KR101873821B1 - 액세스 제어 클라이언트들의 저장 및 실행을 위한 방법 및 장치 - Google Patents

Abstract

액세스 제어 엔티티가 이용될 호스트 디바이스를 배치한 후 (eSIM(electronic Subscriber Identity Module) 컴포넌트들) 액세스 제어 엔티티들의 보안 제공을 위한 방법 및 장치가 제공된다. 일 실시예에서, 무선(예컨대, 셀룰러) 사용자 장비에는 사용자 장비의 "필드"에 업데이트 또는 새로운 eSIM을 제공하는 데 이용될 수 있는 승인 인증서 및 고유 디바이스 키가 제공된다. 사용자 장비는 디바이스 키에 의한 보안 인증서 전송에 기초하여, 알려지지 않은 제3자 eSIM 벤더에 의해 전달되는 eSIM 자료를 신뢰할 수 있다. 다른 양태에서, OS(operating system)이 다양한 부분들 또는 "샌드박스들"로 파티셔닝된다. 동작 중에, 사용자 디바이스는 현재의 무선 네트워크에 대응하는 샌드박스에서 OS를 활성화하고 실행할 수 있다. 네트워크에 접속중에 수신된 개인화 패키지들은 그 샌드박스에만 적용된다. 마찬가지로, eSIM을 로딩하는 경우, OS는 현재의 런타임 환경에 필요한 소프트웨어 리스트만을 로드하는 것이 필요하다. 사용되지 않은 소프트웨어는 후속하여 활성화될 수 있다.

Description

액세스 제어 클라이언트들의 저장 및 실행을 위한 방법 및 장치{METHODS AND APPARATUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS}

우선권 및 관련 출원들

본 출원은, 2010년 10월 28일자로 출원되었으며 발명의 명칭이 "METHODS AND APPARATUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS"인 미국 가특허 출원 제61/407,866호에 대해 우선권 주장하는, 2011년 4월 5일자로 출원되었으며 발명의 명칭이 "METHODS AND APPARATUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS"인 미국 특허 출원 제13/080,521호에 대해 우선권 주장하는데, 전술한 특허 출원 각각은 그 전체가 본 명세서에 참조로서 포함되어 있다.

또한, 본 출원은, 공동 소유되며 함께 계류 중인 특허 출원들인, 2011년 4월 5일자로 출원되었으며 발명의 명칭이 "APPARATUS AND METHODS FOR CONTROLLING DISTRIBUTION OF ELECTRONIC ACCESS CLIENTS"인 미국 특허 출원 제13/080,558호, 2010년 11월 22일자로 출원되었으며 발명의 명칭이 "WIRELESS NETWORK AUTHENTICATION APPARATUS AND METHODS"인 미국 특허 출원 제12/952,082호, 2010년 11월 22일자로 출원되었으며 발명의 명칭이 "APPARATUS AND METHODS FOR PROVISIONING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK"인 미국 특허 출원 제12/952,089호, 2010년 12월 28일자로 출원되었으며 발명의 명칭이 "VIRTUAL SUBSCRIBER IDENTITY MODULE DISTRIBUTION SYSTEM"인 미국 특허 출원 제12/980,232호, 2009년 1월 13일자로 출원되었으며 발명의 명칭이 "POSTPONED CARRIER CONFIGURATION"인 미국 특허 출원 제12/353,227호, 2011년 4월 5일자로 출원되었으며 발명의 명칭이 "APPARATUS AND METHODS FOR STORING ELECTRONIC ACCESS CLIENTS"인 미국 가특허 출원 제61/472,109호, 2011년 4월 5일자로 출원되었으며 발명의 명칭이 "APPARATUS AND METHODS FOR DISTRIBUTING AND STORING ELECTRONIC ACCESS CLIENTS"인 미국 가특허 출원 제61/472,115호, 2010년 10월 28일자로 출원되었으며 발명의 명칭이 "METHODS AND APPARATUS FOR ACCESS CONTROL CLIENT ASSISTED ROAMING"인 미국 가특허 출원 제61/407,858호, 2010년 10월 28일자로 출원되었으며 발명의 명칭이 "MANAGEMENT SYSTEMS FOR MULTIPLE ACCESS CONTROL ENTITIES"인 미국 가특허 출원 제61/407,861호(현재 동일한 명칭으로 2011년 4월 4일자로 출원된 미국 특허 출원 제13/079,614호임), 2010년 10월 28일자로 출원되었으며 발명의 명칭이 "METHODS AND APPARATUS FOR DELIVERING ELECTRONIC IDENTIFICATION COMPONENTS OVER A WIRELESS NETWORK"인 미국 가특허 출원 제61/407,862호, 2010년 10월 29자로 출원되었으며 발명의 명칭이 "ACCESS DATA PROVISIONING SERVICE"인 미국 가특허 출원 제61/408,504호(현재 2011년 4월 1일자로 출원되었으며 발명의 명칭이 "ACCESS DATA PROVISIONING APPARATUS AND METHODS"인 미국 특허 출원 제13/078,811호임), 2010년 11월 3일자로 출원되었으며 발명의 명칭이 "METHODS AND APPARATUS FOR ACCESS DATA RECOVERY FROM A MALFUNCTIONING DEVICE"인 미국 가특허 출원 제61/409,891호, 2010년 11월 4일자로 출원되었으며 발명의 명칭이 "SIMULACRUM OF PHYSICAL SECURITY DEVICE AND METHODS"인 미국 가특허 출원 제61/410,298호(현재 동일한 명칭으로 2011년 4월 5일자로 출원된 미국 특허 출원 제13/080,533호임), 및 2010년 11월 12일자로 출원되었으며 발명의 명칭이 "APPARATUS AND METHODS FOR RECORDATION OF DEVICE HISTORY ACROSS MULTIPLE SOFTWARE EMULATION"인 미국 가특허 출원 제61/413,317호에 관련되는데, 전술한 특허 출원 각각은 그 전체가 본 명세서에 참조로서 포함되어 있다.

발명의 기술분야

본 발명은 일반적으로 무선 통신 및 데이터 네트워크들의 분야에 관한 것이다. 보다 상세하게는, 일 예시적인 양태에서, 본 발명은 액세스 제어 엔티티들 또는 클라이언트들의 안전한 변경, 저장 및 실행을 위한 방법들 및 장치들에 관한 것이다.

대부분의 종래 기술의 무선 라디오 통신 시스템들에서의 보안 통신에 액세스 제어가 요구된다. 일례로서, 하나의 단순한 액세스 제어 방식은, (i) 통신 당사자의 ID(identity)를 검증하는 것, 및 (ii) 이 검증된 ID에 부합하는 액세스의 레벨을 허여하는 것을 포함할 수 있다. 일 예시적인 셀룰러 시스템(예를 들어, UMTS(Universal Mobile Telecommunications System))의 콘텍스트 내에서, 액세스 제어는, 물리적 범용 IC 카드(Universal Integrated Circuit Card: UICC) 상에서 실행되는 범용 가입자 식별 모듈(Universal Subscriber Identity Module: USIM)로 지칭되는 액세스 제어 클라이언트에 의해 좌우된다. USIM 액세스 제어 클라이언트는 UMTS 셀룰러 네트워크에 대해 가입자를 인증한다. 성공적인 인증 이후에, 가입자에게 셀룰러 네트워크로의 액세스가 허용된다. 이하 이용되는 바와 같이, "액세스 제어 클라이언트"라는 용어는 일반적으로 네트워크에 대한 제1 디바이스의 액세스를 제어하기에 적합한 하드웨어나 소프트웨어 내에 구현된 논리적 엔티티를 언급한다. 액세스 제어 클라이언트들의 일반적인 예들로는, 전술한 USIM, CDMA 가입자 식별 모듈(CSIM), IP 멀티미디어 서비스 식별 모듈(IP Multimedia Services Identity Module: ISIM), 가입자 식별 모듈(SIM), 착탈식 사용자 식별 모듈(Removable User Identity Modules: RUIM) 등이 포함된다.

종래에, USIM(또는 보다 일반적으로 "SIM")은 잘 알려진 AKA(Authentication and Key Agreement) 절차를 수행하는데, 이는 안전한 초기화를 보장하기 위해서 적용가능한 데이터 및 프로그램들을 검증하며 복호화한다. 상세하게는, USIM은 (i) 네트워크 운영자에게 그 ID를 증명하기 위해서 원격 챌린지(remote challenge)에 성공적으로 응답해야 하며, (ii) 네트워크의 ID를 검증하기 위해서 챌린지를 발행해야 한다.

그러나, 기존의 SIM 솔루션들은 다수의 약점이나 단점들을 갖는다. 먼저, SIM 소프트웨어는 물리적 UICC 카드 매체로 하드-코딩되는데; 가입자는 SIM 동작을 변경하기 위해서 새로운 UICC를 필요로 한다. 이는 MNO들 및 가입자들 모두에 불리할 수 있는데; 예를 들어, 인증 절차들이 (예를 들어, 악의적인 "해킹" 행위들을 통해) "차단"되는 경우, 가입자에게 새로운 UICC가 발행되어야 하고, 이 프로세스는 시간 소모적이며 고비용이 소요된다. 또한, 본 명세서에서 보다 상세하게 후술되는 이유들로 인해, 물리적 SIM만이 단일의 신뢰 엔티티, 상세하게는 함께 통신하도록 구성되는 모바일 네트워크 운영자(MNO)를 인식한다. 따라서, 디바이스와 MNO 사이의 기존의 신뢰 관계를 통하는 것을 제외하고 배치후(post-deployment) 프로그래밍을 통합하는 방법이 현재 존재하지 않는다. 예를 들어, 새로운 또는 업그레이드된 SIM 소프트웨어를 제공하기를 희망하는 제3자 SIM 개발자들은, 그들과 가입자의 SIM 사이에 신뢰 관계를 확립할 수 없는 것뿐만 아니라, 물리적 SIM 카드 매체의 불유연성(inflexibility) 모두에 의해 방해된다. 이러한 제어 "병목"은 SIM 벤더들에 대해 제공된 능력 및 수를 크게 제한한다.

따라서, 배치후 SIM 배포 및 변경을 가능하게 하기 위해 새로운 솔루션들이 필요하다. 이상적으로, 이러한 솔루션들은, 디바이스가 "필드"에 있는 동안에(배치후) 모바일 디바이스가 SIM 동작에 대한 변경들을 수신하며 구현할 수 있게 해야 한다. 또한, 개선된 방법들 및 장치들은, 특히 업데이트들, 유연한 동작, 다수의 SIM 프로파일들에 대한 지원 등과 같은 다른 바람직한 특징들을 지원해야 한다.

그러나, 보다 일반적으로, 액세스 제어 클라이언트들의 안전한 변경, 저장 및 실행을 위해 개선된 방법들 및 장치들이 필요하다. 다수의 가입자 액세스 프로파일들, 안전한 디바이스 업데이트, 가입자 서비스 제공을 위한 대안적인 방법들 등과 같은 특징들을 지원하는데 액세스 제어 클라이언트 동작을 변경하는 기술들이 필요하다. 또한, 액세스 제어의 민감한 속성, 및 부정 이용과 서비스 도난에 대한 가능성으로 인해, 이러한 변경들을 수행하는 안전한 방법들이 주요한 관심 대상이다.

본 발명의 배경 기술로는 미국 공개특허 제2009/0191857호, 미국 공개특허 제2011/0151836호, 및 미국 공개특허 제2002/0166048호가 있다.

본 발명은 액세스 제어 클라이언트들의 안전한 변경, 저장 및 실행을 위한 개선된 장치들 및 방법들을 제공함으로써 전술한 필요성들을 만족시킨다.

본 발명의 제1 양태에서, 무선 장치가 개시되어 있다. 일 실시예에 있어서, 이 장치는, 액세스 제어 클라이언트를 통해 적어도 하나의 네트워크와 통신하도록 되어 있는 하나 이상의 무선 링크들; 액세스 제어 클라이언트를 저장하도록 구성된 보안 요소; 보안 요소에 대한 인터페이스 - 이 인터페이스는 암호 키 및 연관된 승인 인증서(endorsement certificate)를 가짐 -; 프로세서; 및 프로세서와 데이터 통신하는 저장 디바이스 - 이 저장 디바이스는 컴퓨터 실행가능 명령들을 포함함 - 를 포함한다. 적어도 이들 컴퓨터 실행가능 명령들의 서브셋은 하나 이상의 세그먼트들로 더 파티셔닝된다.

일 변형에 있어서, 컴퓨터 실행가능 명령들은, 프로세서에 실행되는 경우, 인터페이스를 통해 적어도 하나의 네트워크에 특정인 액세스 제어 클라이언트에 대하여 하나 이상의 컴포넌트들에 대한 요청을 송신하고 - 이 요청은 승인 인증서 및 암호 키를 포함함 -; 하나 이상의 요청된 컴포넌트들을 수신하고 - 하나 이상의 컴포넌트들은 제2 승인 인증서와 연관됨 -; 제2 승인 인증서를 검증하며; 제2 승인 인증서의 성공적인 검증에 응답하여, 액세스 제어 클라이언트를 로딩한다.

본 발명의 제2 양태에서, 상호 인증 방법이 개시되어 있다. 일 실시예에 있어서, 이 방법은, 하나 이상의 컴포넌트들을 요청하는 단계 - 이 요청은 제1 승인 인증서와 연관됨 -; 하나 이상의 컴포넌트들 및 제2 승인 인증서를 수신하는 단계; 및 제2 승인 인증서가 유효한 경우, 하나 이상의 컴포넌트들을 로딩하는 단계를 포함하며, 제1 승인 인증서와 제2 승인 인증서는 신뢰 엔티티에 의해 발행된다.

본 발명의 제3 양태에서, 액세스 제어 클라이언트를 실행하는 방법이 개시되어 있다. 일 실시예에 있어서, 이 방법은, 제1 부트스트랩 운영 시스템을 실행하는 단계 - 이 부트스트랩 운영 시스템은 보안 파티션을 선택하며, 보안 파티션은 단 하나의 액세스 제어 클라이언트와 연관됨 -; 보안 파티션을 검증하는 단계 - 보안 파티션은 하나의 공통 운영 시스템 및 하나의 액세스 제어 클라이언트를 포함함 -; 및 이 공통 운영 시스템을 실행하는 단계 - 공통 운영 시스템은 하나의 액세스 제어 클라이언트를 로딩함 - 를 포함한다. 액세스 제어 클라이언트는 외부 셀룰러 네트워크와 같은 네트워크에 대해 인증되도록 구성된다.

본 발명의 제4 양태에서, 모바일 디바이스가 개시되어 있다. 일 실시예에 있어서, 이 모바일 디바이스는, 부트스트랩 OS 아키텍처를 이용하여 가상 또는 전자 SIM 데이터 구조를 요청하고, 수신하며, 이용하도록 구성된다.

본 발명의 제5 양태에서, 컴퓨터 판독가능 장치가 개시되어 있다. 일 실시예에 있어서, 이 장치는 저장 매체를 포함하는데, 이 저장 매체는 그 상에서 실행되는 적어도 하나의 컴퓨터 프로그램을 가지며, 이 적어도 하나의 프로그램은 부트스트랩 OS를 이용하여 가상 또는 전자 SIM들에 대한 요청을 수신하고, 처리하며, 제공하도록 구성된다.

본 발명의 제6 양태에서, 가상 또는 전자 SIM들을 사용자들에게 배포하기 위한 시스템이 개시되어 있다. 일 실시예에 있어서, 이 시스템은, 인터넷 또는 MAN이나 WLAN과 같은 네트워크를 통해 eSIM 전달을 지원하는 운영 시스템 컴포넌트들의 전달을 위한 장치를 포함한다.

본 발명의 다른 특징들 및 이점들은 아래에 주어지는 예시적인 실시예들의 상세한 설명 및 첨부 도면들을 참조하여 당업자에 의해 바로 인식될 것이다.

도 1은 종래 기술의 USIM을 이용하는 일 예시적인 AKA(Authentication and Key Agreement) 절차를 그래픽으로 도시한 도면.
도 2는 본 발명에 따른 디바이스 키 쌍을 소프트웨어 엔티티(예를 들어, 사용자 장비(UE), 제3자 소프트웨어 벤더, SIM 벤더 등)에 할당하는 방법의 일 실시예를 도시한 논리 흐름도.
도 3은 본 발명의 일 실시예에 따른 UE와 소프트웨어 벤더 사이의 런타임 컴포넌트들의 보안 전송을 위한 일 예시적인 트랜잭션을 그래픽으로 도시한 도면.
도 4는 본 발명에 따른 eSIM의 안전한 실행을 위한 방법의 일 실시예를 그래픽으로 도시한 도면.
도 4a는 본 발명에 따른 부트스트랩 OS, eUICC 및 eSIM 아키텍처의 일 실시예를 그래픽으로 도시한 도면.
도 5는 액세스 제어 클라이언트들과 함께 사용하기 위한 컴포넌트들의 안전한 변경 및 저장을 위한 일반화된 방법의 일 실시예를 도시한 논리 흐름도.
도 6은 본 발명에 따른 액세스 제어 클라이언트들과 함께 사용하기 위한 컴포넌트들의 안전한 실행을 위한 일반화된 방법의 일 실시예를 도시한 논리 흐름도.
도 7은 본 발명의 방법들을 구현하는데 유용한 일 예시적인 장치의 블록도.

이하, 유사한 참조부호들이 그 전체에 걸쳐 유사한 부분들을 나타내는 도면을 참조한다.

개요

특히, 본 발명은, 사용자 장비 및 임의의 신뢰 제3자 엔티티가 서로 상호 검증할 수 있는 안전한 방법들 및 장치들을 제공한다. 또한, 본 발명은, 사용자 장비가 배치된 이후에도 임의의 제3자 엔티티가 신뢰되게 할 수 있게 하는 방법 및 장치를 개시한다. 예를 들어, 모바일 디바이스(예를 들어, UMTS UE)는 제3자 eSIM(예를 들어, 가상 또는 전자 SIM - 이하, "eSIM") 벤더를 식별하며, 그 eSIM을 구매하거나, 획득하거나 또는 업데이트하기 위해서 신뢰 다이얼로그를 개시할 수 있다. 유사하게, 제3자 eSIM 벤더는 UE가 신뢰 디바이스임을 검증하며, 전달을 위해 그 eSIM을 안전하게 인코딩할 수 있다. 신뢰 다이얼로그는 고유 디바이스 키 및 승인 인증서에 기초하며; 후술하는 바와 같이, 일 예시적인 실시예에서, 이 디바이스 키는 공개/개인 키 암호화에 기초한다.

본 발명의 각종 양태들은 (전체적으로 또는 부분적으로) 액세스 제어 클라이언트의 보안 수신에 관한 것이다. 네트워크 운영자들에 대한 액세스 제어 요소(access control material)의 민감한 속성으로 인해, 기존의 솔루션들은 물리적 카드 폼 팩터들의 이용을 선호하였다. 그러나, 본 발명은 유리하게는 가상 또는 전자 액세스 제어 클라이언트들(예를 들어, eSIM들)의 보안 전송을 제공하며, 그에 따라 물리적 카드들에 대한 요건들 및 그 연관된 제약들을 제거한다.

또한, 기존의 솔루션들과 달리, 본 발명은 이미 존재하는 액세스 제어 클라이언트 없이 액세스 제어 클라이언트 요소의 전달을 가능하게 하며, 그에 따라 사용자 유연성 및 사용자 경험을 크게 향상시킨다.

본 발명의 또 다른 양태에 있어서, 디바이스(예를 들어, 모바일 사용자 디바이스)는 다수의 저장된 액세스 제어 클라이언트들(예를 들어, eSIM들) 중 하나를 활성화하며 실행할 수 있다. 특히, eSIM을 로딩하는 경우, 운영 시스템(OS)은 현재의 런타임 환경에 필요한 소프트웨어의 리스트만을 로딩할 필요가 있다. 이러한 "샌드박싱(sandboxing)" 효과는, 다수의 eSIM들이 다른 eSIM들에 대한 부적절한 액세스 없이 동일한 디바이스 내에서 이용될 수 있음을 보장한다.

예시적인 실시예들의 상세한 설명

이하, 본 발명의 예시적인 실시예들 및 양태들이 상세하게 설명된다. 이들 실시예들 및 양태들은 GSM, GPRS/EDGE 또는 UMTS 셀룰러 네트워크의 가입자 식별 모듈들(SIM들)의 콘텍스트에서 주로 설명되지만, 당업자라면, 본 발명이 이에 제한되지는 않는다는 것을 인식할 것이다. 사실상, 본 발명의 각종 양태들은, 액세스 제어 엔티티들 또는 클라이언트들의 안전한 변경, 저장 및 실행으로부터 이익을 얻을 수 있는 임의의 무선 네트워크(셀룰러이든지 아니든지 간에)에서 유용하다.

또한, "가입자 식별 모듈"이라는 용어가 본 명세서에서 이용되지만(예를 들어, eSIM), 이 용어는 결코 (i) 가입자 자체에 의한 이용을 의미하거나 요구하지는 않거나(즉, 본 발명은 가입자 또는 비가입자에 의해 실시될 수 있음); (ii) 1명의 개인의 ID를 의미하거나 요구하지는 않거나(즉, 본 발명은 가족, 또는 엔터프라이즈와 같은 비유형적이거나 가공의 엔티티와 같은 개인들의 그룹을 위하여 실시될 수 있음); 또는 (iii) 임의의 유형적 "모듈" 장비 또는 하드웨어를 의미하거나 요구하지는 않는다라는 것이 인식될 것이다.

종래 기술의 가입자 식별 모듈( SIM ) 동작 -

종래 기술의 UMTS 셀룰러 네트워크들의 콘텍스트 내에서, 사용자 장비(UE)는 모바일 디바이스 및 범용 가입자 식별 모듈(USIM)을 포함한다. USIM은, 물리적 범용 IC 카드(UICC)로부터 저장되며 실행되는 논리적 소프트웨어 엔티티이다. 무선 네트워크 서비스들을 획득하기 위해서 네트워크 운영자와의 인증에 이용되는 알고리즘들 및 키들뿐만 아니라 가입자 정보와 같은 각종 정보가 USIM에 저장된다. USIM 소프트웨어는 Java Card ™ 프로그래밍 언어에 기초한다. Java Card는, (전술한 UICC와 같은) 임베디드 "카드" 유형 디바이스들을 위해 수정된 Java ™ 프로그래밍 언어의 서브셋이다.

일반적으로, UICC들은 가입자에게 배포하기 이전에 USIM으로 프로그래밍되는데; 사전 프로그래밍 또는 "개인화"는 각각의 네트워크 운영자에 특정된다. 예를 들어, 배치 이전에, USIM은 IMSI(International Mobile Subscriber Identify), 고유 ICC-ID(Integrated Circuit Card Identifier) 및 특정 인증 키(K)와 연관된다. 네트워크 운영자는 네트워크의 인증 센터(AuC) 내에 포함되는 레지스트리에 이 연관을 저장한다. 개인화 이후에, UICC는 가입자들에게 배포될 수 있다.

이하, 도 1을 참조하면, 전술한 종래 기술의 USIM을 이용하는 일 예시적인 AKA(Authentication and Key Agreement) 절차가 상세하게 도시되어 있다. 정상 인증 절차들 중에, UE는 USIM으로부터 IMSI(International Mobile Subscriber Identify)를 획득한다. UE는 방문 코어 네트워크 또는 네트워크 운영자의 서빙 네트워크(SN)로 IMSI를 전달한다. SN은 인증 요청을 홈 네트워크(HN)의 AuC로 포워딩한다. HN은 수신된 IMSI와 AuC의 레지스트리를 비교하며, 적절한 K를 획득한다. HN은 난수(RAND)를 발생시키며, 이를 알고리즘을 이용하여 K로 표시하여(sign), 예상 응답(XRES)을 생성한다. HN은 또한 각종 알고리즘들을 이용하여 인증 토큰(AUTN)뿐만 아니라 암호 및 무결성 보호에서 이용하기 위한 암호 키(CK) 및 무결성 키(IK)를 발생시킨다. HN은 RAND, XRES, CK 및 AUTN으로 구성되는 인증 벡터를 SN으로 송신한다. SN은 일회의 인증 프로세스에서만 이용하기 위해 이 인증 벡터를 저장한다. SN은 RAND 및 AUTN을 UE로 전달한다.

일단 UE가 RAND 및 AUTN을 수신하면, USIM은 이 수신된 AUTN이 유효한지를 검증한다. 그러한 경우, UE는 XRES를 발생시킨 동일한 알고리즘 및 저장된 K를 이용하여 그 고유의 응답(RES)을 계산하기 위해서 수신된 RAND를 이용한다. UE는 RES를 SN으로 전달한다. SN은 XRES와 이 수신된 RES를 비교하고, 이들이 일치하는 경우에 SN은 운영자의 무선 네트워크 서비스들을 이용하도록 UE를 인증한다.

예시적인 동작 -

이하, 일 예시적인 구현과 관련하여 본 발명의 각종 양태들이 설명된다. 본 발명의 예시적인 실시예의 콘텍스트에 있어서, 종래 기술에서와 같이 물리적 UICC를 이용하는 대신에, UICC는, UE에서의 보안 요소(예를 들어, 보안 마이크로프로세서 또는 저장 디바이스) 내에 포함되는, 예를 들어 소프트웨어 애플리케이션과 같은 가상 또는 전자 엔티티로서 에뮬레이팅된다(이하, eUICC(Electronic Universal Integrated Circuit Card)로서 지칭됨). eUICC는 다수의 SIM 요소들(이하, eSIM(Electronic Subscriber Identity Modules)으로 지칭됨)을 저장하며 관리할 수 있다. 각각의 eSIM은 통상적인 USIM의 소프트웨어 에뮬레이션이며, 유사한 프로그래밍 및 연관된 사용자 데이터를 포함한다. eUICC는 eSIM의 ICC-ID에 기초하여 eSIM을 선택한다. 일단 eUICC가 원하는 eSIM(들)을 선택하면, UE는 eSIM의 대응하는 네트워크 운영자로부터 무선 네트워크 서비스들을 획득하기 위해서 인증 절차를 개시할 수 있다. 또한, 각각의 eSIM 애플리케이션은 일반적으로 전술한 USIM, CSIM, ISIM, SIM, RUIM 등과 같은 액세스 제어 클라이언트들을 포함한다. 각각의 eSIM이 사용자 계정과 연관되며, 그에 따라 "eSIM"은 광범위하게 다수의 액세스 제어 클라이언트들을 포함할 수 있다(예를 들어, 사용자는 동일한 eSIM 계정과 연관된 SIM 및 USIM을 가질 수 있다)는 것이 이해된다.

이전에 언급된 바와 같이, 전술한 종래 기술의 USIM 절차는 사전 공유된 키를 이용하여 코어 네트워크(예를 들어, 전술한 홈 네트워크(HN), 서빙 네트워크(SN) 및 인증 센터(AuC) 등)에 대해 인증한다. 따라서, USIM 절차는 당연히 네트워크 운영자에 대한 "폐쇄(closed)" 시스템인데, 그 이유는 사전 공유된 키가 엄밀히 보호되어야 하기 때문이다. 이에 반해, 본 발명은 서로 상호 신뢰하기 위해서 eUICC와 임의의 제3자 엔티티에 대해 안전한 방법들을 제공하며, 사용자 장비가 배치된 이후에도 임의의 제3자 엔티티가 신뢰되게 할 수 있게 한다.

따라서, 본 발명은 몇몇 경우에 상당히 더 복잡한 보안 요건들을 갖지만, 또한 유리하게는 훨씬 더 큰 유연성을 제공한다. 또한, 당업자라면, 본 발명의 각종 양태들은 "가상" 소프트웨어 구성들(예를 들어, eUICC, eSIM)과 함께 이용되는 것으로부터 이익을 얻지만, 이익은 이들 가상 실시예들에 제한되지는 않음을 인식할 것이다. 사실상, 본 명세서에 기재된 원리들은 특히 물리적 카드 매체, 전용 보안 하드웨어 등 내에 구현된 액세스 제어 클라이언트의 안전한 변경, 저장 및 실행을 위해 동등하게 적용가능하다.

신뢰 통신의 확립 -

도 2는 디바이스 키 쌍을 소프트웨어 엔티티(예를 들어, eUICC, 제3자 소프트웨어 벤더, SIM 벤더 등)에 할당하는 일 예시적인 방법을 도시한다. 단계 202에서, 암호 공개/개인 키 쌍(예를 들어, RSA(Rivest, Shamir and Adleman) 알고리즘)이 소프트웨어 엔티티에 할당되며, 소프트웨어 엔티티의 물리적으로 보호된 보안 요소(예를 들어, UE 내의 eUICC, 제3자 소프트웨어 벤더 내의 보안 데이터베이스)에 저장된다. 예를 들어, eUICC는 신뢰 엔티티에 의해 프로그래밍되거나, 또는 대안적으로는 처음 제조/활성화되는 경우에 내부적으로 공개/개인 키 쌍을 발생시킬 수 있다.

간략한 여담으로서, 공개/개인 키 쌍은 비밀의 개인 키 및 공개가능한 공개 키에 기초한다. 공개/개인 키 방식들은 "비대칭"으로 고려되는데, 그 이유는 암호화 및 복호화에 이용된 키가 상이하며, 그에 따라 암호자 및 복호자가 동일한 키를 공유하지 않기 때문이다. 이에 반해, "대칭" 키 방식들은 암호화 및 복호화 모두에 대해 동일한 키(또는 사소하게 변환된 키들)를 이용한다. RSA(Rivest, Shamir and Adleman) 알고리즘은, 관련 기술들 내에서 일반적으로 이용되는 일 유형의 공개/개인 키 쌍 암호화이지만, 본 발명은 결코 RSA 알고리즘에 제한되지는 않는다고 인식될 것이다.

공개/개인 암호 방식들이 메시지를 암호화하고/하거나 서명들을 발생시키는데 이용될 수 있다. 상세하게는, 메시지는 개인 키로 암호화되고, 공개 키로 복호화될 수 있으며, 그에 따라 메시지가 전달 시에 변경되지 않았음을 보장할 수 있다. 유사하게, 개인 키로 발생된 서명은 공개 키로 검증될 수 있는데, 이는 서명을 발생시키는 엔티티가 합법적임을 보장한다. 이들 모두의 이용 시에, 개인 키는 숨겨진 채로 유지되며, 공개 키는 자유롭게 배포된다.

단계 204에서, 공개/개인키 쌍을 위해 승인 인증서(endorsement certificate)가 발행된다. 예를 들어, 신뢰된 엔티티는 eUICC 키 쌍에 대한 "승인" 인증서를 발행함으로써 개인 키의 비밀성 및 eUICC의 진정성을 증명한다. 이 공개/개인키 쌍은 이제 eUICC에 대한 디바이스 키 쌍이다.

일 실시예에서, 승인 인증서는 (i) 권한(authority)을 증명하기 위한 ID 정보, (ii) 디바이스에 대한 식별 정보, (iii) 증명 알고리즘을 기술하는 메타데이터, 및/또는 (iv) 적절한 공개키들을 포함할 수 있는(이에 제한되지 않음) 데이터 집합을 포함한다. 이들 컴포넌트들은 승인자의 개인키에 의해 추가로 서명될 수 있다. 일 실시예에서, 정상 동작 중에, 이러한 디지털 서명은 수신기에 의해 검사되어, 컨텐츠가 안전하며 조작(tampered)되지 않았다는 것을 증명한다.

디바이스 키 쌍은 비대칭이기 때문에, 공개키들은 개인키들의 무결성을 훼손하지 않고 배포될 수 있다. 따라서, 디바이스 키 및 증명서는 이전에 알려진 당사자들(예컨대, eUICC, 및 제3자) 간의 통신을 보호하고 증명하는 데 이용될 수 있다. (도 3에 도시된 바와 같이) eUICC와 소프트웨어 벤더 간의 런타임 컴포넌트들의 보안된 전송을 위한 이하의 예시적인 트랜잭션을 고려해 보자.

도 3의 단계 302에서, eUICC가 제3자 eSIM 벤더로부터 eSIM을 요청한다. 이하의 예에서는 eSIM 애플리케이션의 보안 전송을 기술하지만, 런타임 환경 애플리케이션에 대한 그 외 일반적인 예들은 패치들, 완벽한 기능을 갖춘 운영 시스템 등을 포함할 수 있다.

단계 304에서, 제3자 eSIM 벤더는 승인 인증서(예컨대, 승인 인증서는 eUICC 등을 조회하여, 데이터베이스로부터 얻어질 수 있다)로부터 eUICC에 대응하는 공개 디바이스 키를 검색한다. 특히, eUICC의 대응(counterpart) 개인키는 바람직하게도 이러한 프로세스 중에 제3자 eSIM 벤더에 결코 노출되지 않는다는 점에 유념한다.

단계 305에서, 제3자 eSIM 벤더는 승인 인증서를 검증한다. 일 실시예에서, 승인 인증서는 신뢰된 엔티티(Apple ^TM의 양수인 등) 에 의해 고유하게 서명된다. 제3자 eSIM 벤더가 승인 인증서를 검증하면, 제3자 eSIM 벤더는 eUICC가 신뢰된 엔티티(예컨대, Apple ^TM)에 의해 신뢰되었으며, 연계(association)에 의해 안전한다는 것이 보장될 수 있다.

단계 306에서, eSIM 런타임 환경은 암호화되고, 그 후 UE에 대응하는 특정 eUICC를 위해 제3자 소프트웨어 벤더에 의해 서명된다. 대안적인 실시예에서, eSIM 런타임 환경은 우선적으로 서명되고, 그 후 암호화된다. 일 예시적인 경우에, 벤더는 자신의 벤더 비대칭 서명키 및 RSA 공개/개인키와 인증서 체인을 이용하여 eSIM을 서명하고, 일시적이거나 또는 임시의 대칭키를 이용하여 eSIM을 암호화한다. 임시의 대칭키는 eUICC에 대한 패키지를 준비하는 동안에 무작위적으로 생성된다.

단계 308에서, 서명 및 암호화된 eSIM 런타임 환경은 제3자 eSIM 벤더에 의해, (예컨대, 무선 인터페이스 등을 통해) 전송용 다중 패키지로 분할된다. 예를 들어, 서명 및 암호화된 eSIM은 통신 링크의 품질에 적합한 패킷들로 분할 및 크기 조정된다(패키지 전송은 관련 기술 분야에 공지된 각종 바람직한 오차 보정 방식들을 지원한다).

단계 310에서, 임시 대칭키는 적절한 eUICC 공개키를 이용하여 암호화 등을 행함으로써, eUICC에 안전하게 전송된다. 벤더 인증서는 평문으로서 전송되거나, 또는 대안으로 암호화될 수도 있다. 일반적으로, 벤더 인증서는 수신기 측에서의 처리 부담을 감소시키기 위해 암호화되지 않는다(그러나, 이는 시스템의 필요 조건이 아니며, 암호화는 모든 경우에 이용될 수도 있거나, 대안으로 선택적으로 적용될 수도 있다).

단계 312에서, eUICC는 벤더 인증서를 검증한다. 벤더의 공개 서명키를 이용한 벤더의 인증서의 성공적인 검증은 서명이 위조되지 않았다는 증명을 eUICC에 제공한다는 것에 유념해야 한다.

일부 경우에서, 벤더 인증서는 외부 신뢰 엔티티(예컨대, MNO 등)에 의한 추가적인 서명을 포함할 수도 있다. 벤더 인증서가 유효한 경우, UE는 그것(eUICC)의 개인키를 이용하여 임시 대칭키를 복호화한다. 선행(foregoing) 교환의 성공적인 완료는 eUICC와 제3자 엔티티 간의 경로가 보안되어 있으며, 추가의 데이터 트랜잭션을 위해 공통의 임시 대칭키에 의해 암호화되어 있다는 것을 보장한다.

따라서, 단계 314에서, 벌크(bulk) 암호화 패키지는 eUICC에 의해 안전하게 수신되고, 재조합되며, 복호화될 수 있다. 이 특정 예에서, eUICC는 eSIM을 위한 패키지들을 다운로드한다.

일 실시예에서, 벤더 인증서, 키 및 암호화 패키지들은 함께 전송된다. 대안적인 실시예는 다른 패러다임을 이용한다; 예를 들어, 인증서 및 키를 전송하고, 보안 접속을 우선적으로 확립하고, 그 후 보안 접속을 통해 암호화 패키지들의 전송을 개시한다.

본 발명의 예시적인 실시예는 eSIM을 eUICC로부터 분리된 엔티티로서 취급한다. 따라서, eUICC는 사용자 장비가 배치된 후라도, 기존의 eSIM의 혜택없이도, 제3자 엔티티에 대한 보안 접속을 확립할 수 있다. 예시적인 eUICC는 eSIM의 보안 전송을 가능하게 하며, 이에 따라 제3자 eSIM 벤더로 하여금 기존의 SIM AKA 프로시저에 대한 선행 의존에 관계없이 직접적으로 eSIM을 모바일 디바이스에 배포하게 하는 것을 가능하게 한다.

보다 직접적으로, 디바이스는 임의의 단일 eSIM(및 eSIM을 발행하는 MNO)에 관련된 대칭키로부터 분리되어 있는 구별되는 비대칭 디바이스 키 쌍을 갖는다. 이러한 eSIM과 eUICC 간의 구별은 디바이스 운영 시스템의 복잡성에 대해 중요한 영향을 미친다.

보안 파티션의 실행

전술한 바와 같이, 물리적 UICC에 대한 기존의 솔루션은 단일 USIM 엔티티를 포함한다; 그러나, 당업자라면 본 발명의 다양한 양태들은 다중 액세스 제어 클라이언트 프로파일들을 저장하고 실행하는 데에 적합하다는 것을 인식할 것이다. 따라서, 본 발명의 다른 실시예에서, eUICC는 네트워크 및 eSIM 모두의 유효성을 판정해야 한다. 선행 작업의 복잡성으로 인해, 종래 기술의 SIM 아키텍처는 더 이상 초기화에 충분하지 않다. 대신, 본 발명의 일 실시예에서, 부트스트랩(bootstrap) 운영 시스템(OS)가 "공통(common)" 또는 "상주(resident)" 운영 시스템을 로딩한다; 공통 OS는 적합한 eSIM을 로딩하고, 로딩된 eSIM은 전술한 AKA(Authentication and Key Agreement) 프로시저를 실행한다.

구체적으로, 본 발명의 부트스트랩 OS의 일 구현예는 암호화 검증, 복호화, 및 공통 OS의 로딩을 담당하는 것이며, 모든 패치들은 활성화된 eSIM과 관련되어 있다. 부트스트랩 OS는 가상화 소프트웨어 eUICC 상에서 실행되며; 결과적으로, eSIM 및 관련된 공통 OS는 "샌드박스(sandboxed)"되며; 이들은 eUICC를 통해 이용가능하도록 만들어진 적절한 패치들에만 액세스할 수 있다. 예를 들어, 일 예시적인 실시예에서, eUICC는 동일한 서명인을 공유하는 패치만을 eSIM으로서 가능하게 한다.

이제 도 4를 참조하면, eSIM의 파티셔닝을 안전하게 실행하기 위한 일 예시적인 방법이 기술되어 있다.

단계 402에서, eUICC는 칩 리셋에서 부트스트랩 OS를 론칭한다. 단계 404에서, 부트스트랩 OS는 자격이 부여된 패치 리스트를 분석하여 런타임 환경에 대해 론칭한다. 예를 들어, 부트스트랩 OS는 디폴트 네트워크 및 그와 관련된 패치들을 식별할 수 있다. 이들 패치들의 적어도 하나는 공통 OS이며, 다른 패치들은 액티브 eSIM, 및 eSIM과 관련된 임의의 추가 패치들을 포함한다.

단계 406에서, 부트스트랩 OS는 예컨대 인증서를 분석하거나, 또는 그 외 수단에 의해, 패치들의 무결성을 검증한다. 예를 들어, 일 실시예에서, 신뢰된 엔티티(예컨대, 기록에 등재된 양수인)는 인증서를 발행할 수 있거나, 또는 그 외 서명 체인에 대한 신뢰원으로서 기능한다. 패치들이 적절하게 서명되면, 부트스트랩 OS는 패치들을 실행할 수 있다. 적합한 eSIM에 대응하는 검증된 패치들만이 로딩된다(다른 패치들은 저장될 수 있지만, "샌드박스" 내에서 실행되지 않는다).

단계 408에서, 부트스트랩 OS는 공통 OS를 론칭한다. 공통 OS는 eSIM과 나머지 하드웨어 사이에 인터페이스를 제공한다. 공통 OS는 일반적으로 특정 eSIM에 고유한 UICC를 에뮬레이트(emulate)하는 입력 기능 및 출력 기능을 제공한다. 일반적으로, 이는 파일 입력 및 출력(IO) 등의 기능들을 포함한다.

그 후, 단계 410에서, 공통 OS는 적합한 eSIM을 실행할 수 있다.

도 4a는 부트스트랩 OS(452), 공통 OS(454), 및 eSIM(456) 간의 소프트웨어 관계(450)를 도시한다. 가장 주목할 만한 점은, (도 4 및 4a에서 기술된 바와 같이) 예시적인 실시예에서 서로 다른 eSIM 프로파일이 자신의 공통 OS 내에서 동작한다는 것이다. 서로 다른 eSIM 프로파일들에 대한 런타임 환경들을 다른 샌드박스들로 분리함으로써, 전술한 실시예가 바람직하게는 레거시 SIM 아키텍처와 호환가능하게 되지만, 본 발명의 이점들을 행사한다. 일반적으로, 각각의 eSIM이 자신의 환경 내에서 실행되는 것을 보장함으로써, 기존의 SIM 소프트웨어는 직접적으로 가상화될 수 있다. 또한, 샌드박스들은 다른 eSIM들의 존재가 불리한 상호작용을 야기하지 않을 것이라는 것을 보장하며, 이는 제3자 eSIM 벤더들(예컨대, 독점적인 프로토콜(proprietary protocol), 및 성능 등을 포함할 수 있는)의 광범위한 분포를 지원하는 데 필요한 요건이다.

전술한 바와 같이, 앞에서의 논의는 주로 SIM 기반의 네트워크 기술 및 특징들에 기초한다. 결과적으로, 이제 본 발명의 하나 이상의 양태들을 구현하기 위해 일반화된 방법들 및 장치의 예시적인 실시예에 대한 설명이 제시된다.

방법들

이제 도 5를 참조하면, 액세스 제어 클라이언트에 이용하기 위한 컴포넌트들에 대한 보안 변경, 및 저장을 위해 일반화된 방법(500)의 일 실시예에가 도시되어 있다.

단계 502에서, 액세스 제어 클라이언트에 이용하기 위한 하나 이상의 컴포넌트들이 요청되거나 또는 제공된다. 일 예시적인 실시예에서, 하나 이상의 컴포넌트들은, (i) 공통 운영 시스템, (ii) 적어도 하나의 eSIM, 및/또는 (iii) eSIM과 관련된 하나 이상의 개인화 패치들을 전체적으로 또는 부분적으로 포함한다. 다른 기술 구현에서, 패키지들은 CSIM(CDMA Subscriber Identification Modules), ISIM(IP Multimedia Services Identity Module), SIM(Subscriber Identity Modules), RUIM(Removable User Identity Modules) 등과 관련될 수 있다. 본 개시물에 제공된 기술 내에서 내에서 각종 유사 구조들에 대한 거의 무제한의 치환 가능성을 당업자라면 인식할 것이며, 그러한 유사 구조 및 치환들을 수용하기 위한 본 명세서에 제시된 방법들 및 장치에 대한 변경은 본 개시물에 제공된 당업자의 기술 범위 내에 있다.

일 실시예에서, 디바이스, 또는 디바이스와 관련된 가입자에 의해, 즉 수락의 통신 또는 요청을 발행하는 디바이스/사용자에 의해, 하나 이상의 컴포넌트들이 요청되거나 또는 "풀링(pulled)"된다. 대안의 실시예에서, 즉, 전술한 통신 또는 요청없이, 그러나 예컨대 이벤트 등의 발생에 주기적으로 기초하는 등의 그외 소정의 기준 또는 방식에 따라 하나 이상의 컴포넌트들이 디바이스에 할당 또는 "푸쉬(pushed)"된다. 하나 이상의 컴포넌트들의 존재는 광고될 수 있거나, 또는 그 외 브로드캐스트되거나, 또는 액세스나 검색될 수 있는 저장소에 저장될 수 있다.

다른 실시예에서, 하나 이상의 컨텍스트 관련 이벤트들, 예컨대 디바이스가 지정된 영역에 진입하고, 지정된 사용량을 초과하는 등에 의해 하나 이상의 컴포넌트들이 조회되거나 또는 그 외 트리거링된다.

요청 또는 제공은 신뢰된자로부터 기원하는 서명 또는 인증서를 포함할 수도 있다. 다른 대안의 구현에서, 요청 또는 제공은 암호화 챌린지(cryptographic challenge)를 포함한다. 또 다른 변형예에서, 요청 또는 제공은 진정성을 판정하기 위한 수단(예컨대, 사용자 인터페이스 기반의 패스워드 인증 등)을 포함한다.

요청 또는 제공은 트랜잭션 키(transactional key)를 포함할 수도 있다. 이러한 일 변형예에서, 트랜잭션 키는 임시 키이다. 또 다른 영구적인 트랜잭션 키들이 구현될 수도 있다; 예를 들어, 키는 복수의 트랜잭션 섹션들, 복수의 사용자 등에 대해 동일할 수 있다. 다른 변형예에서, 트랜잭션 키는 대칭키 또는 대안으로 비대칭 키이다.

단계 504에서, 요청 또는 제공은 진정성에 대해 검증된다. 일 실시예에서, 신뢰된 자로부터 기원하는 서명 또는 인증서는 유효성에 대해 검사된다. 일부 경우, 이는 신뢰된 자에 대한 외부 컨택을 요구할 수도 있다. 대안으로, 서명 또는 인증서의 유효성은 자명(self-evident)하거나 또는 신뢰된 자에게 의존하지 않고 검증자에 의해 발견될 수 있다. 또 다른 시큼은 가입자의 입력, 예컨대 사용자명 및 패스워드 입력, 또는 간단한 확인 방식들 등에 의존할 수 있다.

성공적인 검증은 하나 이상의 챌린지 응답 교환을 요구하도록 구성될 수도 있다. 일부 변형예에서, 검증은 일방향(예컨대, 트랜잭터들 중 한 명만이 검증됨)이거나, 또는 양방향(예컨대, 트랜잭터 양자 모두 성공해야 함)일 수 있다. 또 다른 방식에서, 검증은 대역 외(out-of-band)(예컨대, 또 다른 통신 경로를 통해)에서 또는 가입자 지원 등을 통해 수행된다.

성공적인 검증은 보안 트랜잭션에 필요한 하나 이상의 파라미터들에 대한 합의(agreement)를 낳는다. 예를 들어, 일 실시예에서, 하나 이상의 트랜잭션 키가 확립된다. 일부 변형예에서, 검증 후에 트랜잭션 키가 생성된다. 대안의 변형예에서, 트랜잭션 키는 검증 전에 제안 또는 생성되고, 그 후 조건에 따라 이용된다.

그 후, 단계 506에서, 디바이스는 액세스 제어 클라이언트와 관련된 하나 이상의 패키지를 수신한다. 패키지들은 보안 전송을 보장하기 위해 트랜잭션 키에 의해 추가적으로 암호화될 수 있다. 일 변형예에서, 패키지들은 비대칭적으로 암호화된다; 즉, 패키지들은 공개키에 의해 암호화된다. 다른 변형예에서, 패키지들은 이전에 합의된 공유키를 이용하여, 대칭적으로 암호화된다. 대안으로, 패키지들은 식별가능한 서명에 의해 서명된다. 관련 기술 분야 내에서 공지된 검증 가능한 패키지 전달에 대해 무수히 많은 다른 솔루션들이 본 발명에 부합되도록 이용될 수 있다.

단계 508에서, 디바이스는 패키지들을 어셈블링하고, 하나 이상의 컴포넌트들을 복호화한다. 예시적인 일 실시예에서, 하나 이상의 컴포넌트들은 적합한 공통 운영 시스템과 관련된다. 예를 들어, 전술한 바와 같이, 패치들은 적어도 하나의 eSIM, 및/또는 전술한 바와 같이 eSIM에 관련된 하나 이상의 개인화 패치들을 포함할 수 있다. 단계 508의 결론에서, 하나 이상의 컴포넌트는 타겟 디바이스에 성공적으로 그리고 안전하게 전송되었다.

이제 도 6을 참조하면, 액세스 제어 클라이언트에 이용하기 위한 컴포넌트들의 안전한 실행을 위해 일반화된 방법(600)의 예시적인 실시예가 도시되어 있다.

단계 602에서, 액세스 제어 클라이언트 및 하나 이상의 관련 패치들이 식별된다. 예시적인 일 실시예에서, 액세스 제어 클라이언트 및 하나 이상의 관련 패치들은 운영 시스템에 의해 선택된다. 일 구현에서, 운영 시스템은 간단한 부트스트랩 운영 시스템으로부터 추가적으로 부팅된다.

일 구성에서, 부트스트랩 운영 시스템은 복수의 보안 파티션을 보유하며, 각각의 파티션은 다른 파티션들과 구별되고, 메모리 파티션으로부터 실행되는 소프트웨어는 관련없는 다른 파티션들에 액세스할 수 없거나 또는 액세스될 수 없다. 예를 들어, 하나의 예시적인 디바이스가 간단한 부트스트랩 OS를 실행하고; 간단한 부트스트랩 OS가 단일 "샌드박스" 파티션 내에서 공통 OS, 및 그와 관련된 eSIM, 및 패치들을 로딩 및 실행한다.

본 발명의 다양한 실시예들은 하나 이상의 카테고리화에 따라, 이용가능한 컴포넌트들 및 패치들의 전체 매니페스트를 분리한다. 이러한 일 변형예에서, 공통 서명인 또는 신뢰원에 따라 컴포넌트들 및 패치들이 연관된다. 예를 들어, 하나의 시나리오에서, 간단한 부트스트랩 OS는 공통 OS, 및 실행을 위해 동일한 eSIM 벤더에 의해 서명된 eSIM만을 허용할 수 있다. 다른 변형예에서, 사용자의 선택, 또는 신뢰의 다양한 레벨에 따라 컴포넌트들 및 패치들이 연관될 수 있다. 예를 들어, 다양한 컴포넌트들이 서로 다른 협력 엔티티들(예컨대, 신뢰된 eSIM 벤더, 및 신뢰된 네트워크 개인화 등)로부터 내재(interspersed)될 수 있다.

방법(600)의 단계 604에서, 액세스 제어 클라이언트 및 관련 패치들은 동작을 위해 검증된다. 일 실시예에서, 액세스 제어 클라이언트 및 관련 패치들은 무결성; 즉 이들이 위조되지 않았거나 또는 그 외 변경되지 않았다는 것에 대해 검사된다. 이러한 무결성 검사를 위한 일반적인 방법은 체크섬, 암호화 해시 또는 레지듀(residue) 등을 포함한다. 패치의 진성성을 검증하기 위한 다른 솔루션은 인증서의 검증, 스테이터스의 검증 등을 포함할 수 있다.

단계 606에서, 검증된 액세스 제어 클라이언트가 실행된다. 성공적인 로딩 및 실행 시에, 액세스 제어 클라이언트는 관련된 네트워크에 대한 초기 액세스 제어 프로시저들을 실행할 것이다. 예를 들어, 검증된 eSIM은 AKA(Authentication and Key Agreement) 프로시저를 실행할 수 있다.

예시적인 모바일 장치

이제 도 7을 참조하면, 본 발명의 방법들을 구현하는 데 유용한 예시적인 장치(700)가 도시되어 있다.

도 7의 예시적인 UE 장치는 디지털 신호 프로세서, 마이크로프로세서, 필드-프로그램 가능한 게이트 어레이, 또는 하나 이상의 기판에 탑재된 복수의 프로세싱 컴포넌트들 등의 프로세서 서브시스템(702)을 갖는 무선 디바이스이다. 프로세싱 서브시스템은 내부 캐시 메모리를 포함할 수도 있다. 프로세싱 서브시스템은, 예컨대 SRAM, 플래시 및 SDRAM 컴포넌트들을 포함할 수 있는 메모리를 포함하는 메모리 서브시스템(704)에 접속된다. 메모리 서브시스템은 당해 기술 분야에 공지된 바와 같은 데이터 액세스를 용이하게 하기 위해, 하나 이상의 DMA 타입 하드웨어를 구현할 수 있다. 메모리 서브시스템은 프로세서 서브시스템에 의해 실행 가능한 컴퓨터-실행가능한 명령어들을 포함한다.

본 발명의 예시적인 일 실시예에서, 디바이스는 하나 이상의 무선 네트워크에 접속하도록 구성된 하나 이상의 무선 인터페이스(706)를 포함할 수 있다. 복수의 무선 인터페이스는 적절한 안테나 및 모뎀 서브시스템을 구현함으로써 GSM, CDMA, UMTS, LTE/LTE-A, WiMAX, WLAN, 블루투스 등의 서로 다른 무선 기술들을 지원할 수 있다.

사용자 인터페이스 서브시스템(708)은 키패드, 터치 스크린(예컨대, 멀티-터치 인터페이스), LCD 디스플레이, 백라이트, 스피커, 및/또는 마이크로폰을 포함하는(이에 한정되지 않음) 임의의 수의 공지의 I/O를 포함한다. 그러나, 일부 애플리케이션에서, 이들 컴포넌트들 중 하나 이상이 생략될 수 있다는 것을 인식하자. 예를 들어, PCMCIA 카드-타입 클라이언트의 실시예들은 사용자 인터페이스가 부족할 수 있다(이들이 물리적으로 및/또는 전기적으로 결합되는 호스트 디바이스의 사용자 인터페이스로 피기백될 수 있기 때문에).

설명된 실시예에서, 디바이스는 eUICC 애플리케이션을 포함하고 동작하는 보안 요소(710)를 포함한다. eUICC는 네트워크 운영자에 의한 인증에 이용될 복수의 액세스 제어 클라이언트를 저장 및 액세스할 수 있다. 이 보안 요소는 프로세서 서브시스템의 요청 시에 메모리 서브시스템에 의해 액세스될 수 있다.

보안 요소에 대한 예시적인 일 실시예는 적어도 파티션 가능한 메모리를 포함하며, 파티션 가능한 메모리는 하나 이상의 액세스 제어 클라이언트 및 관련 패치들을 포함하도록 구성된다. 각각의 파티션은 다른 파티션들과 구별되도록 유지되며, 메모리 파티션으로부터 실행되는 소프트웨어는 관련없는 다른 파티션들에 액세스 할 수 없거나 또는 액세스될 수 없다.

보안 요소는 소위 "보안 마이크로프로세서" 또는 보안 기술 분야에서 공지된 유형의 SM를 포함할 수도 있다.

또한, 예시적인 실시예의 다양한 구현예는, 실행되는 경우, 간단한 부트스트랩 OS(operating system)를 론칭하는 명령어들을 포함한다. 부트스트랩 OS는 보안 요소로부터 적어도 하나의 파티션을 선택하고, 그에 의해 로딩된 적절한 액세스 제어 클라이언트를 로딩하도록 더 구성된다. 다양한 구현에서, 액세스 제어 클라이언트에는 신뢰된 서명인과 관련된 하나 이상의 인증서가 더 제공될 수 있다. 부트스트랩 OS는 액세스 제어 클라이언트의 실행 이전에 인증서들을 검증할 수 있다.

또한, 일 실시예에서, 보안 요소는 저장된 액세스 제어 클라이언트들의 리스팅 또는 매니페스트를 보유한다. 매니페스트는 저장된 액세스 제어 클라이언트의 현태 스테이터스에 대한 정보를 포함할 수 있다; 이러한 정보는 이용가능성, 완전성, 유효성, 이전에 경험된 오차 등을 포함할 수 있다. 매니페스트는 이용가능한 액세스 제어 클라이언트의 사용자 선택을 가능하게 하도록, 사용자 인터페이스에 추가로 링크되거나 또는 결합될 수 있다.

도 7을 다시 참조하면, 보안 요소(710)는 네트워크 운영자에 의한 인증을 위해 하나 이상의 액세스 제어 클라이언트에 이용하기 위한 컴포넌트들을 수신 및 저장할 수 있다. 예시적인 일 실시예에서, 보안 요소는 관련된 디바이스 키 및 승인 인증서를 갖는다. 이 디바이스 키는 이전에 알려지지 않은 당사자들(예컨대, UE, 및 제3자) 간의 통신을 보호하고 검증하는 데 이용된다.

이러한 일 변형예에서, 디바이스 키는 비대칭 공개/개인키 쌍의 개인키이다. 대응하는 공개키는 개인키들의 무결성을 훼손하지 않고 자유롭게 배포될 수 있다. 예를 들어, 디바이스는 RSA 공개/개인키가 할당(또는 내부적으로 생성)될 수 있다; 공개키는 사후 배치 통신에 이용가능하도록 만들어진다.

또한, 일부 변형예에서, 승인 인증서는 신뢰된 엔티티와 관련된 고유하게 서명된 디지털 서명이다. 예시적인 일 시나리오에서, 승인 인증서는 제3자 엔티티에 의해 검증될 수 있으며, 예시적인 장치의 무결성의 증명을 제공한다.

보안 요소를 프로그래밍하기 위한 전술한 방법들 및 장치를 RSA 키 쌍과 관련하여 설명하였지만, 당업자라면, 다른 인증 방식들이 마찬가지로 치환될 수 있다는 것을 쉽게 이해할 것이다. 예를 들어, 다른 변형예에서, 디바이스 키는 공유키일 수 있으며, 공유키의 배포는 고도로 보호(guard)되어 있다. 또 다른 실시예들은 암호화 교환 외에 인증서들에 기반할 수 있다.

본 발명의 일부 양태들을 일 방법의 단계들의 특정 시퀀스의 관점에서 설명하였지만, 이들 설명들은 본 발명의 광범위한 방법의 예시에 불과하며, 특정 애플리케이션에 의해 필요에 따라 변경될 수 있다는 것을 이해할 것이다. 일부 단계들은 소정의 환경 하에서 불필요하거나 선택적으로 구현될 수 있다. 또한, 개시된 실시예들 외에 특정 단계들 또는 기능이 추가되거나 또는 2개 이상의 단계들의 수행 순서가 교환될 수도 있다. 이러한 변경들은 본 명세서에 개시되고 청구된 본 발명의 범위 내에 모두 포함되도록 고려되어야 한다.

전술한 발명의 상세한 설명은 다양한 실시예들에 적용되는 본 발명의 신규한 특징들을 나타내고, 기술하고, 지적하였지만, 설명된 디바이스 또는 프로세스의 형태 및 세부 사항에 대한 다양한 생략, 치환, 및 변경들이 본 발명의 범위를 벗어나지 않고 당업자에 의해 행해질 수 있음을 이해할 것이다. 전술한 설명은 본 발명을 실시하는 데에 현재 고려된 가장 최상의 모드이다. 본 설명은 결코 제한적인 것이 아니며, 본 발명의 일반적인 이론의 예시로서 간주되어야 한다. 본 발명의 범위는 특허청구범위와 관련하여 결정되어야 한다.

Claims (21)

1. 액세스 제어 클라이언트를 안전하게 관리하도록 구성되는 모바일 디바이스로서, 상기 모바일 디바이스는,
   적어도 하나의 프로세서; 및
   적어도 하나의 메모리
   를 포함하고,
   상기 적어도 하나의 메모리는 상기 적어도 하나의 프로세서에 의해 실행되는 경우, 상기 적어도 하나의 프로세서로 하여금,
   액세스 제어 클라이언트를 활성화시키는 요청을 수신하고,
   상기 모바일 디바이스의 메모리 내에서 상기 액세스 제어 클라이언트를 포함하는 보안 파티션을 식별하며,
   상기 액세스 제어 클라이언트를 인증하고,
   상기 액세스 제어 클라이언트의 인증에 후속하여,
   상기 액세스 제어 클라이언트가 상기 보안 파티션에 대응하는 제한된 범위 내에서 실행되도록
   하게 하는 명령어들을 저장하도록 구성되고,
   상기 액세스 제어 클라이언트를 실행하는 것은 상기 모바일 디바이스가 상기 액세스 제어 클라이언트에 대응하는 모바일 네트워크 운영자(MNO)에 등록할 수 있게 하는, 모바일 디바이스.
2. 제1항에 있어서,
   상기 액세스 제어 클라이언트는 eSIM(electronic Subscriber Identity Module)을 포함하고, 상기 eSIM은 물리적 SIM의 가상화(virtualization)인, 모바일 디바이스.
3. 제1항에 있어서,
   상기 액세스 제어 클라이언트를 인증하는 것은 상기 액세스 제어 클라이언트와 연관된 인증서를 검증하는 것을 포함하는, 모바일 디바이스.
4. 제1항에 있어서,
   상기 액세스 제어 클라이언트를 활성화시키는 요청은 상기 모바일 디바이스에 포함된 eUICC의 리셋과 함께 발행되는, 모바일 디바이스.
5. 제1항에 있어서,
   상기 액세스 제어 클라이언트는 상기 모바일 디바이스와 연관된 디폴트 모바일 네트워크 운영자(MNO)에 대응하는, 모바일 디바이스.
6. 제1항에 있어서,
   상기 제한된 범위는 상기 액세스 제어 클라이언트가 상기 보안 파티션 내에 저장되지 않은 자원들에 액세스하는 것을 방지하는, 모바일 디바이스.
7. 제1항에 있어서,
   상기 모바일 디바이스의 상기 메모리는 복수의 보안 파티션을 포함하고, 상기 보안 파티션 각각은 개별 액세스 제어 클라이언트를 포함하는, 모바일 디바이스.
8. 모바일 디바이스 상에서 액세스 제어 클라이언트를 안전하게 관리하기 위한 방법으로서,
   액세스 제어 클라이언트를 활성화시키는 요청을 수신하는 단계;
   상기 모바일 디바이스의 메모리 내에서 상기 액세스 제어 클라이언트를 포함하는 보안 파티션을 식별하는 단계;
   상기 액세스 제어 클라이언트를 인증하는 단계; 및
   상기 액세스 제어 클라이언트를 인증하는 단계에 후속하여,
   상기 액세스 제어 클라이언트가 상기 보안 파티션에 대응하는 제한된 범위 내에서 실행되게 하는 단계
   를 포함하고,
   상기 액세스 제어 클라이언트를 실행하는 것은 상기 모바일 디바이스가 상기 액세스 제어 클라이언트에 대응하는 모바일 네트워크 운영자(MNO)에 등록할 수 있게 하는, 방법.
9. 제8항에 있어서,
   상기 액세스 제어 클라이언트는 eSIM을 포함하고, 상기 eSIM은 물리적 SIM의 가상화인, 방법.
10. 제8항에 있어서,
    상기 액세스 제어 클라이언트를 인증하는 단계는 상기 액세스 제어 클라이언트와 연관된 인증서를 검증하는 단계를 포함하는, 방법.
11. 제8항에 있어서,
    상기 액세스 제어 클라이언트를 활성화시키는 요청은 상기 모바일 디바이스에 포함된 eUICC의 리셋과 함께 발행되는, 방법.
12. 제8항에 있어서,
    상기 액세스 제어 클라이언트는 상기 모바일 디바이스와 연관된 디폴트 모바일 네트워크 운영자(MNO)에 대응하는, 방법.
13. 제8항에 있어서,
    상기 제한된 범위는 상기 액세스 제어 클라이언트가 상기 보안 파티션 내에 저장되지 않은 자원들에 액세스하는 것을 방지하는, 방법.
14. 제8항에 있어서,
    상기 모바일 디바이스의 상기 메모리는 복수의 보안 파티션을 포함하고, 상기 보안 파티션 각각은 개별 액세스 제어 클라이언트를 포함하는, 방법.
15. 비일시적 컴퓨터 판독가능 저장 매체로서, 모바일 디바이스에 포함된 프로세서에 의해 실행되는 경우,
    액세스 제어 클라이언트를 활성화시키는 요청을 수신하는 단계;
    상기 모바일 디바이스의 메모리 내에서 상기 액세스 제어 클라이언트를 포함하는 보안 파티션을 식별하는 단계;
    상기 액세스 제어 클라이언트를 인증하는 단계; 및
    상기 액세스 제어 클라이언트를 인증하는 단계에 후속하여,
    상기 액세스 제어 클라이언트가 상기 보안 파티션에 대응하는 제한된 범위 내에서 실행되게 하는 단계
    를 포함하는 단계들을 수행함으로써 상기 모바일 디바이스로 하여금 액세스 제어 클라이언트를 안전하게 관리하게 하는 명령어들을 저장하도록 구성되고,
    상기 액세스 제어 클라이언트를 실행하는 것은 상기 모바일 디바이스가 상기 액세스 제어 클라이언트에 대응하는 모바일 네트워크 운영자(MNO)에 등록할 수 있게 하는, 비일시적 컴퓨터 판독가능 저장 매체.
16. 제15항에 있어서,
    상기 액세스 제어 클라이언트는 eSIM을 포함하고, 상기 eSIM은 물리적 SIM의 가상화인, 비일시적 컴퓨터 판독가능 저장 매체.
17. 제15항에 있어서,
    상기 액세스 제어 클라이언트를 인증하는 단계는 상기 액세스 제어 클라이언트와 연관된 인증서를 검증하는 단계를 포함하는, 비일시적 컴퓨터 판독가능 저장 매체.
18. 제15항에 있어서,
    상기 액세스 제어 클라이언트를 활성화시키는 요청은 상기 모바일 디바이스에 포함된 eUICC의 리셋과 함께 발행되는, 비일시적 컴퓨터 판독가능 저장 매체.
19. 제15항에 있어서,
    상기 액세스 제어 클라이언트는 상기 모바일 디바이스와 연관된 디폴트 모바일 네트워크 운영자(MNO)에 대응하는, 비일시적 컴퓨터 판독가능 저장 매체.
20. 제15항에 있어서,
    상기 제한된 범위는 상기 액세스 제어 클라이언트가 상기 보안 파티션 내에 저장되지 않은 자원들에 액세스하는 것을 방지하는, 비일시적 컴퓨터 판독가능 저장 매체.
21. 제15항에 있어서,
    상기 모바일 디바이스의 상기 메모리는 복수의 보안 파티션을 포함하고, 상기 보안 파티션 각각은 개별 액세스 제어 클라이언트를 포함하는, 비일시적 컴퓨터 판독가능 저장 매체.

Images