Procedimientos y dispositivos para gestión durante la comunicación (OTA) de módulos de identificación de abonado.

Procedimiento para proporcionar datos de suscripción desde una unidad de suministro de datos (60;

40 ') a una estación móvil (12) para comunicación a través de un sistema de comunicaciones móviles (10; 10') implementada de acuerdo con norma GSM, en el que dicho procedimiento comprende las siguientes etapas en la unidad de suministro de datos (60; 40'):

recibir una petición desde la estación móvil (12) para iniciar un procedimiento de autenticación puesta a pruebarespuesta llevado a cabo en el sistema de comunicaciones móviles (10; 10'), en el que la petición contiene un elemento de datos indicador de modo;

crear una puesta a prueba que contiene datos de suscripción,

en el que el formato de la puesta a prueba cumple con el procedimiento de autenticación de puesta a pruebarespuesta implementado en el sistema de comunicaciones móviles (10; 10'); y

transmitir la puesta a prueba que transporta datos de suscripción a la estación móvil (12),

caracterizado dicho procedimiento porque los datos de suscripción transportados por la puesta a prueba permiten a la estación móvil (12) autenticarse a si misma con respecto al sistema de comunicaciones móviles (10; 10') utilizando el procedimiento de autenticación de puesta a prueba respuesta GSM y comprendiendo un número de IMSI y/o una clave de autenticación Ki.

Procedimientos y dispositivos para gestión durante la comunicación (OTA) de módulos de identificación de abonado Campo de la invención

[0001] La invención se refiere en general a comunicaciones móviles y en particular a procedimientos y dispositivos para gestión durante la comunicación de estaciones móviles que contienen un elemento de identificación seguro, preferiblemente un módulo de identificación de abonado, en un sistema de comunicaciones móviles.

Antecedentes de la invención

[0002] El Sistema Global para Comunicaciones Móviles (GSM) es la norma mundialmente más popular para sistemas de comunicaciones móviles. Las características técnicas del GSM se definen por un gran número de especificaciones relacionadas entre sí y mutuamente dependientes publicadas por el organismo de normalización ETSI. En general, para la comunicación con un teléfono móvil a través de una red móvil terrestre pública (PLMN) implementada de acuerdo con las especificaciones GSM requiere un elemento de identificación segura, llamado módulo de identificación de abonado (SIM), por lo general en forma de una tarjeta inteligente. El SIM contiene datos de suscripción para la autenticación y la identificación de abonado de la PLMN, incluyendo, en particular, la Identidad Internacional de Seguridad Móvil (IMSI) y la clave de autenticación Ki. Esta información específica de red es generalmente almacenada en el SIM por el operador PLMN o el fabricante del SIM durante un proceso de personalización de SIM antes de proporcionar al abonado su SIM. Un SIM no personalizado generalmente no es adecuado para su utilización en un teléfono móvil, es decir, la utilización de los servicios proporcionados por una PLNM con un SIM sin no personalizar no es posible.

[0003] De acuerdo con la norma GSM, la IMSI almacenada en el SIM es un número con un máximo de 15 dígitos que permite una identificación única internacional de abonado. Los 3 primeros dígitos del número de IMSI representan el Código Móvil de País (MCC), los siguientes 2 o 3 dígitos representan el código de red móvil (MNC), y los dígitos restantes (hasta 10) representan el número de identificación de la estación móvil (MSIN) asignado por el operador PLMN. El número IMSI permite al operador de la PLMN identificar a un abonado y, proporcionarle aquellos servicios que el abonado haya pagado.

[0004] La clave de autenticación Ki es un elemento de datos de 128 bits para autenticación del SIM contenido en un teléfono móvil con respecto a la PLMN. La clave de autenticación Ki es emparejada con un número IMSI específico durante el proceso de personalización de SIM. Por razones de seguridad la clave de autenticación Ki sólo se almacena en el SIM y en una base de datos de la PLMN, llamada centro de autenticación (AUC).

[0005] El procedimiento de autenticación GSM, que se describe a continuación, es una ejecución de un procedimiento de autenticación puesta a prueba-respuesta general, en el que una de las partes, es decir, la PLMN, presenta una puesta a prueba y un tercero, es decir, el teléfono móvil, debe proporcionar una respuesta válida para ser autenticado. Cuando un teléfono móvil se inicia, recupera el número IMSI de su SIM. El usuario del teléfono móvil generalmente, tiene que introducir un PIN antes que el SIM otorgue acceso al número IMSI. El teléfono móvil envía el número IMSI a través de la interfaz aérea y el subsistema de estación base (BSS) al centro de conmutación móvil (MSC) de una PLMN. El MSC retransmite la IMSI al registro de posiciones base (HLR) y solicita tripletes de autenticación. Cuando el HLR recibe el número IMSI y la petición de tripletes de autenticación, primero comprueba su base de datos para asegurarse de que el número IMSI es válido y perteneciente a la red. Una vez que esto se ha cumplimentado, retransmite el número IMSI y los tripletes de autenticación pedidos al AUC. El AUC utiliza la IMSI para buscar la clave de autenticación Ki asociada con esa IMSI. El AUC también generará un número aleatorio de 128 bits denominado RAND, que, junto con la clave de autenticación Ki se introduce en el algoritmo de cifrado A3. La salida del algoritmo de cifrado A3 es un número de 32 bits llamado Respuesta Firmada (SRES).

[0006] El número RAND y la clave de autenticación Ki se suministran, además, al algoritmo de cifrado A8. La salida es un número de 64 bits denominado Kc. El Kc es la clave de cifrado que se utiliza en el algoritmo de cifrado A5 para cifrar y descifrar los datos que se están transmitiendo sobe la interfaz aérea entre el teléfono móvil y la PLMN.

[0007] El número RAND, la SRES y la clave de cifrado Kc forman un triplete de autenticación que es único para el número IMSI utilizado para la creación de este triplete. Una vez que el AUC ha generado un triplete autenticación tal, se retrasmite al HLR, el cual, a su vez, lo envía al MSC solicitante. El MSC almacena la clave de cifrado Kc y la SRES nada más retrasmite el número RAND como la puesta a prueba del procedimiento de autenticación puesta a prueba-respuesta GSM a la estación móvil y solicita autenticación.

[0008] La clave de autenticación Ki se almacena de forma segura en el SIM del teléfono móvil. Los algoritmos de cifrado A3 y A8 también residen en el SIM. El número RAND recibido desde el MSC a través de la interfaz aérea y la clave de autenticación Ki , se introducen en los algoritmos de cifrado A3 y A8 para generar otra respues firmada SRES* y la clave de cifrado Kc, respectivamente. El teléfono móvil almacena la clave de cifrado Kc en el SIM y envía la respuesta firmada generada SRES* como la respuesta al procedimiento de autenticación puesta a prueba- respuesta GSM de nuevo a la red. El MSC recibe la respuesta firmada SRES * generada por el teléfono móvil y la compara con las respuesta firmada SRES generada por el AUC. Si coinciden, el teléfono móvil (o más bien su SIM) es autenticado.

[0009] Es conocido gestionar, durante la comunicación (OTA), SIMs o dispositivos equipados con tales SIMs utilizando protocolos estandarizados realizados por SMS (servicio de mensajes cortos) o IP (protocolo de Internet)

utilizando canales de comunicación una conexión ya establecida en un sistema de comunicaciones móviles. El documento WO 2010/093312, por ejemplo, describe un procedimiento para la activación OTA y gestión de un SIM usando una applicación ODA (activación bajo demanda). El procedimiento descrito en el documento WO 2010/093312 está adaptado para activar y gestionar un SIM después de haber sido autenticada en sí con respecto a la PLMN de acuerdo con el procedimiento de autenticación puesta a prueba-respuesta GSM descrito anteriormente.

[0010] Un campo particular de aplicación de los SIM que se espera que crezca rápidamente en los próximos dos años es M2M, es decir, la comunicación entre máquinas en una red de comunicaciones móviles sin intervención humana, también llamado el Internet de las cosas. En M2M se transmiten datos automáticamente entre muchos tipos diferentes de máquinas equipadas con un SIM, tales como sistemas de TV, equipos decodificadores, máquinas expendedoras, vehículos, libros electrónicos, cámaras automáticas, dispositivos sensores y similares. Es previsible que, al menos, para algunos de estos dispositivos no será posible proporcionar, o al menos será muy difícil, el SIM de antemano con un conjunto de datos de suscripción completo, por ejemplo un número IMSI. Esto es porque en algunas aplicaciones M2M el SIM puede ser un dispositivo montado en superficie, que tiene que estar embutido dentro de la máquina respectiva durante el proceso de fabricación de la misma sin la posibilidad de proporcionar el SIM con los datos de suscripción completos de antemano. En consecuencia, desde este ámbito, estas máquinas requieren la provisión de datos de suscripción durante la comunicación.

[0011] El documento US 2009/217038 da a conocer un mecanismo para enlazar un dispositivo M2M inalámbrico desplegado para una suscripción a servicios de red móvil desde un operador de telefonía móvil. El valor de puesta a prueba de autenticación sirve para dos propósitos - como una clave de puesta a prueba para utilizar en un procedimiento estándar de autenticación de acceso a red, y como un portador para la información de dirección. Cuya dirección de servidor es utilizada para obtener las credenciales de suscripción.

[0012] Así, el problema abordado por la presente invención es proporcionar procedimientos y dispositivos que permiten proporcionar a un teléfono móvil que incluye un elemento de identificación segura, tal como un SIM, durante la comunicación, los datos de suscripción y/o instrucción antes de que el teléfono móvil se haya adscrito... [Seguir leyendo]

1. Procedimiento para proporcionar datos de suscripción desde una unidad de suministro de datos (60; 40 ') a una estación móvil (12) para comunicación a través de un sistema de comunicaciones móviles (10; 10') implementada de acuerdo con norma GSM, en el que dicho procedimiento comprende las siguientes etapas en la unidad de suministro de datos (60; 40'):

recibir una petición desde la estación móvil (12) para iniciar un procedimiento de autenticación puesta a prueba- respuesta llevado a cabo en el sistema de comunicaciones móviles (10; 10'), en el que la petición contiene un elemento de datos indicador de modo; crear una puesta a prueba que contiene datos de suscripción,

en el que el formato de la puesta a prueba cumple con el procedimiento de autenticación de puesta a prueba- respuesta implementado en el sistema de comunicaciones móviles (10; 10'); y transmitir la puesta a prueba que transporta datos de suscripción a la estación móvil (12),

caracterizado dicho procedimiento porque los datos de suscripción transportados por la puesta a prueba permiten a la estación móvil (12) autenticarse a si misma con respecto al sistema de comunicaciones móviles (10; 10') utilizando el procedimiento de autenticación de puesta a prueba respuesta GSM y comprendiendo un número de IMSI y/o una clave de autenticación Ki.

2. Procedimiento para obtener datos de suscripción desde una unidad de suministro de datos (60; 40') por medio de un elemento de identificación seguro (16), preferiblemente un módulo de identificación de abonado, de una estación móvil (12) para comunicación a través de un sistema de comunicaciones móviles (10;10') implementado con la norma GSM, en el que dicho procedimiento comprende las siguientes etapas en el elemento de identificación segura (16):

proporcionar un elemento de datos indicador de modo a un equipo móvil (14) de la estación móvil (12), en el que el equipo móvil (14) emite el elemento de datos indicador de modo como parte de una petición para iniciar un procedimiento de autenticación de puesta a prueba respuesta llevado a cabo en el sistema de comunicaciones móviles (10; 10');

recibir una puesta a prueba que transporta datos de suscripción emitida por la unidad de suministro de datos (60; 40'),

en el que el formato de la puesta a prueba cumple con el procedimiento de autenticación de puesta a prueba- respuesta implementado en el sistema de comunicaciones móviles (10; 10'); y almacenar los datos de suscripción,

caracterizado dicho procedimiento porque los datos de suscripción transportados por la puesta a prueba permiten a la estación móvil (12) autenticarse con respecto al sistema de comunicaciones móviles (10; 10'), utilizando el procedimiento de autenticación de puesta a prueba respuesta GSM y comprendiendo un número de IMSI y/o una clave de autenticación Ki.

3. Procedimiento de las reivindicaciones 1 o 2, en el que el elemento de datos indicador de modo hace que el sistema de comunicaciones móviles (10; 10') retransmita la petición a la unidad de suministro de datos (60; 40') y/o informe a la unidad de suministro de datos (60; 40') que la estación móvil (12) está solicitando datos de suscripción.

4. Procedimiento de las reivindicaciones 1 o 2, en el que las etapas del procedimiento se llevan a cabo durante la comunicación antes que la estación móvil (12) se haya adscrito al sistema de comunicaciones móviles (10; 10') y,

en el que las etapas del procedimiento se repiten tantas veces como sea necesario, en caso de que el tamaño de los datos de suscripción sea mayor que el tamaño de la puesta a prueba.

5. Procedimiento de las reivindicaciones 1 o 2, en el que la selección de los datos de suscripción transportados por la puesta a prueba depende de la ubicación de la estación móvil (12) y/o del tipo de equipo móvil (14) de la estación móvil (12).

6. Procedimiento de la reivindicación 1, en el que la puesta a prueba se crea como un número RAND* de 128 bits que transporta los datos de suscripción, preferiblemente como parte de un triplete de autenticación que comprende además una respuesta firmada SRES y una clave de cifrado Kc de acuerdo con el procedimiento de autenticación puesta a prueba-respuesta GSM.

7. Procedimiento de la reivindicación 1, en el que el elemento de datos indicador de modo es un número IMSI (PIMSI) preliminar que define la dirección de la unidad de suministro de datos (60; 40') y que tiene el mismo formato que un número IMSI.

8. Unidad de suministro de datos (60; 40') para proporcionar a una estación móvil (12) datos de suscripción para comunicación a través de un sistema de comunicaciones móviles (10,10') implementado de acuerdo con la norma GSM, en el que la unidad de suministro de datos (60; 40') está configurada para:

recibir una petición desde la estación móvil (12) para iniciar un procedimiento de autenticación de puesta a prueba- respuesta implementado en el sistema de comunicaciones móviles (10, 10') y que comprende un elemento de datos indicador de modo;

crear una puesta a prueba que contiene datos de suscripción,

en el que el formato de la puesta a prueba cumple con el procedimiento de autenticación puesta a prueba-respuesta implementado en el sistema de comunicaciones móviles (10, 10'); y

transmitir la puesta a prueba que contiene datos de suscripción a la estación móvil (12), caracterizado dicha unidad de suministro de datos porque

los datos de suscripción transportado por la puesta a prueba permiten a la estación móvil (12) autenticarse con respecto al sistema de comunicaciones móviles (10; 10'), utilizando el procedimiento de autenticación puesta a prueba-respuesta GSM y comprende un número IMSI y/o una clave de autenticación Ki.

9. Unidad de suministro de datos de la reivindicación 8, en la que el elemento de datos indicador de modo hace que el sistema de comunicaciones móviles (10; 10') retrasmita la petición a dicha unidad de suministro de datos (60; 40') y/o informe a dicha unidad de suministro datos (60; 40') que la estación móvil (12) está solicitando datos de suscripción.

10. Unidad de suministro de datos de las reivindicaciones 8 o 9, en la que dicha unidad de suministro de datos (60; 40') es un servidor de datos de suscripción dedicado (60) o parte de un registro de posiciones base (40') del sistema de comunicaciones móviles (10').

11. Elemento de identificación seguro (16), preferiblemente un módulo de identificación de abonado, para una estación móvil (12) para comunicación a través de un sistema de comunicaciones móviles (10; 10'), implementado de acuerdo con la norma GSM, en el que dicho elemento de identificación segura (16) está configurado para: proporcionar un elemento de datos indicador de modo a un equipo móvil (14) de la estación móvil (12),

en el que el equipo móvil (14) emite dicho elemento de datos indicador de modo como parte de una petición para iniciar un procedimiento de autenticación de puesta a prueba-respuesta implementado en el sistema de comunicaciones móviles (10; 10');

recibir una puesta a prueba que transporta datos de suscripción emitida por una unidad de suministro de datos (60;

40'),

en el que el formato de la puesta a prueba cumple con el procedimiento de autenticación de puesta a prueba- respuesta implementado en el sistema de comunicaciones móviles (10; 10'); y almacenar los datos de suscripción,

caracterizado dicho elemento de identificación segura porque los datos de suscripción transportados por la puesta a prueba permiten a la estación móvil (12) autenticarse con respecto al sistema de comunicaciones móviles (10; 10'), utilizando el procedimiento de autenticación de puesta a prueba-respuesta GSM y que comprende un número de IMSI y/o una clave de autenticación Ki.

12. Elemento de identificación seguro de la reivindicación 11, en el que el elemento de datos indicador de modo hace que el sistema de comunicaciones móviles (10; 10') retransmita la petición a la unidad de suministro de datos (60; 40') y/o informe a la unidad de suministro de datos (60; 40') que la estación móvil (12) está solicitando datos de suscripción.

13. Sistema móvil de comunicaciones (10; 10') que comprende una unidad de suministro de datos (60; 40') para proporcionar datos de suscripción de acuerdo con las reivindicaciones 8, 9 o 10 y una estación móvil (12) con un elemento de identificación seguro (16), preferiblemente un módulo de identificación de abonado, de acuerdo con las reivindicaciones 11 o 12.