JP2008102925A - 分割した電子サービスの提供方法 - Google Patents
分割した電子サービスの提供方法 Download PDFInfo
- Publication number
- JP2008102925A JP2008102925A JP2007262447A JP2007262447A JP2008102925A JP 2008102925 A JP2008102925 A JP 2008102925A JP 2007262447 A JP2007262447 A JP 2007262447A JP 2007262447 A JP2007262447 A JP 2007262447A JP 2008102925 A JP2008102925 A JP 2008102925A
- Authority
- JP
- Japan
- Prior art keywords
- service
- data
- consumer
- request
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
【課題】携帯端末上における電子サービスを分割して実行し最適なサービスを提供する。
【解決手段】プロバイダーは、サービスの分割を保証するセキュリティドメイン、電子サービスの処理を介して前記サービスがアクセスできるデータゾーンを設定することにより、複数のコンシューマーに対してサービスを提供する。セキュリティドメインのデータゾーンはデータアクセスキーによってのみアクセス可能である。セキュリティドメインにおいて、データゾーンを複数のサブゾーンに索引付きで分類することにより、要求の送信者である顧客に関連する所定サブゾーンだけの読み取り/書き込み/修正を可能にすることを保証する。
【選択図】図3
【解決手段】プロバイダーは、サービスの分割を保証するセキュリティドメイン、電子サービスの処理を介して前記サービスがアクセスできるデータゾーンを設定することにより、複数のコンシューマーに対してサービスを提供する。セキュリティドメインのデータゾーンはデータアクセスキーによってのみアクセス可能である。セキュリティドメインにおいて、データゾーンを複数のサブゾーンに索引付きで分類することにより、要求の送信者である顧客に関連する所定サブゾーンだけの読み取り/書き込み/修正を可能にすることを保証する。
【選択図】図3
Description
本発明の課題は、電子サービスを分割して提供する方法である。
本発明の分野は携帯端末の分野であり、具体的にはこれらの携帯端末を介して提供されるサービスの分野である。「携帯端末」という用語は、第二世代又は第二世代より優れた携帯電話を意味するものとする。拡大解釈すると、携帯端末とは、ネットワークを介して通信でき、補助なしに人が持ち運べるあらゆるデバイスを意味する。従って、この範疇には、少なくとも携帯電話、パーソナルデジタルアシスタント及びラップトップが含まれる。
本発明の分野は携帯端末の分野であり、具体的にはこれらの携帯端末を介して提供されるサービスの分野である。「携帯端末」という用語は、第二世代又は第二世代より優れた携帯電話を意味するものとする。拡大解釈すると、携帯端末とは、ネットワークを介して通信でき、補助なしに人が持ち運べるあらゆるデバイスを意味する。従って、この範疇には、少なくとも携帯電話、パーソナルデジタルアシスタント及びラップトップが含まれる。
本発明の目的は、携帯端末の資源を節約しながら携帯電話にサービスを提供すること(即ち、サービスを使用可能にすること)である。
本発明の別の目的は、任意の端末において、前記端末の資源を節約しながら、このサービスを提供すること、又はこのサービスを複数のコンシューマーに使用可能にすることである。
本発明の別の目的は、サービスの提供を確実にすることにある。
本発明の別の目的は、任意の端末において、前記端末の資源を節約しながら、このサービスを提供すること、又はこのサービスを複数のコンシューマーに使用可能にすることである。
本発明の別の目的は、サービスの提供を確実にすることにある。
従来技術には、携帯電話技術用のサービス以外のサービスを携帯電話に提案することを可能にする、周知の携帯電話技術ソフトウエアプラットフォームがある。
従来技術による解決法の1つは、電話機に埋め込まれたチップにサービスを装着することである。この場合、サービスは、サービスのプロバイダー及びコンシューマーに専用である。サービスを増加しなければならない場合、電話機内部のチップ、即ちコネクタも増やす必要があり、これはコスト高に直結する。しかしながら、この手法は、すべてが異なるチップ、従って異なる物理的メモリに事実上対応するサービス間の効率的な分割を保証する。しかし、2つ以上のサービスを実施するコストは好ましくない。
従来技術による解決法の1つは、電話機に埋め込まれたチップにサービスを装着することである。この場合、サービスは、サービスのプロバイダー及びコンシューマーに専用である。サービスを増加しなければならない場合、電話機内部のチップ、即ちコネクタも増やす必要があり、これはコスト高に直結する。しかしながら、この手法は、すべてが異なるチップ、従って異なる物理的メモリに事実上対応するサービス間の効率的な分割を保証する。しかし、2つ以上のサービスを実施するコストは好ましくない。
これらの内の別の手法は、セキュリティドメインの概念を応用する純粋なソフトウエアアーキテクチュアである。セキュリティドメインは、携帯電話のオペレーティングシステムのレベル又はオペレーティングシステムのオーバーレイヤーで定義される。このようなオーバーレイヤーは、例えば、ジャバタイプの仮想マシンである。セキュリティドメインは、プログラムゾーンとデータゾーンとに分割された少なくとも一つのメモリゾーンを有している。オペレーティングシステムの又はオーバーレイヤーのメカニズムは、前記セキュリティドメインのプログラムゾーンの命令コードが、前記セキュリティドメインのデータゾーンからのデータだけにアクセスできることを保証する。このようなセキュリティドメインへのアクセスは、一組のキー又は「キーセット」によって更に保護されている。従って、セキュリティドメインに関連するキーが複数個存在する。従って、技術的なドメインが、セキュリティドメインを保護する役割を担うキーセットの考えを導く。これらのキーの各々は、セキュリティドメインの保護の必要性に基づいて、非常に明確な一つの役割又は非常に明確な一つのセキュリティ機能専用である。以下に列挙するセキュリティキー又は機能は完全なものではないが、ドメインの保護のために、考慮されるドメインに適したセキュリティの必要性に応じて、複数のキーを適用することができる。従って、セキュリティドメインのサービスをインスタント化するための一つのキー、これらのサービスをアクティブにするための一つのキー、これらのサービスに対するアクセスを認証するための一つのキー、これらのサービスとの通信を暗号化するための一つのキー、及びセキュリティドメインのパラメータを修正する、即ち、前記ドメインのデータゾーンの内容を修正するための一つのキーが存在する。適正なキー、又は適正なキーへのアクセス手段に関する知識が無いと、所望の動作を開始することができない。
これらのメカニズムは、基本となるオペレーティングシステムが適切な分割を実施することを前提に、異なるセキュリティドメイン間におけるデータの効率的な分割を保証するために用いられる(これがジャバのファイヤウォーリング又はサンドボックスの概念である)。しかしながら、この手法には、少なくとも一つの大きな欠点がある。実際のサービスは、自分のデータの秘密性を重視する顧客に提供される。従って、各顧客は、サービスの各ユーザの携帯電話に別個のセキュリティゾーンをインストールする必要がある。従って、携帯電話を管理するオペレータが二つの異なるコンシューマーに同じセキュリティサービスを提案することを望む場合、ユーザの端末にセキュリティドメインのインストールを二回行ない、各コンシューマー用に一つずつ、合わせて二組のキーを提供しなければならない。これらのインストール回数は、各サービスについて、又はサービスの全てについて、サービスの数及びコンシューマーの数だけ倍増する。この結果、携帯電話が使用できなければならない資源が増加するので、そのコストが増加する及び/又は提供されるサービスの性能が低下する。
これらのメカニズムは、基本となるオペレーティングシステムが適切な分割を実施することを前提に、異なるセキュリティドメイン間におけるデータの効率的な分割を保証するために用いられる(これがジャバのファイヤウォーリング又はサンドボックスの概念である)。しかしながら、この手法には、少なくとも一つの大きな欠点がある。実際のサービスは、自分のデータの秘密性を重視する顧客に提供される。従って、各顧客は、サービスの各ユーザの携帯電話に別個のセキュリティゾーンをインストールする必要がある。従って、携帯電話を管理するオペレータが二つの異なるコンシューマーに同じセキュリティサービスを提案することを望む場合、ユーザの端末にセキュリティドメインのインストールを二回行ない、各コンシューマー用に一つずつ、合わせて二組のキーを提供しなければならない。これらのインストール回数は、各サービスについて、又はサービスの全てについて、サービスの数及びコンシューマーの数だけ倍増する。この結果、携帯電話が使用できなければならない資源が増加するので、そのコストが増加する及び/又は提供されるサービスの性能が低下する。
JavaCardTM及び「グローバルプラットフォーム」、(http://www.globalplatform.org/)の世界でも、セキュリティドメインの概念が提案されているが、同じ限界、即ち、同じ「アプレット」(顧客側のメタ言語のアプリケーション)を異なるデータに対して複数回インスタント化するためにセキュリティドメインを倍増しなければならず、そのために、サービスプロバイダーとサービスのコンシューマーの両者に対し、秘密性及び分割性を保証しなければならない事態に直面している。従来技術では、ジャバスマートカードに関し、モデル−アプリケーションカードからグローバルプラットフォーム型のモデルを持つマルチ−アプリケーションカードへの発展を見たが、本発明は、同じアプリケーションが管理するデータに本来のジャバ分割システムの伝搬を可能にするうえで、ジャバマルチ−アプリケーションスマートカードの概念からジャバマルチ−データマルチ−アプリケーションスマートカードに移行することにより、上述の問題点を解明することを提案する。
本発明の課題は、電子端末上の電子サービスを分割して、サービスの加入者である少なくとも一つのプロバイダーに提供する方法を提案することにより前記問題点を解決することであり、前記プロバイダーは、準備ステップにおいて、サービスの分割を保証するセキュリティドメイン、及び前記サービスが直接的に又は電子サービスの処理を介してアクセスを得ることができるデータゾーンの設定を行うことにより、このサービスを複数のコンシューマーに提案し、このセキュリティドメインのデータゾーンには、データへのアクセスキーを介してのみアクセス可能である。本発明では、セキュリティドメイン内において、サービスが電子端末上でアクセスを得ることができるデータゾーンが画期的な方法でサブゾーンに索引付きで分類されていることにより、複数のコンシューマーの内の一つのコンシューマーからの要求が、直接的に又は電子サービスの処理により、要求を送信しているコンシューマーに関連する所定のサブゾーンだけの読み取り/書き込み/修正を実施できることが保証される。
従って、セキュリティドメインの資源だけを用いて、複数のコンシューマーにサービスを提供する少なくとも一つのサービスプロバイダーに、このサービスが提案される。
従って、セキュリティドメインの資源だけを用いて、複数のコンシューマーにサービスを提供する少なくとも一つのサービスプロバイダーに、このサービスが提案される。
従って、本発明の課題は、電子端末上の電子サービスを分割して、サービスに加入している少なくとも一つのプロバイダーであって、サービスの分割を保証するセキュリティドメインと前記サービスがアクセスできるデータゾーンとを介して複数のコンシューマーにサービスを提案するプロバイダーに提供する方法であり、この場合のセキュリティドメインのデータゾーンにはデータアクセスキーを介してのみアクセスすることができ、
−セキュリティドメインにおいて、サービスが電子端末上でアクセスできるデータゾーンがサブゾーンに索引付き分類されていることにより、複数のコンシューマーの内の一つのコンシューマーによる要求が、要求の送信者である顧客に関連する所定のサブゾーンだけの読み取り/書き込み/修正の実施を可能にすることを保証する。
−セキュリティドメインにおいて、サービスが電子端末上でアクセスできるデータゾーンがサブゾーンに索引付き分類されていることにより、複数のコンシューマーの内の一つのコンシューマーによる要求が、要求の送信者である顧客に関連する所定のサブゾーンだけの読み取り/書き込み/修正の実施を可能にすることを保証する。
本発明による方法の一変形例によれば、索引付き分類は、識別子によって識別されたコンシューマーに関連するデータサブゾーンへのアクセスのアンロックを可能にする少なくとも一つの識別子のサービスに対し、コンシューマーにより提案されるサービス毎に、端末上でローカルに行われる。
本発明による方法の別の変形例によれば、このような識別の後に、サービスが少なくともコンシューマーの識別子から作成できる暗号化キーに基づいて認証が行われる。
本発明による方法の別の変形例によれば、このような識別の後に、サービスが少なくともコンシューマーの識別子から作成できる暗号化キーに基づいて認証が行われる。
本発明による方法の別の変形例によれば、索引付き分類は第三者のデバイスによって行われ、その際、第三者のデバイスは、コンシューマーから要求を受け取ると、
− 要求されたサービスを識別するステップ、
− サービスが要求されている端末を識別するステップ、
− コンシューマーを識別するステップ、及び
− 識別が可能である場合、識別された端末に更新要求を送り、コンシューマーからの要求を考慮するステップ
を実行する。
一変形例では、本発明の方法は、プロバイダーの識別後に認証が行われることも特徴とする。
− 要求されたサービスを識別するステップ、
− サービスが要求されている端末を識別するステップ、
− コンシューマーを識別するステップ、及び
− 識別が可能である場合、識別された端末に更新要求を送り、コンシューマーからの要求を考慮するステップ
を実行する。
一変形例では、本発明の方法は、プロバイダーの識別後に認証が行われることも特徴とする。
一変形例では、本発明の方法は、更新要求がデータアクセスキーを用いて暗号化されることも特徴とする。
一変形例では、本発明の方法は、プロバイダーが、セキュリティドメインのサービス又はオペレーティングシステム、或いは端末のオペレーティングシステムに対する具体的な要求により、異なるコンシューマー及び/又はユーザ間におけるデータの作成、初期化、ロッキング、破壊、同期といった(これらに限定されない)、索引付き分類されたデータゾーンを管理するオペレーションの全てを直接行うことができることも特徴とする。これらの管理オペレーションは、プロバイダーに周知の複数の異なるキー又はキーセットによって保護することができる。
一変形例では、本発明の方法は、プロバイダーが、セキュリティドメインのサービス又はオペレーティングシステム、或いは端末のオペレーティングシステムに対する具体的な要求により、異なるコンシューマー及び/又はユーザ間におけるデータの作成、初期化、ロッキング、破壊、同期といった(これらに限定されない)、索引付き分類されたデータゾーンを管理するオペレーションの全てを直接行うことができることも特徴とする。これらの管理オペレーションは、プロバイダーに周知の複数の異なるキー又はキーセットによって保護することができる。
本発明による方法の一変形例では、データゾーンの索引付き分類は、端末上のゾーンのユーザを識別する情報に基づいて行われる。従って、一又は複数のサービスプロバイダーを持つ一又は複数のコンシューマーについて、同じ端末上で複数のユーザを管理することができる。この変形例では、特に、同じサービスの一又は複数のコンシューマーについて、複数のユーザ間での情報の同期化を可能にする。
後述の説明及び添付図面により、本発明を更に明瞭に説明する。これらの図面は説明を目的とするものであり、本発明の範囲を制限するものではない。
図1は、本発明の方法を実施する携帯端末101を示す。本実施例では、端末101は携帯電話である。実際、この図は、冒頭で引用したデバイスの全てに関する。図1に示すように、電話101は、少なくとも一つのマイクロプロセッサ102、通信用インターフェース回路103、プログラムメモリ104、及び集積回路リーダー105を有している。エレメント102〜105は、バス106により相互に接続している。
本明細書では、一つのアクションが一つのデバイスに起因する時、このアクションは、前記デバイスのプログラムメモリの命令コードによって制御される前記デバイスのマイクロプロセッサによって実際に行われる。アクションがプログラムに起因する時、このアクションは、プログラムメモリの一つのゾーンの命令コードの全て又は一部の実行に対応しており、前記ゾーンは、プログラムが記録されているプログラムメモリが属するデバイスの、マイクロプロセッサによる、プログラムに対応している。
本明細書では、一つのアクションが一つのデバイスに起因する時、このアクションは、前記デバイスのプログラムメモリの命令コードによって制御される前記デバイスのマイクロプロセッサによって実際に行われる。アクションがプログラムに起因する時、このアクションは、プログラムメモリの一つのゾーンの命令コードの全て又は一部の実行に対応しており、前記ゾーンは、プログラムが記録されているプログラムメモリが属するデバイスの、マイクロプロセッサによる、プログラムに対応している。
本明細書において、用語「サービス」は、オペレータによってプロバイダーに提供されるサービスの提示に対応するプログラムを意味する。
従って、例えば、携帯電話のオペレータは、サービスプロバイダーに対し、顧客ロイヤリティポイントの計上サービスを販売する。このプロバイダーは、サービスのコンシューマーである顧客、例えば、パン屋、ディスク又は任意の商品の提供者を有している。これらの顧客は、顧客ロイヤリティポイントの計上サービスのコンシューマーである。このサービスの顧客は、最終顧客、即ち、一般市民に電子ロイヤリティカードを提案できる。従って、一つの端末で、同じサービス/プログラムを、複数の顧客のために、この場合複数の商店のために、使用することができる。
従って、例えば、携帯電話のオペレータは、サービスプロバイダーに対し、顧客ロイヤリティポイントの計上サービスを販売する。このプロバイダーは、サービスのコンシューマーである顧客、例えば、パン屋、ディスク又は任意の商品の提供者を有している。これらの顧客は、顧客ロイヤリティポイントの計上サービスのコンシューマーである。このサービスの顧客は、最終顧客、即ち、一般市民に電子ロイヤリティカードを提案できる。従って、一つの端末で、同じサービス/プログラムを、複数の顧客のために、この場合複数の商店のために、使用することができる。
上述の実施例に加え、サービスの複数の実施例として、端末間暗号化サービス、相互認証サービス、電子式権利管理サービス、支払いサービス、電子式署名サービス等が挙げられるが、これらに限定されない。
本発明の一変形例では、プロバイダーは電話オペレータ自体と同じである。
本発明の一変形例では、プロバイダーは電話オペレータ自体と同じである。
回路103は、電話101が様々な基準に従って通信すること、中でも携帯電話基準に従って、全ての音声/データモードで通信すること、並びにBlueToothR、Wifiのようなローカル通信基準、及びRFID/NFC基準のような非接触基準として周知の基準に従って通信することを可能にする。
回路105は、電話101がSIM/USIM(加入者識別モジュール/UMTS)カード107とインターフェースすることを可能にする。カード107は、少なくとも一つのマイクロプロセッサ108及びプログラムメモリ109を有している。エレメント105、108及び109は、バス110を経由して相互に接続している。
メモリ109は、オペレーティングシステムに対応する命令コードを持つゾーン111を一般的に有している。オペレーティングシステムは、カード107にインストールされたプログラムがカード107の資源(通信、ファイルシステム等)にアクセスすることを可能にする。従って、カード107にインストールされたプログラムの全ては、オペレーティングシステム111の機能を使用する。
メモリ109は、オペレーティングシステムに対応する命令コードを持つゾーン111を一般的に有している。オペレーティングシステムは、カード107にインストールされたプログラムがカード107の資源(通信、ファイルシステム等)にアクセスすることを可能にする。従って、カード107にインストールされたプログラムの全ては、オペレーティングシステム111の機能を使用する。
図1は、任意の典型的なプログラムに対応し、従ってオペレーティングシステム111に直接接続する命令コードを具備するメモリ109のゾーン112を示す。
本発明は、セキュリティドメインの周知のメカニズムを用いている。このメカニズムは、オペレーティングシステム内における更なる機能の実施を意味する。これらのメカニズムは、実際には仮想マシン、例えばジャバ仮想マシンから成り立っている。図1は、この種の仮想マシン113を示す。原理的には、この仮想マシンは、仮想マシンのために書き込まれたプログラムと仮想マシンがインストールされているオペレーティングシステムとが行うコール間の中間に位置するものである。
本発明は、セキュリティドメインの周知のメカニズムを用いている。このメカニズムは、オペレーティングシステム内における更なる機能の実施を意味する。これらのメカニズムは、実際には仮想マシン、例えばジャバ仮想マシンから成り立っている。図1は、この種の仮想マシン113を示す。原理的には、この仮想マシンは、仮想マシンのために書き込まれたプログラムと仮想マシンがインストールされているオペレーティングシステムとが行うコール間の中間に位置するものである。
実際に、仮想マシンはセキュリティドメインを作成でき、即ち、カードが製造される時にセキュリティドメインを作成することができるか、又はカードが製造される段階の後で動的に作成できる。図1はセキュリティドメインSD1を示す。ドメインSD1はメモリ109内のゾーンである。ドメインSD1は、マシン113が理解できる命令コードに対応し、且つ前記のようなサービスの性能に対応するゾーンS1を有している。
ドメインSD1はデータゾーンも有している。本発明では、このデータゾーンは、サブゾーンD1.1、D1.2〜D1.nに再分割される。セキュリティドメインのメカニズムは、ゾーンS1の命令コードだけがSD1のデータゾーンのデータにアクセスできることを保証する。本発明は、各サブゾーンD1.xを所与の一コンシューマーに関連させることができる。サービスS1を呼び出すコンシューマーに応じて、一つのサブゾーンだけが使用可能になる。各々のサービス、従って、各々のセキュリティドメインは、サービス識別子Sxによって識別される。各コンシューマーは、コンシューマー識別子idCによって識別される。
ドメインSD1はデータゾーンも有している。本発明では、このデータゾーンは、サブゾーンD1.1、D1.2〜D1.nに再分割される。セキュリティドメインのメカニズムは、ゾーンS1の命令コードだけがSD1のデータゾーンのデータにアクセスできることを保証する。本発明は、各サブゾーンD1.xを所与の一コンシューマーに関連させることができる。サービスS1を呼び出すコンシューマーに応じて、一つのサブゾーンだけが使用可能になる。各々のサービス、従って、各々のセキュリティドメインは、サービス識別子Sxによって識別される。各コンシューマーは、コンシューマー識別子idCによって識別される。
このために、マシン113及び/又はゾーンS1は、ゾーンSECに記録された、サービスS1又はサービスSx全体に対する要求の有効性の検証に専用の命令コードを備えている。各セキュリティドメインは固有のゾーンを有する。従って、ゾーンに記録されたコードは、データゾーンの索引付き分類を保証する。
サービスS1が外部と通信していると言う時、それはSIMカード107及び電話101により通信している。
サービスS1が外部と通信していると言う時、それはSIMカード107及び電話101により通信している。
図1は、サービスS1に要求を送りたいと考えるコンシューマーによって使用されるコンシューマーデバイス130を示す。このデバイス130は、マイクロプロセッサ131、識別子メモリ132、キーの暗号化と認証のためのメモリ133、プログラムメモリ134及び通信インターフェース回路135を備えている。デバイス130はまた、サービスを識別するメモリ136及び命令メモリ137とを備え、一変形例では、プロクシーサーバを識別するメモリ138を備えている。
エレメント131〜138は、バス139によって相互に接続している。回路135は、回路103と同じ性質を有し、回路103が実行するスタンダードの内少なくとも一つのスタンダードと適合する。
メモリ134は、少なくともサービスS1に要求を送るための命令コードを備えている。本発明の一変形例では、メモリ134は、サービスS1によって提示される認証チャレンジの読み取りを可能にする命令コードも有している。一変形例では、メモリ134は、対称又は非対称な暗号化機能Fを実施するための命令コードを有している。
エレメント131〜138は、バス139によって相互に接続している。回路135は、回路103と同じ性質を有し、回路103が実行するスタンダードの内少なくとも一つのスタンダードと適合する。
メモリ134は、少なくともサービスS1に要求を送るための命令コードを備えている。本発明の一変形例では、メモリ134は、サービスS1によって提示される認証チャレンジの読み取りを可能にする命令コードも有している。一変形例では、メモリ134は、対称又は非対称な暗号化機能Fを実施するための命令コードを有している。
図2は、セキュリティドメインSD1のデータゾーンの索引付き分類をSIMカード107によってローカルに管理する時の、本発明による方法のステップを示す。
図2及び3で説明するステップを行う前に、オペレータは、カード107にサービスをインストールするステップを行う。このステップでは、オペレータは、図1で説明したメモリ109を構成する。即ち、オペレータは、メモリ109に、ドメインSD1のようなセキュリティドメインを少なくとも一つインストールする。
図2及び3で説明するステップを行う前に、オペレータは、カード107にサービスをインストールするステップを行う。このステップでは、オペレータは、図1で説明したメモリ109を構成する。即ち、オペレータは、メモリ109に、ドメインSD1のようなセキュリティドメインを少なくとも一つインストールする。
図2は、コンシューマーがデバイス130をアクティブにして電話101と相互作用させるステップ21を示す。このようなアクティブ化は、例えば、電話101の所有者が、電話をデバイス130に近づける間に機械的制御インターフェースを介して行われる。この場合、デバイス130と電話101の間の通信は、RFID/NFC型のメカニズム、赤外線又はBluetoothR型のメカニズム、或いは他の任意の近接通信手段を介して、若しくは、移動又は固定のネットワークインフラストラクチャ上で伝送されるデータ通信を介して、非制限的に行われる。
デバイス130は、少なくとも一つのコンシューマーの識別子202、サービスの一つの識別子203、及び一つの命令コード204を含む要求205を生成する。本実施例では、これらの情報は単一の要求により送られる。実際には、それらの情報は、デバイス130と電話101の間で行なわれる要求のやり取りにより送られる。要求205の生成に必要な情報は、メモリ132、136、及び137で読み取られる。これらのメモリは、オペレータ/プロバイダーがデバイス130をコンシューマーに供給する時、オペレータ/プロバイダーによって更新される。フィールド204の内容は、コンシューマーの希望に応じて、デバイス130のパラメータ設定により変更できる。対照的に、フィールド202と203は、メモリ133と同様にプロバイダーの制御下にある。
デバイス130は、少なくとも一つのコンシューマーの識別子202、サービスの一つの識別子203、及び一つの命令コード204を含む要求205を生成する。本実施例では、これらの情報は単一の要求により送られる。実際には、それらの情報は、デバイス130と電話101の間で行なわれる要求のやり取りにより送られる。要求205の生成に必要な情報は、メモリ132、136、及び137で読み取られる。これらのメモリは、オペレータ/プロバイダーがデバイス130をコンシューマーに供給する時、オペレータ/プロバイダーによって更新される。フィールド204の内容は、コンシューマーの希望に応じて、デバイス130のパラメータ設定により変更できる。対照的に、フィールド202と203は、メモリ133と同様にプロバイダーの制御下にある。
生成された後、要求205は電話101に送られる。
ステップ206で、電話101は要求205を受け取り、それをカード107に送る。カード107が要求205の処理を行う。この処理は、少なくとも、フィールド203を読み取って、サービス、従ってセキュリティドメインを識別することから成る。フィールド203によって指定されるサービスが存在する場合、要求205がこのサービスによって処理される。これを、例えばサービスS1と考える。次いでサービスS1が要求205を処理する。要求205によって指定されるサービスが見つからない場合、この要求はごく単純に無視される。サービスS1による要求205の処理は、少なくとも、まずフィールド202を読み取ること、及びゾーンD1.xがこのように指定されたコンシューマーに対応するかどうかを調べるために検索することから成る。このような調査は、実際にはステップ207の間に行われる識別に対応する。サービスがコンシューマーを識別できない場合、オペレーションは終了ステップ208に進み、実質的に要求205を無視することになる。そうでない場合、オペレーションは認証をテストするステップ209に進む。
ステップ206で、電話101は要求205を受け取り、それをカード107に送る。カード107が要求205の処理を行う。この処理は、少なくとも、フィールド203を読み取って、サービス、従ってセキュリティドメインを識別することから成る。フィールド203によって指定されるサービスが存在する場合、要求205がこのサービスによって処理される。これを、例えばサービスS1と考える。次いでサービスS1が要求205を処理する。要求205によって指定されるサービスが見つからない場合、この要求はごく単純に無視される。サービスS1による要求205の処理は、少なくとも、まずフィールド202を読み取ること、及びゾーンD1.xがこのように指定されたコンシューマーに対応するかどうかを調べるために検索することから成る。このような調査は、実際にはステップ207の間に行われる識別に対応する。サービスがコンシューマーを識別できない場合、オペレーションは終了ステップ208に進み、実質的に要求205を無視することになる。そうでない場合、オペレーションは認証をテストするステップ209に進む。
ステップ209は本発明の変形例である。ステップ209では、サービスは、構造によって、サービスのアプリケーションが識別後に認証を必要とするかを見るためにテストを行う。識別後に認証が必要である場合、サービスS1は、コンシューマーの認証を行うステップ210に進む。認証が不要であれば、フィールド204に記された命令コードを実行するステップ211に進む。
ステップ210では、サービスは、一回又は複数回のやり取りにより、暗黙的又は明示的な一方向のコンシューマー認証、或いは双方向のコンシューマー認証を行う。暗黙的な認証とは、暗号を使用したオペレーションの結果として得られる値の受信/送信に基づく認証であり、これによって認証されるべきエンティティによる前記認証の秘密性の保持が確立される。
ステップ210では、サービスは、一回又は複数回のやり取りにより、暗黙的又は明示的な一方向のコンシューマー認証、或いは双方向のコンシューマー認証を行う。暗黙的な認証とは、暗号を使用したオペレーションの結果として得られる値の受信/送信に基づく認証であり、これによって認証されるべきエンティティによる前記認証の秘密性の保持が確立される。
ステップ210の好ましい変形例では、カード109は、ランダム変数を持つチャレンジメッセージ212を生成する。このメッセージ212は、デバイス130によってステップ213で受信される。ステップ213において、デバイス130は、デバイス130に周知の関数F、及びメモリ133のキーを用いてランダム変数を暗号化する。ステップ213の一変形例では、デバイス130は、ランダム変数の値から、及びデバイス130に周知の分散、ハッシング関数又は一方向関数Fから、メモリ133のキーの分散を計算する。メモリ133のキーは、実際には、セキュリティドメインSD1に付随するキーセットのキーKsの所産であるキーKfである。従って、下記の式が得られる。
Kf=Fk(idC,Ks)
ここで、idCはメモリ132の内容である。
セキュリティドメインのインストール時に、カード109がKsを認知する。本発明の変形例によれば、サービスS1がFkとFとを認知する。これらの関数Fkは、メモリ109のセキュリティドメインと同時にインストールされる。最後に、要求205を介して、サービスS1はidCを認知する。
Kf=Fk(idC,Ks)
ここで、idCはメモリ132の内容である。
セキュリティドメインのインストール時に、カード109がKsを認知する。本発明の変形例によれば、サービスS1がFkとFとを認知する。これらの関数Fkは、メモリ109のセキュリティドメインと同時にインストールされる。最後に、要求205を介して、サービスS1はidCを認知する。
ステップ213の終わりに、デバイス130は、F(ランダム変数Kf)を含む応答メッセージ214を送出する。
ステップ215において、サービスS1は、カード107及び電話101を介してメッセージ214を受信する。次いで、サービスS1は、メッセージ214の内容と自らの計算値F(ランダム変数Fk(idC、Ks))を比較する。これらの計算値が等しい場合、サービスS1はステップ221に進む。等しくない場合、終了ステップ216に進み、要求205は無視される。
ステップ215において、サービスS1は、カード107及び電話101を介してメッセージ214を受信する。次いで、サービスS1は、メッセージ214の内容と自らの計算値F(ランダム変数Fk(idC、Ks))を比較する。これらの計算値が等しい場合、サービスS1はステップ221に進む。等しくない場合、終了ステップ216に進み、要求205は無視される。
ステップ211では、サービスS1は、フィールド204に記載された一又は複数の命令を実行する。この実行は、セキュリティドメインのデータゾーンにおける読み取り及び/又は書き込みのオペレーションを意味する。本発明では、サービスS1は、データゾーンのサブゾーンを各コンシューマーの識別子に関連付ける。このような関連付けは、例えば、セキュリティドメインに対応するゾーンSECを介して行われるか、又はサービスS1によって直接行われる。次いで、このゾーンに、コンシューマーの識別子ごとに、読み取り/書き込み/修正が必要なサブゾーンを記述する。このサブゾーン外における読み取り又は書き込みの試みは、仮想マシン側での実行の拒否に繋がる。
本発明の一変形例では、フィールド204を介して受信された命令が、メモリ133のキーKf及び関数Fにより暗号化される。従って、この命令は、コンシューマーが自らを適正に識別し且つ命令を解読するための適切な詳細事項をサービスS1に与える場合にのみ、正しく実行することができる。この種の暗号化メカニズムについて、図3に示す変形例で説明する。
本発明の一変形例では、フィールド204を介して受信された命令が、メモリ133のキーKf及び関数Fにより暗号化される。従って、この命令は、コンシューマーが自らを適正に識別し且つ命令を解読するための適切な詳細事項をサービスS1に与える場合にのみ、正しく実行することができる。この種の暗号化メカニズムについて、図3に示す変形例で説明する。
図3は、セキュリティドメインのサブゾーンの更新/読み取りが、サービスコンシューマーにサービスを提案したプロバイダーのプロクシーサーバにより行われる本発明の変形例を示す。
図1は、この種のプロクシーサーバ161を示す。サーバ161は、インターフェース回路163を介してネットワーク162に接続している。デバイス130は、例えば携帯電話ネットワークの基地局164を経由してネットワーク162に接続できる。このネットワークは、固定ネットワーク又は直接的なインターネットとすることができる。従って、デバイス130とサーバ161は通信できる。
図1は、この種のプロクシーサーバ161を示す。サーバ161は、インターフェース回路163を介してネットワーク162に接続している。デバイス130は、例えば携帯電話ネットワークの基地局164を経由してネットワーク162に接続できる。このネットワークは、固定ネットワーク又は直接的なインターネットとすることができる。従って、デバイス130とサーバ161は通信できる。
サーバ161は、マイクロプロセッサ165、プログラムメモリ166及び構成メモリ167を備えている。
メモリ166は、デバイス130との通信を適用する命令コード、電話101のSIMカード107にインストールされたサービスとの通信を実施する命令コード、対称性暗号化関数Fを適用する命令コード、及び、暗号化キーKfを生成する関数Fkを実施する命令コードを有している。
メモリ166は、デバイス130との通信を適用する命令コード、電話101のSIMカード107にインストールされたサービスとの通信を実施する命令コード、対称性暗号化関数Fを適用する命令コード、及び、暗号化キーKfを生成する関数Fkを実施する命令コードを有している。
本発明の本変形例では、カード109にインストールされたセキュリティドメインのセキュリティゾーンSECは関数Fを認知しており、これを実施することができる。メモリ133は次の値を有する。
Kf=Fk(idC、Ks)
これらの記号の各々は既に説明済みである。
メモリ167はテーブルに実際に対応しており、テーブルの各行は一つのコンシューマーに対応している。従って、各行は、少なくとも一つのコンシューマー識別子フィールド168、一つのサービス識別子フィールド169、及び一つの暗号化キーフィールド170を有する。フィールド170の内容は、実際には、フィールド169によって識別されるサービスが実施されるセキュリティドメインに付随するキーセットの中のキーの一つである。
Kf=Fk(idC、Ks)
これらの記号の各々は既に説明済みである。
メモリ167はテーブルに実際に対応しており、テーブルの各行は一つのコンシューマーに対応している。従って、各行は、少なくとも一つのコンシューマー識別子フィールド168、一つのサービス識別子フィールド169、及び一つの暗号化キーフィールド170を有する。フィールド170の内容は、実際には、フィールド169によって識別されるサービスが実施されるセキュリティドメインに付随するキーセットの中のキーの一つである。
図3は、デバイス120のユーザが、要求302を生成して送ることにより、電話101にインストールされたサービスにアクセスするステップ201を示す。この要求は複数のフィールドを含み、それらには、少なくとも、端末101を識別する一つのフィールド303、コンシューマーを識別する一つのフィールド304、サービスを識別する一つのフィールド305、及びフィールド305の内容によって識別されるサービスが実行されなければならない命令コードを記載する一つのフィールド306が含まれる。この要求302は、生成されると、サーバ161に送られ、サーバ161のデバイス130はフィールド138の内容によりアドレスを認知する。このような送信は、データモード(TCP/IPタイプのプロトコル)又はショートメッセージ(SMS/MMSタイプのプロトコル)により行われる。
ステップ201の場合と同様に、フレーム302について記載された情報がデバイス130によって送られる。しかしながら、この情報は、デバイス130とサーバ161の間の対話中に、複数のフレームで又は前記単一のフレームで送信できる。
ステップ201の場合と同様に、フレーム302について記載された情報がデバイス130によって送られる。しかしながら、この情報は、デバイス130とサーバ161の間の対話中に、複数のフレームで又は前記単一のフレームで送信できる。
好ましい一実施例では、フィールド303の内容は電話101にコールできる電話番号(MSISDN)である。この電話番号は、キーイング−インオペレーション中に又は電話101とデバイス130との対話中に、デバイス130によって取得される。限定しないが、フィールド303の内容は、加入者の任意のネットワーク識別子、携帯電話ネットワークのコンテキストのIMSI又はIMEIメッセージ、並びに加入者のスマートカードのICCIDタイプの識別子又はスマートカードのブート時に電話機が取得するTARフレームとすることができる。この識別子は、IPv6アドレス、イーサーネットアドレス、場合によってはメールアドレス、SIP又はVoIPタイプの識別子、ENUMタイプの識別子、或いは考慮可能な他の何らかの電子式アイデンティティといった、接続オペレータによってユーザを識別する任意の手段に基くものとすることもできる。
ステップ307において、サーバ161はテーブル167を検索する。検索されるのは、要求302を送出したコンシューマーの識別308である。この検索はテーブル167内の一行を検索することであり、この行に含まれるフィールド168及び169はフィールド304及び305に等しい。この種の行Lが見つかると、識別が可となる。行が見つからない場合、識別は不可となり、サーバ161は、要求302を無視するステップ309に進む。
ステップ307において、サーバ161はテーブル167を検索する。検索されるのは、要求302を送出したコンシューマーの識別308である。この検索はテーブル167内の一行を検索することであり、この行に含まれるフィールド168及び169はフィールド304及び305に等しい。この種の行Lが見つかると、識別が可となる。行が見つからない場合、識別は不可となり、サーバ161は、要求302を無視するステップ309に進む。
認証が可である場合、サーバ161は、認証テストステップ310に進む。このステップは、識別に加えて認証が必要かどうか決定することから成る。このステップは随意で行われ、行Lを構成するフィールドにより行われる。例えば、このフィールドが1に等しい場合認証が必要で、1でない場合認証は不要である。
認証が必要な場合、サーバは、デバイス130にチャレンジを提示するステップ311に進む。ステップ311は、前記ステップ210と同一であり、続いて、ステップ213、215及び216と同一のステップ312、313及び324が行われる。しかしながら、この場合、ステップ312、313及び324は、カード107でなくサーバ161によって実施される。
サーバ161によって提示された認証要求が成功すると、サーバは、命令要求315を生成するステップ314に進む。
認証が必要な場合、サーバは、デバイス130にチャレンジを提示するステップ311に進む。ステップ311は、前記ステップ210と同一であり、続いて、ステップ213、215及び216と同一のステップ312、313及び324が行われる。しかしながら、この場合、ステップ312、313及び324は、カード107でなくサーバ161によって実施される。
サーバ161によって提示された認証要求が成功すると、サーバは、命令要求315を生成するステップ314に進む。
好ましい実施例において、命令要求315は、少なくとも、ヘッダー内に、命令要求の宛先となる電話を識別するフィールド316を含む。要求は、使用されるネットワーク識別子の種類に応じて、例えばショートメッセージ又は他の何らかの通信手段を介して送られる。フィールド316は、フィールド303を通してサーバ161が受信する値を含む。
要求315は、ステップ308で見つかった行Lのフィールド169の内容に対応する内容を含むサービス識別子317も有している。
要求315は、ステップ308で見つかった行Lのフィールド169の内容に対応する内容を含むサービス識別子317も有している。
要求315は、行Lのフィールド170のキーKsを用いて、関数Fによって暗号化されるフィールド318も有している。明らかに、フィールド318は、実行すべき命令を記載する少なくとも一つのフィールド319、及び随意で、チェックサム(CRC)タイプのフィールド320を含む。このフィールド320は、フィールド319のチェックサムを有する。
キーKsは、実際にはフィールド169によって識別されるサービスが実行されるセキュリティドメインのキーセットのデータに対するアクセスキーである。
キーKsは、実際にはフィールド169によって識別されるサービスが実行されるセキュリティドメインのキーセットのデータに対するアクセスキーである。
フィールド319を更に複雑にして、一連の命令及び/又は命令用パラメータを含めることができる。フィールド319は、暗黙的に又は明示的に、命令315を生成する要求を送ったコンシューマーの識別子を含む。この識別は、例えば、サービスが実行されるセキュリティドメインのデータゾーンのサブゾーンを決定するために、フィールド317によって識別されたサービスを可能にする識別子である。この識別は、例えば、実行される一又は複数の命令のパラメータに暗黙的に含まれる。これらのパラメータは、更新されるデータ又は読み取られるデータを指定する。サーバ161は、コンシューマーのアイデンティティの知識を使用して、行Lにおいて識別されるコンシューマーに属するサブゾーンにおいてのみ読み取り且つ書き込む命令をフィールド319に生成する。次いでこのサブゾーンの知識は行Lに保存される。一変形例では、このサブゾーンの知識は、セキュリティドメインのゾーンSECに保存される。
命令要求315は、生成された後電話101に送られる。電話101は、それをステップ321で受信し、カード107に送信する。次いでカード107は、フィールド317の内容を用いて要求315を、フィールド317によって識別されるサービスがあればそのサービスに送信する。フィールド317によって識別されるサービスがない場合、要求315は無視される。本実施例では、サービスはサービスS1と見なされる。
命令要求315は、生成された後電話101に送られる。電話101は、それをステップ321で受信し、カード107に送信する。次いでカード107は、フィールド317の内容を用いて要求315を、フィールド317によって識別されるサービスがあればそのサービスに送信する。フィールド317によって識別されるサービスがない場合、要求315は無視される。本実施例では、サービスはサービスS1と見なされる。
ステップ321で、サービスS1は、キーKsを用いてフィールド318を解読する。次に、サービスS1は、解読したフィールド319の内容のチェックサムを計算し、チェックサムオプション(CRC)を実施する場合、このサムの結果を解読したフィールド320の内容と比較する。比較の結果、二つが等しい場合、サービスS1は、解読されたフィールド319の内容によって記載される命令を実行するステップ322に進む。等しくない場合、サービスは要求315を無視する。
従って、この変形例では、データの索引付き分類は第三者のサーバにより保証され、このサーバは、所与のサーバに送る命令によって、コンシューマーの識別及び/又は認証の後に、このコンシューマーが自身に関係するデータにだけアクセスできることを保証する、る。
従って、この変形例では、データの索引付き分類は第三者のサーバにより保証され、このサーバは、所与のサーバに送る命令によって、コンシューマーの識別及び/又は認証の後に、このコンシューマーが自身に関係するデータにだけアクセスできることを保証する、る。
一変形例では、コンシューマーデバイスは、実際には、端末101のプログラムメモリ104にインストールされたアプリケーションである(例えば、DRM及び暗号化ストリーミングストリーム又はマルチメディアデータ交換/共有アプリケーション、或いは、やはりIPタイプのアプリケーション上の電話又はビシオフォニーに関連するデータを管理しなければならないメッセージアプリケーション又は「マルチメディアプレーヤー」型のアプリケーション)。このプログラムは、次いで、電話101のユーザが一又は複数のコンテンツサーバと通信することを可能にするために、暗号化サービス又は権利管理サービスを必要とする場合がある。この場合、アプリケーションはコンシューマーと識別され、暗号化サービス又は権利管理サービスが実行されるセキュリティドメインのデータゾーンのサブゾーンにだけアクセスできる。このような一般的なアプリケーションの場合、一般的なアプリケーションに対し、自らをサービスと識別することを可能にする情報を提供するのはコンテンツサーバである。
本発明では、複数のセキュリティドメイン、従って複数のサービスが、同じSIMカード内に共存できる。従って、単一のセキュリティドメインを介して複数のコンシューマーに同じサービスを提案することができる。複数のセキュリティドメインを介して複数のコンシューマーに複数のサービスを提供することもできる。
本発明では、複数のセキュリティドメイン、従って複数のサービスが、同じSIMカード内に共存できる。従って、単一のセキュリティドメインを介して複数のコンシューマーに同じサービスを提案することができる。複数のセキュリティドメインを介して複数のコンシューマーに複数のサービスを提供することもできる。
本デバイスの一変形例では、本発明の方法は、データゾーンの索引付き分類が、端末上で、ゾーンのユーザを識別する情報から行われる点で画期的である。従って、一又は複数のプロバイダー又はサービスを有する一又は複数のコンシューマーについて、同じ端末41上で複数のユーザを管理することが可能である。この変形例により、特に、同じサービスの一又は複数のコンシューマーについて、複数のユーザ間で情報を同期することができる。
実際には、セキュリティドメインはジャバプラットフォームを介して実施される。この場合、ジャバ仮想マシンが用いられる。サービスに対応するプログラムは、顧客のデバイスで実行されるジャバアプリケーション又は「アプレット」と呼ばれる。
実際には、セキュリティドメインはジャバプラットフォームを介して実施される。この場合、ジャバ仮想マシンが用いられる。サービスに対応するプログラムは、顧客のデバイスで実行されるジャバアプリケーション又は「アプレット」と呼ばれる。
前述のように、セキュリティドメインのデータゾーンの索引付き分類は、サービスによってローカルに又はプロクシーサーバによってリモートで行われる。前述の実施例では、この索引付き分類は、コンシューマーの識別子をメモリゾーンの記載に関連付ける「割当テーブル」400により行われる。このような記載は、例えば、メモリゾーンの開始及び終了アドレスに対応している。本発明の一変形例では、各サブゾーンが同じ大きさと考える。この場合データゾーンはテーブルと見なされ、テーブルの各ボックスはサブゾーンに対応する。この場合、単純な索引により、適正なサブゾーンに対する直接アクセスが可能になる。更に別の変形例は連続的索引付き分類を使用し、この場合各サブゾーンにコンシューマー識別子が保存され、適正なサブゾーンの選定は、適正な識別子が見つかるまでサブゾーンを連続的にスキャンすることにより行なわれる。生成される命令コードは、索引付き分類を考慮する。
本発明では、アプレット及びセキュリティドメインは、SIMカードを提供したオペレータによってインストールされる。これにより、オペレータが、形式にかなう分析の様々な方法により、コードの品質と安定した性質とを保証できる。これはまた、オペレータがセキュリティゾーンのデータゾーンを事前にフォーマットすることを可能にする。
本発明では、アプレット及びセキュリティドメインは、SIMカードを提供したオペレータによってインストールされる。これにより、オペレータが、形式にかなう分析の様々な方法により、コードの品質と安定した性質とを保証できる。これはまた、オペレータがセキュリティゾーンのデータゾーンを事前にフォーマットすることを可能にする。
これらのアプリケーションのメンテナンスのために、本発明の方法は、オペレータ/プロバイダーが、セキュリティドメインのサービス又はオペレーティングシステム、或いは端末のオペレーティングシステムに対する具体的な要求により、索引付きで分類されたデータゾーンを管理する全てのオペレーション、例えば、異なるコンシューマー間及び/又はユーザ間におけるデータの作成、初期化、ロッキング、破壊、同期化を直接行うことを可能にする。これらの管理オペレーションは、プロバイダーに周知の異なるキーによって保護することができる。
オペレータ/プロバイダーは、セキュリティドメインに関連するキーセットの全て又は一部を知っている限りにおいて、リモートでの索引付き分類について記載した場合と同様に、メンテナンスしなければならないサービスによって認識及び実行される命令を作成できる。一変形例では、メンテナンスのために、オペレータ/プロバイダーは、セキュリティドメインがデータゾーン全体の全ての権利を許可するスーパーコンシューマーとして自らを認識/認証する。
オペレータ/プロバイダーは、セキュリティドメインに関連するキーセットの全て又は一部を知っている限りにおいて、リモートでの索引付き分類について記載した場合と同様に、メンテナンスしなければならないサービスによって認識及び実行される命令を作成できる。一変形例では、メンテナンスのために、オペレータ/プロバイダーは、セキュリティドメインがデータゾーン全体の全ての権利を許可するスーパーコンシューマーとして自らを認識/認証する。
Claims (9)
- ユーザの電子端末上の電子サービスを分割して、サービスに加入する少なくとも一つのプロバイダーに提供する方法であって、前記プロバイダーは、準備ステップにおいて、サービスの分割を保証するセキュリティドメイン及び前記サービスが直接的に又は電子サービスの処理を介してアクセスできるデータゾーンを設定することにより、このサービスを複数のコンシューマーに提案し、セキュリティドメインのデータゾーンはデータアクセスキーを介してのみアクセス可能であり、
− 端末が、セキュリティドメインにおいて、電子端末内でサービスがアクセスできるデータゾーンを、複数のサブゾーンに索引付きで分類することにより、複数のコンシューマーの内の一つのコンシューマーによる要求が、直接的に又は電子サービスを介して、要求の送信者である顧客に関連する所定のサブゾーンだけの、読み取り/書き込み/修正を可能にすることを保証するステップ
を含む、方法。 - 前記索引付き分類が、識別子によって識別されるコンシューマーに関連するデータサブゾーンに対するアクセスのアンロックを可能にする少なくとも一つの識別子のサービスに対し、コンシューマーにより提示されるサービスごとに、端末上でローカルに行われる、請求項1に記載の方法。
- サービスが少なくともコンシューマーの識別子から作成できる暗号化キーに基づいて、識別の後で認証を行う、請求項2に記載の方法。
- 索引付き分類が第三者のデバイスによって行われ、その際第三者のデバイスは、コンシューマーからの要求を受け取ると、
− 要求されたサービスを識別するステップ、
− サービスが要求されている端末を識別するステップ、
− コンシューマーを識別するステップ、及び
− 識別できた場合、コンシューマーからの要求を考慮するために、識別された端末に更新要求を送るステップ
を実施する、請求項1に記載の方法。 - プロバイダーの識別の後で認証を行う、請求項4に記載の方法。
- 更新要求をデータアクセスキーを用いて暗号化する、請求項4又は5に記載の方法。
- セキュリティドメインのサービス又はオペレーティングシステム、或いは端末のオペレーティングシステムに対する具体的な要求により、プロバイダーが、異なるコンシューマー及び/又はユーザ間におけるデータの作成、初期化、ロッキング、破壊、同期のような、索引付きで分類されたデータゾーンを管理するオペレーションの全てを直接行うことができ、プロバイダーに周知の複数の異なるキーによってこれらの管理オペレーションを保護することができる、請求項1ないし6のいずれか一項に記載の方法。
- データゾーンの索引付き分類を、一又は複数のサービスプロバイダーを有する一又は複数のコンシューマーについて、端末上のゾーンのユーザを識別する情報に基づいて行う、請求項1ないし7のいずれか一項に記載の方法。
- 携帯電話の集積回路(SIMカード)に請求項1ないし8のいずれか一項に記載の方法を実施する方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0654118A FR2906960B1 (fr) | 2006-10-05 | 2006-10-05 | Procede de mise a disposition cloisonnee d'un service electronique. |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008102925A true JP2008102925A (ja) | 2008-05-01 |
Family
ID=37998428
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007262447A Pending JP2008102925A (ja) | 2006-10-05 | 2007-10-05 | 分割した電子サービスの提供方法 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US20080091604A1 (ja) |
| EP (1) | EP1909462B1 (ja) |
| JP (1) | JP2008102925A (ja) |
| KR (1) | KR20080031827A (ja) |
| CN (1) | CN101159940A (ja) |
| AT (1) | ATE477660T1 (ja) |
| DE (1) | DE602007008336D1 (ja) |
| ES (1) | ES2350268T3 (ja) |
| FR (1) | FR2906960B1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016213889A (ja) * | 2009-04-20 | 2016-12-15 | インターデイジタル パテント ホールディングス インコーポレイテッド | 複数のドメインのシステムおよびドメイン所有権 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2933559A1 (fr) * | 2008-07-01 | 2010-01-08 | France Telecom | Procede d'installation d'une application de gestion et procede de gestion de donnees d'application d'un module de securite associe a un terminal mobile |
| CN102668501B (zh) * | 2009-10-15 | 2015-12-09 | 交互数字专利控股公司 | 用于接入基于订阅的服务的注册和凭证转出 |
| FR2973185B1 (fr) * | 2011-03-22 | 2013-03-29 | Sagem Defense Securite | Procede et dispositif de connexion a un reseau de haute securite |
| KR101308226B1 (ko) * | 2011-10-28 | 2013-09-13 | 에스케이씨앤씨 주식회사 | 모바일 기기에 장착된 se를 위한 통신 인터페이스 방법 및 이를 적용한 se |
| US9197700B2 (en) | 2013-01-18 | 2015-11-24 | Apple Inc. | Keychain syncing |
| US10375087B2 (en) * | 2014-07-21 | 2019-08-06 | Honeywell International Inc. | Security architecture for the connected aircraft |
| CN105450406B (zh) * | 2014-07-25 | 2018-10-02 | 华为技术有限公司 | 数据处理的方法和装置 |
| CN105678192B (zh) * | 2015-12-29 | 2018-12-25 | 北京数码视讯科技股份有限公司 | 一种基于智能卡的密钥应用方法及应用装置 |
| CN107038038B (zh) * | 2016-02-03 | 2021-12-21 | 紫光同芯微电子有限公司 | 一种运行大容量usim小应用程序的方法 |
| US20170272435A1 (en) * | 2016-03-15 | 2017-09-21 | Global Tel*Link Corp. | Controlled environment secure media streaming system |
| CN106453398B (zh) * | 2016-11-22 | 2019-07-09 | 北京安云世纪科技有限公司 | 一种数据加密系统及方法 |
| CN107563224B (zh) * | 2017-09-04 | 2020-07-28 | 浪潮集团有限公司 | 一种多用户物理隔离方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10327142A (ja) * | 1997-03-26 | 1998-12-08 | Sony Corp | 認証システムおよび方法、並びに認証装置および方法 |
| JP2004112540A (ja) * | 2002-09-19 | 2004-04-08 | Ntt Docomo Inc | 鍵の更新が可能な利用者の識別情報に基づく暗号化方法及び暗号システム |
| JP2005196411A (ja) * | 2004-01-06 | 2005-07-21 | Sony Corp | データ通信装置及びデータ通信装置のメモリ管理方法 |
| JP2005352962A (ja) * | 2004-06-14 | 2005-12-22 | Sony Corp | 情報管理装置及び情報管理方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6859791B1 (en) * | 1998-08-13 | 2005-02-22 | International Business Machines Corporation | Method for determining internet users geographic region |
| GB2380901B (en) * | 2001-10-10 | 2005-09-14 | Vodafone Plc | Mobile telecommunications apparatus and methods |
| KR100437513B1 (ko) * | 2004-02-09 | 2004-07-03 | 주식회사 하이스마텍 | 복수의 발급자 시큐리티 도메인을 설치할 수 있는 스마트카드 및 하나의 스마트 카드에 복수의 발급자 시큐리티도메인을 설치할 수 있는 방법 |
-
2006
- 2006-10-05 FR FR0654118A patent/FR2906960B1/fr active Active
-
2007
- 2007-09-19 AT AT07301379T patent/ATE477660T1/de active
- 2007-09-19 EP EP07301379A patent/EP1909462B1/fr active Active
- 2007-09-19 DE DE602007008336T patent/DE602007008336D1/de active Active
- 2007-09-19 ES ES07301379T patent/ES2350268T3/es active Active
- 2007-10-04 US US11/867,058 patent/US20080091604A1/en not_active Abandoned
- 2007-10-05 KR KR1020070100325A patent/KR20080031827A/ko not_active Application Discontinuation
- 2007-10-05 JP JP2007262447A patent/JP2008102925A/ja active Pending
- 2007-10-08 CN CNA2007101641898A patent/CN101159940A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10327142A (ja) * | 1997-03-26 | 1998-12-08 | Sony Corp | 認証システムおよび方法、並びに認証装置および方法 |
| JP2004112540A (ja) * | 2002-09-19 | 2004-04-08 | Ntt Docomo Inc | 鍵の更新が可能な利用者の識別情報に基づく暗号化方法及び暗号システム |
| JP2005196411A (ja) * | 2004-01-06 | 2005-07-21 | Sony Corp | データ通信装置及びデータ通信装置のメモリ管理方法 |
| JP2005352962A (ja) * | 2004-06-14 | 2005-12-22 | Sony Corp | 情報管理装置及び情報管理方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016213889A (ja) * | 2009-04-20 | 2016-12-15 | インターデイジタル パテント ホールディングス インコーポレイテッド | 複数のドメインのシステムおよびドメイン所有権 |
| US9807608B2 (en) | 2009-04-20 | 2017-10-31 | Interdigital Patent Holdings, Inc. | System of multiple domains and domain ownership |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20080031827A (ko) | 2008-04-11 |
| US20080091604A1 (en) | 2008-04-17 |
| FR2906960A1 (fr) | 2008-04-11 |
| DE602007008336D1 (de) | 2010-09-23 |
| EP1909462A2 (fr) | 2008-04-09 |
| EP1909462A3 (fr) | 2009-08-05 |
| ES2350268T3 (es) | 2011-01-20 |
| FR2906960B1 (fr) | 2009-04-17 |
| EP1909462B1 (fr) | 2010-08-11 |
| ATE477660T1 (de) | 2010-08-15 |
| CN101159940A (zh) | 2008-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2008102925A (ja) | 分割した電子サービスの提供方法 | |
| EP2741548B1 (en) | Method for changing mno in embedded sim on basis of dynamic key generation and embedded sim and recording medium therefor | |
| EP2731381B1 (en) | Method for changing the mobile network operator in an embedded sim on basis of special privilege | |
| JP6185152B2 (ja) | サービスにアクセスする方法、アクセスするためのデバイスおよびシステム | |
| US9215593B2 (en) | Systems and methods for providing security to different functions | |
| KR101611773B1 (ko) | 멀티 네트워크 시스템에서 아이덴티티 관리를 위한 방법들, 장치들 및 컴퓨터 프로그램 제품들 | |
| CN109328467B (zh) | 用于下载更新的简档的方法、服务器和系统 | |
| US20130227646A1 (en) | Methods and apparatus for large scale distribution of electronic access clients | |
| KR101930217B1 (ko) | 내장 sim에서의 키 관리방법, 및 그를 위한 내장 sim과 기록매체 | |
| WO2018000834A1 (zh) | 一种wifi热点信息修改方法及装置 | |
| WO2016107410A1 (zh) | 通信控制装置、鉴权装置、中心控制装置及通信系统 | |
| WO2008104934A1 (en) | Apparatus, method and computer program product providing enforcement of operator lock | |
| EP2727384B1 (en) | Method for accessing at least one service and corresponding system | |
| CN110719288A (zh) | 云端服务访问的方法、云端服务器及终端 | |
| EP2815553B1 (en) | Mobile apparatus supporting a plurality of access control clients, and corresponding methods | |
| CN110062016B (zh) | 用于可信服务管理的方法及装置 | |
| US20210385088A1 (en) | Network access method, user equipment, network entity, and storage medium | |
| US20230033931A1 (en) | Method, ledger and system for establishing a secure connection from a chip to a network and corresponding network | |
| US20240129743A1 (en) | Method for personalizing a secure element | |
| AU2022325394A1 (en) | Method in a secure element | |
| EP3267651A1 (en) | Method, device and system for storing securely data | |
| KR20090084802A (ko) | 무선 일회용 인증 휴대폰의 분실 처리 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110118 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110906 |