用于将订阅配置文件提供到移动终端设备上的方法和装置与流程

本发明一般地涉及通过无线移动通讯网络的通信并且特别地涉及用于为了通过无线移动通讯网络进行通信而将订阅配置文件提供到移动终端设备上的方法和装置。

背景技术：

借助移动终端设备，例如借助移动电话通过由网络运营商(也称为MNO[Mobile Network Operator]，移动网络运营商)运行的无线移动通讯网络(也称为PLMN[Public Land Mobile Network]，公共陆地移动网络)的通信通常要求，移动终端设备构造为具有安全元件或参与者识别模块，例如以SIM卡的形式，用于安全地接收订阅授权数据("Subscription Credentials"，订阅凭证)，其通常是订阅配置文件的部分并且相对于无线移动通讯网络唯一地识别和验证移动终端设备的用户。这样的订阅授权数据，例如IMSI(International MoBile Subscriber Identity，国际移动用户标识)和验证密钥K_i，在过去通常在安全元件制造商的安全环境下在所谓的“个性化”的范围内存储在安全元件上。

在过去在移动终端设备中能够简单地更换以SIM卡形式的大量安全元件，而从一段时间开始，存在越来越多的固定地设置在移动终端设备中的安全元件。这样的固定地设置在移动终端设备中的安全元件，其对于本领域技术人员来说尤其在术语“嵌入SIM”或“嵌入UICC(eUICC)”下是公知的，通常不再能够在安全元件的制造商处在安全环境下被个性化，因为特别地安全元件的应用领域不是预先已知的。

由此存在对于用于移动终端的个性化，也就是用于将订阅配置文件提供到移动终端设备上(特别是其安全元件上)的改善的方法和装置的需求。

技术实现要素：

按照本发明，上述任务通过独立权利要求的相应内容来解决。本发明的优选实施在从属权利要求中定义。

按照本发明的第一方面，提供一种用于为了通过无线移动通讯网络进行通信而将订阅配置文件提供到移动终端设备上的方法。在此，该方法包括以下步骤：第一移动终端设备以第一订阅配置文件登入无线移动通讯网络；将第二订阅配置文件通过无线移动通讯网络下载到第一移动终端设备；和将第二订阅配置文件从第一移动终端设备通过通信通道转发到第二移动终端设备。

优选地，方法在将第二订阅配置文件从第一移动终端设备通过通信通道转发到第二移动终端设备的步骤之后包括第二移动终端设备以第二订阅配置文件登入无线移动通讯网络的另外的步骤。

按照本发明的优选的实施方式，第二移动终端设备以第二订阅配置文件登入的无线移动通讯网络是通过其将第二订阅配置文件下载到了第一移动终端设备的无线移动通讯网络。

优选地，在第一移动终端设备和第二移动终端设备之间的通信通道是NFC通信通道、WiFi通信通道、蓝牙通信通道、光学通信通道和/或声学通信通道。

按照本发明的优选的实施方式，将第二订阅配置文件从服务器通过无线移动通讯网络下载到第一移动终端设备。

优选地，在服务器和第二移动终端设备之间的逻辑通信通道被密码保护。

按照本发明的优选的实施方式，在服务器和第二移动终端设备之间的逻辑通信通道如下地密码保护，即，第二订阅配置文件由服务器以密钥进行加密，该密钥与第二移动终端设备和/或第二移动终端设备的安全元件的标识符相关联地存储在服务器上。

按照本发明的第二方面，提供一种用于为了通过无线移动通讯网络进行通信而将订阅配置文件提供到移动终端设备上的系统。在此，系统包括：第一移动终端设备，其构造为以第一订阅配置文件登入无线移动通讯网络；服务器，用于将第二订阅配置文件通过无线移动通讯网络下载到第一移动终端设备；和第二移动终端设备，其构造为将第二订阅配置文件从第一移动终端设备通过通信通道转发到第二移动终端设备。

如本领域技术人员已知的那样，上述描述的优选的构造可以在本发明的第一方面的范围内，也就是在用于为了通过无线移动通讯网络进行通信而将订阅配置文件提供到移动终端设备上的方法的范围内，以及在本发明的第二方面的范围内，也就是在用于为了通过无线移动通讯网络进行通信而将订阅配置文件提供到移动终端设备上的系统的范围内，优选地实施。

附图说明

本发明的其它特征、优点和任务源于下面对多个实施例和实施替换的详细描述。参见附图，其中：

图1示出了阐述了本发明的不同方面的、具有与第一移动终端设备和第二移动终端设备通信的无线移动通讯系统的通信系统的示意图，和

图2示出了在图1的将订阅配置文件提供到第二移动终端设备上时的优选流程的示意图。

具体实施方式

图1示出了通信系统10的组件的示意图以及在这些组件之间的一些通信连接，其阐述了本发明的不同方面。虽然在随后的详细描述中涉及“移动的”终端设备，但是本领域技术人员可以识别，本发明优选地可以结合构造为通过移动或蜂窝通信网络来通信的任意类型的终端设备来实施，也就是也与其位置实际上不变的终端设备通信。换言之，在此使用的属性“移动”涉及终端设备通过移动或蜂窝通信网络进行通信的能力。

图1示例性地示出了第一移动终端设备20和第二移动终端设备30。优选地，第一移动终端设备20和第二移动终端设备30分别具有安全元件("Secure Element")22和32，用于安全地存储和处理例如在无线移动通讯网络中唯一地识别第一移动终端设备20和第二移动终端设备30的数据。

如这在图1中表示的那样，第一移动终端设备20优选地是智能电话，而第二移动终端设备30是平板计算机。但是本领域技术人员可以知道，按照本发明，第一移动终端设备20和第二移动终端设备30同样可以以构造为通过无线移动通讯网络进行通信的另外的装置的形式来实施，诸如笔记本、TV系统、机顶盒、自动售货机、汽车、监控摄像机、传感器装置等。

按照本发明的优选的实施方式，安全元件22和安全元件32构造为具有在其上实施的SIM应用的eUICC(embedded Universal Integrated Circuit Card，嵌入式通用集成电路卡)，也就是构造为如下安全元件：其是第一移动终端设备20或第二移动终端设备30的固定组成部分并且在无线移动通讯网络中用于唯一且安全地识别用户或参与者和用于提供不同的功能和增值服务。替换地，安全元件22和/或安全元件32可以构造为UICC(Universal Integrated Circuit Card，通用集成电路卡)或SIM卡(Subscriber Identity Module，用户身份模块)，其作为安全元件的目前最常用的形式而为本领域技术人员所公知。但是本领域技术人员可以知道，本发明同样包含其它类型的安全元件，其根据作为基础的无线移动通讯标准的代和类型被称为USIM、R-UIM、ISIM等。

按照本发明的另外的优选的实施方式，安全元件22和/或安全元件32可以构造为在第一移动终端设备30或第二移动终端设备30的中央处理器单元的操作系统的值得信任的部件中的硬件组件和软件组件的组合，其对于本领域技术人员也作为安全的运行时环境(“Trusted Execution Environment，可信执行环境”；TEE)所公知。安全元件22和/或安全元件32然后例如可以在第一移动终端设备20或第二移动终端设备30的这样的安全的运行时环境内以在其中运行的程序、所谓的的形式来构造。

第一移动终端设备20和第二移动终端设备30构造为，经由空中接口与无线移动通讯网络50(也简称为"Mobilfunknetz，无线移动通讯网"或称为"Public Land Mobile Network，公共陆地移动网络"[PLMN])通信。为此，第一移动终端设备20和第二移动终端设备30通常分别具有合适构造的、用于发送和接收无线电波的天线(图1中未示出)。

下面结合无线移动通讯网络50按照GSM标准("Global Standard for Mobile Communications，全球移动通信标准")描述了本发明的优选的实施方式，其在多个ETSI规格中详细说明。但是本领域技术人员可以知道，还可以优选地结合另外的无线移动通讯网络应用本发明。这样的网络包括第三代无线移动通讯网络(3GPP)，诸如UMTS(Universal Mobile Telecommunications System，通用移动通信系统)；第四代无线移动通讯网络(4G)，诸如LTE(Long Term Evolution，长期演进)；以及其它无线移动通讯网络，诸如CDMA等。

如这对于本领域技术人员来说已知的那样，按照GSM标准构建的无线移动通讯网络或PLMN通常包括BSS("Base Station Subsystem，基站子系统")，其由多个BTS("Base Transceiver Station，基站收发信机")组成，其定义了PLMN的各个无线电小区并且与BSC("Base Station Controller，基站控制器")连接。通常地，BSC是与共同的MSC("Mobile Switching Center，移动交换中心")通信的多个BSC中的一个。通常地，称为VLR("Visitor Location Register，拜访位置寄存器")的本地数据库是部分的MSC，用于提供关于无线移动通讯参与者的信息，其当前处于由MSC顾及的无线电小区中(也就是由MSC覆盖的区域)。MSC提供与在固定网络(public-switched telephone network；PSTN，公用交换电话网)中的中转站基本上相同的功能性，并且与HLR("Home Location Register，归属位置寄存器")通信，该HLR是PLMN的主要数据库，在其中存储了用于无线移动通讯参与者的登陆或验证的信息。为此，HLR通常访问AUC("Authentication Center，验证中心")。如这对于本领域技术人员已知的那样，在上述描述的PLMN的组件之间的通信连接基于专有和/或开放标准。所使用的协议例如可以是基于SS7或IP的。网络组件怎样构造为单独的或组合的单元以及在这些组件之间的接口怎样构造，是MNO的事务，从而上述描述仅理解为示例性的。

本领域技术人员可以识别，虽然上述描述的按照GSM标准的常规的无线移动通讯网络的功能单元在另外的或将来的无线移动通讯标准中可以具有其它名称，但是作为基础的原理基本上相同并且其由此同样被本发明所包含。为了清楚起见，以图1的示意图仅示出无线移动通讯网络的上述描述的组件中的以下组件：用于无线移动通讯网络50的示例性的BTS 52以及HLR54。

如从图1中可以得出的那样，无线移动通讯网络50至少暂时与后台系统60通信，优选地以合适构造的"Subscription Management"Servers(SM Server，订阅管理服务器)的形式，如下面还要详细描述的。

如从图1中的安全元件22和32的放大视图中可以得出的那样，其优选地分别包括中央处理单元或中央处理器("central processing unit"；CPU)25或35。优选地，处理器25或35构造为，使得应用可以在处理器25或35上运行，其优选地将至少一些用于提供订阅配置文件的特征提供到第二移动终端设备30上，如下面还要结合图2详细描述的那样。这样的应用优选地以Java程序(Java Applets)的形式实施。

安全元件22和安全元件32优选地还分别包括存储单元26或36，其优选地实施为非易失性的、可再写的存储单元，例如以闪存的形式。在此，存储单元26或36构造为，接收至少一个订阅配置文件，例如订阅配置文件SP1或SP2，如其在图1中示意性表示的那样。

在图1的示意图中，订阅配置文件SP1已经被引入第一移动终端设备20的安全元件22的存储单元26中，这尤其意味着，安全元件22的CPU 25例如可以访问订阅配置文件SP1。优选地，订阅配置文件SP1包含允许安全元件22和第一移动终端设备20登入无线移动通讯网络50并且通过该无线移动通讯网络通信的数据，也就是这样的数据，诸如订阅授权数据("Subscription Credentials")、MNO特定的验证算法和/或等等。

在图1的示意图中，第二移动终端设备30的安全元件32的存储单元36准备好用于接收订阅配置文件SP2，这在下面还要进一步结合图2详细描述。优选地，订阅配置文件SP2包含允许安全元件32和第二移动终端设备30登入无线移动通讯网络50并且通过该无线移动通讯网络通信的数据，也就是这样的数据，诸如订阅授权数据("Subscription Credentials")、MNO特定的验证算法和/或等等。替换地，订阅配置文件SP2可以包含允许安全元件32和第二移动终端设备30登入与无线移动通讯网络50不同的无线移动通讯网络的数据，例如登入另一个无线移动通讯网络运营商的无线移动通讯网络。

图2示出了在将订阅配置文件SP2提供到第二移动终端设备30时的按照本发明的优选的流程。

在图2的步骤S1中，第一移动终端设备20以存在的订阅配置文件SP1登入无线移动通讯网络50。这在验证过程的范围内在使用订阅授权数据的条件下进行，该订阅授权数据是订阅配置文件SP1的一部分，诸如IMSI和/或验证密钥K_i。

在第一移动终端设备20成功地登入无线移动通讯网络50并且可以通过其通信之后，在图2的步骤S2中，第一移动终端设备20通过无线移动通讯网络50在SM服务器60中请求用于第二移动终端设备30的订阅配置文件SP2。按照本发明可以考虑，借助在第一移动终端设备20上运行的具有图形用户界面的应用，用户可以接启动过程并且尤其可以选择用于第二移动终端设备30的订阅配置文件S2。

根据该请求，在图2的步骤S3中SM服务器60将由用户为第二移动终端设备30所选择的订阅配置文件SP2通过无线移动通讯网络50加载到第一移动终端设备20。在此，SM服务器60可以信任第一移动终端设备20，因为其已经被无线移动通讯网络50验证。

在图2的步骤S4中，构建在第一移动终端设备20和第二移动终端设备30之间的通信通道40。因为通常向用户既提供第一移动终端设备20也第二移动终端设备30并且用户可以将两个终端设备20、30结合，所以通信通道40是具有短有效距离的通信通道。优选地，该通信通道40是NFC通道、蓝牙通道、WiFi通道等。替换地，还可以考虑以在第一移动终端设备20和第二移动终端设备30之间的光学或声学数据传输形式的通信通道40。例如可以在第一移动终端设备20的显示器上显示数据，例如以QR代码的形式显示，并且借助第二移动终端设备30的照相机来采集。

在图2的步骤S4中已经建立了在第一移动终端设备20和第二移动终端设备30之间的通信通道之后，在图2的步骤S5中将订阅配置文件SP2从第一移动终端设备20通过通信通道40传输到第二移动终端设备30。

然后在图2的步骤S6中，第二移动终端设备或其安全元件32可以以订阅配置文件SP2和在其中包含的订阅授权数据，诸如IMSI和/或验证密钥K_i，登入无线移动通讯网络50。如上面已经提到的那样，本发明同样包括如下情况，即，订阅配置文件SP2的订阅授权数据允许访问另外的无线移动通讯网络，例如另外的无线移动通讯网络运营商的无线移动通讯网络。

如果移动终端设备30在步骤S6中成功地登入了无线移动通讯网络50，则在图2的步骤S7中，第二移动终端设备30可以通过无线移动通讯网络50将相应的确认发送到SM服务器60。

如本领域技术人员已知的那样，为了实现由本发明提供的优点，不需要，图2的步骤按照在那里示出的顺序进行。例如在本发明的范围内可以考虑，用于构建在第一移动终端设备20和第二移动终端设备30之间的通信通道40的步骤S4在将订阅配置文件SP2下载到第一移动终端设备20之前已经进行。

用于将订阅配置文件从SM服务器60通过无线移动通讯网络50下载到第一移动终端设备20并且从第一移动终端设备20通过通信通道40下载到第二移动终端设备30的图2的步骤S3至S5可以被考虑为在SM服务器60和第二移动终端设备30之间的逻辑通信通道，其中第一移动终端设备20仅用于传输数据。优选地，在SM服务器60和第二移动终端设备30之间的逻辑通信通道被密码保护。

在SM服务器60和第二移动终端设备30之间的逻辑通信通道的密码保护例如可以通过如下实现，即，优选地在第二移动终端设备30的安全元件32上存储密钥，其也与第二移动终端设备30或安全元件32的标识符(例如芯片ID)相关联地存储在SM服务器60上。在该情况下，第二移动终端设备30将在附加的未在图2中示出的步骤中相对于SM服务器60进行识别，并且SM服务器60以与该标识符对应的密钥对订阅配置文件SP2进行加密。如本领域技术人员已知的那样，在该情况下，已经可以在较早的时间点构建在第一移动终端设备20和第二移动终端设备30之间的通信通道40，以便向第一移动终端设备20通知标识符，例如第二移动终端设备30的安全元件32的芯片ID。在此可预见的是，第一移动终端设备20在请求第二订阅配置文件SP2的范围内通过无线移动通讯网络50在SM服务器60中请求第二移动终端设备30或安全元件32的标识符(参见图2的步骤S2)。