向移动无线设备配置电子用户身份模块的制作方法
所述实施方案阐述了用于向移动无线设备配置电子用户身份模块(esim)的技术,该移动无线设备不包括用于获取对蜂窝无线网络的访问的功能引导配置简档。
背景技术:
许多移动无线设备被配置为使用可移除通用集成电路卡(uicc),该可移除通用集成电路卡使得移动无线设备能够访问由移动网络运营商(mno)所提供的服务。具体地讲,每个uicc至少包括微处理器和只读存储器(rom),其中rom被配置为存储mno简档,无线设备可使用此mno简档来注册并与mno进行交互以通过蜂窝无线网络获取无线服务。简档也可被称为用户身份模块(sim)。通常,uicc采取被插入移动无线设备的uicc接收区中的小的可移除卡的形式(常常被称为sim卡)。在最近的具体实施中,将uicc直接嵌入到无线设备的系统板中。嵌入式uicc(euicc)可提供超过相比传统的可移除uicc的优点,因为euicc可包括可重写存储器,该可重写存储器可有利于安装、修改和/或删除euicc上的一个或多个电子sim(esim),其中esim可提供用于访问由mno提供的扩展特征部的新和/或不同服务和/或更新。euicc可存储多个mno简档(在本文中也称为esim),并可消除将uicc接收区包括在无线设备中的需要。
一些移动无线设备在由最终用户初始采集时,诸如被称为无sim的那些设备,可包括加载在euicc上的引导esim(简档)以提供与mno配置服务器的连接,以用于下载操作esim,从而允许移动无线设备访问mno的服务。引导esim可预先加载在移动无线设备的euicc上,而不需要具体最终用户的参与,该引导esim通常由移动无线设备供应商和mno之间的协议提供。引导esim的特征可由mno确定,并可针对不同mno而变化,最终用户可寻求这些不同mno来定制所采集的移动无线设备。引导esim也可用于初始下载针对mno的操作esim,在一些情况下,针对移动无线设备上的mno所使用的esim或伴随软件的更新。对mno配置服务器的访问还可取决于在移动无线设备位于直接访问mno的蜂窝无线网络不可用的区域中时mno与本地蜂窝无线网络提供商之间的漫游协议。
虽然配置简档可提供对采集全功能简档的访问,但包括和使用此类配置简档会带来一些问题。移动无线设备的euicc中的有限存储空间可由针对不同mno的一个或多个配置简档占用。当移动无线设备正在漫游时,配置简档可能受限或不具有功能。另外,对于可在移动无线设备中同时活动的简档的数量的限制(例如,在一些情况下,在euicc上一次仅一个活动简档)可导致活动简档的连接被切断,以便激活用于下载或更新esim的配置简档。
技术实现要素:
本专利申请阐述了用于向移动无线设备配置电子用户身份模块(esim)的技术,该移动无线设备不包括用于获取对蜂窝无线网络的访问的功能引导配置简档。当蜂窝无线网络支持配置连接而不使用配置简档进行访问时,可允许与蜂窝无线网络的连接以使用用于认证和有限目的配置连接的硬件设备标识符来向移动无线设备配置一个或多个esim。可用于认证和建立配置连接的硬件设备标识符包括euicc标识符(eid)和国际移动设备标识符(imei)。附加凭据,诸如euicc的来自认可的证书认证机构(ca)的可验证证书,也可与一个或多个硬件设备标识符结合使用以对移动无线设备进行认证。在一些实施方案中,移动无线设备识别基于由蜂窝无线网络(诸如在系统信息广播(sib)消息中)广播的指示来支持引导配置连接的蜂窝无线网络。移动无线设备请求通过发送包括一个或多个硬件标识符和请求中的引导连接指示的请求来建立与蜂窝无线网络的接入网络部分的无线电连接。当请求被蜂窝无线网络接受时,移动无线设备与移动网络运营商(mno)的账户服务器建立安全数据连接,以建立账户和/或登录到现有账户。在一些实施方案中,移动无线设备使用一个或多个硬件设备标识符来对mno的账户服务器进行认证。在认证之后,移动无线设备连接到配置服务器,该配置服务器已将统一资源定位符(url)地址由账户服务器提供给移动无线设备,并在移动无线设备的euicc上下载并安装一个或多个esim并且/或者更新esim。在一些实施方案中,移动无线设备激活至少一个下载的esim或更新的esim以访问mno的服务。
根据结合以举例的方式示出所述实施方案的原理的附图而进行的以下详细描述,本发明的其他方面和优点将变得显而易见。
提供本发明内容仅用于概述一些示例性实施方案的目的,以便提供对本文所述主题的一些方面的基本理解。因此,应当理解,上述特征仅为示例,并且不应解释为以任何方式缩窄本文所描述的主题的范围或实质。本文所描述的主题的其它特征、方面和优点将通过以下具体实施方式、附图和权利要求书而变得显而易见。
附图说明
本公开通过下面结合附图的具体描述将更易于理解,其中类似的附图标记表示类似的结构元件。
图1示出了根据一些实施方案的被配置为实现本文所述的各种技术的示例性系统的不同部件的框图。
图2示出了根据一些实施方案的图1的系统的示例性部件的更详细视图的框图。
图3a和图3b示出了根据一些实施方案的用于向移动无线设备配置电子用户身份模块(esim)而执行的示例性动作序列。
图4示出了根据一些实施方案的用于向移动无线设备配置esim而执行的另一示例性动作序列。
图5示出了根据一些实施方案的用于向移动无线设备配置esim的示例性方法的流程图。
图6示出了根据一些实施方案的用于向移动无线设备配置esim的另一示例性方法的流程图。
图7示出了根据一些实施方案的移动无线设备的示例性元件的框图。
具体实施方式
在该部分描述了根据本申请的方法与装置的代表性应用。提供这些示例仅为了添加上下文并有助于理解所描述的实施方案。因此,对于本领域的技术人员而言将显而易见的是,可在没有这些具体细节中的一些或全部的情况下实践所述实施方案。在其他情况下,为了避免不必要地模糊所述实施方案,未详细描述熟知的处理步骤。其他应用是可能的,使得以下示例不应被当作是限制性的。
在以下详细描述中,参考了形成说明书的一部分的附图,并且在附图中以例示的方式示出了根据所述实施方案的具体实施方案。虽然这些实施方案被描述得足够详细,以使本领域的技术人员能够实践所述实施方案,但是应当理解,这些示例不是限制性的;使得可以使用其他实施方案,并且可以在不脱离所述实施方案的实质和范围的情况下作出修改。
本专利申请阐述了用于向移动无线设备配置电子用户身份模块(esim)的技术,该移动无线设备不包括用于获取对蜂窝无线网络的访问的功能引导配置简档。在一些实施方案中,由用户获取的移动无线设备不包括用于网络访问以下载功能常规esim的引导配置简档,而在其他实施方案中,移动无线设备包括此类引导配置简档,但其能力在移动无线设备正在其中工作的区域内不起作用。针对蜂窝无线网络,用于特殊目的(诸如针对不具有功能sim/esim的紧急呼叫)的有限连接是可能的,其中移动无线设备向蜂窝无线网络提供用于认证的一个或多个标识符。类似地,移动无线设备可请求专用配置连接并且包括对蜂窝无线网络进行认证的一个或多个硬件设备标识符。在一些实施方案中,移动无线设备使用随机数来代替一个或多个硬件标识符来请求专用配置连接。在一些实施方案中,在发送到蜂窝无线网络之前对一个或多个硬件标识符进行加密。当蜂窝无线网络支持配置连接而不需要使用配置简档进行访问时,可允许与蜂窝无线网络的连接以经由有限目的配置连接向移动无线设备配置一个或多个esim。可用于认证和建立配置连接的硬件设备标识符包括euicc标识符(eid)和国际移动设备标识符(imei)。在一些实施方案中,移动无线设备还可执行部分(单向)或完整(双向)认证协议,诸如基于与蜂窝无线网络的认证密钥协议(aka)。例如,附加凭据,诸如移动无线设备的euicc的可验证证书(其中证书源自认可的证书认证机构(ca)),也可与一个或多个硬件设备标识符结合使用以对移动无线设备与蜂窝无线网络进行认证。类似地,移动无线设备可基于由蜂窝无线网络提供的可验证证书来对蜂窝无线网络进行认证。在一些实施方案中,移动无线设备识别基于由蜂窝无线网络(诸如在一条或多条系统信息广播(sib)消息中)广播的指示来支持引导配置连接的蜂窝无线网络。在一些实施方案中,移动无线设备包括蜂窝无线网络的在用户采集之前预先填充的信息,该蜂窝无线网络支持支持不使用配置简档的配置的mno的账户服务器的配置连接和/或url地址。
移动无线设备请求通过发送包括一个或多个硬件标识符和请求中的引导连接指示的请求来建立与蜂窝无线网络的接入网络部分的无线电连接。当请求被蜂窝无线网络接受时,移动无线设备与移动网络运营商(mno)的账户服务器建立安全数据连接,以建立账户和/或登录到现有账户。在一些实施方案中,移动无线设备使用一个或多个硬件设备标识符来对mno的账户服务器进行认证。在一些实施方案中,移动无线设备在与蜂窝无线网络的接入网络部分进行通信时使用用于识别其自身的随机数。在一些实施方案中,移动无线设备仅通过安全连接(诸如与账户服务器建立的一个安全连接)提供硬件设备标识符,并在通过不安全连接进行通信时使用随机数和/或加密标识符。在认证之后,移动无线设备连接到配置服务器,该配置服务器已将统一资源定位符(url)地址由账户服务器提供给移动无线设备,并在移动无线设备的euicc上下载并安装一个或多个esim并且/或者更新esim。在一些实施方案中,移动无线设备激活至少一个下载的esim或更新的esim以访问mno的服务。在一些实施方案中,蜂窝无线网络限制使用配置连接来仅访问特定网络服务器和/或仅访问特定url地址。在一些实施方案中,蜂窝无线网络限制使用配置连接以下载esim或更新到esim。在一些实施方案中,蜂窝无线网络限制可经由配置连接下载的数据的量,诸如不超过数据字节的特定数量。
以下参考图1-图7论述这些和其他实施方案。然而,本领域的技术人员将容易地理解,本文相对于这些附图的所给出的详细描述仅出于说明性目的并且不应理解为限制性的。
图1示出了根据一些实施方案的被配置为实现本文所述的各种技术的系统100的不同部件的框图。更具体地,图1示出了系统100的简要概述,如图所示,该系统包括移动无线设备102(其也称为无线设备、无线设备、移动设备、用户设备(ue)等)、由不同移动网络运营商(mno)114管理的一组基站112-1至112-n、以及与mno114通信的一组配置服务器116。移动无线设备102可表示移动计算设备(例如,
如图1所示,移动无线设备102可包括处理电路、嵌入式通用集成电路卡(euicc)108和基带部件110,该处理电路可包括处理器104和存储器106。在一些实施方案中,除了或替代euicc108,移动无线设备102包括一个或多个物理uicc(也称为用户身份模块(sim)卡(未示出))。移动无线设备102的部件一起工作以使得移动无线设备102能够向移动无线设备102的用户提供有用的特征,诸如蜂窝无线网络访问、非蜂窝无线网络访问、本地化计算、基于位置的服务和互联网连接。euicc108可被配置为存储用于通过基站112-1至112-n访问不同mno114的多个电子sim(esim)。例如,euicc108可被配置为存储和管理针对与移动无线设备102相关联的不同订阅的一个或多个mno114的一个或多个esim。为了能够访问由mno提供的服务,可将esim配置给euicc108。在一些实施方案中,euicc108从一个或多个相关联的配置服务器116获取一个或多个esim(或一个或多个esim的更新)。需注意,配置服务器116可由移动无线设备102的制造商、mno114、第三方实体等来维护。在配置服务器116和euicc108之间(或在配置服务器116与euicc108外部的移动无线设备102的处理电路例如处理器104之间)的esim数据通信可使用安全通信信道。
移动无线设备102在被用户采集时可缺少激活的esim,并要求用户从对应的配置服务器116选择mno114并从该配置服务器下载针对mno114的功能esim。在一些情况下,移动无线设备102可不包括用于连接到基站112以到达配置服务器116的配置esim。在一些情况下,移动无线设备102包括配置esim;然而,该配置esim可以是无功能的,或者换句话讲不能用于连接到基站112以到达配置服务器116。如本文进一步所述,当mno114的蜂窝无线网络支持建立具有降低的认证要求的配置连接时,移动无线设备102可连接到基站112以到达配置服务器116而不使用配置esim。配置连接可提供有限访问能力,诸如对具体配置服务器的有限访问能力,并可提供受限能力,诸如对可以经由配置连接下载的数据的总量进行上限。一旦建立,配置连接就可允许用户选择mno114并将针对所选择的mno114的esim下载到euicc108。在激活了esim时,移动无线设备102可连接到mno114的蜂窝无线网络以访问由其提供的服务。
图2示出了根据一些实施方案的图1的移动无线设备102的特定部件的更详细视图200的框图。如图2所示,结合存储器106的处理器104可实现主操作系统(os)202,该主os被配置为执行应用程序204(例如,本地os应用程序和用户应用程序)。同样如图2所示,euicc108可被配置为实现euiccos206,该euiccos被配置为管理euicc108的硬件资源(例如,嵌入在euicc108中的处理器和存储器)。euiccos206还可被配置为例如通过启用、禁用、修改或以其他方式执行对euicc108内的esim208的管理并且向基带部件110提供对esim208的访问以将对无线服务的访问提供给移动无线设备102,来管理由euicc108存储的esim208。euicc108os可包括esim管理器210,该esim管理器可对各种esim208执行管理功能。根据图2所示的图示,每个esim208可包括定义esim208的操作方式的多个小应用程序212。例如,小应用程序212中的一个或多个小应用程序在由基带部件110和euicc108实现时,可被配置为使得移动无线设备102能够与mno114通信并且向移动无线设备102的用户提供有用的特征(例如电话呼叫和互联网)。
同样如图2所示,移动无线设备102的基带部件110可包括基带os214,该基带os被配置为管理基带部件110的硬件资源(例如处理器、存储器、不同无线电部件等)。根据一些实施方案,基带部件110可实现基带管理器216,该基带管理器被配置为与euicc108进行交互以与配置服务器116建立安全信道并且从配置服务器116获取信息(诸如esim数据)以用于管理esim208。基带管理器216可被配置为实现服务218,这表示软件模块集合,这些软件模块通过包括在euicc108中的启用的esim208的各种小应用程序212而被实例化。例如,服务218可被配置为根据在euicc108内被启用的不同esim208来管理移动无线设备102和mno114之间的不同连接。
图3a和图3b示出了由包括移动无线设备102的各种实体执行的用于向移动无线设备102配置电子用户身份模块(esim)208的示例性动作序列的示意图300、350。在310处,移动无线设备102的用户302可诸如通过经由移动无线设备102的输入/输出接口进行交互来发起向移动无线设备102配置esim208。在312处,移动无线设备102可识别支持引导连接操作模式的蜂窝无线网络。在一些实施方案中,移动无线设备102执行蜂窝无线网络的搜索,诸如使用全频段扫描来基于蜂窝无线网络的消息来搜索和定位蜂窝无线网络。可在用户发起配置之前并且/或者响应于用户发起配置而发生搜索。在一些实施方案中,移动无线设备102确定蜂窝无线网络是否基于由蜂窝无线网络的网络实体(诸如基站112)所广播的信息来支持引导连接模式。在一些实施方案中,蜂窝无线网络在系统信息广播(sib)消息中(诸如在sib1消息中)包括指示对引导连接模式的支持的指示符。移动无线设备102可见的多个蜂窝无线网络可支持引导连接模式。移动无线设备102可接收和处理来自多个蜂窝无线网络的广播消息并识别可用于连接到移动无线设备102的一组蜂窝无线网络。在一些实施方案中,移动无线设备102包括支持引导连接模式的蜂窝无线网络的预先加载列表。在一些实施方案中,移动无线设备102包括支持引导连接模式的蜂窝无线网络(和/或移动网络运营商)的初始预先加载列表,其中预先加载列表按国家或地区进行组织。移动无线设备102可扫描和定位蜂窝无线网络,解码从蜂窝无线网络接收的一条或多条广播消息中的系统信息,并确定所定位的蜂窝无线网络的国家代码。移动无线设备102可使用所确定的国家代码来确定适用于所确定的国家代码的一组蜂窝无线网络(和/或mno),以经由移动无线设备102的输入/输出接口向移动无线设备的用户呈现。在一些实施方案中,蜂窝无线网络可包括可用服务计划列表、其相关联成本和/或广播系统信息消息中的其他细节。在314处,移动无线设备102经由移动无线设备102的输入/输出接口呈现支持引导连接模式的可用蜂窝无线网络的指示(例如,列表或阵列)。在一些实施方案中,该指示包括关于可用服务计划、成本和/或服务计划的细节的信息,以帮助用户在提供对蜂窝无线网络服务的访问的多个mno之间进行选择。在316处,移动无线设备102的用户例如经由输入/输出接口选择尝试引导连接的一个或多个蜂窝无线网络。在318处,移动无线设备102向蜂窝无线网络304发送请求以建立到蜂窝无线网络304的接入网络部分的接入层(as)无线电连接。该请求包括移动无线设备102试图以引导连接模式建立无线电连接的指示,即,试图建立引导连接,移动无线设备102的配置可通过该引导连接在不使用配置esim的情况下发生。在一些实施方案中,发送到蜂窝无线网络304的请求包括用于识别移动无线设备102同时保持用户隐私的级别的随机数。在一些实施方案中,发送到蜂窝无线网络304的请求是无线电资源控制(rrc)连接请求。在320处,蜂窝无线网络304的接入网络部分向移动无线设备102提供完成as无线电连接建立的指示。在322处,移动无线设备102向蜂窝无线网络304发送第二请求以建立非接入层(nas)安全数据连接,其中第二请求包括nas安全数据连接用于引导连接模式的指示。在一些实施方案中,第二请求包括用于识别移动无线设备102以保护用户隐私的随机数。在一些实施方案中,第二请求是nas附着请求消息和/或nas激活默认承载上下文消息。在324处,蜂窝无线网络304向移动无线设备102发送指示建立nas安全数据连接的响应并且提供用于安全数据连接的信息,诸如分配给移动无线设备102用于安全数据连接的互联网协议(ip)地址。在一些实施方案中,响应是nas附着接受消息。此外,蜂窝无线网络304提供统一资源定位符(url)地址以供移动无线设备102连接,以便继续配置会话。在一些实施方案中,向移动无线设备102提供的url地址允许将移动无线设备102连接到mno的账户服务器306。在326处,移动无线设备102经由输入/输出接口向移动无线设备102的用户呈现用于mno访问mno的账户服务器306的网页。在一些实施方案中,移动无线设备102和账户服务器之间的安全数据连接包括传输层安全性(tls)。在328处,移动无线设备102的用户302与账户服务器进行交互,以登录到现有账户或与mno建立新账户。账户服务器306可提供关于移动无线设备102的用户302可从中选择计划的蜂窝无线服务计划的信息。另外,移动无线设备102可与账户服务器306共享移动无线设备102的硬件设备标识符,以用于识别和/或认证和授权访问mno的蜂窝无线服务的订阅。在一些实施方案中,硬件设备标识符包括euicc标识符(eid)和/或国际移动设备标识符(imei)。在一些实施方案中,移动无线设备102将与移动无线设备102的euicc108相关联的证书作为被动认证的形式提供给账户服务器306,其中该证书由被mno认可为对认证有效的证书认证机构颁发。在330处,账户服务器306经由安全数据连接向用户302和移动无线设备102提供可建立安全ip数据连接的esim服务器308的url。在332处,移动无线设备102的用户302经由移动无线设备102的输入/输出接口输入esim服务器308的url,以使移动无线设备102建立到esim服务器308的安全ip数据连接。在334处,移动无线设备102向esim服务器308提供一个或多个硬件设备标识符,诸如eid和/或imei,并发起从esim服务器308下载esim208。在336处,esim服务器308将esim208下载到激活esim208的移动无线设备102。在338处,账户服务器306提供完成向移动无线设备102配置esim208的指示。在一些实施方案中,在完成配置esim208之后,移动无线设备102可使用所安装的esim208周期性地尝试连接到蜂窝无线网络304,以确定esim208和/或与esim208相关联的账户是否已被mno114配置。在使用所安装的esim208成功地连接到蜂窝无线网络时,可通知用户账户激活和/或esim激活。在一些实施方案中,当在激活阈值时间段内不能使用esim208建立成功连接时,可通知移动无线设备102的用户缺少帐户激活和/或esim激活。
图4示出了可执行以向移动无线设备102配置esim208的另一示例性动作序列的示意图400。在412处,移动无线设备102向网络实体(例如,向移动性管理实体(mme)402)发送请求,以建立用于与蜂窝无线网络进行配置的安全连接。在一些实施方案中,请求包括移动无线设备102试图建立配置连接的指示、和一个或多个硬件设备标识符诸如移动无线设备102的eid和/或imei。在一些实施方案中,用于建立连接的请求包括具有用于配置的值的附着原因。在一些实施方案中,一个或多个硬件设备标识符足以对蜂窝无线网络进行认证。在一些实施方案中,一个或多个硬件设备标识符单独地不足以对蜂窝无线网络进行认证,并且蜂窝无线网络需要基于证书和/或基于密钥的认证,诸如公钥基础结构(pki)认证会话。在414处,mme402使用一个或多个硬件设备标识符对移动无线设备102与归属位置寄存器(hlr)408进行认证。在416处,移动无线设备102与mme402执行认证和安全会话,诸如pki认证会话。在一些实施方案中,认证和安全会话包括移动无线设备102向mme402提供移动无线设备102的euicc108的证书以及与移动无线设备102的euicc108相关联的一个或多个签名密钥。在一些实施方案中,认证和安全会话是单向的,因为移动无线设备102使用euicc证书和签名密钥对其自身与mme402进行认证。在一些实施方案中,认证和安全会话是双向的,因为移动无线设备102还基于由mme402提供的证书和一个或多个签名密钥来对mme402进行认证。在一些实施方案中,认证和安全会话是可扩展认证协议传输层安全性(eap-tls)类型的相互认证会话。在一些实施方案中,euicc证书和/或来自mme402的证书由公共证书认证机构(ca)提供,诸如由全球移动通信系统协会(gsma)管理的ca提供。在一些实施方案中,euicc证书和来自mme402的证书不属于公共ca,而相反移动无线设备102被预先配置有网络实体(例如,mme402)用于对蜂窝无线网络进行认证的证书和/或公钥。在一些实施方案中,可通过从基于网络的服务器(诸如由移动无线设备102的制造商管理的服务器)下载的运营商绑定向移动无线设备102提供网络实体证书的预先配置,其中该运营商绑定包括用于一个或多个蜂窝无线网络的一个或多个网络实体证书。在一些实施方案中,可在发送到蜂窝无线网络的mme402之前对移动无线设备102提供的硬件设备标识符和/或证书进行加密,以保护移动无线设备102的用户的隐私。在一些实施方案中,蜂窝无线网络接受用于从一个或多个特定ca进行认证的一个或多个证书,并拒绝来自其他ca的一个或多个证书。在418处,mme402向s/p网关(gw)404提交创建会话请求。在420处,s/p-gw404与蜂窝无线网络的策略和计费规则功能(pcrf)410建立互联网协议连接接入网络(can)会话,并确定用于向移动无线设备102配置esim208的服务和服务质量(qos)。在422处,s/p-gw404提供对mme402的创建会话响应。在424处,mme402以附着接受消息来对来自移动无线设备102的配置附着请求作出应答。在426处,移动无线设备102以附着完成消息作出应答。在428处,可发生配置会话,其中移动无线设备102由蜂窝无线网络经由与该蜂窝无线网络建立的安全数据连接配置一个或多个esim208。在一些实施方案中,蜂窝无线网络确定应用于配置会话的安全数据连接的策略,移动无线设备102通过该蜂窝无线网络建立安全数据连接。在一些实施方案中,移动无线设备102的连接(在下载和激活esim208之前)可限于仅访问某些目标,诸如特定门户网站地址、特定配置服务器等。在一些实施方案中,应用于配置会话的安全数据连接的策略可限制移动无线设备102从蜂窝无线网络的mno下载esim208。在一些实施方案中,蜂窝无线网络限制可由移动无线设备102达成的目标并且/或者限制可由移动无线设备102经由配置会话的安全数据连接采取的动作。在一些实施方案中,数据下载速率和/或总数据下载量可限于蜂窝无线网络的阈值下载速率和/或阈值下载量,以便移动无线设备102经由配置会话的安全数据连接来使用。在一些实施方案中,用于将esim208下载到移动无线设备102的成本可在蜂窝无线网络和其他方之间分配,而不需要移动无线设备102的用户承担用于下载esim208的成本的一部分。
在一些实施方案中,可能需要不同级别的安全性才能建立配置会话。第一安全级别可包括移动无线设备102提供一个或多个硬件设备标识符(未加密的和/或加密的)而不具有附加认证。第二安全等级可包括移动无线设备102附加提供与移动无线设备102的euicc108相关联的有效可验证证书。在第三安全级别中,该第三安全级别可包括移动无线设备102提供对来自蜂窝无线网络的挑战的响应,其中响应以移动无线设备102的euicc108相关联的证书签署。
在一些实施方案中,蜂窝无线网络广播对使用有限目的引导(或配置)连接的支持,以允许配置和/或更新移动无线设备102的esim208。在一些实施方案中,由蜂窝无线网络在一条或多条系统信息消息中广播对引导/配置连接能力的支持。在一些实施方案中,移动无线设备102指示作为建立与蜂窝无线网络的连接的原因的引导/配置连接。在一些实施方案中,接入层(as)、非接入层(nas)、因特网协议(ip)和/或分组数据网络(pdn)连接设置可包括用于指示对引导/配置连接的支持的选项,诸如在附着请求消息中。在一些实施方案中,当建立到url或ip地址诸如到账户服务器306的ip连接时,还可指示和/或请求对引导/配置连接的支持。在一些实施方案中,可在移动无线设备102中预先加载对mno和/或蜂窝无线网络的引导/配置连接的支持,使得可向移动无线设备102的用户呈现支持该能力的mno/蜂窝无线网络的列表或阵列。在一些实施方案中,可在移动无线设备102中预先加载支持用于esim配置和/或账户建立的引导/配置连接的mno/蜂窝无线网络的账户服务器306的url,诸如通过移动无线设备102的操作系统软件所提供的运营商配置绑定。
图5示出了由移动无线设备102执行的用于向移动无线设备102配置esim208的示例性方法的流程图500。在502处,移动无线设备102建立到蜂窝无线网络的接入网络部分的无线电连接,该接入网络部分支持引导连接模式。在一些实施方案中,不利用主动认证来建立引导连接模式,该主动认证基于一个或多个证书在移动无线设备102和蜂窝无线网络之间进行。在一些实施方案中,移动无线设备确定基于由一个或多个蜂窝无线网络广播的系统信息广播(sib)消息来支持引导连接模式的一个或多个蜂窝无线网络。在一些实施方案中,移动无线设备102经由移动无线设备102的输入/输出接口呈现对一个或多个蜂窝无线网络的指示,并基于经由移动无线设备102的输入/输出接口接收的输入来从一个或多个蜂窝无线网络选择蜂窝无线网络。在一些实施方案中,移动无线设备102通过将无线电连接请求至少发送到蜂窝无线网络的接入网络部分来建立无线电连接,其中无线电连接请求包括使用引导连接模式建立无线电连接的指示。在一些实施方案中,无线电连接请求包括作为移动无线设备102的标识符的随机数。在504处,移动无线设备102建立到蜂窝无线网络的安全数据连接。在一些实施方案中,移动无线设备102通过将网络附着请求至少发送到蜂窝无线网络来建立数据连接,其中网络附着请求包括使用引导连接模式建立数据连接的指示。在一些实施方案中,网络附着请求包括作为移动无线设备102的标识符的随机数。在一些实施方案中,使用传输层安全性(tls)协议来保护安全数据连接。在506处,移动无线设备102经由安全数据连接获取针对移动无线设备102的因特网协议(ip)地址以及针对蜂窝无线网络的移动网络运营商(mno)的账户服务器306的统一资源定位符(url)地址。在508处,移动无线设备102从账户服务器306获取针对配置服务器(例如,可从其向移动无线设备102配置esim208的esim服务器308)的第二url地址。在510处,移动无线设备102向配置服务器提供移动无线设备102的一个或多个硬件设备标识符以向配置服务器识别移动无线设备102。在一些实施方案中,一个或多个硬件设备标识符包括移动无线设备102的euicc标识符(eid)和/或国际移动设备标识符(imei)。在512处,移动无线设备从配置服务器获取esim208。在514处,移动无线设备102在移动无线设备102的euicc108上安装esim208。
图6示出了由移动无线设备102执行的用于向移动无线设备102配置esim208的另一示例性方法的流程图600。在602处,移动无线设备102向蜂窝无线网络的网络移动性管理实体(mme)发送用于建立向移动无线设备102配置esim208的连接的请求,其中该请求包括移动无线设备102的一个或多个硬件设备标识符以向mme识别移动无线设备102。在一些实施方案中,一个或多个硬件设备标识符包括移动无线设备102的euicc标识符(eid)和/或国际移动设备标识符(imei)。在一些实施方案中,在包括在用于建立用以向移动无线设备102配置esim208的连接的请求之前对一个或多个硬件设备标识符中的至少一个硬件设备标识符进行加密。在604处,移动无线设备102至少部分地基于移动无线设备102的euicc108的证书来对蜂窝无线网络进行认证。在一些实施方案中,在对蜂窝无线网络304进行认证之前对euicc108的证书进行加密。在606处,移动无线设备102建立到蜂窝无线网络的安全连接。在一些实施方案中,移动无线设备102和蜂窝无线网络之间的安全连接被限制为访问蜂窝无线网络的mno的配置服务器,例如,esim服务器308。在一些实施方案中,移动无线设备102对安全连接的使用被限制为下载最多阈值量的数据。在608处,移动无线设备102经由安全连接从mno的配置服务器获取esim208。在610处,移动无线设备102在移动无线设备102的euicc108上安装esim208。在一些实施方案中,该方法还包括移动无线设备102至少部分地基于由蜂窝无线网络向移动无线设备102提供的证书来对蜂窝无线网络进行认证。在一些实施方案中,针对euicc108的由移动无线设备102向蜂窝无线网络提供的用于对移动无线设备102与蜂窝无线网络进行认证的证书和来自蜂窝无线网络的用于对蜂窝无线网络与移动无线设备102进行认证的证书各自由公共证书认证机构(ca)认证。
在一些实施方案中,移动无线设备102包括(i)包括一个或多个天线的无线电路、和(ii)通信地耦接到无线电路以及通信地耦接到存储指令的存储器的一个或多个处理器,该指令在由一个或多个处理器执行时通过至少执行一组动作来使移动无线设备获取和安装esim208,这些动作包括:建立到蜂窝无线网络的接入网络部分的无线电连接,该接入网络部分支持引导连接模式;建立到蜂窝无线网络的安全数据连接;经由安全数据连接来获取针对移动无线设备102的互联网协议(ip)地址和针对mno114的账户服务器306的第一统一资源定位符(url)地址;从账户服务器306获取针对配置服务器116的第二url地址;向配置服务器116提供一个或多个硬件设备标识符以识别移动无线设备102;从配置服务器116获取esim208;以及将esim208安装在移动无线设备102的euicc108上。
图7示出了根据一些实施方案的可用于实现本文所述的各种方法的代表性计算设备700的详细视图。具体地讲,该详细视图示出了能够包括在移动无线设备102中的各种部件。如图7所示,计算设备700可包括表示用于控制计算设备700的总体操作的微处理器或控制器的处理器702。计算设备700还可包括用户输入设备708,该用户输入设备允许计算设备700的用户与计算设备700进行交互。例如,用户输入设备708能够采取多种形式,诸如按钮、小键盘、拨号盘、触摸屏、音频输入接口、视觉/图像捕获输入接口、传感器数据形式的输入部等。更进一步地,计算设备700能够包括可以由处理器702控制以向用户显示信息的显示器710。数据总线716可促进至少存储设备740、处理器702和控制器713之间的数据传输。控制器713可用于通过设备控制总线714来与不同设备进行交互并对其进行控制。计算设备700还能够包括通信地耦接到数据链路712的网络/总线接口711。在无线连接的情况下,网络/总线接口711可包括无线收发器。
该计算设备700还包括存储设备740,该存储设备可包括单个磁盘或多个磁盘(例如,硬盘驱动器),并包括管理存储设备740内的一个或多个分区的存储管理模块。在一些实施方案中,存储设备740可包括闪存存储器、半导体(固态)存储器等。计算设备700还可包括随机存取存储器(ram)720和只读存储器(rom)722。rom722可以非易失性方式存储待执行的程序、实用程序或进程。ram720可提供易失性数据存储并存储与计算设备700的操作相关的指令。计算设备700还可包括安全元件(se)1050,该安全元件可表示移动无线设备102对蜂窝无线系统接入的安全存储。计算设备700还包括安全元件724,该安全元件可包括euicc108,在该euicc上存储一个或多个esim208。
无线术语
根据本文所述的各种实施方案,术语“无线通信设备”、“无线设备”、“移动无线设备”、“移动站”、和“用户设备(ue)”在本文中可互换使用,以描述可能够执行与本公开的各种实施方案相关联的过程的一个或多个普通的消费电子设备。根据各种具体实施,这些消费电子设备中的任一种消费电子设备可涉及:蜂窝电话或智能电话、平板电脑、膝上型计算机、笔记本计算机、个人计算机、上网本计算机、媒体播放器设备、电子书设备、
在一些实施方案中,无线通信设备还可作为无线通信系统的一部分来操作,该无线通信系统可包括也可被称为站、客户端无线设备、或客户端无线通信设备的一组客户端设备,其被互连到接入点(ap)例如作为wlan的一部分,和/或彼此互连例如作为wpan和/或“自组织”无线网络的一部分。在一些实施方案中,客户端设备可为能够经由wlan技术(例如,根据无线局域网通信协议)来进行通信的任何无线通信设备。在一些实施方案中,wlan技术可包括wi-fi(或更一般地,wlan)无线通信子系统或无线电部件,该wi-fi无线电部件可实施电气电子工程师协会(ieee)802.11技术,诸如以下中的一种或多种:ieee802.11a;ieee802.11b;ieee802.11g;ieee802.11-2007;ieee802.11n;ieee802.11-2012;ieee802.11ac;或其他当前或将来开发的ieee802.11技术。
另外,应当理解,本文所述的ue可被配置作为还能够经由不同的第三代(3g)和/或第二代(2g)rat进行通信的多模无线通信设备。在这些情况下,多模ue可被配置为与提供较低数据速率吞吐量的其他3g传统网络相比更偏好附接到提供较快数据速率吞吐量的lte网络。例如,在一些实施方式中,多模ue可被配置为在lte和lte-a网络以其他方式不可用时回退到3g传统网络,例如演进型高速分组接入(hspa+)网络、或码分多址(cdma)2000演进-仅数据(ev-do)网络。
可单独地或以任何组合使用所述实施方案的各个方面、实施方案、具体实施或特征。可由软件、硬件或硬件与软件的组合来实施所述实施方案的各个方面。所述实施方案还可实施为在非暂态计算机可读介质上的计算机可读代码。非暂态计算机可读介质为可存储数据的任何数据存储设备,该数据之后可由计算机系统读取。非暂态计算机可读介质的示例包括只读存储器、随机存取存储器、cd-rom、hdd、dvd、磁带和光学数据存储设备。非暂态计算机可读介质也可分布在网络耦接的计算机系统上,使得计算机可读代码以分布方式存储和执行。
关于本公开,众所周知,使用个人可识别信息应遵循公认为满足或超过维护用户隐私的行业或政府要求的隐私政策和做法。具体地,应管理和处理个人可识别信息数据,以使无意或未经授权的访问或使用的风险最小化,并应当向用户明确说明授权使用的性质。
为了说明的目的,前述描述使用具体命名以提供对所述实施方案的彻底理解。然而,对于本领域的技术人员而言将显而易见的是,不需要具体细节即可实践所述实施方案。因此,具体实施方案的前述描述被呈现用于例示和描述的目的。前述描述不旨在为穷举性的或将所述的实施方案限制为所公开的精确形式。对于本领域的普通技术人员而言将显而易见的是,鉴于上面的教导内容,许多修改和变型是可能的。
- 还没有人留言评论。精彩留言会获得点赞!