ES2857748T3 - Técnica de obtención de un perfil de acceso a una red - Google Patents

Técnica de obtención de un perfil de acceso a una red Download PDF

Info

Publication number
ES2857748T3
ES2857748T3 ES18707086T ES18707086T ES2857748T3 ES 2857748 T3 ES2857748 T3 ES 2857748T3 ES 18707086 T ES18707086 T ES 18707086T ES 18707086 T ES18707086 T ES 18707086T ES 2857748 T3 ES2857748 T3 ES 2857748T3
Authority
ES
Spain
Prior art keywords
server
access profile
security module
user device
subscription
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES18707086T
Other languages
English (en)
Inventor
Eric Schouler
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Application granted granted Critical
Publication of ES2857748T3 publication Critical patent/ES2857748T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Procedimiento de obtención de un perfil de acceso a una red de comunicación para un primer módulo de seguridad (21) asociado a un primer dispositivo de usuario (11), comprendiendo dicho procedimiento un segundo dispositivo de usuario (10) con el que está asociado un segundo módulo de seguridad (20), habiendo obtenido el segundo módulo de seguridad un perfil de acceso a la red en relación con una suscripción con un operador, estando dicho procedimiento caracterizado por que: - al recibir (E10) una orden de asociación del primer dispositivo de usuario con dicha suscripción, un envío (E12) del segundo dispositivo de usuario al primer dispositivo de usuario, de un mensaje que comprende una dirección de contacto de un servidor (30) configurado para proporcionar mediante la descarga de un perfil de acceso y datos que permiten al servidor consultar a un servidor de control (40) para obtener una orden para descargar el perfil acceso, estando dicho mensaje destinado a desencadenar un envío por dicho primer módulo de seguridad de una solicitud para obtener un perfil de acceso en asociación con dicha suscripción, estando la solicitud dirigida a la dirección de contacto del servidor y comprendiendo dichos datos que permiten a dicho servidor consultar al servidor de control; - una recepción (E13) por parte del segundo dispositivo de usuario desde el primer dispositivo de usuario de una confirmación de una descarga del perfil de acceso en el primer módulo de seguridad.

Description

DESCRIPCIÓN
Técnica de obtención de un perfil de acceso a una red
La invención se refiere al campo general de las telecomunicaciones.
La invención se refiere más particularmente a una técnica para la obtención de un perfil de acceso a una red de comunicaciones para un módulo de seguridad. Más precisamente, esta técnica tiene lugar en un contexto en el que ya se ha obtenido un perfil de acceso para otro módulo de seguridad, conocido como el primer módulo de seguridad, como parte de una suscripción con un operador. Para esta suscripción, se requiere un perfil de acceso para este módulo de seguridad.
Esta técnica de obtención de un perfil de acceso se encuentra en el campo de los terminales de comunicaciones móviles y más particularmente en las llamadas tarjetas eUICC integradas. Una tarjeta eUICC integrada permite que un dispositivo de usuario móvil opere con suscripciones de múltiples operadores con una sola tarjeta eUICC que puede no ser extraíble.
La asociación GSMA (por « Global System for Mobile Communications », "Sistema global para comunicaciones móviles") está desarrollando especificaciones técnicas para una tarjeta tipo "eUICC" (que significa « embedded Universal Integrated Circuit Card », "tarjeta universal integrada de circuito integrado") que desempeña el papel de un módulo de seguridad, destinado a integrarse en un dispositivo de usuario móvil. Tal módulo de seguridad puede ser inamovible y luego es necesario realizar acciones de forma remota, por ejemplo, la programación. La especificación técnica de GSMA "SGP.22 - RSP Technical Specification " v.2.0 del 14 de octubre de 2016 especifica una gestión de configuración remota de una tarjeta eUICC (o módulo de seguridad). De este modo, al comprar un nuevo terminal móvil, ya no es necesario manejar el módulo de seguridad de antemano para acceder a la red de un operador, o incluso cambiarlo al cambiar de operador. Un perfil de acceso corresponde a un conjunto de datos y aplicaciones que permiten al terminal móvil, una vez activado el perfil, acceder a la red de un operador. Se espera que un usuario pueda suscribirse directamente a través de una interfaz hombre-máquina de su dispositivo de usuario, o acudiendo a la tienda de un operador y/o instalando un perfil de acceso a la red. También se espera que pueda cambiar de operador de la misma manera.
Para ello, el usuario obtiene un código de activación AC (por « Activation Code », "Código de activación") que le permite ponerse en contacto con un servidor responsable de preparar los datos de gestión de suscripción SM-DP+ (por « Subscription Manager Data Preparation+ », "Preparación de datos del administrador de suscripción ") para descargar un perfil acceso que ha sido preparado para él. Este código de activación incluye en particular una dirección del servidor SM-DP para contactar para obtener el perfil de acceso y una referencia que permite al servidor identificar este perfil de acceso.
Para una oferta que comprende una pluralidad de módulos de seguridad, conocida como oferta "multi-SIM", un usuario o un administrador de una flota de dispositivos de usuario móviles debe iniciar sesión en un portal de operador, autentificar, encontrar una suscripción con este operador, solicitar agregar un nuevo dispositivo de usuario y, después, obtener el código de activación, por ejemplo, escaneándolo.
Por lo tanto, esta solución no es satisfactoria para el usuario o el administrador de la flota porque requiere muchas interacciones con el sistema de información del operador.
La publicación de patente US2016/0330608A1 describe la descarga de un perfil de acceso en un primer módulo de seguridad después de una solicitud de un segundo módulo de seguridad, con un perfil de acceso a una red de comunicaciones.
La publicación de patente DE102014014078 describe la transferencia de un perfil de acceso a un primer terminal móvil mediante transferencia desde un segundo terminal móvil que tiene un perfil de acceso a una red de comunicaciones. Uno de los objetivos de la invención es solucionar las insuficiencias/inconvenientes del estado de la técnica y/o aportar mejoras a la misma.
Según un primer aspecto, el objeto de la invención es un procedimiento de obtención de un perfil de acceso a una red de comunicaciones para un primer módulo de seguridad asociado a un primer dispositivo de usuario. Este procedimiento comprende, para un segundo dispositivo de usuario con el que está asociado un segundo módulo de seguridad, habiendo obtenido el segundo módulo de seguridad un perfil de acceso a la red en relación con una suscripción con un operador:
- al recibir una orden para asociar el primer dispositivo de usuario con dicha suscripción, un envío del segundo dispositivo de usuario al primer dispositivo de usuario, un mensaje que comprende una dirección de contacto de un servidor configurado para proporcionar un perfil de acceso mediante descarga y datos que permiten al servidor consultar un servidor de control para obtener una orden de descarga del perfil de acceso,
dicho mensaje está destinado a desencadenar un envío por dicho primer módulo de seguridad de una solicitud para obtener un perfil de acceso en asociación con dicha suscripción, estando la solicitud dirigida a la dirección de contacto del servidor y comprendiendo dichos datos que permiten a dicho servidor consultar al servidor de control;
- una recepción por parte del segundo dispositivo de usuario desde el primer dispositivo de usuario de una confirmación de una descarga del perfil de acceso en el primer módulo de seguridad.
Correlativamente, la invención también se refiere a un procedimiento para obtener un perfil de acceso a una red de comunicación para un primer módulo de seguridad asociado con un primer dispositivo de usuario. Este procedimiento comprende:
- recepción por un servidor configurado para proporcionar un perfil de acceso por descarga, una solicitud para obtener un perfil de acceso en asociación con una suscripción con un operador de dicho primer módulo de seguridad, comprendiendo la suscripción al menos un segundo dispositivo de usuario con el que está asociado un segundo módulo de seguridad, habiendo obtenido el segundo módulo de seguridad un perfil de acceso a la red en relación con dicha suscripción, estando la solicitud dirigida a la dirección de contacto del servidor y comprendiendo datos que permiten a dicho servidor consultar a un servidor de control para obtener una orden para descargar el perfil de acceso; - dependiendo de los datos recibidos, una consulta del servidor de control para obtener una orden para descargar el perfil de acceso en el primer módulo de seguridad;
- al obtener dicha orden, una descarga del perfil de acceso en el primer módulo de seguridad, el primer dispositivo de usuario envía una confirmación al segundo dispositivo de usuario después de que se haya descargado el perfil.
En un modo de realización particular, el procedimiento de obtención de un perfil de acceso a una red de comunicación para un primer módulo de seguridad asociado con un primer dispositivo de usuario comprende:
- recepción por un servidor configurado para proporcionar un perfil de acceso mediante descarga, de una solicitud para obtener un perfil de acceso en asociación con una suscripción a un operador desde dicho primer módulo de seguridad, comprendiendo la suscripción al menos un segundo dispositivo de usuario con el que está asociado un segundo módulo de seguridad, habiendo proporcionado el servidor descargando al segundo módulo de seguridad un perfil de acceso a la red en relación con dicha suscripción, estando la solicitud dirigida a la dirección de contacto del servidor y comprendiendo datos que permiten a dicho servidor consultar a un servidor de control para obtener una orden de descarga del perfil de acceso, habiendo recibido la dirección de contacto y dichos datos por el primer dispositivo de usuario en un mensaje enviado por el segundo dispositivo de usuario;
- dependiendo de los datos recibidos, una consulta del servidor de control para obtener una orden para descargar el perfil de acceso en el primer módulo de seguridad;
- al obtener dicha orden, una descarga del perfil de acceso en el primer módulo de seguridad, el primer dispositivo de usuario envía una confirmación al segundo dispositivo de usuario después de que se haya descargado el perfil.
La técnica de obtención de un perfil de acceso a una red de comunicaciones surge de un problema observado para una suscripción que comprende una pluralidad de módulos de seguridad. Sin embargo, es aplicable cuando el usuario o el administrador de la flota desea modificar una suscripción vigente que comprende un único módulo de seguridad para tener la posibilidad de acceder a la red mediante una pluralidad de módulos de seguridad. También es aplicable cuando el usuario o el administrador de la flota desea reemplazar un módulo de seguridad por otro módulo de seguridad como parte de su suscripción.
Gracias a esta técnica, el usuario o el administrador de la flota pueden ordenar muy fácilmente una distribución descargando un perfil de acceso al primer módulo de seguridad como parte de una suscripción que comprende el segundo módulo de seguridad asociado con el segundo dispositivo de usuario. En efecto, el usuario o el administrador de la flota controla esta distribución directamente desde el segundo dispositivo de usuario sin necesidad de interactuar con un sistema de gestión de suscripción. No es necesario que el usuario o el administrador de la flota conozcan e introduzcan un número de suscripción contractual para conectarse a un portal del operador que administra la suscripción. Por lo demás, no se requiere autentificación. En un modo de realización particular, este control se realiza mediante una interfaz hombre-máquina ofrecida por el segundo dispositivo de usuario.
Por lo demás, la técnica de obtención de un perfil de acceso es aplicable a diferentes tipos de módulos de seguridad, tales como tarjetas de tipo "eUICC", tarjetas inteligentes con un sistema operativo que ofrece la funcionalidad de una tarjeta de tipo eUICC.
Los dispositivos de usuario primero y segundo están conectados por medio de un canal de comunicación. Este canal de comunicación es, por ejemplo, una radio de corto alcance o un canal inalámbrico, tal como un canal WiFi, Bluetooth, NFC, ... En otro ejemplo de realización, el canal de comunicación es transportado por un sistema cableado.
La dirección de contacto permite que el primer dispositivo de usuario, más precisamente el primer módulo de seguridad, contacte con el servidor encargado de la distribución del perfil de acceso para el operador de la red de comunicaciones. En el presente documento se recuerda que, según el estado de la técnica, un módulo de seguridad obtiene esta dirección de contacto a partir de un código de activación que se le ha preparado. El procedimiento de obtención de un perfil de acceso como se ha descrito anteriormente no depende de obtener este código de activación. De este modo, en ausencia de este código de activación, el primer módulo de seguridad obtiene la dirección de contacto del servidor directamente del segundo dispositivo de usuario.
Los datos incluidos en el mensaje enviado por el módulo de seguridad permiten que el servidor configurado proporcione un perfil de acceso mediante descarga para identificar al operador que gestiona la suscripción y así consultar a un servidor de control de este operador. En efecto, el servidor no recibe una referencia que le permita identificar este perfil de acceso para este primer módulo de seguridad, al contrario que la técnica anterior. A continuación, el servidor debe consultar a un operador de red para obtener los datos necesarios para la distribución del perfil de acceso. El servidor de control identificado puede entonces proporcionar en respuesta, si se permite dicha descarga, estos datos necesarios para la distribución del perfil de acceso.
Esta técnica no implica la transmisión, fuera de las interfaces protegidas, de un identificador sensible, tales como el identificador de acceso del usuario al operador de red. Este identificador de acceso se conoce más generalmente como IMSI (por « International Mobile Subscriber Identity », "Identidad de abonado móvil internacional") y permite que el usuario sea identificado de forma única en la red del operador.
Los diferentes modos o características de realización mencionados a continuación pueden añadirse independientemente o en combinación unos con los otros, al procedimiento de obtención de un perfil de acceso como se ha definido anteriormente.
En un modo de realización particular del procedimiento de obtención, el segundo dispositivo de usuario obtiene la dirección de contacto del segundo módulo de seguridad.
Antes de la implementación del procedimiento de obtención, el segundo módulo de seguridad ha obtenido un perfil de acceso del servidor responsable de la distribución de los perfiles de acceso y puede así proporcionar la dirección de contacto de este servidor. Esto simplifica la implementación del procedimiento para el usuario o el administrador de la flota.
En un modo de realización particular del procedimiento de obtención, el segundo dispositivo de usuario obtiene del segundo módulo de seguridad los datos que permiten al servidor consultar al servidor de control.
El segundo módulo de seguridad, una vez que se ha descargado un perfil de acceso, se identifica mediante un identificador de perfil de acceso ICCID (por « Integrated Circuit Card ID », "ID de tarjeta de circuito integrado") que es único. Por tanto, es posible deducir los datos que permiten al servidor consultar al servidor de control a partir de este identificador ICCID. Esto simplifica la implementación del procedimiento para el usuario o el administrador de la flota. En un modo de realización particular del procedimiento de obtención, los datos asociados con un perfil de acceso comprenden la dirección de contacto y los datos que permiten al servidor consultar al servidor de control.
La dirección de contacto del servidor así como los datos que permiten al servidor consultar al servidor de control se almacenan, por ejemplo, en los datos del perfil de acceso que se descarga. Esto permite que el segundo módulo de seguridad, que ha memorizado un perfil de acceso, proporcione fácilmente estos datos permitiendo que el primer módulo de seguridad obtenga su propio perfil de acceso. Por tanto, también se puede asociar un tercer módulo de seguridad con esta suscripción implementando de nuevo el procedimiento de obtención del perfil de acceso ya sea desde el primer módulo de seguridad o desde el segundo módulo de seguridad.
En un modo de realización particular del procedimiento de obtención, los datos que permiten al servidor consultar al servidor de control también permiten que el servidor de control identifique la suscripción. A título ilustrativo, el servidor de control puede determinar a partir del identificador de perfil de acceso ICCID qué suscripción está asociada. Por lo tanto, el usuario o el administrador de la flota no necesitan proporcionar una identificación de suscripción.
En un modo de realización particular del procedimiento de obtención, el mensaje enviado también comprende un identificador de suscripción con el operador.
En este modo de realización, los datos que permiten al servidor consultar al servidor de control identifican al operador de red y además se proporciona el identificador de suscripción.
Según un segundo aspecto, la invención también se refiere a un dispositivo de usuario, dicho segundo dispositivo de usuario, al que está asociado un módulo de seguridad, dicho segundo módulo de seguridad. Este segundo dispositivo comprende:
- un primer módulo, dispuesto para recibir una orden para asociar un primer dispositivo de usuario con una suscripción con un operador que comprende al menos dicho segundo dispositivo de usuario, habiendo obtenido el segundo módulo de seguridad un perfil de acceso a la red en relación con dicha suscripción;
- un módulo de mando, dispuesto para enviar al primer dispositivo de usuario un mensaje que comprende una dirección de contacto de un servidor configurado para proporcionar descargando un perfil de acceso y datos que permiten al servidor consultar un servidor de control para obtener una orden de descarga de un perfil de acceso para un primer módulo de seguridad asociado con el primer dispositivo, estando dicho mensaje destinado a desencadenar un envío por dicho primer módulo de seguridad de una solicitud para obtener un perfil de acceso en asociación con dicha suscripción, estando la solicitud dirigida a la dirección de contacto del servidor y comprendiendo dichos datos que permiten a dicho servidor consultar al servidor de control;
dicho módulo de control además está dispuesto para recibir desde el primer dispositivo de usuario una confirmación de una descarga del perfil de acceso en el primer módulo de seguridad.
Este dispositivo de usuario, por supuesto, puede incluir en términos estructurales las diversas características relacionadas con el procedimiento de obtención de un perfil de acceso como se ha descrito anteriormente, que pueden combinarse o tomarse aisladamente. De este modo, las ventajas indicadas para el procedimiento de obtención de un perfil de acceso según el primer aspecto se pueden trasponer directamente al dispositivo de usuario. Por consiguiente, no se detallan más ampliamente.
Según un tercer aspecto, la invención también se refiere a un servidor configurado para proporcionar un perfil de acceso mediante descarga. Este servidor comprende:
- un módulo de recepción, dispuesto para recibir una solicitud de obtención de un perfil de acceso en asociación con una suscripción con un operador desde un primer módulo de seguridad asociado con un primer dispositivo de usuario, comprendiendo la suscripción al menos un segundo dispositivo de usuario con el que está asociado un segundo módulo de seguridad, habiendo proporcionado el servidor descargando al segundo módulo de seguridad un perfil de acceso a la red en relación con dicha suscripción, estando la solicitud dirigida a la dirección de contacto del servidor y comprendiendo datos que permiten a dicho servidor consultar a un servidor de control para obtener una orden para descargar el perfil de acceso;
- un módulo de consulta, diseñado para, dependiendo de los datos recibidos, consultar al servidor de control para obtener una orden para descargar el perfil de acceso en el primer módulo de seguridad;
- un módulo de descarga, diseñado para descargar el perfil de acceso en el primer módulo de seguridad al obtener un pedido del servidor de control, el primer dispositivo de usuario envía una confirmación al segundo dispositivo de usuario después de que se haya descargado el perfil.
En un modo de realización particular, la invención también se refiere a un servidor configurado para proporcionar un perfil de acceso mediante descarga. Este servidor comprende:
- un módulo de recepción, dispuesto para recibir una solicitud de obtención de un perfil de acceso en asociación con una suscripción con un operador desde un primer módulo de seguridad asociado con un primer dispositivo de usuario, comprendiendo la suscripción al menos un segundo dispositivo de usuario con el que está asociado un segundo módulo de seguridad, habiendo obtenido el segundo módulo de seguridad un perfil de acceso a la red en relación con dicha suscripción, estando la solicitud dirigida a la dirección de contacto del servidor y comprendiendo datos que permiten a dicho servidor consultar a un servidor de control para obtener una orden de descarga del perfil de acceso, habiendo recibido la dirección de contacto y dichos datos por el primer dispositivo de usuario en un mensaje enviado por el segundo dispositivo de usuario;
- un módulo de consulta, dispuesto para consultar al servidor de control para obtener una orden para descargar el perfil de acceso en el primer módulo de seguridad;
- un módulo de descarga, diseñado para descargar el perfil de acceso en el primer módulo de seguridad al obtener un pedido del servidor de control, el primer dispositivo de usuario envía una confirmación al segundo dispositivo de usuario después de que se haya descargado el perfil.
Este servidor es un servidor responsable de preparar los datos de gestión de suscripciones SM-DP+. Las ventajas indicadas para el procedimiento de obtención de un perfil de acceso según el primer aspecto se pueden trasponer directamente al servidor. Por consiguiente, no se detallan más ampliamente.
Según un cuarto aspecto, la invención también se refiere a un sistema que comprende un dispositivo de usuario según el segundo aspecto, dicho segundo dispositivo de usuario y un servidor configurado para proporcionar mediante descarga de un perfil de acceso según el tercer aspecto. Este sistema comprende además un primer dispositivo de usuario con el que está asociado un primer módulo de seguridad, formando un primer terminal que comprende: - un módulo de comunicación, dispuesto para recibir desde el segundo dispositivo de usuario un mensaje que comprende una dirección de contacto de un servidor configurado para proporcionar mediante la descarga de un perfil de acceso y datos que permiten al servidor consultar un servidor de control para obtener una orden de descarga de un perfil de acceso para el primer módulo de seguridad;
- un módulo de obtención de un perfil, dispuesto para enviar una solicitud para obtener un perfil de acceso en asociación con una suscripción con un operador, comprendiendo la suscripción al menos el segundo dispositivo de usuario con el que está asociado el segundo módulo de seguridad, estando la solicitud dirigida a la dirección de contacto del servidor e incluyendo dichos datos, y para descargar el perfil de acceso en el primer módulo de seguridad; dicho módulo de comunicación está además dispuesto para enviar al segundo dispositivo de usuario una confirmación de una descarga del perfil de acceso en el primer módulo de seguridad.
Las ventajas expuestas para el procedimiento de obtención de un perfil de acceso según el primer aspecto se pueden trasponer directamente al sistema. Por consiguiente, no se detallan más ampliamente.
Según un quinto aspecto, la invención se refiere a un programa para un dispositivo de usuario, que comprende unas instrucciones de código de programa destinadas a mandar la ejecución de aquellas de las etapas del procedimiento de obtención de un perfil de acceso anteriormente descrito implementadas por el dispositivo, cuando este programa se ejecuta por este dispositivo y un soporte de grabación legible por un servidos en el que está grabado un programa para un dispositivo.
Las ventajas enunciadas para el procedimiento de obtención de un perfil de acceso según el primer aspecto se pueden trasladar directamente al programa para un dispositivo y al soporte de grabación.
Según un sexto aspecto, la invención se refiere a un programa para un servidos, que comprende unas instrucciones de código de programa destinadas a mandar la ejecución de aquellas de las etapas del procedimiento de administración de forma remota anteriormente descrito implementadas por el servidos, cuando este programa se ejecuta por este servidos y un soporte de grabación legible por un dispositivo en el que está grabado un programa para un servidos.
Las ventajas enunciadas para el procedimiento de administración de forma remota según el primer aspecto se pueden trasladar directamente al programa para un servidos y al soporte de grabación.
La técnica de obtención de un perfil de acceso a una red de comunicación para un primer módulo de seguridad se entenderá mejor con la ayuda de la siguiente descripción de realizaciones particulares, con referencia a los dibujos adjuntos, en los que:
- La figura 1 representa un entorno en el que se implementa el procedimiento de obtención de un perfil de acceso en un modo de realización particular;
- la figura 2 ilustra las etapas de un procedimiento de obtención de un perfil de acceso a una red de comunicación según una realización particular;
- la figura 3 representa un dispositivo de usuario según un modo de realización particular;
- la figura 4 representa un servidos según un modo particular de realización.
La figura 1 representa un entorno en el que se implementa en una realización particular el procedimiento de obtención de un perfil de acceso a una red de comunicaciones para un primer módulo de seguridad.
En lo sucesivo de la descripción, Se presentan ejemplos de varios modos de realización que se aplican a un módulo de seguridad del tipo de tarjeta eUICC, como el que actualmente se está estandarizando dentro del marco de la asociación GSMA, pero el procedimiento de obtención de un perfil de acceso también se aplica a otros tipos de módulo de seguridad. Más generalmente, el módulo de seguridad es una plataforma inviolable específica, compuesta por hardware y software, capaz de alojar de forma segura aplicaciones y sus datos confidenciales y criptográficos y proporcionar un entorno seguro de ejecución de aplicaciones, por ejemplo una tarjeta de tipo UICC.
La siguiente descripción se sitúa en el contexto de las especificaciones técnicas, según lo definido por la asociación GSMA. Más precisamente, la arquitectura de la gestión de la configuración remota se define en la especificación técnica SGP.21 " RSP Architecture ", versión 2.0, con fecha 23 de agosto de 2016 y los procedimientos se definen en la especificación técnica SGP.22 " RSP Technical Specification " versión 2.0 con fecha 14 de octubre de 2016.
Un dispositivo de usuario 10, con el que está asociado un módulo de seguridad 20, está dispuesto para acceder a la red de un operador de telefonía móvil mediante un perfil de acceso a la red generado por este operador para este módulo de seguridad. El dispositivo de usuario 10 en asociación con el módulo de seguridad 20 forman un primer terminal móvil. Más precisamente, el perfil de acceso se genera para este módulo de seguridad mediante un servidor de gestión de datos de suscripción, no representado en la figura 1, vinculado al operador. El perfil de acceso incluye una aplicación de acceso a la red y datos de acceso asociados (denominados « credentials » en inglés, "credenciales"), como claves criptográficas y algoritmos. Una vez autorizado, el perfil de acceso permite acceder a una infraestructura de red móvil de este operador. En particular, permite autentificar el terminal móvil, más precisamente, el módulo de seguridad 20 al acceder a la red del operador. Un segundo dispositivo de usuario 11 y su módulo de seguridad asociado 21 también se muestran en la Figura 1. El dispositivo de usuario 11 en asociación con el módulo de seguridad 21 forman un segundo terminal móvil.
La red de comunicaciones del operador móvil, llamada red móvil, es, por ejemplo, una red de comunicaciones inalámbrica de tipo 3G o 4G, según lo estandarizado por 3GPP. Los dispositivos de usuario 10, 11 incluyen cada uno un primer módulo de comunicación, dispuesto para acceder a la red de comunicaciones.
El perfil de acceso se identifica mediante un número ICCID (por « Integrated Circuit Card ID », "ID de tarjeta de circuito integrado") único que identifica el perfil de acceso en un módulo de seguridad.
El módulo de seguridad 20, 21 es típicamente una tarjeta de tipo "eUICC" (del inglés "embedded Universal Integrated Circuit Card", "tarjeta universal integrada de circuito integrado"), también llamada "eSIM" (del inglés "embedded Subscriber Identity Module", "módulo de identidad de abonado integrado"), o tarjeta SIM integrada o no extraíble. No se asocia ninguna limitación a este tipo de tarjeta. En un modo de realización particular, el módulo de seguridad 20, 21 es una tarjeta inteligente con un sistema operativo que ofrece la funcionalidad de una tarjeta de tipo eUICC. En otro modo de realización particular, el módulo de seguridad 20, 21 está integrado en el dispositivo de usuario 10, 11 formando así una única entidad. Cada módulo de seguridad 20, 21 se identifica mediante un identificador de módulo de seguridad EID (por "eUICC-ID").
En la Figura 1 también se muestra un servidor de control 40, por ejemplo integrado en el sistema de información del operador de red. Este servidor de control 40 está diseñado para coordinar las diversas operaciones de configuración en el sistema de información y en la red del operador cuando se suscribe un nuevo usuario, una modificación de una suscripción o al obtener un perfil de acceso. El servidor de control 40 interactúa en particular con un servidor 30 capaz de proporcionar, descargando a un módulo de seguridad, un perfil de acceso preparado para él. Este servidor es responsable de preparar los datos de gestión de suscripciones SM-DP+ (para « Subscription Manager Data Preparation », "Preparación de datos del administrador de suscripciones"). La función de este servidor es:
- preparar archivos de perfil (« Profile Package », "Paquete de perfiles"),
- almacenar de forma segura las claves de protección del perfil y los archivos de perfil protegidos en un área de memoria, y
- asignar archivos de perfil en función de un identificador de módulo de seguridad.
El servidor 30 vincula una carpeta de perfil protegida a un módulo de seguridad y descarga, una vez que se ha establecido una sesión de descarga segura, este o estos perfiles de acceso vinculados a una aplicación LPA (por « Local Profile Assistant », "Asistente de perfil local") que se ejecuta en el dispositivo del usuario.
En la figura 1, también hay una base de datos 41 accesible por el servidor de control 40. Esta base de datos 41 es un repositorio que permite almacenar información de suscripción para este operador.
En este caso cabe destacar que, en aras de la simplicidad, otros equipos, particularmente a cargo de la operación y mantenimiento, facturación, toma de pedidos, ... no se muestran en esta figura 1. Lo mismo ocurre con los equipos de la red del operador.
Los dispositivos de usuario 10, 11 también incluyen un segundo módulo de comunicación, permitiéndoles comunicarse directamente (es decir, sin pasar por la red de comunicación móvil). Por tanto, los dos dispositivos de usuario 10, 11 están situados uno cerca del otro. En un modo de realización particular, es un módulo de comunicación de campo cercano, por ejemplo, un módulo NFC, por "Near Field Communication, comunicación de campo cercano". En otro modo de realización particular, este es un módulo de comunicación por radio de tipo WiFi de corto alcance, Bluetooth. En todavía otro modo de realización, es un módulo de comunicación por cable.
Los distintos intercambios entre los dos dispositivos de usuario 10, 11 se realizan mediante un canal de comunicación, establecido mediante el segundo módulo de comunicación.
El procedimiento de obtención de un perfil de acceso a una red de comunicación para el segundo módulo de seguridad 21 se describirá ahora en relación con la figura 2.
En el estado inicial, se supone que el usuario del dispositivo de usuario 10 y el primer módulo de seguridad 20 se ha suscrito a un operador de red de comunicaciones. Como retorno, obtuvo un código de activación CA (por « Activation Code », "Código de activación") que le permitió instalar en el primer módulo de seguridad 20 un perfil de acceso a la red ICCID1. Una vez instalado el perfil de acceso, el usuario puede acceder a la red de comunicaciones y los servicios proporcionados por el operador de red como parte de su contrato de suscripción. El primer módulo de seguridad 20 ha obtenido así un perfil de acceso a la red en relación con esta suscripción.
Un canal de comunicación directo, representado por una flecha en las figuras 1 y 2, se establece entre los primeros 10 y los segundos 11 dispositivos de usuario.
Un usuario o un administrador de flota ha decidido agregar el segundo dispositivo de usuario 11, más precisamente el segundo módulo de seguridad 21, a esta suscripción. En un modo de realización particular, la suscripción permite asociar una pluralidad de módulos de seguridad (denominados "multi-SIM"). En otro modo de realización particular, la suscripción le permite asociar un solo módulo de seguridad. Entonces se requiere una modificación de la suscripción. En otro modo de realización, el usuario o el administrador de la flota ha decidido transferir el acceso a la red desde el primer módulo de seguridad 20 al segundo módulo de seguridad 21 como parte de su suscripción con el operador. También se pueden considerar otros casos de uso de esta técnica para obtener un perfil de acceso.
Este comando de asociación del segundo dispositivo de usuario 11, más precisamente el segundo módulo de seguridad 21, se puede transmitir por medio de una interfaz hombre-máquina de una aplicación ofrecida por el operador en el primer dispositivo de usuario 10. No hay limitación sobre cómo transmitir este comando. En un modo de realización particular, esta aplicación ofrecida por el operador corresponde a la aplicación LPA. Se pueden ofrecer cuatro opciones en un menú de interacción: "agregar un segundo módulo de seguridad a mi suscripción", "suscribirme a una opción de seguridad de varios módulos de mi suscripción actual", "transferir mi suscripción a un nuevo módulo de seguridad", "suspender un perfil de acceso".
El primer dispositivo de usuario 10 recibe así en una etapa E10 una orden para asociar el segundo dispositivo de usuario 11 con una suscripción con el operador.
En una etapa E11, el primer dispositivo de usuario 10, más precisamente la aplicación LPA, solicitar mediante un mensaje MI al primer módulo de seguridad 20 que le proporcione la dirección de contacto del servidor 30 configurado para proporcionar un perfil de acceso mediante descarga, un dato de identificación y un identificador de suscripción ID_S. Los datos de identificación permiten al servidor SM-DP+ 30 determinar (especialmente cuando este servidor SM-DP+ es compartido por varios operadores) y luego consultar al servidor de control 40 para obtener una orden para descargar el perfil de acceso, como se describe ulteriormente. Corresponde, por ejemplo, a un identificador del operador. El identificador de suscripción ID_S identifica la suscripción que está asociada con la solicitud para obtener un perfil de acceso. En un ejemplo de realización, el identificador de suscripción corresponde a un número de contrato en el sistema de información del operador. El número de contrato se almacena, por ejemplo, en el perfil de acceso mediante una acción para personalizarlo, requiriendo generación dinámica del perfil de acceso. En otro ejemplo de realización, el identificador de suscripción corresponde al identificador del perfil de acceso ICCID1 que se descargó en el primer módulo de seguridad 20.
A continuación, se considera el caso en el que se proporcionó esta información al primer módulo de seguridad 20 durante la distribución del perfil de acceso ICCID1 en los datos asociados con este perfil de acceso. Estos datos son ingresados por el operador. Los datos de identificación pueden corresponder, por ejemplo, a un identificador de operador en los datos. En otro ejemplo de realización, los datos de identificación corresponden a un campo « Service Provider Name » o "Nombre del proveedor de servicios" presente en los metadatos asociados con el perfil de acceso. En otro ejemplo de realización, los datos de identificación corresponden al par MCC (por « Mobile Country Code », "Código de país móvil"), MNC (por « Mobile Network Code », "Código de red móvil").
El mensaje MI es recibido por el primer módulo de seguridad 20 en una etapa F10. Como respuesta, el primer módulo de seguridad 20 envía un mensaje M2, que comprende la dirección de contacto del servidor SM-DP+ 30, los datos de identificación y la suscripción ID_S.
En una etapa E12, el primer dispositivo de usuario 10, más precisamente la aplicación LPA de este dispositivo, envía un mensaje M3 al segundo dispositivo de usuario 11, más precisamente la aplicación LPA que se ejecuta en este segundo dispositivo. Este mensaje M3 lleva información relacionada con una acción a realizar e incluye en particular la dirección de contacto del servidor SM-DP+, los datos de identificación y la suscripción ID_S. Está destinado a activar un envío por parte del segundo módulo de seguridad 21 de una solicitud de obtención de un perfil de acceso en asociación con la suscripción ID_S.
El mensaje M3 es recibido en una etapa E20 por el segundo dispositivo de usuario 11, más específicamente la aplicación LPA. Aún durante esta etapa E20, el segundo dispositivo de usuario 11 envía al segundo módulo de seguridad 21 un mensaje M4, que comprende los datos recibidos en el mensaje M3, en particular, información relativa a una acción que deba realizarse, la dirección de contacto del servidor SM-DP+, los datos de identificación permiten que el servidor SM-DP+30 consulten al servidor de control 40 y el identificador de suscripción ID_S. Este mensaje M4 ordena al segundo módulo de seguridad 21 que obtenga un perfil de acceso del servidor SM-DP+30 cuya dirección de contacto se proporciona en el mensaje M4.
El mensaje M4 es recibido por el segundo módulo de seguridad 21 en una etapa F20. Siempre en esta etapa F20, el segundo módulo de seguridad 21 envía un mensaje de solicitud de perfil de acceso M5 al servidor SM-DP+ 30 a través del segundo dispositivo de usuario 11. Más precisamente, como se ilustra en la figura 10 « Common Mutual Authentication Procedure », "Procedimiento común de autentificación mutua" de la especificación técnica SGP 22 v2.0, este mensaje se envía en un primer túnel establecido entre el dispositivo de usuario 11, más precisamente la aplicación LPA que se ejecuta en el dispositivo de usuario 11 y el servidor SM-DP+30, basado en un segundo túnel establecido entre el módulo de seguridad 21 y el servidor SM-DP+ 30. En este caso cabe destacar que, por simplicidad, la figura 2 representa una relación directa entre el módulo de seguridad 21 y el servidor SMDP 30 mientras el mensaje M5 pasa a través del dispositivo de usuario 11 para llegar al servidor SMPD+30. Este mensaje M5 se envía al servidor SM-DP+ 30 en la dirección de contacto e incluye en particular la acción a realizar, los datos de identificación que permiten al servidor SM-DP+ 30 consultar al servidor de control 40, el identificador de suscripción ID_S y el identificador del módulo de seguridad EID, asociado con la acción a realizar. El identificador del módulo de seguridad EID corresponde al del segundo módulo 21 de seguridad.
El mensaje M5 es recibido por el servidor SM-DP+ 30 en una etapa G1. El servidor SM-DP+ 30 determina que no tiene la información necesaria para distribuir el perfil de acceso. En efecto, este mensaje M5 no comprende información que permita al servidor SM-DP+ 30 identificar un perfil de acceso para descargar. El servidor SM-DP+ 30 envía entonces un mensaje M6 al servidor de control 40 del operador identificado por los datos de identificación recibidos. Este mensaje M6 comprende principalmente la acción a ejecutar, el identificador de suscripción ID_S y el identificador del módulo de seguridad EID. La interfaz entre el servidor SM-DP+ 30 y el servidor de control 40, denominada interfaz ES2 y definida en las especificaciones de la Asociación GSMA, está así adaptada para permitir el envío del mensaje M6, permitir que el servidor SM-DP+ 30 solicite al servidor de control 40 cuando no se identifica ningún perfil de acceso en una solicitud de perfil de acceso.
El mensaje M6 es recibido por el servidor de control 40 en una etapa H1. El servidor de control 40 determina según la acción a ejecutar y la suscripción actual, recibida en el mensaje M6, las acciones que se deben implementar en el sistema de información del operador. Estas acciones no se detallan más en el presente documento. A continuación se considera el caso en el que los mecanismos de decisión implementados por el servidor de control 40 han llevado a la decisión de descargar y, si es necesario, generar, un perfil de acceso.
En una etapa H2, el servidor de control 40 envía un mensaje M7 al servidor SM-DP+ 30. Más precisamente, este mensaje m 7 corresponde a un mensaje « ES2+.DownloadOrder », "ES2 .Descarga de orden" e instruye al servidor SM-DP de una nueva solicitud de reserva de perfil. Este mensaje M7 permite en particular al servidor SM-DP+ 30 reservar un perfil de acceso de identificador ICCID2. El servidor SM-DP+ procesa esta instrucción en una etapa G2 reservando el perfil de acceso ICCID2 o generándolo según la realización.
Siempre en esta etapa H2, el servidor de control 40 envía un mensaje M8 al servidor SM-DP+ 30. Más precisamente, este mensaje M8 corresponde a un mensaje « ES2+.ConfirmOrder », "ES2 Confirmación de orden" y confirma la orden de descarga « ES2+.DownloadOrder », "ES2 .Descarga de orden". En la etapa G2, el servidor SM-DP+ 30 descarga el perfil de acceso ICCID2 (mensaje M9) al segundo módulo de seguridad 21.
El perfil de acceso ICCID2 es recibido y almacenado por el segundo módulo de seguridad 21 en una etapa F21. En un modo de realización particular, el perfil de acceso ICCID2 comprende en los datos asociados con el perfil de acceso la dirección de contacto del servidor 30 configurado para proporcionar un perfil de acceso mediante descarga, datos de identificación y un identificador de suscripción. Esto permite implementar el procedimiento de obtención de un perfil de acceso para un tercer módulo de seguridad, tanto desde el primer terminal o dispositivo de usuario 10 como desde el segundo terminal o dispositivo de usuario 11.
Una vez que se haya descargado e instalado el perfil de acceso ICCID2, el segundo módulo de seguridad 21 envía una confirmación (mensaje M10) al segundo dispositivo de usuario 11 de la ejecución del mensaje de comando M4 para obtener un perfil de acceso del servidor SM-DP+ 30.
El segundo dispositivo de usuario 11 envía entonces una confirmación (mensaje M11) al primer dispositivo de usuario 10, que la recibe durante una etapa E13. Este mensaje de confirmación es una confirmación de una descarga del perfil de acceso ICCID2 en el segundo módulo de seguridad 21. El primer dispositivo de usuario 10 puede entonces informar al usuario o al administrador de la flota a través de su interfaz hombre-máquina. En el presente documento se subraya que la instalación exitosa del perfil de acceso desencadena el envío de una confirmación (no se muestra en la figura 2) al servidor SM-DP+ 30. Este último envía un « ES2+. HandleDownloadProgressInfo », "ES2 . Manejo de información del progreso de la descarga" al servidor de control 30 informando así al operador del resultado de la descarga y permitiendo que este último continúe procesando la acción si es necesario.
En el modo de realización descrito, el mensaje M5, dirigido al servidor SM-DP+ 30 en la dirección de contacto, comprende la acción a ejecutar, los datos de identificación, el identificador de suscripción y el identificador del módulo de seguridad, asociado con la acción a realizar. En otro modo de realización, el mensaje M5 es una solicitud para obtener un perfil de acceso, que comprende los datos de identificación, el identificador de suscripción y el identificador del módulo de seguridad, asociado con la acción a realizar.
En el modo de realización descrito, la dirección de contacto del servidor SM-DP+, los datos de identificación y los datos de suscripción ID_S se proporcionaron en los datos asociados con el perfil de acceso cuando se descargó en el primer módulo de seguridad 20.
En otro modo de realización, sólo la dirección de contacto del servidor SM-DP se proporciona en los datos asociados con el perfil de acceso cuando se descarga en el primer módulo de seguridad 20. El identificador de perfil de acceso ICCID1 se transmite en los diversos mensajes intercambiados como datos que permiten al servidor SM-DP identificar y consultar un servidor de control y como identificador de suscripción. El servidor SM-DP+ 30 determina a partir del identificador de perfil de acceso ICCID1 el operador en cuestión y, por lo tanto, el servidor de control al que contactar. El servidor de control 40 puede obtener del identificador de perfil de acceso ICCID1 el número de contrato asociado consultando la base de datos 4L, lo que permite limitar las modificaciones a realizar en el perfil de acceso.
En otro modo de realización, los datos de identificación son obtenidos por uno de los dispositivos (dispositivo de usuario 10, 11, servidor SM-DP+ 30) desde el identificador de acceso a la red, conocido como IMSI, en particular de los campos MCC y MNC.
En el presente documento cabe destacar que el segundo módulo de seguridad 21 envía un mensaje al servidor SM-DP a través del segundo dispositivo de usuario 11. En este punto, no se descarga e instala ningún perfil de acceso para este segundo terminal. Por tanto, este segundo terminal no puede comunicarse a través de la red de comunicación. En un modo de realización particular, los intercambios se realizan a través de un canal de comunicación de tipo WiFi establecido en una red local. En otro modo de realización, el primer terminal, formado por el dispositivo de usuario 10 y el módulo de seguridad 20, sirve como relé al servidor SM-DP+ 30 a través de la red de comunicación móvil y los intercambios se realizan mediante un canal de comunicación establecido entre los dispositivos de usuario primero 10 y segundo 11.
En un modo de realización particular, el identificador de suscripción ID_S es introducido por el usuario o el administrador de la flota por medio de la interfaz hombre-máquina de la aplicación ofrecida por el operador en el primer dispositivo de usuario 10 como complemento del comando de asociación.
En un modo de realización particular, el usuario proporciona un código de seguridad mediante la interfaz hombremáquina de una aplicación ofrecida por el operador en el primer dispositivo de usuario 10. Este código de seguridad se puede proporcionar, por ejemplo, al mismo tiempo que el comando de asociación. En una variante de realización, el código de seguridad es verificado por el módulo de seguridad 20. En otra variante de realización, el código de seguridad se transmite en los diversos mensajes M3 (desde el dispositivo de usuario 10 al dispositivo de usuario 11), M4 (desde el dispositivo de usuario 11 al módulo de seguridad 21), M5 (desde el módulo de seguridad 21 al servidor SM-DP+ 30) y M6 (desde el servidor SM-DP+ 30 al servidor de control 40). A continuación, el servidor de control 40 verifica el código de seguridad en la etapa H1. Este código de seguridad se utiliza para verificar que la acción haya sido solicitada por un usuario autorizado. En el presente documento se destaca que este código de seguridad puede corresponder en determinados modos de realización particulares al del módulo de seguridad o también al del dispositivo de usuario.
No se adjunta ninguna limitación a estos diferentes modos de realización y los expertos en la técnica pueden definir otros que permitan solicitar una descarga de un perfil de acceso para un módulo de seguridad desde un dispositivo de usuario con otro módulo de seguridad asociado con un perfil de acceso instalado como parte de una suscripción. La figura 3 ilustra esquemáticamente un dispositivo de usuario 10 en un modo de realización particular. Un módulo de seguridad 20 está asociado con este dispositivo de usuario 10. Este módulo de seguridad 20 ha obtenido un perfil de acceso a una red de comunicación en relación con una suscripción para el dispositivo de usuario 10 con un operador. El dispositivo de usuario 10 comprende en particular:
- un procesador 100 para ejecutar las instrucciones de código de módulos de software;
- una zona de memoria 105, dispuesta para memorizar una aplicación que comprende instrucciones de código para implementar las etapas del procedimiento de obtención de un perfil de acceso;
- una memoria de almacenamiento, no representada, dispuesta para almacenar unos datos utilizados durante la implementación del procedimiento de obtención;
- un primer módulo de comunicación 101, dispuesto para acceder a una red de comunicación;
- un segundo módulo de comunicación 102, dispuesto para comunicarse con un segundo dispositivo de usuario; - un módulo de interacción 104, dispuesto para recibir una orden de asociación de un segundo dispositivo de usuario 11 con esta suscripción;
- un módulo de mando 103, dispuesto para enviar al segundo dispositivo de usuario un mensaje que comprende una dirección de contacto de un servidor 30 configurado para proporcionar mediante la descarga de un perfil de acceso y datos que permiten al servidor consultar un servidor de control 40 para obtener una orden de descarga e un perfil de acceso para un segundo módulo de seguridad 21 asociado con el segundo dispositivo, estando dicho mensaje destinado a desencadenar un envío por dicho segundo módulo de seguridad de una solicitud para obtener un perfil de acceso en asociación con dicha suscripción, estando dirigida la solicitud a la dirección de contacto del servidor y comprendiendo dichos datos que permiten a dicho servidor consultar al servidor de control.
El módulo de control 103 está dispuesto además para recibir desde el segundo dispositivo de usuario una confirmación de una descarga del perfil de acceso en el segundo módulo de seguridad.
En un modo de realización particular, el módulo de control 103 está dispuesto además para obtener la dirección de contacto del módulo de seguridad.
En un modo de realización particular, el módulo de control 103 también está diseñado para obtener los datos que permiten al servidor consultar al servidor de control del módulo de seguridad.
En un modo de realización particular, el módulo de control 103 también está dispuesto para implementar una aplicación LPA.
En un modo de realización particular, el módulo de interacción 104 está dispuesto para interactuar con un usuario del dispositivo de usuario 10 a través de una interfaz hombre-máquina.
En el presente documento se subraya que el dispositivo de usuario 10 comprende también otros módulos de procesamiento, no representados en la figura 3, dispuestos para implementar las diferentes funciones de un dispositivo de usuario.
La figura 4 ilustra esquemáticamente un servidor 30 configurado para proporcionar mediante descarga un perfil de acceso en una realización particular. Más precisamente, este servidor 30 es un servidor SM-DP+, responsable de preparar los datos de gestión de suscripciones. El servidor 30 comprende en particular:
- un procesador 300 para ejecutar las instrucciones de código de módulos de software;
- una zona de memoria 305, dispuesta para memorizar una aplicación que comprende instrucciones de código para implementar las etapas del procedimiento de obtención de un perfil de acceso;
- una memoria de almacenamiento, no representada, dispuesta para almacenar unos datos utilizados durante la implementación del procedimiento de obtención;
- un módulo 301 de comunicación, dispuesto para comunicarse con módulos de seguridad y con servidores de un operador;
- un módulo 303 de recepción, dispuesto para recibir una solicitud de obtención de un perfil de acceso en asociación con una suscripción con un operador desde un primer módulo de seguridad 21 asociado con un primer dispositivo de usuario 11, la suscripción comprende al menos un segundo dispositivo de usuario 10 con el que está asociado un segundo módulo de seguridad 20, habiendo obtenido el segundo módulo de seguridad un perfil de acceso a la red en relación con dicha suscripción, estando la solicitud dirigida a la dirección de contacto del servidor y comprende datos que permiten a dicho servidor consultar a un servidor de control 40 para obtener una orden para descargar el perfil de acceso y dirigirse a una dirección de contacto del servidor, habiendo recibido la dirección de contacto y dichos datos por el primer dispositivo de usuario en un mensaje enviado por el segundo dispositivo de usuario;
- un módulo 302 de consulta, dispuesto para consultar al servidor de control para obtener una orden para descargar el perfil de acceso en el primer módulo de seguridad;
- un módulo 304 de descarga, diseñado para descargar el perfil de acceso en el primer módulo de seguridad al obtener un pedido del servidor de control, el primer dispositivo de usuario envía una confirmación al segundo dispositivo de usuario después de que se haya descargado el perfil.
En el presente documento, se enfatiza que el servidos 30 comprende, igualmente, otros módulos de tratamiento, no representados en la figura 4, dispuestos para implementar las diferentes funciones de servidor SM-DP+.
La técnica de obtención de un perfil de acceso se implementa mediante componentes de software y/o hardware. En este contexto, el término "módulo" puede corresponder, en este documento, tanto a un componente de software, como a un componente material o a un conjunto de componentes materiales y/o de software, adecuados para implementar una función o un conjunto de funciones, según lo que se ha descrito anteriormente para el módulo en cuestión.
Un componente de software corresponde a uno o varios programas de ordenador, uno o varios subprogramas de un programa o, de manera más general, a cualquier elemento de un programa o de un software. Un componente de software de este tipo está almacenado en memoria, luego, se carga y es ejecutado por un procesador de datos de una entidad física y es susceptible de acceder a los recursos materiales de esta entidad física (memorias, soportes de grabación, bus de comunicación, tarjetas electrónicas de entradas/salidas, interfaces de usuario, etc.).
De la misma manera, un componente material corresponde a cualquier elemento de un conjunto material (o hardware). Puede tratarse de un componente material programable o no, con o sin procesador integrado para la ejecución de software. Se trata, por ejemplo, de un circuito integrado, de una tarjeta de chip, de una tarjeta electrónica para la ejecución de un microsoftware (firmware), etc.
En un modo de realización particular, los módulos 103, 104 están dispuestos para implementar el procedimiento de obtención anteriormente descrito. Se trata, preferentemente, de módulos de software que comprenden unas instrucciones de software para hacer que se ejecuten aquellas de las etapas del procedimiento de obtención de un perfil de acceso anteriormente descrito, implementadas por un dispositivo de usuario. La invención también se refiere, por lo tanto, a:
- un programa para un dispositivo de usuario, que comprende unas instrucciones de código de programa destinadas a controlar la ejecución de las etapas del procedimiento de obtención de un perfil de acceso anteriormente descrito, cuando dicho programa es ejecutado por este dispositivo;
- un soporte de grabación legible por un dispositivo en el que está grabado el programa para un dispositivo.
En un modo de realización particular, los módulos 302, 303, 304 están dispuestos para implementar el procedimiento de obtención anteriormente descrito. Se trata, preferentemente, de módulos de software que comprenden unas instrucciones de software para hacer que se ejecuten aquellas de las etapas del procedimiento de obtención de un perfil de acceso anteriormente descrito, implementadas por un servidos. La invención también se refiere, por lo tanto, a:
- un programa para un servidor, que comprende unas instrucciones de código de programa destinadas a controlar la ejecución de las etapas del procedimiento de obtención de un perfil de acceso anteriormente descrito, cuando dicho programa es ejecutado por este servidor;
- un soporte de grabación legible por un servidor en el que está grabado el programa para un servidor.
Los módulos de software pueden estar almacenados en o transmitidos por un soporte de datos. Este puede ser un soporte material de almacenamiento, por ejemplo, un CD-ROM, un disquete magnético o un disco duro o bien un soporte de transmisión, tal como una señal eléctrica, óptica o de radio o una red de telecomunicación.
La invención se refiere además a un sistema 1 que comprende un primer dispositivo de usuario 10 y un servidor 30 configurado para proporcionar descargando un perfil de acceso como se ha descrito anteriormente. Este sistema comprende además un segundo dispositivo de usuario 11 con el que está asociado un segundo módulo de seguridad 21, formando un segundo terminal que comprende:
- un módulo de comunicación, dispuesto para recibir desde el primer dispositivo de usuario un mensaje que comprende una dirección de contacto de un servidor 30 configurado para proporcionar descargando un perfil de acceso y datos que permiten al servidor consultar un servidor de control 40 para obtener una orden de descarga de un perfil de acceso para el segundo módulo de seguridad;
- un módulo de obtención de un perfil, dispuesto para enviar una solicitud para obtener un perfil de acceso en asociación con una suscripción con un operador, la suscripción comprende al menos el primer dispositivo de usuario 10 con el que está asociado el primer módulo de seguridad 20, estando la solicitud dirigida a la dirección de contacto del servidor y comprende dichos datos, y para descargar el perfil de acceso en el segundo módulo de seguridad; dicho módulo de comunicación está además dispuesto para enviar al primer dispositivo de usuario una confirmación de una descarga del perfil de acceso en el segundo módulo de seguridad.

Claims (13)

REIVINDICACIONES
1. Procedimiento de obtención de un perfil de acceso a una red de comunicación para un primer módulo de seguridad (21) asociado a un primer dispositivo de usuario (11), comprendiendo dicho procedimiento un segundo dispositivo de usuario (10) con el que está asociado un segundo módulo de seguridad (20), habiendo obtenido el segundo módulo de seguridad un perfil de acceso a la red en relación con una suscripción con un operador, estando dicho procedimiento caracterizado por que:
- al recibir (E10) una orden de asociación del primer dispositivo de usuario con dicha suscripción, un envío (E12) del segundo dispositivo de usuario al primer dispositivo de usuario, de un mensaje que comprende una dirección de contacto de un servidor (30) configurado para proporcionar mediante la descarga de un perfil de acceso y datos que permiten al servidor consultar a un servidor de control (40) para obtener una orden para descargar el perfil acceso, estando dicho mensaje destinado a desencadenar un envío por dicho primer módulo de seguridad de una solicitud para obtener un perfil de acceso en asociación con dicha suscripción, estando la solicitud dirigida a la dirección de contacto del servidor y comprendiendo dichos datos que permiten a dicho servidor consultar al servidor de control; - una recepción (E13) por parte del segundo dispositivo de usuario desde el primer dispositivo de usuario de una confirmación de una descarga del perfil de acceso en el primer módulo de seguridad.
2. Procedimiento de obtención según la reivindicación 1, en el que el segundo dispositivo de usuario obtiene la dirección de contacto del segundo módulo de seguridad.
3. Procedimiento de obtención según la reivindicación 1, en el que el segundo dispositivo de usuario obtiene del segundo módulo de seguridad los datos que permiten al servidor consultar al servidor de control.
4. Procedimiento de obtención según la reivindicación 1, en el que los datos asociados con un perfil de acceso comprenden la dirección de contacto y los datos que permiten al servidor consultar al servidor de control.
5. Procedimiento de obtención según la reivindicación 1, en el que el mensaje enviado comprende además un identificador de suscripción con el operador.
6. Procedimiento de obtención de un perfil de acceso a una red de comunicación para un primer módulo de seguridad (21) asociado a un primer dispositivo de usuario (11), estando dicho procedimiento caracterizado por que comprende: - una recepción por un servidor (30) configurado para proporcionar un perfil de acceso mediante descarga, de una solicitud para obtener un perfil de acceso en asociación con una suscripción a un operador desde dicho primer módulo de seguridad, comprendiendo la suscripción al menos un segundo dispositivo de usuario (10) con el que está asociado un segundo módulo de seguridad (20), habiendo proporcionado el servidor descargando al segundo módulo de seguridad un perfil de acceso a la red en relación con dicha suscripción, estando la solicitud dirigida a la dirección de contacto del servidor y comprendiendo datos que permiten a dicho servidor consultar a un servidor de control (40) para obtener una orden para descargar el perfil de acceso;
- dependiendo de los datos recibidos, una consulta (G1) del servidor de control para obtener una orden de descarga del perfil de acceso en el primer módulo de seguridad;
- al obtener dicha orden, una descarga (G2) del perfil de acceso en el primer módulo de seguridad, una confirmación que se envía al servidor una vez que se ha descargado el perfil.
7. Dispositivo de usuario (10), dicho segundo dispositivo de usuario, al cual está asociado un módulo de seguridad (20), llamado segundo módulo de seguridad, estando dicho dispositivo caracterizado por que comprende:
- un primer módulo (104), dispuesto para recibir una orden para asociar un primer dispositivo de usuario (11) con una suscripción con un operador que comprende al menos dicho segundo dispositivo de usuario, habiendo obtenido el segundo módulo de seguridad un perfil de acceso a la red en relación con dicha suscripción;
- un módulo de mando (103), dispuesto para enviar al primer dispositivo de usuario un mensaje que comprende una dirección de contacto de un servidor (30) configurado para proporcionar mediante la descarga de un perfil de acceso y datos que permiten al servidor consultar un servidor de control (40) para obtener un orden de descarga de un perfil de acceso para un primer módulo de seguridad (21) asociado al primer dispositivo, estando dicho mensaje destinado a desencadenar un envío por dicho primer módulo de seguridad de una solicitud para obtener un perfil de acceso en asociación con dicha suscripción, estando la solicitud dirigida a la dirección de contacto del servidor y comprendiendo dichos datos que permiten a dicho servidor consultar al servidor de control;
dicho módulo de control además está dispuesto para recibir desde el primer dispositivo de usuario una confirmación de una descarga del perfil de acceso en el primer módulo de seguridad.
8. Servidor (30) configurado para proporcionar un perfil de acceso mediante descarga, estando dicho servidor caracterizado por que comprende:
- un módulo de recepción (303), dispuesto para recibir una solicitud para obtener un perfil de acceso en asociación con una suscripción con un operador desde un primer módulo de seguridad (21) asociado con un primer dispositivo de usuario (11), comprendiendo la suscripción al menos un segundo dispositivo de usuario (10) con el que está asociado un segundo módulo de seguridad (20), habiendo proporcionado el servidor descargando al segundo módulo de seguridad un perfil de acceso a la red en relación con dicha suscripción, estando la solicitud dirigida a la dirección de contacto del servidor y comprendiendo datos que permiten a dicho servidor consultar a un servidor de control (40) para obtener una orden para descargar el perfil de acceso;
- un módulo (302) de consulta, diseñado para, dependiendo de los datos recibidos, consultar al servidor de control para obtener una orden para descargar el perfil de acceso en el primer módulo de seguridad;
- un módulo (304) de descarga, dispuesto para descargar el perfil de acceso en el primer módulo de seguridad al obtener una orden de control procedente del servidor y para recibir la confirmación una vez que se haya descargado el perfil.
9. Sistema que comprende un dispositivo de usuario según la reivindicación 7, dicho segundo dispositivo de usuario y un servidor configurado para proporcionar mediante descarga un perfil de acceso según la reivindicación 8, comprendiendo además dicho sistema un primer dispositivo de usuario (11) con el que está asociado un primer módulo de seguridad (21), formando un primer terminal que comprende:
- un módulo de comunicación, dispuesto para recibir desde el segundo dispositivo de usuario un mensaje que comprende una dirección de contacto de un servidor (30) configurado para proporcionar mediante descarga un perfil de acceso y datos que permiten al servidor consultar un servidor de control (40) para obtener una orden para descargar un perfil de acceso para el primer módulo de seguridad;
- un módulo de obtención de un perfil, dispuesto para enviar una solicitud para obtener un perfil de acceso en asociación con una suscripción con un operador, comprendiendo la suscripción al menos el segundo dispositivo de usuario (10) con el que está asociado el segundo módulo de seguridad (20), estando la solicitud dirigida a la dirección de contacto del servidor e incluyendo dichos datos, y para descargar el perfil de acceso en el primer módulo de seguridad;
dicho módulo de comunicación está además dispuesto para enviar al segundo dispositivo de usuario una confirmación de una descarga del perfil de acceso en el primer módulo de seguridad.
10. Programa para un dispositivo de usuario, que comprende unas instrucciones de código de programa destinadas a mandar la ejecución de aquellas de las etapas del procedimiento de obtención de un perfil de acceso según una de las reivindicaciones 1 a 5 implementadas por el dispositivo, cuando dicho programa es ejecutado por dicho dispositivo.
11. Soporte de grabación legible por un dispositivo de usuario en el que está grabado el programa según la reivindicación 10.
12. Programa para un servidor, que comprende instrucciones de código de programa destinadas a controlar la ejecución de aquellas de las etapas del procedimiento de obtención de un perfil de acceso según la reivindicación 6 que están implementadas por el servidor, cuando dicho programa es ejecutado por dicho servidor.
13. Soporte de grabación legible por un servidor en el que está grabado el programa según la reivindicación 12.
ES18707086T 2017-02-09 2018-02-06 Técnica de obtención de un perfil de acceso a una red Active ES2857748T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1751068A FR3062768A1 (fr) 2017-02-09 2017-02-09 Technique d'obtention d'un profil d'acces a un reseau
PCT/FR2018/050284 WO2018146408A1 (fr) 2017-02-09 2018-02-06 Technique d'obtention d'un profil d'accès à un réseau

Publications (1)

Publication Number Publication Date
ES2857748T3 true ES2857748T3 (es) 2021-09-29

Family

ID=58669975

Family Applications (1)

Application Number Title Priority Date Filing Date
ES18707086T Active ES2857748T3 (es) 2017-02-09 2018-02-06 Técnica de obtención de un perfil de acceso a una red

Country Status (6)

Country Link
US (1) US11503474B2 (es)
EP (1) EP3580946B1 (es)
CN (1) CN110268731B (es)
ES (1) ES2857748T3 (es)
FR (1) FR3062768A1 (es)
WO (1) WO2018146408A1 (es)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9247399B2 (en) 2013-03-14 2016-01-26 Google Technology Holdings LLC Alert peripheral for notification of events occuring on a programmable user equipment with communication capabilities
EP4203532A1 (en) * 2016-10-31 2023-06-28 Huawei Technologies Co., Ltd. Profile download method and device
FR3062767A1 (fr) * 2017-02-09 2018-08-10 Orange Technique d'administration d'une souscription aupres d'un operateur
US11516649B2 (en) * 2018-10-29 2022-11-29 Apple Inc. Mechanism to activate and manage a standalone device for cellular service
KR102696887B1 (ko) 2019-03-28 2024-08-20 삼성전자주식회사 가입자 프로파일을 설치하기 위한 방법 및 그 전자 장치

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI20021833A0 (fi) * 2002-10-09 2002-10-15 Nokia Corp Sertifikaattien toimittamisen kontrollointi matkaviestinjärjestelmässä
US7277416B1 (en) * 2003-09-02 2007-10-02 Cellco Partnership Network based IP address assignment for static IP subscriber
FI20041652A0 (fi) * 2004-12-22 2004-12-22 Nokia Corp Vierailevan päätelaitteen oletustilaajaprofiili pakettidataperusteisessa matkaviestinverkossa
CN101146243A (zh) * 2006-09-15 2008-03-19 华为技术有限公司 一种业务订阅的方法和系统及相应的设备
US8644218B1 (en) * 2011-03-24 2014-02-04 Sprint Communications Company L.P. Reconnecting dropped calls using an internet protocol multimedia subsystem
CN103748906A (zh) * 2011-08-22 2014-04-23 诺基亚公司 传统终端中允许多sim的应用以及euicc的使用
US9213833B2 (en) * 2012-11-07 2015-12-15 Ebay Inc. Methods and systems for detecting an electronic intrusion
KR102144430B1 (ko) * 2012-12-11 2020-08-13 삼성전자 주식회사 프로비져닝 프로파일을 이용하여 이동 통신 네트워크 사업자를 선택하는 방법 및 이를 이용하는 장치
EP2802162A1 (en) * 2013-05-07 2014-11-12 Gemalto SA Method for accessing a service, corresponding device and system
EP2835995A1 (en) * 2013-08-09 2015-02-11 Giesecke & Devrient GmbH Methods and devices for performing a mobile network switch
EP2835996B1 (en) * 2013-08-09 2018-03-28 Giesecke+Devrient Mobile Security GmbH Methods and devices for performing a mobile network switch
US9100175B2 (en) * 2013-11-19 2015-08-04 M2M And Iot Technologies, Llc Embedded universal integrated circuit card supporting two-factor authentication
FR3011652B1 (fr) * 2013-10-07 2015-12-04 Oberthur Technologies Procede de personnalisation d'un element securise
GB2522044A (en) * 2014-01-10 2015-07-15 Samsung Electronics Co Ltd Provisioning apparatus and methods therefor
CN105101158B (zh) * 2014-05-23 2019-01-11 华为技术有限公司 Profile切换方法、信号强度检测方法及设备
KR102311027B1 (ko) * 2014-08-14 2021-10-08 삼성전자 주식회사 그룹단말의 프로파일 설치 방법
DE102014014078A1 (de) 2014-09-23 2016-03-24 Giesecke & Devrient Gmbh Verfahren und Vorrichtungen zum Bereitstellen eines Subskriptionsprofils auf einem mobilen Endgerät
US9363665B1 (en) * 2014-09-30 2016-06-07 Sprint Communications Company L.P. Targeting insertion work-around for long term evolution (LTE) path
US9942211B1 (en) * 2014-12-11 2018-04-10 Amazon Technologies, Inc. Efficient use of keystreams
WO2016167536A1 (en) * 2015-04-13 2016-10-20 Samsung Electronics Co., Ltd. Method and apparatus for managing a profile of a terminal in a wireless communication system
EP3968677B1 (en) * 2016-03-03 2023-05-10 Huawei Technologies Co., Ltd. Profile download method and system, and related device
US20170277898A1 (en) * 2016-03-25 2017-09-28 Advanced Micro Devices, Inc. Key management for secure memory address spaces
CN105792179B (zh) * 2016-04-29 2019-05-14 宇龙计算机通信科技(深圳)有限公司 一种数据处理的方法、装置以及终端
US10321300B2 (en) * 2016-05-26 2019-06-11 Oracle International Corporation Methods, systems, and computer readable media for providing end-to-end priority service in long term evolution (LTE) or subsequent generation networks
US10667123B2 (en) * 2016-11-22 2020-05-26 Huawei Technologies Co., Ltd. Method for installing subscription profile, terminal, and server
WO2018129724A1 (zh) * 2017-01-13 2018-07-19 华为技术有限公司 一种签约数据集的下载方法、设备及服务器
FR3062767A1 (fr) * 2017-02-09 2018-08-10 Orange Technique d'administration d'une souscription aupres d'un operateur

Also Published As

Publication number Publication date
WO2018146408A1 (fr) 2018-08-16
EP3580946B1 (fr) 2020-12-16
CN110268731B (zh) 2022-06-21
CN110268731A (zh) 2019-09-20
EP3580946A1 (fr) 2019-12-18
US20190357038A1 (en) 2019-11-21
FR3062768A1 (fr) 2018-08-10
US11503474B2 (en) 2022-11-15

Similar Documents

Publication Publication Date Title
ES2857748T3 (es) Técnica de obtención de un perfil de acceso a una red
TWI589142B (zh) 行動無線電通訊裝置、伺服器、用於控制行動無線電通訊裝置的方法以及用於控制伺服器的方法
US11019482B2 (en) Method, system, and terminal device for realizing local profile assistant based on remote subscriber identification module provisioning
ES2754216T3 (es) Método de aprovisionamiento de un perfil de abonado para un módulo asegurado
US11025611B2 (en) Method and apparatus of constructing secure infra-structure for using embedded universal integrated circuit card
US11496883B2 (en) Apparatus and method for access control on eSIM
US10356606B2 (en) Proxy platform for inter-operator provisioning of eSIM profiles
JP7384920B2 (ja) 加入プロファイル、加入者idモジュール、および加入サーバを提供する方法
CN110169100B (zh) 配置文件管理的方法、嵌入式通用集成电路卡和终端
CN106105157B (zh) 通信系统
KR20160101581A (ko) 프로파일을 전달하는 방법과 이를 지원하는 전자 장치
BR112012031747B1 (pt) Aparelhos e métodos para provisionamento de dados de identidade de assinante em uma rede sem fio
KR20180132855A (ko) 업데이트된 프로파일을 다운로드하기 위한 방법, 서버들 및 시스템
US20160316372A1 (en) Methods and Devices for Providing a Secure Element with a Subscription Profile
ES2908133T3 (es) Técnica de administración de una suscripción a un operador
WO2019229188A1 (en) Subscriber access to wireless networks
CN105706472A (zh) 订阅管理
JP2019017101A (ja) 接続情報送信装置、方法およびプログラム
EP4135372A1 (en) Delegated euicc profile management
EP4380102A1 (en) A method to allow traceability of usim profile tranfer from a source device to a target device, corresponding system an remote server
JP2017225080A (ja) 接続情報送信装置、方法およびプログラム