特許 6619368 通信プロファイルを管理することができる組み込み型加入者識別モジュール

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6619368

(24)【登録日】2019年11月22日

(45)【発行日】2019年12月11日

(54)【発明の名称】通信プロファイルを管理することができる組み込み型加入者識別モジュール

(51)【国際特許分類】

   H04W 92/08 20090101AFI20191202BHJP

   H04W 76/10 20180101ALI20191202BHJP

   H04W 76/30 20180101ALI20191202BHJP

   H04W 8/24 20090101ALI20191202BHJP

   H04M 1/00 20060101ALI20191202BHJP

【ＦＩ】

   H04W92/08

   H04W76/10

   H04W76/30

   H04W8/24

   H04M1/00 U

【請求項の数】17

【全頁数】17

(21)【出願番号】特願2016-574500(P2016-574500)

(86)(22)【出願日】2015年3月9日

(65)【公表番号】特表2017-517987(P2017-517987A)

(43)【公表日】2017年6月29日

(86)【国際出願番号】FR2015050573

(87)【国際公開番号】WO2015136200

(87)【国際公開日】20150917

【審査請求日】2018年2月13日

(31)【優先権主張番号】1452152

(32)【優先日】2014年3月14日

(33)【優先権主張国】FR

(73)【特許権者】

【識別番号】519260337

【氏名又は名称】アイデミア フランス

(74)【代理人】

【識別番号】100107641

【弁理士】

【氏名又は名称】鎌田 耕一

(72)【発明者】

【氏名】ウォズニアク，トマ

(72)【発明者】

【氏名】ラリニョン，ギヨーム

【審査官】 望月 章俊

(56)【参考文献】

【文献】 国際公開第２０１３／１７６４９９（ＷＯ，Ａ２）

【文献】 国際公開第２０１３／００９０４５（ＷＯ，Ａ２）

【文献】 国際公開第２０１１／０３６４８４（ＷＯ，Ａ２）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｈ０４Ｗ４／００−Ｈ０４Ｗ９９／００

Ｈ０４Ｂ７／２４−Ｈ０４Ｂ７／２６

(57)【特許請求の範囲】

【請求項1】

通信装置(T)と協働するように適合した組み込み型加入者識別モジュール(eUICC)であって、前記組み込み型加入者識別モジュールが、
通信プロファイルがアクティブである場合に前記組み込み型加入者識別モジュール(eUICC)が携帯電話ネットワーク（R)と通信可能になるように構成された、少なくとも１つの通信プロファイル(P1)と、
該携帯電話ネットワークのリモートサーバ(SM-SR)から第１通信プロファイルに関する通信プロファイル管理要求を受信する受信モジュール(PSM)と、
プロファイル管理モジュール(MGP)とを含み、
該プロファイル管理モジュールは、管理要求を受信した場合に、前記組み込み型加入者識別モジュールのメモリに含まれる少なくとも１つのルールの所定のセット（RL)の中から少なくとも１つのルールが適用可能か否か決定し、適用可能である場合、前記組み込み型加入者識別モジュール(eUICC)用の第１通信プロファイルに関連する適用可能なルールによって特定される少なくとも１つのアクションを実行するように構成されており、
前記少なくとも１つのアクションは、前記第１通信プロファイルに影響を与えるアクションを実行する前に、前記第１通信プロファイルに関連するリモートサーバに通知を送信するアクションを含み、
前記通知は、予め前記リモートサーバに前記第１通信プロファイルに影響を与えるアクションを通知する、組み込み型加入者識別モジュール(eUICC)。

【請求項2】

各通信プロファイル(P1)が、前記組み込み型加入者識別モジュールの専用のセキュアドメイン(SSD1, SSD2)に含まれる、請求項１記載の組み込み型加入者識別モジュール。

【請求項3】

前記した適用可能なルールによって特定される少なくとも１つのアクションが、少なくとも以下の１つを含む、請求項１又は２に記載の組み込み型加入者識別モジュール。
前記アクティブな通信プロファイルから所定の第２通信プロファイルへの切り替えをトリガする；
前記アクティブな通信プロファイルの非アクティブ化をトリガする；
第２通信プロファイルのアクティブ化をトリガする；
前記アクティブな通信プロファイルの一部または全部のデータを削除し、前記データが前記加入者識別モジュールの不揮発性メモリに記憶されている；
前記アクティブな通信プロファイルの少なくとも１つの機能の非アクティブ化をトリガする；
前記プロファイルを管理する前記要求の受信と、前記少なくとも１つのアクションの実行の間で所定の待機時間遅延を課すためのタイマーをトリガする。

【請求項4】

前記少なくとも１つの機能が、少なくとも１つの非接触型決済アプリケーションと輸送券アプリケーションを含む、請求項３に記載の組み込み型加入者識別モジュール。

【請求項5】

前記プロファイル管理モジュール（MGP）が、通信プロファイルのデータベース（PR)を参照するように構成されており、前記少なくとも１つの特定のアクションを実行可能にする付加データの少なくとも１つの項目を取得するために、前記データベースが前記組み込み型加入者識別モジュールの書き換え可能な不揮発性メモリ(MR)に記憶されている、請求項１〜４のいずれか１項に記載の組み込み型加入者識別モジュール。

【請求項6】

各プロファイル(P1)に関連して、プロファイルの前記データベース（PR)が、少なくとも以下の１つを含む、請求項５に記載の組み込み型加入者識別モジュール。
通信プロファイルの識別子；
前記通信プロファイルがアクティブであるか否かを示すステータス；
前記プロファイルメモリアドレスへのポインタ；及び
前記プロファイルのプロバイダのサーバ(MNO/SM-SP)のアドレス。

【請求項7】

前記管理要求が、アクティブな通信プロファイル(P1)を非アクティブ化することを要求し、かつ前記プロファイル管理モジュール（MGP）が以下を行うように構成されている、請求項５または６に記載の組み込み型加入者識別モジュール。
通信プロファイルの前記データベース（PR)から、アクティブな通信プロファイル(P1)に関連した電話ネットワークの前記リモートサーバ(SM-DP1)のアドレス(AD)を決定すること；および
リモートサーバに通知を送信するアクションが、次に起こる、通信プロファイルあるいは前記通信プロファイルの全部もしくは一部のデータのローディング、アクティブ化、非アクティブ化、又は削除を前記リモートサーバに通知するために、前記アドレス(AD)を用いること。

【請求項8】

前記プロファイル管理モジュール（MGP）が、通知アプリケーション(APP-NOTIF)を決定するために、プロファイルの前記データベース（PR)を使用するように構成され、前記プロファイル管理モジュールが、通知アプリケーションに前記リモートサーバへ通知(MSG6)を送信させるために、前記通知アプリケーション(APP-NOTIF)に対する前記アドレス(AD)を含むコマンド(CMD2)を送信するように構成されている、請求項７に記載の組み込み型加入者識別モジュール。

【請求項9】

前記通知が、ショートメッセージサービス（SMS)型あるいは非構造付加サービスデータ（USSD)型のメッセージを使用して、または、ハイパーテキスト転送、カードアプリケーションツールキット転送プロトコル（HTTPs/CAT TP）あるいはベアラ非依存プロトコル（BIP）に基づくメッセージを使用して、前記リモートサーバに送信される、請求項６〜８のいずれか１項に記載の組み込み型加入者識別モジュール。

【請求項10】

前記リモートサーバ(SM-SR)が、電話ネットワーク(R)のSM-SRサーバである、請求項１〜９のいずれか１項に記載された組み込み型加入者識別モジュール。

【請求項11】

前記通信装置(T)が携帯電話端末である、請求項１〜１０のいずれか１項に記載の組み込み型加入者識別モジュール。

【請求項12】

前記第１通信プロファイルに影響を与えるアクションが、通信プロファイルあるいは前記通信プロファイルの全部もしくは一部のデータのローディング、アクティブ化、非アクティブ化、又は削除を含む、請求項１〜１０のいずれか１項に記載の組み込み型加入者識別モジュール。

【請求項13】

通信装置(T)及び請求項１〜１２のいずれか１項に記載の組み込み型加入者識別モジュール(eUICC)を含み、前記組み込み型加入者識別モジュール(eUICC)が、通信ネットワークと通信するために前記通信装置(T)と協働するように適合しており、前記通信装置(T)が携帯電話端末である、システム。

【請求項14】

通信プロファイルを管理する方法であって、前記方法が、通信装置(T)と協働するように適合している組み込み型加入者識別モジュール(eUICC)によって実行され、前記方法が、通信プロファイルがアクティブである場合に前記通信装置(T)を介して携帯電話ネットワーク(R)と通信するために、前記組み込み型加入者識別モジュール(eUICC)に含まれる前記通信プロファイル(P1)を使用するステップ；
前記携帯電話ネットワークのリモートサーバ(SM-SR)から前記通信プロファイルに関する通信プロファイル管理要求(RQ1)を受信するステップ；
管理要求を受信した場合に、前記組み込み型加入者識別モジュールのメモリに含まれる少なくとも１つのルールの所定のセット(RL)の中から少なくとも１つのルールが適用可能か否か決定するためにプロファイル管理モジュール（MGP）を使用するステップ；を含み、かつ、
少なくとも１つのルールの前記所定のセット(RL)の中から少なくとも１つのルールが適用可能であると決定した場合、前記組み込み型加入者識別モジュールの前記通信プロファイルに関連する適用可能なルールによって特定される少なくとも１つのアクションを実行するために、前記プロファイル管理モジュール（MGP）を使用するステップを含み、
前記少なくとも１つアクションが、前記第１通信プロファイルに影響を与えるアクションを実行する前に、前記第１通信プロファイルに関連するリモートサーバに通知を送信するアクションを含み、かつ
前記通知が、予め前記リモートサーバに前記第１通信プロファイルに影響を与えるアクションを通知する、方法。

【請求項15】

前記各通信プロファイルは、前記組み込み型加入者識別モジュール(eUICC)の専用セキュアドメイン(SSD1, SSD2)に含まれる、請求項１４に記載の管理方法。

【請求項16】

プロセッサによって実行された際に、請求項１４又は１５に記載の通信プロファイルの管理方法を実行するための命令を含む、コンピュータプログラム。

【請求項17】

請求項１４又は１５に記載の通信プロファイルの管理方法を実行するための命令を含む、コンピュータプログラムを記録した、プロセッサ読み取り可能なデータ媒体。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、組み込み型ユニバーサル集積回路チップ(eUICC)としても知られる組み込み型加入者識別モジュール（SIM)に関し、より詳細には、例えば、プロファイルをアクティブ化又は非アクティブ化する操作等の通信プロファイルに関連する適切な処理の実行に適したeUICCカードに関する。

【背景技術】

【0002】

公知の方法では、SIMカードは、カードが協働する通信装置（例えば、携帯電話）の単一のネットワークオペレータの通信ネットワークの使用を可能にするように構成されている。これを行うために、SIMカードは、特に、指定されたモバイルネットワークオペレータとともにユーザの特定のサブスクリプションに関連する国際移動体加入者識別番号（IMSI)として知られている固有識別子を含む。

【0003】

携帯電話が通信ネットワークのサービスを使用しようとするとき、携帯電話は、ネットワークで自身を識別するためにネットワークにSIMカードのIMSI識別子を送信する。ネットワークで自身を認証するために、携帯電話はまた、SIMカードに含まれる秘密鍵を送信する。オペレータは、ユーザが実際に要求されたサービスに加入していることを確認するために、ホームロケーションレジスタ（HLR）として知られているデータベースを使用し、加入していれば、該当する携帯電話にサービスにアクセスすることを許可する。

【0004】

従来は、SIMカードが再プログラム不可能なように、SIMカードを発行したオペレータに固有のサブスクリプションデータ（識別子、鍵、アルゴリズム等）は、SIMカードの読み出し専用メモリ（ROM）に永久的に記憶されている。これは、SIMカードまたはそのサブスクリプションデータの改ざんまたは複製をより困難にすることによって、ユーザの身分証明に関連する不正行為のリスクを低減するために特に役立つ。

【0005】

従って、モバイルネットワークオペレータを変更することができる唯一の方法は、一般的に、ユーザによって選択された新たなオペレータ（事業者）によって発行された新しいSIMカードと携帯電話の現在のSIMカードを手動で交換することである。新しいSIMカードは、ネットワークにアクセスするために必要なサブスクリプションデータと新しいオペレータに属するサービスとを含む。

【0006】

再プログラム可能なSIMカード、および、特に（また、上述のように、eUICCカードとして知られている）組み込み型加入者識別モジュールの出現により、ユーザは、物理的に携帯電話にSIMカードを交換する必要なく、オペレータを変更することを可能となる。eUICCカードの主な特徴は、「再プログラム可能なSIM：技術、進化、および暗示−最終報告書」（２０１２年９月２５日付け、CSMG 発行）と題する文書で定義されている。モバイル通信協会（GSMA）のグローバルシステムについて作成された文書は、モバイルデバイス内にはんだ付けされていてもよいeUICCカードを、小型の信頼できるハードウェアコンポーネントとして定義する。

【0007】

特に、eUICCカードは、アクティブ化された場合、携帯電話がオペレータのネットワークへの安全なアクセス及び当該プロファイルによって定義されるサービスへの安全なアクセスを持つことを可能にする通信プロファイルを収容するのに適している。eUICCカードでアクティブである通信プロファイルを変更することにより、オペレータを変更する、もしくは関連するサービス（例えば、音声又はデータサービス）へのアクセスを変更することも可能である。

【0008】

別のオペレータから容易に切り替えることができることが所望される場合、より一般的には、物理的に、従来のSIMカードを交換することは困難である場合、eUICCカードの使用は特に有利である。

【発明の概要】

【発明が解決しようとする課題】

【0009】

しかしながら、eUICCカードのハードウェア及び操作に関する標準化および仕様は依然として開発中であり、改善を求められている。特に、現在、eUICCカードにおける通信プロファイルのアクティブ化または非アクティブ化を管理するための任意の満足な解決策は存在していない。より一般的には、eUICCカードが効果的に通信プロファイルを管理させることができる解決策に対するニーズが存在する。

【課題を解決するための手段】

【0010】

上記の目的のために、本発明は、通信装置と協働するように適合した組み込み型加入者識別モジュールであって、
通信プロファイルがアクティブである場合に前記組み込み型加入者識別モジュールが通信ネットワークと通信可能になるように構成された、少なくとも１つの通信プロファイルと、
該携帯電話ネットワークのリモートサーバから通信プロファイル管理要求を受信する受信モジュールと、
プロファイル管理モジュールとを含み、
該プロファイル管理モジュールは、管理要求を受信した場合に、前記組み込み型加入者識別モジュールのメモリに含まれる少なくとも１つのルールの所定のセットの中から少なくとも１つのルールが適用可能か否か決定し、適用可能である場合、前記組み込み型加入者識別モジュールの通信プロファイルに関連する適用可能なルールによって特定される少なくとも１つのアクションを実行するように構成されている、組み込み型加入者識別モジュールに関する。

【0011】

本発明によれば、例えば、プロファイル管理モジュールによって付与することができる少なくとも１つのルールのセットを使用することによって、組み込み型加入者識別モジュール等のセキュアコンポーネントにおける通信プロファイルの管理を最適化することができる。本発明は、特に、モバイルネットワークオペレータから受信した要求等のセキュアコンポーネントによって検出されるイベントに応じて通信プロファイルの管理に優れた順応性を提供する。本発明によれば、受信された各管理要求に対して、例えばプロファイルのアクティブ化あるいは非アクティブ化、プロファイルの作成あるいは削除、または実際に第一プロファイルから第二のプロファイルへの切り替え等の適切な所定のアクションをトリガすることができる。

【0012】

ある実施形態では、プロファイル管理モジュールは、どのルールが通信プロファイル管理要求の応答として適用可能であるのか決定するために、少なくとも１つのルールの所定のセットを参照するのに適している。プロファイル管理モジュールは、所定のセット内の適用可能なルールで指定された１つ以上のアクションを実行することによって適切に受信された管理要求を処理することができる。

【0013】

ある実施形態では、それぞれの通信プロファイルが組み込み型加入者識別モジュールの専用のセキュアドメインに含まれる。

【0014】

ある実施形態では、前記した適用可能なルールによって特定される少なくとも１つのアクションが、少なくとも以下の１つを含む：
前記アクティブである通信プロファイルから所定の第二の通信プロファイルへの切り替えをトリガする；
前記アクティブである通信プロファイルの非アクティブ化をトリガする；
第二通信プロファイルのアクティブ化をトリガする；
前記加入者識別モジュールの不揮発性メモリに記憶されている、前記アクティブである通信プロファイルの全部又は一部のデータを削除する；
前記アクティブである通信プロファイルの少なくとも１つの機能の非アクティブ化をトリガする；
前記プロファイルを管理する前記要求の受信と、前記少なくとも１つのアクションの実行の間で所定の待機時間遅延を課すためのタイマーをトリガする；および
通信プロファイルもしくは通信プロファイルのデータの一部もしくは全部のローディング、アクティブ化、非アクティブ化あるいは削除等のアクションの実行をリモートサーバへ通知する。

【0015】

特に、リモートサーバへあらかじめ、次に起こる、通信プロファイルに関連した特定のアクション（アクティブ化、非アクティブ化、プロファイルの切り替え等）の実行を通知することは、対応するモバイルネットワークオペレータが、該当するプロファイルに関連する、必要な管理操作（例えば、プロファイルP1の実際の非アクティブ化の前に、非アクティブ化されようとしている該プロファイルに含まれる機密情報（暗号鍵、暗号アルゴリズム等）の削除）をトリガするのに適切な時に実行できる点で、特に有利である。

【0016】

一例として、上記した少なくとも１つの機能は、少なくとも１つの非接触型決済アプリケーションと輸送券アプリケーションを含む。

【0017】

ある実施形態では、前記プロファイル管理モジュールは、前記少なくとも１つの特定のアクションを実行可能にする付加データの少なくとも１つの項目を取得するために、組み込み型加入者識別モジュールの書き換え可能な不揮発性メモリに記憶されている、通信プロファイルのデータベースを参照するように構成されている。

【0018】

ある実施形態では、前記したプロファイルのデータベースは、各プロファイルに関連して、少なくとも以下の１つを含む：
通信プロファイルの識別子；
前記通信プロファイルがアクティブであるか否かを示すステータス；
前記プロファイルメモリアドレスへのポインタ；及び
前記プロファイルのプロバイダのサーバのアドレス。

【0019】

ある実施形態では、管理要求は、アクティブな通信プロファイルを非アクティブ化することを要求し、かつ前記プロファイル管理モジュールは、以下を行うように構成されている：
通信プロファイルの前記データベースから、アクティブな通信プロファイルに関連した電話ネットワークの前記リモートサーバのアドレスを決定すること；および
次に起こる、通信プロファイルあるいは通信プロファイルの全部もしくは一部のデータのローディング、アクティブ化、非アクティブ化、又は削除を通知するために、前記アドレスを用いることによって、前記リモートサーバに対する通知の送信をトリガすること。

【0020】

ある実施形態では、前記プロファイル管理モジュールは、通知アプリケーションを決定するために、プロファイルのデータベースを使用するように構成され、前記プロファイル管理モジュールは、通知アプリケーションに前記リモートサーバへ通知を送信させるために、該通知アプリケーションに対する前記アドレスを含むコマンドを送信するように構成されている。

【0021】

ある実施形態では、（例えば、非アクティブ化）通知は、ショートメッセージサービス（SMS)型あるいは非構造付加サービスデータ（USSD)型のメッセージを使用して、または、ハイパーテキスト転送、カードアプリケーションツールキット転送プロトコル（HTTPs/CAT TP）あるいはベアラ非依存プロトコル（BIP）に基づくメッセージを使用して、前記リモートサーバに送信される。

【0022】

ある実施形態では、前記リモートサーバは、電話ネットワークのSM-SRサーバである。

【0023】

ある実施形態では、通信装置は、携帯電話端末である。または、前記通信装置は、「マシンツーマシン」通信用の通信するインテリジェントオブジェクト（communicating intelligent object）である。一例として、通信するインテリジェントオブジェクトは、建物のエネルギー消費量を識別し、通信ネットワークを介してディストリビュータ（distributor）に自動的に送信する通信器である。

【0024】

また、本発明は、上記のように定義された、通信装置及び組み込み型加入者識別モジュールを含み、前記組み込み型加入者識別モジュールは、通信ネットワークと通信するために前記通信装置と協働するように適合しており、前記通信装置が例えば携帯電話端末である、システムを提供する。

【0025】

これに対応して、本発明は、通信プロファイルを管理する方法であって、前記方法は、通信装置と協働するように適合している組み込み型加入者識別モジュールによって実行され、前記方法は、
前記通信プロファイルがアクティブである場合前記通信装置を介して携帯電話ネットワークと通信するために、に前記組み込み型加入者識別モジュールに含まれる通信プロファイルを使用するステップ；
前記携帯電話ネットワークのリモートサーバから通信プロファイル管理要求を受信するステップ；
管理要求を受信した場合に、前記組み込み型加入者識別モジュールのメモリに含まれる少なくとも１つのルールの所定のセットの中から少なくとも１つのルールが適用可能か否か決定するためにプロファイル管理モジュールを使用するステップ；を含み、かつ、
適用可能である場合、前記組み込み型加入者識別モジュールの通信プロファイルに関連する適用可能なルールによって特定される少なくとも１つのアクションを実行するために、前記プロファイル管理モジュールを使用するステップを含む、方法を提供する。

【0026】

ある実施形態では、各通信プロファイルは、前記組み込み型加入者識別モジュールの専用セキュアドメインに含まれる。

【0027】

ある実施形態では、前記した通信プロファイルを管理する方法の種々のステップは、コンピュータプログラムの命令によって決定される。

【0028】

その結果、また、本発明は、データ媒体（もしくは記録媒体）上のコンピュータプログラムであって、前記プログラムは、組み込み型加入者識別モジュール等の信頼できるコンポーネントにおいて或いは、より一般的にプロセッサによって実行されるのに適しており、上述した通信プロファイルを管理する方法のステップを実行するのに適合した命令を含む、プログラムを提供する。

【0029】

前記プログラムは、任意のプログラミング言語と、または任意の他の所望の形態で、ソースコード、オブジェクトコード、またはソースコードと、そのような部分的にコンパイルされた形式のオブジェクトコードとの中間のコードの形態であってもよい。

【0030】

本発明はまた、上記のコンピュータプログラムの命令を含むコンピュータ読み取り可能なデータ媒体（または記録媒体）を提供する。

【0031】

データ媒体は、プログラムを記憶することができる任意のエンティティ又は装置であってもよい。例えば、媒体は、コンパクトディスク（CD）ROM、または超小型電子回路ROM、等の読取り専用メモリ（ROM）等の記憶手段を備えていてもよく、フロッピーディスクやハードディスク等の磁気記録手段を備えていてもよい。

【0032】

また、データ媒体は、無線でまたは他の手段によって、電気または光ケーブルを介して搬送することができる電気又は光信号等の伝送媒体であってもよい。本発明のプログラムは、特に、インターネットタイプのネットワークからダウンロードしてもよい。

【0033】

あるいは、データ媒体は、当該方法を実行するようにあるいは当該方法の実行において使用されるように適合された、プログラムが組み込まれている集積回路であってもよい。

【図面の簡単な説明】

【0034】

本発明の他の特徴及び利点は、非限定的な例として添付の図面を参照して提示される本発明の具体的な実施形態に関する以下の説明から明らかになる。

【図1】図１は、本発明の特定の実施形態に係る、携帯電話ネットワークへのアクセスを提供するために、携帯端末と協働するように適合したeUICCカードのアーキテクチャを示す図である；

【図2】図２は、本発明の特定の実施態様に係るeUICCカードによって実行される通信プロファイルを管理する方法の主要なステップを示すフローチャートである；

【図3A】図３は、図２の実施形態の変形に係る、通信プロファイルを管理する方法の主要なステップを示すフローチャートである。

【図3B】図３は、図２の実施形態の変形に係る、通信プロファイルを管理する方法の主要なステップを示すフローチャートである。

【発明を実施するための形態】

【0035】

本発明は、組み込み型加入者識別モジュールに関し、より詳細には、例えば、プロファイルのアクティブ化または非アクティブ化操作等の通信プロファイルで処理を実行するために適切に作動するように適合したeUICCカードに関する。

【0036】

上記のように、本明細書において、組み込み型加入者識別モジュールは、より簡便に「eUICCカード」と呼ぶ。

【0037】

図１は、本発明の特定の実施形態に係る、携帯電話ネットワークRへのアクセスを可能にするために、携帯電話端末Tと協働するように適合したeUICCカードのアーキテクチャを示す図である。一例として、はんだ付けされている、あるいは端末Tに統合されているeUICCカードが挙げられる。

【0038】

本明細書に記載された本発明の実施形態は、携帯電話端末に関するが、本発明は、より一般的に、eUICCカード等の信頼できるコンポーネントと協働するのに適合した任意の通信装置に、適用できる。一例として、通信装置Tは、上に説明したように、それが別のマシンと通信ネットワークを介して通信することが可能である、通信するインテリジェントオブジェクト（例えば、通信ネットワークを介して分配器と通信するのに適合した建物のエネルギー消費メーター）であってもよい。

【0039】

現在の実施形態では、携帯端末Tは、安全な方法でネットワークR及び関連するモバイルネットワークオペレータMNO1またはMNO2によって提供されるサービスにアクセスするためにeUICCカードを使用してもよい。

【0040】

この特定の実施形態では、携帯端末Tは、特に通信インタフェースCOMを制御するための適切なオペレーティングシステムOS2を有する。一例として、このインタフェースCOMは、従来の方法でアンテナに結合されたトランシーバを含む。

【0041】

現在の実施形態では、前記eUICCカードは、書き換え可能な不揮発性メモリMRに結合された、特定のオペレーティングシステムOS1（例えば、ROMに記憶されている）を含む信頼できるコンポーネントである。

【0042】

オペレーティングシステムOS1は、ソフトウェアモジュールPSMと、以下により詳細に記載されているプロファイル管理モジュールとを含む。

【0043】

また、不揮発性メモリMRは、特権発行者セキュリティドメイン（ISD）と二次セキュリティドメイン（この例では、SSD1とSSD2）を含む。各セキュリティドメイン（またはセキュアドメイン）がeUICCカードのセキュアコンパートメントを構成する。

【0044】

セキュリティドメインISDは、公知の方法で、プロファイル管理モジュールMGPと協働して、不揮発性メモリMRにおいて二次セキュリティドメインを作成し、削除するために特に適しているという特権がある。

【0045】

また、各二次セキュリティドメインSSDは、特定のネットワークオペレータMNOに関連する通信プロファイル（または運用プロファイル）を含んでもよい。公知の方法で、通信プロファイルは、特定のサブスクリプションデータ（例えば、識別子（IMSI等）、暗号鍵、アルゴリズム（例えば、認証用）等）を含むことができる。eUICCカードでは、オペレータMNOは、それに特異的である二次セキュリティドメインSSDにのみアクセスすることができる。

【0046】

本実施形態では、それぞれの通信プロファイルは、専用のセキュリティドメインに含まれている。

【0047】

本実施形態では、二次セキュリティドメインSSD1は、アクティブである場合、端末TがネットワークオペレータMNO1に関連する最初のモバイルネットワークを介して通信することを可能にする通信プロファイルP1を有する。ドメインSSD1は、ユーザが加入していたとオペレータMNO1に固有のものである、アプリケーションAPP1も有する。あるいは、プロファイルP1に対して定義されたアプリケーションAPP1は、プロファイルP1自体に含まれていてもよい。

【0048】

この例では、二次セキュリティドメインSSD2は空であるが、アクティブな場合、端末TがアプリケーションAPP2とともにオペレータMNO2のモバイルネットワークと通信することを可能にする通信プロファイルP2を同様に含むことができる。

【0049】

また、プロファイル管理モジュールMGPは、通信プロファイル（例えばP1）に関連する所定のアクションを実行するために、ネットワークRのリモートサブスクリプションマネージャセキュアルーチング（subscriber manager secure routing）（SM-SR）エンティティと安全な方法で通信する端末T（と特にそのインターフェイスのCOM）を介して作動するのに適している。

【0050】

後述するように、実行可能なアクションは様々であり、特にアクションは、二次セキュリティドメインSSD1またはSSD2における通信プロファイルのインストール、アクティブ化、または非アクティブ化を含んでもよい。

【0051】

モジュールPSMは、リモートサーバSM-SRから、プロファイル管理モジュールMGPに送信する通信プロファイル管理要求を受信するのに適している。前記モジュールMGPは、少なくとも１つのルールを有し、eUICCカードのメモリに含まれるルールセットRLに基づいて、eUICCカード内の１つまたは複数の（既存のまたは将来の）通信プロファイルを管理するように構成されている。この目的のために、前記モジュールMGPは、サーバSM-SRから受信した通信プロファイル管理要求への応答として適用可能であるルールを決定するために、ルールRLを参照するのに適している。前記モジュールMGPは、ルールセットRLにおいて適用ルールで指定された１つまたは複数のアクションを実行することにより、受信した要求RQ1を適切に処理することができる。

【0052】

一例として、ルールRLはeUICCカードのユーザによって定義されてもよい。

【0053】

適切な場合、モジュールPSMとMGPはeUICCカードで実行される単一のソフトウェアモジュールに対応することができる。

【0054】

また、前記モジュールMGPは、通信プロファイルレジスタPR及びアプリケーションレジスタARと通信することが可能であり、前記した両方のレジスタは、本実施例の不揮発性メモリMRに含まれる。

【0055】

本実施形態では、前記通信プロファイルレジスタPRは、通信プロファイルおよびそれに関連するアプリケーションを整理する役割を有する。一例として、レジスタPRはデータベースの形態であり、関連して、例えば以下の要素のうちの少なくとも２つを含むことができる：
・プロファイル識別子ICC_ID；
・通信プロファイルがアクティブであるか否かを示すステータス；
・検討中の通信プロファイルのメモリアドレスへのポインタ；
・アプリケーションレジスタARで参照される１つ以上のアプリケーションを指す少なくとも１つのメモリアドレス；
・関連オペレータMNOのサーバSM-DPのためのアドレス; 及び
・特定のサービスに対するアクセス権。

【0056】

一度作成されたらまたは二次セキュリティドメインSSDに一度インストールされたら、各通信プロファイルは、プロファイルレジスタPRで参照される。前記プロファイルレジスタPRは、関連するプロファイルを管理するために必要なアプリケーションを必要なときにプロファイル管理モジュールMGPによって簡単に呼び出すことができるように、特に、アプリケーションレジスタARのメモリアドレスADを作成するために作動する。

【0057】

本実施形態では、プロファイル管理モジュールは、セットRLの適用ルールで指定されたアクションを実行可能にする少なくとも１つの追加のデータ項目を得るために、通信プロファイルレジスタを参照するように構成されている。

【0058】

さらに、サーバSM-SRは、（図１に示すように）各モバイルオペレータMNOに特有であってもよいし、複数のオペレータMNOに共有されていてもよい。公知の方法で、サーバSM-SRは、移動端末ユーザのeUICCカードを管理するために使用され、特に、ユーザが加入したサービスにアクセスすることを可能にするために必要なサブスクリプション情報を提供するために使用される。

【0059】

MNO1とMNO2の各オペレータは、それぞれのサーバSM-DP（すなわち、SM-DP1とSM-DP2）と通信することが可能できる。公知の方法では、これらのサーバSM-DPは、一緒にグループを作るように構成され、これらのMNOがサーバSM-SRを介してユーザのeUICCカードに配信しようとする情報を暗号化する。一般的に、サーバSM-SRがそれを解釈できないように、この情報は暗号化されている。さらに、この例では、MNO1とMNO2の各オペレータは、特にそれぞれがサブスクリプション情報を含むそれぞれのデータベース（DB1またはDB2）へのアクセスを有する。

【0060】

オペレーティングシステムOS1、より詳細には、ソフトウェアモジュールMGPは、本発明におけるコンピュータプログラムの一例を構成し、このプログラムは、本発明の特定の実施形態の通信プロファイル管理方法のステップを実行するための命令を含む。

【0061】

オペレーティングシステムOS2が含まれるメモリは、eUICCカードのプロセッサ（図示せず）によって読み取り可能な、本発明におけるデータ媒体の一例を構成する。

【0062】

図１のeUICCカードによって実行される本発明の特定の実施例は、図２を参照して説明する。より正確には、eUICCカードは、特にプロファイル管理モジュールMGPを使用することにより、本発明のプロファイル管理方法を実行する。

【0063】

通信プロファイル管理要求RQ1をeUICCカードに送信するステップE2でサーバSM-SRが作動する状況のおける対応策は以下のとおりである。このような状況では、要求RQ1は、通信プロファイルP1を非アクティブ化するための要求であるが、これはモジュールMGPによって処理することができる管理要求の非限定的な例に過ぎない。

【0064】

この例では、管理要求RQ1は、特権セキュリティドメインISDによって受信され、ソフトウェアモジュールPSM（ステップE4）に送信される。あるいは、要求RQ1は、モジュールPSMによって直接受信されてもよい。前記モジュールPSMは、本発明（またはそのモジュールの一部）の意味においての受信モジュールの一例を構成する。

【0065】

モジュールPSMは、要求RQ1を検証し、それが有効である場合、プロファイル管理モジュールMGP（ステップE6）に要求を送信する。

【0066】

ステップE8の間に、前記モジュールMGPは、ステップRLの少なくとも1つのルールが管理要求RQ1への応答として適用可能であるか否かを判断する。ステップRLのルールが適用されない場合、管理方法は終了するようになる（ステップE10）。それ以外の場合、前記モジュールMGPは、参照された適用可能なルールRL-Aで指定されたアクションで、eUICCカードの既存または将来の通信プロファイルに関連付けられているこのアクションとともに実行する。一例として、指定されたアクションは、プロファイルP1またはおそらくドメインSSD2に作成されるプロファイルP2に関連していてもよい。

【0067】

本実施形態では、前記モジュールMGPは、プロファイルP1を非アクティブ化する要求RQ1への応答として、適用可能なルールRL-Aで指定された2つのアクション、すなわち通信プロファイルP1の管理に関連するアクションE15とE21の両方を実行する。以下に説明するように、管理要求および対応するアクションの他の例は当然に想定することができる。

【0068】

より具体的には、前記モジュールMGPは、例えば、図２に示すように、現在アクティブなプロファイルP1が非アクティブ化されようとしている（ステップE15）サーバSM-DP1等の、関係するオペレータMNO1のサーバに通知することから始まる。これを行うために、この例では、前記モジュールMGPは、前記プロファイルレジスタPRへ要求RQ2を送信する（E16）ことで、始まる。応答では、前記モジュールMGPは、現在の処理が適用されるプロファイルに関連するサーバSM-DPのアドレスAD（すなわち、この例では、P1に関連するサーバSM-DP1のアドレス）を受信する（E18）。前記プロファイルレジスタPRを参照することにより、前記モバイルMGPは、前記プロファイルP1が確かに前記プロファイルレジスタPRにおいて参照されることを検証することが可能である。

【0069】

その後、前記モバイルMGPは、プロファイルP1が非アクティブにされようとしていることを知らせるために、前記サーバSM-DP1へメッセージMSG1を送信する（E20）。

【0070】

前記メッセージMSG1は、例えば、ショートメッセージサービス（SMS）型または非構造付加サービスデータ（USSD）型のメッセージを使用して、または、ハイパーテキスト転送、カードアプリケーションツールキット転送プロトコル（HTTPS/CAT TP）あるいはベアラ非依存プロトコル（BIP）に基づくメッセージを使用して、前記リモートサーバSM-DP1に送信された非アクティブ化の通知である。他のイベントに関連する通知は、上記特定の技術を使用して、当然に前記モバイルMGPのコマンドで送信することができる。

【0071】

前記プロファイルP1の予測される非アクティブ化（またはプロファイルP1に関連する他の任意の予測イベント）の前に、前記サーバSM-DP1に通知することは、対応するオペレータMNO1が、前記プロファイルP1の実際の非アクティブ化の前に必要になる、前記プロファイルP1に関連した必要なあらゆる管理操作（例えば、暗号鍵、アルゴリズム等の前記プロファイルP1に含まれる重要な情報を削除させる等）をトリガすることができる点で特に有利である。

【0072】

図３を参照して説明するように、前記モジュールMGPがサーバSM-DP1に前記プロファイルP1の予測される非アクティブ化を警告することを可能にする他の方法を想定することが可能である。

【0073】

また、図２を参照すると、前記プロファイル管理モジュールMGPは、管理要求RQ1に従って前記プロファイルP1の非アクティブ化をトリガするようにステップE21の間にも作動する。これを行うために、前記モジュールMGPは前記プロファイルレジスタPRに要求RQ3を送信する（E22）。その返信として、前記モジュールMGPは、前記プロファイルレジスタPRから、実行されるアプリケーションAPP-DESの識別子ID1、すなわち前記プロファイルの非アクティブ化のアプリケーションを受信する（E24）。

【0074】

その後、前記モジュールMGPは、アプリケーションレジスタARに識別子ID1を含む要求RQ2を送信する（E28）。その応答として、前記モジュールMGPは、前記アプリケーションレジスタARから、非アクティブ化アプリケーションAPP-DESの実行がトリガされることを可能にするデータID2を受信する（E30）。一例として、このデータID2は、メモリアドレスおよび／または任意の他の適切なパラメータを含んでもよい。

【0075】

よって、ステップE32の間に、前記プロファイル管理モジュールMGPは、eUICCカードでの前記通信プロファイルP1を非アクティブ化することを指示するために、非アクティブ化アプリケーションAPP-DESにコマンドCMD1を送信する（E32）。この目的のために、コマンドCMD1は、非アクティブ化される前記プロファイルP1識別子を含んでいてもよい。

【0076】

前記プロファイルP1は、一度を非アクティブ化されると（E34）、プロファイル管理モジュールMGPは、アプリケーションAPP-DESから前記プロファイルP1の非アクティブ化が実行されたことを示す通知MSG2を受信する（E36）。

【0077】

本実施形態では、その後、前記モジュールMGPは、前記プロファイルレジスタPRに前記プロファイルP1が非アクティブ化されたことを通知するためのメッセージMSG3を使用する（E38）。このように、例えば、前記プロファイルレジスタPRは、当該プロファイルP1のアクティブ／非アクティブのステータスを更新することができる。

【0078】

また、この例では、前記プロファイルレジスタは、前記プロファイルP1が非アクティブ化されたことを通知するために、前記ソフトウェアモジュールPSMにメッセージMSG4も送信する（E40）。また、必要に応じて、前記モジュールMGPは、プロファイルP1が現在非アクティブであることを通知するために、リモートサーバSM-DP1にメッセージMSG5を送信してもよい（E42）。これを行うために、前記メッセージMSG1について上述したものと同様の技術を使用することが可能である。

【0079】

図３は、図２を参照して説明した実施例の変形例を示す。図３では、ステップE2〜E10は、図２と同様の方法で行われる。これに対して、決定ステップE8について肯定的な結果の場合には、前記モジュールMGPは上記ステップE15の代わりにステップE50を実行する。言い換えれば、適用可能なルールに従ってステップE50において実行されるアクションは、図２に関する上述したアクションE15とは異なる。

【0080】

実質的には、このステップE50の間に、前記モジュールMGPは、前記プロファイルレジスタPRへ要求RQ10を送信する（E52）。その返信として、前記モジュールMGPは、前記リモートサーバSM-DP1に前記プロファイルP1の予測される非アクティブ化を警告するために、前記プロファイルレジスタPRから、呼び出される通知アプリケーションAPP-NOTIFの識別子ID4とともに前記リモートサーバSM-DP1のアドレスADを受信する（E54）。このように、前記モジュールMGPは、アプリケーションレジスタARに識別子ID4を含む要求RQ11を送信する（E56）。その返信として、前記モジュールMGPは、前記レジスタARから、前記モジュールMGPが通知アプリケーションAPP-NOTIFの実行をトリガすることを可能にするデータID5を受信する。一例として、このデータID4はメモリアドレスを含むことができる。

【0081】

前記モジュールMGPは、前記通信プロファイルP1が非アクティブ化されようとしていることをサーバSM-DP1（及び結果的にオペレータMNO1）に通知する通知MSG6をアプリケーションAPP-NOTIFに送信させるために（E62）、アプリケーションAPP-NOTIFにリモートサーバDM-DP1のアドレスADを含むコマンドCMD2を送信する（E60）。一例として、メッセージMSG6は、メッセージMSG1を送信用の上述したものと同様の技術を使用して送信されてもよい。

【0082】

図２に関して述べたように、SM-DP1タイプである、図３の参考のサーバSM-SP1は必須ではない。

【0083】

その後、前記モジュールMGPは、図２に関して上述したようにステップE21を実行する。

【0084】

このように、前記プロファイルP1の予測される非アクティブ化をサーバSM-DP1に通知するために、本変形例では前記モジュールMGPが適切な通知アプリケーションAPP-NOTIFを要求する点で、図２に示された実施形態と本変形例は異なる。このような状況下、前記モジュールMGPは、前記プロファイルレジスタPRから受け取ったアドレスを使用することによって、適切なリモートサーバSM-DPに送信する通知を発生させるのに適している。

【0085】

図２及び図３に示す実施形態の多数の変形例は当然に想定することができる。具体的には、ステップE20とE62の間にそれぞれ送信される通知MSG1とMSG6はまた、所望の構成に応じて様々な機能をトリガすることもできる。特定の変形例では、適用可能なルールRL-Aは、メッセージE20とE62のそれぞれが当該オペレータMNOによって受信された場合に、オペレータとコール転送メカニズムをトリガするのに役立つパラメータ（例えば、MSISNDタイプ）を含むことを指定してもよい。実際に、このようなコール転送機能は、プロファイルが非アクティブ化されたときであっても、ユーザが第１の通信プロファイルに関連する第１の電話番号にコンタクトすることを可能にするためにシークする。より正確には、適用されるルールRL-Aがコール転送機能を実行させる場合、eUICCカード（およびより具体的には、そのプロファイル管理モジュールMGP）が非アクティブにされようとしているプロファイルに関連するオペレータMNO（この例ではMNO1）にメッセージを送信する。このメッセージは、MNOに、非アクティブ化されるプロファイルに関連する第１の電話番号へのコールは、別のオペレータに関連する第２の電話番号にリダイレクトされることを通知する。第１の電話番号のコールを受信すると、非アクティブ化されるプロファイルに関連するオペレータは、関与する他のオペレータのネットワークに前記コールを転送する。

【0086】

上述したように、本発明のプロファイル管理モジュールは、プロファイルの非アクティブ化要求を処理することに限定されるものではない。前記プロファイル管理モジュールは、より一般的に、（eUICCカードに既存または入って来る）通信プロファイルに関連する少なくとも１つの所定のアクションを実行するのに適しており、前記アクションは、少なくとも１つのルールを含むセットRLからの適用可能なルールで指定されている。
実行される所定のアクションは、
例えば、プロファイルをアクティブ化又は非アクティブ化したり、第１プロファイルから第２プロファイルに（恒久的または一時的に）切り替えたり、プロファイルを削除したり、あるいはプロファイルに関連したデータの一部またはすべてを削除したり、もしくは、実際にサーバに（例えば、上記で特定されたアクションのうちの少なくとも１つ等のような）特定のイベントを通知したりするようにシークしてもよい。

【0087】

特定の条件が満たされている場合、特定のアクションを定義するルールの例は次のとおりである：
・現在アクティブな通信プロファイルPの使用が、端末Tが発見される地理的領域内の一定の限度を超えるコスト（例えば、サービスの質の面で）を示す場合、より適切な通信プロファイルへの切り替えがトリガされる；
・現在アクティブな通信プロファイルは、サービスの一定の品質に適合していない場合、より適切な通信プロファイルへの切り替えがトリガされる；
・特定のサーバSM-DPから来る非アクティブ化要求が、許可されるまたは認可されない；
・非アクティブ化要求が位置サーバSM-DPから受信された場合、メッセージは特定のデータUSSDで送信される；
・非アクティブ化要求が、特定のサーバSM-DPから受信された場合、非アクティブ化されようとしているプロファイルに関連するすべてのデータ、アプリケーション、および／またはファイルは削除される；
・プロファイルの切り替え要求が特定のサーバSM-DPから受信された場合、ファイル管理操作（例えば、特定のファイルの暗号化キー等の機密データを削除）が実行される；
・プロファイルの切り替え要求が特定のサーバSM-DPから受信された場合、非アクティブ化ネットワークに関連するアプリケーションは、それ自体が非アクティブ化される；
・プロファイルの切り替え要求が特定のサーバSM-DPから受信された場合、付加的な機能の実行（例えば、特定のデータの削除、メッセージの送信、アプリケーションレジスタARの更新等）を許可するために、第１プロファイルから第２プロファイルへの切り替えの間に、待機時間遅延が開始される；
・その他。

【0088】

特定の実施形態では、モジュールMGPによって実行される適用可能なルールによって指定された少なくとも１つのアクションは以下のうち少なくとも１つを含む：
・アクティブな通信プロファイルから（現在アクティブなプロファイルとは異なる）決定された第２の通信ネットワークへの切り替えをトリガする；
・アクティブな通信プロファイルの非アクティブ化をトリガする；
・（現在アクティブなプロファイルとは異なる）第２の通信プロファイルのアクティブ化をトリガする；
・（データが加入者識別モジュールの不揮発性メモリにある）アクティブな通信プロファイルのデータの一部またはすべてを削除する；
・アクティブな通信プロファイルの少なくとも１つの機能の非アクティブ化をトリガするし、前記少なくとも１つの機能は、非接触型決済アプリケーションと輸送券アプリケーションから選択される少なくとも１つの機能を含む；
・前記プロファイルを管理する前記要求を受信し、前記少なくとも１つのアクションの少なくとも一部を実行する間に所定の待機時間遅延を開始するために、タイマーをトリガする；および
・リモートサーバに、例えば、通信プロファイルもしくは通信プロファイルのデータの一部または全部のローディング、アクティブ化、非アクティブ化あるいは削除等のアクションの実行を通知する。

【0089】

このように、本発明は、一般的な方法において、プロファイル管理モジュールによって適用されるかもしれない少なくとも１つのルールを含むセットから、組み込み型加入者識別モジュール等の信頼できるコンポーネントにおいて通信プロファイルの管理を最適化することができる。本発明は、特に、モバイルネットワークオペレータから受信した要求のような、信頼できるコンポーネントによって検出されたイベントに応じてプロファイルの管理において優れた順応性を提供する。

【0090】

当業者は、上記実施形態およびその変形例は、本発明を実施することができる方法の非限定的な例に過ぎないことを理解するであろう。特に、当業者は、いくつかの特定のニーズを満たすために、上述の変形例および実施形態の任意の組み合わせを想定することができる。

【図1】

【図2】

【図3A】

【図3B】