ES2779301T3 - Procedimiento y dispositivos para proporcionar un abono para la comunicación mediante una red de radiotelefonía móvil - Google Patents

Procedimiento y dispositivos para proporcionar un abono para la comunicación mediante una red de radiotelefonía móvil Download PDF

Info

Publication number
ES2779301T3
ES2779301T3 ES14823910T ES14823910T ES2779301T3 ES 2779301 T3 ES2779301 T3 ES 2779301T3 ES 14823910 T ES14823910 T ES 14823910T ES 14823910 T ES14823910 T ES 14823910T ES 2779301 T3 ES2779301 T3 ES 2779301T3
Authority
ES
Spain
Prior art keywords
subscription
security element
mobile terminal
mobile
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES14823910T
Other languages
English (en)
Inventor
Volker Gerstenberger
Andreas Morawietz
Nils Nitsch
Olaf Schneider
Tom Weber
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient Mobile Security GmbH
Original Assignee
Giesecke and Devrient Mobile Security GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient Mobile Security GmbH filed Critical Giesecke and Devrient Mobile Security GmbH
Application granted granted Critical
Publication of ES2779301T3 publication Critical patent/ES2779301T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/025Services making use of location information using location based information parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • H04W48/04Access restriction performed under specific conditions based on user or terminal location or mobility data, e.g. moving direction, speed
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/183Processing at user equipment or user record carrier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Procedimiento para proporcionar un abono (18B) en un elemento de seguridad (14), que está configurado para la inserción o es una parte integrada de manera fija de un terminal móvil (12) de un usuario, comprendiendo el procedimiento las siguientes etapas: proporcionar el abono (18B) en el elemento de seguridad (14) del terminal móvil (12) del usuario, en el que el abono (18B) se pone a disposición como un abono de una pluralidad de abonos mediante un proveedor de servicios o productos en un sistema (50) de segundo plano y posibilita la comunicación mediante una red de radiotelefonía móvil (40), en el que se descarga el abono (18B) en el elemento de seguridad (14) mediante una red de radiotelefonía móvil (30) adicional, mediante la cual el elemento de seguridad (14) se puede comunicar por medio de un abono (18A) adicional ya presente, y acceder el elemento de seguridad (14) a la red de radiotelefonía móvil (40) por medio del abono (18B) proporcionado en el elemento de seguridad (14), en el que mientras el elemento de seguridad (14) accede a la red de radiotelefonía móvil (40) la posición del terminal móvil (12) se determina en intervalos de tiempo para verificar si la posición del terminal móvil (12) se encuentra en una zona predefinida de posiciones permitidas, y en el que, en caso de que la posición establecida del terminal móvil (12) no se sitúe en la zona predefinida de posiciones permitidas, el acceso del abono (18B) proporcionado a la red de radiotelefonía móvil (40) se deniega.

Description

DESCRIPCIÓN
Procedimiento y dispositivos para proporcionar un abono para la comunicación mediante una red de radiotelefonía móvil
Sector de la invención
La invención se refiere a la comunicación mediante redes de radiotelefonía móvil en general y en particular a un procedimiento y a dispositivos para proporcionar un abono en un elemento de seguridad, como por ejemplo una SIM, una eUICC/UICC o similares. A este respecto, el elemento de seguridad es parte de un terminal móvil, que está diseñado para comunicarse mediante una red de radiotelefonía móvil.
Estado de la técnica anterior
La comunicación por medio de un terminal móvil, por ejemplo un teléfono inteligente o un teléfono móvil, mediante una red de telefonía móvil (denominada también PLMN [Public Land Mobile Network, red móvil terrestre pública]), operada por un operador de red (denominado también MNO [Mobile Network Operator, operador de red móvil]), requiere por regla general que el terminal móvil esté equipado con un elemento de seguridad para almacenar de forma segura datos que identifican claramente al usuario del terminal móvil con respecto a la red de radiotelefonía móvil. Por ejemplo, se usa un elemento de seguridad con el nombre de SIM (Subscriber Identity Module, módulo de identidad de abonado) habitualmente en forma de una tarjeta con chip o una tarjeta inteligente en un terminal móvil que está diseñado para comunicarse según el estándar Gs M (Global System for Mobile Communications, sistema mundial para comunicaciones móviles), que se trata actualmente del estándar de radiotelefonía móvil más extendido en el mundo. Según el estándar GSM, cuyas características técnicas se definen en una serie de especificaciones relacionadas entre sí y dependientes unas de otras, la tarjeta SIM incorpora datos de identificación de abonado o datos de autorización de abono (“Subscription Credentials’’, “credenciales de abono”), que son parte de un abono (denominado también perfil de abono), para identificar y autenticar al usuario o abonado, incluyendo una IMSI (International Mobile Subscriber Identity, identidad internacional de abonado del servicio móvil) y una clave de autenticación Ki.
Un abono de este tipo está ligado por regla general de forma fija a un elemento de seguridad. Sin embargo, son concebibles escenarios en los que sería deseable la posibilidad de una utilización más flexible de un abono.
De la Patente US 2009/253408 A1 se desprende un procedimiento para establecer la pérdida, el hurto o el empleo no autorizado de un teléfono móvil. El teléfono móvil establece mediante parámetros de entorno si tiene lugar una utilización no autorizada y modifica su comportamiento en caso de una utilización no autorizada.
De la Patente WO 00/18156 A1, la Patente US 2005/274793 A1 y la Patente US 2013/281085 A1 se desprenden procedimientos para administrar abonos en un teléfono móvil.
La Patente US 2005/274793 A1 describe un procedimiento para bloquear y desbloquear cuentas monetarias.
La Patente US 2013/281085 A1 describe la elección de una identidad de abonado en un aparato de usuario que presenta varias identidades de abonado.
La Patente US 2011/306318 A1 da a conocer un método para proporcionar datos de identidad de abonado en una red inalámbrica.
A la luz de estos antecedentes, la presente invención tiene el objetivo de proponer un procedimiento y dispositivos mejorados para proporcionar un abono en un elemento de seguridad.
Resumen de la invención
El objetivo anterior se alcanza, según la presente invención, mediante los objetos respectivos de las reivindicaciones independientes. Se definen configuraciones preferentes de la invención en las reivindicaciones dependientes.
Según un primer aspecto de la invención, se propone un procedimiento para proporcionar un abono en un elemento de seguridad que se puede insertar o es una parte integrada de manera fija de un terminal móvil de un usuario. A este respecto, el procedimiento comprende las siguientes etapas: proporcionar el abono en el elemento de seguridad del terminal móvil del usuario, en el que el abono se pone a disposición como un abono de una serie de abonos mediante un proveedor de servicios o productos en un sistema de segundo plano y posibilita la comunicación mediante una red de radiotelefonía móvil; y acceder el elemento de seguridad a la red de radiotelefonía móvil por medio del abono proporcionado en el elemento de seguridad. A este respecto, mientras el elemento de seguridad accede a la red de radiotelefonía móvil la posición del terminal móvil se determina en intervalos de tiempo, para verificar si la posición del terminal móvil se encuentra en una zona predefinida de posiciones permitidas, tal que, en caso de que la posición establecida del terminal móvil no se sitúe en la zona predefinida de posiciones permitidas, el acceso del elemento de seguridad a la red de radiotelefonía móvil se interrumpe.
Preferentemente, puede estar previsto que el abono proporcionado en el elemento de seguridad se desactive después de un periodo de tiempo predefinido.
Según formas de realización de la invención preferentes, el proveedor de servicios o productos que pone a disposición la serie de abonos predefine la zona de posiciones permitidas para el abono.
Preferentemente, la zona de posiciones permitidas para todos los abonos puestos a disposición por el proveedor de servicios o productos está predefinida igual.
Según formas de realización de la invención preferentes, la zona de posiciones permitidas está predefinida mediante datos que están depositados en el sistema de segundo plano.
Preferentemente, la etapa de la verificación de si la posición del terminal móvil se encuentra en la zona predefinida de posiciones permitidas se lleva a cabo mediante la red de radiotelefonía móvil o el sistema de segundo plano. Según formas de realización preferentes de la invención, el abono se proporciona al elemento de seguridad del terminal móvil en caso de que el usuario del terminal móvil utilice o vaya a utilizar una provisión de servicios o productos del proveedor de servicios o productos.
Preferentemente, el abono se descarga en el elemento de seguridad mediante una red de radiotelefonía móvil adicional, mediante la cual el elemento de seguridad se puede comunicar por medio de un abono adicional ya presente. Alternativamente, el abono se proporciona en el elemento de seguridad mediante una red WiFi del proveedor de servicios o productos o mediante otro canal de comunicación, como NFC, Bluetooth, RFID, DECT, ZigBee, infrarrojos o similares.
Según formas de realización preferentes de la invención, la posición del terminal móvil se determina por medio de datos de un sistema global de navegación por satélite, preferentemente datos de GPS. Alternativa o adicionalmente, la posición del terminal móvil se puede determinar estableciendo la célula de radiotelefonía móvil en la que se encuentra el terminal móvil.
El proveedor de servicios o productos puede ser unos grandes almacenes, un supermercado, un negocio al por menor, un restaurante, una cafetería, el operador de un sistema de transporte urbano público, un parque de ocio, un hotel, un organizador de eventos deportivos, un organizador de conciertos o similares.
Según un segundo aspecto de la invención, se proporciona un elemento de seguridad que se puede insertar o es parte integrada de manera fija de un terminal móvil y está configurado para dotarse de un abono, según un procedimiento, según el primer aspecto de la invención, para poder comunicarse mediante la red de radiotelefonía móvil.
Un elemento de seguridad según la invención es por ejemplo un soporte de datos diseñado en el hardware. El elemento de seguridad está dispuesto por ejemplo como un componente integrado fijo en un terminal móvil, no pudiendo extraerse en esa forma del terminal, por ejemplo como un módulo de identificación de abonado, un módulo M2M, un coprocesador, una base de confianza, un módulo de plataforma de confianza. Alternativamente el elemento de seguridad está conectado con el terminal móvil como un módulo extraíble, por ejemplo como una tarjeta con chip, en particular como un módulo de identificación de abonado, una tarjeta inteligente, una tarjeta de memoria masiva, un testigo USB, tarjetas multimedia, tarjetas microSD seguras, testigos de red de radiotelefonía móvil, por ejemplo un surfstick de UmTs y/o como documento de identidad electrónico, por ejemplo como un carné de identidad o un pasaporte electrónicos con datos de identificación de una persona legibles por máquina depositados en una zona de memoria.
Según una alternativa adicional, el elemento de seguridad puede estar configurado como una combinación de componentes de hardware y software en una parte fiable de un sistema operativo del terminal, que el experto en la materia conoce también como entorno de tiempo de ejecución seguro (“Trusted Execution Environment’, “entorno de ejecución seguro”; TEE). El elemento de seguridad puede estar configurado entonces por ejemplo dentro de un entorno de tiempo de ejecución seguro de este tipo en forma de programas allí ejecutables, denominados Trustlets®.
Como el experto en la materia reconoce, las configuraciones preferentes descritas anteriormente se pueden implementar de manera ventajosa tanto en el marco del primer aspecto de la invención, es decir en el marco del procedimiento para proporcionar un abono, como en el marco del segundo aspecto de la invención, es decir en el marco de un elemento de seguridad con un abono proporcionado según el primer aspecto de la invención.
Características, ventajas y objetivos adicionales de la invención se desprenden de la siguiente descripción detallada de varios ejemplos de realización y alternativas de realización. Se remite a los dibujos, que muestran:
la figura 1, una representación esquemática de un sistema de comunicación con un terminal móvil con un elemento de seguridad y un sistema de radiotelefonía móvil, que ilustra diversos aspectos de la presente invención, la figura 2, una representación esquemática de una secuencia preferente según la invención para proporcionar un abono en el elemento de seguridad del terminal móvil de la figura 1 y
la figura 3, una ilustración esquemática a modo de ejemplo de una zona de posiciones del terminal móvil de la figura 1, en la que es posible comunicarse mediante una red de radiotelefonía móvil, según formas de realización preferentes de la invención, por medio del abono proporcionado según la figura 2, así como de una zona de posiciones en la que no es posible comunicarse mediante una red de radiotelefonía móvil, según formas de realización preferentes de la invención, por medio del abono proporcionado según la figura 2.
La figura 1 muestra una representación esquemática de los componentes de un sistema de comunicación 10 así como algunas de las conexiones de comunicación entre estos componentes, que ilustra diversos aspectos de la presente invención.
En la figura 1 se representa un terminal móvil 12 a modo de ejemplo, que comprende un elemento de seguridad 14 (“Secure Element’, “elemento seguro”) para almacenar y procesar de manera segura datos que identifican claramente por ejemplo el terminal móvil 12 y/o su usuario. Tal como se indica en la figura 1, el terminal móvil 12 es preferentemente un teléfono móvil, un teléfono inteligente o un dispositivo similar. El experto en la materia reconocerá, sin embargo, que el terminal móvil 12 puede estar diseñado, según la presente invención, igualmente en forma de otros dispositivos que están preparados para comunicarse mediante una red de radiotelefonía móvil, como por ejemplo un ordenador de tableta, un ordenador portátil, un turismo dotado por ejemplo de un módulo M2M o similares.
Según formas de realización preferentes de la invención, el elemento de seguridad 14 está diseñado como una eUlCC (embedded Universal Integrated Circuit Card, tarjeta universal de circuito integrado incorporada) con una aplicación SIM implementada en la misma, es decir como un elemento de seguridad que es un componente fijo del terminal móvil 12 y se emplea en una red de radiotelefonía móvil para la identificación clara y segura del usuario o el abonado y para proporcionar diversas funciones y servicios de valor añadido. Alternativamente, el elemento de seguridad 14 puede estar diseñado como una UICC (Universal Integrated Circuit Card, tarjeta universal de circuito integrado) o una tarjeta SIM (Subscriber Identity Module, módulo de identidad de abonado), que el experto en la materia conoce como una de las formas empleadas de manera más habitual actualmente de un elemento de seguridad. El experto en la materia reconocerá, sin embargo, que otros tipos de elementos de seguridad, que se denominan, según la generación y el tipo del estándar de radiotelefonía móvil en el que se basan, USIM, R-UIM, ISIM y similares, están comprendidos igualmente en la presente invención.
Según formas de realización preferentes adicionales de la invención, el elemento de seguridad 14 puede estar configurado como una combinación de componentes de hardware y software en una parte fiable de un sistema operativo de una unidad de procesador central del terminal móvil 12, que el experto en la materia conoce también como entorno de tiempo de ejecución seguro (“Trusted Execution Environment’, “entorno de ejecución seguro”; TEE). El elemento de seguridad 14 puede estar configurado entonces por ejemplo dentro de un entorno de tiempo de ejecución seguro de este tipo del terminal móvil 12 en forma de programas allí ejecutables, denominados Trustlets®.
El terminal móvil 12 está diseñado para comunicarse mediante la interfaz aérea con una red de radiotelefonía móvil (abreviada también como “red de telefonía móvil” o denominada “Public Land Mobile Network’, “red móvil terrestre pública”, [PLMN]) de un sistema de radiotelefonía móvil 20. En la figura 1 están representadas a modo de ejemplo las redes de radiotelefonía móvil 30 y 40. A este respecto es concebible que un primer operador de red de radiotelefonía móvil (denominado también “Mobile Network Operatod, “operador de red móvil”, o MNO) opere la red de radiotelefonía móvil 30 y un segundo operador de red de radiotelefonía móvil opere la segunda red de radiotelefonía móvil 40. Según formas de realización preferentes de la invención, la red de radiotelefonía móvil 30 y/o la red de radiotelefonía móvil 40 se operan según el estándar GSM (“Global Standard for Mobile Communications’’, “estándar mundial para comunicaciones móviles”).
A continuación se describen formas de realización preferentes de la invención en relación con redes de radiotelefonía móvil 30, 40 como parte del sistema de radiotelefonía móvil 20, según el estándar GSM, que está especificado en una pluralidad de especificaciones ETSI. El experto en la materia reconocerá, sin embargo, que la presente invención se puede emplear también de manera ventajosa en relación con otras redes de radiotelefonía móvil. Redes de este tipo comprenden redes de radiotelefonía móvil de la tercera generación (3GPP), como UMTS (Universal Mobile Telecommunications System, sistema universal de telecomunicaciones móviles), redes de radiotelefonía móvil de la cuarta generación (4G), como LTE (Long Term Evolution, evolución a largo plazo), así como otras redes de radiotelefonía móvil, como CDMA y similares.
Tal como conoce el experto en la materia, una red de radiotelefonía móvil construida según el estándar GSM o PLMN comprende en general un BSS (“Base Station Subsystem’’, “subsistema de estación base”), que está compuesto por una pluralidad de BTS (“Base Transceiver Station’’, “estación transceptora de base”), que definen células de radio respectivas de la PLMN y están conectadas con un BSC (“Base Station Controller’, “controlador de estación base”). Habitualmente el BSC es una pluralidad de BSC, que se comunican con un MSC (“Mobile Switching Center’, “centro de conmutación móvil”) común. A menudo una base de datos local, que se denomina VLR (“ Visitor Location Registef, “registro de posiciones de visitantes”), es parte del MSC, para poner a disposición informaciones sobre el abonado de radiotelefonía móvil que se encuentran de momento en las células de radio que suministra un MSC (es decir, la zona cubierta por un MSC). El MSC proporciona esencialmente la misma funcionalidad que un centro de comunicación en la red fija (publicswitched telephone network, red telefónica pública conmutada; PSTN) y está en comunicación con un HLR (“Home Location Registef, “registro de posiciones base”), que es la base de datos primaria de la PLMN, en la que están almacenadas informaciones para que el abonado de radiotelefonía móvil inicie sesión o se autentique. Con este propósito el HLR tiene habitualmente acceso a un AUC (“ Authentication Centef, “centro de autenticación”). Tal como conoce el experto en la materia, las conexiones de comunicación entre los componentes descritos anteriormente de una PLMN se pueden basar en estándares patentados y/o abiertos. Los protocolos empleados pueden estar basados por ejemplo en SS7 o IP. Cómo están configurados los componentes de red como unidades independientes o agrupadas y cómo están configuradas las interfaces entre estos componentes corresponde al MnO, de modo que la descripción anterior ha de entenderse únicamente a modo de ejemplo.
El experto en la materia reconocerá que aunque las unidades funcionales descritas anteriormente de una red de radiotelefonía móvil convencional según el estándar GSM pueden presentar otros nombres en otros o futuros estándares de radiotelefonía móvil, los principios subyacentes son esencialmente iguales y, por tanto, están comprendidos igualmente en la invención.
Por motivos de claridad se muestran únicamente los siguientes de los componentes descritos anteriormente de una red de radiotelefonía móvil en la representación esquemática de la figura 1: dos BTS 32A, 32B a modo de ejemplo y un HLR 34 para la red de radiotelefonía móvil 30 así como dos BTS 42A, 42B a modo de ejemplo y un HLR 44 para la red de radiotelefonía móvil 40. Como se puede deducir de la figura 1, la red de radiotelefonía móvil 30 y la red de radiotelefonía móvil 40 están en comunicación, como mínimo parcialmente, con un sistema 50 de segundo plano, preferentemente en forma de un servidor diseñado adecuadamente, como se describirá en detalle a continuación. La red de radiotelefonía móvil 30 y/o la red de radiotelefonía móvil 40 pueden presentar, aparte de otras unidades funcionales que conoce el experto en la materia, por ejemplo en cada caso un SMS-C (“Short Message Service Centef, “centro de servicio de mensajes cortos”) para almacenar, direccionar, convertir y enviar mensajes SMS, por medio de los cuales se pueden transmitir por ejemplo datos del sistema 50 de segundo plano al elemento de seguridad 14 del terminal móvil 12.
Como se puede deducir de la vista ampliada del elemento de seguridad 14 en la figura 1, el elemento de seguridad 14 comprende preferentemente una unidad central de procesamiento o un procesador central (“central processing unir, “unidad central de procesamiento”; CPU) 15. Preferentemente el procesador 15 está equipado de tal manera que se pueden ejecutar aplicaciones en el procesador 15, como por ejemplo una aplicación de administración de abono (“subscription management applet’, “applet de administración de abono”; applet de SM), que proporciona preferentemente, como mínimo, alguna de las características para administrar abonos en el elemento de seguridad 14, como se describe en detalle a continuación en relación con la figura 2. Preferentemente, la aplicación de administración de abono 16 está implementada en forma de un applet Java. Para proporcionar un entorno de ejecución correspondiente para el applet de SM 16, un sistema operativo seguro (no mostrado en la figura 1) puede estar implementado preferentemente en el procesador 15.
El elemento de seguridad 14 comprende preferentemente además una unidad 17 de memoria, que está implementada preferentemente como una unidad de memoria no volátil regrabable, por ejemplo en forma de una memoria flash. Como se puede deducir de la figura 1, un primer abono 18A (SUB1) está almacenado en la unidad 17 de memoria del elemento de seguridad 14. Preferentemente, el primer abono 18A contiene datos que permiten que el elemento de seguridad 14 y el terminal móvil 12 inicien sesión en la red de radiotelefonía móvil 30 y se comuniquen mediante la misma, es decir datos como datos de autorización de abono (“Subscription Credentials’’, “credenciales de abono”), un algoritmo de autenticación específico de MNO y similares. Preferentemente, al menos parte de la unidad 17 de memoria del elemento de seguridad 14 está diseñada para almacenar de manera segura los datos en la misma, por ejemplo datos de autorización de abono sensibles, como una IMSI (“International Mobile Subscriber Identity’, “identidad internacional de abonado del servicio móvil”) o una clave de autenticación Ki, que son parte del abono 18A.
Como se indica en la figura 1, la unidad 17 de memoria presenta preferentemente, como mínimo, un “slot’ (“ranura”) adicional para ubicar abonos adicionales, como por ejemplo para ubicar el abono 18B (SUB2) adicional representado en la figura 1, que el sistema 50 de segundo plano proporciona preferentemente en el elemento de seguridad 14, según el procedimiento representado en la figura 2 y descrito en detalle a continuación.
En la etapa S1 de la figura 2 se proporciona un abono 18B (SUB2) en el elemento de seguridad 14, descargándose el abono 18B en el elemento 14 de seguridad desde un servidor del sistema 50 de segundo plano. A modo de ejemplo el abono 18B proporcionado por el sistema 50 de segundo plano permite la comunicación mediante la red de radiotelefonía móvil 40.
La etapa S1 de la figura 2 se realiza preferentemente utilizando el usuario del terminal móvil 12 una provisión de servicios o productos de un proveedor de productos y servicios. Un proveedor de servicios o productos de este tipo puede ser, según la invención, por ejemplo unos grandes almacenes, un supermercado, un negocio al por menor, un restaurante, una cafetería, el operador de un sistema de transporte urbano público, un parque de ocio, un hotel, un organizador de eventos deportivos, un organizador de conciertos o similares. A este respecto es concebible que se utilice el procedimiento según la invención cuando un usuario de un terminal móvil 12 entra por ejemplo en unos grandes almacenes, compra una bebida en una cafetería o un café o adquiere un pase mensual en un operador de un sistema de transporte urbano público, lo que constituyen ejemplos de la utilización de una provisión de servicios o productos de un proveedor de servicios o productos en el sentido de la presente invención.
Como reconocerá el experto en la materia, la etapa de descargar el abono 18B en el elemento 14 de seguridad del terminal móvil 12 se puede realizar técnicamente de numerosas maneras y modos. Según la invención, es concebible, entre otros, que se descargue el abono 18B mediante la red de radiotelefonía móvil 30, mediante la cual el elemento de seguridad 14 puede comunicarse debido al abono 18A ya presente. Alternativamente el abono 18 se puede descargar en el elemento 14 de seguridad mediante una red WLAN o una red WiFi del proveedor de servicios o productos. Una vez que el abono 18B se ha descargado en la etapa S1 de la figura 2 en el elemento 14 de seguridad del terminal móvil 12, el elemento de seguridad 14 en la etapa S2 de la figura 2 puede acceder a la red de radiotelefonía móvil 40 por medio del abono 18B descargado en la etapa 1, es decir en particular comunicarse mediante la misma.
Según la invención, está previsto ahora en una etapa S3 que se determine preferentemente en el primer acceso del elemento de seguridad 14 del terminal móvil 12 a la red de radiotelefonía móvil 40 y después continuamente la posición actual del terminal móvil 12, para poder verificar continuamente si la posición del terminal móvil 12 se encuentra en una zona predefinida de posiciones permitidas. En los tres ejemplos ya mencionados anteriormente esta zona predefinida podría corresponderse a los locales comerciales de los grandes almacenes, a la zona de clientes de la cafetería o a la red de líneas del operador de un sistema de transporte urbano público. Preferentemente, datos correspondientes que definen la zona de posiciones permitidas para el abono 18B están depositados en una base de datos del sistema 50 de segundo plano, y de manera concreta preferentemente en relación con el abono correspondiente.
La determinación de la position del terminal móvil 12 puede tener lugar a este respecto preferentemente mediante la red de radiotelefonía móvil 40 y/o el sistema 50 de segundo plano.
Según una forma de realización preferente de la invención, el terminal móvil 12 está equipado con un módulo GPS o con un módulo para otro sistema global de navegación por satélite que está diseñado para proporcionar datos mediante los cuales se puede determinar la posición actual del terminal móvil 12. Alternativa o adicionalmente, la posición actual del terminal móvil 12 se puede determinar mediante la célula de radio de la red de radiotelefonía móvil 40 en la que se encuentra el terminal móvil 12. Como ya se ha descrito anteriormente, una célula de radio de la red de radiotelefonía móvil 40 se define por regla general mediante una BTS, por ejemplo las BTS 42A y 42B representadas a modo de ejemplo en la figura 1.
Después de que en la etapa S3 de la figura 2 se ha determinado la posición actual del terminal móvil 12 o del elemento de seguridad 14, se verifica en una etapa S4 de la figura 2 si la posición actual determinada en la etapa S3 del terminal móvil 12 o el elemento de seguridad 14 se encuentra en la zona de posiciones permitidas predefinidas. Como ya se ha descrito anteriormente, un conjunto de datos correspondiente que define la zona de posiciones permitidas está depositado preferentemente en el sistema 50 de segundo plano para el abono 18B.
Si en esta verificación en la etapa S4 se establece que la posición actual determinada para el terminal móvil 12 se encuentra en la zona de posiciones permitidas, se permite el acceso a la red de radiotelefonía móvil 40 por medio del abono 18B. Si, por el contrario, se establece que la posición actual determinada para el terminal móvil 12 no se encuentra en la zona de posiciones permitidas, está previsto, según la invención, que no es posible una comunicación por medio del abono 18B mediante la red de radiotelefonía móvil 40. De este modo se puede impedir en particular que el usuario del terminal móvil 12 emplee el abono 18B proporcionado por el proveedor de servicios o productos fuera de la zona de posiciones permitidas definida por el proveedor de servicios o productos.
Según formas de realización de la invención preferentes, puede estar previsto adicionalmente que el empleo del abono proporcionado por el proveedor de servicios o productos esté limitado temporalmente. Por ejemplo, el proveedor de servicios o productos puede determinar que el abono proporcionado por él mismo sólo se puede emplear durante un periodo de tiempo de, por ejemplo, una hora, depositando indicaciones prefijadas correspondientes en la red de radiotelefonía móvil 40 y/o el sistema 50 de segundo plano.
La figura 3 muestra una representación esquemática a modo de ejemplo de una zona de posiciones permitidas para el empleo del abono 18B así como de una zona de posiciones no permitidas para el empleo del abono 18B del terminal móvil 12, definiéndose en cada caso las dos zonas mediante células de radio correspondientes de la red de radiotelefonía móvil 40, que cubren un sector espacial determinado. A este respecto se define a modo de ejemplo una primera zona de este sector espacial mediante las células de radio A E, I, L y K (representadas sombreadas en la figura 3) y una segunda zona mediante las células de radio F, G y J, representando a modo de ejemplo la segunda zona la zona de posiciones permitidas en el sentido de la invención, que podría tratarse por ejemplo de los locales comerciales de unos grandes almacenes, la zona de clientes de una cafetería, la red de líneas de un sistema de transporte urbano y similares. En este caso, un intento de emplear el abono 18A, sólo sería exitoso si el terminal móvil 12 o el elemento de seguridad 14 se encuentran en el momento de la consulta correspondiente en la zona de posiciones permitidas definida mediante las células de radio F, G y J. En caso de que el terminal móvil 12 o el elemento de seguridad 14, al intentar emplear el abono 18B, se encuentre por el contrario actualmente en la zona de posiciones no permitidas definida mediante las células de radio A E, I, L y K, el empleo del abono 18B se deniega, según la invención.
El procedimiento descrito anteriormente en relación con las figuras 2 y 3 para proporcionar un abono en un elemento de seguridad puede ser utilizado por un proveedor de servicios o productos en particular de manera ventajosa para lograr un incentivo adicional para la utilización de una provisión de servicios o productos ofrecida por el proveedor de servicios o productos. El experto en la materia reconocerá, sin embargo, que el procedimiento según la invención no está limitado a la secuencia exacta de etapas representada en la figura 2. Por ejemplo, el experto en la materia reconocerá que una primera verificación de posición del terminal móvil 12 se puede realizar también antes de la etapa S1 de la figura 2, es decir antes de que el abono 18B se descargue en el elemento 14 de seguridad.

Claims (12)

REIVINDICACIONES
1. Procedimiento para proporcionar un abono (18B) en un elemento de seguridad (14), que está configurado para la inserción o es una parte integrada de manera fija de un terminal móvil (12) de un usuario, comprendiendo el procedimiento las siguientes etapas:
proporcionar el abono (18B) en el elemento de seguridad (14) del terminal móvil (12) del usuario, en el que el abono (18B) se pone a disposición como un abono de una pluralidad de abonos mediante un proveedor de servicios o productos en un sistema (50) de segundo plano y posibilita la comunicación mediante una red de radiotelefonía móvil (40),
en el que se descarga el abono (18B) en el elemento de seguridad (14) mediante una red de radiotelefonía móvil (30) adicional, mediante la cual el elemento de seguridad (14) se puede comunicar por medio de un abono (18A) adicional ya presente, y
acceder el elemento de seguridad (14) a la red de radiotelefonía móvil (40) por medio del abono (18B) proporcionado en el elemento de seguridad (14),
en el que mientras el elemento de seguridad (14) accede a la red de radiotelefonía móvil (40) la posición del terminal móvil (12) se determina en intervalos de tiempo para verificar si la posición del terminal móvil (12) se encuentra en una zona predefinida de posiciones permitidas, y
en el que, en caso de que la posición establecida del terminal móvil (12) no se sitúe en la zona predefinida de posiciones permitidas, el acceso del abono (18B) proporcionado a la red de radiotelefonía móvil (40) se deniega.
2. Procedimiento, según la reivindicación 1, en el que después de un periodo de tiempo predefinido el abono (18B) proporcionado en el elemento de seguridad (14) se desactiva.
3. Procedimiento, según la reivindicación 1, en el que el proveedor de servicios o productos que pone a disposición la pluralidad de abonos predefine la zona de posiciones permitidas para el abono (18B).
4. Procedimiento, según la reivindicación 1, en el que la zona de posiciones permitidas está predefinida para la pluralidad de abonos puestos a disposición por el proveedor de productos y servicios.
5. Procedimiento, según la reivindicación 1, en el que la zona de posiciones permitidas está predefinida mediante datos que están depositados en el sistema (50) de segundo plano.
6. Procedimiento, según la reivindicación 1, en el que la etapa de la verificación de si la posición del terminal móvil (12) se encuentra en la zona predefinida de posiciones permitidas se lleva a cabo mediante la red de radiotelefonía móvil (40) o el sistema (50) de segundo plano.
7. Procedimiento, según la reivindicación 1, en el que el abono (18B) se proporciona al elemento de seguridad (14) del terminal móvil (12) en caso de que el usuario del terminal móvil (12) utilice una provisión de servicios o productos del proveedor de servicios o productos.
8. Procedimiento, según la reivindicación 1, en el que el abono (18B) se proporciona en el elemento de seguridad (14) mediante una red WiFi del proveedor de servicios o productos o mediante otro canal de comunicación, como NFC, Bluetooth, RFID, DECT, ZigBee, infrarrojos o similares.
9. Procedimiento, según la reivindicación 1, en el que la posición del terminal móvil (12) se establece por medio de datos de un sistema global de navegación por satélite, preferentemente datos de GPS.
10. Procedimiento, según la reivindicación 1, en el que la posición del terminal móvil (12) se determina estableciendo la célula de radiotelefonía móvil en la que se encuentra el terminal móvil (12).
11. Procedimiento, según cualquiera de las reivindicaciones anteriores, en el que el proveedor de servicios o productos es unos grandes almacenes, un supermercado, un negocio al por menor, un restaurante, una cafetería, el operador de un sistema de transporte urbano público, un parque de ocio, un hotel, un organizador de eventos deportivos, un organizador de conciertos o similares.
12. Sistema de comunicación (10) con una red de radiotelefonía móvil (40), un sistema (50) de segundo plano y un terminal móvil (12) con un elemento de seguridad (14), estando preparado el sistema de comunicación (10) para llevar a cabo un procedimiento, según cualquiera de las reivindicaciones anteriores.
ES14823910T 2013-12-20 2014-12-19 Procedimiento y dispositivos para proporcionar un abono para la comunicación mediante una red de radiotelefonía móvil Active ES2779301T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102013021966.3A DE102013021966A1 (de) 2013-12-20 2013-12-20 Verfahren und Vorrichtungen zum Bereitstellen einer Subskription für die Kommunikation über ein Mobilfunknetz
PCT/EP2014/003449 WO2015090612A1 (de) 2013-12-20 2014-12-19 Verfahren und vorrichtungen zum bereitstellen einer subskription für die kommunikation über ein mobilfunknetz

Publications (1)

Publication Number Publication Date
ES2779301T3 true ES2779301T3 (es) 2020-08-14

Family

ID=52282675

Family Applications (1)

Application Number Title Priority Date Filing Date
ES14823910T Active ES2779301T3 (es) 2013-12-20 2014-12-19 Procedimiento y dispositivos para proporcionar un abono para la comunicación mediante una red de radiotelefonía móvil

Country Status (6)

Country Link
US (1) US9820151B2 (es)
EP (1) EP3085132B1 (es)
DE (1) DE102013021966A1 (es)
ES (1) ES2779301T3 (es)
PL (1) PL3085132T3 (es)
WO (1) WO2015090612A1 (es)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013021966A1 (de) * 2013-12-20 2015-06-25 Giesecke & Devrient Gmbh Verfahren und Vorrichtungen zum Bereitstellen einer Subskription für die Kommunikation über ein Mobilfunknetz
GB2535749B (en) * 2015-02-26 2021-10-20 Eseye Ltd Authentication module

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5510798A (en) * 1993-04-02 1996-04-23 Bauer; William D. Multiple-accuracy GPS system
SE520304C2 (sv) 1998-09-21 2003-06-24 Telia Ab En metod för differentiering av funktionalitet i ett cellulärt mobiltelefonnät
US7945212B2 (en) * 2002-10-16 2011-05-17 Andrew, Llc Network overlay geo-location system with smart antennas and method of operation
ATE323921T1 (de) * 2003-02-21 2006-05-15 Verfahren und system zur sperrung/entsperrung von einem an eine sim-karte gebundenen geldkonto
KR100561629B1 (ko) * 2003-12-03 2006-03-20 한국전자통신연구원 보안 정보 통합 관리 시스템 및 그 방법
DE102005027971A1 (de) * 2005-06-10 2006-12-28 Vodafone Holding Gmbh Nutzungssteuerung von Diensten in Kommunikationsnetzen
US20080229382A1 (en) * 2007-03-14 2008-09-18 Motorola, Inc. Mobile access terminal security function
US9031536B2 (en) * 2008-04-02 2015-05-12 Yougetitback Limited Method for mitigating the unauthorized use of a device
US8023425B2 (en) * 2009-01-28 2011-09-20 Headwater Partners I Verifiable service billing for intermediate networking devices
US8275415B2 (en) * 2009-02-13 2012-09-25 At&T Intellectual Property I, Lp Systems and methods for multi-device wireless SIM management
WO2011006231A1 (en) * 2009-07-17 2011-01-20 Boldstreet Inc. Hotspot network access system and method
US8996002B2 (en) * 2010-06-14 2015-03-31 Apple Inc. Apparatus and methods for provisioning subscriber identity data in a wireless network
EP2464153A1 (en) 2010-12-10 2012-06-13 ST-Ericsson SA Switching active subscriber identity of a communication
WO2013027085A1 (en) * 2011-08-22 2013-02-28 Nokia Corporation Multi-sim enabling application and use of euicc in legacy terminals
EP2817987B1 (en) * 2012-02-24 2018-10-03 Sony Corporation Mobile communication using reconfigurable user identification module
US20130281085A1 (en) * 2012-04-23 2013-10-24 Apple Inc. Selecting a Subscriber Identity in a User Equipment Device Having Multiple Subscriber Identities
RU2536663C2 (ru) * 2012-12-25 2014-12-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ защиты от нелегального использования облачных инфраструктур
US9723487B2 (en) * 2013-08-19 2017-08-01 American Megatrends, Inc. Mobile device security system
US9036807B1 (en) * 2013-10-25 2015-05-19 Teletech Holdings, Inc. Method and system for routing messages and connecting users associated with live-connected content
DE102013022029A1 (de) * 2013-12-19 2015-06-25 Giesecke & Devrient Gmbh Verfahren und Vorrichtungen zum Verwalten von Subskriptionen auf einem Sicherheitselement
DE102013021966A1 (de) * 2013-12-20 2015-06-25 Giesecke & Devrient Gmbh Verfahren und Vorrichtungen zum Bereitstellen einer Subskription für die Kommunikation über ein Mobilfunknetz

Also Published As

Publication number Publication date
EP3085132B1 (de) 2020-02-26
US9820151B2 (en) 2017-11-14
DE102013021966A1 (de) 2015-06-25
WO2015090612A1 (de) 2015-06-25
US20160323748A1 (en) 2016-11-03
EP3085132A1 (de) 2016-10-26
PL3085132T3 (pl) 2020-06-15

Similar Documents

Publication Publication Date Title
ES2818917T3 (es) Sistema y aparato de compartición de servicios
ES2728299T3 (es) Procedimientos y dispositivos para proporcionar un perfil de suscripción a un dispositivo móvil
ES2922726T3 (es) Procedimiento y aparato de gestión de un perfil de un terminal en un sistema de comunicación inalámbrica
US8295807B2 (en) Personalising a SIM by means of a unique personalized master SIM
ES2562765T3 (es) Método para descargar una subscripción en una UICC incorporada en un terminal
US10492075B2 (en) Methods and devices for providing a secure element with a subscription profile
EP2708069B1 (en) Sim lock for multi-sim environment
US10462667B2 (en) Method of providing mobile communication provider information and device for performing the same
US9246883B2 (en) Subscriber identity module provisioning
ES2604183T3 (es) Método de distribución y método de obtención de datos de identificación de usuario virtual y dispositivos
ES2633351T3 (es) Procedimientos y dispositivos para realizar un cambio de red móvil
US20140248854A1 (en) Wireless network authentication apparatus and methods
ES2528916T3 (es) Procedimiento para asegurar la ejecución de una aplicación NFC instalada en un elemento seguro que forma parte de un terminal móvil
CN108418837B (zh) 移动数据通信设备及操作方法、移动通信系统和存储介质
EP2680627B1 (en) Methods and devices for locking secure element to a mobile terminal
CN107079291A (zh) 用于个性化终端设备的安全元件的方法和系统
ES2779301T3 (es) Procedimiento y dispositivos para proporcionar un abono para la comunicación mediante una red de radiotelefonía móvil
ES2702061T3 (es) Operación de un módulo de identificación de abonado
ES2232297B1 (es) Tarjeta, metodo y producto de programa para telefonia movil.
US9998920B2 (en) Methods and apparatuses for activating a subscription for communication over a mobile radio network
ES2251290A1 (es) Sistema y metodo de aprovisionamiento de usuarios de telefonos moviles.
EP2861001B1 (en) Method of performing network personalization on mobile devices
US10264023B2 (en) Methods and apparatuses for managing subscriptions on a security element
WO2017217874A1 (es) Sistema configurado y método para habilitar / deshabilitar teléfonos móviles en redes de comunicación de empresas operadoras de telefonía móvil
ES2282012B1 (es) Sistema de localizacion e identificacion de un usuario de un equipo movil dentro de una zona predeterminada.