ES2848098T3 - Procedimiento y dispositivo para instalar perfil de eUICC - Google Patents

Procedimiento y dispositivo para instalar perfil de eUICC Download PDF

Info

Publication number
ES2848098T3
ES2848098T3 ES15821440T ES15821440T ES2848098T3 ES 2848098 T3 ES2848098 T3 ES 2848098T3 ES 15821440 T ES15821440 T ES 15821440T ES 15821440 T ES15821440 T ES 15821440T ES 2848098 T3 ES2848098 T3 ES 2848098T3
Authority
ES
Spain
Prior art keywords
encrypted
password key
profile
key
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES15821440T
Other languages
English (en)
Inventor
Jonghan Park
Duckey Lee
Sangsoo Lee
Songyean Cho
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Application granted granted Critical
Publication of ES2848098T3 publication Critical patent/ES2848098T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B1/00Details of transmission systems, not covered by a single one of groups H04B3/00 - H04B13/00; Details of transmission systems not characterised by the medium used for transmission
    • H04B1/38Transceivers, i.e. devices in which transmitter and receiver form a structural unit and in which at least one part is used for functions of transmitting and receiving
    • H04B1/3816Mechanical arrangements for accommodating identification devices, e.g. cards or chips; with connectors for programming identification devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/42Security arrangements using identity modules using virtual identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)

Abstract

Un procedimiento de instalación de un perfil de una Tarjeta de Circuito Integrado Universal incorporada, eUICC, realizado por un dispositivo (330, 420, 710) de red, comprendiendo el procedimiento: adquirir, de un servidor (410, 510, 700) de Preparación de Datos de Gestor de Suscripción, SM-DP, al menos un perfil encriptado con una primera clave de contraseña y una primera clave de contraseña encriptada que está encriptada con una segunda clave de contraseña; desencriptar la primera clave de contraseña encriptada encriptada con la segunda clave de contraseña y reencriptar la primera clave de contraseña con una tercera clave de contraseña; y transmitir, a al menos una eUICC, el al menos un perfil encriptado y la primera clave de contraseña encriptada que está reencriptada con una tercera clave de contraseña en base al inicio de una instalación de perfil para la al menos una eUICC, en el que el al menos un perfil encriptado es desencriptado por la primera clave de contraseña e instalado en la al menos una eUICC, respectivamente.

Description

DESCRIPCIÓN
Procedimiento y dispositivo para instalar perfil de eUlCC
[Campo técnico]
La presente invención se refiere a un procedimiento y un dispositivo para instalar un perfil de una eUlCC (Tarjeta de Circuito Integrado Universal incorporada) y, más particularmente, a un procedimiento y un dispositivo para instalar información de suscriptor de comunicaciones móviles (perfil) en un módulo de seguridad de manera remota reemplazando una UICC (Tarjeta de Circuito Integrado Universal) con la eUICC.
[Técnica antecedente]
Una UICC (Tarjeta de Circuito Integrado Universal) es una tarjeta inteligente que es insertada en un terminal de comunicaciones móviles y almacena información personal tal como información de autentificación de conexión de red, números de teléfono, y SMS de un suscriptor de comunicaciones móviles. La UICC habilita el uso seguro de la comunicación móvil al realizar la autentificación de suscriptor y generar una clave de seguridad de tráfico cuando se conecta a una red de comunicaciones móviles tal como GSM, WCDMA, y LTE.
Las aplicaciones de comunicación tales como un SIM, USIM, e ISIM se lanzan en la UICC de acuerdo con el tipo de la red de comunicaciones móviles conectada por un suscriptor. Adicionalmente, la UICC proporciona una función de seguridad de nivel superior para lanzar diversas aplicaciones tales como billetera electrónica, emisión de billetes, y pasaporte electrónico.
Las UICCs convencionales son fabricadas como una tarjeta dedicada para un proveedor de comunicaciones móviles específico de acuerdo con una solicitud del proveedor de comunicaciones móviles. Por consiguiente, la UICC es liberada preinstalando información de autentificación para conectarse a una red de un proveedor correspondiente (por ejemplo, IMSI y valor K de una aplicación de USIM). La UICC fabricada es suministrada a un proveedor de comunicaciones móviles correspondiente y se proporciona a un suscriptor, y si es necesario, la gestión de instalación, modificación, y eliminación de una aplicación en la UICC puede ser realizada usando una tecnología tal como una OTA (Por El Aire). El suscriptor puede usar los servicios de red y aplicaciones del proveedor de comunicaciones móviles correspondiente insertando la UICC en un terminal de comunicaciones móviles propiedad del suscriptor, y si el terminal es reemplazado por uno nuevo, el suscriptor puede usar la información de autentificación existente, números de teléfono para comunicación móvil, y agenda telefónica personal insertando la UICC en el nuevo terminal.
Las memorias descriptivas físicas y funciones lógicas de la UICC están definidas por una organización de estandarización del eTs I (Instituto Europeo de Estándares de Telecomunicaciones) que proporciona compatibilidad internacional. En vista de la memoria descriptiva física, un factor de forma de la UICC ha sido reducido gradualmente de un Mini SIM usado más ampliamente, a un Micro SIM usado desde hace diversos años, y además a un Nano SIM lanzado recientemente. Esto contribuye mucho a la miniaturización del terminal de comunicaciones móviles.
Recientemente, ha sido establecida una UICC más pequeña que el Nano SIM, sin embargo, puede ser difícil que sea estandarizada debido a que se trata de una pérdida de UICC. Puede ser difícil miniaturizar aún más la UICC debido a que se requiere un espacio para instalar una ranura para un terminal cuando se consideran las características de una UICC desmontable.
Adicionalmente, la UICC convencional no es adecuada para equipo de M2M (Máquina a Máquina) que realiza una conexión a una red de datos de comunicación móvil sin una operación directa de una persona en diversos entornos de instalación de un aparato doméstico inteligente, medidor eléctrico/de agua, y cámara CCTV.
Con el fin de resolver tal problema, se requiere el reemplazo de la UICC convencional, y se integra un módulo de seguridad que tiene una función similar a la de la UICC en un terminal de comunicaciones móviles en un proceso de producción.
El módulo de seguridad interno desarrollado de acuerdo con tal requisito es un módulo de seguridad instalado en un terminal, sin embargo, no puede lanzar información de autentificación de conexión de red de un proveedor de comunicaciones móviles específico tal como una IMSI y un valor K de un USIM mientras que fabrica el terminal. Por consiguiente, la información de autentificación del módulo de seguridad interno de terminal puede ser establecida por un usuario después de comprar un terminal lanzado con un módulo de seguridad interno correspondiente y convertirse en suscriptor de un proveedor de comunicaciones móviles específico.
En una red que soporta un terminal recientemente desarrollado que tiene un módulo de seguridad interno, si el terminal se conecta a una cierta red de comunicaciones móviles aprovisionando un perfil, un servidor que proporciona perfiles encripta el perfil usando una clave de sesión generada por autentificación mutua con el terminal en tiempo real y transmite el perfil encriptado al terminal. Un módulo de seguridad de hardware instalado en un servidor que proporciona perfiles para encriptar un perfil puede ser adecuado para encriptar un pequeño número de perfiles en tiempo real, sin embargo, si un gran número de terminales va a recibir perfiles para el terminal que tiene un módulo de seguridad interno, puede ser imposible proporcionar los perfiles debido a que todos los perfiles deben estar encriptados al mismo tiempo. Por consiguiente, se pueden generar dificultades técnicas cuando se aprovisionan perfiles para un gran número de terminales que tienen un módulo de seguridad interno.
Adicionalmente, hay un problema de que no se pueden proporcionar perfiles correctos para algunos terminales si un estado de red externa de conectar el gran número de terminales que tienen un módulo de seguridad interno a un servidor de SM-DP (Preparación de Datos de Gestor de Suscripción) es pobre.
Por consiguiente, se requiere un procedimiento mejorado de tal manera que un perfil para un terminal que tenga un módulo de seguridad interno pueda ser aprovisionado sin sincronización con una red externa y los perfiles para un gran número de terminales puedan ser encriptados y almacenados con antelación.
El documento WO2013036010 se refiere a un sistema constituido por un operador de red móvil (MNO), un gestor de suscripción (SM), y una UICC incorporada (eUICC), en el que el sistema de MNO o el SM almacena un certificado de eUICC que puede verificar la identidad de la eUICC, transfiere el certificado de eUICC al sistema de MNO o al SM en un proceso de aprovisionamiento o cambio de MNO, verifica la identidad de una eUICC correspondiente usando el certificado de eUICC recibido, y encripta y transfiere un perfil a la eUICC solo si la verificación es exitosa de tal manera la eUICC puede ser verificada durante los procesos de aprovisionamiento o cambio de MNO.
[Divulgación de la invención]
[Problema técnicol
La presente invención está definida en el conjunto adjunto de reivindicaciones.
Con el fin de resolver los problemas anteriores, la presente invención proporciona un procedimiento y un dispositivo para aprovisionar un perfil sin sincronización con una red externa cuando se proporciona el perfil a un terminal.
Adicionalmente, la presente invención proporciona un procedimiento y un dispositivo para almacenar un gran número de perfiles y claves de contraseña para encriptar los perfiles con antelación de aprovisionar perfiles y proporcionar información de perfil encriptada a los terminales cuando se aprovisionan perfiles de los terminales.
[Solución al problemal
Con el fin de lograr el objeto anterior, un procedimiento para instalar un perfil de una eUICC (Tarjeta de Circuito Integrado Universal incorporada) de un dispositivo de red de acuerdo con la presente invención puede incluir las etapas de: adquirir al menos un perfil encriptado con una primera clave de contraseña y al menos una primera clave de contraseña encriptada con una segunda clave de contraseña; y transmitir el al menos un perfil encriptado y la al menos una primera clave de contraseña encriptada a al menos una eUICC cuando se inicia la instalación de perfil para la eUICC. La primera clave de contraseña es reencriptada por la primera clave de contraseña con una tercera clave de contraseña y transmitida a la al menos una eUICC y los perfiles encriptados son desencriptados por la primera clave de contraseña e instalados en la al menos una eUICC respectivamente.
Cada una de la primera clave de contraseña, segunda clave de contraseña, y tercera clave de contraseña puede estar configurada respectivamente con una pluralidad de claves. Por ejemplo, la primera clave de contraseña, segunda clave de contraseña, y tercera clave de contraseña pueden ser un conjunto de claves de contraseña que incluya información de clave. Adicionalmente, cada clave de contraseña puede ser una clave SCP 80, clave SCP 81, clave SCP 03, o clave asimétrica. Como ejemplos de la clave asimétrica en la autentificación basada en RSA, hay una clave pública incluida en un certificado de autentificación en un lenguaje plano y una clave personal generada pareada con la clave pública y almacenada de manera segura en una entidad propiedad del certificado de autentificación. En la siguiente descripción, encriptar usando un certificado de autentificación significa transmitir contenidos encriptando con una clave pública incluida en una entidad receptora del certificado de autentificación, y la entidad receptora puede realizar la desencriptación usando la clave personal almacenada internamente.
Adicionalmente, un procedimiento para instalar un perfil de una eUICC (Tarjeta de Circuito Integrado Universal incorporada) de una SM-DP (Preparación de Datos de Gestor de Suscripción) de acuerdo con la presente invención puede incluir la etapa de transmitir al menos uno de al menos un perfil encriptado y al menos una primera clave de contraseña para encriptar el al menos un perfil en un dispositivo de red. El al menos un perfil encriptado y la al menos una primera clave de contraseña son transmitidos a al menos una eUICC si se inicia la instalación de perfil para la eUICC, y la al menos una primera clave de contraseña es transmitida a la al menos una eUICC encriptando con una tercera clave de contraseña y el al menos un perfil encriptado es transmitido a la al menos una eUICC desencriptando con la al menos una primera clave de contraseña.
Adicionalmente, un dispositivo de red para instalar un perfil de una eUICC (Tarjeta de Circuito Integrado Universal incorporada) de acuerdo con la presente invención puede incluir: una unidad de comunicación configurada para realizar la comunicación de datos; un dispositivo de encriptación configurado para realizar la encriptación y desencriptación; y un dispositivo de almacenamiento configurado para adquirir al menos un perfil encriptado y al menos una primera contraseña para encriptar el al menos un perfil. La unidad de comunicación transmite el al menos un perfil encriptado y la al menos una primera clave de contraseña a al menos una eUICC cuando se inicia la instalación de perfil para la eUlCC, el dispositivo de encriptación transmite la al menos una primera clave de contraseña a la al menos una eUlCC encriptando con una tercera clave de contraseña, y el al menos un perfil encriptado es instalado en la al menos una eUICC desencriptando con la al menos una primera clave de contraseña.
Adicionalmente, un servidor de SM-DP (Preparación de Datos de Gestor de Suscripción) para instalar un perfil de una eUICC (Tarjeta de Circuito Integrado Universal incorporada) de acuerdo con la presente invención puede incluir: una unidad de comunicación configurada para realizar la comunicación de datos; y una unidad de control configurada para controlar para transmitir al menos uno de al menos un perfil encriptado y al menos una primera clave de contraseña para encriptar el al menos un perfil a un dispositivo de red. El al menos un perfil encriptado y la al menos una primera clave de contraseña son transmitidos a al menos una eUICC cuando se inicia una instalación de perfil para la eUICC, y la al menos una primera clave de contraseña es transmitida a la al menos una eUICC encriptando con una tercera clave de contraseña, y el al menos un perfil encriptado es instalado en la al menos una eUICC desencriptando con la al menos una primera clave de contraseña.
[Efectos ventajosos de la invención]
De acuerdo con diversas realizaciones de la presente invención, se puede proporcionar un perfil encriptado sin una pérdida de rendimiento o de datos cuando se aprovisionan perfiles al mismo tiempo para un gran número de terminales que tienen un módulo de seguridad interno.
Adicionalmente, de acuerdo con diversas realizaciones de la presente invención, el aprovisionamiento de perfiles se puede realizar para un gran número de terminales incluso aunque un estado de red externa de conectar un servidor que proporciona perfiles y los terminales sea pobre.
[Breve descripción de los dibujos]
La figura 1 ilustra una estructura de una red que soporta una eUICC.
La figura 2 es un diagrama de flujo que ilustra un procedimiento para instalar un perfil de una eUICC.
La figura 3 ilustra una estructura de una red que soporta una eUICC de acuerdo con la presente invención. La figura 4 es un diagrama de flujo que ilustra un procedimiento para instalar un perfil de una eUICC de acuerdo con una primera realización de la presente invención.
La figura 5 es un diagrama de flujo que ilustra un procedimiento para instalar un perfil de una eUICC de acuerdo con una segunda realización de la presente invención.
La figura 6 es un diagrama de flujo que ilustra un procedimiento para instalar un perfil de una eUICC de acuerdo con una tercera realización de la presente invención.
La figura 7 es un diagrama de bloques que ilustra estructuras de dispositivos de acuerdo con realizaciones de la presente invención.
[Modo de la invención]
La presente invención se refiere a un terminal equipado con un módulo de seguridad interno y se puede aplicar a terminales electrónicos generales tales como un teléfono inteligente, terminal portátil, terminal móvil, PDA (Asistente Digital Personal), terminal de PMP (Reproductor Multimedia Portátil), ordenador portátil, terminal Wibro, TV inteligente, y refrigerador inteligente, y además se aplica a todos los dispositivos o servicios que soportan un módulo de seguridad interno.
La presente invención proporciona un módulo de seguridad interno, servidor que proporciona perfiles, y dispositivo de red que soporta una instalación de perfil para el módulo de seguridad interno.
El módulo de seguridad interno se denomina eSE (Elemento Seguro incorporado), y un ejemplo típico puede ser una eUICC. Las siguientes realizaciones se divulgan principalmente para la eUICC, sin embargo, será claro para los expertos en la técnica que la presente invención puede ser aplicada a diversos tipos de módulo de seguridad interno incluyendo la eUICC. En la presente divulgación, el término "eUICC" puede ser usado de manera intercambiable con un eSIM (Módulo de Identidad de Suscriptor incorporado). La eUICC de acuerdo con diversas realizaciones de la presente invención puede ser instalada en un terminal o añadida al terminal en un tipo desmontable.
Un perfil instalado en un módulo de seguridad interno incluye información de datos tal como una o más aplicaciones, información de autentificación de suscriptor, directorio telefónico almacenado en una UICC. El perfil puede incluir un perfil operativo y un perfil de aprovisionamiento (o perfil de inicialización) de acuerdo con el uso. El perfil operativo está empaquetado en una forma de software, y puede significar información de suscriptor de un terminal servido por una empresa de comunicaciones móviles. El perfil de aprovisionamiento es requerido para conectarse a una cierta red de comunicaciones móviles en un país antes de que un usuario se suscriba a una cierta empresa de comunicaciones, y puede significar un perfil lanzado en una eUICC con antelación. El perfil de aprovisionamiento puede ser usado solo para proporcionar un entorno de conexión de red para descargar un perfil operativo de manera remota y puede incluir la información requerida para conectarse a una cierta red de comunicaciones móviles tal como una IMSi y un valor K.
Un servidor que proporciona perfiles se denomina SM-DP (Preparación de Datos de Gestor de Suscripción), y puede ser usado como significados de entidad fuera de tarjeta de dominio de perfil, servidor de encriptación de perfiles, servidor de generación de perfiles, aprovisionador de perfiles, o proveedor de perfiles.
Un dispositivo de red que soporta la instalación de un perfil en un módulo de seguridad interno puede ser configurado en una forma de servidor incluyendo al menos uno de un dispositivo de encriptación para encriptar o desencriptar un perfil y un dispositivo de almacenamiento para almacenar al menos un perfil. En caso de que el dispositivo de red esté configurado con solo uno del dispositivo de encriptación y el dispositivo de almacenamiento, el dispositivo de red puede ser un dispositivo de encriptación o un dispositivo de almacenamiento en sí mismo. Alternativamente, en caso de que el dispositivo de red esté configurado tanto con el dispositivo de encriptación como con el dispositivo de almacenamiento, el dispositivo de red puede operar como un dispositivo que incluye un dispositivo de encriptación y un dispositivo de almacenamiento o puede ser interpretado como un significado común de incluir un dispositivo de encriptación y un dispositivo de almacenamiento por separado.
El dispositivo de encriptación puede incluir un HSM (Módulo de Seguridad de Hardware) o puede denominarse HSM en sí mismo.
Adicionalmente, se pueden definir y usar diversos términos para una red que soporta una eUICC.
Por ejemplo, como término usado en la presente divulgación, SM-SR (Enrutamiento Seguro de Gestor de Suscripción) puede expresarse como un servidor de gestión de perfiles que toma la función de transmitir un perfil encriptado a una eUICC usando OTA. Adicionalmente, el SM-SR puede expresarse como una entidad fuera de tarjeta de gestor de perfiles de eUICC o un gestor de perfiles.
Adicionalmente, como término usado en la presente divulgación, EID (identificador de eUICC) es un identificador único para distinguir eUICCs instaladas en un terminal, y puede significar una ID de perfil si un perfil de aprovisionamiento está preinstalado en la eUICC, o puede significar una ID de terminal si el terminal y el chip de eUICC (o eSIM) no están separados. Adicionalmente, ID de E-UICC puede indicar un dominio seguro específico de un chip de eSIM.
Adicionalmente, como término usado en la presente divulgación, EIS (Conjunto de Información de eUICC) puede incluir un EID y un ICCID como información de eUICC almacenada en el SM-SR.
Adicionalmente, como término usado en la presente divulgación, EF (Archivo Elemental) puede significar un archivo que almacena información en un perfil de una eUICC que puede almacenar una IMSI y un MSISDN.
Adicionalmente, como término usado en la presente divulgación, MNO (Operador de Red Móvil) puede significar un proveedor de comunicaciones móviles o un sistema del proveedor de comunicaciones móviles.
Adicionalmente, como término usado en la presente divulgación, HSM (Módulo de Seguridad de Hardware) puede significar un módulo para encriptar o desencriptar una clave de contraseña con el fin de no exponer la clave de contraseña.
Los términos específicos que se usan de aquí en adelante se proporcionan para ayudar con el entendimiento la presente invención y pueden modificarse a diversas formas sin apartarse del ámbito técnico de la presente invención.
Los términos y palabras usados en la siguiente descripción y reivindicaciones no están limitados a significados bibliográficos, sino que, son usados simplemente por el inventor para habilitar un entendimiento claro y consecuente de la presente divulgación. Por consiguiente, debería ser evidente para los expertos en la técnica que la siguiente descripción de diversas realizaciones de la presente divulgación se proporciona solamente con propósito de ilustración y no con el propósito de limitar la presente divulgación como se define por las reivindicaciones adjuntas y sus equivalentes.
Debe entenderse que las formas singulares "un", "uno, una", y "el, la" incluyen referentes plurales a menos que el contexto dicte claramente otra cosa. Debe entenderse que los términos tales como "configurar" e "incluir" no siempre incluyen todos los componentes o etapas descritos en la presente divulgación.
De aquí en adelante, se describen en detalle realizaciones de la divulgación con referencia a los dibujos adjuntos. Los mismos símbolos de referencia son usados a lo largo de los dibujos para referirse a las partes iguales o similares. Pueden ser omitidas descripciones detalladas de funciones y estructuras bien conocidas incorporadas en la presente memoria para evitar ocultar la materia objeto de la divulgación. Adicionalmente, los términos descritos de aquí en adelante están definidos considerando funciones en la presente invención y pueden ser cambiados de acuerdo con la intención o práctica de un usuario o un operador. Por lo tanto, los términos deben ser definidos sobre la base del contenido general de la presente divulgación.
La figura 1 ilustra una estructura de una red que soporta una eUICC.
Con referencia a la figura 1, la red que soporta una eUICC puede estar configurada con un terminal 100, servidor 110 de SM, y un MNO 120. El servidor 110 de SM puede estar configurado con un SM-SR 111 y una SM-DP 112.
El terminal 100 incluye una eUlCC 102 instalada como un módulo de seguridad interno. La eUlCC puede tener un EID como un identificador único, y el EID puede estar indicado como un elemento físico o de software en el terminal 100.
El terminal 100 realiza la comunicación de datos conectándose a una red de comunicaciones móviles que corresponde a al menos un perfil almacenado en la eUICC 102 bajo el control de la unidad 101 de control. En particular, un perfil de aprovisionamiento usado para conectarse a una red temporalmente puede ser almacenado en la eUICC 102 de tal manera que el terminal 100 pueda descargar e instalar un perfil que va a ser usado.
El terminal 100 puede realizar la instalación de perfil activando un evento de instalación de perfil. Con más detalle, el terminal 100 transmite una solicitud para un perfil que incluye un EID al SM-SR 111, y recibe un perfil encriptado con una clave de sesión precompartida con la SM-DP 112 a través de un proceso de autentificación del SM-SR. 111. El terminal 100 se conecta a la red de comunicaciones móviles desencriptando el perfil con la clave de sesión.
En diversas realizaciones, el terminal 100 puede compartir una clave de sesión con la SM-DP 112 usando un procedimiento de autentificación digital. Por ejemplo, el terminal 100 puede recibir un certificado de autentificación digital que corresponde a su propia eUICC 112 desde la SM-DP 112 a través del SM-SR 111, generar una clave de sesión usando el certificado de autentificación digital recibido, y transmitir a la SM-DP 112 encriptando la clave de sesión. La SM-DP 112 puede desencriptar la clave de sesión recibida usando el certificado de autentificación digital y transmitir un perfil para la eUICC 112 que corresponde al certificado de autentificación digital al terminal 100 encriptando con la clave de sesión. En caso de usar el procedimiento de autentificación digital, la SM-DP 112 puede encriptar un perfil usando una clave pública generada con el certificado de autentificación digital, y el terminal 100 puede desencriptar el perfil usando una clave secreta (clave privada) generada con el certificado de autentificación digital. El procedimiento de uso de un certificado de autentificación digital ha sido descrito anteriormente como un ejemplo de uso compartido de una clave de sesión, sin embargo, la presente invención no está limitada a esto y puede usar diversos procedimientos de uso compartido de unos algoritmos de autentificación entre la SM-DP 112 y el terminal 100.
El SM-SR 111 gestiona información de perfil para una pluralidad de terminales. El SM-SR 111 puede transmitir un SMS para descargar un perfil a un MSISDn de la eUICC 102 activando un evento de instalación de perfil. En diversas realizaciones, el SM-SR 111 puede realizar una función de transmisión de una clave de sesión encriptada o un perfil encriptado entre la SM-DP 112 y el terminal 100. El SM-SR 111 puede intercambiar datos con el terminal 100 usando una tecnología OTA verificada. A saber, el SM-SR 111 puede transmitir datos al terminal usando una Clave OTA. El SM-SR 111 puede realizar funciones de gestión de perfiles de activación, desactivación, y eliminación de un perfil después de completar la desencriptación e instalación del perfil en la eUICC 102.
La SM-DP 112 genera un perfil para la eUICC 102 instalada en el terminal 100 y encripta el perfil usando una clave de sesión. Si se recibe una solicitud para instalar un perfil de una cierta eUICC 102, la SM-DP 112 puede transmitir el perfil encriptando con una clave de sesión precompartida con la eUICC 102 correspondiente. Alternativamente, si se recibe una clave de sesión verificada del terminal 100, la SM-DP 112 transmite un perfil encriptado con la clave de sesión correspondiente al terminal 100. La SM-DP 112 puede operar directamente por un MNO 120 o por otras empresas que tengan una perfecta relación de confianza con el MNO 120. De acuerdo con una relación comercial o contractual, la SM-DP 112 puede proporcionar un servicio para uno o más MNOs 120.
Puede existir al menos un MNO 120 en una red. El MNO 120 proporciona un servicio de comunicación para el terminal 100. El MNO 120 puede gestionar la SM-DP 112 y ayudar a una instalación de perfil del terminal usando la SM-DP 112 si un usuario del terminal 100 solicita una suscripción a un servicio. Al menos un MNO 120 puede gestionar SM-DPs 112 separadas de manera individual. Alternativamente, una SM-DP 112 puede proporcionar un servicio para una pluralidad de MNOs 120 de acuerdo con una relación contractual de confianza.
De aquí en adelante, se describirá un procedimiento para instalar un perfil para la eUICC en la red ilustrada por la figura 1.
La figura 2 es un diagrama de flujo que ilustra un procedimiento para instalar un perfil de una eUICC. Aunque no se muestra un flujo de datos del SM-SR 2202 entre la SM-DP 230 y la eUICC 210 en la figura 2, el SM-SR 220 puede transmitir la información total o parcial para configurar un perfil y una clave de sesión encriptada por la SM-DP 230 a la eUICC 210, o transmitir la información total o parcial para configurar una clave de sesión encriptada por la eUICC 210 a la SM-DP 230.
Con referencia a la figura 2, la eUICC 210 y la SM-DP 230 generan autentificación de eUICC individual y claves de sesión en la etapa 201.
Con más detalle, la SM-DP 230 genera claves de sesión a través de autentificación para cada eUICC 210 distinguida por un EID y genera un perfil usando la clave de sesión generada. La eUICC 210 puede obtener una clave de sesión a través de un proceso de autentificación en tiempo real y desencriptar el perfil encriptado transmitido desde la SM-DP 230 usando la clave de sesión obtenida.
La SM-DP 230 encripta los perfiles para cada eUICC 210 individualmente con las claves de sesión correspondientes en la etapa 203, y transmite los perfiles a las eUICCs 210 en la etapa 205. La eUICC 210 desencripta e instala el perfil usando la clave de sesión generada en tiempo real a través del proceso de autentificación. Debido a que cada clave de sesión corresponde a cada eUICC 210 una por una, un perfil encriptado por una clave de sesión específica puede ser desencriptado solo por una eUICC 210 específica que corresponde a la clave de sesión.
El proceso anterior se realiza para cada eUICC individualmente cuando la eUICC 210 inicia realmente una instalación de perfil. La SM-DP 230 puede estar equipada con un módulo de encriptación separado para encriptar un perfil, sin embargo, la SM-DP 230 no puede realizar la instalación de perfil correctamente si un gran número de eUICCs solicita la instalación de perfil al mismo tiempo debido a que lleva tiempo para el módulo de encriptación encriptar un perfil. Adicionalmente, si la instalación de perfil se detiene debido a una desconexión de red mientras que se realiza la instalación de perfil individualmente, el perfil no puede ser instalado correctamente para todas las eUICCs 210.
Por consiguiente, puede ser usado un procedimiento eficiente para instalar un perfil almacenando perfiles preencriptados en la SM-DP 230 para un gran número de terminales con antelación de instalar un perfil en la eUICC 210 y transmitir el perfil preencriptado a los terminales cuando se inicia realmente una instalación de perfil. Adicionalmente, se requiere un procedimiento para descargar un perfil de manera independiente de la SM-DP 230 ubicada en una red externa cuando se instala el perfil en la eUICC 210.
De aquí en adelante, se describirá un procedimiento para instalar un perfil que puede proporcionar las características técnicas anteriores de acuerdo con la presente invención.
La figura 3 ilustra una estructura de una red que soporta una eUICC de acuerdo con la presente invención.
Con referencia a la figura 3, la red que soporta una eUICC de acuerdo con la presente invención puede estar configurada con un dispositivo 330 de red que soporta una instalación de perfil de una eUICC.
El dispositivo 330 de red puede estar configurado con al menos uno de un dispositivo 331 de encriptación para encriptar o desencriptar un perfil y un dispositivo 332 de almacenamiento para almacenar al menos un perfil.
El dispositivo 331 de encriptación puede incluir un HSM o puede denominarse HSM en sí mismo, y puede realizar la encriptación y desencriptación de un perfil sin exponer una clave de contraseña.
El dispositivo 332 de almacenamiento almacena al menos un perfil. El dispositivo 332 de almacenamiento puede incluir al menos un medio de un disco duro, RAM (Memoria de Acceso Aleatorio), SRAM (Memoria de Acceso Aleatorio Estático), ROM (Memoria de Solo Lectura), EEPROM (Memoria de Solo Lectura Programable y Borrable Eléctricamente), PROM (Memoria de Solo Lectura Programable), memoria magnética, disco magnético, y disco óptico.
En caso de que el dispositivo 330 de red incluya uno del dispositivo 331 de encriptación y el dispositivo 332 de almacenamiento, el dispositivo 330 de red puede ser el dispositivo 331 de encriptación o el propio dispositivo 332 de almacenamiento. Alternativamente, en caso de que el dispositivo 330 de red incluya tanto el dispositivo 331 de encriptación como el dispositivo 332 de almacenamiento, el dispositivo 330 de red puede operar como un dispositivo que incluye el dispositivo 331 de encriptación y el dispositivo 332 de almacenamiento, o puede ser interpretado como un concepto común de incluir el dispositivo 331 de encriptación y el dispositivo 332 de almacenamiento configurados por separado.
Adicionalmente, el dispositivo 330 de red puede estar configurado con una unidad 333 de comunicación. La unidad 330 de comunicación transmite y recibe datos. Cuando el dispositivo 330 de red opera como un dispositivo que incluye el dispositivo 331 de encriptación y el dispositivo 332 de almacenamiento, la unidad 333 de comunicación puede estar equipada en el dispositivo 330 de red. Por otro lado, cuando el dispositivo 330 de red es interpretado como un concepto común de incluir el dispositivo 331 de encriptación y el dispositivo 332 de almacenamiento configurados por separado, la unidad 333 de comunicación puede ser instalada en cada uno del dispositivo 331 de encriptación y el dispositivo 332 de almacenamiento. En este caso, el dispositivo 331 de encriptación y el dispositivo 332 de almacenamiento pueden intercambiar datos a través de la unidad 333 de comunicación.
El dispositivo 330 de red puede estar configurado en una forma de servidor. Cuando el dispositivo 330 de red opera como un dispositivo que incluye el dispositivo 331 de encriptación y el dispositivo 332 de almacenamiento, el dispositivo 330 de red puede incluir un dispositivo de control separado para controlar el dispositivo 331 de encriptación y el dispositivo 332 de almacenamiento de manera central.
Han sido descritos anteriormente ejemplos de entidades incluidas en una red que soporta una eUICC de acuerdo con la presente invención, sin embargo, se pueden incluir además diversas entidades requeridas para proporcionar e instalar un perfil para una eUICC, y los dispositivos que tienen las mismas o similares funciones pueden estar configurados omitiendo o integrando algunos de ellos. En este caso, las entidades que configuran una red pueden ser modificadas de acuerdo con el ámbito técnico de la presente invención, y si las entidades que configuran la red operan dentro del ámbito técnico de la presente invención, será claro para los expertos en la técnica que las realizaciones correspondientes todavía caen dentro del ámbito de derechos definidos por las reivindicaciones adjuntas.
De aquí en adelante, se describirá con más detalle el procedimiento para instalar un perfil para una eUICC de manera práctica en una red de acuerdo con las realizaciones anteriores de la presente invención.
La figura 4 es un diagrama de flujo que ilustra un procedimiento para instalar un perfil de una eUlCC de acuerdo con una primera realización de la presente invención.
Con referencia a la figura 4, en la primera realización de la presente invención, la SM-DP 410 genera un perfil encriptado con una primera clave de contraseña y la primera clave de contraseña encriptada con una segunda clave de contraseña pareada en la etapa 401.
La SM-DP 410 genera perfiles para una pluralidad de eUICCs 430. La SM-DP 410 puede generar una IMSI y un valor K de una clave secreta como información para configurar los perfiles de cada eUICC 430.
La SM-DP 410 encripta cada perfil con una primera clave de contraseña que corresponde a cada perfil. La primera clave de contraseña es una clave aleatoria generada por un HSM instalado en la SM-DP 410, y puede ser una clave simétrica, clave asimétrica, o clave de sesión SCP 03. La primera clave de contraseña es independiente de la eUICC 430 (es decir, no se mapea a un EID), y corresponde a cada perfil uno por uno. Por consiguiente, un perfil encriptado con la primera clave de contraseña no es para una eUICC 430 específica, y puede ser generado en una forma en volumen. La SM-DP 410 puede generar y almacenar un gran número de perfiles encriptados con la primera clave de contraseña en una forma en volumen. La SM-DP 410 encripta y almacena la primera clave de contraseña con una segunda clave de contraseña. La segunda clave de contraseña puede ser una clave simétrica o una clave asimétrica como una clave maestra. Adicionalmente, la segunda clave de contraseña puede ser usada para la autentificación mutua entre la SM-DP 410 y un dispositivo de red usando una clave precompartida.
La SM-DP 410 transmite el perfil encriptado con la primera clave de contraseña y la primera clave de contraseña encriptada con la segunda contraseña pareada al dispositivo 421 de almacenamiento en la etapa 403. El dispositivo 421 de almacenamiento almacena el perfil encriptado con la primera clave de contraseña y la primera clave de contraseña encriptada con la segunda contraseña pareada en la etapa 405 antes de iniciar una instalación de perfil.
Si la instalación de perfil de la eUICC 430 inicia realmente en un cierto momento, un dispositivo 422 de encriptación desencripta la primera clave de contraseña encriptada con la segunda clave de contraseña y encripta la primera clave de contraseña de nuevo con una tercera clave de contraseña en la etapa 407.
La tercera clave de contraseña es una clave electrónica emitida por eUICCs 430 individuales, y puede ser una clave simétrica o una clave asimétrica. La tercera clave de contraseña es generada por un procedimiento de autentificación digital, y puede estar configurada con una clave pública y una clave secreta generadas pareadas de acuerdo con un procedimiento de autentificación precompartido. La tercera clave de contraseña corresponde a una eUICC 430 una por una, y una tercera clave de contraseña correspondiente solo puede ser desencriptada por una eUICC 430 específica.
El dispositivo 422 de encriptación y la eUICC 430 pueden compartir la tercera clave de contraseña en un procedimiento de uso compartido fuera de línea o un procedimiento de comunicación de red antes o después de iniciar una instalación de perfil. En una realización, el dispositivo 422 de encriptación y la eUICC 430 pueden compartir la tercera clave de contraseña en un procedimiento de uso compartido de un certificado de autentificación digital. A saber, el dispositivo 422 de encriptación y la eUICC 430 tienen el mismo certificado de autentificación digital, y de esa manera pueden realizar autentificación mutua (encriptación y desencriptación de datos) usando una clave pública y una clave secreta generadas pareadas a partir de un certificado de autentificación digital correspondiente.
El dispositivo 422 de encriptación transmite la primera clave de contraseña encriptada con la tercera clave de contraseña a la eUICC 430 en la etapa 409. La eUICC 430 almacena la primera clave de contraseña desencriptando con la tercera clave de contraseña precompartida en la etapa 411.
Subsecuentemente, la eUICC 430 recibe un perfil encriptado con una segunda clave de contraseña del dispositivo 421 de almacenamiento en la etapa 413.
En diversas realizaciones, el dispositivo 420 de red puede transmitir la información total o parcial requerida para configurar un perfil encriptado y una primera clave de contraseña a la eUICC 430.
La eUICC 430 instala un perfil correspondiente después de desencriptar el perfil encriptado con la primera clave de contraseña en la etapa 415.
De acuerdo con la primera realización, la SM-DP 410 puede generar un gran número de perfiles encriptados antes de instalar un perfil de una eUICC 430 sin una limitación de tiempo. Adicionalmente, la SM-DP 410 encripta un perfil y una primera clave de contraseña usada para la encriptación del perfil con una clave de contraseña precompartida con el dispositivo 420 de red, y los almacena en el dispositivo 420 de red con antelación. Por lo tanto, puede ser transmitido un perfil a la eUICC 430 sin una sincronización directa con la SM-DP 410 cuando se instala el perfil.
La figura 5 es un diagrama de flujo que ilustra un procedimiento para instalar un perfil de una eUICC de acuerdo con una segunda realización de la presente invención.
Con referencia a la figura 5, en la segunda realización de la presente invención, una SM-DP 510 genera un perfil encriptado con una segunda clave de contraseña en la etapa 501. Aquí, la SM-DP 510 puede ser un servidor que proporciona perfiles de un fabricante de SIM.
La SM-DP 510 genera perfiles para una pluralidad de eUICCs 540. La SM-DP 510 puede generar una IMSI y un valor K de una clave secreta como información para configurar perfiles de cada eUICC 540.
La SM-DP 510 encripta cada perfil con una segunda clave de contraseña. La segunda clave de contraseña es una clave maestra que puede ser una clave simétrica o una clave asimétrica. Adicionalmente, la segunda clave de contraseña puede ser precompartida entre la SM-DP 510 y el dispositivo 520 de red. La segunda clave de contraseña es independiente de la eUICC 540, y puede corresponder a cada perfil uno por uno, o puede ser idéntica para todo el perfil. El perfil encriptado con la segunda clave de contraseña puede ser generado de manera aleatoria sin fijar a una eUICC 540 específica.
La SM-DP 510 transmite el perfil encriptado con la segunda clave de contraseña a un dispositivo 520 de red en la etapa 503. El dispositivo 520 de red desencripta el perfil encriptado con la segunda clave de contraseña en la etapa 505.
Subsecuentemente, el dispositivo 520 de red genera una primera clave de contraseña directamente en la etapa 507. La primera clave de contraseña es generada aleatoriamente por un dispositivo de encriptación instalado en el dispositivo 520 de red, y puede ser una clave simétrica, clave asimétrica, o clave de sesión SCP 03.
El dispositivo 520 de red genera un perfil encriptado con la primera clave de contraseña reencriptando el perfil con la primera clave de contraseña en la etapa 509.
En una realización, el dispositivo 520 de red puede generar un perfil encriptado en una forma de APDU (Unidad de Datos de Protocolo de Aplicación) remota. La APDU remota es una especie de estándar (ETSI TS 102.226) para transmitir un comando encriptado entre un servidor remoto y una eUICC, y se genera cuando se transmiten datos al dividir con una unidad de búfer de conjunto. El dispositivo 520 de red puede generar la APDU remota reencriptando un perfil con la primera clave de contraseña.
El dispositivo 520 de red transmite la primera clave de contraseña y el perfil encriptado con la primera clave de contraseña a una SM-DP 530 en la etapa 511. Aquí, la SM-DP 530 puede ser un servidor que proporciona perfiles de un SIM o un servidor que proporciona perfiles que opera por separado por un fabricante de terminales. La SM-DP 530 puede almacenar un gran número de primeras claves de contraseña y perfiles encriptados con las primeras claves de contraseña antes de iniciar una instalación de perfil.
Si una instalación de perfil de una eUICC 540 inicia realmente en un cierto momento, la SM-DP 530 encripta la primera clave de contraseña con una tercera clave de contraseña en la etapa 513. La tercera clave de contraseña es una clave electrónica emitida por la eUICC 540 y puede ser una clave simétrica o una clave asimétrica. La tercera clave de contraseña se proporciona mediante un procedimiento de autentificación digital, y se pueden generar una clave pública y una clave secreta pareadas de acuerdo con un procedimiento de autentificación precompartido. La tercera clave de contraseña corresponde a cada eUICC 540 una por una, y de esa manera solo puede ser desencriptada por una eUICC específica que corresponde a la tercera clave de contraseña.
La SM-DP 530 y la eUICC 540 pueden compartir la tercera clave de contraseña en un procedimiento de uso compartido fuera de línea o en un procedimiento de comunicación de red antes o después de iniciar una instalación de perfil. En una realización, la SM-Dp 530 y la eUICC 540 pueden precompartir la tercera clave de contraseña en un procedimiento de uso compartido de un certificado de autentificación digital. A saber, el dispositivo 530 de encriptación y la eUICC 540 tienen el mismo certificado de autentificación digital, y de esa manera pueden realizar una autentificación mutua (encriptación y desencriptación de datos) usando una clave pública y una clave secreta generadas pareadas a partir del certificado de autentificación digital correspondiente.
La SM-DP 530 transmite la primera clave de contraseña encriptada con la tercera clave de contraseña a la eUICC 540 en la etapa 515. En una realización, la SM-DP 530 puede transmitir la primera clave de contraseña a la eUICC 540 de acuerdo con un Escenario #1 de CCCM. El Escenario #1 es uno de tecnologías de memoria descriptiva de plataforma global para encriptar y transmitir una clave de sesión, y se puede realizar transmitiendo una primera clave de contraseña a través de una comunicación directa entre la SM-DP 530 y la eUICC 540 que corresponde a una solicitud para una primera clave de contraseña (o transmisión de una primera clave de contraseña) y responder a la primera clave de contraseña.
La eUICC 540 almacena la primera clave de contraseña desencriptando la primera clave de contraseña con una tercera clave de contraseña precompartida en la etapa 517.
Subsecuentemente, la eUICC 540 realiza una instalación de perfil en base a una APDU remota de la SM-DP 530 en la etapa 519. La eUICC 540 recibe una APDU remota generada encriptando con una primera clave de contraseña de la SM-DP 530, y obtiene un perfil desencriptando la APDU remota con la primera clave de contraseña. Por consiguiente, la eUICC 540 puede instalar el perfil obtenido.
De acuerdo con la segunda realización, la SM-DP 510 puede prealmacenar un gran número de perfiles encriptados generados por un dispositivo de red con antelación de iniciar una instalación de perfil de una eUICC 540 sin una limitación de tiempo. Adicionalmente, la SM-DP 540 habilita una instalación de perfil con menos influencia en un estado de red aprovisionando un perfil encriptado y una primera clave de contraseña usada para la encriptación en base a la APDU remota.
En comparación con la primera realización, la segunda realización puede ser distinguida de la primera realización en el hecho de que el cuerpo principal de generar una primera clave de contraseña y desencriptar un perfil con la primera clave de contraseña se cambia de una SM-DP a un dispositivo de red. Adicionalmente, la segunda realización puede ser distinguida de la primera realización en el hecho de que el cuerpo principal de transmitir un perfil encriptado se cambia de un dispositivo de red a una SM-DP. Por consiguiente, la segunda realización tiene una diferencia de la primera realización en el hecho de que se usa un Escenario #1 de CCCM cuando se transmite una primera clave de contraseña encriptada con una tercera clave de contraseña y se realiza una instalación de perfil en base a una APDU remota.
La figura 6 es un diagrama de flujo que ilustra un procedimiento para instalar un perfil de una eUICC de acuerdo con una tercera realización de la presente invención.
Con referencia a la figura 6, en la tercera realización de la presente invención, la SM-DP 610 genera un perfil encriptado con una primera clave de contraseña en la etapa 601.
La SM-DP 610 genera perfiles para una pluralidad de eUICCs 630. La SM-DP 610 puede generar una IMSI y un valor K de una clave secreta de cada eUICC 630 como información para configurar los perfiles de cada eUICC 630.
La SM-DP 610 encripta cada perfil con una primera clave de contraseña que corresponde a cada perfil. La primera clave de contraseña es generada aleatoriamente por un HSM instalado en la SM-Dp 610, y puede ser una clave simétrica, clave asimétrica, o clave de sesión SCP 03. La primera clave de contraseña es independiente de la eUICC 630 y corresponde a cada perfil uno por uno. Por consiguiente, un perfil encriptado con la primera clave de contraseña no es para una eUICC 650 específica y se genera de una forma en volumen. La SM-DP 610 puede generar y almacenar un gran número de perfiles encriptados con la primera clave de contraseña de una forma en volumen.
La SM-DP 610 transmite el perfil encriptado con la contraseña a un dispositivo 620 de red en la etapa 603. El dispositivo 620 de red almacena el perfil encriptado con la primera contraseña en la etapa 605 con antelación de iniciar una instalación de perfil.
Si una instalación de perfil de una eUICC 630 inicia realmente en un cierto momento, el dispositivo 620 de red determina al menos una eUICC que va a ser instalada con un perfil en la etapa 607. El dispositivo 620 de red puede identificar una eUICC 640 activada por un evento de instalación de perfil de acuerdo con una condición predeterminada o una solicitud de la eUICC 630 o un MNO, y determinar al menos una eUICC que va a ser instalada con un perfil en base al resultado de identificación.
El dispositivo 620 de red transmite información (lista) relacionada con al menos una eUICC que va a ser instalada con un perfil a la SM-DP 610 en la etapa 609. La información relacionada con al menos una eUICC que va a ser instalada con un perfil puede incluir un identificador (EID) de una eUICC correspondiente, identificador de un perfil que va a ser instalado en la eUICC correspondiente, y certificado de autentificación de la eUICC correspondiente.
Si la información relacionada con al menos una eUICC se recibe de la eUICC, la SM-DP 610 encripta la primera clave de contraseña con una tercera clave de contraseña en la etapa 611. La tercera clave de contraseña es una clave electrónica emitida por una eUICC 630, y puede ser una clave simétrica o una clave asimétrica. La tercera clave de contraseña se proporciona en un procedimiento de autentificación digital, y puede estar configurada con una clave pública y una clave secreta generadas pareadas de acuerdo con un procedimiento de autentificación precompartido. La tercera clave de contraseña corresponde a una eUICC 630 una por una, y de esa manera puede ser usada para desencriptación solamente en una eUICC específica que corresponde a una tercera clave de contraseña.
La SM-DP 610 y la eUICC 630 pueden compartir la tercera clave de contraseña en un procedimiento de uso compartido fuera de línea o en un procedimiento de comunicación de red antes o después de iniciar una instalación de perfil. En una realización, la SM-Dp 610 y la eUICC 630 pueden precompartir la tercera clave de contraseña en un procedimiento de uso compartido de un certificado de autentificación digital. A saber, el dispositivo 610 de encriptación y la eUICC 630 tienen el mismo certificado de autentificación digital, y de esa manera pueden realizar autentificación mutua (encriptación y desencriptación de datos) usando una clave pública y una clave secreta generadas pareadas a partir del certificado de autentificación digital correspondiente. En diversas realizaciones, la primera clave de contraseña encriptada con la tercera clave de contraseña puede ser transmitida desde la SM-DP 610 a la eUICC 630 directamente.
La SM-DP 610 transmite la primera clave de contraseña encriptada con la tercera clave de contraseña al dispositivo 620 de red en la etapa 613. El dispositivo 620 de red transmite una segunda clave de contraseña encriptada a la eUICC 630 en la etapa 615. Adicionalmente, el dispositivo 620 de red transmite un perfil encriptado con la primera clave de contraseña a la eUICC 630 en la etapa 617.
La eUlCC 630 obtiene la primera clave de contraseña desencriptando la primera clave de contraseña encriptada con la tercera clave de contraseña en la etapa 619, e instala un perfil correspondiente después de desencriptar el perfil con la primera clave de contraseña obtenida en la etapa 621.
De acuerdo con la tercera realización, el dispositivo 620 de red puede prealmacenar un gran número de perfiles encriptados generados por la SM-DP 610 sin una limitación de tiempo con antelación de iniciar una instalación de perfil de la eUICC 630.
En comparación con la primera realización, la tercera realización es distinguida de la primera realización en el hecho de que la transmisión de una primera clave de contraseña encriptada se realiza solamente para una eUICC solicitada por el dispositivo de red después de iniciar una instalación de perfil.
De aquí en adelante, se describirá una configuración de un dispositivo que opera de acuerdo con las realizaciones de la presente invención.
La figura 7 es un diagrama de bloques que ilustra estructuras de dispositivos de acuerdo con realizaciones de la presente invención.
Con referencia a la figura 7, una SM-DP 700 de acuerdo con una realización de la presente invención puede estar configurada con una unidad 701 de comunicación, unidad 702 de control, y unidad 703 de encriptación.
La unidad 701 de comunicación puede transmitir y recibir datos hacia/desde otros dispositivos. La unidad 701 de comunicación puede transmitir y recibir una clave encriptada y un perfil encriptado. Para esto, la unidad 701 de comunicación puede incluir al menos un módulo de comunicación y una antena.
La unidad 702 de control puede controlar cada componente de la SM-DP 700 para instalar un perfil de acuerdo con la presente invención. Las operaciones detalladas de la unidad 702 de control son las mismas que la descripción anterior.
La unidad 703 de encriptación realiza la encriptación o desencriptación de una clave o un perfil de acuerdo con el control de la unidad 702 de control. La unidad 703 de encriptación puede ser instalada en la unidad 702 de control o proporcionada en una forma de código de software accionada por la unidad 702 de control.
Con referencia a la figura 7, un dispositivo 710 de red de acuerdo con una realización de la presente invención puede estar configurado con un dispositivo 711 de comunicación, dispositivo 712 de encriptación, y dispositivo 713 de almacenamiento.
El dispositivo 711 de comunicación puede transmitir o recibir datos hacia/desde otros dispositivos. El dispositivo 711 de comunicación puede transmitir o recibir una clave encriptada o un perfil encriptado. Para esto, el dispositivo 711 de comunicación puede incluir al menos un módulo de comunicación y una antena.
En diversas realizaciones, si el dispositivo 710 de red opera como un dispositivo que incluye el dispositivo 712 de encriptación y el dispositivo 713 de almacenamiento, el dispositivo 711 de comunicación puede ser instalado en el dispositivo 710 de red. Alternativamente, si el dispositivo 710 de red es interpretado como un concepto común de incluir el dispositivo 712 de encriptación y el dispositivo 713 de almacenamiento configurados por separado, el dispositivo 711 de comunicación puede ser instalado en el dispositivo 712 de encriptación y el dispositivo 713 de almacenamiento de manera individual. En este caso, el dispositivo 712 de encriptación y el dispositivo 713 de almacenamiento pueden transmitir y recibir datos entre sí a través del dispositivo 711 de comunicación.
El dispositivo 712 de encriptación puede incluir un HSM o denominado HSM en sí mismo, y puede realizar la encriptación y desencriptación sin exponer una clave de contraseña.
El dispositivo 713 de almacenamiento almacena al menos un perfil. El dispositivo 713 de almacenamiento puede incluir al menos un medio de un disco duro, RAM (Memoria de Acceso Aleatorio), SRAM (Memoria de Acceso Aleatorio Estático), ROM (Memoria de Solo Lectura), EEPROM (Memoria de Solo Lectura Programable y Borrable Eléctricamente), PROM (Memoria de Solo Lectura Programable), memoria magnética, disco magnético, y disco óptico.
El dispositivo 710 de red puede estar configurado en una forma de servidor. En caso de que el dispositivo 710 de red opere como un dispositivo que incluye un dispositivo 712 de encriptación y un dispositivo 713 de almacenamiento, el dispositivo 710 de red puede incluir un dispositivo de control separado para controlar el dispositivo 712 de encriptación y el dispositivo 713 de almacenamiento de manera central.
Con referencia a la figura 7, un terminal 720 de acuerdo con una realización de la presente invención puede estar configurado con una unidad 721 de comunicación, unidad 722 de control, y eUICC 723.
La unidad 721 de comunicación puede transmitir o recibir hacia/desde otros dispositivos. La unidad 721 de comunicación puede recibir una clave encriptada y un perfil encriptado. Para esto, la unidad 721 de comunicación puede incluir al menos un módulo de comunicación y una antena.
La unidad 722 de control puede controlar cada componente del terminal 720 para instalar un perfil de acuerdo con la presente invención. Las operaciones detalladas de la unidad 722 de control son las mismas que la descripción anterior.
Una eUICC 723 es un chip de UICC instalado en el terminal 720, y realiza funciones de almacenamiento, gestión, y eliminación de al menos un perfil. El perfil incluye información de datos tales como una o más aplicaciones, información de autentificación de suscriptor, y agenda telefónica.
Las realizaciones anteriores de la presente invención ilustradas por los dibujos adjuntos han sido sugeridas para un entendimiento más fácil de la presente invención y no limitan el ámbito de la presente invención. Adicionalmente, será entendido por los expertos en la técnica que se pueden hacer diversos cambios en forma y detalles en la misma sin apartarse del ámbito de la presente divulgación como se define por las reivindicaciones adjuntas.

Claims (12)

REIVINDICACIONES
1. Un procedimiento de instalación de un perfil de una Tarjeta de Circuito Integrado Universal incorporada, eUlCC, realizado por un dispositivo (330, 420, 710) de red, comprendiendo el procedimiento:
adquirir, de un servidor (410, 510, 700) de Preparación de Datos de Gestor de Suscripción, SM-DP, al menos un perfil encriptado con una primera clave de contraseña y una primera clave de contraseña encriptada que está encriptada con una segunda clave de contraseña; desencriptar la primera clave de contraseña encriptada encriptada con la segunda clave de contraseña y reencriptar la primera clave de contraseña con una tercera clave de contraseña; y
transmitir, a al menos una eUlCC, el al menos un perfil encriptado y la primera clave de contraseña encriptada que está reencriptada con una tercera clave de contraseña en base al inicio de una instalación de perfil para la al menos una eUICC,
en el que el al menos un perfil encriptado es desencriptado por la primera clave de contraseña e instalado en la al menos una eUlCC, respectivamente.
2. El procedimiento de la reivindicación 1, en el que la adquisición comprende:
recibir el al menos un perfil encriptado con la primera clave de contraseña y la primera clave de contraseña encriptada que está encriptada con la segunda clave de contraseña del servidor (410, 510, 700) de Preparación de Datos de Gestor de Suscripción, SM-DP, y en el que la transmisión comprende:
desencriptar la primera clave de contraseña encriptada que está encriptada con la segunda clave de contraseña;
reencriptar la primera clave de contraseña desencriptada con la tercera clave de contraseña; y transmitir la primera clave de contraseña encriptada que está encriptada con la tercera clave de contraseña y el al menos un perfil encriptado con la primera clave de contraseña a la al menos una eUlCC.
3. El procedimiento de la reivindicación 2,
en el que la transmisión comprende:
transmitir una lista de eUlCC para instalar perfiles a la SM-DP;
recibir la primera clave de contraseña encriptada con la tercera clave de contraseña de la SM-DP; y transmitir la primera clave de contraseña encriptada que está encriptada con la tercera clave de contraseña y el al menos un perfil encriptado con la primera clave de contraseña a la al menos una eUlCC incluida en la lista de eUCC.
4. El procedimiento de la reivindicación 1, en el que la primera clave de contraseña es una clave aleatoria generada para encriptar al menos un perfil que corresponde a al menos un perfil, y
en el que la tercera clave de contraseña es una clave de sesión generada para encriptar la primera clave de contraseña que corresponde a la al menos una eUlCC.
5. Un procedimiento para habilitar la instalación de un perfil de una Tarjeta de Circuito lntegrado Universal incorporada, eUlCC, realizada por un servidor (410, 510, 700) de Preparación de Datos de Gestor de Suscripción, SM-DP, comprendiendo el procedimiento: generar (401) y transmitir (403), a un dispositivo (330, 420, 710) de red, al menos un perfil encriptado con una primera clave de contraseña y una primera clave de contraseña encriptada que está encriptada con una segunda clave de contraseña.
6. El procedimiento de la reivindicación 5, en el que la primera clave de contraseña es una clave aleatoria generada para encriptar al menos un perfil que corresponde a al menos un perfil.
7. Un dispositivo (330, 420, 710) de red para instalar un perfil de una Tarjeta de Circuito lntegrado Universal incorporada, eUlCC, comprendiendo el dispositivo de red:
una unidad (333, 711) de comunicación; y
un dispositivo (331, 332, 712, 713) de control configurado para controlar para:
adquirir, de un servidor (410, 510, 700) de Preparación de Datos de Gestor de Suscripción, SM-DP, al menos un perfil encriptado con una primera clave de contraseña y una primera clave de contraseña encriptada que está encriptada con una segunda clave de contraseña,
desencriptar la primera clave de contraseña encriptada encriptada con la segunda clave de contraseña y reencriptar la primera clave de contraseña con una tercera clave de contraseña; y transmitir, a al menos una eUlCC, el al menos un perfil encriptado y la primera clave de contraseña encriptada que está reencriptada con una tercera clave de contraseña en base al inicio de una instalación de perfil para la al menos una eUlCC,
en el que el al menos un perfil encriptado es instalado en la al menos una eUlCC desencriptando con la primera clave de contraseña.
8. El dispositivo de red de la reivindicación 7, en el que el dispositivo de control está configurado para controlar para:
recibir el al menos un perfil encriptado con la primera clave de contraseña y la primera clave de contraseña encriptada que está encriptada con la segunda clave de contraseña del servidor (410, 510, 700) de Preparación de Datos de Gestor de Suscripción, SM-DP,
desencriptar la primera clave de contraseña encriptada que está encriptada con la segunda clave de contraseña,
reencriptar la primera clave de contraseña desencriptada con la tercera clave de contraseña; y transmitir la primera clave de contraseña encriptada que está encriptada con la tercera clave de contraseña y el al menos un perfil encriptado con la primera clave de contraseña a la al menos una eUlCC.
9. El dispositivo de red de la reivindicación 8, en el que el dispositivo de control está configurado para controlar para:
transmitir una lista de eUlCC para instalar perfiles a la SM-DP,
recibir la primera clave de contraseña encriptada con la tercera clave de contraseña de la SM-DP, y transmitir la primera clave de contraseña encriptada que está encriptada con la tercera clave de contraseña y el al menos un perfil encriptado con la primera clave de contraseña a la al menos una eUlCC incluida en la lista de eUICC.
10. El dispositivo de red de la reivindicación 7, en el que la primera clave de contraseña es una clave aleatoria generada para encriptar al menos un perfil que corresponde a al menos un perfil, y
en el que la tercera clave de contraseña es una clave de sesión generada para encriptar la primera clave de contraseña que corresponde a la al menos una eUlCC.
11. Un servidor (410, 510, 700) de Preparación de Datos de Gestor de Suscripción, SM-DP, para habilitar la instalación de un perfil de una Tarjeta de Circuito Integrado Universal incorporada, eUlCC, comprendiendo el servidor de SM-DP:
una unidad de comunicación; y
una unidad de control configurada para controlar para: generar (401) y transmitir (403), a un dispositivo (330, 420, 710) de red al menos un perfil encriptado con una primera clave de contraseña y una primera clave de contraseña encriptada que está encriptada con una segunda clave de contraseña.
12. El servidor de SM-DP de la reivindicación 11, en el que la primera clave de contraseña es una clave aleatoria generada para encriptar al menos un perfil que corresponde a al menos un perfil.
ES15821440T 2014-07-17 2015-07-10 Procedimiento y dispositivo para instalar perfil de eUICC Active ES2848098T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020140090591A KR102160597B1 (ko) 2014-07-17 2014-07-17 eUICC의 프로파일 설치 방법 및 장치
PCT/KR2015/007215 WO2016010312A1 (ko) 2014-07-17 2015-07-10 Euicc의 프로파일 설치 방법 및 장치

Publications (1)

Publication Number Publication Date
ES2848098T3 true ES2848098T3 (es) 2021-08-05

Family

ID=55078741

Family Applications (1)

Application Number Title Priority Date Filing Date
ES15821440T Active ES2848098T3 (es) 2014-07-17 2015-07-10 Procedimiento y dispositivo para instalar perfil de eUICC

Country Status (7)

Country Link
US (1) US10476671B2 (es)
EP (1) EP3171622B1 (es)
JP (1) JP6580669B2 (es)
KR (1) KR102160597B1 (es)
CN (1) CN106537961B (es)
ES (1) ES2848098T3 (es)
WO (1) WO2016010312A1 (es)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3010264A1 (en) * 2014-10-16 2016-04-20 Gemalto Sa Method to manage subscriptions in a provisioning server
KR102284954B1 (ko) * 2015-04-08 2021-08-03 삼성전자 주식회사 무선 통신 시스템에서 단말에 프로파일을 다운로드 하는 방법 및 장치
US10574465B2 (en) * 2016-05-18 2020-02-25 Apple Inc. Electronic subscriber identity module (eSIM) eligibility checking
CN106465095B (zh) * 2016-07-29 2018-07-24 北京小米移动软件有限公司 信息写入方法及装置
US9992607B2 (en) 2016-10-07 2018-06-05 Microsoft Technology Licensing, Llc eSIM identification data
US11356931B2 (en) * 2016-10-20 2022-06-07 T-Mobile Usa, Inc. WLAN assisted cellular network discovery and selection
CN110352605B (zh) * 2017-03-31 2020-12-08 华为技术有限公司 一种鉴权算法程序的添加方法、相关设备及系统
US10057761B1 (en) * 2017-05-31 2018-08-21 T-Mobile Usa, Inc. Capability- and user-based profile downloads for networked devices
US10356604B2 (en) * 2017-07-20 2019-07-16 T-Mobile Usa, Inc. eSIM profile reuse for eUICCs
US10362475B2 (en) * 2017-07-20 2019-07-23 T-Mobile Usa, Inc. Subscription management service data feeds
KR102424358B1 (ko) 2017-11-30 2022-07-22 삼성전자주식회사 통신 서비스를 제공하는 방법 및 전자 장치
DE102018209892A1 (de) * 2018-06-19 2019-12-19 Robert Bosch Gmbh Verfahren und Vorrichtung zum Verarbeiten von Daten
CN108966204A (zh) * 2018-06-28 2018-12-07 努比亚技术有限公司 一种虚拟sim卡开户方法、装置、设备及存储介质
CN109089256A (zh) * 2018-08-27 2018-12-25 深圳杰睿联科技有限公司 电子sim卡终端的连接管理系统、用户终端及应用程序
CN109286927B (zh) * 2018-10-11 2021-07-20 中国联合网络通信集团有限公司 一种eSIM模组数据安全的保护方法及装置
IT201800009905A1 (it) * 2018-10-30 2020-04-30 St Microelectronics Srl Procedimento per la generazione di dati personalizzati di profile package in carte a circuito integrato, corrispondente sistema e prodotto informatico
US10911945B1 (en) * 2018-11-19 2021-02-02 Sprint Spectrum L.P. Automated eUICC service profile configuration in view of operational issue with respect to eUICC service profile
DE102019003674A1 (de) * 2019-05-24 2020-11-26 Giesecke+Devrient Mobile Security Gmbh Verfahren zum einrichten eines subskriptions-profils, verfahren zum bereitstellen eines subskriptions-profils, teilnehmeridentitätsmodul
CN110505619B (zh) * 2019-09-12 2022-04-01 恒宝股份有限公司 一种eSIM远程配置中的数据传输方法
GB2588088B (en) 2019-09-30 2023-07-19 Truphone Ltd Managing a secure element
CN112733133B (zh) * 2019-10-14 2024-04-19 中国移动通信有限公司研究院 嵌入式通用集成电路卡访问控制方法、装置及存储介质
US11516003B2 (en) * 2020-04-03 2022-11-29 Apple Inc. Electronic subscriber identity module transfer credential wrapping
CN111479259B (zh) * 2020-05-07 2021-08-17 深圳杰睿联科技有限公司 Sim卡配置分发方法及系统
EP3930361A1 (en) * 2020-06-23 2021-12-29 Koninklijke Philips N.V. System and method for operating a user device with personalized identity module profiles
CN111866981A (zh) * 2020-09-07 2020-10-30 中国联合网络通信集团有限公司 一种运营商网络切换方法和系统
US20240031805A1 (en) * 2020-11-13 2024-01-25 Telefonaktiebolaget Lm Ericsson (Publ) Download of a subscription profile to a communication device
CN113204378B (zh) * 2021-04-21 2024-07-19 深圳市广和通无线股份有限公司 配置文件状态同步方法、装置、终端、服务器和存储介质
US20250193654A1 (en) * 2022-03-10 2025-06-12 Telefonaktiebolaget Lm Ericsson (Publ) Download of a Subscription Profile to a Communication Device
US12543044B2 (en) * 2022-10-27 2026-02-03 Dell Products Lp Systems and methods of automatic out-of-band (OOB) restricted cellular connectivity for set up provisioning of managed client information handling systems
US12477321B2 (en) 2022-11-14 2025-11-18 Dish Wireless L.L.C. Enterprise profile associated with a subscriber identity module (SIM)
US12452645B2 (en) 2022-12-30 2025-10-21 Dish Wireless L.L.C. Coverage based machine to machine (M2M) subscriber identity module (SIM) download
WO2025175117A1 (en) * 2024-02-16 2025-08-21 Google Llc In-factory esim profile provisioning using a group key

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7953978B2 (en) * 2006-09-07 2011-05-31 International Business Machines Corporation Key generation and retrieval using key servers
EP2601771B1 (en) 2010-08-05 2014-06-18 Gemalto SA System and method for securely using multiple subscriber profiles with a security component and a mobile telecommunications device
US8924715B2 (en) * 2010-10-28 2014-12-30 Stephan V. Schell Methods and apparatus for storage and execution of access control clients
US8555067B2 (en) 2010-10-28 2013-10-08 Apple Inc. Methods and apparatus for delivering electronic identification components over a wireless network
EP2461613A1 (en) 2010-12-06 2012-06-06 Gemalto SA Methods and system for handling UICC data
US8707022B2 (en) * 2011-04-05 2014-04-22 Apple Inc. Apparatus and methods for distributing and storing electronic access clients
US9009475B2 (en) 2011-04-05 2015-04-14 Apple Inc. Apparatus and methods for storing electronic access clients
KR20130006258A (ko) 2011-07-08 2013-01-16 주식회사 케이티 동적 키 생성 기반의 내장 sim의 mno 변경방법 및 그를 위한 내장 sim과 기록매체
WO2013036011A2 (ko) 2011-09-05 2013-03-14 주식회사 케이티 내장 uicc의 프로파일 관리방법 및 그를 이용한 내장 uicc, 내장 uicc 탑재 단말과, 프로비저닝 방법 및 mno 변경 방법
KR101954450B1 (ko) 2011-09-05 2019-05-31 주식회사 케이티 내장 uicc의 인증정보를 이용한 인증방법과, 그를 이용한 프로비저닝 및 mno 변경 방법, 그를 위한 내장 uicc, mno 시스템 및 기록매체
WO2013036010A1 (ko) 2011-09-05 2013-03-14 주식회사 케이티 내장 uicc의 인증정보를 이용한 인증방법과, 그를 이용한 프로비저닝 및 mno 변경 방법, 그를 위한 내장 uicc, mno 시스템 및 기록매체
KR102001869B1 (ko) 2011-09-05 2019-07-19 주식회사 케이티 eUICC의 프로파일 관리방법 및 그를 이용한 eUICC, eUICC 탑재 단말과, 프로비저닝 방법 및 MNO 변경 방법
MX342702B (es) * 2012-02-14 2016-10-10 Apple Inc Metodos y aparato para distribucion a gran escala de clientes de acceso electronico.
US8843179B2 (en) 2012-05-11 2014-09-23 Li Li Provisioning an embedded subscriber identity module
CN103546886B (zh) 2012-07-17 2016-09-07 中国移动通信集团公司 通用集成电路卡的数据配置方法、装置及系统
US9264413B2 (en) 2012-12-06 2016-02-16 Qualcomm Incorporated Management of network devices utilizing an authorization token
KR102138315B1 (ko) * 2013-05-30 2020-07-27 삼성전자주식회사 프로파일 설치를 위한 방법 및 장치

Also Published As

Publication number Publication date
US20170155507A1 (en) 2017-06-01
JP6580669B2 (ja) 2019-09-25
EP3171622A4 (en) 2018-04-04
US10476671B2 (en) 2019-11-12
JP2017523704A (ja) 2017-08-17
KR102160597B1 (ko) 2020-09-28
CN106537961B (zh) 2020-04-28
WO2016010312A1 (ko) 2016-01-21
EP3171622A1 (en) 2017-05-24
CN106537961A (zh) 2017-03-22
KR20160009969A (ko) 2016-01-27
EP3171622B1 (en) 2021-01-06

Similar Documents

Publication Publication Date Title
ES2848098T3 (es) Procedimiento y dispositivo para instalar perfil de eUICC
CN111434087B (zh) 用于提供通信服务的方法和电子设备
US10638314B2 (en) Method and apparatus for downloading a profile in a wireless communication system
ES2979346T3 (es) Comunicación segura con un dispositivo móvil
US11025611B2 (en) Method and apparatus of constructing secure infra-structure for using embedded universal integrated circuit card
EP3277002B1 (en) Method and apparatus for downloading profile in wireless communication system
ES2925633T3 (es) Aparato y procedimiento para la instalación de un perfil en el sistema de comunicación
ES2647088T3 (es) Procedimientos y dispositivos para la gestión de suscripciones OTA
KR102001869B1 (ko) eUICC의 프로파일 관리방법 및 그를 이용한 eUICC, eUICC 탑재 단말과, 프로비저닝 방법 및 MNO 변경 방법
US10356614B2 (en) Secure electronic subscriber identity module (eSIM) restoration
CN110169102B (zh) 隐私保护的方法及设备
KR102173534B1 (ko) 이동통신사업자 정보 제공 방법 및 이를 수행하는 장치
US20170064552A1 (en) Profile download method and apparatus for use in wireless communication system
BRPI1106659A2 (pt) métodos e aparelho para fornecerem componentes de identificação eletrônica em uma rede sem fio
ES2985229T3 (es) Terminal de comunicación, dispositivo de red, método de comunicación y método de desocultación
WO2019056957A1 (zh) 数据处理、身份认证方法及系统、终端
KR20140140882A (ko) 프로파일 설정 방법 및 장치
ES2938009T3 (es) Método y aparatos para garantizar un acoplamiento seguro en protocolos de autenticación con restricciones de tamaño
EP3281431B1 (en) Uicc key provisioning
EP4679877A1 (en) Temporary encryption key management method and apparatus for profile provisioning in wireless communication system
ES2667104T3 (es) Un método y sistema para crear un canal de comunicación seguro entre dos módulos de seguridad
ES2865293T3 (es) Dispositivo electrónico que comprende un módulo seguro que soporta un modo de gestión local de configurar de un perfil de abonado
US20200092277A1 (en) Method for binding a terminal application to a security element and corresponding security element, terminal application and server