Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
METHOD FOR OBTAINING A PROFILE FOR ACCESS TO A TELECOMMUNICATIONS NETWORK
Document Type and Number:
WIPO Patent Application WO/2018/115634
Kind Code:
A1
Abstract:
The invention relates to a method for obtaining a profile for access to a telecommunications network by a mobile device (10), the method comprising: - dispatch (E10) by the mobile device to a network entity (11) of a request for access to said network, said request comprising an initial subscriber identifier (IMSIini t) included in an initial profile, - mutual authentication (P14) between the mobile device and the network entity by means of an initial secret key (Kinit) associated with the initial identifier, - reception (E16) from the network entity of a new access profile for said network, said new access profile comprising a new subscriber identifier and a new secret key, said new profile being designed so as to access said network.

Inventors:
GHAROUT, Saïd (Orange Gardens - Imt/Olr/Ipl/Patents -, 44 avenue de la République -CS, 92326 CHÂTILLON CEDEX, 92326, FR)
HARTMANN, Charles (Orange Gardens - Imt/Olr/ipl/Patents -, 44 avenue de la République -CS, 92326 Châtillon Cedex, 92326, FR)
Application Number:
FR2017/053491
Publication Date:
June 28, 2018
Filing Date:
December 11, 2017
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
ORANGE (78 rue Olivier de Serres, Paris, 75015, FR)
International Classes:
H04W8/20; H04W12/06
Domestic Patent References:
WO2016185129A12016-11-24
WO2012177200A12012-12-27
Foreign References:
FR3034611A12016-10-07
US20160127132A12016-05-05
EP2632196A12013-08-28
Other References:
None
Attorney, Agent or Firm:
ORANGE IMT/OLR/IPL/PATENTS (Renard Béatrice, Orange Gardens -44 avenue de la République - CS, 92326 Châtillon Cedex, 92326, FR)
Download PDF:
Claims:
REVENDICATIONS

1. Procédé d'obtention d'un profil d'accès à un réseau de télécommunications par un équipement mobile (10), le procédé comprenant :

- envoi (E10, E20) par l'équipement mobile à une entité réseau (11) d'une requête d'accès audit réseau, ladite requête comprenant un identifiant initial d'abonné (IMSIinit) compris dans un profil initial,

- authentification mutuelle (P14, P24) entre l'équipement mobile et l'entité réseau au moyen d'une clé secrète initiale (Kinit) associée à l'identifiant initial,

- réception (E16, E30) en provenance l'entité réseau d'un nouveau profil d'accès audit réseau, ledit nouveau profil d'accès comprenant un nouvel identifiant d'abonné et une nouvelle clé secrète, ledit nouveau profil étant agencé pour accéder audit réseau.

2. Procédé selon la revendication 1, comprenant, lorsqu' aucun abonnement n'a été préalablement souscrit par un utilisateur de l'équipement mobile auprès d'un opérateur associé à l'entité réseau :

- réception d'un message, ledit message comprenant l'adresse d'un site de l'opérateur, ledit site étant dédié à des souscriptions d'abonnements,

- accès au site et souscription d'un abonnement auprès de l'opérateur associé à l'entité réseau, ledit abonnement étant utilisé par l'opérateur pour générer le profil d'accès.

3. Procédé selon la revendication 1, comprenant, lorsqu'aucun abonnement n'a été préalablement souscrit par un utilisateur de l'équipement mobile auprès d'un opérateur associé à l'entité réseau :

- réception d'un appel téléphonique en provenance de l'opérateur,

- souscription d'un abonnement auprès de l'opérateur associé à l'entité réseau, ledit abonnement étant utilisé par l'opérateur pour générer le profil d'accès.

4. Procédé selon l'une des revendications précédentes, dans lequel l'identifiant initial comprend au moins un champ représentatif d'un accès limité à l'obtention d'un profil d'accès au réseau.

5. Procédé selon l'une des revendications 1 à 3, dans lequel l'identifiant initial est lu au moyen de l'équipement mobile sur un ticket fourni par l'opérateur, ledit ticket comprenant un identifiant d'un module de sécurité compris dans l'équipement mobile.

6. Procédé de fourniture à un équipement mobile (10) d'un profil d'accès à un réseau de télécommunications par une entité réseau (11), le procédé comprenant :

- réception (El i, E21) en provenance d'un équipement mobile (10) d'une requête d'accès au réseau, ladite requête comprenant un identifiant initial d'abonné (IMSIinit) compris dans un profil initial,

- authentification mutuelle (P14, P24) entre l'entité réseau et l'équipement mobile au moyen d'une clé secrète initiale (Kinit) associée à l'identifiant initial,

- envoi (E15, E29) à l'équipement mobile d'un nouveau profil d'accès au réseau, ledit nouveau profil d'accès comprenant un nouvel identifiant d'abonné et une nouvelle clé secrète, ledit nouveau profil étant agencé pour accéder audit réseau.

7. Equipement mobile (10) comprenant :

- des moyens d'envoi (1014), agencés pour envoyer une requête d'accès au réseau, ladite requête comprenant un identifiant initial d'abonné (IMSIinit) compris dans un profil initial,

- des moyens d' authentification (1015), agencés pour mettre en œuvre une authentification mutuelle avec l'entité réseau au moyen d'une clé secrète initiale (Kinit) associée à l'identifiant initial,

- des moyens de réception (1016), agencés pour recevoir en provenance l'entité réseau un nouveau profil d'accès au réseau, ledit nouveau profil d'accès comprenant un nouvel identifiant d'abonné et une nouvelle clé secrète, ledit nouveau profil étant agencé pour accéder audit réseau.

8. Programme pour un équipement mobile, comprenant des instructions de code de programme destinées à commander l'exécution des étapes du procédé d'obtention d'un profil d'accès à un réseau selon l'une des revendications 1 à 5, lorsque le programme est exécuté sur ledit équipement.

9. Support de données dans lequel est enregistré le programme selon la revendication précédente.

10. Dispositif (11) d'un réseau de télécommunications, agencé pour fourni à un équipement mobile (10) un profil d'accès au réseau, ledit dispositif comprenant : - des moyens de réception (116), agencés pour recevoir en provenance de l'équipement mobile (10) une requête d'accès au réseau, ladite requête comprenant un identifiant initial d'abonné (IMSIinit) compris dans un profil initial,

- des moyens d' authentification (117), agencés pour mettre en œuvre une authentification mutuelle l'équipement mobile au moyen d'une clé secrète initiale (Kinit) associée à l'identifiant initial,

- des moyens d'envoi (118), agencés pour envoyer à l'équipement mobile un nouveau profil d'accès au réseau, ledit nouveau profil d'accès comprenant un nouvel identifiant d'abonné et une nouvelle clé secrète, ledit nouveau profil étant agencé pour accéder audit réseau.

11. Programme pour un dispositif réseau (11), comprenant des instructions de code de programme destinées à commander l'exécution des étapes du procédé de fourniture d'un profil d'accès à un réseau selon la revendication 6 lorsque le programme est exécuté sur ladite entité.

12. Support de données dans lequel est enregistré le programme selon la revendication précédente.

13. Système de distribution de profils d'accès à un réseau de télécommunications comprenant :

- un dispositif réseau selon la revendication 10,

- au moins un équipement mobile selon la revendication 7.

Description:
Procédé d'obtention d'un profil d'accès à un réseau de télécommunications

L'invention se rapporte au domaine des télécommunications.

Elle concerne plus particulièrement un procédé d'obtention d'un profil pour accéder à un réseau mobile à partir d'un équipement mobile.

Pour accéder à un réseau mobile, un abonné doit disposer sur son équipement mobile d'une application d'accès au réseau et de données associées. Ces éléments sont appelés « credentials opérateur », ou « profil opérateur », ou « profil d' accès au réseau ». Ils comprennent des données telles qu'un identifiant d'abonné, désigné généralement par « IMSI » (pour « International Mobile Subscriber Identity »), et une clé secrète, notée clé Kj pour les réseaux 2G et clé K pour les réseaux 3G et 4G, dont la connaissance est partagée entre le réseau mobile nominal, ou « HPLMN » (pour « Home Public Land Mobile Network »), ou réseau « home » de l'abonné, et un module de sécurité de type carte d'abonné, compris dans l'équipement mobile.

A partir de la clé K/Kj commune, de paramètres opérateurs, d'un algorithme d' authentification, par exemple Milenage, et d'une architecture de sécurité définie par l'organisme 3GPP, l'abonné est authentifié par l'opérateur du réseau nominal responsable de abonnement lors de son accès au réseau nominal ou à un réseau visité.

Ainsi, pour accéder à un réseau mobile, l'abonné doit disposer d'un profil d'accès associé à un abonnement qu'il a souscrit. A défaut il n'obtient pas l'accès au réseau, hormis pour des appels d'urgence, selon la réglementation du pays visité.

Dans le cas d'un module de sécurité classique amovible, de type UICC, appelé généralement carte « SIM » (de l'anglais « Subscriber Identity Module »), le profil de l'opérateur est habituellement installé dans le module de sécurité avant acquisition de l'équipement mobile par l'abonné. Dans le cas d'un module de sécurité embarqué de type « eUICC » (pour « embedded UICC »), ou carte SIM inamovible, le profil peut être installé avant acquisition de l'équipement par un utilisateur ou ultérieurement, une fois l'équipement mobile en possession de l'utilisateur. Dans ce dernier cas, l'utilisateur de l'équipement mobile peut commander, via une interface de l'équipement mobile après souscription d'un abonnement sur un portail de l'opérateur, ou lors de la souscription dans une boutique de l'opérateur ou d'un revendeur, le téléchargement du profil d'accès préparé par l'opérateur pour cet abonné dans le module de sécurité. Ce mode de fonctionnement offre une certaine souplesse lors d'une souscription initiale, ou lors d'un changement d'opérateur. Le profil d'accès préparé par l'opérateur au moment de l'abonnement est alors envoyé vers le module de sécurité à travers une liaison Internet de l'équipement mobile, ou à travers la connectivité d'un opérateur existant, lors du remplacement d'un profil associé à un précédent opérateur. Plus précisément, un gestionnaire local de profil, ou LPA (pour « Local Profile Assistant ») installé sur l'équipement mobile récupère auprès de l'opérateur le profil via la connexion Internet et l'installe sur la carte eUICC comprise dans l'équipement. Après installation du profil d'accès sur le module de sécurité, celui-ci est activé. L'abonné peut alors s'authentifier auprès de l'opérateur du réseau mobile pour accéder au réseau de cet opérateur et aux services associés. A noter que le module de sécurité est authentifié grâce à un certificat de carte contenant son identifiant physique EID (pour « eUICC Identifier »). Cela permet à l'opérateur de créer un profil d'accès qui est uniquement destiné à cette carte, à l'exclusion de toute autre, dans le cadre de procédures particulièrement sécurisées.

Dans les deux cas, c'est-à-dire dans le cas d'un module de sécurité classique de type carte SIM ou dans le cas d'un module de type carte eUICC, le profil correspondant à un abonnement qui a été souscrit préalablement auprès d'un opérateur identifié doit être installé sur le module de sécurité avant tout accès au réseau. Soit le profil est préalablement installé, soit il faut disposer d'une connectivité cellulaire existante ou Internet pour permettre l'installation du profil.

Actuellement aucune procédure n'est définie pour permettre d'accéder à n'importe quel réseau mobile et aux services associés sans possession préalable d'un profil d'accès créé pour abonné.

Un des buts de l'invention est de remédier à des insuffisances/inconvénients de l'état de la technique et/ou d'y apporter des améliorations.

A cette fin, l'invention propose un procédé d'obtention d'un profil d'accès à un réseau de télécommunications par un équipement mobile, le procédé comprenant :

- envoi par l'équipement mobile à une entité réseau d'une requête d'accès audit réseau, ladite requête comprenant un identifiant initial d'abonné compris dans un profil initial,

- authentification mutuelle entre l'équipement mobile et l'entité réseau au moyen d'une clé secrète initiale associée à l'identifiant initial,

- réception en provenance l'entité réseau d'un nouveau profil d'accès audit réseau, ledit nouveau profil d'accès comprenant un nouvel identifiant d'abonné et une nouvelle clé secrète, ledit nouveau profil étant agencé pour accéder audit réseau.

Le procédé offre la possibilité d'obtenir un profil d'accès à un réseau mobile auprès d'un opérateur, sans disposer initialement d'une connectivité existante auprès d'un autre opérateur, ou d'un accès Internet pour recevoir le profil d'accès. L'équipement mobile dispose de données opérateurs (ou « credentials ») initiales qui constituent un profil initial et qui permettent un premier accès au réseau mobile de l'opérateur limité à l'obtention d'un nouveau profil associé à un abonnement. Le nouveau profil est un profil opérationnel et pérenne dans le sens où il permet à l'abonné d'accéder au réseau de l'opérateur et aux services associés en tant que client.

Par ailleurs le procédé ne nécessite pas de modifier l'architecture de réseau existante et/ou de définir une interface spécifique pour l'accès au réseau mobile. C'est à l'opérateur de mettre à disposition un réseau de configuration (ou « provisioning ») dédié.

Dans un exemple de réalisation, le procédé comprend, lorsqu' aucun abonnement n'a été préalablement souscrit par un utilisateur de l'équipement mobile auprès d'un opérateur associé à l'entité réseau :

- réception d'un message, ledit message comprenant l'adresse d'un site de l'opérateur, ledit site étant dédié à des souscriptions d'abonnements,

- accès au site et souscription d'un abonnement auprès de l'opérateur associé à l'entité réseau, ledit abonnement étant utilisé par l'opérateur pour générer le profil d'accès.

Dans cet exemple de réalisation, l'utilisateur de l'équipement mobile n'a pas encore souscrit d'abonnement auprès de l'opérateur. Le premier accès au réseau lui permet d'accéder à un portail de l'opérateur dédié à la prise d'abonnement.

Dans une autre variante de réalisation, le procédé comprend, lorsqu' aucun abonnement n'a été préalablement souscrit par un utilisateur de l'équipement mobile auprès d'un opérateur associé à l'entité réseau :

- réception d'un appel téléphonique en provenance de l'opérateur,

- souscription d'un abonnement auprès de l'opérateur associé à l'entité réseau, ledit abonnement étant utilisé par l'opérateur pour générer le profil d'accès.

Cet exemple constitue une variante de l'exemple précédent dans le sens où la souscription d'abonnement se fait ici par téléphone.

Dans un exemple de réalisation, l'identifiant initial comprend au moins un champ représentatif d'un accès limité à l'obtention d'un profil d'accès au réseau.

Dans cet exemple, l'identifiant initial du profil initial possède un format générique, dans le sens où il comprend un ou plusieurs champs spécifiques. Par exemple, l'identifiant initial comprend un champ code pays MCC égal à « 000 », non utilisé actuellement dans le plan d'identification E212 de l'UIT-T (pour « Union Internationale des Télécommunications - secteur Télécommunications »), ou la combinaison d'un champ code pays MCC attribué, par exemple « 901 », actuellement partagé par des réseaux transnationaux et un champ code réseau national MNC non attribué, par exemple « 00 ». Ce format générique d'identifiant initial permet à l'opérateur qui reçoit la requête d'attachement au réseau de mettre en œuvre le traitement adéquat correspondant à un accès limité à l'obtention d'un profil d'accès opérationnel.

Dans un autre exemple de réalisation, l'identifiant initial est lu au moyen de l'équipement mobile sur un ticket fourni par l'opérateur, ledit ticket comprenant un identifiant d'un module de sécurité compris dans l'équipement mobile.

Cet exemple permet de s'affranchir de l'installation du profil initial qui comprend l'identifiant initial et la clé secrète initiale au moment de la fabrication du module de sécurité par un fabricant de modules. Par ailleurs, l'opérateur connaît déjà cette clé initiale ou possède le moyen de la calculer à partir de l'identifiant initial.

Cet exemple de réalisation est intéressant dans le sens où l'opérateur s'affranchit d'un accord préalable avec le fabricant de modules de sécurité pour l'injection préalable de données initiales dans les modules. Ici, c'est l'opérateur qui fournit ces données initiales. Par ailleurs, l'opérateur contrôle l'association entre un profil initial et un module de sécurité en associant le ticket à l'identifiant du module de sécurité. Ainsi, le profil d'accès au réseau opérationnel généré après le premier accès au réseau au moyen du profil initial n'est envoyé qu'au module de sécurité dont l'identifiant de module coïncide avec l'identifiant qui figure sur le ticket. Cela accroît la sécurité du procédé d'obtention d'un profil d'accès au réseau.

L'invention concerne aussi un procédé de fourniture à un équipement mobile d'un profil d' accès à un réseau de télécommunications par une entité réseau, le procédé comprenant :

- réception en provenance d'un équipement mobile d'une requête d'accès au réseau, ladite requête comprenant un identifiant initial d'abonné compris dans un profil initial,

- authentification mutuelle entre l'entité réseau et l'équipement mobile au moyen d'une clé secrète initiale associée à l'identifiant initial,

- envoi à l'équipement mobile d'un nouveau profil d'accès au réseau, ledit nouveau profil d'accès comprenant un nouvel identifiant d'abonné et une nouvelle clé secrète, ledit nouveau profil étant agencé pour accéder audit réseau.

L'invention porte également sur un équipement mobile comprenant :

- des moyens d'envoi, agencés pour envoyer une requête d'accès au réseau, ladite requête comprenant un identifiant initial d' abonné compris dans un profil initial,

- des moyens d' authentification, agencés pour mettre en œuvre une authentification mutuelle avec l'entité réseau au moyen d'une clé secrète initiale associée à l'identifiant initial,

- des moyens de réception, agencés pour recevoir en provenance l'entité réseau un nouveau profil d'accès au réseau, ledit nouveau profil d'accès comprenant un nouvel identifiant d'abonné et une nouvelle clé secrète, ledit nouveau profil étant agencé pour accéder audit réseau. L'invention concerne aussi un programme pour un équipement mobile, comprenant des instructions de code de programme destinées à commander l'exécution des étapes du procédé d'obtention d'un profil d'accès à un réseau tel que décrit précédemment, lorsque le programme est exécuté sur ledit équipement.

L'invention concerne également un support de données dans lequel est enregistré le programme ci-dessus.

L'invention porte aussi sur un dispositif d'un réseau de télécommunications, agencé pour fourni à un équipement mobile un profil d'accès au réseau, ledit dispositif comprenant :

- des moyens de réception, agencés pour recevoir en provenance de l'équipement mobile une requête d'accès au réseau, ladite requête comprenant un identifiant initial d'abonné compris dans un profil initial,

- des moyens d' authentification, agencés pour mettre en œuvre une authentification mutuelle l'équipement mobile au moyen d'une clé secrète initiale associée à l'identifiant initial,

- des moyens d'envoi, agencés pour envoyer à l'équipement mobile un nouveau profil d'accès au réseau, ledit nouveau profil d'accès comprenant un nouvel identifiant d'abonné et une nouvelle clé secrète, ledit nouveau profil étant agencé pour accéder audit réseau.

L'invention concerne également un programme pour un dispositif réseau, comprenant des instructions de code de programme destinées à commander l'exécution des étapes du procédé de fourniture d'un profil d'accès à un réseau tel que décrit précédemment, lorsque le programme est exécuté sur ladite entité.

L'invention concerne aussi un support de données dans lequel est enregistré le programme ci-dessus.

L'invention concerne également un système de distribution de profils d'accès à un réseau de télécommunications comprenant :

- un dispositif réseau tel que décrit précédemment,

- au moins un équipement mobile tel que décrit précédemment.

D'autres caractéristiques et avantages de la présente invention seront mieux compris de la description et des dessins annexés parmi lesquels :

- la figure 1 présente les étapes d'un procédé d'obtention d'un profil d'accès à un réseau mobile, selon un premier exemple de réalisation ;

- la figure 2 présente les étapes d'un procédé d'obtention d'un profil d'accès à un réseau mobile, selon un deuxième exemple de réalisation ; - la figure 3 est une représentation schématique d'un équipement mobile apte à mettre en œuvre le procédé d'obtention d'un profil d'accès à un réseau mobile, selon un exemple de réalisation ;

- la figure 4 est une représentation schématique d'un équipement réseau apte à mettre en œuvre le procédé d'obtention d'un profil d'accès à un réseau mobile, selon un exemple de réalisation.

Les étapes d'un procédé d'obtention d'un profil d'accès à un réseau mobile depuis un équipement mobile, selon un premier exemple de réalisation vont être décrites en relation avec la figure 1.

Dans l'exemple de réalisation décrit ici, un utilisateur (non représenté) possède un équipement mobile 10, tel qu'un terminal mobile, une tablette, etc. L'équipement mobile 10 comprend un module de sécurité 101 ou carte d'abonné, tel qu'une carte « eUICC » (pour « embedded UICC »), destiné à contenir un profil opérateur, ou profil d'accès, pour accéder à un réseau mobile. Le profil opérateur, préparé par un opérateur pour un abonné lors de la souscription d'un abonnement auprès de cet opérateur, est destiné à être utilisé par cet abonné lors de l'accès au réseau de cet opérateur et à des services associés. Pour l'abonné, le réseau de l'opérateur auprès duquel il souscrit l'abonnement est appelé réseau nominal, ou réseau « home », ou « HPLMN » (pour « Home Public Land Mobile Network »). Le profil opérateur comprend des données opérateur telles qu'un identifiant d'abonné compréhensible par le réseau et généralement noté « IMSI » (pour « International Mobile Subscriber Identity »), une clé secrète notée « K » dans les réseaux 3G et 4G, et « ¾ » dans les réseaux 2G, partagée entre le module de sécurité 101 et le réseau de l'opérateur, un algorithme d'authentification, par exemple Milenage ou Tuak, des paramètres et d'éventuelles applications propres à l'opérateur, par exemple une application de paiement. Par la suite, la clé secrète est appelée « clé K », indépendamment du type de réseau mobile concerné. Un réseau mobile de télécommunications, tel un réseau de type 3G, ou 4G est schématisé sur la figure 1 par une entité réseau 11.

A noter que pour accéder à un réseau mobile, un abonné doit posséder des données opérateurs, ou « credentials opérateurs » qui comprennent un identifiant d'abonné, une clé secrète K partagée avec le réseau nominal de l'abonné, c'est-à-dire le réseau auprès duquel l'abonnement a été souscrit, et des paramètres propres à l'algorithme d'authentification utilisé pour accéder au réseau.

Le procédé d'obtention d'un profil d'accès à un réseau mobile est décrit ici dans le cadre d'un réseau de type 4G LTE (de l'anglais « Long Terme Evolution »), LTE- Advanced, ou LTE-Advanced Pro. L'invention n'est cependant pas limitée à ce type de réseau et s'applique également à d'autres types de réseaux mobiles tels que par exemple un réseau « GPRS » (de l'anglais « General Packet Radio Service »), ou « UMTS » (de l'anglais « Uni versai Mobile Télécommunications System »).

On suppose qu'initialement, l'utilisateur dispose de son équipement mobile 10 mais qu'il n'a pas encore de profil d'accès au réseau associé à un abonnement d'un opérateur particulier installé sur son module de sécurité 101 lui permettant d'accéder au réseau mobile de cet opérateur et aux services associés. L'opérateur particulier est celui qui est associé au réseau schématisé par l'entité réseau 11. Dans cet exemple de réalisation, on suppose que l'utilisateur a souscrit un abonnement auprès de l'opérateur en se rendant par exemple dans une agence de cet opérateur. L'opérateur a généré un profil d'accès au réseau associé qui pour l'instant n'est pas installé dans le module de sécurité 101. On suppose par ailleurs que l'équipement mobile 10 n'a pas de connectivité alternative, c'est-à-dire qu'il n'a pas d'abonnement actif auprès d'un autre opérateur, ou de connectivité Internet pour installer un profil correspondant à un abonnement qu'il a souscrit.

Pour mémoire, un identifiant d'abonné de type IMSI comprend plusieurs champs : un code de pays, ou « MCC » pour « Mobile Country Code » ; par exemple, MCC = 208 correspond à la France métropolitaine,

un code de réseau, ou « MNC » pour « Mobile Network Code » ; par exemple, MNC = 01 correspond à l'opérateur Orange™,

- un numéro d'identification d'abonné, ou « MSISDN » pour « Mobile Station ISDN

Number ». C'est un numéro du plan de numérotation E.164 qui correspond au numéro international de l'abonné.

Dans un état préalable (non représenté sur le figure 1) correspondant par exemple à l'obtention de l'équipement mobile 10 par l'utilisateur, on suppose que le module de sécurité 101 comprend un profil initial comprenant un identifiant initial d'abonné IMSI init , par exemple de type IMSI, une clé secrète initiale notée K init d'un algorithme d' authentification et des paramètres de l'algorithme d' authentification. Le profil initial a été installé dans le module de sécurité 101 lors de sa fabrication. Par exemple, un accord a été passé entre un fabricant de modules de sécurité à l'origine du module 101 et un, voire plusieurs opérateurs de réseau mobile, dont l'opérateur qui gère l'entité réseau 11, afin que l'identifiant initial IMSI init compris dans le profil initial installé par le fabricant soit considéré comme un identifiant partenaire du/des opérateurs. Ce profil initial est destiné à obtenir une première connectivité restreinte vers l'opérateur. « Restreinte » signifie que cette connectivité permet uniquement d'obtenir un deuxième profil d'accès au réseau de l'opérateur. Cet accès restreint correspond à un accès à un réseau de configuration (on parle de « provisioning » en anglais), ou de gestion d'abonnement. Le deuxième profil d'accès est un profil d'accès pérenne et classique dans le sens où il permet d' accéder au réseau de l'opérateur et à des services associés, tels qu'un accès Internet mobile, un accès voix, un accès SMS/MMS (pour « Short/Multimedia Message Service »), etc., en tant que client de cet opérateur. Il correspond à l'abonnement souscrit par l'utilisateur.

Dans l'exemple de réalisation décrit ici, le profil initial est un profil générique dans le sens où il n'est associé à aucun opérateur en particulier. Par exemple, l'identifiant initial IMSI init comprend un code de pays MCC = 000 qui actuellement n'est pas utilisé. Dans un autre exemple de réalisation, l'identifiant initial IMSI init comprend un code pays MCC= 901 qui actuellement est partagé par des réseaux transnationaux et un code réseau MNC = 00 qui n'est pas utilisé actuellement. Une telle valeur est destinée à permettre à l'opérateur de réseau qui reçoit une demande d' attachement au réseau qui comprend un tel identifiant de traiter la demande d'accès comme une demande d'obtention d'un profil d'accès associé à un abonnement pérenne et de limiter cet accès à un réseau de configuration dédié à l'obtention et à activation du profil d'accès pérenne.

Dans une étape initiale E10, l'utilisateur essaie d' accéder au réseau mobile. Par exemple, il allume son équipement mobile 10. L'équipement mobile 10 émet alors une requête d' attachement au réseau sur la voie radio. La requête d'attachement comprend un identifiant de l'équipement utilisateur 10, en l'espèce l'identifiant initial IMSI init mémorisé dans le module de sécurité 101.

La requête d'attachement est reçue par l'entité réseau 11 dans une étape El i de réception.

Dans une étape suivante E12 d' analyse, l'entité réseau 11 analyse l'identifiant initial IMSI init reçu. Il identifie qu'il s' agit d'un identifiant initial associé à un profil initial du fait de la valeur du code de pays MCC spécifique, ou de la combinaison code de pays MCC et code de réseau national MNC spécifique.

Dans une étape E13 d'identification de la clé secrète initiale associée, l'entité réseau 11 obtient la clé secrète initiale K init associée à l'identifiant initial IMSI in i t . Dans un premier exemple de réalisation, l'entité réseau 11 calcule la clé secrète initiale K init en appliquant un algorithme de dérivation de clés « KDF » (pour « Key Dérivation Function ») à une clé maîtresse « MK » (pour « Master Key ») et à l'identifiant initial IMSI init reçu dans la requête d' attachement. Ainsi, K init = KDF(MK, IMSI in i t ). Dans un exemple de réalisation, l' algorithme de dérivation de clés KDF est l'algorithme « AES » (pour « Advanced Encryption Standard »). Dans un deuxième exemple de réalisation, l' algorithme de dérivation de clés KDF est l' algorithme PBKDF2 tel que défini dans la RFC2898 (de l' anglais « Request For Comment »). Dans un autre exemple de réalisation, algorithme de dérivation de clés KDF est une fonction de hachage avec clé secrète de type message d'authentification « HMAC » (pour « Keyed- Hashed Message Authentication Code »).

Bien sûr, on suppose que la clé secrète initiale K init injectée par le fabricant de modules de sécurité dans le module 101 a été calculée de la même manière.

Dans un deuxième exemple de réalisation, une base de données partenaires mémorise les clés initiales, en association avec les identifiants initiaux et/ou des paramètres opérateurs. Dans ce cas, l'entité réseau 11 accède à la base de données partenaires afin de récupérer la clé secrète initiale K init associée à l'identifiant initial IMSI init .

Dans une phase suivante P14 d'authentification (non détaillée), la procédure d'attachement au réseau se poursuit et une authentification entre l'équipement mobile 10, plus précisément le module de sécurité 101, et l'entité réseau 11 est mise en œuvre, conformément à la procédure d'enregistrement telle que décrite par exemple dans la spécification 3GPP TS 23.401. Au terme de cette phase, l'équipement mobile 10 est authentifié et des clés de chiffrement de la voie radio et de contrôle d'intégrité, notées respectivement CK et IK, et propres à l'équipement mobile 11 ont été dérivées de la clé secrète initiale K at . A noter que la procédure d'enregistrement décrite dans la spécification 3GPP TS 23.401 spécifie une authentification mutuelle entre l'équipement mobile 10 et l'entité réseau 11. Dans le cas d'un réseau 2G, authentification est unilatérale dans le sens où seul l'équipement mobile 10 est authentifié par l'entité réseau 11.

Dans une étape suivante E15 d'envoi et d'activation du profil, l'entité réseau 11 procède à l'envoi du profil d'accès au réseau de l'opérateur associé à l'abonnement souscrit par l'utilisateur. Le profil d'accès, préparé par l'opérateur au moment de la souscription comprend des données propres à l'abonné en tant que client et destinées à permettre l'accès au réseau de l'opérateur et aux services associés depuis l'équipement mobile 10. Le profil d'accès comprend un nouvel identifiant IMSI propre à l'abonné, une nouvelle clé secrète K associée, des paramètres opérateur propres à l'algorithme d'authentification et d'éventuelles applications de l'opérateur. Le profil d'accès est envoyé par l'entité réseau 11 en utilisant le canal chiffré de la voie radio. Ce profil remplace le profil initial sur le module de sécurité 101.

Le profil d'accès au réseau est reçu et automatiquement activé dans une étape suivante E16 de réception et d'activation. Dans une première variante de réalisation, l'entité réseau 11 envoie le profil d'accès puis une commande explicite d'activation dudit profil à l'équipement mobile 10. Dans une deuxième variante de réalisation, c'est l'utilisateur qui commande l'activation du profil d'accès une fois celui-ci reçu. L'identifiant initial IMSI init et la clé secrète initiale Κ ω , stockés sur le module de sécurité 101 sont supprimés et remplacés par le nouvel identifiant IMSI et la nouvelle clé secrète K. Cet exemple de réalisation correspond à un cas où la sécurité repose entièrement sur la sécurité du canal radio inhérente au chiffrement de la voie radio à partir de la clé de chiffrement CK générée lors de la phase d' authentification P14 pour chiffrer la voix ou les données.

On note que l'exemple de réalisation décrit s'intègre parfaitement dans une architecture existante de réseau mobile. En effet, il ne nécessite pas de modification au niveau de l'interface avec le réseau mobile. Par exemple il ne nécessite pas de modifier la procédure d' attachement au réseau.

Dans une étape suivante E17 de mise à jour, l'entité réseau 11 efface l'identifiant initial IMSIj n i t et le cas échéant la clé secrète initiale K init associée dans sa base de données partenaires. Dans un autre exemple de réalisation, les données initiales sont transférées dans une deuxième base de données qui comprend les données initiales déjà utilisées ; cette deuxième base de données est consultée par l'opérateur lors de la réception de nouvelles requêtes d'attachement au réseau. Pour des raisons de sécurité, on considère que de telles données initiales d'accès ne sont utilisables qu'une fois. Une tentative d'accès au réseau à partir de données initiales déjà utilisées est détectée par l'opérateur. L'opérateur peut ainsi se prémunir ainsi d'éventuelles attaques au cours desquelles des cartes contenant des identifiants et clés secrètes initiales seraient clonées et utilisées pour obtenir des profils d'accès pérennes.

Dans une phase suivante d'accès au réseau (non représentée sur la figure 1), durant laquelle l'utilisateur souhaite accéder au réseau mobile de l'opérateur, l'équipement mobile 10 envoie une deuxième requête d'attachement au réseau. Cette deuxième requête d'attachement comprend le nouvel identifiant IMSI qui figure dans le profil opérationnel obtenu lors de la mise en œuvre des étapes précédentes.

Dans l'exemple de réalisation décrit en relation avec la figure 1, on suppose que l'abonnement a été préalablement souscrit par l'abonné. Dans un autre exemple de réalisation, l'utilisateur n'a pas encore souscrit d'abonnement. Un profil opérateur pérenne, propre à un abonnement n'a donc pas été créé par l'opérateur pour l'abonné. Dans ce cas, une fois authentification du module de sécurité 101 mise en œuvre durant la phase P14 d' authentification, l'entité réseau 11 envoie à l'utilisateur une « URL » (de l'anglais « Uniform Resource Locator ») d'accès à un portail de l'opérateur réservé à la souscription d'abonnements. Cet envoi se fait via un point d'accès réseau, ou « APN » (de l'anglais « Access Point Name »), dédié à l'opérateur et offrant une connectivité restreinte, mais permettant un accès aux souscriptions d'abonnements. L'envoi peut se faire au moyen d'un SMS. Dans un autre exemple de réalisation, l'abonné est appelé par l'opérateur. L'abonné fournit les informations nécessaires à la souscription. Un profil d'accès est alors généré par l'opérateur et transmis à l'équipement mobile sur le canal chiffré de la voie radio, conformément à l'étape E15 d'envoi du profil. Ce profil d'accès remplace le profil initial sur le module de sécurité 101.

L'invention a été décrite dans le cas d'un module de sécurité eUICC de type client, ou « consumer device ». L'invention n'est pas limitée à ce type de module et dans un autre exemple de réalisation, le module de sécurité est un module eUICC « M2M » (pour « Machine To Machine »). Dans ce cas, si le dispositif M2M ne possède pas d'interface utilisateur, il est nécessaire qu'un abonnement M2M ait été souscrit par un gestionnaire d'équipements M2M pour l'équipement mobile 10, préalablement à l'accès au réseau destiné à obtenir le profil d'abonnement. Ainsi, dans l'étape E15 d'envoi du profil, le profil d'accès au réseau est envoyé par l'entité réseau 11 via le canal radio chiffré, les flux de données étant protégés en intégrité ou de manière applicative.

Le procédé n'est pas limitée à un module de sécurité de type eUICC et dans un autre exemple de réalisation, le module de sécurité est un module de sécurité UICC classique de type carte SIM. Le procédé est identique à celui décrit précédemment et s'applique également à des équipements mobiles de type équipements clients et équipements M2M.

Dans les exemples de réalisation décrits précédemment, l'identifiant initial IMSI init , voire la clé secrète initiale K init ou les moyens de la générer sont déjà présents dans le module de sécurité 101 lorsque l'utilisateur fait l'acquisition de son terminal mobile 10. L'identifiant initial IMSLji t , voire la clé secrète initiale K init ont en effet été installés par le fabricant lors de la fabrication du module de sécurité 101.

Dans un autre exemple de réalisation (non représenté sur la figure 1), aucune de ces données, c'est-à-dire l'identifiant initial IMSI init et la clé secrète initiale K init , n'est présente dans le module de sécurité 101 au moment de l'acquisition de l'équipement mobile 10 par l'utilisateur. Dans ce cas, lors de la souscription d'abonnement auprès de l'opérateur ou lors de l'acquisition de l'équipement mobile 10 par l'utilisateur, l'opérateur génère un identifiant initial IMSLji t et une clé secrète initiale associée K init . L'opérateur génère également un ticket de type QR Code (pour « Quick Response Code ») qui comprend l'identifiant initial IMSI init , la clé secrète initiale K init , un identifiant du réseau de l'opérateur de type « HPLMN » (pour « Home Public Land Network » en anglais) et d'éventuels paramètres opérateurs. Dans un exemple de réalisation, le ticket généré comprend également un identifiant physique ID du module de sécurité 101, qu'il mémorise en association avec l'identifiant initial IMSI init et la clé secrète initiale K init qu'il a générés. L'identifiant physique ID du module de sécurité 101 est de type ICCID (pour « Integrated Circuit Card ID ») dans le cas d'un module de type UICC, et EID (pour « eUICC Identifier ») dans le cas d'un module de sécurité de type eUICC. Le ticket généré est par exemple collé sur l'emballage de l'équipement mobile 10, ou envoyé à l'utilisateur, ou acheté dans un supermarché. Lorsque l'utilisateur souhaite accéder au réseau pour obtenir un profil d'accès au réseau, il flashe le ticket au moyen de son équipement mobile 10 afin de lire les données du ticket dont l'identifiant initial IMSI init , la clé secrète initiale Κ ω ,. Par exemple, les donnée lues sur le ticket sont transmises par un gestionnaire local de profil de type « LPA » (pour « Local Profile Assistant ») de l'équipement mobile 10 au module de sécurité 101. Une fois le profil initial installé sur le module de sécurité, les étapes décrites précédemment sont mises en œuvre afin d'installer le profil d'accès au réseau sur l'équipement mobile 10. La présence d'un identifiant HPLMN du réseau de l'opérateur permet d'indiquer à quel réseau l'équipement mobile 10 doit se connecter. Dans une variante de de réalisation mise en œuvre si un abonnement a préalablement été souscrit, le gestionnaire local de profil de l'équipement mobile 10 récupère le profil d'accès au réseau auprès de l'entité réseau 11 en fournissant l'identifiant ID du module de sécurité. Dans ce cas, l'opérateur a ajouté dans le ticket une information telle qu'une adresse ou un nom du serveur de profils à contacter. Un tel serveur est appelé SM-DP+ (pour « Subscription Manager - Data Préparation ») dans le cas d'un module de sécurité eUICC de type « consumer device » respectant la mise en œuvre décrite dans la spécification GSMA SGP.22. L'utilisation d'un ticket pour obtenir les données initiales puis le profil d'accès au réseau est intéressant dans le sens où l'opérateur s'affranchit d'un accord préalable avec le fabricant de modules de sécurité pour l'injection préalable de données initiales dans le module de sécurité. A noter que dans ce cas, les identifiants initiaux n'ont pas besoin de respecter un format spécifique ; ils sont propres aux opérateurs.

Les étapes d'un procédé d'obtention d'un profil d'accès à un réseau mobile par un équipement mobile, selon un deuxième exemple de réalisation vont maintenant être décrites en relation avec la figure 2.

Dans cet exemple de réalisation, un profil initial est également utilisé pour accéder au réseau afin d'obtenir un profil d'accès pérenne, associé à un abonnement. Dans cet exemple, l'envoi du profil d'accès au réseau à l'équipement mobile 10 est sécurisé par des procédures prédéfinies basées sur un certificat propre au module de sécurité. L'installation du profil d'accès pérenne sur le module de sécurité 101 est alors réalisée au moyen de procédures sécurisées basées sur ce certificat, indépendamment de la sécurité inhérente au chiffrement de la voie radio.

On suppose que le module de sécurité 101 de l'équipement mobile 10 est un module client, ou « consumer device » de type eUICC. Il comprend un profil initial comprenant un identifiant initial d'abonné IMSI init et une clé secrète initiale K init . La façon d'obtenir ce profil est identique à celle décrite précédemment et fait par exemple suite à un accord passé entre un fabricant de modules de sécurité et un ou des opérateurs. Le type de profil est également identique à celui décrit précédemment.

Dans une étape initiale E20, l'utilisateur allume son équipement mobile pour accéder au réseau. L'équipement émet une requête d'attachement au réseau qui comprend l'identifiant initial d'abonné IMSI init .

La requête est reçue dans une étape E21 de réception.

Dans une étape E22 d'analyse, l'entité réseau 11 analyse l'identifiant initial IMSI init . Il identifie qu'il s'agit d'un identifiant initial associé à un profil initial, du fait de la valeur du code de pays MCC spécifique, ou de la combinaison code de pays MCC et code de réseau national MNC spécifique.

Dans une étape E23 d'identification de la clé secrète initiale, l'entité réseau 11 obtient la clé secrète initiale K init associée à l'identifiant initial IMSI init . Dans un premier exemple de réalisation, l'entité réseau 11 calcule la clé secrète initiale K init en appliquant un algorithme de dérivation de clé KDF à une clé maîtresse MK et à l'identifiant initial IMSI init . Dans un deuxième exemple de réalisation, l'entité réseau 11 extrait d'une base de données partenaires à laquelle elle a accès la clé secrète initiale K init mémorisée en association avec l'identifiant initial IMSI init .

Dans une phase suivante P24 d'authentification, la procédure d'attachement se poursuit et une phase d'authentification entre l'équipement mobile 10, plus précisément le module de sécurité 101, et l'entité réseau 11 est mise en œuvre de façon connue conformément à la procédure d'enregistrement telle que décrite par exemple dans la spécification 3GPP TS 23.401. Au terme de cette procédure l'équipement mobile 10 est authentifié par l'entité réseau 11 et des clés de chiffrement de la voie radio et de contrôle d'intégrité, notées CK et IK, ont été dérivées de la clé secrète initiale K init .

Dans une étape suivante E25 de demande d'informations, l'entité réseau 11 demande à l'équipement mobile 10 le certificat du module de sécurité 101. A cette fin, l'entité réseau 11 envoie à l'équipement mobile 10 une requête GET DATA telle que définie par exemple par l'association GlobalPlatform. La requête est reçue par l'équipement mobile 10 dans une étape E26 de réception.

Dans une étape E27 de réponse, l'équipement mobile 10 envoie le certificat du module de sécurité 101. Dans l'exemple de réalisation décrit ici où le module de sécurité 101 est un module de type module client ou « consumer device », le certificat est de la forme : CERT.EUICC.ECDSA. Le certificat du module de sécurité 101 est reçu par l'entité réseau 11 dans une étape E28 de réception. Dans un premier exemple de réalisation, où l'on suppose qu'un abonnement a été souscrit par l'utilisateur de l'équipement mobile 10 et qu'un profil associé a été généré par l'opérateur, l'entité réseau 11 procède, dans une étape E29 d'envoi du profil et d'activation, à l'envoi du profil d'accès au module de sécurité 101 via l'équipement mobile 10 conformément à la spécification GSMA SGP.22 qui décrit une architecture pour la fourniture à distance de profil à un module de sécurité (ou « RSP » pour « Remote SIM Provisioning »).

Dans une étape suivante E30 de réception et d'activation, le profil d'accès au réseau est reçu par le module de sécurité 101 et automatiquement activé. Il se substitue au profil initial utilisé pour le premier accès au réseau. Par exemple, dans le cas d'un module eUICC, le profil initial est désactivé et le profil d'accès reçu devient le profil actif. Dans une variante de réalisation décrite précédemment, l'entité réseau 11 envoie une commande explicite d'activation au module de sécurité 101 via l'équipement mobile 10. Dans une autre variante de réalisation, c'est l'utilisateur de l'équipement mobile 10 qui active explicitement son profil d'accès au réseau.

Dans une étape suivante E31 de mise à jour, l'entité réseau 11 efface l'identifiant initial

IMSIi n i t et le cas échéant la clé secrète initiale K init associée dans sa base de données partenaires. Dans un autre exemple de réalisation, les données initiales IMSI init et K init sont transférées dans la deuxième base de données qui comprend les données initiales déjà utilisées afin de contrôler que ces données initiales ne sont utilisées qu'une fois.

Dans un deuxième exemple de réalisation, on suppose qu'aucun abonnement n'a pour l'instant été souscrit par l'abonné. Dans ce cas, l'entité réseau 11, préalablement à l'étape E29 d'envoi du profil d'accès, envoie à l'équipement mobile 10 une URL qui comprend un lien vers un portail de l'opérateur dédié à la souscription d'abonnements auprès de cet opérateur. L'URL est envoyée par SMS. Comme décrit précédemment, l'utilisateur sélectionne le lien et procède à la souscription d'un abonnement. L'opérateur génère l'abonnement à partir des informations fournies par l'utilisateur et envoie au cours de l'étape E29 le profil généré tel que décrit précédemment. Dans une variante de réalisation, au lieu d'envoyer un lien vers un site de souscription, l'opérateur appelle l'abonné afin de faire la souscription par téléphone. Dans un autre exemple de réalisation, l'utilisateur dispose d'une application sur son équipement mobile pour faire la souscription.

L'invention a été décrite dans le cas d'un module de sécurité eUICC de type client, ou « consumer device ». L'invention n'est cependant pas limitée à ce type de module et dans un autre exemple de réalisation, le module de sécurité est un module eUICC M2M. Comme précisé précédemment, si l'équipement mobile ne dispose pas d'une interface utilisateur, il est nécessaire qu'un abonnement M2M ait été souscrit par un gestionnaire d'équipements M2M pour l'équipement mobile 10, préalablement à l'accès au réseau destiné à obtenir le profil d'accès au réseau. Ainsi, dans l'étape E29 d'envoi du profil, le profil d'accès au réseau est envoyé par l'entité réseau 11 conformément à la spécification GSMA SGP.02, propre aux équipements M2M. A noter que dans ce cas, le certificat du module de sécurité est de la forme : CERT.EUICC.ECKA.

Le deuxième exemple de réalisation a été décrit dans le cas d'un module de sécurité 101 de type eUICC pour un module client ou « consumer device » et pour un module M2M. L'invention n'est pas limitée à ces exemples. Ainsi, l'invention s'applique également à un module de sécurité classique UICC de type carte SIM. Cependant, dans ce cas, l'envoi du profil d'accès diffère légèrement de celui décrit en relation avec la figure 2. Ainsi, on suppose qu'un abonnement a été souscrit par l'utilisateur et qu'un profil a été généré par l'opérateur. On suppose que ce profil est stocké par l'opérateur et accessible par l'entité réseau 11 et que ce profil est chiffré par l'opérateur au moyen d'une clé aléatoire de chiffrement de profils K rand .

L'entité réseau 11 envoie dans l'étape E25 de demande d'informations, une requête GET DATA destinée à obtenir le certificat du module de sécurité 101. L'équipement mobile 10 envoie en réponse dans l'étape E27 le certificat du module de sécurité 101.

Dans une étape suivante (non représentée sur la figure 2), l'entité réseau 11 récupère la clé publique Pkuicc du module de sécurité 101 certifiée qui figure dans le certificat du module de sécurité 101. Dans une étape suivante d'envoi de la clé aléatoire de chiffrement de profils K rand , l'entité réseau 11 envoie la clé aléatoire de chiffrement de profils K rand , chiffrée au moyen de la clé publique Pkuicc- Dans une étape suivante, l'entité réseau 11 envoie le profil d'accès chiffré. L'équipement mobile 10, plus précisément le module de sécurité 101 déchiffre la clé aléatoire de chiffrement de profils K rand au moyen de sa clé privée associée à la clé publique certifiée et déchiffre le profil au moyen de la clé aléatoire de chiffrement de profils K rand . Ce mode d'obtention du profil est conforme au modèle GlobalPlatform « PushModel ».

Dans une variante de réalisation, conforme au modèle GlobalPlatform SCP 11 (pour « Secure Channel Protocol »), une fois que l'entité réseau 11 a reçu le certificat de la clé publique du module de sécurité 101, l'entité réseau 11 et l'équipement mobile 10, plus précisément le module de sécurité 101 calculent une clé de session commune K sess selon un protocole connu, par exemple Diffie-Hellmann. La clé de session K sess générée est ensuite utilisée par l'entité réseau 11 pour chiffrer le profil d'accès et l'envoyer au module de sécurité 101 via l'équipement mobile 10. Dans une deuxième variante de réalisation où le profil d'accès est déjà chiffré avec la clé aléatoire de chiffrement de profils K rand , la clé de session K sess est utilisée pour chiffrer la clé aléatoire de chiffrement de profils K rand . Dans un autre exemple de réalisation, correspondant au cas où les données initiales comprenant l'identifiant initial IMSI init , la clé initiale K init et l'identifiant physique ID du module de sécurité 101 sont insérées par l'opérateur dans un ticket qui est flashé par l'équipement mobile 10, l'opérateur utilise l'identifiant physique ID pour sécuriser l'installation du profil opérationnel d'accès au réseau. L'opérateur contrôle ainsi que le profil d'accès au réseau généré après le premier accès au réseau au moyen du profil initial n'est envoyé qu'au module de sécurité 101 dont l'identifiant de module qui figure dans le certificat du module de sécurité coïncide avec celui qu'il a mémorisé en association avec les données initiales et inscrit dans le ticket qu'il a généré. A cette fin, l'entité réseau 11 demande à l'équipement mobile 10 au cours de l'étape E25 de demande d'informations, l'identifiant physique ID du module de sécurité 101. Elle envoie à cette fin une requête GET DATA telle que définie par exemple par l'association GlobalPlatform. Elle reçoit l'identifiant physique du module de sécurité 101 dans l'étape E27 de réponse. L'entité réseau 11 contrôle alors que l'identifiant physique qu'elle a reçu est le même que l'identifiant ID qu'elle a enregistré et inséré dans le ticket avant de procéder à l'envoi du profil d'accès au cours de l'étape E29 d'envoi du profil. Cela offre une sécurité supplémentaire pour l'opérateur. De cette façon, l'opérateur sécurise en amont l'installation ultérieure du profil d'accès au réseau en insérant dans le ticket l'identifiant physique ID du module de sécurité 101.

Dans une variante de réalisation, un ticket qui comprend les données initiales IMSI init , K init , l'identifiant physique ID du module de sécurité 101 et une adresse IP d'un serveur de l'opérateur qui génère et/ou met à disposition des profils d'accès au réseau qu'il génère après la souscription d'abonnements est créé. Le ticket est ensuite lu par l'équipement mobile 10. Le gestionnaire local de profil LPA de l'équipement mobile 10 récupère auprès de l'entité réseau 11 le profil d'accès au réseau via la connectivité limitée fournie par le profil initial. Dans cet exemple de réalisation, les étapes E25 de demande d'informations, E26 de réception, E27 de réponse et E28 de réception ne sont pas mises en œuvre. Cela simplifie le procédé d'obtention d'un profil d'accès au réseau.

Un équipement mobile 10, selon un exemple de réalisation va maintenant être décrit en relation avec la figure 3.

Un dispositif mobile 10 est par exemple un équipement utilisateur tel qu'un terminal mobile, une tablette. Dans un autre exemple de réalisation, le dispositif mobile 10 est un équipement M2M. A noter que dans ce cas il ne possède pas d'interface utilisateur. Il est associé dans ce cas à un gestionnaire de flotte d'équipements M2M.

L'équipement mobile 10 comprend de manière classique une interface radio agencée pour s'interfacer avec un réseau mobile de communication, un processeur, un ensemble de mémoires (ces éléments ne sont pas représentés sur la figure 3) et un module de sécurité 101, par exemple une carte eUICC. Le module de sécurité 101 est agencé pour stocker et traiter des données sensibles, telles que des clés et des algorithmes cryptographiques. De telles données et algorithmes sont destinés à être utilisés lors de l'accès au réseau mobile. Les interactions entre le terminal mobile 10 et le module de sécurité 101 sont très étroites et connues. Pour des raisons de lisibilité, on ne décrit ci-dessous et on ne fait apparaître sur la figure 3 que des éléments qui font partie du module de sécurité 101.

Ainsi, l'équipement mobile 10 comprend dans le module de sécurité 101 :

- une unité de traitement ou processeur 1011, ou "CPU" (de l'anglais "Central Processing Unit"), destinée à charger des instructions en mémoire, à les exécuter, à effectuer des opérations ;

- un ensemble de mémoires, dont une mémoire volatile 1012, ou "RAM" (pour "Random Access Memory") utilisée pour exécuter des instructions de code, stocker des variables, etc., et une mémoire de stockage 1013 de type « EEPROM » (de l'anglais « Electrically Erasable Programmable Read Only Memory »). En particulier, la mémoire de stockage 1103 est agencée pour mémoriser un module logiciel d'obtention d'un profil d'accès à un réseau mobile qui comprend des instructions de code pour mettre en œuvre les étapes du procédé d'obtention d'un profil d'accès au réseau tel que décrit précédemment et qui sont mises en œuvre par le module de sécurité 101. La mémoire de stockage 1013 est également agencée pour mémoriser dans une zone sécurisée un identifiant d'abonné de type IMSI et une clé secrète K. L'identifiant d'abonné peut être un identifiant initial IMSI init et la clé secrète une clé secrète initiale K init , destinés à n'être utilisés que pour un accès limité au réseau de l'opérateur et destinés à obtenir un profil d'accès pérenne au réseau de cet opérateur. Ces données initiales sont destinées à être remplacées par un identifiant et une clé secrète pérennes, obtenus suite à une souscription d'abonnement auprès de l'opérateur.

L'équipement mobile 10 comprend également :

- un module d'envoi 1014, agencé pour envoyer une requête d'accès au réseau, ladite requête comprenant un identifiant initial d'abonné IMSI init compris dans un profil initial. Le module d'envoi 1014 est agencé pour mettre en œuvre les étapes E10 et E20 des procédés d'obtention d'un profil d'accès au réseau décrits précédemment ;

- un module d'authentification 1015, agencé pour mettre en œuvre une authentification mutuelle avec l'entité réseau 11 au moyen de la clé secrète initiale K init associée à l'identifiant initial IMSI init . Le module d'authentification 1015 est agencé pour mettre en œuvre les phases P14 et P24 des procédés d'obtention d'un profil d'accès au réseau tels que décrits précédemment ; - un module de réception 1016, agencé pour recevoir en provenance l'entité réseau 11 un nouveau profil d'accès au réseau, ledit nouveau profil d'accès comprenant un nouvel identifiant d'abonné et une nouvelle clé secrète. Le nouvel identifiant et la nouvelle clé secrète sont agencés pour accéder au réseau et aux services associés de l'opérateur en tant que client. Le module de réception 1016 est agencé pour mettre en œuvre les étapes El 6 et E30 des procédés d'obtention d'un profil d'accès au réseau tels que décrits précédemment.

Le module d'envoi 1014, le module d' authentification 1015 et le module de réception 1016 sont de préférence des modules logiciels comprenant des instructions logicielles pour mettre en œuvre les étapes des procédés d'obtention d'un profil d'accès à un réseau tels que décrits précédemment.

L'invention concerne donc aussi :

- un programme d'ordinateur comportant des instructions pour la mise en œuvre du procédés d'obtention d'un profil d'accès à un réseau tels que décrits précédemment lorsque ce programme est exécuté par un processeur de l'équipement mobile,

- un support d'enregistrement lisible sur lequel est enregistré le programme d'ordinateur décrit ci-dessus.

A noter que l'invention n'est pas limitée à un équipement utilisateur de ce type et dans un autre exemple de réalisation, l'équipement mobile 10 comprend une zone logicielle sécurisée agencée pour traiter les données sensibles d'accès au réseau.

Un dispositif réseau 11, selon un exemple de réalisation va maintenant être décrit en relation avec la figure 4.

Le dispositif réseau 11 est agencé pour recevoir d'équipements mobiles des requêtes d'attachement au réseau qui comprennent un identifiant initial IMSI init , pour mettre en œuvre une authentification mutuelle avec l'équipement mobile sur la base de l'identifiant initial IMSIi n i t et d'une clé secrète associée K init , pour générer un nouveau profil opérationnel et pérenne d'accès au réseau et aux services associés pour l'utilisateur de l'équipement mobile 11, ledit nouveau profil comprenant un nouvel identifiant d'abonné et une nouvelle clé secrète, et pour envoyer le nouveau profil à l'équipement mobile. Le dispositif réseau 11 est formé d'un ou de plusieurs équipements informatiques, tels des ordinateurs.

Le dispositif réseau 11 comprend :

- une unité de traitement ou processeur 111, destinée à charger des instructions en mémoire, à les exécuter, à effectuer des opérations ;

- un ensemble de mémoires, dont une mémoire volatile 112 de type RAM, utilisée pour exécuter des instructions de code, stocker des variables, etc., et une mémoire de stockage 113 de type EEPROM. En particulier, la mémoire de stockage 113 est agencée pour mémoriser un module logiciel de fourniture d'un profil d'accès à un réseau mobile qui comprend des instructions de code pour mettre en œuvre les étapes du procédé d'obtention d'un profil d'accès au réseau qui sont mises en œuvre par le dispositif réseau 11 ;

- des interfaces d'accès 114 à des bases de données, telles qu'une base de données partenaires comprenant des identifiants initiaux et des clés secrètes initiales associées et une base de données d'identifiants d'abonnés et de clés secrètes associées.

Le dispositif réseau 11 comprend également :

- un module de réception 115, agencé pour recevoir en provenance d'un équipement mobile d'une requête d'accès au réseau, ladite requête comprenant un identifiant initial d'abonné IMSI init compris dans un profil initial. Le module de réception 116 est agencé pour mettre en œuvre les étapes El i et E21 des procédés d'obtention d'un profil d'accès à un réseau mobile tels que décrits précédemment ;

- un module d' authentification mutuelle 116, agencé mettre en œuvre une authentification mutuelle avec l'équipement mobile au moyen d'une clé secrète initiale K init associée à l'identifiant initial. Le module d' authentification mutuelle 116 est agencé pour mettre en œuvre les phases P14 et P24 des procédés d'obtention d'un profil d'accès à un réseau mobile tels que décrits précédemment ;

- un module 117 d'envoi à l'équipement mobile d'un nouveau profil d'accès au réseau, ledit nouveau profil d'accès comprenant un nouvel identifiant d'abonné et une nouvelle clé secrète, ledit nouveau profil étant agencé pour accéder audit réseau. Le module 117 d'envoi d'un nouveau profil est agencé pour mettre en œuvre les étapes E15 et E29 des procédés d'obtention d'un profil d'accès à un réseau mobile tels que décrits précédemment. Le module 117 d'envoi d'un nouveau profil d'accès s 'interface à un module de génération de profils (non représenté sur la figure 4), agencé pour générer les nouveaux profils d'abonnement au réseau. Dans un exemple de réalisation où l'abonnement n'a pas été souscrit préalablement à la mise en œuvre des procédés d'obtention d'un profil d'accès au réseau, le module de génération de profils offre une interface qui peut être accédée par l'utilisateur afin que celui-ci fournisse ses données de souscription.

Les modules 115 de réception, 116 d' authentification et 117 d'envoi d'un nouveau profil sont de préférence des modules logiciels comprenant des instructions logicielles pour mettre en œuvre les étapes des procédés d'obtention d'un profil d'accès à un réseau tels que décrits précédemment et qui sont mises en œuvre par le dispositif réseau 11.

L'invention concerne donc aussi : - un programme d'ordinateur comportant des instructions pour la mise en œuvre du procédés d'obtention d'un profil d'accès à un réseau tels que décrits précédemment lorsque ce programme est exécuté par un processeur du dispositif réseau 11 ,

- un support d'enregistrement lisible sur lequel est enregistré le programme d'ordinateur décrit ci-dessus.

L'invention concerne également un système de distribution de profils d'accès à un réseau de télécommunications comprenant :

- un dispositif réseau tel que décrit précédemment, et

- au moins un équipement mobile tel que décrit précédemment.