WO2015029945A1

WO2015029945A1 - 加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置

Info

Publication number: WO2015029945A1
Application number: PCT/JP2014/072157
Authority: WO
Inventors: 敬輿水; 青野　博; アルフツーゲンマイヤー
Original assignee: 株式会社Ｎｔｔドコモ
Priority date: 2013-08-26
Filing date: 2014-08-25
Publication date: 2015-03-05
Also published as: US10003965B2; JP2015043510A; US20160212617A1; EP3041164A4; EP3041164B1; JP6062828B2; EP3041164A1

Abstract

Subscription Manager（SM）を用いることなく、通信事業者（オペレータ）間においてeUICCの活性化に必要となる加入者プロファイルなどを安全に転送し得る加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置を提供する。UE200に組み込まれるeUICC100は、HSS300から送信されたAUTNを認証するとともに、秘密鍵Kを用いて転送鍵TKを演算し、転送鍵TKを用いてenc Tokenを復号することによって、transfer Tokenを取得し、転送鍵TKを用いてenc New IDを復号することによって、new Customer IDを取得し、AUTNと、enc Tokenと、enc New IDとを含むUser auth + transfer Setup Reqに対するuser auth respをHSS300に送信し、transfer Tokenを用いて、eUICC100とHSS400とで共有されるshared-Secret Keyを生成し、生成したshared-Secret Keyと、new Customer IDとを用いてHSS400へのアタッチ手順を実行する。

Description

加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置

　本発明は、セキュリティ鍵やIMSIなどの加入者プロファイルを通信事業者間で安全に転送する加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置に関する。

　近年、通信ネットワークに接続されたマシン同士が人間による操作を介在せずに通信を実行し、適切なマシンの制御などを自動的に実行するM2M（Machine-to-Machine）、すなわち、マシン間通信の検討が進められている。例えば、3rd Generation Partnership Project（3GPP）では、Machine Type Communication（MTC）との名称で、M2Mに関する通信規格の標準化が進められている。

　M2Mの場合、ユーザ装置（UE）の数が膨大になることや、ユーザが契約先の通信事業者（以下、オペレータ）を変更した場合でも容易にサービスを継続可能とすることなどを考慮して、embedded Universal Integrated Circuit Card（eUICC、組み込み型加入者識別モジュール）の導入が進むと見込まれている。eUICCは、従来のスロット挿入型のUICC（SIM）と異なり、UEに予め組み込まれたUICCであり、無線通信などの当該UEへのアクセス手段を介して遠隔で活性化させることができる（例えば、非特許文献１）。具体的には、UEが移動通信ネットワークへアタッチする際に必要となる加入者プロファイル（IMSI（International Mobile Subscriber Identity）やUE認証用のセキュリティ鍵など）などを遠隔でeUICCに書き込んだり、消去したりすることができる。

　また、非特許文献１では、加入者プロファイルなどの必要な情報のeUICCへの書き込みや消去を実現するため、各オペレータの設備と接続されたSubscription Manager（SM）を設置することが提案されている。

　一方、3GPPでも、ユーザが契約先のオペレータを変更した場合などを考慮して、オペレータ間における加入者プロファイルの交換方法が検討されている（例えば、非特許文献２）。

UICC : ETSI TS_103.383 Smart Cards; Embedded UICC; Requirements Specification v2.0.0 (2013-02)、ETSI、2013年2月 3GPP TR33.812 V9.2.0 Security Aspects of Remote Provisioning and Change of Subscription for M2M、3GPP、2010年6月

　しかしながら、上述したSubscription Manager（SM）を用いたeUICCへの情報の書き込みやeUICCからの情報の消去には、次のような問題があった。すなわち、SMの管理主体と、各オペレータとの関係が不明確であり、SMの導入に際しては、技術面のみならず管理面において解決すべき課題が多く、現実的ではない。

　また、上述した非特許文献２に記載されるオペレータ間における加入者プロファイルの交換方法では、旧オペレータと新オペレータ間における加入者プロファイルに交換に先立って実行されるべき相互認証や安全な秘密鍵の交換に関する手順、具体的には、Authentication and Key Agreement（AKA）手順が欠落している。

　そこで、本発明は、このような状況に鑑みてなされたものであり、Subscription Manager（SM）を用いることなく、通信事業者（オペレータ）間においてeUICCの活性化に必要となる加入者プロファイルなどを安全に転送し得る加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置の提供を目的とする。

　本発明の第１の特徴は、ユーザ装置と、前記ユーザ装置に組み込まれる加入者識別モジュールである組み込み型加入者識別モジュールと、第１のオペレータが管理する第１の加入者サーバと、第２のオペレータが管理する第２の加入者サーバとを用い、前記ユーザ装置に対応付けられる加入者プロファイルを前記第１のオペレータから前記第２のオペレータに転送する加入者プロファイル転送方法であって、前記組み込み型加入者識別モジュールが、前記組み込み型加入者識別モジュールと対応付けられるモジュール転送識別子と、前記加入者プロファイルの転送と対応付けられるオペレータ転送用一時番号と、前記ユーザ装置のユーザが前記転送を認証したことを示す加入者転送識別子と、前記第２のオペレータを識別する新オペレータ識別子とを含む前記加入者プロファイルの転送要求を前記ユーザ装置に送信するステップと、前記ユーザ装置が、前記第２の加入者サーバを識別する加入者転送識別子と、前記加入者転送識別子と、前記オペレータ転送用一時番号とを含む転送要求を前記第１の加入者サーバに送信するとともに、前記新オペレータ識別子と、前記モジュール転送識別子と、前記オペレータ転送用一時番号とを含む転送準備指令を前記組み込み型加入者識別モジュールに送信するステップと、前記第１の加入者サーバが、前記第２の加入者サーバと設定された安全な通信路を介して、前記ユーザ装置と対応付けられる加入者識別子を含む転送要求を前記第２の加入者サーバに送信し、前記第２のオペレータにおいて前記ユーザ装置を識別する新加入者識別子を含む応答を前記第２の加入者サーバから受信するステップと、前記第１の加入者サーバが、前記第１の加入者サーバと前記組み込み型加入者識別モジュールとで保有している秘密鍵を用いて転送鍵を生成し、前記転送鍵を用いて、転送用の一時的な演算子である転送トークンを暗号化した暗号化トークンを生成し、前記転送鍵を用いて、前記新加入者識別子を暗号化した暗号化新識別子を生成し、前記オペレータ転送用一時番号と、前記暗号化トークンと、前記暗号化新識別子とを含むメッセージ認証コードを生成し、前記メッセージ認証コードを用いて生成した認証トークンと、前記暗号化トークンと、前記暗号化新識別子とを含むユーザ認証・転送設定要求を前記組み込み型加入者識別モジュールに送信するステップと、前記組み込み型加入者識別モジュールが、前記認証トークンを認証するとともに前記転送鍵を演算し、前記転送鍵を用いて前記暗号化トークンを復号した前記転送トークンを取得し、前記転送鍵を用いて前記暗号化新識別子を復号した前記新加入者識別子を取得し、前記ユーザ認証・転送設定要求に対するユーザ認証応答を前記第１の加入者サーバに送信するステップと、前記第１の加入者サーバが、前記安全な通信路を介して前記転送トークンを前記第２の加入者サーバに送信するステップと、前記第２の加入者サーバが、所定の鍵交換プロトコルに従って、前記新オペレータ識別子と、前記新加入者識別子と、前記転送トークンを含むメッセージ認証コードとを含むメッセージを前記組み込み型加入者識別モジュールに送信するステップと、前記組み込み型加入者識別モジュール及び前記第２の加入者サーバそれぞれが、前記転送トークンを用いて、前記組み込み型加入者識別モジュールと前記第２の加入者サーバとで共有される共有秘密鍵を生成し、生成した前記共有秘密鍵と、前記新加入者識別子とを用いて前記第２の加入者サーバへのアタッチ手順を実行するステップとを含むことを要旨とする。

　本発明の第２の特徴は、ユーザ装置と、前記ユーザ装置に組み込まれる加入者識別モジュールである組み込み型加入者識別モジュールと、第１のオペレータが管理する第１の加入者サーバと、第２のオペレータが管理する第２の加入者サーバとを用い、前記ユーザ装置に対応付けられる加入者プロファイルを前記第１のオペレータから前記第２のオペレータに転送する加入者プロファイル転送システムであって、前記組み込み型加入者識別モジュールが、前記組み込み型加入者識別モジュールと対応付けられるモジュール転送識別子と、前記加入者プロファイルの転送と対応付けられるオペレータ転送用一時番号と、前記ユーザ装置のユーザが前記転送を認証したことを示す加入者転送識別子と、前記第２のオペレータを識別する新オペレータ識別子とを含む前記加入者プロファイルの転送要求を前記ユーザ装置に送信し、前記ユーザ装置が、前記第２の加入者サーバを識別する新加入者サーバ識別子と、前記加入者転送識別子と、前記オペレータ転送用一時番号とを含む転送要求を前記第１の加入者サーバに送信するとともに、前記新オペレータ識別子と、前記モジュール転送識別子と、前記オペレータ転送用一時番号とを含む転送準備指令を前記組み込み型加入者識別モジュールに送信し、前記第１の加入者サーバが、前記第２の加入者サーバと設定された安全な通信路を介して、前記ユーザ装置と対応付けられる加入者識別子を含む転送要求を前記第２の加入者サーバに送信し、前記第２のオペレータにおいて前記ユーザ装置を識別する新加入者識別子を含む応答を前記第２の加入者サーバから受信し、前記第１の加入者サーバが、前記第１の加入者サーバと前記組み込み型加入者識別モジュールとで保有している秘密鍵を用いて転送鍵を生成し、前記転送鍵を用いて、転送用の一時的な演算子である転送トークンを暗号化した暗号化トークンを生成し、前記転送鍵を用いて、前記新加入者識別子を暗号化した暗号化新識別子を生成し、前記オペレータ転送用一時番号と、前記暗号化トークンと、前記暗号化新識別子とを含むメッセージ認証コードを生成し、前記メッセージ認証コードを用いて生成した認証トークンと、前記暗号化トークンと、前記暗号化新識別子とを含むユーザ認証・転送設定要求を前記組み込み型加入者識別モジュールに送信し、前記組み込み型加入者識別モジュールが、前記認証トークンを認証するとともに前記転送鍵を演算し、前記転送鍵を用いて前記暗号化トークンを復号した前記転送トークンを取得し、前記転送鍵を用いて前記暗号化新識別子を復号した前記新加入者識別子を取得し、前記ユーザ認証・転送設定要求に対するユーザ認証応答を前記第１の加入者サーバに送信し、前記第１の加入者サーバが、前記安全な通信路を介して前記転送トークンを前記第２の加入者サーバに送信し、前記第２の加入者サーバが、所定の鍵交換プロトコルに従って、前記新オペレータ識別子と、前記新加入者識別子と、前記転送トークンを含むメッセージ認証コードとを含むメッセージを前記組み込み型加入者識別モジュールに送信し、前記組み込み型加入者識別モジュール及び前記第２の加入者サーバそれぞれが、前記転送トークンを用いて、前記組み込み型加入者識別モジュールと前記第２の加入者サーバとで共有される共有秘密鍵を生成し、生成した前記共有秘密鍵と、前記新加入者識別子とを用いて前記第２の加入者サーバへのアタッチ手順を実行することを要旨とする。

　本発明の第３の特徴は、組み込み型の加入者識別モジュールである組み込み型加入者識別モジュールを備えるユーザ装置であって、前記組み込み型加入者識別モジュールが、前記組み込み型加入者識別モジュールと対応付けられるモジュール転送識別子と、前記ユーザ装置に対応付けられる加入者プロファイルの転送と対応付けられるオペレータ転送用一時番号と、前記ユーザ装置のユーザが前記転送を認証したことを示す加入者転送識別子と、第１のオペレータと異なる第２のオペレータを識別する新オペレータ識別子とを含む前記加入者プロファイルの転送要求を前記ユーザ装置に送信し、前記ユーザ装置が、前記第２のオペレータが管理する第２の加入者サーバを識別する新加入者サーバ識別子と、前記加入者転送識別子と、前記オペレータ転送用一時番号とを含む転送要求を前記第１のオペレータが管理する第１の加入者サーバに送信するとともに、前記新オペレータ識別子と、前記モジュール転送識別子と、前記オペレータ転送用一時番号とを含む転送準備指令を前記組み込み型加入者識別モジュールに送信し、前記組み込み型加入者識別モジュールが、第１のオペレータが管理する第１の加入者サーバから送信された認証トークンを認証するとともに、前記第１の加入者サーバと前記組み込み型加入者識別モジュールとで保有している秘密鍵を用いて転送鍵を演算し、前記転送鍵を用いて暗号化トークンを復号することによって、転送用の一時的な演算子である転送トークンを取得し、前記転送鍵を用いて暗号化新識別子を復号することによって、第２のオペレータにおいて前記ユーザ装置を識別する新加入者識別子を取得し、前記認証トークンと、前記暗号化トークンと、前記暗号化新識別子とを含むユーザ認証・転送設定要求に対するユーザ認証応答を前記第１の加入者サーバに送信し、前記転送トークンを用いて、前記組み込み型加入者識別モジュールと前記第２のオペレータが管理する第２の加入者サーバとで共有される共有秘密鍵を生成し、生成した前記共有秘密鍵と、前記新加入者識別子とを用いて前記第２の加入者サーバへのアタッチ手順を実行することを要旨とする。

図１は、本発明の実施形態に係る移動通信システム10の全体概略構成図である。図２は、本発明の実施形態に係るeUICC100の機能ブロック構成図である。図３は、本発明の実施形態に係るUE200の機能ブロック構成図である。図４は、本発明の実施形態に係るHSS300の機能ブロック構成図である。図５は、本発明の実施形態に係るHSS400の機能ブロック構成図である。図６は、本発明の実施形態に係る加入者プロファイルの転送準備シーケンスを示す図である。図７は、本発明の実施形態に係るeUICC100～HSS300（old HSS）間における転送設定シーケンスを示す図である。図８は、本発明の実施形態に係るeUICC100～HSS400（new HSS）間における認証及び鍵交換シーケンスを示す図である。図９は、本発明の実施形態に係るDiffie-Hellman鍵交換プロトコルに基づいたeUICC100とHSS400とによるshared-Secret Keyの生成シーケンスを示す図である。

　次に、本発明の実施形態について説明する。なお、以下の図面の記載において、同一または類似の部分には、同一または類似の符号を付している。ただし、図面は模式的なものであり、各寸法の比率などは現実のものとは異なることに留意すべきである。

　したがって、具体的な寸法などは以下の説明を参酌して判断すべきものである。また、図面相互間においても互いの寸法の関係や比率が異なる部分が含まれていることは勿論である。

　（１）加入者プロファイル転送システムを含む移動通信システムの全体概略構成
　図１は、本実施形態に係る移動通信システム10の全体概略構成図である。図１に示すように、移動通信システム10は、3rd Generation Partnership Project（3GPP）によって規定された通信方式、具体的には、3G（W-CDMA）やLong Term Evolution（LTE）に従った移動通信システムであり、移動通信ネットワーク20, 25、無線基地局30、ユーザ装置200（以下、UE200）、加入者サーバ300（以下、HSS300）、加入者サーバ400（以下、HSS400）を含む。

　移動通信ネットワーク20, 25は、無線基地局30及び外部ネットワークとのゲートウェイ（不図示）などを含む通信ネットワーク、いわゆるPublic Land Mobile Network（PLMN）である。移動通信ネットワーク20, 25は相互接続されており、移動通信ネットワーク20には、HSS300が接続され、移動通信ネットワーク25には、HSS400が接続されている。

　また、本実施形態では、UE200は、Machine Type Communication（MTC）に最適化された、いわゆるMTC-UEを想定しており、組み込み型加入者識別モジュール100（以下、eUICC100）を備える。eUICC100（embedded Universal Integrated Circuit Card）は、従来のスロット挿入型のUICC（SIM）と異なり、UE200の製造時に予め組み込まれる加入者識別モジュールである。

　本実施形態では、eUICC100、UE200、HSS300及びHSS400によって、加入者プロファイル転送システムが構成される。HSS300は、通信事業者（第１のオペレータ）が管理するホーム加入者サーバであり、本実施形態では、第１の加入者サーバを構成する。また、HSS400は、第１のオペレータと異なる通信事業者である第２のオペレータが管理するホーム加入者サーバであり、本実施形態では、第２の加入者サーバを構成する。

　また、本実施形態では、UE200は、当初第１のオペレータが提供する通信サービスに加入しているものとし、eUICC100には、UE200に対応付けられる加入者プロファイル、例えば、IMSI（International Mobile Subscriber Identity）やUE200認証用のセキュリティ鍵（秘密鍵）などが記憶されている。

　以下、本実施形態では、UE200のユーザ（契約加入者）が、第１のオペレータが提供する通信サービスの利用契約から第２のオペレータが提供する通信サービスの利用契約に変更する際に、UE200に対応付けられる加入者プロファイルを第１のオペレータ（具体的には、HSS300）から第２のオペレータ（具体的には、HSS400）に転送する場合における機能や動作について説明する。また、以下、HSS300をold HSS、HSS400をnew HSSと適宜記載する。

　（２）加入者プロファイル転送システムの機能ブロック構成
　次に、本実施形態において加入者プロファイル転送システムを構成するeUICC100、UE200、HSS300及びHSS400の機能ブロック構成について説明する。

　（２．１）eUICC100
　図２は、eUICC100の機能ブロック構成図である。図２に示すように、eUICC100は、加入者プロファイル記憶部101、転送要求送受信部103、ユーザ認証応答送受信部105、DHメッセージ処理部107及びアタッチ手順プロファイル処理部109を備える。

　加入者プロファイル記憶部101は、UE200に対応付けられる加入者プロファイルを記憶する。具体的には、加入者プロファイル記憶部101は、UE200のユーザ（契約加入者）を識別するIMSIや、UE200を認証するためなどに用いられる秘密鍵などを記憶する。

　転送要求送受信部103は、HSS300からHSS400への加入者プロファイルの転送要求（transfer Request）をUE200に送信するとともに、UE200から転送準備指令（transfer Prepare）を受信する。具体的には、転送要求送受信部103は、eUICC100と対応付けられるモジュール転送識別子（UICC Transfer PIN）と、加入者プロファイルの転送と対応付けられるオペレータ転送用一時番号（operator Transfer Nonce）と、UE200のユーザが転送を認証したことを示す加入者転送識別子（customer Transfer PIN）と、第２のオペレータを識別する新オペレータ識別子（new Operator ID）とを含むtransfer RequestをUE200に送信する。

　ユーザ認証応答送受信部105は、HSS300からのユーザ認証・転送設定要求（User auth + transfer Setup Req）に対するユーザ認証応答（user auth resp）を、UE200を経由してHSS300（old HSS）に送信するとともに、ユーザ認証・転送設定要求（User auth + transfer Setup Req）をHSS300から受信する。

　具体的には、ユーザ認証応答送受信部105は、認証トークン（AUTN）を認証するとともに転送鍵TKを演算する。ユーザ認証応答送受信部105は、演算して得た転送鍵TKを用いて暗号化トークン（enc Token）を復号した転送トークン（transfer Token）を取得する。また、ユーザ認証応答送受信部105は、転送鍵TKを用いて暗号化新識別子（enc New ID）を復号した新加入者識別子（new Customer ID）を取得する。

　DHメッセージ処理部107は、HSS400（new HSS）から受信したDH initial messageに応じて、Diffie-Hellman鍵交換プロトコル（所定の鍵交換プロトコル）に従い、メッセージ（DH response message）を生成し、生成したメッセージを、UE200を経由してHSS400に送信する。具体的には、DHメッセージ処理部107は、Diffie-Hellman鍵交換プロトコルに従い、transfer Tokenを用いて、組み込み型加入者識別モジュールと第２の加入者サーバとで共有される共有秘密鍵（shared-Secret Key）を生成する。DHメッセージ処理部107は、shared-Secret Keyが正常に生成できた場合、DH response messageをHSS400に送信する。

　アタッチ手順プロファイル処理部109は、DHメッセージ処理部107によって生成されたshared-Secret Keyと、new Customer IDとを用いてHSS400へのアタッチ手順に置けるプロファイルの処理を実行する。また、アタッチ手順プロファイル処理部109は、HSS400とのアタッチ手順の実行に伴って、HSS300（old HSS）を管理する第１のオペレータ用として加入者プロファイル記憶部101に記憶されていた加入者プロファイルを取り消す。

　（２．２）UE200
　図３は、UE200の機能ブロック構成図である。図３に示すように、UE200は、転送要求処理部201、転送準備指令送信部203及び情報中継部205を備える。

　転送要求処理部201は、eUICC100からのtransfer Requestに基づいて、HSS400（new HSS）を識別する新加入者サーバ識別子（new HSS ID）と、customer Transfer PINと、operator Transfer Nonceとを含むtransfer RequestをHSS300に送信する。

　転送準備指令送信部203は、eUICC100からのtransfer Requestに基づいて、転送準備指令（transfer Prepare）をeUICC100に送信する。具体的には、転送準備指令送信部203は、new Operator IDと、UICC Transfer PINと、operator Transfer Nonceとを含むtransfer PrepareをeUICC100に送信する。

　情報中継部205は、eUICC100から送信された加入者プロファイルなどの情報をHSS300またはHSS400に中継するとともに、HSS300またはHSS400から送信された情報をeUICC100に中継する。具体的には、情報中継部205は、ユーザ認証応答送受信部105から送信されたuser auth respをHSS300に中継するとともに、HSS300から送信されたUser auth + transfer Setup ReqをeUICC100に中継する。

　また、情報中継部205は、HSS400から送信されたDH initial messageをeUICC100に中継するとともに、DHメッセージ処理部107から送信されたDH response messageをHSS400に中継する。さらに、情報中継部205は、アタッチ手順プロファイル処理部109とHSS400との間におけるアタッチ手順の実行に伴う加入者プロファイルなどの情報を中継する。

　（２．３）HSS300
　図４は、HSS300の機能ブロック構成図である。図４に示すように、HSS300は、情報送受信部301、転送要求処理部303、ユーザ認証・転送設定要求送信部305及び加入者プロファイル処理部307を備える。

　情報送受信部301は、転送要求処理部303またはユーザ認証・転送設定要求送信部305が送受信する情報を関連するノードに送受信する。

　転送要求処理部303は、UE200からのtransfer Requestに基づいて、transfer RequestをHSS400に送信する。具体的には、転送要求処理部303は、HSS400と設定された安全な通信路であるsecure tunnelを介して、UE200と対応付けられる加入者識別子（customer ID）を含むtransfer RequestをHSS400に送信する。なお、HSS300とHSS400との間に設定されるsecure tunnelは、3GPPにおいて規定される既存の暗号方式に従って設定される。また、customer IDは、上述したIMSIでもよいし、UE200のユーザ（契約加入者）を識別可能であれば、他の情報を用いてもよい。

　転送要求処理部303は、HSS400に送信したtransfer Requestに対する応答（transfer ok）をHSS400から受信する。具体的には、転送要求処理部303は、
第２のオペレータにおいてUE200を識別するnew Customer IDを含むtransfer okをHSS400から受信する。

　ユーザ認証・転送設定要求送信部305は、UE200を認証し、加入者プロファイルの転送を要求するUser auth + transfer Setup Req（ユーザ認証・転送設定要求）をeUICC100に送信する。具体的には、ユーザ認証・転送設定要求送信部305は、HSS300とeUICC100とで保有している秘密鍵Kを用いて転送鍵TKを生成する。さらに、ユーザ認証・転送設定要求送信部305は、生成した転送鍵TKを用いて、転送用の一時的な演算子であるtransfer Tokenを暗号化したenc Tokenを生成する。

　また、ユーザ認証・転送設定要求送信部305は、転送鍵TKを用いて、new Customer IDを暗号化したenc New IDを生成する。さらに、ユーザ認証・転送設定要求送信部305は、operator Transfer Nonceと、enc Tokenと、enc New IDとを含むメッセージ認証コード（MAC）を生成し、生成したMACを用いて生成したAUTNと、enc Tokenと、enc New IDとを含むUser auth + transfer Setup ReqをeUICC100に送信する。なお、本実施形態におけるMACは、秘密鍵Kと、RAND（乱数）と、SEQ（シーケンス番号と）、operator Transfer Nonceとをパラメータとした関数（f）である。

　また、ユーザ認証・転送設定要求送信部305は、オペレータ間のHSS間を繋ぐ安全な通信路であるsecure tunnelを介してtransfer TokenをHSS400に送信する。

　加入者プロファイル処理部307は、HSS400からの加入者プロファイルの取り消しの指示に基づいて、UE200に関連する加入者プロファイルを消去する。

　（２．４）HSS400
　図５は、HSS400の機能ブロック構成図である。図５に示すように、HSS400は、情報送受信部401、転送要求処理部403、転送トークン取得部405、DHメッセージ処理部407及びアタッチ手順プロファイル処理部409を備える。

　情報送受信部401は、転送要求処理部403、転送トークン取得部405、DHメッセージ処理部407及びアタッチ手順プロファイル処理部409が送受信する情報を送受信する。

　転送要求処理部403は、HSS300から送信されたtransfer Requestを受信する。また、転送要求処理部403は、Diffie-Hellman鍵交換プロトコルに従って、new Operator IDと、new Customer IDと、transfer Tokenを含むMACとを含むメッセージ（DH initial message）をeUICC100に送信する。

　転送トークン取得部405は、HSS300からsecure tunnelを介して送信されたtransfer Tokenを取得し、取得したtransfer Tokenを転送要求処理部403に提供する。

　DHメッセージ処理部407は、Diffie-Hellman鍵交換プロトコルに従って、DH initial messageを生成に必要なshared-Secret Keyを生成するととともに、生成したDH initial messageを転送要求処理部403に提供する。具体的には、DHメッセージ処理部407は、Diffie-Hellman鍵交換プロトコルに従ってeUICC100とHSS400とで共有されるshared-Secret Keyを生成する。

　アタッチ手順プロファイル処理部409は、DHメッセージ処理部407によって生成されたshared-Secret Keyと、new Customer IDとを用いて、eUICC100とUE200のアタッチ手順におけるプロファイル処理を実行する。具体的には、アタッチ手順プロファイル処理部409は、shared-Secret Keyを用いて確立された安全な通信環境において、秘密鍵K、通常のUMTS AKA、及びアタッチ手順の実行に必要な加入者プロファイルなどの情報を交換・処理する。

　また、アタッチ手順プロファイル処理部409は、eUICC100とのアタッチ手順の実行に伴って、HSS300（old HSS）に対して、UE200と対応付けられていた加入者プロファイルの取り消しを指示する。

　（３）加入者プロファイル転送システムの動作
　次に、上述した加入者プロファイル転送システム（eUICC100、UE200、HSS300及びHSS400）の動作について説明する。具体的には、加入者プロファイルの転送準備、eUICC100～HSS300（old HSS）間における転送設定、及びeUICC100～HSS400（new HSS）間における認証及び鍵交換の各動作について説明する。

　（３．１）加入者プロファイルの転送準備
　図６は、加入者プロファイルの転送準備シーケンスを示す。本実施形態では、上述したように、UE200のユーザが、第１のオペレータが提供する通信サービスの利用契約から第２のオペレータが提供する通信サービスの利用契約に変更する際に、UE200に対応付けられる加入者プロファイルを、HSS300からHSS400に転送する場合を例として説明する。

　また、本実施形態では、次のような前提条件が与えられることに留意すべきである。まず、UICC Transfer PINは、事前に第１のオペレータとUE200のユーザ（契約加入者）との間で取り交わされたものである。従って、UE200のユーザが既知のPINコードである。UICC Transfer PINは、UE200のユーザと、UICC自体とが正しい組み合せか否かを確認する。なお、UICC Transfer PINは、Authentication and Key Agreement（AKA）手順における秘密鍵Kとは異なる。

　また、customer Transfer PINは、上述したトランザクションを経た後に、第１のオペレータからUE200のユーザに別ルートで提供される。例えば、customer Transfer PINは、契約変更元のオペレータからウェブサイトなどを経由して、初期のcustomer IDと対応付けられた状態で当該ユーザに提供される。customer Transfer PINによって、当該ユーザに成りすました他者ではなく、当該ユーザが当該利用契約の変更に関するトランザクションを実行しているか否かを確認できる。或いは、customer Transfer PINは、当該オペレータから郵送による書面などによってユーザに通知される形態でもよい。

　UE200のユーザは、初期のcustomer IDをUE200（実際にはeUICC100）に入力することによって、当該オペレータを経由した通信サービスの利用が可能となる。この場合、eUICC100とHSS300との間において、既存のAKA手順に基づく処理が実行される。

　このような前提条件を満たした上で、つまり、HSS300を管理するオペレータ（第１のオペレータ）と契約を有するUE200（eUICC100）は、HSS400を管理するオペレータ（第２のオペレータ）に当該契約先を変更することに伴い、加入者プロファイルの転送準備を開始する。

　具体的には、eUICC100は、UE200のユーザによって入力されたUICC Transfer PINを取得する（S5）。UICC Transfer PINは、eUICC100に対して固有であり、UE200のユーザのみが知り得る情報である。UICC Transfer PINによって、eUICC100が加入者プロファイルの転送を要求していることを確認し、第三者による不正な加入者プロファイルの転送を防止している。つまり、UICC Transfer PINがUE200を介してeUICC100に入力されない限り、加入者プロファイルの転送は開始できない。

　eUICC100は、妥当なUICC Transfer PINに基づいてtransfer RequestをUE200に送信する（S10）。transfer Requestには、UICC Transfer PIN、new Operator ID及びcustomer Transfer PINが含まれる。なお、customer Transfer PINは、UE200がUE200のユーザに入力を要求することによって取得される。

　UE200は、受信したtransfer Requestに基づいて、operator Transfer Nonceを生成する（S15）。

　new Operator IDは、当該ユーザの要求に基づいて決定され、加入者プロファイルの転送先（契約変更先）のオペレータを指示する識別子である。operator Transfer Nonceは、eUICC100及びHSS300に加入者プロファイルの転送準備を指示する。なお、Nonceとは一度限りの番号であり、後述するステップにおいても、当該転送要求を他の転送要求と区別して特定することが可能となる。

　UE200は、eUICC100から送信されたtransfer Requestに対する応答であるtransfer PrepareをeUICC100に送信する（S20）。transfer Prepareには、new Operator ID、UICC Transfer PIN及びoperator Transfer Nonceが含まれる。

　また、UE200は、eUICC100から送信されたtransfer Requestに基づいて、HSS300にtransfer Requestを送信する（S30）。UE200がHSS300に送信するtransfer Requestには、new Operator ID、customer Transfer PIN及びoperator Transfer Nonceが含まれる。

　new Operator IDを取得したHSS300は、new Operator IDからnew HSS IDを割り出し、transfer okを送信する宛先（HSS）を取得するとともに、UE200から送信されたtransfer Requestに含まれるcustomer Transfer PINを確認する（S35）。HSS300は、割り出したnew HSS IDに基づいてHSS400にtransfer Requestを送信する。また、HSS400は、当該transfer Requestに対する応答であるtransfer okをHSS300に送信する（S40）。なお、当該transfer Request及びtransfer okは、HSS300とHSS400との間に設定されたsecure tunnelを介して送受信される。また、当該transfer Requestには、第１のオペレータにおいてUE200のユーザを識別するcustomer IDが含まれ、transfer okには、第２のオペレータにおいて当該ユーザを識別するnew Customer ID（例えば、IMSI）が含まれる。

　（３．２）eUICC100～HSS300（old HSS）間における転送設定
　図７は、eUICC100～HSS300（old HSS）間における転送設定シーケンスを示す。図７に示すように、eUICC100～HSS300（old HSS）との間において、eUICC100の転送設定プロセスが実行される。本実施形態では、既存のAKA（認証と鍵交換）手順を拡張し、当該プロセスを実現する。

　具体的には、HSS300は、User auth + transfer Setup ReqをeUICC100に送信するため、User auth + transfer Setup Reqに含まれる情報を生成する（S50）。より具体的には、HSS300は、対応する秘密鍵Kを確認し、AMF（Authentication Management Field, 3GPP TS33.102）、RAND（乱数）、SEQ（シーケンス番号、3GPP TS33.102）、operator Transfer Nonce及びenc New IDがeUICC～HSS間で改ざんされていないことを証明するメッセージ認証コード（MAC）を生成する。MACは、AMF（Authentication Management Field, 3GPP TS33.102）と、RAND及びSEQに加え、eUICC100～HSS300とで保有している秘密鍵Kと、UE200から送信されたoperator Transfer Nonceと、enc Tokenと、enc New IDとをパラメータとした関数により生成される。このように、MACの演算出力値は、operator Transfer Nonce、enc Token、enc New ID、transfer Token及びnew Customer IDなどがパラメータとして含まれ、eUICC100側において演算される値と当該演算出力値が同じである場合、eUICC100は、HSS300からのAUTN（認証トークン）が改ざんされていないことを認識する。また、transfer Tokenは、Diffie-Hellman(DH)鍵交換プロトコルに従ったMAC（DH-MAC）において、new HSSを認証するために必要となるものであり、最も重要な要素である。

　また、HSS300は、SEQ及び認証鍵AKの排他的論理和（XOR）と、AMFと、MACとを結合したAUTNを生成する。AUTNは、eUICC100の認証に用いられるセキュリティトークンである。

　enc Tokenは、転送鍵TKを用いてtransfer Tokenを暗号化したものである。同様に、enc New IDは、転送鍵TKを用いてnew Customer IDを暗号化したものである。転送鍵TKは、その都度鍵が異なるように生成される。具体的には、上述したステップS50のシーケンスが実行されるたびに鍵生成関数を用いて新たな転送鍵TKが生成される。ここで用いられるハッシュ関数は、秘密鍵Kと、RANDと、new Operator IDなどを鍵生成関数のパラメータとすることによって、該シーケンスの都度、転送鍵TKが変わる。このような処理によって、transfer Tokenやnew Customer IDがold HSS経由で安全にeUICC100に提供される。CKはサイファリング・キー（暗号化鍵）、IKはインテグリティ・キー（完全性を保つ鍵）であり、old-HSS～eUICC間において認証後（すなわちRESの合致後）に送信情報の暗号化と、情報の完全性を保つために利用される鍵であり、これらの鍵もこの段階でeUICC100に引き渡される。

　HSS300は、このような手順によって生成されたUser auth + transfer Setup ReqをeUICC100に送信する（S60）。

　eUICC100は、HSS300から送信されたUser auth + transfer Setup Reqに基づいて、eUICC100の認証及び一連の送信情報のデクリプション（復号）処理を実行する（S70）。具体的には、eUICC100は、User auth + transfer Setup Reqに含まれるAUTNの認証処理を実行する。まず、eUICC100は、送信されたRAND、AMF、自己の保有する秘密鍵K、SQN、enc Token、enc New ID、算出された認証鍵AK及びMAC値に基づいてAUTNを確認する。MAC値は、共有の秘密鍵K、SQN、送信されたRAND、送信されたAMF、事前に送信されているoperator Transfer Nonce、及びenc Tokenとenc New IDとの値から算出される。この後、eUICC100は、AUTNに含まれる情報を用いて転送鍵TKを演算する。転送鍵TKは、HSS300と同様の鍵生成関数を用いて、共有の秘密鍵K、事前に送信されているRAND、new Operator IDなどを含めて演算することによって導出される。

　最終的に、このTK値を用い、eUICC100は、AUTNに含まれるenc Tokenを復号し、transfer Tokenを取得する。同様に、eUICC100は、enc New IDに含まれるenc Tokenを復号し、new Customer IDを取得する。

　eUICC100は、AUTNの認証処理が正常に完了した場合、User auth + transfer Setup Reqに対する応答（RES）として、user auth respをHSS300に送信する（S80）。user auth respによって、HSS300は、eUICC100がHSS300との認証に加え、正常に加入者プロファイルの転送設定が完了したことを認識する。なお、正常に相互の認証と、加入者プロファイルの転送設定が完了したことは、expected-RESとRES（user auth resp）とが一致するか否かによって判定される。

　ステップS80までの処理が完了すると、eUICC100とHSS300（old HSS）とは、new HSSを認証可能なshared-Secret Keyを保有した状態となる。

　（３．３）eUICC100～HSS400（new HSS）間における認証及び鍵交換
　図８は、eUICC100～HSS400（new HSS）間における認証及び鍵交換シーケンスを示す。図８に示すように、HSS300は、HSS300とHSS400との間に設定されたsecure tunnelを介して、加入者プロファイルの転送設定（setup Transfer）をHSS400に要求する（S90）。setup Transferには、transfer Tokenが含まれている。transfer Tokenは、secure tunnelを介してHSS400に通知されるため、暗号化された状態で安全にHSS400にtransfer Tokenを提供できる。

　HSS400は、HSS300から送信されたsetup Transferに基づいて、DH initial messageをeUICC100に送信する（S100）。DH initial messageには、RANDと、new Operator IDと、new Customer IDと、DHi（DHにおけるイニシエータの公開値）と、HSS400がHSS300から受信したtransfer TokenをパラメータとしてHMAC（Hash-based Message Authentication Code）で計算した値とが含まれる。つまり、HSS400は、Diffie-Hellman鍵交換プロトコル（DH）に基づいて鍵の交換を行うが、transfer Tokenを用いたMAC（メッセージ認証コード）を生成し、このようなMACを含むDH initial messageをeUICC100に送信することによって、eUICC100においてHSS400からのメッセージであることの認証処理が実行される。

　eUICC100は、HSS400から送信されたDH initial messageに対する応答であるDH response messageをHSS400に送信する（S110）。DH initial messageには、DHr（DHにおけるレスポンダの公開値）と、DHiと、new Operator IDと、new Customer IDと、HSS300から受信したtransfer TokenをパラメータとしてHMACで計算した値とが含まれる。ステップS100と同様に、eUICC100は、transfer Tokenを用いたMAC（メッセージ認証コード）を生成し、このようなMACを含むDH initial messageをHSS400に送信することによって、HSS400においてeUICC100からのメッセージであることの認証処理が実行される。

　ステップS110までの処理が完了すると、eUICC100とHSS400とは、shared-Secret Keyを生成可能となり、shared-Secret Keyを保有することができる。ここで、図９は、DHに基づいたeUICC100とHSS400とによるshared-Secret Keyの生成シーケンスを示す。

　図９に示すように、eUICC100は乱数aを選択し、HSS400（new HSS）は乱数bを選択する（S210, S220）。HSS400は、選択した乱数bを用いた関数f(b)をeUICC100に送信する（S230）。同様に、eUICC100は、選択した乱数aを用いた関数f(a)をeUICC100に送信する（S240）。

　eUICC100は、DHに基づいて、選択した乱数aと、関数f(b)とを用いてshared-Secret Keyを生成する（S250）。同様に、HSS400は、DHに基づいて、選択した乱数bと、関数f(a)とを用いてshared-Secret Keyを生成する（S260）。

　このように生成されたshared-Secret Keyは、eUICC100とHSS400とが保有するのみであり、HSS300は、当該shared-Secret Keyを知り得ない。

　このようにshared-Secret KeyがeUICC100とHSS400とで保有された状態において、eUICC100及びHSS400は、これまでのシーケンス（SEQ）をリセットする（S120）。また、HSS400は、次の加入者プロファイルの転送に備えて、新たなcustomer Transfer PINを設定する。

　別ルートで新たなcustomer Transfer PINを通知（例えば、書面による通知やウェブサイトを利用して通知）されたユーザは、UE200に対して、select new subscriptionを指示する。UE200は、select new subscriptionの指示に基づいて、第２のオペレータへの接続指示をeUICC100に転送する（S130）。eUICC100は、当該接続指示に基づいて、生成したshared-Secret Keyを用いて安全な通信環境を確立している中で、共有の秘密鍵K、通常のUMTS AKA、及びアタッチ手順の実行に必要な情報を交換し、その後当該subscription（秘密鍵KやIMSI）に基づいてHSS400との通常のアタッチ手順を実行する（S140）。

　また、HSS400は、生成したshared-Secret Keyを用いた最初の処理が完了後、第１のオペレータ用のUE200のsubscriptionの消去をHSS300（old HSS）に対して要求（cancel subscription）し、HSS300は、当該subscriptionを消去したことを応答（cancel subscription ack）する（S150）。

　（４）作用・効果
　上述した本実施形態に係る加入者プロファイル転送システム（eUICC100、UE200、HSS300及びHSS400）によれば、UICC Transfer PINやcustomer Transfer PINを用いることによって、加入者プロファイルの転送の対象となるeUICCやユーザ（契約加入者）を安全かつ確実に特定することができる。

　また、transfer Tokenは、既に認証されているeUICC100とHSS300との間で交換される。具体的には、transfer Tokenが暗号化されたenc Tokenは、HSS300（old HSS）からeUICC100に送信される（図７のステップS50参照）。さらに、transfer Tokenは、secure tunnelを介してHSS300からHSS400（new HSS）に送信される（図８のステップS90参照）。次いで、HSS400は、transfer Tokenを含むDH initial messageをeUICC100に送信する（図７のステップS100参照）ことによって、transfer Tokenを用いたeUICC100とnew HSSとの間における認証、及び当該認証後におけるeUICC100とHSS400とのみで保有されるshared-Secret Keyの生成を実現している。このため、eUICC100とHSS400とは、当該shared-Secret Keyを用いた安全な通信環境において、転送すべき加入者プロファイルを交換できる。

　すなわち、本実施形態に係る加入者プロファイル転送システムによれば、各オペレータの設備と接続されたSubscription Manager（SM）を用いることなく、オペレータ間においてeUICCの活性化に必要となる加入者プロファイルなどを安全に転送し得る。

　また、本実施形態では、operator Transfer NonceがUE200からHSS300に送信されるtransfer Requestと、UE200からeUICC100に送信されるtransfer Prepareとに含まれる。また、operator Transfer Nonceは、HSS300からeUICC100に送信されるUser auth + transfer Setup Reqにも含まれる。このため、eUICC100は、受信したUser auth + transfer Setup Reqが、eUICC100からのtransfer Requestに基づくものであるか否かを一意に特定でき、eUICC100に対する不正な転送要求を排除できる。

　さらに、本実施形態では、UICC Transfer PINは、UE200のユーザによって入力されるため、当該ユーザの契約先のオペレータの変更意思を確実に確認することができる。

　（５）その他の実施形態
　上述したように、本発明の一実施形態を通じて本発明の内容を開示したが、この開示の一部をなす論述及び図面は、本発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態が明らかとなろう。

　例えば、上述した実施形態では、所定の鍵交換プロトコルとして、Diffie-Hellman鍵交換プロトコルに基づくDH-HMACを例として説明したが、当該鍵交換プロトコルは、DH-HMACに限定されず、鍵配送センタなどを用いない公開鍵手法を基づく方式であれば、Diffie-Hellmanに基づく他のプロトコルを用いても構わない。

　また、上述した実施形態では、UICC Transfer PINを用いていたが、UICC Transfer PINは必須ではなく、省略しても構わない。同様に、operator Transfer Nonceも必須ではなく、省略しても構わない。

　なお、本発明の特徴は、以下のように表現されてもよい。本発明の第１の特徴は、ユーザ装置と、前記ユーザ装置に組み込まれる加入者識別モジュールである組み込み型加入者識別モジュールと、第１のオペレータが管理する第１の加入者サーバと、第２のオペレータが管理する第２の加入者サーバとを用い、前記ユーザ装置に対応付けられる加入者プロファイルを前記第１のオペレータから前記第２のオペレータに転送する加入者プロファイル転送方法であって、前記組み込み型加入者識別モジュールが、前記組み込み型加入者識別モジュールと対応付けられるモジュール転送識別子と、前記加入者プロファイルの転送と対応付けられるオペレータ転送用一時番号と、前記ユーザ装置のユーザが前記転送を認証したことを示す加入者転送識別子と、前記第２のオペレータを識別する新オペレータ識別子とを含む前記加入者プロファイルの転送要求を前記ユーザ装置に送信するステップと、前記ユーザ装置が、前記第２の加入者サーバを識別する加入者転送識別子と、前記加入者転送識別子と、前記オペレータ転送用一時番号とを含む転送要求を前記第１の加入者サーバに送信するとともに、前記新オペレータ識別子と、前記モジュール転送識別子と、前記オペレータ転送用一時番号とを含む転送準備指令を前記組み込み型加入者識別モジュールに送信するステップと、前記第１の加入者サーバが、前記第２の加入者サーバと設定された安全な通信路を介して、前記ユーザ装置と対応付けられる加入者識別子を含む転送要求を前記第２の加入者サーバに送信し、前記第２のオペレータにおいて前記ユーザ装置を識別する新加入者識別子を含む応答を前記第２の加入者サーバから受信するステップと、前記第１の加入者サーバが、前記第１の加入者サーバと前記組み込み型加入者識別モジュールとで保有している秘密鍵を用いて転送鍵を生成し、前記転送鍵を用いて、転送用の一時的な演算子である転送トークンを暗号化した暗号化トークンを生成し、前記転送鍵を用いて、前記新加入者識別子を暗号化した暗号化新識別子を生成し、前記オペレータ転送用一時番号と、前記暗号化トークンと、前記暗号化新識別子とを含むメッセージ認証コードを生成し、前記メッセージ認証コードを用いて生成した認証トークンと、前記暗号化トークンと、前記暗号化新識別子とを含むユーザ認証・転送設定要求を前記組み込み型加入者識別モジュールに送信するステップと、前記組み込み型加入者識別モジュールが、前記認証トークンを認証するとともに前記転送鍵を演算し、前記転送鍵を用いて前記暗号化トークンを復号した前記転送トークンを取得し、前記転送鍵を用いて前記暗号化新識別子を復号した前記新加入者識別子を取得し、前記ユーザ認証・転送設定要求に対するユーザ認証応答を前記第１の加入者サーバに送信するステップと、前記第１の加入者サーバが、前記安全な通信路を介して前記転送トークンを前記第２の加入者サーバに送信するステップと、前記第２の加入者サーバが、所定の鍵交換プロトコルに従って、前記新オペレータ識別子と、前記新加入者識別子と、前記転送トークンを含むメッセージ認証コードとを含むメッセージを前記組み込み型加入者識別モジュールに送信するステップと、前記組み込み型加入者識別モジュール及び前記第２の加入者サーバそれぞれが、前記転送トークンを用いて、前記組み込み型加入者識別モジュールと前記第２の加入者サーバとで共有される共有秘密鍵を生成し、生成した前記共有秘密鍵と、前記新加入者識別子とを用いて前記第２の加入者サーバへのアタッチ手順を実行するステップとを含むことを要旨とする。

　本発明の第２の特徴は、UE200（ユーザ装置）と、前記ユーザ装置に組み込まれる加入者識別モジュールであるeUICC100（組み込み型加入者識別モジュール）と、第１のオペレータが管理するHSS300（第１の加入者サーバ）と、第２のオペレータが管理するHSS400（第２の加入者サーバ）とを用い、前記ユーザ装置に対応付けられる加入者プロファイルを前記第１のオペレータから前記第２のオペレータに転送する加入者プロファイル転送システムであって、前記組み込み型加入者識別モジュールが、前記組み込み型加入者識別モジュールと対応付けられるUICC Transfer PIN（モジュール転送識別子）と、前記加入者プロファイルの転送と対応付けられるoperator Transfer Nonce（オペレータ転送用一時番号）と、前記ユーザ装置のユーザが前記転送を認証したことを示すcustomer Transfer PIN（加入者転送識別子）と、前記第２のオペレータを識別するnew Operator ID（新オペレータ識別子）とを含む前記加入者プロファイルのtransfer Request（転送要求）を前記ユーザ装置に送信し、前記ユーザ装置が、前記第２の加入者サーバを識別するnew HSS ID（新加入者サーバ識別子）と、前記加入者転送識別子と、前記オペレータ転送用一時番号とを含む転送要求を前記第１の加入者サーバに送信するとともに、前記新オペレータ識別子と、前記モジュール転送識別子と、前記オペレータ転送用一時番号とを含むtransfer Prepare（転送準備指令）を前記組み込み型加入者識別モジュールに送信し、前記第１の加入者サーバが、前記第２の加入者サーバと設定された安全な通信路を介して、前記ユーザ装置と対応付けられる加入者識別子を含む転送要求を前記第２の加入者サーバに送信し、前記第２のオペレータにおいて前記ユーザ装置を識別するnew Customer ID（新加入者識別子）を含む応答を前記第２の加入者サーバから受信し、前記第１の加入者サーバが、前記第１の加入者サーバと前記組み込み型加入者識別モジュールとで保有している秘密鍵K（秘密鍵）を用いて転送鍵TK（転送鍵）を生成し、前記転送鍵を用いて、転送用の一時的な演算子であるtransfer Token（転送トークン）を暗号化したenc Token（暗号化トークン）を生成し、前記転送鍵を用いて、前記新加入者識別子を暗号化したenc New ID（暗号化新識別子）を生成し、前記オペレータ転送用一時番号と、前記暗号化トークンと、前記暗号化新識別子とを含むMAC（メッセージ認証コード）を生成し、前記メッセージ認証コードを用いて生成したAUTN（認証トークン）と、前記暗号化トークンと、前記暗号化新識別子とを含むUser auth + transfer Setup Req（ユーザ認証・転送設定要求）を前記組み込み型加入者識別モジュールに送信し、前記組み込み型加入者識別モジュールが、前記認証トークンを認証するとともに前記転送鍵を演算し、前記転送鍵を用いて前記暗号化トークンを復号した前記転送トークンを取得し、前記転送鍵を用いて前記暗号化新識別子を復号した前記新加入者識別子を取得し、前記ユーザ認証・転送設定要求に対するuser auth resp（ユーザ認証応答）を前記第１の加入者サーバに送信し、前記第１の加入者サーバが、前記安全な通信路を介して前記転送トークンを前記第２の加入者サーバに送信し、前記第２の加入者サーバが、Diffie-Hellman鍵交換プロトコル（所定の鍵交換プロトコル）に従って、前記新オペレータ識別子と、前記新加入者識別子と、前記転送トークンを含むメッセージ認証コードとを含むDH initial message（メッセージ）を前記組み込み型加入者識別モジュールに送信し、前記組み込み型加入者識別モジュール及び前記第２の加入者サーバそれぞれが、前記転送トークンを用いて、前記組み込み型加入者識別モジュールと前記第２の加入者サーバとで共有されるshared-Secret Key（共有秘密鍵）を生成し、生成した前記共有秘密鍵と、前記新加入者識別子とを用いて前記第２の加入者サーバへのアタッチ手順を実行することを要旨とする。

　本発明の第２の特徴において、前記第２の加入者サーバは、Diffie-Hellman鍵交換プロトコルに従って、前記メッセージを生成し、生成した前記メッセージを前記組み込み型加入者識別モジュールに送信し、前記組み込み型加入者識別モジュール及び前記第２の加入者サーバそれぞれは、前記Diffie-Hellman鍵交換プロトコルに従って前記共有秘密鍵を生成してもよい。

　本発明の第２の特徴において、前記メッセージ認証コードは、前記秘密鍵と、乱数と、シーケンス番号と、前記オペレータ転送用一時番号とをパラメータとした関数であってもよい。

　本発明の第４の特徴は、ユーザ装置に組み込まれる加入者識別モジュールである組み込み型加入者識別モジュールと、前記ユーザ装置の利用契約の移転先のオペレータが管理する加入者サーバとを用いた鍵共有方法であって、前記加入者サーバが、Diffie-Hellman鍵交換プロトコルに従って、選択した乱数を含むメッセージを前記組み込み型加入者識別モジュールに送信するステップ（ａ）と、前記組み込み型加入者識別モジュールが、Diffie-Hellman鍵交換プロトコルに従って、選択した乱数を含むメッセージを前記加入者サーバに送信するステップ（ｂ）と、前記加入者サーバが、前記組み込み型加入者識別モジュールから受信した前記メッセージと、前記ステップ（ａ）で選択した乱数とを用いて、前記組み込み型加入者識別モジュールと前記加入者サーバとで共有される共有秘密鍵を生成するステップ（ｃ）と、前記組み込み型加入者識別モジュールが、前記加入者サーバから受信した前記メッセージと、前記ステップ（ｂ）で選択した乱数とを用いて、前記共有秘密鍵を生成するステップ（ｄ）と
を含むことを要旨とする。

　本発明の第５の特徴は、ユーザ装置に組み込まれる加入者識別モジュールである組み込み型加入者識別モジュールと、第１のオペレータが管理する第１の加入者サーバと、第２のオペレータが管理する第２の加入者サーバとを用いて、転送用の一時的な演算子である転送トークンを共有する転送トークン共有方法であって、前記第１の加入者サーバが、前記転送トークンを選択するステップ（ａ）と、前記第１の加入者サーバが、前記転送トークンを含むユーザ認証・転送設定要求を前記組み込み型加入者識別モジュールに送信するステップ（ｂ）と、前記第１の加入者サーバが、安全な通信路を介して前記転送トークンを前記第２の加入者サーバに送信するステップ（ｃ）と、前記組み込み型加入者識別モジュールが、前記ユーザ認証・転送設定要求に対するユーザ認証応答を前記第１の加入者サーバに送信するステップ（ｄ）とを含むことを要旨とする。

　本発明の第６の特徴は、組み込み型加入者識別モジュールを備えるユーザ装置のオペレータを第１のオペレータから第２のオペレータに移転する移転手続を開始する移転認証方法であって、前記ユーザ装置が、前記ユーザ装置のユーザが前記移転を認証したことを示す加入者転送識別子を含む転送要求を前記第１のオペレータが管理する第１の加入者サーバに送信するステップ（ａ）と、前記ユーザ装置が、前記組み込み型加入者識別モジュールと対応付けられるモジュール転送識別子を含む転送準備指令を前記組み込み型加入者識別モジュールに送信するステップ（ｂ）とを含むことを要旨とする。

　本発明の第７の特徴は、組み込み型の加入者識別モジュールである組み込み型加入者識別モジュールを備えるユーザ装置であって、前記ユーザ装置のユーザが、前記ユーザ装置のオペレータを第１のオペレータから第２のオペレータに移転を認証したことを示す加入者転送識別子を含む転送要求を前記第１のオペレータが管理する第１の加入者サーバに送信することを要旨とする。

　本発明の第８の特徴は、組み込み型の加入者識別モジュールである組み込み型加入者識別モジュールを備えるユーザ装置であって、前記組み込み型加入者識別モジュールと対応付けられるモジュール転送識別子を含む転送準備指令を前記組み込み型加入者識別モジュールに送信することを要旨とする。

　本発明の第９の特徴は、ユーザ装置と、前記ユーザ装置に組み込まれる加入者識別モジュールである組み込み型加入者識別モジュールと、前記ユーザ装置のオペレータが管理する加入者サーバとを用いて、前記ユーザ装置のオペレータを新オペレータに移転する移転認証方法であって、前記ユーザ装置が、前記移転と対応付けられるオペレータ転送用一時番号を選択するステップ（ａ）と、前記ユーザ装置が、前記オペレータ転送用一時番号を含む転送準備指令を前記組み込み型加入者識別モジュールに送信するステップ（ｂ）と、前記ユーザ装置が、前記オペレータ転送用一時番号を含む転送要求を、前記加入者サーバに送信するステップ（ｃ）と、前記加入者サーバが、前記オペレータ転送用一時番号を含むユーザ認証・転送設定要求を前記組み込み型加入者識別モジュールに送信するステップ（ｄ）と、前記組み込み型加入者識別モジュールが、前記ステップ（ｂ）において取得した前記オペレータ転送用一時番号と、前記ステップ（ｄ）において取得した前記オペレータ転送用一時番号とに基づいて、前記オペレータ転送用一時番号を認証するステップ（ｅ）とを含むことを要旨とする。

　本発明の第１０の特徴は、ユーザ装置に組み込まれる加入者識別モジュールである組み込み型加入者識別モジュールと、第１のオペレータが管理する第１の加入者サーバと、第２のオペレータが管理する第２の加入者サーバとを用いて、前記ユーザ装置のオペレータの前記第１のオペレータから前記第２のオペレータへの移転を確認する移転確認方法であって、前記第１の加入者サーバが、前記ユーザ装置と対応付けられる加入者識別子を含む転送要求を前記第２の加入者サーバに送信するステップ（ａ）と、前記第２の加入者サーバが、記第２のオペレータにおいて前記ユーザ装置を識別する新加入者識別子を含む応答を前記第１の加入者サーバに送信するステップ（ｂ）と、前記第１の加入者サーバが、前記新加入者識別子を含むユーザ認証・転送設定要求を前記組み込み型加入者識別モジュールに送信するステップ（ｃ）とを含むことを要旨とする。

　このように、本発明は、ここでは記載していない様々な実施の形態などを含むことは勿論である。したがって、本発明の技術的範囲は、上述の説明から妥当な請求の範囲に係る発明特定事項によってのみ定められるものである。

　なお、日本国特許出願第２０１３-１７４６２２号（２０１３年８月２６日出願）の全内容が、参照により、本願明細書に組み込まれている。

　本発明の特徴によれば、Subscription Manager（SM）を用いることなく、通信事業者（オペレータ）間においてeUICCの活性化に必要となる加入者プロファイルなどを安全に転送し得る加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置を提供することができる。

　10…移動通信システム
　20, 25…移動通信ネットワーク
　30…無線基地局
　100…eUICC
　101…加入者プロファイル記憶部
　103…転送要求送受信部
　105…ユーザ認証応答送受信部
　107…DHメッセージ処理部
　109…アタッチ手順プロファイル処理部
　200…UE
　201…転送要求処理部
　203…転送準備指令送信部
　205…情報中継部
　300…HSS
　301…情報送受信部
　303…転送要求処理部
　305…ユーザ認証・転送設定要求送信部
　307…加入者プロファイル処理部
　400…HSS
　401…情報送受部
　403…転送要求処理部
　405…転送トークン取得部
　407…DHメッセージ処理部
　409…アタッチ手順プロファイル処理部

Claims

　ユーザ装置と、
　前記ユーザ装置に組み込まれる加入者識別モジュールである組み込み型加入者識別モジュールと、
　第１のオペレータが管理する第１の加入者サーバと、
　第２のオペレータが管理する第２の加入者サーバと
を用い、前記ユーザ装置に対応付けられる加入者プロファイルを前記第１のオペレータから前記第２のオペレータに転送する加入者プロファイル転送方法であって、
　前記組み込み型加入者識別モジュールが、前記組み込み型加入者識別モジュールと対応付けられるモジュール転送識別子と、前記加入者プロファイルの転送と対応付けられるオペレータ転送用一時番号と、前記ユーザ装置のユーザが前記転送を認証したことを示す加入者転送識別子と、前記第２のオペレータを識別する新オペレータ識別子とを含む前記加入者プロファイルの転送要求を前記ユーザ装置に送信するステップと、
　前記ユーザ装置が、前記第２の加入者サーバを識別する新加入者サーバ識別子と、前記加入者転送識別子と、前記オペレータ転送用一時番号とを含む転送要求を前記第１の加入者サーバに送信するとともに、前記新オペレータ識別子と、前記モジュール転送識別子と、前記オペレータ転送用一時番号とを含む転送準備指令を前記組み込み型加入者識別モジュールに送信するステップと、
　前記第１の加入者サーバが、前記第２の加入者サーバと設定された安全な通信路を介して、前記ユーザ装置と対応付けられる加入者識別子を含む転送要求を前記第２の加入者サーバに送信し、前記第２のオペレータにおいて前記ユーザ装置を識別する新加入者識別子を含む応答を前記第２の加入者サーバから受信するステップと、
　前記第１の加入者サーバが、
　前記第１の加入者サーバと前記組み込み型加入者識別モジュールとで保有している秘密鍵を用いて転送鍵を生成し、
　前記転送鍵を用いて、転送用の一時的な演算子である転送トークンを暗号化した暗号化トークンを生成し、
　前記転送鍵を用いて、前記新加入者識別子を暗号化した暗号化新識別子を生成し、
　前記オペレータ転送用一時番号と、前記暗号化トークンと、前記暗号化新識別子とを含むメッセージ認証コードを生成し、
　前記メッセージ認証コードを用いて生成した認証トークンと、前記暗号化トークンと、前記暗号化新識別子とを含むユーザ認証・転送設定要求を前記組み込み型加入者識別モジュールに送信するステップと、
　前記組み込み型加入者識別モジュールが、
　前記認証トークンを認証するとともに前記転送鍵を演算し、
　前記転送鍵を用いて前記暗号化トークンを復号した前記転送トークンを取得し、
　前記転送鍵を用いて前記暗号化新識別子を復号した前記新加入者識別子を取得し、
　前記ユーザ認証・転送設定要求に対するユーザ認証応答を前記第１の加入者サーバに送信するステップと、
　前記第１の加入者サーバが、前記安全な通信路を介して前記転送トークンを前記第２の加入者サーバに送信するステップと、
　前記第２の加入者サーバが、所定の鍵交換プロトコルに従って、前記新オペレータ識別子と、前記新加入者識別子と、前記転送トークンを含むメッセージ認証コードとを含むメッセージを前記組み込み型加入者識別モジュールに送信するステップと、
　前記組み込み型加入者識別モジュール及び前記第２の加入者サーバそれぞれが、前記転送トークンを用いて、前記組み込み型加入者識別モジュールと前記第２の加入者サーバとで共有される共有秘密鍵を生成し、生成した前記共有秘密鍵と、前記新加入者識別子とを用いて前記第２の加入者サーバへのアタッチ手順を実行するステップと
を含む加入者プロファイル転送方法。
　ユーザ装置と、
　前記ユーザ装置に組み込まれる加入者識別モジュールである組み込み型加入者識別モジュールと、
　第１のオペレータが管理する第１の加入者サーバと、
　第２のオペレータが管理する第２の加入者サーバと
を用い、前記ユーザ装置に対応付けられる加入者プロファイルを前記第１のオペレータから前記第２のオペレータに転送する加入者プロファイル転送システムであって、
　前記組み込み型加入者識別モジュールが、前記組み込み型加入者識別モジュールと対応付けられるモジュール転送識別子と、前記加入者プロファイルの転送と対応付けられるオペレータ転送用一時番号と、前記ユーザ装置のユーザが前記転送を認証したことを示す加入者転送識別子と、前記第２のオペレータを識別する新オペレータ識別子とを含む前記加入者プロファイルの転送要求を前記ユーザ装置に送信し、
　前記ユーザ装置が、前記第２の加入者サーバを識別する新加入者サーバ識別子と、前記加入者転送識別子と、前記オペレータ転送用一時番号とを含む転送要求を前記第１の加入者サーバに送信するとともに、前記新オペレータ識別子と、前記モジュール転送識別子と、前記オペレータ転送用一時番号とを含む転送準備指令を前記組み込み型加入者識別モジュールに送信し、
　前記第１の加入者サーバが、前記第２の加入者サーバと設定された安全な通信路を介して、前記ユーザ装置と対応付けられる加入者識別子を含む転送要求を前記第２の加入者サーバに送信し、前記第２のオペレータにおいて前記ユーザ装置を識別する新加入者識別子を含む応答を前記第２の加入者サーバから受信し、
　前記第１の加入者サーバが、
　前記第１の加入者サーバと前記組み込み型加入者識別モジュールとで保有している秘密鍵を用いて転送鍵を生成し、
　前記転送鍵を用いて、転送用の一時的な演算子である転送トークンを暗号化した暗号化トークンを生成し、
　前記転送鍵を用いて、前記新加入者識別子を暗号化した暗号化新識別子を生成し、
　前記オペレータ転送用一時番号と、前記暗号化トークンと、前記暗号化新識別子とを含むメッセージ認証コードを生成し、
　前記メッセージ認証コードを用いて生成した認証トークンと、前記暗号化トークンと、前記暗号化新識別子とを含むユーザ認証・転送設定要求を前記組み込み型加入者識別モジュールに送信し、
　前記組み込み型加入者識別モジュールが、
　前記認証トークンを認証するとともに前記転送鍵を演算し、
　前記転送鍵を用いて前記暗号化トークンを復号した前記転送トークンを取得し、
　前記転送鍵を用いて前記暗号化新識別子を復号した前記新加入者識別子を取得し、
　前記ユーザ認証・転送設定要求に対するユーザ認証応答を前記第１の加入者サーバに送信し、
　前記第１の加入者サーバが、前記安全な通信路を介して前記転送トークンを前記第２の加入者サーバに送信し、
　前記第２の加入者サーバが、所定の鍵交換プロトコルに従って、前記新オペレータ識別子と、前記新加入者識別子と、前記転送トークンを含むメッセージ認証コードとを含むメッセージを前記組み込み型加入者識別モジュールに送信し、
　前記組み込み型加入者識別モジュール及び前記第２の加入者サーバそれぞれが、前記転送トークンを用いて、前記組み込み型加入者識別モジュールと前記第２の加入者サーバとで共有される共有秘密鍵を生成し、生成した前記共有秘密鍵と、前記新加入者識別子とを用いて前記第２の加入者サーバへのアタッチ手順を実行する加入者プロファイル転送システム。
　前記第２の加入者サーバは、Diffie-Hellman鍵交換プロトコルに従って、前記メッセージを生成し、生成した前記メッセージを前記組み込み型加入者識別モジュールに送信し、
　前記組み込み型加入者識別モジュール及び前記第２の加入者サーバそれぞれは、前記Diffie-Hellman鍵交換プロトコルに従って前記共有秘密鍵を生成する請求項２に記載の加入者プロファイル転送システム。
　前記メッセージ認証コードは、前記秘密鍵と、乱数と、シーケンス番号と、前記オペレータ転送用一時番号とをパラメータとした関数である請求項２に記載の加入者プロファイル転送システム。
　組み込み型の加入者識別モジュールである組み込み型加入者識別モジュールを備えるユーザ装置であって、
　前記組み込み型加入者識別モジュールが、前記組み込み型加入者識別モジュールと対応付けられるモジュール転送識別子と、前記ユーザ装置に対応付けられる加入者プロファイルの転送と対応付けられるオペレータ転送用一時番号と、前記ユーザ装置のユーザが前記転送を認証したことを示す加入者転送識別子と、第１のオペレータと異なる第２のオペレータを識別する新オペレータ識別子とを含む前記加入者プロファイルの転送要求を前記ユーザ装置に送信し、
　前記ユーザ装置が、前記第２のオペレータが管理する第２の加入者サーバを識別する新加入者サーバ識別子と、前記加入者転送識別子と、前記オペレータ転送用一時番号とを含む転送要求を前記第１のオペレータが管理する第１の加入者サーバに送信するとともに、前記新オペレータ識別子と、前記モジュール転送識別子と、前記オペレータ転送用一時番号とを含む転送準備指令を前記組み込み型加入者識別モジュールに送信し、
　前記組み込み型加入者識別モジュールが、
　第１のオペレータが管理する第１の加入者サーバから送信された認証トークンを認証するとともに、前記第１の加入者サーバと前記組み込み型加入者識別モジュールとで保有している秘密鍵を用いて転送鍵を演算し、
　前記転送鍵を用いて暗号化トークンを復号することによって、転送用の一時的な演算子である転送トークンを取得し、
　前記転送鍵を用いて暗号化新識別子を復号することによって、第２のオペレータにおいて前記ユーザ装置を識別する新加入者識別子を取得し、
　前記認証トークンと、前記暗号化トークンと、前記暗号化新識別子とを含むユーザ認証・転送設定要求に対するユーザ認証応答を前記第１の加入者サーバに送信し、
　前記転送トークンを用いて、前記組み込み型加入者識別モジュールと前記第２のオペレータが管理する第２の加入者サーバとで共有される共有秘密鍵を生成し、生成した前記共有秘密鍵と、前記新加入者識別子とを用いて前記第２の加入者サーバへのアタッチ手順を実行するユーザ装置。
　ユーザ装置に組み込まれる加入者識別モジュールである組み込み型加入者識別モジュールと、前記ユーザ装置の利用契約の移転先のオペレータが管理する加入者サーバとを用いた鍵共有方法であって、
　前記加入者サーバが、Diffie-Hellman鍵交換プロトコルに従って、選択した乱数を含むメッセージを前記組み込み型加入者識別モジュールに送信するステップ（ａ）と、
　前記組み込み型加入者識別モジュールが、Diffie-Hellman鍵交換プロトコルに従って、選択した乱数を含むメッセージを前記加入者サーバに送信するステップ（ｂ）と、
　前記加入者サーバが、前記組み込み型加入者識別モジュールから受信した前記メッセージと、前記ステップ（ａ）で選択した乱数とを用いて、前記組み込み型加入者識別モジュールと前記加入者サーバとで共有される共有秘密鍵を生成するステップ（ｃ）と、
　前記組み込み型加入者識別モジュールが、前記加入者サーバから受信した前記メッセージと、前記ステップ（ｂ）で選択した乱数とを用いて、前記共有秘密鍵を生成するステップ（ｄ）と
を含む鍵共有方法。
　ユーザ装置に組み込まれる加入者識別モジュールである組み込み型加入者識別モジュールと、
　第１のオペレータが管理する第１の加入者サーバと、
　第２のオペレータが管理する第２の加入者サーバと
を用いて、転送用の一時的な演算子である転送トークンを共有する転送トークン共有方法であって、
　前記第１の加入者サーバが、前記転送トークンを選択するステップ（ａ）と、
　前記第１の加入者サーバが、前記転送トークンを含むユーザ認証・転送設定要求を前記組み込み型加入者識別モジュールに送信するステップ（ｂ）と、
　前記第１の加入者サーバが、安全な通信路を介して前記転送トークンを前記第２の加入者サーバに送信するステップ（ｃ）と、
　前記組み込み型加入者識別モジュールが、前記ユーザ認証・転送設定要求に対するユーザ認証応答を前記第１の加入者サーバに送信するステップ（ｄ）と
を含む転送トークン共有方法。
　組み込み型加入者識別モジュールを備えるユーザ装置のオペレータを第１のオペレータから第２のオペレータに移転する移転手続を開始する移転認証方法であって、
　前記ユーザ装置が、前記ユーザ装置のユーザが前記移転を認証したことを示す加入者転送識別子を含む転送要求を前記第１のオペレータが管理する第１の加入者サーバに送信するステップ（ａ）と、
　前記ユーザ装置が、前記組み込み型加入者識別モジュールと対応付けられるモジュール転送識別子を含む転送準備指令を前記組み込み型加入者識別モジュールに送信するステップ（ｂ）と
を含む移転認証方法。
　組み込み型の加入者識別モジュールである組み込み型加入者識別モジュールを備えるユーザ装置であって、
　前記ユーザ装置のユーザが、前記ユーザ装置のオペレータを第１のオペレータから第２のオペレータに移転を認証したことを示す加入者転送識別子を含む転送要求を前記第１のオペレータが管理する第１の加入者サーバに送信するユーザ装置。
　組み込み型の加入者識別モジュールである組み込み型加入者識別モジュールを備えるユーザ装置であって、
　前記組み込み型加入者識別モジュールと対応付けられるモジュール転送識別子を含む転送準備指令を前記組み込み型加入者識別モジュールに送信するユーザ装置。
　ユーザ装置と、
　前記ユーザ装置に組み込まれる加入者識別モジュールである組み込み型加入者識別モジュールと、
　前記ユーザ装置のオペレータが管理する加入者サーバと
を用いて、前記ユーザ装置のオペレータを新オペレータに移転する移転認証方法であって、
　前記ユーザ装置が、前記移転と対応付けられるオペレータ転送用一時番号を選択するステップ（ａ）と、
　前記ユーザ装置が、前記オペレータ転送用一時番号を含む転送準備指令を前記組み込み型加入者識別モジュールに送信するステップ（ｂ）と、
　前記ユーザ装置が、前記オペレータ転送用一時番号を含む転送要求を、前記加入者サーバに送信するステップ（ｃ）と、
　前記加入者サーバが、前記オペレータ転送用一時番号を含むユーザ認証・転送設定要求を前記組み込み型加入者識別モジュールに送信するステップ（ｄ）と、
　前記組み込み型加入者識別モジュールが、前記ステップ（ｂ）において取得した前記オペレータ転送用一時番号と、前記ステップ（ｄ）において取得した前記オペレータ転送用一時番号とに基づいて、前記オペレータ転送用一時番号を認証するステップ（ｅ）と
を含む移転認証方法。
　ユーザ装置に組み込まれる加入者識別モジュールである組み込み型加入者識別モジュールと、
　第１のオペレータが管理する第１の加入者サーバと、
　第２のオペレータが管理する第２の加入者サーバと
を用いて、前記ユーザ装置のオペレータの前記第１のオペレータから前記第２のオペレータへの移転を確認する移転確認方法であって、
　前記第１の加入者サーバが、前記ユーザ装置と対応付けられる加入者識別子を含む転送要求を前記第２の加入者サーバに送信するステップ（ａ）と、
　前記第２の加入者サーバが、記第２のオペレータにおいて前記ユーザ装置を識別する新加入者識別子を含む応答を前記第１の加入者サーバに送信するステップ（ｂ）と、
　前記第１の加入者サーバが、前記新加入者識別子を含むユーザ認証・転送設定要求を前記組み込み型加入者識別モジュールに送信するステップ（ｃ）と
を含む移転確認方法。