CN118077231A - 委托eUICC配置文件管理 - Google Patents
委托eUICC配置文件管理 Download PDFInfo
- Publication number
- CN118077231A CN118077231A CN202280068228.7A CN202280068228A CN118077231A CN 118077231 A CN118077231 A CN 118077231A CN 202280068228 A CN202280068228 A CN 202280068228A CN 118077231 A CN118077231 A CN 118077231A
- Authority
- CN
- China
- Prior art keywords
- profile
- server
- euicc
- list
- mno
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 29
- 238000013475 authorization Methods 0.000 claims description 7
- 238000012790 confirmation Methods 0.000 claims description 7
- 238000004891 communication Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 2
- 230000004044 response Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/183—Processing at user equipment or user record carrier
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/43—Security arrangements using identity modules using shared identity modules, e.g. SIM sharing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
- H04W8/205—Transfer to or from user equipment or user record carrier
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/186—Processing of subscriber group data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及用于对包括在移动设备中的嵌入式通用集成电路卡eUICC的配置文件进行委托管理的方法、接口和设备。通过向服务器注册eUICC并在服务器上将所选择的配置文件加入现有的配置文件订阅组,或者通过基于所选择的配置文件在服务器上创建新订阅组,向从在eUICC处可用的配置文件列表中选择的配置文件提供委托管理。
Description
技术领域
本发明涉及一种用于管理eUICC(嵌入式通用集成电路卡)的多个配置文件的方法和设备,并且更具体地,涉及一种用于委托eUICC配置文件管理的方法和设备。
背景技术
最近,已经出现了被配置为采用电子订户配置文件来在移动网络上进行通信的移动设备。此类移动设备通常配备有电子/嵌入式安全元件设备,诸如电子/嵌入式通用集成电路卡(eUICCs),其被配置为存储一个或多个电子用户配置文件,诸如可以允许移动设备连接到一个或多个移动网络的电子订户识别模块(eSIM)配置文件。订户配置文件(例如,eSIM配置文件)可以由移动网络运营商(MNO)生成,并且可以下载到移动网络设备。然后可以将订户配置文件安装在移动设备的安全元件上,并用于由移动设备通过相应的移动网络进行通信。
图1示出了由GSM协会发布的SGP.22RSP技术规范2.2.2版中描述的远程eSIM配置系统的架构的简化表示。eSIM配置系统100围绕若干元件来组织:SM-DP+(订阅管理器-数据准备和安全路由,110)、SM-DS(订阅管理器-发现服务器,150)、LPA(本地配置文件辅助,142)和eUICC 141,后者是终端用户130的移动设备140的一部分。SM-DP+负责由MNO 120提供的订户配置文件的创建、下载、远程管理(启用、禁用、更新、删除)和保护。LPA(本地配置文件助理,142)是设备140中负责提供将(加密的)配置文件下载到eUICC 141的能力的一组功能。它还向终端用户130呈现本地管理终端用户接口,因此它们可以管理eUICC 141上的配置文件的状态。SM-DS150为SM-DP+110提供与eUICC 141通信的手段。
用于由MNO的配置文件管理的当前解决方案涉及MNO创建配置文件,该配置文件然后被链接到eUICC 141的唯一标识符EID,配置文件将被下载到eUICC 141上。一旦包含eUICC 141的移动设备140可以访问SM-DP+110,它就将开始下载并随后使用配置文件。如果设备140停止使用配置文件,则MNO 120将其从EID释放,并且配置文件准备好由另一eUICC使用。这种解决方案例如从专利申请KR 20130026351A中已知。
使用eUICC为OEM以及终端客户提供了选择或改变服务提供商(以及因此移动网络)而不必更换SIM卡的灵活性,同时为MNO、汽车制造商、设备供应商和IoT服务提供商实现了广泛的消费者、M2M和IoT用例。
由于MNO具有中心作用,因此必须由MNO执行关于服务提供商和配置文件的任何修改和改变。然而,IoT和M2M应用内连接设备数量的不断增加对MNO施加了用于生成多个订户配置文件并将配置文件下载到设备上的高负担。因此,MNO的中心角色将导致用于管理订户配置文件的管理链中的瓶颈。
因此,期望提供一种解决上述缺点的用于eUICC配置文件管理的解决方案。
发明内容
本发明通过独立权利要求所涵盖的主题来解决上述目的。本发明的优选实施例在从属权利要求中限定。
根据本发明的第一方面,提供了一种用于嵌入式通用集成电路卡eUICC的配置文件的委托管理的方法。eUICC被包括在移动设备中,该移动设备还包括本地配置文件助理LPA。在第一步骤中,LPA执行eUICC向服务器的注册。在另一步骤中,LPA获得配置文件标识符的列表,每个配置文件标识符唯一地标识可用于eUICC的相应配置文件。然后从所获得的列表中选择配置文件标识符,并且通过在服务器上加入现有的配置文件订阅组,或者通过基于所选择的配置文件标识符在服务器上创建新订阅组,将委托管理添加到由所选择的配置文件标识符标识的配置文件。
优选地,配置文件标识符是唯一地标识配置文件的唯一序列号ICCID(集成电路卡ID)。
服务器上的订阅组内的配置文件(即,已经添加了委托管理的配置文件)不再受MNO的控制,而是可以由第三实体(诸如公司或商业企业)直接管理。
这导致MNO处的工作负载的显著减少,特别是对于需要处理大量连接设备及其配置文件的IoT应用。
在本发明的一些实施方案中,向服务器注册eUICC包括:从eUICC获取eUICC标识符EID,从eUICC获取公钥,生成证书签名请求CSR,该CSR包括公钥,以及向服务器注册移动设备连同EID和CSR。
这允许eUICC和服务器之间的相互认证。
在本发明的一些实施例中,向服务器注册移动设备包括从服务器接收包括签名证书的确认消息,并存储证书。
优选地,证书由认证机构签名,例如GSMA证书颁发者,即由GSMA认可的认证机构。签名证书允许验证服务器的完整性。
在本发明的一些实施方案中,获得配置文件标识符的列表包括向服务器检查是否存在服务器连接到其上的为eUICC提供支持的移动网络运营商MNO。如果存在实现功能的MNO,则从MNO接收配置文件标识符的第一列表。从eUICC接收配置文件标识符的第二列表。然后组合配置文件标识符的第一列表和配置文件标识符的第二列表以获得可用于eUICC的配置文件标识符的列表。
这允许获取在移动设备处可用的所有配置文件的标识符,这些标识符由各种MNOs提供或者已经存储在设备的eUICC上。
优选地,指示LPA通过从服务器接收指示重定向到MNO的命令来从MNO请求配置文件列表。
在本发明的一些实施方案中,从MNO获得配置文件列表包括使用存储在eUICC中的个人识别数据(特别是用户名和密码)向MNO登录;从所述MNO接收授权令牌;使用该授权令牌从MNO请求配置文件标识符的列表;从MNO接收配置文件标识符的第一列表,其中该第一列表包括由MNO提供的配置文件的配置文件标识符和配置文件名称;以及存储配置文件标识符的第一列表。
在本发明的一些实施方案中,从eUICC获得第二配置文件标识符列的表包括向eUICC发送GSMA合规的命令,以及从eUICC接收第二配置文件列表。优选地,针对安装在eUICC内的每个配置文件,第二配置文件列表包含配置文件元数据,特别是eUICC的配置文件标识符ICCID和国际移动订户身份IMSI。
在本发明的一些实施例中,该方法还包括:在将委托管理添加到所选择的配置文件之前,由LPA建立与服务器的安全通信通道。优选地,所建立的安全通信通道支持多个安全协议,该多个安全协议通过加密提供身份认证和安全的私有通信。
在本发明的一些实施例中,如果从MNO获得配置文件标识符的列表,则在服务器上加入订阅组包括指示服务器将所选择的配置文件标识符与配置文件名称一起添加到订阅组;以及在服务器上创建订阅组包括指示服务器创建具有订阅组标识符的新订阅组,并将配置文件标识符与配置文件名称一起添加到新订阅组。
在本发明的一些实施例中,如果从eUICC获得配置文件标识符的列表,则在服务器上加入订阅组包括指示服务器将所选择的配置文件标识符与IMSI一起添加到订阅组;并且在服务器上创建订阅组包括指示服务器创建具有订阅组标识符的新订阅组,并将配置文件元数据,特别是ICCID和IMSI添加到所述新订阅组。
根据本发明的第二方面,提供了一种用于管理包括在移动设备中的嵌入式通用集成电路卡eUICC的配置文件的接口。该接口位于服务器处,并且可以连接到至少一个移动网络运营商MNO。该接口被配置为支持eUICC向服务器的认证,以在服务器处提供包括多个配置文件的订阅组的创建和管理,并且提供向至少一个MNO上传配置文件和/或从至少一个MNO下载配置文件。
在根据第二方面的本发明的一些实施例中,该接口被配置为进一步支持移动设备向服务器的注册,特别是通过应用程序调用或通过私有邀请链路的注册。
根据本发明第三方面,提供了一种装置,特别是服务器,其中装置被配置为存储和管理由至少一个移动网络运营商MNO提供的eUICC配置文件。优选地,该装置包括根据第二方面的接口。
在根据第三方面的本发明一些实施例中,该装置还被配置为接收用于管理配置文件组(特别是用于执行配置文件更新)的指令,并且将更新的配置文件上传到至少一个MNO。优选地,通过应用程序调用或通过访问专用网站从公司接收指令。
根据本发明的第四方面,提供了一种远程eUICC配置文件管理系统,包括移动设备,该移动设备具有嵌入式通用集成电路卡eUICC和本地配置文件助理LPA。该系统还包括根据第三方面的服务器,其中服务器包括根据第二方面的接口。该系统被配置为从公司接收委托管理的请求,并且在接收到委托管理的请求时实现根据第一方面的方法。
根据本发明的另一方面,提供了一种计算机程序产品,包括指令,当计算机执行该程序时,该指令使得计算机执行eUICC向服务器的认证和注册,该服务器包括用于管理eUICC的多个订户配置文件的接口,并且可连接到移动网络运营商MNO;获取配置文件标识符的列表,每个配置文件标识符唯一地标识可用于eUICC的相应配置文件;以及通过在服务器上加入现有的配置文件订阅组,或者通过基于所选择的配置文件标识符在服务器上创建新订阅组,将委托管理添加到所选择的配置文件标识符。
本文描述的各方面和实施例将允许公司有效且高效地管理公司可以向配备用于电子订户配置文件配置的移动设备提供的移动网络订阅,因为关于服务提供商和配置文件的任何修改和改变可以由公司本身通过与服务器的直接访问来执行。此外,由于公司可以通过位于GSMA规范之外的接口来管理,特别是还可以改变/更新eUICC配置文件,因此必须将较少的配置文件上传到移动设备上。
必须注意,本申请中描述的所有设备、元件、单元和部件可以以软件或硬件元件或其组合来实现。由本申请中描述的各种实体执行的所有步骤以及所描述的功能旨在表示相应的实体适于或被配置为执行相应的步骤和功能。
在结合附图阅读本发明的优选实施例和变型的以下详细描述后,本发明的其他方面、特征和优点对于本领域普通技术人员将变得显而易见。
附图说明
现在将参考附图,其中
图1示出了远程eSIM配置系统的架构的简化表示;
图2示出了根据本发明的实施例的远程eSIM配置系统的架构;
图3示出了根据实施例的用于eUICC的配置文件的委托管理的方法的流程图;
图4示出了根据实施例的用于eUICC的配置文件向服务器的委托管理的方法的进一步步骤;
图5示出了根据实施例的用于eUICC的配置文件的委托管理的方法的进一步步骤;
图6A和6B示出了根据另外的实施例的用于将委托管理分别添加到空闲配置文件、已安装配置文件的流程图;以及
图7A、7B、7C示出了根据实施例的用于eUICC配置文件的委托管理的方法的信号图的各个部分。
具体实施方式
下面参考附图给出本发明的详细说明,附图示出了本发明的具体实施例示例。足够详细地描述这些实施例以使本领域技术人员能够实践本发明。应当理解,本发明的各种实施例虽然不同,但不一定是相互排斥的。例如,在不脱离本发明范围的情况下,本文结合一个实施例描述的特定特征、结构或特性可以在其他实施例中实现。另外,应当理解,在不脱离本发明范围的情况下,可以修改每个公开的实施例内的各个元件的位置或布置。因此,以下详细描述不应被视为具有限制意义,并且本发明的范围仅由适当解释的所附权利要求以及权利要求所赋予的等同物的全部范围来限定。在附图中,贯穿若干视图,相同的附图标记指代相同或相似的功能。
通过本说明书,术语“eUICC”被理解为旨在安全地存储具有配置文件数据的至少一个订阅配置文件的集成电路IC。eUICC中的配置文件可以托管国际移动订户身份号IMSI、唯一序列号ICCID、密码加密/解密密钥、安全认证和加密信息、与本地网络相关的临时信息、用户可以访问的服务列表以及两个密码:用于普通使用的个人识别号(PIN)和用于PIN解锁的个人解锁码(PUK),这两个密码用于唯一地标识和认证终端设备(诸如M2M设备、移动电话、个人计算机等)上的订户。此外,eUICC中的配置文件可以包含配置文件名称。
本发明提出了一种用于经由服务器通过专用接口将用于一组配置文件的配置文件管理从MNO委托给第三实体(诸如公司或商业企业)的解决方案。该接口位于服务器上,因此在GSMA规范之外。
通过该应用,已经向其添加了委托管理的配置文件组也被称为订阅组。
图2示出了根据实施例的远程eSIM配置系统。
除了图1的已知eSIM配置系统的组件之外,系统300还包括服务器210(在下文中也称为配置文件要去往的服务器(Profile-To-Go-Server))。服务器可以位于特定公司300,诸如向雇员提供移动设备的商业或企业。服务器还可以实现为公司可以访问的虚拟云服务器。
接口220位于服务器210上,并且允许由公司管理配置文件、更新配置文件、取消配置文件或购买新配置文件。接口220为eUICC提供与服务器210的认证。此外,接口220提供对以不同方法接受设备登记的支持,诸如从应用程序或通过私有邀请链路注册包含eUICC的移动设备。
公司300可以通过应用程序和/或网站来访问服务器210以管理配置文件组,诸如更新现有配置文件、删除现有配置文件和购买新配置文件。一旦配置文件组已被更新,它将被上行流式传输到MNO 120。当配置文件通过接口220被接收时,MNO 120将自动接受配置文件。然后,根据GSMA规范,目标设备将在建立互联网连接时接收新配置文件。
图3示出了根据实施例的用于eUICC的配置文件的委托管理的方法的流程图。该方法可以在图2的远程eSIM配置系统200中实现。
在步骤S10中,LPA 142执行eUICC 141向服务器210的注册。在步骤S20中,LPA 142获得配置文件标识符ICCID的列表,每个ICCID唯一地标识可用于eUICC 141的相应配置文件。在步骤S30中,从所获得的列表中选择配置文件ICCID,并且将委托管理添加到具有所选择的ICCID的配置文件。特别地,可以通过在步骤S50中加入已经建立的订阅组,或者通过在步骤S60中创建具有所选择的ICCID的订阅组来添加委托管理。配置文件ICCID的订阅组优选地位于服务器上。下面将参考图6A和6B以及图7B和7C解释步骤S50和S60的实施方式细节。
在将委托管理添加到所选择的配置文件之前,在步骤S40中,可以在LPA 142与服务器210之间建立安全通信通道。
图4示出了图3中的注册步骤S10的优选实施方式的子步骤,而图7A示出了注册步骤S10的信号图(在图7A中由罗马数字I标识)。
在本发明的一些实施例中,向服务器220注册eUICC 141可以包括在步骤S11中从eUICC获取eUICC标识符EID。
参考图7A,步骤S11可以由LPA 141通过在步骤S111中向eUICC发送检索EID()命令retrieveEID()并且在步骤S112中从eUICC接收检索EID响应(eid)命令retrieveEIDRespons(EID)来实现。这两个命令都可以是GSMA合规命令,如例如在2020年6月的SGP.22RSP技术规范版本2.2.2中所描述的。
在步骤S12中,LPA可以请求eUICC创建密钥对,例如通过向eUICC发送创建密钥对命令createKeypair()(图7A的步骤S121)并接收(在图7A的步骤S122中)创建密钥对响应(公钥)createKeyPairResponse(PublicKey)来创建密钥对,从而在步骤S13中获得eUICC的公钥。
随后,在步骤S14中,LPA 141可以生成证书签名请求CSR。CSR包括在步骤S121中从eUICC接收的公钥。在步骤S15中,LPA然后可以向服务器210注册标识符EID(在步骤S11中从eUICC接收)、CSR和设备名称。
在向服务器执行注册时,在步骤S16中,在LPA处接收证书,并在步骤S17中存储证书。证书由认证机构签名,以允许验证服务器的完整性。
图5示出了图3中的步骤S20的获得可用于包含eUICC的设备的用户的配置文件列表ICCID的优选实施方式的子步骤。在图7B中描绘了相应的信号图。
参考图5、步骤S27至S28以及图7C,从eUICC获得配置文件列表ICCID。
步骤S27可以使用SGP.22RSP技术规范中描述的常规GSMA命令来实现,诸如ES10b.GetProfilesInfo,如图7C中S27所示。
可选地,如果MNO提供对于已注册的eUICC的支持(在步骤S21中执行的检查),则除了从eUICC获得对应用户的配置文件的ICCID之外,还可以从MNO获取对应用户的配置文件的ICCID(图5的步骤S22至S26以及图7B的由罗马数字II标识的部分)。具体地,在步骤S213中,服务器210可以通知LPA 142执行到MNO站点的重定向。该信号/消息提示LPA在步骤S22中利用用户名和密码向MNO登录,并且在步骤S23中从MNO接收包含授权令牌的登录确认。使用该授权令牌,LPA可以在步骤S24中从MNO请求配置文件ICCID的列表,并且在步骤S25中接收ICCID列表。
授权令牌的使用提供了一种对受保护配置文件进行一次认证(可能在有限持续时间的会话内)的方式,并且在会话期间使用该令牌进行进一步认证。
在步骤S26中,所获得的配置文件列表ICCID可以存储在LPA中以供将来使用。
在获得配置文件列表ICCID时,选择配置文件ICCID,并且将委托管理添加到由所选择的ICCID标识的对应配置文件。这优选地通过将所选择的ICCID添加到现有订阅组,或者通过创建新订阅组并将所选择的ICCID添加到新订阅组来实现。优选地,如果在服务器上没有可用于委托管理的订阅组,则创建新订阅组。可替代地,可以在服务器处创建并存储若干订阅组。
其ICCID被添加到服务器可访问的订阅组的配置文件将以委托方式来管理,即由第三公司而不是由MNO管理。换句话说,针对一组配置文件将配置文件管理从MNO委托给第三公司。
下面参考图6A和6B描述用于向配置文件添加委托管理的优选实施例。图6A示出了用于将委托管理添加到空闲配置文件的流程图,而图6B示出了用于将委托管理添加到已安装的配置文件的流程图。相应的信号图是图7B(由罗马数字III标识的下部)和图7C(罗马数字IV)。空闲配置文件是指由MNO支持的配置文件,其尚未在eUICC处下载和安装。已经安装的配置文件是指已经下载并安装在eUICC处的配置文件。
参考图6A和图7B的部分III,在步骤S31中,从接收自MNO的配置文件列表ICCID中选择配置文件ICCID,委托管理将被添加到该MNO。
在步骤S41中,在LPA 142与服务器210之间建立安全通道。
如果是从MNO获得配置文件列表ICCID,则在步骤S31中选择要添加委托管理的空闲配置文件。也就是说,从要由公司300管理的MNO的控制区域中选择和移除配置文件。如果是已经存在在服务器上建立的订阅组,其支持对其中所标识的配置文件的委托管理,则在步骤S51中,指示服务器将所选择的配置文件ICCID与配置文件名称一起添加到该订阅组。
对应的信令可以包括向服务器发送请求加入订阅组(订阅组id、iccid、配置文件名称)命令joinSubscriptionGroup(subscriptionGroupID,ICCID,profileName),如图7B中的步骤S511所示。该subscriptionGroupID是标识订阅组的标识符,ICCID是所选择的配置文件的标识符,并且profileName是所选择的配置文件的名称。在步骤S512中从服务器接收的加入订阅组响应()joinSubscriptionGroupResponse()来确认该请求。
如果要创建用于委托管理的新订阅组(图6A中的步骤S61),则在图7B中的步骤S611中将创建订阅组(iccid、配置文件名称)命令createSubscriptionGroup(ICCID,profileName)发送到服务器,其中ICCID是标识符,并且profileName是所选择的配置文件的名称。在步骤S612中,在LPA处从服务器接收确认响应,该确认响应包括所创建的订阅组的标识符。
如果配置文件列表ICCID是从eUICC获得的,则该过程类似于上述情况,在加入现有订阅组、分别创建新订阅组的步骤的实施方式方面存在显著差异,如下面将参考图6B和图7C所述。特别地,考虑配置文件IMSI而不是配置文件名称。
也就是说,如果在服务器上已经建立了支持对其中标识的配置文件的委托管理的订阅组,则在步骤S52中,指示服务器将所选择的配置文件ICCID与配置文件IMSI一起添加到该订阅组。
图7C中的对应信令可以包括向服务器发送请求加入订阅组(订阅组id、iccid、配置文件名称)命令joinSubscriptionGroup(subscriptionGroupID,ICCID,IMSI),步骤S511。
如果要创建用于委托管理的新订阅组(图6B中的步骤S62),则在图7C中的步骤S621中将创建订阅组(iccid、imsi)命令createSubscriptionGroup(ICCID,IMSI)发送到服务器。在步骤S622中,在LPA处从服务器接收确认响应,该确认响应包括所创建的订阅组的标识符。
通过上述实施方案描述的方法、界面和装置允许将对配置文件组的管理委托给第三方,诸如提供配备有eUICC的移动设备的公司。通过经服务器和专用接口将eUICC配置文件的管理委托给第三公司,显著减少了由处理大量连接设备及其配置文件引起的施加在MNO上的工作负载。
在前述说明书中,已经参考本发明的具体实施例描述了本发明。然而,显而易见的是,在不脱离本发明的更宽范围的情况下,可以对其进行各种修改和改变。例如,参考处理动作的特定顺序来描述上述处理流程。然而,在不影响本发明的范围或操作的情况下,可以改变许多所描述的处理动作的顺序。因此,说明书和附图应被认为是说明性的而不是限制性的。
Claims (15)
1.一种用于对包括在移动设备(140)中的嵌入式通用集成电路卡eUICC(141)的配置文件进行委托管理的方法,所述移动设备(140)还包括本地配置文件助理LPA(142),所述方法包括:
-由所述LPA(142)向服务器(210)注册(S10)所述eUICC(141);
-在所述LPA(142)处获得(S20)配置文件标识符的列表,每个配置文件标识符唯一地标识可用于所述eUICC(141)的相应配置文件;
-由所述LPA(142)从所获得的列表中选择(S30)配置文件标识符;以及
-通过在所述服务器(210)上将所选择的配置文件标识符加入(S50)现有的配置文件订阅组,或者通过在所述服务器(210)上基于所选择的配置文件标识符创建(S60)新订阅组,向由所选择的配置文件标识符标识的配置文件添加(S50;S60)委托管理。
2.根据权利要求1所述的方法,其中,向所述服务器(210)注册(S10)所述eUICC(141)包括:
-从所述eUICC(141)获得(S11)eUICC标识符EID;
-从所述eUICC(141)获得(S12,S13)公钥;
-生成(S14)证书签名请求CSR,所述CSR包括所述公钥;以及
-向所述服务器注册(S15)所述移动设备以及所述EID和CSR。
3.根据权利要求1或2所述的方法,其中,向所述服务器(210)注册(S15)所述eUICC(142)包括:从所述服务器(210)接收(S16)包括签名证书的确认消息,以及存储(S17)所述证书。
4.根据权利要求1至3中任一项所述的方法,其中,获得(S20)配置文件标识符的列表包括:
-利用所述服务器(210)检查(S21)是否存在移动网络运营商MNO(120),所述服务器(210)连接到所述移动网络运营商MNO(120),所述移动网络运营商MNO(120)为所述eUICC(141)提供支持,特别是实现用于所述eUICC(141)的功能;
-如果存在实现所述功能的MNO(120),则从所述MNO(120)获得配置文件标识符的第一列表;
-从所述eUICC(141)获得配置文件标识符的第二列表;以及
-将所述第一列表与所述第二列表组合以获得所述配置文件标识符的列表。
5.根据权利要求4所述的方法,其中,从所述MNO(120)获得所述配置文件的第一列表包括:
-使用存储在所述eUICC(141)中的个人识别数据,特别是用户名和密码,向所述MNO(120)登录(S22);
-从所述MNO(120)接收(S23)授权令牌;
-使用所述授权令牌从所述MNO(120)请求(S24)配置文件标识符的所述第一列表;
-从所述MNO接收(S25)配置文件标识符的所述第一列表,其中所述第一列表包括由所述MNO提供的配置文件的配置文件标识符和配置文件名称;以及
-存储(S26)配置文件标识符的所述第一列表。
6.根据权利要求4或5所述的方法,其中,从所述eUICC获得配置文件标识符的所述第二列表包括:
-向所述eUICC(141)发送(S27)GSMA合规命令;以及
-从所述eUICC(141)接收(S28)配置文件的所述第二列表,其中,配置文件的所述第二列表对于安装在所述eUICC内的每个配置文件包含配置文件元数据,特别是所述eUICC的配置文件标识符ICCID和国际移动订户身份IMSI。
7.根据权利要求1至6中任一项所述的方法,还包括:在对所选择的配置文件添加(S50;S60)委托管理之前,由所述LPA(142)建立(S40;S41)与所述服务器(210)的安全通信通道。
8.根据权利要求4至7中任一项所述的方法,其中,如果所述配置文件标识符的列表是从所述MNO(120)获得的,则:
在所述服务器(210)上加入(S50)订阅组包括指示(S511)所述服务器(210)将所选择的配置文件标识符与所述配置文件名称一起添加到所述订阅组;以及
在所述服务器(210)上创建(S60)订阅组包括指示(S611)所述服务器(210)创建具有订阅组标识符的新订阅组,并将所述配置文件标识符与所述配置文件名称一起添加到所述新订阅组。
9.根据权利要求4至7中任一项所述的方法,其中,如果所述配置文件标识符的列表是从所述eUICC(141)获得的,则:
在所述服务器(210)上加入(S50)订阅组包括指示(S52)所述服务器(210)将所选择的配置文件标识符与所述IMSI一起添加到所述订阅组;以及
在所述服务器(210)上创建(S60)订阅组包括指示(S62)所述服务器(210)创建具有订阅组标识符的新订阅组,并将所述配置文件元数据,特别是ICCID和IMSI添加到所述新订阅组。
10.一种用于管理包括在移动设备(140)中的嵌入式通用集成电路卡eUICC(141)的配置文件的接口(220),所述接口(220)位于服务器(210)处并且能够连接到至少一个移动网络运营商MNO(120),其中,所述接口(220)被配置为:
-支持所述eUICC(141)向所述服务器(210)的认证注册;
-提供对包括多个配置文件的订阅组的创建和管理;以及
-提供向所述至少一个MNO(120)上传配置文件和/或从所述至少一个MNO(120)下载配置文件。
11.根据权利要求10所述的接口(220),还被配置为支持所述移动设备(140)向所述服务器(210)的注册,特别是通过应用程序调用或通过私有邀请链路的注册。
12.一种装置(210),特别是服务器,被配置为存储和管理由至少一个移动网络运营商MNO(120)提供的eUICC配置文件,所述装置(210)包括根据权利要求10所述的接口(220)。
13.根据权利要求12所述的装置(210),还被配置为接收用于管理配置文件组的指令,特别是用于执行配置文件更新的指令,并且将更新的配置文件上传到所述至少一个MNO(120)。
14.一种远程eUICC配置文件管理系统(200),包括:
-移动设备(140),所述移动设备(140)包括嵌入式通用集成电路卡eUICC(141)和本地配置文件助理LPA(142);
-根据权利要求12或13所述的服务器(210),所述服务器(210)包括根据权利要求10或11所述的接口(220);
-其中,所述系统(200)被配置为从公司(300)接收委托管理的请求,并且在接收到所述委托管理的请求时,实现根据权利要求1至9中任一项所述的方法。
15.一种计算机程序产品,包括指令,所述指令在由所述程序由计算机执行时使得所述计算机:
-执行eUICC(141)向服务器(210)的认证和注册,所述服务器(210)包括用于管理所述eUICC(141)的多个订户配置文件的接口(220),并且能够连接到移动网络运营商MNO(120);
-获得配置文件标识符的列表,每个配置文件标识符唯一地标识可用于所述eUICC(141)的相应配置文件;以及
-通过在所述服务器(210)上加入现有的配置文件订阅组,或者通过基于所选择的配置文件标识符在所述服务器(210)上创建新订阅组,向由所选择的配置文件标识符标识的配置文件添加委托管理。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP21382759.5A EP4135372A1 (en) | 2021-08-12 | 2021-08-12 | Delegated euicc profile management |
| EP21382759.5 | 2021-08-12 | ||
| PCT/EP2022/072346 WO2023017031A1 (en) | 2021-08-12 | 2022-08-09 | Delegated euicc profile management |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118077231A true CN118077231A (zh) | 2024-05-24 |
Family
ID=77358190
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280068228.7A Pending CN118077231A (zh) | 2021-08-12 | 2022-08-09 | 委托eUICC配置文件管理 |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP4135372A1 (zh) |
| KR (1) | KR20240042059A (zh) |
| CN (1) | CN118077231A (zh) |
| WO (1) | WO2023017031A1 (zh) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102001869B1 (ko) | 2011-09-05 | 2019-07-19 | 주식회사 케이티 | eUICC의 프로파일 관리방법 및 그를 이용한 eUICC, eUICC 탑재 단말과, 프로비저닝 방법 및 MNO 변경 방법 |
| US8577337B2 (en) * | 2012-03-05 | 2013-11-05 | Rogers Communications Inc. | Radio management method and system using embedded universal integrated circuit card |
| US9955353B2 (en) * | 2015-08-14 | 2018-04-24 | Microsoft Technology Licensing, Llc | Delegated profile and policy management |
| US11006266B2 (en) * | 2019-03-04 | 2021-05-11 | Cisco Technology, Inc. | Onboarding device using embedded subscriber identification module |
| US11109220B1 (en) * | 2020-05-29 | 2021-08-31 | T-Mobile Usa, Inc. | Enterprise embedded subscriber identification module solutions |
-
2021
- 2021-08-12 EP EP21382759.5A patent/EP4135372A1/en active Pending
-
2022
- 2022-08-09 CN CN202280068228.7A patent/CN118077231A/zh active Pending
- 2022-08-09 KR KR1020247007827A patent/KR20240042059A/ko unknown
- 2022-08-09 WO PCT/EP2022/072346 patent/WO2023017031A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023017031A1 (en) | 2023-02-16 |
| EP4135372A1 (en) | 2023-02-15 |
| KR20240042059A (ko) | 2024-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9661666B2 (en) | Apparatus and methods of identity management in a multi-network system | |
| JP6533203B2 (ja) | 複数のアクセス制御クライアントをサポートするモバイル装置、及び対応する方法 | |
| KR102333395B1 (ko) | 이동통신 시스템의 단말에서 프로파일 수신을 위한 방법 및 장치 | |
| US8479298B2 (en) | Method for encrypting and embedding information in a URL for content delivery | |
| US11523261B2 (en) | Handling of subscription profiles for a set of wireless devices | |
| WO2013097177A1 (en) | Virtual sim card cloud platform | |
| KR102299865B1 (ko) | 데이터 네트워크에 접근하기 위한 사용자의 인증에 관한 방법 및 시스템 | |
| CN111434087A (zh) | 用于提供通信服务的方法和电子设备 | |
| EP3541106A1 (en) | Methods and apparatus for euicc certificate management | |
| US20200008052A1 (en) | Attachment of a wireless device to a mobile network operator | |
| CN110198540B (zh) | Portal认证方法及装置 | |
| US11968531B2 (en) | Token, particularly OTP, based authentication system and method | |
| CN118077231A (zh) | 委托eUICC配置文件管理 | |
| WO2019229188A1 (en) | Subscriber access to wireless networks | |
| WO2023169683A1 (en) | Subscription profile download and installation | |
| CN114830702A (zh) | 用于管理用于接入通信网络的配置文件的方法 | |
| WO2020099240A1 (en) | A method for transferring a msisdn from a first to a second secure element and corresponding computer program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |