[go: up one dir, main page]

JP2024530370A - eUICCプロファイル委任管理 - Google Patents

eUICCプロファイル委任管理 Download PDF

Info

Publication number
JP2024530370A
JP2024530370A JP2024507988A JP2024507988A JP2024530370A JP 2024530370 A JP2024530370 A JP 2024530370A JP 2024507988 A JP2024507988 A JP 2024507988A JP 2024507988 A JP2024507988 A JP 2024507988A JP 2024530370 A JP2024530370 A JP 2024530370A
Authority
JP
Japan
Prior art keywords
profile
server
euicc
list
mno
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2024507988A
Other languages
English (en)
Inventor
ペラルナウ,ザビエル
Original Assignee
ギーゼッケプラスデフリエント モバイル セキュリティ ジャーマニー ゲーエムベーハー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ギーゼッケプラスデフリエント モバイル セキュリティ ジャーマニー ゲーエムベーハー filed Critical ギーゼッケプラスデフリエント モバイル セキュリティ ジャーマニー ゲーエムベーハー
Publication of JP2024530370A publication Critical patent/JP2024530370A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/183Processing at user equipment or user record carrier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/43Security arrangements using identity modules using shared identity modules, e.g. SIM sharing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • H04W8/205Transfer to or from user equipment or user record carrier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/186Processing of subscriber group data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Figure 2024530370000001
本発明は、モバイルデバイスに含められた組み込みユニバーサル集積回路カード、eUICCのプロファイルの委任管理のための方法、インタフェース、及び機器に関する。委任管理は、eUICCにおいて利用可能なプロファイルリストから選択されたある5プロファイルに、そのeUICCをサーバに登録し、選択されたプロファイルをサーバ上のプロファイルの既存のサブスクリプショングループに加えることによって、又は選択されたプロファイルに基づいてサーバ上に新しいサブスクリプショングループを作成することによって提供される。

Description

本発明は、eUICC(embedded Universal Integrated Circuit Cards:組み込みユニバーサル集積回路カード)のための複数のプロファイルを管理する方法と装置に関し、より詳しくは、委任されたeUICCプロファイル管理の方法と装置に関する。
発明の背景
近年、モバイルネットワーク上での通信のための電子サブスクライバプロファイルを利用するように構成されたモバイル機器が出現した。このようなモバイル機器は典型的に、モバイルデバイスが1つ又は複数のモバイルネットワークに接続できるようにし得る電子サブスクライバ識別モジュール(eSIM)プロファイル等の1つ又は複数の電子サブスクライバプロファイルを保存するように構成された電子/組み込みセキュア要素デバイス、例えば電子/組み込みユニバーサル集積回路カード(eUICC)を備えている。サブスクライバプロファイル(例えば、eSIMプロファイル)は、モバイルネットワークオペレータ(MNO)により生成され得て、モバイルネットワークデバイスにダウンロードされ得る。サブスクライバプロファイルはすると、モバイルデバイスのセキュアエレメント上にインストールされて、モバイルデバイスによる対応するモバイルネットワーク上での通信に使用され得る。
図1は、GSMアソシエーションにより発行されたSGP.22 RSP Technical Specification, Version 2.2.2に記載されているリモートeSIMプロビジョニングシステムのアーキテクチャの簡略表現を示す。eSIMプロビジョニングシステム100は幾つかの要素、すなわちSM-DP+(Subscription Manager - Data Preparation and Secure Routing、110)、SM-DS(Subscription Manager - Discovery Server、150)、LPA(Local Profile Assistance、142)、及びeUICC、141を中心として組織化され、後者はエンドユーザ130のモバイルデバイス140の一部である。
SM-DP+はMNO 120により提供されるサブスクライバプロファイルの作成、リモート管理(イネーブル、ディスエーブル、アップデート、削除)、及び保護を担当する。LPA(Local Profile Assistant、142)は、eUICC 141に(暗号化された)プロファイルをダウンロードする能力を提供することを担当する、デバイス140内の機能群である。これはまた、エンドユーザ130にローカルマネジメントエンドユーザインタフェースも提示し、それらがeUICC 141上のプロファイルの状態を管理できるようにする。SM-DS 150は、SM-DP+ 110がeUICC 141と通信するための手段を提供する。
MNOによるプロファイル管理のための現在の解決策には、MNOがプロファイルを作成し、その後それがeUICC 141の固有の識別子EIDに結び付けられ、プロファイルがそこにダウンロードされることが含まれる。eUICC 141を含むモバイルデバイス140がSM-DP+ 110にアクセスすると、これはプロファイルのダウンロードを開始し、その後、使用する。デバイス140がプロファイルの使用を停止すると、MNO 120はそれをEIDから解除し、そのプロファイルは他のeUICCにより使用可能な状態となる。このような解決策は、例えば韓国特許出願公開第20130026351A号から知られている。
eUICCの使用により、OEMのほか、末端顧客は、SIMカードを交換せずにサービスプロバイダ(及びそれゆえモバイルネットワーク)を柔軟に選択又は変更でき、それと同時にMNOのための幅広い消費者、M2M、及びIoTユースケース、自動車メーカ、デバイスベンダ、及びIoTサービスプロバイダが実現される。
MNOが中心的な役割を有するため、サービスプロバイダ及びプロファイルに関する何れの修正や変更もMNOによって行われなければならない。しかしながら、IoT及びM2Mアプリケーション内の接続デバイス数が増え続けるにつれて、多数のサブスクライバプロファイルを生成し、プロファイルをデバイスにダウンロードするためにMNOに多大な負担がかかる。MNOの中心的役割はそれゆえ、サブスクライバプロファイルを管理するための管理チェーンの中のボトルネックとなる。
したがって、上述の欠点に対処するeUICCプロファイル管理のための解決策を提供することが望ましい。
発明の概要
本発明は、独立請求項によりカバーされる主題により上述の目的に対処する。本発明の好ましい実施形態は従属項の中で定義される。
本発明の第一の態様によれば、組み込みユニバーサル集積回路カード、eUICCのプロファイルの委任管理の方法が提供される。eUICCはモバイルデバイスに含められ、このモバイルデバイスはローカルプロファイルアシスタント、LPAをさらに含む。第一のステップで、LPAはサーバへのeUICCの登録を行う。次のステップで、LPAはプロファイル識別子のリストを取得し、各プロファイル識別子はeUICCのために利用可能なそれぞれのプロファイルを一意的に識別する。すると、プロファイル識別子が取得されたリストから選択され、選択されたプロファイル識別子により識別されたプロファイルに、そのサーバ上のプロファイルの既存のサブスクリプショングループに加えることによって、又は選択されたプロファイル識別子に基づいてサーバ上に新しいサブスクリプショングループを作成することによって、委任管理が追加される。
好ましくは、プロファイル識別子はあるプロファイルを一意的に識別する固有のシリアル番号、ICCID(集積回路カードID)である。
サーバ上のあるサブスクリプショングループ内のプロファイル、すなわちその委任管理が追加されているプロファイルは、もはやMNOの管理下になく、会社や企業等の第三者が直接それを管理できる。
それにより、MNOにおいて、特に接続された多数のデバイス及びそれらのプロファイルの取り扱いを必要とするIoTアプリケーションのための作業負荷が大幅に軽減される。
本発明の幾つかの実施形態において、サーバにeUICCを登録することは、eUICC識別子、EIDをeUICCから取得することと、公開キーをeUICCから取得することと、公開キーを含む証明書署名リクエスト、CSRを生成することと、モバイルデバイスをEID及びCSRと共にサーバに登録することとを含む。
これによって、eUICCとサーバ間の相互認証が可能となる。
本発明の幾つかの実施形態において、モバイルデバイスをサーバに登録することは、サーバから、署名済み証明書を含む受取確認メッセージを受け取ることと、証明書を保存することとを含む。
好ましくは、証明書は証明当局、例えばGSMA証明書発行者、すなわちGSMAが信任した証明当局により署名される。署名済み証明書により、サーバの完全性の検証が可能となる。
本発明の幾つかの実施形態において、プロファイル識別子のリストを取得することは、サーバで、サーバが接続されていて、eUICCのための支援を提供するモバイルネットワークオペレータ、MNOがあるか否かをチェックすることを含む。この機能を実行しているMNOがある場合、プロファイル識別子の第一のリストがMNOから受け取られる。プロファイル識別子の第二のリストはeUICCから受け取られる。プロファイル識別子の第一のリストとプロファイル識別子の第二のリストはその後結合されて、そのeUICCが利用できるプロファイル識別子のリストが得られる。
これによって、様々なMNOにより提供されているか、デバイスのeUICC上にすでに保存されているかを問わず、モバイルデバイスで利用可能な全てのプロファイルの識別子を取得することが可能となる。
好ましくは、LPAは、MNOにリダイレクションを指示するサーバからのコマンドを受け取ることによってMNOにプロファイルのリストを要求するように指示される。
本発明の幾つかの実施形態において、MNOからプロファイルのリストを取得することは、eUICCに保存された個人識別データ、特にユーザ名とパスワードを使ってMNOにサインインすることと、MNOから認証トークンを受け取ることと、認証トークンを使ってMNOにプロファイル識別子のリストを要求することと、MNOからプロファイル識別子の第一のリストであって、MNOにより提供されたプロファイルのプロファイル識別子とプロファイル名を含む第一のリストを受け取ることと、プロファイル識別子の第一のリストを保存することとを含む。
本発明の幾つかの実施形態において、eUICCからプロファイル識別子の第二のリストを取得することは、GSMA準拠コマンドをeUICCに送信することと、eUICCからプロファイルの第二のリストを受け取ることとを含む。好ましくは、プロファイルの第二のリストは、eUICC内にインストールされた各プロファイルについて、そのeUICCのプロファイルメタデータ、特にプロファイル識別子、ICCID及びInternational Mobile Subscriber Identity、IMSIを含む。
本発明の幾つかの実施形態において、方法は、選択されたプロファイルに委任管理を追加する前に、LPAにより、サーバとの安全な通信チャネルを確立することをさらに含む。好ましくは、確立された安全な通信チャネルは、識別子認証及び暗号化を通じた安全なプライベート通信を提供する複数のセキュリティプロトコルをサポートする。
本発明の幾つかの実施形態において、プロファイル識別子のリストがMNOから取得された場合、サーバ上のサブスクリプショングループに加えることは、サーバに対し、選択されたプロファイル識別子をプロファイル名と共にサブスクリプショングループに追加するように指示することを含み、サーバ上でサブスクリプショングループを作成することは、サーバに対し、サブスクリプショングループ識別子の付された新しいサブスクリプショングループを作成して、プロファイル識別子をプロファイル名と共に新しいサブスクリプショングループに追加するように指示することを含む。
本発明の幾つかの実施形態において、プロファイル識別のリストがeUICCから取得された場合、サーバ上でサブスクリプショングループに加えることは、サーバに対し、選択されたプロファイル識別子をIMSIと共にサブスクリプショングループに追加するように指示することを含み、サーバ上にサブスクリプショングループを作成することは、サーバに対し、サブスクリプショングループ識別子の付された新しいサブスクリプショングループを作成して、プロファイルメタデータ、特にICCIDとIMSIを新しいサブスクリプショングループに追加するように指示することを含む。
本発明の第二の態様によれば、モバイルデバイス内に含められた組み込みユニバーサル集積回路カード、eUICCのプロファイルを管理するためのインタフェースが提供される。インタフェースはサーバに位置付けられ、少なくとも1つのモバイルネットワークオペレータ、MNOに接続できる。インタフェースは、サーバでのeUICCの認証を支援して、サーバにおける複数のプロファイルを含むサブスクリプショングループの作成と管理を提供し、少なくとも1つのMNOへの/少なくとも1つのMNOからのプロファイルのアップロード及び/又はダウンロードを提供するように構成される。
第二の態様による本発明の幾つかの実施形態において、インタフェースはさらに、サーバへのモバイルデバイスの登録、特にアプリケーションコールを通じた、又はプライベート招待リンクを通じた登録を支援するように構成される。
本発明の第三の態様によれば、装置、特にサーバが提供され、この装置は、少なくとも1つのモバイルネットワークオペレータ、MNOにより提供されるeUICCプロファイルを保存し、管理するように構成される。好ましくは、装置は第二の態様によるインタフェースを含む。
第三の態様による本発明の幾つかの実施形態において、装置はさらに、プロファイルグループを管理し、特にプロファイルのアップデートを行うための指示を受け、アップデートされたプロファイルを少なくとも1つのMNOにアップロードするように構成される。好ましくは、指示はアプリケーションコールを通じて、又は専用ウェブサイトにアクセスすることによって会社から受け取られる。
本発明の第四の態様によれば、リモートeUICCプロファイル管理システムが提供され、これはモバイルデバイスを含み、モバイルデバイスは組み込みユニバーサル集積回路カード、eUICCと、ローカルプロファイルアシスタント、LPAと、を含む。システムは、第三の態様によるサーバをさらに含み、サーバは第二の態様によるインタフェースを含む。システムは、会社から委任管理のリクエストを受け取り、委任管理のリクエストを受け取ると、第一の態様による方法を実行するように構成される。
本発明のさらなる態様によれば、コンピュータプログラム製品が提供され、これは命令を含み、命令はプログラムがコンピュータにより実行されると、コンピュータに、サーバでのeUICCの認証及び登録を実行させ、サーバはeUICCの複数のサブスクライバプロファイルを管理し、モバイルネットワークオペレータ、MNOに接続可能なインタフェースを含み、プロファイル識別子のリストを取得させ、各プロファイル識別子はeUICCに利用可能なそれぞれのプロファイルを一意的に識別し、選択されたプロファイル識別子に、サーバ上のプロファイルの既存のサブスクリプショングループに加えることによって、又は選択されたプロファイル識別子に基づいてサーバ上に新しいサブスクリプショングループを作成することによって、委任管理を追加させる。
本明細書に記載の態様及び実施形態により、会社は、その会社が電子サブスクライバプロファイルのプロビジョニングのために備えられるモバイルデバイスに提供するモバイルネットワークサブスクリプションを有効且つ効率的に管理することが可能となり、これは、サービスプロバイダ及びプロファイルに関するあらゆる修正及び変更を会社自身がサーバに直接アクセスすることによって実行できるからである。さらに、会社はGSMA仕様の範囲外にあるインタフェースを通じてeUICCプロファイルを管理すること、特に変更/アップデートすることもできるため、モバイルデバイスにアップロードしなければならないプロファイルが少なくて済む。
本願に記載のデバイス、要素、ユニット、及び手段は全て、ソフトウェア若しくはハードウェア素子又はそれらの組合せで実行できる点に留意しなければならない。本願に記載の各種の実体により実行される全てのステップのほか、記載されている機能は、それぞれの実体がそれぞれのステップ及び機能を実行するようになされ、又は構成されることを意味するものとする。
本発明のその他の態様、特徴、及び利点は、当業者にとって、本発明の好ましい実施形態及び変形型に関する以下の詳細な説明を添付の図面と共によく読むことにより明らかとなるであろう。
図面の簡単な説明
ここから、下記のような添付の図面を参照する。
リモートeSIMプロビジョニングシステムのアーキテクチャの簡略表現を示す。 本発明のある実施形態によるリモートeSIMプロビジョニングシステムのアーキテクチャを示す。 ある実施形態によるeUICCのプロファイルの委任管理の方法のフローチャートである。 ある実施形態による、サーバへのeUICCのプロファイルの委任管理の方法のさらなるステップを示す。 ある実施形態によるeUICCのプロファイルの委任管理の方法のさらなるステップを示す。 別の実施形態による、フリープロファイルに委任管理を追加するためのフローチャートを示す。 別の実施形態による、インストールされたプロファイルに委任管理を追加するためのフローチャートを示す。 ある実施形態によるeUICCプロファイルの委任管理の方法のシグナルダイアグラムの一部分を示す。 ある実施形態によるeUICCプロファイルの委任管理の方法のシグナルダイアグラムの一部分を示す。 ある実施形態によるeUICCプロファイルの委任管理の方法のシグナルダイアグラムの一部分を示す。
詳細な説明
以下に、本発明の詳細な説明を本発明の具体的な実施形態の例を図解する添付の図面を参照しながら提供する。これらの実施形態は、当業者が本発明を実施できるようにするのに十分に詳細に説明されている。本発明の各種の実施形態は、異なっていても、必ずしも相互に排他的であるとはかぎらないと理解されたい。例えば、本明細書中で1つの実施形態において記載されている特定の特徴、構造、又は特性は、他の実施形態でも実装され得て、それも本発明の範囲から逸脱しない。それに加えて、開示されている各実施形態の中の個々の要素の位置又は配置は、本発明の範囲から逸脱せずに変更され得ると理解されたい。したがって、以下の詳細な説明は限定的な意味で解釈されないものとし、本発明の範囲は適切に解釈される付属の特許請求項及び、特許請求項に認められる等価物の全範囲によってのみ定義される。図中、複数の図面を通じて、同様の番号は同じ又は同様の機能を指す。
本明細書全体を通じて、「eUICC」という用語は、プロファイルデータを有する少なくとも1つのサブスクリプションプロファイルを安全に保存することが意図される集積回路、ICと理解されたい。eUICCの中のプロファイルは、国際モバイルサブスクライバ識別番号、IMSI、固有シリアル番号、ICCID、暗号法による暗号化/解読キー、セキュリティ認証及び暗号化情報、ローカルネットワークに関する一時情報、ユーザがアクセスできるサービスのリスト、並びにM2Mデバイス、モバイルフォン、バーソナルコンピュータ等の端末機器上でサブスクライバを一意的に識別して認証するために使用される2つのパスワード、すなわち通常の使用のための個人識別番号(PIN)及びPINロック解除のための個人ブロック解除コード(PUK)をホストし得る。それに加えて、eUICC内のプロファイルはプロファイル名を含み得る。
本発明は、プロファイルグループのプロファイル管理をMNOから会社や企業等の第三者に、専用インタフェースを通じてサーバを介して委任するための解決策を提案する。このインタフェースはサーバ上に位置付けられ、したがってGSMA仕様の範囲外にある。
本願を通じて、その委任管理が追加されているプロファイルグループは、サブスクリプショングループとも呼ばれる。
図2は、ある実施形態によるリモートeSIMプロビジョニングシステムを示す。
システム300は、図1の既知のeSIMプロビジョニングシステムのコンポーネントのほかに、サーバ210(以下においてはProfile-To-Go-Serverとも呼ばれる)を含む。サーバは、例えば従業員にモバイルデバイスを提供する会社又は企業等の特定の会社300に位置付けることができる。サーバはまた、会社がアクセスできる仮想クラウドサーバとしても実現され得る。
インタフェース220は、サーバ210上にあり、それによって会社はプロファイルを管理し、プロファイルをアップデートし、プロファイルを取り消し、又は新しいプロファイルを購入できる。インタフェース220は、サーバ210でのeUICCの認証を提供する。さらに、インタフェース220は異なる方法でデバイスのエンロールメント、例えばアプリケーションからの、又はプライベート招待リンクを通じたeUICCを含むモバイルデバイスの登録等を受け入れるための支援を提供する。
会社300は、サーバにアプリケーション及び/又はウェブサイトを通じてアクセスし、プロファイルグループを管理し得て、これは、例えば既存のプロファイルをアップデートし、既存のプロファイルを削除し、新しいプロファイルを購入することである。プロファイルグループがアップデートされると、それがMNO 120にアップロードされる。MNO 120はプロファイルを、これらがインタフェース220を通じて受け取られると自動的に受け入れる。すると、GSMA仕様に従って、標的デバイスがインタネット接続を確立して新しいプロファイルを受け取る。
図3は、ある実施形態によるeUICCのプロファイルの委任管理の方法のフローチャートである。この方法は、図2のリモートeSIMプロビジョニングシステム200で実行され得る。
ステップS10で、LPA 142はeサーバ210へのeUICC 141の登録を実行する。ステップS20で、LPA 142はプロファイル識別子、ICCIDのリストを取得し、各ICCIDはそのeUICC 141に利用可能なそれぞれのプロファイルを一意的に識別する。ステップS30で、あるプロファイルICCIDが取得されたリストから選択され、委任管理が選択されたICCIDを持つプロファイルに追加される。特に、委任管理は、ステップS50で、すでに確立されたサブスクリプショングループに加えることによって、又はステップS60で、選択されたICCIDを有するサブスクリプショングループを作成することによって追加できる。プロファイルICCIDのサブスクリプショングループは、好ましくはサーバ上に位置付けられる。ステップS50及びS60の実行の詳細を、図6A及び6Bのほか図7B及び7Cに関して後で説明する。
委任管理を選択されたプロファイルに追加する前に、ステップS40で、LPA 142とサーバ210との間に安全な通信チャネルが確立され得る。
図4は、図3の登録ステップS10の好ましい実行のサブステップを示し、図7Aは登録ステップS10のシグナルダイアグラムを示す(図7A中、ローマ数字Iで示される)。
本発明の幾つかの実施形態において、サーバ220でのeUICC 141の登録は、ステップS11でeUICCからeUICC識別子EIDを取得することを含み得る。
図7Aに関して、ステップS11はLPA 141により、ステップS111でretrieveEID()コマンドをeUICCに送信し、ステップS112でeUICCからretrieveEIDResponse(EID)コマンドを受け取ることによって実行され得る。どちらのコマンドも、例えばSGP, 22 RSP Technical Specification, Version 2.2.2, June 2020に記載されているGSMA準拠コマンドであり得る。
ステップS12で、LPAはeUICCに対し、例えばコマンドcreateKeypair()をeUICCに送信し(図7AのステップS121)、(図7AのステップS122で)createKeyPairResponse(PublicKey)を受け取り、このようにしてステップS13でeUICCの公開キーを取得することを通じてキーペアを作成するように要求し得る。
その後、LPA 141はステップS14で証明書署名リクエストCSRを生成し得る。CSRは、ステップS121でeUICCから受け取った公開キーを含む。するとステップS15でLPAは、ステップS11でeUICCから受け取った識別子EID、CSR、及びデバイス名をサーバ210に登録し得る。
サーバへの登録が実行されると、証明書はステップS16でLPAにより受け取られ、ステップS17で保存される。証明書は証明当局により署名されて、サーバの完全性の検証を可能にする。
図5は、図3のステップS20の好ましい実行の、eUICCを含むデバイスのユーザに利用可能なプロファイルICCIDのリストを取得するサブステップを示す。それに対応するシグナルダイアグラムは図7Bに示されている。
図5、ステップS27~S28、及び図7Cを参照すると、プロファイルICCIDのリストはeUICCから取得される。
ステップS27は、SGP.22 RSP Technical Specificationに記載されている従来のGSMAコマンド、例えば図7Cの中でS27により示されるES10b.GetProfilesInfoを使って実行され得る。
任意選択により、MNOが登録されたeUICCのための支援(ステップS21で行われるチェック)を提供すると、対応するユーザのプロファイルのICCIDが、それらをMNOからeUICCから取得するステップ(図5のステップS22~S26及び図7Bのローマ数字IIにより示される部分)に加えて取得され得る。特に、LPA 142にはサーバ210により、ステップ213でMNOサイトへのリダイレクションを実行することが通知され得る。この信号/メッセージは、LPAに、ステップS22でMNOにユーザ名及びパスワードでサインインして、ステップS23で認証トークンを含むサインイン確認をMNOから受け取るように促す。この認証トークンを使って、LPAはステップS24でMNOにプロファイルICCIDのリストを要求し、ステップS25でICCIDを受け取り得る。
認証トークンの使用は、保護されたプロファイルを(おそらく限定された持続時間のセッション内で)1回認証する方法を提供し、そのトークンをそのセッション中にさらに認証を行うために使用する。
受け取ったプロファイルICCIDのリストはステップS26でLPAによって将来の使用のために保存され得る。
プロファイルICCIDのリストを取得すると、1つのプロファイルICCIDが選択され、選択されたICCIDにより識別される対応するプロファイルに委任管理が追加される。これは好ましくは、選択されたICCIDを既存のサブスクリプショングループに追加することによって、又は新しいサブスクリプショングループを作成し、選択されたICCIDをその新しいサブスクリプショングループに追加することによって実現される。好ましくは、新しいサブスクリプショングループは、サーバ上に委任管理に利用できるサブスクリプショングループがない場合に作成される。代替的に、幾つかのサブスクリプショングループを作成し、サーバに保存できる。
そのICCIDがサーバによりアクセス可能なサブスクリプショングループに追加されたプロファイルは、委任により、すなわち、MNOによってではなく第三者によって管理される。換言すれば、プロファイル管理はあるプロファイルグループについてMNOから第三者に委任される。
委任管理をプロファイルに追加するための好ましい実施形態を以下に、図6A及び6Bを参照して説明する。図6Aは、委任管理をフリープロファイルに追加するためのフローチャートを示し、図6Bは委任管理をインストールされたフリープロファイルに追加するためのフローチャートを示す。対応するシグナルダイアグラムは図7Bのローマ数字IIIにより示される下側部分と、図7C(ローマ数字IV)である。フリープロファイルとは、MNOによりサポートされる、eUICCにダウンロード及びインストールされていないプロファイルを指す。すでにインストールされたプロファイルとは、すでにeUICCにダウンロードされてインストールされたプロファイルを指す。
図6A及び図7BのIIIの部分を参照すると、ステップS31で、MNOから受け取ったプロファイルICCIDのリストから1つのプロファイルICCIDが選択され、そこに委任管理が追加されることになる。
ステップS41で、LPA 142とサーバ210との間に安全なチャネルが確立される。
プロファイルICCIDのリストがMNOから取得されると、ステップS31で、そのための委任管理が追加されることになるフリープロファイルが選択される。すなわち、あるプロファイルが選択され、MNOの管理範囲から取り外され、会社300により管理されることになる。その中で識別されたプロファイルのための委任管理を支援するサーバ上に確立されたサブスクリプショングループが既にある場合、ステップS51で、サーバには、選択されたICCIDをプロファイル名と共にこのサブスクリプショングループに追加するように指示される。
対応する信号通信は、図7BのステップS511で示されるように、リクエスト、joinSubscriptionGroup(subscriptionGroupID, ICCID, profileName)コマンドをサーバに送信することを含み得る。subscriptionGroupIDはサブスクリプショングループを識別する識別子であり、ICCIDは選択されたプロファイルの識別子であり、profileNameは選択されたプロファイルの名前である。ステップS512でサーバから受け取られたjoinSubscriptionGroupResponse()は、リクエストの受取りを確認する。
新しいサブスクリプショングループが委任管理のために作成されることになる場合(図6AステップS61)、図7BのステップS611でcreateSubscriptionGroup(ICCID, profileName)コマンドがサーバに送信され、ICCIDは識別子であり、profileNameは選択されたプロファイルの名前である。ステップS612で、確認応答がLPAにおいてサーバから受け取られ、これは作成されたサブスクリプショングループの識別子を含む。
プロファイルICCIDのリストがeUICCから取得される場合、手順は上述のケースと同様であり、既存のサブスクリプショングループに加えるか、又は新しいサブスクリプショングループを作成するステップの実行に顕著な相違があり、これについて図6B及び7Cを参照しながら以下に説明する。特に、プロファイル名の代わりにプロファイルIMSIが考慮される。
すなわち、その中で識別されたプロファイルのための委任管理を支援するサーバ上に確立されたサブスクリプショングループが既にある場合、ステップS52でサーバは選択されたプロファイルICCIDをプロファイルIMSIと共にサブスクリプショングループに追加するように指示される。
図7Cにおける対応する信号通信は、ステップS511で、リクエストjoinSubscriptionGroup(subscriptionGroupID, ICCID, IMSI)コマンドをサーバに送信することを含み得る。
新しいサブスクリプショングループが委任管理のために作成されることになる場合(図6BのステップS62)、図7CのステップS621でcreateSubscriptionGroup(ICCID, IMSI)コマンドがサーバに送信される。ステップS622で、LPAにおいてサーバから確認応答が受け取られ、これには作成されたサブスクリプショングループの識別子が含まれる。
上述の実施形態を通じて記載された方法、インタフェース、及び装置により、プロファイルグループの管理を、eUICCを備えるモバイルデバイスを提供する会社等の第三者に委任することができる。eUICCプロファイルの管理をサーバ及び専用インタフェースを通じて第三者の会社に委任することによって、接続された多数のデバイス及びそれらのプロファイルを取り扱うことによりMNOにかかる作業負荷が大幅に軽減される。
以上の説明文の中で、本発明はその具体的な実施形態に関して説明されている。しかしながら、本発明のより広い範囲から逸脱することなく、これらに様々な改良や変更が加えられることは明らかであろう。例えば、前述のプロセスフローはプロセス動作の特定の順序に関して説明されている。しかしながら、記載されているプロセス動作の多くの順序は、本発明の範囲又は動作に影響を与えずに変更され得る。明細書と図面はしたがって、限定的な意味ではなく例示的とみなされるべきである。
本発明は、eUICC(embedded Universal Integrated Circuit Cards:組み込みユニバーサル集積回路カード)のための複数のプロファイルを管理する方法と装置に関し、より詳しくは、委任されたeUICCプロファイル管理の方法と装置に関する。
発明の背景
近年、モバイルネットワーク上での通信のための電子サブスクライバプロファイルを利用するように構成されたモバイル機器が出現した。このようなモバイル機器は典型的に、モバイルデバイスが1つ又は複数のモバイルネットワークに接続できるようにし得る電子サブスクライバ識別モジュール(eSIM)プロファイル等の1つ又は複数の電子サブスクライバプロファイルを保存するように構成された電子/組み込みセキュア要素デバイス、例えば電子/組み込みユニバーサル集積回路カード(eUICC)を備えている。サブスクライバプロファイル(例えば、eSIMプロファイル)は、モバイルネットワークオペレータ(MNO)により生成され得て、モバイルネットワークデバイスにダウンロードされ得る。サブスクライバプロファイルはすると、モバイルデバイスのセキュアエレメント上にインストールされて、モバイルデバイスによる対応するモバイルネットワーク上での通信に使用され得る。
図1は、GSMアソシエーションにより発行されたSGP.22 RSP Technical Specification, Version 2.2.2に記載されているリモートeSIMプロビジョニングシステムのアーキテクチャの簡略表現を示す。eSIMプロビジョニングシステム100は幾つかの要素、すなわちSM-DP+(Subscription Manager - Data Preparation and Secure Routing、110)、SM-DS(Subscription Manager - Discovery Server、150)、LPA(Local Profile Assistance、142)、及びeUICC、141を中心として組織化され、後者はエンドユーザ130のモバイルデバイス140の一部である。
SM-DP+はMNO 120により提供されるサブスクライバプロファイルの作成、リモート管理(イネーブル、ディスエーブル、アップデート、削除)、及び保護を担当する。LPA(Local Profile Assistant、142)は、eUICC 141に(暗号化された)プロファイルをダウンロードする能力を提供することを担当する、デバイス140内の機能群である。これはまた、エンドユーザ130にローカルマネジメントエンドユーザインタフェースも提示し、それらがeUICC 141上のプロファイルの状態を管理できるようにする。SM-DS 150は、SM-DP+ 110がeUICC 141と通信するための手段を提供する。
MNOによるプロファイル管理のための現在の解決策には、MNOがプロファイルを作成し、その後それがeUICC 141の固有の識別子EIDに結び付けられ、プロファイルがそこにダウンロードされることが含まれる。eUICC 141を含むモバイルデバイス140がSM-DP+ 110にアクセスすると、これはプロファイルのダウンロードを開始し、その後、使用する。デバイス140がプロファイルの使用を停止すると、MNO 120はそれをEIDから解除し、そのプロファイルは他のeUICCにより使用可能な状態となる。このような解決策は、例えば韓国特許出願公開第20130026351A号から知られている。「GSMA eSIM Group feedback on the request from ETSI TC SCP」は、eSIM製品に適用される、GSMAの「消費者向けデバイスのためのリモートSIMプロビジョニング(RSP)アーキテクチャ」の技術的説明を提供する。米国特許出願公開第2020/288300A1号は、組み込みサブスクライバ識別モジュール(eSIM)を有するデバイスからeSIMの固有の識別子を取得するサーバを開示している。米国特許出願公開第2014/038563A1号は、複数のアクティブなMNO(モバイルネットワークオペレータ)プロファイルを含む多用途組み込みユニバーサル集積回路カードを開示している。米国特許出願公開第2018/206123A1号は、サブスクリプションクレデンシャルの管理がモバイルネットワークオペレータから企業サーバに委任される方法を開示している。
eUICCの使用により、OEMのほか、末端顧客は、SIMカードを交換せずにサービスプロバイダ(及びそれゆえモバイルネットワーク)を柔軟に選択又は変更でき、それと同時にMNOのための幅広い消費者、M2M、及びIoTユースケース、自動車メーカ、デバイスベンダ、及びIoTサービスプロバイダが実現される。
MNOが中心的な役割を有するため、サービスプロバイダ及びプロファイルに関する何れの修正や変更もMNOによって行われなければならない。しかしながら、IoT及びM2Mアプリケーション内の接続デバイス数が増え続けるにつれて、多数のサブスクライバプロファイルを生成し、プロファイルをデバイスにダウンロードするためにMNOに多大な負担がかかる。MNOの中心的役割はそれゆえ、サブスクライバプロファイルを管理するための管理チェーンの中のボトルネックとなる。
したがって、上述の欠点に対処するeUICCプロファイル管理のための解決策を提供することが望ましい。
発明の概要
本発明は、独立請求項によりカバーされる主題により上述の目的に対処する。本発明の好ましい実施形態は従属項の中で定義される。
本発明の第一の態様によれば、組み込みユニバーサル集積回路カード、eUICCのプロファイルの委任管理の方法が提供される。eUICCはモバイルデバイスに含められ、このモバイルデバイスはローカルプロファイルアシスタント、LPAをさらに含む。第一のステップで、LPAはサーバへのeUICCの登録を行う。次のステップで、LPAはプロファイル識別子のリストを取得し、各プロファイル識別子はeUICCのために利用可能なそれぞれのプロファイルを一意的に識別する。すると、プロファイル識別子が取得されたリストから選択され、選択されたプロファイル識別子により識別されたプロファイルに、そのサーバ上のプロファイルの既存のサブスクリプショングループに加えることによって、又は選択されたプロファイル識別子に基づいてサーバ上に新しいサブスクリプショングループを作成することによって、委任管理が追加される。
好ましくは、プロファイル識別子はあるプロファイルを一意的に識別する固有のシリアル番号、ICCID(集積回路カードID)である。
サーバ上のあるサブスクリプショングループ内のプロファイル、すなわちその委任管理が追加されているプロファイルは、もはやMNOの管理下になく、会社や企業等の第三者が直接それを管理できる。
それにより、MNOにおいて、特に接続された多数のデバイス及びそれらのプロファイルの取り扱いを必要とするIoTアプリケーションのための作業負荷が大幅に軽減される。
本発明の幾つかの実施形態において、サーバにeUICCを登録することは、eUICC識別子、EIDをeUICCから取得することと、公開キーをeUICCから取得することと、公開キーを含む証明書署名リクエスト、CSRを生成することと、モバイルデバイスをEID及びCSRと共にサーバに登録することとを含む。
これによって、eUICCとサーバ間の相互認証が可能となる。
本発明の幾つかの実施形態において、モバイルデバイスをサーバに登録することは、サーバから、署名済み証明書を含む受取確認メッセージを受け取ることと、証明書を保存することとを含む。
好ましくは、証明書は証明当局、例えばGSMA証明書発行者、すなわちGSMAが信任した証明当局により署名される。署名済み証明書により、サーバの完全性の検証が可能となる。
本発明の幾つかの実施形態において、プロファイル識別子のリストを取得することは、サーバで、サーバが接続されていて、eUICCのための支援を提供するモバイルネットワークオペレータ、MNOがあるか否かをチェックすることを含む。この機能を実行しているMNOがある場合、プロファイル識別子の第一のリストがMNOから受け取られる。プロファイル識別子の第二のリストはeUICCから受け取られる。プロファイル識別子の第一のリストとプロファイル識別子の第二のリストはその後結合されて、そのeUICCが利用できるプロファイル識別子のリストが得られる。
これによって、様々なMNOにより提供されているか、デバイスのeUICC上にすでに保存されているかを問わず、モバイルデバイスで利用可能な全てのプロファイルの識別子を取得することが可能となる。
好ましくは、LPAは、MNOにリダイレクションを指示するサーバからのコマンドを受け取ることによってMNOにプロファイルのリストを要求するように指示される。
本発明の幾つかの実施形態において、MNOからプロファイルのリストを取得することは、eUICCに保存された個人識別データ、特にユーザ名とパスワードを使ってMNOにサインインすることと、MNOから認証トークンを受け取ることと、認証トークンを使ってMNOにプロファイル識別子のリストを要求することと、MNOからプロファイル識別子の第一のリストであって、MNOにより提供されたプロファイルのプロファイル識別子とプロファイル名を含む第一のリストを受け取ることと、プロファイル識別子の第一のリストを保存することとを含む。
本発明の幾つかの実施形態において、eUICCからプロファイル識別子の第二のリストを取得することは、GSMA準拠コマンドをeUICCに送信することと、eUICCからプロファイルの第二のリストを受け取ることとを含む。好ましくは、プロファイルの第二のリストは、eUICC内にインストールされた各プロファイルについて、そのeUICCのプロファイルメタデータ、特にプロファイル識別子、ICCID及びInternational Mobile Subscriber Identity、IMSIを含む。
本発明の幾つかの実施形態において、方法は、選択されたプロファイルに委任管理を追加する前に、LPAにより、サーバとの安全な通信チャネルを確立することをさらに含む。好ましくは、確立された安全な通信チャネルは、識別子認証及び暗号化を通じた安全なプライベート通信を提供する複数のセキュリティプロトコルをサポートする。
本発明の幾つかの実施形態において、プロファイル識別子のリストがMNOから取得された場合、サーバ上のサブスクリプショングループに加えることは、サーバに対し、選択されたプロファイル識別子をプロファイル名と共にサブスクリプショングループに追加するように指示することを含み、サーバ上でサブスクリプショングループを作成することは、サーバに対し、サブスクリプショングループ識別子の付された新しいサブスクリプショングループを作成して、プロファイル識別子をプロファイル名と共に新しいサブスクリプショングループに追加するように指示することを含む。
本発明の幾つかの実施形態において、プロファイル識別のリストがeUICCから取得された場合、サーバ上でサブスクリプショングループに加えることは、サーバに対し、選択されたプロファイル識別子をIMSIと共にサブスクリプショングループに追加するように指示することを含み、サーバ上にサブスクリプショングループを作成することは、サーバに対し、サブスクリプショングループ識別子の付された新しいサブスクリプショングループを作成して、プロファイルメタデータ、特にICCIDとIMSIを新しいサブスクリプショングループに追加するように指示することを含む。
本発明の第二の態様によれば、モバイルデバイス内に含められた組み込みユニバーサル集積回路カード、eUICCのプロファイルを管理するためのインタフェースが提供される。インタフェースはサーバに位置付けられ、少なくとも1つのモバイルネットワークオペレータ、MNOに接続できる。インタフェースは、サーバでのeUICCの認証を支援して、サーバにおける複数のプロファイルを含むサブスクリプショングループの作成と管理を提供し、少なくとも1つのMNOへの/少なくとも1つのMNOからのプロファイルのアップロード及び/又はダウンロードを提供するように構成される。
第二の態様による本発明の幾つかの実施形態において、インタフェースはさらに、サーバへのモバイルデバイスの登録、特にアプリケーションコールを通じた、又はプライベート招待リンクを通じた登録を支援するように構成される。
本発明の第三の態様によれば、装置、特にサーバが提供され、この装置は、少なくとも1つのモバイルネットワークオペレータ、MNOにより提供されるeUICCプロファイルを保存し、管理するように構成される。好ましくは、装置は第二の態様によるインタフェースを含む。
第三の態様による本発明の幾つかの実施形態において、装置はさらに、プロファイルグループを管理し、特にプロファイルのアップデートを行うための指示を受け、アップデートされたプロファイルを少なくとも1つのMNOにアップロードするように構成される。好ましくは、指示はアプリケーションコールを通じて、又は専用ウェブサイトにアクセスすることによって会社から受け取られる。
本発明の第四の態様によれば、リモートeUICCプロファイル管理システムが提供され、これはモバイルデバイスを含み、モバイルデバイスは組み込みユニバーサル集積回路カード、eUICCと、ローカルプロファイルアシスタント、LPAと、を含む。システムは、第三の態様によるサーバをさらに含み、サーバは第二の態様によるインタフェースを含む。システムは、会社から委任管理のリクエストを受け取り、委任管理のリクエストを受け取ると、第一の態様による方法を実行するように構成される。
本発明のさらなる態様によれば、コンピュータプログラム製品が提供され、これは命令を含み、命令はプログラムがコンピュータにより実行されると、コンピュータに、サーバでのeUICCの認証及び登録を実行させ、サーバはeUICCの複数のサブスクライバプロファイルを管理し、モバイルネットワークオペレータ、MNOに接続可能なインタフェースを含み、プロファイル識別子のリストを取得させ、各プロファイル識別子はeUICCに利用可能なそれぞれのプロファイルを一意的に識別し、選択されたプロファイル識別子に、サーバ上のプロファイルの既存のサブスクリプショングループに加えることによって、又は選択されたプロファイル識別子に基づいてサーバ上に新しいサブスクリプショングループを作成することによって、委任管理を追加させる。
本明細書に記載の態様及び実施形態により、会社は、その会社が電子サブスクライバプロファイルのプロビジョニングのために備えられるモバイルデバイスに提供するモバイルネットワークサブスクリプションを有効且つ効率的に管理することが可能となり、これは、サービスプロバイダ及びプロファイルに関するあらゆる修正及び変更を会社自身がサーバに直接アクセスすることによって実行できるからである。さらに、会社はGSMA仕様の範囲外にあるインタフェースを通じてeUICCプロファイルを管理すること、特に変更/アップデートすることもできるため、モバイルデバイスにアップロードしなければならないプロファイルが少なくて済む。
本願に記載のデバイス、要素、ユニット、及び手段は全て、ソフトウェア若しくはハードウェア素子又はそれらの組合せで実行できる点に留意しなければならない。本願に記載の各種の実体により実行される全てのステップのほか、記載されている機能は、それぞれの実体がそれぞれのステップ及び機能を実行するようになされ、又は構成されることを意味するものとする。
本発明のその他の態様、特徴、及び利点は、当業者にとって、本発明の好ましい実施形態及び変形型に関する以下の詳細な説明を添付の図面と共によく読むことにより明らかとなるであろう。
図面の簡単な説明
ここから、下記のような添付の図面を参照する。
リモートeSIMプロビジョニングシステムのアーキテクチャの簡略表現を示す。 本発明のある実施形態によるリモートeSIMプロビジョニングシステムのアーキテクチャを示す。 ある実施形態によるeUICCのプロファイルの委任管理の方法のフローチャートである。 ある実施形態による、サーバへのeUICCのプロファイルの委任管理の方法のさらなるステップを示す。 ある実施形態によるeUICCのプロファイルの委任管理の方法のさらなるステップを示す。 別の実施形態による、フリープロファイルに委任管理を追加するためのフローチャートを示す。 別の実施形態による、インストールされたプロファイルに委任管理を追加するためのフローチャートを示す。 ある実施形態によるeUICCプロファイルの委任管理の方法のシグナルダイアグラムの一部分を示す。 ある実施形態によるeUICCプロファイルの委任管理の方法のシグナルダイアグラムの一部分を示す。 ある実施形態によるeUICCプロファイルの委任管理の方法のシグナルダイアグラムの一部分を示す。
詳細な説明
以下に、本発明の詳細な説明を本発明の具体的な実施形態の例を図解する添付の図面を参照しながら提供する。これらの実施形態は、当業者が本発明を実施できるようにするのに十分に詳細に説明されている。本発明の各種の実施形態は、異なっていても、必ずしも相互に排他的であるとはかぎらないと理解されたい。例えば、本明細書中で1つの実施形態において記載されている特定の特徴、構造、又は特性は、他の実施形態でも実装され得て、それも本発明の範囲から逸脱しない。それに加えて、開示されている各実施形態の中の個々の要素の位置又は配置は、本発明の範囲から逸脱せずに変更され得ると理解されたい。したがって、以下の詳細な説明は限定的な意味で解釈されないものとし、本発明の範囲は適切に解釈される付属の特許請求項及び、特許請求項に認められる等価物の全範囲によってのみ定義される。図中、複数の図面を通じて、同様の番号は同じ又は同様の機能を指す。
本明細書全体を通じて、「eUICC」という用語は、プロファイルデータを有する少なくとも1つのサブスクリプションプロファイルを安全に保存することが意図される集積回路、ICと理解されたい。eUICCの中のプロファイルは、国際モバイルサブスクライバ識別番号、IMSI、固有シリアル番号、ICCID、暗号法による暗号化/解読キー、セキュリティ認証及び暗号化情報、ローカルネットワークに関する一時情報、ユーザがアクセスできるサービスのリスト、並びにM2Mデバイス、モバイルフォン、バーソナルコンピュータ等の端末機器上でサブスクライバを一意的に識別して認証するために使用される2つのパスワード、すなわち通常の使用のための個人識別番号(PIN)及びPINロック解除のための個人ブロック解除コード(PUK)をホストし得る。それに加えて、eUICC内のプロファイルはプロファイル名を含み得る。
本発明は、プロファイルグループのプロファイル管理をMNOから会社や企業等の第三者に、専用インタフェースを通じてサーバを介して委任するための解決策を提案する。このインタフェースはサーバ上に位置付けられ、したがってGSMA仕様の範囲外にある。
本願を通じて、その委任管理が追加されているプロファイルグループは、サブスクリプショングループとも呼ばれる。
図2は、ある実施形態によるリモートeSIMプロビジョニングシステムを示す。
システム300は、図1の既知のeSIMプロビジョニングシステムのコンポーネントのほかに、サーバ210(以下においてはProfile-To-Go-Serverとも呼ばれる)を含む。サーバは、例えば従業員にモバイルデバイスを提供する会社又は企業等の特定の会社300に位置付けることができる。サーバはまた、会社がアクセスできる仮想クラウドサーバとしても実現され得る。
インタフェース220は、サーバ210上にあり、それによって会社はプロファイルを管理し、プロファイルをアップデートし、プロファイルを取り消し、又は新しいプロファイルを購入できる。インタフェース220は、サーバ210でのeUICCの認証を提供する。さらに、インタフェース220は異なる方法でデバイスのエンロールメント、例えばアプリケーションからの、又はプライベート招待リンクを通じたeUICCを含むモバイルデバイスの登録等を受け入れるための支援を提供する。
会社300は、サーバにアプリケーション及び/又はウェブサイトを通じてアクセスし、プロファイルグループを管理し得て、これは、例えば既存のプロファイルをアップデートし、既存のプロファイルを削除し、新しいプロファイルを購入することである。プロファイルグループがアップデートされると、それがMNO 120にアップロードされる。MNO 120はプロファイルを、これらがインタフェース220を通じて受け取られると自動的に受け入れる。すると、GSMA仕様に従って、標的デバイスがインタネット接続を確立して新しいプロファイルを受け取る。
図3は、ある実施形態によるeUICCのプロファイルの委任管理の方法のフローチャートである。この方法は、図2のリモートeSIMプロビジョニングシステム200で実行され得る。
ステップS10で、LPA 142はeサーバ210へのeUICC 141の登録を実行する。ステップS20で、LPA 142はプロファイル識別子、ICCIDのリストを取得し、各ICCIDはそのeUICC 141に利用可能なそれぞれのプロファイルを一意的に識別する。ステップS30で、あるプロファイルICCIDが取得されたリストから選択され、委任管理が選択されたICCIDを持つプロファイルに追加される。特に、委任管理は、ステップS50で、すでに確立されたサブスクリプショングループに加えることによって、又はステップS60で、選択されたICCIDを有するサブスクリプショングループを作成することによって追加できる。プロファイルICCIDのサブスクリプショングループは、好ましくはサーバ上に位置付けられる。ステップS50及びS60の実行の詳細を、図6A及び6Bのほか図7B及び7Cに関して後で説明する。
委任管理を選択されたプロファイルに追加する前に、ステップS40で、LPA 142とサーバ210との間に安全な通信チャネルが確立され得る。
図4は、図3の登録ステップS10の好ましい実行のサブステップを示し、図7Aは登録ステップS10のシグナルダイアグラムを示す(図7A中、ローマ数字Iで示される)。
本発明の幾つかの実施形態において、サーバ220でのeUICC 141の登録は、ステップS11でeUICCからeUICC識別子EIDを取得することを含み得る。
図7Aに関して、ステップS11はLPA 141により、ステップS111でretrieveEID()コマンドをeUICCに送信し、ステップS112でeUICCからretrieveEIDResponse(EID)コマンドを受け取ることによって実行され得る。どちらのコマンドも、例えばSGP, 22 RSP Technical Specification, Version 2.2.2, June 2020に記載されているGSMA準拠コマンドであり得る。
ステップS12で、LPAはeUICCに対し、例えばコマンドcreateKeypair()をeUICCに送信し(図7AのステップS121)、(図7AのステップS122で)createKeyPairResponse(PublicKey)を受け取り、このようにしてステップS13でeUICCの公開キーを取得することを通じてキーペアを作成するように要求し得る。
その後、LPA 141はステップS14で証明書署名リクエストCSRを生成し得る。CSRは、ステップS121でeUICCから受け取った公開キーを含む。するとステップS15でLPAは、ステップS11でeUICCから受け取った識別子EID、CSR、及びデバイス名をサーバ210に登録し得る。
サーバへの登録が実行されると、証明書はステップS16でLPAにより受け取られ、ステップS17で保存される。証明書は証明当局により署名されて、サーバの完全性の検証を可能にする。
図5は、図3のステップS20の好ましい実行の、eUICCを含むデバイスのユーザに利用可能なプロファイルICCIDのリストを取得するサブステップを示す。それに対応するシグナルダイアグラムは図7Bに示されている。
図5、ステップS27~S28、及び図7Cを参照すると、プロファイルICCIDのリストはeUICCから取得される。
ステップS27は、SGP.22 RSP Technical Specificationに記載されている従来のGSMAコマンド、例えば図7Cの中でS27により示されるES10b.GetProfilesInfoを使って実行され得る。
任意選択により、MNOが登録されたeUICCのための支援(ステップS21で行われるチェック)を提供すると、対応するユーザのプロファイルのICCIDが、それらをMNOからeUICCから取得するステップ(図5のステップS22~S26及び図7Bのローマ数字IIにより示される部分)に加えて取得され得る。特に、LPA 142にはサーバ210により、ステップ213でMNOサイトへのリダイレクションを実行することが通知され得る。この信号/メッセージは、LPAに、ステップS22でMNOにユーザ名及びパスワードでサインインして、ステップS23で認証トークンを含むサインイン確認をMNOから受け取るように促す。この認証トークンを使って、LPAはステップS24でMNOにプロファイルICCIDのリストを要求し、ステップS25でICCIDを受け取り得る。
認証トークンの使用は、保護されたプロファイルを(おそらく限定された持続時間のセッション内で)1回認証する方法を提供し、そのトークンをそのセッション中にさらに認証を行うために使用する。
受け取ったプロファイルICCIDのリストはステップS26でLPAによって将来の使用のために保存され得る。
プロファイルICCIDのリストを取得すると、1つのプロファイルICCIDが選択され、選択されたICCIDにより識別される対応するプロファイルに委任管理が追加される。これは好ましくは、選択されたICCIDを既存のサブスクリプショングループに追加することによって、又は新しいサブスクリプショングループを作成し、選択されたICCIDをその新しいサブスクリプショングループに追加することによって実現される。好ましくは、新しいサブスクリプショングループは、サーバ上に委任管理に利用できるサブスクリプショングループがない場合に作成される。代替的に、幾つかのサブスクリプショングループを作成し、サーバに保存できる。
そのICCIDがサーバによりアクセス可能なサブスクリプショングループに追加されたプロファイルは、委任により、すなわち、MNOによってではなく第三者によって管理される。換言すれば、プロファイル管理はあるプロファイルグループについてMNOから第三者に委任される。
委任管理をプロファイルに追加するための好ましい実施形態を以下に、図6A及び6Bを参照して説明する。図6Aは、委任管理をフリープロファイルに追加するためのフローチャートを示し、図6Bは委任管理をインストールされたフリープロファイルに追加するためのフローチャートを示す。対応するシグナルダイアグラムは図7Bのローマ数字IIIにより示される下側部分と、図7C(ローマ数字IV)である。フリープロファイルとは、MNOによりサポートされる、eUICCにダウンロード及びインストールされていないプロファイルを指す。すでにインストールされたプロファイルとは、すでにeUICCにダウンロードされてインストールされたプロファイルを指す。
図6A及び図7BのIIIの部分を参照すると、ステップS31で、MNOから受け取ったプロファイルICCIDのリストから1つのプロファイルICCIDが選択され、そこに委任管理が追加されることになる。
ステップS41で、LPA 142とサーバ210との間に安全なチャネルが確立される。
プロファイルICCIDのリストがMNOから取得されると、ステップS31で、そのための委任管理が追加されることになるフリープロファイルが選択される。すなわち、あるプロファイルが選択され、MNOの管理範囲から取り外され、会社300により管理されることになる。その中で識別されたプロファイルのための委任管理を支援するサーバ上に確立されたサブスクリプショングループが既にある場合、ステップS51で、サーバには、選択されたICCIDをプロファイル名と共にこのサブスクリプショングループに追加するように指示される。
対応する信号通信は、図7BのステップS511で示されるように、リクエスト、joinSubscriptionGroup(subscriptionGroupID, ICCID, profileName)コマンドをサーバに送信することを含み得る。subscriptionGroupIDはサブスクリプショングループを識別する識別子であり、ICCIDは選択されたプロファイルの識別子であり、profileNameは選択されたプロファイルの名前である。ステップS512でサーバから受け取られたjoinSubscriptionGroupResponse()は、リクエストの受取りを確認する。
新しいサブスクリプショングループが委任管理のために作成されることになる場合(図6AステップS61)、図7BのステップS611でcreateSubscriptionGroup(ICCID, profileName)コマンドがサーバに送信され、ICCIDは識別子であり、profileNameは選択されたプロファイルの名前である。ステップS612で、確認応答がLPAにおいてサーバから受け取られ、これは作成されたサブスクリプショングループの識別子を含む。
プロファイルICCIDのリストがeUICCから取得される場合、手順は上述のケースと同様であり、既存のサブスクリプショングループに加えるか、又は新しいサブスクリプショングループを作成するステップの実行に顕著な相違があり、これについて図6B及び7Cを参照しながら以下に説明する。特に、プロファイル名の代わりにプロファイルIMSIが考慮される。
すなわち、その中で識別されたプロファイルのための委任管理を支援するサーバ上に確立されたサブスクリプショングループが既にある場合、ステップS52でサーバは選択されたプロファイルICCIDをプロファイルIMSIと共にサブスクリプショングループに追加するように指示される。
図7Cにおける対応する信号通信は、ステップS511で、リクエストjoinSubscriptionGroup(subscriptionGroupID, ICCID, IMSI)コマンドをサーバに送信することを含み得る。
新しいサブスクリプショングループが委任管理のために作成されることになる場合(図6BのステップS62)、図7CのステップS621でcreateSubscriptionGroup(ICCID, IMSI)コマンドがサーバに送信される。ステップS622で、LPAにおいてサーバから確認応答が受け取られ、これには作成されたサブスクリプショングループの識別子が含まれる。
上述の実施形態を通じて記載された方法、インタフェース、及び装置により、プロファイルグループの管理を、eUICCを備えるモバイルデバイスを提供する会社等の第三者に委任することができる。eUICCプロファイルの管理をサーバ及び専用インタフェースを通じて第三者の会社に委任することによって、接続された多数のデバイス及びそれらのプロファイルを取り扱うことによりMNOにかかる作業負荷が大幅に軽減される。
以上の説明文の中で、本発明はその具体的な実施形態に関して説明されている。しかしながら、本発明のより広い範囲から逸脱することなく、これらに様々な改良や変更が加えられることは明らかであろう。例えば、前述のプロセスフローはプロセス動作の特定の順序に関して説明されている。しかしながら、記載されているプロセス動作の多くの順序は、本発明の範囲又は動作に影響を与えずに変更され得る。明細書と図面はしたがって、限定的な意味ではなく例示的とみなされるべきである。

Claims (15)

  1. モバイルデバイス(140)に含まれる組み込みユニバーサル集積回路カード、eUICC(141)のプロファイルの委任管理の方法であって、前記モバイルデバイス(140)はローカルプロファイルアシスタント、LPA(142)をさらに含み、
    - 前記LPA(142)により、前記eUICC(141)をサーバ(210)に登録すること(S10)と、
    - 前記LPA(142)において、プロファイル識別子のリストであって、各プロファイル識別子は前記eUICCの(141)ために利用可能なそれぞれのプロファイルを一意的に識別するリストを取得すること(S20)と、
    - 前記LPA(142)により、プロファイル識別子を前記取得されたリストから選択すること(S30)と、
    - 前記選択されたプロファイル識別子により識別されたプロファイルに、前記選択されたプロファイル識別子で前記サーバ(210)上のプロファイルの既存のサブスクリプショングループに加えること(S50)によって、又は前記選択されたプロファイル識別子に基づいて前記サーバ(210)上に新しいサブスクリプショングループを作成すること(S60)によって、委任管理を追加すること(S50、S60)と、
    を含む方法。
  2. 前記eUICC(141)を前記サーバ(210)に登録すること(S10)は、
    - eUICC識別子、EIDを前記eUICC(141)から取得すること(S11)と、
    - 公開キーを前記eUICC(141)から取得すること(S12、S13)と、
    - 前記公開キーを含む証明書署名リクエスト、CSRを生成すること(S14)と、
    - 前記モバイルデバイスを前記EID及びCSRと共に前記サーバに登録すること(S15)と、
    を含む、請求項1に記載の方法。
  3. 前記eUICC(142)を前記サーバ(210)に登録すること(S15)は、前記サーバ(210)から、署名済みの証明書を含む受取確認メッセージを受け取ること(S16)と、前記証明書を保存すること(S17)とを含む、請求項1又は2に記載の方法。
  4. 前記プロファイル識別子のリストを取得すること(S20)は、
    - 前記サーバ(210)で、前記サーバ(210)が接続されていて、前記eUICC(141)のための支援を提供する、特に機能を実行するモバイルネットワークオペレータ、MNO(120)があるか否かをチェックすること(S21)と、
    - 前記機能を実行するMNO(120)がある場合、プロファイル識別子の第一のリストを前記MNO(120)から取得することと、
    - プロファイル識別子の第二のリストを前記eUICC(141)から取得することと、
    - 前記第一のリストを前記第二のリストと結合して、前記プロファイル識別子のリストを取得することと、
    を含む、請求項1~3の何れか1項に記載の方法。
  5. 前記プロファイルの第一のリストを前記MNO(120)から取得することは、
    - 前記eUICC(141)に保存された個人識別データ、特にユーザ名とパスワードを使って前記MNO(120)にサインインすること(S22)と、
    - 前記MNO(120)から認証トークンを受け取ること(S23)と、
    - 前記認証トークンを使って前記MNO(120)に前記プロファイル識別子の第一のリストを要求すること(S24)と、
    - 前記MNOから前記プロファイル識別子の第一のリストを受け取ること(S25)であって、前記第一のリストは前記MNOにより提供されたプロファイルのプロファイル識別子とプロファイル名を含むことと、
    - 前記プロファイル識別子の第一のリストを保存すること(S26)と、
    を含む、請求項4に記載の方法。
  6. 前記eUICCから前記プロファイル識別子の第二のリストを取得することは、
    - GSMA準拠コマンドを前記eUICC(141)に送信すること(S27)と、
    - 前記eUICC(141)から前記プロファイルの第二のリストを受け取ること(S28)であって、前記プロファイルの第二のリストは、前記eUICC内にインストールされた各プロファイルについて、前記eUICCのプロファイルメタデータ、特にプロファイル識別子、ICCID及びInternational Mobile Subscriber Identity、IMSIを含むことと、
    を含む、請求項4又は5に記載の方法。
  7. 前記選択されたプロファイルに委任管理を追加すること(S50、S60)の前に、前記LPA(142)により、前記サーバ(210)との安全な通信チャネルを確立すること(S40、S41)をさらに含む、請求項1~6の何れか1項に記載の方法。
  8. 前記プロファイル識別子のリストが前記MNO(120)から取得される場合、
    前記サーバ(210)上のサブスクリプショングループに加えること(S50)は、前記サーバ(210)に対し、前記選択されたプロファイル識別子を前記プロファイル名と共に前記サブスクリプショングループに追加するように指示すること(S511)を含み、
    前記サーバ(210)上にサブスクリプショングループを作成すること(S60)は、前記サーバ(210)に対し、サブスクリプショングループ識別子の付された新しいサブスクリプショングループを作成して、前記プロファイル識別子を前記プロファイル名と共に前記新しいサブスクリプショングループに追加するように指示すること(S611)を含む、請求項4~7の何れか1項に記載の方法。
  9. 前記プロファイル識別のリストが前記eUICC(141)から取得される場合、
    前記サーバ(210)上のサブスクリプショングループに加えること(S50)は、前記サーバ(210)に対し、前記選択されたプロファイル識別子を前記IMSIと共に前記サブスクリプショングループに追加するように指示すること(S52)を含み、
    前記サーバ(210)上でサブスクリプショングループを作成すること(S60)は、前記サーバ(210)に対し、サブスクリプショングループ識別子の付された新しいサブスクリプショングループを作成して、前記プロファイルメタデータ、特にICCIDとIMSIを前記新しいサブスクリプショングループに追加するように指示すること(S62)を含む、請求項4~7の何れか1項に記載の方法。
  10. モバイルデバイス(140)内に含められた組み込みユニバーサル集積回路カード、eUICCのプロファイルを管理するためのインタフェース(220)であって、前記インタフェース(220)はサーバ(210)に位置付けられ、少なくとも1つのモバイルネットワークオペレータ、MNO(120)に接続することができ、
    - 前記サーバ(210)での前記eUICCの認証を支援し、
    - 複数のプロファイルを含むサブスクリプショングループの作成と管理を提供し、及び
    - 少なくとも1つのMNO(120)への/少なくとも1つのMNO(120)からのプロファイルのアップロード及び/又はダウンロードを提供する
    ように構成されるインタフェース(220)。
  11. さらに、前記サーバ(210)への前記モバイルデバイス(140)の登録、特にアプリケーションコールを通じた、又はプライベート招待リンクを通じた登録を支援するように構成される、請求項10に記載のインタフェース(220)。
  12. 少なくとも1つのモバイルネットワークオペレータ、MNO(120)により提供されるeUICCプロファイルを保存し、管理するように構成される装置(210)、特にサーバであって、請求項10に記載の前記インタフェース(220)を含む装置(210)。
  13. プロファイルグループを管理し、特にプロファイルアップデートを行うための指示を受け、アップデートされたプロファイルを前記少なくとも1つのMNO(120)にアップロードするようにさらに構成される、請求項12に記載の装置(210)。
  14. リモートeUICCプロファイル管理システム(200)であって、
    - モバイルデバイス(140)であって、組み込みユニバーサル集積回路カード、eUICC(141)とローカルプロファイルアシスタント、LPA(142)とを含むモバイルデバイス(140)と、
    - 請求項12又は13に記載の前記サーバ(210)であって、請求項10又は11に記載の前記インタフェース(220)を含む前記サーバ(210)と、
    を含み、
    - 会社(300)から委任管理のリクエストを受け取り、前記委任管理のリクエストを受け取ると、請求項1~9の何れか1項に記載の前記方法を実行するように構成されるシステム(200)。
  15. コンピュータプログラム製品であって、前記プログラムがコンピュータにより実行されると、前記コンピュータに、
    - サーバ(210)でのeUICC(141)の認証及び登録を実行させ、前記サーバ(210)は前記eUICC(141)の複数のサブスクライバプロファイルを管理し、モバイルネットワークオペレータ、MNO(120)に接続可能なインタフェース(220)を含み、
    - プロファイル識別子のリストを取得させ、各プロファイル識別子は前記eUICC(141)に利用可能なそれぞれのプロファイルを一意的に識別し、及び
    - 前記選択されたプロファイル識別子により識別されたプロファイルに、前記サーバ(210)上のプロファイルの既存のサブスクリプショングループに加えることによって、又は前記選択されたプロファイル識別子に基づいて前記サーバ(210)上に新しいサブスクリプショングループを作成することによって、委任管理を追加させる
    命令を含むコンピュータプログラム製品。
JP2024507988A 2021-08-12 2022-08-09 eUICCプロファイル委任管理 Pending JP2024530370A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP21382759.5A EP4135372A1 (en) 2021-08-12 2021-08-12 Delegated euicc profile management
EP21382759.5 2021-08-12
PCT/EP2022/072346 WO2023017031A1 (en) 2021-08-12 2022-08-09 Delegated euicc profile management

Publications (1)

Publication Number Publication Date
JP2024530370A true JP2024530370A (ja) 2024-08-20

Family

ID=77358190

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2024507988A Pending JP2024530370A (ja) 2021-08-12 2022-08-09 eUICCプロファイル委任管理

Country Status (6)

Country Link
US (1) US20240349032A1 (ja)
EP (1) EP4135372A1 (ja)
JP (1) JP2024530370A (ja)
KR (1) KR20240042059A (ja)
CN (1) CN118077231A (ja)
WO (1) WO2023017031A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2025052592A1 (ja) * 2023-09-06 2025-03-13 株式会社Nttドコモ ネットワークノード、端末、及び通信方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102001869B1 (ko) 2011-09-05 2019-07-19 주식회사 케이티 eUICC의 프로파일 관리방법 및 그를 이용한 eUICC, eUICC 탑재 단말과, 프로비저닝 방법 및 MNO 변경 방법
US8577337B2 (en) * 2012-03-05 2013-11-05 Rogers Communications Inc. Radio management method and system using embedded universal integrated circuit card
US20170048251A1 (en) * 2015-08-14 2017-02-16 Microsoft Technology Licensing, Llc Mobile operator profile management delegation
US11006266B2 (en) * 2019-03-04 2021-05-11 Cisco Technology, Inc. Onboarding device using embedded subscriber identification module
US11109220B1 (en) * 2020-05-29 2021-08-31 T-Mobile Usa, Inc. Enterprise embedded subscriber identification module solutions

Also Published As

Publication number Publication date
KR20240042059A (ko) 2024-04-01
WO2023017031A1 (en) 2023-02-16
US20240349032A1 (en) 2024-10-17
CN118077231A (zh) 2024-05-24
EP4135372A1 (en) 2023-02-15

Similar Documents

Publication Publication Date Title
JP6533203B2 (ja) 複数のアクセス制御クライアントをサポートするモバイル装置、及び対応する方法
US9661666B2 (en) Apparatus and methods of identity management in a multi-network system
US9877194B2 (en) Methods and apparatus for delivering electronic identification components over a wireless network
RU2414086C2 (ru) Аутентификация приложения
US9831903B1 (en) Update of a trusted name list
US8516133B2 (en) Method and system for mobile device credentialing
US11523261B2 (en) Handling of subscription profiles for a set of wireless devices
US20080108321A1 (en) Over-the-air (OTA) device provisioning in broadband wireless networks
CN107332817B (zh) 支持多个访问控制客户端的移动装置和对应的方法
CN115516887B (zh) 在独立非公共网络中载入设备
CN108886688A (zh) 用于中立主机lte的lte层级安全性
US20200008052A1 (en) Attachment of a wireless device to a mobile network operator
CN110268730A (zh) 用于管理向运营商的订阅的技术
JP2024530370A (ja) eUICCプロファイル委任管理
WO2020058559A1 (en) Credentials management
JP7447610B2 (ja) 情報処理装置、情報処理プログラム、及び情報処理方法
WO2019229188A1 (en) Subscriber access to wireless networks
EP4109945B1 (en) Token, particularly otp, based authentication system and method
CN114830702A (zh) 用于管理用于接入通信网络的配置文件的方法
US20250159465A1 (en) Subscription Profile Download and Installation
CN1698308B (zh) 允许在蜂窝通信系统中重新认证的方法和装置
WO2024188505A1 (en) Method for authenticating a general or non-privileged application that is running on or is executed by a user equipment, user equipment, system or telecommunications network, entitlement configuration server entity, program and computer-readable medium

Legal Events

Date Code Title Description
A529 Written submission of copy of amendment under article 34 pct

Free format text: JAPANESE INTERMEDIATE CODE: A529

Effective date: 20240308

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240308

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240805

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20250117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20250122

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20250422

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250619