1.本发明涉及一种通过订阅服务器(优选是sm
‑
dp)向用户身份模块(优选是euicc)提供订阅配置档的方法、一种管理用户身份模块中的订阅配置档的方法、以及相应的用户身份模块、相应的订阅服务器和计算机程序产品。
2.为了使用通信网络的服务,移动电话或机器对机器模块(简称m2m模块)等终端包含用户身份模块。用户身份模块中包含至少一个订阅配置档,在下文中又简称为配置档。该配置档包括用户身份数据,以识别和验证通信网络(例如移动网络)中的用户。该配置档使得通信网络的运营商能明确地将所提供的服务(例如语音和/或数据服务)的使用权分配给通信网络中的每个用户。此外,一旦对用户进行了验证,运营商就可支持网络接入,即,登录通信网络。如果无法验证用户,那么运营商也可拒绝网络接入。
背景技术:
3.现今的用户身份模块即使在其制造之后也可对其进行设置,以接收、设置、使用、更新、激活、停用、删除和/或扩展配置档。这通常称为用户身份管理或订阅管理。用户身份模块可具有多个不同的配置档。
4.因此,对配置档进行变更需要提供完整的配置档。在传统的插入式sim卡中,配置档的变更可简单地通过交换终端中的sim卡来进行。或者,可在用户身份模块中设置新的配置档,这尤其是在不易在终端中交换的用户身份模块中进行的。当在euicc中设置配置档时,会在用户身份模块中创建配置档文件结构,并在后续步骤中将配置档数据加载到该配置档文件结构中并安装在其中。
5.gsma技术规范“12fast.13
‑
嵌入式sim的远程配置架构,2013年12月17日”(在下文中称为技术规范[1])和“sgp02
‑
嵌入式uicc的远程配置架构技术规范v2.0,2014年10月13日”(在下文中称为技术规范[2])说明了这种订阅管理。技术规范[1]由此说明了用于将配置档从订阅服务器加载到euicc中并安装在其中的任务和功能。技术规范[2]说明了将订阅配置档下载并安装到euicc中的协议过程。图1以简化形式示出了如技术规范[1]和[2]所述的用于管理配置档或用户身份模块的系统。在技术规范[3]“gsma sgp.22
‑
rsp技术规范,第2.2版,2017年9月1日”和技术规范[4]“gsma sgp.21
‑
rsp架构,第2版,2017年9月1日”中也公开了与在euicc中下载和安装订阅相关的方面。
[0006]
例如,在将用户身份模块交付给用户并且使用配置档以使用通信网络的服务时,需要激活配置档、停用配置档、删除配置档、创建配置档、从第一配置档改变到第二配置档和/或更新现有配置档。此外,在交付/制造用户身份模块之后的某个时间,用户可能希望使用该通信网络或另一个通信网络的更多服务。无法在用户身份模块制造的个性化期间准备这种操作。
[0007]
需要一种能够大大减少向用户身份模块传送的数据量(尤其是除了配置档的实际配置档数据之外的传送数据量)的订阅配置档管理方案。
[0008]
为此,de 10 201 2 018 540a1公开了一种具有两个相同配置档的用户身份模块,
其中始终只有一个配置档可以处于活动状态。因此,订阅的变更在很大程度上无需ota数据传送即可进行。但是,在此不能操作不同的配置档。
[0009]
ep 2 802 162a1说明了一种在其中永久地引入了配置档模板的sim卡。利用从服务器向sim卡发送的命令,可从该配置档模板生成配置档结构。在第二步中,可使用配置档数据填充这些配置档结构。该配置档模板始终需要sim卡中的存储空间。该存储空间不能再用于配置档。
[0010]
de 10 201 2 020 690a1说明了一种在其中存储有不同配置档的euicc。使用收费命令通过远程管理激活用户身份数据,在此过程中向文件重写链接。在这种情况下,该文件始终保留在其存储位置,因此可减少存储器访问。只有文件的检索发生改变。在此也需要一个永久引入的配置档模板。
[0011]
wo 2016/128 141a1说明了一种具有本地克隆功能的euicc。euicc的本地克隆功能复制现有的第一配置档的配置档文件结构,并将其作为第二配置档结构存储在euicc中。在设置第二配置档的后续步骤中,将第二配置档数据记录到第二配置档文件结构中。
[0012]
有时,在以第二订阅配置档替换第一配置档时,两个配置档仅略有不同。例如,可能只有第二配置档的特定参数或数据(在下文中称为配置档数据的一部分)与第一配置档的特定参数或数据不同,而第一配置档的所有其它参数或数据与第二配置档的配置档数据完全相同。不过,到目前为止,始终需要下载完整的配置档。
[0013]
有时,只能通过增加功能来扩展现有的活动配置档,或者将现有的活动配置档转换为较新的版本。到目前为止,始终需要新建和设置(加载和安装)完整的配置档。这导致通信网络中的高数据量。此外,需要在图1所示的系统的两个系统组件(在用户身份模块外部)之间对至少一部分配置档数据以及可选的配置档文件结构(例如ota密钥或其它用户身份数据)进行新的协商。这种协商导致通信网络中的额外数据量。
技术实现要素:
[0014]
本发明的目的是提供一种用户身份模块或方法,该用户身份模块或方法允许在用户身份模块中提供和管理订阅配置档,同时在通信网络中向用户身份模块传送的数据较少。
[0015]
该目的通过如前述权利要求中任一项所述的用户身份模块实现的。在从属权利要求中指出了本发明的有利实施例。
[0016]
根据本发明,提供了一种用于通过订阅服务器(优选是sm
‑
dp)向用户身份模块(优选是euicc)提供订阅配置档的方法。订阅服务器了解安装在用户身份模块中并且包括第一配置档文件结构和存储在第一配置档文件结构中的第一配置档数据的第一订阅配置档。在订阅服务器中执行以下方法步骤:标记第二订阅配置档的第二配置档文件结构的至少一部分;并向用户身份模块传送第二订阅配置档,其中,所标记的第二订阅配置档部分在传送时没有第二配置档数据,其中,在传送步骤中,指示将待复制的第一订阅配置档的第一配置档数据作为第二配置档数据存储在第二订阅配置档的第二配置档文件结构的标记部分中。
[0017]
本发明意义上的用户身份模块是一种电子模块,其尺寸和资源范围较小,并且包括微控制器和至少一个用于与终端通信的数据接口。该用户身份模块包括安全存储区,用户身份数据被可靠地引入其中,以防止在通过网络进行识别和/或验证期间的操纵和/或误
用尝试。可通过终端操作用户身份模块,其中,除了电源信号(例如供电电压、时钟、复位等),该模块是自给自足的。
[0018]
所述用户身份模块例如是芯片卡,也称为通用集成电路卡(uicc)或sim卡。该用户身份模块用于利用存储在安全存储区中的机器可读的用户身份数据来识别通信网络中的用户,并验证该用户以使用服务。
[0019]
或者,所述用户身份模块是终端内的一个组成部件,例如硬接线的电子组件。这种用户身份模块又称为嵌入式uicc(euicc)。在这种设计中,这些用户身份模块不是设计为可从终端移除的,并且原则上说不易更换。这种用户身份模块也可设计为嵌入式安全元件,从而作为终端内的安全硬件组件。
[0020]
或者,所述用户身份模块是机器对机器(m2m)模块。这些模块用于终端(例如机器、设施和系统)的远程监视、控制和维护。或者,它们也可用于计数装置,例如电表、热水表等。
[0021]
或者,所述用户身份模块设计为终端的操作系统的可信部分(所谓的可信执行环境,简称tee)中的一个软件组件。此时,该用户身份模块例如设计为在安全运行时环境中运行的程序的形式,即,所谓的“trustlet”。
[0022]
本发明意义上的用户身份数据例如是在通信网络中唯一标识用户的数据。这种数据例如包括用户标识符(又称为国际移动用户标识,简称为imsi)和/或用户特定数据。imsi是在移动网络中唯一的用户身份文件。它由国家代码mcc(移动国家代码)、网络代码mnc(移动网络代码)和由网络运营商下发的当前号码组成。
[0023]
此外,用户身份数据例如是在通信网络上唯一地验证用户的数据,例如验证算法、特定算法参数、加密验证密钥ki和/或加密空中(ota)密钥。
[0024]
本发明意义上的通信网络是一种在其上进行信号传输并识别和/或验证用户由此提供服务的技术设备。所述通信网络优选是移动网络。对于通信网络,设备到设备的通信也是可想到的。具体来说,移动网络在此被理解为作为第二代移动网络的代表的“全球移动通信系统(gsm)”、作为第三代移动网络的代表的“通用分组无线业务(gprs)”或“通用移动电信系统(umts)”、作为第四代移动网络的代表的“长期演进(lte)”、或当前的称为“5g”通信网络的第五代移动网络。
[0025]
服务尤其是语音服务或数据服务,通过该服务经由通信网络传送信息和/或数据。
[0026]
订阅服务器是作为通信网络的一部分或与通信网络的一部分通信以管理用户身份模块的一个组件,例如对不同的配置档进行创建(“创建配置档”)、设置(“配置档下载和安装”)、激活(“激活配置档”)、停用(“禁用配置档”)和/或删除(“删除配置档”)。订阅服务器例如被划分为服务器组件,例如订阅管理安全路由(sm
‑
sr)服务器组件和订阅管理数据准备(sm
‑
dp)服务器组件,或者是规范[3]sgp.21或规范[4]sgp.22所限定的组合sm
‑
dp 服务器,这种服务器在单个sm
‑
dp 服务器中包含sm
‑
sr和sm
‑
dp,其中,本发明的方法优选使用sm
‑
dp 的sm
‑
dp或sm
‑
dp部分执行。订阅服务器与euicc之间的通信优选经由安全通道进行,例如在etsi 102 225和/或etsi 102 226中限定的scp80和scp81。
[0027]
本发明的用户身份模块至少包括具有第一文件结构和安装在其中的第一配置档数据的第一配置档。用户身份模块可能已经包括更多不同的配置档。安装的第一配置档数据尤其是在用户身份模块上完全设置的配置档数据。因此,在按照技术规范[1]或[2]进行的“下载和安装”过程期间,订阅服务器已经接收到作为确认的“下载完成”消息或者技术规
范[4]sgp.22的第3.5节所限定的关于第一配置档已被设置并且可能包括订阅管理中的配置档生存期的所有状态的通知。
[0028]
本技术意义上的文件结构尤其是基于结构化配置档的安全域,例如技术规范[1]或/和[2]或[3]或[4]所限定的isd
‑
p。配置档文件结构和待存档在其中的配置档数据被明确地分配给用户身份模块的每个配置档。配置档优选被明确地分配给用户身份模块(所谓的“配置档绑定包”)。具有不同配置档文件结构和归档在其中的不同配置档数据的多个配置档可在用户身份模块上彼此相邻地存在。只能通过订阅服务器设置配置档文件结构,该订阅服务器利用基于用户身份模块的安全区具有用于这种设置的相应访问权限,该安全区优先于配置档文件结构,例如技术规范[1]、[2]、[3]、[4]所限定的isd
‑
r。当可在用户身份模块上创建新的(第二)配置档文件结构时(例如用于使用其它服务经由另一个(附加的)通信网络或同一个网络进行通信),可在“创建配置档”过程的框架内借助于订阅服务器来创建这样的文件结构(isd
‑
p)。
[0029]
在用户身份模块中设置的每个配置档均有自己的文件结构以及安装在其中的配置档数据。这些配置档数据允许在通信网络中建立、操作和终止终端的连接。配置档的配置档数据尤其是能够唯一识别和验证通信网络中的用户的数据,例如验证算法、特定算法参数、加密验证密钥ki、加密空中(ota)密钥、用户标识符imsi;用户身份模块标识符iccid。配置档数据也可以是明确分配给该配置档的应用程序,例如验证应用程序、签名应用程序或加密应用程序。
[0030]
尤其是,第一配置档数据被安装在第一配置档的第一配置档文件结构中。根据本发明,该第一配置档数据的一部分可安装在第二配置档的第二文件结构中(以下又称为复制和存储)。因此,第一配置档数据的这个部分被进一步用作第二配置档数据的一部分。由于进一步使用这部分配置档数据,可减少通信网络中的数据量,因为一方面不必从服务器向用户身份模块传输(传送)这部分配置档数据,另一方面不必在如图1所示的系统中的不同系统组件之间协商或生成第二配置档数据的这个部分。
[0031]
配置档数据例如包括至少一个文件(目录文件df)和至少一个基本文件(基本文件ef)。在这些df和ef中,可容纳验证算法、特定算法参数、ki、ota密钥、imsi、iccid。此外,也可不使用文件系统结构,而是将验证算法、特定算法参数、ki、ota密钥、imsi、iccid等作为对象或以其它方式存储在存储器中,而不是容纳在df和ef中。
[0032]
优选将第二配置档的整个第二配置档文件结构的一个子集指示为配置档文件结构的一部分(将被标记或已标记的部分)。此部分又可包括第一配置档的整个第一配置档文件结构,或者仅包括其中的一个子集。例如,第二配置档包括第一配置档的整个配置档文件结构(已经安装在用户身份模块中),此外还包括功能扩展或更新。根据本发明,在第二配置档的传送期间不传送第一配置档的已安装部分,而是从用户身份模块中的第一配置档本地复制。
[0033]
因此,标记是针对第二配置档文件结构的一部分进行的,在该部分中通常会设置第二配置档数据。按照服务器的了解,由于这些第二配置档数据已经作为用户身份模块的第一配置档中的第一配置档数据存在于第一配置档文件结构中,因此能够省略向用户身份模块重传。因此,可继续使用已经安装的配置档数据,而不必再次由服务器提供和/或不必在系统组件之间协商。在提供新的配置档时,这能减少数据量。此外,还能减少同步待同步
的结构的工作量。例如,待更新的结构是计数器,例如统计用户身份模块的ota拨入次数的ota计数器和统计用户身份模块已经执行的验证次数的验证计数器。此外,例如,用户可随身携带其pin以限制对用户身份模块的访问,尤其是可能变更的pin。
[0034]
第二文件结构的标记部分涉及已经安装在用户身份模块中的第二配置档的第一配置档数据。这些第一配置档数据可安装在用户身份模块的一个或多个设置配置档中。
[0035]
第二配置档的第二配置档文件结构会被相应地标记。例如,将作为标记的指示引入第二配置档文件结构中,而不是引入第二配置档文件中。该指示包括可从已经安装在用户身份模块上的配置档的哪个部分复制配置档文件结构的这个标记部分的信息。该指示可由用户身份模块解释,并且将用户身份模块引向与未传送的第二配置档数据对应的第一配置档数据。
[0036]
例如,所述标记是第二配置档文件结构中的标识符,例如配置档文件的设置标志。每个标识符向用户身份模块指示将为这个特殊的第二配置档文件使用已经存在的(安装的)第一配置档的第一配置档文件。
[0037]
第二配置档文件结构的第二配置档数据不被随之传送。因此,当被接收在用户身份模块中时,第二配置档是不完整的,并且不能以这种不完整的形式用于通信网络中的验证/识别。
[0038]
在传送期间或随着传送,服务器指示第二配置档的(未传送的)缺失配置档数据在用户身份模块上的位置。该指示被用户身份模块解释为所指示的第一配置档数据将被复制并作为第二配置档数据存储在第二文件结构中。在所有第一配置档数据也被存储在第二配置档文件结构中之后,第二配置档变得完整。例如,该指示可以是由用户身份模块顺序处理的第一配置档数据列表,从而可选地从现有的第一(或多个)配置档复制多个第一配置档数据。
[0039]
作为列表的替代或除了列表之外,也可定义一条规则,即,从现有配置档(例如当前激活的配置档)自动复制第二配置档文件结构的标记部分的缺失配置档数据,以使第二配置档变得完整。
[0040]
复制例如发生在技术规范[1]和[2]所限定的安装过程中,并且由用户身份模块的小程序实现。
[0041]
例如,如果仅更新或扩展了第一配置档,那么现在可以为与第一配置档相比被扩展的第二配置档使用已经协商好的识别和验证数据,例如imsi、iccid;ki、ota等。通过这种方式,首先在用户身份模块中接收第二不完整配置档,并且通过euicc中的复制和存储功能使该配置档变得完整。可省去第二配置档文件结构的配置档数据的标记部分的精细生成,例如可进一步使用已经选择的ota密钥对,协商的验证参数对于第二配置档也仍有效。可省去通信网络基础设施中的安全区或应用的复杂适配。
[0042]
第一配置档是在用户身份模块上完全设置的配置档。优选它是激活的配置档。或者,将由用户身份模块的不同设置配置档组成的数据集组合在第一配置档数据下。
[0043]
在此,订阅服务器构成用户身份模块的远程管理,尤其是按照技术规范[1]和[2]中的定义。
[0044]
根据本发明,用户身份模块具有复制配置档数据所需的所有访问权限,尤其是,它能访问用户身份模块的不同第一配置档以创建第二配置档。如有必要,可修改技术规范1.和[2]中的相应权限规则。
[0045]
在一个优选实施例中,所述方法还包括以下步骤:从用户身份模块接收关于第一配置档数据已经被复制并且复制的第一配置档数据已经被存储到第二订阅配置档的第二配置档文件结构的标记部分中的确认;并且向用户身份模块发送用于激活第二订阅配置档的配置档激活命令。所述确认可由euicc执行,例如,在技术规范[1]和[2]所限定的“下载和安装”过程中的“下载完成”确认的背景下。
[0046]
向用户身份模块发送用于激活第二订阅配置档的配置档激活命令优选导致第一配置档的自动停用。因此,在两个配置档之间进行切换。
[0047]
优选所述方法还包括向用户身份模块发送删除命令,以至少删除第一订阅配置档的第一配置档文件。这能确保在euicc上不会存储两个具有相同安全相关配置档数据的配置档。因此防止了所谓的克隆。
[0048]
优选第二订阅配置档的第二文件结构的标记部分是以下元素之中的至少一个:至少一个配置档基本文件;用户标识符(imsi);用户身份模块标识符(iccid);验证密钥(ki);ota密钥;订阅配置档应用程序更新;和/或订阅配置档文件更新。
[0049]
在另一个方面中,本发明涉及一种用于管理用户身份模块中的订阅配置档的方法,该用户身份模块优选是嵌入式uicc,其中,至少一个第一订阅配置档被安装在该用户身份模块中,并且安装的第一订阅配置档包括第一配置档文件结构和存储在该文件结构中的第一配置档数据。在用户身份模块中执行以下方法步骤:从订阅服务器接收第二不完整订阅配置档,同时指示第一订阅配置档的待复制并作为第二配置档数据存储在第二不完整订阅配置档的第二配置档文件结构中的第一配置档数据;复制所指示的第一订阅配置档的第一配置档数据;将复制的第一配置档数据存储到第二订阅配置档的第二配置档文件结构中,以使第二订阅配置档变得完整,由此设置第二订阅配置档;并且向订阅服务器发送关于所指示的第一配置档数据已经存储在第二订阅配置档的第二配置档文件结构的标记部分中的确认。
[0050]
复制和存储意味着将相应的配置档数据临时复制并仅仅替换到第二配置档文件结构中。
[0051]
例如,所述复制是在技术规范[1]和[2]所限定的安装过程的背景下进行的,其中,在传送第二配置档时使用该指示来从已经设置的配置档中复制相应的(缺失的)第二配置档数据,并将它们存储在第二配置档文件结构中。为此,可选地可与配置档数据的复制结合使用“存储元数据”功能等。
[0052]
优选所述方法还包括从订阅服务器接收用于激活第二订阅配置档的配置档激活命令;并且激活第二订阅配置档,同时停用第一订阅配置档。
[0053]
优选所述方法还包括从订阅服务器接收用于至少删除第一订阅配置档的第一配置档数据的删除命令。通过这种方式,第一文件结构被保留,并且可用于设置另一个(第三)配置档。或者,也可删除整个第一配置档。
[0054]
优选执行复制所指示的第一配置档数据和将复制的所指示的第一配置档数据存储到第二订阅配置档的第二配置档文件结构中的步骤不在用户身份模块和订阅服务器之间传送数据,尤其是配置档数据。
[0055]
所述方法步骤优选包括技术规范[1]和[2]所限定的创建功能(“创建配置档”)和/
或激活功能(“启用配置档”)和/或停用功能(“禁用配置档”)。
[0056]
在另一个方面中,提供了一种用户身份模块,该用户身份模块被设置用于或包括安装在用户身份模块中的第一订阅配置档,其中,安装的第一订阅配置档包括第一配置档文件结构和存储在该配置档文件结构中的第一配置档数据。所述用户身份模块包括复制和存储功能,该功能被设置为在从订阅服务器接收到第二不完整订阅配置档以及关于第一订阅配置档的第一配置档数据的指示之后,将指示的第一订阅配置档的第一配置档数据复制到第二不完整订阅配置档的第二配置档文件结构中,以使第二订阅配置档变得完整,由此在用户身份模块中设置第二订阅配置档。
[0057]
所述复制和存储功能优选是由操作系统的功能实现的,该功能在接收到第二不完整订阅配置档之后启动。操作系统的功能是优选的,因为特别敏感的数据是以加密形式存储的,并且该功能在小程序不能访问这种数据的情况下具有优势。但是,所述复制和存储功能也可由小程序实现,该小程序被设置为在接收到第二不完整订阅配置档之后开始工作,它具有上述缺点,但是也具有灵活性更高的优点。可选地,所述复制和存储功能是由操作系统的功能实现的,并且操作系统的这个功能(复制和存储功能)仅在接收到第二不完整订阅配置档之后由小程序触发;相反,该功能是由操作系统执行的,而不是由小程序执行的。
[0058]
所述用户身份模块优选包括用于存储订阅配置档的数据存储器;被设置为优选经由包括用户身份模块的终端与订阅服务器通信的接口;以及被设置为与网络服务器通信的接口。此外,还设有被设置为执行上述方法的装置。
[0059]
本发明意义上的终端原则上是包含用于与通信网络通信从而能够使用通信网络的服务的装置的设备或设备组件。例如,此术语涵盖智能手机、平板电脑、笔记本电脑、pda等移动终端。所述终端也可理解为也包含用于与通信网络通信的装置的多媒体终端,例如数码相框、音频设备、电视机、电子书阅读器。例如,术语终端还包括包含用于与通信网络通信的装置(尤其是蜂窝调制解调器)的任何类型的机器、自动售货机、车辆、设备。
[0060]
在另一个方面中,订阅服务器(优选是sm
‑
dp)被设置用于为用户身份模块(优选是euicc)提供订阅配置档,其中,订阅服务器了解安装在用户身份模块中并且包括第一配置档文件结构和存储在第一配置档文件结构中的第一配置档数据的第一订阅配置档。该服务器包括被设置为标记第二订阅配置档的第二配置档文件结构的至少一部分的标记功能以及被设置为发送第二不完整订阅配置档的发送功能,其中,所标记的第二订阅配置档部分在传送时没有第二配置档数据,其中,传送功能指示将待复制的第一订阅配置档的第一配置档数据作为第二配置档数据存储到第二订阅配置档的第二配置档文件结构的标记部分中。
[0061]
所述订阅服务器还包括被设置为识别第二文件结构的待标记部分的识别功能;被设置为优选经由包括用户身份模块的终端与用户身份模块通信的接口;被设置为与网络服务器通信的接口;以及被设置为执行前述方法的装置。
[0062]
此外,还提供了一种计算机程序产品,该计算机程序产品可执行地安装在用户身份模块中,并且包括用于执行前述方法之一的方法步骤的装置。该计算机程序产品优选是被引入到euicc中用于执行方法步骤的java card小程序。
[0063]
功能是安装在用户身份模块中并且可通过与该功能对应并被发送至用户身份模块的命令执行的可执行程序代码。功能可以是用户身份模块上的小程序的一部分。多个功
能可被小程序连续调用。
[0064]
因此,复制和存储功能或对应的复制和存储步骤能够在没有ota连接的情况下通过将第一配置档数据复制到第二配置档文件结构中而将该第一配置档数据作为第二配置档数据施加到用户身份模块中。由此使接收的不完整的第二配置档变得完整。可省去传统上必要的用于向用户身份模块传送第二配置档的第二配置档数据的连接成本,以及可能需要的用于第二配置档的新的第二配置档数据的协商。只有在必要的第一配置档数据传输中有ota连接成本,此时该第一配置档数据尚未作为第二配置档数据安装在第一配置档中,并且该第一配置档数据被用于完成第二配置档的设置。
[0065]
根据本发明,由此创建用户身份模块,这允许在用户身份模块中管理订阅配置档,同时向用户身份模块传送的数据量更少。
[0066]
例如,第一订阅配置档包括作为第一配置档数据的多个配置档基本文件,其中通过复制和存储功能复制第一订阅配置档的一个或多个配置档基本文件。
[0067]
在将第一配置档数据作为第二配置档数据存储在第二文件结构中的背景下,可使配置档数据中的至少一个适应第二配置档,例如对其进行更改或将其设回初始值。
[0068]
所述通信例如是通过sms、https或tcp会话进行的。
[0069]
配置档的激活/停用例如是通过一个主动命令(refresh)进行的,该命令被从euicc发送至终端以重启euicc。
[0070]
第二配置档的传送先于创建命令等,如gsma规范所述。
附图说明
[0071]
下面将参照附图更详细地解释本发明或本发明的其它实施例和优点,其中,附图仅描述本发明的一些示例性实施例。附图中的相同部件具有相同的附图标记。附图不是按比例绘制的,附图中的各个元件可能在尺寸上被放大或以简化形式夸张地示出。
[0072]
图1示出了如gsma规范[1]和[2]所述的用于管理用户配置档的系统的一个示例性实施例;
[0073]
图2示出了本发明的配置档文件结构的一部分的标记;
[0074]
图3示出了本发明的用户身份模块中的方法的流程图的一个示例性实施例;
[0075]
图4示出了本发明的订阅服务器中的方法的流程图的一个示例性实施例;
[0076]
图5示出了本发明的用户身份模块与订阅服务器之间的方法的流程图的一个示例性实施例。
具体实施方式
[0077]
图1示出了上述的gsma规范[1]和[2]所述的用于管理用户配置档11a、11b、11x的系统的一个示例性实施例。
[0078]
如图1所示,euicc 1由服务器2远程管理。在这种情况下,euicc 1以固定或可移除的方式安装在终端6中。图1中的系统的euicc 1包括具有用于管理用户配置档11a、11b、11x的不同权限和配置的安全域(=sd),例如由服务器组件2a(=订阅管理器安全路由,简称sm
‑
sr)管理的isd
‑
r 12。在euicc 1上还可包括由euicc控制的安全域ecasd。并且该ecasd由证书发行方4(ci)管理。配置档11a、11b、11x的文件结构由服务器组件2b(=数据准备,订
阅管理器数据准备sm
‑
dp)管理。在图1中示出了三个配置档11a、11b、11x,每个配置档具有文件结构10(=isd
‑
p),并且其配置档数据由服务器2在文件结构10内管理和保护。可包括euicc 1的配置档11a、11b、11x的数量不限于三个,可以更多或更少。
[0079]
在图1中,sm
‑
sr 2a和sm
‑
dp 2b被示为服务器2的独立服务器组件,但是在下文中,它们被认为是服务器2,类似于规范[3]和[4]所限定的服务器sm
‑
dp 。
[0080]
每个euicc 1仅设有一个isd
‑
r 12。isd
‑
r 12可由euicc制造商5(eum)在euicc 1制造期间安装并首次个性化。在euicc 1制造之后,isd
‑
r 12在生存期状态下被个性化。isd
‑
r 12然后可对每个isd
‑
ps 10执行用户管理功能。
[0081]
每个配置档11a、11b、11x设有一个文件结构10a、10b、10x(isd
‑
p)。在euicc 1上,任何时候只有一个文件结构10a(isd
‑
p)被激活。文件结构10a(isd
‑
p)由isd
‑
r 12安装,然后由服务器2个性化。至少一个具有配置档11a、11b、11x的文件结构10a(isd
‑
p)可由eum 5在euicc 1制造期间安装并首次个性化,以支持将来的euicc连接。
[0082]
除了isd
‑
r 12之外,在isd
‑
p 10外部没有任何组件能够洞悉或访问配置档11a、11b、11x的配置档成分。isd
‑
r 12对各个配置档11a、11b、11x的连接参数具有只读访问权。从相应配置档外部的组件看不到或无法访问任何配置档成分。根据本发明,借助于isd
‑
r 12还能访问第一配置档的配置档数据以安装第二配置档。
[0083]
文件结构10在其整个生存期内保持与isd
‑
r 12相关联,从而isd
‑
r 12能执行以下用户管理功能:配置档创建
‑
可在任何时候创建isd
‑
r12与文件结构10之间的关联;配置档删除;配置档激活;配置档停用;回退位置设置;以及配置档传输功能。在图2中示出了配置档11a、11b、11x的结构。
[0084]
在图1中,提供了系统的多个接口esx:
[0085]
接口es8通过在sm
‑
dp 2b与配置档11的文件结构10之间建立的安全通道向euicc 1寻址功能。为了以安全的形式实现这一点,使用至少一个密钥集对配置档11进行个性化。es8接口是通过在sm
‑
dp 2b与sm
‑
sr 2a之间建立的安全通道(=es3接口)以及sm
‑
sr 2a之间的安全通道scp80或scp81实现的,经由安全通道scp80或scp81,isd
‑
r 12可隧穿到受影响的配置档11(配置档1 11a、配置档2 11b、
……
、或配置档x 11x)的isd
‑
p。然后,通信被isd
‑
p 10(10a、10b......、10x)解密并传递到相应的配置档11(11a、11b......、11x)。
[0086]
接口es6通过在移动网络运营商(mno)3与包含在每个isd
‑
p 10中的mno安全域之间建立的安全通道向euicc 1寻址功能。根据此e6接口在etsi 102 225和etsi 102 226中的定义,euicc 1支持端口scp80和scp81。初始ota密钥集是每个配置档11a、11b、11x的一部分,并且在配置档下载和安装操作期间由sm
‑
dp 2b加载,或者在输出euicc 1之前由eum 5加载。
[0087]
接口es5通过在sm
‑
sr 2a与isd
‑
r 12之间建立的安全通道向euicc 1寻址功能。根据此e5接口在etsi 102 225和etsi 102 226中的定义,euicc 1支持scp80和scp81。为了激活scp80/scp81,在由eum 5输出之前,使用相应的密钥集对isd
‑
r 12进行个性化。密钥集是通过sm
‑
sr 2a载入isd
‑
r12的;例如是通过接口es1进行的。
[0088]
在图1的系统中,ota通信完全由sm
‑
sr 2a接管。sm
‑
sr 2a例如使用sms、cat_tp或https用于与euicc 1进行空中(ota)通信。在使用https时,sm
‑
sr 2a和euicc 1支持域名解析,以便能够解析sm
‑
sr 2a的ip地址。在长期演进网络中,图1的系统还支持短消息(=短消
息服务,sms)。sm
‑
sr 2a可根据euicc 1、终端6和执行服务器2的能力自由选择传输协议。根据3gpp ts 31.115,euicc 1支持通过sms发送安全数据包。
[0089]
根据技术规范[1]的第3.3.1.2.2节“配置档下载和安装功能”,通过“下载”功能将配置档加载到euicc 1中。但是,另一些伴随的功能将通过“下载”执行。根据技术规范[1]的第3.3.1.3.1节“isd
‑
p创建功能”和技术规范[2]的第3.1.1节“isd
‑
p创建”,需要使用“创建”功能在euicc 1中创建文件结构10,尤其是isd
‑
p。
[0090]
根据技术规范[2]的第3.1.3节“配置档的下载和安装”,在施加isd
‑
p之后,配置档被下载并存储在文件结构中,尤其是isd
‑
p。根据技术规范[1]的第3.3.1.2.3节“配置档内容更新功能”和第3.3.1.2.4节“策略规则更新功能”,使用“更新”功能对新下载的配置档进行相应的更新。根据技术规范[1]的第3.3.1.3.4节“配置档启用功能”和技术规范[2]的第3.2节“配置档启用”,执行“启用”功能以激活下载的配置档(尤其是isd
‑
p),从而使其可用于euicc 1的用户。
[0091]
因此,根据技术规范[1]和[2],除了“下载”功能之外,至少要使用“创建”、“更新”和“启用”这三个附加功能,这导致刚性开销。这些功能之中的每一个都必须通过从服务器2到euicc 1的空中(ota)连接以导致成本的方式调用或传输。例如,为了将10千字节的配置档数据下载到euicc1中,必须通过ota将至少大约20千字节(即,大约两倍)的数据从服务器2传输到euicc 1。
[0092]
图2示出了本发明的图1的第二配置档11b的第二配置档文件结构10b的部分1110的标记。文件结构11b包含配置档数据。例如,以下成分之一可作为配置档文件包含在文件结构11b中:具有mno服务器3的ota密钥集的mno安全域(mno
‑
sd);至少一个验证参数(ki)、网络访问应用程序、策略规则、包含文件夹(df)和基本文件(ef)的文件系统;配置档、应用程序的连接参数;用户标识符(imsi)、用户身份模块标识符(iccid)、配置档更新。
[0093]
根据本发明,配置档11b的文件结构10b的配置档数据10b的部分1110被标记。这些标记的部分1110在图2中以虚线示出。标记是在将配置档11b加载到euicc 1中之前在服务器2中(优选在sm
‑
dp 2b中)及时地进行的。如图2所示,配置档11b的标记部分1110是ota密钥、ssd、imsi和iccid。在第二配置档11b被从服务器2传输到euicc 1时,这些标记部分1110在第二配置档11b中不存在。因此,该标记部分1110是安装在euicc1上的另一个配置档11a、11x的第一配置档数据的占位符。标记部分1110可仅指一个配置档文件,或者也可指整个文件结构10b。标记部分1110中的配置档数据量不受限制。
[0094]
在从euicc 1接收到配置档11b时,指示来自euicc 1的另一个配置档11a、11x的配置档数据。这些指示的配置档数据被复制并存储在第二配置档11b的标记部分1110的相应区域中。一旦所有配置档数据被存储在标记部分1110中,就认为第二配置档11b已被完全设置。因此,当在euicc 1中被接收时,标记部分1110表示不完整配置档11b中的空隙,另一个配置档11a、11x的相应配置档文件将被存储到该空隙中。
[0095]
通过这种方式,不完整配置档被加载,euicc 1使用euicc 1的配置档数据通过标记和指示euicc 1上的其它配置档的配置档数据使该不完整配置档变得完整。在下面的图3至图5中说明了用于此目的的相应方法。
[0096]
图3示出了本发明的用户身份模块1(在下文中称为euicc 1)中的方法100的流程图的一个示例性实施例。
[0097]
可选的步骤101示出了euicc 1包括具有存储在第一文件结构10a内的第一配置档数据的第一配置档11a。在步骤102中,euicc 1接收第二配置档11b。此外,在步骤102中,euicc 1从第一配置档11a接收配置档数据的指示,该指示将用于使第二配置档11b变得完整。在可选的步骤102a中,为此目的利用来自服务器2的创建命令(例如技术规范[1]和[2]所限定的“创建命令”)建立第二配置档11b的第二配置档文件结构10b。
[0098]
在接收到第二配置档11b之后,在步骤103中,euicc 1利用euicc 1中的复制功能复制第一配置档1a的指示的配置档数据。在复制步骤103之后,在euicc 1中执行存储步骤104,以将复制的第一配置档11a的配置档数据置于euicc 1中的第二配置档11b的相应位置。请参考图2,在步骤104之后,第一配置档11a的ota密钥也将作为ota密钥存储在第二配置档中。此外,第一配置档11a的imsi也将作为imsi存放在第二配置档中。此外,第一配置档11a的iccid也可作为iccid存储在第二配置档中。另外,第一配置档11a的ssd也将作为ssd存储在第二配置档中。
[0099]
根据本发明,将来自哪个配置档11的哪个配置档数据存储到第二配置档11b的哪个位置的规则被理解为配置档数据的指示。在这种情况下,可随之传送带有待复制的配置档数据的列表。第二配置档11b的第二文件结构10b的相应标记可利用设置标志来实现。或者,第二配置档11b的文件结构10b中不存在的第二配置档数据(即,占位符)被解释为标记。
[0100]
在步骤104结束时,在euicc 1中获得了完整的第二配置档11b,其中,在传送第二配置档11b时,服务器2没有传送第二配置档11b的一部分配置档数据。
[0101]
在可选的步骤105中,向服务器2确认成功复制和存储。此步骤向服务器2指示完整的第二配置档11b现在存在于euicc 1中,这可按照技术规范[1]和[2]的当前方法来处理。例如,在步骤106中,接收激活命令,利用激活命令激活第二配置档11b,并且从现在起可使用第二配置档11b来使用图1的mno服务器3的通信网络中的服务。在可选的步骤110中,删除euicc 1中的第一配置档11a,以确保在euicc 1中不会存储有具有相同的用户身份数据(imsi、iccid、ota密钥等)的两个配置档。
[0102]
图4示出了本发明的订阅服务器2中的方法200的流程图的一个示例性实施例。在步骤201a中,服务器2了解位于euicc 1中的配置档11,并且由此也了解第一配置档11a的第一配置档文件结构10a和第一配置档数据。
[0103]
在要加载的第二配置档11b中,按照步骤201标记第二配置档11b的第二文件结构10b的至少一部分1110。在图2中示出了按照步骤201进行的这种标记1110的结果,其中配置档文件结构10b的标记部分1110以虚线示出。在步骤202中,第二配置档11b被传送到euicc 1,其中第二文件结构10b的标记部分1110的配置档数据没有被传送。相反,指明来自euicc 1的当前配置档11的哪个配置档数据将被复制并存储到标记部分1110中的指示被传送。由此减少了要传送的数据集(代表第二配置档11b)。
[0104]
在步骤203中,获得成功复制和存储操作的确认(图3的步骤103、104)。因此,已经向服务器2通知第二配置档11b完全存在于euicc 1中。在步骤203a中,向mno服务器3发送第二配置档2已完成并且现在可随时进行第二配置档11b的相应激活的通知。
[0105]
在步骤204中,服务器2向euicc 1发送激活命令,用于激活第二配置档11b,同时停用第一配置档11a。由此,在步骤205中,服务器2接收由euicc 1成功激活的确认。在步骤206中,可选地向euicc 1发送删除命令,用于删除第一配置档11a。
[0106]
在图5中示出了本发明的用户身份模块1与订阅服务器2之间的方法的流程图的一个示例性实施例。图5结合了来自上述图3和图4的两种方法100和200。
[0107]
本发明的出发点是在euicc1中存在具有第一文件结构10a和第一配置档数据的第一配置档11a。这种存在以及第一配置档11a的内容对于服务器2是已知的,参见步骤201a。在步骤201中,对不同于第一配置档11a的第二配置档11b进行标记,参见关于图2的解释。在步骤202中,服务器经由接口es5或es8将具有标记的文件结构的第二配置档11b发送到euicc1,同时指示第一配置档11a的配置档数据。在步骤102中接收之后,euicc1在步骤103中复制第一配置档11a的配置档数据,并且在步骤104中将它们相应地存储在第二配置档11b的文件结构10b中。euicc1在步骤105(步骤203)中通过接口es5或es8向服务器2确认成功复制和存储,作为完成第二配置档11b的指示。在步骤203a中,通过接口es2或es4向mno服务器3指示这种完成。在步骤204中,进行第二配置档11b的激活。为此,在步骤204a中,服务器2经由接口es2或es4从mno服务器3接收激活请求。然后,在步骤204b中,向euicc1发送激活命令。在步骤106a中,激活第二配置档11b,并且(由此同时)停用第一配置档11a。在激活的范畴内,在步骤107中向终端6发送主动命令refresh,以重启euicc。然后,在步骤108中,向服务器2确认激活。在接收到确认205之后,在步骤206中,经由接口es5或es8从服务器2向euicc1发送删除命令,以删除第一配置档11a或至少删除第一配置档11a的配置档数据。这是由euicc1在步骤110中执行的。删除可确保一个euicc1中不存在两个相同的配置档数据。
[0108]
因此,可在euicc1内定义两个配置档11a、11b,而不需要在服务器端克隆相应的安全参数(imsi、iccid、ota、ki等)。步骤103中的复制和步骤104中的存储在euicc1中是可能的,这是因为作为安全元件的euicc1被分类为对于该数据是可信任的,因此不需要保证服务器端的安全。
[0109]
通过这种方式,包含较少配置档数据的初始第一配置档11a可被包含更多配置档数据因而包含更多功能的后续的第二配置档11b代替,而不需要因如图1所示的系统的复杂性而不得不重新传输或以复杂的方式生成任何现有的配置档数据。因此,无需生成和发送全新的配置档11就能实现更多功能。这节省了时间并减轻了网络负荷。
[0110]
在本发明的范围之内,所有说明和/或示出和/或要求保护的元素可根据需要彼此组合。
[0111]
附图标记列表
[0112]
1用户身份模块,euicc
[0113]
10a
‑
b配置档文件结构,发行方安全域,isd
‑
p
[0114]
11a
‑
c订阅配置档
[0115]
1110配置档文件结构的标记部分
[0116]
12基于uicc的发行方安全域,isd
‑
r
[0117]
2订阅服务器
[0118]
2a服务器组件,订阅管理器安全路由,sm
‑
sr
[0119]
2b服务器组件,订阅管理器数据准备,sm
‑
dp
[0120]
3移动网络运营商,mno
[0121]
4证书发行方,ci
[0122]
5euicc制造商,eum
[0123]
6终端
[0124]
101
‑
110用户身份模块(euicc)中的方法步骤
[0125]
201
‑
206订阅服务器中的方法步骤
[0126]
es1
‑
es8接口
转载请注明原文地址:https://win.8miu.com/read-18531.html
