IT201800009917A1 - Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico - Google Patents
Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico Download PDFInfo
- Publication number
- IT201800009917A1 IT201800009917A1 IT102018000009917A IT201800009917A IT201800009917A1 IT 201800009917 A1 IT201800009917 A1 IT 201800009917A1 IT 102018000009917 A IT102018000009917 A IT 102018000009917A IT 201800009917 A IT201800009917 A IT 201800009917A IT 201800009917 A1 IT201800009917 A1 IT 201800009917A1
- Authority
- IT
- Italy
- Prior art keywords
- profile
- interface
- application
- telecommunication
- psi
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 23
- 230000008569 process Effects 0.000 title description 7
- 230000006870 function Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 3
- 238000013507 mapping Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000000926 separation method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000003466 welding Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K7/00—Methods or arrangements for sensing record carriers, e.g. for reading patterns
- G06K7/10—Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation
- G06K7/10009—Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves
- G06K7/10237—Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves the reader and the record carrier being capable of selectively switching between reader and record carrier appearance, e.g. in near field communication [NFC] devices where the NFC device may function as an RFID reader or as an RFID tag
- G06K7/10247—Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves the reader and the record carrier being capable of selectively switching between reader and record carrier appearance, e.g. in near field communication [NFC] devices where the NFC device may function as an RFID reader or as an RFID tag issues specific to the use of single wire protocol [SWP] in NFC like devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
- G06Q20/3227—Aspects of commerce using mobile devices [M-devices] using secure elements embedded in M-devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
- G06Q20/3229—Use of the SIM of a M-device as secure element
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/325—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wireless networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/326—Payment applications installed on the mobile devices
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/0806—Details of the card
- G07F7/0813—Specific details related to card security
- G07F7/0826—Embedded security module
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/60—Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/183—Processing at user equipment or user record carrier
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/45—Security arrangements using identity modules using multiple identity modules
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Strategic Management (AREA)
- Accounting & Taxation (AREA)
- General Business, Economics & Management (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Toxicology (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Databases & Information Systems (AREA)
- General Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Electromagnetism (AREA)
- Mathematical Physics (AREA)
- Telephone Function (AREA)
- Credit Cards Or The Like (AREA)
Description
DESCRIZIONE dell’invenzione industriale intitolata:
“Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto”
TESTO DELLA DESCRIZIONE
Campo Tecnico
Le forme di attuazione della presente descrizione si riferiscono a soluzioni riguardanti un dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card comprendente almeno un dominio di sicurezza in cui è archiviato almeno un profilo di telecomunicazione, detto dispositivo comprendendo un’interfaccia fisica configurata per consentire l’accesso da un processore configurato per funzionare con almeno una rete di telecomunicazioni mobili a detto almeno un profilo di telecomunicazione, detto dispositivo resistente alla manomissione comprendendo un ulteriore dominio di sicurezza che archivia almeno un profilo di applicazione.
Le forme di attuazione della presente descrizione si riferiscono in particolare al contesto tecnico della tecnologia di Fornitura di SIM Remota o Remote SIM Provisioning, anche nota come la Embedded UICC (Universal Integrated Circuit Card) e degli embedded Elementi Sicuri o Secure Elements per applicazioni di pagamento.
Sfondo
Per via di nuovi requisiti di miniaturizzazione e robustezza, l’industria ha sviluppato un’evoluzione delle tradizionali carte SIM (Modulo di Identità di Abbonato o Subscriber Identity Module) chiamate “embedded UICC” (Universal Integrated Circuit Card). Questa evoluzione prevede che la carta SIM sia saldata (o in ogni caso resa difficilmente accessibile) nel dispositivo ospitante che può essere un telefono mobile, un modem, una scheda inserita in un dispositivo, ecc.
La saldatura presenta distinti vantaggi quali la possibilità di ridurre la dimensione del Dispositivo SIM e pertanto del modem, il miglioramento della robustezza dei contatti (i contatti saldati sono tipicamente più affidabili delle interfacce tra componenti sostituibili), l’aumentata protezione antifurto.
D’altro canto, la saldatura di una SIM (o di renderla difficilmente accessibile) introduce nuovi requisiti e questioni che necessitano essere affrontati, quali:
- poiché la SIM non è sostituibile, dovrebbero essere disponibili dei mezzi per consentire il cambio di operatore;
- operazioni specifiche (quali la riparazione del dispositivo), che oggi sono tipicamente eseguite dopo la rimozione della SIM, richiedono un modo per disabilitare la carta SIM;
Per affrontare i suddetti requisiti, l’industria ha definito un nuovo standard tecnologico chiamato “embedded UICC” o “fornitura di SIM Remota”.
I concetti di base del nuovo standard tecnologico sono i seguenti:
- si definisce un’entità per consentire di scaricare/abilitare/cancellare profili (ad esempio la Radice di Dominio Sicuro dell’Emittente o Issuer Secure Domain Root ISD-R, si veda ad esempio “Remote Provisioning Architecture for Embedded UICC, Technical Specification, Version 1.0, 17 December 2013”),
- l’UICC può contenere varie sottoscrizioni dell’operatore di rete mobile;
- ciascuna sottoscrizione dell’operatore è rappresentata da un “profilo”;
- ogni profilo si può vedere come un contenitore; il contenitore è gestito da un dominio di sicurezza (ad esempio il Profilo di Dominio Sicuro dell’Emittente o Issuer Secure Domain Profile ISD-P).
Di conseguenza il profilo di una eUICC contiene una credenziale di telecomunicazione emessa da un certo Operatore di Rete Mobile o Mobile Network Operator (MNO), che rappresenta completamente tale operatore nel contenere tutte le informazioni necessarie per accedere alla corrispondenten rete mobile.
L’eUICC è un dispositivo o piattaforma resistente alla manomissione (cioè un dispositivo che non si può alterare in modo fraudolento e che verrebbe distrutto nel caso di accesso non autorizzato ai dati). Per piattaforma o piattaforma di calcolo si intende l’ambiente in cui sono eseguiti pezzi di software, che può comprendere ad esempio solo l’hardware o anche il sistema operativo o altri elementi quali l’API, ad es. i componenti con cui è eseguito il codice del software.
Un altro dispositivo resistente alla manomissione, più specificatamente una piattaforma hardware resistente alla manomissione, tipicamente presente in un telefono mobile di alta gamma è il cosiddetto Secure Element, ossia Elemento Sicuro. Il Secure Element è un dispositivo diverso rispetto all’eUICC per il fatto che esso è direttamente gestito dall’OEM (Produttore di Apparecchiature Orginali o Original Equipment Manufacture). Il Secure Element contiene applicazioni e credenziali di pagamento per consentire pagamenti sul collegamento NFC (Comunicazione in Prossimità o Near Field Communication) di un dispositivo elettronico contenente tale collegamento NFC, ad es. un ricetrasmettitore NFC.
Il Secure Element può contenere informazioni d’utente gestite dall’OEM (come l’impronta digitale dell’utente o il PIN dell’utente, ecc.).
Il Secure Element è quindi simile ad un’eUICC, essendo un dispositivo resistente alla manomissione che è utilizzato in un dispositivo elettronico, ad es. un terminale mobile, per archiviare dati sensibili per accedere a servizi, ad es. servizi di pagamento o servizi di telecomunicazione, ma:
- esso non fornisce i servizi di telecomunicazione, cioè non contiene un file system o applicazioni di telecomunicazione);
- esso non è gestito dall’ambiente MNO, esso è invece direttamente gestito dall’OEM.
Come menzionato, lo embedded Secure Element e eUICC possono essere entrambi presenti in un dispositivo elettronico.
In questo contesto, Figura 1 mostra una possibile architettura di un dispositivo elettronico 10, quale un dispositivo mobile, ad es. uno smartphone o un tablet.
Generalmente, il dispositivo elettronico 11 quale un telefono mobile comprende un processore di applicazione 12 ed un processore in banda base 13. È fornita un’interfaccia SPI (Interfaccia Parallela Seriale o Serial Parallel Interface) 17 configurata per scambiare segnali tra il processore di applicazione 12 ed un dispositivo di embedded Secure Elemnt (eSE). In in questo caso il dispositivo elettronico 10 comprende un embedded Secure Element 14 comprendente almeno un profilo di applicazione, specificatamente un profilo di elemento sicuro, che è implementato da una piattaforma resistente alla manomissione hardware, ad es. un microcontrollore sicuro, 11. Lo embedded Secure Element 14 è accoppiato successivamente ad un controllore NFC 16 tramite una connessione SWP (Protocollo a Cavo Singolo o Single Wire Protocol) 19a.
Inoltre, è fornito un processore in banda base 13 che può funzionare sotto il controllo del processore di applicazione 12. È fornita un’interfaccia ISO (Organizzazione degli Standard Internazionale o International Standards Organisation) 18 configurata per scambiare segnali tra il processore in banda base 13 ed un’UICC embedded UICC, o eUICC. In questo caso il dispositivo 10 comprende un’eUICC 15 comprendente almeno un profilo di telecomunicazione Pj, ad es. un profilo secondo lo standard del Profile Package con credenziali per accedere ad una rete di comunicazioni mobili. Il profilo può comprendere credenziali di autenticazione, un applet con un rispettivo modulo Toolkit di Riferimento di Applicazione o Toolkit Application Reference e OTA (Via Etere). L’eUICC 15 è implementata in un ulteriore piattaforma resistente alla manomissione hardware, cioè un dispositivo hardware 11. L’eUICC 15 si può successivamente accoppiare al controllore NFC 16 attraverso una connessione SWP (Protocollo a Cavo Singolo) 19b.
Il processore di applicazione 12 come menzionato interagisce direttamente con lo embedded Secure Element 14, ma può interagire indirettamente, attraverso il processore in banda base 13, con l’eUICC 15. Se è presente un embedded Secure Element 14, è tipicamente disabilitata la SWP 19b dell’eUICC.
Lo embedded Secure Element e l’eUICC presentano molti aspetti comuni. Facendo riferimento al diagramma di strati di figura 2 che mostra strati ISO per entrambi lo embedded Secure Element 14 e l’eUICC 15, in corrispondenza dello strato hardware HL è solitamente implementato attraverso lo stesso dispositivo hardware 11 o dispositivi hardware simili, per esempio il microcontrollore sicuro ST33G1M2. In forme di attuazione variabili per lo embedded Secure Element 14 il protocollo hardware utilizzato può essere I2C o SPI e ISO T=0 o ISO T=1 sono simulati sul I2C/SPI. Stesso livello di sicurezza è fornito all’interno di tale contesto hardware. Successivamente al livello del sistema operativo, OL, è solitamente utilizzata una piattaforma del Sistema di Carta Java o Java Card System platform JCS is in entrambi i dispositivi 14, 15, così come la Piattaforma Globale o Global Platform in corrispondenza di un livello API, APL.
Più in dettaglio, ad es. un Sistema di Carta Java JCS è eseguito dal sistema operativo, che gestisce ed esegue le applet, cioè applicazioni che utilizzano le API (Interfaccia per Programmi Applicativi o Application Programming Interface) fornite dal Sistema di Carta Java JCS.
Ad esempio, il Sistema di Carta Java JCS per l’eUICC comprende solitamente un’API di SIM e/o USIM che gestisce i comandi di base del Modulo di Identità di Abbonato e che fornisce funzioni all’applet della SIM o USIM di livello superiore. Questa tecnologia è ben nota a coloro esperti della tecnica, rendendo superflua una presente descrizione più dettagliata.
Sovente il Sistema di Carta Java JCS comprende il modulo GlobalPlatform GP secondo la “Specifica della Carta GlobalPlatform”, ad es. versione 2.2.1. Anche questo standard è ben noto a coloro esperti della tecnica, rendendo superflua una presente descrizione più dettagliata. Sostanzialmente, il modulo GP fornisce caratteristiche quali l’autenticazione d’utente attraverso canali sicuri, o l’installazione e gestione remota delle applet. Le funzioni API menzionate sopra possono essere successivamente utilizzate tramite applet, quale l’applet della SIM o USIM, un applet di base B_APP e/o una S_APP sicura. In particolare nell’eUICC è preferibilmente fornito un gestore di profilo nello strato API.
Successivamente per il Secure Element 14 le applicazioni di pagamento in corrispondenti profili di applicazione S1, S2 (l’applicazione generica essendo indicata con Si) sono fornite al livello di applicazione AL, mentre per l’eUICC 15, un sistema operativo di telecomunicazione TO in uno strato OAL è fornito sullo strato API APL, ad es. GlobalPlatform, comprendente meccanismi di telecomunicazione SIM o USIM, e sopra, al livello di applicazione AL, sono forniti profili di telecomunicazione P1, P2 (il profilo generico essendo indicato con Pj) forniti dal MNO con la cosiddetta Fornitura Remota.
Di conseguenza i dispositivi mobili elettronici quali uno smartphone o un tablet possono contenere oltre all’eUICC, altre piattaforme per altri servizi, con un aumento dell’hardware nei dispositivi mobili e dei relativi costi.
Sintesi
Basandosi sulla precedente descrizione, è sentita l’esigenza di soluzioni che superano uno o più degli svantaggi precedentemente evidenziati.
Secondo una o più forme di attuazione, un tale scopo è conseguito attraverso un dispositivo avente le caratteristiche specificatamente esposte nelle rivendicazioni che seguono. Le forme di attuazione riguardano inoltre un procedimento relativo così come un corrispondente prodotto informatico relativo, caricabile nella memoria di almeno un computer e comprendente porzioni di codice software per eseguire le fasi del procedimento quando il prodotto è eseguito su un computer. Come qui utilizzato, il riferimento ad un tale prodotto informatico è previsto per essere equivalente al riferimento ad un mezzo leggibile su computer contenente istruzioni per controllare un sistema di computer per coordinare le prestazioni del procedimento. Il riferimento “ad almeno un computer” è evidentemente previsto per evidenziare la possibilità che la presente descrizione venga implementata in una maniera distribuita/modulare.
Le rivendicazioni sono una parte integrante dell’insegnamento tecnico della descrizione qui fornita.
Come menzionato in precedenza, la presente descrizione fornisce soluzioni riguardanti un dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card comprendente almeno uno dominio di sicurezza in cui è archiviato almeno un profilo di telecomunicazione, detto dispositivo comprendendo un’interfaccia fisica configurata per consentire l’accesso da un processore configurato per funzionare con almeno una rete di telecomunicazioni mobili a detto almeno un profilo di telecomunicazione, in cui detto dispositivo resistente alla manomissione comprende un ulteriore dominio di sicurezza che memorizza almeno un profilo di applicazione, detto dispositivo resistente alla manomissione comprende un’ulteriore interfaccia fisica configurata per consentire l’accesso da un processore di applicazione a detto almeno un profilo di applicazione archiviato in detto ulteriore dominio di sicurezza,
detto singolo dispositivo resistente alla manomissione essendo configurato per permettere l’accessibilità all’almeno un profilo di applicazione se si ricevono corrispondenti comandi in segnali scambiati sulla prima interfaccia e per permettere l’accessibilità al profilo di telecomunicazione se si ricevono corrispondenti comandi in segnali scambiati sulla seconda interfaccia.
In forme di attuazione variabili, la soluzione qui descritta prevede che detto ulteriore profilo di applicazione corrisponda ad un profilo di applicazione di un embedded Secure Element.
In forme di attuazione variabili, la soluzione qui descritta prevede che detto ulteriore profilo di applicazione corrisponda ad un profilo di applicazione di un Trusted Platform Module, o Modulo di piattaforma Affidabile.
In forme di attuazione variabili, la soluzione qui descritta prevede che detta prima interfaccia sia un’interfaccia SPI e detta seconda interfaccia sia un’interfaccia ISO.
In forme di attuazione variabili, la soluzione qui descritta prevede che detto profilo di applicazione in un ulteriore dominio di sicurezza sia accoppiato per la comunicazione ad un modulo NFC.
In forme di attuazione variabili, la soluzione qui descritta prevede che il dispositivo sia configurato per eseguire un’operazione di instradamento selezionando, sulla base di quali comandi APDU di interfaccia fisica sono ricevuti, il dominio di sicurezza a cui è permessa l’accessibilità.
In forme di attuazione variabili, la soluzione qui descritta comprende, per i profili di applicazione e i profili di telecomunicazione, rispettive istanze di un registro di applicazione, a di una Issuer Secure Domain Root (ISD-R) e di un Dominio di Sicurezza di Autorità di Controllo eUICC o eUICC Controlling Authority Security Domain (eCASD).
In forme di attuazione variabili, la soluzione qui descritta comprende una memoria con aree separate da hardware per archiviare i domini di sicurezza e profili di applicazione e profili di telecomunicazione rispettivamente associati e detta operazione di instradamento comprende selezionare, sulla base di quali comandi APDU di interfaccia fisica sono ricevuti il dominio di sicurezza a cui è permessa l’accessibilità permettendo l’accesso alla corrispondente area di memoria.
In forme di attuazione variabili, la soluzione qui descritta comprende un’interfaccia SWP (Protocollo a Cavo Singolo) configurata per interfacciarsi con il Controllore NFC o il profilo di applicazione o il profilo di telecomunicazione a seconda di quale interfaccia fisica riceve detti comandi.
La presente descrizione prevede anche soluzioni riguardanti un dispositivo elettronico comprendente un processore di applicazione ed un processore in banda base configurati per funzionare con almeno una rete di telecomunicazioni mobili, detto dispositivo comprendente un dispositivo resistente alla manomissione secondo qualsiasi delle forme di attuazione precedenti.
La presente descrizione prevede anche soluzioni riguardanti un procedimento per accedere a profili in un dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card secondo qualsiasi delle forme di attuazione precedenti, comprendente
fornire un’interfaccia fisica configurata per consentire l’accesso da un processore configurato per funzionare con almeno una rete di telecomunicazioni mobili a detto almeno un profilo di telecomunicazione,
fornire un’ulteriore interfaccia fisica configurata per consentire l’accesso da un processore di applicazione ad almeno un profilo di applicazione archiviato in un ulteriore dominio di sicurezza in detto dispositivo resistente alla manomissione,
permettere l’accessibilità all’almeno un profilo di applicazione se si ricevono corrispondenti comandi in segnali scambiati sulla prima interfaccia e permettere l’accessibilità al profilo di telecomunicazione se si ricevono corrispondenti comandi in segnali scambiati sulla seconda interfaccia.
La presente descrizione prevede anche soluzioni riguardanti un prodotto informatico che si può caricare nella memoria di almeno un processore e che comprende porzioni di codice software per implementare il procedimento precedente.
Breve descrizione delle figure
Le forme di attuazione della presente descrizione saranno ora descritte facendo riferimento ai disegni annessi, che sono forniti puramente a titolo di esempio non limitativo ed in cui:
- Figure 1 e 2 sono già state descritte in precedenza; - Figura 3 mostra una forma di attuazione di un dispositivo elettronico secondo la soluzione qui descritta;
- Figura 4 mostra un diagramma di strati che rappresenta l’architettura di strato di un dispositivo anti manomissione utilizzato nel dispositivo elettronico di Figura 3.
Descrizione Dettagliata
Nella seguente descrizione, sono forniti numerosi dettagli specifici per fornire una comprensione approfondita di forme di attuazione. Le forme di attuazione si possono mettere in pratica senza uno o vari dettagli specifici, o con altri procedimenti, componenti, materiali, ecc. In altri casi, strutture, materiali, o operazioni ben noti non sono mostrati o descritti nel dettaglio per evitare di rendere poco chiari gli aspetti delle forme di attuazione.
Il riferimento per tutta questa descrizione ad “una forma di realizzazione” significa che una particolare caratteristica, struttura o peculiarità descritta in abbinamento alla forma di attuazione è compresa in almeno una forma di attuazione. Di conseguenza, gli aspetti nelle frasi “in una forma di attuazione” in vari posti per tutta questa descrizione non fanno necessariamente tutti riferimento alla stessa forma di attuazione. Inoltre, le particolari, caratteristiche, strutture, o peculiarità si possono combinare in qualsiasi maniera appropriata in una o più forme di attuazione.
Le intestazioni qui fornite sono solo per comodità e non interpretano l’ambito o significato delle forme di attuazione.
Le parti, elementi o componenti delle figure che sono già stati descritti facendo riferimento a Figure 1 e 2 sono indicati dagli stessi riferimenti precedentemente utilizzati in tali Figure; la descrizione di tali elementi descritti in precedenza non verrà ripetuta nel seguito al fine di non sovraccaricare la presente descrizione dettagliata.
Da figura 1 si scopre che vi sono vari punti comuni in termini di hardware, sistema operativo e API almeno, tra i due dispositivi resistenti alla manomissione, di conseguenza si può considerare di unire tali due dispositivi, in un dispositivo singolo che fornisce entrambe le funzionalità, ad es. applicazioni di pagamento e servizi di telecomunicazione.
Soluzioni che consentono una singola vista di profili e domini di sicurezza separati, cioè un dominio di sicurezza per la parte di telecomunicazione e uno per la parte di eSE, non consentirebbero di avere la stessa applicazione in due profili. Inoltre vi sono problemi in termini di gestioni poiché il ruolo del gestore dell’eUICC (MNO) è diverso dal Gestore di eSE (OEM).
Inoltre i profili di telecomunicazione mobile possono offrire servizi che determinano un conflitto con lo embedded Secure Element 14, ad es. un’applicazione che decide quali app Android possono accedere al dispositivo (ad esempio la nota applicazione ARA-M) avrebbe bisogno di configurazioni diverse imposte dal gestore di profilo dell’eUICC e dal gestore di embedded Secure Element.
In aggiunta, si dovrebbe garantire che i servizi di embedded Secure Element non interferiscano con i servizi eUICC e viceversa, anche per mantenere la validità delle prove di configurazione certificata e del proprietario di profilo (o proprietario dello embedded Secure Element).
Ora, facendo riferimento a Figure 3 si illustra uno schema a blocchi di un dispositivo elettronico 20 che comprende un singolo dispositivo resistente alla manomissione 21, implementato tramite un controllore sicuro, nella forma di attuazione un controllore ST33G1M2, sebbene si possa utilizzare ad esempio un altro controllore del ST33G, che archivia entrambi:
- un profilo di telecomunicazione mobile Pj abilitato per fornire servizi autenticazione e credenziale di telecomunicazione per gestire tale autenticazione;
- un profilo di applicazione PSi che contiene applicazioni di pagamento dello embedded Secure Element (ad es. applet di pagamento Visa, Mastercard) e credenziali per gestire le applicazioni di pagamento.
Il profilo di telecomunicazione mobile Pj e il profilo di applicazione PSi sono archiviati isolati l’uno rispetto all’altro nel singolo dispositivo resistente alla manomissione 21 e può essere presente una stessa applicazione in entrambi i profili, come l’applicazione ARA-M menzionata in precedenza.
Il processore di applicazione e in banda base 12, 13 del dispositivo 20 sono interfacciati attraverso rispettive interfacce SPI e ISO 17, 18 allo stesso modo descritto facendo riferimento a figura 1.
La visibilità del profilo Pj o PSi tramite il dispositivo elettronico 10, ad es. a quale profilo e applet relative è permesso l’accesso dal dispositivo elettronico, specificatamente tramite i suoi processori 12, 13, nella soluzione qui descritta, si basa su quale interfaccia fisica è utilizzata da tale dispositivo 10 o processore 12, 13. Più specificatamente, successivamente il singolo dispositivo resistente alla manomissione 21 riceve comandi sull’interfaccia SPI 17, il profilo del Secure Element PSi è reso accessibile. Quando tali comandi sono ricevuti sull’interfaccia ISO 18, il profilo eUICC Pj è reso accessibile.
Il singolo dispositivo resistente alla manomissione 21 è configurato per avere due diverse istanze dei componenti pertinenti, quali applicazioni e credenziali per eseguire la gestione del profilo, noti nella gestione del profilo di telecomunicazione come ISD-R e eCASD, e registri a seconda dell’interfaccia hardware 17 o 18 utilizzata dall’attuale comando.
L’interfaccia SWP 29 al Controllore NFC 16 si può assegnare o al profilo di elemento Sicuro PSi o al profilo eUICC Pj a seconda della configurazione del dispositivo, ad es. quale interfaccia fisica subisce l’accesso. In forme di attuazione variabili del dispositivo 21 si possono utilizzare altre architetture. Nella forma di attuazione preferita l’interfaccia SWP si può accoppiare al profilo nell’elemento eSE. In forme di attuazione variabili, l’interfaccia SWP può non essere presente. In ulteriori forme di attuazione variabili l’interfaccia SWP si può accoppiare al profilo eUicc. In ulteriori forme di attuazione variabili si possono fornire due pin SWP uno accoppiato al eSe e l’altro all’eUICC. In ulteriori forme di attuazione variabili, si può fornire un SWP ad entrambi gli elementi eSe e eUICC, utilizzando un protocollo di livello superiore (HCI) per distinguere tra l’uno e l’altro (HCI ha un’indicazione “Host” così in questa architettura sarebbero presenti due host)
Più in particolare, la disponibilità delle applicazioni nei profili Pj o SPi dipende dall’interfaccia fisica 17 o 18 che viene utilizzata e dal profilo attualmente attivo o nell’elemento sicuro o nell’eUICC.
Un registro di applicazione è fornito nel singolo dispositivo resistente alla manomissione 21 configurato per archiviare informazioni riguardanti il profilo a cui appartiene l’applicazione invocata dai comandi trasmessi su una delle interfacce 17, 18.
Ciascuna applicazione può essere visibile su profili distinti Pi, SPj con lo stesso AID (Application Identifier, o Identificatore di Applicazione), ma ciascun profilo possiede un’istanza diversa dell’applicazione (garantendo di conseguenza la separazione dei dati).
Un registro di profilo è mantenuto nel dispositivo 21. Al fine di consentire la gestione del profilo sull’eUICC 15 e sullo embedded Secure Element 14, sono gestiti due distinti e rispettivi ISD-R, cosiddetti “Profilo 0”. Nel registro di profilo è archiviato un elenco di profili disponibili che comprende un profilo di telecomunicazione attivo Pj, un profilo eSE attivo PSi e vari profili disattivati, o profili eUICC o eSE.
Come menzionato il profilo che è visibile, cioè reso accessibile, al dispositivo elettronico 10 dipende dall’interfaccia fisica che subisce l’accesso da tale dispositivo 10. In particolare quando si riceve un comando C APDU (Application Program Data Unit o Unità di Dati di Programma di Applicazione) sull’interfaccia ISO 7816 18, un ISD-R di telecomunicazione, o “Profilo 0” P0 di telecomunicazione più il profilo attivo Pj diventa visibile.
Quando si riceve un comando C APDU sull’interfaccia SPI (eSE), un eSE ISD-R “Profilo 0” PS0 più il profilo attivo Sj diventa visibile.
Poiché una stessa applicazione, quale l’ARA-M, può essere presente in entrambi i profili, la piattaforma 21 è configurata per eseguire un’esecuzione simultanea di un’applicazione in esecuzione in due Profili. Tale esecuzione simultanea si basa su un multi-tasking cooperativo eseguito secondo specifiche ben note (Ambiente del Tempo di Esecuzione di Java Card o Java Card Runtime Environment).
I comandi C APDU di conseguenza si possono ricevere simultaneamente sulle interfacce fisiche disponibili. Il dispositivo 21 è configurato per comprendere un singolo modulo di runtime che elabora sequenzialmente i processi APDU. È fornito un Router di Profilo PR che implementa l’arbitraggio richiesto per rendere sequenziali APDU simultaneamente ricevuti ed istruisce il modulo Runtime di elaborarli secondo tale procedura multi-tasking cooperativa.
In figura 4 è mostrato un diagramma di strati che rappresenta la configurazione della piattaforma 21.
Il livello hardware HL è quindi fornito nel dispositivo elettronico 10 il dispositivo resistente alla manomissione 21, nell’esempio un microcontrollore sicuro ST33G1M2.
La struttura dello strato logico è sostanzialmente la stessa di un eUICC, ad es. un livello di sistema operativo, OL, è fornito sopra lo strato hardware HL, la piattaforma del Sistema di Java Card JCS, e il livello API APL, in particolare la Piattaforma Globale GP. Il sistema operativo di telecomunicazione TO in uno strato OAL è fornito sullo strato API APL. Sopra a quello dello strato di profilo PL.
La differenza è che è prima fornito uno strato di interfaccia logica IL corrispondente a quello dell’interfaccia SPI 14 ed interfaccia ISO 15 tra lo strato hardware HL e lo strato del sistema operativo OL, sopra tale strato logico di interfaccia IL essendo anche fornito uno strato di instradamento logico RL che è incorporato da un router di profilo PR, cioè la piattaforma 21 è configurata per implementare, preferibilmente tramite software, una funzione di instradamento che, sulla base di quale interfaccia 17, 18 sono inviati i comandi APDU interagisce con un livello di dominio sicuro SDL, ad es. il livello del ISD-R per i domini di sicurezza dell’eUICC ed eSE, seleziona l’UICC ISD-R P0 o l’eSE ISD-R PS0, ad es. il profilo di applicazione nel dominio sicuro eUICC o il profilo di applicazione nel dominio sicuro eSe.
In questo modo si implementa la visibilità o del profilo di telecomunicazione Pj attivo o del profilo di applicazione Psi attivo.
Come si può ricavare da figura 4 gli strati si possono considerare come corrispondenti alla struttura di strato dell’eUICC 15 con l’aggiunta di profili di applicazione PSi ed un meccanismo di selezione incorporato dal router di profilo PR funzionante sul ISD-R, uno dei quali è già presente e l’altro aggiunto per i profili eSe.
Il meccanismo di selezione del router di profilo PR sfrutta il fatto che la piattaforma 21 è configurata con una memoria separata a livello di hardware per evitare la possibilità di accedere alla memoria da un profilo all’altro.
Il dispositivo 21 comprende aree di memoria che si possono dividere, in una maniera di per sé nota all’esperto della tecnica in una pluralità di porzioni di memoria assegnate ai profili di applicazione PSi e profili di telecomunicazione SPj, tale memoria essendo abilitata sotto il controllo del router di profilo PR, che è configurato per abilitare ciascun comando APDU di area tramite il comando APDU. Ad esempio quando si riceve un comando C APDU sull’interfaccia SPI 17, le aree di memoria corrispondenti al profilo di applicazione PSi e ISD-R di applicazione PS0 sono abilitate, mentre le aree di memoria dei profili di telecomunicazione Pj e del ISD_R di telecomunicazione P0 sono disabilitate.
Tale fase di selezione, sulla base di quali comandi C APDU di interfaccia fisica 17, 18 sono ricevuti, the dominio di sicurezza P0, PS0 a cui è abilitata l’accessibilità abilitando l’accesso alla corrispondente area di memoria si può eseguire tramite una diversa procedura o meccanismi funzionanti sugli indirizzi di memoria.
A titolo di esempio, una prima procedura per implementare tale fase di selezione del dominio di sicurezza P0, PS0 a cui è abilitata l’accessibilità, che accede ad un’area di memoria separata o divisa può sfruttare una MMU (Unità di Gestione di Memoria o Memory Management Unit). La MMU funziona come segue: il sistema operativo funziona in due stati, una modalità utente ed una modalità superutente. Nella modalità utente, gli indirizzi fisici non sono utilizzabili ma ogni accesso è eseguito per mezzo di “indirizzi virtuali”. Una tabella di consultazione è inizialmente riempita in modalità superutente con indicazioni di mappatura, mappando indirizzi virtuali su indirizzi fisici ad es. “segmento 1 di indiririzzo virtuale- ad es. i dati dell’applicazione USIM)- è mappato sull’indirizzo fisico 0x20003000". Quindi tramite tale tabella di consultazione si possono eseguire diverse mappature della memoria. Di conseguenza, basandosi sull’interfaccia su cui è inviato il comando, la MMU può selezionare una prima mappatura, ad es. corrispondente all’interfaccia SPI, con indirizzi in una data area di memoria, l’area con il ISD-R SP0 e i profili di applicazione PSi, o una seconda mappatura, ad es. corrispondente all’interfaccia ISO, con indirizzi in un’ulteriore data area di memoria, l’area con il ISD-R P0 e i profili di telecomunicazione Pj. Queste due mappature sono tali che le due aree di memoria sono separate l’una rispetto all’altra. In ulteriori forme di attuazione la MPU (Unità di Protezione di Memoria o Memory Protection Unit) si può sfruttare in un modo simile. Con questo approccio vi sono sempre due stati (superutente e utente), lo stato superutente configura la MPU indicando “accesso consentito dall’indirizzo 0x20003000 all’indirizzo 0x20004000” prima di commutare ad “utente”. Successivamente il sistema operativo di telecomunicazione in modalità utente accede direttamente alla memoria ma se esso certa di accedere all’esterno delle aree consentite viene lanciata un’eccezione. La differenza principale tra la procedura MPU e la procedura MMU è che con la MPU il sistema operativo funziona con indirizzi fisici mentre con la MMU esso funziona con indirizzi virtuali. Entrambe le procedure tuttavia sulla base dell’interfaccia a cui hanno accesso, selezionano una diversa mappatura di memoria.
Tale abilitazione/disabilitazione di hardware facilita la valutazione della separazione e qualsiasi potenziale certificazione.
Un ulteriore aspetto del dispositivo elettronico con un singolo dispositivo resistente alla manomissione qui descritto riguarda la possibilità di aggiungere alle applicazioni della Java Card anche estensioni native che si applicano solo ad uno specifico profilo.
Il singolo dispositivo resistente alla manomissione 21 è configurato per comprendere un distinto elenco di punti di ingresso del sistema operativo per ben note funzionalità native (ad es. algoritmi crittografici) che è gestito per profilo.
Una stessa funzione nativa del sistema operativo può avere implementazioni distinte su base per profilo.
Le estensioni native si possono attivare/disattivare così come le pezze o patch del sistema operativo.
Poiché il dominio dello embedded Secure Element è gestito in modo diverso rispetto all’eUICC i due ISD-R P0, PS0, anno credenziali diverse, una relativa ad esempio al GSMA, al fine di funzionare con la MNO, ed una relativa all’OEM. Quindi, al livello ISD-R sono forniti un ISD-R separato ed una eCASD separato (Dominio di Sicurezza di Autorità di Certificato eUICC o eUICC Certificate Authority Security Domain).
Avendo fornito un ISD-R separato ed un eCASD separato è possibile eseguire la gestione del profilo anche per i profili di applicazione SPj. Ciò non è solitamente richiesto per gli elementi Sicuri embedded, tuttavia la doppia struttura ISD-R consente l’aggiunta di tale funzionalità allo embedded Secure Element, ad es. in forme di attuazione variabili il singolo dispositivo resistente alla manomissione 21 è configurato anche per scaricare/aggiornare il profilo di applicazione (eSE) PSi.
Quindi la soluzione descritta fornisce un dispositivo elettronico comprendente un singolo controllore con integrazione di eSE / eUICC, dove i rispettivi domini sono fortemente separati, ma con una forte separazione tra i due domini. La completa separazione della memoria/registro impedisce la possibilità di avere la stessa applicazione in due profili.
Di conseguenza riassumendo, è sostanzialmente descritto un dispositivo resistente alla manomissione 21 implementante una embedded Universal Integrated Circuit Card 15 comprendente almeno un dominio di sicurezza, che corrisponde al dominio contrassegnato dal ISD-R P0, in cui è archiviato almeno un profilo di telecomunicazione Pj, sebbene in generale è archiviata una pluralità di profili di telecomunicazione. Il dispositivo 21 comprende un’interfaccia fisica ISO 18 configurata per consentire l’accesso dal processore di applicazione 13 configurato per funzionare con almeno una rete di telecomunicazioni mobili a detto almeno un profilo di telecomunicazione Pj, il dispositivo resistente alla manomissione 21 comprendendo anche un ulteriore dominio di sicurezza PS0 che archivia almeno un profilo di applicazione PSi. Tuttavia, invece di accedere a tale profilo di applicazione PSi attraverso la stessa interfaccia, il dispositivo resistente alla manomissione 21 comprende un’ulteriore interfaccia fisica 17 configurata per consentire l’accesso dal processore di applicazione 12 a tale profilo di applicazione PSi) archiviato in detto ulteriore dominio di sicurezza PS0. Il dispositivo resistente alla manomissione 21 è configurato per permettere l’accessibilità all’almeno un profilo di applicazione PSi se si ricevono corrispondenti comandi C, ad es. gli APDU, in segnali scambiati sulla prima interfaccia 17, in particolare SPI, e per permettere l’accessibilità al profilo di telecomunicazione Pj se si ricevono corrispondenti comandi C in segnali scambiati sulla seconda interfaccia 18, in particolare ISO.
L’instradamento del profilo, ad es. che rende accessibile un dominio di sicurezza corrispondente ad un certo ISD-R o all’altro data l’interfaccia fisica che subisce l’accesso è ottenuto tramite una configurazione, cioè programmazione dedicata, del sistema operativo, ad es. il Sistema di Carta Java. Più in particolare il dispositivo 21 inizia con due ISD-R, P0, SP0, e “zero” profili; successivamente, ogni profilo caricato dal ISD-R di telecomunicazione verrà considerato profilo di telecomunicazione Pj, e lo stesso è effettuato per profili caricati dal ISD-R eSE che sono considerati profili di applicazione PSi. L’instradamento del profilo rende accessibile un dominio di sicurezza corrispondente ad un certo ISD-R o all’altro data l’interfaccia fisica che subisce l’accesso permettendo l’accesso all’area di memoria isolata della piattaforma 21 dove è archiviato il pertinente dominio di sicurezza, mentre l’altro accesso all’area di memoria è disabilitato.
La soluzione di conseguenza è diretta anche ad un procedimento per accedere a profili in un dispositivo resistente alla manomissione 21 implementante una embedded Universal Integrated Circuit Card 15 secondo una delle forme di attuazione descritte, che comprende le operazioni di:
fornire un’interfaccia fisica 18 configurata per consentire l’accesso da un processore 13 configurato per funzionare con almeno una rete di telecomunicazioni mobili a detto almeno un profilo di telecomunicazione Pj,
fornire un’ulteriore interfaccia fisica 17 configurata per consentire l’accesso da un processore di applicazione 12 ad almeno un profilo di applicazione PSi archiviato in un ulteriore dominio di sicurezza PS0 in detto dispositivo resistente alla manomissione 21,
permettere l’accessibilità all’almeno un profilo di applicazione PSi se si ricevono corrispondenti comandi C in segnali scambiati sulla prima interfaccia 17 e permettere l’accessibilità al profilo di telecomunicazione Pj se si ricevono corrispondenti comandi C in segnali scambiati sulla seconda interfaccia 18.
Le operazioni del procedimento possono comprendere la definizione di una funzione di instradamento nel sistema operativo, in particolare nel Sistema di Carta Java, per eseguire detta operazione di permettere l’accessibilità all’almeno un profilo di applicazione PSi se si ricevono corrispondenti comandi C in segnali scambiati sulla prima interfaccia 17 e permettere l’accessibilità al profilo di telecomunicazione Pj se si ricevono corrispondenti comandi C in segnali scambiati sulla seconda interfaccia 18.
Le operazioni del procedimento possono comprendere anche fornire un ISD-R e eCASD separate per ciascuno dei domini di sicurezza.
Naturalmente, senza pregiudizio per il principio dell’invenzione, i dettagli di costruzione e le forme di realizzazione possono variare notevolmente rispetto a ciò che è stato qui descritto ed illustrato puramente a titolo di esempio, senza così discostarsi dall’ambito della presente invenzione, come definito dalle derivanti rivendicazioni.
Un altro tipo di dispositivo sicuro potrebbe essere integrato al posto dell’eSE e dell’eUICC, ad esempio il dispositivo descritto può utilizzare un modulo di Piattaforma Affidabile o Trusted Platform module (TPM) come definito dal TCG (Gruppo di Calcolo Affidabile o Trusted Computing Group) al posto dello embedded Secure Element.
La soluzione qui descritta è diretta in generale ad un dispositivo elettronico, quale uno smartphone o un tablet, comprendente un processore di applicazione ed un processore in banda base. Come indicato una prima interfaccia configurata per scambiare segnali tra tale processore di applicazione ed un dispositivo resistente alla manomissione, ad es. un’eSE o TPM, comprendente almeno un profilo di applicazione, può essere incorporato tramite un’interfaccia SPI, ma altre interfacce si possono possibilmente impiegare per accedere alla piattaforma, ad es. I<2>C.
Claims (15)
- RIVENDICAZIONI 1. Dispositivo resistente alla manomissione (11; 21) implementante una embedded Universal Integrated Circuit Card (15) comprendente almeno un dominio di sicurezza (P0) in cui è archiviato almeno un profilo di telecomunicazione (Pj), detto dispositivo (21) comprendendo un’interfaccia fisica (18) configurata per consentire l’accesso da un processore (13) configurato per funzionare con almeno una rete di telecomunicazioni mobili a detto almeno un profilo di telecomunicazione (Pj), caratterizzato dal fatto che detto dispositivo resistente alla manomissione (21) comprende un ulteriore dominio di sicurezza (PS0) che archivia almeno un profilo di applicazione (Si; PSi), detto dispositivo resistente alla manomissione (21) comprende un’ulteriore interfaccia fisica (17) configurata per consentire l’accesso da un processore di applicazione (12) a detto almeno un profilo di applicazione (Si; PSi) immagazzinato in detto ulteriore dominio di sicurezza (PS0), detto singolo dispositivo resistente alla manomissione (21) essendo configurato per permettere l’accessibilità all’almeno un profilo di applicazione (PSi) se si ricevono corrispondenti comandi (C) in segnali scambiati sulla prima interfaccia (17) e per permettere l’accessibilità al profilo di telecomunicazione (Pj) se si ricevono corrispondenti comandi (C) in segnali scambiati sulla seconda interfaccia (18).
- 2. Dispositivo secondo la rivendicazione 1, caratterizzato dal fatto che detto ulteriore profilo di applicazione corrisponde ad un profilo di applicazione di un embedded Secure Element.
- 3. Dispositivo secondo la rivendicazione 1, caratterizzato dal fatto che detto ulteriore profilo di applicazione corrisponde ad un profilo di applicazione di un Trusted Platform Module.
- 4. Dispositivo secondo qualsiasi delle rivendicazioni precedenti, caratterizzato dal fatto che detta prima interfaccia (14) è un’interfaccia SPI e detta seconda interfaccia è un’interfaccia ISO.
- 5. Dispositivo secondo qualsiasi delle rivendicazioni precedenti, caratterizzato dal fatto che detto profilo di applicazione (PSi) in un ulteriore dominio di sicurezza (PS0) è accoppiato per la comunicazione con un modulo NFC (16).
- 6. Dispositivo secondo qualsiasi delle rivendicazioni precedenti, caratterizzato dal fatto che è configurato per eseguire un’operazione di instradamento (PR) che seleziona, sulla base di quale interfaccia fisica (17, 18) sono ricevuti detti comandi (C) APDU, il dominio di sicurezza (P0, PS0) a cui è abilitata l’accessibilità.
- 7. Dispositivo secondo la rivendicazione 6, caratterizzato dal fatto che comprende una memoria con aree separate da hardware per archiviare i domini di sicurezza (P0, SP0) e profili di applicazione (PSi) e profili di telecomunicazione (Pj) rispettivamente associati e detta operazione di instradamento (PR) comprende selezionare, sulla base di quale interfaccia fisica (17, 18) sono ricevuti detti comandi (C) APDU il dominio di sicurezza (P0, PS0) a cui è abilitata l’accessibilità permettendo l’accesso alla corrispondente area di memoria.
- 8. Dispositivo secondo qualsiasi delle rivendicazioni precedenti, caratterizzato dal fatto che comprende un registro di applicazione configurato per archiviare informazioni indicanti il profilo a cui appartiene un’applicazione.
- 9. Dispositivo secondo qualsiasi delle rivendicazioni precedenti, caratterizzato dal fatto che comprende, per i profili di applicazione (PSi) e i profili di telecomunicazione (Pj) rispettive istanze di una Issuer Secure Domain Root (ISD-R) e di un eUICC Controlling Authority Security Domain (eCASD).
- 10. Dispositivo secondo la rivendicazione 8, caratterizzato dal fatto che detta operazione di instradamento comprende anche eseguire un arbitraggio richiesto per rendere sequenziali comandi (C) simultaneamente ricevuti.
- 11. Dispositivo secondo la rivendicazione 6, caratterizzato dal fatto che comprende un’interfaccia SWP (Protocollo a Cavo Singolo) (29a, 29b) configurata per interfacciarsi con il Controllore NFC (16) o il profilo di applicazione (Psi) o il profilo di telecomunicazione (Pj) a seconda di quale interfaccia fisica (17, 18) riceve detti comandi (C).
- 12. Dispositivo elettronico (10) comprendente un processore di applicazione (12) ed un processore in banda base (13) configurati per funzionare con almeno una rete di telecomunicazioni mobili, detto dispositivo (10) comprendendo un dispositivo resistente alla manomissione (11; 21) secondo qualsiasi delle rivendicazioni 1 a 11.
- 13. Procedimento per accedere a profili in un dispositivo resistente alla manomissione (11; 21) implementante una embedded Universal Integrated Circuit Card (15) secondo qualsiasi delle rivendicazioni 1 a 11, comprendente fornire un’interfaccia fisica (18) configurata per consentire l’accesso da un processore (13) configurato per funzionare con almeno una rete di telecomunicazioni mobili a detto almeno un profilo di telecomunicazione (Pj), fornire un’ulteriore interfaccia fisica (17) configurata per consentire l’accesso da un processore di applicazione (12) ad almeno un profilo di applicazione (Si; PSi) archiviato in un ulteriore dominio di sicurezza (PS0) in detto dispositivo resistente alla manomissione (21), permettere l’accessibilità all’almeno un profilo di applicazione (PSi) se si ricevono corrispondenti comandi (C) in segnali scambiati sulla prima interfaccia (17) e permettere l’accessibilità al profilo di telecomunicazione (Pj) se si ricevono corrispondenti comandi (C) in segnali scambiati sulla seconda interfaccia (18).
- 14. Procedimento secondo la rivendicazione 12 comprendente la definizione di una funzione di instradamento nel sistema operativo (AOL) da eseguire per permettere l’accessibilità all’almeno un profilo di applicazione (PSi) se si ricevono corrispondenti comandi (C) in segnali scambiati sulla prima interfaccia (17) e permettere l’accessibilità al profilo di telecomunicazione (Pj) se si ricevono corrispondenti comandi (C) in segnali scambiati sulla seconda interfaccia (18) e fornire un ISD-R e eCASD separati per ciascuno dei domini di sicurezza.
- 15. Prodotto informatico che si può caricare nella memoria di almeno un processore e che comprende porzioni di codice software per implementare il procedimento secondo la rivendicazione 13 o 14.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IT102018000009917A IT201800009917A1 (it) | 2018-10-30 | 2018-10-30 | Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico |
EP19203500.4A EP3647975A1 (en) | 2018-10-30 | 2019-10-16 | Tamper resistant device implementing an embedded universal integrated circuit card and corresponding electronic device, method and computer program product |
US16/655,579 US11582212B2 (en) | 2018-10-30 | 2019-10-17 | Tamper resistant device for an integrated circuit card |
CN201911038723.XA CN111125795B (zh) | 2018-10-30 | 2019-10-29 | 用于集成电路卡的防篡改设备 |
CN201921834579.6U CN210666775U (zh) | 2018-10-30 | 2019-10-29 | 用于嵌入式通用集成电路卡的防篡改设备和电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IT102018000009917A IT201800009917A1 (it) | 2018-10-30 | 2018-10-30 | Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico |
Publications (1)
Publication Number | Publication Date |
---|---|
IT201800009917A1 true IT201800009917A1 (it) | 2020-04-30 |
Family
ID=65199528
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
IT102018000009917A IT201800009917A1 (it) | 2018-10-30 | 2018-10-30 | Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico |
Country Status (4)
Country | Link |
---|---|
US (1) | US11582212B2 (it) |
EP (1) | EP3647975A1 (it) |
CN (2) | CN111125795B (it) |
IT (1) | IT201800009917A1 (it) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
IT201800009917A1 (it) * | 2018-10-30 | 2020-04-30 | St Microelectronics Srl | Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico |
US20220264284A1 (en) * | 2021-02-18 | 2022-08-18 | Samsung Electronics Co., Ltd. | Method and apparatus for transmitting and processing profile management message for multiple enabled profiles between terminal and universal integrated circuit card |
DE102021001158A1 (de) * | 2021-03-04 | 2022-09-08 | Giesecke+Devrient Mobile Security Gmbh | Teilnehmeridentitätsmodul mit oder eingerichtet für Applikation |
EP4192060A1 (en) * | 2021-12-01 | 2023-06-07 | Giesecke+Devrient Mobile Security GmbH | Management of subscriber profiles on an euicc |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160088464A1 (en) * | 2014-09-24 | 2016-03-24 | Oracle International Corporation | Managing Selection and Triggering of Applications on a Card Computing Device |
US20170295158A1 (en) * | 2014-05-01 | 2017-10-12 | At&T Intellectual Property I, L.P. | Apparatus and Method for Managing Security Domains for a Universal Integrated Circuit Card |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB0816319D0 (en) * | 2008-09-05 | 2008-10-15 | Palmer Charles G | Network communication |
WO2012080181A2 (en) * | 2010-12-15 | 2012-06-21 | Stmicroelectronics (Rousset) Sas | Method and device for managing information exchange between a main element, for example a nfc controller, and a set of at least two auxiliary elements |
WO2012111018A1 (en) * | 2011-02-17 | 2012-08-23 | Thozhuvanoor Vellat Lakshmi | Secure tamper proof usb device and the computer implemented method of its operation |
US20120238206A1 (en) * | 2011-03-14 | 2012-09-20 | Research In Motion Limited | Communications device providing near field communication (nfc) secure element disabling features related methods |
US8418230B1 (en) * | 2012-08-28 | 2013-04-09 | Netcomm Wireless Limited | Apparatus and method for mobile communications and computing |
US9807206B2 (en) * | 2013-03-07 | 2017-10-31 | Apple Inc. | Aggregating physical network interfaces for peer-to-peer connections |
US9510186B2 (en) * | 2014-04-04 | 2016-11-29 | Apple Inc. | Tamper prevention for electronic subscriber identity module (eSIM) type parameters |
US9432067B2 (en) * | 2014-05-30 | 2016-08-30 | Apple Inc. | Supporting SIM toolkit applications in embedded UICCs |
US10075841B2 (en) * | 2014-09-17 | 2018-09-11 | Simless, Inc. | Apparatuses, methods and systems for implementing a trusted subscription management platform |
KR102329258B1 (ko) * | 2014-10-28 | 2021-11-19 | 삼성전자주식회사 | 보안 모듈을 이용한 결제 방법 및 장치 |
US20200236533A1 (en) * | 2015-05-16 | 2020-07-23 | Simless, Inc. | Apparatuses, methods and systems for virtualizing a reprogrammable universal integrated circuit chip |
WO2017054172A1 (zh) * | 2015-09-30 | 2017-04-06 | 华为技术有限公司 | 一种Profile切换的方法及终端 |
WO2017082966A1 (en) * | 2015-11-09 | 2017-05-18 | Intel IP Corporation | Integrated universal integrated circuit card on mobile computing environments |
US10516540B2 (en) * | 2016-01-28 | 2019-12-24 | Apple Inc. | Management of profiles in an embedded universal integrated circuit card (eUICC) |
CN106658474B (zh) * | 2016-10-31 | 2019-11-19 | 上海路随通信科技有限公司 | 利用嵌入式安全元件实现sim卡数据安全防护方法 |
WO2018226214A1 (en) * | 2017-06-06 | 2018-12-13 | Giesecke & Devrient Mobile Security America, Inc. | Method and apparatus for operating a connected device using a secure element device |
US10769279B2 (en) * | 2017-08-24 | 2020-09-08 | Apple Inc. | Secure element operating system update notification |
US11595813B2 (en) * | 2018-01-15 | 2023-02-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Profile handling of a communications device |
IT201800009917A1 (it) * | 2018-10-30 | 2020-04-30 | St Microelectronics Srl | Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico |
FR3087988B1 (fr) * | 2018-10-30 | 2022-01-28 | Idemia France | Gestion de profils d'abonne simultanement actifs dans une carte euicc en utilisant plusieurs liaisons distinctes |
-
2018
- 2018-10-30 IT IT102018000009917A patent/IT201800009917A1/it unknown
-
2019
- 2019-10-16 EP EP19203500.4A patent/EP3647975A1/en active Pending
- 2019-10-17 US US16/655,579 patent/US11582212B2/en active Active
- 2019-10-29 CN CN201911038723.XA patent/CN111125795B/zh active Active
- 2019-10-29 CN CN201921834579.6U patent/CN210666775U/zh not_active Withdrawn - After Issue
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170295158A1 (en) * | 2014-05-01 | 2017-10-12 | At&T Intellectual Property I, L.P. | Apparatus and Method for Managing Security Domains for a Universal Integrated Circuit Card |
US20160088464A1 (en) * | 2014-09-24 | 2016-03-24 | Oracle International Corporation | Managing Selection and Triggering of Applications on a Card Computing Device |
Non-Patent Citations (3)
Title |
---|
GLOBALPLATFORM INC.: "GlobalPlatform Card Specification Version 2.2.1", 31 January 2011 (2011-01-31), XP055294367, Retrieved from the Internet <URL:http://www.globalplatform.org/specificationdownload.asp?id=7512> [retrieved on 20160809] * |
GSMA ET AL: "GSM Association Non-confidential Official Document SGP.02 -Remote Provisioning Architecture for Embedded UICC Technical Specification Remote Provisioning Architecture for Embedded UICC Technical Specification Security Classification: Non-confidential GSM Association Non-confidential Remote Provision", 27 June 2017 (2017-06-27), XP055578321, Retrieved from the Internet <URL:https://www.gsma.com/iot/wp-content/uploads/2016/07/SGP.02_v3.2.pdf> [retrieved on 20190408] * |
REMOTE PROVISIONING ARCHITECTURE FOR EMBEDDED UICC, TECHNICAL SPECIFICATION, 17 December 2013 (2013-12-17) |
Also Published As
Publication number | Publication date |
---|---|
US11582212B2 (en) | 2023-02-14 |
CN111125795B (zh) | 2024-03-26 |
EP3647975A1 (en) | 2020-05-06 |
CN210666775U (zh) | 2020-06-02 |
CN111125795A (zh) | 2020-05-08 |
US20200137034A1 (en) | 2020-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
IT201800009917A1 (it) | Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico | |
US9628981B2 (en) | Method for changing MNO in embedded SIM on basis of special privilege, and embedded SIM and recording medium therefore | |
US8301911B2 (en) | Key storage administration | |
US9843674B2 (en) | Managing selection and triggering of applications on a card computing device | |
US9775024B2 (en) | Method for changing MNO in embedded SIM on basis of dynamic key generation and embedded SIM and recording medium therefor | |
US20190045339A1 (en) | Systems, methods, and computer program products for interfacing multiple service provider trusted service managers and secure elements | |
US9910610B2 (en) | Protected mode for global platform complaint smart cards | |
CN105446713B (zh) | 安全存储方法及设备 | |
JP5524425B2 (ja) | セキュアエレメントへのアプリケーションデータの書き込み | |
US9875366B2 (en) | Microprocessor system with secured runtime environment | |
CN106415564A (zh) | 可信执行环境的动态配置 | |
CN103455349B (zh) | 应用程序访问智能卡的方法和装置 | |
WO2017082966A1 (en) | Integrated universal integrated circuit card on mobile computing environments | |
KR20130006257A (ko) | 내장 sim에서의 키 관리방법, 및 그를 위한 내장 sim과 기록매체 | |
US20130005402A1 (en) | Method for accessing at least one service and corresponding system | |
CN108469962A (zh) | 基于手机盾的移动终端及手机盾管理方法 | |
CN111404706B (zh) | 应用下载方法、安全元件、客户端设备及服务管理设备 | |
US10531296B2 (en) | Method for loading a subscription into an embedded security element of a mobile terminal | |
IT201800004293A1 (it) | Procedimento di gestione di sistemi operativi multipli in carte a circuito integrato, corrispondente sistema e prodotto informatico | |
KR102400471B1 (ko) | Sdp 기반의 접속 제어 장치 및 방법 | |
CN112464222B (en) | Security device, corresponding system, method and computer program product | |
AU2004250345A1 (en) | Method for allocating secured resources in a security module | |
CN109586901A (zh) | 一种密钥更新方法及设备 | |
EP3789902B1 (en) | Secure device operating with a secure tamper-resistant platform, corresponding system and computer program product | |
EP4134858A1 (en) | Management of applications on multiple secure elements |