用于更新与电信终端合作的安全元件的方法

本发明涉及电信领域，并且更具体地涉及诸如与终端交互的UICC(通用集成电路卡)、eUICC(嵌入式UICC)、iUICC(集成UICC)之类的安全性元件的远程监管(administration)的领域，所述终端例如便携式终端，诸如电话、智能手机、PDA或计算机。安全性元件也可以采取机器(诸如在M2M(机器到机器)的领域中)中的集成电路的形式。它们不一定物理连接到终端，并且然而可以经由短程链路与终端通信，在短程链路中，安全性元件是远程的，并且经由短程信道与终端通信(例如蓝牙或Wifi)。

这样的安全性元件的监管通常是OTA(在空中)执行的，以便更新或安装安全性元件中的数据或程序。这种类型的监管可以使用http协议(超文本传输协议)或SMS(短消息服务)。

存在两种监管安全性元件的方法：

第一种涉及例如在更新活动期间将数据或程序从OTA平台或服务器传送到目标安全性元件。这种类型的监管称为“推送”，并且基于SMS模式下的传输。关于这种方法的问题是它不适合新一代网络，诸如不支持SMS的纯LTE网络(它们完全是http)。此外，已经建立通过http进行的RAM或RFM类型监管，以避免不可靠的协议，诸如SMS。

第二种涉及例如定期地或在事件发生时查询OTA平台，以查明是否存在任何可用的更新。这个查询由安全性元件发起，并且被称为“轮询”或“拉取(pul l)”(安全性元件查看OTA平台是否有任何东西要传送给它)。经由http协议执行查询。

图1图示用于基于该原理监管安全性元件的系统。

在该图中，由OTA平台11或服务器监管安全性元件10。

安全性元件10与未图示的电信终端交互。

该过程从阶段12开始，其涉及在安全性元件10的主动下(at the init iat iveof)查询OTA平台11，以查明OTA平台11是否有数据或程序要传送给安全性元件10。所图示的所有交换都是根据SCP 81协议执行的。

在阶段13期间，服务器11回答安全性元件10，说明它已经接收到后者的请求，并在阶段14期间确认该接收。

在阶段15期间，安全性元件10向服务器11发送PSK ID。PSK ID指的是在安全性元件10和服务器11之间共享的与身份(ID)相关联的预先建立的密钥(PSK)。借助于该PSK密钥，服务器11识别安全性元件10。

有利的是，应参考以下地址处可用的IETF推荐：https://tools.ietf.org/html/rfc4279。

在阶段16期间，安全性元件10选择密码套件，例如AES128或3DES套件。

服务器11在阶段17期间接受所建议的密码套件，并且随后在阶段18期间完成与安全性元件10的握手信道的建立。

阶段19随后涉及在由此建立的安全TLS-PSK信道上交换数据。特别地，在该阶段19期间，安全性元件10向服务器11传送URL，其中该URL对应于对于其请求(简单的数据更新，如果这是其第一次使用，则激活安全性元件10……)的原因。

关于这个解决方案的问题在于通常安全性元件10不等待事件发生来查询OTA平台11的事实。因此，定期执行“轮询”，例如每十五天或每月执行“轮询”，并且在大多数时间里，OTA平台11没有任何东西要传送到安全性元件10……申请人已经注意到，例如，在现场由安全性元件10对OTA平台11进行的90％的查询中，没有更新或程序或数据要传送到安全性元件10。这导致不必要的无线业务和OTA平台的超负荷(每次查询安全性元件时，在安全性元件和OTA平台之间建立TLS-PSK链路)。因此，通常由20引用的阶段12至18在大多数时间是不必要的。

另一个问题是OTA平台11不断地被用于各种任务，所述任务并不都具有相同的紧急程度。例如，更重要的是初始化安全性元件10(当订户第一次将其插入终端中时)，使得订户可以快速进行呼叫(例如下载他或她的联系人目录或下载完整的订阅)，而不是更新他或她的PLMN(公共陆地移动网络——安全性元件10在漫游时将优选地连接到的外地网络的列表)。

因此，在紧急请求和非紧急请求的处理的方面没有区别。在这种情况下，如果OTA服务器11被来自其它安全性元件的其它不太紧急的请求压垮，则可能导致OTA服务器11拒绝来自急需更新的安全性元件10的连接请求。

此外，当数据中心的内部网络涉及更新安全性元件(例如，安全性元件制造商的数据中心，移动运营商与所述安全性元件制造商一起定位了其服务)时，也将对该网络施加不必要的压力。此外，当该网络使用物理上分散的服务器时，将增加额外的通信。

为了克服第二种操作方式的这一缺点，两种解决方案是可能的：

-延长两个OTA平台查询(“轮询”)之间的周期(更新安全性元件中的应用程序以延长该周期)。缺点是，如果紧接最后一次查询之后更新可用，则安全性元件将只在很久以后才被更新；

-切换到“推送”模式。上述问题在这种情况下再次遇到。

还已知的是，对于例如M2M应用，可以使用LwM2M(轻量级M2M)协议。

LwM2M协议是专为物联网以及其它M2M应用中的远程装置管理和遥测而设计的通信协议。充当OMA装置管理(OMA DM)标准的继任者，轻量级M2M本质上设计成降低功率消耗和数据消耗，从而识别和响应于不断增长的M2M市场对具有有限处理和存储能力的低功率装置(其也称为资源受限装置)专用解决方案的需求。

该协议的规范描述许多典型的IoT装置管理功能，诸如远程装置操作、固件和软件更新(FOTA和SOTA)、连接性监测和管理，其包括蜂窝管理和供应。

然而，LwM2M协议旨在用于装置管理，并且对该装置中包括的安全元件没有影响。安全元件的监管超出了LwM2M协议的范围。

本发明提出使用LwM2M协议来触发由OTA服务器对安全元件的监管。

更准确地说，本发明提出一种用于更新电信网络中与电信终端合作的安全元件的方法，所述更新由OTA服务器执行，所述方法包括：

-通过LwM2M信道从OTA服务器向安全元件发送轮询消息的触发，以便向所述安全元件请求建立与OTA服务器的http信道，所述OTA服务器在建立所述http信道后通过所述http信道更新所述安全元件。

优选地，轮询消息的触发包括在由所述OTA服务器向所述安全元件每次发送轮询消息的触发时由OTA服务器递增的计数器(counter)。

有利地，对于每个安全元件，轮询消息的触发是多样化的。

优选地，多样化在于利用安全元件的ICCID加密轮询消息的触发。

本发明还涉及一种具有处理器的OTA服务器，所述处理器包括用来下列的指令：通过LwM2M信道向安全元件发送轮询消息的触发，以便向所述安全元件请求建立与所述OTA服务器的http信道，所述OTA服务器在建立所述http信道后通过所述http信道更新所述安全元件。

本发明还涉及一种具有处理器的LwM2M服务器，所述处理器包括用来下列的指令：通过到LwM2M客户端的LwM2M信道向安全元件发送轮询消息的触发，以便向这个安全元件请求建立与所述OTA服务器的http信道，所述OTA服务器在建立所述http信道后通过所述http信道更新所述安全元件。

本发明还涉及一种具有处理器的LwM2M客户端，所述处理器包括用来下列的指令：通过到安全元件的LwM2M信道从LwM2M服务器接收轮询消息的触发，以便向这个安全元件请求建立与所述OTA服务器的http信道，所述OTA服务器在建立所述http信道后通过所述http信道更新所述安全元件。

本发明还涉及一种具有处理器的安全元件，所述处理器包括用来下列的指令：通过到这个安全元件的LwM2M信道从LwM2M接收轮询消息的触发，以便向这个安全元件请求建立与所述OTA服务器的http信道，所述OTA服务器在建立所述http信道后通过所述http信道更新所述安全元件。

最后，本发明涉及一种包括在OTA平台、LwM2M服务器、LwM2M客户端和与装置合作的安全元件中的小程序，这个小程序包括用于下列的指令：触发通过到这个安全元件的LwM2M信道的轮询消息，以便向这个安全元件请求建立与所述OTA服务器的http信道，所述OTA服务器在建立所述http信道后通过所述http信道更新所述安全元件。

将在以下附图中呈现本发明的其它特征和优点，所述附图表示：

-图1是现有技术；

-图2是本发明的优选实施例；

-图3是图2中所表示的解决方案的备选方案。

图1已经关于现有技术呈现。

图2表示本发明的优选实施例。

在该图中，表示了三个主要实体：可以是M2M装置的装置30、监管装置30的装置管理平台31和具有用来监管与装置30合作的安全元件34的任务(将数据或应用下载到安全元件34中)的OTA平台(或服务器)32。

装置30包括LwM2M客户端33和装置管理平台31、LwM2M服务器36。装置管理平台31还包括链接到LwM2M服务器36、OTA平台32和IoT集线器(hub)38的凭证管理单元37。

仅为了理解的完整性而表示凭证管理单元37和IoT集线器38，因为它们不是本发明的一部分。凭证管理单元37从装置30收集信息(例如比如气体或电力的消耗)，并将这些信息存储在IoT集线器38中。由位于装置30中的存储装置35通过位于LwM2M客户端33和存储装置35之间的应用发送这些信息，所述应用未被表示。

本发明如下工作：

为了更新与电信终端(或装置)30合作的安全元件34，OTA服务器32通过LwM2M信道向所述安全元件34发送轮询消息的触发，以便向安全元件34请求与OTA服务器建立http信道，OTA服务器在建立http信道后通过http信道更新安全元件。

为此，当OTA服务器32具有要下载到安全元件34的数据时，它向LwM2M服务器36发送轮询消息39(令牌)的触发。LwM2M服务器36向LwM2M客户端33发送这个令牌(步骤40)，LwM2M客户端33将该令牌发送给安全元件34。然后，由于包括在OTA服务器32和安全元件34中的SCP8181密钥，安全元件34开启与OTA服务器32的http信道42。当这个信道被开启时，OTA服务器32可以将数据或程序下载到安全元件34中。

由受限应用协议(CoAP)发送令牌40，该受限应用协议(CoAP)是用于受限装置的专用互联网应用协议，如RFC 7252中定义的。CoAP是一种服务层协议，其旨在供在资源受限的互联网装置(诸如无线传感器网络节点)中使用。

用户数据报协议(UDP)在互联网协议(IP)之上操作，以通过网络传送数据报。

非IP数据输送(NIDD)提供IoT装置和企业应用之间的高效通信。NIDD能够在单次传输中传递至多1500字节，而没有由IP和更高层协议(诸如TCP或UDP)所要求的数十字节的开销。

因此，对于安全元件34不再存在对于定期触发OTA服务器32的需要，因为OTA服务器32通过LwM2M信道通知安全元件34它必须建立与这个OTA平台32的http信道。而且这个信道由于LwM2M信道触发而被开启，使得不存在来自装置30的功率消耗或存在至少有限的功率消耗，并且仅所要求的OTA操作在OTA平台32的主动下进行。

安全元件34建立与OTA平台32的http信道。

优选地，轮询消息的触发39包括在OTA服务器32向安全元件34每次发送轮询消息的触发时由OTA服务器32递增的计数器。这确保这两个元件之间的通信，因为安全元件32不能总是信任LwM2M客户端33，并且防止DOS攻击。

因此，令牌40可以被保护免受DOS攻击，以便安全元件34识别(regognize)它。它可以是对称密钥，如同计数器(令牌是令牌化的)。

在优选实施例中，对于每个安全元件，轮询消息的触发是多样化的。这确保每个轮询消息被寻址到目标安全元件34。这种多样化可以通过利用安全元件的唯一标识符(例如安全元件34的ICCID(它只要求安全元件34的唯一ID))加密轮询消息的触发来进行。然后，安全元件34可以解密接收到的轮询消息，并在拉取模式下建立http会话。

因此，本发明依赖于对于安全元件34的网络(OTA)发起的拉取。

由LwM2M客户端33发送和接收令牌39，LwM2M客户端33识别这个令牌旨在发送给安全元件34。

在图3中所表示的另一实施例中，OTA平台32不是向安全元件34发送轮询消息，而是通过LwM2M信道向安全元件34发送加密消息(具有SCP03密钥)50。这是更新脚本。

该加密消息(51，52)被转发到安全元件34，并且包含由SCP03密钥加密的安全元件34的更新。这在OTA平台32和安全元件34之间建立安全信道。图2中的http信道42不再存在。

也有可能使用SCP 11或SCP 04密钥代替SCP 03密钥。

在该实施例中，有可能使用OTA平台32和安全元件34之间的任何通信方式(SMS、http、LwM2M协议等)来更新安全元件34，因为脚本包含要由OTA平台32传送到安全元件34的数据。通过LwM2M信道发送要下载到安全元件的脚本，但是由于它们被SCP03密钥加密，因此只有安全元件34将能够解密脚本。因此，不存在对于在OTA平台和安全元件之间建立专用的http信道(如同图2中所示，参考42)的需要。

本发明还涉及具有处理器的OTA服务器32，该处理器包括用来下列的指令：通过LwM2M信道向安全元件34发送轮询消息的触发，以便向这个安全元件34请求建立与OTA服务器32的http信道，OTA服务器32在建立http信道之后通过http信道更新安全元件34。

本发明还涉及具有处理器的LwM2M服务器36，该处理器包括用来下列的指令：通过到LwM2M客户端33的LwM2M信道向安全元件34发送轮询消息的触发，以便向这个安全元件34请求建立与OTA服务器32的http信道，OTA服务器32在建立http信道之后通过http信道更新安全元件34。

本发明还涉及具有处理器的LwM2M客户端，该处理器包括用来下列的指令：通过到安全元件34的LwM2M信道从LwM2M服务器接收轮询消息的触发，以便向这个安全元件34请求建立与OTA服务器32的http信道，OTA服务器32在建立http信道之后通过http信道更新安全元件34。

本发明还涉及一种具有处理器的安全元件，该处理器包括用来下列的指令：通过到这个安全元件34的LwM2M信道从LwM2M接收轮询消息的触发，以便向这个安全元件34请求建立与OTA服务器32的http信道，OTA服务器32在建立http信道之后通过http信道更新安全元件34。

最后，本发明涉及一种包括在OTA平台32、LwM2M服务器36、LwM2M客户端33和与装置30合作的安全元件34中的小程序，这个小程序包括用来下列的指令：触发通过到这个安全元件34的LwM2M信道的轮询消息，以向这个安全元件34请求建立与OTA服务器32的http信道，OTA服务器32在建立http信道后通过http信道更新安全元件34。

本发明可以在所有LPWAN网络(低功率无线接入网)(如同例如SigFox