特許 6442617 ｅＵＩＣＣの遠隔サブスクリプション管理のための方法、及び対応する端末

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6442617

(24)【登録日】2018年11月30日

(45)【発行日】2018年12月19日

(54)【発明の名称】ｅＵＩＣＣの遠隔サブスクリプション管理のための方法、及び対応する端末

(51)【国際特許分類】

   H04L 9/08 20060101AFI20181210BHJP

   H04W 8/20 20090101ALI20181210BHJP

   H04W 12/06 20090101ALI20181210BHJP

【ＦＩ】

   H04L9/00 601C

   H04L9/00 601F

   H04W8/20

   H04W12/06

【請求項の数】8

【全頁数】12

(21)【出願番号】特願2017-541945(P2017-541945)

(86)(22)【出願日】2016年2月5日

(65)【公表番号】特表2018-511964(P2018-511964A)

(43)【公表日】2018年4月26日

(86)【国際出願番号】EP2016052478

(87)【国際公開番号】WO2016128311

(87)【国際公開日】20160818

【審査請求日】2017年8月17日

(31)【優先権主張番号】15305216.2

(32)【優先日】2015年2月13日

(33)【優先権主張国】EP

(73)【特許権者】

【識別番号】309014746

【氏名又は名称】ジェムアルト エスアー

(74)【代理人】

【識別番号】100086368

【弁理士】

【氏名又は名称】萩原 誠

(72)【発明者】

【氏名】グザヴィエ ベラール

(72)【発明者】

【氏名】バンジャマン マゼー

【審査官】 中里 裕正

(56)【参考文献】

【文献】 米国特許出願公開第２０１４／０１４０５０７（ＵＳ，Ａ１）

【文献】 米国特許出願公開第２０１４／０００４８２７（ＵＳ，Ａ１）

【文献】 米国特許出願公開第２０１３／００１２１６８（ＵＳ，Ａ１）

【文献】 米国特許出願公開第２０１２／０１７３７４３（ＵＳ，Ａ１）

【文献】 GSM Association，Embebdded SIM Remote Provisioning Architecture，[online]，２０１３年１２月１７日，Version 1.1，[2018年10月30日検索]，ＵＲＬ，https://www.gsma.com/iot/wp-content/uploads/2014/01/1.-GSMA-Embedded-SIM-Remote-Provisioning-Architecture-Version-1.1.pdf

【文献】 PARK, J., BAEK, K. and KANG, C.，Secure Profile Provisioning Architecture for Embedded UICC，2013 International Conference on Availability, Reliability and Security，２０１３年 ９月 ２日，p.297-303

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｈ０４Ｌ ９／０８

Ｈ０４Ｗ ８／２０

Ｈ０４Ｗ １２／０６

(57)【特許請求の範囲】

【請求項1】

端末（２４）と協働するｅＵＩＣＣ（２３）の遠隔サブスクリプション管理のための方法であって、前記ｅＵＩＣＣ（２３）は、秘密鍵（Ｐｒｋｅｕ）と、その製造業者により署名された公開証明書（Ｃｅｒｔ-ｅｕ）とを有し、前記公開証明書（Ｃｅｒｔ-ｅｕ）はさらに、サブスクリプションマネージャサーバ（２０）が前記ｅＵＩＣＣ（２３）についての予備知識を持たずに前記ｅＵＩＣＣ（２３）を管理することに同意できるかどうかを決定できるようにする情報を含み、前記方法は、
ａ‐イベントの発生時に、前記ｅＵＩＣＣ（２３）の前記公開証明書（Ｃｅｒｔ-ｅｕ）及び専用暗号サービスを使用することにより、前記端末（２４）と前記サブスクリプションマネージャサーバ（２０）との間にセキュアチャネルを確立することと、
ｂ‐前記端末（２４）から前記サブスクリプションマネージャサーバ（２０）に、前記サブスクリプションマネージャサーバ（２０）による登録要求と見なされるサブスクリプション管理要求を送信することと、
ｃ‐前記ｅＵＩＣＣ（２３）から受信した公開証明書に含まれる前記情報により、前記ｅＵＩＣＣ（２３）に前記サブスクリプションマネージャサーバ（２０）により管理される権利があるかどうかを前記サブスクリプションマネージャサーバ（２０）において検証することと、権利がある場合に、
ｄ‐ＳＭ-ＤＰによる前記ｅＵＩＣＣの登録ステップである、前記ｅＵＩＣＣ（２３）の公開証明書を使用することにより、前記サブスクリプションマネージャサーバ（２０）と前記ｅＵＩＣＣ（２３）との間で鍵確立手順を実行することと、
ｅ‐前記サブスクリプションマネージャサーバ（２０）と前記ｅＵＩＣＣ（２３）との間に、ステップｄで生成された鍵を用いてセキュアチャネルを確立することと、
ｆ‐前記サブスクリプションマネージャサーバ（２０）により、前記ｅＵＩＣＣ（２３）上で前記サブスクリプション管理要求を実行することと、を含む方法。

【請求項2】

前記端末はアプリケーション（２２）を備え、前記アプリケーション（２２）は、
‐前記イベントの発生時に、前記秘密鍵（Ｐｒｋｅｕ）及び前記公開証明書（Ｃｅｒｔ-ｅｕ）を使用することにより、前記ｅＵＩＣＣ（２３）と前記アプリケーション（２２）との間にローカルセキュアチャネルを確立することと、
‐前記ｅＵＩＣＣ（２３）の前記公開証明書（Ｃｅｒｔ-ｅｕ）及び専用暗号サービスを使用することにより、前記サブスクリプションマネージャサーバ（２０）とのセキュアチャネルを確立することと、
‐前記アプリケーション（２２）から前記サブスクリプションマネージャサーバ（２０）に前記ｅＵＩＣＣ（２３）のサブスクリプション管理要求を送信することと、
によりステップａ及びｂを実行する、請求項１に記載の方法。

【請求項3】

前記ｅＵＩＣＣ（２３）は前記ステップａ及びｂを実行する、請求項１に記載の方法。

【請求項4】

前記イベントは前記端末（２４）のユーザ（２１）により生成される、請求項１乃至３のいずれかに記載の方法。

【請求項5】

ｅＵＩＣＣ（２３）及びアプリケーション（２２）を備えた端末（２４）であって、前記ｅＵＩＣＣ（２３）は秘密鍵（Ｐｒｋｅｕ）及び公開証明書（Ｃｅｒｔ-ｅｕ）を有し、前記アプリケーション（２２）は、
‐イベントの発生時に、前記秘密鍵（Ｐｒｋｅｕ）と、サブスクリプションマネージャサーバ（２０）が前記ｅＵＩＣＣ（２３）についての予備知識を持たずに前記ｅＵＩＣＣ（２３）を管理することに同意できるかどうかを決定できるようにする情報をさらに含む前記公開証明書（Ｃｅｒｔ-ｅｕ）とを使用することにより、前記ｅＵＩＣＣ（２３）と前記アプリケーション（２２）との間にローカルセキュアチャネルを確立する動作と、
‐前記ｅＵＩＣＣ（２３）の前記公開証明書（Ｃｅｒｔ-ｅｕ）及び専用暗号サービスを使用することにより、前記サブスクリプションマネージャサーバ（２０）とのセキュアチャネルを確立する動作と、
‐前記アプリケーション（２２）から前記サブスクリプションマネージャサーバ（２０）に前記ｅＵＩＣＣ（２３）のサブスクリプション管理要求を送信する動作と、
をコンピュータに実行させる命令を含む、端末。

【請求項6】

ｅＵＩＣＣ（２３）を備えた端末（２４）であって、前記ｅＵＩＣＣ（２３）は秘密鍵（Ｐｒｋｅｕ）及び公開証明書（Ｃｅｒｔ-ｅｕ）を有し、前記公開証明書（Ｃｅｒｔ-ｅｕ）はさらに、サブスクリプションマネージャサーバ（２０）が前記ｅＵＩＣＣ（２３）についての予備知識を持たずに前記ｅＵＩＣＣ（２３）を管理することに同意できるかどうかを決定できるようにする情報を含み、前記ｅＵＩＣＣ（２３）は、
‐イベントの発生時に、前記ｅＵＩＣＣ（２３）の前記公開証明書（Ｃｅｒｔ-ｅｕ）及び専用暗号サービスを使用することにより、前記ｅＵＩＣＣ（２３）とサブスクリプションマネージャサーバ（２０）との間にセキュアチャネルを確立する動作と、
‐前記ｅＵＩＣＣ（２３）から前記サブスクリプションマネージャサーバ（２０）に、前記ｅＵＩＣＣ（２３）のサブスクリプション管理要求を送信する動作と、
をコンピュータに実行させる命令を含む、端末。

【請求項7】

端末（２４）に含まれる非一時的なコンピュータ可読記憶媒体であって、前記端末（２４）はさらに、秘密鍵（Ｐｒｋｅｕ）及び公開証明書（Ｃｅｒｔ-ｅｕ）を有するｅＵＩＣＣ（２３）を備え、前記公開証明書（Ｃｅｒｔ-ｅｕ）はさらに、サブスクリプションマネージャサーバ（２０）が前記ｅＵＩＣＣ（２３）についての予備知識を持たずに前記ｅＵＩＣＣ（２３）を管理することに同意できるかどうかを決定できるようにする情報を含み、前記非一時的なコンピュータ可読媒体は、
‐イベントの発生時に、前記秘密鍵（Ｐｒｋｅｕ）及び前記公開証明書（Ｃｅｒｔ-ｅｕ）を使用することにより、前記端末（２４）と前記サブスクリプションマネージャサーバ（２０）との間にセキュアチャネルを確立する動作と、
‐前記端末（２４）から前記サブスクリプションマネージャサーバ（２０）に、前記ｅＵＩＣＣ（２３）のサブスクリプション管理要求を送信する動作と、
をコンピュータに実行させる命令を含む、非一時的なコンピュータ可読記憶媒体。

【請求項8】

前記ｅＵＩＣＣ（２３）に含まれる、請求項７に記載の非一時的なコンピュータ可読記憶媒体。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、電気通信に係り、より正確にはｅＵＩＣＣ（ｅＵＩＣＣは、容易にアクセスする又は取り換えることができず、協働するデバイスにおいて取り外すこと又は取り換えることが意図されていない、例えば、“Ｒｅｍｏｔｅ Ｐｒｏｖｉｓｉｏｎｉｎｇ Ａｒｃｈｉｔｅｃｔｕｒｅ ｆｏｒ Ｅｍｂｅｄｄｅｄ ＵＩＣＣ”と題するＧＳＭＡ技術仕様書、バージョン２．０、２０１４年１０月１３日に規定された汎用集積回路カードである）の遠隔サブスクリプション管理に関する。デバイスは、Ｍ２Ｍ装置（マシンツーマシン）、スマートフォン、タブレット、ＰＤＡ、一般的に言う通信端末であってもよい。

【背景技術】

【0002】

この仕様書は、ｅＵＩＣＣの遠隔プロビジョニング及び管理のための技術的解決策を規定する。この技術的解決策の採用は、潜在的に異なるＭＮＯ（移動体通信事業者）展開シナリオ、ネットワーク要素（例えば、ＳＭ-ＤＰ、ＳＭ-ＳＲ）の異なる製造業者及びｅＵＩＣＣエレメントの異なる供給者間でのグローバルな相互運用を保証するための基礎を提供することを目的とする。ＳＭ-ＤＰはサブスクライバマネージャデータ作成を表し、ＳＭ-ＳＲはサブスクライバマネージャセキュアルーティングを表す。

【0003】

図１は、セキュアエレメントの遠隔プロビジョニングのためのグローバルシステムを示す。

【0004】

ここで、セキュアエレメントはｅＵＩＣＣである。１つのｅＵＩＣＣ１０だけが示されている。ｅＵＩＣＣ１０は、ＥＵＭ（ｅＵＩＣＣ製造業者）１１により製造され、示されていない通信端末と協働する。ｅＵＩＣＣ１０に、一般的にはＭＮＯである、ＳＭ-ＤＰ１２を所有する第三者、及びＳＭ-ＳＲ１３を所有する別の当事者（又は同じ当事者）を介してサブスクリプションを無線でダウンロードすることができる。

【0005】

ＳＭ-ＤＰ１２は、サブスクリプションスクリプトを生成し、このスクリプトのＳＭ-ＳＲを介したｅＵＩＣＣ１０へのダウンロード及びインストールを確実なものにする役割を果たす。

【0006】

ＳＭ-ＳＲ１３は、トランスポート層を確保し、ＳＭ-ＤＰ１２の代わりにｅＵＩＣＣ１０上でのコンテンツ管理活動を実行する役割を果たす。

【0007】

ＳＭ-ＤＰ１２は、ｅＵＩＣＣ１０に完全なサブスクリプションを提供することを可能にする何らかの（実行可能な又はそうでない）データをＥＵＭ１１から受信することができる。また、ＳＭ-ＤＰ１２は、ＥＵＭデータをＭＮＯの仕様書に従って事業者データ、アプリケーション、鍵、対のＩＭＳＩ／Ｋｉ、ファイルシステム等で完成させる。

【発明の概要】

【0008】

本発明は、サブスクリプションマネージャサーバによる更なる遠隔サブスクリプション管理を可能にするオンライン手法を用いてサブスクリプションマネージャサーバ（例えばＧＳＭＡ関連のＳＭ-ＤＰ）によりｅＵＩＣＣを管理するための方法に関する。

【0009】

この方法は、共有鍵又は任意の他の情報を事前プロビジョニングするステップを無用にすることにより消費者市場（タブレット、ＰＤＡ、携帯電話等）に対するエコシステムの展開を簡単にする。

【0010】

最新技術では、Ｍ２Ｍ市場のＳＭ-ＳＲはｅＵＩＣＣデータでプロビジョニングされなければならない。ｅＵＩＣＣ製造業者ＥＵＭはまた、ＳＭ-ＤＰのプロビジョニングに関連する制約の中でｅＵＩＣＣを製造する必要がある。より正確には、遠隔サブスクリプション管理との関連で、最大の問題の１つは、サブスクリプションマネージャサーバが管理されるべき全てのｅＵＩＣＣのデータ（識別子、クレデンシャル）でプロビジョニングされなければならないエコシステムのセットアップ時である。問題は次のものである。
‐ｅＵＩＣＣの製造及びサブスクリプションマネージャサーバの動作を管理する主体が同じでない：つまり、ＥＵＭはどのサブスクリプションマネージャサーバが各ｅＵＩＣＣを管理しなければならないかを認識していなければならない。
‐新しいサブスクリプションマネージャサーバが現れた場合、管理する必要があるかもしれない既に展開された任意のｅＵＩＣＣのデータをどのように検索することができるのか？

【0011】

このプロビジョニングの必要性は主に、ｅＵＩＣＣ上で実行されなければならない動作をトリガするエンドユーザがいないため、ユースケースのほとんどがプッシュモード（初期接続のダウンロード、交換、削除）でサーバ側により開始されるＭ２Ｍ市場の制約に由来する。

【0012】

本発明は、サブスクリプションマネージャサーバが消費者市場の端末に埋設されたｅＵＩＣＣを管理する方法を提案する。斯かる管理は、通常、ｅＵＩＣＣ上にサブスクリプションをダウンロードすること、あるサブスクリプションから別のサブスクリプションに切り替えること、又はｅＵＩＣＣ上のサブスクリプションを削除することを含む。

【0013】

本発明は、ｅＵＩＣＣが端末に埋設され、マネージャサーバ（ＧＳＭＡ関連のＳＭ-ＤＰ）により実現されるデータの「プッシュ」がない消費者市場に適用される。

【0014】

最新技術のＳＭ-ＳＲは、通常、サービス提供者（例えば、電力量計、自動車（自動車メーカー）、スマートフォン又はタブレット等の通信端末等のＭ２Ｍデバイスを管理する会社）により管理され、ｅＵＩＣＣの管理はプッシュモードで実現される：つまり、サービス提供者は、どのｅＵＩＣＣをいつ管理しなければならないかを決定する。

【0015】

消費者市場では、エンドユーザは消費者デバイスに接続サービスを提供し、ｅＵＩＣＣを管理するＭＮＯを選択する可能性が高い。エンドユーザは利用可能なＭＮＯを示すメニューをスクロールし、これらのＭＮＯの１つからサブスクリプションを選択する。そして、選択されたサブスクリプションはＯＴＡ（Ｏｖｅｒ Ｔｈｅ Ａｉｒ）を介してエンドユーザのｅＵＩＣＣにダウンロードされる。

【0016】

本発明は、ｅＵＩＣＣクレデンシャル及び情報を事前プロビジョニングする必要のない、ＳＭ-ＳＲを使用してサブスクリプションをｅＵＩＣＣにインストールする必要のない、エンドユーザが自身のｅＵＩＣＣを管理するＭＮＯを選ぶことができる、そしてｅＵＩＣＣを異なるＥＵＭにより製造することができる解決策を提案する。

【0017】

この解決策は、端末と協働するｅＵＩＣＣの遠隔サブスクリプション管理のための方法であって、ｅＵＩＣＣは、秘密鍵と、製造業者により署名された公開証明書とを有し、公開証明書はさらに、サブスクリプションマネージャサーバが、ｅＵＩＣＣについての予備知識を持たずにｅＵＩＣＣを管理することに同意できるかどうかを決定できるようにする情報を含み、
ａ‐イベントの発生時に、ｅＵＩＣＣの公開証明書及び専用暗号サービスを使用することにより、端末とサブスクリプションマネージャサーバとの間にセキュアチャネルを確立することと、
ｂ‐端末からサブスクリプションマネージャサーバに、サブスクリプションマネージャサーバによる登録要求と見なされるサブスクリプション管理要求を送信することと、
ｃ‐ｅＵＩＣＣから受信した公開証明書に含まれる情報により、ｅＵＩＣＣにサブスクリプションマネージャサーバにより管理される権利があるかどうかをサブスクリプションマネージャサーバにおいて検証することと、権利がある場合に、
ｄ‐ＳＭ-ＤＰによるｅＵＩＣＣの登録ステップである、ｅＵＩＣＣ公開証明書を使用することによりサブスクリプションマネージャサーバとｅＵＩＣＣとの間で鍵確立手順を実行することと、
ｅ‐サブスクリプションマネージャサーバとｅＵＩＣＣとの間に、ステップｄで生成された鍵を用いてセキュアチャネルを確立することと、
ｆ‐サブスクリプションマネージャサーバにより、ｅＵＩＣＣ上でサブスクリプション管理要求を実行することと、
を含む方法から構成される。

【0018】

好ましくは、端末はアプリケーションを備え、アプリケーションは、
‐イベントの発生時に、秘密鍵及び公開証明書を使用することによりｅＵＩＣＣとアプリケーションとの間にローカルセキュアチャネルを確立することと、
‐ｅＵＩＣＣの公開証明書及び専用暗号サービスを使用することにより、サブスクリプションマネージャサーバとのセキュアチャネルを確立することと、
‐アプリケーションからサブスクリプションマネージャサーバにｅＵＩＣＣのサブスクリプション管理要求を送信することと、
によりステップａ及びｂを実行する。

【0019】

代替的には、ステップａ及びｂを実行するのはｅＵＩＣＣである。

【0020】

好適な実施態様では、イベントは端末のユーザにより生成される。

【0021】

本発明はまた、ｅＵＩＣＣ及びアプリケーションを備えた端末に関し、ｅＵＩＣＣは秘密鍵及び公開証明書を有し、アプリケーションは、
‐イベントの発生時に、秘密鍵と、サブスクリプションマネージャサーバがｅＵＩＣＣについての予備知識を持たずにｅＵＩＣＣを管理することに同意できるかどうかを決定できるようにする情報をさらに含む公開証明書とを使用することにより、ｅＵＩＣＣとアプリケーションとの間にローカルセキュアチャネルを確立する動作と、
‐ｅＵＩＣＣの公開証明書及び専用暗号サービスを使用することにより、サブスクリプションマネージャサーバとのセキュアチャネルを確立する動作と、
‐アプリケーションからサブスクリプションマネージャサーバにｅＵＩＣＣのサブスクリプション管理要求を送信する動作と、
をコンピュータに実行させる命令を含む。

【0022】

本発明はまた、ｅＵＩＣＣを備えた端末に関し、ｅＵＩＣＣは秘密鍵及び公開証明書を有し、公開証明書はさらに、サブスクリプションマネージャサーバがｅＵＩＣＣについての予備知識を持たずにｅＵＩＣＣを管理することに同意できるかどうかを決定できるようにする情報を含み、ｅＵＩＣＣは、
‐イベントの発生時に、ｅＵＩＣＣの公開証明書及び専用暗号サービスを使用することにより、ｅＵＩＣＣとサブスクリプションマネージャサーバとの間にセキュアチャネルを確立する動作と、
‐ｅＵＩＣＣからサブスクリプションマネージャサーバに、ｅＵＩＣＣのサブスクリプション管理要求を送信する動作と、
をコンピュータに実行させる命令を含む。

【0023】

本発明はまた、端末に含まれる非一時的なコンピュータ可読記憶媒体に関し、端末はさらに、秘密鍵及び公開証明書を有するｅＵＩＣＣを備え、公開証明書はさらに、サブスクリプションマネージャサーバがｅＵＩＣＣについての予備知識を持たずにｅＵＩＣＣを管理することに同意できるかどうかを決定できるようにする情報を含み、非一時的なコンピュータ可読媒体は、
‐イベントの発生時に、秘密鍵及び公開証明書を使用することにより、端末とサブスクリプションマネージャサーバとの間にセキュアチャネルを確立する動作と、
‐端末からサブスクリプションマネージャサーバにｅＵＩＣＣのサブスクリプション管理要求を送信する動作と、
をコンピュータに実行させる命令を含む。

【0024】

非一時的なコンピュータ可読記憶媒体はｅＵＩＣＣに含まれることが好ましい。

【0025】

次の本発明の実施例の説明は、本発明に係る方法の異なるステップを示す図２及び図３に関連してなされる。

【図面の簡単な説明】

【0026】

【図1】セキュアエレメントの遠隔プロビジョニングのためのグローバルシステムを示す。

【図2】本発明に係る方法のステップを示す。

【図3】本発明に係る方法のステップを示す。

【発明を実施するための形態】

【0027】

図２には、４つのエンティティ、即ち、サブスクリプションマネージャサーバ２０、エンドユーザ２１、デバイスアプリケーション２２及びｅＵＩＣＣ２３が示されている。

【0028】

ＧＳＭＡ規格が実装される場合、サブスクリプションマネージャサーバ２０はＳＭ-ＤＰ（例えば図１では１２で参照された）に対応する。ここでエンドユーザ２１は、本発明の少なくとも最初のステップをトリガするために存在する。しかし、説明されるように、エンドユーザの存在は必須ではない。デバイスアプリケーション２２（又は後で見られるような「端末アプリケーション」。このアプリケーションはｅＵＩＣＣ２３に配置することもできる）及びｅＵＩＣＣ２３は端末２４に含まれる。デバイスアプリケーション２２は、端末又はｅＵＩＣＣ２３にインストールすることができる。

【0029】

管理されるｅＵＩＣＣはｅＵＩＣＣ製造業者により独立に製造され、単純な秘密鍵ＰｒＫｅｕと、ｅＵＩＣＣ製造業者により署名された公開証明書Ｃｅｒｔ−ｅｕ（ｅＵＩＣＣ２３の公開鍵ＰｕＫｅｕを含む）とを有する。

【0030】

サブスクリプションマネージャサーバ２０は、個々のｅＵＩＣＣについての知識は持たず、ｅＵＩＣＣ製造業者について多少の知識（サブスクリプションマネージャサーバ２０がｅＵＩＣＣを管理できるほどに信頼できる各ｅＵＩＣＣ製造業者の公開鍵Ｐｕｋｅ）を持つだけである。これはホワイトリストプロセスである。即ち、サブスクリプションマネージャサーバ２０は、信頼されていないｅＵＩＣＣ製造業者のｅＵＩＣＣを拒絶するようにプログラムすることができる。

【0031】

好ましくは、公開証明書Ｃｅｒｔ−ｅｕはさらに、サブスクリプションマネージャサーバ２０がｅＵＩＣＣ２３についての予備知識を持たずにｅＵＩＣＣ２３を管理することに同意できるかどうかを決定できるようにする情報を含む。この情報は、例えばｅＵＩＣＣのオペレーティングシステム、そのバージョン又はｅＵＩＣＣに関連する別の技術情報である。

【0032】

図２に示されているステップは以下のものである。

【0033】

ここで、第１のステップは、エンドユーザ２１が端末２４に含まれるｅＵＩＣＣ２３の管理の要求をトリガするイベント３０である。これは、メニューから（マン／マシンインターフェースにより）サブスクリプションマネージャサーバ２０によりｅＵＩＣＣ２３上で実行される動作を選択することから構成することができる。イベント３０は自動であってもよい。即ち、端末２４の最初の電源ＯＮによってトリガを生成することができる。端末によりＱＲコード（登録商標）をスキャンすること、又はＮＦＣタグを読み取ることによりプロセスを開始することも可能であり、重要な点はサブスクリプションマネージャサーバ２０の主導ではないことである。

【0034】

このイベントの後、秘密鍵Ｐｒｋｅｕ及び公開証明書Ｃｅｒｔ-ｅｕを使用することにより、ｅＵＩＣＣ２３とアプリケーション２２との間にローカルセキュアチャネル３１が確立される。これは、例えば次のようなやり方で行われる：
‐アプリケーション２２は、証明書Ｃｅｒｔ-ｅｕに含まれる公開鍵をｅＵＩＣＣ２３に要求する；
‐ｅＵＩＣＣ２３はこの公開鍵をアプリケーション２２に送信し、そしてアプリケーション２２はこの公開鍵でシークレットを暗号化できるようになる。シークレットはセッション鍵と見なすことができる；
‐ｅＵＩＣＣは暗号化されたシークレットを秘密鍵Ｐｒｋｅｕで復号し、そしてこのシークレットでメッセージを暗号化できるようになる。

【0035】

ｅＵＩＣＣ２３は、アプリケーションが証明書を保有していないためにアプリケーション２２を認証することができない。

【0036】

しかし、アプリケーション２２は、ｅＵＩＣＣ２３の公開証明書Ｃｅｒｔ-ｅｕ及び専用暗号サービスを使用することによりサブスクリプションマネージャサーバ２０とのセキュアチャネル３２（例えばＴＬＳチャネル）を確立することができる：
‐ｅＵＩＣＣの公開鍵は、ｅＵＩＣＣ２３の公開鍵でシークレットを暗号化し、暗号化されたシークレットを（公開証明書Ｃｅｒｔ-ＳＭに含まれる）公開鍵と共にアプリケーション２２に返信するサブスクリプションマネージャサーバ２０にアプリケーション２２により送信される。アプリケーション２２はプロキシの役割を果たし、受信データをｅＵＩＣＣ２３に送信する；
‐ｅＵＩＣＣ２３は、シークレットを得るために暗号化されたシークレットを秘密鍵Ｐｒｋｅｕで復号する；
ｅＵＩＣＣ２３は、シークレットをサブスクリプションマネージャサーバ２０の公開鍵で暗号化し、暗号化されたシークレットをアプリケーション２２を介してサブスクリプションマネージャサーバ２０に送信する；
‐サブスクリプションマネージャサーバ２０は、暗号化されたシークレットを秘密鍵Ｐｋｓで復号し、復号されたシークレットが前に生成したものと同一であるかどうかを検証する。結果が肯定的である場合、サブスクリプションマネージャサーバ２０は、ｅＵＩＣＣ２３と直接通信するために後で使用すること（ステップ３５）ができるシークレットからセッション鍵を抽出することができる。

【0037】

ステップ３１〜３２は、ｅＵＩＣＣとサブスクリプション管理サーバとの間の鍵確立手順の簡単な例として説明されている。本発明に記載のｅＵＩＣＣ及びサブスクリプション管理サーバのクレデンシャルを使用する任意の他の鍵確立手順を使用することもできる。

【0038】

有利には、ｅＵＩＣＣは、サブスクリプション管理サーバが公開鍵のみを送信する代わりに、ｅＵＩＣＣが公開鍵を有する信頼できる第三者エンティティにより署名された証明書を送信する場合に、サブスクリプション管理サーバを認証することもできる。

【0039】

次のステップ（３３）は、アプリケーション２２からサブスクリプションマネージャサーバ２０にｅＵＩＣＣ２３のサブスクリプション管理要求を送信することから構成される。

【0040】

この要求はｅＵＩＣＣ２３の公開証明書Ｃｅｒｔ-ｅｕを含む。既に説明したように、公開証明書Ｃｅｒｔ-ｅｕはさらに、サブスクリプションマネージャサーバ２０が、ｅＵＩＣＣ２３を管理することに同意できるかどうかをステップ３４において決定できるようにする情報を含む。

【0041】

サブスクリプションマネージャサーバ２０がｅＵＩＣＣ２３を管理できる（信頼できるｅＵＩＣＣ製造業者であり、サポートするｅＵＩＣＣモデルである）と考える場合は、サブスクリプションマネージャサーバ２０は、ステップ３５において、ｅＵＩＣＣ公開証明書Ｃｅｒｔ-ｅｕを使用することによりｅＵＩＣＣ２３との鍵確立手順を実行する。このステップはＳＭ-ＤＰによるｅＵＩＣＣの登録に対応する。

【0042】

これは、サブスクリプションマネージャサーバ２０のレベル及びｅＵＩＣＣ２３（例えば、ＩＳＤ‐Ｐ）のレベルでセッション鍵（秘密鍵）を生成することを可能にする。これは、例えば、「完全前方秘匿」特性を生成された鍵に与えるディフィー・ヘルマン法に基づくＧｌｏｂａｌＰｌａｔｆｏｒｍ Ｓｃｅｎａｒｉｏ＃３に規定された鍵確立手順に従って行われる。

【0043】

ステップ３６において、ステップ３５で生成された鍵を用いてこれら２つのエンティティ間にセキュアチャネルが確立される。

【0044】

そしてステップ３７において、サブスクリプションマネージャサーバ２０はｅＵＩＣＣを管理して、例えば完全なサブスクリプションをダウンロードすることができる。

【0045】

前述のｅＵＩＣＣ２３の専用暗号サービスは、ｅＵＩＣＣ２３がアプリケーション２２及びサブスクリプションマネージャサーバ２０と交換するメッセージを暗号化及び復号することができる暗号機能である。

【0046】

図２に記載の解決策では、端末２４は、ｅＵＩＣＣ２３と、端末２４上に（又はｅＵＩＣＣ２３内に）専用のデバイスアプリケーション２２とを有し、ローカルユーザインターフェースと、ｅＵＩＣＣ２３及びサブスクリプションマネージャサーバ２０間の接続を管理する。しかし本発明は、サブスクリプションマネージャサーバ２０に直接接続されたｅＵＩＣＣ２３のみを有する端末にも適用される。

【0047】

次に、この解決策は図３に関連して説明される。

【0048】

この図では、ｅＵＩＣＣ２３を含む端末内にアプリケーションがない。

【0049】

ここでもまた、ｅＵＩＣＣ管理のトリガはエンドユーザ２１の主導である（ステップ４０）。図２のステップ３１及び３２は、ここではエンドユーザ２１から管理要求を受信するｅＵＩＣＣ２３により完全に管理される。図２に関連して説明したように、このトリガはエンドユーザ２１なしに生成することもできる。

【0050】

ｅＵＩＣＣ２３は、公開証明書Ｃｅｒｔ-ｅｕ及び専用暗号サービスを使用することにより、サブスクリプションマネージャサーバ２０とのエンドツーエンドセキュアチャネル４１を確立する。

【0051】

このセキュアチャネル４１が確立されると、ｅＵＩＣＣはサブスクリプションマネージャサーバ２０にサブスクリプション管理要求４２を送信する。

【0052】

ステップ４３、４４、４５及び４６は、それぞれ図２のステップ３４、３５、３６及び３７に対応する。

【0053】

従って、これら２つの例について、本発明は、端末２４と協働するｅＵＩＣＣ２３の遠隔サブスクリプション管理のための方法であって、ｅＵＩＣＣ２３は、秘密鍵Ｐｒｋｅｕと、製造業者により署名された公開証明書Ｃｅｒｔ-ｅｕとを有し、公開証明書Ｃｅｒｔ-ｅｕはさらに、サブスクリプションマネージャサーバ２０がｅＵＩＣＣ２３についての予備知識を持たずにｅＵＩＣＣ２３を管理することに同意できるかどうかを決定できるようにする情報を含み、
ａ‐イベント３０又は４０の発生時に、ｅＵＩＣＣ２３の公開証明書Ｃｅｒｔ-ｅｕ及び専用暗号サービスを使用することにより、端末２４とサブスクリプションマネージャサーバ２０との間にセキュアチャネル３２又は４１を確立することと、
ｂ‐端末２４からサブスクリプションマネージャサーバ２０に、サブスクリプション管理要求を送信すること（３３又は４２）と、
ｃ‐ｅＵＩＣＣ２３から受信した公開証明書に含まれる情報により、ｅＵＩＣＣ２３にサブスクリプションマネージャサーバ２０により管理される権利があるかどうかをサブスクリプションマネージャサーバ２０において検証すること（３４又は４３）と、権利がある場合に、
ｄ‐ＳＭ-ＤＰによるｅＵＩＣＣの登録に対応する、ｅＵＩＣＣ２３の公開証明書を使用することによりサブスクリプションマネージャサーバ２０とｅＵＩＣＣ２３との間で鍵確立手順を実行すること（３５又は４４）と、
ｅ‐サブスクリプションマネージャサーバ２０とｅＵＩＣＣ２３との間に、ステップｄで生成された鍵を用いてセキュアチャネルを確立すること（３６又は４５）と、
ｆ‐サブスクリプションマネージャサーバ２０により、ｅＵＩＣＣ２３上でサブスクリプション管理要求を実行すること（３７又は４６）と、
を含む方法を提案する。

【0054】

図２に関連して、本発明はまた、ｅＵＩＣＣ２３及びアプリケーション２２を備えた端末２４に関し、ｅＵＩＣＣ２３は秘密鍵Ｐｒｋｅｕ及び公開証明書Ｃｅｒｔ-ｅｕを有し、アプリケーション２２は、
‐イベントの発生時に、秘密鍵Ｐｒｋｅｕと、サブスクリプションマネージャサーバ２０がｅＵＩＣＣ２３についての予備知識を持たずにｅＵＩＣＣ２３を管理することに同意できるかどうかを決定できるようにする情報をさらに含む公開証明書Ｃｅｒｔ-ｅｕとを使用することにより、ｅＵＩＣＣ２３とアプリケーション２２との間にローカルセキュアチャネルを確立する動作と、
‐ｅＵＩＣＣ２３の公開証明書Ｃｅｒｔ-ｅｕ及び専用暗号サービスを使用することにより、サブスクリプションマネージャサーバ２０とのセキュアチャネルを確立する動作と、
‐アプリケーション２２からサブスクリプションマネージャサーバ２０にｅＵＩＣＣ２３のサブスクリプション管理要求を送信する動作と、
をコンピュータに実行させる命令を含む。

【0055】

図３に関連して、本発明はまた、ｅＵＩＣＣ２３を備えた端末２４に関し、ｅＵＩＣＣ２３は秘密鍵ＰｒＫｅｕ及び公開証明書Ｃｅｒｔ-ｅｕを有し、公開証明書Ｃｅｒｔ-ｅｕはさらに、サブスクリプションマネージャサーバ２０がｅＵＩＣＣ２３についての予備知識を持たずにｅＵＩＣＣ２３を管理することに同意できるかどうかを決定できるようにする情報を含み、ｅＵＩＣＣ２３は、
‐イベントの発生時に、ｅＵＩＣＣ２３の公開証明書Ｃｅｒｔ-ｅｕ及び専用暗号サービスを使用することにより、ｅＵＩＣＣ２３とサブスクリプションマネージャサーバ２０との間にセキュアチャネルを確立する動作と、
‐ｅＵＩＣＣ２３からサブスクリプションマネージャサーバ２０に、ｅＵＩＣＣ２３のサブスクリプション管理要求を送信する動作と、
をコンピュータに実行させる命令を含む。

【0056】

最後に、本発明は、端末２４に含まれる非一時的なコンピュータ可読記憶媒体に関し、端末２４はさらに、秘密鍵Ｐｒｋｅｕ及び公開証明書Ｃｅｒｔ-ｅｕを有するｅＵＩＣＣ２３を備え、公開証明書Ｃｅｒｔ-ｅｕはさらに、サブスクリプションマネージャサーバ２０がｅＵＩＣＣ２３についての予備知識を持たずにｅＵＩＣＣ２３を管理することに同意できるかどうかを決定できるようにする情報を含み、非一時的なコンピュータ可読媒体は、
‐イベントの発生時に、秘密鍵ＰｒＫｅｕ及び公開証明書Ｃｅｒｔ-ｅｕを使用することにより、端末２４とサブスクリプションマネージャサーバ２０との間にセキュアチャネルを確立する動作と、
‐端末２４からサブスクリプションマネージャサーバ２０にｅＵＩＣＣ２３のサブスクリプション管理要求を送信する動作と、
をコンピュータに実行させる命令を含む。

【0057】

非一時的なコンピュータ可読記憶媒体はｅＵＩＣＣ２３に含まれることが好ましい。

【0058】

本発明によりもたらされる利点は、サブスクリプションマネージャサーバ２０が個別のｅＵＩＣＣについての予備知識を必要としないことである。必要なのは、どの個別のｅＵＩＣＣがシステムに受け入れ可能かを制御するために、ＥＵＭの公開鍵Ｐｕｋｅがプロビジョニングされることだけである。

【0059】

本発明は、埋設型ＵＩＣＣ（ｅＵＩＣＣ）の場合のみに関心が向けられているが、端末から取り出し可能なＵＩＣＣにも適用される。フォームファクタは重要性が低い。

【図1】

【図2】

【図3】