IT201800009917A1 - Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico - Google Patents

Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico Download PDF

Info

Publication number
IT201800009917A1
IT201800009917A1 IT102018000009917A IT201800009917A IT201800009917A1 IT 201800009917 A1 IT201800009917 A1 IT 201800009917A1 IT 102018000009917 A IT102018000009917 A IT 102018000009917A IT 201800009917 A IT201800009917 A IT 201800009917A IT 201800009917 A1 IT201800009917 A1 IT 201800009917A1
Authority
IT
Italy
Prior art keywords
profile
interface
application
telecommunication
psi
Prior art date
Application number
IT102018000009917A
Other languages
English (en)
Inventor
Luca Dicosmo
Amedeo Veneroso
Original Assignee
St Microelectronics Srl
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by St Microelectronics Srl filed Critical St Microelectronics Srl
Priority to IT102018000009917A priority Critical patent/IT201800009917A1/it
Priority to EP19203500.4A priority patent/EP3647975A1/en
Priority to US16/655,579 priority patent/US11582212B2/en
Priority to CN201911038723.XA priority patent/CN111125795B/zh
Priority to CN201921834579.6U priority patent/CN210666775U/zh
Publication of IT201800009917A1 publication Critical patent/IT201800009917A1/it

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/10Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation
    • G06K7/10009Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves
    • G06K7/10237Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves the reader and the record carrier being capable of selectively switching between reader and record carrier appearance, e.g. in near field communication [NFC] devices where the NFC device may function as an RFID reader or as an RFID tag
    • G06K7/10247Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves the reader and the record carrier being capable of selectively switching between reader and record carrier appearance, e.g. in near field communication [NFC] devices where the NFC device may function as an RFID reader or as an RFID tag issues specific to the use of single wire protocol [SWP] in NFC like devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3227Aspects of commerce using mobile devices [M-devices] using secure elements embedded in M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3229Use of the SIM of a M-device as secure element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/325Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wireless networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/326Payment applications installed on the mobile devices
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/0826Embedded security module
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/60Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/183Processing at user equipment or user record carrier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/45Security arrangements using identity modules using multiple identity modules

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Strategic Management (AREA)
  • Accounting & Taxation (AREA)
  • General Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Toxicology (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Databases & Information Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Electromagnetism (AREA)
  • Mathematical Physics (AREA)
  • Telephone Function (AREA)
  • Credit Cards Or The Like (AREA)

Description

DESCRIZIONE dell’invenzione industriale intitolata:
“Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto”
TESTO DELLA DESCRIZIONE
Campo Tecnico
Le forme di attuazione della presente descrizione si riferiscono a soluzioni riguardanti un dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card comprendente almeno un dominio di sicurezza in cui è archiviato almeno un profilo di telecomunicazione, detto dispositivo comprendendo un’interfaccia fisica configurata per consentire l’accesso da un processore configurato per funzionare con almeno una rete di telecomunicazioni mobili a detto almeno un profilo di telecomunicazione, detto dispositivo resistente alla manomissione comprendendo un ulteriore dominio di sicurezza che archivia almeno un profilo di applicazione.
Le forme di attuazione della presente descrizione si riferiscono in particolare al contesto tecnico della tecnologia di Fornitura di SIM Remota o Remote SIM Provisioning, anche nota come la Embedded UICC (Universal Integrated Circuit Card) e degli embedded Elementi Sicuri o Secure Elements per applicazioni di pagamento.
Sfondo
Per via di nuovi requisiti di miniaturizzazione e robustezza, l’industria ha sviluppato un’evoluzione delle tradizionali carte SIM (Modulo di Identità di Abbonato o Subscriber Identity Module) chiamate “embedded UICC” (Universal Integrated Circuit Card). Questa evoluzione prevede che la carta SIM sia saldata (o in ogni caso resa difficilmente accessibile) nel dispositivo ospitante che può essere un telefono mobile, un modem, una scheda inserita in un dispositivo, ecc.
La saldatura presenta distinti vantaggi quali la possibilità di ridurre la dimensione del Dispositivo SIM e pertanto del modem, il miglioramento della robustezza dei contatti (i contatti saldati sono tipicamente più affidabili delle interfacce tra componenti sostituibili), l’aumentata protezione antifurto.
D’altro canto, la saldatura di una SIM (o di renderla difficilmente accessibile) introduce nuovi requisiti e questioni che necessitano essere affrontati, quali:
- poiché la SIM non è sostituibile, dovrebbero essere disponibili dei mezzi per consentire il cambio di operatore;
- operazioni specifiche (quali la riparazione del dispositivo), che oggi sono tipicamente eseguite dopo la rimozione della SIM, richiedono un modo per disabilitare la carta SIM;
Per affrontare i suddetti requisiti, l’industria ha definito un nuovo standard tecnologico chiamato “embedded UICC” o “fornitura di SIM Remota”.
I concetti di base del nuovo standard tecnologico sono i seguenti:
- si definisce un’entità per consentire di scaricare/abilitare/cancellare profili (ad esempio la Radice di Dominio Sicuro dell’Emittente o Issuer Secure Domain Root ISD-R, si veda ad esempio “Remote Provisioning Architecture for Embedded UICC, Technical Specification, Version 1.0, 17 December 2013”),
- l’UICC può contenere varie sottoscrizioni dell’operatore di rete mobile;
- ciascuna sottoscrizione dell’operatore è rappresentata da un “profilo”;
- ogni profilo si può vedere come un contenitore; il contenitore è gestito da un dominio di sicurezza (ad esempio il Profilo di Dominio Sicuro dell’Emittente o Issuer Secure Domain Profile ISD-P).
Di conseguenza il profilo di una eUICC contiene una credenziale di telecomunicazione emessa da un certo Operatore di Rete Mobile o Mobile Network Operator (MNO), che rappresenta completamente tale operatore nel contenere tutte le informazioni necessarie per accedere alla corrispondenten rete mobile.
L’eUICC è un dispositivo o piattaforma resistente alla manomissione (cioè un dispositivo che non si può alterare in modo fraudolento e che verrebbe distrutto nel caso di accesso non autorizzato ai dati). Per piattaforma o piattaforma di calcolo si intende l’ambiente in cui sono eseguiti pezzi di software, che può comprendere ad esempio solo l’hardware o anche il sistema operativo o altri elementi quali l’API, ad es. i componenti con cui è eseguito il codice del software.
Un altro dispositivo resistente alla manomissione, più specificatamente una piattaforma hardware resistente alla manomissione, tipicamente presente in un telefono mobile di alta gamma è il cosiddetto Secure Element, ossia Elemento Sicuro. Il Secure Element è un dispositivo diverso rispetto all’eUICC per il fatto che esso è direttamente gestito dall’OEM (Produttore di Apparecchiature Orginali o Original Equipment Manufacture). Il Secure Element contiene applicazioni e credenziali di pagamento per consentire pagamenti sul collegamento NFC (Comunicazione in Prossimità o Near Field Communication) di un dispositivo elettronico contenente tale collegamento NFC, ad es. un ricetrasmettitore NFC.
Il Secure Element può contenere informazioni d’utente gestite dall’OEM (come l’impronta digitale dell’utente o il PIN dell’utente, ecc.).
Il Secure Element è quindi simile ad un’eUICC, essendo un dispositivo resistente alla manomissione che è utilizzato in un dispositivo elettronico, ad es. un terminale mobile, per archiviare dati sensibili per accedere a servizi, ad es. servizi di pagamento o servizi di telecomunicazione, ma:
- esso non fornisce i servizi di telecomunicazione, cioè non contiene un file system o applicazioni di telecomunicazione);
- esso non è gestito dall’ambiente MNO, esso è invece direttamente gestito dall’OEM.
Come menzionato, lo embedded Secure Element e eUICC possono essere entrambi presenti in un dispositivo elettronico.
In questo contesto, Figura 1 mostra una possibile architettura di un dispositivo elettronico 10, quale un dispositivo mobile, ad es. uno smartphone o un tablet.
Generalmente, il dispositivo elettronico 11 quale un telefono mobile comprende un processore di applicazione 12 ed un processore in banda base 13. È fornita un’interfaccia SPI (Interfaccia Parallela Seriale o Serial Parallel Interface) 17 configurata per scambiare segnali tra il processore di applicazione 12 ed un dispositivo di embedded Secure Elemnt (eSE). In in questo caso il dispositivo elettronico 10 comprende un embedded Secure Element 14 comprendente almeno un profilo di applicazione, specificatamente un profilo di elemento sicuro, che è implementato da una piattaforma resistente alla manomissione hardware, ad es. un microcontrollore sicuro, 11. Lo embedded Secure Element 14 è accoppiato successivamente ad un controllore NFC 16 tramite una connessione SWP (Protocollo a Cavo Singolo o Single Wire Protocol) 19a.
Inoltre, è fornito un processore in banda base 13 che può funzionare sotto il controllo del processore di applicazione 12. È fornita un’interfaccia ISO (Organizzazione degli Standard Internazionale o International Standards Organisation) 18 configurata per scambiare segnali tra il processore in banda base 13 ed un’UICC embedded UICC, o eUICC. In questo caso il dispositivo 10 comprende un’eUICC 15 comprendente almeno un profilo di telecomunicazione Pj, ad es. un profilo secondo lo standard del Profile Package con credenziali per accedere ad una rete di comunicazioni mobili. Il profilo può comprendere credenziali di autenticazione, un applet con un rispettivo modulo Toolkit di Riferimento di Applicazione o Toolkit Application Reference e OTA (Via Etere). L’eUICC 15 è implementata in un ulteriore piattaforma resistente alla manomissione hardware, cioè un dispositivo hardware 11. L’eUICC 15 si può successivamente accoppiare al controllore NFC 16 attraverso una connessione SWP (Protocollo a Cavo Singolo) 19b.
Il processore di applicazione 12 come menzionato interagisce direttamente con lo embedded Secure Element 14, ma può interagire indirettamente, attraverso il processore in banda base 13, con l’eUICC 15. Se è presente un embedded Secure Element 14, è tipicamente disabilitata la SWP 19b dell’eUICC.
Lo embedded Secure Element e l’eUICC presentano molti aspetti comuni. Facendo riferimento al diagramma di strati di figura 2 che mostra strati ISO per entrambi lo embedded Secure Element 14 e l’eUICC 15, in corrispondenza dello strato hardware HL è solitamente implementato attraverso lo stesso dispositivo hardware 11 o dispositivi hardware simili, per esempio il microcontrollore sicuro ST33G1M2. In forme di attuazione variabili per lo embedded Secure Element 14 il protocollo hardware utilizzato può essere I2C o SPI e ISO T=0 o ISO T=1 sono simulati sul I2C/SPI. Stesso livello di sicurezza è fornito all’interno di tale contesto hardware. Successivamente al livello del sistema operativo, OL, è solitamente utilizzata una piattaforma del Sistema di Carta Java o Java Card System platform JCS is in entrambi i dispositivi 14, 15, così come la Piattaforma Globale o Global Platform in corrispondenza di un livello API, APL.
Più in dettaglio, ad es. un Sistema di Carta Java JCS è eseguito dal sistema operativo, che gestisce ed esegue le applet, cioè applicazioni che utilizzano le API (Interfaccia per Programmi Applicativi o Application Programming Interface) fornite dal Sistema di Carta Java JCS.
Ad esempio, il Sistema di Carta Java JCS per l’eUICC comprende solitamente un’API di SIM e/o USIM che gestisce i comandi di base del Modulo di Identità di Abbonato e che fornisce funzioni all’applet della SIM o USIM di livello superiore. Questa tecnologia è ben nota a coloro esperti della tecnica, rendendo superflua una presente descrizione più dettagliata.
Sovente il Sistema di Carta Java JCS comprende il modulo GlobalPlatform GP secondo la “Specifica della Carta GlobalPlatform”, ad es. versione 2.2.1. Anche questo standard è ben noto a coloro esperti della tecnica, rendendo superflua una presente descrizione più dettagliata. Sostanzialmente, il modulo GP fornisce caratteristiche quali l’autenticazione d’utente attraverso canali sicuri, o l’installazione e gestione remota delle applet. Le funzioni API menzionate sopra possono essere successivamente utilizzate tramite applet, quale l’applet della SIM o USIM, un applet di base B_APP e/o una S_APP sicura. In particolare nell’eUICC è preferibilmente fornito un gestore di profilo nello strato API.
Successivamente per il Secure Element 14 le applicazioni di pagamento in corrispondenti profili di applicazione S1, S2 (l’applicazione generica essendo indicata con Si) sono fornite al livello di applicazione AL, mentre per l’eUICC 15, un sistema operativo di telecomunicazione TO in uno strato OAL è fornito sullo strato API APL, ad es. GlobalPlatform, comprendente meccanismi di telecomunicazione SIM o USIM, e sopra, al livello di applicazione AL, sono forniti profili di telecomunicazione P1, P2 (il profilo generico essendo indicato con Pj) forniti dal MNO con la cosiddetta Fornitura Remota.
Di conseguenza i dispositivi mobili elettronici quali uno smartphone o un tablet possono contenere oltre all’eUICC, altre piattaforme per altri servizi, con un aumento dell’hardware nei dispositivi mobili e dei relativi costi.
Sintesi
Basandosi sulla precedente descrizione, è sentita l’esigenza di soluzioni che superano uno o più degli svantaggi precedentemente evidenziati.
Secondo una o più forme di attuazione, un tale scopo è conseguito attraverso un dispositivo avente le caratteristiche specificatamente esposte nelle rivendicazioni che seguono. Le forme di attuazione riguardano inoltre un procedimento relativo così come un corrispondente prodotto informatico relativo, caricabile nella memoria di almeno un computer e comprendente porzioni di codice software per eseguire le fasi del procedimento quando il prodotto è eseguito su un computer. Come qui utilizzato, il riferimento ad un tale prodotto informatico è previsto per essere equivalente al riferimento ad un mezzo leggibile su computer contenente istruzioni per controllare un sistema di computer per coordinare le prestazioni del procedimento. Il riferimento “ad almeno un computer” è evidentemente previsto per evidenziare la possibilità che la presente descrizione venga implementata in una maniera distribuita/modulare.
Le rivendicazioni sono una parte integrante dell’insegnamento tecnico della descrizione qui fornita.
Come menzionato in precedenza, la presente descrizione fornisce soluzioni riguardanti un dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card comprendente almeno uno dominio di sicurezza in cui è archiviato almeno un profilo di telecomunicazione, detto dispositivo comprendendo un’interfaccia fisica configurata per consentire l’accesso da un processore configurato per funzionare con almeno una rete di telecomunicazioni mobili a detto almeno un profilo di telecomunicazione, in cui detto dispositivo resistente alla manomissione comprende un ulteriore dominio di sicurezza che memorizza almeno un profilo di applicazione, detto dispositivo resistente alla manomissione comprende un’ulteriore interfaccia fisica configurata per consentire l’accesso da un processore di applicazione a detto almeno un profilo di applicazione archiviato in detto ulteriore dominio di sicurezza,
detto singolo dispositivo resistente alla manomissione essendo configurato per permettere l’accessibilità all’almeno un profilo di applicazione se si ricevono corrispondenti comandi in segnali scambiati sulla prima interfaccia e per permettere l’accessibilità al profilo di telecomunicazione se si ricevono corrispondenti comandi in segnali scambiati sulla seconda interfaccia.
In forme di attuazione variabili, la soluzione qui descritta prevede che detto ulteriore profilo di applicazione corrisponda ad un profilo di applicazione di un embedded Secure Element.
In forme di attuazione variabili, la soluzione qui descritta prevede che detto ulteriore profilo di applicazione corrisponda ad un profilo di applicazione di un Trusted Platform Module, o Modulo di piattaforma Affidabile.
In forme di attuazione variabili, la soluzione qui descritta prevede che detta prima interfaccia sia un’interfaccia SPI e detta seconda interfaccia sia un’interfaccia ISO.
In forme di attuazione variabili, la soluzione qui descritta prevede che detto profilo di applicazione in un ulteriore dominio di sicurezza sia accoppiato per la comunicazione ad un modulo NFC.
In forme di attuazione variabili, la soluzione qui descritta prevede che il dispositivo sia configurato per eseguire un’operazione di instradamento selezionando, sulla base di quali comandi APDU di interfaccia fisica sono ricevuti, il dominio di sicurezza a cui è permessa l’accessibilità.
In forme di attuazione variabili, la soluzione qui descritta comprende, per i profili di applicazione e i profili di telecomunicazione, rispettive istanze di un registro di applicazione, a di una Issuer Secure Domain Root (ISD-R) e di un Dominio di Sicurezza di Autorità di Controllo eUICC o eUICC Controlling Authority Security Domain (eCASD).
In forme di attuazione variabili, la soluzione qui descritta comprende una memoria con aree separate da hardware per archiviare i domini di sicurezza e profili di applicazione e profili di telecomunicazione rispettivamente associati e detta operazione di instradamento comprende selezionare, sulla base di quali comandi APDU di interfaccia fisica sono ricevuti il dominio di sicurezza a cui è permessa l’accessibilità permettendo l’accesso alla corrispondente area di memoria.
In forme di attuazione variabili, la soluzione qui descritta comprende un’interfaccia SWP (Protocollo a Cavo Singolo) configurata per interfacciarsi con il Controllore NFC o il profilo di applicazione o il profilo di telecomunicazione a seconda di quale interfaccia fisica riceve detti comandi.
La presente descrizione prevede anche soluzioni riguardanti un dispositivo elettronico comprendente un processore di applicazione ed un processore in banda base configurati per funzionare con almeno una rete di telecomunicazioni mobili, detto dispositivo comprendente un dispositivo resistente alla manomissione secondo qualsiasi delle forme di attuazione precedenti.
La presente descrizione prevede anche soluzioni riguardanti un procedimento per accedere a profili in un dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card secondo qualsiasi delle forme di attuazione precedenti, comprendente
fornire un’interfaccia fisica configurata per consentire l’accesso da un processore configurato per funzionare con almeno una rete di telecomunicazioni mobili a detto almeno un profilo di telecomunicazione,
fornire un’ulteriore interfaccia fisica configurata per consentire l’accesso da un processore di applicazione ad almeno un profilo di applicazione archiviato in un ulteriore dominio di sicurezza in detto dispositivo resistente alla manomissione,
permettere l’accessibilità all’almeno un profilo di applicazione se si ricevono corrispondenti comandi in segnali scambiati sulla prima interfaccia e permettere l’accessibilità al profilo di telecomunicazione se si ricevono corrispondenti comandi in segnali scambiati sulla seconda interfaccia.
La presente descrizione prevede anche soluzioni riguardanti un prodotto informatico che si può caricare nella memoria di almeno un processore e che comprende porzioni di codice software per implementare il procedimento precedente.
Breve descrizione delle figure
Le forme di attuazione della presente descrizione saranno ora descritte facendo riferimento ai disegni annessi, che sono forniti puramente a titolo di esempio non limitativo ed in cui:
- Figure 1 e 2 sono già state descritte in precedenza; - Figura 3 mostra una forma di attuazione di un dispositivo elettronico secondo la soluzione qui descritta;
- Figura 4 mostra un diagramma di strati che rappresenta l’architettura di strato di un dispositivo anti manomissione utilizzato nel dispositivo elettronico di Figura 3.
Descrizione Dettagliata
Nella seguente descrizione, sono forniti numerosi dettagli specifici per fornire una comprensione approfondita di forme di attuazione. Le forme di attuazione si possono mettere in pratica senza uno o vari dettagli specifici, o con altri procedimenti, componenti, materiali, ecc. In altri casi, strutture, materiali, o operazioni ben noti non sono mostrati o descritti nel dettaglio per evitare di rendere poco chiari gli aspetti delle forme di attuazione.
Il riferimento per tutta questa descrizione ad “una forma di realizzazione” significa che una particolare caratteristica, struttura o peculiarità descritta in abbinamento alla forma di attuazione è compresa in almeno una forma di attuazione. Di conseguenza, gli aspetti nelle frasi “in una forma di attuazione” in vari posti per tutta questa descrizione non fanno necessariamente tutti riferimento alla stessa forma di attuazione. Inoltre, le particolari, caratteristiche, strutture, o peculiarità si possono combinare in qualsiasi maniera appropriata in una o più forme di attuazione.
Le intestazioni qui fornite sono solo per comodità e non interpretano l’ambito o significato delle forme di attuazione.
Le parti, elementi o componenti delle figure che sono già stati descritti facendo riferimento a Figure 1 e 2 sono indicati dagli stessi riferimenti precedentemente utilizzati in tali Figure; la descrizione di tali elementi descritti in precedenza non verrà ripetuta nel seguito al fine di non sovraccaricare la presente descrizione dettagliata.
Da figura 1 si scopre che vi sono vari punti comuni in termini di hardware, sistema operativo e API almeno, tra i due dispositivi resistenti alla manomissione, di conseguenza si può considerare di unire tali due dispositivi, in un dispositivo singolo che fornisce entrambe le funzionalità, ad es. applicazioni di pagamento e servizi di telecomunicazione.
Soluzioni che consentono una singola vista di profili e domini di sicurezza separati, cioè un dominio di sicurezza per la parte di telecomunicazione e uno per la parte di eSE, non consentirebbero di avere la stessa applicazione in due profili. Inoltre vi sono problemi in termini di gestioni poiché il ruolo del gestore dell’eUICC (MNO) è diverso dal Gestore di eSE (OEM).
Inoltre i profili di telecomunicazione mobile possono offrire servizi che determinano un conflitto con lo embedded Secure Element 14, ad es. un’applicazione che decide quali app Android possono accedere al dispositivo (ad esempio la nota applicazione ARA-M) avrebbe bisogno di configurazioni diverse imposte dal gestore di profilo dell’eUICC e dal gestore di embedded Secure Element.
In aggiunta, si dovrebbe garantire che i servizi di embedded Secure Element non interferiscano con i servizi eUICC e viceversa, anche per mantenere la validità delle prove di configurazione certificata e del proprietario di profilo (o proprietario dello embedded Secure Element).
Ora, facendo riferimento a Figure 3 si illustra uno schema a blocchi di un dispositivo elettronico 20 che comprende un singolo dispositivo resistente alla manomissione 21, implementato tramite un controllore sicuro, nella forma di attuazione un controllore ST33G1M2, sebbene si possa utilizzare ad esempio un altro controllore del ST33G, che archivia entrambi:
- un profilo di telecomunicazione mobile Pj abilitato per fornire servizi autenticazione e credenziale di telecomunicazione per gestire tale autenticazione;
- un profilo di applicazione PSi che contiene applicazioni di pagamento dello embedded Secure Element (ad es. applet di pagamento Visa, Mastercard) e credenziali per gestire le applicazioni di pagamento.
Il profilo di telecomunicazione mobile Pj e il profilo di applicazione PSi sono archiviati isolati l’uno rispetto all’altro nel singolo dispositivo resistente alla manomissione 21 e può essere presente una stessa applicazione in entrambi i profili, come l’applicazione ARA-M menzionata in precedenza.
Il processore di applicazione e in banda base 12, 13 del dispositivo 20 sono interfacciati attraverso rispettive interfacce SPI e ISO 17, 18 allo stesso modo descritto facendo riferimento a figura 1.
La visibilità del profilo Pj o PSi tramite il dispositivo elettronico 10, ad es. a quale profilo e applet relative è permesso l’accesso dal dispositivo elettronico, specificatamente tramite i suoi processori 12, 13, nella soluzione qui descritta, si basa su quale interfaccia fisica è utilizzata da tale dispositivo 10 o processore 12, 13. Più specificatamente, successivamente il singolo dispositivo resistente alla manomissione 21 riceve comandi sull’interfaccia SPI 17, il profilo del Secure Element PSi è reso accessibile. Quando tali comandi sono ricevuti sull’interfaccia ISO 18, il profilo eUICC Pj è reso accessibile.
Il singolo dispositivo resistente alla manomissione 21 è configurato per avere due diverse istanze dei componenti pertinenti, quali applicazioni e credenziali per eseguire la gestione del profilo, noti nella gestione del profilo di telecomunicazione come ISD-R e eCASD, e registri a seconda dell’interfaccia hardware 17 o 18 utilizzata dall’attuale comando.
L’interfaccia SWP 29 al Controllore NFC 16 si può assegnare o al profilo di elemento Sicuro PSi o al profilo eUICC Pj a seconda della configurazione del dispositivo, ad es. quale interfaccia fisica subisce l’accesso. In forme di attuazione variabili del dispositivo 21 si possono utilizzare altre architetture. Nella forma di attuazione preferita l’interfaccia SWP si può accoppiare al profilo nell’elemento eSE. In forme di attuazione variabili, l’interfaccia SWP può non essere presente. In ulteriori forme di attuazione variabili l’interfaccia SWP si può accoppiare al profilo eUicc. In ulteriori forme di attuazione variabili si possono fornire due pin SWP uno accoppiato al eSe e l’altro all’eUICC. In ulteriori forme di attuazione variabili, si può fornire un SWP ad entrambi gli elementi eSe e eUICC, utilizzando un protocollo di livello superiore (HCI) per distinguere tra l’uno e l’altro (HCI ha un’indicazione “Host” così in questa architettura sarebbero presenti due host)
Più in particolare, la disponibilità delle applicazioni nei profili Pj o SPi dipende dall’interfaccia fisica 17 o 18 che viene utilizzata e dal profilo attualmente attivo o nell’elemento sicuro o nell’eUICC.
Un registro di applicazione è fornito nel singolo dispositivo resistente alla manomissione 21 configurato per archiviare informazioni riguardanti il profilo a cui appartiene l’applicazione invocata dai comandi trasmessi su una delle interfacce 17, 18.
Ciascuna applicazione può essere visibile su profili distinti Pi, SPj con lo stesso AID (Application Identifier, o Identificatore di Applicazione), ma ciascun profilo possiede un’istanza diversa dell’applicazione (garantendo di conseguenza la separazione dei dati).
Un registro di profilo è mantenuto nel dispositivo 21. Al fine di consentire la gestione del profilo sull’eUICC 15 e sullo embedded Secure Element 14, sono gestiti due distinti e rispettivi ISD-R, cosiddetti “Profilo 0”. Nel registro di profilo è archiviato un elenco di profili disponibili che comprende un profilo di telecomunicazione attivo Pj, un profilo eSE attivo PSi e vari profili disattivati, o profili eUICC o eSE.
Come menzionato il profilo che è visibile, cioè reso accessibile, al dispositivo elettronico 10 dipende dall’interfaccia fisica che subisce l’accesso da tale dispositivo 10. In particolare quando si riceve un comando C APDU (Application Program Data Unit o Unità di Dati di Programma di Applicazione) sull’interfaccia ISO 7816 18, un ISD-R di telecomunicazione, o “Profilo 0” P0 di telecomunicazione più il profilo attivo Pj diventa visibile.
Quando si riceve un comando C APDU sull’interfaccia SPI (eSE), un eSE ISD-R “Profilo 0” PS0 più il profilo attivo Sj diventa visibile.
Poiché una stessa applicazione, quale l’ARA-M, può essere presente in entrambi i profili, la piattaforma 21 è configurata per eseguire un’esecuzione simultanea di un’applicazione in esecuzione in due Profili. Tale esecuzione simultanea si basa su un multi-tasking cooperativo eseguito secondo specifiche ben note (Ambiente del Tempo di Esecuzione di Java Card o Java Card Runtime Environment).
I comandi C APDU di conseguenza si possono ricevere simultaneamente sulle interfacce fisiche disponibili. Il dispositivo 21 è configurato per comprendere un singolo modulo di runtime che elabora sequenzialmente i processi APDU. È fornito un Router di Profilo PR che implementa l’arbitraggio richiesto per rendere sequenziali APDU simultaneamente ricevuti ed istruisce il modulo Runtime di elaborarli secondo tale procedura multi-tasking cooperativa.
In figura 4 è mostrato un diagramma di strati che rappresenta la configurazione della piattaforma 21.
Il livello hardware HL è quindi fornito nel dispositivo elettronico 10 il dispositivo resistente alla manomissione 21, nell’esempio un microcontrollore sicuro ST33G1M2.
La struttura dello strato logico è sostanzialmente la stessa di un eUICC, ad es. un livello di sistema operativo, OL, è fornito sopra lo strato hardware HL, la piattaforma del Sistema di Java Card JCS, e il livello API APL, in particolare la Piattaforma Globale GP. Il sistema operativo di telecomunicazione TO in uno strato OAL è fornito sullo strato API APL. Sopra a quello dello strato di profilo PL.
La differenza è che è prima fornito uno strato di interfaccia logica IL corrispondente a quello dell’interfaccia SPI 14 ed interfaccia ISO 15 tra lo strato hardware HL e lo strato del sistema operativo OL, sopra tale strato logico di interfaccia IL essendo anche fornito uno strato di instradamento logico RL che è incorporato da un router di profilo PR, cioè la piattaforma 21 è configurata per implementare, preferibilmente tramite software, una funzione di instradamento che, sulla base di quale interfaccia 17, 18 sono inviati i comandi APDU interagisce con un livello di dominio sicuro SDL, ad es. il livello del ISD-R per i domini di sicurezza dell’eUICC ed eSE, seleziona l’UICC ISD-R P0 o l’eSE ISD-R PS0, ad es. il profilo di applicazione nel dominio sicuro eUICC o il profilo di applicazione nel dominio sicuro eSe.
In questo modo si implementa la visibilità o del profilo di telecomunicazione Pj attivo o del profilo di applicazione Psi attivo.
Come si può ricavare da figura 4 gli strati si possono considerare come corrispondenti alla struttura di strato dell’eUICC 15 con l’aggiunta di profili di applicazione PSi ed un meccanismo di selezione incorporato dal router di profilo PR funzionante sul ISD-R, uno dei quali è già presente e l’altro aggiunto per i profili eSe.
Il meccanismo di selezione del router di profilo PR sfrutta il fatto che la piattaforma 21 è configurata con una memoria separata a livello di hardware per evitare la possibilità di accedere alla memoria da un profilo all’altro.
Il dispositivo 21 comprende aree di memoria che si possono dividere, in una maniera di per sé nota all’esperto della tecnica in una pluralità di porzioni di memoria assegnate ai profili di applicazione PSi e profili di telecomunicazione SPj, tale memoria essendo abilitata sotto il controllo del router di profilo PR, che è configurato per abilitare ciascun comando APDU di area tramite il comando APDU. Ad esempio quando si riceve un comando C APDU sull’interfaccia SPI 17, le aree di memoria corrispondenti al profilo di applicazione PSi e ISD-R di applicazione PS0 sono abilitate, mentre le aree di memoria dei profili di telecomunicazione Pj e del ISD_R di telecomunicazione P0 sono disabilitate.
Tale fase di selezione, sulla base di quali comandi C APDU di interfaccia fisica 17, 18 sono ricevuti, the dominio di sicurezza P0, PS0 a cui è abilitata l’accessibilità abilitando l’accesso alla corrispondente area di memoria si può eseguire tramite una diversa procedura o meccanismi funzionanti sugli indirizzi di memoria.
A titolo di esempio, una prima procedura per implementare tale fase di selezione del dominio di sicurezza P0, PS0 a cui è abilitata l’accessibilità, che accede ad un’area di memoria separata o divisa può sfruttare una MMU (Unità di Gestione di Memoria o Memory Management Unit). La MMU funziona come segue: il sistema operativo funziona in due stati, una modalità utente ed una modalità superutente. Nella modalità utente, gli indirizzi fisici non sono utilizzabili ma ogni accesso è eseguito per mezzo di “indirizzi virtuali”. Una tabella di consultazione è inizialmente riempita in modalità superutente con indicazioni di mappatura, mappando indirizzi virtuali su indirizzi fisici ad es. “segmento 1 di indiririzzo virtuale- ad es. i dati dell’applicazione USIM)- è mappato sull’indirizzo fisico 0x20003000". Quindi tramite tale tabella di consultazione si possono eseguire diverse mappature della memoria. Di conseguenza, basandosi sull’interfaccia su cui è inviato il comando, la MMU può selezionare una prima mappatura, ad es. corrispondente all’interfaccia SPI, con indirizzi in una data area di memoria, l’area con il ISD-R SP0 e i profili di applicazione PSi, o una seconda mappatura, ad es. corrispondente all’interfaccia ISO, con indirizzi in un’ulteriore data area di memoria, l’area con il ISD-R P0 e i profili di telecomunicazione Pj. Queste due mappature sono tali che le due aree di memoria sono separate l’una rispetto all’altra. In ulteriori forme di attuazione la MPU (Unità di Protezione di Memoria o Memory Protection Unit) si può sfruttare in un modo simile. Con questo approccio vi sono sempre due stati (superutente e utente), lo stato superutente configura la MPU indicando “accesso consentito dall’indirizzo 0x20003000 all’indirizzo 0x20004000” prima di commutare ad “utente”. Successivamente il sistema operativo di telecomunicazione in modalità utente accede direttamente alla memoria ma se esso certa di accedere all’esterno delle aree consentite viene lanciata un’eccezione. La differenza principale tra la procedura MPU e la procedura MMU è che con la MPU il sistema operativo funziona con indirizzi fisici mentre con la MMU esso funziona con indirizzi virtuali. Entrambe le procedure tuttavia sulla base dell’interfaccia a cui hanno accesso, selezionano una diversa mappatura di memoria.
Tale abilitazione/disabilitazione di hardware facilita la valutazione della separazione e qualsiasi potenziale certificazione.
Un ulteriore aspetto del dispositivo elettronico con un singolo dispositivo resistente alla manomissione qui descritto riguarda la possibilità di aggiungere alle applicazioni della Java Card anche estensioni native che si applicano solo ad uno specifico profilo.
Il singolo dispositivo resistente alla manomissione 21 è configurato per comprendere un distinto elenco di punti di ingresso del sistema operativo per ben note funzionalità native (ad es. algoritmi crittografici) che è gestito per profilo.
Una stessa funzione nativa del sistema operativo può avere implementazioni distinte su base per profilo.
Le estensioni native si possono attivare/disattivare così come le pezze o patch del sistema operativo.
Poiché il dominio dello embedded Secure Element è gestito in modo diverso rispetto all’eUICC i due ISD-R P0, PS0, anno credenziali diverse, una relativa ad esempio al GSMA, al fine di funzionare con la MNO, ed una relativa all’OEM. Quindi, al livello ISD-R sono forniti un ISD-R separato ed una eCASD separato (Dominio di Sicurezza di Autorità di Certificato eUICC o eUICC Certificate Authority Security Domain).
Avendo fornito un ISD-R separato ed un eCASD separato è possibile eseguire la gestione del profilo anche per i profili di applicazione SPj. Ciò non è solitamente richiesto per gli elementi Sicuri embedded, tuttavia la doppia struttura ISD-R consente l’aggiunta di tale funzionalità allo embedded Secure Element, ad es. in forme di attuazione variabili il singolo dispositivo resistente alla manomissione 21 è configurato anche per scaricare/aggiornare il profilo di applicazione (eSE) PSi.
Quindi la soluzione descritta fornisce un dispositivo elettronico comprendente un singolo controllore con integrazione di eSE / eUICC, dove i rispettivi domini sono fortemente separati, ma con una forte separazione tra i due domini. La completa separazione della memoria/registro impedisce la possibilità di avere la stessa applicazione in due profili.
Di conseguenza riassumendo, è sostanzialmente descritto un dispositivo resistente alla manomissione 21 implementante una embedded Universal Integrated Circuit Card 15 comprendente almeno un dominio di sicurezza, che corrisponde al dominio contrassegnato dal ISD-R P0, in cui è archiviato almeno un profilo di telecomunicazione Pj, sebbene in generale è archiviata una pluralità di profili di telecomunicazione. Il dispositivo 21 comprende un’interfaccia fisica ISO 18 configurata per consentire l’accesso dal processore di applicazione 13 configurato per funzionare con almeno una rete di telecomunicazioni mobili a detto almeno un profilo di telecomunicazione Pj, il dispositivo resistente alla manomissione 21 comprendendo anche un ulteriore dominio di sicurezza PS0 che archivia almeno un profilo di applicazione PSi. Tuttavia, invece di accedere a tale profilo di applicazione PSi attraverso la stessa interfaccia, il dispositivo resistente alla manomissione 21 comprende un’ulteriore interfaccia fisica 17 configurata per consentire l’accesso dal processore di applicazione 12 a tale profilo di applicazione PSi) archiviato in detto ulteriore dominio di sicurezza PS0. Il dispositivo resistente alla manomissione 21 è configurato per permettere l’accessibilità all’almeno un profilo di applicazione PSi se si ricevono corrispondenti comandi C, ad es. gli APDU, in segnali scambiati sulla prima interfaccia 17, in particolare SPI, e per permettere l’accessibilità al profilo di telecomunicazione Pj se si ricevono corrispondenti comandi C in segnali scambiati sulla seconda interfaccia 18, in particolare ISO.
L’instradamento del profilo, ad es. che rende accessibile un dominio di sicurezza corrispondente ad un certo ISD-R o all’altro data l’interfaccia fisica che subisce l’accesso è ottenuto tramite una configurazione, cioè programmazione dedicata, del sistema operativo, ad es. il Sistema di Carta Java. Più in particolare il dispositivo 21 inizia con due ISD-R, P0, SP0, e “zero” profili; successivamente, ogni profilo caricato dal ISD-R di telecomunicazione verrà considerato profilo di telecomunicazione Pj, e lo stesso è effettuato per profili caricati dal ISD-R eSE che sono considerati profili di applicazione PSi. L’instradamento del profilo rende accessibile un dominio di sicurezza corrispondente ad un certo ISD-R o all’altro data l’interfaccia fisica che subisce l’accesso permettendo l’accesso all’area di memoria isolata della piattaforma 21 dove è archiviato il pertinente dominio di sicurezza, mentre l’altro accesso all’area di memoria è disabilitato.
La soluzione di conseguenza è diretta anche ad un procedimento per accedere a profili in un dispositivo resistente alla manomissione 21 implementante una embedded Universal Integrated Circuit Card 15 secondo una delle forme di attuazione descritte, che comprende le operazioni di:
fornire un’interfaccia fisica 18 configurata per consentire l’accesso da un processore 13 configurato per funzionare con almeno una rete di telecomunicazioni mobili a detto almeno un profilo di telecomunicazione Pj,
fornire un’ulteriore interfaccia fisica 17 configurata per consentire l’accesso da un processore di applicazione 12 ad almeno un profilo di applicazione PSi archiviato in un ulteriore dominio di sicurezza PS0 in detto dispositivo resistente alla manomissione 21,
permettere l’accessibilità all’almeno un profilo di applicazione PSi se si ricevono corrispondenti comandi C in segnali scambiati sulla prima interfaccia 17 e permettere l’accessibilità al profilo di telecomunicazione Pj se si ricevono corrispondenti comandi C in segnali scambiati sulla seconda interfaccia 18.
Le operazioni del procedimento possono comprendere la definizione di una funzione di instradamento nel sistema operativo, in particolare nel Sistema di Carta Java, per eseguire detta operazione di permettere l’accessibilità all’almeno un profilo di applicazione PSi se si ricevono corrispondenti comandi C in segnali scambiati sulla prima interfaccia 17 e permettere l’accessibilità al profilo di telecomunicazione Pj se si ricevono corrispondenti comandi C in segnali scambiati sulla seconda interfaccia 18.
Le operazioni del procedimento possono comprendere anche fornire un ISD-R e eCASD separate per ciascuno dei domini di sicurezza.
Naturalmente, senza pregiudizio per il principio dell’invenzione, i dettagli di costruzione e le forme di realizzazione possono variare notevolmente rispetto a ciò che è stato qui descritto ed illustrato puramente a titolo di esempio, senza così discostarsi dall’ambito della presente invenzione, come definito dalle derivanti rivendicazioni.
Un altro tipo di dispositivo sicuro potrebbe essere integrato al posto dell’eSE e dell’eUICC, ad esempio il dispositivo descritto può utilizzare un modulo di Piattaforma Affidabile o Trusted Platform module (TPM) come definito dal TCG (Gruppo di Calcolo Affidabile o Trusted Computing Group) al posto dello embedded Secure Element.
La soluzione qui descritta è diretta in generale ad un dispositivo elettronico, quale uno smartphone o un tablet, comprendente un processore di applicazione ed un processore in banda base. Come indicato una prima interfaccia configurata per scambiare segnali tra tale processore di applicazione ed un dispositivo resistente alla manomissione, ad es. un’eSE o TPM, comprendente almeno un profilo di applicazione, può essere incorporato tramite un’interfaccia SPI, ma altre interfacce si possono possibilmente impiegare per accedere alla piattaforma, ad es. I<2>C.

Claims (15)

  1. RIVENDICAZIONI 1. Dispositivo resistente alla manomissione (11; 21) implementante una embedded Universal Integrated Circuit Card (15) comprendente almeno un dominio di sicurezza (P0) in cui è archiviato almeno un profilo di telecomunicazione (Pj), detto dispositivo (21) comprendendo un’interfaccia fisica (18) configurata per consentire l’accesso da un processore (13) configurato per funzionare con almeno una rete di telecomunicazioni mobili a detto almeno un profilo di telecomunicazione (Pj), caratterizzato dal fatto che detto dispositivo resistente alla manomissione (21) comprende un ulteriore dominio di sicurezza (PS0) che archivia almeno un profilo di applicazione (Si; PSi), detto dispositivo resistente alla manomissione (21) comprende un’ulteriore interfaccia fisica (17) configurata per consentire l’accesso da un processore di applicazione (12) a detto almeno un profilo di applicazione (Si; PSi) immagazzinato in detto ulteriore dominio di sicurezza (PS0), detto singolo dispositivo resistente alla manomissione (21) essendo configurato per permettere l’accessibilità all’almeno un profilo di applicazione (PSi) se si ricevono corrispondenti comandi (C) in segnali scambiati sulla prima interfaccia (17) e per permettere l’accessibilità al profilo di telecomunicazione (Pj) se si ricevono corrispondenti comandi (C) in segnali scambiati sulla seconda interfaccia (18).
  2. 2. Dispositivo secondo la rivendicazione 1, caratterizzato dal fatto che detto ulteriore profilo di applicazione corrisponde ad un profilo di applicazione di un embedded Secure Element.
  3. 3. Dispositivo secondo la rivendicazione 1, caratterizzato dal fatto che detto ulteriore profilo di applicazione corrisponde ad un profilo di applicazione di un Trusted Platform Module.
  4. 4. Dispositivo secondo qualsiasi delle rivendicazioni precedenti, caratterizzato dal fatto che detta prima interfaccia (14) è un’interfaccia SPI e detta seconda interfaccia è un’interfaccia ISO.
  5. 5. Dispositivo secondo qualsiasi delle rivendicazioni precedenti, caratterizzato dal fatto che detto profilo di applicazione (PSi) in un ulteriore dominio di sicurezza (PS0) è accoppiato per la comunicazione con un modulo NFC (16).
  6. 6. Dispositivo secondo qualsiasi delle rivendicazioni precedenti, caratterizzato dal fatto che è configurato per eseguire un’operazione di instradamento (PR) che seleziona, sulla base di quale interfaccia fisica (17, 18) sono ricevuti detti comandi (C) APDU, il dominio di sicurezza (P0, PS0) a cui è abilitata l’accessibilità.
  7. 7. Dispositivo secondo la rivendicazione 6, caratterizzato dal fatto che comprende una memoria con aree separate da hardware per archiviare i domini di sicurezza (P0, SP0) e profili di applicazione (PSi) e profili di telecomunicazione (Pj) rispettivamente associati e detta operazione di instradamento (PR) comprende selezionare, sulla base di quale interfaccia fisica (17, 18) sono ricevuti detti comandi (C) APDU il dominio di sicurezza (P0, PS0) a cui è abilitata l’accessibilità permettendo l’accesso alla corrispondente area di memoria.
  8. 8. Dispositivo secondo qualsiasi delle rivendicazioni precedenti, caratterizzato dal fatto che comprende un registro di applicazione configurato per archiviare informazioni indicanti il profilo a cui appartiene un’applicazione.
  9. 9. Dispositivo secondo qualsiasi delle rivendicazioni precedenti, caratterizzato dal fatto che comprende, per i profili di applicazione (PSi) e i profili di telecomunicazione (Pj) rispettive istanze di una Issuer Secure Domain Root (ISD-R) e di un eUICC Controlling Authority Security Domain (eCASD).
  10. 10. Dispositivo secondo la rivendicazione 8, caratterizzato dal fatto che detta operazione di instradamento comprende anche eseguire un arbitraggio richiesto per rendere sequenziali comandi (C) simultaneamente ricevuti.
  11. 11. Dispositivo secondo la rivendicazione 6, caratterizzato dal fatto che comprende un’interfaccia SWP (Protocollo a Cavo Singolo) (29a, 29b) configurata per interfacciarsi con il Controllore NFC (16) o il profilo di applicazione (Psi) o il profilo di telecomunicazione (Pj) a seconda di quale interfaccia fisica (17, 18) riceve detti comandi (C).
  12. 12. Dispositivo elettronico (10) comprendente un processore di applicazione (12) ed un processore in banda base (13) configurati per funzionare con almeno una rete di telecomunicazioni mobili, detto dispositivo (10) comprendendo un dispositivo resistente alla manomissione (11; 21) secondo qualsiasi delle rivendicazioni 1 a 11.
  13. 13. Procedimento per accedere a profili in un dispositivo resistente alla manomissione (11; 21) implementante una embedded Universal Integrated Circuit Card (15) secondo qualsiasi delle rivendicazioni 1 a 11, comprendente fornire un’interfaccia fisica (18) configurata per consentire l’accesso da un processore (13) configurato per funzionare con almeno una rete di telecomunicazioni mobili a detto almeno un profilo di telecomunicazione (Pj), fornire un’ulteriore interfaccia fisica (17) configurata per consentire l’accesso da un processore di applicazione (12) ad almeno un profilo di applicazione (Si; PSi) archiviato in un ulteriore dominio di sicurezza (PS0) in detto dispositivo resistente alla manomissione (21), permettere l’accessibilità all’almeno un profilo di applicazione (PSi) se si ricevono corrispondenti comandi (C) in segnali scambiati sulla prima interfaccia (17) e permettere l’accessibilità al profilo di telecomunicazione (Pj) se si ricevono corrispondenti comandi (C) in segnali scambiati sulla seconda interfaccia (18).
  14. 14. Procedimento secondo la rivendicazione 12 comprendente la definizione di una funzione di instradamento nel sistema operativo (AOL) da eseguire per permettere l’accessibilità all’almeno un profilo di applicazione (PSi) se si ricevono corrispondenti comandi (C) in segnali scambiati sulla prima interfaccia (17) e permettere l’accessibilità al profilo di telecomunicazione (Pj) se si ricevono corrispondenti comandi (C) in segnali scambiati sulla seconda interfaccia (18) e fornire un ISD-R e eCASD separati per ciascuno dei domini di sicurezza.
  15. 15. Prodotto informatico che si può caricare nella memoria di almeno un processore e che comprende porzioni di codice software per implementare il procedimento secondo la rivendicazione 13 o 14.
IT102018000009917A 2018-10-30 2018-10-30 Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico IT201800009917A1 (it)

Priority Applications (5)

Application Number Priority Date Filing Date Title
IT102018000009917A IT201800009917A1 (it) 2018-10-30 2018-10-30 Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico
EP19203500.4A EP3647975A1 (en) 2018-10-30 2019-10-16 Tamper resistant device implementing an embedded universal integrated circuit card and corresponding electronic device, method and computer program product
US16/655,579 US11582212B2 (en) 2018-10-30 2019-10-17 Tamper resistant device for an integrated circuit card
CN201911038723.XA CN111125795B (zh) 2018-10-30 2019-10-29 用于集成电路卡的防篡改设备
CN201921834579.6U CN210666775U (zh) 2018-10-30 2019-10-29 用于嵌入式通用集成电路卡的防篡改设备和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT102018000009917A IT201800009917A1 (it) 2018-10-30 2018-10-30 Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico

Publications (1)

Publication Number Publication Date
IT201800009917A1 true IT201800009917A1 (it) 2020-04-30

Family

ID=65199528

Family Applications (1)

Application Number Title Priority Date Filing Date
IT102018000009917A IT201800009917A1 (it) 2018-10-30 2018-10-30 Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico

Country Status (4)

Country Link
US (1) US11582212B2 (it)
EP (1) EP3647975A1 (it)
CN (2) CN111125795B (it)
IT (1) IT201800009917A1 (it)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IT201800009917A1 (it) * 2018-10-30 2020-04-30 St Microelectronics Srl Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico
US20220264284A1 (en) * 2021-02-18 2022-08-18 Samsung Electronics Co., Ltd. Method and apparatus for transmitting and processing profile management message for multiple enabled profiles between terminal and universal integrated circuit card
DE102021001158A1 (de) * 2021-03-04 2022-09-08 Giesecke+Devrient Mobile Security Gmbh Teilnehmeridentitätsmodul mit oder eingerichtet für Applikation
EP4192060A1 (en) * 2021-12-01 2023-06-07 Giesecke+Devrient Mobile Security GmbH Management of subscriber profiles on an euicc

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160088464A1 (en) * 2014-09-24 2016-03-24 Oracle International Corporation Managing Selection and Triggering of Applications on a Card Computing Device
US20170295158A1 (en) * 2014-05-01 2017-10-12 At&T Intellectual Property I, L.P. Apparatus and Method for Managing Security Domains for a Universal Integrated Circuit Card

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0816319D0 (en) * 2008-09-05 2008-10-15 Palmer Charles G Network communication
WO2012080181A2 (en) * 2010-12-15 2012-06-21 Stmicroelectronics (Rousset) Sas Method and device for managing information exchange between a main element, for example a nfc controller, and a set of at least two auxiliary elements
WO2012111018A1 (en) * 2011-02-17 2012-08-23 Thozhuvanoor Vellat Lakshmi Secure tamper proof usb device and the computer implemented method of its operation
US20120238206A1 (en) * 2011-03-14 2012-09-20 Research In Motion Limited Communications device providing near field communication (nfc) secure element disabling features related methods
US8418230B1 (en) * 2012-08-28 2013-04-09 Netcomm Wireless Limited Apparatus and method for mobile communications and computing
US9807206B2 (en) * 2013-03-07 2017-10-31 Apple Inc. Aggregating physical network interfaces for peer-to-peer connections
US9510186B2 (en) * 2014-04-04 2016-11-29 Apple Inc. Tamper prevention for electronic subscriber identity module (eSIM) type parameters
US9432067B2 (en) * 2014-05-30 2016-08-30 Apple Inc. Supporting SIM toolkit applications in embedded UICCs
US10075841B2 (en) * 2014-09-17 2018-09-11 Simless, Inc. Apparatuses, methods and systems for implementing a trusted subscription management platform
KR102329258B1 (ko) * 2014-10-28 2021-11-19 삼성전자주식회사 보안 모듈을 이용한 결제 방법 및 장치
US20200236533A1 (en) * 2015-05-16 2020-07-23 Simless, Inc. Apparatuses, methods and systems for virtualizing a reprogrammable universal integrated circuit chip
WO2017054172A1 (zh) * 2015-09-30 2017-04-06 华为技术有限公司 一种Profile切换的方法及终端
WO2017082966A1 (en) * 2015-11-09 2017-05-18 Intel IP Corporation Integrated universal integrated circuit card on mobile computing environments
US10516540B2 (en) * 2016-01-28 2019-12-24 Apple Inc. Management of profiles in an embedded universal integrated circuit card (eUICC)
CN106658474B (zh) * 2016-10-31 2019-11-19 上海路随通信科技有限公司 利用嵌入式安全元件实现sim卡数据安全防护方法
WO2018226214A1 (en) * 2017-06-06 2018-12-13 Giesecke & Devrient Mobile Security America, Inc. Method and apparatus for operating a connected device using a secure element device
US10769279B2 (en) * 2017-08-24 2020-09-08 Apple Inc. Secure element operating system update notification
US11595813B2 (en) * 2018-01-15 2023-02-28 Telefonaktiebolaget Lm Ericsson (Publ) Profile handling of a communications device
IT201800009917A1 (it) * 2018-10-30 2020-04-30 St Microelectronics Srl Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico
FR3087988B1 (fr) * 2018-10-30 2022-01-28 Idemia France Gestion de profils d'abonne simultanement actifs dans une carte euicc en utilisant plusieurs liaisons distinctes

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170295158A1 (en) * 2014-05-01 2017-10-12 At&T Intellectual Property I, L.P. Apparatus and Method for Managing Security Domains for a Universal Integrated Circuit Card
US20160088464A1 (en) * 2014-09-24 2016-03-24 Oracle International Corporation Managing Selection and Triggering of Applications on a Card Computing Device

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
GLOBALPLATFORM INC.: "GlobalPlatform Card Specification Version 2.2.1", 31 January 2011 (2011-01-31), XP055294367, Retrieved from the Internet <URL:http://www.globalplatform.org/specificationdownload.asp?id=7512> [retrieved on 20160809] *
GSMA ET AL: "GSM Association Non-confidential Official Document SGP.02 -Remote Provisioning Architecture for Embedded UICC Technical Specification Remote Provisioning Architecture for Embedded UICC Technical Specification Security Classification: Non-confidential GSM Association Non-confidential Remote Provision", 27 June 2017 (2017-06-27), XP055578321, Retrieved from the Internet <URL:https://www.gsma.com/iot/wp-content/uploads/2016/07/SGP.02_v3.2.pdf> [retrieved on 20190408] *
REMOTE PROVISIONING ARCHITECTURE FOR EMBEDDED UICC, TECHNICAL SPECIFICATION, 17 December 2013 (2013-12-17)

Also Published As

Publication number Publication date
US11582212B2 (en) 2023-02-14
CN111125795B (zh) 2024-03-26
EP3647975A1 (en) 2020-05-06
CN210666775U (zh) 2020-06-02
CN111125795A (zh) 2020-05-08
US20200137034A1 (en) 2020-04-30

Similar Documents

Publication Publication Date Title
IT201800009917A1 (it) Dispositivo resistente alla manomissione implementante una embedded Universal Integrated Circuit Card e corrispondenti dispositivo elettronico, procedimento e prodotto informatico
US9628981B2 (en) Method for changing MNO in embedded SIM on basis of special privilege, and embedded SIM and recording medium therefore
US8301911B2 (en) Key storage administration
US9843674B2 (en) Managing selection and triggering of applications on a card computing device
US9775024B2 (en) Method for changing MNO in embedded SIM on basis of dynamic key generation and embedded SIM and recording medium therefor
US20190045339A1 (en) Systems, methods, and computer program products for interfacing multiple service provider trusted service managers and secure elements
US9910610B2 (en) Protected mode for global platform complaint smart cards
CN105446713B (zh) 安全存储方法及设备
JP5524425B2 (ja) セキュアエレメントへのアプリケーションデータの書き込み
US9875366B2 (en) Microprocessor system with secured runtime environment
CN106415564A (zh) 可信执行环境的动态配置
CN103455349B (zh) 应用程序访问智能卡的方法和装置
WO2017082966A1 (en) Integrated universal integrated circuit card on mobile computing environments
KR20130006257A (ko) 내장 sim에서의 키 관리방법, 및 그를 위한 내장 sim과 기록매체
US20130005402A1 (en) Method for accessing at least one service and corresponding system
CN108469962A (zh) 基于手机盾的移动终端及手机盾管理方法
CN111404706B (zh) 应用下载方法、安全元件、客户端设备及服务管理设备
US10531296B2 (en) Method for loading a subscription into an embedded security element of a mobile terminal
IT201800004293A1 (it) Procedimento di gestione di sistemi operativi multipli in carte a circuito integrato, corrispondente sistema e prodotto informatico
KR102400471B1 (ko) Sdp 기반의 접속 제어 장치 및 방법
CN112464222B (en) Security device, corresponding system, method and computer program product
AU2004250345A1 (en) Method for allocating secured resources in a security module
CN109586901A (zh) 一种密钥更新方法及设备
EP3789902B1 (en) Secure device operating with a secure tamper-resistant platform, corresponding system and computer program product
EP4134858A1 (en) Management of applications on multiple secure elements