BR102012007800B1

BR102012007800B1 - Método e aparelho para distribuir clientes de controle de acesso

Info

Publication number: BR102012007800B1
Application number: BR102012007800-7A
Authority: BR
Inventors: David T. Haggerty; Jerrold Von Hauck; Kevin McLaughlin
Original assignee: Apple Inc
Priority date: 2011-04-05
Filing date: 2012-04-04
Publication date: 2022-02-01
Also published as: JP2012221511A; MX2012003953A; KR20120113686A; TW201251483A; KR101484367B1; TWI498015B; TW201507495A; BR102012007800A2; EP2509342A3; AU2012201946B2; WO2012138780A3; US9438600B2; US20120260086A1; US20140298018A1; US8707022B2; JP5612018B2; JP2015046166A; KR101613792B1; TWI451773B; KR20140103892A

Abstract

MÉTODOS E APARELHO PARA DISTRIBUIR E ARMAZENAR CLIENTES DE ACESSO ELETRÔNICO. A presente invenção refere-se a um aparelho e métodos para distribuir e armazenar de forma eficiente clientes de controle de acesso dentro de uma rede. Em uma modalidade, os clientes de acesso incluem Módulos de Identidade de Assinante eletrônico (eSIMs), e uma infraestrutura de rede de distribuição eSIM é descrita que reforça singularidade e conservação e SIM, distribui tráfego de rede para impedir congestionamento de "gargalo", e fornece razoáveis capacidades de recuperação de desastre. Em uma variante, eSlMs são armazenados de forma segura em aparelhos de Cartão de Circuito Integrado Universal eletrônico (eUICC) que asseguram singularidade e conservação eSIM. Acesso aos aparelhos eUICC é feito por meio de múltiplos depósitos eSIM, os quais asseguram que carga de rede é distribuída. Armazenamento permanente é descrito adicionalmente, para, entre outras atividades, arquivamento e recuperação.

Description

Prioridade e Pedidos Relacionados

[0001] Este pedido reivindica prioridade para o Pedido de PatenteU.S. No. Serial 13/095.716 depositado em 27 de abril de 2011 e intitulado "APPARATUS AND METHODS FOR DISTRIBUTING AND STORING ELECTRONIC ACCESS CLIENTS", o qual reivindica prioridade para o Pedido de Patente Provisório U.S. No. Serial 61/472.115 depositado em 5 de abril de 2011 e intitulado "APPARATUS AND METHODS FOR DISTRIBUTING AND STORING ELECTRONIC ACCESS CLIENTS", cada um dos precedentes estando incorporado neste documento pela referência na sua totalidade.

[0002] Este pedido também está relacionado com os copertencen-tes e copendentes Pedidos de Patente U.S. Nos. Seriais 13/080.558 depositado em 5 de abril de 2011, e intitulado "APPARATUS AND METHODS FOR CONTROLLING DISTRIBUTION OF ELECTRONIC ACCESS CLIENTS", 12/952.082 depositado em 22 de novembro de 2010 e intitulado "WIRELESS NETWORK AUTHENTICATION APPARATUS AND METHODS", 12/952.089 depositado em 22 de novembro de 2010 e intitulado "APPARATUS AND METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK", 12/980.232 depositado em 28 de dezembro de 2010 e intitulado "VIRTUAL SUBSCRIBER IDENTITY MODULE DISTRIBUTION SYSTEM", e 12/353.227 depositado em 13 de janeiro de 2009, e intitulado "POSTPONED CARRIER CONFIGURATION", e os Pedidos de Patente Provisórios U.S. Nos. Seriais 61/472.109 depositado em 5 de abril de 2011, e intitulado "APPARATUS AND METHODS FOR STORING ELECTRONIC ACCESS CLIENTS" (agora o Pedido de Patente U.S. No. Serial 13/093.722 depositado em 25 de abril de 2011, do mesmo título), 61/407.858 depositado em 28 de outubro de 2010 e intitulado "METHODS AND APPARATUS FOR ACCESS CONTROL CLIENT ASSISTED ROAMING" (agora o Pedido de Patente U.S. No. Serial 13/109.851 depositado em 17 de maio de 2011, do mesmo título), 61/407.861 depositado em 28 de outubro de 2010 e intitulado "MANAGEMENT SYSTEMS FOR MULTIPLE ACCESS CONTROL ENTITIES" (agora o Pedido de Patente U.S. No. Serial 13/079.614 depositado em 4 de abril de 2011, do mesmo título"), 61/407.862 depositado em 28 de outubro de 2010 e intitulado "METHODS AND APPARATUS FOR DELIVERING ELECTRONIC IDENTIFICATION COMPONENTS OVER A WIRELESS NETOWRK" (agora o Pedido de Patente U.S. No. Serial 13/111.801 depositado em 19 de maio de 2011, do mesmo título), 61/407.866 depositado em 28 de outubro de 2010 e intitulado "ME-THODS AND APPARATUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS" (agora o Pedido de Patente U.S. No. Serial 13/080.521 depositado em 5 de abril de 2011, do mesmo título), 61/408.504 depositado em 29 de outubro de 2010 e intitulado "ACCESS DATA PROVISIONING SERVICE" (agora o Pedido de Patente U.S. No. Serial 13/078.811 depositado em 1 de abril de 2011, e intitulado "ACCESS DATA PROVISIONING APPARATUS AND METHODS"), 61/409.891 depositado em 3 de novembro de 2010 e intitulado "METHODS AND APPARATUS FOR ACCESS DATA RECO-VERY FROM A MALFUNCIONING DEVICE" (agora o Pedido de Patente U.S. No. Serial 13/287.874 depositado em 2 de novembro de 2011, do mesmo título), 61/410.298 depositado em 4 de novembro de 2010 e intitulado "SIMULACRUM OF PHYSICAL SECURITY DEVICE AND METHODS" (agora o Pedido de Patente U.S. 13/080.533 depositado em 5 de abril de 2011, do mesmo título), e 61/413.317 depositado em 12 de novembro de 2010 e intitulado "APPARATUS AND METHODS FOR RECORDATION OF DEVICE HISTORY ACROSS MUL- TIPLE SOFTWARE EMULATION" (agora o Pedido de Patente U.S. No. Serial 13/294.631 depositado em 11 de novembro de 2011, do mesmo título), cada um dos precedentes estando incorporado neste documento pela referência na sua totalidade.

Antecedentes da Invenção1. Campo da Invenção

[0003] A presente invenção refere-se de uma maneira geral aocampo de sistemas de comunicações, e mais particularmente a um aspecto exemplar para distribuir e armazenar de forma eficiente clientes de controle de acesso virtual dentro de uma rede.

2. Descrição de Tecnologia Relacionada

[0004] Controle de acesso é exigido para comunicação segura namaioria dos sistemas de radiocomunicação sem fio de técnica anterior. Como um exemplo, um esquema de controle de acesso simples pode incluir: (i) verificar a identidade de uma parte se comunicando, e (ii) conceder um nível de acesso comensurado com a identidade verificada. Dentro do contexto de um sistema celular exemplar (por exemplo, Sistema Universal de Telecomunicações Móveis (UMTS)), controle de acesso é governado por um cliente de controle de acesso, referido como um Módulo de Identidade de Assinante Universal (USIM) executando em um Cartão de Circuito Integrado Universal (UICC) físico. O cliente de controle de acesso USIM autentica o assinante para a rede celular UMTS. Após autenticação bem sucedida, ao assinante é permitido acesso à rede celular. Tal como usado em seguida, a expressão "cliente de controle de acesso" se refere de uma maneira geral a uma entidade lógica, incorporada em hardware ou software, apropriada para controlar acesso de um primeiro dispositivo a uma rede. Exemplos comuns de clientes de controle de acesso incluem o USIM mencionado anteriormente, Módulos de Identificação de Assinante CDMA (CSIM), Módulo de Identidade de Serviços de Multimídia IP (ISIM), Módulos de Identidade de Assinante (SIM), Módulos de Identidade de Usuário Removível (RUIM), etc.

[0005] Tradicionalmente, o USIM (ou de uma maneira mais geral"SIM") executa o procedimento de Autenticação e Acordo de Chave (AKA) bem conhecido, o qual verifica e descriptografa os dados e programas aplicáveis para garantir inicialização segura. Especificamente, o USIM deve tanto (i) responder de modo bem sucedido a um desafio remoto para comprovar sua identidade para o operador de rede, quanto (ii) emitir um desafio para verificar a identidade da rede.

[0006] Embora soluções SIM tradicionais sejam incorporadas emum Cartão de Circuito Integrado (ICC) removível (também referido como um "cartão SIM"), pesquisa incipiente pelo requerente deste pedido está direcionada para virtualizar operação SIM dentro de um software cliente executando no dispositivo móvel. Operação SIM virtualizada pode reduzir tamanho de dispositivo, aumentar funcionalidade de dispositivo e fornecer maior flexibilidade.

[0007] Infelizmente, operação SIM virtualizada também apresentamúltiplos novos desafios para operadores de redes e fabricantes de dispositivos. Por exemplo, cartões SIM tradicionais são fabricados e garantidos por um vendedor SIM confiável. Estes cartões SIM tradicionais executam uma única versão segura de software que tenha sido "gravada" permanentemente no cartão SIM. Uma vez que gravado, o cartão não pode ser violado (sem também destruir o cartão SIM). Distribuição destes cartões é um processo simples de expedir os cartões para centros de distribuição, saídas de varejo e/ou clientes.

[0008] Em contraste, SIMs virtualizados podem ser facilmente copiados, multiplicados, etc. Uma vez que cada SIM representa um contrato para uma quantidade de acesso a recursos de rede finitos, uso ilícito de um SIM virtualizado pode causar muito impacto na operação de rede e experiência de usuário. Desta maneira, novas infraestruturas de distribuição são exigidas para entrega de SIM virtualizado. Idealmente, tais novas infraestruturas de distribuição devem (i) reforçar conservação SIM, (ii) impedir tráfego de rede excessivo (também denominado "gargalo"), e (iii) oferecer razoáveis capacidades de recuperação de desastre.

Sumário da Invenção

[0009] A presente invenção aborda as necessidades indicadas anteriormente ao fornecer, entre outras coisas, aparelho e métodos para distribuir de forma eficiente clientes de controle de acesso virtual dentro de uma rede.

[00010] Em um aspecto da presente invenção, um método para distribuir de forma eficiente clientes de controle de acesso é revelado. Em uma modalidade, o método inclui: rastrear um ou mais clientes de controle de acesso dentro de um repositório seguro; criptografar um cliente de controle de acesso exclusivamente para um dispositivo alvo; transmitir o cliente de controle de acesso criptografado para uma ou mais localizações de distribuição, e remover o cliente de controle de acesso do repositório seguro. Em uma variante, a uma ou mais localizações de distribuição não modificam o cliente de controle de acesso criptografado, e o dispositivo alvo é configurado para transferir somente um único cliente de controle de acesso criptografado somente de uma única localização de distribuição.

[00011] Em outro aspecto da invenção, um método para distribuir de forma eficiente clientes de controle de acesso é revelado. Em uma modalidade, o método inclui armazenar um cliente de controle de acesso criptografado em uma ou mais localizações de distribuição, e responsivo a uma solicitação para o cliente de controle de acesso criptografado armazenado, entregar o cliente de controle de acesso criptografado; e responsivo ao cliente de controle de acesso criptografado ser entregue de modo bem sucedido a partir de qualquer uma das uma ou mais localizações de distribuição, desativar o cliente de controle de acesso criptografado armazenado. Em uma variante, a uma ou mais localizações de distribuição não modificam o cliente de controle de acesso criptografado, e o cliente de controle de acesso criptografado é configurado para um único dispositivo alvo.

[00012] O cliente de controle de acesso criptografado pode ser entregue em um modo não controlado, com cada cliente de controle de acesso criptografado armazenado sendo associado com metadados. Metadados podem incluir, por exemplo, informação de identificação de cliente de controle de acesso, informação de emissor de cliente de controle de acesso, informação de conta de cliente de controle de acesso e/ou informação de status de cliente de controle de acesso. Em algumas variantes, metadados são fornecidos em resposta a uma solicitação para metadados associados com um cliente de controle de acesso específico.

[00013] Também em outro aspecto da invenção, um aparelho para distribuir de forma eficiente clientes de controle de acesso é revelado. Em uma modalidade, o aparelho inclui: um aparelho de assinatura, o aparelho de assinatura configurado para rastrear um ou mais clientes de controle de acesso; um módulo de segurança, o módulo de segurança configurado para criptografar exclusivamente um eSIM para um dispositivo alvo; um processador; e um dispositivo de armazenamento em comunicação de dados com o processador. O dispositivo de armazenamento inclui instruções executáveis por computador que são configuradas para, quando executadas pelo processador: responsivas a uma solicitação para um cliente de controle de acesso rastreado pelo dispositivo alvo, criptografar exclusivamente o cliente de controle de acesso solicitado; transmitir o cliente de controle de acesso criptografado para uma ou mais localizações de distribuição, e atualizar o aparelho de assinatura. Em uma variante, a uma ou mais localizações de distribuição não modificam o cliente de controle de acesso criptografado, e o dispositivo alvo é configurado para transferir somente um único cliente de controle de acesso criptografado somente de uma única localização de distribuição.

[00014] O aparelho pode incluir adicionalmente armazenamento seguro para um ou mais clientes de controle de acesso criptografados armazenados localmente. Em uma variante como esta, o um ou mais clientes de controle de acesso armazenados localmente são criptografados exclusivamente para o aparelho. Em outra tal variante, o módulo de segurança é configurado adicionalmente para descriptografar eSIMs que são criptografados exclusivamente para o aparelho.

[00015] Em outra modalidade, o um ou mais clientes de controle de acesso incluem Módulos de Identidade de Assinante eletrônico (eSIMs), e a uma ou mais localizações de distribuição incluem depósitos eSIM.

[00016] Ainda em outro aspecto da invenção, um depósito para distribuir de forma eficiente clientes de controle de acesso é revelado. Em uma modalidade, o depósito inclui: uma interface de rede para comunicação com uma rede; um processador; e um dispositivo de armazenamento em comunicação de dados com o processador. O dispositivo de armazenamento inclui instruções executáveis por computador que são configuradas para, quando executadas pelo processador: armazenar um cliente de controle de acesso que tenha sido criptografado para um dispositivo alvo; responsivas a uma solicitação para o cliente de controle de acesso criptografado armazenado recebida de um dispositivo solicitante, entregar o cliente de controle de acesso criptografado para o dispositivo solicitante; e responsivas ao cliente de controle de acesso criptografado ser entregue de modo bem sucedido para o dispositivo alvo, deletar o cliente de controle de acesso criptografado armazenado.

[00017] Em outra modalidade, o dispositivo de armazenamento é configurado para armazenar metadados associados com cada cliente de controle de acesso. Em uma variante como esta, as instruções executáveis por computador são configuradas adicionalmente para, res- ponsivas a uma solicitação para metadados associados com um cliente de controle de acesso específico, fornecer os metadados solicitados.

[00018] Recursos adicionais da presente invenção, sua natureza e várias vantagens estarão mais aparentes a partir dos desenhos anexos e da descrição detalhada a seguir.

Descrição Resumida dos Desenhos

[00019] A figura 1 ilustra graficamente um procedimento de Autenticação e Acordo de Chave (AKA) exemplar usando um USIM de técnica anterior.

[00020] A figura 2 é um fluxograma lógico ilustrando uma modalidade de um método generalizado para distribuir e armazenar de forma eficiente clientes de controle de acesso virtual dentro de uma rede, de acordo com a presente invenção.

[00021] A figura 3 é um diagrama de blocos de uma arquitetura de rede exemplar útil para distribuir e armazenar clientes de controle de acesso, de acordo com a presente invenção.

[00022] A figura 4 é um diagrama de escada de um ciclo de vida exemplar de um eSIM, ilustrando vários aspectos do mesmo.

[00023] A figura 5 é um diagrama de blocos ilustrando uma modalidade de um aparelho, de acordo com a presente invenção.

[00024] A figura 6 é um diagrama de blocos ilustrando uma modalidade de um aparelho de depósito, de acordo com a presente invenção.

[00025] A figura 7 é um diagrama de blocos ilustrando uma modalidade de um equipamento de usuário, de acordo com a presente invenção.

[00026] A figura 8 é um diagrama de blocos ilustrando uma modali- dade de um aparelho de armazenamento permanente, de acordo com a presente invenção.

[00027] Todas as figuras estão protegidas pelo registro de propriedade autoral de 2011 da Apple Inc. Todos os direitos estão reservados.

Descrição Detalhada da Invenção

[00028] Referência agora é feita aos desenhos em que números iguais se referem a partes iguais por todos eles.

Visão Geral

[00029] A presente invenção fornece, entre outras coisas, métodos e aparelho para distribuir e armazenar de forma eficiente clientes de controle de acesso dentro de uma rede. Em uma modalidade, uma in- fraestrutura de rede de distribuição de Módulo de Identidade de Assinante eletrônico (eSIM) é descrita que reforça singularidade e conservação eSIM, e distribui tráfego de rede para impedir congestionamento de "gargalo". Adicionalmente, uma modalidade revelada da rede de distribuição fornece capacidades de recuperação de desastre.

[00030] Tal como descrito com mais detalhes neste documento, a modalidade de rede exemplar da infraestrutura para distribuição eSIM inclui três (3) entidades lógicas: diversos aparelhos eUICC (ou um "agrupamento de aparelhos"), diversos depósitos eSIM e armazenamento permanente. Cada aparelho eUICC é dividido adicionalmente em um aparelho de assinatura, um módulo de segurança e armazenamento seguro. Em uma modalidade exemplar, o armazenamento seguro é composto de memória volátil (tal como Memória de Acesso Aleatório (RAM), RAM estática (SRAM), RAM dinâmica (DRAM)).

[00031] O aparelho eUICC reforça singularidade e conservação eSIM dentro da infraestrutura de rede. Especificamente, o aparelho de assinatura rastreia um ou mais eSIMs distribuídos, e os desafios emitidos e/ou status conhecidos associados com isso. O aparelho de assinatura instrui o módulo de segurança para executar criptografia e des- criptografia de eSIMs que o aparelho de assinatura tenha recebido, ou que o aparelho de assinatura transmitirá. O aparelho de assinatura também pode armazenar de forma segura eSIMs no armazenamento seguro do aparelho eUICC. Assim, em um aspecto da presente invenção, o aparelho eUICC assegura que cada eSIM é considerado (enquanto armazenado no aparelho eUICC), e que cada eSIM é entregue criptografado especificamente para um dispositivo de destino.

[00032] O depósito eSIM fornece um canal de distribuição para impedir "gargalo" de rede; especificamente, múltiplos depósitos eSIM podem reter a mesma cópia criptografada de um eSIM que também não tenha sido entregue para o eUICC de destino. Por exemplo, a combinação criptografada de eSIM, eUICC e desafio pode ser armazenada em cache no depósito eSIM para entrega subsequente. Um dispositivo pode recuperar o eSIM de qualquer um dos depósitos eSIM; mesmo se um depósito eSIM estiver indisponível, o dispositivo pode recuperar o eSIM de qualquer um dos depósitos eSIM alternativos. Uma vez que o dispositivo tenha recebido o eSIM, o dispositivo pode descriptografar e ativar o eSIM.

[00033] Em uma modalidade exemplar da invenção, o sistema é configurado adicionalmente de tal maneira que o dispositivo somente pode importar uma cópia de qualquer um dos depósitos eSIM uma vez; as outras cópias armazenadas nos outros depósitos eSIM são removidas, deletadas ou tornadas inativas em seguida. O dispositivo propriamente dito pode reforçar esta restrição, ou os depósitos eSIM podem manter comunicação de sincronização, tal como por meio de uma comunicação de sincronização interna.

[00034] Além disso, os vários dispositivos, em algumas modalidades, adicionalmente podem retornar periodicamente seus conteúdos para um armazenamento permanente. O armazenamento permanente armazena dados de recuperação que tenham sido criptografados com uma chave específica para o dispositivo. No caso de um desastre, o armazenamento permanente pode fornecer seus dados de recuperação, quando provido com a chave apropriada. Em uma modalidade exemplar, o armazenamento permanente é composto de memória não volátil (tal como Flash, Unidades de Discos Rígidos (HDD), etc.).

[00035] Uma grande quantidade de outros esquemas e modalidades para distribuição eficiente também é descrita com mais detalhes neste documento.

Descrição Detalhada de Modalidades Exemplares

[00036] Modalidades e aspectos exemplares da presente invenção são agora descritos detalhadamente. Embora estas modalidades e aspectos sejam discutidos primariamente no contexto de Módulos de Identidade de Assinante (SIMs) de uma rede celular GSM, GPRS/EDGE ou UMTS, será reconhecido pelas pessoas de conhecimento comum que a presente invenção não está assim limitada. De fato, os vários aspectos da invenção são úteis em qualquer rede (se celular, não celular sem fio, ou de outro modo) que possa se beneficiar de armazenar e distribuir clientes de controle de acesso para dispositivos.

[00037] Também será reconhecido que embora a expressão "módulo de identidade de assinante" seja usada neste documento (por exemplo, eSIM), esta expressão em nenhum modo não conota ou exige necessariamente (i) uso por um assinante por si mesmo (isto é, a invenção pode ser praticada por um assinante ou não assinante); (ii) identidade de um único indivíduo (isto é, a invenção pode ser praticada em nome de um grupo de indivíduos tal como uma família, ou entidade intangível ou fictícia tal como uma empresa); ou (iii) qualquer equipamento ou hardware de "módulo" tangível.

[00038] Operação de Módulo de Identidade de Assinante (SIM) de Técnica Anterior

[00039] Dentro do contexto da rede celular UMTS de técnica anteri- or exemplar, equipamento de usuário (UE) inclui um dispositivo móvel e um Módulo de Identidade de Assinante Universal (USIM). O USIM é uma entidade de software lógico que é armazenada e executada a partir de um Cartão de Circuito Integrado Universal (UICC) físico. Uma variedade de informações é armazenada no USIM tal como informação de assinante, assim como as chaves e algoritmos usados para autenticação com o operador de rede a fim de obter serviços de rede sem fio. O software USIM é baseado na linguagem de programação Java Card™. Java Card é um subconjunto da linguagem de programação Java™ que foi modificada para dispositivos do tipo "cartão" embutidos (tal como o UICC mencionado anteriormente).

[00040] De uma maneira geral, UICCs são programados com um USIM antes da distribuição para assinante; a pré-programação ou "personalização" é específica para cada operador de rede. Por exemplo, antes da implementação, o USIM é associado com uma Identificação de Assinante Móvel Internacional (IMSI), um Identificador de Cartão de Circuito Integrado (ICC-ID) exclusivo e uma chave de autenticação específica (K). O operador de rede armazena a associação em um registro contido no Centro de Autenticação (AuC) da rede. Após personalização o UICC pode ser distribuído para assinantes.

[00041] Referindo-se agora à figura 1, um procedimento de Autenticação e Acordo de Chave (AKA) exemplar usando o USIM de técnica anterior mencionado anteriormente está ilustrado detalhadamente. Durante procedimentos de autenticação normais, o UE obtém a Identificação de Assinante Móvel Internacional (IMSI) do USIM. O UE passa a IMSI para a Rede Servidora (SN) do operador de rede ou para a rede principal visitada. A SN envia a solicitação de autenticação para o AuC da Rede Doméstica (HN). A HN compara a IMSI recebida com o registro do AuC e obtém a K apropriada. A HN gera um número aleatório (RAND) e o assinala com K usando um algoritmo para criar a res- posta esperada (XRES). A HN gera adicionalmente uma Chave Cifra- dora (CK) e uma Chave de Integridade (IK) para uso na proteção de cifrador e de integridade assim como um Sinal de Autenticação (AUTN) usando vários algoritmos. A HN envia um vetor de autenticação, consistindo do RAND, XRES, CK e AUTN para a SN. A SN armazena o vetor de autenticação somente para uso em um processo de autenticação de uma vez. A SN passa o RAND e AUTN para o UE.

[00042] Uma vez que o UE recebe o RAND e o AUTN, o USIM verifica se o AUTN recebido é válido. Se assim, o UE usa o RAND recebido para computar sua própria resposta (RES) usando a K armazenada e o mesmo algoritmo que gerou a XRES. O UE passa a RES de volta para a SN. A SN compara a XRES com a RES recebida e se elas casarem a SN autoriza o UE para usar os serviços de rede sem fio do operador.

[00043] O procedimento exposto anteriormente da figura 1 está incorporado à mídia física do cartão SIM. Cartões SIM de técnica anterior têm pelo menos duas (2) propriedades distintas e desejáveis: (i) cartões SIM fornecem armazenamento seguro de forma criptografada para dados SIM (por exemplo, informação de conta, chaves de criptografia, etc.), e (ii) cartões SIM não podem ser clonados facilmente.

[00044] Um cartão SIM de técnica anterior inclui um processador e memória formados em um Cartão de Circuito Integrado Universal (UICC). O cartão SIM pode ser enchido com resina epóxi para impedir sondagem externa de sinais de dados no UICC. Outras estruturas à prova de violação podem ser incluídas no UICC se desejado (por exemplo, camadas de proteção, camadas de mascaramento, etc.) O cartão SIM tem uma interface segura para o processador, e o processador tem uma interface interna para a memória. O UICC recebe energia do dispositivo externo, o que capacita o processador para executar código do componente de memória. O componente de me- mória propriamente dito não é acessível diretamente (isto é, sistemas de arquivos internos ficam escondidos do usuário), e deve ser acessado por meio do processador.

[00045] Durante operação normal, o processador aceita um número limitado de comandos. Cada um dos comandos é somente acessível de forma condicional. Condições de acesso são restringidas para a execução de comandos para impedir acesso não autorizado. Condições de acesso podem ou não ser hierárquicas; por exemplo, autorização para um nível não pode conceder automaticamente autorização para um outro nível. Por exemplo, um conjunto de condições de acesso pode incluir: (i) sempre acessível, (ii) nunca acessível, (iii) acessível para uma primeira conta, (iv) acessível para uma segunda conta, etc. Acesso condicional é concedido somente após conclusão bem sucedida de um protocolo de segurança apropriado. Métodos comuns para verificar identidade podem incluir uma senha ou Número de Identificação Pessoal (PIN), desafio de um segredo compartilhado, etc.

[00046] Acesso condicional, conjunto de comandos limitados e espaço de memória protegido asseguram que a informação armazenada dentro do cartão SIM está segura contra acesso externo. Clonar um cartão SIM acarretaria construção de um cartão físico, e construção do sistema de arquivos e dados internos. A combinação destes recursos torna o cartão SIM físico impérvio para tentativas de falsificação práticas.

Método

[00047] Como uma informação à parte, os termos "conservação", "conservam" e "conservado" tais como usados neste documento se referem sem limitação a um elemento (físico ou virtual), que não pode ser multiplicado ou reduzido trivialmente. Por exemplo, um eSIM conservado não pode ser copiado ou reproduzido durante operação normal.

[00048] Adicionalmente, tal como usado neste documento, o termo "singularidade" tal como aplicado para um elemento (físico ou virtual) se refere sem limitação à propriedade pela qual o elemento é o elemento e somente o elemento tendo uma propriedade e/ou característica particular. Por exemplo, um eSIM exclusivo não pode ter um eSIM duplicata.

[00049] Tal como usado neste documento, o termo "segurança" de uma maneira geral se refere e sem limitação à proteção dos dados e/ou de software. Por exemplo, segurança de dados de controle de acesso assegura que os dados e/ou software associados com um cliente de controle de acesso estão protegidos contra roubo, uso impróprio, corrupção, publicação e/ou violação, por atividades não autorizadas e/ou entidades externas malignas.

[00050] De uma maneira geral, percebe-se que software é mais flexível do que hardware; por exemplo, software é fácil de copiar, modificar e distribuir. Adicionalmente, software frequentemente pode ser feito mais barato, mais eficiente em energia e fisicamente menor que equivalências de hardware. Desta maneira, enquanto que operação SIM convencional faz uso de fatores de forma física tais como cartões (UICCs), áreas correntes de pesquisa estão focalizadas na direção de virtualizar operação SIM dentro de software.

[00051] Entretanto, a natureza sensível dos dados SIM (por exemplo, informação específica de assinante, etc.) exige consideração especial. Por exemplo, várias partes dos dados SIM são exclusivas para assinantes, e devem ser cuidadosamente protegidas contra entidades externas malignas.

[00052] Além disso, cada SIM representa um contrato para uma quantidade de acesso a recursos de rede finitos; assim, duplicação, destruição e/ou recuperação de SIMs devem ser gerenciados para impedir mais e/ou menos utilização de recursos de rede, assim como sub-rogação de taxas ou receita de provedor de serviços.

[00053] Soluções incipientes para operação SIM emulam um UICC como uma entidade virtual ou eletrônica tal como, por exemplo, um programa de aplicação, daqui por diante referido como um Cartão de Circuito Integrado Universal Eletrônico (eUICC). O eUICC é capaz de armazenar e gerenciar um ou mais elementos SIM, referidos daqui por diante como Módulos de Identidade de Assinante Eletrônico (eSIM). Desta maneira, novas infraestruturas de rede são exigidas que sejam adaptadas especificamente para manusear as várias exigências de distribuição e operação eSIM para eUICCs. Especificamente, tais soluções idealmente devem ter capacidades para: (i) cumprimento de conservação para eSIMs virtualizados, (ii) operação distribuída, e (iii) recuperação de desastre.

[00054] Referindo-se agora à figura 2, um método generalizado 200 para distribuir de forma eficiente clientes de controle de acesso virtual dentro de uma rede é revelado.

[00055] Na etapa 202 do método 200, um ou mais clientes de controle de acesso (por exemplo, eSIMs) são armazenados e rastreados dentro de repositórios seguros. Em uma modalidade, o repositório seguro inclui um ou mais de uma base de dados de rastreamento, um módulo de segurança para criptografar e descriptografar clientes de controle de acesso com base pelo menos em parte em informação derivada da base de dados de rastreamento, e armazenamento seguro para clientes de controle de acesso.

[00056] A base de dados de rastreamento inclui informação indicativa de distribuição de cliente de controle de acesso e de dados de transação de cliente de controle de acesso. Em uma implementação exemplar desta modalidade, os dados de transação incluem uma listagem de eSIMs implementados, e os desafios emitidos, e/ou identificadores únicos usados, etc. Em uma variante, descrita com mais detalhes no Pedido de Patente Provisório U.S. No. Serial 61/472.109 depositado em 5 de abril de 2011 e intitulado "APPARATUS AND METHODS FOR STO RING ELECTRONIC ACCESS CLIENTS" incorporado anteriormente na sua totalidade pela referência, um protocolo seguro entre dispositivos de transferência assegura que cada eSIM da população eSIM distribuída é transferido somente entre dispositivos confiáveis. Alternativamente, o protocolo seguro pode garantir que somente eSIMs criptografados são distribuídos para dispositivos que não são confiáveis. Em algumas variantes, o protocolo confiável é baseado em um protocolo de desa- fio/resposta. Em variantes alternativas, o protocolo confiável é baseado em uma troca de um certificado de segurança digital assinado por uma entidade externa mutuamente confiável.

[00057] Em uma modalidade exemplar, o repositório seguro garante que clientes de controle de acesso são transferidos somente entre dispositivos que estejam de acordo com uma relação confiável padrão. A relação confiável especifica adicionalmente que quando um primeiro dispositivo transfere de modo bem sucedido um cliente de controle de acesso o primeiro dispositivo deleta, desativa ou de outro modo torna sua cópia não utilizável. Desta maneira, o cliente de controle de acesso pode permanecer exclusivo e conservado por toda a transferência.

[00058] Em várias modalidades, a base de dados de rastreamento rastreia adicionalmente qualidades de cliente de controle de acesso incluindo, por exemplo: (i) clientes de controle de acesso que tenham sido distribuídos para clientes, (ii) clientes de controle de acesso que ainda não tenham sido distribuídos (esperando ativação), (iii) clientes de controle de acesso ativados, (iv) clientes de controle de acesso desativados, (v) clientes de controle de acesso esperando ativação, (vi) clientes de controle de acesso designados para um dispositivo, (vii) clientes de controle de acesso designados para uma conta, e (viii) clientes de controle de acesso disponíveis para designação. De forma similar, a base de dados de rastreamento pode rastrear estados tais como, por exemplo: (i) estado atual, (ii) estado esperado, (iii) estado anterior, (iv) último estado conhecido, e (v) estado inicial. Exemplos comuns de uma variável de estado incluem, mas não estão limitados a estes, um valor de contador, um valor criptografado, uma variável de desafio, uma variável de resposta, etc.

[00059] Por exemplo, em um esquema de desafio-resposta exemplar, uma variável de desafio é um vetor criptográfico de entrada, o qual pode ser manipulado, transformado e/ou calculado para gerar um vetor de resposta. A manipulação, transformação e/ou cálculo é um segredo protegido pelo cliente de controle de acesso do dispositivo. Em outro exemplo, um identificador único baseado em contador usa um valor exclusivo de contador como um segredo que é protegido pelo cliente de controle de acesso do dispositivo. Outros tipos comuns de estados podem ser baseados em uma máquina de estado grande e pseudoaleatório, tal como, por exemplo, uma máquina de estado baseado em Registrador de Deslocamento com Realimentação Linear (LFSR) ou em outro tal mecanismo.

[00060] O módulo de segurança em uma modalidade é configurado para criptografar ou descriptografar clientes de controle de acesso com base pelo menos em parte em instruções da base de dados de rastre- amento. Em particular, o módulo de segurança é configurado para criptografar clientes de controle de acesso para entrega para o dispositivo de destino desejado. De fato, em uma modalidade exemplar, todos os eSIMs transferidos devem ser criptografados (isto é, eSIMs não podem ser transferidos para qualquer dispositivo na sua forma não criptografada). De forma similar, o módulo de segurança é configurado para descriptografar clientes de controle de acesso recebidos de dispositivos de usuário. Em uma variante, descrita com mais detalhes no Pedido de Patente Provisório U.S. No. Serial 61/407.866 depositado em 28 de outubro de 2010 e intitulado "METHODS AND APPARATUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLI ENTS" incorporado anteriormente neste documento, a cada dispositivo é dado chaves de dispositivo e certificados de endosso exclusivos que podem ser usados para fornecer atualizações e/ou eSIMs para o equipamento de usuário no "campo". O equipamento de usuário pode confiar em um eSIM criptografado entregue com a chave de dispositivo, e o módulo de segurança pode confiar em informação criptografada com a chave do dispositivo.

[00061] De forma similar, em algumas modalidades, o módulo de segurança é configurado adicionalmente para descriptografar um eSIM para execução de aplicação SIM. Por exemplo, em um cenário, um dispositivo de usuário pode descriptografar um eSIM para uso. A aplicação eSIM de uma maneira geral abrange clientes de controle de acesso tais como o USIM, CSIM, ISIM, SIM, RUIM, etc. mencionados anteriormente. Deve ser entendido adicionalmente que cada eSIM pode ser associado a uma conta de usuário, assim um "eSIM" pode abranger amplamente múltiplos clientes de controle de acesso (por exemplo, um usuário pode ter um USIM e um SIM associados à mesma conta eSIM).

[00062] Também em um outro cenário, o módulo de segurança pode criptografar um eSIM para ele mesmo. Por exemplo, um módulo de segurança pode criptografar um eSIM para ele mesmo, e armazenar o eSIM criptografado em armazenamento permanente para uso posterior.

[00063] Em algumas modalidades, o esquema de criptografia de módulo de segurança pode ser baseado em um par de chaves assimétricas; ou alternativamente, o esquema de criptografia de módulo de segurança pode usar um par de chaves simétricas. Como uma informação à parte, um par de chaves pública/privada é baseado em uma chave privada secreta e em uma chave pública publicável. Esquemas de chaves públicas/privadas são considerados "assimétricos", já que as chaves usadas para criptografar e descriptografar são diferentes, e assim o criptografador e descriptografador não compartilham a mesma chave. Em contraste esquemas de chaves "simétricas" utilizam a mesma chave (ou chaves transformadas trivialmente) tanto para criptografia quanto para descriptografia. O algoritmo de Rivest, Shamir e Adleman (RSA) é um tipo de criptografia de par de chaves públi- ca/privada que é comumente usada dentro das técnicas relacionadas, mas será reconhecido que a presente invenção não está limitada em nenhum modo ao algoritmo RSA (ou a esse par de chaves assimétricas ou simétricas em questão).

[00064] Esquemas de criptografia públicos/privados podem ser usados para criptografar uma mensagem e/ou gerar assinaturas. Especificamente, uma mensagem pode ser criptografada com uma chave privada, e descriptografada com a chave pública, garantindo assim que a mensagem não foi alterada em trânsito. De forma similar, uma assinatura gerada com a chave privada pode ser verificada com a chave pública, garantindo que a entidade gerando a assinatura é legítima. Em ambos os usos, a chave privada é mantida escondida, e a chave pública é distribuída livremente.

[00065] Em uma modalidade exemplar, o armazenamento seguro é mídia legível por computador volátil que é configurada para armazenar dados e arquivos de cliente de controle de acesso. O armazenamento seguro é uma memória compartilhada contendo clientes de controle de acesso criptografados que é acoplada tanto às bases de dados de ras- treamento quanto aos módulos de segurança. Implementações de acesso a memória compartilhada permitem que tanto as bases de dados de rastreamento quanto os módulos de segurança operem em uma base de dados coerente (por exemplo, nenhuma exigência para sincronizar dados entre diferentes agrupamentos de memórias). Memória volátil exige energia para reter conteúdos de memória; o que pode ser desejável para certas implementações porque remoção da memória volátil apagará a memória (melhorando adicionalmente a segurança). Memória volátil de uma maneira geral também é mais rápida do que memória não volátil equivalente.

[00066] Em algumas modalidades da invenção, o armazenamento seguro capacita múltiplos dispositivos para acessar o mesmo conjunto de clientes de controle de acesso. O armazenamento seguro pode não estar acoplado fisicamente entre as bases de dados de rastreamento e módulos de segurança, mas pode ser acessível por meio de uma rede. Em arranjos de estruturas distribuídas, o armazenamento seguro pode nem mesmo ser compartilhado logicamente. Por exemplo, bases de dados remotas podem armazenar em cache localmente partes dos dados e arquivos de cliente de controle de acesso, e periodicamente sincronizar entre um e outro para assegurar que todos os dispositivos estão em acordo.

[00067] O armazenamento seguro também pode ser protegido fisicamente e/ou logicamente. Por exemplo, o armazenamento seguro pode ser protegido dentro de um Módulo de Segurança de Hardware (HSM), onde o HSM é configurado para se destruir se aberto/acessado forçadamente. De uma maneira mais geral, a base de dados de ras- treamento, módulos de segurança e armazenamento seguro tipicamente estarão protegidos dentro de um limite confiável. Implementações comuns de limites confiáveis incluem tanto limites físicos (por exemplo, isolamento físico, etc.), quanto limites lógicos (por exemplo, comunicação criptografada, etc.). Além disso, embora as entidades lógicas precedentes (base de dados de rastreamento, módulos de segurança e armazenamento seguro) estejam descritas primariamente como entidades coerentes ou unitárias, percebe-se que na maioria das infraestruturas de rede estas entidades lógicas serão compostas de múltiplos aparelhos distintos (que podem mesmo ser distintos geograficamente) operando em tandem.

[00068] Por exemplo, em uma modalidade, a base de dados de ras- treamento é uma comunidade de múltiplos aparelhos de base de dados distintos que executam software de base de dados de rastreamen- to, e se comunicam uns com os outros para manter sincronização de dados. De forma similar, os módulos de segurança lógicos podem ser compostos de múltiplos módulos de segurança distintos; em uma variante como esta, os módulos de segurança são totalmente direcionados pela base de dados de rastreamento e não sincronizam uns com os outros.

[00069] Referindo-se de novo à figura 2, na etapa 204, um ou mais clientes de controle de acesso são transmitidos para uma ou mais localizações de distribuição a partir dos repositórios seguros. Em uma modalidade exemplar, uma localização de distribuição é um depósito de clientes de controle de acesso que é configurado para armazenar clientes de controle de acesso criptografados para distribuição para seus respectivos destinos. Uma vez que os clientes de controle de acesso são criptografados e não podem ser usados por dispositivos a não ser o dispositivo de destino, múltiplos depósitos podem ser carregados com cópias dos clientes de controle de acesso criptografados.

[00070] Em uma implementação exemplar, os clientes de controle de acesso criptografados são armazenados de tal maneira que clientes de controle de acesso podem ser entregues em um modo não controlado (isto é, cada um dos depósitos não necessita sincronizar suas transações com os outros depósitos, ou notificar uma entidade centralizada de rede). Cada uma das cópias é criptografada para o dispositivo de destino, onde o dispositivo de destino é um dispositivo confiável. Em uma modalidade como esta, o dispositivo de destino é configurado para transferir o cliente de controle de acesso criptografado somente uma vez. Uma vez que o cliente de controle de acesso tenha sido transferido, as outras cópias do cliente de controle de acesso são "an- tiquadas" e podem ser removidas, deletadas ou tornadas inativas em seguida. Entidades externas malignas não podem descriptografar o cliente de controle de acesso, nem ativar uma cópia criptografada (antiquada ou de outro modo).

[00071] Os repositórios seguros podem fornecer clientes de controle de acesso para a uma ou mais localizações de distribuição em massa. Por exemplo, um vendedor SIM pode fornecer um grande número de eSIMs em grandes lotes (por exemplo, milhares de eSIMs em um momento). Alternativamente, o repositório seguro pode fornecer um eSIM em um momento; por exemplo, em algumas modalidades, um usuário pode "deixar" seus eSIMs não usados dentro de um depósito eSIM, temporariamente (tal como para transferir para um outro dispositivo) ou para armazenamento de maior prazo.

[00072] Várias modalidades da presente invenção incluem ainda a adição de metadados que são associados a cada cliente de controle de acesso armazenado dentro das localizações de distribuição. Os metadados são armazenados de forma segura, mas podem ser acessados pelo aparelho de distribuição para facilitar gerenciamento de inventário. Por exemplo, um depósito eSIM pode criptografar metadados com sua própria chave (tal como o oposto a uma chave específica para um eSIM, ou dispositivo de destino), de tal maneira que o depósito eSIM pode identificar de forma apropriada um eSIM criptografado. Exemplos comuns de metadados podem incluir, mas não estão limitados a estes: informação de identificação, informação de emissor, in-formação de rede, informação de conta, informação de status, etc.

[00073] Em algumas implementações, os metadados podem ser consultados e/ou acessados adicionalmente por entidades externas. Por exemplo, um aparelho eUICC pode necessitar verificar ou atualizar periodicamente metadados de depósito eSIM (por exemplo, para determinar inventário, informação antiquada de identificação, etc.). Em outro tal exemplo, um usuário de dispositivo móvel pode solicitar informação a respeito de eSIMs deixados, etc. localizados em um depósito eSIM particular.

[00074] Na etapa 206, o cliente de controle de acesso solicitado é distribuído de pelo menos uma das localizações de distribuição para um dispositivo de destino. Por causa da flexibilidade dos modelos de distribuição, muitos esquemas diferentes são previstos, e será reconhecido pelas pessoas de conhecimento comum quando providas com a presente revelação. As subseções seguintes descrevem diversos esquemas de distribuição eSIM que são ilustrativos da grande variedade de esquemas adequados para operação de acordo com vários aspectos da presente invenção.

Entrega eSIM de "Puxar" e "Empurrar"

[00075] Na entrega eSIM "puxada", um depósito eSIM entrega um eSIM em resposta à solicitação inicial originando de um dispositivo de usuário. Entrega puxada é o esquema de entrega mais simples; um usuário pode solicitar eSIMs de qualquer um dos diversos depósitos eSIM conforme desejo do usuário.

[00076] Em contraste, durante entrega eSIM "empurrada", o depósito eSIM inicia a entrega de um eSIM (ou notificação do mesmo) para um dispositivo de usuário. Entrega empurrada é um esquema de entrega mais complexo, uma vez que alguma coordenação entre depósitos eSIM pode ser exigida para impedir que sejam empurradas múltiplas cópias redundantes de um eSIM para um único dispositivo.

[00077] Em alguns casos, esquemas de entrega de empurrar e puxar podem ser combinados; por exemplo, um usuário pode solicitar um eSIM e o depósito eSIM pode indicar que ele está atualmente incapaz de cumprir a solicitação. Em um ponto mais tarde, o depósito eSIM pode empurrar um eSIM para o usuário. Em um outro tal exemplo, um depósito eSIM pode empurrar uma notificação eSIM para um usuário, onde a notificação é válida por um período de tempo (por exemplo, uma oferta promocional, período de teste, etc.). Se o usuário estiver interessado no eSIM, o usuário subsequentemente pode puxar um eSIM do depósito eSIM.

[00078] Ainda outros esquemas para entrega eSIM úteis em conjunto com entrega eSIM de empurrar e/ou puxar são descritos com mais detalhes no Pedido de Patente Provisório U.S. No. Serial 61/354.653 depositado em 14 de junho de 2010 e intitulado "METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK", e no Pedido de Patente U.S. No. Serial 12/952.089 depositado em 22 de novembro de 2010 e intitulado "APPARATUS AND METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK", incorporados anteriormente nas suas totalidades pela referência.

Entrega eSIM Reservada

[00079] Em alguns modelos, um depósito eSIM pode reservar um eSIM específico para um usuário particular. Por exemplo, onde um novo cliente compra um dispositivo de uma loja online, a loja pode identificar um ou mais eSIMs que estejam reservados para o dispositivo comprado pelo cliente. Em alguns casos, a loja pode despachar o dispositivo para o cliente e fornecer os eSIMs reservados para os depósitos eSIM. Quando o cliente opera pela primeira vez seu dispositivo re- cém-comprado, o dispositivo contacta os depósitos eSIM para solicitar os eSIMs reservados. Outras variações de tal entrega eSIM baseada em reserva são descritas com mais detalhes no Pedido de Patente Provisório U.S. No. Serial 61/408.504 depositado em 29 de outubro de 2010 e intitulado "ACCESS DATA PROVISIONING SERVICE", incorporado anteriormente na sua totalidade pela referência.

Entrega eSIM de Arquivos (Recuperação)

[00080] Ainda em outro exemplo, é facilmente percebido que o de- pósito eSIM também pode servir como uma localização de armazenamento para eSIMs não usados. Por exemplo, um cliente pode deixar seu próprio eSIM quando não em uso em um depósito eSIM; em um ponto mais tarde, o cliente pode recuperar seu eSIM (em seu dispositivo, ou em um dispositivo diferente), e restabelecer operação. Em muitos casos, o cliente criptografará adicionalmente o eSIM antes de deixar o eSIM no depósito eSIM; por exemplo, o cliente criptografa o eSIM para seu dispositivo atual de tal maneira que somente seu dispositivo atual pode restabelecer o eSIM. Em aplicações onde o cliente não conhece o dispositivo de destino (por exemplo, durante transferência para um novo dispositivo), seu dispositivo atual pode criptogra- far o eSIM com, por exemplo: uma chave genérica, sua própria chave (que necessitaria descriptografia e criptografia novamente em um ponto mais tarde), etc.

Entrega eSIM Postergada

[00081] Ainda em outro esquema de distribuição, o depósito eSIM pode promover entrega postergada, tal como o tipo descrito no Pedido de Patente Provisório U.S. No. Serial 61/354.653 depositado em 14 de junho de 2010 e intitulado "METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK", e nos Pedidos de Patente U.S. Nos. Seriais 12/952.089, depositado em 22 de novembro de 2010 e intitulado "APPARATUS AND METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK", e 12/353.227 (agora publicado como a Publicação de Patente U.S. Número 2009/0181662) depositado em 13 de janeiro de 2009, e intitulado "POSTPONED CARRIER CONFIGURATION", cada um dos precedentes incorporado neste documento pela referência na sua totalidade. Por exemplo, em um cenário como este, um dispositivo móvel é fabricado em um fábrica de dispositivos e entregue para o usuário sem um eSIM. Na ativação inicial, o dispositivo móvel do usuário solicita um eSIM do depósito eSIM. Dessa vez, o depósito eSIM determina um eSIM apropriado para o dispositivo móvel com base, por exemplo, em um ou mais critérios incluindo, mas não limitado a isto: um Operador de Rede móvel (MNO) desejado, um plano de serviço desejado, uma restrição específica de dispositivo, entrada de usuário, etc.

[00082] Em outro tal cenário, um dispositivo móvel é comprado por um usuário em um quiosque ou ponto de vendas, onde o quiosque de vendas designa para o dispositivo móvel um tipo de eSIM, mas não programa um eSIM no dispositivo. O usuário pega o dispositivo móvel em casa e transfere um novo eSIM do depósito eSIM. Uma vez que transferido, o dispositivo móvel pode ativar o eSIM.

[00083] Várias combinações e permutações dos esquemas precedentes serão reconhecidas pelas pessoas de conhecimento comum nas técnicas relacionadas, dados os conteúdos da presente revelação.

[00084] Na etapa 208 do método 200, o dispositivo de destino ativa o cliente de controle de acesso entregue. Em uma modalidade exemplar, ativação do cliente de controle de acesso entregue é executada entre o dispositivo de destino e um serviço de ativação, tal como um Centro de Autenticação (AuC) ou entidade similar de um Operador de Rede Móvel (MNO). Por exemplo, em uma modalidade exemplar, o dispositivo móvel solicita ativação de um serviço de ativação. O serviço de ativação verifica o eSIM (por exemplo, com um desafio criptográfico e transação de resposta, etc.), e se bem sucedido ativa o eSIM.

Arquitetura de Rede Exemplar para Distribuição eSIM

[00085] Referindo-se agora à figura 3, uma modalidade exemplar de uma arquitetura de rede e sistema é revelada. O sistema ilustrado 300 é composto de diversas entidades lógicas, incluindo: (i) diversos aparelhos eUICC 302, (ii) diversos depósitos eSIM 304, e (iii) o armazenamento de recuperação permanente associado 306, cada um dos quais é agora descrito com mais detalhes.

Aparelho(s) eUICC

[00086] O(s) aparelho(s) eUICC 302 da figura 3 é(são) responsá- vel(s) por assegurar que a população corrente de eSIMs permanece tanto exclusiva quanto conservada. Especificamente, os aparelhos eUICC devem assegurar que somente um (1) eSIM exclusivo está disponível para uso a qualquer hora; isto é, dois (2) aparelhos eUICC não têm o mesmo eSIM. A cada vez que um eSIM é transferido entre aparelhos eUICC, o aparelho eUICC que transfere deleta, desativa ou de outro modo torna sua cópia não utilizável, de tal maneira que somente o eUICC transferido fica ativo. Em implementação real, funcionalidade de aparelho eUICC está incorporada como um "agrupamento" de aparelhos, o qual é um conjunto de aparelhos eUICC que tenham sido unidos logicamente.

[00087] Em uma modalidade exemplar, aparelhos eUICC podem se comunicar com outros aparelhos eUICC, depósitos eSIM 304 e eUICCs de dispositivos móveis. Alternativamente, em algumas redes, pode ser útil forçar comunicação entre aparelhos eUICC somente por meio dos depósitos eSIM 304 (isto é, os depósitos eSIM são os únicos intermediários para transferência; aparelhos eUICC não podem transferir eSIMs diretamente). Tais limitações podem ajudar a reduzir a probabilidade de uma condição de concorrência durante transferências. Por exemplo, em uma transferência direta de aparelho eUICC para aparelho eUICC, os aparelhos eUICC podem ter um breve momento de sobreposição quando um eSIM existe em dois aparelhos, e acidentalmente pode ser duplicado se a transação for interrompida inesperadamente. Ao limitar que transferências ocorram somente por meio de depósitos eSIM, o aparelho eUICC que transmite pode deletar seu eSIM antes de o aparelho eUICC destino receber o eSIM criptografado.

[00088] Em uma configuração, o aparelho eUICC 302 é subdividido em três (3) entidades lógicas: (i) um aparelho de assinatura 312, (ii) um armazenamento de segurança 314, e (iii) módulo seguro 316. Im-plementações comuns do aparelho eUICC podem consolidar as entidades lógicas dentro de um único aparelho, ou alternativamente podem implementar as entidades dentro de múltiplos aparelhos operando dentro de um limite confiável. Por exemplo, em uma configuração, o módulo de segurança é implementado como um módulo rígido separado com um processador dedicado e base de código de execução. Em configurações alternativas, o módulo de segurança é implementado em uma entidade lógica maior (por exemplo, incluindo o aparelho de assinatura e armazenamento de segurança) que é implementada em um processador seguro. Também em outras modalidades, múltiplos módulos de segurança são conectados a servidores executando outras entidades lógicas; por exemplo, uma aplicação de entidade de assinatura distribuída, etc. Implementações comuns de limites confiáveis incluem tanto limites físico (por exemplo, isolamento físico, etc.) quanto limites lógicos (por exemplo, comunicação criptografada, etc.). Ainda em outras implementações, as entidades mencionadas anteriormente podem ser duplicadas adicionalmente para oferecer redundância desejável, capacidade de carga, etc.

[00089] O aparelho de assinatura 312 é responsável por rastrear a população de eSIMs, dados de transação associados com isso (por exemplo, desafios emitidos, identificadores únicos usados, etc.). Em uma modalidade exemplar, o aparelho de assinatura rastreia o eSIM (por exemplo, ID de Cartão de Circuito Integrado (ICCID)), e o último desafio emitido e/ou identificador(s) exclusivo(s) de transação. Em uma variante como esta, o último desafio emitido e/ou identificador(s) exclusivo(s) de transação são para transferências pendentes onde o eSIM ainda não tenha sido importado (ou exportado). Em algumas variantes, uma vez que um aparelho de assinatura tenha completado transferência, os dados transacionais não são mais necessários e po- dem ser deletados.

[00090] O módulo de segurança 316 é configurado para criptografar ou descriptografar eSIMs. O módulo de segurança é instruído para criptografar ou descriptografar eSIMs para transferência pelo aparelho de assinatura. Os eSIMs são criptografados usando uma chave de criptografia específica para o eUICC destino do dispositivo (tal como a chave pública eUICC e/ou chave de sessão segura). Além disso, em certas modalidades, o módulo de segurança pode descriptografar um eSIM criptografado recebido de um dispositivo, e armazenar o eSIM descriptografado no armazenamento seguro. Em uma modalidade como esta, eSIMs criptografados recebidos são descriptografados com a chave privada de módulos de segurança (a chave pública do módulo de segurança é distribuída para o dispositivo originando).

[00091] O aparelho de assinatura é acoplado ao armazenamento seguro 314 para armazenar dados e arquivos. O armazenamento seguro pode ser protegido fisicamente e/ou logicamente. Por exemplo, os eSIMs armazenados podem ser criptografados em um Módulo de Segurança de Hardware (HSM), onde o HSM é configurado para se destruir se aberto/acessado forçadamente. O armazenamento seguro armazena dados e arquivos criptografados, tais como eSIMs criptografados, e/ou dados de recuperação periódicos. Em algumas modalidades, o armazenamento seguro pode acrescentar camadas internas adicionais de criptografia/securitização. Por exemplo, em alguma mo-dalidade, dados e arquivos criptografados podem ser recuperados e duplicados em armazenamento permanente menos seguro fisicamente ou inseguro fisicamente (a mídia de armazenamento pode ser em mídia de computador genérica).

Depósito eSIM

[00092] O depósito eSIM 304 fornece uma interface distribuída para distribuição eSIM. Múltiplos depósitos eSIM podem armazenar eSIMs criptografados e entregar eSIMs criptografados para dispositivos para impedir tráfego de rede excessivo ("gargalo") para qualquer uma única entidade de rede.

[00093] Em uma modalidade, os depósitos eSIM 304 geram e respondem às solicitações para eSIMs de outros depósitos eSIM, aparelhos eUICC 302 e/ou eUICCs de dispositivos. Em uma variante, depósitos eSIM respondem adicionalmente às solicitações e atualizações para metadados que são associados com cada eSIM. Embora metadados não tenham qualquer impacto em segurança de rede, metadados são usados para identificar e caracterizar de outro modo eSIMs criptografados. Assim, mudanças para metadados nesta implementação somente podem ser executadas por autoridades de confiança que tenham sido autenticadas e/ou autorizadas para modificar metadados. Os metadados eSIM podem incluir, por exemplo: o ID de Cartão de Circuito Integrado eSIM (ICCID), vendedor de eSIM, Operador de Rede Móvel, informação de conta de assinante (se alguma), e o status atual do eSIM (por exemplo, ativo, inativo, reservado, deixado, etc.).

[00094] Os eSIMs armazenados no depósito eSIM 304 tipicamente são criptografados para o dispositivo de destino. Durante operação normal, o dispositivo de destino pode solicitar o eSIM criptografado de qualquer um dos depósitos eSIM. Responsivamente, o depósito eSIM entrega o eSIM criptografado para o dispositivo de destino, e notifica os outros depósitos eSIM a respeito da entrega. Os outros depósitos eSIM podem destruir suas cópias eSIM criptografadas durante seu tempo livre (por exemplo, para liberar espaço de armazenamento, etc.).

[00095] Deve ser notado de modo particular que múltiplas versões do eSIM criptografado podem ser distribuídas para depósitos eSIM. Uma vez que os depósitos eSIM 304 não verificam informação de estado e não modificam os conteúdos do eSIM criptografado, o mesmo eSIM pode estar armazenado em múltiplos depósitos eSIM. Entretan- to, os eSIMs são criptografados para um dispositivo de destino (que ativará somente uma cópia do eSIM).

Armazenamento Permanente

[00096] Em algumas modalidades, os aparelhos eUICC 302 ou os depósitos eSIM 304 são acoplados adicionalmente ao armazenamento permanente externo 306 para ajudar em recuperação de desastre e/ou em serviços de arquivo. Armazenamento permanente pode não ser necessário em algumas implementações (por exemplo, onde o armazenamento interno do aparelho eUICC é usado para informação de recuperação, etc.).

[00097] Em outras modalidades, armazenamento permanente é o único armazenamento não volátil para o sistema. Por exemplo, algumas arquiteturas de rede podem ser restringidas de tal maneira que eSIMs não são criptografados somente para memória volátil para uso; isto tem o benefício, entre outras coisas, de colocar uma camada de proteção adicional em que se energia para a memória volátil for interrompida (se intencionalmente ou de outro modo), os conteúdos não criptografados da mesma serão perdidos igualmente. Em tais modalidades, eSIMs são armazenados em uma forma criptografada em uma memória não volátil para armazenamento permanente, distribuição, etc.

[00098] Em uma modalidade, durante operação, o armazenamento permanente 302 é gravado periodicamente com um BLOB (Objeto Binário Grande) criptografado exclusivamente; o BLOB contém os estados de aparelho eUICC, desafios, etc. e quaisquer outros dados necessários para recriar a base de dados eUICC corrente. O BLOB somente pode ser descriptografado com a chave de segurança de aparelho eUICC. Se, em um ponto mais tarde, o aparelho eUICC 302 tiver uma falha irrecuperável, o aparelho eUICC pode retornar para um BLOB armazenado anteriormente. Em uma variante, o BLOB é exportado para armazenamento externo, e não necessita ser armazenado de forma segura (os conteúdos são criptografados); por exemplo, o BLOB pode ser armazenado em uma localização remota geograficamente tal como um depósito, etc.

[00099] Em uma modalidade alternativa, o depósito eSIM armazena periodicamente seus BLOBs no armazenamento permanente. Em algumas tais variantes, o depósito eSIM pode criptografar adicionalmente metadados associados com o BLOB, capacitando assim recuperação de estado total no caso de, por exemplo, uma perda de memória. Operação de Exemplo

[000100] A discussão a seguir descreve transações exemplares que são ilustrativas de vários aspectos da presente invenção.

[000101] A figura 4 apresenta um diagrama de escada exemplar ilustrando um ciclo de vida típico de um eSIM. Inicialmente, o eSIM é fornecido por um vendedor de eSIM para um depósito eSIM 304. De uma maneira geral, eSIMs podem ser entregues por meio de transferência de rede ou, em alguns casos, entregues fisicamente, por exemplo, em um dispositivo de armazenamento de massa, mídias legíveis por computador, etc. Os eSIMs entregues são entregues criptografado para o aparelho eUICC de destino 302, ou entregues com informação de criptografia de tal maneira que os aparelhos eUICC podem descriptografar os eSIMs (por exemplo, uma chave de sessão, uma chave específica de fabricante compartilhada, etc.).

[000102] O agrupamento de aparelhos eUICC (um conjunto de aparelhos eUICC 302) recupera os eSIMs do depósito eSIM 304, e aloca cada eSIM para um aparelho eUICC para armazenamento. Para cada eSIM, o aparelho de assinatura 312 é notificado de um eSIM alocado e grava os identificadores eSIM, e dados de transação associados. O módulo de segurança 316 armazena o eSIM no armazenamento seguro 314. Em alguns casos, o eSIM é criptografado para o aparelho eUICC, e armazenado em formato criptografado.

[000103] Referindo-se agora a um evento de solicitação, um dispositivo móvel 402 solicita um eSIM do depósito eSIM 304. A solicitação inclui a chave de criptografia pública eUICC do dispositivo móvel e um desafio. A solicitação é enviada para o aparelho eUICC 302. O aparelho eUICC verifica o desafio, e gera a resposta apropriada. Então, o aparelho eSIM seleciona um eSIM criptografado apropriado do armazenamento, descriptografa o eSIM usando sua própria chave privada, e recriptografa o eSIM para o móvel com a resposta de desafio, usando a chave de criptografia pública eUICC do dispositivo móvel. O aparelho eUICC transfere o BLOB recém-criptografado para qualquer um dos diversos depósitos eSIM, e atualiza suas gravações internas.

[000104] Qualquer um dos depósitos eSIM 304 pode notificar o dispositivo móvel 402 de que um eSIM está disponível para recuperação. Responsivamente, o dispositivo móvel transfere o BLOB criptografado do depósito eSIM mais próximo, e descriptografa o BLOB. Se a resposta de desafio for válida, o dispositivo móvel ativa o eSIM descripto- grafado. Em algumas modalidades o depósito eSIM pode notificar o aparelho eUICC a respeito da entrega bem sucedida. Cópias não usadas armazenadas nos depósitos eSIM e a cópia armazenada no aparelho eSIM podem ser deletadas após entrega bem sucedida. Uma vez que cada solicitação para um eSIM inclui um desafio diferente, as cópias são antiquadas e não podem ser "repetidas" para solicitações subsequentes.

Aparelho

[000105] Vários aparelhos úteis em conjunto com os métodos descritos anteriormente são agora descritos com mais detalhes.

Aparelho eUICC

[000106] A figura 5 ilustra uma modalidade exemplar de um aparelho eUICC 302 de acordo com a presente invenção. O aparelho eUICC pode incluir uma entidade autônoma, ou ser incorporado a outras enti- dades de rede. Tal como mostrado, o aparelho eUICC 302 de uma maneira geral inclui uma interface de rede 502 para se conectar por meio de interface à rede de comunicações, um processador 504 e um ou mais aparelhos de armazenamento 508. A interface de rede está mostrada se conectando à infraestrutura MNO, a fim de fornecer acesso a outros aparelhos eUICC, e acesso direto ou indireto a um ou mais dispositivos móveis, embora outras configurações e funcionalidades possam ser utilizadas.

[000107] Em uma configuração, o aparelho eUICC é capaz de: (i) estabelecer comunicações com um outro eUICC (um aparelho eUICC ou dispositivo cliente), (ii) armazenar de forma segura um eSIM, (iii) recuperar um eSIM armazenado de forma segura, (iv) criptografar um eSIM para entrega para um outro eUICC específico, e (v) enviar múltiplos eSIMs para/de um depósito eSIM.

[000108] Na modalidade ilustrada na figura 5, o aparelho eUICC 302 inclui pelo menos uma entidade de assinatura 312 executando no processador 504. A entidade de assinatura 312 processa solicitações que incluem: (i) uma solicitação para armazenar um eSIM, (ii) uma solicitação para transferir um eSIM armazenado atualmente. A entidade de assinatura também é responsável por verificar solicitações para assegurar que comunicação é recebida de uma outra entidade autorizada para fazer uma solicitação como esta.

[000109] Em uma modalidade, a entidade de assinatura 312 verifica solicitações ao executar trocas de segurança de desafio e resposta. O protocolo de segurança de desafio/resposta é configurado para verificar solicitações feitas por uma entidade externa desconhecida, com base em geração apropriada de desafios e/ou respostas. Alternativamente, em uma outra modalidade, o elemento seguro pode verificar um certificado digital assinado por uma autoridade de confiança.

[000110] A entidade de assinatura 312 é configurada adicionalmente para gerenciar os eSIMs disponíveis. Tal como ilustrado na figura 5, a entidade de assinatura pode fornecer informação, por exemplo, se relacionando com o eSIM particular, os dispositivos autorizados para usar o eSIM, o estado atual do eSIM, e/ou o status atual do eSIM ("disponível", "não disponível", "antiquado", etc.). Informação adicional pode ser mantida igualmente. A entidade de assinatura é configurada para atualizar ou mudar informação armazenada no armazenamento seguro 314.

[000111] Na modalidade ilustrada na figura 5, o armazenamento seguro 314 é adaptado para armazenar um conjunto de clientes de controle de acesso. Em uma modalidade exemplar, um aparelho eUICC armazena um conjunto de eSIMs criptografados de forma segura no armazenamento volátil. Memória volátil exige energia para reter conteúdos de memória; exemplos comuns de memória volátil incluem Memória de Acesso Aleatório (RAM), RAM estática (SRAM), RAM dinâmica (DRAM), etc.

[000112] Cada eSIM inclui um pequeno sistema de arquivo que inclui instruções legíveis por computador (o programa eSIM) e dados associados (por exemplo, chaves cifradoras, chaves de integridade, etc.). Além do mais, cada eSIM é associado adicionalmente com dados de transação (por exemplo, desafios emitidos, identificadores únicos usados, etc.). O módulo de segurança 316 é configurado em uma variante para criptografar ou descriptografar clientes de controle de acesso com base pelo menos em parte em instruções da entidade de assinatura 312. O módulo de segurança tem um conjunto exclusivo de chaves de criptografia específicas de dispositivo. As chaves de criptografia incluem, por exemplo, uma chave pública e uma chave privada. O módulo de segurança pode descriptografar um eSIM criptografado com sua chave pública, usando sua chave privada. Adicionalmente, o módulo de segurança pode criptografar um eSIM com uma outra chave pública de dispositivo. Discussão adicional de criptografia de chave públi- ca/privada está detalhada no Pedido de Patente Provisório U.S. No. 61/407.866 intitulado "METHODS AND APPARATUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS", incorporado anteriormente neste documento.

[000113] Quando um outro dispositivo solicita um eSIM do aparelho eUICC 302, o aparelho de assinatura recupera o estado atual do eSIM solicitado. Esta informação pode ser usada para determinar se o eSIM solicitado pode ser fornecido. Esta verificação de validade pode ser executada no aparelho eUICC, ou também pode ocorrer em outras localizações; por exemplo, ao comparar o estado em uma outra entidade (tal como um depósito eSIM) com o último estado conhecido no aparelho eUICC.

[000114] Se a verificação de validade tiver êxito, então o aparelho de assinatura instrui o módulo de segurança 316 para criptografar o eSIM associado. Por exemplo, em uma modalidade, o módulo de segurança criptografa o eSIM para o dispositivo de destino (por exemplo, um dispositivo cliente, um outro aparelho eUICC 302, etc.). Uma vez que um eSIM tenha sido criptografado para o aparelho eUICC de destino, ele somente pode ser descriptografado pelo aparelho eUICC de destino. Em algumas modalidades, cada eSIM criptografado é criptografado adicionalmente com um identificador único, desafio, ou resposta de desafio. Mediante transferência bem sucedida, o eSIM pode ser eliminado do aparelho eUICC inventário.

[000115] De forma similar, quando um outro dispositivo transfere um eSIM para o aparelho eUICC 302, o aparelho de assinatura instrui o módulo de segurança 316 para descriptografar o eSIM associado para armazenamento seguro, e atualiza seus dados de transação associados.

Depósito eSIM

[000116] A figura 6 ilustra uma modalidade exemplar de um depósito eSIM 304 de acordo com a presente invenção. O depósito eSIM 304 pode ser implementado como uma entidade autônoma, ou pode ser incorporado em outras entidades de rede (por exemplo, um aparelho eUICC 302, etc.). Tal como mostrado, o depósito eSIM 304 de uma maneira geral inclui uma interface de rede 602 para se conectar por meio de interface à rede de comunicações, um processador 604 e um aparelho de armazenamento 608.

[000117] Na modalidade ilustrada da figura 6, o depósito eSIM 304 é capaz de: (i) gerenciamento de inventário de eSIMs (por exemplo, por meio de metadados associados), (ii) responder a solicitações para eSIMs criptografados (por exemplo, de outros depósitos eSIM e/ou dos aparelhos eUICC 302), (iii) gerenciar solicitações de assinante para eSIMs.

[000118] Por exemplo, quando um eSIM é armazenado em um depósito eSIM 304 por um usuário, o eSIM pode ser armazenado com um destino pretendido (por exemplo, para facilitar transferência para um outro dispositivo), ou deixado indefinidamente. Em qualquer caso, o depósito eSIM pode fornecer o eSIM para o aparelho eUICC para armazenamento seguro e para subsequente criptografia para o dispositivo de destino.

[000119] Na modalidade ilustrada da figura 6, o aparelho de armazenamento 608 é adaptado para armazenar um conjunto de clientes de controle de acesso criptografados. O depósito eSIM armazena um conjunto de eSIMs criptografados como Objetos Binários Grandes (BLOBs) em memória não volátil. Exemplos comuns de memória não volátil incluem, sem limitação, flash, Unidade de Disco Rígido, Memória Somente de Leitura (ROM), etc. Em uma implementação como esta, cada BLOB é associado adicionalmente com metadados que identificam os conteúdos do BLOB. Por exemplo, os metadados podem conter: informação de identificação, informação de emissor, informação de rede, informação de conta, informação de status, etc.

Aparelho de Usuário

[000120] Referindo-se agora à figura 7, o aparelho de usuário exemplar 700 de acordo com vários aspectos da presente invenção está ilustrado.

[000121] O aparelho UE exemplar da figura 7 é um dispositivo sem fio com um subsistema processador 702 tal como um processador de sinal digital, microprocessador, matriz de portas programáveis em campo, ou uma pluralidade de componentes de processamento montados em um ou mais substratos. O subsistema de processamento também pode incluir uma memória cache interna. O subsistema de processamento está em comunicação com um subsistema de memória 704 incluindo memória que, por exemplo, pode incluir componentes SRAM, flash e/ou SDRAM. O subsistema de memória pode implementar um ou um mais de hardware tipo DMA, a fim de facilitar acessos a dados tal como é bem conhecido na técnica. O subsistema de memória contém instruções executáveis por computador que são executá-veis pelo subsistema processador.

[000122] Em uma modalidade exemplar, o dispositivo pode incluir uma ou mais interfaces sem fio 706 adaptadas para se conectar a uma ou mais redes sem fio. As múltiplas interfaces sem fio podem suportar diferentes tecnologias de rádio tais como GSM, CDMA, UMTS, LTE/LTE-A, WiMAX, WLAN, Bluetooth, etc. ao implementar os subsistemas de antena e modem apropriados.

[000123] O subsistema de interface de usuário 708 inclui qualquer número de dispositivos de entrada/saída bem conhecidos incluindo, sem limitação: um miniteclado, tela sensível ao toque (por exemplo, interface de múltiplos toques), mostrador LCD, luz de fundo, alto- falante e/ou microfone. Entretanto, é reconhecido que em certas aplicações um ou mais destes componentes podem ser removidos. Por exemplo, modalidades de clientes do tipo cartão PCMCIA podem são desprovidas de uma interface de usuário (já que elas podem se carregadas na interface de usuário do dispositivo hospedeiro ao qual elas estão conectadas fisicamente e/ou eletricamente).

[000124] Na modalidade ilustrada, o dispositivo inclui um elemento seguro 710 que contém e opera a aplicação eUICC. A eUICC é capaz de armazenar e acessar uma pluralidade de clientes de controle de acesso para serem usados para autenticação com um operador de rede. O elemento seguro inclui um processador seguro executando software armazenado em uma mídia segura. A mídia segura é inacessível para todos os outros componentes (a não ser o processador seguro). Além disso, o elemento seguro pode ser fortalecido adicionalmente para impedir violação (por exemplo, envolvido em resina) tal como descrito anteriormente.

[000125] O elemento seguro 710 é capaz de receber e armazenar um ou mais clientes de controle de acesso. Em uma modalidade, o elemento seguro armazena um conjunto ou pluralidade de eSIMs associados com um usuário (por exemplo, um para trabalho, um pessoal, diversos para acesso a transferência entre áreas de serviço, etc.), e/ou de acordo com um outro esquema ou relacionamento lógico (por exemplo, um para cada um de múltiplos elementos de uma família ou entidade de negócio, um para cada um de uso pessoal e de trabalho para os elementos da família, e assim por diante). Cada eSIM inclui um pequeno sistema de arquivo incluindo instruções legíveis por computador (o programa eSIM) e dados associados (por exemplo, chaves cifradoras, chaves de integridade, etc.).

[000126] O elemento seguro é adaptado adicionalmente para capacitar transferência de eSIMs para e/ou do dispositivo móvel. Em uma implementação, o dispositivo móvel fornece uma confirmação baseada em GUI para iniciar transferência de um eSIM.

[000127] Uma vez que o usuário do dispositivo móvel opte por ativar um eSIM, o dispositivo móvel envia uma solicitação para ativação para um serviço de ativação. O dispositivo móvel pode usar o eSIM para trocas padrões de Autenticação e Acordo de Chave (AKA).

Armazenamento Permanente

[000128] A figura 8 ilustra uma modalidade exemplar do armazenamento permanente 306 de acordo com a presente invenção. O armazenamento permanente pode ser implementado como uma entidade autônoma, ou pode ser incorporado a outras entidades de rede (por exemplo, um aparelho eUICC 302, o depósito eSIM 304, etc.). Tal como mostrado, o armazenamento permanente de uma maneira geral inclui uma interface 804 e um aparelho de armazenamento 802.

[000129] O armazenamento permanente é adaptado para armazenar um conjunto de clientes de controle de acesso criptografados e estados associados em armazenamento não volátil. Em uma modalidade, o armazenamento permanente armazena um conjunto de eSIMs criptografados e metadados associados tais como Objetos Binários Grandes (BLOBs). Cada BLOB pode ser criptografado exclusivamente pela chave do dispositivo de armazenamento (por exemplo, o aparelho eUICC, depósito eSIM, etc.).

[000130] Será reconhecido que embora certos aspectos da invenção estejam descritos em termos de uma sequência específica de etapas de um método, estas descrições são somente ilustrativas dos métodos mais amplos da invenção, e podem ser modificadas tal como exigido pela aplicação particular. Certas etapas podem ser tornadas desnecessárias ou opcionais sob certas circunstâncias. Adicionalmente, certas etapas ou funcionalidades podem ser acrescentadas às modalidades reveladas, ou a ordem de desempenho de duas ou mais etapas pode ser permutada. Todas as tais variações são consideradas como estando abrangidas pela invenção revelada e reivindicado neste documento.

[000131] Embora a descrição detalhada anterior tenha mostrado, descrito e salientado recursos inéditos da invenção como aplicados a várias modalidades, será entendido que várias omissões, substituições e mudanças na forma e detalhes do dispositivo ou processo ilustrado podem ser feitas pelos versados na técnica sem divergir da invenção. A descrição exposta anteriormente é a do melhor modo considerado atualmente de executar a invenção. Esta descrição não é pretendida para ser limi- tante em nenhum modo, mas em vez disto deve ser considerada como ilustrativa dos princípios gerais da invenção. O escopo da invenção deve ser determinado com referência para as concretizações.

Claims

1. Método para distribuir clientes de controle de acesso, ca-racterizado pelo fato de que compreende as etapas de:rastrear status de distribuição de uma pluralidade de clientes de controle de acesso que estão armazenados dentro de um repositório seguro;criptografar um primeiro cliente de controle de acesso ex-clusivamente para um dispositivo móvel alvo, o dispositivo móvel alvo sendo configurado para transferir o primeiro cliente de controle de acesso criptografado a partir de qualquer uma dentre duas ou mais entidades de distribuição;transmitir o primeiro cliente de controle de acesso criptografado para cada uma das duas ou mais entidades de distribuição; eremover o primeiro cliente de controle de acesso do repositório seguro;atualizar o status de distribuição que corresponde ao primeiro cliente de controle de acesso para indicar:a remoção do primeiro cliente de controle de acesso do repositório seguro, ea transmissão do primeiro cliente de controle de acesso criptografado para as duas ou mais entidades de distribuição; eem resposta à determinação de que o dispositivo móvel alvo transferiu o primeiro cliente de controle de acesso criptografado a partir de uma entidade de distribuição das duas ou mais entidades de distribuição:remover o primeiro cliente de controle de acesso crip-tografado das cada uma das duas ou mais entidades de distribuição, eatualizar o status de distribuição para refletir a remo- ção do primeiro cliente de controle de acesso criptografado de cada uma das duas ou mais entidades de distribuição.

2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o primeiro acesso criptografado não é modificado pelas duas ou mais entidades de distribuição.

3. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que rastrear os status de distribuição inclui a manutenção de dados de distribuição associados a cada cliente de controle de acesso da pluralidade de clientes de controle de acesso.

4. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o rastreamento dos status de distribuição inclui a manutenção de dados de transação associados a cada cliente de controle de acesso da pluralidade de clientes de controle de acesso.

5. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o dispositivo alvo está de acordo com uma relação confiável padrão.

6. Método, de acordo com a reivindicação 5, caracterizado pelo fato de que o dispositivo alvo é verificado com base pelo menos em parte em um esquema de desafio-resposta antes de transferir o primeiro cliente de controle de acesso criptografado.

7. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que cada cliente de controle de acesso da pluralidade de clientes de controle de acesso compreende é um Módulo de Identidade de Assinante eletrônico (eSIM).

8. Método, de acordo com a reivindicação 7, caracterizado pelo fato de que cada entidade de distribuição dentre as duas ou mais entidades de distribuição é um depósito eSIM.

9. Método para distribuir clientes de controle de acesso, ca-racterizado pelo fato de que compreende as etapas de:receber, em cada uma dentre duas ou mais localizações de distribuição, um cliente de controle de acesso criptografado para um dispositivo alvo exclusivo;receber, em qualquer uma das duas ou mais localizações de distribuição, uma solicitação do dispositivo alvo exclusivo para o cliente de controle de acesso criptografado;transmitir o cliente de controle de acesso criptografado para o dispositivo alvo exclusivo; eresponsivo ao recebimento de uma indicação de que o cliente de controle de acesso criptografado foi transmitido com sucesso para o dispositivo alvo exclusivo:em cada um dos dois ou mais locais de distribuição, remover ou desativar o cliente de controle de acesso criptografado.

10. Método, de acordo com a reivindicação 9, caracterizado pelo fato de que o cliente de controle de acesso criptografado é transmitido para o dispositivo alvo exclusivo sem notificar uma entidade centralizada de rede.

11. Método, de acordo com a reivindicação 9, caracterizado pelo fato de que o cliente de controle de acesso criptografado é associado com metadados.

12. Método, de acordo com a reivindicação 11, caracteri-zado pelo fato de que os metadados incluem:informação de identificação associada com o cliente de controle de acesso criptografado,informação sobre um emissor do cliente de controle de acesso criptografado, ouinformação de conta associada ao cliente de controle de acesso criptografado.

13. Método, de acordo com a reivindicação 11, caracteri-zado pelo fato de que os metadados compreendem informação de status associada ao cliente de controle de acesso criptografado.

14. Método, de acordo com a reivindicação 11, caracterizado pelo fato de que compreende ainda:receber, em qualquer uma das duas ou mais localizações de distribuição, uma segunda solicitação do dispositivo alvo exclusivo para os metadados; etransmitir os metadados para o dispositivo alvo exclusivo.

15. Aparelho para distribuir clientes de controle de acesso, o aparelho caracterizado pelo fato de que compreende:um aparelho de assinatura, sendo que o aparelho de assinatura está configurado para rastrear status de distribuição de uma pluralidade de clientes de controle de acesso;um módulo de segurança, sendo que o módulo de segurança está configurado para criptografar exclusivamente a pluralidade de clientes de controle de acesso para dispositivos alvo;um processador; eum dispositivo de armazenamento em comunicação de dados com o processador, em que o dispositivo de armazenamento armazena um método executável por computador que, quando executado pelo processador, faz com que o processador:receba de um dispositivo alvo uma solicitação para um cliente de controle de acesso da pluralidade de clientes de controle de acesso;faça com que o módulo de segurança criptografe exclusivamente o cliente de controle de acesso para o dispositivo alvo;transmita o cliente de controle de acesso criptografado para duas ou mais localizações de distribuição, em que qualquer uma das duas ou mais localizações de distribuição é capaz de transmitir o cliente de controle de acesso criptografado ao dispositivo alvo; efaça com que o aparelho de assinatura atualize um status de distribuição associado ao cliente de controle de acesso criptografa- do para refletir a transmissão do cliente de controle de acesso criptografado para cada uma das duas ou mais localizações de distribuição.

16. Aparelho, de acordo com a reivindicação 15, caracterizado pelo fato de que o aparelho compreende adicionalmente um armazenamento seguro para armazenar localmente a pluralidade de clientes de controle de acesso.

17. Aparelho, de acordo com a reivindicação 16, caracterizado pelo fato de que cada cliente de controle de acesso da pluralidade de clientes de controle de acesso é criptografado exclusivamente para o armazenamento seguro.

18. Aparelho, de acordo com a reivindicação 17, caracterizado pelo fato de que o módulo de segurança é configurado adicionalmente para, antes de criptografar o cliente de controle de acesso, descriptografar o cliente de controle de acesso quando este é criptografado para o armazenamento seguro.

19. Aparelho de acordo com a reivindicação 15, caracterizado pelo fato de que cada cliente de controle de acesso da pluralidade de clientes de controle de acesso é um Módulos de Identidade de Assinante eletrônico (eSIMs).

20. Aparelho de acordo com a reivindicação 19, caracterizado pelo fato de que cada uma das uma ou mais localizações de distribuição é um depósito eSIM.