KR20100056566A - 가상 가입자 식별 모듈 - Google Patents

가상 가입자 식별 모듈 Download PDF

Info

Publication number
KR20100056566A
KR20100056566A KR1020107008546A KR20107008546A KR20100056566A KR 20100056566 A KR20100056566 A KR 20100056566A KR 1020107008546 A KR1020107008546 A KR 1020107008546A KR 20107008546 A KR20107008546 A KR 20107008546A KR 20100056566 A KR20100056566 A KR 20100056566A
Authority
KR
South Korea
Prior art keywords
mno
tss
vsim
trusted
pos
Prior art date
Application number
KR1020107008546A
Other languages
English (en)
Other versions
KR101287227B1 (ko
Inventor
안드리스 유 쉬미트
니콜라이 쿤츠
미카엘 카스퍼
요겐드라 시 샤
인혁 차
루이스 제이 구치온
Original Assignee
인터디지탈 테크날러지 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터디지탈 테크날러지 코포레이션 filed Critical 인터디지탈 테크날러지 코포레이션
Publication of KR20100056566A publication Critical patent/KR20100056566A/ko
Application granted granted Critical
Publication of KR101287227B1 publication Critical patent/KR101287227B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/308Payment architectures, schemes or protocols characterised by the use of specific devices or networks using the Internet of Things
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/60Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • H04W8/265Network addressing or numbering for mobility support for initial activation of new user

Abstract

가상 가입자 식별 모듈(vSIM) 서비스를 제공하도록 구성된 모바일 신뢰성있는 플랫폼(MTP)이 개시된다. 한 실시예에서, MTP는 MTP의 제조와 관련된 크리덴셜을 저장 및 제공하도록 구성된 디바이스 제조자 신뢰성있는 서브시스템(TSS-DM), 모바일 네트워크 오퍼레이터와 관련된 크리덴셜을 저장 및 제공하도록 구성된 모바일 네트워크 오퍼레이터(MNO) 신뢰성있는 서브시스템(TSS-MNO), 및 MTP의 사용자와 관련된 크리덴셜을 저장 및 제공하도록 구성된 디바이스 소유자/사용자 신뢰성있는 서브시스템(TSS-DO/TSS-U)을 포함한다. TSS-MNO는 MNO에 관한 크리덴셜 정보를 저장, 제공 및 처리하도록 구성된 vSIM 코어 서비스 유닛을 포함한다. TSS-DO/TSS-U는 MTP의 사용자에 관한 크리덴셜 정보를 저장, 제공 및 처리하도록 구성된 vSIM 관리 유닛을 포함한다. TSS-DO/TSS-U 및 TSS-MNO는 신뢰성있는 vSIM 서비스를 통해 통신한다.

Description

가상 가입자 식별 모듈{VIRTUAL SUBSCRIBER IDENTITY MODULE}
본 발명은 무선 통신에 관한 것이다.
무선 통신 디바이스의 수가 증가함에 따라, 현대 및 진화하는 모바일 통신 네트워크와 관련하여 몇몇 특정한 단점들을 극복하기 위해, 가입자 식별 모듈( SIM; subscriber identity module) 카드 또는 UICC 내부에서 실행되는 현재 SIM 기능에 더욱 동적인 해결책을 제공할 필요가 있다. UICC는 SIM 인증 알고리즘을 실행하여 크리덴셜을 저장하는 보안 실행 및 저장 환경을 제공한다. 그러나, UICC들의 비용, 이 UICC들의 비실용적인 폼팩터, 및 한정된 기능성이 애플리케이션에서 UICC들이 사용되는 것을 방해하는 데, 모바일 네트워크 오퍼레이터에게는 무선 디바이스의 구입 후 어떤 시점에서만 알려지게 된다. 대안으로서, 다수의 오퍼레이터 네트워크가 한 디바이스내에서 동시에 액세스되어야 하거나 지원되어야 할 때 UICC는 작동하지 않는다. 모바일 네트워크 및 서비스 가입을 갱신 또는 변경하기 위한 방법은, 무선 배치가 요망되는 때에, SIM 카드에 제한되며, 일반적으로 부족하다.
더욱이, SIM 카드 또는 UICC는 일반적으로 보안성이 높은 것으로 간주될 지라도, 이 보안은 SIM 카드 또는 UICC가 상주하는 전체 디바이스의 보안 특성에 강력한 연결고리를 형성하지 못한다. 이것은 모바일 금융 트랜잭션과 같은 최신 서비스 및 애플리케이션에 대해 애플리케이션의 보안 개념 증대를 제한한다. 이러함 모든 문제점들은 예를 들어 머신 투 머신(M2M; machine-to-machine) 통신 시나리오에서 모바일 네트워크에 연결된 자율적인 디바이스에 대해 급박한 상황이다.
따라서, SIM 기능에 대해 더욱 동적이고 동시적인 보안 소프트웨어에 기반한 해결책이 필요하다.
가상 가입자 식별 모듈(vSIM; virtualsubscriber identify module) 서비스를 제공하도록 구성된 모바일 신뢰성있는 플랫폼(MTP; mobile trusted platform)이 개시된다. 한 실시예에서, MTP는 MTP의 제조와 관련된 크리덴셜을 저장 및 제공하도록 구성된 디바이스 제조자 신뢰성있는 서브시스템(TSS-DM), 모바일 네트워크 오퍼레이터와 관련된 크리덴셜을 저장 및 제공하도록 구성된 모바일 네트워크 오퍼레이터(MNO) 신뢰성있는 서브시스템(TSS-MNO), 및 MTP의 사용자와 관련된 크리덴셜을 저장 및 제공하도록 구성된 디바이스 소유자/사용자 신뢰성있는 서브시스템(TSS-DO/TSS-U)을 포함한다. TSS-MNO는 MNO에 관한 크리덴셜 정보를 저장, 제공 및 처리하도록 구성된 vSIM 코어 서비스 유닛을 포함한다. TSS-DO/TSS-U는 MTP의 사용자에 관한 크리덴셜 정보를 저장, 제공 및 처리하도록 구성된 vSIM 관리 유닛을 포함한다. TSS-DO/TSS-U 및 TSS-MNO는 신뢰성있는 vSIM 서비스를 통해 통신한다. 선택사항으로서, MTP는 디바이스 사용자 및 디바이스 소유자 기능을 TSS-DO 및 TSS-U로 분리하고 MTP의 또다른 사용자에 관한 크리덴셜을 저장 및 제공하도록 구성된 제2 TSS-U를 포함할 수 있다. 또한, MTP는 MTP의 소유자에 관한 크리덴셜을 저장 및 제공하도록 구성된 디바이스 소유자 신뢰성있는 서브시스템(TSS-DO)을 포함할 수 있다. MTP는 또한 제2 MNO에 관련된 크리덴셜을 저장 및 제공하도록 구성된 제2 MNO-TSS를 포함할 수 있다.
또한, vSIM 서비스를 제공하는 데에 사용하기 위한 신뢰성있는 서브시스템을 원격으로 생성하기 위한 절차가 개시된다.
또한, vSIM 서비스를 제공하는 데에 사용하기 위한 신뢰성있는 서브시스템을 등록(registering) 및 등재(enrolling)하기 위한 절차가 개시된다.
또한, 원격 위치로부터 MTP에 vSIM 서비스를 제공하는 데에 사용하기 위한 신뢰성있는 서브시스템을 제공(delivering)하기 위한 절차가 개시된다.
또한, 소스 MTP로부터 타겟 MTP에 vSIM 서비스를 제공하는 데에 사용하기 위한 신뢰성있는 서브시스템을 이동시키기 위한 절차가 개시된다.
또한, 가입자가 vSIM 구성을 사용하여 무선 네트워크에 액세스하는 것을 허용하기 위한 3개의 관련 방법들이 개시된다.
본 발명에 따르면 vSIM 서비스를 제공하는 데에 사용하기 위한 신뢰성있는 통신 서비스를 제공할 수 있다.
본 발명에 대해 첨부 도면과 연계하여 예로든 하기의 설명으로부터 더욱 상세히 이해될 것이다.
도 1은 소프트웨어 기반 가상 가입자 식별 모듈(vSIM; virtualsubscriber identify module)을 사용하여 서비스를 이용하고 가입자 신원을 결정하도록 구성된 예시적인 통신 시스템 구조를 나타낸다.
도 2는 단일한 사용자 모바일 신뢰성있는 플랫폼에 대한 예시적인 vSIM 구조를 나타낸다.
도 3은 다수 사용자 모바일 신뢰성있는 플랫폼에 대한 예시적인 vSIM 구조(300)를 나타낸다.
도 4는 이전에 모바일 신뢰성있는 플랫폼상에서 TSS-MNO를 설치하기 위한 절차를 나타낸다.
도 5는 vSIM 크리덴셜의 가입자 등록 및 전달에 대한 절차를 나타낸다.
도 6은 vSIM 크리덴셜의 가입자와 관련된 부분의 보안 전달 및 설치의 제2 단계에 대한 예시적인 절차를 나타낸다.
도 7은 소스 플랫폼으로부터 타겟 플랫폼으로 vSIM 크리덴셜 또는 그 실행 환경을 이동시키기 위한 예시적인 절차를 나타낸다.
도 8은 통신 가입자가 액세스하는 것을 허용하기 위해 제1 절차를 수행하도록 구성된 예시적인 통신 시스템을 나타낸다.
도 9는 통신 가입자가 액세스하는 것을 허용하기 위해 제2 절차를 수행하도록 구성된 예시적인 통신 시스템을 나타낸다.
도 10은 통신 가입자가 액세스하는 것을 허용하기 위해 제2 절차를 수행하도록 구성된 또다른 예시적인 통신 시스템을 나타낸다.
도 11은 일반적인 네트워크 인프라구조에 대한 통신 가입자가 액세스하는 것을 허용하기 위한 제3 절차를 나타낸다.
이하에서 언급할 때, 용어 "무선 송수신 유닛(WTRU)"은 사용자 장비(UE), 이동국, 고정 또는 이동 가입자 유닛, 페이저, 셀룰러 전화, PDA, 컴퓨터, 또는 무선 환경에서 동작할 수 있는 기타 임의 타입의 사용자 장치를 포함하지만, 이들만으로 제한되는 것은 아니다. 이하에서 언급할 때, 용어 "기지국"은, 노드 B, 싸이트 제어기, 액세스 포인트(AP), 또는 무선 환경에서 동작할 수 있는 기타 임의 타입의 인터페이싱 장치를 포함하지만, 이들만으로 제한되는 것은 아니다. 용어 "신뢰성있음(trustiworthiness)"은 에플리케이션 및/또는 서비스의 상태를 설명하는 표준인 것으로서 간주된다. 이 상태는 에플리케이션 및/또는 서비스가 직접적으로 또는 간접적으로 자신의 무결성 및 올바른 기능작용에 대한 지시를 제공할 수 있다는 것을 의미한다.
도 1은 소프트웨어를 기반으로 한 가상 가입자 식별 모듈(vSIM; virtualsubscriber identify module)을 사용하여 서비스를 이용하고 가입자 신원(identity)을 결정하도록 구성된 예시적인 통신 시스템 구조를 나타낸다. 통신 시스템(100)은 사용자 또는 디바이스 소유자(DO; device owner)(110), 신뢰성있는 모바일 플랫폼(120), 기지국(130), 네트워크 서비스 제공자(MNO; network service provider)(140) 및 판매시점(POS; point of sale)(150)을 포함한다. DO(110)는 POS(150)에 등록 및 등재(155)를 위한 목적으로 POS와 통신한다. POS(150)는 가입자 등록(160)을 수행하기 위해 MNO(140)와 통신한다. MNO(140)는 vSIM 크리덴셜(165)를 전달하기 위해 신뢰성있는 모바일 플랫폼과 통신한다. DO(110)는 사용자를 인증(170)하기 위해 신뢰성있는 모바일 플랫폼(120)에 정보를 제공한다. 신뢰성있는 모바일 플랫폼은 그러면 가입자 인증(175)을 기지국(130)에 전송한다. 기지국(130)은 그러면 사용자 인증 정보를 검증하기 위해 MNO(140)와 통신한다.
일반적으로 도 1의 vSIM 구조는 영구적으로 할당된 신뢰성있는 앵커에 기초하여 고 다수의 개별적인 그리고 신뢰성있는 실행 환경 또는 서브시스템을 지원하는 신뢰성있는 운영 시스템에 의해 보호된다. 도시된 바와 같이, 하나의 실행 환경이 특정한 관계자에게 할당되고 도시된 관계자외의 추가의 관계자도 가능할 것이다.
도 1에 도시된 구조는 4개의 중요한 엔티티를 고려한다. 이 시나리오에서, DO/U는 모바일 통신 네트워크 및 이 네트워크에 제공된 서비스(예를 들어, GSM, UMTS 전화, 데이터 서비스, 또는 특수화된 위치 기반 서비스)를 사용하기 위해 MNO와 장기적인 관계의 확립을 의도한다.
물리적으로 존재하는 SIM카드를 사용하는 대신에, MNO는 MTP에 소프트웨어 기반 액세스 인증 크리덴셜 또는 vSIM 크리덴셜을 제공한다. vSIM 크리덴셜은 가입자 관련부분 및 사용자 관련 부분으로 이루어 진다. 등록된 디바이스 사용자가 통신 네트워크에 의해 초기에 인가되어야 할 때 마다, 사용자들은 먼저 vSIM 크리덴셜의 사용자 관련 부분을 통해 vSIM 서비스에 대해 인증된다. 통신 관계를 이루는 중에, 이 서비스는 네트워크 인증에 대해 vSIM 크리덴셜의 가입자 관련 부분을 사용한다.
도 2는 단일한 사용자 모바일 신뢰성있는 플랫폼(MTP; mobile trusted platform)(200)에 대한 예시적인 vSIM 구조를 도시한다. 모바일 신뢰성있는 플랫폼(200)은 3개의 개별적인 신뢰성있는 서브시스템(TSS; trusted sub systems)(202, 204,206)을 포함한다. 제1 TSS(202)는 디바이스 제조자(DM; device manufacturer)에 할당된다. 제2 TSS(204)는 네트워크 서비스 제공자(MNO)에 할당된다. 제3 TSS(206)는 DO(206)에 할당된다. TSS-DO는 또한 사용자(TSS-U)에도 할당될 수 있음을 유의해야 한다. 이들 3개 TSS(202, 204,206)의 각각은 일반적인 서비스 유닛(210a, 210b,210c), 신뢰성있는 서비스 유닛(212a, 212b,212c), 및 신뢰성있는 자원 유닛(214a, 214b,214c)을 포함한다. MNO 신뢰성있는 TSS(204)는 또한 MNO와 관련된 SIM기능을 수행하기 위해, vSIM 코어 유닛(220)을 포함한다. DO 신뢰성있는 TSS(206)는 또한 DO와 관련된 SIM기능을 수행하기 위해, vSIM 관리 유닛(220)을 포함한다. vSIM 코어 유닛(220) 및 vSIM 관리 유닛(220)은 신뢰성있는 링크(224)를 통해 통신하여 종래의 유니버셜 가입자 식별 모듈(USIM; universal subscriber identity module)의 기능들을 적어도 수행하기 위해 조합된다.
도 3은 다수 사용자 MTP(300)에 대한 예시적인 vSIM 구조를 도시한다. 모바일 신뢰성있는 플랫폼(300)은 4개의 개별적인 TSS(302,304,306 및 308)을 포함한다. 제1 TSS(302)는 디바이스 제조자(DM; device manufacturer)에 할당된다. 제2 신뢰성있는 TSS(304)는 네트워크 서비스 제공자에 할당된다. 제3 TSS(306)는 제1 사용자에 할당된다. 제4 TSS(308)는 디바이스 소유자(308)에 할당된다. 4개 TSS(302,304,306 및 308)의 각각은 일반적인 서비스 유닛(310a, 310b,310c, 310d), 신뢰성있는 서비스 유닛(312a, 312b,312c,312d), 및 자원 유닛(314a, 314b,314c, 314d)을 포함한다. MNO TSS(304)는 또한 MNO와 관련된 SIM기능을 수행하기 위해, vSIM 코어 유닛(320)을 포함한다. 사용자 TSS(306/308)는 또한 로컬 사용자의 인증 및 운영에 관한 기능을 수행하는 vSIM 가입자 관리 서비스(322/323)을 포함한다. 더욱 상세히는, 이 서비스는 증거가 로컬 사용자의 신원에 주어지도록 인증 오러클을 vSIM 코어 서비스(320)에 제공한다. vSIM 코어 유닛(320) 및 vSIM 관리 유닛(322)은 신뢰성있는 링크(324)를 통해 통신하여 종래의 유니버셜 가입자 식별 모듈(USIM; universal subscriber identity module)의 기능들을 적어도 수행하기 위해 조합된다.
일반적으로, MTP(200 및 300)는 다수의 보호된, 개별적인 실행 환경을 지원한다. 각각의 환경은 관계자와 연관된 구역을 표현한다. MTP(200 및 300)는 종래의 스마트 카드를 기반으로 한 SIM 카드 및 그 기능들을 대체하는 vSIM 서비스를 구현하도록 구성된다. 일반적으로, vSIM 서비스는 도 2에 도시된 바와 같이 (적어도) 3개의 상이한 환경으로 확장하지만, 도 3에 예시적으로 도시된 바와 같은, 기타 여러 실행 환경으로 확장될 수도 있다.
도 2 및 도 3에 도시된 바와 같이, 여러 상이한 관계자들(시그마)인, 디바이스 제조자(DM), 네트워크 액세스 및 서비스 제공자(모바일 네트워크 오퍼레이터(MNO)), 디바이스 소유자(DO), 및 사용자(U)가 고려된다. 신뢰성있는 서브시스템 TSS-시그마는 신뢰성있는 실행 환경(TE-시그마) 및 교환불가능한 보안 모듈(TM; trusted module(신뢰성있는 모듈)) 또는 원격 소유자(RO; remote owner) 또는 관계자(시그마)과 연관된 보안 모듈의 엔티티(TM-시그마)를 포함하는 논리 유닛으로서 구성된다. TSS-시그마는 언제나 소정의 데이터를 서명 및 암호화하도록 구성된다. TSS-시그마는 신뢰성있는 서비스 RTV-시그마 대해 액세스권한을 갖는다. 이 서비스는 예를들어 참조 데이터에 기초하여 정의된 시스템 상태에 대한 검증을 책임진다. 본 원에 제안된 유사한 구조의 다양한 기타 신뢰성있는 서브시스템은 하기에 예를 들어 설명한다. 이 서브시스템들로는 관계자들인 DM, MNO, DO, 및 U의 TSS-DM (202 및 302), TSS-MNO(204 및 304), TSS-DO(206 및 306), 및 TSS-U(206 및 308) 서브시스템을 포함한다.
TSS-DM(202 및 302)는 이것의 설치된 하드웨어 컴포넌트와 함께 디바이스의 무결성, 구성 및 설치를 책임진다. TSS-DM(202 및 302)는 디바이스에 모든 보안에 민감한 자원을 제공한다. TSS-DM(202 및 302)는 일반적으로 모든 외부 및 내부 통신을 제어하고 통신 채널을 보안화한다. 결과적으로, TSS-시그마의 모든 프로토콜 메시지는 그 목적지에 대한 TSS-DM(202 및 302)의 통신 서비스에 의해 송신된다.
플랫폼의 가입에 종속적이고 가입자와 관련된 모든 네트워크 제공자 서비스는 TSS-MNO(204 및 304)에 할당된다. 이 서브 시스템은 vSIM 크리덴셜의 가입자와 관련된 부분을 관리 및 보호하는 책임이 있고, 가입자의 클라이언트 측 네트워크 인증을 수행한다. 이 서브 시스템은 이를 위해 vSIM 코어 서비스(vSIM-CORE)를 제공한다. vSIM-CORE(220 및 320)은 종래의 SIM에 대해 필수적인 기능을 대체하도록 구성되지만, 다른 인증 특징들을 수용할 수도 있다. 용어 "신뢰성있는 서브 시스템 TSS-MNO"는 필요한 vSIM-CORE 서비스(220 및 320)를 제공하는 완전하게 준비된 TSS-MNO와 동의어이다. TSS-DM과 TSS-MNO의 조합도 가능하다. vSIM-CORE 서비스는 가입자 데이터에 대한 보안 저장 및 사용뿐만 아니라 MNO와 가입자 인증에 대한 책임이 있다는 것을 유의해야 한다.
TSS-U(206 및 306)는 모든 사용자와 관련되고 비밀인 정보, 특히 사용자의 연관된 액세스 인증 크리덴셜(vSIM 크리덴셜의 사용자와 관련된 부분)을 보호한다. TSS-U(206 및 306)은 vSIM 관리 서비스(vSIM-MGMT)(222)를 인스턴스화한다. 이 서비스는 사용자 정보에 대한 관리 및 로컬 사용자에 대한 인증 응답의 계산에 대해 책임이 있다. 서비스(vSIM-MGMT)는 서비스(vSIM-CORE)에 내부 인증 오러클을 제공한다. vSIM-MGMT는 인증 질의 후에 로컬 사용자의 신원에 대한 증명을 제공한다. 이 서비스는 vSIM의 사용자 관리에 대해, 특히 디바이스 사용자에 대한 운영 및 관리에 대해 책임이 있다. vSIM의 소유자 관리 서비스(vSIM-OwnMGMT)는 vSIM-MGMT에 기능적으로 이미지화된다. 임의 TSS-U가 디지털 서명을 위해 의도된 플랫폼 사용자(U)에 의해서만 액세스 및 사용될 수 있는 적절한 암호 키를 발생시킬 수 있음을 유의해야 한다.
TSS-DO(206 및 308)은 vSIM 소유자 서비스(vSIM-OwnMgmt)를 인스턴스화한다. 이 서비스는, 로컬 사용자 또는 서비스 제공자등에 대해 운영적인 관리를 위해 그리고 소유자 정보에 대해 관리할 책임이 있다. TSS-DO 및 TSS-U는 또한 도 2에 도시된 바와 같은 단일 사용자 시스템을 위해 하나로 조합될 수 있다.
MTP는 일반적으로, 하드웨어 플랫폼과 영구적으로 연관된 교환불가능한 보안 모듈(신뢰성있는 모듈,TM)을 갖는 모바일 플랫폼이다. 고려중인 vSIM 구조의 관점에서, MTP는 종래의 SIM카드와 같은 가입자 인증을 위한 종래의 보안 토큰이 구비되어야 하는 것이 의무적인 것은 아니다. MTP는 신뢰성있는 운영 시스템을 동작시킨다. 신뢰성있는 소프트웨어 계층은 보호되고 격리된 실행 및 메모리 기능으로 다수의 개별적인 신뢰성있는 서브시스템(TSS_SIGMA)을 지원한다.
각각의 신뢰 서브 시스템(TSS_SIGMA)은 관계자를 위한 임계 보안 기능에 대해 사용된다. 신뢰성있는 서브시스템은 보안 모듈의 신뢰성있는 엔티티(TM_SIGMA) 및 연관된 신뢰성있는 실행 환경(신뢰성있는 엔진, TE_SIGMA), 및 신뢰성있는 서비스(TS_SIGMA)로 이루어 진다. 원격 소유자 DM, MNO 및 U를 대신하여 적어도 3개의 신뢰성있는 서브 시스템 TSS-DM, TSS-MNO, TSS-U가 MTP에 있다. 절차는 단일 사용자 시스템에 대해 설명된다. 디바이스 소유자 DO 및 TSS-DO의 기능은 U 또는 TSS-U에 대해 이미지화 된다.
MNO는 공개 키 인프라구조의 필요한 기능을 직접적으로 또는 간접적으로 제공한다는 것을 유의해야 한다. MNO는 인증 기관에 의해 발행되어 있는 인증서(Cert-MNO)를 소유하고 있다. 이 인증서는 MNO의 신원을, 디지털 서명 검사에 필수적인, 공개키(K-pub-MNO)에 링크시킨다. 이 인증서는 MTP 및 모든 임베드된 서비스에 이용될 수 있다.
하기에 설명하는 절차는 단지 예시적인 목적으로 단일한 사용자 시스템을 고려한다는 것을 유의해야 한다. 결과적으로, 디바이스 소유자(DO)는 사용자(U)와 등가인 것으로 되어 있다. 도 3에 도시된 바와 같이, 개별적인 TSS-DO 및 TSS-U를 지닌 다수 사용자 시스템에서 가입 인증을 위한 방법은, 유사한 방식으로 수행되고 본원의 범위에 속하게 된다. 예를 들어: (1) 하나의 TSS-U 및 다수의 TSS-MNO; (2) 하나의 TSS-MNO 및 다수의 TSS-U; 및 (3) 다수의 TSS-U 및 다수의 TSS-MNO인 그 밖의 다수 사용자 시나리오도 가능하다. 소유권 제어에 대한 방해를 방지하기 위해, 단 하나의 DO만이 임의의 상기한 바와 같은 구성에 허용될 수 있다. 여러 다수 사용자 시나리오에서, vSIM-MGMT 서비스는 DO에만 적용되기 때문에, 이 vSIM-MGMT 서비스는 양쪽에 걸치는 구성으로 되고 표명된 다수의 vSIM-CORE 서비스뿐만 아니라 모든 사용자와 양립할 수 있다. 그러므로 단일 사용자에 대해, vSIM-MGMT 서비스는 vSIM-MGMT-DO 및 vSIM-MGMT-U 기능으로 분리된다. 이것은 예를 들어, 한 그룹의 사용자(예로서, 가족)가 동일한 MNO 가입을 사용하는 경우, 또는 그 반대로 단일 사용자가 예를들어 해외에 있을 때, 환경에 따라서 하나 이상의 MNO 가입에서 선택하길 원하는 경우의 애플리케이션 시나리오에서 유익할 수 있다. 이 시나리오를 구현하는 바람직한 방법은 vSIM-CORE 및/또는 vSIM-MGMT가 각각의 TSS간에 그리고 여러 vSIM-MGMT와 vSIM-OwnMgmt간에 원하는 1 대 n, 또는 n 대 1, 또는 n 대 m관계를 확립하기 위해 각각의 다른 TSS에서 각각의 다른 서비스에 대한 인가 비밀사항을 포함하는 보안된 데이터베이스를 유지하는 것이다.
도 2 및 3의 제안된 vSIM 구조는 종래의 보안 토큰에 기초한 가입자 인증에 대해 종래의 구조와 등가인 보안 특징을 가정한다. 특히, 이 구조들은 보호된 저장 기능, 개별적인 쉬운 변경시도에 대해 보호된 실행 환경, 및 사용자의 인증을 가정한다. vSIM 플랫폼은 인가된 주체들만이 vSIM 크리덴셜의 보호된 데이터를 액세스하거나 조작할 수 있음을 보장해야 한다. 이러한 구성은 특히, 이 데이터가, vSIM실행 환경에 또는 다른 신뢰성있는 서비스에 운반중인 상태에 있거나, MTP의 휘발성 또는 비휘발성 메모리에 저장되거나, 실행 환경내에서 사용되거나 실행되거나, 인가된 주체에 의해 여러 신뢰성있는 환경사이에서 전달되는 상태에 있는 동안 특히 중요하다. 이것은 공격자가 보안에 민감한 데이터를 깨트리지 못하거나 수정할 수 없거나, 액세스 제어 매커니즘을 방해할 수 없는 공격자 특징을 포함한다. 시스템은 보안에 민감한 데이터가 손실되거나 누설되는 것을 방지해야 하고, 모든 필요한 서비스가 이용가능하고 기능하는 것을 보장해야 한다. 특히, vSIM 구조는 인가된 주체가 보안에 민감한 서비스를 적합한(로컬 또는 원격에 위치한) 소유자를 통해서만 액세스할 수 있다는 것을 보장해야 한다.
도 4는 MNO(408)와 통신 상태에 있는 사용자(TSS-U)(402)를 위한 TSS와 디바이스 제조자(TSS-DM)(404)를 위한 TSS를 갖는 이전(pristine)의 모바일 신뢰성있는 플랫폼(403)상에 MNO-TSS(406)를 설치하기 위한 절차를 도시한다. 용어 TSS-MNO는 이 절차에 의해 확립된 신뢰성있는 서브 시스템 및 절차의 끝에서 TSS-MNO가 될 신뢰성있는 실행 환경(TE)MNO(TE-MNO) 양자 모두를 지칭한다는 것을 유의해야 한다. 원격 소유자(RO; remote owner)에 의한 소유권 획득은 MTP와 관계자 또는 원격 소유자간의 기본적인고 근원적인 관계를 확립한다. 이 절차는 빈(empty) 또는 이전 실행 환경이 존재할 것을 필요로 한다. 절차의 제1 부분(410)은 빈 실행 환경을 준비하는 데에 전용되는 반면에, 절차의 제2 부분(412)은 새롭게 생성된 신뢰성있는 엔진(TE; trusted engine)에 대해 원격으로 소유권을 갖는 것에 전용된다. 이전 TSS-MNO(TSS*-MNO)는 기본 기능성 및/또는 다수의 신뢰성있는 서비스를 갖는 이전 표준 실행 환경(TE*-MNO)으로 구성된다. 서브 시스템(TSS*-MNO)은 자신의 보안 정책에 관한 훼손되지 않은 구성, 구조 및 일치에 대한 증거를 MNO에 제공할 수 있을 때, 상기 시스템은 MNO에 의해 증명된다.
절차(400)의 준비부(410)는 단계 420에서, TSS-U(402)가 TSS-MNO를 확립하라는 요구를 TSS-DM(404)에 전송할 때 시작한다. TSS-DM(404)은 그러면 단계 422에서, 원래의 실행 환경을 설치한다. 그후 TSS-DM(404)은 단계 424에서, 초기 설정 시퀀스를 새로 생성된 TE*-MNO에 전송한다. "빈(empty)" 실행 환경(TE*-MNO)가 확립되고, 단계 426에서, 보안 모듈(TM-MNO)(406)의 새로운 엔티티가 기동되거나 생성된다. 또한, 이전 실행 환경(TE*-MNO)가 확립되어 준비된다. 특히, 이서 키 쌍(EK*-TSS-MNO)은 대응하는 이서 인증서(Cert-TSS-MNO)와 함께 TE*MN0내에서 생성된다. 단계 428에서, TSS-MNO(406)은 상태 메시지를 TSS-DM(404)에 전송한다.
절차(400)의 원격 소유권 소유부(412)는 단계 430에서, TSS-DM(404)이 원격 소유자(MNO) 메시지에 의해 소유권 획득에 대한 요구를 MNO(408)에 전송한다. 그러면 MNO(408)는 단계 432에서, 신뢰성있는 모바일 플랫폼(401) 및 실행 환경(TS-MNO)(406)의 검증을 수행한다. 다음에, 단계 434에서, MNO(408)는 상태 메시지를 TSS-DM(404)에 전송한다. 다음에, 단계 436에서, TSS-DM(404)은 인증서(CERT_MNO) 및 추가 정보를 MNO(408)에 전송한다. 단계 438에서, MNO(408)는 인증서(CERT_MNO)를 검사하여 서명하고 구성 및 보안 정책을 설정한다. 그러면 단계 440에서, MNO(408)는 상태 메시지를 TSS-DM(404)에 전송한다. 다음에, TSS-DM(404)은 TSS-MNO(406)에 실행 환경 TSS-MNO(406)의 완료를 전송한다. 다음에, 단계 444에서, TSS-MNO는 CERT_MNO를 설치하고 최종 설정 및 설치 절차를 수행하여 초기 설정을 완료한다. 그후 단계 446에서, TSS-MNO(406)는 상태 메시지를 TSS-DM(404)에 전송한다. 단계 448에서, TSS-DM(404)은 상태 메시지를 TSS-DO(402)에 전달한다. 단계 450에서, TSS-DM(404)은 또한 MNO(408)에 상태 메시지를 전송한다.
도 4가 원격 소유권 획득에 관한 절차의 특정한 구현을 설명하고 있지만, 하기의 설명은 도 4의 절차와 유사한 종료 지점을 갖춘 더욱 일반적인 절차를 설명한다. MTP의 디바이스 소유자(DO)는 사용자(U) 또는 디바이스 소유자(DO)가 제한없이 임의의 주어진 MNO를 자유롭게 선택할 수 있도록 특정한 MNO에 의해 미리할당되지 않았거나 초기화되지 않은, 모바일 전화와 같은, "빈" 통신 단말기를 구입할 수 있어야 한다. 도 4의 절차는 원격 소유자에 의해 TSS-MNO에 대한 소유권 획득을 수행하고 MNO에 의한 vSIM 실행 환경의 확립을 완료하기 위해 사용된다. 이 방법은 임의의 소정 원격 소유자에게 직접 전달될 수 있거나, MNO에 제한되지 않아야 한다는 것을 유의해야 한다.
TE*-MNO는 그후 자신의 현재 상태를 검사한다. 이 검사는 원격 소유자 MNO의 대응하는 인증서 및 참조값(RIM; reference values)을 사용하여, TSS-DM의 로컬 검증자 RTV-DM에 의해 수행될 수 있다. TE*-MNO(이전 상태의 신뢰성있는 엔진)에 대응하는 RIM은 반드시 특정한 MNO와 연관될 필요는 없고 초기의 기본 기능을 넘는 것에 불과한 구성을 가질 수 있음을 유의해야 한다. 어떠한 매칭하는 RIM 및/또는 대응하는 RIM 인증서도 실행 환경에서 이용할 수 없다면, 상기 검사는 외부(허용된) 검증 엔티티를 사용하여 수행될 수 있다. 검사[ATTEST(Si)]는 RTV 서명 신원(RTVAI)에 의해 서명된다.
Figure pct00001
(식 1)
TE*-MNO는 대칭 세션 키(Ks)를 생성하고 이 키를 사용하여 이서키(endorsement key)(EK*-TSS-MNO)의 공개부분, 대응 인증서(Cert-TSS*-MNO), 검사 데이터, 및 의도하는 목적에 대한 정보를 암호화하는 데에 사용된다. TE*-MNO는 그러면 세션 키(Ks)를 공개키(K-pub-MNO)와 함께 암호화하고 두 메시지 모두를 MNO에 전송한다. 일반성을 잃지 않고, TE*-MNO는 이서 키(EK*-TSS-MNO), 대응 인증서(Cert-TSS*-MNO), 인증 데이터, 및 의도하는 목적에 대한 정보 대신 검사 신원키(AIK*-TSS-MNO )를 사용할 수 있다.
이 키(K-pub-MNO)는 공용으로 이용가능하거나 디바이스 제조자에 의해 미리설치된 것으로 가정한다.
Figure pct00002
(식 2)
검사(식 1) 및 EK*-TSS-MNO 및 그것의 인증서뿐만 아니라 식 2를 암호화하는 세션 키(Ks)는 개별적으로 그러나 동일 세션(즉, 동일 세션 난스(nonce)에 의해 범위가 제한됨)에서 송신될 수 있다. 대안으로서, 송신은 동일한 세션 키(Ks)를 사용하여 한번에 행해질 수 있고, 따라서 이 경우엔,
Figure pct00003
(식 3)
이다.
MNO가 메시지들을 수신한 후, 메시지들은 비대칭 키(K-pub-MNO)의 비밀부분을 사용하여 해독된다.
후속하는 단계에서, MNO는 인증 데이터를 검증하고 TSS*-MNO의 의도한 목적을 검사한다. 실행 환경 및 디바이스 잊능에 대한 데이터가 유효하고 의도한 목적이 수용되면, MNO는 개별 보안 정책(SP-MNO)을 생성한다. MNO는 Cert-TSS-MNO에 서명하고, 특정 서비스 제공자와 동작하도록 구성된, "완전한" TSS-MNO에 대한 RIM 인증서 및 RIM 값을 발생한다. 이러한 구성은 TSS-MNO에 대한 로컬 검증을 위해 필요한 것들이다.
MNO는 초기 구성(SC-TSS-MNO)도 발생한다. 이것은 실행 환경을 개별화하거나 의도한 목적 및 특정한 보안 정책에 대해 마찬가지로 완료하기 위해 사용된다. 개별화는 일반적으로 적절한 기능을 할 수 있도록 하기 위해 초기에 존재하지 않는 소프트웨어를 포함한다. RIM 및 RIM 인증서는 이러한 초기 구성을 반영하도록 발생된다. 다음 단계에서, MNO는 키의 공개 부분(EK-pub-TSS-MNO)을 사용하여 메시지를 암호화하고, 이 패킷을, 특히, TSS-DM에 의해 제공된 기본 네트워크 연결을 통해 수행될 수 있는, TE*-MNO에 송신한다. SP-TSS-MNO 및 SC-TSS-MNO는 새로운 RIM 인증서에 의해 정의되어야 할 SP-TSS-MNO 및 SC-TSS-MNO에 대응하는 MNO 특정 및 TSS-MNO의 예상된 "후완료(post-completion)"임을 유의해야 한다.
Figure pct00004
(식 4)
실행 환경(TE*-MNO)은 수신된 패킷을 해독하여 TSS-MNO내에 설치한다. 마지막으로, 구성(SC-TSS-MNO)에 기초하여 확립이 완료된다. 이것은 특히 아직 설치되지 않은 서비스 및 SC-TSS-MNO에 의해 요구되는 서비스들 모두가 TSS-MNO에 도입되거나 설치된다는 것을 의미한다.
가입자 등록 및 vSIM 크리덴셜의 전달에 대한 절차가 도 5에 도시되어 있고, 하기에 설명한다. vSIM 서비스를 이용하기 위해, 액세스 인가 크리덴셜(vSIM 크리덴셜)은 MTP(200)가 이용할 수 있어야 한다. 이 vSIM 크리덴셜은 (1) MNO(506)에 의해 발생되어 MNO 또는 그 앞에 있는 DM에 의해 설치되거나, 또는 (2) 초기에 vSIM 크리덴셜을 설치하기 위해 사용되는, 비밀 정보에 기초하거나 또는 (3) 소유권 획득 프로세스 동안(MNO(506) 및 사용자 (U)(502)에 의해) 발생된다.
vSIM 구조의 서비스는 신뢰성있는 소프트웨어 애플리케이션으로 구현되므로, vSIM 크리덴셜의 각각의 가입자 관련 부분은 MNO에 의해 vSIM 서비스로 보안을 유지하여 송신되어야 한다. 종래의 SIM 기반 시스템에서 가입자는 등록된 후 직접 보안 토큰(스마트 카드/SIM 카드)을 수신한다. vSIM 크리덴셜과 대조적으로, 이 보안 토큰은 물리적으로 존재하며 각각의 POS에 대한 SIM 크리덴셜 또는 미리설치된 키를 이용하여 전달된다.
예비 단계(도시되지 않은)에서, MTP(200)는 인증된 초기 기동 절차를 실행하였고 OS 및 이 OS의 신뢰성있는 유닛의 특정한 신뢰성있는 계층을 로딩하였다. 이것은 신뢰성있는 실행 환경과 함께 이 환경의 임베드된 서비스(vSIM-CORE 및 vSIM-MGMT)를 포함한다. 플랫폼의 신뢰성있음이 검사되었고, 설치된 하드웨어 및 실행하는 소프트웨어는 신뢰성있고, 수용할 수 있고 타당한 상태 및 구성을 이룬다. 따라서 플랫폼은 설치된 vSIM 기능으로 "보안 부트를 달성함"인 것으로서 설명되는 상태에 있다. 또한, 요구시, 플랫폼은 이 상태를 인가된 엔티티를 통하여 보고할 수 있고 그리고 이 상태를 인증할 수 있다.
POS(504)는 MNO(506)로부터 임의의 소정 갯수의 이전에 발생된 등록 티켓(Ticket-i)을 주문한다.
Figure pct00005
티켓 요청(즉, 주문) (식 5)
IMSI-i는 국제 모바일 가입자 신원을 의미한다. 대안으로서, 이것은 인가된 센터에 의해 할당된 무작위적이고 분명한 식별자(ID)이거나 통신 네트워크를 통해 서비스가 제공되는 서비스 가입자의 ID를 의미한다. IMSI-i가 IMSI인 경우에, 상기 티켓들은 티켓의 고유 인덱스에 의해 구별될 수 있다.
용어 RAND-I는 무작위 값을 의미한다. 이 값은 프로토콜 동안 TSS-MNO(204)의 신원을 검사하기 위해 필요한 것이다. AUTH-i를 사용하여 MTP(200)는 티켓-i의 무결성 및 진위를 검사할 수 있다. AUTH-i는 MNO(506)의 비밀키에 의해 서명된 MNO(506)의 서명이다. AUTH-i를 해독함에 의해 POS(504)는 티켓-i를 발생한 MNO(506)를 식별할 수 있다. MNO(506)에 의한 POS(504)의 인증은 본원에 설명된 프로토콜에서 고려되진 않지만 티켓에 대한 소유권을 획득하고 분배하기 위해 충분히 신뢰성있는 것으로 여겨진다. MNO(506)는 다수의 티켓을 POS(504)에 전송한다. 등록 티켓은 3가지 정보{IMSIi, RANDi, AUTHi}로 구성된다.
Figure pct00006
(식 5b)
자신의 고유 신뢰 루트를 갖춘 이전 신뢰성있는 서브 시스템(TE*-MNO)이 DM에 의해 설치되면 MNO(506)가 이 서브 시스템에 대한 소유권을 개별적으로 획득하는 것이 가능하고 이렇게하여 서브 시스템 각각은 별개 디바이스인 것으로 간주할 수 있다. 이 시나리오에서, 다수 사용자는 일대일 기준으로 이들 개별 서브 시스템을 통하여 등록할 수 있다.
도 4에 설명된 등록 절차는 도 5의 등록 절차와는 다르고, 뿐만 아니라 본원에서 설명된 후속하는 프로토콜과도 차이가 있다는 것을 유의해야 한다. 그러므로, 도 5의 절차는 특정한 소유권 획득 절차의 사용을 필요로 하지 않는다.
사용자 등록 및 vSIM 크리덴셜 롤아웃 절차는 두 단계로 분리된다. 하기 절차는 도 5에 예시되어 있고, 제1 단계를 설명한다. MNO(506)의 가입자 관련 서비스에 대한 등록 및 사용자 등록은 제1 단계에서 구체적으로 명시된다.
사용자는 동일하게 발생된 TSS-U/DO(206)에 데한 로컬 사용자에 대해 새로운 신원 크리덴셜(vSIM 크리덴셜의 사용자 관련 부분)을 요구함으로써 프로토콜을 시작한다. 이를 위해, 로컬 사용자는 단계(550)에서, 고유한 신원 코드(ID-U), 자신의 개인 등록 데이터(REGDATA-U), 및 비밀 인가 패스워드(CHV-U)를 신뢰성있는 서비스(vSIM-MGMT)에 제출한다. 고유한 ID-U의 사용은 동일 사용자(U)(502)가 vSIM 사용자 등록을 목적으로 동일 플랫폼을 동일 MNO(506)에 등록하기 위해 상이한 ID-U들을 사용할 수 있을 가능성을 제거한다. 식 6에 나타낸 정보는 POS(504)에서 발생하고, 그 일부분(REGDATA-U 및 CHV-U일 수 있음)은 사용자(502)에 의해 발생되고 다른 일부분(ID-U)은 POS(504) 자체적으로 발생된다.
Figure pct00007
(식 6)
vSIM-MGMT는 그러면, 단계(552)에서, 비대칭 서명 키 쌍(K-U)을 발생하고 사용자의 모든 관련 정보(REGDATA-U, K-U의 공개 부분) 포함하는 대응하는 인증서를 발생한다. 서비스(vSIM-MGMT)는 그러면 단계(554)에서, K-U의 비밀 부분에 의해 서명된, 증거 및 인증서(CERT-U)를 서비스(vSIM-ECORE)에 전송한다. 신뢰성있는 환경의 범위내에서 보안 링크가 vSIM-MGMT와 vSIM-CORE사이에 확립된다고 가정한다.
Figure pct00008
(식 7)
이 시점에서, 서비스(vSIM-MGMT)는 등록 절차를 개시하고 서비스(vSIM-CORE)의 로컬 검증자(RTV-MNO)에게 상태 및 구성을 증명한다. TSS-MNO(204)는 참조 데이터에 기초하여 제공된 데이터를 검사한다. TSS-MNO(204)는 그후 현재 실행 환경의 상태가 유효하고 수용할 수 있는 상태에 있는 지에 대해 검사한다. 증명된 비대칭 키 쌍(K-U)은 단계(556)에서, 현재 실행 환경에 대한 증거가 검증되는 수단으로서의 역할을 한다. vSIM-CORE가 디바이스의 신뢰성 있음을 결정하자 마자, 단계(558)에서, vSIM-CORE는 고유 식별자(PID)를 발생하고 이 값을 vSIM-MGMT에 전송한다.
Figure pct00009
(식 8)
사용자는 등록 데이터(REGDATA-U)(예를들어, 이름, 주소, 계정 정보, 개식별별번호) 및 PID를 단계(560)에서, 보안 채널인 것으로 간주되는 것을 통해 POS에송신하고, 필요하다면, 암호화도 수행된다. 서비스(vSIM-CORE)는 사용자(U)(502)에 대한 등록 절차를 개시한다. 이를 위해 vSIM-CORE는 자신의 고유한 인증서 및 수신된 사용자 인증서에 서명한다. vSIM-CORE는 그후 이 패킷을 POS(504)에 전송한다.
Figure pct00010
(식 9a)
Figure pct00011
(식 9b)
Figure pct00012
(식 9c)
POS(504)가 요구를 수신한 후, 단계(564)에서, 티켓-i를 선택하여 키(K-pub-TSS-MNO)(204)에 결합한 후 이것을 단계(566)에서, TSS-MNO(204)에 전송한다. PID는 사용자가 상기 티켓에 의해 고유하게 식별되는 핸들을 제공한다. 또한, POS(504)는 사용자와 vSIM-CORE에 의해 행해지고 있는 등록 요구를 연관시키기 위해 사용될 수 있다. 이 경우에 POS(504)는 vSIM-CORE에 의해 승인된, 인터넷 포털과 같은 임의의 소정 판매시점(point of sale)일 수도 있다.
Figure pct00013
(식 10)
POS(504)가 사용자(U) 및 디바이스가 신뢰성있음 인 것으로 결정하자마자, POS는 (선택된 티켓의)IMSI-i 및 CERT-U를 REGDATA-U에 추가한다. POS(504)는 그후 자신의 서명키(K-POS)의 비밀 부분을 이용하여 수집된 정보에 서명하고 서명된 데이터 및 서명(온라인 및 오프라인)을 MNO(568)에 전송한다. POS(504)는 선택적인 사항으로서, K-MNO의 공개 부분을 사용하여, 데이터를 암호화한다.
Figure pct00014
(식 11)
MNO(506)는 데이터를 검사하고 IMSI-i, 비대칭키(Ki) 및 인증서(CERT-U)를 사용하여 vSIM 크리덴셜의 가입자 관련부분을 발생한다. MNO(506)는 그후 이 번들을 비밀 서명키(K-MNO)를 이용하여 서명하고, 마지막에는 단계(570)에서, 서명된 vSIM 크리덴셜 및 자신의 인증 센터내의 각각의 NOTICES을 기동시킨다.
MTP(200)는 기존의 통신 채널을 통해 MNO(506)의 이용가능한 등록 서비스를 요구할 수 있다. 이 서비스는 예를 들어, 네트워크 원격통신 서비스 또는 인터넷 서비스로 구현될 수 있다.
도 5에 묘사되고 상기 설명한 등록 프로세스의 변형(도시되지 않음)는 POS의 가능한 증명 및 인증을 포함한다. 이것은 MNO 및 사용자에 대한 하기와 같은 위협을 완화시킨다: 변이 POS는 다른 POS와 결탁하거나 다른 POS를 속일 수도 있다. 변이 POS는 MNO로부터 수신된 다수의 티켓의 복사본을 다른 POS에 배분하고 다수의 디바이스 및 사용자에게 배분하여 이에 대해 사용자에게 요금을 청구할 수 있다. MNO가 이러한 유형의 사기를 맨처음 발생한 POS까지 추적할 수 있다 해도, 공격은 POS가 상이한 국가에 있는 등과 같은 일부 분산 시나리오의 경우엔 여전히 성공할 수 있다. 이를 방지하기 위해, TSS_MNO는 POS가 신뢰성 있음을 인증하는 정보를 획득할 필요가 있다.
상기한 위협은 하기와 같이 완화될 수 있다. 등록 티켓의 주문시점에(식 5), POS는 또한 POS에 의해 서명된, 동일한 또는 별개의 메시지에서, 신뢰성있는 컴퓨팅 그룹(Trusted Computing Group)의 원격 증명 프로토콜에 의해 명시된 바와 같이, 증명 데이터(ATTEST_POS)를 전송함에 의해 MNO에 대한 원격 증명을 수핸한다. POS로부터 MNO으로의 티켓 요구 또는 주문 메시지는 이제 POS 증명 데이터에 포함되어야 한다.
Figure pct00015
티켓 요청
Figure pct00016
(식 5c)
MNO는 신뢰성있는 제3자로부터, POS의 증명 데이터를 서명하는 데에 POS가 사용한 키를 서명하기 위한 해독키 및 이 키에 대한 인증서를 획득해야 한다는 것을 유의해야 한다. 티켓 주문 및 증명 메시지는 임의의 경우에도 한 세션으로 제한되어야 하는 데, 예를들어 공격 재시도를 방지하기 위해 공통 난스로 제한되어야 한다. 그러면 MNO는 티켓 주문이 신뢰성있는 상태에 있는 공지된 POS로부터 발생한다는 것을 알게 된다. 이것은 POS가 POS 인프라구조 내부에 또는 외부에 있는 인가되지 않은 자에게는 액세스될 수 없는 보호된 메모리 위치에 티켓을 유지할 것을 요구한다. POS에 제출된 티켓은 MNO에 의해 POS 서명 키(Tr-POS) 및 이 키 셋트에 대한 신뢰 상태를 지시하는 디지털 인증서(CERT-Tr-POS)로써 증대된다. 이 키들은 그후, 식 10에서와 같이, TSS-MNO(566)에 대한 메시지를 서명하기 위해 POS에 의해 사용된다.
또한 TSS-MNO와 POS간의 신뢰 레벨을 증대시키기 위해, 메시지 교환은 등록 데이터를 전송하기 전에, 티켓 요구(560)에 포함되어 질 수 있다(식 9a-c). 즉, 티켓 요구를 지시하는, TSS-MNO의 암호화 키의 공개 부분을 포함하는, TSS-MNO로부터의 초기 메시지 수신시, POS는 후속하는 통신에 대한 보안 채널을 확립하기 위해, Cert-Tr-POS를 포함하는 Tr-POS로 서명된 메시지, 및 선택사항으로서 TSS-MNO의 암호화 키의 공개 부분으로 암호화된, 암호화 키를 전송한다. TSS-MNO는 Cert-Tr-POS로부터 Tr-POS 공개키를 추출하고 이 추출된 키로 이 데이터 패킷의 서명을 검증한다. TSS-MNO는 그후 Cert-Tr-POS의 MNO 서명을 검증한다. 그러면 TSS-MNO는 초기 티켓 요구에 대한 응답이, MNO에 의해 신뢰성 있음이 인증된 POS로부터 발생한다는 것을 알게 된다. TSS-MNO는 그후 존재한다면, 선택사항으로서 암호화 키를 해독한다. POS와 디바이스간의 모든 후속하는 통신은 이 키를 이용하여 보안된다. TSS-MNO는, Cert-Tr-POS에 의해 나타내어진 신뢰성 있는 상태에 있는 POS에 의해 획득되었던 티켓을 수신하는 것을 보장하기 위해 티켓 요구 초기 교환에서 수신된 티켓과 수신된 티켓(566)의 인증서를 비교한다.
또 다른 실시예에서, POS는 이전에 신뢰성 있는 것으로 증명되어 있지 않은 상태이다. 더욱이, POS는 자신을 MNO에 증명할 수 없다. 그러므로, POS가 신뢰성 있다는 것은 보장되지 않는다. 본 실시예는 사용자 플랫폼과 MNO간의 증명된 비대칭 키 쌍의 확립에 의존한다. 이러한 키 쌍은 원격 소유권 획득 프로토콜 동안 확립될 수 있다. 일단 키 쌍이 확립되면, 매우 중요한 데이터를 처리하기 위해 POS의 신뢰성있음에 대한 어떠한 의존성도 검소시키는 매커니즘을 제공한다. 이 보안 구성 변경에서는, MNO는 티켓을 TSS-MNO의 공개 키로 암호화되고 K-MNO의 비밀 부분을 사용하여 서명된 POS에 전송한다.
요구된 비밀 키를 갖춘 TSS-MNO만이 메시지를 해독할 수 있다면, POS에 의해 관리된 다중 MNO(multi-MNO)시나리오가 채용된다. TSS-MNO의 키 인증서는 POS가 소정 사용자에 대해 티켓을 전송한 MNO와의 연관시키는 것을 허용한다. POS는 하나 이상의 MNO에 대해 상기한 방식으로 연관지을 수 있고, 이렇게 하여 티켓을 수신하는 TSS-MNO가 그 티켓을 해독할 수 있는 것을 보장한다. 티켓 정보를 바인딩하기 위한 메시지는 이 프로세스에서 임베드될 수 있음을 유의해야 한다.
성공적인 등록을 가정하면, TSS-MNO는 해독된 티켓으로부터 IMSI를 추출하고, 이 추출된 것을 MNO의 공개 키로 암호화하고(상기 설명에서 확립된 키 쌍), 이것을 K-priv-TSS-MNO를 이용하여 서명하고 이 메시지를 POS에 전송한다. 서명 검증 후에 POS는 암호화된 IMSI를 사용자 인증서 및 등록 데이터와 함께 연관된 MNO에 전달한다. 이 크리덴셜의 최종 롤아웃은 본질적으로 하기에 설명하는 식 16 및 17에서와 동일 방식으로 수행된다.
티켓 정보의 비밀성은 잠재적으로 악의적인 POS로부터 보호된다. 티켓은 사용자 플랫폼 및 MNO 모두에 대해 오용될 수 없다. 또한, 예를 들어, 범법 사용자 또는 MNO에 다시 보내질 수도 없다. REGDATAu 및 CERTu 를 포함하는 기타 정보는 POS에 의해 액세스될 수 있고 따라서 스푸핑 공격을 당할 가능성이 있다. 그러나, 이 정보는 무결성이 보호되고 다라서 그러한 공격은 방지된다.
도 6은 도 2의 모바일 신뢰성있는 플랫폼(200)으로의 vSIM 크리덴셜의 가입자 관련 부분의 보안 전달 및 설치의 제2 단계에 대한 절차의 예를 도시한다. vSIM 크리덴셜의 가입자 관련 부분을 획득하기 위해, 사용자는 MNO(604)의 등록 서비스를 신청한다. 이를 위해, 사용자(U)(602)는 자신의 ID-U 및 연관된 패스워드(CHV-U)를 서비스(vSIM-MGMT)에 제출한다. 그러면 vSIM-MGMT는 단계(650)에서, 보호된 메모리로부터 연관된 키 쌍(Ku)(vSIM 크리덴셜의 사용자 관련 부분)을 로딩한다.
Figure pct00017
(식 12)
후속하여, vSIM-MGMT는 롤아웃 절차를 개시하고 이를 위해 단계(652)에서, 요구를 vSIM-CORE에 전송한다.
Figure pct00018
(식 13)
요구 메시지가 수신된 후, vSIM-CORE는 각각의 티켓i을 방출하고 단계(654)에서, 티켓-i의 인증성 및 무결성을 검사한다. vSIM-CORE는 그후 티켓-i로부터 값(NONCE-U)을 추출하고 U(602)에게 vSIM-MGMT를 통하여 자신의 신원을 검증할 것을 요구한다.
Figure pct00019
(식 14)
서비스(vSIM-MGMT)는 ID-U 및 REGDATAU와 함께 NONCE-U 를 서명한다. 이번들은 단계(655)에서, vSIM-CORE에 전송된다.
Figure pct00020
(식 15)
서비스(vSIM-CORE)가 메시지를 수신하자 마자, 이 서비스는 vSIM 크리덴셜 전달 요구를 발생하고 이것을 MNO(656)의 할당된 등록 서비스에 제출한다. 이를 위해 서비스(vSIM-CORE)는 티켓-i로부터 NONCE-MNO를 추출하여 이것에 IMSI-I와 함께 서명한다. vSIM-CORE는 그후 자신이 발생한 서명과 수신된 사용자 서명을, 일부 격리된 채널 또는 인터넷을 통해, MNO(656)에 전송한다.
Figure pct00021
(식 16)
vSIM-CORE로부터 메시지를 수신한 후, 단계(658)에서, MNO(604)는 (로컬 메모리로부터 수신된 데이터에 기초한 또는 POS(도시되지 않음)에 의해 제공된 인증서에 기초한 검증으로)메시지, CERT-U, 및 Cert-TSS-MNO를 검사한다. 정보가 유효하지 않거나 거절되면, MNO(604)는 에러 메시지로 응답하고 이 프로토콜을 종료한다. 티켓으로부터 추출된 NONCEMNO 및 NONCEU 양자 모두는 각각 MNO(604) 및 U(602)에게는 해결해야할 과제이다. REGDATAU는 IDU와의 상관관계를 이룰 수 있도록 하기 위해 전송된다. 이것들은 최신성(freshness)을 위해 사용되지 않으며, 그 대신에 최신성은 다양한 방식으로, 예를 들어 메시지에 적합한 그래뉼리티의 타임스템프를 추가하여, 달성될 수 있다.
또다른 시나리오에서, 요구는 MNO(604)에 의해 승인된다. 그후 MNO는 vSIM-CORE로의 송신을 위해 vSIM 크리덴셜의 가입자 관련 부분을 준비한다. MNO(604)는 무작위로 선택된 세션 키(Ks)를 발생한다. 이 키(Ks)는 TSS-MNO(204)로부터의 대응하는 키와 함께, 단계(660)에서, 타겟 플랫폼에 링크되고, 따라서 데이터(이 경우엔, 키(Ks))는 연관된 인가된 엔티티에 의해서만 사용될 수 있다. MNO(604)는 세션 키와 함께 vSIM 크리덴셜의 가입자 관련 부분을 암호화하고, 단계(662)에서, 양자 모두를 TSS-MNO(204)에 전송한다.
Figure pct00022
(식 17a)
Figure pct00023
(식 17b)
마지막으로, TSS-MNO(204)는 세션 키(Ks)를 해제한다. 이 키를 이용하여 TSS-MNO(204)는 vSIM 크리덴셜의 가입자 관련 부분을 해독하고 첨부 서명을 검사한다. 해독이 성공적으로 수행되어 검증이 완료되었을 때, vSIM-CORE는 수신된 vSIM크리덴셜을 하나 이상의 유효한 플랫폼 구성에 밀봉한다. vSIM-CORE는 그후 단계(664)에서, 절차를 종료하고 설치를 종결짓는다.
대안으로서, MNO(604)는 분리된 키(Ks)를 발생하고 티켓-i의 vSIM 크리덴셜의 암호화된 가입자 관련 부분을 통합할 수 있다. 이 경우에, MNO(604)는 단계(662)에서, 키(Ks)만을 타겟 플랫폼의 vSIM-CORE에 전송한다.
도 7은 소스 플랫폼(701)로부터 타겟 플랫폼(707)으로 vSIM 크리덴셜 및 이것의 실행 환경을 이동시키기 위한 절차의 한 예를 도시한다. 이 절차는 TSS-DO-S(702) 및 TSS-MNO-S(704)를 포함하는 소스 플랫폼(701)과 TSS-DO-T(708) 및 TSS-MNO-T(706)를 포함하는 타겟 플랫폼(707)간에 수행되다. 저장 루트 키(SRK; storage root keys)를 포함하는 모든 보안에 민감한 데이터는 타겟 TSS-MNO-T에 이동된다. 이것은 서브시스템 TSS-MNO-S 및 TSS-MNO-T 양자 모두에 동일한 원격 소유자(RO; remote owner)를 필요로 한다.
도 7의 이동 절차는 완전한 키 계층구조가 (2) 동일한 관계자들의 실행 환경들간에 이동될 수 있도록 하기 위한 경우에만 특정한 보안 정책이 두 플랫폼상에 존재할 때 (1) 동일한 관계자들의 실행 환경들 간에 이동될 수 있고 인가된다는 것을 규정한다. 이동에 대한 제약 사항은 단 하나의 MNO만이 수반될 것을 요구한다. 그러나 크리덴셜은 한 서브시스템으로부터 다른 소유자에 속하는 또다른 서브시스템으로 이동될 수 있다. 관계자들이 동일하다는 검증은 증명 매커니즘을 통해 출발지 및 목적지 엔티티에 의해 수행될 수 있다. 구성 전송은 소프트웨어 슈트(software suite)를 제외한 단지 크리덴셜 및 정책들만이 한 플랫폼으로무터 다른 플랫폼으로 이동하게 하여, 이동을 기능에 독립적이 되도록 일반화될 수 있다.
절차는 단계(750)에서, TSS-DO-S(702)가 TSS-MNO-S(704)으로의 서브시스템 이동에 대한 요구를 전송할 때 시작한다. 단계(751)에서, TSS-MNO-S(704)는 사용자의 서비스 레벨과 타겟 MNO와의 계약관계가 이동을 허용하는 지에 대한 검사를 수행한다. 그후 TSS-MNO-S(704)는 단계(752)에서, TSS-MNO-T(706)로의 서브시스템 이동(TSS-MNO-S -> TSS-MNO-T)에 대한 요구를 전송한다. TSS-MNO-T(706)는 단계(754)에서, 타겟 플랫폼(707)이 수용가능한 상태에 있다는 것을 보장하기 위해 TSS-MNO-S(704)의 로컬 검증을 수행한다. 그후 TSS-MNO-T는 단계(756)에서, TSS-DO-T(708)로의 이동 수행에 대한 검증 요구를 전송한다. TSS-DO-T(708)는 단계(758)에서, 확인응답을 수행한다. 성공적인 검증시, TSS-DO-T(708)는 단계(760)에서, 상태 메시지를 TSS-MNO-T(706)에 전송한다. 그러면 TSS-MNO-T(706)는 단계(762)에서, NONCE-MNO-T를 발생시킨다. TSS-MNO-T(706)는 단계(764)에서, 자신의 인증서, 난스(NONCE-MNO-T), 현재 상태(Si ,t) 및 보안 정책을 TSS-MNO-S(704)에 전송한다. 그러면 TSS-MNO-S(704)는 단계(766)에서, 플랫폼의 검증을 수행하고 이것을 이동을 위해 준비한다. 성공적인 검증시, TSS-MNO-S(704)는 단계(768)에서, 소스 플랫폼(701)의 직렬화를 수행한다. 직렬화는 수신자가 엔티티를 그 원래의 형태로 재구성할 수 있도록 하기 위해 엔티티를 정보의 비트스트림으로 변형하고 이것을 통신 채널을 통해 운송하는 것이다. 그후 TSS-MNO-S(704)는 단계(770)에서, 소스 서브시스템(TSS-MNO-S)의 직렬화된 엔티티를 포함하는 메시지를 TSS-MNO-T(706)에 전송한다. TSS-MNO-T는 단계(772)에서, 소스 서브시스템을 불러온다. 그후 TSS-MNO-T는 단계(774)에서, 상태 메시지를 TSS-MNO-S(704)에 전송한다. TSS-MNO.S는 단계(776)에서, TSS-MNO-S를 파괴한다.
도 7은 이동 절차의 특정한 구현을 도시하는 반면에, 하기의 단락에서는 도 7의 절차와 유사한 종료점을 갖는 더욱 일반적인 절차를 설명한다. 이를 위해, 디바이스 소유자는 TSS-MNO-S의 이동 서비스를 시작한다.
Figure pct00024
(식 18)
이 서비스는 하기에 설명하는 기본 기능들을 제공한다. 플랫폼(MTP-S 또는 TSS-DM)은 보안 채널(예를 들어 TLS 및 통신 기술이 블루투쓰, WLAN, USB등인 경우)을 타겟 플랫폼(MTP-T)에 전개하기 위해 TSS-MNO-S의 이동 서비스에 의해 할당된다.
연결이 이용가능하게 된 후, TSS-MNO-T는 불러오기 절차를 수행하기 위해 TSS-MNO-T내의 각각의 이동 서비스를 기동시킨다.
TSS-MNO-S의 증면 데이터는 보안 채널을 사용하여 TSS-MNO-T에 전송된다.
Figure pct00025
(식 19)
타겟 서브시스템(TSS-MNO-T)은 그러면 TSS-MNO-S의 로컬 검사를 수행한다. 단계(752)에서 수신된, 구성 증명 정보가 유효하지 않으면, TSS-MNO-T는 에러 메시지로 응답하고 이 프로토콜을 종료한다. 그 밖의 경우엔, TSS-MNO-T는 로컬 소유자(DO)에 의한 확인응답을 요구한다.
타겟 서브시스템(TSS-MNO-T)은 그후 무작위 값(NONCE-MNO-T)를 발생한다. 이것의 신뢰성 있음에 대한 증명을 제공하기 위해, TSS-MNO-T는 필요한 모든 정보를 소스 서브시스템에 전송한다. 이것은 Si ,t의 현재상태, TSS-MNO-T의 인증서, 보안 정책(SP-MNO-T) 및 값(NONCE-MNO-T)를 포함한다.
Figure pct00026
(식 20)
타겟 서브시스템으로부터의 메시지가 수신된 후, TSS-MNO-S는 TSS-MNO-T의 상태를 검사한다. 타겟 서브시스템이 신뢰성있는 상태에 있고 수용가능한 보안 정책 및 구성을 수행한다면, TSS-MNO-S의 현재상태는 값(NONCE-MNO-T)에 링크되고 모든 추가 작용들은 중지되어, TSS-MNO-S를 비활성화시킨다. 적용가능한 경우에, 소스 시스템은 타겟 시스템을 재활성화시키기 위해 적합한 데이터를 제출한다는 것을 유의해야 한다.
TSS-MNO-S는 대칭 이동 키(K-M)을 발생하고, 그것의 엔티티를 직렬화하고, 그것을 K-M을 이용하여 암호화한다. K-M은 TSS-MNO-T의 수용가능한 구성에 링크된다. 링크된 키(K-M) 및 암호하된 엔티티는 타겟 플랫폼(TSS-MNO-T)에 전송된다. 이것은 특히 SRK-MNO-S와 함께 완전하게 격리된 키 계층구조(K-MNO-S), 보안 정책(SP-MNO-S) 및 요구된 SC-MNO-S를 포함한다. 이중 난스(double nonce)는 최신성을 보존하고 반복 공격을 방지하기 위해 포함된다. 상태 보고와 같은, 소스 플랫폼으로의 임의의 복귀 메시지는 NONCE-MNO-S가 메시지 최신성을 유지할 것을 요구한다.
Figure pct00027
(식 21a)
Figure pct00028
(식 21b)
마지막으로, 타겟 서브시스템(TSS-MNO-T)은 수신된 K-M을 해독하고 자신의 고유한 SRK로서 SRK-MNO-S를 사용한다. 이 서브시스템은 수신된 보안 정책(SP-MNO-S) 및 서브시스템 구성(SC-MNO-S)을 검사한다. 이 정보를 이용하여 TSS-MNO-T는 소스 서브시스템의 내부 구조를 형성한다.
TSS-MNO-T가 성공적으로 완료된 후 타겟 플랫폼은 상태 보고를 소스 시스템에 송신하고 적합한 경우엔, 플랫폼 증명을 소스 시스템에 송신한다.
소스 플랫폼(TSS-MNO-T)은 보안에 민감한 모든 데이터를 삭제하거나 이것들을 영구적으로 사용불가능한 것이 되게 한다. 이 소스 시스템은 그러면 상태 보고서를, 적용할 수 있으면, 타겟 시스템에 송신하고 및/또는 플랫폼 증명을 수행한다.
도 7의 이동 프로세스에서, 실제적으로 소스 및 타겟 MNO는 동일한 것으로 가정된다. 이 제한은 동일한 프로토콜의 다른 변형에서 제거될 수 있고 동시에, 소스로부터 타겟으로 TSS-MNO의 직렬화된 엔티티를 송신할 필요성을 동시에 제거한다. 이를 위해, 타겟에 대한 이동 서비스는 타겟상에 TSS가 반드시 존재할 필요는 없는, 지정된 타겟(MNO-B-T)를 이용하여 소스(TSS-MNO-A-S)로부터 인가된 이동 요구를 수신할 수 있다. 이 경우 타겟은 먼저 TSS-MNO-B-T를 설치하기 위해 MNO-B를 이용하여 원격 소유권 차지 절차를 호출한다. 이동 프로토콜은 본질적으로 변경되지 않은 상태로 실행될 수 있지만, TSS-MNO-A-S의 직렬화된 엔티티의 송신을 생략하고, 대신에 MNO-B, 특히 소스 vSIM의 IMSI와 협동하여 기타 소망하는 기능, 네트워크 액세스 및 요금 청구에 필요한 TSS의 교환불가능한 부분만을 송신한다. IMSI의 이동에 관해, 가입자는 새 IMSI가 생성되어 MNO-B에 의해 사용되는 경우에도 오래된 고유한 가입 번호(MSISDN)을 유지할 수 있다.
도 8은 도 2의 신뢰성있는 모바일 플랫폼의 소프트웨어 기반 인가 크리덴셜을 사용하여 셀 기반 통신 네트워크에 대한 통신 가입자(802)의 액세스를 허용하기 위한 제1 절차를 수행하도록 구성된 통신 시스템의 예를 도시한다. 도 8의 접근법은 통신 가입자(802)가 소프트웨어 기반 액세스 인가 크리덴셜을 사용하여 무선 통신 네트워크에 액세스하는 것을 허용한다.
가상 소프트웨어 기반 액세스 인가 크리덴셜의 주요 목적은 무선 통신 네트워크에서 가입자 인증을 위해 종래의 보안 카드(SIM 카드)에 대해 기능적인 대체를 보장하는 것이다. 종래의 SIM 기능에 대한 대체를 제공하는 주요 목적외에, 이 절차는 액세스 인가 크리덴셜을 명시된 신뢰성있는 플랫폼 구성에 링크시키는 것이다.
모든 가입자 관련 방법들은 서비스(vSIM-CORE)의 사용에 의해 그리고 TSS-MNO내부에서 수행된다. GSM 표준 A3 및 A8에 대한 알고리즘이 하기에 예를 위해 나타내었지만, 유사한 기술이 기타 무선 기술의 인증 알고리즘에도 마찬가지로 사용될 수 있다. 하기에 제시된 예에서,이 알고리즘들은 가입자 인증 및 키 발생에 대한 책임이 있다. 통신 채널을 보안화하기 위한 알고리즘 A5/3은 TSS-DM내에 통합된다.
도 8의 절차를 시작하기 전에, MTP(200)는 초기 기동 프로세스를 수행하였고 신뢰성있는 운영 시스템 및 신뢰성있는 서비스를 로딩한 것으로 가정된다. 이 절차는 특히 서비스(vSIM-CORE 및 vSIM-MGMT)의 인스턴스화를 포함한다. 설치된 하드웨어 및 실행되는 소프트웨어가 신뢰성있는 상태 및 구성에 있도록 플랫폼의 신뢰성있음 여부가 검사된다. MTP는 인가 엔티티에 의해 질의되었을 때 상기 상태를 보고 및 증명할 수 있다.
상기 절차는 두 단계(Phase)로 나뉜다. 단계 1은 서비스(vSIM-CORE 및 vSIM-MGMT)를 초기화하기 위한 프로토콜을 구성한다. 가입자 인증은 예를 들어, 단계 2에서 수행되는데, 이 단계는 예로서 GSM 표준을 고려하고 vSIM 크리덴셜을 사용하여, MNO와 디바이스간에 발생하는, 인증 프로토콜 메시지에 대한 변경없이 인증 알고리즘을 수행한다.
단계 1은 로컬 사용자가 vSIM 서비스를 초기화하고 인증을 수행할 때 시작한다. 이를 위해, 사용자(802)는 단계(850)에서, 그들의 분명한 식별자(ID-U)를 올바른 패스워드(CHV-U)와 함께 vSIM-MGMT에 전송한다.
서비스(vSIM-MGMT)는 송신된 사용자 데이터를 검사하고, 그 검사가 성공적이면 단계(852)에서, 각각의 신원 크리덴셜(vSIM 크리덴셜의 사용자 관련부분)을 보호된 저장 영역으로부터 로딩한다. 이 신원 크리덴셜은 특히 사용자(U)(802)의 서명 키를 포함한다.
Figure pct00029
(식 22)
서비스(vSIM-MGMT)는 그후 서비스(vSIM-CORE)의 신뢰성있는 인터페이스에 연결되고 단계(854)에서, 초기화 요구를 vSIM-CORE에 전송한다. vSIM-CORE가 이 요구를 수신한 후 vSIM-CORE는 단계(856)에서, 무작위값(RAND-AUTH)을 발생하고 이 값을 인증 메시지로서 서비스(vSIM-MGMT)에 전송한다.
Figure pct00030
(식 23)
서비스(vSIM-MGMT)는 사용자(U)의 서명키의 각각의 비밀 부분을 사용하고, 인증 메시지(RAND-AUTH)에 서명하고, 그리고 이 값을 서비스(vSIM-CORE)에 전송한다.
Figure pct00031
(식 24)
vSIM-CORE가 서명된 메시지를 수신하자 마자, vSIM-CORE는 메시지 상태를 검사한다. 성공적인 검사 후, 서비스(vSIM-CORE)는 vSIM 크리덴셜의 가입자 관련부분을 해독하고 GSM 알고리즘 A3 및 A8을 초기화한다. 초기화를 위해, vSIM-CORE는 단계(858)에서, vSIM 크리덴셜의 가입자 데이터(IMSI-i 및 Ki)를 사용한다.
단계 2는 vSIM-CORE가 (TSS-DM을 통하여) MNO와 간접적으로 통신할 때 시작한다. 수반되는 통신 당사자간의 통신은 투명하게 발생한다. 이를 위해 TSS-DM(202)은 이 메시지들을 서비스(vSIM-CORE)와 MNO(806)간에 중계하는 적합한 방법 및 서비스를 제공해야 한다.
하기의 프로토콜 시퀀스는 GSM 네트워크에서 vSIM 기반 인증 방법을 나타내고, 예로서만 제공된다. 먼저, MTP가 인증 방법을 초기화하고, 이를 위해 명령(GSM_AUTH_ALGORITHM)을 TSS-MNO의 서비스(vSIM-CORE)에 전송한다.
그 다음엔, MTP(200)는 단계(860)에서, TSS-TM을 통한 네트워크(806)로의 액세스를 확립한다. 이제, 가입자 인증이 하기 절차에 따라 단계(862)에서, 수행된다. 이를 위해, TSS-MNO(204)는 식별자(IMSI-i 또는 TMSI-i)를 MNO에 전송한다.
Figure pct00032
(식 25)
MNO(806)는 내부적으로 일련의 인증 3종 정보(authentication triplet)를 발생한다. 이 3종 정보는 인증 요구(RAND-i), 임시 세션 키(Kc) 및 예상 인증 응답(SRES)을 포함한다. Kc 및 SRES는 GSM A3/A8 알고리즘을 사용하여 계산된다. MNO(806)는 인증 요구(RAND-i)를 이용하여 MTP(200)에 응답한다.
Figure pct00033
(식 26)
RAND-i는 TSS-DM(202)에 의해 TSS-MNO의 서비스(vSIM-CORE)에 중계된다. 그러면 vSIM-CORE는 키(Ki)와 함께 A3 알고리즘을 사용한다. A3 알고리즘의 결과는 인증 응답(SRES*)이다.
vSIM-CORE는 이 메시지(SRES*)를 MNO에 전송한다.
Figure pct00034
(식 27)
마지막으로, MNO는 SRES를 SRES*에 대해 비교한다. 이들이 동일하면, 가입자는 인증된 것으로 간주된다. vSIM-CORE 및 MNO는 공유된 세션 키(Kc)를 추정하고 Kc를 TSS-DM에 송신한다. TSS-DM은 그러면 보안 통신 채널을 확립하기 위해 Kc를 수락한다.
도 9 및 10은 도 2의 신뢰성있는 모바일 플랫폼(200)의 원격 증명을 사용하여 셀 기반 통신 네트워크에 사용자가 액세스하는 것을 허용하는 제2 절차를 수행하도록 구성된 통신 시스템의 한 예를 나타낸다. 도 9에, 일반적인 통신 도메인(915), 일반적인 통신 도메인(915)의 범위내에 있는 보다 작은 MNO 도메인(910)이 도시되어 있다. 네트워크(918)는 또한 개별적인, MNO와 관련된 가입에 종속적인 서비스(920), 가입에 독립적인 서비스(925), 및 위치 기반 서비스 및/또는 무선 근거리 영역 네트워크(WLAN)과 같은 기타 서비스(930)를 포함한다.
도 8의 절차와 비교하여, 이 절차는 공용 서비스와 같은, 가입자 무관 및/또는 가입에 독립적인 무료 또는 선택적인 서비스들을 사용하기 위해 네트워크에 대한 액세스를 보장하기 위해 플랫폼 증명에 대한 기술적인 가능성을 사용한다.
종래의 SIM기능에 대한 대체를 제공하는 주요 목적외에, 이 제2 절차는 액세스 인가 크리덴셜을 지정된 신뢰성있는 플랫폼 구성에 링크시키고, MNO와 MTP간에 상호 인증을 제공한다. 또한, 이 제2 절차는 SIM 로크와 같은 미세 조정된 기능 제한이 있는 일반 통신 도메인에서 가입에 독립적인 서비스 및/또는 가입자 무관 서비스들에 대한 코어 네트워크 액세스, 및 서비스에 대한 동적인 다운그레이드/업그레이드를 제공한다.
도 9에 도시된 바와 같이, 일반적으로 액세스가능한 통신 도메인내의 모든 디바이스들은 코어 네트워크의 (MNO에 대해) 가입에 독립적인 서비스 및/또는 가입자 무관 서비스를 사용할 수 있거나 액세스할 수 있다. 이러한 서비스들은 예를 들어, 위치 기반 서비스 또는 WLAN 기반 인터넷 액세스일 수도 있다. 모바일 전화가 일반 통신 도메인과 연관되는 경우에, 모바일 전화는 코어 네트워크에 대한 액세스를 획득하기 위해 증명 매커니즘을 사용한다.
MNO의 가입자 인증된 지역(가입에 종속적인 MNO 서비스)으로의 천이는 vSIM 크리덴셜의 사용자에 의해 가입자 인증의 성공적인 완료를 필요로 한다. MTP는 따라서 MNO에 의해 제공된 특정한 통신 서비스의 지역내에 있는 서비스들에 대해서 뿐만 아니라 코어 네트워크에 의해 제공된 서비스에 대해서도 액세스 권한을 갖는다.
도 10은 도 2의 MTP(200)의 원격 증명을 사용하여 셀 기반 통신 네트워크에 대한 통신 가입자(802)의 액세스를 허용하기 위한 또 다른 절차를 수행하도록 구성된 통신 시스템의 예를 도시한다. 이 절차를 시작하기 전에, MTP(200)는 초기 기동 프로세스를 수행하였고 신뢰성있는 운영 시스템 및 신뢰성있는 서비스를 로딩한 것으로 가정된다. 이 절차는 특히 서비스(vSIM-CORE 및 vSIM-MGMT)의 인스턴스화를 포함한다. 설치된 하드웨어 및 실행되는 소프트웨어가 신뢰성있는 상태 및 구성에 있도록 플랫폼의 신뢰성있음 여부가 검사된다. MTP(200)는 인가 엔티티에 의해 질의되었을 때 상기 상태를 보고 및 증명할 수 있다.
도 10에 도시된 절차는 3개 단계들로 나뉜다. 이 절차의 제1 단계는 코어 네트워크로의 액세스를 설명한다. 이 절차는 플랫폼 증명 및 티켓팅 매커니즘을 사용한다. 제2 단계에서는 vSIM 크리덴셜이 초기화된다. 마지막으로, 제3 단계는 가입자 인증을 위한 방법을 구현한다.
제1 단계는 MTP(200)가 디바이스의 기본 인증을 초기화할 때 시작한다. 이를 위해, 신뢰성있는 실행 환경(TSS-DM)(202)은 플랫폼 증명 및 디바이스 인증을 MNO(1006)에 보낸다. 단계(1050)에서, TSS-DM(202)은 이 요구를 수행하여 각각의 네트워크 액세스 포인트(NAP-MNO)(1002)에 연결한다. 이를 위해 TSS-DM(202)은 무작위값(RAND-BASE)을 발생하고 플랫폼 증명을 수행한다. 기본 인증 서비스는 그러면 실행 환경(TSS-DM)(202), 무작위값(RAND-BASE), 증명 데이터, 그것의 인증서(Cert-DM)를 네트워크 액세스 포인트(NAP-MNO)에 전송한다.
Figure pct00035
(식 28)
이 요구가 NAP-MNO에 수신되자 마자, NAP-MNO는 MTP(200)의 상태를 검사한다. 무결성 검사가 실패하거나 어떠한 수락된 참조 상태도 발견되지 않는 경우, NAP-MNO는 프로토콜을 종료하고 에러 메시지로 응답한다. 플랫폼에 대한 검증이 성공적이면, MTP(200)는 신뢰성있는 것으로 간주된다.
NAP-MNO의 공인된 엔티티는 그러면 세션키(K-BASE)(1052)와 함께 네트워크 티켓을 발생한다. 이러한 엔티티는 예를 들어, 모바일 네트워크 제공자(MNO)의 일부일 수 있는 인증 센터(AUC-MNO)일 수 있다. K-BASE는 MTP와 NAP-MNO간에 터널을 확립하는 최소로 사용된 세션키이다. 이 터널은 대부분의 데이터 암호하 작업량을 수행하는 트래픽을 우선하는 키의 배분을 보호하기 위해 사용될 수 있다. 이 키의 선택은 인증 신뢰성있는 써드 파티에 의해 행해진다.
티켓은 본질적으로 하기의 정보, 디바이스와의 직접 통신에 수반되는 PLMN 엔티티(AuC, VLR, HLR등)를 식별하는 REALM 및 티켓 만료값(LIFETIME)을 포함한다.
Figure pct00036
(식 29)
AUC-MNO는 그러면 공개(또는 적용가능한 경우엔, 공용)키(K-NAP)를 사용하여 티켓-BASE를 암호화하고, 또한 이것을 K-TSS-DM의 공개키에 묶어서 K-BASE를 암호화하며, 단계(1054)에서, 이들 두 개 모두를 NAP-MNO에 전송한다. NAP-MNO는 단계(1056)에서, 이 정보를 클라이언트 플랫폼에 중계한다. 메시지는 각각의 공개키(K-TSS-DM) 및 유효 플랫폼 구성과 함께 신뢰성있는 서브시스템(TSS-DM)(202)에 링크된다. TSS-DM(202)은 자체적으로 티켓-BASE를 해독할 수 없는 데 이는 티켓이 비밀 K-NAP 및 이것을 갖지 않는 TSS-DM(202)을 사용하여서만 해독할 수 있기 때문임을 유의해야 한다. 오히려, TSS-DM(202)은 암호화된 티켓-BASE를, 암호화된 티켓-BASE가 해독될 수 있는 나중 단계에서 NAP-MNO에 전달한다.
Figure pct00037
(식 30a)
Figure pct00038
(식 30b)
Figure pct00039
(식 30c)
TSS-DM(202)은 서명된 데이터를 수신하자 마자, 단계(1058)에서, 서명된 값(RAND-BASE)의 상태를 검사한다. 이 정보가 유효하지 않거나 거절되면, 서브시스템은 에러 메시로 응답하고 프로토콜을 종료한다. 또다른 경우엔, AUC-MNO는 인증 응답에 의해 증명된다.
TSS-DM(202)은 그후 세션키(K-BASE)를 해독하고 인증자(A-MTP)와 함께 암호화된 티켓-BASE를 NAP-MNO에 전송한다. 본 예에서와 같은 경우, 인증자(A-MTP)는 플랫폼 신원(ID-MTP), 현재 네트워크 주소(ADDR), 및 타임 스탬프(TIME)로 구성된다.
Figure pct00040
(식 31)
티켓 베이스(티켓-BASE)는 TSSDM에 의해 단순히 티켓 베이스가 해독되는 네트워크에 전달된다. NAP-MNO가 암호화된 티켓을 수신했을 때, NAP-MNO는 임베드된 정보를 검증한다. K-NAP의 공개 부분을 사용하여 티켓-BASE를 암호화함으로써, 효과적인 바인딩이 발생한다. 특히, 상기 티켓의 일부로서 K-BASE는 NAP에 바인딩된다. 상태가 유효한 것이면, 플랫폼은 증명되고일반적인 서비스에 대한 액세스가 승낙된다. 제한된 용도의 세션키(K-BASE)는 이제 MTP(200)와 NAP-MNO 모두에 바인딩되어 이 두 엔티티간에 보안 채널을 설정한다.
단계 2의 절차는 도 8의 절차의 단계들(850-858)과 유사하다.
단계 3을 완료하기 위한 두 옵션이 있는 데, 제1 옵션은 예로서, GSM 표준과의 양립성을 이용하여 가입자 인증을 수행한다. 추가로, 단계(1070)에서, 키(K-BASE)는 NAP-MNO 및 MTP의 측에서 세션키(Kc)로 대체된다.
이 시점에서, 상호 인증이 AUC-MNO와 U간에 수행된다. AUC-MNO는 단계(1056)에서, 서명된 인증 요구에 의해 증명된다. 다른 측에서는, 사용자(1008)는 SRES로 자신의 신원을 검증한다. AUC-MNO와 U(1008)간의 인증은 유효 메시지 키(Kc)에 의해 묵시적으로 검증된다.
이 방법은 단계(1056)에서, RAND-i를 미리 암호화된 키 메시지에 임베드시킴으로써 최적화될 수 있다. 이 경우, vSIM-CORE는 이 메시지로부터 RAND-i를 추출하고, 인증 응답(SRES)를 계산하여, 두 개의 결과 모두를 MNO에 전송한다. MNO는 내부적으로 예상된 SRES 및 대응하는 세션키(Kc)를 발생한다.
이 엔티티들에 대한 명시적인 인증이 요구되는 때에 추가의 단계들이 수행되어야 한다. NAP는 하기의 절차에 의해 플랫폼에 대해 증명된다. 먼저, NAP는 인증자(Au)로부터 타임 스탬프를 제거한다. NAP는 그후 그 값을 증가시켜서, 고유 세션키(Kc)(또는 동일한 것으로부터 유도된 키)를 이용하여, 그것을 암호화한다. 마지막으로, NAP는 그 메시지를 MTP에 전송한다.
단계 3에 대한 두번째 옵션(도시되지 않음)에서, 인증 방법은 GSM 인증 표준에서 벗어날 수 있다. 이 변형은 PLMN에 대해 보안을 상당히 증가시키는, 약간 수정된 인증 방법을 제공한다. 특히, 신호 시스템 7(SS7)에서 프로토콜 에러는 상기 설명한 방식으로 방지될 수도 있다.
하기 설명하는 변형은 단계 1 로부터 코어 네트워크 액세스에 대해 협의된 이전 정보를 사용한다. 종래의 GSM 인프라구조에서, 인증 3종 데이터는 SS7 네트워크를 통하여 전송된다. 이 3종 정보는 해결해야 할 난제(challenge)인 RAND, 올바른 응답(SRES), 및 메시지(Kc)를 포함한다.
모바일 통신 네트워크에 대한 초기 액세스가 메시지 키(K-BASE)에 의해 확립되었지만, 이 키의 재생은 필수적인 사항은 아니다. 이것은 특히 세션키(Kc)의 임베딩에 적용된다. 이렇게하여, 보호되지 않은 세션 키의 송신이 방지된다.
이 옵션의 기본적인 목적은 키(K-BASE)에 기초하여 보호되는 NAP-MNO와 MTP간의 종래의 통신 터널을 사용하는 것이다. 세션 키를 재생하는 대신, MNO는 각각의 네트워크 액세스 포인트(NAP 및 MTP)에 서비스 갱신 메시지만을 전송한다.
현재의 PLMN에서, 예를 들어, GSM 또는 UMTS 시스템에서 IMSI번호로 표현된, 네트워크 가입자에 대한 주소 공간은 부족하기 쉽다. 티켓에 기초한 네트워크 액세스 방법은 이러한 문제를 해결하는 방법이다. 이를 위해, IMSI 정보(또는 유사한 네트워크 가입자 ID)는 TSS-DM에 의해 NAP-MNO로 전달된 MTP 신원과 함께 사용될 수 있거나, 또는 TSS-DM이 획득하여 NAP-MNO에 전달할 수 있는 신원을 담고 기타 있는 임의의 기타 정보와 함께, 사용될 수 있다. 상기 프로토콜이 성공되었고 요구하는 MTP가 네트워크 액세스 권한을 얻은 후엔, NAP-MNO는, 동일한 IMSI를 갖는 통신을 현재의 ADDR 데이터에 올바르게 매핑시켜서 이에 따라 올바른 엔티티에 매핑시키기 위해, 디바이스로부터 발생하거나 이 디바이스로 보내진 서비스 요구에 능동적으로 연루된다. ADDR 데이터는, GSM 또는 UMTS 시스템의 관점에서, IMSI 또는 TMSI일 수 있다는 것을 유의해야 한다. NAP-MNO는 PLMN 기지국의 기존의 신원식별 방법을 확장시킨다.
이 방법은 특히 예를 들어, 머신 투 머신 통신의 경우에, 또는 단일 관계자에 속하는 디바이스 무리에 대해 그룹 IMSI 주소지정을 확립하는 데에 사용될 수 있다.
또한, 동일 디바이스에 대한 하나 이상의 네트워크 액세스 티켓은 상이한 서비스 레벨 또는 요금에 대해, 동시에 유효할 수도 있고, 티켓-BASE내의 추가 정보에 의해서도 또한 표시될 수 있다. 이러한 추가의 신원 정보는 또한 동일한 또는 상이한 MTP상에서 동일한 IMSI를 공유하는 상이한 vSIM 엔티티 및/또는 사용자를 식별하는 데에 사용될 수도 있다.
티켓은 또한, 예를 들어, 소정 서비스에 대한 액세스가능한 기간, 또는 그 기간 동안 특정한 요금을 결정하는 유효 기간 정보에 관한 정보에 의해서도 증대될 수 있다. NAP 또는 또 다른 엔티티는 그러면 티켓 신원 및 이와 연관된 공지된 유효 기간에 기초하여 상기와 같은 시간 제한된 서비스에 대해 결정하기 위한 타스크를 획득하고 그러한 서비스에 대한 결정을 행한다.
도 11은 일반 네트워크 인프라구조에 대한 가입자 인증에 대한 제3 절차를 도시한다. 도 11의 절차에 대해, vSIM 크리덴셜의 가입자 관련부부의 구조적 설계및 신뢰성있는 vSIM-CORE의 기능성 및 통합된 알고리즘은 일정한 요구사항에 충실해야 한다.
도 11의 vSIM 크리덴셜은 주체의 신원에 기초한 액세스 인가 크리덴셜이다. 2G/3G 구조적 몰드에 제한되지 않는, 이 액세스 인가 크리덴셜은 도 8 및 10의 대응부분의 일반화이고 통신 가입자의 신원을 증명하는 데에 사용된다. vSIM 크리덴셜은 암호 암호화 매커니즘(예를들어, 대칭 또는 비대칭 키) 또는 비암호 암호화 매커니즘(예를들어, 일방향 해시 체인)에 기초하여 적어도 하나의 정보 품목 및 주체(U)(1110)의 고유 식별자(ID-U)를 포함한다. 인가된 주체들만이 vSIM 크리덴셜을 발생 또는 판독하거나 포함된 정보를 수정할 수 있다. vSIM 크리덴셜은 디바이스 엔티티 또는 유효 애플리케이션 영역의 리스트와 같은 추가 정보를 포함할 수 있다.
MTP(1108)는 별개의 보호된 실행환경에서 실행되는 vSIM-CORE 서비스를 인스턴스화한다. 서비스(vSIM-CORE)는 가입자 인증의 코어 기능에 대해 책임이 있다. 특히, 이 서비스는 실제 인증 매커니즘을 수행한다. 매커니즘 또는 절차의 특정한 설계는 특정한 애플리케이션에 좌우된다. 서비스(vSIM-CORE)는, 가능성있게는 특정한 사용자 경우에 기초하여 신뢰성있는 기능성을 불러올 수 있고, 기타 (외부의) 신뢰성있는 서비스를 제공할 수도 있다. vSIM-CORE는 vSIM 크리덴셜의 적어도 하나의 가입자 관련 부분도 포함한다.
도 11의 절차를 수행하기 전에, MTP(1108)은 초기 설정 프로세스를 수행하였고 신뢰성있는 운영 시스템 및 신뢰성있는 서비스를 로딩하였다. 이것들은 특히 서비스( vSIM-CORE 및 vSIM-MGMT)의 인스턴스화를 포함한다. 설치된 하드웨어 및 실행되는 소프트웨어가 신뢰성있는 상태 및 구성에 있도록 플랫폼의 신뢰성있음이 검사된다. MTP는 인가된 엔티티에 의해 질의되었을 때 상기 상태를 보고 및 증명할 수 있다.
도 11의 절차는 3개 단계로 나뉜다. 단계 1(1120)은 원격 증명이다. 단계 2(1130)는 vSIM 크리덴셜의 초기화이다. 단계 3(1140)은 가입자 인증 절차이다.
단계 1(1120)에서, 플랫폼 증명은 상기 예를 들어 설명한 바와 같이, 디바이스 인증을 수행하는 데에 사용된다. 도 11에 제공된 일반적인 사례에서, 네트워크 엔티티(MNO)(1112)는 일반 네트워크 인프라구조의 각각의 엔티티로 대체된다. 이러한 엔티티는 예를 들어 이 네트워크 내에 있는 인증 서버(ALS; authentication server)일 수 있고, 이 서버는 반드시 2G 또는 3G 기술에 부합해야 하는 것은 아니지만 LTE(long term evolution)과 같은 미래의 네트워크에 적용될 수 있다.
단계 2(1130)에서, vSIM 서비스 및 vSIM 크리덴셜의 초기화가 도 10의 단계 2의 절차와 유사한 방식으로 수행된다. 그러나, 이 절차는 일반화된 가정에 기초하며, 따라서 추가의 인증 방법 및 프로토콜에 대해 더욱 광범위한 기준이 될 수 있도록 한다.
단계 3(1140)은 ALS에 의해 제공된 서비스에 대한 소정 가입자를 인증 및 인가하기 위한 가입자 인증 절차이다. 대조적으로, 도 8 및 10의 절차들은 공유 비밀 정보(GSM 마다 대칭 키(Ki))의 가입자 인증에 대한 절차에 제한된다. 특히, 이 제한은 도 11의 일반 절차에는 존재하지 않는다. 따라서, 도 11의 절차에서, 어떠한 공유 비밀도 채용되지 않으며 인증 프로세스는 전체적으로 인증서 기반 비대칭 암호화 기술을 기초로 한다. 예를 들어, 인증기관(CA; certificate authotity)과 함께 디피헬만(Diffie-Hellman) 알고리즘을 사용하여, 키 교환은 신뢰성있는 엔티티들간에 발생한다. 이러한 시나리오에서, 당사자들은 CA에 의한 검증에 상호 신원을 요구한다.
단계 3(1140)에서, 무작위값(RAND-SRV)은 ALS상에서의 서비스의 확장을 요구하는 데에 사용된다. TE-MNO는 티켓-BASE로부터 RAND-SRV를 추출한다. TSS-MNO는 그러면 인증 응답(XRES*-SRV)를 생성하고 RAND-SRV에 그것의 개인 서명 키(K-pr로 TM-AS)로 서명한다. UID 및 서비스 식별자(SRV)와 함께, 이 서명(XRES*-SRV)은 ALS에 전송된다. ALS는 이메시지를 수신하자 마자, XRES*-SRV의 서명을 검증한다. 이 서명이 유효하면, 플랫폼은 증명되고 서비스 확장이 수행된다.
특징들 및 요소들이 실시예들에서 특정 조합으로 설명되어 있지만, 각각의 특징 또는 요소는 실시예들의 다른 특징들 및 요소들 없이 단독으로, 또는 다른 특징들 및 요소들을 갖고 또는 갖지 않고 여러 조합들로 이용될 수 있다. 여기에 제공된 방법들 또는 흐름도들은 범용 컴퓨터 또는 프로세서에 의한 실행을 위해 컴퓨터 판독가능 저장 매체에서 실체적으로 구현되는 컴퓨터 프로그램, 소프트웨어, 또는 펌웨어로 실행될 수 있다. 컴퓨터 판독가능 저장 매체들의 예들은 판독 전용 메모리(ROM), 무작위 액세스 메모리(RAM), 레지스터, 캐시 메모리, 반도체 메모리 디바이스, 내부 하드 디스크 및 착탈 가능 디스크와 같은 자기 매체, 자기 광학 매체, 및 CD-ROM 디스크 및 디지털 다기능 디스크(DVD)와 같은 광학 매체를 포함한다.
적절한 프로세서들은 예를 들어, 범용 프로세서, 특수 목적 프로세서, 통상적인 프로세서, 디지털 신호 프로세서(DSP), 복수의 마이크로프로세서, DSP 코어와 관련된 1 이상의 마이크로프로세서, 컨트롤러, 마이크로컨트롤러, 응용 주문형 직접 회로(ASIC), 필드 프로그래밍가능 게이트 어레이(FPGA) 회로, 임의의 기타 유형의 집적 회로(IC), 및/또는 상태 머신을 포함한다.
소프트웨어와 관련된 프로세서는 WTRU, UE, 단말기, 기지국, 무선 네트워크 컨트롤러(RNC) 또는 임의의 호스트 컴퓨터에 이용하기 위한 무선 주파수 트랜시버를 구현하는데 이용될 수 있다. WTRU는 카메라, 비디오 카메라 모듈, 비디오폰, 스피커폰, 바이블레이션 디바이스, 스피커, 마이크로폰, 텔레비젼 트랜시버, 핸드 프리 헤드셋, 키보드, 블루투스® 모듈, 주파수 변조(FM) 무선 유닛, 액정 디스플레이(LCD) 표시 유닛, 유기 발광 다이오드 (OLED) 표시 유닛, 디지털 뮤직 플레이어, 미디어 플레이어, 비디오 게임 플레이어 모듈, 인터넷 브라우저, 및/또는 임의의 무선 근거리 통신 네트워크(WLAN) 모듈 또는 초광대역(UWB) 모듈과 같이, 하드웨어 및/또는 소프트웨어로 구현되는 모듈과 결합하여 이용될 수 있다.
실시예들
1. vSIM-코어 신뢰성있는 실행 환경 및 vSIM-관리(vSIM-MGMT) 신뢰성있는 실행 환경을 갖는 모바일 신뢰성있는 프로세서(MTP; mobile trusted trusted processor)상에서, 가상 가입자 식별 모듈(vSIM; virtual subscriber identity module)을 등록 및 수신하는 방법에 있어서, 등록을 위한 요구 및 티켓을 신뢰성있는 판매시점(POS; point of sale)에 전송하는 것, 상기 요구에 응답하여 신뢰성있는 POS로부터, 및 기타 신뢰 검증 절차로부터 티켓을 수신하는 것을 포함하는 것인, 상기 등록 및 수신하는 방법.
2. 실시예 1에서, POS와의 신뢰성있는 관계를 확립하는 것을 더 포함하는 것인, 상기 등록 및 수신하는 방법.
3. 실시예 1 또는 2에서, 신뢰성있는 관계를 확립하는 것은 POS로 증명 절차를 수행하는 것을 포함하는 것인, 상기 등록 및 수신하는 방법.
4. 실시예 1 내지 3 중 어느 한 실시예에서, 신뢰성있는 관계를 확립하는 것은 POS로 인증 절차를 수행하는 것을 포함하는 것인, 상기 등록 및 수신하는 방법.
5. vSIM-코어 신뢰성있는 실행 환경 및 vSIM-관리(vSIM-MGMT) 신뢰성있는 실행 환경을 갖는 모바일 신뢰성있는 프로세서(MTP; mobile trusted trusted processor)에, 가상 가입자 식별 모듈(vSIM; virtual subscriber identity module)을 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법에 있어서, MTP로부터 티켓 및 등록을 위한 요구를 수신하는 것, 등록 티켓을 선택하는 것, MTP에 관한 가입자 등록 데이터 및 등록 티켓에 대한 요구를 전송하는 것, MNO로부터 등록 티켓을 수신하는 것, 및 등록 티켓을 MTP에 전송하는 것을 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
6. 실시예 1에서, 상기 POS는 신뢰성있는 POS인 것인 방법.
7. 실시예 1 내지 6 중 어느 한 실시예에서, MTP에 관한 가입자 등록 데이터 및 등록 티켓에 대한 요구를 전송하는 것은 증명 데이터를 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
8. 실시예 1 내지 7 중 어느 한 실시예에서, MNO와 신뢰성있는 관계를 확립하는 것을 더 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
9. 실시예 1 내지 8 중 어느 한 실시예에서, MTP와 신뢰성있는 관계를 확립하는 것을 더 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
10. 실시예 1 내지 9 중 어느 한 실시예에서, 수신된 티켓 요구는 공개 암호화 키의 적어도 일부를 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
11. 실시예 1 내지 10 중 어느 한 실시예에서, MTP에 관한 가입자 등록 데이터 및 등록 티켓에 대한 요구는 인증을 위한 서명을 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
12. 실시예 1 내지 11 중 어느 한 실시예에서, 등록 티켓은 증명 정보를 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
13. 실시예 1 내지 12 중 어느 한 실시예에서, 등록 티켓은 인증 정보를 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
14. 실시예 1 내지 13 중 어느 한 실시예에서, 등록 티켓은 서명된 인증서를 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
15. 실시예 1 내지 14 중 어느 한 실시예에서, MTP와 비대칭 키 쌍을 확립하는 것을 더 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
16. 실시예 1 내지 15 중 어느 한 실시예에서, 수신된 등록 티켓은 암호화되는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
17. 실시예 1 내지 16 중 어느 한 실시예에서, POS는 신뢰되지 않은 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
18. 모바일 신뢰성있는 플랫폼(MTP; mobile trusted platform)에 있어서, MTP의 제조자에 관한 크리덴셜을 저장 및 제공하도록 구성된 디바이스 제조자 신뢰성있는 서브시스템(TSS-DM; device manufacture-trusted subsystem), 모바일 네트워크 오퍼레이터(MNO; mobile network operator)에 관한 크리덴셜을 저장 및 제공하도록 구성된 모바일 네트워크 오퍼레이터 신뢰성있는 서브시스템(TSS-MNO; mobile network operator-trusted subsystem) 및 MTP의 사용자에 관한 크리덴셜을 저장 및 제공하도록 구성된 디바이스 사용자 신뢰성있는 서브시스템(TSS-U; device user-trusted subsystem)을 포함하는 것인, 모바일 신뢰성있는 플랫폼.
19. 실시예 18에서, TSS-MNO는 MNO에 관한 크리덴셜 정보를 저장, 제공 및 처리하도록 구성된, 가상 가입자 식별 모듈(vSIM; virtual subscriber identity module) 코어 서비스 유닛을 포함하는 것인, 모바일 신뢰성있는 플랫폼.
20. 실시예 18 또는 19에서, TSS-DO는 MTP의 사용자에 관한 크리덴셜을 저장, 제공 및 처리하도록 구성된, 가상 가입자 식별 모듈(vSIM; virtual subscriber identity module) 관리 유닛을 포함하는 것인, 모바일 신뢰성있는 플랫폼.
21. 실시예 18 내지 20 중 어느 한 실시예에서, TSS-DO와 TSS-MNO는 가상 가입자 식별 모듈(vSIM; virtual subscriber identity module) 서비스를 통하여 통신하는 것인, 모바일 신뢰성있는 플랫폼.
22. 실시예 18 내지 21 중 어느 한 실시예에서, MTP의 제2 사용자에 관한 크리덴셜을 저장, 제공 및 처리하도록 구성된 제2 TSS-U를 더 포함하는 것인, 모바일 신뢰성있는 플랫폼.
23. 실시예 18 내지 22 중 어느 한 실시예에서, MTP의 소유자에 관한 크리덴셜을 저장, 제공 및 처리하도록 구성된 디바이스 소유자 신뢰성있는 서브시스템 TSS-DO를 더 포함하는 것인, 모바일 신뢰성있는 플랫폼.
24. 실시예 18 내지 23 중 어느 한 실시예에서, 제2 MNO에 관한 크리덴셜을 저장, 제공 및 처리하도록 구성된 제2 TSS-MNO를 더 포함하는 것인, 모바일 신뢰성있는 플랫폼.
110; 사용자 U/ 디바이스 소유자 DO
140; 네트워크 서비스 제공자(MNO)
150 세일즈 포인트(POP/POS) 155; 등록/등재
160; 가입자 등록 165; vSIM 크리데셜(가입자 관련)의 전달
170; 사용자 인증
200, 300; 신뢰성있는 시스템
202, 302; 신뢰성있는 엔진 #1 디바이스 제조자(DM)
210a, 210b, 210c, 310a, 310b, 310c, 310d ; 정상 서비스 | 인터페이스
204, 304; 신뢰성있는 엔진 #2 네트워크 서비스 제공자(MNO)
212a, 212b, 212c, 312a, 312b, 312c, 312d; 인터페이스 신뢰성있는 서비스
214a, 214b, 214c, 314a, 314b, 314c, 314d ; 인터페이스 신뢰성있는 자원
206; 신뢰성있는 엔진 #3 디바이스 소유자(DO)/사용자(U)
306; 신뢰성있는 엔진 #4 디바이스 사용자(U)
308; 신뢰성있는 엔진 #3 디바이스 소유자(DO)
220, 320; 인터페이스 서비스 "vSIM 코어"
222, 322; 인터페이스 서비스 "vSIM Mgmt"
323; 인터페이스 서비스 "vSIM 소유자/MGMT"

Claims (24)

  1. vSIM-코어 신뢰성있는 실행 환경 및 vSIM-관리(vSIM-MGMT) 신뢰성있는 실행 환경을 갖는 모바일 신뢰성있는 프로세서(MTP; mobile trusted trusted processor)상에서, 가상 가입자 식별 모듈(vSIM; virtual subscriber identity module)을 등록 및 수신하는 방법에 있어서,
    등록을 위한 요구 및 티켓을 신뢰성있는 판매시점(POS; point of sale)에 전송하는 것;
    상기 요구에 응답하여 신뢰성있는 POS로부터, 및 기타 신뢰 검증 절차로부터 티켓을 수신하는 것을 포함하는 것인, 상기 등록 및 수신하는 방법.
  2. 제1항에 있어서, POS와의 신뢰성있는 관계를 확립하는 것을 더 포함하는 것인, 상기 등록 및 수신하는 방법.
  3. 제2항에 있어서, 신뢰성있는 관계를 확립하는 것은 POS로 증명 절차를 수행하는 것을 포함하는 것인, 상기 등록 및 수신하는 방법.
  4. 제2항에 있어서, 신뢰성있는 관계를 확립하는 것은 POS로 인증 절차를 수행하는 것을 포함하는 것인, 상기 등록 및 수신하는 방법.
  5. vSIM-코어 신뢰성있는 실행 환경 및 vSIM-관리(vSIM-MGMT) 신뢰성있는 실행 환경을 갖는 모바일 신뢰성있는 프로세서(MTP; mobile trusted trusted processor)에, 가상 가입자 식별 모듈(vSIM; virtual subscriber identity module)을 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법에 있어서, MTP로부터 티켓 및 등록을 위한 요구를 수신하는 것, 등록 티켓을 선택하는 것, MTP에 관한 가입자 등록 데이터 및 등록 티켓에 대한 요구를 전송하는 것, MNO로부터 등록 티켓을 수신하는 것, 및 등록 티켓을 MTP에 전송하는 것을 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
  6. 제5항에 있어서, 상기 POS는 신뢰성있는 POS인 것인 방법.
  7. 제5항에 있어서, MTP에 관한 가입자 등록 데이터 및 등록 티켓에 대한 요구를 전송하는 것은 증명 데이터를 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
  8. 제5항에 있어서, MNO와 신뢰성있는 관계를 확립하는 것을 더 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
  9. 제5항에 있어서, MTP와 신뢰성있는 관계를 확립하는 것을 더 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
  10. 제5항에 있어서, 수신된 티켓 요구는 공개 암호화 키의 적어도 일부를 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
  11. 제5항에 있어서, MTP에 관한 가입자 등록 데이터 및 등록 티켓에 대한 요구는 인증을 위한 서명을 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
  12. 제5항에 있어서, 등록 티켓은 증명 정보를 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
  13. 제5항에 있어서, 등록 티켓은 인증 정보를 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
  14. 제5항에 있어서, 등록 티켓은 서명된 인증서를 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
  15. 제5항에 있어서, MTP와 비대칭 키 쌍을 확립하는 것을 더 포함하는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
  16. 제5항에 있어서, 수신된 등록 티켓은 암호화되는 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
  17. 제5항에 있어서, POS는 신뢰되지 않은 것인, 상기 등록 및 제공하기 위한 원격 판매시점(POS; point of sale)에 의해 실행되는 방법.
  18. 모바일 신뢰성있는 플랫폼(MTP; mobile trusted platform)에 있어서, MTP의 제조자에 관한 크리덴셜을 저장 및 제공하도록 구성된 디바이스 제조자 신뢰성있는 서브시스템(TSS-DM; device manufacture-trusted subsystem), 모바일 네트워크 오퍼레이터(MNO; mobile network operator)에 관한 크리덴셜을 저장 및 제공하도록 구성된 모바일 네트워크 오퍼레이터 신뢰성있는 서브시스템(TSS-MNO; mobile network operator-trusted subsystem) 및 MTP의 사용자에 관한 크리덴셜을 저장 및 제공하도록 구성된 디바이스 사용자 신뢰성있는 서브시스템(TSS-U; device user-trusted subsystem)을 포함하는 것인, 모바일 신뢰성있는 플랫폼.
  19. 제18항에 있어서, TSS-MNO는 MNO에 관한 크리덴셜 정보를 저장, 제공 및 처리하도록 구성된, 가상 가입자 식별 모듈(vSIM; virtual subscriber identity module) 코어 서비스 유닛을 포함하는 것인, 모바일 신뢰성있는 플랫폼.
  20. 제18항에 있어서, TSS-DO는 MTP의 사용자에 관한 크리덴셜을 저장, 제공 및 처리하도록 구성된, 가상 가입자 식별 모듈(vSIM; virtual subscriber identity module) 관리 유닛을 포함하는 것인, 모바일 신뢰성있는 플랫폼.
  21. 제18항에 있어서, TSS-DO와 TSS-MNO는 가상 가입자 식별 모듈(vSIM; virtual subscriber identity module) 서비스를 통하여 통신하는 것인, 모바일 신뢰성있는 플랫폼.
  22. 제18항에 있어서, MTP의 제2 사용자에 관한 크리덴셜을 저장, 제공 및 처리하도록 구성된 제2 TSS-U를 더 포함하는 것인, 모바일 신뢰성있는 플랫폼.
  23. 제18항에 있어서, MTP의 소유자에 관한 크리덴셜을 저장, 제공 및 처리하도록 구성된 디바이스 소유자 신뢰성있는 서브시스템 TSS-DO를 더 포함하는 것인, 모바일 신뢰성있는 플랫폼.
  24. 제18항에 있어서, 제2 MNO에 관한 크리덴셜을 저장, 제공 및 처리하도록 구성된 제2 TSS-MNO를 더 포함하는 것인, 모바일 신뢰성있는 플랫폼.
KR1020107008546A 2007-09-19 2008-09-19 가상 가입자 식별 모듈 KR101287227B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
DE102007044905.6 2007-09-19
DE102007044905A DE102007044905A1 (de) 2007-09-19 2007-09-19 Verfahren und Vorrichtung zur Ermöglichung einer Dienstnutzung und Feststellung der Teilnehmeridentität in Kommunikationsnetzen mittels softwarebasierten Zugangsberechtigungsausweisen (vSIM)
US12/168,791 US9253588B2 (en) 2007-09-19 2008-07-07 Virtual subscriber identity module
US12/168,791 2008-07-07
PCT/US2008/077029 WO2009039380A2 (en) 2007-09-19 2008-09-19 Virtual subscriber identity module

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020117019226A Division KR101374810B1 (ko) 2007-09-19 2008-09-19 가상 가입자 식별 모듈

Publications (2)

Publication Number Publication Date
KR20100056566A true KR20100056566A (ko) 2010-05-27
KR101287227B1 KR101287227B1 (ko) 2013-07-23

Family

ID=40417847

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020107008546A KR101287227B1 (ko) 2007-09-19 2008-09-19 가상 가입자 식별 모듈
KR1020117019226A KR101374810B1 (ko) 2007-09-19 2008-09-19 가상 가입자 식별 모듈

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020117019226A KR101374810B1 (ko) 2007-09-19 2008-09-19 가상 가입자 식별 모듈

Country Status (10)

Country Link
US (2) US9253588B2 (ko)
EP (2) EP2528301A1 (ko)
JP (4) JP2011516931A (ko)
KR (2) KR101287227B1 (ko)
CN (2) CN103067914B (ko)
AU (1) AU2008302172B2 (ko)
CA (2) CA2700317C (ko)
DE (1) DE102007044905A1 (ko)
TW (2) TWI455559B (ko)
WO (1) WO2009039380A2 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130027096A (ko) * 2011-09-06 2013-03-15 주식회사 케이티 내장 uicc 환경에서의 신뢰성 있는 sm을 이용한 가입 방법 및 내장 uicc 장치
KR20130027097A (ko) * 2011-09-06 2013-03-15 주식회사 케이티 내장 uicc 환경에서의 신뢰성 있는 sm을 이용한 가입 변경 방법 및 내장 uicc 장치
KR20130097230A (ko) * 2010-12-06 2013-09-02 인터디지탈 패튼 홀딩스, 인크 도메인­트러스트 평가 및 도메인 정책 관리 기능들을 가지는 스마트 카드
KR101396725B1 (ko) * 2010-10-28 2014-05-19 애플 인크. 액세스 컨트롤 클라이언트를 이용한 로밍을 위한 방법 및 장치

Families Citing this family (190)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090125996A1 (en) 2007-09-19 2009-05-14 Interdigital Patent Holdings, Inc. Virtual subscriber identity module
US8200736B2 (en) 2007-12-24 2012-06-12 Qualcomm Incorporated Virtual SIM card for mobile handsets
US20090191846A1 (en) * 2008-01-25 2009-07-30 Guangming Shi Biometric smart card for mobile devices
TW201012187A (en) * 2008-08-25 2010-03-16 Interdigital Patent Holdings Universal integrated circuit card having a virtual subscriber identity module functionality
EP2897341B1 (en) * 2009-04-20 2016-11-09 Interdigital Patent Holdings, Inc. System of multiple domains and domain ownership
US8606232B2 (en) * 2009-06-08 2013-12-10 Qualcomm Incorporated Method and system for performing multi-stage virtual SIM provisioning and setup on mobile devices
US8649789B2 (en) * 2009-06-08 2014-02-11 Qualcomm Incorporated Method and apparatus for switching virtual SIM service contracts when roaming
US20100311402A1 (en) * 2009-06-08 2010-12-09 Prasanna Srinivasan Method and apparatus for performing soft switch of virtual sim service contracts
US8639245B2 (en) * 2009-06-08 2014-01-28 Qualcomm Incorporated Method and apparatus for updating rules governing the switching of virtual SIM service contracts
US8634828B2 (en) 2009-06-08 2014-01-21 Qualcomm Incorporated Method and apparatus for switching virtual SIM service contracts based upon a user profile
US8811969B2 (en) * 2009-06-08 2014-08-19 Qualcomm Incorporated Virtual SIM card for mobile handsets
US8676180B2 (en) * 2009-07-29 2014-03-18 Qualcomm Incorporated Virtual SIM monitoring mode for mobile handsets
KR20120115560A (ko) 2009-10-15 2012-10-18 인터디지탈 패튼 홀딩스, 인크 가입 기반 서비스에 액세스하기 위한 등록 및 크리덴셜 롤 아웃
IN2012DN02394A (ko) * 2009-10-30 2015-08-21 Ericsson Telefon Ab L M
US8171529B2 (en) * 2009-12-17 2012-05-01 Intel Corporation Secure subscriber identity module service
KR20120099794A (ko) * 2009-12-28 2012-09-11 인터디지탈 패튼 홀딩스, 인크 사물 지능 통신 게이트웨이 아키텍쳐
EP2543207B1 (en) * 2010-03-02 2015-05-06 InterDigital Patent Holdings, Inc. Method and system for the migration of credentials and/or domains between trusted hardware subscription modules
US8666368B2 (en) * 2010-05-03 2014-03-04 Apple Inc. Wireless network authentication apparatus and methods
RU2479151C2 (ru) * 2010-07-21 2013-04-10 Эппл Инк, Сетевое устройство для выделения виртуального модуля идентификации абонента пользовательскому устройству, сетевое устройство, предназначенное для использования с точкой продаж и службой предоставления виртуального модуля идентификации абонента, способ распространения виртуального модуля идентификации абонента и способ распространения клиента доступа
US8738729B2 (en) 2010-07-21 2014-05-27 Apple Inc. Virtual access module distribution apparatus and methods
KR101304779B1 (ko) 2010-07-21 2013-09-05 애플 인크. 가상 액세스 모듈 배포 장치 및 방법
US8924715B2 (en) * 2010-10-28 2014-12-30 Stephan V. Schell Methods and apparatus for storage and execution of access control clients
US8555067B2 (en) 2010-10-28 2013-10-08 Apple Inc. Methods and apparatus for delivering electronic identification components over a wireless network
US9100810B2 (en) * 2010-10-28 2015-08-04 Apple Inc. Management systems for multiple access control entities
US9723481B2 (en) * 2010-10-29 2017-08-01 Apple Inc. Access data provisioning apparatus and methods
US9100393B2 (en) 2010-11-04 2015-08-04 Apple Inc. Simulacrum of physical security device and methods
JP2012105077A (ja) * 2010-11-10 2012-05-31 Sony Corp 無線端末装置、通信システムおよび無線端末装置の制御方法
US8863256B1 (en) 2011-01-14 2014-10-14 Cisco Technology, Inc. System and method for enabling secure transactions using flexible identity management in a vehicular environment
JP5659875B2 (ja) * 2011-03-07 2015-01-28 ソニー株式会社 無線通信装置、情報処理装置、通信システムおよび無線通信装置の制御方法
US9009475B2 (en) * 2011-04-05 2015-04-14 Apple Inc. Apparatus and methods for storing electronic access clients
US8707022B2 (en) 2011-04-05 2014-04-22 Apple Inc. Apparatus and methods for distributing and storing electronic access clients
WO2012140477A1 (en) * 2011-04-15 2012-10-18 Nokia Corporation Method and apparatus for providing secret delegation
WO2012149219A2 (en) * 2011-04-26 2012-11-01 Apple Inc. Electronic access client distribution apparatus and methods
PL2533485T3 (pl) * 2011-06-08 2015-08-31 Giesecke Devrient Mobile Security Gmbh Sposoby i urządzenia do zarządzania w oparciu o platformę OTA modułami identyfikacji abonenta
GB2492750A (en) 2011-07-04 2013-01-16 Sony Corp Communications system with reconfigurable user identification module
US20140337222A1 (en) * 2011-07-14 2014-11-13 Telefonaktiebolaget L M Ericsson (Publ) Devices and methods providing mobile authentication options for brokered expedited checkout
WO2013038236A1 (en) 2011-09-16 2013-03-21 Nokia Corporation Method and apparatus for accessing virtual smart cards
RU2472222C1 (ru) * 2011-10-12 2013-01-10 Неирон.Ком.Лимитед Способ предоставления услуг абонентам мобильной связи, система предоставления услуг абонентам мобильной связи и машиночитаемые носители
EP2798867A4 (en) * 2011-12-30 2015-10-14 Ericsson Telefon Ab L M VIRTUAL SIM CARD CLOUD DECK
KR101614901B1 (ko) * 2012-02-07 2016-04-22 애플 인크. 네트워크 보조형 사기 검출 장치 및 방법
US9094774B2 (en) 2012-05-14 2015-07-28 At&T Intellectual Property I, Lp Apparatus and methods for maintaining service continuity when transitioning between mobile network operators
US9148785B2 (en) 2012-05-16 2015-09-29 At&T Intellectual Property I, Lp Apparatus and methods for provisioning devices to utilize services of mobile network operators
EP2684398A4 (en) 2012-05-17 2015-05-13 Liveu Ltd MULTIMODEM COMMUNICATION USING VIRTUAL IDENTITY MODULES
US8787966B2 (en) 2012-05-17 2014-07-22 Liveu Ltd. Multi-modem communication using virtual identity modules
US8800015B2 (en) 2012-06-19 2014-08-05 At&T Mobility Ii, Llc Apparatus and methods for selecting services of mobile network operators
US9473929B2 (en) 2012-06-19 2016-10-18 At&T Mobility Ii Llc Apparatus and methods for distributing credentials of mobile network operators
CN102917339B (zh) 2012-10-11 2014-06-11 华为技术有限公司 虚拟用户识别模块的实现与通信方法、装置及系统
DE102012021105A1 (de) * 2012-10-26 2014-04-30 Giesecke & Devrient Gmbh Verfahren zum Einrichten eines Containers in einem mobilen Endgerät
WO2014071632A1 (zh) * 2012-11-12 2014-05-15 东莞宇龙通信科技有限公司 虚拟用户识别卡的实现方法、系统及通信终端
US8898769B2 (en) 2012-11-16 2014-11-25 At&T Intellectual Property I, Lp Methods for provisioning universal integrated circuit cards
US8959331B2 (en) 2012-11-19 2015-02-17 At&T Intellectual Property I, Lp Systems for provisioning universal integrated circuit cards
US9264413B2 (en) * 2012-12-06 2016-02-16 Qualcomm Incorporated Management of network devices utilizing an authorization token
US9883388B2 (en) * 2012-12-12 2018-01-30 Intel Corporation Ephemeral identity for device and service discovery
US10867326B2 (en) * 2012-12-17 2020-12-15 Giesecke+Devrient Mobile Security Gmbh Reputation system and method
US9525524B2 (en) 2013-05-31 2016-12-20 At&T Intellectual Property I, L.P. Remote distributed antenna system
US9999038B2 (en) 2013-05-31 2018-06-12 At&T Intellectual Property I, L.P. Remote distributed antenna system
US11115501B2 (en) * 2013-06-24 2021-09-07 Telefonaktiebolaget Lm Ericsson (Publ) Gateway, client device and methods for facilitating communication between a client device and an application server
US9100175B2 (en) 2013-11-19 2015-08-04 M2M And Iot Technologies, Llc Embedded universal integrated circuit card supporting two-factor authentication
US9350550B2 (en) 2013-09-10 2016-05-24 M2M And Iot Technologies, Llc Power management and security for wireless modules in “machine-to-machine” communications
US9036820B2 (en) 2013-09-11 2015-05-19 At&T Intellectual Property I, Lp System and methods for UICC-based secure communication
US10498530B2 (en) 2013-09-27 2019-12-03 Network-1 Technologies, Inc. Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys
US9124573B2 (en) 2013-10-04 2015-09-01 At&T Intellectual Property I, Lp Apparatus and method for managing use of secure tokens
US9208300B2 (en) 2013-10-23 2015-12-08 At&T Intellectual Property I, Lp Apparatus and method for secure authentication of a communication device
US9240994B2 (en) 2013-10-28 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for securely managing the accessibility to content and applications
US9240989B2 (en) 2013-11-01 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for secure over the air programming of a communication device
US9313660B2 (en) 2013-11-01 2016-04-12 At&T Intellectual Property I, Lp Apparatus and method for secure provisioning of a communication device
US8897697B1 (en) 2013-11-06 2014-11-25 At&T Intellectual Property I, Lp Millimeter-wave surface-wave communications
US10700856B2 (en) 2013-11-19 2020-06-30 Network-1 Technologies, Inc. Key derivation for a module using an embedded universal integrated circuit card
US9413759B2 (en) 2013-11-27 2016-08-09 At&T Intellectual Property I, Lp Apparatus and method for secure delivery of data from a communication device
US9713006B2 (en) 2014-05-01 2017-07-18 At&T Intellectual Property I, Lp Apparatus and method for managing security domains for a universal integrated circuit card
US10063280B2 (en) 2014-09-17 2018-08-28 At&T Intellectual Property I, L.P. Monitoring and mitigating conditions in a communication network
US9615269B2 (en) 2014-10-02 2017-04-04 At&T Intellectual Property I, L.P. Method and apparatus that provides fault tolerance in a communication network
US9685992B2 (en) 2014-10-03 2017-06-20 At&T Intellectual Property I, L.P. Circuit panel network and methods thereof
US9503189B2 (en) 2014-10-10 2016-11-22 At&T Intellectual Property I, L.P. Method and apparatus for arranging communication sessions in a communication system
US9973299B2 (en) 2014-10-14 2018-05-15 At&T Intellectual Property I, L.P. Method and apparatus for adjusting a mode of communication in a communication network
US9577306B2 (en) 2014-10-21 2017-02-21 At&T Intellectual Property I, L.P. Guided-wave transmission device and methods for use therewith
US9653770B2 (en) 2014-10-21 2017-05-16 At&T Intellectual Property I, L.P. Guided wave coupler, coupling module and methods for use therewith
US9312919B1 (en) 2014-10-21 2016-04-12 At&T Intellectual Property I, Lp Transmission device with impairment compensation and methods for use therewith
US9769020B2 (en) 2014-10-21 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for responding to events affecting communications in a communication network
US9780834B2 (en) 2014-10-21 2017-10-03 At&T Intellectual Property I, L.P. Method and apparatus for transmitting electromagnetic waves
US9627768B2 (en) 2014-10-21 2017-04-18 At&T Intellectual Property I, L.P. Guided-wave transmission device with non-fundamental mode propagation and methods for use therewith
US9997819B2 (en) 2015-06-09 2018-06-12 At&T Intellectual Property I, L.P. Transmission medium and method for facilitating propagation of electromagnetic waves via a core
US9742462B2 (en) 2014-12-04 2017-08-22 At&T Intellectual Property I, L.P. Transmission medium and communication interfaces and methods for use therewith
US9954287B2 (en) 2014-11-20 2018-04-24 At&T Intellectual Property I, L.P. Apparatus for converting wireless signals and electromagnetic waves and methods thereof
US10009067B2 (en) 2014-12-04 2018-06-26 At&T Intellectual Property I, L.P. Method and apparatus for configuring a communication interface
US9461706B1 (en) 2015-07-31 2016-10-04 At&T Intellectual Property I, Lp Method and apparatus for exchanging communication signals
US9800327B2 (en) 2014-11-20 2017-10-24 At&T Intellectual Property I, L.P. Apparatus for controlling operations of a communication device and methods thereof
US9544006B2 (en) 2014-11-20 2017-01-10 At&T Intellectual Property I, L.P. Transmission device with mode division multiplexing and methods for use therewith
US10243784B2 (en) 2014-11-20 2019-03-26 At&T Intellectual Property I, L.P. System for generating topology information and methods thereof
US10340573B2 (en) 2016-10-26 2019-07-02 At&T Intellectual Property I, L.P. Launcher with cylindrical coupling device and methods for use therewith
US9615250B2 (en) * 2014-12-16 2017-04-04 Microsoft Technology Licensing, Llc Subscriber identification module pooling
US9853977B1 (en) 2015-01-26 2017-12-26 Winklevoss Ip, Llc System, method, and program product for processing secure transactions within a cloud computing system
US9876570B2 (en) 2015-02-20 2018-01-23 At&T Intellectual Property I, Lp Guided-wave transmission device with non-fundamental mode propagation and methods for use therewith
US9749013B2 (en) 2015-03-17 2017-08-29 At&T Intellectual Property I, L.P. Method and apparatus for reducing attenuation of electromagnetic waves guided by a transmission medium
US9705561B2 (en) 2015-04-24 2017-07-11 At&T Intellectual Property I, L.P. Directional coupling device and methods for use therewith
US10224981B2 (en) 2015-04-24 2019-03-05 At&T Intellectual Property I, Lp Passive electrical coupling device and methods for use therewith
US9793954B2 (en) 2015-04-28 2017-10-17 At&T Intellectual Property I, L.P. Magnetic coupling device and methods for use therewith
US9748626B2 (en) 2015-05-14 2017-08-29 At&T Intellectual Property I, L.P. Plurality of cables having different cross-sectional shapes which are bundled together to form a transmission medium
US9871282B2 (en) 2015-05-14 2018-01-16 At&T Intellectual Property I, L.P. At least one transmission medium having a dielectric surface that is covered at least in part by a second dielectric
US9490869B1 (en) 2015-05-14 2016-11-08 At&T Intellectual Property I, L.P. Transmission medium having multiple cores and methods for use therewith
US10650940B2 (en) 2015-05-15 2020-05-12 At&T Intellectual Property I, L.P. Transmission medium having a conductive material and methods for use therewith
US9917341B2 (en) 2015-05-27 2018-03-13 At&T Intellectual Property I, L.P. Apparatus and method for launching electromagnetic waves and for modifying radial dimensions of the propagating electromagnetic waves
US9866309B2 (en) 2015-06-03 2018-01-09 At&T Intellectual Property I, Lp Host node device and methods for use therewith
US10812174B2 (en) 2015-06-03 2020-10-20 At&T Intellectual Property I, L.P. Client node device and methods for use therewith
US9912381B2 (en) 2015-06-03 2018-03-06 At&T Intellectual Property I, Lp Network termination and methods for use therewith
US9913139B2 (en) 2015-06-09 2018-03-06 At&T Intellectual Property I, L.P. Signal fingerprinting for authentication of communicating devices
US9820146B2 (en) 2015-06-12 2017-11-14 At&T Intellectual Property I, L.P. Method and apparatus for authentication and identity management of communicating devices
DE102015008117A1 (de) * 2015-06-23 2016-12-29 Giesecke & Devrient Gmbh Subskriptionsverwaltung
US9509415B1 (en) 2015-06-25 2016-11-29 At&T Intellectual Property I, L.P. Methods and apparatus for inducing a fundamental wave mode on a transmission medium
US9865911B2 (en) 2015-06-25 2018-01-09 At&T Intellectual Property I, L.P. Waveguide system for slot radiating first electromagnetic waves that are combined into a non-fundamental wave mode second electromagnetic wave on a transmission medium
US9640850B2 (en) 2015-06-25 2017-05-02 At&T Intellectual Property I, L.P. Methods and apparatus for inducing a non-fundamental wave mode on a transmission medium
US9882257B2 (en) 2015-07-14 2018-01-30 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US9628116B2 (en) 2015-07-14 2017-04-18 At&T Intellectual Property I, L.P. Apparatus and methods for transmitting wireless signals
US10044409B2 (en) 2015-07-14 2018-08-07 At&T Intellectual Property I, L.P. Transmission medium and methods for use therewith
US9853342B2 (en) 2015-07-14 2017-12-26 At&T Intellectual Property I, L.P. Dielectric transmission medium connector and methods for use therewith
US9847566B2 (en) 2015-07-14 2017-12-19 At&T Intellectual Property I, L.P. Method and apparatus for adjusting a field of a signal to mitigate interference
US10148016B2 (en) 2015-07-14 2018-12-04 At&T Intellectual Property I, L.P. Apparatus and methods for communicating utilizing an antenna array
US10205655B2 (en) 2015-07-14 2019-02-12 At&T Intellectual Property I, L.P. Apparatus and methods for communicating utilizing an antenna array and multiple communication paths
US10090606B2 (en) 2015-07-15 2018-10-02 At&T Intellectual Property I, L.P. Antenna system with dielectric array and methods for use therewith
US9912027B2 (en) 2015-07-23 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for exchanging communication signals
US9948333B2 (en) 2015-07-23 2018-04-17 At&T Intellectual Property I, L.P. Method and apparatus for wireless communications to mitigate interference
US9749053B2 (en) 2015-07-23 2017-08-29 At&T Intellectual Property I, L.P. Node device, repeater and methods for use therewith
US9871283B2 (en) 2015-07-23 2018-01-16 At&T Intellectual Property I, Lp Transmission medium having a dielectric core comprised of plural members connected by a ball and socket configuration
US9735833B2 (en) 2015-07-31 2017-08-15 At&T Intellectual Property I, L.P. Method and apparatus for communications management in a neighborhood network
US9967173B2 (en) 2015-07-31 2018-05-08 At&T Intellectual Property I, L.P. Method and apparatus for authentication and identity management of communicating devices
US9768966B2 (en) * 2015-08-07 2017-09-19 Google Inc. Peer to peer attestation
US9904535B2 (en) 2015-09-14 2018-02-27 At&T Intellectual Property I, L.P. Method and apparatus for distributing software
US9769128B2 (en) 2015-09-28 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for encryption of communications over a network
US9729197B2 (en) 2015-10-01 2017-08-08 At&T Intellectual Property I, L.P. Method and apparatus for communicating network management traffic over a network
US9876264B2 (en) 2015-10-02 2018-01-23 At&T Intellectual Property I, Lp Communication system, guided wave switch and methods for use therewith
US10355367B2 (en) 2015-10-16 2019-07-16 At&T Intellectual Property I, L.P. Antenna structure for exchanging wireless signals
US10038667B2 (en) 2015-11-09 2018-07-31 Infosys Limited Method and system of authentication and OTA registration of a new user without a SIM card in multi-operator mobile telephony
US9860075B1 (en) 2016-08-26 2018-01-02 At&T Intellectual Property I, L.P. Method and communication node for broadband distribution
US10811767B2 (en) 2016-10-21 2020-10-20 At&T Intellectual Property I, L.P. System and dielectric antenna with convex dielectric radome
US10374316B2 (en) 2016-10-21 2019-08-06 At&T Intellectual Property I, L.P. System and dielectric antenna with non-uniform dielectric
US10312567B2 (en) 2016-10-26 2019-06-04 At&T Intellectual Property I, L.P. Launcher with planar strip antenna and methods for use therewith
US10224634B2 (en) 2016-11-03 2019-03-05 At&T Intellectual Property I, L.P. Methods and apparatus for adjusting an operational characteristic of an antenna
US10225025B2 (en) 2016-11-03 2019-03-05 At&T Intellectual Property I, L.P. Method and apparatus for detecting a fault in a communication system
US10291334B2 (en) 2016-11-03 2019-05-14 At&T Intellectual Property I, L.P. System for detecting a fault in a communication system
US10498044B2 (en) 2016-11-03 2019-12-03 At&T Intellectual Property I, L.P. Apparatus for configuring a surface of an antenna
US10090594B2 (en) 2016-11-23 2018-10-02 At&T Intellectual Property I, L.P. Antenna system having structural configurations for assembly
US10340601B2 (en) 2016-11-23 2019-07-02 At&T Intellectual Property I, L.P. Multi-antenna system and methods for use therewith
US10535928B2 (en) 2016-11-23 2020-01-14 At&T Intellectual Property I, L.P. Antenna system and methods for use therewith
US10178445B2 (en) 2016-11-23 2019-01-08 At&T Intellectual Property I, L.P. Methods, devices, and systems for load balancing between a plurality of waveguides
US10340603B2 (en) 2016-11-23 2019-07-02 At&T Intellectual Property I, L.P. Antenna system having shielded structural configurations for assembly
US10305190B2 (en) 2016-12-01 2019-05-28 At&T Intellectual Property I, L.P. Reflecting dielectric antenna system and methods for use therewith
US10361489B2 (en) 2016-12-01 2019-07-23 At&T Intellectual Property I, L.P. Dielectric dish antenna system and methods for use therewith
US9927517B1 (en) 2016-12-06 2018-03-27 At&T Intellectual Property I, L.P. Apparatus and methods for sensing rainfall
US10819035B2 (en) 2016-12-06 2020-10-27 At&T Intellectual Property I, L.P. Launcher with helical antenna and methods for use therewith
US10326494B2 (en) 2016-12-06 2019-06-18 At&T Intellectual Property I, L.P. Apparatus for measurement de-embedding and methods for use therewith
US10637149B2 (en) 2016-12-06 2020-04-28 At&T Intellectual Property I, L.P. Injection molded dielectric antenna and methods for use therewith
US10755542B2 (en) 2016-12-06 2020-08-25 At&T Intellectual Property I, L.P. Method and apparatus for surveillance via guided wave communication
US10727599B2 (en) 2016-12-06 2020-07-28 At&T Intellectual Property I, L.P. Launcher with slot antenna and methods for use therewith
US10694379B2 (en) 2016-12-06 2020-06-23 At&T Intellectual Property I, L.P. Waveguide system with device-based authentication and methods for use therewith
US10382976B2 (en) 2016-12-06 2019-08-13 At&T Intellectual Property I, L.P. Method and apparatus for managing wireless communications based on communication paths and network device positions
US10135145B2 (en) 2016-12-06 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for generating an electromagnetic wave along a transmission medium
US10439675B2 (en) 2016-12-06 2019-10-08 At&T Intellectual Property I, L.P. Method and apparatus for repeating guided wave communication signals
US10020844B2 (en) 2016-12-06 2018-07-10 T&T Intellectual Property I, L.P. Method and apparatus for broadcast communication via guided waves
US10446936B2 (en) 2016-12-07 2019-10-15 At&T Intellectual Property I, L.P. Multi-feed dielectric antenna system and methods for use therewith
US10027397B2 (en) 2016-12-07 2018-07-17 At&T Intellectual Property I, L.P. Distributed antenna system and methods for use therewith
US9893795B1 (en) 2016-12-07 2018-02-13 At&T Intellectual Property I, Lp Method and repeater for broadband distribution
US10389029B2 (en) 2016-12-07 2019-08-20 At&T Intellectual Property I, L.P. Multi-feed dielectric antenna system with core selection and methods for use therewith
US10547348B2 (en) 2016-12-07 2020-01-28 At&T Intellectual Property I, L.P. Method and apparatus for switching transmission mediums in a communication system
US10139820B2 (en) 2016-12-07 2018-11-27 At&T Intellectual Property I, L.P. Method and apparatus for deploying equipment of a communication system
US10168695B2 (en) 2016-12-07 2019-01-01 At&T Intellectual Property I, L.P. Method and apparatus for controlling an unmanned aircraft
US10243270B2 (en) 2016-12-07 2019-03-26 At&T Intellectual Property I, L.P. Beam adaptive multi-feed dielectric antenna system and methods for use therewith
US10359749B2 (en) 2016-12-07 2019-07-23 At&T Intellectual Property I, L.P. Method and apparatus for utilities management via guided wave communication
US10777873B2 (en) 2016-12-08 2020-09-15 At&T Intellectual Property I, L.P. Method and apparatus for mounting network devices
US10601494B2 (en) 2016-12-08 2020-03-24 At&T Intellectual Property I, L.P. Dual-band communication device and method for use therewith
US10103422B2 (en) 2016-12-08 2018-10-16 At&T Intellectual Property I, L.P. Method and apparatus for mounting network devices
US10916969B2 (en) 2016-12-08 2021-02-09 At&T Intellectual Property I, L.P. Method and apparatus for providing power using an inductive coupling
US9911020B1 (en) 2016-12-08 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for tracking via a radio frequency identification device
US9998870B1 (en) 2016-12-08 2018-06-12 At&T Intellectual Property I, L.P. Method and apparatus for proximity sensing
US10069535B2 (en) 2016-12-08 2018-09-04 At&T Intellectual Property I, L.P. Apparatus and methods for launching electromagnetic waves having a certain electric field structure
US10326689B2 (en) 2016-12-08 2019-06-18 At&T Intellectual Property I, L.P. Method and system for providing alternative communication paths
US10411356B2 (en) 2016-12-08 2019-09-10 At&T Intellectual Property I, L.P. Apparatus and methods for selectively targeting communication devices with an antenna array
US10938108B2 (en) 2016-12-08 2021-03-02 At&T Intellectual Property I, L.P. Frequency selective multi-feed dielectric antenna system and methods for use therewith
US10389037B2 (en) 2016-12-08 2019-08-20 At&T Intellectual Property I, L.P. Apparatus and methods for selecting sections of an antenna array and use therewith
US10530505B2 (en) 2016-12-08 2020-01-07 At&T Intellectual Property I, L.P. Apparatus and methods for launching electromagnetic waves along a transmission medium
US10264586B2 (en) 2016-12-09 2019-04-16 At&T Mobility Ii Llc Cloud-based packet controller and methods for use therewith
US9838896B1 (en) 2016-12-09 2017-12-05 At&T Intellectual Property I, L.P. Method and apparatus for assessing network coverage
US10340983B2 (en) 2016-12-09 2019-07-02 At&T Intellectual Property I, L.P. Method and apparatus for surveying remote sites via guided wave communications
CN108322907B (zh) * 2017-01-17 2021-03-09 中国移动通信有限公司研究院 一种开卡方法及终端
US9973940B1 (en) 2017-02-27 2018-05-15 At&T Intellectual Property I, L.P. Apparatus and methods for dynamic impedance matching of a guided wave launcher
US10298293B2 (en) 2017-03-13 2019-05-21 At&T Intellectual Property I, L.P. Apparatus of communication utilizing wireless network devices
US10819696B2 (en) * 2017-07-13 2020-10-27 Microsoft Technology Licensing, Llc Key attestation statement generation providing device anonymity
EP3854171A1 (en) * 2018-09-17 2021-07-28 Telefonaktiebolaget Lm Ericsson (Publ) Re-establishing a radio resource control connection using a security token comprising a globally unique cell identifier
US20220201044A1 (en) * 2019-04-15 2022-06-23 British Telecommunications Public Limited Company Policing of data
TWI725623B (zh) * 2019-11-15 2021-04-21 倍加科技股份有限公司 基於管理者自發行票券的點對點權限管理方法
CN115208653B (zh) * 2022-07-11 2024-04-09 苏州协同创新智能制造装备有限公司 一种基于主动标识的加密通讯方法

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5887253A (en) * 1996-03-22 1999-03-23 Bellsouth Corporation Method for activating and servicing a cellular telephone
US6324402B1 (en) 1997-10-07 2001-11-27 Nortel Dasa Network System Gmbh & Co. Kg Integration scheme for a mobile telephone
US6873609B1 (en) 1999-11-02 2005-03-29 Ipwireless, Inc. Use of internet WEB technology for wireless internet access
JP2002041993A (ja) 2000-07-24 2002-02-08 Nec Corp コンテンツ流通方法およびそのシステム、並びにそのシステムのための記録媒体
US6879825B1 (en) 2000-11-01 2005-04-12 At&T Wireless Services, Inc. Method for programming a mobile station using a permanent mobile station identifier
US6591098B1 (en) 2000-11-07 2003-07-08 At&T Wireless Services, Inc. System and method for using a temporary electronic serial number for over-the-air activation of a mobile device
JP2002281009A (ja) 2001-03-15 2002-09-27 Sony Corp 相互認証システム、相互認証方法、およびメモリ搭載デバイス、メモリアクセス機器、並びにプログラム記憶媒体
FI114416B (fi) * 2001-06-15 2004-10-15 Nokia Corp Menetelmä elektroniikkalaitteen varmistamiseksi, varmistusjärjestelmä ja elektroniikkalaite
SE520674C2 (sv) 2001-12-14 2003-08-12 Television And Wireless Applic Metod och system för villkorad access
US8184603B2 (en) * 2002-01-31 2012-05-22 Lgc Wireless, Llc Communication system having a community wireless local area network for voice and high speed data communication
CN1447234A (zh) 2002-03-27 2003-10-08 株式会社唯红 个人认证装置、销售管理装置
US20040030887A1 (en) * 2002-08-07 2004-02-12 Harrisville-Wolff Carol L. System and method for providing secure communications between clients and service providers
US7801826B2 (en) 2002-08-08 2010-09-21 Fujitsu Limited Framework and system for purchasing of goods and services
US7665125B2 (en) * 2002-09-23 2010-02-16 Heard Robert W System and method for distribution of security policies for mobile devices
GB2396707B (en) 2002-10-17 2004-11-24 Vodafone Plc Facilitating and authenticating transactions
EP1552484B1 (en) * 2002-10-17 2013-03-13 Vodafone Group PLC Facilitating and authenticating transactions
WO2004086676A1 (en) * 2003-03-19 2004-10-07 Way Systems, Inc. System and method for mobile transactions using the bearer independent protocol
JP2005044325A (ja) 2003-07-25 2005-02-17 Hirotomo Okazawa 電子商取引における電子チケットの販売方法、この方法を適用した電子チケットシステム
US7063262B2 (en) * 2003-08-29 2006-06-20 Motorola, Inc. Method for provisioning and product
JP2005122400A (ja) 2003-10-15 2005-05-12 Sony Corp 商品提供サーバ、商品提供方法、商品提供プログラム、及び記憶媒体
US7940932B2 (en) * 2004-04-08 2011-05-10 Texas Instruments Incorporated Methods, apparatus, and systems for securing SIM (subscriber identity module) personalization and other data on a first processor and secure communication of the SIM data to a second processor
US7252242B2 (en) * 2005-02-04 2007-08-07 Chun-Hsin Ho Method for providing additional service based on dual UICC
CN1838170A (zh) 2005-03-23 2006-09-27 e2因特莱科迪伏有限公司 媒体设备帐户的销售点激活
US20060217996A1 (en) 2005-03-23 2006-09-28 E2Interactive, Inc. D/B/A E2Interactive, Inc. Point-of-sale activation of media device account
ES2392178T3 (es) * 2005-05-03 2012-12-05 Luca Toncelli Artículo de aglomerado inorgánico ligero en forma de losa, procedimiento de fabricación del mismo y panel resultante
US20070209065A1 (en) * 2005-09-30 2007-09-06 Bellsouth Intellectual Property Corporation Methods, systems, and computer program products for providing network convergence of applications and devices
US20070129103A1 (en) * 2005-12-05 2007-06-07 Al-Shaikh Saleh A Cellular phone having multiple lines
FI120480B (fi) * 2006-05-15 2009-10-30 Software Cellular Network Ltd Menetelmä ja järjestelmä käyttäjälaitteen konfiguroimiseksi
US7918611B2 (en) * 2007-07-11 2011-04-05 Emcore Corporation Reconfiguration and protocol adaptation of optoelectronic modules and network components
US20090125996A1 (en) * 2007-09-19 2009-05-14 Interdigital Patent Holdings, Inc. Virtual subscriber identity module
US8200736B2 (en) 2007-12-24 2012-06-12 Qualcomm Incorporated Virtual SIM card for mobile handsets
US8275415B2 (en) 2009-02-13 2012-09-25 At&T Intellectual Property I, Lp Systems and methods for multi-device wireless SIM management

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101396725B1 (ko) * 2010-10-28 2014-05-19 애플 인크. 액세스 컨트롤 클라이언트를 이용한 로밍을 위한 방법 및 장치
KR20130097230A (ko) * 2010-12-06 2013-09-02 인터디지탈 패튼 홀딩스, 인크 도메인­트러스트 평가 및 도메인 정책 관리 기능들을 가지는 스마트 카드
KR20130027096A (ko) * 2011-09-06 2013-03-15 주식회사 케이티 내장 uicc 환경에서의 신뢰성 있는 sm을 이용한 가입 방법 및 내장 uicc 장치
KR20130027097A (ko) * 2011-09-06 2013-03-15 주식회사 케이티 내장 uicc 환경에서의 신뢰성 있는 sm을 이용한 가입 변경 방법 및 내장 uicc 장치

Also Published As

Publication number Publication date
CA2700317A1 (en) 2009-03-26
TW201012166A (en) 2010-03-16
KR101287227B1 (ko) 2013-07-23
DE102007044905A1 (de) 2009-04-09
JP2015164042A (ja) 2015-09-10
TWI507005B (zh) 2015-11-01
AU2008302172B2 (en) 2013-03-07
CA2700317C (en) 2015-09-08
US20090077643A1 (en) 2009-03-19
KR20110103473A (ko) 2011-09-20
TW200917785A (en) 2009-04-16
EP2198582A2 (en) 2010-06-23
WO2009039380A3 (en) 2009-07-02
TWI455559B (zh) 2014-10-01
JP5711303B2 (ja) 2015-04-30
JP5945613B2 (ja) 2016-07-05
KR101374810B1 (ko) 2014-04-11
CN101919220A (zh) 2010-12-15
CN103067914A (zh) 2013-04-24
JP2013242878A (ja) 2013-12-05
US20160226860A1 (en) 2016-08-04
WO2009039380A2 (en) 2009-03-26
JP2016212888A (ja) 2016-12-15
CA2894357A1 (en) 2009-03-26
JP2011516931A (ja) 2011-05-26
AU2008302172A1 (en) 2009-03-26
EP2528301A1 (en) 2012-11-28
CN103067914B (zh) 2015-10-21
US9253588B2 (en) 2016-02-02

Similar Documents

Publication Publication Date Title
KR101287227B1 (ko) 가상 가입자 식별 모듈
US8788832B2 (en) Virtual subscriber identity module
US20180091978A1 (en) Universal Integrated Circuit Card Having A Virtual Subscriber Identity Module Functionality
US8578153B2 (en) Method and arrangement for provisioning and managing a device
KR101266241B1 (ko) 티켓-기반 스펙트럼 인가 및 액세스 제어
US7644272B2 (en) Systems and methods for providing security to different functions
CN109547464B (zh) 用于存储和执行访问控制客户端的方法及装置
TWI466553B (zh) 家用節點b或家用演進型節點b及其以一網路認證的方法
US20060089123A1 (en) Use of information on smartcards for authentication and encryption
US20120260095A1 (en) Apparatus and methods for controlling distribution of electronic access clients
CN1929371B (zh) 用户和外围设备协商共享密钥的方法
WO2008000721A1 (en) Integration of device integrity attestation into user authentication
US11917416B2 (en) Non-3GPP device access to core network
Kasper et al. Subscriber authentication in cellular networks with trusted virtual sims

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
A107 Divisional application of patent
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170710

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee