限制eUICC的订阅简档可被下载的次数的制作方法

本发明涉及加载分组和用于将订阅的简档(订阅简档)加载到订阅者身份模块中的方法。

背景技术：

移动终端借助于也被称为安全元件的订阅者身份模块在移动通信网络中安全地操作。作为移动终端，特别是移动通信终端，可以提供诸如例如智能手机以及M2M终端。

在建立订阅者身份模块的范围内，订阅简档必须被加载到订阅者身份模块中。订阅简档(或简短简档)的更改请求需要提供更改的订阅简档。在用于移动通信终端的插入式SIM卡的情况下，可以通过更换SIM卡来实施该更改。可替代地，将新订阅简档加载到订阅者身份模块中，这特别是对于永久内置的订阅者身份模块(例如，移动通信中的eUICC或永久内置的M2M模块)而实施的，该永久内置的订阅者身份模块不会被容易地更换。订阅的管理，特别是通过将订阅简档和随附数据下载到订阅者身份模块中，通常被称为订阅管理。

技术规范[1]12FAST.13-Embedded SIM Remote Provisioning Architecture 17 December 2013",GSMA和[2]

SGP02-Remote-Provisioning-Architecture-for-embedded-UICC-Technical-Specifi cation-v2.0,13October 2014 GSMA，描述了在eUICC中订阅简档的下载和安装。根据[1]12FAST.13，将订阅简档加载到订阅者身份模块涉及订阅管理数据准备SM-SP和订阅管理安全路由器SM-SR。订阅管理数据准备SM-SP具有特定于订阅者身份模块的信息，并且基于订阅简档从中产生待加载到订阅者身份模块中的加载分组。加载分组包括与该订阅简档相对应的特定于订阅者身份模块的加密加载序列，并且基于该加密加载序列可以在订阅者身份模块中实现该订阅简档。订阅管理数据准备SM-SP将加载分组提供给订阅管理安全路由器SM-SR，订阅管理安全路由器SM-SR将加载分组加载到订阅者身份模块中。通过在订阅者身份模块中的实现处理，订阅者简档最终在订阅者身份模块中实现，对于本发明来说，在订阅者身份模块中的实现处理并不重要并且因此将不会被进一步考虑，。[2]SGP02第3章描述了将订阅简档下载并安装到eUICC时的协议顺序。在下文中，订阅管理数据准备SM-SP在德语中被称为“Daten-Aufbereitungsserver SM-DP”(数据准备服务器SM-DP)；订阅管理安全路由器SM-SR在德语中被称为“Sicherheits-Router SM-SR”(安全路由器SM-SR)。

为了防止将加载分组加载到若干不同的订阅者身份模块中，即，为了防止克隆订阅简档以用于若干订阅者身份模块，包括在加载分组中的加载序列以特定于订阅者身份模块的方式被加密。

然而，通过这种措施不能防止将加载分组多次加载到同一个订阅者身份模块中并安装在那里。这将在下面显示，为什么这种将加载分组多次加载到同一个订阅者身份模块中，其第一眼看去是无害的措施，但是可能会有问题。网络运营商可能及时地限制订阅简档的使用合同。为了实施时限，可以规定网络运营商在合同期满时经由远程访问订阅者身份模块来停用在订阅者身份模块中实现的订阅者简档。用户可以在远程停用之后通过再次请求将加载分组加载到订阅者身份模块中，而尝试规避使用合同的时限，假装他还没有收到该简档。

技术实现要素：

本发明的目的是创建加载分组和用于将移动通信订阅的简档(订阅简档)加载到订阅者身份模块中的方法，其中，使用限制的规避，特别是时限的规避，变得困难或者优选地被防止。特别地，要防止订阅简档重复加载到订阅者身份模块中。

该目的通过根据权利要求1的加载分组得以实现。本发明的有利实施例在从属权利要求中指定。

根据本发明的加载分组适用于将用于订阅的简档加载到订阅者身份模块中，并且包括加载序列，通过在订阅者身份模块中实现该加载序列而在订阅者身份模块中建立该简档。加载分组的特征在于简档加载计数器序列。所述序列是基于在数据准备服务器中维护的简档加载计数器的计数器读数生成的，该计数器读数是在加载分组从数据准备服务器传送到订阅者身份模块时改变的，特别是递增的。进一步，简档加载计数器序列适用于将具有所生成的计数器读数的简档加载计数器加载到订阅者身份模块中。计数器的简档加载计数器序列在简档的加载序列之前被加载到订阅者身份模块中，由此计数器的简档加载计数器序列在简档的加载序列之前从所传输的加载分组中提取出来。

如果在订阅者身份模块中不存在实现的简档加载计数器，则在订阅者身份模块中实现简档加载计数器，其计数器读数确定加载分组可以被加载到订阅者身份模块中的可接受的次数。如果在订阅者身份模块中已经存在实现的简档加载计数器，则检查其计数器读数，以根据订阅者身份模块中的计数器读数确定是否仍然低于加载分组已被加载到订阅者身份模块中或/和已被实现的可接受的次数。加载序列的加载或/和实现，因此最终简档的加载或/和实现，只有在仍然低于可接受的次数时才被允许，否则加载序列(PL)的加载或/和实现被防止。

通过设置在加载分组本身中的加载计数器，可以基于加载分组本身来检查简档加载过程的可容许性。在初始加载简档时，简档加载计数器在订阅者身份模块中建立，并被设置有相同简档的实现处理的可接受的最大次数(次数)。对于相同简档的每次后续加载，数据准备服务器上的简档加载计数器由一个计数步骤改变(取决于实现的具体类型，递增；或者递减)。当在订阅者身份模块中实现的计数器读数的最大次数在简档加载处理中被超过时，在该简档加载处理中，加载分组不被从加载分组中提取出(因此不从加载分组中加载出)，因此结果不能在订阅者身份模块中实现，或者加载分组被提取(加载)但不被实现。

可选地，订阅者身份模块提供与一个身份简档相关联的简档加载计数器。

可选地，订阅者身份模块可选地或附加地提供全局简档加载计数器，该全局简档加载计数器对所有简档加载处理进行计数的，特别是也用于不同简档。

因此，根据权利要求1，创建了防止使用限制的规避的加载分组。

可选地，通过将在订阅者身份模块中实现的简档加载计数器的计数器读数与来自加载分组的计数器读数进行比较，来实现检查计数器读数。

可选地，在加载分组中，简档加载计数器序列在加载序列之前，使得订阅者身份模块必须在加载序列之前从加载分组中加载出或提取出简档加载计数器序列。

根据本发明的数据准备服务器适用于生成被提供用于传送到订阅者身份模块的加载分组。

可选地，数据准备服务器使用特定于订阅者身份模块的密钥加密生成的加载分组，并将加密的加载分组传送到订阅者身份模块。加载分组在订阅者身份模块中被解密。

附图说明

下面将基于实施例示例并参照附图更详细地解释本发明，其中：

图1是根据本发明实施例的从数据准备服务器经由安全路由器向订阅者身份模块初始加载一加载分组的图；

图2是类似于图1的图，用于安全路由器尝试第二次将加载分组加载到订阅者身份模块中。

具体实施方式

图1示出了根据本发明的实施例的从数据准备服务器SM-DP到订阅者身份模块eUICC的加载分组的初始加载的图。加载分组包括用于在订阅者身份模块eUICC中实现订阅者简档P的加载序列PL和用于在订阅者身份模块eUICC中实现简档加载计数器PC的简档加载计数器序列PCL。在步骤(a)中，数据准备服务器SM-DP从加载序列PL和简档加载计数器序列PCL生成加载分组。加载序列PL是基于要加载的简档数据P产生的。简档加载计数器序列PCL是基于简档加载计数器PC的计数器读数生成的，该计数器读数通过一个计数步骤递增，在初始加载的当前情况下，计数器读数为1。基于加载序列PL和简档加载计数器序列PCL，生成加载分组并且使用特定于订阅者身份模块eUICC的密钥加密。(b)加密的加载分组由数据准备服务器SM-DP经由安全路由器SM-SR发送到订阅者身份模块eUICC。订阅者身份模块eUICC解密该加载分组。在加载分组中，简档加载计数器序列PCL在简档P的加载序列PL之前。因此，订阅者身份模块eUICC只能先将简档加载计数器序列PCL从解密的加载分组中加载到订阅者身份模块中。在步骤(c)中，然后在订阅者身份模块中确定还没有在那里实现简档加载计数器PC，并且在订阅者身份模块eUICC中新实现简档加载计数器，包括计数器读数，因此在此情况下为1，其同时也是该简档可以在订阅者身份模块eUICC中实现的最大可接受次数。在步骤(d)中，订阅者身份模块eUICC现在将用于简档的加载序列PL从加载分组中加载到订阅者身份模块eUICC中，并且基于所加载的加载序列PL在订阅者身份模块eUICC中实现简档P。

图2示出了类似于图1的用于数据准备服务器SM-DP尝试第二次将加载分组加载到订阅者身份模块eUICC中的图。数据准备服务器SM-DP通过生成加载分组开始并提供简档加载序列。(a)为此，数据准备服务器SM-DP通过一个计数步骤将简档加载计数器PC的计数器读数从1递增到2，并且基于该计数器读数生成简档加载计数器序列PCL。数据准备服务器SM-DP将简档加载序列PL和简档加载计数器序列PCL连接到加载分组中，并且使用特定于订阅者身份模块eUICC的密钥加密该加载分组。(b)加密的加载分组由数据准备服务器SM-DP经由安全路由器SM-SR发送到订阅者身份模块eUICC。订阅者身份模块eUICC解密加载分组并且提取具有计数器读数2的简档加载计数器序列PCL。(c)订阅者身份模块eUICC确定它已经具有实现的简档加载计数器PC并且检查来自加载分组的计数器读数，即2，与订阅者身份模块eUICC中实现的简档加载计数器PC的计数器读数相比，即1。因此，计数器读数超过了简档P的实现处理的可接受的次数。在步骤(d)中，因此结果防止加载序列PL第二次被提取(加载)并且在订阅者身份模块eUICC中被实现。

可选地，在用于防止未经授权的数据源向订阅者身份模块发送加载分组的方法中提供进一步的措施。可选地，由此防止加载分组被中间存储并且以未改变的状态输入到订阅者身份模块中。

可选地，由数据准备服务器向可选地加密的加载分组添加特定于数据准备服务器的验证令牌，所述令牌在加载分组传输到订阅者身份模块之后在订阅者身份模块处被验证。只有在订阅者身份模块处的验证令牌成功验证后才能接受加载分组。否则，来自加载分组的加载序列或/和简档加载计数器序列不会从加载分组被加载或/和不会被实现。

可选地，提供校验和，特别是消息认证码MAC或者替代地证书，作为验证令牌。

引用的现有技术

[1]12FAST.13-Embedded SIM Remote Provisioning Architecture 17 December 2013 GSMA

[2]SGP02-Remote-Provisioning-Architecture-for-embedded-UICC-Technica l-Specification-v2.0,13 October 2014,GSMA