知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-12-05
(54)【発明の名称】加入者識別番号モジュールのデジタル生産
(51)【国際特許分類】
H04W 8/20 20090101AFI20241128BHJP
H04W 12/42 20210101ALI20241128BHJP
H04W 12/069 20210101ALI20241128BHJP
【FI】
H04W8/20
H04W12/42
H04W12/069
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2024533841
(86)(22)【出願日】2022-12-11
(85)【翻訳文提出日】2024-07-30
(86)【国際出願番号】 IB2022062030
(87)【国際公開番号】W WO2023105496
(87)【国際公開日】2023-06-15
(31)【優先権主張番号】63/288,611
(32)【優先日】2021-12-12
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】316005926
【氏名又は名称】ソニーセミコンダクタソリューションズ株式会社
(74)【代理人】
【識別番号】110003339
【氏名又は名称】弁理士法人南青山国際特許事務所
(72)【発明者】
【氏名】シャラガ アビシャイ
(72)【発明者】
【氏名】セメル ラビ
(72)【発明者】
【氏名】ベン シモン エウダ
(72)【発明者】
【氏名】マリンチェンコ オレッグ
(72)【発明者】
【氏名】タミル カルミット
(72)【発明者】
【氏名】ボットビン オメル
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA21
5K067BB21
5K067EE02
5K067EE16
5K067FF01
5K067HH21
(57)【要約】
エッジデバイス(44)は、メモリ(94)と回路(90)を含む。回路は、エッジデバイスの加入者識別モジュール(SIM)として機能することを含み、SIMに割り当てられたセキュリティクレデンシャルにより事前構成され、通信ネットワークを介して、又は代替通信チャネルを介して、SIM-blobの少なくとも一部を受信し、一部は、SIMを操作するためのSIMオペレーティングシステム(SIM-OS)の少なくともパーツを含み、SIM-blobをメモリに格納し、セキュリティクレデンシャルを使用してSIM-OSをプロビジョニングし、SIM-OSを使用してエッジデバイスのSIMタスクを実行する。
【選択図】図2
【選択図】図2
【特許請求の範囲】
【請求項1】
メモリと、回路と
を含み、
前記回路は、
エッジデバイスの加入者識別モジュール(SIM)として機能することを含む、通信ネットワークを介して、通信し、
前記SIMに割り当てられたセキュリティクレデンシャルにより事前構成され、
前記通信ネットワークを介して、又は代替通信チャネルを介して、前記SIMを操作させるためのSIMオペレーティングシステム(SIM-OS)の少なくともパーツを含むSIM-blobの少なくとも一部を受信して、前記SIM-blobをメモリに格納し、
前記セキュリティクレデンシャルを使用して、前記SIM-OSをプロビジョニングし、
前記SIM-OSを使用して、前記エッジデバイスのSIMタスクを実行するように構成される、エッジデバイス。
【請求項2】
前記通信ネットワークを介して、又は前記代替チャネルを介して、受信された前記SIM-blobの前記一部は、前記SIMに関連するネットワークオペレータのプロファイルをさらに含む、請求項1に記載のエッジデバイス。
【請求項3】
前記通信ネットワークを介して、又は前記代替チャネルを介して、受信された前記SIM-blobの前記一部は、前記プロファイルの後の変更のための証明書をさらに含む、請求項2に記載のエッジデバイス。
【請求項4】
前記回路は、SIM-blobのプロビジョニング用に指定され、非セキュアソフトウェア環境で動作する専用SIMを使用して前記通信ネットワークとの接続を確立し、前記確立された接続を介して、前記SIM-blobの前記少なくとも一部を要求し、受信することによって、
前記SIM-blobの前記少なくとも一部を取得するように構成される、請求項1~3のいずれかに記載のエッジデバイス。
【請求項5】
前記回路は、非セルラー無線ネットワークを介して、通信することにより、前記SIM-blobの前記少なくとも一部を受信するように構成される、請求項1~3のいずれかに記載のエッジデバイス。
【請求項6】
前記SIM-blobは、固有鍵を使用して暗号化されたで前記メモリに事前格納され、前記通信ネットワークを介して、又は前記代替チャネルを介して、受信された前記SIM-blobの前記一部は、前記固有鍵を含み、
前記回路は、前記受信された固有鍵を使用して、前記事前格納された前記SIM-blobを復号化することによって、前記SIM-OSをプロビジョニングするように構成される、請求項1~3のいずれかに記載のエッジデバイス。
【請求項7】
前記SIM-blobは、汎用部分とデバイス固有部分とを含み、前記SIM-blobの前記汎用部分は、前記メモリに事前格納されており、
前記通信ネットワークを介して、又は前記代替チャネルを介して、受信された前記SIM-blobの前記一部は、前記SIM-blobの前記デバイス固有部分を含み、
前記回路は、前記汎用部分と前記デバイス固有部分とを組み合わせることによって、前記SIM-OSをプロビジョニングするように構成される、請求項1~3のいずれかに記載のエッジデバイス。
【請求項8】
ネットワークと通信するためのネットワークインタフェースと、1つ又は複数のプロセッサと
を含み、
前記1つ又は複数のプロセッサは、
エッジデバイスの加入者識別モジュール(SIM)のプロビジョニングを要求するメッセージを、前記エッジデバイスから前記ネットワークを介して、受信し、
前記要求に基づいて、前記SIMをプロビジョニングするために割り当てられたサーバを識別し、
前記SIMをプロビジョニングするために、前記エッジデバイスと前記識別されたサーバとの間の通信接続を確立するように構成される、ネットワークデバイス。
【請求項9】
前記1つ又は複数のプロセッサは、SIMのプロビジョニングのためだけに専用化された分離されたネットワークエンクレーブとして構成される、請求項8に記載のネットワークデバイス。
【請求項10】
前記1つ又は複数のプロセッサは、複数のSIMベンダーの複数のサーバの中から前記サーバを識別するように構成される、請求項8又は9に記載のネットワークデバイス。
【請求項11】
前記1つ又は複数のプロセッサは、前記エッジデバイスと前記サーバとの間の通信接続を確立する前に、前記要求の真正性を検証するように構成される、請求項8又は9に記載のネットワークデバイス。
【請求項12】
ネットワークと通信するためのネットワークインタフェースと、1つ又は複数のプロセッサと
を含み、
前記1つ又は複数のプロセッサは、
エッジデバイスの加入者識別モジュール(SIM)のプロビジョニングを要求するメッセージを、前記エッジデバイスから前記ネットワークを介して、受信し、
前記要求に応答して、前記SIMを操作するためのSIMオペレーティングシステム(SIM-OS)の少なくともパーツを含む、SIM-blobの少なくとも一部を前記エッジデバイスに送信するように構成される、サーバ。
【請求項13】
前記1つ又は複数のプロセッサは、前記エッジデバイスに送信された前記SIM-blobに、前記SIMに関連するネットワークオペレータのプロファイルをさらに含むように構成される、請求項12に記載のサーバ。
【請求項14】
前記1つ又は複数のプロセッサは、前記エッジデバイスに送信された前記SIM-blobに、前記プロファイルの後の変更のための証明書をさらに含むように構成される、請求項13に記載のサーバ。
【請求項15】
エッジデバイスにおける方法であって、通信ネットワークを介して、通信し、前記エッジデバイスの加入者識別モジュール(SIM)に割り当てられたセキュリティクレデンシャルにより事前構成されたエッジデバイスにおいて、前記通信ネットワークを介して、又は代替通信チャネルを介して、SIMを操作するためのSIMオペレーティングシステム(SIM-OS)の少なくともパーツを含む、SIM-blobの少なくとも一部を受信し、前記SIM-blobをメモリに格納し、
前記セキュリティクレデンシャルを使用して、前記SIM-OSをプロビジョニングし、
前記SIM-OSを使用して、前記エッジデバイスのSIMタスクを実行することを含む、方法。
【請求項16】
前記通信ネットワークを介して、又は前記代替チャネルを介して、受信された前記SIM-blobの一部は、前記SIMに関連するネットワークオペレータのプロファイルをさらに含む、請求項15に記載の方法。
【請求項17】
前記通信ネットワークを介して、又は前記代替チャネルを介して、受信された前記SIM-blobの一部は、前記プロファイルの後の変更のための証明書をさらに含む、請求項16に記載の方法。
【請求項18】
前記SIM-blobの少なくとも一部を受信することは、前記SIM-blobのプロビジョニング用に指定され、非セキュアソフトウェア環境で動作する専用SIMを使用して、前記通信ネットワークとの接続を確立し、
前記確立された接続を介して、前記SIM-blobの少なくとも一部を要求し、受信することを含む、請求項15~17のいずれかに記載の方法。
【請求項19】
SIM-blobの少なくとも一部を受信することは、非セルラー無線ネットワークを介して、通信することを含む、請求項15~17のいずれかに記載の方法。
【請求項20】
前記SIM-blobは、固有鍵を使用して暗号化された形式でメモリに事前格納され、前記通信ネットワークを介して、又は前記代替チャネルを介して、受信された前記SIM-blobの一部は、前記固有鍵を含み、
前記SIM-OSをプロビジョニングすることは、前記受信された固有鍵を使用して事前格納されたSIM-blobを復号化することを含む、請求項15~17のいずれかに記載の方法。
【請求項21】
前記SIM-blobは、汎用部分とデバイス固有部分とを含み、前記SIM-blobの前記汎用部分は、メモリに事前格納されており、
前記通信ネットワークを介して、又は前記代替チャネルを介して、受信された前記SIM-blobの一部は、前記SIM-blobのデバイス固有部分を含み、
前記SIM-OSをプロビジョニングすることは、前記汎用部分と前記デバイス固有部分とを組み合わせることを含む、請求項15~17のいずれかに記載の方法。
【請求項22】
ネットワークデバイスにおける方法であって、エッジデバイスの加入者識別モジュール(SIM)のプロビジョニングを要求するメッセージを、前記エッジデバイスからネットワークを介して、受信し、
前記要求に基づいて、前記SIMをプロビジョニングするために割り当てられたサーバを識別し、
前記SIMをプロビジョニングするために、前記エッジデバイスと前記識別されたサーバとの間の通信接続を確立することを含む、方法。
【請求項23】
前記ネットワークデバイスを、前記SIMのプロビジョニングのためだけに専用化された分離されたネットワークエンクレーブとして構成することを含む、請求項22に記載の方法。
【請求項24】
前記サーバを識別することは、複数のSIMベンダーの複数のサーバの中から前記サーバを識別することを含む、請求項22又は23に記載の方法。
【請求項25】
前記エッジデバイスと前記サーバとの間の通信接続を確立する前に、前記要求の真正性を検証することを含む、請求項22又は23に記載の方法。
【請求項26】
サーバにおける方法であって、エッジデバイスの加入者識別モジュール(SIM)のプロビジョニングを要求するメッセージを、前記エッジデバイスからネットワークを介して、受信し、
前記要求に応答して、前記SIMを操作するためのSIMオペレーティングシステム(SIM-OS)の少なくともパーツを含む、SIM-blobの少なくとも一部を前記エッジデバイスに送信することを含む、方法。
【請求項27】
前記SIM-blobの少なくとも一部を送信することは、前記SIMに関連するネットワークオペレータのプロファイルを、前記エッジデバイスに送信することを含む、請求項26に記載の方法。
【請求項28】
前記SIM-blobの少なくとも一部を送信することは、前記プロファイルの後の変更のための証明書を、前記エッジデバイスに送信することを含む、請求項27に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願との相互参照
本出願は、2021年12月12日出願の米国仮出願第63/288,611号の優先権を主張するものであり、内容を参照することにより援用される。
本出願は、2021年12月12日出願の米国仮出願第63/288,611号の優先権を主張するものであり、内容を参照することにより援用される。
【0002】
本発明は、概して、エッジデバイスの加入者識別番号モジュール(SIM)に関し、特に、SIMのリモート生産およびプロビジョニングのための方法およびシステムに関する。
【背景技術】
【0003】
携帯電話やモノのインターネット(loT)デバイス等のセルラーネットワークのエッジデバイスは、通常、加入者識別番号モジュール(SIM)を使用して、接続プロバイダネットワークに識別される。SIMは、通常、デバイスの所有者の国際移動体加入者識別番号(IMSI)、認証鍵及び他のセキュリティクレデンシャル、並びにユーザ及び移動体通信事業者(MNO)に関連するその他の情報等の情報を格納している。
【0004】
SIMのフォームファクタは、ユーザが交換可能なSIMカードから始まり、デバイスのスタンドアロン集積回路として実装された組み込みSIM(eSIM)、デバイスのチップセットに統合された統合SIM(iSIM)へと、時代とともに進化してきた。
【0005】
eSIM及びiSIMは、ユーザによる交換ができないため、これらのフォームファクタの採用には、既にフィールドに配備されているエッジデバイスのMNOを変更するためのメカニズム及びインフラストラクチャが必要である。GSM協会(GSMA)は、参照により本明細書に援用される非特許文献1、非特許文献2及び非特許文献3において、このようなリモートSIMプロビジョニング(RSP)のフレームワークを規定した。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】米国特許第号明細書
【特許文献2】国際公開第号
【非特許文献】
【0007】
【非特許文献1】GSMA Official Document SGP.21 entitled "RSP Architecture," version 3.0, March 28, 2022
【非特許文献2】GSMA Official Document SGP.22 entitled "RSP Technical Specification," version 3.0, October 19, 2022
【非特許文献3】GSMA Official Document SGP.31 entitled "eSIM loT Architecture and Requirements," version 1.0, April 19, 2022
【発明の概要】
【課題を解決するための手段】
【0008】
本明細書に記載した本発明の実施形態は、メモリ及び回路を含むエッジデバイスを提供する。回路は、通信ネットワークを介して、通信するように構成され、エッジデバイスの加入者識別モジュール(SIM)として機能することを含み、SIMに割り当てられたセキュリティクレデンシャルにより事前構成され、通信ネットワークを介して、又は代替通信チャネルを介して、SIM-blobの少なくとも一部を受信し、一部は、SIMを操作するためのSIMオペレーティングシステム(SIM-OS)の少なくともパーツを含み、SIM-blobをメモリに格納し、セキュリティクレデンシャルを使用してSIM-OSをプロビジョニングし、SIM-OSを使用してエッジデバイスのSIMタスクを実行する。
【0009】
一実施形態において、通信ネットワークを介して、又は代替チャネルを介して、受信されたSIM-blobの一部は、SIMに関連するネットワークオペレータのプロファイルをさらに含む。例示的な実施形態において、通信ネットワークを介して、又は代替チャネルを介して、受信されたSIM-blobの一部は、プロファイルの後の変更のための証明書をさらに含む。
【0010】
開示された実施形態において、回路は、SIM-blobプロビジョニング用に指定され、非セキュアソフトウェア環境で動作する専用SIMを使用して、通信ネットワークとの接続を確立し、確立された接続を介して、SIM-blobの少なくとも一部を要求し、受信することによって、SIM-blobの少なくとも一部を取得するように構成される。いくつかの実施形態において、回路は、非セルラー無線ネットワークを介して、通信することによって、SIM-blobの少なくとも一部を受信するように構成される。
【0011】
開示された実施形態において、SIM-blobは、固有鍵を使用して暗号化された形式でメモリに事前格納され、通信ネットワークを介して、又は代替チャネルを介して、受信されたSIM-blobの一部は、固有鍵を含み、回路は、受信された固有鍵を使用して、事前格納されたSIM-blobを復号化することによって、SIM-OSをプロビジョニングするように構成される。
【0012】
一実施形態において、SIM-blobは、汎用部分とデバイス固有部分とを含み、SIM-blobの汎用部分はメモリに事前格納され、通信ネットワークを介して、又は代替チャネルを介して、受信されたSIM-blobの一部は、SIM-blobのデバイス固有部分を含み、回路は、汎用部分とデバイス固有部分とを組み合わせることによって、SIM-OSをプロビジョニングするように構成される。
【0013】
さらに、本発明の一実施形態によれば、ネットワークインタフェースと1つ又は複数のプロセッサとを含むネットワークデバイスが提供される。ネットワークインタフェースは、ネットワークと通信するように構成される。1つ又は複数のプロセッサは、ネットワークを介して、エッジデバイスからメッセージを受信するように構成され、メッセージは、エッジデバイスの加入者識別モジュール(SIM)のプロビジョニングを要求し、要求に基づいて、SIMをプロビジョニングするように割り当てられたサーバを識別し、SIMをプロビジョニングするために、エッジデバイスと識別されたサーバとの間の通信接続を確立する。
【0014】
いくつかの実施形態において、1つ又は複数のプロセッサは、SIMのプロビジョニングのためだけに専用化された分離されたネットワークエンクレーブとして構成される。一実施形態において、1つ又は複数のプロセッサは、複数のSIMベンダーの複数のサーバの中からサーバを識別するように構成される。開示された実施形態において、1つ又は複数のプロセッサは、エッジデバイスとサーバとの間の通信接続を確立する前に、要求の真正性を検証するように構成される。
【0015】
また、本発明の一実施形態によれば、ネットワークインタフェースと1つ又は複数のプロセッサとを含むサーバが提供される。ネットワークインタフェースは、ネットワークと通信するように構成される。1つ又は複数のプロセッサは、ネットワークを介して、エッジデバイスからメッセージを受信するように構成され、メッセージは、エッジデバイスの加入者識別モジュール(SIM)のプロビジョニングを要求し、要求に応答して、SIM-blobの少なくとも一部をエッジデバイスに送信するように構成され、一部は、SIMを操作するためのSIMオペレーティングシステム(SIM-OS)の少なくともパーツを含む。
【0016】
いくつかの実施形態において、1つ又は複数のプロセッサは、エッジデバイスに送信されたSIM-blobに、SIMに関連するネットワークオペレータのプロファイルをさらに含むように構成される。いくつかの実施形態において、1つ又は複数のプロセッサは、エッジデバイスに送信されるSIM-blobにおいて、プロファイルの後の変更のための証明書をさらに含むように構成される。
【0017】
さらに、本発明の実施形態によれば、エッジデバイスにおける方法が提供される。本方法は、通信ネットワークを介して、通信し、エッジデバイスの加入者識別モジュール(SIM)に割り当てられたセキュリティクレデンシャルにより事前構成されたエッジデバイスにおいて、通信ネットワークを介して、又は代替の通信チャネルを介して、SIM-blobの少なくとも一部を受信することを含み、一部は、SIMを操作するためのSIMオペレーティングシステム(SIM-OS)の少なくともパーツを含む。SIM-blobはメモリに格納される。SIM-OSは、セキュリティクレデンシャルを使用してプロビジョニングされる。エッジデバイスのSIMタスクは、SIM-OSを使用して実行される。
【0018】
また、本発明の実施形態によれば、ネットワークデバイスにおける方法が提供される。本方法は、ネットワークを介して、エッジデバイスからメッセージを受信することを含み、メッセージは、エッジデバイスの加入者識別モジュール(SIM)のプロビジョニングを要求する。要求に基づいて、SIMをプロビジョニングするために割り当てられたサーバが識別される。SIMをプロビジョニングするために、エッジデバイスと識別されたサーバとの間の通信接続を確立する。
【0019】
さらに、本発明の実施形態によれば、サーバにおける方法が提供される。本方法は、ネットワークを介して、エッジデバイスからメッセージを受信することを含み、メッセージは、エッジデバイスの加入者識別モジュール(SIM)のプロビジョニングを要求する。要求に応答して、SIM-blobの少なくとも一部がエッジデバイスに送信される。一部には、SIMを操作するためのSIMオペレーティングシステム(SIM-OS)の少なくともパーツが含まれる。
【0020】
本発明は、その実施形態に関する以下の詳細な説明から、図面と共により完全に理解されるであろう。
【図面の簡単な説明】
【0021】
【図1】本発明の一実施形態による、iSIMの生産及びプロビジョニングのプロセスを概略的に示すフローチャートである。
【図2】本発明の一実施形態による、iSIMのリモート生産とプロビジョニングをサポートするセルラーネットワークベースの通信システムを概略的に示すブロック図である。
【図3】本発明の一実施形態による、iSIMのリモート生産及びプロビジョニングの方法を概略的に示すメッセージフロー図である。
【発明を実施するための形態】
【0022】
フォームファクタに関わらず、完全に操作可能なSIMは、通常、(i)SIMに関連するセキュリティクレデンシャル、(ii)「SIMオペレーティングシステム」(SIM-OS)と呼ばれるソフトウェアスタック、及び(iii)ネットワークオペレータ関連情報を指定する「MNOプロファイル」を含む。SIM-OS及びMNOプロファイルは、本明細書において、「SIM-blob」と総称される。いくつかの実施形態、例えば、eSIM及びiSIMにおいて、SIM-blobは、MNOのリモート変更に使用される「GSMA証明書」も含んでいてよい。
【0023】
SIM-blobを生産及びプロビジョニングする場合、SIMの生産及びプロビジョニングプロセスが、エッジデバイス及びそのコンポーネントのサプライチェーン全体によく適合することが重要である。
【0024】
例えば、個別のeSIMの典型的なサプライチェーンを考えてみると、eSIMは、安全性の高い施設内で生産され、プロビジョニングされる。安全な施設内で、eSIMは、製造及びテストされ、各eSIMは、少なくともGSMA証明書とSIM-OS(及び任意で、MNOプロファイル)で個別にパーソナライズされる。その後、eSIMは、モジュールベンダー又はOEMに供給され、エッジデバイスのパーツとして組み立てられる回路基板に取り付けられる。モジュールベンダー又はOEMは、通常、SIMベンダーにプリプロビジョニングされたeSIMの固定サイズバッチを発注する。MNOプロファイルは、eSIMにプリインストールされていない場合、GSMA RSPインフラストラクチャを使用して、例えば、MNO又はユーザによって、後に各eSIMにリモートでダウンロードされる。
【0025】
対照的に、iSIMのサプライチェーンは、通常、例えば、システムオンチップ(SoC)の形式で、モデムチップセットの製造から始まる。iSIMハードウェアは、モデムチップセットの一体化されたパーツである。モデムチップセットは、その後、モジュールベンダーやエッジデバイスベンダーに供給される。iSIMサプライチェーンでは、iSIMハードウェアを含むモデムチップセットは、IC生産施設で製造される。モデムチップセットは、通常、特定の顧客、デバイスメーカー、又はMNOに事前に割り当てられることのない大規模なバッチで製造される。
【0026】
eSIMとiSIMのサプライチェーンの差は、プロビジョニングプロセスに重大な影響を及ぼす。eSIMのプロビジョニングプロセスをiSIMのサプライチェーンに課そうとすることは、例えば、非セキュアな生産施設に、GSMA証明書とSIM-OSで個別にセキュアにパーソナライズされたモデムチップセットを生産させることを意味する。このようなモデムチップセットは、通常、小規模でプロジェクト固有のバッチで生産されなければならなくなる。
【0027】
さらに、IC及びエッジデバイスの生産施設は、高いが完全ではない歩留まり、つまり、必ずしも正確ではなく、多少の増減を含む可能性のあるバッチサイズを有するバッチを生産することに慣れている。しかしながら、エッジデバイス製造サプライチェーンのパーツとしてiSIMをパーソナライズする場合、生産施設は、特定のMNOの注文に応じて、不完全な歩留まりを考慮/補正した正確なサイズのバッチを提供する必要がある。サブスクリプションのアクティブ化時間もまた、このプロセスにおける未解決の問題である。以上から理解できるように、eSIMのプロビジョニングプロセスをiSIMのサプライチェーンに課すことは、実現不可能なことばかりであり、iSIMフォームファクタの採用の規模、コスト、煩雑性に深刻な影響を与える可能性がある。
【0028】
本明細書に記載した本発明の実施形態は、SIMの生産及びプロビジョニングのための改善された方法及びシステムを提供する。本明細書に記載した実施形態は、例として、主にiSIMを参照している。しかしながら、開示された技術は、eSIMにも適用可能であり、また、現在定義されていない将来のフォームファクタを含む、他の任意の適切なSIMフォームファクタにも適用可能である。
【0029】
開示されたいくつかの実施形態において、モデムチップセットは、セキュリティクレデンシャルにより事前構成される。セキュリティクレデンシャルは、通常、SoCに統合された安全なハードウェア、例えば、耐タンパエレメント(TRE)に格納される。本文脈においては、セキュリティクレデンシャルは、モデムチップセットにインストールされたチップRoot-of-Trust(RoT)と呼ばれる。ただし、SIM-blobは、チップセットの製造段階では(少なくとも完全には)インストールされず、完全に組み立てられた操作可能なエッジデバイスに後の段階でダウンロードされる。SIM-blobのダウンロードは、GSMA RSPインフラストラクチャの開示された拡張機能を使用して、MNOプロファイルのダウンロードと共に実行できる。
【0030】
SIM-OSのダウンロードは、Over-The-Air(OTA)、すなわち、セルラーネットワークを介して、実行してよい。プロビジョニング専用のソフトウェア実装SIMを使用するこの種の技術について、本明細書に詳細に記載する。このソフトウェア実装SIMの機能は、セキュアである必要はなく、チップセットのどのコンポーネント上で動作されてもよく、必ずしもセキュアなハードウェア上で動作されなくてもよい。
【0031】
他の実施形態において、SIM-OSは、Wi-Fiリンクを介して、すなわち、無線ローカルエリアネットワーク(WLAN)を介して、又は任意の他の適切な無線チャネル又は有線チャネルを介して、デバイスにダウンロードされてよい。
【0032】
開示された技術は、SIM-blobを個々のモデムチップセットに事前にバインドする必要がないため、iSIMベースのエッジデバイスのサプライチェーンによく適合する。バインディングは、完全に組み立てられた動作可能なエッジデバイスにおいて、後に実行される。
【0033】
いくつかの実施形態において、SIM-blobのチップセットへの事前のバインディングを排除することに加えて、開示された技術は、ネットワークを介して、SIM-blobをダウンロードすることによって発生する通信オーバーヘッドを削減することも目的としている。これらの解決策は、低スループットのバッテリー駆動loTデバイスで特に有用である。
【0034】
例えば、いくつかの実施形態において、SIM-blobは、チップセットの製造段階でモデムチップセットに格納され、OTAダウンロードされない。各SIM-blobは固有鍵で暗号化されるが、個々のチップセットにはアプリオリにバインドされない。エッジデバイスをプロビジョニングするには、実際のSIM-blobの代わりに、プリインストールされたSIM-blobの固有鍵がデバイスにダウンロードされる。このように、SIM-blobのバインディングは、チップセットの製造段階のどの段階でも実行されるのではなく、完全に操作可能なデバイスでのみ実行される。従って、事前バインディングに起因する操作上の課題は排除される。本文脈においては、SIM-blobの復号化を可能にする鍵をダウンロードすることも、SIM-blobの一部をダウンロードすることと見なされる。
【0035】
他の実施形態において、SIM-OSは、汎用部分(静的部分とも呼ばれる)とデバイス固有部分とに分割される。汎用部分は、チップセットの製造段階でインストールされ、デバイス固有部分のみが操作可能デバイスにダウンロードされる。
【0036】
まとめると、いくつかの実施形態において、開示された技術は、iSIMの完全なリモート生産とプロビジョニングのために、GSMA RSPインフラストラクチャの拡張を使用する。開示された技術により、操作上又は物流上の煩雑性を付与することなく、エッジデバイスのサプライチェーンのパーツとしてiSIMを生産及びプロビジョニングすることができる。
【0037】
プロセスの説明
図1は、本発明の実施形態による、iSIMの生産及びプロビジョニングのプロセスを概略的に示すフローチャートである。本方法は、チップセット製造段階20におけるモデムチップセット、本例においては、SoCの製造から始まる。この段階は、例えば、IC生産施設において実行されてよい。SoC製造段階のパーツとして、各SoCには、通常、秘密鍵と公開鍵のペア及び追加のクレデンシャルを含むセキュリティクレデンシャル(チップRoTとも呼ばれる)がプリインストールされる。
図1は、本発明の実施形態による、iSIMの生産及びプロビジョニングのプロセスを概略的に示すフローチャートである。本方法は、チップセット製造段階20におけるモデムチップセット、本例においては、SoCの製造から始まる。この段階は、例えば、IC生産施設において実行されてよい。SoC製造段階のパーツとして、各SoCには、通常、秘密鍵と公開鍵のペア及び追加のクレデンシャルを含むセキュリティクレデンシャル(チップRoTとも呼ばれる)がプリインストールされる。
【0038】
その後、デバイス製造段階24において、エッジデバイスが、エッジデバイス製造施設で生産される。各エッジデバイスは、上記段階20で製造されたチップセットの1つを含む。
【0039】
サプライチェーンに沿ってさらに、blobダウンロード段階28において、それぞれのSIM-blob(又は少なくともその一部)が、各エッジデバイスにダウンロードされる。ダウンロードされたblob、又はblobの一部は、(i)SIM-OSの少なくともパーツ、及び/又は(ii)MNOプロファイルを含む。SIM-blobはまた、インストール後にデバイス44がRSPをサポートできるようにするためのGSMA RSPフレームワーク(例えば、GSMA証明書)等の追加コンポーネントを含んでいてもよい。
【0040】
パーソナライズ段階32では、ダウンロードされたSIM-blobを使用して、各エッジデバイスが個別にパーソナライズされる。段階28及び32は、エッジデバイスベンダーによって(例えば、新しいエッジデバイスをMNO又はユーザに提供する前に)、又はユーザによって(例えば、セルラー又はその他のネットワークに接続するときに)実行されてよい。
【0041】
図1のフローは、開示された技術の一般原理を示すことを意図した高度に単純化されたフローである。プロセスの様々な段階は、様々な変形及び実施オプションと共に更に以下に詳細に説明される。
【0042】
システム構成例
図2は、本発明の一実施形態による、iSIMのリモート生産及びプロビジョニングをサポートするセルラーネットワークベースの通信システム40を概略的に示すブロック図である。システム40の様々なコンポーネントを、このセクションで簡単に紹介し、開示された技術を実行する上でのそれらの役割を以下でさらに説明する。
図2は、本発明の一実施形態による、iSIMのリモート生産及びプロビジョニングをサポートするセルラーネットワークベースの通信システム40を概略的に示すブロック図である。システム40の様々なコンポーネントを、このセクションで簡単に紹介し、開示された技術を実行する上でのそれらの役割を以下でさらに説明する。
【0043】
システム40は、1つ又は複数のエッジデバイス44、典型的には、様々な種類の多数のエッジデバイスを含む。エッジデバイス44は、例えば、携帯電話、loTデバイス、又はネットワークを介して、通信可能な任意の他の適切なデバイスを含んでいてよい。図2は、明瞭にするために、単一のエッジデバイス44を示している。本明細書では、簡潔にするために、エッジデバイス44を単に「デバイス」とも呼ぶ。
【0044】
本例では、デバイス44は、現在、訪問先ネットワーク48と呼ばれるセルラーネットワークに接続されている。言い換えれば、デバイス44はローミング中である。他の実施形態又はシナリオでは、デバイス44は、ホームネットワークに直接接続されていてもよい。さらに、システム40は、iSIMのプロビジョニングを担当する「プロビジョニング/ホームネットワーク」(簡潔にするために、「プロビジョニング用ホームネットワーク」、又は単に「プロビジョニングネットワーク」とも呼ばれる)を含む。いくつかの実施形態において、ネットワーク52は、開示されたプロビジョニングサービスを含む様々なサービスをエッジデバイスに提供する本格的なネットワークである。ネットワーク48及び52、並びにデバイス44は、任意の適切なセルラー標準又はプロトコル、例えば、第4世代長期進化(LTE)又は第5世代セルラー(5G)に従って操作されてよい。
【0045】
システム40は、1つ又は複数のiSIM-ベンダー64のコンピューティングシステム、本構成では、「SIMベンダーA」64A及び「SIMベンダーB」64Bと示される2つのシステムをさらに含む。「ベンダー」及び「ベンダーシステム」という用語は、本明細書では区別なく用いられることがある。図2の例では、デバイス44のiSIMは、SIMベンダーB(システム64B)によって提供される。従って、システム64Bは、プロビジョニングに使用されるMNOのMNO-システム60に接続されている。システム64Bは、他の要素の中でも、サブスクリプションマネージャデータ準備サーバ(SM-DP+*)66で構成され、その役割については以下でさらに説明する。システム64Bは、エッジデバイスのSoCのベンダーに属するシステム68に接続されていてもよい。システム68は、他の要素の中でも、そのベンダーによって生産されたSoCのiSIM及び/又は耐タンパー素子(TRE)の生産データベース70を含む。
【0046】
ネットワーク52は、デバイス44と、インターネット56を含むシステム40の様々なネットワークとの間のトラフィックを適宜ルーティングするパケットデータネットワークゲートウェイ(PDN GW)74を含む。ネットワーク52はさらに、「ホットラインエンクレーブ」78-iSIMのプロビジョニングに関連するトラフィック専用の別個のサービスエンクレーブ-を含む。エンクレーブ78は、各エッジデバイス44と関連するSIMベンダーシステムとの間のトラフィックをルーティングするSIMベンダー(SimV)ルーティングモジュール82を含む。
【0047】
典型的な構成では、PDN GW74は、iSIMのプロビジョニングに関連するトラフィックを識別し、そのようなトラフィックをエンクレーブ78に転送するように構成される。PDN GW74は、上述した方法で構成される従来の市販の製品(ハードウェア又はソフトウェアに実装される)であってもよい。エンクレーブ78はまた、ハードウェア及び/又はソフトウェアに、例えば、スタンドアロンネットワークデバイスとして、クラウド常駐ソフトウェアとして実装されてもよく、又はPDN GW74等他の要素と同じプラットフォーム上で共有されてもよい。いずれの構成においても、エンクレーブ78は、(i)ホームネットワーク52のコアネットワークと通信するためのネットワークインタフェースと、(ii)開示された技術を実行する1つ又は複数のプロセッサとを含む(ソフトウェア及び/又はハードウェア実装)ネットワークデバイスとみなすことができる。
【0048】
図2の実施形態において、エッジデバイス44は、SoC90を含む。SoC90は、例えば、ネットワーク48と通信するためのセルラーモデムチップセット、プロビジョニングのためのソフトウェアSIM(SSFP-iSIMプロビジョニング専用のソフトウェア実装SIM)、及びSIM-blobのダウンロードとインストールを編成するリモートSIM-blobプロビジョニング(RSBP)クライアントを実装する1つ又は複数の集積回路(IC)ダイを含む。SoC90は、耐タンパー素子(TRE)-iSIMが実装されたSoCのセキュアなパーツをさらに含む。
【0049】
デバイス44は、不揮発性メモリ(NVM)94、例えば、フラッシュメモリデバイスをさらに含む。NVM94は、SoC90の内部であっても外部であってもよい。NVM94は、デバイス44の任意の関連ソフトウェア及び/又はデータを格納するために使用してよい。本例では、NVM94は、TRE部分102と呼ばれるセキュアパーティションを含む。TRE部分102は、特に、インストールされたiSIM(SIM-OS、証明書、クレデンシャル、及びMNOプロファイルを含む)を安全に格納するために使用される。
【0050】
図2に図示されたシステム40及びエッジデバイス44の構成は、例示的な構成であり、これは純粋に概念的な明瞭さのために選択されたものである。他の実施形態において、任意の他の適切な構成を使用することができる。例えば、エッジデバイス44の内部パーティショニング及びデバイス44の要素間の「分業」は、図2に示す例示的な実施形態とは異なっていてもよい。一般に、NVM94以外のデバイス44の要素は、開示された技術を実行する回路として共同で参照される。
【0051】
システム40及びエッジデバイス44の異なる要素は、1つ又は複数の特定用途向け集積回路(ASIC)又はフィールドプログラマブルゲートアレイ(FPGA)等の適切なハードウェアを使用して、ソフトウェアを使用して、ハードウェアを使用して、又はハードウェア及びソフトウェア要素の組合せを使用して、実装されてよい。
【0052】
例えば、エンクレーブ78、SimVルーティングモジュール82、SM-DP+*66、及びSoC90の特定のパーツ等の、システム40及びエッジデバイス44、66の様々な要素は、本明細書で説明した機能を実行するようにソフトウェアでプログラムされた1つ又は複数の汎用プロセッサを使用して実装されてもよい。ソフトウェアは、例えば、ネットワークを介して、又はホストから、電子形式でプロセッサにダウンロードされてもよく、あるいは、代替的又は追加的に、磁気、光学、又は電子メモリ等の非一過性の有形媒体に提供及び/又は格納されてもよい。
【0053】
リモートiSIMの生産とプロビジョニング
【0054】
上記で説明したように、エッジデバイス44上で完全に機能するiSIMは、(i)セキュリティクレデンシャル(チップRoT)と、(ii)SIM-OS及びMNOプロファイルを含むSIM-blobとを含むものとする。操作可能とするには、SIM-blobをエッジデバイスTREにインストールし、MNOシステムでアクティブにしなければならない。セキュリティクレデンシャルは、SoC90にプリインストールされている(図1の段階20を参照)。SIM-blobまたは少なくともその一部は、完全に製造されたエッジデバイス44にダウンロードされ、インストールされる。
【0055】
通常、SIM-blobは、適切なSIMベンダーのSM-DP+*66からデバイス44にダウンロードされる。「SM-DP+*」という表記は、開示された技術に従ってSIM-blobのリモートダウンロードをサポートするように構成されたSIMベンダーサーバを示す(GSMA用語で使用される「SM-DP+」とは対照的である)。SM-DP+*は、通常、(i)ホームネットワーク52のコアネットワークと通信するためのネットワークインタフェース、及び(ii)開示された技術を実行する1つ又は複数のプロセッサを含む。SIM-blobは、通常、暗号化された形式でダウンロードされ、デバイス44のNVM94に格納される(図2の「暗号化されたSIM-blob」98を参照)。
【0056】
いくつかの実施形態において、SIM-blobは、セルラー接続を介して、デバイス44にダウンロードされる。図2の実施形態において、SIM-blobは、訪問先ネットワーク48経由で、ダウンロードされる。他の実施形態において、SIM-blobは、他の任意の適切な通信チャネル経由で、ダウンロードされてもよい。例示的な非セルラーチャネルは、WLAN(「Wi-Fi」)、パーソナルエリアネットワーク(PAN)、又は有線接続を含んでよい。以下の説明では、例として、セルラーネットワークを介したダウンロード(OTA(Over-The-Air)ダウンロードとも呼ばれる)を主に取り上げる。
【0057】
セルラーネットワーク48及び52を介して、SIM-blob98をダウンロードする場合、デバイス44とネットワーク48及び52との間の通信は、デバイスの最終的に意図されるiSIMがまだプロビジョニングされていないため、何らかの代替又は一時的なSIMを使用して実行されるものとする。いくつかの実施形態において、デバイス44は、この目的のために使用される代替の物理的なSIM(例えば、eSIM)を含む。他の実施形態において、デバイス44は、「ソフトSIM」、すなわち、ネットワークの観点からSIMとして作用し、セルラーネットワークに接続するように構成されるソフトウェアコンポーネント)を実行する。
【0058】
実施形態例では、デバイス44のSoC90は、「プロビジョニング用ソフトSIM」(SSFP)と呼ばれるソフトSIMを動作させる。SSFPは、デバイスの最終的なiSIMのプロビジョニング専用である。SSFPを使用するプロビジョニングプロセスは、SSFPがセキュアではない(信頼できない)ことを想定している。このプロセスは、セルラー業界(例えば、3GPP(登録商標)及びGSMA)によって定義された機能性及び相互運用性に完全に準拠する方法で、SSFPベースの接続を専用のネットワークパーティション(図2のエンクレーブ78)に制限する。一実施形態において、SSFPを使用したセルラーネットワークへの接続は、次のように実行される。
■SSFPは、プロビジョニングのためにセルラーベースの通信チャネルを展開するMxNO(MNO又は仮想移動体通信事業者-MVNO)の1つ又は複数のネットワーククレデンシャル(例えば、1つ又は複数のIMSI値及び1つ又は複数の暗号鍵(Ki))を含む。これらのセキュリティクレデンシャルは、機密である必要はなく、機密と想定されず、公知であってよい。
■これらのIMSI及びKiを使用して、デバイス44は、このMxNOとローミング契約を結んでいる任意のセルラーネットワークに接続できる。
■MxNOとの通信は、常に、MxNOのホームコアネットワークにルーティングされるように構成されている。
■ホームネットワーク52(プロビジョニングのためのホームネットワーク)のPDN GW74は、デバイス44(又はデバイス44の通信トラフィック)をプロビジョニングプロセスに属するものとして識別し、トラフィックをホットラインエンクレーブ78にルーティングする。エンクレーブ78は、SIM-blobのプロビジョニングのみを許可し、他の機能は許可しない。
■ネットワーククレデンシャル(IMSI/Ki)は公知であると想定されるため、エンクレーブ78は、トラフィックが本当にSIM-blobを要求する正当で認可されたエッジデバイスから発信されていることを検証すべきである。この検証は、例えば、デバイス44のTREのシークレットクレデンシャルを認証に使用することによって実行できる。
■要求デバイス44の真正性を検証した後にのみ、エンクレーブ78は、SM-DP+*66からSIM-blobをダウンロードするためのデータチャネルを確立する。
■SSFPは、プロビジョニングのためにセルラーベースの通信チャネルを展開するMxNO(MNO又は仮想移動体通信事業者-MVNO)の1つ又は複数のネットワーククレデンシャル(例えば、1つ又は複数のIMSI値及び1つ又は複数の暗号鍵(Ki))を含む。これらのセキュリティクレデンシャルは、機密である必要はなく、機密と想定されず、公知であってよい。
■これらのIMSI及びKiを使用して、デバイス44は、このMxNOとローミング契約を結んでいる任意のセルラーネットワークに接続できる。
■MxNOとの通信は、常に、MxNOのホームコアネットワークにルーティングされるように構成されている。
■ホームネットワーク52(プロビジョニングのためのホームネットワーク)のPDN GW74は、デバイス44(又はデバイス44の通信トラフィック)をプロビジョニングプロセスに属するものとして識別し、トラフィックをホットラインエンクレーブ78にルーティングする。エンクレーブ78は、SIM-blobのプロビジョニングのみを許可し、他の機能は許可しない。
■ネットワーククレデンシャル(IMSI/Ki)は公知であると想定されるため、エンクレーブ78は、トラフィックが本当にSIM-blobを要求する正当で認可されたエッジデバイスから発信されていることを検証すべきである。この検証は、例えば、デバイス44のTREのシークレットクレデンシャルを認証に使用することによって実行できる。
■要求デバイス44の真正性を検証した後にのみ、エンクレーブ78は、SM-DP+*66からSIM-blobをダウンロードするためのデータチャネルを確立する。
【0059】
いくつかの実施形態において、SSFPを使用する完全なエンドツーエンドのiSIMプロビジョニングプロセスは、以下の段階を含む。
■エッジデバイス44に電源を投入し、SSFPを使用してセルラーネットワーク48に接続する。
■デバイス44とホームネットワーク52との接続層認証が完了し、デバイスとホームネットワークとの間のIP接続を確立する。
■プロビジョニング機能としか通信できないことを認識しているデバイス44は、iSIMのプロビジョニングを要求するメッセージを(例えば、RSBPクライアントによって)送信する。
■ホームネットワークは、デバイス通信を、iSIMのプロビジョニングを担当するエンクレーブ78に転送する。エンクレーブ78内で、SimVルーティングモジュール82は、デバイスを識別し、識別に基づいて、このデバイスにSIM-blob又は少なくともSIM-blobのデバイス固有部分(場合によってはGSMAフレームワーク及びGSMA証明書を含む)をプロビジョニングするために割り当てられているSIMベンダーを見つける。適切なSIMベンダーが選択されると、SimVルーティングモジュール82は、選択されたSIMベンダーのSM-DP+*66のネットワークアドレス(例えば、IPアドレス)を識別する。
■SimVルーティングモジュール82は、関連するSIMベンダーのSM-DP+*66に要求を転送する。一般に、SM-DP+*は、MNOプロビジョニングネットワーク又はSIMベンダーのプレミスに存在することがある。
■SM-DP+*は、デバイス44の識別に一致する固有のクレデンシャルを使用して、この特定のデバイス用の個人SIM-blobを準備する。SM-DP+*は、(例えば、SoCベンダーの生産データベース70から受信した情報を使用して)SIM-blobを保護する。
■SM-DP+*66は、暗号化されたSIM-blob98を、ネットワーク52及び48を介して、デバイス44に送信する。
■デバイス44は、SIM-blob98をTREにインストールし、確認応答をSM-DP+*66に送信する。
■SM-DP+*66は、MNOネットワークとのMNOプロファイルをアクティブにし、デバイス44に、新しくインストールされたiSIMに切り替えるコマンドを送信する。
■デバイス44は、ネットワークから切断し、SSFPの使用からiSIMの使用に切り替え、iSIM上にプロビジョニングされた商用接続を使用してネットワークに再接続する。
■エッジデバイス44に電源を投入し、SSFPを使用してセルラーネットワーク48に接続する。
■デバイス44とホームネットワーク52との接続層認証が完了し、デバイスとホームネットワークとの間のIP接続を確立する。
■プロビジョニング機能としか通信できないことを認識しているデバイス44は、iSIMのプロビジョニングを要求するメッセージを(例えば、RSBPクライアントによって)送信する。
■ホームネットワークは、デバイス通信を、iSIMのプロビジョニングを担当するエンクレーブ78に転送する。エンクレーブ78内で、SimVルーティングモジュール82は、デバイスを識別し、識別に基づいて、このデバイスにSIM-blob又は少なくともSIM-blobのデバイス固有部分(場合によってはGSMAフレームワーク及びGSMA証明書を含む)をプロビジョニングするために割り当てられているSIMベンダーを見つける。適切なSIMベンダーが選択されると、SimVルーティングモジュール82は、選択されたSIMベンダーのSM-DP+*66のネットワークアドレス(例えば、IPアドレス)を識別する。
■SimVルーティングモジュール82は、関連するSIMベンダーのSM-DP+*66に要求を転送する。一般に、SM-DP+*は、MNOプロビジョニングネットワーク又はSIMベンダーのプレミスに存在することがある。
■SM-DP+*は、デバイス44の識別に一致する固有のクレデンシャルを使用して、この特定のデバイス用の個人SIM-blobを準備する。SM-DP+*は、(例えば、SoCベンダーの生産データベース70から受信した情報を使用して)SIM-blobを保護する。
■SM-DP+*66は、暗号化されたSIM-blob98を、ネットワーク52及び48を介して、デバイス44に送信する。
■デバイス44は、SIM-blob98をTREにインストールし、確認応答をSM-DP+*66に送信する。
■SM-DP+*66は、MNOネットワークとのMNOプロファイルをアクティブにし、デバイス44に、新しくインストールされたiSIMに切り替えるコマンドを送信する。
■デバイス44は、ネットワークから切断し、SSFPの使用からiSIMの使用に切り替え、iSIM上にプロビジョニングされた商用接続を使用してネットワークに再接続する。
【0060】
図3は、本発明の一実施形態による、SSFPを使用したiSIMのリモート生産及びプロビジョニングを概略的に示すメッセージフロー図である。このプロセスに参加するシステムコンポーネントは、(i)SM-DP+*66(SIMベンダーのサーバ)、(ii)ホームネットワーク52内の認証サーバ110(ホーム加入者サーバ-HSSと呼ばれる)、(iii)ホームネットワーク52内のPDN GW74、(iv)訪問先ネットワーク(V-NW)48、及び(v)エッジデバイス44のSoC90内のモデムとSSFPである。
【0061】
このプロセスは、IMSI検索段階114において、エッジデバイスのモデムが、iSIMのプロビジョニングに関連する通信トラフィックで使用するために、SSFPからIMSIを取得することから始まる。SSFPは、通常、プロビジョニングプロセスのために事前に割り当てられたIMSIの1つを選択し、このIMSIをモデムに提供する。
【0062】
V-NW接続要求段階118において、エッジデバイスモデムは、接続要求を訪問先ネットワーク48に送信する。要求転送段階122において、訪問先ネットワーク48は、接続要求をホームネットワーク52(本例ではPDN GW74)に転送する。ネットワーク52は、IMSI及び対応するKiに基づいてデバイス44を認証し、V-NWがデバイスを受け入れることを許可する。
【0063】
プロビジョニング識別段階126において、PDN GW74は、接続要求内のIMSI(又はAPN等の追加パラメータ)に基づいて、要求がiSIMプロビジョニングプロセスに関連することを検出する。認証段階130において、PDN GW74は、HSS 110と通信することによってIMSIの真正性を検証する。そして、HSS 110は、従来の認証プロセス134を実行する。
【0064】
認証プロセスが成功したと想定すると、接続セットアップ段階138において、PDN GW74は、エッジデバイスモデムとのIP接続を確立する。エンクレーブ転送段階142において、ホットラインエンクレーブ78のSimVルーティングモジュール82は、iSIMプロビジョニングプロセスが実行されるべきSIMベンダーを選択する。
【0065】
SM-DP+*通信段階146において、エッジデバイスモデムにおけるRSBPクライアントは、選択されたSIMベンダーのSM-DP+*66との通信を試みる。有効性チェック段階150において、PDN GW74は、RSBPクライアントのメッセージの宛先IPアドレスが、プロビジョニングシステム、例えば、エンクレーブ78に関連することを検証する。
【0066】
宛先アドレスが有効である場合、PDN GW74は、プロビジョニング通信段階154において、エッジデバイスモデムとSM-DP+*66との間でプロビジョニングトラフィックを転送する。この段階で、エッジデバイスモデムは、SM-DP+*66からSIM-blob98をダウンロードし、ダウンロードされたSIM-blobをNVM94に格納する。
【0067】
インターネット通信段階158は、インターネットを介して、(エンクレーブ78ではなく)通信するための、エッジデバイス内のRSBPクライアントの可能性のある不正行為(「誤動作」)を示す。無効な宛先検出段階162において、PDN GW74が、RSBPクライアントのメッセージの宛先IPアドレスが無効である(すなわち、エンクレーブ78にも宛先SM-DP+*にも属さない)ことを発見した場合、PDN GWは、破棄段階166において、エッジデバイスモデムからのメッセージを破棄する。
【0068】
帯域幅とエネルギー効率に優れたSIM-blobのダウンロード
多くの実用的なシナリオでは、SIM-blob98をエッジデバイス44にダウンロードするために必要なエネルギー量及び帯域幅を最小限に抑えることが非常に望ましい。SIM-OS、MNOプロファイル、及び追加のGSMA RSPフレームワークを含む完全なSIM-blobのサイズは、数百キロバイトに達する場合がある。このサイズのblobを無線でダウンロードすることは、エッジデバイス44がバッテリー操作の低速loTデバイスである場合等、シナリオによっては困難であるか、禁止されることさえある。
多くの実用的なシナリオでは、SIM-blob98をエッジデバイス44にダウンロードするために必要なエネルギー量及び帯域幅を最小限に抑えることが非常に望ましい。SIM-OS、MNOプロファイル、及び追加のGSMA RSPフレームワークを含む完全なSIM-blobのサイズは、数百キロバイトに達する場合がある。このサイズのblobを無線でダウンロードすることは、エッジデバイス44がバッテリー操作の低速loTデバイスである場合等、シナリオによっては困難であるか、禁止されることさえある。
【0069】
いくつかの実施形態において、システム40は、デバイス44に無線でダウンロードされるSIM-blob(又はその一部)のサイズを縮小する手段を採用している。同時に、これらの手段は、チップセットの生産時にSIM-blobを特定のエッジデバイスに事前にバインドすることを必要としない。
【0070】
実施例1-SIM-blobの事後バインディング
例示的な実施形態において、SIM-blobは、SIM-blob作成者(通常はSIMベンダー)によって安全に生成される固有の対称鍵で保護される。SIMベンダーは、SIM-blob IDと対応する固有鍵のデータベースを保持している。エッジデバイス44の物理的な生産施設には、生産されるエッジデバイス44の数のSIM-blobが提供される。
例示的な実施形態において、SIM-blobは、SIM-blob作成者(通常はSIMベンダー)によって安全に生成される固有の対称鍵で保護される。SIMベンダーは、SIM-blob IDと対応する固有鍵のデータベースを保持している。エッジデバイス44の物理的な生産施設には、生産されるエッジデバイス44の数のSIM-blobが提供される。
【0071】
エッジデバイス44の生産中に、各デバイス44のNVM94に異なるSIM-blobが格納される。SIM-blobは、デバイス製造者又はデバイスにとって未知の鍵で暗号化されているため、デバイスはSIM-blobを復号化したり使用したりできない。所定のSIM-blobは、単一のデバイス44にのみ事後バインドできる。
【0072】
SIM-blobは、特定のSoC90又はモデムチップセットに割り当てられていないため、物流上の問題、例えば、チップの事前識別、歩留まりの問題、その他が回避される。正確な数のSIM-blobを、生産が意図されたのと同じ正確な数の機能デバイス44に格納できる。SIM-blobは、欠陥デバイスから別の機能デバイス44に移行できるため、欠陥デバイス44によって、SIM-blobが無駄になることはない。
【0073】
この実施形態において、SM-DP+*との通信プロセスは変更されないままである。OTA iSIMの生産及びプロビジョニングプロセスは、所定のエッジデバイス44について、以下のように変更される。
■エッジデバイス44のNVM94に格納される個々のSIM-blobの識別子(ID)、及び個々のSoCのIDが、SIMベンダーに提供される。
■SIMベンダーは、このSIM-blobが別のSoCにまだ割り当てられていないことをデータベースで確認する。SIM-blobがまだ割り当てられていないと想定すると、SIMベンダーは、SIM-blobの固有鍵をエッジデバイス44に送信する。固有鍵を送信する際、SIMベンダーは、通常、完全なSIM-blobを保護するのと同じ方式(TRE内でのみ処理可能な方式)を使用して固有鍵を保護する。
■エッジデバイス44において、SIMベンダーから受信した情報が、TRE内で復号化される。TREは、抽出された固有鍵を使用して、物理的な生産中にNVM94に格納されたSIM-blobを復号化し、インストールする。
■インストールが成功すると、エッジデバイスは、SIMベンダーに成功を報告する。これに応答して、SIMベンダーは、SoCとSIM-blobが互いにバインドされていることを記録し、(ターゲットMNOネットワークにおいて)対応するMNOネットワーク(図2のターゲットMNO60)のSIM-blobのMNOプロファイルをアクティブにする。
■一実施形態において、報告されたSIM-blob IDが既に別のSoCに割り当てられていることをSIMベンダーサーバが検出した場合(例えば、物理的な生産上のミスで、同じ-blobが2台以上のデバイス44に保存されたため)、プロセスは、このエッジデバイス44に完全なSIM-blobを無線でダウンロードするようにフォールバックする。
■エッジデバイス44のNVM94に格納される個々のSIM-blobの識別子(ID)、及び個々のSoCのIDが、SIMベンダーに提供される。
■SIMベンダーは、このSIM-blobが別のSoCにまだ割り当てられていないことをデータベースで確認する。SIM-blobがまだ割り当てられていないと想定すると、SIMベンダーは、SIM-blobの固有鍵をエッジデバイス44に送信する。固有鍵を送信する際、SIMベンダーは、通常、完全なSIM-blobを保護するのと同じ方式(TRE内でのみ処理可能な方式)を使用して固有鍵を保護する。
■エッジデバイス44において、SIMベンダーから受信した情報が、TRE内で復号化される。TREは、抽出された固有鍵を使用して、物理的な生産中にNVM94に格納されたSIM-blobを復号化し、インストールする。
■インストールが成功すると、エッジデバイスは、SIMベンダーに成功を報告する。これに応答して、SIMベンダーは、SoCとSIM-blobが互いにバインドされていることを記録し、(ターゲットMNOネットワークにおいて)対応するMNOネットワーク(図2のターゲットMNO60)のSIM-blobのMNOプロファイルをアクティブにする。
■一実施形態において、報告されたSIM-blob IDが既に別のSoCに割り当てられていることをSIMベンダーサーバが検出した場合(例えば、物理的な生産上のミスで、同じ-blobが2台以上のデバイス44に保存されたため)、プロセスは、このエッジデバイス44に完全なSIM-blobを無線でダウンロードするようにフォールバックする。
【0074】
SIM-blob全体ではなく、固有鍵のみが無線でダウンロードされるため、この技術では、OTAダウンロードに必要な帯域幅、従って時間とエネルギーが削減される。
【0075】
実施例2-SIM-blobの分割
他の実施形態において、SIM-blobの情報は、(i)デバイスを適切に操作するために、特定のSoCにバインドされなければならないデバイス固有部分と、(ii)事前バインドを必要とせずに異なるSoCにインストールできる汎用部分とに分割される。SIM-blobを分割する場合、デバイス固有部分のサイズを最小限に抑えるために、汎用部分にできるだけ多くの情報を含めることが望ましい。
他の実施形態において、SIM-blobの情報は、(i)デバイスを適切に操作するために、特定のSoCにバインドされなければならないデバイス固有部分と、(ii)事前バインドを必要とせずに異なるSoCにインストールできる汎用部分とに分割される。SIM-blobを分割する場合、デバイス固有部分のサイズを最小限に抑えるために、汎用部分にできるだけ多くの情報を含めることが望ましい。
【0076】
SIM-blobの汎用部分は、単一の汎用イメージを使用して、物理的な生産中に全てのSoCに事前格納される(そして、潜在的にインストールされる)。SIM-blobのデバイス固有部分は、無線でダウンロードされ、本明細書に記載されたプロビジョニングプロセスを使用して、要求するSoCに事前にバインドされる。デバイス固有部分は、SIM-blob全体よりもかなり小さいため、この技術は、OTAダウンロードに必要な帯域幅、従って時間とエネルギーを削減する。エッジデバイス44は、通常、SIM-blobの汎用部分とデバイス固有部分を安全な方法で結合するためのロジックを含む。
【0077】
追加の実施形態及び変形例
■iSIM障害からのエッジデバイス回復。開示された構成は、iSIMとは無関係に(例えば、iSIMなしで)、例えば、SSFPを使用して、デバイス44と通信するための代替手段を提供する。いくつかの実施形態において、この代替通信方式は、iSIMの障害から回復するためのフォールバックとして使用される。
■SIM-OSの更新(「ファームウェアオーバージエア」-FOTA)。いくつかの実施形態において、上述した代替通信方式(例えば、SSFP)が、リスクのない方法でSIM-OSを無線で更新(「SIM-OS FOTA」)するために使用される。
■デバイス44内の他のセキュアエレメントの機能のプロビジョニング及び/又は変更。上述の代替通信方式(例えば、SSFP)は、SIMのプロビジョニングに限定されず、デバイス44内の他の任意の適切なセキュア(又は非セキュア)要素の機能の更新、プロビジョニング、及び/又は変更に使用することができる。
■デバイスの補助と監視。デバイス44によって感知された通信損失の場合、開示された構成では、デバイスはこのイベントを報告するバックアップチャネルを有する。ネットワークは、通信損失の原因を分析し、どのように進めるかについてデバイスにコマンドを提供することができる。
■追加サービス。開示された構成により、MNOは利用可能な「非セキュア」セルラーチャネル(SSFPを使用するチャネル)上で他のサービスを提供することが可能になる。MNOは、例えば、何らかの上位レイヤの認証を使って、これらのサービスを分離されたネットワーク(例えば、エンクレーブ78)に追加してよい。例えば、ネットワークは、デバイス44が認証され、支払い方法を提供した(loT又は消費者)後に呼び出されるインターネットゲートウェイを含んでいてもよい。
■iSIM障害からのエッジデバイス回復。開示された構成は、iSIMとは無関係に(例えば、iSIMなしで)、例えば、SSFPを使用して、デバイス44と通信するための代替手段を提供する。いくつかの実施形態において、この代替通信方式は、iSIMの障害から回復するためのフォールバックとして使用される。
■SIM-OSの更新(「ファームウェアオーバージエア」-FOTA)。いくつかの実施形態において、上述した代替通信方式(例えば、SSFP)が、リスクのない方法でSIM-OSを無線で更新(「SIM-OS FOTA」)するために使用される。
■デバイス44内の他のセキュアエレメントの機能のプロビジョニング及び/又は変更。上述の代替通信方式(例えば、SSFP)は、SIMのプロビジョニングに限定されず、デバイス44内の他の任意の適切なセキュア(又は非セキュア)要素の機能の更新、プロビジョニング、及び/又は変更に使用することができる。
■デバイスの補助と監視。デバイス44によって感知された通信損失の場合、開示された構成では、デバイスはこのイベントを報告するバックアップチャネルを有する。ネットワークは、通信損失の原因を分析し、どのように進めるかについてデバイスにコマンドを提供することができる。
■追加サービス。開示された構成により、MNOは利用可能な「非セキュア」セルラーチャネル(SSFPを使用するチャネル)上で他のサービスを提供することが可能になる。MNOは、例えば、何らかの上位レイヤの認証を使って、これらのサービスを分離されたネットワーク(例えば、エンクレーブ78)に追加してよい。例えば、ネットワークは、デバイス44が認証され、支払い方法を提供した(loT又は消費者)後に呼び出されるインターネットゲートウェイを含んでいてもよい。
【0078】
本明細書に記載した実施形態は、主にSIMを扱うが、本明細書に記載した方法及びシステムは、クレジットカードのデジタル生産やプロビジョニング等、他の用途でも使用できる。
【0079】
従って、当然のことながら、上述した実施形態は、例示として引用されたものであり、本発明は、本明細書において特に示され記載されたものに限定されない。むしろ、本発明の範囲には、本明細書に記載された様々な特徴の組み合わせ及び下位の組み合わせの両方、同様に、前述の説明を読めば当業者が想到するであろう、従来技術に開示されていないそれらの変形及び修正が含まれる。参照により本特許出願に援用される文献は、本出願の一体化された部分とみなされるが、本明細書において明示的又は暗黙的になされた定義と矛盾するやり方で、これらの援用された文献おいて定義された用語は除き、本明細書における定義のみを考慮すべきものとする。
【図1】
【図2】
【図3】
【国際調査報告】