機械対機械通信を可能にするための方法および機器
機械対機械(M2M)の安全なプロビジョニングおよび通信を行うための方法および機器を開示する。とりわけ、機械対機械機器(M2ME)を一意に識別するための、一時的プライベート識別子または仮接続識別(PCID)も開示する。さらに、M2MEを検証し、認証し、プロビジョニングする際に使用するための方法および機器も開示する。開示する検証手順には、開示する自律的検証、半自律的検証、および遠隔的検証が含まれる。このプロビジョニング手順には、M2MEを再プロビジョニングするための方法が含まれる。ソフトウェアを更新し、M2MEへの不正変更を検出するための手順も開示する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線通信に関する。
【背景技術】
【0002】
機械対機械(M2M)通信とは、導入されるとき、人間の直接対話を必ずしも必要としない、エンティティ間データ通信の一形態である。M2M通信の1つの課題は、人間の任意の直接対話なしに、導入機器を遠隔的に管理できるようにするためのプロトコルを確立することである。
【0003】
既存のM2M方法体系は、予備構成識別子の無線の保護を欠き、M2M対応機器の認証、登録、およびプロビジョニングにおいてM2M対応機器の高信頼状態(TS:Trusted State)の情報を利用せず、加入オペレータを安全に変更することをM2M対応機器に保証せず、M2M対応機器の予備認証において使用する、認証および鍵合意資格証明が信頼できることを保証せず、安全なソフトウェアおよびファームウェアの更新またはM2M対応機器の再構成を提供せず、M2M対応機器への不正変更を検出せず、その不正変更に反応しない。さらに、M2M対応機器のユーザ/加入者の役割は定義を欠く。したがって、M2Mの性能、セキュリティおよび信頼性を改善するための方法および機器を提供することが有利になる。
【発明の概要】
【0004】
機械対機械(M2M)の安全なプロビジョニングおよび通信を行うための方法および機器を開示する。とりわけ、機械対機械機器(M2ME)を一意に識別するための、一時的プライベート識別子または仮接続識別(PCID:Provisional Connectivity Identification)も開示する。さらに、M2MEを検証し、認証し、プロビジョニングする際に使用するための方法および機器も開示する。開示する検証手順には、開示する自律的検証、半自律的検証、および遠隔的検証が含まれる。このプロビジョニング手順には、M2MEを再プロビジョニングするための方法が含まれる。ソフトウェアを更新し、M2MEへの不正変更を検出するための手順も開示する。
【図面の簡単な説明】
【0005】
より詳細な理解は、例として添付図面とともに示す、以下の説明から得ることができる。
【0006】
【図1】機械対機械(M2M)のプロビジョニングおよび通信のための通信システムの例示的ブロック図を示す図である。
【図2】機械対機械機器(M2ME)の例示的ブロック図を示す図である。
【図3】自律的検証手順の流れ図の一例を示す図である。
【図4】半自律的検証手順の流れ図の一例を示す図である。
【図5】別の半自律的検証手順の流れ図の一例を示す図である。
【図6】遠隔的検証手順の流れ図の一例を示す図である。
【図7】M2MEのプロビジョニング手順または再プロビジョニング手順の一例を示す図である。
【図8】M2MEのプロビジョニング手順または再プロビジョニング手順の一代替例を示す図である。
【図9】新たに選択されたホームオペレータとともに使用するためのM2MEの再プロビジョニング手順の流れ図の一例を示す図である。
【発明を実施するための形態】
【0007】
本明細書で以下参照するとき、用語「無線送受信ユニット(WTRU)」には、ユーザ機器(UE)、移動局、固定もしくは移動加入者ユニット、ページャ、携帯電話、PDA(携帯情報端末)、コンピュータ、M2M機器(M2ME)、Home NodeB、または無線環境で動作可能な他の任意の種類のデバイスが含まれるが、これだけに限定されない。本明細書で以下参照するとき、用語「基地局」には、Node−B、サイトコントローラ、アクセスポイント(AP)、または無線環境で動作可能な他の任意の種類のインターフェイスデバイスが含まれるが、これだけに限定されない。
【0008】
図1は、機械対機械(M2M)のプロビジョニングおよび通信のための通信システム100の例示的ブロック図である。通信システム100は、M2M対応機器(M2ME)110、訪問先ネットワークオペレータ(VNO)115、登録オペレータ(RO)130、選択ホームオペレータ(SHO)140、プラットフォーム検証局(PVA)150を含む。システム100は、機器製造業者/サプライヤ(E/S)(不図示)も含むことができる。
【0009】
図1では、VNO115を単一のネットワークエンティティとして示すが、USIM/ISIMアプリケーションの初期登録およびプロビジョニングのためにアクセスされるすべてのアクセスネットワークをVNOとみなす。M2ME110が、別のSHOに登録されるようになる場合、VNO115は、VNOのままである。M2ME110が、現在VNO115であるSHO140に登録されるようになる場合、VNO115はSHOになる。
【0010】
VNO115は、M2ME110に一時的なネットワークアクセスを提供する役割を果たし、そのアクセスでは、アクセス資格証明およびアクセス認証が要求される場合がある。このアクセスは、PCIDや他の任意の一時的プライベートIDなどの、一時的ネットワークアクセス資格証明に基づくことができる。許容されるとみなす場合、VNO115は、DRF170へのオープンネットワークアクセスを提供することができ、そのアクセスでは、少なくともRO130のサービスへのアクセスに関しては資格証明または認証は不要である。例えばこの機能は、登録イベントおよびプロビジョニングイベントの後、VNO115が顧客のSHOになる場合に適用される。登録手順およびプロビジョニング手順を実施した後、VNO115は、プロビジョンしたUSIM/ISIMアプリケーションを使用して完全なネットワーク(およびIMS)アクセスを提供する。
【0011】
図示のように、RO130は、ICF160、発見および登録機能(DRF)170、ならびにダウンロードおよびプロビジョニング機能(DPF)180を含む。しかし、このICF160、DRF170、およびDPF180は、別個のエンティティに位置し、または1つのエンティティにまとめることができることも当業者は理解されよう。
【0012】
ICF160は、操作上のネットワークアクセスの登録およびプロビジョニングのために、通信ネットワークへの一時アクセスを許可する資格証明を検証する役割を果たす機能または機関である。ICF160の機能には、各M2ME110ごとに、一時的ネットワークアクセス資格証明および任意の一時的プライベート識別子を発行することが含まれる。これらは、初期一時的ネットワークアクセスを認証し、USIM/ISIMアプリケーションのプロビジョニング手順を行うことを可能にするために使用することができる。ICF160は、以下に詳細に論じるプロビジョニング手順および再プロビジョニング手順のために、ダウンロード可能なM2Mの鍵、構成、およびアプリケーションで、無線によりM2ME110をプロビジョンするように構成することもできる。
【0013】
ICF160は、M2ME110を事前構成する端末サプライヤに、ICF160が発行する資格証明を提供するように構成することもできる。これらの資格証明を提供するために、ICF160は、資格証明をM2ME110に埋め込む役割を果たす組織に対し、それらの資格証明を安全に伝送するように構成されなければならない。ICF160は、資格証明をデータベースに登録し、依拠当事者による要求時にそれらの資格証明の検証を実行するように構成することもできる。これは認証ベクトルおよび/または他の関連データを、依拠当事者に安全に伝送することを含むことができる。M2ME110をSHO140に成功裏に登録する前、すべてのアクセスネットワークが訪問先ネットワークとみなされることに留意すべきである。このことは、ネットワークを一切変更することなく、従来のネットワークを介してSHO140にトランスペアレントに接続することを可能にする。
【0014】
DRF170は、特定のSHO140を購入後に選択すること、およびそのSHO140にM2ME110を登録することを可能にする機能である。DRF170は、独立したサービスとすることができ、あるいは、SHO140であって、SHO140のRO130には、SHO140の3GPPネットワークを介してのみ接触可能とすることができる、またはインターネットを介して直接接触可能であり、例えばM2ME110内の機能を使用して発見可能とすることができる、SHO140が運営することもできる。
【0015】
DRF170は、少なくとも次の使用関連機能をサポートすべきであり、その機能とはつまり、(1)サプライヤからM2ME110が届けられた後、顧客がSHO140を選択できるようにする機能、(2)一時的に認証されたネットワークアクセスまたは限定されたオープンネットワークアクセスを使用し、M2ME110がRO130にIP接続できるようにする機能、(3)M2ME110がまだどのSHO140にも関連していないものとして、訪問先ネットワークオペレータを介し、USIM/ISIMアプリケーションのプロビジョニングが行われることを、M2ME110が要求できるようにする機能、(4)そのプロビジョニング要求を承認し、M2ME110をDPF180がプロビジョンすることを許可する機能、および(5)M2ME110の所有者が、M2ME110を登録することをサポートする機能である。
【0016】
上述した使用関連機能をサポートするために、DRF170は、M2ME110とSHO140との関連付けをサポートすることができる。あるいは、DRF170は、VNOのネットワークが提供するIP接続を使用して、直接発見可能かつアドレス可能とすることができる。どちらの場合にも、DRF170は、M2ME110の高信頼環境(TRE)230の真正性の証明としてM2ME110が保持する資格証明を、PVA150を介して検証することをサポートする必要がある。DRF170は、許可および監査のために、DPF180への接続もサポートする必要がある。検証は、資格証明についてだけでなく、TRE230、およびTRE230がそのように望む場合、オプションでM2ME110全体についても行えることにも留意すべきである。例えば検証には、M2ME機能の信頼性を確立することが含まれ得る。
【0017】
DRF180は、USIM/ISIMの資格証明、ファイル、実行ファイルなど、M2ME110にダウンロードしようとするデータパッケージの生成または取得もサポートすることができる。DRF180は、このデータを安全にPSに伝送するように構成することもできる。あるいは、DPF180がこれらの機能を提供することもできる。
【0018】
最後に、DRF180は、M2ME110とDPF180との間のセキュリティアソシエーションの設定を容易にすることもできる。これは、セキュリティトークンを生成し、安全なチャネル上でM2ME110およびDPF180に伝送することを必要とし得る。
【0019】
DPF180は、M2ME110にUSIM/ISIM資格証明を遠隔プロビジョニングすることを可能にする。DPF180の機能には、M2ME110をプロビジョンするための許可をDRF170から受ける機能が含まれる。これは、M2ME110と通信するためのセキュリティトークンを提供することを含むことができる。DPF180は、ダウンロードされるアプリケーションパッケージをDRF170から受け取る役割も果たす。あるいはDPF180は、記憶された規則からこのアプリケーションパッケージを生成し、M2ME110にダウンロードされている資格証明をDRF170に知らせることができる。
【0020】
DPF180は、以下に説明するように、USIM/ISIMアプリケーションまたはUSIM/ISIMパラメータを、M2ME110にプロビジョニングすることをサポートするようにも構成される。プロビジョニングに加え、DPF180は、M2ME110にとってのUSIM/ISIMアプリケーションまたはUSIM/ISIMパラメータを将来更新し、新たなアプリケーションを将来プロビジョニングするように構成することもできる。これらの機能に含まれ、DPF180は、成功したまたは失敗したプロビジョニングイベントをDRF170に知らせるように構成することもできる。
【0021】
SHO140は、顧客またはM2ME110のエンドユーザと商業的関係を有するネットワークオペレータであり、顧客に課金する役割を担う。SHO140は、他の役割、特にDRF170およびDPF180の一部もしくはすべてを運営することができ、またはそれらの他の役割はすべて、SHO140と運営上の関係を有し、互いに運営上の関係を有する別個の商業エンティティとすることができる。
【0022】
M2ME110は、サービスプロバイダを用いて動作する権限を最初は与えられておらず、そのためVNO115と通信し、RO130へのチャネルを確立する。サービスをプロビジョンするために、各M2ME110はPCIDなどの独自の一時的プライベート識別を有し、その独自の一時的プライベート識別は、任意のVNO115がM2ME110を認識し、そのVNO115が提供するサービスへの一時アクセスを許可し、オペレータとのサービスをダウンロードしてプロビジョンするために、初期接続性メッセージを適切なネットワーク構成要素に宛てることを可能にする。
【0023】
PVA150は、ダウンロードしたUSIM/ISIMアプリケーションを記憶し、実行するために使用する、M2ME110内のセキュアデバイスの真正性を立証する資格証明に関与する機関である。この機能は、証明書や鍵の対などの資格証明を発行し、証明書検証サービスを提供する1つまたは複数の商業組織が行うことができる。このセキュアデバイスは、UICC、TRE、またはM2ME110に埋め込まれる他の何らかの形のセキュアモジュールとすることができる。この機能は、USIM/ISIMアプリケーションをプロビジョニングするために、セキュアデバイスの厳密認証が必須である場合に必要とされる。PVA150は、M2ME110内のセキュアデバイスのセキュリティを立証するための資格証明の作成および発行などの機能も提供することができる。ただし、この機能は別のエンティティが実行し得る可能性もある。PVA150は、必要なプロトコルを使用して依拠当事者が要求するとき、上述した資格証明を検証することなどの機能も提供することができる。これは認証ベクトルおよび/または他の関連データを、依拠当事者に安全に伝送することを含むことができる。PVA150は、デバイスの発行された資格証明の有効性に関係するデータの保守などの機能も提供することができる。
【0024】
機器製造業者/サプライヤ(E/S)(不図示)も、図1の通信システム100内で役割を果たす。具体的には、M2ME110は、一時的な初期ネットワークアクセスのための認証用の資格証明を、ICF160から安全に取得する。このE/Sも、一時的な初期ネットワークアクセスを可能にするために、それらの予備ネットワークアクセス資格証明を用いて、顧客に届ける前にM2ME110を再構成することをサポートできる。さらに、このE/Sは、ICF160を介してDRF170に提供する際に使用するための、M2ME110が1組の標準化されたセキュリティ要件に従う、資格証明を、PVA150から安全に得ることができる。この活動は、所要のセキュア基盤を備える承認された組織に外注することができる。
【0025】
このE/Sは、顧客に届ける前に、M2ME110を資格証明で事前構成する役割を果たすこともできる。この事前構成活動は、所要のセキュア基盤を備える承認された組織に外注することができる。このE/Sは、端末の所有者が所望のDRF170およびSHO140を選択し、または端末をアクセスネットワーク(AN)に接続するときに、この選択を自動的に行わせるための手段も提供することができる。
【0026】
図2は、図1のM2ME110の図の一例を示す。M2ME110は、送信機215、受信機220、プロセッサ225、高信頼環境(TRE)230を含む。オプションで、M2ME110は、GPS(全地球測位システム)ユニット235、SIM(加入者識別モジュール)240、およびセキュアタイムユニットを含むことができる。
【0027】
M2ME110は、TRE230などの多くの異なる信頼機構、またはSIM240やISIMなど、他の任意の高信頼処理機構もしくは記憶機構をサポートするように構成することができる。これらの信頼機構は、M2ME110内のTRE230が保護する「信頼状態」情報および/または任意の鍵を含めるために、共通AKAプロトコルに、より完全に統合し、完全なAKAを行うことができる前かつ認証を確立した後の、M2ME110とネットワーク要素との間の(PCIDの伝送だけでない)任意の通信を保護することもできる。
【0028】
オプションで、SIM240は、拡張して高信頼処理モジュール(TPM:Trusted Processing Module)またはモバイル高信頼モジュール(MTM:Mobile Trusted Module)の機能を含め、上述した操作をサポートすることもできる。あるいは、SIM240は、M2ME110内でTPMまたはMTMと密接に動作して所望の機能を実現することができる。このSIMの機能は、TRE230内でも実現できることにも留意すべきである。このことは、識別管理において、より一層の柔軟性をもたらす。
【0029】
オプションで、M2ME110は、E/Sがインストールする少なくとも1つのAKAルート秘密(AKA root secret)で事前にプロビジョンすることができ、そのうちの1つは任意の所与の時間においてアクティブである。この1つまたは複数のAKAルート秘密は、SIM240によって保護することができ、決して変えられるべきでない。SIM240は、アクティブなAKAルート秘密からセッション鍵を取り出すように構成することができる。
【0030】
M2ME110は、信頼状態情報をICF160に提供するように構成することもできる。次いで、その信頼状態情報は、M2ME110がVNO115にアタッチするときの予備認証に使用することができる。この信頼状態情報は、セッション鍵(CKおよびIK)を取り出すために使用することもできる。
【0031】
TRE230の機能は、1つの構成要素に排他的に実装し、またはM2ME110内の埋め込み高信頼構成要素間に分散させることができることに留意すべきである。あるいは、TRE230の機能は、リムーバブルSIMモジュールに実装することができる。
【0032】
PCRレジスタの値を、セッション鍵CKnおよびIKnに結合するための公式の一例であって、nはCKnおよびIKnの最新の更新に関する指数を指す、公式の一例は次のものとすることができる。
【0033】
【数1】
【0034】
ただし、f3K()およびf4K()は、共有マスタ秘密Kによる、暗号鍵および完全性鍵それぞれのAKA鍵導出関数を指し、RANDは、AKAプロセスにおいてCATNAが生成し、M2ME110に送信され、したがってM2ME110が共有する、認証ベクトル(AV)内のランダムノンスであり、PCR0nは、M2ME110のMTME内のPCR0レジスタの最新値を指す。PCR0レジスタの現在値は、M2ME110の直近のブート後の信頼状態についての記述を示すことに留意されたい。
【0035】
等式1によれば、CKnおよびIKnの値は、2つのブート間でM2ME110のPCR0の値が変わるとき/場合に変わることに留意されたい。このような方式が機能するために、ICF160もPCR0の値の変化(またはより具体的には、M2ME110のブート後の信頼状態に変化がある場合のM2ME110の「信頼状態」を知る必要がある。これは、M2ME110のブート後の信頼状態に影響を与える、M2MEのOS、ファームウェア、もしくはアプリケーションの任意の正当な更新/許可された更新についてのスケジュールおよび内容をICF160に知らせる場合に可能にすることができる。この知らせることは、PVA150および/またはICF160を以下に説明する手順に関与させることによって行うことができる。その後、適切な手順に従い、セッション鍵がM2ME110の最新の「信頼状態」値を反映し、それにより、このAKA鍵導出プロセスの新鮮さおよびセキュリティを向上させる方法で、M2ME110とICF160との間で共有されるAKA暗号鍵および完全性鍵が更新され、M2ME110の認証に関して有用にされることを確実にすることができる。
【0036】
M2ME110とICF160との間でセッション鍵を同じ方法で更新することができ、M2ME110における更新手順自体を、高信頼コンピューティング技術を使用することによって提供されるような高信頼実行環境で実行する限り、等式1の結合公式以外の結合公式を考慮できることに留意すべきである。
【0037】
TRE230は、分離に対するハードウェアサポートを伴う、M2ME110内の論理的分離領域である。このTRE230は、必ずしもリムーバブルモジュールとは限らず、すなわちTRE230は、1つのIC内で、またはICの集まりにわたって分散される機能内で機能することができる。TRE230は、TRE230と直接通信することを許可されたエンティティの制御下でのみ使用可能な、外部への論理インターフェイスおよび物理インターフェイスを定義する。
【0038】
TRE230は、MID(複数の管理可能識別)のためのセキュア記憶域およびセキュア実行環境、ならびにMIDのプロビジョニングおよび管理に関係する特定の機能に信頼のルートを提供する。このMIDは、完全なセキュアアプリケーションおよびその関連するパラメータ、資格証明等の総称である。このMIDは、標準USIMのアプリケーションおよび鍵や、ISIMアプリケーションまたはセキュアペイメントアプリケーションなどの他のセキュアアプリケーションなど、任意の加入管理機能を含むことができる。本明細書では以下、MIDは、管理可能識別、加入管理識別、USIMアプリケーション、ISIMアプリケーション、仮想SIM(vSIM)、または他の任意の動的セキュア識別解決策を指すために使用することができる。
【0039】
TRE230は、任意の所要の暗号化鍵および他の資格証明とともに、セキュアな帯域外機能実装内に事前にプロビジョンすることもできる。TRE230の他のセキュリティ上重要な機能も、同じ方法でM2ME110に事前にプロビジョンされる。M2ME110が発行された後、典型的にはダウンロードすることにより、さらなる機能をプロビジョンすることができる。
【0040】
TRE230はさらに、物理的攻撃および論理的攻撃からの一定の保護を提供し、自らのセキュリティポリシをサポート/実施し、現在はUICCまたは他のスマートカードプラットフォームにしか実装されていないMIDの記憶および実行を可能にすることに関し、十分にセキュアである。TRE230は、TRE230外部の、M2ME110の各部へのインターフェイスも備える。
【0041】
TRE230は、M2ME110の識別に典型的に関連する独自の埋め込まれた一意の識別を有し、M2ME110の識別は、使用する場合、同様にTRE230に埋め込まれる。そのようなものとして、TRE230は、標準化されたプロトコルを使用し、それらの識別を発行機関に対して安全に認証するように構成することができる。次いでその発行機関は、そのTREの識別が、有効な、発行済みのTRE230およびM2ME110の識別であるとして検証することができる。それらの識別のそれぞれは、M2ME110が発行される前に行われる、物理的にセキュアな帯域外プロセスの一部として埋め込まれる。
【0042】
TRE230は、特定の強化機能を備える埋め込み型UICC内に実装し、またあるいは、M2ME110が提供するハードウェア構成要素およびソフトウェア構成要素を利用する、M2ME110上の統合的解決策として実装することができる。TRE230を強化型UICC内に実装する場合、TRE230は、MIDのダウンロード、遠隔プロビジョニングおよび管理、ならびにTRE230内の管理可能識別エンジン(MIDE:Manageable Identity Engine)の機能を依然としてサポートする。
【0043】
TRE230を、M2ME110内の統合的解決策として実装する場合、M2ME110は、TREコードベースを構成するソフトウェアコードおよびデータの完全性検査をサポートする。TREコードは、M2ME110の電源投入/ブート時に少なくとも1度検査すべきである。オプションのコード検査は、定義済みの間隔でまたは特定のトリガ/イベント時に、バックグラウンドプロセスとして、M2ME110の動作的使用の間に行うことができる。さらに、M2ME110の完全検査または部分的検査を範囲に含むように、コード検査の適用範囲を拡張することができる。
【0044】
代替的拡張策では、TRE230は、TRE230内に、利害関係のある所有者がそれぞれ所有する複数の分離された信頼済みドメインに対するサポートを含むことができる。そのようなドメインは、互いに分離され、不正変更および不正アクセスを防ぎ、認証機能および/または立証機能などのドメイン間サービスを提供することができる。
【0045】
一部の使用事例では、M2ME110は、その導入サイクルのほとんどの期間休止状態で動作し、散発的にまたはたまにしか3Gネットワークに接続しない。そのような場合、TREのソフトウェアコードの実行時完全性検査は、休止状態の期間中に行わせることができる。このようにして、このコード検査はTRE230またはM2ME110内の他のプロセスを妨げることはなく、コード検査の結果は、M2ME110がSHO140に再接続するときに準備ができているようにすることができる。
【0046】
各M2ME110に、M2ME110にとって固有の一時的プライベート識別、仮接続識別(PCID)を割り当てる必要がある。PCIDとは、各M2MEを一意に識別する一時的プライベート識別である。状況によっては、このM2MEがSHO140などの任意の特定のSHOに関連付けられる前に、3GPPネットワークに登録することを可能にするために、ESがM2ME110にこのPCIDをインストールする必要がある。このPCIDは、ICF160が最初に発行し、ICF160はそのPCIDを、自らが提供関係を有するESに送信する。次いで、そのESは、そのPCIDをM2ME110のTRE230内にプロビジョンする。M2ME110からVNO115にPCIDが提示される場合、VNO115は、標準のIMSIの形式を有するものとしてそのPCIDを認識し、その後、M2ME110をRO130に導き、プロビジョニングのための初期接続性を確立することができる。
【0047】
一実施形態では、M2ME110が実施する限られた期間(本明細書では以下「有効期間」)にわたり、単一のPCIDを有効とすることができる。この有効期間は、M2ME110のTRE230により、とりわけ制御することができる。各M2MEデバイスは、PCIDおよび有効期間を受け取ることができる。この期間が切れた後、M2ME110はそのPCIDを除去することができる。次いで、そのPCIDは、同じPCIDでプロビジョンされた別のM2ME(不図示)がコアネットワークにアタッチしようと試みるときに再利用することができる。ただし、第2のM2MEのPCIDの有効期間は、概して前のM2MEのPCIDの有効期間と重複すべきでない。
【0048】
第1のM2ME110が、PCIDを再び必要とすることがなくなった後、M2ME110にとっての適切な有効期間が切れるまで、典型的にはそのPCIDを新たなM2MEに再発行しなくてよい。
【0049】
別の実施形態では、PCIDを、(PCIDの同時使用なしに)系統的に再割当することができる。この系統的再割当は、M2ME110のライフサイクルに及ぶことができる。限られた数のPCIDを、M2ME110に系統的に事前にプロビジョンすることができる。この系統的再割当は、TRE230の能力を活用しながら、初期ネットワーク接続性の自律管理を可能にすることができる。M2MEは、サイズNのグループでリリースされると想定される。j番目のロットのM2MEは、M_i,jと称し、ただし、j=1,...,Mである。PCIDの割当は、サイズNxMの行列(P)_{i,j}を用いて初期化することができる。M2ME110 M_i,1は、製造中に列P_i,*がTRE230にロードされる。このM2MEがリリースされるとき、セキュアタイマまたは単調カウンタが初期化され、アクティブにされ、TRE230の制御下に置かれる。ロット1のM2ME110、すなわちM_i,1は、初期化された時間またはカウンタに基づいて、確定した期間Tまたは所定回数にわたり、P_i,1を使用する。その所与の時間(有効期間)の後、これらM_i,1のTREは、P_i,1を破棄し、P_i,2を使用する。この期間または使用回数は、第2のロットがまだリリースされていないようになされるべきであることに留意すべきである。リリースされると、第2のロットM_i,2もP_i,1を使用し始め、そのP_i,1はこの時点ではM_i,1によって解放されている。理想的には、MxTが、ネットワークによってサポートされる必要があるすべてのM2MEの全動作時間に及ぶ。
【0050】
この実施形態は、デバイスが寿命サイクルのどこにあるのかを、ネットワークが判断できるようにすることができる。前のPCIDは、新たなデバイスに安全に再割当することができる。この方式は、M2ME製造業者のTRE230との本質的信頼関係を活用する。TRE230が、TRE230内のPCID列ベクトルを処理し、時間制限を実施することは、PCIDの同時使用を防ぎ、M2ME110が、その動作時間の間中使用するための有効なPCIDを有するという確信をPLMNオペレータに対して与える。
【0051】
ただし、ネットワークオペレータは、製造プロセスの特定の時点においてこのPCIDの組を製造業者に送り、またはこのPCIDの組をリリース前にセキュアな機能実装にインストールすることができるので、この実施形態はネットワークオペレータに影響を与える場合がある。さらに、これらのM2MEは、複数のPCIDで事前にプロビジョンすることができる。これらのM2MEは、後のロットのPCIDを再プロビジョニングすることをサポートできる。任意の所与の時点において同じロットのPCIDを共有する複数のM2MEには、2つ以上のM2MEが同じロットから同じPCIDを選択し、同時に接続しようと試み、結果的に「PCIDの衝突」をもたらすことがある、「偶然の」衝突があり得る。PCIDが衝突する可能性は、ロットのサイズ(行のサイズN)を、同じロットのPCIDを使用するM2MEの数よりもはるかに大きくし、使用するPCIDをM2MEがランダムに選択する場合、より小さくなる可能性がある。
【0052】
時間制限付きのPCIDを管理するには、M2MEの内部クロックを所与の精度限界の範囲内で同期する必要がある。この同期は、例えば単一のM2ME110の電源切断イベントであって、その後再同期が必要となり得る、電源切断イベントに及ぶ必要がある。したがって、TRE230は時間基準を保持/管理し、ネットワーク内の信頼できる時間源との同期をサポートすべきである。オプションで、TRE230は、図2に示すようにM2ME110内に位置する信頼できる時間源に依拠することができる。
【0053】
M2ME110は、GPS235などの自律型地理測位機器を備えることができる。M2ME110のTRE230は、その地理測位機器に安全にアクセスできる。
【0054】
M2ME110は、様々な領域に分散し、2つのM2MEが、同じアクセスネットワーク(AN)セルまたは基地局に対して同時に無線接続を物理的に確立できないように構成することができる。したがって複数のM2MEは、同じPCIDだけでなく、目的地理位置(D)および許容差範囲(r)でも事前にプロビジョンすることができ、目的地理位置(D)は各M2MEにとって固有のものである。このデータは、TRE230の中に安全に記憶し、またはTRE230しかこのデータにアクセスできないように、暗号を使用して保護することができる。
【0055】
M2ME110が初期ネットワークアクセスを試みる前に、TRE230が現在の地理位置を求め、その地理位置が許容差範囲rの範囲内で位置Dに一致するかどうかを検査する。一致する場合、TRE230は、初期ネットワークアクセスのためのPCIDをリリースする。このようにしてANは、2つのM2MEが同じPCIDを使用し、同じセルを介してアクセスしようと試みないと確信することができる。
【0056】
それでもなお、一部の事例では、同じPCIDを使用した互いに異なるセルからの同時アクセスの試みを、ANが見分ける必要があり得る。したがってこのANは、初期ネットワーク接続性サービス内の(PCID、セルIDの)対の記録を取らなければならない場合がある。したがってこの場合、コアネットワークに対していくらかの影響があり得る。
【0057】
代替的実施形態では、M2ME110によるネットワークへのアクセスは、所定のネットワークセルを介してのみ許可される。所定のネットワークセルは、M2MEのTRE内にロードされる、それらのセルのネットワークセル識別子によって識別される。それらのネットワークセル識別子は、対(D、r)に取って代わる。
【0058】
さらに別の代替的実施形態では、M2MEを地理的に移動させることができる。M2ME110を移動させるとき、ネットワークアクセスは無効にされる。M2MEの移動性を有効にするために、特定のPCIDを使用することができる様々な場所を示す1組の三つ組(PCID、D、r)で、M2ME110を事前にプロビジョンすることができる。M2ME110が初期ネットワーク接続を試みる前に、TRE230は、現在の地理位置が目的Dのうちの1つの、範囲rのうちの1つの範囲内にあるかどうかを検査し、成功の場合は対応するPCIDをリリースする。
【0059】
さらに、(PCID、D、r)の三つ組に、寿命、すなわち上記のように使用し実施する、許容使用期間を割り当てることができる。資格証明は、五つ組(PCID、D、r、t1、t2)をなし、ただしt1およびt2は、有効期間の開始時間および終了時間を指定する。この五つ組は、M2ME110の許容された移動についての経路を示す。例えば、M2ME110の移動は、車両内などの移動導入シナリオにおいて制御することができる。M2MEのTRE230が頻繁に再接続することを強いられ、またさもなければPCIDを使用することを強いられる場合、ネットワークサービスが(時間切れの形で)障害を検出し、そのM2ME110が確定経路から離れているとして解釈し、したがってアラームを引き起こす可能性がある。
【0060】
上記の方法および機器は、M2ME110の寿命全体にわたり、M2ME110の移動性および/またはPCID管理要件に対応するのに不十分な場合がある。したがって、五つ組(PCID、D、r、t1、t2)を管理する、すなわち再プロビジョン/削除するための方法が望ましい。
【0061】
そのような五つ組は、PCID更新サービス(PUS)を使用して再プロビジョンすることができる。PUSは、自らが更新する、(M2ME110に一意に対応する)TRE230を識別することができる。このPUSは、ネットワーク内のCCIFサービスの一部、または別個の構成要素とすることができる。その更新は、1つまたは複数の五つ組(PCID、D、r、t1、t2)への変更を含むことができる。TRE230の識別(ID)は、TREのIDを現在のネットワーク(IP)アドレスに関連させることができるネットワークサービスに送信することができる。例えば、ネットワークエンティティは、完全なネットワーク接続性を得る過程でTRE230およびM2ME110の完全性を検証したPVA150、またはPVA150と連携してM2ME110の有効性を確認し、新たな1つまたは複数のPCIDを発行し、その新たな1つまたは複数のPCIDをM2ME110に遠隔的にプロビジョンする接続資格証明発行機能(CCIF)とすることができる。この遠隔プロビジョニングは、ネットワーク内のDPF170に委ねることもできる。
【0062】
この再配置手順は、PUSが目標のM2ME110およびTRE230に接続し、例えば以下に説明し、図3〜図5に示すプラットフォーム検証手順により、その状態の検証を要求するときに開始する。この手順は、TRE230が以前の五つ組(PCID、D、r、t1、t2)(の組)を安全に破棄し、所望の新たな五つ組をインストールすることをPUSに知らせることができる。検証が成功し次第、PUSは新たな五つ組(PCID、D、r、t1、t2)、および破棄すべき以前の五つ組のリストを送ることができる。TRE230は、その新たな五つ組を自律的にインストールし、(継続的接続性を確保するため)以前の五つ組を破棄する。
【0063】
別の実施形態では、TRE230は、PCIDに付加して衝突を軽減できる、(擬似)乱数を作成することができる場合がある。これらの追加情報を追跡し、見分ける能力をANに与えることができる。
【0064】
通信エンティティは、M2ME110、TRE230、およびネットワークアクセスポイント(NAP)(不図示)である。このNAPは、例えばVNO115に関連するeNodeB(eNB)とすることができる。TRE230は、単一の初期ネットワーク接続試行で使用する乱数(RAND)を生成する。TRE230は、RANDが例えば第2のパラメータ、必要に応じて追加データ(D1)、およびPCIDに入る、鍵付きハッシュ関数などの完全性保護方法を適用する。TRE230は、このデータを次のように送信する:TRE→eNB:RAND||PCID||D1||M1:=MAC(PCID||D1,RAND)。
【0065】
このeNBは、MAC(メッセージ認証コード)を検証し、ペイロードデータ(D2)および受信データから返信パッケージを次のように構築し、TREに送信する:eNB→TRE:D2||M2:=MAC(PCID||D2,M1。
【0066】
この方法は、初期ネットワーク接続において交換されるすべての後続のメッセージに及ぶ。後続のメッセージ交換は、任意の新たなメッセージ要素を含むデータ要素のMAC、および直前の交換のMACを含む。このeNBおよびTRE230は、新たなMnを構築するための最終値Mn-1を使用してこの通信中にメッセージを区別することができる。
【0067】
この通信に対する中間者型攻撃を回避する目的で、通信当事者を認証するために、あらかじめ決められた秘密または取り決められた/共有された秘密をメッセージに含めることができる。
【0068】
PCID本体(proper)をMAC値に含めることはオプションだが、ハッシュ表を構築し、異なるPCIDおよび/または共通のPCIDを備える複数のM2MEの、同時にアクティブなネットワーク接続試行を効率的に見分けるために有利であり得る。これは、セキュリティ問題となり得る、初期ネットワーク接続通信のすべてのメッセージ内で(おそらく平文の)PCIDを送信することを防ぐことができる。
【0069】
このeNBは、PCIDを使用する、すべての同時にアクティブなネットワークアクセス試行(本明細書では以下、チャネルと呼ぶ)の状態を表す表を保つことができる。各チャネルごとに、このeNBは表1の情報を含む。
【0070】
【表1】
【0071】
1列目は、すべてのチャネルにわたり現在アクティブなすべてのPCIDのリスト内の一項目を指し示す、この特定のチャネルに属するPCIDの索引を含み、PL:=[PCID1,...PCIDN]である。この索引は上記の表についてメモリを節約するが、メモリが問題にならない場合、この列は完全なPCIDを含むことができる。
【0072】
このeNBは、次のようにチャネル上で第3のメッセージを受信する。
【0073】
TRE→eNB: D3||M3:=MAC(PCID||D3,M2)
【0074】
i=1,...,Nにわたり、eNBは、次の手順が成功するまで、PCIDiをPLから選択する。最初のセルにPCIDの索引Iが含まれるすべての表の行に対し、eNBはM:=MAC(PCIDi||D3,M2)を計算し、M2はその行の2番目のセルから取る。M=M3の場合、成功状態に達し、この検索手順は終了する。最後に受信した第3のメッセージに対応するチャネルの行番号を返す。データ履歴にD3が追加され、選択された表の行のアクティブハッシュ値のセル内で、M3がM2に取って代わる。このプロセスは、後続のすべての通信ステップに関して繰り返す。
【0075】
あるいは、第1のメッセージの後のメッセージは、PCIDの代わりにチャネルの索引Iを含んで、後続メッセージの関連チャネルをより一層効率的に見つけることができる。
【0076】
M2ME110および/またはeNBの資源、特にメモリが限られている場合、アクティブなPCIDをロックすることができる。これは、M2ME110がロック済みのPCIDを使用するのを防ぐことにより、有利であり得る。
【0077】
例えば、M2ME110が、あるPCIDに関してeNBとのチャネルを開いた。その第1のチャネルが依然として開いている間、第2のTRE(不図示)を備える第2のM2ME(不図示)が、同じPCIDを使用してそのeNBへのチャネルを開こうと試みる。このeNBは、M1を伝送することにより、第2のM2MEのTREの第1のメッセージに応答することができる。したがって第2のTREには、このPCIDが現在占有されていることが知らされる。この第2のTREは、チャネルを開設する別の試みに関し、インストール済みPCIDのプールからの別のPCIDを使用することができ、または所定の期間待機してから同じPCIDを再び使用することができる。
【0078】
あるいは、関与するエンティティが、PCIDをアクティブに割当解除することができる。このM2MEのTRE230は、完全なネットワーク接続性を得るためにあるPCIDが使用されている場合(すなわち永久資格証明がダウンロードされた後)、その使用済みPCIDを破棄することができる。このPCIDの破棄は、様々なイベントが引き起こすことができる。例えばこのPCIDの破棄は、完全なネットワーク接続性を保証するためのプロトコルを成功裏に実行することなどにより、TRE230が完全なネットワーク接続性が保証された状態に達する場合にトリガすることができる。このPCIDの破棄は、有効期間が切れた場合、eNB、セキュリティゲートウェイ、もしくは専用PCID管理エンティティなどのネットワークエンティティが破棄を強制する場合、または、VNO115を介したM2ME110へのセキュアな接続を確立し得る、M2ME110の製造業者などのネットワーク外エンティティが破棄を強制する場合にトリガすることができる。
【0079】
どのイベントが破棄をトリガするのかに関係なく、そのイベントに関する情報を使用してそのPCIDを適切に割当解除する、つまり、そのPCIDを他のM2MEが再利用するために解放することができる。この割当解除イベントを信号で伝えるため、TRE230からM2MEの製造業者への接続を確立することができる。その製造業者は、解放されたPCIDの現行リストを更新することができ、それらのPCIDを再利用し、リリース時に新たなM2ME上にPCIDを付与することができる。
【0080】
あるいは、例えばあるSHOから別のSHOへの加入変更の開始時の、将来の接続性操作を容易にするために、ES、既存のSHO140、不図示の新たなSHO、またはICF160などのネットワーク内のエンティティを、PCIDを更新するように構成することができる。M2ME110がプロビジョンされると、新たなSHOとのサービスをプロビジョニングすることを助ける際に将来使用するために、初期ネットワークアクセス資格証明、PCIDの更新された値をMIDとしてM2ME110に送ることができる。この資格証明は、M2ME110のTRE230において抽出され、記憶され、排他的に使用される。
【0081】
SHOを変更することに起因する資格証明の再プロビジョニングプロセスの前に、M2ME110の既存の初期ネットワークアクセス資格証明、PCIDが失効したか、または失効しそうであることを、M2ME110に知らせることができる。M2ME110は、E/S、既存のSHO140、新たなSHO、またはICF160に新たな初期ネットワークアクセス資格証明を要求し、受け取ることができる。あるいは、M2ME110が初期状態から新たな初期ネットワークアクセス試行を行うときに、新たなPCIDがM2ME110を新たなSHOまで経路指定できるように、M2ME110は、E/Sまたはその新たなSHOから供給されるこれらのネットワーク要素の1つから新たなPCIDを受け取ることができる。
【0082】
一実施形態では、M2ME110は、U(I)SIMアプリケーション、PCID、および1度に1つのアクティブな組を使用すべき、複数組のAKAルート秘密で事前構成することができる。PCIDの変更時に、M2ME110は、次の組のAKA資格証明を使用するように指示され、そのためこれらのAKA資格証明を使用してM2ME110に3GPP接続性を提供し、そうしてオペレータの変更および新たなSHOへの加入の再プロビジョニングを容易にすることができる。
【0083】
上記の内容は、初期ネットワークアクセス資格証明を置換し、サービスを再プロビジョニングするための可能な方法のごく一部を説明したに過ぎない。すべての割当解除プロセスにおけるセキュリティ上の配慮は、割当解除プロセスにおいてPCIDを平文で転送しないことを要求することに留意すべきである。さらに、すべての割当解除プロセスに関し、割当解除プロセスにおいて通信相手を認証すべきである。
【0084】
TRE230またはM2ME110の信頼状態、ならびに関連するデータおよび資格証明の検証または認証を行うことに関し、3つの本質的に異なる可能性がある。その可能性には、次のものが含まれ、それはつまり:(1)自律的検証、(2)半自律的検証、および(3)遠隔的検証である。そのそれぞれを、図1に示すアーキテクチャを参照して以下により詳細に論じる。
【0085】
自律的検証とは、M2ME110が自らをネットワークにアタッチできるようにする前に、M2ME110の内部検証が生じているとみなされる手順である。
【0086】
半自律的検証とは、M2ME110の有効性が、外部ネットワークエンティティに依拠せず、M2ME110自体の内部で評価される手順である。そのような検証の結果、およびTRE230の認証をM2ME110の有効性に結合する所要の根拠は、PVA150などの遠隔エンティティに信号で伝えられ、そのエンティティは、M2ME110からのメッセージの内容に基づいて判断を行う。M2ME110からPVA150へのこの信号伝達は保護すべきである。
【0087】
遠隔的検証は、外部ネットワークエンティティ(例えばPVA150)が、M2MEのTRE230が生成した検証用の根拠、ならびにTRE230とM2ME110との間の結合の根拠を受け取った後、M2ME110の有効性/完全性を直接評価する手順で構成される。遠隔的検証のために、M2ME110とPVA150との間で行われるこの通信は保護すべきである。
【0088】
TRE230が、M2ME110の完全性についての自律的検証を行う場合、この検証の直接的根拠は外部に提供されない。外部は、M2MEおよびTREが指定され、実装される方法が原因で、その内部完全性検査に失敗するM2ME110は、自らをネットワークにアタッチし、または遠隔エンティティへの認証済み接続を得ることを、自らのTRE230によって妨げられるとみなす。例えば、セキュアブートプロセスは、M2ME110内のコードを安全に持ち出すことを容易にするが、この目的を果たす機器に依拠する場合以外、対外的な信号伝達はない。
【0089】
図3は、M2ME110の完全性を検証するために、TRE230が行う自律的検証手順300の一例を示す。
【0090】
まず310で、TRE230は、自らがセキュア始動(secure start−up)の定義済み状態に達しているかどうかを検査する。次に320で、TRE230は、セキュア始動を必要とするM2ME110の残りの定義済み部分が、セキュア始動の定義済み状態に達しているかどうかを検査する。
【0091】
次いで330で、TRE230自体により、またはTRE230にとって外部にあるが、TRE230が完全性を保護する、M2ME110内の測定構成要素により、さらなる検査を行うことができる。そのような後期検査では、M2ME110の残りの他の構成要素、構成、またはパラメータの完全性が、ロードされるとき、または開始されるとき、または他の定義済み実行時イベント時に、それらのイベントをこの測定構成要素が利用できる場合はいつでも、検査される。
【0092】
最後に340で、TRE230は、要求された認証手順にM2ME110が関与することを許可する。
【0093】
自律的検証は、必要とされる対外的通信の観点から最も経済的な方法である。しかし、自律的検証は、ネットワークアクセス中または連続的接続段階の間、任意の外部エンティティが、TRE230もしくはM2ME110の完全性を独立に評価することを認めない。つまり、ネットワークまたは他の通信相手によって捉えられるものとしてのM2ME110の信頼性は、単純なスマートカードベースの認証の場合のように、M2MEのTRE230のセキュリティ特性の技術仕様のみに基づく。
【0094】
したがって、TRE230は、(例えばネットワークアクセス試行前の)自律的検証のすべてのイベントに応答し、検証プロセスおよびその結果のログを記憶することもできる。例えば、その記憶した測定ログおよびプラットフォーム構成レジスタ(PCR)の値は記憶し、Trusted Computing Group(TCG)の原理を使用し、M2ME110の完全性を保護するために使用することができる。
【0095】
この記憶したデータは、データが監査記録を構成するので、外部監査にも使用することができる。この監査データは、TRE230内のまたはTRE230が保護する、安全な内部アーカイブに記憶されるため、そのような不正変更を検出可能でなしに、変更することはできない。その結果、データの完全性保護が実現される。
【0096】
さらに、この監査データは、自律的検証が引き起こされた特定の目的(例えばネットワークアクセスプロトコルの実行の、特定のインスタンス)に結合される。この結合は、検証目的を一意に識別するデータを、監査データに含めることによって達成することができる。
【0097】
例えば、アクセスプロトコル内に確立される、共有された秘密または資格証明を監査データに添付することができ、TRE230は、その作成した1組のデータにデジタル署名を施してその1組のデータの完全性を保護することができる。その後、M2ME110から独立したエンティティが、その監査データを後の任意の時点において要求することができる。例えば、そのエンティティは監査データを周期的に要求して、前のネットワークアクセスイベントごとに、問題のM2ME110が信頼できるかどうかを確認することができる。次いで、TRE230およびM2ME110の識別資格証明とともに、この根拠をネットワークアクセス試行に関するネットワーク側プロトコルに再照合し、TRE230の識別および信頼性をさらに検証し、M2ME110の不正変更を検出することができる。
【0098】
図4は、TRE230が、M2ME110の完全性の半自律的検証を行うための手順400を示す。この手順400が開始すると、410で、TRE230は、自らがセキュア始動の定義済み状態に達しているかどうかを検査する。次に420で、TRE230は、セキュア始動を必要とするM2ME110の残りの定義済み部分が、セキュア始動の定義済み状態に達しているかどうかを検査する。次いで430で、TRE230自体により、またはTRE230にとって外部にあるが、TRE230が完全性を保護する、M2ME110内の測定構成要素により、さらなる検査を行うことができる。そのような後期検査では、M2ME110の残りの他の構成要素、構成、またはパラメータの完全性が、ロードされるとき、開始されるとき、またはこの測定構成要素が利用できる他の任意の定義済み実行時時間イベント時に検査される。
【0099】
PVA150などの遠隔エンティティは、M2ME110が半自律的検証テストを通過したことを間接的に知ることができる。ネットワークに対し、この検証の成果について明確な信号伝達がある。440で、この信号伝達はTRE230内から生じるべきであり、暗号を使用して保護されるべきである。さらにこの信号伝達は、MIDをダウンロードするのに必要な、M2ME110の認証より前に起こり、M2ME110のダウンロード目標である構成要素の完全性を確実にする。この信号伝達は、TREの認証と実際の有効性検査に使用されるM2ME110内の資源との間の結合の根拠を含むこともできる。そのような根拠には、TRE230およびM2ME110の証明を確立するためのさらなる情報を提供する、M2ME110からネットワークに送信されるトークンが含まれ得る。
【0100】
図5は、TRE230の完全性の半自律的検証に関する代替的手順500を示す。この手順500は、510で、PVA150またはSHO140が、検証を周期的に行うようにTRE230に要求するときに開始する。この要求は、M2ME110が最初に登録された後に送信することができ、またはこの要求は、M2ME110がSHOを相手に一番初めに認証された時点で送信することができる。
【0101】
あるいはこの要求は、PVA150またはSHO140から、保護された運用保守(OAM:Operation And Maintenance)メッセージとして周期的に送信することができる。「周期的再検証」の期間は相対的に長いが、それでもなお、SHO140が検証の「新鮮さ」に関して安心できるようにするのに十分な短さのものとすることができる。
【0102】
次に520で、TRE230が、その要求に基づいて検証手順を実行する。検証が成功すると、530で、TRE230は、TRE230が作成する、最後の検証がいつ行われたのかを示すタイムスタンプを含み得る検証応答メッセージをPVAに送信する。あるいは、TRE230は、周期的検証サイクルの現在のラウンドが失効する前に、最後の検証が行われたことを述べるメッセージを送信することができる。
【0103】
この検証の「成果」に関する明確な信号伝達はなく、規定された周期的検証が実際に行われたことを示す、認証要求の一部としての一定の間接的な指示のみがあることに留意すべきである。この指示は、この周期的検証が行われた日付または時間を含むことができる。
【0104】
図6は、M2MEの完全性を遠隔的に検証するための手順600の一例である。この手順600を開始するために、610で、M2ME110は定義済みセキュア状態に向けて始動することができる。セキュア状態に達すると、620で、M2ME110は、プラットフォームの有効性の根拠をTRE230が生成することを要求することができる。次に630で、TRE230は、M2ME110の残りから、そのような根拠を作成するために使用する材料を集める。例えばこの材料には、M2ME110内のセキュリティ上重要な実行可能コード、M2MEのオペレーティングシステム(OS)の資格証明、機器ID等が含まれ得る。次いで640で、TRE230は、M2ME110の検証用の根拠を生成し、完全性および/または機密性を得るために、それを暗号を使用して保護する。次に650で、TRE230はその保護された根拠をM2ME110に渡す。660で、M2ME110はその保護された根拠をPVA150に転送する。
【0105】
その保護された根拠を受信すると、670で、PVA150はその根拠を評価して、引き続きデバイス認証を実行させ、MIDをダウンロードさせるのに、そのM2ME110が十分信頼できるかどうかを判定する。
【0106】
オプションで、上述した手順の要素の一部を、MIDをダウンロードするのに必須のM2ME認証に使用するプロセスに、統合することができる。TRE230とPVA150との間のこの通信は、保護すべきであることに留意すべきである。
【0107】
上述した3つの検証手順のうちのいずれかを実行した後、M2MEの検証と認証との間の結合が多くのシナリオにおいて望ましい。自律的検証の場合、検証はM2ME110のセキュア状態を立証する、M2ME110の何らかの証明書または資格証明とすることができる。他の検証手順の場合、検証はM2ME110のセキュア状態についての、より安全な証明手段を含むことができる。M2MEのTRE230は、M2ME110の検証を行うために使用する、M2MEの内部資源のセキュリティ特性を保証する高信頼環境なので、認証に使用される資格証明への検証の資格証明および/または成果の結合があるべきである。
【0108】
M2ME110を認証するための手順が3つある。第1に、初期ネットワーク接続性の必須条件として、ICF160が初期状態のM2ME110を認証することができる。第2に、MID(例えばその資格証明を伴うUSIMアプリケーション)をダウンロードする必須条件として、認証されたTRE230をM2ME110が含むことを証明するために、DPF180などのエンティティがM2ME110を認証することができる。第3に、(例えばダウンロードしたMIDを使用する)操作上のネットワークアクセスのために、SHO140がM2ME110を認証することができる。
【0109】
自律的検証は、上述の初期ネットワーク接続性に関して使用する認証手順に結合することができる唯一のタイプの検証である。上述した残りの2つの検証方法はPVA150が関与することを必要とするが、初期接続性はなく、M2ME110が検証にPVA150を関与させることはできない。
【0110】
初期ネットワーク接続性に関し、自律的検証では、ネットワークアタッチメントが生じる後まで、完全性/有効性についてのネットワークベースの検査は行われないので、ネットワークアクセス認証への完全性/有効性の結合は単に暗示的に過ぎないことがある。残りの2つの形態の検証に関しては、M2ME110内のTRE230識別、したがってTRE230のセキュリティ機能およびM2ME110の完全性についてのさらなる情報を提供するトークン(TRE230の資格証明および証明を立証するデジタル証明書など)を、初期アタッチメントメッセージ内で渡すことができる。
【0111】
操作上の接続性では、半自律的検証ならびに遠隔的検証があり得る。さらに、後続の認証ステップへのそのような検証方法の結合があり得る。プラットフォーム検証と認証との結合を果たすための2つの方法を以下に説明する。
【0112】
第1に、M2ME110への、認証資格証明を保持するTRE230の論理的結合があり得る。認証の間、デバイスプラットフォームの完全性が検証される。論理的結合についての以前の解決策(例えばSIMロック)はすぐに回避されていることに留意すべきである。しかしTCGなど、成功裏に適用し得る他のより新しい方法体系がある。
【0113】
第2に、M2ME110への、TRE230の物理的結合があり得る。TRE230の認証の間、デバイスプラットフォームの完全性が検証される。
【0114】
上記のいずれの場合にも、プラットフォーム資源の実際の検証は、M2ME110に安全に埋め込まれたハードウェアセキュリティ構成要素(すなわち埋め込まれたTRE)の機能を使用することにより、またはTRE230の外側にあるが、TRE230がそのセキュリティ特性を保証することができ、TRE230に安全に接続することができる、そのようなハードウェアセキュリティ構成要素を使用することによって実行されるべきである。3GPP AKA認証に使用する資格証明およびアプリケーションは、ホスティングデバイス内のセキュアハードウェア構成要素の結合を検証する目的で設計されていないことに留意すべきである。
【0115】
検証および認証のステップは、共通プロトコルのセッション内で組み合わせることができる。例えば3GPPは、デバイスおよびホスティング当事者の認証ステップを組み合わせるための方法としてIKEv2を使用する。同じプロトコルを、組み合わせられた検証/認証手順で使用するために考慮することもできる。
【0116】
図7は、アクセスが認証された場合の、MIDをM2ME110にプロビジョニング/再プロビジョニングするための、第1の手順700の例を示す。この手順は例証目的で提供するが、同様の結果を伴う、ネットワークエンティティ間の他の対話も可能である。図7では、矢印が、各機能、サービスプロバイダ、および検証局間の接続を示す。実線の矢印は、M2ME110からVNO115への初期ネットワークアクセスのためのエアインターフェイスを示し、破線矢印は、VNOのネットワークが提供するエアインターフェイスを介した、M2ME110とICF160との間の接続を示し、点線矢印は、VNOのネットワークのエアインターフェイスならびにICF160が提供するIP接続性を介した、M2ME110とDPF180、DPF170およびPVA150との間の接続を示す。ICF160、DRF170、およびDPF180をすべて個別のエンティティとして示すが、図1に示すようにそれらを単一のエンティティ内に、または本質的に同じ機能を果たす他の何らかの仕組みの中に配置できることも当業者なら理解されよう。
【0117】
図7の手順700では、M2ME110へのMIDのダウンロードおよびプロビジョニングは、M2ME110がその初期ネットワークアクセスにおいて3G VNOのネットワークにアクセスするときに生じることができる。VNO115は以下の手順により、M2ME110にエアインターフェイスを提供する。
【0118】
M2ME110は、例えば標準GSM/UMTS原理(GPRS/PS)を使用してネットワーク情報を復号し、アタッチメッセージを使用してVNO115のネットワークにアタッチすることができる。701で、M2ME110は、アタッチメッセージ内で仮のM2ME IDまたはPCIDをVNO115に送信し、VNO115が、標準UMTS AKA手順によりM2ME110を認証する。そのPCIDの内容および構造は、VNO115がそのPCIDをIMSIとして認識するようなものである。
【0119】
VNOのネットワークに初期アタッチメントするためのクライアント認証を実行できるためには、M2ME110が、すべてのM2MEおよびVNO115によって共有される、Milenageアルゴリズムなどの認証アルゴリズムをサポートする必要があることに留意すべきである。
【0120】
702で、そのPCIDをM2ME110のIDとして認識するVNO115は、そのPCIDを正当な予備資格証明として承認するICF160に接触する。次いで703で、ICF160は、M2ME110とのさらなる通信を保護するための1組の予備認証ベクトル(AV)を発行し、保護されたIP接続性をM2ME110に提供し始める。この通信は、VNOのネットワークが提供するエアインターフェイスを使用して実行される。
【0121】
次に704で、M2ME110とICF160とが標準AKAプロセスを実行し、予備AKA鍵を作成してM2ME110からの/M2ME110への通信を保護する。その後、M2ME110がSHOのMID資格証明をダウンロードし、プロビジョニングした後にそれらを使用してネットワークに接続するまで、様々なネットワークエンティティへのM2ME110間のすべての通信は、VNOのネットワークが提供するエアインターフェイス、ならびにICF160が提供するIP接続性および暗号化保護を介して行われる。
【0122】
次いで、ICF160が、M2ME110をDPF180に転送する。その際705で、ICF160は、PCIDをDRF170に送信することができる。次いで706で、DRF170は、M2ME110がSHO140を探すのを支援する。次に707で、DRF170が、SHO140に接続し、SHOのネットワークへの接続に関してM2ME110を登録する。それに応答して708で、SHO140が、M2ME110のTRE230の真正性および完全性を検証するようにPVA150に要求する。次いで709で、PVA150が、M2ME110のTRE230の真正性および完全性を検証する。この検証手順は、図3〜図5に関して上述した検証手順と同様の方法で実行することができる。
【0123】
検証完了時に、710で、PVA150が検証結果をSHO140に送り返す。711で、SHO140がDPF180に接触し、MID(USIM/ISIMアプリケーション)をM2ME110にプロビジョニングすることを許可する。
【0124】
次に712で、DPF180が、MIDオブジェクトをM2ME110にダウンロードする。次いで713で、M2ME110が、ダウンロード済みMIDをTRE230内にプロビジョンし、そのプロビジョニングの成功/失敗状態をDPF180に報告する。M2ME110は、そのようなメッセージを検証するために使用できるトークンを送信する必要があり得る。そのようなトークンは、不正変更およびリプレイ攻撃に耐性がある形式をなす必要がある。最後に714で、DPF150が、プロビジョニングの成功/失敗状態をSHO140に折り返し報告する。
【0125】
図8は、アクセスが認証された場合の、MIDをM2ME110にプロビジョニング/再プロビジョニングするための、もう1つの手順800を示す。この手順800では、M2ME110へのMIDのダウンロードおよびプロビジョニングは、M2ME110がその初期ネットワークアクセスにおいて3G VNOのネットワークにアクセスするときに生じることができる。SHO140が、自らのMIDをダウンロードし、プロビジョニングすることを許可する前にTRE230の検証を行わせる代わりに、ICF160は、仮認証ベクトルをM2ME110にリリースする前に、さらにIP接続性をM2ME110に与える前に、M2ME110のTRE230を検証するよう、PVA150に要求する。
【0126】
手順800は、801で、M2ME110が、例えば標準GSM/UMTS原理(GPRS/PS)を使用してネットワーク情報を復号し、VNO115のネットワークにアタッチするときに開始する。M2ME110は、アタッチメッセージ内でPCIDをVNO115に送信する。VNO115が、標準UMTS AKA手順によりM2ME110を認証する。
【0127】
802で、M2ME110のPCIDを認識するVNO115は、そのPCIDを正当な予備資格証明として承認するICF160に接触する。次に803で、ICF160が、M2ME110のTRE230の真正性および完全性を検証するようにPVA150に要求する。次いで804で、PVA150が、M2ME110のTRE230の真正性および完全性を検証する。この検証は、前に述べた検証手順のうちの1つを使用して実行することができる。
【0128】
805で、PVA150が検証結果をICF160に送り返すと、806で、そのICFは、M2ME110とのさらなる通信を保護するための1組の予備認証ベクトル(AV)を発行し、保護されたIP接続性をM2ME110に提供し始める。この通信は、VNOのネットワークが提供するエアインターフェイスを介して行われる。
【0129】
次に807で、M2ME110とICF160とが標準AKAプロセスを実行し、予備AKA鍵を作成してM2ME110からの/M2ME110への通信を保護する。その後、M2ME110がSHOのU(I)SIM資格証明をダウンロードし、プロビジョニングした後にそれらを使用してネットワークに接続するまで、様々なネットワークエンティティへのM2ME110間のすべての通信は、VNOのネットワークが提供するエアインターフェイス、ならびにICF160が提供するIP接続性および暗号化保護を介して行われる。
【0130】
808で、ICF160が、M2ME110をDRF170に導く。その際、ICF160は、PCIDならびにTREの検証状態に関する情報をDRF170に送信する。809で、DRF170は、M2ME110がそのSHO140を探すのを支援し、M2ME110をSHO140に転送する。次いで810で、DRF170が、SHO140に接続し、SHO140への接続に関してM2ME110を登録する。その際、DRF170は、TREの検証状態に関する情報もSHO140に伝える。
【0131】
DRF170から受信したTREの検証状態情報を検討した後、811で、SHO140がDPF180に接触し、MID(USIM/ISIMアプリケーション)をM2ME110内にプロビジョニングすることを許可する。それに応答して812で、DPF180が、MID(U(I)SIMアプリケーションおよび資格証明)オブジェクトをM2ME110にダウンロードする。
【0132】
813で、M2ME110が、ダウンロード済みMIDをTRE230内にプロビジョンし、そのプロビジョニングの成功/失敗状態をDPF180に報告する。M2ME110は、そのようなメッセージを検証するために使用できるトークンを送信することができる。そのようなトークンは、不正変更およびリプレイ攻撃に耐性がある形式をなすべきである。最後に、DPF180が、プロビジョニングの成功/失敗状態をSHO140に折り返し報告する。
【0133】
図9は、新たなSHO(不図示)に対してM2ME110を再プロビジョニングするための、手順900の流れ図の一例である。この手順900は、910で、M2MEの所有者が、新たなSHOに接触してM2MEのパラメータを転送するときに開始する。次いで920で、M2MEの所有者が、M2MEに接触して再プロビジョニング手順を開始する。
【0134】
930で、その新たなSHOが、M2ME110を検証するように検証エンティティに要求する。次いで940で、PVA150がM2ME110を検証し、成功/失敗メッセージをその新たなSHOに送信する。950で、成功通知の受信時に、その新たなSHOが、新たなMID(すなわちUSIMアプリケーションおよび資格証明)をM2ME110にダウンロード/プロビジョンするよう、DPFに要求する。
【0135】
次いで960で、DPF180が、新たなMIDパッケージをM2ME110に安全にダウンロードする。970で、M2ME110が、以前のMIDを破棄したというメッセージを以前のSHOに送信する。次いで980で、以前のSHOがM2ME110にACKを送信し、次いでM2ME110は、そのACKをDPF180に転送し、その後新たなSHOに転送する。
【0136】
990で、M2ME110が、DPF180の助けで自らのシステムを更新し、MIDをインストールし、DPF180に成功/失敗メッセージを送り返す。992で、DPF180が、その成功/失敗メッセージを新たなSHOに報告する。998で、成功時に、このプロビジョニングプロセスは完了する。
【0137】
別の再プロビジョニング手順では、M2ME110を初期状態に置き、図7および図8に示す初期プロビジョニング手順と同じタイプのプロセスを再び開始することができる。
【0138】
別の実施形態では、PVA150は、M2ME110が依然として同じSHO140に加入している間に実行される、任意のソフトウェア(SW)またはファームウェア(FW)の更新が、安全な方法で行われることを保証する役割を果たす。この保証することは、資格証明を更新しまたは再構成することを含む。
【0139】
これは、PVA150またはDPF180が、SW/FWの安全な無線(さらに有線)ダウンロードや、M2ME110および/またはTRE230の再プロビジョニングなどの手順を監督すべきであることを意味する。したがって、PVA150またはDPF180は、安全なダウンロード、FLASH更新、および/またはM2ME110のデバイス再構成に関し、OMA DMおよびOMA FOTA規格において提供される方法などの、利用可能な方法を使用することができる。
【0140】
さらに、このM2MEの信頼状態情報は、遠隔SW/FW更新または再構成が原因で変わる可能性があるので、SW/FW更新または再構成の完了時に、PVA150またはDPF180は、M2ME110またはTRE230の新たな検証可能ブートもしくは実行時信頼状態情報検査を開始し、その結果を得ることができるべきである。PVA150またはDPF180はさらに、M2ME110に関する信頼状態情報についての自らのデータベースを更新すべきである。この遠隔SW/FW更新または遠隔資格証明再構成にDPF180が関与する場合、PVA150がM2ME110の「信頼状態」情報についての自らのデータベースを更新することができるように、M2ME110に関する「信頼状態」情報に対するその更新/再構成の任意の予想効果を、DPF180からPVA150に送信する必要がある。
【0141】
さらに、M2ME110の不正変更の検出、および不正変更に対する検出後の救済反応に関する解決策を開示する。M2ME110を不正変更攻撃に強くするため、いくつかの解決策を提案する。
【0142】
まず、M2ME110は、自らに、または自らの内部の1つまたは複数の任意のサブシステムに対して行われる特定のタイプの「不正変更」を、(定期的にスケジュールされた検出試行の場合は)十分に頻繁にかつ/または(イベント駆動型の検出試行の場合は)適時ベースで検出することができる機能を備えるように構成することができる。そのような検出可能な不正変更イベントの例には、(1)マルウェアまたはウイルスが、OSを救済可能なおよび/または救済不可能な危険にさらすこと、(2)バッファオーバフローイベント、(3)無線もしくは上位層接続特性、および/または環境測定値の突然の予期せぬもしくは未承認の変化、(3)M2MEの予備認証、登録、またはMIDプロビジョニング要求に対し、信頼できるネットワーク要素がアクセスまたはサービスの失敗および/もしくは拒否を過度に繰り返すこと、または(4)M2ME110または遠隔MID管理機能に関係するM2MEサブシステムの「信頼状態」の、ブート後または実行時読取り値の任意の予期せぬ/未承認の変化が含まれ得るが、これだけに限定されない。PVA150、ICF160などのネットワーク要素、または図1に示す他の任意のネットワーク要素も、不正変更を検出するように構成することができる。例えば、これらのネットワーク要素は、自らの機能および/またはM2ME110の機能を使用して、M2ME110に対して行われる特定のタイプの「不正変更」を遠隔的に検出するように構成することができる。さらに、これらのネットワーク要素は、任意の不正変更検出イベントについて報告するよう、M2ME110に要求するように構成することができる。
【0143】
自らに対する任意の不正変更を自己検出するとき、M2ME110は、自らに対する、または他のネットワーク要素に対するさらなる被害を抑えるための措置を講じるべきである。例えば、不正変更の検出時に、遠隔MID管理に関係する機能を無効にするようにM2ME110を構成することができる。M2ME110は、自らの内部資源(SWや、OSの特定の部分など)による、TRE230など、M2ME110のあらかじめ指定された極めてデリケートな領域へのアクセス、またはSIMおよび/もしくはTPM/MTMなど、遠隔MID管理に関係するデータ、コードまたは資格証明を保持する、M2ME110の他の部分へのアクセスを無効にするように構成することもできる。
【0144】
不正変更を自己検出するとき、M2ME110は、疑わしいまたは検出した不正変更イベント、ならびにM2ME110が取った検出後の自己救済アクションまたは反応アクションのイベントについての報告を、指定されたネットワーク要素(PVAなど)に送信するように構成することもできる。そのようなイベント報告はさらに、それらのイベントのタイムスタンプ、または、M2ME110の最新のGPS読取り値や隣接セルのリストなど、それらのイベントの位置情報スタンプさえも含むことができることに留意すべきである。
【0145】
さらに、不正変更を検出するとき、M2ME110は、最近のSW更新、または疑わしいウイルスもしくはマルウェアコードもしくはデータの削除、隔離、アンインストールなどの救済アクションを実行するように構成することができる。M2ME110は、一時記憶域(例えばRAM)および/または永続記憶域(例えばNVRAM、フラッシュ、ハードディスク、SIM、TPM/MTM内部記憶領域または暗号化された記憶領域等)からの、USIMに関係する鍵や資格証明など、遠隔MID管理機能に関係する、任意のあらかじめ指定された1組のデータを削除するように構成することもできる。
【0146】
最後に、不正変更を検出するとき、M2ME110は、自らの、または遠隔MID管理機能を取り扱う端末の部分/サブシステムの電源を切るように構成することもできる。
【0147】
PVA150などの特定のネットワーク要素も、M2ME110であって、(1)疑わしいまたは検出した不正変更イベントを報告しまたは(2)対話相手であったPVA150自体または他のネットワーク要素により不正変更イベントにあったと疑われている、M2ME110のために、遠隔「検出後」反応アクションを開始/実行する役割を果たし、それらを開始/実行する能力を有することができる。
【0148】
上述した機能および実施形態は、3G UMTSネットワークアクセスの認証に必要な認証プロトコル以外の認証プロトコルに適用可能である。そのようなプロトコルの例には、アプリケーション層認証に使用される汎用ブートストラッピングアーキテクチャ(GBA)に準拠するプロトコル、およびGSM/UMTS端末の非3Gアクセスネットワークに対する認証のための、SIM(EAP−SIM)に基づく拡張可能認証プロトコルが含まれ得るが、これだけに限定されない。例えば、図1に示すネットワーク要素は、識別の認証および遠隔管理ならびにサービス、アプリケーションもしくは(非3G)ネットワークアクセスについてのM2MEデバイスの認証を可能にするために、存在し、同様のまたは同じ機能を実行することができる。
【0149】
諸特徴および要素を特定の組合せにより上記に記載したが、各特徴または要素を、他の特徴および要素なしに単独で、または他の特徴および要素を伴うもしくは伴わない様々な組合せで使用することができる。本発明で提供する方法または流れ図は、汎用コンピュータまたはプロセッサによって実行するためにコンピュータ可読記憶媒体中に実施されるコンピュータプログラム、ソフトウェアまたはファームウェアで実施することができる。コンピュータ可読記憶媒体の例には、ROM(読出し専用メモリ)、RAM(ランダムアクセスメモリ)、レジスタ、キャッシュメモリ、半導体記憶装置、内蔵ハードディスクやリムーバブルディスクなどの磁気媒体、光磁気媒体、およびCD‐ROMディスクやDVD(デジタル多機能ディスク)などの光学媒体が含まれる。
【0150】
適切なプロセッサには、例えば汎用プロセッサ、専用プロセッサ、従来型プロセッサ、DSP(デジタル信号プロセッサ)、複数のマイクロプロセッサ、DSPコアに関連する1個または複数個のマイクロプロセッサ、コントローラ、マイクロコントローラ、特定用途向け集積回路(ASIC)、書替え可能ゲートアレイ(FPGA)回路、他の任意のタイプの集積回路(IC)および/または状態機械が含まれる。
【0151】
ソフトウェアに関連するプロセッサを使用して、無線送受信ユニット(WTRU)、ユーザ機器(UE)、端末、基地局、無線ネットワークコントローラ(RNC)、または任意のホストコンピュータで使用するための無線周波数トランシーバを実装することができる。WTRUは、カメラ、ビデオカメラモジュール、テレビ電話、スピーカホン、振動デバイス、スピーカ、マイクロホン、テレビトランシーバ、ハンズフリーヘッドセット、キーボード、Bluetooth(登録商標)モジュール、FM(周波数変調)無線ユニット、LCD(液晶ディスプレイ)ディスプレイユニット、OLED(有機発光ダイオード)ディスプレイユニット、デジタル音楽プレイヤ、メディアプレイヤ、ビデオゲーム機モジュール、インターネットブラウザ、および/または任意のWLAN(無線ローカルエリアネットワーク)もしくはUWB(超広帯域)モジュールなど、ハードウェアおよび/またはソフトウェアによって実装されるモジュールと組み合わせて使用することができる。
【0152】
実施形態
1.機械対機械(M2M)通信を実行するための方法。
【0153】
2.通信には、認証、プロビジョニング、または再プロビジョニングのうちの1つもしくは複数が含まれることを特徴とする上記の実施形態に記載の方法。
【0154】
3.M2M対応機器(M2ME)において、訪問先ネットワークオペレータの(VNOの)ネットワークに接続するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0155】
4.選択ホームオペレータの(SHOの)ネットワークに接続するための許可を受けるステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0156】
5.そのSHOのネットワークに接続するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0157】
6.VNOは、単一のネットワークエンティティであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0158】
7.VNOには、複数のネットワークエンティティが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0159】
8.VNOは、初期登録およびプロビジョニングのためにアクセスされる、任意のアクセスネットワークであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0160】
9.登録およびプロビジョニングには、USIM/ISIMアプリケーションの登録およびプロビジョニングが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0161】
10.M2MEが、VNOではないSHOに登録するステップと、
VNOがVNOのままであるステップと
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0162】
11.M2MEが、VNOであるSHOに登録するステップと、
VNOがSHOになるステップと
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0163】
12.VNOは、M2MEに一時的なネットワークアクセスを提供する役割を果たすことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0164】
13.一時的なネットワークアクセスは、一時的ネットワークアクセス資格証明に基づくことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0165】
14.一時的ネットワークアクセス資格証明には、PCIDまたは他の任意の一時的プライベートIDが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0166】
15.VNOは、発見および登録機能(DRF)へのオープンネットワークアクセスを提供するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0167】
16.少なくともDRFのサービスへのアクセスに関しては、資格証明または認証は不要であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0168】
17.VNOがSHOになる場合、VNOはDRFへのオープンネットワークアクセスを提供することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0169】
18.VNOは、プロビジョンしたUSIM/ISMアプリケーションを使用して完全なネットワークアクセスを提供するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0170】
19.完全なネットワークアクセスには、IMSが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0171】
20.ROは、ICF、DRF、ならびにダウンロードおよびプロビジョニング機能(DPF)のうちの1つまたは複数を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0172】
21.ICF、DRF、およびDPFは、個別のエンティティにそれぞれ位置することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0173】
22.ICFは、操作上のネットワークアクセスの登録およびプロビジョニングのために、通信ネットワークへの一時アクセスを許可する資格証明を検証する役割を果たすことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0174】
23.ICFが、一時的ネットワークアクセス資格証明を発行するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0175】
24.ICFが、M2MEに対して一時的プライベート識別子を発行するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0176】
25.一時的ネットワークアクセス資格証明または一時的プライベート識別子は、認証済み初期一時的ネットワークアクセスに使用されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0177】
26.ICFは、M2Mの鍵、構成、およびアプリケーションのうちの1つまたは複数でM2MEをプロビジョニングするステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0178】
27.プロビジョニングには、無線によるプロビジョニングが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0179】
28.M2MEを事前構成するために、ICFが機器サプライヤ(E/S)に資格証明を提供するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0180】
29.資格証明をM2MEに埋め込む役割を果たす組織に対し、それらの資格証明を安全に伝送するようにICFを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0181】
30.ICFが、資格証明をデータベースに登録するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0182】
31.ICFが、資格証明検証要求をサードパーティから受け取るステップと、
ICFが、資格証明の検証を実行するステップと
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0183】
32.資格証明の検証には、サードパーティに認証ベクトルを安全に伝送することが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0184】
33.認証ベクトルは、関連データを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0185】
34.M2MEをSHOに成功裏に登録する前、すべてのアクセスネットワークは訪問先ネットワークとみなされることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0186】
35.M2MEは、ネットワークを変更することなく、従来のネットワークを介してSHOにトランスペアレントに接続することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0187】
36.DRFは、特定のSHOを購入後に選択すること、およびその選択したSHOにM2MEを登録することを可能にすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0188】
37.DRFは、独立したサービスであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0189】
38.DRFは、SHOが運営することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0190】
39.SHOのROには、SHOの3GPPネットワークを介して接触することができることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0191】
40.SHOのROには、インターネットを介して接触することができることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0192】
41.SHOのROは、発見可能であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0193】
42.SHOのROは、M2ME内の機能を使用して発見可能であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0194】
43.DRFは、M2MEが届けられた後、顧客がSHOを選択できるようにすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0195】
44.DRFは、一時的に認証されたネットワークアクセスまたは限定されたオープンネットワークアクセスを使用し、M2MEがROにIP接続できるようにすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0196】
45.DRFは、VNOを介し、USIM/ISMアプリケーションのプロビジョニングを、M2MEが要求できるようにすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0197】
46.DRFが、プロビジョニング要求を承認するステップと、
M2MEをDPFがプロビジョンすることを許可するステップと
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0198】
47.DRFは、M2MEの所有者が、そのM2MEを登録することをサポートすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0199】
48.DRFは、M2MEとSHOとの関連付けをサポートすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0200】
49.M2MEの資格証明を使用して、TREの真正性を、PVAを介して検証するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0201】
50.DRFが、M2MEに伝送しようとするデータパッケージを生成するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0202】
51.DRFが、M2MEに伝送しようとするデータパッケージを取得するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0203】
52.DRFが、データを安全にPSに伝送するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0204】
53.DPFが、M2MEに伝送しようとするデータパッケージを生成するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0205】
54.DPFが、M2MEに伝送しようとするデータパッケージを取得するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0206】
55.DPFが、データを安全にPSに伝送するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0207】
56.DRFが、M2MEとDPFとの間のセキュリティアソシエーションの設定を容易にするステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0208】
57.DRFが、セキュリティトークンを生成し、安全なチャネル上でM2MEおよびDPFに伝送するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0209】
58.DPFは、M2MEにUSIM/ISM資格証明を遠隔プロビジョニングすることを可能にすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0210】
59.DPFが、M2MEをプロビジョンするための許可をDRFから受けるステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0211】
60.許可を受けるステップは、DPFが、M2MEと通信するためのセキュリティトークンを受け取るステップを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0212】
61.DPFが、アプリケーションパッケージをDRFから受け取るステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0213】
62.DPFが、記憶された規則からアプリケーションパッケージを生成するステップと、
DRFにダウンロードされている資格証明をDRFに知らせるステップと
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0214】
63.USIM/ISMアプリケーションまたはUSMI/ISIMパラメータを、M2MEにプロビジョニングすることをサポートするように、DPFを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0215】
64.M2MEにとってのUSIM/ISIMアプリケーションまたはUSIM/ISIMパラメータを将来更新するように、DPFを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0216】
65.新たなアプリケーションを将来プロビジョニングするように、DPFを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0217】
66.成功したまたは失敗したプロビジョニングイベントをDRFに知らせるように、DPFを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0218】
67.SHOは、M2MEのユーザと商業的関係を有するネットワークオペレータであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0219】
68.SHOは、顧客に課金する役割を担うことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0220】
69.SHOは、DRFの役割を果たすことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0221】
70.SHOは、DPFの役割を果たすことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0222】
71.SHOは、他の役割を果たすことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0223】
72.SHOは、DRFおよびDPFと運営上の関係を有することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0224】
73.DRFとDPFとは、互いに運営関係を有することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0225】
74.M2MEは、サービスプロバイダを用いて動作する権限を最初は与えられていないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0226】
75.M2MEは、VNOと通信し、ROへのチャネルを確立することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0227】
76.M2MEは、プライベート識別を有することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0228】
77.PCIDは、プライベート識別であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0229】
78.プライベート識別は、任意のVNOがM2MEを認識し、そのVNOのサービスへの一時アクセスを許可し、オペレータとのサービスをダウンロードしてプロビジョンするために、初期接続性メッセージを適切なネットワーク構成要素に宛てることを可能にすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0230】
79.PVAは、ダウンロードしたUSIM/ISIMアプリケーションを記憶し、実行するために使用する、M2ME内のセキュアデバイスの真正性を立証する資格証明に関与することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0231】
80.PVAには、資格証明を発行し、資格証明検証サービスを提供する1つまたは複数の商業組織が含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0232】
81.資格証明には、証明書および鍵の対が含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0233】
82.M2ME内のセキュアデバイスは、UICC、TRE、または他の何らかのセキュアモジュールのうちの1つもしくは複数であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0234】
83.PVAの機能は、USIM/ISIMアプリケーションをプロビジョニングするために、セキュアデバイスの厳密認証が必須である場合に必要であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0235】
84.M2ME内のセキュアデバイスのセキュリティを立証するための資格証明を作成し、発行するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0236】
85.M2ME内のセキュアデバイスのセキュリティを立証するための資格証明を作成し、発行するステップは、PVAによって実行されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0237】
86.M2ME内のセキュアデバイスの資格証明の検証を行うように、PVAを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0238】
87.発行された資格証明の有効性に関係するデータの保守を行うように、PVAを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0239】
88.機器サプライヤ(E/S)は、一時的な初期ネットワークアクセスのための認証用の資格証明を、ICFから安全に取得することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0240】
89.M2MEの再構成をサポートするようにE/Sを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0241】
90.再構成には、予備ネットワークアクセス資格証明を用いて、M2MEをプロビジョニングすることが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0242】
91.E/Sは、ICF160を介してDRF170に提供する際に使用するための、M2MEが1組の標準化されたセキュリティ要件に従う、資格証明を、PVA150から安全に得ることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0243】
92.M2MEを資格証明で構成するようにE/Sを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0244】
93.所望のDRFおよびSHOをM2MEの所有者が選択するための手段を提供するように、E/Sを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0245】
94.M2MEがアクセスネットワークに接続するとき、DRFおよびSHOの自動的選択が生じることが実現するようにE/Sを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0246】
95.M2MEは、送信機、受信機、プロセッサ、高信頼環境(TRE)、GPS(全地球測位システム)、SIM(加入者識別モジュール)、およびセキュアタイムユニットのうちの1つまたは複数を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0247】
96.多くの異なる信頼機構をサポートするようにM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0248】
97.TRE、SIM、またはISIMのうちの1つもしくは複数をサポートするようにM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0249】
98.共通AKAプロトコルに信頼機構を完全に統合することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0250】
99.共通AKAプロトコルは、TREが保護する信頼状態情報または鍵のうちの1つもしくは複数を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0251】
100.AKAプロトコルは、完全なAKAを行うことができる前かつ認証を確立した後の、M2MEとネットワーク要素との間の任意の通信を保護することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0252】
101.SIMは、拡張されて高信頼処理モジュール(TPM)またはモバイル高信頼モジュール(MTM)の機能を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0253】
102.TPMまたはMTMと密接に動作するようにSIMを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0254】
103.SIMの機能を実行するようにTREを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0255】
104.M2MEは、AKAルート秘密でプロビジョンされることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0256】
105.ルート秘密は、E/Sによってプロビジョンされることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0257】
106.ルート秘密は、USIMによって保護されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0258】
107.ルート秘密は、決して変わらないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0259】
108.AKAルート秘密からセッション鍵を取り出すようにプロセッサを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0260】
109.信頼状態情報をICFに提供するようにM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0261】
110.信頼状態情報は、M2MEがVNOにアタッチするときの予備認証に使用することができることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0262】
111.信頼状態情報は、セッション鍵を取り出すために使用することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0263】
112.nはセッション鍵CKnおよびIKnの最新の更新に関する指数を指し、CKn=f3K(RAND||PCR0n)、IKn=f4K(RAND||PCR0 n)が成立し、ただし、f3K()およびf4K()は、共有マスタ秘密Kによる、暗号鍵および完全性鍵それぞれのAKA鍵導出関数を指し、RANDは、AKAプロセスにおいてCATNAが生成し、M2ME110に送信され、したがってM2ME110が共有する、認証ベクトル(AV)内のランダムノンスであり、PCR0nは、M2ME110のMTME内のPCR0レジスタの最新値を指すことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0264】
113.PCR0レジスタの現在値は、M2MEの直近のブート後の信頼状態についての記述を示すことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0265】
114.CKnおよびIKnの値は、ブート間でPCR0の値が変わるときに変わることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0266】
115.ICFは、M2MEの信頼状態の変化を知ることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0267】
116.M2MEの信頼状態の変化には、PCR0の値の変化が含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0268】
117.ICFは、M2MEのOS、ファームウェア、またはアプリケーションの更新についてのスケジュールおよび内容を知らされることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0269】
118.ICFは、M2MEの信頼状態に影響を与える、M2MEの任意の変化を知らされることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0270】
119.M2MEとICFとの間で共有されるAKA暗号鍵および完全性鍵を更新し、M2MEの認証に関して有用にすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0271】
120.セッション鍵は、M2MEの最新の信頼状態値を反映することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0272】
121.セッション鍵は、AKA鍵導出プロセスのセキュリティを向上させることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0273】
122.TREは、M2ME内の論理的分離領域であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0274】
123.TREの論理的分離に対するハードウェアサポートがあることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0275】
124.TREは、リムーバブルモジュールであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0276】
125.TREは、固定型モジュールであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0277】
126.TREは、集積回路(IC)を用いて機能することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0278】
127.TREの機能は、複数のICにわたって分散されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0279】
128.TREは、外部への論理インターフェイスおよび物理インターフェイスを定義することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0280】
129.TREによってさらされるインターフェイスは、許可されたエンティティの制御下で使用できることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0281】
130.TREは、MID(複数の管理識別)のためのセキュア記憶域およびセキュア実行環境に信頼のルートを提供することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0282】
131.TREは、MIDのプロビジョニングおよび管理を提供することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0283】
132.MIDは、セキュアアプリケーションであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0284】
133.MIDには、加入管理機能、セキュアペイメントアプリケーション、加入管理識別、USIMアプリケーション、ISIMアプリケーション、仮想SIM(vSIM)、または動的セキュリティ識別解決策のうちの1つもしくは複数が含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0285】
134.TREは、任意の所要の暗号化鍵および他の資格証明とともに、セキュアな帯域外機能実装内にプロビジョンすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0286】
135.TREは、物理的攻撃および論理的攻撃からの保護を提供することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0287】
136.TREは、自らのセキュリティポリシを実施することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0288】
137.TREは、MIDの記憶および実行を可能にすることについて、十分にセキュアであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0289】
138.TREは、TRE外部の、M2MEの各部へのインターフェイスを備えることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0290】
139.TREは、埋め込まれた一意の識別を有することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0291】
140.TREの識別は、M2MEの識別に関連することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0292】
141.TREは、標準プロトコルを使用し、自らの識別を発行機関に対して安全に認証するように構成されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0293】
142.TREは、UICC内に実装することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0294】
143.TREは、M2MEが提供するハードウェア構成要素およびソフトウェア構成要素を使用する、M2ME上の統合的解決策として実装することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0295】
144.TREは、MIDのダウンロード、遠隔プロビジョニング、および管理をサポートすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0296】
145.TREは、管理識別実行ファイル(MIDE)の機能をサポートすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0297】
146.M2MEは、TREコードベースを構成するソフトウェアコードおよびデータの完全性検査をサポートすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0298】
147.TREは、M2MEの電源投入/ブート時に検査されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0299】
148.コード検査は、M2MEの動作使用の間に行うことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0300】
149.コード検査は、定義済みの間隔でまたは特定のトリガ時に、バックグラウンドプロセスとして行うことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0301】
150.コード検査は、M2MEの部分的検査または完全検査を範囲に含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0302】
151.TREは、複数の分離された信頼済みドメインに対するサポートを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0303】
152.各ドメインは、利害関係のある所有者が所有することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0304】
153.各ドメインは、他のドメインから分離されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0305】
154.各ドメインは、不正変更および不正アクセスから保護されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0306】
155.TREは、ドメイン間サービスを提供することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0307】
156.ドメイン間サービスには、認証機能および立証機能のうちの1つまたは複数が含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0308】
157.M2MEは、散発的にまたはたまにネットワークに接続することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0309】
158.M2MEは、休止状態で動作することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0310】
159.TREのソフトウェアコードの実行時完全性検査は、M2MEが休止状態で動作する間に行うように構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0311】
160.完全性検査は、他のM2MEプロセスまたはTREプロセスを妨げないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0312】
161.完全性検査の状態は、M2MEがSHOに接続するときに準備ができていることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0313】
162.M2MEには、M2MEにとって固有の一時的プライベート識別が割り当てられることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0314】
163.PCIDは、時限有効期間にわたって有効であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0315】
164.有効期間は、M2MEが実施することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0316】
165.有効期間は、TREが制御することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0317】
166.PCIDを除去するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0318】
167.PCIDは、複数のM2MEが使用できるが、同時には使用できないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0319】
168.PCIDを系統的に再割当することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0320】
169.複数のPCIDをM2MEにプロビジョンすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0321】
170.M2MEは、サイズNのグループでリリースされることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0322】
171.j番目のロットのM2MEは、M_i,jと称し、ただし、j=1,...,Mであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0323】
172.PCIDの割当は、サイズNxMの行列(P)_{i,j}を用いて初期化することができることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0324】
173.M2ME M_i,1は、製造中に列P_i,*がTREにロードされることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0325】
174.セキュアタイマまたは単調カウンタを初期化し、アクティブにし、TREの制御下に置くことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0326】
175.M2ME M_i,1は、初期化された時間またはカウンタに基づいて、確定した期間Tまたは所定回数にわたり、P_i,1を使用することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0327】
176.TREは、P_i,1を破棄し、P_i,2を使用することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0328】
177.デバイスが寿命サイクルのどこにあるのかを判断するように、ネットワークを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0329】
178.TREを用いてPCID列ベクトルを処理し、TREが時間制限を実施することは、PCIDの同時使用を防ぎ、M2MEが、その動作時間の間中有効なPCIDを有することを確実にすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0330】
179.PCIDを再プロビジョンするようにM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0331】
180.少なくとも2つのM2MEが、同じPCIDを同時に使おうとすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0332】
181.PCIDの数は、1つのロット内のM2MEの数よりもはるかに多いことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0333】
182.PCIDを、ランダムに選択することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0334】
183.複数のM2MEのクロックを同期することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0335】
184.M2MEのクロックを、複数のM2MEに再同期することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0336】
185.時間基準を保持/管理するようにTREを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0337】
186.信頼できる時間源との同期をサポートするようにTREを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0338】
187.TREは、M2ME内に位置する信頼できるタイムユニットに依拠することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0339】
188.M2MEは、自律型地理位置機器を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0340】
189.TREは、その地理測位機器に安全にアクセスできることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0341】
190.2つのM2MEが、同じアクセスネットワークセルに対して同時に無線接続を物理的に確立することはないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0342】
191.目的地理位置(D)および許容差範囲(R)でM2MEをプロビジョンすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0343】
192.DおよびRの値をTRE内に記憶することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0344】
193.TREしかそのデータにアクセスできないように、暗号を使用してDおよびRの値を保護することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0345】
194.TREが自らの現在の地理位置を求めるステップと、
その現在の地理位置を、Rの範囲内でDと比較するステップと、
ネットワークアクセスのためのPCIDをリリースするステップと
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0346】
195.アクセスネットワークは、PCID、セルIDの対の記録を保持することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0347】
196.M2MEによるネットワークへのアクセスは、所定の複数のセルにおいて認められることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0348】
197.複数のネットワークセル識別子でM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0349】
198.M2MEを、地理的に移動させることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0350】
199.M2MEを移動させるとき、ネットワークアクセスを無効にすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0351】
200.PCIDを使用することができる場所を示す複数の三つ組で、M2MEをプロビジョンすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0352】
201.三つ組は、PCID、D、およびRを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0353】
202.TREの現在の地理位置を求めるステップと、
その現在の地理位置を、複数の三つ組と比較するステップと、
その現在の地理位置に関連するPCIDをリリースするステップと
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0354】
203.複数の五つ組でM2MEをプロビジョンすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0355】
204.五つ組は、PCID、D、R、t1、およびt2を含み、t1は有効期間の開始時間を指定し、t2は有効期間の終了時間を指定することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0356】
205.五つ組は、M2MEの経路を示すことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0357】
206.所定時間においてM2MEがネットワークに接続できないことは、アラームをトリガすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0358】
207.五つ組は、再プロビジョンすることができることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0359】
208.五つ組は、PCID更新サービス(PUS)を使用して再プロビジョンすることができることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0360】
209.TREを識別するようにPUSを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0361】
210.ICFは、PUSを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0362】
211.PUSは、別個のネットワーク構成要素であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0363】
212.五つ組の再プロビジョニングは、1つまたは複数の五つ組への変更を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0364】
213.TREの識別は、TREを現在のネットワークIPアドレスに関連させることができるネットワークサーバに送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0365】
214.遠隔プロビジョニングをDPFに委ねることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0366】
215.PUSがM2MEおよびTREに接続するステップと、
PUSがTREの検証を要求するステップと、
PUSが、新たな複数の五つ組、および破棄すべき以前の五つ組のリストを送るステップと、
TREが、その新たな五つ組をインストールし、以前の五つ組を破棄するステップと
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0367】
216.PCIDに付加することができる擬似乱数を作成するように、TREを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0368】
217.擬似乱数を追跡し、見分けるようにアクセスネットワークを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0369】
218.通信エンティティは、M2ME、TRE、およびネットワークアクセスポイント(NAP)であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0370】
219.NAPは、VNOに関連するenodeBであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0371】
220.単一の初期ネットワーク接続で使用する乱数(RAND)を生成するようにTREを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0372】
221.TREが完全性保護方法を適用するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0373】
222.完全性保護方法は、RANDが第2のパラメータ、必要に応じて追加データ(D1)、およびPCIDに入る、鍵付きhas関数であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0374】
223.TREは、TRE→eNB:RAND||PCID||D1||M1:=MAC(PCID||D1,RAND)をeNBに送信し、
eNBは、MAC(メッセージ認証コード)を検証し、
eNBは、ペイロードデータD2、M1から返信パッケージを構築し、
eNBは、eNB→TRE:D2||M2:=MAC(PCID||D2,M1としてその返信パッケージをTREに送信すること
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0375】
224.後続のメッセージ交換は、任意の新たなメッセージ要素を含むデータ要素のMAC、および直前の交換のMACを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0376】
225.eNBおよびTREは、新たなMnを構築するための最終値Mn-1を使用して、通信中にメッセージを区別することができることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0377】
226.中間者型攻撃を回避することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0378】
227.通信当事者を認証するために、共有された秘密をメッセージに含めることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0379】
228.共有された秘密は、取り決められた秘密であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0380】
229.MAC値は、PCIDを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0381】
230.eNBは、PCIDを使用する、すべての同時にアクティブなネットワークアクセス試行(チャネルと)の状態を表す表を保持することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0382】
231.その表の1列目は、チャネルに属するPCIDの索引を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0383】
232.その索引は、すべてのチャネルにわたり現在アクティブなすべてのPCIDのリストの中の一項目を指し示すことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0384】
233.その索引は、PCIDの値であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0385】
234.eNBが、チャネル上でメッセージを受信するステップであって、TRE→eNB: D3||M3:=MAC(PCID||D3,M2)が成立する、ステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0386】
235.i−1からNにわたり、eNBはPCIDiをPLから選択するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0387】
236.最初のセルにPCIDの索引Iが含まれるすべての表の行に対し、eNBはM:=MAC(PCIDi||D3,M2)を計算するステップであって、M2はその行の2番目のセルから取る、計算するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0388】
237.成功状態に達し、検索手順は終了すること
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0389】
238.最後受信第3のメッセージに対応するチャネルの行番号を返すことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0390】
239.データ履歴にD3が追加され、選択された表の行のアクティブハッシュ値のセル内で、M3がM2に取って代わることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0391】
240.メッセージは、チャネルの索引Iを含んで後続メッセージの関連チャネルを見つけることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0392】
241.アクティブなPCIDをロックすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0393】
242.PCIDをアクティブに割当解除することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0394】
243.TREは、完全なネットワーク接続性を得るためにあるPCIDが使用されている場合、その使用済みPCIDを破棄することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0395】
244.有効期間が切れた後にPCIDを破棄することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0396】
245.要求に応答してPCIDを破棄することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0397】
246.破棄されたPCIDを、別のM2MEが使用することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0398】
247.デロケーションイベントを信号で伝えるため、TREからE/Sへの接続を確立することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0399】
248.E/Sは、割当解除されたPCIDのリストを保持することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0400】
249.割当解除プロセスの間、PCIDを平文で転送しないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0401】
250.検証を自律的に実行することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0402】
251.検証を半自律的に実行することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0403】
252.検証を遠隔的に実行することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0404】
253.自律的検証は、M2MEが自らをネットワークにアタッチできるようにする前に実行されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0405】
254.半自律的検証は、M2ME110の有効性を、外部ネットワークエンティティに依拠せずに評価することを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0406】
255.半自律的検証の結果を、遠隔エンティティに報告することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0407】
256.その結果は、TREの認証をM2MEに結合する根拠を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0408】
257.遠隔エンティティは、PVAであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0409】
258.M2MEと遠隔エンティティとの間の信号伝達は保護されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0410】
259.遠隔的検証は、外部ネットワークエンティティが、TREが生成した検証用の根拠、およびTREとM2MEとの間の結合の根拠を受け取った後、M2MEの有効性/完全性を直接評価することを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0411】
260.外部ネットワークエンティティは、PVAであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0412】
261.M2MEと外部ネットワークエンティティとの間の通信は保護されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0413】
262.自律的検証が実行され、検証の直接的根拠は外部に提供されないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0414】
263.M2MEは検証に失敗し、そのM2MEがネットワークにアタッチし、または遠隔エンティティへの認証済み接続を得ることをTREが妨げることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0415】
264.TREが、自らがセキュア始動の定義済み状態に達しているかどうかを検査するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0416】
265.セキュア始動を必要とするM2MEの残りの定義済み部分が、セキュア始動の定義済み状態に達しているかどうかを検査するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0417】
267.TREがさらなる検査を行うことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0418】
268.TREにとって外部にあるが、TREが完全性を保護する、M2ME内の測定構成要素がさらなる検査を行うことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0419】
269.TREは、要求された認証手順にM2MEが関与することを許可することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0420】
270.自律的検証は、必要とされる対外的通信の観点から最も経済的な方法であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0421】
271.自律的検証は、ネットワークアクセス中または連続的接続段階の間、任意の外部エンティティが、TREの完全性を独立に評価することを認めないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0422】
272.TREは、検証プロセスおよびその結果のログを記憶することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0423】
273.そのログは、監査記録を構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0424】
274.監査データは、安全な内部アーカイブに記憶することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0425】
275.安全な内部アーカイブは、TRE内にあることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0426】
276.安全な内部アーカイブは、TREが保護することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0427】
277.安全な内部アーカイブの不正変更を検出することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0428】
278.データの完全性保護を実現することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0429】
279.監査データは、自律的検証が引き起こされる特定の目的に結合されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0430】
280.そのデータは、検証の目的を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0431】
281.アクセスプロトコル内に確立される、共有された秘密または資格証明を監査データに添付し、TREは、その作成したデータにデジタル署名を施してそのデータの完全性を保護することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0432】
282.M2MEから独立したエンティティは監査データを周期的に要求して、前のネットワークアクセスイベントごとに、そのM2MEが信頼できるかどうかを確認することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0433】
283.そのデータを、ネットワークアクセス試行に関するネットワーク側プロトコルに再照合して不正変更を検出することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0434】
284.M2MEの残りの他の構成要素、構成、またはパラメータの完全性は、ロードされるとき、開始されるとき、または測定構成要素が利用できる他の任意の定義済み実行時時間イベント時に検査されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0435】
285.遠隔エンティティは、M2MEが半自律的検証テストを通過したことを間接的に知ることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0436】
286.ネットワークに対し、半自律的検証の成果について明確な信号伝達があることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0437】
287.その信号伝達は、暗号を使用して保護されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0438】
288.その信号伝達は、MIDをダウンロードするのに必要な、M2MEの認証より前に起こることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0439】
289.その信号伝達は、TREの認証と有効性検査に使用されるM2ME内の資源との間の結合の根拠を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0440】
290.根拠には、TREおよびM2MEの証明を確立するためのさらなる情報を提供する、M2MEからネットワークに送信されるトークンが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0441】
291.PVAまたはSHOは、検証を周期的に行うようにTREに要求することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0442】
292.セキュリティゲートウェイ(SeGW)が検証を要求することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0443】
293.その要求は、M2MEが登録された後に送信されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0444】
294.その要求は、SeGWがホームeNodeB(H(e)NB)を一番初めに認証した時点で送信されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0445】
295.その要求は、PVA、SHO、SeGWのうちの1つまたは複数から、保護された運用保守(OAM)メッセージとして周期的に送信されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0446】
296.周期的再検証の期間は、相対的に長いが、SHOが検証の新鮮さに関して安心できるようにするのに十分な短さのものであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0447】
297.TREは、その要求に基づいて検証手順を実行することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0448】
298.TREは、最後の成功裏の検証を示すタイムスタンプを生成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0449】
299.TREは、周期的検証の現在のラウンドが失効する前に、最後の検証が行われたことを示すメッセージを送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0450】
300.検証の成果に関する明確な信号伝達はないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0451】
301.M2M1Eは、定義済みセキュア状態に向けて始動することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0452】
302.M2MEは、プラットフォームの有効性の根拠をTREが生成することを要求することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0453】
303.TREは、M2MEの残りから、プラットフォームの有効性の根拠を作成するために使用する材料を集めることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0454】
304.根拠には、セキュリティ上重要な実行可能コード、M2MEのオペレーティングシステムの資格証明、および機器idが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0455】
305.TREは、M2MEの検証用の根拠を生成し、完全性および機密性を得るために、それを暗号を使用して保護することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0456】
306.M2MEは、その保護された根拠をPVAに転送することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0457】
307.PVAはその保護された根拠を受信し、その根拠を評価して、引き続き認証を実行し、MIDをダウンロードするのに、そのM2MEが十分信頼できるかどうかを判定することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0458】
308.M2MEの検証と認証との間の結合を実行することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0459】
309.その結合は、M2MEのセキュア状態を立証する、M2MEの証明書または資格証明を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0460】
310.その結合は、より安全な証明手段を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0461】
311.初期ネットワーク接続性の必須条件として、ICFがM2MEを認証することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0462】
312.MIDをダウンロードする前に、認証されたTREをM2MEが含むことを証明するために、DPFがM2MEを認証することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0463】
313.操作上のネットワークアクセスの前に、SHOがM2MEを認証することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0464】
314.ネットワークアクセス認証への有効性の結合は、自律的検証では暗示的であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0465】
315.TREの識別についてのさらなる情報を提供するトークンを、初期アタッチメントメッセージ内で渡すことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0466】
316.M2MEへの、認証資格証明を保持するTREの論理的結合があることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0467】
317.認証の間、デバイスプラットフォームの完全性が検証されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0468】
318.M2MEへの、TREの物理的結合があることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0469】
319.TREの認証の間、デバイスプラットフォームの完全性が検証されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0470】
320.プラットフォーム資源の実際の検証は、M2MEに安全に埋め込まれたハードウェアセキュリティ構成要素の機能を使用することによって実行されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0471】
321.プラットフォーム資源の実際の検証は、TREの外側にあるが、TREがそのセキュリティ特性を保証し、TREに安全に接続することができるハードウェアセキュリティ構成要素を使用することによって実行されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0472】
322.検証および認証を、共通プロトコルのセッション内で組み合わせることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0473】
323.IKEv2を、組み合わせられた検証/認証手順で使用することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0474】
324.ICF、DRF、およびDPFは、個別のエンティティであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0475】
325.ICF、DRF、およびDPFは、組み合わせられることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0476】
326.M2MEへのMIDのダウンロードおよびプロビジョニングは、M2MEが初期ネットワークアクセスのために3G VNOのネットワークにアクセスするときに生じることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0477】
327.VNOは、M2MEにエアインターフェイスを提供することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0478】
328.M2MEは、標準GSM/UMTS原理を使用してネットワーク情報を復号し、アタッチメッセージを使用してVNOのネットワークにアタッチすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0479】
329.アタッチメッセージは、仮のM2ME ID(PCID)を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0480】
330.VNOは、標準UMTS AKA手順を使用してM2MEを認証することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0481】
331.VNOは、PCIDの内容および構造に基づいて、そのPCIDをIMSIとして認識することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0482】
332.M2MEおよびVNOは、共通認証アルゴリズムをサポートすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0483】
333.共通認証アルゴリズムは、Milenageであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0484】
334.PCIDをM2MEのIDとして認識するVNOは、そのPCIDを正当な予備資格証明として承認するICFに接触することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0485】
335.ICFは、M2MEとのさらなる通信を保護するための1組の予備AVを発行し、保護されたIP接続性をM2MEに提供し始めることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0486】
336.M2MEとICFとが標準AKAプロセスを実行し、予備AKA鍵を作成してM2MEとの通信を保護することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0487】
337.ICFは、M2MEをDPFに転送することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0488】
338.ICFは、PCIDをDRFに送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0489】
339.DRFは、M2MEがSHOを探すのを助けることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0490】
340.DRFは、SHOに接続し、SHOのネットワークへの接続に関してM2MEを登録することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0491】
341.SHOは、TREの真正性および完全性を検証するようにPVAに要求することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0492】
342.PVAは、TREの真正性および完全性を検証することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0493】
343.PVAは、検証結果をSHOに送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0494】
344.SHOは、DPFに接触し、MIDをM2MEにプロビジョニングすることを許可することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0495】
345.DPFは、MIDをM2MEにダウンロードすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0496】
346.M2MEは、ダウンロード済みMIDをTRE内にプロビジョンし、そのプロビジョニングの状態をDPFに報告することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0497】
347.M2MEは、その状態メッセージを検証するためのトークンを送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0498】
348.そのトークンは、不正変更およびリプレイ攻撃に耐性があることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0499】
349.DPFは、プロビジョニングの状態をSHOに報告することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0500】
350.M2MEへのMIDのダウンロードおよびプロビジョニングは、M2MEが初期ネットワークアクセスのために3G VNOのネットワークにアクセスするときに生じることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0501】
351.ICFは、仮認証ベクトルをM2MEにリリースする前に、さらにIP接続性をM2MEに与える前に、TREを検証するよう、PVAに要求することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0502】
352.M2MEの所有者は、新たなSHOに接触してM2MEのパラメータを転送することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0503】
353.M2MEの所有者は、M2MEに接触して再プロビジョニングを開始することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0504】
354.新たなSHOは、M2MEを検証するように検証エンティティに要求することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0505】
355.検証エンティティはM2MEを検証し、結果を新たなSHOに送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0506】
356.新たなSHOは、新たなMIDをM2MEにダウンロードし、プロビジョンするよう、DPFに要求することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0507】
357.DPFは、新たなMIDパッケージをM2MEに安全にダウンロードすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0508】
358.M2MEは、以前のMIDを破棄したというメッセージを以前のSHOに送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0509】
359.以前のSHOは、M2MEにACKを送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0510】
360.M2MEは、そのACKをDPFおよび新たなSHOに転送することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0511】
361.M2MEは、DPFの助けで自らのシステムを更新し、MIDをインストールすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0512】
362.M2MEは、状態をDPFに送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0513】
363.DPFは、その状態を新たなSHOに報告することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0514】
364.M2MEを初期状態に置き、初期プロビジョニング手順を実行することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0515】
365.PVAは、M2MEが依然として同じSHoに加入している間に実行される、任意のソフトウェアまたはファームウェア(SW/FW)の更新が、安全な方法で行われることを保証する役割を果たすことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0516】
366.PVAまたはDPFは、SW/FWの安全な無線または有線ダウンロードや、M2MEまたはTREの再プロビジョニングなどの手順を監督することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0517】
367.PVAまたはDPFは、OMA DMおよびOMA FOTAの手順を使用することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0518】
368.M2MEの信頼状態情報は、遠隔SW/FW更新または再構成が原因で変わることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0519】
369.M2MEまたはTREの、新たな検証可能ブートもしくは実行時信頼状態情報検査を開始し、その結果を得るようにPVAまたはDPFを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0520】
370.不正変更を検出するようにM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0521】
371.不正変更を検出することには、任意のサブシステムへの不正変更が含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0522】
372.不正変更の検出は、頻繁に行うことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0523】
373.不正変更イベントには、マルウェアまたはウイルスが、OSを救済可能なおよび/または救済不可能な危険にさらすこと、バッファオーバフローイベント、無線もしくは上位層接続特性、および/または環境測定値の突然の予期せぬもしくは未承認の変化、M2MEの予備認証、登録、またはMIDプロビジョニング要求に対し、信頼できるネットワーク要素がアクセスまたはサービスの失敗および/もしくは拒否を過度に繰り返すこと、またはM2MEもしくは遠隔MID管理機能に関係するM2MEサブシステムの信頼状態の、ブート後または実行時読取り値の任意の予期せぬ/未承認の変化のうちの1つもしくは複数が含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0524】
374.不正変更を検出するように他のネットワーク要素を構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0525】
375.M2MEは、不正変更を検出することに応答して、被害を抑えるための措置を講じることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0526】
376.遠隔MID管理を無効にするようにM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0527】
378.指定されたネットワーク要素への、性質イベントの報告についてM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0528】
379.最近のソフトウェア更新、または疑わしいウイルスもしくはマルウェアコードもしくはデータの削除、隔離、アンインストールなどの救済アクションを実行するように、M2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0529】
380.遠隔MID管理機能に関係する、任意のあらかじめ指定された1組のデータを削除するように、M2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0530】
381.M2ME、またはM2MEの部分もしくはサブシステムの電源を切るようにM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0531】
382.不正変更後の救済手段を実行するように、ネットワーク要素を構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0532】
383.上記の実施形態のいずれか1つの少なくとも一部を実行するように構成される、無線送受信ユニット(WTRU)。
【0533】
384.上記の実施形態のいずれか1つの少なくとも一部を実行するように構成される、機械対機械(M2M)機器。
【0534】
385.上記の実施形態のいずれか1つの少なくとも一部を実行するように構成される、ネットワークエンティティ。
【技術分野】
【0001】
本発明は、無線通信に関する。
【背景技術】
【0002】
機械対機械(M2M)通信とは、導入されるとき、人間の直接対話を必ずしも必要としない、エンティティ間データ通信の一形態である。M2M通信の1つの課題は、人間の任意の直接対話なしに、導入機器を遠隔的に管理できるようにするためのプロトコルを確立することである。
【0003】
既存のM2M方法体系は、予備構成識別子の無線の保護を欠き、M2M対応機器の認証、登録、およびプロビジョニングにおいてM2M対応機器の高信頼状態(TS:Trusted State)の情報を利用せず、加入オペレータを安全に変更することをM2M対応機器に保証せず、M2M対応機器の予備認証において使用する、認証および鍵合意資格証明が信頼できることを保証せず、安全なソフトウェアおよびファームウェアの更新またはM2M対応機器の再構成を提供せず、M2M対応機器への不正変更を検出せず、その不正変更に反応しない。さらに、M2M対応機器のユーザ/加入者の役割は定義を欠く。したがって、M2Mの性能、セキュリティおよび信頼性を改善するための方法および機器を提供することが有利になる。
【発明の概要】
【0004】
機械対機械(M2M)の安全なプロビジョニングおよび通信を行うための方法および機器を開示する。とりわけ、機械対機械機器(M2ME)を一意に識別するための、一時的プライベート識別子または仮接続識別(PCID:Provisional Connectivity Identification)も開示する。さらに、M2MEを検証し、認証し、プロビジョニングする際に使用するための方法および機器も開示する。開示する検証手順には、開示する自律的検証、半自律的検証、および遠隔的検証が含まれる。このプロビジョニング手順には、M2MEを再プロビジョニングするための方法が含まれる。ソフトウェアを更新し、M2MEへの不正変更を検出するための手順も開示する。
【図面の簡単な説明】
【0005】
より詳細な理解は、例として添付図面とともに示す、以下の説明から得ることができる。
【0006】
【図1】機械対機械(M2M)のプロビジョニングおよび通信のための通信システムの例示的ブロック図を示す図である。
【図2】機械対機械機器(M2ME)の例示的ブロック図を示す図である。
【図3】自律的検証手順の流れ図の一例を示す図である。
【図4】半自律的検証手順の流れ図の一例を示す図である。
【図5】別の半自律的検証手順の流れ図の一例を示す図である。
【図6】遠隔的検証手順の流れ図の一例を示す図である。
【図7】M2MEのプロビジョニング手順または再プロビジョニング手順の一例を示す図である。
【図8】M2MEのプロビジョニング手順または再プロビジョニング手順の一代替例を示す図である。
【図9】新たに選択されたホームオペレータとともに使用するためのM2MEの再プロビジョニング手順の流れ図の一例を示す図である。
【発明を実施するための形態】
【0007】
本明細書で以下参照するとき、用語「無線送受信ユニット(WTRU)」には、ユーザ機器(UE)、移動局、固定もしくは移動加入者ユニット、ページャ、携帯電話、PDA(携帯情報端末)、コンピュータ、M2M機器(M2ME)、Home NodeB、または無線環境で動作可能な他の任意の種類のデバイスが含まれるが、これだけに限定されない。本明細書で以下参照するとき、用語「基地局」には、Node−B、サイトコントローラ、アクセスポイント(AP)、または無線環境で動作可能な他の任意の種類のインターフェイスデバイスが含まれるが、これだけに限定されない。
【0008】
図1は、機械対機械(M2M)のプロビジョニングおよび通信のための通信システム100の例示的ブロック図である。通信システム100は、M2M対応機器(M2ME)110、訪問先ネットワークオペレータ(VNO)115、登録オペレータ(RO)130、選択ホームオペレータ(SHO)140、プラットフォーム検証局(PVA)150を含む。システム100は、機器製造業者/サプライヤ(E/S)(不図示)も含むことができる。
【0009】
図1では、VNO115を単一のネットワークエンティティとして示すが、USIM/ISIMアプリケーションの初期登録およびプロビジョニングのためにアクセスされるすべてのアクセスネットワークをVNOとみなす。M2ME110が、別のSHOに登録されるようになる場合、VNO115は、VNOのままである。M2ME110が、現在VNO115であるSHO140に登録されるようになる場合、VNO115はSHOになる。
【0010】
VNO115は、M2ME110に一時的なネットワークアクセスを提供する役割を果たし、そのアクセスでは、アクセス資格証明およびアクセス認証が要求される場合がある。このアクセスは、PCIDや他の任意の一時的プライベートIDなどの、一時的ネットワークアクセス資格証明に基づくことができる。許容されるとみなす場合、VNO115は、DRF170へのオープンネットワークアクセスを提供することができ、そのアクセスでは、少なくともRO130のサービスへのアクセスに関しては資格証明または認証は不要である。例えばこの機能は、登録イベントおよびプロビジョニングイベントの後、VNO115が顧客のSHOになる場合に適用される。登録手順およびプロビジョニング手順を実施した後、VNO115は、プロビジョンしたUSIM/ISIMアプリケーションを使用して完全なネットワーク(およびIMS)アクセスを提供する。
【0011】
図示のように、RO130は、ICF160、発見および登録機能(DRF)170、ならびにダウンロードおよびプロビジョニング機能(DPF)180を含む。しかし、このICF160、DRF170、およびDPF180は、別個のエンティティに位置し、または1つのエンティティにまとめることができることも当業者は理解されよう。
【0012】
ICF160は、操作上のネットワークアクセスの登録およびプロビジョニングのために、通信ネットワークへの一時アクセスを許可する資格証明を検証する役割を果たす機能または機関である。ICF160の機能には、各M2ME110ごとに、一時的ネットワークアクセス資格証明および任意の一時的プライベート識別子を発行することが含まれる。これらは、初期一時的ネットワークアクセスを認証し、USIM/ISIMアプリケーションのプロビジョニング手順を行うことを可能にするために使用することができる。ICF160は、以下に詳細に論じるプロビジョニング手順および再プロビジョニング手順のために、ダウンロード可能なM2Mの鍵、構成、およびアプリケーションで、無線によりM2ME110をプロビジョンするように構成することもできる。
【0013】
ICF160は、M2ME110を事前構成する端末サプライヤに、ICF160が発行する資格証明を提供するように構成することもできる。これらの資格証明を提供するために、ICF160は、資格証明をM2ME110に埋め込む役割を果たす組織に対し、それらの資格証明を安全に伝送するように構成されなければならない。ICF160は、資格証明をデータベースに登録し、依拠当事者による要求時にそれらの資格証明の検証を実行するように構成することもできる。これは認証ベクトルおよび/または他の関連データを、依拠当事者に安全に伝送することを含むことができる。M2ME110をSHO140に成功裏に登録する前、すべてのアクセスネットワークが訪問先ネットワークとみなされることに留意すべきである。このことは、ネットワークを一切変更することなく、従来のネットワークを介してSHO140にトランスペアレントに接続することを可能にする。
【0014】
DRF170は、特定のSHO140を購入後に選択すること、およびそのSHO140にM2ME110を登録することを可能にする機能である。DRF170は、独立したサービスとすることができ、あるいは、SHO140であって、SHO140のRO130には、SHO140の3GPPネットワークを介してのみ接触可能とすることができる、またはインターネットを介して直接接触可能であり、例えばM2ME110内の機能を使用して発見可能とすることができる、SHO140が運営することもできる。
【0015】
DRF170は、少なくとも次の使用関連機能をサポートすべきであり、その機能とはつまり、(1)サプライヤからM2ME110が届けられた後、顧客がSHO140を選択できるようにする機能、(2)一時的に認証されたネットワークアクセスまたは限定されたオープンネットワークアクセスを使用し、M2ME110がRO130にIP接続できるようにする機能、(3)M2ME110がまだどのSHO140にも関連していないものとして、訪問先ネットワークオペレータを介し、USIM/ISIMアプリケーションのプロビジョニングが行われることを、M2ME110が要求できるようにする機能、(4)そのプロビジョニング要求を承認し、M2ME110をDPF180がプロビジョンすることを許可する機能、および(5)M2ME110の所有者が、M2ME110を登録することをサポートする機能である。
【0016】
上述した使用関連機能をサポートするために、DRF170は、M2ME110とSHO140との関連付けをサポートすることができる。あるいは、DRF170は、VNOのネットワークが提供するIP接続を使用して、直接発見可能かつアドレス可能とすることができる。どちらの場合にも、DRF170は、M2ME110の高信頼環境(TRE)230の真正性の証明としてM2ME110が保持する資格証明を、PVA150を介して検証することをサポートする必要がある。DRF170は、許可および監査のために、DPF180への接続もサポートする必要がある。検証は、資格証明についてだけでなく、TRE230、およびTRE230がそのように望む場合、オプションでM2ME110全体についても行えることにも留意すべきである。例えば検証には、M2ME機能の信頼性を確立することが含まれ得る。
【0017】
DRF180は、USIM/ISIMの資格証明、ファイル、実行ファイルなど、M2ME110にダウンロードしようとするデータパッケージの生成または取得もサポートすることができる。DRF180は、このデータを安全にPSに伝送するように構成することもできる。あるいは、DPF180がこれらの機能を提供することもできる。
【0018】
最後に、DRF180は、M2ME110とDPF180との間のセキュリティアソシエーションの設定を容易にすることもできる。これは、セキュリティトークンを生成し、安全なチャネル上でM2ME110およびDPF180に伝送することを必要とし得る。
【0019】
DPF180は、M2ME110にUSIM/ISIM資格証明を遠隔プロビジョニングすることを可能にする。DPF180の機能には、M2ME110をプロビジョンするための許可をDRF170から受ける機能が含まれる。これは、M2ME110と通信するためのセキュリティトークンを提供することを含むことができる。DPF180は、ダウンロードされるアプリケーションパッケージをDRF170から受け取る役割も果たす。あるいはDPF180は、記憶された規則からこのアプリケーションパッケージを生成し、M2ME110にダウンロードされている資格証明をDRF170に知らせることができる。
【0020】
DPF180は、以下に説明するように、USIM/ISIMアプリケーションまたはUSIM/ISIMパラメータを、M2ME110にプロビジョニングすることをサポートするようにも構成される。プロビジョニングに加え、DPF180は、M2ME110にとってのUSIM/ISIMアプリケーションまたはUSIM/ISIMパラメータを将来更新し、新たなアプリケーションを将来プロビジョニングするように構成することもできる。これらの機能に含まれ、DPF180は、成功したまたは失敗したプロビジョニングイベントをDRF170に知らせるように構成することもできる。
【0021】
SHO140は、顧客またはM2ME110のエンドユーザと商業的関係を有するネットワークオペレータであり、顧客に課金する役割を担う。SHO140は、他の役割、特にDRF170およびDPF180の一部もしくはすべてを運営することができ、またはそれらの他の役割はすべて、SHO140と運営上の関係を有し、互いに運営上の関係を有する別個の商業エンティティとすることができる。
【0022】
M2ME110は、サービスプロバイダを用いて動作する権限を最初は与えられておらず、そのためVNO115と通信し、RO130へのチャネルを確立する。サービスをプロビジョンするために、各M2ME110はPCIDなどの独自の一時的プライベート識別を有し、その独自の一時的プライベート識別は、任意のVNO115がM2ME110を認識し、そのVNO115が提供するサービスへの一時アクセスを許可し、オペレータとのサービスをダウンロードしてプロビジョンするために、初期接続性メッセージを適切なネットワーク構成要素に宛てることを可能にする。
【0023】
PVA150は、ダウンロードしたUSIM/ISIMアプリケーションを記憶し、実行するために使用する、M2ME110内のセキュアデバイスの真正性を立証する資格証明に関与する機関である。この機能は、証明書や鍵の対などの資格証明を発行し、証明書検証サービスを提供する1つまたは複数の商業組織が行うことができる。このセキュアデバイスは、UICC、TRE、またはM2ME110に埋め込まれる他の何らかの形のセキュアモジュールとすることができる。この機能は、USIM/ISIMアプリケーションをプロビジョニングするために、セキュアデバイスの厳密認証が必須である場合に必要とされる。PVA150は、M2ME110内のセキュアデバイスのセキュリティを立証するための資格証明の作成および発行などの機能も提供することができる。ただし、この機能は別のエンティティが実行し得る可能性もある。PVA150は、必要なプロトコルを使用して依拠当事者が要求するとき、上述した資格証明を検証することなどの機能も提供することができる。これは認証ベクトルおよび/または他の関連データを、依拠当事者に安全に伝送することを含むことができる。PVA150は、デバイスの発行された資格証明の有効性に関係するデータの保守などの機能も提供することができる。
【0024】
機器製造業者/サプライヤ(E/S)(不図示)も、図1の通信システム100内で役割を果たす。具体的には、M2ME110は、一時的な初期ネットワークアクセスのための認証用の資格証明を、ICF160から安全に取得する。このE/Sも、一時的な初期ネットワークアクセスを可能にするために、それらの予備ネットワークアクセス資格証明を用いて、顧客に届ける前にM2ME110を再構成することをサポートできる。さらに、このE/Sは、ICF160を介してDRF170に提供する際に使用するための、M2ME110が1組の標準化されたセキュリティ要件に従う、資格証明を、PVA150から安全に得ることができる。この活動は、所要のセキュア基盤を備える承認された組織に外注することができる。
【0025】
このE/Sは、顧客に届ける前に、M2ME110を資格証明で事前構成する役割を果たすこともできる。この事前構成活動は、所要のセキュア基盤を備える承認された組織に外注することができる。このE/Sは、端末の所有者が所望のDRF170およびSHO140を選択し、または端末をアクセスネットワーク(AN)に接続するときに、この選択を自動的に行わせるための手段も提供することができる。
【0026】
図2は、図1のM2ME110の図の一例を示す。M2ME110は、送信機215、受信機220、プロセッサ225、高信頼環境(TRE)230を含む。オプションで、M2ME110は、GPS(全地球測位システム)ユニット235、SIM(加入者識別モジュール)240、およびセキュアタイムユニットを含むことができる。
【0027】
M2ME110は、TRE230などの多くの異なる信頼機構、またはSIM240やISIMなど、他の任意の高信頼処理機構もしくは記憶機構をサポートするように構成することができる。これらの信頼機構は、M2ME110内のTRE230が保護する「信頼状態」情報および/または任意の鍵を含めるために、共通AKAプロトコルに、より完全に統合し、完全なAKAを行うことができる前かつ認証を確立した後の、M2ME110とネットワーク要素との間の(PCIDの伝送だけでない)任意の通信を保護することもできる。
【0028】
オプションで、SIM240は、拡張して高信頼処理モジュール(TPM:Trusted Processing Module)またはモバイル高信頼モジュール(MTM:Mobile Trusted Module)の機能を含め、上述した操作をサポートすることもできる。あるいは、SIM240は、M2ME110内でTPMまたはMTMと密接に動作して所望の機能を実現することができる。このSIMの機能は、TRE230内でも実現できることにも留意すべきである。このことは、識別管理において、より一層の柔軟性をもたらす。
【0029】
オプションで、M2ME110は、E/Sがインストールする少なくとも1つのAKAルート秘密(AKA root secret)で事前にプロビジョンすることができ、そのうちの1つは任意の所与の時間においてアクティブである。この1つまたは複数のAKAルート秘密は、SIM240によって保護することができ、決して変えられるべきでない。SIM240は、アクティブなAKAルート秘密からセッション鍵を取り出すように構成することができる。
【0030】
M2ME110は、信頼状態情報をICF160に提供するように構成することもできる。次いで、その信頼状態情報は、M2ME110がVNO115にアタッチするときの予備認証に使用することができる。この信頼状態情報は、セッション鍵(CKおよびIK)を取り出すために使用することもできる。
【0031】
TRE230の機能は、1つの構成要素に排他的に実装し、またはM2ME110内の埋め込み高信頼構成要素間に分散させることができることに留意すべきである。あるいは、TRE230の機能は、リムーバブルSIMモジュールに実装することができる。
【0032】
PCRレジスタの値を、セッション鍵CKnおよびIKnに結合するための公式の一例であって、nはCKnおよびIKnの最新の更新に関する指数を指す、公式の一例は次のものとすることができる。
【0033】
【数1】
【0034】
ただし、f3K()およびf4K()は、共有マスタ秘密Kによる、暗号鍵および完全性鍵それぞれのAKA鍵導出関数を指し、RANDは、AKAプロセスにおいてCATNAが生成し、M2ME110に送信され、したがってM2ME110が共有する、認証ベクトル(AV)内のランダムノンスであり、PCR0nは、M2ME110のMTME内のPCR0レジスタの最新値を指す。PCR0レジスタの現在値は、M2ME110の直近のブート後の信頼状態についての記述を示すことに留意されたい。
【0035】
等式1によれば、CKnおよびIKnの値は、2つのブート間でM2ME110のPCR0の値が変わるとき/場合に変わることに留意されたい。このような方式が機能するために、ICF160もPCR0の値の変化(またはより具体的には、M2ME110のブート後の信頼状態に変化がある場合のM2ME110の「信頼状態」を知る必要がある。これは、M2ME110のブート後の信頼状態に影響を与える、M2MEのOS、ファームウェア、もしくはアプリケーションの任意の正当な更新/許可された更新についてのスケジュールおよび内容をICF160に知らせる場合に可能にすることができる。この知らせることは、PVA150および/またはICF160を以下に説明する手順に関与させることによって行うことができる。その後、適切な手順に従い、セッション鍵がM2ME110の最新の「信頼状態」値を反映し、それにより、このAKA鍵導出プロセスの新鮮さおよびセキュリティを向上させる方法で、M2ME110とICF160との間で共有されるAKA暗号鍵および完全性鍵が更新され、M2ME110の認証に関して有用にされることを確実にすることができる。
【0036】
M2ME110とICF160との間でセッション鍵を同じ方法で更新することができ、M2ME110における更新手順自体を、高信頼コンピューティング技術を使用することによって提供されるような高信頼実行環境で実行する限り、等式1の結合公式以外の結合公式を考慮できることに留意すべきである。
【0037】
TRE230は、分離に対するハードウェアサポートを伴う、M2ME110内の論理的分離領域である。このTRE230は、必ずしもリムーバブルモジュールとは限らず、すなわちTRE230は、1つのIC内で、またはICの集まりにわたって分散される機能内で機能することができる。TRE230は、TRE230と直接通信することを許可されたエンティティの制御下でのみ使用可能な、外部への論理インターフェイスおよび物理インターフェイスを定義する。
【0038】
TRE230は、MID(複数の管理可能識別)のためのセキュア記憶域およびセキュア実行環境、ならびにMIDのプロビジョニングおよび管理に関係する特定の機能に信頼のルートを提供する。このMIDは、完全なセキュアアプリケーションおよびその関連するパラメータ、資格証明等の総称である。このMIDは、標準USIMのアプリケーションおよび鍵や、ISIMアプリケーションまたはセキュアペイメントアプリケーションなどの他のセキュアアプリケーションなど、任意の加入管理機能を含むことができる。本明細書では以下、MIDは、管理可能識別、加入管理識別、USIMアプリケーション、ISIMアプリケーション、仮想SIM(vSIM)、または他の任意の動的セキュア識別解決策を指すために使用することができる。
【0039】
TRE230は、任意の所要の暗号化鍵および他の資格証明とともに、セキュアな帯域外機能実装内に事前にプロビジョンすることもできる。TRE230の他のセキュリティ上重要な機能も、同じ方法でM2ME110に事前にプロビジョンされる。M2ME110が発行された後、典型的にはダウンロードすることにより、さらなる機能をプロビジョンすることができる。
【0040】
TRE230はさらに、物理的攻撃および論理的攻撃からの一定の保護を提供し、自らのセキュリティポリシをサポート/実施し、現在はUICCまたは他のスマートカードプラットフォームにしか実装されていないMIDの記憶および実行を可能にすることに関し、十分にセキュアである。TRE230は、TRE230外部の、M2ME110の各部へのインターフェイスも備える。
【0041】
TRE230は、M2ME110の識別に典型的に関連する独自の埋め込まれた一意の識別を有し、M2ME110の識別は、使用する場合、同様にTRE230に埋め込まれる。そのようなものとして、TRE230は、標準化されたプロトコルを使用し、それらの識別を発行機関に対して安全に認証するように構成することができる。次いでその発行機関は、そのTREの識別が、有効な、発行済みのTRE230およびM2ME110の識別であるとして検証することができる。それらの識別のそれぞれは、M2ME110が発行される前に行われる、物理的にセキュアな帯域外プロセスの一部として埋め込まれる。
【0042】
TRE230は、特定の強化機能を備える埋め込み型UICC内に実装し、またあるいは、M2ME110が提供するハードウェア構成要素およびソフトウェア構成要素を利用する、M2ME110上の統合的解決策として実装することができる。TRE230を強化型UICC内に実装する場合、TRE230は、MIDのダウンロード、遠隔プロビジョニングおよび管理、ならびにTRE230内の管理可能識別エンジン(MIDE:Manageable Identity Engine)の機能を依然としてサポートする。
【0043】
TRE230を、M2ME110内の統合的解決策として実装する場合、M2ME110は、TREコードベースを構成するソフトウェアコードおよびデータの完全性検査をサポートする。TREコードは、M2ME110の電源投入/ブート時に少なくとも1度検査すべきである。オプションのコード検査は、定義済みの間隔でまたは特定のトリガ/イベント時に、バックグラウンドプロセスとして、M2ME110の動作的使用の間に行うことができる。さらに、M2ME110の完全検査または部分的検査を範囲に含むように、コード検査の適用範囲を拡張することができる。
【0044】
代替的拡張策では、TRE230は、TRE230内に、利害関係のある所有者がそれぞれ所有する複数の分離された信頼済みドメインに対するサポートを含むことができる。そのようなドメインは、互いに分離され、不正変更および不正アクセスを防ぎ、認証機能および/または立証機能などのドメイン間サービスを提供することができる。
【0045】
一部の使用事例では、M2ME110は、その導入サイクルのほとんどの期間休止状態で動作し、散発的にまたはたまにしか3Gネットワークに接続しない。そのような場合、TREのソフトウェアコードの実行時完全性検査は、休止状態の期間中に行わせることができる。このようにして、このコード検査はTRE230またはM2ME110内の他のプロセスを妨げることはなく、コード検査の結果は、M2ME110がSHO140に再接続するときに準備ができているようにすることができる。
【0046】
各M2ME110に、M2ME110にとって固有の一時的プライベート識別、仮接続識別(PCID)を割り当てる必要がある。PCIDとは、各M2MEを一意に識別する一時的プライベート識別である。状況によっては、このM2MEがSHO140などの任意の特定のSHOに関連付けられる前に、3GPPネットワークに登録することを可能にするために、ESがM2ME110にこのPCIDをインストールする必要がある。このPCIDは、ICF160が最初に発行し、ICF160はそのPCIDを、自らが提供関係を有するESに送信する。次いで、そのESは、そのPCIDをM2ME110のTRE230内にプロビジョンする。M2ME110からVNO115にPCIDが提示される場合、VNO115は、標準のIMSIの形式を有するものとしてそのPCIDを認識し、その後、M2ME110をRO130に導き、プロビジョニングのための初期接続性を確立することができる。
【0047】
一実施形態では、M2ME110が実施する限られた期間(本明細書では以下「有効期間」)にわたり、単一のPCIDを有効とすることができる。この有効期間は、M2ME110のTRE230により、とりわけ制御することができる。各M2MEデバイスは、PCIDおよび有効期間を受け取ることができる。この期間が切れた後、M2ME110はそのPCIDを除去することができる。次いで、そのPCIDは、同じPCIDでプロビジョンされた別のM2ME(不図示)がコアネットワークにアタッチしようと試みるときに再利用することができる。ただし、第2のM2MEのPCIDの有効期間は、概して前のM2MEのPCIDの有効期間と重複すべきでない。
【0048】
第1のM2ME110が、PCIDを再び必要とすることがなくなった後、M2ME110にとっての適切な有効期間が切れるまで、典型的にはそのPCIDを新たなM2MEに再発行しなくてよい。
【0049】
別の実施形態では、PCIDを、(PCIDの同時使用なしに)系統的に再割当することができる。この系統的再割当は、M2ME110のライフサイクルに及ぶことができる。限られた数のPCIDを、M2ME110に系統的に事前にプロビジョンすることができる。この系統的再割当は、TRE230の能力を活用しながら、初期ネットワーク接続性の自律管理を可能にすることができる。M2MEは、サイズNのグループでリリースされると想定される。j番目のロットのM2MEは、M_i,jと称し、ただし、j=1,...,Mである。PCIDの割当は、サイズNxMの行列(P)_{i,j}を用いて初期化することができる。M2ME110 M_i,1は、製造中に列P_i,*がTRE230にロードされる。このM2MEがリリースされるとき、セキュアタイマまたは単調カウンタが初期化され、アクティブにされ、TRE230の制御下に置かれる。ロット1のM2ME110、すなわちM_i,1は、初期化された時間またはカウンタに基づいて、確定した期間Tまたは所定回数にわたり、P_i,1を使用する。その所与の時間(有効期間)の後、これらM_i,1のTREは、P_i,1を破棄し、P_i,2を使用する。この期間または使用回数は、第2のロットがまだリリースされていないようになされるべきであることに留意すべきである。リリースされると、第2のロットM_i,2もP_i,1を使用し始め、そのP_i,1はこの時点ではM_i,1によって解放されている。理想的には、MxTが、ネットワークによってサポートされる必要があるすべてのM2MEの全動作時間に及ぶ。
【0050】
この実施形態は、デバイスが寿命サイクルのどこにあるのかを、ネットワークが判断できるようにすることができる。前のPCIDは、新たなデバイスに安全に再割当することができる。この方式は、M2ME製造業者のTRE230との本質的信頼関係を活用する。TRE230が、TRE230内のPCID列ベクトルを処理し、時間制限を実施することは、PCIDの同時使用を防ぎ、M2ME110が、その動作時間の間中使用するための有効なPCIDを有するという確信をPLMNオペレータに対して与える。
【0051】
ただし、ネットワークオペレータは、製造プロセスの特定の時点においてこのPCIDの組を製造業者に送り、またはこのPCIDの組をリリース前にセキュアな機能実装にインストールすることができるので、この実施形態はネットワークオペレータに影響を与える場合がある。さらに、これらのM2MEは、複数のPCIDで事前にプロビジョンすることができる。これらのM2MEは、後のロットのPCIDを再プロビジョニングすることをサポートできる。任意の所与の時点において同じロットのPCIDを共有する複数のM2MEには、2つ以上のM2MEが同じロットから同じPCIDを選択し、同時に接続しようと試み、結果的に「PCIDの衝突」をもたらすことがある、「偶然の」衝突があり得る。PCIDが衝突する可能性は、ロットのサイズ(行のサイズN)を、同じロットのPCIDを使用するM2MEの数よりもはるかに大きくし、使用するPCIDをM2MEがランダムに選択する場合、より小さくなる可能性がある。
【0052】
時間制限付きのPCIDを管理するには、M2MEの内部クロックを所与の精度限界の範囲内で同期する必要がある。この同期は、例えば単一のM2ME110の電源切断イベントであって、その後再同期が必要となり得る、電源切断イベントに及ぶ必要がある。したがって、TRE230は時間基準を保持/管理し、ネットワーク内の信頼できる時間源との同期をサポートすべきである。オプションで、TRE230は、図2に示すようにM2ME110内に位置する信頼できる時間源に依拠することができる。
【0053】
M2ME110は、GPS235などの自律型地理測位機器を備えることができる。M2ME110のTRE230は、その地理測位機器に安全にアクセスできる。
【0054】
M2ME110は、様々な領域に分散し、2つのM2MEが、同じアクセスネットワーク(AN)セルまたは基地局に対して同時に無線接続を物理的に確立できないように構成することができる。したがって複数のM2MEは、同じPCIDだけでなく、目的地理位置(D)および許容差範囲(r)でも事前にプロビジョンすることができ、目的地理位置(D)は各M2MEにとって固有のものである。このデータは、TRE230の中に安全に記憶し、またはTRE230しかこのデータにアクセスできないように、暗号を使用して保護することができる。
【0055】
M2ME110が初期ネットワークアクセスを試みる前に、TRE230が現在の地理位置を求め、その地理位置が許容差範囲rの範囲内で位置Dに一致するかどうかを検査する。一致する場合、TRE230は、初期ネットワークアクセスのためのPCIDをリリースする。このようにしてANは、2つのM2MEが同じPCIDを使用し、同じセルを介してアクセスしようと試みないと確信することができる。
【0056】
それでもなお、一部の事例では、同じPCIDを使用した互いに異なるセルからの同時アクセスの試みを、ANが見分ける必要があり得る。したがってこのANは、初期ネットワーク接続性サービス内の(PCID、セルIDの)対の記録を取らなければならない場合がある。したがってこの場合、コアネットワークに対していくらかの影響があり得る。
【0057】
代替的実施形態では、M2ME110によるネットワークへのアクセスは、所定のネットワークセルを介してのみ許可される。所定のネットワークセルは、M2MEのTRE内にロードされる、それらのセルのネットワークセル識別子によって識別される。それらのネットワークセル識別子は、対(D、r)に取って代わる。
【0058】
さらに別の代替的実施形態では、M2MEを地理的に移動させることができる。M2ME110を移動させるとき、ネットワークアクセスは無効にされる。M2MEの移動性を有効にするために、特定のPCIDを使用することができる様々な場所を示す1組の三つ組(PCID、D、r)で、M2ME110を事前にプロビジョンすることができる。M2ME110が初期ネットワーク接続を試みる前に、TRE230は、現在の地理位置が目的Dのうちの1つの、範囲rのうちの1つの範囲内にあるかどうかを検査し、成功の場合は対応するPCIDをリリースする。
【0059】
さらに、(PCID、D、r)の三つ組に、寿命、すなわち上記のように使用し実施する、許容使用期間を割り当てることができる。資格証明は、五つ組(PCID、D、r、t1、t2)をなし、ただしt1およびt2は、有効期間の開始時間および終了時間を指定する。この五つ組は、M2ME110の許容された移動についての経路を示す。例えば、M2ME110の移動は、車両内などの移動導入シナリオにおいて制御することができる。M2MEのTRE230が頻繁に再接続することを強いられ、またさもなければPCIDを使用することを強いられる場合、ネットワークサービスが(時間切れの形で)障害を検出し、そのM2ME110が確定経路から離れているとして解釈し、したがってアラームを引き起こす可能性がある。
【0060】
上記の方法および機器は、M2ME110の寿命全体にわたり、M2ME110の移動性および/またはPCID管理要件に対応するのに不十分な場合がある。したがって、五つ組(PCID、D、r、t1、t2)を管理する、すなわち再プロビジョン/削除するための方法が望ましい。
【0061】
そのような五つ組は、PCID更新サービス(PUS)を使用して再プロビジョンすることができる。PUSは、自らが更新する、(M2ME110に一意に対応する)TRE230を識別することができる。このPUSは、ネットワーク内のCCIFサービスの一部、または別個の構成要素とすることができる。その更新は、1つまたは複数の五つ組(PCID、D、r、t1、t2)への変更を含むことができる。TRE230の識別(ID)は、TREのIDを現在のネットワーク(IP)アドレスに関連させることができるネットワークサービスに送信することができる。例えば、ネットワークエンティティは、完全なネットワーク接続性を得る過程でTRE230およびM2ME110の完全性を検証したPVA150、またはPVA150と連携してM2ME110の有効性を確認し、新たな1つまたは複数のPCIDを発行し、その新たな1つまたは複数のPCIDをM2ME110に遠隔的にプロビジョンする接続資格証明発行機能(CCIF)とすることができる。この遠隔プロビジョニングは、ネットワーク内のDPF170に委ねることもできる。
【0062】
この再配置手順は、PUSが目標のM2ME110およびTRE230に接続し、例えば以下に説明し、図3〜図5に示すプラットフォーム検証手順により、その状態の検証を要求するときに開始する。この手順は、TRE230が以前の五つ組(PCID、D、r、t1、t2)(の組)を安全に破棄し、所望の新たな五つ組をインストールすることをPUSに知らせることができる。検証が成功し次第、PUSは新たな五つ組(PCID、D、r、t1、t2)、および破棄すべき以前の五つ組のリストを送ることができる。TRE230は、その新たな五つ組を自律的にインストールし、(継続的接続性を確保するため)以前の五つ組を破棄する。
【0063】
別の実施形態では、TRE230は、PCIDに付加して衝突を軽減できる、(擬似)乱数を作成することができる場合がある。これらの追加情報を追跡し、見分ける能力をANに与えることができる。
【0064】
通信エンティティは、M2ME110、TRE230、およびネットワークアクセスポイント(NAP)(不図示)である。このNAPは、例えばVNO115に関連するeNodeB(eNB)とすることができる。TRE230は、単一の初期ネットワーク接続試行で使用する乱数(RAND)を生成する。TRE230は、RANDが例えば第2のパラメータ、必要に応じて追加データ(D1)、およびPCIDに入る、鍵付きハッシュ関数などの完全性保護方法を適用する。TRE230は、このデータを次のように送信する:TRE→eNB:RAND||PCID||D1||M1:=MAC(PCID||D1,RAND)。
【0065】
このeNBは、MAC(メッセージ認証コード)を検証し、ペイロードデータ(D2)および受信データから返信パッケージを次のように構築し、TREに送信する:eNB→TRE:D2||M2:=MAC(PCID||D2,M1。
【0066】
この方法は、初期ネットワーク接続において交換されるすべての後続のメッセージに及ぶ。後続のメッセージ交換は、任意の新たなメッセージ要素を含むデータ要素のMAC、および直前の交換のMACを含む。このeNBおよびTRE230は、新たなMnを構築するための最終値Mn-1を使用してこの通信中にメッセージを区別することができる。
【0067】
この通信に対する中間者型攻撃を回避する目的で、通信当事者を認証するために、あらかじめ決められた秘密または取り決められた/共有された秘密をメッセージに含めることができる。
【0068】
PCID本体(proper)をMAC値に含めることはオプションだが、ハッシュ表を構築し、異なるPCIDおよび/または共通のPCIDを備える複数のM2MEの、同時にアクティブなネットワーク接続試行を効率的に見分けるために有利であり得る。これは、セキュリティ問題となり得る、初期ネットワーク接続通信のすべてのメッセージ内で(おそらく平文の)PCIDを送信することを防ぐことができる。
【0069】
このeNBは、PCIDを使用する、すべての同時にアクティブなネットワークアクセス試行(本明細書では以下、チャネルと呼ぶ)の状態を表す表を保つことができる。各チャネルごとに、このeNBは表1の情報を含む。
【0070】
【表1】
【0071】
1列目は、すべてのチャネルにわたり現在アクティブなすべてのPCIDのリスト内の一項目を指し示す、この特定のチャネルに属するPCIDの索引を含み、PL:=[PCID1,...PCIDN]である。この索引は上記の表についてメモリを節約するが、メモリが問題にならない場合、この列は完全なPCIDを含むことができる。
【0072】
このeNBは、次のようにチャネル上で第3のメッセージを受信する。
【0073】
TRE→eNB: D3||M3:=MAC(PCID||D3,M2)
【0074】
i=1,...,Nにわたり、eNBは、次の手順が成功するまで、PCIDiをPLから選択する。最初のセルにPCIDの索引Iが含まれるすべての表の行に対し、eNBはM:=MAC(PCIDi||D3,M2)を計算し、M2はその行の2番目のセルから取る。M=M3の場合、成功状態に達し、この検索手順は終了する。最後に受信した第3のメッセージに対応するチャネルの行番号を返す。データ履歴にD3が追加され、選択された表の行のアクティブハッシュ値のセル内で、M3がM2に取って代わる。このプロセスは、後続のすべての通信ステップに関して繰り返す。
【0075】
あるいは、第1のメッセージの後のメッセージは、PCIDの代わりにチャネルの索引Iを含んで、後続メッセージの関連チャネルをより一層効率的に見つけることができる。
【0076】
M2ME110および/またはeNBの資源、特にメモリが限られている場合、アクティブなPCIDをロックすることができる。これは、M2ME110がロック済みのPCIDを使用するのを防ぐことにより、有利であり得る。
【0077】
例えば、M2ME110が、あるPCIDに関してeNBとのチャネルを開いた。その第1のチャネルが依然として開いている間、第2のTRE(不図示)を備える第2のM2ME(不図示)が、同じPCIDを使用してそのeNBへのチャネルを開こうと試みる。このeNBは、M1を伝送することにより、第2のM2MEのTREの第1のメッセージに応答することができる。したがって第2のTREには、このPCIDが現在占有されていることが知らされる。この第2のTREは、チャネルを開設する別の試みに関し、インストール済みPCIDのプールからの別のPCIDを使用することができ、または所定の期間待機してから同じPCIDを再び使用することができる。
【0078】
あるいは、関与するエンティティが、PCIDをアクティブに割当解除することができる。このM2MEのTRE230は、完全なネットワーク接続性を得るためにあるPCIDが使用されている場合(すなわち永久資格証明がダウンロードされた後)、その使用済みPCIDを破棄することができる。このPCIDの破棄は、様々なイベントが引き起こすことができる。例えばこのPCIDの破棄は、完全なネットワーク接続性を保証するためのプロトコルを成功裏に実行することなどにより、TRE230が完全なネットワーク接続性が保証された状態に達する場合にトリガすることができる。このPCIDの破棄は、有効期間が切れた場合、eNB、セキュリティゲートウェイ、もしくは専用PCID管理エンティティなどのネットワークエンティティが破棄を強制する場合、または、VNO115を介したM2ME110へのセキュアな接続を確立し得る、M2ME110の製造業者などのネットワーク外エンティティが破棄を強制する場合にトリガすることができる。
【0079】
どのイベントが破棄をトリガするのかに関係なく、そのイベントに関する情報を使用してそのPCIDを適切に割当解除する、つまり、そのPCIDを他のM2MEが再利用するために解放することができる。この割当解除イベントを信号で伝えるため、TRE230からM2MEの製造業者への接続を確立することができる。その製造業者は、解放されたPCIDの現行リストを更新することができ、それらのPCIDを再利用し、リリース時に新たなM2ME上にPCIDを付与することができる。
【0080】
あるいは、例えばあるSHOから別のSHOへの加入変更の開始時の、将来の接続性操作を容易にするために、ES、既存のSHO140、不図示の新たなSHO、またはICF160などのネットワーク内のエンティティを、PCIDを更新するように構成することができる。M2ME110がプロビジョンされると、新たなSHOとのサービスをプロビジョニングすることを助ける際に将来使用するために、初期ネットワークアクセス資格証明、PCIDの更新された値をMIDとしてM2ME110に送ることができる。この資格証明は、M2ME110のTRE230において抽出され、記憶され、排他的に使用される。
【0081】
SHOを変更することに起因する資格証明の再プロビジョニングプロセスの前に、M2ME110の既存の初期ネットワークアクセス資格証明、PCIDが失効したか、または失効しそうであることを、M2ME110に知らせることができる。M2ME110は、E/S、既存のSHO140、新たなSHO、またはICF160に新たな初期ネットワークアクセス資格証明を要求し、受け取ることができる。あるいは、M2ME110が初期状態から新たな初期ネットワークアクセス試行を行うときに、新たなPCIDがM2ME110を新たなSHOまで経路指定できるように、M2ME110は、E/Sまたはその新たなSHOから供給されるこれらのネットワーク要素の1つから新たなPCIDを受け取ることができる。
【0082】
一実施形態では、M2ME110は、U(I)SIMアプリケーション、PCID、および1度に1つのアクティブな組を使用すべき、複数組のAKAルート秘密で事前構成することができる。PCIDの変更時に、M2ME110は、次の組のAKA資格証明を使用するように指示され、そのためこれらのAKA資格証明を使用してM2ME110に3GPP接続性を提供し、そうしてオペレータの変更および新たなSHOへの加入の再プロビジョニングを容易にすることができる。
【0083】
上記の内容は、初期ネットワークアクセス資格証明を置換し、サービスを再プロビジョニングするための可能な方法のごく一部を説明したに過ぎない。すべての割当解除プロセスにおけるセキュリティ上の配慮は、割当解除プロセスにおいてPCIDを平文で転送しないことを要求することに留意すべきである。さらに、すべての割当解除プロセスに関し、割当解除プロセスにおいて通信相手を認証すべきである。
【0084】
TRE230またはM2ME110の信頼状態、ならびに関連するデータおよび資格証明の検証または認証を行うことに関し、3つの本質的に異なる可能性がある。その可能性には、次のものが含まれ、それはつまり:(1)自律的検証、(2)半自律的検証、および(3)遠隔的検証である。そのそれぞれを、図1に示すアーキテクチャを参照して以下により詳細に論じる。
【0085】
自律的検証とは、M2ME110が自らをネットワークにアタッチできるようにする前に、M2ME110の内部検証が生じているとみなされる手順である。
【0086】
半自律的検証とは、M2ME110の有効性が、外部ネットワークエンティティに依拠せず、M2ME110自体の内部で評価される手順である。そのような検証の結果、およびTRE230の認証をM2ME110の有効性に結合する所要の根拠は、PVA150などの遠隔エンティティに信号で伝えられ、そのエンティティは、M2ME110からのメッセージの内容に基づいて判断を行う。M2ME110からPVA150へのこの信号伝達は保護すべきである。
【0087】
遠隔的検証は、外部ネットワークエンティティ(例えばPVA150)が、M2MEのTRE230が生成した検証用の根拠、ならびにTRE230とM2ME110との間の結合の根拠を受け取った後、M2ME110の有効性/完全性を直接評価する手順で構成される。遠隔的検証のために、M2ME110とPVA150との間で行われるこの通信は保護すべきである。
【0088】
TRE230が、M2ME110の完全性についての自律的検証を行う場合、この検証の直接的根拠は外部に提供されない。外部は、M2MEおよびTREが指定され、実装される方法が原因で、その内部完全性検査に失敗するM2ME110は、自らをネットワークにアタッチし、または遠隔エンティティへの認証済み接続を得ることを、自らのTRE230によって妨げられるとみなす。例えば、セキュアブートプロセスは、M2ME110内のコードを安全に持ち出すことを容易にするが、この目的を果たす機器に依拠する場合以外、対外的な信号伝達はない。
【0089】
図3は、M2ME110の完全性を検証するために、TRE230が行う自律的検証手順300の一例を示す。
【0090】
まず310で、TRE230は、自らがセキュア始動(secure start−up)の定義済み状態に達しているかどうかを検査する。次に320で、TRE230は、セキュア始動を必要とするM2ME110の残りの定義済み部分が、セキュア始動の定義済み状態に達しているかどうかを検査する。
【0091】
次いで330で、TRE230自体により、またはTRE230にとって外部にあるが、TRE230が完全性を保護する、M2ME110内の測定構成要素により、さらなる検査を行うことができる。そのような後期検査では、M2ME110の残りの他の構成要素、構成、またはパラメータの完全性が、ロードされるとき、または開始されるとき、または他の定義済み実行時イベント時に、それらのイベントをこの測定構成要素が利用できる場合はいつでも、検査される。
【0092】
最後に340で、TRE230は、要求された認証手順にM2ME110が関与することを許可する。
【0093】
自律的検証は、必要とされる対外的通信の観点から最も経済的な方法である。しかし、自律的検証は、ネットワークアクセス中または連続的接続段階の間、任意の外部エンティティが、TRE230もしくはM2ME110の完全性を独立に評価することを認めない。つまり、ネットワークまたは他の通信相手によって捉えられるものとしてのM2ME110の信頼性は、単純なスマートカードベースの認証の場合のように、M2MEのTRE230のセキュリティ特性の技術仕様のみに基づく。
【0094】
したがって、TRE230は、(例えばネットワークアクセス試行前の)自律的検証のすべてのイベントに応答し、検証プロセスおよびその結果のログを記憶することもできる。例えば、その記憶した測定ログおよびプラットフォーム構成レジスタ(PCR)の値は記憶し、Trusted Computing Group(TCG)の原理を使用し、M2ME110の完全性を保護するために使用することができる。
【0095】
この記憶したデータは、データが監査記録を構成するので、外部監査にも使用することができる。この監査データは、TRE230内のまたはTRE230が保護する、安全な内部アーカイブに記憶されるため、そのような不正変更を検出可能でなしに、変更することはできない。その結果、データの完全性保護が実現される。
【0096】
さらに、この監査データは、自律的検証が引き起こされた特定の目的(例えばネットワークアクセスプロトコルの実行の、特定のインスタンス)に結合される。この結合は、検証目的を一意に識別するデータを、監査データに含めることによって達成することができる。
【0097】
例えば、アクセスプロトコル内に確立される、共有された秘密または資格証明を監査データに添付することができ、TRE230は、その作成した1組のデータにデジタル署名を施してその1組のデータの完全性を保護することができる。その後、M2ME110から独立したエンティティが、その監査データを後の任意の時点において要求することができる。例えば、そのエンティティは監査データを周期的に要求して、前のネットワークアクセスイベントごとに、問題のM2ME110が信頼できるかどうかを確認することができる。次いで、TRE230およびM2ME110の識別資格証明とともに、この根拠をネットワークアクセス試行に関するネットワーク側プロトコルに再照合し、TRE230の識別および信頼性をさらに検証し、M2ME110の不正変更を検出することができる。
【0098】
図4は、TRE230が、M2ME110の完全性の半自律的検証を行うための手順400を示す。この手順400が開始すると、410で、TRE230は、自らがセキュア始動の定義済み状態に達しているかどうかを検査する。次に420で、TRE230は、セキュア始動を必要とするM2ME110の残りの定義済み部分が、セキュア始動の定義済み状態に達しているかどうかを検査する。次いで430で、TRE230自体により、またはTRE230にとって外部にあるが、TRE230が完全性を保護する、M2ME110内の測定構成要素により、さらなる検査を行うことができる。そのような後期検査では、M2ME110の残りの他の構成要素、構成、またはパラメータの完全性が、ロードされるとき、開始されるとき、またはこの測定構成要素が利用できる他の任意の定義済み実行時時間イベント時に検査される。
【0099】
PVA150などの遠隔エンティティは、M2ME110が半自律的検証テストを通過したことを間接的に知ることができる。ネットワークに対し、この検証の成果について明確な信号伝達がある。440で、この信号伝達はTRE230内から生じるべきであり、暗号を使用して保護されるべきである。さらにこの信号伝達は、MIDをダウンロードするのに必要な、M2ME110の認証より前に起こり、M2ME110のダウンロード目標である構成要素の完全性を確実にする。この信号伝達は、TREの認証と実際の有効性検査に使用されるM2ME110内の資源との間の結合の根拠を含むこともできる。そのような根拠には、TRE230およびM2ME110の証明を確立するためのさらなる情報を提供する、M2ME110からネットワークに送信されるトークンが含まれ得る。
【0100】
図5は、TRE230の完全性の半自律的検証に関する代替的手順500を示す。この手順500は、510で、PVA150またはSHO140が、検証を周期的に行うようにTRE230に要求するときに開始する。この要求は、M2ME110が最初に登録された後に送信することができ、またはこの要求は、M2ME110がSHOを相手に一番初めに認証された時点で送信することができる。
【0101】
あるいはこの要求は、PVA150またはSHO140から、保護された運用保守(OAM:Operation And Maintenance)メッセージとして周期的に送信することができる。「周期的再検証」の期間は相対的に長いが、それでもなお、SHO140が検証の「新鮮さ」に関して安心できるようにするのに十分な短さのものとすることができる。
【0102】
次に520で、TRE230が、その要求に基づいて検証手順を実行する。検証が成功すると、530で、TRE230は、TRE230が作成する、最後の検証がいつ行われたのかを示すタイムスタンプを含み得る検証応答メッセージをPVAに送信する。あるいは、TRE230は、周期的検証サイクルの現在のラウンドが失効する前に、最後の検証が行われたことを述べるメッセージを送信することができる。
【0103】
この検証の「成果」に関する明確な信号伝達はなく、規定された周期的検証が実際に行われたことを示す、認証要求の一部としての一定の間接的な指示のみがあることに留意すべきである。この指示は、この周期的検証が行われた日付または時間を含むことができる。
【0104】
図6は、M2MEの完全性を遠隔的に検証するための手順600の一例である。この手順600を開始するために、610で、M2ME110は定義済みセキュア状態に向けて始動することができる。セキュア状態に達すると、620で、M2ME110は、プラットフォームの有効性の根拠をTRE230が生成することを要求することができる。次に630で、TRE230は、M2ME110の残りから、そのような根拠を作成するために使用する材料を集める。例えばこの材料には、M2ME110内のセキュリティ上重要な実行可能コード、M2MEのオペレーティングシステム(OS)の資格証明、機器ID等が含まれ得る。次いで640で、TRE230は、M2ME110の検証用の根拠を生成し、完全性および/または機密性を得るために、それを暗号を使用して保護する。次に650で、TRE230はその保護された根拠をM2ME110に渡す。660で、M2ME110はその保護された根拠をPVA150に転送する。
【0105】
その保護された根拠を受信すると、670で、PVA150はその根拠を評価して、引き続きデバイス認証を実行させ、MIDをダウンロードさせるのに、そのM2ME110が十分信頼できるかどうかを判定する。
【0106】
オプションで、上述した手順の要素の一部を、MIDをダウンロードするのに必須のM2ME認証に使用するプロセスに、統合することができる。TRE230とPVA150との間のこの通信は、保護すべきであることに留意すべきである。
【0107】
上述した3つの検証手順のうちのいずれかを実行した後、M2MEの検証と認証との間の結合が多くのシナリオにおいて望ましい。自律的検証の場合、検証はM2ME110のセキュア状態を立証する、M2ME110の何らかの証明書または資格証明とすることができる。他の検証手順の場合、検証はM2ME110のセキュア状態についての、より安全な証明手段を含むことができる。M2MEのTRE230は、M2ME110の検証を行うために使用する、M2MEの内部資源のセキュリティ特性を保証する高信頼環境なので、認証に使用される資格証明への検証の資格証明および/または成果の結合があるべきである。
【0108】
M2ME110を認証するための手順が3つある。第1に、初期ネットワーク接続性の必須条件として、ICF160が初期状態のM2ME110を認証することができる。第2に、MID(例えばその資格証明を伴うUSIMアプリケーション)をダウンロードする必須条件として、認証されたTRE230をM2ME110が含むことを証明するために、DPF180などのエンティティがM2ME110を認証することができる。第3に、(例えばダウンロードしたMIDを使用する)操作上のネットワークアクセスのために、SHO140がM2ME110を認証することができる。
【0109】
自律的検証は、上述の初期ネットワーク接続性に関して使用する認証手順に結合することができる唯一のタイプの検証である。上述した残りの2つの検証方法はPVA150が関与することを必要とするが、初期接続性はなく、M2ME110が検証にPVA150を関与させることはできない。
【0110】
初期ネットワーク接続性に関し、自律的検証では、ネットワークアタッチメントが生じる後まで、完全性/有効性についてのネットワークベースの検査は行われないので、ネットワークアクセス認証への完全性/有効性の結合は単に暗示的に過ぎないことがある。残りの2つの形態の検証に関しては、M2ME110内のTRE230識別、したがってTRE230のセキュリティ機能およびM2ME110の完全性についてのさらなる情報を提供するトークン(TRE230の資格証明および証明を立証するデジタル証明書など)を、初期アタッチメントメッセージ内で渡すことができる。
【0111】
操作上の接続性では、半自律的検証ならびに遠隔的検証があり得る。さらに、後続の認証ステップへのそのような検証方法の結合があり得る。プラットフォーム検証と認証との結合を果たすための2つの方法を以下に説明する。
【0112】
第1に、M2ME110への、認証資格証明を保持するTRE230の論理的結合があり得る。認証の間、デバイスプラットフォームの完全性が検証される。論理的結合についての以前の解決策(例えばSIMロック)はすぐに回避されていることに留意すべきである。しかしTCGなど、成功裏に適用し得る他のより新しい方法体系がある。
【0113】
第2に、M2ME110への、TRE230の物理的結合があり得る。TRE230の認証の間、デバイスプラットフォームの完全性が検証される。
【0114】
上記のいずれの場合にも、プラットフォーム資源の実際の検証は、M2ME110に安全に埋め込まれたハードウェアセキュリティ構成要素(すなわち埋め込まれたTRE)の機能を使用することにより、またはTRE230の外側にあるが、TRE230がそのセキュリティ特性を保証することができ、TRE230に安全に接続することができる、そのようなハードウェアセキュリティ構成要素を使用することによって実行されるべきである。3GPP AKA認証に使用する資格証明およびアプリケーションは、ホスティングデバイス内のセキュアハードウェア構成要素の結合を検証する目的で設計されていないことに留意すべきである。
【0115】
検証および認証のステップは、共通プロトコルのセッション内で組み合わせることができる。例えば3GPPは、デバイスおよびホスティング当事者の認証ステップを組み合わせるための方法としてIKEv2を使用する。同じプロトコルを、組み合わせられた検証/認証手順で使用するために考慮することもできる。
【0116】
図7は、アクセスが認証された場合の、MIDをM2ME110にプロビジョニング/再プロビジョニングするための、第1の手順700の例を示す。この手順は例証目的で提供するが、同様の結果を伴う、ネットワークエンティティ間の他の対話も可能である。図7では、矢印が、各機能、サービスプロバイダ、および検証局間の接続を示す。実線の矢印は、M2ME110からVNO115への初期ネットワークアクセスのためのエアインターフェイスを示し、破線矢印は、VNOのネットワークが提供するエアインターフェイスを介した、M2ME110とICF160との間の接続を示し、点線矢印は、VNOのネットワークのエアインターフェイスならびにICF160が提供するIP接続性を介した、M2ME110とDPF180、DPF170およびPVA150との間の接続を示す。ICF160、DRF170、およびDPF180をすべて個別のエンティティとして示すが、図1に示すようにそれらを単一のエンティティ内に、または本質的に同じ機能を果たす他の何らかの仕組みの中に配置できることも当業者なら理解されよう。
【0117】
図7の手順700では、M2ME110へのMIDのダウンロードおよびプロビジョニングは、M2ME110がその初期ネットワークアクセスにおいて3G VNOのネットワークにアクセスするときに生じることができる。VNO115は以下の手順により、M2ME110にエアインターフェイスを提供する。
【0118】
M2ME110は、例えば標準GSM/UMTS原理(GPRS/PS)を使用してネットワーク情報を復号し、アタッチメッセージを使用してVNO115のネットワークにアタッチすることができる。701で、M2ME110は、アタッチメッセージ内で仮のM2ME IDまたはPCIDをVNO115に送信し、VNO115が、標準UMTS AKA手順によりM2ME110を認証する。そのPCIDの内容および構造は、VNO115がそのPCIDをIMSIとして認識するようなものである。
【0119】
VNOのネットワークに初期アタッチメントするためのクライアント認証を実行できるためには、M2ME110が、すべてのM2MEおよびVNO115によって共有される、Milenageアルゴリズムなどの認証アルゴリズムをサポートする必要があることに留意すべきである。
【0120】
702で、そのPCIDをM2ME110のIDとして認識するVNO115は、そのPCIDを正当な予備資格証明として承認するICF160に接触する。次いで703で、ICF160は、M2ME110とのさらなる通信を保護するための1組の予備認証ベクトル(AV)を発行し、保護されたIP接続性をM2ME110に提供し始める。この通信は、VNOのネットワークが提供するエアインターフェイスを使用して実行される。
【0121】
次に704で、M2ME110とICF160とが標準AKAプロセスを実行し、予備AKA鍵を作成してM2ME110からの/M2ME110への通信を保護する。その後、M2ME110がSHOのMID資格証明をダウンロードし、プロビジョニングした後にそれらを使用してネットワークに接続するまで、様々なネットワークエンティティへのM2ME110間のすべての通信は、VNOのネットワークが提供するエアインターフェイス、ならびにICF160が提供するIP接続性および暗号化保護を介して行われる。
【0122】
次いで、ICF160が、M2ME110をDPF180に転送する。その際705で、ICF160は、PCIDをDRF170に送信することができる。次いで706で、DRF170は、M2ME110がSHO140を探すのを支援する。次に707で、DRF170が、SHO140に接続し、SHOのネットワークへの接続に関してM2ME110を登録する。それに応答して708で、SHO140が、M2ME110のTRE230の真正性および完全性を検証するようにPVA150に要求する。次いで709で、PVA150が、M2ME110のTRE230の真正性および完全性を検証する。この検証手順は、図3〜図5に関して上述した検証手順と同様の方法で実行することができる。
【0123】
検証完了時に、710で、PVA150が検証結果をSHO140に送り返す。711で、SHO140がDPF180に接触し、MID(USIM/ISIMアプリケーション)をM2ME110にプロビジョニングすることを許可する。
【0124】
次に712で、DPF180が、MIDオブジェクトをM2ME110にダウンロードする。次いで713で、M2ME110が、ダウンロード済みMIDをTRE230内にプロビジョンし、そのプロビジョニングの成功/失敗状態をDPF180に報告する。M2ME110は、そのようなメッセージを検証するために使用できるトークンを送信する必要があり得る。そのようなトークンは、不正変更およびリプレイ攻撃に耐性がある形式をなす必要がある。最後に714で、DPF150が、プロビジョニングの成功/失敗状態をSHO140に折り返し報告する。
【0125】
図8は、アクセスが認証された場合の、MIDをM2ME110にプロビジョニング/再プロビジョニングするための、もう1つの手順800を示す。この手順800では、M2ME110へのMIDのダウンロードおよびプロビジョニングは、M2ME110がその初期ネットワークアクセスにおいて3G VNOのネットワークにアクセスするときに生じることができる。SHO140が、自らのMIDをダウンロードし、プロビジョニングすることを許可する前にTRE230の検証を行わせる代わりに、ICF160は、仮認証ベクトルをM2ME110にリリースする前に、さらにIP接続性をM2ME110に与える前に、M2ME110のTRE230を検証するよう、PVA150に要求する。
【0126】
手順800は、801で、M2ME110が、例えば標準GSM/UMTS原理(GPRS/PS)を使用してネットワーク情報を復号し、VNO115のネットワークにアタッチするときに開始する。M2ME110は、アタッチメッセージ内でPCIDをVNO115に送信する。VNO115が、標準UMTS AKA手順によりM2ME110を認証する。
【0127】
802で、M2ME110のPCIDを認識するVNO115は、そのPCIDを正当な予備資格証明として承認するICF160に接触する。次に803で、ICF160が、M2ME110のTRE230の真正性および完全性を検証するようにPVA150に要求する。次いで804で、PVA150が、M2ME110のTRE230の真正性および完全性を検証する。この検証は、前に述べた検証手順のうちの1つを使用して実行することができる。
【0128】
805で、PVA150が検証結果をICF160に送り返すと、806で、そのICFは、M2ME110とのさらなる通信を保護するための1組の予備認証ベクトル(AV)を発行し、保護されたIP接続性をM2ME110に提供し始める。この通信は、VNOのネットワークが提供するエアインターフェイスを介して行われる。
【0129】
次に807で、M2ME110とICF160とが標準AKAプロセスを実行し、予備AKA鍵を作成してM2ME110からの/M2ME110への通信を保護する。その後、M2ME110がSHOのU(I)SIM資格証明をダウンロードし、プロビジョニングした後にそれらを使用してネットワークに接続するまで、様々なネットワークエンティティへのM2ME110間のすべての通信は、VNOのネットワークが提供するエアインターフェイス、ならびにICF160が提供するIP接続性および暗号化保護を介して行われる。
【0130】
808で、ICF160が、M2ME110をDRF170に導く。その際、ICF160は、PCIDならびにTREの検証状態に関する情報をDRF170に送信する。809で、DRF170は、M2ME110がそのSHO140を探すのを支援し、M2ME110をSHO140に転送する。次いで810で、DRF170が、SHO140に接続し、SHO140への接続に関してM2ME110を登録する。その際、DRF170は、TREの検証状態に関する情報もSHO140に伝える。
【0131】
DRF170から受信したTREの検証状態情報を検討した後、811で、SHO140がDPF180に接触し、MID(USIM/ISIMアプリケーション)をM2ME110内にプロビジョニングすることを許可する。それに応答して812で、DPF180が、MID(U(I)SIMアプリケーションおよび資格証明)オブジェクトをM2ME110にダウンロードする。
【0132】
813で、M2ME110が、ダウンロード済みMIDをTRE230内にプロビジョンし、そのプロビジョニングの成功/失敗状態をDPF180に報告する。M2ME110は、そのようなメッセージを検証するために使用できるトークンを送信することができる。そのようなトークンは、不正変更およびリプレイ攻撃に耐性がある形式をなすべきである。最後に、DPF180が、プロビジョニングの成功/失敗状態をSHO140に折り返し報告する。
【0133】
図9は、新たなSHO(不図示)に対してM2ME110を再プロビジョニングするための、手順900の流れ図の一例である。この手順900は、910で、M2MEの所有者が、新たなSHOに接触してM2MEのパラメータを転送するときに開始する。次いで920で、M2MEの所有者が、M2MEに接触して再プロビジョニング手順を開始する。
【0134】
930で、その新たなSHOが、M2ME110を検証するように検証エンティティに要求する。次いで940で、PVA150がM2ME110を検証し、成功/失敗メッセージをその新たなSHOに送信する。950で、成功通知の受信時に、その新たなSHOが、新たなMID(すなわちUSIMアプリケーションおよび資格証明)をM2ME110にダウンロード/プロビジョンするよう、DPFに要求する。
【0135】
次いで960で、DPF180が、新たなMIDパッケージをM2ME110に安全にダウンロードする。970で、M2ME110が、以前のMIDを破棄したというメッセージを以前のSHOに送信する。次いで980で、以前のSHOがM2ME110にACKを送信し、次いでM2ME110は、そのACKをDPF180に転送し、その後新たなSHOに転送する。
【0136】
990で、M2ME110が、DPF180の助けで自らのシステムを更新し、MIDをインストールし、DPF180に成功/失敗メッセージを送り返す。992で、DPF180が、その成功/失敗メッセージを新たなSHOに報告する。998で、成功時に、このプロビジョニングプロセスは完了する。
【0137】
別の再プロビジョニング手順では、M2ME110を初期状態に置き、図7および図8に示す初期プロビジョニング手順と同じタイプのプロセスを再び開始することができる。
【0138】
別の実施形態では、PVA150は、M2ME110が依然として同じSHO140に加入している間に実行される、任意のソフトウェア(SW)またはファームウェア(FW)の更新が、安全な方法で行われることを保証する役割を果たす。この保証することは、資格証明を更新しまたは再構成することを含む。
【0139】
これは、PVA150またはDPF180が、SW/FWの安全な無線(さらに有線)ダウンロードや、M2ME110および/またはTRE230の再プロビジョニングなどの手順を監督すべきであることを意味する。したがって、PVA150またはDPF180は、安全なダウンロード、FLASH更新、および/またはM2ME110のデバイス再構成に関し、OMA DMおよびOMA FOTA規格において提供される方法などの、利用可能な方法を使用することができる。
【0140】
さらに、このM2MEの信頼状態情報は、遠隔SW/FW更新または再構成が原因で変わる可能性があるので、SW/FW更新または再構成の完了時に、PVA150またはDPF180は、M2ME110またはTRE230の新たな検証可能ブートもしくは実行時信頼状態情報検査を開始し、その結果を得ることができるべきである。PVA150またはDPF180はさらに、M2ME110に関する信頼状態情報についての自らのデータベースを更新すべきである。この遠隔SW/FW更新または遠隔資格証明再構成にDPF180が関与する場合、PVA150がM2ME110の「信頼状態」情報についての自らのデータベースを更新することができるように、M2ME110に関する「信頼状態」情報に対するその更新/再構成の任意の予想効果を、DPF180からPVA150に送信する必要がある。
【0141】
さらに、M2ME110の不正変更の検出、および不正変更に対する検出後の救済反応に関する解決策を開示する。M2ME110を不正変更攻撃に強くするため、いくつかの解決策を提案する。
【0142】
まず、M2ME110は、自らに、または自らの内部の1つまたは複数の任意のサブシステムに対して行われる特定のタイプの「不正変更」を、(定期的にスケジュールされた検出試行の場合は)十分に頻繁にかつ/または(イベント駆動型の検出試行の場合は)適時ベースで検出することができる機能を備えるように構成することができる。そのような検出可能な不正変更イベントの例には、(1)マルウェアまたはウイルスが、OSを救済可能なおよび/または救済不可能な危険にさらすこと、(2)バッファオーバフローイベント、(3)無線もしくは上位層接続特性、および/または環境測定値の突然の予期せぬもしくは未承認の変化、(3)M2MEの予備認証、登録、またはMIDプロビジョニング要求に対し、信頼できるネットワーク要素がアクセスまたはサービスの失敗および/もしくは拒否を過度に繰り返すこと、または(4)M2ME110または遠隔MID管理機能に関係するM2MEサブシステムの「信頼状態」の、ブート後または実行時読取り値の任意の予期せぬ/未承認の変化が含まれ得るが、これだけに限定されない。PVA150、ICF160などのネットワーク要素、または図1に示す他の任意のネットワーク要素も、不正変更を検出するように構成することができる。例えば、これらのネットワーク要素は、自らの機能および/またはM2ME110の機能を使用して、M2ME110に対して行われる特定のタイプの「不正変更」を遠隔的に検出するように構成することができる。さらに、これらのネットワーク要素は、任意の不正変更検出イベントについて報告するよう、M2ME110に要求するように構成することができる。
【0143】
自らに対する任意の不正変更を自己検出するとき、M2ME110は、自らに対する、または他のネットワーク要素に対するさらなる被害を抑えるための措置を講じるべきである。例えば、不正変更の検出時に、遠隔MID管理に関係する機能を無効にするようにM2ME110を構成することができる。M2ME110は、自らの内部資源(SWや、OSの特定の部分など)による、TRE230など、M2ME110のあらかじめ指定された極めてデリケートな領域へのアクセス、またはSIMおよび/もしくはTPM/MTMなど、遠隔MID管理に関係するデータ、コードまたは資格証明を保持する、M2ME110の他の部分へのアクセスを無効にするように構成することもできる。
【0144】
不正変更を自己検出するとき、M2ME110は、疑わしいまたは検出した不正変更イベント、ならびにM2ME110が取った検出後の自己救済アクションまたは反応アクションのイベントについての報告を、指定されたネットワーク要素(PVAなど)に送信するように構成することもできる。そのようなイベント報告はさらに、それらのイベントのタイムスタンプ、または、M2ME110の最新のGPS読取り値や隣接セルのリストなど、それらのイベントの位置情報スタンプさえも含むことができることに留意すべきである。
【0145】
さらに、不正変更を検出するとき、M2ME110は、最近のSW更新、または疑わしいウイルスもしくはマルウェアコードもしくはデータの削除、隔離、アンインストールなどの救済アクションを実行するように構成することができる。M2ME110は、一時記憶域(例えばRAM)および/または永続記憶域(例えばNVRAM、フラッシュ、ハードディスク、SIM、TPM/MTM内部記憶領域または暗号化された記憶領域等)からの、USIMに関係する鍵や資格証明など、遠隔MID管理機能に関係する、任意のあらかじめ指定された1組のデータを削除するように構成することもできる。
【0146】
最後に、不正変更を検出するとき、M2ME110は、自らの、または遠隔MID管理機能を取り扱う端末の部分/サブシステムの電源を切るように構成することもできる。
【0147】
PVA150などの特定のネットワーク要素も、M2ME110であって、(1)疑わしいまたは検出した不正変更イベントを報告しまたは(2)対話相手であったPVA150自体または他のネットワーク要素により不正変更イベントにあったと疑われている、M2ME110のために、遠隔「検出後」反応アクションを開始/実行する役割を果たし、それらを開始/実行する能力を有することができる。
【0148】
上述した機能および実施形態は、3G UMTSネットワークアクセスの認証に必要な認証プロトコル以外の認証プロトコルに適用可能である。そのようなプロトコルの例には、アプリケーション層認証に使用される汎用ブートストラッピングアーキテクチャ(GBA)に準拠するプロトコル、およびGSM/UMTS端末の非3Gアクセスネットワークに対する認証のための、SIM(EAP−SIM)に基づく拡張可能認証プロトコルが含まれ得るが、これだけに限定されない。例えば、図1に示すネットワーク要素は、識別の認証および遠隔管理ならびにサービス、アプリケーションもしくは(非3G)ネットワークアクセスについてのM2MEデバイスの認証を可能にするために、存在し、同様のまたは同じ機能を実行することができる。
【0149】
諸特徴および要素を特定の組合せにより上記に記載したが、各特徴または要素を、他の特徴および要素なしに単独で、または他の特徴および要素を伴うもしくは伴わない様々な組合せで使用することができる。本発明で提供する方法または流れ図は、汎用コンピュータまたはプロセッサによって実行するためにコンピュータ可読記憶媒体中に実施されるコンピュータプログラム、ソフトウェアまたはファームウェアで実施することができる。コンピュータ可読記憶媒体の例には、ROM(読出し専用メモリ)、RAM(ランダムアクセスメモリ)、レジスタ、キャッシュメモリ、半導体記憶装置、内蔵ハードディスクやリムーバブルディスクなどの磁気媒体、光磁気媒体、およびCD‐ROMディスクやDVD(デジタル多機能ディスク)などの光学媒体が含まれる。
【0150】
適切なプロセッサには、例えば汎用プロセッサ、専用プロセッサ、従来型プロセッサ、DSP(デジタル信号プロセッサ)、複数のマイクロプロセッサ、DSPコアに関連する1個または複数個のマイクロプロセッサ、コントローラ、マイクロコントローラ、特定用途向け集積回路(ASIC)、書替え可能ゲートアレイ(FPGA)回路、他の任意のタイプの集積回路(IC)および/または状態機械が含まれる。
【0151】
ソフトウェアに関連するプロセッサを使用して、無線送受信ユニット(WTRU)、ユーザ機器(UE)、端末、基地局、無線ネットワークコントローラ(RNC)、または任意のホストコンピュータで使用するための無線周波数トランシーバを実装することができる。WTRUは、カメラ、ビデオカメラモジュール、テレビ電話、スピーカホン、振動デバイス、スピーカ、マイクロホン、テレビトランシーバ、ハンズフリーヘッドセット、キーボード、Bluetooth(登録商標)モジュール、FM(周波数変調)無線ユニット、LCD(液晶ディスプレイ)ディスプレイユニット、OLED(有機発光ダイオード)ディスプレイユニット、デジタル音楽プレイヤ、メディアプレイヤ、ビデオゲーム機モジュール、インターネットブラウザ、および/または任意のWLAN(無線ローカルエリアネットワーク)もしくはUWB(超広帯域)モジュールなど、ハードウェアおよび/またはソフトウェアによって実装されるモジュールと組み合わせて使用することができる。
【0152】
実施形態
1.機械対機械(M2M)通信を実行するための方法。
【0153】
2.通信には、認証、プロビジョニング、または再プロビジョニングのうちの1つもしくは複数が含まれることを特徴とする上記の実施形態に記載の方法。
【0154】
3.M2M対応機器(M2ME)において、訪問先ネットワークオペレータの(VNOの)ネットワークに接続するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0155】
4.選択ホームオペレータの(SHOの)ネットワークに接続するための許可を受けるステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0156】
5.そのSHOのネットワークに接続するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0157】
6.VNOは、単一のネットワークエンティティであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0158】
7.VNOには、複数のネットワークエンティティが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0159】
8.VNOは、初期登録およびプロビジョニングのためにアクセスされる、任意のアクセスネットワークであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0160】
9.登録およびプロビジョニングには、USIM/ISIMアプリケーションの登録およびプロビジョニングが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0161】
10.M2MEが、VNOではないSHOに登録するステップと、
VNOがVNOのままであるステップと
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0162】
11.M2MEが、VNOであるSHOに登録するステップと、
VNOがSHOになるステップと
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0163】
12.VNOは、M2MEに一時的なネットワークアクセスを提供する役割を果たすことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0164】
13.一時的なネットワークアクセスは、一時的ネットワークアクセス資格証明に基づくことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0165】
14.一時的ネットワークアクセス資格証明には、PCIDまたは他の任意の一時的プライベートIDが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0166】
15.VNOは、発見および登録機能(DRF)へのオープンネットワークアクセスを提供するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0167】
16.少なくともDRFのサービスへのアクセスに関しては、資格証明または認証は不要であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0168】
17.VNOがSHOになる場合、VNOはDRFへのオープンネットワークアクセスを提供することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0169】
18.VNOは、プロビジョンしたUSIM/ISMアプリケーションを使用して完全なネットワークアクセスを提供するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0170】
19.完全なネットワークアクセスには、IMSが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0171】
20.ROは、ICF、DRF、ならびにダウンロードおよびプロビジョニング機能(DPF)のうちの1つまたは複数を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0172】
21.ICF、DRF、およびDPFは、個別のエンティティにそれぞれ位置することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0173】
22.ICFは、操作上のネットワークアクセスの登録およびプロビジョニングのために、通信ネットワークへの一時アクセスを許可する資格証明を検証する役割を果たすことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0174】
23.ICFが、一時的ネットワークアクセス資格証明を発行するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0175】
24.ICFが、M2MEに対して一時的プライベート識別子を発行するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0176】
25.一時的ネットワークアクセス資格証明または一時的プライベート識別子は、認証済み初期一時的ネットワークアクセスに使用されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0177】
26.ICFは、M2Mの鍵、構成、およびアプリケーションのうちの1つまたは複数でM2MEをプロビジョニングするステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0178】
27.プロビジョニングには、無線によるプロビジョニングが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0179】
28.M2MEを事前構成するために、ICFが機器サプライヤ(E/S)に資格証明を提供するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0180】
29.資格証明をM2MEに埋め込む役割を果たす組織に対し、それらの資格証明を安全に伝送するようにICFを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0181】
30.ICFが、資格証明をデータベースに登録するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0182】
31.ICFが、資格証明検証要求をサードパーティから受け取るステップと、
ICFが、資格証明の検証を実行するステップと
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0183】
32.資格証明の検証には、サードパーティに認証ベクトルを安全に伝送することが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0184】
33.認証ベクトルは、関連データを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0185】
34.M2MEをSHOに成功裏に登録する前、すべてのアクセスネットワークは訪問先ネットワークとみなされることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0186】
35.M2MEは、ネットワークを変更することなく、従来のネットワークを介してSHOにトランスペアレントに接続することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0187】
36.DRFは、特定のSHOを購入後に選択すること、およびその選択したSHOにM2MEを登録することを可能にすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0188】
37.DRFは、独立したサービスであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0189】
38.DRFは、SHOが運営することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0190】
39.SHOのROには、SHOの3GPPネットワークを介して接触することができることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0191】
40.SHOのROには、インターネットを介して接触することができることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0192】
41.SHOのROは、発見可能であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0193】
42.SHOのROは、M2ME内の機能を使用して発見可能であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0194】
43.DRFは、M2MEが届けられた後、顧客がSHOを選択できるようにすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0195】
44.DRFは、一時的に認証されたネットワークアクセスまたは限定されたオープンネットワークアクセスを使用し、M2MEがROにIP接続できるようにすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0196】
45.DRFは、VNOを介し、USIM/ISMアプリケーションのプロビジョニングを、M2MEが要求できるようにすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0197】
46.DRFが、プロビジョニング要求を承認するステップと、
M2MEをDPFがプロビジョンすることを許可するステップと
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0198】
47.DRFは、M2MEの所有者が、そのM2MEを登録することをサポートすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0199】
48.DRFは、M2MEとSHOとの関連付けをサポートすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0200】
49.M2MEの資格証明を使用して、TREの真正性を、PVAを介して検証するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0201】
50.DRFが、M2MEに伝送しようとするデータパッケージを生成するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0202】
51.DRFが、M2MEに伝送しようとするデータパッケージを取得するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0203】
52.DRFが、データを安全にPSに伝送するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0204】
53.DPFが、M2MEに伝送しようとするデータパッケージを生成するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0205】
54.DPFが、M2MEに伝送しようとするデータパッケージを取得するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0206】
55.DPFが、データを安全にPSに伝送するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0207】
56.DRFが、M2MEとDPFとの間のセキュリティアソシエーションの設定を容易にするステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0208】
57.DRFが、セキュリティトークンを生成し、安全なチャネル上でM2MEおよびDPFに伝送するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0209】
58.DPFは、M2MEにUSIM/ISM資格証明を遠隔プロビジョニングすることを可能にすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0210】
59.DPFが、M2MEをプロビジョンするための許可をDRFから受けるステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0211】
60.許可を受けるステップは、DPFが、M2MEと通信するためのセキュリティトークンを受け取るステップを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0212】
61.DPFが、アプリケーションパッケージをDRFから受け取るステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0213】
62.DPFが、記憶された規則からアプリケーションパッケージを生成するステップと、
DRFにダウンロードされている資格証明をDRFに知らせるステップと
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0214】
63.USIM/ISMアプリケーションまたはUSMI/ISIMパラメータを、M2MEにプロビジョニングすることをサポートするように、DPFを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0215】
64.M2MEにとってのUSIM/ISIMアプリケーションまたはUSIM/ISIMパラメータを将来更新するように、DPFを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0216】
65.新たなアプリケーションを将来プロビジョニングするように、DPFを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0217】
66.成功したまたは失敗したプロビジョニングイベントをDRFに知らせるように、DPFを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0218】
67.SHOは、M2MEのユーザと商業的関係を有するネットワークオペレータであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0219】
68.SHOは、顧客に課金する役割を担うことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0220】
69.SHOは、DRFの役割を果たすことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0221】
70.SHOは、DPFの役割を果たすことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0222】
71.SHOは、他の役割を果たすことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0223】
72.SHOは、DRFおよびDPFと運営上の関係を有することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0224】
73.DRFとDPFとは、互いに運営関係を有することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0225】
74.M2MEは、サービスプロバイダを用いて動作する権限を最初は与えられていないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0226】
75.M2MEは、VNOと通信し、ROへのチャネルを確立することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0227】
76.M2MEは、プライベート識別を有することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0228】
77.PCIDは、プライベート識別であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0229】
78.プライベート識別は、任意のVNOがM2MEを認識し、そのVNOのサービスへの一時アクセスを許可し、オペレータとのサービスをダウンロードしてプロビジョンするために、初期接続性メッセージを適切なネットワーク構成要素に宛てることを可能にすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0230】
79.PVAは、ダウンロードしたUSIM/ISIMアプリケーションを記憶し、実行するために使用する、M2ME内のセキュアデバイスの真正性を立証する資格証明に関与することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0231】
80.PVAには、資格証明を発行し、資格証明検証サービスを提供する1つまたは複数の商業組織が含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0232】
81.資格証明には、証明書および鍵の対が含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0233】
82.M2ME内のセキュアデバイスは、UICC、TRE、または他の何らかのセキュアモジュールのうちの1つもしくは複数であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0234】
83.PVAの機能は、USIM/ISIMアプリケーションをプロビジョニングするために、セキュアデバイスの厳密認証が必須である場合に必要であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0235】
84.M2ME内のセキュアデバイスのセキュリティを立証するための資格証明を作成し、発行するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0236】
85.M2ME内のセキュアデバイスのセキュリティを立証するための資格証明を作成し、発行するステップは、PVAによって実行されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0237】
86.M2ME内のセキュアデバイスの資格証明の検証を行うように、PVAを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0238】
87.発行された資格証明の有効性に関係するデータの保守を行うように、PVAを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0239】
88.機器サプライヤ(E/S)は、一時的な初期ネットワークアクセスのための認証用の資格証明を、ICFから安全に取得することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0240】
89.M2MEの再構成をサポートするようにE/Sを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0241】
90.再構成には、予備ネットワークアクセス資格証明を用いて、M2MEをプロビジョニングすることが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0242】
91.E/Sは、ICF160を介してDRF170に提供する際に使用するための、M2MEが1組の標準化されたセキュリティ要件に従う、資格証明を、PVA150から安全に得ることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0243】
92.M2MEを資格証明で構成するようにE/Sを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0244】
93.所望のDRFおよびSHOをM2MEの所有者が選択するための手段を提供するように、E/Sを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0245】
94.M2MEがアクセスネットワークに接続するとき、DRFおよびSHOの自動的選択が生じることが実現するようにE/Sを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0246】
95.M2MEは、送信機、受信機、プロセッサ、高信頼環境(TRE)、GPS(全地球測位システム)、SIM(加入者識別モジュール)、およびセキュアタイムユニットのうちの1つまたは複数を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0247】
96.多くの異なる信頼機構をサポートするようにM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0248】
97.TRE、SIM、またはISIMのうちの1つもしくは複数をサポートするようにM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0249】
98.共通AKAプロトコルに信頼機構を完全に統合することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0250】
99.共通AKAプロトコルは、TREが保護する信頼状態情報または鍵のうちの1つもしくは複数を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0251】
100.AKAプロトコルは、完全なAKAを行うことができる前かつ認証を確立した後の、M2MEとネットワーク要素との間の任意の通信を保護することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0252】
101.SIMは、拡張されて高信頼処理モジュール(TPM)またはモバイル高信頼モジュール(MTM)の機能を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0253】
102.TPMまたはMTMと密接に動作するようにSIMを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0254】
103.SIMの機能を実行するようにTREを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0255】
104.M2MEは、AKAルート秘密でプロビジョンされることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0256】
105.ルート秘密は、E/Sによってプロビジョンされることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0257】
106.ルート秘密は、USIMによって保護されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0258】
107.ルート秘密は、決して変わらないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0259】
108.AKAルート秘密からセッション鍵を取り出すようにプロセッサを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0260】
109.信頼状態情報をICFに提供するようにM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0261】
110.信頼状態情報は、M2MEがVNOにアタッチするときの予備認証に使用することができることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0262】
111.信頼状態情報は、セッション鍵を取り出すために使用することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0263】
112.nはセッション鍵CKnおよびIKnの最新の更新に関する指数を指し、CKn=f3K(RAND||PCR0n)、IKn=f4K(RAND||PCR0 n)が成立し、ただし、f3K()およびf4K()は、共有マスタ秘密Kによる、暗号鍵および完全性鍵それぞれのAKA鍵導出関数を指し、RANDは、AKAプロセスにおいてCATNAが生成し、M2ME110に送信され、したがってM2ME110が共有する、認証ベクトル(AV)内のランダムノンスであり、PCR0nは、M2ME110のMTME内のPCR0レジスタの最新値を指すことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0264】
113.PCR0レジスタの現在値は、M2MEの直近のブート後の信頼状態についての記述を示すことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0265】
114.CKnおよびIKnの値は、ブート間でPCR0の値が変わるときに変わることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0266】
115.ICFは、M2MEの信頼状態の変化を知ることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0267】
116.M2MEの信頼状態の変化には、PCR0の値の変化が含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0268】
117.ICFは、M2MEのOS、ファームウェア、またはアプリケーションの更新についてのスケジュールおよび内容を知らされることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0269】
118.ICFは、M2MEの信頼状態に影響を与える、M2MEの任意の変化を知らされることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0270】
119.M2MEとICFとの間で共有されるAKA暗号鍵および完全性鍵を更新し、M2MEの認証に関して有用にすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0271】
120.セッション鍵は、M2MEの最新の信頼状態値を反映することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0272】
121.セッション鍵は、AKA鍵導出プロセスのセキュリティを向上させることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0273】
122.TREは、M2ME内の論理的分離領域であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0274】
123.TREの論理的分離に対するハードウェアサポートがあることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0275】
124.TREは、リムーバブルモジュールであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0276】
125.TREは、固定型モジュールであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0277】
126.TREは、集積回路(IC)を用いて機能することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0278】
127.TREの機能は、複数のICにわたって分散されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0279】
128.TREは、外部への論理インターフェイスおよび物理インターフェイスを定義することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0280】
129.TREによってさらされるインターフェイスは、許可されたエンティティの制御下で使用できることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0281】
130.TREは、MID(複数の管理識別)のためのセキュア記憶域およびセキュア実行環境に信頼のルートを提供することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0282】
131.TREは、MIDのプロビジョニングおよび管理を提供することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0283】
132.MIDは、セキュアアプリケーションであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0284】
133.MIDには、加入管理機能、セキュアペイメントアプリケーション、加入管理識別、USIMアプリケーション、ISIMアプリケーション、仮想SIM(vSIM)、または動的セキュリティ識別解決策のうちの1つもしくは複数が含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0285】
134.TREは、任意の所要の暗号化鍵および他の資格証明とともに、セキュアな帯域外機能実装内にプロビジョンすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0286】
135.TREは、物理的攻撃および論理的攻撃からの保護を提供することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0287】
136.TREは、自らのセキュリティポリシを実施することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0288】
137.TREは、MIDの記憶および実行を可能にすることについて、十分にセキュアであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0289】
138.TREは、TRE外部の、M2MEの各部へのインターフェイスを備えることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0290】
139.TREは、埋め込まれた一意の識別を有することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0291】
140.TREの識別は、M2MEの識別に関連することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0292】
141.TREは、標準プロトコルを使用し、自らの識別を発行機関に対して安全に認証するように構成されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0293】
142.TREは、UICC内に実装することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0294】
143.TREは、M2MEが提供するハードウェア構成要素およびソフトウェア構成要素を使用する、M2ME上の統合的解決策として実装することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0295】
144.TREは、MIDのダウンロード、遠隔プロビジョニング、および管理をサポートすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0296】
145.TREは、管理識別実行ファイル(MIDE)の機能をサポートすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0297】
146.M2MEは、TREコードベースを構成するソフトウェアコードおよびデータの完全性検査をサポートすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0298】
147.TREは、M2MEの電源投入/ブート時に検査されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0299】
148.コード検査は、M2MEの動作使用の間に行うことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0300】
149.コード検査は、定義済みの間隔でまたは特定のトリガ時に、バックグラウンドプロセスとして行うことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0301】
150.コード検査は、M2MEの部分的検査または完全検査を範囲に含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0302】
151.TREは、複数の分離された信頼済みドメインに対するサポートを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0303】
152.各ドメインは、利害関係のある所有者が所有することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0304】
153.各ドメインは、他のドメインから分離されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0305】
154.各ドメインは、不正変更および不正アクセスから保護されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0306】
155.TREは、ドメイン間サービスを提供することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0307】
156.ドメイン間サービスには、認証機能および立証機能のうちの1つまたは複数が含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0308】
157.M2MEは、散発的にまたはたまにネットワークに接続することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0309】
158.M2MEは、休止状態で動作することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0310】
159.TREのソフトウェアコードの実行時完全性検査は、M2MEが休止状態で動作する間に行うように構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0311】
160.完全性検査は、他のM2MEプロセスまたはTREプロセスを妨げないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0312】
161.完全性検査の状態は、M2MEがSHOに接続するときに準備ができていることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0313】
162.M2MEには、M2MEにとって固有の一時的プライベート識別が割り当てられることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0314】
163.PCIDは、時限有効期間にわたって有効であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0315】
164.有効期間は、M2MEが実施することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0316】
165.有効期間は、TREが制御することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0317】
166.PCIDを除去するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0318】
167.PCIDは、複数のM2MEが使用できるが、同時には使用できないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0319】
168.PCIDを系統的に再割当することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0320】
169.複数のPCIDをM2MEにプロビジョンすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0321】
170.M2MEは、サイズNのグループでリリースされることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0322】
171.j番目のロットのM2MEは、M_i,jと称し、ただし、j=1,...,Mであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0323】
172.PCIDの割当は、サイズNxMの行列(P)_{i,j}を用いて初期化することができることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0324】
173.M2ME M_i,1は、製造中に列P_i,*がTREにロードされることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0325】
174.セキュアタイマまたは単調カウンタを初期化し、アクティブにし、TREの制御下に置くことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0326】
175.M2ME M_i,1は、初期化された時間またはカウンタに基づいて、確定した期間Tまたは所定回数にわたり、P_i,1を使用することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0327】
176.TREは、P_i,1を破棄し、P_i,2を使用することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0328】
177.デバイスが寿命サイクルのどこにあるのかを判断するように、ネットワークを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0329】
178.TREを用いてPCID列ベクトルを処理し、TREが時間制限を実施することは、PCIDの同時使用を防ぎ、M2MEが、その動作時間の間中有効なPCIDを有することを確実にすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0330】
179.PCIDを再プロビジョンするようにM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0331】
180.少なくとも2つのM2MEが、同じPCIDを同時に使おうとすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0332】
181.PCIDの数は、1つのロット内のM2MEの数よりもはるかに多いことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0333】
182.PCIDを、ランダムに選択することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0334】
183.複数のM2MEのクロックを同期することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0335】
184.M2MEのクロックを、複数のM2MEに再同期することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0336】
185.時間基準を保持/管理するようにTREを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0337】
186.信頼できる時間源との同期をサポートするようにTREを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0338】
187.TREは、M2ME内に位置する信頼できるタイムユニットに依拠することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0339】
188.M2MEは、自律型地理位置機器を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0340】
189.TREは、その地理測位機器に安全にアクセスできることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0341】
190.2つのM2MEが、同じアクセスネットワークセルに対して同時に無線接続を物理的に確立することはないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0342】
191.目的地理位置(D)および許容差範囲(R)でM2MEをプロビジョンすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0343】
192.DおよびRの値をTRE内に記憶することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0344】
193.TREしかそのデータにアクセスできないように、暗号を使用してDおよびRの値を保護することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0345】
194.TREが自らの現在の地理位置を求めるステップと、
その現在の地理位置を、Rの範囲内でDと比較するステップと、
ネットワークアクセスのためのPCIDをリリースするステップと
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0346】
195.アクセスネットワークは、PCID、セルIDの対の記録を保持することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0347】
196.M2MEによるネットワークへのアクセスは、所定の複数のセルにおいて認められることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0348】
197.複数のネットワークセル識別子でM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0349】
198.M2MEを、地理的に移動させることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0350】
199.M2MEを移動させるとき、ネットワークアクセスを無効にすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0351】
200.PCIDを使用することができる場所を示す複数の三つ組で、M2MEをプロビジョンすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0352】
201.三つ組は、PCID、D、およびRを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0353】
202.TREの現在の地理位置を求めるステップと、
その現在の地理位置を、複数の三つ組と比較するステップと、
その現在の地理位置に関連するPCIDをリリースするステップと
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0354】
203.複数の五つ組でM2MEをプロビジョンすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0355】
204.五つ組は、PCID、D、R、t1、およびt2を含み、t1は有効期間の開始時間を指定し、t2は有効期間の終了時間を指定することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0356】
205.五つ組は、M2MEの経路を示すことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0357】
206.所定時間においてM2MEがネットワークに接続できないことは、アラームをトリガすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0358】
207.五つ組は、再プロビジョンすることができることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0359】
208.五つ組は、PCID更新サービス(PUS)を使用して再プロビジョンすることができることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0360】
209.TREを識別するようにPUSを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0361】
210.ICFは、PUSを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0362】
211.PUSは、別個のネットワーク構成要素であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0363】
212.五つ組の再プロビジョニングは、1つまたは複数の五つ組への変更を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0364】
213.TREの識別は、TREを現在のネットワークIPアドレスに関連させることができるネットワークサーバに送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0365】
214.遠隔プロビジョニングをDPFに委ねることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0366】
215.PUSがM2MEおよびTREに接続するステップと、
PUSがTREの検証を要求するステップと、
PUSが、新たな複数の五つ組、および破棄すべき以前の五つ組のリストを送るステップと、
TREが、その新たな五つ組をインストールし、以前の五つ組を破棄するステップと
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0367】
216.PCIDに付加することができる擬似乱数を作成するように、TREを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0368】
217.擬似乱数を追跡し、見分けるようにアクセスネットワークを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0369】
218.通信エンティティは、M2ME、TRE、およびネットワークアクセスポイント(NAP)であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0370】
219.NAPは、VNOに関連するenodeBであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0371】
220.単一の初期ネットワーク接続で使用する乱数(RAND)を生成するようにTREを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0372】
221.TREが完全性保護方法を適用するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0373】
222.完全性保護方法は、RANDが第2のパラメータ、必要に応じて追加データ(D1)、およびPCIDに入る、鍵付きhas関数であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0374】
223.TREは、TRE→eNB:RAND||PCID||D1||M1:=MAC(PCID||D1,RAND)をeNBに送信し、
eNBは、MAC(メッセージ認証コード)を検証し、
eNBは、ペイロードデータD2、M1から返信パッケージを構築し、
eNBは、eNB→TRE:D2||M2:=MAC(PCID||D2,M1としてその返信パッケージをTREに送信すること
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0375】
224.後続のメッセージ交換は、任意の新たなメッセージ要素を含むデータ要素のMAC、および直前の交換のMACを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0376】
225.eNBおよびTREは、新たなMnを構築するための最終値Mn-1を使用して、通信中にメッセージを区別することができることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0377】
226.中間者型攻撃を回避することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0378】
227.通信当事者を認証するために、共有された秘密をメッセージに含めることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0379】
228.共有された秘密は、取り決められた秘密であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0380】
229.MAC値は、PCIDを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0381】
230.eNBは、PCIDを使用する、すべての同時にアクティブなネットワークアクセス試行(チャネルと)の状態を表す表を保持することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0382】
231.その表の1列目は、チャネルに属するPCIDの索引を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0383】
232.その索引は、すべてのチャネルにわたり現在アクティブなすべてのPCIDのリストの中の一項目を指し示すことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0384】
233.その索引は、PCIDの値であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0385】
234.eNBが、チャネル上でメッセージを受信するステップであって、TRE→eNB: D3||M3:=MAC(PCID||D3,M2)が成立する、ステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0386】
235.i−1からNにわたり、eNBはPCIDiをPLから選択するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0387】
236.最初のセルにPCIDの索引Iが含まれるすべての表の行に対し、eNBはM:=MAC(PCIDi||D3,M2)を計算するステップであって、M2はその行の2番目のセルから取る、計算するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0388】
237.成功状態に達し、検索手順は終了すること
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0389】
238.最後受信第3のメッセージに対応するチャネルの行番号を返すことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0390】
239.データ履歴にD3が追加され、選択された表の行のアクティブハッシュ値のセル内で、M3がM2に取って代わることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0391】
240.メッセージは、チャネルの索引Iを含んで後続メッセージの関連チャネルを見つけることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0392】
241.アクティブなPCIDをロックすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0393】
242.PCIDをアクティブに割当解除することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0394】
243.TREは、完全なネットワーク接続性を得るためにあるPCIDが使用されている場合、その使用済みPCIDを破棄することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0395】
244.有効期間が切れた後にPCIDを破棄することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0396】
245.要求に応答してPCIDを破棄することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0397】
246.破棄されたPCIDを、別のM2MEが使用することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0398】
247.デロケーションイベントを信号で伝えるため、TREからE/Sへの接続を確立することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0399】
248.E/Sは、割当解除されたPCIDのリストを保持することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0400】
249.割当解除プロセスの間、PCIDを平文で転送しないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0401】
250.検証を自律的に実行することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0402】
251.検証を半自律的に実行することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0403】
252.検証を遠隔的に実行することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0404】
253.自律的検証は、M2MEが自らをネットワークにアタッチできるようにする前に実行されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0405】
254.半自律的検証は、M2ME110の有効性を、外部ネットワークエンティティに依拠せずに評価することを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0406】
255.半自律的検証の結果を、遠隔エンティティに報告することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0407】
256.その結果は、TREの認証をM2MEに結合する根拠を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0408】
257.遠隔エンティティは、PVAであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0409】
258.M2MEと遠隔エンティティとの間の信号伝達は保護されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0410】
259.遠隔的検証は、外部ネットワークエンティティが、TREが生成した検証用の根拠、およびTREとM2MEとの間の結合の根拠を受け取った後、M2MEの有効性/完全性を直接評価することを含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0411】
260.外部ネットワークエンティティは、PVAであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0412】
261.M2MEと外部ネットワークエンティティとの間の通信は保護されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0413】
262.自律的検証が実行され、検証の直接的根拠は外部に提供されないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0414】
263.M2MEは検証に失敗し、そのM2MEがネットワークにアタッチし、または遠隔エンティティへの認証済み接続を得ることをTREが妨げることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0415】
264.TREが、自らがセキュア始動の定義済み状態に達しているかどうかを検査するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0416】
265.セキュア始動を必要とするM2MEの残りの定義済み部分が、セキュア始動の定義済み状態に達しているかどうかを検査するステップ
をさらに含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0417】
267.TREがさらなる検査を行うことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0418】
268.TREにとって外部にあるが、TREが完全性を保護する、M2ME内の測定構成要素がさらなる検査を行うことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0419】
269.TREは、要求された認証手順にM2MEが関与することを許可することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0420】
270.自律的検証は、必要とされる対外的通信の観点から最も経済的な方法であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0421】
271.自律的検証は、ネットワークアクセス中または連続的接続段階の間、任意の外部エンティティが、TREの完全性を独立に評価することを認めないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0422】
272.TREは、検証プロセスおよびその結果のログを記憶することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0423】
273.そのログは、監査記録を構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0424】
274.監査データは、安全な内部アーカイブに記憶することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0425】
275.安全な内部アーカイブは、TRE内にあることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0426】
276.安全な内部アーカイブは、TREが保護することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0427】
277.安全な内部アーカイブの不正変更を検出することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0428】
278.データの完全性保護を実現することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0429】
279.監査データは、自律的検証が引き起こされる特定の目的に結合されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0430】
280.そのデータは、検証の目的を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0431】
281.アクセスプロトコル内に確立される、共有された秘密または資格証明を監査データに添付し、TREは、その作成したデータにデジタル署名を施してそのデータの完全性を保護することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0432】
282.M2MEから独立したエンティティは監査データを周期的に要求して、前のネットワークアクセスイベントごとに、そのM2MEが信頼できるかどうかを確認することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0433】
283.そのデータを、ネットワークアクセス試行に関するネットワーク側プロトコルに再照合して不正変更を検出することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0434】
284.M2MEの残りの他の構成要素、構成、またはパラメータの完全性は、ロードされるとき、開始されるとき、または測定構成要素が利用できる他の任意の定義済み実行時時間イベント時に検査されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0435】
285.遠隔エンティティは、M2MEが半自律的検証テストを通過したことを間接的に知ることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0436】
286.ネットワークに対し、半自律的検証の成果について明確な信号伝達があることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0437】
287.その信号伝達は、暗号を使用して保護されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0438】
288.その信号伝達は、MIDをダウンロードするのに必要な、M2MEの認証より前に起こることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0439】
289.その信号伝達は、TREの認証と有効性検査に使用されるM2ME内の資源との間の結合の根拠を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0440】
290.根拠には、TREおよびM2MEの証明を確立するためのさらなる情報を提供する、M2MEからネットワークに送信されるトークンが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0441】
291.PVAまたはSHOは、検証を周期的に行うようにTREに要求することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0442】
292.セキュリティゲートウェイ(SeGW)が検証を要求することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0443】
293.その要求は、M2MEが登録された後に送信されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0444】
294.その要求は、SeGWがホームeNodeB(H(e)NB)を一番初めに認証した時点で送信されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0445】
295.その要求は、PVA、SHO、SeGWのうちの1つまたは複数から、保護された運用保守(OAM)メッセージとして周期的に送信されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0446】
296.周期的再検証の期間は、相対的に長いが、SHOが検証の新鮮さに関して安心できるようにするのに十分な短さのものであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0447】
297.TREは、その要求に基づいて検証手順を実行することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0448】
298.TREは、最後の成功裏の検証を示すタイムスタンプを生成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0449】
299.TREは、周期的検証の現在のラウンドが失効する前に、最後の検証が行われたことを示すメッセージを送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0450】
300.検証の成果に関する明確な信号伝達はないことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0451】
301.M2M1Eは、定義済みセキュア状態に向けて始動することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0452】
302.M2MEは、プラットフォームの有効性の根拠をTREが生成することを要求することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0453】
303.TREは、M2MEの残りから、プラットフォームの有効性の根拠を作成するために使用する材料を集めることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0454】
304.根拠には、セキュリティ上重要な実行可能コード、M2MEのオペレーティングシステムの資格証明、および機器idが含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0455】
305.TREは、M2MEの検証用の根拠を生成し、完全性および機密性を得るために、それを暗号を使用して保護することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0456】
306.M2MEは、その保護された根拠をPVAに転送することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0457】
307.PVAはその保護された根拠を受信し、その根拠を評価して、引き続き認証を実行し、MIDをダウンロードするのに、そのM2MEが十分信頼できるかどうかを判定することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0458】
308.M2MEの検証と認証との間の結合を実行することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0459】
309.その結合は、M2MEのセキュア状態を立証する、M2MEの証明書または資格証明を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0460】
310.その結合は、より安全な証明手段を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0461】
311.初期ネットワーク接続性の必須条件として、ICFがM2MEを認証することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0462】
312.MIDをダウンロードする前に、認証されたTREをM2MEが含むことを証明するために、DPFがM2MEを認証することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0463】
313.操作上のネットワークアクセスの前に、SHOがM2MEを認証することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0464】
314.ネットワークアクセス認証への有効性の結合は、自律的検証では暗示的であることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0465】
315.TREの識別についてのさらなる情報を提供するトークンを、初期アタッチメントメッセージ内で渡すことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0466】
316.M2MEへの、認証資格証明を保持するTREの論理的結合があることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0467】
317.認証の間、デバイスプラットフォームの完全性が検証されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0468】
318.M2MEへの、TREの物理的結合があることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0469】
319.TREの認証の間、デバイスプラットフォームの完全性が検証されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0470】
320.プラットフォーム資源の実際の検証は、M2MEに安全に埋め込まれたハードウェアセキュリティ構成要素の機能を使用することによって実行されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0471】
321.プラットフォーム資源の実際の検証は、TREの外側にあるが、TREがそのセキュリティ特性を保証し、TREに安全に接続することができるハードウェアセキュリティ構成要素を使用することによって実行されることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0472】
322.検証および認証を、共通プロトコルのセッション内で組み合わせることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0473】
323.IKEv2を、組み合わせられた検証/認証手順で使用することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0474】
324.ICF、DRF、およびDPFは、個別のエンティティであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0475】
325.ICF、DRF、およびDPFは、組み合わせられることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0476】
326.M2MEへのMIDのダウンロードおよびプロビジョニングは、M2MEが初期ネットワークアクセスのために3G VNOのネットワークにアクセスするときに生じることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0477】
327.VNOは、M2MEにエアインターフェイスを提供することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0478】
328.M2MEは、標準GSM/UMTS原理を使用してネットワーク情報を復号し、アタッチメッセージを使用してVNOのネットワークにアタッチすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0479】
329.アタッチメッセージは、仮のM2ME ID(PCID)を含むことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0480】
330.VNOは、標準UMTS AKA手順を使用してM2MEを認証することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0481】
331.VNOは、PCIDの内容および構造に基づいて、そのPCIDをIMSIとして認識することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0482】
332.M2MEおよびVNOは、共通認証アルゴリズムをサポートすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0483】
333.共通認証アルゴリズムは、Milenageであることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0484】
334.PCIDをM2MEのIDとして認識するVNOは、そのPCIDを正当な予備資格証明として承認するICFに接触することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0485】
335.ICFは、M2MEとのさらなる通信を保護するための1組の予備AVを発行し、保護されたIP接続性をM2MEに提供し始めることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0486】
336.M2MEとICFとが標準AKAプロセスを実行し、予備AKA鍵を作成してM2MEとの通信を保護することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0487】
337.ICFは、M2MEをDPFに転送することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0488】
338.ICFは、PCIDをDRFに送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0489】
339.DRFは、M2MEがSHOを探すのを助けることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0490】
340.DRFは、SHOに接続し、SHOのネットワークへの接続に関してM2MEを登録することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0491】
341.SHOは、TREの真正性および完全性を検証するようにPVAに要求することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0492】
342.PVAは、TREの真正性および完全性を検証することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0493】
343.PVAは、検証結果をSHOに送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0494】
344.SHOは、DPFに接触し、MIDをM2MEにプロビジョニングすることを許可することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0495】
345.DPFは、MIDをM2MEにダウンロードすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0496】
346.M2MEは、ダウンロード済みMIDをTRE内にプロビジョンし、そのプロビジョニングの状態をDPFに報告することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0497】
347.M2MEは、その状態メッセージを検証するためのトークンを送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0498】
348.そのトークンは、不正変更およびリプレイ攻撃に耐性があることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0499】
349.DPFは、プロビジョニングの状態をSHOに報告することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0500】
350.M2MEへのMIDのダウンロードおよびプロビジョニングは、M2MEが初期ネットワークアクセスのために3G VNOのネットワークにアクセスするときに生じることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0501】
351.ICFは、仮認証ベクトルをM2MEにリリースする前に、さらにIP接続性をM2MEに与える前に、TREを検証するよう、PVAに要求することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0502】
352.M2MEの所有者は、新たなSHOに接触してM2MEのパラメータを転送することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0503】
353.M2MEの所有者は、M2MEに接触して再プロビジョニングを開始することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0504】
354.新たなSHOは、M2MEを検証するように検証エンティティに要求することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0505】
355.検証エンティティはM2MEを検証し、結果を新たなSHOに送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0506】
356.新たなSHOは、新たなMIDをM2MEにダウンロードし、プロビジョンするよう、DPFに要求することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0507】
357.DPFは、新たなMIDパッケージをM2MEに安全にダウンロードすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0508】
358.M2MEは、以前のMIDを破棄したというメッセージを以前のSHOに送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0509】
359.以前のSHOは、M2MEにACKを送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0510】
360.M2MEは、そのACKをDPFおよび新たなSHOに転送することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0511】
361.M2MEは、DPFの助けで自らのシステムを更新し、MIDをインストールすることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0512】
362.M2MEは、状態をDPFに送信することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0513】
363.DPFは、その状態を新たなSHOに報告することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0514】
364.M2MEを初期状態に置き、初期プロビジョニング手順を実行することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0515】
365.PVAは、M2MEが依然として同じSHoに加入している間に実行される、任意のソフトウェアまたはファームウェア(SW/FW)の更新が、安全な方法で行われることを保証する役割を果たすことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0516】
366.PVAまたはDPFは、SW/FWの安全な無線または有線ダウンロードや、M2MEまたはTREの再プロビジョニングなどの手順を監督することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0517】
367.PVAまたはDPFは、OMA DMおよびOMA FOTAの手順を使用することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0518】
368.M2MEの信頼状態情報は、遠隔SW/FW更新または再構成が原因で変わることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0519】
369.M2MEまたはTREの、新たな検証可能ブートもしくは実行時信頼状態情報検査を開始し、その結果を得るようにPVAまたはDPFを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0520】
370.不正変更を検出するようにM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0521】
371.不正変更を検出することには、任意のサブシステムへの不正変更が含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0522】
372.不正変更の検出は、頻繁に行うことを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0523】
373.不正変更イベントには、マルウェアまたはウイルスが、OSを救済可能なおよび/または救済不可能な危険にさらすこと、バッファオーバフローイベント、無線もしくは上位層接続特性、および/または環境測定値の突然の予期せぬもしくは未承認の変化、M2MEの予備認証、登録、またはMIDプロビジョニング要求に対し、信頼できるネットワーク要素がアクセスまたはサービスの失敗および/もしくは拒否を過度に繰り返すこと、またはM2MEもしくは遠隔MID管理機能に関係するM2MEサブシステムの信頼状態の、ブート後または実行時読取り値の任意の予期せぬ/未承認の変化のうちの1つもしくは複数が含まれることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0524】
374.不正変更を検出するように他のネットワーク要素を構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0525】
375.M2MEは、不正変更を検出することに応答して、被害を抑えるための措置を講じることを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0526】
376.遠隔MID管理を無効にするようにM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0527】
378.指定されたネットワーク要素への、性質イベントの報告についてM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0528】
379.最近のソフトウェア更新、または疑わしいウイルスもしくはマルウェアコードもしくはデータの削除、隔離、アンインストールなどの救済アクションを実行するように、M2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0529】
380.遠隔MID管理機能に関係する、任意のあらかじめ指定された1組のデータを削除するように、M2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0530】
381.M2ME、またはM2MEの部分もしくはサブシステムの電源を切るようにM2MEを構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0531】
382.不正変更後の救済手段を実行するように、ネットワーク要素を構成することを特徴とする上記の実施形態のいずれか1つに記載の方法。
【0532】
383.上記の実施形態のいずれか1つの少なくとも一部を実行するように構成される、無線送受信ユニット(WTRU)。
【0533】
384.上記の実施形態のいずれか1つの少なくとも一部を実行するように構成される、機械対機械(M2M)機器。
【0534】
385.上記の実施形態のいずれか1つの少なくとも一部を実行するように構成される、ネットワークエンティティ。
【特許請求の範囲】
【請求項1】
機械対機械機器(M2ME)によって実施される機械対機械(M2M)通信の方法であって、
一時的プライベート識別子を含むネットワークアタッチ要求メッセージを、訪問先ネットワークオペレータ(VNO)に伝送するステップと、
セキュリティ鍵を含む、ネットワークアタッチ要求に対する応答を受信するステップと、
前記セキュリティ鍵を使用して、前記VNOを介して選択ホームネットワーク(SHO)へのIPリンクを確立するステップと、
検証成功/失敗メッセージを、前記VNOを介して検証エンティティに伝送するステップと、
検証成功メッセージに応答して、複数の管理可能識別(MID)を、前記VNOを介して前記SHOから受信するステップと
を含むことを特徴とする方法。
【請求項2】
前記一時的プライベート識別子は、仮接続識別(PCID)であることを特徴とする請求項1に記載の方法。
【請求項3】
前記検証成功/失敗メッセージを、前記VNOを介して前記PVAに周期的に再送するステップ
をさらに含むことを特徴とする請求項1に記載の方法。
【請求項4】
前記検証成功/失敗メッセージの内容は、前記M2ME内の高信頼環境(TRE)の検証手順に基づいて決定されることを特徴とする請求項1に記載の方法。
【請求項5】
前記検証手順は、前記M2ME内で自律的に実行されることを特徴とする請求項4に記載の方法。
【請求項6】
前記検証手順は、PVAからの支援で、前記M2MEによって半自律的によって実行されることを特徴とする請求項4に記載の方法。
【請求項7】
一時的プライベート識別子を含むネットワークアタッチ要求メッセージを、訪問先ネットワークオペレータ(VNO)に伝送するように構成される送信機と、
セキュリティ鍵を含む、ネットワークアタッチ要求に対する応答を受信するように構成される受信機と、
前記セキュリティ鍵を使用して、前記VNOを介して選択ホームネットワーク(SHO)へのIPリンクを確立するように構成されるプロセッサと
を備え、
前記送信機は、検証成功/失敗メッセージを、前記VNOを介して検証エンティティに伝送するようにさらに構成され、
前記受信機は、検証成功メッセージに応答して、複数の管理可能識別(MID)を、前記VNOを介して前記SHOから受信するようにさらに構成される
ことを特徴とする機械対機械機器(M2ME)。
【請求項8】
前記一時的プライベート識別子は、仮接続識別(PCID)であることを特徴とする請求項7に記載のM2ME。
【請求項9】
前記検証成功/失敗メッセージを、前記VNOを介して前記PVAに周期的に再送すること
をさらに含むことを特徴とする請求項7に記載のM2ME。
【請求項10】
高信頼環境(TRE)をさらに備え、前記検証成功/失敗メッセージの内容は、前記M2ME内の前記TREの検証手順に基づいて決定されることを特徴とする請求項7に記載のM2ME。
【請求項11】
前記検証手順は、前記M2ME内で自律的に実行されることを特徴とする請求項10に記載のM2ME。
【請求項12】
前記検証手順は、PVAからの支援で、前記M2MEによって半自律的によって実行されることを特徴とする請求項10に記載のM2ME。
【請求項13】
高信頼環境(TRE)を備える機械対機械機器(M2ME)の完全性を自律的に検証するための方法であって、
認証手順への関与要求を受信するステップと、
前記TREが定義済みのセキュア始動状態に達しているかどうかを判定するステップと、
前記M2MEの定義済み部分がセキュア始動を達成しているかどうかを判定するステップと、
要求された認証手順に関与するステップと
を含むことを特徴とする方法。
【請求項14】
認証手順に関与する要求を受信するように構成される受信機と、
前記TREが定義済みのセキュア始動状態に達しているかどうかを判定し、前記M2MEの定義済み部分がセキュア始動を達成しているかどうかを判定するように構成される高信頼環境(TRE)
と、
認証手順に関与する前記要求に対する応答を伝送するように構成される送信機と
を備えることを特徴とする機械対機械機器(M2ME)。
【請求項1】
機械対機械機器(M2ME)によって実施される機械対機械(M2M)通信の方法であって、
一時的プライベート識別子を含むネットワークアタッチ要求メッセージを、訪問先ネットワークオペレータ(VNO)に伝送するステップと、
セキュリティ鍵を含む、ネットワークアタッチ要求に対する応答を受信するステップと、
前記セキュリティ鍵を使用して、前記VNOを介して選択ホームネットワーク(SHO)へのIPリンクを確立するステップと、
検証成功/失敗メッセージを、前記VNOを介して検証エンティティに伝送するステップと、
検証成功メッセージに応答して、複数の管理可能識別(MID)を、前記VNOを介して前記SHOから受信するステップと
を含むことを特徴とする方法。
【請求項2】
前記一時的プライベート識別子は、仮接続識別(PCID)であることを特徴とする請求項1に記載の方法。
【請求項3】
前記検証成功/失敗メッセージを、前記VNOを介して前記PVAに周期的に再送するステップ
をさらに含むことを特徴とする請求項1に記載の方法。
【請求項4】
前記検証成功/失敗メッセージの内容は、前記M2ME内の高信頼環境(TRE)の検証手順に基づいて決定されることを特徴とする請求項1に記載の方法。
【請求項5】
前記検証手順は、前記M2ME内で自律的に実行されることを特徴とする請求項4に記載の方法。
【請求項6】
前記検証手順は、PVAからの支援で、前記M2MEによって半自律的によって実行されることを特徴とする請求項4に記載の方法。
【請求項7】
一時的プライベート識別子を含むネットワークアタッチ要求メッセージを、訪問先ネットワークオペレータ(VNO)に伝送するように構成される送信機と、
セキュリティ鍵を含む、ネットワークアタッチ要求に対する応答を受信するように構成される受信機と、
前記セキュリティ鍵を使用して、前記VNOを介して選択ホームネットワーク(SHO)へのIPリンクを確立するように構成されるプロセッサと
を備え、
前記送信機は、検証成功/失敗メッセージを、前記VNOを介して検証エンティティに伝送するようにさらに構成され、
前記受信機は、検証成功メッセージに応答して、複数の管理可能識別(MID)を、前記VNOを介して前記SHOから受信するようにさらに構成される
ことを特徴とする機械対機械機器(M2ME)。
【請求項8】
前記一時的プライベート識別子は、仮接続識別(PCID)であることを特徴とする請求項7に記載のM2ME。
【請求項9】
前記検証成功/失敗メッセージを、前記VNOを介して前記PVAに周期的に再送すること
をさらに含むことを特徴とする請求項7に記載のM2ME。
【請求項10】
高信頼環境(TRE)をさらに備え、前記検証成功/失敗メッセージの内容は、前記M2ME内の前記TREの検証手順に基づいて決定されることを特徴とする請求項7に記載のM2ME。
【請求項11】
前記検証手順は、前記M2ME内で自律的に実行されることを特徴とする請求項10に記載のM2ME。
【請求項12】
前記検証手順は、PVAからの支援で、前記M2MEによって半自律的によって実行されることを特徴とする請求項10に記載のM2ME。
【請求項13】
高信頼環境(TRE)を備える機械対機械機器(M2ME)の完全性を自律的に検証するための方法であって、
認証手順への関与要求を受信するステップと、
前記TREが定義済みのセキュア始動状態に達しているかどうかを判定するステップと、
前記M2MEの定義済み部分がセキュア始動を達成しているかどうかを判定するステップと、
要求された認証手順に関与するステップと
を含むことを特徴とする方法。
【請求項14】
認証手順に関与する要求を受信するように構成される受信機と、
前記TREが定義済みのセキュア始動状態に達しているかどうかを判定し、前記M2MEの定義済み部分がセキュア始動を達成しているかどうかを判定するように構成される高信頼環境(TRE)
と、
認証手順に関与する前記要求に対する応答を伝送するように構成される送信機と
を備えることを特徴とする機械対機械機器(M2ME)。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公表番号】特表2011−510571(P2011−510571A)
【公表日】平成23年3月31日(2011.3.31)
【国際特許分類】
【出願番号】特願2010−543313(P2010−543313)
【出願日】平成21年1月21日(2009.1.21)
【国際出願番号】PCT/US2009/031603
【国際公開番号】WO2009/092115
【国際公開日】平成21年7月23日(2009.7.23)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(510030995)インターデイジタル パテント ホールディングス インコーポレイテッド (229)
【Fターム(参考)】
【公表日】平成23年3月31日(2011.3.31)
【国際特許分類】
【出願日】平成21年1月21日(2009.1.21)
【国際出願番号】PCT/US2009/031603
【国際公開番号】WO2009/092115
【国際公開日】平成21年7月23日(2009.7.23)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(510030995)インターデイジタル パテント ホールディングス インコーポレイテッド (229)
【Fターム(参考)】
[ Back to top ]