KR20130097230A - 도메인트러스트 평가 및 도메인 정책 관리 기능들을 가지는 스마트 카드 - Google Patents
도메인트러스트 평가 및 도메인 정책 관리 기능들을 가지는 스마트 카드 Download PDFInfo
- Publication number
- KR20130097230A KR20130097230A KR1020137017488A KR20137017488A KR20130097230A KR 20130097230 A KR20130097230 A KR 20130097230A KR 1020137017488 A KR1020137017488 A KR 1020137017488A KR 20137017488 A KR20137017488 A KR 20137017488A KR 20130097230 A KR20130097230 A KR 20130097230A
- Authority
- KR
- South Korea
- Prior art keywords
- domain
- domains
- card
- security
- manager
- Prior art date
Links
- 230000006870 function Effects 0.000 title claims description 37
- 238000011156 evaluation Methods 0.000 title description 2
- 238000000034 method Methods 0.000 claims description 83
- 230000003993 interaction Effects 0.000 claims description 5
- 238000004891 communication Methods 0.000 abstract description 39
- 230000008569 process Effects 0.000 description 46
- 238000007726 management method Methods 0.000 description 45
- 230000007246 mechanism Effects 0.000 description 36
- 238000011068 loading method Methods 0.000 description 26
- 238000012795 verification Methods 0.000 description 26
- 238000010586 diagram Methods 0.000 description 19
- 230000007704 transition Effects 0.000 description 17
- 238000009434 installation Methods 0.000 description 16
- 230000002776 aggregation Effects 0.000 description 14
- 238000004220 aggregation Methods 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 12
- 208000016709 aortopulmonary window Diseases 0.000 description 10
- 230000006399 behavior Effects 0.000 description 10
- 238000003860 storage Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 7
- 238000012790 confirmation Methods 0.000 description 6
- 238000000605 extraction Methods 0.000 description 6
- 238000010295 mobile communication Methods 0.000 description 6
- 230000000153 supplemental effect Effects 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 230000001413 cellular effect Effects 0.000 description 4
- 230000005012 migration Effects 0.000 description 4
- 238000013508 migration Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000000295 complement effect Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 235000019838 diammonium phosphate Nutrition 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 230000002441 reversible effect Effects 0.000 description 3
- XOJVVFBFDXDTEG-UHFFFAOYSA-N Norphytane Natural products CC(C)CCCC(C)CCCC(C)CCCC(C)C XOJVVFBFDXDTEG-UHFFFAOYSA-N 0.000 description 2
- 241000700159 Rattus Species 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000003384 imaging method Methods 0.000 description 2
- 238000011900 installation process Methods 0.000 description 2
- 230000002427 irreversible effect Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 241000760358 Enodes Species 0.000 description 1
- 229910005580 NiCd Inorganic materials 0.000 description 1
- 229910005813 NiMH Inorganic materials 0.000 description 1
- 229910003962 NiZn Inorganic materials 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000010429 evolutionary process Effects 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000002401 inhibitory effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 229910001416 lithium ion Inorganic materials 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 238000003752 polymerase chain reaction Methods 0.000 description 1
- 238000004382 potting Methods 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 238000007372 rollout process Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000013403 standard screening design Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/72—Account specifications
- H04M2215/7204—Account location
- H04M2215/7209—Card based, e.g. smart card, SIM card or USIM
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Abstract
하나 이상의 무선 통신 디바이스는 하나 이상의 상이한 소유자에 의해 소유 또는 제어될 수 있는 하나 이상의 도메인을 포함할 수 있다. 상기 도메인들 중 하나는 상기 하나 이상의 무선 통신 디바이스들에 대하여 보안 정책의 실행을 통한 궁극적인 제어를 갖는 보안 도메인을 포함할 수 있다. 상기 도메인들 중 다른 하나는, 상기 보안 도메인에 보조적이고 하나 이상의 보조적인 도메인의 정책들을 실행할 수 있는 시스템 전역 도메인 관리자를 포함할 수 있다. 상기 시스템 전역 도메인 관리자는 상기 보안 도메인으로부터 수신되는 특권 레벨을 기초로 정책들을 실행할 수 있다. 상기 특권 레벨은 상기 시스템 전역 도메인 관리자에 대하여 보조적인 도메인의 소유자와 같은 외부 이해관계자와 상기 보안 도메인 사이의 트러스트의 레벨에 기초할 수 있다.
Description
본원은 2010년 12월 6일자로 출원된 미국 가특허출원 제 61/420,162 호의 이익 향유를 주장하고, 상기 가특허출원의 내용 전체가 본원에서 참조로서 포함된다.
오늘날, 디바이스, 또는 그러한 디바이스 내의 일부 부분 또는 컴퓨팅 환경이 개인, 조직 또는 일부 다른 엔티티(entity)에 의해서 "소유되는(owned)" 방식으로, 컴퓨팅 디바이스가 이용되는 많은 상황들이 존재하며, 상기 이용되는 디바이스가 다른 디바이스들 또는 엔티티들과 통신하거나 통신하지 않을 수 있을 것이다. "소유되는" 이라는 용어는, 디바이스, 또는 그 디바이스 내의 일부 부분 또는 컴퓨팅 환경이 엔티티로 인증되었다는 것(authenticated) 및/또는 엔티티가 그 후에 디바이스 또는 디바이스의 일부 부분에 걸친 제어의 일부 형태를 취할 수 있다는 것을 나타낼 수 있을 것이다. 그러한 상황의 하나의 예를 들면, 무선 디바이스(예를 들어, 모바일 전화기)의 사용자가 모바일 통신 네트워크 운용자의 서비스들에 가입할 수 있는, 무선 모바일 통신 산업에서의 예가 될 것이다.
오늘날, 모바일 통신 디바이스들과 관련하여 전술한 상황과 같은, 많은 컴퓨팅 콘텍스트들(contexts)에서의 문제는 컴퓨팅 디바이스들이 단일 엔티티에 의해서 디바이스의 전체가 "소유되는" 것으로 제한될 수 있다는 것이다. 많은 경우들에서, 소유권은 사용자에 의한 디바이스의 구매 시에 구축될 것이고, 추후에 소유권을 구축하기를 원할 수 있는 비지니스 모델들을 방지한다. 또한, 이러한 제한들은, 디바이스의 많은 수의 상호 격리된 부분들의 복수의 소유권이 존재하기를 원하는 또는 때때로 소유권을 다른 엔티티들로 이전하기를 원하는 상황들 하에서 그러한 디바이스들을 이용하는 것을 방지한다. 예를 들어, 무선 모바일 통신 디바이스(예를 들어, 모바일 전화기)의 경우에, 사용자는 구매시에 특별한 모바일 네트워크 운영자의 서비스들에 가입할 수 있을 것이다. 또한, 그러한 디바이스들에서는, 일회성의(at one time) 복수의 운영자 네트워크들에 대한 접속을 제공할 수 없을 것이다. 모바일 네트워크 및 서비스 가입들의 업데이팅 및 변경이 어려울 것이고, 그리고 공중에서(over-the-air) 그러한 것을 하는 것은 가능하지 않을 것이다.
또한, 특히 무선 모바일 통신 디바이스들의 콘텍스트에서, 컴퓨팅 디바이스가 가입자 식별 모듈(Subscriber Identity Module (SIM)) 또는 유니버샬 집적 회로 카드(Universal Integrated Circuit Card (UICC))를 포함할 수 있을 것이며, 그러한 것들을 이용하여 사용자가 특별한 네트워크 운영자의 서비스들에 가입할 수 있을 것이다. 불행하게도, 이러한 SIM/UICC는 단일 네트워크 운영자의 이용으로 제한될 수 있을 것이다. 또한, SIM/UICC 메커니즘이 일반적으로 보안성이 높은 것으로 간주되지만, 그러한 보안성은 그것이 상주하는 전체 디바이스의 보안성 성질들에 대해서 강하게 링크되지 않는다. 이는 모바일 금융 거래들(financial transactions)과 같은 진보된 서비스들 및 애플리케이션들에 대한 스케일링 보안성 개념들(scaling security concepts)의 적용을 제한한다. 특히, 이러한 단점들은, 머신-대-머신(machine-to-machine)(M2M) 통신 디바이스들과 같은 자율적인(autonomous) 디바이스들과 관련된다.
이러한 발명의 내용은 구체적인 내용에서 추가적으로 후술되는 여러 가지 개념들을 단순한 형태로 도입하기 위해서 제공된 것이다. 이러한 발명의 내용은 청구된 청구대상의 중요한 특징들 또는 본질적인 특징들을 식별하기 위한 것이 아니고, 그리고 청구된 청구대상의 범위를 제한하기 위한 것도 아니다.
하나 이상의 디바이스들 상의 하나 이상의 분리된 도메인들이 하나 이상의 상이한 로컬(local) 또는 원격 소유자들에 의해서 소유되거나 제어될 수 있게 하는 한편, 동시에 그러한 도메인들의 시스템 전역(system-wide) 관리 레벨을 제공할 수 있는, 시스템들, 방법들 및 수단들(instrumentalities)이 본원에서 설명된다. 예시적인 실시예에 따라서, 이러한 방법들 및 수단들은 하나 이상의 디바이스들을 포함할 수 있을 것이고, 그러한 디바이스들의 각각이 적어도 하나의 플랫폼에 의해서 지원되는 하나 이상의 도메인들을 포함할 수 있을 것이다. 각각의 도메인은 도메인으로부터 원격지에 또는 국부적으로 위치될 수 있는 도메인의 소유자를 위한 기능들을 실시하도록 구성될 수 있을 것이다. 각각의 도메인은 다른 소유자들을 가질 수 있을 것이고, 그리고 각각의 소유자는 그 도메인의 동작을 위한 그리고 도메인이 상주하는 플랫폼과 관련한 그리고 다른 도메인들과 관련한 그 도메인의 동작을 위한 정책들을 특정할 수 있을 것이다.
도메인들 중 하나가 보안 도메인일 수 있고, 그러한 보안 도메인은 외부 이해관계자(stakeholder)와 보안 도메인 사이에서 트러스트 레벨을 결정하도록 구성될 수 있을 것이다. 추가적으로, 시스템 전역 도메인 관리자가 도메인들 중 하나에 상주할 수 있을 것이다. 시스템 전역 도메인 관리자가 보안 도메인에 대해서 부수적(subsidiary)일 수 있을 것이다. 보안 도메인으로부터 수신된 특권(privilege) 레벨을 기초로, 하나 이상의 부수적인 도메인들 상으로 정책들을 실행하도록 시스템 전역 도메인 관리자가 구성될 수 있을 것이다. 특권 레벨은 외부 이해관계자와 보안 도메인 사이의 트러스트 레벨을 기초로 할 수 있을 것이다. 시스템 전역 도메인 관리자는 자율성의 레벨을 가지는 정책들을 실행할 수 있을 것이고, 그러한 자율성 레벨은 보안 도메인으로부터 수신된 특권 레벨을 기초로 할 수 있을 것이다.
시스템 전역 도메인 관리자는 그 자체의 정책들을 실행하도록 구성될 수 있을 것이고, 그리고 또한 보안 도메인의 정책이 시스템 전역 도메인 관리자의 정책과 충돌할 때 보안 정책을 실행하도록 구성될 수 있을 것이다. 시스템 전역 도메인 관리자는 또한 그것이 상주하는 도메인의 정책들을 실행하도록 구성될 수 있을 것이고, 그리고 시스템 전역 도메인 관리자가 상주하는 도메인과 관련하여 다른 도메인들이 그들의 각각의 정책들을 어떻게 실행할 수 있는지를 조정할 수 있을 것이다. 추가적으로, 시스템 전역 도메인 관리자는 다른 도메인들의 각각의 정책들에 따라서 다른 도메인들 사이의 상호작용을 조정할 수 있을 것이다. 시스템 전역 도메인 관리자가 상주하는 도메인은 그 도메인을 수용하는(house) 디바이스의 소유자에 의해서 소유될 수 있을 것이다. 대안적으로, 그러한 도메인이 그 도메인을 수용하는 디바이스를 소유하지 않을 수 있는 소유자에 의해서 소유될 수 있을 것이다.
또한, 도메인 애플리케이션이 도메인들 중 하나에 상주될 수 있을 것이다. 도메인 애플리케이션은 플랫폼으로 포팅될(ported) 수 있을 것이다. 예를 들어, 도메인의 적어도 하나의 소유자와 도메인의 적어도 하나의 다른 소유자 사이의 관계를 기초로, 도메인 애플리케이션이 플랫폼으로 포팅될 수 있을 것이다.
본원에 개시된 시스템, 방법들 및 수단들의 다른 특징들이 이하의 구체적인 설명 및 첨부 도면들에서 제공된다.
첨부 도면들과 함께 예로서 주어진 이하의 설명으로부터 보다 구체적인 이해가 가능할 수 있을 것이다.
도 1a는 하나 이상의 개시된 실시예들이 구현될 수 있는 예시적인 통신 시스템을 도시한 도면이다.
도 1b는 하나 이상의 개시된 실시예들이 구현될 수 있는 예시적인 무선 송신/수신 유닛(WTRU)을 도시한 도면이다.
도 1c는 하나 이상의 개시된 실시예들이 구현될 수 있는 예시적인 라디오 접속 네트워크를 도시한 도면이다.
도 2 및 2a는 도메인의 소유권을 취하는 프로세스의 예시적인 실시예를 도시한 도면이다.
도 3은 글로벌 플랫폼(global platform) 아키텍쳐의 예시적인 실시예를 도시한 도면이다.
도 4는 하이-레벨 사용자 장비(UE) 디바이스 아키텍쳐의 일부로서 THSM의 예시적인 실시예를 도시한 도면이다.
도 5는 GP 보안 도메인(SD) 계층(hierarchy)을 도시한 도면이다.
도 6은 GP SD 구조의 구성을 도시한 도면이다.
도 7은 GP SD 구조의 다른 구성을 도시한 도면이다.
도 8은 GP SD 구조의 다른 구성을 도시한 도면이다.
도 9는 일반적인 GP 셋팅에서의 SD 상태들 및 그들의 전이(transition) 메커니즘을 도시한 도면이다.
도 10, 10a, 및 10b는 TDM SD의 라이프 사이클 상태들에 대해서 특정된 메시징의 구체적인 사항들 및 주석들(annotations)을 도시한 도면이다.
도 11은 애플리케이션이 GP에서 획득할 수 있는 여러 가지 상태들을 도시한 도면이다.
도 12, 12a 및 12b 는 사전(pre)-RTO 트러스티드(trusted) 도메인들의 설치와 관련한 진행을 도시한 도면이다.
도 13 및 13a는 RTO 포팅에 대한 시퀀스를 도시한 도면이다.
도 14 및 14a는 등록 및/또는 크레덴셜 롤-아웃 프로토콜(credential roll-out protocol)을 도시한 도면이다.
도 15는 도 14 및 14a의 등록 및/또는 크레덴셜 롤-아웃 프로토콜의 계속을 도시한 도면이다.
도 16은 소오스(source) 카드로부터 목적지(destination) 카드까지 크레덴셜들을 이동하기 위한 수정된 이동(migration) 프로세스를 도시한 도면이다.
도 1a는 하나 이상의 개시된 실시예들이 구현될 수 있는 예시적인 통신 시스템을 도시한 도면이다.
도 1b는 하나 이상의 개시된 실시예들이 구현될 수 있는 예시적인 무선 송신/수신 유닛(WTRU)을 도시한 도면이다.
도 1c는 하나 이상의 개시된 실시예들이 구현될 수 있는 예시적인 라디오 접속 네트워크를 도시한 도면이다.
도 2 및 2a는 도메인의 소유권을 취하는 프로세스의 예시적인 실시예를 도시한 도면이다.
도 3은 글로벌 플랫폼(global platform) 아키텍쳐의 예시적인 실시예를 도시한 도면이다.
도 4는 하이-레벨 사용자 장비(UE) 디바이스 아키텍쳐의 일부로서 THSM의 예시적인 실시예를 도시한 도면이다.
도 5는 GP 보안 도메인(SD) 계층(hierarchy)을 도시한 도면이다.
도 6은 GP SD 구조의 구성을 도시한 도면이다.
도 7은 GP SD 구조의 다른 구성을 도시한 도면이다.
도 8은 GP SD 구조의 다른 구성을 도시한 도면이다.
도 9는 일반적인 GP 셋팅에서의 SD 상태들 및 그들의 전이(transition) 메커니즘을 도시한 도면이다.
도 10, 10a, 및 10b는 TDM SD의 라이프 사이클 상태들에 대해서 특정된 메시징의 구체적인 사항들 및 주석들(annotations)을 도시한 도면이다.
도 11은 애플리케이션이 GP에서 획득할 수 있는 여러 가지 상태들을 도시한 도면이다.
도 12, 12a 및 12b 는 사전(pre)-RTO 트러스티드(trusted) 도메인들의 설치와 관련한 진행을 도시한 도면이다.
도 13 및 13a는 RTO 포팅에 대한 시퀀스를 도시한 도면이다.
도 14 및 14a는 등록 및/또는 크레덴셜 롤-아웃 프로토콜(credential roll-out protocol)을 도시한 도면이다.
도 15는 도 14 및 14a의 등록 및/또는 크레덴셜 롤-아웃 프로토콜의 계속을 도시한 도면이다.
도 16은 소오스(source) 카드로부터 목적지(destination) 카드까지 크레덴셜들을 이동하기 위한 수정된 이동(migration) 프로세스를 도시한 도면이다.
도 1a-16은 개시된 시스템들, 방법들 및 수단들이 구현될 수 있는 예시적인 실시예들과 관련된다. 본원에서 개시된 실시예들은 예시적인 것이고 그리고 비-제한적인 것으로 의도된 것이다. 프로토콜 흐름들이 본원에서 설명되고 묘사될 때, 그러한 흐름들의 순서는 변경될 수 있을 것이고, 일부분들이 생략될 수 있을 것이며, 및/또는 추가적인 흐름들이 부가될 수 있을 것이다.
도 1a, 1b, 및 1c는 본원에서 개시된 실시예에서 이용될 수 있는 예시적인 통신 시스템들 및 디바이스들을 도시한다. 도 1a는 하나 이상의 개시된 실시예들이 구현될 수 있는 예시적인 통신 시스템(100)을 도시한 도면이다. 통신 시스템(100)은, 음성, 데이터, 비디오, 메시징, 방송, 등과 같은 콘텐트를 복수의 무선 사용자들에게 제공하는 다중 접속 시스템일 수 있을 것이다. 통신 시스템(100)은, 무선 밴드폭을 포함하는 시스템 자원들의 공유를 통해서, 복수의 무선 사용자들이 상기와 같은 콘텐트에 접속할 수 있게 한다. 예를 들어, 통신 시스템(100)은 코드 분할 다중 접속(code division multiple access (CDMA)), 시분할 다중 접속(time division multiple access (TDMA)), 주파수 분할 다중 접속(frequency division multiple access (FDMA), 직교 주파수 분할 다중 접속 (orthogonal FDMA (OFDMA)), 단일-캐리어 FDMA(SC-FDMA), 등과 같은 하나 또는 둘 이상의 접속 방법들을 채용할 수 있을 것이다.
도 1a에 도시된 바와 같이, 통신 시스템(100)은 무선 송수신 유닛(WTRUs)(102a, 102b, 102c, 102d), 무선 접속 네트워크(radio access network (RAN))(104), 코어 네트워크(106), 퍼블릭 스위치드 전화 네트워크(public switched telephone network (PSTN))(108), 인터넷(110), 및 다른 네트워크들(112)를 포함할 수 있을 것이나, 기술된 실시예들이 임의 수의 WTRUs, 기지국들, 네트워크들 및/또는 네트워크 요소들을 고려하고 있다는 것을 이해할 수 있을 것이다. WTRUs(102a, 102b, 102c, 102d) 각각은 무선 환경에서 작동 및/또는 통신하도록 구성되는 임의의 타입의 디바이스들이 될 수 있다. 예로서, WTRUs(102a, 102b, 102c, 102d) 가 무선 신호들을 송수신하도록 구성될 수 있을 것이고 그리고 사용자 장비(user equipment (UE)), 모바일 중계소, 고정형 또는 모바일 가입자 유닛, 페이저, 셀룰러 텔레폰, 개인용 휴대 정보 단말기(personal digital assistant (PDA)), 스마트 폰, 태블릿, 랩탑, 넷북, 개인용 컴퓨터, 무선 센서, 소비자용 전자장치, 및/또는 기타 등등을 포함할 수 있을 것이다.
통신 시스템(100)은 또한 기지국(114a) 및 기지국(114b)을 포함할 수 있을 것이다. 각각의 기지국(114a, 114b)은, 코어 네트워크(106), 인터넷(110), 및/또는 네트워크들(112)과 같은 하나 또는 둘 이상의 통신 네트워크들에 대한 접속을 돕기 위해서 WTRUs(102a, 102b, 102c, 102d) 중 하나 이상과 무선으로 인터페이스하도록 구성된 임의 타입의 디바이스일 수 있을 것이다. 예로서, 기지국(114a, 114b)이 베이스 트랜시버 중계소((base transceiver station (BTS)), 노드(Node)-B, 이노드(eNode) B, 홈 노드(Home Node) B, 홈 이노드 B, 사이트 컨트롤러, 접속 포인트(AP), 무선 라우터, 등일 수 있다. 기지국(114a, 114b) 각각이 단일 요소로서 도시되어 있지만, 기지국(114a, 114b)이 임의 수의 상호 연결된 기지국들 및/또는 네트워크 요소들을 포함할 수 있다는 것을 이해할 수 있을 것이다.
기지국(114a)은 RAN(104)의 일부일 수 있고, 그러한 RAN은 또한 기지국 컨트롤러(base station controller (BSC)), 무선 네트워크 컨트롤러(radio network controller (RNC)), 릴레이 노드들, 등과 같은 다른 기지국들 및/또는 네트워크 요소들(미도시)를 포함할 수 있다. 기지국(114a) 및/또는 기지국(114b)이 셀(미도시)이라고 지칭될 수 있는 특별한 지리적 영역 내에서 무선 신호를 송신 및/또는 수신하도록 구성될 수 있을 것이다. 셀은 셀 섹터들로 추가적으로 분할될 수 있을 것이다. 예를 들어, 기지국(114a)과 연관된 셀이 3개의 섹터들로 분할될 수 있을 것이다. 따라서, 일 실시예에서, 기지국(114a)이, 셀의 각 섹터에 대해서 하나씩, 3개의 트랜시버들을 포함할 수 있을 것이다. 하나의 실시예에서, 기지국(114a)이 다중-입력 다중 출력(multiple-input multiple output (MIMO))기술을 채용할 수 있을 것이고, 그에 따라, 셀의 각 섹터에 대해서 복수의 트랜시버들을 이용할 수 있을 것이다.
기지국(114a, 114b)은 임의의 적합한 무선 통신 링크(예를 들어, 무선 주파수(RF), 마이크로파, 적외선(IR), 자외선(UV), 가시광선 등)일 수 있는 공중(air; 무선) 인터페이스(들)을 통해서 WTRUs(102a, 102b, 102c, 102d) 중 하나 또는 둘 이상과 통신할 수 있을 것이다. 공중 인터페이스(116)는 임의의 적합한 무선 접속 기술(radio access technology (RAT))을 이용하여 구성될 수 있을 것이다.
보다 구체적으로, 전술한 바와 같이, 통신 시스템(100)은 다중 접속 시스템일 수 있고 그리고, CDMA, TDMA, FDMA, OFDMA, SC-FDMA, 등과 같은 하나 또는 둘 이상의 채널 접속 계획들(schemes)을 채용할 수 있을 것이다. 예를 들어, WTRUs(102a, 102b, 102c) 및 RAN(104) 내의 기지국(114a)은, 광대역 CDMA (WCDMA)를 이용하는 공중 인터페이스(116)를 구성할 수 있는, 유니버샬 모바일 텔레커뮤니케이션 시스템(Universal Mobile Telecommunications System (UMTS)) 테레스트리얼 무선 접속(Terrestrial Radio Access (UTRA))와 같은 무선 기술을 구현할 수 있을 것이다. WCDMA는 고속 패킷 접속(High-Speed Packet Access (HSPA)) 및/또는 이볼브드(Evolved) HSPA (HSPA+)와 같은 통신 프로토콜들을 포함할 수 있을 것이다. HSPA는 고속 다운링크 패킷 접속(High-Speed Downlink Packet Access (HSDPA)) 및/또는 고속 업링크 패킷 접속(High-Speed Uplink Packet Access (HSUPA))를 포함할 수 있을 것이다.
다른 실시예에서, 기지국(114a) 및 WTRUs(102a, 102b, 102c)은, 롱텀 에볼루션(Long Term Evolution (LTE)) 및/또는 LTE-어드밴스드(LTE-A)를 이용하는 공중 인터페이스(116)를 구성할 수 있는, 이볼브드 UMTS 테레스트리얼 무선 접속(E-UTRA)와 같은 무선 기술을 구현할 수 있을 것이다.
다른 실시예들에서, 기지국(114a) 및 WTRUs(102a, 102b, 102c)이 IEEE 802.16(즉 월드와이드 인터라퍼러빌리티 포 마이크로웨이브 접속(Worldwide Interoperability for Microwave Access (WiMAX))), CDMA2000, CDMA2000 IX, CDMA2000 EV-DO, 인터림 스탠다드(Interim Standard) 2000(IS-2000), 인터림 스탠다드 95 (IS-95), 인터림 스탠다드 856 (IS-856), 모바일 통신용 글로벌 시스템(Global System for Mobile communications (GSM)), GSM 에볼루션을 위한 인핸스드 데이터 레이츠(Enhanced Data rates for Evolution (EDGE)), GSM EDGE (GERAN), 등과 같은 무선 기술들을 구현할 수 있을 것이다.
도 1a의 기지국(114b)은, 예를 들어, 무선 라우터, 홈 노드 B, 홈 이노드 B, 또는 접속 포인트일 수 있고, 그리고 영업 장소, 가정, 차량, 캠퍼스 등과 같은 근거리 지역에서의 무선 연결을 돕기 위해서 임의의 적합한 RAT를 이용할 수 있을 것이다. 실시예에서, 기지국(114b) 및 WTRUs(102a, 102b)는 무선 근거리 통신 망(wireless local area network (WLAN))을 형성하기 위해서 무선 IEEE 802.11과 같은 무선 기술을 구현할 수 있을 것이다. 실시예에서, 기지국(114b) 및 WTRUs(102a, 102b)은 무선 개인용 통신망(wireless personal area network (WPAN))을 형성하기 위해서 IEEE 802.15과 같은 무선 기술을 구현할 수 있을 것이다. 또한 실시예에서, 기지국(114b) 및 WTRUs(102c, 102d)이 피코셀 또는 펨토셀(picocell or femtocell)을 형성하기 위해서 셀룰러-기반의 RAT(예를 들어, WCDMA, CDMA2000, GSM, LTE, LTE-A, 등)을 이용할 수 있을 것이다. 도 1a에 도시된 바와 같이, 기지국(114b)이 인터넷(110)에 대한 직접적인 연결을 가질 수 있을 것이다. 그에 따라, 기지국(114b)은 코어 네트워크(106)를 통해서 인터넷(110)에 접속할 필요가 없을 수 있을 것이다.
RAN(104)은 음성, 데이터, 어플리케이션들, 및/또는 보이스 오버 인터넷 프로토콜(voice over internet protocol (VoIP)) 서비스들을 하나 또는 둘 이상의 WTRUs(102a, 102b, 102c, 102d)로 제공하도록 구성된 임의 타입의 네트워크일 수 있는 코어 네트워크(106)와 통신할 수 있을 것이다. 예를 들어, 코어 네트워크(106)가 통화(call) 제어, 과금(billing) 서비스들, 모바일 위치-기반 서비스들, 선불 통화(calling), 인터넷 연결, 비디오 분배 등을 제공할 수 있고, 및/또는 사용자 인증(user authentication)과 같은 하이-레벨 보안 기능들을 구현할 수 있을 것이다. 도 1a에 도시하지는 않았지만, RAN(104) 및/또는 코어 네트워크(106)는 RAN(104)와 동일한 RAT 또는 다른 RAT를 채용하는 다른 RANs 와 직접적으로 또는 간접적으로 통신할 수 있을 것이다. 예를 들어, E-UTRA 무선 기술을 이용할 수 있는 RAN(104)에 연결되는 것에 부가하여, 코어 네트워크(106)가 또한 GSM 무선 기술을 채용하는 다른 RAN(미도시)과 통신할 수 있을 것이다.
또한, 코어 네트워크(106)는 WTRUs(102a, 102b, 102c, 102d)가 PSTN(108), 인터넷(110), 및/또는 다른 네트워크(112)에 접속하기 위한 게이트웨이로서의 역할을 할 수 있을 것이다. PSTN(108)는 기존 전화 서비스(plain old telephone service (POTS))를 제공하는 회로-스위치드 전화 네트워크들을 포함할 수 있을 것이다. 인터넷(110)은, TCP/IP 인터넷 프로토콜 스위트(suite)의 인터넷 프로토콜(IP), 전송 제어 포로토콜(TCP), 및 사용자 데이터그램 프로토콜과 같은, 공통 통신 프로토콜들을 이용하는 상호연결된 컴퓨터 네트워크들 및 디바이스들의 글로벌 시스템을 포함할 수 있을 것이다. 네트워크들(112)이 다른 서비스 제공자들에 의해서 소유된 및/또는 운영되는 유선 또는 무선 통신 네트워크들을 포함할 수 있을 것이다. 예를 들어, 네트워크들(112)은 RAN(104)와 동일한 RAT 또는 다른 RAT를 채용할 수 있는 하나 또는 둘 이상의 RANs에 연결된 다른 코어 네트워크를 포함할 수 있을 것이다.
통신 시스템(100) 내의 WTRUs(102a, 102b, 102c, 102d)의 일부 또는 전부가 다중-모드 능력들을 포함할 수 있으며, 즉, WTRUs(102a, 102b, 102c, 102d)이 다른 무선 링크들을 통해서 다른 무선 네트워크들과 통신하기 위한 다중 트랜시버를 포함할 수 있을 것이다. 예를 들어, 도 1a에 도시된 WTRU(102c)은 셀룰러-기반의 무선 기술을 채용할 수 있는 기지국(114a)과, 그리고 IEEE 802 무선 기술을 채용할 수 있는 기지국(114b)과 통신하도록 구성될 수 있을 것이다.
도 1b는 예시적인 WTRU(102)의 시스템 도면이다. 도 1b에 도시된 바와 같이, WTRU(102)은 프로세서(118), 트랜시버(120), 송수신 요소(122), 스피커/마이크로폰(124), 키패드(126), 디스플레이/터치패드(128), 비착탈식(non-removable) 메모리(130), 착탈식 메모리(132), 전원(134), 글로벌 포지셔닝 시스템(GPS) 칩셋(136), 및 기타 주변장치들(138)을 포함할 수 있을 것이다. WTRU(102)이, 실시예의 구성을 여전히 유지하면서, 전술한 요소들의 임의의 하위조합(subcombination)을 포함할 수 있을 것이다.
프로세서(118)는 범용 프로세서, 특별한 목적을 위한 프로세서, 통상적인 프로세서, 디지털 신호 프로세서(digital signal processor (DSP)), 복수의 마이크로프로세서들, DSP 코어와 연관된 하나 또는 둘 이상의 마이크로 프로세서들, 컨트롤러, 마이크로컨트롤러, 주문형 집적회로(Application Specific Integrated Circuits (ASICs)), 필드 프로그래머블 게이트 어레이(Field Programmable Gate Array (FPGAs)) 회로들, 임의의 다른 타입의 집적 회로들(integrated circuit (IC)), 스테이트 머신(state machine), 등일 수 있을 것이다. 프로세서(118)는 신호 코딩, 데이터 프로세싱, 전력 제어, 입출력 프로세싱, 및/또는 무선 환경에서 WTRU(102)의 작동을 가능하게 하는 임의의 다른 기능을 수행할 수 있을 것이다. 프로세서(118)는 송수신 요소(122)에 커플링될 수 있는 트랜시버(120)에 커플링될 수 있을 것이다. 도 1b가 프로세서(118) 및 트랜시버(120)를 분리된 성분들로서 도시하고 있지만, 프로세서(118) 및 트랜시버(120)가 전자 패키지 또는 칩에 함께 통합될 수 있다는 것을 이해할 수 있을 것이다.
송신/수신 요소(122)가 공중 인터페이스(116)를 통해서 기지국(예를 들어, 기지국(114a))으로 신호를 송신하거나, 또는 기지국으로부터 신호를 수신하도록 구성될 수 있을 것이다. 예를 들어, 실시예에서, 송수신 요소(122)가 RF 신호들을 송수신하도록 구성된 안테나일 수 있을 것이다. 실시예에서, 송수신 요소(122)이, 예를 들어, IR, UV, 또는 가시광선 신호들을 송수신하도록 구성된 방출기/검출기일 수 있을 것이다. 실시예에서, RF 및 광 신호들 모두를 송신 및 수신하도록 송수신 요소(122)가 구성될 수 있을 것이다. 송수신 요소(122)가 무선 신호들의 임의 조합을 송수신하도록 구성될 수 있다는 것을 이해할 수 있을 것이다.
또한, 비록 도 1b에서 송수신 요소(122)가 단일 요소로서 도시되어 있지만, WTRU(102)가 임의 수의 송수신 요소(122)를 포함할 수 있을 것이다. 보다 구체적으로, WTRU(102)이 MIMO 기술을 채용할 수 있을 것이다. 그에 따라, 실시예에서, WTRU(102)이 공중 인터페이스(116)를 통해서 무선 신호들을 송신 및 수신하기 위한 둘 또는 셋 이상의 송수신 요소(122)(예를 들어, 복수 안테나들)를 포함할 수 있을 것이다.
송수신 요소(122)에 의해서 송신될 신호들을 변조하도록 그리고 송수신 요소(122)에 의해서 수신된 신호들을 변조하도록 트랜시버(120)가 구성될 수 있을 것이다. 전술한 바와 같이, WTRU(102)는 다중-모드 능력들을 가질 수 있을 것이다. 따라서, 트랜시버(120)는, 예를 들어, UTRA 및 IEEE 802.11와 같은 다중 RATs를 통해서 WTRU(102)가 통신할 수 있게 하기 위한 복수의 트랜시버들을 포함할 수 있을 것이다.
WTRU(102)의 프로세서(118)가 스피커/마이크로폰(124), 키패드(126), 및/또는 디스플레이/터치패드(128)(예를 들어, 액정 디스플레이(LCD) 디스플레이 유닛 또는 유기발광 다이오드(OLED) 디스플레이 유닛)에 커플링되어 그들로부터 사용자 입력 데이터를 수신할 수 있을 것이다. 또한, 프로세서(118)가 스피커/마이크로폰(124), 키패드(126), 및/또는 디스플레이/터치패드(128)로 사용자 데이터를 출력할 수 있을 것이다. 또한, 프로세서(118)가 비착탈식 메모리(130) 및/또는 착탈식 메모리(132)와 같은 임의 타입의 적합한 메모리로부터의 정보에 접속할 수 있고 그리고 그러한 메모리 내에 데이터에 저장할 수 있을 것이다. 비착탈식 메모리(130)는 랜덤 액세스 메모리(random-access memory (RAM)), 리드 온리 메모리(read-only memory (ROM)), 하드 디스크, 또는 임의의 다른 타입의 메모리 저장 디바이스를 포함할 수 있을 것이다. 착탈식 메모리(132)는 가입자 식별 모듈(subscriber identity module (SIM)) 카드/유니버샬 집적 회로 카드(UICC), 메모리 스틱, 보안 디지털(SD) 메모리 카드 등을 포함할 수 있을 것이다. SIM/UICC는 보안 실행 및 저장 환경을 가지는 무선 디바이스를 제공할 수 있을 것이며, 그로부터 디바이스가 네트워크 운영자를 향한 네트워크 운영자를 이용한 디바이스 사용자의 가입을 승인할 수 있게 하는 및/또는 네트워크 운영자가 디바이스에 걸쳐서 소정 형태의 제어 즉, 소유권을 가질 수 있게 허용하는, 인증 알고리즘들을 실행할 수 있고 그리고 크레덴셜들을 저장할 수 있다. 다른 실시예들에서, 프로세서(118)는 서버 또는 가정용 컴퓨터(미도시)와 같은 WTRU(102)에 물리적으로 위치되지 않은 메모리로부터의 정보에 접속할 수 있을 것이고 그리고 그러한 메모리에 데이터를 저장할 수 있을 것이다.
프로세서(118)는 전원(134)으로부터 전력을 수신할 수 있을 것이고, 그리고 WTRU(102) 내의 다른 성분들로 전력을 분배 및/또는 제어하도록 구성될 수 있을 것이다. 전원(134)은 WTRU(102)로 전력을 공급하기 위한(powering) 임의의 적합한 디바이스일 수 있을 것이다. 예를 들어, 전원(134)이 하나 또는 둘 이상의 건식 셀 배터리들(예를 들어, 니켈-카드뮴(NiCd), 니켈-아연(NiZn), 니켈 금속 수소화물(NiMH), 리튬-이온(Li-ion), 등), 태양 전지들, 연료 전지들 및/또는 기타 등등을 포함할 수 있을 것이다.
프로세서(118)는 또한, WTRU(102)의 현재 위치와 관련한 위치 정보(예를 들어, 위도 및 경도)를 제공하도록 구성될 수 있는 GPS 칩셋(136)에 커플링될 수 있을 것이다. GPS 칩셋(136)으로부터의 정보에 부가적으로, 또는 그 대신에, WTRU(102)이 기지국(예를 들어, 기지국(114a, 114b))으로부터 공중 인터페이스(116)를 통해서 위치 정보를 수신할 수 있고 및/또는 둘 또는 셋 이상의 인접한 기지국들로부터 수신되는 신호들의 타이밍을 기초로 그 위치를 결정할 수 있을 것이다. WTRU(102)가 실시예와 일치되는 구성을 유지하면서 임의의 적합한 위치-결정 방법에 의해서 위치 정보를 획득할 수 있다는 것을 이해할 수 있을 것이다.
프로세서(118)는 부가적인 피쳐들(features), 기능 및/또는 유선 또는 무선 연결을 제공하는 하나 또는 둘 이상의 소프트웨어 및/또는 하드웨어 모듈들을 포함할 수 있는 다른 주변 장치들(138)에 추가적으로 커플링될 수 있을 것이다. 예를 들어, 주변 장치들(138)은 가속도계, 이-컴패스(e-compass), 위성 트랜시버, (사진용 또는 비디오용) 디지털 카메라, 유니버샬 직렬 버스(universal serial bus (USB)) 포트, 진동 장치, 텔레비젼 트랜시버, 핸즈 프리 헤드셋, 블루투스(Bluetooth)® 모듈, 주파수 변조형(FM) 무선 유닛, 디지털 음악 플레이어, 미디어 플레이어, 비디오 플레이어, 비디오 게임 플레이어 모듈, 인터넷 브라우저, 및/또는 기타 등등을 포함할 수 있을 것이다.
도 1c는 실시예에 따른 RAN(104) 및 코어 네트워크(106)의 계통도이다. 준술한 바와 같이, RAN(104)은 공중 인터페이스(116)를 통해서 WTRUs(102a, 102b, 102c)와 통신하기 위해서 UTRA 무선 기술을 채용할 수 있을 것이다. RAN(104)은 또한 코어 네트워크(106)와 통신할 수 있을 것이다.
RAN(104)가 e노드-Bs(140a, 140b, 140c)를 포함할 수 있을 것이나, 실시예의 구성과의 일치를 유지하면서, RAN(104)이 임의 수의 e노드-Bs를 포함할 수 있을 것이다. e노드-Bs(140a, 140b, 140c)은 공중 인터페이스(116)를 통한 WTRUs(102a, 102b, 102c)와의 통신을 위한 하나 또는 둘 이상의 트랜시버들을 각각 포함할 수 있을 것이다. 일 실시예에서, e노드-Bs(140a, 140b, 140c)이 MIMO 기술을 구현할 수 있을 것이다. 그에 따라, e노드-Bs(104a)은, 예를 들어, WTRU(102a)로 무선 신호들을 송신하고, 그리고 WTRU(102a)로부터 무선 신호들을 수신하기 위해서 복수의 안테나를 이용할 수 있을 것이다.
도 1c에 도시된 바와 같이, 노드-Bs(140a, 140b)가 RNC(142a)과 통신할 수 있을 것이다. 추가적으로, 노드-B(140c)가 RNC(142b)와 통신할 수 있을 것이다. 노드-Bs(140a, 140b, 140c)가 Iub 인터페이스를 통해서 각각의 RNCs(142a, 142b)와 통신할 수 있을 것이다. RNCs(142a, 142b)는 Iur 인터페이스를 통해서 서로 통신할 수 있을 것이다. 각각의 RNCs(142a, 142b)는 연결된 각각의 노드-Bs(140a, 140b, 140c)를 제어하도록 구성될 수 있을 것이다. 각각의 RNCs(142a, 142b)는 외측 루프 파워 제어(outer loop power control), 로드 제어(load control), 진입 제어(admission control), 패킷 스케쥴링(packet scheduling), 핸드오버 제어(handover control), 매크로다이버시티(macrodiversity), 보안 기능들(security functions), 데이터 암호화(data encryption) 및/또는 기타 등등과 같은, 다른 기능을 실행 및/또는 지원하도록 구성될 수 있을 것이다.
도 1c에 도시된 코어 네트워크(106)가 미디어 게이트웨이(MGW)(144), 모바일 전환 센터(mobile switching center)(MSC)(146), 서빙 GPRS 지원 노드(SGSN)(148), 및/또는 게이트웨이 GPRS 지원 노드(GGSN)(150)를 포함할 수 있을 것이다. 전술한 요소들의 각각이 코어 네트워크(106)의 일부로서 도시되어 있지만, 이들 요소들 중 임의의 하나가 코어 네트워크 운영자 이외의 다른 엔티티에 의해서 소유되고 및/또는 운영될 수 있다는 것을 이해할 수 있을 것이다.
RAN(104) 내의 RNC(142a)가 IuCS 인터페이스를 통해서 코어 네트워크(106) 내의 MSC(146)에 연결될 수 있을 것이다. MSC(146)가 MGW(144)에 연결될 수 있을 것이다. MSC(146) 및 MGW(144)는, WTRUs(102a, 102b, 102c)와 전통적인 랜드-라인(land-line) 통신 디바이스들 사이의 통신을 돕기 위해서, PSTN(108)과 같은 회로-스위치드 네트워크들에 대한 접속을 WTRUs(102a, 102b, 102c)에 제공할 수 있을 것이다.
RAN(104) 내의 RNC(142a)가 IuPS 인터페이스를 통해서 코어 네트워크(106) 내의 SGSN(148)에 연결될 수 있을 것이다. SGSN(148)이 GGSN(150)에 연결될 수 있을 것이다. SGSN(148) 및 GGSN(150)은, WTRUs(102a, 102b, 102c)와 IP-인에이블드 디바이스들 사이의 통신을 돕기 위해서, 인터넷(110)과 같은 패킷-스위치드 네트워크들에 대한 접속을 WTRUs(102a, 102b, 102c)에 제공할 수 있을 것이다.
전술한 바와 같이, 코어 네트워크(106)가 또한, 다른 서비스 제공자들에 의해서 소유 및/또는 동작되는 다른 유선 또는 무선 네트워크들을 포함할 수 있는, 네트워크들(112)에 연결될 수 있을 것이다.
전술한 통신 시스템들 및/또는 디바이스들이 본원에서 기술한 바와 같은 글로벌 플랫폼(GP) 스마트카드와 함께 사용될 수 있을 것이다. GP 스마트카드 아키텍쳐가 하나의 디바이스 상의 하나 이상의 애플리케이션들에 대한 지원을 제공한다. 상대적으로 개방된 환경에서의 많은 및/또는 변경된 수의 애플리케이션들의 수용은, 예를 들어, 악성 코드(malware), 바이러스들, 보트들(bots), 및/또는 유사한 보안 문제들과 같은, 보안 문제들을 제시할 수 있을 것이다. 보안 문제들은 지속적이고 및/또는 계속적으로 존재한다. GP 보안 메커니즘들 GP의 보안 도메인(SD) 구조를 통한 보안 공격으로부터의 보호를 제공할 것이고, 이는 카드 관리자의 최종적인 감독하에서 운용될 수 있을 것이다. GP 보안 피쳐들(features)은 무결성(integrity) 및/또는 인증 확인(verification)을 포함할 수 있을 것이다. 예를 들어, 무결성 및/또는 인증 확인은 카드 상으로 로딩된 애플리케이션 코드 및/또는 데이터에 대해서 적용될 수 있을 것이고, 이는 예를 들어 SD 보안 정책들에 의해서 요청될 수 있을 것이다. 또한, 프로그램 거동이 SD 및/또는 관리자 레벨들에서 모니터링될 수 있을 것이다. 만약 해당 애플리케이션과 연관된 위협이 검출된다면, 그러한 애플리케이션이 "록킹된" 상태로 이전될 수 있을 것이다. 그러나, GP의 보안 및 기능에 대한 추가들(additions)이 이루어질 수 있을 것이다. 본원의 실시예들이 예를 들어 GP 스마트카드 및/또는 스마트카드, 가입자 식별 모듈(SIM), 유니버샬 집적 회로 카드(UICC) 또는 다른 온-카드 환경 상에서 실행될 수 있는 GP 아키텍쳐와 관련하여 설명되지만, 본원에서 개시된 실시예들이, 예를 들어, 가상 가입자 식별 모듈(vSIM) 또는 트러스트 환경들이 임베딩된 다른 플랫폼들과 같은 다양한 오프-카드 환경들에서 채용될 수 있다는 것을 이해할 수 있을 것이다.
GP 아키텍쳐와 관련하여, GP 동작 환경은 스마트카드 상에서 구성된 허용된 애플리케이션 스위트(suite)와 관련된 탄력성(flexibility)을 제공할 수 있을 것이다. 트러스티드 도메인(TD) 개념이, 트러스티드 하드웨어 가입자 모듈(Trusted Hardware Subscriber Module (THSM))의 원본(original) 셋팅으로부터 GP 순응형(compliant) 스마트카드로, S/W로서 포팅될 수 있을 것이다. 실시예에 따라서, GP 스마트카드가 THSM의 피쳐들을 효과적으로 실시할 수 있을 것이다. 그러한 피쳐들은, 트러스티드 도메인 S/W의 특정 요소들이 적절하게 조직화된 계층으로 일단 로딩되면 및/또는 설치되면, 실행될 수 있을 것이다. 이용될 수 있는 TD 개념들의 예시적인 피쳐들은 트러스트 메커니즘들, TDs의 원격 소유권 취득(remote take ownership (RTO)), 사용자 등록 및/또는 원격 크레덴셜 롤아웃, 트러스티드 가입자 식별 관리(trusted subscriber identity management (TSIM)) 애플리케이션 이동( application migration), 및 완전 승인 및/또는 키이 어그리먼트(key agreement (AKA)) 기능을 포함한다. 예를 들어, 트러스트들 메커니즘들은 하나 이상의 도메인들의 격리 및 보안을 제공할 수 있을 것이다. 실시예에 따라서, 하나 이상의 도메인들이 다른 도메인들로부터 격리될 수 있는 보안 실행 및 저장 환경을 포함할 수 있을 것이다. 예를 들어, GP 트러스티드 프레임워크(framework)가 인터(inter)-애플리케이션 및/또는 인터-도메인 통신을 담당할 수 있을 것이고 그리고, 예를 들어, CI의 보안 규칙들을 실행함으로써, 애플리케이션 오염에 대한 격리 및 보호를 보장할 수 있을 것이다.
예를 들어, 트러스티드 메커니즘들은 런타임 무결성 체킹 및/또는 모바일 트러스티드 모듈(mobile trusted module (MTM)) 트러스트 능력들(capabilities)과 연관된 트러스트의 루트들(roots of trust (RT))을 포함할 수 있을 것이다. 트러스트의 그러한 양태들(aspects)은, 파일 로딩 중에 보호 수단들(safeguards)이 실시되나 런-타임 무결성 체킹은 허용되지 않는, GP 환경에서 채용되지 않을 수 있을 것이다. TDs의 원격 소유권 취득(Remote Take Ownership (RTO))은 완전한 가입 서비스를 위한 기능을 원격 소유자(RO)에게 제공할 수 있을 것이다. 하나 초과의 원격으로 소유된 TD가 동시에 존재할 수 있을 것이다. TD는, 본원에서 설명된 바와 같이, TD 애플리케이션의 메인 기능 유닛이 될 수 있을 것이다. THSM 환경 내의 RTO 프로토콜은 소유권에 대한 디바이스 신뢰성(thrustworthness) 구축이 이루어지도록 트러스트 메커니즘들을 포함할 수 있을 것이다. 그러나, GP 셋팅에서, 트러스트 메커니즘들은 카드 상으로의 파일 로딩 중에 패턴 및/또는 무결성 체킹의 형태로 존재할 수 있을 것이다. RTO 프로토콜 및 TDs에 관한 보다 구체적인 설명이 본원에서 제공된다.
도 2 및 2a의 도면들은 전체 RTO 프로토콜 흐름의 실시예를 도시한다. 도 2 및 2a가 예시적인 RTO 프로세스에 대한 콜(call) 흐름도를 도시한다. 예를 들어, 도 2 및 2a는 ME(202), TDDO(204), SDM(206), TD*RO(208) 및 RO(210) 중 하나 이상의 사이에서의 예시적인 콜들을 도시한다. 도 2 및 2a의 화살표들은 콜의 기원/목적지를 나타낼 수 있을 것이다. 사용자는 UE 플랫폼의 파워-온을 개시할 수 있을 것이다. 플랫폼은 도메인들에 대한 로우-레벨(low-level) 컴퓨팅, 저장, 또는 통신 자원들을 제공할 수 있을 것이다. 플랫폼은 하드웨어, 동작 시스템, 로우-레벨 펌웨어 또는 소프트웨어(예를 들어, 부트 코드들(boot codes), BIOS, APIs, 드라이버들, 미들웨어, 또는 가상화 소프트웨어) 및/또는 하이-레벨 펌웨어 또는 소프트웨어(예를 들어, 애플리케이션 소프트웨어) 및 그러한 자원들에 대한 각각의 구성으로 이루어질 수 있을 것이다. 각각의 도메인은 컴퓨팅의 구성, 저장, 또는 플랫폼 상에서 실행되는 통신 자원들을 포함할 수 있을 것이다. 베이스 코드 부트는 212에서 ME(202)에 의해서 완료될 수 있을 것이다. 214에서, THSM이 확실하게 부트할 수 있을 것이다. THSM은 DO의 도메인, 즉 포함된 SDM을 로딩할 수 있을 것이고; 여기에서 SDM은 1) 도메인 구축을 위해서 이용가능한 자원들; 및/또는 2) 수용가능한 도메인들의 리스트를 사용자에게 제공할 수 있을 것이다. 216에서, THSM은 그 부트를 완료할 수 있을 것이다. 218에서, ME 가 그 부트를 완료할 수 있을 것이다. 219에서, ME는 그 부트가 완료되었다는 것을 TDDO(204)로 표시할 수 있을 것이다. 이러한 프로세스 동안에, DM의 도메인이 구축될 수 있을 것이고, 선택적인 사용자 도(optional user domain (MEu))이 또한 구축될 수 있을 것이며, 및/또는 이용가능한 자원이 체크될 수 있을 것이다. DM의 도메인은, ME 디바이스에 대한 도메인 정책의 초기 구성 및 재원(specification)을 제공하는 METDM 을 포함할 수 있을 것이다. MEDM 의 사전(pre)-구성으로 인해서, ME 도메인과 THSM 도메인 사이에서, 예를 들어 THSM 상의 정책들과 ME 상의 다른 정책들이 공통의 원격 소유자들과 일치되는 것과 같이, 이러한 정책이 그러한 도메인들과 관련하여 SDP의 정책과 일치되게 만들어질 수 있을 것이다.
도 2를 여전히 참조하면, ME(202)는, 그것의 사전-구성된 도메인들을 이용하여, 220에서 RTO를 개시하는 "부트 완료(boot complete)" 메시지를 219에서 전송할 수 있을 것이다. 이러한 메시지는 DM 도메인 정책 및 ME(202)에서의 이용가능한 자원들에 관한 명확한 정보를 포함할 수 있을 것이다. 222에서, 타겟 도메인 플랜(target domain plan)을 포함하는, RTO 시작에 대한 요청이 SDM(206)으로부터 TD*RO(208)로 전송될 수 있을 것이다. 224에서, RTO 시작 요청을 수용 또는 거부하는 결정이 TD*RO(208)에 의해서 이루어진다. 225에서, 메시지가 TD*RO(208)로부터 SDM(206)으로 전송되어, RTO가 시작되어야 하는지의 여부를 나타낼 수 있을 것이다. 그 대신에, 226에서, RTO가 TD*RO(208)로 기원(originate)할 수 있을 것이다. 227에서, TD*RO(208)는 RTO 최종 도메인 플랜을 시작하려는 의도의 표시를 SDM(206)로 전송할 수 있을 것이다.
THSM의 시스템 전역 도메인 정책(SDP)을 평가함으로써 그리고 ME(202) 도메인들 상으로 어떠한 제약들(restrictions)이 부여되는지 및/또는 할당되는지를 결정함으로써, SDM(206)이 ME(202) 부트 메시지에 대해서 반응할 수 있을 것이다. 이러한 정책 제약들은, 어떠한 도메인들이, 그들의 연관된 원격 소유자들에 따라서, 예를 들어, ME(202) 및 THSM 상에서, 허용될 수 있는지를 포함할 수 있을 것이다. SDM(206)은, 인지(aware)하고 있는 것들을 포함하여, THSM 상의 도메인들을 가지고 있는 동일한 원격 소유자에 의해서 소유된 도메인들에 대해서 ME(202)가 어떠한 시스템 전역 자원들을 사용할 수 있도록 허용되는지를 결정할 수 있을 것이다. SDM(206)은 또한 그 기본적인 정책에 대한 정책 제약 및 그 자원 리스트에 대한 허용가능한 자원들을 포함할 수 있을 것이다. MEPDM 이 정보를 수신한 후에, 모든 결정들에 대한 SDM(206)으로부터의 허용(permissions)을 필요로 하지 않고, ME(202) 상의 도메인들 및 자원들의 관리와 관련한 결정들을 만들고 그리고 실행하는 것과 관련한 특정 특권들을 행사할 수 있을 것이다. SDM(206) 및 그 정책(SDP)은, 예를 들어 GP 순응형 스마트카드 내의 애플리케이션으로서 보여질 때, CI SD와 같은 보안 도메인에 의해서 지배될(overruled) 수 있을 것이다. SDM(206)은, 자율성을 가지거나 가지지 않고 동작될 때, 지배될 수 있을 것이다.
여전히 도 2를 참조하면, 프로세스가 228로 계속될 수 있을 것이다. 228에서, SDM(206)은 이하를 체크 및/또는 평가할 수 있을 것이다: SDP, 이용가능한 자원들, 및/또는 수용가능한 도메인들 및/또는 상태들. 230에서, "시작 OK(OK to start)" 신호가 SDM(206)으로부터 TD*RO(208)까지 전송될 수 있을 것이다. 232에서, THSM 플랫폼 무결성 입증(Platform Integrity Attestation (TPIA)), THSM 플랫폼 환경 요약(Platform Environment Summary (TPES)), ME 플랫폼 무결성 데이터(Platform Integrity Data (MPID)) 및/또는 ME 플랫폼 환경 조사(Platform Environment Survey (MPES))에 대한 요청이 전송될 수 있을 것이다. 234에서, SDM(206)은, 예를 들어, 도메인 마다 PCRs의 범위에 걸쳐 기존 도메인들로부터 무결성 입증들을 수집/연결(concatenate)할 수 있고, 및/또는 TPES 정보를 수집 및/또는 연결할 수 있을 것이다.
236에서, MPID 및/또는 MPES에 대한 요청이 SDM(206)로부터 TDDO(204)로 전송될 수 있을 것이다. 242에서, MPID 및 MPES에 대한 응답이 ME(202)에 의해서 취급될 수 있을 것이다. 238에서, MPID 및 MPES가 트러스트의 증거와 함께, 예를 들어 사이닝 키이(signing key)와 함께 SDM(206)으로 전송될 수 있을 것이다. 239에서, TPIA, TPES, MPID 및/또는 MPES가 SDM(406)으로부터 TD*RO(208)로 전송될 수 있을 것이다. 240에서, THSM가 다이제스트(digest) MPIA를 MPID(미가공(raw) data)로부터 컴퓨팅할 수 있을 것이고 그리고 MPIA를 체크할 수 있을 것이다. 만약 수용가능하다면, 다이제스트 MPIA가 타겟(Target) RO(210)로 전송될 수 있을 것이다. 242에서, TPIA∥TPES∥SCARD∥Purpose∥RTO 메시지에 대한 요청이 TD*RO(208)로부터 ME(202)로 전송될 수 있을 것이다.
도 2a를 참조하면, 그리고 도 2로부터의 RTO 프로세스에 계속하여, 244에서, the TPIA∥TPES∥SCARD∥Purpose∥RTO 메시지가 ME(202)로부터 RO(210)로 전송될 수 있을 것이다. 246에서, RO(210)가 이하 중 하나 이상을 실시할 수 있을 것이다: TPIA, TPES, 및 목적 체크; 초기의(pristine) 도메인의 신뢰성을, 트러스트된 제 3 자로 부터 수신될 수 있고 그리고 RO에 의해서 유지될 수 있는, 기준 무결성 메트릭(metric) RIMRO에 대해서 결정하는 것; 허용가능성을 위해서 도메인 정책(DP)을 체크하는 것; 또는 완전한 도메인 상태를 구축하기 위해서 CONFIG를 형성하는 것. 248에서, 메시지 CONFIG∥DP∥RIMRO∥RO 아이덴티티(identity)가 Target RO(210)로부터 ME(202)로 전송될 수 있을 것이다. 250에서, CONFIG∥DP∥ RIMRO∥RO 메시지가 ME(202)로부터 TD*RO(208)로 전송될 수 있을 것이다. 252에서, TD*RO(208)가 도메인을 구축 및/또는 구성(configure) 할 수 있을 것이고, 및/또는 무결성 대(versus) RIMRO 를 체크할 수 있을 것이다. 또한, TD*RO(208)가 Target RO(210)에 의해서 취해진 그것의 소유권을 가질 수 있을 것이고, 그에 따라 그것을 TDRO 로 변환할 수 있을 것이다. 254에서, 도메인 완료 메시지가 TDRO(208)로부터 ME(202)로 전송될 수 있을 것이다. 256에서, (예를 들어, 서명(signature)을 통해서) 무결성 보호될 수 있는(integrity protected), 도메인 완료 메시지가 Target RO(210)로부터 ME(202)로 전달될 수 있을 것이다.
사용자 등록 및/또는 원격 크레덴셜 롤아웃이 TD 구축(build)을 완료할 수 있을 것이고 및/또는 사용자에게 전체 가입자 상태(full subscriber status)를 승인(grant)할 수 있을 것이다. 이러한 프로세스는 사용자뿐만 아니라 프로토콜에서의 포인트-오브-세일(point-of sale (POS)) 참가(participation)를 채용할 수 있을 것이다. TSIM 애플리케이션 이동(migration)은 TD 기능을 포함하는 완전한 도메인 전달(transfer), 또는 하나의 디바이스로부터 다른 유사한 가능한(capable) 디바이스(예를 들어, 목적지 디바이스)에 대한 가입자의 크레덴셜들의 단순한 재-이미징(re-imaging)을 포함할 수 있을 것이다. 이동을 위해서, 소오스로부터 목적지 디바이스들 까지의 크레덴셜들의 포인트-대-포인트 전달을 위한 2개의 구성 프로토콜들이 고려될 수 있을 것이다. 하나의 구성은 소오스 디바이스 및 목적지 디바이스 모두에 대한 하나의 소유자를 포함할 수 있는 한편, 다른 구성은 각각의 디바이스에 대한 상이한 소유자들을 포함할 수 있을 것이다. 각각의 경우의 등록 및/또는 크레덴셜 롤아웃이 일단 실행되면, GP 스마트카드가 또한 각각의 TD의 완전한 인증 및 키이 어그리먼트(AKA) 기능을 제공할 수 있을 것이다. 이러한 피쳐는 일부 상황들 하에서 포팅을 위해서 이용되지 않을 수 있을 것이다.
본원에서 GP 스마트카드 및 THSM/TD 아키텍쳐들의 비교가 설명된다. GP 스마트카드와 관련하여, GP 스마트카드 아키텍쳐가 카드 관리자를 포함할 수 있을 것이다. 카드 관리자는 카드 중앙 감독자 및/또는 글로벌 플랫폼 애플리케이션 프로그래밍 인터페이스(API)일 수 있을 것이다. 카드 관리자는 GP 분위기(OPEN), 카드 발생자(issuer (CI)) 도메인, 및/또는 카드홀더 확인 방법(Cardholder Verification Method (CVM)) 서비스들을 포함하는 논리적인 엔티티일 수 있을 것이다. 카드 관리 구조는 트러스티드 프레임워크를 포함할 수 있을 것이다. 트러스티드 프레임워크는 인터-애플리케이션 통신 및/또는 글로벌 플랫폼 레지스트리를 담당할 수 있을 것이며, 상기 글로벌 플랫폼 레지스트리는, 예를 들어, 카드 자원 관리 데이터, 카드 및 애플리케이션 라이프 사이클 정보, 애플리케이션 아이덴티티들, 프로세스 특권들, 연관된 도메인들, 및/또는 유사한 정보를 저장할 수 있을 것이다.
GP 아키텍쳐 구조는, 인터-애플리케이션 통신과 같은, 카드 상의 상호작용들 및/또는 서비스들 중 많은 것을 책임질 수 있으며, 그에 따라, 예를 들어, 카드 상의 애플리케이션들, 명령 디스패치, 애플리케이션 선택, 논리적 채널 관리, 카드 콘텐트 관리, 도메인 개인화 서비스들(domain personalization services) 및/또는 보안 서비스들, 카드 록킹(card locking), 애플리케이션 라이프-사이클 상태 업데이트, 및/또는 유사한 상호작용들 및/또는 서비스들로 PAI를 제공할 수 있을 것이다.
GP 피쳐들은 카드 SD 구조 및/또는 연관된 이해관계자들에 대한 동작 환경을 제공할 수 있을 것이다. 이해관계자는 트러스티드 컴퓨팅 그룹(trusted computing group (TCG)) 항(term)이나, 이러한 항은 또한 TCG 표준들(standards) 외부의 유사한 엔티티들을 지칭하기 위해서 이용될 수도 있을 것이다. GP에 대한 이해관계자들은 카드 발행자(CI), 하나 이상의 애플리케이션 제공자들(AP), 디바이스 제조자들, 단말기 소유자들, 제어 권한자(authority), 및/또는 무선 통신 디바이스 상의 소프트웨어 및/또는 하드웨어에서 이해관계(interest) 또는 소유권을 가질 수 있는 다른 엔티티들일 수 있을 것이다. CI는 유효한 카드 소유자일 수 있을 것이다. AP은 네트워크 운영자들일 수 있을 것이다. 예를 들어, AP은 WiMax, 셀룰러 서비스(cellular service), IMS, 금융 서비스 제공자들, 및/또는 유사한 네트워크들을 위한 네트워크 운영자들일 수 있을 것이다. 예를 들어, 제어 권한자는 CVM 과 같은 글로벌 애플리케이션 서비스들을 다른 카드 애플리케이션들로 제공할 수 있을 것이다. 관련된 이해관계자들의 예들에 관한 보다 구체적인 설명이 본원에서 제공된다.
카드 재원은, 각각의 이해관계자의 애플리케이션들이 연관된 SDs를 소유할 것을 요청할 수 있을 것이다. 각각의 SD는 그것과 연관된 애플리케이션의 거동과 관련한 이해관계자의 보안 정책을 실행할 수 있을 것이다. 카드의 SD 구조는, 보안 정책 실행의 최종적인 제어를 가지는, 예를 들어, CI SD 와 같은, 외부 이해관계자와 계층적일 수 있을 것이다. GP은 CI 또는 다른 외부 이해관계자가 최종 정책 실행의 권한을 제어 권한자에게 또는 심지어 애플리케이션의 연관된 SD로 위임(delegate)할 수 있게 허용할 수 있을 것이다. 비(non)-CI SDs에 대한 "위임되는" 권한의 다양한 레벨들이 GP에서 허용될 수 있을 것이다. 위임되는 권한의 레벨들의 예들이 본원에서 식별되고 설명된다. 비록 CI를 이용하여 보안 정책 실행의 최종적인 제어를 가지는 외부 이해관계자를 지칭할 수 있을 것이지만, 임의의 다른 외부 이해관계자(들)이 보안 정책 실행의 최종적인 제어를 가질 수 있고 그리고 본원에서 설명되는 바와 같이 CI 와 연관된 기능들을 실시할 수 있을 것이다. 유사하게, CI SD가 CI와 연관된 SD를 지칭할 수 있을 것이나, 보안 정책 실행의 최종적인 제어를 가지는 임의의 다른 외부 이해관계자(들)와 연관된 SD가 본원에서 개시된 CI SD 과 동일한 또는 유사한 기능들을 실시할 수 있을 것이다.
도 3은 GP 아키텍쳐의 예시적인 실시예를 도시한 도면이다. 도 3에 도시된 바와 같이, 무선 통신 디바이스들이 복수의 애플리케이션들을 포함할 수 있을 것이고, 각각의 애플리케이션은 애플리케이션의 정책 실행을 제어하도록 구성된 보안 도메인(SD)과 연관된다. 예를 들어, 무선 통신 디바이스가, 카드 발행자 애플리케이션(들)(308), 애플리케이션 제공자(AP) 애플리케이션(들)(310), 및/또는 글로벌 서비스들(GS) 애플리케이션(들)(312)과 같은 복수의 애플리케이션들을 포함할 수 있을 것이다. 또한, 무선 통신 디바이스가 발행자의 SD(s)(302), 애플리케이션 제공자의 SD(s)(304), 및/또는 제어 권한자들의 SD(s)(306)와 같은 복수의 SDs를 포함할 수 있을 것이다. 카드 발행자 애플리케이션(들)(308)은 발행자의 SD(302)와 연관될 수 있고, AP 애플리케이션(들)(310)은 애플리케이션 제공자의 SD(s)(304)와 연관될 수 있고, 및/또는 GS 애플리케이션(들)(312)이 제어 권한자들의 SD(s)(306)와 연관될 수 있을 것이다. 각각의 보안 도메인이 그것의 연관된 애플리케이션(들)에서 정책 실행을 제어할 수 있을 것이다.
GP 플랫폼 특권들 및 보안 도메인 관리를 본원에서 설명한다. 일 실시예에 따라서, TSIM 이 GP 순응형 플랫폼에서 동작하는 동안에 본원에서 개시된 각각의 기능적인 특성이 실현되는 것이 바람직할 수 있을 것이다. TSIM이 GP 순응형 플랫폼에서 동작되는 동안 각각의 기능적 특성이 실현될 수 있는 범위는, 어떻게 자율적으로 TSIM 애플리케이션이 예를 들어 GP 카드 관리자 또는 다른 외부 이해관계자에 대해서 동작하도록 허용되었는지에 의해서 결정될 수 있을 것이다. 자율성 레벨은 GP CI와 TSIM AP 사이의 정책 어그리먼트의 출력을 기초로 할 수 있을 것이다. 자율성 레벨은, 예를 들어, GP CI 와 TSIM AP 와 같은 외부 이해관계자 사이의 트러스트의 레벨을 기초로 할 수 있을 것이다. 트러스트의 레벨은 여러 가지 기준들을 기초로 할 수 있을 것이다. 예를 들어, 트러스트의 레벨은, 최종적인 제어를 가지는 보안 도메인(예를 들어, CI SD(302))의 보안 정책과, 외부 이해관계자(예를 들어, 스마트카드에 상주하는 하나 이상의 애플리케이션들(310)을 가지려고 하는 AP SD(304))의 보안 정책 사이의 어그리먼트 레벨에 의해서 결정될 수 있을 것이다. 또한, 트러스트 레벨은 CI가 얼마나 AP과 친숙한지(familiar)에 의해서 결정될 수 있을 것이다. 실시예에서, 트러스트의 레벨은 또한 제 3 자로부터의 권장(recommendation)을 고려할 수 있을 것이다. AP 또는 다른 외부 이해관계자의 평판(reputation)이 또한 트러스트의 레벨 결정에 도움이 될 수 있을 것이다. 특권 레벨들은 트러스트의 레벨을 기초로 승인될 수 있을 것이다. 예를 들어, CI가 TSIM AP의 신뢰성을 결정할 수 있을 것이다. CI는, 예를 들어, TSIM SDP가 CI의 그것과 일치되는 것으로 간주될 때, 허가된 관리 특권(authorized management privilege (AMP))을 승인할 수 있을 것이다. 만약 트러스트 레벨들을 결정하는데 있어서 이용되는 인자들이 CI에 대해서 덜 어그리할 수 있다면(less agreeable), AMP 보다 적은 자율성을 제공할 수 있는, 위임된 관리 특권(Delegated management privilege (DMP))이 보다 가능성이 높을 수 있을 것이다. 예시적인 실시예에 따라서, CI SD(302)가 GP 특권 구조에 대해서 또는 본원에서 설명된 유사한 구조에 대해서 가장 높은 SD 권한자가 될 수 있을 것이다.
적어도 3개의 특권 레벨들이 본원에서 설명될 수 있을 것이다. 하나의 그러한 특권 레벨이 허가된 관리 특권(authorized management privilege (AMP))이 될 수 있을 것이다. 이러한 특권 레벨은, 그러한 특권이 승인된 임의 애플리케이션에 대한 가장 큰 자율성을 제공할 수 있을 것이다. 만약 TSIM 애플리케이션이 승인된 AMP라면, 그것의 SD가 SD 계측의 상단부(top)에 위치되거나 및/또는 자체-연관될(self-associated) 수 있을 것이다. GP 환경에서, SDs는 애플리케이션들로서 간주될 수 있을 것이고 그리고 또한 연관된 SDs를 가질 수 있을 것이다. 만약 SD가 자체 연관된다면, 그것은 그것 자체의 보안 서비스들을 이용할 수 있을 것이다. 이러한 콘텍스트에서, CI SD는 토큰 확인(token verification (TV)) 특권 및/또는 영수증 발생(receipt generation (RG)) 특권으로 TSIM SD를 제어할 수 있을 것이다. 자체-연관된 SD는 SD 계층 내에서 TV 및/또는 RG 구조를 제어할 수 있고 및/또는 토큰들을 사용하지 않도록 결정할 수 있을 것이다. 이는 로드 파일들의 로딩을 넘어서는 SD 제어를 제공할 수 있을 것이다.
다른 특권 레벨은 위임된 관리 특권(delegated management privilege (DMP))이 될 수 있을 것이다. 비록 이러한 특권 레벨이 강력한 것으로 간주되지만, AMP에 의해서 제공되는 것 보다 적은 자율성을 제공할 수 있을 것이다. 애플리케이션 SD는 자체-연관되지 않을 수 있을 것이다. 결과적으로, CI SD는 계층에서 아래에 있는 SD를 넘어서는 TV 및/또는 RG 특권들을 실행함으로써 로드 파일 활동들(activities)을 제어할 수 있을 것이다. 그러나, 승인된 DMP일 수 있는 SD가, 로드 파일들의 로딩을 실시할 수 있는 및/또는, 예를 들어, 로드 파일 활동들과 관련된 파일 무결성에 부속되는 것과 같은 다른 보안 프로세스들을 감시(oversee)할 수 있는 권한을 가질 수 있을 것이다.
다른 특권 레벨이 AMP 및 DMP 중 어느 것도 포함하지 않을 수 있을 것이다. AMP 또는 DMP가 없이, SD는 매우 적은 자율성을 가질 수 있을 것이다. CI SD가 로드 파일들에 관한 로딩 기능을 실시할 수 있을 것이고 및/또는 로딩 프로세스들의 제어에 있어서 TV 및/또는 RG 특권들을 실행할 수 있을 것이다. 또한, CI SD가 파일 무결성과 관련된 로드 파일 활동들을 넘어서는(over) 제어를 가질 수 있을 것이다.
1) 영수증 발행 메커니즘들; 2) 토큰 서명(signing) 메커니즘들; 3) 위임된 관리 특권 토큰들; 4) 카드 관리 엔티티 OPEN에 의한 영수증들의 감시; 5) 자체-연관된 스마트카드(SC)에 의한 보충적인 SDs의 구성과 관련한 메커니즘; 6) DMP를 가지는 SDs와 관련된 자체-엑스트러디션(extradition) 문제들; 7) 실제 세계에서의 자체-엑스트러디션을 가지는 전체 경험 레벨들; 8) SC 웹 서비스(SCWS)와 연관된 애플리케이션들; 9) 비밀(confidential) 카드 관리; (10) 토큰 확인 특권 및 영수증 발생 특권의 이용과 관련된 메커니즘들; 및 자체-연관 SC에 의한 보충적인 SDs 의 구성과 관련한 추가적인 정보에 관한 설명을 포함하여, GP 보안 도메인 관리에 대해서 본원에서 설명한다.
일부 실시예들에 따른 GP 보안 도메인 관리 성질들이 본원에서 설명된다. GP 보안 메커니즘들을 이용하는 실시예에서, 보충적인 SD가 토큰 확인 특권 및/또는 영수증 발행 특권을 가질 수 있을 것이다. 예시적인 실시예에서, 카드 마다 적어도 하나의 SD가 이러한 특권들 중 각각의 특권을 가질 수 있을 것이다. SD는, 토큰 확인 특권 및 영수증 발생 특권 모두를 가지는 SD 와 동일할 필요가 없을 수 있을 것이다. 그에 따라, 발행자 도메인이 토큰 확인 특권 및/또는 영수증 발생 특권을 가질 수 있으나, 다른 실시예에서, 그것이 토큰 확인 특권 및/또는 영수증 발생 특권을 가지는 다른 SD 일 수 있을 것이다. 예를 들어, 실시예에 따라서, 계층 마다, 영수증 발생 특권을 가지는 하나의 SD 및 토큰 확인 특권을 가지는 하나의 SD가 존재할 수 있을 것이다. 이는, 카드마다 토큰 확인 특권을 가지는 하나의 SD 및 영수증 발생 특권을 가지는 하나의 SD 와 상이할 수 있을 것이다. 이러한 특권들을 가지는 SD는 동일한 SD 일 필요는 없으나, 동일할 수 있을 것이다. 만약 계층에서 현재의 SD 위의 SD가 RG 특권을 가졌다는 것을 OPEN이 검출한다면, 영수증이 발생될 수 있을 것이다. 그러나, 이는, 토큰이 이용되었는지의 여부에 따라서 달라질 수 있을 것이다. 이는, 영수증을 발행할 수 있는 및/또는 영수증을 SD의 소유자에게 전송할 수 있는 RG 특권을 가지는 SD 일 수 있을 것이다. 만약 ISD가 영수증을 사인한다면(signs), 영수증이 CI 로 전송될 수 있을 것이다.
실시예에 따라서, TSIM 자율성이 로드 영수증들의 발행을 위해서 존재할 수 있을 것이다. TSIM 연관된 SD는 승인된 허가된 관리 특권일 수 있을 것이다. 예를 들어, CI가 허가된 관리 특권을 TSIM 연관된 SD 로 승인할 수 있을 것이다. CI는 또한 토큰 확인 특권 및/또는 영수증 발생 특권을 승인할 수 있을 것이다. 이러한 구성에서, TSIM이 그 SD 계층의 상단부에 있을 수 있을 것이고 그리고 TSIM 애플리케이션의 카드 콘텐트를 관리할 수 있을 것이다.
GP 보안 관리 성질들을 가지는 실시예들에서, 가능한 토큰 구조 방법들이 토큰 발생/발행, 토큰 확인, 및/또는 영수증 발생을 포함한다. 예를 들어, 실시예들은 영수증을 이용하여 CI가 카드의 구성을 트랙킹(track)할 수 있게 허용할 수 있을 것이다. 영수증을 이용하여, 예를 들어, AP 및/또는 CI과 같은, SD 소유자가 대응하는 토큰이 성공적으로 이용되었는지를 알 수 있게 할 수 있을 것이다. SD 소유자가 구축될 수 있을 것이고 그에 따라서 SD가 영수증에 사인한다. SD는 카드의 구성을 트랙킹하지 않을 수 있을 것이다. GP 레지스트리는 구성에 관한 데이터를 저장할 수 있을 것이고 및/또는 성공적인 관리 이벤트 이후에 그것이 자동적으로 업데이트될 수 있을 것이다. 예를 들어, 구성에 관한 정보를 얻기 위해서, OPEN이 GP 레지스트리를 판독할 수 있을 것이다. 허가된 오프-카드 엔티티가, 예를 들어, GET STATUS 명령을 이용하여 레지스트리를 판독할 수 있을 것이다. 실시예에 따라서, TSIM 연관된 SD가 TSIM AP에 의해서 소유될 수 있을 것이다. 토큰들 및/또는 영수증들이 사용될 때, GP 레지스트리가 구성 데이터를 저장할 수 있을 것이다. 만약 토큰들이 TSIM AP에 의해서 발행되었다면 및/또는 그러한 토큰들이 TSIM SD에 의해서 사인된 영수증들로 확인되었다면, 저장 메커니즘이 동일한 것이 될 수 있을 것이다.
GP 보안 메커니즘들을 이용하는 실시예에서, 보충적인 SD가 토큰들을 확인할 수 있을 것이다. 새로운 애플리케이션들을 로딩하기 위해서, DAPs 및/또는 DM 토큰들이 DM 특권을 가지는 보충적인 SD에 대해서 요청될 수 있을 것이다. 이는, 새로운 차일드(child) SDs 로딩을 포함할 수 있을 것이다. 여러 가지 타입들의 토큰들을 이용하여 애플리케이션을 로딩 및/또는 설치할 수 있을 것이고 및/또는 그것을 그것의 여러 가지 라이프사이클 상태들을 통해서 이동시킬 수 있을 것이다. DAPs가 AP에 의해서 발생될 수 있을 것이다. AP은 DM 특권을 가지는 보충적인 SD를 소유할 수 있을 것이다. 그러나, 위임된 관리 토큰들(Delegated Management tokens)을 포함할 수 있는 토큰들이 CI에 의해서 생성될 수 있을 것이다. 이는, 그것의 특권들을 가지는 보충적인, 자체-엑스트러다이티드(self-extradited) SD가 CI로부터 토큰들을 취할 수 있다는 것을 의미할 수 있을 것이다. 토큰들이 AP으로부터의 여러 가지 INSTALL 명령들에서 스마트카드로 공급될 수 있을 것이다. AP은 그것의 DM 특권을 이용하여 애플리케이션을 로딩할 수 있을 것이다. 추가적으로, 하나의 타입의 토큰이 존재할 수 있을 것이다. DAP은 또한 토큰들과 무관할 수 있을 것이다. 토큰들이, 예를 들어, SD의 오프-카드 소유자에 의해서, TV 특권으로 사인되고 및/또는 발행될 수 있을 것인데, 이는 그러한 SD가 토큰을 확인할 수 있게 하는 키이를 가질 수 있기 때문이다. 실시예에 따라서, 계층마다 하나의 TV 특권이 존재할 수 있을 것이다. 하나의 트리(tree)를 가지는 카드의 경우에, 만약 DMP를 가지는 SDs가 존재한다면, ISD가 TV 특권을 가질 수 있을 것이다. 대안적인 실시예들에서, 토큰 발행자는 사이닝 키이를 AP으로 전송할 수 있을 것이고, 그러한 AP이 토큰을 사인할 수 있을 것이다. 이는, 어느 SD가 TV 특권을 가지는지에 대해서 영향을 미치지 않을 수 있을 것이다. 만약 대칭적인 사이닝 프로세스가 이용된다면, AP은 토큰이 TV 특권을 가졌는지에 대해서 토큰을 확인할 수 있을 것이다. 실시예에 따라서, CI가 키이를 제공하지 않을 수 있고 및/또는 각각의 계층의 루트(root)에서 그 자체의 AM 특권을 가지는 2개의 상이한 계층들을 가지는 분할(split)-관리를 선택할 수 있을 것이다.
TSIM AP이 그것이 소유한 SD와 함께 키이를 공유할 수 있을 것이다. 하나의 실시예에 따라서, 만약 대칭적인 키이들이 채용된다면, TSIM AP이 키이를 공유할 수 있을 것이다. AP이 토큰을 발행 및/또는 사인할 수 있을 것이다. SD가 토큰 서명을 확인할 수 있을 것이고 및/또는 영수증 확인을 위해서 AP으로 다시 전송되는 영수증을 발생 및/또는 사인할 수 있을 것이다. 이러한 과정에서 이용된 GP 크레덴셜들이 TSIM 트러스티드 도메인들과 연관된 것들과 상이할 수 있을 것이다.
일부 실시예들에서, DM 토큰(예를 들어, 또는 다른 토큰들)이 CI 이외의 다른 이해관계자에 의해서 사인될 수 있을 것이다. 예를 들어, 토큰의 발행자는 토큰 확인 특권을 가지는 SD의 SD 제공자일 수 있을 것이다. 일 실시예에 따라서, SD 제공자가 CI가 될 수 있을 것이다. DM 토큰이, 예를 들어, AP과 같이, CI 이외의 어느 것(someone)에 의해서 사인될 수 있을 것이다. 권리(right) 특권들을 가지는 자체-엑스트다이티드 보충적 SD가 CI와 독립적일 수 있을 것이다. 임의의 SD가 TV 특권을 가질 수 있을 것이다. 예를 들어, 계층 마다 하나의 SD가 TV를 가질 수 있을 것이다. 그것은 토큰에 사인할 수 있는 특권화된 SD의 소유자일 수 있을 것이다. 그것이 보안 정책 실행의 최종적인 제어를 가지는 발행자 또는 다른 외부 이해관계자이어야 할 필요는 없을 것이다. 예를 들어, 비-ISD 계층 내의 SD가 TV 특권을 가질 수 있고 및/또는 해당 SD의 소유자가 토큰들에 사인할 수 있을 것이다.
또한, 여러 가지 GP 도메인 계층들이 희망하는 타입의 TSIM 구성을 기초로 인식될 수 있을 것이다. 예를 들어, 분리된 원격 소유자들이 그들의 TD 기능의 일부로서 작동하는 소프트웨어를 각각 가질 수 있을 것이다. TSIM 애플리케이션은 이러한 원격 소유자들의 각각에 대한 대응하는 연관된 GP SDs로 구축될 수 있을 것이다. SD는, 그들의 활동을 감시하는 TSIM 연관된 SD를 가지는 그들의 자체의 구성들을 관리하기 위해서, 위임된 관리 특권을 승인받을 수 있을 것이다.
실시예에 따라서 DM 토큰들에 대해서 본원에서 추가적으로 설명한다. 토큰들은 여러 가지 작용들 및/또는 특권들에서 이용될 수 있을 것이다. DM 토큰은 관리 카드 콘텐트의 DM 프로세스에서 이용되는 임의 토큰을 지칭할 수 있을 것이다. DM 토큰들은, 전술한 바와 같이, 예를 들어, TSIM 애플리케이션 구성 구축 프로세스들의 콘텍스트에서 이용될 수 있을 것이다.
실시예에 따라서, OPEN은 영수증이 이용되었는지의 여부를 결정할 수 있을 것이다. OPEN은, 예를 들어, 관련 명령(예를 들어, INSTALL)이 성공적으로 실행된 후에, 영수증이 이용될 수 있을 때 영수증이 생성되도록 보장할 수 있을 것이다. OPEN은, 계층 내의 임의의 SDs가 영수증 발행 특권을 가지는지의 여부를 결정할 수 있을 것이다. 만약 현재의 SD 또는 계층 내의 그 위의 SD가 영수증 생성 특권을 가진다면, OPEN은, 영수증이 생성되도록 및/또는 애플리케이션 제공자에게 전송되도록 보장할 수 있을 것이다. TSIM 포팅의 다른 실시예들이 1) 토큰들 없음; 2) 영수증들이 없는 토큰들; 및/또는 3) 완전한 확인을 가지는 토큰들 및/또는 영수증들과 같은 토큰들 및 영수증들의 조합들의 상이한 이용을 포함할 수 있을 것이다. 하나의 실시예에서, 만약 발행자 도메인이 영수증 발행 특권을 가진다면, ISD(예를 들어, 연관된 SDs에 대한 것이 아니다)와 연관된 SDs에 대해서 영수증이 발생될 수 있을 것이다. 하나의 실시예에서, 만약 애플리케이션을 로딩하는 SD가 자체-연관된다면 그리고 영수증-발생 특권을 가지지 않는다면, 영수증이 계층의 상단부에서의 SD에 의해서 발생되지 않을 수 있을 것이다. 영수증들이 선택적일 수 있을 것이다. 예를 들어, 만약 SD가 계층의 상단부에 있다면, 애플리케이션을 로딩하기 위해서 어떠한 특권을 SD가 이용하는지가 결정될 수 있을 것이다. 예를 들어, SD가 AM 특권을 가질 수 있을 것이며, 이는 그것이 토큰들을 이용하지 않고 그에 따라 영수증들이 발생되지 않을 것임을 의미할 수 있을 것이다. 만약 SD가 RG 및/또는 TV 특권을 가진다면, 그것은 보조적인 SDs에 대한 영수증을 발행할 수 있을 것이다. 실시예에 따라서, 만약 그것들이 DM 특권을 가진다면 및/또는 CCM 동작들을 실시하기 위해서 토큰을 가진다면, 영수증들이 발행될 수 있을 것이다. 만약 SD가 DM 및 TV 특권 모두를 가진다면, 그것은 AM 특권을 가지는 것과 실질적으로 균등한 자율성을 가질 수 있을 것인데, 이는 SD가 그 자체의 토큰들을 확인할 수 있을 것이기 때문이다.
실시예에 따라서, DM 특권을 가지는 자체-연관된 SD가, 자신 아래에, 보조적인 SDs의 선형 체인 및/또는 SDs의 복수-레벨 트리를 생성할 수 있을 것이다. 예를 들어, SD가 계층에서 TV 특권화된 SD에 의해서 확인될 수 있는 정확한 토큰들을 제시할 수 있을 것이다. 실시예에 따라서, 적어도 2개의 SD의 레벨들이 존재할 수 있을 것이다. 예를 들어, 하나의 보충적인 SD가 발행자 도메인 하에서 존재할 수 있을 것이다. 자체-연관된 SD가 그 아래에 어떠한 SDs도 가지지 않을 수 있을 것이다. 복수-층 트리가 생성될 수 있을 것이다. 각각의 SD는 그것이 연관된 다른 SD를 인지할 수 있을 것이고 및/또는 정확한 정보가 GP 레지스트리 내에 저장될 수 있을 것이다. 실시예에서, 보조적인 SD가 애플리케이션일 수 있을 것이고 그리고 또한 카드로 로딩되도록 및/또는 동작적이 되도록 여러 가지 카드 콘텐트 관리 프로세스들을 통해서 진행되어야 할 수 있을 것이다. 그 아래의 보조적인 SD를 로딩할 수 있게 하기 위해서, 보충적인 SD가 자체-연관되지 않아야 할 수 있을 것이다. 보충적인 SD가 DM 특권을 가질 수 있을 것이다. 보충적인 SD가 DM 특권을 가지지 않는 경우에도, 상단부-레벨의 SD가 보충적인 SD 아래에 SDs를 로딩하기 위해서 이용될 수 있을 것이다. 자체-연관된 SD는 그 자체의 서비스들을 제공하여야 할 수 있을 것이며, 이는 일부 APs 들에서 바람직할 수 있을 것이다. 발행자 도메인은 자체-연관된 SD 및 그것의 애플리케이션들을 킬링(kill)할 수 있을 것이다. 자체-연관된 SD가 AM 특권을 가질 수 있을 것이다. 예를 들어, 차일드 SDs를 생성하기 위해서, 토큰들이 그것을 위해서 요구되지 않을 수 있을 것이다. 실시예에서, 토큰들을 확인하기 위한 상단부-레벨 SD 위의 엔티티가 존재하지 않을 수 있을 것이고, 그리고, 예를 들어, 상단부-레벨 SD가 DM 특권을 가지지 않을 수 있을 것이다. 예를 들어, 이는 TSIM과 관련될 수 있는데, 이는 TSIM 보안 도메인 계측 내의 SDs가 원격 소유자의 선호들(preferences)에 따라서 그들의 구성들을 구축할 수 있기 때문이다.
실시예에서, DM 특권을 가지는 SD가 그 자체의 자체-엑스트러디션을 실시할 수 있을 것이다. 실시예에 따라서, 토큰이 이용될 수 있을 것이다. 자체-엑스트러디션 후에, 전술한 바와 같이, 자체-연관된 SD가 AM 특권을 획득할 수 있을 것이다. ISD가 실시예에 따라서 AM을 승인할 수 있을 것이다. GP 레지스트리를 업데이팅함으로써, AM이 승인될 수 있을 것이다. 자체-연관된 SD의 소유자는 GP 레지스트리를 업데이트하도록 CI에 요청할 수 있을 것이다. 그에 따라, SD는, CI로부터의 승인 없이 그 패런츠(parents)로부터 스스로를 컷팅(cut loose)할 수 없을 것이다. 실시예에 따라서, SD가 엑스트러디션 토큰을 이용한다면, 그러한 SD가 자체-엑스트러다이트하도록 허용될 수 있을 것이다. 실시예에 따라서, 복수의 자율적인 SD 계층들이 존재할 수 있을 것이다. SD 계층들은 TSIM의 한정들(confines) 내에 있을 것이다. 예를 들어, 하나의 SD 계층이 각각이 원격 소유자에 대해서 존재할 수 있을 것이다.
유사하게, 허가된 관리 특권을 가지는 SD가 그 자체적인 자체-엑스트러디션을 실시할 수 있을 것이다. 예를 들어, SD가 그 자체의 계층의 상단부에 있을 수 있을 것이다. 그것이 ISD의 계층 내에 있지 않을 수 있을 것이다. 이는, ISD가 그 계층 내에 AM을 가지지 않을 수 있기 때문일 수 있다. 만약 ISD 아래의 기존 SD가 ISD에 의해서 자체-엑스트러다이티드된다면, ISD가 GP 레지스트리로 진행(go)될 수 있을 것이고 및/또는 새로운 자체-연관된 SD로 AM 특권을 승인할 수 있을 것이다.
일부 실시예들에서, 키이 관리를 위한 GP 메커니즘들과 관련된 발행들(issues)이 해결될(resolved) 수 있을 것이다. 예를 들어, OP-연관된-대-SCWS(OP-associated-to-SCWS)가 MNO에 의해서 관리되지 않을 수 있고 및/또는 소유되지 않을 수 있으나, OP-연관된-대-SCWS를 보조적인 SD로 설치하는 제 3 자 OP에 의해서 소유될 수 있을 것이다. OP-연관된-대-SCWS의 소유자는 애플리케이션을 관리하기 위해서 GP 명령들을 직접적으로 이용할 수 있을 것이다. 실시예에 따라서, SCWS를 통하는 것 대신 직접적인 명령들이 사용될 수 있다. 만약 OP 소유자가 SCWS를 소유한 카드 발행자가 아니라면, 직접적인 명령들이 이용될 수 있을 것이다. 만약 SCWS 및/또는 OP 애플리케이션 모두가 GP 애플리케이션들이라면, SCWS는 트러스티드 경로(Trusted Path)를 이용하여 OP 애플리케이션을 호출(invoke)할 수 있을 것이다. SCWS 및/또는 OP가 상이한 SDs 하에 있을 수 있을 것이다. 예를 들어, SCWS 및/또는 OP가 상이한 소유권 하에서 있을 수 있을 것이다. GP 방법 및/또는 OMA/SCWS 방법을 이용하여, OP 애플리케이션이 키이들과 함께 제공될 수 있을 것이다. 예를 들어, (일반적인 자바 카드 또는 네이티브 애플리케이션(regular Javacard or native app)과 같이) 만약 SCWS가 GP 애플리케이션이 아니라면, 및/또는 OP가 GP 애플리케이션이라면, OP 애플리케이션이 GP을 이용하여 관리될 수 있을 것이다. SCWS가 OP 애플리케이션을 호출하도록 및/또는 키이들을 OP 애플리케이션으로 제공하도록 허용하기 위한 기능이 GP 내에 존재하지 않을 수 있을 것이다. 일 실시예에서, SCWS 및 OP 애플리케이션들이 TSIM과 함께 카드 상에 존재할 수 있으나, 그들이 카드의 외부에서 기능할 수 있을 것이다.
실시예에 따라서, 비밀 카드 관리(Confidential Card Management (CCM))가 암호화된 로드 블록들의 로딩을 허용할 수 있을 것이다. 암호화된 로드 블록들이 AP 이외의 다른 어떠한 것으로도 암호해독되지 않을 수 있을 것이다. AP이 언트러스티드 운송 링크(untrusted transport link)에 걸쳐 비밀 애플리케이션들을 로딩할 수 있을 것이다. 예를 들어, 보안 OTA 시스템을 가지는 MNO와 같은, 링크 플랫폼 운영자가 SD를 생성할 수 있을 것이고, 그러한 SD는 비밀 애플리케이션들을 로딩 및/또는 관리하기 위해서 및/또는 APSD의 소유권을 AP으로 전달하기 위해서, APSD가 요구될(called) 수 있을 것이다. AP은 SD(예를 들어, APSD)를 이용하여 비밀 로딩을 관리할 수 있을 것이다. APSD에 의해서 이용된 키이들이 LPO에 의해서 인지되지 않을 수 있을 것이다. 그러한 것을 달성하기 위해서, 제어 권한자(Controlling Authority)의 역할이 확대될 수 있을 것이고, 그에 따라 그것은 APSD 및/또는 APSD 개인화(personalization)에 대한 키이 생성을 보장할 수 있을 것이다. 이는 STORE DATA 명령을 이용하여 LPO의 네트워크를 통해서 이루어질 수 있을 것이다. APSD 키이들이 온-카드로 생성될 수 있을 것이고 및/또는 원격 AP으로 전송될 수 있을 것이다. APSD는 오프-카드로 생성될 수 있을 것이고 및/또는 APSD로 전송될 수 있을 것이다. 대칭적인 크립토(crypto)를 이용하여 DM 토큰들을 사인할 수 있을 것이다. CCM은 카드 콘텐트 관리를 위한 메커니즘들을 우회하지 않을 수 있을 것이다. 예를 들어, DAPs 및/또는 토큰들이 여전히 이용될 수 있을 것이다. 로드 토큰들이 카드 발행자에 의해서 사인될 수 있을 것이다. SD 생성 및/또는 배당(assignment)을 위해서, 트러스트가 CI로부터 제어 권한자로 이동될 수 있을 것이다. 실시예에 따라서, CA가 AP의 퍼블릭 키이(public key)를 홀딩할 수 있을 것이다. CA는 또한 AP의 SD 키이들의 온-카드 발생을 할 수 있을 것이다. CA는 AP의 퍼블릭 키이를 이용하여 AP의 SD 키이들을 암호화할 수 있을 것이고 및/또는 그들을 AP으로 전송할 수 있을 것이다. 애플리케이션 페이로드들(payloads)이 LPO의 (예를 들어, NO의) 네트워크를 통해서 터널링될(tunneled) 수 있을 것이다.
원격 소유자에 의해서 생성될 수 있고 및/또는 DM 특권을 가질 수 있는 APSD가 계층의 상단부에서 TSIM SD의 감시를 가지는 그것의 실행가능한 S/W를 구성할 수 있을 것이다. 예를 들어, 트러스티드 도메인 피쳐들의 포팅이 CI에 의해서 TSIM SD로 승인된 자율성의 레벨에 직접적으로 의존할 수 있을 것이다. 전술한 기능들의 일부가 CI 또는 보안 정책 실행의 최종적인 제어를 가지는 다른 외부 이해관계자의 인증 하에서 실시될 수 있을 것이다. 전체적인 TSIM 자율성이 없는 상태에서, TSIM 피쳐들의 일부 또는 전부가 허용되지 않을 수 있을 것이다.
실시예에 따라서, 토큰 확인 특권을 가지는(이러한 카드 마다 적어도 하나가 존재할 수 있을 것이다) SD가 토큰을 발행할 필요가 없이 토큰을 확인할 수 있을 것이다. 예를 들어, SD가 토큰을 확인하기 위해서 이용된 키이에 대한 접속을 가질 수 있을 것이다. 토큰을 포함하는 명령을 실행할 수 있도록 카드에 허가하는 토큰 확인 프로세스가 OPEN의 일부일 수 있을 것이다. AP은 CI로부터 토큰을 획득할 수 있을 것이다. 예를 들어, CI가 토큰을 발행한 CI 인 경우에, AP 이 그러한 CI로부터 토큰을 취할 수 있을 것이다. 그것은 아웃-오프-밴드(out-of-band)로 이루어질 수 있을 것이다. TV 특권을 가지는 적어도 하나의 SD 및/또는 RG 특권을 가지는 하나의 SD가 계층 마다 존재할 수 있을 것이다. 하나의 실시예에서, TV 특권을 가지는 SD가 토큰에 사인한 오프-카드 엔티티에 의해서 소유될 수 있을 것이다. 해당 계층 내의 RG 특권을 가지는 SD가 영수증에 사인하는 SD가 될 수 있을 것이다. AP이 토큰을 획득하는 및/또는 AP이 영수증을 프로세싱하는 프로세스들이 오프-카드로 이루어질 수 있을 것이다. 예를 들어, OPEN이 DM 특권을 가지는 SD에 대한 카드 관리 명령을 실행하기 위한 사전-조건으로서 토큰 확인의 온-카드 프로세스를 실행할 수 있을 것이다. OPEN은 또한 RG를 실행할 수 있을 것이다. 예를 들어, 만약 RG 특권이 계층 내에서 검출된다면, OPEN이 RG를 실행할 수 있을 것이다.
실시예에 따라서, OPEN의 실행 정책들은, 허가된 관리 특권을 가지는 TSIM SD (또는 SDs)가 토큰 이용과 함께 또는 토큰 이용 없이 기능할 수 있는 한, TSIM 활동들과 간섭하지 않을 수 있을 것이다. SDs가 위임된 관리 특권을 가지는 지의 여부 및 토큰들이 이용되는지의 여부와 관련하여 그것의 SDs를 어떻게 구성할지를, TSIM을 이용하여 결정할 수 있을 것이다.
예시적인 실시예에서, DM 특권을 가지는 자체-연관된 SD가 보조적인 SDs 의 그룹을 생성할 수 있을 것이고, 그에 따라 SDs 의 그룹이 동일한 레벨에 있게 된다. 예를 들어, DM 특권을 가지는 SD가 그 아래에 보다 많은 SDs를 로딩할 수 있도록 자체-연관될 필요가 없을 수 있을 것이다. 그러나, 토큰들이 이용될 수 있을 것이다. 전술한 바와 같이, 자체-연관된 SD가 DMP를 가지지 않을 수 있을 것이다. 트리의 상단부에서 SD가 AMP를 가질 수 있을 것이다. 만약 상단부 SD 아래의 SDs가 DMP를 가진다면, 상단부 SD가 TV 특권 및/또는 RG 특권을 가질 수 있을 것이다. 이러한 특권들의 각각은, 영수증들이 이용되는지의 여부에 의존할 수 있을 것이다. 예를 들어, AMP를 가지는 자체-연관된 SD와 같은, 패런트가 각각과 동일한 레벨에서 차일드 SDs의 그룹을 생성할 수 있을 것이다. 하나의 실시예에서, 패런트가 그러한 패런트와 동일한 레벨에서 차일드 SDs 의 그룹을 생성하지 않을 수 있을 것이다.
THSM 과 관련하여, THSM는, 트러스티드 가입 관리 기능들을 제공하도록 디자인될 수 있는 하드웨어-보호형 모듈이다. 예를 들어, THSM 기능들은 GSM에 대한 SIM 기능들로서 실시되는 그러한 기능들, UMTS 및/또는 IMS 운영자들 각각에 대한 및/또는 비(non)-3 GPP 접속 네트워크 가입자들에 대한 USIM 및/또는 ISIM 기능들을 포함할 수 있을 것이다. UMTS 환경과 연관된 UICC 기능이 예를 들어 포함될 수 있을 것이다.
도 4는 THSM(404)이 하이-레벨 사용자 장비(UE)(400) 디바이스 아키텍쳐의 일부인 실시예를 도시한 도면이다. UE(400)는 THSM(404) 및 ME(202)로 이루어질 수 있을 것이다. THSM(404)이 UE(400) 상에 임베딩되거나 임베딩되지 않을 수 있을 것이다. THSM(404)이 UE(400) 상에 엠베딩되는 경우에도, THSM(404)은 ME(202)로부터 논리적으로 분리되지 않을 수 있을 것이다. THSM(404)이 하나 이상의 도메인들을 가질 수 있을 것이다. 예를 들어, THSM(404)이 THSM 디바이스 제조자(Device Manufacturer (DM)) 도메인(406), THSM 디바이스 소유자(DO) 도메인(408), THSM 디바이스 사용자(DU 또는 U) 도메인(412), 시스템 전역 도메인 관리자(System-Wide Domain Manager (SDM)) 도메인(410), 및/또는 하나 이상의 원격 소유자(Remote Owner (RO)) 도메인들(414)을 포함할 수 있을 것이다. 각각의 도메인은 도메인의 특별한 소유자에 의해서 소유될 수 있을 것이고 및/또는 보안, 트러스티드 서비스들 및/또는 애플리케이션들을 제공함으로써 소유자의 이익을 위해서 동작될 수 있을 것이다. 도 4의 점선형 라인들은 도메인 소유자와 THSM(404) 내의 대응하는 도메인 사이의 연결들을 나타낸다. 실시예에 따라서, 그러한 연결들은 도메인 소유자와 ME(202) 사이의 공중(OTA) 인터페이스를 통해서 그리고 ME(202)와 THSM(404) 사이의 인터페이스를 통해서 인에이블링될 수 있을 것이다. THSM(404)내의 도메인들은 ME(202)에서 실시하기에 안전하지 않은 또는 편리하지 않은 보안-감응형(sensitive) 기능들 및/또는 애플리케이션들을 실시할 수 있을 것이며, 그러한 ME(202)에서의 실시는 저장 및/또는 실행 환경으로서 THSM(404) 보다 덜 안전한 것으로 간주될 수 있을 것이다. 본원에 개시된 예시적인 구현예들은 도 4와 관련하여 본원에서 설명된 바와 같은 성분들을 언급할 수 있을 것이다.
도메인들의 일부가, 예를 들어 3G 및/또는 4G 모바일 MNOs와 같은, 하나 이상의 모바일 네트워크 운영자들(MNO)s에 의해서 소유 및/또는 관리될 수 있을 것이다. 도메인들은, 예를 들어, WLAN, WiMax, 또는 유사한 통신 네트워크 운영자들 및/또는 애플리케이션 서비스 제공자들 과 같은, 다른 통신 네트워크 운영자들에 의해서 소유되고 및/또는 관리될 수 있을 것이다. 가입자의 관리는, 소유자들에 의해서 소유된 도메인들에 의해서 지원될 수 있는 키이 애플리케이션일 수 있을 것이다. THSM 도메인 상에서 구현되는 바와 같은 가입 관리의 기능은 TSIM 기능으로서 설명된다. 상이한 도메인들이 기능의 복수의 타입들을 지원할 수 있을 것이다. 예를 들어, 기능들은 3G 모바일 단말기들 상의 UICC의 USIM 및/또는 ISIM 애플리케이션들에 의해서 제공되는 것들과 유사할 수 있을 것이다. THSM는, 예를 들어UICC 와 같이, TSIM을 위한 것 이외의 다른 기능 및/또는 애플리케이션들 및 데이터를 가질 수 있을 것이다. THSM 성분들에 관한 추가적인 설명이 본원에서 기술된다. 그러한 설명들은, 제한 없이, 예시적인 목적들을 위해서 제공된다.
트러스티드 도메인들(TDs)은 THSM 아키텍쳐 및/또는 ME 내의 소프트웨어/펌웨어 엔티티들이다. TDs는, 트러스티드 보안 기능들 및/또는 애플리케이션들을 포함하여, 예를 들어 원격 소유자들을 포함할 수 있는 그들의 소유자들의 이익을 위해서, 가입 서비스들을 제공할 수 있을 것이다. 가입 모듈 내의 도메인들은 ME 내에서 실시하기에는 안전하지 않거나 편리하지 않을 수 있는 보안-감응형 기능들 및/또는 애플리케이션들을 실시할 수 있을 것이다. 도메인들은 소유권이 발생하기 전에 기본적인 기능을 가지는 "초기의(pristine)" 상태에 있을 수 있을 것이다. 도메인들은 소유권 프로세스를 통해서 전체 기능을 달성할 수 있을 것이다. 예시적인 실시예에 따라서, 본원에서 설명된 바와 같이 소유자는 외부 이해관계자 또는 다른 이해관계자일 수 있을 것이다. 하나의 소유자는 TD의 소유권을 취할 수 있을 것이다. 하나의 소유자가 또한 하나 초과의 TD를 소유할 수 있을 것이다. TDs 및/또는 애플리케이션들이 내부에 존재하는 구조를 TD 애플리케이션이 감시할 수 있을 것이다. TDs는 TD APP S/W 및/또는 정책 파일들 SDM 및/또는 SDP 및 그것의 연관된 SD에 의해서 관리될 수 있을 것이다. 예를 들어, TDs가 TD 애플리케이션의 관점으로부터 관리될 수 있을 것이다.
트러스티드 가입자 아이덴티니 관리(Trusted Subscriber Identity Management (TSIM))가 특정 TDs 내에서 UMTS 내의 USIM 과 유사한 역할을 실시할 수 있을 것이다. 이는, USIM이 UMTS 내의 가입 애플리케이션 기능이기 때문에, 그러할 수 있을 것이다. TSIM은 USIM 보다 더 요약적인(abstract) 논리적 엔티티일 수 있을 것이다. TSIM은, 예를 들어 인증 및/또는 키이 어그리먼트와 같은, UMTS 환경 내의 USIM의 가입자 기능을 제공할 수 있을 것이나, USIM에서와 같이 UICC로 한정되지 않을 수 있을 것이다. 그 대신에, TSIM이 THSM 내의 RO의 TD(s) 내에 존재할 수 있을 것이다. 보다 큰 보편성이 GP 순응형 아키텍쳐로부터 유도될 수 있을 것이고, 그리고 이하에서 설명된다. TSIM은 가상 가입자 아이덴티티 모듈(Virtual Subscriber Identity Module (VSIM))과 관련되고, 그리고 또한 그 연장이 될 수 있을 것이다.
원격 소유자(Remote Owner (RO))는, 그것의 원격 취득-소유권(Remote Take- Ownership (RTO)) 프로토콜의 소유권 상태를 얻는 원격 이해관계자일 수 있을 것이다. 하나 초과의 RO가 TDs의 소유권을 얻을 수 있을 것이다.
디바이스 제조자(DM)가 원격 소유자일 수 있을 것이다. DM의 소유권 프로세스가 UE 파워 업에서 사전-구성될 수 있고 및/또는 구축될 수 있을 것이다. DM에 의해서 소유된 트러스티드 도메인이 TDDM으로 표시된다.
디바이스 소유자(Device Owner (DO))는, 예를 들어, 회사 내의 IST 부서(department)와 같은 인스티튜셔널(institutional) 일 수 있을 것이다. DO는 개인일 수 있을 것이다. DO는 UE에 대해서 로컬로서 간주될 수 있을 것이다. 소유권 프로세스가 원격적으로(RTO) 사전-구성되고 및/또는 발생될 수 있을 것이다. DO에 의해서 소유된 트러스티드 도메인이 TDDO 로 표시된다. DO에 의해서 소유된 엔티티가 또한 UE, ME, 및/또는 THSM이 될 수 있을 것이다.
디바이스 사용자(U)가 DO 와 같거나 다를 수 있을 것이다. 하나 초과의 사용자가 아키텍쳐에 의해서 지원될 수 있을 것이다. 인스티튜셔널 소유권의 경우에, 인스티튜션 및/또는 인스티튜션 내의 각각의 엔티티가 사용자로서 기능할 수 있을 것이다. 예를 들어, 인스티튜션이 복수의 피고용자를 포함하는 경우에, 피고용자들이 사용자들로서 기능할 수 있을 것이다. 사용자들은 로컬 취득 소유권(local take ownership (TO)) 프로세스를 통해서 소유권을 취득할 수 있을 것이다. U에 의해서 소유된 트러스티드 도메인이 TDU 로서 표시된다.
시스템 전역 도메인 관리자(System-wide Domain Manager (SDM))가 원격적으로 소유된 도메인들을 구성하는 것, 원격적으로 소유된 도메인들의 초기의 상태들을 구축하는 것, 및/또는 원격적으로 소유된 도메인들에 대한 RTO를 통해서 구축된 후속 상태들에서 주요 역할을 하는 것을 담당할 수 있을 것이다. SDM은 프로세스들을 구동하기 위해 정책 정보를 채택할 수 있다. SDM는 TSIM 계층 내의 TDs의 TSIM 시스템을 관리할 수 있을 것이다. SDM은 GP 환경 내의 애플리케이션들의 하나의 스위트일 수 있을 것이다. SDM가 GP 환경 내에 있을 때, SDM의 감독 하에 있지 않게 되는 다른 애플리케이션들이 존재할 수 있을 것이다. 예를 들어, TSIM 계층뿐만 아니라 스마트카드 상의 다른 애플리케이션들이 CI에 의해서 승인되는 허용에 의해서 GP 환경 내에 존재할 수 있을 것이다. 특권들은 트러스트의 레벨들을 기초로 승인될 수 있을 것이고, 그리고 특권들은, 예를 들어 CI에 의해서, 스마트카드 상에 상주하도록 허용된 애플리케이션들에 대해서 승인될 수 있을 것이다.
시스템 도메인 정책(System Domain Policy (SDP))은, 어떠한 초기의 원격적으로 소유된 도메인들이 SDM에 의해서 생성되는지 및/또는 어떠한 조건들하에서 이러한 도메인들에 대한 RTO가 발생되는지를 결정할 수 있는 사전-구성된 파일일 수 있을 것이다. SDP는 정적(static)이지 않을 수 있는데, 이는 필요에 따라서 정책 변화들이 개별적인 기반에서 ROs 와 협상될 수 있기 때문이다. TSIM 프로세스들을 지배하는 활성적인 정책들은 GP 카드 관리자에 의해서 최종적으로 감시될 수 있을 것이다.
예를 들어 GP 순응형 스마트카드와 같은, 스마트 카드를 포함하는 디바이스와 관련하여 여러 이해관계자들이 하게 되는 역할들을 식별 및/또는 규정하는 것은, TD 애플리케이션이 그것의 잠재적인 기능을 실현할 수 있게 하는 탄력성(flexibility)을 결정하는데 도움이 될 수 있을 것이다. 스마트카드를 포함하는 디바이스와 관련하여 그러한 이해관계자들이 할 수 있는 역할들에 관한 설명 및 여러 이해관계자들의 예들에 대해서 본원에서 설명한다. 본원에 개시된 이해관계자들 중 임의의 하나 이상이 무선 통신 디바이스 상에서의 보안 정책 실행의 최종적인 제어를 가질 수 있는 외부 이해관계자일 수 있을 것이나, 본원에서는 카드 발행자가 일반적으로 보안 정책 실행의 최종적인 제어를 가지는 외부 이해관계자로서 설명된다.
카드 발행자(Card Issuer (CI))는 카드를 소유한 개인 및/또는 엔티티일 수 있을 것이다. CI는 그것의 거동에 대해서 최종적으로 책임을 질 수 있을 것이다. CI SD는 카드 상으로 로딩될 수 있는 모든 애플리케이션의 제어기 및/또는 감시기일 수 있을 것이다. 그러나, 본원에서 나타낸 바와 같이, 연관된 SDs에 대해서 승인된 특권들에 따라서, 애플리케이션 자율성 레벨들이 상당히 변화될 수 있을 것이다.
카드 제조자(Card Manufacturer (CM))는 스마트카드의 제조자이다. CM은 카드 성분들, 명령 인터페이스들, 트랜스액션 시퀀스들(transaction sequences), 및/또는 스마트카드 내의 유사한 하드웨어로 이루어진 실제적인 하드웨어의 생산자(producer)일 수 있을 것이다. 개념적인(conceptual) 엔티티로서의 CM은, 스마트카드의 소프트웨어 및/또는 하드웨어 피쳐들을 구현하는데 있어서, 덜 중요할 수 있을 것이다.
단말기 소유자는, 디바이스의 단말기 성분 부분을 소유한 개인 또는 엔티티일 수 있을 것이다. 예를 들어, 디바이스가 집적된 카드 및/또는 단말기로 이루어진 경우에, 소유자는 AT&T® 또는 VERIZON®, 금융 인스티튜션들, 및/또는 다른 서비스 제공 엔티티와 같은 서비스 제공자일 수 있을 것이다. 예시적인 실시예에 따라서, 단말기 소유자는, 디바이스의 사용자들로서 식별될 수 있는 피고용자들에게 디바이스를 분배한 IST 부서 및/또는 비지니스(business)와 같은 기업이 될 수 있을 것이다. 단말기 소유자는 또한 디바이스의 개별적인 사용자가 될 수 있을 것이다. 2개의 소유권 어그리먼트들이 가능할 수 있을 것이다. 예를 들어, 카드 및/또는 단말기의 소유자들이 동일한 엔티티 또는 개인일 수 있고 또는 그들이 상이할 수 있을 것이다. 그에 따라, CI는 카드뿐만 아니라 단말기를 소유할 수 있을 것이다.
디바이스 사용자는 그러한 디바이스를 이용하는 개인 또는 기업이 될 수 있을 것이다.
애플리케이션 제공자(Application Provider (AP))는 카드 상에 상주하는 애플리케이션들을 제공 및/또는 설치할 수 있는 잠재적인 복수의 엔티티들 중 임의의 엔티티일 수 있을 것이다. 예를 들어, APs가 서비스 제공자들일 수 있을 것이다. TD 애플리케이션의 경우에, AP이 TD 애플리케이션 제공자 및/또는 TDs의 ROs 일 수 있을 것이다. TD AP는, TD 구성을 제어하는 및/또는, 그것이 자율성을 가지는 범위까지, TD APP 내의 TDs의 거동을 제어하는 소프트웨어의 소유권을 가질 수 있을 것이다. TD SDM, 및/또는 TSIM SDP는 기술된 바와 같은 및/또는 본원에서 규정된 바와 같은 관련 엔티티들일 수 있을 것이다. RO가 AP이 될 수 있다면, AP 및 RO가 상호교환가능하게 이용될 수 있을 것이다.
제어 권한자(Controlling Authority (CA))는 데이터 인증 패턴(Data Authentication Pattern (DAP)) 확인, 즉 무결성 체킹 방법의 이양(mandating)을 통해서 카드 콘텐트에 걸친 제어를 유지하는 특권을 가질 수 있을 것이다. CA는 카드 상으로 로딩된 애플리케이션 코드에서 보안 정책을 실행하는 특권을 가질 수 있을 것이다.
상기 이해관계자 설명들과 관련하여, 상이한 가정들이 만들어질 수 있을 것이다. 여러 이해관계자 배열들이 카드 관리 결과들(outcomes)을 드라이브할 수 있을 것이다. 이러한 카드 관리 결과들은, 카드 애플리케이션들이 거동하도록 허용되는 방식에 영향을 미칠 수 있을 것이다. 그에 따라, 애플리케이션 자율성의 레벨은 설명된 가정들에 의존할 수 있을 것이다.
글로벌 플랫폼(Global Platform (GP)) 및 TSIM/THSM 스마트카드들이 아키텍쳐 및/또는 이론(philosophy)에 있어서 상이할 수 있을 것이다. GP은, 예를 들어, CI SD, OPEN, 및/또는 카드홀더 확인 방법(Cardholder Verification Method (CVM)) 서비스들과 같은, GP의 메인 부분들로 카드 관리자의 규정들 및/또는 설명들을 특정할 수 있을 것이다. GP은 또한 이해관계자들에 대응하는 보안 도메인들을 이용하여 카드 관리자의 규정들 및/또는 설명들을 특정할 수 있을 것이다. 예를 들어, GP은, CISD, OPEN, 및 CVM 서비스들 및 3개의 메인 이해관계자들에 대응하는 보안 도메인들로 카드 관리자의 규정들 및/또는 설명들을 특정할 수 있을 것이다. 이러한 설명들은, 연관된 보안 문제들을 포함할 수 있는, 보안 도메인 및/또는 비-보안 도메인 애플리케이션들뿐만 아니라 온-카드(인터-애플리케이션) 및/또는 오프-카드 통신들의 라이프-사이클들을 커버할 수 있을 것이다. 설명된 보안 도메인 특성들은 이러한 구조들을 지배하는 도메인 계층적 구조들 및/또는 규칙들을 포함할 수 있을 것이다. 그러나, 상이한 아키텍쳐적인 프레임워크들 내에서, 적어도 2개의 TSIM/GP 공통성들(commonalities)이 구분될 수 있을 것이다. 이들은 다음과 같이 주어진다: 1) 애플리케이션들, 기능 및/또는 크레덴셜들의 원격 다운로드; 및/또는 2) 복수의 이해관계자들의 수용. GP에 대한 메인 이해관계자들이 CI, CA, 및/또는 APs가 될 수 있을 것이다.
GP에 대한 THSM/TD 사이의 구현예들의 비교의 예들을 본원에서 설명한다. 실시예에 따라서, RTO에서의 사용자 참가, 등록 및 크레덴셜 다운로드 프로토콜들이 다를 수 있고; 등록 및/또는 크레덴셜 롤-아웃 프로세스에서의 포인트 오브 세일즈(POS)의 이용이 상이할 수 있을 것이며; 무결성 체킹을 채용하는 TD의 보안 양태들이 달라질 수 있을 것이고; 하나 및/또는 2개의 디바이스 소유자들과 관련된, 이동 프로토콜이 상이할 수 있을 것이며; 및/또는 ME가 전체(full) MTM 능력을 가지고 그리고 원격적으로 소유된 도메인들의 그것에 대한 및/또는 카드에 대한 설치를 허용할 수 있는 TD의 실시예가 GP 구현예들과 상이할 수 있을 것이다.
본원에서 설명된 바와 같이, TD 개념들은 GP 아키텍쳐 내로 임베딩될 수 있을 것이다. GP 환경 내의 TD 실현은 TDs 및/또는 그들의 연관된 GP SDs로 이루어질 수 있을 것이다. 각각의 TD는, 해당 도메인에 대한 기능을 제공하는 TD 애플리케이션들을 소유할 수 있을 것이다. 각각의 TD는 또한, 설치 및/또는 그것의 애플리케이션들의 후속 거동을 위한 카드-레벨 보안을 제공할 수 있는 연관된 SD를 가질 수 있을 것이다. 일부 실시예들에서, TD가 SD로부터 분리되고 그리고 구분되는 엔티티이다.
도 5는 2개의 보안 도메인들, 즉 양자 모두가 CI SD(500)에 대해서 보조적인, 비(non)-TSIM 연관된 보조적인 보안 도메인(SSD)(502), 및 TD 도메인 관리자(TDM) 연관된 SSD(504)를 도시한 예시적인 블록도이다. 비-TSIM SSD(502)는 애플리케이션들(516)을 제어할 수 있을 것이다. TDM SSD(504)는 디바이스 소유자(DO) 또는 사용자(U)를 위한를 위한 애플리케이션 TD(510)으로 이루어질 수 있을 것이다. 애플리케이션 TD(510)은, TDM SSD(504)에 대해서 보조적인 연관된 TSIM SSD(508)을 가진다. 연관된 SDs(5121-n)가 TDM SSD(504)에 대해서 보조적인 사전 (pre)-RTO 애플리케이션 TD*s(5141-n)의 세트가 또한 도시되어 있다. 예를 들어, 만약 RTO가 발생되지 않는다면, 각각의 TD*(5141-n)이 초기 상태에 있고 그리고 또한 원격적으로 소유된다. TDM SSD(504)가 도메인 관리자로서 지칭될 수 있을 것이다. TDM SSD(504) 기능은, 사실상, 디바이스 제조자 및/또는 디바이스 소유자의 기능을 대체할 수 있을 것이다.
CI 와 TSIM 애플리케이션 제공자(TSIM-AP) 사이의 선험적인(a priori) 정책 어그리먼트가 AMP, DMP를 허용하거나, AMP 나 DMP 중 어느 것도 허용하지 않을 수 있을 것이다. 동작 모드가 토큰 기반이 될 수 있을 것이다. 일 실시예에서, TDM SSD(504)가 승인된 AMP가 아닌 경우에, CI SD(500)는 TV 및 RG 특권들을 가진다. CI SD(500)는, 예를 들어, AMP 또는 DMP 중 어느 것도 TDM SSD(504)에 대해서 승인되지 않았을 때, 트러스티드 도메인 TSIM 애플리케이션 제공자의 로드 파일들을 로드할 수 있을 것이다. 토큰 기반의 모드에서, 예를 들어, APP TDTDM(506)과 같은, 트러스티드 도메인 TDM 애플리케이션들의 로딩을 위한 TV 및 RG가 트러스티드 도메인 애플리케이션 제공자에 의해서 실시될 수 있을 것이다. 가능한 GP 제한들을 제외하고, 완료된 트러스티드 도메인이 완전히 기능적일 수 있을 것이고(예를 들어, 초기가 아니다), 그리고 크레덴셜들을 포함할 수 있을 것이다. 만약 AMP 또는 DMP가 선험적인 정책 어그리먼트에서 허용된다면, 각각의 초기의 TD*s(5141-n)에 대한 애플리케이션들이 TDM SSD(504)에 의해서 로딩될 수 있을 것이다. 그렇지 않은 경우에, 애플리케이션들이 CI SD(500)에 의해서 로딩될 수 있을 것이다. 결과적인 초기의 트러스티드 도메인들의 기능이 TSIM 선호사항들과 일치하는지의 여부는 애플리케이션 로딩 프로세스에 의존할 수 있을 것이다.
트러스티드 도메인 표시된 App TDTDM(506)은, 원격 소유자들이, 예를 들어 MNOs, 뱅킹 관계자들(banking concerns) 등과 같은, 여러 가지 서비스 제공자들을 대표할 수 있는 복수의 원격적으로 소유된 트러스티드 도메인들일 수 있는 것을 관리하는 애플리케이션 성분들을 포함할 수 있을 것이다. TD 관리자 애플리케이션들은, 적어도 부분적으로, SDM 및/또는 SDP로 이루어질 수 있을 것이다. 그들은 도 5에서 구성된 것들의 드라이버들일 수 있을 것이다.
예를 들어, GP 플랫폼 상의 상이한 TSIM 구성들이 존재할 수 있을 것이다. 본원에서 개시된 예시적인 TSIM 구성들은, GP 플랫폼 동작 환경이 TSIM 애플리케이션 및/또는 TSIM 애플리케이션에 의해서 수용되는 임의의 애플리케이션에 대해서 허용할 수 있는, 자율성 레벨에 대응한다. 도 6, 7 및 8은 GP 보안 도메인(SD) 구조의 예시적인 구성들을 도시한 도면들이다. TSIM 도메인 관리자 SD는 CI SD에 대해서 보조적일 수 있을 것이다. TSIM 도메인 관리자 SD는 비-TSIM 애플리케이션 SD에 대해서 보조적일 수 있을 것이다. 원격적으로 소유된 TD SD는 도메인 관리자와 동일한 레벨에 있거나 및/또는 도메인 관리자에 대해서 보조적일 수 있을 것이다. GP 카드 관리 시스템에 의해서 승인된 특권들은 TD 구성들을 서로로부터 구분할 수 있을 것이다. CI에 의해서 허여된 특권들은 TD 구성들을 구분하는데 있어서 특히 중요할 수 있을 것이다. TSIM은 애플리케이션들의 세트로서 보여질 수 있을 것이다. 각각의 애플리케이션은 각각의 TD에 의해서 실현된 기능을 제공할 수 있을 것이다.
일 실시예에 따라서, CI가 위임된 관리 특권(DMP)을 도메인 관리자 SD 및/또는 계층 내에서 그것 아래의 임의의 SD로 승인하지 않을 수 있을 것이다. 도 6은 CI SD(600)이 DMP를 승인하지 않는 GP 보안 도메인(SD) 구조의 구성을 도시한 도면이다. 이러한 구성에서, 도메인 관리자(SD)(604)는 TD 표시된 APP TDTDM(606) 내에 연관된 애플리케이션 소프트웨어를 설치할 수 있을 것이다. 도메인 관리자 SD(604)는, 그것의 형성에서 TSIM 도메인 계층의 일부로서 및/또는, 예를 들어, RTO, 등록, 크레덴셜 롤-아웃 및/또는 유사한 TSIM 기능들과 같은, 주요 TSIM 기능들 중 임의의 기능의 실행으로서, 설치하고자 하는 후속 애플리케이션들에 대한 어떠한 로드 파일들도 로드할 수 있는 특권을 가지지 않을 수 있을 것이다. CI SD(600)는 로딩 동작들 및/또는 토큰 사용을 위한 동작을 제어할 수 있을 것이다. 예를 들어, CI SD(600)는 시스템 도메인 정책에 따라서 각각의 TD에 대한 로드 파일들을 로딩할 수 있을 것이다. 동작적인 모드들은 단순할 수 있고(예를 들어, 토큰들이 없다) 또는 토큰 기반일 수 있고, CI SD(600)는 TV 및 RG 특권들을 가진다. CI SD(600)는 또한, 애플리케이션 코드의, GP 내의 데이터 인증 패턴(Data Authentication Pattern (DAP)) 확인으로서 지칭되는, 무결성 체킹을 취급할 수 있을 것이다.
도 6에 도시된 바와 같이, 트러스티드 도메인들 TDs(6141-n) TDRO 은 스타화-되지 않는데(un-starred), 이는, RTO가 각각의 순간에 발생되는 것으로 가정될 것이기 때문이다. 이러한 순간의 RTO는 CI SD(600) 정책들에 의해서 제한될 수 있으며, 그리고 각각의 RO가 그것의 TD를 가지게 될 레벨이 그러한 정책들에 의해서 그리고 최소적으로 TSIM 도메인 관리자 SDM 메커니즘들에 의해서 결정될 수 있을 것이다. 예를 들어, 각각의 TD(6141-n)이 CI SD(600)에 의해서 제어되는 RTO 프로토콜을 통해서 형성될 수 있을 것이고, 그에 따라 결과적인 트러스티드 도메인들이 제한된 TSIM 기능을 가질 수 있을 것이다. 사전-RTO 애플리케이션 TDs(6141-n)의 세트의 각각이 연관된 SSDs(6121-n)를 가질 수 있을 것이다. 토큰 기반 모드에서, 각각의 TD(6141-n)에 대한 애플리케이션들의 로딩을 위한 토큰 확인 및 영수증 발생은 대응하는 원격 소유자에 의해서 실시될 수 있을 것이다. 도메인 관리자 TD(606)에 대해서, TV 및 RG는 TSIM 애플리케이션 제공자에 의해서 실시될 수 있을 것이다.
다른 실시예에 따라서, CI는 DMP를 도메인 관리자 SD에게 승인할 수 있을 것이다. 도 7은, CI SD(700)이, 예를 들어, 선험적인 정책 어그리먼트마다, DMP를 승인하는, GP 보안 도메인(SD) 구조의 예시적인 구성을 도시한다. CI SD(700)는 TV 및 RG 특권들을 소유할 수 있을 것이다. 이러한 순간에, TD 도메인 관리자 SD(704)는 그 자체의 로드 파일들을 로딩하도록 선택할 수 있을 것이다. 토큰 관리자, 또는 토큰 확인(TV), 및/또는 영수증 발생(RG)이 CI SD(700)에 의해서 취급되는 곳에서, TSIM 도메인 관리자 SD(704)는 그 자체의 로드 파일들을 로딩하도록 선택할 수 있을 것이다. DAP 확인은 또한 발행자 SD(700)의 책임일 수 있을 것이다.
TD 도메인 관리자 SD(704)가 승인된 DMP인 실시예에서, 도메인 관리자 SD(704)는 사후(post)-RTO 기능이 TSIM 동작 환경과의 일치성들과 유사하게 되는 레벨을 결정하기 위해서 보다 자율성을 가질 수 있을 것이다. 예를 들어, 오프-카드 TSIM AP은 로드 프로세스를 개시하기 위해서 토큰을 생성할 수 있을 것이다. 토큰이 CI SD(700)에 의해서 확인될 때 로드 프로세스가 계속될 수 있을 것이다. 로드 프로세스는 CI에 의한 영수증 발생 및/또는 AP에 의한 영수증 확인으로 완료될 수 있을 것이다. TV 및 RG 과정은, 사이닝 및/또는 확인에 대한 키이 구조가 CI SD(700) 및/또는 AP 사이에 존재한다는 것을 가정할 수 있을 것이다. 토큰 기반 모드에서, 각각의 TD(7141-n)에 대한 애플리케이션들의 로딩을 위한 토큰 확인 및 영수증 발생이 대응하는 원격 소유자에 의해서 실시될 수 있을 것이다. 각각의 TD(7141-n)은, TDM SSD(704)에 대해서 보조적일 수 있는 대응하는 TSIM SSD(7121-n)를 가질 수 있을 것이다. 도메인 관리자TD(706)에 대해서, TV 및 RG는, 전술한 바와 같이, TSIM 애플리케이션 제공자에 의해서 실시될 수 있을 것이다.
다른 실시예에 따라서, 도메인 관리자 SD는 예시적인 구성에 대해서 발행자 SD에 의해서 승인된 전체적인 허가된 관리(granted full Authorized Management (AM)) 특권일 수 있을 것이다. 도 8은 발행자 SD(800)에 의해서 승인된 전체적인 허가된 관리자(granted full Authorized Management (AM)) 특권인 예시적인 TD 도메인 관리자 SD(804)를 도시한 도면이다. AMP 승인은 TSIM 애플리케이션에 대해서 전체적인 자율성을 야기할 수 있을 것이다. TSIM 애플리케이션은, 발행자 SD(800)으로부터의 관리 제어 없이, 로드 파일들을 로드할 수 있을 것이다. 그에 따라, TSIM 애플리케이션은 토큰들이 있는 또는 없는 상태에서 코드 설치를 실시할 수 있을 것이다. TSIM 애플리케이션은 DAP 확인 활동들을 담당할 수 있을 것이다. TD 도메인 관리자 SD(804)는 또한 TV 및 RG 특권들을 가질 수 있을 것이다. 토큰 기반 모드에서, 각각의 TD (8141-n)에 대한 애플리케이션들의 로딩에 대한 토큰 확인 및 영수증 발생이 대응하는 원격 소유자에 의해서 실시될 수 있을 것이다. 도메인 관리자 TD(806)에 대해서, TV 및 RG가 TSIM 애플리케이션 제공자에 의해서 실시될 수 있을 것이다.
비록, 전체적인 TSIM 기능이 TSIM 애플리케이션에 대한 이러한 레벨의 자율성으로 실현될 수 있을 것으로 생각되지만, 설치된 애플리케이션들 API, 명령 디스패치, 및/또는 카드 콘텐트 관리를 제공하는 것을 책임들에 포함할 수 있는, 카드 관리자, 특히 OPEN(글로벌 플랫폼 환경)이 애플리케이션 거동을 감시할 수 있을 것이다. 예를 들어, OPEN은, 각각의 TD(8141-n)을 형성하고 그리고 TD 도메인 관리자SD(804)에 의해서 제어되는 RTO 프로토콜을 감시할 수 있을 것이다. 각각의TD(8141-n)은 TSIM 기능의 거의 전부 또는 전부를 소유할 수 있을 것이다. 만약 특정 보안 정책들이 위반된다면, 애플리케이션은 LOCKED 스테이티드(stated) 내에 위치되고 및/또는 실행이 방지될 수 있을 것이다. 이러한 제어들은, 또한, 그들이 보다 많은 구속들 하에서 동작할 수 있기 때문에, 도 6 및 7에 대해서 설명된 구성들에 대해서 적용될 수 있을 것이다. 애플리케이션 거동의 제어를 위한 글로벌 플랫폼 규칙들이 여기에서 보다 구체적으로 설명된다.
본원에서 설명된 바와 같이, TD이 GP 플랫폼 상에 구축될 수 있을 것이다. TSIM 애플리케이션은, 그것의 동적인(dynamic) 성질로 인해서, 시간에 걸쳐서 그 자체를 구축할 수 있을 것이다. TSIM 애플리케이션은 발전적인(evolutionary) 것으로서 설명될 수 있을 것이다. 이러한 발전적인 프로세스의 개시를 위해서 이용될 수 있는 메커니즘이 구성 파일일 수 있을 것이다. 구성 파일은 TSIM에 대한 구조적 기초(groundwork)를 제공할 수 있을 것이다. 구성 파일은, 그것이 카드 상에 상주할 수 있기만 하다면, 도메인 관리 트러스티드 도메인(TDTDM)의 형성을 담당할 수 있을 것이다. 디바이스 소유자 트러스티드 도메인(TDDO) 및/또는 사용자의 트러스티드 도메인(TDU)과 같은 다른 도메인들이 또한 설치될 수 있을 것이다. 그러나, 트러스티드 도메인 설치 프로세스는 THSM 환경에 대비할 때 GP 순응형 카드 상에서와 다를 수 있을 것이다. TDTDM 이 카드 발행자 SD의 허용으로 로딩될 수 있을 것이다. 비록 구성 파일이 TDTDM 를 구성하기 위해서 이용될 수 있지만, 그것은 제조 시점에 설치되지 않을 수 있을 것이다. 이러한 파일은 DM 로드 파일의 일부일 수 있고 및/또는 OPEN에 의해서 활성화되어 주어진 트러스티드 도메인에 대한 코드를 구성 및/또는 설치할 수 있을 것이다.
전술한 구성들은 도메인 관리자 트러스티드 도메인 TDTDM 에 대해서 연관된 SD 내에 센터링되는 TSIM 제어들을 가질 수 있을 것인 반면, TD 애플리케이션의 실제 구현에서, 정책 제어들이 SDM과 함께 상주될 수 있을 것이고, 이는 TDDO 내의 애플리케이션이 될 수 있을 것이다. 전술한 SD 계층들은, TDTDM 내에 상주하는 유사한 TSIM 정책 관리자를 이용하여 구현될 수 있을 것이다.
일부 실시예들에 따라서, 트러스티드 도메인 애플리케이션은 GP 환경으로 포팅될 수 있을 것이다. 가장 높은 레벨에서, TD 개념은, GP 순응형 스마트카드 상의 애플리케이션들의 독립적인 세트로서, GP 환경 내로 포팅될 수 있을 것이다. 특정 이해관계자들에 의한 SD 소유권 관계들은 GP에 대한 TD의 포팅 제한들에 영향을 미칠 수 있을 것이다. 예를 들어, TD AP 및 CI가 동일하다면, 그것은 GP에 대한 견고한(robust) 포팅을 위해서 바람직할 수 있을 것이고, 그리고 만약 TD AP 및 CI가 상이하다면 그것은 덜 바람직할 수 있을 것이다. 몇 개의 이용 경우들이 이러한 포팅 프로세스에 대해서 고려될 수 있을 것이다. 포팅 프로세스에 대한 영향이 본원에서 추가적으로 설명된다.
실시예에 따라서, 포팅 프로세스는, 그것이 진화됨에 따라, TD 애플리케이션에 대한 최대 자율성을 허용할 수 있을 것이다. CI 및/또는 TD AP가 동일할 수 있는 이용은 허용된 자율성에 대해서 가장 순종적일 수 있을 것이다.
트러스티드 도메인 관리자(TDM) 보안 도메인(SD)이 생성될 수 있을 것이다. 본원에서 설명되는 바와 같이, TDM SD 가, INSTALLED 상태, SELECTABLE 상태, PERSONALIZED 상태, 및/또는 LOCKED 상태와 같은, 여러 가지 상태들에 따라서 구성될 수 있을 것이다. TDM 애플리케이션에 대응하는(TDTDM) 및/또는 TD AP에 의해서 소유된 트러스티드 도메인 관리자의 보안 도메인(TDM SD)은, TDM의 지시 하에서 작동하는 애플리케이션들이 생성될 수 있기 전에 및/또는 그것과 연관되기 전에 그리고 다른 보조적인 보안 도메인들과 연관되기 전에, GP 스마트카드 상에서 PERSONALIZED가 될 수 있을 것이다. 실시예에 따라서, TD AP은, TDM SD이 INSTALLED되거나 및/또는 CI에 의해서 글로벌 플랫폼 레지스트리 내로 엔터될(entered) 것을 요구할 수 있을 것이다. 다음에, 도메인이 SELECTABLE 상태로 전이될 수 있을 것이고, 그에 따라 오프-카드 엔티티들로부터 개인화 명령들을 수신할 수 있을 것이고 및/또는 PERSONALIZED 상태로 전이될 수 있을 것이다. PERSONALIZED 상태에서, SD는 GP 환경에서 적절한 기능화(functioning)를 위한 키잉 정보를 가질 수 있을 것이다.
보안 도메인들에 대한 라이프 사이클들이, 그들의 임의의 SD 계층 내의 위치에 관계 없이, 균일할 수 있을 것이다. 도 9는 예시적인 SD 상태들 INSTALLED(902), SELECTABLE(904), PERSONALIZED(906), 및 LOCKED(908)를 도시한 도면이다. 또한, 도 9는 일반적인 GP 셋팅에서의 전이 메커니즘들을 도시한다. TDM SD의 경우에, CI SD가 (예를 들어, INSTALLED 상태(902) 내로) 설치하기 위한 및/또는 SD를 SELECTABLE 상태(904)로 전이하기 위한 특권을 가지는 보안 도메인일 수 있으며, 상기 SELECTABLE 상태(904)에서 그것은 적절한 접속 특권을 가지는 오프-카드 또는 외부 엔티티들로부터 GP 명령들을 수신할 수 있다. 하나의 그러한 오프-카드 엔티티가 예를 들어 SD의 AP 일 수 있을 것이다. 전이 프로세스가 SD 자체에 의해서 일단 개시되면, PERSONALIZED 상태(906)를 엔터시키는 수단으로서, 개인화 데이터 및/또는 보안 키이들을 생성 및/또는 로딩함으로써, AP이 팔로우 업(follow up)할 수 있을 것이다. DM SD는, 예를 들어, CI SD, TDM SD 자체 및/또는 다른 외부 이해관계자 SD에 의해서, LOCKED 상태(908)로 전이될 수 있을 것이다. LOCKED 상태(908)는 보안에서의 제어로서 이용될 수 있을 것이다. 예를 들어, SD와 연관된 위협이 카드 내에서 검출된 이벤트에서, LOCKED 상태(908)가 보안에서의 제어로서 이용될 수 있을 것이다. 예를 들어, SD와 연관된 위협이 카드 내에서 검출된 이벤트에서, LOCKED 상태(908)가 보안에서의 제어로서 이용될 수 있을 것이다. 위협 검출은 OPEN에 의해서 감시될 수 있을 것이다.
도 10, 10a, 및 10b는 TDM SD의 라이프 사이클 상태들에 대응할 수 있는 예시적인 메시징의 구체적인 내용들을 도시한다. 라이프 사이클 구조는 도 9에 도시된 것을 반영할 수 있을 것이다. 예를 들어, 토큰 이용은 도 10에서 CI SD(1000)의 정책 요청이 되는 것으로 가정될 수 있을 것이다. 오프-카드 TD AP(1004)는 1006에서 사인된 토큰을 제공할 수 있을 것이다. 토큰들은 전방을 향해서 이동하기 위한 프로세스를 위해서 확인될 수 있을 것이다. CI SD(1000)와 통신할 때, 토큰들이 이용될 수 있을 것이다. AMP를 이용하여 TDM 보충적인 보안 도메인(SSD)(1002)과 같은 보충적인 SDs와 통신할 때, 요청되지 않은 경우에 토큰들이 이용되지 않을 수 있을 것이다.
TD AP(1004) 및/또는 CI SD(1000)는, 도시된 프로토콜 단계들이 발생되기 전에, 제위치에 있게 될 키이 구조를 위해서 배열될 수 있을 것이다. TDM SSD가 도 10-10b에서 TDM SSD(1002)로서 도시되어 있는데, 이는 보안 도메인이 CI SD(1000)에 대해서 보충적이 될 수 있기 때문이다. 도 10의 각 단계들이 TDM SD를 다음 상태로 전이시킬 수 있을 것이다.
예를 들어, TD AP(1004)는 TDM SSD(1002)의 생성을 요청할 수 있을 것이다. 그러한 요청을 기초로, CI SD(1000)는 TD AP(1004)으로부터의 토큰을 확인할 수 있을 것이고 그리고 TDM SSD(1002)를 생성할 수 있을 것이다. TDM SSD(1002)는 이제, INSTALLED 될 수 있을 것이고 그리고 GP 레지스트리 내에서 엔트리(entry)를 가질 수 있을 것이다. 후속 애플리케이션 설치 및/또는 특정 애플리케이션들에 대한 다른 SDs의 생성을 실시하기 위해서, TDM SSD(1002)이 GP 내에서 보안 서비스들을 제공할 수 있을 것이다.
도 10a는, 일 실시예에 따라서, 명령(1008)이 어떻게 TD AP(1004)로부터 전달되어, TDM SSD(1002)를 SELECTABLE 상태로 전이시키는지를 도시한다. 명령(1008)은 TDM SSD(1002)를 전이시키기 위한 토큰을 포함할 수 있을 것이다. CI SD(1000)은 토큰을 확인할 수 있을 것이고 그리고 TDM SSD(1002)을 SELECTABLE 상태로 전이시킬 수 있을 것이다. 일단 SELECTABLE 상태에 있게 되면, TDM SSD(1002)은, 예를 들어, TD AP(1004)와 같은 허가된 오프-카드 엔티티들로부터 개인화된 명령들을 프로세스할 수 있을 것이다.
실시예에 따라서, 도 10b는 TDM SSD(1002)이 어떻게 PERSONALIZED 상태로 전이될 수 있는지를 도시한다. 예를 들어, CI SD(1000) 및 오프-카드 TD AP(1004)가 보안 정책을 협상할 수 있을 것이다. 또한, 보안 표준들이 CI SD(1000)에 의해서 결정될 수 있을 것이다. TDM SSD(1002)은 그 자체를 PERSONALIZED 상태로 전이시킬 수 있을 것이다. 개인화 데이터 및/또는 보안 키이들이 1010에서 원격적으로 로딩될 수 있을 것이고, 그에 따라 TDM SSD(1002)이 TD S/W 모듈들 및/또는 지원 파일들의 설치를 위해서 완전히 기능적이 되게 만든다. 로딩 프로세스는 TDM SSD(1002)에 의해서 개시될 수 있을 것이다. TDM SSD의 보안 피쳐들은 연관된 애플리케이션들에 대해서 이용될 수 있을 것이다. 비록 토큰들이 CI SD(1000)에 의해서 요청될 수 있지만, 명령들이 TDM SSD(1002)로 전달될 수 있을 것이다.
TDM SSD(1002)의 설치, 선택 및/또는 개인화에 이어서, TD 애플리케이션 트러스티드 도메인들이 로딩 및/또는 설치될 수 있을 것이다. 이러한 프로세스는 GP 순응형 카드들의 라이프-사이클 구조를 확정(confirm)할 수 있을 것이다.
도 11은, 예를 들어, GP 과 같이, 카드 상으로 로딩된 애플리케이션이 얻을 수 있는 여러 가지 상태들을 도시한 도면이다. 상태-대-상태로부터의, 및/또는 특정 상태들 외부로의 이전 모드는 일부 경우들에서의 특권에 의존할 수 있을 것이다. 예를 들어, AM 특권 및/또는 DMP를 가지는 SDs가 애플리케이션을 INSTALLED(1100)으로부터 SELECTABLE(1102)으로 전이시킬 수 있을 것이다. 그러나, DM SD가 AM 특권, DMP을 가지는지 또는 그렇지 않은 지의 여부, 또는 전부를 가지지 않는지의 여부에 따라, 애플리케이션은, 그 자체적으로, 그것에 대해서 특이할 수 있는 특정 상태들로 전이될 수 있을 것이다. 이러한 특정 상태들이 도 11에서 애플리케이션 특정 상태들(1104)로서 도시되어 있다. 그러한 전이들의 일부가 비가역적일 수 있을 것이다. 예를 들어, 로딩된 상태로부터 설치된 상태(1100)로의 전이 및/또는 설치된 상태(1100)로부터 선택가능한 상태(1102)로의 전이가 비가역적일 수 있을 것이다. 전이들의 일부가 가역적일 수 있을 것이다. 예를 들어, 록킹된 상태(1106)에 대한 임의 상태가 가역적일 수 있을 것이고, 그리고 애플리케이션 특정 상태들(1104)에 대한 선택된 상태(1102)가 가역적일 수 있을 것이다.
도 12, 12a, 및 12b는, 예를 들어, 도메인 관리자 TD (TDTDM), 디바이스 소유자 또는 사용자 TD (TDDO/U), 및 일반적인 원격적인 소유자 도메인들(generic remotely owned domains (TDRO))과 같은, 사전-RTO 트러스티드 도메인의 설치와 관련한 예시적인 진행들을 도시한다. 이러한 설치는, TDM SSD(1204)가 승인된 AMP일 수 있다는 것을 가정할 수 있을 것이며, GP 메커니즘은 도시된 실시예에 대한 최대 자율성을 허용할 수 있을 것이다. 이는, TD AP(1202)에 의해서 명령된 바에 따라서, 여러 가지 실행가능한 것들 및/또는 데이터 파일들을 로딩 및/또는 설치할 수 있는 권한을 TDM SSD(1204)에게 제공할 수 있을 것이다. 실시예들은 토큰을 이용하거나 이용하지 않고 로딩 및/또는 후속 설치를 실시하기 위한 결정을 포함할 수 있을 것이다. 설치의 사용 경우 콘텍스트에 의존하여, 본원에서 규정된 구성들 중 임의의 구성이 가정될 수 있을 것이고 및/또는 프로세스가 그에 따라 변화될 수 있을 것이다.
설치는 이하의 단계들 중 하나 이상을 포함할 수 있을 것이다. 1206에서, TD AP(1202)은 요청 토큰을 CI SD(1200)로 전송할 수 있을 것이다. TDM SSD(1204) 허가된 관리 특권(authorized management privilege (AMP))을 승인하기 위해서, 토큰이 1206에서 전송될 수 있을 것이다. CI SD(1200)는 토큰을 확인할 수 있을 것이고, 그리고 응답에서 그리고 그 보안 정책을 고려한 후에, TDM SSD(1204) AMP를 승인할 수 있을 것이다. 그에 따라, TDM SSD(1204)가 PERSONALIZED 상태에 있게 될 것이고 그리고 TD AP(1202)로부터 개인화 명령을 수용할 수 있을 것이다. 또한, TDM SSD(1204)가 AMP를 획득한 후에, 그것은 S/W 실행가능한 것들을 로딩할 수 있을 것이고 그리고 예를 들어 그 자체의 계층 내의 SDs와 같은 애플리케이션들을 구성할 수 있을 것이다.
1208에서(도 12a에 도시됨), 명령이 TD AP(1202)에 의해서 TDM SSD(1204)로 전송되어, 희망하는 트러스티드 도메인들의 세트를 구성하기 위해서 설치가능한 S/W 및/또는 데이터 파일들을 포함할 수 있는 TDM 로드 파일을 로드할 수 있을 것이다. 도 12b에서 도시된 바와 같이, TDM 로드 파일들(1212)이 분리된 모듈들 및 각각의 파일로 이루어질 수 있을 것이고 및/또는 S/W 모듈이 분리된 명령(1210)으로 설치될 수 있을 것이다. 도 12b에 도시된 일 실시예에 따라서, 각각의 TD 타입에 대응하는 애플리케이션 S/W 가 로드 파일들(1212) 내에 포함될 수 있을 것이다. 원격적으로 소유된 도메인들 TDRO(12201-n)에 대해서, 하나의 일반적인 S/W 구성이 이용될 수 있을 것이다. 제안된 수의 도메인들을 설치하기 위해서, 이러한 구성의 반복된 설치들(instantiations)이 명령될 수 있을 것이다. 추출 유틸리티(extraction utility)를 위한 S/W가 로드 파일 내에서 제공될 수 있을 것이다. 이러한 유틸리티의 이용을 본원에서 추가적으로 설명한다. 각각의 TD가 TDM SD(1204)와 연관될 수 있을 것이다. TDTDM(1216)를 제외하고, TDs가 초기(사전-RTO) 상태에 있을 수 있을 것이다. 초기 상태에 있을 수 있는 TDs는 도 12b에서 표기(notation) TD*를 나타낸다. 비록 도 12b에 표시되어 있지는 않지만, 초기 도메인들이 INSTALLED 되는 것으로 간주될 수 있을 것인 반면, TDTDM(1216)는 완전히 기능적일 수 있고 및/또는 애플리케이션 특정(application specific)이 될 수 있을 것이다. TDTDM(1216)은 보안 도메인 관리(SDM) 및 시스템 도메인 정책(SDP) 정보를 포함할 수 있을 것이다.
TDM SSD(1204)이 AMP를 가질 수 있다면, 그것은 자체-연관될 수 있을 것이다. 도 12b에 도시된 바와 같이, TDM SSD(1204)가 SD 계층 트리의 상단부에 놓일 수 있을 것이다. TDTDM(1216)는, SD 계층에서 상주하는 애플리케이션들의 후속 개발에 대한 관리 애플리케이션으로서의 역할을 할 수 있을 것이다. TDTDM(1216)은 관리 애플리케이션으로서의 역할을 하기 위해서 TDM SSD(1204)에 의해서 제공되는 보안 서비스들을 이용할 수 있을 것이다. 도 12는, 분리된 SDs와 연관된 각각의 그러한 애플리케이션에 대한 반대로서(opposed), TDM SSD(1204)와 연관된 트러스티드 도메인들을 도시한다. 본원에서 설명된 바와 같은 구성들에서, 트러스티드 도메인들은 TDM SSD(1204)에 대해서 보충적일 수 있을 것이다. 후자의 구성은 이러한 설치 프로세스에서의 결과일 수 있을 것이다. TD 애플리케이션들(APPs) 및/또는 연관된 SDs의 많은 구분된 조합들이 설명될 수 있을 것이다. 하나의 실시예에 따라서, TDM SSD(1204)에 대한 분리된 TD SDs 보충(supplementary)은, 등록 및/또는 크레덴셜 롤-아웃이 발생될 때, 원격적으로 소유된 도메인들에 대해서 생성될 수 있을 것이다.
피쳐 포팅을 위한 TD 애플리케이션 소유권 및 임플리케이션들(implications)에 대한 적어도 3개의 시나리오들이 본원에서 설명된다. 이해관계자들과 관련하여, 몇 개의 소유권 배열 시나리오들이 안출될 수 있을 것이다. CI는 MNO 및/또는 예를 들어 은행과 같은 금융 기관으로서 보여질 수 있을 것이다. TD AP이 유사하게 보여질 수 있을 것이다. 이러한 상황들 및 조직들이 동일한지의 엽웨 대한 결정이 이루어질 수 있을 것이다. 달리 설명하면, 카드를 발행한 엔티티가 TD 소프트웨어를 소유한 엔티티와 동일하거나 상이할 수 있을 것이다. 전체적으로, TSIM 기능이 실현될 수 있는 레벨이, CI의 보안 정책 및 TD의 SDP 사이의, 어그리먼트의 레벨 또는 트러스트의 레벨에 의해서 지배될 수 있을 것이다. 만약 카드 발행자 및 TD AP이 동일한 엔티티라면, 높은 레벨의 정책 어그리먼트가 존재할 수 있을 것이다. 만약 2개의 발행 엔티티들이 관련된다면, 가변적인 정책이 예상될 수 있을 것이다. 정책들은 CI 관리자 레벨 및/또는 TD 시스템 레벨이 될 수 있을 것이다. 잠재적으로 경쟁하는 TD 콘텍스트 내의 원격 소유자들 사이의 정책 문제들은 여기에서 규정된 시나리오와 관련이 있을 수도 있고 또는 없을 수도 있을 것이다.
TDs의 소유권을 취하는 ROs와 관련하여, TD SDP의 정책 대 RO의 정책에 관한 그리고 CI의 정책이 아닌 것에 관한 문제가 존재할 수 있을 것이다. 만약 희망하지 않는 거동이 검출된다면, 카드 관리 및/또는 CI가 애플리케이션을 록킹할 수 있을 것이다.
전술한 내용은 CI와 TD AP 사이의 소유권 시나리오들을 제안한다. 제 1 시나리오(시나리오 1)에 따라서, CI 카드 레벨 보안 정책은 TSIM SDP와 밀접하게 어그리될 수 있고 및/또는 호환될 수(compatible) 있을 것이다. 높은 정책 어그리먼트는, CI 및 TD AP 가 동일한 엔티티라는 것을 의미할 수 있을 것이다. 높은 정책 어그리먼트는 CI가 TD 도메인 관리자 SD DMP를 승인하는 애플리케이션과 충분히 친숙하다는 것 및/또는 AM 특권이 높을 수 있다는 것을 의미할 수 있을 것이다. 그러한 경우들에서, TSIM에는 로딩된 소프트웨어 및 그러한 소프트웨어가 어떻게 거동하는지에 대한 상당한 여유(leeway)가 주어질 수 있을 것이다. 예를 들어, 사용의 경우에, CI는, TD 애플리케이션의 이용을 허용하는 MNO일 수 있을 것이다. TD AP은, 예를 들어, MNO 자체이거나 허가된 제 3 자 벤더(vender)일 수 있을 것이다. 시나리오 1은, GP 프레임워크에 대한 THSM/TSIM 피쳐들의 최대 포팅에 대해서 가장 바람직할 수 있는 어그리먼트일 수 있을 것이다.
제 2 시나리오(시나리오 2)에 따라서, CI 카드 레벨 보안 정책이 TD SDP와 부분적으로 어그리될 수 있을 것이다. 부분적인 어그리먼트는, CI 및 TD AP가 상이한 엔티티들이라는 것을 의미할 수 있을 것이다. 만약 CI 및 TD AP가 상이한 엔티티들이라는 것을 정책 레벨이 나타낸다면, 보다 제한적인 위치가 애플리케이션에 대해서 승인된 자유의 레벨에서 취해질 수 있을 것이다. 그에 따라, 기껏해야(at most) DMP가 승인될 수 있을 것이고, 여기에서 CI SD는, 카드 상으로 어떠한 것이 로딩되는 지를 감시하는 수단으로서, 토큰 확인 및/또는 영수증 발생 특권들을 가질 수 있을 것이다. 사용의 경우에, TD 애플리케이션은, CI가 아닐 수 있으나 CI에 의한 트러스트의 레벨이 허용될 수 있는 MNO에 의해서 사용이 허가될 수 있을 것이다. TD AP은 MNO 자체이거나 MNO에 의해서 허가된 제 3 자 벤더일 수 있을 것이다. 디바이스의 사용자는 애플리케이션을 독립적으로 다운로드할 수 있을 것이다.
제 3 시나리오(시나리오 3)에 따라서, CI 카드 레벨 보안 정책은 TD SDP와 최소한으로 어그리할 수 있을 것이다. 최소 어그리먼트는, CI SD가 애플리케이션의 매우 제한적인 뷰(view)를 취한다는 것을 의미할 수 있을 것이다. 그에 따라, DMP 또는 AM 특권 중 어느 것도 TSIM 애플리케이션 도메인 관리자 SD에 대해서 승인되지 않을 수 있을 것이다. 소프트웨어가 CI SD에 의해서 로딩 및/또는 확인될 수 있을 것이다. 사용의 경우에, TD 애플리케이션은, CI가 아니고 및/또는 CI에 의한 높은 레벨의 트러스트가 허용되지 않는 MNO에 의해서 이용되도록 허가될 수 있을 것이다. 실시예에 따라서, TD AP가 MNO 자체이거나 또는 MNO에 의해서 허가된 제 3 자 벤더일 수 있을 것이다. 디바이스의 사용자는 애플리케이션을 독립적으로 다운로드하도록 허용될 수 있을 것이다. 그러나, 그러한 경우에 CI는, 예를 들어 다운로드를 허용하기 위해서, 보조적인 SD에 의해서 만들어진 결정을 뒤집을 수(overrule) 있을 것이다. 만약 AM 특권을 가지는 SD가 다운로드하도록 결정하였다면, 다운로드 및/또는 후속 활성화 이후에, 애플리케이션은 시스템에 의해서 LOCKED 상태로 전이될 수 있을 것이다(예를 들어, 그렇게 하도록 특권을 가지는 OPEN, CI SD 또는 임의의 SD).
전술한 소유권 옵션들과 관련하여, 이해관계자가 사용자일 수 있을 것이다. 사용자는, 다소 요약적으로, 보여질 수(viewed) 있을 것이고, 그리고 다른 역할들을 가정할 수 있을 것이다. 사용자는 CI, 단말기 소유자, 동시에 CA 및 단말기 소유자, 및/또는 DO일 수 있을 것이다.
TSIM 피쳐들이 GP으로 포팅될 수 있는 용이성은, 이해관계자들과 연관된 정책들의 수용 레벨 및/또는 이해관계자 소유권 옵션들에 의존할 수 있을 것이다. CI는 카드 상에서 작동하는 애플리케이션의 거동을 지배하는 보안 정책을 가질 수 있을 것이다.
시나리오 1에 따른, RTO, 등록 및/또는 롤아웃 및/또는 예를 들어 이동(Migration)과 같은, TD 피쳐들의 포팅에 대한 설명이 본원에서 제공된다. 실시예에 따라서, THSM/TSIM의 적어도 3개의 피쳐들에 대한 포팅 과정들이 존재할 수 있을 것이다. 본원에서 기술된 바와 같이, 트러스티드 도메인들의 피쳐들이 THSM 환경에서 생각되는 바와 같이 규정될 수 있을 것이다. 포팅하고자 하는 피쳐들은: 1) RTO, 2) 등록 및/또는 크레덴셜 롤-아웃, 및/또는 3) 이동을 포함할 수 있을 것이다. 소유권 시나리오(전술한 시나리오 1, 2, 또는 3)와 관계없이, CI가 AMP를 TDM SD로 제공할 수 있을 것이다. 각각의 시나리오 하의(또는 각각의 시나리오에 특정된) 이러한 방식에서, 예를 들어 TDM이 DMP를 가지게 될 경우에 대비하여, TDM 이 보다 많은 자율성을 가질 수 있을 것이다. 시나리오 2 및/또는 시나리오 3하에서, CI의 AMP 승인은 다른 실시예들에서 보다 가능성 또는 실현성이 낮을 수 있을 것이다. 포팅 설명들이 본원에서 추가적으로 기술된다. 프레젠테이션 모드는 SD/APP 계층 온-카드에서의 여러 가지 엔티티들 사이의 메시징 및 오프-카드 AP을 가지는 그러한 엔티티들을 보여준다. AP은, 예를 들어 CI를 포함하는, 임의의 원격 소유자일 수 있을 것이다.
예시적인 RTO 프로세스가 도 13 및 13a에 도시되어 있다. 원격 소유자는 프로토콜의 시작에서 초기 상태인(예를 들어, APP TD*RO1(1308)) TD의 소유권을 취하기를 원하는 애플리케이션 제공자일 수 있을 것이다. RO AP(1302)는 임의의 서비스 제공자로서 간주될 수 있을 것이다. 만약 CI(1300) 및/또는 TD AP(CI와 동일하거나 상이하다)가 TD의 소유권을 취하기를 원한다면, 그들은, 임의의 다른 원격 소유자와 마찬가지로, RTO에 따라서 진행될 수 있을 것이다. 단계들에 대해서는 이하에서 설명한다(그리고 단계들은 특별한 순서로 제한되지 않는다).
단계 1과 관련하여, RTO 로드 파일들을 로드하기 위해서, 요청(1312)이 RO AP(1302)에 의해서 TDM SD(1304)에 대해서 만들어질 수 있을 것이다. 만약 RO 정책 및/또는 TD SDP가 충분하게 호환될 수 있다면, 요청이 승인될 수 있을 것이다. 협상이 이루어질 수도 있을 것이다. 본원에서 기술된 도 2 및 2a는 예시적인 RTO 프로토콜의 흐름도를 제공한다. 예를 들어, RO AP(1302)는 SDP/카드 정책 제한들을 따르도록 어그리할 수 있을 것이다. 정책 체크가 실시된 후에, RO AP(1302)에 의해서 요청된 방 따라서 TDM SD(1304)가 RTO 파일들을 로드할 수 있을 것이다. 애플리케이션 TD TDM(1306)는 TDM 구성 및 정책(예를 들어, SDM 및 SDP) 정보를 포함할 수 있을 것이다.
도 13a에 도시된 단계(1312)와 관련하여, 이러한 단계에서 초기 TD*RO(1308)가 TDRO(1310)(소유됨, 초기가 아님)가 될 수 있을 것이다. 정책 및/또는 목적 파일들 및/또는 추출가능한 S/W를 포함하는 파일들과 같은, 가변적인(varying) 콘텐트의 RTO 로드 파일들(1314)을 설치하기 위해서 1318에서의 요청이 만들어질 수 있을 것이다. 후자의 파일들 내의 실행가능한 것들은 추출 유틸리티에 의해서 추출될 수 있을 것이고, 그러한 추출 유틸리티를 이용하여 초기 도메인들이 TD APP 설치 중에 구비될 수 있을 것이다(예를 들어, 도 12 참조). 구성 인텔리전스(intelligence)가 오프-카드 RO AP(1302)에 의해서 유지될 수 있을 것이고 및/또는 RTO 완료시에 소유된 트러스티드 도메인의 상대가 PERSONALIZED 될 수 있을 것이다. RTO 파일들(1314)이 설치될 때, 애플리케이션은 사전-등록된 원격적으로 소유된 TD로서 완전히 기능적이 될 수 있을 것이다. 애플리케이션은 토큰들이 RTO에서 이용되는지의 여부에 관한 결정을 할 수 있을 것이다. 온-카드 애플리케이션에 대한 S/W 업데이트들에서의 GP 제한을 피하기 위해서, 실행가능한 추출된 메커니즘이 회피 방법(workaround)이 될 수 있을 것이다. 추출 메커니즘을 이용하지 않는 상태에서, 실행가능한 것들이 지워져야 및/또는 새로운 S/W로 대체되어야 할 필요가 있을 수 있을 것이다.
등록 및/또는 크레덴셜 롤-아웃 프로토콜은, 예를 들어 RTO와 같이, 소유권 취득 프로세스들을 통해서 소유된 TDs 상에서 실시될 수 있을 것이다. 도 14, 14a, 및 15는, 등록 및/또는 크레덴셜 롤-아웃이 실시되는 하나의 실시예를 도시한다. 도 14 및 14a는 단계들 1 및 2(특별한 순서로 제한되지 않는다)를 위한 등록 및/또는 크레덴셜 롤-아웃을 도시한다. 이러한 프로토콜은 예를 들어 THSM 환경에서 계획되는 것으로서 구현될 수 있을 것이다.
도 14에 도시된 바와 같이, 단계 1은 부가적인 하위(sub)-단계들(특별한 순서로 제한되지 않는다)을 포함할 수 있을 것이다. 하위-단계(1400)에서, 사용자(1402)는 사용자명 및/또는 패스워드 및/또는 사용자의 개인적 데이터(REGDATA)를 이용하여, TD 소유자/사용자가 이전에 소유권(미도시)을 취득하였을 수 있는 TDDO/U(1404)로 로그인할 수 있을 것이다. 하위-단계(1406)에서, TDDO /U(1404)가 REGDATA 온-카드를 TDROI(1408)로 전송할 수 있을 것이다. 하위-단계(1410)에서, TDROI(1408)가 포인트 오브 세일(POS)로부터 등록 티켓을 요청하기 위해서 사용자 데이터를 이용할 수 있을 것이다. POS(1412)가 티켓들의 인덱스된 세트를 요청하고 그리고 RO(1418)로부터 수신할 수 있을 것이다. 각각의 티겟은 IMSI 값을 포함하는 비-키이 크레덴셜들을 포함할 수 있을 것이다. 하위-단계(1416)에서, POS(1412)가 미사용 티켓을 선택할 수 있고 및/또는 그것 및/또는 REGDATA를 RO(1418)로 전송할 수 있을 것이다. 하위-단계(1414)에서, 동일한 티겟이 TDROI(1408)로 전송될 수 있을 것이다. RO(1418)로 티켓 분배 서비스를 제공하는데 있어서 이용하기 위해서, POS(1412)가 티켓들의 인덱스된 세트를 요청하고 및/또는 RO(1418)로부터 수신할 수 있을 것이다. 하나의 그러한 티켓이 이러한 프로토콜에서 이용될 수 있을 것이다. 온-카드 엔티티들(1420) 및 오프-카드 엔티티들 사이의 통신은 TDM SD(1422)에 의해서 보호될 수 있을 것이다. 애플리케이션 TDTDM(1423)이 TDM구성 및 정책(예를 들어, SDM 및 SDP) 정보를 포함할 수 있을 것이다.
도 14a에 추가적으로 도시된 바와 같이, 단계 2는, TDM SSD(1422)에 이ㅡ해서 생성되려할 수 있고 그리고 TDROI(1408)과 연관될 수 있고 및/또는 그것의 크레덴셜들의 홀더가 될 수 있는, SD에 대한 다운로드 준비의 2개의 단계들을 포함할 수 있을 것이다. 그에 따라, 하위-단계(1424)에서, TD(1408)가 크레덴셜들의 다운로드 요청에서 티켓을 RO(1418)로 전송할 수 있을 것이다. RO(1418)는 1416에서 POS(1412)로부터 전송된 티켓 및/또는 REGDATA 정보로 REGDATA를 맵핑할 수 있을 것이다. 하위-단계(1426)에서, RO는, TDM SSD(1422)이 SD를 생성할 것 및/또는 TDROI(1408)가 그것으로 인도될 것을 요청할 수 있을 것이다. 생성된 SD는 TDROI(1408)에 대한 TSIM 컨베이어들을 포함할 수 있을 것이고, 그것은 그것의 보안 서비스들의 이용을 그것으로 부여할 수 있을 것이다.
도 15는, 하나의 실시예에 따라서 프로세스의 단계 3에서 실시될 수 있는 등록 및/또는 크레덴셜 롤-아웃을 도시한다. TDROI(1408)와 연관될 수 있는 생성된 SD (ROl SSD(1500))가 생성될 수 있고, 설치될 수 있으며, 선택가능하게 만들어질 수 있고 및/또는 개인화될 수 있을 것이다. TDROI(1408)가 ROl SSD(1500)로 인도될 수 있을 것이고, 이는 그것의 보안 서비스들을 이용할 수 있게 만들 수 있을 것이다. 도 15의 1502에서 도시된 바와 같이, 요청된 크레덴셜들이 ROI SSD(1500)으로 다운로드될 수 있으며, 이는 TDROI(1408)에게 TSIM 기능을 제공할 수 있을 것이다. 가능한 크레덴셜들이 인증 키이, 무결성 키이, 또는 IMSI를 포함하는 티켓, 등을 ?마할 수 있을 것이다. 요청된 크레덴셜들은 대칭적인 키이 쌍들 또는 PKI를 포함할 수 있을 것이다.
실시예에 따라서, 도 16은 소오스 카드(1600)로부터 목적지 카드(1602)로 크레덴셜들을 이동시키는 것에 의한 수정된 이동을 도시한다. 도 16에서, 소오스 카드(a)(1600)로부터 목적지 카드(B)(1602)로의 크레덴셜들의 예시적인 이동이 제시되어 있다. 프로세스는, 양 카드들에서 윤곽이 그려진(outlined) 일련의 단계들(특별한 순서로 제한되지 않는다)을 통해서 도시되어 있다. 도시된 방법은, 소오스 카드(1600)와 목적지 카드(1602) 사이에 직접적인 피어-투-피어(peer-to-peer) 통신이 존재하지 않을 수 있는 GP 내의 예시적인 조건을 반영한다. 그에 따라, 데이터의 직접적인 이송이 금지될 수 있을 것이다. 크레덴셜들의 목적지 카드(1602) 상에서의 로드 및/또는 설치에 후속하는 소오스 카드(1600)에서의 삭제는 이송을 발생시키는 메커니즘이 될 수 있을 것이다.
이동와 관련하여 고려될 수 있는 가정들에 대해서 본원에서 설명한다. 예를 들어, 실시예에서, 원격 소유자 AP(1604)이 양 카드들에 대해서 동일할 수 있을 것이다. 그에 따라, 하나의 소유자로부터 다른 소유자로의 비밀들의 이송이 존재하지 않을 것이다. 하나의 실시예에 따라서, 이동 시작하에 앞서서, 목적지 TD TDROI(1608)의 소유권이 RO(1604)(예를 들어, RTO를 통해서)에 의해서 취해질 수 있을 것이다. 실시예에서, 이동 시작에 앞서서, ROl SSD(1610)에 대한 TDROI(1608)의 생성 및 인도가 취해질 수 있을 것이다. 이동이 시작될 때, 양 ROl SSD(1610) 및/또는 TDROI(1608)가 SELECTABLE이 될 수 있을 것이다. 카드 A 사용자(1610)가 카드 B 사용자(1612)와 상이할 수 있을 것이고, 그리고 그들 모두가 이동 발생 전에 이동에 대해서 어그리할 수 있을 것이다. 프로토콜이 완료까지 작동될 수 있기 전에, 사용자들은 그들의 각각의 디바이스들로 로그인할 수 있을 것이고 및/또는 이동을 요청할 수 있을 것이다. 비록 도시하지는 않았지만, 하나 초과의 TD가 어느 하나의 카드 또는 양 카드들에서 원격적으로 소유될 수 있을 것이다. 그에 따라, 예를 들어 원격적으로 소유된 TDs와 같은, 다른 TDs가, 이동에 관여되지 않을 수 있다는 것을 나타낼 수 있을 것이다. 이와 관련하여, 크레덴셜들이 이동되는 RO가, 이동 목적으로 목적지 카드(1602)에서 TD를 원격적으로 소유하게 된다는 것을 가정할 수 있을 것이다.
실시예에 따라서, 1614 및 1615에서, 양 사용자들(또는 사용자)은 RTO를 통해서 그들이 소유할 수 있는 TD TDDO /U(예를 들어, TDDO /U(1628) 및 TDDO /U(1630))로 로그인될 수 있고 및/또는 이동을 요청할 수 있을 것이다. 예시적인 로그인은 어떠한 TD APP 이 이동을 위한 타겟이 될 수 있는지를 나타내는 정보를 포함할 수 있을 것이다. 예를 들어, TDROI(1608)가 이동을 위한 타겟이 될 수 있을 것이다.
소오스 카드(1600)를 위한 1616, 1618 및/또는 1620에서, 그리고 목적지 카드(1602)를 위한 단계들(1617, 1619, 및/또는 1621)에서, 이동와 관련한 여러 가지 정책들이 체크될 수 있을 것이다. 예를 들어, TDDO /U(1628)가 도메인 관리자 TD에서 TD 시스템 정책 체크를 실시할 수 있을 것이다. 단일 소유자를 가지는 실시예에서, APP 정책이 양 카드들에 대해서 동일할 수 있을 것이다. 트러스티드 도메인 시스템 정책들(SDP 포함) 및/또는 카드 레벨 정책들이 비교되는 2개의 카드들에서 상이하다. 정책 레벨들이 이동에 대해서 순응적일 수 있으며, 그에 따라, 전진 진행이 허용될 수 있을 것이다.
1622에서(목적지 카드(1602)에서 1623), CI SD(1632)(목적지 카드(1602)에서의 CI SD(1634))가 RO(1604)에 대한 이동을 허용을 승인할 수 있을 것이다. RO(1604)는 양 카드들로부터 허용을 수신한 후에 이동을 진행하지 않도록 결정할 수 있을 것이다. OPEN 이 단계(1624)에서 소오스 카드(1600) 상에서 ROl(1607) 및 TDROI(1606)를 삭제하도록 RO(1604)이 요청할 수 있을 것이고 및/또는 OPEN이 단계(1626)에서 삭제 동작을 실시할 수 있을 것이다.
RO(1604)는 단계(1625)에서 목적지 카드(1602) 상에서 크레덴셜들을 로딩 및/또는 설치할 것을 요청할 수 있을 것이다. 이러한 크레덴셜들은 소오스 카드(1600)에 존재하는 것들의 복사본일 수 있고 및/또는 그들이 RO(1602)에 의해서 인지될 수 있을 것이다. 예시적인 크레덴셜들에는 인증 키이, 무결성 키이, 및 개인화 데이터가 포함된다. DAP 체크는, 설치 발생 전에, 크레덴셜들을 포함하는 로드 파일에서 실시될 수 있을 것이다.
일 실시예에서, 애플리케이션의 연관된 SD가 그 자체를 인도하도록 허용되지 않을 때(예를 들어, 자체-연관되는 것인), GP 동작 환경은 트러스티드 도메인 피쳐들(예를 들어, 무결성 체킹, RTO, 등록 및/또는 크레덴셜 롤-아웃, 및/또는 이동와 같음)의 일부를 허용하지 않을 수 있을 것이다. 자체-연관형이 되는 특권은 GP 카드 애플리케이션에서의 이러한 THSM/TD 피쳐들의 구현을 가능하게 한다. 허용된 TSIM 거동들과 관련된 보다 구체적인 내용들이 여러 가지 포팅 옵션들과 관련하여 여기에서 제공된다.
CI 카드 레벨 보안 정책이 TSIM SDP와 밀접하게 어그리될 수 있고 및/또는 호환될 수 있는(예를 들어, 시나리오 1(전술함)) 실시예에 따른, 포팅하고자 하는 TD 애플리케이션 피쳐들의 평가에 대해서 본원에서 설명한다. 예를 들어, CI 및 RO 가 동일할 수 있고, 그에 따라 그들의 정책들이 호환될 수 있을 것이다. 예시적인 실시예에서, CI SD는 TDM SD에 대한 자율성의 높은 레벨을 승인할 수 있을 것이고, 이는 트러스티드 SD 계층의 상단부에 놓일 수 있을 것이다. 높은 레벨의 자율성은, AMP가 승인되거나 DMP가 승인된다는 것을 의미할 수 있을 것이다. 시나리오 1하의 포팅 무결성 트러스트 메커니즘들과 관련하여, 로드-시간 DAP이 실시될 수 있을 것이나, 런-타임 무결성은 실시되지 않을 수 있을 것이다. 실시예에서, RTO 트러스티드 도메인 피쳐는, 시나리오 1 하에서, SDP 및/또는 RO의 정책 사이의 TD 정책 호환성 체크들 하에서 포팅될 수 있을 것이다. 예를 들어, 소유하고자 하는 트러스티드 도메인 내에 설치된 S/W 스위트는 RO 정책 및/또는 목적 파일들을 또한 포함할 수 있는 로드 파일로부터 실행가능한 것들의 추출기(extractor)를 포함할 수 있을 것이고, 그리고 그러한 추출기는 크레덴셜들이 로딩되고 및/또는 설치될 때 이용될 수 있을 것이다. 사용자 등록 및 원격 크레덴셜 롤아웃은 또한 시나리오 1하의 실시예에 따라서 허용될 수 있을 것이다. 예를 들어, 정책은, RTO가 사용자 등록 및 원격 크레덴셜 롤아웃 피쳐를 실행하도록 허용할 수 있을 것이다. 이러한 피쳐의 실행 중에, 롤-아웃이 타겟이 될 수 있는 TD APP를 위해서 SD가 생성될 수 있을 것이다. TDM SD와 와 초기에 연관될 수 있는 APP은 새롭게 생성된 SD로 인도될 수 있을 것이고, 그리고 크레덴셜들은, 실행가능한 것들이 TD APP 내로 추출될 수 있는 동안, 새로운 SD 내로 설치될 수 있을 것이다. 실시예에 따라서, TSIM 애플리케이션 이동 피쳐는 시나리오 1 하에서 포팅되고 수정될 수 있을 것이다. 정책 호환성 체크들은, 예를 들어, 소오스 및/또는 목적지 TDD APPs; 소오스 및/또는 목적지 SDPs; 소오스 및/또는 목적지 CI SD 정책들; 및/또는 2명의 사용자들이 관련되는 경우의, 사용자 인터페이스들과 같은 복수의 엔티티들을 포함할 수 있을 것이다. 하나의 실시예에서, 목적지에 대한 복사본이 후속되는 소오스 크레덴셜들의 삭제는, 촉진자(facilitator)와 같은 RO로, TSIM 애플리케이션 이동을 위해서 이용되는 메커니즘이 될 수 있을 것이다.
본원에서 설명된 바와 같이, TD 애플리케이션 피쳐들은, CI 카드 레벨 보안 정책이 TD SDP와 부분적으로 어그리될 수 있는, 시나리오 2 하에서 포팅될 수 있을 것이다. 시나리오 2에 따라서, GP 카드 발행자는 SD 트리 위임된 관리자 특권(DMP)의 상단부에서 TD 애플리케이션 보안 도메인을 승인할 수 있을 것이다. GP 카드 발행자는 AMP를 승인하지 않을 수 있을 것이다. 이러한 경우에, TDM SD이 그 자체를 인도할 수 있을 것이다(및/또는 자체-연관). 따라서, TDM SD는 그 자체의 구성 관리 시스템에 따라서 그 자체를 구성할 수 있을 것이다. 만약 자체-연관이 발생되지 않는다면, SD는 AMP와 동등한 것을 가질 수 있을 것이다. 그러나, 일 실시예에 따라서, CI 및/또는 제어 권한자로부터 그러한 동작에 대한 토큰을 수신하지 않은 상태에서 애플리케이션 SD는 인도되지 않을 수 있을 것이다. 구성 및/또는 상태 변화들은 카드 상에서의 그러한 변화들의 트랙(track)을 유지하는 목적을 위한 CI에 의한 영수증 발생과 관련될 수 있을 것이다. 따라서, AMP가 승인되지 않을 때, CI가 TD APP 활동들을 감시할 수 있을 것이다. 이러한 옵션에 대해서, `자체-연관이 존재하지 않을 수 있고 그에 따라 TDM SD이 AMP가 가질 수 있는 것과 같은 자율성을 가지지 않을 것임을 가정할 수 있을 것이다. 도메인 관리자 TD APP는 본원에서 기술된 특정 설명들에서 채용된 자율성으로 원격으로 소유된 TDs를 관리하지 않을 수 있을 것이다.
트러스티드 도메인 피쳐들은 시나리오 2 하에서 포팅될 수 있을 것이다. 시나리오 2 하에서의 무결성 트러스트 메커니즘들과 관련하여, 로드-시간 DAP이 실시될 수 있을 것이나, 런-타임 무결성 체킹은 실시되지 않을 수 있을 것이다. 예를 들어, CI 및 RO 가 상이할 수 있을 것이고 및/또는 RO가 시나리오 2 하에서 트러스티드되는 이벤트에서 그들의 정책들이 약간의 레벨의 호환성을 가질 수 있을 것이다. 시나리오 2 하의 실시예에서, SDP 및/또는 RO의 정책 사이의 일반적인 TD 정책 호환성 체크들 하에서 RTO 피쳐가 허용될 수 있을 것이다. 예시적인 실시예에서, CI SD 보안 정책은 시나리오 1에서 보다 시나리오 2 하에서 TRO 과정을 허용하지 않을 가능성이 더 높을 수 있을 것이다. 소유되려 하는 트러스티드 도메인에 설치된 S/W 스위트는, RO 정책 및/또는 목적 파일들을 포함할 수 있는 로드 파일로부터 실행될 수 있는 추출기를 포함할 수 있을 것이며, 상기 추출기는 크레덴셜들이 로딩되고 및/또는 설치될 때 이용될 수 있을 것이다. DMP로 CI가 토큰 확인 및/또는 영수증 발생 특권들을 가질 수 있다면, CI SD는 로딩 프로세스들의 보다 많은(more) 제어를 가질 수 있을 것이다. 일 실시예에서, 사용자 등록 및/또는 원격 크레덴셜 롤아웃 피쳐가 시나리오 2 하에서 허용된다. 예를 들어, SD는 롤-아웃이 타겟화될 수 있는 TD APP를 위해서 생성될 수 있을 것이다. TDM SD과 초기에 연관될 수 있는 APP이 새롭게 생성된 SD로 인도될 수 있을 것이다. 크레덴셜들은 생성된 SD 내에 설치될 수 있는 한편, 실행가능한 것들이 TD APP 내로 추출될 수 있을 것이다. 비록, 추출 메커니즘이 S/W 의 도입 시에 GP 제한 주위에서 작업(work)할 수 있을 것이지만, 시나리오 2에서, S/W가 실행되기 시작할 때 APP이 LOCKED될 수 있는 보다 큰 가능성이 존재할 수 있을 것이다. 실시예에 따라서, TSIM 애플리케이션 이동 피쳐가 시나리오 2 하에서 포팅되고 수정될 수 있을 것이다. 예를 들어, 소오스 측(side)에는 장벽이 없을 수 있을 것이나, 목적지 측에 정책 중단자(stopper)가 존재할 수 있을 것이다. 정책 양립성 체크들은 예를 들어 소오스 및/또는 목적지 TDD APPs; 소오스 및/또는 목적지 SDPs; 소오스 및/또는 목적지 CI SD 정책들; 및/또는 2명의 사용자가 관련되는 경우에 사용자 선호도들(user preferences)과 같은 복수의 엔티티들을 포함할 수 있을 것이다. 시나리오 2 하의 하나의 실시예에서, 목적지에 대한 복사본이 후속되는 소오스 크레덴셜들의 삭제는, 촉진자와 같은 RO로, TSIM 애플리케이션 이동을 위해서 이용되는 메커니즘이 될 수 있을 것이다.
본원에서 설명된 바와 같이, TD 애플리케이션 피쳐들은, CI 카드 레벨 보안 정책이 TD SDP와 최소한으로 어그리되는, 시나리오 3 하에서 포팅될 수 있을 것이다. 시나리오 3에서, CI 및/또는 RO가 상이할 수 있고 및/또는 RO와 관련된 트러스트 레벨이 최소가 될 수 있을 것이고 그에 따라 그들의 정책들이 최소한으로 호환가능할 수 있을 것이다. 시나리오 3에 따라서, GP CI는 TD SD DM 특권을 승인하지 않을 수 있을 것이다. 제위치에서의 이러한 보안 메커니즘으로, 애플리케이션 콘텐트가 CI의 감독을 이용하여 취급될 수 있을 것이다. 애플리케이션들 및/또는 구성 파일들이 로딩되기에 앞서서, CI SD에 의해서 토큰들이 제공될 수 있고 및/또는 확인될 수 있을 것이다. CI SD는 구성 파일들 및 애플리케이션들의 로딩 및/또는 설치를 실행하는 것을 담당하는 엔티티일 수 있을 것이다. 예를 들어, 애플리케이션 제공자, 또는 RO AP에 의해서 요청된 동작들이 CI SD를 통해서 진행될 수 있을 것이다. 이는 본원에서 설명된 보다 제한적인 포팅 옵션들 중 하나일 수 있을 것이다.
트러스티드 도메인 피쳐들은 시나리오 3 하에서 포팅될 수 있을 것이다. 예를 들어, 무결성 트러스트 메커니즘들이 포팅될 수 있을 것이다. 로드-시간 DAP이 실시될 수 있을 것이나, 런-타임 무결성 체킹은 실시되지 않을 수 있을 것이다. 시나리오 3 하의 일 실시예에서, SDP 및/또는 RO의 정책 사이의 일반적인 TD 정책 호환성 체크들 하에서 RTO가 허용될 수 있을 것이다. 시나리오 3에서, 복수의 피쳐들이 허락되지 않을 수 있도록, 많은 TD APP 능력들이 감소될 수 있을 것이다. 그에 따라, 적어도 하나의 TD가 원격적으로 소유될 수 있을 것이다. 소유되려 하는 트러스티드 도메인에 설치된 S/W 스위트는, RO 정책 및/또는 목적 파일들을 포함할 수 있는 로드 파일로부터 실행될 수 있는 추출기를 포함할 수 있을 것이며, 상기 추출기는 크레덴셜들이 로딩되고 및/또는 설치될 때 이용될 수 있을 것이다. 이러한 파일들의 로딩은 시나리오 3 하의 실시예에 따라서 CI SD의 직접적인 담당이 될 수 있을 것이다. 시나리오 3 하의 하나의 실시예에서, 사용자 등록 및 원격 크레덴셜 롤아웃 트러스티드 도메인 피쳐가 허용될 수 있을 것이나, RTO가 보다 적게 발생된다면, 보다 적게 발생될 수 있을 것이며, 그리고 RTO를 위해서 채용된 정책 체크들이 이러한 피쳐에 대한 전진(go-ahead)을 제공할 수 있을 것이다. 이러한 피쳐의 실행 중에, 새로운 SD가 TD APP에 대해서 생성되고, 상기 TD APP에는 롤-아웃이 타겟화된다. TDM SD와 초기에 연관된 APP가 새롭게 생성된 SD로 인도될 수 있을 것이며, 크레덴셜들은 생성된 SD 내에 설치되는 한편, 실행가능한 것들이 TD APP 내로 추출된다. 비록, 추출 메커니즘이 새로운 S/W 의 도입 시에 GP 제한 주위에서 작업할 수 있을 것이지만, 시나리오 2와 비교할 때, 시나리오 3에서, S/W가 실행되기 시작할 때 APP이 LOCKED될 수 있는 보다 큰 가능성이 존재할 수 있을 것이다. 일 실시예에 따라서, TSIM 이동 피쳐가 허용되나, 시나리오 3 하에서 수정된다. 예를 들어, 목적지 상에서 이미 존재하는 RO(이동에 영향을 미치는 RO와 상이하다)의 존재는 TSIM 이동 프로세스가 작동되어 완료되는 것을 방지할 수 있을 것이다.
일 실시예에 따라서, THSM/TD 기능은, 트러스티드 환경에 대해서 중요할 수 있는 트러스트의 몇 개의 루트들(roots)(예를 들어, RTR, RTV, RTS, 및/또는 RTM와 같음)에 의존할 수 있는 트러스트의 요소를 포함할 수 있을 것이다. 따라서, TD 피쳐들의 상기 포팅 실행들의 경우에, 특히 PTO와 관련하여, 그러한 트러스트 지원 메커니즘들의 부재는 카드의 보안 구조를 약화시킬 수 있을 것이다. 예를 들어, 카드의 보안 구조가 원격 소유자의 관점(standpoint)으로부터 약화될 수 있을 것이다. 카드 구성의 무결성을 입증할 수 있는 능력은, 트러스트의 솔리드 루트(solid root of trust)를 기초로, RO의 중요한 정책 고려가 될 수 있을 것이다. 심지어 CI가 카드 콘텐트의 무결성을 확신하는 경우라도, RO는 확신 또는 트러스트의 그러한 동일한 레벨이 보장되지 않을 수 있을 것이다. 이는, 그것이 RTO로 진행하려고 하는지를 결정할 수 있는 RO에 대한 금지 인자(inhibiting factor)가 될 수 있을 것이다.
일 실시예에 따라서, 모바일 트러스티드 모듈(MTM) 능력들과 일치되는 트러스트 메커니즘들을 채용하는 임의 디바이스에 의해서 무결성 체킹이 이용될 수 있을 것이다. 그에 따라, THSM/TD은 트러스트 레벨들을 입증하는 것과 관련하여 GP 환경에서 디자인되는 것과 같은 기능을 하지 않을 수 있을 것이다. 그러나, 본원에서 설명된 바와 같이, TDM의 SD가 생성되고 및/또는 CI SD 및/또는 주어진 AMP의 지시하에서 PERSONALIZED되면, 보안 도메인 계층이 구축될 수 있을 것이다. 만약 SDP 내로 기록된 TD 시스템 레벨 정책이 카드 상으로 로딩된 TD 파일들의 DAP 첵킹을 실시한다면, 약해진 트러스트 레벨이 완화될 수 있을 것이다. 또한, AMP가 승인되었을 때 토큰 확인 및/또는 영수증 발생을 채용하여야 하는 것은 아니지만, DMP SD가 그럼에도 불구하고 그러한 메커니즘들을 채용할 수 있을 것이고 및/또는 그들을 그것의 정책 요건들의 일부로 만들 수 있을 것이다. 따라서, RTO, 및 이러한 방식으로 취급되고, 그리고 정책 SDP 정책 요건들을 통해서 그러한 메커니즘들이 제위치에 있도록 보장되는 크레덴셜 롤-아웃 파일들로, RO는 RTO 및 크레덴셜 다운로드로 진행하기 위한 카드 구성으로 트러스트의 충분한 레벨을 가질 수 있을 것이다. 예를 들어, 제위치에서의 보안 과정들은 MTM 능력들에 대한 대체물로서의 역할을 할 수 있을 것이다.
시나리오 2 및/또는 시나리오 3에 대해서, CI SD 내의 카드 관리자 정책들에 대한 의존성이 존재할 수 있을 것이고, TDM SD의 일부에서 적은 자율성을 가질 것이다. CI는 토큰 확인 특권 및/또는 영수증 생성 특권을 가질 수 있을 것이고 그에 따라 로딩 프로세스들의 직접적인 감시를 가질 수 있을 것이다. CI 이외의 원격 소유자들의 경우에, 정책 협상들이 카드 관리자를 향해서 배향될 수 있을 것이다. 이는, 트러스트와 관련하여 적은(less) 보안을 의미하지는 않을 것이다. CI는 보다 더 엄격한 보안 과정들이 부여될 것을 요청할 수 있을 것이다. 트러스트 문제와는 별개로, 이는 원격 TD 소유자들의 수에 대한 제한을 초래할 수 있을 것이다.
특징 및 요소들을 특별한 조합들로 앞서서 설명하였지만, 당업자는 각각의 특징 또는 요소가 단독으로 또는 다른 특징 및 요소와 함께 임의의 조합으로 사용될 수 있다는 것을 이해할 것이다. 또한, 여기에서 설명한 방법들은 컴퓨터 또는 프로세서에 의해 실행되는 컴퓨터 판독가능 매체에 통합된 컴퓨터 프로그램, 소프트웨어 또는 펌웨어로 구현될 수 있을 것이다. 컴퓨터 판독가능 매체의 예로는 전자 신호(유선 또는 무선 연결들을 통해 송신되는 것) 및 컴퓨터 판독가능 기억 매체가 있다. 컴퓨터 판독가능 기억 매체의 비제한적인 예로는 리드 온리 메모리(ROM), 랜덤 액세스 메모리(RAM), 레지스터, 캐시 메모리, 반도체 메모리 소자, 내부 하드 디스크 및 착탈식 디스크와 같은 자기 매체, 자기 광학 매체, 및 CD-ROM 디스크 및 디지털 다기능 디스크들(DVDs)과 같은 광학 매체가 있다. 프로세서는 소프트웨어와 연합해서 WTRU, UE, 단말기, 기지국, RNC, 또는 임의의 호스트 컴퓨터에서 사용되는 무선 주파수 송수신기를 구현하도록 사용될 수 있다.
Claims (20)
- 시스템에 있어서,
하나 이상의 디바이스들 상에 상주하는 복수의 도메인들로서, 상기 복수의 도메인들이 적어도 하나의 플랫폼에 의해서 지원되고, 각각의 도메인은 적어도 하나의 플랫폼 상에서 실행되는 컴퓨팅 자원들의 구성을 포함하고, 각각의 도메인은 상기 도메인으로부터 국부적으로 또는 원격적으로 위치될 수 있는 상기 도메인의 소유자를 위한 기능들을 실시하도록 구성되며, 상기 각각의 도메인이 상이한 소유자를 가질 수 있고, 상기 각각의 소유자가 상기 도메인의 동작뿐만 아니라 상기 도메인이 상주하는 플랫폼 및 다른 도메인들과 관련된 상기 도메인의 동작을 위한 정책들을 특정할 수 있는, 복수의 도메인들;
상기 복수의 도메인들 중 하나가 되는 보안 도메인으로서, 상기 보안 도메인이 외부 이해관계자와 상기 보안 도메인 사이의 트러스트(trust)의 레벨을 결정하도록 구성되는, 보안 도메인; 및
상기 복수의 도메인들 중 다른 하나의 도메인 상에 상주하는 시스템 전역 도메인 관리자(system-wide domain manager)로서, 상기 시스템 전역 도메인 관리자가 상주하는 상기 도메인이 상기 보안 도메인에 대해서 보조적이고, 상기 시스템 전역 도메인 관리자는 상기 보안 도메인으로부터 수신된 특권 레벨을 기초로 상기 복수의 도메인들 중 하나 이상의 보조적인 도메인들 상에서 상기 정책들을 실행하도록 구성되며, 상기 특권 레벨은 상기 외부 이해관계자와 상기 보안 도메인 사이의 트러스트의 레벨을 기초로 하는, 시스템 전역 도메인 관리자
를 포함하는, 시스템. - 제 1 항에 있어서,
상기 외부 이해관계자는 상기 하나 이상의 디바이스들 상의 애플리케이션의 애플리케이션 제공자인 것인, 시스템. - 제 2 항에 있어서,
상기 보안 도메인은 카드 발행자에 의해 소유되는 카드 발행자 보안 도메인인 것인, 시스템. - 제 1 항에 있어서,
상기 외부 이해관계자는 상기 하나 이상의 보조적인 도메인들 중 적어도 하나의 도메인의 소유자를 포함하는 것인, 시스템. - 제 1 항에 있어서,
상기 보안 도메인 및 상기 시스템 전역 도메인 관리자는 글로벌 플랫폼(GP: global platform) 순응형 카드 상에 상주하는 것인, 시스템. - 제 1 항에 있어서,
상기 복수의 도메인들은 글로벌 플랫폼(GP) 순응형 카드 상에 상주하고, 각각의 도메인은 하나 이상의 오프-카드 엔티티(off-card entity)들과 통신하도록 구성되는 것인, 시스템. - 제 1 항에 있어서,
상기 특권 레벨은 위임된(delegated) 관리 특권 또는 허가된 관리 특권 중 적어도 하나를 포함하는 것인, 시스템. - 제 7 항에 있어서,
상기 위임된 관리 특권 및 상기 허가된 관리 특권은, 상기 시스템 전역 도메인 관리자가 대응하는 자율성 레벨로 상기 정책들을 실행할 수 있도록 각각 구성되는 것인, 시스템. - 제 8 항에 있어서,
상기 허가된 관리 특권에 대응하는 자율성의 레벨은 상기 위임된 관리 특권에 대응하는 자율성의 레벨보다 더 높은 것인, 시스템. - 제 1 항에 있어서,
상기 각각의 도메인은 상태와 연관되고, 각각의 연관된 상태는 설치된 상태, 선택가능한 상태, 개인화된 상태, 또는 록킹된(locked) 상태 중 하나인 것인, 시스템. - 제 1 항에 있어서,
상기 시스템 전역 도메인 관리자의 상기 하나 이상의 보조적인 도메인들 중 적어도 하나 상에 로딩되는(loaded) 하나 이상의 애플리케이션들을 더 포함하고,
상기 하나 이상의 애플리케이션들 각각은 상태와 연관되고, 각각의 연관된 상태는 설치된 상태, 선택가능한 상태, 개인화된 상태, 또는 록킹된 상태 중 하나인 것인, 시스템. - 제 11 항에 있어서,
상기 하나 이상의 애플리케이션들 중 하나는 제어 권한자로부터의 지시에 따라 상기 연관된 상태를 다른 상태로 변화시키도록 구성되고, 상기 다른 상태 및 상기 제어 권한자로부터의 상기 지시는 상기 특권 레벨을 기초로 하며, 상기 제어 권한자는 상기 보안 도메인 또는 상기 시스템 전역 도메인 관리자 중 하나인 것인, 시스템. - 제 1 항에 있어서,
상기 보안 도메인의 상기 정책이 상기 시스템 전역 도메인 관리자가 상주하는 상기 도메인의 상기 정책과 충돌될 때, 상기 시스템 전역 도메인 관리자는 상기 보안 도메인의 상기 정책을 실행하도록 더 구성되는 것인, 시스템. - 제 1 항에 있어서,
상기 시스템 전역 도메인 관리자는,
상기 시스템 전역 도메인 관리자가 상주하는 상기 도메인의 동작을 위한 상기 정책들을 실행하도록;
상기 시스템 전역 도메인 관리자가 상주하는 상기 도메인과 관련하여 상기 보조 도메인들의 각각의 정책들의 실행을 조정(coordinate)하도록; 또는
상기 보조 도메인들의 각각의 정책들 및 상기 시스템 전역 도메인 관리자가 상주하는 상기 도메인의 상기 정책들에 따라 상기 보조 도메인들 사이의 상호작용을 조정하도록;
더 구성되는 것인, 시스템. - 하나 이상의 디바이스들 상에 상주하는 복수의 도메인들을 포함하는 시스템에서, 상기 복수의 도메인들이 적어도 하나의 플랫폼에 의해 지원되고, 각각의 도메인은 적어도 하나의 플랫폼 상에서 실행되는 컴퓨팅 자원들의 구성을 포함하고, 각각의 도메인은 상기 도메인으로부터 국부적으로 또는 원격적으로 위치될 수 있는 상기 도메인의 소유자를 위한 기능들을 실시하도록 구성되며, 상기 각각의 도메인이 상이한 소유자를 가질 수 있고, 상기 각각의 소유자가 상기 도메인의 동작뿐만 아니라 도메인이 상주하는 플랫폼 및 다른 도메인들과 관련된 상기 도메인의 동작을 위한 정책들을 특정할 수 있는, 방법에 있어서,
외부 이해관계자와 보안 도메인 사이의 트러스트(trust)의 레벨을 결정하는 단계로서, 상기 보안 도메인이 상기 복수의 도메인들 중 하나인, 트러스트 레벨 결정 단계; 및
상기 보안 도메인에 대해서 보조적인 상기 복수의 도메인들 중 다른 하나의 도메인 상에 상주하는 시스템 전역 도메인 관리자(system-wide domain manager)에 의해서, 상기 보안 도메인으로부터 수신된 특권 레벨을 기초로 상기 복수의 도메인들 중 하나 이상의 보조적인 도메인들 상에서 상기 정책들을 실행하는 단계로서, 상기 특권 레벨이 상기 외부 이해관계자와 상기 보안 도메인 사이의 트러스트의 레벨을 기초로 하는, 정책 실행 단계
를 포함하는, 방법. - 제 15 항에 있어서,
상기 시스템 전역 도메인 관리자에 의해서, 상기 시스템 전역 도메인 관리자가 상주하는 상기 도메인의 상기 정책들을 실행하는 단계;
상기 시스템 전역 도메인 관리자에 의해서, 상기 시스템 전역 도메인 관리자가 상주하는 상기 도메인과 관련하여 상기 보조적인 도메인들의 각각의 정책들의 실행을 조정(coordinate)하는 단계; 또는
상기 시스템 전역 도메인 관리자에 의해서, 상기 보안 도메인들 사이의 상호작용을 상기 보안 도메인들 각각의 정책들 및 상기 시스템 전역 도메인 관리자가 상주하는 상기 도메인의 상기 정책들을 기초로 조정하는 단계
를 더 포함하는, 방법. - 제 14 항에 있어서,
상기 보안 도메인의 정책이 상기 시스템 전역 도메인 관리자가 상주하는 상기 도메인의 정책과 충돌할 때, 상기 시스템 전역 도메인 관리자에 의해서, 상기 보안 도메인의 상기 정책을 실행하는 단계를 더 포함하는, 방법. - 제 14 항에 있어서,
상기 외부 이해관계자는 상기 하나 이상의 디바이스들 상의 애플리케이션의 애플리케이션 제공자인 것인, 방법. - 제 14 항에 있어서,
상기 보안 도메인은 카드 발행자에 의해서 소유되는 카드 발행자 보안 도메인인 것인, 방법. - 시스템에 있어서,
하나 이상의 디바이스들 상에 상주하는 복수의 도메인들로서, 상기 복수의 도메인들이 적어도 하나의 플랫폼에 의해서 지원되고, 각각의 도메인은 적어도 하나의 플랫폼 상에서 실행되는 컴퓨팅 자원들의 구성을 포함하고, 각각의 도메인은 상기 도메인으로부터 국부적으로 또는 원격적으로 위치될 수 있는 상기 도메인의 소유자를 위한 기능들을 실시하도록 구성되며, 상기 각각의 도메인이 상이한 소유자를 가질 수 있고, 상기 각각의 소유자가 상기 도메인의 동작뿐만 아니라 상기 도메인이 상주하는 플랫폼 및 다른 도메인들과 관련된 상기 도메인의 동작을 위한 정책들을 특정할 수 있는, 복수의 도메인들;
상기 복수의 도메인들 중 하나인 글로벌 플랫폼(GP: global platform) 순응형 카드의 카드 발행자 보안 도메인으로서, 상기 카드 발행자 보안 도메인은 외부 이해관계자와 상기 카드 발행자 보안 도메인 사이의 트러스트(trust)의 레벨을 결정하도록 구성되는, 카드 발행자 보안 도메인; 및
상기 복수의 도메인들 중 다른 하나의 도메인 상에 상주하는 시스템 전역 도메인 관리자(system-wide domain manager)로서, 상기 시스템 전역 도메인 관리자가 상주하는 상기 도메인이 상기 카드 발행자 보안 도메인에 대해서 보조적이고, 상기 시스템 전역 도메인 관리자는 상기 카드 발행자 보안 도메인으로부터 수신된 특권 레벨을 기초로 상기 복수의 도메인들 중 하나 이상의 보조적인 도메인들 상에서 상기 정책들을 실행하도록 구성되며, 상기 특권 레벨은 상기 외부 이해관계자와 상기 카드 발행자 보안 도메인 사이의 트러스트의 레벨을 기초로 하는, 시스템 전역 도메인 관리자
를 포함하는, 시스템.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US42016210P | 2010-12-06 | 2010-12-06 | |
US61/420,162 | 2010-12-06 | ||
PCT/US2011/063423 WO2012078570A2 (en) | 2010-12-06 | 2011-12-06 | Smart card with domain-trust evaluation and domain policy management functions |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020157017440A Division KR20150085101A (ko) | 2010-12-06 | 2011-12-06 | 도메인트러스트 평가 및 도메인 정책 관리 기능들을 가지는 스마트 카드 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20130097230A true KR20130097230A (ko) | 2013-09-02 |
KR101652570B1 KR101652570B1 (ko) | 2016-09-09 |
Family
ID=45509637
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020157017440A KR20150085101A (ko) | 2010-12-06 | 2011-12-06 | 도메인트러스트 평가 및 도메인 정책 관리 기능들을 가지는 스마트 카드 |
KR1020137017488A KR101652570B1 (ko) | 2010-12-06 | 2011-12-06 | 도메인트러스트 평가 및 도메인 정책 관리 기능들을 가지는 스마트 카드 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020157017440A KR20150085101A (ko) | 2010-12-06 | 2011-12-06 | 도메인트러스트 평가 및 도메인 정책 관리 기능들을 가지는 스마트 카드 |
Country Status (6)
Country | Link |
---|---|
US (4) | US9363676B2 (ko) |
EP (1) | EP2649772B1 (ko) |
JP (3) | JP5763780B2 (ko) |
KR (2) | KR20150085101A (ko) |
CN (2) | CN106355048A (ko) |
WO (1) | WO2012078570A2 (ko) |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120130838A1 (en) * | 2006-09-24 | 2012-05-24 | Rfcyber Corp. | Method and apparatus for personalizing secure elements in mobile devices |
JP5688458B2 (ja) * | 2010-08-05 | 2015-03-25 | ジェムアルト エスアー | セキュリティ部品及び携帯通信装置において複数の加入者プロファイルを安全に使用するシステムと方法 |
US8650250B2 (en) | 2010-11-24 | 2014-02-11 | Oracle International Corporation | Identifying compatible web service policies |
US9589145B2 (en) | 2010-11-24 | 2017-03-07 | Oracle International Corporation | Attaching web service policies to a group of policy subjects |
JP5763780B2 (ja) | 2010-12-06 | 2015-08-12 | インターデイジタル パテント ホールディングス インコーポレイテッド | ドメイン信頼評価機能およびドメインポリシー管理機能を有するスマートカード |
US8560819B2 (en) | 2011-05-31 | 2013-10-15 | Oracle International Corporation | Software execution using multiple initialization modes |
US9043864B2 (en) | 2011-09-30 | 2015-05-26 | Oracle International Corporation | Constraint definition for conditional policy attachments |
CN102801705B (zh) * | 2012-06-25 | 2014-12-10 | 飞天诚信科技股份有限公司 | 一种java卡上安全域的实现方法 |
US9264413B2 (en) * | 2012-12-06 | 2016-02-16 | Qualcomm Incorporated | Management of network devices utilizing an authorization token |
US9501666B2 (en) * | 2013-04-29 | 2016-11-22 | Sri International | Polymorphic computing architectures |
US9590884B2 (en) * | 2013-07-03 | 2017-03-07 | Facebook, Inc. | Native application hotspot |
CN104301284A (zh) * | 2013-07-15 | 2015-01-21 | 中国银联股份有限公司 | 多应用智能卡及智能卡多应用管理方法 |
EP2911076A1 (en) * | 2014-02-24 | 2015-08-26 | Mastercard International Incorporated | Biometric authentication |
US9973380B1 (en) * | 2014-07-10 | 2018-05-15 | Cisco Technology, Inc. | Datacenter workload deployment using cross-domain global service profiles and identifiers |
GB201506045D0 (en) * | 2015-04-09 | 2015-05-27 | Vodafone Ip Licensing Ltd | SIM security |
CN108229213B (zh) * | 2016-12-15 | 2020-07-07 | 中国移动通信有限公司研究院 | 访问控制方法、系统及电子设备 |
KR101798059B1 (ko) * | 2016-12-21 | 2017-11-16 | 주식회사 한국스마트카드 | 동적가상카드의 생성 및 폐기 방법 |
US10659464B2 (en) * | 2017-05-10 | 2020-05-19 | Microsoft Technology Licensing, Llc | Securely authenticating a bot user |
US11102002B2 (en) * | 2018-12-28 | 2021-08-24 | Dell Products, L.P. | Trust domain isolation management in secured execution environments |
US20200364354A1 (en) * | 2019-05-17 | 2020-11-19 | Microsoft Technology Licensing, Llc | Mitigation of ransomware in integrated, isolated applications |
US11995174B2 (en) * | 2020-06-12 | 2024-05-28 | Strata Identity, Inc. | Systems, methods, and storage media for migrating identity information across identity domains in an identity infrastructure |
WO2022073623A1 (en) * | 2020-10-09 | 2022-04-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Credential handling of an iot safe applet |
JP7334718B2 (ja) * | 2020-12-21 | 2023-08-29 | 大日本印刷株式会社 | セキュアエレメント,セキュアエレメントにおける特権の割り当て管理方法およびicチップ |
CN113542266B (zh) * | 2021-07-13 | 2022-09-27 | 中国人民解放军战略支援部队信息工程大学 | 一种基于云模型的虚拟网元信任度量方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070097736A (ko) * | 2006-03-29 | 2007-10-05 | 삼성전자주식회사 | 지역 도메인 관리 모듈을 가진 장치를 이용하여 도메인을지역적으로 관리하는 장치 및 방법 |
KR20070103205A (ko) * | 2006-04-18 | 2007-10-23 | 주식회사 팬택 | 사용자 도메인 관리를 위한 도메인 정책 전송방법 |
JP2009033354A (ja) * | 2007-07-25 | 2009-02-12 | Panasonic Corp | 通信システム |
KR20100056566A (ko) * | 2007-09-19 | 2010-05-27 | 인터디지탈 테크날러지 코포레이션 | 가상 가입자 식별 모듈 |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1998043212A1 (en) * | 1997-03-24 | 1998-10-01 | Visa International Service Association | A system and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card |
US6330670B1 (en) * | 1998-10-26 | 2001-12-11 | Microsoft Corporation | Digital rights management operating system |
US6481632B2 (en) * | 1998-10-27 | 2002-11-19 | Visa International Service Association | Delegated management of smart card applications |
US7140039B1 (en) * | 1999-06-08 | 2006-11-21 | The Trustees Of Columbia University In The City Of New York | Identification of an attacker in an electronic system |
JP2001325172A (ja) * | 2000-05-17 | 2001-11-22 | Fujitsu Ltd | 通信設定管理システム |
JP3817147B2 (ja) | 2001-04-10 | 2006-08-30 | 日本電信電話株式会社 | Icカード運用管理方法及びシステム |
CN1689302B (zh) * | 2002-08-19 | 2011-01-19 | 捷讯研究有限公司 | 用于无线移动通信设备的资源的安全控制的系统和方法 |
JP4064914B2 (ja) * | 2003-12-02 | 2008-03-19 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報処理装置、サーバ装置、情報処理装置のための方法、サーバ装置のための方法および装置実行可能なプログラム |
US7484237B2 (en) * | 2004-05-13 | 2009-01-27 | Hewlett-Packard Development Company, L.P. | Method and apparatus for role-based security policy management |
CN1805336A (zh) | 2005-01-12 | 2006-07-19 | 北京航空航天大学 | 面向asp模式的单一登录方法及系统 |
US8307404B2 (en) * | 2007-04-16 | 2012-11-06 | Microsoft Corporation | Policy-management infrastructure |
JP5196883B2 (ja) | 2007-06-25 | 2013-05-15 | パナソニック株式会社 | 情報セキュリティ装置および情報セキュリティシステム |
CN101360121B (zh) * | 2007-07-31 | 2012-08-29 | 华为技术有限公司 | 设备管理中权限控制的方法、系统及终端 |
US8296820B2 (en) * | 2008-01-18 | 2012-10-23 | International Business Machines Corporation | Applying security policies to multiple systems and controlling policy propagation |
US8230069B2 (en) * | 2008-03-04 | 2012-07-24 | International Business Machines Corporation | Server and storage-aware method for selecting virtual machine migration targets |
US20100062808A1 (en) * | 2008-08-25 | 2010-03-11 | Interdigital Patent Holdings, Inc. | Universal integrated circuit card having a virtual subscriber identity module functionality |
KR100997802B1 (ko) * | 2008-10-20 | 2010-12-01 | 한국전자통신연구원 | 정보 단말기의 보안 관리 장치 및 방법 |
CN101729502B (zh) * | 2008-10-23 | 2012-09-05 | 中兴通讯股份有限公司 | 密钥分发方法和系统 |
CN101729244B (zh) | 2008-10-24 | 2011-12-07 | 中兴通讯股份有限公司 | 密钥分发方法和系统 |
CN101729246B (zh) | 2008-10-24 | 2012-02-08 | 中兴通讯股份有限公司 | 密钥分发方法和系统 |
EP2182439A1 (en) * | 2008-10-28 | 2010-05-05 | Gemalto SA | Method of managing data sent over the air to an applet having a restricted interface |
EP2199993A1 (en) | 2008-12-17 | 2010-06-23 | Gemalto SA | Method and token for managing one processing relating to an application supported or to be supported by a token |
US9807608B2 (en) | 2009-04-20 | 2017-10-31 | Interdigital Patent Holdings, Inc. | System of multiple domains and domain ownership |
EP3343866A1 (en) | 2009-10-15 | 2018-07-04 | Interdigital Patent Holdings, Inc. | Registration and credential roll-out |
EP2543207B1 (en) * | 2010-03-02 | 2015-05-06 | InterDigital Patent Holdings, Inc. | Method and system for the migration of credentials and/or domains between trusted hardware subscription modules |
EP2453377A1 (en) * | 2010-11-15 | 2012-05-16 | Gemalto SA | Method of loading data into a portable secure token |
JP5763780B2 (ja) | 2010-12-06 | 2015-08-12 | インターデイジタル パテント ホールディングス インコーポレイテッド | ドメイン信頼評価機能およびドメインポリシー管理機能を有するスマートカード |
-
2011
- 2011-12-06 JP JP2013543248A patent/JP5763780B2/ja not_active Expired - Fee Related
- 2011-12-06 CN CN201610752853.XA patent/CN106355048A/zh active Pending
- 2011-12-06 US US13/991,530 patent/US9363676B2/en not_active Expired - Fee Related
- 2011-12-06 WO PCT/US2011/063423 patent/WO2012078570A2/en active Application Filing
- 2011-12-06 EP EP11811205.1A patent/EP2649772B1/en not_active Not-in-force
- 2011-12-06 KR KR1020157017440A patent/KR20150085101A/ko active IP Right Grant
- 2011-12-06 KR KR1020137017488A patent/KR101652570B1/ko active IP Right Grant
- 2011-12-06 CN CN201180066662.3A patent/CN103348652B/zh not_active Expired - Fee Related
-
2015
- 2015-06-11 JP JP2015118400A patent/JP5993064B2/ja not_active Expired - Fee Related
-
2016
- 2016-06-06 US US15/173,950 patent/US20160286403A1/en not_active Abandoned
- 2016-06-06 US US15/173,933 patent/US20160283725A1/en not_active Abandoned
- 2016-08-18 JP JP2016160718A patent/JP2017041252A/ja active Pending
-
2017
- 2017-12-14 US US15/842,594 patent/US20180121661A1/en not_active Abandoned
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070097736A (ko) * | 2006-03-29 | 2007-10-05 | 삼성전자주식회사 | 지역 도메인 관리 모듈을 가진 장치를 이용하여 도메인을지역적으로 관리하는 장치 및 방법 |
KR20070103205A (ko) * | 2006-04-18 | 2007-10-23 | 주식회사 팬택 | 사용자 도메인 관리를 위한 도메인 정책 전송방법 |
JP2009033354A (ja) * | 2007-07-25 | 2009-02-12 | Panasonic Corp | 通信システム |
KR20100056566A (ko) * | 2007-09-19 | 2010-05-27 | 인터디지탈 테크날러지 코포레이션 | 가상 가입자 식별 모듈 |
Also Published As
Publication number | Publication date |
---|---|
CN103348652A (zh) | 2013-10-09 |
JP2017041252A (ja) | 2017-02-23 |
KR101652570B1 (ko) | 2016-09-09 |
US9363676B2 (en) | 2016-06-07 |
EP2649772A1 (en) | 2013-10-16 |
CN106355048A (zh) | 2017-01-25 |
US20140179271A1 (en) | 2014-06-26 |
WO2012078570A2 (en) | 2012-06-14 |
JP5763780B2 (ja) | 2015-08-12 |
CN103348652B (zh) | 2016-09-28 |
US20160286403A1 (en) | 2016-09-29 |
JP2014505921A (ja) | 2014-03-06 |
US20160283725A1 (en) | 2016-09-29 |
KR20150085101A (ko) | 2015-07-22 |
JP2015165431A (ja) | 2015-09-17 |
JP5993064B2 (ja) | 2016-09-14 |
US20180121661A1 (en) | 2018-05-03 |
EP2649772B1 (en) | 2018-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101652570B1 (ko) | 도메인트러스트 평가 및 도메인 정책 관리 기능들을 가지는 스마트 카드 | |
JP6262278B2 (ja) | アクセス制御クライアントの記憶及び演算に関する方法及び装置 | |
US9032473B2 (en) | Migration of credentials and/or domains between trusted hardware subscription modules | |
US9203846B2 (en) | Registration and credential roll-out for accessing a subscription-based service | |
EP2063378A2 (en) | Telecommunications device security | |
WO2019226510A1 (en) | Methods and systems for multiple independent roots of trust | |
US20210250339A1 (en) | Securing communications via computing devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
A107 | Divisional application of patent | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |