知財求人 - 知財ポータルサイト「IP Force」
特許6799541モバイル機器におけるユーザ認証及び人間の意図検証のための方法及び装置
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6799541
(24)【登録日】2020年11月25日
(45)【発行日】2020年12月16日
(54)【発明の名称】モバイル機器におけるユーザ認証及び人間の意図検証のための方法及び装置
(51)【国際特許分類】
H04W 12/06 20090101AFI20201207BHJP
G06F 21/31 20130101ALI20201207BHJP
G06F 21/32 20130101ALI20201207BHJP
G06F 21/33 20130101ALI20201207BHJP
H04L 9/32 20060101ALI20201207BHJP
H04M 1/00 20060101ALI20201207BHJP
H04M 11/00 20060101ALI20201207BHJP
【FI】
H04W12/06
G06F21/31
G06F21/32
G06F21/33
H04L9/00 675D
H04M1/00 R
H04M11/00 302
【請求項の数】20
【全頁数】33
(21)【出願番号】特願2017-541835(P2017-541835)
(86)(22)【出願日】2016年3月18日
(65)【公表番号】特表2018-512752(P2018-512752A)
(43)【公表日】2018年5月17日
(86)【国際出願番号】US2016023062
(87)【国際公開番号】WO2016153977
(87)【国際公開日】20160929
【審査請求日】2017年8月8日
【審判番号】不服2019-11044(P2019-11044/J1)
【審判請求日】2019年8月21日
(31)【優先権主張番号】62/136,596
(32)【優先日】2015年3月22日
(33)【優先権主張国】US
(31)【優先権主張番号】62/146,896
(32)【優先日】2015年4月13日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】503260918
【氏名又は名称】アップル インコーポレイテッド
【氏名又は名称原語表記】Apple Inc.
(74)【代理人】
【識別番号】100076428
【弁理士】
【氏名又は名称】大塚 康徳
(74)【代理人】
【識別番号】100115071
【弁理士】
【氏名又は名称】大塚 康弘
(74)【代理人】
【識別番号】100112508
【弁理士】
【氏名又は名称】高柳 司郎
(74)【代理人】
【識別番号】100116894
【弁理士】
【氏名又は名称】木村 秀二
(74)【代理人】
【識別番号】100130409
【弁理士】
【氏名又は名称】下山 治
(74)【代理人】
【識別番号】100134175
【弁理士】
【氏名又は名称】永川 行光
(72)【発明者】
【氏名】リ, リ
(72)【発明者】
【氏名】ヤン, シャンイン
(72)【発明者】
【氏名】ハウク, ジェラルド フォン
(72)【発明者】
【氏名】シャープ, クリストファー ビー.
(72)【発明者】
【氏名】ヴェイド, ユーサフ エイチ.
(72)【発明者】
【氏名】マティアス, アルン ジー.
(72)【発明者】
【氏名】ハガティ, デイビッド ティー.
(72)【発明者】
【氏名】アブドゥラヒマン, ナイーブ エム.
【合議体】
【審判長】
國分 直樹
【審判官】
望月 章俊
【審判官】
本郷 彰
(56)【参考文献】
【文献】
特開2014−147075(JP,A)
【文献】
特開2013−61956(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04W4/00-H04W99/00 H04B7/24-H04B7/26
(57)【特許請求の範囲】
【請求項1】
モバイル機器に含まれる組み込み型ユニバーサル集積回路カード(eUICC)に対する管理操作に対するユーザ認証のための方法であって、
前記モバイル機器のプロセッサによって、前記モバイル機器の電子加入者識別モジュール(eSIM)に対する管理操作の開始を検出することと、
前記モバイル機器のセキュアプロセッシング環境へエンドツーエンドのセキュア接続を介して転送されるユーザ証明を、前記モバイル機器のセキュア入力を介して取得することと、
前記ユーザ証明に基づいて、前記モバイル機器の前記セキュアプロセッシング環境によって、前記eSIMに対する前記管理操作を実行するためのユーザ許可を検証することと、
ユーザ許可の検証に成功したことに応じて、前記eUICCにより、前記eSIMに対する前記管理操作を実行することと、
を含み、
前記セキュア入力は前記モバイル機器の製造中に組み込まれた事前共有された鍵を介して前記セキュアプロセッシング環境とセキュアに接続され、
前記セキュアプロセッシング環境は、前記eUICCと別個のセキュアエンクレーブプロセッサを含む方法。
前記モバイル機器のプロセッサによって、前記モバイル機器の電子加入者識別モジュール(eSIM)に対する管理操作の開始を検出することと、
前記モバイル機器のセキュアプロセッシング環境へエンドツーエンドのセキュア接続を介して転送されるユーザ証明を、前記モバイル機器のセキュア入力を介して取得することと、
前記ユーザ証明に基づいて、前記モバイル機器の前記セキュアプロセッシング環境によって、前記eSIMに対する前記管理操作を実行するためのユーザ許可を検証することと、
ユーザ許可の検証に成功したことに応じて、前記eUICCにより、前記eSIMに対する前記管理操作を実行することと、
を含み、
前記セキュア入力は前記モバイル機器の製造中に組み込まれた事前共有された鍵を介して前記セキュアプロセッシング環境とセキュアに接続され、
前記セキュアプロセッシング環境は、前記eUICCと別個のセキュアエンクレーブプロセッサを含む方法。
【請求項2】
前記管理操作が、前記eSIMのインストール、インポート、変更、削除、又はエクスポートを含む、請求項1に記載の方法。
【請求項3】
前記ユーザ証明は、前記モバイル機器のユーザのユーザアカウントに関連づけられる、請求項1に記載の方法。
【請求項4】
前記ユーザ証明は、前記ユーザアカウントのユーザログイン識別情報及びパスワードを含む、請求項3に記載の方法。
【請求項5】
前記セキュアエンクレーブプロセッサは、前記モバイル機器の製造中に、事前共有された対称鍵及び/又は証明書に基づいて前記eUICCとセキュアにペアリングされる、請求項1に記載の方法。
【請求項6】
前記セキュアエンクレーブプロセッサは、前記モバイル機器の製造後に、レベル3(L3)サーバによってインジェクションされた対称鍵及び/又は証明書に基づいて前記eUICCとセキュアにペアリングされる請求項1に記載の方法。
【請求項7】
前記eUICCによって、前記eSIMに対する前記管理操作の実行を可能とする前に、対称鍵及び/又は証明書を用いて、前記セキュアプロセッシング環境を認証することを更に含む請求項1に記載の方法。
【請求項8】
モバイル機器に含まれる組み込み型ユニバーサル集積回路カード(eUICC)に対する管理操作における人間の意図検証のための方法であって、
前記モバイル機器のプロセッサによって、前記モバイル機器の電子加入者識別モジュール(eSIM)に対する管理操作の開始を検出することと、
前記モバイル機器のセキュアプロセッシング環境へエンドツーエンドのセキュア接続を介して転送されるユーザ証明を、前記モバイル機器のセキュア入力を介して取得することと、
前記モバイル機器の前記セキュアプロセッシング環境を介して、前記ユーザ証明に基づいて前記eSIMの前記管理操作を実行する人間の意図を検証することと、
前記管理操作を実行する人間の意図の判定成功に応じて、前記eUICCによって、前記eSIMに対する前記管理操作を実行することと、
を含み、
前記セキュア入力は前記モバイル機器の製造中に組み込まれた事前共有された鍵を介して前記セキュアプロセッシング環境とセキュアに接続され、
前記セキュアプロセッシング環境は、前記eUICCと別個のセキュアエンクレーブプロセッサを含む方法。
前記モバイル機器のプロセッサによって、前記モバイル機器の電子加入者識別モジュール(eSIM)に対する管理操作の開始を検出することと、
前記モバイル機器のセキュアプロセッシング環境へエンドツーエンドのセキュア接続を介して転送されるユーザ証明を、前記モバイル機器のセキュア入力を介して取得することと、
前記モバイル機器の前記セキュアプロセッシング環境を介して、前記ユーザ証明に基づいて前記eSIMの前記管理操作を実行する人間の意図を検証することと、
前記管理操作を実行する人間の意図の判定成功に応じて、前記eUICCによって、前記eSIMに対する前記管理操作を実行することと、
を含み、
前記セキュア入力は前記モバイル機器の製造中に組み込まれた事前共有された鍵を介して前記セキュアプロセッシング環境とセキュアに接続され、
前記セキュアプロセッシング環境は、前記eUICCと別個のセキュアエンクレーブプロセッサを含む方法。
【請求項9】
前記管理操作は、前記eSIMのインストール、インポート、変更、削除、又はエクスポートを含む、請求項8に記載の方法。
【請求項10】
前記セキュア入力を介して、前記モバイル機器のユーザを認証するために、追加のユーザ証明を取得することと、
前記eSIMに対する前記管理操作を実行するためのユーザ許可を検証するために、前記追加のユーザ証明に基づくメッセージを、サーバに送信することと、
前記サーバからのユーザ許可の指示の受信及び前記管理操作を実行する人間の意図の成功判定に応じて、前記eSIMに対する前記管理操作を実行することと、
を更に含む、請求項8に記載の方法。
前記eSIMに対する前記管理操作を実行するためのユーザ許可を検証するために、前記追加のユーザ証明に基づくメッセージを、サーバに送信することと、
前記サーバからのユーザ許可の指示の受信及び前記管理操作を実行する人間の意図の成功判定に応じて、前記eSIMに対する前記管理操作を実行することと、
を更に含む、請求項8に記載の方法。
【請求項11】
前記追加のユーザ証明は、前記モバイル機器の前記ユーザのユーザアカウントに関連づけられ、前記追加のユーザ証明は、前記ユーザアカウントに対して第三者サーバによって検証される、請求項10に記載の方法。
【請求項12】
前記追加のユーザ証明は、前記ユーザアカウントのユーザログイン識別情報及びパスワードを含む、請求項11に記載の方法。
【請求項13】
前記サーバは、1つ以上のモバイルネットワークオペレータ(MNO)のeSIMを管理するように構成されたレベル3(L3)サーバを含み、前記メッセージは前記eUICCによって署名される、請求項10に記載の方法。
【請求項14】
前記セキュア入力は、前記モバイル機器の生体センサを含む、請求項10に記載の方法。
【請求項15】
前記セキュアエンクレーブプロセッサは、前記モバイル機器の製造時に、事前に共有された対称鍵及び/又は証明書に基づいて前記eUICCとセキュアにペアリングされる、請求項10に記載の方法。
【請求項16】
前記セキュアエンクレーブプロセッサは、前記モバイル機器の製造後に、レベル3(L3)サーバによってインジェクションされた対称鍵及び/又は証明書に基づいて前記eUICCとセキュアにペアリングされる請求項10に記載の方法。
【請求項17】
前記eUICCによって、前記eSIMに対する前記管理操作の実行を許可する前に、対称鍵及び/又は証明書を用いて前記セキュアプロセッシング環境を認証することをさらに含む請求項10に記載の方法。
【請求項18】
前記eSIMは、プロビジョニングeSIM又は緊急サービスeSIMを含み、前記管理操作は、前記プロビジョニングeSIM又は前記緊急サービスeSIMへの切り替えを含む、請求項10に記載の方法。
【請求項19】
モバイル機器であって、
組み込み型ユニバーサル集積回路カード(eUICC)と、
前記eUICCに通信可能に接続されたセキュアプロセッシング環境と、
前記セキュアプロセッシング環境にセキュアに接続されたセキュア入力と、
プロセッサと、
前記プロセッサに通信可能に接続されたメモリであって、前記プロセッサによって実行されるときに、
前記モバイル機器のプロセッサによって、前記モバイル機器の電子加入者識別モジュール(eSIM)に対する管理操作の開始を検出することと、
前記モバイル機器のセキュアプロセッシング環境へエンドツーエンドのセキュア接続を介して転送されるユーザ証明を、前記モバイル機器のセキュア入力を介して取得することと、
前記モバイル機器の前記セキュアプロセッシング環境を介して、前記ユーザ証明に基づいて前記eSIMの前記管理操作を実行する人間の意図を検証することと、
前記管理操作を実行する人間の意図の判定成功に応じて、前記eUICCによって、前記eSIMに対する前記管理操作を実行することと、
を含んだ動作を前記モバイル機器に実行させる命令を記憶するメモリと、
を有し、
前記セキュア入力は前記モバイル機器の製造中に組み込まれた事前共有された鍵を介して前記セキュアプロセッシング環境とセキュアに接続され、
前記セキュアプロセッシング環境は、前記eUICCと別個のセキュアエンクレーブプロセッサを含むモバイル機器。
組み込み型ユニバーサル集積回路カード(eUICC)と、
前記eUICCに通信可能に接続されたセキュアプロセッシング環境と、
前記セキュアプロセッシング環境にセキュアに接続されたセキュア入力と、
プロセッサと、
前記プロセッサに通信可能に接続されたメモリであって、前記プロセッサによって実行されるときに、
前記モバイル機器のプロセッサによって、前記モバイル機器の電子加入者識別モジュール(eSIM)に対する管理操作の開始を検出することと、
前記モバイル機器のセキュアプロセッシング環境へエンドツーエンドのセキュア接続を介して転送されるユーザ証明を、前記モバイル機器のセキュア入力を介して取得することと、
前記モバイル機器の前記セキュアプロセッシング環境を介して、前記ユーザ証明に基づいて前記eSIMの前記管理操作を実行する人間の意図を検証することと、
前記管理操作を実行する人間の意図の判定成功に応じて、前記eUICCによって、前記eSIMに対する前記管理操作を実行することと、
を含んだ動作を前記モバイル機器に実行させる命令を記憶するメモリと、
を有し、
前記セキュア入力は前記モバイル機器の製造中に組み込まれた事前共有された鍵を介して前記セキュアプロセッシング環境とセキュアに接続され、
前記セキュアプロセッシング環境は、前記eUICCと別個のセキュアエンクレーブプロセッサを含むモバイル機器。
【請求項20】
前記セキュアエンクレーブプロセッサは、前記モバイル機器の製造中に、事前共有された対称鍵及び/又は証明書に基づいて前記eUICCとセキュアにペアリングされる、請求項19に記載のモバイル機器。
【発明の詳細な説明】
【技術分野】
【0001】
記載された実施形態は、モバイル機器内の統合構成要素−電子的加入者識別モジュール(eSIM)を管理するように構成された組み込み型ユニバーサル集積回路カード(eUICC)など−の、管理操作におけるユーザ認証及び人間の意図検証のための技術を表す。
【背景技術】
【0002】
多くのモバイル機器は、モバイル機器がモバイルネットワークオペレータ(MNO)によって提供されるサービスへのアクセスを可能にする、取り外し可能なユニバーサル集積回路カード(UICC)を受容するように構成される。特に、各UICCは、少なくともマイクロプロセッサ及び読み出し専用メモリ(ROM)を含み、ここでROMは、モバイル機器をMNOに登録して相互作用できるようにするMNOプロファイルを記憶するように構成される。典型的には、UICCは、モバイル機器に含まれるUICC受容ベイに挿入されるよう構成された、小型の取り外し可能なカード(一般にSIMカードと呼ばれる)の形態を取る。しかし、直近の実装では、UICCはモバイル機器のシステムボードに、直接組み込まれている。とりわけ、これらの組み込み型UICC(eUICC)は、従来の取り外し可能なUICCを超えて、いろいろな利点を提供できる。例えば、いくつかのeUICCは、1つ以上のeSIMのインストール、変更、及び/又は削除を容易にできる書き換え可能メモリを含み、それによって、新規及び/又は異なるサービス及び/又は更新を提供して、MNOによって提供される拡張機能にアクセスすることができる。eUICCはまた、モバイル機器内のUICC受容ベイの必要性を排除することもできる。それゆえ、eUICCの採用により、モバイル機器の柔軟性が高まるだけでなく、設計が簡素化され、他の構成要素のためのスペースが解放される。
【0003】
場合によっては、eUICCのeSIM及び/又はeUICCのファームウェアのためのさまざまな管理機能を実行することが望ましく、それによって、eUICCは、eUICCを含むモバイル機器のユーザに、新規の又は拡張されたサービスを提供できる。しかしながら、管理機能が許可されていない及び/又は適切に実行されていない場合には、ハードウェア構成要素が恒久的に操作不能になる及び/又はMNOがマルウェア攻撃を受ける可能性があるため、eSIM及び/又はeUICC機能を変更するような管理機能が、非常に危険になる可能性がある。この欠点は、モバイル機器に組み込まれており、かつファームウェアの破損が発生したときに簡単に交換できないeUICCに関しては、特に顕著となる。
【発明の概要】
【0004】
本明細書に表される代表的な実施形態は、モバイル機器に含まれるeUICCの管理操作における、ユーザ認証及び人間の意図検証のためのさまざまな技術を表す。いくつかの実施形態では、モバイル機器のeUICCの、1つ以上のeSIM及び/又はeUICCファームウェアに対する管理操作のセットのうちの1つ以上の管理操作は、1つ以上の管理操作の実行がモバイル機器のeSIM及び/又はeUICCに対して実行され得る前に、ユーザ認証を要求することができる。ユーザ認証は、例えば、特定のユーザ、ユーザのセット、又は管理者特権を有するユーザを検証することである。代表的な管理操作には、モバイル機器のeUICCに対し、eSIMをインストール、変更、削除、インポート、エクスポート、有効化、及び/又は無効化する操作が含まれる。いくつかの実施形態では、一定の管理操作及び/又は一定のeSIM(全てのeSIMを含み得る)及び/又はeUICCの一定のファームウェア更新が識別されて、追加のユーザ認証及び/又は人間の意図検証を要求する場合がある。いくつかの実施形態では、モバイル機器のユーザは、1つ以上の外部ユーザアカウントを、1つ以上のeSIMにリンクするための情報を提供する。代表的な外部ユーザアカウントは、Yahoo及び/又はGmailなどの電子メールアカウント、Facebook及び/又はTwitterなどのソーシャルウェブサイトアカウント、Apple IDアカウントなどのコンピューティング機器アカウントその他同種のものを含み得るが、これらに限定されない。いくつかの実施形態では、外部ユーザアカウントへのリンクは、eSIMのインストール時に及び/又はeSIMのインストール後に生じる。いくつかの実施形態では、外部ユーザアカウントへのリンクの変更、例えば既存の外部ユーザアカウントの代わりに異なる外部ユーザアカウントへの置き換えが、モバイル機器のeUICCの1つ以上の既存eSIMに対して発生する。いくつかの実施形態では、一定のeSIM操作は、ユーザ名及びパスワードなどの証明(及び/又はそのような証明から生成される情報)を使用してユーザの認証を要求して、例えば有線及び/又は無線リンク経由のセキュア通信を介して到達可能な外部サーバで、ユーザを認証することができる。いくつかの実施形態では、セキュアトークンがモバイル機器にて生成及び/又は取得されて外部サーバに通信される。セキュアトークンはユーザ証明情報を含む。外部サーバは、第三者サーバ(例えば、Yahoo、Google、Facebook、Twitterなどの第三者に維持されたサービス)と通信して、セキュアトークンに含まれるユーザ証明情報に基づいてユーザを認証する。外部サーバからのユーザが認証されたという指示の受信に応じて、eSIM(単数又は複数)及び/又はeUICCの管理操作を実行することができる。いくつかの実施形態では、eSIM(単数又は複数)及び/又はeUICCに対する管理操作は、ユーザ認証とは別に、及び/又はユーザ認証に加えて、人間の意図検証を要求することができる。人間の意図検証は、例えば、マルウェア、ソフトウェアボット、及び/又はリモートハッカーがモバイル機器のeUICCのeSIM(単数又は複数)及び/又はeUICC機能を妨害しないように、例えば、1つ以上の要求された管理操作が、モバイル機器の人間ユーザによって実行するよう意図されたものであるか確認することである。いくつかの実施形態では、人間の意図検証は、セキュア入出力(I/O)手段を含むことができて、eSIM及び/又はeUICCに対する要求された管理操作が、例えば特定の人間を含む人間によって意図されたものであることを確認かつ判断できる、検証可能情報を取得することができる。代表的なI/O手段には、生体センサ、例えば、指紋スキャナ、虹彩検出器、及び/又はカメラ顔認識、例えば、パスワード、個人識別番号(PIN)コード、署名、などを要求して受け付けるセキュアディスプレイ及び/又はセキュアキーボード、及び人間/機械識別ソフトウェアが含まれる。セキュアI/Oは、人間及び/又は特定の人間が、モバイル機器の1つ以上のeSIM上で及び/又はeUICCに対して、1つ以上の管理操作を実行しようと意図していると捉えられた検証可能情報に基づいて、モバイル機器内の組み込み型セキュア要素(eSE)及び/又は信頼された実行環境(TEE)などのセキュアな認証ソリューションに結合させることができる。いくつかの実施形態では、eSIMの機能及び/又はeUICCのローカル管理機能などの管理操作のセットは、人間の意図検証のみ及び/又は外部サーバを介したユーザ認証と組み合わせて要求するよう制限することができる。いくつかの実施形態では、1つ以上のeSIMのセット及び/又は1つ以上のeSIMに対する管理操作のセットは、人間の意図検証及び/又はユーザ認証から免除することができる。人間の意図検証及び/又はユーザ認証の確認からの免除は、1つ以上のeSIMのセットに対し、特定の環境下で適用することができる。通常のeSIMを取得及び/又はインストールするために使用されるプロビジョニングeSIMなどの、特定の限定機能用に設計されたeSIMへの切り替えのような一定の管理操作は、人間の意図検証及び/又はユーザ認証から免除することができる。同様に、緊急通信に使用されるeSIMへの切り替えもまた、人間の意図検証及び/又はユーザ認証から免除することができる。しかしながら、プロビジョニングeSIM及び/又は緊急サービスeSIMから通常のeSIMへの切り替えでは、依然として、人間の意図検証及び/又はユーザ認証を必要とすることができる。
【0005】
この発明の概要は、本明細書に記載された主題のいくつかの態様の基本的理解を提供するように、いくつかの例示的実施形態を要約することを目的として提供されるものにすぎない。したがって、上述した特徴は単なる例にすぎず、いかなる方法でも、本明細書に記載された主題の範囲又は趣旨を狭めるように解釈すべきではないことが理解されよう。本明細書に記載された主題の他の特徴、態様及び利点は、後続の発明を実施するための形態、図面、及び特許請求の範囲から明らかになるであろう。
【0006】
本明細書に記載された実施形態の他の態様及び利点は、記載された実施形態の原理を例として示す添付図面と併せて、以下の詳細な説明から明らかになるであろう。
【図面の簡単な説明】
【0007】
含まれる図面は例示目的のものであり、無線コンピューティング機器を提供するための開示された発明の装置及び方法の、可能な構造及び構成の例を提供するのに役立つにすぎない。これらの図面は、当業者により、本実施形態の趣旨及び範囲から逸脱することなく、実施形態に対してなされ得る形態及び詳細のいかなる変更をも制限するものではない。本実施形態は、添付の図面と共に下記の「発明を実施するための形態」を読むことによって容易に理解でき、類似の参照番号は類似の構造要素を指す。【図1A】いくつかの実施形態による、本明細書に記載されたさまざまな技術を実施するように構成されたシステムにおける、異なる構成要素のブロック図を示す。
【図1B】いくつかの実施形態による、本明細書に記載されたさまざまな技術を実施するように構成されたシステムにおける、異なる構成要素の別のブロック図を示す。
【図3】いくつかの実施形態による、モバイル機器に含まれる、人間の意図検証及び/又はユーザ認証のための構成要素のフレームワークのブロック図を示す。
【図4】いくつかの実施形態による、モバイル機器内の生体センサを使用する検証及び/又は認証のための構成要素の代表的な構成のブロック図を示す。
【図5A】ある実施形態による、組み込み型セキュア要素をモバイル機器内のeUICCとペアリングするためのシーケンス図を示す。
【図5B】ある実施形態による、組み込み型セキュア要素をモバイル機器内のeUICCとペアリングするためのシーケンス図を示す。
【図6】いくつかの実施形態による、モバイル機器内の信頼された実行環境(TEE)を使用して、検証及び/又は認証をするための構成要素の代表的な構成のブロック図を示す。
【図7A】いくつかの実施形態による、モバイル機器による外部サーバを介したユーザ認証で、eSIMをエクスポートするためのシーケンス図を示す。
【図7B】いくつかの実施形態による、モバイル機器による外部サーバを介したユーザ認証で、eSIMをエクスポートするためのシーケンス図を示す。
【図7C】いくつかの実施形態による、モバイル機器による外部サーバを介したユーザ認証で、eSIMをエクスポートするためのシーケンス図を示す。
【図7D】いくつかの実施形態による、モバイル機器による外部サーバを介したユーザ認証で、eSIMをエクスポートするためのシーケンス図を示す。
【図8A】いくつかの実施形態による、モバイル機器による外部サーバを介したユーザ認証で、eSIMをインストールするためのシーケンス図を示す。
【図8B】いくつかの実施形態による、モバイル機器による外部サーバを介したユーザ認証で、eSIMをインストールするためのシーケンス図を示す。
【図8C】いくつかの実施形態による、モバイル機器による外部サーバを介したユーザ認証で、eSIMをインストールするためのシーケンス図を示す。
【図8D】いくつかの実施形態による、モバイル機器による外部サーバを介したユーザ認証で、eSIMをインストールするためのシーケンス図を示す。
【図9A】いくつかの実施形態による、モバイル機器のeSIM及び/又はeUICCに対する管理操作のための、ユーザ認証の代表的な方法を示す。
【図9B】いくつかの実施形態による、モバイル機器のeSIM及び/又はeUICCに対する管理操作のための、ユーザ認証の代表的な方法を示す。
【図10A】いくつかの実施形態による、モバイル機器のeSIM及び/又はeUICCに対する管理操作のための、人間の意図検証の代表的な方法を示す。
【図10B】いくつかの実施形態による、モバイル機器のeSIM及び/又はeUICCに対する管理操作のための、人間の意図検証の代表的な方法を示す。
【図11】いくつかの実施形態による、本明細書に記載されたさまざまな構成要素を実施するために使用することができるコンピューティング機器の詳細図を示す。
【発明を実施するための形態】
【0008】
本明細書に記載された実施形態に係る、装置及び方法の代表的な用途が、この項において提供される。これらの例は、更なる前後関係を提供し、記載される実施形態の理解を助けることのみを目的として提供される。したがって、これらの具体的な詳細のうちの一部又は全てを使用することなく、ここで記載される実施形態を実践できるということが、当業者には明らかであろう。他の例では、ここで説明される実施形態を不必要に不明瞭化することを回避するために、周知のプロセス工程は、詳細には説明されていない。他の適用例が可能であり、それゆえ以下の実施例は、限定的なものとして解釈されるべきではない。
【0009】
本明細書に表された実施形態は、モバイル機器のeUICCのeSIM及び/又はeUICC直接に対する管理操作のための、ユーザ認証及び人間の意図検証のさまざまな技術を提供する。インポート、インストール、変更、削除、及びエクスポートなどのeSIMの一定の管理操作は、認証を必要として、モバイル機器の適切な操作に影響を与え、及び/又はモバイル機器が通信で経由する1つ以上のモバイルネットワークオペレータによって管理される無線ネットワークに衝撃を与える可能性がある、マルウェア攻撃やその他の悪意のある操作から、eUICC及び/又はeUICCのeSIMを保護することができる。いくつかの実施形態では、例えば、Apple ID、Facebook、Yahoo、Gmail、Twitterなどの第三者サービス、又はモバイル機器のユーザを関連づけることができる他のサービスアカウント、のユーザアカウント証明を介したユーザ認証が、本明細書に開示される。
【0010】
いくつかの実施形態では、モバイル機器のeUICC上の1つ以上のeSIMのインポート、追加、又はインストールに応じて、例えば、1つ以上のeSIMに対する現在の管理操作及び/又は将来の管理操作のために、モバイル機器のユーザに、ユーザ認証に用いる1つ以上のユーザアカウントを関連づけるよう促すことができる。いくつかの実施形態では、ユーザは、モバイル機器のセキュア入出力を介して、ユーザ認証に用いるユーザ証明、例えばユーザアカウント情報、ユーザアカウントログインID、パスワード、パスコード、署名、指紋、虹彩スキャン、顔スキャン、及び類似のもの、を提供するよう促され得る。モバイル機器は、ユーザ証明に基づいて認証トークンを取得することができる。モバイル機器のeUICCは、外部サーバ、例えば、1つ以上のモバイルネットワークオペレータ(MNO)に対して、モバイル機器用のeSIMを管理するように構成されたレベル3(L3)サーバに送信され得る、例えば署名されたペイロードであるメッセージを生成することができる。いくつかの実施形態では、L3サーバは、1つ以上のeSIMに対する1つ以上の管理操作の完了中に、モバイル機器のユーザが認証されたことを証明する一時的な認証トークンとして働くワンタイムコード(OTC)を提供する。OTCは、L3サーバからモバイル機器のeUICCに通信されて、1つ以上のeSIMに対する1つ以上の管理操作を完了する少なくともその間に、ユーザ認証のためにL3サーバとの追加の通信を必要とすることなく、ユーザ認証を検証することができる。いくつかの実施形態では、OTCは限られた時間有効であり、限られた時間の後に失効する。いくつかの実施形態では、L3サーバは、1つ以上の第三者サーバと通信して、メッセージに提供されたユーザ証明(又はそれらから得られた情報)に少なくとも部分的に基づいて、ユーザを認証する。
【0011】
いくつかの実施形態では、ユーザ証明が関連づけられたeSIMに対する管理操作の開始に応じて、モバイル機器は、eUICCからeSIMに対するユーザ認証に関する情報、例えば、関連サービスの表示、第三者サーバ、ユーザ証明、ユーザ証明から導出された情報など、を取得することができ、モバイル機器は、eSIMに対するユーザ証明の全て又は一部を、ユーザに入力するよう促すことができる。いくつかの実施形態では、ユーザは、モバイル機器のセキュア入出力(I/O)を介して、証明の全体又は一部を入力する。モバイル機器は、記憶された認証トークンを取得でき、及び/又はユーザ証明を使用して、L3サーバにメッセージを通信できる。次に、L3サーバは、第三者サーバと通信して、ユーザがeSIMに対する管理操作を完了できる許可されていることを認証することができる。モバイル機器は、L3サーバからのユーザ認証成功の指示の受信に応じて、eSIMの管理操作を実行する(及び/又は実行を完了する)ことができる。
【0012】
いくつかの実施形態では、モバイル機器のユーザは、モバイル機器のeUICCのeSIMに対する1つ以上の管理操作を、L3サーバ及び/又は第三者サーバ経由などで、外部サーバによって開始させることができる。いくつかの実施形態では、ユーザは、L3サーバ経由及び/又は第三者サーバ経由のユーザ証明の入力により、eSIMの管理操作を開始することができ、L3サーバは、モバイル機器のeUICCにメッセージ、例えば認証トークンを提供することができる。例えばモバイル機器のeUICCに提供された認証トークンに基づく、ユーザ認証の証明の結果として、eSIMに対する管理操作をモバイル機器のeUICCで実行することができる。
【0013】
いくつかの実施形態では、生体センサを使用して、特定のユーザを判定する、及び/又は、モバイル機器のeUICCのeSIMに対する1つ以上の管理操作を実行する人間の意図を検証することができる。いくつかの実施形態では、生体センサは、ユーザを認証できる及び/又は人間の意図検証を判定できる情報を記憶する、組み込み型セキュア要素と結合される。いくつかの実施形態では、組み込み型セキュア要素は、キー及び/又は証明書内にeUICCの特定のチップ識別番号を含むなどして、モバイル機器のeUICCに紐付けられたキー及び/又は証明書を記憶する。いくつかの実施形態では、特定のユーザは、一定の管理操作、例えば、モバイル機器のeUICCからeSIMを削除又はエクスポート、を実行するために、識別される必要がある。
【0014】
いくつかの実施形態では、モバイル機器は、ユーザ認証及び/又は人間の意図検証を提供してモバイル機器のeUICCの1つ以上のeSIMに対する一定の管理を実行する(及び/又は実行を完了させる)ために、eUICCに結合された組み込み型セキュア要素及び/又は信頼された実行環境を含む。いくつかの実施形態では、モバイル機器のeUICCは、外部サーバ(単独のL3サーバ又は別の第三者サーバとの組み合わせなど)を使用してユーザ認証を提供する。いくつかの実施形態では、組み込み型セキュア要素及び/又は信頼された実行環境は、共有シークレットや対称キーなどのセキュア通信を使用して、eUICCとの相互認証を実行する。いくつかの実施形態では、組み込み型セキュア要素及び/又は信頼された実行環境は、例えばモバイル機器のeUICCの1つ以上のeSIMを管理するL3サーバで使用されるような、eUICCと外部サーバ間で使用されるものと同じ相互認証用プロトコルを使用する。いくつかの実施形態では、eUICC及び組み込み型セキュア要素は、モバイル機器の製造中に、対称キー及び/又は証明書とペアリングされる。いくつかの実施形態では、eUICC及び組み込み型セキュア要素及び/又は信頼された実行環境は、モバイル機器の製造後に、外部L3サーバを介した検証及びモバイル機器へのキー/証明書のインジェクションなどを使用して、対称キー及び/又は証明書とペアリングにされる。
【0015】
いくつかの実施形態では、1つ以上のeSIMのセット及び/又は1つ以上のeSIMに対する1つ以上の管理操作のセットは、人間の意図検証及び/又はユーザ認証の対象としないことができる。一定のeSIMは、追加の人間の意図検証及び/又はユーザ認証を必要としない限られた特定の機能を提供することができる。いくつかの実施形態では、これらのeSIMのうちの1つへの切り替え、そのインストール、有効化、及び/又はアクティブ化は、人間の意図検証及び/又はeSIMを使用する特定のユーザ権限の確認から免除することができる。通常のeSIMをインストール、有効化、及び/又はアクティブ化するために無線ネットワークを介した(及び/又は有線ネットワークを介した)通信を提供するプロビジョニングeSIMは、プロビジョニングeSIMへの切り替え、そのインストール、有効化、及び/又はアクティブ化などの、一定の管理eSIM操作に対する人間の意図検証及び/又はユーザ認証から免除することができる。同様に、緊急通信eSIM、又は一定の環境における通信のために限られた機能を提供するための別のeSIMもまた、緊急サービスeSIMへの切り替え、そのインストール、有効化及び/又はアクチベーションの場合には、人間の意図検証及び/又はユーザ認証から免除することができる。しかしながら、いくつかの実施形態では、プロビジョニングeSIM又は緊急サービスeSIMから通常のeSIMに切り替える場合には、人間の意図検証及び/又はユーザ認証が必要とすることができる。前述の技術は、図1Aから図11を参照して、以下、より詳細に記載される。
【0016】
本明細書に記載されたさまざまな実施形態によれば、用語「無線通信機器」、「無線機器」、「モバイル機器」、「移動局」、及び「ユーザ機器」(UE)は、本開示のさまざまな実施形態と関連づけられる手順を実行することが可能であり得る1つ以上の一般の民生用電子機器について記載されたために、本明細書では互換的に使用される。さまざまな実装形態によれば、これらの民生電子機器のうちの任意の1つは、セルラー電話又はスマートフォン、タブレットコンピュータ、ラップトップコンピュータ、ノートブックコンピュータ、パーソナルコンピュータ、ネットブックコンピュータ、メディアプレーヤ機器、電子ブック機器、MiFi(登録商標)機器、ウェアラブルコンピューティング機器、並びに、無線ワイドエリアネットワーク(WWAN)、無線メトロエリアネットワーク(WMAN)、無線ローカルエリアネットワーク(WLAN)、無線パーソナルエリアネットワーク(WPAN)、近距離無線通信(NFC)、セルラー無線ネットワーク、第4世代(4G)LTE、LTEアドバンスド(LTE−A)、及び/あるいは、5G又は他の現在の若しくは将来開発される進化型セルラー無線ネットワーク上の通信を含む無線通信能力を有する電子コンピューティング機器の任意のタイプに関し得る。
【0017】
いくつかの実施形態では、無線通信機器はまた、無線通信システムの一部として動作することができ、例えばWLANの一部としてアクセスポイント(AP)に相互接続された、並びに/又は、例えばWPAN及び/若しくは「アドホック」無線ネットワークの一部として互いに相互接続された、無線機器、無線モバイル機器、ステーション、クライアント無線機器、又はクライアント無線通信機器とも称することもできるクライアント機器のセットを含むことができる。いくつかの実施形態では、クライアント機器は、例えば、無線ローカルエリアネットワーク通信プロトコルに従ったWLAN技術を介して通信することが可能な任意の無線通信機器であり得る。いくつかの実施形態では、WLAN技術は、Wi−Fi(登録商標)(又はより一般的にはWLAN)無線通信サブシステム又は無線機を含むことができ、Wi−Fi無線機は、IEEE 802.11a、IEEE 802.11b、IEEE 802.11g、IEEE 802.11−2007、IEEE 802.11n、IEEE 802.11−2012、IEEE 802.11ac、又は他の現在の若しくは将来開発されるIEEE 802.11技術のうちの1つ以上などの、米国電気電子学会(IEEE)802.11技術を実装することができる。
【0018】
更に、本明細書で記載されたUEは、異なる第3世代(3G)及び/又は第2世代(2G)RATを介しても通信し得るマルチモード無線通信機器として構成されてもよいことを理解されたい。これらのシナリオでは、マルチモードUEは、より低いデータレートのスループットを提供する他の旧式の3Gネットワークに比べて、より高速なデータレートのスループットを提供するLTEネットワークへの接続を優先するように構成されてもよい。例えば、いくつかの実装形態では、マルチモードUEは、LTE及びLTE−Aネットワークが使用できないときに、旧式の3Gネットワーク、例えば、進化型高速パケットアクセス(HSPA+)ネットワーク又はコード分割多重アクセス(CDMA)2000 Evolution−Data Only(EV−DO)ネットワークへとフォールバックするように構成されてもよい。
【0019】
図1Aは、いくつかの実施形態による、本明細書に記載されたさまざまな技術を実施するように構成されたシステム100における、異なる構成要素のブロック図を示す。より具体的には、図1Aは、図示されるように、モバイル機器102と、異なるMNO114によって管理される基地局112のグループとを含む、システム100の上層の概要図を示す。図1Aに示すように、モバイル機器102はモバイルコンピューティング機器(例えば、Apple(登録商標)によるiPhone(登録商標)又はiPad(登録商標))を表し、基地局112は、モバイル機器102と通信するように構成された、異なる無線塔を表し得る。MNO114は、モバイル機器102が加入可能な特定のサービス(例えば、音声、データ、メッセージングなど)を提供する異なる無線サービスプロバイダを表し得る。更に、以下でより詳細に記載されるように、1つ以上のサーバ(明示的に図示されていない)は、セキュアな方法で、モバイル機器102と通信して、1つ以上のeSIM及び/又はeUICCファームウェア/ソフトウェアを、モバイル機器102に提供するように構成することができる。
【0020】
図1Aに示すように、モバイル機器102は、プロセッサ104、メモリ106、eUICC108、及びベースバンドモジュール110と、を含むことができる。これらの構成要素は、モバイル機器102が、ローカライズされたコンピューティング、ロケーションベースのサービス、及びインターネット接続などの有用な機能を、モバイル機器102のユーザに提供できるように協働する。以下でより詳細に記載するように、eUICC108は、基地局112を通じて異なるMNO114にアクセスするために、複数のeSIMを記憶するように構成することができる。例えば、eUICC108は、モバイル機器102が加入した各MNO114のための1つ以上のeSIMを記憶するように構成することができる。以下でより詳細に記載するように、モバイル機器102−具体的にはモバイル機器102に含まれるeUICC108−は、本明細書に表したさまざまな技術に従って、eUICC108の1つ以上eSIMに対する管理操作を実行し、eUICCファームウェアを受信し処理するように構成することができる。いくつかの実施形態では、モバイル機器102は、例えば1つ以上の外部サーバを介して、eSIM及び/又はeUICC108のファームウェア変更に対する1つ以上の管理操作に関連づけられたユーザ認証及び/又は人間の意図検証を実行するように構成することができる。いくつかの実施形態では、ユーザ認証は、生体センサ116及び/又は組み込み型セキュア要素(eSE)118及び/又は信頼された実行環境(TEE)120及び/又はセキュア入出力122の使用を含むことができて、ユーザ証明及び/又は関連情報を得ることができ、それにより、モバイル機器のユーザ、特定のユーザ、ユーザのセット、及び/又は管理ユーザが一定の管理操作の実行を許可される。いくつかの実施形態では、ユーザ認証は、モバイル機器102においてのみ(例えば、モバイル機器102内のハードウェア/ソフトウェアに基づいて)実行される。いくつかの実施形態では、ユーザ認証は、無線(及び/又は有線)接続を介した通信を含み、一定の管理機能が実行されるべきかどうかを判定する。いくつかの実施形態では、生体センサ116、eSE118、TEE120、及び/又はセキュアI/O122を使用して、例えば機械ではなく人間が、モバイル機器102の1つ以上の管理機能、例えば、モバイル機器102のeUICC108に対してeSIMを追加、インストール、インポート、有効化、変更、更新、削除、無効化、及び/又はエクスポート)を実行しようとしていることを判定できる。
【0021】
図1Aに示すように、モバイル機器102は生体センサ116を含むことができ、人間がモバイル機器102を操作しているか否か、及び/又は1つ以上の管理操作の実行を要求しているか否かを、少なくとも信頼できる程度に確証する認証技術を実行することができる。例えば、生体センサ116は、ユーザに署名を提供する(例えば、スタイラスを使用して)よう促すこと、及び署名が提供されるときの情報(例えば、筆圧及び書き込み速度)を収集すること、を含む署名ダイナミクスを通じて、ユーザを認証するように構成することができる。生体センサ116はまた、ユーザに一連の単語を(例えば、キーボードを使用して)入力するよう促すこと、及び単語が入力されるときの情報(例えば、タイピングレート、タイピングパターンなど)を収集すること、を含むタイピングパターンを通じて、ユーザを認証するように構成することができる。そのうえ生体センサ116は、ユーザに指紋を(例えば、指紋スキャナを使用して)を提供するように促すこと、及び指紋についての情報(例えば、詳細画像)を収集すること、を含む指紋認識を通じて、ユーザ認証をするように構成することができる。生体センサ116は更に、音声認識、顔認識、手及び/又は手のひらの幾何学的形状、目のスキャン、又は同種のものを通じて、ユーザを認証するように構成することができる。生体センサ116では、前述のアプローチを実施することに限定されず、人間を認証するための任意のアプローチが、本明細書に記載された実施形態の範囲内にあることに留意されたい。いくつかの実施形態では、ユーザ認証及び/又は人間の意図検証は、生体センサ116に加えて及び/又はその代わりに、セキュアI/O122を使用することができ、認証及び/又は検証の実行に用いる情報を収集することができる。
【0022】
人間がモバイル機器102を操作しているか、及び/又は1つ以上の管理操作の実行を要求しているか、を確証しようと試みる場合、異なるレベルの認証を必要とすることができる。例えば、基本レベルの認証は、人間がモバイル機器102に具体的に知られていることを必要とすることなく、人間がモバイル機器102を操作しているかどうか(例えば、指紋の提供を通じて)の確証を含むことができる。他の例では、中間レベルの認証は、モバイル機器102を操作する人がモバイル機器102に具体的に知られているかどうかを、認証チャレンジの発行を通じて確証することを含むことができる。これは、例えば、人間に指紋を提供するように促すことと、指紋に関連する情報を収集すること、その後その情報をモバイル機器102によって管理されている以前保存した情報と比較することと、を含むことができる。更に別の例では、高度な認証レベルは、モバイル機器102が、そのモバイル機器102を操作する人を具体的に知っているかどうかを、複数の認証チャレンジの発行(例えば、指紋認識及び音声認識)を通じて確証することを含むことができる。これらの技術はまた、人間がモバイル機器102に許可されかつ知られている人間のグループの一部であることの検証も、含むことができることに留意されたい。いくつかの実施形態では、生体センサ116及び/又はセキュアI/O122によって受信された情報は、eSE118に保存された情報と併せて、及び/又はTEE120を介して、及び/又は1つ以上の外部サーバを介して、処理することができる。
【0023】
図1Bは、いくつかの実施形態による、本明細書に記載されたさまざまな技術を実施するように構成されたシステム150における、異なる構成要素の別のブロック図を示す。図1Bは、システム150の上層の概要図を示し、図示されたように、認証局152、ポリシー指示サーバ140、クライアント機器マネージャ144、及び1つ以上のクライアント機器130を含み、図1Aに示されたモバイル機器102を含む。各認証局152は、クライアント機器130によって配信されかつ信頼されたルート証明書154を、自己署名することができる。特に、ルート証明書154は、クライアント機器130によって使用され、ルート証明書154に基づき署名され認証目的のためにクライアント機器130に提示された中間証明書(及び相関署名)を検証することができる。より具体的には、クライアント機器130は、前述の証明書の一つ以上に基づいて署名されたコマンドを受信しかつ処理するように構成することができ、ここでクライアント機器130は、ルート証明書154に依拠して、コマンドを処理する前に、コマンドを認証する。
【0024】
いくつかの実施形態では、クライアント機器マネージャ144は、クライアント機器130を管理するように構成されている特定のエンティティを表し、例えば、クライアント機器マネージャ144は、クライアント機器(単数又は複数)130のeUICC108のeSIM及び/又はeUICCファームウェア/ソフトウェアの例えばインストール、変更、及び/又は削除を含む、クライアント機器130へのファームウェア及びソフトウェア更新を発行する責任を持つことができる。図1Bに示すように、クライアント機器マネージャ144は、ポリシー指示マネージャ140とインターフェースし、前述のeSIM及び/又はeUICCのファームウェア/ソフトウェアを、クライアント機器に130に生成しかつ発行するように構成されているポリシーマネージャ142を実行する。ポリシーマネージャ142は、異なるルート証明書154がクライアント機器130をわたってどのように配布されるかを示すレコードを維持するように構成することができる。このように、ルート証明書154が損なわれかつ失効させる必要がある場合、ポリシーマネージャ142は、ルート証明書154を保存している1つ以上のクライアント機器130を特定することができ、かつ1つ以上のクライアント機器130に恒久的にルート証明154を無視させる失効メッセージを発行することができる。
【0025】
図1Bに示すように、各クライアント装置130は、クライアント機器130のメインシステムボード内に組み込まれたeUICC108を含む。eUICC108は、クライアント機器130上で実行されるメインオペレーティングシステム(OS)などの外部エンティティによって直接にアクセスされ得ない、サンドボックス型ハードウェア/ソフトウェア環境として構成することができる。図1Bには示されていないが、eUICC108は、マイクロプロセッサと記憶装置(例えば、ROM)を含むことができ、それらは、協働して異なるコマンドを処理し、図1Aに示されかつ本明細書で更に記載された追加のファームウェア/ソフトウェア/ハードウェアを組み合わせて、ユーザの認証及び/又は人間の意思検証を実行することができる。例えば、記憶装置は、クライアント装置130のための1つ以上のルート証明書154を記憶するように構成される。
【0026】
図2は、いくつかの実施形態による、図1Aのモバイル機器102における、特定の構成要素のより詳細な部分200のブロック図を示す。図2に示すように、プロセッサ104は、メモリ106と協働して、アプリケーション(例えば、ネイティブOSのアプリケーション及びユーザアプリケーション)を実行するように構成されたメインオペレーティングシステム(OS)202を実行することができる。いくつかの実施形態では、メインOS202は、例えば、eSIM208及び/又はeUICC108のファームウェアに対する管理操作を容易にするために、1以上のアプリケーション204を実行するように構成することができる。図2に示すように、eUICC108は、eUICC108のハードウェア資源(例えば、プロセッサ、ランダムアクセスメモリ(RAM)、及び図2には明示的に図示されていない不揮発性メモリ)を管理するように構成されているeUICC OS206を実装するように構成することができる。eUICC OS 206はまた、例えば、eUICC108内のeSIM208のアクティブ化、非アクティブ化、及び/又は変更することによって、及びeSIM208にアクセスしてベースバンドモジュール110を提供することによって、eUICC108に記憶されたeSIM208を管理するように構成することができる。図2に示すように、各eSIM208は、固有の識別子210に関連づけることができ、eSIM208が動作する方法を定義する複数のアプレット212を含むことができる。例えば、アプレット212の1つ以上は、ベースバンドモジュール110とeUICC108によって実行される場合には、モバイル機器102がMNO114と通信してモバイル機器102の機能(例えば、電話のコール及びインターネットアクセス)をアクティブ化できるように構成することができる。
【0027】
また図2に示すように、モバイル機器102のベースバンドモジュール110は、ベースバンドモジュール110のハードウェア資源(例えば、プロセッサ、メモリ、図2には明示的には示されていない異なる無線構成要素など)を管理するように構成されたベースバンドOS214を含むことができる。いくつかの実施形態では、ベースバンドモジュール110は、本明細書に記載されたさまざまな技術を実行するために、eUICC108とインターフェースするように構成されたマネージャ216を実行することができ、eUICC108が2つ以上eSIM208を管理する場合には、eUICC OS206とのeSIM能力情報の交換と、eUICC108の固有識別子210の管理とを含む。併せて図2に示すように、マネージャ216は、eUICC108に含まれるアクティブ化したeSIM208のさまざまなアプレット212経由でインスタンス化され得るソフトウェアモジュールの集合を表す、サービス218を実行するように構成することができる。例えば、サービス218は、アクティブ化された異なるeSIM208に従って、モバイル機器102とMNO114間の異なる接続を管理するように構成することができる。
【0028】
図3は、いくつかの実施形態による、モバイル機器102に含まれる、人間の意思検証及び/又はユーザ認証のための構成要素のフレームワークのブロック図300を示す。eSIM208がMNO114の無線ネットワークのサービスのアクセスに対する許可及び/又は認証を提供する、モバイル機器102のeSIM208のローカル管理は、モバイル機器102上に密かにインストールされた、及び/又はリモートハッカーを介した、マルウェアによる攻撃の標的となる可能性がある。eSIM208に対する一定の管理操作は、モバイル機器102、及び/又はMNO114の無線ネットワークの動作に影響を与え得る不適切な実行に対して、脆弱となる可能性がある。例えば、マルウェアは、モバイル機器102のユーザに切り替えを意識させることなく、モバイル機器102が使用中の1つ以上のeSIM208を、切り替えるよう試みる可能性がある。ある場合には、モバイル機器102のeSIM208のローカル切り替えは、頻繁な無線ネットワークアタッチメント(接続の確立と非確立)をもたらす可能性があり、頻繁な無線ネットワークアタッチメントによって、モバイル機器102が無線サービスの接続で介する無線アクセスネットワークの制御シグナリングが、過負荷となる可能性がある。加えて、無線ネットワークのバックエンドサーバは、モバイル機器102のeSIM208の不適切な切り替えによって、過負荷となる可能性がある。更に、慣例上、MNO114は、物理的なSIMの製造及び配布の制御に基づいて、サービスへのアクセス制御及びモバイル機器102のユーザサービス間の切り替えにてこ入れし、サービスの連続性の保証を継続し、eSIM208がモバイル機器102に実行されるよう制御しようとする。マルウェアによるeSIM208のローカル削除(いくつかの実施形態ではプロファイル及び/又はeSIMプロファイルとも呼ぶことができる)は、eUICC108及び/又はモバイル機器102の動作、少なくともeSIM208を使う無線サービスへのアクセスに、取り返しのつかないダメージをもたらす可能性がある。eSIM208に含まれる情報はまた、モバイル機器102のユーザにプライバシーの懸念をもたらしかねない、マルウェアによる不正アクセスを受ける可能性もある。ビジネス上の理由及びセキュリティ上の両方の理由から、これらの懸念を考慮すると、モバイル機器102の一つ以上のeSIM208及び/又はeUICC108に影響を与え得る1つ以上の管理操作を実行する権限を確認するために、ユーザ認証及び/又は人間の意思検証の追加のレイヤを必要とすることができる。
【0029】
モバイル機器102は、生体測定センサ116(指紋スキャナ308を含み得る代表例)、個人識別番号(PIN)入力312(又は他のパスワード及び/又はユーザ識別情報検証入力)、及びコンピュータと人間を区別する完全に自動化された公開チューリングテスト(CAPTCHA)若しくはモバイル機器102を操作する人間を検証する逆チューリングテストであるreCAPTCHA実装などの1つ以上の人間検証手段302を含むことができる。これらの人間検証302の手段のそれぞれは、人間(モバイル機器102のソフトウェア/ハードウェア/ファームウェアモジュールというよりも)が、モバイル機器の102の1つ以上のeSIM208及び/又はeUICC108に影響を与えるなどの特定の管理操作(又は管理操作のセット)を実行しようと意図しているかどうかを検証する、セキュリティのレベル変更を提供することができる。人間検証302手段のそれぞれは、人間(及び/又は特定のユーザ)が、モバイル機器102のeSIM208及び/又はeUICC108に対する1つ以上管理操作を実行しようと意図していることを検証する、eUICC認証304手段を提供する、中間層プラットフォームセキュリティソリューションの1つ以上のバージョンに接続することができる。例えば、eUICC認証304手段は、1つ以上の人間検証302手段とのセキュア接続及びモバイル機器102のeUICC108とのセキュア接続を含む、ハードウェアベースの組み込み型セキュア要素(eSE)118(いくつかの実施形態では、セキュアエンクレーブプロセッサ又はSEPとも呼ばれ得る)を含むことができる。eSE118は、人間検証302手段及びeUICC108と組み合わせて、ユーザ及び/又は人間の認証のために信頼されたセキュアなハードウェア/ソフトウェアの組み合わせを提供することができ、ハードウェア及びソフトウェアのこの組み合わせによって実現される認証機能を、eSE/SEP to eUICC認証310ブロックとして図3に示す。
【0030】
代表的な例として、1つ以上のeSIM208及び/又はeUICC108に影響を及ぼす可能性がある1つ以上の管理操作を実行する前に、モバイル機器102は、人間及び/又は特定のユーザがモバイル機器102を操作することを確認するために、PIN入力312を介したPIN、及び/又は指紋スキャナ308(又は生体センサ116を介した別の生体入力)を介した指紋の入力、などの人間検証を要求することができる。人間検証の入力が例えばeUICC認証304手段によって認証されると、eUICC108に対するeUICCローカル管理操作として示された、要求された管理操作の実行を実行することができる。いくつかの実施形態では、eUICC108は、例えば、1つ以上のデジタル証明(キー、証明書、などの)に基づくオフカード認証のため、1つ以上の外部サーバを介した認証を提供することができる。いくつかの実施形態では、異なる管理操作のため、及び/又はモバイル機器102の(及び/又は、図1Bに記載されたさまざまなポリシーで指定され得るさまざまなMNO114によって要求されるなどの、モバイル機器102のeUICC108のeSIM208の)セキュリティレベル構成に基づいて、人間検証302の異なるセキュリティレベルを使用することができる。図3に示すように、ローカル検証に加えて外部サーバ検証を含むことができる、人間の意図確認及び/又はユーザ認証は、モバイル機器102におけるローカルな人間検証とeUICC認証との間を橋渡しするために信頼された構成要素を使用することができる。
【0031】
いくつかの実施形態では、信頼された実行環境(TEE)120は、指紋スキャナ308(及び/又は別の生体センサ116)、PIN入力312(及び/又は他のユーザ証明I/O検証)、及び/又は(re)CAPTCHAチャレンジ316ブロックなどの1つ以上の人間検証302手段にリンクすることができる。いくつかの実施形態では、TEE120は、ハードウェアベースのeSE118に類似した仮想のセキュア要素を提供することができる。例えばGP SCP11などのグローバルプラットフォーム(GP)セキュアチャネルプロトコル(SCP)のような進行中の標準化活動は、いくつかの実施形態では公開キー基盤(PKI)証明書に基づき得る、TEE120とeUICC108との間の相互認証を可能にするアーキテクチャを指定している。TEE to eUICC認証314ブロックは、実行すべき管理操作の実行を可能にする前に、eUICC認証304を人間検証302と結合する代替手段及び/又は補助手段を提供することができ、eSIM208及び/又はeUICC108に対する管理操作を認証/検証することができる。
【0032】
いくつかの実施形態では、セキュアI/O122は、例えばPIN入力312、(re)CAPTCHAチャレンジ316、及び/又は、例えばセキュアディスプレイ/キーボードのようなセキュアI/O実装318を介して収集された他のユーザ証明入力、などの人間検証302手段とリンクすることができて、モバイル機器102上のセキュアI/Oのための追加の手段を提供することができる。いくつかの実施形態では、セキュアI/O122は、モバイル機器102のプロセッサ104上で実行するメインOS202のセキュアソフトウェアと統合することができる。マルウェアがeUICC認証304と併せて使用される人間検証入力を傍受及び/又は模倣しないことを確実にするために、セキュアI/O122を、通常のI/Oメカニズムの代わりに使用して、eSIM208及び/又はeUICC108に対する1つ以上の管理操作の実行を制御することができる。図3のブロック図300は、人間の検証及びeUICC認証を実行するための代表的な手段を提供しているが、追加の手段もまた、セキュア入力を提供するため、本明細書に記載された手段の代わりに及び/又は併せて使用することができる。追加の手段は、例えば、人間対機械識別、セキュア通信チャネル、ハードウェア/ソフトウェアモジュール間の信頼された関係、及び外部サーバとのセキュリティ交換を含んで、eSIM208及び/又はeUICC108に影響を及ぼす1つ以上の管理操作の実行が要求された場合に、マルウェアから保護することができる。
【0033】
図4は、いくつかの実施形態による、モバイル機器102内の、指紋スキャナ308などの生体センサ116を使用する検証及び/又は認証のための構成要素の代表的な構成のブロック図400を示す。例えばモバイル機器102の製造時にもたらされ得る既知共有キーを使用するセキュアリンク402を通じて、指紋スキャナ308は、組み込み型セキュア要素(eSE)118又はセキュアエンクレーブプロセッサ(SEP)とペアリングすることができる。セキュアリンク402は、典型的には対称キーペアリングを使用して、指紋スキャナ308とeSE118との間のエンドツーエンド(E2E)セキュリティ手段を提供することができる。生体ユーザ証明の検証は、セキュアリンク402を介してのみアクセス可能な信頼されたハードウェア(eSE118のような)内で起こり得るので、指紋スキャナ308によって収集された指紋情報などの生体ユーザ証明は、マルウェアから保護することができる。eSE118は、次にeUICC108とセキュアにペアリングすることができ、eSE118とeUICC108との間に相互認証を提供することができる。いくつかの実施形態では、モバイル機器102の製造中に、eSE118とeUICC108を対称キー及び/又は証明書とペアリングすることができ、それによって、モバイル機器102がユーザによって構成されかつ使用される場合に、eSE118とeUICC108との間の相互認証404がセキュアとなる。いくつかの実施形態では、eSE118とeUICC108との間の相互認証機構404メカニズムは、eUICC108とプロファイルマネージャL3サーバ408などの外部サーバとの間の相互認証406メカニズムと、同じプロトコルを使用することができる。いくつかの実施形態では、モバイル機器102が製造された後、eSE118とeUICC108をペアリングするための証明を取得でき、L3サーバ408などの1つ以上のサーバを使用して検証することができる。証明は例えば、1つ以上のサーバによる検証と併せてeSE118及びeUICC108に提供される対称キー及び/又は証明書を含むことができる。指紋スキャナ308、eSE118、及びeUICC108の組み合わせは、例えば、eUICC108と、その次に、追加の第三者サーバとも通信し得るレベル3(L3)プロファイルマネージャサーバ408などの1つ以上の外部サーバとの組み合わせを介して、リモートセキュリティで付加的に補うことができるローカルな(モバイル機器102への)プラットフォームレベルのセキュリティを提供する。
【0034】
図5A及び図5Bは、ある実施形態による、組み込み型セキュア要素、例えばeSE118を、モバイル機器102内のeUICC108とペアリングするためのシーケンス図500/550を示す。いくつかの実施形態では、モバイル機器102は、アプリケーションプロセッサ(AP)506を含み、プロセッサ104に対応することができる。シーケンス図500/550は、モバイル機器102の製造後に、eSE118とeUICC108との間でセキュアペアリングを生成できる、代表的な実施形態を示す。図5Aで、ハードウェアセキュリティモジュール(HSM)502とラベル付けされた信頼されたリモートサーバは、eSE118とモバイル機器102のeUICC108との間で信頼関係の確立を支援することができる。HSM502は、ポリシー制御機能(PCF)証明書を維持することができ、そのうちの1つ以上を、モバイル機器102のHSM502からAP506に提供することができる。いくつかの実施形態では、HSM証明書(HSMcert)は、署名されたチャレンジと共に、AP506がHSM502から取得することができる。AP506は、eUICC108からカードシリアル番号(CSN)を引き出し、署名されたチャレンジ、HSM証明書、及びCSNを、eSE118に提供することができる。eSE118は、HSM証明書を有効化し、HSM署名を検証し、その後、モバイル機器102及びCSNの固有識別子(UID)に基づいてキー対を生成することができる。eSE118は、証明書署名要求(CSR)及び共通名(CN)を生成することができ、それらを、eSE118及びCSNの組み合わせに関連づけることができる。eSE118はまた、グループ識別子(GID)、CSR、排他的チップ識別子(ECID)、及びチャレンジに基づいて、ハッシュ(図5AでHMAC_SEPとラベル付けされた)を生成することもできる。CSR、ECID、及びHMAC_SEPを、AP506に通信することができ、AP506は、情報に基づいて署名された識別情報マップを生成し、署名された識別情報マップをeUICC108に送ることができる。eUICC108は、ノンスが付加された署名された識別情報マップをAP506に返すことができる。署名された識別情報マップを、HSM502(例えば、モバイル機器102のeUICC108が、以前に確立された信頼関係を有することができた外部サーバ)に通信することができる。HSM502は、eUICC証明書を有効化、eUICC署名を検証、CSNを検証、ハッシュ(HSM_SEP)を検証、CSRを有効化、することができ、eSE118のために証明書(図5AでSEP_VINYLcertとラベル付けされた証明書)を発行することができる(検証及び検証が成功した場合)。HSM502は、eSE118のPCFオーナ証明書を作成することができる。HSM502は、モバイル機器102のAP506へのHSM証明書により、第2のチャレンジ(図5Bでチャレンジ2とラベル付けされた)、eSE118の証明書、及びPCFオーナ証明書、の署名された組み合わせを提供することができ、AP506は、HSM502から受信した情報をeSE118に転送することができる。eSE118は、HSM証明書を有効化し、HSM署名を検証し、eSE証明書を有効化し、eSE証明書を記憶することができる。eSE118は、PCFオーナ証明書をAP506に通信することができ、AP506は、PCFオーナ証明書を、eUICC108にインストールするめに、eUICC108に転送することができ、次に、PCFオーナ証明書の受信をAP506に示すことができる。AP506は、eUICC108にSignIDMap(コマンド)を送信することができ、ナンス及びCSNを含むSignedIDMapで応答することができる。eSE118におけるeSE証明書及びeUICC108内にインストールされたPCFオーナ証明書により、eSE118とeUICC108との間に、信頼された関係を確立することができる。
【0035】
eUICC108の観点から、eUICC108とeSE118との間に信頼された関係を確立することは、eUICC108に対する信頼された関係を、モバイル機器102の外部に存在し得る新しい信頼されたサーバに追加することに似ている(しかしながらこの場合、新しい信頼されたサーバ、すなわちeSE118は、実際にはモバイル機器102の内部(ローカル)にある)。eSE118のeUICC108へのペアリングは、公開キーインフラストラクチャ(PKI)証明書に基づき得るPCFオーナ証明書のインストールに依拠し得る。PCFオーナ証明書のインストール後、eSE118とeUICC108との間のセキュア通信は、認証されたレベル3(L3)コマンドに基づくことができる。いくつかの実施形態では、eSE118とeUICC108との間の信頼された関係(及び/又はその後のセキュア通信)の確立では、対称キーベースのL3セキュリティプロトコル、例えば、GP SCP03及びGP SCP80に記載されている、が使用される場合には、L3証明として使用される対称キー(単数又は複数)のインストールを含むように拡張することができる。いくつかの実施形態では、開発中の対称キーベースのセキュアチャネルプロトコル、例えば、GP SCP11に従って証明書をインストールした後に、追加のメカニズムを使用して対称キーを生成することができる。
【0036】
図6は、いくつかの実施形態による、モバイル機器102、例えばモバイル機器102のTEE120の内の信頼された実行環境(TEE)を使用する検証及び/又は認証のための構成要素における、代表的な構成のブロック図600を示す。いくつかの実施形態では、TEE120は、1つ以上のGP仕様に従って動作することができる。TEE120は、モバイル機器102のeUICC108が信頼されたセキュアな関係を確立することができる、仮想セキュア要素(SE)とみなすことができる。1つ以上の信頼されたセキュア入力、例えばセキュアなディスプレイ及び/又はキーボードなどのセキュアI/O 318並びに指紋スキャナ308などのセキュアな生体センサ116は、人間の意図検証及び/又はユーザ認証を少なくとも部分的に実現し得るセキュア通信リンク情報を介して、提供することができる。いくつかの実施形態では、人間の意図確認及び/又はユーザ認証のために使用することができるセキュアアプリケーション608を、TEE120を介して信頼されたセキュア入力とリンクさせることができる。いくつかの実施形態では、セキュアアプリケーション608は、リッチオペレーティングシステム(OS)607及びTEE120の一部として実行する。TEE120は、TEE120とeUICC108との間の相互認証に使用できる、セキュアな証明、例えばキー、証明書などが記憶され得る信頼されたカーネル610を含むことができる。ハードウェアeSE118と同様に、ソフトウェアTEE120は、モバイル機器102の外部サーバとのセキュア通信に類似したセキュア通信の相互認証を使用するeUICC108と、信頼された関係を確立することができる。TEE120は、eUICC108上の1つ以上のeSIM208に対する1つ以上の管理操作を実行する前に、セキュア入力を介して受信した情報を処理して、人間の意図を検証する、及び/又はユーザ認証をすることができる。このように、eUICC108上でeSIM操作616を実行するために、TEE120とeUICC108との間の相互認証614を必要とすることができる。いくつかの実施形態では、TEE120は、セキュアなハードウェア612、例えば高度な縮小命令セットコンピューティング(RISC)マシン(ARM)の信頼された領域ハードウェアモジュールとインターフェースすることができ、TEE120とeUICC108との間の相互認証614のためのキー及び/又は証明書を記憶することができる。eSE118と同様に、TEE120は、相互認証のためのL3証明として対称キー及び/又はPKI証明書を使用することができ、L3証明は、モバイル機器102の製造中及び/又は製造後にインストールすることができる。いくつかの実施形態では、TEE120は、例えば、GP SCP11などの対称キーベースのセキュアなチャネルプロトコルによる使用のため、1つ以上の証明書のインストール後に対称キーを生成することができる。いくつかの実施形態では、TEE120は、例えば、セキュアI/O318を介して取得された入力に基づいて、人間の意図検証に使用することができる。いくつかの実施形態では、TEE120は、モバイル機器102のOS604と協働して、ユーザ認証及び/又は人間の意図検証を実行する。いくつかの実施形態では、セキュリティ及び/又はマルウェア防御のために使用されるOSベースのソフトウェア/ハードウェアは、TEE120と共に使用され及び/又はTEE120のセキュリティ機能を補されて、マルウェアが、OS604及び/又はディスプレイ及びキーボードなどのユーザインターフェースをハイジャックするのを防止する。
【0037】
図7Aから図7Dは、いくつかの実施形態による、モバイル機器102による外部サーバ716を介したユーザ認証において、eSIM208をeUICC108からエクスポートするためのシーケンス図700/720/730/740を示す。モバイル機器102は、例えば、暗号化及び再暗号化機能を実行する第1のレベル(L1)、アンチクローニング機能を実行してeSIM208のクローニングを防ぐ第2のレベル(L2)、同一性判定、信頼されたセキュア通信、ユーザ認証、及び/またモバイル機器102のための人間の意図検証機能を実行する第3のレベル(L3)を含む、複数のセキュリティレベルを実装できるeUICC108を含むことができる。モバイル機器102のユーザは、電子メールアカウント、Apple ID、Facebookアカウントなどの外部ユーザアカウントを、eUICC108上にインストール中及び/又はインストール後に、1つ以上のeSIM208とリンクさせることができる。これらの外部ユーザアカウントのそれぞれに関連づけられている証明は、これらの外部ユーザアカウントにサービスを提供する第三者サーバと通信することによって検証することができる。モバイル機器102は、ユーザ認証のために、追加の第三者サーバとその次に通信できる外部サーバ716とインターフェースすることができる。1つ以上のeSIM208に対する1つ以上の管理操作が実行され得る前に、及び/又はeUICC108に対する他の管理操作のために、本明細書記載された技術を使って実現され得るユーザ認証及び/又は人間の意図確認を、必要とすることができる。
【0038】
図7Aから図7Dは、モバイル機器102のeUICC108からeSIM208をエクスポートするプロセスの一部として、ユーザ認証を含むのに起こり得るアクションの代表的なセットを表す。ユーザ認証は、モバイル機器102によって提供された証明に基づいてユーザを認証するためにサービスを提供する追加の第三者サーバと、通信できる外部サーバ716を含む。モバイル機器102は、eUICC108内に、L1セキュリティプロトコルによって保護された1つ以上のeSIM208を記憶できるクライアントプロファイルロッカー702と、L2セキュリティプロトコルを使用して1つ以上のeSIM208のクローン作成から保護できるクライアントプロファイルエージェント704と、ユーザ認証、同一性判定、信頼された関係の確立と維持、並びにeSIM208及び/又はeUICC108ファームウェア/ソフトウェアなどのさまざまな管理操作を実行するための認証、のためのL3セキュリティプロトコルを実装できるクライアント706と、を含むことができる。外部サーバ716は、L3セキュリティプロトコルを実施できるサーバブローカ710、L2セキュリティプロトコルを実施できるサーバプロファイルエージェント712、及びL1セキュリティプロトコルを実施できるサーバプロファイルロッカー714などの、並列L1/L2/L3構成要素を含むことができる。
【0039】
いくつかの実施形態では、モバイル機器102のAP506によって実行され得るクライアントブローカ708は、モバイル機器102のユーザに、例えばセキュアI/O122を介して、eUICC108のeSIM208に対する(及び/又はeUICC108へのファームウェア/ソフトウェア変更のために)1つ以上の管理機能を実行するための認証の検証に用いる、ユーザ入力を取得するよう促すことができる。代表的な管理操作は、1以上のeSIM208を別のモバイル機器に移動させ、1つ以上のeSIM208をセキュアな外部サーバ(たとえば、クラウド)に記憶し、及び/又は1つ以上のeSIM208をeUICC108からモバイル機器102内のモバイル機器のAP506に転送する、エクスポートeSIM操作を含むことができる。いくつかの実施形態では、モバイル機器102によって取得されたユーザ入力は、1つ以上の他の第三者サーバと通信することができるサーバ716などの外部サーバを介して、ユーザ認証に使用できるユーザ証明を含む。ユーザ証明は、モバイル機器102のユーザに関連づけられた特定のユーザアカウントのユーザ名及びパスワードを含むことができる。AP506のクライアントブローカ708は、ユーザがeUICC108からエクスポートしようとする1つ以上のeSIM208に関連づけられたL3セキュリティに使用される許可トークン(AuthTokenとしてラベル付けられた)を取得する。本明細書で更に記載するように、eSIM208のインストール中及び/又はインストール後に、許可トークンをeSIM208と関連づけて生成されて、外部サーバ716及び関連する第三者サーバを介してユーザ認証を提供することができる。許可トークンは、ユーザがeSIM208をエクスポートする(及び/又はeSIM208及び/又はeUICC108に対する他の管理操作を実行する)ことを許可されているかどうか判定するために使用することができる。モバイル機器102によるユーザ許可の判定は、外部サーバ716との通信を含むことができる。クライアントブローカ708は、eSIM208のためのプロファイル記述子と、eSIM208のための現在のL3関連許可トークンとを、eUICC108のL3クライアント706に提供し、署名された識別情報マップを(eSIM208のプロファイル及び現在のL3許可トークンに基づき)、モバイル機器102のAP506のクライアントブローカ708に返す。クライアントブローカ708は、外部サーバ716のL3サーバブローカ710に、署名された識別情報マップを含む、eSIM208をエクスポートする要求を送信し、署名された識別情報マップは、外部サーバ716のL3サーバブローカ710が使用でき、ユーザの権限を認証してeSIM208のエクスポート(又は他の管理操作)を実行させる。いくつかの実施形態では、現在のL3許可トークンは、外部サーバ716のL3サーバブローカ710がモバイル機器102のユーザを認証するために第三者サーバとの通信に使用できる情報を含む。ユーザが認証されると、L3サーバブローカ710は、L3許可トークンを記憶でき、続いてモバイル機器102のeUICC108とのセッションを確立して、要求された管理操作をすること、例えばeSIM208をeUICC108からエクスポートすることができる。
【0040】
図8Aから図8Dは、いくつかの実施形態による、モバイル機器102による外部サーバ716を介したユーザ認証でeSIM208をインストールするための、シーケンス図800/820/830/840を示す。eSIM208をインストールする際、モバイル機器102は、eSIM208に影響を及ぼし得る要求された管理操作に応ずることに続いて、eSIM208と、ユーザを認証するのに用いる1つ以上のユーザアカウントとを関連づけることができる。いくつかの実施形態では、モバイル機器102のeUICC108に既にインストールされたeSIM208は、eSIM208を含むその後の管理操作でユーザ認証するために用いる1つ以上のユーザアカウントに関連づけることができる。いくつかの実施形態では、eSIM208のインストールは、1つ以上のユーザアカウントのユーザ証明が、ユーザ証明を認証するための追加の第三者サーバと通信できる外部サーバ716を介して検証される場合にのみ起こり得る。いくつかの実施形態では、モバイル機器102のユーザは、例えば現在のユーザアカウントとして、特定のユーザアカウント(及び/又はユーザ証明の特定のセット)をeSIM208に関連づけることができ、後に、eSIM208を異なる新規又は次のユーザアカウントに関連づけるように変更することができる。
【0041】
いくつかの実施形態では、AP506は、モバイル機器102のユーザアカウントのユーザ証明のセットを入力するようユーザに促して、1つ以上のeSIM208及び/又はeUICC108に対する管理操作の許可に使用することができる。AP506のクライアントブローカ708は、モバイル機器102のeUICC108のL3クライアント706に、ユーザ証明(及び/又はそこから導出された情報)を提供し、その見返りに、ユーザ証明及び/又はユーザを認証するために使用できるユーザ証明に基づく情報を含み得る、署名された識別情報マップを取得することができる。署名された識別情報マップは、AP506のクライアントブローカ708によって、外部サーバ716のL3サーバブローカ710に提供することができ、署名された識別情報マップによって、第三者サーバでユーザを認証する(及び/又はモバイル機器102において1つ以上の要求された管理操作を実行させるユーザの権限を判定する)ことができる。署名された識別情報マップと共に供給されるユーザ証明に基づいて、第三者サーバで外部サーバ716によるユーザ認証が成功すると、eSIM208のインストールはモバイル機器102で進めることができる。いくつかの実施形態では、外部サーバ716のL3サーバブローカ710は、eUICC108のL3クライアント706に提供する1つの(又は複数の)ワンタイムコード(単数又は複数)(OTC)を生成して、(eSIM208のインストールなどの)1つ以上の管理操作が発生する間のセッションのために第三者サーバでユーザの再認証をする必要性を除去する。例えばCreateSessionコマンドによって示されるように、セッションが確立されると、AP506のクライアントブローカ708からeUICC108のL3クライアント706に、1つ以上のOTCを通信して、その後、1つ以上の管理操作を完了するために必要なセッションの間に使用することができる。例えば、外部サーバ716のL3サーバブローカ710が、1つ以上の管理操作の実行中に第三者サーバで再チェックをする必要なく、外部サーバ716のL3サーバブローカ710との認証の証明を、L3クライアント706から提供することができる。例えば、図8Bに示すように、L3クライアント706からAP506のクライアントブローカ708に提供され、外部サーバ716のL3サーバブローカ710に送信されたPersonalizeProfileコマンドに含まれるプロファイルL3ブロブ要求は、OTCの少なくとも1つを含むことができ、現在のセッションの間にセッションによって要求された、管理操作かモバイル機器102のユーザに許可されたことを検証することができる。いくつかの実施形態では、OTCは、例えば、タイムスタンプ又は限られた期間の後にOTCが期限切れになることを保証できる他の時間計数メカニズムに基づいて、ある期間の使用に制限することができる。このように、外部サーバ716のL3サーバブローカ710は、プロファイルL3ブロブ要求に含まれるOTCのタイムスタンプを確認により検証して、セッションユーザ認証が有効のままであることを検証することができる。
【0042】
いくつかの実施形態では、図8Cに示すように、外部サーバ716のL3サーバブローカ710は、特定のeSIM208を、例えばアップルIDアカウント、Yahooアカウント、Facebookアカウント、など特定のユーザアカウントに関連づけられたユーザ証明と、結び付けるL3オーナを作成する。図8Bに示すように、AP506は、L3サーバブローカ710に提供されたプロファイルL3ブロブ要求内のユーザ証明に従って、eSIM208がユーザのためにパーソナル化されることを要求する(L3サーバブローカ710に通信されたPersonalizeProfile要求で示されるように)。いくつかの実施形態では、例えばOTCが使用されていない場合、L3サーバブローカ710は、モバイル機器102のユーザに対してeSIM208をパーソナル化する際のセッション中に、必要に応じて第三者サーバでユーザ認証を検証することができる。図8B及び図8Cに示すように、外部サーバ716は、L3サーバブローカ710によるL3レベル及びサーバプロファイルエージェント712によるL2レベルの両方で、eSIM208をパーソナル化する要求を検証することができる。検証に成功すると、eSIM208は、L1サーバプロファイルロッカー714から取り戻され、eSIM208に影響を与える管理操作の以降の検証のためにeSIM208をユーザアカウントと結び付けるL3オーナと共に、モバイル機器102のAP506と通信することができる。L3オーナ情報はeUICC108(具体的にはL3クライアント706)に転送され、eUICC108で記憶され得る。それによって、eUICC108において、特定のeSIM208を、eSIM208に対する1つ以上の管理操作に対するユーザ認証の実行に用いるユーザアカウントに関連づける。本明細書で記載され、図7Aから図7Dに示されるエクスポートeSIM管理操作は、エクスポートeSIM管理操作のユーザ認証のため、L3オーナの記憶されたユーザ証明情報を使用することができる。いくつかの実施形態では、L3オーナ構造は、L3オーナに関連づけられたeSIM208に対する1つ以上の管理操作を許可するユーザ認証のため、連絡すべき特定の第三者サービスの情報を含む。
【0043】
図9Aは、いくつかの実施形態による、モバイル機器102のeSIM208及び/又はeUICC108に対する管理操作のユーザ認証のための、代表的な方法のフローチャート900を示す。ステップ902において、モバイル機器102のプロセッサ104及び/又はAP506などのプロセッサは、モバイル機器102のeSIM208に対する管理操作の開始(及び/又は開始要求)を検出する。いくつかの実施形態では、プロセッサは、eSIM208に対する管理操作の実行を実行し得る前に、eSIM208に対する管理操作が追加のユーザ認証及び/又は人間の意図検証を必要とするか判定する。ステップ904において、モバイル機器102は、例えば、セキュアI/O122を介して、及び/又は生体センサ116を使用して、ユーザ証明を取得して、管理操作を実行するための許可を検証するのに用いる特定のユーザ及び/又はユーザアカウントを判定する。いくつかの実施形態では、ユーザ証明に基づくユーザ認証のみ、及び/又は別個の入力に基づく人間の意図検証と組み合わせて、管理操作を完了するため必要とすることができる。いくつかの実施形態では、ステップ906において、モバイル機器102のプロセッサは、ユーザ証明(及び/又はそのバージョンを含む)に基づくメッセージを外部サーバに送信して、eSIM208に対する管理操作を実行するためのユーザ許可を検証する。いくつかの実施形態では、外部サーバは、ユーザ証明情報を使用して、第三者サーバでユーザ認証を実行する。ステップ908において、モバイル機器102は、外部サーバからのユーザ許可指示の受信に応じて、eSIM208に対する管理操作を実行する(又はその実行を完了する)。
【0044】
一定のeSIM208、及び/又は一定のeSIM208に対する一定の管理操作は、人間の意図検証及び/又はユーザ認証を免除することができる。管理操作から免除され得る代表的なeSIM208は、通常のeSIM208を取得するために使用されるプロビジョニングeSIM208及び/又は緊急通信を提供するために使用される緊急サービスeSIM208などの、限定された特定の機能を提供するeSIM208を含むことができる。プロビジョニングeSIM208の使用(及び/又はインストール、有効化、アクティブ化)への切り替えは、モバイル機器102の通信機能の初期化及び/又は回復を提供することができる。同様に、緊急サービスeSIM208の使用(及び/又はインストール、有効化、アクティブ化)への切り替えは、特定の無線ネットワークを介して限定された通信を提供でき、及び/又はアメリカのダイヤル911などの緊急通信サービスの特定のセットへアクセスでき、及び/又は警察、火災、及び/又は緊急医療サービスなどの他の緊急サービスへアクセスすることができる。1つ以上の通常のeSIM208に適用可能な制限は、プロビジョニングeSIMS208及び/又は緊急サービスeSIM208などの一定のeSIM208に切り替えるときに解除することができる。しかしながら、免除されたeSIM208から通常のeSIM208に切り替え戻すことは、人間の意図検証及び/又はユーザ認証を必要とすることができる。いくつかの実施形態では、eUICC108は、eSIM208のタイプに基づいて、及び/又はeSIM208のタイプに対する管理操作のタイプに基づいて、eSIM208に対する人間の意図検証及び/又はユーザ認証の制限及び/又は免除を強制する。いくつかの実施形態では、eUICC108は、1つ以上のポリシーに基づいてeSIM208に対する管理操作に制限を強制する。eSIM208又はeSIM208のセットは、eSIM208に対する管理操作のセットの全て、一部に適用される、又はいずれにも適用されない制限及び/又は免除を示す関連ポリシーを有することができる。人間の意図確認及び/又はユーザ認証は、モバイル機器102のeUICC108によって使用して、マルウェアが、モバイル機器102におけるeSIM208間の切り替えを制限する、及び/又はeSIM208間で過度に迅速又は頻繁に切り替えるよう無線ネットワークと通信するなどにより、モバイル機器102及び/又は無線ネットワークのネットワーク機器の動作を妨害しないようにすることができる。通常のeSIM208を選択及び/又はロードするための初期アクセスを得るため、又は以前にインストールされたeSIM208の使用を回復するため、のプロビジョニングeSIM208などの一定のeSIM208は、少なくともプロビジョニングeSIM208への切り替えなどの一定の管理操作のために、人間の意図検証及び/又はユーザ認証から免除することができる。同様に、いくつかの実施形態では、緊急サービスeSIM208への切り替え、その有効化、インストール、及び/又はアクティブ化は、人間の意図検証及び/又はユーザ認証から免除することができる。プロビジョニングeSIM208又は緊急サービスeSIM208からなどの免除eSIM208から通常のeSIM208への切り替え戻しは、人間の意図検証及び/又はユーザ認証の対象となることがある。このように、例えば、プロビジョニングeSIM208又は緊急サービスeSIM208への切り替えのような一方向のみで、人間のユーザ検証及び/又はユーザ認証を免除し、他方、例えば、プロビジョニングeSIM208又は緊急サービスeSIM208から通常のeSIM208へ切り替え戻りなどの他の方向では、人間のユーザ検証及び/又はユーザ認証を必要とすることによって、マルウェアが、プロビジョニングeSIM208又は緊急サービスeSIM208を含むeSIM208間で、過度に迅速に及び/又は過度に頻繁に切り替えないようにすることができる。いくつかの実施形態では、eUICC108は、それぞれが人間の意図検証及び/又はユーザ認証から免除される2つ以上の異なるeSIM208間の切り替えが、切り替え間のある時間間隔内で又はある最小時間おきに、あまり頻繁に又はあまり多数回起こらないことを保証するルールを強制することができる。いくつかの実施形態では、複数のeSIM208が人間の意図検証及び/又はユーザ認証から免除される場合、eUICC108は、任意の時点で、他の任意のeSIM208から緊急サービスeSIM208などの特定のeSIM208への切り替えを許可することができるが、緊急サービスeSIM208から離れるなど特定のeSIM208から離れる切り換えの際には、制限を必要とすることができる。このように、マルウェアに、eSIM208間の過度の切り替えによる、モバイル機器102及び/又は関連するワイヤレスネットワークのネットワーク機器の動作への悪影響を及ぼさせることなく、緊急サービスへのアクセスは、人間の意図検証及び/又はユーザ認証をバイパスすることができる。
【0045】
図9Bは、いくつかの実施形態による、免除処理を伴う、モバイル機器102のeSIM208及び/又はeUICC108に対する管理操作のためのユーザ認証における、代表的な方法のフローチャート950を示す。ステップ952において、モバイル機器102のプロセッサ104及び/又はAP506などのプロセッサは、モバイル機器102のeSIM208に対する管理操作の開始(及び/又は開始要求)を検出する。ステップ954において、プロセッサは、eSIM208に対する管理動作の実行を実行し得る前に、eSIM208に対する管理動作が追加のユーザ認証及び/又は人間の意図検証を必要とするかどうかを判定する。ステップ956において、eSIM208に対する管理操作が人間の意図検証及び/又はユーザ認証を必要としない場合、モバイル機器102は、eSIM208に対する管理操作を実行する(及び/又は実行を完了する)。人間の意図確認及び/又はユーザ認証から免除され得る代表的なeSIM208は、eSIM208などの、特に切り替え、有効化、インストール、及び/又はアクティブ化を行う場合、プロビジョニングeSIM208(通常eSIM208のロード、インストール、及び/又は回復のような特別の目的のため限定された通信機能を提供する)及び緊急サービスeSIM208(特定の緊急サービスへ限定された通信機能を提供する)を含む。ステップ958において、モバイル機器102は、例えば、セキュアI/O122を介して、及び/又は生体センサ116を使用して、ユーザ証明を取得し、管理操作を実行するための許可を検証するのに用いる特定のユーザ及び/又はユーザアカウントを判定する。いくつかの実施形態では、ユーザ証明に基づくユーザ認証のみ、及び/又は別個の入力に基づく人間の意図検証と組み合わせて、管理操作を完了するため必要とすることができる。いくつかの実施形態では、ステップ960において、モバイル機器102のプロセッサは、ユーザ証明(及び/又はそのバージョンを含む)に基づくメッセージを外部サーバに送信して、eSIM208に対する管理操作を実行するためのユーザ許可を検証する。いくつかの実施形態では、外部サーバは、ユーザ証明情報を使用して、第三者サーバでユーザ認証を実行する。ステップ962において、モバイル機器102は、外部サーバからのユーザ許可指示の受信に応じて、eSIM208に対する管理操作を実行する(又はその実行を完了する)。
【0046】
図10Aは、いくつかの実施形態による、モバイル機器102のeSIM208及び/又はeUICC108に対する管理操作のための人間の意図検証及び/又はユーザ認証における、代表的な方法のフローチャート1000を示す。ステップ1002において、モバイル機器102のプロセッサ104及び/又はAP506などのプロセッサは、モバイル機器102のeSIM208に対する管理操作の開始(及び/又は開始要求)を検出する。いくつかの実施形態では、プロセッサは、eSIM208に対する管理操作の実行が完了し得る前に、eSIM208に対する管理操作が追加のユーザ認証及び/又は人間の意図検証を必要とするか判定する。ステップ1004において、モバイル機器102は、例えば、セキュアI/O122を介して、及び/又は生体センサ116を使用して、ユーザ証明を取得し、eSIM208に対する管理操作を実行する人間の意図を検証するのに用いる特定のユーザ及び/又はユーザアカウントを判定する。いくつかの実施形態では、セキュアI/O 122及び/又は生体センサ116は、セキュアハードウェア要素及び/又はモバイル機器102の信頼された実行環境と直接通信する。ステップ1006において、モバイル機器102は、セキュアハードウェア要素及び/又は信頼された実行環境を介して、ユーザがeSIM208に対する管理操作を起こすよう許可されている判定するか、及び/又はeSIM208に対する管理操作を起こす人間の意図を検証する。ステップ1008において、モバイル機器102は、ユーザ許可及び/又は人間の意図の成功判定に応じて、eSIM208に対する管理動作を実行する(及び/又は実行を完了する)。
【0047】
図10Bは、いくつかの実施形態による、免除処理を伴う、モバイル機器102のeSIM208及び/又はeUICC108に対する管理操作のための人間の意図検証における、代表的な方法のフローチャート1050を示す。ステップ1052において、モバイル機器102のプロセッサ104及び/又はAP506などのプロセッサは、モバイル機器102のeSIM208に対する管理操作の開始(及び/又は開始要求)を検出する。ステップ1054において、プロセッサは、eSIM208に対する管理操作の実行が完了し得る前に、eSIM208に対する管理操作及び/又はeSIM208が、追加のユーザ認証及び/又は人間の意図検証を必要とするかどうかを判定する。ステップ1056において、eSIM208に対する管理動作がユーザ認証及び/又は人間の意図検証を必要としない場合、モバイル機器102は、eSIM208に対する管理動作を実行する(及び/又は実行を完了する)。eSIM208に対する管理操作及び/又はeSIM208が人間の意図検証及び/又はユーザ認証を必要とする場合、モバイル機器102は、eSIM208に対する管理操作を実行する(又は動作を完了する)かどうかを判定する追加のステップに取りかかる。ステップ1058において、モバイル機器102は、例えば、セキュアI/O122を介して、及び/又は生体センサ116を使用して、ユーザ証明を取得し、eSIM208に対する管理操作を実行する人間の意図を検証するのに用いる特定のユーザ及び/又はユーザアカウントを判定する。いくつかの実施形態では、セキュアI/O122及び/又は生体センサ116は、セキュアハードウェア要素及び/又はモバイル機器102の信頼された実行環境と直接通信する。ステップ1060において、モバイル機器102は、セキュアハードウェア要素及び/又は信頼された実行環境を介して、ユーザがeSIM208に対する管理操作を起こすよう許可されているか判定し、及び/又はeSIM208に対する管理操作を起こす人間の意図を検証する。ステップ1062において、モバイル機器102は、ユーザ許可及び/又は人間の意図の成功判定に応じて、eSIM208に対する管理動作を実行する(及び/又は実行を完了する)。
【0048】
代表的な実施形態いくつかの実施形態では、モバイル機器に含まれる組み込み型ユニバーサル集積回路カード(eUICC)に対する管理操作におけるユーザ認証のための方法は、モバイル機器によって実行される以下のアクションを含む:(a)モバイル機器の電子加入者識別モジュール(eSIM)に対する管理操作の開始を検出すること;(b)ユーザ証明を取得すること;(c)eSIMに対する管理操作を実行するためのユーザ認証を検証するために、ユーザ証明に基づくメッセージを、サーバに送信すること;及び、(d)サーバからのユーザ許可指示の受信に応じて、eSIMに対する管理操作を実行すること。
【0049】
いくつかの実施形態では、管理操作は、eSIMのインストール、インポート、変更、削除、又はエクスポートを含む。いくつかの実施形態では、ユーザ証明は、モバイル機器のユーザのユーザアカウントに関連づけられる。いくつかの実施形態では、ユーザ証明は、ユーザアカウントに対して第三者サーバによって検証される。いくつかの実施形態では、ユーザ証明は、ユーザログイン識別情報及びユーザアカウントのパスワードを含む。いくつかの実施形態では、サーバは、1つ以上のモバイルネットワークオペレータ(MNO)のためのeSIMを管理するように構成されたレベル3(L3)サーバを含み、メッセージはeUICCによって署名される。いくつかの実施形態では、本発明の方法は、モバイル機器が、eSIMの管理操作の実行中に、ユーザの再認証のために有効なワンタイムコード(OTC)をサーバから受信すること、を更に含む。いくつかの実施形態では、モバイル機器は、モバイル機器のセキュア入出力インターフェースを通じてユーザ証明を取得する。いくつかの実施形態では、モバイル機器は、モバイル機器の生体センサを通じてユーザ証明を取得する。いくつかの実施形態では、本発明の方法は、eUICCが、ユーザ証明に基づいて認証トークンを取得すること、及び、eUICCが、サーバに送信されるメッセージを生成すること、を更に含み、メッセージが認証トークンを含む署名されたペイロードを含む。
【0050】
いくつかの実施形態では、モバイル機器に含まれる組み込み型ユニバーサル集積回路カード(eUICC)に対する管理操作の人間の意図検証のための方法は、モバイル機器によって実行される以下を含む:(a)モバイル機器の電子加入者識別モジュール(eSIM)に対する管理操作の開始を検出すること;(b)セキュア入出力(I/O)を介して、ユーザ証明を取得すること;(c)モバイル機器のセキュアなハードウェア及び/又は信頼された実行環境(TEE)を介して、ユーザ証明に基づいて、eSIMに対する管理操作を実行する人間の意図を検証すること;及び、(d)管理操作を実行する人間の意図の成功判定に応じて、eSIMに対する管理操作を実行すること。
【0051】
いくつかの実施形態では、管理操作は、eSIMのインストール、インポート、変更、削除、又はエクスポートを含む。いくつかの実施形態では、本発明の方法は、モバイル機器が:(e)モバイル機器のユーザを認証するために追加のユーザ証明を取得すること;(f)eSIMに対する管理操作を実行するためのユーザ認証を検証するために、追加のユーザ証明に基づくメッセージをサーバに送信すること;並びに(g)サーバからのユーザ許可指示の受信及び管理操作を実行する人間の意図の成功判定に応じて、eSIMに対する管理操作を実行すること、を更に含む。いくつかの実施形態では、追加のユーザ証明は、モバイル機器のユーザのユーザアカウントに関連づけられており、追加のユーザ証明は、ユーザアカウントに対して第三者サーバによって検証される。いくつかの実施形態では、追加のユーザ証明は、ユーザログイン識別情報及びユーザアカウントのパスワードを含む。いくつかの実施形態では、サーバは、1つ以上のモバイルネットワークオペレータ(MNO)のためのeSIMを管理するように構成されたレベル3(L3)サーバを含み、メッセージはeUICCによって署名される。いくつかの実施形態では、モバイル機器は、モバイル機器の生体センサを通じて追加のユーザ証明を取得する。いくつかの実施形態では、モバイル機器は、モバイル機器のセキュアI/Oを通じて追加のユーザ証明を取得する。
【0052】
いくつかの実施形態では、モバイル機器に含まれる組み込み型ユニバーサル集積回路カード(eUICC)に対する管理操作におけるユーザ認証のための方法は、モバイル機器によって実行される以下を含む:(a)モバイル機器の電子加入者識別モジュール(eSIM)に対する管理操作の開始を検出すること;(b)eSIMに対する管理操作がユーザ認証を必要とするかどうか、を判定すること;(c)eSIMに対する管理操作がユーザ認証を必要とする場合:(i)ユーザ証明を取得すること、(ii)eSIMに対する管理操作を実行するためのユーザ認証を検証するために、ユーザ証明に基づくメッセージをサーバに送信すること、及び、(iii)サーバからのユーザ許可指示の受信に応じて、eSIMに対する管理操作を実行すること、及び、(d)eSIMに対する管理操作がユーザ認証を必要としない場合、eSIMに対する管理操作を実行すること。
【0053】
いくつかの実施形態では、eSIMは、プロビジョニングeSIM又は緊急サービスeSIMを含み、管理操作は、プロビジョニングeSIM又は緊急サービスeSIMへの切り替えることを含む。
【0054】
いくつかの実施形態では、モバイル機器に含まれる組み込み型ユニバーサル集積回路カード(eUICC)に対する管理操作における人間の意図検証のための方法は、モバイル機器によって実行される以下を含む:(a)モバイル機器の電子加入者識別モジュール(eSIM)に対する管理操作の開始を検出すること;(b)eSIMに対する管理操作が人間の意図検証又はユーザ認証を必要とするかどうかを判定すること;(c)eSIMに対する管理操作が人間の意思検証又はユーザ認証を必要とする場合:(i)セキュア入出力(I/O)を介してユーザ証明を取得すること;(ii)モバイル機器のセキュアハードウェア及び/又は信頼された実行環境(TEE)を介して、ユーザの証明に基づいて、eSIMに対する管理操作を実行する人間の意図を検証すること;及び、(iii)管理操作を実行する人間の意図の成功判定に応じて、eSIMに対する管理操作を実行すること;並びに、(d)eSIMに対する管理操作が人間の意思検証又はユーザ認証を必要としない場合、eSIMに対する管理業務を実行すること。
【0055】
いくつかの実施形態では、eSIMは、プロビジョニングeSIM又は緊急サービスeSIMを含み、管理操作は、プロビジョニングeSIM又は緊急サービスeSIMへの切り替えを含む。いくつかの実施形態では、本発明の方法は、モバイル機器が:(e)モバイル機器のユーザを認証するために追加のユーザ証明を取得することと;(f)eSIMに対する管理操作を実行するためのユーザ認証を検証するために、追加のユーザ証明に基づくメッセージをサーバに送信することと;(g)サーバからのユーザ許可指示の受信及び管理操作を実行する人間の意図の成功判定に応じて、eSIMに対する管理操作を実行することと、を更に含む。
【0056】
いくつかの実施形態では、モバイル機器は、ワイヤレス通信用に構成可能な1つ以上のアンテナを含む無線回路と、1つ以上のプロセッサと、1つ以上のプロセッサに通信可能に接続され命令を保存するメモリなどの非一時的記憶媒体と、を含んでおり、命令は1つ以上のプロセッサによって実行されると、モバイル機器に、本明細書に実質的に記載された1つ以上の方法を実行させる。
【0057】
いくつかの実施形態では、集積回路装置は、1つ以上のプロセッサと、1つ以上のプロセッサに通信可能に結合され命令を保存するメモリと、を含んでおり、命令は1つ以上のプロセッサによって実行されると、集積回路装置を含むモバイル機器に、本明細書に記載された1つ以上の方法を実行させる。
【0058】
いくつかの実施形態では、非一時的なコンピュータ可読媒体は命令を記憶し、命令はモバイル機器の1つ以上のプロセッサによって実行されると、モバイル機器に、本明細書に記載された1つ以上の方法を実行させる。
【0059】
図11は、いくつかの実施形態による、本明細書に記載されたさまざまな構成要素を実施するために使用することができるコンピューティング機器1100の詳細図を示す。特に、詳細図は、図1Aに示されたモバイル機器102に含むことができるさまざまな構成要素を示す。図11に示すように、コンピューティング機器1100は、コンピューティング機器1100の全体的な動作を制御するためのマイクロプロセッサ又はコントローラを表すプロセッサ1102を含むことができる。いくつかの実施形態では、プロセッサ1102は、モバイル機器102のプロセッサ104及び/又はアプリケーションプロセッサ506を含む。コンピューティング機器1100はまた、コンピューティング機器1100のユーザがコンピューティング機器1100と相互作用することを可能にするユーザ入力機器1108も含むことができる。例えば、ユーザ入力装置1108は、ボタン、キーパッド、ダイヤル、タッチスクリーン、オーディオ入力インターフェース、視覚/画像キャプチャ入力インターフェース、センサデータの形式入力などのような、さまざまな形式を取ることができる。いくつかの実施形態では、ユーザ入力機器1108は、モバイル機器102のセキュアI/O122及び/又は生体センサ116を含むことができる。いくつかの実施形態では、ユーザ入力装置1108は、マルウェア又は他の悪意のあるアクティビティからの保護するための追加のセキュリティ手段を伴うセキュアバージョンと、コンピューティング機器1100の通常動作のための非セキュアバージョンと、の両方を含む、異なるソフトウェアの制御可能入力の組み合わせを表すことができる。また更に、コンピューティング装置1100は、ユーザに対して情報を表示するため、プロセッサ1102によって制御できるディスプレイ1110(スクリーンディスプレイ)を含むことができる。いくつかの実施形態では、ディスプレイ1110の制御は、情報を提示すること、及び/又はディスプレイ1110(例えば、接触感知式ディスプレイ)を介して情報を取得することを含むことができる。いくつかの実施形態では、ディスプレイ1110は、プロセッサ1102によって制御されて、セキュアなインターフェースを提示することができる。いくつかの実施形態では、ユーザ入力機器1108及び/又はディスプレイは、単独及び/又は組み合わせで、本明細書で詳細に説明するセキュアな方法により入力を表示及び/又は取得する追加のハードウェアセキュリティを提供する1つ以上のセキュア要素と、通信することができる。コンピューティング機器1100のデータバス1116は、少なくとも記憶装置1140、プロセッサ1102、及びコントローラ1113との間のデータ転送を容易にすることができる。コントローラ1113は、機器制御バス1114を通じて、異なる機器とインターフェースしそれを制御するために用いることができる。コンピューティング機器1100はまた、データリンク1112に結合するネットワーク/バスインターフェース1111を含むことができる。無線接続の場合、ネットワーク/バスインターフェース1111は、無線送受信機、又はより一般的には、1つ以上の無線通信プロトコルに従って通信するために使用される無線回路のセットを含むことができる。いくつかの実施形態では、コンピューティング機器1100は、有線及び無線通信プロトコルに従った接続のため、有線及び無線インターフェースの両方の組み合わせを含むことができる。
【0060】
コンピューティング機器1100はまた、単一のディスク又は複数のディスク(例えば、ハードドライブ)を表し得る記憶装置1140を含み、かつ記憶装置1140内の1つ以上のパーティションを管理する記憶管理モジュールを含む。いくつかの実施形態では、記憶装置1140は、フラッシュメモリ、半導体(個体)メモリ、などを含むことができる。コンピューティング装置1100はまた、ランダムアクセスメモリ(RAM)1120及び読み取り専用メモリ(ROM)1122を含むことができる。ROM1122は、実行すべきプログラム、ユーティリティ、又はプロセスを、不揮発性方式で記憶することができる。RAM1120は、揮発性データ記憶装置を備え、コンピューティング装置1100の操作に関連した命令を記憶することができる。コンピューティング装置1100は、本明細書で詳細に記載されたいくつかの実施形態では、eUICC108を表し得るセキュア要素1150を、更に含むことができる。
【0061】
記載された実施形態のさまざまな態様、実施形態、実装形態、又は特徴は、個別に又は任意の組み合わせで用いることができる。記載された実施形態のさまざまな態様は、ソフトウェアにより、ハードウェアにより、又はハードウェアとソフトウェアの組合せにより実施することができる。記載された実施形態はまた、コンピュータ可読媒体上のコンピュータ可読コードとして実施できる。このコンピュータ可読媒体は、後でコンピュータシステムによって読み込むことが可能なデータを記憶することができる、任意のデータ記憶装置である。コンピュータ可読媒体の例としては、読み出し専用メモリ、ランダムアクセスメモリ、CD−ROM、DVD、磁気テープ、ハードディスクドライブ、ソリッドステートドライブ、及び光学的データ記憶装置を含む。コンピュータ可読コードが分散形式で記憶及び実行されるように、コンピュータ可読媒体をネットワークに結合されたコンピュータシステムにわたって分散させることもできる。
【0062】
前述の説明では、記載された実施形態の完全な理解をもたらすために、説明を目的として特定の専門用語を使用した。しかし、記載された実施形態を実践するために、特定の詳細が必要とされないことが当業者にとっては明らかであろう。それゆえ、上述の具体的な実施形態の説明は、例示及び説明の目的のために提示される。それらの説明は、網羅的であることも、又は開示される厳密な形態に、説明される実施形態を限定することも意図するものではない。上記の教示を考慮すれば、多くの修正形態及び変形形態が可能であることが当業者にとっては明らかであろう。