特許7066009事前生成された保護プロファイルをパーソナル化する方法及び対応するシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-04-28
(45)【発行日】2022-05-12
(54)【発明の名称】事前生成された保護プロファイルをパーソナル化する方法及び対応するシステム
(51)【国際特許分類】
G06F 21/62 20130101AFI20220502BHJP
【FI】
G06F21/62 309
【請求項の数】
6
(21)【出願番号】P 2020560936
(86)(22)【出願日】2019-04-30
(65)【公表番号】
(43)【公表日】2021-08-19
(86)【国際出願番号】 EP2019061096
(87)【国際公開番号】W WO2019211295
(87)【国際公開日】2019-11-07
【審査請求日】2020-11-10
(31)【優先権主張番号】18305543.3
(32)【優先日】2018-05-02
(33)【優先権主張国・地域又は機関】EP
(73)【特許権者】
【識別番号】519283417
【氏名又は名称】タレス ディアイエス フランス エスアー
(74)【代理人】
【識別番号】100086368
【弁理士】
【氏名又は名称】萩原 誠
(72)【発明者】
【氏名】エリク ブルターニュ
(72)【発明者】
【氏名】リオネル ロザック-ドライッキオ
【審査官】松平 英
(56)【参考文献】
【文献】米国特許出願公開第2016/0142906(US,A1)
【文献】米国特許出願公開第2017/0222991(US,A1)
【文献】欧州特許出願公開第03007404(EP,A1)
【文献】国際公開第2018/072852(WO,A1)
【文献】村里 健太,Dreamweaverで作る iPhone/Androidアプリ入門,初版,日本,株式会社マイナビ,2012年02月28日,pp. 341-346,ISBN: 978-4-8399-4018-8
【文献】宮川 義之 他,Unityによる3Dゲーム開発入門,初版,日本,株式会社オライリー・ジャパン ,2011年09月07日,pp. 373-376,ISBN: 978-4-87311-506-1
(58)【調査した分野】(Int.Cl.,DB名)
G06F12/14
21/00-21/88
G09C 1/00-5/00
H04B 7/24-7/26
H04K 1/00-3/00
H04L 9/00-9/40
H04M 1/00
1/24-3/00
3/16-3/20
3/38-3/58
7/00-7/16
11/00-11/10
99/00
H04W 4/00-99/00
(57)【特許請求の範囲】
【請求項1】
GSMA SGP.02及びSGP.22 RSP技術仕様により定められる事前生成された保護プロファイルをパーソナル化する方法であって、前記方法が、前記プロファイルの終わりにしかないSCP03tセキュリティのみを再計算するために、SM-DPによって前記プロファイルの終わりにアプリケーション及び多様化データを追加すること、及び、前記SM-DPによって、前記保護プロファイルを端末と連携するeUICCに送信することからなる方法。
【請求項2】
前記アプリケーションが、前記eUICC内で起動されるとき、前記事前生成されたプロファイルのパーソナル化を司る、請求項1に記載の方法。
【請求項3】
前記多様化データがIMSIを含む、請求項1又は2に記載の方法。
【請求項4】
GSMA SGP.02及びSGP.22 RSP技術仕様により定められる事前生成された保護プロファイルをパーソナル化するためのシステムであって、前記システムが、前記保護プロファイルに適用される多様化データを移動体ネットワークオペレータから受信することに特化されたSM-DPと、前記保護プロファイルを受信する端末と連携するeUICCとを備え、前記SM-DPが事前生成された保護プロファイルを格納し、前記SM-DPがアプリケーション及び前記多様化データをその終わりに含む事前生成された保護プロファイルを前記eUICCに送信するシステム。
【請求項5】
前記SM-DPが、前記事前生成された保護プロファイルを送信する前に、前記事前生成された保護プロファイルの終わりにあるアプリケーション及び前記多様化データを前記事前生成された保護プロファイルに追加している、請求項4に記載のシステム。
【請求項6】
前記SM-DPが、前記事前生成された保護プロファイルを送信する前に、変更されていない、又は前記保護プロファイルの終わりにアプリケーション及びダミーの多様化データを含む事前生成された保護プロファイルを格納し、前記SM-DPが、その多様化データを含むアプリケーションを追加するか、又は前記ダミーの多様化データを前記事前生成された保護プロファイルに対して上書きする、請求項4に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は電気通信システムに関する。
【0002】
具体的には、本発明は、任意のコンシューマー及びM2Mセキュアエレメント、特にeUICC(埋め込みUICC)用のGSMA及びSIMアライアンスで定められる事前生成された保護プロファイルのカスタマイズに関する。
【背景技術】
【0003】
現在もなお利用できるIMSI(国際移動体加入者識別番号)の数は、特に、例えば中国やインドのような重大な数の国民を有する国の一部のオペレータにおいて限りがあることが知られている。
【0004】
IMSIは、MCC(移動体国コード)、MNC(移動体ネットワークコード)及びMSIN(移動体加入者識別番号)で構成される。所与のオペレータ(MNO)に対して、現在もなお利用できるMSINの数は限られている。
【0005】
IMSIは、例えばeUICCに含まれるセキュアエレメントプロファイルに格納される。
【0006】
問題は、eUICCプロファイルが製造され、IMSIでパーソナル化される場合、このIMSIは、eUICCプロファイルがエンドユーザにダウンロードされるとき、又はeUICCを含む装置に初めて電源が入れられるときにのみ使用されることである。したがって、使用されていない膨大な数のIMSIが存在し、このことがMNOのコストとなる。
【0007】
この問題を解決するために、IMSIをeUICCのようなセキュアエレメントに無線によりオンデマンドでダウンロードすることが知られている。サブスクリプションマネージャ-データ準備(SM-DP)は、オペレータサブスクリプションプロファイルを安全にダウンロードし、eUICCにインストールすることが役割の電気通信ネットワークの要素である。SM-DPは、eUICCにプロビジョンされるプロファイルを安全に格納する。SM-DPは、これらのプロファイルのeUICCへのインストールを管理する。
【0008】
より正確には、GSMA SM-DPは、SCP03tセキュリティを用いて保護された事前生成プロファイルがプロビジョンされる。SCP03tは、グローバルプラットフォーム改正Dにより定められたSCP03プロトコルの進化/最適化である。
【0009】
事前生成されたプロファイルでは、全ての多様化データは事前に生成されてSM-DPの作業負荷及び実行時間を減らす。
【0010】
MNOは、プロファイル確保の間SM-DPを使用して、IMSI、IPマルチメディアプライベートアイデンティティ(IMPI)又はIPマルチメディアパブリックアイデンティティ(IMPU)のようなプロファイルカスタムデータ(以下「多様化データ」)を提供することを望む。その結果、事前生成された保護プロファイルは更新されて全てのMNO多様化データを注入することになる。
【0011】
このような手順において、事前生成されたプロファイルの異なるSCP03tブロックは、SM-DPによってHSM(ハードウェアセキュリティモジュール)を使用して更新及び再計算されるものとする。HSMはSCP03t暗号及びMAC(メッセージ認証コード)を計算する。
【0012】
図1は、SIMアライアンスの仕様(eUICCプロファイルパッケージのセクション8.1.3:相互運用可能なフォーマットTS v2.0)により定められるプロファイルの例を示している。
【0013】
規格については、2つのGSMA仕様SGP.02 v3.2(M2M)及びSGP.22 v2.2(コンシューマー)は、プロファイルフォーマット(UPP:保護されていないプロファイルパッケージ)に関する同じSIMアライアンスv2.0仕様を参照する。したがって、GSMAの仕様を参照することは、SIMアライアンスの仕様を参照することを含む。
【0014】
GSMAの仕様は、クライアントシステム(eUICC)/サーバ(SM-DP)だけでなく、これらのプロファイル(PPP:保護されたプロファイルパッケージ)を保護するSCP03tプロトコルを定める。
【0015】
具体的には、SGP.22仕様は、SCP03tプロトコルのためのGSMAの仕様SGP.02を参照する。
【0016】
様々なプロファイル要素が図1に示されている。常にプロファイルヘッダを含むフィールドから始まり、PE-End(「PE」はプロファイル要素を意味する)で終わる。
【0017】
SCP03tブロックは最大1008バイト(最大1007バイトのデータと最後のブロックのための少なくとも1バイトのパディング)である。これらのフィールドは、eUICCに伝送されたSCP03tブロックに収納される。
【0018】
SCP03tでは、全てのブロックがMACを用いて連鎖される。
【0019】
例えば、MAC1と呼ばれる第1のMACが、PE-HeaderやPE-MFのような第1のプロファイル要素(PE)を含む第1のSCP03tブロック上で計算される。MAC2と呼ばれる第2のMACが、第2のSCP03tブロックの内容及びMAC1を考慮に入れることによって計算される。
【0020】
これによって、各MACは先行するMAC(各MACは前のMACと連鎖される)を考慮に入れる。このMAC連鎖が意味することは、データブロックを変更して(例えばIMSI、IMPI又はIMPUのような)多様化データを注入する場合、現在のデータブロック及び全ての後続ブロックのSCP03tは、現在のデータブロックのMACが変更されるために再計算されなければならないということである。
【0021】
このことの主要な問題は、例えばMNOにより送信されたPE-USIMブロック内にあるIMSIに関して、このIMSIが変更されるため、PE-USIMを含むSCP03tブロック、及びこのブロックに続く全てのMACを再計算する必要があることである。これは、セキュアエレメントへの新しいサブスクリプションのダウンロード要求が高い場合に、複数のHSMを使用することを必要とする。
【0022】
順番は一部のPEの場合に変わる可能性がある(ただし、SIMアライアンスの仕様に制約がある)。
【0023】
一部のPEはまた任意選択的であり、他のPEが今後(例えば次世代の5G用に)追加される可能性がある。
【0024】
様々なプロファイル要素の順番は変わる可能性があるが、SIMアライアンスの仕様は、特にセキュリティドメイン及びアプリケーションがプロファイルの終わりに位置するものとすると規定する。これは、USIM、ISIM、CSIM...のような、MNOによりカスタマイズされるテレコムアプリケーションをプロファイルの終わりに孤立させることができないことを意味する。
【0025】
したがって、主要なSM-DPの制約は、プロファイルの終わりにあるプロファイルのごく一部を更新して、プロファイルのSCP03tブロックの全てを再計算することを避け、ハードウェアリソース及びソフトウェアリソースのかなりの追加コストを伴う非常に大きいパフォーマンスインパクトを回避することである。この再計算は、eUICCプロファイルをダウンロード及びインストールする前にパーソナル化するために、MNOが例えばIMSIをSM-DPに送信するときに必要である。
【0026】
1つの選択肢は、非常に高い計算能力を吸収させる追加のリソースを配置することである。2つの解決策が考えられる:
- クラスタ内で追加のSM-DPインスタンス及び追加のHSMを使用すること、あるいは、
- RTDP(リアルタイムデータ処理)と呼ばれる、SM-DPに接続された追加のサーバインフラストラクチャを使用すること。RTDPは専用インスタンス及び専用HSMを有する。
- クラスタ内で追加のSM-DPインスタンス及び追加のHSMを使用すること、あるいは、
- RTDP(リアルタイムデータ処理)と呼ばれる、SM-DPに接続された追加のサーバインフラストラクチャを使用すること。RTDPは専用インスタンス及び専用HSMを有する。
【0027】
どちらの場合も、コストに及ぼす影響は、(ダミーIMSIをMNOから受け取ったIMSIに置き換える)プロファイル上で行われるマイクロオペレーションと比べて不釣り合いである。
【発明の概要】
【発明が解決しようとする課題】
【0028】
この問題は本発明によって解決される。
【課題を解決するための手段】
【0029】
より正確には、本発明は、GSMA SGP.02及びSGP.22 RSP技術仕様により定められる事前生成された保護プロファイルをパーソナル化する方法であって、プロファイルの終わりにしかないSCP03tセキュリティのみを再計算するためにプロファイルの終わりにアプリケーション及び多様なデータを追加すること、及び保護プロファイルを端末と連携するeUICCに送信することからなる方法を提案する。
【0030】
有利には、アプリケーションは、eUICC内でトリガされるとき、事前生成されたプロファイルのパーソナル化を司る。
【0031】
好ましくは、多様化データはIMSIを含む。
【0032】
本発明はまた、GSMA SGP.02及びSGP.22 RSP技術仕様により定められる事前生成された保護プロファイルをパーソナル化するためのシステムであって、保護プロファイルに適用される多様化データを移動体ネットワークオペレータから受信することに特化されたSM-DPと、保護プロファイルを受信する端末と連携するeUICCとを備え、SM-DPが事前生成された保護プロファイルを格納し、SM-DPがアプリケーション及び多様化データをその終わりに含む事前生成された保護プロファイルをeUICCに送信するシステムに関する。
【0033】
一実施形態では、SM-DPは、事前生成された保護プロファイルを送信する前に、事前生成された保護プロファイルの終わりにあるアプリケーション及び多様化データを事前生成された保護プロファイルに追加している。
【0034】
別の実施形態では、事前生成された保護プロファイルを送信する前に、SM-DPは、変更されていない、又は保護プロファイルの終わりにアプリケーション及びダミーの多様化データを含む事前生成された保護プロファイルを格納し、SM-DPは、その多様化データを含むアプリケーションを追加するか、又はダミーの多様化データを事前生成された保護プロファイルに対して上書きする。
【図面の簡単な説明】
【0035】
本発明の他の特徴及び利点は、以下の図に関わる以下の説明を読むことによって現れるであろう。
【0036】
【図1】従来技術のプロファイルの例。
【図2】本発明に係るプロファイル。
【図3】SCP03tブロックを用いた保護プロファイルの例。
【図4】異なるエンティティ間のやりとりのフロー。
【図5】例えばeUICCにIMSIのようなパーソナル化データ(多様化データ)をインストールするための選択肢の1つ。
【図6】例えばeUICCにIMSIのようなパーソナル化データ(多様化データ)をインストールするための選択肢の1つ。
【図7】SCP03tブロックを用いた保護プロファイルの例。
【発明を実施するための形態】
【0037】
図1は、従来技術を説明するために既に示されている。
【0038】
図2は、本発明に係るプロファイルを示している。
【0039】
この図では、最後の2行に見られるように、PE-Application-1という名のPE-Applicationが、プロファイルの終わりの、PE-Endプロファイル要素の直前に見られる。
【0040】
本発明の原理は、正確にはプロファイルの終わりにMNOカスタムデータの上書きを司る小さい専用アプレット(プロファイル要素アプリケーション)を追加することである。
【0041】
PE-Application-1では、アプレットバイトコードが定義され、その後にその多様化データ、例えばIMSI,IMPI又はIMPUなどが続く。
【0042】
その原理は、この多様化データを使用して、全ての依存性ファイル(USIM EF_IMSI,EF_AD,ISIM EF_IMPI,EF_IMPU,EF_AD,...)を含むMNO多様化データを注入することである。
【0043】
事前生成されたプロファイルでは、2つの実装形態が考えられる。すなわち、専用アプレット及びその多様化データが含まれ、デフォルトでは新しいカスタムデータが示されないか、あるいは専用アプレット及びその多様化データが、終わりのプロファイル要素の終わり(PE-End)の直前に挿入されるかである。
【0044】
この図の下方の表に、追加の専用アプレットに関するSIMアライアンスに準拠したプロファイル表現が見られる。
【0045】
アプレット(又はアプリケーション)はバイトコードで構成される。また、PE-Application-1には、インストールパラメータや、例えばAIDが含まれる。これらのデータのサイズは約1KBである。
【0046】
PE-Application-1はまた、多様化データ、とりわけ、例えばeUICCに送信されるIMSIを含む。これはパーソナル化されるデータの数によって数十バイトから数百バイトを示す可能性がある。
【0047】
前述のように、プロファイルはPE-End(9バイト)で終わる。
【0048】
図3は、本発明に係るSCP03tブロックを用いた保護プロファイルの例を表している。
【0049】
この図では、ブロック1~nの全てがSCP03tブロックである。第1のブロックは、ProfileHeaderと、PE-MFの始まりとを含む。第2のブロックは、PE-MFの終わりとPE-PUKCodesとを含む。後続のブロックは図2のプロファイル要素を含み、ブロックn-1はPE-Application-1の始まり及び多様化データを含む。最後のブロック(n)は、PE-Application-1の終わり及び多様化データとPE-Endとを含む。
【0050】
図4は、異なるエンティティ間のやりとりのフローを表している。
【0051】
ここで、MNOは、ステップ41においてプロファイル確保をSM-DPに依頼する。プロファイル確保は、プロファイルタイプ(国際、プリペイド、...)、及びIMSIのような多様化データを含む。
【0052】
前のステップ40において、SM-DPは保護プロファイルを事前生成し、これらをプロビジョンしている。
【0053】
ステップ42において、SM-DPは、対応するプロファイルを在庫として有しているかどうかをICCID(各ICCIDにプロファイルは対応している)によって確認する。
【0054】
ステップ43において、SM-DPはプロファイルを有していることをMNOに通知し、対応するICCIDをパラメータ(照合ID、確認コード、...)と共にMNOに送信する。
【0055】
ステップ44において、次の2つの解決策が考えられる。
1. 40において、SM-DPは、(図1に示されるように)変更することなく事前生成されたプロファイルを格納する。次にSM-DPは、プロファイルの終わりのPE-Endの直前に、PE-Application-1と、受信した多様化データとを追加しなければならない。
2. 40において、SM-DPは、多様化データのためのPE-Application-1をダミーの多様化データと共にその事前生成されたプロファイルにあらかじめ格納する。SM-DPは、ダミーの多様化データを、ステップ41において移動体ネットワークオペレータ(MNO)により受信された多様化データに置き換える。
1. 40において、SM-DPは、(図1に示されるように)変更することなく事前生成されたプロファイルを格納する。次にSM-DPは、プロファイルの終わりのPE-Endの直前に、PE-Application-1と、受信した多様化データとを追加しなければならない。
2. 40において、SM-DPは、多様化データのためのPE-Application-1をダミーの多様化データと共にその事前生成されたプロファイルにあらかじめ格納する。SM-DPは、ダミーの多様化データを、ステップ41において移動体ネットワークオペレータ(MNO)により受信された多様化データに置き換える。
【0056】
多様化データはIMSIに限定されず、UICC、USIM、ISIM、CSIM...のようなテレコムアプリケーションに格納された全ての多様化データであってもよいことに留意すべきである。IMSIカスタマイズの場合、PE-USIMにおいて、フィールドIMSIはダミーであり、アプレットPE-Application-1に置き換えられることになる。
【0057】
SM-DPはまた、プロファイルの最後のSCP03tブロック(又は、必要ならば2つのブロック-これは多様化データの長さ及び最後のSCP03tブロックの長さの問題である)を抽出する。第1の解決策では、保護された事前生成プロファイルは、アプリケーションPE-Application-1及びそのダミーの多様化データをあらかじめ含み、図3において、n-1ブロックがPE-Application-1の始まり及び多様化データを含むため、最後の2つのブロックを抽出するものとする。
【0058】
PE-Application-1及び多様化データとPE-Endとが最後のブロック(n)に含まれる可能性がある場合、最後のSCP03tブロックだけを抽出しなければならない。
【0059】
ステップ45において、最後のブロックは、ステップ46においてSCP03tブロックMACをチェックするHSMに送信される。HSMはブロックを復号し、多様化データ(TLV-タグ・長さ・値)を上書きし、ブロックを暗号化し、新しいMAC(必要であれば複数の新しいMAC)を計算する。
【0060】
ステップ47において、HSMは新しいSCP03tブロックをSM-DPに送信する。
【0061】
ステップ48において、SM-DPは、多様化データを含む最後のブロックを上書きする。
【0062】
ステップ49~51はGSMAにおける標準である(SM-DPは、保護されたプロファイル(全てのSCP03tブロック)をeUICCに送信する)。
【0063】
第2の実装形態では、保護された事前生成プロファイルは、アプリケーションPE-Application-1及びその多様化データを含まない。図7では、最後のブロックはSM-DPによって抽出されるものとされ、SM-DPは、PE-Application-1及びその多様化データを含むPE-Applicationを生成するものとする。ステップ45において、最後のブロック及びPE-Application-1は、ステップ46においてSCP03tブロックMACをチェックするHSMに送信される。HSMはブロックを復号し、多様化データを含むPE-Application-1を挿入し、ブロックを暗号化し、新しいMACを計算する。
【0064】
ステップ47からステップ51までは先の説明と比べて変わりがない。
【0065】
図5は、UICCリフレッシュコマンドと、IMSIのような多様化データをeUICCプロファイルにインストールするアプレットを起動する2つの選択肢とを用いるプロファイル有効化手順を示している。
【0066】
第1の選択肢は、このアプレットが、異なるファイル内、特にEFimsiファイル内の多様化データ(とりわけIMSI)をパーソナル化しなければならない場合にこれをパースするように、SM-DP、ME及びeUICC間の標準的なやりとりの後、ウォームリセット(eUICCの電源が入っている場合のeUICCのみのリセット)の後に、MEからeUICCへの任意のコマンドを使用してアプレット(PE-Application-1)を起動することである。その後、いくつかのやりとりが行われ、IMSIがeUICCによってMEに送信される。
【0067】
第2の選択肢は、(MEとeUICCとの間にブート処理がある場合に使用される)端末プロファイルコマンドを使用することからなる。直前に説明されたのと同じ動作が行われ、IMSIのMEへの送信で終わる。
【0068】
図6は、パーソナル化(多様化)データをインストールするアプレットが端末プロファイルにより起動される、将来のプロファイル状態変更コマンド(この特許出願の出願時には規格化されていなかった)を用いるプロファイル有効化手順を示している。
【0069】
専用アプレットは、その多様化データを用いて、移動装置がeUICCテレコムアプリケーション及びファイルシステムを読み込む前に、標的にされた全てのテレコムアプリケーションファイルを新しいMNOカスタムデータで更新することができる。
【0070】
プロファイルをインストールした後、eUICCは、プロファイルがeUICCにインストールされたことをSM-DPに通知する。そしてユーザ(移動装置ME)はプロファイルを承認する(ステップ「プロファイルを有効化する」)。eUICCは、UICCリセット又はプロファイル状態変更コマンドをMEに送信する。そしてMEは端末応答「OK」で回答し、eUICCと伝統的な起動シーケンスを開始する。
【0071】
別の選択肢は、SCP03tブロックのダウンロード後、直ちにeUICCでeUICCプロファイル内のアプレット多様化データを実行することである。
【0072】
したがって、アプレットはSM-DPにより提供された多様化データを使用し、eUICCで起動されたときに事前生成されたプロファイルのパーソナル化を司る。
【0073】
本発明の主な利点は、多様化データを含む最後のブロックとPE-EndだけがHSMによって再計算可能なものとすることである。主な利益は、保護プロファイルに関連付けられた全てのセキュリティ(SCP03t)の再計算を回避することである。
【0074】
本発明によって、事前生成されたプロファイルをMNOの要求によりオンラインでカスタマイズして、MNO多様化データ及びエンドユーザ多様化データを注入することが可能になる。
【0075】
一部のMNOでは、未使用であるがダウンロードされていないIMSI(又は他の多様化データ)在庫の事前確保の問題が解決される。
【0076】
本発明は、非常に高い計算能力を吸収させる追加のサーバリソースを配置することを回避し、ひいては新たなハードウェア投資をその追加の継続的に必要となるホスティングコストを回避してソリューションコストを大幅に削減することができる。
【0077】
本発明がなければ、HSMは、毎秒64KBのプロファイルを最大6個までカスタマイズすることができる。
【0078】
本発明によって、HSMは、(プロファイルのサイズに関係なく)毎秒最大100個のプロファイルをカスタマイズできるはずである。
【0079】
提案された解決策は、3GPP/GSMA/SIMアライアンスの規格変更を必要とせず、相互運用可能である(アプレットPE-Application-1、プロファイル、eUICC)。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】