本申请是申请日(国际申请日)为2016年3月24日,申请号为201680029988.1(国际申请号为pct/kr2016/002972),发明名称为“用于在无线通信系统中下载简档的方法和设备”的发明专利申请的分案申请。
本公开涉及用于在无线通信系统中下载简档的方法和设备,并且具体地,涉及用于下载用于提供通信服务的简档的方法和设备。
背景技术:
为了满足在第四代(4thgeneration,4g)通信系统商业化之后增加的无线数据业务需求,已经努力开发出改进的5g通信系统或pre-5g通信系统。为此,5g通信系统或pre-5g通信系统被称为超4g网络通信系统或后lte系统。
为了实现高数据传输速率,正在考虑在mmwave频带(例如,60ghz频带)中实现5g通信系统。在5g通信系统中,讨论了诸如波束形成、大规模多输入多输出(multi-inputmulti-output,mimo)、全维度mimo(fulldimensionalmimo,fd-mimo)、阵列天线、模拟波束形成和大规模天线的技术,以减轻mmwave频带中的传播路径损失并增加传播传输距离。
此外,5g通信系统已经开发了诸如演进小型小区、高级小型小区、云无线电接入网络(radioaccessnetwork,ran)、超密网络、装置到装置(devicetodevice,d2d)通信、无线回程、移动网络、协作通信、协调多点(coordinatedmulti-points,comp)和接收干扰消除的技术,以便改进系统网络。
另外,5g系统已经开发了高级编码调制(advancedcodingmodulation,acm)方案,诸如混合fsk和qam调制(fskandqammodulation,fqam)和滑动窗口叠加编码(slidingwindowsuperpositioncoding,swsc);以及高级接入技术,诸如滤波器组多载波(filterbankmulticarrier,fbmc)、非正交多址接入(nonorthogonalmultipleaccess,noma)以及稀疏码多址接入(sparsecodemultipleaccess,scma)。
互联网正在从人类生成和消费信息的面向人类的连接网络发展到物联网(internetofthings,iot)网络,在所述物联网中,分布式元素(诸如对象等)交换和处理信息。万物互联网(internetofeverything,ioe)技术可能是通过与云服务器的连接的iot技术和大数据处理技术的组合的实例。
为了实现iot,正在进行对所要求的技术因素的研究,诸如传感技术、有线/无线通信和网络基础设施、服务接口技术和安全技术,因此,需要诸如用于对象之间的连接的传感器网络、机器到机器(machinetomachine,m2m)、机器类型通信(machinetypecommunication,mtc)等的技术。
在iot环境中,通过收集和分析连接的对象中所生成的数据,可以提供为人们的生活创造新价值的智能互联网技术(internettechnology,it)服务。iot可以应用于多种领域,诸如通过常规信息技术(informationtechnology,it)与各种工业之间的融合的智能家居、智能建筑、智能城市、智能汽车、连接汽车、智能电网、医疗保险、智能家电或高级医疗服务。
因此,进行将5g通信应用于iot网络的各种尝试。例如,诸如传感器网络、对象通信和mtc的5g通信技术通过诸如波束形成、mimo和阵列天线的技术来实现。云ran作为大数据处理技术的应用可以是5g技术和iot技术融合的一个实例。
通用集成电路卡(以下称为“uicc”)是插入移动通信终端使用的智能卡。uicc存储移动通信订户的个人信息,诸如网络连接认证信息、电话目录、短消息服务(以下称为“sms”),并且当接入移动通信网络(诸如全球移动通信系统(以下称为“gsm”)、宽带码分多址(以下称为“wcdma”)、长期演进(以下称为“lte”)等)时启用订户认证和业务安全密钥生成,从而启用安全的移动通信使用。
uicc包括诸如订户识别模块(以下称为“sim”)、通用sim卡(以下称为“usim”)、互联网协议多媒体sim(internetprotocolmultimediasim,isim)等的通信应用,所述通信应用取决于订户连接到的移动通信网络的类型。此外,uicc提供高水平的安全功能,用于安装诸如电子钱包、票务和电子护照等的各种应用。
常规的uicc通过在制造卡时对应的服务提供商的请求被制造成用于特定移动通信服务提供商的专用卡,并且用预先安装的认证信息(例如,usim应用、imsi和k值)发行以用于对应的服务提供商的网络连接。
因此,制造的uicc由对应的移动通信服务提供商提供给订户,并且稍后在必要时,使用诸如空中下载(overtheair,ota)的技术来执行在uicc内的应用的管理,诸如安装、修改、删除等。订户可以通过将uicc插入他/她自己的移动通信终端中来使用移动通信服务提供商的网络或应用服务。此外,当终端被新终端替换时,订户仍然可以通过将现有终端的uicc移动和插入到新终端来使用存储在现有终端的uicc中的认证信息、移动通信电话号码、个人电话目录等。
同时,uicc通过在欧洲电信标准协会(europeantelecommunicationsstandardsinstitute,etsi)中定义物理形状和逻辑功能来维持国际兼容性。从定义物理形状的形状因素的方面来看,sim的尺寸变得越来越小,包括已经使用了数年的最广泛使用的微型sim到微米sim,并且最近直至纳米sim的sim。
这有助于移动通信终端的小型化。然而,预期与最近建立的纳米sim相比尺寸更小的uicc由于由用户失去uicc的担心而难以标准化。另外,由于可移动uicc的性质,预期uicc将难以进一步小型化,因为需要在终端中安装可拆卸槽的空间。
此外,可拆卸uicc不适合于在各种安装环境中无需直接人工操作的需要访问移动通信数据网络的机器到机器(以下称为“m2m”)装置,诸如智能家电、电/水表、cctv摄像机等。
为了解决这样的问题,可以考虑使用在制造终端时,在移动通信终端中插入执行类似于uicc的功能的安全模块来替换常规的可拆卸uicc的方法。当制造终端时,这种安全模块可以安装在终端内部,并且可以安装以便不能从某些终端拆卸。因此,除非被制造为专用于特定移动通信服务提供商的终端,否则可能难以预先安装特定移动通信服务提供商的网络接入认证信息,诸如usim的imsi和k。此外,只有在购买了终端的用户订阅了特定移动通信服务提供商的服务之后,才可能设置认证信息。
另外,与专门针对特定移动通信提供商制造和分配的常规uicc不同,当购买了对应终端的用户订阅并终止特定移动通信服务提供商的服务,或将其订阅改变成另一服务提供商时,作为终端的内置安全模块的新引入的euicc应该启用各种移动通信服务提供商的认证信息的安全且灵活的安装和管理。
技术实现要素:
技术问题
本公开的实施例提供了在无线通信系统中下载简档的方法和设备。
此外,本公开的实施例提供了在无线通信系统中下载用于提供通信服务的简档的方法和设备。
此外,本公开的实施例提供了在无线通信系统中获取服务器信息并下载简档的方法和设备。
此外,本公开的实施例提供了在无线通信系统中从服务器接收简档信息并下载简档的方法和设备。
此外,本公开的实施例提供了在无线通信系统中远程地在配备有euicc的终端中下载简档信息的方法和设备。
本公开的实施例提供了在无线通信系统中通过在配备有euicc的终端中使用远程安装包括订户标识符和加密密钥(k)的简档信息的方案来远程地下载通信服务提供商的用于订阅无线通信服务的简档的方法和设备。
此外,本公开的实施例提供了在无线通信系统中发送或接收用于提供通信服务的简档的方法和设备。
此外,本公开的实施例提供了可以通过在移动通信服务提供商的代理处的移动通信服务提供商的终端等来为euicc终端发起服务的方法和设备。
此外,本公开的实施例提供了可以由终端发起针对euicc终端的服务的方法和设备。
技术方案
由本公开的实施例提出的一种方法涉及用于在无线通信系统中通过通用集成电路卡(uicc)下载简档的方法,所述方法包括:执行与订阅管理器数据准备(sm-dp)系统的相互认证;以及根据相互认证的结果,通过终端从sm-dp系统接收简档,其中简档包括以下各项中的一项:基于根据相互认证的结果配置的密钥集进行加密的简档,以及通过根据相互认证的结果配置的会话传输的简档。
由本公开的实施例提出的另一种方法涉及用于在无线通信系统中通过订阅管理器数据准备(sm-dp)系统提供简档的方法,所述方法包括:执行与通用集成电路卡(uicc)的相互认证;以及根据相互认证的结果,通过终端将简档发送到uicc,其中简档包括以下各项中的一项:基于根据相互认证的结果配置的密钥集进行加密的简档,以及通过根据相互认证的结果配置的会话发送的简档。
由本公开的实施例提出的又一种方法涉及用于在无线通信系统中通过终端下载简档的方法,所述方法包括:接收包括指示简档下载的信息的消息;请求订阅管理器数据准备(sm-dp)系统执行与uicc相关联的认证;执行用于sm-dp系统与uicc之间的相互认证的操作;以及基于操作的结果,从sm-dp系统接收简档并将接收到的简档传送到uicc。
由本公开的实施例提出的又一种方法涉及用于在无线通信系统中通过订阅管理器数据准备(sm-dp)系统提供简档的方法,所述方法包括:接收包括作为用于标识通用集成电路卡(uicc)的信息的第一标识信息和作为简档标识信息的第二标识信息的消息;将包括第一标识信息和指示执行简档下载的信息的消息发送到订阅管理器发现服务(sm-ds)系统;以及如果从sm-ds系统接收到指示执行与uicc的认证的消息,则执行与uicc的认证,并且将与第二标识信息对应的简档发送到uicc。
由本公开的实施例提出的设备涉及无线通信系统中的通用集成电路卡(uicc),所述设备包括:控制单元,其执行与订阅管理器数据准备(sm-dp)系统的相互认证;以及接收单元,其根据在控制单元的控制下的相互认证的结果,通过终端从sm-dp系统接收简档,其中简档包括以下各项中的一项:基于根据相互认证的结果配置的密钥集进行加密的简档,以及通过根据相互认证的结果配置的会话发送的简档。
由本公开的实施例提供的另一种设备涉及无线通信系统中的订阅管理器数据准备(sm-dp)系统,所述设备包括:控制单元,其执行与通用集成电路卡(uicc)的相互认证;以及发送单元,其根据相互认证的结果,通过终端将简档发射到uicc,其中简档包括以下各项中的一项:基于根据相互认证的结果配置的密钥集进行加密的简档,以及通过根据相互认证的结果配置的会话发送的简档。
由本公开的实施例提出的另一种设备涉及无线通信系统中的终端,所述终端包括:接收单元,其接收包括指示简档下载的信息的消息;以及控制单元,其请求订阅管理器数据准备(sm-dp)系统执行与uicc相关联的认证,执行用于sm-dp系统与uicc之间的相互认证的操作,基于操作结果从sm-dp系统接收简档,并且将接收到的简档发送到uicc。
由本公开的实施例提出的另一设备涉及无线通信系统中的订阅管理器数据准备(sm-dp)系统,所述系统包括:接收单元,其接收包括作为用于标识通用集成电路卡(uicc)的信息的第一标识信息和作为简档标识信息的第二标识信息的消息;发射单元,其将包括第一标识信息和指示简档下载的信息的消息发送到订阅管理器发现服务(sm-ds)系统;以及控制单元,如果接收到指示执行与uicc的认证的消息,则所述控制单元执行与uicc的认证并且控制发送单元以将与第二标识信息相对应的简档发送到uicc。
有益效果
本公开的实施例的效果在于可以有效地执行用于euicc终端的服务发起和装置更改,并且可以灵活地操作用于简档下载的简档管理服务器。
此外,本公开的实施例的效果在于可以在euicc终端中灵活地执行和管理通信服务提供商的简档的远程安装。
此外,本公开的实施例的效果在于在无线通信系统中下载简档是可能的。
此外,本公开的实施例的效果在于在无线通信系统中下载用于提供通信服务的简档是可能的。
此外,本公开的实施例的效果在于在无线通信系统中获取服务器信息以下载简档是可能的。
此外,本公开的实施例的效果在于在无线通信系统中从服务器接收简档信息以下载简档是可能的。
此外,本公开的实施例的效果在于在无线通信系统中远程地在配备有euicc的终端中下载简档信息是可能的。
本公开的实施例的效果在于在无线通信系统中通过在配备有euicc的终端中使用远程安装包括订户标识符和加密密钥(k)的简档信息的方案来远程地下载通信服务提供商的用于订阅无线通信服务的简档是可能的。
此外,本公开的实施例的效果在于在无线通信系统中发送或接收用于提供通信服务的简档是可能的。
此外,本公开的实施例的效果在于通过在移动通信服务提供商的代理处的移动通信服务提供商的终端等来为euicc终端发起服务是可能的。
此外,本公开的另一实施例的效果在于,在终端中发起用于euicc的服务。
附图简述
基于结合附图进行的以下描述,如本公开的特定优选实施例中所描述的其他方面、特征、和优点将变得更为显而易见,其中:
图1是示意性地示出根据本公开的实施例的无线通信系统的结构的示例的示图;
图2是示意性地示出根据本公开的实施例的无线通信系统的结构的另一示例的示图;
图3是示意性地示出根据本公开的实施例的无线通信系统中的简档下载过程的示例的示图;
图4是示意性地示出根据本公开的实施例的无线通信系统中的简档下载过程的另一示例的示图;
图5是示意性地示出根据本公开的实施例的无线通信系统中的在euicc管理器与euicc之间执行的相互认证过程的示图;
图6是示意性地示出根据本公开的实施例的无线通信系统中的简档下载过程的又一示例的示图;
图7是示意性地示出根据本公开的实施例的无线通信系统中的简档下载过程的又一示例的示图;
图8是示意性地示出根据本公开的实施例的无线通信系统中的将简档从mno系统下载到终端的过程的示图;以及
图9是根据本公开的实施例的包括在无线通信系统中的实体的内部配置图。
应该注意,类似的参考标号用于在贯穿上述附图中指示相同或相似的元件、特征、和结构。
具体实施方式
在下文中,本公开的实施例将参考附图详细地描述。
在描述本公开的示例性实施例时,将省略与本公开所属领域中公知的以及与本公开不直接相关的技术内容有关的描述。这种不必要描述的省略旨在防止模糊本公开的主要思想,并且更清楚地传递主要思想。
出于同样的原因,在附图中,一些元件可能被夸大、省略或示意性地示出。此外,每个元素的大小并不完全反映实际大小。在附图中,相同或对应的元件被提供相同的参考编号。
通过结合附图参考下面详细描述的实施例,本公开的优点和特征以及实现它们的方式将变得显而易见。然而,本公开不限于下面阐述的实施例,而是可以各种不同的形式来实施。提供以下实施例仅用于完全公开本公开,并且通知本领域技术人员本公开的范围,并且本公开仅由所附权利要求书的范围限定。贯穿说明书,相同或相似的参考编号指代相同或相似的元件。
在这里,流程图图示的每个方框以及流程图图示中的方框的组合可由计算机程序指令来实施。可将这些计算机程序指令提供至通用计算机、专用计算机、或其他可编程数据处理设备的处理器以产生机器,以使得经由计算机或其他可编程数据处理设备的处理器运行的指令产生用于实施流程图方框或多个流程图方框中所指定的功能的手段。这些计算机程序指令还可以存储在可以使计算机或其他可编程数据处理设备以特定方式执行功能的计算机可用或计算机可读存储器中,使得存储在计算机可用或计算机可读存储器中的指令产生包括实施流程图方框或多个流程图方框中所指定的功能的指令装置的制品。计算机程序指令还可被加载到计算机或其他可编程数据处理设备上,以使得要在计算机或其他可编程设备上执行的一系列操作步骤产生计算机实施的过程,以使得在计算机或其他可编程设备上执行的指令提供用于实现一个或多个流程图方框中所指定的功能的步骤。
另外,流程图图示中的每个方框可以表示代码的模块、段或部分,其包括用于实现所指定的(多个)逻辑功能的一个或多个可运行指令。也应注意,在一些可替换的实施方式中,方框中提到的功能可不按所示的顺序发生。例如,连续示出的两个方框可以实际上基本上同时运行,或所述方框有时可以取决于所涉及的功能性按相反顺序运行。
如本文所使用,“单元”或“模块”是指执行预定功能的软件元件或硬件元件,诸如现场可编程门阵列(fieldprogrammablegatearray,fpga)或专用集成电路(applicationspecificintegratedcircuit,asic)。然而,“单元”或“模块”并不总是限制于软件或硬件的意义。“单元”或“模块”可以被构造成存储在可寻址存储介质中或执行一个或多个处理器。因此,“单元”或“模块”包括例如软件元件、面向对象的软件元件、类元件或任务元件、进程、功能、属性、过程、子例程、程序代码段、驱动器、固件、微代码、电路、数据、数据库、数据结构、表格、数组和参数。由“单元”或“模块”提供的元件和功能可以被组合成较少数量的元件、“单元”或“模块”,或者被划分成更大数量的元件、“单元”或“模块”。此外,可以实现元件和“单元”或“模块”来再现装置内的一个或多个cpu或安全多媒体卡。
在下面描述本公开时,当确定其详细描述可能不必要地模糊本公开的主题时,将省略对并入本文的相关已知配置或功能的详细描述。在下文中,本公开的示例性实施例将通过参考附图详细地描述。
首先,将对本说明书中使用的术语进行说明。本说明书的实施例中使用的术语可以根据本领域技术人员使用的术语来定义,但是在与本说明书的实施例有关的事项的情况下,可以根据本文使用的术语来描述操作或属性。另外,在本公开的实施例中,如常规的通用集成电路卡(以下简称“uicc”)一样,嵌入式通用集成电路卡(以下称为“euicc”)可以固定地安装在终端中,并且可以附接到终端以及从终端拆卸,但应注意的是,概念涵盖相同的功能。
另外,在本公开的实施例中,uicc可以是插入移动通信终端中用于使用的智能卡,并且可以存储个人信息,诸如移动通信订户的网络连接认证信息、电话目录和短消息服务(以下称为“sms”)。uicc可以是指这样的芯片,所述芯片使得在访问诸如全球移动通信系统(以下称为“gsm”)、宽带码分多址(以下称为“wcdma”)、长期演进(以下称为“lte”)等的移动通信网络时能够进行订户认证和业务安全密钥生成,从而使能安全移动通信的使用。
uicc包括诸如订户识别模块(以下称为“sim”)、通用sim卡(以下称为“usim”)、互联网协议多媒体sim(isim)等的通信应用,所述通信应用取决于订户连接到的移动通信网络的类型。此外,uicc提供高水平的安全功能,用于安装诸如电子钱包、票务和电子护照等的各种应用。
在本公开的实施例中,假定euicc是嵌入终端中并且可能是不可拆卸的芯片型安全模块。然而,如果以常规的可拆卸uicc形式制造并且具有与euicc相同的电气和软件特性和功能的uicc仅可拆卸,但不在功能上与euicc不同,则本公开的实施例可以相同的方式应用。
另外,本公开的实施例可以应用于具有uicc的形式的euicc的操作。euicc可以通过使用诸如无线通信网络或无线保真(wirelessfidelity,wi-fi)的通用互联网协议(以下称为“ip”)网络来下载和安装简档。在本公开的实施例中,对用于下载简档的网络的类型没有特别限制。
此外,应该注意,在本公开的实施例中,简档可以是指例如以软件形式封装的应用、文件系统、和存储在uicc中的认证密钥值中的至少一个。
此外,应该注意,在本公开的实施例中,usim简档可以用于具有与简档相同的含义,或可以是指简档内的usim应用中所包括的信息,所述信息以软件形式封装。
此外,应该注意,在本公开的实施例中,订阅管理器数据准备(以下称为“sm-dp”)系统可以表示为简档提供商、简档提供服务器、简档域的卡外实体、简档加密服务器、简档生成服务器、简档提供商等。
此外,应该注意,在本公开的实施例中,euicc管理器可以表示为订阅管理器安全路由(以下称为“sm-sr”)、简档管理服务器、euicc简档管理器的卡外实体、简档管理器等。
应该注意,在本公开的实施例中,订阅管理器发现服务(sm-ds)可以被表示为发现中心(以下称为“dc”)、发现和推送功能(以下称为“dpf”)、地址解析服务器(以下称为“ars”)、发现服务器、发现功能、事件传递功能等。
本说明书中使用的术语“终端”可以被称为移动台(mobilestation,ms)、用户设备(userequipment,ue)、用户终端(userterminal,ut)、无线终端、接入终端(accessterminal,at)、终端、订户单元、订户台(subscriberstation,ss)、无线装置、无线通信装置、无线发射/接收单元(wirelesstransmission/receptionunit,wtru)、移动节点、移动或其他术语。终端的各种实施例可以包括蜂窝电话、具有无线通信功能的智能电话、具有无线通信功能的个人数字助理(personaldigitalassistant,pda)、无线调制解调器、具有无线通信功能的便携式计算机、具有无线通信功能的拍摄装置(诸如数字相机)、具有无线通信功能的游戏装置、具有无线通信功能的用于存储和再现音乐的家电、能够执行无线互联网接入和浏览的互联网家电、以及具有其功能的集成组合的便携式单元或终端。此外,终端还可以包括具有通信功能的测量装置等。
此外,在本公开的实施例中,终端可以包括机器到机器(m2m)终端、机器类型通信(machinetypecommunication,mtc)终端/装置,但不限于此。
此外,在本公开的实施例中,简档分隔符可以被称为简档标识符(简档id)、集成电路卡id(integratedcircuitcardid,iccid)或与发行人安全域简档(issuersecuritydomain-profile,isd-p)和iccid匹配的因子。简档id可以表示每个简档的唯一标识符。此外,在本公开的实施例中,euicc分隔符可以是嵌入终端中的euicc的唯一标识符,并且可以被称为euicc标识符(以下称为“eid”)。此外,简档分隔符可以用于标识网络上的简档。
以下,将参考图1描述根据本公开的实施例的无线通信系统的内部结构的示例。
图1是示意性地示出根据本公开的实施例的无线通信系统的结构的示例的示图。
图1中所示出的无线通信系统示出了根据本公开的实施例的远程地发送或接收用于提供通信服务的简档的无线通信系统的示例。
参考图1,无线通信系统可以包括终端100、euicc102、sm-dp104、证书颁发者(以下称为“ci”)106、sm-ds108、移动网络运营商(以下称为“mno”)系统110和euicc制造商系统(以下称为“eum”)112中的至少一个。在这里,ci106可以被称为证书颁发机构(以下称为“ca”)。在本公开的实施例中,终端110表示与euicc102一起使用以连接到诸如无线通信网络的移动网络的装置。终端100可以向euicc102发送信号或从euicc102接收信号以安装简档、选择安装的简档、删除安装的简档、或初始化euicc102的设置或简档。
euicc102可以向终端100发送信号或从终端100接收信号以安装简档、选择简档、删除简档或初始化euicc102本身的设置或简档。
euicc102可以存储ci公钥或ci证书、存储私钥和euicc的证书、以及通过使用私钥和euicc102的证书对具有私钥和从相同ci和相同ci的子ci颁发的证书的sm-dp进行认证。
euicc102可以存储多个ci公钥或多个ci证书,并且可以使用多个ci公钥或多个ci证书用于认证。
此外,sm-dp104可以向sm-ds108发送信号或从sm-ds108接收信号,以传送对于简档下载启动所需的信息。
此外,sm-dp104可以在管理euicc时执行基于证书的权限认证操作。在这里,sm-dp证书可以表示商业实体,诸如mno或终端制造商。euicc102可以基于sm-dp证书来验证通过sm-dp104执行的euicc管理操作。
此外,sm-dp104可以执行简档管理操作。例如,简档管理操作可以包括诸如简档下载、简档启用、简档禁用、简档删除等的简档管理操作。
另外,sm-dp104可以生成简档包并执行加密操作。sm-dp104准备简档包,并存储简档包和用于保护简档包的简档保护密钥。此外,sm-dp104可以将eid分配给简档包。
sm-ds108帮助搜索euicc102应连接到的sm-dp以处理未决的euicc管理事件的操作。此外,sm-ds108可以通过在ip网络中使用推送方案来执行将euicc管理事件传送到euicc102的操作。
终端100可以向sm-dp104发送信号或从sm-dp104接收信号,以发送或接收用于简档下载启动所需的信息。
mno系统110可以命令sm-dp104为特定的euicc准备简档包,并且可以将简档包传送到sm-dp104。此外,mno系统110可以向euicc102发送用于更新和管理在euicc102内的启用简档的信号。
可以在sm-dp104与euicc102之间建立安全信道。例如,可以在简档下载和安装期间使用安全信道。此外,可以使用sm-dp104与终端100之间的与简档发送有关的安全信道。。终端100可以将简档包传送到euicc102。
在本公开的实施例中,简档包括例如订户标识符(例如,国际移动订户标识,以下称为“imsi”)和用于认证的加密密钥(例如,k)。此外,简档可以包括由对应的通信服务提供商提供的用于通信服务的各种信息。在这里,应该注意,对于通信服务的各种信息没有特别的限制。
此外,在本公开的实施例中,sm-dp104由单个配置单元配置,但是可以被配置成包括简档提供商(以下称为“简档提供商”)和euicc管理器(以下简称“euicc管理器”)的形式。简档提供商具有由ci和ci的子ci颁发的私钥和证书,并且可以生成简档包并执行加密操作。此外,除了由简档提供商执行的操作之外,euicc管理器可以执行上述sm-dp140的操作。
图1已示出根据本公开的实施例的无线通信系统的结构的示例。接下来,将参考图2描述根据本公开的实施例的无线通信系统的结构的另一示例。
图2是示意性地示出根据本公开的实施例的无线通信系统的结构的另一示例的示图。
参考图2,多个mno系统,例如mno1201、mno2202、mno3203、和mno4204可以单独链接到简档提供商。在这里,每个简档提供商可以链接到单个mno业务支持系统(以下称为“bss”),或者可以链接到多个mnobss(以下为了方便而称为“mno”)。
作为示例,图2示出了mno1201和mno2202链接到简档提供商1211,mno3203链接到简档提供商3212,并且mno4204链接到简档提供商4213。
同时,单个euicc管理器可以链接到单个简档提供商或多个简档提供商。作为示例,图2示出了euicc管理器1221和euicc管理器2222链接到简档提供商1211,并且euicc管理器3223链接到简档提供商3212和简档提供商4213。
单个终端230可以链接到多个euicc管理器(例如,euicc管理器1221、euicc管理器2222和euicc管理器3223)。在这里,euicc240存储从对应的ci或通过子ci直接颁发的多个ci证书或ci公钥,并且因此可以认证简档提供商或euicc管理器。
此外,sm-ds250可以通过与多个euicc管理器(例如,euicc管理器1221、euicc管理器2222和euicc管理器3223)链接来提供选择终端230所必需的euicc管理器的功能。在这里,在必要信息存储在sm-ds250中之后,向终端230直接通知必要信息的方案(推送)、或通过终端读取存储在sm-ds250中的信息的方案(拉取)是可能的。
图2已经出了根据本公开的实施例的无线通信系统的内部结构的另一示例。接下来,将参考图3描述根据本公开的实施例的无线通信系统中的简档下载过程的示例。
图3是示意性地示出根据本公开的实施例的无线通信系统中的简档下载过程的示例的示图。
参考图3,无线通信系统包括sm-dp300、终端310和euicc320。
首先,在步骤330中,可以通过sm-ds对终端310进行通知来启动简档下载,通过由用户操作终端310来选择简档下载,或者基于终端310先前已经从sm-ds请求或接收的信息来启动简档下载。在这里,终端310先前已经从sm-ds请求和接收的信息可以包括能够区分sm-dp地址以及简档下载的启动等的分隔符。在这种情况下,终端310可以从对应于sm-dp地址的sm-dp300请求简档下载。
终端310和sm-dp300可以基于通过传输层安全性(以下称为“tls”)证书保护的安全套接字层上的超文本传输协议(hypertexttransferprotocoloversecuresocketlayer,https)来执行通信。
如果在终端310中启动简档下载,则在步骤332中,sm-dp300基于使用euicc320和嵌入式uicc控制授权安全域(以下称为“ecasd”)证书的相互认证来配置scp03密钥集或scp03t密钥集。在执行这种操作时,在sm-dp300和euicc320中生成相同对称密钥的密钥集。
使用ecasd证书的相互认证过程和密钥集生成过程可类似于:在针对卡内容管理卡规范v2.2-修订ev1.0标准的全球平台卡安全升级中引入的场景#3过程、或者在针对嵌入式uicc技术规范版本1.0的gsma远程供应架构中提到的场景#3过程。因此,将省略其详细描述。
在生成相同对称密钥的密钥集之后,sm-dp300可以使得通过使用密钥集、通过向euicc320发送更新初始化(以下称为“初始化更新”)命令和外部认证(以下称为“外部认证”)命令来生成scp03会话或scp03t会话。
在此之后,sm-dp300可以使用在会话生成时生成的会话密钥集来执行与euicc320的加密通信。sm-dp300可以以标签长度值(tag-length-value,tlv)形式生成简档信息。可以使用加密和完整性保护的一种或多种安全方法来保护tlv数据。在这里,安全方法可以是使用在会话生成时生成的会话密钥集的安全方法。在步骤334中,sm-dp300将通过scp03或scp03t加密的以tlv形式的简档信息发送到终端310。发送到终端310的简档信息可以包括在es9 https响应消息中并且被发送到终端310。es9 https响应消息还可以包括用于消息mac生成/验证的会话密钥(s-mac)。
已经接收简档信息的终端310将简档信息划分成可发送到euicc320的数据大小,然后在步骤336中,将已划分的简档信息包括在简档加载(以下称为“简档加载”)命令中,并且将简档加载命令发送到euicc320。
euicc320可以从终端310接收至少一个简档加载命令,执行解密操作和完整性验证操作,然后安装简档。在图3中,假设euicc320从终端310接收多个简档加载命令。
此外,尽管在图3中没有单独示出,euicc320可以在接收到所有多个简档加载命令之后,执行解密操作和完整性验证操作并且完成简档下载和安装,或者euicc320可以分别接收和处理多个简档加载命令,然后完成简档下载和安装。
此外,在简档下载过程中,如图3中所描述的,可以依次执行以下过程:在sm-dp300与euicc320之间的相互验证、以及密钥生成、scp03或scp03t会话生成、以及使用scp03或scp03t会话密钥集的简档信息传送,但所述过程可以在一定方案中实现,在所述方案中sm-dp300获取euicc320的证书并且将预生成的应用协议数据单元(以下称为“apdu”)和已加密的简档信息两者存储在终端310,然后终端310将所存储的apdu和已加密的简档信息传送到apdu单元中的euicc320。
同时,虽然图3示出根据本公开的实施例的无线通信系统中的简档下载过程的示例,但是可以对图3进行各种修改。例如,尽管在图3中示出了连续的步骤,但图3所示的步骤可以彼此重叠、可以并行执行、可能以不同的顺序执行、或者可以执行若干次。
图3已经描述了根据本公开的实施例的无线通信系统中的简档下载过程的示例。接下来,将参考图4描述根据本公开的实施例的无线通信系统中的简档下载过程的另一示例。
图4是示意性地示出根据本公开的实施例的无线通信系统中的简档下载过程的另一示例的示图。参考图4,无线通信系统包括简档提供商400、euicc管理器410、终端420和euicc430。
首先,在步骤440中,可以通过sm-ds对终端420进行通知来启动简档下载,通过用户操作终端420来选择简档下载,或者基于终端420先前已经从sm-ds请求或接收的信息来启动简档下载。在这里,终端420先前已经从sm-ds请求和接收的信息可以包括能够区分euicc管理器地址以及启动简档下载等的分隔符。在这种情况下,终端420可以从对应于euicc管理器地址的euicc管理器410请求简档下载。终端420和euicc管理器410可以基于通过tls证书保护的https来执行通信。
在步骤442中,终端420启动euicc管理器410与euicc430之间的相互认证过程。在下文中,将参考图5提供相互认证过程的细节。
如果执行了相互认证过程,则在步骤444中,euicc管理器410可以将简档下载请求(以下称为“下载简档请求”)消息传送到简档提供商400。在此,下载简档请求消息可以包括eid和euicc证书(cert.euicc.ecdsa)。
在步骤446中,已经从euicc管理器410接收下载简档请求消息的简档提供商400可以基于使用ecasd证书和对应于下载简档请求消息中包括的eid的euicc430的相互认证来配置scp03密钥集或scp03t密钥集。在执行这种操作时,在简档提供商400和euicc430中生成相同对称密钥的密钥集。
使用ecasd证书的相互认证过程和密钥集生成过程可类似于:在针对卡内容管理卡规范v2.2-修订ev1.0标准的全球平台卡安全升级中引入的场景#3过程、或者在针对嵌入式uicc技术规范版本1.0的gsma远程供应架构中提到的场景#3过程。因此,将省略其详细描述。
同时,简档提供商400可以通过使用密钥集,使得通过向euicc430发送初始化更新命令和外部认证命令来生成scp03会话或scp03t会话。
在此之后,简档提供商400可以使用在会话生成时生成的会话密钥集来执行与euicc430的加密通信。简档提供商400可以以标签长度值(tlv)形式生成简档信息。可以使用加密和完整性保护的一种或多种安全方法来保护tlv数据。在这里,安全方法可以是使用在会话生成时生成的会话密钥集的安全方法。
在步骤448中,简档提供商400通过使用scp03或scp03t将以tlv形式的简档信息发送到euicc管理器410。然后,在步骤450中,euicc管理器410可以向终端420发送包括简档信息的部分或全部的信息。在图4中,假设euicc管理器410将从简档提供商400接收的简档信息按原样传送到终端420。
在步骤452中,已经从euicc管理器410接收到简档信息的终端420将简档信息划分成可发送到euicc430的数据大小,将划分的简档信息包括在简档加载命令中,并且将简档加载命令发送到euicc430。
euicc430可以从终端420接收至少一个简档加载命令,执行解密操作和完整性验证操作,然后安装简档。在图4中,假设euicc430从终端420接收多个简档加载命令。
此外,尽管在图4中没有单独示出,euicc430可以在接收到所有多个简档加载命令之后,执行解密操作和完整性验证操作并且完成简档下载和安装,或者euicc430可以分别接收和处理多个简档加载命令,然后完成简档下载和安装。
此外,在简档下载过程中,如图4所描述的,可以依次执行以下过程:在简档提供商400与euicc430之间的相互验证、以及密钥生成、scp03或scp03t会话生成、以及使用scp03或scp03t会话密钥集的简档信息传送,但所述过程可以在以下方案中实现:在通过简档提供商400获取euicc430的证书之后,将预生成的apdu和加密的简档信息传送到euicc管理器410,将传送的apdu和加密的简档信息两者存储在终端420中,然后将所存储的apdu和加密的简档信息传送到apdu单元中的euicc430。
同时,虽然图4示出了根据本公开的实施例的无线通信系统中的简档下载过程的另一示例,但是可以对图4进行各种修改。例如,尽管在图4中示出了连续的步骤,但图4所示出的步骤可以彼此重叠、可以并行执行、可以以不同的顺序执行、或者可以执行若干次。
图4已经示出了根据本公开的实施例的无线通信系统中的简档下载过程的另一示例。接下来,如下将参考图5描述在euicc管理器410与euicc430之间执行的步骤442的相互认证过程。图5是示意性地示出根据本公开的实施例的无线通信系统中的在euicc管理器与euicc之间执行的相互认证过程的示图。
参考图5,无线通信系统与图4所示的无线通信系统相同,并且还包括sm-ds415。
首先,在步骤500中,euicc管理器410将注册事件(以下称为“注册事件”)消息传送到sm-ds415。注册事件包括eid和euicc管理器地址信息、或euicc管理器标识符(以下称为“emid”)。额外地,注册事件消息可以包括指示简档下载的启动的事件。
sm-ds415可以存储在注册事件消息中包括的信息,例如eid、emid、和事件,并且在步骤502中将事件通知(以下称为“通知事件”)消息传送到终端420。在这里,通知事件消息可以包括eid、emid、和事件。在这里,事件可以是包括事件id和事件类型(以下称为“事件类型”)的信息。事件id可以是区分事件的标识符,并且可以具有全局唯一值。此外,事件类型可以包括用于区分诸如简档下载等事件的值。
在步骤504中,已经从sm-ds415接收通知事件消息的终端420可以将e_nonce请求(以下称为“e_nonce请求”)消息传送到euicc430。在这里,e_nonce请求消息可以例如以apdu命令形式传送到euicc430。
如果从终端420接收e_nonce请求消息,则euicc430生成e_nonce的随机值。此外,在步骤506中,euicc430将包括eid、事件、euicc430的证书、以及使用euicc430的私钥签名的e_sign值的e_nonce响应(以下称为“e_nonce响应”)消息传送到终端420。
在步骤508中,终端420可以通过使用从euicc430接收的e_nonce响应消息将es5认证请求(以下称为“es5认证请求”)消息传送到euicc管理器410。在这里,通过终端420传送到euicc管理器410的es5认证请求消息可以包括从euicc430传送的e_nonce响应消息的部分或全部。应该注意,在es5认证请求消息中包括e-eonon响应消息的形式可以是各种各样的。
在步骤510中,已经从终端420接收es5认证请求消息的euicc管理器410可以通过使用在euicc管理器410中存储的ci的公钥和ci证书中的一个,验证所接收的es5认证请求消息中包括的euicc证书和签名。然后,euicc管理器410可以随机地生成s_nonce值,并且可以在步骤512中将包括euicc管理器证书和euicc管理器签名值s_sign的es5认证质询(以下称为“es5认证质询”)消息传送到终端420。在这里,s_sign可以指代通过使用euicc管理器410的私钥对包括eid、e_nonce、和s_nonce的信息进行签名而获得的值。
在步骤514中,终端420可以通过使用从euicc管理器410接收的es5认证质询消息将s_nonce签名请求(以下称为“s_nonce签名请求”)消息传送到euicc430。在这里,从终端420传送到euicc430的s_nonce签名请求消息可以包括从euicc管理器410传送的es5认证质询消息的部分或全部。应该注意,在s_nonce签名请求消息中包括es5认证质询消息的形式可以是各种各样的。
在步骤516中,euicc430可以通过使用存储在euicc430中的公钥或ci证书,验证s_nonce签名请求消息中包括的es5认证质询消息中包括的euicc管理器证书。因此,如果证书的验证成功,则euicc430使用euicc管理器证书中包括的公钥来验证s_sign值和消息。euicc430验证是否使用euicc管理器410的私钥和e_nonce值来计算s_sign值。
如果euicc430的验证操作失败,则euicc430将s_nonce签名响应(以下称为“nonce签名响应”)传送到终端420。在这里,nonce签名响应消息可以包括指示验证的操作已经失败的状态字值。
另一方面,如果euicc430的验证操作成功,则在步骤518中,euicc430可以将s_nonce签名响应消息发送到终端,并且完成针对euicc管理器的认证操作。
同时,s_nonce签名响应消息可以包括e_sign,其是通过使用euicc的私钥对包括s_nonce值的信息进行签名而获得的值。包括s_nonce值的信息可以包括intkey*。intkey*可以是通过在完成认证过程之后,通过使用euicc管理器证书的公钥来加密用于完整性验证的完整性保护(以下称为“完整性保护”)密钥而获得的值。
在步骤520中,终端420可以将包括s_nonce签名响应消息的部分或全部的es5认证响应消息传送到euicc管理器410。在这里,应该注意,在es5认证响应消息中包括s_nonce签名响应消息的形式可以是各种各样的。
在步骤522中,已经从终端420接收es5认证响应消息的euicc管理器410可以使用euicc430的公钥来验证e_sign值。如果验证了e_sign值是使用euicc的私钥和s_nonce值来计算的,则euicc管理器410可以完成euicc430的认证。
此外,euicc管理器410可以通过使用euicc管理器410的私钥来解密intkey*,并且由此提取intkey值。然后,在步骤528中,euicc管理器410基于intkey值将要传送到euicc430的数据传送到终端420。终端420将所接收的数据传送到euicc430,并且在步骤530中,euicc430基于通过解密intkey*而提取的intkey值来解密数据。类似地,通过终端420从euicc管理器410传送到euicc430的数据可以使用intkey值来保证完整性保护。
同时,如果euicc管理器410的验证失败,则在步骤524中,euicc管理器410可以将认证失败(以下称为“认证失败”)消息传送到终端420。在这里,应该注意,可以选择性地执行通过euicc管理器410将认证失败消息发送到终端420的操作。
如果从euicc管理器410接收到认证失败消息,则在步骤526中,终端420可以将包括认证失败的部分或全部的认证失败消息传送到euicc430。在这里,应该注意,在要通过终端420发送到euicc430的认证失败消息中包括通过终端420从euicc管理器410接收到的认证失败消息的形式可以是各种各样的。
同时,在完成如上所述的认证过程之后,如图4中的步骤444所示,euicc管理器410可以将下载简档请求消息发送到简档提供商400。
尽管图5示出了根据本公开的实施例的无线通信系统中的在euicc管理器410与euicc430之间执行的相互认证过程,但是应该注意,可以相对于图5实现各种修改。例如,尽管在图5中示出了连续的步骤,但图5中所示出的步骤可以彼此重叠、可以并行执行、可以以不同的顺序执行、或者可以执行若干次。
图5已经描绘了根据本公开的实施例的无线通信系统中的在euicc管理器与euicc430之间执行的相互认证过程。接下来,将参考图6描述根据本公开的实施例的无线通信系统中的简档下载过程的另一示例。
图6是示意性地示出根据本公开的实施例的无线通信系统中的简档下载过程的又另一示例的示图。
参考图6,无线通信系统包括sm-dp600、终端610和euicc620。
在步骤630中,可以通过sm-ds对终端610进行通知来启动简档下载、通过用户操作终端610来选择简档下载、或者基于终端610先前已经从sm-ds请求和接收的信息来启动简档下载。在这里,终端610先前已经从sm-ds请求和接收的信息可以包括能够区分sm-dp地址以及启动简档下载等的分隔符。在这种情况下,终端610可以从对应于sm-dp地址的sm-dp600请求简档下载。
在步骤632中,sm-dp600和euicc620配置安全信道协议(securechannelprotocol,scp)81会话。如上所述,与图3中所示出的文件下载过程不同,图6中所示出的文件下载过程使用scp81以用于sm-dp600与euicc620之间的相互认证和完整性保护。scp81可以使用https协议以便执行sm-dp600与euicc620之间的通信,并且终端610和euicc620可以使用承载无关协议(以下称为“bip”)。
在这里,使用证书的单向认证或相互认证可以用于在使用scp81时使用的tls认证。如果配置了用于tls认证的密码套件(以下称为“密码套件”),则可以如下保护传送到scp81协议的数据信息。
-执行相互认证操作,不执行完整性保护操作,并且不执行加密(以下称为“加密”)
-执行相互认证操作,执行完整性保护操作,并且不执行加密。
-执行相互认证操作,不执行完整性保护操作,并且执行加密。
-执行相互认证操作,执行完整性保护操作,并且执行加密。
在生成scp81会话之后,在步骤636中,sm-dp600可以通过scp81会话将以tlv形式的简档信息传送到euicc620。
同时,虽然图6示出了根据本公开的实施例的无线通信系统中的简档下载过程的另一示例,但是可以对图6进行各种修改。例如,尽管在图6中示出了连续的步骤,但图6中所示出的步骤可以彼此重叠、可以并行执行、可以以不同的顺序执行、或者可以执行若干次。
图6已经描绘了根据本公开的实施例的无线通信系统中的简档下载过程的另一示例。接下来,将参考图7描述根据本公开的实施例的无线通信系统中的简档下载过程的又另一示例。
图7是示意性地示出根据本公开的实施例的无线通信系统中的简档下载过程的又另一示例的示图。
参考图7,无线通信系统包括简档提供商700、euicc管理器410、终端710和euicc730。
在步骤740中,可以通过sm-ds对终端720进行通知来启动简档下载、通过用户操作终端720来选择简档下载、或者基于终端720先前已经从sm-ds请求和接收的信息来启动简档下载。在这里,终端720先前已经从sm-ds请求和接收的信息可以包括能够区分euicc管理器地址以及启动简档下载等的分隔符。在这种情况下,终端720可以从对应于euicc管理器地址的euicc管理器710请求简档下载。在步骤742中,euicc管理器710和euicc730配置scp81会话。如上所述,与图4中所示出的文件下载过程不同,图7中所示出的文件下载过程使用scp81以用于sm-dp600与euicc620之间的相互验证和完整性保护。
在生成scp81会话之后,在步骤744中,euicc管理器710可以将下载简档请求消息传送到简档提供商700。在这里,下载简档请求消息可以包括eid和euicc证书(cert.euicc.ecdsa)。
已经从euicc管理器710接收下载简档请求消息的简档提供商700可以基于使用ecasd证书和对应于下载简档请求消息中包括的eid的euicc730的相互认证来配置scp03密钥集或scp03t密钥集。在这里,euicc管理器710可以通过scp81来传送在简档提供商700与euicc730之间发送或接收的认证消息等。
在简档提供商700与euicc730之间生成scp03密钥集或scp03t密钥之后,可以在简档提供商700与euicc730之间生成scp03会话密钥集或scp03t会话密钥集。在步骤748中,简档提供商700可以将使用scp03密钥集或scp03t密钥集来加密的以tlv形式的简档信息传送到euicc管理器710。然后,在步骤750中,euicc管理器710可以通过scp81将使用scp03密钥集或scp03t密钥集来加密的tlv形式的简档信息传送到euicc730。
同时,尽管没有在图7中单独示出,但可以通过简档提供商700与euicc730之间的端到端(以下称为“端到端”)消息交换来执行scp03密钥集或scp03t密钥集的生成、以及用于scp03和scp03t的相互认证的apdu和会话密钥的生成。然而,也可能的是,简档提供商700提前基于euicc730的验证生成apdu消息,将所生成的apdu消息传送到euicc管理器710,然后通过scp81将所传送的apdu消息直接传送到euicc730。
同时,虽然图7示出了根据本公开的实施例的无线通信系统中的简档下载过程的另一示例,但是可以对图7进行各种修改。例如,尽管在图6中示出了连续的步骤,但图7中所示出的步骤可以彼此重叠、可以并行执行、可以以不同的顺序执行、或者可以执行若干次。
图7已经示出了根据本公开的实施例的无线通信系统中的简档下载过程的另一示例。接下来,将参考图8描述根据本公开的实施例的无线通信系统中的将简档从mno系统下载到终端的过程。
图8是示意性地示出根据本公开的实施例的无线通信系统中的将简档从mno系统下载到终端的过程的示图。
参考图8,无线通信系统包括mno系统800、简档提供商810、euicc管理器820、sm-ds830、终端840和euicc850。
在步骤864中,mno系统800可以将简档下载(以下称为“下载简档”)消息传送到简档提供商810,以便发起简档下载。mno系统800可以是mno的商业支持系统(business-support-system,bss)。
下载简档消息可以包括eid、smdsid、emid和简档id中的至少一个。
eid是euicc标识符,并且可以具有确定的长度或可变的长度。
eid可以是例如16位数字。
smdsid可以是sm-ds标识符。smdsid可以是服务器地址,euicc管理器820或终端840能够通过服务器地址访问sm-ds830,或者可以指示可以映射到服务器地址的值。
emid可以是euicc管理器标识符。emid可以是服务器地址,简档提供商810、sm-ds830、终端840或euicc850能够通过服务器地址访问euicc管理器820,或者可以指示可以映射到服务器地址的值。
简档id可以是用于区分简档的标识符。此外,简档id可以是集成电路卡id(以下称为“iccid”)。
同时,在步骤866中,简档提供商810可以通过使用包括在下载简档消息中的eid、smdsid和iccid将发送数据消息传送到与emid对应或预先配置的euicc管理器820。
然后,在步骤868中,euicc管理器820可以确认包括在发送数据消息中的smdsid,然后将注册事件消息传送到与smdsid对应的sm-ds830。注册事件消息可以包括emid、eid和事件。在这里,事件可以是包括事件id和事件类型的信息。
将emid从sm-ds830传送到终端840的方法可以是以下两种方法中的一个或两者。
如果在步骤862(选项1)中存在由终端840通过注册消息注册的eid,或者在步骤870(选项2)中接收到包括用于请求事件的eid的检索事件消息,则sm-ds830可以在步骤874中将通知事件消息传送到终端840。在这里,如果终端840的电源开启并建立ip连接,则可以在步骤860中执行选项1操作。此外,如果在终端840中发生检索触发事件,则可以在步骤870中执行选项2操作。
同时,通知事件消息可以包括emid和事件。然后,在步骤876中,终端840可以将认证请求消息传送到与emid相对应的euicc管理器820,并执行认证。此时,认证请求消息可以包括由euicc管理器820接收的事件。
euicc管理器820可以确认接收到的事件中所包括的事件id或事件类型,并发起附加操作。
在图8中,假设事件是指示简档下载的事件类型。
同时,经由简档提供商810、euicc管理器820、终端840和euicc850之间的互连,在步骤878中执行认证操作和简档下载/安装操作。在简档提供商810、euicc管理器820、终端840和euicc850之间执行认证、以及执行简档下载/安装的此类操作可以包括在图8中。
在步骤880中,euicc850可以将包括euicc850的签名值的结果传送到终端840,并且在步骤882中,终端840可以将结果传送到euicc管理器820。此外,在步骤884中,euicc管理器820可以将结果传送到简档提供商810,并且在步骤886中,简档提供商810可以将结果传送到mno系统800。可替换地,euicc管理器820可以将结果直接传送到mno系统800。
同时,如果事件的处理完成,则在步骤888中,euicc管理器820可以将删除事件(以下称为“删除事件”)传送到sm-ds830。然后,sm-ds830可以删除已注册的事件。
在步骤890中,终端840可以将具有iccid值作为因子的简档启用(以下称为“启用简档”)传送到euicc850,以便启用与iccid值相对应的简档。
在步骤891中,响应于启用简档消息,euicc850可以将包括签名值的简档启用的结果传送到终端840。在这里,如果存在现有的已启用的简档,则euicc850可以首先禁用现有的已启用的简档,然后启用与iccid相对应的简档。
在步骤892中,euicc850将refresh消息发送到ue840。然后,在步骤893中,终端840可以使用新启用的简档来执行网络连接。
在步骤894中,euicc850可以使用包括euicc的签名值的启用简档来传送网络连接的结果,并且在步骤895中,终端840可以使用包括euicc的签名值的启用简档来将网络连接的结果传送到euicc管理器820。
此外,在步骤896中,euicc管理器820可以使用包括euicc的签名值的启用简档将网络连接的结果传送到简档提供商810,并且简档提供商810可以使用包括euicc的签名值的启用简档将网络连接的结果传送到mno系统800。可替换地,euicc管理器820可以使用包括euicc的签名值的启用简档将网络连接的结果直接传送到mno系统800。
同时,图8的步骤880至898在某些情况下可以省略,并且可以选择性地执行。此外,在图8中,描述被划分成简档提供商810和euicc管理器820的两个元件的操作,但是简档提供商810和euicc管理器820的操作可以被表示为sm-dp的单个元件的操作。在这种情况下,可以省略简档提供商810与euicc管理器820之间的消息发射/接收操作,并且也可以省略emid或用sm-dpid替换emid。
同时,尽管图8示出根据本公开的实施例的无线通信系统中的将简档从mno系统下载到终端的过程,但是可以对图8做出各种修改。例如,尽管在图8中示出了连续的步骤,图8中所示出的步骤可以彼此重叠、可以并行执行、可以按照不同的顺序执行、或者可以执行多次。
图8已示出根据本公开的实施例的无线通信系统中的将简档从mno系统下载到终端的过程的图示。接下来,将参考图9描述根据本公开的实施例的包括在无线通信系统中的实体的内部配置图。
图9是根据本公开的实施例的包括在无线通信系统中的实体的内部配置图。
根据本公开的实施例的包括在无线通信系统中的实体可以是sm-ds、简档提供商、euicc管理器、终端、sm-ds、mno系统和euicc中的一个。
参考图9,实体可以包括发送单元900、接收单元910、存储器920和控制单元930。
首先,控制单元930控制实体的整体操作。控制单元930控制实体来执行与根据本公开的实施例的简档下载操作相关联的整体操作。在这里,与根据本公开的实施例的简档下载操作相关联的操作与图1至图8中描述的操作相同,并且因此将省略其详细描述。
发送单元900向控制单元930的控制下的实体以外的实体发射各种信号和各种消息。在这里,由发送单元900发送的各种信号和各种消息与图1至图8中发送的各种信号和各种消息相同,并且因此将省略其详细描述。
此外,接收单元910从控制单元930的控制下的实体以外的实体接收各种信号和各种消息。在这里,由接收单元910接收的各种信号和各种消息与图1至图8中接收的各种信号和各种消息相同,并且因此将省略其详细描述。
存储器920存储实体的操作所需的程序和各种数据,并且特别地,存储根据本公开的实施例的与简档下载操作相关联的信息。此外,存储器920存储由接收单元910接收的各种信号和各种消息。
在以上描述中,实体被实现为分离的单元,诸如发送单元900、接收单元910、存储器920和控制单元930。然而,发送单元900、接收单元910、存储器920和控制单元930中的至少两个可以被集成为一个单元。
根据各种实施例的权利要求书和/或说明书中所述的方法可以由硬件、软件或硬件和软件的组合来实施。
当所述方法由软件实施时,可以提供用于存储一个或多个程序(软件模块)的计算机可读存储介质。存储在计算机可读存储介质中的一个或多个程序可以被配置成用于由电子装置内的一个或多个处理器运行。至少一个程序可以包括使得电子装置执行根据由所附权利要求书定义和/或本文公开的本公开的各种实施例的方法的指令。
程序(软件模块或软件)可以存储在非易失性存储器中,所述非易失性存储器包括随机存取存储器和闪速存储器、只读存储器(readonlymemory,rom)、电可擦除可编程只读存储器(electricallyerasableprogrammablereadonlymemory,eeprom)、磁盘存储装置、压缩光盘rom(compactdisc-rom,cd-rom)、数字多功能光盘(digitalversatilediscs,dvd)或其他类型的光学存储装置或磁带盒。可替换地,上述的一些或全部的任何组合可以形成在其中存储程序的存储器。此外,电子装置中可以包括多个这样的存储器。
另外,程序可以存储在可通过诸如互联网、内联网、局域网(localareanetwork,lan)、宽lan(widelan,wlan)和存储区域网络(storageareanetwork,san)或其组合的通信网络访问电子装置的可附接存储装置中。这种存储装置可以经由外部端口访问电子装置。此外,通信网络上的分离的存储装置可以访问便携式电子装置。
在本公开的上述详细实施例中,根据所呈现的详细实施例,包括在本公开中的组件以单数或复数表示。然而,为了方便描述而选择适用于所呈现的情况的单数形式或复数形式,并且本公开的各种实施例不限于单个元件或其多个元件。此外,在说明书中表示的多个元件可以被配置成单个元件,或者说明书中的单个元件可以被配置成多个元件。尽管本文已经单独描述了上述实施例,但是它们中的两个或更多个可以组合地实施。
此外,本公开的上述实施例可以通过计算机可读记录介质中的计算机可读代码来实施。计算机可读记录介质可以是能够存储可以由计算机系统读取的数据的任何数据存储装置。可由计算机读取的记录介质的示例可以包括只读存储器(rom)、随机存取存储器(random-accessmemory,ram)、光盘只读存储器(cd-rom)、磁带、软盘、光数据存储装置、载波(诸如,通过互联网的数据传输)。此外,用于实现本公开的功能程序、代码和代码段可以由本公开所属领域的程序员容易地解释。
应当理解,根据本公开的实施例的设备和装置可以按照硬件、软件、或硬件和软件的组合的形式来实现。例如,任何这样的软件可以存储在诸如rom的易失性或非易失性存储装置、诸如ram的存储器、存储器芯片、存储器装置、或存储器ic、或可记录的光学或磁性介质(诸如cd、dvd、磁盘或磁带)中,而不管其被擦除的能力或其被重新记录的能力。还可以理解,软件可以存储在机器(例如,计算机)可读存储介质中。应当理解,根据本公开的实施例的方法可以通过计算机、各种便携式终端、或由无线通信系统中的通信提供商管理的网络实体来实现,所述网络实体包括控制器和存储器,并且存储器是适于存储包括用于实现本公开的实施例的指令的一个或多个程序的机器可读存储介质的示例。
因此,本公开包括用于实施在说明书的所附权利要求书中描述的设备和方法的代码的程序和用于存储程序的机器(计算机等)可读存储介质。
尽管已经在本公开的详细描述中描述实施例,但是在不脱离本公开的范围的情况下可按照各种形式修改本公开。因此,本公开的范围不应仅仅基于所描述的示例性实施例来确定,而是基于随附权利要求书和其等同物来确定。
1.一种在通信系统中由包括嵌入式通用集成电路卡(euicc)的终端执行的方法,所述方法包括:
识别与从订阅管理器数据准备 (sm-dp )下载到所述终端的简档相关联的事件;
建立与所述sm-dp 的安全套接字层上的超文本传输协议(https)连接,所述https连接由与传输层安全性(tls)相关联的证书保护;
经由所述https连接从所述sm-dp 接收包括标签长度值(tlv)形式的简档的https响应消息,所述tlv形式的简档由对称密钥的密钥集保护;以及
传送所述tlv形式的简档到所述euicc,
其中,所述对称密钥的密钥集是基于密钥集生成过程生成的,
其中,所述密钥集生成过程是基于相互认证过程执行的,以及
其中,基于与euicc控制授权安全域(ecasd)相关联的证书,所述相互认证过程在所述sm-dp 和所述euicc之间执行。
2.根据权利要求1所述的方法,其中,所述tlv形式的简档由scp03t进行加密。
3.一种通信系统中由订阅管理器数据准备 (sm-dp )执行的方法,所述方法包括:
建立与终端的安全套接字层上的超文本传输协议(https)连接,所述https连接由与传输层安全性(tls)相关联的证书保护;
基于与euicc控制授权安全域(ecasd)相关联的证书,用所述终端中包括的嵌入式通用集成电路卡(euicc)执行相互认证过程;
基于所述相互认证过程,用终端中包括的所述euicc执行密钥集生成过程;
基于所述密钥集生成过程,生成对称密钥的密钥集;以及
经由所述https连接向所述终端发送包括标签长度值(tlv)形式的简档的https响应消息,所述tlv形式的简档由所述对称密钥的密钥集保护并被传送到所述终端中包括的euicc。
4.根据权利要求3所述的方法,其中,所述tlv形式的简档由scp03t进行加密。
5.一种在通信系统中包括嵌入式通用集成电路卡(euicc)的终端,所述终端包括:
收发器;以及
处理器,其被配置为:
识别与从订阅管理器数据准备 (sm-dp )下载到所述终端的简档相关联的事件,
建立与所述sm-dp 的安全套接字层上的超文本传输协议(https)连接,所述https连接由与传输层安全性(tls)相关联的证书保护,
通过控制所述收发器,经由所述https连接从所述sm-dp 接收包括标签长度值(tlv)形式的简档的https响应消息,所述tlv形式的简档由对称密钥的密钥集保护,以及
传送所述tlv形式的简档到所述euicc,
其中,所述对称密钥的密钥集是基于密钥集生成过程生成的,
其中,所述密钥集生成过程是基于相互认证过程执行的,以及
其中,基于与euicc控制授权安全域(ecasd)相关联的证书,所述相互认证过程在所述sm-dp 和所述euicc之间执行。
6.根据权利要求5所述的终端,其中,所述tlv形式的简档由scp03t进行加密。
7.一种在通信系统中的订阅管理器数据准备 (sm-dp ),其中所述sm-dp 包括:
收发器;以及
处理器,其被配置为:
建立与终端的安全套接字层上的超文本传输协议(https)连接,所述https连接由与传输层安全性(tls)相关联的证书保护,
基于与euicc控制授权安全域(ecasd)相关联的证书,用所述终端中包括的嵌入式通用集成电路卡(euicc)执行相互认证过程,
基于所述相互认证过程,用终端中包括的所述euicc执行密钥集生成过程,
基于所述密钥集生成过程,生成对称密钥的密钥集,以及
通过控制所述收发器,通过所述https连接向所述终端发送包括标签长度值(tlv)形式的简档的https响应消息,所述tlv形式的简档由所述对称密钥的密钥集保护并被传送到所述终端中包括的euicc。
8.根据权利要求7所述的sm-dp ,其中,所述tlv形式的简档由scp03t进行加密。
技术总结