特表2023-553950セキュアエレメント内にインストールされたOSをアップデートする方法、対応するシステム、およびセキュアエレメント
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-12-26
(54)【発明の名称】セキュアエレメント内にインストールされたOSをアップデートする方法、対応するシステム、およびセキュアエレメント
(51)【国際特許分類】
G06F 8/65 20180101AFI20231219BHJP
G06F 21/57 20130101ALI20231219BHJP
【FI】
G06F8/65
G06F21/57 320
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023535407
(86)(22)【出願日】2021-12-14
(85)【翻訳文提出日】2023-07-31
(86)【国際出願番号】 EP2021085722
(87)【国際公開番号】W WO2022129068
(87)【国際公開日】2022-06-23
(31)【優先権主張番号】20306620.4
(32)【優先日】2020-12-18
(33)【優先権主張国・地域又は機関】EP
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSMA
(71)【出願人】
【識別番号】521561673
【氏名又は名称】タレス・ディス・フランス・エス・ア・エス
(74)【代理人】
【識別番号】110001173
【氏名又は名称】弁理士法人川口國際特許事務所
(72)【発明者】
【氏名】デュプレ,ジェローム
(72)【発明者】
【氏名】ダオ,フレデリク
(72)【発明者】
【氏名】グリンカ-エッケ,ジェラルド
【テーマコード(参考)】
5B376
【Fターム(参考)】
5B376CA05
5B376CA60
5B376FA01
(57)【要約】
本発明は、SM-DP+と同じES9+インタフェースをエクスポーズするOSアップデートプラットフォーム(104)のおかげで、セキュアエレメント(106)内にインストールされたOS(102)をアップデートする方法に関し、セキュアエレメント(106)は、端末と協働するeUICCまたはiUICCであり、セキュアエレメントおよび端末はデバイス内に備えられ、方法は:セキュアエレメントの製造業者(100)のOSアップデートプラットフォーム(104)内にOSアップデートスクリプト(102)をロードすること;ES9+SM-DP+プロトコルを使用することによって、端末のLPA(105)をOSアップデートプラットフォーム(104)に接続するようにトリガーすること、セキュアエレメント(106)のISD-P(107)内にOSアップデートスクリプト(102)をLPA(105)によってダウンロードし、セキュアエレメント(106)のISD-P(107)内にOSアップデートスクリプト(102)をインストールすること;ISD-P(107)内へのOSアップデートスクリプト(102)のインストレーション後に、LPA(105)を通してOSアップデートプラットフォーム(104)に実行結果をセキュアエレメント(106)によって返すことを含む。
【特許請求の範囲】
【請求項1】
SM-DP+と同じES9+インタフェースをエクスポーズするOSアップデートプラットフォーム(104)のおかげで、セキュアエレメント(106)内にインストールされたOS(102)をアップデートする方法であって、前記セキュアエレメント(106)はeUICCまたはiUICCであり、前記セキュアエレメント(106)は端末と協働し、前記セキュアエレメントおよび前記端末はデバイス内に備えられ、前記セキュアエレメント(106)の製造業者(100)の前記OSアップデートプラットフォーム(104)内にOSアップデートスクリプト(102)をロードすること、
前記OSアップデートプラットフォーム(104)に接続するように、前記端末のLPA(105)をトリガーすることであって、前記接続は、GSMAによって規定されたES9+SM-DP+プロトコルを使用する、こと、
前記セキュアエレメント(106)のISD-P(107)内に前記OSアップデートスクリプト(102)を前記LPA(105)によってダウンロードし、前記セキュアエレメント(106)の前記ISD-P(107)内に前記OSアップデートスクリプト(102)をインストールすることであって、前記インストレーションは、前記OS(102)の前記アップデートをもたらす、こと、
前記OSの前記インストレーションの実行後に、前記LPA(105)を通して前記OSアップデートプラットフォーム(104)に、前記セキュアエレメント(106)によって実行結果を返すこと
を含む、方法。
【請求項2】
方法が、前記端末を備えるデバイスのオリジナル機器製造業者に、OSアップデートスクリプトが利用可能であることを通知することを含む、請求項1に記載の方法。
【請求項3】
前記セキュアエレメント(106)内の前記ISD-P(107)が、前記OSアップデートスクリプト(102)の前記実行後に削除される、請求項1または2に記載の方法。
【請求項4】
前記セキュアエレメントが、前記ISD-P(107)が削除されない場合にISD-P(107)がイネーブルされることを禁止する、請求項1または2に記載の方法。
【請求項5】
前記OSアップデートスクリプトのローディングが、前記セキュアエレメント(106)の特徴に応じて、動的生成の幾つかのステップを含む、請求項1から4のいずれか一項に記載の方法。
【請求項6】
前記OSアップデートスクリプトが、前記OSアップデートスクリプト(102)のインストレーションおよび実行を可能にする1つ以上のPE-非標準コマンドを含む、請求項1から4のいずれか一項に記載の方法。
【請求項7】
PE-非標準のコンテンツが、それ自体暗号化される、請求項4に記載の方法。
【請求項8】
SM-DP+と同じES9+インタフェースをエクスポーズするOSアップデートプラットフォーム(104)を備えるシステムであって、端末と協働するセキュアエレメント(106)を備え、前記セキュアエレメント(106)および前記端末はデバイス内に備えられ、前記セキュアエレメント(106)は、前記セキュアエレメント(106)の製造業者(100)のOSアップデートプラットフォームのOSアップデートスクリプトを受信すると、OSをアップデートすることができ、前記端末はLPA(105)を備え、前記LPA(105)は、GSMAによって規定されたES9+SM-DP+プロトコルを使用することによって、前記OSアップデートプラットフォームに接続するようにトリガーされ、
前記LPA(105)は、前記セキュアエレメント(106)のISD-P内に前記OSアップデートスクリプトをダウンロードし、前記セキュアエレメント(106)のISD-P内に前記OSアップデートスクリプトをインストールし、前記インストレーションは、前記OS(102)のアップデートをもたらし、
前記OSの前記アップデートの前記インストレーションの実行後に、前記セキュアエレメント(106)は、前記LPA(105)を通して前記OSアップデートプラットフォームに実行結果を返す、システム。
【請求項9】
端末と協働するセキュアエレメント(106)であって、前記セキュアエレメント(106)および前記端末はデバイス内に備えられ、前記セキュアエレメント(106)は、前記セキュアエレメント(106)の製造業者のOSアップデートプラットフォーム(104)のOSアップデートスクリプトを受信すると、OSをアップデートすることができ、前記端末はLPA(105)を備え、前記LPA(105)は、GSMAによって規定されたES9+SM-DP+プロトコルを使用することによって、前記OSアップデートプラットフォーム(104)に接続するようにトリガーされ、
前記LPA(105)は、前記セキュアエレメント(106)のISD-P(107)内に前記OSアップデートスクリプトをダウンロードし、前記セキュアエレメント(106)の前記ISD-P(107)内に前記OSアップデートスクリプトをインストールし、前記インストレーションは、前記OS(102)のアップデートをもたらし、
前記OSの前記アップデートの前記インストレーションの実行後に、前記セキュアエレメント(106)は、前記LPA(105)を通して前記OSアップデートプラットフォーム(104)に実行結果を返す、セキュアエレメント(106)。
【請求項10】
セキュアエレメント(106)が、eUICCまたはiUICCである、請求項9に記載のセキュアエレメント(106)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、eSIMのようなコンシューマ向け統合型セキュアエレメント(eUICCとも呼ばれる埋め込み型UICCまたはiUICCとも呼ばれる統合型UICC)、および、コンシューマ向け製品(タブレット、スマートフォン、PDA、テレマティクス(コンピュータ化情報の長距離伝送を扱う情報技術の分野)・・・)のために、特に、それらのOS(オペレーティングシステム(operating system))にパッチを当てるために、そのような統合型セキュアエレメントを管理するサーバーに関する。本発明は、セルラーネットワーク(3G(UMTS)、4Gネットワーク(LTE)、または5Gネットワーク)に適用可能である。本発明は、特に自動車システムに適用される。
【背景技術】
【0002】
SM-SRプラットフォームを通してセキュアエレメント上でオペレーティングシステムに透過的にパッチを当てることが可能であることが特許出願WO2020/201313から知られている。
【0003】
この特許出願において、SM-DPプラットフォームは、端末に埋め込まれたセキュアエレメント上でオペレーティングシステムにパッチを当てる。
【0004】
提案される方法は:
i- セキュアエレメント上でISD-Pを作成する指令を、SM-DPプラットフォームからSM-SRに送信するステップ;
ii- SM-DPプラットフォームとISD-Pまたはセキュアエレメントとの間にセキュアチャネルを確立するステップ;
iii- SM-SRからセキュアエレメントにオペレーティグシステムのパッチを送信するステップ;
iv- オペレーティグシステムのパッチをISD-P内で実行するステップ;
v- セキュアエレメントからSM-DPプラットフォームに、パッチの実行の結果をSM-DPプラットフォームに通知するメッセージを送出するステップ
を含む。
i- セキュアエレメント上でISD-Pを作成する指令を、SM-DPプラットフォームからSM-SRに送信するステップ;
ii- SM-DPプラットフォームとISD-Pまたはセキュアエレメントとの間にセキュアチャネルを確立するステップ;
iii- SM-SRからセキュアエレメントにオペレーティグシステムのパッチを送信するステップ;
iv- オペレーティグシステムのパッチをISD-P内で実行するステップ;
v- セキュアエレメントからSM-DPプラットフォームに、パッチの実行の結果をSM-DPプラットフォームに通知するメッセージを送出するステップ
を含む。
【0005】
GSMA準拠eUICCまたはiUICC(以下の説明におけるセキュアエレメントまたはeSIM)は、デバイスにはんだ付けされ、現場でデプロイされる。それは、明確に定義されたOTAプラットフォーム(SM-SR/SM-DP)のセットによって管理される。SM-SRはサブスクリプションマネージャセキュアルーティング(Subscription Manager Secure Routing)プラットフォームであり、SM-DPはサブスクリプションマネージャデータプリペアレーション(Subscription Manager Data Preparation)プラットフォームである。SM-DPは、SM-SRを通したセキュアエレメント内へのオーバー・ジ・エアインストレーションの準備ができているオペレータプロファイル(プロファイルは、ファイルシステム、アプリケーション、および証明書のセットである)をセキュアに暗号化するためにオペレータが使用するエンティティである。
【0006】
SM-SRは、暗号化されたオペレータプロファイルをセキュアエレメントにセキュアに送達し、次いで、ひとたびプロファイルがインストールされると、セキュアエレメントを、それ以降、遠隔で管理する(製品寿命中に必要に応じて、イネーブルする、ディセーブルする、および削除する)。
【0007】
オペレーティングシステムおよびセキュアエレメントのコンテンツのメンテナンスは、OTA(オーバー・ジ・エア(Over the Air))またはインターネット接続性を必要とする。しかし、オペレーティングシステムメンテナンスコマンドを適用することは、コマンドをeSIMに送出することを許可されることになるデバイス上にインストールされた特定のアプリケーションを必要とする。
【0008】
GSMA eSIM仕様は、セキュアエレメントOSにパッチを当てるために、EUM(セキュアエレメント製造業者(secure element manufacturer))がプロプライエタリなコマンドを使用することを許可するが、EUMは、一般に、上記の識別されたプラットフォーム(SM-SR/SM-DP)のうちの1つを所有せず、識別されたプラットフォームは、それらのスコープ内でOSパッチの管理を有さない。
【0009】
WO2020/201313に記載される解決策を使用することは、M2Mセキュアエレメントについて実現される可能性があるが、異なるアーキテクチャ(SM-SRなし、ISD-Pへの直接アクセスなし、任意のAPDUを実行する可能性なし)は、それをコンシューマ向けセキュアエレメントに適用可能にさせない。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】国際公開第2020/201313号
【発明の概要】
【発明が解決しようとする課題】
【0011】
したがって、本発明の範囲は、SM-SRを使用することなく、コンシューマ向けセキュアエレメントのOSにパッチを当てる解決策を提案することである。
【課題を解決するための手段】
【0012】
この点に関して、本発明は、SM-DP+と同じES9+インタフェースをエクスポーズするOSアップデートプラットフォームのおかげで、セキュアエレメント内にインストールされたOSをアップデートする方法を提案し、セキュアエレメントは端末と協働するeUICCまたはiUICCであり、セキュアエレメントおよび端末はデバイス内に備えられ、方法は:
- セキュアエレメント製造業者のOSアップデートプラットフォーム内にOSアップデートスクリプトをロードすること;
- ES9+SM-DP+プロトコルを使用することによって、OSアップデートプラットフォームに接続するように、端末のLPAをトリガーすること;
- セキュアエレメントのISD-P内にOSアップデートスクリプトをLPAによってダウンロードし、セキュアエレメントのISD-P内にOSアップデートスクリプトをインストールすること;
- ISD-P内へのOSアップデートスクリプトのインストレーション後に、LPAを通してOSアップデートプラットフォームに、セキュアエレメントによって実行結果を返すこと
を含む。
- セキュアエレメント製造業者のOSアップデートプラットフォーム内にOSアップデートスクリプトをロードすること;
- ES9+SM-DP+プロトコルを使用することによって、OSアップデートプラットフォームに接続するように、端末のLPAをトリガーすること;
- セキュアエレメントのISD-P内にOSアップデートスクリプトをLPAによってダウンロードし、セキュアエレメントのISD-P内にOSアップデートスクリプトをインストールすること;
- ISD-P内へのOSアップデートスクリプトのインストレーション後に、LPAを通してOSアップデートプラットフォームに、セキュアエレメントによって実行結果を返すこと
を含む。
【0013】
好ましくは、方法は、端末を備えるデバイスのオリジナル機器製造業者(original equipment manufacturer)に、OSアップデートスクリプトが利用可能であることを通知することを含む。
【0014】
有利には、セキュアエレメント内のISD-Pは、OSアップデートスクリプトの実行後に削除される。
【0015】
有利には、セキュアエレメントは、ISD-Pが削除されない場合にISD-Pがイネーブルされることを禁止する。
【0016】
好ましくは、OSアップデートスクリプトのローディングは、セキュアエレメントの特徴に応じて、スクリプトコマンドの動的生成の幾つかのステップを含む。
【0017】
有利には、OSアップデートスクリプトは、OSアップデートスクリプトのインストレーションおよび実行を可能にする1つ以上のPE-非標準コマンドを含む。
【0018】
好ましくは、PE-非標準のコンテンツは、それ自体暗号化される。
【0019】
本発明は、SM-DP+と同じES9+インタフェースをエクスポーズするOSアップデートプラットフォームを備えるシステムにも関し、システムは、端末と協働するセキュアエレメントを備え、セキュアエレメントおよび端末はデバイス内に備えられ、セキュアエレメントは、セキュアエレメントのセキュアエレメント製造業者のOSアップデートプラットフォームのOSアップデートスクリプトを受信すると、OSをアップデートすることができ、端末はLPAを備え:
- LPAは、ES9+SM-DP+プロトコルを使用することによって、OSアップデートプラットフォームに接続するようにトリガーされ;
- LPAは、セキュアエレメントのISD-P内にOSアップデートスクリプトをダウンロードし、セキュアエレメントのISD-P内にOSアップデートスクリプトをインストールし;
- ISD-P内へのOSアップデートスクリプトのインストレーション後に、セキュアエレメントは、LPAを通してOSアップデートプラットフォームに実行結果を返す。
- LPAは、ES9+SM-DP+プロトコルを使用することによって、OSアップデートプラットフォームに接続するようにトリガーされ;
- LPAは、セキュアエレメントのISD-P内にOSアップデートスクリプトをダウンロードし、セキュアエレメントのISD-P内にOSアップデートスクリプトをインストールし;
- ISD-P内へのOSアップデートスクリプトのインストレーション後に、セキュアエレメントは、LPAを通してOSアップデートプラットフォームに実行結果を返す。
【0020】
本発明は、端末と協働するセキュアエレメントにも関し、セキュアエレメントおよび端末はデバイス内に備えられ、セキュアエレメントは、セキュアエレメントのセキュアエレメント製造業者のOSアップデートプラットフォームのOSアップデートスクリプトを受信すると、OSスクリプトをアップデートすることができ、端末はLPAを備え:
- LPAは、ES9+SM-DP+プロトコルを使用することによって、OSアップデートプラットフォームに接続するようにトリガーされ;
- LPAは、セキュアエレメントのISD-P内にOSアップデートスクリプトをダウンロードし、セキュアエレメントのISD-P内にOSアップデートスクリプトをインストールし;
- ISD-P内へのOSアップデートスクリプトのインストレーション後に、セキュアエレメントは、LPAを通してOSアップデートプラットフォームに実行結果を返す。
- LPAは、ES9+SM-DP+プロトコルを使用することによって、OSアップデートプラットフォームに接続するようにトリガーされ;
- LPAは、セキュアエレメントのISD-P内にOSアップデートスクリプトをダウンロードし、セキュアエレメントのISD-P内にOSアップデートスクリプトをインストールし;
- ISD-P内へのOSアップデートスクリプトのインストレーション後に、セキュアエレメントは、LPAを通してOSアップデートプラットフォームに実行結果を返す。
【0021】
セキュアエレメントはeUICCまたはiUICCとすることができる。
【図面の簡単な説明】
【0022】
【図1】幾つかのエレメントを示す図である。
【発明を実施するための形態】
【0023】
本発明の他の詳細および利点は、例証として示され、制限として示されない本発明の有利な実施形態を読み、本発明による好ましい方法を示す添付されたただ一つの図を参照すると明らかになるであろう。
【0024】
この図1において、幾つかのエレメントが示される:
- 署名付きトークン(例えばEUM証明書として知られる署名付きトークン)を有するスクリプトプラットフォーム104(OSアップデートプラットフォームとも呼ばれる)のメモリに記憶されるOSアップデートスクリプトを生成するEUM100。EUM100は、OEMデバイス101メーカ、例えば、ユーザ103の車両に統合されたタブレットの製造業者または自動車メーカとも協働する。
- デバイス自体のLPA105;
- デバイスは、eUICCまたはiUICCのようなセキュアエレメント106を備える;
- セキュアエレメント106は、OSアップデートスクリプト(その作成は以下で説明される)のためのISD-P(セキュアドメイン)107、ISDP-MNO108(モバイルネットワークオペレータプロファイルをホストするために作成されるISD-P)、およびISD-R109(イシュアセキュリティドメイン-ルート)も備える。セキュアエレメント106は、OSアップデートスクリプトのためのISD-P107を備え、このISD-P107は、セキュアエレメント106内に新OSアップデートスクリプトをインストールするために専用のプログラムまたはスクリプトを処理することができる。
- セキュアエレメント内に慣行に従って統合されたMNOファイルおよびアプリケーションレパートリー111;
- セキュアエレメント106は、オペレーティングシステム115も備え、後者は:
・ OSアップデートスクリプトおよびそのシグネチャのバージョンを検証するために;
・ OSアップデートスクリプトを実行するために;
・ QC(品質管理(Quality Control)スクリプト実行のために;
・ OSアップデートスクリプトのインストレーション中に何か悪いことが起こると、OSアップデートスクリプトのインストレーションを取り消すことが意図されるロールバック管理のために;
・ OSアップデートスクリプトが正しくインストールされたか否かをスクリプトプラットフォーム104に通知するための結果管理のために
想定された、OSアップデートスクリプト管理システム113を備える。
- および、最後に、以降で説明するような、スクリプトプラットフォーム104によってセキュアエレメント106にインストールされるOSアップデートスクリプト114。
- 署名付きトークン(例えばEUM証明書として知られる署名付きトークン)を有するスクリプトプラットフォーム104(OSアップデートプラットフォームとも呼ばれる)のメモリに記憶されるOSアップデートスクリプトを生成するEUM100。EUM100は、OEMデバイス101メーカ、例えば、ユーザ103の車両に統合されたタブレットの製造業者または自動車メーカとも協働する。
- デバイス自体のLPA105;
- デバイスは、eUICCまたはiUICCのようなセキュアエレメント106を備える;
- セキュアエレメント106は、OSアップデートスクリプト(その作成は以下で説明される)のためのISD-P(セキュアドメイン)107、ISDP-MNO108(モバイルネットワークオペレータプロファイルをホストするために作成されるISD-P)、およびISD-R109(イシュアセキュリティドメイン-ルート)も備える。セキュアエレメント106は、OSアップデートスクリプトのためのISD-P107を備え、このISD-P107は、セキュアエレメント106内に新OSアップデートスクリプトをインストールするために専用のプログラムまたはスクリプトを処理することができる。
- セキュアエレメント内に慣行に従って統合されたMNOファイルおよびアプリケーションレパートリー111;
- セキュアエレメント106は、オペレーティングシステム115も備え、後者は:
・ OSアップデートスクリプトおよびそのシグネチャのバージョンを検証するために;
・ OSアップデートスクリプトを実行するために;
・ QC(品質管理(Quality Control)スクリプト実行のために;
・ OSアップデートスクリプトのインストレーション中に何か悪いことが起こると、OSアップデートスクリプトのインストレーションを取り消すことが意図されるロールバック管理のために;
・ OSアップデートスクリプトが正しくインストールされたか否かをスクリプトプラットフォーム104に通知するための結果管理のために
想定された、OSアップデートスクリプト管理システム113を備える。
- および、最後に、以降で説明するような、スクリプトプラットフォーム104によってセキュアエレメント106にインストールされるOSアップデートスクリプト114。
【0025】
スクリプトプラットフォーム104は、LPA105に対するおよびEUM100に対するそのインタフェースにおいて標準的なSM-DP+のように振る舞う。
【0026】
これらの異なるデバイスが説明されたが、本発明を実現するための好ましい方法がここで説明される。
【0027】
EUM100またはサービスプロバイダーが、アップデートスクリプト(パッチ)をターゲットセキュアエレメント106に送出することに決めると、ステップは、示すように次の通りである:
【0028】
ステップ1において、EUM100は、OSアップデートスクリプト、および任意選択で、署名付きトークンをスクリプトプラットフォーム104に送出する。同時に(ステップ1)、EUM100は、OSアップデートスクリプトが利用可能であることをOEMデバイスメーカー101に通知する。
【0029】
同じステップ1において、EUM100、OEM、またはセキュアエレメントオーナー100、あるいは、セキュアエレメント106上でのOSアップデートスクリプトのインストレーションを要求する権利を有するサービスプロバイダーまたはMNOは、このセキュアエレメント106上にアップデートスクリプトをインストールするようスクリプトプラットフォーム104に要求する。
【0030】
このセキュアエレメントは、識別されたセキュアエレメント、またはアップデートされるセキュアエレメントのバッチとすることができる。
【0031】
ステップ2において、エンドユーザにアクセスできる、EUM、OEMデバイスメーカー、またはMNOは、次いで、OSアップデートスクリプトが利用可能であることをユーザ103に(電子メール、SMS、プッシュサービス・・・を通して)通知することができる(任意のステップ)。エンドユーザ103は、こうして、エンドユーザ103が操作を実施するよう勧められていることを通知される。
【0032】
ユーザ103は、次いで、アップデートスクリプトのインストレーションを認可する(またはしない)ことができる(ステップ3)。このステップは、例えば、ユーザ103がOSのアップデートを得ることを以前に受諾した場合、ユーザ103にとって透過的とすることができる。エンドユーザは、スクリプトプラットフォーム104(通常のSM-DP+として見られる)へのLPA105の(ES9+接続を通した)接続をトリガーするジェスチャ(LPAにおける特定のメニュー;QRコード(登録商標)をフラッシュする;リンク上をクリックする;・・・のうちのいずれかとすることができる)を実施することができる。
【0033】
EUM、MNO、またはOEMは、スクリプトプラットフォーム104へのLPA105の(ES9+接続を通した)接続を直接トリガーすることもできる。
【0034】
OSアップデートプラットフォーム104(図において「スクリプトプラットフォーム(script platform)」と名付けられる)は、LPA105を用いて、SM-DP+と同じES9+インタフェースをエクスポーズする。
【0035】
ステップ4および5において、LPAは、ES9+SM-DP+プロトコルを使用してスクリプトプラットフォームに接続し、スクリプトプラットフォームは、ISD-P107を作成するように要求する(ES3.CreateISDP)。
【0036】
ステップ6において、LPA105は、セキュアエレメントのISD-P107内にOSアップデートスクリプトをダウンロードする。提案される解決策において、LPAはメッセージを中継するだけである。
【0037】
スクリプトプラットフォーム104は、次いで(ユーザ103のステップ7におけるオプションの合意後に)、LPA105を通して、セキュアエレメント106上のISD-P107とのISD-Pキー確立を実施する。これは、スクリプトプラットフォーム104によってのみ知られているSCP03キーセット(またはSCP03t)を生成する。
【0038】
このキーセットは、SCP03またはSCP03tスクリプトをセキュアにするために使用され得る。
【0039】
スクリプトプラットフォーム104は、次いで、OSアップデートスクリプトを生成またはフォーマットし、1つ以上の署名付きトークンをOSアップデートスクリプトに追加し、SCP03またはSCP03tを使用してOSアップデートスクリプトをセキュアにする(スクリプトまたは署名付きトークンの以下の説明参照)。OSアップデートスクリプトは、前もって、SCP03/SCP03tを用いて同様にセキュアにされ得る。
【0040】
ステップ8において、スクリプトプラットフォーム104は、ES9+プロコトルを使用してLPA105に、セキュアにされたスクリプトを送出する。
【0041】
ステップ9aにおいて、スクリプトプラットフォーム104は、ES8+プロトコルを使用してセキュアエレメント106にOSアップデートスクリプトを送出する。このスクリプトは、ISD-P107によって受信され、OSシステム115に送出され、OSシステム115は、OSパッチ114内にパッチ110をインストールするよう命令する(ステップ9b)。セキュアエレメントのOSは、次いでアップデートされる。
【0042】
ステップ10において、スクリプトストレージの実行またはスクリプト実行後に、セキュアエレメント106は、実行結果をLPA105に返し、LPA105は、それをスクリプトプラットフォーム104に転送する。これは、ES8+プロトコルを使用することによっても行われる。
【0043】
ステップ11において、即座に実行された場合、スクリプトを実行した後、eSIMは、ISD-P107を自動的に削除することができる。これは、LPAおよびユーザ103に透過的である。
【0044】
代替的に、セキュアエレメントは、このISD-P107が削除されない場合、ISD-P107がイネーブルされることを禁止する。
【0045】
OSアップデートスクリプトは:
- SCP03t内で連結されセキュアにされたプロプライエタリなコマンド。この場合、第1のコマンドは、SIMAllianceプロファイルパッケージプロファイルヘッダの代わりにスクリプト(例えば、「InstallOSPatch」)の性質を示すプロプライエタリなコマンドである、または、
- プロプライエタリなコマンドをそれ自体含むことになるプロプライエタリなEFを含む、SCP03t内でセキュアにされた通常のSIMAllianceプロファイルパッケージ(コンシューマ向けeUICCアーキテクチャにおいて、スクリプトは、スクリプトプラットフォーム/SM-DP+がeUICCにAPDUを送出することができないため、SCP03によってセキュアにされたプロプライエタリなAPDUとすることができない。これは、WO2020/201313によって記載される解決策が直接適用可能でない理由の1つである);
- SCP03を使用してセキュアにされた、通常のAPDU、加えて任意選択でプロプライエタリなAPDU、または、
- プロプライエタリなコマンドをそれ自体含むことになるPE非標準を含む、SCP03tを用いてセキュアにされた通常のSIMAllianceプロファイルパッケージ
のいずれかからなり得る。
- SCP03t内で連結されセキュアにされたプロプライエタリなコマンド。この場合、第1のコマンドは、SIMAllianceプロファイルパッケージプロファイルヘッダの代わりにスクリプト(例えば、「InstallOSPatch」)の性質を示すプロプライエタリなコマンドである、または、
- プロプライエタリなコマンドをそれ自体含むことになるプロプライエタリなEFを含む、SCP03t内でセキュアにされた通常のSIMAllianceプロファイルパッケージ(コンシューマ向けeUICCアーキテクチャにおいて、スクリプトは、スクリプトプラットフォーム/SM-DP+がeUICCにAPDUを送出することができないため、SCP03によってセキュアにされたプロプライエタリなAPDUとすることができない。これは、WO2020/201313によって記載される解決策が直接適用可能でない理由の1つである);
- SCP03を使用してセキュアにされた、通常のAPDU、加えて任意選択でプロプライエタリなAPDU、または、
- プロプライエタリなコマンドをそれ自体含むことになるPE非標準を含む、SCP03tを用いてセキュアにされた通常のSIMAllianceプロファイルパッケージ
のいずれかからなり得る。
【0046】
全ての場合に、スクリプトは、スクリプトが正しく実行/記憶されることをチェックできるようにする品質管理(QC)の少数の命令を最後に含むことができる。
【0047】
PE非標準のコンテンツは、それ自体暗号化され得る。
【0048】
好ましくは、端末を備えるデバイスのオリジナル機器製造業者は、OSアップデートスクリプトが利用可能であることを通知される。このオリジナル機器製造業者は、車両またはスマートフォンのモデムの製造業者とすることができる。そのため、車両製造業者のサーバーまたはスマートフォン上にOSパッチをインストールすることが可能である。これらのオリジナル機器製造業者は、次いで、彼らの機器内にOSパッチをインストールしたいか否かを決めることができる。
【0049】
本発明は、SM-DP+と同じES9+インタフェースをエクスポーズするOSアップデートプラットフォームを備えるシステムにも関し、システムは、端末と協働するセキュアエレメントを備え、セキュアエレメントおよび端末はデバイス内に備えられ、セキュアエレメントは、セキュアエレメントのセキュアエレメント製造業者のOSアップデートプラットフォームのOSアップデートスクリプトを受信すると、OSスクリプトをアップデートすることができ、端末はLPAを備え:
- LPAは、ES9+SM-DP+プロトコルを使用することによって、OSアップデートプラットフォームに接続するようにトリガーされ;
- LPAは、セキュアエレメントのISD-P内にOSアップデートスクリプトをダウンロードし、セキュアエレメントのISD-P内にOSアップデートスクリプトをインストールし;
- ISD-P内へのOSアップデートスクリプトのインストレーション後に、セキュアエレメントは、LPAを通してOSアップデートプラットフォームに実行結果を返す。
- LPAは、ES9+SM-DP+プロトコルを使用することによって、OSアップデートプラットフォームに接続するようにトリガーされ;
- LPAは、セキュアエレメントのISD-P内にOSアップデートスクリプトをダウンロードし、セキュアエレメントのISD-P内にOSアップデートスクリプトをインストールし;
- ISD-P内へのOSアップデートスクリプトのインストレーション後に、セキュアエレメントは、LPAを通してOSアップデートプラットフォームに実行結果を返す。
【0050】
本発明は、端末と協働するセキュアエレメントにも関し、セキュアエレメントおよび端末はデバイス内に備えられ、セキュアエレメントは、セキュアエレメントのセキュアエレメント製造業者のOSアップデートプラットフォームのOSアップデートスクリプトを受信すると、OSスクリプトをアップデートすることができ、端末はLPAを備え:
- LPAは、ES9+SM-DP+プロトコルを使用することによって、OSアップデートプラットフォームに接続するようにトリガーされ;
- LPAは、セキュアエレメントのISD-P内にOSアップデートスクリプトをダウンロードし、セキュアエレメントのISD-P内にOSアップデートスクリプトをインストールし;
- ISD-P内へのOSアップデートスクリプトのインストレーション後に、セキュアエレメントは、LPAを通してOSアップデートプラットフォームに実行結果を返す。
- LPAは、ES9+SM-DP+プロトコルを使用することによって、OSアップデートプラットフォームに接続するようにトリガーされ;
- LPAは、セキュアエレメントのISD-P内にOSアップデートスクリプトをダウンロードし、セキュアエレメントのISD-P内にOSアップデートスクリプトをインストールし;
- ISD-P内へのOSアップデートスクリプトのインストレーション後に、セキュアエレメントは、LPAを通してOSアップデートプラットフォームに実行結果を返す。
【0051】
これは、セキュアエレメント内にインストールされたアプレットのおかげで行われる。
【0052】
署名付きトークンに関して、スクリプトプラットフォーム104は、スクリプトに署名付きトークンを挿入することができる。これは、以下で説明するように、1つ以上のアクターによってスクリプトが認可されたことをセキュアエレメントが検証できるようにすることになる:
- 1つのトークンは、セキュリティ認証を受けたスクリプトのみが実行されることを保証するために、コンプライアンスを検証した後にだけDLOA(デジタル承認状(Digital Letter of Approval))を送達する認証局によって発行されたDLOAとすることができ、DLOAはeSIMのECASDに記憶された認証局のPKによって検証され得る;
- 1つのトークンは、EUMシステムによって生成されるスクリプトのみが実行されることを保証するために、EUMによってのみ知られている共有キーまたはキーペアを使用するシグニチャとすることができ、シグニチャは、例えば、EUMによって知られているEUMのSK.EUM.ECDSAまたはSK.ECASD.ECDSAによって署名され、eSIMのECASDに記憶された対応するPKを用いて検証され得る;
- 1つのトークンは、関与するMNOによって承認されたスクリプトのみが実行されることを保証するために、このセキュアエレメント上にインストールされたプロファイルを所有するMNOのそれぞれによって多重に署名され得、各ISD-Pまたは各プロファイル内のよく知られているキーセットバージョン番号およびキーインデックスに記憶された対応するPKを使用して検証され得る;
- 1つのトークンは、知られている第三者のみがeSIMのOSに影響を及ぼすことができることを保証するために、スクリプトがサービスプロバイダーによって生成された場合、第三者のキーによって署名され得、ECASDにまたはサービスプロバイダーのセキュリティドメインに記憶されたキーを使用して検証され得る。
- 1つのトークンは、セキュリティ認証を受けたスクリプトのみが実行されることを保証するために、コンプライアンスを検証した後にだけDLOA(デジタル承認状(Digital Letter of Approval))を送達する認証局によって発行されたDLOAとすることができ、DLOAはeSIMのECASDに記憶された認証局のPKによって検証され得る;
- 1つのトークンは、EUMシステムによって生成されるスクリプトのみが実行されることを保証するために、EUMによってのみ知られている共有キーまたはキーペアを使用するシグニチャとすることができ、シグニチャは、例えば、EUMによって知られているEUMのSK.EUM.ECDSAまたはSK.ECASD.ECDSAによって署名され、eSIMのECASDに記憶された対応するPKを用いて検証され得る;
- 1つのトークンは、関与するMNOによって承認されたスクリプトのみが実行されることを保証するために、このセキュアエレメント上にインストールされたプロファイルを所有するMNOのそれぞれによって多重に署名され得、各ISD-Pまたは各プロファイル内のよく知られているキーセットバージョン番号およびキーインデックスに記憶された対応するPKを使用して検証され得る;
- 1つのトークンは、知られている第三者のみがeSIMのOSに影響を及ぼすことができることを保証するために、スクリプトがサービスプロバイダーによって生成された場合、第三者のキーによって署名され得、ECASDにまたはサービスプロバイダーのセキュリティドメインに記憶されたキーを使用して検証され得る。
【0053】
さらなる制御が使用される可能性もある:
- eSIM106は、「一般的相互認証(common mutual authentication)」のために使用されるかまたは「プロファイルバインディング(profile binding)」のために使用されるスクリプトプラットフォーム104証明書が、よく知られており許可されたスクリプトプラットフォーム104を識別することをチェックすることができる(例えば、プラットフォームの証明書のOIDをチェックすることによって);
- OSスクリプトは、OSバージョンを指定することができ、eSIM106は、バージョンがその現在のステータスに一致することをチェックし、一致しない場合、スクリプトを拒否することになる。
- eSIM106は、「一般的相互認証(common mutual authentication)」のために使用されるかまたは「プロファイルバインディング(profile binding)」のために使用されるスクリプトプラットフォーム104証明書が、よく知られており許可されたスクリプトプラットフォーム104を識別することをチェックすることができる(例えば、プラットフォームの証明書のOIDをチェックすることによって);
- OSスクリプトは、OSバージョンを指定することができ、eSIM106は、バージョンがその現在のステータスに一致することをチェックし、一致しない場合、スクリプトを拒否することになる。
【0054】
ユーザ体験を簡略化するために、スクリプトプラットフォーム104またはパッチングをトリガーすることを欲するアクターは、SM-DSまたはプッシュサービスまたはRPM(リモートプロファイル管理(Remote Profile Management))に基づくメカニズムを使用して、スクリプトのダウンロードおよび実行を動的にトリガーすることができる。これは、SM-DS(サブスクリプションマネジャーディスカバリーサーバー(Subscription Manager Discovery Server))へのコールによってステップ2および3を置換することを意味することになる。
【0055】
透過性を目的として、スクリプトプラットフォーム104は、プロファイル(実際には、OSパッチスクリプト)がテストプロファイルであると、プロファイルメタデータ内でマーク付けすることができる。この場合、特に、ステップ4にリンクすると、インストレーションおよび削除は、LPA内で「プロファイル(Profile)」を通常のプロファイルとして示すリスクをとることなく、サイレントに行われ得る。
【0056】
上記で説明したシーケンスにおいて、LPA105は、プロプライエタリな特徴を全く必要としない。LPA105は、SM-DP+と相互作用することができるとすぐに、スクリプトプラットフォーム104と透過的に相互作用することができる。
【0057】
その意図は、パッチ実行をユーザから隠蔽することではなく、パッチのデプロイメントをデバイス側での特定の開発なしで可能にすることである。
【0058】
特定の開発は、インストレーションを、エンドユーザにとって完全に透過的にするために(OSの自動メンテナンス、またはデバイスOSアップデートと共に実施される自動OSアップデート)、または、パッチプロセスの、よりユーザフレンドリなユーザインタフェースレンダリングを提供するために、デバイス内で(特に、LPA105内で)依然として実施され得る。
【0059】
パッチスクリプトをプロファイルスクリプトとみなすことをSM-DP+が受諾する限り、任意のSM-DP+を介してEUMパッチをダウンロードし、パッチスクリプトを送達まで記憶することも可能である。
【0060】
本発明は、コンシューマ向けeUICC:SGP.22のためのGSMA eSIM仕様RSPに適用される。
【図1】
【国際調査報告】