BRPI1106663B1

BRPI1106663B1 - METHODS AND APPARATUS FOR THE STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS

Info

Publication number: BRPI1106663B1
Application number: BRPI1106663-6A
Authority: BR
Inventors: Stephan V. Schell; Jerrold Von Hauck
Original assignee: Apple Inc
Priority date: 2010-10-28
Filing date: 2011-10-28
Publication date: 2021-10-26
Also published as: BRPI1106663A2

Abstract

métodos e aparelhos para o armazenamento e a execução de clientes de controle de acesso. a presente invenção refere-se a métodos e aparelhos para a provisão segura de entidades de controle de acesso (tais como componentes de módulo de identidade de assinantes (esim) eletrônico ou virtual) pós-lançamento do dispositivo principal no qual a entidade de controle de acesso será usada. em uma modalidade, a um equipamento de usuário sem fio (por exemplo, celular) é dada uma chave de dispositivo única e um certificado de endosso, o qual pode ser usado para a provisão de atualizações ou novos esims para o equipamento de usuário no ''campo''. o equipamento de usuário pode confiar no material de esim entregue por um vendedor de esim independente desconhecido, com base em uma transmissão de certificado seguro com a chave de dispositivo. em um outro aspecto, um sistema operacional (os) é particionado em várias porções ou ''caixas de areia''. durante uma operação, o dispositivo de usuário pode ativar e executar o sistema operacional na caixa de areia correspondente à rede sem fio atual. os pacotes de personalização enquanto conectados à rede apenas se aplicam àquela caixa de areia. de modo similar, quando o carregamento de um esim, o os precisa apenas carregar a lista de software necessária para o ambiente de tempo de rodada atual. um software não usado pode ser subsequentemente ativado.methods and apparatus for storing and executing access control clients. The present invention relates to methods and apparatus for the secure provision of access control entities (such as electronic or virtual subscriber identity module (ESIM) components) post-launch of the main device on which the access control entity is located. access will be used. In one embodiment, a wireless user equipment (e.g., cell phone) is given a unique device key and endorsement certificate, which can be used for provisioning updates or new esims to the user equipment in the ' 'field''. user equipment may trust esim material delivered by an unknown independent esim vendor based on a secure certificate transmission with the device key. In another aspect, an operating system(s) is partitioned into several portions or ''sandboxes''. During an operation, the user device can wake up and run the operating system in the sandbox corresponding to the current wireless network. customization packs while connected to the network only apply to that sandbox. Similarly, when loading an esim, the os only needs to load the list of software required for the current round-time environment. unused software can be subsequently activated.

Description

Priority and Related Orders

Este pedido reivindica prioridade para o Pedido de Patente U.S. N° de Série 13/080,521 depositado em 5 de abril de 2011 intitulado "METHODS AND APPARATUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS", o qual reivindica prioridade para o Pedidos de Patente Provisória U.S. N° de Série 61/407,866 depositado em 28 de outubro de 2010 e intitulado "METHODS AND APPARATUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS", cada um dos precedentes sendo incorporado aqui como referência em sua totalidade.This application claims priority to US Patent Application Serial No. 13/080,521 filed April 5, 2011 entitled "METHODS AND APPARATUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS", which claims priority to US Provisional Patent Applications Serial No. 61/407,866 filed October 28, 2010 and entitled "METHODS AND APPARATUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS", each of the foregoing being incorporated herein by reference in its entirety.

Este pedido também está relacionado aos Pedidos copossuídos, copendentes de Patente U.S. N° de Série 13/080,558 depositado em 5 de abril de 2011, e intitulado "APPARATUS AND METHODS FOR CONTROLLING DISTRIBUTION OF ELECTRONIC ACCESS CLIENTS", 12/952,082 depositado em 22 de novembro de 2010 e intitulado "WIRELESS NETWORK AUTHENTICATION APPARATUS AND METHODS", 12/952,089 depositado em 22 de novembro de 2010 e intitulado "APPARATUS AND METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK", 12/980,232 depositado em 28 de dezembro de 2010 e intitulado "VIRTUAL SUBSCRIBER IDENTITY MODULE DISTRIBUTION SYSTEM", e 12/353,227 depositado em 13 de janeiro de 2009, e intitulado "POSTPONED CARRIER CONFIGURATION", e Pedidos de Patente Provisória U.S. N° de Série 61/472,109 depositado em 5 de abril de 2011, e intitulado "APPARATUS AND METHODS FOR STORING ELECTRONIC ACCESS CLIENTS", 61/472,115 depositado em 5 de abril de 2011, e intitulado "APPARATUS AND METHODS FOR DISTRIBUTING AND STORING E- LECTRONIC ACCESS CLIENTS", 61/407,858 depositado em 28 de outubro de 2010 e intitulado "METHODS AND APPARATUS FOR ACCESS CONTROL CLIENT ASSISTED ROAMING", 61/407,861 depositado em 28 de outubro de 2010 e intitulado "MANAGEMENT SYSTEMS FOR MULTIPLEThis application is also related to co-owned Applications, co-pending US Patent Serial No. 13/080,558 filed on April 5, 2011, and entitled "APPARATUS AND METHODS FOR CONTROLLING DISTRIBUTION OF ELECTRONIC ACCESS CLIENTS", 12/952,082 filed on 22nd November 2010 and entitled "WIRELESS NETWORK AUTHENTICATION APPARATUS AND METHODS", 12/952,089 filed on November 22, 2010 and entitled "APPARATUS AND METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK", 12/980,232 filed on December 28, 2010 and entitled "VIRTUAL SUBSCRIBER IDENTITY MODULE DISTRIBUTION SYSTEM", and 12/353,227 filed January 13, 2009, and entitled "POSTPONED CARRIER CONFIGURATION", and US Provisional Patent Applications Serial No. 61/472.109 filed April 5 of 2011, and entitled "APPARATUS AND METHODS FOR STORING ELECTRONIC ACCESS CLIENTS", 61/472.115 filed on April 5, 2011, and entitled "APPARATUS AND METHODS FOR DISTRIBUTING AND S TORING E-LECTRONIC ACCESS CLIENTS", 61/407,858 filed October 28, 2010 and entitled "METHODS AND APPARATUS FOR ACCESS CONTROL CLIENT ASSISTED ROAMING", 61/407,861 filed October 28, 2010 and entitled "MANAGEMENT SYSTEMS FOR MULTIPLE

ACCESS CONTROL ENTITIES" (agora Pedido de Patente U.S. N° de Série 13/079,614 depositado em 4 de abril de 2011, do mesmo título), 61/407,862 depositado em 28 de outubro de 2010 e intitulado "METHODS AND APPARATUS FOR DELIVERING ELECTRONIC IDENTIFICATION COMPONENTS OVER A WIRELESS NETWORK", 61/408,504 depositado em 29 de outubro de 2010 e intitulado "ACCESS DATA PROVISIONING SERVICE" (agora Pedido de Patente U.S. N° de Série 13/078,811 depositado em 1 de abril de 2011, e intitulado "ACCESS DATA PROVISIONING APPARATUS AND METHODS"), 61/409,891 depositado em 3 de novembro de 2010 e intitulado "METHODS AND APPARATUS FOR ACCESS DATA RECOVERY FROM A MALFUNCTIONING DEVICE", 61/410,298 depositado em 4 de novembro de 2010 e intitulado "SIMULACRUM OF PHYSICAL SECURITY DEVICE AND METHODS" (agora Pedido de Patente U.S. N° 13/080,533 depositado em 5 de abril de 2011, do mesmo título), e 61/413,317 depositado em 12 de novembro de 2010 e intitulado "APPARATUS AND METHODS FOR RECORDATION OF DEVICE HISTORY ACROSS MULTIPLE SOFTWARE EMULATION", cada um dos precedentes sendo incorporado aqui como referência em sua totalidade.ACCESS CONTROL ENTITIES" (now US Patent Application Serial No. 13/079,614 filed April 4, 2011, same title), 61/407,862 filed October 28, 2010 and entitled "METHODS AND APPARATUS FOR DELIVERING ELECTRONIC IDENTIFICATION COMPONENTS OVER A WIRELESS NETWORK", 61/408,504 filed October 29, 2010 and entitled "ACCESS DATA PROVISIONING SERVICE" (now US Patent Application Serial No. 13/078,811 filed April 1, 2011, and entitled "ACCESS DATA PROVISIONING APPARATUS AND METHODS"), 61/409,891 filed on November 3, 2010 and entitled "METHODS AND APPARATUS FOR ACCESS DATA RECOVERY FROM A MALFUNCTIONING DEVICE", 61/410.298 filed on November 4, 2010 and entitled "SIMULACRUM OF PHYSICAL SECURITY DEVICE AND METHODS" (now US Patent Application No. 13/080,533 filed on April 5, 2011, of the same title), and 61/413,317 filed on November 12, 2010 and entitled "APPARATUS AND METHODS FOR RECORDATION OF DEVICE HIS TORY ACROSS MULTIPLE SOFTWARE EMULATION", each of the foregoing being incorporated herein by reference in its entirety.

Background of the Invention Field of Invention

A presente invenção refere-se, geralmente, ao campo de comu-nicação sem fio e redes de dados. Mais particularmente, em um aspecto de exemplo, a presente invenção é dirigida a métodos e aparelhos para a modi-ficação segura, o armazenamento e a execução de entidades ou clientes de controle de acesso.The present invention generally relates to the field of wireless communication and data networks. More particularly, in an exemplary aspect, the present invention is directed to methods and apparatus for securely modifying, storing and executing access control entities or clients.

Description of Related Technology

Um controle de acesso é requerido para uma comunicação segura na maioria dos sistemas de comunicação por rádio sem fio da técnica anterior. Como um exemplo, um esquema de controle de acesso simples poderia compreender: (i) verificar a identidade de uma parte em comunicação, e (ii) conceder um nível de acesso comensurável com a identidade verificada. No contexto de um sistema celular de exemplo (por exemplo, o Sis- tema Universal de Telecomunicações Móveis (UMTS)), o controle de acesso é governado por um cliente de controle de acesso, referido como Módulo de Identidade de Assinante Universal (USIM) em execução em um cartão de circuito integrado universal (UICC) físico. O cliente de controle de acesso de USIM autentica o assinante na rede celular de UMTS. Após uma autenticação bem-sucedida, o assinante tem permissão para acessar a rede celular. Conforme usado a partir deste ponto, o termo "cliente de controle de acesso" se refere geralmente a uma entidade lógica, concretizada em hardware ou software, adequada para controle do acesso de um primeiro dispositivo a uma rede. Os exemplos comuns de clientes de controle de acesso incluem o USIM mencionado anteriormente, Módulos de Identificação de Assinante de CDMA (CSIM), Módulo de Identidade de Serviços de Multimídia de IP (ISIM), Módulos de Identidade de Assinante (SIM), Módulos de Identidade de Usuário Removíveis (RUIM), etc.Access control is required for secure communication in most prior art wireless radio communication systems. As an example, a simple access control scheme could comprise: (i) verifying the identity of a communicating party, and (ii) granting a level of access commensurate with the verified identity. In the context of an example cellular system (eg, the Universal Mobile Telecommunications System (UMTS)), access control is governed by an access control client, referred to as a Universal Subscriber Identity Module (USIM) running on a physical universal integrated circuit card (UICC). The USIM access control client authenticates the subscriber to the UMTS cellular network. After successful authentication, the subscriber is allowed to access the cellular network. As used from this point forward, the term "access control client" generally refers to a logical entity, embodied in hardware or software, suitable for controlling the access of a first device to a network. Common examples of access control clients include the aforementioned USIM, CDMA Subscriber Identity Modules (CSIM), IP Multimedia Services Identity Module (ISIM), Subscriber Identity Modules (SIM), Removable User IDs (RUIM), etc.

Tradicionalmente, o USIM (ou, mais geralmente, "SIM") executa o procedimento bem-conhecido de autenticação e acordo de chave (AKA), o qual verifica e decodifica os dados aplicáveis e programas para garantia de uma inicialização segura. Especificamente, o USIM deve (i) responder de forma bem-sucedida a um desafio remoto para provar sua identidade para a operadora de rede, e (ii) emitir um desafio para verificar a identidade da rede.Traditionally, USIM (or, more generally, "SIM") performs the well-known authentication and key agreement (AKA) procedure, which checks and decrypts applicable data and programs to ensure a secure boot. Specifically, the USIM must (i) successfully respond to a remote challenge to prove its identity to the network operator, and (ii) issue a challenge to verify the identity of the network.

Contudo, as soluções existentes têm fraquezas ou desvantagens múltiplas. Em primeiro lugar, o software de SIM é de código rígido para a mídia de cartão UICC físico; o assinante precisa de um novo UICC para mudar a operação do SIM. Isto pode ser prejudicial para MNOs e assinantes; por exemplo, se os procedimentos de autenticação forem "quebrados" (por exemplo, através de atividades maliciosas de "hackers"), ao assinante deve ser emitido um novo UICC, e este processo consome tempo e é dispendioso. Mais ainda, pelas razões descritas em maiores detalhes subsequentemente aqui, o SIM físico apenas reconhece uma única entidade de confiança; especificamente, a Operadora de Rede Móvel (MNO) com que é configurado para se comunicar. Assim, não há um método atual para a incorpora- ção de uma programação pós-lançamento, exceto através da relação de confiança existente entre o dispositivo e a MNO. Por exemplo, desenvolvedores de SIM independentes que desejam prover um software de SIM novo ou atualizado são frustrados pela inflexibilidade da mídia de cartão SIM físico, bem como sua incapacidade de estabelecer uma relação de confiança entre eles mesmos e o SIM do assinante. Este "gargalo" de controle limita grandemente o número e as capacidades asseguradas aos vendedores de SIM.However, existing solutions have multiple weaknesses or disadvantages. First, the SIM software is hard coded for physical UICC card media; subscriber needs a new UICC to change SIM operation. This can be harmful to MNOs and subscribers; for example, if authentication procedures are "broken" (eg through malicious activities of "hackers"), the subscriber must be issued a new UICC, and this process is time consuming and costly. Furthermore, for reasons described in greater detail subsequently here, the physical SIM only recognizes a single trusted entity; specifically, the Mobile Network Operator (MNO) it is configured to communicate with. Thus, there is no current method for incorporating a post-launch schedule, except through the trust relationship that exists between the device and the MNO. For example, independent SIM developers who want to provide new or updated SIM software are frustrated by the inflexibility of physical SIM card media, as well as their inability to establish a trusting relationship between themselves and the subscriber's SIM. This control "bottleneck" greatly limits the number and capabilities assured to SIM vendors.

Assim sendo, novas soluções são necessárias, para se permitir uma distribuição de SIM pós-lançamento, e uma modificação. De modo ideal, essas soluções devem permitir que o dispositivo móvel receba e implemente mudanças na operação do SIM, enquanto o dispositivo estiver no "campo" (pós-lançamento). Mais ainda, os métodos melhorados e aparelhos devem suportar outros recursos desejáveis, tais como, entre outras coisas, suporte para múltiplos perfis de SIM, operação flexível, atualizações, etc.Therefore, new solutions are needed to allow for post-release SIM distribution and modification. Ideally, these solutions should allow the mobile device to receive and implement changes to SIM operation while the device is in "the field" (post-launch). Furthermore, the improved methods and handsets must support other desirable features such as, among other things, support for multiple SIM profiles, flexible operation, updates, etc.

Mais geralmente, contudo, métodos melhorados e aparelhos são necessários para uma modificação segura, um armazenamento e uma execução de clientes de controle de acesso. As técnicas para a modificação da operação de cliente de controle de acesso são necessárias para suporte de recursos tais como múltiplos perfis de acesso de assinante, atualização segura de dispositivo, métodos alternativos para aprovisionamento de serviço de assinante, etc. Mais ainda, devido à natureza sensível de controle de a- cesso e à possibilidade de uso sub-reptício e roubo de serviço, métodos seguros para a realização dessas modificações são uma preocupação principal.More generally, however, improved methods and appliances are needed for secure modification, storage and execution of access control clients. Techniques for modifying the access control client operation are necessary to support features such as multiple subscriber access profiles, secure device update, alternative methods for provisioning subscriber service, etc. Furthermore, due to the sensitive nature of access control and the possibility of surreptitious use and theft of service, secure methods for making these modifications are a major concern.

Invention Summary

A presente invenção satisfaz às necessidades mencionadas an-teriormente pela provisão de aparelhos e métodos melhorados para uma modificação segura, um armazenamento e uma execução de clientes de controle de acesso.The present invention satisfies the aforementioned needs by providing improved apparatus and methods for securely modifying, storing and executing access control clients.

Em um primeiro aspecto da invenção, um aparelho sem fio é descrito. Em uma modalidade, o aparelho inclui: um ou mais enlaces sem fio adaptados para comunicação com pelo menos uma rede através de um cliente de controle de acesso; um elemento seguro configurado para o armazenamento do cliente de controle de acesso; uma interface para o elemento seguro, a interface tendo uma chave criptográfica e um certificado de endosso associado a ela; um processador; e um dispositivo de armazenamento em comunicação de dados com o processador, o dispositivo de armazenamento compreendendo instruções que podem ser executadas em computador. Pelo menos um subconjunto das instruções que podem ser executadas em computador é adicionalmente dividido em um ou mais segmentos.In a first aspect of the invention, a wireless apparatus is described. In one embodiment, the apparatus includes: one or more wireless links adapted to communicate with at least one network via an access control client; a secure element configured for access control client storage; an interface to the secure element, the interface having a cryptographic key and an endorsement certificate associated with it; a processor; and a storage device in data communication with the processor, the storage device comprising computer-executable instructions. At least a subset of the computer-executable instructions is further divided into one or more segments.

Em uma variante, as instruções que podem ser executadas em computador, quando executadas pelo processador: transmitem uma requisição por um ou mais componentes para um cliente de controle de acesso específico para pelo menos uma rede através da interface, a requisição incluindo o certificado de endosso e a chave criptográfica; recebem um ou mais componentes requisitados, um ou mais componentes associados a um segundo certificado de endosso; verificam o segundo certificado de endosso; e, em resposta a uma verificação bem-sucedida do segundo certificado de endosso, carregam o cliente de controle de acesso.In a variant, computer-executable instructions, when executed by the processor: transmit a request by one or more components to a specific access control client for at least one network through the interface, the request including the endorsement certificate and the cryptographic key; receive one or more required components, one or more components associated with a second certificate of endorsement; verify the second endorsement certificate; and, in response to a successful verification of the second endorsement certificate, load the access control client.

Em um segundo aspecto da invenção, um método para autenticação mútua é descrito. Em uma modalidade, o método inclui: a requisição de um ou mais componentes, a requisição estando associada a um primeiro certificado de endosso; o recebimento de um ou mais componentes e um segundo certificado de endosso; e o carregamento de um ou mais componentes, se o segundo certificado de endosso for válido, onde os primeiro e segundo certificados de endosso são emitidos por uma entidade de confiança.In a second aspect of the invention, a method for mutual authentication is described. In one embodiment, the method includes: requesting one or more components, the request being associated with a first endorsement certificate; the receipt of one or more components and a second certificate of endorsement; and loading one or more components, if the second endorsement certificate is valid, where the first and second endorsement certificates are issued by a trustee.

Em um terceiro aspecto da invenção, um método de execução de um cliente de controle de acesso é descrito. Em uma modalidade, o método inclui: a execução de um primeiro sistema operacional de autocarrega- dor, o sistema operacional de autocarregador selecionando uma partição segura, a partição segura estando associada apenas a um cliente de controle de acesso; a verificação da partição segura, a partição segura incluindo um sistema operacional comum e um cliente de controle de acesso; e a execução do sistema operacional comum, o sistema operacional comum carregando um cliente de controle de acesso. O cliente de controle de acesso é configurado para a autenticação com uma rede, tal como uma rede celular externa.In a third aspect of the invention, a method of executing an access control client is described. In one embodiment, the method includes: executing a first autoloader operating system, the autoloader operating system selecting a secure partition, the secure partition being associated with only one access control client; secure partition verification, the secure partition including a common operating system and an access control client; and running the common operating system, the common operating system carrying an access control client. The access control client is configured to authenticate with a network, such as an external cellular network.

Em um quarto aspecto da invenção, um dispositivo móvel é descrito. Em uma modalidade, o dispositivo móvel é configurado para requisitar, receber e utilizar uma estrutura de dados de SIM virtual ou eletrônico usando uma arquitetura de OS de autocarregador.In a fourth aspect of the invention, a mobile device is described. In one embodiment, the mobile device is configured to request, receive, and use a virtual or electronic SIM data structure using an autoloader OS architecture.

Em um quinto aspecto da invenção, um aparelho que pode ser lido em computador é descrito. Em uma modalidade, o aparelho inclui um equipamento de acesso à rede com pelo menos um programa de computador rodando nele, pelo menos um programa sendo configurado para receber, processar e aprovisionar requisições para SIMs virtuais ou eletrônicos usando um OS de autocarregador.In a fifth aspect of the invention, a computer readable apparatus is described. In one embodiment, the apparatus includes network access equipment with at least one computer program running on it, at least one program being configured to receive, process and provision requests for virtual or electronic SIMs using an autoloader OS.

Em um sexto aspecto da invenção, um sistema para a distribuição de SIMs virtuais ou eletrônicos para usuários é descrito. Em uma modalidade, o sistema inclui um aparelho para a entrega de componentes de sistema operacional suportando uma entrega de eSIM por uma rede, tal como a Internet, ou uma MAN ou uma WLAN.In a sixth aspect of the invention, a system for distributing virtual or electronic SIMs to users is described. In one embodiment, the system includes an apparatus for delivering operating system components supporting an eSIM delivery over a network, such as the Internet, or a MAN or a WLAN.

Outros recursos e vantagens da presente invenção serão imedi-atamente reconhecidos por pessoas versadas na técnica com referência aos desenhos anexados e a uma descrição detalhada de modalidades de exemplo, conforme dado abaixo.Other features and advantages of the present invention will be readily recognized by persons skilled in the art with reference to the accompanying drawings and a detailed description of example embodiments, as given below.

Breve Descrição dos Desenhos A figura 1 ilustra graficamente um procedimento de autenticação e acordo de chave (AKA) de exemplo usando um USIM da técnica anterior. A figura 2 é um fluxograma lógico que ilustra uma modalidade de um método para a atribuição de um par de chaves de dispositivo a uma entidade de software (por exemplo, um equipamento de usuário (UE), um vendedor de software independente, um vendedor de SIM, etc.) de acordo com a invenção. A figura 3 ilustra graficamente uma transação de exemplo para uma entrega segura de componentes de tempo de rodada entre um UE e um vendedor de software de acordo com uma modalidade da invenção. A figura 4 ilustra graficamente uma modalidade de um método para execução segura de um eSIM, de acordo com a invenção. A figura 4A ilustra graficamente uma modalidade de um OS de autocarregador, eUICC, e arquitetura de eSIMs de acordo com a invenção. A figura 5 é um fluxograma lógico que ilustra uma modalidade de um método generalizado para uma modificação segura, e o armazenamento de componentes para uso com clientes de controle de acesso. A figura 6 é um fluxograma lógico que ilustra uma modalidade de um método generalizado para uma execução segura de componentes para uso com clientes de controle de acesso de acordo com a invenção. A figura 7 é um diagrama de blocos de um aparelho de exemplo útil para a implementação dos métodos da presente invenção.Brief Description of the Drawings Figure 1 graphically illustrates an example authentication and key agreement (AKA) procedure using a prior art USIM. Figure 2 is a logical flowchart illustrating an embodiment of a method for assigning a device key pair to a software entity (e.g., a user equipment (UE), an independent software vendor, a software vendor. YES, etc.) according to the invention. Figure 3 graphically illustrates an example transaction for secure delivery of runtime components between a UE and a software vendor in accordance with an embodiment of the invention. Figure 4 graphically illustrates an embodiment of a method for safely executing an eSIM, according to the invention. Figure 4A graphically illustrates an embodiment of an autoloader OS, eUICC, and eSIM architecture according to the invention. Figure 5 is a logical flowchart illustrating one embodiment of a generalized method for secure modification and storage of components for use with access control clients. Figure 6 is a logical flowchart illustrating an embodiment of a generalized method for securely executing components for use with access control clients in accordance with the invention. Figure 7 is a block diagram of an example apparatus useful for implementing the methods of the present invention.

Detailed Description of the Invention

Uma referência é feita, agora, aos desenhos, em que números iguais se referem a partes iguais por todos eles. Visão GeralReference is now made to the drawings, in which like numbers refer to like parts throughout. Overview

A presente invenção provê, entre outras coisas, métodos seguros e aparelhos pelos quais um equipamento de usuário e qualquer entidade independente de confiança podem verificar mutuamente um ao outro. Também mostra um método e um aparelho que permitem que qualquer entidade independente se torne de confiança, mesmo após o equipamento de usuário ter sido lançado. Por exemplo, um dispositivo móvel (por exemplo, um UE de UMTS) pode identificar um vendedor independente de eSIM (por exemplo, um SIM virtual ou eletrônico - a partir deste ponto "eSIM"), e iniciar um diálogo de confiança para a compra, a aquisição ou a atualização de seu eSIM. De modo similar, o vendedor independente de eSIM pode verificar que o UE é um dispositivo de confiança, e codifica de forma segura seu eSIM para entrega. O diálogo de confiança é com base em uma chave única de dispositivo e um certificado de endosso; conforme descrito aqui adiante, em uma modalidade de exemplo, a chave de dispositivo é com base em uma criptografia de chave pública/privada.The present invention provides, among other things, secure methods and apparatus by which a user equipment and any trusted independent entity can mutually verify each other. It also shows a method and apparatus that allow any independent entity to become trusted, even after user equipment has been released. For example, a mobile device (eg a UMTS UE) can identify an independent eSIM vendor (eg a virtual or electronic SIM - from this point on "eSIM"), and initiate a trusting dialog for the purchase , purchase or upgrade your eSIM. Similarly, the independent eSIM vendor can verify that the UE is a trusted device, and securely encrypt their eSIM for delivery. The trust dialog is based on a unique device key and an endorsement certificate; as described hereinafter, in an example embodiment, the device key is based on a public/private key cryptography.

Vários aspectos da presente invenção são dirigidos a uma recepção segura de um cliente de controle de acesso (no todo ou em parte). Devido à natureza sensível de um material de controle de acesso para operadoras de rede, as soluções existentes favoreceram o uso de fatores de forma de cartão físico. Contudo, a presente invenção vantajosamente provê uma entrega segura de clientes de controle de acesso virtualizados ou eletrônicos (por exemplo, eSIMs), desse modo eliminando as necessidades as exigências para cartões físicos e suas limitações associadas.Various aspects of the present invention are directed towards secure reception of an access control client (in whole or in part). Due to the sensitive nature of an access control material for network operators, existing solutions favored the use of physical card form factors. However, the present invention advantageously provides for secure delivery of virtualized or electronic access control clients (eg, eSIMs), thereby eliminating the need for physical card requirements and their associated limitations.

Mais ainda, diferentemente das soluções existentes, a presente invenção permite ume entrega de um material de cliente de controle de a- cesso sem um cliente de controle de acesso pré-existente, desse modo melhorando grandemente a flexibilidade de usuário e a experiência de uso.Furthermore, unlike existing solutions, the present invention allows for the delivery of an access control client material without a pre-existing access control client, thereby greatly improving user flexibility and usage experience.

Em ainda um outro aspecto da invenção, um dispositivo (por e- xemplo, um dispositivo de usuário móvel) pode ativar e executar um ou múltiplos clientes de controle de acesso armazenados (por exemplo, eSIMs). Em particular, quando do carregamento de um eSIM, o sistema operacional (OS) apenas precisa carregar a lista de software necessária para o ambiente atual de tempo de rodada. Este efeito de "caixa de areia" assegura que múltiplos eSIMs possam ser utilizados no mesmo dispositivo, sem um acesso impróprio a outros eSIMs.In yet another aspect of the invention, a device (eg, a mobile user device) can activate and run one or multiple stored access control clients (eg, eSIMs). In particular, when loading an eSIM, the operating system (OS) only needs to load the software list needed for the current runtime environment. This "sandbox" effect ensures that multiple eSIMs can be used on the same device, without improper access to other eSIMs.

Detailed Description of Sample Modalities

As modalidades de exemplo e os aspectos da presente invenção são descritos, agora, em detalhes. Embora estas modalidades e aspectos sejam primariamente discutidos no contexto de Módulos de Identidade de Assinante (SIMs) de uma rede celular de GSM, GPRS/EDGE ou UMTS, será reconhecido por aqueles de conhecimento comum na técnica que a presente invenção não está limitada dessa forma. De fato, os vários aspectos da invenção são úteis em qualquer rede sem fio (seja celular ou de outra forma) que possa se beneficiar da modificação segura, do armazenamento e da execução de entidades ou clientes de controle de acesso.Exemplary embodiments and aspects of the present invention are now described in detail. Although these modalities and aspects are primarily discussed in the context of Subscriber Identity Modules (SIMs) of a GSM, GPRS/EDGE or UMTS cellular network, it will be recognized by those of ordinary skill in the art that the present invention is not so limited . In fact, the various aspects of the invention are useful in any wireless network (whether cellular or otherwise) that can benefit from the secure modification, storage and execution of access control entities or clients.

Também será reconhecido que, embora o termo "módulo de i- dentidade de assinante" seja usado aqui (por exemplo, eSIM), este termo de forma alguma necessariamente conota ou requer (i) o uso por um assinante por si (isto é, a invenção pode ser praticada por um assinante ou um não assinante); (ii) a identidade de um único indivíduo (isto é, a invenção pode ser praticada em nome de um grupo de indivíduos, tal como uma família, ou uma entidade intangível ou fictícia, tal como uma empresa); ou (iii) qualquer equipamento ou hardware de "módulo" tangível.It will also be recognized that, although the term "subscriber identity module" is used herein (eg, eSIM), this term in no way necessarily connotes or requires (i) use by a subscriber itself (ie, the invention can be practiced by a subscriber or a non-subscriber); (ii) the identity of a single individual (that is, the invention may be practiced on behalf of a group of individuals, such as a family, or an intangible or fictitious entity, such as a corporation); or (iii) any tangible "module" equipment or hardware.

Operação do Módulo de Identidade de Assinante (SIM) da Técnica Anterior - No contexto das redes celulares de UMTS da técnica anterior, um equipamento de usuário (UE) inclui um dispositivo móvel e um Módulo de Identidade de Assinante Universal (USIM). O USIM é uma entidade de software lógica que é armazenada e executada a partir de um cartão de circuito integrado universal (UICC) físico. Uma variedade de informação é armazenada no USIM, tal como uma informação de assinante, bem como as chaves e os algoritmos usados para uma autenticação junto à operadora de rede, de modo a se obterem os serviços de rede sem fio. O software de U- SIM é com base na linguagem de programação Java Card®. A Java Card é um subconjunto da linguagem de programação Java® que foi modificada para dispositivos do tipo de "cartão" embutido (tal como o UICC mencionado anteriormente).Prior Art Subscriber Identity Module (SIM) Operation - In the context of prior art UMTS cellular networks, a user equipment (UE) includes a mobile device and a Universal Subscriber Identity Module (USIM). The USIM is a logical software entity that is stored and executed from a physical universal integrated circuit (UICC) card. A variety of information is stored in the USIM, such as subscriber information, as well as the keys and algorithms used to authenticate with the network operator in order to obtain wireless network services. U-SIM software is based on Java Card® programming language. The Java Card is a subset of the Java® programming language that has been modified for built-in "card" type devices (such as the UICC mentioned earlier).

Geralmente, os UICCs são programados com um USIM, antes da distribuição para o assinante; a pré-programação ou "personalização" é específica para cada operadora de rede. Por exemplo, antes do lançamento, o USIM é associado a uma Identidade de Assinante Móvel Internacional (IMSI), um identificador de cartão de circuito integrado (ICC-ID) único e uma chave de autenticação (K) específica. A operadora de rede armazena a associação em um registro contido no centro de autenticação (AuC) de rede. Após a personalização, o UICC pode ser distribuído para os assinantes. Com referência à figura 1, um procedimento de Autenticação eGenerally, UICCs are programmed with a USIM, prior to distribution to the subscriber; pre-programming or "customization" is specific to each network operator. For example, prior to launch, the USIM is associated with an International Mobile Subscriber Identity (IMSI), a unique integrated circuit card identifier (ICC-ID), and a specific authentication key (K). The network operator stores the membership in a record contained in the network authentication center (AuC). After customization, the UICC can be distributed to subscribers. Referring to Figure 1, an Authentication and

Acordo de Chave (AKA) de exemplo usando o USIM da técnica anterior mencionado anteriormente USIM é ilustrado em detalhes. Durante procedimentos de autenticação normais, o UE adquire a Identidade de Assinante Móvel Internacional (IMSI) a partir do USIM. O UE passa a IMSI para a Rede 5 de Serviço (SN) da operadora de rede ou a rede de núcleo visitada. A SN encaminha a requisição de autenticação para o AuC da Rede Doméstica (HN). A HN compara a IMSI recebida com o registro de AuC e obtém a K apropriada. A HN gera um número randômico (RAND) e o assina com L u- sando um algoritmo para a criação da resposta esperada (XRES). A HN ain- 10 da gera uma Chave de Cifra (CK) e uma Chave de Integridade (IK) para uso na cifração e na proteção de integridade, bem como uma ficha de autenticação (AUTN) usando vários algoritmos. A HN envia um vetor de autenticação, consistindo em RAND, XRES, CK e AUTN para a SN. A SN armazena o vetor de autenticação apenas para uso em um processo de autenticação des- 15 cartável. A SN passa o RAND e a AUTN para o UE.Example Key Agreement (AKA) using prior art USIM previously mentioned USIM is illustrated in detail. During normal authentication procedures, the UE acquires the International Mobile Subscriber Identity (IMSI) from the USIM. The UE passes the IMSI to the Service Network (SN) of the network operator or the visited core network. The SN forwards the authentication request to the Home Network (HN) AuC. The HN compares the received IMSI with the AuC record and gets the appropriate K. HN generates a random number (RAND) and signs it with L using an algorithm for creating the expected response (XRES). The HN further generates a Cipher Key (CK) and an Integrity Key (IK) for use in encryption and integrity protection, as well as an authentication token (AUTN) using various algorithms. The HN sends an authentication vector consisting of RAND, XRES, CK and AUTN to the SN. The SN stores the authentication vector only for use in a disposable authentication process. The SN passes the RAND and AUTN to the UE.

Uma vez que o UE receba o RAND e a AUTN, o USIM verifica se a AUTN recebida é válida. Se assim for, o UE usará o RAND recebido para computar sua própria resposta (RES) usando a K armazenada e o mesmo algoritmo que gerou a XRES. O UE passa a RES de volta para a SN. 20 A SN compara a XRES com a RES recebida e, se elas combinarem, a SN autorizará que o UE use os serviços de rede sem fio da operadora. Operação de Exemplo -Once the UE receives the RAND and the AUTN, the USIM checks whether the received AUTN is valid. If so, the UE will use the received RAND to compute its own response (RES) using the stored K and the same algorithm that generated the XRES. The UE passes the RES back to the SN. 20 The SN compares the XRES with the received RES and, if they match, the SN will authorize the UE to use the operator's wireless network services. Example Operation -

Vários aspectos da presente invenção são discutidos, agora, com respeito a uma implementação de exemplo. No contexto da modalidade 25 de exemplo da presente invenção, ao invés de se usar um UICC físico como na técnica anterior, o UICC é emulado como uma entidade virtual ou eletrônica, tal como, por exemplo, um aplicativo de software, a partir deste ponto referido como um Cartão de Circuito Integrado Universal eletrônico (eUICC), que está contido em um elemento seguro (por exemplo, um microprocessa- 30 dor seguro ou um dispositivo de armazenamento) no UE. O eUICC é capaz de armazenar e gerenciar múltiplos elementos de SIM, referidos a partir deste ponto como Módulos de Identidade de Assinante Eletrônicos (eSIM). Cada eSIM é uma emulação de software de um USIM típico, e contém uma programação análoga e dados de usuário associados a ela. O eUICC seleciona um eSIM com base na ICC-ID de eSIM. Uma vez que o eUICC selecione o(s) eSIM(s) desejado(s), o UE pode iniciar um procedimento de autenticação para a obtenção de serviços de rede sem fio a partir da operadora de rede correspondente do eSIM. Mais ainda, cada aplicativo de eSIM geralmente envolve clientes de controle de acesso, tais como USIM, CSIM, ISIM, SIM, RUIM, etc. mencionados anteriormente. É entendido que cada eSIM está associado a uma conta de usuário, assim um "eSIM" podendo englobar amplamente múltiplos clientes de controle de acesso (por exemplo, um usuário pode ter um USIM, e um SIM associado à mesma conta de eSIM).Various aspects of the present invention are now discussed with respect to an example implementation. In the context of the example embodiment 25 of the present invention, instead of using a physical UICC as in the prior art, the UICC is emulated as a virtual or electronic entity, such as, for example, a software application, from this point on referred to as an electronic Universal Integrated Circuit Card (eUICC), which is contained in a secure element (eg, a secure microprocessor or storage device) in the UE. The eUICC is capable of storing and managing multiple SIM elements, referred to from this point on as Electronic Subscriber Identity Modules (eSIM). Each eSIM is a software emulation of a typical USIM, and contains analog programming and user data associated with it. eUICC selects an eSIM based on the eSIM ICC-ID. Once the eUICC selects the desired eSIM(s), the UE can initiate an authentication procedure for obtaining wireless network services from the corresponding network operator of the eSIM. Furthermore, each eSIM application usually involves access control clients such as USIM, CSIM, ISIM, SIM, BAD, etc. previously mentioned. It is understood that each eSIM is associated with a user account, thus an "eSIM" can broadly encompass multiple access control clients (for example, a user can have a USIM, and a SIM associated with the same eSIM account).

Conforme aludido previamente, o procedimento de USIM da técnica anterior descrito acima usa uma chave pré-compartilhada para a autenticação para a Rede de Núcleo (por exemplo, a Rede Doméstica (HN), a Rede de Serviço (SN) e o Centro de Autenticação (AuC), etc. mencionados anteriormente). Assim sendo, o procedimento de USIM é necessariamente um sistema "fechado" para a operadora de rede, já que a chave pré- compartilhada deve ser guardada de forma próxima. Em contraste, a presente invenção provê métodos seguros para o eUICC e qualquer entidade independente mutuamente confiar um no outro; e permite que qualquer entidade independente se torne de confiança, mesmo após o equipamento de usuário ter sido lançado.As alluded to previously, the prior art USIM procedure described above uses a pre-shared key for authentication to the Core Network (eg, Home Network (HN), Service Network (SN) and Authentication Center (AuC), etc. mentioned above). Therefore, the USIM procedure is necessarily a "closed" system for the network operator, as the pre-shared key must be kept closely. In contrast, the present invention provides secure methods for the eUICC and any independent entity to mutually trust each other; and allows any independent entity to become trusted, even after user equipment has been released.

Assim sendo, a presente invenção tem em alguns aspectos exi-gências de segurança significativamente mais complexas, mas, também, vantajosamente, oferece muito mais flexibilidade. Mais ainda, será reconhecido por aqueles de conhecimento comum na técnica que, embora vários aspectos da presente invenção se beneficiem do uso com construções de software "virtuais" (por exemplo, eUICC, eSIM), os benefícios não estão limitados a estas modalidades virtuais. De fato, os princípios discutidos aqui são igualmente aplicáveis para uma modificação segura, armazenamento e execução de um cliente de controle de acesso concretizado, entre outras coisas, em uma mídia de cartão físico, um hardware de segurança dedicado, etc.Therefore, the present invention has in some respects significantly more complex security requirements, but it also advantageously offers much more flexibility. Furthermore, it will be recognized by those of ordinary skill in the art that while various aspects of the present invention benefit from use with "virtual" software constructs (e.g., eUICC, eSIM), the benefits are not limited to these virtual embodiments. In fact, the principles discussed here are equally applicable to secure modification, storage and execution of an access control client embodied, among other things, on physical card media, dedicated security hardware, etc.

Estabelecimento de Comunicação de Confiança - A figura 2 ilustra um método de exemplo para a atribuição de um par de chaves de dispositivo a uma entidade de software (por exemplo, uma eUICC, um vendedor de software independente, um vendedor de SIM, etc.). Na etapa 202, um par de chaves criptográficas públicas/privadas (por exemplo, o algoritmo de Rivest, Shamir e Adleman (RSA)) é atribuído à entidade de software, e armazenado em um elemento seguro protegido fisicamente da entidade de software; por exemplo, o eUICC no UE, um banco de dados seguro no vendedor de software independente. Por exemplo, o eUICC é programado por uma entidade de confiança; ou, alternativamente, pode gerar internamente o par de chaves públicas/privadas quando primeiramente fabricado/ativado.Establishing Trusted Communication - Figure 2 illustrates an example method for assigning a device key pair to a software entity (eg, an eUICC, an independent software vendor, a SIM vendor, etc.) . In step 202, a public/private cryptographic key pair (e.g., the Rivest, Shamir, and Adleman (RSA) algorithm) is assigned to the software entity, and stored in a physically protected secure element of the software entity; for example, the eUICC in the UE, a secure database at the independent software vendor. For example, the eUICC is programmed by a trusted entity; or, alternatively, it can internally generate the public/private key pair when first manufactured/activated.

Como um breve aparte, um par de chaves públicas/privadas é baseado em uma chave privada secreta e uma chave pública publicável. Os esquemas de chave pública/privada são considerados "assimétricos", já que a chave usada para a codificação e a de decodificação são diferentes e, assim, o codificador e o decodificador não compartilham a mesma chave. Em contraste, os esquemas de chave "simétrica" utilizam a mesma chave (ou chaves transformadas de modo trivial) para codificação e decodificação. O algoritmo de Rivest, Shamir e Adleman (RSA) é um tipo de criptografia de par de chaves públicas/privadas que é comumente usado nas técnicas relacionadas, mas será reconhecido que a presente invenção não está limitada de forma alguma ao algoritmo de RSA.As a brief aside, a public/private key pair is based on a secret private key and a publishable public key. Public/private key schemes are considered "asymmetric" as the key used for encryption and decryption are different and thus the encoder and decoder do not share the same key. In contrast, "symmetric" key schemes use the same key (or trivially transformed keys) for encryption and decryption. The Rivest, Shamir, and Adleman (RSA) algorithm is a type of public/private key pair cryptography that is commonly used in related techniques, but it will be recognized that the present invention is in no way limited to the RSA algorithm.

Os esquemas de criptografia pública/privada podem ser usados para a codificação de uma mensagem e/ou para a geração de assinaturas. Especificamente, uma mensagem pode ser codificada com uma chave privada e decodificada com a chave pública, desse modo se assegurando que a mensagem não tenha sido alterada em trânsito. De modo similar, uma assinatura gerada com a chave privada pode ser verificada com a chave pública, assegurando que a entidade gerando a assinatura é legítima. Em ambos os usos, a chave privada é mantida oculta, e a chave pública é livremente distribuída.Public/private encryption schemes can be used to encode a message and/or generate signatures. Specifically, a message can be encrypted with a private key and decrypted with the public key, thereby ensuring that the message has not been altered in transit. Similarly, a signature generated with the private key can be verified with the public key, ensuring that the entity generating the signature is legitimate. In both uses, the private key is kept hidden, and the public key is freely distributed.

Na etapa 204, um certificado de endosso é emitido para o par de chaves públicas/privadas. Por exemplo, a entidade de confiança atesta a autenticidade do eUICC e o segredo da chave privada ao emitir um certificado de "endosso" para o par de chaves de eUICC. Este par de chaves públicas/privadas é agora o par de chaves de dispositivo para o eUICC.In step 204, an endorsement certificate is issued for the public/private key pair. For example, the trustee attests to the authenticity of the eUICC and the secret of the private key by issuing an "endorsement" certificate for the eUICC key pair. This public/private key pair is now the device key pair for eUICC.

Em uma modalidade, o certificado de endosso compreende uma coleção de dados os quais podem incluir, mas não estão limitados a: (i) uma informação de identidade para a autoridade de certificação, (ii) uma informação de identificação para o dispositivo, (iii) metadados descrevendo algoritmos de certificação, e/ou (iv) as chaves públicas apropriadas. Estes componentes podem ser adicionalmente assinados com a chave privada do endossante. Em uma modalidade, durante uma operação normal, esta assinatura digital é checada pelo receptor para verificar que os conteúdos estão seguros e não foram violados.In one embodiment, the endorsement certificate comprises a collection of data which may include, but is not limited to: (i) an identity information for the certification authority, (ii) an identification information for the device, (iii ) metadata describing certification algorithms, and/or (iv) the appropriate public keys. These components can be additionally signed with the endorser's private key. In one modality, during normal operation, this digital signature is checked by the receiver to verify that the contents are secure and not tampered with.

Uma vez que os pares de chaves de dispositivo são assimétricos, as chaves públicas podem ser distribuídas sem comprometimento da integridade das chaves privadas. Assim sendo, a chave de dispositivo e o certificado podem ser usados para a proteção e a verificação da comunicação entre partes desconhecidas previamente (por exemplo, o eUICC e a parte independente). Considere a transação de exemplo a seguir para uma entrega assegurada de componentes de tempo de rodada entre um eUICC e um vendedor de software (mostrado na figura 3).Since device key pairs are asymmetric, public keys can be distributed without compromising the integrity of private keys. Therefore, the device key and certificate can be used for protection and verification of communication between previously unknown parties (eg eUICC and independent party). Consider the following example transaction for an assured delivery of runtime components between an eUICC and a software vendor (shown in Figure 3).

Na etapa 302 da figura 3, um eUICC requisita um eSIM a partir de um vendedor de eSIM independente. Embora o exemplo a seguir descreva uma transferência segura de um aplicativo de eSIM, outros exemplos comuns de aplicativos de ambiente de tempo de rodada poderiam incluir patches, sistemas operacionais plenamente caracterizados, etc.In step 302 of Figure 3, an eUICC requests an eSIM from an independent eSIM vendor. While the following example describes a secure transfer of an eSIM application, other common examples of runtime environment applications could include patches, fully featured operating systems, etc.

Na etapa 304, o vendedor de eSIM independente recupera a chave pública de dispositivo correspondente ao eUICC a partir do certificado de endosso, por exemplo, o certificado de endosso pode ser obtido a partir de um banco de dados, consultando-se o eUICC, etc. É de interesse em particular notar que a chave privada de contraparte de eUICC vantajosamente nunca é exposta ao vendedor de eSIM independente durante este processo.In step 304, the independent eSIM vendor retrieves the device public key corresponding to the eUICC from the endorsement certificate, for example, the endorsement certificate can be obtained from a database by querying the eUICC, etc. . It is of particular interest to note that the eUICC counterparty private key is advantageously never exposed to the independent eSIM vendor during this process.

Na etapa 305, o vendedor de eSIM independente verifica o certificado de endosso. Em uma modalidade de exemplo, o certificado de endosso é atribuído de forma única por uma entidade de confiança (tal como a cessionária deste, Apple®). Uma vez que o vendedor de eSIM independente tenha verificado o certificado de endosso, então, ao vendedor de eSIM independente pode ser assegurado que o eUICC é de confiança pela entidade de confiança (por exemplo, a Apple®) e por associação é seguro.In step 305, the independent eSIM vendor verifies the endorsement certificate. In an example modality, the endorsement certificate is uniquely assigned by a trustee (such as its assignee, Apple®). Once the third-party eSIM vendor has verified the endorsement certificate, then the third-party eSIM vendor can be assured that the eUICC is trusted by the trusting entity (eg Apple®) and by association is secure.

Na etapa 306, o ambiente de tempo de rodada de eSIM é codificado e, então, assinado pelo vendedor de software independente pelo eUICC em particular correspondente ao UE. Em modalidades alternativas, o ambiente de tempo de rodada de eSIM é assinado primeiro e, então, codificado. Em um caso de exemplo, o vendedor usa sua própria chave de assinatura assimétrica de vendedor e uma chave pública/privada de RSA e uma cadeia de certificado para assinar o eSIM, e usa uma chave simétrica efêmera ou temporária para codificar o eSIM. A chave simétrica temporária é gerada randomicamente, enquanto se prepara o pacote para o eUICC.In step 306, the eSIM runtime environment is encoded and then signed by the independent software vendor by the particular eUICC corresponding to the UE. In alternative modalities, the eSIM runtime environment is first signed and then encoded. In an example case, the vendor uses its own vendor asymmetric signing key and an RSA public/private key and certificate chain to sign the eSIM, and uses an ephemeral or temporary symmetric key to encode the eSIM. The temporary symmetric key is generated randomly while preparing the package for eUICC.

Na etapa 308, o ambiente de tempo de rodada de eSIM assinado e codificado é dividido em múltiplos pacotes para entrega (por exemplo, por uma interface sem fio, etc.) pelo vendedor de eSIM independente. Por exemplo, o eSIM assinado e codificado é dividido e dimensionado em pacotes que são apropriados para a qualidade do enlace de comunicação (a entrega em pacotes suporta vários esquemas desejáveis de correção de erro bem-conhecidos nas técnicas relacionadas).In step 308, the signed and encoded eSIM runtime environment is split into multiple packets for delivery (eg, over a wireless interface, etc.) by the independent eSIM vendor. For example, the signed and encoded eSIM is divided and sized into packets that are appropriate for the quality of the communication link (packet delivery supports several desirable error correction schemes well-known in the related arts).

Na etapa 310, a chave simétrica efêmera é transmitida de forma segura para o eUICC, tal como pela codificação dela com a chave pública de eUICC apropriada. O certificado de vendedor pode ser transferido como texto sem formatação, ou, alternativamente, pode ser codificado. Geralmente, o certificado de vendedor não é codificado para a redução da carga de processamento no receptor (contudo, isto não é uma exigência do sistema, e uma codificação pode ser usada em todos os casos ou, alternativamente, pode ser aplicada de forma seletiva).In step 310, the ephemeral symmetric key is transmitted securely to the eUICC, such as by encrypting it with the appropriate eUICC public key. The seller certificate can be transferred as plain text, or alternatively it can be encoded. Generally, the seller certificate is not encoded to reduce the processing load on the recipient (this is not a system requirement, however, and an encoding can be used in all cases or alternatively can be applied selectively) .

Na etapa 312, o eUICC verifica o certificado de vendedor. Deve ser notado que uma verificação bem-sucedida do certificado de vendedor com a chave de assinatura pública do vendedor provê ao eUICC uma prova que a assinatura não é falsificada.In step 312, eUICC verifies the seller certificate. It should be noted that a successful verification of the seller's certificate with the seller's public signature key provides the eUICC with proof that the signature is not forged.

Em alguns casos, o certificado de vendedor ainda pode incluir assinaturas por uma entidade de confiança externa (por exemplo, uma MNO, etc.). Se o certificado de vendedor for válido, então, o UE decodificará a chave simétrica efêmera, com sua chave privada (a do eUICC). Uma conclusão bem-sucedida da troca precedente assegura que o percurso entre o eUICC e a entidade independente seja assegurado, e codificado com uma chave simétrica efêmera comum para uma transação adicional de dados.In some cases, the seller certificate may still include signatures by an external trustee (eg an MNO, etc.). If the seller certificate is valid, then the UE will decode the ephemeral symmetric key, with its private key (that of the eUICC). A successful completion of the preceding exchange ensures that the path between the eUICC and the independent entity is secured, and encoded with a common ephemeral symmetric key for an additional data transaction.

Assim sendo, na etapa 314, os pacotes codificados em volume podem ser recebidos de forma segura, remontados e decodificados pelo eUICC. Neste exemplo em particular, o eUICC transfere (via download) pacotes para o eSlM.Thus, in step 314, the bulk encoded packets can be securely received, reassembled and decoded by the eUICC. In this particular example, eUICC transfers (via download) packages to eSlM.

Em uma modalidade, o certificado de vendedor, a chave e os pacotes codificados são transmitidos em conjunto. Modalidades alternativas usam outros paradigmas; por exemplo, transmitem o certificado e a chave, estabelecem uma conexão segura primeiramente e, então, iniciam a transmissão dos pacotes codificados pela conexão segura.In one embodiment, the seller certificate, key, and encrypted packets are transmitted together. Alternative modalities use other paradigms; for example, they transmit the certificate and key, establish a secure connection first, and then start transmitting the packets encrypted by the secure connection.

A modalidade de exemplo da presente invenção trata o eSlM como uma entidade separada do eUICC. Assim sendo, o eUICC pode estabelecer uma conexão segura com uma entidade independente, sem o benefício de um eSlM existente, e, mesmo após o equipamento de usuário ser lançado. O eUICC de exemplo permite a entrega segura de um eSlM, assim permitindo diretamente que um vendedor de eSlM independente distribua eSIMs para um dispositivo móvel, sem a confiança prévia no procedimento de AKA de SIM existente.The exemplary embodiment of the present invention treats the eSlM as a separate entity from the eUICC. As such, the eUICC can establish a secure connection with an independent entity, without the benefit of an existing eSlM, and even after the user equipment is launched. The example eUICC allows for the secure delivery of an eSlM, thus directly allowing an independent eSlM vendor to distribute eSIMs to a mobile device, without prior reliance on the existing SIM AKA procedure.

Mais diretamente, o dispositivo tem um par de chaves de dispositivo simétricas distintas, o qual é separado da chave simétrica associada a qualquer eSlM único (e a MNO emitindo o eSlM). Esta distinção entre o e- SIM e o eUICC tem repercussões significativas quanto à complexidade do sistema operacional do dispositivo. Execução de Partições Seguras - Conforme aludido previamente, as soluções existentes para UICCs físicas contêm uma entidade de USIM única; contudo, aqueles versados na técnica relacionada reconhecerão que vários aspectos da presente invenção são prontamente adequados para o armazenamento e a execução de múltiplos perfis de cliente de controle de acesso. Assim sendo, em uma outra modalidade da presente invenção, o eUICC deve determinar a validade da rede e do eSIM. Devido à complexidade das tarefas precedentes, a arquitetura de SIM da técnica anterior não é mais suficiente para uma inicialização. Ao invés disso, em uma modalidade de exemplo da invenção, o sistema operacional (OS) de autocarregador carrega um sistema operacional "comum" ou "residente"; o OS comum carrega um eSIM apropriado, e o e- SIM carregado pode executar o procedimento de Autenticação e Acordo de Chave (AKA).More directly, the device has a pair of distinct symmetric device keys, which is separate from the symmetric key associated with any single eSlM (and the MNO issuing the eSlM). This distinction between e-SIM and eUICC has significant implications for the complexity of the device's operating system. Secure Partition Execution - As alluded to previously, existing solutions for physical UICCs contain a single USIM entity; however, those skilled in the related art will recognize that various aspects of the present invention are readily suitable for storing and executing multiple access control client profiles. Therefore, in another embodiment of the present invention, the eUICC must determine the validity of the network and the eSIM. Due to the complexity of the preceding tasks, the prior art SIM architecture is no longer sufficient for a boot. Instead, in an exemplary embodiment of the invention, the autoloader operating system (OS) loads a "common" or "resident" operating system; the common OS loads an appropriate eSIM, and the loaded e-SIM can perform the Authentication and Key Agreement (AKA) procedure.

Especificamente, o OS de autocarregador da presente invenção em uma implementação é responsável pela verificação criptográfica, pela decodificação e pelo carregamento do OS comum, e todos os patches associados a um eSIM ativado. O OS de autocarregador é executado em um eUICC de software virtualizado; consequentemente, o eSIM e o OS comum associado são "postos em caixa de areia"; eles apenas podem acessar os patches apropriados tornados disponíveis através do eUICC. Por exemplo, em uma modalidade de exemplo, o eUICC apenas permite patches que compartilhem o mesmo signatário que o eSIM.Specifically, the autoloader OS of the present invention in one implementation is responsible for cryptographic verification, decoding and loading of the common OS, and all patches associated with an activated eSIM. The autoloader OS runs on a virtualized software eUICC; hence, the eSIM and the associated common OS are "sandboxed"; they can only access the appropriate patches made available through eUICC. For example, in an example modality, eUICC only allows patches that share the same signer as eSIM.

Com referência, agora, à figura 4, um método de exemplo para a execução de forma segura de um particionamento em um eSIM é descrito.Referring now to Figure 4, an example method for safely performing partitioning in an eSIM is described.

Na etapa 402, o eUICC abre o OS de autocarregador na reinicia- lização de chip. Na etapa 404, o OS de autocarregador analisa a lista autorizada de patches a abertura para o ambiente de tempo de rodada. Por e- xemplo, o OS de autocarregador pode identificar uma rede padrão e seus patches associados. Pelo menos um destes patches é o OS comum, os outros patches incluem um eSIM ativo, e quaisquer patches associados ao e- SIM.In step 402, eUICC opens the autoloader OS on chip reset. In step 404, the autoloader OS parses the authorized list of patches opening for the runtime environment. For example, the autoloader OS can identify a default network and its associated patches. At least one of these patches is the regular OS, the other patches include an active eSIM, and any patches associated with the e-SIM.

Na etapa 406, o OS de autocarregador verifica a integridade dos patches, por exemplo, pela análise de um certificado ou outros meios. Por exemplo, em uma modalidade, uma entidade de confiança (por exemplo, a Cessionária do registro) poderia emitir certificados ou, de outra forma, funcionar como uma raiz de confiança para cadeias de assinatura. Se os patches forem assinados apropriadamente, então, o OS de autocarregador poderá executar os patches. Apenas patches verificados correspondentes ao eSIM apropriado são carregados (outros patches podem ser armazenados, mas não são executados na "caixa de areia").At step 406, the autoloader OS checks the integrity of patches, for example, by reviewing a certificate or other means. For example, in one modality, a trusting entity (eg, Assignee of the Registry) could issue certificates or otherwise act as a root of trust for signature chains. If the patches are properly signed, then the autoloader OS can run the patches. Only checked patches matching the appropriate eSIM are loaded (other patches can be stored but are not played in the "sandbox").

Na etapa 408, o OS de autocarregador abre o OS comum. O OS comum provê a interface entre o eSIM e o hardware remanescente. O OS comum geralmente provê as funções de entrada e de saída que emulam o UICC específico para um eSIM em particular. Geralmente, isto inclui funções tais como entrada e saída (IO) de arquivo, etc.In step 408, the autoloader OS opens the common OS. The common OS provides the interface between the eSIM and the remaining hardware. The common OS usually provides input and output functions that emulate the specific UICC for a particular eSIM. Generally, this includes functions such as file input and output (IO) etc.

Após isso, na etapa 410, o OS comum pode executar o eSIM a- propriado. A figura 4A ilustra a relação de software entre o OS de autocarregador 452, o OS comum 454 e os eSIMs 456. Mais notadamente, a modalidade de exemplo (conforme descrito nas figuras 4 e 4A), diferentes perfis de eSIM operam nos seus OSs comuns. Pela separação dos ambientes de tempo de rodada pelos diferentes perfis de eSIM em caixas de areia distintas, a modalidade precedente vantajosamente permanece compatível com as arquiteturas de SIM de legado, mas alavanca os benefícios da presente invenção. Geralmente, ao assegurar que cada eSIM seja executado em seu próprio ambiente, um software de SIM existente pode ser virtualizado diretamente. Mais ainda, as caixas de areia asseguram que a existência de outros eSIMs não cause uma interação adversa, o que é uma exigência necessária para suportar uma população ampla de vendedores de eSIM independentes (por exemplo, o qual pode ter protocolos proprietários e capacidades, etc.). Conforme citado previamente, a discussão precedente é basea da, primariamente, em tecnologias e recursos de rede baseadas em SIM. Consequentemente, uma descrição de modalidades de exemplo de métodos e aparelhos generalizados para a implementação de um ou mais aspectos da invenção é apresentada agora. Métodos -After that, in step 410, the common OS can run the appropriate eSIM. Figure 4A illustrates the software relationship between the autoloader OS 452, the common OS 454, and the eSIMs 456. Most notably, in the example modality (as described in Figures 4 and 4A), different eSIM profiles operate on their common OSs . By separating the runtime environments by different eSIM profiles in different sandboxes, the preceding modality advantageously remains compatible with legacy SIM architectures, but leverages the benefits of the present invention. Generally, by ensuring that each eSIM runs in its own environment, existing SIM software can be directly virtualized. Furthermore, sandboxes ensure that the existence of other eSIMs does not cause an adverse interaction, which is a necessary requirement to support a large population of independent eSIM vendors (eg, which may have proprietary protocols and capabilities, etc. .). As noted previously, the preceding discussion is based primarily on SIM-based networking technologies and resources. Accordingly, a description of exemplary embodiments of generalized methods and apparatus for implementing one or more aspects of the invention is now presented. Methods -

Com referência agora à figura 5, uma modalidade de um método generalizado 500 para modificação segura e armazenamento de componentes para uso com clientes de controle de acesso é ilustrada.Referring now to Figure 5, an embodiment of a generalized method 500 for securely modifying and storing components for use with access control clients is illustrated.

Na etapa 502, um ou mais componentes para uso com um cliente de controle de acesso são requisitados ou oferecidos. Em uma modalidade de exemplo, um ou mais componentes incluem, no todo ou em parte, (i) um sistema operacional comum, (ii) pelo menos um eSlM, e/ou (iii) um ou mais patches de personalização associados ao eSlM. Em outras implementações de tecnologia, os pacotes podem ser associados aos Módulos de I- dentificação de Assinante de CDMA (CSIM), ao Módulo de Identidade de Serviços de Multimídia de IP (ISIM), aos Módulos de Identidade de Assinante (SIM), aos Módulos de Identidade de Usuário Removíveis (RUIM), etc. Permutações quase ilimitadas de várias estruturas análogas serão reconhecidas por aqueles versados nas técnicas, dada a presente descrição, a modificação dos métodos e aparelhos apresentados aqui para a acomodação dessas estruturas análogas e permutações estando bem na capacidade de um versado comum, dada esta descrição.At step 502, one or more components for use with an access control client are ordered or offered. In an exemplary embodiment, one or more components include, in whole or in part, (i) a common operating system, (ii) at least one eSlM, and/or (iii) one or more customization patches associated with the eSlM. In other technology implementations, packets can be associated with CDMA Subscriber Identification Modules (CSIM), IP Multimedia Services Identity Module (ISIM), Subscriber Identity Modules (SIM), Removable User Identity Modules (RUIM), etc. Nearly limitless permutations of various analogous structures will be recognized by those skilled in the art, given the present description, the modification of the methods and apparatus presented here for the accommodation of these analogous structures and permutations is well within the ability of a common scholar, given this description.

Em uma modalidade, um ou mais componentes são requisitados ou "puxados" por um dispositivo, ou um assinante associado ao dispositivo; isto é, pelo dispositivo/usuário emitindo uma comunicação afirmativa ou requisição. Em modalidades alternativas, um ou mais componentes são atribuídos ou "empurrados" para o dispositivo; isto é, sem a comunicação ou requisição mencionada anteriormente, mas, ao invés disso, de acordo com alguns outros critérios ou um esquema, tais como, por exemplo, periodicamente, com base na ocorrência de um evento, etc. A existência de um ou mais componentes pode ser anunciada ou de outra forma difundida, ou armazenada em um repositório que pode ser acessado ou pesquisado.In one embodiment, one or more components are requested or "pulled" by a device, or a subscriber associated with the device; that is, by the device/user issuing an affirmative communication or request. In alternative embodiments, one or more components are assigned or "pushed" into the device; that is, without the communication or request mentioned above, but rather according to some other criteria or a scheme, such as, for example, periodically, based on the occurrence of an event, etc. The existence of one or more components may be advertised or otherwise broadcast, or stored in a repository that can be accessed or searched.

Em outras modalidades, um ou mais componentes são consultados ou disparados de outra forma por um ou mais eventos contextuais, por exemplo, um dispositivo entrando em uma área especificada, excedendo um uso específico, etc.In other embodiments, one or more components are queried or otherwise triggered by one or more contextual events, eg, a device entering a specified area, exceeding a specific usage, etc.

A requisição ou oferta também pode incluir uma assinatura ou um certificado o qual se originou a partir de uma parte de confiança. Em outras implementações alternativas, a requisição ou oferta compreende um desafio criptográfico. Em ainda outras variantes, a requisição ou oferta inclui um meio para a determinação da autenticidade (por exemplo, uma autenticação de senha com base em uma interface de usuário, etc.).The requisition or offer may also include a signature or certificate which originated from a trusting party. In other alternative implementations, the request or offer comprises a cryptographic challenge. In still other variants, the request or offer includes a means for determining authenticity (eg, a password authentication based on a user interface, etc.).

A requisição ou oferta também pode incluir uma chave de transação. Em uma variante como essa, a chave de transação é uma chave e- fêmera. Ainda outras chaves de transação persistentes também podem ser implementadas; por exemplo, a chave pode ser a mesma para múltiplas sessões de transação, múltiplos usuários, etc. Em outras variantes, a chave de transação é uma chave simétrica ou, alternativamente, uma chave assimétrica.The requisition or offer may also include a transaction key. In such a variant, the transaction key is an ephemeral key. Still other persistent transaction keys can also be implemented; for example, the key can be the same for multiple transaction sessions, multiple users, etc. In other variants, the transaction key is a symmetric key or, alternatively, an asymmetric key.

Na etapa 504, a requisição ou oferta é verificada quanto à auten-ticidade. Em uma modalidade, a assinatura ou o certificado o qual se originou de uma parte de confiança é checado quanto à validade. Em alguns casos, isto pode requerer um contato externo com a parte de confiança. Alternativamente, a validade da assinatura ou do certificado pode ser autoeviden- te ou passível de ser descoberta de outra forma por um verificador, sem se recorrer à parte de confiança. Ainda outros esquemas podem se basear em uma entrada de assinante; por exemplo, uma entrada de nome de usuário e de senha, ou simples esquemas de reconhecimento, etc.At step 504, the requisition or offer is checked for authenticity. In one embodiment, the signature or certificate which originated from a relying party is checked for validity. In some cases, this may require external contact with the trusted party. Alternatively, the validity of the signature or certificate may be self-evident or otherwise discoverable by a verifier, without resorting to the relying party. Still other schemes can be based on a subscriber input; for example, a username and password entry, or simple recognition schemes, etc.

Uma verificação bem-sucedida também pode ser configurada para se requererem um ou mais trocas de resposta de desafio. Em algumas variantes, a verificação pode ser unidirecional (por exemplo, apenas um dos negociadores deve ser bem-sucedido). Em ainda outros esquemas, uma verificação é realizada fora de banda (por exemplo, através de um outro percurso de comunicação), ou através de uma assistência a assinante, etc.A successful check can also be configured to require one or more challenge response exchanges. In some variants, verification can be one-way (for example, only one of the negotiators must succeed). In still other schemes, a check is performed out-of-band (eg via another communication path), or via subscriber assistance, etc.

Uma verificação bem-sucedida resulta em um acordo sobre um ou mais parâmetros necessários para uma transação segura. Por exemplo, em uma modalidade, uma ou mais chaves de transação são estabelecidas. Em algumas variantes, uma chave de transação é gerada após uma verificação. Em variantes alternativas, a chave de transação é proposta ou gerada antes da verificação e usada de forma condicional depois disso.A successful verification results in agreement on one or more parameters required for a secure transaction. For example, in an modality, one or more transaction keys are established. In some variants, a transaction key is generated after a check. In alternative variants, the transaction key is proposed or generated before verification and used conditionally thereafter.

Depois disso, na etapa 506, um dispositivo recebe um ou mais pacotes associados a um cliente de controle de acesso. Os pacotes podem ser adicionalmente codificados com a chave de transação para garantia da transmissão segura. Em uma variante, os pacotes podem ser codificados de forma assimétrica; isto é, os pacotes são codificados com uma chave pública. Em outras variantes, os pacotes são codificados de forma simétrica, u- sando-se uma chave compartilhada previamente acordada. Alternativamente, os pacotes são assinados com uma assinatura identificável. Uma miríade de outras soluções para uma entrega verificável de pacotes conhecida nas técnicas relacionadas pode ser usada, de forma consistente com a presente invenção.Thereafter, in step 506, a device receives one or more packets associated with an access control client. Packets can be additionally encoded with the transaction key to ensure secure transmission. In one variant, packets can be encoded asymmetrically; that is, the packets are encrypted with a public key. In other variants, packets are symmetrically encoded using a previously agreed shared key. Alternatively, packages are signed with an identifiable signature. A myriad of other solutions for verifiable packet delivery known in the related arts can be used, consistent with the present invention.

Na etapa 508, o dispositivo monta os pacotes, e decodifica um ou mais componentes. Em uma modalidade de exemplo, um ou mais componentes são associados ao sistema operacional comum apropriado. Por exemplo, conforme descrito previamente, os patches podem incluir pelo menos um eSIM, e/ou um ou mais patches de personalização associados ao eSIM, conforme descrito previamente. Na conclusão da etapa 508, um ou mais componentes foram transferidos de forma bem-sucedida ou segura para o dispositivo alvo.At step 508, the device assembles the packets, and decodes one or more components. In an example embodiment, one or more components are associated with the appropriate common operating system. For example, as described previously, patches can include at least one eSIM, and/or one or more personalization patches associated with the eSIM, as described previously. At the completion of step 508, one or more components have been successfully or securely transferred to the target device.

Com referência, agora, à figura 6, uma modalidade de exemplo de um método generalizado 600 para uma execução segura de componentes para uso com clientes de controle de acesso é ilustrada.Referring now to Fig. 6, an exemplary embodiment of a generalized method 600 for securely executing components for use with access control clients is illustrated.

Na etapa 602, um cliente de controle de acesso e um ou mais patches associados são identificados. Em uma modalidade de exemplo, o cliente de controle de acesso e um ou mais patches associados são selecionados por um sistema operacional. Em uma implementação, o sistema ope- racional tem o boot dado adicionalmente a partir de um sistema operacional de autocarregador simples.At step 602, an access control client and one or more associated patches are identified. In an example modality, the access control client and one or more associated patches are selected by an operating system. In one implementation, the operating system is additionally booted from a simple autoloader operating system.

Em uma configuração, o sistema operacional de autocarregador mantém múltiplas partições seguras, onde cada partição é distinta de outras partições, e um software executado a partir de uma partição de memória não pode ser acessado ou ser acessado por outras partições não relacionadas. Por exemplo, um dispositivo de exemplo executa um OS de autocarregador simples; o OS de autocarregador simples carrega e executa um OS comum, e seu eSlM associado, e patches, em uma única partição de "caixa de arei- a".In one configuration, the autoloader operating system maintains multiple partitions secure, where each partition is distinct from other partitions, and software running from one memory partition cannot be accessed or accessed by other unrelated partitions. For example, an example device runs a simple autoloader OS; the simple autoloader OS loads and runs a regular OS, and its associated eSlM, and patches, on a single "sandbox" partition.

Várias modalidades da presente invenção separam o manifesto inteiro de componentes disponíveis, e patches, de acordo com uma ou mais categorizações. Em uma variante como essa, os componentes e patches são associados de acordo com um signatário comum ou uma origem de confiança. Por exemplo, em um cenário, o OS de autocarregador simples pode apenas permitir o OS comum, e eSIMs assinados pelo mesmo vendedor de eSlM para execução. Em outras variantes, os componentes e patches podem ser associados usando-se uma seleção de usuário, ou vários níveis de confiança. Por exemplo, vários componentes podem estar dispersos a partir de entidades cooperativas diferentes (por exemplo, um vendedor de eSlM de confiança, e uma personalização de rede de confiança, etc.).Various embodiments of the present invention separate the entire manifest from available components, and patches, according to one or more categorizations. In such a variant, components and patches are associated according to a common signer or source of trust. For example, in one scenario, the simple autoloader OS might just allow the regular OS, and eSIMs signed by the same eSlM vendor to run. In other variants, components and patches can be associated using a user selection, or multiple trust levels. For example, multiple components may be dispersed from different cooperative entities (eg a trusted eSlM vendor, and a trusted network customization, etc.).

Na etapa 604 do método 600, o cliente de controle de acesso e os patches associados são verificados quanto a uma operação. Em uma modalidade, o cliente de controle de acesso e os patches associados são checados quanto à integridade; isto é, se eles não foram violados ou alterados de outra forma. Os métodos comuns para essas checagens de integridade incluem somas de verificação, provas criptográficas ou resíduos, etc. Outras soluções para verificação de autenticidade de patches podem incluir uma verificação de certificado, uma verificação de status, etc.In step 604 of method 600, the access control client and associated patches are checked for an operation. In one modality, the access control client and associated patches are checked for integrity; that is, if they have not been violated or otherwise altered. Common methods for these integrity checks include checksums, cryptographic evidence or residuals, etc. Other solutions for checking the authenticity of patches might include a certificate check, a status check, and so on.

Na etapa 606, o cliente de controle de acesso verificado é executado. Mediante um carregamento bem-sucedido e uma execução, o cliente de controle de acesso executará os procedimentos iniciais de controle de acesso para uma rede associada. Por exemplo, um eSIM verificado pode executar o procedimento de Autenticação e Acordo de Chave. Aparelho Móvel de Exemplo - Com referência agora à figura 7, o aparelho de exemplo 700 útil para a implementação dos métodos da presente invenção é ilustrado.In step 606, the verified access control client is executed. Upon successful loading and execution, the access control client will perform the initial access control procedures for an associated network. For example, a verified eSIM can perform the Authentication and Key Agreement procedure. Example Mobile Apparatus - Referring now to Figure 7, example apparatus 700 useful for implementing the methods of the present invention is illustrated.

O aparelho de UE de exemplo da figura 7 é um dispositivo sem fio com um subsistema de processador 702, tal como um processador de sinal digital, um microprocessador, um arranjo de porta programável de campo, ou uma pluralidade de componentes de processamento montados em um ou mais substratos. O subsistema de processamento também pode compreender uma memória cache interna. O subsistema de processamento é conectado a um subsistema de memória 704 compreendendo uma memória a qual pode compreender, por exemplo, componentes de SRAM, flash e SDRAM. O subsistema de memória pode implementar um ou mais dentre um hardware de tipo de DMA, de modo a facilitar acessos a dados, conforme é bem-conhecido na técnica. O subsistema de memória contém instruções que podem ser executadas em computador as quais são executáveis pelo subsistema de processador.The example UE apparatus of Fig. 7 is a wireless device with a processor subsystem 702, such as a digital signal processor, a microprocessor, a field programmable gate array, or a plurality of processing components mounted in a or more substrates. The processing subsystem can also comprise an internal cache memory. The processing subsystem is connected to a memory subsystem 704 comprising memory which may comprise, for example, SRAM, flash and SDRAM components. The memory subsystem may implement one or more of a DMA type hardware in order to facilitate data accesses, as is well known in the art. The memory subsystem contains computer-executable instructions which are executable by the processor subsystem.

Em uma modalidade de exemplo da presente invenção, o dispositivo pode compreender uma ou mais interfaces sem fio (706) adaptadas para conexão a uma ou mais redes sem fio. As múltiplas interfaces sem fio podem suportar diferentes tecnologias de rádio, tais como GSM, CDMA, UMTS, LTE/LTE-A, WiMAX, WLAN, Bluetooth, etc. pela implementação dos subsistemas apropriados de antena e modem.In an exemplary embodiment of the present invention, the device may comprise one or more wireless interfaces (706) adapted for connection to one or more wireless networks. The multiple wireless interfaces can support different radio technologies such as GSM, CDMA, UMTS, LTE/LTE-A, WiMAX, WLAN, Bluetooth, etc. by implementing the appropriate antenna and modem subsystems.

O subsistema de interface de usuário 708 inclui qualquer número de I/O bem-conhecidas, incluindo, sem limitação: um teclado, uma tela de toque (por exemplo, uma interface de toque múltiplo), um visor de LCD, uma luz traseira, um alto-falante e/ou um microfone. Contudo, é reconhecido que, em certas aplicações, um ou mais destes componentes podem ser eliminados. Por exemplo, as modalidades de cliente de tipo de placa de PCMCIA podem carecer de uma interface de usuário (já que eles poderiam se concatenar na interface de usuário do dispositivo principal ao qual elas são física e/ou eletricamente acopladas).The 708 user interface subsystem includes any number of well-known I/O, including, without limitation: a keyboard, a touch screen (eg a multi-touch interface), an LCD display, a backlight, a speaker and/or a microphone. However, it is recognized that, in certain applications, one or more of these components can be eliminated. For example, PCMCIA card-type client modalities may lack a user interface (as they could concatenate into the user interface of the main device to which they are physically and/or electrically coupled).

Na modalidade ilustrada, o dispositivo compreende um elemento seguro 710, o qual contém e opera o aplicativo de eUICC. O eUICC é capaz de armazenar e acessar uma pluralidade de clientes de controle de acesso a serem usados para autenticação junto a uma operadora de rede. O elemento seguro é acessível pelo subsistema de memória mediante uma requisição do subsistema de processador.In the illustrated embodiment, the device comprises a secure element 710 which contains and operates the eUICC application. eUICC is capable of storing and accessing a plurality of access control clients to be used for authentication with a network operator. The secure element is accessible by the memory subsystem upon request from the processor subsystem.

Em uma modalidade, o elemento seguro compreende pelo menos uma memória particionável, em que a memória particionável é adaptada para conter um ou mais clientes de controle de acesso e os patches associados. Cada partição é mantida distinta de outras partições, e um software executado a partir da partição de memória não pode acessar ou ser acessado por outras partições não relacionadas.In one embodiment, the secure element comprises at least one partitionable memory, wherein the partitionable memory is adapted to contain one or more access control clients and associated patches. Each partition is kept separate from other partitions, and software running from the memory partition cannot access or be accessed by other unrelated partitions.

O elemento seguro também pode compreender um assim denominado "microprocessador seguro" ou SM do tipo bem-conhecido nas técnicas de segurança.The secure element may also comprise a so-called "secure microprocessor" or SM of the type well-known in the security arts.

Mais ainda, várias realizações da modalidade de exemplo incluem instruções as quais, quando executadas, abrem um sistema operacional (OS) de autocarregador simples. O sistema operacional de autocarregador é adicionalmente configurado para selecionar pelo menos uma partição a partir do elemento seguro, e carregar o cliente de controle de acesso apropriado carregado com ele. Em várias implementações, aos clientes de controle de acesso ainda podem ser providos um ou mais certificados associados a um signatário de confiança. O OS de autocarregador pode verificar os certificados antes da execução do cliente de controle de acesso.Furthermore, various embodiments of the example modality include instructions which, when executed, open a simple autoloader operating system (OS). The autoloader operating system is further configured to select at least one partition from the secure element, and load the appropriate access control client loaded with it. In many implementations, access control clients may still be provided with one or more certificates associated with a trusted signatory. The autoloader OS can verify certificates before running the access control client.

Mais ainda, em uma modalidade, o elemento seguro mantém uma listagem ou um manifesto de clientes de controle de acesso armazenados. O manifesto pode incluir uma informação quanto ao status atual dos clientes de controle de acesso armazenados; essa informação pode incluir disponibilidade, integridade, validade, erros experimentados previamente, etc. O manifesto ainda pode ser ligado ou acoplado à interface de usuário, de modo a se permitir uma seleção de usuário de um cliente de controle de acesso disponível.Furthermore, in one embodiment, the secure element maintains a listing or manifest of stored access control clients. The manifest may include information as to the current status of stored access control clients; such information may include availability, completeness, validity, previously experienced errors, etc. The manifest can still be linked or docked in the UI to allow a user selection from an available access control client.

Com referência de volta à figura 7, o elemento seguro 710 é capaz de receber e armazenar componentes para uso com um ou mais clientes de controle de acesso para autenticação junto a uma operadora de rede. Em uma modalidade de exemplo, o elemento seguro tem uma chave de dispositivo associada e um certificado de endosso. Esta chave de dispositivo é usada para proteção e verificação da comunicação entre as partes desco-nhecidas previamente (por exemplo, o UE e a parte independente).Referring back to Figure 7, secure element 710 is capable of receiving and storing components for use with one or more access control clients for authentication with a network operator. In an exemplary embodiment, the secure element has an associated device key and an endorsement certificate. This device key is used for protection and verification of communication between previously unknown parties (eg UE and independent party).

Em uma variante como essa, a chave de dispositivo é uma chave privada de um par de chaves públicas/privadas assimétricas. A chave pública de contraparte pode ser distribuída livremente, sem comprometimento da integridade das chaves privadas. Por exemplo, ao dispositivo pode ser atribuída (ou ele pode gerar internamente) uma chave pública/privada de RSA; a chave pública é tornada disponível para uma comunicação pós- lançamento.In such a variant, the device key is a private key from an asymmetric public/private key pair. The counterparty public key can be freely distributed, without compromising the integrity of the private keys. For example, the device may be assigned (or it may internally generate) an RSA public/private key; the public key is made available for post-release communication.

Mais ainda, em algumas variantes, o certificado de endosso é uma assinatura digital assinada de forma única associada a uma entidade de confiança. Em um cenário de exemplo, o certificado de endosso é verificável por entidades independentes, e provê uma prova da integridade do aparelho de exemplo.Furthermore, in some variants, the endorsement certificate is a uniquely signed digital signature associated with a trustee. In an example scenario, the endorsement certificate is verifiable by independent entities, and provides proof of the integrity of the example device.

Embora os métodos e aparelhos precedentes para programação do elemento seguro sejam ilustrados com respeito a um par de chaves de RSA, é prontamente apreciado por aqueles versados na técnica que outros esquemas de autenticação podem ser substituídos de forma similar. Por e- xemplo, em outras variantes, a chave de dispositivo pode ser uma chave compartilhada, em que a distribuição da chave compartilhada é altamente guardada. Ainda outras modalidades podem ser com base em certificados, ao invés de em trocas criptográficas.Although the foregoing methods and apparatus for programming the secure element are illustrated with respect to an RSA keypair, it is readily appreciated by those skilled in the art that other authentication schemes can be similarly substituted. For example, in other variants, the device key can be a shared key, where the distribution of the shared key is highly guarded. Still other modalities can be certificate-based rather than cryptographic exchanges.

Será reconhecido que, embora certos aspectos da invenção sejam descritos em termos de uma sequência específica de etapas de um método, estas descrições são apenas ilustrativas dos métodos mais amplos da invenção, e podem ser modificadas conforme requerido pela aplicação emIt will be recognized that while certain aspects of the invention are described in terms of a specific sequence of steps in a method, these descriptions are only illustrative of the broader methods of the invention, and may be modified as required for application in

particular. Certas etapas podem ser tornadas desnecessárias ou opcionais, sob certas circunstâncias. Adicionalmente, certas etapas ou uma funcionalidade podem ser adicionadas às modalidades mostradas, ou a ordem de e- xecução de duas ou mais etapas permutada. Todas essas variações são 5 consideradas como estando englobadas na invenção mostrada e reivindicada aqui.private. Certain steps may be made unnecessary or optional under certain circumstances. Additionally, certain steps or functionality can be added to the modalities shown, or the order of execution of two or more steps swapped. All such variations are considered to be encompassed by the invention shown and claimed herein.

Embora a descrição detalhada acima tenha mostrado, descrito e destacado novos recursos da invenção, conforme aplicado a várias modalidades, será entendido que várias omissões, substituições e mudanças na 10 forma e nos detalhes do dispositivo o processo ilustrado podem ser feitas por aqueles versados na técnica, sem que se desvie da invenção. A descrição precedente é a do melhor modo presentemente contemplado de realização da invenção. Esta descrição não tem por significado, de forma alguma, ser limitante, mas, ao invés disso, deve ser tomada como ilustrativa dos 15 princípios gerais da invenção. O escopo da invenção deve ser determinado com referência às reivindicações.Although the detailed description above has shown, described and highlighted new features of the invention as applied to various embodiments, it will be understood that various omissions, substitutions and changes in the form and details of the device illustrated process can be made by those skilled in the art , without deviating from the invention. The foregoing description is that of the presently best contemplated mode of carrying out the invention. This description is not meant to be limiting in any way, but rather is to be taken as illustrative of the 15 general principles of the invention. The scope of the invention is to be determined with reference to the claims.

Claims

1. Method to securely manage access control clients, the method characterized by comprising, on an electronic Universal Integra-ted Circuit Card, eUICC, embedded in a mobile device and in response to an eUICC boot: selecting a secure partition from a plurality of secure partitions managed by eUICC, where the secure partition includes a respective access control client; authenticate the access control client; and after access control client authentication: causing an operating system, OS, associated with the access control client to run within a limited scope that corresponds to the secure partition, where the OS runs the client of access control.

2. Method according to claim 1, characterized in that the access control client comprises an electronic Subscriber Identity Module, eSIM.

3. Method according to claim 2, characterized in that the eSIM is a virtualization of a physical SIM card.

4. Method according to claim 1, characterized in that the authentication of the access control client comprises the validation of a first certificate associated with the access control client against a second certificate associated with the eUICC.

5. Method according to claim 1, characterized in that the mobile device receives identifies the initialization of the eUICC after a reset of the eUICC.

6. Method according to claim 1, characterized in that the access control client corresponds to a standard mobile network operator, MNO, associated with the mobile device.

7. Method according to claim 1, characterized in that the secure partition stores at least one additional access control client.

8. Method according to claim 1, characterized in that the activation of the access control client allows the mobile device to register with a Mobile Network Operator, MNO, which corresponds to the control client of access.

9. Mobile device configured to securely manage a plurality of access control clients, the mobile device characterized by comprising: at least one wireless interface; an electronic universal integrated circuit board, eUICC, comprising: a memory that includes a plurality of secure partitions and a processor is configured to cause the mobile device to perform steps that include, in response to an eUICC initialization: selecting a secure partition of the plurality of secure partitions managed by eUICC, where the secure partition includes a respective access control client; authenticate the access control client; and after access control client authentication: causing an OS associated with the access control client to run within a limited scope corresponding to the secure partition, where the OS runs the access control client.

10. Mobile device, according to claim 9, characterized in that the access control client comprises an electronic Subscriber Identity Module, eSIM.

11. Mobile device, according to claim 10, characterized by the fact that the eSIM is a virtualization of a physical SIM card.

12. Mobile device, according to claim 9, characterized in that the authentication of the access control client comprises the validation of a first certificate associated with the access control client against a second certificate associated with the eUICC.

13. Mobile device, according to claim 9, characterized in that the processor initializes the eUICC together with a reset of the eUICC.

14. Mobile device, according to claim 9, characterized in that the access control client corresponds to a standard mobile network operator, MNO, associated with the mobile device (700).

15. Mobile device, according to claim 9, characterized in that the activation of the access control client allows the mobile device, using at least one wireless interface (706), to register with an Operator. Mobile Network, MNO, which corresponds to the access control client.