電子的アクセスクライアントを配布及び記憶する装置及び方法
【課題】アクセス制御クライアントをネットワーク内で効率的に配布及び記憶するための装置及び方法を提供する。
【解決手段】一実施形態において、アクセスクライアントは、電子的加入者アイデンティティモジュール(eSIM)を含む。eSIMの独特さ及び保存を強制し、「ボトルネック」混雑を防止するようにネットワークトラフィックを配布し、そして合理的な災害復旧能力を提供するeSIM配布ネットワークインフラストラクチャーが説明される。1つの変形例において、eSIMは、eSIMの独特さ及び保存を保証する電子的ユニバーサル集積回路カード(eUICC)アプライアンスにセキュアに記憶される。eUICCアプライアンスへのアクセスは、複数のeSIMデポットを経てなされ、これは、ネットワーク負荷が分散されることを保証する。他のアクティビティの中でアーカイブ及びバックアップのための持続的記憶装置についても述べる。
【解決手段】一実施形態において、アクセスクライアントは、電子的加入者アイデンティティモジュール(eSIM)を含む。eSIMの独特さ及び保存を強制し、「ボトルネック」混雑を防止するようにネットワークトラフィックを配布し、そして合理的な災害復旧能力を提供するeSIM配布ネットワークインフラストラクチャーが説明される。1つの変形例において、eSIMは、eSIMの独特さ及び保存を保証する電子的ユニバーサル集積回路カード(eUICC)アプライアンスにセキュアに記憶される。eUICCアプライアンスへのアクセスは、複数のeSIMデポットを経てなされ、これは、ネットワーク負荷が分散されることを保証する。他のアクティビティの中でアーカイブ及びバックアップのための持続的記憶装置についても述べる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般的に、通信システムの分野に係り、より詳細には、バーチャルアクセス制御クライアントをネットワーク内で効率的に配布し記憶することに係る。
【0002】
優先権及び関連出願:本出願は、2011年4月27日に出願された“APPARATUS AND METHODS FOR DISTRIBUTING AND STORING ELECTRONIC ACCESS CLIENTS”と題する米国特許出願第13/095,716号の優先権を主張し、これは、2011年4月5日に出願された“APPARATUS AND METHODS FOR DISTRIBUTING AND STORING ELECTRONIC ACCESS CLIENTS”と題する米国プロビジョナル特許出願第61/472,115号の優先権を主張し、その各々は、参考としてここにそのまま援用される。
【0003】
又、本出願は、次の共通所有の、同時係争中の米国特許出願にも係る。2011年4月5日に出願された“APPARATUS AND METHODS FOR CONTROLLING DISTRIBUTION OF ELECTRONIC ACCESS CLIENTS”と題する米国特許出願第13/080,558号;2010年11月22日に出願された“WIRELESS NETWORK AUTHENTICATION APPARATUS AND METHODS”と題する第12/952,082号;2010年11月22日に出願された“APPARATUS AND METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK”と題する第12/952,089号;2010年12月28日に出願された“VERTUAL SUBSCRIBER IDENTITY MODULE DISTRIBUTION SYSTEM”と題する第12/980,232号;2009年1月13日に出願された“POSTPONED CARRIER CONFIGURATION”と題する第12/353,227号;並びに2011年4月5日に出願された“APPARATUS AND METHODS FOR STORING ELECTRONIC ACCESS CLIENTS”と題する米国プロビジョナル特許出願第61/472,109号(現在、2011年4月25日に出願された同じ名称の米国特許出願第13/093,722号);2010年10月28日に出願された“METHODS AND APPARATOUS FOR ACCESS CONTROL CLIENT ASSUSTED ROAMING”と題する第61/407,858号(現在、2011年5月17日に出願された同じ名称の米国特許出願第13/109,851号);2010年10月28日に出願された“MANAGEMENT SYSTEMS FOR MULTIPLE ACCESS CONTROL ENTITIES”と題する第61/407,861号(現在、2011年4月4日に出願された同じ名称の米国特許出願第13/079,614号);2010年10月28日に出願された“APPARATUS AND METHODS FOR DELIVERING ELECTRONIC IDENTIFICATION COMPONENTS OVER A WIRELESS NETWORK”と題する第61/407,862号(現在、2011年5月19日に出願された同じ名称の米国特許出願第13/111,801号);2010年10月28日に出願された“METHODS AND APPARATOUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS”と題する第61/407,866号(現在、2011年4月5日に出願された同じ名称の米国特許出願第13/080,521号);2010年10月29日に出願された“ACCESS DATA PROVISIONING SERVICE”と題する第61/408,504号(現在、2011年4月1日に出願された“ACCESS DATA PROVISIONING APPARATUS AND METHODS”と題する米国特許出願第13/078,811号);2010年11月3日に出願された“METHODS AND APPARATOUS FOR ACCESS DATA RECOVERY FROM A MALFUNCTIONING DEVICE”と題する第61/409,891号(現在、2011年11月2日に出願された同じ名称の米国特許出願第13/287,874号);2010年11月4日に出願された“SIMULACRUM OF PHYSICAL SECURITY DEVICE AND METHODS”と題する第61/410,298号(現在、2011年4月5日に出願された同じ名称の米国特許出願第13/080,533号);及び2010年11月12日に出願された“APPARATUS AND METHODS FOR RECORDATION OF DEVICE HISTORY ACROSS MULTIPLE SOHTWARE EMULATION”と題する第61/413,317号(現在、2011年11月11日に出願された同じ名称の米国特許出願第13/294,631号)。これら出願は、各々、参考としてここにそのまま援用する。
【背景技術】
【0004】
従来のほとんどのワイヤレス無線通信システムでは、セキュアな通信のためにアクセス制御が要求される。例えば、1つの簡単なアクセス制御スキームは、(i)通信当事者のアイデンティティを検証すること、及び(ii)検証されたアイデンティティにふさわしいアクセスレベルを許可すること、を含む。規範的なセルラーシステム(例えば、ユニバーサルモバイルテレコミュニケーションズシステム(UMTS))の環境内では、アクセス制御は、物理的ユニバーサル集積回路カード(UICC)で実行されるユニバーサル加入者アイデンティティモジュール(USIM)と称されるアクセス制御クライアントによって支配される。USIMアクセス制御クライアントは、UMTSセルラーネットワークへの加入者を認証する。認証に成功した後、加入者は、セルラーネットワークへのアクセスが許される。以下に使用する「アクセス制御クライアント」という語は、一般的に、ハードウェア又はソフトウェア内で実施されてネットワークへの第1装置のアクセスを制御するのに適した論理的エンティティを指す。アクセス制御クライアントの共通の例として、前記USIM、CDMA加入者識別モジュール(CSIM)、IPマルチメディアサービスアイデンティティモジュール(ISIM)、加入者アイデンティティモジュール(SIM)、除去可能なユーザアイデンティティモジュール(RUIM)、等が含まれる。
【0005】
慣習的に、USIM(又はより一般的には“SIM”)は、セキュアな初期化を確保するために適用データ及びプログラムを検証し及び解読する良く知られた認証及びキー合意(AKA)手順を遂行する。より詳細には、USIMは、(i)リモートチャレンジに首尾良く応答してそのアイデンティティをネットワークオペレータに証明し、そして(ii)ネットワークのアイデンティティを検証するためのチャレンジを発行しなければならない。
【0006】
慣習的なSIM解決策は、除去可能な集積回路カード(ICC)(“SIM”カードとも称される)内で実施されるが、本譲受人による初期の研究は、移動装置内で実行されるソフトウェアクライアント内のSIMオペレーションをバーチャル化することに向けられる。バーチャル化されたSIMオペレーションは、装置のサイズを減少し、装置の機能を高め、そしてより大きな融通性を与えることができる。
【0007】
不都合なことに、バーチャル化されたSIMオペレーションは、ネットワークオペレータ及び装置製造者に多数の新たなチャレンジも与える。例えば、慣習的なSIMカードは、製造されて、信頼性あるSIMベンダーによって保証される。これらの慣習的なSIMカードは、SIMカードに永久的に「焼き付けられた」ソフトウェアの単一のセキュアなバージョンを実行する。焼き付けられると、カードは、(SIMカードを破壊することなしに)改竄することはできない。これらカードの配布は、カードを配布センター、小売店及び/又は顧客に発送するための簡単なプロセスである。
【発明の概要】
【発明が解決しようとする課題】
【0008】
対照的に、バーチャル化されたSIMは、コピー、増殖、等が容易である。各SIMは、限定されたネットワークリソースへのアクセスの量についての契約を表わすが、バーチャル化されたSIMの不正使用は、ネットワークオペレーション及びユーザの経験に多大な影響を及ぼす。従って、バーチャル化されたSIMを配布するために新規な配布インフラストラクチャーが要求される。理想的には、そのような新規な配布インストラクチャーは、(i)SIM保存を強制し、(ii)過剰なネットワークトラフィック(「ボトルネック」とも称される)を防止し、そして(iii)合理的な災害復旧能力を与えるものでなければならない。
【課題を解決するための手段】
【0009】
本発明は、とりわけ、バーチャルアクセス制御クライアントをネットワーク内で効率的に配布するための装置及び方法を提供することにより前記要望に対処する。
【0010】
本発明の1つの態様において、アクセス制御クライアントを効率的に配布する方法が開示される。一実施形態において、この方法は、セキュアなレポジトリ内で1つ以上のアクセス制御クライアントを追跡し、ターゲット装置に対してアクセス制御クライアントを独特に暗号化し、暗号化されたアクセス制御クライアントを1つ以上の配布位置へ送信し、そしてセキュアなレポジトリからアクセス制御クライアントを除去することを含む。1つの変形例において、1つ以上の配布位置は、暗号化されたアクセス制御クライアントを変更するものではなく、そしてターゲット装置は、単一の配布位置のみから単一の暗号化されたアクセス制御クライアントのみをダウンロードするように構成される。
【0011】
本発明の別の態様において、アクセス制御クライアントを効率的に配布する方法が開示される。一実施形態において、この方法は、暗号化されたアクセス制御クライアントを1つ以上の配布位置に記憶し、その記憶された暗号化されたアクセス制御クライアントに対する要求に応答して、その暗号化されたアクセス制御クライアントを配信し、そしてその暗号化されたアクセス制御クライアントが1つ以上の配布位置のいずれかから首尾良く配信されるのに応答して、その記憶された暗号化されたアクセス制御クライアントをデアクチベートすることを含む。1つの変形例において、1つ以上の配布位置は、暗号化されたアクセス制御クライアントを変更するものではなく、そして暗号化されたアクセス制御クライアントは、独特なターゲット装置に対して構成される。
【0012】
暗号化されたアクセス制御クライアントは、非制御形態で配信され、各記憶された暗号化されたアクセス制御クライアントは、メタデータに関連付けられる。メタデータは、例えば、アクセス制御クライアント識別情報、アクセス制御クライアント発行者情報、アクセス制御クライアントアカウント情報、及び/又はアクセス制御クライアントステータス情報を含む。ある変形例において、特定のアクセス制御クライアントに関連したメタデータに対する要求に応答してメタデータが与えられる。
【0013】
本発明の更に別の態様において、アクセス制御クライアントを効率的に配布するためのアプライアンスが開示される。一実施形態において、このアプライアンスは、1つ以上のアクセス制御クライアントを追跡するように構成された署名アプライアンスと、ターゲット装置に対してeSIMを独特に暗号化するよう構成されたセキュリティモジュールと、プロセッサと、そのプロセッサとデータ通信する記憶装置とを備えている。記憶装置は、プロセッサにより実行されたときに、ターゲット装置からの追跡されるアクセス制御クライアントに対する要求に応答して、要求されたアクセス制御クライアントを独特に暗号化し、その暗号化されたアクセス制御クライアントを1つ以上の配布位置へ送信し、そして署名アプライアンスを更新する、ように構成されたコンピュータ実行可能なインストラクションを含む。1つの変形例において、1つ以上の配布位置は、暗号化されたアクセス制御クライアントを変更するものではなく、そしてターゲット装置は、単一の配布位置のみから単一の暗号化されたアクセス制御クライアントのみをダウンロードするように構成される。
【0014】
アプライアンスは、更に、1つ以上のローカル記憶された暗号化されたアクセス制御クライアントのためのセキュアな記憶装置を備えている。1つのそのような変形例において、1つ以上のローカル記憶されたアクセス制御クライアントは、アプライアンスについて独特に暗号化される。別のそのような変形例において、セキュリティモジュールは、アプライアンスについて独特に暗号化されたeSIMを解読するように更に構成される。
【0015】
別の実施形態では、1つ以上のアクセス制御クライアントは、電子的加入者アイデンティティモジュール(eSIM)を含み、そして1つ以上の配布位置は、eSIMデポットを含む。
【0016】
本発明の更に別の態様において、アクセス制御クライアントを効率的に配布するためのデポットが開示される。一実施形態において、このデポットは、ネットワークと通信するためのネットワークインターフェイスと、プロセッサと、該プロセッサとデータ通信する記憶装置とを備えている。記憶装置は、プロセッサにより実行されたときに、ターゲット装置について暗号化されたアクセス制御クライアントを記憶し、その記憶された暗号化されたアクセス制御クライアントに対する要求が要求者装置から受け取られるのに応答して、その暗号化されたアクセス制御クライアントを要求者装置配信し、そしてその暗号化されたアクセス制御クライアントがターゲット装置へ首尾良く配信されるのに応答して、その記憶された暗号化されたアクセス制御クライアントを削除する、ように構成されたコンピュータ実行可能なインストラクションを含む。
【0017】
別の実施形態では、記憶装置は、各アクセス制御クライアントに関連したメタデータを記憶するように構成される。1つのそのような変形例において、コンピュータ実行可能なインストラクションは、更に、特定のアクセス制御クライアントに関連したメタデータに対する要求に応答して、その要求されたメタデータを与えるように構成される。
【0018】
本発明の更に別の特徴、その性質及び種々の効果は、添付図面及び以下の詳細な説明から明らかとなろう。
【図面の簡単な説明】
【0019】
【図1】従来のUSIMを使用する1つの規範的な認証及びキー合意(AKA)手順をグラフ的に示す図である。
【図2】本発明によりネットワーク内でバーチャルアクセス制御クライアントを効率的に配布し記憶するための一般的な方法の一実施形態を示す論理フローチャートである。
【図3】本発明によりアクセス制御クライアントを配布し記憶するのに有用な1つの規範的なネットワークアーキテクチャーのブロック図である。
【図4】eSIMの1つの規範的なライフサイクルの梯子図で、その種々の観点を示す図である。
【図5】本発明によるアプライアンス装置の一実施形態を示すブロック図である。
【図6】本発明によるデポット装置の一実施形態を示すブロック図である。
【図7】本発明によるユーザ装置の一実施形態を示すブロック図である。
【図8】本発明による持続的記憶装置の一実施形態を示すブロック図である。
【発明を実施するための形態】
【0020】
全ての図は、著作権2011アップル社。全ての権利を所有。全体を通して同じ部分が同じ番号で示された添付図面を参照する。
【0021】
概略
本発明は、とりわけ、ネットワーク内でアクセス制御クライアントを効率的に配布しそして記憶するための方法及び装置を提供する。一実施形態において、eSIM独特さ及び保存を強制し、そして「ボトルネック」混雑を防止するようにネットワークトラフィックを配布する電子的加入者アイデンティティモジュール(eSIM)配布ネットワークインフラストラクチャーが説明される。更に、配布ネットワークの1つの開示される実施形態は、災害復旧能力を提供する。
【0022】
ここに詳細に述べるように、eSIM配布のためのインフラストラクチャーの規範的なネットワーク実施形態は、3つの論理的エンティティ、即ち多数のeUICCアプライアンス(又は「アプライアンスクラスター)、多数のeSIMデポット、及び持続的記憶装置を含む。各eUICCアプライアンスは、更に、署名アプライアンス、セキュリティモジュール、及びセキュアな記憶装置に分割される。1つの規範的な実施形態では、セキュアな記憶装置は、揮発性メモリ(ランダムアクセスメモリ(RAM)、スタティックRAM(SRAM)、ダイナミックRAM(DRAM)、等)より成る。
【0023】
eUICCアプライアンスは、ネットワークインフラストラクチャー内でeSIM独特さ及び保存を強制する。特に、署名アプライアンスは、1つ以上の配布されたeSIM、並びにそれに関連した発行されたチャレンジ及び/又は既知のステータスを追跡する。署名アプライアンスは、その署名アプライアンスが受信した又はその署名アプライアンスが送信するeSIMの暗号化及び解読を行うようにセキュリティモジュールに命令する。又、署名アプライアンスは、eUICCアプライアンスのセキュアな記憶装置内にeSIMをセキュアに記憶することができる。従って、本発明の1つの態様において、eUICCアプライアンスは、各eSIMが考慮されること(eUICCアプライアンスに記憶される間に)、及び各eSIMが行先装置に対して特に暗号化されて配信されることを保証する。
【0024】
eSIMデポットは、ネットワーク「ボトルネック」を防止するための配布チャンネルを与え、特に、複数のeSIMデポットが、行先eUICCへまだ配信されていないeSIMの同じ暗号コピーを保持することができる。例えば、eSIM、eUICC及びチャレンジの暗号結合体を、後で配信するためにeSIMデポットにキャッシュすることができる。装置は、任意のeSIMデポットからeSIMを検索することができ、たとえ1つのeSIMデポットが利用できなくても、装置は、別の任意のeSIMデポットからeSIMを検索することができる。装置は、それがeSIMを受信すると、eSIMを解読してアクチベートすることができる。
【0025】
本発明の1つの規範的な実施形態において、システムは、更に、装置が任意のeSIMデポットからコピーを一度しかインポートできないように構成され、他のeSIMデポットに記憶された他のコピーは、その後、除去され、削除され、又はインアクティブにされる。装置それ自体がこの制約を実施してもよいし、或いはeSIMデポットが、例えば、内部同期通信を経て同期通信を維持してもよい。
【0026】
更に、種々の装置は、ある実施形態において、それらのコンテンツを持続的記憶装置に対して周期的にバックアップすることができる。持続的記憶装置は、装置に特有のキーで暗号化されたバックアップデータを記憶する。災害の場合には、持続的記憶装置は、適当なキーが与えられたときに、そのバックアップデータを与えることができる。1つの規範的な実施形態において、持続的記憶装置は、不揮発性メモリ(フラッシュ、ハードディスクドライブ(HDD)、等)より成る。
【0027】
効率的配布のための多数の他のスキーム及び実施形態についても以下に詳細に述べる。
【0028】
規範的実施形態の詳細な説明
本発明の規範的実施形態及び態様を以下に詳細に説明する。これらの実施形態及び態様は、主として、GSM、GPRS/EDGE又はUMTSセルラーネットワークの加入者アイデンティティモジュール(SIM)に関連して説明するが、当業者であれば、本発明は、これに限定されないことが明らかであろう。実際に、本発明の種々の態様は、アクセス制御クライアントを記憶して装置へ配布することから利益が得られるネットワークであれば、(セルラーであろうと、非セルラーワイヤレスであろうと、他のものであろうと)いずれにおいても有用である。
【0029】
又、「加入者アイデンティティモジュール」という語がここで使用されるが(例えば、eSIM)、この語は、必ずしも次のことを意味し又は要求するものではないことも認識されたい。(i)加入者それ自体による使用(即ち、本発明は、加入者により実施されてもよいし非加入者によって実施されてもよい);(ii)1人の個人のアイデンティティ(即ち、本発明は、家族のような個人のグループ、或いは企業のような無形又は架空のエンティティに代わって実施されてもよい);或いは(iii)任意の有形「モジュール」装置又はハードウェア。
【0030】
従来の加入者アイデンティティモジュール(SIM)オペレーション
規範的な従来のUMTSセルラーネットワークの環境の中で、ユーザ装置(UE)は、移動装置と、ユニバーサル加入者アイデンティティモジュール(USIM)とを備えている。USIMは、物理的ユニバーサル集積回路カード(UICC)から記憶されて実行される論理的ソフトウェアエンティティである。加入者情報や、ワイヤレスネットワークサービスを得るためにネットワークオペレータとの認証に使用されるキー及びアルゴリズムのような種々の情報がUSIMに記憶される。USIMソフトウェアは、Java CardTMプログラミング言語に基づく。Java Cardは、(前記UICCのような)埋め込まれた「カード」形式の装置に対して変更されたJavaTMプログラミング言語のサブセットである。
【0031】
一般的に、UICCは、加入者配布の前にUSIMでプログラムされ、前プログラミング又は「個人化」は、各ネットワークオペレータに特有のものである。例えば、配備の前に、USIMは、国際移動加入者アイデンティティ(IMSI)、独特の集積回路カード識別子(ICC−ID)、及び特定認証キー(K)に関連付けられる。ネットワークオペレータは、ネットワークの認証センター(AuC)内に収容されたレジストリに関連性を記憶する。個人化の後に、UICCを加入者へ配布することができる。
【0032】
図1を参照して、上述した従来のUSIMを使用する1つの規範的な認証及びキー合意(AKA)手順を詳細に説明する。通常の認証手順の間に、UEは、国際移動加入者アイデンティティ(IMSI)をUSIMから取得する。UEは、ネットワークオペレータのサービングネットワーク(SN)又は訪問先コアネットワークにIMSIを通す。SNは、ホームネットワーク(HN)のAuCに認証要求を転送する。HNは、受け取ったIMSIをAuCのレジストリと比較し、適切なKを得る。HNは、ランダム数(RAND)を発生し、そして予想応答(XRES)を生成するためのアルゴリズムを使用してそれにKで署名する。HNは、更に、種々のアルゴリズムを使用して、暗号及び完全性保護に使用するための暗号キー(CK)及び完全性キー(IK)並びに認証トークン(AUTN)を発生する。HNは、RAND、XRES、CK及びAUTNより成る認証ベクトルをSNへ送る。SNは、一回限りの認証プロセスに使用するためにのみ認証ベクトルを記憶する。SNは、RAND及びAUTNをUEに通す。
【0033】
UEがRAND及びAUTNを受け取ると、USIMは、受け取ったAUTNが有効であるかどうか検証する。もし有効であれば、UEは、記憶されたKと、XRESを発生した同じアルゴリズムとを使用することで、その受け取ったRANDを使用して、それ自身の応答(RES)を計算する。UEは、RESをSNへ返送する。SNは、XRESを受け取ったRESと比較し、それらが一致すれば、SNは、UEがオペレータのワイヤレスネットワークサービスを利用するのを許可する。
【0034】
図1の以上の手順は、SIMカードの物理的媒体内で実施される。従来のSIMカードは、少なくとも2つの個別の望ましい特性を有する。即ち、(i)SIMカードは、SIMデータ(例えば、アカウント情報、暗号キー、等)を暗号によりセキュアに記憶すること、及び(ii)SIMカードは、容易にクローン化できないこと。
【0035】
従来のSIMカードは、ユニバーサル集積回路カード(UICC)に形成されたプロセッサ及びメモリを含む。SIMカードは、UICC上のデータ信号が外部から探査されるのを防止するためにエポキシ樹脂が充填される。UICCには、必要に応じて、他の改竄防止構造が含まれてもよい(例えば、シールド層、マスキング層、等)。SIMカードは、プロセッサへのセキュアなインターフェイスを有し、そしてプロセッサは、メモリへの内部インターフェイスを有する。UICCは、プロセッサがメモリコンポーネントからのコードを実行できるようにする電力を外部装置から受け取る。メモリコンポーネントそれ自体は、直接アクセスできるものではなく(即ち、内部ファイルシステムは、ユーザから隠されており)、そしてプロセッサを経てアクセスされねばならない。
【0036】
通常の動作中、プロセッサは、限定された数のコマンドを受け容れる。各コマンドは、条件に応じてアクセスできるに過ぎない。無断アクセスを防止するためにコマンドの実行に対してアクセス条件が制約される。アクセス条件は、ハイアラーキーであってもなくてもよく、例えば、あるレベルについての許可が自動的に別のレベルについての許可を与えることにならない。例えば、アクセス条件の1つのセットは、(i)常にアクセス可能、(ii)決してアクセスできない、(iii)第1のアカウントにアクセス可能、(iv)第2のアカウントにアクセス可能、等を含む。条件付きアクセスは、適切なセキュリティプロトコルが首尾良く完了した後にのみ許可される。アイデンティティを検証するための通常の方法は、パスワード又は個人識別番号(PIN)、共有シークレットのチャレンジ、等を含む。
【0037】
条件付きアクセス、限定コマンドセット、及び保護メモリスペースは、SIMカード内に記憶された情報が外部アクセスからセキュアなものとなるよう保証する。SIMカードのクローン化は、物理的カードの構造、並びに内部ファイルシステム及びデータの構造を必然的に伴う。これらの特徴を組み合わせることで、物理的なSIMカードを、実際的な偽造の試みに影響されないようにする。
【0038】
方法
簡単に述べると、ここで使用する「保存(conservation)」「保存する(conserve)」及び「保存された(conserved)」という語は、これに限定されないが、僅かに増殖も減少もできない要素(物理的又は仮想的)を指す。例えば、保存されたeSIMは、通常の動作中にコピーも複写もできない。
【0039】
又、ここで使用する、要素(物理的又は仮想的)に適用される「独特な」という語は、これに限定されないが、要素が、特定の特性及び/又は特徴を有する1つのそして唯一の要素であるという特性を指す。例えば、独特なeSIMは、複写のeSIMをもつことができない。
【0040】
又、ここで使用する「セキュリティ」という語は、一般的に、これに限定されないが、データ及び/又はソフトウェアの保護を指す。例えば、アクセス制御データセキュリティは、アクセス制御クライアントに関連したデータ及び/又はソフトウェアが、不許可のアクティビティ及び/又は敵意のある第三者による窃盗、悪用、破壊、公表、及び/又は改竄から保護されることを保証する。
【0041】
一般的に、ソフトウェアは、ハードウェアよりも柔軟であり、例えば、ソフトウェアは、コピー、変更及び配布が容易であることが明らかである。更に、ソフトウェアは、しばしば、同等のハードウェアより安価に、より高い電力効率で、且つ物理的に小さくすることができる。従って、従来のSIMオペレーションは、カード(UICC)のような物理的なフォームファクタを使用するが、現在の研究領域は、ソフトウェア内でSIMオペレーションをバーチャル化することに焦点が当てられる。
【0042】
しかしながら、SIMデータ(例えば、加入者特有の情報、等)は、性質が繊細であるために、特殊な考慮を必要とする。例えば、SIMデータの種々の部分は、加入者にとって独特であり、敵意のある第三者から入念に保護されねばならない。
【0043】
更に、各SIMは、限定されたネットワークリソースへのアクセスの量についての契約を表わし、従って、ネットワークリソースの過剰及び/又は過小利用、並びにサービスプロバイダーの料金又は収入の肩代わりを防止するために、SIMカードの複写、破壊、及び/又は再利用を管理しなければならない。
【0044】
SIMオペレーションの初期の解決策は、例えば、以下、電子的ユニバーサル集積回路カード(eUICC)と称されるソフトウェアアプリケーションのようなバーチャル又は電子的エンティティとしてUICCをエミュレートするものである。eUICCは、以下電子的加入者アイデンティティモジュール(eSIM)と称される1つ以上のSIM要素を記憶及び管理することができる。従って、eUICCへのeSIM配布及びオペレーションの種々の要求を特に取り扱うようにされた新たなネットワークインフラストラクチャーが要求される。特に、そのような解決策は、理想的には、(i)バーチャル化されたeSIMの保存の強制、(ii)配布オペレーション、及び(iii)災害復旧、のための能力をもたねばならない。
【0045】
図2を参照し、ネットワーク内でバーチャルアクセス制御クライアントを効率的に配布する一般的な方法200を開示する。
【0046】
方法200のステップ202において、1つ以上のアクセス制御クライアント(例えば、eSIM)がセキュアなレポジトリ内に記憶され、追跡される。一実施形態では、セキュアなレポジトリは、1つ以上の追跡データベース、この追跡データベースから導出された情報に少なくとも一部分基づいてアクセス制御クライアントを暗号化し解読するためのセキュリティモジュール、及びアクセス制御クライアントのためのセキュアな記憶装置を備えている。
【0047】
追跡データベースは、アクセス制御クライアントの配布及びアクセス制御クライアントのトランザクションデータを表わす情報を含む。この実施形態の1つの規範的な具現化では、トランザクションデータは、配備されたeSIMのリスト、発行されたチャレンジ、及び/又は使用される独特の識別子、等を含む。参考としてここにそのまま援用する2011年4月5日に出願された“APPARATUS AND METHODS FOR STORING ELECTRONIC ACCESS CLIENTS”と題する米国プロビジョナル特許出願第61/472,109号に詳細に述べられた1つの変形例では、転送装置間のセキュアなプロトコルは、配布されるeSIMポピュレーションの各eSIMが信頼性ある装置間のみで転送されることを保証する。或いは又、セキュアなプロトコルは、暗号化されたeSIMのみが、信頼性のない装置へ配布されることを保証する。ある変形例では、信頼性あるプロトコルは、チャレンジ/応答プロトコルをベースとする。別の変形例では、信頼性あるプロトコルは、相互に信頼性のある第三者により署名されたデジタルセキュリティ証明書の交換をベースとする。
【0048】
1つの規範的な実施形態では、セキュアなレポジトリは、標準的な信頼関係に合致する装置間のみでアクセス制御クライアントが転送されることを保証する。信頼関係は、更に、第1装置がアクセス制御クライアントを首尾良く転送するときに、第1装置がそのコピーを削除し、デアクチベートし、さもなければ、使用不能にすることを指定する。このように、アクセス制御クライアントは、転送全体にわたり独特さ及び保存状態を保つことができる。
【0049】
種々の実施形態において、追跡データベースは、更に、例えば、次のものを含むアクセス制御クライアントクオリティを追跡する。(i)顧客に配布されたアクセス制御クライアント;(ii)配布されていない(アクチベーションを待機している)アクセス制御クライアント;(iii)アクチベートされたアクセス制御クライアント;(iv)デアクチベートされたアクセス制御クライアント;(v)アクチベーションを待機しているアクセス制御クライアント;(vi)装置に指定されたアクセス制御クライアント;(vii)アカウントに指定されたアクセス制御クライアント;及び(viii)指定に利用できるアクセス制御クライアント。同様に、追跡データベースは、例えば、次のようなステートを追跡する。(i)現在ステート;(ii)予想されるステート;(iii)以前のステート;(iv)最後に知られたステート;及び(v)初期ステート。ステート変数の共通例は、カウンタ値、暗号値、チャレンジ変数、応答変数、等を含むが、これに限定されない。
【0050】
例えば、1つの規範的なチャレンジ応答スキームにおいて、チャレンジ変数は、応答ベクトルを発生するように操作され、変換され及び/又は計算される入力暗号ベクトルである。操作、変換、及び/又は計算は、装置のアクセス制御クライアントにより保護されるシークレットである。他の例において、カウンタベースの独特の識別子は、独特のカウンタ値を、装置のアクセス制御クライアントにより保護されるシークレットとして使用する。共通の他の形式のステートは、大きな擬似ステートマシン、例えば、リニアフィードバックシフトレジスタ(LFSR)ベースのステートマシン又は他のそのようなメカニズムに基づく。
【0051】
セキュリティモジュールは、一実施形態では、追跡データベースからのインストラクションに少なくとも一部分基づいてアクセス制御クライアントを暗号化又は解読するように構成される。特に、セキュリティモジュールは、望まし行先装置に配信するためにアクセス制御クライアントを暗号化するように構成される。実際に、1つの規範的な実施形態では、転送される全てのeSIMを暗号化しなければならない(即ち、eSIMは、非暗号形態ではいずれの装置にも転送できない)。同様に、セキュリティモジュールは、ユーザ装置から受け取ったアクセス制御クライアントを解読するように構成される。ここに援用される2010年10月28日に出願された“METHODS AND APPARATOUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS”と題する米国プロビジョナル特許出願第61/407,866号に説明された1つの変形例では、「現場」にあるユーザ装置に更新及び/又はeSIMを与えるのに使用できる独特の装置キー及び裏書き証明書が各装置に与えられる。ユーザ装置は、装置キーと共に配信された暗号化されたeSIMを信頼することができ、そしてセキュリティモジュールは、装置キーで暗号化された情報を信頼することができる。
【0052】
同様に、ある実施形態では、セキュリティモジュールは、更に、SIMアプリケーション実行のためにeSIMを解読するように構成される。例えば、1つのシナリオでは、ユーザ装置は、使用のためにeSIMを解読することができる。eSIMアプリケーションは、一般的に、上述したUSIM、CSIM、ISIM、SIM、RUIM、等のアクセス制御クライアントを包含する。各eSIMは、ユーザアカウントに関連付けられ、従って、“eSIM”は、複数のアクセス制御クライアントを広く包含する(例えば、ユーザは、同じeSIMアカウントに関連したUSIM及びSIMを有する)ことが更に理解されよう。
【0053】
更に別のシナリオでは、セキュリティモジュールは、eSIMをそれ自体で暗号化することができる。例えば、セキュリティモジュールは、eSIMをそれ自体で暗号化し、そして暗号化されたeSIMを、後で使用するために持続的記憶装置に記憶することができる。
【0054】
ある実施形態では、セキュリティモジュール暗号スキームは、非対称的キー対をベースとするか、或いは又、セキュリティモジュール暗号スキームは、対称的使用してもよい。簡単に述べると、パブリック/プライベートキー対は、機密のプライベートキー及び公表可能なパブリックキーをベースとする。パブリック/プライベートキースキームは、暗号及び解読に使用されるキーが異なるので、「非対称的」と考えられ、従って、暗号者及び解読者は同じキーを共有しない。それに対し、「対称的」キースキームは、暗号及び解読の両方に対して同じキー(又は若干変えたキー)を使用する。Rivest、Shamir及びAdleman(RSA)アルゴリズムは、関連分野で通常使用されるパブリック/プライベートキー対暗号技術の1つの形式であるが、本発明は、このRSAアルゴリズム(又はそのことでは、非対称的又は対称的キー対)に何ら限定されるものではないことを認識されたい。
【0055】
パブリック/プライベート暗号スキームは、メッセージを暗号化し、及び/又は署名を発生するのに使用できる。特に、メッセージは、プライベートキーで暗号化され、そしてパブリックキーで解読され、これにより、メッセージが通過中に変更されていないことを保証する。同様に、署名を発生するエンティティが正当であると仮定すれば、プライベートキーで発生された署名は、パブリックキーで検証することができる。両使用において、プライベートキーは、隠れたままとなり、そしてパブロックキーは、自由に配布される。
【0056】
1つの規範的な実施形態において、セキュアな記憶装置は、アクセス制御クライアントデータ及びファイルを記憶するように構成された揮発性のコンピュータ読み取り可能な媒体である。セキュアな記憶装置は、追跡データベース及びセキュリティモジュールの両方に結合される暗号化されたアクセス制御クライアントを含む共有メモリである。共有メモリのアクセス実施は、追跡データベース及びセキュリティモジュールの両方がコヒレントなデータベースに対して動作できるようにする(例えば、異なるメモリプール間でデータを同期させる必要はない)。揮発性メモリは、メモリコンテンツを保持するための電力を要求し、これは、揮発性メモリを除去すると、メモリが消去されるので、ある実施については望ましい(セキュリティを更に改善する)。又、揮発性メモリは、一般的に、同等の不揮発性メモリより高速である。
【0057】
本発明のある実施形態では、セキュアな記憶装置は、アクセス制御クライアントの同じプールへの複数の装置のアクセスを可能にする。セキュアな記憶装置は、追跡データベースとセキュリティモジュールとの間に物理的に結合されなくてもよく、ネットワークを経てアクセスすることができる。分散型ファシリティ構成では、セキュアな記憶装置は、論理的に共有されなくてもよい。例えば、リモートデータベースは、アクセス制御クライアントのデータ及びファイルの各部分をローカルキャッシュし、そして全ての装置が合意することを保証するために互いに周期的に同期をとる。
【0058】
又、セキュアな記憶装置は、物理的及び/又は論理的に保護される。例えば、セキュアな記憶装置は、ハードウェアセキュリティモジュール(HSM)内に保護され、このHSMは、強制的にオープン/アクセスされた場合にそれ自身を破壊するように構成される。より一般的には、追跡データベース、セキュリティモジュール、及びセキュアな記憶装置は、典型的に、信頼性ある境界内に保護される。信頼性境界の通常の実施は、物理的境界(例えば、物理的分離、等)及び/又は論理的境界(例えば、暗号化通信、等)の両方を含む。更に、前記論理的エンティティ(追跡データベース、セキュリティモジュール及びセキュアな記憶装置)は、主として、コヒレントな又は一体的なエンティティとして説明されるが、ほとんどのネットワークインフラストラクチャーでは、これらの論理的エンティティは、タンデムに動作する複数の個別装置(地理的にも個別)より成ることが明らかであろう。
【0059】
例えば、一実施形態において、追跡データベースは、追跡データベースソフトウェアを実行しそして互いに通信してデータ同期を維持する複数の個別のデータベース装置のコミュニティである。同様に、論理的セキュリティモジュールは、複数の個別のセキュリティモジュールより成り、1つのそのような変形例では、セキュリティモジュールは、追跡データベースによって完全に指令され、互いに同期をとらない。
【0060】
再び、図2を参照すれば、ステップ204において、1つ以上のアクセス制御クライアントがセキュアなレポジトリから1つ以上の配布位置へ送信される。1つの規範的な実施形態では、配布位置は、各行先へ配布するために暗号化されたアクセス制御クライアントを記憶するように構成されたアクセス制御クライアントデポットである。アクセス制御クライアントは、暗号化され、行先装置以外の装置では使用できないので、暗号化されたアクセス制御クライアントのコピーを複数のデポットにロードすることができる。
【0061】
1つの規範的な具現化では、暗号化されたアクセス制御クライアントは、そのアクセス制御クライアントを非制御状態で配信できるように記憶される(即ち、各デポットは、そのトランザクションを他のデポットと同期させるか又はネットワーク集中エンティティに通知する必要がない)。各コピーは、行先装置に対して暗号化され、ここで、行先装置は、信頼性ある装置である。1つのそのような実施形態では、行先装置は、暗号化されたアクセス制御クライアントを一回だけダウンロードするように構成される。アクセス制御クライアントがダウンロードされると、アクセス制御クライアントの他のコピーは、「古く」なり、その後、除去し、削除し、又はインアクティブとすることができる。敵意のある第三者は、アクセス制御クライアントを解読することもできないし、暗号化されたコピー(古くなった、等)をアクチベートすることもできない。
【0062】
セキュアなレポジトリは、アクセス制御クライアントを1つ以上の配布位置に大量に与えてもよい。例えば、SIMベンダーは、非常に多数のeSIMを大きなロットで(例えば、一度に数千のeSIM)与えることができる。或いは又、セキュアなレポジトリは、一度に1つのeSIMを与えてもよく、例えば、ある実施形態では、ユーザは、それらの未使用のeSIMをeSIMデポット内に一時的に(例えば、別の装置へ転送するため)又は長期保管で「パーキング」させることができる。
【0063】
本発明の種々の実施形態は、更に、配布位置内に記憶された各アクセス制御クライアントに関連したメタデータの追加も含む。メタデータは、セキュアに記憶されるが、在庫管理を容易にするために配布装置によりアクセスすることができる。例えば、eSIMデポットは、(eSIM又は行先装置に特有のキーではなく)それ自身のキーでメタデータを暗号化し、eSIMデポットが、暗号化されたeSIMを適切に識別できるようにする。メタデータの通常の例は、識別情報、発行者情報、ネットワーク情報、アカウント情報、ステータス情報、等を含むが、これに限定されない。
【0064】
ある実施形態では、メタデータは、更に、外部エンティティによって問合せ及び/又はアクセスされる。例えば、eUICCアプライアンスは、eSIMデポットのメタデータを周期的にチェック又は更新する必要がある(例えば、在庫を決定したり、古い情報を識別したり、等々のために)。別のそのような例では、移動装置のユーザは、特定のeSIMデポットに位置するパーキングeSIM、等に関する情報を要求することができる。
【0065】
ステップ206において、要求されたアクセス制御クライアントは、配布位置の少なくとも1つから行先装置へ配布される。配布モデルの柔軟性のために、当業者であれば、本開示が与えられたときに、多数の異なるスキームが想像され認識されるであろう。本発明の種々の態様に基づき動作するのに適した広範な種々のスキームを表わす多数のeSIM配布スキームについて以下に述べる。
【0066】
「プル」及び「プッシュ」eSIM配信
「プル」eSIM配信では、eSIMデポットは、ユーザ装置から発生する初期要求に応答してeSIMを配信する。プル配信は、最も簡単な配信スキームであり、ユーザは、ユーザの希望で多数のeSIMデポットのいずれからもeSIMを要求できる。
【0067】
対照的に、「プッシュ」eSIM配信では、eSIMデポットは、ユーザ装置へのeSIM(又はその通知)の配信を開始する。プッシュ配信は、eSIMの複数の冗長コピーを単一の装置へプッシュするのを防止するためにeSIMデポット間にある程度の整合が要求されるので、より複雑な配信スキームである。
【0068】
あるケースでは、プッシュ及びプル配信スキームを結合することができ、例えば、ユーザは、eSIMを要求し、eSIMデポットは、その要求を満たすことが現在できないことを指示する。その後の時点で、eSIMデポットは、eSIMをユーザへプッシュすることができる。別のそのような例では、eSIMデポットは、eSIM通知をユーザにプッシュし、この通知は、ある期間中(例えば、プロモーションオファー、試行期間、等)有効である。ユーザがeSIMに関心がある場合、ユーザは、その後、eSIMデポットからeSIMをプルすることができる。
【0069】
プッシュ及び/又はプルeSIM配信に関連して有用なeSIM配信のための更に別のスキームが、参考としてここにそのまま援用する2010年6月14日に出願された“METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK”と題する米国プロビジョナル特許出願第61/354,653号;及び2010年11月22日に出願された“APPARATUS AND METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK”と題する米国特許出願第12/952,089号に詳細に述べられている。
【0070】
リザーブeSIM配信
あるモデルにおいて、eSIMデポットは、特定のユーザに対して特定のeSIMをリザーブする。例えば、新たな顧客がオンラインストアから装置を購入する場合に、ストアは、顧客の購入装置に対してリザーブされた1つ以上のeSIMを識別する。あるケースでは、ストアは、装置を顧客へ出荷し、リザーブeSIMをeSIMデポットに与える。顧客が、新たに購入した装置を最初に操作するときに、装置は、eSIMデポットに連絡して、リザーブeSIMを要求する。そのようなリザーブベースのeSIM配信に関する他の変形が、参考としてここにそのまま援用する2010年10月29日に出願された“ACCESS DATA PROVISIONING SERVICE”と題する米国プロビジョナル特許出願第61/408,504号に詳細に述べられている。
【0071】
アーカイブ(バックアップ)eSIM配信
更に別の例において、eSIMデポットは、未使用のeSIMの記憶位置としても働くことが容易に明らかである。例えば、顧客は、それ自身のeSIMを、eSIMデポットに使用しないときにパーキングし、その後の時点で、顧客は、そのeSIMを検索し(それらの装置又は異なる装置において)、そして動作を回復させる。多くのケースでは、顧客は、eSIMをeSIMデポット内にパーキングする前にeSIMを更に暗号化し、例えば、顧客は、eSIMをその現在装置に対して暗号化し、その現在装置だけがeSIMを回復できるようにする。顧客が行先装置を知らない(例えば、新たな装置への転送中に)アプリケーションでは、それらの現在装置が、例えば、ジェネリックキー、それら自身のキー(その後の時点で解読及び再暗号化を必要とする)、等でeSIMを暗号化する。
【0072】
延期型eSIM配信
更に別の配布スキームでは、eSIMデポットは、参考としてここにそのまま援用する2010年6月14日に出願された“METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK”と題する米国プロビジョナル特許出願第61/354,653号;及び2010年11月22日に出願された“APPARATUS AND METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK”と題する米国特許出願第12/952,089号、並びに2009年1月13日に出願された“POSTPONED CARRIER CONFIGURATION”と題する第12/353,227号(現在、米国特許公告第2009/0181662号として広告されている)に述べられた形式のような延期型配信を容易にすることができる。例えば、1つのそのようなシナリオにおいて、移動装置が装置の工場で製造されて、eSIMなしにユーザに配信される。最初のアクチベーションにおいて、ユーザの移動装置は、eSIMデポットからeSIMを要求する。そのとき、eSIMデポットは、(例えば、これに限定されないが、望ましい移動ネットワークオペレータ(MNO)、望ましいサービスプラン、装置特有の制約、ユーザ入力、等を含む1つ以上の基準に基づく)移動装置の適当なeSIMを決定する。
【0073】
別のそのようなシナリオにおいて、移動装置は、販売キオスク又は小売店でユーザにより購入され、販売キオスクは、移動装置にeSIM形式を指定するが、eSIMを装置にプログラムすることはない。ユーザは、移動装置を家に持ち帰り、eSIMデポットから新たなeSIMをダウンロードする。ダウンロードされると、移動装置は、eSIMをアクチベートすることができる。
【0074】
当業者であれば、本開示のコンテンツが与えられれば、以上のスキームの種々の組み合わせ及び置き換えが明らかであろう。
【0075】
方法200のステップ208において、行先装置は、配信されたアクセス制御クライアントをアクチベートする。1つの規範的実施形態において、配信されたアクセス制御クライアントのアクチベーションは、行先装置と、移動ネットワークオペレータ(MNO)の認証センター(AuC)又は同様のエンティティのようなアクチベーションサービスとの間で遂行される。例えば、1つの規範的実施形態において、移動装置は、アクチベーションサービスからアクチベーションを要求する。アクチベーションサービスは、eSIMを検証し(例えば、暗号チャレンジ及び応答トランザクション、等で)、そして成功であれば、eSIMをアクチベートする。
【0076】
eSIM配布のための規範的ネットワークアーキテクチャー
図3を参照して、ネットワークアーキテクチャー及びシステムの1つの規範的実施形態を開示する。ここに示すシステム300は、(i)多数のeUICCアプライアンス302、(ii)多数のeSIMデポット304、及び(iii)関連バックアップ記憶装置306を含む多数の論理的エンティティより成り、その各々について以下に詳細に述べる。
【0077】
eUICCアプライアンス
図3のeUICCアプライアンス302(1つ又は複数)は、eSIMの現在ポピュレーションが独特なもので且つ保存されたままであるよう保証する役割を果たす。より詳細には、eUICCアプライアンスは、一度に1つの独特のeSIMしか使用できず、即ち2つのeUICCアプライアンスが同じeSIMをもつことがないよう保証しなければならない。eSIMがeUICCアプライアンス間に転送されるたびに、転送側eUICCアプライアンスは、被転送側eUICCしかアクティブにならないように、そのコピーを削除し、デアクチベートし、さもなければ、使用不能にする。実際の具現化では、eUICCアプライアンスの機能は、論理的に接合されたeUICCアプライアンスのアレイであるアプライアンス「クラスター」として実施される。
【0078】
1つの規範的な実施形態において、eUICCアプライアンスは、他のeUICCアプライアンス、eSIMデポット304、及び移動装置のeUICCと通信することができる。或いは又、あるネットワークでは、eSIMデポット304のみを通してeUICCアプライアンス間の通信を実施するのが有用である(即ち、eSIMデポットは、転送のための唯一の仲介者であり、eUICCアプライアンスは、eSIMを直接転送することはできない)。そのような制限は、転送中に競争状態のおそれを減少する上で助けとなる。例えば、eUICCアプライアンスからeUICCアプライアンスへの直接的な転送では、eUICCアプライアンスは、2つのアプライアンスにeSIMが存在するときに短時間の重畳があり、トランザクションが不意に中断した場合には偶発的に複写されることがある。eSIMデポットを経なければ転送が生じないように制限することで、送信側eUICCアプライアンスは、行先eUICCアプライアンスが暗号化されたeSIMを受け取る前に、そのeSIMを削除することができる。
【0079】
1つの構成では、eUICCアプライアンス302は、3つの論理的エンティティ、即ち(i)署名アプライアンス312、(ii)セキュリティ記憶装置314、及び(iii)セキュアなモジュール316に細分化される。eUICCアプライアンスの通常の実施では、論理的エンティティが単一の装置内に合併されるか、或いは信頼性ある境界内で動作する複数の装置内でエンティティが実施される。例えば、1つの構成では、セキュリティモジュールは、専用プロセッサ及び実行コードベースを伴う個別の強化モジュールとして実施される。別の構成では、セキュリティモジュールは、セキュアなプロセッサ内で実施される大きな論理的エンティティ(例えば、署名アプライアンス及びセキュリティ記憶装置を含む)内で実施される。更に別の実施形態では、複数のセキュリティモジュールは、例えば、分散型署名エンティティアプリケーション等の、他の論理的エンティティを動作するサーバーに接続される。信頼性ある境界の通常の実施は、物理的境界(例えば、物理的分離、等)、及び/又は論理的境界(例えば、暗号化通信、等)を含む。更に別の具現化では、望ましい冗長性、負荷容量、等を与えるために、前記エンティティが更に複写される。
【0080】
署名アプライアンス312は、eSIMのポピュレーション、それに関連したトランザクションデータ(例えば、発行されたチャレンジ、使用する独特の識別子、等)を追跡する役割を果たす。1つの規範的な実施形態では、署名アプライアンスは、eSIM(例えば、集積回路カードID(ICCID))、並びに最後に発行されたチャレンジ及び/又は独特のトランザクション識別子を追跡する。1つのそのような変形例では、最後に発行されたチャレンジ及び/又は独特なトランザクション識別子は、eSIMがまだインポート(又はエクスポート)されていない保留中の転送に対するものである。ある変形例では、署名アプライアンスが転送を完了すると、トランザクションデータは、もはや必要とされず、削除することができる。
【0081】
セキュリティモジュール316は、eSIMを暗号化又は解読するように構成される。又、セキュリティモジュールは、署名アプライアンスによる転送のためにeSIMを暗号化又は解読するように命令される。eSIMは、装置の行先eUICCに特有の暗号キー(eUICCパブリックキー、及び/又はセキュアなセッションキーのような)を使用して暗号化される。更に、ある実施形態では、セキュリティモジュールは、装置から受け取られた暗号化されたeSIMを解読し、そしてその解読されたeSIMをセキュアな記憶装置内に記憶する。1つのそのような実施形態では、受け取った暗号化されたeSIMは、セキュリティモジュールのプライベートキーで解読される(セキュリティモジュールのパブリックキーは、発信側装置へ配布される)。
【0082】
署名アプライアンスは、データ及びファイルを記憶するためにセキュアな記憶装置314に結合される。このセキュアな記憶装置は、物理的及び/又は論理的に保護される。例えば、記憶されたeSIMは、ハードウェアセキュリティモジュール(HSM)内で暗号化され、このHSMは、強制的にオープン/アクセスされた場合にそれ自身を破壊するように構成される。セキュアな記憶装置は、暗号化されたデータ及びファイル、例えば、暗号化されたeSIM及び/又は周期的バックアップデータを記憶する。ある実施形態では、セキュアな記憶装置は、暗号化/セキュリティ化の付加的な内部レイヤを追加する。例えば、ある実施形態では、暗号化されたデータ及びファイルは、バックアップされると共に、物理的にあまりセキュアでないか又は物理的に非セキュアな持続性記憶装置へ複写される(記憶媒体は、ジェネリックなコンピュータ媒体上にある)。
【0083】
eSIMデポット
eSIMデポット304は、eSIM配布のための配布インターフェイスをなす。単一のネットワークエンティティへの過剰なネットワークトラフィック(ボトルネック化)を防止するために、複数のeSIMデポットが、暗号化されたeSIMを記憶し、そしてその暗号化されたeSIMを装置へ配信することができる。
【0084】
一実施形態において、eSIMデポット304は、eSIMの要求を発生すると共に、他のeSIMデポット、eUICCアプライアンス302及び/又は装置のeUICCからのeSIMの要求に応答する。1つの変形例において、eSIMデポットは、更に、各eSIMに関連したメタデータの要求及びそれに対する更新に応答する。メタデータは、ネットワークセキュリティに影響を及ぼさないが、暗号化されたeSIMを識別しそして特徴付けるのに使用される。従って、この具現化におけるメタデータの変更は、メタデータを変更することが認証及び/又は許可された信頼性ある当局でなければ行うことができない。eSIMメタデータは、例えば、eSIM集積回路カードID(ICCID)、eSIMベンダー、移動ネットワークオペレータ、加入者アカウント情報(もしあれば)、及びeSIMの現在ステータス(例えば、アクティブ、インアクティブ、リザーブ、パーキング、等)を含む。
【0085】
eSIMデポット304に記憶されたeSIMは、典型的に、行先装置について暗号化される。通常のオペレーション中に、行先装置は、暗号化されたeSIMをいずれかのeSIMデポットから要求することができる。それに応答して、eSIMデポットは、暗号化されたeSIMを行先装置へ配信し、そして他のeSIMデポットに配信を通知する。他のeSIMデポットは、暗号化されたeSIMコピーを都合の良いときに(例えば、空き記憶スペース、等へ)破壊することができる。
【0086】
暗号化されたeSIMの複数のバージョンがeSIMデポットへ配布されることに特に注意されたい。eSIMデポット304は、ステート情報を検証せず、又、暗号化されたeSIMのコンテンツを変更しないので、同じeSIMを複数のeSIMデポットに記憶することができる。しかしながら、eSIMは、行先装置について暗号化される(これは、eSIMの1つのコピーしかアクチベートしない)。
【0087】
持続的記憶装置
ある実施形態において、eUICCアプライアンス302又はeSIMデポット304は、更に、災害復旧及び/又はアーカイブサービスの助けとなるように外部の持続的記憶装置306に結合される。持続的記憶装置は、ある具現化では(例えば、バックアップ情報、等のためにeUICCアプライアンスの内部記憶装置が使用される場合には)不要である。
【0088】
他の実施形態では、持続的記憶装置は、システムの唯一の不揮発性記憶装置である。例えば、あるネットワークアーキテクチャーは、eSIMが使用のために揮発性メモリのみに対して暗号化されないという制約があり、これは、とりわけ、揮発性メモリへの電力が失われた場合に(意図的であろうとなかろうと)、その暗号化されないコンテンツも失われるという点で、付加的な保護レイヤを追加するという利益をもたらす。このような実施形態では、eSIMは、持続的記憶、配布、等のために不揮発性メモリ内に暗号化形態で記憶される。
【0089】
一実施形態では、オペレーション中に、持続的記憶装置302には、独特に暗号化されたBLOB(バイナリーラージオブジェクト)が周期的に書き込まれ、このBLOBは、eUICCアプライアンスのステート、チャレンジ、等と、現在eUICCデータベースを再生成するのに必要な他のデータとを含む。BLOBは、eUICCアプライアンスのセキュリティキーでしか解読できない。その後の時点で、eUICCアプライアンス302が回復不能な故障となった場合には、eUICCアプライアンスを、以前に記憶されたBLOBに戻すことができる。1つの変形例において、BLOBは、外部記憶装置へエクスポートされ、そしてセキュアに記憶される必要がなく(コンテンツは暗号化される)、例えば、BLOBは、倉庫、等の地理的に離れた位置に記憶される。
【0090】
別の実施形態では、eSIMデポットは、そのBLOBを持続的記憶装置に周期的に記憶する。そのようなある変形例では、eSIMデポットは、更に、BLOBに関連したメタデータを暗号化し、従って、例えば、記憶消失の場合に全ステート回復を可能にする。
【0091】
オペレーション例
本発明の種々の態様を例示する規範的なトランザクションについて以下に説明する。
【0092】
図4は、eSIMの典型的なライフサイクルを示す1つの規範的な梯子図である。最初に、eSIMがeSIMベンダーによりeSIMデポット304に与えられる。一般的に、eSIMは、ネットワーク転送を経て配信されるか、又はあるケースでは、例えば、ラックマウントの大量記憶装置、コンピュータ読み取り可能な媒体、等で物理的に配送される。配信されるeSIMは、行先eUICCアプライアンス302については暗号化されて配信され、或いはeUICCアプライアンスがeSIMを解読できるように暗号情報と共に配信される(例えば、セッションキー、共有の製造者特有キー、等)。
【0093】
eUICCアプライアンスクラスター(eUICCアプライアンス302のアレイ)は、eSIMデポット304からeSIMを検索し、そして各eSIMを記憶のためにeUICCアプライアンスに割り当てる。eSIMごとに、署名アプライアンス312は、割り当てられたeSIMが通知され、そしてeSIM識別子及びその関連トランザクションデータを記録する。セキュリティモジュール316は、eSIMをセキュアな記憶装置314に記憶する。あるケースでは、eSIMは、eUICCアプライアンスについて暗号化され、そして暗号フォーマットで記憶される。
【0094】
ここで、要求事象を参照すれば、移動装置402は、eSIMデポット304からeSIMを要求する。この要求は、移動装置のeUICCパブリック暗号キー及びチャレンジを含む。この要求は、eUICCアプライアンス302へ転送される。eUICCアプライアンスは、チャレンジを検証し、そして適切な応答を発生する。次いで、eSIMアプライアンスは、記憶装置から適当な暗号化されたeSIMを選択し、それ自身のプライベートキーを使用してeSIMを解読し、そして移動装置のeUICCパブリック暗号キーを使用して、チャレンジ応答を伴う移動のためのeSIMを再暗号化する。eUICCアプライアンスは、新たに暗号化されたBLOBを多数のeSIMデポットのいずれにも転送し、その内部レコードを更新する。
【0095】
いずれのeSIMデポット304も、eSIMを検索に利用できることを移動装置402に通知することができる。それに応答して、移動装置は、暗号化されたBLOBを最も近くのeSIMデポットからダウンロードし、そしてBLOBを解読する。チャレンジ応答が有効な場合には、移動装置は、解読されたeSIMをアクチベートする。ある実施形態では、eSIMデポットは、配信が成功であったことをeUICCアプライアンスに通知することができる。eSIMデポットに記憶された未使用のコピー及びeSIMアプライアンスに記憶されたコピーは、配信が成功した後に削除できる。eSIMについての各要求は、異なるチャレンジを含むので、コピーは古いものとなり、その後の要求に対して「再生」することができない。
【0096】
装置
上述した方法に関連して有用な種々の装置を以下に詳細に述べる。
【0097】
eUICCアプライアンス
図5は、本発明によるeUICCアプライアンス302の1つの規範的な実施形態を示す。eUICCアプライアンスは、スタンドアローンエンティティでもよいし、又は他のネットワークエンティティと合体されてもよい。図示されたように、eUICCアプライアンス302は、一般的に、通信ネットワークとインターフェイスするためのネットワークインターフェイス502、プロセッサ504、及び1つ以上の記憶装置508を備えている。ネットワークインターフェイスは、MNOインフラストラクチャーに接続されて示されており、他のeUICCアプライアンスへのアクセス、及び1つ以上の移動装置への直接的又は間接的なアクセスを与えるが、他の構成及び機能に置き換えてもよい。
【0098】
1つの構成において、eUICCアプライアンスは、(i)別のeUICC(eUICCアプライアンス又はクライアント装置)との通信を確立することができ、(ii)eSIMをセキュアに記憶することができ、(iii)セキュアに記憶されたeSIMを検索することができ、(iv)別の特定のeUICCへ配信するためにeSIMを暗号化することができ、そして(v)eSIMデポットへ/から複数のeSIMを送ることができる。
【0099】
図5に示す実施形態では、eUICCアプライアンス302は、少なくとも、プロセッサ504で実行される署名エンティティ312を含む。この署名エンティティ312は、(i)eSIMを記憶する要求、(ii)現在記憶されているeSIMを転送する要求を含む要求を処理する。又、署名エンティティは、要求を行うことが許可された別のエンティティから通信が受信されるよう保証するために要求を検証する役割も果たす。
【0100】
一実施形態において、署名エンティティ312は、チャレンジ及び応答セキュリティ交換を実行することにより要求を検証する。チャレンジ/応答セキュリティプロトコルは、未知の第三者により行われた要求を、チャレンジ及び/又は応答の適当な発生に基づいて検証するように構成される。或いは又、別の実施形態では、セキュアな要素は、信頼性ある当局により署名されたデジタル証明書を検証することができる。
【0101】
署名エンティティ312は、更に、利用可能なeSIMを管理するように構成される。図5に示すように、署名エンティティは、特定のeSIM、eSIMを使用することが許可された装置、eSIMの現在ステート及び/又はeSIMの現在ステータス(「利用可能」、「利用不能」、「古くなった」、等)に関する情報を与える。付加的な情報も維持される。署名エンティティは、セキュアな記憶装置314に記憶された情報を更新又は変更するように構成される。
【0102】
図5に示す実施形態では、セキュアな記憶装置314は、アクセス制御クライアントのアレイを記憶するようにされる。1つの規範的な実施形態では、eUICCアプライアンスは、セキュアに暗号化されたeSIMのアレイを揮発性記憶装置に記憶する。揮発性メモリは、メモリコンテンツを保持するために電力を必要とし、揮発性メモリの通常の例は、ランダムアクセスメモリ(RAM)、スタティックRAM(SRAM)、ダイナミックRAM(DRAM)、等を含む。
【0103】
各eSIMは、コンピュータ読み取り可能なインストラクション(eSIMプログラム)及びその関連データ(例えば、暗号キー、完全性キー、等)を含む小さなファイルシステムを備えている。更に、各eSIMは、トランザクションデータ(例えば、発行されたチャレンジ、使用する独特の識別子、等)にも関連付けされる。セキュリティモジュール316は、1つの変形例では、署名エンティティ312からのインストラクションに少なくとも一部分基づいてアクセス制御クライアントを暗号化又は解読するように構成される。セキュリティモジュールは、装置特有の暗号キーの独特のセットである。暗号キーは、例えば、パブリックキー及びプライベートキーを含む。セキュリティモジュールは、そのパブリックキーで暗号化されたeSIMを、そのプライベートキーを使用して、解読することができる。更に、セキュリティモジュールは、別の装置パブリックキーでeSIMを暗号化することができる。パブリック/プライベートキー暗号化の更なる説明は、ここに援用する“METHODS AND APPARATOUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS”と題する米国プロビジョナル特許出願第61/407,866号に詳細に述べられている。
【0104】
別の装置がeUICCアプライアンス302からeSIMを要求すると、署名アプライアンスは、要求されたeSIMの現在ステートを検索する。この情報は、要求されたeSIMを与えることができるかどうか決定するのに使用される。この有効性チェックは、eUICCアプライアンスにおいて行われるか、又は更に別の位置で行われ、例えば、別のエンティティ(eSIMデポットのような)におけるステートをeUICCアプライアンスにおける最後に知られたステートと比較することにより行われる。
【0105】
有効性チェックが成功である場合には、署名アプライアンスは、セキュリティモジュール316に、関連eSIMを暗号化するように命令する。例えば、一実施形態では、セキュリティモジュールは、eSIMを行先装置(例えば、クライアント装置、別のeUICCアプライアンス302、等)に対して暗号化する。eSIMが行先eUICCアプライアンスに対して暗号化されると、その行先eUICCアプライアンスでなければそれを解読できない。ある実施形態では、暗号化された各eSIMは、独特な識別子、チャレンジ、又はチャレンジ応答で更に暗号化される。転送が成功であると、eUICCアプライアンス在庫からeSIMをパージすることができる。
【0106】
同様に、別の装置がeSIMをeUICCアプライアンス302へ転送すると、署名アプライアンスは、セキュリティモジュール316に、関連eSIMをセキュアな記憶装置について解読し、そしてその関連トランザクションデータを更新するように命令する。
【0107】
eSIMデポット
図6は、本発明によるeSIMデポット304の1つの規範的な実施形態を示す。このeSIMデポット304は、スタンドアローンエンティティでもよいし、又は他のネットワークエンティティ(例えば、eUICCアプライアンス302、等)と合体されてもよい。図示されたように、eSIMデポット304は、一般的に、通信ネットワークとインターフェイスするためのネットワークインターフェイス602、プロセッサ604、及び記憶装置608を備えている。
【0108】
図6に示す実施形態において、eSIMデポット304は、(i)eSIMの在庫管理を行うことができ(例えば、関連メタデータを経て)、(ii)暗号化されたeSIMに対する要求(例えば、他のeSIMデポット及び/又はeUICCアプライアンス302からの)に応答することができ、そして(iii)eSIMに対する加入者要求を管理することができる。
【0109】
例えば、eSIMがユーザによりeSIMデポット304に記憶されるときに、eSIMは、(例えば、別の装置への転送を容易にするために)意図された行先と共に記憶されるか、又は不定にパーキングされる。いずれの場合にも、eSIMデポットは、セキュアな記憶のために及び行先装置に対するその後の暗号化のためにeUICCアプライアンスにeSIMを与えることができる。
【0110】
図6に示す実施形態において、記憶装置608は、暗号化されたアクセス制御クライアントのアレイを記憶するようにされる。eSIMデポットは、暗号化されたeSIMのアレイを、バイナリーラージオブジェクト(BLOB)として不揮発性メモリ内に記憶する。不揮発性メモリの通常例は、フラッシュ、ハードディスクドライブ、リードオンリメモリ(ROM)、等を含むが、これに限定されない。1つのこのような具現化において、各BLOBには、BLOBのコンテンツを識別するメタデータが更に関連付けられる。例えば、メタデータは、識別情報、発行者情報、ネットワーク情報、アカウント情報、ステータス情報、等を含む。
【0111】
ユーザ装置
図7を参照して、本発明の種々の態様による規範的なユーザ装置700について説明する。
【0112】
図7の規範的なUE装置は、デジタル信号プロセッサ、マイクロプロセッサ、フィールドプログラマブルゲートアレイ、又は1つ以上の基板にマウントされた複数の処理コンポーネントのようなプロセッササブシステム702を伴うワイヤレス装置である。又、処理サブシステムは、内部キャッシュメモリも含む。処理サブシステムは、例えば、SRAM、フラッシュ、及び/又はSDRAMコンポーネントを含むメモリを含むメモリサブシステム704と通信する。メモリサブシステムは、この技術で良く知られたように、データアクセスを容易にするため、1つ以上のDRAM型のハードウェアを実施する。メモリサブシステムは、プロセッササブシステムにより実行されるコンピュータ実行可能なインストラクションを含む。
【0113】
1つの規範的な実施形態では、装置は、1つ以上のワイヤレスネットワークに接続される1つ以上のワイヤレスインターフェイス706を備えている。複数のワイヤレスインターフェイスは、適当なアンテナ及びモデムサブシステムを実施することにより、GSM、CDMA、UMTS、LTE/LTE−A、WiMAX、WLAN、Bluetooth、等の異なる無線技術をサポートする。
【0114】
ユーザインターフェイスサブシステム708は、これに限定されないが、キーパッド、タッチスクリーン(例えば、マルチタッチインターフェイス)、LCDディスプレイ、バックライト、スピーカ、及び/又はマイクロホンを含む多数の良く知られたI/Oを備えている。しかしながら、あるアプリケーションでは、これらコンポーネントの1つ以上が除去されてもよいことが明らかである。例えば、PCMCIAカード型クライアント実施形態は、ユーザインターフェイスがなくてもよい(物理的及び/又は電気的に結合されたホスト装置のユーザインターフェイスに便乗させることができるので)。
【0115】
ここに示す実施形態では、装置は、eUICCアプリケーションを収容して動作するセキュアな要素710を備えている。eUICCは、ネットワークオペレータとの認証に使用される複数のアクセス制御クライアントを記憶しそしてそれにアクセスすることができる。セキュアな要素は、セキュアな媒体に記憶されたソフトウェアを実行するセキュアなプロセッサを含む。セキュアな媒体は、(セキュアなプロセッサ以外の)他の全てのコンポーネントにアクセスすることができない。更に、セキュアな要素は、上述したように改竄を防止するために更に強化されてもよい(例えば、樹脂で包む)。
【0116】
セキュアな要素710は、1つ以上のアクセス制御クライアントを受け取って記憶することができる。一実施形態では、セキュアな要素は、ユーザに関連した複数のeSIMのアレイを記憶し(例えば、仕事について1つ、個人について1つ、ローミングアクセスについて数個、等)、及び/又は別の論理的スキーム又は関係に基づく(例えば、家族又はビジネスエンティティの複数のメンバーの各々について1つ、家族のメンバーの個人的及び仕事の使用の各々について1つ、等々)。各eSIMは、コンピュータ読み取り可能なインストラクション(eSIMプログラム)及びその関連データ(例えば、暗号キー、完全性キー、等)を含む小さなファイルシステムを備えている。
【0117】
セキュアな要素は、更に、移動装置へ及び/又は移動装置からeSIMを転送できるようにする。1つの具現化において、移動装置は、eSIMの転送を開始するためにGUIベースの確認を発生する。
【0118】
移動装置のユーザがeSIMをアクチベートすることを選ぶと、移動装置は、アクチベーションに対する要求をアクチベーションサービスへ送る。移動装置は、標準認証及びキー合意(AKA)交換のためにeSIMを使用することができる。
【0119】
持続的記憶装置
図8は、本発明による持続的記憶装置306の1つの規範的実施形態を示す。この持続的記憶装置は、スタンドアローンエンティティとして具現化されてもよいし、又は他のネットワークエンティティ(例えば、eUICCアプライアンス302、eSIMデポット304、等)と合体されてもよい。図示されたように、持続的記憶装置は、一般的に、インターフェイス804及び記憶装置802を含む。
【0120】
持続的記憶装置は、暗号化されたアクセス制御クライアントのアレイ及びその関連ステートを不揮発性記憶装置に記憶する。一実施形態では、持続的記憶装置は、暗号化されたeSIM及びその関連メタデータのアレイをバイナリラージオブジェクト(BLOB)として記憶する。各BLOBは、記憶装置のキー(例えば、eUICCアプライアンス、eSIMデポット、等)により独特に暗号化される。
【0121】
本発明の幾つかの態様を、方法のステップの特定シーケンスに関して説明したが、これらの説明は、本発明の広い方法を例示するものに過ぎず、特定のアプリケーションにより要求されるように変更できることが明らかである。あるステップは、ある状況のもとでは不要又は任意とされてもよい。更に、ここに開示する実施形態に、あるステップ又は機能が追加されてもよく、又、2つ以上のステップの遂行手順が入れ替えられてもよい。そのような全ての変更は、ここに開示され請求される本発明の範囲内に包含されると考えられる。
【0122】
以上の詳細な説明は、種々の実施形態に適用したときの本発明の新規な特徴を図示して説明しそして指摘したが、当業者であれば、本発明から逸脱せずに、ここに例示した装置又はプロセスの形態及び細部の種々の省略、置き換え及び変更がなされることが理解されよう。又、以上の説明は、本発明を現在実施する上で考えられる最良の態様である。この説明は、限定を意味するものではなく、本発明の一般的な原理を例示するものとみなすべきである。本発明の範囲は、特許請求の範囲によって決定されるべきである。
【符号の説明】
【0123】
300:システム
302:eUICCアプライアンス
304:eSIMデポット
306:持続的バックアップ記憶装置
312:署名アプライアンス
314:セキュアな記憶装置
316:セキュリティモジュール
502:ネットワークインターフェイス
504:プロセッサ
508:メモリ
602:ネットワークインターフェイス
604:プロセッサ
706:BBプロセッサ
702:APPプロセッサ
704:記憶装置
708:ユーザインターフェイス
710:セキュアな要素
802:ネットワークインターフェイス
804:メモリ
【技術分野】
【0001】
本発明は、一般的に、通信システムの分野に係り、より詳細には、バーチャルアクセス制御クライアントをネットワーク内で効率的に配布し記憶することに係る。
【0002】
優先権及び関連出願:本出願は、2011年4月27日に出願された“APPARATUS AND METHODS FOR DISTRIBUTING AND STORING ELECTRONIC ACCESS CLIENTS”と題する米国特許出願第13/095,716号の優先権を主張し、これは、2011年4月5日に出願された“APPARATUS AND METHODS FOR DISTRIBUTING AND STORING ELECTRONIC ACCESS CLIENTS”と題する米国プロビジョナル特許出願第61/472,115号の優先権を主張し、その各々は、参考としてここにそのまま援用される。
【0003】
又、本出願は、次の共通所有の、同時係争中の米国特許出願にも係る。2011年4月5日に出願された“APPARATUS AND METHODS FOR CONTROLLING DISTRIBUTION OF ELECTRONIC ACCESS CLIENTS”と題する米国特許出願第13/080,558号;2010年11月22日に出願された“WIRELESS NETWORK AUTHENTICATION APPARATUS AND METHODS”と題する第12/952,082号;2010年11月22日に出願された“APPARATUS AND METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK”と題する第12/952,089号;2010年12月28日に出願された“VERTUAL SUBSCRIBER IDENTITY MODULE DISTRIBUTION SYSTEM”と題する第12/980,232号;2009年1月13日に出願された“POSTPONED CARRIER CONFIGURATION”と題する第12/353,227号;並びに2011年4月5日に出願された“APPARATUS AND METHODS FOR STORING ELECTRONIC ACCESS CLIENTS”と題する米国プロビジョナル特許出願第61/472,109号(現在、2011年4月25日に出願された同じ名称の米国特許出願第13/093,722号);2010年10月28日に出願された“METHODS AND APPARATOUS FOR ACCESS CONTROL CLIENT ASSUSTED ROAMING”と題する第61/407,858号(現在、2011年5月17日に出願された同じ名称の米国特許出願第13/109,851号);2010年10月28日に出願された“MANAGEMENT SYSTEMS FOR MULTIPLE ACCESS CONTROL ENTITIES”と題する第61/407,861号(現在、2011年4月4日に出願された同じ名称の米国特許出願第13/079,614号);2010年10月28日に出願された“APPARATUS AND METHODS FOR DELIVERING ELECTRONIC IDENTIFICATION COMPONENTS OVER A WIRELESS NETWORK”と題する第61/407,862号(現在、2011年5月19日に出願された同じ名称の米国特許出願第13/111,801号);2010年10月28日に出願された“METHODS AND APPARATOUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS”と題する第61/407,866号(現在、2011年4月5日に出願された同じ名称の米国特許出願第13/080,521号);2010年10月29日に出願された“ACCESS DATA PROVISIONING SERVICE”と題する第61/408,504号(現在、2011年4月1日に出願された“ACCESS DATA PROVISIONING APPARATUS AND METHODS”と題する米国特許出願第13/078,811号);2010年11月3日に出願された“METHODS AND APPARATOUS FOR ACCESS DATA RECOVERY FROM A MALFUNCTIONING DEVICE”と題する第61/409,891号(現在、2011年11月2日に出願された同じ名称の米国特許出願第13/287,874号);2010年11月4日に出願された“SIMULACRUM OF PHYSICAL SECURITY DEVICE AND METHODS”と題する第61/410,298号(現在、2011年4月5日に出願された同じ名称の米国特許出願第13/080,533号);及び2010年11月12日に出願された“APPARATUS AND METHODS FOR RECORDATION OF DEVICE HISTORY ACROSS MULTIPLE SOHTWARE EMULATION”と題する第61/413,317号(現在、2011年11月11日に出願された同じ名称の米国特許出願第13/294,631号)。これら出願は、各々、参考としてここにそのまま援用する。
【背景技術】
【0004】
従来のほとんどのワイヤレス無線通信システムでは、セキュアな通信のためにアクセス制御が要求される。例えば、1つの簡単なアクセス制御スキームは、(i)通信当事者のアイデンティティを検証すること、及び(ii)検証されたアイデンティティにふさわしいアクセスレベルを許可すること、を含む。規範的なセルラーシステム(例えば、ユニバーサルモバイルテレコミュニケーションズシステム(UMTS))の環境内では、アクセス制御は、物理的ユニバーサル集積回路カード(UICC)で実行されるユニバーサル加入者アイデンティティモジュール(USIM)と称されるアクセス制御クライアントによって支配される。USIMアクセス制御クライアントは、UMTSセルラーネットワークへの加入者を認証する。認証に成功した後、加入者は、セルラーネットワークへのアクセスが許される。以下に使用する「アクセス制御クライアント」という語は、一般的に、ハードウェア又はソフトウェア内で実施されてネットワークへの第1装置のアクセスを制御するのに適した論理的エンティティを指す。アクセス制御クライアントの共通の例として、前記USIM、CDMA加入者識別モジュール(CSIM)、IPマルチメディアサービスアイデンティティモジュール(ISIM)、加入者アイデンティティモジュール(SIM)、除去可能なユーザアイデンティティモジュール(RUIM)、等が含まれる。
【0005】
慣習的に、USIM(又はより一般的には“SIM”)は、セキュアな初期化を確保するために適用データ及びプログラムを検証し及び解読する良く知られた認証及びキー合意(AKA)手順を遂行する。より詳細には、USIMは、(i)リモートチャレンジに首尾良く応答してそのアイデンティティをネットワークオペレータに証明し、そして(ii)ネットワークのアイデンティティを検証するためのチャレンジを発行しなければならない。
【0006】
慣習的なSIM解決策は、除去可能な集積回路カード(ICC)(“SIM”カードとも称される)内で実施されるが、本譲受人による初期の研究は、移動装置内で実行されるソフトウェアクライアント内のSIMオペレーションをバーチャル化することに向けられる。バーチャル化されたSIMオペレーションは、装置のサイズを減少し、装置の機能を高め、そしてより大きな融通性を与えることができる。
【0007】
不都合なことに、バーチャル化されたSIMオペレーションは、ネットワークオペレータ及び装置製造者に多数の新たなチャレンジも与える。例えば、慣習的なSIMカードは、製造されて、信頼性あるSIMベンダーによって保証される。これらの慣習的なSIMカードは、SIMカードに永久的に「焼き付けられた」ソフトウェアの単一のセキュアなバージョンを実行する。焼き付けられると、カードは、(SIMカードを破壊することなしに)改竄することはできない。これらカードの配布は、カードを配布センター、小売店及び/又は顧客に発送するための簡単なプロセスである。
【発明の概要】
【発明が解決しようとする課題】
【0008】
対照的に、バーチャル化されたSIMは、コピー、増殖、等が容易である。各SIMは、限定されたネットワークリソースへのアクセスの量についての契約を表わすが、バーチャル化されたSIMの不正使用は、ネットワークオペレーション及びユーザの経験に多大な影響を及ぼす。従って、バーチャル化されたSIMを配布するために新規な配布インフラストラクチャーが要求される。理想的には、そのような新規な配布インストラクチャーは、(i)SIM保存を強制し、(ii)過剰なネットワークトラフィック(「ボトルネック」とも称される)を防止し、そして(iii)合理的な災害復旧能力を与えるものでなければならない。
【課題を解決するための手段】
【0009】
本発明は、とりわけ、バーチャルアクセス制御クライアントをネットワーク内で効率的に配布するための装置及び方法を提供することにより前記要望に対処する。
【0010】
本発明の1つの態様において、アクセス制御クライアントを効率的に配布する方法が開示される。一実施形態において、この方法は、セキュアなレポジトリ内で1つ以上のアクセス制御クライアントを追跡し、ターゲット装置に対してアクセス制御クライアントを独特に暗号化し、暗号化されたアクセス制御クライアントを1つ以上の配布位置へ送信し、そしてセキュアなレポジトリからアクセス制御クライアントを除去することを含む。1つの変形例において、1つ以上の配布位置は、暗号化されたアクセス制御クライアントを変更するものではなく、そしてターゲット装置は、単一の配布位置のみから単一の暗号化されたアクセス制御クライアントのみをダウンロードするように構成される。
【0011】
本発明の別の態様において、アクセス制御クライアントを効率的に配布する方法が開示される。一実施形態において、この方法は、暗号化されたアクセス制御クライアントを1つ以上の配布位置に記憶し、その記憶された暗号化されたアクセス制御クライアントに対する要求に応答して、その暗号化されたアクセス制御クライアントを配信し、そしてその暗号化されたアクセス制御クライアントが1つ以上の配布位置のいずれかから首尾良く配信されるのに応答して、その記憶された暗号化されたアクセス制御クライアントをデアクチベートすることを含む。1つの変形例において、1つ以上の配布位置は、暗号化されたアクセス制御クライアントを変更するものではなく、そして暗号化されたアクセス制御クライアントは、独特なターゲット装置に対して構成される。
【0012】
暗号化されたアクセス制御クライアントは、非制御形態で配信され、各記憶された暗号化されたアクセス制御クライアントは、メタデータに関連付けられる。メタデータは、例えば、アクセス制御クライアント識別情報、アクセス制御クライアント発行者情報、アクセス制御クライアントアカウント情報、及び/又はアクセス制御クライアントステータス情報を含む。ある変形例において、特定のアクセス制御クライアントに関連したメタデータに対する要求に応答してメタデータが与えられる。
【0013】
本発明の更に別の態様において、アクセス制御クライアントを効率的に配布するためのアプライアンスが開示される。一実施形態において、このアプライアンスは、1つ以上のアクセス制御クライアントを追跡するように構成された署名アプライアンスと、ターゲット装置に対してeSIMを独特に暗号化するよう構成されたセキュリティモジュールと、プロセッサと、そのプロセッサとデータ通信する記憶装置とを備えている。記憶装置は、プロセッサにより実行されたときに、ターゲット装置からの追跡されるアクセス制御クライアントに対する要求に応答して、要求されたアクセス制御クライアントを独特に暗号化し、その暗号化されたアクセス制御クライアントを1つ以上の配布位置へ送信し、そして署名アプライアンスを更新する、ように構成されたコンピュータ実行可能なインストラクションを含む。1つの変形例において、1つ以上の配布位置は、暗号化されたアクセス制御クライアントを変更するものではなく、そしてターゲット装置は、単一の配布位置のみから単一の暗号化されたアクセス制御クライアントのみをダウンロードするように構成される。
【0014】
アプライアンスは、更に、1つ以上のローカル記憶された暗号化されたアクセス制御クライアントのためのセキュアな記憶装置を備えている。1つのそのような変形例において、1つ以上のローカル記憶されたアクセス制御クライアントは、アプライアンスについて独特に暗号化される。別のそのような変形例において、セキュリティモジュールは、アプライアンスについて独特に暗号化されたeSIMを解読するように更に構成される。
【0015】
別の実施形態では、1つ以上のアクセス制御クライアントは、電子的加入者アイデンティティモジュール(eSIM)を含み、そして1つ以上の配布位置は、eSIMデポットを含む。
【0016】
本発明の更に別の態様において、アクセス制御クライアントを効率的に配布するためのデポットが開示される。一実施形態において、このデポットは、ネットワークと通信するためのネットワークインターフェイスと、プロセッサと、該プロセッサとデータ通信する記憶装置とを備えている。記憶装置は、プロセッサにより実行されたときに、ターゲット装置について暗号化されたアクセス制御クライアントを記憶し、その記憶された暗号化されたアクセス制御クライアントに対する要求が要求者装置から受け取られるのに応答して、その暗号化されたアクセス制御クライアントを要求者装置配信し、そしてその暗号化されたアクセス制御クライアントがターゲット装置へ首尾良く配信されるのに応答して、その記憶された暗号化されたアクセス制御クライアントを削除する、ように構成されたコンピュータ実行可能なインストラクションを含む。
【0017】
別の実施形態では、記憶装置は、各アクセス制御クライアントに関連したメタデータを記憶するように構成される。1つのそのような変形例において、コンピュータ実行可能なインストラクションは、更に、特定のアクセス制御クライアントに関連したメタデータに対する要求に応答して、その要求されたメタデータを与えるように構成される。
【0018】
本発明の更に別の特徴、その性質及び種々の効果は、添付図面及び以下の詳細な説明から明らかとなろう。
【図面の簡単な説明】
【0019】
【図1】従来のUSIMを使用する1つの規範的な認証及びキー合意(AKA)手順をグラフ的に示す図である。
【図2】本発明によりネットワーク内でバーチャルアクセス制御クライアントを効率的に配布し記憶するための一般的な方法の一実施形態を示す論理フローチャートである。
【図3】本発明によりアクセス制御クライアントを配布し記憶するのに有用な1つの規範的なネットワークアーキテクチャーのブロック図である。
【図4】eSIMの1つの規範的なライフサイクルの梯子図で、その種々の観点を示す図である。
【図5】本発明によるアプライアンス装置の一実施形態を示すブロック図である。
【図6】本発明によるデポット装置の一実施形態を示すブロック図である。
【図7】本発明によるユーザ装置の一実施形態を示すブロック図である。
【図8】本発明による持続的記憶装置の一実施形態を示すブロック図である。
【発明を実施するための形態】
【0020】
全ての図は、著作権2011アップル社。全ての権利を所有。全体を通して同じ部分が同じ番号で示された添付図面を参照する。
【0021】
概略
本発明は、とりわけ、ネットワーク内でアクセス制御クライアントを効率的に配布しそして記憶するための方法及び装置を提供する。一実施形態において、eSIM独特さ及び保存を強制し、そして「ボトルネック」混雑を防止するようにネットワークトラフィックを配布する電子的加入者アイデンティティモジュール(eSIM)配布ネットワークインフラストラクチャーが説明される。更に、配布ネットワークの1つの開示される実施形態は、災害復旧能力を提供する。
【0022】
ここに詳細に述べるように、eSIM配布のためのインフラストラクチャーの規範的なネットワーク実施形態は、3つの論理的エンティティ、即ち多数のeUICCアプライアンス(又は「アプライアンスクラスター)、多数のeSIMデポット、及び持続的記憶装置を含む。各eUICCアプライアンスは、更に、署名アプライアンス、セキュリティモジュール、及びセキュアな記憶装置に分割される。1つの規範的な実施形態では、セキュアな記憶装置は、揮発性メモリ(ランダムアクセスメモリ(RAM)、スタティックRAM(SRAM)、ダイナミックRAM(DRAM)、等)より成る。
【0023】
eUICCアプライアンスは、ネットワークインフラストラクチャー内でeSIM独特さ及び保存を強制する。特に、署名アプライアンスは、1つ以上の配布されたeSIM、並びにそれに関連した発行されたチャレンジ及び/又は既知のステータスを追跡する。署名アプライアンスは、その署名アプライアンスが受信した又はその署名アプライアンスが送信するeSIMの暗号化及び解読を行うようにセキュリティモジュールに命令する。又、署名アプライアンスは、eUICCアプライアンスのセキュアな記憶装置内にeSIMをセキュアに記憶することができる。従って、本発明の1つの態様において、eUICCアプライアンスは、各eSIMが考慮されること(eUICCアプライアンスに記憶される間に)、及び各eSIMが行先装置に対して特に暗号化されて配信されることを保証する。
【0024】
eSIMデポットは、ネットワーク「ボトルネック」を防止するための配布チャンネルを与え、特に、複数のeSIMデポットが、行先eUICCへまだ配信されていないeSIMの同じ暗号コピーを保持することができる。例えば、eSIM、eUICC及びチャレンジの暗号結合体を、後で配信するためにeSIMデポットにキャッシュすることができる。装置は、任意のeSIMデポットからeSIMを検索することができ、たとえ1つのeSIMデポットが利用できなくても、装置は、別の任意のeSIMデポットからeSIMを検索することができる。装置は、それがeSIMを受信すると、eSIMを解読してアクチベートすることができる。
【0025】
本発明の1つの規範的な実施形態において、システムは、更に、装置が任意のeSIMデポットからコピーを一度しかインポートできないように構成され、他のeSIMデポットに記憶された他のコピーは、その後、除去され、削除され、又はインアクティブにされる。装置それ自体がこの制約を実施してもよいし、或いはeSIMデポットが、例えば、内部同期通信を経て同期通信を維持してもよい。
【0026】
更に、種々の装置は、ある実施形態において、それらのコンテンツを持続的記憶装置に対して周期的にバックアップすることができる。持続的記憶装置は、装置に特有のキーで暗号化されたバックアップデータを記憶する。災害の場合には、持続的記憶装置は、適当なキーが与えられたときに、そのバックアップデータを与えることができる。1つの規範的な実施形態において、持続的記憶装置は、不揮発性メモリ(フラッシュ、ハードディスクドライブ(HDD)、等)より成る。
【0027】
効率的配布のための多数の他のスキーム及び実施形態についても以下に詳細に述べる。
【0028】
規範的実施形態の詳細な説明
本発明の規範的実施形態及び態様を以下に詳細に説明する。これらの実施形態及び態様は、主として、GSM、GPRS/EDGE又はUMTSセルラーネットワークの加入者アイデンティティモジュール(SIM)に関連して説明するが、当業者であれば、本発明は、これに限定されないことが明らかであろう。実際に、本発明の種々の態様は、アクセス制御クライアントを記憶して装置へ配布することから利益が得られるネットワークであれば、(セルラーであろうと、非セルラーワイヤレスであろうと、他のものであろうと)いずれにおいても有用である。
【0029】
又、「加入者アイデンティティモジュール」という語がここで使用されるが(例えば、eSIM)、この語は、必ずしも次のことを意味し又は要求するものではないことも認識されたい。(i)加入者それ自体による使用(即ち、本発明は、加入者により実施されてもよいし非加入者によって実施されてもよい);(ii)1人の個人のアイデンティティ(即ち、本発明は、家族のような個人のグループ、或いは企業のような無形又は架空のエンティティに代わって実施されてもよい);或いは(iii)任意の有形「モジュール」装置又はハードウェア。
【0030】
従来の加入者アイデンティティモジュール(SIM)オペレーション
規範的な従来のUMTSセルラーネットワークの環境の中で、ユーザ装置(UE)は、移動装置と、ユニバーサル加入者アイデンティティモジュール(USIM)とを備えている。USIMは、物理的ユニバーサル集積回路カード(UICC)から記憶されて実行される論理的ソフトウェアエンティティである。加入者情報や、ワイヤレスネットワークサービスを得るためにネットワークオペレータとの認証に使用されるキー及びアルゴリズムのような種々の情報がUSIMに記憶される。USIMソフトウェアは、Java CardTMプログラミング言語に基づく。Java Cardは、(前記UICCのような)埋め込まれた「カード」形式の装置に対して変更されたJavaTMプログラミング言語のサブセットである。
【0031】
一般的に、UICCは、加入者配布の前にUSIMでプログラムされ、前プログラミング又は「個人化」は、各ネットワークオペレータに特有のものである。例えば、配備の前に、USIMは、国際移動加入者アイデンティティ(IMSI)、独特の集積回路カード識別子(ICC−ID)、及び特定認証キー(K)に関連付けられる。ネットワークオペレータは、ネットワークの認証センター(AuC)内に収容されたレジストリに関連性を記憶する。個人化の後に、UICCを加入者へ配布することができる。
【0032】
図1を参照して、上述した従来のUSIMを使用する1つの規範的な認証及びキー合意(AKA)手順を詳細に説明する。通常の認証手順の間に、UEは、国際移動加入者アイデンティティ(IMSI)をUSIMから取得する。UEは、ネットワークオペレータのサービングネットワーク(SN)又は訪問先コアネットワークにIMSIを通す。SNは、ホームネットワーク(HN)のAuCに認証要求を転送する。HNは、受け取ったIMSIをAuCのレジストリと比較し、適切なKを得る。HNは、ランダム数(RAND)を発生し、そして予想応答(XRES)を生成するためのアルゴリズムを使用してそれにKで署名する。HNは、更に、種々のアルゴリズムを使用して、暗号及び完全性保護に使用するための暗号キー(CK)及び完全性キー(IK)並びに認証トークン(AUTN)を発生する。HNは、RAND、XRES、CK及びAUTNより成る認証ベクトルをSNへ送る。SNは、一回限りの認証プロセスに使用するためにのみ認証ベクトルを記憶する。SNは、RAND及びAUTNをUEに通す。
【0033】
UEがRAND及びAUTNを受け取ると、USIMは、受け取ったAUTNが有効であるかどうか検証する。もし有効であれば、UEは、記憶されたKと、XRESを発生した同じアルゴリズムとを使用することで、その受け取ったRANDを使用して、それ自身の応答(RES)を計算する。UEは、RESをSNへ返送する。SNは、XRESを受け取ったRESと比較し、それらが一致すれば、SNは、UEがオペレータのワイヤレスネットワークサービスを利用するのを許可する。
【0034】
図1の以上の手順は、SIMカードの物理的媒体内で実施される。従来のSIMカードは、少なくとも2つの個別の望ましい特性を有する。即ち、(i)SIMカードは、SIMデータ(例えば、アカウント情報、暗号キー、等)を暗号によりセキュアに記憶すること、及び(ii)SIMカードは、容易にクローン化できないこと。
【0035】
従来のSIMカードは、ユニバーサル集積回路カード(UICC)に形成されたプロセッサ及びメモリを含む。SIMカードは、UICC上のデータ信号が外部から探査されるのを防止するためにエポキシ樹脂が充填される。UICCには、必要に応じて、他の改竄防止構造が含まれてもよい(例えば、シールド層、マスキング層、等)。SIMカードは、プロセッサへのセキュアなインターフェイスを有し、そしてプロセッサは、メモリへの内部インターフェイスを有する。UICCは、プロセッサがメモリコンポーネントからのコードを実行できるようにする電力を外部装置から受け取る。メモリコンポーネントそれ自体は、直接アクセスできるものではなく(即ち、内部ファイルシステムは、ユーザから隠されており)、そしてプロセッサを経てアクセスされねばならない。
【0036】
通常の動作中、プロセッサは、限定された数のコマンドを受け容れる。各コマンドは、条件に応じてアクセスできるに過ぎない。無断アクセスを防止するためにコマンドの実行に対してアクセス条件が制約される。アクセス条件は、ハイアラーキーであってもなくてもよく、例えば、あるレベルについての許可が自動的に別のレベルについての許可を与えることにならない。例えば、アクセス条件の1つのセットは、(i)常にアクセス可能、(ii)決してアクセスできない、(iii)第1のアカウントにアクセス可能、(iv)第2のアカウントにアクセス可能、等を含む。条件付きアクセスは、適切なセキュリティプロトコルが首尾良く完了した後にのみ許可される。アイデンティティを検証するための通常の方法は、パスワード又は個人識別番号(PIN)、共有シークレットのチャレンジ、等を含む。
【0037】
条件付きアクセス、限定コマンドセット、及び保護メモリスペースは、SIMカード内に記憶された情報が外部アクセスからセキュアなものとなるよう保証する。SIMカードのクローン化は、物理的カードの構造、並びに内部ファイルシステム及びデータの構造を必然的に伴う。これらの特徴を組み合わせることで、物理的なSIMカードを、実際的な偽造の試みに影響されないようにする。
【0038】
方法
簡単に述べると、ここで使用する「保存(conservation)」「保存する(conserve)」及び「保存された(conserved)」という語は、これに限定されないが、僅かに増殖も減少もできない要素(物理的又は仮想的)を指す。例えば、保存されたeSIMは、通常の動作中にコピーも複写もできない。
【0039】
又、ここで使用する、要素(物理的又は仮想的)に適用される「独特な」という語は、これに限定されないが、要素が、特定の特性及び/又は特徴を有する1つのそして唯一の要素であるという特性を指す。例えば、独特なeSIMは、複写のeSIMをもつことができない。
【0040】
又、ここで使用する「セキュリティ」という語は、一般的に、これに限定されないが、データ及び/又はソフトウェアの保護を指す。例えば、アクセス制御データセキュリティは、アクセス制御クライアントに関連したデータ及び/又はソフトウェアが、不許可のアクティビティ及び/又は敵意のある第三者による窃盗、悪用、破壊、公表、及び/又は改竄から保護されることを保証する。
【0041】
一般的に、ソフトウェアは、ハードウェアよりも柔軟であり、例えば、ソフトウェアは、コピー、変更及び配布が容易であることが明らかである。更に、ソフトウェアは、しばしば、同等のハードウェアより安価に、より高い電力効率で、且つ物理的に小さくすることができる。従って、従来のSIMオペレーションは、カード(UICC)のような物理的なフォームファクタを使用するが、現在の研究領域は、ソフトウェア内でSIMオペレーションをバーチャル化することに焦点が当てられる。
【0042】
しかしながら、SIMデータ(例えば、加入者特有の情報、等)は、性質が繊細であるために、特殊な考慮を必要とする。例えば、SIMデータの種々の部分は、加入者にとって独特であり、敵意のある第三者から入念に保護されねばならない。
【0043】
更に、各SIMは、限定されたネットワークリソースへのアクセスの量についての契約を表わし、従って、ネットワークリソースの過剰及び/又は過小利用、並びにサービスプロバイダーの料金又は収入の肩代わりを防止するために、SIMカードの複写、破壊、及び/又は再利用を管理しなければならない。
【0044】
SIMオペレーションの初期の解決策は、例えば、以下、電子的ユニバーサル集積回路カード(eUICC)と称されるソフトウェアアプリケーションのようなバーチャル又は電子的エンティティとしてUICCをエミュレートするものである。eUICCは、以下電子的加入者アイデンティティモジュール(eSIM)と称される1つ以上のSIM要素を記憶及び管理することができる。従って、eUICCへのeSIM配布及びオペレーションの種々の要求を特に取り扱うようにされた新たなネットワークインフラストラクチャーが要求される。特に、そのような解決策は、理想的には、(i)バーチャル化されたeSIMの保存の強制、(ii)配布オペレーション、及び(iii)災害復旧、のための能力をもたねばならない。
【0045】
図2を参照し、ネットワーク内でバーチャルアクセス制御クライアントを効率的に配布する一般的な方法200を開示する。
【0046】
方法200のステップ202において、1つ以上のアクセス制御クライアント(例えば、eSIM)がセキュアなレポジトリ内に記憶され、追跡される。一実施形態では、セキュアなレポジトリは、1つ以上の追跡データベース、この追跡データベースから導出された情報に少なくとも一部分基づいてアクセス制御クライアントを暗号化し解読するためのセキュリティモジュール、及びアクセス制御クライアントのためのセキュアな記憶装置を備えている。
【0047】
追跡データベースは、アクセス制御クライアントの配布及びアクセス制御クライアントのトランザクションデータを表わす情報を含む。この実施形態の1つの規範的な具現化では、トランザクションデータは、配備されたeSIMのリスト、発行されたチャレンジ、及び/又は使用される独特の識別子、等を含む。参考としてここにそのまま援用する2011年4月5日に出願された“APPARATUS AND METHODS FOR STORING ELECTRONIC ACCESS CLIENTS”と題する米国プロビジョナル特許出願第61/472,109号に詳細に述べられた1つの変形例では、転送装置間のセキュアなプロトコルは、配布されるeSIMポピュレーションの各eSIMが信頼性ある装置間のみで転送されることを保証する。或いは又、セキュアなプロトコルは、暗号化されたeSIMのみが、信頼性のない装置へ配布されることを保証する。ある変形例では、信頼性あるプロトコルは、チャレンジ/応答プロトコルをベースとする。別の変形例では、信頼性あるプロトコルは、相互に信頼性のある第三者により署名されたデジタルセキュリティ証明書の交換をベースとする。
【0048】
1つの規範的な実施形態では、セキュアなレポジトリは、標準的な信頼関係に合致する装置間のみでアクセス制御クライアントが転送されることを保証する。信頼関係は、更に、第1装置がアクセス制御クライアントを首尾良く転送するときに、第1装置がそのコピーを削除し、デアクチベートし、さもなければ、使用不能にすることを指定する。このように、アクセス制御クライアントは、転送全体にわたり独特さ及び保存状態を保つことができる。
【0049】
種々の実施形態において、追跡データベースは、更に、例えば、次のものを含むアクセス制御クライアントクオリティを追跡する。(i)顧客に配布されたアクセス制御クライアント;(ii)配布されていない(アクチベーションを待機している)アクセス制御クライアント;(iii)アクチベートされたアクセス制御クライアント;(iv)デアクチベートされたアクセス制御クライアント;(v)アクチベーションを待機しているアクセス制御クライアント;(vi)装置に指定されたアクセス制御クライアント;(vii)アカウントに指定されたアクセス制御クライアント;及び(viii)指定に利用できるアクセス制御クライアント。同様に、追跡データベースは、例えば、次のようなステートを追跡する。(i)現在ステート;(ii)予想されるステート;(iii)以前のステート;(iv)最後に知られたステート;及び(v)初期ステート。ステート変数の共通例は、カウンタ値、暗号値、チャレンジ変数、応答変数、等を含むが、これに限定されない。
【0050】
例えば、1つの規範的なチャレンジ応答スキームにおいて、チャレンジ変数は、応答ベクトルを発生するように操作され、変換され及び/又は計算される入力暗号ベクトルである。操作、変換、及び/又は計算は、装置のアクセス制御クライアントにより保護されるシークレットである。他の例において、カウンタベースの独特の識別子は、独特のカウンタ値を、装置のアクセス制御クライアントにより保護されるシークレットとして使用する。共通の他の形式のステートは、大きな擬似ステートマシン、例えば、リニアフィードバックシフトレジスタ(LFSR)ベースのステートマシン又は他のそのようなメカニズムに基づく。
【0051】
セキュリティモジュールは、一実施形態では、追跡データベースからのインストラクションに少なくとも一部分基づいてアクセス制御クライアントを暗号化又は解読するように構成される。特に、セキュリティモジュールは、望まし行先装置に配信するためにアクセス制御クライアントを暗号化するように構成される。実際に、1つの規範的な実施形態では、転送される全てのeSIMを暗号化しなければならない(即ち、eSIMは、非暗号形態ではいずれの装置にも転送できない)。同様に、セキュリティモジュールは、ユーザ装置から受け取ったアクセス制御クライアントを解読するように構成される。ここに援用される2010年10月28日に出願された“METHODS AND APPARATOUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS”と題する米国プロビジョナル特許出願第61/407,866号に説明された1つの変形例では、「現場」にあるユーザ装置に更新及び/又はeSIMを与えるのに使用できる独特の装置キー及び裏書き証明書が各装置に与えられる。ユーザ装置は、装置キーと共に配信された暗号化されたeSIMを信頼することができ、そしてセキュリティモジュールは、装置キーで暗号化された情報を信頼することができる。
【0052】
同様に、ある実施形態では、セキュリティモジュールは、更に、SIMアプリケーション実行のためにeSIMを解読するように構成される。例えば、1つのシナリオでは、ユーザ装置は、使用のためにeSIMを解読することができる。eSIMアプリケーションは、一般的に、上述したUSIM、CSIM、ISIM、SIM、RUIM、等のアクセス制御クライアントを包含する。各eSIMは、ユーザアカウントに関連付けられ、従って、“eSIM”は、複数のアクセス制御クライアントを広く包含する(例えば、ユーザは、同じeSIMアカウントに関連したUSIM及びSIMを有する)ことが更に理解されよう。
【0053】
更に別のシナリオでは、セキュリティモジュールは、eSIMをそれ自体で暗号化することができる。例えば、セキュリティモジュールは、eSIMをそれ自体で暗号化し、そして暗号化されたeSIMを、後で使用するために持続的記憶装置に記憶することができる。
【0054】
ある実施形態では、セキュリティモジュール暗号スキームは、非対称的キー対をベースとするか、或いは又、セキュリティモジュール暗号スキームは、対称的使用してもよい。簡単に述べると、パブリック/プライベートキー対は、機密のプライベートキー及び公表可能なパブリックキーをベースとする。パブリック/プライベートキースキームは、暗号及び解読に使用されるキーが異なるので、「非対称的」と考えられ、従って、暗号者及び解読者は同じキーを共有しない。それに対し、「対称的」キースキームは、暗号及び解読の両方に対して同じキー(又は若干変えたキー)を使用する。Rivest、Shamir及びAdleman(RSA)アルゴリズムは、関連分野で通常使用されるパブリック/プライベートキー対暗号技術の1つの形式であるが、本発明は、このRSAアルゴリズム(又はそのことでは、非対称的又は対称的キー対)に何ら限定されるものではないことを認識されたい。
【0055】
パブリック/プライベート暗号スキームは、メッセージを暗号化し、及び/又は署名を発生するのに使用できる。特に、メッセージは、プライベートキーで暗号化され、そしてパブリックキーで解読され、これにより、メッセージが通過中に変更されていないことを保証する。同様に、署名を発生するエンティティが正当であると仮定すれば、プライベートキーで発生された署名は、パブリックキーで検証することができる。両使用において、プライベートキーは、隠れたままとなり、そしてパブロックキーは、自由に配布される。
【0056】
1つの規範的な実施形態において、セキュアな記憶装置は、アクセス制御クライアントデータ及びファイルを記憶するように構成された揮発性のコンピュータ読み取り可能な媒体である。セキュアな記憶装置は、追跡データベース及びセキュリティモジュールの両方に結合される暗号化されたアクセス制御クライアントを含む共有メモリである。共有メモリのアクセス実施は、追跡データベース及びセキュリティモジュールの両方がコヒレントなデータベースに対して動作できるようにする(例えば、異なるメモリプール間でデータを同期させる必要はない)。揮発性メモリは、メモリコンテンツを保持するための電力を要求し、これは、揮発性メモリを除去すると、メモリが消去されるので、ある実施については望ましい(セキュリティを更に改善する)。又、揮発性メモリは、一般的に、同等の不揮発性メモリより高速である。
【0057】
本発明のある実施形態では、セキュアな記憶装置は、アクセス制御クライアントの同じプールへの複数の装置のアクセスを可能にする。セキュアな記憶装置は、追跡データベースとセキュリティモジュールとの間に物理的に結合されなくてもよく、ネットワークを経てアクセスすることができる。分散型ファシリティ構成では、セキュアな記憶装置は、論理的に共有されなくてもよい。例えば、リモートデータベースは、アクセス制御クライアントのデータ及びファイルの各部分をローカルキャッシュし、そして全ての装置が合意することを保証するために互いに周期的に同期をとる。
【0058】
又、セキュアな記憶装置は、物理的及び/又は論理的に保護される。例えば、セキュアな記憶装置は、ハードウェアセキュリティモジュール(HSM)内に保護され、このHSMは、強制的にオープン/アクセスされた場合にそれ自身を破壊するように構成される。より一般的には、追跡データベース、セキュリティモジュール、及びセキュアな記憶装置は、典型的に、信頼性ある境界内に保護される。信頼性境界の通常の実施は、物理的境界(例えば、物理的分離、等)及び/又は論理的境界(例えば、暗号化通信、等)の両方を含む。更に、前記論理的エンティティ(追跡データベース、セキュリティモジュール及びセキュアな記憶装置)は、主として、コヒレントな又は一体的なエンティティとして説明されるが、ほとんどのネットワークインフラストラクチャーでは、これらの論理的エンティティは、タンデムに動作する複数の個別装置(地理的にも個別)より成ることが明らかであろう。
【0059】
例えば、一実施形態において、追跡データベースは、追跡データベースソフトウェアを実行しそして互いに通信してデータ同期を維持する複数の個別のデータベース装置のコミュニティである。同様に、論理的セキュリティモジュールは、複数の個別のセキュリティモジュールより成り、1つのそのような変形例では、セキュリティモジュールは、追跡データベースによって完全に指令され、互いに同期をとらない。
【0060】
再び、図2を参照すれば、ステップ204において、1つ以上のアクセス制御クライアントがセキュアなレポジトリから1つ以上の配布位置へ送信される。1つの規範的な実施形態では、配布位置は、各行先へ配布するために暗号化されたアクセス制御クライアントを記憶するように構成されたアクセス制御クライアントデポットである。アクセス制御クライアントは、暗号化され、行先装置以外の装置では使用できないので、暗号化されたアクセス制御クライアントのコピーを複数のデポットにロードすることができる。
【0061】
1つの規範的な具現化では、暗号化されたアクセス制御クライアントは、そのアクセス制御クライアントを非制御状態で配信できるように記憶される(即ち、各デポットは、そのトランザクションを他のデポットと同期させるか又はネットワーク集中エンティティに通知する必要がない)。各コピーは、行先装置に対して暗号化され、ここで、行先装置は、信頼性ある装置である。1つのそのような実施形態では、行先装置は、暗号化されたアクセス制御クライアントを一回だけダウンロードするように構成される。アクセス制御クライアントがダウンロードされると、アクセス制御クライアントの他のコピーは、「古く」なり、その後、除去し、削除し、又はインアクティブとすることができる。敵意のある第三者は、アクセス制御クライアントを解読することもできないし、暗号化されたコピー(古くなった、等)をアクチベートすることもできない。
【0062】
セキュアなレポジトリは、アクセス制御クライアントを1つ以上の配布位置に大量に与えてもよい。例えば、SIMベンダーは、非常に多数のeSIMを大きなロットで(例えば、一度に数千のeSIM)与えることができる。或いは又、セキュアなレポジトリは、一度に1つのeSIMを与えてもよく、例えば、ある実施形態では、ユーザは、それらの未使用のeSIMをeSIMデポット内に一時的に(例えば、別の装置へ転送するため)又は長期保管で「パーキング」させることができる。
【0063】
本発明の種々の実施形態は、更に、配布位置内に記憶された各アクセス制御クライアントに関連したメタデータの追加も含む。メタデータは、セキュアに記憶されるが、在庫管理を容易にするために配布装置によりアクセスすることができる。例えば、eSIMデポットは、(eSIM又は行先装置に特有のキーではなく)それ自身のキーでメタデータを暗号化し、eSIMデポットが、暗号化されたeSIMを適切に識別できるようにする。メタデータの通常の例は、識別情報、発行者情報、ネットワーク情報、アカウント情報、ステータス情報、等を含むが、これに限定されない。
【0064】
ある実施形態では、メタデータは、更に、外部エンティティによって問合せ及び/又はアクセスされる。例えば、eUICCアプライアンスは、eSIMデポットのメタデータを周期的にチェック又は更新する必要がある(例えば、在庫を決定したり、古い情報を識別したり、等々のために)。別のそのような例では、移動装置のユーザは、特定のeSIMデポットに位置するパーキングeSIM、等に関する情報を要求することができる。
【0065】
ステップ206において、要求されたアクセス制御クライアントは、配布位置の少なくとも1つから行先装置へ配布される。配布モデルの柔軟性のために、当業者であれば、本開示が与えられたときに、多数の異なるスキームが想像され認識されるであろう。本発明の種々の態様に基づき動作するのに適した広範な種々のスキームを表わす多数のeSIM配布スキームについて以下に述べる。
【0066】
「プル」及び「プッシュ」eSIM配信
「プル」eSIM配信では、eSIMデポットは、ユーザ装置から発生する初期要求に応答してeSIMを配信する。プル配信は、最も簡単な配信スキームであり、ユーザは、ユーザの希望で多数のeSIMデポットのいずれからもeSIMを要求できる。
【0067】
対照的に、「プッシュ」eSIM配信では、eSIMデポットは、ユーザ装置へのeSIM(又はその通知)の配信を開始する。プッシュ配信は、eSIMの複数の冗長コピーを単一の装置へプッシュするのを防止するためにeSIMデポット間にある程度の整合が要求されるので、より複雑な配信スキームである。
【0068】
あるケースでは、プッシュ及びプル配信スキームを結合することができ、例えば、ユーザは、eSIMを要求し、eSIMデポットは、その要求を満たすことが現在できないことを指示する。その後の時点で、eSIMデポットは、eSIMをユーザへプッシュすることができる。別のそのような例では、eSIMデポットは、eSIM通知をユーザにプッシュし、この通知は、ある期間中(例えば、プロモーションオファー、試行期間、等)有効である。ユーザがeSIMに関心がある場合、ユーザは、その後、eSIMデポットからeSIMをプルすることができる。
【0069】
プッシュ及び/又はプルeSIM配信に関連して有用なeSIM配信のための更に別のスキームが、参考としてここにそのまま援用する2010年6月14日に出願された“METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK”と題する米国プロビジョナル特許出願第61/354,653号;及び2010年11月22日に出願された“APPARATUS AND METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK”と題する米国特許出願第12/952,089号に詳細に述べられている。
【0070】
リザーブeSIM配信
あるモデルにおいて、eSIMデポットは、特定のユーザに対して特定のeSIMをリザーブする。例えば、新たな顧客がオンラインストアから装置を購入する場合に、ストアは、顧客の購入装置に対してリザーブされた1つ以上のeSIMを識別する。あるケースでは、ストアは、装置を顧客へ出荷し、リザーブeSIMをeSIMデポットに与える。顧客が、新たに購入した装置を最初に操作するときに、装置は、eSIMデポットに連絡して、リザーブeSIMを要求する。そのようなリザーブベースのeSIM配信に関する他の変形が、参考としてここにそのまま援用する2010年10月29日に出願された“ACCESS DATA PROVISIONING SERVICE”と題する米国プロビジョナル特許出願第61/408,504号に詳細に述べられている。
【0071】
アーカイブ(バックアップ)eSIM配信
更に別の例において、eSIMデポットは、未使用のeSIMの記憶位置としても働くことが容易に明らかである。例えば、顧客は、それ自身のeSIMを、eSIMデポットに使用しないときにパーキングし、その後の時点で、顧客は、そのeSIMを検索し(それらの装置又は異なる装置において)、そして動作を回復させる。多くのケースでは、顧客は、eSIMをeSIMデポット内にパーキングする前にeSIMを更に暗号化し、例えば、顧客は、eSIMをその現在装置に対して暗号化し、その現在装置だけがeSIMを回復できるようにする。顧客が行先装置を知らない(例えば、新たな装置への転送中に)アプリケーションでは、それらの現在装置が、例えば、ジェネリックキー、それら自身のキー(その後の時点で解読及び再暗号化を必要とする)、等でeSIMを暗号化する。
【0072】
延期型eSIM配信
更に別の配布スキームでは、eSIMデポットは、参考としてここにそのまま援用する2010年6月14日に出願された“METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK”と題する米国プロビジョナル特許出願第61/354,653号;及び2010年11月22日に出願された“APPARATUS AND METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK”と題する米国特許出願第12/952,089号、並びに2009年1月13日に出願された“POSTPONED CARRIER CONFIGURATION”と題する第12/353,227号(現在、米国特許公告第2009/0181662号として広告されている)に述べられた形式のような延期型配信を容易にすることができる。例えば、1つのそのようなシナリオにおいて、移動装置が装置の工場で製造されて、eSIMなしにユーザに配信される。最初のアクチベーションにおいて、ユーザの移動装置は、eSIMデポットからeSIMを要求する。そのとき、eSIMデポットは、(例えば、これに限定されないが、望ましい移動ネットワークオペレータ(MNO)、望ましいサービスプラン、装置特有の制約、ユーザ入力、等を含む1つ以上の基準に基づく)移動装置の適当なeSIMを決定する。
【0073】
別のそのようなシナリオにおいて、移動装置は、販売キオスク又は小売店でユーザにより購入され、販売キオスクは、移動装置にeSIM形式を指定するが、eSIMを装置にプログラムすることはない。ユーザは、移動装置を家に持ち帰り、eSIMデポットから新たなeSIMをダウンロードする。ダウンロードされると、移動装置は、eSIMをアクチベートすることができる。
【0074】
当業者であれば、本開示のコンテンツが与えられれば、以上のスキームの種々の組み合わせ及び置き換えが明らかであろう。
【0075】
方法200のステップ208において、行先装置は、配信されたアクセス制御クライアントをアクチベートする。1つの規範的実施形態において、配信されたアクセス制御クライアントのアクチベーションは、行先装置と、移動ネットワークオペレータ(MNO)の認証センター(AuC)又は同様のエンティティのようなアクチベーションサービスとの間で遂行される。例えば、1つの規範的実施形態において、移動装置は、アクチベーションサービスからアクチベーションを要求する。アクチベーションサービスは、eSIMを検証し(例えば、暗号チャレンジ及び応答トランザクション、等で)、そして成功であれば、eSIMをアクチベートする。
【0076】
eSIM配布のための規範的ネットワークアーキテクチャー
図3を参照して、ネットワークアーキテクチャー及びシステムの1つの規範的実施形態を開示する。ここに示すシステム300は、(i)多数のeUICCアプライアンス302、(ii)多数のeSIMデポット304、及び(iii)関連バックアップ記憶装置306を含む多数の論理的エンティティより成り、その各々について以下に詳細に述べる。
【0077】
eUICCアプライアンス
図3のeUICCアプライアンス302(1つ又は複数)は、eSIMの現在ポピュレーションが独特なもので且つ保存されたままであるよう保証する役割を果たす。より詳細には、eUICCアプライアンスは、一度に1つの独特のeSIMしか使用できず、即ち2つのeUICCアプライアンスが同じeSIMをもつことがないよう保証しなければならない。eSIMがeUICCアプライアンス間に転送されるたびに、転送側eUICCアプライアンスは、被転送側eUICCしかアクティブにならないように、そのコピーを削除し、デアクチベートし、さもなければ、使用不能にする。実際の具現化では、eUICCアプライアンスの機能は、論理的に接合されたeUICCアプライアンスのアレイであるアプライアンス「クラスター」として実施される。
【0078】
1つの規範的な実施形態において、eUICCアプライアンスは、他のeUICCアプライアンス、eSIMデポット304、及び移動装置のeUICCと通信することができる。或いは又、あるネットワークでは、eSIMデポット304のみを通してeUICCアプライアンス間の通信を実施するのが有用である(即ち、eSIMデポットは、転送のための唯一の仲介者であり、eUICCアプライアンスは、eSIMを直接転送することはできない)。そのような制限は、転送中に競争状態のおそれを減少する上で助けとなる。例えば、eUICCアプライアンスからeUICCアプライアンスへの直接的な転送では、eUICCアプライアンスは、2つのアプライアンスにeSIMが存在するときに短時間の重畳があり、トランザクションが不意に中断した場合には偶発的に複写されることがある。eSIMデポットを経なければ転送が生じないように制限することで、送信側eUICCアプライアンスは、行先eUICCアプライアンスが暗号化されたeSIMを受け取る前に、そのeSIMを削除することができる。
【0079】
1つの構成では、eUICCアプライアンス302は、3つの論理的エンティティ、即ち(i)署名アプライアンス312、(ii)セキュリティ記憶装置314、及び(iii)セキュアなモジュール316に細分化される。eUICCアプライアンスの通常の実施では、論理的エンティティが単一の装置内に合併されるか、或いは信頼性ある境界内で動作する複数の装置内でエンティティが実施される。例えば、1つの構成では、セキュリティモジュールは、専用プロセッサ及び実行コードベースを伴う個別の強化モジュールとして実施される。別の構成では、セキュリティモジュールは、セキュアなプロセッサ内で実施される大きな論理的エンティティ(例えば、署名アプライアンス及びセキュリティ記憶装置を含む)内で実施される。更に別の実施形態では、複数のセキュリティモジュールは、例えば、分散型署名エンティティアプリケーション等の、他の論理的エンティティを動作するサーバーに接続される。信頼性ある境界の通常の実施は、物理的境界(例えば、物理的分離、等)、及び/又は論理的境界(例えば、暗号化通信、等)を含む。更に別の具現化では、望ましい冗長性、負荷容量、等を与えるために、前記エンティティが更に複写される。
【0080】
署名アプライアンス312は、eSIMのポピュレーション、それに関連したトランザクションデータ(例えば、発行されたチャレンジ、使用する独特の識別子、等)を追跡する役割を果たす。1つの規範的な実施形態では、署名アプライアンスは、eSIM(例えば、集積回路カードID(ICCID))、並びに最後に発行されたチャレンジ及び/又は独特のトランザクション識別子を追跡する。1つのそのような変形例では、最後に発行されたチャレンジ及び/又は独特なトランザクション識別子は、eSIMがまだインポート(又はエクスポート)されていない保留中の転送に対するものである。ある変形例では、署名アプライアンスが転送を完了すると、トランザクションデータは、もはや必要とされず、削除することができる。
【0081】
セキュリティモジュール316は、eSIMを暗号化又は解読するように構成される。又、セキュリティモジュールは、署名アプライアンスによる転送のためにeSIMを暗号化又は解読するように命令される。eSIMは、装置の行先eUICCに特有の暗号キー(eUICCパブリックキー、及び/又はセキュアなセッションキーのような)を使用して暗号化される。更に、ある実施形態では、セキュリティモジュールは、装置から受け取られた暗号化されたeSIMを解読し、そしてその解読されたeSIMをセキュアな記憶装置内に記憶する。1つのそのような実施形態では、受け取った暗号化されたeSIMは、セキュリティモジュールのプライベートキーで解読される(セキュリティモジュールのパブリックキーは、発信側装置へ配布される)。
【0082】
署名アプライアンスは、データ及びファイルを記憶するためにセキュアな記憶装置314に結合される。このセキュアな記憶装置は、物理的及び/又は論理的に保護される。例えば、記憶されたeSIMは、ハードウェアセキュリティモジュール(HSM)内で暗号化され、このHSMは、強制的にオープン/アクセスされた場合にそれ自身を破壊するように構成される。セキュアな記憶装置は、暗号化されたデータ及びファイル、例えば、暗号化されたeSIM及び/又は周期的バックアップデータを記憶する。ある実施形態では、セキュアな記憶装置は、暗号化/セキュリティ化の付加的な内部レイヤを追加する。例えば、ある実施形態では、暗号化されたデータ及びファイルは、バックアップされると共に、物理的にあまりセキュアでないか又は物理的に非セキュアな持続性記憶装置へ複写される(記憶媒体は、ジェネリックなコンピュータ媒体上にある)。
【0083】
eSIMデポット
eSIMデポット304は、eSIM配布のための配布インターフェイスをなす。単一のネットワークエンティティへの過剰なネットワークトラフィック(ボトルネック化)を防止するために、複数のeSIMデポットが、暗号化されたeSIMを記憶し、そしてその暗号化されたeSIMを装置へ配信することができる。
【0084】
一実施形態において、eSIMデポット304は、eSIMの要求を発生すると共に、他のeSIMデポット、eUICCアプライアンス302及び/又は装置のeUICCからのeSIMの要求に応答する。1つの変形例において、eSIMデポットは、更に、各eSIMに関連したメタデータの要求及びそれに対する更新に応答する。メタデータは、ネットワークセキュリティに影響を及ぼさないが、暗号化されたeSIMを識別しそして特徴付けるのに使用される。従って、この具現化におけるメタデータの変更は、メタデータを変更することが認証及び/又は許可された信頼性ある当局でなければ行うことができない。eSIMメタデータは、例えば、eSIM集積回路カードID(ICCID)、eSIMベンダー、移動ネットワークオペレータ、加入者アカウント情報(もしあれば)、及びeSIMの現在ステータス(例えば、アクティブ、インアクティブ、リザーブ、パーキング、等)を含む。
【0085】
eSIMデポット304に記憶されたeSIMは、典型的に、行先装置について暗号化される。通常のオペレーション中に、行先装置は、暗号化されたeSIMをいずれかのeSIMデポットから要求することができる。それに応答して、eSIMデポットは、暗号化されたeSIMを行先装置へ配信し、そして他のeSIMデポットに配信を通知する。他のeSIMデポットは、暗号化されたeSIMコピーを都合の良いときに(例えば、空き記憶スペース、等へ)破壊することができる。
【0086】
暗号化されたeSIMの複数のバージョンがeSIMデポットへ配布されることに特に注意されたい。eSIMデポット304は、ステート情報を検証せず、又、暗号化されたeSIMのコンテンツを変更しないので、同じeSIMを複数のeSIMデポットに記憶することができる。しかしながら、eSIMは、行先装置について暗号化される(これは、eSIMの1つのコピーしかアクチベートしない)。
【0087】
持続的記憶装置
ある実施形態において、eUICCアプライアンス302又はeSIMデポット304は、更に、災害復旧及び/又はアーカイブサービスの助けとなるように外部の持続的記憶装置306に結合される。持続的記憶装置は、ある具現化では(例えば、バックアップ情報、等のためにeUICCアプライアンスの内部記憶装置が使用される場合には)不要である。
【0088】
他の実施形態では、持続的記憶装置は、システムの唯一の不揮発性記憶装置である。例えば、あるネットワークアーキテクチャーは、eSIMが使用のために揮発性メモリのみに対して暗号化されないという制約があり、これは、とりわけ、揮発性メモリへの電力が失われた場合に(意図的であろうとなかろうと)、その暗号化されないコンテンツも失われるという点で、付加的な保護レイヤを追加するという利益をもたらす。このような実施形態では、eSIMは、持続的記憶、配布、等のために不揮発性メモリ内に暗号化形態で記憶される。
【0089】
一実施形態では、オペレーション中に、持続的記憶装置302には、独特に暗号化されたBLOB(バイナリーラージオブジェクト)が周期的に書き込まれ、このBLOBは、eUICCアプライアンスのステート、チャレンジ、等と、現在eUICCデータベースを再生成するのに必要な他のデータとを含む。BLOBは、eUICCアプライアンスのセキュリティキーでしか解読できない。その後の時点で、eUICCアプライアンス302が回復不能な故障となった場合には、eUICCアプライアンスを、以前に記憶されたBLOBに戻すことができる。1つの変形例において、BLOBは、外部記憶装置へエクスポートされ、そしてセキュアに記憶される必要がなく(コンテンツは暗号化される)、例えば、BLOBは、倉庫、等の地理的に離れた位置に記憶される。
【0090】
別の実施形態では、eSIMデポットは、そのBLOBを持続的記憶装置に周期的に記憶する。そのようなある変形例では、eSIMデポットは、更に、BLOBに関連したメタデータを暗号化し、従って、例えば、記憶消失の場合に全ステート回復を可能にする。
【0091】
オペレーション例
本発明の種々の態様を例示する規範的なトランザクションについて以下に説明する。
【0092】
図4は、eSIMの典型的なライフサイクルを示す1つの規範的な梯子図である。最初に、eSIMがeSIMベンダーによりeSIMデポット304に与えられる。一般的に、eSIMは、ネットワーク転送を経て配信されるか、又はあるケースでは、例えば、ラックマウントの大量記憶装置、コンピュータ読み取り可能な媒体、等で物理的に配送される。配信されるeSIMは、行先eUICCアプライアンス302については暗号化されて配信され、或いはeUICCアプライアンスがeSIMを解読できるように暗号情報と共に配信される(例えば、セッションキー、共有の製造者特有キー、等)。
【0093】
eUICCアプライアンスクラスター(eUICCアプライアンス302のアレイ)は、eSIMデポット304からeSIMを検索し、そして各eSIMを記憶のためにeUICCアプライアンスに割り当てる。eSIMごとに、署名アプライアンス312は、割り当てられたeSIMが通知され、そしてeSIM識別子及びその関連トランザクションデータを記録する。セキュリティモジュール316は、eSIMをセキュアな記憶装置314に記憶する。あるケースでは、eSIMは、eUICCアプライアンスについて暗号化され、そして暗号フォーマットで記憶される。
【0094】
ここで、要求事象を参照すれば、移動装置402は、eSIMデポット304からeSIMを要求する。この要求は、移動装置のeUICCパブリック暗号キー及びチャレンジを含む。この要求は、eUICCアプライアンス302へ転送される。eUICCアプライアンスは、チャレンジを検証し、そして適切な応答を発生する。次いで、eSIMアプライアンスは、記憶装置から適当な暗号化されたeSIMを選択し、それ自身のプライベートキーを使用してeSIMを解読し、そして移動装置のeUICCパブリック暗号キーを使用して、チャレンジ応答を伴う移動のためのeSIMを再暗号化する。eUICCアプライアンスは、新たに暗号化されたBLOBを多数のeSIMデポットのいずれにも転送し、その内部レコードを更新する。
【0095】
いずれのeSIMデポット304も、eSIMを検索に利用できることを移動装置402に通知することができる。それに応答して、移動装置は、暗号化されたBLOBを最も近くのeSIMデポットからダウンロードし、そしてBLOBを解読する。チャレンジ応答が有効な場合には、移動装置は、解読されたeSIMをアクチベートする。ある実施形態では、eSIMデポットは、配信が成功であったことをeUICCアプライアンスに通知することができる。eSIMデポットに記憶された未使用のコピー及びeSIMアプライアンスに記憶されたコピーは、配信が成功した後に削除できる。eSIMについての各要求は、異なるチャレンジを含むので、コピーは古いものとなり、その後の要求に対して「再生」することができない。
【0096】
装置
上述した方法に関連して有用な種々の装置を以下に詳細に述べる。
【0097】
eUICCアプライアンス
図5は、本発明によるeUICCアプライアンス302の1つの規範的な実施形態を示す。eUICCアプライアンスは、スタンドアローンエンティティでもよいし、又は他のネットワークエンティティと合体されてもよい。図示されたように、eUICCアプライアンス302は、一般的に、通信ネットワークとインターフェイスするためのネットワークインターフェイス502、プロセッサ504、及び1つ以上の記憶装置508を備えている。ネットワークインターフェイスは、MNOインフラストラクチャーに接続されて示されており、他のeUICCアプライアンスへのアクセス、及び1つ以上の移動装置への直接的又は間接的なアクセスを与えるが、他の構成及び機能に置き換えてもよい。
【0098】
1つの構成において、eUICCアプライアンスは、(i)別のeUICC(eUICCアプライアンス又はクライアント装置)との通信を確立することができ、(ii)eSIMをセキュアに記憶することができ、(iii)セキュアに記憶されたeSIMを検索することができ、(iv)別の特定のeUICCへ配信するためにeSIMを暗号化することができ、そして(v)eSIMデポットへ/から複数のeSIMを送ることができる。
【0099】
図5に示す実施形態では、eUICCアプライアンス302は、少なくとも、プロセッサ504で実行される署名エンティティ312を含む。この署名エンティティ312は、(i)eSIMを記憶する要求、(ii)現在記憶されているeSIMを転送する要求を含む要求を処理する。又、署名エンティティは、要求を行うことが許可された別のエンティティから通信が受信されるよう保証するために要求を検証する役割も果たす。
【0100】
一実施形態において、署名エンティティ312は、チャレンジ及び応答セキュリティ交換を実行することにより要求を検証する。チャレンジ/応答セキュリティプロトコルは、未知の第三者により行われた要求を、チャレンジ及び/又は応答の適当な発生に基づいて検証するように構成される。或いは又、別の実施形態では、セキュアな要素は、信頼性ある当局により署名されたデジタル証明書を検証することができる。
【0101】
署名エンティティ312は、更に、利用可能なeSIMを管理するように構成される。図5に示すように、署名エンティティは、特定のeSIM、eSIMを使用することが許可された装置、eSIMの現在ステート及び/又はeSIMの現在ステータス(「利用可能」、「利用不能」、「古くなった」、等)に関する情報を与える。付加的な情報も維持される。署名エンティティは、セキュアな記憶装置314に記憶された情報を更新又は変更するように構成される。
【0102】
図5に示す実施形態では、セキュアな記憶装置314は、アクセス制御クライアントのアレイを記憶するようにされる。1つの規範的な実施形態では、eUICCアプライアンスは、セキュアに暗号化されたeSIMのアレイを揮発性記憶装置に記憶する。揮発性メモリは、メモリコンテンツを保持するために電力を必要とし、揮発性メモリの通常の例は、ランダムアクセスメモリ(RAM)、スタティックRAM(SRAM)、ダイナミックRAM(DRAM)、等を含む。
【0103】
各eSIMは、コンピュータ読み取り可能なインストラクション(eSIMプログラム)及びその関連データ(例えば、暗号キー、完全性キー、等)を含む小さなファイルシステムを備えている。更に、各eSIMは、トランザクションデータ(例えば、発行されたチャレンジ、使用する独特の識別子、等)にも関連付けされる。セキュリティモジュール316は、1つの変形例では、署名エンティティ312からのインストラクションに少なくとも一部分基づいてアクセス制御クライアントを暗号化又は解読するように構成される。セキュリティモジュールは、装置特有の暗号キーの独特のセットである。暗号キーは、例えば、パブリックキー及びプライベートキーを含む。セキュリティモジュールは、そのパブリックキーで暗号化されたeSIMを、そのプライベートキーを使用して、解読することができる。更に、セキュリティモジュールは、別の装置パブリックキーでeSIMを暗号化することができる。パブリック/プライベートキー暗号化の更なる説明は、ここに援用する“METHODS AND APPARATOUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS”と題する米国プロビジョナル特許出願第61/407,866号に詳細に述べられている。
【0104】
別の装置がeUICCアプライアンス302からeSIMを要求すると、署名アプライアンスは、要求されたeSIMの現在ステートを検索する。この情報は、要求されたeSIMを与えることができるかどうか決定するのに使用される。この有効性チェックは、eUICCアプライアンスにおいて行われるか、又は更に別の位置で行われ、例えば、別のエンティティ(eSIMデポットのような)におけるステートをeUICCアプライアンスにおける最後に知られたステートと比較することにより行われる。
【0105】
有効性チェックが成功である場合には、署名アプライアンスは、セキュリティモジュール316に、関連eSIMを暗号化するように命令する。例えば、一実施形態では、セキュリティモジュールは、eSIMを行先装置(例えば、クライアント装置、別のeUICCアプライアンス302、等)に対して暗号化する。eSIMが行先eUICCアプライアンスに対して暗号化されると、その行先eUICCアプライアンスでなければそれを解読できない。ある実施形態では、暗号化された各eSIMは、独特な識別子、チャレンジ、又はチャレンジ応答で更に暗号化される。転送が成功であると、eUICCアプライアンス在庫からeSIMをパージすることができる。
【0106】
同様に、別の装置がeSIMをeUICCアプライアンス302へ転送すると、署名アプライアンスは、セキュリティモジュール316に、関連eSIMをセキュアな記憶装置について解読し、そしてその関連トランザクションデータを更新するように命令する。
【0107】
eSIMデポット
図6は、本発明によるeSIMデポット304の1つの規範的な実施形態を示す。このeSIMデポット304は、スタンドアローンエンティティでもよいし、又は他のネットワークエンティティ(例えば、eUICCアプライアンス302、等)と合体されてもよい。図示されたように、eSIMデポット304は、一般的に、通信ネットワークとインターフェイスするためのネットワークインターフェイス602、プロセッサ604、及び記憶装置608を備えている。
【0108】
図6に示す実施形態において、eSIMデポット304は、(i)eSIMの在庫管理を行うことができ(例えば、関連メタデータを経て)、(ii)暗号化されたeSIMに対する要求(例えば、他のeSIMデポット及び/又はeUICCアプライアンス302からの)に応答することができ、そして(iii)eSIMに対する加入者要求を管理することができる。
【0109】
例えば、eSIMがユーザによりeSIMデポット304に記憶されるときに、eSIMは、(例えば、別の装置への転送を容易にするために)意図された行先と共に記憶されるか、又は不定にパーキングされる。いずれの場合にも、eSIMデポットは、セキュアな記憶のために及び行先装置に対するその後の暗号化のためにeUICCアプライアンスにeSIMを与えることができる。
【0110】
図6に示す実施形態において、記憶装置608は、暗号化されたアクセス制御クライアントのアレイを記憶するようにされる。eSIMデポットは、暗号化されたeSIMのアレイを、バイナリーラージオブジェクト(BLOB)として不揮発性メモリ内に記憶する。不揮発性メモリの通常例は、フラッシュ、ハードディスクドライブ、リードオンリメモリ(ROM)、等を含むが、これに限定されない。1つのこのような具現化において、各BLOBには、BLOBのコンテンツを識別するメタデータが更に関連付けられる。例えば、メタデータは、識別情報、発行者情報、ネットワーク情報、アカウント情報、ステータス情報、等を含む。
【0111】
ユーザ装置
図7を参照して、本発明の種々の態様による規範的なユーザ装置700について説明する。
【0112】
図7の規範的なUE装置は、デジタル信号プロセッサ、マイクロプロセッサ、フィールドプログラマブルゲートアレイ、又は1つ以上の基板にマウントされた複数の処理コンポーネントのようなプロセッササブシステム702を伴うワイヤレス装置である。又、処理サブシステムは、内部キャッシュメモリも含む。処理サブシステムは、例えば、SRAM、フラッシュ、及び/又はSDRAMコンポーネントを含むメモリを含むメモリサブシステム704と通信する。メモリサブシステムは、この技術で良く知られたように、データアクセスを容易にするため、1つ以上のDRAM型のハードウェアを実施する。メモリサブシステムは、プロセッササブシステムにより実行されるコンピュータ実行可能なインストラクションを含む。
【0113】
1つの規範的な実施形態では、装置は、1つ以上のワイヤレスネットワークに接続される1つ以上のワイヤレスインターフェイス706を備えている。複数のワイヤレスインターフェイスは、適当なアンテナ及びモデムサブシステムを実施することにより、GSM、CDMA、UMTS、LTE/LTE−A、WiMAX、WLAN、Bluetooth、等の異なる無線技術をサポートする。
【0114】
ユーザインターフェイスサブシステム708は、これに限定されないが、キーパッド、タッチスクリーン(例えば、マルチタッチインターフェイス)、LCDディスプレイ、バックライト、スピーカ、及び/又はマイクロホンを含む多数の良く知られたI/Oを備えている。しかしながら、あるアプリケーションでは、これらコンポーネントの1つ以上が除去されてもよいことが明らかである。例えば、PCMCIAカード型クライアント実施形態は、ユーザインターフェイスがなくてもよい(物理的及び/又は電気的に結合されたホスト装置のユーザインターフェイスに便乗させることができるので)。
【0115】
ここに示す実施形態では、装置は、eUICCアプリケーションを収容して動作するセキュアな要素710を備えている。eUICCは、ネットワークオペレータとの認証に使用される複数のアクセス制御クライアントを記憶しそしてそれにアクセスすることができる。セキュアな要素は、セキュアな媒体に記憶されたソフトウェアを実行するセキュアなプロセッサを含む。セキュアな媒体は、(セキュアなプロセッサ以外の)他の全てのコンポーネントにアクセスすることができない。更に、セキュアな要素は、上述したように改竄を防止するために更に強化されてもよい(例えば、樹脂で包む)。
【0116】
セキュアな要素710は、1つ以上のアクセス制御クライアントを受け取って記憶することができる。一実施形態では、セキュアな要素は、ユーザに関連した複数のeSIMのアレイを記憶し(例えば、仕事について1つ、個人について1つ、ローミングアクセスについて数個、等)、及び/又は別の論理的スキーム又は関係に基づく(例えば、家族又はビジネスエンティティの複数のメンバーの各々について1つ、家族のメンバーの個人的及び仕事の使用の各々について1つ、等々)。各eSIMは、コンピュータ読み取り可能なインストラクション(eSIMプログラム)及びその関連データ(例えば、暗号キー、完全性キー、等)を含む小さなファイルシステムを備えている。
【0117】
セキュアな要素は、更に、移動装置へ及び/又は移動装置からeSIMを転送できるようにする。1つの具現化において、移動装置は、eSIMの転送を開始するためにGUIベースの確認を発生する。
【0118】
移動装置のユーザがeSIMをアクチベートすることを選ぶと、移動装置は、アクチベーションに対する要求をアクチベーションサービスへ送る。移動装置は、標準認証及びキー合意(AKA)交換のためにeSIMを使用することができる。
【0119】
持続的記憶装置
図8は、本発明による持続的記憶装置306の1つの規範的実施形態を示す。この持続的記憶装置は、スタンドアローンエンティティとして具現化されてもよいし、又は他のネットワークエンティティ(例えば、eUICCアプライアンス302、eSIMデポット304、等)と合体されてもよい。図示されたように、持続的記憶装置は、一般的に、インターフェイス804及び記憶装置802を含む。
【0120】
持続的記憶装置は、暗号化されたアクセス制御クライアントのアレイ及びその関連ステートを不揮発性記憶装置に記憶する。一実施形態では、持続的記憶装置は、暗号化されたeSIM及びその関連メタデータのアレイをバイナリラージオブジェクト(BLOB)として記憶する。各BLOBは、記憶装置のキー(例えば、eUICCアプライアンス、eSIMデポット、等)により独特に暗号化される。
【0121】
本発明の幾つかの態様を、方法のステップの特定シーケンスに関して説明したが、これらの説明は、本発明の広い方法を例示するものに過ぎず、特定のアプリケーションにより要求されるように変更できることが明らかである。あるステップは、ある状況のもとでは不要又は任意とされてもよい。更に、ここに開示する実施形態に、あるステップ又は機能が追加されてもよく、又、2つ以上のステップの遂行手順が入れ替えられてもよい。そのような全ての変更は、ここに開示され請求される本発明の範囲内に包含されると考えられる。
【0122】
以上の詳細な説明は、種々の実施形態に適用したときの本発明の新規な特徴を図示して説明しそして指摘したが、当業者であれば、本発明から逸脱せずに、ここに例示した装置又はプロセスの形態及び細部の種々の省略、置き換え及び変更がなされることが理解されよう。又、以上の説明は、本発明を現在実施する上で考えられる最良の態様である。この説明は、限定を意味するものではなく、本発明の一般的な原理を例示するものとみなすべきである。本発明の範囲は、特許請求の範囲によって決定されるべきである。
【符号の説明】
【0123】
300:システム
302:eUICCアプライアンス
304:eSIMデポット
306:持続的バックアップ記憶装置
312:署名アプライアンス
314:セキュアな記憶装置
316:セキュリティモジュール
502:ネットワークインターフェイス
504:プロセッサ
508:メモリ
602:ネットワークインターフェイス
604:プロセッサ
706:BBプロセッサ
702:APPプロセッサ
704:記憶装置
708:ユーザインターフェイス
710:セキュアな要素
802:ネットワークインターフェイス
804:メモリ
【特許請求の範囲】
【請求項1】
アクセス制御クライアントを配布する方法において、
セキュアなレポジトリ内で1つ以上のアクセス制御クライアントを追跡する段階と、
ターゲット装置に対して第1のアクセス制御クライアントを独特に暗号化する段階であって、前記ターゲット装置は、単一の配布位置のみから単一の暗号化されたアクセス制御クライアントのみをダウンロードするように構成されたものである段階と、
前記暗号化された第1のアクセス制御クライアントを1つ以上の配布位置へ送信する段階であって、前記1つ以上の配布位置は、前記暗号化された第1のアクセス制御クライアントを変更するものではない段階と、
前記セキュアなレポジトリから第1のアクセス制御クライアントを除去する段階と、
を備えた方法。
【請求項2】
前記追跡は、1つ以上のアクセス制御クライアント配布を表わす情報を含む、請求項1に記載の方法。
【請求項3】
前記追跡は、1つ以上のアクセス制御クライアントトランザクションデータを表わす情報を含む、請求項1に記載の方法。
【請求項4】
チャレンジ応答スキームに少なくとも一部分基づき前記ターゲット装置を検証する段階を更に備えた、請求項1に記載の方法。
【請求項5】
アクセス制御クライアントを配布する方法において、
独特なターゲット装置に対して構成された暗号化されたアクセス制御クライアントを1つ以上の配布位置に記憶する段階であって、その1つ以上の配布位置は、前記暗号化されたアクセス制御クライアントを変更するものではない段階と、
前記記憶された暗号化されたアクセス制御クライアントに対する要求に応答して、前記暗号化されたアクセス制御クライアントを配信する段階と、
前記暗号化されたアクセス制御クライアントが1つ以上の配布位置のいずれかから首尾良く配信されるのに応答して、前記記憶された暗号化されたアクセス制御クライアントをデアクチベートする段階と、
を備えた方法。
【請求項6】
前記暗号化されたアクセス制御クライアントの配信は、ネットワーク集中エンティティに通知せずに行われる、請求項5に記載の方法。
【請求項7】
各記憶された暗号化されたアクセス制御クライアントは、メタデータに関連付けられる、請求項5に記載の方法。
【請求項8】
前記メタデータは、アクセス制御クライアント識別情報を含む、請求項7に記載の方法。
【請求項9】
前記メタデータは、アクセス制御クライアント発行者情報を含む、請求項7に記載の方法。
【請求項10】
前記メタデータは、アクセス制御クライアントアカウント情報を含む、請求項7に記載の方法。
【請求項11】
前記メタデータは、アクセス制御クライアントステータス情報を含む、請求項7に記載の方法。
【請求項12】
特定のアクセス制御クライアントに関連したメタデータに対する要求に応答して、その要求されたメタデータを与える、請求項7に記載の方法。
【請求項13】
アクセス制御クライアントを配布するためのアプライアンスにおいて、
1つ以上のアクセス制御クライアントを追跡するように構成された署名アプライアンスと、
ターゲット装置に対してeSIMを独特に暗号化するように構成されたセキュリティモジュールであって、ターゲット装置は、単一の配布位置のみから単一の暗号化されたアクセス制御クライアントのみをダウンロードするように構成されたものであるセキュリティモジュールと、
プロセッサと、
前記プロセッサとデータ通信する記憶装置であって、プロセッサにより実行されたときに、
前記ターゲット装置からの追跡されるアクセス制御クライアントに対する要求に応答して、要求されたアクセス制御クライアントを独特に暗号化し、
その暗号化されたアクセス制御クライアントを1つ以上の配布位置へ送信し、該1つ以上の配布位置は、暗号化されたアクセス制御クライアントを変更するものではなく、
前記署名アプライアンスを更新する、
ように構成されたコンピュータ実行可能なインストラクションを含む記憶装置と、
を備えたアプライアンス。
【請求項14】
前記アプライアンスは、更に、1つ以上のローカル記憶された暗号化されたアクセス制御クライアントのためのセキュアな記憶装置を備えた、請求項13に記載のアプライアンス。
【請求項15】
前記1つ以上のローカル記憶されたアクセス制御クライアントは、前記アプライアンスについて独特に暗号化される、請求項14に記載のアプライアンス。
【請求項16】
前記セキュリティモジュールは、更に、前記アプライアンスについて独特に暗号化されたeSIMを解読するように構成される、請求項14に記載のアプライアンス。
【請求項17】
アクセス制御クライアントを配布するためのデポットにおいて、
ネットワークと通信するためのネットワークインターフェイスと、
プロセッサと、
前記プロセッサとデータ通信する記憶装置であって、前記プロセッサにより実行されたときに、
ターゲット装置について暗号化されたアクセス制御クライアントを記憶し、
その記憶された暗号化されたアクセス制御クライアントに対する要求が要求者装置から受け取られるのに応答して、その暗号化されたアクセス制御クライアントを要求者装置へ配信し、
その暗号化されたアクセス制御クライアントがターゲット装置へ首尾良く配信されるのに応答して、その記憶された暗号化されたアクセス制御クライアントを削除する、
ように構成されたコンピュータ実行可能なインストラクションを含む記憶装置と、
を備えたデポット。
【請求項18】
前記記憶装置は、各アクセス制御クライアントに関連したメタデータを記憶するように構成される、請求項17に記載のデポット。
【請求項19】
特定のアクセス制御クライアントに関連したメタデータに対する要求に応答して、その要求されたメタデータを与えるように構成されたコンピュータ実行可能なインストラクションを更に備えた、請求項18に記載のデポット。
【請求項20】
アクセス制御クライアントを配布するアプライアンスにおいて、
1つ以上のアクセス制御クライアントを追跡する手段と、
ターゲット装置に対しeSIMを独特に暗号化する手段であって、前記ターゲット装置は、単一の配布位置のみから単一の暗号化されたアクセス制御クライアントのみをダウンロードするように構成されたものである手段と、
を備え、ターゲット装置に対しeSIMを独特に暗号化する前記手段は、そのターゲット装置からの追跡されたアクセス制御クライアントに対する要求に応答して独特に暗号化を行い、更に、
前記暗号化されたアクセス制御クライアントを1つ以上の配布位置へ送信する手段であって、前記1つ以上の配布位置は、前記暗号化された第1のアクセス制御クライアントを変更するものではない手段と、
1つ以上のアクセス制御クライアントを追跡する前記手段を更新する手段と、
を備えたアプライアンス。
【請求項1】
アクセス制御クライアントを配布する方法において、
セキュアなレポジトリ内で1つ以上のアクセス制御クライアントを追跡する段階と、
ターゲット装置に対して第1のアクセス制御クライアントを独特に暗号化する段階であって、前記ターゲット装置は、単一の配布位置のみから単一の暗号化されたアクセス制御クライアントのみをダウンロードするように構成されたものである段階と、
前記暗号化された第1のアクセス制御クライアントを1つ以上の配布位置へ送信する段階であって、前記1つ以上の配布位置は、前記暗号化された第1のアクセス制御クライアントを変更するものではない段階と、
前記セキュアなレポジトリから第1のアクセス制御クライアントを除去する段階と、
を備えた方法。
【請求項2】
前記追跡は、1つ以上のアクセス制御クライアント配布を表わす情報を含む、請求項1に記載の方法。
【請求項3】
前記追跡は、1つ以上のアクセス制御クライアントトランザクションデータを表わす情報を含む、請求項1に記載の方法。
【請求項4】
チャレンジ応答スキームに少なくとも一部分基づき前記ターゲット装置を検証する段階を更に備えた、請求項1に記載の方法。
【請求項5】
アクセス制御クライアントを配布する方法において、
独特なターゲット装置に対して構成された暗号化されたアクセス制御クライアントを1つ以上の配布位置に記憶する段階であって、その1つ以上の配布位置は、前記暗号化されたアクセス制御クライアントを変更するものではない段階と、
前記記憶された暗号化されたアクセス制御クライアントに対する要求に応答して、前記暗号化されたアクセス制御クライアントを配信する段階と、
前記暗号化されたアクセス制御クライアントが1つ以上の配布位置のいずれかから首尾良く配信されるのに応答して、前記記憶された暗号化されたアクセス制御クライアントをデアクチベートする段階と、
を備えた方法。
【請求項6】
前記暗号化されたアクセス制御クライアントの配信は、ネットワーク集中エンティティに通知せずに行われる、請求項5に記載の方法。
【請求項7】
各記憶された暗号化されたアクセス制御クライアントは、メタデータに関連付けられる、請求項5に記載の方法。
【請求項8】
前記メタデータは、アクセス制御クライアント識別情報を含む、請求項7に記載の方法。
【請求項9】
前記メタデータは、アクセス制御クライアント発行者情報を含む、請求項7に記載の方法。
【請求項10】
前記メタデータは、アクセス制御クライアントアカウント情報を含む、請求項7に記載の方法。
【請求項11】
前記メタデータは、アクセス制御クライアントステータス情報を含む、請求項7に記載の方法。
【請求項12】
特定のアクセス制御クライアントに関連したメタデータに対する要求に応答して、その要求されたメタデータを与える、請求項7に記載の方法。
【請求項13】
アクセス制御クライアントを配布するためのアプライアンスにおいて、
1つ以上のアクセス制御クライアントを追跡するように構成された署名アプライアンスと、
ターゲット装置に対してeSIMを独特に暗号化するように構成されたセキュリティモジュールであって、ターゲット装置は、単一の配布位置のみから単一の暗号化されたアクセス制御クライアントのみをダウンロードするように構成されたものであるセキュリティモジュールと、
プロセッサと、
前記プロセッサとデータ通信する記憶装置であって、プロセッサにより実行されたときに、
前記ターゲット装置からの追跡されるアクセス制御クライアントに対する要求に応答して、要求されたアクセス制御クライアントを独特に暗号化し、
その暗号化されたアクセス制御クライアントを1つ以上の配布位置へ送信し、該1つ以上の配布位置は、暗号化されたアクセス制御クライアントを変更するものではなく、
前記署名アプライアンスを更新する、
ように構成されたコンピュータ実行可能なインストラクションを含む記憶装置と、
を備えたアプライアンス。
【請求項14】
前記アプライアンスは、更に、1つ以上のローカル記憶された暗号化されたアクセス制御クライアントのためのセキュアな記憶装置を備えた、請求項13に記載のアプライアンス。
【請求項15】
前記1つ以上のローカル記憶されたアクセス制御クライアントは、前記アプライアンスについて独特に暗号化される、請求項14に記載のアプライアンス。
【請求項16】
前記セキュリティモジュールは、更に、前記アプライアンスについて独特に暗号化されたeSIMを解読するように構成される、請求項14に記載のアプライアンス。
【請求項17】
アクセス制御クライアントを配布するためのデポットにおいて、
ネットワークと通信するためのネットワークインターフェイスと、
プロセッサと、
前記プロセッサとデータ通信する記憶装置であって、前記プロセッサにより実行されたときに、
ターゲット装置について暗号化されたアクセス制御クライアントを記憶し、
その記憶された暗号化されたアクセス制御クライアントに対する要求が要求者装置から受け取られるのに応答して、その暗号化されたアクセス制御クライアントを要求者装置へ配信し、
その暗号化されたアクセス制御クライアントがターゲット装置へ首尾良く配信されるのに応答して、その記憶された暗号化されたアクセス制御クライアントを削除する、
ように構成されたコンピュータ実行可能なインストラクションを含む記憶装置と、
を備えたデポット。
【請求項18】
前記記憶装置は、各アクセス制御クライアントに関連したメタデータを記憶するように構成される、請求項17に記載のデポット。
【請求項19】
特定のアクセス制御クライアントに関連したメタデータに対する要求に応答して、その要求されたメタデータを与えるように構成されたコンピュータ実行可能なインストラクションを更に備えた、請求項18に記載のデポット。
【請求項20】
アクセス制御クライアントを配布するアプライアンスにおいて、
1つ以上のアクセス制御クライアントを追跡する手段と、
ターゲット装置に対しeSIMを独特に暗号化する手段であって、前記ターゲット装置は、単一の配布位置のみから単一の暗号化されたアクセス制御クライアントのみをダウンロードするように構成されたものである手段と、
を備え、ターゲット装置に対しeSIMを独特に暗号化する前記手段は、そのターゲット装置からの追跡されたアクセス制御クライアントに対する要求に応答して独特に暗号化を行い、更に、
前記暗号化されたアクセス制御クライアントを1つ以上の配布位置へ送信する手段であって、前記1つ以上の配布位置は、前記暗号化された第1のアクセス制御クライアントを変更するものではない手段と、
1つ以上のアクセス制御クライアントを追跡する前記手段を更新する手段と、
を備えたアプライアンス。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2012−221511(P2012−221511A)
【公開日】平成24年11月12日(2012.11.12)
【国際特許分類】
【外国語出願】
【出願番号】特願2012−98171(P2012−98171)
【出願日】平成24年4月5日(2012.4.5)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
2.BLUETOOTH
【出願人】(503260918)アップル インコーポレイテッド (568)
【公開日】平成24年11月12日(2012.11.12)
【国際特許分類】
【出願番号】特願2012−98171(P2012−98171)
【出願日】平成24年4月5日(2012.4.5)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
2.BLUETOOTH
【出願人】(503260918)アップル インコーポレイテッド (568)
[ Back to top ]