図1A〜図16は、開示されているシステム、方法、および手段を実施することができる例示的な実施形態に関する。本明細書に記載されている実施形態は、例示的であること、および限定的でないことを意図されている。本明細書においては、プロトコルフローについて例示および説明する場合があるが、それらのフローの順序を変更することができ、一部を省略することができ、および/またはさらなるフローを追加することができる。
図1A、図1B、および図1Cは、本明細書に記載されている実施形態において使用することができる例示的な通信システムおよびデバイスを示している。図1Aは、1つまたは複数の開示されている実施形態を実施することができる例示的な通信システム100の図である。通信システム100は、コンテンツ、たとえば音声、データ、ビデオ、メッセージング、放送などを複数のワイヤレスユーザに提供するマルチプルアクセスシステムとすることができる。通信システム100は、複数のワイヤレスユーザが、ワイヤレス帯域幅を含むシステムリソースの共有を通じてそのようなコンテンツにアクセスすることを可能にすることができる。たとえば、通信システム100は、1つまたは複数のチャネルアクセス方法、たとえば符号分割多元接続(CDMA)、時分割多元接続(TDMA)、周波数分割多元接続(FDMA)、直交FDMA(OFDMA)、シングルキャリアFDMA(SC−FDMA)などを採用することができる。
図1Aにおいて示されているように、通信システム100は、無線送信/受信ユニット(WTRU)102a、102b、102c、102d、無線アクセスネットワーク(RAN)104、コアネットワーク106、公衆交換電話網(PSTN)108、インターネット110、およびその他のネットワーク112を含むことができるが、開示されている実施形態では、任意の数のWTRU、基地局、ネットワーク、および/またはネットワーク要素が考えられるということがわかるであろう。WTRU102a、102b、102c、102dのそれぞれは、ワイヤレス環境において動作および/または通信を行うように構成されている任意のタイプのデバイスとすることができる。例として、WTRU102a、102b、102c、102dは、ワイヤレス信号を送信および/または受信するように構成することができ、ユーザ機器(UE)、移動局、固定式または移動式のサブスクライバーユニット、ページャー、セルラ電話、携帯情報端末(PDA)、スマートフォン、タブレット、ラップトップ、ネットブック、パーソナルコンピュータ、ワイヤレスセンサ、家庭用電化製品などを含むことができる。
通信システム100は、基地局114aおよび基地局114bを含むこともできる。基地局114a、114bのそれぞれは、コアネットワーク106、インターネット110、および/またはネットワーク112などの1つまたは複数の通信ネットワークへのアクセスを容易にするために、WTRU102a、102b、102c、102dのうちの少なくとも1つとワイヤレスにインターフェースを取るように構成されている任意のタイプのデバイスとすることができる。例として、基地局114a、114bは、ベーストランシーバ局(BTS)、Node−B、eNode B、ホームノードB、ホームeNode B、サイトコントローラ、アクセスポイント(AP)、ワイヤレスルータなどとすることができる。基地局114a、114bは、それぞれ単一の要素として示されているが、基地局114a、114bは、任意の数の相互接続された基地局および/またはネットワーク要素を含むことができるということがわかるであろう。
基地局114aは、RAN104の一部とすることができ、RAN104は、その他の基地局および/またはネットワーク要素(図示せず)、たとえば基地局コントローラ(BSC)、無線ネットワークコントローラ(RNC)、中継ノードなどを含むこともできる。基地局114aおよび/または基地局114bは、特定の地理的領域内でワイヤレス信号を送信および/または受信するように構成することができ、この地理的領域は、セル(図示せず)と呼ばれることもある。セルは、複数のセルセクタへとさらに分割することができる。たとえば、基地局114aに関連付けられているセルは、3つのセクタへと分割することができる。したがって一実施形態においては、基地局114aは、3つのトランシーバ、すなわち、セルのそれぞれのセクタごとに1つのトランシーバを含むことができる。一実施形態においては、基地局114aは、多重入力‐多重出力(MIMO)技術を採用することができ、したがって、セルのそれぞれのセクタごとに複数のトランシーバを利用することができる。
基地局114a、114bは、エアインターフェース116を介してWTRU102a、102b、102c、102dのうちの1つまたは複数と通信することができ、エアインターフェース116は、任意の適切なワイヤレス通信リンク(たとえば、無線周波数(RF)、マイクロ波、赤外線(IR)、紫外線(UV)、可視光など)とすることができる。エアインターフェース116は、任意の適切な無線アクセス技術(RAT)を使用して確立することができる。
より具体的には、上述したように、通信システム100は、マルチプルアクセスシステムとすることができ、1つまたは複数のチャネルアクセススキーム、たとえばCDMA、TDMA、FDMA、OFDMA、SC−FDMAなどを採用することができる。たとえば、RAN104内の基地局114aおよびWTRU102a、102b、102cは、ユニバーサル移動体通信システム(UMTS)地上波無線アクセス(UTRA)などの無線技術を実施することができ、この無線技術は、広帯域CDMA(WCDMA(登録商標))を使用してエアインターフェース116を確立することができる。WCDMAは、高速パケットアクセス(HSPA)および/または発展型HSPA(HSPA+)などの通信プロトコルを含むことができる。HSPAは、高速ダウンリンクパケットアクセス(HSDPA)および/または高速アップリンクパケットアクセス(HSUPA)を含むことができる。
別の実施形態においては、基地局114aおよびWTRU102a、102b、102cは、拡張UMTS地上波無線アクセス(E−UTRA)などの無線技術を実施することができ、この無線技術は、ロングタームエボリューション(LTE)および/または拡張LTE(LTE−A)を使用してエアインターフェース116を確立することができる。
その他の実施形態においては、基地局114aおよびWTRU102a、102b、102cは、無線技術、たとえばIEEE 802.16(すなわちWiMAX(Worldwide Interoperability for Microwave Access))、CDMA2000、CDMA2000 1X、CDMA2000 EV−DO、暫定標準2000(IS−2000)、暫定標準95(IS−95)、暫定標準856(IS−856)、グローバル移動体通信システム(GSM(登録商標))、GSMエボリューション用の拡張データ転送速度(EDGE)、GSM EDG(EGERAN)などを実施することができる。
図1Aにおける基地局114bは、たとえばワイヤレスルータ、ホームノードB、ホームeNode B、またはアクセスポイントとすることができ、局所的なエリア、たとえば事業所、家庭、乗り物、キャンパスなどにおけるワイヤレス接続を容易にするために、任意の適切なRATを利用することができる。一実施形態においては、基地局114bおよびWTRU102c、102dは、無線ローカルエリアネットワーク(WLAN)を確立するために、IEEE 802.11などの無線技術を実施することができる。一実施形態においては、基地局114bおよびWTRU102c、102dは、無線パーソナルエリアネットワーク(WPAN)を確立するために、IEEE 802.15などの無線技術を実施することができる。さらなる一実施形態においては、基地局114bおよびWTRU102c、102dは、ピコセルまたはフェムトセルを確立するために、セルラベースのRAT(たとえば、WCDMA、CDMA2000、GSM、LTE、LTE−Aなど)を利用することができる。図1Aにおいて示されているように、基地局114bは、インターネット110への直接接続を有することができる。したがって、基地局114bは、コアネットワーク106を介してインターネット110にアクセスすることを不要とすることができる。
RAN104は、コアネットワーク106と通信状態にあることが可能であり、コアネットワーク106は、音声、データ、アプリケーション、および/またはボイスオーバーインターネットプロトコル(VoIP)サービスをWTRU102a、102b、102c、102dのうちの1つまたは複数に提供するように構成されている任意のタイプのネットワークとすることができる。たとえば、コアネットワーク106は、コール制御、課金サービス、モバイルロケーションベースサービス、プリペイドコーリング、インターネット接続、ビデオ配信などを提供すること、および/またはユーザ認証などのハイレベルセキュリティ機能を実行することが可能である。図1Aにおいては示されていないが、RAN104および/またはコアネットワーク106は、RAN104と同じRATまたは異なるRATを採用しているその他のRANと直接または間接の通信状態にあることが可能であるということがわかるであろう。たとえば、コアネットワーク106は、E−UTRA無線技術を利用している可能性があるRAN104に接続されていることに加えて、GSM無線技術を採用している別のRAN(図示せず)と通信状態にあることも可能である。
コアネットワーク106は、WTRU102a、102b、102c、102dがPSTN108、インターネット110、および/またはその他のネットワーク112にアクセスするためのゲートウェイとして機能することもできる。PSTN108は、基本電話サービス(POTS/plain old telephone service)を提供する回路交換電話ネットワークを含むことができる。インターネット110は、TCP/IPインターネットプロトコルスイートにおける伝送制御プロトコル(TCP)、ユーザデータグラムプロトコル(UDP)、およびインターネットプロトコル(IP)など、共通の通信プロトコルを使用する相互接続されたコンピュータネットワークおよびデバイスからなるグローバルシステムを含むことができる。ネットワーク112は、その他のサービスプロバイダによって所有および/または運営されている有線またはワイヤレスの通信ネットワークを含むことができる。たとえば、ネットワーク112は、RAN104と同じRATまたは異なるRATを採用している可能性がある1つまたは複数のRANに接続されている別のコアネットワークを含むことができる。
通信システム100内のWTRU102a、102b、102c、102dのうちのいくつかまたはすべては、マルチモード機能を含むことができ、すなわち、WTRU102a、102b、102c、102dは、別々のワイヤレスリンクを介して別々のワイヤレスネットワークと通信するために複数のトランシーバを含むことができる。たとえば、図1Aにおいて示されているWTRU102cは、セルラベースの無線技術を採用している可能性がある基地局114a、およびIEEE 802無線技術を採用している可能性がある基地局114bと通信するように構成することができる。
図1Bは、例示的なWTRU102のシステム図である。図1Bにおいて示されているように、WTRU102は、プロセッサ118、トランシーバ120、送信/受信要素122、スピーカ/マイクロフォン124、キーパッド126、ディスプレイ/タッチパッド128、取り外し不能メモリ130、取り外し可能メモリ132、電源134、全世界測位システム(GPS)チップセット136、およびその他の周辺機器138を含むことができる。WTRU102は、一実施形態との整合性を保持しながら、上述の要素どうしの任意の下位組合せを含むことができるということがわかるであろう。
プロセッサ118は、汎用プロセッサ、専用プロセッサ、従来型プロセッサ、デジタル信号プロセッサ(DSP)、複数のマイクロプロセッサ、DSPコアと関連付けられている1つまたは複数のマイクロプロセッサ、コントローラ、マイクロコントローラ、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)回路、その他の任意のタイプの集積回路(IC)、状態マシンなどとすることができる。プロセッサ118は、信号コーディング、データ処理、電力制御、入力/出力処理、および/またはWTRU102をワイヤレス環境内で機能できるようにするその他の任意の機能を実行することができる。プロセッサ118は、トランシーバ120に結合することができ、トランシーバ120は、送信/受信要素122に結合することができる。図1Bは、プロセッサ118とトランシーバ120を別々のコンポーネントとして示しているが、プロセッサ118とトランシーバ120は、1つの電子パッケージまたはチップ内に統合することができるということがわかるであろう。
送信/受信要素122は、エアインターフェース116を介して、基地局(たとえば、基地局114a)に信号を送信するように、または基地局(たとえば、基地局114a)から信号を受信するように構成することができる。たとえば、一実施形態においては、送信/受信要素122は、RF信号を送信および/または受信するように構成されているアンテナとすることができる。一実施形態においては、送信/受信要素122は、たとえば、IR信号、UV信号、または可視光信号を送信および/または受信するように構成されているエミッタ/検知器とすることができる。一実施形態においては、送信/受信要素122は、RF信号と光信号との両方を送信および受信するように構成することができる。送信/受信要素122は、ワイヤレス信号の任意の組合せを送信および/または受信するように構成することができるということがわかるであろう。
加えて、送信/受信要素122は、図1Bにおいては単一の要素として示されているが、WTRU102は、任意の数の送信/受信要素122を含むことができる。より具体的には、WTRU102は、MIMO技術を採用することができる。したがって、一実施形態においては、WTRU102は、エアインターフェース116を介してワイヤレス信号を送信および受信するために、複数の送信/受信要素122(たとえば、複数のアンテナ)を含むことができる。
トランシーバ120は、送信/受信要素122によって送信される信号を変調するように、また、送信/受信要素122によって受信される信号を復調するように構成することができる。上述したように、WTRU102は、マルチモード機能を有することができる。したがってトランシーバ120は、WTRU102が、たとえばUTRAおよびIEEE 802.11など、複数のRATを介して通信できるようにするために複数のトランシーバを含むことができる。
WTRU102のプロセッサ118は、スピーカ/マイクロフォン124、キーパッド126、および/またはディスプレイ/タッチパッド128(たとえば、液晶ディスプレイ(LCD)ディスプレイユニットまたは有機発光ダイオード(OLED)ディスプレイユニット)に結合することができ、そこからユーザ入力データを受け取ることができる。プロセッサ118は、ユーザデータをスピーカ/マイクロフォン124、キーパッド126、および/またはディスプレイ/タッチパッド128へ出力することもできる。加えて、プロセッサ118は、取り外し不能メモリ130および/または取り外し可能メモリ132など、任意のタイプの適切なメモリからの情報にアクセスすること、およびそれらのメモリにデータを格納することが可能である。取り外し不能メモリ130は、ランダムアクセスメモリ(RAM)、読出し専用メモリ(ROM)、ハードディスク、またはその他の任意のタイプのメモリストレージデバイスを含むことができる。取り外し可能メモリ132は、加入者識別モジュール(SIM)カード/汎用集積回路カード(UICC)、メモリスティック、セキュアデジタル(SD)メモリカードなどを含むことができる。SIM/UICCは、セキュアな実行および格納環境をワイヤレスデバイスに提供することができ、その環境から、認証アルゴリズムが実行され、証明書が格納され、その証明書によって、デバイスは、ネットワークオペレータに対するデバイスのユーザのサブスクリプションをネットワークオペレータに対して認証することができ、および/またはネットワークオペレータは、デバイスに対する何らかの形態の制御、すなわち、所有権を有することができる。その他の実施形態においては、プロセッサ118は、サーバまたはホームコンピュータ(図示せず)上など、WTRU102上に物理的に配置されていないメモリからの情報にアクセスすること、およびそれらのメモリにデータを格納することが可能である。
プロセッサ118は、電源134から電力を受け取ることができ、また、WTRU102内のその他のコンポーネントへの電力を分配および/または制御するように構成することができる。電源134は、WTRU102に電力供給するための任意の適切なデバイスとすることができる。たとえば、電源134は、1つまたは複数の乾電池(たとえばニッケルカドミウム(NiCd)、ニッケル亜鉛(NiZn)、ニッケル水素(NiMH)、リチウムイオン(Li−ion)など)、太陽電池、燃料電池などを含むことができる。
プロセッサ118は、GPSチップセット136に結合することもでき、GPSチップセット136は、WTRU102の現在位置に関する位置情報(たとえば、経度および緯度)を提供するように構成することができる。GPSチップセット136からの情報に加えて、またはその情報の代わりに、WTRU102は、基地局(たとえば、基地局114a、114b)からエアインターフェース116を介して位置情報を受信すること、および/または複数の近隣の基地局から受信されている信号のタイミングに基づいて自分の位置を特定することが可能である。WTRU102は、一実施形態との整合性を保持しながら、任意の適切な位置特定方法を通じて位置情報を得ることができるということがわかるであろう。
プロセッサ118は、その他の周辺機器138にさらに結合することができ、その他の周辺機器138は、さらなる特徴、機能、および/または有線接続もしくはワイヤレス接続を提供する1つまたは複数のソフトウェアモジュールおよび/またはハードウェアモジュールを含むことができる。たとえば、周辺機器138は、加速度計、e−コンパス、衛星トランシーバ、デジタルカメラ(写真またはビデオ用)、ユニバーサルシリアルバス(USB)ポート、振動デバイス、テレビジョントランシーバ、ハンドフリーヘッドセット、Bluetooth(登録商標)モジュール、周波数変調(FM)ラジオユニット、デジタルミュージックプレーヤ、メディアプレーヤ、ビデオゲームプレーヤモジュール、インターネットブラウザなどを含むことができる。
図1Cは、一実施形態によるRAN104およびコアネットワーク106のシステム図である。上述したように、RAN104は、エアインターフェース116を介してWTRU102a、102b、102cと通信するためにUTRA無線技術を採用することができる。RAN104は、コアネットワーク106と通信状態にあることも可能である。
RAN104は、eNode−B140a、140b、140cを含むことができるが、RAN104は、一実施形態との整合性を保持しながら、任意の数のeNode−Bを含むことができるということがわかるであろう。eNode−B140a、140b、140cはそれぞれ、エアインターフェース116を介してWTRU102a、102b、102cと通信するために1つまたは複数のトランシーバを含むことができる。一実施形態においては、eNode−B140a、140b、140cは、MIMO技術を実施することができる。したがって、eNode−B140aは、たとえば、WTRU102aにワイヤレス信号を送信するために、およびWTRU102aからワイヤレス信号を受信するために、複数のアンテナを使用することができる。
図1Cにおいて示されているように、Node−B140a、140bは、RNC142aと通信状態にあることが可能である。加えて、Node−B140cは、RNC142bと通信状態にあることが可能である。Node−B140a、140b、140cは、Iubインターフェースを介してそれぞれのRNC142a、142bと通信することができる。RNC142a、142bは、Iurインターフェースを介して互いに通信状態にあることが可能である。RNC142a、142bのそれぞれは、自分が接続されているそれぞれのNode−B140a、140b、140cを制御するように構成することができる。加えて、RNC142a、142bのそれぞれは、アウターループ電力制御、負荷制御、アドミッション制御、パケットスケジューリング、ハンドオーバ制御、マクロダイバーシティ、セキュリティ機能、データ暗号化など、その他の機能を実行および/またはサポートするように構成することができる。
図1Cにおいて示されているコアネットワーク106は、メディアゲートウェイ(MGW)144、移動交換センタ(MSC)146、サービングGPRSサポートノード(SGSN)148、および/またはゲートウェイGPRSサポートノード(GGSN)150を含むことができる。上述の要素のうちのそれぞれは、コアネットワーク106の一部として示されているが、これらの要素のいずれかが、コアネットワークオペレータ以外のエンティティによって所有および/または運営されることも可能であるということがわかるであろう。
RAN104内のRNC142aは、IuCSインターフェースを介してコアネットワーク106内のMSC146に接続することができる。MSC146は、MGW144に接続することができる。MSC146およびMGW144は、WTRU102a、102b、102cと、従来の地上通信線の通信デバイスとの間における通信を容易にするために、PSTN108などの回路交換ネットワークへのアクセスをWTRU102a、102b、102cに提供することができる。
RAN104内のRNC142aは、IuPSインターフェースを介してコアネットワーク106内のSGSN148に接続することもできる。SGSN148は、GGSN150に接続することができる。SGSN148およびGGSN150は、WTRU102a、102b、102cと、IP対応デバイスとの間における通信を容易にするために、インターネット110などのパケット交換ネットワークへのアクセスをWTRU102a、102b、102cに提供することができる。
上述したように、コアネットワーク106は、ネットワーク112に接続することもでき、ネットワーク112は、その他のサービスプロバイダによって所有および/または運営されているその他の有線またはワイヤレスのネットワークを含むことができる。
上述した通信システムおよび/またはデバイスは、本明細書において説明されているように、グローバルプラットフォーム(GP)スマートカードとともに使用することができる。GPスマートカードアーキテクチャは、単一のデバイス上での1つまたは複数のアプリケーションのためのサポートを提供することができる。比較的オープンな環境内に多数のおよび/または多様な数のアプリケーションを収容すると、セキュリティ上の課題、たとえばマルウェア、ウイルス、ボットからの攻撃、および/または同様のセキュリティ上の課題などが提示される場合がある。それらのセキュリティ上の課題は、絶え間なく続く、および/または常に存在する可能性がある。GPセキュリティメカニズムは、そのカードマネージャの最終的な監督のもとで実行することができるGPのセキュリティドメイン(SD)構造を介して、セキュリティ攻撃からの保護を提供することができる。GPセキュリティ機能は、インテグリティおよび/または信頼性の検証を含むことができる。たとえば、インテグリティおよび/または信頼性の検証は、カード上にロードされるアプリケーションコードおよび/またはデータに適用することができ、これは、たとえばSDセキュリティポリシーによって要求される場合がある。その上、プログラムの動作をSDおよび/またはマネージャレベルでモニタすることができる。アプリケーションに関連付けられている脅威が検知された場合には、そのアプリケーションを、「ロックされた」状態へと移行することができる。しかし、GPのセキュリティおよび機能への追加を行うことができる。本明細書における実施形態は、たとえばスマートカード、加入者識別モジュール(SIM)、汎用集積回路カード(UICC)、またはその他のカード上の環境上で実行することができるGPスマートカードおよび/またはGPアーキテクチャに関連して説明されているかもしれないが、本明細書に記載されている実施形態は、たとえば仮想加入者識別モジュール(vSIM)、または組み込まれた信頼環境を有するその他のプラットフォームなど、さまざまなカード外(off−card)の環境において採用することもできるということが理解できるであろう。
GPアーキテクチャに関して、GP動作環境は、スマートカード上で構成される許容されるアプリケーションスイートに関する柔軟性を提供することができる。TD(Trusted Domain)コンセプトは、THSM(Trusted Hardware Subscriber Module)のそのオリジナルの設定から、GP準拠のスマートカードへ、S/Wとしてポートすることができる。一実施形態によれば、GPスマートカードは、THSMの機能を効果的に実行することができる。そのような機能は、信頼できるドメインS/Wの特定の要素が、適切に編成された階層内にロードおよび/またはインストールされると、実行することができる。使用することができるTDコンセプトの例示的な機能としては、信頼メカニズム、TDのRTO(remote take ownership)、ユーザ登録および/またはリモート証明書ロールアウト、TSIM(trusted subscriber identity management)アプリケーション移行、ならびに完全なAKA(authentication and/or key agreement)機能が含まれる。たとえば、信頼メカニズムは、1つまたは複数のドメインの分離およびセキュリティを提供することができる。一実施形態によれば、ドメインのうちの1つまたは複数は、その他のドメインから分離することができるセキュアな実行および格納環境を含むことができる。たとえば、GPの信頼できるフレームワーク、またはその他の同様の信頼できるフレームワークは、アプリケーション間および/またはドメイン間の通信に関して責任を負うことができ、たとえば、CIのセキュリティルールを実施することによって、アプリケーションの汚染からの分離および保護を確かなものにすることができる。
たとえば、信頼メカニズムは、ランタイムインテグリティチェッキング、および/または、MTM(mobile trusted module)信頼機能に関連付けられているRT(roots of trust)を含むことができる。信頼のそのような側面は、ファイルローディング中のセーフガードが実行されているがランタイムインテグリティチェッキングを許可することができないGP環境において採用することはできない。TDのRTO(Remote Take Ownership)は、完全なサブスクリプションサービスのための機能をRO(remote owner)に提供することができる。複数のリモートから所有されているTDは、同時に存在することができる。TDは、本明細書に記載されているように、TDアプリケーションの主要な機能ユニットであると言える。THSM環境におけるRTOプロトコルは、所有権を行使する目的でデバイスの信頼性を確立するための信頼メカニズムを組み込むことができる。しかし、GPの設定においては、信頼メカニズムは、カード上へのファイルローディング中のパターンおよび/またはインテグリティチェッキングの形態で存在することができる。RTOプロトコルおよびTDのさらに詳細な説明をここで提供する。
図2および図2Aにおけるダイアグラムは、完全なRTOプロトコルフローの一実施形態を示している。図2および図2Aは、例示的なRTOプロセスに関するコールフロー図を示している。たとえば、図2および図2Aは、ME202、TDDO204、SDM206、TD* RO208、およびRO210のうちの1つまたは複数の間における例示的なコールを示している。図2および図2Aにおける矢印は、コールの起点/宛先を表すことができる。ユーザは、UEプラットフォームのパワーオンを開始することができる。このプラットフォームは、ローレベルのコンピューティング、ストレージ、またはドメインのための通信リソースを提供することができる。このプラットフォームは、ハードウェア、オペレーティングシステム、ローレベルのファームウェアもしくはソフトウェア(ブートコード、BIOS、API、ドライバ、ミドルウェア、もしくは仮想化ソフトウェアなど)、および/またはハイレベルのファームウェアもしくはソフトウェア(アプリケーションソフトウェアなど)、ならびにそのようなリソースに関するそれぞれの構成データから構成することができる。それぞれのドメインは、プラットフォーム上で実行するコンピューティングリソース、ストレージリソース、または通信リソースの構成を含むことができる。212においては、ME202によってベースコードブートを完了することができる。214においては、THSMが、セキュアにブートすることができる。THSMは、DOのドメイン、含まれているSDMをロードすることができ、この場合、SDMは、1)ドメイン構築のために利用可能なリソース、および/または2)許容可能なドメインのリストをユーザに提供することができる。216においては、THSMは、自分のブートを完了することができる。218においては、MEは、自分のブートを完了することができる。219においては、MEは、自分のブートが完了したことをTDDO204に示すことができる。このプロセス中に、DMのドメインを構築することができ、任意選択のユーザドメイン(MEU)を構築することもでき、および/または利用可能なリソースをチェックすることができる。DMのドメインは、MEデバイスのためのドメインポリシーの最初の構成および仕様を提供するMETDMを含むことができる。MEDMの事前構成のおかげで、このポリシーを、共通のリモート所有者を有するそれらのドメイン(THSM上のドメイン、およびME上のその他のドメインなど)のためのポリシーに関して、MEドメインとTHSMドメインとの間でSDPのポリシーと整合させることができる。
依然として図2を参照すると、ME202は、自分の事前構成されたドメインとともに、219において「ブート完了」メッセージを送信することができ、それによって、220においてRTOが開始される。このメッセージは、DMドメインポリシーおよびME202における利用可能なリソースに関する明示的な情報を含むことができる。222においては、ターゲットドメインプランを含む開始要求RTOをSDM206からTD* RO208へ送信することができる。224においては、RTO開始要求を受け入れるかまたは拒否するかの判定をTD* RO208によって行うことができる。225においては、RTOを開始すべきかどうかを示すメッセージをTD* RO208からSDM206へ送信することができる。あるいは、226においては、RTOは、TD* RO208に端を発することができる。227においては、TD* RO208は、RTO最終ドメインプランを開始したいという自分の意図の表示をSDM206へ送信することができる。
SDM206は、THSMのSDP(system−wide domain policy)を評価すること、ならびにME202ドメイン上にどんな制約が課されるかおよび/または割り当てられるかを決定することによって、ME202ブートメッセージに応答することができる。これらのポリシー制約は、どのドメインを、それらの関連付けられているリモート所有者に従って、たとえばME202およびTHSM上などで、許容可能とすることができるかを含むことができる。SDM206は、THSM上にドメインを有する同じリモート所有者によって所有されているドメインに関してME202がどのシステムワイドリソースを使用することを許可されるかを決定することができる(その中で、自分が認識させられているものを含む)。SDM206は、ポリシー制約を自分のベースポリシーに含めることもでき、許容可能なリソースを自分のリソースリストに含めることもできる。MEPDMは、その情報を受信した後に、ME202上のリソースおよびドメインの管理に関する決定を、そのようなすべての決定に関してSDM206に許可を求めることなく、下すことおよび実施することに関する特定の特権を行使することができる。SDM206およびそのポリシー(SDP)は、たとえばGP準拠のスマートカード内のアプリケーションとして見た場合には、CI SDなどのセキュリティドメインによって却下することができる。SDM206は、自律を伴ってまたは伴わずに機能している場合に、却下することができる。
依然として図2を参照すると、プロセスは、228において継続することができる。228においては、SDM206は、SDP、利用可能なリソース、ならびに/または許容可能なドメインおよび/もしくは状態をチェックおよび/または評価することができる。230においては、「開始してもよい」という信号をSDM206からTD* RO208へ送信することができる。232においては、TPIA(THSM Platform Integrity Attestation)、TPES(THSM Platform Environment Summary)、MPID(ME Platform Integrity Data)、および/またはMPES(ME Platform Environment Survey)を求める要求を送信することができる。234においては、SDM206は、たとえば、既存のドメインからドメイン当たりのPCRの範囲にわたってインテグリティの認証を収集/連結すること、ならびに/またはTPES情報を収集および/もしくは連結することが可能である。
236においては、MPIDおよび/またはMPESを求める要求をSDM206からTDDO204へ送信することができる。242においては、MPIDおよびMPESを求める要求への応答をME202によって処理することができる。238においては、MPIDおよびMPESを、信頼の証明とともに、たとえば署名キーとともに、SDM206へ送信することができる。239においては、TPIA、TPES、MPID、および/またはMPESをSDM406からTD* RO208へ送信することができる。240においては、THSMは、MPID(生データ)からダイジェストMPIAを計算して、MPIAをチェックすることができる。許容可能である場合には、ダイジェストMPIAをTarget RO210へ送信することができる。242においては、TPIA||TPES||SCARD||Purpose||RTOを求める要求をTD* RO208からME202へ送信することができる。
図2Aを参照して、図2からのRTOプロセスを続けると、244においては、TPIA||TPES||SCARD||Purpose||RTOメッセージをME202からRO210へ送信することができる。246においては、RO210は、TPIA、TPES、および目的をチェックすること、おそらくは信頼できるサードパーティから受信されてROによって保持されている基準インテグリティメトリックRIMROに照らして元のドメインの信頼性を判定すること、許容可能性に関してドメインポリシー(DP)をチェックすること、または完全なドメイン状態を構築するためにCONFIGを作成することのうちの1つまたは複数を実行することができる。248においては、メッセージCONFIG||DP||RIMRO||RO identityをTarget RO210からME202へ送信することができる。250においては、CONFIG||DP||RIMRO||ROメッセージをME202からTD* RO208へ転送することができる。252においては、TD* RO208は、ドメインを構築および/もしくは構成すること、ならびに/または、RIMROに対するインテグリティをチェックすることが可能である。加えて、TD* RO208は、自分の所有権をTarget RO210によって取得されること、ひいては、それをTDROに変換することが可能である。254においては、ドメイン完成メッセージをTDRO208からME202へ送信することができる。256においては、ドメイン完成メッセージ(このドメイン完成メッセージには、(たとえば、署名を介して)インテグリティ保護を施すことができる)をTarget RO210からME202へ転送することができる。
ユーザ登録および/またはリモート証明書ロールアウトは、TD構築を完了すること、および/またはユーザに完全なサブスクライバーステータスを許可することが可能である。このプロセスは、プロトコルへのユーザならびにPOS(point−of sale)の参加を採用することができる。TSIMアプリケーションの移行は、TD機能を含む完全なドメイン転送、または、1つのデバイス(たとえば、発信元(ソース)デバイス)から同様の機能を有する別のデバイス(たとえば、宛先デバイス)へのサブスクライバー証明書のシンプルな再イメージングを含むことができる。移行に関しては、発信元から宛先デバイスへの証明書のポイントツーポイント転送のための2つの構成プロトコルを考慮することができる。1つの構成は、発信元デバイスおよび宛先デバイスの両方に関して1人の所有者を含むことができ、その一方で、別の構成は、それぞれのデバイスごとに別々の所有者を含むことができる。GPスマートカードは、それぞれのインスタンスにおける登録および/または証明書ロールアウトが実行されると、それぞれのTDの完全なAKA(authentication and/or key agreement)機能を提供することもできる。この機能は、いくつかの状況のもとでのポーティングには使用することができない。
ここで説明するのは、GPスマートカードと、THSM/TDアーキテクチャとの比較である。GPスマートカードに関しては、GPスマートカードアーキテクチャは、カードマネージャを含むことができる。カードマネージャは、カードの中央管理者、および/またはグローバルプラットフォームアプリケーションプログラミングインターフェース(API)とすることができる。カードマネージャは、OPEN(GP Environment)、カード発行者(CI)ドメイン、および/またはCVM(Cardholder Verification Method)サービスを含む論理エンティティとすることができる。カード管理構造は、信頼できるフレームワークを含むことができる。信頼できるフレームワークは、アプリケーション間通信、ならびに/または、たとえばカードリソース管理データ、カードおよびアプリケーションのライフサイクル情報、アプリケーションID、プロセス特権、関連付けられているドメイン、および/もしくは類似の情報などの情報を格納することができるグローバルプラットフォームレジストリに関して責任を負うことができる。
GPアーキテクチャ構造は、カード上での対話および/またはサービスのうちの多く、たとえば、アプリケーション間通信、アプリケーションにAPIを提供すること、コマンドディスパッチ、アプリケーションの選択、論理チャネルの管理、カードコンテンツの管理、ドメインパーソナライゼーションサービスおよび/もしくはセキュリティサービス、カードのロック、アプリケーションのライフサイクル状態の更新、ならびに/または、カード上での類似の対話および/もしくはサービスなどに関して責任を負うことができる。
GP機能は、カードSD構造および/または関連付けられているステークホルダのための動作環境を提供することができる。ステークホルダとは、TCG(trusted computing group)の用語だが、この用語は、TCG標準の範囲外の類似のエンティティを指すために使用することもできる。GPに関するステークホルダは、カード発行者(CI)、1つもしくは複数のアプリケーションプロバイダ(AP)、デバイス製造業者、端末所有者、制御権限者(controlling authority)、ならびに/または、ワイヤレス通信デバイス上のソフトウェアおよび/もしくはハードウェアにおいて権益もしくは所有権を有することができるその他のエンティティとすることができる。CIは、実質的なカード所有者である場合がある。APは、ネットワークオペレータである場合がある。たとえば、APは、WiMAXのためのネットワークオペレータ、セルラサービス、IMS、金融サービスプロバイダ、および/または類似のネットワークである場合がある。制御権限者は、たとえばCVMなどのグローバルアプリケーションサービスをその他のカードアプリケーションに提供することができる。ここでは、関連するステークホルダの例についてのさらに詳細な説明を提供する。
カードの仕様は、それぞれのステークホルダのアプリケーションが、関連付けられているSDを有することを要求することができる。それぞれのSDは、自分に関連付けられているアプリケーションの動作に関してステークホルダのセキュリティポリシーを実施することができる。カードのSD構造は、セキュリティポリシー実施についての最終的な制御を有する、たとえばCI SDなどの、外部ステークホルダを伴う階層的なものとすることができる。GPは、CIまたはその他の外部ステークホルダが、最終的なポリシー実施の権限を制御権限者に、またはアプリケーションの関連付けられているSDにさえ委任することを可能にすることができる。GPにおいては、CI SD以外への「委任される(delegated)」権限のさまざまなレベルを許可することができる。ここでは、委任される権限のレベルの例を特定して論じる。CIは、本明細書においては、セキュリティポリシー実施についての最終的な制御を有する外部ステークホルダを指すために使用することができるが、その他のいかなる(1人または複数の)外部ステークホルダも、セキュリティポリシー実施についての最終的な制御を有することができ、本明細書に記載されているCIに関連付けられている機能を実行することができるということが理解できるであろう。同様に、CI SDは、CIに関連付けられているSDを指すことができるが、セキュリティポリシー実施についての最終的な制御を有するその他のいかなる(1人または複数の)外部ステークホルダに関連付けられているSDも、本明細書に記載されているCI SDと同じまたは同様の機能を実行することができる。
図3は、GPアーキテクチャの例示的な一実施形態を示す図である。図3において示されているように、ワイヤレス通信デバイスは、複数のアプリケーションを含むことができ、それぞれのアプリケーションは、そのアプリケーション上でのポリシー実施を制御するように構成されているセキュリティドメイン(SD)に関連付けられている。たとえば、ワイヤレス通信デバイスは、(1つもしくは複数の)カード発行者アプリケーション308、(1つもしくは複数の)アプリケーションプロバイダ(AP)アプリケーション310、および/または(1つもしくは複数の)グローバルサービス(GS)アプリケーション312などの複数のアプリケーションを含むことができる。ワイヤレス通信デバイスは、発行者の(1つもしくは複数の)SD302、アプリケーションプロバイダの(1つもしくは複数の)SD304、および/または制御権限者の(1つもしくは複数の)SD306などの複数のSDを含むこともできる。(1つもしくは複数の)カード発行者アプリケーション308は、発行者のSD302に関連付けることができ、(1つもしくは複数の)APアプリケーション310は、アプリケーションプロバイダの(1つもしくは複数の)SD304に関連付けることができ、および/または(1つもしくは複数の)GSアプリケーション312は、制御権限者の(1つもしくは複数の)SD306に関連付けることができる。それぞれのセキュリティドメインは、自分の関連付けられている(1つまたは複数の)アプリケーション上でのポリシー実施を制御することができる。
ここで説明するのは、GPプラットフォーム特権およびセキュリティドメイン管理である。一実施形態によれば、ここで説明するそれぞれの機能的な特徴は、TSIMがGP準拠のプラットフォーム上で機能している間に実現されることが望ましい場合がある。TSIMがGP準拠のプラットフォーム上で機能している間にそれぞれの機能的な特徴を実現することができる程度は、たとえばGPカードマネージャまたはその他の外部ステークホルダに対してTSIMアプリケーションがどの程度自律的に機能することを認められるかによって決定することができる。自律レベルは、GP CIとTSIM APとの間におけるポリシー合致の結果に基づくことができる。自律レベルは、CI SDと、たとえばTSIM APなどの外部ステークホルダとの間における信頼のレベルに基づくことができる。信頼のレベルは、さまざまな基準に基づくことができる。たとえば、信頼のレベルは、最終的な制御を有するセキュリティドメイン(たとえば、CI SD302)のセキュリティポリシーと、外部ステークホルダ(たとえば、1つまたは複数のアプリケーション310をスマートカード上に常駐させようとしているAP SD304)のセキュリティポリシーとの間における合致のレベルによって決定することができる。信頼レベルは、CIがAPにどの程度なじんでいるかによって決定することもできる。一実施形態においては、信頼のレベルは、サードパーティからの推奨を考慮に入れることができる。APまたはその他の外部ステークホルダの評判も、信頼のレベルを決定する上で役立つことができる。信頼のレベルに基づいて、特権レベルを付与することができる。たとえば、CIは、TSIM APの信頼性を決定することができる。CIは、たとえば、TSIM SDPがCIのSDPと整合しているとみなされる場合には、AMP(authorized management privilege)を付与することができる。信頼レベルを決定する際に使用されるファクタが、CIにとってあまり合意できるものでない場合には、AMPよりも低い自律性を提供することができるDMP(delegated management privilege)の可能性が高まる場合がある。例示的な一実施形態によれば、CI SD302は、GP特権構造、または本明細書に記載されているような類似の構造に関して、最も高いSD権限とすることができる。
ここでは、少なくとも3つの特権レベルを説明することができる。そのような1つの特権レベルは、AMP(authorized management privilege)とすることができる。この特権レベルは、このような特権を付与されているいかなるアプリケーションにも最も多くの自律を提供することができる。TSIMアプリケーションがAMPを付与されている場合には、そのTSIMアプリケーションのSDは、SD階層の最上位に配置されること、および/または自己関連付けされる(self-associated)ことが可能である。GP環境においては、SDは、アプリケーションとみなすことができ、関連付けられているSDを有することもできる。SDは、自己関連付けされている場合には、自分自身のセキュリティサービスを使用することができる。このコンテキストにおいては、CI SDは、TV(token verification)特権および/またはRG(receipt generation)特権を有するTSIM SDを制御することはできない。自己関連付けされているSDは、SD階層内のTVおよび/またはRG構造を制御することができ、および/またはトークンを使用しないと決めることができる。これによって、ロードファイルのローディングに対する制御をSDに与えることができる。
もう1つの特権レベルは、DMP(delegated management privilege)とすることができる。この特権レベルは、強力であるとみなされているが、AMPによって提供されるよりも少ない自律しか提供することができない。アプリケーションSDは、自己関連付けすることができない。結果として、CI SDは、階層において自分よりも下のSDに対してTVおよび/またはRG特権を行使することによって、ロードファイルアクティビティを制御することができる。しかし、DMPを付与されることが可能であるSDは、ロードファイルのローディングを実行する権限、および/または、たとえばロードファイルアクティビティに関わるファイルインテグリティに関連するセキュリティプロセスなど、その他のセキュリティプロセスを監督する権限を有することができる。
別の特権レベルは、AMPでもDMPでもないものを含むことができる。AMPもDMPもなければ、SDは、非常にわずかな自律しか有することができない。CI SDは、ロードファイルに関するローディング機能を実行することができ、ならびに/または、ローディングプロセスを制御する際にTVおよび/もしくはRG特権を行使することができる。CI SDは、ファイルインテグリティを含むロードファイルアクティビティに対する制御を有することもできる。
ここで提供するのは、GPセキュリティドメイン管理の説明であり、これには、1)レシート発行メカニズム、2)トークン署名メカニズム、3)委任管理特権トークン、4)カード管理エンティティOPENによるレシートの監督、5)自己関連付けされているSC(smartcard)による補足SD(supplementary SD)の構成に関するメカニズム、6)DMPを有するSDに関する自己引き渡し(self-extradition)の問題、7)現実世界における自己引き渡しを伴う全体的な経験レベル、8)SCWS(SC web service)に関連付けられているアプリケーション、9)秘密のカード管理、10)トークン検証特権およびレシート生成特権の使用に関するメカニズム、および11)自己関連付けされているSCによる補足SDの構成に関するさらなる情報の説明が含まれる。
ここでは、いくつかの実施形態によるGPセキュリティドメイン管理プロパティについて説明する。GPセキュリティメカニズムを利用する一実施形態においては、補足SDは、トークン検証特権および/またはレシート生成特権を有することができる。例示的な一実施形態においては、カードごとに少なくとも1つのSDが、これらの特権のそれぞれを有することができる。そのSDは、トークン検証特権およびレシート生成特権の両方を有する同じSDである必要はないと言える。したがって、発行者ドメインは、トークン検証特権および/またはレシート生成特権を有することができるが、その他の実施形態においては、それは、トークン検証特権および/またはレシート生成特権を有する別のSDとすることができる。たとえば、一実施形態によれば、階層ごとに、レシート生成特権を有する1つのSD、およびトークン検証特権を有する1つのSDが、存在することができる。これは、カードごとの、レシート生成特権を有する1つのSD、およびトークン検証特権を有する1つのSDとは、異なるものであると言える。これらの特権を有するSDは、同じSDである必要はないが、同じSDであってもよい。階層において現在のSDよりも上位のSDがRG特権を有することをOPENが検知した場合には、レシートを生成することができる。しかし、これは、トークンが使用されたかどうかに依存することができる。レシートを発行すること、および/またはレシートをSDの所有者へ送信することができるのは、RG特権を有するSDとすることができる。ISDがレシートに署名した場合には、そのレシートをCIへ送信することができる。
一実施形態によれば、ロードレシートを発行するために、TSIMの自律が存在することができる。TSIMに関連付けられているSDには、承認管理特権を付与することができる。たとえば、CIは、承認管理特権を、TSIMに関連付けられているSDに付与することができる。CIは、トークン検証特権および/またはレシート生成特権も付与することができる。この構成においては、TSIMは、自分のSD階層の最上位に存在することができ、TSIMアプリケーションのカードコンテンツを管理することができる。
GPセキュリティ管理プロパティを有する実施形態においては、可能なトークン構築方法は、トークンの生成/発行、トークンの検証、および/またはレシートの生成を含む。たとえば、複数の実施形態は、CIがカードの構成を追跡把握できるようにするために、レシートを使用することができる。レシートは、SD所有者(たとえばAPおよび/またはCIなど)に、対応するトークンが首尾よく使用されていることを知らせるために使用することができる。どのSDがレシートに署名するかに従って、SD所有者を確立することができる。SDは、カードの構成を追跡把握することはできない。GPレジストリは、構成に関するデータを格納することができ、および/または、管理イベントが成功した後に自動的に更新されることが可能である。OPENは、たとえば、構成に関する情報を得るためにGPレジストリを読み取ることができる。たとえば、承認されたオフカードエンティティ(off-card entity)が、GET STATUSコマンドを使用して、レジストリを読み取ることができる。一実施形態によれば、TSIMに関連付けられているSDは、TSIM APによって所有されることが可能である。GPレジストリは、トークンおよび/またはレシートが使用される場合に構成データを格納することができる。格納メカニズムは、トークンがTSIM APによって発行される場合、および/またはそのようなトークンが、TSIM SDによって、署名されたレシートを用いて検証される場合には、同じものとすることができる。
GPセキュリティメカニズムを使用する一実施形態においては、補足SDは、トークンを検証することができる。新たなアプリケーションをロードするために、DM特権を有する補足SDのためにDAPおよび/またはDMトークンを要求することができる。これは、新たな子SDをロードすることを含むことができる。アプリケーションをロードおよび/もしくはインストールするために、ならびに/または、そのアプリケーションをそのアプリケーションのさまざまなライフサイクル状態を通じて移動させるために、さまざまなタイプのトークンを使用することができる。DAPは、APによって生成することができる。APは、DM特権を有する補足SDを所有することができる。しかし、トークン(Delegated Managementトークンを含むことができる)は、CIによって生成することができる。これが意味することができるのは、自分の特権を有する、補足的な、自己引き渡しされたSDは、CIからトークンを得ることができるということである。トークンは、APからのさまざまなINSTALLコマンド内に含めてスマートカードに供給することができる。APは、アプリケーションをロードするために、自分のDM特権を使用することができる。加えて、1つのタイプのトークンが存在することができる。DAPは、トークンから独立することもできる。トークンは、たとえばSDのオフカード所有者(off-card owner)によって、TV特権を伴って、署名および/または発行することができる。なぜなら、そのSDは、トークンを検証する際に用いるキーを有することができるためである。一実施形態によれば、階層ごとに1つのTV特権が存在することができる。1つのツリーを伴うカードに関しては、ISDは、DMPを有するSDが存在する場合には、TV特権を有することができる。代替実施形態においては、トークン発行者は、そのトークンに署名することができるAPに署名キーを送信することができる。これは、どのSDがTV特権を有するかに影響を与えることはできない。対称的な署名プロセスが使用されている場合には、APは、TV特権を有しているならば、トークンを検証することができる。一実施形態によれば、CIは、キーを与えないことが可能であり、および/または、2つの異なる階層での、それぞれの階層のルートにおいて自分自身のAM特権を伴う、分割管理を選択することができる。
TSIM APは、自分が所有するSDとキーを共有することができる。一実施形態によれば、TSIM APは、対称キーが採用されている場合には、キーを共有することができる。APは、トークンを発行すること、および/またはトークンに署名することが可能である。SDは、トークンの署名を検証すること、ならびに/またはレシートを生成すること、および/もしくはレシートに署名することが可能であり、そのレシートは、レシート検証のためにAPへ返送される。この手順において使用されるGP証明書は、TSIMの信頼できるドメインに関連付けられている証明書とは異なるものとすることができる。
いくつかの実施形態においては、DMトークン(たとえば、またはその他のトークン)には、CI以外の外部ステークホルダによって署名することができる。たとえば、トークンの発行者は、トークン検証特権を有するSDのSDプロバイダとすることができる。一実施形態によれば、SDプロバイダは、CIとすることができる。DMトークンには、たとえばAPなど、CI以外の者によって署名することができる。適切な特権を有する自己引き渡しされた補足SDは、CIから独立することができる。いかなるSDも、TV特権を有することができる。たとえば、階層ごとに1つのSDが、TVを有することができる。トークンに署名することができるのは、特権付きのSDの所有者とすることができる。それは、発行者、またはセキュリティポリシー実施の最終的な制御を有するその他の外部ステークホルダである必要はないと言える。たとえば、非ISD階層におけるSDは、TV特権を有することができ、および/またはそのSDの所有者は、トークンに署名できるようにすることができる。
さらに、所望のタイプのTSIM構成に基づいて、さまざまなGPドメイン階層が考えられる。たとえば、別々のリモート所有者はそれぞれ、自分のTD機能の一部として実行されるソフトウェアを有することができる。TSIMアプリケーションは、これらのリモート所有者のそれぞれに関する対応する、関連付けられているGP SDを伴って構築することができる。SDは、自分のアクティビティを監督するTSIMに関連付けられているSDとともに自分自身の構成を管理するための委任管理特権を付与されることが可能である。
ここでは、DMトークンについて、一実施形態に従ってさらに説明する。トークンは、さまざまなアクションおよび/または特権において使用することができる。DMトークンとは、カードコンテンツを管理するDMプロセスにおいて使用される任意のトークンを指すことができる。上述のようなDMトークンは、たとえばTSIMアプリケーション構成構築プロセスのコンテキストにおいて使用することができる。
一実施形態によれば、OPENは、レシートが使用されるかどうかを判定することができる。OPENは、レシートを使用することができる場合には、たとえば、関連するコマンド(たとえば、INSTALL)が首尾よく実行された後には、必ずレシートが生成されるようにすることができる。OPENは、階層内のSDのうちのいずれかがレシート発行特権を有するかどうかを判定することができる。現在のSD、または階層においてそのSDよりも上位のSDが、Receipt Generation特権を有する場合には、OPENは、必ずレシートが生成されるように、および/またはApplication Providerへ送信されるようにすることができる。TSIMポーティングのさまざまな実施形態は、1)トークンなし、2)レシートを伴わないトークンあり、ならびに/または、3)完全な検証を伴うトークンおよび/もしくはレシートありなど、トークンおよびレシートのさまざまな使用の組合せを含むことができる。一実施形態においては、発行者ドメインがレシート発行特権を有する場合には、(たとえば、自己関連付けされているSDのためにではなく)ISDに関連付けられているSDのためにレシートを生成することができる。一実施形態においては、アプリケーションをロードするSDが、自己関連付けされていて、レシート生成特権を有していない場合には、階層の最上位にあるSDによってレシートを生成することはできない。レシートは、任意選択とすることができる。たとえば、SDが階層の最上位にある場合には、そのSDがアプリケーションをロードするためにどの特権を使用するかを決定することができる。たとえば、SDがAM特権を有する場合があり、これが意味することができるのは、そのSDは、トークンを使用することができず、ひいてはレシートを生成することができないということである。SDは、RGおよび/またはTV特権を有する場合には、補助SD(subsidiary SD)のためのレシートを発行することができる。一実施形態によれば、レシートは、DM特権を有する場合に、および/またはCCMオペレーションを実行するためのトークンを有する場合に、発行することができる。SDは、DMおよびTV特権の両方を有する場合には、AM特権を有するのと実質的に同等な自律を有することができる。なぜなら、SDは、自分自身のトークンを検証することができるためである。
一実施形態によれば、DM特権を有する自己関連付けされているSDは、自分自身の下に、補助SDの直線的なチェーンおよび/またはSDのマルチレベルツリーを作成することができる。たとえば、SDは、階層内のTV特権付きのSDによって検証することができる正しいトークンを提示することができる。一実施形態によれば、少なくとも2つのレベルのSDが存在することができる。たとえば、1つの補足SDが、Issuer Domainの下に存在することができる。自己関連付けされているSDは、自分の下にいかなるSDも有することができない。多層ツリーを作成することができる。それぞれのSDは、自分が他のどのSDに関連付けられているかを知ることができ、および/または、正しい情報をGP Registry内に格納することができる。一実施形態においては、補助SDは、アプリケーションとすることができ、カード上にロードされるためには、および/または動作可能になるためには、さまざまなカードコンテンツ管理プロセスを経なければならないこととすることもできる。補足SDは、自分自身の下に補助SDをロードできるようになるために自己関連付けされる必要はないと言える。補足SDは、DM特権を有することができる。たとえ補足SDがDM特権を有していなくても、最上位レベルのSDを使用して、補足SDの下にSDをロードすることができる。自己関連付けされているSDは、自分自身のサービスを提供しなければならない場合があり、それらのサービスは、いくつかのAPにとって望ましい場合がある。Issuer Domainは、自己関連付けされているSDおよび/またはそのアプリケーションを無効にする(kill)ことができる。自己引き渡しされたSDは、AM特権を有することができる。たとえば、トークンは、自分が子SDを作成することを必要とされない場合がある。一実施形態においては、トークンを検証する上で、最上位レベルのSDよりも上位のエンティティは存在することができず、たとえば、最上位レベルのSDは、DM特権を有することができない。たとえば、これは、TSIMに関連する場合がある。なぜなら、TSIMセキュリティドメイン階層内のSDは、リモート所有者の好みに従って自分の構成を構築することができるためである。
一実施形態においては、DM特権を有するSDは、自分自身の自己引き渡しを実行することができる。一実施形態によれば、トークンを使用することができる。自己引き渡しの後に、自己関連付けされているSDは、本明細書に記載されているように、AM特権を取得することができる。ISDは、一実施形態によれば、AMを付与することができる。AMは、GP Registryを更新することによって付与することができる。自己関連付けされているSDの所有者は、GP Registryを更新するようCIに求めることができる。したがって、SDは、CIからの許可なく自分自身を自分の親から切り離すことができない場合がある。一実施形態によれば、SDは、引き渡しトークンを使用する場合に、自己引き渡しを許可されることが可能である。一実施形態によれば、複数の自律的なSD階層が存在することができる。SD階層は、TSIMの範囲内に存在することができる。たとえば、それぞれのリモート所有者ごとに1つのSD階層が存在することができる。
同様に、承認管理特権を有するSDは、自分自身の自己引き渡しを実行することができる。たとえば、そのSDは、自分自身の階層の最上位に存在することができる。そのSDは、ISDの階層内に存在することはできない。これは、ISDがその階層内にAMを有することができることに起因する場合がある。ISDの下の既存のSDがISDによって自己引き渡しされた場合には、ISDは、GP Registryに入ること、および/または新たに自己関連付けされたSDにAM特権を付与することが可能である。
いくつかの実施形態においては、キー管理のためのGPメカニズムに関連した発行を決定することができる。たとえば、SCWSに関連付けられているOPは、MNOによって管理および/または所有されることは不可能であり、そのSCWSに関連付けられているOPを補助SD内にインストールするサードパーティのOPによって所有されることが可能である。SCWSに関連付けられているOPの所有者は、アプリケーションを管理するために直接GPコマンドを使用することができる。一実施形態によれば、SCWSを経由しなければならない代わりに、直接のコマンドを使用することができる。OPの所有者が、SCWSを所有しているカード発行者ではない場合に、直接のコマンドを使用することができる。SCWSおよび/またはOPアプリケーションの両方がGPアプリケーションである場合には、SCWSは、Trusted Pathを使用して、OPアプリケーションを呼び出すことができる。SCWSおよび/またはOPは、別々のSDの下に存在することができる。たとえば、SCWSおよび/またはOPは、別々の所有権の下に存在することができる。OPアプリケーションには、GP方法および/またはOMA/SCWS方法を使用して、キーを供給することができる。たとえば、SCWSがGPアプリケーション(通常のJava(登録商標)cardまたはネイティブアプリケーションなど)ではない場合、および/またはOPがGPアプリケーションである場合には、GPを使用してOPアプリケーションを管理することができる。SCWSがOPアプリケーションを呼び出すこと、および/またはOPアプリケーションにキーを供給することを可能にするための機能がGP内に存在することはできない。一実施形態においては、SCWSおよびOPアプリケーションは、TSIMとともにカード上に存在することができるが、カードの外で機能することができる。
一実施形態によれば、CCM(Confidential Card Management)は、暗号化されたロードブロックのローディングを可能にすることができる。暗号化されたロードブロックは、AP以外のいかなる者によっても復号することはできない。APは、信頼されていないトランスポートリンクを介して秘密のアプリケーションをロードすることができる。Link Platform Operator(たとえばセキュアなOTAシステムを伴うMNOなど)は、秘密のアプリケーションをロードおよび/もしくは管理するために、SD(APSDと呼ばれる場合がある)を作成すること、ならびに/またはAPSDの所有権をAPへ移転することが可能である。APは、秘密のローディングを管理するために、SD(たとえば、APSD)を使用することができる。APSDによって使用されるキーは、LPOによって知られていないものにすることができる。それを達成するために、Controlling Authorityの役割を拡張することができ、それによって、Controlling Authorityは、APSDのためのキーの作成および/またはAPSDのパーソナライゼーションをセキュアなものにすることができる。これは、STORE DATAコマンドを使用して、LPOのネットワークを介して行うことができる。APSDキーは、カード上に生成すること、および/またはリモートAPへ送信することが可能である。APSDは、カード外に生成すること、および/またはAPSDへ送信することが可能である。DMトークンに署名するために、対称暗号化(symmetric crypto)を使用することができる。CCMは、カードコンテンツ管理のためのメカニズムを避けて通ることはできない。たとえば、DAPおよび/またはトークンは、依然として使用することができる。ロードトークンには、Card Issuerによって署名することができる。SDの作成および/または割り当てに関しては、信頼をCIからControlling Authorityへ移すことができる。一実施形態によれば、CAは、APの公開キーを保持することができる。CAは、APのSDキーのカード上での生成を行うこともできる。CAは、APのSDキーをAPの公開キーとともに暗号化すること、および/またはそれらをAPへ送信することが可能である。アプリケーションペイロードは、LPOの(たとえば、NOの)ネットワークを通って進むことができる。
APSD(リモート所有者によって作成することができ、および/またはDM特権を有することができる)は、階層の最上位におけるTSIM SDの監督を伴う自分の実行可能なS/Wを構成することができる。たとえば、信頼できるドメインの機能のポーティングは、CIによってTSIM SDに付与される自律のレベルに直接依存することができる。上述の機能のうちのいくつかは、CI、または、セキュリティポリシー実施の最終的な制御を有するその他の外部ステークホルダの権限のもとで実行することができる。全体的なTSIMの自律がなければ、TSIM機能のうちのいくつかおよび/またはすべてを許可することはできない。
一実施形態によれば、トークン検証特権(カードごとにこれらのうちの少なくとも1つが存在することができる)を有するSDは、トークンを発行していなくてもトークンを検証することができる。たとえば、このSDは、トークンを検証するために使用されるキーへのアクセスを有することができる。トークン検証のプロセス(トークンを含んだコマンドをカードが実行することを承認することができる)は、OPENの一部とすることができる。APは、CIからトークンを得ることができる。たとえばAPは、CIが、トークンを発行したCIである場合には、そのCIからトークンを得ることができる。これは、帯域外で行うことができる。階層ごとに、TV特権を有する少なくとも1つのSD、および/またはRG特権を有する1つのSDが存在することができる。一実施形態においては、TV特権を有するSDは、トークンに署名したオフカードエンティティによって所有することができる。その階層内のRG特権を有するSDは、レシートに署名するSDとすることができる。APがトークンを得るプロセス、および/またはAPがレシートを処理するプロセスは、カード外で行うことができる。たとえば、OPENは、DM特権を有するSDのためのカード管理コマンドを実行するための前提条件として、カード上でのトークン検証プロセスを実施することができる。OPENは、RGを実施することもできる。たとえば、OPENは、階層内でRG特権が検知された場合には、RGを実施することができる。
一実施形態によれば、承認管理特権を有する(1つまたは複数の)TSIM SDが、トークン使用の有無を問わずに機能することができる限り、OPENの実施ポリシーは、TSIMアクティビティに干渉することはできない。TSIMは、委任管理特権をSDが有するかどうか、およびトークンが使用されるかどうかという点から、自分のSDをどのように構成するかを決めるために、使用されることが可能である。
例示的な一実施形態においては、DM特権を有する自己関連付けされているSDは、補助SDのグループを、SDのそのグループが同じレベル上に存在するように、作成することができる。たとえば、DM特権を有するSDは、より多くのSDを自分の下にロードできるようにするために自己関連付けされる必要はないと言える。しかし、トークンを使用することはできる。上述のように、自己関連付けされているSDは、DMPを有することはできない。ツリーの最上位にあるSDは、AMPを有することができる。最上位のSDよりも下位のSDがDMPを有する場合には、最上位のSDは、TV特権および/またはRG特権を有することができる。これらの特権のそれぞれは、レシートが使用されるかどうかに依存することができる。親(たとえばAMPを有する自己関連付けされているSDなど)は、互いに同じレベルにある子SDのグループを作成することができる。一実施形態においては、親は、自分と同じレベルに子SDのグループを作成することはできない。
THSMに関しては、THSMは、信頼できるサブスクリプション管理機能を提供するように設計することができる、ハードウェアで保護されたモジュールである。たとえば、THSM機能は、GSMのためのSIM機能、それぞれUMTSおよび/もしくはIMSオペレータのためのUSIMおよび/もしくはISIM機能、ならびに/または非3GPPアクセスネットワークサブスクリプションとして実行される機能を含むことができる。たとえば、UMTS環境に関連付けられているUICC機能を含むことができる。
図4は、THSM404がハイレベルユーザ機器(UE)400デバイスアーキテクチャの一部である一実施形態を示す図である。UE400は、THSM404およびME402から構成することができる。THSM404は、UE400上に組み込んでもよく、または組み込まなくてもよい。THSM404は、たとえUE400上に組み込まれていても、ME402とは論理的に別個のものとすることができる。THSM404は、1つまたは複数のドメインを有することができる。たとえば、THSM404は、THSMデバイス製造者(DM)ドメイン406、THSMデバイス所有者(DO)ドメイン408、THSM DUもしくはデバイスユーザ(U)ドメイン412、SDM(System−Wide Domain Manager)ドメイン410、および/または、1つもしくは複数のRO(Remote Owner)ドメイン414を含むことができる。それぞれのドメインは、そのドメインの特定の所有者によって所有することができ、ならびに/または、セキュアな信頼できるサービスおよび/もしくはアプリケーションを提供することによって、その所有者のために機能することができる。図4における点線は、ドメイン所有者と、THSM404内の対応するドメインとの間における接続を示している。一実施形態によれば、これらの接続は、ドメイン所有者と、ME402との間におけるOTA(over the air)インターフェースを介して、およびME402と、THSM404との間におけるインターフェースを介して可能にすることができる。THSM404内のドメインは、格納および/または実行環境としてはTHSM404よりもセキュアではないとみなされることがあるME402内で実行するには安全または好都合ではない可能性があるセキュリティに敏感な機能および/またはアプリケーションを実行することができる。本明細書に記載されている例示的な実施態様では、図4に関連して説明されているようなコンポーネントに言及する場合がある。
ドメインのうちのいくつかは、1つまたは複数のモバイルネットワークオペレータ(MNO、たとえば3Gおよび/または4GモバイルMNOなどによって所有および/または管理することができる。ドメインは、その他の通信ネットワークオペレータ、たとえば、WLAN、WiMax、または類似の通信ネットワークオペレータおよび/もしくはアプリケーションサービスプロバイダなどによって所有および/または管理することができる。サブスクリプションの管理は、所有者によって所有されているドメインによってサポートすることができる主要なアプリケーションであると言える。THSMドメイン上で実施されるサブスクリプション管理の機能については、TSIMの機能として説明する。さまざまなドメインが、複数のタイプの機能をサポートすることができる。たとえば、それらの機能は、3Gモバイル端末上のUICC上のUSIMおよび/またはISIMアプリケーションによって提供される機能と同様のものとすることができる。THSMは、たとえばUICCのように、TSIM用以外の機能ならびに/またはアプリケーションおよびデータを有することができる。ここでは、THSMコンポーネントについてのさらなる説明を記載する。それらの説明は、限定を伴わずに、例示的な目的で提供される。
TD(Trusted Domain)は、THSMアーキテクチャおよび/またはME内のソフトウェア/ファームウェアエンティティである。TDは、自分の所有者(たとえばリモート所有者を含むことができる)のために、信頼できるセキュリティ機能および/またはアプリケーションを含むサブスクリプションサービスを提供することができる。サブスクリプションモジュール内のドメインは、ME内で実行するには安全または好都合ではない可能性があるセキュリティに敏感な機能および/またはアプリケーションを実行することができる。ドメインは、所有権が発生する前の基本的な機能を伴う「元の」状態にあることが可能である。ドメインは、所有権プロセスを通じて完全な機能を実現することができる。例示的な一実施形態によれば、所有者は、本明細書に記載されているような外部ステークホルダまたはその他のステークホルダであることが可能である。1人の所有者が、1つのTDの所有権を取得することができる。1人の所有者が、複数のTDを所有することもできる。TDアプリケーションは、TDおよび/またはアプリケーションが存在する構造を監督することができる。TDは、TD APP S/Wおよび/またはポリシーファイルSDMおよび/またはSDPおよびその関連付けられているSDによって管理することができる。たとえば、TDは、TDアプリケーションの観点から管理することができる。
TSIM(Trusted Subscriber Identity Management)は、UMTSにおけるUSIMとして特定のTD内で同様の役割を果たすことができる。これは、USIMがUMTSにおけるサブスクリプションアプリケーション機能であることに起因すると言える。TSIMは、USIMよりも抽象的な論理エンティティであると言える。TSIMは、UMTS環境におけるUSIMのサブスクライバー機能、たとえば認証および/またはキー合致などを提供することができるが、USIMのようにUICCに結び付けることはできない。その代わりに、TSIMは、THSM内のROの(1つまたは複数の)TD内に存在することができる。より大きな一般性をGP準拠のアーキテクチャから得ることができ、ここでは、そうした一般性について説明する。TSIMは、VSIM(Virtual Subscriber Identity Module)に関連し、VSIMの拡張であることも可能である。
RO(Remote Owner)は、RTO(Remote Take−Ownership)プロトコルを通じてTDに対する自分の所有権ステータスを得るリモートステークホルダであると言える。複数のROが、TDの所有権を得ることができる。
DM(Device Manufacturer)は、リモート所有者であると言える。DMの所有権プロセスは、UEの電源投入時に事前構成することおよび/または確立することが可能である。DMによって所有されている信頼できるドメインは、TDDMと表示される。
DO(Device Owner)は、たとえば企業のIST部門などの団体である場合がある。DOは、個人である場合がある。DOは、UEにとってローカルであるとみなされる場合がある。所有権プロセスは、事前構成すること、および/またはリモートで行うこと(RTO)が可能である。DOによって所有されている信頼できるドメインは、TDDOと表示される。DOによって所有されているエンティティは、UE、ME、および/またはTHSMであることも可能である。
U(Device User)は、DOと同じ場合もあり、または異なる場合もある。このアーキテクチャによって、複数のユーザをサポートすることができる。団体による所有権のケースにおいては、団体、および/または団体内のそれぞれのエンティティが、ユーザとして機能することができる。たとえば、団体が複数の従業員を含むケースにおいては、それらの従業員は、ユーザとして機能することができる。ユーザは、ローカルなTO(take ownership)プロセスを通じて所有権を取得することができる。Uによって所有されている信頼できるドメインは、TDUと表示される。
SDM(System−wide Domain Manager)は、リモートから所有されるドメインを構成すること、リモートから所有されるドメインの元の状態を確立すること、および/または、リモートから所有されるドメインに関するRTOを通じて確立されるその後の状態において主要な役割を果たすことを担当することができる。SDMは、自分のプロセスを推進するためにポリシー情報を採用することができる。SDMは、TSIM階層内のTDのTSIMシステムを管理することができる。SDMは、GP環境内のアプリケーションの1つのスイートであることが可能である。SDMがGP環境内にある場合には、SDMの監督下にないその他のアプリケーションが存在することができる。たとえば、TSIM階層、ならびにスマートカード上のその他のアプリケーションは、CIによって付与される許可のおかげでGP環境内に存在することができる。信頼のレベルに基づいて特権を付与することができ、スマートカード上に常駐することを許可されているアプリケーションに対して、たとえばCIによって、特権を付与することができる。
SDP(System Domain Policy)は、元のリモートから所有されているドメインのうちのどれがSDMによって作成されているか、および/またはそれらのドメインに関するRTOがどんな状況のもとで行われるかを特定することができる事前構成されたファイルであると言える。SDPは、静的なものとすることはできない。なぜなら、ポリシーの変更については、必要が生じるたびに個々にROと交渉することができるためである。TSIMプロセスを統制するアクティブポリシーは、GPカードマネージャによって最終的に監督することができる。
スマートカード、たとえばGP準拠のスマートカードなどを含むデバイスに関してさまざまなステークホルダが果たす役割を識別および/または定義することは、TDアプリケーションが自分の潜在的な機能を実現できる際の柔軟性を決定する上で役立つことができる。ここで説明するのは、さまざまなステークホルダの例、およびスマートカードを含むデバイスに関してそれらのステークホルダが果たすことができる役割の説明である。ここで説明するステークホルダのうちの任意の1人または複数は、ワイヤレス通信デバイス上でのセキュリティポリシー実施の最終的な制御を有することができる外部ステークホルダであることが可能であるが、本明細書においては、一般にCard Issuerが、セキュリティポリシー実施の最終的な制御を有する外部ステークホルダとして記載されている。
CI(Card Issuer)カード発行者は、カードを所有する人および/またはエンティティであると言える。CIは、自分の動作に最終的に責任を負うことができる。CI SDは、カード上にロードすることができるあらゆるアプリケーションのコントローラおよび/またはスーパーバイザであると言える。しかし、本明細書において示されているように、アプリケーションの自律レベルは、関連付けられているSDに付与される特権に応じて大幅に変わることができる。
CM(Card Manufacturer)は、スマートカードの製造業者である。CMは、カードコンポーネント、コマンドインターフェース、トランザクションシーケンス、および/またはスマートカード内の類似のハードウェアから構成されている実際のハードウェアの生産者であると言える。概念的なエンティティとしてのCMは、スマートカードのソフトウェアおよび/またはアプリケーション機能を実施する上での重要性が相対的に高くないと言える。
端末所有者は、デバイスの端末コンポーネント部分を所有する人またはエンティティであると言える。たとえば、デバイスが、統合されたカードおよび/または端末から構成されている場合には、所有者は、AT&T(登録商標)もしくはVERIZON(登録商標)などのサービスプロバイダ、金融機関、および/またはその他のサービス提供エンティティであることが可能である。例示的な一実施形態によれば、端末所有者は、IST部門などの企業、および/または、デバイスのユーザとして識別することができる従業員にデバイスを分配している会社であることが可能である。端末所有者は、デバイスの個人ユーザであることも可能である。2つの所有権構成を可能とすることができる。たとえば、カードおよび/または端末の所有者どうしは、同じエンティティもしくは人であってもよく、または異なってもよい。したがってCIは、端末ならびにカードを所有することができる。
デバイスユーザは、デバイスを使用する人または企業であると言える。
AP(Application Provider)は、カード上に常駐するアプリケーションを提供および/またはインストールすることができる潜在的な多くのエンティティのうちの任意のエンティティであると言える。たとえば、APは、サービスプロバイダであることが可能である。TDアプリケーションに関しては、APは、TDアプリケーションプロバイダおよび/またはTDのROであることが可能である。TD APは、TD構成を、および/または、自律を有する範囲内でTDアプリケーション内のTDの動作を制御するソフトウェアの所有権を有することができる。TD SDM、および/またはTSIM SDPは、本明細書において説明および/または定義されているような関連するエンティティであることが可能である。ROはAPであることが可能であるということを考えれば、APおよびROは、交換可能に使用することができる。
CA(Controlling Authority)は、インテグリティチェック方法であるDAP(Data Authentication Pattern)Verificationを命じることを通じてCard Contentに対する制御を保持する特権を有することができる。CAは、カード上にロードされたアプリケーションコード上でセキュリティポリシーを実施する特権を有することができる。
上述のステークホルダの説明に関して、さまざまな想定を行うことができる。さまざまなステークホルダの構成によって、カード管理の結果を推進することができる。これらのカード管理の結果は、カードアプリケーションが行動を許可される様式に影響を与えることができる。したがって、アプリケーション自律のレベルは、説明する想定に依存することができる。
GP(Global Platform)およびTSIM/THSMスマートカードは、アーキテクチャおよび/またはフィロソフィーにおいて異なることが可能である。GPは、GPの主要部分、たとえばCI SD、OPEN、および/またはCVM(Cardholder Verification Method)Servicesなどを用いて、カードマネージャの定義および/または記述を指定することができる。GPは、ステークホルダに対応するセキュリティドメインを使用して、カードマネージャの定義および/または記述を指定することもできる。たとえば、GPは、CISD、OPEN、およびCVM Services、ならびに、3つの主要なステークホルダに対応するセキュリティドメインを用いて、カードマネージャの定義および/または記述を指定することができる。これらの記述は、セキュリティドメインおよび/または非セキュリティドメインアプリケーションのライフサイクル、ならびにカード上での(アプリケーション間の)および/またはカード外での通信(関連したセキュリティ問題を含む場合がある)をカバーすることができる。記述されるセキュリティドメインの特徴は、ドメインの階層構造、および/またはそれらの構造を統制するルールを含むことができる。しかし、さまざまなアーキテクチャフレームワーク内で、少なくとも2つのTSIM/GPの共通点を認識することができる。それらは、次のように与えられる。1)アプリケーション、機能、および/もしくは証明書のリモートダウンロード、ならびに/または2)複数のステークホルダの調節。GPに関する主要なステークホルダは、CI、CA、および/またはAPであると言える。
ここで説明するのは、THSM/TDと、GPとの間における実施態様の比較の例である。一実施形態によれば、GPの実施態様と比べて、RTO、登録、および証明書ダウンロードプロトコルへのユーザの関与は、異なることが可能であり、登録および/もしくは証明書ロールアウトプロセスにおけるPOS(point of sale)の使用は、異なることが可能であり、インテグリティチェックを採用するTDのセキュリティの側面は、異なることが可能であり、1人および/もしくは2人のデバイス所有者を含む移行プロトコルは、異なることが可能であり、ならびに/または、MEが完全なMTM機能を有し、リモートから所有されるドメインを自分の上に、および/もしくはカード上にインストールすることを可能にすることができるTDの実施形態は、異なることが可能である。
本明細書に記載されているように、TDコンセプトは、GPアーキテクチャ内に組み込むことができる。GP環境におけるTDの実現は、TDおよび/またはそれらの関連付けられているGP SDから構成することができる。それぞれのTDは、そのドメインのための機能を提供するTDアプリケーションを所有することができる。それぞれのTDは、自分のアプリケーションのインストレーションおよび/またはその後の動作に関するカードレベルのセキュリティを提供することができる、関連付けられているSDを有することもできる。いくつかの実施形態においては、TDは、SDとは別個の異なるエンティティである。
図5は、非TSIM関連SSD(subsidiary security domain)502、およびTDM(TD domain manager)関連SSD504という2つのセキュリティドメイン(両方とも、CI SD500に対して補助的である)を伴うGP SD階層を示す例示的なブロック図である。非TSIM SSD502は、アプリケーション516を制御することができる。TDM SSD504は、デバイス所有者(DO)またはユーザ(U)のためのアプリケーションTD510から構成することができる。アプリケーションTD510は、TDM SSD504に対して補助的である関連付けられているTSIM SSD508を有する。TDM SSD504に対して補助的である関連付けられているSD5121〜nを有するRTO前のアプリケーションTD*5141〜nのセットも示されている。たとえば、RTOが行われない場合には、それぞれのTD*5141〜nは、元の状態にあり、まだリモートから所有されない。TDM SSD504は、ドメインマネージャと呼ばれる場合もある。TDM SSD504の機能は、実質的に、デバイス製造業者および/またはデバイス所有者の機能に取って代わることができる。
CIと、TSIM−AP(TSIM application provider)との間における演繹的なポリシー合致は、AMP、DMPを許可すること、またはAMPもDMPも許可しないことが可能である。オペレーショナルモードは、トークンベースとすることができる。一実施形態においては、CI SD500は、TDM SSD504がAMPを付与されない限り、TVおよびRG特権を有する。CI SD500は、たとえば、AMPもDMPもTDM SSD504に付与されていない場合には、信頼できるドメインのTSIMアプリケーションプロバイダのロードファイルをロードすることができる。トークンベースモードにおいては、たとえば、信頼できるドメインのTDMアプリケーション(APP TDTDM506など)のローディングのためのTVおよびRGを、信頼できるドメインのアプリケーションプロバイダによって実行することができる。完成された信頼できるドメインは、可能性のあるGPの制約を除いて、完全に機能的である(たとえば、元の状態ではない)ことが可能であり、証明書を含むことができる。AMPまたはDMPが演繹的なポリシー合致において許可されている場合には、それぞれの元のTD*5141〜nのためのアプリケーションをTDM SSD504によってロードすることができる。そうでない場合には、それらのアプリケーションは、CI SD500によってロードすることができる。結果として得られる元の信頼できるドメインの機能がTSIMの好みと合っているかどうかは、アプリケーションローディングプロセスに依存することができる。
App TDTDM506と表示されている信頼できるドメインは、さまざまなサービスプロバイダ、たとえば、MNO、銀行コンツェルン(banking concern)などに相当する場合があるリモート所有者の複数のリモートから所有されている信頼できるドメインになることができるものは何であるかを管理するアプリケーションコンポーネントを含むことができる。TDマネージャアプリケーションは、少なくとも部分的に、SDMおよび/またはSDPから構成することができる。これらは、図5において構成されている内容を推進するものであると言える。
たとえば、GP Platform上には、さまざまなTSIM構成が存在することができる。ここで説明する例示的なTSIM構成は、TSIMアプリケーション、および/または、TSIMアプリケーションによって対応される任意のアプリケーションに対してGPプラットフォーム動作環境が許可することができる自律のレベルに対応する。図6、図7、および図8は、GPセキュリティドメイン(SD)構造の例示的な構成を示す図である。TSIM Domain Manager SDは、CI SDに対して補助的であることが可能である。TSIM Domain Manager SDは、非TSIMアプリケーションSDに対して補助的であることが可能である。リモートから所有されているTD SDは、ドメインマネージャと同じレベル上に存在すること、および/またはドメインマネージャに対して補助的であることが可能である。GPカード管理システムによって付与される特権は、TD構成どうしを互いに区別することができる。CIによって許可される特権は、TD構成どうしを区別する際に特に重要となる場合がある。TSIMは、アプリケーションのセットとみなすことができる。それぞれのアプリケーションは、それぞれのTDによって実現される機能を提供することができる。
一実施形態によれば、CIは、ドメインマネージャSDに、および/または、階層においてドメインマネージャSDよりも下位のいかなるSDにもDMP(delegated management privilege)を付与することはできない。図6は、CI SD600がDMPを付与しないGPセキュリティドメイン(SD)構造の一構成を示す図である。この構成においては、ドメインマネージャSD604は、関連付けられているアプリケーションソフトウェアを、APP TDTDM606と表示されているTD内にインストールすることができる。そしてドメインマネージャSD604は、インストールされるその後のアプリケーションのためのすべてのロードファイルを、その編成におけるTSIMドメイン階層の一部として、ならびに/または、主要なTSIM機能、たとえば、RTO、登録、証明書ロールアウト、および/もしくは類似のTSIM機能などのうちの任意の機能の実行の一部として、ロードする特権を有することはできない。CI SD600は、ローディングオペレーション、および/またはトークン使用に関するオペレーションを制御することができる。たとえば、CI SD600は、システムドメインポリシーに従って、それぞれのTDに関するロードファイルをロードすることができる。TVおよびRG特権を有するCI SD600では、オペレーショナルモードは、シンプルにすること(たとえば、トークンなしにすること)、またはトークンベースにすることが可能である。CI SD600は、アプリケーションコードのインテグリティチェック(GPにおいては、DAP(Data Authentication Pattern)Verificationと呼ばれる)を取り扱うこともできる。
図6において示されているように、信頼できるドメインTD6141〜n TDROには、アスタリスクが付いていない。なぜなら、RTOがそれぞれのインスタンスにおいて行われていると想定することができるためである。このインスタンスにおけるRTOは、CI SD600ポリシーによって制限することができ、それぞれのROが自分のTDの制御を有することになるレベルは、そのようなポリシーによって決定することができ、最小限には、TSIMドメインマネージャSDMメカニズムによって決定することができる。たとえば、それぞれのTD6141〜nは、CI SD600によって制御されるRTOプロトコルを介して形成することができ、ひいては、結果として得られる信頼できるドメインは、限定されたTSIM機能を有することができる。RTO前のアプリケーションTD6141〜nのセットはそれぞれ、関連付けられているSSD6121〜nを有することができる。トークンベースモードにおいては、それぞれのTD6141〜nごとのアプリケーションのローディングに関するトークン検証およびレシート生成は、対応するリモート所有者によって実行することができる。ドメインマネージャTD606に関しては、TVおよびRGは、TSIMアプリケーションプロバイダによって実行することができる。
別の実施形態によれば、CIは、DMPをドメインマネージャSDに付与することができる。図7は、CI SD700がDMPを、たとえば演繹的なポリシー合致に従って付与するGP SD(security domain)構造の例示的な一構成を示す図である。CI SD700は、TVおよびRG特権を所有することができる。このインスタンスにおいては、TDドメインマネージャSD704は、自分自身のロードファイルをロードすることを選択することができる。TSIMドメインマネージャSDは、トークン管理、もしくはTV(token verification)、および/またはRG(receipt generation)をCI SD700によって取り扱うことができる場合には、自分自身のロードファイルをロードすることを選択することができる。DAPの検証も、発行者SD700の担当とすることができる。
TDドメインマネージャSD704がDMPを付与される一実施形態においては、ドメインマネージャSD704は、RTO後の機能がTSIMの動作環境との整合性に類似するレベルを決定するために、より多くの自律を有することができる。たとえば、オフカードTSIM APは、ロードプロセスを開始するためのトークンを生成することができる。ロードプロセスは、トークンがCI SD700によって検証される場合に、継続することができる。ロードプロセスは、CIによるレシートの生成、および/またはAPによるレシートの検証に伴って、完了することができる。TVおよび/またはRG手順は、CI SD700および/またはAPの間に署名および/または検証のためのキー構造が存在するということを前提にすることができる。トークンベースモードにおいては、それぞれのTD7141〜nごとのアプリケーションのローディングのためのトークンの検証およびレシートの生成は、対応するリモート所有者によって実行することができる。それぞれのTD7141〜nは、TDM SSD704に対して補助的であることが可能な対応するTSIM SSD7121〜nを有することができる。ドメインマネージャTD706に関しては、TVおよびRGは、本明細書に記載されているように、TSIMアプリケーションプロバイダによって実行することができる。
別の実施形態によれば、ドメインマネージャSDには、例示的な一構成に関しては、発行者SDによって完全なAM(Authorized Management)Privilegeを付与することができる。図8は、発行者SD800によって完全なAM(Authorized Management)Privilegeを付与されている例示的なTDドメインマネージャSD804を示す図である。AMPの付与によって、TSIMアプリケーションに完全な自律をもたらすことができる。TSIMアプリケーションは、発行者SD800からの管理制御を伴わずに、ロードファイルをロードすることができる。したがって、TSIMアプリケーションは、トークンの有無を問わずに、コードインストレーションを実行することができる。TSIMアプリケーションは、DAP検証アクティビティを担当することができる。TDドメインマネージャSD804は、TVおよびRG特権を有することもできる。トークンベースモードにおいては、それぞれのTD8141〜nごとのアプリケーションのローディングのためのトークンの検証およびレシートの生成は、対応するリモート所有者によって実行することができる。ドメインマネージャTD806に関しては、TVおよびRGは、TSIMアプリケーションプロバイダによって実行することができる。
TSIMアプリケーションに関しては、このレベルの自律で完全なTSIM機能を実現できると想定することができるが、カードマネージャ、具体的にはOPEN(Global Platform Environment)(その担当としては、インストールされたアプリケーションにAPIを提供すること、コマンドディスパッチ、および/またはカードコンテンツの管理を含むことができる)が、アプリケーションの動作を監督することができる。たとえば、OPENは、それぞれのTD8141〜nを形成してTDドメインマネージャSD804によって制御されるRTOプロトコルを監督することができる。それぞれのTD8141〜nは、TSIM機能のほとんどすべてまたはすべてを所有することができる。特定のセキュリティポリシーが違反された場合には、アプリケーションをLOCKED状態に置くこと、および/またはアプリケーションの実行を防止することが可能である。これらの制御は、図6および図7に関連して説明した構成にも適用することができる。なぜなら、それらの構成は、より多くの制約のもとで機能している場合もあるためである。ここでは、アプリケーション動作の制御のためのグローバルプラットフォームルールについて、さらに詳細に説明する。
本明細書に記載されているように、TDは、GPプラットフォーム上に構築することができる。TSIMアプリケーションは、その動的な性質のおかげで、時間とともに自分自身を構築することができる。TSIMアプリケーションは進化的であると言うことができる。この進化的なプロセスを開始するために使用することができるメカニズムが、構成ファイルであると言える。構成ファイルは、TSIMのための構造的な土台を築くことができる。構成ファイルは、カード上に常駐することができるということを考えれば、TDTDM(domain manager trusted domain)の編成を担当することができる。TDDO(device owner trusted domain)および/またはTDu(user’s trusted domain)など、その他のドメインをインストールすることもできる。しかし、信頼できるドメインのインストレーションプロセスは、GP準拠のカード上では、THSM環境と比較して、異なることが可能である。TDTDMは、カード発行者SDの許可に伴ってロードすることができる。構成ファイルは、TDTDMを構成するために使用することができるが、製造時にインストールすることはできない。このファイルは、DMロードファイルの一部とすることができ、ならびに/または、所与の信頼できるドメインを構成するために、および/もしくは所与の信頼できるドメインのためのコードをインストールするために、OPENによってアクティブ化することができる。
上述の構成は、ドメインマネージャの信頼できるドメインTDTDMに関連付けられているSDの中心に置かれたTSIM制御を有することができるが、その一方で、TDアプリケーションの実際の実施態様においては、ポリシー制御は、SDMとともに存在することができ、SDMは、TDDO内のアプリケーションであることが可能である。上述のSD階層は、TDTDM内に存在する同様のTSIMポリシーマネージャを使用して実装することができる。
いくつかの実施形態によれば、信頼できるドメインのアプリケーションをGP環境へポートすることができる。最も高いレベルにおいては、TDコンセプトを、GP準拠のスマートカード上のアプリケーションの別個のセットとしてGP環境へポートすることができる。特定のステークホルダどうしによるSD所有権の関係が、TDをGPへポートする際の制約に影響を与える場合がある。たとえば、TD APおよびCIが同じであることは、GPへの堅牢なポーティングにとって好ましい場合があり、TD APおよびCIが異なることは、あまり好ましくない場合がある。このポーティングプロセスに関しては、いくつかの使用事例を考えることができる。ここでは、ポーティングプロセスへの影響について、さらに詳細に説明する。
一実施形態によれば、ポーティングプロセスは、TDアプリケーションが進展するにつれて、そのTDアプリケーションのための最大限の自律を許可することができる。CIおよび/またはTD APが同じであることがある使用は、許可された自律の影響を最も受けやすい場合がある。
TDM(trusted domain manager) SD(security domain)を作成することができる。本明細書に記載されているように、TDM SDは、INSTALLED状態、SELECTABLE状態、PERSONALIZED状態、および/またはLOCKED状態など、さまざまな状態に従って構成することができる。TDMアプリケーション(TDTDM)に対応する、および/またはTD APによって所有されているTDM SD(trusted domain manager’s security domain)は、GPスマートカード上でPERSONALIZEすることができ、その後で、TDMの指示のもとで動作するアプリケーションを作成すること、および/またはそうしたアプリケーションをTDMに関連付けること、および/またはそうしたアプリケーションをそれらのアプリケーションのその他の補助セキュリティドメインに関連付けることが可能である。一実施形態によれば、TD APは、TDM SDがCIによってINSTALLされること、および/またはGlobal Platform Registry内に入れられることを要求することができる。次いでドメインは、SELECTABLE状態へと遷移することができ、それによってドメインは、オフカードエンティティからパーソナライゼーションコマンドを受け取ること、および/またはPERSONALIZED状態へと遷移することが可能である。PERSONALIZED状態においては、SDは、GP環境において正しく機能するためのキーイング情報を有することができる。
セキュリティドメインに関するライフサイクル状態は、いかなるSD階層におけるそれらのセキュリティドメインの位置にもかかわらず、一定であることが可能である。図9は、INSTALLED902、SELECTABLE904、PERSONALIZED906、およびLOCKED908という例示的なSD状態を示す図である。図9はまた、一般的なGP設定における遷移メカニズムを示している。TDM SDのケースにおいては、CI SDは、(たとえば、INSTALLED状態902への)インストールを行うための、および/またはSDをSELECTABLE状態904へ遷移させるための特権を有するセキュリティドメインであることが可能であり、SELECTABLE状態904では、CI SDは、適切なアクセス特権を有するオフカードのまたは外部のエンティティからGPコマンドを受け取ることができる。そのような1つのオフカードエンティティが、たとえばSDのAPであると言える。遷移プロセスがSD自体によって開始されると、APは、PERSONALIZED状態906に入る手段としてパーソナライゼーションデータおよび/またはセキュリティキーを生成および/またはロードすることによって、フォローアップすることができる。DM SDは、たとえばCI SD、TDM SD自体、および/または別の外部ステークホルダSDによって、LOCKED状態908へと遷移させることができる。LOCKED状態908は、セキュリティ上の制御として使用することができる。たとえば、LOCKED状態908は、SDに関連する脅威がカード内で検知された場合に、セキュリティ上の制御として使用することができる。脅威の検知は、OPENによって監督することができる。
図10、図10A、および図10Bは、TDM SDのライフサイクル状態に対応することができる例示的なメッセージングの詳細を示している。このライフサイクル構造は、図9において示されているライフサイクル構造を反映することができる。たとえば、トークンの使用は、図10におけるCI SD1000のポリシー要求であると想定することができる。オフカードTD AP1004が、署名されたトークンを1006において提供することができる。それらのトークンを検証して、プロセスを前に進めることができる。CI SD1000と通信する際には、トークンを使用することができる。AMPを有するTDM SSD(supplemental security domain)1002などの補足SDと通信する際には、トークンを、要求されていない場合に使用することはできない。
TD AP1004および/またはCI SD1000は、示されているプロトコルステップが行われる前にキー構造が配置されるように手配することができる。TDM SDは、図10〜図10BにおいてはTDM SSD1002として示されている。なぜなら、このセキュリティドメインは、CI SD1000に対して補助的であることが可能であるためである。図10のそれぞれのステップは、TDM SDを次の状態へ遷移させることができる。
たとえば、TD AP1004は、TDM SSD1002の作成を要求することができる。その要求に基づいて、CI SD1000は、TD AP1004からのトークンを検証して、TDM SSD1002を作成することができる。TDM SSD1002は、INSTALLされることが可能になり、GPレジストリ内にエントリを有することができる。TDM SSD1002は、その後のアプリケーションインストレーションを実行するためのGP内のセキュリティサービス、および/または特定のアプリケーションのためのその他のSDの作成を提供することができる。
図10Aは、一実施形態に従って、TDM SSD1002をSELECTABLE状態へ遷移させるためのコマンド1008がTD AP1004からどのように生じることができるかを示している。コマンド1008は、TDM SSD1002を遷移させるためのトークンを含むことができる。CI SD1000は、そのトークンを検証して、TDM SSD1002をSELECTABLE状態へ遷移させることができる。いったんSELECTABLE状態に入ると、TDM SSD1002は、承認されたオフカードエンティティ、たとえばTD AP1004などからのパーソナライズされたコマンドを処理することができる。
一実施形態によれば、図10Bは、TDM SSD1002がどのようにしてPERSONALIZED状態へ遷移することができるかを示している。たとえば、CI SD1000およびオフカードTD AP1004は、セキュリティポリシーを取り決めることができる。セキュリティ標準は、CI SD1000によって決定することもできる。TDM SSD1002は、自分自身をPERSONALIZED状態へ遷移させることができる。パーソナライゼーションデータおよび/またはセキュリティキーを1010においてリモートからロードすることができ、それによって、TDM SSD1002は、TD S/Wモジュールおよび/またはサポーティングファイルのインストレーションのために完全に機能するようになる。ローディングプロセスは、TDM SSD1002によって開始することができる。TDM SSDのセキュリティ機能は、関連付けられているアプリケーションにとって利用可能にすることができる。トークンは、CI SD1000によって要求することができるが、コマンドは、TDM SSD1002に送達することができる。
TDM SSD1002のインストレーション、選択、および/またはパーソナライゼーションに続いて、TDアプリケーションの信頼できるドメインをロードおよび/またはインストールすることができる。このプロセスは、GP準拠のカードのライフサイクル構造に準拠することができる。
図11は、たとえばGPなどにおいて、カード上にロードされたアプリケーションが取得することができるさまざまな状態を示す図である。状態から状態への、および/または特定の状態の外での転送のモードは、いくつかのケースにおいては特権に依存することができる。たとえば、AM特権および/またはDMPを有するSDは、アプリケーションをINSTALLED1100からSELECTABLE1102へ遷移させることができる。しかし、DM SDがAM特権を有しているか否か、DMPを有しているか否か、またはそのどちらも有していないかにかかわらず、アプリケーションは、自分自身で、自分に特有であることが可能な特定の状態へと遷移することができる。これらの特定の状態は、図11においてアプリケーション固有の状態1104として示されている。遷移のうちのいくつかは、不可逆的とすることができる。たとえば、ロードされた状態からインストールされた状態1100への遷移、および/またはインストールされた状態1100から選択可能な状態1102への遷移は、不可逆的とすることができる。遷移のうちのいくつかは、可逆的とすることができる。たとえば、任意の状態から、ロックされた状態1106へは、可逆的とすることができ、選択された状態1102からアプリケーション固有の状態1104へは、可逆的とすることができる。
図12、図12A、および図12Bは、TDTDM(domain manager TD)、TDDO/U(device owner or user TD)、および一般的なTDRO(remotely owned domain)など、RTO前の信頼できるドメインのインストレーションに関する例示的な進展を示している。このインストレーションでは、TDM SSD1204にAMPを付与することができ、GPメカニズムは、示されている実施形態に関して最大限の自律を可能にすると想定することができる。これによって、TD AP1202によるコマンドに応じてさまざまな実行可能ファイルおよび/またはデータファイルをロードおよび/またはインストールするための権限をTDM SSD1204に提供することができる。複数の実施形態では、トークン使用の有無を問わずにローディングおよび/またはその後のインストレーションを実行するための決定を含むことができる。インストレーションの使用事例のコンテキストに応じて、本明細書において定義されている構成のうちの任意の構成を想定することができ、および/またはプロセスは、それに応じて変わることができる。
インストレーションは、下記のステップのうちの1つまたは複数を含むことができる。1206において、TD AP1202は、要求トークンをCI SD1200へ送信することができる。このトークンは、TDM SSD1204にAMP(authorized management privilege)を付与するために、1206において送信することができる。CI SD1200は、トークンを検証することができ、自分のセキュリティポリシーを考慮したことに応答して、その後に、TDM SSD1204にAMPを付与することができる。したがって、TDM SSD1204は、PERSONALIZED状態にあることが可能であり、TD AP1202からのパーソナライゼーションコマンドを受け入れることができる。また、TDM SSD1204は、AMPを取得した後に、たとえば自分自身の階層内で、S/W実行可能ファイルをロードすること、およびSDなどのアプリケーションを構成することが可能である。
(図12Aにおいて示されている)1208においては、信頼できるドメインの所望のセットを構成するためにインストール可能なS/Wおよび/またはデータファイルを含むことができるTDMロードファイルをロードするためのコマンドをTD AP1202によってTDM SSD1204へ送信することができる。図12Bにおいて示されているように、TDMロードファイル1212は、別々のモジュールから構成することができ、それぞれのファイルおよび/またはS/Wモジュールは、別個のコマンド1210を用いてインストールすることができる。図12Bにおいて示されているような一実施形態によれば、それぞれのTDタイプに対応するアプリケーションS/Wをロードファイル1212内に含めることができる。リモートから所有されているドメインTDRO12201〜nに関しては、1つの一般的なS/W構成を使用することができる。提示された数のドメインをインストールするために、この構成を繰り返しインスタンス化することを命じることができる。抽出ユーティリティのためのS/Wをロードファイル内に含めて提供することができる。ここでは、このユーティリティの使用について、さらに説明する。それぞれのTDをTDM SD1204に関連付けることができる。それらのTDは、TDTDM1216を除いて、元の(RTO前の)状態にあることが可能である。元の状態にあることが可能なTDは、図12BにおいてはTD*という表記を示している。図12Bにおいては示されていないが、元のドメインは、INSTALLEDであるとみなすことができ、その一方で、TDTDM1216は、完全に機能していること、および/またはアプリケーション固有であることが可能である。TDTDM1216は、SDM(security domain management)およびSDP(system domain policy)情報を含むことができる。
TDM SSD1204はAMPを有することができるということを考えれば、TDM SSD1204は、自己関連付けすることができる。図12Bにおいて示されているように、TDM SSD1204は、SD階層ツリーの最上位に存在することができる。TDTDM1216は、SD階層内に常駐するアプリケーションのその後の開発のためのマネージャアプリケーションとして機能することができる。TDTDM1216は、マネージャアプリケーションとして機能するために、TDM SSD1204によって提供されるセキュリティサービスを使用することができる。図12は、TDM SSD1204に関連付けられている信頼できるドメインを示している(別々のSDに関連付けられているそれぞれのそのようなアプリケーションとは対照的である)。それらの信頼できるドメインは、本明細書に記載されている構成において示されているように、TDM SSD1204に対して補助的であることが可能である。その構成は、このインストレーションプロセスにおける結果として生じることができる。TD APP(application)および/または関連付けられているSDの多くの異なる組合せを示すことができる。一実施形態によれば、TDM SSD1204に対して補助的である別々のTD SDを、リモートから所有されているドメインのために、登録および/または証明書ロールアウトが行われる際に作成することができる。
ここでは、TDアプリケーションの所有権、およびポーティングを特徴付ける上での意味合いに関して、少なくとも3つのシナリオを説明する。ステークホルダに関しては、いくつかの所有権構成シナリオを考えることができる。CIは、たとえばMNOおよび/または銀行などの金融機関とみなすことができる。TD APも、同様にみなすことができる。これらの団体または組織が同じであるかどうかに関して、判定を下すことができる。別の言い方をすれば、カードを発行したエンティティは、TDソフトウェアを所有するエンティティと同じである場合もあり、または異なる場合もある。全体的には、TSIM機能を実現できるレベルは、CIのセキュリティポリシーと、TDのSDPとの間における合致のレベル、または信頼のレベルによって統制することができる。カード発行者およびTD APが同じエンティティである場合には、高いレベルのポリシー合致が存在することができる。2つの発行エンティティが関与している場合には、可変のポリシーを予期することができる。ポリシーは、CIマネージャレベルおよび/またはTDシステムレベルとすることができる。TDコンテキストにおける潜在的に競合するリモート所有者どうしの間でのポリシーの問題は、ここで定義されるシナリオに関連する場合もあり、または関連しない場合もある。
ROがTDの所有権を取得することに関しては、CIのポリシーではなく、ROのポリシーと、TD SDPのポリシーとの問題が存在する場合がある。カードマネージャおよび/またはCIは、望ましくない動作が検知された場合には、アプリケーションをロックすることができる。
上記は、CIと、TD APとの間における所有権のシナリオを暗示している。第1のシナリオ(Scenario 1)によれば、CIカードレベルセキュリティポリシーは、TSIM SDPに緊密に合致および/または適合することができる。高いポリシー合致は、CIおよびTD APが同じエンティティであるということを意味している場合がある。高いポリシー合致は、CIがそのアプリケーションを十分に知っており、それによって、TDドメインマネージャSDにDMPおよび/またはAM特権を付与する見込みが高くなる可能性があるということを意味している場合がある。そのようなケースにおいては、ロードされるソフトウェア、およびそのソフトウェアがどのように機能するかについて、相当な自由をTSIMに与えることができる。たとえば、ある使用事例においては、CIは、TDアプリケーションの使用を承認するMNOである場合がある。TD APは、たとえばMNO自体、または承認されたサードパーティベンダである場合がある。Scenario 1は、GPフレームワークへのTHSM/TSIM機能の最大のポーティングにとって最も好ましいと思われる構成であると言える。
第2のシナリオ(Scenario 2)によれば、CIカードレベルセキュリティポリシーは、TD SDPに部分的にしか合致することができない。部分的な合致は、CIおよびTD APが別々のエンティティであるということを意味している場合がある。CIおよびTD APが別々のエンティティであるということをポリシーレベルが示している場合には、アプリケーションに付与される自由のレベルに関して、より制限的な立場を取ることができる。したがって、せいぜいDMPを付与することしかできず、この場合には、CI SDは、カード上に何がロードされるかを監督する手段として、トークン検証および/またはレシート生成特権を有することができる。ある使用事例においては、TDアプリケーションは、CIではないかもしれないがCIによってあるレベルの信頼を与えられている可能性があるMNOによって使用されることを承認されることが可能である。TD APは、MNO自体、またはMNOによって承認されたサードパーティベンダである場合がある。デバイスのユーザは、独立してアプリケーションをダウンロードできるようにすることができる。
第3のシナリオ(Scenario 3)によれば、CIカードレベルセキュリティポリシーは、TD SDPと最小限にしか合致することができない。最小限の合致は、CI SDがアプリケーションを高度に制限的にみなしているということを意味している場合がある。したがって、TSIMアプリケーションドメインマネージャSDには、DMPもAM特権も付与することはできない。ソフトウェアは、CI SDによってロードおよび/または検証することができる。ある使用事例においては、TDアプリケーションは、CIではないがCIによって高いレベルの信頼を与えられているMNOによって使用されることを承認されることが可能である。一実施形態によれば、TD APは、MNO自体、またはMNOによって承認されたサードパーティベンダである場合がある。デバイスのユーザは、独立してアプリケーションをダウンロードすることを許可されることが可能である。しかし、そのようなケースにおいては、CIは、たとえばダウンロードを許可するという、補助SDによって下された決定を却下することができる。AM特権を有するSDが、ダウンロードするという決定を下した場合には、アプリケーションをLOCKED状態に遷移することを、ダウンロードおよび/またはその後のアクティブ化の後に、システム(たとえば、OPEN、CI SD、または、そうするための特権を有する任意のSD)によって行うことができる。
上述の所有権オプションに関しては、ステークホルダは、ユーザである場合がある。このユーザは、いくらか抽象的にみなすことができ、さまざまな役割を担うことができる。このユーザは、CI、端末所有者、CA兼端末所有者、および/またはDOである場合がある。
TSIM機能をGPへポートできる際の容易さは、ステークホルダ所有権オプション、および/または、ステークホルダに関連付けられているポリシーの対応レベルに依存することができる。CIは、カード上で実行されるアプリケーションの動作を統制するセキュリティポリシーを有することができる。
ここでは、Scenario 1のもとでのTD機能、たとえば、RTO、Registrationおよび/もしくはRollout、ならびに/またはMigrationなどのポーティングについての説明を提供する。一実施形態によれば、THSM/TSIMの少なくとも3つの機能に関するポーティング手順が存在することができる。本明細書に記載されているように、信頼できるドメインの機能は、それらの機能がTHSM環境において考えられるのと同様に定義することができる。ポートされる機能としては、1)RTO、2)登録および/もしくは証明書ロールアウト、ならびに/または3)移行を含むことができる。CIは、所有権シナリオ(上述のScenario 1、2、または3)を問わずに、AMPをTDM SDに与えることができる。この方法では、それぞれのシナリオのもとで(または、それぞれのシナリオに固有の形で)、TDMは、たとえば、TDMがDMPを有することになるケースと比較して、より多くの自律を有することができる。Scenario 2および/またはScenario 3のもとでは、CIがAMPを付与することは、その他の実施形態のもとでの場合と比べて、可能性または現実性が低いかもしれない。ここでは、ポーティングの説明について、さらに記載する。プレゼンテーションモードは、オンカードのSD/APP階層内のさまざまなエンティティと、オフカードAPを伴うエンティティとの間におけるメッセージングを示している。APは、たとえばCIを含む任意のリモート所有者である場合がある。
例示的なRTOプロセスが、図13および図13Aにおいて示されている。リモート所有者は、プロトコルの開始時に元の状態にあるTD(たとえば、APP TD* RO11308)の所有権を取得したいと希望しているアプリケーションプロバイダとすることができる。RO AP1302は、任意のサービスプロバイダとみなすことができる。CI1300および/または(そのCIと同じ、もしくは異なる)TD APは、TDの所有権を取得したいと望む場合には、その他の任意のリモート所有者と同様に、RTOに従って進むことができる。それらのステップについて、以降で説明する(また、それらのステップは、特定の順序に限定されるものではない)。
ステップ1に関しては、RTOロードファイルをロードしたいという要求1312を、RO AP1302によってTDM SD1304に対して行うことができる。この要求は、ROポリシーおよび/またはTD SDPが十分に合っている場合に許可することができる。交渉を行うことも可能である。本明細書に記載されている図2および図2Aは、例示的なRTOプロトコルの流れ図を提供している。たとえば、RO AP1302は、SDP/カードポリシー制約に準拠することに合意することができる。ポリシーチェックが実行された後に、TDM SD1304は、RO AP1302による要求に応じて、RTOファイルをロードすることができる。アプリケーションTD TDM1306は、TDM構成およびポリシー(たとえば、SDMおよびSDP)の情報を含むことができる。
図13Aにおいて示されているステップ1312に関しては、元のTD* RO1308は、このステップにおいて、(所有されている、元の状態ではない)TDRO1310になることができる。ポリシーおよび/もしくは目的ファイル、ならびに/または抽出可能なS/Wを含むファイルなど、さまざまなコンテンツのRTOロードファイル1314をインストールしたいという要求を1318において行うことができる。抽出可能なS/Wを含むファイル内の実行可能ファイルは、TD APPインストレーション(たとえば図12を参照されたい)中に元のドメインが備えることができる抽出ユーティリティによって抽出することができる。構成情報は、オフカードRO AP1302によって保持することができ、および/または、RTO完了時の所有されている信頼できるドメインの状態は、PERSONALIZEすることができる。RTOファイル1314がインストールされた場合には、アプリケーションは、事前に登録されたリモートから所有されているTDとして完全に機能するようになることができる。アプリケーションは、RTOにおいてトークンを使用するかどうかに関する決定を下すことができる。実行可能な抽出されたメカニズムは、オンカードアプリケーションに対するS/W更新上のGP制約を回避するための回避策とすることができる。抽出メカニズムを使用しない場合には、実行可能ファイルを消去すること、および/または新たなS/Wによって置き換えることが必要となる場合がある。
登録および/または証明書ロールアウトプロトコルは、たとえばRTOなど、所有権取得プロセスを通じて所有されるTD上で実行することができる。図14、図14A、および図15は、登録および/または証明書ロールアウトが実行される一実施形態を示している。図14および図14Aは、ステップ1および2(これらは、特定の順序に限定されるものではない)に関する登録および/または証明書ロールアウトを示している。このプロトコルは、たとえばTHSM環境において考えたとおりに実施することができる。
図14において示されているように、ステップ1は、さらなるサブステップ(これらは、特定の順序に限定されるものではない)を含むことができる。サブステップ1400においては、ユーザ1402が、ユーザ名、および/またはパスワード、および/または、TD所有者/ユーザが以前に所有権(図示せず)を取得していた可能性があるTDDO/U1404へのユーザ個人データ(REGDATA)の提出によってログインすることができる。サブステップ1406においては、TDDO/U1404は、オンカードのREGDATAをTDRO11408へ送信することができる。サブステップ1410においては、TDRO11408は、ユーザデータを使用して、登録チケットをPOS(point of sale)1412に要求することができる。POS1412は、チケットのインデックス付けされたセットをRO1418に要求してRO1418から受け取っていた可能性がある。それぞれのチケットは、IMSI値を含む非キー証明書(non−key credential)を含むことができる。サブステップ1416においては、POS1412は、使用されていないチケットを選択すること、ならびに/またはそのチケットおよび/もしくはREGDATAをRO1418へ送信することが可能である。サブステップ1414においては、同じチケットをTDRO11408へ送信することができる。POS1412は、チケットのインデックス付けされたセットを、RO1418にチケット分配サービスを提供する際に使用するためにRO1418に要求すること、および/またはRO1418から受け取ることが可能である。そのような1つのチケットをこのプロトコルにおいて使用することができる。オンカードエンティティ1420と、オフカードエンティティとの間における通信は、TDM SD1422によって保護することができる。アプリケーションTDTDM1423は、TDM構成およびポリシー(たとえば、SDMおよびSDP)の情報を含むことができる。
図14Aにおいてさらに示されているように、ステップ2は、SDへのダウンロードのための準備における2つのステップを含むことができ、そのSDは、TDM SSD1422によって今まさに作成されようとしているところである場合があり、およびTDRO11408に関連付けられている場合があり、および/またはその証明書の所持者である場合がある。したがって、サブステップ1424においては、TD1408は、証明書のダウンロードを要求する際にチケットをRO1418へ送信することができる。RO1418は、REGDATAを、POS1412から1416において送信されたチケットおよび/またはREGDATA情報にマップしておくことができる。サブステップ1426においては、ROは、TDM SSD1422がSDを作成すること、および/またはTDRO11408がそれに引き渡されることを要求することができる。作成されたSDは、TDRO11408のためのTSIM証明書を含むことができ、そのTSIM証明書は、TDRO11408に、そのセキュリティサービスの使用を提供することができる。
図15は、一実施形態によるプロセスのステップ3において実行することができる登録および/または証明書ロールアウトを示している。TDRO11408に関連付けることができる作成されたSD(RO1 SSD1500)を作成すること、インストールすること、選択可能にすること、および/またはパーソナライズすることが可能である。TDRO11408をRO1 SSD1500に引き渡すことができ、それによって、そのセキュリティサービスを利用可能にすることができる。図15の1502において示されているように、要求された証明書をRO1 SSD1500へダウンロードすることができ、それによって、TDRO11408にTSIM機能を提供することができる。可能な証明書は、認証キー、インテグリティキー、IMSIを含むチケットなどを含むことができる。要求された証明書は、対称キーペアまたはPKIを含むことができる。
一実施形態によれば、図16は、証明書を発信元カード1600から宛先カード1602へ移動させることによる修正された移行を示している。図16においては、発信元カード(A)1600から宛先カード(B)1602への証明書の例示的な移行が提示されている。このプロセスについては、一連のステップ(特定の順序に限定されるものではない)を介して示し、それらのステップについては、両方のカード上で概説する。示されている方法は、発信元カード1600と、宛先カード1602との間には直接のピアツーピア通信が存在することはできないという、GPにおける例示的な状況を反映している。したがって、データの直接の転送を禁止することができる。証明書を発信元カード1600上で削除してから宛先カード1602上にロードおよび/またはインストールすることは、転送を行うためのメカニズムであると言える。
ここで説明するのは、移行に関して考慮に入れることができる前提である。たとえば、リモート所有者AP1604は、一実施形態においては、両方のカードに関して同じである場合がある。したがって、1人の所有者から別の所有者へ秘密を転送することはできない。一実施形態によれば、宛先TD TDRO11608の所有権は、移行が開始する前に(たとえば、RTOを介して)RO1604によって取得することができる。一実施形態においては、TDRO11608を作成してRO1 SSD1610へ引き渡すことは、移行が開始する前に行っておくことができる。RO1 SSD1610および/またはTDRO11608の両方は、移行が開始するときにSELECTABLEであることが可能である。カードAのユーザ1610は、カードBのユーザ1612とは異なる場合があり、これらのユーザは両方とも、移行に合意することができ、その後に移行を行うことができる。これらのユーザは、各自のデバイスにログインすること、および/または移行を要求することが可能であり、その後にプロトコルが実行されて、完了することができる。図示されていないが、複数のTDを、片方または両方のカード上でリモートから所有することができる。したがって、移行に含まれない可能性があるその他のTD、たとえばリモートから所有されているTDなどが存在する場合がある。これに関連して、自分の証明書が転送されている最中であるROは、移行の目的で宛先カード1602上のTDをリモートから所有するようになったと想定することができる。
一実施形態によれば、1614および1615において、両方の(または片方の)ユーザは、RTOおよび/または要求移行を通じて、自分が所有することができるTD TDDO/U(たとえば、TDDO/U1628およびTDDO/U1630)にログインすることができる。例示的なログインは、どのTD APPを移行のためのターゲットとすることができるかを示す情報を含むことができる。たとえば、TDRO11608を、移行のためのターゲットとすることができる。
発信元カード1600に関しては1616、1618、および/または1620において、宛先カード1602に関してはステップ1617、1619、および/または1621において、移行に関するさまざまなポリシーをチェックすることができる。たとえば、TDDO/U1628は、ドメインマネージャTD上でTDシステムポリシーチェックを実行することができる。単一の所有者を伴う一実施形態においては、APPポリシーは、両方のカードに関して同じとすることができる。信頼できるドメインのシステムポリシー(SDPを含む)および/またはカードレベルポリシーは、2枚のカードを比較する際には、異なる場合がある。ポリシーレベルは、移行に対して従順であることが可能であり、それによって移行は、先に進むことを許可されることが可能である。
1622(宛先カード1602では1623)においては、CI SD1632(宛先カード1602ではCI SD1634)が、RO1604へ移行するための許可を付与することができる。RO1604は、両方のカードからの許可を受信した後に、移行を進めないと決定することができる。RO1604は、OPENが発信元カード1600上でRO1 1607およびTDRO11606を削除することをステップ1624において要求することができ、および/またはOPENは、ステップ1626において削除オペレーションを実行することができる。
RO1604は、ステップ1625において宛先カード1602上に証明書をロードおよび/またはインストールすることを要求することができる。これらの証明書は、発信元カード1600上に存在した証明書のコピーとすることができ、および/またはRO1602によって知られていることが可能である。例示的な証明書は、認証キー、インテグリティキー、およびパーソナライゼーションデータを含む。インストレーションが行われる前に、証明書を含むロードファイル上でDAPチェックを実行することができる。
一実施形態においては、GP動作環境は、アプリケーションの関連付けられているSDが、自分自身への引き渡しを行うこと(たとえば、自己関連付けされること)を許可されていない場合には、信頼できるドメインの機能(たとえば、インテグリティチェッキング、RTO、登録および/もしくは証明書ロールアウト、ならびに/または移行など)のうちのいくつかを許可することができない。自己関連付けされるという特権は、これらのTHSM/TD機能をGPカードアプリケーション上で実施することを可能にすることができる。ここでは、許可されるTSIM動作に関するさらなる詳細を、さまざまなポーティングオプションに関連して提供する。
ここで説明するのは、CIカードレベルセキュリティポリシーがTSIM SDPに緊密に合致および/または適合することができる一実施形態(たとえば、上述のScenario 1)に従ってポートされるTDアプリケーション機能の査定である。たとえば、CIおよびROは同じであることが可能であり、したがって、彼らのポリシーどうしは適合することができる。例示的な一実施形態においては、CI SDは、高いレベルの自律をTDM SDに付与することができ、TDM SDは、信頼できるSD階層の最上位に存在することができる。高いレベルの自律は、AMPが付与されていること、またはDMPが付与されていることを意味する場合がある。Scenario 1のもとでのポーティングインテグリティ信頼メカニズムに関しては、ロード時のDAPを実行することができるが、ランタイムインテグリティを実行することはできない。一実施形態においては、RTOの信頼できるドメインの機能は、Scenario 1のもとでは、SDPおよび/またはROのポリシーの間におけるTDポリシー適合性チェックのもとでポートすることができる。たとえば、所有されることになる信頼できるドメイン内にインストールされるS/Wスイートは、実行可能ファイルを、ROポリシーおよび/または目的ファイルも含む場合があるロードファイルから抽出するエクストラクタを含むことができ、このエクストラクタは、証明書がロードおよび/またはインストールされる際に使用することができる。Scenario 1のもとでの一実施形態に従って、ユーザ登録およびリモート証明書ロールアウトを許可することもできる。たとえば、ポリシーは、RTOがユーザ登録およびリモート証明書ロールアウト機能を実行することを許可することができる。この機能の実行中に、ロールアウトのターゲットとすることができるTD APPのためにSDを作成することができる。TDM SDに最初に関連付けることができるAPPを、新たに作成されたSDに引き渡すことができ、その新たなSD内に証明書をインストールすることができ、その間に、実行可能ファイルをTD APPへと抽出することができる。一実施形態によれば、Scenario 1のもとで、TSIMアプリケーション移行機能をポートして修正することができる。ポリシー適合性チェックは、複数のエンティティ、たとえば、発信元および/もしくは宛先TDD APP、発信元および/もしくは宛先SDP、発信元および/もしくは宛先CI SDポリシー、ならびに/または、2人のユーザが関与する場合にはユーザの好みなどを含むことができる。ROを推進役として用いて、発信元証明書を削除してから宛先へコピーすることは、一実施形態においてTSIMアプリケーション移行のために使用されるメカニズムであると言える。
本明細書に記載されているように、CIカードレベルセキュリティポリシーがTD SDPに部分的にしか合致することができないScenario 2のもとで、TD Application機能をポートすることができる。Scenario 2によれば、GPカード発行者は、SDツリーの最上位にあるTDアプリケーションセキュリティドメインにDMP(delegated management privilege)を付与することができる。GPカード発行者は、AMPを付与することはできない。このケースにおいては、TDM SDが自分自身への引き渡しを行うこと(および/または自己関連付けを行うこと)を可能にすることができる。したがって、TDM SDは、自分自身の構成管理システムに従って自分自身を構成することができる。実際に自己関連付けが行われた場合には、SDは、AMPと同等のものを有することができる。しかし、一実施形態によれば、アプリケーションSDの引き渡しは、そのようなオペレーションのためのトークンをCIおよび/または制御権限者から受信せずに行うことはできない。構成および/または状態の変化は、カード上でのそのような変化を追跡把握する目的でのCIによるレシート生成を含むことができる。したがって、CIは、AMPが付与されない場合に、TD APPアクティビティを監督することができる。このオプションに関しては、自己関連付けが行われず、ひいては、TDM SDは、AMPに伴って有することになる自律と同じ自律を有することはできないと想定することができる。ドメインマネージャTD APPは、本明細書に記載されている特定の例示において採用されている自律を伴うリモートから所有されているTDを管理することはできない。
Scenario 2のもとで、信頼できるドメインの機能をポートすることができる。Scenario 2のもとでのインテグリティ信頼メカニズムに関しては、ロード時のDAPを実行することができるが、ランタイムインテグリティチェッキングを実行することはできない。たとえば、CIおよびROは異なることが可能であり、および/または彼らのポリシーは、Scenario 2のもとでROが信頼されている場合に何らかのレベルの適合性を有することができる。Scenario 2のもとでの一実施形態においては、SDPおよび/またはROのポリシーの間における通常のTDポリシー適合性チェックのもとで、RTO機能を許可することができる。例示的な一実施形態においては、CI SDセキュリティポリシーは、Scenario 1におけるよりも、Scenario 2のもとでの方が、TRO手順を許可しない可能性が高くなる場合がある。所有されることになる信頼できるドメイン内にインストールされるS/Wスイートは、実行可能ファイルを、ROポリシーおよび/または目的ファイルを含む場合があるロードファイルから抽出するエクストラクタを含むことができ、このエクストラクタは、証明書がロードおよび/またはインストールされる際に使用することができる。DMPがあれば、CIは、トークン検証および/またはレシート生成特権を有することができる、ということを考えれば、CI SDは、ローディングプロセスに対するさらに多くの制御を有することができる。一実施形態においては、Scenario 2のもとで、ユーザ登録および/またはリモート証明書ロールアウト機能が許可される。たとえば、ロールアウトのターゲットとすることができるTD APPのためにSDを作成することができる。TDM SDに最初に関連付けることができるAPPを、新たに作成されたSDに引き渡すことができる。その作成されたSD内に証明書をインストールすることができ、その間に、実行可能ファイルをTD APPへと抽出することができる。この抽出メカニズムによって、S/Wを導入する際のGP制約を回避することができるが、Scenario 2では、S/Wが実行を開始した際にAPPがLOCKEDになる可能性が高くなる場合がある。一実施形態によれば、Scenario 2のもとで、TSIMアプリケーション移行機能をポートして修正することができる。たとえば、発信側には何の障害もないかもしれないが、宛先側にポリシーを阻むものが存在する可能性がある。ポリシー適合性チェックは、複数のエンティティ、たとえば、発信元および/もしくは宛先TDD APP、発信元および/もしくは宛先SDP、発信元および/もしくは宛先CI SDポリシー、ならびに/または、2人のユーザが関与する場合にはユーザの好みなどを含むことができる。ROを推進役として用いて、発信元証明書を削除してから宛先へコピーすることは、Scenario 2のもとでの一実施形態においてTSIMアプリケーション移行のために使用されるメカニズムであると言える。
本明細書に記載されているように、CIカードレベルセキュリティポリシーがTD SDPに最小限にしか合致しないScenario 3のもとで、TD Application機能をポートすることができる。Scenario 3においては、CIおよび/もしくはROは異なることが可能であり、ならびに/またはROに関する信頼レベルは最も低くなる可能性があり、したがって、彼らのポリシーどうしは、最小限にしか適合することができない。Scenario 3によれば、GP CIは、TD SDにDM特権を付与することはできない。このセキュリティメカニズムが機能している場合には、アプリケーションコンテンツは、CIの監督を伴って取り扱うことができる。アプリケーションおよび/または構成ファイルがロードされる前に、CI SDによってトークンを提供および/または検証することができる。CI SDは、構成ファイルおよびアプリケーションのローディングおよび/またはインストレーションを実行することを担当するエンティティであると言える。アプリケーションプロバイダ、またはたとえばRO APによって要求されるオペレーションは、CI SDを経由することができる。これは、ここで説明されているさらに制限的なポーティングオプションのうちの1つであると言える。
Scenario 3のもとで、信頼できるドメインの機能をポートすることができる。たとえば、インテグリティ信頼メカニズムをポートすることができる。ロード時のDAPを実行することができるが、ランタイムインテグリティチェッキングを実行することはできない。Scenario 3のもとでの一実施形態においては、SDPおよび/またはROのポリシーの間における通常のTDポリシー適合性チェックのもとで、RTOを許可することができる。Scenario 3では、TD APP機能のうちの多くを減らすことができ、それによって、複数の機能を許可しないことが可能である。したがって、少なくとも1つのTDをリモートから所有することができる。所有されることになる信頼できるドメイン内にインストールされるS/Wスイートは、実行可能ファイルを、ROポリシーおよび/または目的ファイルを含む場合があるロードファイルから抽出するエクストラクタを含むことができ、このエクストラクタは、証明書がロードおよび/またはインストールされる際に使用することができる。これらのファイルのローディングは、Scenario 3のもとでの一実施形態によれば、CI SDの直接の担当とすることができる。シナリオ3のもとでの一実施形態においては、ユーザ登録およびリモート証明書ロールアウト信頼できるドメイン機能を許可することができるが、RTOを行うことができる頻度が低くなることを考えれば、それらの機能を行うことができる頻度は低くなり、RTOのために採用されるポリシーチェックは、この機能に関する許可を提供することができる。この機能の実行中に、ロールアウトのターゲットとされるTD APPのために新たなSDが作成される。TDM SDに最初に関連付けられるAPPが、新たに作成されたSDに引き渡され、その新たなSD内に証明書がインストールされ、その間に、実行可能ファイルがTD APPへと抽出される。この抽出メカニズムによって、新たなS/Wを導入する際のGP制約を回避することができるが、Scenario 3では、Scenario 2と比較して、S/Wが実行を開始した際にAPPがLOCKEDになる可能性が高くなる場合がある。一実施形態によれば、TSIM移行機能は、Scenario 3のもとで許可されるが、修正される。たとえば、(移行を行っているROとは異なる)既存のROが宛先に存在すると、TSIM移行プロセスを実行して完了させることが妨げられる場合がある。
一実施形態によれば、THSM/TD機能は、信頼できる環境にとって決定的に重要となる場合がある信頼のいくつかの源(たとえばRTR、RTV、RTS、および/またはRTMなど)に依存する場合がある信頼の要素を含むことができる。したがって、TD機能についての上述のポーティングの実施に関しては、特にPTOに関しては、そのような信頼サポートメカニズムが欠如していると、カードのセキュリティ構造が弱くなる場合がある。たとえば、リモート所有者の観点から、カードのセキュリティ構造が弱くなる場合がある。信頼の確固たる源に基づいてカード構成のインテグリティを立証する能力は、ROの重要なポリシー考慮事項であると言える。たとえCIがカードのコンテンツのインテグリティに自信があるとしても、ROは、その同じレベルの自信または信頼を確信することはできない。このことは潜在的に、RTOを進めようかどうか決めている最中であるかもしれないROにとって、抑制要因となる可能性がある。
一実施形態によれば、インテグリティチェッキングは、MTM(mobile trusted module)機能と整合する信頼メカニズムを採用している任意のデバイスによって使用することができる。したがって、THSM/TDは、信頼レベルを立証することに関しては、GP環境において設計されているとおりに機能することはできない。しかし、本明細書に記載されているように、CI SDの指示および/または与えられているAMPのもとで、TDMのSDが作成および/またはPERSONALIZEされると、セキュリティドメイン階層を確立することができる。SDP内に書き込まれたTDシステムレベルポリシーが、カード上へロードされている最中であるTDファイルのDAPチェッキングを実行する場合には、信頼レベルが弱くなるのを緩和することができる。その上、DMP SDは、AMPを付与されている場合にはトークン検証および/またはレシート生成を採用する必要はないかもしれないが、それでもなおそのようなメカニズムを採用すること、および/またはそれらのメカニズムを自分のポリシー要件の一部にすることが可能である。したがって、RTOおよび証明書ロールアウトファイルがこのように取り扱われ、ポリシーSDPポリシー要件を通じてそのようなメカニズムが機能していることが保証されている状態では、ROは、RTOおよび証明書ダウンロードを進める上でカード構成に対して十分なレベルの信頼を有することができる。たとえば、機能しているセキュリティ手順は、MTM機能の代わりとしての役割を果たすことができる。
Scenario 2および/またはScenario 3に関しては、CI SD内のカードマネージャポリシーへの依存が存在することができ、TDM SDの側での自律は少ない。CIは、トークン検証特権および/またはレシート生成特権を有することができ、ひいては、ローディングプロセスについての直接の監督を有することができる。CI以外のリモート所有者に関しては、ポリシーの交渉をカードマネージャに向けることができる。これは、信頼の点でセキュリティが低くなることを意味しない場合がある。CIは、さらにいっそう厳格なセキュリティ手順が課されることを要求することができる。信頼の問題とは別に、これは、結果として、リモートTD所有者の数の上での制約につながる場合がある。
上記では特徴および要素について特定の組合せで説明しているが、それぞれの特徴または要素は、単独で、またはその他の特徴および要素との任意の組合せで使用することができるということを当業者なら理解するであろう。加えて、本明細書に記載されている方法は、コンピュータまたはプロセッサによって実行するためにコンピュータ可読メディア内に組み込まれているコンピュータプログラム、ソフトウェア、またはファームウェアで実装することができる。コンピュータ可読メディアの例としては、(有線接続またはワイヤレス接続を介して伝送される)電子信号、およびコンピュータ可読ストレージメディアが含まれる。コンピュータ可読ストレージメディアの例としては、読出し専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、レジスタ、キャッシュメモリ、半導体メモリデバイス、内蔵ハードディスクおよび取り外し可能ディスクなどの磁気メディア、光磁気メディア、ならびにCD−ROMディスクおよびデジタル多目的ディスク(DVD)などの光メディアが含まれるが、それらには限定されない。ソフトウェアと関連付けられているプロセッサは、WTRU、UE、端末、基地局、RNC、または任意のホストコンピュータにおいて使用するための無線周波数トランシーバを実装するために使用することができる。