FR3039738A1 - Procede de gestion d'un profil enregistre dans un element securise, et element securise correspondant - Google Patents

Procede de gestion d'un profil enregistre dans un element securise, et element securise correspondant Download PDF

Info

Publication number
FR3039738A1
FR3039738A1 FR1557218A FR1557218A FR3039738A1 FR 3039738 A1 FR3039738 A1 FR 3039738A1 FR 1557218 A FR1557218 A FR 1557218A FR 1557218 A FR1557218 A FR 1557218A FR 3039738 A1 FR3039738 A1 FR 3039738A1
Authority
FR
France
Prior art keywords
profile
secure element
deleted
indicator
security domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1557218A
Other languages
English (en)
Other versions
FR3039738B1 (fr
Inventor
Alexis Michel
Tomasz Wozniak
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Idemia France SAS
Original Assignee
Oberthur Technologies SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oberthur Technologies SA filed Critical Oberthur Technologies SA
Priority to FR1557218A priority Critical patent/FR3039738B1/fr
Priority to US15/220,994 priority patent/US10582383B2/en
Publication of FR3039738A1 publication Critical patent/FR3039738A1/fr
Application granted granted Critical
Publication of FR3039738B1 publication Critical patent/FR3039738B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/183Processing at user equipment or user record carrier

Abstract

Procédé de gestion d'un profil de communication mobile enregistré dans une mémoire non volatile d'un élément sécurisé et mis en œuvre par ledit élément sécurisé, caractérisé en ce qu'il comporte : - une lecture (S11) de l'état d'un indicateur enregistré dans ladite mémoire non volatile de l'élément sécurisé indiquant si ledit profil peut être supprimé, - une détermination (S12) de l'état actif ou inactif dudit profil, et - si ledit indicateur indique que le profil peut être supprimé et s'il est déterminé que le profil est inactif, une suppression (S22) dudit profil.

Description

Arrière-plan de l'invention L'invention se rapporte au domaine général des éléments sécurisés dans lesquels peuvent être enregistrés des profils, en particulier les éléments sécurisés installés au sein de terminaux. L'invention s'applique en particulier et de façon non limitative aux éléments sécurisés de type eUICC (« embedded UICC (Universal Integrated Circuit Card) ») intégrés dans des terminaux.
Les éléments sécurisés de type eUICC sont décrits dans la norme GSMA - SGP.02 - « Remote Provisioning Architecture for Embedded UICC Technical Spécification » - Version 2.0. On peut noter que ces éléments permettent de remplacer une carte SIM (« Subscriber Identity Module ») traditionnelle par un microcircuit installé de manière permanente dans un terminal. En effet, les fonctions d'authentification auprès d'un opérateur de téléphonie mobile (« MNO : Mobile Network Operator ») sont mise en oeuvre de manière analogue par un eUICC et par une carte SIM.
Les éléments eUICC diffèrent des éléments UICC traditionnels en ce qu'ils comportent des profils qui permettent l'authentification auprès d'opérateurs de téléphonie mobile différents. A titre indicatif, un dispositif équipé d'un élément sécurisé de ce type peut être commercialisé avec un profil appelé profil de provisionnement (« provisionning profile ») déjà enregistré dans l'élément sécurisé. Le profil de provisionnement permet de sélectionner ultérieurement un opérateur de téléphonie mobile et de télécharger un nouveau profil correspondant à cet opérateur de téléphonie mobile. Ce téléchargement est effectué à partir d'un serveur de domaine de sécurité (« SM-SR : Subscription Manager - Secure Routing »).
Les éléments eUICC sont donc particulièrement adaptés pour la communication entre des dispositifs électroniques (« M2M : Machine To Machine ») dans lesquels il peut être préférable de fixer, par exemple par soudage, l'élément sécurisé.
Les infrastructures nécessaires pour gérer des profils dans des éléments eUICC comprennent au moins un opérateur de téléphone mobile, un serveur de préparation de domaine de sécurité (« SM-DP : Subscription manager - Data Préparation ») qui chiffre les profils qui seront téléchargés par l'élément eUICC, un serveur de domaine de sécurité SM-SR, et enfin l'élément eUICC lui-même.
Dans la présente demande, la notion de « profil » doit être interprétée au sens large à savoir comme un ensemble d'au moins un fichier et/ou de données. Un profil au sens de l'invention peut notamment comprendre au moins un élément parmi :
Un fichier standard tel que défini par les spécifications du 3GPP ou de l'ETSI pour les UICC et leurs applications et notamment par les normes 3GPP 31.102 et ETSI 102.221 ;
Un fichier propriétaire ;
Un fichier de configuration d'un système d'exploitation ;
Une application Java Card et des éléments de personnalisation associées ;
Des données telles que des clefs de protocole de transport, des paramètres d'algorithme d'authentification,...
Un élément eUICC comporte notamment un domaine de sécurité privilégié (« ISD-P : Issuer Security Domain - Root ») configuré pour gérer les profils et un ou plusieurs domaines de sécurité (« ISD-P : Issuer Security Domain - Profile ») comprenant chacun un profil.
Un domaine de sécurité comporte donc au moins les mêmes données qu'un profil (données et/ou application), et l'on peut noter qu'un domaine de sécurité privilégié comporte également des clefs de chiffrage et des applications. Par abus de langage, dans la présente demande, l'expression domaine de sécurité privilégié vise à la fois la zone de mémoire qui comporte ces clefs et ces applications, ainsi que le module logiciel ayant des fonctions de gestion de domaine de sécurité qui est obtenu à partir du domaine de sécurité privilégié.
Il a été observé que le profil de provisionnement n'est plus utilisé une fois qu'un profil a été téléchargé et que ce profil téléchargé à été activé, puisque sa fonction principale est de permettre le téléchargement d'un profil. D'autres profils téléchargés ultérieurement peuvent aussi avoir une utilité temporaire. Tel est le cas des profils limités pendant une durée (par exemple un temps de consommation limité), une période (validité du profile durant une période limitée) ou encore associés à des limites de données transférées (quota de données). Ces profils sont néanmoins tous conservés par l'élément sécurisé eUICC.
Aussi, chaque profil est associé à une paire de données bien connues de l'homme du métier sous les acronymes IMSI (« International Mobile Subscriber Identity ») et Ki (clé de chiffrement). Les opérateurs de réseau mobile ont à leur disposition un nombre limité de paires IMSI/Ki. A chaque profil inutilisé et stocké dans un élément ellICC correspond donc une paire IMSI/Ki qui est inutilisée. Cela est désavantageux pour les opérateurs de téléphonie mobile qui souhaitent pouvoir réutiliser les paires IMSI/KI.
Le stockage de profils inutilisés est par ailleurs problématique au vu de la quantité de mémoire occupée dans un élément sécurisé eUICC par les profils inutilisés.
Ce stockage pose également des problèmes de sécurité puisque des données secrètes propres à des opérateurs de téléphonie mobile sont stockées avec les profils.
Enfin, si un nombre élevé de profils sont mémorisés dans un élément sécurité eUICC, la gestion manuelle de ces profils peut être confuse. Cette confusion peut apparaître si un utilisateur utilise une interface pour sélectionner un profil à activer parmi tous les profils enregistrés dans l'élément sécurisé. L'invention vise notamment à pallier certains de ces inconvénients, et en particulier à améliorer le traitement de profils inutilisés enregistrés dans les éléments sécurisés.
Objet et résumé de l'invention
La présente invention répond à ce besoin en proposant un procédé de gestion d'un profil de communication mobile enregistré dans une mémoire non volatile d'un élément sécurisé et mis en œuvre par ledit élément sécurisé, caractérisé en ce qu'il comporte : - une lecture de l'état d'un indicateur enregistré dans ladite mémoire non volatile de l'élément sécurisé indiquant si ledit profil peut être supprimé, - une détermination de l'état actif ou inactif dudit profil, et - si ledit indicateur indique que le profil peut être supprimé et s'il est déterminé que le profil est inactif, une suppression dudit profil.
Ce procédé permet donc d'autoriser la suppression d'un profil à l'initiative de l'élément sécurisé qui vérifie les deux conditions : l'indicateur indique que le profil peut être supprimé et le profil est inactif.
En supprimant ce profil inactif, si ce profil est associé à une paire IMSI/KI, on peut récupérer cette paire pour un autre élément sécurisé. On peut également libérer de l'espace mémoire et clarifier la gestion de nombreux profils par un utilisateur.
En outre, on résout les problèmes de sécurité liés à la mémorisation d'informations secrètes dans les profils.
On peut noter que dans les solutions selon la technique antérieure pour les éléments eUICC, une suppression de profil n'est réalisée qu'après réception d'une instruction de suppression émise par un serveur de domaine de sécurité SM-SR : il n'y a pas de lecture d'un indicateur qui indique si le profil peut être supprimé puisque cet indicateur n'est pas présent dans les éléments sécurisés selon la technique antérieure. Ici, l'indicateur est mémorisé dans la mémoire non volatile de l'élément sécurisé, et il y est toujours présent et lisible dès lors que le profil n'est pas supprimé.
La mémoire non-volatile peut être une mémoire EEPROM (« Electrically-erasable programmable read-only memory »), ou encore une mémoire FLASH.
On peut également noter que dans les solutions selon la technique antérieure, la gestion des profils est réalisée par un serveur de domaine de sécurité qui ne peut réaliser des suppressions que si l'élément sécurisé est connecté à un réseau pour la communication mobile. Au contraire, dans l'invention, même en cas d'interruption dans la connexion au réseau, il est possible pour l'élément sécurisé de vérifier que les conditions nécessaires à la suppression d'un profil sont telles que la suppression du profil peut être mise en œuvre. Ceci permet d'éviter de conserver des profils inutiles en cas d'interruption dans la connexion au réseau.
On obtient donc une suppression mise en œuvre automatiquement par l'élément sécurisé qui peut ne pas être connecté à un réseau de communication mobile. La suppression est ainsi initiée sans réception d'un message provenant de l'extérieur et en particulier d'un serveur de domaine de sécurité, par exemple un message du type « delete ».
Selon un mode particulier de mise en œuvre, le procédé comprend une étape préalable d'attribution audit indicateur d'un état indiquant que le profil peut être supprimé, ladite attribution étant mise en œuvre pendant une phase de personnalisation de l'élément sécurisé comportant un enregistrement dudit profil.
Une phase de personnalisation est une phase bien connue de l'homme du métier dans laquelle on configure un élément sécurisé en enregistrant dans sa mémoire non volatile des données propres à l'élément sécurisé, en particulier un profil de communication mobile.
Ce mode particulier de mise en œuvre permet de supprimer automatiquement un profil dès sa désactivation, puisque lors de l'enregistrement ou de l'installation de ce profil (au cours de la phase de personnalisation), l'indicateur est mis dans un état qui indique que le profil peut être supprimé. Ce mode particulier de mise en œuvre est particulièrement bien adapté pour les profils temporaires qui ne doivent être conservés que jusqu'à ce qu'ils soient remplacés.
Selon un mode particulier de mise en œuvre, lequel ladite phase de personnalisation est mise en œuvre préalablement à une phase d'utilisation de l'élément sécurisé, et la phase de personnalisation comporte une connexion à un lecteur alimentant électriquement l'élément sécurisé, une authentification et/ou une sécurisation cryptographique d'une session avec le lecteur, ledit enregistrement du profil et ladite attribution audit indicateur d'un état indiquant que le profil peut être supprimé au cours de cette session, une fermeture de ladite session, et une déconnexion de la carte au lecteur.
La phase d'utilisation de l'élément sécurisé comprend l'utilisation par un utilisateur final de l'élément sécurisé, après que le profil ait été attribué à cet utilisateur final et que l'élément sécurisé ait été remis à un utilisateur (par exemple dans un terminal). Selon un mode particulier de mise en œuvre, ladite phase de personnalisation est mise en œuvre pendant une phase d'utilisation de l'élément sécurisé, et la phase de personnalisation comporte une authentification et/ou une sécurisation d'une session sur un canal de communication mobile, ledit enregistrement du profil au cours de cette session et ladite attribution audit indicateur d'un état indiquant que le profil peut être supprimé, et une fermeture de ladite session.
Ici, la phase de personnalisation est faite à distance de manière « over the air » selon l'expression anglo-saxonne bien connue de l'homme du métier.
Selon un mode particulier de mise en oeuvre, le profil de communication mobile est un profil de provisionnement.
Ce mode particulier de mise en œuvre permet de supprimer automatiquement ce profil de provisionnement dès qu'un nouveau profil a été téléchargé et activé.
Selon un mode particulier de mise en œuvre, le procédé comporte une étape préalable de comparaison par ledit élément sécurisé d'une variable de fonctionnement associée au moins audit profil à un seuil associé au moins audit profil, ledit et ladite variable de fonctionnement seuil étant mémorisés dans ladite mémoire non-volatile de l'élément sécurisé et, si ledit seuil est atteint par ladite variable de fonctionnement, une attribution audit indicateur d'un état indiquant que le profil peut être supprimé.
Dans ce mode particulier de mise en œuvre, l'attribution à l'indicateur d'un état indiquant que le profil peut être supprimé est faite postérieurement à l'enregistrement du profil, et cette attribution est faite alors que le profil et l'élément sécurisé ont déjà été utilisés. Aussi, la comparaison et l'attribution sont effectuées à l'initiative de l'élément sécurisé puisque la variable de fonctionnement lui est propre et elle peut être mesurée ou lue par l'élément sécurisé. En d'autres termes, la comparaison et l'attribution sont faites sans réception d'un message visant à provoquer l'attribution provenant de l'extérieur.
Aussi, la variable de fonctionnement associée à l'élément sécurisée peut être une variable de fonctionnement d'un terminal dans lequel est intégré l'élément sécurisé et avec lequel il est donc associé.
Selon un mode particulier de mise en œuvre, ladite variable est une durée de fonctionnement en communication et ledit seuil est une durée maximale de fonctionnement en communication, ou ladite variable est une quantité de données et ledit seuil est une quantité maximale de données, ou ladite variable est une durée d'activation du profil et ledit seuil est une durée maximale d'activation du profil.
Ce mode particulier de mise en œuvre s'applique en particulier aux profils de communication mobile limités en ce qui concerne une durée d'appel ou une quantité de données échangées avec l'extérieur, ou encore une durée pendant laquelle le profil est activé. Ces variables peuvent être suivies par l'élément sécurisé qui est utilisé pour lors de communications avec l'extérieur.
Selon un mode particulier de mise en œuvre, ledit profil est enregistré dans un domaine de sécurité comprenant en outre ledit indicateur, et la suppression dudit profil comporte une suppression du domaine de sécurité comprenant ledit profil.
Selon un mode particulier de mise en œuvre, ladite lecture de l'état de l'indicateur, ladite détermination de l'état du profil et ladite suppression sont mises en œuvre en utilisant un domaine de sécurité privilégié, par exemple de type ISD-R.
Selon un mode particulier de mise en œuvre, ledit élément sécurisé est un élément eUICC selon la norme GSMA - SGP.02 - « Remote Provisioning Architecture for Embedded UICC Technical Spécification » -Version 2.0.
Il est également proposé un programme d'ordinateur comportant des instructions pour l'exécution des étapes d'un procédé tel que défini ci-avant lorsque ledit programme est exécuté par un processeur.
Il est également proposé un support d'enregistrement lisible par un processeur sur lequel est enregistré un programme d'ordinateur comprenant des instructions pour l'exécution des étapes d'un procédé tel que défini ci-avant.
On peut noter que les programmes d'ordinateur mentionnés dans le présent exposé peuvent utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.
De plus, les supports d'enregistrement (ou d'information) mentionnés dans le présent exposé peuvent être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique telle qu'une EEPROM, ou encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy dise) ou un disque dur. D'autre part, les supports d'enregistrement peuvent correspondre à un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.
Alternativement, les supports d'enregistrement peuvent correspondre à un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
Il est également proposé un élément sécurisé comprenant une mémoire non volatile dans laquelle est enregistré un profil de communication mobile, caractérisé en ce qu'un indicateur indiquant si ledit profil peut être supprimé est enregistré dans ladite mémoire non volatile de l'élément sécurisé, et ledit élément sécurisé comporte un module de lecture dudit indicateur, un module de détermination de l'état actif ou inactif dudit profil, et un module de suppression dudit profil si ledit module de lecture indique que le profil peut être supprimé et si ledit module de détermination indique que le profil est inactif.
Cet élément sécurisé peut être configuré pour la mise en oeuvre de chacun des modes de mise en œuvre du procédé tel que défini ci-avant.
Il est également proposé un terminal comprenant ledit élément sécurisé.
Brève description des dessins D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple dépourvu de tout caractère limitatif.
Sur les figures : - la figure 1 représente de façon schématique différentes étapes d'un procédé selon un mode de mise en œuvre de l'invention, - la figure 2 représente de façon schématique un terminal équipé d'un élément sécurisé selon un mode de réalisation de l'invention, et - la figure 3 est un exemple d'un mode de mise en œuvre de l'invention.
Description détaillée d'un mode de réalisation
On va maintenant décrire un exemple de réalisation de l'invention dans lequel un procédé de gestion d'un profil de communication mobile enregistré dans une mémoire non volatile d'un élément sécurisé, ce procédé étant mis en œuvre par l'élément sécurisé. Dans cet exemple l'élément sécurisé est de type eUICC.
Il convient de noter que l'invention s'applique à tout élément de sécurité, y compris des éléments sécurisés autres que des éléments eUICC mais qui permettent également le stockage de profils de manière sécurisée.
Sur la figure 1, on a représenté de manière schématique des étapes d'un procédé de gestion d'un profil enregistré dans un élément sécurisé de type eUICC. Ce procédé peut être mis en œuvre à tout instant pendant le fonctionnement de l'élément sécurisé.
Ce procédé comporte une lecture Sll d'un indicateur enregistré dans une mémoire non volatile de l'élément sécurisé, plus précisément avec ledit profil. Cet indicateur présente deux états, un état qui indique que le profil peut être supprimé (état « 1 ») et un état qui indique que le profil ne peut pas être supprimé (état « 0 »).
Un indicateur indiquant que le profil peut être supprimé vise une suppression sans réception d'un message de type « delete » provenant d'un serveur de domaine de sécurité. Aussi, un indicateur indiquant que le profil ne peut pas être supprimé n'empêche pas, comme on le conçoit, une suppression du profil selon la technique antérieure sur la base d'un message de type « delete » reçu de l'extérieur et en particulier un message de type « delete » envoyé par un serveur de domaine de sécurité.
Le procédé comporte en outre une étape S12 dans laquelle on détermine si le profil est actif ou inactif.
Ceci peut être fait au moyen d'un domaine de sécurité privilégié de type ISD-R qui gère au moyen de commandes (« ENABLE/DISABLE ») l'activité d'un profil et qui de ce fait a l'information relative à l'activité ou l'inactivité du profil.
Si ledit indicateur indique que le profil peut être supprimé et s'il est déterminé que le profil est inactif, le profil est supprimé (étapeS20). Cette suppression est mise en œuvre par le domaine de sécurité privilégié ISD-R (commande « DELETE »).
Sur la figure 2, on a représenté schématiquement un terminal 1 équipé d'un élément sécurisé 2 selon un mode de réalisation de l'invention. Cet élément sécurisé 2 peut mettre en œuvre le procédé décrit en référence à la figure 1. L'élément sécurisé 2 comporte une mémoire non volatile 3 dans laquelle on a mémorisé un programme d'ordinateur PRG qui comporte des instructions pour l'exécution des étapes du procédé décrit en référence à la figure 1.
Plus précisément, le programme PRG comporte une instruction II de lecture de l'indicateur d'un profil pour la mise en œuvre de l'étapeSll, une instruction 12 de détermination de l'activité d'un profil pour la mise en œuvre de l'étapeS12, et une instruction de suppression 13 pour la mise en œuvre de l'étapeS20.
Plusieurs profils de communication mobile sont enregistrés dans la mémoire 3. Plus précisément, la mémoire 3 comprenant, dans cet exemple, trois domaines de sécurité : premier domaine de sécurité DSI contenant un premier profil PI, un deuxième domaine de sécurité DS2 contenant un deuxième profil P2, et un troisième domaine de sécurité DS3 contenant un troisième profil P3. Le premier domaine de sécurité DSI, le deuxième domaine de sécurité DS2, et le troisième domaine de sécurité DS3 sont du type ISD-P.
Dans l'exemple illustré sur la figure, seul le premier profil PI est actif et cela est représenté sur la figure par un trait fort qui relie le premier domaine de sécurité DSI à un domaine de sécurité privilégié DSP du type ISD-R. Le deuxième profil P2 et le troisième profil P3 sont inactifs et cela est représenté sur la figure par des traits discontinus qui relient le deuxième domaine de sécurité DS2 au domaine de sécurité privilégié DSP et le troisième domaine de sécurité DS3 au domaine de sécurité privilégié DSP.
Dans chaque domaine de sécurité DSI, DS2 ou DS3, un indicateur (référencé ID1, ID2, ID3 sur la figure) est enregistré pour afficher une valeur « 0 » ou « 1 ». L'état « 1 » de cet indicateur indique que le profil associé à l'indicateur (c'est-à-dire stocké dans le même domaine de sécurité) peut être supprimé. L'état « 0 » de cet indicateur indique que le profil associé à l'indicateur (stocké dans le même domaine de sécurité) ne peut pas être supprimé.
Sur la figure 2, on a également représenté de manière schématique le contexte dans lequel l'invention est mise en œuvre. Le terminal 1 et son élément sécurisé 2 sont ici en communication avec un serveur de domaine de sécurité 4 de type SM-SR/ SM-DP, et ce serveur de domaine de sécurité 4 est lui-même en communication avec un opérateur de téléphonie mobile 5.
Le premier profil PI est, dans cet exemple, le profil associé à cet opérateur de téléphonie mobile 5. Ce premier profil PI, qui est actif, est un profil non supprimable puisque l'indicateur ID1 qui lui est associé se lit « 0 ».
Le deuxième profil P2 n'est pas actif et il est également non supprimable puisque l'indicateur ID2 qui lui est associé se lit « 0 ».
Ce n'est pas le cas du troisième profil P3 qui n'est pas actif et qui est supprimable puisque l'indicateur ID3 qui lui est associé se lit « 1 ». De ce fait, la mise en œuvre du procédé selon l'invention par l'exécution des instructions II à 13 va conduire à la suppression du troisième profil P3, en supprimant tout le troisième domaine de sécurité DS3.
On peut noter que les expressions « supprimable/non supprimable » utilisées dans les paragraphes ci-avant doivent être comprises ici comme visant une suppression au sens de l'invention dans laquelle les deux conditions sont vérifiées (indicateur et activité). Comme on le conçoit, une suppression selon la technique antérieure ordonnée par un opérateur de téléphonie mobile ou un serveur de domaine de sécurité est toujours possible pour n'importe quel profil.
Un profil supprimable vise un profil pouvant être supprimé par l'élément sécurisé sans réception d'un message de type « delete » provenant d'un serveur de domaine de sécurité. Aussi, un profil non supprimable peut toutefois être supprimé, comme on le conçoit, lors d'une suppression du profil selon la technique antérieure sur la base d'un message reçu de l'extérieur et en particulier un message de type « delete » envoyé par un serveur de domaine de sécurité.
La figure 3 est un exemple de mise en œuvre d'un procédé de gestion de profil pouvant être réalisé avec un élément sécurisé tel que décrit en référence à la figure 2.
Sur cette figure, on a représenté les différentes étapes de ce procédé ainsi que les éléments associés à chacune de ces étapes : l'élément sécurisé 2, le terminal 1, le serveur de domaine de sécurité 4 et enfin l'opérateur de téléphonie mobile 5.
Aussi, l'exemple illustré sur cette figure correspond à la gestion d'un profil de provisionnement, ici un profil de provisionnement initial enregistré lors de la fabrication et de la configuration de l'élément sécurisé.
Dans une première étape Al, un profil de provisionnement est enregistré avec un indicateur dans un domaine de sécurité d'une mémoire de l'élément sécurisé 2. Au cours de cette même étape Al, on attribue à cet indicateur l'état « 1 » : ce profil de provisionnement peut être supprimé, et il le sera si ce profil est désactivé et qu'un autre profil est activé. Ce profil est le seul profil disponible et il est actif à ce stade.
Au cours d'une étape ultérieure A2, le profil de provisionnement est utilisé pour indiquer au terminal 1 qu'un autre profil associé à l'opérateur de téléphonie 5 est demandé.
On peut noter que l'attribution de l'état « 1 » audit indicateur qui est fait au cours de l'étape Al est forcément mise en œuvre avant le début de l'étape A2.
Le terminal reçoit à l'étape B2 la demande de l'autre profil et transmet cette requête au serveur de domaine de sécurité 4. Cette demande est reçue puis transmise à l'opérateur de téléphonie mobile 5 (étape C2). L'opérateur de téléphonie mobile reçoit cette demande à l'étape D2.
Au cours d'une étape D3, l'opérateur de téléphonie mobile transmet des données comprenant l'autre profil demandé au serveur de domaine de sécurité 4. Cette étape est retransmise (étape C3) par le serveur de domaine de sécurité vers le terminal 1 qui lui-même la retransmet (étape B3) vers l'élément de sécurité 2 qui l'enregistre au cours de l'étape A3. L'élément de sécurité émet ensuite (étape A4) une confirmation d'enregistrement à destination de l'opérateur de téléphonie mobile, et cette confirmation est retransmise par le terminal (étape B4), par le serveur de domaine de sécurité (étape C4), pour être reçue par l'opérateur de téléphonie mobile (étape D4).
Ensuite, le serveur de domaine de sécurité déclenche l'activation du profil ayant été enregistré au cours d'une étape C5, et à l'étape A5, l'élément sécurisé reçoit cette instruction d'activation.
Le profil qui vient d'être enregistré est activé par le domaine de sécurité privilégié de l'élément sécurisé au cours de l'étape A6, et cette étape comprend la désactivation du profil de provisionnement.
Au cours de l'étape A7, l'élément sécurisé transmet une indication selon laquelle le profil de provisionnement a été désactivé et l'autre profil a été activé. Le serveur de sécurité reçoit cette indication à l'étape C7 et cette indication est transmise à l'opérateur de téléphonie mobile qui la reçoit à l'étape D7. L'élément sécurisé peut ensuite envoyer au terminal une commande de rafraîchissement (étape A8). A l'étape B8, le terminal traite cette commande de rafraîchissement et peut se connecter à l'opérateur de téléphonie mobile 5.
Les étapes suivantes A9, A10 et Ail sont analogues aux étapes SU, S12 et S20 décrites en se référant à la figure 1. Ces étapes comprennent la lecture de l'indicateur du profil de provisionnement (étape A9), la détermination de l'état inactif du profil de provisionnement (étape A10) et enfin la suppression du profil de provisionnement (étape Ail). A l'étape A12, l'élément sécurisé transmet une confirmation de suppression du profil de provisionnement au serveur de domaine de sécurité qui la reçoit et retransmet (étape C12) à l'opérateur de téléphonie mobile (étape DI2). L'opérateur de téléphonie mobile peut alors réutiliser certaines des informations liées au profil, et en particulier la paire de données IMSI/KI. L'invention n'est nullement limitée à la suppression d'un profil de provisionnement. Il est également possible d'enregistrer des profils avec un indicateur ayant un état indiquant que le profil ne peut pas être supprimé, et de changer l'état de cet indicateur ultérieurement pour indiquer que le profil est supprimable.
Un tel changement d'état peut être réalisé à l'initiative de l'élément sécurisé et cela peut comporter une comparaison entre une variable de fonctionnement associée à l'élément sécurisé et un seuil mémorisé dans la mémoire non-volatile de l'élément sécurisé. Si le seuil est atteint par ladite variable de fonctionnement, alors on attribue audit indicateur un état indiquant que le profil peut être supprimé.
La variable peut être une durée de fonctionnement en communication et ledit seuil est une durée maximale de fonctionnement en communication (par exemple quelques heures), ou ladite variable est une quantité de données et ledit seuil est une quantité maximale de données (par exemple quelques giga-octets de données), ou ladite variable de fonctionnement est une durée d'activation du profil et ledit seuil est une durée maximale d'activation du profil (par exemple quelques jours).

Claims (14)

  1. REVENDICATIONS
    1. Procédé de gestion d'un profil de communication mobile (PI, P2, P3) enregistré dans une mémoire non volatile d'un élément sécurisé (2) et mis en œuvre par ledit élément sécurisé, caractérisé en ce qu'il comporte : - une lecture (Sll) de l'état d'un indicateur (ID1, ID2, ID3) enregistré dans ladite mémoire non volatile de l'élément sécurisé indiquant si ledit profil peut être supprimé, - une détermination (S12) de l'état actif ou inactif dudit profil, et - si ledit indicateur indique que le profil peut être supprimé et s'il est déterminé que le profil est inactif, une suppression (S22) dudit profil.
  2. 2. Procédé selon la revendication 1, comprenant une étape préalable d'attribution audit indicateur d'un état indiquant que le profil peut être supprimé, ladite attribution étant mise en œuvre pendant une phase de personnalisation de l'élément sécurisé comportant un enregistrement dudit profil.
  3. 3. Procédé selon la revendication 2, dans lequel ladite phase de personnalisation est mise en œuvre préalablement à une phase d'utilisation de l'élément sécurisé, et la phase de personnalisation comporte une connexion à un lecteur alimentant électriquement l'élément sécurisé, une authentification et/ou une sécurisation cryptographique d'une session avec le lecteur, ledit enregistrement du profil et ladite attribution audit indicateur d'un état indiquant que le profil peut être supprimé au cours de cette session, une fermeture de ladite session, et une déconnexion de la carte au lecteur.
  4. 4. Procédé selon la revendication 2, dans lequel ladite phase de personnalisation est mise en œuvre pendant une phase d'utilisation de l'élément sécurisé, et la phase de personnalisation comporte une authentification et/ou une sécurisation d'une session sur un canal de communication mobile, ledit enregistrement du profil au cours de cette session et ladite attribution audit indicateur d'un état indiquant que le profil peut être supprimé, et une fermeture de ladite session.
  5. 5. Procédé selon l'une des revendications 2 à 4, dans lequel le profil de communication mobile est un profil de provisionnement.
  6. 6. Procédé selon la revendication 1, comportant une étape préalable de comparaison par ledit élément sécurisé d'une variable de fonctionnement associée au moins audit profil à un seuil associé au moins audit profil, ledit seuil et ladite variable de fonctionnement étant mémorisés dans ladite mémoire non-volatile de l'élément sécurisé et, si ledit seuil est atteint par ladite variable de fonctionnement, une attribution audit indicateur d'un état indiquant que le profil peut être supprimé.
  7. 7. Procédé selon la revendication 6, dans lequel ladite variable est une durée de fonctionnement en communication et ledit seuil est une durée maximale de fonctionnement en communication, ou ladite variable est une quantité de données et ledit seuil est une quantité maximale de données, ou ladite variable est une durée d'activation du profil et ledit seuil est une durée maximale d'activation du profil.
  8. 8. Procédé selon l'une quelconque des revendications 1 à 7, dans lequel ledit profil est enregistré dans un domaine de sécurité (DSI, DS2, DS3) comprenant en outre ledit indicateur (ID1, ID2, ID3), et la suppression dudit profil comporte une suppression du domaine de sécurité comprenant ledit profil.
  9. 9. Procédé selon l'une quelconque des revendications 1 à 8, dans lequel ladite lecture de l'état de l'indicateur, ladite détermination de l'état du profil et ladite suppression sont mises en œuvre en utilisant un domaine de sécurité privilégié (DSP).
  10. 10. Procédé selon l'une quelconque des revendications 1 à 9, dans lequel ledit élément sécurisé est un élément eUICC selon la norme GSMA - SGP.02 - « Remote Provisioning Architecture for Embedded UICC Technical Spécification » - Version 2.0.
  11. 11. Programme d'ordinateur comportant des instructions (II, 12, 13) pour l'exécution des étapes d'un procédé selon l'une des revendications 1 à 10 lorsque ledit programme est exécuté par un processeur.
  12. 12. Support d'enregistrement lisible par un processeur sur lequel est enregistré un programme d'ordinateur comprenant des instructions pour l'exécution des étapes d'un procédé selon l'une quelconque des revendications 1 à 10.
  13. 13. Elément sécurisé comprenant une mémoire non volatile dans laquelle est enregistré un profil de communication mobile (PI, P2, P3), caractérisé en ce qu'un indicateur indiquant si ledit profil peut être supprimé est enregistré dans ladite mémoire non volatile de l'élément sécurisé, et ledit élément sécurisé comporte un module de lecture dudit indicateur, un module de détermination de l'état actif ou inactif dudit profil, et un module de suppression dudit profil si ledit module de lecture indique que le profil peut être supprimé et si ledit module de détermination indique que le profil est inactif.
  14. 14. Terminal comprenant ledit élément sécurisé selon la revendication 13.
FR1557218A 2015-07-28 2015-07-28 Procede de gestion d'un profil enregistre dans un element securise, et element securise correspondant Active FR3039738B1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR1557218A FR3039738B1 (fr) 2015-07-28 2015-07-28 Procede de gestion d'un profil enregistre dans un element securise, et element securise correspondant
US15/220,994 US10582383B2 (en) 2015-07-28 2016-07-27 Method of managing a profile stored in a secure element, and corresponding secure element

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1557218 2015-07-28
FR1557218A FR3039738B1 (fr) 2015-07-28 2015-07-28 Procede de gestion d'un profil enregistre dans un element securise, et element securise correspondant

Publications (2)

Publication Number Publication Date
FR3039738A1 true FR3039738A1 (fr) 2017-02-03
FR3039738B1 FR3039738B1 (fr) 2018-06-22

Family

ID=54937217

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1557218A Active FR3039738B1 (fr) 2015-07-28 2015-07-28 Procede de gestion d'un profil enregistre dans un element securise, et element securise correspondant

Country Status (2)

Country Link
US (1) US10582383B2 (fr)
FR (1) FR3039738B1 (fr)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9867037B2 (en) * 2016-03-24 2018-01-09 Verizon Patent And Licensing Inc. Profile deletion codes in subscription management systems
US20190181901A1 (en) * 2017-12-08 2019-06-13 T-Mobile Usa, Inc. Local profile assistant and application programming interface
US10530756B1 (en) * 2018-01-16 2020-01-07 Sprint Spectrum L.P. Profile-deletion control for an embedded universal integrated circuit card
EP3609208A1 (fr) * 2018-08-06 2020-02-12 Giesecke+Devrient Mobile Security GmbH Élément sécurisé permettant le téléchargement et la délétion de profils
CN111191213B (zh) * 2018-11-14 2023-11-10 华为终端有限公司 一种删除安全业务的方法及电子设备
KR20210039721A (ko) * 2019-10-02 2021-04-12 삼성전자주식회사 통신서비스를 위한 프로파일을 효율적으로 제공하는 방법 및 장치
CN110933659A (zh) * 2019-11-27 2020-03-27 Oppo广东移动通信有限公司 用户识别号的迁移方法、装置、终端及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130048699A (ko) * 2011-11-02 2013-05-10 주식회사 케이티 eUICC의 상태 관리 방법 및 eUICC와, 이를 이용하여 통신 서비스를 제공하는 기기
DE102012018540A1 (de) * 2012-09-19 2014-03-20 Giesecke & Devrient Gmbh Teilnehmeridentitätsmodul zum Authentisieren eines Teilnehmers an einem Kommunikationsnetzwerk

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100275250A1 (en) * 2009-04-24 2010-10-28 Yahoo! Inc. Account recovery via aging of account data points
KR20160002321A (ko) * 2014-06-30 2016-01-07 삼성전자주식회사 무선 통신 시스템에서 통신서비스 제공을 위한 프로파일을 송수신하는 방법 및 장치
US9510188B2 (en) * 2014-12-10 2016-11-29 Telefonaktiebolaget Lm Ericsson (Publ) Methods providing wireless device subscription information and related network nodes and wireless devices
AU2016247689B2 (en) * 2015-04-13 2020-07-02 Samsung Electronics Co., Ltd. Technique for managing profile in communication system
US9398452B1 (en) * 2015-04-24 2016-07-19 Motorola Solutions, Inc. Bootstrapping secure connections for deployable networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130048699A (ko) * 2011-11-02 2013-05-10 주식회사 케이티 eUICC의 상태 관리 방법 및 eUICC와, 이를 이용하여 통신 서비스를 제공하는 기기
DE102012018540A1 (de) * 2012-09-19 2014-03-20 Giesecke & Devrient Gmbh Teilnehmeridentitätsmodul zum Authentisieren eines Teilnehmers an einem Kommunikationsnetzwerk

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"3GPP2 meeting, Hawaii, US", vol. TSGS, 13 December 2011 (2011-12-13), pages 1 - 29, XP062240527, Retrieved from the Internet <URL:http://ftp.3gpp2.org/TSGS/Working/_2011/2011-12-HI/WG1 Requirements/> [retrieved on 20111213] *

Also Published As

Publication number Publication date
US10582383B2 (en) 2020-03-03
US20170034699A1 (en) 2017-02-02
FR3039738B1 (fr) 2018-06-22

Similar Documents

Publication Publication Date Title
FR3039738A1 (fr) Procede de gestion d&#39;un profil enregistre dans un element securise, et element securise correspondant
EP3029968B1 (fr) Procede de provisionnement d&#39;un profil de souscripteur pour un module securise
EP3117640B1 (fr) Module d&#39;identité de souscripteur embarque apte a gérer des profils de communication
EP3395089B1 (fr) Module d&#39;identite de souscripteur embarque comprenant des profils de communication.
EP3542563B1 (fr) Installation d&#39;un profil dans un module d&#39;identité de souscripteur embarque
EP3656142B1 (fr) Chargement d&#39;un nouveau profil d&#39;abonnement dans un module embarqué d&#39;identification de souscripteur
FR3013479A1 (fr) Procede de notification a des fins de configuration d&#39;un element securise
EP1958471A1 (fr) Telechargement de donnees dans des objets communicants portables presents dans un reseau de radiocommunications pendant une campagne
EP1551193A1 (fr) Procédé de personnalisation automatique d&#39;un terminal mobile en fonction du module d&#39;identification de l&#39;utilisateur et terminal mobile personnalisable
WO2007071695A1 (fr) Exploitation d&#39;informations proprietaires transmises par un reseau de radiocommunications a un terminal mobile sous le controle d&#39;une carte a puce
WO2015092307A1 (fr) Procédé de test et de mise à jour du système d&#39;un terminal par un module d&#39;identité de souscripteur et dispositifs associés
EP3195638B1 (fr) Procédé d&#39;administration de cycles de vie de profils de communication
EP3278542A1 (fr) Système et procédé d&#39;exécution d&#39;une application dans un terminal muni d&#39;une carte a puce
FR3046017A1 (fr) Procede de gestion des connexions entre un ensemble d&#39;elements securises et un serveur
FR3125897A1 (fr) Procédé pour optimiser un fonctionnement d’un élément sécurisé
WO2021019162A1 (fr) Adaptation dynamique d&#39;un environnement d&#39;exécution d&#39;élément sécurisé à des profils
WO2021234250A1 (fr) Procede de notification d&#39;un terminal mobile
WO2005121956A1 (fr) Systeme et procede d’aide a l’execution d’une fonction ou d’un ensemble de fonctions mises en œuvre par un service de telecommunication
FR3002408A1 (fr) Procede de configuration d&#39;un profil de fourniture par defaut dans un terminal
WO2009071836A1 (fr) Procédé de gestion de l&#39;interface utilisateur d&#39;un terminal mobile associé à un module de sécurité et terminal mobile associé
FR2944123A1 (fr) Carte a mirocircuit comportant un microcontroleur dont un registre memorise une information de presence ou d&#39;absence d&#39;un composant dans la carte a microcircuit.
EP2424315A1 (fr) Procédé de mise à jour d&#39;une base de données d&#39;abonnés enregistrés dans une plateforme OTA, carte et plateforme OTA correspondantes
FR3046016A1 (fr) Procede de gestion des connexions entre un element securise et un serveur
FR3038176A1 (fr) Fourniture et gestion de profils sur un element securise, element securise et serveur associes
FR3036910A1 (fr) Terminal de telecommunications et procede de gestion d&#39;acces de donnees dans un tel terminal.

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20170203

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4

CD Change of name or company name

Owner name: IDEMIA FRANCE, FR

Effective date: 20180618

CJ Change in legal form

Effective date: 20180618

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9