配置文件管理方法和服务器与流程
本发明涉及向并入移动电信终端的安全实体提供配置文件的领域。
作为预备点,应当记得,本发明上下文中的“配置文件(profile)”是安装在安全实体上或者用于安装在安全实体上的一组文件、数据及应用,并且使得一旦该配置文件被启用,则合并了该安全实体的终端能够接入由该配置文件定义的移动电信网络的服务。
图1示出了遵循现有技术来管理配置文件的方法。图1示出了配置文件管理服务器300、网络路由器200以及并入移动终端80的安全实体100。安全实体100是如由GSM联盟(GSMA)所定义的嵌入式通用集成电路卡(eUICC)类型的实体。应该记得,不同于可移除的用户标识模块(SIM)卡,eUICC实体是这样的实体,即,其通常被焊接(并且被设计为在任何情况下不被移除或替换),并且使能以安全方式改变配置文件。
假设配置文件管理服务器300在步骤S10期间接收到请求301,以启用安全实体上的配置文件。该请求可以是以下类型:
request(enable-profile(EID,ICCID))
其中:
-EID是eUICC安全部件的唯一标识符;和
-ICCID是用于标识安全实体中的配置文件的唯一标识符。
应当记得,在安全部件中启用配置文件包括停用当前活动的配置文件以及启用该请求中指定的新配置文件。
返回图1,配置文件管理服务器300维护用于每个安全部件EID的配置文件管理表300T1,如附录A所示。
针对每个配置文件,该表包括:
-在安全实体EID中的配置文件的标识符ICCID;
-配置文件的类型。在附录A的示例中,该表具有一个预备(provisioning)配置文件和两个运行(operational)配置文件P1和P2;
-配置文件的状态:停用或活动;和
-与配置文件相关联的MSISDN电话号码。
在该示例中,应当观察到,配置文件管理服务器300获知安全部件100的当前活动配置文件是运行配置文件P1。
在接收到请求301时,配置文件管理服务器300在步骤S15期间起作用,以根据包含在该请求中的标识符ICCID,来识别表300T1中的配置文件P2,并接着生成遵循标准ISO7816的应用协议数据单元(APDU)请求:
ENABLE_PROFILE(P2)
在步骤S20期间,配置文件管理服务器300加密APDU命令并且向其附加安全报头,例如,遵循全球平台标准的SCP80安全报头:
Scp80-header//ENABLE_PROFILE(P2)
在步骤S25期间,配置文件管理服务器300使用传输服务,以向与表300T1中的活动的配置文件P1相关联的MSISDN电话号码发送在步骤S20中构造的帧。配置文件管理服务器定义该消息的生存时间,例如,等于24小时。
作为示例,用于传送该消息和用于管理上述生存时间的传输服务可以是短消息服务(SMS)、GGSN服务或因特网。下面假设使用SMS服务。
SMS(Scp80-header//ENABLE_PROFILE(P2),MSISDN(P1),time-to-live)
在图1中以参考标记302表示的该SMS消息经由传输网络,特别是经由路由器200传递至安全实体100的配置文件状态管理器120。配置文件状态管理器120在步骤G10期间接收SMS消息302。
安全实体100的配置文件状态管理器120维护配置文件管理表100T1,如附录B所示。该表类似于由配置文件管理服务器300针对该安全实体所维护的表300T1,但是表100T1其不具有第四列:MSISDN。
在该实体中,应当观察到,安全示例EID的活动配置文件是配置文件P1,并且配置文件管理服务器300的知识因此是正确的。
在步骤G15期间,配置文件状态管理器120移除SCP80安全报头并解密SMS消息302的内容:
decrypt-scp80(302)
在步骤G20期间,配置文件状态管理器120执行用于启用配置文件P2的命令,这意味着停用当前的活动配置文件P1并启用新配置文件P2。
在步骤G30期间,配置文件状态管理器120将REFRESH SIM工具包命令放置在用于移动终端80的缓冲器中。处理该REFRESH命令的效果是重新初始化安全实体100,并执行用于重新启动移动终端80的过程。在该重新启动过程期间,移动终端读取表100T1并开始与新配置文件P2相关联的认证过程。
该认证过程由ETSI标准TS 131 102V11.6.0(2013 10)定义。
在测试G35期间,配置文件状态管理器120验证该认证过程是否已成功发生。
如果是这样,则配置文件状态管理器120在步骤G36期间更新其表100T1,并且在步骤G40期间行动,以向配置文件管理服务器300发送MSM消息306,以通知配置文件管理服务器300配置文件P2确实是活动的:
send-SMS(P2-enabled-OK,MSISDN(300))
作为示例,配置文件状态管理器120可以从消息302发现服务器300的MSISDN号码,或者它可以从安全实体的存储器获取该号码。在步骤S30期间,消息304通常由配置文件管理服务器300接收。
在步骤S35期间,消息306通常由配置文件管理服务器300接收。在这种情况下,配置文件管理服务器300在其表300T1中存储配置文件P2是活动的,使得表300T1与100T1同步(步骤S36)。
在认证过程失败的情况下,配置文件状态管理器120启动紧急或“回退”过程,该过程包括:启用预备配置文件(步骤G50)、更新表100T1(步骤G51)以及向配置文件管理服务器300发送(步骤G55)SMS消息310,以通知配置文件管理服务器300预备配置文件已启用:
send-SMS(provisioning-enabled-OK,MSISDN(300))
在步骤S45期间,消息310通常由配置文件管理服务器300接收。在这种情况下,配置文件管理服务器300在其表300T1中存储配置文件P2是活动的,使得表300T1与100T1同步(步骤S46)。
因此,总的来说,存在可以由安全实体100的配置文件状态管理器120发送到配置文件管理服务器300的四个消息:
-确认接收到用于启用配置文件P2的消息302的消息304;
-指示配置文件P2被成功启用的消息306;
-指示启用配置文件P2失败的消息308;以及
-指示预备配置文件被成功启用的消息310。
配置文件管理服务器300无法接收指示成功启用配置文件P2或预备配置文件的消息306或310导致配置文件管理表300T1与100T1变得不同步,因为在这些情况的任一者中,配置文件管理服务器认为配置文件P1仍然是当前的活动配置文件。这种情况是有害的,因为如果服务器300随后寻求联系安全实体100,例如,为了向其发送更新脚本,那么其将查阅表300T1,并由此利用配置文件P1的MSISDN电话号码,而非实际上活动的配置文件的号码。
本发明提出了一种不存在上述缺点的配置文件管理方法。
技术实现要素:
更具体地,并且在第一方面,本发明提供了一种由配置文件管理服务器执行的管理安全实体的配置文件的方法。该方法包括:
-向所述安全实体发送消息,以便修改所述实体的活动配置文件的步骤;
-初始化并启动计时器的步骤;以及
-在所述启动计时器之后的预定持续时间期满之前,如果所述服务器未接收到指示所述安全实体中哪个配置文件活动的消息,则执行以下步骤:
-开始用于确定所述安全实体中哪个配置文件实际活动的审核过程。
相应地,本发明还提供了一种配置文件管理服务器,该配置文件管理服务器用于管理安全实体的配置文件。该服务器包括:
-用于向所述安全实体发送消息,以便修改所述实体的活动配置文件的单元;
-用于初始化并且启动计时器的单元;以及
-用于在所述启动计时器之后的预定持续时间期满之前,如果所述服务器未接收到指示所述安全实体中哪个配置文件活动的消息,则执行以下步骤的单元(101):
-开始用于确定所述安全实体中哪个配置文件实际活动的审核过程。
因此,并且按一般的方式,本发明提出安装审核过程,以在服务器在发送寻求改变活动配置文件的消息之后未明确地接收到该信息的情况下,使配置文件管理服务器能够确定在安全实体中实际活动的配置文件。
本发明由此使得可以同步由服务器所管理的配置文件管理表和由实体自身管理的配置文件管理表。
本发明首先用于使配置文件管理服务器能够保持关于安全部件中的当前活动配置文件的准确信息。作为示例,其由此可以成功地寻址该配置文件,以便向其发送更新脚本。
由服务器发送以修改实体的活动配置文件的消息可以是:
-用于安装和启用新配置文件的消息;
-用于停用或删除活动配置文件以支持新的运行配置文件或预备配置文件的消息;和/或
-适于修改活动配置文件或者在修改失败的情况下切换至预备配置文件的任何消息。
在特定实现中,针对与所述服务器为了修改所述安全实体的所述活动配置文件而发送的所述消息的生存时间相对应的持续时间来初始化所述计时器。
该特性使得可以尽可能长地延迟所述审核过程的触发。
在特定实现中,所述审核过程包括向所述安全实体发送至少一个脚本,以便至少获取以下状态:
-所述安全实体的、被所述服务器认为在修改之前是活动的配置文件的状态;
-所述安全实体的、被所述服务器认为在修改之后将是活动的配置文件的状态;以及
-所述安全实体的所述预备配置文件的状态。
在变型例中,所述审核过程包括向所述安全实体发送至少一个脚本,以便获得所述配置文件管理服务器已知的所述实体的所有配置文件的状态。
在特定实现中,所述脚本包括APDU GET STATUS命令。有利的是,该命令使得能够获取状态而无需修改该状态。在变型例中,可以使用GET DATA命令、SELECT命令,或使能从安全实体的一个或多个文件读取状态而不修改该状态的任何其它命令或命令集。
上述脚本可以一个接一个地发送,而不等待传递该脚本的消息的生存时间。在变型例中,在发送脚本之前,如果没有接收到对发送前一脚本的消息的响应,则该方法等待该消息的生存时间。
在特定实现中,传输调节方法的各个步骤由计算机程序指令确定。
因此,本发明还提供了一种数据介质上的计算机程序,该程序适于或者由计算机执行,该程序包括适于执行上述传输调节方法的步骤的指令。
该程序可以使用任何编程语言并且采用源代码、目标代码或者源代码与目标代码之间的中间代码的形式(如部分编译的形式),或者采用任何其它希望形式。
本发明还提供了一种包括如上所述的计算机程序指令的计算机可读数据介质。
该数据介质可以是能够存储该程序的任何实体或装置。例如,该介质可以包括诸如只读存储器(ROM)的存储装置(例如,光盘(CD)ROM、或微电子电路ROM),或者实际上是磁记录装置(例如,软盘或硬盘)。
而且,该数据介质可以是可传输介质,诸如适于经由电缆或光缆、通过无线电或者通过其它方式传送的电信号或光信号。本发明的程序可以具体从互联网类型的网络下载。
另选的是,该数据介质可以是其中包含了该程序的集成电路,所述电路适于执行或用于执行所讨论的方法。
附图说明
本发明的其它特征和优点从参考附图和附录的以下描述中显现,附图和附录示出了没有限制性特征的实现。在图中:
-图1如上所述示出了现有技术的配置文件管理方法;
-图2示出了根据本发明的配置文件状态管理器;以及
-图3示出了根据本发明的特定实现的配置文件管理方法。
具体实施方式
图2示出了根据本发明的配置文件管理服务器500。配置文件管理服务器500包括处理器101、随机存取存储器(RAM)102、ROM 103以及网络接入模块104。这些各种部件通过未标记的总线系统彼此连接。
模块104适于发送和接收与参照图1描述的消息301、302、304、306及308相同类型的帧和消息。
配置文件管理服务器500执行根据本发明的配置文件管理方法,在图3中以流程图的形式示出该方法的主要步骤。该配置文件管理方法可以通过执行存储在ROM 103中的计算机程序来执行。
图3是示出根据本发明的配置文件管理方法的主要步骤的流程图。该方法的步骤Sxx与上面参照图1描述的现有技术配置文件管理方法的步骤Sxx相同。
根据本发明的配置文件管理方法的出色之处在于,在发送用于修改安全实体100的活动配置文件的消息302的步骤S25之后,本发明的配置文件管理方法包括初始化计时器的步骤V26,该计时器在本示例中由倒计时TIM构成。
在变型例中,该计时器可以由时钟或用于测量持续时间的任何其它装置构成。
在当前描述的实现中,以对应于消息302的生存时间的持续时间来初始化倒计时TIM。
根据本发明,如果倒计时TIM在接收到指示新配置文件(配置文件P2或预备配置文件PROV)实际上已启用的消息306或310之前期满,则配置文件管理服务器500触发在图3中用附图标记V100表示的审核过程。
为此,本发明的方法包括用于验证倒计时TIM是否已经期满的步骤V50,并且如果测试V50的结果是肯定的,则触发审核过程。
该审核过程包括向安全实体100发送多个脚本,以便至少获取以下状态:
·服务器500的、在当前时刻被认为是活动的配置文件(即,当前所述示例中的P1)的状态;
·服务器500正在请求启用的配置文件(即,当前所述示例中的P2)的状态;以及
·预备配置文件PROV的状态。
在变型例中,该审核过程包括发送脚本以获取服务器500已知的安全实体100的所有配置文件的状态,即,在针对该实体的配置文件管理表300T1中所列出的所有配置文件的状态。
在当前所示实现中,利用APDU GET STATUS命令将各种状态-请求脚本并行地发送至各个配置文件(步骤V55):
SMS(Scp80-header//GET STATUS,MSISDN(P1))
SMS(Scp80-header//GET STATUS,MSISDN(P2))
SMS(Scp80-header//GET STATUS,MSISDN(PROV))
GET STATUS命令的使用有利地使得可以发现配置文件的状态,而无需修改该状态。
当配置文件管理服务器500接收到接收确认(步骤V60)时,配置文件管理服务器500更新其配置文件管理表300T1(步骤V65)。
因此,即使在消息306和310无法到达的情况下,根据本发明的服务器500的配置文件管理表300T1也与安全实体的表100T1同步。
如果服务器500在倒计时TIP期满之前接收到消息306或310中的一个,则服务器500在步骤V70期间停止倒计时。
在当前所述的实现中,并行地发送配置文件状态-请求脚本。在变型例中,可以串行地发送配置文件状态-请求脚本。
附录A
表300T1
附录B
表100T1
- 还没有人留言评论。精彩留言会获得点赞!