JP2014507823A

JP2014507823A - 第１の端末に格納されたｓｉｍアプリケーションを第２の端末に送信する方法

Info

Publication number: JP2014507823A
Application number: JP2013542474A
Authority: JP
Inventors: メリアンライオネル; ベラールグザビエ; ガションデニス
Original assignee: ジェムアルトエスアー
Priority date: 2010-12-06
Filing date: 2011-12-02
Publication date: 2014-03-27
Anticipated expiration: 2031-12-02
Also published as: EP2649826B1; CN103329584A; JP2015165711A; KR20130095828A; JP2014504080A; WO2012076440A1; US9946888B2; KR20130108637A; MX2013006273A; EP2649825A1; KR20130093676A; CN103329582A; US20140141747A1; EP2649594A1; EP2649831A1; BR112013014096A2; WO2012076437A2; KR20130106867A; EP2649822A2; EP2649826A1

Abstract

本発明は、第１の端末のＳＩＭアプリケーションを第２の端末に送信する方法に関する。ＳＩＭアプリケーションは第１の端末内に含まれている保全素子内に格納されており、ＳＩＭアプリケーションへのアクセスはＰＩＮコードによりロックされている。本発明によれば、前記方法は：ｉ）ＳＩＭアプリケーションを第１の端末から遠隔サイトへ、ＰＩＮコードと、遠隔ローディングコードとを含めて送出し、ｉｉ）第２の端末のユーザに対して、遠隔ローディングコードを第２の端末に入力するよう要請し、ｉｉｉ）ユーザが入力した遠隔ローディングコードが、送出された遠隔ローディングコードと一致したときは、第２の端末の保全素子にＳＩＭアプリケーションをインストールすることを許可し、その他の場合には、第２の端末の保全素子への、ＳＩＭアプリケーションのインストールを行なわないことを特徴とする。

Description

本発明は、第１の端末に格納されたＳＩＭアプリケーションを第２の端末に送信する方法に関する。

ＳＩＭアプリケーションは、通常ＵＩＣＣなどの保全素子にインストールされている。保全素子は、例えば携帯電話などの端末内に、固定されて、又は固定はされずに組み込まれている。端末は、Ｍ２Ｍ（マシン・ツー・マシン）アプリケーション用の、他の装置と通信する装置である場合もある。

ＵＩＣＣ（汎用集積回路カード）は、スマートカードの形をとりうるが、［特許文献１］に記載されているパッケージチップや、その他いかなる形をとるものであってもよい。ＵＩＣＣは、例えばＧＳＭ（登録商標）及びＵＭＴＳネットワークにおける携帯端末内で用いられる。ＵＩＣＣは、ネットワーク認証、及びあらゆる種類の個人データの整合性と安全性を保証するものである。

ＵＩＣＣは、ＧＳＭネットワークでは主にＳＩＭアプリケーションを内蔵し、ＵＭＴＳネットワークではＵＳＩＭアプリケーションを内蔵している。
ＵＩＣＣにはその他複数のアプリケーションを内蔵させることができる。そうすると１つのスマートカードで、ＧＳＭ及びＵＭＴＳネットワークの双方にアクセスしたり、また電話帳及びその他のアプリケーションの格納領域を提供したりすることが可能となる。

また対応の携帯端末では、ＵＳＩＭアプリケーションでＧＳＭネットワークにアクセスしたり、ＳＩＭアプリケーションでＵＭＴＳネットワークにアクセスしたりすることもできる。

ＬＴＥ（登録商標）など、ＵＭＴＳリリース５以降のネットワークでは、ＩＭＳ（ＩＰマルチメディアサブシステム）におけるサービスに、新たなアプリケーション、即ちＩＰマルチメディアサービスアイデンティティモジュール（ＩＳＩＭ）が必要である。
電話帳は別個のアプリケーションであり、いずれの加入者情報モジュールにも属さない。

ＵＩＣＣは、ＣＤＭＡネットワークでは、３ＧＰＰＵＳＩＭ及びＳＩＭアプリケーションに加えて、ＣＳＩＭアプリケーションを内蔵している。これら３つの特徴を全て含むカードは、リムーバブルユーザアイデンティティカード、即ちＲ−ＵＩＭと呼ばれる。つまりＲ−ＵＩＭカードは、ＣＤＭＡ、ＧＳＭ、ＵＭＴＳハンドセットのいずれにも挿入でき、いずれにおいても機能するのである。

２Ｇネットワークにおいては、ＳＩＭカードとＳＩＭアプリケーションは一体であったため、“ＳＩＭカード”は、この物理的なカード、又はＳＩＭアプリケーションを有するあらゆる物理的なカードを意味していた。
ＵＩＣＣスマートカードは、ＣＰＵ、ＲＯＭ、ＲＡＭ、ＥＥＰＲＯＭ、及び入出力回路からなる。初期バージョンのスマートカードは、完全にフルサイズ（８５×５４ｍｍ，ＩＳＯ／ＩＥＣ７８１０ＩＤ−１）であった。すぐに、電話の小型化競争によって、より小型のカードが求められるようになった。

カードの差し込み口が標準化されているので、加入者は自分のワイヤレスアカウントや電話番号を、あるハンドセットから他のハンドセットへ簡単に移すことができる。これによって加入者の電話帳やテキストメッセージも移される。同様に加入者は、通常、自分の既存のハンドセットに新たなキャリアのＵＩＣＣカードを挿入することでキャリアを変更することもできる。しかしこれは、常に可能であるとは限らない。なぜなら、自社の販売する電話にＳＩＭロックをかけて（例、アメリカにおいてなど）、競合キャリアのカードが使用されないようにしているキャリアもあるからである。

ＥＴＳＩフレームワークとＧｌｏｂａｌＰｌａｔｆｏｒｍのアプリケーション管理フレームワークは統合され、ＵＩＣＣ仕様に一本化された。
ＵＩＣＣは３ＧＰＰ及びＥＴＳＩによって標準化された。
ＵＩＣＣは通常、例えばユーザが自分の携帯端末を変更したいときなどに、携帯端末から取り出すことができる。ユーザは、新たな端末に自分のＵＩＣＣを挿入して、それまで通り自分のアプリケーション、連絡先、認証情報（ネットワークオペレータ）にアクセスすることができる。

また、ＵＩＣＣを端末専用のものにする目的で、ＵＩＣＣを端末内にはんだ付け又は溶接することも周知である。これはＭ２Ｍ（マシン・ツー・マシン）アプリケーションにおいて行われている。上記の目的は、ＳＩＭ又はＵＳＩＭのアプリケーション及びファイルを内蔵するチップ（保全素子）を、端末に内蔵させることによっても達成できる。このチップは、例えば端末又は装置のマザーボードにはんだ付けされ、ＵＩＣＣとなる。

以下に開示する改良の中には、はんだ付けされたＵＩＣＣや、ＵＩＣＣ中のチップと同じアプリケーションを内蔵するチップに適用されるものもある。
また、遠隔端末内にある、又は装置の奥深くに組み込まれているＵＩＣＣで、装置と完全に一体化しているわけではないが、元来取り外し用ではないために取り外しが困難なものに対しても、本発明を同様に適用することができる。

ＵＩＣＣの特別なフォームファクタ（例えば非常に小さいので取り扱いが困難であるなど）も、そのＵＩＣＣを、実質的に端末に組み込まれているものと見なす理由になりうる。同様のことは、開放が想定されていない装置内にＵＩＣＣが組み込まれている場合についてもいえる。

以下の記載では、ＵＩＣＣと同じアプリケーションを内蔵する、又は内蔵するよう設計されている、溶接されたＵＩＣＣ又はチップを総称して、（取り外し可能なＵＩＣＣ又は取り外し可能な保全素子に対し、）埋設型ＵＩＣＣ又は埋設型保全素子と呼ぶ。取り外し困難なＵＩＣＣ又は保全素子もこれに相当する。

本発明は、ＳＩＭアプリケーション転送中における、端末のエンドユーザの認証に関する。ここでは、ＳＩＭアプリケーション全体（即ち個人データ、ファイルシステム、銀行アプリケーションなどのＪａｖａ（登録商標）アプリケーション、及び秘密情報）が第１の端末に含まれる（例えば第１の携帯電話内にはんだ付けされている）埋設型ＵＩＣＣ中に格納されている、という状況を想定する。この状況は、ユーザが携帯電話を変更するにあたり、元の携帯電話のＵＩＣＣ内に格納されているアプリケーション、連絡先、及び写真、動画などの個人データを失いたくない、というときに起こりうる。

このような問題は、ＳＩＭアプリケーションが、携帯電話から取り外して、別の携帯電話に挿入できるＳＩＭカードに格納されている場合には生じない。しかし、ＵＩＣＣのような保全素子が携帯電話にはんだ付けされている場合、ＳＩＭアプリケーションを含む保全素子を、ある携帯電話から他機へ物理的に移すことはできない。

このＳＩＭアプリケーション転送オペレーションを達成するための一般的なプロセスは、通常、以下のとおりである：
−保全素子が、インストールされたＳＩＭを、他の保全素子上で再インストールできるようにパッケージ化する。このパッケージングは安全に行なわれなくてはならない。即ち、目標の保全素子のみがパッケージを読み取ることができるように暗号化を行ない、また、このパッケージが最初の保全素子から送信されたものであることを保証するために署名を行なわなくてはならない；

−パッケージ化されたＳＩＭが、クラウド（インターネット）上の保全倉庫（ｓｅｃｕｒｅｖａｕｌｔ）にアップロードされる。このオペレーションは、パッケージ化の段階で、目標の保全素子が通知されていない場合に必要となる；
−パッケージ化されたＳＩＭが目標の新たな保全素子にダウンロードされる；
−この目標の保全素子がセキュリティチェックを行い、ダウンロード済みのパッケージ化されたＳＩＭをインストールする。
その結果、最初のＳＩＭ一式が、ユーザ環境ごと、別の保全素子に転送されたこととなる。
ノキア・コーポレーションによる［特許文献２］には、これと類似の方法が開示されている。

ＰＣＴ／ＳＥ２００８／０５０３８０ＵＳ２００５／０２６６８８３

最初の保全素子から保全倉庫までの、最初の転送を開始する段階では、エンドユーザが自らを認証してオペレーションを確認するために、ＰＩＮコードを入力していると推定できる。しかし問題は、保全倉庫から目標の保全素子に、パッケージ化されたＳＩＭを転送しようとする段階で生じる：どうすれば、この要求が同じエンドユーザからのものであると確認できるのか。ＰＩＮコードはＳＩＭアプリケーションの一部であるため、再入力はできないが、目標の新たな保全素子にＳＩＭをインストールする前に、エンドユーザを確実に識別する必要がある。この問題は、ＳＩＭの有する加入者情報が、別のユーザにインストールされ、利用される事態につながりかねない。

この問題を回避するために、まずＳＩＭを目標の保全素子にインストールして、それからＰＩＮ認証を要求する、ということが考えられる。しかし難点として、ＳＩＭのインストールが完了してしまうこと、及び、認証の安全性が高くないことが挙げられる。なぜなら４桁のＰＩＮコードであれば、最大１００００回の試行の末、悪意の人物が正しいＰＩＮコードを当ててしまうかもしれず、別のユーザによってＳＩＭアプリケーション（及び結果的にはその加入者情報）が利用されるもしれないからである。
本発明は、この問題を解決することを目的とする。

これに関し、本発明では、第１の端末のＳＩＭアプリケーションを第２の端末に送信する方法を提案する。このＳＩＭアプリケーションは、第１の端末に含まれる保全素子内に格納されており、ＳＩＭアプリケーションへのアクセスはＰＩＮコードによりロックされているものとする。

本発明によれば、この方法は：
ｉ）ＳＩＭアプリケーションを、ＰＩＮコードと遠隔ローディングコードとを含めて第１の端末から遠隔サイトへ送出し；
ｉｉ）第２の端末のユーザに対して、遠隔ローディングコードを第２の端末に入力するよう要請し；
ｉｉｉ）ユーザが入力した遠隔ローディングコードが、送出された遠隔ローディングコードと一致したときは、第２の端末の保全素子にＳＩＭアプリケーションをインストールすることを許可し、その他の場合には第２の端末の保全素子へのＳＩＭアプリケーションのインストールを行なわない；
ことからなる。

有利には、遠隔ローディングコードの一致は遠隔サイトのレベルでチェックされ、一致したときに、第２の端末の保全素子へのＳＩＭアプリケーションのダウンロードが開始され、インストールが行なわれる。
代替的には、遠隔ローディングコードの一致は第２の端末のレベルでチェックされ、ＳＩＭアプリケーションが第２の端末の保全素子にダウンロードされた後、一致したときに、ＳＩＭアプリケーションの、第２の端末の保全素子へのンストールが開始される。

好ましくは、遠隔ローディングコードは暗号化されている。
好ましい実施形態においては、遠隔ローディングコードはパスフレーズである。
この改良のその他の特徴は、非限定的かつ例示的な、好ましい実施形態に係る以下の記載から理解されるであろう。

本発明では、ＳＩＭアプリケーションの遠隔サイト（保全倉庫）への送出を確認するために、ＰＩＮコードに加えて遠隔ローディングコードを入力するよう、エンドユーザに要求することを提案する。遠隔ローディングコードは、例えばパスフレーズでありうる。

このパスフレーズは暗号化され、クラウド上の保全倉庫にアップロードされる、安全にパッケージ化されたＳＩＭに含まれる。こうして、保全倉庫は、パッケージ化されたＳＩＭ（保全素子に含まれる加入者情報、ＰＩＮコード、環境、認証秘密情報、適用（ａｐｐｌｉｃａｔｉｖｅ）鍵（ＳｅｃｕｒｉｔｙＤｏｍａｉｎ）、各種アプリケーションの各種鍵、ＰＫＩ鍵、各種アプリケーション（ＮＦＣ、銀行・・・）、ＩＳＤ（ＩｓｓｕｅｒＳｅｃｕｒｉｔｙＤｏｍａｉｎ）、ファイルシステム・・・）及び、特定のパッケージ中の遠隔ローディングコードを格納する。これらは、後に新たな保全素子にダウンロードすることができる。

このパッケージを新たな保全素子にインストールする前に、その保全素子を含む第２の端末のユーザは、遠隔ローディングコードを第２の端末に入力するよう要求される。
このユーザによって入力された遠隔ローディングコードが、送出された遠隔ローディングコードと一致した場合、第２の端末の保全素子へＳＩＭアプリケーションをインストールすることが許可される。その他の場合、インストールは行われない。

このオペレーションを行なうには、異なる２つの方法がある：第１の方法では、保全倉庫のレベルで遠隔ローディングコードの一致をチェックする。コードが一致すると、ＳＩＭアプリケーションは保全素子にダウンロードされ、実行される。
第２の方法では、ＳＩＭアプリケーションを第２の端末の保全素子にダウンロードした後、第２の端末のレベルで遠隔ローディングコードの一致をチェックする。コードが一致した場合、ＳＩＭアプリケーションは第２の端末の保全素子にインストールされる。
ユーザは、インストールの完了後、ＰＩＮコードを入力することで、ＳＩＭアプリケーションを起動することができる。

好ましい実施形態においては、遠隔ローディングコードは暗号化されている。第１の実施形態では、保全倉庫が、パッケージ化されたＳＩＭに内蔵されているパスフレーズを復号する。第２の実施形態では、保全素子がこの復号を行なう。

本発明は、ＳＩＭアプリケーションの送出及び取り込みが同一のエンドユーザによって行なわれていることを保証して、ＳＩＭアプリケーション転送の安全性を全体的に高めることができる。
エンドユーザは、典型的には例えば携帯電話などの端末の所有者である。Ｍ２Ｍアプリケーションにおけるエンドユーザは、例えば電気的装置の電気的インストーラなどの、インストーラである。

Claims

第１の端末に格納されたＳＩＭアプリケーションを第２の端末へ送信する方法であって、
前記ＳＩＭアプリケーションは前記第１の端末内に含まれている保全素子内に格納されており、前記ＳＩＭアプリケーションへのアクセスはＰＩＮコードによりロックされており、前記方法は、
ｉ）前記ＳＩＭアプリケーションを前記第１の端末から遠隔サイトへ、前記ＰＩＮコードと、遠隔ローディングコードとを含めて送出し、
ｉｉ）前記第２の端末のユーザに対して遠隔ローディングコードを前記第２の端末に入力するよう要請し、
ｉｉｉ）前記ユーザが入力した前記遠隔ローディングコードが送出された前記遠隔ローディングコードと一致したときは、前記第２の端末の保全素子に前記ＳＩＭアプリケーションをインストールすることを許可し、その他の場合には、インストールを行なわないことを特徴とする方法。
前記遠隔ローディングコードの一致は、前記遠隔サイトのレベルでチェックされ、一致したとき、前記第２の端末の前記保全素子への前記ＳＩＭアプリケーションのダウンロードが開始され、インストールが行なわれることを特徴とする請求項１に記載の方法。
前記遠隔ローディングコードの一致は、前記第２の端末のレベルでチェックされ、前記ＳＩＭアプリケーションが前記第２の端末の前記保全素子にダウンロードされた後、一致したとき、前記第２の端末の前記保全素子への前記ＳＩＭアプリケーションのインストールが開始されることを特徴とする請求項１に記載の方法。
前記遠隔ローディングコードは暗号化されることを特徴とする請求項１乃至３のいずれかに記載の方法。
前記遠隔ローディングコードはパスフレーズであることを特徴とする請求項１乃至４のいずれかに記載の方法。
前記第１及び第２の端末は、装置であることを特徴とする請求項１乃至５のいずれかに記載の方法。