中的一种或多种:IEEE 802.11a;IEEE 802.11b;IEEE 802.11g;IEEE 802.11-2007;IEEE 802.11n;IEEE 802.11-2012;IEEE802.11ac;或其他当前或将来开发的IEEE 802.11技术。
另外,应当理解,本文所述的UE可被配置作为还能够经由不同的第三代(3G)和/或第二代(2G)RAT进行通信的多模无线通信设备。在这些情况下,多模UE可被配置为与提供较低数据速率吞吐量的其他3G传统网络相比更偏好附接到提供较快数据速率吞吐量的LTE网络。例如,在一些实施方式中,多模UE可被配置为在LTE和LTE-A网络以其他方式不可用时回退到3G传统网络,例如演进型高速分组接入(HSPA+)网络、或码分多址(CDMA)2000演进-仅数据(EV-DO)网络。
众所周知,使用个人可识别信息应遵循公认为满足或超过维护用户隐私的行业或政府要求的隐私政策和做法。具体地,应管理和处理个人可识别信息数据,以使无意或未经授权的访问或使用的风险最小化,并应当向用户明确说明授权使用的性质。
可单独地或以任何组合使用所述实施方案的各个方面、实施方案、具体实施或特征。可由软件、硬件或硬件与软件的组合来实施所述实施方案的各个方面。所述实施方案还可实施为在非暂态计算机可读介质上的计算机可读代码。非暂态计算机可读介质为可存储数据的任何数据存储设备,该数据之后可由计算机系统读取。非暂态计算机可读介质的示例包括只读存储器、随机存取存储器、CD-ROM、HDD、DVD、磁带和光学数据存储设备。非暂态计算机可读介质也可分布在网络耦接的计算机系统上,使得计算机可读代码以分布方式存储和执行。
为了说明的目的,前述描述使用具体命名以提供对所述实施方案的彻底理解。然而,对于本领域的技术人员而言将显而易见的是,不需要具体细节即可实践所述实施方案。因此,具体实施方案的前述描述被呈现用于例示和描述的目的。前述描述不旨在为穷举性的或将所述的实施方案限制为所公开的精确形式。对于本领域的普通技术人员而言将显而易见的是,鉴于上面的教导内容,许多修改和变型是可能的。
Claims (24)
1.一种用于将蜂窝服务用户订阅信息从源设备到目标设备的转移的方法,所述方法包括:
由所述目标设备:
从云网络服务获取用于与所述蜂窝服务用户订阅相关联的一个或多个电子用户身份模块eSIM的认证数据,
其中:
所述认证数据包括指示在移动网络运营商MNO的蜂窝服务用户账户和所述源设备之间建立的信任关系的信任标记,以及
用于所述一个或多个eSIM的所述认证数据先前已被上载到所述云网络服务;
向MNO的应用服务器发送所述认证数据的包括所述信任标记在内的至少一部分以:
验证所述目标设备,
识别要转移的所述蜂窝服务用户订阅,以及
指示向所述目标设备转移所述蜂窝服务用户订阅的授权;以及
在从所述应用服务器获得转移的授权之后,将所述一个或多个eSIM中的至少一个从MNO的应用服务器下载并且安装到所述目标设备。
2.根据权利要求1所述的方法,其中所述认证数据包括由所述源设备从MNO的应用服务器获取的至少一个转移令牌。
3.权利要求1的方法,进一步包括:
由所述目标设备:
经由所述目标设备的用户界面呈现所述一个或多个eSIM的列表;以及
经由所述目标设备的用户界面获取对所述一个或多个eSIM中的要转移到所述目标设备的至少一个的选择。
4.权利要求1所述的方法,进一步包括:
由所述目标设备:
从MNO的应用服务器接收到MNO的web表单服务器的重定向;以及
基于蜂窝服务用户账户登录名和密码向所述web表单服务器进行认证。
5.根据权利要求1所述的方法,其中所述目标设备和所述源设备与共同的用户账户相关联。
6.根据权利要求5所述的方法,其中所述共同的用户账户与所述云网络服务相关联。
7.根据权利要求1所述的方法,其中所述一个或多个eSIM中的至少一个包括与MNO的共同的蜂窝服务用户账户相关联的至少两个eSIM。
8.根据权利要求1所述的方法,进一步包括:
由所述目标设备:
向第二MNO的第二应用服务器发送所述认证数据的包括第二信任标记的至少一部分以:
认证所述目标设备,
识别要转移的第二蜂窝服务用户订阅,以及
指示将所述第二蜂窝服务用户订阅转移到所述目标设备的授权;以及
在从所述第二应用服务器获得转移的授权后,将所述一个或多个eSIM中的另外的一个或多个eSIM从第二MNO的第二配置服务器下载并且安装到所述目标设备,
其中所述第二信任标记指示在第二MNO的第二蜂窝服务用户账户和所述源设备之间建立的第二信任关系。
9.根据权利要求1所述的方法,进一步包括:
由目标设备:
向所述源设备发送指示所述一个或多个eSIM中的至少一个在所述目标设备上处于活动状态的通知。
10.根据权利要求1所述的方法,进一步包括:
由所述目标设备:
在安装和激活所述一个或多个eSIM中的至少一个的eSIM之后,从所述应用服务器接收验证挑战;以及
使用与所述eSIM相关联的秘钥SK向所述应用服务器提供挑战响应,
其中有效的挑战响应验证SK的信任关系并且将所述信任关系与所述目标设备相关联。
11.一种用于蜂窝服务用户订阅从源设备到目标设备的转移的方法,所述方法包括:
由所述源设备:
经由用户界面输入接收启用与移动网络运营商MNO相关联的蜂窝服务用户订阅的转移的指示;以及
将从MNO的应用服务器获取的认证数据上载到云网络服务以转移与所述蜂窝服务用户订阅相关联的一个或多个电子用户身份模块eSIM,
其中:
所述认证数据包括指示在MNO的蜂窝服务用户账户和所述源设备之间建立的信任关系的信任标记,以及
所述认证数据允许所述目标设备向MNO的应用服务器进行认证并且指示转移所述蜂窝服务用户订阅的授权。
12.根据权利要求11的方法,进一步包括:
由所述源设备:
从MNO的授权服务器获取与所述蜂窝服务用户订阅相关联的一个或多个eSIM中的一个eSIM的转移访问令牌,
其中所述认证数据进一步包括所述eSIM的转移访问令牌。
13.根据权利要求11的方法,进一步包括:
由所述源设备:
接收所述一个或多个eSIM中至少一个eSIM已被转移到所述目标设备的指示。
14.根据权利要求11的方法,进一步包括:
由所述源设备:
基于根据与所述应用服务器共享的秘钥SK向验证挑战提供成功的挑战响应,生成并且保留与MNO的应用服务器的信任关系。
15.一种被配置用于蜂窝服务用户订阅转移的目标设备,所述目标设备包括:
一个或多个天线;以及
与一个或多个天线通信耦合的处理电路,所述处理电路包括与存储指令的存储器通信耦合的至少一个处理器,所述指令在由所述至少一个处理器执行时,将所述目标设备配置为执行包括以下操作的操作:
从云网络服务中获取用于与所述蜂窝服务用户订阅相关联的一个或多个电子用户身份模块eSIM的认证数据,
其中:
所述认证数据包括指示在移动网络运营商MNO的蜂窝服务用户账户和源设备之间建立的信任关系的信任标记,以及
用于所述一个或多个eSIM的认证数据先前已被上载到所述云网络服务;
向MNO的应用服务器发送所述认证数据的包括所述信任标记在内的至少一部分以:
验证所述目标设备,
识别要转移的蜂窝服务用户订阅,并且指示向所述目标设备转移所述蜂窝服务用户订阅的授权;以及
在从应用服务器获得转移的授权后,将所述一个或多个eSIM中的至少一个从MNO的供应服务器下载并且安装到所述目标设备。
16.根据权利要求15所述的目标设备,其中所述认证数据包括所述源设备从MNO的应用服务器获取的至少一个转移令牌。
17.根据权利要求15所述的目标设备,其中所述目标设备进一步配置为执行附加操作,所述附加件操作包括:
经由所述目标设备的用户界面呈现所述一个或多个eSIM的列表;以及
经由所述目标设备的用户界面获取对所述一个或多个eSIM中的要转移到所述目标设备的至少一个的选择。
18.根据权利要求15所述的目标设备,其中所述目标设备进一步被配置为执行附加操作,所述附加件操作包括:
从MNO的应用服务器接收到MNO的web表单服务器的重定向;以及
基于蜂窝服务用户账户登录名和密码向所述web表单服务器进行认证。
19.根据权利要求15所述的目标设备,其中所述目标设备和所述源设备与所述云网络服务的共同的用户账户相关联。
20.根据权利要求15所述的目标设备,其中所述一个或多个eSIM中的至少一个包括与MNO的共同的蜂窝服务用户账户相关联的至少两个eSIM。
21.根据权利要求15所述的目标设备,其中所述目标设备进一步被配置为执行附加操作,所述附加操作包括:
向第二MNO的第二应用服务器发送所述认证数据的包括第二信任标记在内的至少一部分以:
验证所述目标设备,
识别要转移的第二蜂窝服务用户订阅,以及
指示向所述目标设备转移第二蜂窝服务用户订阅的授权;以及
在从所述第二应用服务器获得转移的授权之后,将所述一个或多个eSIM中的另外的一个或多个eSIM从第二MNO的第二供应服务器下载并且安装到所述目标设备,其中所述第二信任标记指示在第二MNO的第二蜂窝服务用户账户与所述源设备之间建立的第二信任关系。
22.根据权利要求15所述的目标设备,其中所述目标设备进一步被配置为执行附加操作,所述附加操作包括:
向所述源设备发送指示所述一个或多个eSIM中的至少一个在所述目标设备上处于活动状态的通知。
23.根据权利要求15所述的目标设备,其中所述目标设备进一步被配置为执行附加操作,所述附加操作包括:
在安装和激活所述一个或多个eSIM中的至少一个eSIM后,从所述应用服务器接收认证挑战;以及
使用与所述eSIM相关联的秘钥SK向所述应用服务器提供挑战响应,
其中有效的挑战响应可验证SK的信任关系,并且将认证信任关系与所述目标设备关联。
24.一种源设备,被配置为执行根据权利要求11至14中任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862752298P | 2018-10-29 | 2018-10-29 | |
| US62/752,298 | 2018-10-29 | ||
| CN201911036926.5A CN111107543B (zh) | 2018-10-29 | 2019-10-29 | 蜂窝服务账户转移和认证 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911036926.5A Division CN111107543B (zh) | 2018-10-29 | 2019-10-29 | 蜂窝服务账户转移和认证 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116996876A true CN116996876A (zh) | 2023-11-03 |
Family
ID=70328845
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310993539.0A Pending CN116996875A (zh) | 2018-10-29 | 2019-10-29 | 蜂窝服务账户转移和认证 |
| CN201911036926.5A Active CN111107543B (zh) | 2018-10-29 | 2019-10-29 | 蜂窝服务账户转移和认证 |
| CN202310993543.7A Pending CN116996876A (zh) | 2018-10-29 | 2019-10-29 | 蜂窝服务账户转移和认证 |
Family Applications Before (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310993539.0A Pending CN116996875A (zh) | 2018-10-29 | 2019-10-29 | 蜂窝服务账户转移和认证 |
| CN201911036926.5A Active CN111107543B (zh) | 2018-10-29 | 2019-10-29 | 蜂窝服务账户转移和认证 |
Country Status (2)
| Country | Link |
|---|---|
| US (3) | US10924921B2 (zh) |
| CN (3) | CN116996875A (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11516649B2 (en) * | 2018-10-29 | 2022-11-29 | Apple Inc. | Mechanism to activate and manage a standalone device for cellular service |
| US10924921B2 (en) | 2018-10-29 | 2021-02-16 | Apple Inc. | Cellular service account transfer and authentication |
| KR102339739B1 (ko) * | 2018-10-30 | 2021-12-16 | 구글 엘엘씨 | 원격 가입자 식별 모듈 |
| US10771943B1 (en) * | 2019-02-19 | 2020-09-08 | Microsoft Technology Licensing, Llc | Privacy-enhanced method for linking an eSIM profile |
| US11129014B2 (en) * | 2019-03-08 | 2021-09-21 | Apple Inc. | Methods and apparatus to manage inactive electronic subscriber identity modules |
| US11070376B2 (en) * | 2019-06-26 | 2021-07-20 | Verizon Patent And Licensing Inc. | Systems and methods for user-based authentication |
| US11463883B2 (en) * | 2019-09-09 | 2022-10-04 | Apple Inc. | Cellular service account transfer for accessory wireless devices |
| KR102651703B1 (ko) * | 2019-10-02 | 2024-03-28 | 삼성전자 주식회사 | 무선 통신 시스템의 SIM Profile을 재설치 하는 방법 및 장치 |
| US11146954B2 (en) * | 2019-10-08 | 2021-10-12 | The Toronto-Dominion Bank | System and method for establishing a trusted session |
| US11115810B1 (en) * | 2020-03-17 | 2021-09-07 | Sprint Communications Company L.P. | Bootstrap electronic subscriber identity module configuration |
| US11277734B2 (en) * | 2020-03-23 | 2022-03-15 | T-Mobile Usa, Inc. | Systems and methods for secure automatic system-network dual-activation |
| US11140543B1 (en) | 2020-05-21 | 2021-10-05 | Sprint Communications Company L.P. | Embedded subscriber identity module (eSIM) profile adaptation based on context |
| US11601817B2 (en) * | 2020-06-19 | 2023-03-07 | Apple Inc. | Postponed eSIM delivery to secondary mobile wireless device for cellular wireless service subscription |
| US11234132B1 (en) * | 2020-07-23 | 2022-01-25 | Hewlett Packard Enterprise Development Lp | Autonomous device authentication for private network access |
| CN114205805A (zh) * | 2020-09-01 | 2022-03-18 | 华为技术有限公司 | 一种迁移配置文件的方法及装置 |
| US11477636B1 (en) | 2020-09-16 | 2022-10-18 | Sprint Communications Company L.P. | Electronic subscriber identity module (eSIM) profile provisioning |
| US11310654B1 (en) | 2020-09-16 | 2022-04-19 | Sprint Communications Company L.P. | Electronic subscriber identity module (eSIM) profile delivery and activation system and methods |
| US11445374B2 (en) * | 2020-11-20 | 2022-09-13 | Verizon Patent And Licensing Inc. | Systems and methods for authenticating a subscriber identity module swap |
| US11641422B2 (en) * | 2021-06-14 | 2023-05-02 | Capital One Services, Llc | Systems and methods for integrated third-party callbacks |
| US20230036680A1 (en) * | 2021-08-02 | 2023-02-02 | Zeronorth, Inc. | Application security posture identifier |
| CN114727275B (zh) * | 2022-03-24 | 2023-12-29 | 西安广和通无线通信有限公司 | 一种处理主动式命令的方法及相关装置 |
| WO2024054497A1 (en) * | 2022-09-06 | 2024-03-14 | Apple Inc. | Cellular onboarding using a communication connection or qr code |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8712474B2 (en) * | 2007-04-20 | 2014-04-29 | Telefonaktiebolaget L M Ericsson (Publ) | Secure soft SIM credential transfer |
| US8913992B2 (en) * | 2010-11-03 | 2014-12-16 | Stephan V. Schell | Methods and apparatus for access data recovery from a malfunctioning device |
| US9009475B2 (en) * | 2011-04-05 | 2015-04-14 | Apple Inc. | Apparatus and methods for storing electronic access clients |
| US8607050B2 (en) * | 2012-04-30 | 2013-12-10 | Oracle International Corporation | Method and system for activation |
| CN103813302B (zh) * | 2012-11-06 | 2017-07-14 | 华为终端有限公司 | 签约转移方法、装置及系统 |
| EP2923478B1 (en) | 2012-11-21 | 2019-08-14 | Apple Inc. | Policy-based techniques for managing access control |
| KR102133450B1 (ko) * | 2013-05-30 | 2020-07-13 | 삼성전자 주식회사 | 프로파일 설정 방법 및 장치 |
| US10470225B2 (en) * | 2014-03-26 | 2019-11-05 | Qualcomm Incorporated | System and method for enhance the user experience of applications for proximity-based peer-to-peer mobile computing |
| KR20150124741A (ko) * | 2014-04-29 | 2015-11-06 | 삼성전자주식회사 | 통신 방법, 전자 장치 및 저장 매체 |
| KR102311027B1 (ko) * | 2014-08-14 | 2021-10-08 | 삼성전자 주식회사 | 그룹단말의 프로파일 설치 방법 |
| EP3634022B1 (en) * | 2014-11-24 | 2021-01-27 | Samsung Electronics Co., Ltd. | Profile downloading in a wearable electronic device trhough a mobile device |
| US9986421B2 (en) * | 2014-12-03 | 2018-05-29 | Verizon Patent And Licensing Inc. | Secure virtual transfer of subscriber credentials |
| US9736229B2 (en) * | 2015-02-17 | 2017-08-15 | Microsoft Technology Licensing, Llc | Device with embedded network subscription and methods |
| EP3340668B1 (en) * | 2015-09-11 | 2019-08-21 | Huawei Technologies Co., Ltd. | Profile processing method, profile processing apparatus, user terminal and euicc |
| KR102552862B1 (ko) * | 2016-07-19 | 2023-07-07 | 삼성전자 주식회사 | 무선통신 시스템에서 통신을 수행하는 방법 및 장치 |
| US10764745B2 (en) * | 2016-10-31 | 2020-09-01 | Huawei Technologies Co., Ltd. | Profile download method and device |
| KR102458790B1 (ko) * | 2017-09-07 | 2022-10-25 | 삼성전자 주식회사 | 무선 통신 시스템에서 디바이스들의 프로파일 이동을 지원하는 방법 및 장치 |
| US10194313B1 (en) * | 2017-09-18 | 2019-01-29 | T-Mobile Usa, Inc. | eSIM profile provisioning between proximate devices |
| US10834170B2 (en) * | 2018-03-19 | 2020-11-10 | Citrix Systems, Inc. | Cloud authenticated offline file sharing |
| US10924921B2 (en) | 2018-10-29 | 2021-02-16 | Apple Inc. | Cellular service account transfer and authentication |
-
2019
- 2019-10-29 US US16/667,617 patent/US10924921B2/en active Active
- 2019-10-29 CN CN202310993539.0A patent/CN116996875A/zh active Pending
- 2019-10-29 CN CN201911036926.5A patent/CN111107543B/zh active Active
- 2019-10-29 CN CN202310993543.7A patent/CN116996876A/zh active Pending
-
2021
- 2021-02-15 US US17/176,167 patent/US11483711B2/en active Active
-
2022
- 2022-10-24 US US18/049,271 patent/US11671833B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN116996875A (zh) | 2023-11-03 |
| CN111107543B (zh) | 2023-08-29 |
| US10924921B2 (en) | 2021-02-16 |
| US20200137566A1 (en) | 2020-04-30 |
| US20210258794A1 (en) | 2021-08-19 |
| US20230075591A1 (en) | 2023-03-09 |
| CN111107543A (zh) | 2020-05-05 |
| US11483711B2 (en) | 2022-10-25 |
| US11671833B2 (en) | 2023-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111107543B (zh) | 蜂窝服务账户转移和认证 | |
| US11463883B2 (en) | Cellular service account transfer for accessory wireless devices | |
| CN111263334B (zh) | 向移动无线设备配置电子用户身份模块 | |
| US11864267B2 (en) | Methods and apparatus for efficient transfer of multiple cellular service credentials | |
| CN110557751B (zh) | 基于服务器信任评估的认证 | |
| WO2019126027A1 (en) | Access network selection | |
| US11012852B2 (en) | Cellular service account transfer error recovery mechanisms | |
| US20230209340A1 (en) | Method and apparatus for transferring network access information between terminals in mobile communication system | |
| US11943624B2 (en) | Electronic subscriber identity module transfer eligibility checking | |
| US11689921B2 (en) | Cellular service management for secondary mobile wireless devices | |
| US20230081421A1 (en) | DIRECT eSIM TRANSFER BETWEEN WIRELESS DEVICES | |
| US20230354040A1 (en) | In-field remote profile management for wireless devices | |
| US20230413035A1 (en) | Cellular wireless service plan transfer between non-linked wireless devices | |
| US20220386104A1 (en) | On-device physical sim to esim conversion | |
| US20230370832A1 (en) | Dynamic sim activation policy updating for wireless devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |