(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-04-12
(54)【発明の名称】自律的かつレジリエントな集積回路装置
(51)【国際特許分類】
H04W 76/19 20180101AFI20230405BHJP
H04W 4/60 20180101ALI20230405BHJP
H04W 88/06 20090101ALI20230405BHJP
H04W 48/18 20090101ALI20230405BHJP
【FI】
H04W76/19
H04W4/60
H04W88/06
H04W48/18
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2022576236
(86)(22)【出願日】2021-02-16
(85)【翻訳文提出日】2022-10-21
(86)【国際出願番号】 GB2021050371
(87)【国際公開番号】W WO2021170974
(87)【国際公開日】2021-09-02
(32)【優先日】2020-02-25
(33)【優先権主張国・地域又は機関】GB
(32)【優先日】2020-10-05
(33)【優先権主張国・地域又は機関】GB
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
(71)【出願人】
【識別番号】522337211
【氏名又は名称】シーエスエル デュアルコム リミテッド
【氏名又は名称原語表記】CSL DUALCOM LIMITED
【住所又は居所原語表記】Building 4, Croxley Park, Hatters Lane, Watford WD18 8YF United Kingdom
(74)【代理人】
【識別番号】110002745
【氏名又は名称】弁理士法人河崎特許事務所
(72)【発明者】
【氏名】カンリフ, リチャード ベンジャミン
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA26
5K067EE02
5K067JJ31
5K067KK15
(57)【要約】
汎用集積回路カード(UICC)であって、使用時にUICCがインストールされるホスト装置との間での無線通信ネットワークを介した無線通信を制御するためのUICCであって、UICCの動作を制御するためマイクロプロセッサと、UICCの動作に関連するデータを格納するためのデータストアであって、ホスト装置を第1の無線通信ネットワークに接続するための無線通信ネットワーク設定を含むオペレーショナル・プロファイルおよび、ホスト装置を第2の無線通信ネットワークに接続するための無線通信ネットワーク設定を含むブートストラップ・プロファイルを含む複数のモバイル通信業者ネットワークプロファイルと、UICCの動作を設定するための複数の命令を含むプログラムとを含む、データストアとを備え、使用時に、マイクロプロセッサは、オペレーショナル・プロファイルを用いてホスト装置を第1の無線通信ネットワークに接続し、第1の無線通信ネットワークとの動作接続性の喪失を検出し、ブートストラップ・プロファイルを用いてホスト装置を第2の無線通信ネットワークに接続して、ホスト装置との間で無線通信を再確立するように、プログラムによって構成される、汎用集積回路カード(UICC)が提供される。メモリを有するプロセッサと、ホスト装置を無線通信ネットワークに接続するための無線モジュールと、汎用集積回路装置とを備えるホスト装置がさらに提供される。UICCを動作させる方法、およびホスト装置と無線通信ネットワーク接続を提供するネットワークプラットフォームとの間に無線通信ネットワーク接続を再確立するコンピュータ実施方法であって、ホスト装置は、UICCを備える、コンピュータ実施方法がさらに提供される。
【選択図】
図5
【特許請求の範囲】
【請求項1】
汎用集積回路カード(UICC)であって、使用時に前記UICCがインストールされるホスト装置との間での無線通信ネットワークを介した無線通信を制御するためのUICCであって、
前記UICCの動作を制御するためマイクロプロセッサと、
前記UICCの動作に関連するデータを格納するためのデータストアであって、
前記ホスト装置を第1の無線通信ネットワークに接続するための無線通信ネットワーク設定を含むオペレーショナル・プロファイルおよび、
前記ホスト装置を第2の無線通信ネットワークに接続するための無線通信ネットワーク設定を含むブートストラップ・プロファイルを含む複数のモバイル通信業者ネットワークプロファイルと、
前記UICCの動作を設定するための複数の命令を含むプログラムとを含む、データストアとを備え、
使用時に、前記マイクロプロセッサは、
前記オペレーショナル・プロファイルを用いて前記ホスト装置を前記第1の無線通信ネットワークに接続し、
前記第1の無線通信ネットワークとの動作接続性の喪失を検出し、
前記ブートストラップ・プロファイルを用いて前記ホスト装置を前記第2の無線通信ネットワークに接続して、前記ホスト装置との間で無線通信を再確立するように、
前記プログラムによって構成される、汎用集積回路カード(UICC)。
【請求項2】
前記UICCは、前記プログラムおよびプロファイルが遠隔設定されかつ/または遠隔更新されることを可能にする組込みUICC(eUICC)である、請求項1に記載のUICC。
【請求項3】
前記プログラムは、比較的小さいサイズおよび専用機能を有するアプレットを含む、請求項1または2に記載のUICC。
【請求項4】
前記データストアは、前記UICCのセキュア・トランスバーサル・ドメイン(secure transversal domain)に設けられ、前記オペレーショナル・プロファイルまたは前記ブートストラップ・プロファイルは、前記UICCの前記セキュア・トランスバーサル・ドメインへのアクセスをセキュアに提供して、前記データストアに格納された前記プログラムに対して外部サーバが変更を加えることを可能にすることができる、請求項1~3のいずれか一項に記載のUICC。
【請求項5】
前記オペレーショナル・プロファイルおよびブートストラップ・プロファイル、ならびに前記無線通信ネットワークを介する前記ホスト装置との無線通信の制御におけるそれらの使用を設定するための、前記データストアにファイルとして格納された1組の可変パラメータをさらに備える、請求項1~4のいずれか一項に記載のUICC。
【請求項6】
前記プログラムは、使用時に、
第1の無線通信ネットワーク接続性テストを実行して、前記ホスト装置と前記第1の無線通信ネットワークとの間の前記無線通信ネットワーク接続性をテストし、前記無線通信ネットワーク接続性テストに基づく第1の接続性テスト結果を返し、
前記第1の接続性テスト結果に基づいて、前記ホスト装置と前記第1の無線通信ネットワークとの間で無線通信ネットワーク接続性の喪失が発生したか否かを判定し、
そのような接続の喪失が判定された場合、前記オペレーショナル・プロファイルの選択を解除して前記ブートストラップ・プロファイルを選択し、前記ホスト装置の無線通信ネットワーク接続性を再確立するために、前記ブートストラップ・プロファイルを用いて、前記ブートストラップ・プロファイルの前記ネットワーク設定に基づいて前記第2の無線通信ネットワークに接続するように、
前記マイクロプロセッサを構成するための命令を含む、請求項1~5のいずれか一項に記載のUICC。
【請求項7】
前記プログラムは、使用時に、
前記第1のネットワーク上で接続の喪失が検出されたときに、所定期間のキャンセルタイマを開始し、
ひとたび前記キャンセルタイマが満了すると、前記ブートストラップ・プロファイルの選択を解除して前記オペレーショナル・プロファイルを再選択し、前記ホスト装置と前記第1の無線通信ネットワークとの間に無線通信ネットワーク接続性を再確立するために、前記オペレーショナル・プロファイルを用いて前記第1の無線通信ネットワークに再接続するように、
前記マイクロプロセッサを構成するための命令を含む、請求項1~6のいずれか一項に記載のUICC。
【請求項8】
前記プログラムは、使用時に、
前記ブートストラップ・プロファイルを用いて前記ホスト装置を前記第2の無線通信ネットワークに接続した後、第2の無線通信ネットワーク接続性テストを実行して、前記ホスト装置と前記第2の無線通信ネットワークとの間の前記無線通信ネットワーク接続性をテストし、前記無線通信ネットワーク接続性テストに基づく第2の接続性テスト結果を返し、
前記第2の接続性テスト結果に基づいて、前記ホスト装置と前記第2の無線通信ネットワークとの間に無線通信ネットワーク接続性の喪失が発生したか否かを判定し、
そのような接続の喪失が判定された場合、前記ブートストラップ・プロファイルの選択を解除して前記オペレーショナル・プロファイルを再選択し、前記ホスト装置の無線通信ネットワーク接続性を再確立するために、前記オペレーショナル・プロファイルを用いて、前記オペレーショナル・プロファイルの前記ネットワーク設定に基づいて前記第1の無線通信ネットワークに接続するように、
前記マイクロプロセッサを構成するための命令を含む、請求項1~7のいずれか一項に記載のUICC。
【請求項9】
前記プログラムは、使用時に、
前記再選択されたオペレーショナル・プロファイルを使用するためのタイムスロットを判定し、
前記第2の無線通信ネットワークとの接続を切断すること、および前記再選択されたオペレーショナル・プロファイルを用いて前記第1の無線通信ネットワークに接続することを、前記タイムスロットに到達するまで遅延するように、
前記マイクロプロセッサを構成するための命令を含む、請求項7または8に記載のUICC。
【請求項10】
前記タイムスロットは、乱数、または前記UICCまたはホスト装置に対応付けられたICCID、IMEIまたはMISDINからの数字を用いて判定される、請求項9に記載のUICC。
【請求項11】
前記プログラムは、使用時に、テストされている前記無線通信ネットワーク内での前記ホスト装置と1つ以上のテストサーバとの間の前記無線通信ネットワーク接続性をテストすることによって前記第1または第2の無線通信ネットワーク接続性テストを実行するように、前記マイクロプロセッサを構成するための命令を含む、請求項8から10のいずれか一項に記載のUICC。
【請求項12】
前記プログラムは、使用時に、pingテストを実行することによって前記第1または第2の無線通信ネットワーク接続性テストを実行するように、前記マイクロプロセッサを構成するための命令を含み、前記pingテストは、
前記1つ以上のテストサーバのうちの少なくとも1つのテストサーバに転送データパケットを送信すること、
前記テストサーバから応答データパケットが受信されたか否かを判定すること、および
前記転送データパケットを送信してから所定期間内に、前記テストサーバから前記応答データパケットが受信されない場合、否定的な第1または第2の無線通信ネットワーク接続性テスト結果を返すことを含む、請求項11に記載のUICC。
【請求項13】
前記プログラムは、使用時に、pingシーケンステストを実行することによって前記第1または第2の無線通信ネットワーク接続性テストを実行するように、前記マイクロプロセッサを構成するための命令を含み、前記pingシーケンステストは、
前記1つ以上のテストサーバのうちの第1のテストサーバに第1の転送データパケットを送信すること、
第1の所定期間内に前記第1のテストサーバから第1の応答データパケットが受信されたか否かを判定すること、
前記第1の所定期間内に前記第1の応答データパケットが受信されていないと判定された場合、前記1つ以上のテストサーバのうちの第2のテストサーバに第2の転送データパケットを送信すること、
第2の所定期間内に前記第2のテストサーバから第2の応答データパケットが受信されたか否かを判定すること、
前記第2の所定期間内に前記第2の応答データパケットが受信されていないと判定された場合、前記1つ以上のテストサーバのうちの第3のテストサーバに第3の転送データパケットを送信すること、
第3の所定期間内に前記第3のテストサーバから前記第3の応答データパケットが受信されたか否かを判定すること、
前記第3の所定期間内に前記第3の応答データパケットが受信されていないと判定された場合、否定的なpingシーケンステスト結果を返すこと、および
否定的なpingシーケンステスト結果が返された場合、否定的な第1または第2の無線通信ネットワーク接続性テスト結果を返すことを含む、請求項11に記載のUICC。
【請求項14】
前記プログラムは、使用時に、前記pingシーケンステストを1回以上繰り返すことによって前記第1または第2の無線通信ネットワーク接続性テストを実行するように、前記マイクロプロセッサを構成するための命令を含み、前記否定的な無線通信ネットワーク接続性テスト結果は、否定的なpingシーケンステスト結果の連続数が所定の閾値を超えた場合にのみ返される、請求項13に記載のUICC。
【請求項15】
前記プログラムは、使用時に、データテストを実行することによって前記第1または第2の無線通信ネットワーク接続性テストを実行するように、前記マイクロプロセッサを構成するための命令を含み、前記データテストは、
テストサーバに所定量のデータを送信すること、
前記所定量のデータが前記テストサーバに配送されたか否かを判定すること、
前記所定量のデータが前記テストサーバに配送されなかった場合、否定的な第1または第2の無線通信ネットワーク接続性テスト結果を返すことを含む、請求項11に記載のUICC。
【請求項16】
前記プログラムは、使用時に、ネットワーク層テストを実行することによって前記第1または第2の無線通信ネットワーク接続性テストを実行するように、前記マイクロプロセッサを構成するための命令を含み、前記ネットワーク層テストは、前記第1または第2の無線通信ネットワークの異なるネットワーク層をテストすることを含む、請求項11に記載のUICC。
【請求項17】
前記データストアは、前記ホスト装置をローミング無線通信ネットワークに接続するための無線通信ネットワーク設定を含むローミングプロファイルを含み、
前記プログラムは、使用時に、前記第1の無線通信ネットワークとの動作接続性の喪失を検出した後、前記ホスト装置との間に無線通信を再確立するために、前記ローミングプロファイルを用いて、前記ローミングプロファイルの前記ネットワーク設定に基づいて、前記ホスト装置を前記ローミング無線通信ネットワークに接続するように、前記マイクロプロセッサを構成するための命令を含む、請求項1~16のいずれか一項に記載のUICC。
【請求項18】
前記データストアは、複数の無線ネットワークプロファイルであって、前記ホスト装置を各自の無線通信ネットワークに接続するための無線通信ネットワーク設定をそれぞれが備える複数の無線ネットワークプロファイルを含み、
前記UICCは、前記オペレーショナル・プロファイルおよび前記ブートストラップ・プロファイルを前記複数のプロファイルから遠隔選択することを可能にするように構成されている、請求項1~17のいずれか一項に記載のUICC。
【請求項19】
前記データストアは、複数の無線ネットワークプロファイルであって、前記ホスト装置を各自の無線通信ネットワークに接続するための無線通信ネットワーク設定をそれぞれが備える複数の無線ネットワークプロファイルを含み、
前記UICCは、前記オペレーショナル・プロファイルおよび前記ブートストラップ・プロファイルを前記複数のプロファイルからローカルユーザが選択することを可能にするように構成されている、請求項1~17のいずれか一項に記載のUICC。
【請求項20】
前記複数の無線ネットワークプロファイルにおける各無線ネットワークプロファイルは、異なる独立した無線通信ネットワークに対応付けられている、請求項18または19に記載のUICC。
【請求項21】
前記複数のネットワークプロファイルにおける各ネットワークプロファイルは、独立した無線通信ネットワークプラットフォームまたは同じ無線通信ネットワークプラットフォームの異なるインスタンスに対応付けられている、請求項18または19に記載のUICC。
【請求項22】
前記UICCは、eUICC、ミニSIM、マイクロSIM、ナノSIMまたは半田付け可能(Solderable)SIMを含む、請求項1~21のいずれか一項に記載のUICC。
【請求項23】
メモリを有するプロセッサと、前記ホスト装置を無線通信ネットワークに接続するための無線モジュールと、請求項1~21のいずれか一項に記載の汎用集積回路装置とを備えるホスト装置。
【請求項24】
前記ホスト装置は、警報装置、スマートフォン、タブレットコンピュータ、ドングル、ルータ、GPS追跡装置、M2Mデバイス、IoTデバイス、車両、遠隔医療装置またはテレケア(Telecare)デバイスを含む、請求項23に記載のホスト装置。
【請求項25】
使用時に汎用集積回路カード(UICC)がインストールされるホスト装置との間の無線通信ネットワークを介した無線通信を制御するための前記UICCの動作方法であって、
前記UICCのデータストアに格納された前記UICCの動作に関するデータへのアクセスを提供するステップであって、前記データは、
前記ホスト装置を第1の無線通信ネットワークに接続するための無線通信ネットワーク設定を含むオペレーショナル・プロファイル、および
前記ホスト装置を第2の無線通信ネットワークに接続するための無線通信ネットワーク設定を含むブートストラップ・プロファイルを含む、複数のモバイル通信業者ネットワークプロファイルを含む、ステップと、
前記UICCのマイクロプロセッサ、および前記UICCの動作を設定するための複数の命令を含むプログラムを用いて前記UICCの動作を制御するステップであって、
前記オペレーショナル・プロファイルを用いて前記ホスト装置を前記第1の無線通信ネットワークに接続すること、
前記第1の無線通信ネットワークとの動作接続性の喪失を検出すること、および
前記ブートストラップ・プロファイルを用いて前記ホスト装置を前記第2の無線通信ネットワークに接続して、前記ホスト装置との間に無線通信を再確立することを含む、制御ステップと
を含む方法。
【請求項26】
コンピュータによって実行されると、前記コンピュータに請求項25に記載の方法を実行させる命令を含むコンピュータプログラム製品またはコンピュータ可読記憶媒体。
【請求項27】
ホスト装置と無線通信ネットワーク接続を提供するネットワークプラットフォームとの間に前記無線通信ネットワーク接続を再確立するコンピュータ実施方法であって、前記ホスト装置は、前記無線通信ネットワーク接続を制御するためのモバイル通信業者ネットワークプロファイルを有する汎用集積回路カード(UICC)を備えるコンピュータ実施方法であって、
前記UICCから前記無線通信ネットワーク接続を介して第1のデータパケットを受信するステップと、
前記UICCから前記無線通信ネットワーク接続を介して第2のデータパケットを受信するステップと、
前記第1のデータパケットの受信と前記第2のデータパケットの受信との間の経過時間を示す第1の時間データを判定するステップと、
前記第1の時間データを所定の時間閾値と比較するステップと、
前記第1の時間データが前記所定の時間閾値よりも大きい場合、前記無線通信ネットワークプラットフォームにリセット要求を送信して、前記ホスト装置に対する前記無線通信ネットワーク接続をリセットするステップと
を含むコンピュータ実施方法。
【請求項28】
前記第1の時間データが前記所定の時間閾値よりも大きい場合、前記比較ステップの後に、リセットタイマを開始するステップと、
前記リセットタイマの値を所定のリセットタイマ閾値と比較するステップとをさらに含み、
前記送信ステップは、前記リセットタイマの前記値が前記所定のリセットタイマ閾値よりも大きくなるまで遅延される、請求項27に記載のコンピュータ実施方法。
【請求項29】
前記所定のリセットタイマ閾値は、異なる期間に設定可能である、請求項27または28に記載のコンピュータ実施方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、自律的かつレジリエントな汎用集積回路装置(UICC)に関する。限定的ではないが、特に、本発明は、使用時にUICCが設置されるホスト装置との間の無線通信ネットワークを介した無線通信を制御するためのUICCに関する。
【背景技術】
【0002】
警報信号伝送装置および警報ネットワーク
緊急事態が発生した場合、緊急事態の発生場所や緊急サービスを必要とする人、あるいは緊急事態の警告を必要とする他の実体からの通信は、高速で、応答性が良好であり、かつ正確でなければならない。例えば、警察・火災対応、ブルーライト(blue light)緊急応答およびテレケア(Telecare)個人用警報システムにおいては、緊急事態によって生命の関わる状況がもたらされる場合があるため、通信の速度および信頼性は極めて重要となる。しかし、この分野における現行のシステムは、接続性の課題および機能停止(outages)、ひいては信頼性の低い通信チャネルという問題を有している。これにより、緊急サービスに対する信号伝送の速度の低下および応答性の劣化が起こり得る。テレケア個人用警報システムが使用されている場合、緊急医療サービスまたは近くにいる介護者に対する信号伝送の応答性または速度が低いと、助けを必要としている人の健康あるいは生命にさえ危険を及ぼし得る。侵入防止警報システムの場合、警察による緊急応答に対する信号伝送の応答性または速度が低いと、侵入者または攻撃者が罪を犯した後に逃亡してしまうことにつながり得る。
【0003】
警報装置と遠隔警報受信センターとの間で信号伝送を行うための警報システムの遠隔監視においては、Redcare、DualComおよびDigicomという、いくつかの主流の信号伝送方法が存在しており、これらの方法では、遠隔警報受信センターは、緊急サービスまたは緊急事態の警告を必要とする他の実体に対して後に警告を行うことができる。Redcareは、二重経路信号伝送を使用する。つまり、GSM(Global System for Mobile)無線ネットワーク経路および電話回線の両方を用いて、遠隔警報受信センターと通信を行う。いずれの信号伝送路も、通信リンクが作動中であることを確認し、回線に故障または障害が発生しているか否かを示すために、常時ポーリングされる。Emizonもまた、GSM無線ネットワーク経路およびオンサイトブロードバンド接続を用いた二重経路信号伝送を採用している。CSL DualCom Limited製のDualCom GPRSもまた、GSM無線ネットワーク(汎用パケット無線サービス(GPRS)を用いたGSM無線ネットワークおよびGPRSを用いないGSM無線ネットワーク)と、侵入者信号、火災信号および身体攻撃信号を高速で送信するための有線電話経路および/またはインターネット経路とを使用する、侵入防止警報用の二重経路信号伝送装置である。GPRS GSMリンクを用いた第1の無線通信路が信号を送信できない場合、非GPRS GSMリンクを用いた第2の無線通信路を代わりに用いることができる。別の例として、有線電話経路、例えば、PSTN回線が切断された場合、侵入防止警報信号伝送装置は、モバイルネットワーク、例えば、Vodafone PakNet、あるいは2Gモバイルネットワークを用いたGPRS GSMリンクまたは非GPRS GSMリンクのいずれかを介して通信を行うことが可能である。上記の信号伝送ソリューションとは異なり、Digicomは、電話回線を介した単一の経路を用いて遠隔警報受信センターと通信する。電話回線に障害が発生すると、通信能力が不足することになり得る。したがって、物理的な攻撃、およびモバイル通信事業者(MNO)などの接続事業者に起因する問題に対するレジリエンスを提供するために、二重経路による接続性ソリューションをセキュリティ装置に組み込んでもよい。
【0004】
二重経路信号伝送を用いて警報装置102と遠隔警報受信センター104との間で通信を行う警報ネットワーク100を
図1(先行技術)に示す。以下に、「警報ネットワーク(An alarm network)」と題する欧州特許出願公開第2124207号として公開されている欧州特許出願の主題である、DualCom GPRSを例示として参照し、警報ネットワーク100について説明する。
【0005】
警報ネットワーク100の目的は、侵入防止警報ユニットまたは火災警報ユニットなどの警報装置102と遠隔警報受信センター104との間の通信を改善することである。侵入者の存在の検出といった警報条件が満たされると、警報装置102は、遠隔警報受信センター104に対して警報ネットワーク100上で警報信号を発信し、送信する。次いで、遠隔警報受信センター104は、例えば、建物の責任者への通知や警察への通報等を含む、適切な措置を取る。
【0006】
警報装置102は、GSM無線ネットワーク(GPRSを用いたGSM無線ネットワークおよびGPRS用いないGSM無線ネットワーク)上で送受信を行うように構成された無線モジュール106を備える。無線モジュール106には無線アンテナ108が接続されており、無線アンテナ108は、GSMネットワークの周波数で動作し、かつGPRSと共に使用されるように構成されている。警報装置102は、SIMカード110をさらに備える。SIMカード110は、無線モジュール106がGSMネットワーク上でGPRSに従って動作することを可能にする、アカウントおよび通信についての詳細を格納している。DualCom GPRSのこの特定例において使用されるSIMカードは、単一のMNO、具体的には、Vodafoneに接続する点に留意されたい。したがって、以下に説明する警報ネットワークは、単一のMNOネットワーク、具体的には、
図1に示すようなMNO 1ネットワーク112を使用する。警報装置内に含まれるSIMが複数のMNOのうちの1つに接続可能である場合、MNO 2ネットワーク120およびMNO 3ネットワーク124といった追加のMNOネットワーク、ならびに対応するサーバであるMNO 2サーバ122およびMNO 3サーバ126を使用することが適切である。以下に、これについて、ローミングSIMを参照して詳細に説明する。
【0007】
警報装置102はまた、入力インターフェイス(図示せず)、マイクロプロセッサ(図示せず)、不揮発性メモリ(図示せず)、および公衆交換電話網(PSTN)電話回線との通信を提供するための電話回線インターフェイス(図示せず)も備える。
【0008】
警報ネットワーク100は、警報装置102と遠隔警報受信センター104との間にいくつかの通信路を提供する。これらは、GPRS GSMリンクを用いた第1の無線通信路と、非GPRS GSMリンクを用いた第2の無線通信路と、PSTN回線を用いた有線通信路とに分けられる。
【0009】
GPRS GSMリンクを用いた第1の無線通信路を確立するために、警報装置102と、MNOネットワーク(
図1のMNO 1ネットワーク)のGPRS基地局(図示せず)112との間に、GPRS GSM無線通信リンクが最初に提供される。MNOネットワーク112のGPRS基地局とMNOサーバ114との間には、インターネット116を介して、セキュアな固定回線ルートが提供され、MNOサーバ114と無線通信ネットワーク118の基地局(図示せず)との間にも、セキュアな固定回線ルートが提供される。最後に、基地局は、無線通信ネットワーク118上で遠隔警報受信センター104と無線通信を行う。特定の例として、DualCom GPRSにおいて使用されるセキュアな固定回線は、1つ以上の専用回線または仮想プライベートネットワーク(VPN)トンネルによって提供されており、無線通信ネットワーク118は、Kilostreamによって提供されるようなX.25ネットワーク上でVodafoneによるPaknetによって提供されている。
【0010】
非GPRS GSMリンクを用いた第2の無線通信路は、警報装置102と遠隔警報受信センター104との間に同様に確立することができる。非GPRS GSMリンクを用いた第2の無線通信路を確立するために、警報装置102とMNOネットワーク112のGSM基地局(第1の無線通信路において使用されるGPRS基地局と同じものであっても、同じものでなくてもよい)との間に、非GPRS GSM無線通信リンクが最初に提供される。MNOネットワーク112のGSM基地局は、MNOサーバ114およびインターネット116を介して、セキュアな固定回線ルート上で無線通信ネットワーク118の基地局と通信状態にある。最後に、基地局は、次いで、無線通信ネットワーク118上で遠隔警報受信センター104と無線通信を行う。
【0011】
警報装置102と遠隔警報受信センター104との間に有線通信路を確立するために、警報装置102と電話交換器130との間に、例えば、PSTN回線またはブロードバンドを用いて、第1の有線接続128が提供される。電話交換器130と警報受信センター104との間に、この場合も同様に、例えば、PSTN回線またはブロードバンドを用いて、第2の有線接続132が提供される。電話交換器130は、有線接続を介してインターネット116に接続することもできる。DualCom GPRSにおいては、警報装置102と遠隔警報受信センター104との間に有線通信路を確立する目的で、PSTN回線が用いられる。
【0012】
DualCom GPRS警報装置は、「待機モード」、「警報モード」および「リンク障害モード」"という3つの動作モードを有する。待機モードにおいては、警報装置102は、第1の無線通信路を介して、警報ネットワーク100のMNOサーバ114(ポーリングサーバとしても知られる)にポーリング信号を周期的に送信する。ポーリング信号は、警報装置102が正常に動作していることをMNOサーバ114に示す信号である。所定の制限時間の経過後にポーリング信号が受信されなかった場合、MNOサーバ114は、第2の無線通信路上で警報装置102に照会信号を送信して、警報装置102が正常に動作しているか否かをチェックする。照会信号を受信すると、警報装置102は、照会信号が受信されたこと、および警報装置102がこれに応じて応答することが可能であることを確認するために、第2の無線通信路を介して応答信号を送信しようと試みる。応答信号を受信すると、それによって、MNOサーバ114は、第1の無線通信路は動作不能であるが、第2の無線通信路は動作可能であることを確認する。同様にして、警報装置102は、有線通信路が動作可能であるか否かを検出することができる。上記通信路のうちの1つに障害が発生したことを検出すると、警報装置102は、リンク障害モードに入り、この障害をMNOサーバ114および遠隔警報受信センター104に通知する。
【0013】
警報条件が満たされた場合、例えば、動きが検出された場合、警報装置102は、警報モードに入る。警報装置102は、警報信号を生成し、その後適切な措置を取ることができるように、警報信号を遠隔警報受信センター104に送信する。警報装置102は、第1の無線通信路上で警報信号の送信を3回試み、次いで、第2の無線通信路上で警報信号の送信を2回試み、その後、有線通信路上で警報信号の送信を2回試みる。このルーチンは、遠隔警報受信センター104から肯定応答信号が受信されたときに終了する。そして、警報装置102は、警報モードから出る。警報モードにおける上記ルーチンの目的は、信号の送信が動作可能な経路上で試みられることを確実にし、それによって、通信路のうちの1つまたは2つが動作不能になった場合に遠隔警報受信センター104との通信を成功させることである。
【0014】
図1を参照して説明され、DualCom GPRSにより例示された先行技術は、複数の通信路を設けて、これらの通信路のうちの一部が動作不能になった場合であっても良好に動作を継続することが可能である遠隔警報受信センター104に警報信号が伝達される機会を増やすものである。
【0015】
DualCom GPRSにおいて使用されるSIMカードは、単一のMNO、具体的にはVodafoneに接続する。信号伝送装置におけるレジリエンスをさらに向上させるために、ローミングSIMを使用することができ、ローミングSIMは、複数のMNOネットワークのうちの1つに接続しかつ当該MNOネットワーク上で動作することが可能である。例えば、
図1に示す警報装置102のSIM110がローミングSIMである場合、このローミングSIMは、MNO 1ネットワーク112だけでなく、第2のMNO(MNO 2)ネットワーク120および第3のMNO(MNO 3)ネットワーク124にも接続することが可能である。ローミングSIMは、MNO 1ネットワーク112、MNO 2ネットワーク120およびMNO 3ネットワーク124にそれぞれ対応付けられた第1のプロファイル、第2のプロファイルおよび第3のプロファイルを格納している。接続が最も安定しているMNOネットワークを無線通信路に選択してもよい。
【0016】
携帯電話でのウェブ閲覧といった、モバイル機器の典型的な用途においては、「自動ローミング」アルゴリズムを用いてMNOネットワークの選択およびMNOネットワーク間の切替えが行われる。自動ローミングは、典型的には、ユーザがホームMNOと契約を締結することを含み、ホームMNO自身が、当該ホームMNOとローミング契約を締結しているローミングMNOのリストを維持している。そして、ローミングMNOのリストは、ローミングMNOの優先リストが得られるように優先順位付けされており、したがって、ホームMNOとの接続が失敗した場合、優先順位付けされたリストの順に、ローミングMNOのうちの1つに接続が試みられる。しかしながら、警報信号伝送装置においては信号完全性(シグナルインテグリティ)が非常に重要であり、自動ローミングによって選択されたローミングMNOは、所与のエリアに対して最良のシグナルインテグリティを提供しない場合がある。
【0017】
シグナルインテグリティを改善するローミングMNOを選択する警報装置において使用される別のローミングアルゴリズムが開発されている。例として、「利用可能なセルラーネットワークの信頼性に基づいて、警報信号の通信に使用されるセルラーネットワークを選択する(Selecting a cellular network for communication of an alarm signal based on reliably of the available cellular networks)」と題される英国特許出願第2533853号として公開されている英国の特許出願では、MNOネットワークを選択する警報装置の一部として、ローミングSIM、例えば、Vodafone GDSPが使用されている。ローミングSIMを備える警報装置202の主要な特徴を
図2(先行技術)に示し、以下に簡単に説明する。
【0018】
警報装置202は、無線モジュール206および対応付けられたローミングSIM210を備える。警報装置202は、GPRSデータを送受信するための無線モジュール206に接続された無線アンテナ208をさらに備える。警報装置202はまた、フラッシュメモリおよび不揮発性メモリを含むメモリ205を有するマイクロコントローラ203も備える。マイクロコントローラ203は、無線モジュール206に接続されている。マイクロコントローラ203は、送信用データ、および無線アンテナ208を介して無線モジュール206によって受信されたデータを処理する。マイクロコントローラ203は、このようなデータの送受信に関して無線モジュール206を制御する。マイクロコントローラ203はまた、無線モジュール206に対応付けられたローミングSIM210を介して、MNOネットワークとの無線リンクも制御する。よって、マイクロコントローラ203は、どのMNOネットワークに警報装置202が接続されるかについての制御および判定を行う。接続マネージャ207と呼ばれるアルゴリズムがメモリ205に保持されており、接続マネージャ207は、マイクロコントローラ203上で実行されると、MNOネットワークを介した警報装置202とインターネットとの間のデータの送受信を可能にする。
【0019】
警報装置202はまた、マイクロコントローラ203に関連して以下の特徴も備えるが、簡略化のため、これらについては
図2に図示しない。すなわち、ユーザインターフェイス、センサ、電力管理回路、外部入力/出力、PSTNインターフェイスおよび、LANインターフェイスである。
【0020】
ローミングSIM210は、MNO 1ネットワーク212、MNO 2ネットワーク220およびMNO 3ネットワーク224といった、複数のMNOネットワークに接続可能である。無線モジュール206は、サーベイ機能を用いて、警報装置202の位置におけるMNOネットワーク212、220、224の情報を提供する。そして、警報装置202は、利用可能なMNOネットワーク212、220、224のそれぞれを通じた通信の信頼性を信号強度に基づいて測定する。上記位置において利用可能な各MNOネットワークについて、警報装置202は、利用可能なMNOネットワーク212、220、224のそれぞれに順番に接続するように、無線モジュール206およびローミングSIM210に指示する。次いで、警報装置202は、接続されたMNOネットワークを介して信号パケットを一次ポーリングサーバ(図示せず)に送信するように、無線アンテナ208を介して無線モジュール206に指示する。これに応答して、一次ポーリングサーバは、警報装置202に信号パケット(図示せず)を返信する。警報装置202のマイクロコントローラ203は、信号パケットを解析し、セル信号品質、信号対雑音比、警報装置202の有効範囲内のセル数、およびビットエラーレートに応じて、データをメモリ205に保存する。次いで、接続マネージャ207は、MNOネットワーク212、220、224のそれぞれについて収集されたデータに基づき、MNOネットワークにおいて変更をいつ行うべきか、およびどのMNOネットワークに対して接続がなされるべきかを決定する。接続マネージャ207は、信頼性の最も高いMNOネットワークを選択する。接続マネージャ207を通じて、マイクロコントローラ203、無線モジュール206およびローミングSIM210は、選択されたMNOネットワークへの登録および接続を行うように指示される。
【0021】
一部のローミングSIMは、自国のMNOネットワーク間でローミングを行うだけでなく、他の国々においてMNOネットワーク間でローミングを行うことが可能である。このような国際ローミングSIMは、追加のMNOネットワークに対するアクセスを提供するために警報装置において用いられる。一例として、CSL DualCom Limited製のDualCom Proは、国際ローミングSIM、具体的には、マルチネットワーク4G WorldSIM International SIMを使用している。自国におけるホームネットワークに関連付けられた国際ローミングSIMは、当該ホームネットワークとローミング契約を締結している他のいずれの国においても使用することができる。例えば、ある特定のローミングSIMが、英国国外の本国で事業を行う本国MNOに対応付けられている場合、英国において電源を投入されると、このローミングSIMは、英国における単一のMNOに固定されるのではなく、本国MNOとローミング契約を締結している、英国において利用可能なMNOの全てでローミングが可能となる。ネットワークによって判定されるような機能停止が1つのMNOに発生した場合、SIMは、ローミングを行って次の利用可能なMNOにするように指示されるだけでよい。これにより、全てのモバイルネットワークに対するアクセスが提供されるとともに、最も強い信号を有するネットワークを選択するローミングアルゴリズムが使用され、それにより、ダウンタイムが解消される。
【0022】
デュアルSIM型警報装置
2018年以来、4Gネットワークが頻繁にネットワークの更新を行うことが可能になるにつれて、MNOの機能停止の増加が観測されている。この懸念に対処するため、デュアルSIM・デュアル無線型警報装置としても知られる、複数のSIMスロットおよび複数の対応付けられた無線モジュールを備える警報装置が2019年に発売された。このような装置は、2つの独立した無線モジュール上で動作する2枚以上のSIMカードを同一の警報装置内で使用することを可能にする2つ以上のSIMスロットを有する。プライマリSIMスロット内に位置するプライマリSIMの使用中に、MNOの機能停止が装置によって検出された場合、装置は、プライマリSIMスロットからセカンダリSIMスロットに切り替えることができる。セカンダリSIMスロット内に位置するセカンダリSIMは、その後、各自のMNOに接続することになる。例えば、CSL DualCom Limited製のGradeShift Pro Radio/Radioは、2つの4G WorldSIMを使用しており、一方をプライマリ経路として、他方をセカンダリ経路として使用している。それぞれのSIMは、他方のSIMとは独立したネットワーク上で動作し、各自の無線モジュールを使用する。
【0023】
eUICC SIM:フォールバックおよびフォールバック・キャンセル
現在、標準SIMカードは、汎用集積回路カード(UICC)SIMであり、そのアプリケーションおよびデータは、警報装置およびネットワークの接続性および安全性の保証において根本的な役割を果たしている。既存のUICC技術に基づくGSMアソシエーション(GSMA)は、eUICC SIMへのMNOプロファイル(サブスクリプション)の「無線(Over-the-Air)」(OTA)による提供を可能にする、組込みUICC(eUICC)(eSIMとしても知られる)の一組の規格を制定した。これにより、SIMカードの事業者は、アクティブなMNOプロファイルを変更して、SIMを別のMNOネットワークに接続することができる。
【0024】
eUICCのOTA性能を設計する際、GSMAが取り組んだ主な課題は、装置を物理的に訪れることなくSIMのプロファイルを変更できるようにすることであった。例えば、新たなMNOプロファイルがSIMに送信されたにも関わらず、何らかの理由でその新たなMNOプロファイルが作動しなかった場合に、SIMとの連絡が途絶えることは望ましくない。OTA性能とは、SIMを変更するために装置を物理的に訪れる(これには高いコストがかかる)必要がないことを意図するものであった。新たなプロファイルへの切替えにおいてエラーが発生した場合、装置は接続性を失ってしまうため、物理的な訪問を受けて修理されるまでは役に立たなくなる。
【0025】
GSMAは、eUICCの2つの別個の実施を定義している。第1の実施は、消費者によるMNOネットワークの選択に向けられたものである(「消費者ソリューション」としても知られる)。消費者および企業をターゲットとする「消費者直接取引(direct-to-consumer)」チャンネルでは、このソリューションは、エンドユーザ(または消費者)がネットワーク接続を供給するMNOを直接選択する場合に必要とされる。代替MNOプロファイルが、eUICCおよび消費者の装置にプルされる。消費者の装置はキーボードおよび画面を有しているので、装置は、消費者がネットワーク接続を提供するMNOを積極的に選択することを可能にするオプションを提示することができる。これは、「プル型(装置に対する)ソリューション」として知られている。一例として、アップルのSIMは、異なるMNOプロファイルを用いて、かつモバイル機器のユーザインターフェイスを介してユーザに異なるMNOプロファイルを提示するように構成され得る。これにより、ユーザはMNOプロファイルを積極的に選定および選択し、それにより、最適なMNOネットワークに接続することが可能となる。
【0026】
第2の実施は、ビジネス・ツー・ビジネス・コンシューマに向けられたものである(M2Mソリューションとしても知られる)。「ビジネス・ツー・ビジネス」チャンネルでは、このソリューションは、特にモノのインターネット(IoT)市場におけるビジネス・ツー・ビジネス・コンシューマのニーズに応えるものである。装置は画面およびキーボードを有していない場合があり、また遠隔地にある場合があるため、事業者には、新たなMNOプロファイルおよび設定をeUICCにプッシュする能力が必要とされる。これに関する規格は、上述した消費者ソリューションとは異なる。これは、「プッシュ型(装置に対する)ソリューション」として知られている。
【0027】
上記eUICCの実施のいずれにおいても、MNOネットワークに機能停止または障害が発生した場合にeUICCへの再接続が可能となるように、異なるMNO(例えば、MNO YおよびMNO X)間のプロファイルの切替えを制御するための処理が設定されている。係る処理について、
図3(先行技術)に示す警報装置302を参照して以下に例示する。警報装置302は、無線モジュール306および対応付けられたeUICC310を備える。警報装置302は、無線アンテナ308と、プログラム307を保持するメモリ305を有するマイクロコントローラ303とをさらに備え、これらは、
図2に示す警報装置202の対応する特徴と同様である。プログラム307は、マイクロコントローラ303上で実行されると、MNO Yネットワーク312またはMNO Xネットワーク320のいずれかを介した警報装置302とインターネットとの間のデータの送受信を可能にする。
図2の警報装置202と同様、
図3の警報装置302のマイクロコントローラ303は、このようなデータの送受信およびeUICC310を介したMNOネットワークとの無線リンクに関して、無線モジュール306を制御する。
【0028】
eUICC310は、そのメモリ(図示せず)内に、2つのプロファイル(
図3に概略的に示す)を有し、これにより、各プロファイルが異なるMNOに対応付けられている。具体的には、第1のプロファイル311(「オペレーショナル・プロファイル(Operational Profile)としばしば呼ばれる)は、MNO Yに対応付けられている。第2のプロファイル313(「フォールバック・プロファイル」または「ブートストラップ・プロファイル」と呼ばれる)は、MNO Xに対応付けられている。「フォールバック・プロファイル」および「ブートストラップ・プロファイル」という用語は、互換的に用いられ得る。簡潔を期すため、以下においては、第1のプロファイル311をオペレーショナル・プロファイル311と称し、第2のプロファイル313をブートストラップ・プロファイル313と称する。
【0029】
本例において、オペレーショナル・プロファイル311は現在アクティブであり、これは、eUICC310がMNO Yネットワーク312に接続されていることを意味する。MNO Yネットワーク312または警報装置302がサービスの喪失を特定した場合、eUICC310にその旨が通知される。例えば、ネットワーク輻輳、PLMNに特有のネットワーク障害または認証障害といったMNO Yネットワーク312に関する問題のために、MNO Yネットワーク312が接続の試みを拒絶する場合、このネットワーク拒絶イベントはUICC310に提供され、MNO Yネットワーク312を用いたサービスはネットワーク拒絶イベントにより利用できないことがマイクロコントローラ303に伝えられる。あるいは、マイクロコントローラ303は、警報装置302の無線モジュール306と共に、MNO Yネットワーク312を用いたサービスの喪失を特定し、次いで、サービス喪失イベントをeUICC310に伝えてもよい。
【0030】
eUICC310は、ネットワークによって生成されたネットワーク拒絶イベントまたは装置によって生成されたサービス喪失イベントのいずれかを受信する。そして、ひとたび受信すると、これにより、フォールバック処理と呼ばれる処理がトリガされる。フォールバック処理は、eUICC310に対し、MNO Yに対応付けられたオペレーショナル・プロファイルを、異なるMNO、本例においてはMNO Xに対応付けられたブートストラップ・プロファイルに切り替えることを要求する。その結果、eUICC210はMNO Xネットワーク320に接続し、それによって、警報装置302は、再び接続し、オンラインに復帰することができる。重要なのは、フォールバック処理が、ネットワーク312または警報装置302自体のうちのいずれかからコマンドを受信することによって開始されるということである。
【0031】
ブートストラップ・プロファイル313の使用中にMNO Xネットワーク320に機能停止が発生した場合、フォールバック・キャンセル処理と呼ばれる処理を用いることができる。フォールバック・キャンセルにより、eUICC310がフォールバック機構をキャンセルし、それによってeUICC310をブートストラップ・プロファイル313からオペレーショナル・プロファイル311に再び切り替えることが可能となる。これは、事故の際に自動車が緊急通話を行う必要があり得る自動車産業向けに最初に実施された。ブートストラップ・プロファイル上で機能停止が発生した場合、自動車は、通話を行うことができない。よって、フォールバック・キャンセル処理は、ブートストラップ・プロファイルからオペレーショナル・プロファイルへの切替えのために設計された。フォールバック処理と同様、フォールバック・キャンセル処理を開始するために、警報装置302またはネットワーク320は、オペレーショナル・プロファイルに再び切り替えるためのフォールバック・キャンセルを実行するよう、eUICC310に命令する必要がある。
【0032】
要約すると、先行技術による現在のeUICCの実施では、装置またはネットワークが接続性の問題またはサービスの喪失を特定し、その後eUICCに対してオペレーショナル・プロファイルとブートストラップ・プロファイルとを切り替えるように指示することによってしか、フォールバック処理およびフォールバック・キャンセル処理を実行することができない。eUICCを用いた現在の実施では、装置またはネットワークからのコマンドまたは命令がなければ、フォールバック処理およびフォールバック・キャンセル処理を実行することができない。
【0033】
このことは、eUICC310の接続性に関する重大な問題を引き起こす。第一に、現存のソリューションにおいては、MNOネットワークの機能停止または障害は、装置またはネットワークによってしか検出することができない。eUICC310は、単独で機能停止を特定することも検出することもできない。これにより、機能停止が発生した時刻と、機能停止が検出された時刻と、eUICCがプロファイルを切り替えて異なるMNOに接続することを命令された時刻との間にタイムラグが生じ得る。加えて、装置またはネットワークが機能停止を検出しない場合、eUICCは接続性を失い、機能停止に関する問題が解消されるまで孤立することになる。装置は、規格を十分満たしていない場合もあり、この場合も同様に、eUICCまたは装置が孤立することになる。
【0034】
第二に、ひとたびeUICC310がMNO Yに対応付けられたオペレーショナル・プロファイル311からMNO Xに対応付けられたブートストラップ・プロファイル313に切替えを行うと、MNO Xネットワーク320に機能停止または障害が発生し得る。この状況において、フォールバック・キャンセル処理は、通常、遠隔プラットフォームから手動で実行される必要がある。ごくまれな状況下では、フォールバック・キャンセル処理は、装置からの命令によって実行され得る。いずれにせよ、MNO Xネットワーク320に機能停止が発生し、フォールバック・キャンセル処理が実施されなかった場合、eUICC310は結果として接続性を失う。
【0035】
既存のシステムにおけるeUICC310は、実質的には、装置およびネットワークのスレーブであり、フォールバック処理およびフォールバック・キャンセル処理の実行といった、ある特定の動作を実行するように命令を受けなければならない。
【0036】
例えば、eUICC310がオペレーショナル・プロファイル311上にあり、かつネットワーク312または装置302によってMNO Yネットワーク312上で機能停止が検出された場合、eUICC310は、ネットワーク312または装置302から命令を受信すると、MNO Xネットワーク320に接続できるようにオペレーショナル・プロファイル311からブートストラップ・プロファイル313への切替えを行う。ブートストラップ・プロファイル313上にある間は、MNO Yネットワーク312上で機能停止を発生させた問題は解消され、それにより、MNO Yネットワーク312は再び正常に機能する。MNO Xネットワーク320に機能停止が発生した場合、eUICC310はまだブートストラップ・プロファイル313上にあるため、MNO Yネットワーク312が正常に機能しているにも関わらず、eUICC310の接続は切断される。eUICC310は、接続が切断され、到達不能になっているため、オペレーショナル・プロファイル311に再び切り替えるために遠隔プラットフォームからフォールバック・キャンセル処理を開始することは不可能である。eUICC310は、MNO Xネットワーク320の機能停止が解消され、eUICC310がMNO Yネットワーク312に手動接続されるまでは接続が切断されたままとなる。
【0037】
eUICCの現在の実施は、ある特定の状況下では依然として障害を発生させ易く、したがって、機能停止に対して自律的かつレジリエントに対応することが出来ないことは明らかである。モバイルネットワークは、緊急サービスのための通信向けの理想的な伝送路であるが、例えば、頻繁なネットワーク更新またはネットワーク障害に起因するMNOネットワークの機能停止は、レジリエンスの欠如と相まって、緊急応答システムにおける通信および信号伝送に深刻な混乱を起こし得る。
【0038】
本発明は、上述の問題のうちの1つ以上を解消するかあるいは少なくとも部分的に軽減することを目的とする。
【発明の概要】
【0039】
本発明は、例えば、頻繁なネットワーク更新またはネットワーク障害に起因するMNOにおける機能停止に対処する改良された方法を提供する、改良されたレジリエントかつ自律的なSIMカードに関する。改良されたレジリエントかつ自律的なSIMカードにより、モバイルネットワークを伝送路として用いた通信にもたらされる混乱が大幅に低減する。これは、ひいては、緊急応答システムにおける信号伝送に肯定的な結果をもたらし、緊急サービスに対するより高速で応答性の高い警告につながる。
【0040】
改良されたレジリエントかつ自律的なSIMカードは、当該SIM上にインストールされたアプレット備える。アプレットは、MNOネットワークにおける接続性の喪失を検出し、接続サービスを提供するアクティブなMNOに機能停止が発生するたびに接続性が確実に維持されるように異なるMNOに対応付けられたプロファイルを管理するよう構成されている。これにより、本発明のSIMは、「機能停止を予防する」ものである。
【0041】
本発明の実施形態において、MNOネットワークの発生し得る機能停止を特定するための動作ロジックは、SIM上で動作しているアプレットに存在することに着目することが重要である。これは、発生し得る機能停止を特定することができるのは装置またはネットワークだけある、先行技術のシステムとは異なる。加えて、フォールバック処理およびフォールバック・キャンセル処理を開始するための動作ロジックは、アプレットに存在している。これに対し、先行技術のシステムでは、装置またはネットワークは、これらの処理を実行するようSIMに命令する必要がある。
【0042】
SIMは、2つ以上の独立したMNOを利用しており、アップタイムおよびサービスの継続を維持するために人間、プラットフォームまたは装置の相互作用が必要とされないように自律的に動作する。加えて、SIMは、当該SIMが装備された装置に変更を加える必要なしに、この機能を提供する。
【0043】
加えて、本発明に係るeUICC SIMの重要な利点は、eUICC SIMカードと互換性のある任意の装置に後付けが可能であるということである。例えば、GSMA規格の実施または承認前に設計・構築されたレガシーデバイスは、標準SIMを用いたフォールバック処理およびフォールバック・キャンセル処理を模倣することができない。この問題に対処すべく、本発明に係るSIMのアプレットは、SIMに要求される規格を提供し、SIM内部からフォールバック処理およびフォールバック・キャンセル処理をトリガさせるための命令を使用可能にする。その結果、このような処理を以前には模倣することが出来なかったレガシーデバイスを含む、eUICC SIMと互換性のある任意の装置上でSIMを使用することが可能となる。
【0044】
本発明の第1の態様によれば、汎用集積回路カード(UICC)であって、使用時に前記UICCがインストールされるホスト装置との間での無線通信ネットワークを介した無線通信を制御するためのUICCであって、前記UICCの動作を制御するためマイクロプロセッサと、前記UICCの動作に関連するデータを格納するためのデータストアであって、前記ホスト装置を第1の無線通信ネットワークに接続するための無線通信ネットワーク設定を含むオペレーショナル・プロファイルおよび、前記ホスト装置を第2の無線通信ネットワークに接続するための無線通信ネットワーク設定を含むブートストラップ・プロファイルを含む複数のモバイル通信業者ネットワークプロファイルと、前記UICCの動作を設定するための複数の命令を含むプログラムとを含む、データストアとを備え、使用時に、前記マイクロプロセッサは、前記オペレーショナル・プロファイルを用いて前記ホスト装置を前記第1の無線通信ネットワークに接続し、前記第1の無線通信ネットワークとの動作接続性の喪失を検出し、前記ブートストラップ・プロファイルを用いて前記ホスト装置を前記第2の無線通信ネットワークに接続して、前記ホスト装置との間で無線通信を再確立するように、前記プログラムによって構成される、汎用集積回路カード(UICC)が提供される。
【0045】
前記UICCは、前記プログラムおよびプロファイルが遠隔設定されかつ/または遠隔更新されることを可能にする組込みUICC(eUICC)であってもよい。
【0046】
前記プログラムは、比較的小さいサイズおよび専用機能を有するアプレットを含んでいてもよい。
【0047】
前記データストアは、前記UICCのセキュア・トランスバーサル・ドメイン(secure transversal domain)に設けられていてもよく、前記オペレーショナル・プロファイルまたは前記ブートストラップ・プロファイルは、前記UICCの前記セキュア・トランスバーサル・ドメインへのアクセスをセキュアに提供して、前記データストアに格納された前記プログラムに対して外部サーバが変更を加えることを可能にすることができる。
【0048】
前記オペレーショナル・プロファイルおよびブートストラップ・プロファイル、ならびに前記無線通信ネットワークを介する前記ホスト装置との無線通信の制御におけるそれらの使用を設定するための、前記データストアにファイルとして格納された1組の可変パラメータをさらに備えてもよい。前記パラメータは、別個の設定ファイルに格納され、設定ファイルを更新処理によって置換できるようにしてもよい。設定ファイルに格納されるパラメータの一例は、pingサーバのアドレスである。
【0049】
前記プログラムは、使用時に、第1の無線通信ネットワーク接続性テストを実行して、前記ホスト装置と前記第1の無線通信ネットワークとの間の前記無線通信ネットワーク接続性をテストし、前記無線通信ネットワーク接続性テストに基づく第1の接続性テスト結果を返し、前記第1の接続性テスト結果に基づいて、前記ホスト装置と前記第1の無線通信ネットワークとの間で無線通信ネットワーク接続性の喪失が発生したか否かを判定し、そのような接続の喪失が判定された場合、前記オペレーショナル・プロファイルの選択を解除して前記ブートストラップ・プロファイルを選択し、前記ホスト装置の無線通信ネットワーク接続性を再確立するために、前記ブートストラップ・プロファイルを用いて、前記ブートストラップ・プロファイルの前記ネットワーク設定に基づいて前記第2の無線通信ネットワークに接続するように、前記マイクロプロセッサを構成するための命令を含んでいてもよい。
【0050】
前記プログラムは、使用時に、前記第1のネットワーク上で接続の喪失が検出されたときに、所定期間のキャンセルタイマを開始し、ひとたび前記キャンセルタイマが満了すると、前記ブートストラップ・プロファイルの選択を解除して前記オペレーショナル・プロファイルを再選択し、前記ホスト装置と前記第1の無線通信ネットワークとの間に無線通信ネットワーク接続性を再確立するために、前記オペレーショナル・プロファイルを用いて前記第1の無線通信ネットワークに再接続するように、前記マイクロプロセッサを構成するための命令を含んでいてもよい。
【0051】
前記プログラムは、使用時に、前記ブートストラップ・プロファイルを用いて前記ホスト装置を前記第2の無線通信ネットワークに接続した後、第2の無線通信ネットワーク接続性テストを実行して、前記ホスト装置と前記第2の無線通信ネットワークとの間の前記無線通信ネットワーク接続性をテストし、前記無線通信ネットワーク接続性テストに基づく第2の接続性テスト結果を返し、前記第2の接続性テスト結果に基づいて、前記ホスト装置と前記第2の無線通信ネットワークとの間に無線通信ネットワーク接続性の喪失が発生したか否かを判定し、そのような接続の喪失が判定された場合、前記ブートストラップ・プロファイルの選択を解除して前記オペレーショナル・プロファイルを再選択し、前記ホスト装置の無線通信ネットワーク接続性を再確立するために、前記オペレーショナル・プロファイルを用いて、前記オペレーショナル・プロファイルの前記ネットワーク設定に基づいて前記第1の無線通信ネットワークに接続するように、前記マイクロプロセッサを構成するための命令を含んでいてもよい。
【0052】
実施形態において、前記プログラムは、使用時に、前記再選択されたオペレーショナル・プロファイルを使用するためのタイムスロットを判定し、前記第2の無線通信ネットワークとの接続を切断すること、および前記再選択されたオペレーショナル・プロファイルを用いて前記第1の無線通信ネットワークに接続することを、前記タイムスロットに到達するまで遅延するように、前記マイクロプロセッサを構成するための命令を含む。
【0053】
好ましくは、前記タイムスロットは、乱数、または前記UICCまたはホスト装置に対応付けられたICCID、IMEIまたはMISDINからの数字を用いて判定される。ただし、前記タイムスロットは、他の手段によって判定されてもよい。
【0054】
実施形態において、前記プログラムは、使用時に、テストされている前記無線通信ネットワーク内での前記ホスト装置と1つ以上のテストサーバとの間の前記無線通信ネットワーク接続性をテストすることによって前記第1または第2の無線通信ネットワーク接続性テストを実行するように、前記マイクロプロセッサを構成するための命令を含む。
【0055】
好ましくは、前記プログラムは、使用時に、pingテストを実行することによって前記第1または第2の無線通信ネットワーク接続性テストを実行するように、前記マイクロプロセッサを構成するための命令を含み、前記pingテストは、前記1つ以上のテストサーバのうちの少なくとも1つのテストサーバに転送データパケットを送信すること、前記テストサーバから応答データパケットが受信されたか否かを判定すること、および前記転送データパケットを送信してから所定期間内に、前記テストサーバから前記応答データパケットが受信されない場合、否定的な第1または第2の無線通信ネットワーク接続性テスト結果を返すことを含む。
【0056】
前記プログラムは、使用時に、pingシーケンステストを実行することによって前記第1または第2の無線通信ネットワーク接続性テストを実行するように、前記マイクロプロセッサを構成するための命令を含んでいてもよく、前記pingシーケンステストは、前記1つ以上のテストサーバのうちの第1のテストサーバに第1の転送データパケットを送信すること、第1の所定期間内に前記第1のテストサーバから第1の応答データパケットが受信されたか否かを判定すること、前記第1の所定期間内に前記第1の応答データパケットが受信されていないと判定された場合、前記1つ以上のテストサーバのうちの第2のテストサーバに第2の転送データパケットを送信すること、第2の所定期間内に前記第2のテストサーバから第2の応答データパケットが受信されたか否かを判定すること、前記第2の所定期間内に前記第2の応答データパケットが受信されていないと判定された場合、前記1つ以上のテストサーバのうちの第3のテストサーバに第3の転送データパケットを送信すること、第3の所定期間内に前記第3のテストサーバから前記第3の応答データパケットが受信されたか否かを判定すること、前記第3の所定期間内に前記第3の応答データパケットが受信されていないと判定された場合、否定的なpingシーケンステスト結果を返すこと、および否定的なシーケンスping結果が返された場合、否定的な第1または第2の無線通信ネットワーク接続性テスト結果を返すことを含む。
【0057】
前記プログラムは、使用時に、前記pingシーケンステストを1回以上繰り返すことによって前記第1または第2の無線通信ネットワーク接続性テストを実行するように、前記マイクロプロセッサを構成するための命令を含んでいてもよく、前記否定的な無線通信ネットワーク接続性テスト結果は、否定的なpingシーケンステスト結果の連続数が所定の閾値を超えた場合にのみ返される。
【0058】
実施形態において、前記プログラムは、使用時に、データテストを実行することによって前記第1または第2の無線通信ネットワーク接続性テストを実行するように、前記マイクロプロセッサを構成するための命令を含み、前記データテストは、テストサーバに所定量のデータを送信すること、前記所定量のデータが前記テストサーバに配送されたか否かを判定すること、前記所定量のデータが前記テストサーバに配送されなかった場合、否定的な第1または第2の無線通信ネットワーク接続性テスト結果を返すことを含む。
【0059】
前記プログラムは、使用時に、ネットワーク層テストを実行することによって前記第1または第2の無線通信ネットワーク接続性テストを実行するように、前記マイクロプロセッサを構成するための命令を含んでいてもよく、前記ネットワーク層テストは、前記第1または第2の無線通信ネットワークの異なるネットワーク層をテストすることを含む。
【0060】
実施形態において、前記データストアは、前記ホスト装置をローミング無線通信ネットワークに接続するための無線通信ネットワーク設定を含むローミングプロファイルを含み、前記プログラムは、使用時に、前記第1の通信ネットワークとの動作接続性の喪失を検出した後、前記ホスト装置との間に無線通信を再確立するために、前記ローミングプロファイルを用いて、前記ローミングプロファイルの前記ネットワーク設定に基づいて、前記ホスト装置を前記ローミング無線通信ネットワークに接続するように、前記マイクロプロセッサを構成するための命令を含む。
【0061】
前記データストアは、複数の無線ネットワークプロファイルであって、前記ホスト装置を各自の無線通信ネットワークに接続するための無線通信ネットワーク設定をそれぞれが備える複数の無線ネットワークプロファイルを含んでいてもよく、前記UICCは、前記オペレーショナル・プロファイルおよび前記ブートストラップ・プロファイルを前記複数のプロファイルから遠隔選択することを可能にするように構成されていてもよい。
【0062】
前記データストアは、複数の無線ネットワークプロファイルであって、前記ホスト装置を各自の無線通信ネットワークに接続するための無線通信ネットワーク設定をそれぞれが備える複数の無線ネットワークプロファイルを含んでいてもよく、前記UICCは、前記オペレーショナル・プロファイルおよび前記ブートストラップ・プロファイルを前記複数のプロファイルからローカルユーザが選択することを可能にするように構成されていてもよい。
【0063】
好ましくは、前記複数の無線ネットワークプロファイルにおける各無線ネットワークプロファイルは、異なる独立した無線通信ネットワークに対応付けられている。
【0064】
実施形態において、前記複数のネットワークプロファイルにおける各ネットワークプロファイルは、独立した無線通信ネットワークプラットフォームまたは同じ無線通信ネットワークプラットフォームの異なるインスタンスに対応付けられている。
【0065】
前記UICCは、eUICC、ミニSIM、マイクロSIM、ナノSIMまたは半田付け可能(Solderable)SIMを含んでいてもよい。
【0066】
本発明の第2の態様によれば、メモリを有するプロセッサと、前記ホスト装置を無線通信ネットワークに接続するための無線モジュールと、本発明の第1の態様を参照して上記に説明した汎用集積回路装置とを備えるホスト装置が提供される。
【0067】
前記ホスト装置は、警報装置、スマートフォン、タブレットコンピュータ、ドングル、ルータ、GPS追跡装置、M2Mデバイス、IoTデバイス、車両、遠隔医療装置またはテレケア(Telecare)デバイスを含んでいてもよい。
【0068】
本発明の第3の態様によれば、使用時に汎用集積回路カード(UICC)がインストールされるホスト装置との間の無線通信ネットワークを介した無線通信を制御するための前記UICCの動作方法であって、前記UICCのデータストアに格納された前記UICCの動作に関するデータへのアクセスを提供するステップであって、前記データは、前記ホスト装置を第1の無線通信ネットワークに接続するための無線通信ネットワーク設定を含むオペレーショナル・プロファイル、および前記ホスト装置を第2の無線通信ネットワークに接続するための無線通信ネットワーク設定を含むブートストラップ・プロファイルを含む、複数のモバイル通信業者ネットワークプロファイルを含む、ステップと、前記UICCのマイクロプロセッサ、および前記UICCの動作を設定するための複数の命令を含むプログラムを用いて前記UICCの動作を制御するステップであって、前記オペレーショナル・プロファイルを用いて前記ホスト装置を前記第1の無線通信ネットワークに接続すること、前記第1の無線通信ネットワークとの動作接続性の喪失を検出すること、および前記ブートストラップ・プロファイルを用いて前記ホスト装置を前記第2の無線通信ネットワークに接続して、前記ホスト装置との間に無線通信を再確立することを含む、制御ステップとを含む方法が提供される。
【0069】
本発明の第4の態様によれば、コンピュータによって実行されると、前記コンピュータに本発明の第3の態様を参照して上記に説明した方法を実行させる命令を含むコンピュータプログラム製品またはコンピュータ可読記憶媒体が提供される。
【0070】
本発明の第5の態様によれば、ホスト装置と無線通信ネットワーク接続を提供するネットワークプラットフォームとの間に前記無線通信ネットワーク接続を再確立するコンピュータ実施方法であって、前記ホスト装置は、前記無線通信ネットワーク接続を制御するためのモバイル通信業者ネットワークプロファイルを有する汎用集積回路カード(UICC)を備えるコンピュータ実施方法であって、前記UICCから前記無線通信ネットワーク接続を介して第1のデータパケットを受信するステップと、前記UICCから前記無線通信ネットワーク接続を介して第2のデータパケットを受信するステップと、前記第1のデータパケットの受信と前記第2のデータパケットの受信との間の経過時間を示す第1の時間データを判定するステップと、前記第1の時間データを所定の時間閾値と比較するステップと、前記第1の時間データが前記所定の時間閾値よりも大きい場合、前記無線通信ネットワークプラットフォームにリセット要求を送信して、前記ホスト装置に対する前記無線通信ネットワーク接続をリセットするステップとを含むコンピュータ実施方法が提供される。
【0071】
前記コンピュータ実施方法は、前記第1の時間データが前記所定の時間閾値よりも大きい場合、前記比較ステップの後に、リセットタイマを開始するステップと、前記リセットタイマの値を所定のリセットタイマ閾値と比較するステップとをさらに含んでいてもよく、前記送信ステップは、前記リセットタイマの前記値が前記所定のリセットタイマ閾値よりも大きくなるまで遅延される。
【0072】
前記所定のリセットタイマ閾値は、異なる時間帯に設定可能であってもよい。
【0073】
本願の範囲内において、前述の段落、特許請求の範囲ならびに/または以下の説明および図面に記載される種々の態様、実施形態、実施例および代替例ならびに、特に個々の特徴は、独立して、または任意の組み合わせとして解釈され得ることが明らかに意図される。すなわち、全ての実施形態および/またはいずれの実施形態の特徴も、係る特徴が矛盾するものでない限り、いかなる方法および/または組合せとして組み合わせることができる。本出願人は、当初に提出された請求項を変更するかあるいは新たな請求項を適宜提出する権利を留保するものであり、この権利には、当初に提出された請求項を、当初にはそのように請求されていなくとも、他の任意の請求項に従属させかつ/またはその特徴を組み込むように補正する権利が含まれる。
【図面の簡単な説明】
【0074】
以下に、添付の図面を参照し、本発明を例示としてのみ説明する。
【
図1】警報装置と遠隔警報受信センターとの間で通信を行うための二重経路信号伝送を用いた公知の警報ネットワークを示す概略図である。
【
図2】ローミングSIMを備える、先行技術の警報装置を示す概略図である。
【
図3】eUICCを備える、別の先行技術の警報装置を示す概略図である。
【
図4】本発明の第1実施形態に係る、警報装置内のeUICC、および警報装置と遠隔警報受信センターとの間で通信を行うための警報ネットワークを示す概略図である。
【
図5】
図4に示すeUICCおよび警報装置の構成要素をより詳細に示す概略図である。
【
図6】
図4に示す警報ネットワークの構成要素をより詳細に示す概略図である。
【
図7】第1実施形態に係る、アクティブなMNOネットワークにおいて機能停止が発生した場合にeUICCの接続性を維持する処理を示すフローチャートである。
【
図8】
図7においてeUICCの接続性をテストする処理をより詳細に示すフローチャートである。
【
図9】第1実施形態に係る、
図7のフォールバック処理を実行する処理をより詳細に示すフローチャートである。
【
図10】第1実施形態に係る、
図7のフォールバック・キャンセル処理を実行する処理をより詳細に示すフローチャートである。
【
図11a】本発明の第2実施形態に係る、任意選択プロファイルが選択される前の警報装置内に備えられるeUICCを示す概略図である。
【
図11b】本発明の第2実施形態に係る、任意選択プロファイルが選択された後の
図11aのeUICCを示す概略図である。
【
図12a】本発明の第3実施形態に係る、任意選択プロファイルが選択される前の警報装置内に備えられるeUICCを示す概略図であり、当該eUICCは、モバイル通信事業者と契約と締結している仮想モバイル通信事業者に対応付けられたプロファイルを含む。
【
図12b】本発明の第3実施形態に係る、任意選択プロファイルが選択された後の
図12aのeUICCを示す概略図である。
【
図13】本発明の第4実施形態に係る、eUICC内に備えられ得る国内プロファイルおよびローミングプロファイルを示す概略図である。
【
図14】第4実施形態に係る、国内プロファイルおよびローミングプロファイルの両方が利用可能であるアクティブなMNOネットワークにおいて機能停止が発生した場合にeUICCの接続性を維持する処理を示すフローチャートである。
【
図15】
図8においてeUICCの接続性をテストする処理を示す別の概略図である。
【
図16】
図15のping接続性テストをより詳細に示すフローチャートである。
【
図17】
図15および
図16のping接続性テストを実施し、フォールバック処理およびフォールバック・キャンセル処理を開始している状態のeUICCのステートマシンの概略図である。
【
図18】
図9および
図10のフォールバック処理およびフォールバック・キャンセル処理時に実行されるステップをより詳細に示すフローチャートである。
【
図19】本発明の各実施形態において国内プロファイルおよびローミングプロファイルに対するping接続性テストならびにフォールバック処理およびフォールバック・キャンセル処理において使用されるタイミングを示す表である。
【
図20】本発明の一実施形態において使用される、ICCID番号のランダムな数字を用いた、可能なタイムスロットの判定を示す表である。
【
図21】
図5に示すeUICCのアプレットの設定可能要素(configurable elements)を示す表である。
【
図22】さらなる実施形態に係る、アプレット・プラットフォーム間同期(Applet and Platform Synchronisation)のための処理およびロケーションキャンセル要求のトリガリングを示すフローチャートである。
【
図23】本発明の各実施形態と互換性のあるSIMの例を示す概略図である。
【発明を実施するための形態】
【0075】
本発明の各実施形態は、例えば、頻繁なネットワーク更新またはネットワーク障害に起因するMNOネットワークにおける機能停止または接続性に関する問題に対処する改良された方法を提供する、改良されたレジリエントかつ自律的なSIMカードに関する。改良されたレジリエントかつ自律的なSIMカードにより、モバイルネットワークを伝送路として用いた通信にもたらされる混乱が大幅に低減する。これは、ひいては、緊急応答システムにおける信号伝送に肯定的な結果をもたらし、緊急サービスに対するより高速で応答性の高い警告につながる。
【0076】
以下に、本発明の第1実施形態に係るeUICCについて
図4から
図6を参照して説明し、続いて、関係する各処理について
図7から
図10を参照して説明する。
【0077】
図4は、警報装置402と遠隔警報受信センター404との間に通信チャネルを提供する警報ネットワーク400を示す。警報装置402は、警報ネットワーク400上で警報受信センター404に警報信号を発信し、送信する。そして、警報受信センター404は、例えば、建物の責任者への通知や警察への通報等を含む、適切な措置を取る。
【0078】
警報装置402は、警報装置402内の無線モジュール(図示せず)がモバイル電気通信ネットワーク上で動作することを可能にするアカウントおよび通信についての詳細を格納するeUICC410を備える。それによって、警報装置402は、1つ以上のMNOネットワーク412に接続可能となっている。一例として、
図4において、利用可能なMNOネットワーク412の事業者としてMNO XおよびMNO Yが示されている。
【0079】
警報ネットワーク400により、警報装置402と警報受信センター404との間に無線通信路が提供される。最初に、無線通信リンクが警報装置402とMNOネットワーク412との間に提供される。無線通信リンクは、4G通信規格であるロング・ターム・エヴォリューション(LTE)、3Gもしく2Gネットワークを用いたGS、3Gもしくは2Gを用いた符号分割多元接続(Code Division Multiple Access)(CDMA)または5Gネットワークによって提供されてもよい。セキュアな固定回線ルートが、インターネット416を介してMNOネットワーク412とMNOサーバ414との間に提供され、また、MNOサーバ414と無線通信ネットワーク418との間にも提供される。最後に、無線通信ネットワーク418は、警報受信センター404との無線通信リンクを有する。本実施形態において、セキュアな固定回線は、1つ以上の専用回線または仮想プライベートネットワーク(VPN)トンネルによって提供され、無線通信ネットワーク418は、例えば、BTまたはVirgin Mediaによって提供される。一部の実施形態では、無線通信路および有線通信路を含むいくつかの通信路が、警報ネットワーク400によって警報装置402と警報受信センター404との間に提供されてもよい。
【0080】
図5に、警報装置402およびeUICC410の構成要素を詳細に示す。警報装置402は、無線ネットワーク(例えば、5G/4G/3G/2G)上で送受信を行うように構成された無線モジュール406を備える。無線アンテナ408は、無線モジュール406に接続されており、無線ネットワークの周波数で動作するように構成されている。警報装置402は、無線モジュール406に接続された、フラッシュメモリおよび不揮発性メモリを含むメモリ(図示せず)を有するマイクロコントローラ403をさらに備える。マイクロコントローラ403は、送信用のデータ、および無線アンテナ408を介して無線モジュール406によって受信されたデータを処理する。マイクロコントローラ403は、このようなデータの送受信に関して無線モジュール406を制御する。他の一部の実施形態における警報装置402は、入力インターフェイス(図示せず)も有する。
【0081】
eUICC410は、セキュアメモリ436を有するプロセッサ434を備える。セキュアメモリ436には一組のプロファイルが保持されており、それぞれのプロファイルには異なるMNOネットワークが対応付けられている。eUICCをレジリエントにするため、それぞれのプロファイルは、独立したネットワークを運営するMNOに対応付けられている。1つのMNOネットワーク内には、接続性の問題が発生し得る多くの箇所が存在する。独立して設定されたMNOネットワークを用いることにより、MNOネットワークの両方において同時に接続性の問題が発生する確率が低くなるという利点がもたらされ、これにより、eUICCをよりレジリエントにすることが可能となる。例えば、個々のMNOネットワークは、異なるマストおよび無線アンテナを使用してもよい。レジリエンスをさらに向上させるため、それぞれのプロファイルは、他のプロファイルに対応付けられたMNOによって運営されるコアネットワークから独立したコアネットワークを運営するMNOに対応付けられてもよい。例えば、4G LTEネットワークにおいて、進化型パケットコア(EPC)は、LTEネットワークのコアの代表例である。EPCは、加入者情報、現在の位置、SIMの詳細および認証キーを格納するために用いられるホーム加入者サーバ(HSS)を含む、複数のノードで構成されている。プロファイルに対応付けられたMNOは、第1のEPCを用いるMNOにおける機能停止を、異なる第2のEPCを用いるMNOに切り替えることによって回避することができるように、LTEネットワークにおける独立したEPCにそれぞれ対応付けられている。MNOは、他のMNOに対してローミング契約を締結していてもよく、当該ローミング契約は、直接的なローミング関係であっても、GPRS roaming exchange(GRX)ハブを介した非直接的なローミング関係であってもよい。一例として、MNO XはMNO Zと直接的なローミング関係を有し、一方、MNO YはGRXハブを介してMNO Zに接続してもよい。独立したMNOネットワーク(例えば、MNO XおよびMNO Y)は、独立したGRXハブを用いてローミングMNO(MNO Z)にそれぞれ接続してもよく、あるいは、独立した設定を有する同じGRXハブおよびこれらのハブへの独立した相互接続を用いてもよい。
【0082】
これら異なるMNOは、同じプラットフォームを、物理的なインフラの分離を含む異なるインスタンス上で運営していてもよい(例えば、Ericsson DCP、Jasper)。例えば、これら2つのネットワークが異なる仮想マシンを使用していたとしても、同じ物理ハードウェアを共有することは容認されないだろう。選択されたMNOは独立したネットワークおよび独立プラットフォームまたは同じプラットフォームの異なるインスタンスのいずれかを運営しているため、1つのMNOネットワークにおける機能停止は、異なる独立ネットワークを運用するもう1つのMNOへの切替えによって回避することができる。
【0083】
本実施形態のeUICC410は、2つのプロファイル、すなわち、(i)MNO Yに対応付けられた「オペレーショナル・プロファイル」、および(ii)MNO Xに対応付けられた「ブートストラップ・プロファイル」を備える。これらのプロファイルを用いて、eUICC410は、MNO YネットワークまたはMNO Xネットワークのいずれかに接続可能である。本実施形態において、オペレーショナル・プロファイル440が現在アクティブであり、これは、eUICC410がMNO Yネットワークに接続されていることを意味する。
【0084】
一部の実施形態において、上記1組のプロファイルは、3つ以上のプロファイルを含み、それによって、eUICCを3つ以上のMNOネットワークに接続可能としてもよい。このような実施形態については、本明細書において、
図11a、
図11b、
図12a、
図12bおよび
図13を参照して後述する。
【0085】
本明細書において「アプレット」438と称するアルゴリズムを含む小規模ユーティリティプログラムがセキュアメモリ436(本明細書においてセキュア・トランスバーサル・ドメイン(secure transversal domain)とも称する)に保持されており、当該プログラムはプロセッサ434上で実行することができる。アプレット438は、MNO Yネットワークの接続性テストを実行する役割を担う。アプレット438がMNO Yネットワークにおいて接続性の機能停止を特定した場合、アプレットは、MNO Yネットワークに対応付けられたオペレーショナル・プロファイル440からMNO Xネットワークに対応付けられたブートストラップ・プロファイル442への切替えをeUICC410に対して要求するフォールバック処理を開始する。これにより、警報ネットワーク400におけるeUICC410の接続性が再確立される。フォールバック処理を開始する所定の時間フレームが経過した後、アプレット438は、フォールバック・キャンセル処理を開始し、当該処理により、eUICC410がフォールバック機構をキャンセルし、それによって、eUICC410をブートストラップ・プロファイル442からオペレーショナル・プロファイル440に再び切り替えることが可能となる。ひとたびこの切替えが行われると、eUICC410は、オペレーショナル・プロファイル440を介してMNO Yネットワークに再接続することが可能となる。eUICCがオペレーショナル・プロファイルとブートストラップ・プロファイルとの間で切替えを行うことを可能にする切替ロジックは、eUICC上にインストールされている。ブートストラップ・プロファイル442は、eUICCの製造時にインストールされており、無線(OTA)更新(OTA更新についての以下の記述を参照)によって異なるMNOに対応付けられるように変更可能である。以下に、
図7から
図10を参照し、アプレット438によって実行される処理について詳述する。
【0086】
アプレット438は、更新されたMNOプロファイルおよび資格情報ならびに構成設定をeUICC410に提供することが可能となるように、無線(OTA)で設定可能である。各MNOプロファイルは、eUICC SIM上のセキュア・トランスバーサル・ドメイン内のセキュアエリアにあり、したがって、アプレット438をこのようにOTAで設定するために、アプレット438自体がeUICC410上のセキュア・トランスバーサル・ドメインにあり、SIMカードに対するセキュアな接続を提供する。アプレット438自体は、OTAでインストールおよび更新することも可能である。アプレットおよび切替ロジックはいずれもeUICC上にあるため、任意のデバイスにeUICCを後付けすることが可能である。アプレットは、必要な3GPP/ETSI/GSMA規格で動作し、SIMアプリケーション・ツールキットを用いて開発されている。
【0087】
OTA更新を行うことを可能にする警報ネットワーク400の要素を
図6に示す。eUICC410の製造者兼ホスト型プラットフォーム提供業者444は、利用可能なMNOネットワーク412のうちの1つを用いて、警報装置402内にインストールされたeUICC410と通信状態にある。利用可能なモバイル通信事業者446は、製造者兼ホスト型プラットフォーム提供業者444と通信状態にある。製造者兼ホスト型プラットフォーム提供業者444は、モバイル通信事業者446からの情報を用いてeUICC410を遠隔設定することを可能にしている。利用可能なモバイル通信事業者446および製造者兼ホスト型プラットフォーム提供業者444は、警報装置402の遠隔設定および遠隔管理を可能にするマシン・ツー・マシン(M2M)管理システム448と集団的に通信状態にある。
【0088】
製造者兼ホスト型プラットフォーム提供業者444は、サブスクリプション・マネージャ・データ準備要素(SM-DP)450およびサブスクリプション・マネージャ・セキュアルーティング要素(SM-SR)452を有する。SM-DP450およびSM-SR452は、eUICC410を遠隔管理するための利用可能なモバイル通信事業者446によって使用される2つの主要なネットワーク要素である。本実施形態において、利用可能なモバイル通信事業者446は、SM-DP450を用いてその事業者プロファイルをセキュアに暗号化してeUICC410内にOTAでインストールする、MNO X454およびMNO Y456を含む。SM-DP450は、セキュアに暗号化されたプロファイルをSM-SR452に送信する。その後、SM-SR452は、暗号化されたプロファイルを受信し、次いで、暗号化されたプロファイルを無線通信を介してeUICC410にセキュアに配送する。eUICC410は、当該プロファイルを受信およびインストールし、ひとたびプロファイルがインストールされると、SM-SRは、eUICC410を遠隔管理する。
【0089】
換言すれば、SM-DP450は、MNOプロファイルをeUICC410上にセキュアにパッケージング化し管理する役割を担っており、MNOプロファイルを配送するために、eUICC410とSM-DP450との間に通信リンクを有効に確保する。SM-SR452は、eUICC410上でプロファイルを必要に応じてロード、可能化、不能化または削除するために、eUICC410にコマンドをセキュアに移送し、eUICC410上でプロファイルのステータスを管理する役割を担う。SM-SR452はまた、eUICC410のアプレット438専用に作成されたコンフィグレーションエリア(図示せず)も備える。コンフィグレーションエリアにより、アプレット438がeUICC410のセキュア・トランスバーサル・エリアにある場合であっても、OTA更新をSM-SR452から行うことが可能となる。あるいは、OTA更新は、SIMのOTAプラットフォームを介して行ってもよい。現在のシステムのほとんどにおいて、OTAサーバは、eUICCのトランスバーサルエリアにアクセスすることができず、eUICC上でアプレットを変更することができないため、OTAサーバに対して何らかの変更が必要となる。これに対処するため、eUICC410は、プロファイル、例えば、オペレーショナル・プロファイルまたはブートストラップ・プロファイル、あるいは、異なるプロファイル、例えば、保守用プロファイルを使用し得る。OTAサーバを変更するのは一度だけでよく、eUICC410のセキュア・トランスバーサル・ドメインへのアクセスが許可されるため、この問題に対処するために選択されたプロファイル(オペレーショナル・プロファイル、ブートストラップ・プロファイルまたは保守用プロファイル)により、アプレット438に対して変更を行うことが可能となる。
【0090】
以下に、
図7から
図10を参照し、アプレット438によって実行される処理について説明する。本実施形態においては、オペレーショナル・プロファイル440が現在アクティブであり、これは、eUICC410がMNO Yネットワークに接続されていることを意味する。アプレット438は、その処理を3つの主要な段階に分けて実行する。最初に、段階700において、アプレット438は、MNO Yネットワークの接続性をテストし、機能停止が発生しているか否かを特定する。アプレット438がMNO Yネットワークにおいて完全な接続機能停止を特定した場合、アプレット438は、段階900において、フォールバック処理を開始する。フォールバック処理は、eUICC410に対し、MNO Yネットワークに対応付けられたオペレーショナル・プロファイル440から、MNO Xネットワークに対応付けられたブートストラップ・プロファイル442に切り替えるよう要求する。これにより、警報ネットワーク400におけるeUICC410の接続性は、MNO Xネットワークを用いて再確立される。次に、段階1000において、アプレット438は、所定の時間フレームが経過した後、フォールバック・キャンセル処理を開始する。フォールバック・キャンセル処理により、eUICC410がフォールバック機構をキャンセルすることが可能となり、それにより、eUICC410をブートストラップ・プロファイル442からオペレーショナル・プロファイル440に再び切り替える。ひとたびこの切替えが行われると、eUICC410は、オペレーショナル・プロファイル440を介してMNO Yネットワークに再接続することが可能となる。
【0091】
上記のとおり、アプレット438は、MNO Yネットワークの接続性をテストする役割を担う。段階700の一部として、アプレット438は、まず、ステップ702において、MNO Yネットワークの接続性を所定回数テストする。次いで、アプレット438は、ステップ704において、接続性テストが成功したか否かをチェックする。テストが成功した場合、アプレット438は、ループバックし、ステップ702において、MNO Yネットワークの接続性を引き続きテストする。一方、テストが成功しなかった場合、アプレット438は、ステップ706に進み、MNO Yネットワークにおいて完全な接続機能停止が発生したか否かをチェックする。このチェックに基づいて、MNO Yネットワークにおいて完全な接続機能停止が発生したとアプレット438が判定した場合、アプレット438は、フォールバック処理を開始する処理である段階900に進む。一方、MNO Yネットワークにおいて完全な接続機能停止が発生していないとアプレット438が判定した場合、アプレット438は、ループバックし、ステップ702においてMNO Yネットワークの接続性を引き続きテストする。
【0092】
本実施形態において、
図8に示すように、アプレット438は、pingテストを用いてMNO Yネットワークに対するeUICCの接続性をテストする。pingテストは、eUICC410がインストールされている警報装置402が警報ネットワーク400を通じてサーバと通信可能であるか否かを判定するものである。pingテストは、この判定を、データパケットをサーバに送信し、データパケットがこれに応答して返信されるのを待つことによって行う。ネットワーク通信の確立が成功した場合、pingテストはまた、警報装置402とサーバとの間の接続待ち時間(ping(データパケット)が装置402に返されるのにかかる時間)も判定する。本実施形態において、アプレット438は、警報ネットワーク400における異なるサーバ、具体的には、サーバX、サーバYおよびサーバZ(図示せず)に対して一連のpingを実行する。これらのサーバは、独立しかつ地理的に分散している。
【0093】
アプレット438は、ステップ802において、サーバXに対してpingを送信する、すなわち「pinを実行する」ことによって、pingテストを開始する。次いで、アプレット438は、ステップ804において、pingに対する応答がサーバXから受信されたか否かをチェックする。アプレット438は、pingがサーバXに送信された直後に応答のチェックを開始する。pingに対する応答がサーバXから受信された場合、アプレット438は、ループバックし、ステップ802において、サーバXに対して再びpingを実行する。pingが実行された後にサーバXから応答が常に受信されるとき、これは、正常な動作、およびサーバXとMNO Yネットワークとの接続性を示す、接続性の心拍(heartbeat)となる。pingに対する応答が設定可能な所定期間、例えば、4秒以内にサーバXから受信されない場合、アプレット438は、ステップ806に進み、pingをサーバYに送信する。次いで、アプレット438は、ステップ808において、pingに対する応答がサーバYから受信されたか否かをチェックする。pingに対する応答がサーバYから受信された場合、アプレット438は、ループバックし、ステップ802において、サーバXに対して再びpingを実行することによってpingテストを再び開始する。pingに対する応答がサーバYから設定可能な所定期間、例えば、4秒以内に受信されない場合、アプレット438は、ステップ810に進み、pingをサーバZに送信する。次いで、アプレット438は、ステップ812において、pingに対する応答がサーバZから受信されたか否かをチェックする。pingに対する応答がサーバZから受信された場合、アプレット438は、ループバックし、ステップ802において、サーバXに対して再びpingを実行することによってpingテストを再び開始する。pingに対する応答が設定可能な所定期間、例えば、4秒以内にサーバZから受信されない場合、これは、連続した3回のpingテスト(すなわち、pingシーケンス)が不成功であったことを意味する。1回目の不成功pingシーケンスに続き、アプレット438は、次いで、当該pingシーケンスの実行を2回繰り返すために、ステップ802からステップ812をさらに2回繰り返す。3回目および最後のpingシーケンスにおいて、pingに対する応答がサーバZから受信されない場合、アプレットは、
図7に示すステップ706において、完全な接続機能停止が発生したか判定する。
【0094】
ステップ706において、アプレット438は、連続する3回の失敗pingシーケンスの発生に基づいて、eUICC410とMNO Yネットワークとの間で完全な接続喪失または「接続機能停止」が発生したか否かを判定する。MNO Yネットワークに対する完全な接続喪失が発生したとアプレット438が判定する場合、アプレット438は、ループバックし、ステップ702において、MNO YネットワークとのeUICC410の接続性を再テストする。一方、完全な接続喪失が発生していないとアプレット438が判定する場合、アプレット438は、段階900に進み、フォールバック処理を開始する。
【0095】
以下に、
図9を参照し、段階900においてアプレット438によって開始されるフォールバック処理についてより詳細に説明する。まず、アプレット438は、ステップ902において、eUICC410のプロセッサ434に対し、MNO Yネットワークに対応付けられたオペレーショナル・プロファイル440からMNO Xネットワークに対応付けられたブートストラップ・プロファイル442に切り替える要求を出す。同時に、アプレット438は、ステップ904において、eUICC410のプロセッサ434に対し、タイマを開始する要求を出す。
【0096】
フォールバック処理の一部として、無線モジュール406がMNO Xネットワークに接続するために、警報装置402の無線モジュール406のネットワーク設定をリフレッシュする必要がある。したがって、eUICCは、ステップ906において、無線モジュール406にリフレッシュコマンドを送信し、フォールバック処理の一部として、ネットワーク設定のリフレッシュを開始する。これにより、無線モジュールのネットワーク設定をMNO Xネットワークに更新することが可能となる。
【0097】
次いで、アプレットは、ステップ912において、eUICC410のプロセッサ434に対し、タイマを所定の閾値と照合するコマンドを送信する。この照合はステップ914において行われ、タイマが所定の閾値に到達した場合、処理は段階1000に進み、フォールバック・キャンセル処理を開始し、それにより、MNO Yネットワークに再接続する。一方、ステップ914における照合の結果が、タイマが所定の閾値に到達していないことを示す場合、処理はループバックし、ステップ912において、アプレット438は、プロセッサ434に対し、タイマを所定の閾値と照合するコマンドを再送する。
【0098】
以下に、
図10を参照し、段階1000においてアプレット438によって開始されるフォールバック・キャンセル処理についてより詳細に説明する。上述のとおり、フォールバック・キャンセル処理により、eUICC410はフォールバック機構をキャンセルすることができ、それにより、eUICC410はブートストラップ・プロファイル442からオペレーショナル・プロファイル440に再び切り替わる。アプレット438は、ステップ1002において、フォールバック・キャンセル処理を開始するタイムスロット(期間)を判定する。例えば、アプレット438は、所定期間の経過後、例えば、30秒毎に、当該所定期間が経過したことを示す入力を装置402から受信し、それによって、アプレット438が入力を受信するたびに、アプレット438はカウンタに1を加える。ひとたびカウンタが所定の回数、例えば、3回に達すると、アプレット438は、フォールバック・キャンセル処理を開始する。警報ネットワーク400には複数の警報装置402が存在すると考えられ、したがって、警報装置402のそれぞれにおけるeUICCは、本明細書に記載される処理を実行することができる。複数のeUICCが同時にオペレーショナル・プロファイルに再び切り替えられる場合、これは、いわゆる「シグナリングストーム(signalling storm)」発生させ、それにより、MNO Yネットワークを過負荷状態にし得る。これにより、さらなるMNOの機能停止が発生する可能性がある。アプレット438は、フォールバック・キャンセル処理が開始された後、オペレーショナル・プロファイル440へのeUICC410の再切替えを時間をかけて分散させるための内蔵機構を備える。これにより、オペレーショナル・プロファイル440に対応付けられたMNO、すなわち、本実施形態においてはMNO Yとのシグナリングストームを防止するという技術的課題が解決される。タイムスロットは、例えば、eUICCのIMEIコード、ICCIDコード、EIDコードまたはMISDENコードの最後の数字を用いることによって判定してもよい。タイムスロットは、他の方法で、例えば、ブートストラップ・プロファイル442からオペレーショナル・プロファイル440への切替えが行われるまでの時間を無作為化することによって判定してもよい。
【0099】
フォールバック・キャンセルが開始されるタイムスロットがひとたび判定されると、アプレット438は、ステップ1004において、プロセッサ434に対し、タイムスロットに到達したか否かを判定するコマンドを送信する。アプレット438は、それに応じて、ステップ1006に進み、現在の時間をタイムスロと照合する。すなわち、タイムスロットに到達していない場合、処理はループバックし、ステップ1004において、アプレット438は、タイムスロットに到達したか否かをチェックするコマンドをプロセッサ434に再送信する。タイムスロットに到達した場合、処理は継続し、ステップ1008において、アプレット438は、eUICC410のプロセッサ434に対し、MNO Xネットワークに対応付けられたブートストラップ・プロファイル442からMNO Yネットワークに対応付けられたオペレーショナル・プロファイル440に切り替える要求を出す。次いで、アプレット438は、ステップ1010において、MNO Yネットワークを用いて接続性が確立されているか否かをチェックする。MNO Yネットワークとの接続性が確立されていない場合、アプレット438は、MNO Xネットワークとの接続性を確立するために、フォールバック処理を開始して、eUICC410をオペレーショナル・プロファイル440からブートストラップ・プロファイル442に再び切り替える。すなわち、処理は、ステップ1012において、フォールバック処理を行うための段階900の最初にループバックする。一方、ステップ1010において、MNO Yネットワークとの接続性が確立されている場合、eUICC410はMNO Yネットワークへの接続に成功し、処理は終了する。
【0100】
本実施形態では、フォールバック・キャンセルを開始するタイムスロットを判定するために、フォールバック・キャンセル処理を開始する基準点として、時間、具体的には、2つの時点間の期間が測定され、閾値と比較されるが、他の手段も可能であることに留意されたい。例えば、アプレットは、eUICCと装置および/またはネットワークとの間の対話またはイベントトリガの回数をカウントし、そのような対話またはイベントが所定回数に到達してからフォールバック・キャンセル処理を開始してもよい。あるいは、アプレットは、時間、対話およびイベントの任意の組み合わせを用いて、フォールバック・キャンセル処理が開始される時点を判定してもよい。
【0101】
図4から
図10を参照して上記に説明した各実施形態において、eUICC410は、2つのプロファイル、すなわち(i)MNO Yに対応付けられたオペレーショナル・プロファイル440および(ii)MNO X対応付けられたブートストラップ・プロファイル442を備える。以下に、
図11a、
図11b、
図12a、
図12bおよび
図13を参照し、上記1組のプロファイルが3つ以上のプロファイルを含み、それにより、eUICCが3つ以上のMNOネットワークに接続可能となる実施形態について説明する。
【0102】
図11aおよび
図11bに、本発明の第2実施形態に係るeUICC1110を示す。第2実施形態は第1実施形態と同様であり、したがって、以下では、これらの実施形態の差異を中心に説明する。
【0103】
eUICC1110は、M2Mソリューションを提供する警報装置1102内にインストールされる。警報装置1102は、
図4を参照して上記に説明した警報ネットワークの一部を構成しており、警報ネットワークは、警報装置1102と遠隔警報受信センターとの間に通信チャネルを提供する。警報装置1102およびeUICC1110は、
図5に示す警報装置402およびeUICC410の特徴をそれぞれ備えるが、これらの特徴は
図11aには図示されていない。第1実施形態と第2実施形態との違いは、eUICC1110に格納されるプロファイルにある。eUICC1110は、4つのプロファイル、すなわち(i)MNO 1に対応付けられたブートストラップ・プロファイル1142a、(ii)MNO 2に対応付けられたオペレーショナル・プロファイル1140a、(iii)MNO 3に対応付けられた任意選択プロファイルA1143aおよび(iv)MNO 4に対応付けられた任意選択プロファイルB1144aを備える。eUICC1110内に備えられるプロファイルは、自らの物理ネットワークを運営する国において接続性を提供するMNOに対応付けられた国内プロファイルである点に留意されたい。したがって、国内プロファイルは、eUICC1110および警報装置が動作している国と同じ国において接続性を提供するMNOに対応付けられている。eUICCは、国内プロファイルに加えてローミングプロファイルも含んでいてもよく、これについては、第4実施形態に関連して
図13を参照してより詳細に説明する。
【0104】
図11aに示す国内プロファイルを用いて、eUICC1110は、MNO 1ネットワーク、MNO 2ネットワーク、MNO 3ネットワークまたはMNO 4ネットワークに接続可能である。
図11a示すように、本実施形態において、オペレーショナル・プロファイル1140aが現在アクティブであり、これは、eUICC1110がMNO 2ネットワークに接続されていることを意味する。ネットワーク接続性を提供する、すなわち、オペレーショナル・プロファイルに対応付けられているMNOネットワークは、警報ネットワークにおける警報サーバから選択することができる。任意選択プロファイルA1143aおよび任意選択プロファイルB1144aは、どのMNOがネットワーク接続性を提供するかについての制御を可能にするオプションとしてサーバにおいて提示されることになる。
【0105】
eUICC1110内のアプレット(
図11aおよび
図11bに図示せず)は、
図7から
図10のフローチャートを参照して上記に詳述した処理を実行することができる。すなわち、アプレットは、オペレーショナル・プロファイル1140aに対応付けられたMNO 2ネットワークの接続性をテストし(段階700、
図7)、MNO 2ネットワークに対する接続性の喪失が発生した場合、アプレットは、フォールバック処理を開始して、ブートストラップ・プロファイル1142aに対応付けられたMNO 1ネットワークとの接続性を再確立する(段階900、
図7)。所定の時間フレームが経過した後、アプレットは、フォールバック・キャンセル処理を開始し、MNO 2ネットワークに再接続する(段階1000、
図7)。
【0106】
図11bは、MNO 3がネットワーク接続性を提供することができるように任意選択プロファイルA1143aが選択された後のeUICC1110内のプロファイルを示す。したがって、
図11bのオペレーショナル・プロファイル1140bは、MNO 3ネットワークに対応付けられている。ブートストラップ・プロファイル1142bは、MNO 1ネットワークに対応付けられたままである。任意選択プロファイルA1143bは、MNO 2ネットワークに対応付けられており、当該プロファイルは、必要に応じて、MNO 2ネットワークに再び切り替えることができる。任意選択プロファイルB1144bは、MNO 4ネットワークに対応付けられたままである。
【0107】
あるいは、
図11aおよび
図11bに示すeUICC1110は、スマートフォンなどの消費者デバイスにインストールされ得る。この場合、ネットワーク接続性を提供するMNOネットワーク、すなわち、オペレーショナル・プロファイルに対応付けられたMNOネットワークは、当該デバイスのユーザによって選択されてもよい。タッチスクリーンなどの入力装置を介して、消費者デバイスは、ネットワーク接続性を提供するMNOをユーザが積極的に選択することを可能にするオプションとして、任意選択プロファイルA1143aおよび任意選択プロファイルB1144aを提示してもよい。任意選択プロファイル1143aおよび1144aのうちの一方に切り換えた後、ユーザは、必要に応じて、任意選択プロファイルA1143bを選択することによってMNO 2ネットワークに再び切り替える選択肢を有する。
【0108】
図12aおよび
図12bに、本発明の第3実施形態に係るeUICC1210を示す。第3実施形態は第2実施形態と同様であり、したがって、以下では、第2実施形態と第3実施形態との差異を中心に説明する。
【0109】
eUICC1210は、仮想モバイル通信事業者(MVNO)に対応付けられたプロファイルを備え、それぞれのMVNOは、MNOのネットワークインフラを用いて各自の顧客にサービスを提供できるような契約をMNOと締結している。
【0110】
したがって、eUICC1210は、MVNO X1に対応付けられたブートストラップ・プロファイル1242aを備える。MVNO X1は、MNO Xのネットワークインフラを使用する契約をMNO Xと締結している。
【0111】
eUICC1210は、MVNO Y1に対応付けられたオペレーショナル・プロファイル1240aをさらに備える。MVNO Y1は、MNO Yのネットワークインフラを使用する契約をMNO Yと締結している。
【0112】
eUICC1210は、2つの追加プロファイル1241a、1243aを備える。第1の追加プロファイル1241aは、MNO Xと契約を締結しているMVNO X2に対応付けられている。第2の追加プロファイル1243a(以下および
図12aにおいて「任意選択プロファイルA」1243aと称する)は、MNO Yと契約を締結しているMVNO Y2に対応付けられている。
【0113】
これらのプロファイルを用いて、eUICC1210は、MNO XネットワークまたはMNO Yネットワークに対し、それぞれに対応付けられたMVNOのうちの一方を介して接続可能である。
図12aに示すように、本実施形態において、オペレーショナル・プロファイル1240aが現在アクティブであり、したがって、eUICC1210は、MNO Yネットワークに接続されている。ネットワーク接続性を提供するMNOネットワークは、装置1202がM2Mデバイスである場合は、サーバ(図示せず)において選択されてもよく、あるいは、装置1202が消費者デバイスである場合は、タッチスクリーンなどの入力装置(図示せず)を介してユーザによって選択されてもよい。フォールバック処理およびフォールバック・キャンセル処理が有効となるためには、オペレーショナル・プロファイルおよびブートストラップ・プロファイルは、異なるMNOに対応付けられる必要がある。ブートストラップ・プロファイル1242aはMNO Xに対応付けられているので、MVNO Y2を介してMNO Yに対応付けられた任意選択プロファイルA1243aは、代替プロファイルが所望される場合には、他の唯一のオプションとして提示される。MVNO X2に対応付けられた第1の追加プロファイル1241aは、現在、選択に利用できない。
【0114】
eUICC1210内のアプレット(
図12aおよび
図12bのいずれにも図示せず)は、
図7から
図10のフローチャートを参照して上記で詳述した処理を実行することができる。
【0115】
図12bは、MNO YがMVNO Y2を介してネットワーク接続性を提供することができるように任意選択プロファイルA1243aが選択された後のeUICC2110内のプロファイルを示す。したがって、
図12bのオペレーショナル・プロファイル1240bは、MVNO Y2に対応付けられている。サーバ(装置1202がM2Mデバイスである場合)またはユーザ(装置1202が消費者デバイスである場合)は、必要に応じて、任意選択プロファイルB1243bを用いてMVNO Y1に再び切り替えることができる。ブートストラップ・プロファイル1242bは、MVNO X1に対応付けられたままである。しかし、ブートストラップ・プロファイル1242bはOTAで設定可能であるので、別のプロファイルに対応付けられながらも、オペレーショナル・プロファイルとは異なるMNO上にあるように、例えば、MVNO X2に対応付けられた追加プロファイル1241bを用いて、変更が可能である。
【0116】
図13に、本発明の第4実施形態に係るeUICC内に備えられるプロファイルを示す。第4実施形態は第2実施形態と同様であり、したがって、以下では、第2実施形態と第4実施形態との差異を中心に説明する。第2実施形態のeUICCは、自らの物理ネットワークを運営する国においてそれぞれが接続性を提供するMNOに対応付けられた国内プロファイルを備える。したがって、国内プロファイルは、eUICCおよび警報装置が動作している国と同じ国において接続性を提供するMNOに対応付けられている。
【0117】
これに対し、本実施形態のeUICCは、国内プロファイルに加え、ローミングプロファイルを備える。ローミングプロファイルにより、第1の国で動作しているeUICCが、第2の国で動作しているMNOネットワークにアクセスすることが可能となる。よって、eUICCには、国内ネットワークアクセスに加えて、ローミングネットワークアクセスが提供される。したがって、eUICCは、ローミングプロファイルを介して、プロファイルを提供するMNOがローミング契約を締結している利用可能なネットワークにアクセスを有する。
【0118】
図13に示すように、eUICCは、4つの国内プロファイル1302、1304、1306、1308および4つのローミングプロファイル1310、1312、1314、1316を備える。これらのプロファイルのそれぞれは、異なるMNOに対応付けられている。具体的には、国内プロファイルは、eUICCと同じ国で動作するMNO 1、MNO 2、MNO 3およびMNO 4にそれぞれ対応付けられている。ローミングプロファイルは、eUICCとは異なる国で動作するMNO A、MNO B、MNO CおよびMNO Dにそれぞれ対応付けられている。国内プロファイルの場合、国内オペレーショナル・プロファイル1304は、MNO 2に対応付けられ、国内ブートストラップ・プロファイル1302は、MNO 1に対応付けられている。
【0119】
先の実施形態と同様、現在のオペレーショナル・プロファイルおよびブートストラップ・プロファイルとは異なるMNOにそれぞれが対応付けられた任意選択国内プロファイル1306、1308のうちの1つが、国内オペレーショナル・プロファイルとして機能するように選択されてもよい。
【0120】
図14に、国内プロファイルおよびローミングプロファイルが本実施形態のアプレットによって利用される処理を示す。まず、アプレットは、ステップ1402において、国内オペレーショナル・プロファイル1304、すなわち、MNO 2に対応付けられたMNOネットワークの接続性をテストする。次いで、アプレットは、ステップ1404において、接続性テストが成功したか否かをチェックする。接続性テストが成功した場合、処理は、ループバックし、ステップ1402において、引き続き接続性をテストする。接続性テストが成功しなかった場合、処理は、ステップ1406において、引き続き、MNO 2ネットワークとの完全な接続喪失が発生したか否かをチェックする。アプレットが接続性の喪失が発生していないと判定する場合、処理は、ループバックし、ステップ1402において、引き続き接続性をテストする。一方、MNO 2ネットワークとの接続性の喪失が発生したと判定された場合、装置は、その旨をeUICCに通知する。アプレットは、この通知後に、接続性を見つけるのに利用可能なローミング事業者を探すために、所定時間をeUICCに割り当てる。一実施形態において、アプレットは、いくつかのネットワーク、典型的には3つのネットワークにわたってローミングするのに十分な時間をSIM/装置に割り当てる。eUICCが所定時間以内にローミング事業者を介して接続性を見つけられない場合、アプレットは、フォールバック処理およびフォールバック・キャンセル処理をトリガする。
【0121】
ひとたび接続性の喪失が通知されると、eUICCまたは装置は、ステップ1408において、利用可能なローミング事業者が存在する否かをチェックする。利用可能なローミング事業者が存在するとeUICCが判定する場合、eUICCは、ステップ1414において、その利用可能なローミング事業者に切り替える。ひとたび利用可能なローミング事業者に接続されると、アプレットは、ステップ1414においても、ローミング事業者に対応付けられたMNOの接続性をテストする。アプレットによって行われる接続性テストは、ステップ1402、1404および1406において行われるものと同様である。
【0122】
ローミング処理は、eUICCが利用可能なローミング事業者間でローミングを行って接続性を見つけることを効果的に可能にする。利用可能なローミング事業者が存在しない場合、アプレットは、上述した実施形態と同様に、ステップ1410および1412に従ってフォールバック処理およびフォールバック・キャンセル処理の開始に進む。
【0123】
この処理により、eUICCは、MNO間で切替えを行うことが可能となり、したがって、接続性が初期に失われたときに、接続性を提供することが可能なローミング事業者を迅速に特定し得る。有利には、これによって第1のレジリエンス層が提供される。
【0124】
以下に、
図15から
図17を参照し、アプレットによって実行される接続性テストについてより詳細に説明する。
図15は、接続性テストとしてpingを使用し、その後、
図7から
図9を参照して上記で説明したフォールバック処理を開始する処理を概略的に示す。具体的に、これらの図面は、各pingテストがサーバX、サーバYおよびサーバZに対してpingを実行することを含む、実行中の一連のpingテストおよび各テストの結果を示す。第1のpingテスト1502の結果、3つのサーバ全てからping応答が受信される。一方、第2のpingテスト1504の結果、ping応答は受信されない。接続性テストは、第3のpingテスト1506、その後、第4のpingテスト1508に進み、どちらのテストによっても、いずれのサーバからもping応答は受信されない。pingテストが連続して3回失敗すると、ステップ902においてフォールバック処理がトリガされ、ステップ904においてフォールバックタイマが開始されることになる。
【0125】
図16に、ping接続性テストをより詳細に示す。ping接続性テストは、ステップ1602において開始し、同ステップにおいては、オペレーショナル・プロファイルがアクティブである。ステップ1604において、アプレット(図示せず)は、カウンタを0に設定する。次に、アプレットは、ステップ1606において、サーバXに対してpingを実行する。アプレットがサーバXからping応答を受信する場合、処理は、ステップ1608において、アプレットが[X]秒([X]は、サーバXに対するpingの繰返し試行間の秒数を表す所定の秒数)間待機する待機状態に移行する。一方、アプレットがサーバXからping応答を受信しない場合、処理は継続し、アプレットは、ステップ1610において、サーバYに対するpingの実行に進む。アプレットがサーバYからping応答を受信する場合、処理は、ステップ1612において、ステップ1606でサーバXに対してpingを再実行するまでにアプレットが[X]秒間待機する待機状態に移行し、それにより、pingシーケンスを再び開始する。一方、アプレットがサーバYからping応答を受信しない場合、処理は継続し、アプレットは、ステップ1614において、サーバZに対するpingの実行に進む。最後に、アプレットがサーバZからping応答を受信する場合、処理は、ステップ1616において、ステップ1606でサーバXに対してpingを再実行するまでに[X]秒間アプレットが待機する待機状態に移行し、それにより、pingシーケンスを再び開始する。一方、アプレットがサーバZからping応答を受信しない場合、処理は継続し、ステップ1618においてカウンタに1を追加する。
【0126】
次いで、アプレットは、ステップ1620において、カウンタの値をチェックして、[N]個以上の失敗pingシーケンスがあったか否かを判定する([N]は、アプレットがフォールバック処理をトリガするのに必要な失敗pingシーケンス数を表す所定の値)。すなわち、アプレットは、カウンタがN以上であるか否かをチェックする。このチェックの結果が否定的である場合、アプレットは、ステップ1622において、[Z]秒間待機する([Z]は、pingシーケンスを再び開始するまでに待機する秒数を表す所定の数)。[Z]秒経過後、アプレットは、ステップ1606において、サーバXに対してpingを実行することによりpingシーケンスを再び開始する。ステップ1620における上記チェックの結果が肯定的である場合、すなわち、カウンタがN以上である場合、アプレットは、ステップ1624においてフォールバック処理を開始し、同時に、ステップ1626においてフォールバック・キャンセル・タイマを開始する。ステップ1624および1626は、それぞれ、
図9のステップ902および904と同様であると理解される。したがって、
図9および
図10における以降のステップもまた本実施形態に適用される。
図16の処理フローにおいては、eUICCのオペレーショナル・プロファイルが現在アクティブであることに留意されたい。ping接続性テストは、オペレーショナル・プロファイルの代わりにブートストラップ・プロファイルがアクティブである場合、例えば、フォールバック処理が既に実行され、ブートストラップ・プロファイルへの切替えが行われた場合にも同様に行われ得る。以下に、
図17を参照し、この場合における処理フローについて説明する。
【0127】
アプレットは、
図17に例示するように、ping接続性テストを実行し、フォールバック処理およびフォールバック・キャンセル処理を開始する間、ステートマシンを維持する。ステートマシンが様々な状態を有することによって、eUICCは確実に接続状態のままとなる。
図17に示す状態および処理フローは、例示のみを目的としていることに留意されたい。処理の開始時において、eUICCは、第1のMNOネットワークであるMNO 1に対応付けられたオペレーショナル・プロファイル(プロファイル1)を使用する。プロファイル1はeUICCに対して接続性を提供しているため、状態1702において、アプレットは、プロファイル1を「良好」として記録する。アプレットは、サーバX、Y、Zに対してpingを実行してpingシーケンスを作成することにより、MNO 1ネットワークとの接続性をテストする。状態1704において、アプレットは、肯定pingシーケンス、すなわち、3つのサーバ全てからping応答が受信されたことを記録する。次いで、アプレットは、pingテストを繰り返す。状態1706において、アプレットは、否定pingシーケンス、すなわち、サーバからping応答が受信されなかったことを記録する。アプレットは、状態1708においてpingテストをさらに2回繰り返し、状態1710において第2の否定pingシーケンスおよび第3の否定pingシーケンスをそれぞれ記録する。アプレットは、3つの連続する否定pingシーケンスがあったことを確認し、その結果、フォールバック処理を開始する。フォールバック処理は、現在アクティブであるプロファイルをオペレーショナル・プロファイルから、第2のMNOネットワークであるMNO 2に対応付けられたブートストラップ・プロファイル(プロファイル2)に切り替える。同時に、フォールバック・キャンセル・タイマが開始される。
【0128】
ひとたびフォールバック処理が実行されると、アプレットは、以下の2つの状態のうちの一方の状態になり得る。すなわち、状態1712において、プロファイル2がeUICCに対して接続性を提供しない第1の状態、および状態1722において、プロファイル2がeUICCに対して接続性を提供する第2の状態である。状態1712(接続性無し)から開始して、アプレットは、続いて、上述のpingテストを用いて、プロファイル2を介したMNO 2ネットワークに対する接続性をテストする。状態1714、1716および1718において、アプレットは、3つの連続する否定pingシーケンスを記録する。アプレットは、3つの連続する否定pingシーケンスがあったことを確認し、その結果、フォールバック・キャンセル処理を開始する。フォールバック・キャンセル処理は、現在アクティブであるプロファイルをブートストラップ・プロファイル(プロファイル2)から、MNO 1ネットワークに対応付けられたオペレーショナル・プロファイル(プロファイル1)に再び切り替える。ひとたびフォールバック・キャンセル処理が実行されると、アプレットは、以下の2つの状態のうちの一方の状態になり得る。すなわち、状態1720において、プロファイル1がeUICCに対して接続性を提供しない第1の状態、および状態1702においてプロファイル1がeUICCに対して接続性を提供する第2の状態である。状態1720において接続性が記録されていない場合、アプレットは、続いて、pingテストを用いて、プロファイル1を介したMNO 1ネットワークの接続性をテストし、したがって、状態1706、1708、1710が繰り返される。状態1702においてプロファイル1を介したMNO 1ネットワークに対する接続性が記録されている場合、アプレットは、続いて、pingテストを用いて、プロファイル1を介したMNO 1ネットワークに対する接続性をテストし、状態1704が繰り返される。
【0129】
状態1722に移り、ひとたびフォールバック処理が実行されると、プロファイル2は、eUICCに対して接続性を提供する。アプレットは、続いて、上述の通り、pingテストを用いて、プロファイル2を介したMNO 2ネットワークに対する接続性をテストする。状態1724において、アプレットは、肯定pingシーケンスを記録する。この段階において、アプレットは、フォールバック・キャンセル・タイマが満了したか否かをチェック中である。当該タイマが満了した場合、状態1732において、アプレットは、フォールバック・キャンセル・タイマの満了を記録し、フォールバック・キャンセル処理を開始する。あるいは、フォールバック・キャンセル・タイマが満了していない場合、アプレットは、pingテストを繰り返す。状態1726、1728および1730において、アプレットは、3つの連続する否定pingシーケンスを記録する。アプレットは、3つの連続する否定pingシーケンスがあったことを確認し、その結果、フォールバック・キャンセル処理を開始する。
【0130】
フォールバック・キャンセル処理は、現在アクティブであるプロファイルをブートストラップ・プロファイル(プロファイル2)から、MNO 1ネットワークに対応付けられたオペレーショナル・プロファイル(プロファイル1)に再び切り替える。ひとたびフォールバック・キャンセル処理が実行されると、アプレットは、以下の2つの状態のうちの一方の状態になり得る。すなわち、状態1734において、プロファイル1がeUICCに対して接続性を提供しない第1の状態、および状態1702において、プロファイル1がeUICCに対して接続性を提供する第2の状態である。状態1734において接続性が記録されていない場合、アプレットは、続いて、pingテストを用いて、プロファイル1を介したMNO 1ネットワークに対する接続性をテストし、したがって、状態1706、1708、1710が繰り返される。状態1702においてプロファイル1を介したMNO 1ネットワークに対する接続性が記録されている場合、アプレットは、続いて、pingテストを用いて、プロファイル1を介したMNO 1ネットワークに対する接続性をテストし、状態1704が繰り返される。
【0131】
次に
図18を参照すると、フォールバック処理およびフォールバック・キャンセル処理中にアプレットが行うステップがより詳細に示される。
図18の処理フローは、
図16の処理フローのステップ1618におけるチェックの肯定的な結果から続くものである。具体的には、ステップ1620(
図16)におけるチェックの結果が肯定的である場合、すなわち、カウンタがN以上である場合、処理は、続いて、ステップ1802(
図18)において、eUICCにおいて現在どのプロファイルがアクティブであるかを示すプロファイルロード済みフラグ(Profile Loaded Flag)をチェックする。プロファイルロード済みフラグがオペレーショナル・プロファイルが現在アクティブであることを示している場合、処理は、続いて、ステップ1804においてフォールバック処理をトリガし、同時に、ステップ1806においてフォールバック・キャンセル・タイマを開始する。したがって、
図18に示すステップ1804および1806は、
図16に示すステップ1624および1626と同様である。
【0132】
フォールバック処理をトリガした後、アプレットは、ステップ1808において、オペレーショナル・プロファイルとの接続を切断し、その後、ステップ1810において、ブートストラップ・プロファイルに接続する。アプレットがブートストラップ・プロファイルに接続された後、アプレットは、ステップ1812において、プロファイルロード済みフラグをブートストラップ・プロファイルに更新し、ブートストラップ・プロファイルのコンテキスト設定をロードする。
【0133】
ステップ1806においてアプレットによって開始されるフォールバック・キャンセル・タイマは、所定時間、すなわち、[H]時間に設定される。したがって、アプレットは、ステップ1814において[H]時間待機し、ひとたび制限時間に達すると、アプレットは、ステップ1816においてフォールバック・キャンセル処理をトリガする。ひとたびフォールバック・キャンセル処理がトリガされると、アプレットは、ステップ1818において、フォールバック・キャンセル・タイマをキャンセルする。フォールバック・キャンセル処理自体に、ステップ1820においてアプレットがブートストラップ・プロファイルとの接続を切断し、ステップ1822においてオペレーショナル・プロファイルに接続することが含まれる。次に、アプレットは、ステップ1824において、所定時間、すなわち、[T]分のSIMトリガタイマを開始する。SIMトリガタイマにより、eUICCは、フォールバック・キャンセル・タイマが満了し、フォールバック・キャンセル処理が完了してから、一定期間、確実に待機することになる。これは、他の実施形態において前述したようなシグナリングストームを回避するために、eUICCをオペレーショナル・プロファイルおよび対応するMNOネットワークに戻す時期をずらす(例えば、ランダムな遅延期間ずつ)ものである。ステップ1826において、アプレットは、[T]分に達したか否かをチェックし、次いで、ステップ1812において、プロファイルロード済みフラグをオペレーショナル・プロファイルに更新し、同じくステップ1812において、オペレーショナル・プロファイルのコンテキスト設定をロードする。
【0134】
ステップ1802において、ブートストラップ・プロファイルがeUICCにおいて現在アクティブであることをプロファイルロード済みフラグが示している場合、処理は、ステップ1816に直接進み、フォールバック・キャンセル処理トリガし、オペレーショナル・プロファイルに切り替える。
【0135】
図19は、国内プロファイルおよびローミングプロファイルのためのping接続性テストならびにフォールバック処理およびフォールバック・キャンセル処理においてアプレットによって使用されるタイミングをまとめた表を示す。第一に、[N]1902は、アプレットがフォールバック処理をトリガするために必要な失敗pingシーケンスの試行回数である。
図16に示すように、アプレットは、カウンタが[N]以上であるか否かを確認して、フォールバック処理をトリガする必要があるか否かをチェックする(ステップ1620を参照)。
【0136】
第二に、[X]1904は、接続性テスト時にアプレットがpingの試行間に待機する秒数である。
図16に示すように、サーバX、YおよびZのそれぞれに対してpingを実行した後、アプレットは、サーバXに対して再びpingを実行するまでに[X]秒間待機する(ステップ1608、1612および1616を参照)。
【0137】
第三に、[Z]1906は、pingシーケンスを再び開始するまでにアプレットが待機する秒数である。
図16に示すように、1つのpingシーケンスが完了した後、ステップ1620でのチェックが否定的である場合、アプレットはカウンタに1を加え、次いで、ステップ1622において、サーバXに対してpingを再実行してpingシーケンスを再び開始するまでに[Z]秒間待機する。
【0138】
第四に、[H]1908は、フォールバック・キャンセル処理までにアプレットが待機する時間数である。
図18に示すように、ステップ1806においてフォールバック・キャンセル・タイマが開始され、アプレットは、ステップ1814において、経過時間を監視するタイマを用いて[H]時間待機し、その後、ステップ1816においてフォールバック・キャンセル処理をトリガする。
【0139】
第五に、[T]1910は、フォールバック・キャンセル・タイマが満了し、フォールバック・キャンセル処理を実行してからアプレットが待機する分数である。
図18に示すように、ステップ1824において、[T]を監視するために、SIMトリガタイマが用いられる。これは、シグナリングストームを回避するために、eUICCをオペレーショナル・プロファイルおよび対応するMNOネットワークに戻す時期をずらすものである。
【0140】
最後に、アプレットがフォールバック処理をトリガするまでの予想合計時間は、国内プロファイルのみが使用されている場合はおよそ[3]分から[5]分であり、国内プロファイルだけでなく、ローミングプロファイルも使用されている場合はおよそ[6]分から[15]分である。eUICC上でローミングプロファイルが使用されている場合、アプレットは、MNO間のローミング処理に干渉することはなく、フォールバック処理をトリガする前に、1つのMNOとの接続を切断し、ローミングを行って別のMNOに接続することができるための十分な時間をeUICCに確実に割り当てる。典型的には、3つまたは4つのMNOが所与の国において存在する。したがって、アプレットは、装置およびeUICCがローミングMNOを循環するために[3]分から[15]分間の設定可能時間を割り当てる。割り当てられる時間は、eUICCを用いて供給されるサービスの重要性によって異なる。
【0141】
前述したように、フォールバック・キャンセルのトリガの後、時間をかけてeUICCをオペレーショナル・プロファイルに戻すことは、シグナリングストームおよびさらなる機能停止を回避するのに役立つ。一部の実施形態では、アプレットは、乱数(これは、例えば、ICCID(集積回路カード識別子)、ホスト装置のIMEI(International Mobile Equipment Identity)、ネットワークによって装置に割り当てられたMISDIN(Mobile Station International Subscriber Directory Number)等から取った数字であってもよい)および対応付けられたタイムスロットを用いる。アプレットは、上記乱数に対応付けられた特定のタイムスロットに到達するまで、フォールバック・キャンセル処理が実行されないようにする。すなわち、アプレットは、フォールバック・キャンセル処理を遅延する。例として、ICCID番号が2で終わる場合、割り当てられるタイムスロットは、最初のフォールバック・キャンセル・タイマが満了してから12分から18分となる。したがって、eUICCのアプレットは、最初のフォールバック・キャンセル・タイマが満了してからフォールバック・キャンセル処理を実行までに12分待機する。
【0142】
図20に、ICCID番号の最後の数字を用いた他の考えられるタイムスロットの判定の一例を示す。例えば、ICCID番号の最後の数字が4である場合(
図20の2002を参照)、割り当てられるタイムスロットは、フォールバック・キャンセル・タイマが満了してから24分から30分である(
図20の2004を参照)。他の実施形態においては、ICCID番号のランダムな数字を代わりに用いても良い。
【0143】
アプレットの要素は、コンテキスト設定を介して設定することができる。これらのコンテキスト設定により、環境に関する情報、アプレットの動作方式およびアプレットがテストを行い、イベントをトリガすべき方法に関する情報がアプレットに提供される。アプレットは、国内プロファイルが使用されているかあるいはローミングプロファイルが使用されているかに基づいて設定することできる。
図21に、アプレットの設定可能要素をまとめた表を示す。
【0144】
pingシーケンスを完成するためにアプレットに割り当てられる合計時間2102は、設定可能である。本実施形態においては、これは、ローミングプロファイルの場合は6分から15分、国内プロファイルの場合は3分から5分に設定されている。アプレットの他の設定可能要素には、接続性pingテストに用いられるpingシーケンス番号2104および対応するpingサーバ2106のインターネットアドレスが含まれる。これらの要素は、MNOがIPアドレスをブラックリストに載せて、特定のサーバに対してpingが実行されないようにしている場合や、サーバが閉鎖され、閉鎖されたサーバを別のサーバに置き換える必要がある場合に、特に重要である。加えて、pingテストは、サーバがヨーロッパに位置し、eUICCがオーストラリアで使用され、誤ってフォールバック処理をトリガした場合、待ち時間の問題を有し得る。
【0145】
さらに、pingシーケンス間のタイミング2108([X]に相当)、フォールバック処理をトリガする前の失敗pingシーケンス試行回数2110([N]に相当)およびpingにおける待ち時間2112、すなわち、失敗pingとみなされる前にpingが戻るのにかかる時間といった、アプレットによって使用されるパラメータを設定することができる。
【0146】
「アプレット・プラットフォーム間同期」により、アプレットからMNOプラットフォームにリアルタイム情報が直接提供される。MNOプラットフォームがアプレットからのpingの受信に失敗した場合、MNOプラットフォームは、MNOネットワークのVisitor Location Record(VLR)に対する、eUICCへの接続のリセット要求を自動化することができる。この要求は、本明細書において、「ロケーションキャンセル」要求と称される。
図22は、アプレット・プラットフォーム間同期およびロケーションキャンセル要求のトリガのための処理を示す。
【0147】
まず、アプレットは、ステップ2202において、MNOプラットフォーム上のサーバに対してpingを実行する。次いで、サーバは、ステップ2204において、受信されたpingを記録し、その後、サーバは、ステップ2206において、タイマAを開始する。次いで、アプレットは、ステップ2208において、サーバに対して再びpingを実行し、サーバは、ステップ2210において、この第2のpingを記録する。ひとたび第2のpingが記録されると、サーバは、ステップ2212においてタイマAを停止すると同時に、ステップ2216においてタイマBを開始する。サーバは、ステップ2214において、タイマAからの時間をサーバに対応付けられたデータベースに格納する。したがって、格納されたタイマAからの時間は、サーバによって記録された第1のpingと第2のpingとの間の時間を表す。次に、アプレットは、ステップ2218において、サーバに対し、第3のpingを実行し、サーバは、ステップ2220において、この第3のpingを記録する。ひとたび第3のpingが記録されると、サーバは、ステップ2222において、タイマAを再び開始すると同時に、ステップ2224においてタイマBを停止する。サーバは、ステップ2226において、タイマBからの時間をサーバに対応付けられたデータベースに格納する。しがって、格納されたタイマBからの時間は、サーバによって記録された第2のpingと第3のpingとの間の時間を表す。
【0148】
処理は、続いて、ステップ2228において、サーバがping間の時間を所定の時間閾値と照合する。すなわち、サーバは、第1のpingと第2のpingとの間の時間について格納されたタイマAからの時間、および第2のpingと第3のpingとの間の時間について格納されたタイマBからの時間をチェックする。タイマAおよびタイマBがいずれも所定の閾値未満である場合、このチェックは合格であり、処理は、第2のpingから、すなわち、サーバの介入なしにループバックし、ステップ2208において、サーバに対して再びpingを実行する。一方、ping間の時間がこのチェックに合格しなかった場合、これは、pingがサーバに時間内に到達していない(すなわち、ping間の時間が所定の時間閾値を超える)ことを示し、サーバは、ステップ2230において、タイマYが開始されたか否かをチェックする。
【0149】
まだ開始されていない場合、サーバは、ステップ2232において、タイマYを開始する。タイマYが開始されている場合、サーバは、ステップ2234において、タイマYが20分以上であるか否かをチェックする。このチェックの結果が否定的である場合、すなわち、タイマYが20分未満である場合、処理は、第2のpingからループバックし、ステップ2208において、サーバに対してpingを再び実行する。ステップ2234におけるチェックの結果が肯定的である場合、すなわち、タイマYが20分以上である場合、サーバは、ステップ2236において、MNOプラットフォームのAPIを呼び出し、MNOネットワークのVLRに対してロケーションキャンセル要求を送信して、eUICCへの接続をキャンセルする。
【0150】
ロケーションキャンセル要求は、MNOネットワークに、eUICCをMNOネットワークから切り離させる要求である。これにより、強制的に、eUICCはMNOへの接続を再び開始することになり、eUICCへの接続が有効にリセットされる。次いで、サーバは、ステップ2238において、入力pingを待ち、次いで、ステップ2202からの処理を再び開始する。本ステップにおいてサーバが待つ時間は設定可能であるが、典型的には約10分である。サーバが入力pingを受信しない場合、これは、装置および/またはeUICCにパワーダウンおよび/または故障が発生したことを示している可能性がある。
【0151】
eUICCへの接続は、フォールバック処理が開始される前にこのようにしてリセットされ得る。例えば、eUICCは、オペレーショナル・プロファイル上にある状態で、接続性の問題に直面する場合がある。接続性の問題は、ロケーションキャンセル要求に基づいて接続をリセットするだけで解消できる場合がある。あるいは、接続は、フォールバック処理が開始された後、再び開始され得る。例えば、eUICCがオペレーショナル・プロファイルからブートストラップ・プロファイルに切り替わった後、ネットワーク輻輳などのMNOネットワークに関する問題によって、あるいは無線モジュールをリセットする必要があるという理由で、eUICCはオフラインのままとなる場合がある。フォールバック処理が開始された後にeUICCへの接続をリセットすることは、ネットワーク問題を解消し、かつ/または、故障もしくはクラッシュした装置上の無線モジュールをリセットし、それによってeUICCの再接続を可能にするという効果を奏し得る。
【0152】
さらに、アプレット・プラットフォーム間同期により、ネットワーク上の大規模な問題についてネットワーク・オペレーション・センターに対して警告することが可能となり、ネットワーク・オペレーション・センターは、フォールバック処理が開始される前に、MNOを用いて当該問題の解決に着手することができる。また、アプレット・プラットフォーム間同期により、顧客に対して、各自のeUICCにおけるネットワークの差し迫った変更について自動的に警告することが可能となる。
【0153】
本発明の実施形態では、接続性テストとしてpingの実行が採用されているが、本発明のいずれの実施形態においても、潜在的な問題を特定するために別の接続性テストが使用され得ることに留意されたい。アプレットは、接続性をテストするために、多くの代替的なエンド・ツー・エンドの接続性・サービスのテスト方法を使用し得る。代替的なテスト方法としては、以下に挙げる1つ以上が少なくとも含まれるが、これらに限定されるものではない。Address Resolution Protocol(ARP)によるpingの実行;データ配送、例えば、SIMが[10]kbのデータをサーバに配送することが可能であるか;速度テスト;および/または1つまたは複数のネットワーク層、例えば、第1層-物理層;第2層-データリンク層;第3層-ネットワーク層;第4層-トランスポート層;第5層-セッション層;第6層-プレゼンテーション層;第7層-アプリケーション層のテスト。
【0154】
本発明の実施形態はeUICC上に実施されたアプレットに関して説明されているが、アプレットは、互換性のある任意のSIM(すなわち、任意のUICC)にインストールされてもよく、任意のSIMカード形式を使用してもよい点にも留意されたい。
図23に、互換性のあるSIMの例を示す。具体的には、以下のSIMタイプのいずれを使用してもよい。
図23に示されるような、2FFミニSIM(25mmx15mmx0.76mm)2302、3FFマイクロSIM(15mmx12mmx0.76mm)2304、4FFナノSIM(12.3mmx8.8mmx0.67mm)2306およびMFF2半田付け可能SIM2308。
【0155】
アプレットは、Gemalto、Thales、Giesecke&Devrient、Idemia(Morpho and Oberthur Technologies)、Bluefish、DatangおよびDZCARDを含むがこれらに限定されない任意のSIMベンダにより製造されたSIMカード上で動作可能である点にさらに留意されたい。
【0156】
本発明の実施形態は警報装置内にインストールされるeUICCに関して説明されているが、eUICCは、無線ネットワーク接続性を必要とする任意の装置にインストールされてもよい点にもさらにまた留意されたい。例えば、eUICCは、スマートフォン、タブレット、ドングル、ルータ、GPS追跡装置、M2Mデバイス、IoTデバイス、車両、または遠隔医療装置およびテレケアデバイスにインストールされてもよい。
【0157】
本発明の実施形態は、Cisco Jasper、Ericsson DCP、Vodafone GDSP、Nokia Wing、Huawei IoT Connection Management PlatformおよびOrange Platformを含むがこれらに限定されない各種MNOプラットフォームと共に使用することができる点にも留意されたい。
【0158】
1つの実施形態の特徴は、他の実施形態において、当該実施形態に対する追加としてあるいは代替として使用され得る。
【国際調査報告】