JP7463943B2 - Embedded Subscriber Identity Module - Google Patents
Embedded Subscriber Identity Module Download PDFInfo
- Publication number
- JP7463943B2 JP7463943B2 JP2020186488A JP2020186488A JP7463943B2 JP 7463943 B2 JP7463943 B2 JP 7463943B2 JP 2020186488 A JP2020186488 A JP 2020186488A JP 2020186488 A JP2020186488 A JP 2020186488A JP 7463943 B2 JP7463943 B2 JP 7463943B2
- Authority
- JP
- Japan
- Prior art keywords
- profile
- attack
- fault
- isd
- subscriber identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 claims description 29
- 238000012545 processing Methods 0.000 claims description 23
- 238000000034 method Methods 0.000 claims description 18
- 230000009471 action Effects 0.000 claims description 15
- 230000008569 process Effects 0.000 claims description 14
- 230000006870 function Effects 0.000 description 11
- 230000008859 change Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 230000007257 malfunction Effects 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Description
本発明は,移動体通信の機能を有するモバイルデバイスの内部に装着される組み込み型加入者識別モジュールに関する。 The present invention relates to an embedded subscriber identity module that is installed inside a mobile device with mobile communication capabilities.
移動体通信の機能を有するモバイルデバイスには,移動体通信事業(Mobile Network Operator(MNO))が提供するモバイルサービスを受けるためのプロファイル(通信プロファイルと称されることもある)を予めプロビジョニングした加入者識別モジュールが必要とされている。 Mobile devices with mobile communication capabilities require a subscriber identity module that is pre-provisioned with a profile (sometimes called a communication profile) to receive mobile services provided by a mobile network operator (MNO).
従来の加入者識別モジュールはカード型の媒体である。カード型の媒体である加入者識別モジュールには,特定のMNOのプロファイルが製造時にプロビジョニングされる。このため,MNOを変更するためには,モバイルデバイスに装着されているカード型の加入者識別モジュールを,変更先となるMNOのプロファイルがプロビジョニングされた別のカード型の加入者識別モジュールに差し替える必要がある。 Conventional subscriber identity modules are card-type media. A subscriber identity module, which is a card-type medium, is provisioned with a profile of a specific MNO at the time of manufacture. For this reason, in order to change the MNO, it is necessary to replace the card-type subscriber identity module attached to the mobile device with another card-type subscriber identity module provisioned with the profile of the MNO to which the change is to be made.
MNOを変更するためにカード型の加入者識別モジュールを差し替える必要があると,変更先となるMNOのプロファイルがプロビジョニングされたカード型の加入者識別モジュールをコンシューマーは入手しなければならず,コンシューマーはMNOを手軽に変更できない。また,MNOの立場からすると,自社の情報がプロビジョニングされたカード型の加入者識別モジュールの在庫管理に係るコストが生じるなどのデメリットがある。 If it is necessary to replace a card-type subscriber identity module in order to change MNOs, the consumer must obtain a card-type subscriber identity module provisioned with the profile of the MNO to which the consumer is to change, meaning that the consumer cannot easily change MNOs. In addition, from the MNO's perspective, there are disadvantages, such as the costs associated with managing the inventory of card-type subscriber identity modules provisioned with the MNO's own information.
このことを解消するために,OTA(Over The Air)によるリモートプロビジョニングに対応した組み込み型加入者識別モジュールに係る仕様が標準化団体であるGSMA(GSM Association)で規格化されている(例えば,非特許文献1)。 To solve this problem, the specifications for embedded subscriber identity modules that support remote provisioning via OTA (Over The Air) have been standardized by the standardization organization GSMA (GSM Association) (for example, Non-Patent Document 1).
図3は,組み込み型加入者識別モジュール2を説明する図で,図3で図示した組み込み型加入者識別モジュール2の構造は非特許文献1など規格に基づくものである。なお,ここでは,組み込み型加入者識別モジュール2の構造を簡単に説明するのに留まり,組み込み型加入者識別モジュール2の詳細については非特許文献1などの文献を参照願いたい。
Figure 3 is a diagram explaining the embedded
図3で図示したように,組み込み型加入者識別モジュール2には,アプリケーション(アプレットと称されることがある)に様々なプラットフォーム機能を提供するソフトウェアであるオペレーティングシステム(OS: Operating System)とハードウェアが基盤22として実装される。
As shown in FIG. 3, the embedded
また,組み込み型加入者識別モジュール2には,プラットフォーム機能を利用するアプリケーションで実現されるセキュリティドメイン(SD: Security Domain)として,一つのECASD25(eUICC Controlling Authority Security Domain),一つのISD-R24(Issuer Security Domain Root),および,少なくとも一つのISD-P21(Issuer Security Domain Profile)が実装される。
The embedded
ISD-R24は,組み込み型加入者識別モジュール2のルートとなるSDである。ISD-R24は,安全なOTAチャネルを構築する機能,ISD-P21の生成・削除に係る機能などを有する。
The ISD-R24 is the SD that serves as the root of the embedded
ISD-P21は,モバイルサービスを提供するMNOのプロファイル20を格納するSDである。ISD-P21が従来の加入者識別モジュールに相当する。ISD-P21に格納したプロファイル20は,MNOが提供するモバイルサービスを受けるために必要なデータやアプリケーションに加え,MNOが提供するモバイルサービスに付加価値を与えるアプリケーション(例えば,NFC(Near Field Communication)アプリケーション)を含んでいる。
The ISD-P21 is an SD that stores the
カード媒体型の加入者識別モジュールに格納できるプロファイルの数は1つに限定される。これに対し,組み込み型加入者識別モジュール2では,複数のISP-P21を格納できるが,有効に設定できるISP-P21は一つに限定される。図3では,3つのISD-P21が組み込み型加入者識別モジュール2に格納されている。図3では,有効に設定されたISD-P21を実線で囲み,無効に設定されたISD-P21を破線で囲んでいる。図3で図示した通り,3つのISD-P21が組み込み型加入者識別モジュール2に格納されていても,有効に設定できるISD-P21は一つで,これ以外のISD-P21は無効に設定される。
The number of profiles that can be stored in a card-type subscriber identity module is limited to one. In contrast, an embedded
セキュリティ機能を有するセキュリティデバイスには,攻撃者からの故障攻撃を外部から受けるリスクがある。このため,セキュリティデバイスには,故障攻撃に対する耐タンパー性が要求される。組み込み型加入者識別モジュールは,セキュリティデバイスに該当するため,組み込み型加入者識別モジュールにも,故障攻撃に対する耐タンパー性が要求される。 Security devices with security functions are at risk of being subjected to external fault attacks by attackers. For this reason, security devices are required to be tamper-resistant against fault attacks. Since embedded subscriber identity modules are classified as security devices, embedded subscriber identity modules are also required to be tamper-resistant against fault attacks.
セキュリティデバイスに対する故障攻撃とは,セキュリティデバイスに搭載されたICチップに誤動作を起こさせ,セキュリティ的に重要な情報を読み取る攻撃である。セキュリティデバイスに対する代表的な故障攻撃方法としては,例えば,ICチップに対してレーザ照射を行いメモリに記憶されたデータを変化させるレーザ攻撃法が知られている。 A fault attack on a security device is an attack that causes the IC chip installed in the security device to malfunction and reads security-critical information. A typical fault attack method for a security device is, for example, a laser attack method in which a laser is irradiated on the IC chip to change the data stored in the memory.
このような故障攻撃への対策もすでに様々考えられている。例えば,メモリの内容を改竄する故障攻撃によって誤動作するリスクを軽減するために,特許文献1で開示されたセキュリティデバイスは,バーチャルマシンが,実行オペコードが指定オペコードであって,かつ,実行オペコードの正当性の検証に失敗したときに,バーチャルマシンの動作を停止する処理などを実行する。特許文献1で開示された発明では,故障攻撃を受けてメモリの内容が改竄されたときに,メモリの内容が変換され易い値と同じ値であるオペコードや,誤変換されて実行されるとセキュリティ的に問題が発生する可能性のあるオペコードを指定オペコードとすることで,メモリの内容を改竄する故障攻撃によって誤動作するリスクを軽減できる。
Various countermeasures against such fault attacks have already been considered. For example, in order to reduce the risk of malfunction due to a fault attack that tampers with memory contents, the security device disclosed in
しかしながら,攻撃者からの故障攻撃を組み込み型加入者識別モジュール2が検知した際に,組み込み型加入者識別モジュール2の使用を停止すると,複数のプロファイル20を組み込み型加入者識別モジュール2に格納していた場合,故障攻撃を受けていないプロファイル20,すなわち,有効でないプロファイル20も使用できなくなってしまうという問題がある。
However, if the embedded
そこで,本発明は,故障攻撃を検知した際に削除するプロファイルを指定できる組み込み型加入者識別モジュールを提供することを目的とする。 The present invention aims to provide an embedded subscriber identity module that can specify a profile to be deleted when a fault attack is detected.
本発明に係る課題を解決する第1発明は,故障攻撃を検知したときの処置を定義したポリシールールを格納するプロファイルと,故障攻撃に係る所定の攻撃検知アルゴリズムを用いて,コマンド処理の実行中に受けた故障攻撃を検知し,故障攻撃を検知すると,前記プロファイルのプロファイル状態を攻撃検知状態に設定するセキュリティドメインと,有効になっている前記プロファイルのプロファイル状態を監視し,前記プロファイルのプロファイル状態が攻撃検知状態になると,有効であるか無効であるかに係わらず,前記処置が前記プロファイルの削除になっている前記プロファイルをすべて削除するポリシー施行部を備えていることを特徴とする組み込み型加入者識別モジュールである。
本発明において,前記攻撃検知アルゴリズムを適用して故障攻撃を検知するコマンド処理ごとに,故障攻撃を受けたときの危険度を設定し,危険度に対応する前記処置を危険度ごとに前記ポリシールールで定義し,前記セキュリティドメインは,故障攻撃を受けたときのコマンド処理に対応する危険度を攻撃検知状態で示し,前記ポリシー施行部は,攻撃検知状態で示される危険度に対応する前記処置が前記プロファイルの削除になっている前記プロファイルをすべて削除することが好適である。
また,本発明において,前記攻撃検知アルゴリズムの内容は任意であるが,コマンド処理に要する所要時間を利用して故障攻撃を検知する攻撃検知アルゴリズムを用いるのが好適である。
The first invention for solving the problems related to the present invention is an embedded subscriber identity module characterized by comprising: a profile that stores policy rules that define actions to be taken when a fault attack is detected; a security domain that detects fault attacks received during execution of command processing using a predetermined attack detection algorithm related to the fault attack and sets the profile state of the profile to an attack detection state when a fault attack is detected; and a policy enforcement unit that monitors the profile state of enabled profiles and, when the profile state of the profile becomes an attack detection state, deletes all profiles for which the action is to delete the profile, regardless of whether the profile is enabled or disabled.
In the present invention, it is preferable that for each command processing to which the attack detection algorithm is applied to detect a fault attack, a degree of danger when subjected to a fault attack is set, and the action corresponding to the degree of danger is defined for each degree of danger in the policy rule, the security domain indicates the degree of danger corresponding to the command processing when subjected to a fault attack in the attack detection status, and the policy enforcement unit deletes all profiles for which the action corresponding to the degree of danger indicated in the attack detection status is to delete the profile.
Furthermore, in the present invention, the content of the attack detection algorithm is arbitrary, but it is preferable to use an attack detection algorithm that detects a fault attack by utilizing the time required for command processing.
上述した本発明によれば,故障攻撃を検知した際に削除するプロファイルを指定できる組み込み型加入者識別モジュールを提供できる。 The present invention described above provides an embedded subscriber identity module that can specify a profile to be deleted when a fault attack is detected.
ここから,本発明に係る実施形態について記載する。本実施形態は,本発明の理解を容易にするためのものであり,本発明は,本実施形態に限定されるものではない。また,特に断りのない限り,図面は,本発明の理解を容易にするために描かれた模式的な図である。 From here, an embodiment of the present invention will be described. This embodiment is intended to facilitate understanding of the present invention, and the present invention is not limited to this embodiment. Furthermore, unless otherwise specified, the drawings are schematic diagrams drawn to facilitate understanding of the present invention.
本発明は,組み込み型加入者識別モジュールにかかる発明である。組み込み型加入者識別モジュールは,eSIM(eSIM: embedded Subscriber Identity Module)と称されることもあるが,本実施形態では,組み込み型加入者識別モジュールのことを,GSMAの規格に準じてeUICC(embedded Universal Integrated Circuit Card)と記載する。 The present invention relates to an embedded subscriber identity module. The embedded subscriber identity module is sometimes called an eSIM (embedded subscriber identity module), but in this embodiment, the embedded subscriber identity module is referred to as an eUICC (embedded Universal Integrated Circuit Card) in accordance with the GSMA standard.
図1は,本実施形態に係るeUICC1の構造を説明する図である。図3では,ハードウェア16とオペレーティングシステム12(Operating System(OS))を区別することなく記載していたが,図1では,ハードウェア16とOS12を区別して記載している。
Figure 1 is a diagram explaining the structure of an
図1で図示したハードウェア16の構成では,バス167を介してCPU160(Central Processing Unitの略)に,RAM162(Random Access Memory),ROM161(Read Only Memory),NVM 164(Non-volatile memory),UART166(Universal Asynchronous Receiver/Transmitter),タイマー165およびアクセラレータ163が接続されている。RAM162は,eUICC1のメインメモリとなる揮発性メモリで,ROM161は,電気的に書き換え不可能な不揮発性メモリである。NVM164は,電気的に書き換え可能な不揮発性メモリである。UART166は,eUICC1が組み込まれたモバイル機器との通信を制御する回路で,タイマー165は,時間を計測する回路で,アクセラレータ163は,暗号演算の処理速度を速くするための回路である。
In the configuration of
eUICC1には,ソフトウェアとして,OS12と,OS12を基盤として動作する複数のセキュリティドメイン(Security Domain(SD))が実装される。OS12のプログラムコードは主にROM161に格納される。SDのプログラムコードはNVM164に格納される。
In the eUICC1, the following software is implemented:
OS12は,OS12を基盤として動作するSDに様々なプラットフォーム機能を提供する。本実施形態に係るOS12は,プロファイル10が格納するポリシールール100に従う処理を実行するポリシー施行部13を備えている。
The OS 12 provides various platform functions to the SD that operates based on the
SDは,ドメインの分離とドメインに係るセキュリティ機能を提供するアプリケーションである。図1で図示したeUICC1には,1つのECASD15(eUICC Controlling Authority Security Domain),1つのISD-R14(Issuer Security Domain Root)およびISD-P11(Issuer Security Domain Profile)が実装されている。 SD is an application that provides domain separation and domain-related security functions. The eUICC 1 shown in Figure 1 implements one ECASD 15 (eUICC Controlling Authority Security Domain), one ISD-R 14 (Issuer Security Domain Root), and one ISD-P 11 (Issuer Security Domain Profile).
ECASD15は,eUICC1の認証局のSDになる。ECASD15は,安全なOTAチャネルを構築するISD-R14に関連付けられており,ISD-P11やISD-R14が利用する公開暗号方式の暗号鍵対を生成する機能を有している。 ECASD15 will be the SD of the eUICC1 certification authority. ECASD15 is associated with ISD-R14, which establishes a secure OTA channel, and has the function of generating cryptographic key pairs for the public cryptography used by ISD-P11 and ISD-R14.
ISD-R14は,eUICC1においてルートとなるSDである。ISD-R14は,安全なOTAチャネルを構築する機能,ISD-P11の生成・削除に係る機能などを有する。 ISD-R14 is the root SD in eUICC1. ISD-R14 has functions such as building a secure OTA channel and generating and deleting ISD-P11.
ISD-P11は,MNO(Mobile Network Operator)のプロファイル10を格納するSDである。本実施形態に係るISD-P11が本発明に係るSDに相当する。
The ISD-P11 is an SD that stores a
1つのeUICC1に複数のISD-P11を格納できるが,有効に設定できるISD-P11の数は一つに限定される。有効に設定されたISD-P11が格納しているプロファイル10が,eUICC1において有効になる。図1では,3つのISD-P11がeUICC1に格納されている。図1では,有効に設定されたISD-P11を実線で囲み,無効に設定されたISD-P11を破線で囲んでいる。図1で図示した通り,複数のISD-P11がeUICC1に格納されていても,有効に設定できるISD-P11は一つで,これ以外のISD-P11は無効に設定される。
Multiple ISD-P11s can be stored in one eUICC1, but the number of ISD-P11s that can be set as valid is limited to one. The
ISD-P11に格納するプロファイル10は,MNOが提供するモバイルサービスを受けるために必要なデータやアプリケーションを格納する。図1において,プロファイル10は,MNOのSDであるMNO-SD101を含む。また,プロファイル10は,ファイルシステム102,MNOが提供する移動体通信ネットワークに接続するためのアプリケーションであるNAA103(Network Access application)),MNOのモバイルサービスに付加価値を持たせるためのアプリケーション104(例えば,NFCアプリケーション)などを含んでいる。
The
更に,プロファイル10は,プロファイル10のメタデータとなるポリシールール100を含んでいる。プロファイル10のメタデータとなるポリシールール100は,MNO-SD101に関連付けられておらず,ポリシールール100には,ISD-R14やOS12がアクセスできる。
Furthermore, the
本実施形態に係るポリシールール100では,故障攻撃を検知したときの処置が定義されている。故障攻撃を検知したときの処置を定義するポリシールール100は,プロファイル10に対応するMNOによって設定される。
The
ISD-P11は,ISD-P11に格納したプロファイル10に係るセキュリティ機能の一つとして,プロファイル10のプロファイル状態を遷移させる機能を有する。本実施形態に係るISD-P11は,故障攻撃に係る所定の攻撃検知アルゴリズムを用いて,コマンド処理の実行中に受けた故障攻撃を検知し,故障攻撃を検知すると,プロファイル10のプロファイル状態を有効から攻撃検知状態に設定する。
As one of the security functions related to the
攻撃検知アルゴリズムする具体的な内容は任意であるが,本実施形態に係るISD-P11は,コマンド処理の実行中に故障攻撃を受けると,コマンド処理に要する所要時間が変わることを利用して,外部からの故障攻撃を検知する。コマンド処理に要する所要時間が変わることを利用して,外部からの故障攻撃を検知することで,eUICC1に特別な回路を設けなくとも,ソフトウェアにより外部からの故障攻撃を検知できる。 The specific contents of the attack detection algorithm are arbitrary, but the ISD-P11 according to this embodiment detects external fault attacks by utilizing the change in the time required for command processing when a fault attack occurs during command processing. By detecting external fault attacks by utilizing the change in the time required for command processing, external fault attacks can be detected by software without the need for a special circuit in the eUICC1.
eUICC1に実装したOS12が備えるポリシー施行部13は,eUICC1で有効になっているISD-P11のプロファイル状態を監視する。ポリシー施行部13は,ISD-P11のプロファイル状態が攻撃検知状態になると,eUICC1に実装されているプロファイル10の中から,プロファイル10が有効か無効であるかにかかわらず,故障攻撃を検知したときの処置が削除になっているプロファイル10すべてを削除する処理を実行する。なお,プロファイル10を削除するとは,プロファイル10とこれを格納したISD-P11を削除することを意味する。
The
図2は,本実施形態に係るeUICC1の動作を説明する図である。上述した通り,本実施形態に係るeUICC1において,外部からの故障攻撃を検知する主体は,有効なISD-P11で,プロファイル10を削除する主体は,OS12が備えるポリシー施行部13になる。
Figure 2 is a diagram explaining the operation of the eUICC1 according to this embodiment. As described above, in the eUICC1 according to this embodiment, the entity that detects external fault attacks is the valid ISD-P11, and the entity that deletes the
eUICC1が備えるISD-P11は,eUICC1に送信されたコマンドが,攻撃検知アルゴリズムを適用して故障攻撃を検知するコマンドの場合,タイマー165を利用して,eUICC1に送信されたコマンドの処理に要する所要時間の計測を開始してから(ステップS1),eUICC1に送信されたコマンドを実行させる(ステップS2)。攻撃検知アルゴリズムを適用して故障攻撃を検知するコマンドは,アクセラレータ163を利用した暗号演算を行う認証コマンドなど,セキュリティ的に重要な処理を行うコマンドになる。また,eUICC1に送信されたコマンドを実行するアプリケーションは,eUICC1に送信されたコマンドに対応するアプリケーション(ISD-P11も含む)になる。
When the command sent to the eUICC1 is a command to detect a fault attack by applying an attack detection algorithm, the ISD-P11 provided in the eUICC1 uses the
eUICC1に送信されたコマンドの処理が終了すると,ISD-P11は,eUICC1に送信されたコマンドの処理に要する所要時間の計測を終了し(ステップS3),コマンドの所要時間とコマンドの平均所要時間を比較することで,コマンドの所要時間の正常または異常を判定する(ステップS4)。 When the processing of the command sent to eUICC1 is completed, ISD-P11 stops measuring the time required to process the command sent to eUICC1 (step S3), and determines whether the time required for the command is normal or abnormal by comparing the time required for the command with the average time required for the command (step S4).
本実施形態において,コマンドの所要時間とコマンドの平均所要時間の比較には,所要時間の下限値(平均処理時間の100%未満の時間になる)または所要時間の上限値(平均処理時間の100%を超える時間になる)が利用される。下限値と上限値とは平均所要時間との相対的な値として,任意に設定することができる。 In this embodiment, the comparison of the required time of a command with the average required time of a command uses a lower limit value of the required time (a time less than 100% of the average processing time) or an upper limit value of the required time (a time greater than 100% of the average processing time). The lower limit value and the upper limit value can be set arbitrarily as values relative to the average required time.
例えば,故障攻撃を受けたとき所要時間が極端に短くなるコマンドの場合,ISD-P11は,コマンドの所要時間が,平均所要時間を用いて算出したコマンドの所要時間の下限値未満であれば,コマンドの所要時間が異常であると判定する。また,故障攻撃を受けたとき処理時間が極端に長くなるコマンドの場合,ISD-P11は,コマンドの所要時間が,平均所要時間を用いて算出したコマンドの所要時間の上限値を超えていれば,コマンドの所要時間が異常であると判定する。 For example, in the case of a command whose required time becomes extremely short when subjected to a fault attack, the ISD-P11 determines that the required time of the command is abnormal if the required time of the command is less than the lower limit of the required time of the command calculated using the average required time. In the case of a command whose processing time becomes extremely long when subjected to a fault attack, the ISD-P11 determines that the required time of the command is abnormal if the required time of the command exceeds the upper limit of the required time of the command calculated using the average required time.
ISD-P11は,eUICC1に送信されたコマンドの所要時間が異常でないと判定すると,今回計測したコマンドの所要時間を用いてコマンドの平均所要時間を更新した後(ステップS5),図2の手順は終了する。 If the ISD-P11 determines that the time required for the command sent to the eUICC1 is not abnormal, it updates the average time required for the command using the time required for the command measured this time (step S5), and then the procedure in Figure 2 ends.
ISD-P11は,eUICC1に送信されたコマンドの所要時間が異常と判定すると,ISD-P11またはISD-P11に格納しているプロファイル10が故障攻撃を受けたと判断し,ISD-P11のプロファイル状態を攻撃検知状態に設定する(ステップS6)。
If the ISD-P11 determines that the time required for the command sent to the eUICC1 is abnormal, it determines that the ISD-P11 or the
eUICC1において有効になっているISD-P11のプロファイル状態を監視しているOS12のポリシー施行部13は,eUICC1において有効になっているISD-P11のプロファイル状態が攻撃検知状態になると,eUICC1に実装されているプロファイル10を削除する処理(ステップS7)を実行した後,図2の手順は終了する。
The
eUICC1に実装されているプロファイル10を削除する処理(ステップS7)において,OS12のポリシー施行部13は,eUICC1に実装されているプロファイル10ごと(ISD-P11ごとになる)に繰り返し実行するループ処理(ステップS10)を実行する。
In the process of deleting the
ループ処理(ステップS10)において,まず,OS12のポリシー施行部13は,ISD-P11のプロファイル10が含むポリシールール100を読み取る(ステップS11)。次に,OS12のポリシー施行部13は,故障攻撃を検知したときの処置が削除であるか判定する(ステップS12)。次に,OS12のポリシー施行部13は,ポリシールール100によってプロファイル10の削除が示される場合,プロファイル10とこれを格納するISD-P11を削除する(ステップS13)。なお,ポリシールール100によってプロファイル10の削除が示されない場合,プロファイル10とこれを格納するISD-P11は削除しない。
In the loop processing (step S10), first, the
これまでの説明では,故障攻撃を受けたときの危険度を考慮していないが,実際は,コマンド処理に応じて故障攻撃を受けたときの危険度が異なる。このため,本発明では,故障攻撃を受けたコマンド処理の危険度に応じて,故障攻撃を検知したときの処置を変更できることが望ましい。 The explanation so far has not taken into account the degree of risk when a fault attack occurs, but in reality, the degree of risk when a fault attack occurs varies depending on the command processing. For this reason, in this invention, it is desirable to be able to change the measures taken when a fault attack is detected depending on the degree of risk of the command processing that has been subjected to the fault attack.
故障攻撃を受けたコマンド処理の危険度に応じて,故障攻撃を検知したときの処置を変更する場合,攻撃検知アルゴリズムを適用して故障攻撃を検知するコマンド処理ごとに,故障攻撃を受けたときの危険度を設定する。例えば,故障攻撃を受けたときの危険度が高いコマンド処理としては,アクセラレータを利用した暗号演算を行う認証コマンドに係るコマンド処理が考えられる。また,ポリシールール100では,危険度ごとに処置を定義する。
When changing the action taken when a fault attack is detected depending on the risk of the command process subjected to the fault attack, the risk of a fault attack is set for each command process that detects a fault attack by applying the attack detection algorithm. For example, a command process that is highly dangerous when subjected to a fault attack may be a command process related to an authentication command that performs cryptographic calculations using an accelerator. Furthermore, the
この場合,図2のステップS6において,ISD-P11は,故障攻撃を受けたときのコマンド処理に対応する危険度を示す攻撃検知状態にプロファイル10のプロファイル状態を設定する。例えば,故障攻撃を受けたときのコマンド処理に対応する危険度ごとに,プロファイル10のプロファイル状態に設定する攻撃検知状態を変更することで,攻撃検知状態で危険度を示すことができる。また,故障攻撃を受けたときのコマンド処理に対応する危険度を攻撃検知状態に含ませることでも,攻撃検知状態で危険度を示すことができる。また,図2のステップS13において,ポリシー施行部13は,攻撃検知状態で示される危険度に対応する処置がプロファイル10の削除になっているプロファイル10をすべて削除する。
In this case, in step S6 of FIG. 2, the ISD-P11 sets the profile state of the
1 eUICC
10 プロファイル
100 ポリシールール
11 ISD-P
110 プロファイル状態
12 オペレーティングシステム(OS)
13 ポリシー施行部
1. eUICC
10
110
13. Policy Enforcement Division
Claims (3)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020186488A JP7463943B2 (en) | 2020-11-09 | 2020-11-09 | Embedded Subscriber Identity Module |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020186488A JP7463943B2 (en) | 2020-11-09 | 2020-11-09 | Embedded Subscriber Identity Module |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022076185A JP2022076185A (en) | 2022-05-19 |
JP7463943B2 true JP7463943B2 (en) | 2024-04-09 |
Family
ID=81606705
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020186488A Active JP7463943B2 (en) | 2020-11-09 | 2020-11-09 | Embedded Subscriber Identity Module |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7463943B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009259126A (en) | 2008-04-18 | 2009-11-05 | Dainippon Printing Co Ltd | Method for detecting fault attack and security device |
JP2010250364A (en) | 2009-04-10 | 2010-11-04 | Dainippon Printing Co Ltd | Ic chip and data protection method or the like |
US20160149903A1 (en) | 2013-04-15 | 2016-05-26 | Samsung Electronics Co., Ltd. | Method for supporting subscriber's service provider change restriction policy in mobile communications and apparatus therefor |
JP2019519174A (en) | 2016-06-23 | 2019-07-04 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | Method and entity for terminating a subscription |
US20190303566A1 (en) | 2018-03-30 | 2019-10-03 | Megachips Corporation | Attack detector, controller, and attack detection method |
-
2020
- 2020-11-09 JP JP2020186488A patent/JP7463943B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009259126A (en) | 2008-04-18 | 2009-11-05 | Dainippon Printing Co Ltd | Method for detecting fault attack and security device |
JP2010250364A (en) | 2009-04-10 | 2010-11-04 | Dainippon Printing Co Ltd | Ic chip and data protection method or the like |
US20160149903A1 (en) | 2013-04-15 | 2016-05-26 | Samsung Electronics Co., Ltd. | Method for supporting subscriber's service provider change restriction policy in mobile communications and apparatus therefor |
JP2019519174A (en) | 2016-06-23 | 2019-07-04 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | Method and entity for terminating a subscription |
US20200084610A1 (en) | 2016-06-23 | 2020-03-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and Entities for Ending a Subscription |
US20190303566A1 (en) | 2018-03-30 | 2019-10-03 | Megachips Corporation | Attack detector, controller, and attack detection method |
JP2019179991A (en) | 2018-03-30 | 2019-10-17 | 株式会社メガチップス | Attack detection device, control device, processing device, and attack detection method |
Also Published As
Publication number | Publication date |
---|---|
JP2022076185A (en) | 2022-05-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2708696T3 (en) | Method for changing the mobile network operator in an integrated SIM based on a special privilege | |
US9775024B2 (en) | Method for changing MNO in embedded SIM on basis of dynamic key generation and embedded SIM and recording medium therefor | |
US7428992B2 (en) | Secure device and system for issuing IC cards | |
WO2020216131A1 (en) | Digital key-based identity authentication method, terminal apparatus, and medium | |
US9977890B2 (en) | Method and device for controlling access from the device to a card via a NFC interface | |
KR101414932B1 (en) | System and method for controlling access to applet | |
KR102244465B1 (en) | Electronic assembly comprising a disabling module | |
KR20190012233A (en) | Integrated Subscriber Identity Module with Core OS and Application OS | |
CN107358118B (en) | SFS access control method and system, SFS and terminal equipment | |
US20140325613A1 (en) | Method for modifying rights to security domain for smartcard, and server, smartcard, and terminal for same | |
CN111404706B (en) | Application downloading method, secure element, client device and service management device | |
CN110691352B (en) | SIM card access control method, device, medium and equipment | |
JP7463943B2 (en) | Embedded Subscriber Identity Module | |
JP4993114B2 (en) | Shared management method for portable storage device and portable storage device | |
US10809930B2 (en) | Configuring an embedded subscriber identity module | |
CN106919812B (en) | Application process authority management method and device | |
CN111684445B (en) | Information processing apparatus, information processing method, and program | |
EP3737129A1 (en) | Management method for offline management instruction and terminal | |
CN112422281B (en) | Method and system for changing secret key in security module | |
KR101678729B1 (en) | A secure element for a telecommunications terminal | |
JP6874318B2 (en) | Electronic information storage medium, IC card, support information update method, and support information update program | |
KR20060035421A (en) | Method for deleting an application provider security domain of smart card with plural security domains | |
JP2021069050A (en) | eUICC AND METHOD FOR ISSUING eUICC | |
CN111209561A (en) | Application calling method and device of terminal equipment and terminal equipment | |
CN104348952A (en) | Control method of card application management system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230927 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240227 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240229 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240311 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7463943 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |