JP2023530896A - 個人化された識別モジュールプロファイルを有するユーザ装置を動作させるためのシステムおよび方法 - Google Patents

個人化された識別モジュールプロファイルを有するユーザ装置を動作させるためのシステムおよび方法 Download PDF

Info

Publication number
JP2023530896A
JP2023530896A JP2022575928A JP2022575928A JP2023530896A JP 2023530896 A JP2023530896 A JP 2023530896A JP 2022575928 A JP2022575928 A JP 2022575928A JP 2022575928 A JP2022575928 A JP 2022575928A JP 2023530896 A JP2023530896 A JP 2023530896A
Authority
JP
Japan
Prior art keywords
user
identity module
profile
subscription manager
user device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022575928A
Other languages
English (en)
Inventor
ウォルター ディーズ
ヴィグネシ ラジャ カルッピア ラマチャンドラン
テヘリア ヘスース ゴンザレス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV filed Critical Koninklijke Philips NV
Publication of JP2023530896A publication Critical patent/JP2023530896A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • H04W8/205Transfer to or from user equipment or user record carrier

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

個人化された識別モジュールプロファイルを有するユーザ装置を動作させるためのシステムおよび方法が提案される、本発明は、個人化された識別モジュールプロファイルによりユーザ装置110を操作するためのシステム100に関し、識別モジュールプロファイルは、ユーザ装置110のユーザ120が識別されると、サブスクリプションマネージャ130からユーザ装置110にセキュアな方法で自動的にダウンロードされる。システム100は特に、導出されたユーザIDに対応するユーザを識別するためのサービスシステム140と、サービスシステム140によって要求された個人化された識別モジュールプロファイルを準備し、準備された個人化された識別モジュールプロファイルをユーザ装置110に送信するためのサブスクリプションマネージャ130とを備える。

Description

本発明は、個人化された識別モジュール(例えば、SIM)プロファイルを用いてユーザ装置を動作させるためのユーザ装置、システム、および方法に関し、識別モジュールプロファイルは、ユーザ装置のために遠隔で提供され得る。
eSIM (埋め込み加入者識別モジュール)技術の出現により、例えばSGP.21およびSGP.22に規定されているGSMA RSP(Remote SIM Provisioning)フレームワークを使用して、または、M2MまたはIoT装置の場合には、例えばSGP.01およびSGP.02に規定されているGSMA埋め込みSIM Remote Provisioningフレームワークを使用して、モバイル装置にSIMプロファイルを遠隔提供することが可能である。GSMA (Global System for Mobile communication Association)はまた、公式のIMEI(International Mobile Equipment Identity)番号範囲を3GPP準拠装置のすべての製造業者に割り当て、これらの範囲および装置モデル情報をデータベースに記録する責任を負う。これは、認可された第三者機関がIMEIを使用してモバイル装置の製造業者およびモデルを識別することを可能にする、このデータベースに基づく装置ルックアップおよび識別サービスを提供する。
さらに、自動車、ヘルスケア、エンターテインメント、金融、教育などの多くの垂直方向において、複数のユーザ間で接続装置の共有使用が一般的になってきている。これらの装置がモバイルネットワークに接続されている場合、現在の技術的制限を考えると、装置のSIMプロファイルは通常、SIMが発行され登録されたプライマリユーザにリンクされるため、複数のユーザがネットワークにアクセスするために同じSIMプロファイルおよび同じモバイルネットワークサブスクリプションを共有する必要がある。単一のプライマリユーザが存在しない場合、すなわち、装置が異なる人々の間で共有されることができる場合(例えば、共有車の場合)、各ユーザが自身のサブスクリプションを使用して独立して課金することは不可能である。これはまた、装置が、最初に装置を設定し、それに対してネットワークがSIMプロファイルを設定したプライマリユーザの個人化された設定を使用することを意味する。これらの共有装置を、特定のユーザ、特にヘッドレス装置、または薬物ディスペンサ、AED、自動車、決済端末などの限定されたユーザインターフェースを有する装置にパーソナライズすることは、ユーザにとって厄介なプロセスである。特に、装置が一時的にのみ使用される場合、ユーザは、装置をパーソナライズすることに煩わされたくない可能性が高く、より悪いユーザ体験につながる。
現在、パーソナルSIMプロファイルを装置に提供するために、モバイルネットワークサブスクリプションにバンドルされた装置を購入するときに、たとえば識別文書(たとえばパスポート)を手渡すことによって、またはたとえば、SIMプロファイルをダウンロードするためにモバイル装置によってスキャンされ得るQRコードを生成することができるインターネット上の登録サーバにログインすることによって、装置を特定のユーザにリンクするために多くの手動の登録プロセスが必要とされる。このプロセスは、ユーザが別の装置を購入または使用することを望むたびに繰り返されなければならない。特に、ヘッドレス装置または限定されたユーザインターフェースを有する装置の場合、これは面倒であり得る。さらに、それは、複数の装置、特に共有装置に容易に拡張されることができない。
本発明の目的は、ユーザが個人化された識別モジュールプロファイルをユーザ装置に提供するための、より容易かつより快適な方法を提供することである。
この目的は、請求項1に記載のユーザ装置、請求項6に記載のシステム及び請求項12に記載の方法によって達成される。
本開示は、一般に、例えば、ネットワーク(例えば、セルラー公衆陸上移動ネットワークまたはセルラー非公衆ネットワークまたはWi-Fiホットスポットネットワーク)にアクセスするためにユーザ装置を使用できるように、ユーザ装置を使用しようとするアクティブユーザAの識別時に(共有)ユーザ装置を個人化し、ネットワークアクセスが識別されたユーザのサブスクリプションに請求できるように、個人化された識別モジュール(例えばSIM)プロファイルを自動的にダウンロードできるユーザ装置、システムおよび方法を提案する。
本発明の第1の態様によれば、個人化された識別モジュールプロファイルで動作するように適合されたユーザ装置は、割り当てられた個人化された識別モジュールプロファイルがユーザ装置内で有効にされるか、または有効にされ得るユーザのためにユーザ装置を動作させるように構成されたコントローラと、個人化された識別モジュールプロファイル、および、サブスクリプションマネージャに安全に接続するための秘密クレデンシャルを記憶するためのメモリ装置と、(割り当てられた個人化された識別モジュールプロファイルをまだ有していない新しいユーザなどの)ユーザ装置のユーザ識別情報(UID)を導出するための検出器と、メモリ装置内に記憶された秘密クレデンシャルに基づいてユーザ装置とサブスクリプションマネージャとの間の安全なデータ通信のためのコミュニケータとを備える。さらに、前記コントローラは、前記コミュニケータに、導出されたユーザ識別情報およびサブスクリプションマネージャに対する装置識別情報をサブスクリプションマネージャに送信させるように構成され、前記コミュニケータは、導出されたユーザ識別情報に基づいて、サービスシステムによる前記ユーザの識別後に準備された前記サブスクリプションマネージャからの個人化された識別モジュールプロファイルを受信するように構成される。
本発明の第2の態様によれば、個人化された識別モジュールプロファイルを用いてユーザ装置を動作させるためのシステムは、割り当てられた個人化された識別モジュールプロファイルがユーザ装置において有効にされるか、または有効にされ得るユーザのためにユーザ装置を動作させるように構成されたコントローラを備えるユーザ装置と、個人化された識別モジュールプロファイル、および、サブスクリプションマネージャに安全に接続するための秘密クレデンシャルとを記憶するためのメモリ装置と、ユーザ装置のユーザのユーザ識別情報(UID)を導出するための検出器と、メモリ装置に記憶された秘密クレデンシャルに基づいて、ユーザ装置とサブスクリプションマネージャとの間の安全なデータ通信のためのコミュニケータとを備える。システムはまた、導出されたユーザ識別情報に対応するユーザを識別し、ユーザ装置のための個人化された識別モジュールプロファイルを要求するように構成されたサービスシステムと、導出されたユーザ識別情報およびユーザ装置から受信された装置識別情報EIDをサービスシステムに転送し、準備された個人化された識別モジュールプロファイルをサービスシステムによって要求されたユーザ装置に送信するように構成されたサブスクリプションマネージャとを備える。
ユーザ装置に、ユーザ装置を使用することを意図するアクティブユーザのユーザ識別情報を導出するための検出器を提供し、導出されたユーザ識別情報に対応するアクティブユーザを識別し、サブスクリプションマネージャからユーザ装置のための個人化された識別モジュールプロファイルを要求するためのサービスシステムをシステムに提供することによって、ユーザ装置を使用することを意図するアクティブユーザに割り当てられた個人化された識別モジュールプロファイルは、サブスクリプションマネージャからユーザ装置に自動的にダウンロードされ得、したがって、アクティブユーザは、複雑または集中的な手動でのプロセスなしに、容易かつ快適な態様で、(たとえば、ネットワークにアクセスするために)ユーザ装置を使用することができる。また、メモリ装置に記憶された秘密クレデンシャルに基づくセキュアなデータ通信のためのコミュニケータをユーザ装置に提供することによって、個人化された識別モジュールプロファイルの自動ダウンロードは、例えば、(例えば装置の別のユーザのWi-Fiまたはセルラー接続を介して)インターネット上の何らかのウェブページを単に接続して、そのようなウェブページからSIMプロファイルをダウンロードすることよりも、セキュアに実行され得る。
識別モジュールプロファイルは、例えば、USIM(Universal Subscriber Identity Module)プロファイルまたはISIM(IMS Subscriber Identity Module)プロファイルであり、これは、例えば、eSIMモジュール、eUICC(embedded Universal Integrated Circuit Card)、セキュアストレージ、または他のセキュアハードウェア要素において、ダウンロードされ、ユーザ装置上に記憶されることができ、例えば、EAP-AKAを使用してネットワークへの認証されたアクセスを可能にする。識別モジュールプロファイルは、また、セキュアまたは非セキュアストレージ/ハードウェア要素のいずれかに記憶されることができ、例えばEAP-TLSを使用してネットワークへの認証されたアクセスを可能にし得る(例えば、認証局によって署名された)公開鍵証明書の形態をとり得る。個人化された識別モジュールプロファイルは、装置を一意に識別するための情報を包含するだけでなく、(たとえば、UDMに記憶された)そのサブスクリプションデータを通して直接または間接的に関連付けられたユーザも識別するための情報を包含することができ、それによって、サービスプロバイダ/ネットワークオペレータは、データ通信に対して正しい人に料金を請求することができる。典型的には、そのようなプロファイルはまた、サブスクリプションに関連するネットワーク(例えば、セルラ公衆陸上モバイルネットワークまたはセルラ非公開ネットワークまたはWi-Fiホットスポットネットワーク)へのアクセスを可能にする(すなわち、装置が特定のユーザのサブスクリプションに一意に認証されリンクされることを可能にする)ための一組のクレデンシャル(例えば、一意の識別子およびルート鍵)を含む。また、それは、特定のユーザのサブスクリプションにリンクされた設定されたネットワークサービス(例えば、4Gの代わりに5Gへのアクセス、特定のスライスおよび/または非公開ネットワークへのアクセス、およびサービスエリア制限の設定、ボイスメール/発呼者識別機能へのアクセス、RATポリシーなど)に関する情報(例えば、セキュリティクレデンシャル、サービス関連識別子、ポリシー)を含むか、またはそれに関連付けられ得る。さらに、個人化された識別モジュールプロファイルは、(e)UICCまたは他のセキュアなハードウェア要素にセキュアに記憶されるのに有用な追加の個人情報、例えば、サードパーティサービス(例えば、Spotifyなどの特定のクラウドサービスまたはインターネットアプリケーションなど)のユーザIDおよびクレデンシャル、ファーストネーム、ラストネーム、アドレス情報、連絡先リストまたはアドレスブック、データ通信(例えば、企業ネットワークインフラストラクチャまたは非公開ネットワークにアクセスするための)のための対称暗号化および証明書署名のためのアルゴリズムおよびキーを含むアプレット、応急処置情報、健康データ識別子、緊急時の最初の人の連絡先、バンキング識別子およびアプレット、プライバシープリファレンス(例えば、UE位置情報の共有を許可しない)などを含むこともできる。
サービスシステムは電子システムであり、好ましくは、1つまたは複数の電子装置を備える。
本発明の第1の態様の変形例では、コントローラは、トリガに基づいて、導出されたユーザ識別情報および装置識別情報をコミュニケータにサブスクリプションマネージャに送信させるように構成される。さらに、この変形例の一例では、トリガは、以下のトリガのうちの1つまたは複数であり得る:ユーザ装置または外部装置の指紋スキャナ上でのユーザの指紋の認識が成功し、ユーザ装置または外部装置がユーザに対応する装置上で個人化された識別モジュールプロファイルが利用可能でないと判定した後;ユーザがユーザ自身を識別するようにセキュアSIMアプリケーションによって求められた後(最初の使用時に自動的に起動され得る);ユーザが装置上で(例えばユーザが対話することができる設定ダイアログを示す)設定アプリケーションをインストールおよび/または起動すること;ユーザによって装置上でまたは装置のGUI内でボタンを押した後。
好ましい実施形態では、ユーザ装置のメモリ装置は、eUICC(embedded Universal Integrated Circuit Card)を含む。この場合、ユーザ装置のコミュニケータは、セルラーネットワーク通信を使用することが好ましい。好ましくは、eUICCは、SGP.01v1.1によって規定されるアクティブブートストラッププロファイル(例えば、発行者セキュリティドメイン原因(ISD-R))を供給され、これは、(例えば、SGP.01およびSGP.02によって規定されるように)サブスクリプションマネージャにセキュアに接続するための(修正不可能である)秘密クレデンシャルを含み、典型的にはユーザ装置の固有の装置ID(例えば、eUICC識別子)も含む。異なる実施形態では、装置は、セキュアまたは非セキュアストレージまたはハードウェア要素に記憶されることができる、装置またはセキュアストレージ/ハードウェア要素の製造業者によって、または装置を展開する組織またはユーザによって(たとえば、クレデンシャル情報を転送するためにNFCを使用することによって、またはクレデンシャルを符号化するQRコードを読み取ることによって)供給/構成されることができる、サブスクリプションマネージャにセキュアに接続するためのいくつかのデフォルトクレデンシャル(たとえば、共有鍵または公開鍵および/または装置/ユーザ識別情報)を有する。
好ましい実施形態では、サブスクリプションマネージャは、ユーザ装置およびサービスシステムとの安全なデータ通信を管理するように構成されたルーティングエンティティ(SM-SR)と、特にサービスシステムから受信された情報(ポリシー情報など)に基づいて、個人化された識別モジュールプロファイルを準備するためのプロファイル準備エンティティ(SM-DP)とを備える。このルーティングエンティティは、サービスシステムおよび/またはプロファイル準備エンティティを運営する同じオペレータによって運営される通信ネットワークの一部であってもよく、それのための個人化された識別モジュールプロファイルがユーザ装置に供給されるオペレータであってもよい。しかしながら、これらのエンティティはすべて、異なるオペレータによって、および/または、異なるネットワークによって、および/または、別のネットワークセキュリティドメインにおいて、実行されてもよい。代替実施形態では、サブスクリプションマネージャは、ユーザ装置の初期認証を実行し、1つまたは複数のプロファイル準備エンティティ(SM-DP+)のためのアドレスを提供し、ユーザ装置と1つまたは複数のプロファイル準備エンティティ(SM-DP+)との間のイベントメッセージブローカとして働くように構成された発見サーバ(SM-DS)と、(たとえば、SGP.21およびSGP.22によって規定されるように)モバイルネットワークオペレータの入力/要求時に個人化された識別モジュールプロファイルの作成、生成、管理および保護を担当する少なくとも1つのプロファイル準備エンティティ(SM-DP+)とからなる。ある実施形態では、サブスクリプションマネージャは、ネットワークへの限定されたアクセス接続を介してアクセスされることができ、例えば、それによって、ネットワークは、サブスクリプションマネージャおよび/またはサービスシステムのみへユーザ装置のアクセスを制限することができ、例えば、(例えば3GP TS 33.401において規定されるような制限ローカルオペレータサービス(RLOS)を通して)非認証アクセスを提供することによって、他のサービスまたはデータネットワークへのアクセスは制限されない。限定的なアクセス接続に加えて、またはその代わりに、ネットワークは、ユーザ装置に(事前に)提供され、ネットワークによって知られ、および/または、ネットワークにアクセスするために認証され、信頼できるサードパーティ(デフォルトのクレデンシャルサーバまたはAAAサーバなど)によって許可されたデフォルトのクレデンシャルを使用して、あるいは、ネットワークへの認可されたアクセスを可能にするユーザ装置の既存のUSIMプロファイルを使用することにより、接続確立時に、ユーザ装置の初期認証を実行することもできる。これにより、ユーザ装置とサブスクリプションマネージャおよび/またはサービスシステムとの間に安全な接続を確立することが可能になる。
好ましい実施形態では、サービスシステムは、ユーザがそれに加入し、ユーザ装置のための個人化された識別モジュールプロファイルを準備するようにサブスクリプションマネージャに要求するように構成された、少なくとも1つのネットワークオペレータシステム、特に少なくとも1つのモバイルネットワークオペレータ(MNO)システムと、導出されたユーザIDに対応するアクティブユーザを識別し、識別されたユーザに関する情報を、識別されたユーザが加入している少なくとも1つのネットワークオペレータシステムに送信するように構成された、識別子システム、特に識別サービスプロバイダ(ISP)システムとを有する。たとえば、サブスクリプションマネージャは、導出されたユーザIDと装置IDとの両方を識別サービスプロバイダに送信することができ、識別サービスプロバイダは、次いで、ネットワークオペレータシステムに装置IDを(実際に使用することなく)転送する。代替的に、サブスクリプションマネージャは、装置IDをモバイルネットワークオペレータシステムに直接送信し、導出されたユーザIDを識別サービスプロバイダに送信する。別の代替形態では、サブスクリプションマネージャは、導出されたユーザIDと装置IDとの両方をネットワークオペレータシステムに送信し、ネットワークオペレータシステムは、次いで、導出されたユーザIDを識別サービスプロバイダに送信する。
少なくとも1つのネットワークオペレータシステムは、電子システムであり、好ましくは、1つまたは複数の電子装置を備える。また、識別子システムは電子システムであり、好ましくは、1つまたは複数の電子装置を備える。
好ましい実施形態では、ユーザ装置のコミュニケータは、サブスクリプションマネージャに送信されるべきデータを暗号化し、サブスクリプションマネージャから受信されたデータを復号するように構成される。好ましくは、ユーザ装置のメモリ装置は、プライバシー上の理由から、ユーザ固有の識別データをサブスクリプションマネージャに漏らさないように、ISPシステムに送信されるユーザ識別情報を暗号化するために、サービスシステムのISPシステムによって発行される秘密クレデンシャルを含む識別プロバイダプロファイルも供給されるeUICCを有する。好ましくは、コミュニケータは、ISPシステムによって発行され、メモリ装置(特にeUICC)に記憶された秘密クレデンシャルに基づいて導出されたユーザIDを暗号化し、サブスクリプションマネージャによって発行され、メモリ装置(特にeUICCのブートストラッププロファイル)に記憶された秘密クレデンシャルに基づいてセキュアチャネルを設定した後に、暗号化されたユーザIDをユーザ装置からサブスクリプションマネージャに送信する。代替として、ユーザ装置は、導出されたユーザ識別を暗号化するため、および/または識別サービスプロバイダに安全に接続するために、いくつかのデフォルトのクレデンシャル(たとえば、共有鍵または公開鍵および/または装置/ユーザ識別)を有することができ、それによって、それらのデフォルトのクレデンシャルは、セキュアなもしくは非セキュアなストレージまたはハードウェア要素に記憶されることができ、装置またはセキュアストレージ/ハードウェア要素の製造業者によって、または装置を展開する組織またはユーザによって(たとえば、クレデンシャル情報を転送するためにNFCを使用することによって、またはクレデンシャルを符号化するQRコードを読み取ることによって)供給/構成され得る。
好ましい実施形態では、ユーザ装置のコントローラはまた、追加のセキュリティアクションとして、ユーザ装置の現在のユーザが、個人化された識別モジュールプロファイルがサブスクリプションマネージャから受信されたユーザと同じユーザであるかどうかを検出するように構成される。
好ましい実施形態では、サービスシステム、特にサービスシステムのネットワークオペレータシステムは、追加のセキュリティアクションとして、導出されたユーザ識別情報に対応するユーザがユーザ装置を使用することができる正規のユーザかどうかを検証するようにも構成される。
好ましい実施形態では、サービスシステム、特にサービスシステムのネットワークオペレータシステムは、(それぞれのアクティブユーザの)ユーザ装置のユーザ固有の設定を導出するようにも構成され、サブスクリプションマネージャはまた、(サービスシステムから受信された)ユーザ装置のユーザ固有の設定にバンドルされた個人化された識別モジュールプロファイルを準備するように構成される。
好ましい実施形態では、ユーザ装置のコントローラおよびサービスシステム(特に、そのネットワークオペレータシステム)のうちの少なくとも1つは、ユーザの現在のセッションが終了され得ること、またはセッションの数の制限に達したこと若しくは制限時間に達したこと、またはネットワークのカバレージエリアまたは指定サービスエリアの境界を出るか、またはその境界に達したこと、または装置を、特定のエリアまたは位置から遠くに、または基準装置から遠くに移動させることによって、サブスクリプションマネージャにメッセージを送信するようにも構成され、サブスクリプションマネージャは、このユーザに割り当てられた(ユーザ装置のメモリ装置に記憶された)個人化された識別モジュールプロファイルを無効化または削除させるようにも構成される。例えば、ユーザ装置のコントローラは、ユーザ装置のユーザの指示に基づいて、そのメッセージを送信することができる。例えば、ネットワークオペレータシステムは、ユーザが別のユーザ装置を使用することを意図しているという検出に基づいて、そのメッセージを送信することができる。
好ましい実施形態では、ユーザ装置のコントローラおよびサービスシステム(特に、そのネットワークオペレータシステム)のうちの少なくとも1つはまた、ユーザ装置が或る時間フレームの間に特定のユーザによって複数回使用されるという情報を導出するように構成され、サブスクリプションマネージャはまた、ユーザ装置がその時間フレームの間にその特定のユーザによって複数回使用される場合、その特定のユーザに割り当てられた(ユーザ装置のメモリ装置に記憶された)個人化識別モジュールプロファイルを一時的に有効化または無効化させるように構成される。代替的に、ユーザは、ユーザプロファイルの非アクティブ化時に、個人化されたユーザ識別プロファイルが除去されるべきか、またはユーザ装置のメモリに記憶されたままであるべきかを設定するためのユーザインタフェースを提供され得る。この態様は、(ユーザ装置を使用することができる正規の)ユーザが、ユーザ装置を頻繁に使用する場合に、ユーザ装置のメモリ装置に記憶された個人化された識別モジュールプロファイルを削除することを回避する。これは、ユーザに割り当てられた個人化された識別モジュールプロファイルがユーザ装置を使用するたびにダウンロードされる必要がないので、ユーザにとって改善された快適性をもたらす。
好ましい実施形態では、サービスシステム(特に、そのネットワークオペレータシステム)は、特定のユーザに属するユーザ装置の位置情報または特定のユーザからのユーザメッセージを受信するための受信機と、特定のユーザに属するユーザ装置のリストを記憶するためのメモリとを備える。この場合、サービスシステム(特に、そのネットワークオペレーターシステム)は、好ましくは、特定のユーザに属するユーザ装置の位置情報に応じて(またはユーザ装置と基準装置(例えば、ユーザの指定された主要ユーザ装置、またはゲートウェイ装置)との間の設定された距離に応じて)、または特定のユーザから受信されたユーザメッセージに応じて、ユーザ装置または(特定のユーザに属する)すべてのリストされたユーザ装置について、特定のユーザに割り当てられた個人化された識別モジュールプロファイルを無効化若しくは削除すること、または特定のユーザに割り当てられた無効な個人化された識別モジュールプロファイルを有効化することをサブスクリプションマネージャに要求するよう構成される。これは、システムがユーザ装置に記憶された正規のユーザに割り当てられた個人化された識別モジュールプロファイルに基づいて、非正規のユーザがユーザ装置を使用することができるリスクを低減することができるので、セキュリティの改善をもたらす。
本発明の第3の態様によれば、個人化された識別モジュール(例えばSIM)プロファイルを有するユーザ装置を動作させるための方法は、ユーザ装置が、ユーザ装置のユーザのユーザIDを導出し、オプションとして前記ユーザ装置のユーザに割り当てられた個人化された識別モジュールプロファイルが前記ユーザ装置で有効になっていないかどうかを確認した後、前記ユーザ装置が、前記導き出されたユーザIDおよび前記ユーザ装置の装置IDをサブスクリプションマネージャを介してサービスシステムに送信し、サービスシステムが、導出されたユーザIDに対応するユーザを識別して、ユーザ装置において使用されるべき識別されたユーザのための個人化された識別モジュールプロファイルを要求し、個人化された識別プロファイルの準備において使用されるために必要な情報(ポリシー情報など)を提供し、サブスクリプションマネージャが、アクティブなユーザのための個人化された識別モジュールプロファイルを準備して、準備された個人化された識別モジュールプロファイルをユーザ装置に送信し、ここで、前記ユーザ装置と前記サブスクリプションマネージャとの間のデータ通信は、前記ユーザ装置に格納された秘密クレデンシャルに基づく安全なデータ通信である。
ユーザ装置によってユーザ装置を使用しようとするアクティブユーザのユーザ識別情報を導出し、導出されたユーザ識別情報に対応するアクティブユーザを識別し、サブスクリプションマネージャからサービスシステムによってユーザ装置のための個人化された識別モジュールプロファイルを要求することによって、ユーザ装置を使用しようとするアクティブユーザに割り当てられた個人化された識別モジュールプロファイルをサブスクリプションマネージャからユーザ装置に自動的にダウンロードすることができ、それによって、アクティブユーザは、複雑で集中的な手動のプロセスなしに、容易かつ快適な方法でユーザ装置を使用することができる。また、ユーザ装置に記憶された秘密クレデンシャルに基づくセキュアなデータ通信を使用することによって、個人化された識別モジュールプロファイルの自動ダウンロードをよりセキュアに実行することができる。
識別モジュールプロファイルは、例えばSIM(加入者識別モジュール)プロファイルである。
好ましくは、導出されたユーザIDおよび装置IDは、サブスクリプションマネージャに暗号化されて送信され、準備された個人化された識別モジュールプロファイルは、ユーザ装置に暗号化されて送信される。好ましくは、導出されたユーザIDおよびユーザ装置の装置IDが両方とも、サービスシステムの識別サービスプロバイダシステムによって発行された秘密クレデンシャルに基づいて暗号化され、暗号化されたユーザIDおよび暗号化された装置IDは、サブスクリプションマネージャによって発行された秘密クレデンシャルに基づいて、セキュアチャネルをセットアップした後に、ユーザ装置からサブスクリプションマネージャに送信される。
好ましい実施形態では、ユーザのための個人化された識別モジュールプロファイルを受信した後、ユーザ装置は、追加のセキュリティステップとして、ユーザ装置の現在のユーザが依然として、個人化された識別モジュールプロファイルがサブスクリプションマネージャから受信されたユーザと同じユーザであるかどうかを検出する。
好ましい実施形態では、追加のセキュリティステップとして、サービスシステム(特に、サービスシステムのネットワークオペレータシステム)は、追加のセキュリティステップとして、識別されたユーザのための個人化された識別モジュールプロファイルを準備するようにサブスクリプションマネージャに要求する前に、または準備された個人化された識別モジュールプロファイルをユーザ装置にインストールする前に、導出されたユーザ識別に対応するユーザがユーザ装置を使用することができる正規のユーザであるかどうかを検証する。
好ましい実施形態では、サービスシステム(特に、サービスシステムのネットワークオペレータシステム)はまた、ユーザ装置のための(それぞれのアクティブユーザの)ユーザ固有の設定を読み出し、この情報をサブスクリプションマネージャに提供する。この場合、サブスクリプションマネージャは、好ましくは、ユーザ装置のためのユーザ固有の設定にバンドルされた個人化された識別モジュールプロファイルを準備する。
好ましい実施形態では、当該方法は、ユーザ装置またはサービスシステム(特に、サービスシステムのネットワークオペレータシステム)がユーザの現在のセッションを終了することができるか、またはセッションの数の制限若しくは制限時間に達したというメッセージをサブスクリプションマネージャに送信し、サブスクリプションマネージャがこのユーザに割り当てられた(ユーザ装置に記憶された)個人化された識別モジュールプロファイルを無効化または削除することをさらに含む。例えば、ユーザ装置は、ユーザ装置のユーザの指示に基づいて、そのメッセージを送信することができる。例えば、サービスシステム(特に、そのネットワークオペレータシステム)は、ユーザが別のユーザ装置を使用しようとしていることの検出に基づいて、そのメッセージを送信することができる。
好ましい実施形態では、当該方法は、サービスシステム(特に、サービスシステムのネットワークオペレータシステム)が、特定のユーザに属するユーザ装置の位置情報または特定のユーザから受信されたユーザメッセージに応じて、特定のユーザに割り当てられた個人化された識別モジュールプロファイルを無効化または削除すること、あるいは、特定のユーザに属するユーザ装置またはすべてのユーザ装置ための特定のユーザに割り当てられた無効化された個人化された識別モジュールプロファイルを有効化することを、サブスクリプションマネージャに要求することをさらに含む。
本発明の第4の態様によれば、コンピュータプログラム製品は、コンピュータシステムによって実行されたときに上述の方法を実施するための命令を含む。
さらに、本発明の好ましい実施形態は、上述の実施形態の任意の組み合わせ、または任意の数の添付の従属請求項の任意の組み合わせであってもよい。
本発明は例えば、携帯電話のようなセルラー装置、バイタルサインモニタリング/遠隔測定装置、スマートウォッチ、転倒検出器または任意のタイプの遠隔提供可能な装置に適用されることができる。
本発明のこれら及び他の態様は、以下に記載される実施形態から明らかになり、それらを参照して説明される。
本発明はここで、主に図式的に、添付の図面を参照して、例として、より詳細に説明される。
実施形態によるシステムを示す図。 一実施形態による方法のフロー図。 図2の方法にオプションで追加される方法ステップのフロー図。
図1は、個人化された識別モジュールプロファイル、特に加入者識別モジュール(SIM)プロファイルを用いてユーザ装置を動作させ、ユーザ装置を使用しようとするアクティブユーザAの識別時に(共有される)ユーザ装置を個人化するための個人化されたSIMプロファイルを自動的にダウンロードするためのシステムの一実施形態を例示的に示す。
システム100は、ユーザ装置、特にモバイルユーザ装置110を有する。ユーザ装置110は、コネクテッド自動車、薬物ディスペンサ、およびスマートウォッチもしくは携帯電話などのIoT装置、またはグラフィカルユーザインタフェースを伴うもしくは伴わない別の装置であり得る。
システム100は、セキュアルーティングエンティティ(SM-SR)132と、(場合によっては、SM-SRと同じIP領域で、または別個の領域、たとえば別個のプロビジョニングサーバで動作する)プロファイル準備エンティティ(SM-DP)134とを有するサブスクリプションマネージャ(SM)130と、電子識別子システム145と電子ネットワークオペレータシステム150とを有する電子サービスシステム140をさらに備える。識別子システム145は、例えば、識別サービスプロバイダ(ISP)システムであり、ネットワークオペレータシステム150は特に、(典型的には、公衆陸上移動体ネットワークまたはPLMNと呼ばれる)EPCまたは5GCなどのモバイルコアネットワークを運営するモバイルネットワークオペレータ(MNO)システム、または、(おそらくMNOによって運営されるコンポーネントのサブセットおよびNPNサービスプロバイダによって運営されるサブセットを使用する、あるいは、スタンドアロンモバイルコアネットワークとしての)MNOコアネットワーク上でそれ自体のモバイルコアネットワークを運営する非公衆ネットワーク(NPN)サービスプロバイダである。本明細書の残りの部分では、用語「MNOシステム」は、PLMNまたはNPNの両方を示すために使用される。システム100のこれらのコンポーネントはすべて、インターネットなどのネットワークのセキュアチャネルを介して接続される。
図1に示すように、ユーザ装置110は、ユーザ装置が個人化されたSIMプロファイルを有するユーザのためにユーザ装置110を動作させるように構成されたコントローラ112を備える。コントローラ112は特に、個人化されたSIMプロファイルが(例えば、本発明によって説明される方法を使用して)提供され、装置上で有効にされた後(その後、ユーザ装置は個人化されたSIMプロファイルを選択し、アクティブに使用を開始することができる)、(例えば、セルラーネットワークに接続するための)ユーザ装置110の動作を可能にする。好ましくは、ユーザ装置のコントローラは、装置の現在のユーザを(例えば、それ自体のオペレーティングシステムログインを使用して)追跡することができ、ユーザ装置の現在のユーザのみが、そのユーザのための個人化されたSIMプロファイルに従ってフルアクセスすることを可能にすることができる。コントローラは、有効化された個人化されたSIMプロファイルをユーザ装置が有するすべてのユーザについて、個人化されたSIMプロファイル間で切り替えることができる。ユーザ装置または個人化されたSIMプロファイル(およびその関連するサブスクリプション)の種類に応じて、ユーザ装置はまた、たとえば、すべての人(すなわち、装置のすべてのユーザ)による緊急呼出し、またはネットワークサービスの特定のセットへのアクセスを可能にし得る。
異なる/新しい/追加のユーザがユーザ装置を使用することを望む場合、コントローラは、異なる/新しい/追加の個人化されたSIMプロファイルの提供およびフェッチを開始し、提供された後に個人化されたSIMプロファイルを有効にするために、(たとえば、アプリケーション、ユーザ装置オペレーティングシステムログイン、またはユーザ識別情報を導出するための検出器によって)トリガされ得る。同様に、コントローラはまた、(例えば、ユーザのための古い有効化された個人化されたSIMプロファイルを置き換えて、新しい/更新された個人化されたSIMプロファイルのコミッショニングを開始するために)既存のユーザのためのユーザ装置の再設定をトリガし得る。ユーザ装置110はまた、eUICC(embedded Universal Integrated Circuit Card:組み込みユニバーサル集積回路カード)を動作させる、または、SIMプロファイルおよびクレデンシャルの安全な記憶および/もしくは処理を提供するために必要な保護機構を有するセキュアメモリおよび/もしくはセキュア処理能力を有するセキュア要素を動作させるメモリ装置114を有することができる。メモリ装置114は、好ましくは製造中にその製造業者によって事前に提供されたアクティブブートストラッププロファイル(BP)を有することができる。ブートストラッププロファイルは(たとえば、SGP.01およびSGP.02によって規定される)サブスクリプションマネージャ130のセキュアルーティングエンティティ(SM-SR)132にセキュアに接続するための(変更不可能である)秘密クレデンシャルを有することができ、ユーザ装置110の固有の装置識別子EIDを含むことができる。固有の装置識別子EIDはまた、秘密クレデンシャルのうちの1つまたは複数から動的に導出され得る。
セキュアルーティングエンティティへの接続は、ユーザがそれへのアクセスを得ることを望む、そのための個人化された識別モジュールプロファイルがユーザ装置110上で提供される必要があるセルラーネットワークとは異なるモバイルネットワークオペレータまたはネットワークサービスプロバイダによって運用される異なるネットワーク(すなわち、「オンボーディングネットワーク」)によって提供されることができる。セキュアルーティングエンティティは、オンボーディングネットワークの外部で、たとえば、メモリ装置114の製造業者によって提供されるインターネット上のサービスとして、実行され得る。この場合、オンボーディングネットワークが、ユーザ装置と外部ネットワークとの間の必要なIP接続を提供するか、または、セキュアルーティングエンティティが、別個のネットワーク機能として、または例えば、モビリティ管理エンティティ(MME)もしくはアクセス管理機能(AMF)もしくは他のコアネットワーク機能と組み合わせて、オンボーディングネットワーク内で内部的に実行され得る。ユーザ装置がSM-SRに接続することを可能にするために、SM-SRは、(例えば、ブートストラッププロファイルの一部として記憶されたクレデンシャルから導出された)ユーザ装置から受信されたクレデンシャルを、(例えば、ユーザ装置のユーザがそれへのアクセスを得たいPLMNまたはNPNのコアネットワークにおいて)オンボーディングネットワークの内部または外部で実行されるデフォルトの/ブートストラップクレデンシャルデータベースでチェックすることによって、ユーザ装置を認証することができる。SM-SRは、ユーザ装置との接続上で認証プロトコルを実行し、例えば、(例えば事前共有鍵または他のユニークな装置認証情報を使用して)チャレンジ/レスポンスメカニズムを実行し、またはセキュリティハンドシェイク(例えばDiffie-Helman)を実行し、または、(例えば、SM-SRにおいて(例えば、ユーザ装置のデータベースから取得される)特定のユーザ装置についての公開鍵または証明書(固有のIDも含む場合がある)が利用可能かどうかを確認し、ユーザ装置が対応する秘密鍵を持っているかどうかを検証することによって)公開鍵検証を実行し得る。ユーザ装置が偽のSM-SRに接続することを防止するために、ユーザ装置はまた、ブートストラッププロファイルに記憶されたクレデンシャルを用いてSM-SRから受信されたクレデンシャルをチェックすることによって、SM-SRのクレデンシャルの認証を実行することができる。
あるいは、ユーザ装置は最初に、例えばEAP-TLS、EAP-AKA で使用するための証明書を使用して信頼できる Wi-Fi ネットワークまたは他の非 3GPP ネットワークに安全にアクセスするためのクレデンシャル、(例えばWPA2 エンタープライズを使用した)認証のためにAAA サーバに安全に接続するための他のクレデンシャル、または、ユーザ装置がそれを通じてサブスクリプションマネージャに接続可能である信頼されていないWi-Fiネットワークなどを介して訪問先またはホームオペレータネットワークにおける進化型パケットデータゲートウェイ(ePDG)または非3GPPインターワーキング機能(N3IWF)機能に安全に接続するためのクレデンシャルを供給される。
セキュアルーティングエンティティ(SM-SR)を使用する代わりに、ユーザ装置は、事前に、サブスクリプションマネージャおよび/またはサービスシステムおよび/または識別サーバおよび/またはプロファイル準備エンティティおよび/またはプロビジョニングサーバおよび/またはプロビジョニングに関与する他のエンティティのそれぞれのネットワークアドレスを提供され得る。
ユーザ装置110内の任意の動作プロファイル/個人化された識別モジュールプロファイル(すなわち、ユーザ装置がセルラーネットワークに接続するための識別子、セキュアなクレデンシャルおよびポリシーを有するプロファイル、SIMカードと同等)は、SM-SR 132または上述の例のいずれかを表すオンカードプロフィール(BP)を使用することによって、ダウンロード、インストール、有効化、無効化または削除され得る。そのようなプロファイルは、典型的には、eSIMまたはUSIMプロファイルであることができ、通常、ブートストラッププロファイルとは別個に、(たとえば、別のISD-P(発行者セキュリティドメインプロファイル)インスタンスとしての)eUICC内のそれ自体のセキュリティ領域または(セキュアメモリおよび/またはセキュア処理能力を有する)別のセキュア要素で実行される。PLMNのプロファイルは、通常、装置およびEAP-AKAプロシージャを実行するためのクレデンシャルを識別し、他のキーを導出するための国際移動加入者識別情報(International Mobile Subscriber Identity:IMSI)を含む。非公開ネットワークまたは非SIM装置がPLMNにアクセスする場合、プロファイルは、ネットワークへのアクセスを得るために、1つまたは複数の他のネットワーク固有識別子、装置識別子(たとえば、グローバルユニーク識別子(GUID))、シングルサインオン識別子(たとえば、オープンID識別子)、事前共有鍵、証明書、AAAクレデンシャルを含み得る。このようなプロファイルは、セルラーネットワークに接続するために必要なクレデンシャルを含むだけでなく、Wi-Fiネットワークなどの他のネットワークに接続するための追加のクレデンシャルを含むこともできることに留意されたい。さらに、それは、MNOによって運営されるセルラーコアネットワーク上のサードパーティサービスプロバイダによって運営されるネットワークスライスまたは非公開ネットワークに接続するための二次認証クレデンシャルを含むことができ、それによって、一次認証クレデンシャルはMNOによって運営されるセルラーコアネットワークにセキュアに接続するために使用され、二次認証クレデンシャルはサードパーティサービスプロバイダによって運営されるネットワークスライスまたは非公開ネットワークにセキュアに接続するために使用される。一次および二次認証/セキュリティクレデンシャルは、それ自体の別個のセキュリティ領域および動作環境に記憶されて動作され、それによって、一次および二次認証/セキュリティクレデンシャルは、例えば、eUICC内の別個のプロファイル/ISD-Pとして記憶されることができ、またはそれによって、一次認証/セキュリティクレデンシャルはeUICC内に記憶され、eUICCセキュア動作環境内で処理されるが、二次クレデンシャルは異なるセキュアメモリ(例えば、ソフトウェアおよび/またはハードウェア保護された不揮発性メモリ領域)またはセキュア記憶装置(例えば、ハードディスク上のパスワード保護された領域)に記憶され、ユーザ装置上の別のプロセッサ(例えば、汎用CPU)によって動作される。ユーザ装置110自体は、eSIMの装置ID(EID)(例えば、SGP.02においてGSMAによって規定されるEID)およびブートストラップ/動作プロファイルのID(例えば、SGP.02においてGSMAによって規定されるICCID)とは異なる物理ID(例えば、MACアドレス)を有する。GSMA規格によれば、ユーザ装置110がSM-SR 132に接続するとき、SM-SR 132は、ユーザ装置110がユーザ装置110の単一のプライマリユーザのための単一のサブスクリプションまたは単一のプリペイドサブスクリプションのみにリンクされると仮定されるので、装置識別子EIDのみに基づいて、ユーザ装置110のSIMプロファイルのダウンロードを通常は選択してトリガする。さらに、GSMA規格に加えて、ユーザによって所有/操作される複数の装置が、単一のユーザサブスクリプションにリンクされ得る。特定のユーザに代わってSIMプロファイルをダウンロードすることを可能にするために(たとえば、装置の最初の使用時に、または装置が複数のユーザ間で共有されるか、または追加の装置を同じユーザサブスクリプションにリンクすることができる場合に)、ユーザ識別情報の使用が必要とされる。識別サービスプロバイダとの安全な接続を確立することができるように、ブートストラッププロファイルに加えて、識別サービスプロバイダのセキュアなクレデンシャルは、好ましくは、ユーザ装置のeUICC 114内のそれ自体の別個のセキュリティ領域内に、例えば、識別プロバイダプロファイルと呼ばれる別個のプロファイル(ISD-P)の下に記憶される。
ユーザ装置110はまた、ユーザ装置110を使用しようとするユーザ20のユーザ識別子UIDを導出するための検出器118を備え得る。たとえば、検出器118は、ユーザのバイオメトリックを検出し、ユーザ固有の識別子UIDを導出することができるバイオメトリックセンサ(たとえば、指紋スキャナ、カメラ)を備え得る。本明細書で説明する実施形態のいずれにも適用することができる例では、UIDは、指紋スキャナ、顔認識装置、虹彩認識などのバイオメトリックセンサによって導出されることができる。代替的に、ユーザの生体認証に代えて、またはそれに加えて、ユーザ装置のユーザの他のID、例えば、限定はしないが、ユーザ名とパスワードの組み合わせ、一意の秘密ピンコード、ユーザ固有の行動パターン、識別サービスプロバイダ(ISP)システムによる符号化および識別ルールに従って、この動作のセットを符号化することができる、ユーザ装置上の機能(またはアプリケーション)によって識別され得る動作の任意の事前に合意された一意のセット(特定のキーシーケンス、ロック解除パターン、手書き、オーディオ入力)も、検出器118によって取得され得る。代替として、ユーザ装置110がバイオメトリックセンサ自体を有していない場合、ユーザ装置のユーザは、別の装置(たとえば、携帯電話)上のバイオメトリックセンサを使用して、ユーザのユーザ固有の識別子UIDを導出し、それを、帯域外メカニズム(たとえば、NFC)を介して、またはユーザ装置110とユーザ装置110の識別プロバイダプロファイルによって暗号化されるべき別の装置との間の安全な接続(たとえば、セルラ、Wi-Fi、Bluetooth)を介して、ユーザ装置110に転送することができる。別の装置上のそのような外部バイオメトリックセンサはまた、本実施形態の意味におけるユーザ装置110の検出器118である。図1では、ユーザ装置110がそのユーザAに割り当てられた個人化されたSIMプロファイルでまだコミッショニングされていないユーザAが例示的に示されている。代替実施形態ではすべての前の実施形態およびオプションから独立して適用され得、および/またはすべての前の実施形態/オプションと組み合わせられ得、検出器が別の装置によって操作されるだけでなく、他の装置がサブスクリプションマネージャおよび/またはサービスシステムおよび/または識別プロバイダにセキュアに接続するためのコミュニケータも提供し、個人化されたSIMプロファイルの提供/設定手順においてユーザ装置110を支援する。ユーザが検出器を通じて自身のIDを提供した後、この他の装置は、(自身のクレデンシャルを使用して、または2つの装置間の帯域外チャネルもしくは安全な接続を通じてユーザ装置110から受け取ったクレデンシャル(例えばセキュリティ材料または装置識別情報)を使用して)、サブスクリプションマネージャに安全に接続し、同様に検出器から(サブスクリプションマネージャを介して)サービスシステムへと導出されたユーザID情報を送り、その後、サービスシステムは、ユーザを識別し、それぞれのユーザ装置のための個人化したSIMプロファイルを生成することができる。他の装置によって個人化されたSIMプロファイルを受信した後、他の装置は、受信された個人化されたSIMプロファイルを転送するために、帯域外チャネルまたは2つの装置間のセキュア接続を使用することができる。
さらに、ユーザ装置110は、サブスクリプションマネージャ130のSM-SR 132とのデータ通信のためのコミュニケータ116を備える。好ましい実施形態では、データ通信は、セルラー通信(例えば、4G LTEまたは5G NR)に基づく。eUICC 112とSM-SR 132との間のすべてのデータ通信は、ブートストラッププロファイルBP上に記憶されたセキュアな証明書に基づいて暗号化されるべきである。したがって、ユーザ装置110のコミュニケータ116は、SM-SR 132に送信されるデータを暗号化するとともに、SM-SR 132から受信したデータを復号するように構成される。
例えば、ユーザ装置110、特にユーザ装置110のコントローラ112は、好ましくは、識別器118からユーザ固有の識別情報UIDを検索または受信することができるeUICC 114内の識別プロバイダプロファイルのセキュリティコンテキスト内で実行されるアプリケーション(例えば、グローバルプラットフォームカード仕様V2.1.1で規定されるようなJAVAアプリケーション)を有する。このアプリケーションはさらに、eUICC 114の装置識別子EIDを取得し、ユーザ固有の識別子UIDと装置識別子EIDの両方を、自身でまたは別個の暗号化アプリケーションを使用することによって暗号化することができる。暗号化は、識別プロバイダプロファイルのセキュリティコンテキストの下に格納されたISPシステム145によって発行されたセキュアクレデンシャルを使用して実行される。ISPシステム145のコンタクト詳細(例えば、IPアドレス、URL)も、識別プロバイダプロファイルのセキュリティコンテキストの下に格納される。ブートストラッププロファイルと協働して、暗号化されたユーザ固有識別子UIDおよび暗号化された装置識別子EIDは、場合によっては、ISPシステム145のコンタクト詳細とともに、ユーザ装置110とSM-SR 132との間のセキュアチャネルを使用して、サブスクリプションマネージャ130のSM-SR 132に送信されるべきであり、ブートストラッププロファイルのクレデンシャルを使用してセットアップされる。この目的のために、ユーザ装置110およびSM-SR 132は、1つまたは複数の追加のメッセージまたはメッセージ属性または追加のデータフィールドで拡張されたES5インターフェース(SGP.01/SGP.02で規定される)を使用することができる。あるいは、ブートストラッププロファイルのセキュリティコンテキストに記憶された汎用暗号化アプリを使用して、ISPシステム145によって受信されると、公開ISPシステムの秘密鍵を使用して解読される(例えば、政府機関の)公開ISPシステムによって発行された公開鍵に基づいて、ユーザ固有の識別子UIDを暗号化することができる。ブートストラッププロファイルのセキュリティコンテキストの下でISPの公開鍵とともに記憶されるISPシステム145のコンタクト詳細(例えば、IPアドレス、URL)も、SM-SR 132に送信され、暗号化されたユーザ固有識別子UIDおよびユーザ装置110の装置識別子EIDを対応するISPシステム145に転送する。ISPシステム145のコンタクト詳細を使用して、SM-SR 132は、ユーザ装置とISPとの間の論理通信チャネルを(直接的または間接的に)セットアップする。ISPは、この論理通信チャネルを使用して、EAP-TLSまたはEAP-AKAなどの認証および/または識別検証プロトコルを実行することができる。代替的に、ユーザ装置は、例えば、QRコードをスキャンすることによってまたはNFCを介して、サブスクリプションマネージャおよび/またはISPシステムのコンタクト詳細、およびおそらくはサブスクリプションマネージャおよび/またはISPに関するセキュリティと接続するための公開鍵をも読み出すことができる。
ISPシステム145が属する識別サービスプロバイダは、例えば、携帯電話会社、インターネットサービスプロバイダ、電力供給者、病院などであり得る。ISPシステム145は、導出されたユーザ固有識別子UIDに基づいてアクティブユーザ120を識別するように構成される。特に、ISPシステム145は、受信されたユーザ固有識別子UIDを復号して、アクティブユーザ120を識別し、アクティブユーザ120が加入している対応するネットワークオペレータを決定することができ、オプションとして、ユーザ装置110の受信された固有の装置識別子EIDを復号することもできる。このために、ISPシステム145は、ユーザ識別情報のデータベースと、場合によってはユーザが識別されることができる異なる手段とを有する。受信された識別情報UIDとデータベースに含まれるユーザとの間に一致が見つかった場合、ISPシステム145は、(場合によってはネットワークまたは他の組織内の別のエンティティによってサービスされる)別のデータベースにコンタクトして、アクティブユーザ120が加入している対応するMNOについての情報を取り出すことができる。さらに、ISPシステム145は、決定されたMNOのMNOシステム150に、固有の装置識別子EIDを有するユーザ装置110におけるアクティブユーザ120のためにSIMプロファイルが要求されているという通知を送信するように構成される。ISPシステム145はまた、識別ブローカとして動作し、識別関連情報および/またはユーザ認証情報を決定されたMNOに通信するために、OpenID、OpenAuth、SAMLまたは他の変形例などのプロトコルを実行するようにさらに構成され得る。
代替構成では、サブスクリプションマネージャ130のSM-SR 132は、導出されたユーザ識別子UIDのみをISPシステム145に送信し、装置識別子EIDをMNOシステム150に直接送信する。別の代替構成では、サブスクリプションマネージャ130のSM-SR 132は、導出されたユーザ識別子UIDおよび装置識別子EIDの両方をMNOシステム150に送信し、次いで、導出されたユーザ識別子UIDをIPSシステム145に送信する。さらに別の代替構成では、サブスクリプションマネージャ130のSM-SR 132は、導出されたユーザ識別子UIDおよび装置識別子EIDの両方をSM-DP 134に送信し、次いで、SM-DP 134がこれらのIDをMNOシステム150に転送する。
MNOシステム150は、ユーザ装置110において使用されるべき、識別されたユーザ120のための個人化されたSIMプロファイルを要求するように構成される。また、MNOシステム150は、特定のユーザに属するアクティブユーザ装置のリストを記憶するためのメモリ152を備える。特に、MNOシステム150は、ユーザ装置110を、そのメモリ152に記憶されたアクティブなユーザ装置のリスト内のユーザ120のための追加の装置として自動的に登録することができる。好ましくは、MNOシステム150は、特定のユーザの、特にプライマリユーザ装置125を含むユーザ装置の位置情報LOCを受信するための受信機154をさらに備える。好ましくは、受信機154は、特定のユーザ122からユーザメッセージUMを受信することもできる。
サブスクリプションマネージャ130のSM-DP 134は、個人化されたSIMプロファイルを準備するように構成される。SM-DP 134はまた、例えば、MNOシステム150から必要な情報を受信することによって、または中央発見サーバに問い合わせることによって、ユーザ装置110に対応するSM-SR 132を識別することができる。サブスクリプションマネージャ130のSM-SR 132は、SM-DP 134によって準備されたSIMプロファイルを暗号化し、暗号化されたSIMプロファイルをユーザ装置110に送信するように構成される。代替的に、ユーザ装置110およびSM-DP 134は、例えば、ユーザ装置内のブートストラッププロファイルの一部として記憶されたクレデンシャルに基づく安全な接続を使用して、プロビジョニングネットワーク上で直接通信することが可能であり得る。
図2を参照して、図1の上述のシステム100によって実行される個人化されたSIMプロファイルを用いてユーザ装置を動作させるための方法200の例示的な実施形態が、ここで説明される。 図2に示される方法200のフローチャートをより良く理解するために、方法ステップの以下の短い説明に留意されたい:
S210:ユーザ装置110を使用しようとするユーザのユーザ識別子UIDを導出する;
S212:ユーザ120に割り当てられた個人化されたSIMプロファイルがユーザ装置110において有効にされているかどうかのチェック;
S214:ユーザ装置110の導出されたユーザ識別子UIDおよび装置識別子EIDの暗号化;
S216:SM 130を介したサービスシステム140への暗号化データの送信;
S216a:SM 130への暗号化データの送信;
S216b:暗号化されたデータのサービスシステム140への転送;
S220:ユーザ装置110を使用しようとするユーザ120を識別する;
S222:識別されたユーザ120が加入しているMNOに関する情報の取り出し;
S224:装置識別子EIDおよび識別されたユーザ120に関する情報を、決定されたMNOのMNOシステム150に送信する;
S230:アクティブユーザ120がユーザ装置110を使用することができる正規のユーザであることの検証;
S232:ユーザ装置110に対するユーザ120のユーザ固有の設定の取り出し;
S234:(正規の)ユーザ120に対する個人化されたSIMプロファイルの要求;
S240:ユーザ120のための個人化されたSIMプロファイルの準備;
S242:準備されたSIMプロファイルをユーザ装置110に送信する;
S242a:準備されたSIMプロファイルをユーザ装置110に転送するようにSM-SR 132に要求する;
S242b:SM-DP 134からのSIMプロファイルのダウンロード;
S242c:SIMプロファイルの暗号化;
S242d:暗号化されたSIMプロファイルのユーザ装置110への送信;
S250:現在のユーザ120が、受信されたSIMプロファイルが準備されたユーザと同じユーザであることを確認する;
S260:ユーザ120によるユーザ装置110の動作の開始。
方法200は、ユーザ120がユーザ装置110を使用することを意図する場合に開始する。例示的な図1において、ユーザ120はユーザAであり、ユーザ装置110は、ユーザAに割り当てられたSIMプロファイルとまだコミッショニングされていない eUICC 114を有する。第1のステップS210において、ユーザ装置110の検出器118は、ユーザ装置110を使用しようとするユーザ120のユーザ識別子UIDを導出する。次に、ステップS212において、ユーザ装置110のコントローラ112は、ユーザ120に割り当てられた個人化されたSIMプロファイルがユーザ装置110のeUICC 114に記憶され、有効にされているかどうかをチェックすることができる。ユーザ装置のeUICC 114が、ユーザに割り当てられた個人化されたSIMプロファイルで既にコミッショニングされている場合(ステップS212のY)、コントローラ112は、ユーザ120によるユーザ装置110の操作を可能にし、ステップS260において、ユーザ120によるユーザ装置110の操作を開始する。ステップS212の代替例として、コントローラは、(たとえば、古い有効化された個人化されたSIMプロファイルを置き換えるために、新しい/更新された個人化されたSIMプロファイルのコミッショニングを開始するために)ユーザ装置の再設定をトリガしてもよい。
ユーザ装置110のeUICC 114が、ユーザに割り当てられた個人化されたSIMプロファイルでまだコミッショニングされていない場合(ステップS212のN)、コントローラ112は、ユーザ120に割り当てられた個人化されたSIMプロファイルを自動的にダウンロードすることを決定し、ステップS214に進む。ステップS214において、ユーザ装置110のコミュニケータ116は、検出器118によって導出されたユーザ識別子UIDと、eUICC 114に記憶されたユーザ装置110の装置識別子EIDとを暗号化する。そして、ステップS216において、コミュニケータ116は、サブスクリプションマネージャ130を介して、暗号化データをサービスシステム140に送信する。送信ステップS216は、ユーザ装置110のコミュニケータ116が暗号化されたデータをサブスクリプションマネジャー130、特にサブスクリプションマネジャー130のSM-SR 132に送信するステップS216aと、サブスクリプションマネジャー130のSM-SR 132が暗号化されたデータをサービスシステム140、特にサービスシステム140のISPシステム145に転送するステップS216bを含む。特に、ステップS216bにおいて、ユーザ装置110から暗号化されたユーザ固有識別子UIDおよび暗号化された固有の装置識別子EIDを受信するSM-SR 132は、ISPシステム145に暗号化された識別を送信するために、SM-SR 132とISPシステム145との間の安全な接続をセットアップする。暗号化された識別子を受信すると、SM-SR 132は、ISPシステム145のコンタクト詳細(例えば、IPアドレス、URL)に応じて、暗号化されたユーザ固有ID(UID)および装置ID(EID)を公開ISPシステムまたはプライベートISPシステムのいずれかに自動的に転送する。
次に、ステップS220において、ISPシステム145は、ユーザ装置110の検出器118によって導出されたユーザ識別子UIDに対応するユーザ装置110を使用しようとするアクティブユーザAを識別する。この文脈では、サブスクリプションマネージャ130のSM-SR 132から暗号化されたユーザ固有識別子UIDを受信すると、ISPシステム145は、暗号化されたユーザ固有識別子UIDおよびユーザ装置110の暗号化された固有の装置識別子EIDを復号する。ユーザAを識別した後、ステップS222において、ISPシステム145は、決定されたユーザAが加入しているネットワークオペレータに関する情報を取り出すする。次いで、ステップS224において、ISPシステム145は、装置識別子EIDおよび識別されたユーザAに関する情報を、決定されたネットワークオペレータのネットワークオペレータシステム150に、特に、決定されたMNOのモバイルネットワークオペレータ(MNO)システム150に送信する。
方法ステップS216bからS224に関して、代替的に、サブスクリプションマネージャ130のSM-SR 132は、暗号化された装置識別子EIDをMNOシステム150に直接転送し、暗号化されたユーザ識別子UIDをISPシステム145に転送し、その後、ISPシステムは、受信されたユーザ識別子UIDを復号し、ユーザAを識別し、識別されたユーザAに関する情報をMNOシステム150に送信する。別の代替例では、サブスクリプションマネージャ130のSM-SR 132は、暗号化されたユーザ識別子UIDおよび暗号化された装置識別子EIDの両方をMNOシステム150に転送し、その後、MNOシステム150は、ユーザAを識別するために、暗号化されたユーザ識別子UIDをISPシステム145に送信する。
好ましくは、追加のセキュリティステップとして、オプションのステップS230において、MNOシステム150は識別されたユーザAがユーザ装置110を使用することができる正規のユーザであることを検証する。例えば、MNOシステム150は、帯域外技術(例えば、SMS、ユーザAの異なる装置上のMNO所有のアプリを介した画面確認、ユーザAがログインしているMNOのウェブサイトにおけるQRコード確認)を使用して、ユーザAがユーザ装置110を使用することが正当であるかどうかをチェックすることができる。代替的に、挙動メトリック(例えば、3X3グリッドにおけるパターンロック解除、位置ベースの識別)は、ユーザAのヘッド付き装置上でユーザAによって使用されて、MNOシステム150に対するユーザの適正性を証明することができる。さらに、MNOシステムは、オプションとして、ISPシステムによってユーザを識別すると、および/または、個人化されたSIMプロファイルをプロビジョニングすると、ユーザ装置に、ユーザ識別関連情報を記憶するように命令し、その後の使用時に、ユーザ装置上のローカルIDチェックを使用して、ユーザが装置を使用することが正当であるかどうかをチェックし、その後、アクセスを可能にすることができる。
ユーザAがユーザ装置110を使用することができる正規のユーザではない場合(ステップS230のN)、方法は終了する。ユーザAがユーザ装置110を使用することができる正規のユーザである場合(ステップS230のY)、方法は継続する。
別のオプションのステップS232では、MNOシステム150は、ユーザ装置110の識別されたユーザAのユーザ固有の設定をさらに取り出す。例えば、ISPシステム145から装置識別子EIDを受信すると、MNOシステム150は、装置タイプ(例えば、薬物ディスペンサ)を識別し、対応するサービスプロバイダ(例えば、クリニック、薬局)からユーザ装置110のユーザ固有の設定(例えば、ユーザAの1日当たりの薬物投薬量)を要求することができる。加えて、ISPシステム145から通知を受信した後、MNOシステム150は、ユーザ装置110を、そのメモリ152に記憶されたユーザ装置のリスト内のユーザAのための追加のユーザ装置として自動的に登録することができる。
次のステップS234において、MNOシステム150は、ユーザAのための個人化されたSIMプロファイルを要求する。特に、MNOシステム150は、サブスクリプションマネージャ130のSM-DP 134に、ユーザ装置110に固有のユーザAのための個人化されたSIMプロファイルを準備するように要求する。好ましくは、MNOシステム150は、(例えば、SGP.02においてGSMAによって規定されたES2インターフェースを介して)SM-DP 134に情報を安全に送信する。次に、ステップS240において、SM-DP 134は、例えば、SGP.01のRSPアーキテクチャによって規定されるように、ユーザ装置110に固有のユーザAのための個人化されたSIMプロファイルを準備する。また、MNOシステム150がステップS232においてユーザ固有の設定を取得し、ステップS234においてSIMプロファイル準備要求とともにこの情報をSM-DP 134に転送した場合、SM-DP 134は、ユーザ装置110のためのユーザ固有の設定とバンドルされたユーザAのための個人化されたSIMプロファイルを準備する。
次に、ステップS242において、サブスクリプションマネージャ130は、準備された個人化されたSIMプロファイルをユーザ装置110に安全に送信する。図2に示される実施形態において、このステップS242は、数多くのサブステップS242a~dを含む。まず、ステップS242aにおいて、SM-DP134は、SIMプロファイルを準備した後、例えば、MNOシステム150から必要な情報を受信することにより、またはユーザ装置のEIDで中央発見サーバに問い合わせることにより、対応するSM-SR132を自動的に識別し、例えばSGP.02でGSMAが規定するES3インタフェースを介して、準備したSIMプロファイルをユーザ装置110に転送するようSM-SR132に自動的に依頼する。その後、ステップS242bで、SM-SR 132は、準備されたSIMプロファイルをSM-DP 134から自動的にダウンロードし、ステップS242cで、準備されたSIMプロファイルを暗号化する。d最後に、ステップS242dにおいて、SM-SR 132は、ユーザ装置110とSM-SR 132とのセキュアなチャネル設定を用いて、暗号化されたSIMプロファイルをユーザ装置110に送る。
サブスクリプションマネージャ130から個人化されたSIMプロファイルを受信した後、ステップS250において、好ましくは、ユーザ装置110のコントローラ112は、現在のユーザが依然として受信されたSIMプロファイルがSM-DP 134によって準備されているユーザAであり、その間、他のユーザ120が装置を使用し始めていないことを確認する。同じユーザAが依然としてユーザ装置110を使用しようとする場合(ステップS250のY)、コントローラ112は、ユーザAによるユーザ装置110の操作を許可し、ステップS260において、ユーザAによるユーザ装置110の操作を開始する。ただし、ユーザ装置110を使用しようとする現在のユーザ120が、SM-DP 134によって受信されたSIMプロファイルが準備されたユーザAでなくなった場合(ステップS250のN)、コントローラ112は、現在のユーザ120によるユーザ装置110の操作をブロックし、方法200は終了する。
ここで図3を参照して、図2の方法200に任意に追加されるいくつかの実施形態を説明する。
図3のフローチャートに示されたオプションをより良く理解するために、方法ステップの以下の簡単な説明に留意すべきである:
S310:セッション終了およびユーザ120からのデコミッショニングの入力の受信;
S312:SM 130へのセッション終了メッセージの送信;
S320:別のユーザ装置を介したユーザの位置の検出;
S322:ユーザにセッション終了の確認を求めるプロンプト;
S324:ユーザ装置110のためのユーザ120に割り当てられたSIMプロファイルを無効化または削除することをSM 130に指示;
S330:ユーザ装置110がユーザ120によって頻繁に使用されるかどうかのチェック;
S340:ユーザ装置110のためにユーザ120に割り当てられたSIMプロファイルの削除;
S345:ユーザ装置110のためにユーザ120に割り当てられたSIMプロファイルの無効化;
S350:ユーザ120の一次装置125がユーザ装置110の位置とは異なる位置から通信することを検出する;
S352:同じユーザ装置110を使用しようとする別のユーザが存在することを検出する;
S354:ユーザ装置110がユーザ120の最初の使用後の所定の時間、アイドルモードにあることの検出;
S356:MNOによる特定のユーザのサブスクリプションに変更があることの検出;
S358:自身に割り当てられた全ての個人化されたSIMプロファイルを削除するための特定のユーザ122からのユーザメッセージUMを受信;
S360:ユーザのユーザ装置のうちの1つが盗まれたという特定のユーザ122からのユーザメッセージUMの受信;
S370:特定のユーザが、ユーザ装置110の近傍にある自分のプライマリユーザ装置125を介してユーザ装置110に接続するために身元を明かしたことを検出;
S372:ユーザ装置110の特定のユーザに割り当てられた無効化されたSIMプロファイルをアクティブ化する。
実施形態では、ユーザAは、ユーザ装置上でのユーザAの現在のセッションを終了することができること、または、セッションの数の制限若しくは制限時間に達したことを示し、ユーザ装置110は、ユーザ装置110のユーザインターフェースを介して直接、またはユーザAの別の装置のユーザインターフェースを介してのいずれかで、デコミッショニングされることができる。ユーザからセッション終了およびデコミッショニングの入力を受信した後(ステップS310のY)、ステップS312で、ユーザ装置110は、セキュアチャネルを介して、「セッション終了」メッセージをSM-SR 132に送信する。そのような「セッション終了」メッセージを受信した後、SM-SR 132は、ユーザ装置110のブートストラッププロファイルを介してユーザに自動的に割り当てられたSIMプロファイルを無効にする(S345)か、または削除する(S340)かのいずれかを行う。あるいは、サービスシステム140、特にそのMNOシステム150が別のユーザ装置を介してユーザ120の位置を検出した場合(ステップS320のY)、ステップS322において、MNOシステム150は、ユーザインターフェース上でユーザ120に、ユーザ装置110でのセッションからログアウトし、ユーザ装置110をコミッション解除したいことを確認するように促すことができる。ユーザ120からの確認に応じて、ステップS324において、MNOシステム150は、SM-SR 132に、ユーザ装置110のためにユーザAに割り当てられた個人化されたSIMプロファイルを無効にするかまたは削除するかのいずれかを指示することができる。そのような指示を受信した後、SM-SR 132は、ユーザ装置110のブートストラッププロファイルを介してユーザに自動的に割り当てられたSIMプロファイルを無効にする(S345)か、または削除する(S340)かのいずれかを行う。
この実施形態では、ステップS330において、ユーザ装置110が特定の時間フレーム内にユーザ120によって複数回(すなわち、複数のセッション)使用されることが予想されるかどうかをチェックすることが好ましい。例えば、ユーザ装置110がユーザによって頻繁に使用されるか、および/またはユーザ装置が比較的すぐに再度使用されることが予想されるかを、ユーザに問い合わせることができる。ユーザ120によるユーザ装置110の複数の使用を確認すると(ステップS330のY)、ユーザ装置の個人化されたSIMプロファイルは、無効にされるだけであり(ステップS345)、SM-SR 132によって削除されず、ユーザが装置を再度使用することが識別された場合、再び有効にされる。あるいは、サービスシステム140(特に、そのMNOシステム150)は、ユーザ120によるユーザ装置110の継続的な使用を監視して特定した場合(例えば、ユーザ装置がユーザ固有の識別子UIDで3日間ログインされている場合)、ユーザに割り当てられた個人化されたSIMプロファイルを無効にするのみで削除しないようSM-SR132に対して要求することが可能であり、ユーザ120によるユーザ装置110の使用頻度が低いことを特定した場合(例えば、ユーザ装置110がユーザ固有の識別子UIDで3日間ログインしていない場合)、ユーザ120に割り当てられた個人化されたSIMプロファイルを永久に削除することが可能である。さらに別の代替形態では、MNOシステム150がユーザ装置110の継続的な使用についての特定および確認についてユーザにランダムに問い合わせることができる。この場合、MNOシステム150は、特定のユーザがMNOシステム150に対してそれを肯定できない場合、特定のユーザに割り当てられた個人化SIMプロファイルを一時的に無効にすることができる。あるいは、SM-SR132、または特定のユーザの別の装置のユーザインタフェース上に様々なオプション(例えば、無効化、削除、有効化)を含むメニューを提示できるMNOシステム150が提供するサーバの安全なURLを示すために帯域外技術(例えば、SMS)が用いられることが可能である。この他のユーザ装置における特定のユーザの選択に応じて、SM-SR 132は、ユーザ装置110上で特定のユーザの選択を自動的に実行することができる。
さらなる実施形態では、サービスシステム140(特にそのMNOシステム150)は、特定のユーザに属するユーザ装置、特に特定のユーザのプライマリ装置125の位置情報LOC、特定のユーザに属するユーザ装置のリスト、例えばMNOシステム150のメモリ152に記憶された特定のユーザに属するユーザ装置のリスト、および/または特定のユーザ122Aから受信したユーザメッセージUMを使用して、ユーザ装置のために特定のユーザに割り当てられた個人化されたSIMプロファイルを自動的に削除または無効にすることができる。
― 例えば、ユーザ120に割り当てられたSIMプロファイルは、ユーザ120のプライマリ装置125がユーザ装置110の位置とは異なる位置からネットワークにアクティブに通信している場合(ステップS350のY)、ユーザ装置110に対して無効にされてもよい(ステップS345);
― ユーザ装置120に割り当てられたSIMプロファイルは、ユーザ装置110のためのSIMプロファイルについてのユーザのユーザ固有の識別子UIDを有する新しい要求がMNOシステム150に送られ、一方、同じ装置識別子による装置Dへのアクティブなネットワーク接続がある場合(ステップS352のY)、ユーザ装置110に対して無効にされ得る(ステップS345);
― ユーザ装置120に割り当てられたSIMプロファイルは、ユーザ装置110が所定の時間(例えば、最初の使用後3時間)アイドルモードにある場合(ステップS354のY)、ユーザ装置110に対して無効にされ得る(ステップS345);
― 特定のユーザに割り当てられたSIMプロファイルは、MNOで特定のユーザのサブスクリプションに変更がある場合(ステップS356のY)、ユーザ装置110に対して自動的に削除されてもよい(ステップS340);
― 特定のユーザに割り当てられたSIMプロファイルは、特定のユーザがMNOシステム150に、自分に割り当てられたすべての個人化されたSIMプロファイルを削除するように要求した場合(ステップS358のY)、ユーザ装置110に対して自動的に削除されてもよい(ステップS340);
― また、特定のユーザに割り当てられたSIMプロファイルは、特定のユーザがMNOシステム150に自分のユーザ装置の1つが盗まれたことを報告した場合(ステップS360のY)、ユーザ装置110について自動的に削除されてもよい(ステップS340);
― 特定のユーザに割り当てられた無効化されたSIMプロファイルは、特定のユーザのプライマリ装置125がユーザ装置の近くにあり、特定のユーザがプライマリ装置125を介してユーザ装置Dに接続するために身元を明かした場合(ステップS370のY)、ユーザ装置110に対して自動的に再びアクティブ化され得る(ステップS372)。
本発明は、図面及び前述の説明において詳しく図示及び説明されてきたが、そのような図示及び説明は、例示的又は説明的であり、限定的ではないと考えられるべきである。本発明は、開示された特定の実施形態に限定されない。本出願の説明および例示を提供してきたが、当業者は添付の特許請求の範囲内にある開示された実施形態に対する変形例、修正、および代替態様を想定することができる。
特許請求の範囲において、「備える」、「有する」及び「含む」という語は他の要素又はステップを排除するものではなく、不定冠詞「a」又は「an」は複数を排除するものではない。請求項において、用語「AおよびBのうちの少なくとも1つ」は「Aおよび/またはB」を意味し、「Aのみ」、「Bのみ」および「AとBの両方」の全ての変形を含む。請求項において、「プロシージャを実行するように構成された構成要素」という用語は、構成要素自体がプロシージャを実行するためのハードウェア要素またはソフトウェアアプリケーションを備えるか、または構成要素がプロシージャを実行するための別の構成要素に結合されることを意味する。単一のプロセッサ又は他のユニットが、請求項に列挙されるいくつかの項目の機能を果たすことができる。特定の手段が相互に異なる従属請求項に記載されているという単なる事実は、これらの手段の組み合わせが有利に使用されることができないことを示すものではない。コンピュータプログラムは他のハードウェアと一緒に、またはその一部として供給される光記憶媒体またはソリッドステート媒体などの適切な媒体上に記憶/配布されることができるが、インターネットまたは他の有線もしくは無線電気通信システムなどを介して、他の形態で配布されることもできる。請求項におけるいかなる参照符号も、範囲を限定するものとして解釈されるべきではない。

Claims (15)

  1. 個人化された識別モジュールプロファイルにより動作するように適応されたユーザ装置であって、
    割り当てられた個人化された識別モジュールプロファイルが前記ユーザ装置において有効化されたまたは有効化されることができるユーザのために前記ユーザ装置を動作させるように適応されるコントローラ、
    個人化された識別モジュールプロファイルと、サブスクリプションマネージャにセキュアに接続するための秘密クレデンシャルとを記憶するためのメモリ装置、
    前記ユーザ装置のユーザのユーザ識別子を導出するための検出器、および
    前記メモリ装置に記憶された前記秘密クレデンシャルに基づく前記ユーザ装置とサブスクリプションマネージャとの間のセキュアなデータ通信のためのコミュニケータを有し、
    前記コントローラは、前記コミュニケータに、導出された前記ユーザ識別子と装置識別子とを前記サブスクリプションマネージャへと送信させるように構成され、
    前記コミュニケータは、導出された前記ユーザ識別子に基づくサービスシステムによる前記ユーザの識別後に準備された前記サブスクリプションマネージャからの個人化された識別モジュールプロファイルを受信するように適応される、ユーザ装置。
  2. 前記メモリ装置がeUICCを有し、前記コミュニケータがセルラーネットワーク通信を使用する、請求項1に記載のユーザ装置。
  3. 前記ユーザ装置の前記コントローラが、前記ユーザの現在のセッションが終了されることができること、または、セッションの数の制限もしくは制限時間に達したことのメッセージを前記サブスクリプションマネージャに送信するように構成され、それにより、このユーザに割り当てられた前記個人化された識別モジュールプロファイルの無効化または削除を発生させる、請求項1に記載のユーザ装置。
  4. 前記コントローラが、或る時間フレーム内に特定のユーザにより前記ユーザ装置が複数回使用されるという情報を導出するように構成され、或る時間フレーム内に前記特定のユーザにより前記ユーザ装置が複数回使用される場合、前記特定のユーザに割り当てられた前記個人化された識別モジュールプロファイルが一時的に有効化または無効化される、請求項1に記載のユーザ装置。
  5. 前記コントローラが、トリガに基づいて、導出された前記ユーザ識別子および装置識別子を前記サブスクリプションマネージャへと前記コミュニケータに送信させるように構成される、請求項1に記載のユーザ装置。
  6. 個人化された識別モジュールプロファイルによりユーザ装置を動作させるシステムであって、
    割り当てられた個人化された識別モジュールプロファイルが前記ユーザ装置において有効化されたまたは有効化されることができるユーザのために前記ユーザ装置を動作させるように適応されるコントローラ、
    個人化された識別モジュールプロファイルと、サブスクリプションマネージャにセキュアに接続するための秘密クレデンシャルとを記憶するためのメモリ装置、
    前記ユーザ装置のユーザのユーザ識別子を導出するための検出器、および
    前記メモリ装置に記憶された前記秘密クレデンシャルに基づく前記ユーザ装置とサブスクリプションマネージャとの間のセキュアなデータ通信のためのコミュニケータを有する、ユーザ装置と、
    導出された前記ユーザ識別子に対応する前記ユーザを識別し、前記ユーザ装置のための個人化された識別モジュールプロファイルを要求するように構成されたサービスシステムと、
    前記ユーザ装置から受信された導出された前記ユーザ識別子および装置識別子EIDを前記サービスシステムに転送し、前記サービスシステムにより要求された前記ユーザ装置に準備された個人化された識別モジュールプロファイルを送信するように構成されたサブスクリプションマネージャと、を有するシステム。
  7. 前記サブスクリプションマネージャが、前記ユーザ装置および前記サービスシステムとのセキュアなデータ通信を管理するように構成されたルーティングエンティティ、ならびに、個人化された識別モジュールプロファイルを準備するように構成されたプロファイル準備エンティティを有する、請求項6に記載のシステム。
  8. 前記サービスシステムが、前記ユーザ装置のための個人化された識別モジュールプロファイルを準備することを前記サブスクリプションマネージャに要求するように構成された、ユーザが加入している少なくとも1つのネットワークオペレータシステムと、導出された前記ユーザ識別子に対応するアクティブなユーザを識別し、識別されたユーザに関する情報を、前記識別されたユーザが加入する前記少なくとも1つのネットワークオペレータのうちの1つに送信するように構成された識別システムとを有する、請求項6に記載のシステム。
  9. 前記ユーザ装置の前記コントローラ及び前記サービスシステムのうちの少なくとも1つが、さらに、前記ユーザの現在のセッションが終了されることができること、または、セッションの数の制限もしくは制限時間に達したことのメッセージを前記サブスクリプションマネージャに送信するように構成され、前記サブスクリプションマネージャが、さらに、このユーザに割り当てられた前記個人化された識別モジュールプロファイルの無効化または削除を発生させるように構成される、請求項6に記載のシステム。
  10. 前記ユーザ装置の前記コントローラ及び前記サービスシステムのうちの少なくとも1つが、さらに、或る時間フレーム内に特定のユーザにより前記ユーザ装置が複数回使用されるという情報を導出するように構成され、前記サブスクリプションマネージャが、さらに、或る時間フレーム内に前記特定のユーザにより前記ユーザ装置が複数回使用される場合、前記特定のユーザに割り当てられた前記個人化された識別モジュールプロファイルの一時的な有効化または無効化を発生させるように構成される、請求項6に記載のシステム。
  11. 前記サービスシステムが、特定のユーザに属するユーザ装置の位置情報または特定のユーザからのユーザメッセージを受信するための受信機と、特定のユーザに属するユーザ装置のリストを記憶するためのメモリとを有し、
    前記サービスシステムが、前記特定のユーザに属するユーザ装置の位置情報または前記特定のユーザから受信されたユーザメッセージに応じて、ユーザ装置または全てのリストされたユーザ装置について、前記特定のユーザに割り当てられた前記個人化された識別モジュールプロファイルの無効化もしくは削除、または、前記特定のユーザに割り当てられた無効化された個人化された識別モジュールプロファイルのアクティブ化を発生させるように前記サブスクリプションマネージャに要求するように構成される、請求項6に記載のシステム。
  12. 個人化された識別モジュールプロファイルによりユーザ装置を動作させる方法であって、
    前記ユーザ装置により、前記ユーザ装置のユーザのユーザ識別子を導出するステップ、
    前記ユーザ装置により、前記ユーザ装置の前記ユーザに割り当てられた個人化された識別モジュールプロファイルが前記ユーザ装置において有効化されていない場合にサブスクリプションマネージャを介して前記導出されたユーザ識別子および前記ユーザ装置の装置識別子をサービスシステムに送信するステップ、
    前記サービスシステムにより、前記導出されたユーザ識別子に対応する前記ユーザを識別して、前記ユーザ装置において使用されるべき前記識別されたユーザのための個人化された識別モジュールプロファイルを要求するステップ、
    前記サブスクリプションマネージャにより、前記識別されたユーザのための個人化された識別モジュールプロファイルを準備し、前記準備された個人化された識別モジュールプロファイルを前記ユーザ装置に送信するステップ、
    を有し、前記ユーザ装置と前記サブスクリプションマネージャとの間のデータ通信が、前記ユーザ装置に記憶された秘密クレデンシャルに基づくセキュアなデータ通信である、方法。
  13. 前記サービスシステムが、前記識別されたユーザのための前記個人化された識別モジュールプロファイルを準備するように前記サブスクリプションマネージャに要求する前に、または、前記個人化された識別モジュールプロファイルを前記ユーザ装置にインストールする前に、前記導出されたユーザ識別子に対応する前記ユーザが前記ユーザ装置を使用できる正規のユーザであるかを検証する、請求項12に記載の方法。
  14. 前記サービスシステムが、前記ユーザ装置のためのユーザ固有の設定を読み出して、この情報を前記サブスクリプションマネージャに提供し、前記サブスクリプションマネージャが、前記ユーザ装置のためのユーザ固有の設定にバンドルされる前記個人化された識別モジュールプロファイルを準備する、請求項12に記載の方法。
  15. 前記サービスシステムにより、特定のユーザに属するユーザ装置の位置情報または前記特定のユーザから受信されたユーザメッセージに応じて、前記特定のユーザに属するユーザ装置または全てのユーザ装置について、前記特定のユーザに割り当てられた個人化された識別モジュールプロファイルの無効化もしくは削除、または、特定のユーザに割り当てられた無効化された個人化された識別モジュールプロファイルのアクティブ化を発生させるように前記サブスクリプションマネージャに要求するステップ、をさらに有する請求項12に記載の方法。
JP2022575928A 2020-06-23 2021-06-17 個人化された識別モジュールプロファイルを有するユーザ装置を動作させるためのシステムおよび方法 Pending JP2023530896A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP20181642.8A EP3930361A1 (en) 2020-06-23 2020-06-23 System and method for operating a user device with personalized identity module profiles
EP20181642.8 2020-06-23
PCT/EP2021/066395 WO2021259751A1 (en) 2020-06-23 2021-06-17 System and method for operating a user device with personalized identity module profiles

Publications (1)

Publication Number Publication Date
JP2023530896A true JP2023530896A (ja) 2023-07-20

Family

ID=71143499

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022575928A Pending JP2023530896A (ja) 2020-06-23 2021-06-17 個人化された識別モジュールプロファイルを有するユーザ装置を動作させるためのシステムおよび方法

Country Status (6)

Country Link
US (1) US20230189001A1 (ja)
EP (2) EP3930361A1 (ja)
JP (1) JP2023530896A (ja)
CN (1) CN115769611A (ja)
BR (1) BR112022026157A2 (ja)
WO (1) WO2021259751A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11785456B2 (en) * 2020-08-18 2023-10-10 Cisco Technology, Inc. Delivering standalone non-public network (SNPN) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (EAP)
US11924917B2 (en) * 2021-01-04 2024-03-05 Dell Products, Lp Systems and methods of automatically pre-provisioning embedded subscriber identification module (ESIM) profiles on an information handling system
US20230078765A1 (en) * 2021-09-14 2023-03-16 Aeris Communications, Inc. Method and system for automated secure device registration and provisioning over cellular or wireless network
US20230224705A1 (en) * 2022-01-10 2023-07-13 Charter Communications Operating, Llc Wireless connection information generation, distribution, and use
DE102022001094A1 (de) * 2022-03-30 2023-10-05 Giesecke+Devrient ePayments GmbH Verfahren zur Verwaltung einer Anwendung zur elektronischen Identifizierung eines Nutzers
WO2023219540A1 (en) * 2022-05-12 2023-11-16 Telefonaktiebolaget Lm Ericsson (Publ) Operational subscription profile download

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102487489B1 (ko) * 2016-07-29 2023-01-12 삼성전자주식회사 eUICC를 포함하는 전자 장치 및 eUICC의 프로파일 관리 방법
EP3656143A1 (en) * 2017-07-20 2020-05-27 Telefonaktiebolaget LM Ericsson (Publ) Technique for remote sim provisioning
US10904741B2 (en) * 2018-09-18 2021-01-26 Verizon Patent And Licensing Inc. Systems and methods for queueing subscriber identity module profiles on an embedded universal integrated circuit card

Also Published As

Publication number Publication date
EP3930361A1 (en) 2021-12-29
EP4169276A1 (en) 2023-04-26
US20230189001A1 (en) 2023-06-15
CN115769611A (zh) 2023-03-07
WO2021259751A1 (en) 2021-12-30
BR112022026157A2 (pt) 2023-01-17

Similar Documents

Publication Publication Date Title
US11716621B2 (en) Apparatus and method for providing mobile edge computing services in wireless communication system
US11483711B2 (en) Cellular service account transfer and authentication
US20230189001A1 (en) System and method for operating a user device with personalized identity module profiles
CN110557751B (zh) 基于服务器信任评估的认证
US9661666B2 (en) Apparatus and methods of identity management in a multi-network system
US10141966B2 (en) Update of a trusted name list
US9020467B2 (en) Method of and system for extending the WISPr authentication procedure
US8261078B2 (en) Access to services in a telecommunications network
JP6668407B2 (ja) 移動通信システムに用いられる端末認証方法及び装置
CN111263334A (zh) 向移动无线设备配置电子用户身份模块
AU2017405089A1 (en) Enhanced registration procedure in a mobile system supporting network slicing
EP2103078B1 (en) Authentication bootstrapping in communication networks
WO2012095259A1 (en) Identification method for accessing mobile broadband services or applications
TW201513632A (zh) 用於對非蜂巢式裝置在wifi之上提供電話服務之系統與方法
EP3105900B1 (en) Method and system for determining that a sim and a sip client are co-located in the same mobile equipment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240606