知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6430449
(24)【登録日】2018年11月9日
(45)【発行日】2018年11月28日
(54)【発明の名称】アクセス制御を管理するためのポリシーベース技法
(51)【国際特許分類】
G06F 21/62 20130101AFI20181119BHJP
H04L 9/10 20060101ALI20181119BHJP
【FI】
G06F21/62
H04L9/00 621A
【請求項の数】20
【外国語出願】
【全頁数】39
(21)【出願番号】特願2016-160209(P2016-160209)
(22)【出願日】2016年8月17日
(62)【分割の表示】特願2015-544119(P2015-544119)の分割
【原出願日】2013年11月20日
(65)【公開番号】特開2017-49988(P2017-49988A)
(43)【公開日】2017年3月9日
【審査請求日】2016年10月11日
(31)【優先権主張番号】61/729,208
(32)【優先日】2012年11月21日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】503260918
【氏名又は名称】アップル インコーポレイテッド
【氏名又は名称原語表記】Apple Inc.
(74)【代理人】
【識別番号】100076428
【弁理士】
【氏名又は名称】大塚 康徳
(74)【代理人】
【識別番号】100115071
【弁理士】
【氏名又は名称】大塚 康弘
(74)【代理人】
【識別番号】100112508
【弁理士】
【氏名又は名称】高柳 司郎
(74)【代理人】
【識別番号】100116894
【弁理士】
【氏名又は名称】木村 秀二
(74)【代理人】
【識別番号】100130409
【弁理士】
【氏名又は名称】下山 治
(74)【代理人】
【識別番号】100134175
【弁理士】
【氏名又は名称】永川 行光
(72)【発明者】
【氏名】シャープ, クリストファー, ビー.
(72)【発明者】
【氏名】ヴェイド, ユーサフ エイチ.
(72)【発明者】
【氏名】リー, リー
(72)【発明者】
【氏名】ハウク, ジェラルド ヴィー.
(72)【発明者】
【氏名】マチアス, アルン ジー.
(72)【発明者】
【氏名】ヤン, シャンイン
(72)【発明者】
【氏名】マクラフリン, ケヴィン ピー.
【審査官】
青木 重徳
(56)【参考文献】
【文献】
特開2009−003854(JP,A)
【文献】
米国特許出願公開第2012/0260090(US,A1)
【文献】
特開2002−041347(JP,A)
【文献】
米国特許出願公開第2012/0117635(US,A1)
【文献】
米国特許出願公開第2004/0266533(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
H04L 9/10
(57)【特許請求の範囲】
【請求項1】
アクセス制御クライアント提供サーバであって、
複数のアクセス制御クライアントを格納するように構成されるセキュアメモリと、
前記アクセス制御クライアント提供サーバに、
前記複数のアクセス制御クライアントの特定のアクセス制御クライアントを移動体無線デバイスに転送するために、リクエストを前記移動体無線デバイスから受信することと、
前記移動体無線デバイスによって実施される第1のセキュリティポリシーを特定することであって、前記第1のセキュリティポリシーは、前記移動体無線デバイスに既知である複数の論理エンティティのうちのそれぞれの論理エンティティに対し、前記論理エンティティによって実施される少なくとも1つの各自のセキュリティプロトコルを特定する、ことと、
前記第1のセキュリティポリシーが前記アクセス制御クライアント提供サーバによって実施される第2のセキュリティポリシーと整合することを判定することと、
前記移動体無線デバイスに転送するように前記特定のアクセス制御クライアントを準備することと、
前記特定のアクセス制御クライアントを前記移動体無線デバイスに転送することと、
を含むステップを実行させるように構成されるプロセッサと、
を含むアクセス制御クライアント提供サーバ。
複数のアクセス制御クライアントを格納するように構成されるセキュアメモリと、
前記アクセス制御クライアント提供サーバに、
前記複数のアクセス制御クライアントの特定のアクセス制御クライアントを移動体無線デバイスに転送するために、リクエストを前記移動体無線デバイスから受信することと、
前記移動体無線デバイスによって実施される第1のセキュリティポリシーを特定することであって、前記第1のセキュリティポリシーは、前記移動体無線デバイスに既知である複数の論理エンティティのうちのそれぞれの論理エンティティに対し、前記論理エンティティによって実施される少なくとも1つの各自のセキュリティプロトコルを特定する、ことと、
前記第1のセキュリティポリシーが前記アクセス制御クライアント提供サーバによって実施される第2のセキュリティポリシーと整合することを判定することと、
前記移動体無線デバイスに転送するように前記特定のアクセス制御クライアントを準備することと、
前記特定のアクセス制御クライアントを前記移動体無線デバイスに転送することと、
を含むステップを実行させるように構成されるプロセッサと、
を含むアクセス制御クライアント提供サーバ。
【請求項2】
前記アクセス制御クライアント提供サーバと前記移動体無線デバイスは論理エンティティとして機能する、請求項1に記載のアクセス制御クライアント提供サーバ。
【請求項3】
前記移動体無線デバイスに転送するように前記特定のアクセス制御クライアントを準備することは、
前記移動体無線デバイスに関連付けられた公開鍵を取得することと、
前記移動体無線デバイスのためのチャレンジを生成することと、
前記特定のアクセス制御クライアントと前記チャレンジとを前記公開鍵を用いて暗号化することと、
を含む請求項1に記載のアクセス制御クライアント提供サーバ。
前記移動体無線デバイスに関連付けられた公開鍵を取得することと、
前記移動体無線デバイスのためのチャレンジを生成することと、
前記特定のアクセス制御クライアントと前記チャレンジとを前記公開鍵を用いて暗号化することと、
を含む請求項1に記載のアクセス制御クライアント提供サーバ。
【請求項4】
前記ステップは更に、前記特定のアクセス制御クライアントを前記移動体無線デバイスに転送することの後に、
前記移動体無線デバイスから前記チャレンジに対する応答を受信することと、
前記チャレンジが満たされることを前記応答が示す場合、
前記特定のアクセス制御クライアントを前記複数のアクセス制御クライアントから削除することと、
前記チャレンジを満たさないことを前記応答が示す場合、
前記特定のアクセス制御クライアントを前記複数のアクセス制御クライアント内に維持することと、
を含む請求項3に記載のアクセス制御クライアント提供サーバ。
前記移動体無線デバイスから前記チャレンジに対する応答を受信することと、
前記チャレンジが満たされることを前記応答が示す場合、
前記特定のアクセス制御クライアントを前記複数のアクセス制御クライアントから削除することと、
前記チャレンジを満たさないことを前記応答が示す場合、
前記特定のアクセス制御クライアントを前記複数のアクセス制御クライアント内に維持することと、
を含む請求項3に記載のアクセス制御クライアント提供サーバ。
【請求項5】
前記アクセス制御クライアント提供サーバは、互いに通信するように構成されるアクセス制御クライアント提供サーバのグループに含まれ、前記特定のアクセス制御クライアントは、アクセス制御クライアント提供サーバの前記グループに含まれる、少なくとも1つの異なるアクセス制御クライアント提供サーバに格納される、請求項1に記載のアクセス制御クライアント提供サーバ。
【請求項6】
前記ステップは更に、
前記特定のアクセス制御クライアントが前記移動体無線デバイスに転送されていることを、前記少なくとも1つの異なるアクセス制御クライアント提供サーバに示すこと、
を含む、請求項5に記載のアクセス制御クライアント提供サーバ。
前記特定のアクセス制御クライアントが前記移動体無線デバイスに転送されていることを、前記少なくとも1つの異なるアクセス制御クライアント提供サーバに示すこと、
を含む、請求項5に記載のアクセス制御クライアント提供サーバ。
【請求項7】
前記複数のアクセス制御クライアントの各アクセス制御クライアントは電子的加入者識別モジュール(eSIM)である、請求項1に記載のアクセス制御クライアント提供サーバ。
【請求項8】
第1のデバイスと第2のデバイスとの間のアクセス制御クライアントの転送をセキュアにする方法であって、
前記アクセス制御クライアントを格納する前記第1のデバイスにおいて、
前記第2のデバイスに前記アクセス制御クライアントを送信する条件を特定することと、
前記第2のデバイスによって実施される少なくとも1つのセキュリティポリシーを特定することであって、前記少なくとも1つのセキュリティポリシーは、前記第2のデバイスに既知である複数の論理エンティティのうちのそれぞれの論理エンティティに対し、前記論理エンティティによって実施される少なくとも1つの各自のセキュリティプロトコルを特定する、ことと、
前記少なくとも1つのセキュリティポリシーが前記第1のデバイスによって実施される1つ以上のセキュリティポリシーを満たす場合、
前記第2のデバイスに転送するように前記アクセス制御クライアントを準備することと、
前記アクセス制御クライアントを前記第2のデバイスに転送することと、
を含む方法。
前記アクセス制御クライアントを格納する前記第1のデバイスにおいて、
前記第2のデバイスに前記アクセス制御クライアントを送信する条件を特定することと、
前記第2のデバイスによって実施される少なくとも1つのセキュリティポリシーを特定することであって、前記少なくとも1つのセキュリティポリシーは、前記第2のデバイスに既知である複数の論理エンティティのうちのそれぞれの論理エンティティに対し、前記論理エンティティによって実施される少なくとも1つの各自のセキュリティプロトコルを特定する、ことと、
前記少なくとも1つのセキュリティポリシーが前記第1のデバイスによって実施される1つ以上のセキュリティポリシーを満たす場合、
前記第2のデバイスに転送するように前記アクセス制御クライアントを準備することと、
前記アクセス制御クライアントを前記第2のデバイスに転送することと、
を含む方法。
【請求項9】
前記第1のデバイスは第1の移動体無線デバイスであり、前記第2のデバイスは第2の移動体無線デバイスである、請求項8に記載の方法。
【請求項10】
前記第1のデバイスはアクセス制御クライアント提供サーバであり、前記第2のデバイスは移動体無線デバイスである、請求項8に記載の方法。
【請求項11】
前記アクセス制御クライアントは前記第1のデバイスに関連付けられた第1の公開鍵を用いて暗号化される、請求項8に記載の方法。
【請求項12】
前記第2のデバイスに転送するように前記アクセス制御クライアントを準備することは、
前記第1の公開鍵に関連付けられたプライベート鍵を用いて前記アクセス制御クライアントを復号することと、
前記第2のデバイスに関連付けられた第2の公開鍵を特定することと、
前記第2の公開鍵を用いて前記アクセス制御クライアントを暗号化することと、
を含む、請求項11に記載の方法。
前記第1の公開鍵に関連付けられたプライベート鍵を用いて前記アクセス制御クライアントを復号することと、
前記第2のデバイスに関連付けられた第2の公開鍵を特定することと、
前記第2の公開鍵を用いて前記アクセス制御クライアントを暗号化することと、
を含む、請求項11に記載の方法。
【請求項13】
前記アクセス制御クライアントは電子的加入者識別モジュール(eSIM)である、請求項8に記載の方法。
【請求項14】
前記アクセス制御クライアントを前記第2のデバイスに転送することの後に、
前記第1のデバイスにおいて前記アクセス制御クライアントを非アクティブにすること、
を更に含む、請求項8に記載の方法。
前記第1のデバイスにおいて前記アクセス制御クライアントを非アクティブにすること、
を更に含む、請求項8に記載の方法。
【請求項15】
第1のデバイスであって、前記第1のデバイスから第2のデバイスへのアクセス制御クライアントの転送をセキュアにするように構成され、前記第1のデバイスは、
前記第2のデバイスに前記アクセス制御クライアントを送信する条件を特定することと、
前記第2のデバイスによって実施される少なくとも1つのセキュリティポリシーを特定することであって、前記少なくとも1つのセキュリティポリシーは、前記第2のデバイスに既知である複数の論理エンティティのうちのそれぞれの論理エンティティに対し、前記論理エンティティによって実施される少なくとも1つの各自のセキュリティプロトコルを特定する、ことと、
前記少なくとも1つのセキュリティポリシーが前記第1のデバイスによって実施される1つ以上のセキュリティポリシーを満たす場合、
前記第2のデバイスに転送するように前記アクセス制御クライアントを準備することと、
前記アクセス制御クライアントを前記第2のデバイスに転送することと、
を含むステップを前記第1のデバイスに実行させるように構成されたプロセッサを含む、第1のデバイス。
前記第2のデバイスに前記アクセス制御クライアントを送信する条件を特定することと、
前記第2のデバイスによって実施される少なくとも1つのセキュリティポリシーを特定することであって、前記少なくとも1つのセキュリティポリシーは、前記第2のデバイスに既知である複数の論理エンティティのうちのそれぞれの論理エンティティに対し、前記論理エンティティによって実施される少なくとも1つの各自のセキュリティプロトコルを特定する、ことと、
前記少なくとも1つのセキュリティポリシーが前記第1のデバイスによって実施される1つ以上のセキュリティポリシーを満たす場合、
前記第2のデバイスに転送するように前記アクセス制御クライアントを準備することと、
前記アクセス制御クライアントを前記第2のデバイスに転送することと、
を含むステップを前記第1のデバイスに実行させるように構成されたプロセッサを含む、第1のデバイス。
【請求項16】
前記第1のデバイスは第1の移動体無線デバイスであり、前記第2のデバイスは第2の移動体無線デバイスである、請求項15に記載の第1のデバイス。
【請求項17】
前記第1のデバイスはアクセス制御クライアント提供サーバであり、前記第2のデバイスは移動体無線デバイスである、請求項15に記載の第1のデバイス。
【請求項18】
前記アクセス制御クライアントは前記第1のデバイスに関連付けられた第1の公開鍵を用いて暗号化される、請求項15に記載の第1のデバイス。
【請求項19】
前記第2のデバイスに転送するように前記アクセス制御クライアントを準備することは、
前記第1の公開鍵に関連付けられたプライベート鍵を用いて前記アクセス制御クライアントを復号することと、
前記第2のデバイスに関連付けられた第2の公開鍵を特定することと、
前記第2の公開鍵を用いて前記アクセス制御クライアントを暗号化することと、
を含む、請求項18に記載の第1のデバイス。
前記第1の公開鍵に関連付けられたプライベート鍵を用いて前記アクセス制御クライアントを復号することと、
前記第2のデバイスに関連付けられた第2の公開鍵を特定することと、
前記第2の公開鍵を用いて前記アクセス制御クライアントを暗号化することと、
を含む、請求項18に記載の第1のデバイス。
【請求項20】
前記アクセス制御クライアントを前記第2のデバイスに転送することの後に、
前記第1のデバイスにおいて前記アクセス制御クライアントを非アクティブにすること、
を更に含む、請求項15に記載の第1のデバイス。
前記第1のデバイスにおいて前記アクセス制御クライアントを非アクティブにすること、
を更に含む、請求項15に記載の第1のデバイス。
【発明の詳細な説明】
【技術分野】
【0001】
開示されている実施形態は、無線システムにおける認証及びセキュア通信を促進するための技法に関する。より具体的には、開示されている実施形態は、電子デバイス内のセキュアエレメント内のセキュアアクセス制御エレメントに関連付けられた動作を実行する論理エンティティのための特権を管理するための技法に関する。
【背景技術】
【0002】
多くの無線通信システムは、セキュア通信を確実にするためのアクセス制御技法を用いる。例えば、アクセス制御技法は、通信相手の識別を検証すること、及び検証された識別にふさわしいアクセスのレベルを許可することを含んでもよい。セルラー電話システム(ユニバーサル移動体通信システム(Universal Mobile Telecommunications System)、すなわちUMTSなど)では、アクセス制御は通例、物理的ユニバーサル集積回路カード(UICC:Universal Integrated Circuit Card)上で実行するアクセス制御エレメント又はクライアント(ユニバーサル加入者識別モジュール(Universal Subscriber Identity Module)、すなわちUSIMなど)によって統御される。アクセス制御クライアントは通常、セルラーネットワークへの加入者を認証する。認証に成功した後、加入者はセルラーネットワークへのアクセスが許されてもよい。以下の説明では、「アクセス制御クライアント」とは概して、電子デバイスからネットワークへのアクセスを制御する(ハードウェア及び/又はソフトウェアの形態で実装されてもよい)論理エンティティを指すことに留意されたい。USIMに加えて、アクセス制御クライアントは、CDMA加入者識別モジュール(CSIM:CDMA Subscriber Identification Module)、IPマルチメディアサービス識別モジュール(ISIM:IP Multimedia Services Identity Module)、加入者識別モジュール(SIM:Subscriber Identity Module)、リムーバブルユーザ識別モジュール(RUIM:Removable User Identity Module)、等を含んでもよい。
【0003】
従来、アクセス制御クライアントは、セキュアな初期化を確実にするために、適用可能なデータ及びプログラムを検証し、解読する、認証と鍵の合意(AKA:authentication-and-key-agreement)技法を実行している。具体的には、アクセス制御クライアントは、その識別をネットワークオペレータに証明するためのリモートチャレンジに答えてもよく、ネットワークの識別を検証するためのチャレンジを発行してもよい。
【0004】
従来のアクセス制御クライアントソリューションは取り外し可能な集積回路カード(ICC:Integrated Circuit Card)(時により「SIMカード」と呼ばれる)内で具体化されているが、最近の研究は、SIM動作を、電子デバイス上で実行するソフトウェアクライアント内で仮想化することに向けられている。仮想化されたSIM動作はデバイスのサイズを削減し、デバイスの機能を増やしてより大きな自由度を提供し得る。「仮想化されたSIM」は電子的SIM(eSIM:electronic SIM)を指してもよいことに留意されたい。
【0005】
しかし、仮想化されたSIM動作はまた、新たな課題をネットワークオペレータ及びデバイス製造業者に提示する。例えば、従来のSIMカードは、信頼されたSIMベンダによって製造され、保証されている。これらの従来のSIMカードは、SIMカードに恒久的に「焼かれた」、単一のセキュアなバージョンのソフトウェアを実行する。一度焼かれると、SIMカードは通常、(SIMカードを破壊することもせずに)変更又は改竄することができない。
【0006】
対照的に、ポータブル電子デバイスは、広範なデバイス製造業者によって製造され、複数の、場合によっては未知の第三者ソフトウェアベンダによって提供されるソフトウェアを実行してもよい。加えて、ポータブル電子デバイスは、存在するバグを修正することも新たなバグを持ち込むこともできるソフトウェアで頻繁に「パッチされる」。それゆえ、このソフトウェアは破損、妨害工作、及び/又は悪用を被りやすくなり得る。
【0007】
更に、物理的SIMカードは複製が非常に難しいが、ソフトウェアはコピーすること、増やすことなどが容易にできる。それぞれのSIMは有限のネットワーク資源への契約した量のアクセスを表すため、仮想化されたSIMの違法使用はネットワーク動作及びユーザエクスペリエンスに大きな影響を与えることができる(例えば、このような違法使用は、さもなければ正規ユーザが利用可能であろう資源をネットワークから奪うことができ、それにより、このような正規ユーザのためのサービスの速度、可用性等を低下させる)。
【0008】
その結果、従来の物理的SIMのものに概ね類似した仮想化されたSIM(及び、より一般的には、アクセス制御クライアント)のための保護及びその他の特性を提供するための新しいソリューションが必要とされている。更に、仮想化されたアクセス制御クライアントを記憶し、配付するための改善されたソリューションが必要とされている。理想的に、これらのソリューションは、仮想化された動作によって提供される追加の能力とともに、従来のアクセス制御クライアント動作の恩恵を提供することができる。
【発明の概要】
【0009】
説明される実施形態は電子デバイスに関する。この電子デバイスは、サービスのユーザを識別し、セキュア通信を促進するアクセス制御エレメントであって、このアクセス制御エレメントは動作のセットに関連付けられる、アクセス制御エレメントを有するセキュアエレメントを含む。更に、セキュアエレメントは、プロセッサと、メモリであって、プロセッサによって実行されるプログラムモジュール、及び動作のセットに関連付けられた論理エンティティのための特権のセットを有するプロファイルを指定するクレデンシャル管理モジュールを記憶する、メモリと、を含む。更に、動作のうちのいくつかについては、論理エンティティのうちのいくつかのための異なる特権が存在することができる。
【0010】
いくつかの実施形態では、クレデンシャル管理モジュールは、プログラムモジュールによって、特権のセットを指定するために用いられる情報を含む。
【0011】
アクセス制御エレメントは電子的加入者識別モジュール(eSIM)を含んでもよいことに留意されたい。
【0012】
更に、論理エンティティは電子デバイスの内部及び/又は外部にあってもよい。
【0013】
更に、アクセス制御エレメントは、論理エンティティ及び第2の論理エンティティのうちの少なくとも1つのための特権の第2のセットを指定する情報を含んでもよい。特権のセットに関連付けられたセキュリティレベルと特権の第2のセットに関連付けられた第2のセキュリティレベルとの間の競合が発生した場合には、セキュアエレメントはセキュリティレベル及び第2のセキュリティレベルを比較してもよく、特権のセット及び特権の第2のセットのうちの、より強いセキュリティに関連付けられた1つを選択してもよい。代替的に、特権のセットに関連付けられたセキュリティレベルと特権の第2のセットに関連付けられた第2のセキュリティレベルとの間の競合が発生した場合には、セキュアエレメントは特権のセットを選択してもよい。
【0014】
加えて、動作のセットは、アクセス制御エレメントをロードすること、アクセス制御エレメントを有効化すること、アクセス制御エレメントを無効化すること、アクセス制御エレメントをエクスポートすること、及び/又はアクセス制御エレメントを削除することを含んでもよい。
【0015】
いくつかの実施形態では、クレデンシャル管理モジュールは、動作のセットに関連付けられた対称暗号鍵を含み、所与の暗号鍵は、動作のセットに関連付けられた特権を提供することを促進する。代替的に,又は追加的に、クレデンシャル管理モジュールは、動作のセットに関連付けられた非対称暗号鍵、及び非対称暗号を促進するための証明書を含んでもよく、所与の暗号鍵及び所与の証明書は、動作のセットに関連付けられた特権を提供することを促進してもよい。
【0016】
別の実施形態は、論理エンティティのための特権のセットを指定するための方法を提供する。本方法の間に、第1の論理エンティティ及び第2の論理エンティティからクレデンシャルが受信される。次に、クレデンシャル及びクレデンシャル管理モジュールに基づき、第1の論理エンティティ及び第2の論理エンティティのための動作のセットに関連付けられた特権のセットが決定される。次に、第1の論理エンティティ及び第2の論理エンティティの特権のセットを指定する情報が電子デバイス内のセキュアエレメント内のアクセス制御エレメントに提供される。アクセス制御エレメントはサービスのユーザを識別し、セキュア通信を促進する。更に、アクセス制御エレメントは動作のセットに関連付けられ、動作のうちのいくつかについては、第1の論理エンティティ及び第2の論理エンティティのための異なる特権が存在する。
【0017】
いくつかの実施形態では、電子デバイス内のプロセッサを用いてプログラムモジュールが実行される。
【図面の簡単な説明】
【0018】
【図1】既存の認証と鍵の合意(AKA)技法を示す図である。
【図2】本開示の一実施形態に係る、アクセス制御エレメントを配付するためのネットワークアーキテクチャを示すブロック図である。
【図3】本開示の一実施形態に係る、アクセス制御エレメントを電子デバイスに転送するための方法を示すフロー図である。
【図4】本開示の一実施形態に係る、アクセス制御エレメントに関連付けられた動作のセットのための論理エンティティのための特権のセットを指定するための方法を示すフロー図である。
【図5】本開示の一実施形態に係る、1つ以上のアクセス制御エレメントを記憶するように適合された電子的ユニバーサル集積回路カード(eUICC:electronic Universal Integrated Circuit Card)アプライアンスを示すブロック図である。
【図6】本開示の一実施形態に係る、1つ以上のアクセス制御エレメントを記憶し、使用するように適合された電子デバイスを示すブロック図である。
【図7】本開示の実施形態に係る、電子デバイスを示すブロック図である。
【発明を実施するための形態】
【0019】
概要開示される実施形態は、アクセス制御エレメントを記憶し、ポータブル電子デバイス(例えば、「スマートフォン」等)などの、電子デバイスに配付するための装置及び技法を提供する。アクセス制御エレメント(例えば、eSIM)を転送するために用いられる電子デバイスは、転送は、信頼された行先電子デバイスを用いてのみ実行されることを確実にすることによって、アクセス制御エレメントの一意性及び保存性を強化してもよい。一実施形態では、ハードウェアセキュリティモジュール(HSM:hardware security module)内に実装されるeUICCアプライアンスが開示される。それぞれのHSMは、例えば、小売りサービスのために、eSIMの記憶及び配付を促進するために多数のeSIMを記憶することができる。eUICCアプライアンスは、そのピアeUICCアプライアンスは、合意され、信頼されたプロトコルに従って動作していることを検証してもよい。eUICCアプライアンスが両方とも合意している場合には、このとき、発信元eUICCアプライアンスがそのeSIMを転送すると、それはそのeSIMを削除するか、又はさもなければ、それ自身のeSIMを非アクティブにすることになる。行先eUICCアプライアンスはeSIMのアクティブなバージョンのみを保持することができる。
【0020】
別の実施形態では、アクセス制御エレメントが1つの電子デバイスから別のものへ移し替えられると、受信側又は行先電子デバイスはチャレンジ又は一意識別子を発行する。送信側電子デバイスは受信側電子デバイスの公開鍵を用いてアクセス制御エレメントを暗号化してもよく、一意識別子又はチャレンジを追加してもよい。更に、暗号化されたアクセス制御エレメント並びに一意識別子若しくはチャレンジの組み合わせはまた署名されてもよい。送信後に、送信側電子デバイスはそのアクセス制御エレメントを削除してもよい。次に、受信側電子デバイスは、暗号化されたアクセス制御エレメント及び一意識別子を検証してもよい。これらが有効である場合には、受信側電子デバイスは、暗号化されたアクセス制御エレメント及び一意識別子を将来の使用のために記憶してもよい。
【0021】
例示的な構成では、アクセス制御エレメントは、標準の信頼された関係に適合する電子デバイス間で転送されるのみである。どちらの電子デバイスも、合意されたプロトコルに従って動作しているため、アクセス制御エレメントはその転送の間中、一意的かつ保存された状態を維持することができる。更に、アクセス制御エレメントは行先電子デバイスのためにのみ暗号化され、現在の電子デバイスから削除されることを確実にすることによって、干渉してくる悪意を持った者たちは転送プロセスを妨害すること又は失敗させることができなくなる。
【0022】
アクセス制御エレメントの転送のための種々の他の実施形態も以下においてより詳細に説明される。
【0023】
加えて、ポリシーを実施するためのシステム及び技法が説明される。このポリシーは、異なるアクセス制御エレメント関連動作を、論理エンティティのためのクレデンシャルの異なるセット、及び/又は動作を実行する際に用いられる異なるセキュリティプロトコルと関連付けるために用いることができる。このように、異なる論理エンティティは、異なる動作に関連付けられた異なる特権を有してもよい。例示的実施形態の詳細な説明
【0024】
本開示の例示的実施形態及び態様が、ここに詳しく記述される。これらの実施形態及び態様は主にGSM、GPRS/EDGE、又はUMTSセルラーネットワークの加入者識別モジュール(SIM)の枠内で論じられているが、本開示における通信技法は、米国電気電子学会(IEEE:Institute of Electrical and Electronics Engineers)802.11規格、(Kirkland,WashingtonのBluetoothスペシャル・インタレスト・グループからの)Bluetooth(登録商標)、及び/又は(Wakefield,MassachusettsのNFCフォーラムからの)近距離通信規格又は仕様などの、別の種類の無線インタフェースに基づくものなどの、アクセス制御エレメント(電子的SIMすなわちeSIMを含んでもよい)を記憶し、電子デバイスに配付することから恩恵を受けることができる多種多様の通信システムにおいて用いられてよい。本説明では用語「加入者識別モジュール」が用いられているが(例えば、eSIM)、この用語は必ずしも、加入者自身による使用(例えば、本開示は加入者又は非加入者によって実施されてもよい)、単一の個人による使用(例えば、本開示は、家族、又は会社、団体若しくは企業などの、無形若しくは仮想的エンティティなどの、個人のグループのために実施されてもよい)、並びに/あるいは任意の有形の「モジュール」機器若しくはハードウェアを暗示するか又はそれを必要とするわけではない。既存の加入者識別モジュール(SIM)の動作
【0025】
例示的なUMTSセルラーネットワークの文脈においては、ユーザ機器(UE)は、ポータブル電子デバイス及びユニバーサル加入者識別モジュール(USIM)を含んでもよい。USIMは、物理的ユニバーサル集積回路カード(UICC)に記憶され、そこから実行される論理ソフトウェアエンティティであってもよい。通例、加入者情報、並びに無線ネットワークサービスを取得するためにネットワークオペレータとの認証に使用される鍵及び技法などの、様々な情報がUSIM上に記憶される。一実施形態では、USIMソフトウェアは、Java Card(商標)プログラミング言語に基づく。Java Cardは、(UICCなどの)組み込み型「カード」タイプのデバイス用に修正されたJava(商標)プログラミング言語のサブセットである。他の実装形態は、いわゆる「ネイティブ」ソフトウェア実装形態、及び/又は、自社の実装形態等を含んでもよい。
【0026】
一般的に、UICCは加入者への配付の前にUSIMをプログラムされる。このプリプログラミング又は「個人化」はそれぞれのネットワークオペレータに特定的となるものであってもよい。例えば、配置の前に、USIMは、国際移動電話加入者識別番号(IMSI:International Mobile Subscriber Identity)、一意的な集積回路カード識別子(ICC−ID:Integrated Circuit Card Identifier)、及び特定の認証鍵(K)に関連付けられてもよい。ネットワークオペレータは、この関連付けをネットワークの認証センター(AuC:Authentication Center)内のレジストリ内に記憶してもよい。個人化の後、加入者にそのUICCを配布することができる。
【0027】
図1は、USIMを用いた既存の認証と鍵の合意(AKA)技法を示す。AKA技法における通常の認証の間に、UEはUSIMから国際移動体加入者識別番号(IMSI:International Mobile Subscriber Identity)を獲得してもよい。次に、UEは、ネットワークオペレータのサービングネットワーク(SN)又は訪問先コアネットワークにIMSIを渡してもよい。SNは認証要求をホームネットワーク(HN)のAuCに転送してもよい。更に、HNは、受信したIMSIをAuCのレジストリと比較してもよく、対応するKを取得してもよい。次に、HNは乱数(RAND)を生成してもよく、期待応答(XRES)を作り出すための技法を用いてKを使ってそれに署名してもよい。更に、HNは、暗号及び保全性保護に用いるための暗号鍵(CK)及び保全性鍵(IK)、並びに種々の技法を用いて認証トークン(AUTN)を生成してもよい。加えて、HNは、RAND、XRES、CK、及びAUTNを含んでもよい、認証ベクトルをSNに送ってもよい。SNは、ワンタイム認証プロセスにおける使用のためにのみ認証ベクトルを記憶してもよく、SNはRAND及びAUTNをUEに渡してもよい。
【0028】
UEがRAND及びAUTNを受信した後に、USIMは、受信したAUTNは有効であるかどうかを検証してもよい。有効である場合には、UEは、受信したRANDを用いて、記憶されているK、及びXRESを生成した同じ技法を用いてそれ自身の応答(RES)を計算してもよい。更に、UEは、そのRESをSNに返送する。次に、SNはXRESを、受信したRESと比較してもよく、それらが一致する場合には、SNは、UEがオペレータの無線ネットワークサービスを使用することを認可してもよい。
【0029】
上述のAKA技法はSIMカードの物理媒体内で具体化されてもよい。一般的に、SIMカードは通例、少なくとも2つの別個の望ましい特性:それらはSIMデータ(例えば、アカウント情報、暗号化鍵等)のための暗号によりセキュアなストレージを提供する、及びそれらは容易にクローンを作ることができない、を有する。
【0030】
更に、SIMカードは、ユニバーサル集積回路カード(UICC)内に形成されたプロセッサ及びメモリを含んでもよい。このSIMカードは、UICC上のデータ信号の外部からのプロービングを防止するために、エポキシ樹脂で充填されてもよい。しかし、所望に応じて、他の改竄防止構造(例えば、遮蔽層、マスキング層など)がUICC内に含められてもよい。加えて、SIMカードはプロセッサに対するセキュアなインタフェースを有してもよく、プロセッサはメモリに対する内部インタフェースを有してもよい。UICCは外部デバイスから電力を受け取ってもよく、これによりプロセッサは、メモリ構成要素からのコードを実行することが可能となることに留意されたい。メモリ構成要素自体は直接アクセス可能でなくてもよく(例えば、内部ファイルシステムはユーザから隠されてもよい)、プロセッサを介してアクセスされてもよい。
【0031】
通常動作中、プロセッサは限定された数のコマンドのみを受け付けてもよい。これらのコマンドのそれぞれは条件付きでのみアクセス可能であってもよい。更に、アクセス条件は、無断アクセスを防止するために、コマンドの実行に制約されてもよい。更に、アクセス条件は、階層的な場合もあれば、そうではない場合もあり、例えば、1つのレベルのための認可は、別のレベルのための認可を自動的に許可しない場合がある。例えば、アクセス条件のセットは、常にアクセス可能、常にアクセス不能、第1のアカウントにアクセス可能、第2のアカウントにアクセス可能、などを含み得る。条件付きアクセスは、適切なセキュリティプロトコルの完了が成功した後にのみ許可されてもよい。ユーザの識別を検証するための技法は、パスワード、個人識別番号(PIN:personal identification number)、共有シークレットのチャレンジ、等を含んでもよいことに留意されたい。
【0032】
条件付きアクセス、限定されたコマンドのセット、及び/又は保護されたメモリ空間は、SIMカード内部に記憶された情報が、外部アクセスからセキュアであることを確実にし得る。SIMカードのクローンを作ることは、物理的カードの構築、並びに内部ファイルシステム及びデータの構築を必然的に伴い得る。これらの特徴の組み合わせにより、物理的SIMカードは、実際的な偽造の試みに大いに耐え得るものとなってもよい。電子加入者識別モジュール(eSIM)の動作
【0033】
少し離れるが、用語「保存性(conservation)」、「保存する(conserve)」、及び「保存された(conserved)」とは、本明細書で使用するとき、簡単に増やすか又は減らすことができない、(物理的又は仮想的のいずれかの)エレメントを指してもよい。例えば、保存されたeSIMは、通常動作の間にコピー又は複製することができない。
【0034】
加えて、本明細書で使用するとき、用語「一意的(unique)」及び「一意性(uniqueness)」は(物理的エレメント又は仮想的エレメントに適用されるとき)、特定の特性及び/又は特徴を有する唯一無二のエレメントであるエレメントを指してもよい。例えば、一意的なeSIMは複製のeSIMを有することができない。
【0035】
本明細書で使用するとき、用語「セキュリティ」とは、一般的に、データ及び/又はソフトウェアの保護を指す。例えば、アクセス制御データセキュリティは、アクセス制御エレメントに関連付けられたデータ及び/又はソフトウェアが、無許可の行為及び/又は悪意の第三者による、窃盗、悪用、破壊、公開、及び/又は改竄から保護されることを確実にしてもよい。
【0036】
更に、本明細書で使用するとき、用語「ユーザ認可」とは、概して、資源へのユーザのアクセスを指定することを指す。既存の物理的SIMカードの場合には、ユーザ認可は物理的SIMカードの所持をもって実施されてもよいことに留意されたい。それゆえ、物理的SIMカードは、ネットワーク資源にアクセスするためのユーザの認可を表してもよい。例えば、物理的なSIMカードが1つのセルラー電話から別のセルラー電話に移し替えられると、この移し替えはユーザによって行われた(及び、ユーザによって黙示的に認可された)ものと想定される。eSIMの動作の文脈においては、eSIM転送のユーザ認可のための類似の機能が必要である。特に、eSIMの「所有者」(及び、ネットワークも)は、eSIMが正当なデバイスにのみ転送されることの保証を必要としてもよい。
【0037】
一般的に、ソフトウェアはハードウェアよりも柔軟性が高いと認識されている。例えば、ソフトウェアは通常、コピー、変更、及び配付が容易である。更には、ソフトウェアは、多くの場合、ハードウェアの均等物よりも安価に、電力効率的に、物理的に小さく作製することができる。したがって、従来のSIM動作は、カード(UICC)などの物理的フォームファクタを利用するが、現在の開発領域は、SIM動作をソフトウェア内部で仮想化することに焦点を向けている。しかし、SIMデータ(例えば、加入者固有情報など)の機密性は通常、特別な配慮を必要とする。例えば、SIMデータの様々な部分は、加入者に固有のものであり、悪意の第三者から、慎重に保護されるべきである。更に、上述したように、それぞれのSIMは、有限のネットワーク資源への契約した量のアクセスを表す。したがって、ネットワーク資源の過剰使用及び/又は過少使用、並びにサービスプロバイダ料金又は収入の肩代わりを防止するために、SIMの複製、破壊、及び/又は再生利用が管理されてもよい。その結果、仮想化されたSIMは、理想的には、以下の特性:セキュリティ、一意性、及び保存性を満足するべきである。更に、これらの特性は、理想的には、少なくとも既存のネットワークインフラストラクチャと同等のコストで提供されるべきである。
【0038】
いくつかの実施形態では、SIM動作はUICCを、これ以降、「電子的ユニバーサル集積回路カード」(eUICC)と呼ばれるソフトウェアアプリケーションなどの、仮想的又は電子的エンティティとしてエミュレートする。eUICCは、これ以降、「電子的加入者識別モジュール」(eSIM)と呼ばれる、1つ以上のSIMエレメントを記憶し、管理する能力を有してもよい。しかし、仮想化されたeSIM動作のためのソリューションは通常、既存のUICCによって既に提供されている既存のセキュリティ能力と(改善されないとしても)同等のセキュリティを提供しなければならない。加えて、既存のインフラストラクチャは通例、仮想化されたeSIMの数が、ネットワーク全体にわたって制御されるように(例えば、仮想化されたeSIMが、複製、喪失などされないように)、仮想化されたeSIMの保存性を強化するための好適な技法を必要とする。
【0039】
図2は、複数のSIMベンダ202と、複数のSIMプロビジョニングサーバ(SPS:SIM provisioning server)204(2010年11月22日に出願され、「Wireless Network Authentication Apparatus and Methods」と題する、共有された同時係属中の米国特許出願第12/952,082号、及び2010年11月22日に出願され、「Apparatus and Methods for Provisioning Subscriber Identity Data in a Wireless Network」と題する、米国特許出願第12/952,089号により詳細に説明されているものなど。両出願の内容は本明細書において参照により組み込まれている)と、セキュアなeUICCをそれぞれ包含するユーザ機器(UE)206の集団と、を含むシステム200を示すブロック図を示す。以下の記載は、SIMベンダからセキュアなeUICCへeSIMを配付するための異なる実施形態を説明する。
【0040】
一実施形態では、UE 206のうちの1つがいずれかのSPS 204からeSIMを要求し、SPSは、SIMベンダ202(又は、他の場合には、移動体通信事業者(MNO:mobile network operator)、信頼されたサービスマネージャ(TSM:trusted services manager)、等)などの信頼されたエンティティから適切なeSIMを取得する。このアプローチでは、SIMベンダはeSIMの配付を容易に制御することができる。例えば、それぞれの新たに要求されたeSIMはSIMベンダによってのみ許可されてもよい。しかし、SIMベンダは、eSIMを配給することができる唯一の当事者であり得るため、加入者の大集団が短期間のうちにSIMベンダに要求を殺到させる場合には(よく売れる製品のリリースの場合にはよくあることだが)、SIMベンダが「ボトルネック」を作り出す恐れがある。同様に、SIMベンダは単一障害点になり得る。その結果、災害又はその他の機能不全が起きた場合には、eSIMの発行は完全に停止され得るであろう。
【0041】
別の実施形態では、それぞれのSPS 204がSIMベンダ202からeSIMのプールを取得し、そのeSIMのプールをそれぞれのSPS内部に記憶する(eSIMのプールは、それぞれのSPSのために複製される)。次に、SPSは、要求に応じて、eSIMをUE 206に配布する。eSIMはセキュアなeUICCによってのみ解読され、用いられてもよいことに留意されたい。この分散SPSサーバモデルでは、SIMベンダによるボトルネックが生じることはない。しかし、このアプローチは通例、大幅により多くのインフラストラクチャを必要とする。特に、SPSの集団は、複製されたeSIMが配付されないことを確実にする必要があり得る。したがって、SPSがeSIMを許可すると必ず、他のSPSは、通信リンク208を介するなどして、それらの複製のeSIMを非アクティブ化するように通知される必要があり得る。これは、eSIMは一意的であること(例えば、複製のeSIMは配付されていないこと)を確実にし得る。SPS間でeSIM状態情報の同期を保持するための通信は、ネットワークインフラストラクチャ上での著しい量のトラフィックになり得る。その上、低速のネットワーク接続又はネットワーク崩壊は「競合状態」を更に生じさせ得る。コンピュータネットワーキングの文脈において、競合状態とは一般的に、ネットワーク−エンティティ同期における伝搬遅延から生じるデータハザードを指す。例えば、不完全な同期は、2つのSPSが同じeSIMを同時にエクスポートする(競合状態を作り出す)原因となり得る。これは、eSIMのクローンが偶然に作られる結果を招く場合がある。
【0042】
別の実施形態(図示せず)では、SPS 204及びSIMベンダ202のインフラストラクチャが何らかの様式で組み合わせられる。例えば、SIMベンダ及びSPSネットワークは、共通の設備内に一緒に収容され、互いに自由にアクセスしてもよいか、又は別様にロジスティックに関連させてもよい。関連し合った設備の動作を成功させるには、SIMベンダとSPSネットワークオペレータとの間に信頼された取引関係が必要とされ得るが、このことは、望ましくない可能性がある(例えば、法的な独占禁止の考慮事項により、企業が対立する場合など)。
【0043】
上述の実施形態のそれぞれは、転送時に種々のネットワークエンティティを同期させるために膨大な通信オーバヘッドを伴う場合がある。例えば、SPSからポータブル電子デバイスへのeSIMの転送が成功すると、それぞれのSPSは、そのeSIMは(同じeSIMの複数の送達を防止するために)再び転送することができないと通知されてもよい。
【0044】
これらの実施形態は、eSIMデータを受信し、利用するために、ユーザ機器においてeUICCデバイスを用いるものとして開示されていることに留意されたい。しかし、システム内におけるレガシーデバイスの使用に対応するために、上述の実施形態は、(以下において更に詳細に説明されるように)eUICC機能性が従来のSIMフォームファクタ又はカード上に配置されたシステム内に実装されてもよい。方法
【0045】
したがって、本開示の種々の態様は、好都合なことに、既存のソリューション(例えば、物理的カードベースのアクセス制御エレメント)と同等かつ/又は改善された能力を提供する、仮想化されたアクセス制御エレメントの動作及び配付を可能にする。例示的な実施形態では、自己内蔵型のSIMプロビジョニングサービス(SPS)エンティティが他のピアSPSデバイスと協同して動作することができ、(集中データベースからのeSIMを追跡する集中モデル、又はピアデバイス間の同期を必要とする分散型技法とは対照的に)SIMプロビジョニングのための分散ピアモデルを可能にする。更に、本明細書においてより詳細に説明されるように、本開示の実施形態は、好都合なことに、いずれかの特定のネットワークインフラストラクチャに特定的なものではなく、実質上いかなる構成にも柔軟に対応することができる。
【0046】
本開示の一態様では、アクセス制御エレメントは、1度に電子デバイス内の1つのセキュアエレメントにのみ記憶し、転送することができる。いくつかの実施形態では、セキュアエレメントは、(本明細書において後により詳細に説明される)同じか又は類似のプロトコルを有する他のセキュアエレメントから受信したアクセス制御エレメントのみを記憶する。同様に、セキュアエレメントは、アクセス制御エレメントの転送を、同じか又は類似のプロトコルを有する他のセキュアエレメントに限定してもよい。例えば、セキュアエレメントはトランザクションを、一定のセキュリティ要件を満たす他のセキュアエレメントに限定してもよい。いくつかのMNOは、他のMNOよりも高いセキュリティをそれらのデバイスに実施する場合がある。種々の実施形態では、セキュアエレメントは異なるレベルで証明することができるであろう。更に、アクセス制御エレメントは一定の証明レベルを必要としてもよい。転送プロセスの間に、デバイスはそれ自身のアクセス制御エレメントを消去してもよい(又は非アクティブにしてもよい)。転送に関係するクライアントがどちらも、信頼されたエンティティであり、同じプロトコルに従うことを確実にすることによって、アクセス制御エレメントを転送中に増やされなくするか又は減らされなくすることができる。
【0047】
セキュアエレメントは、保護された記憶媒体からのソフトウェアを実行する、プロセッサ又は処理装置として具体化されてもよいことに留意されたい。いくつかの実施形態では、保護された記憶媒体は、無断アクセス又は改竄を妨げるために暗号化されてもよい。更に、セキュアエレメントは、記憶媒体及び/又はセキュアプロセッサへのアクセスを防止するために、物理的に硬化又は保護されてもよい。物理的硬化の例としては、無断アクセスの試みが発生した場合に、自己破壊するか若しくはそのデバイスをアクセス不能にするように準備された、物理的ケース若しくは他の機構、並びに/又は、外部探査を防止するために、樹脂若しくは他の材料内に回路を組み込むことを挙げることができる。
【0048】
いくつかの実施形態では、本開示のセキュアエレメントは異常なアクセスを更に制限し、及び/又はそれを監視する/合図する。例えば、セキュアエレメントへのアクセス制御エレメントの転送又は記憶はチャレンジレスポンス及び/又は一意識別子を必要としてもよい。間違ったチャレンジレスポンス又は不正確な識別子は異常/不正行為を指示する場合がある。同様に、セキュアエレメント間のトランザクションは暗号化されてもよい。その結果、間違って暗号化されたトランザクションも不審な行動を合図する場合がある。
【0049】
図3は、アクセス制御エレメントを記憶し、転送するための方法300のフロー図を示す。いくつかの実施形態では、方法300は、1つ以上のeSIMの記憶を管理することができるHSM内で具体化されるeUICCアプライアンスである少なくとも1つのデバイスを要する。代替的に、又は追加的に、HSMは、暗号化されたeSIMをローカルに記憶してもよく、又はeSIMを遠隔媒体上への(場合によっては、セキュアなファイルシステム内への)記憶のために暗号化してもよい。
【0050】
いくつかの実施形態では、少なくとも1つのデバイスは、物理的SIMカードフォームファクタ内で具体化される(例えば、以下において図7を参照して更に説明されるように、レガシーフォームファクタレセプタクルの再利用を可能にする)eUICCアプライアンスである。
【0051】
いくつかの実施形態では、少なくとも1つのデバイスは、セキュアエレメント内で具体化されたeUICCアプライアンスを含む、セルラー電話などの、硬化されたデバイスである(例えば、セキュアエレメントは、デバイスを破壊するか、又はさもなければその保全性を損なわずにデバイスから取り外すことができない)。
【0052】
方法300では、発信元デバイス及び行先デバイスがプロトコルに合意する(動作302)。いくつかの実施形態では、プロトコル種別は、識別されたソフトウェアのバージョンに基づき、例えば、平文によるものである。他の実施形態では、プロトコル種別は、別様に暗号化された初期通信に固有のものである。例えば、暗号化された256ビットのチャレンジは特定のプロトコル又はプロトコルのセットを固有に指定してもよく、それに対して、暗号化されていないチャレンジは異なるプロトコルを固有に指定してもよい。更に他の実施形態では、プロトコルは発見プロセスに基づく。例えば、デバイスは、ディレクトリサービスを用いて登録されてもよい。ここで、レジストリは、識別子、ネットワークアドレス、サポートされているプロトコル種別等などの情報を含む。
【0053】
例示的な実施形態では、プロトコル種別は、相互に信頼された発行権限者によって発行された署名付き(デジタル)証明書によって決定される。デジタル証明書は、(証明書を一意的に識別するための)通し番号、証明されたデバイス、署名を生成するために用いられた署名技法、情報を検証し、証明書に署名した発行者、有効性範囲(例えば、〜から有効、〜まで有効、等)、暗号化鍵、並びに/又は(証明書の正当性を検証するための)拇印若しくは検証ハッシュを含んでもよい。デジタル証明書は関連技術において周知であり、本明細書では更に説明されない。
【0054】
いくつかの実施形態では、相互に信頼された発行権限者は、アクティブ化権限者、例えば、MNO認証センター(AuC)である。他の実施形態では、相互に信頼された発行権限者は、信頼された第三者、例えば、SIMベンダ、デバイス製造業者等である。相互に信頼された発行権限者は両デバイスのために同じである必要はなくてもよい。例えば、システムは複数の信頼されたエンティティ(例えば、複数の受け入れられたMNO、複数の信頼されたデバイス製造業者等)を有してもよい。更に、一部のシステムでは、信頼されたエンティティが別の未知のエンティティのための信頼のルートになってもよい(例えば、信頼されたエンティティは、未知のエンティティも信頼することができることの保証を提供する)。このような信頼「チェーン」は任意の数の中間デバイス間に延びてもよい。それぞれの中間デバイスはその先行者の信頼レベルに連鎖していてもよく、これが、信頼されたルートエンティティまで延びる。
【0055】
別の例では、eUICCアプライアンスは、標準化された仕様等に適合するあらゆるアプライアンスデバイスをサポートしてもよい。同様に、下位互換性を確実にするために、eUICCアプライアンスの後身はレガシーeUICCアプライアンス等もサポートしてよい。
【0056】
利用可能なデバイス、及び/又は利用可能なデバイスのための受け入れられたプロトコルは、例えば、ルックアップディレクトリ又は同様のサービス内に記憶されてもよい。例えば、アプライアンスの複数のアレイは、アプライアンスのそれぞれのための接続情報を提供するディレクトリサービスサーバと結び付けられてもよい。要求者側(発信元又は行先のどちらか)はディレクトリサービスから情報を要求してもよい。
【0057】
いくつかの実施形態では、プロトコルはソフトウェアのバージョン又はリビジョンに従ってコード化される。例えば、デバイスは、他のデバイスは、受け入れ可能なソフトウェアのバージョン又はリビジョンを含むことを検証してもよい。代替的に、発信元デバイス及び行先デバイスは非公式又は初期プロトコルに合意してもよい。例えば、デバイスはプロトコルを動的にネゴシエート又は決定してもよい。更に他の実施形態では、プロトコルのネゴシエーションは必要ない(例えば、単一の転送プロトコルのみをサポートするシステム)。
【0058】
転送プロトコルは、転送時のチャレンジ−レスポンスプロトコル、一意識別子選択、転送暗号化、アクセス制御エレメント管理(例えば、削除手続き、確認応答手続き、等)の種類を指定してもよい。上述したように、アクセス制御エレメントの保存性及び一意性特性が転送中に保持されることを確実にするために、アクセス制御エレメントは特に行先デバイスのために暗号化されてもよく、転送デバイスから削除されてもよい。例えば、転送プロトコルは、受信の確認応答は必要であるかどうか、送信が失敗した場合に再送信は許されるかどうか、再試行の試みの容認可能な回数、及び/又は発信元デバイスは、いかなる条件下で、暗号化されたアクセス制御エレメントを削除することができるのか、を指定してもよい。
【0059】
種々のシナリオの下では都合が良いか又は必要とされる場合があるため、発信元デバイスは、異なるときに、及び/又は異なる条件下で、暗号化されたアクセス制御エレメントを削除し、及び/又は非アクティブ化してもよいことは理解されるであろう。いくつかの実施形態では、削除は転送後のどこかの時点で行われてもよい。このような実施形態は、不必要なシグナリング(例えば、それぞれのアクセス制御エレメントを、別のものを転送する前に削除する)を最小限に抑えるためのバルク転送に有用となり得る。代替的に、アクセス制御エレメントは転送前のどこかの時点で非アクティブ化されてもよい。他の実施形態では、「有効性窓」が同様に転送のために指定されてもよく、それにより、特定の転送は、有効と見なされるために、規定された時間窓内に達成されなければならない。
【0060】
その他の考慮事項は、デバイスの考慮事項及び/又はアクセス制御エレメントの考慮事項を含む。例えば、いくつかのデバイスは、アクセス制御エレメントを受信する(又は送信する)ことを許されるのみであってもよい。例示的な実施形態では、ポータブル電子デバイスはeSIMを受信することのみに限定される(一旦割り当てられると、それを返すことはできない、等)。代替的に、一部のデバイスは「ワンタイム」転送(例えば、eSIMを1度提供するための使い捨てデバイス)としてのみ用いられてもよい。場合によっては、デバイスはピアデバイスよりもセキュアである(又はセキュアでない)ことがある。例えば、ユーザ機器は、eUICCアプライアンスよりも厳しいセキュリティ要件を有してもよい。具体的には、eUICCアプライアンスは他の方策(例えば、セキュアなインフラストラクチャ等)を介して保護されてもよい。よりセキュアでないeUICCアプライアンスが、その内部に包含されたセンシティブ情報の保護に見合った最低限のレベルのセキュリティを実装している場合には、セキュアなユーザ機器はeSIMをよりセキュアでないeUICCアプライアンスに転送することもできる。同様に、場合によっては、アクセス制御エレメントは、許される転送の総数、行先デバイスの制約等を含む、転送制限を有することがある。
【0061】
更に、通信技法は転送プロトコルの考慮事項に大きな影響を与え得ることを理解されたい。ネットワークインフラストラクチャ転送は高帯域幅プロトコル及び媒体(例えば、T3、T1、Sonet(同期光学ネットワーキング)、ギガビットイーサネット又は10G等)を用いてもよく、それに対して、消費者ベースの転送は、より低い帯域幅の接続(例えば、セルラーアクセス、WLAN(wireless local area network、無線ローカルエリアネットワーク)、イーサネット、等)を通じて実行されてもよい。異なる使用シナリオはまた、ハンドシェーキングのための異なる要件、転送時間要件、等を有してもよい。例えば、SIMベンダは、(例えば、SIM送達又はその他の機能を促進することなどのために)多数のeSIMをeUICCアプライアンスに転送してもよい。同様に、別の例では、eSIMの集中化した大規模なリポジトリが複数のeUICCアプライアンスの間で自由に転送されてもよい。eUICCアプライアンスは、負荷管理等を促進するために、eSIMをアプライアンスからアプライアンスへ転送してもよい。eSIMは流通していなくてもよいため、これらのバルク転送シナリオのためのハンドシェーキング要件はさほど重要でなくてもよい。(例えば、確認応答は、それぞれの個々のeSIMごとではなく、転送の終わりにひとまとめにすることができる)。
【0062】
顧客アプリケーションははるかにより遅い転送速度を有してもよいが、eSIMは確実に送達され、すぐに利用可能にならなければならないため、ハンドシェーキングはより重要になり得る。いくつかの実施形態では、ハンドシェーキングプロセスを完了できなければ、再試行の試みが自動的にトリガされる。例えば、eUICCアプライアンス、SPS、又は同様のエンティティは、UE、又はデスクトップ若しくはポータブルコンピュータから実行するアプリケーションからのにわかのeSIM要求に応じるために、eSIMを直接転送してもよい。別の例では、顧客ベースのアプリケーションは、1つ以上のeSIM(例えば、1つは仕事用、1つは個人用、いくつかはローミングアクセス用、等)を記憶する能力を有する小さな内在化されたアプライアンスを実行し、顧客がeSIMを自分の種々のデバイスの間で転送することを可能にしてもよい。
【0063】
次に、発信元デバイス及び行先デバイスは共有シークレットを確立する(動作304)。例示的な実施形態では、デバイスは、デジタル署名を検査することによってピアデバイス識別を検証し、署名が有効である場合には、アクセス制御エレメントによる暗号化のためのチャレンジ、一意識別子、又は別のセキュリティトークンを交換する(又はそれを交換することに合意する)。
【0064】
例えば、デバイスはチャレンジ及びレスポンス形式のハンドシェイクを利用してもよく、この場合、信頼されたデバイスはいずれも、複数のチャレンジ及び関連付けられたレスポンスを生成するために用いることができる共通シークレット(例えば、共通鍵、鍵のセット、等)を知っている。1つの構成では、デバイスは、それらが適当なチャレンジ、及び/又は適切なレスポンスを生成することができるなら、未知のデバイスを信頼することを許可されてもよい。しかし、このような信頼が与えられる前に追加の基準が適用されてもよいことは理解されるであろう。
【0065】
別の例では、デバイスは、アクセス制御エレメント要求とともに行先デバイスによって生成される一意識別子を用いてもよい。発信元デバイスは、応じた要求を識別するためにアクセス制御エレメントとともに一意識別子を含んでもよい。
【0066】
他の実施形態では、デバイスは、信頼された第三者を用いてそれらのピアデバイスを検証する(例えば、信頼された第三者はデバイスのそれぞれにセッション鍵を提供してもよい)。このような関係は、直接又は間接的に検証されてもよい。例えば、ピアデバイスは、転送を実行する前に、信頼された第三者に直接問い合わせてもよく、又は、代替的に、それぞれのデバイスは、信頼された第三者等によって署名された証明書を提示してもよい。
【0067】
他の種類の暗号機構及び信頼技法も本開示における使用のために当業者によって認識されるであろう。
【0068】
更に、発信元デバイスはアクセス制御エレメントをシークレット、例えば、チャレンジ、一意識別子、又は別のセキュリティトークン、とともにパッケージ化する(動作306)。例示的な実施形態では、パッケージは追加的に、行先デバイスの公開鍵を用いて暗号化される。いくつかの実施形態では、アクセス制御エレメントを再暗号化する前に、発信元デバイスはそれ自身のプライベート鍵を用いてアクセス制御エレメントを解読する。
【0069】
行先デバイスの公開鍵を用いた暗号化後には、行先デバイスのみがアクセス制御エレメントを使用のために解読することができる。アクセス制御エレメントを転送するための公開鍵及びプライベート鍵暗号化の一例が、2010年10月28日に出願され、「Methods and Apparatus for Storage and Execution of Access−Control Elements」と題する、米国仮特許出願第61/407,866号に説明されている。同出願の内容は本明細書において参照により組み込まれている。例えば、それぞれのeUICCアプライアンスは一意的なデバイス公開/プライベート鍵ペア及び承認証明書を有してもよい。公開/プライベート鍵ペアは、秘密のプライベート鍵、及び公開可能な公開鍵に基づいてもよい。暗号化及び解読のために用いられる鍵が異なり、それゆえ、暗号化部及び解読部は同じ鍵を共有しないため、公開/プライベート鍵技法は「非対称的」と見なされることに留意されたい。
【0070】
方法300の(とりわけ)動作306及び304は、更に組み合わせられ、細分され、及び/又は逆にされてもよいことが更に理解される。例えば、発信元デバイスはセッション鍵を決定してもよく、セッション鍵を用いてアクセス制御エレメントを暗号化してもよい。その結果得られたパッケージは行先デバイスの公開鍵を用いて更にラップされてもよい。いくつかの実施形態では、セッション鍵は行先デバイスによって受信の時点で決定される。
【0071】
追加的に、いくつかの実施形態では、パッケージは、発信元デバイスの更なる検証を提供するために、(プライベート/公開署名ペアの)プライベート暗号鍵を用いて更にデジタル署名される。行先デバイスは、パッケージ(例えば、アクセス制御エレメント及び一意識別子、等)は発信元デバイスから発したことを検証するために、公開暗号鍵を用いてデジタル署名をチェックしてもよい。更に、デジタル署名は単に電子署名のサブセットにすぎないことを理解されたい。したがって、ユーザ固有識別(例えば、パスワード、バイオメトリクス、チャレンジ質問/フレーズ、等)、電子識別(例えば、デジタル証明書、暗号文、等)、等を含む、発信元検証の他の形態が同様に利用されてもよい。
【0072】
次に、パッケージ化されたアクセス制御エレメントは発信元から行先デバイスへ転送される(動作308)。行先デバイスは共有シークレットを検証してもよく、検証が成功した場合には、暗号化されたアクセス制御エレメントを将来の使用のために記憶してもよい。いくつかの実施形態では、アクセス制御エレメントを行先デバイスのために有効化する前に(例えば、転送前、転送の完了前、転送成功の確認応答前、等)、アクセス制御エレメントは発信元デバイスにおいて削除されるか、非アクティブ化されるか、又は別の方法で使用不能にされる。
【0073】
別の実施形態では、アクセス制御エレメントのダウンロードのセキュリティは、2012年2月14日に出願され、「Methods and Apparatus for Large Scale Distribution of Electronic Access Clients」と題する、共有された、同時係属中の米国仮特許出願第61/598,819号に開示されているセキュリティプロトコルを用いることによって確実にされる。同出願の内容は本明細書において参照により組み込まれている。同出願において説明されているように、階層型セキュリティソフトウェアプロトコルが用いられてもよい。例示的な実施形態では、サーバeUICC及びクライアントeUICCソフトウェアがソフトウェア層のいわゆる「スタック」を構成してもよい。それぞれのソフトウェア層は、その対応するピアソフトウェア層とネゴシエートされる一組の階層的機能を担当してもよい。例示的動作
【0074】
本開示に係る典型的な動作の一例として、初期化時に、SIMベンダはeSIMの集合又は「ロット」をeUICCアプライアンスに提供する。複数のSIMベンダがeSIMを独立に提供してもよいことに留意されたい。SIMベンダの側での協働は必要とされなくてもよい(ただし、所望の場合には、このような協働も用いられてよい)。SIMベンダは、eUICCアプライアンスのためのチャレンジ又は一意識別子を用いてeSIMのそれぞれを暗号化してもよい。
【0075】
上述したように、それぞれのeSIMは、仮想化されたSIM及び一意的な鍵の関連付け、並びにポータブル電子デバイスをセルラーネットワークへ認証するための上述のAKA技法を実行する能力を含んでもよい。加えて、それぞれのeSIMは、転送ごとに変化するチャレンジ又は識別子に一意的に関連付けられてもよい。チャレンジ又は識別子の典型的な実装形態は、暗号用具、カウンタ、疑似乱数列、大規模な状態マシン等を含んでもよい。
【0076】
例えば、第1のeUICCアプライアンスは、第2のeUICCアプライアンスへの(第1のeUICCアプライアンスのために現在暗号化されている)eSIMの転送を開始してもよい。第1のeUICCアプライアンスは第2のeUICCアプライアンスへのセキュア通信を開始してもよい。いくつかの実施形態では、第1及び第2のeUICCアプライアンスの両者は、1つ以上の相互に信頼された第三者によって署名された証明書に基づき転送に合意する。更に、第2のeUICCアプライアンスは一意識別子を第1のeUICCアプライアンスに提供してもよい。次に、第1のeUICCアプライアンスはそれ自身のプライベート鍵を用いてeSIMを解読してもよく、次に、第2のeUICCの公開鍵(この公開鍵は第2のeUICCによって自由に配付されてもよい)を用いてeSIMを再暗号化してもよい。一意識別子及び再暗号化されたeSIMの組み合わせは第1のeUICCアプライアンスによって署名されてもよい(この署名は第1のeUICCアプライアンスの識別を検証してもよい)。更に、署名された組み合わせは第2のeUICCのためにパッケージ化されてもよい。これで、第2のeUICCのみがeSIMを解読することができ、署名された組み合わせは、暗号化されたeSIMパッケージは一意識別子に対応することを証明し得る。加えて、第1のeUICCアプライアンスは、新たに暗号化されたeSIMを第2のeUICCアプライアンスへ送信してもよい。
【0077】
いくつかの実施形態では、一意識別子は反射攻撃からの保護のために用いられる。例えば、それぞれのeSIM転送は、トランザクションが(例えば、悪意の第三者によって)「コピーされ」、再生されることができないように、一意的に識別されてもよい。具体的には、eSIMをアプライアンスAとアプライアンスBとの間で転送し、その後、アプライアンスBからアプライアンスCへ転送した場合には、eSIMが依然としてアプライアンスCにある間は、アプライアンスAとアプライアンスBとの間の転送を再現することができない。
【0078】
同様に、第1のeUICCアプライアンスからポータブル電子デバイスへのeSIMの転送を考える。ポータブル電子デバイスは、チャレンジ及びその公開鍵を用いて、eSIMを求める要求を発行してもよい。第1のeUICCアプライアンスはそれ自身のプライベート鍵を用いてeSIMを解読してもよく、適当なチャレンジレスポンスを生成してもよい。次に、eSIMは、ポータブル電子デバイスの公開鍵を用いて再暗号化されてもよい。この再暗号化されたeSIMはチャレンジレスポンスと組み合わせられ、その後、署名されてもよい。次に、ポータブル電子デバイスは、チャレンジレスポンス(これは、第1のeUICCアプライアンスを正当な発信元として識別することができる)を検証してもよく、成功した場合には、eSIMを使用のために解読してもよい。たとえ、万一、悪意の第三者が、暗号化されたeSIMを傍受することができたとしても、eSIMは暗号化されているため、第三者はeSIMを使用又は改竄することができないであろう。
【0079】
最後に、第1のポータブル電子デバイスから第2のポータブル電子デバイスへのeSIMの転送を考える。第1のポータブル電子デバイスは、そのeSIMを第2のポータブル電子デバイスへ転送せよとの要求をプッシュしてもよい。いくつかの実施形態では、第1又は第2のポータブル電子デバイスのどちらかのユーザが手動で転送を受け付ける。受け付けられると、第2のポータブル電子デバイスはチャレンジを第1のポータブル電子デバイスへ送信してもよい。次に、第1のポータブル電子デバイスは、それ自身のプライベート鍵を用いて、その記憶された暗号化されたeSIMを解読してもよく、適当なレスポンスを含む、第2のポータブル電子デバイスの公開鍵(これは常に利用可能であってもよい)を用いてeSIMを再暗号化してもよい。次に、組み合わせは署名され、送信されてもよい。更に、第2のポータブル電子デバイスは、チャレンジレスポンス(これは、第1のポータブル電子デバイスを正当な発信元として識別することができる)を検証してもよく、eSIMを使用のために解読してもよい。アクセス制御エレメントのポリシーベース管理
【0080】
従来のアクセス制御技法は通常、適当なクレデンシャルを有する論理エンティティが、アクセス制御エレメントに関連する種々の動作を実行することを可能にする。しかし、リモートサーバからeSIMをロードすることなどの、いくつかの動作のためにいっそうのセキュリティを提供することが望ましい場合がある。例えば、悪意を持った論理エンティティが、仮想的SIMに悪意を持ったコードを包含させる恐れがあるか、又は悪意を持ったデータがロードされることを可能にする恐れがある。代替的に、他の動作(ユーザが、eUICC内に既にロードされているeSIMを有効化することを可能にすることなど)に伴うセキュリティリスクはより少なくなり得、それゆえ、デジタル証明書などの、面倒なセキュリティ方策を必要としなくてもよい。代わりに、これらの動作は、PINコードなどの、より単純でより制限性の低いセキュリティ方策を用いてもよいか、又はレガシーUICCを取り外す/挿入する場合のように特別なセキュリティを全く用いなくてもよい。
【0081】
加えて、既存のeUICC設計では、適当なクレデンシャルを有する論理エンティティは、eSIMをロードすること又はeSIMを有効化することなどの、eSIM関連動作を管理することができてもよい。しかし、異なるビジネスモデルをサポートするために、異なる論理エンティティは異なる動作を管理することができることが望ましい場合がある(すなわち、異なる論理エンティティは、eSIMなどの、アクセス制御エレメントに関連付けられたセット動作のための異なる特権を有してもよい)。異なる論理エンティティは、ユーザ、移動体通信事業者によって雇われたセキュリティサービス請負業者、移動体通信事業者、デバイス製造業者、及び/又は信頼されたOEMベンダを含んでもよいことに留意されたい。これらの論理エンティティは、UE(ポータブル電子デバイスなど)の内部にある、及び/又はUEの外部にあるハードウェア及び/又はソフトウェアを用いて、異なる動作を管理してもよい。
【0082】
ポリシーベースフレームワークを用いて、それぞれのeSIM関連動作を異なる論理エンティティに関連付けることができ(すなわち、それは論理エンティティの特権を指定してもよい)、クレデンシャルの異なるセット、及び/又は動作を実行するために必要とされ得る異なるプロトコルに関連付けることができる。eUICCにおいては、eSIMのロード、eSIMの有効化、eSIMの無効化、eSIMの削除及びeSIMのエクスポート(これは逆方向のロードと考えることができるか、又は代替的に、物理リンクを用いた2つのeUICCの間のものであり得るであろう)を含む、eSIMを管理することに関連する多数の基本動作が存在する。このポリシーベースフレームワークは、異なる論理エンティティ(それらの関連付けられたクレデンシャルを有する)が、異なる動作を実行することを可能にしてもよく、また、異なるセキュリティプロトコルが、異なる動作又は異なる論理エンティティに関連付けられること可能にしてもよい。例えば、リモートロケーションからセキュアデータ(eSIMなど)をダウンロードするために、ポリシーベースフレームワークは強いセキュリティを提供してもよく、これは、デバイスとリモートサーバとの間の相互認証を必要とすることを含む場合がある。他方で、強いセキュリティを要求することなく、ユーザがデバイス上でeSIMを交換するための動作を容易に実行することを許すことが望ましい場合がある。例えば、ポリシーベースフレームワークは、ユーザに、eSIMを交換する前に単にPINコードを入力することだけを要求してもよい。それゆえ、いくつかの実施形態では、eSIMをエクスポートすること又はロードすることに関連する動作はセキュアであってもよく、その一方で、eSIMを有効化すること又は無効化することに関連する動作はさほどセキュアでなくてもよい。
【0083】
その他の情報検索動作又はUICCレベル動作がポリシーベースフレームワークによってサポートされてもよいことに留意されたい。例えば、ポリシーベースフレームワークは、ポリシーベースフレームワークを更新するためのセキュリティポリシーをサポートしてもよい。このポリシーベースフレームワーク更新動作はいっそうより強い認可を必要としてもよい(例えば、デバイス製造業者のみがこれを行うことを許されてもよい)。
【0084】
いくつかの実施形態では、セキュリティフレームワークは公開鍵インフラストラクチャ(PKI:public-key infrastructure)に基づく。例えば、リモートサーバがeSIM関連動作を実行したいと所望する場合には、ポリシーベースフレームワークは、リモートサーバが、eSIM関連動作を実行することができるために、有効なPKIデジタル証明書に関連付けられることを必要としてもよい。代替的に、ローカルユーザのために、PINコードを用いた単純なユーザプロンプトで十分であってもよい。(PKIが有利ではあるが、それは必須とされなくてもよく、対称鍵などの、その他の種類の暗号化が用いられてもよいことに留意されたい。)
【0085】
図4は、電子デバイス内のプロセッサ(電子デバイス内のセキュアエレメント内のプロセッサなど)によって実行されてもよい、アクセス制御エレメント(eSIMなど)に関連付けられた動作のセットための論理エンティティのための特権のセットを指定するための方法400を示すフロー図を示す。本方法の間に、論理エンティティ及び第2の論理エンティティからクレデンシャルが受信される(動作402)。論理エンティティ及び第2の論理エンティティは電子デバイス内部にあってもよく、及び/又は外部にあってもよいことに留意されたい。例えば、論理エンティティは電子デバイス内に含まれてもよく、及び/又はネットワークを介して電子デバイスにリモートアクセスしてもよい。
【0086】
次に、クレデンシャル及びクレデンシャル管理モジュールに基づき、論理エンティティ及び第2の論理エンティティのための動作のセットに関連付けられた特権のセットが決定される(動作404)。例えば、動作のセットは、アクセス制御エレメントをロードすること、アクセス制御エレメントを有効化すること、アクセス制御エレメントを無効化すること、アクセス制御エレメントをエクスポートすること、及び/又はアクセス制御エレメントを削除することを含んでもよい。具体的には、動作のセットは、サービスのユーザを識別し、セキュア通信を促進するセキュアエレメント内のアクセス制御エレメントに関連付けられてもよく、特権のセット内の所与の特権は、論理エンティティ及び/又は第2の論理エンティティは動作のセット内の所与の動作を遂行又は実行することを許されるかどうかを指定してもよい。動作のうちのいくつかについては、論理エンティティ及び第2の論理エンティティのための異なる特権が存在することに留意されたい。いくつかの実施形態では、この情報を提供するためにプロセッサを用いてセキュアエレメント上のプログラムモジュールが実行される。
【0087】
次に、論理エンティティ及び第2の論理エンティティの特権のセットを指定する情報がセキュアエレメントのオペレーティングシステムに提供される(動作406)。これは、セキュアエレメントが特権のセットを実施することを許す。それゆえ、特権の実施は、どのアクセス制御エレメント動作を許すことができるのかを決定するために、プラットフォーム又はオペレーティングシステムレベルにおいて実行されてもよい。一般的に、ポリシーは、eUICCレベル(アクセス制御エレメントの外部)又はアクセス制御エレメントの内部のどちらかにおいて定義されてもよいが、ポリシーの実施はeUICCオペレーティングシステムレベルにおけるもの(例えば、モジュールを管理するクレデンシャル内におけるもの)であってもよい。
【0088】
特権設定に基づき、1つ以上の論理エンティティ(論理エンティティ及び第2の論理エンティティなど)は、アクセス制御エレメント上で所与の動作を実行することを認可されたものとして構成することができることに留意されたい。これらの論理エンティティがそれを同時に行うか否かはユースケースに依存する。例えば、2つの異なるプロファイルが、2つの認可されたサーバから同時にロードされてもよい。しかし、2つの異なる論理エンティティが1つ以上のアクセス制御エレメントを同時に有効化/無効化することが望ましくない場合がある。
【0089】
異なるコンピューティングプラットフォーム上の異なるセキュリティドメインをサポートすることに加えて(この場合、異なるマシンは、異なるセキュリティドメインを有し、異なるエンティティは、異なるマシン上の異なるセキュリティドメイン内で認可されることができる)、代わりのソリューションとして、ポリシーベースフレームワークは単一のコンピューティングプラットフォーム上で動作してもよい。このポリシーベースフレームワークは、どの論理エンティティが異なる動作を実行することを認可されるのかを決定するために、ドメイン分離の代わりにポリシーに頼ってもよい。
【0090】
以下において図6及び図7を参照して更に説明されているように、上述のポリシーベースフレームワークは、セルラー電話又は別のコンピューティングプラットフォーム内に組み込まれたUICCプラットフォームなどの、デバイスの内部で動作する任意の組み込み型UICCプラットフォーム上に実装されてよい。更に、ポリシーベースフレームワークは、デバイス内にはんだ付けされた組み込み型UICCカードなどの、デバイスの内部のセキュアエレメント上に実装することができる。
【0091】
具体的には、UICCカードは、論理エンティティの特権、及びクレデンシャル(デジタル証明書、パスワード及び/又はPINコード)のデータベースを指定するポリシーを実行し、実施することができるそれ自身のソフトウェアを有してもよく、また、eSIM(及び、より一般的には、アクセス制御エレメント)のためのストレージを提供してもよい。例えば、以下において図6及び図7を参照して更に説明されているように、UICCカード上のセキュアエレメントは、ポリシーベースフレームワークを実装するクレデンシャル管理モジュールを含んでもよい。加えて、クレデンシャル管理モジュールは、動作のセットに関連付けられた対称暗号鍵を含んでもよく、所与の暗号鍵は、動作のセット内の少なくとも所与の動作に関連付けられた特権を促進してもよい。代替的に,又は追加的に、クレデンシャル管理モジュールは、動作のセットに関連付けられた非対称暗号鍵、及び非対称暗号を促進するための証明書を含んでもよく、所与の暗号鍵及び所与の証明書は、動作のセット内の少なくとも所与の動作に関連付けられた特権を促進してもよい。
【0092】
更に、UICCカードは、標準化されたインタフェースを介してデバイス(スマートフォンなど)とインタフェースをとってもよい。動作中に、デバイスはGUIを介して入力を受信してもよく、このインタフェースを介してUICCカードにコマンドを発行してもよい。更に、リモートサーバはまずデバイスに接続してもよく、次に、デバイスを通じてサーバと組み込み型UICCとの間のセキュアトンネルを開設してもよい。
【0093】
方法300(図3)及び400(図4)のいくつかの実施形態では、追加の動作が存在するか、又は動作はもっと少ない場合がある。例えば、方法400におけるアクセス制御エレメントは、論理エンティティ及び第2の論理エンティティのうちの少なくとも1つのための特権の第2のセットを指定する情報を含んでもよい。特権のセットに関連付けられたセキュリティレベルと特権の第2のセットに関連付けられた第2のセキュリティレベルとの間の競合が発生した場合には、セキュアエレメントはセキュリティレベル及び第2のセキュリティレベルを比較してもよく、特権のセット及び特権の第2のセットのうちの、より強いセキュリティに関連付けられた1つを選択してもよい。代替的に、特権のセットに関連付けられたセキュリティレベルと特権の第2のセットに関連付けられた第2のセキュリティレベルとの間の競合が発生した場合には、セキュアエレメントは特権のセットを選択してもよい。更に、以下において図6及び図7を参照して更に説明されているように、特権が、少なくとも一部、アクセス制御エレメントによって定義することができる場合には、万一、競合又は衝突が発生すると、競合解消が実行されてもよい。この競合解消は、クレデンシャル管理モジュール及びアクセス制御エレメントによって決定された異なる特権に関連付けられたより厳重なセキュリティレベルを選択すること、並びに/又はデフォルトで、クレデンシャル管理モジュールによって決定された特権になることを含んでもよい。しかし、いくつかの実施形態では、セキュアエレメントは、アクセス制御エレメントによって指定された特権及び/又はセキュリティレベルがデフォルトとなるように、権限をアクセス制御エレメントに渡す。更に、動作の順番を変えることができ、及び/又は2つ以上の動作を単一の動作に結合することができる。
【0094】
例示的な実施形態では、クレデンシャル管理モジュールは論理エンティティのための認可をそのクレデンシャル及び1つ以上のルックアップテーブルに基づき決定してもよい。例えば、論理エンティティはクレデンシャルをクレデンシャル管理モジュールに提供してもよい。それに応答して、クレデンシャル管理モジュールはルックアップテーブルのうちの1つを用いて、少なくとも1つのアクセス制御エレメントに関連付けられた特定の動作のための論理エンティティの特権を決定してもよい。これは、論理エンティティが、アクセス制御エレメントを電子デバイス上にロードすること、電子デバイス上のアクセス制御エレメントを有効化すること、電子デバイス上のアクセス制御エレメントを無効化すること、電子デバイス上のアクセス制御エレメントをエクスポートすること、及び/又は電子デバイス上のアクセス制御エレメントを削除することなどの、少なくとも1つのアクセス制御エレメント(例えば、eSIM)に関連付けられた動作を少なくとも実行することを許してもよい。例示的な実施形態では、UICCアプライアンスは、アクセス制御エレメントをロードすること及びアクセス制御エレメントをエクスポートすることを許されてもよく、電子デバイスは、アクセス制御エレメントを有効化することを許されてもよく、ネットワークオペレータは、アクセス制御エレメントを無効化することを許されてもよく、電子デバイスは、アクセス制御エレメントを削除すること許されてもよい。
【0095】
クレデンシャル管理モジュールはまた、異なる論理エンティティが、論理エンティティのためのクレデンシャルに基づき異なるアクセス制御エレメントに関連付けられた異なる動作のための異なる特権を有することを許してもよい。それゆえ、1つの論理エンティティは、1つのアクセス制御エレメントに関連付けられた動作を実行することを許されてもよいが、別のアクセス制御エレメントに関連付けられたその動作(又は別の動作)を実行することは許されなくてもよい。同様に、別の論理エンティティは、これら又はその他のアクセス制御エレメントに関連付けられたこれら又はその他の動作のための異なる特権を有してもよい。
【0096】
更に、異なる論理エンティティを表すクレデンシャルの種類は、異なる論理エンティティ、(1つ以上のアクセス制御エレメントに関連付けられた)異なる動作、及び/又は異なるアクセス制御エレメントのために異なってもよい。例えば、いくつかの動作及び/又はアクセス制御エレメントのためにPKI/RSA認証が用いられてもよく、その一方で、他の動作及び/又はアクセス制御エレメントのためにPINコードが用いられてもよい。
【0097】
更に、クレデンシャル管理モジュールによって指定された特権は、1つ以上のアクセス制御エレメントに関連付けられた異なる動作のため、及び/又は異なるアクセス制御エレメントのためのクレデンシャルを提示する/論理エンティティを認証する際には、異なるセキュリティレベルが用いられることを指示してもよい。例えば、アクセス制御エレメントに関連付けられた特定の動作を実行するための特権を決定するために論理エンティティを認証するクレデンシャルを提示する際には、対称暗号が用いられてもよい。しかし、アクセス制御エレメントに関連付けられた別の動作のために、異なるセキュリティプロトコルが指定されてもよい(非対称暗号など)。
【0098】
それゆえ、クレデンシャル管理モジュールは、異なる動作、異なるアクセス制御エレメント及び/又は異なる論理エンティティのための特権、クレデンシャル及び/又はセキュリティプロトコル/レベルを決定するポリシーを指定してもよい。クレデンシャル管理モジュールによって指定されたポリシーは複数のアクセス制御エレメントに影響を及ぼしてもよいことに留意されたい。しかし、いくつかの実施形態では、アクセス制御エレメントがそれ自身のためのポリシーを指定してもよい。すなわち、そのポリシーは、その特定のアクセス制御エレメントに関連付けられた動作に関連する論理エンティティのための特権にのみ影響を及ぼしてもよい。
【0099】
クレデンシャル管理モジュールによって指定されたセキュアエレメント内のグローバルポリシー、及び/又はアクセス制御エレメントによって指定された特定のアクセス制御エレメントのためのローカルポリシー(これは時により「プロファイルポリシー」と呼ばれる)が存在する実施形態では、競合が起きる場合がある。競合が発生した場合には、例えば、グローバルポリシーは、eSIMをロードするためにRSAベースの相互認証の使用を指定し、eSIMをアクティブ化する際にはポリシーデフォルトをプロファイルポリシーのものに委ね、電子デバイスはeSIMを非アクティブ化することができることを指定し、eSIMをエクスポートするためにRSAベースの相互認証の使用を指定し、eSIMを削除する際にはポリシーデフォルトをプロファイルポリシーのものに委ねてもよい。同様に、eSIMのプロファイルポリシーは、eSIMをロードすることに関連する特権のための項目を有せず、eSIMをアクティブ化するために特定のL3サービス共通名を用いたRSAベースの相互認証の使用を指定し、eSIMを非アクティブ化することに関連する特権のための項目を有せず、eSIMをエクスポートするために特定のL3サービス共通名を用いたRSAベースの相互認証の使用を指定し、eSIMを削除するために特定のL3サービス共通名を用いたRSAベースの相互認証の使用を指定してもよい。一般的に、グローバルポリシーとローカルポリシーとの間で競合が発生した場合には、クレデンシャル管理モジュールがデフォルトになってもよい。しかし、クレデンシャル管理モジュールは、特定の動作のために、特権を指定するための権限を(eSIM内で定義される)プロファイルポリシーに委ねてもよい。
【0100】
代替的に、クレデンシャル管理モジュールは、競合(又は相違)が発生した場合には、特定の動作のために、グローバルな特権とローカルな特権とを比較してもよく、より厳重なセキュリティレベルを用いてもよい。例えば、eSIMをロードするためのグローバルポリシーは、eSIMをアクティブ化するためにRSAベースの相互認証を用いることであり、ローカルポリシーは、eSIMをアクティブ化するために特定のL3サービス共通名を用いたRSAベースの相互認証を用いることである場合には、クレデンシャル管理モジュールは、特定のL3サービス共通名を用いたRSAベースの相互認証を用いてもよい。
【0101】
クレデンシャル管理モジュールによって指定されたクレデンシャル/特権は遠隔的に変更されてもよいことに留意されたい。例えば、クレデンシャル管理モジュールは、認可された論理エンティティの第1のリスト、及び第1のリストを変更することができる論理エンティティの第2のリストを有するルックアップテーブルを含んでもよい。
【0102】
上記の実施形態における論理エンティティと電子デバイス内のセキュアエレメントとの間の(及び、特に、クレデンシャル管理モジュールとの)通信は、本開示において上述された通信技法及びセキュリティプロトコルを用いてもよい。装置
【0103】
次に、上述の技法と併せて有用となる装置の種々の例示的な実施形態をより詳細に説明する。eUICCアプライアンス
【0104】
図5は、eUICCアプライアンス500を示すブロック図を示す。このeUICCアプライアンスは、スタンドアローンのエンティティであり得るか、又は他のネットワークエンティティ(例えば、SPSなど)と合併させることもできる。図5に示されるように、eUICCアプライアンス500は概して、通信ネットワークとインタフェースをとるネットワーキングサブシステム502と、処理サブシステム504と、メモリサブシステム506と、を含む。処理サブシステム504は、計算動作を実行するように構成される1つ以上のデバイスを含んでもよい。例えば、処理サブシステム504は、1つ以上のマイクロプロセッサ、特定用途向け集積回路(ASIC)、マイクロコントローラ、プログラム可能ロジックデバイス、及び/又は1つ以上のデジタル信号プロセッサ(DSP)を含み得る。
【0105】
更に、メモリサブシステム506は、処理サブシステム504及び/又はネットワーキングインタフェース502のためのデータ及び/又は命令を記憶するための1つ以上のデバイスを含んでもよい。例えば、メモリサブシステム506は、ダイナミック・ランダムアクセスメモリ(DRAM)、スタティック・ランダムアクセスメモリ(SRAM)、及び/又はその他の種類のメモリを含み得る。いくつかの実施形態では、メモリサブシステム506内の処理サブシステム504のための命令は、処理サブシステム504によって実行されてもよい、1つ以上のプログラムモジュール又は命令のセットを含む。1つ以上のコンピュータプログラムは、コンピュータプログラム機構を構成することができることに留意されたい。更に、メモリサブシステム506内の様々なモジュール内の命令は、高水準手続き型言語、オブジェクト指向プログラム言語、並びに/又はアセンブリ言語若しくは機械語で実施することができる。更に、プログラムミング言語は、処理サブシステム504によって実行されるようにコンパイル又は解釈実行されてもよい。例えば、そのように構成可能であるか又は構成されてもよい(これらは本記載において互換的に用いられてもよい)。
【0106】
更に、メモリサブシステム506は、メモリへのアクセスを制御するための機構を含み得る。いくつかの実施形態では、メモリサブシステム506は、eUICCアプライアンス500内のメモリに結合される1つ以上のキャッシュを含むメモリ階層を含む。これらの実施形態の一部では、キャッシュのうちの1つ以上は処理サブシステム504内に設置される。
【0107】
一部の実施形態では、メモリサブシステム506は1つ以上の大容量の大記憶デバイス(不図示)に結合される。例えば、メモリサブシステム506は、磁気又は光学ドライブ、ソリッドステートドライブ、又は別の種類の大容量記憶デバイスに結合することができる。これらの実施形態では、メモリサブシステム506はeUICCアプライアンス500によって、頻繁に使用されるデータのための高速アクセスストレージとして用いられることができるのに対して、大記憶デバイスは、使用頻度の低いデータを記憶するために用いられる。
【0108】
ネットワーキングサブシステム502は、インタフェース回路(近距離通信回路など)及びアンテナを含む、有線及び/又は無線ネットワークに結合し、その上で通信するように(すなわち、ネットワーク動作を実行するように)構成される1つ以上のデバイスを含む。例えば、ネットワーキングサブシステム502は、Bluetooth(登録商標)ネットワーキングシステム、セルラーネットワーキングシステム(例えば、UMTS、LTEなど等の5G/4Gネットワーク)、ユニバーサルシリアルバス(USB)ネットワーキングシステム、IEEE 802.11に記述されている規格に基づくネットワーキングシステム(例えば、Wi−Fi(登録商標)ネットワーキングシステム)、イーサネット(登録商標)ネットワーキングシステム、及び/又は別の通信システム(近距離通信システムなど)を含み得る。
【0109】
更に、ネットワーキングサブシステム502は、サポートされているそれぞれのネットワーキング又は通信システムに結合し、その上で通信し、それに関するデータ及びイベントを処理するために使用される、プロセッサ、コントローラ、無線機/アンテナ、ソケット/プラグ、及び/又はその他のデバイスを含む。それぞれのネットワークシステムのための、ネットワークに結合し、その上で通信し、その上のデータ及びイベントを処理するために用いられる機構は、時として、まとめて、ネットワークシステムのための「ネットワークインタフェース」と呼ばれることに留意されたい。更に、いくつかの実施形態では、eUICCアプライアンス又はデバイス間の「ネットワーク」はまだ存在しない。したがって、eUICCアプライアンス500は、eUICCアプライアンス又はデバイス間の単純な無線通信を実行するためのネットワーキングサブシステム502内の機構を用いてもよい。いくつかの実施形態では、ネットワーキングサブシステム502は、他のeUICCアプライアンスへのアクセス並びに/又は1つ以上のポータブル電子デバイスへの直接若しくは間接アクセスを提供するために、MNOインフラストラクチャと通信する。ただし、その他の構成及び機能性が代用されてもよい。
【0110】
1つの構成では、eUICCアプライアンス500はHSMである。HSMは、複数のアクセス制御エレメントを管理するための1つ以上のセキュアエレメントを含んでもよい。いくつかの実施形態では、アクセス制御エレメントはHSMにおいて直接記憶される。代替的に、アクセス制御エレメントは暗号化され、外部ストレージ内に記憶されてもよい。このような外部(例えば、リモート)記憶装置の実施形態では、暗号化は、アクセス制御エレメントは、たとえ、物理的にセキュアでない媒体上に記憶されても、セキュアであることを確実にすることができる。
【0111】
HSMは、アクセス制御エレメントの一意性及び保存性を維持しつつ、別のHSMへの、及びそこからのアクセス制御エレメントの転送を可能にしてもよい。更に、この実施形態における別のHSMへのアクセス制御エレメントの転送は、ローカルに記憶されたアクセス制御エレメントの非アクティブ化及び/又は削除を引き起こしてもよい。HSMはまた、改竄された場合、又はその保全性が他の方法で侵された場合には、自分自身を自己破壊するか、又は無効化してもよい。
【0112】
図5では、eUICCアプライアンス500は、少なくとも、処理サブシステム504上で実行するデータベース508を含む。eUICCアプライアンス500上で実行する単一のアプリケーションとして示されているが、上述のデータベースの機能性は、互いに通信する複数のデバイス上で実行する分散アプリケーションを含み得ることが理解されよう。
【0113】
データベース508の例示的な実装形態は、アクセス制御エレメント(eSIMなど)を記憶せよとの要求、及び現在記憶されているeSIMを転送せよとの要求、を含み得る要求を処理してもよい。データベース508はまた、(図3における方法300内の動作304中などに)要求を検証し、通信は、このような要求を行うことを認可されたエンティティから受信されることを確実にすることを担当してもよい。
【0114】
いくつかの実施形態では、データベース508は、チャレンジ及びレスポンス(又はチャレンジ−レスポンス)セキュリティプロトコルを実行するように構成される。チャレンジ−レスポンスセキュリティプロトコルは、チャレンジ及び/又はレスポンスの適切な生成に基づいて、未知の第三者によって行われた要求を検証してもよい。代替的に、セキュアエレメントは、信頼された権限者によって署名されたデジタル証明書を検証してもよい。
【0115】
図5に示されるように、メモリサブシステム506は、アクセス制御エレメントのアレイを記憶するように適合されてもよい。いくつかの実施形態では、eUICCアプライアンスは、eSIMなどの、アクセス制御エレメントのアレイを記憶する。それぞれのeSIMは、コンピュータ可読命令(eSIMプログラムなど)及び関連データ(例えば、暗号鍵、保全性鍵など)を含む、小さいファイルシステムを含んでもよい。加えて、それぞれのeSIMは、このeUICCアプライアンスの公開鍵を用いて追加的に暗号化されてもよい。その結果、それぞれのeUICCはeUICCアプライアンス500によってのみ解読されてもよい。いくつかの実施形態では、それぞれの暗号化されたeSIMは、一意識別子、チャレンジ、及び/又はチャレンジレスポンスを用いて更に暗号化される。暗号化されたコンポーネントは、バイナリラージオブジェクト(BLOB:binary large object)として更に記憶されてもよい。
【0116】
データベース508のアプリケーションは利用可能なeSIMを管理してもよい。図5に示されるように、データベース508は、特定のeSIM BLOB、eSIMを使用することを認可されたデバイス、eSIMの現在の状態及び/又は現在のステータス(例えば、「利用可能」、「利用不可」、「失効」など)に関連する情報を提供することができる。追加の情報も保持し得る。更に、データベース508のアプリケーションは、データベース内に記憶された情報を更新又は変更してもよい。
【0117】
別のデバイスがeUICCアプライアンス500からのeSIMを要求すると、データベース508のアプリケーションは、要求されたeSIMの現在の状態を取得してもよい。この情報は、要求されたeSIMは提供することができるかどうかを判定するために用いられてもよい。この有効性チェックは、(例えば、アクティブ化サービスにおける状態対eUICCアプライアンス500における最新の既知の状態を比較することによって)アクティブ化サービスにおいて、eUICCアプライアンス500において実行されるか、更に他のロケーションにおいて共有/配付されるか、又は行われることができる。同様に、別のデバイスがeSIMをeUICCアプライアンス500へ転送すると、データベース508のアプリケーションは、転送されたeSIMの現在の状態を更新してもよい。
【0118】
eUICCアプライアンス500内において、処理サブシステム504、メモリサブシステム506、ネットワーキングサブシステム502、及びデータベース508は、バスなどの1つ以上のインターコネクトを用いて互いに結合されてもよい。これらのインターコネクトは、サブシステム又は構成要素が互いの間でコマンド及びデータを通信するために使用することができる電気的、光学的、及び/又は電気光学的接続部を含んでもよい。異なる実施形態は、サブシステム又は構成要素間に、異なる数若しくは異なる構成の、電気的、光学的、及び/又は電気光学的接続部を含み得ることに留意されたい。
【0119】
eUICCアプライアンス500を説明するために特定の構成要素が用いられているが、代替実施形態では、異なる構成要素及び/又はサブシステムがeUICCアプライアンス500内に存在してもよい。例えば、eUICCアプライアンス500は、1つ以上の追加の処理サブシステム、メモリサブシステム、ネットワーキングサブシステム、及び/又はデータベースを含んでもよい。加えて、サブシステム又は構成要素のうちの1つ以上はeUICCアプライアンス500内に存在しなくてもよい。更に、いくつかの実施形態では、eUICCアプライアンス500は、図5に示されていない1つ以上の追加のサブシステム又は構成要素を含んでもよい。また、図5には、独立したサブシステム又は構成要素が示されているが、いくつかの実施形態では、所与のサブシステム又は構成要素の一部又は全てはeUICCアプライアンス500内の他のサブシステム又は構成要素のうちの1つ以上の中に統合することができる。
【0120】
更に、eUICCアプライアンス500内の回路及び構成要素は、バイポーラ、PMOS及び/又はNMOSゲート又はトランジスタを含む、アナログ及び/又はデジタル回路機構の任意の組み合わせを用いて実装されてもよい。更に、これらの実施形態における信号は、ほぼ離散的な値を有するデジタル信号、及び/又は連続的な値を有するアナログ信号を含んでもよい。加えて、構成要素及び回路はシングルエンド形又は差動形であってもよく、電源はユニポーラ形又はバイポーラ形であってもよい。電子デバイス
【0121】
図6は電子デバイス600(例えば、UE)のブロック図を示す。この電子デバイスは、処理サブシステム602と、メモリサブシステム604と、ネットワーキングサブシステム606と、ユーザインタフェースサブシステム608と、セキュアエレメント610と、を含む。処理サブシステム602は、計算動作を実行するように構成される1つ以上のデバイスを含む。例えば、処理サブシステム602は、1つ以上のマイクロプロセッサ、特定用途向け集積回路(ASIC)、マイクロコントローラ、プログラム可能ロジックデバイス、フィールドプログラマブルゲートアレイ及び/又は1つ以上のデジタル信号プロセッサ(DSP)を含み得る。
【0122】
更に、メモリサブシステム604は、処理サブシステム602及び/又はネットワーキングサブシステム606のためのデータ及び/又は命令を記憶するための1つ以上のデバイスを含んでもよい。例えば、メモリサブシステム604は、ダイナミック・ランダムアクセスメモリ(DRAM)、スタティック・ランダムアクセスメモリ(SRAM)、及び/又はその他の種類のメモリ(フラッシュ又はSDRAMなど)を含み得る。いくつかの実施形態では、メモリサブシステム604内の処理サブシステム602のための命令は、処理サブシステム602によって実行されてもよい、1つ以上のプログラムモジュール又は命令のセットを含む。1つ以上のコンピュータプログラムは、コンピュータプログラム機構を構成することができることに留意されたい。更に、メモリサブシステム604内の様々なモジュール内の命令は、高水準手続き型言語、オブジェクト指向プログラム言語、並びに/又はアセンブリ言語若しくは機械語で実施することができる。更に、プログラムミング言語は、処理サブシステム602によって実行されるようにコンパイル又は解釈実行されてもよい。例えば、そのように構成可能であるか又は構成されてもよい(これらは本記載において互換的に用いられてもよい)。
【0123】
更に、メモリサブシステム604は、メモリへのアクセスを制御するための機構を含み得る。一部の実施形態では、メモリサブシステム604は、電子デバイス600内のメモリに結合される1つ以上のキャッシュを含むメモリ階層を含む。これらの実施形態の一部では、キャッシュのうちの1つ以上は処理サブシステム602内に設置される。
【0124】
一部の実施形態では、メモリサブシステム604は1つ以上の大容量の大記憶デバイス(不図示)に結合される。例えば、メモリサブシステム604は、磁気又は光学ドライブ、ソリッドステートドライブ、又は別の種類の大容量記憶デバイスに結合することができる。これらの実施形態では、メモリサブシステム604は、頻繁に使用されるデータのための高速アクセスストレージとして電子デバイス600によって用いることができるのに対して、大記憶デバイスは、使用頻度の低いデータを記憶するために用いられる。
【0125】
ネットワーキングサブシステム606は、インタフェース回路(近距離通信回路など)及びアンテナを含む、有線及び/又は無線ネットワークに結合し、その上で通信するように(すなわち、ネットワーク動作を実行するように)構成される1つ以上のデバイスを含む。例えば、ネットワーキングサブシステム606は、Bluetooth(登録商標)ネットワーキングシステム、セルラーネットワーキングシステム(例えば、UMTS、GSM、CDMA、LTE/LTE−Aなど等の5G/4Gネットワーク)、ユニバーサルシリアルバス(USB)ネットワーキングシステム、IEEE 802.11に記述されている規格に基づくネットワーキングシステム(例えば、Wi−Fi(登録商標)ネットワーキングシステム)、イーサネット(登録商標)ネットワーキングシステム、及び/又は別の通信システム(近距離通信システムなど)を含み得る。
【0126】
更に、ネットワーキングサブシステム606は、サポートされているそれぞれのネットワーキング又は通信システムに結合し、その上で通信し、それに関するデータ及びイベントを処理するために使用される、プロセッサ、コントローラ、無線機/アンテナ、ソケット/プラグ、及び/又はその他のデバイスを含む。それぞれのネットワークシステムのための、ネットワークに結合し、その上で通信し、その上のデータ及びイベントを処理するために用いられる機構は、時として、まとめて、ネットワークシステムのための「ネットワークインタフェース」と呼ばれることに留意されたい。更に、いくつかの実施形態では、eUICCアプライアンス(単数又は複数)と電子デバイス600との間の「ネットワーク」はまだ存在しない。したがって、電子デバイス600は、eUICCアプライアンス又はデバイスと電子デバイス600との間の単純な無線通信を実行するためのネットワークインタフェース内の機構を用いてもよい。
【0127】
ユーザインタフェースサブシステム608は、キーパッド、タッチスクリーン(例えば、マルチタッチインタフェース)、LCDディスプレイ、バックライト、スピーカ、及び/又はマイクロホン、を含む任意の数の周知のI/Oデバイスを含む。しかし、特定の適用例では、これらの構成要素のうちの1つ以上は除外されてもよいことが認識されよう。例えば、PCMCIAカードタイプクライアントの実施形態は、ユーザインタフェースが欠如する場合がある(それらは、物理的及び/又は電気的に結合されるホスト機器のユーザインタフェースを、便乗して利用することが可能であるため)。
【0128】
セキュアエレメント610はeUICCアプリケーションを包含し、動作させてもよい。このセキュアエレメントは、ネットワークオペレータによる認証のために用いられるべき複数のアクセス制御エレメント612を記憶し、それらにアクセスする能力を有する。セキュアエレメント610は、この実施形態では、セキュアな媒体内に記憶されたソフトウェアを実行する、セキュアプロセッサを含む。セキュアな媒体は、(セキュアプロセッサ以外の)全ての他の構成要素に対してはアクセス不可であってもよい。更に、セキュアエレメント610は、上述したように、改竄を防止するために更に硬化されてもよく(例えば、樹脂内に入れられる)、その内容の保護のために暗号化を用いてもよい。eUICCがセキュアエレメント610の実例として用いられているが、(電子デバイス600内の回路基板上の)組み込み型セキュアエレメント、スマートセキュアデジタル(SD)カード、スマートmicroSDカード等を含む、その他の実装形態が用いられてもよい。セキュアエレメント610は、セキュアエレメント610の環境内(セキュアエレメント610のオペレーティングシステム内、及び/又はセキュアエレメント610上で実行するJava実行時環境内など)で実行する1つ以上のアプレット又はアプリケーションを含んでもよいことに留意されたい。
【0129】
更に、セキュアエレメント610は、1つ以上のアクセス制御エレメント612を受信し、記憶する能力を有してもよい。いくつかの実施形態では、セキュアエレメント610は、eSIMのアレイ又は複数のeSIMを、ユーザに関連付けて(例えば、1つを仕事用に、1つを個人用に、いくつかをローミングアクセス用に、など)記憶し、及び/又は別の論理技法又は関係(例えば、1つを家族又は事業体の複数のメンバーの各人用に、1つを家族のメンバーのための個人用と仕事用のそれぞれに、など)に従って記憶する。それぞれのeSIMは、コンピュータ可読命令(eSIMプログラムなど)、及び関連データ(例えば、暗号鍵、保全性鍵など)を含む、小さいファイルシステムを含んでもよい。
【0130】
更に、セキュアエレメント610は、電子デバイス600への、及び/又はそこからのeSIMの転送を可能にしてもよい。例示的な実施形態では、電子デバイス600は、eSIMの転送を開始するためにGUIベースの確認応答を提供する。
【0131】
例示的な実施形態の様々な実装は、実行されると、チャレンジ−レスポンスセキュリティプロトコルを起動する命令を含んでもよい。チャレンジ−レスポンスセキュリティプロトコルは、チャレンジ及び/又はレスポンスの適切な生成に基づいて、未知の第三者によって行われた要求を検証してもよい。代替的に、例示的な実施形態では、セキュアエレメント610は、信頼された権限者によって署名されたデジタル証明書を検証することができる。
【0132】
いくつかの実施形態では、セキュアエレメント610は、記憶されたアクセス制御エレメント612の一覧又は目録を維持する。この目録は、記憶されたアクセス制御エレメント612の現在のステータスに関する情報を含んでもよい。更に、情報は、可用性、完全性、有効性、及び/又は以前に経験したエラーを含んでもよい。目録は、利用可能なアクセス制御エレメントのユーザ選択を可能にするために、ユーザインタフェースサブシステム608に更にリンク又は結合されてもよい。
【0133】
例示的な実施形態では、セキュアエレメント610は、関連付けられたデバイス暗号鍵を有する。これらのデバイス鍵は、アクセス制御エレメント612の交換をセキュリティ保護するために用いられてもよい。いくつかの実施形態では、暗号鍵は非対称公開/プライベート鍵ペアである。公開鍵は、プライベート鍵の保全性を損なうことなく、自由に配付することができる。例えば、デバイスはRSA公開/プライベート鍵を割り当てられてもよい(又は内部でそれを生成してもよい)。公開鍵は配置後の通信のために利用可能にされてもよいことに留意されたい。
【0134】
いくつかの実施形態では、セキュアエレメント610は、アクセス制御エレメント612のうちの1つ以上に関連付けられた動作のセット内の動作に関連付けられた論理エンティティのための特権のセットを有する(ポリシーベースフレームワークに対応する)プロファイルを指定するクレデンシャル管理モジュール614を含む。更に、動作のうちのいくつかについては、論理エンティティのうちのいくつかのための異なる特権が存在する。いくつかの実施形態では、クレデンシャル管理モジュール614は、セキュアエレメント610内のプログラムモジュールによって、特権のセットを指定するために用いられる情報を含む。
【0135】
更に、アクセス制御エレメント612のうちの少なくとも1つは、少なくとも1つの論理エンティティのための特権の第2のセットを指定する情報を含んでもよい。クレデンシャル管理モジュール614によって指定された特権のセットに関連付けられたセキュリティレベルと特権の第2のセットに関連付けられた第2のセキュリティレベルとの間の競合が発生した場合には、セキュアエレメント610はセキュリティレベル及び第2のセキュリティレベルを比較してもよく、特権のセット及び特権の第2のセットのうちの、より強いセキュリティに関連付けられた1つを選択してもよい。代替的に、特権のセットに関連付けられたセキュリティレベルと特権の第2のセットに関連付けられた第2のセキュリティレベルとの間の競合が発生した場合には、セキュアエレメント610は特権のセットを選択してもよい。
【0136】
いくつかの実施形態では、クレデンシャル管理モジュール614は、動作のセットに関連付けられた対称暗号鍵を含み、所与の暗号鍵は、動作のセット内の少なくとも所与の動作に関連付けられた特権を促進する。代替的に,又は追加的に、クレデンシャル管理モジュール614は、動作のセットに関連付けられた非対称暗号鍵、及び非対称暗号を促進するための証明書を含んでもよく、所与の暗号鍵及び所与の証明書は、動作のセット内の少なくとも所与の動作に関連付けられた特権を促進してもよい。
【0137】
電子デバイス600内において、処理サブシステム602、メモリサブシステム604、ネットワーキングサブシステム606、ユーザインタフェースサブシステム608及びセキュアエレメント610は、バスなどの1つ以上のインターコネクトを用いて互いに結合されてもよい。これらのインターコネクトは、サブシステム又は構成要素が互いの間でコマンド及びデータを通信するために使用することができる電気的、光学的、及び/又は電気光学的接続部を含んでもよい。異なる実施形態は、サブシステム又は構成要素間に、異なる数若しくは異なる構成の、電気的、光学的、及び/又は電気光学的接続部を含み得ることに留意されたい。
【0138】
電子デバイス600は、少なくとも1つのネットワークインタフェースを有する任意の電子デバイスとすることができる(又は、該任意の電子デバイス内に含めることができる)。例えば、電子デバイス600は、デスクトップコンピュータ、ラップトップコンピュータ、サーバ、メディアプレーヤ(MP5プレーヤなど)、家庭電化製品、サブノートブック/ネットブック、タブレットコンピュータ、スマートフォン、セルラー電話、試験装置、「スマートメータ」、ネットワーク家庭電化製品、セットトップボックス、携帯情報端末(PDA)、玩具、コントローラ、デジタル信号プロセッサ、ゲームコンソール、家庭電化製品内計算エンジン、消費者向け電子デバイス、ポータブルコンピューティングデバイス、電子手帳、及び/又は別の電子デバイスとすることができる(又は、これらの中に含めることができる)。
【0139】
電子デバイス600を説明するために特定の構成要素が用いられているが、代替実施形態では、異なる構成要素及び/又はサブシステムが電子デバイス600内に存在してもよい。例えば、電子デバイス600は、1つ以上の追加の処理サブシステム、メモリサブシステム、ネットワーキングサブシステム、ユーザインタフェース及び/又はセキュアエレメントを含んでもよい。加えて、サブシステム又は構成要素のうちの1つ以上は電子デバイス600内に存在しなくてもよい。更に、いくつかの実施形態では、電子デバイス600は、図6に示されていない1つ以上の追加のサブシステム又は構成要素を含んでもよい。また、図6には、独立したサブシステム又は構成要素が示されているが、いくつかの実施形態では、所与のサブシステム又は構成要素の一部又は全ては電子デバイス600内の他のサブシステム又は構成要素のうちの1つ以上の中に統合することができる。
【0140】
更に、電子デバイス600内の回路及び構成要素は、バイポーラ、PMOS及び/又はNMOSゲート又はトランジスタを含む、アナログ及び/又はデジタル回路機構の任意の組み合わせを用いて実装されてもよい。更に、これらの実施形態における信号は、ほぼ離散的な値を有するデジタル信号、及び/又は連続的な値を有するアナログ信号を含んでもよい。加えて、構成要素及び回路はシングルエンド形又は差動形であってもよく、電源はユニポーラ形又はバイポーラ形であってもよい。レガシー設備の動作のための装置
【0141】
図7は電子デバイス700(例えば、UE)のブロック図を示す。この電子デバイスは、処理サブシステム702と、メモリサブシステム704と、ネットワーキングサブシステム706と、ユーザインタフェースサブシステム708と、レセプタクル710と、を含む。処理サブシステム702は、計算動作を実行するように構成される1つ以上のデバイスを含む。例えば、処理サブシステム702は、1つ以上のマイクロプロセッサ、特定用途向け集積回路(ASIC)、マイクロコントローラ、プログラム可能ロジックデバイス、フィールドプログラマブルゲートアレイ及び/又は1つ以上のデジタル信号プロセッサ(DSP)を含み得る。
【0142】
更に、メモリサブシステム704は、処理サブシステム702及び/又はネットワーキングサブシステム706のためのデータ及び/又は命令を記憶するための1つ以上のデバイスを含んでもよい。例えば、メモリサブシステム704は、ダイナミック・ランダムアクセスメモリ(DRAM)、スタティック・ランダムアクセスメモリ(SRAM)、及び/又はその他の種類のメモリ(フラッシュ又はSDRAMなど)を含み得る。いくつかの実施形態では、メモリサブシステム704内の処理サブシステム702のための命令は、処理サブシステム702によって実行されてもよい、1つ以上のプログラムモジュール又は命令のセットを含む。1つ以上のコンピュータプログラムは、コンピュータプログラム機構を構成することができることに留意されたい。更に、メモリサブシステム704内の様々なモジュール内の命令は、高水準手続き型言語、オブジェクト指向プログラム言語、並びに/又はアセンブリ言語若しくは機械語で実施することができる。更に、プログラムミング言語は、処理サブシステム702によって実行されるようにコンパイル又は解釈実行されてもよい。例えば、そのように構成可能であるか又は構成されてもよい(これらは本記載において互換的に用いられてもよい)。
【0143】
更に、メモリサブシステム704は、メモリへのアクセスを制御するための機構を含み得る。一部の実施形態では、メモリサブシステム704は、電子デバイス700内のメモリに結合される1つ以上のキャッシュを含むメモリ階層を含む。これらの実施形態の一部では、キャッシュのうちの1つ以上は処理サブシステム702内に設置される。メモリサブシステム704内のメモリへのアクセスは、メモリサブシステム704にあるDMAハードウェアを介して促進されてもよいことに留意されたい。
【0144】
一部の実施形態では、メモリサブシステム704は1つ以上の大容量の大記憶デバイス(不図示)に結合される。例えば、メモリサブシステム704は、磁気又は光学ドライブ、ソリッドステートドライブ、又は別の種類の大容量記憶デバイスに結合することができる。これらの実施形態では、メモリサブシステム704は、頻繁に使用されるデータのための高速アクセスストレージとして電子デバイス700によって用いることができるのに対して、大記憶デバイスは、使用頻度の低いデータを記憶するために用いられる。
【0145】
ネットワーキングサブシステム706は、インタフェース回路(近距離通信回路など)及びアンテナを含む、有線及び/又は無線ネットワークに結合し、その上で通信するように(すなわち、ネットワーク動作を実行するように)構成される1つ以上のデバイスを含む。例えば、ネットワーキングサブシステム706は、Bluetooth(登録商標)ネットワーキングシステム、セルラーネットワーキングシステム(例えば、UMTS、GSM、CDMA、LTE/LTE−Aなど等の5G/4Gネットワーク)、ユニバーサルシリアルバス(USB)ネットワーキングシステム、IEEE 802.11に記述されている規格に基づくネットワーキングシステム(例えば、Wi−Fi(登録商標)ネットワーキングシステム)、イーサネット(登録商標)ネットワーキングシステム、及び/又は別の通信システム(近距離通信システムなど)を含み得る。
【0146】
更に、ネットワーキングサブシステム706は、サポートされているそれぞれのネットワーキング又は通信システムに結合し、その上で通信し、それに関するデータ及びイベントを処理するために使用される、プロセッサ、コントローラ、無線機/アンテナ、ソケット/プラグ、及び/又はその他のデバイスを含む。それぞれのネットワークシステムのための、ネットワークに結合し、その上で通信し、その上のデータ及びイベントを処理するために用いられる機構は、時として、まとめて、ネットワークシステムのための「ネットワークインタフェース」と呼ばれることに留意されたい。更に、いくつかの実施形態では、eUICCアプライアンス(単数又は複数)と電子デバイス700との間の「ネットワーク」はまだ存在しない。したがって、電子デバイス700は、eUICCアプライアンス又はデバイスと電子デバイス700との間の単純な無線通信を実行するためのネットワークインタフェース内の機構を用いてもよい。
【0147】
ユーザインタフェースサブシステム708は、キーパッド、タッチスクリーン(例えば、マルチタッチインタフェース)、LCDディスプレイ、バックライト、スピーカ、及び/又はマイクロホン、を含む任意の数の周知のI/Oデバイスを含む。しかし、特定の適用例では、これらの構成要素のうちの1つ以上は除外されてもよいことが認識されよう。例えば、PCMCIAカードタイプクライアントの実施形態は、ユーザインタフェースが欠如する場合がある(それらは、物理的及び/又は電気的に結合されるホスト機器のユーザインタフェースを、便乗して利用することが可能であるため)。
【0148】
先に開示された実施形態と対照的に、電子デバイス700は、セキュアエレメント714(これは図6におけるセキュアエレメント610と同様又は同じであってもよい)を含む記憶媒体712を受容するレセプタクル710を含む。いくつかの実施形態では、記憶媒体712はSIMカードフォームファクタデバイスを含み(ただし、本開示と矛盾しない他の種類及び構成のカードが用いられてもよいことは理解されるであろう)、セキュアエレメント714は、セキュアエレメント714上で実行するeUICCアプリケーションを含む。本文脈において、ユーザデバイスに取り外し可能に挿入される(セキュアエレメント714を有する)物理的SIMフォームファクタを有するユーザデバイス又は装置は、「レガシー」デバイスと呼ばれる。
【0149】
セキュアエレメント714は、電子デバイス700内に挿入される記憶媒体712上にeUICCを組み込むようにあらかじめ構成されてもよい。代替的に、eUICCは、(電子デバイス700内への挿入後に)ネットワークから記憶媒体712にダウンロードされてもよい。このようなダウンロードは、(2012年2月14日に出願され、「Methods and Apparatus for Large Scale Distribution of Electronic Access Clients」と題し、内容が本明細書において参照により組み込まれている、米国仮特許出願第61/598,819号に開示されているプロトコルの使用を含む)ダウンロードのセキュリティを確実にするための適切な認証及び他の機構を必要としてもよい。
【0150】
更に、セキュアエレメント714は、ネットワークオペレータによる認証のために用いられるべき複数のアクセス制御エレメント612(図6)を記憶し、それらにアクセスしてもよい。その結果、いくつかの実施形態では、セキュアエレメント714は、同じく記憶媒体712内に記憶されたソフトウェアを実行するセキュアプロセッサを含む。
【0151】
更に、セキュアエレメント714は、上述したように、改竄を防止するために更に硬化されてもよく(例えば、樹脂内に入れられる)、その内容の保護のために暗号化を用いてもよい。eUICCがセキュアエレメント714の実例として用いられているが、(電子デバイス700内の回路基板上の)組み込み型セキュアエレメント、スマートセキュアデジタル(SD)カード、スマートmicroSDカード等を含む、その他の実装形態が用いられてもよい。セキュアエレメント714は、セキュアエレメント714の環境内(セキュアエレメント714のオペレーティングシステム内、及び/又はセキュアエレメント714上で実行するJava実行時環境内など)で実行する1つ以上のアプレット又はアプリケーションを含んでもよいことに留意されたい。
【0152】
eUICCは、記憶媒体712を介してそれが設置されるデバイス(電子デバイス700など)の能力を認識するか又は別の方法で判定するように構成されてもよい。例えば、記憶媒体712は、電子デバイス700の1つ以上の物理的構造と、デバイス能力レベルに基づく特定の仕方で相互作用するように物理的に構成されてもよい。これは、記憶媒体712上に特定の数の電気接点又は電気接点のアレイを設けることを含んでもよい。記憶媒体712が、低い能力を有する第1のデバイス内に挿入されるときには、相互作用は一部の接点への接続を含まなくてもよい。しかし、高い能力を有するデバイス内への記憶媒体712の挿入時には、全ての接点がデバイスのそれぞれの構造と通信し得るという点で、相互作用は「完全」になってもよい。別の例では、記憶媒体712の構造は、ユーザデバイスの能力に基づきユーザデバイス内への記憶媒体712の挿入に基づき圧縮されるか又は展開されたままであってもよい。
【0153】
代替的に、記憶媒体712(及び、したがって、セキュアエレメント714)は、デバイスとのシグナリング通信を介してそれが挿入されるデバイスの能力を知ってもよい。
【0154】
いくつかの実施形態では、記憶媒体712上に存在するセンサが用いられてもよい。セキュアエレメント714が、それが挿入されるデバイスの特定の能力を判定するのを補助するために、種々の追加の機構が用いられてもよく、上述のものは単に全体的概念の例示にすぎない。
【0155】
デバイス能力が判定されると、セキュアエレメント714の種々の機能が用いられてもよい。例えば、限定的な能力を有するデバイスでは、記憶媒体712(セキュアエレメント714を含む)の挿入は、セキュアエレメント714に関連付けられたデフォルトアクセス制御エレメントに従って、単にデバイスにリブートさせるだけであってもよい。この場合には、セキュアエレメント714は、たとえ、1つを超えるアクセス制御エレメントを記憶するように構成されていても、これらの間の切り換えのための機構を実行することができなくてもよく、それにより、レガシーアクセス制御エレメント(例えば、レガシーSIMカード)の挙動を模倣する。(ネットワークによって事前設定された)デフォルトアクセス制御エレメントが常に自動的に用いられてもよい。いくつかの実施形態では、デフォルトアクセス制御エレメントは、リセット時に、下位互換動作モードにおいて最後に有効化に成功した動作プロファイルに設定される。
【0156】
代替的に、記憶媒体712が、高い能力を有するデバイス(例えば、「スマート」デバイス)内に挿入された場合には、セキュアエレメント714は、デバイスのユーザが、セキュアエレメント714に関連付けられた他の機能性にアクセスすることを可能にするようにトリガされてもよい。上述したように、セキュアエレメント714は、図6におけるアクセス制御エレメント612(例えば、eSIM)のアレイ又は複数のeSIMを、ユーザに関連付けて記憶し、及び/又は別の論理技法又は関係(例えば、1つを家族又は事業体の複数のメンバーの各人用に、1つを家族のメンバーのための個人用と仕事用のそれぞれに、など)に従って記憶してもよい。それぞれのeSIMは、コンピュータ可読命令(eSIMプログラムなど)、及び関連データ(例えば、暗号鍵、保全性鍵など)を含む、小さいファイルシステムを含んでもよい。記憶媒体712が「スマート」デバイス内に挿入されると、デバイスに関連付けられたディスプレイ上に新しいインタフェースが開かれてもよく、ユーザが複数の利用可能なアクセス制御エレメント612(図6)の中から選択をすることを可能にする。加えて、それぞれのアクセス制御エレメントは、他のアクセス制御エレメントは利用可能でない異なる能力又は機能を提供してもよい。
【0157】
例えば、2011年4月5日に出願され、「Methods and Apparatus for Storage and Execution of Access Control Clients」と題する、米国特許出願第13/080,521号(同出願の内容は本明細書において参照により組み込まれている)に開示されているように、デバイスは図6における複数の記憶されたアクセス制御エレメント612(例えば、eSIM)のうちの1つをアクティブ化し、実行してもよく、それにより、eSIMをロードする際に、オペレーティングシステムは、現在の実行時環境のために必要なソフトウェアのリストをロードする必要があるのみになってもよい。この「サンドボックス化」効果は、複数のeSIMを同じデバイス内で、他のeSIMへの不適切なアクセスを伴うことなく用いることができることを確実にし得る。
【0158】
複数のeSIMの間の切り換えはまた、2011年4月4日に出願され、「Management Systems for Multiple Access Control Entities」と題する、米国特許出願第13/079,614号に説明されている例示的な方法及び装置によって提供されてもよい。同出願の内容は本明細書において参照により組み込まれている。
【0159】
それぞれの有効化されたeSIMのために、eUICCは、それぞれのeSIMと、eSIM上で実行する適切なアプリケーションとの間の通信を可能にするための論理チャネルをサポートしてもよいことが更に理解される。いくつかの実施形態では、それぞれのeUICCのeSIMはそれ自身の個々の論理チャネルを割り当てられる。いくつかの実施形態では、論理チャネルはそのeSIMのみの専用であり、この論理チャネルは他のものを乗せることができない。換言すれば、eUICCは、論理チャネル上ではたかだか1つのeSIMが選択され得ることを確実にしてもよい。eUICC上のそれぞれのeSIMのために複数のアプリケーションが実行されてもよいことに留意されたい。
【0160】
いくつかの実施形態では、セキュアエレメント714は、電子デバイス700への、及び/又はそこからのアクセス制御エレメントの転送を可能にする。例示的な実施形態では、電子デバイス700は、eSIMの転送を開始するためにGUIベースの確認応答を提供する。このような転送機能性を有効化するために、記憶媒体712又は電子デバイス700のどちらかにあるHSMが用いられてもよいことが更に理解される。上述したように、HSMは情報(eSIM及びeSIM関連情報など)を暗号化してもよく、別のエンティティへの送信前にそれを記憶してもよい。記憶された情報は、更なる送信セキュリティのためにHSMによって、暗号化された鍵を用いてラップされてもよい。
【0161】
加えて、ユーザデバイス及び任意の信頼された第三者エンティティは、転送(ユーザデバイス間、若しくはユーザデバイスとネットワークとの間のアクセス制御エレメント612(図6)の転送、又はレガシーデバイスへのeUICCの転送など)のセキュリティを更に確実にするために、互いを相互に検証してもよい。
【0162】
いくつかの実施形態では、第三者エンティティは、ユーザ機器が配置された後でさえも、信頼された動作のためのクレデンシャルを発行される。例えば、電子デバイス(例えば、UMTS UE)は第三者eSIM(例えば、仮想的又はeSIM)ベンダを識別し、そのeSIMを購入、取得、又は更新するための信頼された対話を開始することができる。同様に、第三者eSIMベンダは、UEは信頼されたデバイスであることを検証することができ、そのeSIMを送達のためにセキュアに符号化してもよい。信頼された対話は一意的なデバイス鍵及び承認証明書に基づいてもよい。例示的な実施形態では、デバイス鍵は公開/プライベート鍵暗号に基づく。
【0163】
更に、既存のソリューションとは異なり、本開示のこの特徴は、元から存在するアクセス制御エレメントを有しないレガシーデバイスへのアクセス制御エレメント材料の送達を可能にしてもよく、それにより、ユーザ自由度及びユーザエクスペリエンスを大きく向上させる。
【0164】
いくつかの実施形態では、セキュアエレメント714はクレデンシャル管理モジュール(これは図6におけるクレデンシャル管理モジュール614と同様又は同じであってもよい)を含む。このクレデンシャル管理モジュールは、アクセス制御エレメント612(図6)のうちの1つ以上に関連付けられた動作のセット内の動作に関連付けられた論理エンティティのための特権のセットを有する(ポリシーベースフレームワークに対応する)プロファイルを指定してもよい。更に、動作のうちのいくつかについては、論理エンティティのうちのいくつかのための異なる特権が存在する。いくつかの実施形態では、クレデンシャル管理モジュール614(図6)は、セキュアエレメント714内のプログラムモジュールによって、特権のセットを指定するために用いられる情報を含む。
【0165】
更に、アクセス制御エレメント612(図6)のうちの少なくとも1つは、少なくとも1つの論理エンティティのための特権の第2のセットを指定する情報を含んでもよい。クレデンシャル管理モジュール614(図6)によって指定された特権のセットに関連付けられたセキュリティレベルと特権の第2のセットに関連付けられた第2のセキュリティレベルとの間の競合が発生した場合には、セキュアエレメント714はセキュリティレベル及び第2のセキュリティレベルを比較してもよく、特権のセット及び特権の第2のセットのうちの、より強いセキュリティに関連付けられた1つを選択してもよい。代替的に、特権のセットに関連付けられたセキュリティレベルと特権の第2のセットに関連付けられた第2のセキュリティレベルとの間の競合が発生した場合には、セキュアエレメント714は特権のセットを選択してもよい。
【0166】
いくつかの実施形態では、クレデンシャル管理モジュール614(図6)は、動作のセットに関連付けられた対称暗号鍵を含み、所与の暗号鍵は、動作のセット内の少なくとも所与の動作に関連付けられた特権を促進する。代替的に,又は追加的に、クレデンシャル管理モジュール614(図6)は、動作のセットに関連付けられた非対称暗号鍵、及び非対称暗号を促進するための証明書を含んでもよく、所与の暗号鍵及び所与の証明書は、動作のセット内の少なくとも所与の動作に関連付けられた特権を促進してもよい。
【0167】
電子デバイス700内において、処理サブシステム702、メモリサブシステム704、ネットワーキングサブシステム706、ユーザインタフェースサブシステム708及びレセプタクル710は、バスなどの1つ以上のインターコネクトを用いて互いに結合されてもよい。これらのインターコネクトは、サブシステム又は構成要素が互いの間でコマンド及びデータを通信するために使用することができる電気的、光学的、及び/又は電気光学的接続部を含んでもよい。異なる実施形態は、サブシステム又は構成要素間に、異なる数若しくは異なる構成の、電気的、光学的、及び/又は電気光学的接続部を含み得ることに留意されたい。
【0168】
電子デバイス700は、少なくとも1つのネットワークインタフェースを有する任意の電子デバイスとすることができる(又は、該任意の電子デバイス内に含めることができる)。例えば、電子デバイス700は、デスクトップコンピュータ、ラップトップコンピュータ、サーバ、メディアプレーヤ(MP5プレーヤなど)、家庭電化製品、サブノートブック/ネットブック、タブレットコンピュータ、スマートフォン、セルラー電話、試験装置、「スマートメータ」、ネットワーク家庭電化製品、セットトップボックス、携帯情報端末(PDA)、玩具、コントローラ、デジタル信号プロセッサ、ゲームコンソール、家庭電化製品内計算エンジン、消費者向け電子デバイス、ポータブルコンピューティングデバイス、電子手帳、及び/又は別の電子デバイスとすることができる(又は、これらの中に含めることができる)。
【0169】
電子デバイス700を説明するために特定の構成要素が用いられているが、代替実施形態では、異なる構成要素及び/又はサブシステムが電子デバイス700内に存在してもよい。例えば、電子デバイス700は、1つ以上の追加の処理サブシステム、メモリサブシステム、ネットワーキングサブシステム、ユーザインタフェース及び/又はレセプタクルを含んでもよい。加えて、サブシステム又は構成要素のうちの1つ以上は電子デバイス700内に存在しなくてもよい。更に、いくつかの実施形態では、電子デバイス700は、図7に示されていない1つ以上の追加のサブシステム又は構成要素を含んでもよい。また、図7には、独立したサブシステム又は構成要素が示されているが、いくつかの実施形態では、所与のサブシステム又は構成要素の一部又は全ては電子デバイス700内の他のサブシステム又は構成要素のうちの1つ以上の中に統合することができる。
【0170】
更に、電子デバイス700内の回路及び構成要素は、バイポーラ、PMOS及び/又はNMOSゲート又はトランジスタを含む、アナログ及び/又はデジタル回路機構の任意の組み合わせを用いて実装されてもよい。更に、これらの実施形態における信号は、ほぼ離散的な値を有するデジタル信号、及び/又は連続的な値を有するアナログ信号を含んでもよい。加えて、構成要素及び回路はシングルエンド形又は差動形であってもよく、電源はユニポーラ形又はバイポーラ形であってもよい。
【0171】
上記の説明において、本発明者らは「いくつかの実施形態」に言及している。「いくつかの実施形態」は、可能な実施形態の全てのサブセットを表現しているが、必ずしも実施形態の同じサブセットを指定しているわけではないことに留意されたい。
【0172】
前述の説明は、当業者が本開示を製作及び使用することを可能にすることが意図されており、特定の用途及び要件というコンテキストにおいて行われている。更に、本開示の実施形態の前述の説明は、例示及び説明のみを目的として提示したものである。網羅的であること、又は、開示した形態に本開示を限定しないものとする。したがって、多くの改変及び変形が、当業者に明らかであろうし、本明細書で定義される一般原則は、本開示の趣旨と範囲から逸脱することなく他の実施形態及び用途に適用することができる。更に、前出の実施形態に関して論じた内容は、本開示を限定しないものとする。したがって、本開示は、示す実施形態に限定されないものとし、本明細書で開示する諸原理及び特徴と合致する最も広い範囲を与えられるものとする。