CN111373779B - 用于向证书容器临时分配订阅的方法 - Google Patents
用于向证书容器临时分配订阅的方法 Download PDFInfo
- Publication number
- CN111373779B CN111373779B CN201880059639.3A CN201880059639A CN111373779B CN 111373779 B CN111373779 B CN 111373779B CN 201880059639 A CN201880059639 A CN 201880059639A CN 111373779 B CN111373779 B CN 111373779B
- Authority
- CN
- China
- Prior art keywords
- subscription
- identifier
- imsi
- hss
- communication device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
- H04W8/205—Transfer to or from user equipment or user record carrier
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/04—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种用于使被嵌入到无线通信设备(300)中的证书容器通过第一无线网络(MNO1)而获得临时无线连接性的方法,所述证书容器被供应有对无线通信设备或证书容器进行标识的标识符ID以及预加载的订阅简档,所述预加载的订阅简档包括关联到第二网络运营商(MNO2)的国际移动订阅标识符(IMSI)的范围。
Description
技术领域
本发明涉及一种用于向可以被嵌入到机器类型通信(MTC)设备中的证书容器(诸如eUICC或UICC)临时分配订阅的方法。它可适用于目的在于在物联网(IoT)***中提供连接性的技术领域。
背景技术
根据国际电信研究所提供的推荐ITU-T Y.2060,物联网(IoT)被限定为用于信息社会的全球基础设施,从而通过基于现有和演进的可互操作信息以及通信技术来互连物理和虚拟事物而使得能够实现先进的服务。事物是物理世界(物理事物)或信息世界(虚拟事物)的对象,其能够被标识并且被集成到通信网络中。目前,IoT一般被应用在诸如以下各项的领域中:安全监督、自动售货机、公共交通***、载具监控和管理、工业过程自动化、机动机械、城市信息化。
在本描述中,表述IoT设备是指一件具有通信能力以及可选地数据捕获、感测、数据存储、感测和/或数据处理能力的装备。IoT设备包括例如无线通信模块(也被称为机器类型通信(MTC)或机器对机器(M2M)模块),所述无线通信模块允许通过UMTS/HSDPA、CDMA/EVDO、LTE、5G或其它网络演进而从一个IoT设备向另一个传送数据或在机器之间交换数据。
GSM协会(GSMA)已经在2016年5月提供了被称为“用于嵌入式UICC技术规范的远程供应架构”的嵌入式SIM规范的3.1版本。该规范提供用于机器对机器(M2M)连接的远程供应和管理的事实上(de-facto)的标准机制,从而允许对初始运营商订阅的“通过空中(overthe air)”供应,以及对订阅从一个运营商到另一个的后续改变。包括IoT设备的蜂窝式设备一般需要用于它们的永久订阅,以便能够通过无线网络来交换数据。IoT设备有时被设计成通过无线网络、例如与服务提供商(SP)操控的服务器偶发地交换数据。该类型的IoT设备需要永久订阅,所述永久订阅可以在任何时间被使用而不管以下事实:仅仅在被长时间间隔分离的小时间段内需要连接性。结果是:除了对于在运营商网络中标识并且管理IoT设备而言所需要的所有资源之外,还为每个IoT设备永久地分配诸如(IMSI)之类的订阅标识符。这意味着显著的关联成本,例如尽管是有限的订阅使用也要操作OSS和BSS服务器。
发明内容
本发明涉及一种用于使被嵌入到无线通信设备中的证书容器通过无线网络而获得临时无线连接性的方法,所述证书容器被供应有对无线通信设备或所述证书容器进行标识的标识符ID并且此外被供应有预加载的订阅简档,所述预加载的订阅简档包括关联到第二网络运营商的国际移动订阅标识符的范围,所述方法包括当无线通信设备需要通过无线网络交换数据的时候被应用的以下步骤:
-通过所述证书容器来在预加载的订阅简档中所记忆的IMSI号的范围中随机地选择一IMSI号;
-发送附连请求,所述附连请求包括随机选择的IMSI以使得它将由关联到第二网络运营商的计算机服务器T-HSS所接收,计算机服务器T-HSS被适配成生成用于得到标识符的请求;
-在认证请求消息中接收所述用于得到标识符的请求;
-作为响应,向计算机服务器T-HSS发送认证失败消息,所述认证失败消息包括同步失败的指示以及标识符ID,使得计算机服务器T-HSS知道无线通信设备请求临时的无线连接性;
- 在认证请求消息中接收:与计算机服务器T-HSS从订阅池中所选的订阅相关联的临时分配的IMSI,所述订阅使得能够实现与第一移动网络运营商所运营的网络的连接性;以及持续时间参数,使得无线通信设备能够在持续时间参数中所指示的有限的持续时间内、通过第一移动网络运营商所运营的移动无线网络来进行通信。
根据示例,所述证书容器是嵌入式UICC(eUICC)。
根据示例,所述标识符ID是eUICC标识符或集成电路卡标识符ICCID。
根据示例,通过使用RAND或AUTN字段中的至少一个而在认证请求消息中接收用于得到eUICC标识符的请求。
根据示例,接收认证请求消息,其除了用于得到标识符ID的请求之外还具有新的移动订阅标识号(MSIN),新的移动订阅标识号(MSIN)和用于得到标识符ID的请求在认证请求消息的RAND或AUTN字段中的至少一个中被接收。
根据示例,所述标识符ID被传送到认证失败消息的AUTS字段中。
根据示例,承载用于得到标识符ID的请求的认证请求消息以及承载临时分配的IMSI的认证请求消息是从对无线通信设备的移动性进行管理的服务器所接收的。
根据示例,所述方法包括一步骤,其中一旦t-IMSI被所述证书容器接收到,就从连同临时t-IMSI一起接收到的运营商变体算法配置字段(OPc)中导出安全密钥Ki。
本发明还涉及一种证书容器,所述证书容器被配置成被嵌入到无线通信设备中并且通过无线网络而获得临时无线连接性,所述证书容器被供应有对无线通信设备或所述证书容器进行标识的标识符ID并且还被供应有预加载的订阅简档,所述预加载的订阅简档包括关联到第二网络运营商MNO2的国际移动订阅标识符的范围,嵌入式UICC被配置成当无线通信设备需要通过无线网络交换数据的时候:
-通过所述证书容器来在预加载的订阅简档中所记忆的IMSI号的范围中随机地选择一IMSI号;
-发送附连请求,所述附连请求包括随机选择的IMSI以使得它将由关联到第二网络运营商MNO2的计算机服务器T-HSS所接收,计算机服务器T-HSS被适配成生成用于得到标识符ID的请求;
-在认证请求消息中接收所述用于得到标识符ID的请求;
-作为响应,向计算机服务器T-HSS发送认证失败消息,所述认证失败消息包括同步失败的指示以及标识符ID,使得计算机服务器能够将所述证书容器标识为请求临时分配的订阅;
-在认证请求消息中接收:与计算机服务器T-HSS从订阅池中所选的订阅相关联的临时分配的IMSI,所述订阅使得能够实现与第一移动网络运营商MNO1所运营的网络的连接性;以及持续时间参数,使得无线通信设备能够在持续时间参数中所指示的有限的持续时间内、通过第一移动网络运营商MNO1所运营的移动无线网络来进行通信。
根据示例,所述证书容器是嵌入式UICC(eUICC)。
根据示例,所述标识符ID是集成电路卡标识符ICCID。
根据示例,通过使用RAND或AUTN字段中的至少一个而在认证请求消息(313)中接收用于得到eUICC标识符(EID)的请求。
根据示例,接收认证请求消息,其除了用于得到eUICC标识符的请求之外还具有新的移动订阅标识号(MSIN),新的移动订阅标识号(MSIN)和用于得到eUICC标识符的请求在认证请求消息的RAND或AUTN字段中的至少一个中被接收。
根据示例,所述eUICC标识符被传送到认证失败消息的AUTS字段中。
本发明还涉及一种服务器计算机T-HSS,所述服务器计算机T-HSS关联到第二移动网络运营商MNO2,并且被配置成向被嵌入到无线通信设备中的证书容器临时地分配订阅,以用于通过无线网络来为它提供临时无线连接性,所述证书容器此外被供应有对无线通信设备或所述证书容器进行标识的标识符ID,并且此外被供应有预加载的订阅简档,所述预加载的订阅简档包括关联到第二移动网络运营商MNO2的国际移动订阅标识符(IMSI)的范围,计算机服务器T-HSS被配置成:
- 通过接收由所述证书容器所随机选择的订阅标识符R-IMSI来检测在其上嵌入了所述证书容器的无线通信设备需要临时分配的订阅;
- 请求无线通信设备提供标识符ID;
- 在同步误差消息中接收标识符ID;
- 从订阅池中选择订阅,其将针对嵌入所述证书容器的无线通信设备所标识的需要考虑在内,所述所选的订阅被关联到第一移动网络运营商MNO1;
- 确定在其期间无线通信设备被授权使用所选的订阅的持续时间;
- 为所述证书容器提供与所选的订阅相关联的临时分配的IMSI(t-IMSI)以及对无线通信设备能够使用临时分配的订阅的所述持续时间进行表示的参数。
根据示例,计算机服务器T-HSS被配置成与嵌入式UICC(eUICC)类型的证书容器协作。
根据示例,所述标识符ID是eUICC标识符或集成电路卡标识符ICCID。
根据示例,与时间参考相对应的参数被提供给eUICC,以用于精确地指示在其之后可以使用临时分配的订阅的时间。
根据示例,通过使用表示以下各项的至少一个信息项来分析无线通信设备的需要:所需的服务品质、无线通信设备的定位、用于该通信设备的数据交换的典型持续时间。
根据示例,选择临时分配的订阅的过程将分配在订阅池中维护的订阅所意味着的代价考虑在内,以便最小化临时分配所意味着的成本。
附图说明
在阅读了本发明的一个优选实施例的详细描述之后,本发明的附加特征和优点将更清楚地可理解,所述详细描述作为指示性且非限制性的示例、结合以下附图被给出:
- 图1示意性地图示了允许向IoT设备临时分配订阅的***;
- 图2图示了在认证信令中所传达的IMSI类型的订阅标识符的格式;
- 图3图示了允许由IoT设备触发订阅的临时分配的序列图;
- 图4是流程图的示例,其图示了可以由T-HSS服务器实施以用于向给定的IoT设备临时分配订阅简档的步骤。
具体实施方式
图1示意性地图示了允许向IoT设备临时分配订阅的***。
根据该示例,IoT设备100嵌入证书容器。证书容器是由硬件和/或软件所组成的飞地(enclave),在所述飞地中可以供应允许设置与无线网络的通信信道的至少一个证书的集合。证书容器的示例是嵌入式通用集成电路卡(eUICC),其也被称为嵌入式SIM(eSIM)。它是指被设计成管理多个移动网络运营商订阅的安全元件。它以各种形状因数可用——要么被***要么被焊接,并且由eUICC制造商(EUM)来制造。eUICC因此容易集成在任何种类的设备中。
本发明的以下实施例在嵌入了eUICC的IoT设备的上下文中被描述。然而,技术人员将领会到本发明还可以被应用到其它类型的证书容器,诸如被安装在IoT设备中的传统UICC、集成UICC(iUICC)或软SIM。此外,所描述的技术不局限于IoT设备,并且还可以被实现以用于管理诸如智能电话、平板设备或膝上型电脑之类的通信设备的连接性。
根据图1中所图示的示例,没有任何移动网络运营商(MNO)永久地关联到给定的IoT设备。然而,被指定为T-HSS的服务器被适配用于向IoT设备临时分配订阅。根据示例,由eUICC制造商(EUM)来运营T-HSS服务器。该T-HSS服务器向所谓的服务提供商(SP)提供服务,所述服务提供商(SP)的功能是要提供、收集和处理与IoT设备所交换的数据。
所描述的***基于T-HSS服务器103和订户模块(例如eUICC)的使用。
归属订户服务器(HSS)是数据库服务器,其被使用在长期演进(LTE)网络中以用于用户标识和寻址、存储用户简档信息、相互的网络-用户认证、加密和身份保护。T-HSS是被修改以实现下文中描述的方法的HSS。它不一定包括在依从3GPP的HSS中所实现的所有功能。技术人员将理解到T-HSS是此处为了示例性目的而提出的一种类型的服务器。其它类型的发现服务器也可以实现所提出的技术。此外,以下描述取4G的示例,但是技术人员将领会到它还可以被应用于2G以及未来的5G***。
例如在服务提供商(SP)或eUICC制造商(EUM)与一个或若干个移动网络运营商(MNO)之间可以设置多个商业协定。根据为了解释性目的而被自发简化的图1的示例,服务提供商拥有与第一MNO1的N个订阅。这些订阅中的每一个是这样的使得可以一次为一个IoT设备提供无线连接性。
MNO1将向服务提供商所部署的IoT设备100提供连接性。为了该目的,订阅标识符可以临时地被归属于并且被供应到eUICC。
在该示例中,包括eUICC 101的IoT设备100被开启。它生成随机选择的经IMSI注解的R-IMSI,并且启动附连过程。由能够与T-HSS服务器交换数据的所访问的网络MNO2来提供初始访问。R-IMSI是这样的使得它被关联到T-HSS服务器103。IoT设备因此尝试附连到MNO2,所述MNO2向T-HSS 103路由附连请求。
然而,T-HSS服务器103被配置使得它将eUICC检测为需要临时连接性的归属。T-HSS 103被配置成向给定的eUICC分配订阅标识符,并且在该情况中,它为eUICC提供用于直接附连到被分配用于该临时连接的运营商的手段。
换言之,一个目的是要在不被附连到自举蜂窝式网络的情况下在嵌入了eUICC的设备与发现服务器(T-HSS)之间创建对话,并且然后向嵌入了eUICC的IoT设备临时分配订阅。
目的是要直接附连到多个网络运营商之中的被定为目标的运营商网络——在该示例中为MNO1,并且允许IoT设备在预定的持续时间期间通过被定为目标的MNO来通信。
所提出的方法和***被适配用于3G和4G/LTE网络,而无需修改现有的3GPP规范,这是因为使用已经现有的消息。另外,所提出的方法和***可以由包括5G和未来的标准化技术的下代移动网络来实现。
在服务器(T-HSS)与eUICC之间的对话基于四个认证消息的使用,所述四个认证消息通常在终端与网络之间的设备附连期间被交换。这四个消息一般被称为:
- 附连请求;
- 认证请求;
- 认证失败;
- 发送认证信息(SAI或AIR)。
对于通用移动电信***(UMTS)和长期演进(LTE)网络,相应地在3GPP技术规范3GPP TS 24.008 “移动无线电接口层3规范”以及3GPP TS 24.301“用于演进分组***(EPS)的非接入层(NAS)协议”中详述了这些消息。
此外,所提出的***重用“发送认证信息(SAI)”,所述“发送认证信息(SAI)”在3GPP TS 29.002中被限定以用于UMTS和***架构演进(SAE)。
根据所提出的技术,附连请求和发送认证信息(SAI)消息用于传送随机生成的IMSI。
随机生成的IMSI(R-IMSI)属于可以在制造阶段被预加载在eUICC中的数据集中所限定的IMSI范围。在该示例中,由EUM所运营的T-HSS服务器关联到移动网络运营商MNO2,这是因为被预加载在eUICC中的数据集的IMSI范围对应于MNO2所拥有的IMSI的列表。
根据另一实施例,EUM可运营其自己的移动网络运营商。T-HSS服务器以及相关联的移动网络在该情况中将由相同的行为者来运营。换言之,MNO2将由EUM以及发现服务器来运营。eUICC制造商(EUM)可以具有将被用于朝向发现服务器路由消息的移动国家码(MCC)与移动网络码(MNC)字段的专用组合。在该情况中,对于eUICC制造商(EUM)而言不需要运营现实MNO的全基础设施。
根据另一实施例,移动网络运营商MNO2可以不同于EUM并且由他自己运营发现服务器(D-HSS)。
图2图示了在认证信令中所传达的IMSI类型的订阅标识符的格式。
标准IMSI的格式在三个数位上包含移动国家码(MCC)、在两个或三个数位上包含移动网络码(MNC),并且在九个或十个数位上包含移动订户标识符号(MSIN)。IMSI对订阅进行标识。
图3图示了允许由IoT设备触发订阅的临时分配的序列图。
在该图上,由eUICC制造商(EUM)来运营T-HSS服务器302。另外,表示了移动网络运营商的移动管理实体(MME)301以及目标eUICC 300。目标eUICC 300是被供应有预加载的简档的eUICC。该预加载的简档对应于订阅简档,所述订阅简档类似于在GSMA REF中所描述的内容,但是具有若干轻微修改。一个差异是:预加载的订阅简档并不初始就被供应有关联到现实订阅的订阅标识符,也不被供应有一般在连接到给定移动网络运营商的网络的时候被需要以用于认证和加密的证书(诸如安全密钥),这是因为那些是在IoT设备请求无线连接的时候被提供或确定的。预加载的订阅简档包含: R-IMSI号的预限定范围,所述R-IMSI号不关联到现实订阅但是当在附连请求中被传送的时候允许eUICC被T-HSS服务器302检测到。根据本发明,预加载的订阅简档需要与有效的订阅相关联,以用于允许在其上安装了eUICC的IoT设备能够连接到无线通信网络。
根据该示例,在T-HSS服务器302所管理的池中的多个订阅之中选择将关联到预加载的订阅简档的订阅。当给定的IoT设备需要连接性的时候,关联到该池中所维护的订阅之一的订阅标识符(诸如IMSI)可以被分配给eUICC 300。当IoT设备需要连接性以用于向/从应用服务器传送和/或接收数据的时候,它尝试通过使用在其预加载的简档中所包含的数据来附连到移动网络。
IoT设备将附连请求310消息发送到MNO2的MME 301。它使用常规的附连请求消息、例如在3GPP中被标准化以用于UMTS或LTE的一个,但是代替于传送被分配给订户的IMSI,它传送随机的经IMSI注解的R-IMSI,所述随机的经IMSI注解的R-IMSI由eUICC、将如在预加载的简档中所限定的IMSI范围考虑在内地生成。
然后,MME 301向发现服务器302发送311发送认证信息(SAI)消息。SAI消息还包含由eUICC所生成的R-IMSI。T-HSS服务器302被配置用于关联到属于如在eUICC的预加载的订阅简档中所供应的IMSI的预限定范围的IMSI号。
根据实施例,在eUICC的预加载的订阅简档中所记忆的范围的IMSI具有相同的移动网络码(MNC)以及移动国家码(MCC)字段,因为这些IMSI由相同的运营商(MNO2)所拥有。因此,据称T-HSS服务器关联到该运营商。根据该示例,由具有与移动网络运营商MNO2的协定的eUICC制造商来运营发现服务器。
T-HSS服务器302然后利用SAI应答消息312来答复MME 301,所述SAI应答消息312包括在RAND和/或AUTN字段中的用于使eUICC发送EID的请求以及可选地新的移动订阅标识号(MSIN)。
该新的MSIN可以用于在过程中失败的情况中重启动在IoT设备与T-HSS服务器之间的数据交换。的确,对已经生成的R-IMSI的重用可以由与发现服务器相关联的移动网络运营商所阻断。
所访问的网络的MME 301然后通过使用标准认证请求消息313来向目标eUICC 300转发EID请求以及可选地新的MSIN,EID请求以及可选地新的MSIN在认证请求消息313的RAND和/或AUTN字段中被传送。
嵌入了eUICC 300的IoT设备然后通过使用认证同步失败314消息来答复MME 301。该消息的位数与在3GPP规范中所标准化的内容相同,但是它被转移(divert)以便将EID(或者另一设备或证书容器标识符,诸如IMEI或ICCID)传送到认证失败消息314的AUTS字段中。
MME 301然后通过使用SAI消息来将认证同步失败消息转发315到发现服务器302。
一旦接收302了EID,T-HSS服务器就分析针对连接性的请求并且在可能的时候向IoT设备临时分配一订阅,所述订阅在T-HSS服务器302所管理的池中所包含的多个订阅之中被选择。这通过如下来进行:将预加载的订阅简档与先前提及的所选订阅的订阅标识符相关联。根据实施例,在其期间所分配的订阅可以用于IoT设备的持续时间由T-HSS服务器来确定。然后,T-HSS服务器302利用SAI ACK消息316来答复316所访问的网络的MME 301,所述SAI ACK消息316包含IMSI切换命令S_COM、所分配的t-IMSI、对在其期间可以使用临时分配的订阅的持续时间进行指示的参数、以及可选地在认证向量的RAND/AUTN字段中所编码的运营商变体算法配置字段(OPc)。作为提醒,认证向量是参数集合,其提供对于与特定用户从事认证而言所需要的临时认证数据。
所访问的网络的MME 301通过使用被传送317到嵌入了eUICC 300的IoT设备的认证请求来转发t-IMSI、持续时间参数、OPc以及IMSI切换命令S_COM。
嵌入了eUICC 300的IoT设备利用包含有效预期认证响应RES的认证回答消息318来答复,所述有效预期认证响应RES通过使用在认证请求317中所接收的经转移的RAND和AUTN字段来被生成。认证响应RES可以在UMTS传送的情况中根据3GPP TS 133.102、并且在LTE传送的情况中根据3GPP TS 33.401来被计算。
然后,位置更新消息319(或在依从LTE的***的情况中一追踪区域更新TAU)通过所访问的网络的MME 301被传送319到T-HSS服务器302。T-HSS服务器302被配置成拒绝位置更新319,并且由T-HSS 302利用无效数据来拒绝附连。它导致由MME 301向嵌入了eUICC300的IoT设备传送附连拒绝消息320。
在该阶段,eUICC被配置成在消息317中从T-HSS服务器302所接收的持续时间参数中所指定的持续时间内使用所分配的订阅。为了该目的,使用向其中添加所接收的t-IMSI的预加载的简档。另外,eUICC为t-IMSI计算并且设置安全密钥Ki。根据实施例,由于密钥导出算法而生成安全密钥Ki,所述密钥导出算法组合在eUICC中预加载的安全密钥与所接收的t-IMSI。EUM个性化中心通过使用相同的密钥导出算法来为这些IMSI生成Ki,或者发现服务器也能够生成相同的Ki以供应t-IMSI网络。因此,有可能在不需要通过空中传送安全密钥Ki的情况下防护数据交换。
然后,eUICC向IoT设备300发送321“刷新”主动命令,所述“刷新”主动命令触发eUICC初始化过程。作为结果,IoT设备试图再次附连。附连请求322被传送,这次使用t-IMSI而不是R-IMSI。然后实施标准附连取得(未被表示),并且由于t-IMSI属于目标运营商并且此其网络被配置成接受具有这些预限定的临时分配的IMSI的附连,所以嵌入了eUICC的IoT设备接收到对附连过程成功进行指示的附连响应323。
一旦IoT设备被附连到目标网络,它就自动打开接入点名称(APN),从而允许它通过所选择的移动网络运营商(MNO)的网络来传送数据和接收数据。
图4是流程图的示例,其图示了可以由T-HSS服务器实施以用于向给定的IoT设备临时分配订阅简档的步骤。
一旦T-HSS服务器302检测到给定的IoT设备请求连接性,就需要选择临时订阅。为了该目的,下文中所描述的步骤可以由T-HSS服务器来实现。
第一步骤400是给定IoT设备请求无线连接性以及该设备的标识的检测。当消息包含R-IMSI 311的时候,这由T-HSS服务器来执行,并且然后由T-HSS服务器302接收eUICC标识符EID 315。技术人员将领会到在本发明的上下文中可以使用其它类型的标识符,诸如集成电路卡标识符ICCID。还可以使用IoT设备的标识符,而不是证书容器的标识符。
然后,下一步骤401是对连接性需要的分析以用于为IoT设备提供适当订阅。
该分析例如通过编译关联到IoT设备及其eUICC的多个信息项来对应。例如,可以收集与这些数据中的一个或若干个相对应的信息项:
- 对进行请求的IoT设备的定位;这可以例如通过提供在其上IoT设备尝试附连的小区的标识符(小区-ID)来被实现;
- 被适配用于数据交换的服务品质(QoS);
- 用于该IoT设备的数据交换的典型持续时间;为了该目的,可以由T-HSS、基于由该设备所执行的上次数据传送和接收来实施统计分析;
然后,基于该分析,T-HSS服务器可以选择402池中的订阅之一,以用于为IoT设备提供临时分配的订阅,从而满足它的通信需要,而同时例如通过最小化成本而服务于服务提供商的利益。例如,对于仅仅必须传送小量数据的给定IoT设备而言,允许以高数据速率的数据交换的订阅将成本太高并且过大。
此外,已经被分配给IoT设备的订阅不能被分配给另一个。因此,T-HSS服务器必须管理订阅池,使得它能够区分可用的那些与已经被分配并且因此不可用的那些。
例如,该池的订阅可以按优先级的次序来被评级,以用于由T-HSS服务器在将先前提及的准则中之一或若干个考虑在内地为给定IoT设备进行选择。例如,考虑在内的准则可以被加权并且被求总和以便提供与优先级水平相对应的评级号Rs。
将选择关联到最高选择优先级水平并且可用的订阅。
当给定订阅被T-HSS服务器选择的时候,它必须与持续时间相关联,所述持续时间也将被传输给IoT设备以使所述IoT设备知道在其期间它被允许使用订阅的时间。除了持续时间之外,还可以提供时间参考。将被传输到IoT设备以使它知晓用于使用临时分配的订阅的所分配时间的参数在该情况中对应指示起始时间以及持续时间本身的时间参考。通过向IoT设备提供时间参考,关联到所选的订阅的网络以及IoT设备被同步,并且T-HSS服务器能够向多个IoT设备临时分配订阅,并且最大化其使用。
然后,与所选的订阅相对应的订户标识符以及持续时间可以由T-HSS 302传送403到eUICC,如在图3的示例中所提出的。
当由于所接收的持续时间参数而被确定的并且在其期间IoT设备可以使用所分配的订阅的时间段期满的时候,可以从证书容器中删除临时分配的IMSI。在T-HSS服务器侧,对应的订阅可以被标注为可用于稍后被分配给另一IoT设备。
Claims (20)
1.一种用于使被嵌入到无线通信设备(300)中的证书容器通过无线网络而获得临时无线连接性的方法,所述证书容器被供应有对无线通信设备或所述证书容器进行标识的标识符ID以及预加载的订阅简档,所述预加载的订阅简档包括关联到第二网络运营商(MNO2)的国际移动订阅标识符(IMSI)的范围,所述方法包括当无线通信设备(300)需要通过无线网络交换数据的时候被应用的以下步骤:
-通过所述证书容器来在预加载的订阅简档中所记忆的IMSI号的范围中随机地选择一IMSI号;
-发送附连请求(310),其包括随机选择的IMSI(R-IMSI)以使得它将由关联到第二网络运营商(MNO2)的计算机服务器T-HSS(103,302)所接收,计算机服务器T-HSS(103,302)被适配成生成用于得到标识符的请求(312);
-在认证请求消息(313)中接收所述用于得到标识符的请求;
-作为响应,向计算机服务器T-HSS(103,302)发送认证失败消息(314),所述认证失败消息(314)包括同步失败的指示以及标识符ID,使得计算机服务器T-HSS(103,302)知道无线通信设备请求临时的无线连接性;
- 在认证请求消息(317)中接收:与计算机服务器T-HSS从订阅池中所选的订阅相关联的临时分配的IMSI(t-IMSI),所述订阅使得能够实现与第一移动网络运营商(MNO1)所运营的网络的连接性;以及持续时间参数,使得无线通信设备能够在持续时间参数中所指示的有限的持续时间内、通过第一移动网络运营商所运营的移动无线网络来进行通信。
2.根据权利要求1所述的方法,其中所述证书容器是嵌入式UICC(eUICC)。
3.根据权利要求2所述的方法,其中所述标识符ID是eUICC标识符(EID)或集成电路卡标识符ICCID。
4.根据权利要求3所述的方法,其中通过使用RAND或AUTN字段中的至少一个而在认证请求消息(313)中接收用于得到eUICC标识符(EID)的请求。
5.根据前述权利要求1-4中任一项所述的方法,其中接收认证请求消息(313),其除了用于得到标识符ID的请求之外还具有新的移动订阅标识号(MSIN),新的移动订阅标识号(MSIN)和用于得到标识符ID的请求在认证请求消息(313)的RAND或AUTN字段中的至少一个中被接收。
6.根据前述权利要求1-4中任一项所述的方法,其中所述标识符ID被传送到认证失败消息(314)的AUTS字段中。
7.根据前述权利要求1-4中任一项所述的方法,其中承载用于得到标识符ID的请求的认证请求消息(313)以及承载临时分配的IMSI(t-IMSI)的认证请求消息(317)是从对无线通信设备的移动性进行管理的服务器(MME)所接收的。
8.根据前述权利要求1-4中任一项所述的方法,包括一步骤,其中一旦所述证书容器接收到t-IMSI,就从连同临时t-IMSI一起接收到的运营商变体算法配置字段(OPc)中导出安全密钥Ki。
9.一种证书容器,其被配置成被嵌入到无线通信设备(300)中并且通过无线网络而获得临时无线连接性,所述证书容器被供应有对无线通信设备或所述证书容器进行标识的标识符ID并且还被供应有预加载的订阅简档,所述预加载的订阅简档包括关联到第二网络运营商(MNO2)的国际移动订阅标识符(IMSI)的范围,嵌入式UICC(eUICC)被配置成当无线通信设备需要通过无线网络交换数据的时候:
-通过所述证书容器来在预加载的订阅简档中所记忆的IMSI号的范围中随机地选择一IMSI号;
-发送附连请求(310),其包括随机选择的IMSI(R-IMSI)以使得它将由关联到第二网络运营商(MNO2)的计算机服务器T-HSS(103,302)所接收,计算机服务器T-HSS(103,302)被适配成生成用于得到标识符ID的请求(312);
-在认证请求消息(313)中接收所述用于得到标识符ID的请求;
-作为响应,向计算机服务器T-HSS(103,302)发送认证失败消息(314),所述认证失败消息(314)包括同步失败的指示以及标识符ID,使得计算机服务器(103,302)能够将所述证书容器标识为请求临时分配的订阅;
- 在认证请求消息(317)中接收:与计算机服务器T-HSS从订阅池中所选的订阅相关联的临时分配的IMSI(t-IMSI),所述订阅使得能够实现与第一移动网络运营商(MNO1)所运营的网络的连接性;以及持续时间参数,使得无线通信设备能够在持续时间参数中所指示的有限的持续时间内、通过第一移动网络运营商(MNO1)所运营的移动无线网络来进行通信。
10.根据权利要求9所述的证书容器,其特征在于它是嵌入式UICC(eUICC)。
11.根据权利要求10所述的证书容器,其中所述标识符ID是或集成电路卡标识符ICCID。
12.根据权利要求11所述的证书容器,其中通过使用RAND或AUTN字段中的至少一个而在认证请求消息(313)中接收用于得到eUICC标识符(EID)的请求。
13.根据权利要求11或12中任一项所述的证书容器,其中接收认证请求消息(313),其除了用于得到eUICC标识符(EID)的请求之外还具有新的移动订阅标识号(MSIN),新的移动订阅标识号(MSIN)和用于得到eUICC标识符(EID)的请求在认证请求消息(313)的RAND或AUTN字段中的至少一个中被接收。
14.根据权利要求9所述的证书容器,其中所述eUICC标识符(EID)被传送到认证失败消息(314)的AUTS字段中。
15.一种计算机服务器T-HSS(103,302),其关联到第二移动网络运营商(MNO2),并且被配置成向被嵌入到无线通信设备(300)中的证书容器临时地分配订阅以用于通过无线网络来为它提供临时无线连接性,所述证书容器此外被供应对无线通信设备(300)或所述证书容器进行标识的标识符ID并且此外被供应有预加载的订阅简档,所述预加载的订阅简档包括关联到第二移动网络运营商(MNO2)的国际移动订阅标识符(IMSI)的范围,计算机服务器T-HSS被配置成:
- 通过接收由所述证书容器所随机选择的订阅标识符R-IMSI来检测在其上嵌入了所述证书容器的无线通信设备需要临时分配的订阅;
- 请求(312)无线通信设备(300)提供标识符ID;
- 在同步误差消息中接收(315)标识符ID;
- 从订阅池中选择订阅,其将针对嵌入了所述证书容器的无线通信设备所标识的需要考虑在内,所选的订阅被关联到第一移动网络运营商(MNO1);
- 确定在其期间无线通信设备(300)被授权使用所选的订阅的持续时间;
- 为所述证书容器提供(316,317)与所选的订阅相关联的临时分配的IMSI(t-IMSI)以及对无线通信设备(300)能够使用临时分配的订阅的所述持续时间进行表示的参数。
16.根据权利要求15所述的计算机服务器T-HSS(103,302),其被配置成与嵌入式UICC(eUICC)类型的证书容器协作。
17.根据权利要求16所述的计算机服务器T-HSS(103,302),其中所述标识符ID是eUICC标识符(EID)或集成电路卡标识符ICCID。
18.根据权利要求16或17中任一项所述的计算机服务器T-HSS(103,302),其中与时间参考相对应的参数被提供给eUICC,以用于精确地指示在其之后可以使用临时分配的订阅的时间。
19.根据权利要求16至17中任一项所述的计算机服务器T-HSS(103,302),其中通过使用表示以下各项的至少一个信息项来分析无线通信设备(300)的需要:所需的服务品质、无线通信设备的定位、用于该通信设备的数据交换的典型持续时间。
20.根据权利要求16至17中任一项所述的计算机服务器T-HSS(103,302),其中选择临时分配的订阅的过程将在订阅池中维护的分配的订阅所意味着的代价考虑在内,以便最小化临时分配所意味着的成本。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17306197.9A EP3358871A1 (en) | 2017-02-03 | 2017-09-15 | A method for an euicc embedded into a machine type communication device to trigger the download of a subscription profile |
| EP17306197.9 | 2017-09-15 | ||
| EP18305159.8A EP3457728A1 (en) | 2017-09-15 | 2018-02-15 | A method for allocating temporarily a subscription to a credential container |
| EP18305159.8 | 2018-02-15 | ||
| PCT/EP2018/074470 WO2019053009A1 (en) | 2017-09-15 | 2018-09-11 | METHOD FOR TEMPORARILY ALLOCATING A SUBSCRIPTION TO A CONTAINER OF IDENTITY SUPPORTERS |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111373779A CN111373779A (zh) | 2020-07-03 |
| CN111373779B true CN111373779B (zh) | 2023-02-14 |
Family
ID=63524306
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880059639.3A Active CN111373779B (zh) | 2017-09-15 | 2018-09-11 | 用于向证书容器临时分配订阅的方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US10911937B2 (zh) |
| EP (2) | EP3457728A1 (zh) |
| JP (1) | JP7096881B2 (zh) |
| KR (1) | KR102464068B1 (zh) |
| CN (1) | CN111373779B (zh) |
| WO (1) | WO2019053009A1 (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3358867A1 (en) * | 2017-02-03 | 2018-08-08 | Gemalto Sa | Method for managing communication between a server and a user equipment |
| US11627448B2 (en) | 2019-08-05 | 2023-04-11 | Flo Live Israel LTD. | Method and system for fast initialization of an electronic subscriber identity module at multiple locations |
| WO2021024052A1 (en) * | 2019-08-05 | 2021-02-11 | Flo Live Israel LTD. | Multiple profile remote subscriber identity module |
| US11617065B2 (en) * | 2019-08-30 | 2023-03-28 | Jio Platforms Limited | System and method for remote profile provisioning |
| EP3832996A1 (en) * | 2019-12-06 | 2021-06-09 | Thales Dis France Sa | Method to dynamically select a mobile operator subscription based on the terminal location, on the received signal strengths and on business agreements, corresponding secure element and home subscriber server |
| WO2021110278A1 (en) * | 2019-12-06 | 2021-06-10 | Nokia Technologies Oy | Apparatus, method, and computer program |
| US11115810B1 (en) | 2020-03-17 | 2021-09-07 | Sprint Communications Company L.P. | Bootstrap electronic subscriber identity module configuration |
| US10887741B1 (en) | 2020-03-17 | 2021-01-05 | Sprint Communications Company L.P. | Activation communication addresses of internet of things devices |
| US11102646B1 (en) | 2020-03-17 | 2021-08-24 | Sprint Communications Company L.P. | Triggering electronic subscriber identity module activation |
| US11140543B1 (en) * | 2020-05-21 | 2021-10-05 | Sprint Communications Company L.P. | Embedded subscriber identity module (eSIM) profile adaptation based on context |
| US11190985B1 (en) * | 2020-05-28 | 2021-11-30 | Sprint Communications Company L.P. | Internet of things (IoT) devices wireless communication service management platform |
| US11477636B1 (en) | 2020-09-16 | 2022-10-18 | Sprint Communications Company L.P. | Electronic subscriber identity module (eSIM) profile provisioning |
| US11310654B1 (en) | 2020-09-16 | 2022-04-19 | Sprint Communications Company L.P. | Electronic subscriber identity module (eSIM) profile delivery and activation system and methods |
| US20220131847A1 (en) * | 2020-10-26 | 2022-04-28 | Micron Technology, Inc. | Subscription Sharing among a Group of Endpoints having Memory Devices Secured for Reliable Identity Validation |
| SE2251044A1 (en) * | 2022-09-08 | 2024-03-09 | Atlastica Ab | Methods, apparatuses, and a network for providing connectivity to a wireless device |
| EP4387168A1 (en) * | 2022-12-15 | 2024-06-19 | Giesecke+Devrient Mobile Security Germany GmbH | Secured exchange of data between an iot device and an iot background system over the attach procedure of a mobile communication network |
| FR3144733A1 (fr) | 2022-12-28 | 2024-07-05 | Thales | Procédé amélioré de provisionnement d'un équipement utilisateur avec un profil de souscription d'un opérateur final |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102598732A (zh) * | 2009-11-13 | 2012-07-18 | 瑞典爱立信有限公司 | 附连到接入网络 |
| CN102714791A (zh) * | 2009-07-24 | 2012-10-03 | 瑞典爱立信有限公司 | 通信网络中的终端标识符 |
| EP3035724A1 (en) * | 2014-12-19 | 2016-06-22 | Telefónica, S.A. | Method and system for dynamic managing of subscriber devices with multi-imsi sims in mobile networks |
| CN106664550A (zh) * | 2014-07-22 | 2017-05-10 | 意大利电信股份公司 | 管理移动电信网络中的用户的订阅的方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002078014A (ja) | 2000-08-31 | 2002-03-15 | Toshiba Corp | 移動通信網加入者情報記憶装置およびこの記憶装置を具備する移動通信端末 |
| KR101641542B1 (ko) | 2010-01-15 | 2016-07-22 | 삼성전자주식회사 | 메시지 전송 방법 및 시스템 |
| GB2491889A (en) * | 2011-06-17 | 2012-12-19 | Sony Corp | Trial period cellular network connection with identity modules of multiple devices loaded with multiple identities from a shared pool |
| EP2632196A1 (en) | 2012-02-24 | 2013-08-28 | Alcatel Lucent | Smart card initial personnalization |
| NO336691B1 (no) * | 2012-12-14 | 2015-10-19 | Ipco As | Fremgangsmåte for å tjene besøker-abonnenter i et mobilkommunikasjonssystem |
| WO2016091414A1 (en) | 2014-12-10 | 2016-06-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Managing network connectivity of a device comprising an embedded uicc |
| KR102303504B1 (ko) * | 2015-03-25 | 2021-09-17 | 삼성전자 주식회사 | 무선 통신 시스템에서 단말의 프로파일 설치 방법 및 장치 |
| KR102358130B1 (ko) * | 2015-03-25 | 2022-02-04 | 삼성전자 주식회사 | 이동통신시스템에서 단말을 변경하여 이동 통신 서비스를 이용하는 방법 및 장치 |
| EP3176720A1 (en) * | 2015-12-02 | 2017-06-07 | Gemalto Sa | Method, device and system for authenticating to a mobile network and a server for authenticating devices to a mobile network |
| KR102468974B1 (ko) * | 2016-03-21 | 2022-11-22 | 삼성전자주식회사 | 전자 장치 및 전자 장치의 제어 방법 |
| EP3358871A1 (en) * | 2017-02-03 | 2018-08-08 | Gemalto Sa | A method for an euicc embedded into a machine type communication device to trigger the download of a subscription profile |
| US20190313246A1 (en) * | 2018-04-06 | 2019-10-10 | Iot And M2M Technologies, Llc | Device default wifi credentials for simplified and secure configuration of networked transducers |
-
2018
- 2018-02-15 EP EP18305159.8A patent/EP3457728A1/en not_active Withdrawn
- 2018-09-11 EP EP18765901.6A patent/EP3682657A1/en active Pending
- 2018-09-11 KR KR1020207011094A patent/KR102464068B1/ko active IP Right Grant
- 2018-09-11 US US16/647,681 patent/US10911937B2/en active Active
- 2018-09-11 WO PCT/EP2018/074470 patent/WO2019053009A1/en unknown
- 2018-09-11 JP JP2020515192A patent/JP7096881B2/ja active Active
- 2018-09-11 CN CN201880059639.3A patent/CN111373779B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102714791A (zh) * | 2009-07-24 | 2012-10-03 | 瑞典爱立信有限公司 | 通信网络中的终端标识符 |
| CN102598732A (zh) * | 2009-11-13 | 2012-07-18 | 瑞典爱立信有限公司 | 附连到接入网络 |
| CN106664550A (zh) * | 2014-07-22 | 2017-05-10 | 意大利电信股份公司 | 管理移动电信网络中的用户的订阅的方法 |
| EP3035724A1 (en) * | 2014-12-19 | 2016-06-22 | Telefónica, S.A. | Method and system for dynamic managing of subscriber devices with multi-imsi sims in mobile networks |
Non-Patent Citations (1)
| Title |
|---|
| "Solution - using pools of IMSIs";Nokia;《3GPP S3-170452》;20170209;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3457728A1 (en) | 2019-03-20 |
| WO2019053009A1 (en) | 2019-03-21 |
| KR20200053593A (ko) | 2020-05-18 |
| JP7096881B2 (ja) | 2022-07-06 |
| KR102464068B1 (ko) | 2022-11-04 |
| CN111373779A (zh) | 2020-07-03 |
| JP2020533919A (ja) | 2020-11-19 |
| US20200236529A1 (en) | 2020-07-23 |
| US10911937B2 (en) | 2021-02-02 |
| EP3682657A1 (en) | 2020-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111373779B (zh) | 用于向证书容器临时分配订阅的方法 | |
| US11039300B2 (en) | Method for an eUICC embedded into a machine type communication device to trigger the download of a subscription profile | |
| KR101956331B1 (ko) | 한편의 모바일 통신 네트워크와 다른 한편의 머신 타입 통신 디바이스들의 그룹, 모바일 통신 네트워크, 머신 타입 통신 디바이스, 사용자 장비, 프로그램, 및 컴퓨터 프로그램 제품 사이에서의 향상된 머신 타입 통신을 위한 방법 | |
| US9026082B2 (en) | Terminal identifiers in a communications network | |
| EP3358871A1 (en) | A method for an euicc embedded into a machine type communication device to trigger the download of a subscription profile | |
| EP2835994B1 (en) | Methods and devices for performing a mobile network switch | |
| EP2835996B1 (en) | Methods and devices for performing a mobile network switch | |
| CN114731497B (zh) | 网络连接性 | |
| RU2632166C2 (ru) | Служба ближней зоны | |
| CN111373781B (zh) | 辅助euicc卡的远程配置的方法和实现这样的方法的*** | |
| US20230422018A1 (en) | Method and apparatus for identity collection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230313 Address after: French Meudon Patentee after: Thales Digital Security France Easy Stock Co. Address before: French Meudon Patentee before: Thales Digital Security France |
|
| TR01 | Transfer of patent right |