Способ и сервер для управления профилем

Уровень техники

Изобретение относится к области подачи профиля в защищенный элемент, внедренный в терминал мобильной передачи данных.

В качестве основного момента, следует отметить, что "профиль" в контексте изобретения представляет собой набор файлов, данных и приложений, установленных в защищенном элементе или предназначенных для установки в него, и обеспечивающий для терминала, в который встроен такой защищенный элемент, возможность доступа к услугам сети мобильной передачи данных, как определено профилем, после того, как профиль был активирован.

На фиг. 1 показан способ администрирования профилями в соответствии с текущим состоянием уровня техники. На фиг. 1 представлен сервер 300 администрирования профилем, маршрутизатор 200 и защищенный элемент 100, встроенный в мобильный терминал 80. Защищенный элемент 100 представляет собой элемент типа встроенной универсальной интегральной карты (eUICC) в соответствии с определением Ассоциации GSM (GSMA). Следует отметить, что в отличие от съемного модуля идентичности абонента (SIM), элемент eUICC представляет собой элемент, который, в общем, припаян (и который, в любом случае, не предназначен для его извлечения или замены), и который обеспечивает возможность защищенной замены профиля.

Предполагается, что сервер 300 администрирования профилем принимает запрос 301 на этапе S10 для активации профиля в защищенном элементе. Этот запрос может быть следующего типа:

request(enable-profile(EID, ICCID))

в котором:

- EID представляет собой уникальный идентификатор защищенного элемента eUICC; и

- ICCID представляет собой уникальный идентификатор для идентификации профиля в защищенном элементе.

Следует отметить, что активация профиля в защищенном элементе состоит в дезактивации текущего активного профиля и в активации нового профиля, установленного в запросе.

Возвращаясь к фиг. 1, сервер 300 администрирования профиля поддерживает таблицу 300Т1 администрирования профиля для каждого защищенного элемента EID, как показано в Приложении А.

Эта таблица содержит для каждого профиля:

- идентификатор ICCID профиля в защищенном элементе EID;

- тип профиля. В примере Приложения А таблица имеет один подготовительный профиль и два операционных профиля Р1 и Р2;

- состояние профиля: деактивированный или активированный; и

- номер телефона MSISDN, ассоциированный с профилем.

В этом примере следует отметить, что сервер 300 администрирования профиля знает, что текущий активный профиль защищенного элемента 100 представляет собой операционный профиль Р1.

По приему запроса 301, сервер 300 администрирования профиля действует в течение этапа S15 для идентификации профиля Р2 в таблице 300Т1 из идентификатора ICCID, содержащегося в запросе, и он затем генерирует запрос модуля данных протокола приложения (APDU) в соответствии со стандартом ISO7816:

ENABLE_PROFILE (Р2)

На этапе S20 сервер 300 администрирования профиля шифрует команду APDU и прикрепляет к ней заголовок безопасности, например, заголовок безопасности SCP80 в соответствии со стандартом Глобальной платформы:

Scp80-header // ENABLE_PROFILE(P2)

На этапе S25 сервер 300 администрирования профилем использует услугу транспортирования для передачи фрейма, сформированного на этапе S20, по телефонному номеру MSISDN, ассоциированному с активным профилем Р1 в таблице 300Т1. Сервер администрирования профилем определяет время действия для данного сообщения, например, равное 24 часам.

В качестве примера, услуга транспортирования, используемая для передачи этого сообщения и для администрирования упомянутым выше временем действия, может представлять собой услугу передачи коротких сообщений (SMS), услугу GGSN или Интернет. Ниже предполагается, что используется услуга SMS.

SMS(Scp80-header // ENABLE_PROFILE(P2), MSISDN(Pl), time-to-live)

Данное SMS-сообщение, которому присвоен номер ссылочной позиции 302 на фиг. 1, поступает в менеджер 120 статуса профиля из защищенного элемента 100 через сеть транспортирования, и в частности, через маршрутизатор 200. Менеджер 120 статуса профиля принимает сообщение 302 SMS на этапе G10.

Менеджер 120 статуса профиля из защищенного элемента 100 поддерживает таблицу 100Т1 администрирования профилем, как показано в Приложении В. Эта таблица аналогична таблице 300Т1, поддерживаемой сервером 300 администрирования профилем для данного защищенного элемента, за исключением того, что она не имеет четвертого столбца: MSISDN.

В этом элементе следует отметить, что активный профиль защищенного примера EID представляет собой профиль Р1, и что знание сервера 300 администрирования профилем, таким образом, является правильным.

На этапе G15 модуль 120 администрирования статусом профиля удаляет защищенный заголовок SCP80 и дешифрует содержание сообщения 302 SMS:

decrypt-scp80(302)

На этапе G20 менеджер 120 статуса профиля выполняет команду для активации профиля Р2, что означает деактивацию текущего активного профиля Р1 и активацию нового профиля Р2.

На этапе G30 менеджер 120 статуса профиля помещает команду REFRESH SIM Toolkit в буфер для мобильного терминала 80. Эффект обработки такой команды REFRESH состоит в повторной инициализации защищенного элемента 100 и выполнении процедуры для повторного запуска мобильного терминала 80. Во время такой процедуры повторного запуска мобильный терминал считывает таблицу 100Т1 и запускает процедуру аутентификации, ассоциированную с новым профилем Р2.

Такая процедура аутентификации определена стандартом ETSI TS 131 102 V11.6.0 (2013-10).

Во время теста G35 менеджер 120 статуса профиля проверяет, прошла ли процедура аутентификации успешно.

Если так, менеджер 120 статуса профиля обновляет свою таблицу 100Т1 на этапе G36 и действует в течение времени этапа G40 для передачи сообщения 306 MSM в сервер 300 администрирования профилем, для информирования его о том, что профиль Р2 действительно является активным:

send-SMS(P2-enabled-OK, MSISDN(300))

В качестве примера менеджер 120 статуса профиля может найти номер MSISDN сервера 300 из сообщения 302, или он может получить этот номер из памяти защищенного элемента. Сообщение 304 обычно принимает сервер 300 администрирования профилем на этапе S30.

Это сообщение 306 обычно принимает сервер 300 администрирования профилем на этапе S35. В таких обстоятельствах, сервер 300 администрирования профилем сохраняет в своей таблице 300Т1, что профиль Р2 является активным, таким образом, что таблицы 300Т1 и 100Т1 являются синхронизированными (этап S36).

В случае неудачной процедуры аутентификации, менеджер 120 статуса профиля запускает процедуру тревоги или "возврата", состоящую в активации предварительного профиля (этап G50) при обновлении таблицы 100Т1 (этап G51) и при передаче (этап G55) сообщения 310 SMS в сервер 300 администрирования профиля, для информирования его о том, что предварительный профиль был активирован:

send-SMS(provisioning-enabled-OK, MSISDN(300))

Данное сообщение 310 обычно принимает сервер 300 администрирования профилем на этапе S45. В таких обстоятельствах сервер 300 администрирования профилем сохраняет в своей таблице 300Т1, что профиль Р2 является активным таким образом, что таблицы 300Т1 и 100Т1 являются синхронизированными (этап S46).

Следовательно, и, в общем, существуют четыре сообщения, которые могут быть переданы менеджером 120 статуса профиля из защищенного элемента 100 в сервер 300 администрирования профилем:

- сообщение 304, подтверждающее прием сообщения 302, для активации профиля Р2;

- сообщение 306, обозначающее, что профиль Р2 был успешно активирован;

- сообщение 308, обозначающее, что активация профиля Р2 была выполнена неудачно; и

- сообщение 310, обозначающее, что предварительный профиль был успешно активирован.

Невозможность приема сервером 300 администрирования профилем сообщения 306 или 310, обозначающего успешную активацию профиля Р2 или предварительного профиля, приводит к тому, что таблицы 300Т1 и 100Т1 администрирования профилем становятся десинхронизированными, поскольку в любой из этих ситуаций сервер администрирования профилем считает, что профиль Р1 все еще является текущим активным профилем. Эта ситуация является вредной, поскольку, если сервер 300 будет стремиться впоследствии искать контакт с защищенным элементом 100, например, для передачи в него сценария обновления, он будет сверяться с таблицей 300Т1 и, таким образом, будет использовать телефонный номер MSISDN профиля Р1 вместо номера профиля, который действительно является активным.

В настоящем изобретении предложен способ администрирования профилем, в котором не присутствуют представленные выше недостатки.

Раскрытие сущности изобретения

Более конкретно, и в первом аспекте, изобретение направлено на способ, выполняемый сервером администрирования профилем для администрирования профилями защищенного элемента. Способ содержит:

- этап передачи сообщения в упомянутый защищенный элемент для модификации активного профиля упомянутого элемента;

- этап инициализации и запуска таймера; и

- в случае, когда упомянутый сервер не принимает сообщение, обозначающее, какой профиль является активным в упомянутом защищенном элементе, перед истечением действительности заданной длительности после упомянутого запуска таймера:

- этап запуска процедуры аудита для определения, какой профиль является действительно активным в упомянутом защищенном элементе.

В соответствии с этим, изобретение также направлено на сервер администрирования профиля для администрирования профилями защищенного элемента. Сервер содержит:

- средство для передачи сообщения в упомянутый защищенный элемент для модификации активного профиля упомянутого элемента;

- средство для инициализации и запуска таймера; и

- в случае, когда упомянутый сервер не принимает сообщение, обозначающее, какой профиль является активным в упомянутом защищенном элементе перед истечением заданной длительности после упомянутого запуска таймера:

- средство для запуска процедуры аудита, для определения, какой профиль является действительно активным в упомянутом защищенном элементе.

Таким образом, и в общем подходе, изобретение направлено на установку процедуры аудита для обеспечения для сервера администрирования профилем возможности определения профиля, который является фактически активным в защищенном элементе, в случае, когда сервер не принимает эту информацию в явном виде после передачи сообщения, стремящегося изменить активный профиль.

Изобретение, таким образом, позволяет синхронизировать таблицы администрирования профилем, администрируемые сервером и самим элементом.

Изобретение, прежде всего, направлено на обеспечение возможности для сервера администрирования профилем содержать точную информацию о текущем активном профиле в защищенном элементе. В качестве примера, таким образом, можно выполнять успешную адресацию к этому профилю, для передачи в него сценария обновления.

Сообщение, переданное сервером для модификации активного профиля элемента, может представлять собой:

- сообщение для установки и активации нового профиля;

- сообщение для деактивации или удаления активного профиля в пользу нового операционного профиля или предварительного профиля; и/или

- любое сообщение, пригодное для модификации активного профиля или для переключения на предварительный профиль, в случае неудачной модификации.

В конкретном варианте осуществления таймер инициализируют на длительность, соответствующую времени существования сообщения, переданного сервером, для модификации активного профиля защищенного элемента.

Такая характеристика делает возможным инициировать задержку процедуры аудита на максимально возможное длительное время.

В конкретном варианте осуществления процедура аудита состоит в передаче, по меньшей мере, одного сценария в защищенный элемент для получения, по меньшей мере, статуса:

- профиля защищенного элемента, который, как считает сервер, был активным перед модификацией;

- профиля защищенного элемента, который сервер рассматривает активным после модификации; и

- предварительного профиля защищенного элемента.

В варианте процедура аудита состоит в передаче, по меньшей мере, одного сценария в защищенный элемент для получения статуса всех профилей элемента, которые известны для сервера администрирования профилем.

В конкретном воплощении сценарий (сценарии) включает в себя команду APDU GET STATUS. Предпочтительно, такая команда обеспечивает возможность получения статуса, без его модификации. В варианте возможно использовать команду GET DATA, команду SELECT или любую другую команду, или набор команд, обеспечивающих возможность считывания статуса из одного или больше файлов защищенного элемента, без его модификации.

Упомянутые выше сценарии могут быть переданы один за другим, без ожидания в течение времени существования сообщения, которое переносит такой сценарий. В варианте передачи сценария способ ожидает в течение времени существования сообщения, передающего предыдущий сценарий, если ответ не будет принят для передачи этого сообщения.

В конкретном варианте осуществления различные этапы способа регулирования передачи определены инструкциями компьютерной программы.

Следовательно, изобретение также направлено на компьютерную программу на носителе данных, программа пригодна для ее выполнения в компьютере, программа, включающая в себя инструкции, выполненные с возможностью этапов выполнения упомянутого выше способа регулирования передачи.

В программе может использоваться любой язык программирования, и она может быть выполнена в форме исходного кода, объектного кода, или кода, промежуточного между исходным кодом и объектным кодом, такого как в частично компилированной форме, или в любой другой требуемой форме.

Изобретение также направлено на считываемый компьютером носитель данных, включающий в себя инструкции компьютерной программы, как упомянуто выше.

Носитель данных может представлять собой любой элемент или устройство, выполненное с возможностью сохранения программы. Например, носитель может содержать средство сохранения, такое как постоянное запоминающее устройство (ROM), например, ROM на компакт-диске (CD), или ROM в виде микроэлектронной цепи, или действительное магнитное средство записи, например, гибкий диск или жесткий диск.

Кроме того, носитель данных может представлять собой пригодную для передачи среду, такую как электрический или оптический сигнал, пригодный для его передачи через электрический или оптический кабель, по радио или используя другое средство. Программа, в соответствии с изобретением, может, в частности, быть загружена из сети типа Интернет.

В качестве альтернативы, носитель данных может представлять собой интегральную схему, в которую встроена программа, упомянутая схема, выполненная с возможностью выполнения или ее использования при выполнении данного способа.

Краткое описание чертежей

Другие характеристики и преимущества настоящего изобретения будут понятны из следующего описания, которое выполнено со ссылкой на чертежи и приложения, в которых представлены варианты осуществления, не имеющие ограничительный характер. На фигурах:

- на фиг. 1, описанной выше, показан способ администрирования профиля известного уровня техники;

- на фиг. 2 показан модуль управления состоянием профиля в соответствии с изобретением; и

- на фиг. 3 показан способ администрирования профиля в соответствии с конкретным вариантом выполнения изобретения.

Осуществление изобретения

На фиг. 2 показан сервер 500 администрирования профилем, в соответствии с изобретением. Сервер 500 администрирования профилем содержит процессор 101, оперативное запоминающее устройство (RAM) 102, ROM 103 и модуль 104 сетевого доступа. Эти различные элементы соединены друг с другом с помощь системы шин, которая не обозначена.

Модуль 104 пригоден для передачи и приема фреймов и сообщений такого же типа, что и сообщения 301, 302, 304, 306 и 308, описанные со ссылкой на фиг. 1.

Сервер 500 администрирования профилем выполняет способ администрирования профилем, в соответствии с изобретением, основные этапы которого представлены в форме блок-схемы последовательности операций на фиг. 3. Такой способ администрирования профилем может быть выполнен путем выполнения компьютерной программы, содержащейся в ROM 103.

На фиг. 3 показана блок-схема последовательности операций, представляющая основные этапы способа администрирования профилем, в соответствии с изобретением. Этапы Sxx в данном способе идентичны этапам Sxx способа администрирования профилем предшествующего уровня техники, описанного выше со ссылкой на фиг. 1.

Способ администрирования профилем, в соответствии с изобретением, отличается тем, что после этапа S25 передачи сообщения 302 для модификации активного профиля защищенного элемента 100, он включает в себя этап V26 инициализации таймера, составленного в данном примере TIM обратного отсчета.

В варианте таймер может быть составлен из часов или любого другого средства для измерения длительности.

В описанном в настоящее время варианте осуществления TIM обратного отсчета инициализируется с длительностью, соответствующей времени существования сообщения 302.

В соответствии с данным изобретением, если TIM обратного отсчета истекает до того, как будет принято сообщение 306 или 310, обозначающее, что действительно был активирован новый профиль (профиль Р2 или предварительный профиль PROV), сервер 500 администрирования профилем инициирует процедуру аудита, обозначенную номером V100 ссылочной позиции на фиг. 3.

С этой целью, способ изобретения включает в себя этап V50 для проверки, истек ли TIM обратного отсчета, и процедура аудита будет инициирована, если результат теста V50 будет положительным.

Процедура аудита состоит в передаче множества сценариев в защищенный элемент 100 для получения, по меньшей мере, статуса:

- профиля сервера 500, который рассматривается, как активный в данный момент, а именно, P1 в описанном в настоящее время примере;

- профиля, для которого сервер 500 запрашивает активацию, а именно, Р2 в описанном в настоящее время примере; и

- предварительного профиля PROV.

В варианте процедура аудита состоит в передаче сценариев для получения статусов всех профилей защищенного элемента 100, известных для сервера 500, то есть, всех профилей, перечисленных в таблице 300Т1 администрирования профиля для этого элемента.

В описываемом в настоящее время варианте осуществления различные сценарии запроса статуса передают в каждый из профилей параллельно (этап V55), используя команду APDU GET STATUS:

SMS(Scp80-header // GET STA TUS, MSISDN(P1))

SMS(Scp80-header // GET STA TUS, MSISDN(P2))

SMS(Scp80-header // GET STATUS, MSISDN(PROV))

Использование команды GET STATUS, предпочтительно, позволяет обнаружить статус профиля, без модификации этого статуса.

Когда сервер 500 администрирования профиля принимает подтверждение приема (этап V60), он обновляет свою таблицу 300Т1 администрирования профилем (этап V65).

Таблица 300Т1 администрирования профилем сервера 500, в соответствии с изобретением, таким образом, синхронизирована с таблицей 100Т1 защищенного элемента, даже в случае невозможности завершить сообщения 306 и 310.

Если сервер 500 принимает одно из сообщений 306 или 310 до истечения обратного отсчета, он останавливает обратный отсчет на этапе V70.

В описанном в настоящее варианте осуществления сценарии запроса статуса профиля передают параллельно. В варианте они могут быть переданы последовательно.

ПРИЛОЖЕНИЕ А

ПРИЛОЖЕНИЕ В

1. Способ, выполняемый сервером (500) управления профилем, для управления профилями (P1, Р2, PROV) защищенного объекта (100), при этом способ содержит:

этап (S25) передачи сообщения (302) в упомянутый защищенный объект для модификации активного профиля упомянутого объекта;

этап (V50) инициализации и запуска таймера (TIM); и

в случае когда упомянутый сервер (500) не принимает сообщение, указывающее, какой профиль является активным в упомянутом защищенном объекте (100), до истечения заданной длительности после упомянутого запуска таймера:

этап запуска процедуры (V100) аудита для определения, какой профиль является фактически активным в упомянутом защищенном объекте (100).

2. Способ управления профилем по п. 1, в котором упомянутое сообщение (302) для модификации активного профиля упомянутого объекта представляет собой сообщение для активации нового профиля (Р2) или сообщение для деактивации текущего активного профиля (Р1).

3. Способ управления профилем по п. 1 или 2, в котором упомянутый таймер инициализируют на длительность, соответствующую времени существования сообщения (302), переданного упомянутым сервером, для модификации активного профиля защищенного объекта (100).

4. Способ управления профилем по любому из пп. 1-3, в котором упомянутая процедура аудита состоит в передаче (V55) по меньшей мере одного сценария в упомянутый защищенный объект для получения по меньшей мере статуса:

профиля (Р1) упомянутого объекта (100), который упомянутый сервер (500) считает активным перед упомянутой модификацией;

профиля (Р2) упомянутого элемента (100), который упомянутый сервер (500) считает активным после упомянутой модификации; и

предварительного профиля (PROV) упомянутого элемента (100).

5. Способ управления профилем по любому из пп. 1-3, в котором упомянутая процедура аудита состоит в передаче (V55) по меньшей мере одного сценария в упомянутый защищенный объект для получения статуса всех профилей упомянутого объекта (100), которые известны упомянутому серверу.

6. Способ управления профилем по п. 4 или 5, в котором упомянутый по меньшей мере один сценарий включает в себя команду APDU GET STATUS.

7. Способ управления профилем по любому из пп. 4-6, в котором упомянутые сценарии передают параллельно.

8. Сервер (500) управления профилем для управления профилями (P1, Р2, PROV) защищенного объекта (100), при этом сервер содержит:

средство (104) для передачи сообщения (302) в упомянутый защищенный объект для модификации активного профиля упомянутого объекта;

средство (101) для инициализации и запуска таймера (TIM); и

в случае когда упомянутый сервер (500) не принимает сообщение, указывающее, какой профиль является активным в упомянутом защищенном объекте (100), до истечения заданной длительности после упомянутого запуска таймера:

средство для запуска процедуры аудита для определения, какой профиль является фактически активным в упомянутом защищенном элементе.

9. Считываемый компьютером носитель данных, содержащий компьютерную программу, включающую в себя инструкции для выполнения этапов способа управления профилем по любому из пп. 1-7.