回路カードデータ保護
本発明は、複数のデータ・エレメントの格納部が配置され、データ・エレメントに許可される動作を定義するためのドメイン保護エレメント、及びデータ・エレメントへのアクセスを制御するためのパスワード保護エレメントに基づく保護を提供する、UICCのような回路カードにおいて保護を行う方法を提供するものである。そして、複数のデータ・エレメントのうち少なくとも1つは、ドメイン保護エレメント及びパスワード保護エレメントと関連し、本発明はさらに、そのようなデータ・エレメントの保護された記憶部が構成された回路カード及びそのような回路カードを採用するように構成されたMEを提供する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、回路カードに関し、特に、配置、方法、及びそれらに記憶されるデータの保護に関する。
【背景技術】
【0002】
機能の増加に伴い、携帯電話機及び携帯機器(ME:Mobile Equipment)のための他のタイプのハンドヘルドデバイスは、ストレージ及び大量の(個人)データを保持するための一般的なデバイス/インターフェースとして普及している。
【0003】
たとえば、そのようなデータは、個人的な写真、ビデオ、及びSMSメッセージであり、ユーザは、一般的に、ME、例えばSubscriber Identity Module(SIM)カードのようなUniversal Integrated Circuit Card(UICC)の関連部分、又はネットワーク運営者により提供されるネットワークサイドストレージ、又はメモリカードのような他のメディア・デバイスの中に、そのようなデータを格納するオプションを有している。
【0004】
格納されるデータの量と潜在的に個人的な/繊細な性質からみれば、エンド・ユーザの視点から、記憶領域は、十分な記憶容量、適切なセキュリティレベルを備えなければならず、更に利用しやすい状態でなければならない。
【0005】
MEそのものが、適切な保安の程度を提供すると考えられるが、そのようなレベルのセキュリティは、特定ME製造業者に限定されがちであり、ストレージ容量は、全てのタイプのユーザ・データ、特にマルチメディア・データのためには十分に考慮されない。データへ接続性も同様に、一般に、製造業者の特別なケーブルと、関連するソフトウェアの接続性を必要とする。
【0006】
メモリカードのような装置が、大きな記憶容量と手早い接続性を提供することができる一方、ユーザ・データに対して保護するか、適当な保護を提供する手段がない。
【0007】
勿論、アクセスの容易性は、保証とはかけ離れているかもしれないネットワーク・アクセスの利用可能性に依存するが、ネットワークサイドストレージ領域に関しては、十分な記憶容量と共に高度な安全対策を実現することができる。
【0008】
近年の発展においては、UICCのような回路カードは、潜在的に魅力的な記憶領域を有している。例えば3GPP/ETSI Rel-7からから開始された、高密度メモリをサポートしているUICCが利用可能であり、同様な仕様で、単純なアダプターを経由して例えばPC等へのデータ検索のような、UICCによる非常に簡単で高速にデータ変換するUICCとME間の、USB2.0/USB InterChipに基づく新しいインターフェースの供給が提案されている。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】国際公開公報WO2008/139615
【特許文献2】米国特許公開公報2008/254834
【特許文献3】米国特許公開公報2008/256629
【特許文献4】米国特許公開公報2008/155830
【発明の概要】
【発明が解決しようとする課題】
【0010】
特に個人識別情報No.(PIN)コードの使用によりUICCは比較的セキュアであるとされているが、以下の点で限界が残っている。つまり、一旦PINが検証されたら、単にユーザがUSIM/GSMアプリケーションを起動したいときは、記憶されたユーザ・データは、更なるセキュリティチェックを要求されることなく自由にアクセスすることができてしまう。
【0011】
つまり、たとえば、一旦MEを起動し、正しいPINのエンティティを経由して使用してUSIMに適切にアクセスしたら、USIMに保存される他の全てのデータは、直ちにアクセス可能となり、特に、現在のエンド・ユーザが単に、MEに一時的なアクセスをする目的であれば、適当でないかもしれない。
【0012】
国際特許公開WO2008/159615には、サービスの範囲の動的な変化を許可するメモリカード、アクセス・コントロールシステム、アクセスコントロール方法が記載されている。また、ダウンロードされる内容と関連した情報にしたがったアクセス管理の実行を通してのユーザに従う異なるサービスを提供し、そこでは、回路カードはデータ管理部を含み、カード上のデータを保護するためにセキュリティ・メカニズムの供給よりもむしろサービスの動的変化範囲に依存することが記載されている。
【0013】
更に、米国特許公報2008/254834、2008/256629、及び2008/155830には、それぞれ、ユーザ識別子の比較の提供を通して、コンテンツの安全なストレージを提示するメモリカードが記載されている。
【0014】
本発明は、既存のカード及び方法に対し有利な点を有する回路カード、そしてそのようなカードを含むME、そのようなカードにおけるデータ保護方法を提供することを目的とする。
【0015】
特に、本発明は、既存のカード及び方法に対し有利な点を有するUICC、及びそこでのセキュリティ及びデータを提供するための方法を提供するものとする。
【課題を解決するための手段】
【0016】
本発明の一態様においては、複数のデータ・エレメントの格納部が配置された回路カードのデータ保護の方法であって、データ・エレメントに許可される動作を定義するためのドメイン保護エレメント、及びデータ・エレメントへのアクセスを制御するためのパスワード保護エレメントのいずれかに基づき保護を提供するものであって、前記複数のデータ・エレメントのうち少なくとも1つは、前記ドメイン保護エレメント及びパスワード保護エレメントと関連する。
【0017】
本発明は、1つ以上のドメイン保護エレメントの提供を通して、回路カードに格納されるデータの安全性を容易に強化することができて、実際、柔軟でかつすぐに適用可能な方法を提供することができる点で有利である。
【0018】
したがって、そのような回路カードは、エンド・ユーザに、特に、そのような回路カードは、特に、ユーザの特有で慎重に扱うべきデータに対し、セキュリティ、能力、及びアクセス容易性において適切なレベルを有利に提供することができる。
【0019】
それらが、データ・エレメントの保護、例えば、パーテション、ディレクトリ又はファイルのコンビネーションで提供される範囲で提供される場合、特に強化されたセキュリティのレベルが、上述した「パスワード」及び「ドメイン」の特徴のコンビネーションを通して提供される。「パスワード」特徴は、言わば、一度パスワードが検証されデータ・エレメントへのアクセスが許可されるような動作の本質から独立したものとして提供される。一方、「ドメイン」特徴は、前述のパーテション、ディレクトリ又はファイルなどのデータ・エレメントに許可される可能性があるオペレーション(動作)を定義する。
【0020】
1つの特定の例に、回路カードは、UICCから成る。
【0021】
さらにまた、セキュリティの付加的レベルが、回路カードの1つ以上のアプリケーションに対するPINアクセス・コードの使用を通して提供される。
【0022】
好ましくは、上述の複数のデータ・エレメントの各々は、ドメイン保護エレメントと関係する。
【0023】
更に好ましくは、許可された動作は、1以上のリード及び/ライト動作を含む前記ドメイン保護エレメントによって定義されたものである。
【0024】
さらにまた、本発明の方法においては、回路カードにおいてデータにアクセスすることができるエンティティは、一意の識別子に関連している。
【0025】
また、本方法は、データ・エレメントを生成するエンティティの識別子が保存されているものとすることができる。
【0026】
さらに、そして、本発明を具体化した回路カードと共に使用するように構成されたMEに関し、当該方法は、MEの中で、データへのアクセスを要求するエンティティを識別するものとすることができる。
【0027】
好ましくは、データ保護ステップは、MEと回路カードとの間のUSBインターフェース・クラスに適用される
【0028】
更に好ましくは、回路カード上のデータ・エレメントが、スタンダードファイルフォーマットファイルにしたがって保存される。
【0029】
さらにまた、データ・エレメントの生成及び管理は、回路カード内のデータ・エレメントの生成及び管理によって行われ、また、ME経由で提供されることができる。
【0030】
また、ME回路カード・インターフェース機能は、生成機能、リード機能、更新機能、改名機能、動作機能、削除機能、及びクリーニング機能のうちいずれか1以上の機能を有する。
【0031】
本発明の他の態様においては、複数の保護可能なデータ・エレメントが保存された回路カードであって、データ・エレメントに許可される動作を定義するためのドメイン保護エレメント、及びデータ・エレメントへのアクセスを制御するためのパスワード保護エレメントに関連して配置された、少なくとも1つの前記複数の保護可能なデータ・エレメントを有するものである。
【0032】
好ましくは、回路カードは、UICCから成る。
【0033】
また、少なくとも1つのデータ・エレメントは、ドメイン保護エレメントによる許可された動作を開始するために、パスワードが要求されるように構成することができる。
【0034】
好ましくは、複数のデータ・エレメントのそれぞれは、ドメイン保護エレメントに関連している。
【0035】
また、前述のオペレーション(動作)は、少なくとも1つのリード及び/又はライトアクセスオペレーションを含むドメイン保護エレメントによって定義されている。
【0036】
好ましくは、回路カードは、USBインターフェース・クラスを経由してデータ・エレメントにアクセスを許可するように構成される。
【0037】
さらに、回路カードは、そのファイルシステムのスタンダードファイル内に保存されたデータ・エレメントを含むように構成される。
【0038】
本発明は、さらに、上で定められるように、回路カードを受け取るように構成されたMEも提供することができる。
【0039】
好ましくは、MEは、USBインターフェース・クラスを経由して回路カードと通信することができるように構成される。
【0040】
更に好ましくは、上述の保存されたデータ・エレメントを生成及び/または管理が可能に構成されている。
【0041】
好ましくは、ME回路カード・インターフェース機能は、生成機能、リード機能、更新機能、改名機能、動作機能、削除機能、及びクリーニング機能のうちいずれか1以上の機能により定義されている。
【0042】
本発明は、ほんの一例として以下の添付の図面を参照して、説明される。
【発明の効果】
【0043】
本発明によれば、1つ以上のドメイン保護エレメントの提供を通して、回路カードに格納されるデータの安全の程度は、容易に強化されることができて、本当に、柔軟ですぐに適合できる方法とし提供される。
【図面の簡単な説明】
【0044】
【図1】図1は、本発明の実施例におけるUICCの略平面図である。
【図2】図2は、移動無線通信装置またはMEの略平面図であって、携帯電話機及び図1のUICCで動作するようアレンジされた図である。
【図3】図3は、本発明にかかるUICCにおけるディレクトリの生成に関連した信号伝達タイミングチャートである。
【図4】図4は、UICC等のためのファイル生成のための信号伝達タイミングチャートである。
【図5】図5は、誤ったパスワードを用いて保護されたファイルを読もうとした場合の信号伝達タイミングチャートである。
【図6】図6は、正しいパスワードを用いて保護されたファイルを読みだす場合の信号伝達タイミングチャートである。
【発明を実施するための形態】
【0045】
上記及び以下の特定の実施の形態の詳細な説明から明らかなように、本発明は、単純なPINコードに基づくデータ保護機構の提供に関係する現在の回路カードに見られる限界に対処するものである。前述のように、回路カードは、第1に、たとえばGSM/USIM等のアプリケーション及びその関連データであるIMSIまたはPLMNリスト等に関連する。そして、回路カード内のデータ、例えば、同じセキュリティ体制下に移動された、例えばユーザの個人的なファイル、写真、ビデオ、個人的なメッセージなどは、そのようなアプリケーションのいずれにも直接接続されていない。
【0046】
本発明は、回路カードに格納されるあらゆるタイプのデータに対して、強化したセキュリティのレベルを提供することを目的とし、必要とされるならば、既存のPIN保護に加えて使われることができるデータ保護メカニズムを定める。
【0047】
また、回路カード内のデータ記憶装置は、一般的には、大量のデータの記憶に適していないElementary Filesに基づいている。また、そのようなファイルは、ビデオや音楽のようなあるタイプのデータを記憶するために定義されないことがしばしばある。したがって、新しいデータ記憶配置が、本発明の一部として提案され、回路カードセキュリティ向上に関連した特別な用途が見つけられる。
【0048】
最初に図1を参照すると、本発明が適切に具体化されている回路カードの1つの例の概略図が提供されている。
【0049】
回路カードは、記憶領域14とMEインターフェース16の間に提供される処理機能12を含むUICC10を有する。
【0050】
後述されるように、インターフェース16は、USP2.0/USP InterChipに有利に基づくものとすることができる。USP2.0/USP InterChipは、たとえば、UICC10と、簡単な電気アダブタを介してPCと接続される図2の携帯電話機18との間のデータ変換を簡便で高速化することができる。
【0051】
図2に関して、例えば携帯電話機18等の携帯機器(ME)のどんな形式も含む携帯無線通信デバイスの概略図が提供されている。携帯電話機18は、内部に図1のUICC10を備え、スタンダード・メモリ22、プロセッサ20、及び送信/受信機能部24を備えている。
【0052】
携帯電話機18として提供されることができる様々なストレージオプションのうち、UICC10は、上述し、下記に詳細を記述するセキュリティエレメント領域及びセキュリティエレメントパスワードのコンビネーションに基づく、有利で保証された、高速アクセス可能な、適当に大きいデータの格納場所を提供することができる。
【0053】
現在の説明と本発明の定義に関して、当然ながら、パスワードがチェックされとすぐに、オペレーションが許されるだろうことから独立して、「パスワード」は、ファイル/ディレクトリ/パーテションへのアクセスを保護する。これに対し、ドメインは、特定のエンティティが、ファイル/ディレクトリ/パーテション上で実行することができる異なるオペレーションを定義する。
【0054】
したがって、1つの特定の例として、各データ・エレメント、例えばファイル、ディレクトリまたはパーテションでさえ、ドメインと関係することができ、パスワードによって保護されることができる(関連するドメインがパスワードを必要とする場合)。
許可されたオペレーションのそれぞれの定義を有するいろいろなドメインが提供されることができ、相互運用性(インターオペラビリティ)を可能とするために、一般に標準化された方法で提供される。
【0055】
例として、可能性があるドメインは以下の通りである:
プライベート:オーナー(ファイル/ディレクトリ/パーテションにより生成されたエンティティ)だけがアクセスをすることができる。一旦パスワードがうまくチェックされれば、すべての権利は与えられる。
制限されたリード・ライト:もしパスワード・チェックにうまくパスするならば、どんなエンティティに対してもリード・ライトアクセス権が与えられる
制限されたリード:もしパスワード・チェックにうまくパスするならば、どんなエンティティに対してもリードアクセス権が与えられる
リードオンリー:いかなるエンティティも、パスワードなしで読むことができる。
パブリック:どのようなエンティティにも、パスワードなしで、リード・ライトアクセス権を与えられる。
【0056】
UICCのデータにアクセスすることができる、特定のユーザ及び/又は他のデバイス/装置のような、いかなるエンティティも、「entity_id」と呼ばれる一意の識別子と関連づけられている。この識別子は、好ましくは、MEからのリクエストの際に、UICCによって割り当てられる。そして、「リクエスト/結果」構造は以下の通りとすることができる:
MEからUICCまで:Generate_Entity_Id_Req(entity_name)
UICCからMEまで:Generate_Entity_Id_Res(結果、entity_name、entity_id);
【0057】
「entity_name」は、UICCのデータにアクセスすることができるエンティティの、公的に入手可能な名前を示す。この特定の図解された例は、少なくとも、それらのそれぞれのentity_namesを有する次の一般エンティティが定義されることを示している:
−ユーザ(USER)
−携帯機器(ME)
−遠隔サーバ(REMOTE_SERVER)
−ME内のサードパーティのアプリケーション(ME_THIRD_PARTY)
勿論、リストは完全なものではなく、よって他のエンティティも含まれ得る。
【0058】
「entity_id」は、UICCによって、所定の「entity_name」に割り当てられるプライベートの識別子である。
「entity_name」、「entity_id」の組は、ME内のメモリに保存され、MEはこれらの組の守秘性を保証する。
【0059】
都合のよいことに、リクエスト中のエンティティ(UICCのデータにアクセスしたがっているエンティティ)を正確に識別する責任がある。例えば、もしリクエストがMEアプリケーションからきているならば、MEは、このドキュメントに定義されたインターフェース機能におけるMEと関連かあるentity_idを使用する。
MEにとって、異なる要求中のエンティティを識別するための簡単な方法は、MEオペレーティングシステムによって割り当てられる、それぞれスレッド又はプロセス識別子の使用に基づいていてもよい。
いくつかの動作は、直接このentity_idに依存しているため、UICCは、MEから渡された「entity_id」は、正確であるという事実に頼ることができる。つまり、MEからUICCへのそのような正確な「entity_id」の供給は、この提案で定義したセキュリティ・メカニズムを強調することができる。
【0060】
ファイル/ディレクトリ/パーテションが生成されるとき、UICCは、生成されたエレメントのために、「オーナー」の概念を結びつけることができる。その目的のために、UICCは、単にリクエスト生成機能でパスされる「entity_id」を取り、生成されたエレメントのオーナーenrity_idとして、それを保存する。
多くのオペレーションは、ファイル/ディレクトリ/パーテションのオーナーである場合にのみ許可される(例えば、上述のようにプライベートドメインと定義されたエレメントは、オーナーからしかアクセスすることができない)。このため、このオーナーシップの考えは重要であると証明することができる。
【0061】
いろいろなセキュリティ・インターフェース機能を採用することができる。
第1には、エンティティがその自身のファイル/ディレクトリ/パーテションのためにだけこの機能を使用することができるセッティング・パスワード機能がある。リクエストを受けたとき、受け取ったentity_idがオーナーのentity_idとマッチしなかったとUICCが認識すれば、リクエストは拒絶され、「リクエスト/結果」構造は、以下の通りとなる:
【0062】
MEからUICCまで: Set_Password_Req(entity_id、パス名、パスワード)
UICCからMEまで: Set_Password_Res(結果、entity_id、パス名)
【0063】
有利にオーナーのパーテション/ディレクトリ/ファイルだけが、リクエストの実行を許可されることができるように、entity_idは提供される。パス名は、パーテション/ディレクトリ/ファイルの名前を含むパスを有する。そして、パスワードは、パーテション/ディレクトリ/ファイルに設定されるパスワードを有する。最終結果は、成功か失敗のいずれかである。
【0064】
パスワード変更機能は、エンティティにより使用可能であるが、それ自身のファイル/ディレクトリ/パーテションのためだけである。
リクエストを受け取ったとき、受け取ったentity_idがオーナーのentity_idにマッチしないとUICCが認識した場合、リクエストは拒絶されて、以下の「リクエスト/結果」構造となる。
【0065】
MEからUICCまで: Change_Password_Req(entity_id、パス名、old_password、new_password)
UICCからMEまで:Change_Password_Res(結果、entity_id、パス名)
【0066】
パーテション/ディレクトリ/ファイルの現在のパスワードを有するold_passwordと、パーテション/ディレクトリ/ファイルに設定される予定の新しいパスワードを含むnew_passwordと共に、上述のそれらに対する同様なパラメータが採用される。
【0067】
パスワード検証機能のためのリクエスト/結果構造は、以下のようにすることができる。
【0068】
MEからUICCまで: Verify_Password_Req(entity_id、パス名、パスワード)
UICCからMEまで: Verify_Password_Res(結果、entity_id、パス名)
【0069】
1例として、ひとつの任意の保護されたエレメント(ファイル、ディレクトリ、またはパーテション)に対する、各エンティティに対するパスワード検証のための「試み」の数は、3つに限られる。3つの試みが失敗した後、エレメントに対するアクセス条件が変更される(例えば、このエレメントのオーナーが変更するか、パスワードを消去するか)まで、エレメントはもはや、これらの試みを行ったエンティティにアクセスすることができない。
【0070】
エンティティがそれ自身のファイル/ディレクトリ/パーテションのためにだけ「セットドメイン」機能を使用することができるよう構成することが可能である。UICCが、リクエストを受け取って、受け取ったentity_idがオーナーのentity_idとマッチしないと認識した場合、当該リクエストは拒絶され、「リクエスト/結果」構造は以下の通りになる。
【0071】
MEからUICCまで: Set_Domain_Req(entity_id、パス名、領域)
UICCからMEまで: Set_Domain_Res(結果、entity_id、パス名)
【0072】
得られるドメイン機能は、以下の「リクエスト/結果」構造として提供することができる。
【0073】
MEからUICCまで:Get_Domain_Req(entity_id、パス名)
UICCからMEまで: Get_Domain_Res(結果、entity_id、パス名、領域)
【0074】
さらに、アクセス状態通知機能は、以下の、対応する構造として提供することができる。
【0075】
UICCからMEまで: Access_Condition_Notification(entity_id、パス名、状態)
【0076】
上述したこれらに対する同様なパラメータが、パス名(例えば、パスワードを必要とする)によって示されたエレメントのために検証される必要がある状態を有する状態パラメータを付加して採用される。
【0077】
1つのエンティティ識別子生成機能は、以下の「リクエスト/結果」構造と共に提供され得る。
MEからUICCまで: Gene noted above rate_Entity_Id_Req(entity_name)
UICCからMEまで: Generate_Entity_Id_Res(結果、entity_name、entity_id);
【0078】
関連したパラメータについては、前に述べたように、entity_nameは、エンティティのパブリックネームを含み、entity_idは、各エンティティ名ごとに、UICCによって割り当てられた一意の識別子を有する。
【0079】
本発明の本実施の形態の更なる面の例として、下記は本発明の実施の例で、上述した「可能性がある領域」を示す。
【0080】
先ず、ユーザが写真を撮り、画像ファイルを「/partition1/directory1/image1.jpg」に保存する。「partition1」領域は、「制限されたリード・ライト」として定義される。「directory1」と「image1.jpg」は、パスワードによって保護されていない。
ユーザ又は他のどのエンティティも、「image1.jpg」ファイルにアクセスすることは問わないが、唯一の条件として、「partition1」のパスワードを知っている必要がある。
【0081】
第2の例として、ユーザは写真を撮って、画像ファイルを「/partition1/directory1/image1.jpg」に保存する。 「partition1」と「directory1」領域は、パブリック(したがって、パスワードは必要なし)と定義される。「image1.jpg」は、パスワードによって保護される(ドメイン「制限されたリード」)。
ユーザ又は他のどのエンティティも「image1.jpg」ファイルをリードすることは問わないが、唯一の条件として、「image1.jpg」のパスワードを知っている必要がある。
【0082】
第3の例に、ユーザは写真を撮って、画像ファイルを「/partition1/directory1/image1.jpg」に保存する。「partition1」領域は、プライベートと定義される。「directory1」と「image1.jpg」は、パスワードによって保護されていない。
【0083】
ユーザ又は他のどのエンティティも、「image1.jpg」ファイルにアクセスするのは問わないが、ユーザだけが続くパスワード検証に成功した後にファイルにアクセスすることができる。たとえ正しいパスワードを知っていても、他のどのエンティティもこのファイルにアクセスすることができない(そのentity_idがオーナーentity_idと一致しないため)。
【0084】
第4の例として、ユーザは写真を撮って、画像ファイルを「/partition1/directory1/image1.jpg」に保存する。「partition1」、「directory1」、「image1.jpg」ドメインは、「リードオンリー」と定義される。
【0085】
この例における最初の動作としては、ユーザ又は他のどのエンティティであっても「image1.jpg」ファイルを読むことができ、そして、ファイルを読むためにパスワードを要求されないため、ファイルに直接アクセスすることができる。
【0086】
しかしながら、第2の動作として、ユーザ又は他のどのエンティティでも「image1.jpg」ファイルを更新するのは問わないが、オーナー(ユーザー)のみが続くパスワード検証に成功した後で、ファイルにアクセスすることができる。
【0087】
上記の内容から分かるように、本発明は、将来のUICC−ME間の大きなデータのやり取りが主にUSBインターフェースを介して行われるという事実をすぐに考慮することができる。したがって、上述の例は、USBとEEM(Ethernet(登録商標) Emulation Mode)インターフェース・クラスをサポートしているME−UICCインターフェースに実装することを目的としている。しかし、この課題解決の方法は、スマートカードCCID(Integrated Circuit(s) Cards Interface Device)のような他のUSBインターフェース・クラスについて適用されることもできる。
【0088】
このことについては、USBパケットは、EEM PacketがUSBパケットのペイロードを有するフォーマットを有することから理解されるべきである。EEMパケット自体が、EEM DataかEEM Commandフォーマットとして定義されたフォーマットを有している。
【0089】
EEM CommandパケットがローカルUSBリンク管理として使用され、したがって、USBデバイス・ドライバ層を超えることができない。したがって、これら説明した例の規定のインターフェース機能は、EEM Dataタイプパケットのペイロード部分に要約されます。
【0090】
上記したように、Elementary Filesに基づく現在のファイルシステムには若干の限界があるのに対し、大きなサイズ/マルチメディア・データのサポートを強化するために、本発明は、データストレージを向上することに役立つ特徴も含む。本発明は、大部分の既存のElementary Filesファイルシステムを標準的なファイル形式ファイルシステムと取り替えることを目的とする。
【0091】
その目的のために、特定にME−UICCインターフェース機能は、MEに、UICCの中で、パーテション/ディレクトリ/ファイルを生成して管理することを許可するために定義されている。
【0092】
そのようなME-UICC機能の例は、以下で概説される。
【0093】
(パーテションまたはディレクトリまたはファイルを生成する)Creation機能は、以下の「リクエスト/結果」構造と関連する。
【0094】
MEからUICCまで:Create_Element_Req(entity_id、element_type、パス名、element_parameters)
UICCからMEまで:Create_Element_Res(結果、entity_id、パス名、additional_info)
【0095】
その中で使用されるパラメータは、以下の通りに定められる。
−entity_id:「Creationリクエスト」を送信したエンティティを示す
−element_type:パーテションまたはディレクトリまたはファイル
−パス名:生成されるエレメントの「パス+名前」を含む;例えば/パーテション/global_directory/directory1/image1.jpg
−element_parameters:所定のエレメントタイプに特有のパラメータ;例えばパーテションの場合のサイズ、ファイルの場合のファイルタイプ、など… )
−結果(result):リクエスト実行結果を含む(成功、失敗、修正して成功 … )
−additional_info:UICCが単純な実行結果より多くの情報を送るとき、このパラメータ(例えばUICCがリクエストされたものと異なるサイズでパーテションをつくる場合に備えて)に、これらの追加のデータが含まれる
【0096】
(パーテションまたはディレクトリまたはファイルを読むための)採用されるRead機能は、以下のリクエスト/結果構造と関係する。
【0097】
MEからUICCまで: Read_Element_Req(entity_id、パス名)
UICCからMEまで: Read_Element_Res(結果、entity_id、パス名、データ)
そして、ここでは、パラメータは以下のように定義される:
【0098】
−entity_id:読み出しリクエストを送信したエンティティを示す
−パス名:読み出されるエレメントの(パス+名前)を含む
−結果:エレメントの読み出し結果(成功または失敗)
−データ:読み出されたエレメントを含む(例えば、ファイルが生成された場合における、読み出された「パーテション/ディレクトリまたは内容自体」のディレクトリとファイルのリストなど)
【0099】
Update機能は提供されるが、ファイルと以下のリクエスト/結果構造に関するもののためだけに定義される。
【0100】
MEからUICCまで: Update_File_Req(entity_id、パス名、data_type、データ)
UICCからMEまで: Update_File_Res(結果、entity_id、パス名)
【0101】
ここでは、パラメータは以下から成る:
−entity_id:更新リクエストを送ったエンティティを示す
−パス名:アップデートされるファイルの「パス+名前」を含む。例えば「/パーテション/global_directory/directory1/image1.jpg」など
−data_type:生成されたファイルのデータのタイプ(例えばjpg、MPEG、txt、その他)を示す
−データ:ファイルの内容
−結果:更新されたファイルの結果(成功または失敗)
【0102】
Rename機能は、以下のリクエスト/結果構造に関連することができる。
【0103】
MEからUICCまで: Rename_Element_Req(entity_id、old_pathname、new_name)
UICCからMEまで: Rename_Element_Res(結果、entity_id、new_pathname)
そして、パラメータは以下のように定義される:
【0104】
−entity_id:名前変更リクエストを送ったエンティティを示す
−old_pathname:名前を変えられたエレメントの元の「パス+名前」を含む
−new_name:名前を変えられたエレメントの新しい名前(経路はなし)を含む
−結果:名前変更実行結果(成功または失敗)
−new_pathname:名前を変更されたエレメントmp「パス+新しい名前」を含む
【0105】
Move機能は、次のように具現化される
MEからUICCまで:Move_Element_Req(entity_id、old_pathname、new_pathname)
UICCからMEまで:Move_Element_Res(結果、entity_id、new_pathname)
【0106】
そして、以下のパラメータ定義で定義される
−entity_id: 動きリクエストを送信したエンティティを示す
−old_pathname: 動かされたエレメントの古い「パス+名前」を含む
−new_pathname: 動かされたエレメントの新しい「パス+名前」を含む
−結果:動き実行結果(成功または失敗)
【0107】
Delete機能は、例えばリクエスト/結果構造に従って同様に提供されることができる
MEからUICCまで:Delete_Element_Req(entity_id、パス名)
UICCからMEまで:Delete_Element_Res(結果、entity_id、パス名)
【0108】
パラメータは、以下のように定義されることができる
−entity_id:削除リクエストを送信したエンティティを示す
−パス名: 削除されるエレメントの「パス+名前」を含む
−結果: 削除実行結果(成功または失敗)
【0109】
なお、パス名が、保護されている、ある親ディレクトリを含む場合、これらのディレクトリのアクセス条件は、このリクエストを処理する前に、最初に満たされなければならない点に留意する必要がある。
【0110】
Cleaning機能は、オーナーが関連するパスワードを失った/忘れた場合(したがって、パーテション/ディレクトリ/ファイルにおけるいかなるデータにもアクセス不可)に、パーテション/ディレクトリ/ファイルを削除するために提供され、役立つこともできる。
パーテション/ディレクトリ/ファイルのオーナーだけが、この動作を実行することができる。
UICCは、entity_idがオーナーのentity_idと一致し、以下のような「リクエスト/結果」構造に関係することをチェックしなければならない。
【0111】
MEからUICCまで:Clean_Element_Req(entity_id、パス名)
UICCからMEまで:Clean_Element_Res(結果、entity_id、パス名)
【0112】
そして、パラメータは、以下のように定義されることができる:
−entity_id:オーナーだけが、このリクエストを獲得することができる。
−パス名:クリーニング(すなわち削除される)エレメントの「パス+名前」を含む
−結果:クリーニングリクエスト結果(成功または失敗)
【0113】
更なる機能は、例えば、リサイズパーテションに関して、以下の「リクエスト/結果」構造で提供されることもできる。
【0114】
a)リサイズパーテション
MEからUICCまで: Resize_Partition_Req(entity_id、名前、new_size)
UICCからMEまで: Resize_Partition_Res(結果、entity_id、new_allocated_size)
【0115】
関連するパラメータは、以下のように定義されることができる:
−entity_id:リサイズリクエストを送信したエンティティを示す
−名前:パーテションの名前
−new_size:パーテションのために新しく要求されたメモリサイズを含む
−結果:リサイズパーテションの結果(成功、失敗、修正して成功(例えば、割り当てられたサイズがリクエストされたサイズと異なる場合)
−new_allocated_size:パーテションによってUICCにより割り当てられた実際のメモリサイズを表わす
【0116】
これらのインターフェース機能は、必要に応じて組合せて提供されることは勿論である。
【0117】
さて、図3に戻って、図1のUICC10のメモリ記憶装置内に生成されたディレクトリを生成するための信号のシーケンスに関する信号伝達のタイミングチャートを示す。
【0118】
信号のシーケンスは、エンド・ユーザ26、例えば携帯電話機等のME28、及び図1のUICC10のようなUICC30の間で発生するものである。
【0119】
図3に図示されるシーケンスは、既存のパーテション/ディレクトリにおけるディレクトリの生成のために、ユーザ26からのリクエスト32により発生し、そして、パスワード名、ドメイン及びパスワードを含む適切なリクエスト動作34がME28に送られる。
【0120】
もし、ドメインが「パブリック」であるとして要求されれば、ユーザ26はパスワードをディレクトリに設定せず、よって「パスワード」パラメータは空文字列となる。
【0121】
次に、ME28がUICC30に、entity_id、element_type、パス名、及びelement_parametersを含むCreate_Element_Request36を渡す。
【0122】
本例において、ディレクトリ「element_type」の生成では、「ディレクトリ」、及び「element_parameters」は、ヌル値を有することに注意すべきである。
【0123】
続く信号伝達の経過は、パスワード検証シーケンス38を含む。これは、親ディレクトリに関連するが、親ディレクトリがパスワードによって保護されていない場合は要求されない。ただし、保護されている複数のディレクトリのレベルがある場合は、各ディレクトリに対するパスワードは検証されなければならない。
【0124】
パスワード検証シーケンス38は、親−ディレクトリ−パスを含み、そのうえパスワードが要求される状態を確かめる、access_condition_notification信号40により開始される。
【0125】
ME28からMEユーザ26へ、パスワードが要求される通知42が送られると、順に、MEユーザ26からME28へパスワード44が送り返され、次に、ME28からUICC30に、verify_password_request信号46が送られる。UICC30は、次にME28へ、verify_password_result信号48を送り、更なる信号伝達交換が、UICC30とME28の間で行われる。ただし、もし、パスワード値がゼロであれば、このようなパスワード設定機能が生じ得ないことは当然であるが、この信号交換には、create_element結果信号50、set_domain_request信号52、set_domain_result信号54、set_password_request信号56、及びset_password_result信号58が含まれる。
【0126】
シーケンスは、ME28からユーザ26に、生成ディレクトリ結果信号60が送られて終了する。
【0127】
比較として、本発明における本実施例の特徴の更なる詳細が図4に示される。図4は、ファイル生成に関して生成される信号のシーケンスを示す。
【0128】
信号伝達もまた、ユーザ26、ME28、及びUICC30に関して示される。
【0129】
この例では、エンド・ユーザがMEのカメラ機能を使用して写真を撮って、既存のパーテション/ディレクトリにその写真を保存することに決めて、ファイル生成リクエスト64が、モバイル機器28に送られる。これは、関連データに関するパス名、ドメイン、パスワード、及びdata_typeを含むファイル・リクエスト64を生成する。
【0130】
その後、ME28からUICC30に、create_element_type66が送られる。この中では、ファイルの生成のために、element_typeに「ファイル」が設定され、element_parametersは、PGまたはMP3等のfile_typeと、データすなわちファイルそれ自体の内容が含まれる。
【0131】
もし、68において、ファイルを生成するための場所に到着する前にパスワードによって保護されているディレクトリがあることが分かれば、例えば、図3に示したものを図4のシーケンスにも同様に適用する等して、各ディレクトリのパスワードは検証されなければならない。
【0132】
つまり、create_element_result70がUICC 30からME28に送られる。これに応じて、set_domain_request信号72がUICC30に送られ、UICC30がset_domain_results信号74を開始する。ここで、パスワードがゼロ(null)と設定されていないset_password_request 76が、ME28からUICC30に送られるものとする。これに応じて、set_password_result78がUICC30からME28へ送られる。そして、ME28とUICC30の間のこの信号伝達交換70−78のシグナリング交換の最後に、生成されたファイル結果表示80がME28からエンド・ユーザ26に提供される。
【0133】
最後に図5及び図6について、保護されたファイルの読み出しを行おうとする場合に関する信号伝達図であって、正しいパスワードが使用される例(図5)と、比較として、アクセス条件が満たされない例(図6)をここに示す。
【0134】
最初に図5において、適切なエンティティ26が、ME28に対し、当該エンティティが「制限されたリード」ドメインに規定されたファイルを読むことを望む、読み出しファイル84を提供する目的で、82において指示82を準備する。読み出しファイル指示84内のパス名は、例えば「/partition /directory I/picture 1.jpg」のような、読み出されるまでの特定のパスを含む。
【0135】
続いて、read_element_request86がE28からUICC30へ送られる。
【0136】
図5に示す範囲内では、パスワード検証シーケンス88が、ファイルそのものと、そのうえ、パスワードで保護されている、前のディレクトリに適用される。この場合、図5に示されているような信号伝達及び指示90−98を含むパスワード検証シーケンスが提供される。
【0137】
最初に、access_condition_notification信号90がUICC30からME28へ送られる。次に、パスワード要求指示92がME28からエンティティ26へ送られ、検証されたパスワードattempt94が戻され、次に、ME28からUICC30へverify_password_request96を開始する。
【0138】
それから、検証password_result98は、パスワード検証シーケンス88を完了するため、UICC30からME28へ送り返される。
【0139】
パスワードは検証されて、要求されたデータを含む読み出しエレメント結果100がUICC30からME28へ送られ、要求されたデータを含む読み出されたエレメント結果が要求を出しているエンティティ26へ送られる(102)。
【0140】
図6に戻って、104においてもう一つの異なるエンティティによって「プライベート」ドメインに定められるファイルを読むための、あるエンティティによる試みに関するシーケンスが例示される。読み出しファイル指示106はME28に提供される。
【0141】
それから、ME28からUICC30へread_element_request108が送られる。このリクエストにおいては、当然のことながら、entity_idは、ファイルオーナーentity_idと異なっている。
【0142】
UICC30は、ファイルのドメインが「プライベート」ドメインを含み、したがって、ファイルのオーナーだけがファイルにアクセスすることができるとわかる。受け取ったentity_idがオーナーのentity_idにマッチしないので、UICC30からME28に送られたread_element_result110の中にあるリードリクエストは拒絶される。
【0143】
それから、読み出しファイル結果指示112は、ME28からリクエストを出しているエンティティ26へ送られる。そして、その中のデータ・パラメータがゼロ(null)であり、結果は、読み出し失敗を示す。
【0144】
本発明が前述の具体化の詳細に限られていないことは勿論である。
【0145】
USBスマートカードICCDインターフェース・クラスで動作するアプリケーションのための実装(本明細書で説明したのと同様の特徴をサポートしている新しいAPDUコマンドの生成が含まれる)は、はっきりと記述されないが、上述したことと同じ特徴を、ICCDクラス等に適用することができる。
【0146】
また、USB大容量記憶装置インターフェース・クラスをサポートしているUICCを含むシナリオとして、あるエンティティ(例えばME)によってデータ・エレメントが保存され、そのようなUICCがパスワード検証なしでアクセスできると、すなわち、データ・エレメント自体及びその親データ・エレメントに対してパスワードを要求されないと、UICCがUSB大量の記憶装置のように構成され動作し、PCのようなデバイスに接続された時、このデータ・エレメントもまたアクセス可能とするべきである。
【0147】
UICCがUSB大量の記憶装置として構成され、パスワード検証プロセスをサポートしないデバイスに接続されているときは、パスワードで保護されているデータ・エレメントは、アクセスできない状態のままとしなければならない。
【0148】
すなわち、より詳細には、UICCが、具体的にUSB大量の記憶装置のように構成され、例えばPCのような遠隔装置に接続される場合は、UICCは、シンプルなUSBメモリースティックのように振る舞うことができる。それから、パスワードなしで、すなわち上で概説される「パブリック」ドメインのように、MEまたは実際に他のいずれの装置によって保存されたUICCの上のデータ・エレメントは、PC上でアクセスできる状態のままでなければならない。
【0149】
しかし、パスワードによって保護されているデータ・エレメントのために、UICCが、メモリースティックのように振る舞い、PCに接続されているとき、それらはアクセスできない状態にある。
【0150】
たとえば、ユーザが、MEのカメラを使って写真を撮って、パスワードなしでUICC内に保存する。それからユーザがUICCをPCに電気アダプターを介して接続するとき、UICCは、USBメモリースティックのように振る舞い、この写真はPC上でアクセス可能となる。しかし、ユーザがパスワードと共にこの写真を保存すれば、UICCがPCと接続されても、この写真は見ることができない。
【0151】
<参照による取り込み>
本明細書は、2009年1月16日に出願された英国特許出願番番号0900664.4号の優先権を要求する。そして、参照によってその開示の全てをここに取り込む。
【符号の説明】
【0152】
10 UICC
12 処理機能
14 記憶領域
16 インターフェース
18 携帯電話機
20 プロセッサ
22 スタンダード・メモリ
24 送信/受信機能
29 ユーザ
28 ME
30 UICC
32 リクエスト
34 適切なリクエスト動作
36 Create_Element_Request
38 パスワード検証シーケンス8
40 access_condition_notification信号l0
46 verify_password_request信号l6
48 verify_password_result信号l8
50 create_element結果信号l0
52 set_domain_request信号
54 set_domain_result信号
56 set_password_request信号
60 生成ディレクトリ結果信号
64 ファイル生成リクエスト
66 create_element_request
70 create_element_result
72 set_domain_request信号
74 set_domain_results信号
76 set_password_request
78 set_password_result
80 ファイル結果徴候
82 at2における指示
84 読み出しファイル指示
86 read_element_request
90 access_condition_notification信号
92 パスワードリクエスト指示
94 検証パスワード試み
96 verify_password_request
98 検証password_result
100 読み出しエレメントリクエスト0
102 届けられる
106 読み出しファイル指示
108 read_element_request
110 read_element_result
112 読み出しファイル結果指示
【技術分野】
【0001】
本発明は、回路カードに関し、特に、配置、方法、及びそれらに記憶されるデータの保護に関する。
【背景技術】
【0002】
機能の増加に伴い、携帯電話機及び携帯機器(ME:Mobile Equipment)のための他のタイプのハンドヘルドデバイスは、ストレージ及び大量の(個人)データを保持するための一般的なデバイス/インターフェースとして普及している。
【0003】
たとえば、そのようなデータは、個人的な写真、ビデオ、及びSMSメッセージであり、ユーザは、一般的に、ME、例えばSubscriber Identity Module(SIM)カードのようなUniversal Integrated Circuit Card(UICC)の関連部分、又はネットワーク運営者により提供されるネットワークサイドストレージ、又はメモリカードのような他のメディア・デバイスの中に、そのようなデータを格納するオプションを有している。
【0004】
格納されるデータの量と潜在的に個人的な/繊細な性質からみれば、エンド・ユーザの視点から、記憶領域は、十分な記憶容量、適切なセキュリティレベルを備えなければならず、更に利用しやすい状態でなければならない。
【0005】
MEそのものが、適切な保安の程度を提供すると考えられるが、そのようなレベルのセキュリティは、特定ME製造業者に限定されがちであり、ストレージ容量は、全てのタイプのユーザ・データ、特にマルチメディア・データのためには十分に考慮されない。データへ接続性も同様に、一般に、製造業者の特別なケーブルと、関連するソフトウェアの接続性を必要とする。
【0006】
メモリカードのような装置が、大きな記憶容量と手早い接続性を提供することができる一方、ユーザ・データに対して保護するか、適当な保護を提供する手段がない。
【0007】
勿論、アクセスの容易性は、保証とはかけ離れているかもしれないネットワーク・アクセスの利用可能性に依存するが、ネットワークサイドストレージ領域に関しては、十分な記憶容量と共に高度な安全対策を実現することができる。
【0008】
近年の発展においては、UICCのような回路カードは、潜在的に魅力的な記憶領域を有している。例えば3GPP/ETSI Rel-7からから開始された、高密度メモリをサポートしているUICCが利用可能であり、同様な仕様で、単純なアダプターを経由して例えばPC等へのデータ検索のような、UICCによる非常に簡単で高速にデータ変換するUICCとME間の、USB2.0/USB InterChipに基づく新しいインターフェースの供給が提案されている。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】国際公開公報WO2008/139615
【特許文献2】米国特許公開公報2008/254834
【特許文献3】米国特許公開公報2008/256629
【特許文献4】米国特許公開公報2008/155830
【発明の概要】
【発明が解決しようとする課題】
【0010】
特に個人識別情報No.(PIN)コードの使用によりUICCは比較的セキュアであるとされているが、以下の点で限界が残っている。つまり、一旦PINが検証されたら、単にユーザがUSIM/GSMアプリケーションを起動したいときは、記憶されたユーザ・データは、更なるセキュリティチェックを要求されることなく自由にアクセスすることができてしまう。
【0011】
つまり、たとえば、一旦MEを起動し、正しいPINのエンティティを経由して使用してUSIMに適切にアクセスしたら、USIMに保存される他の全てのデータは、直ちにアクセス可能となり、特に、現在のエンド・ユーザが単に、MEに一時的なアクセスをする目的であれば、適当でないかもしれない。
【0012】
国際特許公開WO2008/159615には、サービスの範囲の動的な変化を許可するメモリカード、アクセス・コントロールシステム、アクセスコントロール方法が記載されている。また、ダウンロードされる内容と関連した情報にしたがったアクセス管理の実行を通してのユーザに従う異なるサービスを提供し、そこでは、回路カードはデータ管理部を含み、カード上のデータを保護するためにセキュリティ・メカニズムの供給よりもむしろサービスの動的変化範囲に依存することが記載されている。
【0013】
更に、米国特許公報2008/254834、2008/256629、及び2008/155830には、それぞれ、ユーザ識別子の比較の提供を通して、コンテンツの安全なストレージを提示するメモリカードが記載されている。
【0014】
本発明は、既存のカード及び方法に対し有利な点を有する回路カード、そしてそのようなカードを含むME、そのようなカードにおけるデータ保護方法を提供することを目的とする。
【0015】
特に、本発明は、既存のカード及び方法に対し有利な点を有するUICC、及びそこでのセキュリティ及びデータを提供するための方法を提供するものとする。
【課題を解決するための手段】
【0016】
本発明の一態様においては、複数のデータ・エレメントの格納部が配置された回路カードのデータ保護の方法であって、データ・エレメントに許可される動作を定義するためのドメイン保護エレメント、及びデータ・エレメントへのアクセスを制御するためのパスワード保護エレメントのいずれかに基づき保護を提供するものであって、前記複数のデータ・エレメントのうち少なくとも1つは、前記ドメイン保護エレメント及びパスワード保護エレメントと関連する。
【0017】
本発明は、1つ以上のドメイン保護エレメントの提供を通して、回路カードに格納されるデータの安全性を容易に強化することができて、実際、柔軟でかつすぐに適用可能な方法を提供することができる点で有利である。
【0018】
したがって、そのような回路カードは、エンド・ユーザに、特に、そのような回路カードは、特に、ユーザの特有で慎重に扱うべきデータに対し、セキュリティ、能力、及びアクセス容易性において適切なレベルを有利に提供することができる。
【0019】
それらが、データ・エレメントの保護、例えば、パーテション、ディレクトリ又はファイルのコンビネーションで提供される範囲で提供される場合、特に強化されたセキュリティのレベルが、上述した「パスワード」及び「ドメイン」の特徴のコンビネーションを通して提供される。「パスワード」特徴は、言わば、一度パスワードが検証されデータ・エレメントへのアクセスが許可されるような動作の本質から独立したものとして提供される。一方、「ドメイン」特徴は、前述のパーテション、ディレクトリ又はファイルなどのデータ・エレメントに許可される可能性があるオペレーション(動作)を定義する。
【0020】
1つの特定の例に、回路カードは、UICCから成る。
【0021】
さらにまた、セキュリティの付加的レベルが、回路カードの1つ以上のアプリケーションに対するPINアクセス・コードの使用を通して提供される。
【0022】
好ましくは、上述の複数のデータ・エレメントの各々は、ドメイン保護エレメントと関係する。
【0023】
更に好ましくは、許可された動作は、1以上のリード及び/ライト動作を含む前記ドメイン保護エレメントによって定義されたものである。
【0024】
さらにまた、本発明の方法においては、回路カードにおいてデータにアクセスすることができるエンティティは、一意の識別子に関連している。
【0025】
また、本方法は、データ・エレメントを生成するエンティティの識別子が保存されているものとすることができる。
【0026】
さらに、そして、本発明を具体化した回路カードと共に使用するように構成されたMEに関し、当該方法は、MEの中で、データへのアクセスを要求するエンティティを識別するものとすることができる。
【0027】
好ましくは、データ保護ステップは、MEと回路カードとの間のUSBインターフェース・クラスに適用される
【0028】
更に好ましくは、回路カード上のデータ・エレメントが、スタンダードファイルフォーマットファイルにしたがって保存される。
【0029】
さらにまた、データ・エレメントの生成及び管理は、回路カード内のデータ・エレメントの生成及び管理によって行われ、また、ME経由で提供されることができる。
【0030】
また、ME回路カード・インターフェース機能は、生成機能、リード機能、更新機能、改名機能、動作機能、削除機能、及びクリーニング機能のうちいずれか1以上の機能を有する。
【0031】
本発明の他の態様においては、複数の保護可能なデータ・エレメントが保存された回路カードであって、データ・エレメントに許可される動作を定義するためのドメイン保護エレメント、及びデータ・エレメントへのアクセスを制御するためのパスワード保護エレメントに関連して配置された、少なくとも1つの前記複数の保護可能なデータ・エレメントを有するものである。
【0032】
好ましくは、回路カードは、UICCから成る。
【0033】
また、少なくとも1つのデータ・エレメントは、ドメイン保護エレメントによる許可された動作を開始するために、パスワードが要求されるように構成することができる。
【0034】
好ましくは、複数のデータ・エレメントのそれぞれは、ドメイン保護エレメントに関連している。
【0035】
また、前述のオペレーション(動作)は、少なくとも1つのリード及び/又はライトアクセスオペレーションを含むドメイン保護エレメントによって定義されている。
【0036】
好ましくは、回路カードは、USBインターフェース・クラスを経由してデータ・エレメントにアクセスを許可するように構成される。
【0037】
さらに、回路カードは、そのファイルシステムのスタンダードファイル内に保存されたデータ・エレメントを含むように構成される。
【0038】
本発明は、さらに、上で定められるように、回路カードを受け取るように構成されたMEも提供することができる。
【0039】
好ましくは、MEは、USBインターフェース・クラスを経由して回路カードと通信することができるように構成される。
【0040】
更に好ましくは、上述の保存されたデータ・エレメントを生成及び/または管理が可能に構成されている。
【0041】
好ましくは、ME回路カード・インターフェース機能は、生成機能、リード機能、更新機能、改名機能、動作機能、削除機能、及びクリーニング機能のうちいずれか1以上の機能により定義されている。
【0042】
本発明は、ほんの一例として以下の添付の図面を参照して、説明される。
【発明の効果】
【0043】
本発明によれば、1つ以上のドメイン保護エレメントの提供を通して、回路カードに格納されるデータの安全の程度は、容易に強化されることができて、本当に、柔軟ですぐに適合できる方法とし提供される。
【図面の簡単な説明】
【0044】
【図1】図1は、本発明の実施例におけるUICCの略平面図である。
【図2】図2は、移動無線通信装置またはMEの略平面図であって、携帯電話機及び図1のUICCで動作するようアレンジされた図である。
【図3】図3は、本発明にかかるUICCにおけるディレクトリの生成に関連した信号伝達タイミングチャートである。
【図4】図4は、UICC等のためのファイル生成のための信号伝達タイミングチャートである。
【図5】図5は、誤ったパスワードを用いて保護されたファイルを読もうとした場合の信号伝達タイミングチャートである。
【図6】図6は、正しいパスワードを用いて保護されたファイルを読みだす場合の信号伝達タイミングチャートである。
【発明を実施するための形態】
【0045】
上記及び以下の特定の実施の形態の詳細な説明から明らかなように、本発明は、単純なPINコードに基づくデータ保護機構の提供に関係する現在の回路カードに見られる限界に対処するものである。前述のように、回路カードは、第1に、たとえばGSM/USIM等のアプリケーション及びその関連データであるIMSIまたはPLMNリスト等に関連する。そして、回路カード内のデータ、例えば、同じセキュリティ体制下に移動された、例えばユーザの個人的なファイル、写真、ビデオ、個人的なメッセージなどは、そのようなアプリケーションのいずれにも直接接続されていない。
【0046】
本発明は、回路カードに格納されるあらゆるタイプのデータに対して、強化したセキュリティのレベルを提供することを目的とし、必要とされるならば、既存のPIN保護に加えて使われることができるデータ保護メカニズムを定める。
【0047】
また、回路カード内のデータ記憶装置は、一般的には、大量のデータの記憶に適していないElementary Filesに基づいている。また、そのようなファイルは、ビデオや音楽のようなあるタイプのデータを記憶するために定義されないことがしばしばある。したがって、新しいデータ記憶配置が、本発明の一部として提案され、回路カードセキュリティ向上に関連した特別な用途が見つけられる。
【0048】
最初に図1を参照すると、本発明が適切に具体化されている回路カードの1つの例の概略図が提供されている。
【0049】
回路カードは、記憶領域14とMEインターフェース16の間に提供される処理機能12を含むUICC10を有する。
【0050】
後述されるように、インターフェース16は、USP2.0/USP InterChipに有利に基づくものとすることができる。USP2.0/USP InterChipは、たとえば、UICC10と、簡単な電気アダブタを介してPCと接続される図2の携帯電話機18との間のデータ変換を簡便で高速化することができる。
【0051】
図2に関して、例えば携帯電話機18等の携帯機器(ME)のどんな形式も含む携帯無線通信デバイスの概略図が提供されている。携帯電話機18は、内部に図1のUICC10を備え、スタンダード・メモリ22、プロセッサ20、及び送信/受信機能部24を備えている。
【0052】
携帯電話機18として提供されることができる様々なストレージオプションのうち、UICC10は、上述し、下記に詳細を記述するセキュリティエレメント領域及びセキュリティエレメントパスワードのコンビネーションに基づく、有利で保証された、高速アクセス可能な、適当に大きいデータの格納場所を提供することができる。
【0053】
現在の説明と本発明の定義に関して、当然ながら、パスワードがチェックされとすぐに、オペレーションが許されるだろうことから独立して、「パスワード」は、ファイル/ディレクトリ/パーテションへのアクセスを保護する。これに対し、ドメインは、特定のエンティティが、ファイル/ディレクトリ/パーテション上で実行することができる異なるオペレーションを定義する。
【0054】
したがって、1つの特定の例として、各データ・エレメント、例えばファイル、ディレクトリまたはパーテションでさえ、ドメインと関係することができ、パスワードによって保護されることができる(関連するドメインがパスワードを必要とする場合)。
許可されたオペレーションのそれぞれの定義を有するいろいろなドメインが提供されることができ、相互運用性(インターオペラビリティ)を可能とするために、一般に標準化された方法で提供される。
【0055】
例として、可能性があるドメインは以下の通りである:
プライベート:オーナー(ファイル/ディレクトリ/パーテションにより生成されたエンティティ)だけがアクセスをすることができる。一旦パスワードがうまくチェックされれば、すべての権利は与えられる。
制限されたリード・ライト:もしパスワード・チェックにうまくパスするならば、どんなエンティティに対してもリード・ライトアクセス権が与えられる
制限されたリード:もしパスワード・チェックにうまくパスするならば、どんなエンティティに対してもリードアクセス権が与えられる
リードオンリー:いかなるエンティティも、パスワードなしで読むことができる。
パブリック:どのようなエンティティにも、パスワードなしで、リード・ライトアクセス権を与えられる。
【0056】
UICCのデータにアクセスすることができる、特定のユーザ及び/又は他のデバイス/装置のような、いかなるエンティティも、「entity_id」と呼ばれる一意の識別子と関連づけられている。この識別子は、好ましくは、MEからのリクエストの際に、UICCによって割り当てられる。そして、「リクエスト/結果」構造は以下の通りとすることができる:
MEからUICCまで:Generate_Entity_Id_Req(entity_name)
UICCからMEまで:Generate_Entity_Id_Res(結果、entity_name、entity_id);
【0057】
「entity_name」は、UICCのデータにアクセスすることができるエンティティの、公的に入手可能な名前を示す。この特定の図解された例は、少なくとも、それらのそれぞれのentity_namesを有する次の一般エンティティが定義されることを示している:
−ユーザ(USER)
−携帯機器(ME)
−遠隔サーバ(REMOTE_SERVER)
−ME内のサードパーティのアプリケーション(ME_THIRD_PARTY)
勿論、リストは完全なものではなく、よって他のエンティティも含まれ得る。
【0058】
「entity_id」は、UICCによって、所定の「entity_name」に割り当てられるプライベートの識別子である。
「entity_name」、「entity_id」の組は、ME内のメモリに保存され、MEはこれらの組の守秘性を保証する。
【0059】
都合のよいことに、リクエスト中のエンティティ(UICCのデータにアクセスしたがっているエンティティ)を正確に識別する責任がある。例えば、もしリクエストがMEアプリケーションからきているならば、MEは、このドキュメントに定義されたインターフェース機能におけるMEと関連かあるentity_idを使用する。
MEにとって、異なる要求中のエンティティを識別するための簡単な方法は、MEオペレーティングシステムによって割り当てられる、それぞれスレッド又はプロセス識別子の使用に基づいていてもよい。
いくつかの動作は、直接このentity_idに依存しているため、UICCは、MEから渡された「entity_id」は、正確であるという事実に頼ることができる。つまり、MEからUICCへのそのような正確な「entity_id」の供給は、この提案で定義したセキュリティ・メカニズムを強調することができる。
【0060】
ファイル/ディレクトリ/パーテションが生成されるとき、UICCは、生成されたエレメントのために、「オーナー」の概念を結びつけることができる。その目的のために、UICCは、単にリクエスト生成機能でパスされる「entity_id」を取り、生成されたエレメントのオーナーenrity_idとして、それを保存する。
多くのオペレーションは、ファイル/ディレクトリ/パーテションのオーナーである場合にのみ許可される(例えば、上述のようにプライベートドメインと定義されたエレメントは、オーナーからしかアクセスすることができない)。このため、このオーナーシップの考えは重要であると証明することができる。
【0061】
いろいろなセキュリティ・インターフェース機能を採用することができる。
第1には、エンティティがその自身のファイル/ディレクトリ/パーテションのためにだけこの機能を使用することができるセッティング・パスワード機能がある。リクエストを受けたとき、受け取ったentity_idがオーナーのentity_idとマッチしなかったとUICCが認識すれば、リクエストは拒絶され、「リクエスト/結果」構造は、以下の通りとなる:
【0062】
MEからUICCまで: Set_Password_Req(entity_id、パス名、パスワード)
UICCからMEまで: Set_Password_Res(結果、entity_id、パス名)
【0063】
有利にオーナーのパーテション/ディレクトリ/ファイルだけが、リクエストの実行を許可されることができるように、entity_idは提供される。パス名は、パーテション/ディレクトリ/ファイルの名前を含むパスを有する。そして、パスワードは、パーテション/ディレクトリ/ファイルに設定されるパスワードを有する。最終結果は、成功か失敗のいずれかである。
【0064】
パスワード変更機能は、エンティティにより使用可能であるが、それ自身のファイル/ディレクトリ/パーテションのためだけである。
リクエストを受け取ったとき、受け取ったentity_idがオーナーのentity_idにマッチしないとUICCが認識した場合、リクエストは拒絶されて、以下の「リクエスト/結果」構造となる。
【0065】
MEからUICCまで: Change_Password_Req(entity_id、パス名、old_password、new_password)
UICCからMEまで:Change_Password_Res(結果、entity_id、パス名)
【0066】
パーテション/ディレクトリ/ファイルの現在のパスワードを有するold_passwordと、パーテション/ディレクトリ/ファイルに設定される予定の新しいパスワードを含むnew_passwordと共に、上述のそれらに対する同様なパラメータが採用される。
【0067】
パスワード検証機能のためのリクエスト/結果構造は、以下のようにすることができる。
【0068】
MEからUICCまで: Verify_Password_Req(entity_id、パス名、パスワード)
UICCからMEまで: Verify_Password_Res(結果、entity_id、パス名)
【0069】
1例として、ひとつの任意の保護されたエレメント(ファイル、ディレクトリ、またはパーテション)に対する、各エンティティに対するパスワード検証のための「試み」の数は、3つに限られる。3つの試みが失敗した後、エレメントに対するアクセス条件が変更される(例えば、このエレメントのオーナーが変更するか、パスワードを消去するか)まで、エレメントはもはや、これらの試みを行ったエンティティにアクセスすることができない。
【0070】
エンティティがそれ自身のファイル/ディレクトリ/パーテションのためにだけ「セットドメイン」機能を使用することができるよう構成することが可能である。UICCが、リクエストを受け取って、受け取ったentity_idがオーナーのentity_idとマッチしないと認識した場合、当該リクエストは拒絶され、「リクエスト/結果」構造は以下の通りになる。
【0071】
MEからUICCまで: Set_Domain_Req(entity_id、パス名、領域)
UICCからMEまで: Set_Domain_Res(結果、entity_id、パス名)
【0072】
得られるドメイン機能は、以下の「リクエスト/結果」構造として提供することができる。
【0073】
MEからUICCまで:Get_Domain_Req(entity_id、パス名)
UICCからMEまで: Get_Domain_Res(結果、entity_id、パス名、領域)
【0074】
さらに、アクセス状態通知機能は、以下の、対応する構造として提供することができる。
【0075】
UICCからMEまで: Access_Condition_Notification(entity_id、パス名、状態)
【0076】
上述したこれらに対する同様なパラメータが、パス名(例えば、パスワードを必要とする)によって示されたエレメントのために検証される必要がある状態を有する状態パラメータを付加して採用される。
【0077】
1つのエンティティ識別子生成機能は、以下の「リクエスト/結果」構造と共に提供され得る。
MEからUICCまで: Gene noted above rate_Entity_Id_Req(entity_name)
UICCからMEまで: Generate_Entity_Id_Res(結果、entity_name、entity_id);
【0078】
関連したパラメータについては、前に述べたように、entity_nameは、エンティティのパブリックネームを含み、entity_idは、各エンティティ名ごとに、UICCによって割り当てられた一意の識別子を有する。
【0079】
本発明の本実施の形態の更なる面の例として、下記は本発明の実施の例で、上述した「可能性がある領域」を示す。
【0080】
先ず、ユーザが写真を撮り、画像ファイルを「/partition1/directory1/image1.jpg」に保存する。「partition1」領域は、「制限されたリード・ライト」として定義される。「directory1」と「image1.jpg」は、パスワードによって保護されていない。
ユーザ又は他のどのエンティティも、「image1.jpg」ファイルにアクセスすることは問わないが、唯一の条件として、「partition1」のパスワードを知っている必要がある。
【0081】
第2の例として、ユーザは写真を撮って、画像ファイルを「/partition1/directory1/image1.jpg」に保存する。 「partition1」と「directory1」領域は、パブリック(したがって、パスワードは必要なし)と定義される。「image1.jpg」は、パスワードによって保護される(ドメイン「制限されたリード」)。
ユーザ又は他のどのエンティティも「image1.jpg」ファイルをリードすることは問わないが、唯一の条件として、「image1.jpg」のパスワードを知っている必要がある。
【0082】
第3の例に、ユーザは写真を撮って、画像ファイルを「/partition1/directory1/image1.jpg」に保存する。「partition1」領域は、プライベートと定義される。「directory1」と「image1.jpg」は、パスワードによって保護されていない。
【0083】
ユーザ又は他のどのエンティティも、「image1.jpg」ファイルにアクセスするのは問わないが、ユーザだけが続くパスワード検証に成功した後にファイルにアクセスすることができる。たとえ正しいパスワードを知っていても、他のどのエンティティもこのファイルにアクセスすることができない(そのentity_idがオーナーentity_idと一致しないため)。
【0084】
第4の例として、ユーザは写真を撮って、画像ファイルを「/partition1/directory1/image1.jpg」に保存する。「partition1」、「directory1」、「image1.jpg」ドメインは、「リードオンリー」と定義される。
【0085】
この例における最初の動作としては、ユーザ又は他のどのエンティティであっても「image1.jpg」ファイルを読むことができ、そして、ファイルを読むためにパスワードを要求されないため、ファイルに直接アクセスすることができる。
【0086】
しかしながら、第2の動作として、ユーザ又は他のどのエンティティでも「image1.jpg」ファイルを更新するのは問わないが、オーナー(ユーザー)のみが続くパスワード検証に成功した後で、ファイルにアクセスすることができる。
【0087】
上記の内容から分かるように、本発明は、将来のUICC−ME間の大きなデータのやり取りが主にUSBインターフェースを介して行われるという事実をすぐに考慮することができる。したがって、上述の例は、USBとEEM(Ethernet(登録商標) Emulation Mode)インターフェース・クラスをサポートしているME−UICCインターフェースに実装することを目的としている。しかし、この課題解決の方法は、スマートカードCCID(Integrated Circuit(s) Cards Interface Device)のような他のUSBインターフェース・クラスについて適用されることもできる。
【0088】
このことについては、USBパケットは、EEM PacketがUSBパケットのペイロードを有するフォーマットを有することから理解されるべきである。EEMパケット自体が、EEM DataかEEM Commandフォーマットとして定義されたフォーマットを有している。
【0089】
EEM CommandパケットがローカルUSBリンク管理として使用され、したがって、USBデバイス・ドライバ層を超えることができない。したがって、これら説明した例の規定のインターフェース機能は、EEM Dataタイプパケットのペイロード部分に要約されます。
【0090】
上記したように、Elementary Filesに基づく現在のファイルシステムには若干の限界があるのに対し、大きなサイズ/マルチメディア・データのサポートを強化するために、本発明は、データストレージを向上することに役立つ特徴も含む。本発明は、大部分の既存のElementary Filesファイルシステムを標準的なファイル形式ファイルシステムと取り替えることを目的とする。
【0091】
その目的のために、特定にME−UICCインターフェース機能は、MEに、UICCの中で、パーテション/ディレクトリ/ファイルを生成して管理することを許可するために定義されている。
【0092】
そのようなME-UICC機能の例は、以下で概説される。
【0093】
(パーテションまたはディレクトリまたはファイルを生成する)Creation機能は、以下の「リクエスト/結果」構造と関連する。
【0094】
MEからUICCまで:Create_Element_Req(entity_id、element_type、パス名、element_parameters)
UICCからMEまで:Create_Element_Res(結果、entity_id、パス名、additional_info)
【0095】
その中で使用されるパラメータは、以下の通りに定められる。
−entity_id:「Creationリクエスト」を送信したエンティティを示す
−element_type:パーテションまたはディレクトリまたはファイル
−パス名:生成されるエレメントの「パス+名前」を含む;例えば/パーテション/global_directory/directory1/image1.jpg
−element_parameters:所定のエレメントタイプに特有のパラメータ;例えばパーテションの場合のサイズ、ファイルの場合のファイルタイプ、など… )
−結果(result):リクエスト実行結果を含む(成功、失敗、修正して成功 … )
−additional_info:UICCが単純な実行結果より多くの情報を送るとき、このパラメータ(例えばUICCがリクエストされたものと異なるサイズでパーテションをつくる場合に備えて)に、これらの追加のデータが含まれる
【0096】
(パーテションまたはディレクトリまたはファイルを読むための)採用されるRead機能は、以下のリクエスト/結果構造と関係する。
【0097】
MEからUICCまで: Read_Element_Req(entity_id、パス名)
UICCからMEまで: Read_Element_Res(結果、entity_id、パス名、データ)
そして、ここでは、パラメータは以下のように定義される:
【0098】
−entity_id:読み出しリクエストを送信したエンティティを示す
−パス名:読み出されるエレメントの(パス+名前)を含む
−結果:エレメントの読み出し結果(成功または失敗)
−データ:読み出されたエレメントを含む(例えば、ファイルが生成された場合における、読み出された「パーテション/ディレクトリまたは内容自体」のディレクトリとファイルのリストなど)
【0099】
Update機能は提供されるが、ファイルと以下のリクエスト/結果構造に関するもののためだけに定義される。
【0100】
MEからUICCまで: Update_File_Req(entity_id、パス名、data_type、データ)
UICCからMEまで: Update_File_Res(結果、entity_id、パス名)
【0101】
ここでは、パラメータは以下から成る:
−entity_id:更新リクエストを送ったエンティティを示す
−パス名:アップデートされるファイルの「パス+名前」を含む。例えば「/パーテション/global_directory/directory1/image1.jpg」など
−data_type:生成されたファイルのデータのタイプ(例えばjpg、MPEG、txt、その他)を示す
−データ:ファイルの内容
−結果:更新されたファイルの結果(成功または失敗)
【0102】
Rename機能は、以下のリクエスト/結果構造に関連することができる。
【0103】
MEからUICCまで: Rename_Element_Req(entity_id、old_pathname、new_name)
UICCからMEまで: Rename_Element_Res(結果、entity_id、new_pathname)
そして、パラメータは以下のように定義される:
【0104】
−entity_id:名前変更リクエストを送ったエンティティを示す
−old_pathname:名前を変えられたエレメントの元の「パス+名前」を含む
−new_name:名前を変えられたエレメントの新しい名前(経路はなし)を含む
−結果:名前変更実行結果(成功または失敗)
−new_pathname:名前を変更されたエレメントmp「パス+新しい名前」を含む
【0105】
Move機能は、次のように具現化される
MEからUICCまで:Move_Element_Req(entity_id、old_pathname、new_pathname)
UICCからMEまで:Move_Element_Res(結果、entity_id、new_pathname)
【0106】
そして、以下のパラメータ定義で定義される
−entity_id: 動きリクエストを送信したエンティティを示す
−old_pathname: 動かされたエレメントの古い「パス+名前」を含む
−new_pathname: 動かされたエレメントの新しい「パス+名前」を含む
−結果:動き実行結果(成功または失敗)
【0107】
Delete機能は、例えばリクエスト/結果構造に従って同様に提供されることができる
MEからUICCまで:Delete_Element_Req(entity_id、パス名)
UICCからMEまで:Delete_Element_Res(結果、entity_id、パス名)
【0108】
パラメータは、以下のように定義されることができる
−entity_id:削除リクエストを送信したエンティティを示す
−パス名: 削除されるエレメントの「パス+名前」を含む
−結果: 削除実行結果(成功または失敗)
【0109】
なお、パス名が、保護されている、ある親ディレクトリを含む場合、これらのディレクトリのアクセス条件は、このリクエストを処理する前に、最初に満たされなければならない点に留意する必要がある。
【0110】
Cleaning機能は、オーナーが関連するパスワードを失った/忘れた場合(したがって、パーテション/ディレクトリ/ファイルにおけるいかなるデータにもアクセス不可)に、パーテション/ディレクトリ/ファイルを削除するために提供され、役立つこともできる。
パーテション/ディレクトリ/ファイルのオーナーだけが、この動作を実行することができる。
UICCは、entity_idがオーナーのentity_idと一致し、以下のような「リクエスト/結果」構造に関係することをチェックしなければならない。
【0111】
MEからUICCまで:Clean_Element_Req(entity_id、パス名)
UICCからMEまで:Clean_Element_Res(結果、entity_id、パス名)
【0112】
そして、パラメータは、以下のように定義されることができる:
−entity_id:オーナーだけが、このリクエストを獲得することができる。
−パス名:クリーニング(すなわち削除される)エレメントの「パス+名前」を含む
−結果:クリーニングリクエスト結果(成功または失敗)
【0113】
更なる機能は、例えば、リサイズパーテションに関して、以下の「リクエスト/結果」構造で提供されることもできる。
【0114】
a)リサイズパーテション
MEからUICCまで: Resize_Partition_Req(entity_id、名前、new_size)
UICCからMEまで: Resize_Partition_Res(結果、entity_id、new_allocated_size)
【0115】
関連するパラメータは、以下のように定義されることができる:
−entity_id:リサイズリクエストを送信したエンティティを示す
−名前:パーテションの名前
−new_size:パーテションのために新しく要求されたメモリサイズを含む
−結果:リサイズパーテションの結果(成功、失敗、修正して成功(例えば、割り当てられたサイズがリクエストされたサイズと異なる場合)
−new_allocated_size:パーテションによってUICCにより割り当てられた実際のメモリサイズを表わす
【0116】
これらのインターフェース機能は、必要に応じて組合せて提供されることは勿論である。
【0117】
さて、図3に戻って、図1のUICC10のメモリ記憶装置内に生成されたディレクトリを生成するための信号のシーケンスに関する信号伝達のタイミングチャートを示す。
【0118】
信号のシーケンスは、エンド・ユーザ26、例えば携帯電話機等のME28、及び図1のUICC10のようなUICC30の間で発生するものである。
【0119】
図3に図示されるシーケンスは、既存のパーテション/ディレクトリにおけるディレクトリの生成のために、ユーザ26からのリクエスト32により発生し、そして、パスワード名、ドメイン及びパスワードを含む適切なリクエスト動作34がME28に送られる。
【0120】
もし、ドメインが「パブリック」であるとして要求されれば、ユーザ26はパスワードをディレクトリに設定せず、よって「パスワード」パラメータは空文字列となる。
【0121】
次に、ME28がUICC30に、entity_id、element_type、パス名、及びelement_parametersを含むCreate_Element_Request36を渡す。
【0122】
本例において、ディレクトリ「element_type」の生成では、「ディレクトリ」、及び「element_parameters」は、ヌル値を有することに注意すべきである。
【0123】
続く信号伝達の経過は、パスワード検証シーケンス38を含む。これは、親ディレクトリに関連するが、親ディレクトリがパスワードによって保護されていない場合は要求されない。ただし、保護されている複数のディレクトリのレベルがある場合は、各ディレクトリに対するパスワードは検証されなければならない。
【0124】
パスワード検証シーケンス38は、親−ディレクトリ−パスを含み、そのうえパスワードが要求される状態を確かめる、access_condition_notification信号40により開始される。
【0125】
ME28からMEユーザ26へ、パスワードが要求される通知42が送られると、順に、MEユーザ26からME28へパスワード44が送り返され、次に、ME28からUICC30に、verify_password_request信号46が送られる。UICC30は、次にME28へ、verify_password_result信号48を送り、更なる信号伝達交換が、UICC30とME28の間で行われる。ただし、もし、パスワード値がゼロであれば、このようなパスワード設定機能が生じ得ないことは当然であるが、この信号交換には、create_element結果信号50、set_domain_request信号52、set_domain_result信号54、set_password_request信号56、及びset_password_result信号58が含まれる。
【0126】
シーケンスは、ME28からユーザ26に、生成ディレクトリ結果信号60が送られて終了する。
【0127】
比較として、本発明における本実施例の特徴の更なる詳細が図4に示される。図4は、ファイル生成に関して生成される信号のシーケンスを示す。
【0128】
信号伝達もまた、ユーザ26、ME28、及びUICC30に関して示される。
【0129】
この例では、エンド・ユーザがMEのカメラ機能を使用して写真を撮って、既存のパーテション/ディレクトリにその写真を保存することに決めて、ファイル生成リクエスト64が、モバイル機器28に送られる。これは、関連データに関するパス名、ドメイン、パスワード、及びdata_typeを含むファイル・リクエスト64を生成する。
【0130】
その後、ME28からUICC30に、create_element_type66が送られる。この中では、ファイルの生成のために、element_typeに「ファイル」が設定され、element_parametersは、PGまたはMP3等のfile_typeと、データすなわちファイルそれ自体の内容が含まれる。
【0131】
もし、68において、ファイルを生成するための場所に到着する前にパスワードによって保護されているディレクトリがあることが分かれば、例えば、図3に示したものを図4のシーケンスにも同様に適用する等して、各ディレクトリのパスワードは検証されなければならない。
【0132】
つまり、create_element_result70がUICC 30からME28に送られる。これに応じて、set_domain_request信号72がUICC30に送られ、UICC30がset_domain_results信号74を開始する。ここで、パスワードがゼロ(null)と設定されていないset_password_request 76が、ME28からUICC30に送られるものとする。これに応じて、set_password_result78がUICC30からME28へ送られる。そして、ME28とUICC30の間のこの信号伝達交換70−78のシグナリング交換の最後に、生成されたファイル結果表示80がME28からエンド・ユーザ26に提供される。
【0133】
最後に図5及び図6について、保護されたファイルの読み出しを行おうとする場合に関する信号伝達図であって、正しいパスワードが使用される例(図5)と、比較として、アクセス条件が満たされない例(図6)をここに示す。
【0134】
最初に図5において、適切なエンティティ26が、ME28に対し、当該エンティティが「制限されたリード」ドメインに規定されたファイルを読むことを望む、読み出しファイル84を提供する目的で、82において指示82を準備する。読み出しファイル指示84内のパス名は、例えば「/partition /directory I/picture 1.jpg」のような、読み出されるまでの特定のパスを含む。
【0135】
続いて、read_element_request86がE28からUICC30へ送られる。
【0136】
図5に示す範囲内では、パスワード検証シーケンス88が、ファイルそのものと、そのうえ、パスワードで保護されている、前のディレクトリに適用される。この場合、図5に示されているような信号伝達及び指示90−98を含むパスワード検証シーケンスが提供される。
【0137】
最初に、access_condition_notification信号90がUICC30からME28へ送られる。次に、パスワード要求指示92がME28からエンティティ26へ送られ、検証されたパスワードattempt94が戻され、次に、ME28からUICC30へverify_password_request96を開始する。
【0138】
それから、検証password_result98は、パスワード検証シーケンス88を完了するため、UICC30からME28へ送り返される。
【0139】
パスワードは検証されて、要求されたデータを含む読み出しエレメント結果100がUICC30からME28へ送られ、要求されたデータを含む読み出されたエレメント結果が要求を出しているエンティティ26へ送られる(102)。
【0140】
図6に戻って、104においてもう一つの異なるエンティティによって「プライベート」ドメインに定められるファイルを読むための、あるエンティティによる試みに関するシーケンスが例示される。読み出しファイル指示106はME28に提供される。
【0141】
それから、ME28からUICC30へread_element_request108が送られる。このリクエストにおいては、当然のことながら、entity_idは、ファイルオーナーentity_idと異なっている。
【0142】
UICC30は、ファイルのドメインが「プライベート」ドメインを含み、したがって、ファイルのオーナーだけがファイルにアクセスすることができるとわかる。受け取ったentity_idがオーナーのentity_idにマッチしないので、UICC30からME28に送られたread_element_result110の中にあるリードリクエストは拒絶される。
【0143】
それから、読み出しファイル結果指示112は、ME28からリクエストを出しているエンティティ26へ送られる。そして、その中のデータ・パラメータがゼロ(null)であり、結果は、読み出し失敗を示す。
【0144】
本発明が前述の具体化の詳細に限られていないことは勿論である。
【0145】
USBスマートカードICCDインターフェース・クラスで動作するアプリケーションのための実装(本明細書で説明したのと同様の特徴をサポートしている新しいAPDUコマンドの生成が含まれる)は、はっきりと記述されないが、上述したことと同じ特徴を、ICCDクラス等に適用することができる。
【0146】
また、USB大容量記憶装置インターフェース・クラスをサポートしているUICCを含むシナリオとして、あるエンティティ(例えばME)によってデータ・エレメントが保存され、そのようなUICCがパスワード検証なしでアクセスできると、すなわち、データ・エレメント自体及びその親データ・エレメントに対してパスワードを要求されないと、UICCがUSB大量の記憶装置のように構成され動作し、PCのようなデバイスに接続された時、このデータ・エレメントもまたアクセス可能とするべきである。
【0147】
UICCがUSB大量の記憶装置として構成され、パスワード検証プロセスをサポートしないデバイスに接続されているときは、パスワードで保護されているデータ・エレメントは、アクセスできない状態のままとしなければならない。
【0148】
すなわち、より詳細には、UICCが、具体的にUSB大量の記憶装置のように構成され、例えばPCのような遠隔装置に接続される場合は、UICCは、シンプルなUSBメモリースティックのように振る舞うことができる。それから、パスワードなしで、すなわち上で概説される「パブリック」ドメインのように、MEまたは実際に他のいずれの装置によって保存されたUICCの上のデータ・エレメントは、PC上でアクセスできる状態のままでなければならない。
【0149】
しかし、パスワードによって保護されているデータ・エレメントのために、UICCが、メモリースティックのように振る舞い、PCに接続されているとき、それらはアクセスできない状態にある。
【0150】
たとえば、ユーザが、MEのカメラを使って写真を撮って、パスワードなしでUICC内に保存する。それからユーザがUICCをPCに電気アダプターを介して接続するとき、UICCは、USBメモリースティックのように振る舞い、この写真はPC上でアクセス可能となる。しかし、ユーザがパスワードと共にこの写真を保存すれば、UICCがPCと接続されても、この写真は見ることができない。
【0151】
<参照による取り込み>
本明細書は、2009年1月16日に出願された英国特許出願番番号0900664.4号の優先権を要求する。そして、参照によってその開示の全てをここに取り込む。
【符号の説明】
【0152】
10 UICC
12 処理機能
14 記憶領域
16 インターフェース
18 携帯電話機
20 プロセッサ
22 スタンダード・メモリ
24 送信/受信機能
29 ユーザ
28 ME
30 UICC
32 リクエスト
34 適切なリクエスト動作
36 Create_Element_Request
38 パスワード検証シーケンス8
40 access_condition_notification信号l0
46 verify_password_request信号l6
48 verify_password_result信号l8
50 create_element結果信号l0
52 set_domain_request信号
54 set_domain_result信号
56 set_password_request信号
60 生成ディレクトリ結果信号
64 ファイル生成リクエスト
66 create_element_request
70 create_element_result
72 set_domain_request信号
74 set_domain_results信号
76 set_password_request
78 set_password_result
80 ファイル結果徴候
82 at2における指示
84 読み出しファイル指示
86 read_element_request
90 access_condition_notification信号
92 パスワードリクエスト指示
94 検証パスワード試み
96 verify_password_request
98 検証password_result
100 読み出しエレメントリクエスト0
102 届けられる
106 読み出しファイル指示
108 read_element_request
110 read_element_result
112 読み出しファイル結果指示
【特許請求の範囲】
【請求項1】
複数のデータ・エレメントの格納部が配置された回路カードのデータ保護の方法であって、
データ・エレメントに許可される動作を定義するためのドメイン保護エレメント、及びデータ・エレメントへのアクセスを制御するためのパスワード保護エレメントのいずれかに基づき保護を提供するものであって、
前記複数のデータ・エレメントのうち少なくとも1つは、前記ドメイン保護エレメント及びパスワード保護エレメントと関連するデータ保護方法。
【請求項2】
前記少なくとも1つのデータ・エレメントに対して前記許可された動作の開始にはパスワードが要求され、当該動作は、前記ドメイン保護エレメントにより定義されている請求項1記載のデータ保護方法。
【請求項3】
前記回路カードの1以上のアプリケーションにアクセスするためにPINコードを使用する請求項1又は2記載のデータ保護方法。
【請求項4】
前記複数のデータ・エレメントのそれぞれは、前記ドメイン保護エレメントに関連する請求項1乃至3のいずれか1項記載のデータ保護方法。
【請求項5】
前記許可された動作は、1以上のリード及び/ライト動作を含む前記ドメイン保護エレメントによって定義されたものである請求項1記載のデータ保護方法。
【請求項6】
前記回路カードでデータにアクセスすることができるエンティティは、一意の識別子に関連している請求項1記載のデータ保護方法。
【請求項7】
更に、前記データ・エレメントを生成するエンティティの識別子が保存されている請求項6に記載のデータ保護方法。
【請求項8】
前記回路カードは、前記データ・エレメントの前記エンティティの識別子を保存するために配置される請求項6又は7記載のデータ保護方法。
【請求項9】
MEの中で、前記データへのアクセスを要求するエンティティを識別する請求項6、7及び8のいずれか1項記載のデータ保護方法。
【請求項10】
前記データ保護は、USBインターフェースがMEと前記回路カードとの間で起動された時、USBインターフェース・クラスに適用される請求項1記載のデータ保護方法。
【請求項11】
前記回路カード上の前記データ・エレメントが、スタンダードファイルフォーマットファイルにしたがって保存される請求項1に記載のデータ保護方法。
【請求項12】
前記回路カード内の前記データ・エレメントの生成及び管理は、ME経由で制御されている請求項1に記載のデータ保護方法。
【請求項13】
ME回路カード・インターフェース機能は、生成機能、リード機能、更新機能、改名機能、動作機能、削除機能、及びクリーニング機能のうちいずれか1以上の機能を有する請求項1記載のデータ保護方法。
【請求項14】
前記回路カードは、UICCを有する請求項1乃至13のいずれか1項記載のデータ保護方法。
【請求項15】
複数の保護可能なデータ・エレメントが保存された回路カードであって、
データ・エレメントに許可される動作を定義するためのドメイン保護エレメント、及びデータ・エレメントへのアクセスを制御するためのパスワード保護エレメントに関連して配置された、少なくとも1つの前記複数の保護可能なデータ・エレメントを有する回路カード。
【請求項16】
前記ドメイン保護エレメントによる許可された動作を開始するために、パスワードが要求される請求項15に記載の回路カード。
【請求項17】
前記複数のデータ・エレメントのそれぞれは、ドメイン保護エレメントに関連している請求項15に記載の回路カード。
【請求項18】
前記回路カードは、USBインターフェース・クラスを経由して前記データ・エレメントにアクセスを許可するように構成される請求項15乃至17のいずれか1項記載の回路カード。
【請求項19】
UICCを更に含んでいる請求項15乃至18のいずれか1項記載の回路カード。
【請求項20】
回路カードがUSB大容量記憶装置を構成し、遠隔装置に接続するよう構成され、もし、パスワード検証機構をサポートしていない場合は、パスワード保護エレメントと関連していないデータ・エレメントは、前記遠隔装置によりアクセス可能であり、パスワード保護エレメントと関連しているデータ・エレメントは、前記遠隔装置によりアクセス不可である請求項15乃至19のいずれか1項記載の回路カード。
【請求項21】
請求項15乃至20のいずれか1つに定義された回路カードで動作するよう構成された移動無線通信装置。
【請求項22】
前記移動無線通信装置は、USBインターフェース・クラス経由で前記回路カードと通信するよう構成される請求項21記載の移動無線通信装置。
【請求項23】
前記移動無線通信装置は、前記保存されているデータ・エレメントを生成及び/又は管理するよう構成される請求項21又は22記載の移動無線通信装置。
【請求項1】
複数のデータ・エレメントの格納部が配置された回路カードのデータ保護の方法であって、
データ・エレメントに許可される動作を定義するためのドメイン保護エレメント、及びデータ・エレメントへのアクセスを制御するためのパスワード保護エレメントのいずれかに基づき保護を提供するものであって、
前記複数のデータ・エレメントのうち少なくとも1つは、前記ドメイン保護エレメント及びパスワード保護エレメントと関連するデータ保護方法。
【請求項2】
前記少なくとも1つのデータ・エレメントに対して前記許可された動作の開始にはパスワードが要求され、当該動作は、前記ドメイン保護エレメントにより定義されている請求項1記載のデータ保護方法。
【請求項3】
前記回路カードの1以上のアプリケーションにアクセスするためにPINコードを使用する請求項1又は2記載のデータ保護方法。
【請求項4】
前記複数のデータ・エレメントのそれぞれは、前記ドメイン保護エレメントに関連する請求項1乃至3のいずれか1項記載のデータ保護方法。
【請求項5】
前記許可された動作は、1以上のリード及び/ライト動作を含む前記ドメイン保護エレメントによって定義されたものである請求項1記載のデータ保護方法。
【請求項6】
前記回路カードでデータにアクセスすることができるエンティティは、一意の識別子に関連している請求項1記載のデータ保護方法。
【請求項7】
更に、前記データ・エレメントを生成するエンティティの識別子が保存されている請求項6に記載のデータ保護方法。
【請求項8】
前記回路カードは、前記データ・エレメントの前記エンティティの識別子を保存するために配置される請求項6又は7記載のデータ保護方法。
【請求項9】
MEの中で、前記データへのアクセスを要求するエンティティを識別する請求項6、7及び8のいずれか1項記載のデータ保護方法。
【請求項10】
前記データ保護は、USBインターフェースがMEと前記回路カードとの間で起動された時、USBインターフェース・クラスに適用される請求項1記載のデータ保護方法。
【請求項11】
前記回路カード上の前記データ・エレメントが、スタンダードファイルフォーマットファイルにしたがって保存される請求項1に記載のデータ保護方法。
【請求項12】
前記回路カード内の前記データ・エレメントの生成及び管理は、ME経由で制御されている請求項1に記載のデータ保護方法。
【請求項13】
ME回路カード・インターフェース機能は、生成機能、リード機能、更新機能、改名機能、動作機能、削除機能、及びクリーニング機能のうちいずれか1以上の機能を有する請求項1記載のデータ保護方法。
【請求項14】
前記回路カードは、UICCを有する請求項1乃至13のいずれか1項記載のデータ保護方法。
【請求項15】
複数の保護可能なデータ・エレメントが保存された回路カードであって、
データ・エレメントに許可される動作を定義するためのドメイン保護エレメント、及びデータ・エレメントへのアクセスを制御するためのパスワード保護エレメントに関連して配置された、少なくとも1つの前記複数の保護可能なデータ・エレメントを有する回路カード。
【請求項16】
前記ドメイン保護エレメントによる許可された動作を開始するために、パスワードが要求される請求項15に記載の回路カード。
【請求項17】
前記複数のデータ・エレメントのそれぞれは、ドメイン保護エレメントに関連している請求項15に記載の回路カード。
【請求項18】
前記回路カードは、USBインターフェース・クラスを経由して前記データ・エレメントにアクセスを許可するように構成される請求項15乃至17のいずれか1項記載の回路カード。
【請求項19】
UICCを更に含んでいる請求項15乃至18のいずれか1項記載の回路カード。
【請求項20】
回路カードがUSB大容量記憶装置を構成し、遠隔装置に接続するよう構成され、もし、パスワード検証機構をサポートしていない場合は、パスワード保護エレメントと関連していないデータ・エレメントは、前記遠隔装置によりアクセス可能であり、パスワード保護エレメントと関連しているデータ・エレメントは、前記遠隔装置によりアクセス不可である請求項15乃至19のいずれか1項記載の回路カード。
【請求項21】
請求項15乃至20のいずれか1つに定義された回路カードで動作するよう構成された移動無線通信装置。
【請求項22】
前記移動無線通信装置は、USBインターフェース・クラス経由で前記回路カードと通信するよう構成される請求項21記載の移動無線通信装置。
【請求項23】
前記移動無線通信装置は、前記保存されているデータ・エレメントを生成及び/又は管理するよう構成される請求項21又は22記載の移動無線通信装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公表番号】特表2012−515372(P2012−515372A)
【公表日】平成24年7月5日(2012.7.5)
【国際特許分類】
【出願番号】特願2011−530312(P2011−530312)
【出願日】平成21年12月28日(2009.12.28)
【国際出願番号】PCT/JP2009/071926
【国際公開番号】WO2010/082450
【国際公開日】平成22年7月22日(2010.7.22)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公表日】平成24年7月5日(2012.7.5)
【国際特許分類】
【出願日】平成21年12月28日(2009.12.28)
【国際出願番号】PCT/JP2009/071926
【国際公開番号】WO2010/082450
【国際公開日】平成22年7月22日(2010.7.22)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]