WO2013009044A2

WO2013009044A2 - 특수 권한 기반의 내장 ｓｉｍ의 ｍｎｏ 변경방법 및 그를 위한 내장 ｓｉｍ과 기록매체

Info

Publication number: WO2013009044A2
Application number: PCT/KR2012/005377
Authority: WO
Inventors: 박재민; 이진형; 이광욱
Original assignee: 주식회사 케이티
Priority date: 2011-07-08
Filing date: 2012-07-06
Publication date: 2013-01-17
Also published as: ES2708696T3; EP3439342A1; US20140134981A1; WO2013009044A3; KR20130012243A; EP2731381A2; EP2731381A4; US9628981B2; EP3439342B1; EP2731381B1

Abstract

본 발명은 인증된 관리 특수 권한(Authorized Management Privilege) 및 위임된 관리 특수 권한(Delegated Management Privilege) 기능이 구현된 글로벌 플랫폼 기술을 이용하여, 시큐리티 도메인(Security Domain)을 생성 및 이양함으로써, 내장 SIM(eSIM 또는 eUICC)을 관리(SIM과의 상호 인증, 보안통신, 채널 형성, 애플리케이션 및 데이터 발급 등)하는 방법 및 장치를 제공하는 것이다.

Description

특수 권한 기반의 내장 ＳＩＭ의 ＭＮＯ 변경방법 및 그를 위한 내장 ＳＩＭ과 기록매체

본 발명은 특수 권한(Privilege) 기반의 내장 SIM(Embeded Subscriber Identity Module; 이하 ‘eSIM’ 또는 ‘eUICC’라 함)의 MNO 변경방법 및 그를 위한 내장 SIM 등에 관한 것이다.

UICC(Universal Integrated Circuit Card)는 단말기 내에 삽입되어 사용자 인증을 위한 모듈로서 사용될 수 있는 스마트 카드이다. UICC는 사용자의 개인 정보 및 사용자가 가입한 이동 통신 사업자에 대한 사업자 정보를 저장할 수 있다. 예를 들면, UICC는 사용자를 식별하기 위한 IMSI(International Mobile Subscriber Identity)를 포함할 수 있다. UICC는 GSM(Global System for Mobile communications) 방식의 경우 SIM(Subscriber Identity Module) 카드, WCDMA(Wideband Code Division Multiple Access) 방식의 경우 USIM(Universal Subscriber Identity Module) 카드로 불리기도 한다.

사용자가 UICC를 사용자의 단말에 장착하면, UICC에 저장된 정보들을 이용하여 자동으로 사용자 인증이 이루어져 사용자가 편리하게 단말을 사용할 수 있다. 또한, 사용자가 단말을 교체할 때, 사용자는 기존의 단말에서 탈거한 UICC를 새로운 단말에 장착하여 용이하게 단말을 교체할 수 있다.

소형화가 요구되는 단말, 예를 들면 기계 대 기계(Machine to Machine, M2M) 통신을 위한 단말은 UICC를 착탈할 수 있는 구조로 제조할 경우 단말의 소형화가 어려워진다. 그리하여, 착탈할 수 없는 UICC인 eUICC 구조가 제안되었다. eUICC는 해당 UICC를 사용하는 사용자 정보가 IMSI 형태로 수록되어야 한다.

기존의 UICC는 단말에 착탈이 가능하여, 단말의 종류나 이동 통신 사업자에 구애받지 않고 사용자는 단말을 개통할 수 있다. 그러나, 단말을 제조할 때부터 제조된 단말은 특정 이동 통신 사업자에 대해서만 사용된다는 전제가 성립되어야 eUICC 내의 IMSI를 할당할 수 있다. 단말을 발주하는 이동 통신 사업자 및 단말 제조사는 모두 제품 재고에 신경을 쓸 수 밖에 없고 제품 가격이 상승하는 문제가 발생하게 된다. 사용자는 단말에 대해 이동 통신 사업자를 바꿀 수 없는 불편이 있다. 그러므로, eUICC의 경우에도 이동 통신 사업자에 구애받지 않고 사용자가 단말을 개통할 수 있는 방법이 요구된다.

한편, 최근 eUICC의 도입으로 인하여 여러 이통통신 사업자의 가입자 정보를 원격에서 UICC로 업데이트 할 필요가 생기게 되었고, 그에 따라 가입자 정보 관리를 위한 가입 관리 장치(Subscription Manager; 이하 ‘SM’이라 함) 또는 프로파일 관리장치(Profile Manager; 이하 ‘PM’이라 함)가 논의되고 있다.

그러나, 이러한 eSIM 환경에서는 기존 착탈식 SIM과는 다른 물리적 형태로 인해 소프트웨어 형태의 SIM 데이터들이 관리되어야 하며, 현재 글로벌 플랫폼(GlobalPlatform) 기술을 기반으로 방식들이 논의되고 있다. 하지만, 글로벌 플랫폼의 논의에 의하면 키(key) 소유와 이로 인한 eSIM 기반 사업 주도권 (통신 및 부가 서비스) 이슈로 인해 별도의 제3 주체가 아닌 MNO가 주도하여 eSIM 기반 서비스를 제공할 필요가 있으나, 이에 대한 구체적인 방안이 없는 실정이다.

본 발명의 목적은 eSIM을 포함하는 통신 환경에서 글로벌 플랫폼 기반으로eSIM을 관리하고, 프로비저닝 및 MNO 변경을 수행하는 방법 및 장치를 제공하는 것이다.

본 발명의 목적은 eSIM을 포함하는 통신 환경에서 특수 권한(Privilege)을 이용하여 eSIM을 관리하고, 프로비저닝 및 MNO 변경을 수행하는 방법 및 장치를 제공하는 것이다.

본 발명의 목적은 eSIM을 포함하는 통신 환경에서 특수 권한(Privilege)을 가지는 시큐리티 도메인(Security Domain; 이하 ‘SD’라 함)을 이용하여 eSIM을 관리하고, 프로비저닝 및 MNO 변경을 수행하는 방법 및 장치를 제공하는 것이다.

본 발명의 다른 목적은 인증된 관리 특수 권한(Authorized Management Privilege) 및 위임된 관리 특수 권한(Delegated Management Privilege) 기능이 구현된 글로벌 플랫폼 기술을 이용하여 카드를 관리(SIM과의 상호 인증, 보안통신, 채널 형성 , 애플리케이션 및 데이터 발급 등)하는 방법 및 장치를 제공하는 것이다.

본 발명의 일 실시예는, 1 이상의 통신사업자(MNO)와 연동되어 있는 내장 SIM(eSIM)를 이용한 MNO 변경 방법으로서, 상기 eSIM은 프로비저닝 프로파일 및 1 이상의 통신사업자(MNO)에 대한 프로파일을 저장하고 있으며, 리시빙(Receiving) MNO에 대한 위임된 관리 특수권한(Delegated Management Privilege) 또는 인증된 관리 특수권한(Authorized Management Privilege)을 가진 시큐리티 도메인(Security Domain; SD)을 도너(Donor) MNO 시스템으로부터 수신하는 단계와, 상기 프로비저닝 프로파일을 이용하여 상기 리시빙 MNO 시스템으로 접속한 후 SD 인증 및 필요한 프로파일 또는 데이터 수신하는 단계를 포함하는 MNO 변경방법을 제공한다.

본 발명의 다른 실시예는 1 이상의 통신사업자(MNO)와 연동되어 있는 내장 SIM(eSIM)를 이용한 MNO 변경 방법으로서, 상기 eSIM은 프로비저닝 프로파일 및 1 이상의 통신사업자(MNO)에 대한 프로파일을 저장하고 있으며, 초기 개통 MNO 시스템으로부터 복귀 요청을 수신하는 단계와, 상기 프로비저닝 프로파일을 이용하여 초기 개통 MNO 시스템으로 접속하나 단계와, 발급자 시큐리티 도메인(Issuer Security Domain; ISD) 키를 이용하여 현재 활성화되어 있는 MNO의 프로파일(SD 포함)을 삭제하고, 비활성화되어 있던 초기 개통 MNO의 프로파일을 활성화 상태로 변경하는 단계를 포함하는 MNO변경 방법을 제공한다.

본 발명의 다른 실시예는 1 이상의 통신사업자(MNO)와 연동되어 있는 내장 SIM(eSIM)를 이용한 MNO 변경 방법으로서, 상기 eSIM은 프로비저닝 프로파일 및 1 이상의 통신사업자(MNO)에 대한 프로파일을 저장하고 있으며, 초기 개통 MNO이 별도로 있는 상태에서 도너 MNO로부터 리시빙 MNO로 가입 변경이 발생하는 경우, 리시빙(Receiving) MNO에 대한 위임된 관리 특수권한(Delegated Management Privilege) 또는 인증된 관리 특수권한(Authorized Management Privilege)을 가진 시큐리티 도메인(Security Domain; SD)을 상기 초기 개통 MNO 시스템으로부터 수신하는 단계와, 상기 도너 MNO의 프로파일을 삭제하는 단계와, 상기 프로비저닝 프로파일을 이용하여 리시빙 MNO 시스템으로 접속한 후 SD 인증 및 필요한 프로파일 또는 데이터를 수신하는 단계를 포함하는 MNO 변경방법을 제공한다.

본 발명의 다른 실시예는 초기개통 MNO이면서 도너(Donor) MNO인 MNO1 시스템, 리시빙(Receiving) MNO인 MNO2 시스템 및 1 이상의 MNO 프로파일을 저장하는 eSIM을 이용한 MNO 변경 방법으로서, 상기 MNO2 시스템에서 상기 MNO1 시스템으로 MNO 변경 요청 메시지를 전송하는 단계와, 상기 MNO1 시스템은 발급자 시큐리티 도메인(Issuer Security Domain; ISD) 키를 이용하여 MNO2를 위한 인증된 관리 특수 권한(Authorized Management Privilege) 또는 위임된 관리 특수 권한(Delegated Management Privilege)을 가지는 시큐리티 도메인(Security Domain; SD)를 생성하는 단계와, 상기 MNO1 시스템은 상기 MNO1에 대한 프로파일을 비활성화시키는 단계와, 상기 eSIM이 장착된 단말은 부팅 후 상기 MNO2 시스템으로 접속한 후 서비스를 제공받는 단계를 포함하는 MNO 변경 방법을 제공한다.

본 발명의 다른 실시예는 초기개통 MNO인 MNO2 시스템, 도너(Donor) MNO인 MNO2 시스템, 리시빙(Receiving) MNO인 MNO3 시스템 및 1 이상의 MNO 프로파일을 저장하는 eSIM을 이용한 MNO 변경 방법으로서, 상기 MNO3 시스템에서 상기 MNO1 시스템으로 MNO 변경 요청 메시지를 전송하는 단계와, 상기 MNO1 시스템은 발급자 시큐리티 도메인(Issuer Security Domain; ISD) 키를 이용하여 MNO3을 위한 인증된 관리 특수 권한(Authorized Management Privilege) 또는 위임된 관리 특수 권한(Delegated Management Privilege)을 가지는 시큐리티 도메인(Security Domain; SD)를 생성하는 단계와, 상기 MNO1 시스템은 상기 MNO2에 대한 프로파일을 삭제시키는 단계와, 상기 eSIM이 장착된 단말은 부팅 후 상기 MNO3 시스템으로 접속한 후 서비스를 제공받는 단계를 포함하는 MNO 변경 방법을 제공한다.

본 발명의 다른 실시예는 1 이상의 통신사업자(MNO)와 연동되어 있는 내장 SIM(eSIM)으로서, 상기 eSIM은 프로비저닝 프로파일 및 1 이상의 통신사업자(MNO)에 대한 프로파일을 저장하고 있으며, 상기 리시빙(Receiving) MNO에 대한 위임된 관리 특수권한(Delegated Management Privilege) 또는 인증된 관리 특수권한(Authorized Management Privilege)을 가진 시큐리티 도메인(Security Domain; SD)을 도너(Donor) MNO 시스템으로부터 수신하고, 상기 프로비저닝 프로파일을 이용하여 상기 리시빙 MNO 시스템으로 접속한 후 SD 인증 및 필요한 프로파일 또는 데이터 수신하는 eSIM을 제공한다.

본 발명의 다른 실시예는 1 이상의 통신사업자(MNO)와 연동되어 있는 내장 SIM(eSIM)으로서,상기 eSIM은 프로비저닝 프로파일 및 1 이상의 통신사업자(MNO)에 대한 프로파일을 저장하고 있으며, 초기 개통 MNO이 별도로 있는 상태에서 도너 MNO로부터 리시빙 MNO로 가입 변경이 발생하는 경우, 리시빙(Receiving) MNO에 대한 위임된 관리 특수권한(Delegated Management Privilege) 또는 인증된 관리 특수권한(Authorized Management Privilege)을 가진 시큐리티 도메인(Security Domain; SD)을 상기 초기 개통 MNO 시스템으로부터 수신하고, 상기 도너 MNO의 프로파일을 삭제하며, 상기 프로비저닝 프로파일을 이용하여 리시빙 MNO 시스템으로 접속한 후 SD 인증 및 필요한 프로파일 또는 데이터를 수신하는 eSIM을 제공한다.

본 발명의 다른 실시예는 1 이상의 통신사업자(MNO)와 연동되어 있는 내장 SIM(eSIM)에 설치되는 프로그램으로서, 상기 eSIM은 프로비저닝 프로파일 및 1 이상의 통신사업자(MNO)에 대한 프로파일을 저장하고 있으며, 상기 프로그램은, 상기 리시빙(Receiving) MNO에 대한 위임된 관리 특수권한(Delegated Management Privilege) 또는 인증된 관리 특수권한(Authorized Management Privilege)을 가진 시큐리티 도메인(Security Domain; SD)을 도너(Donor) MNO 시스템으로부터 수신하는 기능과, 도너 MNO에 대한 프로파일을 바활성화(Inactive) 시키는 기능과, 상기 프로비저닝 프로파일을 이용하여 상기 리시빙 MNO 시스템으로 접속한 후 SD 인증 및 필요한 프로파일 또는 데이터 수신하는 기능을 수행하는 상기 프로그램을 기록한 기록매체를 제공한다.

본 발명의 다른 실시예는, 1 이상의 통신사업자(MNO)와 연동되어 있는 내장 SIM(eSIM) 에 설치되는 프로그램으로서, 상기 eSIM은 프로비저닝 프로파일 및 1 이상의 통신사업자(MNO)에 대한 프로파일을 저장하고 있으며, 초기 개통 MNO이 별도로 있는 상태에서 도너 MNO로부터 리시빙 MNO로 가입 변경이 발생하는 경우 상기 프로그램은, 리시빙(Receiving) MNO에 대한 위임된 관리 특수권한(Delegated Management Privilege) 또는 인증된 관리 특수권한(Authorized Management Privilege)을 가진 시큐리티 도메인(Security Domain; SD)을 상기 초기 개통 MNO 시스템으로부터 수신하는 기능과, 상기 도너 MNO의 프로파일을 삭제하는 기능, 및 상기 프로비저닝 프로파일을 이용하여 리시빙 MNO 시스템으로 접속한 후 SD 인증 및 필요한 프로파일 또는 데이터를 수신하는 기능을 수행하는 상기 프로그램을 기록한 기록매체를 제공한다.

도 1은 본 발명이 적용되는 eSIM 또는 eUICC를 포함한 전체 서비스 아키텍처를 도시한다.

도 2는 본 발명에 의한 글로벌 플랫폼에 기초한 카드 아키텍처를 도시한다.

도 3은 본 발명의 일 실시예에 의한 eSIM의 내부 구조 및 외부 MNO와의 관계를 도시한다.

도 4는 본 발명의 일 실시예에 의한 eSIM을 이용한 프로비저닝 과정을 나타내는 흐름도이다.

도 5는 본 발명의 일 실시예에 의한 eSIM을 이용한 MNO 변경 과정을 나타내는 흐름도이다.

도 6은 본 발명의 다른 실시예에 의한 eSIM을 이용한 MNO 변경 과정을 나타내는 흐름도로서, 초기 개통 MNO가 도너 또는 리시빙 MNO가 아닌 경우에 해당된다.

도 7은 본 발명의 일 실시예에 의한 eSIM을 이용한 초기 개통 MNO로의 복귀 과정을 나타내는 흐름도이다.

이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.

현재 GSMA에서 활발하게 논의되는 M2M(Machine-to-Machine) 단말은 특성상 크기가 작아야 하는데, 기존 UICC를 사용하는 경우에는, M2M 단말에 UICC를 장착하는 모듈을 별도 삽입해야 하므로, UICC를 탈착가능한 구조로 M2M단말을 제조하게 되면, M2M 단말의 소형화가 힘들게 된다.

따라서, UICC 착탈이 불가능한 내장(Embedded) UICC 구조가 논의되고 있는데, 이때 M2M 단말에 장착되는 eUICC에는 해당 UICC를 사용하는 이동통신 사업자(Mobile Network Operator; 이하 ‘MNO’라 함)정보가 국제 모바일 가입자 식별자(International Mobile Subscriber Identity, IMSI) 형태로 UICC에 저장되어 있어야 한다.

그러나, M2M 단말을 제조할 때부터 제조된 단말은 특정 MNO에서만 사용한다는 전제가 성립되어야 eUICC내의 IMSI를 할당할 수 있으므로, M2M 단말 또는 UICC를 발주하는 MNO나 제조하는 M2M 제조사 모두 제품 재고에 많은 신경을 할당할 수 밖에 없고 제품 가격이 상승하게 되는 문제가 있어, M2M 단말 확대에 큰 걸림돌이 되고 있는 상황이다.

이와 같이, 기존의 착탈식 형태의 SIM과는 달리 단말에 일체형으로 탑재되는 eUICC 또는 eSIM은 그 물리적 구조 차이로 인해 개통 권한, 부가 서비스 사업 주도권, 가입자 정보 보안 등에 대한 많은 이슈들이 존재한다. 이를 위해 GSMA 및 ETSI의 국제 표준화 기관에서는 사업자, 제조사, SIM 제조사 등의 유관 회사들과 최상위 구조를 포함한 필요한 요소에 대해 표준화 활동을 전개하고 있다. eSIM이 표준화 단체들을 통해 논의되면서 이슈의 중심에 있는 것은 Subscription Manager라고 불리는 SM으로 사업자 정보 (Operator Credential, MNO Credential, Profile, eUICC Profile, Profile Package 등 다른 표현으로 사용될 수 있음)를 eSIM에 발급하고 가입(Subscription) 변경 또는 MNO 변경에 대한 프로세스를 처리하는 등 eSIM에 대한 전반적인 관리 역할을 수행하는 개체 또는 그 기능/역할을 의미한다.

최근 GSMA에서는 SM의 역할을 사업자 정보를 생성하는 역할을 수행하는 SM-DP (Data Preparation)과 eSIM에 사업자 정보의 직접적 운반을 수행하는 SM-SR (Secure Routing)로 분류한 구조와, 프로파일을 암호화하여 전송하는 방안을 제안하였으나 세부적인 내용이 부족하다.

본 명세서에서는 eSIM과 eUICC를 동등한 개념으로 사용한다.

eSIM은 단말 제조 단계에서 IC칩을 단말 회로판 상에 부착시킨 후, 소프트웨어 형태의 SIM 데이터 (개통 정보, 부가 서비스 정보 등)를 OTA (Over The Air) 또는 오프라인 (PC와의 USB 등의 기술 기반 연결)을 통해 발급하는 방식의 새로운 개념의 SIM 기술이다. eSIM에서 사용되는 IC칩은 일반적으로 하드웨어 기반의 CCP (Crypto Co-Processor)를 지원하여 하드웨어 기반의 공개키 생성을 제공하며, 이를 어플리케이션 (예, 애플릿) 기반에서 활용할 수 있는 API를 SIM 플랫폼 (예, Java Card Platform 등)에서 제공한다. 자바 카드 플랫폼(Java Card Platform)은 스마트카드 등에서 멀티 어플리케이션을 탑재하고 서비스를 제공할 수 있는 플랫폼 중 하나이다.

SIM은 제한된 메모리 공간과 보안상의 이유로 누구나 SIM 내에 어플리케이션을 탑재해서는 안되며, 이로 인해 어플리케이션 탑재를 위한 플랫폼 이외에 SIM을 어플리케이션 탑재 및 관리를 담당하는 SIM 서비스 관리 플랫폼을 필요로 한다. SIM 서비스 관리 플랫폼은 관리키를 통한 인증 및 보안을 통해 SIM 메모리 영역에 데이터를 발급하며, 글로벌 플랫폼(GlobalPlatform)과 ETSI TS 102.226의 RFM (Remote File Management) 및 RAM (Remote Application Management)은 이와 같은 SIM 서비스 관리 플랫폼의 표준 기술이다.

eSIM 환경에서 중요한 요소 중의 하나인 SM은 eSIM은 원격으로 관리키(UICC OTA Key, GP ISD Key 등)를 통해 통신 및 부가 서비스 데이터를 발급하는 역할을 수행한다.

GSMA에서는 SM의 역할을 SM-DP와 SM-SR로 분류할 수 있다. SM-DP는 오퍼레이션 프로파일(또는 사업자 정보) 이외에 IMSI, K, OPc, 부가 서비스 어플리케이션, 부가 서비스 데이터 등을 안전하게 빌드(Build)하여 크레덴셜 패키지(Credential Package) 형태로 만드는 역할을 수행하며, SM-SR은 SM-DP가 생성한 크레덴셜 패키지를 OTA(Over-The-Air) 또는 GP SCP (Secure Communication Protocol)과 같은 SIM 원격 관리 기술을 통해 eSIM에 안전하게 다운로드하는 역할을 수행한다.

도 1은 SM을 포함하는 eSIM 통신 시스템의 일 예를 도시한다.

SM을 이용하는 eSIM 통신 시스템 아키텍처는 다수의 MNO 시스템과, 1 이상의 SM 시스템, eUICC 제조사 시스템, eUICC를 포함하는 장치(Device) 제조사 시스템 및 eUICC 등을 포함할 수 있으며, 도 1에서 점선은 신뢰 서클(Circle of Trust)을 도시하고, 2개 실선은 안전한 링크를 의미한다.

도 1의 “신뢰 서클(Circle of Trust)”이라는 구조를 제안하여 각 유사 개체 또는 엔터티 들간에 신뢰 관계의 중첩을 통해 MNO와 eSIM 간의 엔드-투-엔드(End-to-End) 신뢰 관계를 구축한다는 개념을 제안하였다. 즉, MNO1는 SM1과, SM1은 SM4, SM4는 eSIM과 신뢰관계를 형성하여, 이를 통해 MNO와 eSIM 간의 신뢰관계를 형성한다는 개념이다.

이러한 SM을 이용한 eSIM 통신 시스템에서는 SM이라고 정의되는 기능을 도입하며, SM의 주요한 역할은 MNO 크레덴셜을 포함하는 패키지 또는 프로파일을 준비해서 eUICC로 전달하는 것이다. SM 기능은 MNO에 의하여 직접적으로 제공될 수도 있고, MNO가 SM 서비스를 획득하기 위하여 제3 기관과 계약할 수도 있을 것이다. 이러한 SM 기능은 MNO 또는 제3 기관에 의하여 제공되어야 하며, 만약 제3 기관에 의하여 제공된다면 SM과 MNO 사이에는 상업적인 관계가 설정되어 있는 경우 등일 것이다.

SM은 eUICC와 관련된 여러 프로파일(MNO의 오퍼레이션 프로파일, 프로비저닝 프로파일 등)을 안전하게 준비하는 SM-DP와, 그를 라우팅하기 위한 SM-SR로 구분되며, SM-SR은 다른 여러 SM-SR과 신뢰관계로 연동될 수 있고, SM-DP는 MNO 시스템에 연동되어 있다.

그러나, 도 1과 같이 SM을 이용하는 시스템에서는, SM이 가입 관리, 부가 서비스 관리, MNO 변경 관리 등의 전반적인 관리를 수행하게 되는데, 이는 현재의 통신 서비스가 모두 MNO 주도로 이루어지는 것과 달라서 호환성이나 신뢰성 확보등에 문제가 있을 수 있다.

한편, SIM 서비스 관리 플랫폼의 표준 중 하나로서 글로벌 플랫폼이 사용되고 있다.

이러한 글로벌 플랫폼은 안전하고 동적인 카드 및 애플리케이션 관리 스펙으로서, 카드 구성요소와, 명령어 세트, 트랜잭션 시퀀스 및 하드웨어, 시스템 및 OS 중립적이고 애플리케이션 독립적인 인터페이스를 제공한다.

본 발명은 이러한 글로벌 플랫폼 기반에서 MNO 주도로 발급자 시큐리티 도메인(Issuer Security Domain; 이하 ‘ISD’라고도 함) 키(Key)를 소유한 환경에서 기존 SIM 관련 기술의 변경 없이 단말에 MNO 프로파일을 발급하고 타통신사로 이동하는 구조를 제공할 수 있다.

그를 위하여, 본 발명의 일 실시예에서는 글로벌 플랫폼에 정의된 인증된 관리 특수권한(Authorized Management Privilege) 또는 위임된 관리 특수권한(Delegated Management Privilege)를 가지는 시큐리티 도메인(Security Domain; 이하 ‘SD’라고도 함)을 이용하는 방안을 제공하고자 한다. 구체적인 본 발명의 구성에 대해서는 도 3 이하를 참고로 아래에서 설명한다.

글로벌 플랫폼에 의한 카드 아키텍처는 하드웨어와 벤더(Vendor)에 중립적인 인터페이스를 애플리케이션 및 오프카드 관리 시스템에게 보장하기 위한 다수의 컴포넌트로 구성된다.

이러한 컴포넌트로는 카드 발급자(Card Issuer)를 위한 하나 이상의 카드 발급자 애플리케이션(210), 카드 발급자의 사업 파트너, 즉, 애플리케이션 제공자를 위한 하나 이상의 애플리케이션 제공자 애플리케이션(220), 다른 애플리케이션으로 글로벌 서비스(예를 들면, CSM 서비스)를 제공하기 위한 하나 이상의 글로벌 서비스 애플리케이션(230) 등이 있다.

각 애플리케이션에는 대응되는 시큐리티 도메인(Security Domain; SD)이 연관되어 있으며, 즉, 발급자 SD(ISD; 211), 서비스 제공자 SD(221), 제어 기관(Controlling Authority) SD(231) 등이 포함된다.

모든 애플리케이션은 애플리케이션 이동성을 지원하는 하드웨어 중립적인 API(Application Programming Interface)를 포함하는 시큐어 런타임 환경(secure runtime environment; 250) 내에 구현된다. 글로벌 플랫폼은 특정한 런타임 환경 기술로 제한하는 것은 아니며, 카드 메니저가 중앙 관리자로서 역할을 수행하는 주요한 카드 컴포넌트이다. 특정한 키 및 시큐리티 도메인이라 불리는 시큐리티 관리 애플리케이션이 생성되어, 카드 발급자와 다수의 다른 SD 제공자 사이에서 키들이 완전히 분리되는 것을 보장하게 된다.

이러한 애플리케이션과 SD 하부에는 글로벌플랫폼 환경(OPEN) 및 GP 신뢰 프레임워크(240)이 포함되며, 그 하부에 런타임 환경(Runtime Environment; 250)이 형성되어 있다.

또한, 애플리케이션/SD와 글로벌플랫폼 환경(OPEN) 및 GP 신뢰 프레임워크(240) 사이에는 GP API(241)이 제공되며, 애플리케이션/SD와 런타임 환경(250) 사이에는 런타임 API(RTE API; 251)이 제공된다.

발급자 SD(ISD; 211), 서비스 제공자 SD(221), 제어 기관(Controlling Authority) SD(232)와 같은 SD는 SD는 오프카드 기관(Authority)의 온카드 대리자 역할을 수행한다. SD는 카드에 의하여 인식되는 오프카드 기관의 3가지 타입을 반영하여 크게 3개의 타입으로 구분될 수 있다.

첫째로, ISD(211)는 통상 카드 발급자가 되는 카드 관리자(Administration)를 위한 주요하면서도 필수인 온카드 대리자이다.

둘째로, 보조 SD(Supplementary SD)는 카드 발급자 또는 애플리케이션 제공자 또는 그들의 에이전트를 위한 추가적이고 선택적인 온카드 대리자로서 기능한다. 서비스 제공자 SD(221)가 이러한 보조 SD(SSD)에 해당된다.

셋째 타입으로서, 제어 기관 SD(Controlling Authority Security Domains)는 보조 SD의 특수한 한 형태로서, 제어 기관은 카드내에 로딩되는 모든 애플리케이션 코드 상에 적용되는 시큐리티 정책(Policy)을 강제하는 역할을 한다. 또한 제어 기관은 이러한 기능을 제공하기 위하여 자신의 온카드 대리자로서 이러한 형태의 SD를 이용할 수 있다. 이러한 제어 기관 SD는 하나 이상 존재할 수 있다.

일반적으로, 3가지 타입 모두는 단순하게 SD라고 부를 수 있으며, SD는 자신의 제공자(카드 발급자, 애플리케이션 제공자 또는 제어 기관 등)를 위한 키 핸들링, 암호화, 복호화, 전자서명 생성 및 검증과 같은 시큐리티 서비스를 지원한다. 각 SD는 오프카드 엔터티가 서로 완전히 격리되는 키를 사용하고자 요청하는 경우, 카드 발급자, 애플리케이션 제공자 또는 제어기관을 대신해서 설정된다.

한편, 카드 내에는 하나 이상의 글로벌 서비스 애플리케이션(230)이 존재해서, 카드 상의 다른 애플리케이션에 카드홀더 검증 방법(Cardholder Verification Method; CVM)과 같은 서비스를 제공할 수 있다.

글로벌 플랫폼은 안전한 다중 애플리케이션 카드 런타임 환경 상에서 동작하기 위한 것으로서, 이러한 런타임 환경(250)은 안전한 저장과 애플리케이션의 실행공간을 물론이고 애플리케이션을 위한 하드웨어 중립적인 API를 제공함으로써, 각 애플리케이션 코드 및 데이터가 다른 애플리케이션으로부터 분리된 상태에서 안정하게 유지되도록 한다. 카드의 런타임 환경은 또한 카드 및 오프카드 엔터티 사이의 통신 서비스를 제공하기도 한다.

글로벌 플랫폼 카드는 또한 하나 이상의 신뢰 프레임워크(Trusted Framework; 240)를 포함할 수 있으며, 이러한 신뢰 프레임워크는 애플리케이션 사이에서 애플리케이션 간 통신을 제공한다. 신뢰 프레임워크는 애플리케이션 또는 SD는 아니며, 카드 런타임 환경의 확장 또는 하나의 부분으로서 존재할 수 있다.

이와 같이, 글로벌 플랫폼(GlobalPlatform)은 SIM과 같은 스마트카드의 어플리케이션 (애플릿 등) 관리를 위한 표준 기술이다. 글로벌 플랫폼 은 ISD (Issuer Security Domain)이라는 카드 발급자(예, MNO)를 대표하고 필요한 전체적인 관리 기능을 수행하는 소프트웨어와 카드 발급자의 사업 파트너(예를 들면, 은행, 신용카드사 등의 애플리케이션 제공자)에서 자신들의 서비스 소프트웨어 및 정보 (예, 뱅킹 애플릿, 계좌 정보 등)를 위한 안전하게 관리할 수 있는 SSD (Supplementary Security Domain)이라는 소프트웨어를 정의한다.

그러나, eSIM 환경에서는 기존 착탈식 SIM과는 다른 물리적 형태로 인해 소프트웨어 형태의 SIM 데이터들이 관리되어야 하며, 현재 글로벌 플랫폼 기술을 기반으로 방식들이 논의되고 있다. 하지만, 글로벌 플랫폼 상의 ISD 키(Key) 소유와 이로 인한 eSIM 기반 사업 주도권 (통신 및 부가 서비스) 이슈로 인해 별도의 주체가 아닌 MNO가 ISD 키를 소유하고 이를 기반으로 eSIM 사업을 전개하는 구조적 정의가 필요하다.

이에 본 발명에서는 현존하는 표준 기술인 글로벌 플랫폼 상의 인증된 관리(Authorized Management) 및 위임된 관리(Delegated Management) 기반의 eSIM 관리 방안을 제시한다. 세부적으로 기본 개통 구조, 타사 이동 구조 및 프로세스의 방안을 제시한다.

본 발명의 일실시예에 의한 시스템은 eSIM(300)과 1 이상의 MNO 시스템(360, 370)으로 구성된다.

eSIM(300)은 내부에 프로비저닝 프로파일(Provisioning Profile; 310)과 글로벌 플랫폼(320) 및 글로벌 플랫폼 상위 계층에 ISD(330) 및 SD(340) 등을 포함한다.

ISD(Issuer Security Domain)은 통상 카드 발급자가 되는 카드 관리자(Administration)를 위한 주요하면서도 필수인 온카드 대리자로서, 카드 관리(Administration)의 통신 요구조건, 제어 및 보안에 대한 지원을 제공하는 주된 온카드(On-card) 엔터티를 의미한다.

또한, eSIM 내에는 하나 이상의 MNO에 대한 프로파일(331, 341)이 존재하며, ISD(330)에 의해서 초기 개통 MNO인 MNO1의 프로파일(331)이 관리되고, SD에 의해서 추가 MNO인 MNO2의 프로파일(341)이 관리된다.

또한, 본 발명에 의한 SD(340)는 인증된 관리 특수권한(Authorized Management Privilege) 또는 위임된 관리 특수권한(Delegated Management Privilege)를 가지는 SD이며, 인증된 관리 특수권한(Authorized Management Privilege) 또는 위임된 관리 특수권한(Delegated Management Privilege)에 대해서는 아래에서 더 상세하게 설명한다.

이하에서는 본 명세서에서 사용되는 용어를 정리한다.

MNO(Mobile Network Operator)는 이동통신 사업자를 의미하며, 모바일 네트워크를 통해 고객에게 통신 서비스를 제공하는 엔터티를 의미한다.

프로비저닝(Provisioning)은 eUICC 내부로 프로파일을 로딩하는 과정을 의미하며, 프로비저닝 프로파일은 다른 프로비저닝 프로파일 및 오퍼레이션 프로파일을 프로비저닝할 목적으로 장치가 통신 네트워크에 접속하는데 사용되는 프로파일을 의미한다.

가입(Subscription)은 가입자와 무선통신 서비스 제공자 사이의 서비스 제공을 위한 상업적인 관계를 의미한다.

프로파일(Profile)은 eUICC로 프로비저닝 되거나 eUICC 내에서 관리될 수 있는 파일 구조, 데이터 및 애플리케이션의 조합으로서, 사업자 정보인 오퍼레이션 프로파일, 프로비저닝을 위한 프로비저닝 프로파일, 기타 정책 제어 기능(PCF; Policy Control Function)을 위한 프로파일 등 eUICC 내에 존재할 수 있는 모든 정보를 의미한다.

오퍼레이션 프로파일(Operation Profile) 또는 사업자 정보는 사업자 가입(Operational Subscription)과 관련된 모든 종류의 프로파일을 의미한다.

카드 컨텐트(Card Content)는 OPEN의 책임하에서 카드 내에 포함되는 코드 및 애플리케이션 정보(애플리케이션 데이터가 아님)로서, 예를 들면 실행가능한 로드 파일, 애플리케이션 인스턴스 등이 있다.

카드 발급자(Card Issuer)는 카드를 소유하는 엔터티로서, 해당 카드의 양태에 대한 모든 책임을 지는 엔터티를 의미한다.

ISD는 카드 관리(Administration)의 통신 요구조건, 제어 및 보안에 대한 지원을 제공하는 주된 온카드(On-card) 엔터티를 의미한다.

SD는 오프카드(Off-card) 엔터티(예를 들면, 카드 이슈어, 애플리케이션 제공자 또는 제어 기관(Controlling Authority))의 제어, 보안 및 통신 조건 등을 지원하는 온카드 엔터티를 의미한다.

위임 관리(Delegated Management; 이하 ‘DM’이라고도 함)는 승인된 애플리케이션 제공자에 의하여 수행되는 인증 이전(Pre-authorized) 카드 컨텐트 변경을 의미하며, 토큰(Token)은 위임 관리 동작이 승인되었음을 입증하도록 카드 발급자에 의하여 제공되는 암호값(cryptographic value)을 의미한다.

제어 기관(Controlling Authority)은 DAP(Data Authentication Pattern) 검증 권한을 통해서 카드 컨텐트의 제어를 유지하는 특수 권한(Privilege)을 가지는 것을 의미한다.

SD, 특히 ISD와 관련된 특수 권한(Privilege)을 정형화(Formalize)함으로써 카드 컨텐트 관리 기능에 대한 접근 권한이 더욱 명확하게 된다. ISD는 명시적인 특수 권한 세트를 가지며, 이러한 특수 권한 세트에는 인증된 관리(Authorized Management; 이하 ‘AM’이라고도 함) 또는 토큰 검증과 같은 새로운 특수 권한이 포함될 수 있다.

AM 특수 권한(Authorized Management Privilege)을 가지는 SD는 SD 제공자로 하여금 오프-카드 엔터티가 SD의 소유자(SD 제공자)로 인증된 경우에 토큰과 같은 인증 없이도 카드 컨텐트 관리를 할 수 있도록 한다. 이러한 경우 토큰 검증 특수 권한을 가지는 SD는 관여하지 않는다. 그러나, 오프-카드 엔터티가 인증되었으나 SD 제공자가 아닌 경우를 위하여 토큰은 여전히 필요하다.

위임된 관리 특수 권한(Delegated Management Privilege)은 이러한 특수 권한을 가지는 애플리케이션 제공자의 SD로 하여금 위임된 로딩(Delegated Loading), 위임된 설치(Delegated Installation), 위임된 인도(Delegated Extradition), 글로벌플랫폼 레지스트리로의 위임된 업데이트, 위임된 삭제(Delegated Deletion) 등을 수행할 수 있도록 한다.

위임된 관리 특수 권한(Delegated Management Privilege)은 애플리케이션 제공자가 인증으로서 카드 컨텐트를 관리할 수 있도록 하며, 토큰 검증 특수 권한을 가지는 SD가 이러한 인증을 제어하게 된다. 이러한 위임된 관리는 글로벌플랫폼 카드의 필수 특성은 아니다.

즉, 도 3과 같이, 본 발명의 일 실시예에 의한 eSIM(300)에서는 모든 네트워크(예, MNO1, MNO2 등)를 통해 발급을 수행할 수 있는 프로비저닝 프로파일(Provisioning Profile; 310)이 존재하며, 인증된 관리(Authorized Management) 및 위임된 관리(Delegated Management) 기능이 구현된 글로벌 플랫폼(320)이 탑재되어 있다.

MNO1 시스템(360)과 MNO2 시스템(370)은 글로벌 플랫폼 기반 카드 관리 기능 및 역할 (SIM과의 상호 인증 및 보안 통신 채널 형성, 어플리케이션 및 데이터 발급 등)을 수행할 수 있다. MNO1과 MNO2는 타사 이동을 위한 사전 협약을 진행한 상태여야 한다.

아래에서는 본 발명의 일 실시예에 의한 글로벌 플랫폼 기술의 세부 내용 중 본 발명과 관련된 기술에 대해서 상세하게 설명한다.

SD는 특수 권한을 가지는 애플리케이션(Privilege Application)으로, 시큐어 채널 프로토콜 동작을 지원하거나 카드 컨텐트 관리 기능을 인증하는데 사용되는 암호키들을 보유한다.

각 애플리케이션 및 각각의 실행가능한 로드 파일이 시큐리티 도메인과 관련되어 있으며, 애플리케이션은 관련된 SD의 암호화 서비스를 사용할 수 있다.

모든 카드는 하나의 필수적인 SD를 가지며 이를 ISD라 한다. 다중 SD를 지원하는 카드로 인하여 애플리케이션 제공자는 자신의 SD를 통해서 자신의 애플리케이션을 관리할 수 있고, 카드 발급자로부터 완전히 분리된 키를 이용하여 암호화된 서비스를 제공할 수 있다.

SD는 자신의 키 관리에 대한 책임을 지며, 이를 통하여 각 애플리케이션 제공자의 프라이버시 및 통합성을 위반하지 않으면서도 여러 다른 애플리케이션 제공자로부터의 애플리케이션 및 데이터가 동일 카드내에 같이 존재할 수 있다.

모든 SD에 대한 키와 관련 암호화 작업은 애플리케이션 제공자의 애플리케이션을 개인화하는 동안 안전한 통신 지원을 제공할 수 있고, 자신의 안전한 메시징 키들을 포함하지 않는 애플리케이션의 실행시간 동안 안전한 통신을 가능하게 한다.

ISD는 주로 하나의 특정한 SD로서 동작하지만, 다른 SD와 구분되는 몇가지 특징이 있다.

즉, ISD는 카드내에 최초로 설치되는 애플리케이션이지만, 애플리케이션마다 동일한 방식으로 ISD가 로딩 또는 설치될 필요는 없다. 또한, ISD는 카드 라이프 사이클 상태를 내재하고 있기 때문에 SD 라이프 사이클 상태를 가질 필요가 없으며, 만일 특수 권한(Privilege)을 가진 애플리케이션이 제거되면 카드 리셋 권한을 가지게 된다.

또한, 동일 카드 I/O 인터페이스의 동일한 논리 채널 상에서 암시적으로 선택될 수 있는 애플리케이션이 제거되는 경우에 ISD는 암시적으로 선택된 애플리케이션이 되며, 명령 데이터 필드를 가지지 않는 SELECT 명령에 의하여 선택된 수 있다.

SD를 포함하는 애플리케이션은 시큐어 채널 세션 및 다른 암호화 서비스를 제공하기 위하여 자신의 관련 SD의 서비스를 이용할 수 있다. 애플리케이션은 SD AID(Application Identifier)를 사전에 알 필요가 없으며, 글로벌플랫폼 레지스트리가 이러한 정보를 제공하고, OPEN이 관련된 SD의 기준을 애플리케이션에게 제공한다. 관련 SD가 이양(Extradition)에 의하여 변화될 수 있기 때문에, 애플리케이션은 이러한 기준을 저장할 필요가 없다.

이양(Extradition)는 애플리케이션이 다른 SD와 연관되도록 하는 수단으로서, 실행가능한 로드 파일은 처음에는 그를 로딩하는 SD와 관련되지만, 로딩 프로세스동안 암시적 이양 절차에 의하여 즉각적으로 다른 SD로 이양되거나, 명시적인 이양 절차를 통해서 순차적으로 다른 SD로 이양될 수 있다.

ISD는 이양 대상이 아니며, 이양을 통해서 SD는 자신과 연관될 수 있다. SD는 다른 SD에게 할당되는 특수 권한(Privilege)을 이용하여 다른 SD와 더욱 격리되도록 할 수 있으며, 그 결과 카드 상에는 하나 이상의 연관 계층이 형성될 수 있다. 각 계층의 루트(root)는 자신과 관련된 SD가 된다.

애플리케이션은 연관된 SD의 서비스에 접근할 수 있다. 이러한 서비스를 이용하여 애플리케이션은 개인화 및 런타임 동안 기밀성과 무결성을 보장하면서 SD로부터 암호화 지원에 의존할 수 있다. SD 서비스는 아래와 같은 특성을 가질 수 있다.

오프 카드 엔터티의 성공적인 검증이 있는 경우 시큐어 채널 세션을 개시하며, 무결성 검증에 의하여 시큐어 채널 세션 내에 수신된 명령어를 언랩(Unwrap)하거나 기밀성이 보정된 경우에 원래 데이터를 복호화한다.

또한, APDU 명령어의 시퀀스를 제어하며, 기밀 데이터 블록을 복호화하고, 다음의 유입 명령 또는 다음의 유출 응답에 적용될 수 있는 기밀성 또는 무결성의 시큐리티 레벨을 세팅할 수 있다. 또한, 요청이 있는 경우 시큐어 채널 세션을 클로즈하고 시큐어 채널 세션과 관련된 기밀 데이터를 제거한다.

특정한 시큐어 채널 프로토콜 지원 여부에 따라서, SD는 기밀성을 추가함으로써 시큐어 채널 세션내에 전송된 응답을 랩핑(Wrapping)하거나 기밀성이 보장되는 때 원래 데이터를 암호화하는 기능을 구비할 수 있으며, 기밀 데이터 블록의 암호화 및 APDU 응답의 시퀀스를 제어하는 기능을 수행할 수도 있다.

SD는 다중 시큐어 채널 세션을 동시에 관리(즉, 각각이 시큐어 채널을 개시하는 다수의 논리 채널 상에서 선택된 다수의 애플리케이션들)할 수 있고, 서비스를 이용하도록 시도되는 동시 선택된 다수의 애플리케이션 중에서 하나의 시큐어 채널 세션만을 관리하도록 제한할 수도 있다. SD가 다중 시큐어 채널 세션을 동시에 관리하도록 지원되는 경우에는, 다중 시큐어 채널 세션들 및 각각의 논리 채널들을 구분할 수 있어야 한다. SD가 다중 시큐어 채널 세션을 동시에 관리하도록 지원되지 않는다면, 현재의 시큐어 채널 세션과 다른 논리 채널에게 시큐어 채널 세션의 오픈을 요청하는 때에 SD가 새로운 시큐어 채널 세션을 개시하기 위한 이러한 요청을 거절할 수 있다.

또한, SD는 연관된 애플리케이션 중 하나로 향하는 STORE DATA 명령을 수신할 수 있다. SD는 명령이 애플리케이션으로 포워딩되기 이전에, 현재 시큐어 채널 세션의 시큐리티 레벨에 따라 이러한 명령을 언랩(Unwrap)한다.

ISD는 발급자 식별번호(IIN), 카드 이미지 번호(CIN), 카드 인식 데이터 및 기타 다른 카드 발급자 전용 데이터를 처리할 수 있어야 한다. 이러한 데이터들은 GET DATA 명령을 통해 카드로부터 획득될 수 있다.

발급자 식별 번호(IIN)는 오프카드 엔터티가 사용하는 것으로서, 카드를 특정한 카드 관리 시스템과 연동시키는데 이용된다. IIN은 일반적으로 발급자의 ISO 7812 정의 식별정보를 포함하며, ISO/IEC 7816-6의 태그 ‘42’에 의하여 전송된다. IIN 데이터 엘리먼트는 가변 길이를 가진다.

카드 이미지 번호(CIN)는 카드 베이스 내에서 카드를 고유하게 식별하기 위하여 카드 관리 시스템이 사용하는 것이다. CIN은 고유한 값으로서, ISO/IEC 7816에 정의된 태그 ‘45’(카드 발급자의 데이터)에 의하여 전송되며, 카드 발급자(IIN에 의해서 정의되는)에 의하여 할당된다. CIN 데이터 엘리먼트 역시 가변 길이를 가진다.

카드 관리 시스템은 카드와 상호 동작 하기 이전에 카드에 대한 정보를 알 필요가 있으며, 이러한 정보로는 카드의 종류에 대한 정보와 지원되는 시큐어 채널 프로토콜에 대한 정보들이 있다. 카드 인식 데이터는 이러한 카드에 대한 정보를 제공하는 메커니즘으로서 시행착오의 변동을 방지한다.

ISD 이외의 SD는 보조 SD(Supplementary Security Domain; 이하 ‘SSD’라고도 함)로 표현한 수 있으며, 이러한 SSD는 자신의 식별데이터를 핸들링 한다. 이러한 SSD의 식별 데이터로는 SD 제공자 식별번호(SIN), SD 이미지 번호, SD 관리 데이터 및 기타 애플리케이션 제공자 전용 데이터 등을 포함할 수 있다. 이러한 데이터들은 GET DATA 명령을 통해 카드로부터 획득될 수 있다.

SD 제공자 식별번호(SIN)는 오프카드 엔터티가 사용하는 것으로서, 해당 SD를 특정한 카드 관리 시스템과 연동시키는데 이용된다. SIN은 일반적으로 SD 제공자의 ISO 7812 정의 식별정보를 포함하며, ISO/IEC 7816-6의 태그 ‘42’에 의하여 전송된다. SIN 데이터 엘리먼트는 가변 길이를 가진다.

SD 이미지 번호는 카드 내에서 SD 인스턴스를 고유하게 식별하기 위하여 카드 관리 시스템이 사용하는 것으로서, 고유한 값이 사용될 수 있고 ISO/IEC 7816에 정의된 태그 ‘45’ 에 의하여 전송될 수 있다.

카드 관리 시스템은 카드와 상호 동작 하기 이전에 카드에 대한 정보를 알 필요가 있으며, 이러한 정보로는 SD의 종류에 대한 정보와 지원되는 시큐어 채널 프로토콜에 대한 정보들이 있다.

SD 관리 데이터는 SD에 대한 정보를 제공하는 메커니즘으로서, 시행착오의 변동을 방지한다. SD 관리 데이터는 SELECT 명령에 대한 응답내에 포함되어 리턴되어야 하며, 태그 ‘66’을 가지는 GET DATA 명령에 대한 응답 내에 포함되어 리턴될 수도 있다.

SD 관리 테이터로 제공되는 정보들은 카드와 초기 통신을 인에이블시키기에 충분한 것이어야 하지만, 특정한 요구조건으로 한정되는 것은 아니다. SD 관리 데이터는 카드에 의해 동적으로 업데이트되어야 한다.

본 발명의 일 실시예에 의한 eSIM(300)은 1 이상의 MNO에 대한 프로파일을 저장하고 있으며, 리시빙(Receiving) MNO에 대한 위임된 관리(DM) 특수권한 또는 인증된 관리(AM) 특수권한을 가진 SD를 도너 MNO 시스템으로부터 수신하고, 프로비저닝 프로파일을 이용하여 리시빙 MNO 시스템으로 접속한 후 SD 인증 및 필요한 프로파일 또는 데이터(개통 데이터, 선탑재 부가 서비스 데이터 등)를 수신하는 기능을 수행한다.

또한, eSIM은 리시빙(Receiving) MNO에 대한 위임된 관리(DM) 특수권한 또는 인증된 관리(AM) 특수권한을 가진 SD를 도너 MNO 시스템으로부터 수신한 경우, 도너 MNO에 대한 프로파일을 바활성화(Inactive) 시킬 수도 있다.

또한, 본 발명의 일 실시예에 의한 eSIM은 리시빙 MNO를 위한 필요한 프로파일 또는 데이터를 발급받은 후, SD 키값을 상기 리시빙 MNO 시스템만 알 수 있는 고유한 SD 키값으로 변경할 수도 있다.

본 발명의 다른 실시예에 의한 eSIM(300)은 1 이상의 MNO에 대한 프로파일을 저장하고 있으며, 초기 개통 MNO 시스템으로부터 복귀 요청을 수신하는 경우, 프로비저닝 프로파일을 이용하여 초기 개통 MNO 시스템으로 접속한 후, ISD 키를 이용하여 현재 활성화되어 있는 MNO의 프로파일(SD 포함)을 삭제하고, 비활성화되어 있던 초기 개통 MNO의 프로파일을 활성화 상태로 변경할 수 있다.

이로써, 다른 MNO 시스템을 이용하다가 초기 개통 MNO로 복귀 하는 경우, 초기 개통 MNO가 제공하는 서비스를 기존과 동일하게 활용할 수 있게 된다.

본 발명의 다른 실시예에 의한 eSIM(300)은 1 이상의 MNO에 대한 프로파일을 저장하고 있으며, 초기 개통 MNO이 별도로 있는 상태에서 도너 MNO로부터 리시빙 MNO로 가입 변경이 발생하는 경우, 리시빙(Receiving) MNO에 대한 위임된 관리(DM) 특수권한 또는 인증된 관리(AM) 특수권한을 가진 SD를 상기 초기 개통 MNO 시스템으로부터 수신하고 도너 MNO의 프로파일(SD 포함)을 삭제하며, 프로비저닝 프로파일을 이용하여 리시빙 MNO 시스템으로 접속한 후 SD 인증 및 필요한 프로파일 또는 데이터(개통 데이터, 선탑재 부가 서비스 데이터 등)를 수신하는 기능을 수행한다.

아래에서는 본 발명의 일실시예에서 사용되는 ISD 키 및 SD 키에 대하여 설명한다.

본 발명의 일 실시예에 의한 ISD 키 또는 SD 키는 아래와 같은 속성을 가진다.

온카드 엔터티 내부의 각 키를 식별하는 키 식별자를 가진다. 키는 하나 이상의 키 컴포넌트로 이루어져 있다. 예를 들면 대칭키(Symmetric key)는 하나의 키 컴포넌트를 가지며, 비대칭키는 다수의 컴포넌트를 가진다. 모든 키 컴포넌트는 동일한 키 식별자를 공유하여야 하며, 하나의 온카드 엔터티 내에서 키, 그 용도 및 기능을 구분하기 위하여 다른 키 식별자들이 사용되어야 한다. 키에 키 식별자를 할당하는 데에는 제한 또는 미리 정해진 순서는 없으며, 동일 엔터티 내에서 비연속적인 키 식별자가 사용될 수도 있다.

SD 키의 속성으로서, 연관 키 버전 번호(Associated Key Version Number)가 있다. 하나의 온카드 엔터티 내에서 동일한 키에 대한 몇개의 인스턴스 또는 버전을 구분하기 위하여 다른 키 버전들이 사용될 수 있다. 키에 대한 키 버전 번호의 할당에는 특별한 제한이나 미리 정해진 순서는 없다.

또한, SD 키의 속성으로 암호화 알고리즘이 있을 수 있으며, 특정한 키는 오직 하나의 암호화 알고리즘과 관련될 수 있다. 몇몇의 키 길이를 지원하는 암호화 알고리즘의 길이와, 키에 접근하거나 제어하기 위한 접근 조건 등도 SD 키의 속성이 될 수 있다.

이러한 키 속성들로 인하여 온카드 엔터티에게 아이덴터티, 의도된 용도, 암호키의 기능등이 명확하게 지시될 수 있다.

키 식별자와 키 버전 번호의 조합에 의하여 온카드 엔터티 내에서 특정 키가 명확하게 식별될 수 있으며, 키 형태(Type)가 암호화 알고리즘 및 키 컴포넌트를 식별한다. 엔터티 내에서 키와 알고리즘을 명확하게 식별함으로써, 암호화 기능에 대한 잘못된 사용이 방지될 수 있다. 오프 카드 엔터티는 키 정보 템플릿(태그 ‘E0')의 GET DATA 명령을 이용하여 SD 키에 대한 정보를 획득할 수 있다.

한편, 본 발명의 일 실시예에 의하여 SD가 키를 관리하는 방식은 다음과 같다.

키 식별자 및 키 버전 번호는 온카드 엔터티 내에서 각각의 키를 고유하게 참조하며, 각 키 식별자/키 버전 번호 조합이 엔터티 내에서 고유한 키 슬롯을 나타낸다.

키를 추가하는 것은 새로운 키 값, 새로운 키 식별자 또는 새로운 키 버전 번호로 새로운 키 슬롯을 할당하는 것과 같다. 키를 대체하는 것은 새로운 키 값과 관련된 키 버전 번호로 키 슬롯을 업데이트 하는 것과 관련된다. 키 식별자는 여전히 동일하게 남아있으며, 이전 키는 더이상 사용될 수 없다.

오프카드 키 관리 시스템은 온카드 엔터티에 의하여 수행되는 키 식별 방식을 알고 있어야 하며, 키 식별자 및 키 버전 번호는 특정한 카드에 대해 임의의 값을 가질 수 있고, 이러한 값들은 하나의 키 관리 방식에서 다음 방식으로 변화할 수 있다.

SD는 각 키와 관련된 PUT KEY 명령어로 제공되는 모든 키 정보들을 저장하고 있어야 한다.

SD 키에 할당되는 접근 조건으로는 3가지가 있을 수 있으며, SD 자신에 의한 접근과,소유자 이외의 인증된 사용자(예를 들면, SD의 연관 애플리케이션 등)의 접근 및 소유자를 포함한 모든 인증된 사용자의 접근이 그것이다.

SD 키에 대한 접근 조건은 1바이트로 나타낼 수 있으며, 예를 들면 ‘00’은 소유자를 포함한 어떠한 인증된 사용자를 나타내고(이는 PUT KEY 명령으로 명시적으로 제공되지 않는 경우, 시큐어 채널 프로토콜 키에 대한 기본 접근 조건임), ‘01’은 소유자(SD) 자신을 나타내며(이는 PUT KEY 명령으로 명시적으로 제공되지 않는 경우, 토큰과 DAP 키에 대한 기본 접근 조건임), ‘02’는 소유자 이외의 인증된 사용자를 나타내는 등이 될 수 있으나 그에 한정되는 것은 아니다. 특정 SD 키에 적용될 수 있는 접근 제어 규칙은 아래와 같이 강제될 수 있다.

특정한 SD 암호화 서비스를 사용하기 위하여, 애플리케이션은 OPEN에게 시큐어 채널 인터페이스의 참조를 요청하고, OPEN은 애플리케이션과 관련된 SD를 식별한 후 해당 애플리케이션에게 대응되는 시큐어 채널 인터페이스 참조를 제공할 수 있다.

또한, 애플리케이션은 시큐어 채널 인터페이스를 경유하여 SD에게 암호화 서비스를 요청할 수 있으며, OPEN은 관련 애플리케이션에 대해서만 접근을 허용할 수 있다.

데이터 및 키의 관리 방식을 설명하면 다음과 같다. 데이터/키 관리 요청이 수신되면 해당되는 SD가 자신의 접근 제어 규정에 따라 해당되는 키/데이터를 관리하여야 하며, 카드 라이프 사이클 상태는 CARD_LOCKED 또는 TERMINATED가 아니어야 한다.

DELETE [key], PUT KEY 또는 STORE DATA 명령어가 수신되면, 데이터 또는 키 관리를 수행하는 SD는 자신의 시큐어 통신 정책을 적용해야 하며, SD 제공자는 키의 삭제와 관련된 키 관리 정책을 적용할 수 있다.

먼저, 아래에서 설명할 프로비저닝 과정, MNO 변경 과정 등이 수행되기 위한 전제 조건으로서, eSIM에는 프로비저닝(Provisioning Profile)이 선탑재되어 있으며, 해당 프로파일은 모든 MNO에 대해서 동일하게 적용될 수 있다. 각 MNO는 프로비저닝 프로파일을 통해서 eSIM 관리가 이뤄질 수 있도록 해당 프로파일에 대한 네트워크 접속을 수락하여야 한다.

도 4과 같이, 본 발명의 일 실시예에 의한 eSIM을 이용한 프로비저닝 과정에서, 우선 eSIM이 장착된 단말의 부팅(Booting)시 단말은 eSIM의 프로비저닝 프로파일을 이용하여 MNO1 네트워크로 접속한다.(S410) 그러면, MNO1 시스템은 ISD 키를 이용하여 eSIM과 상호 인증 및 보안 통신 채널을 형성한다(S420). 그런 다음, MNO1 시스템은 MNO1의 프로파일은 통신을 위한 개통 데이터 (예, IMSI, Ki, OPc 등), 선탑재 대상 부가 서비스 (예, 교통카드, 신용카드 서비스를 위한 인프라 애플릿 등) 데이터 및 기타 발급에 필요한 데이터 등을 상기 보안 통신 채널을 통해 eSIM에 발급한다(S430).

S430에서의 프로파일 또는 데이터의 발급이 완료된 후, 단말이 리부팅되면 단말은 MNO1 네트워크를 통해 통신을 수행할 수 있으며, MNO1이 제공하는 부가 서비스를 활용한다(S440)

도 5에서는 초기 개통 MNO이자 도너(Donor) MNO로서 MNO1을, 변경 이후의 새로운 리시빙 MNO로서 MNO2를 예로 설명한다.

본 발명의 일 실시예에 의한 eSIM을 이용한 MNO 변경 과정에서, 우선 MNO2 시스템에서 MNO1 시스템으로 타사 이동 또는 MNO 변경 요청 메시지를 전송한다(S510).

다음으로 S520 단계에서, 초기 개통 MNO이자 도너(Donor) MNO인 MNO1 시스템은 ISD 키를 이용하여 MNO2를 위한 인증된 관리 특수 권한(Authorized Management Privilege) 또는 위임된 관리 특수 권한(Delegated Management Privilege)을 가지는 SD를 생성한다. 이때, 인증된 관리 특수 권한(Authorized Management Privilege) 또는 위임된 관리 특수 권한(Delegated Management Privilege)을 가지는 SD의 SD 키는 MNO2 시스템에서 MNO1 시스템으로 하드웨어 보안모듈(Hardware Security Module; HSM) 등을 통해 사전에 주입한 키이다. 다음으로 MNO1 시스템은 SD 이양(Extradition)을 수행하여, ISD와 생성된 SD 사이의 연관관계(Association)을 끊고, eSIM의 MNO1 프로파일 (통신 및 부가서비스)의 상태를 비활성화(Inactive) 상태로 변경한다.

다음으로, MNO1 시스템은 타사 이동 또는 MNO 변경을 위한 준비가 되었음을 MNO2 시스템에게 통지한다(S530).

단말은 리부팅(Rebooting)을 수행하고(S540), 프로비저닝 프로파일(Provisioning Profile)을 통해 MNO2 네트워크에 접속한 후, MNO2 시스템은 SD 키를 활용한 SD 인증 수행 후, ISD로부터 획득한 인증된 권한 특수권한(Authorized Management Privilege) 또는 위임된 권한 특수권한(Delegated Management Privilege)를 활용하여 개통 데이터, 선탑재 부가 서비스 등의 어플리케이션 및 데이터를 발급한다. 발급 후, SD 키를 MNO2만 알고 있는 키로 변경한다(S550).

발급이 완료된 후, 단말이 리부팅이 되면(S560), 단말은 MNO2 네트워크를 통해 통신하고 MNO2가 제공하는 부가 서비스를 활용하며, MNO2 시스템은 MNO1 시스템에게 발급 완료 통보를 한다(S570).

도 6에서는 도 5가 초기 개통 MNO이 도너(Donor) MNO인 경우와 달리, 초기 개통 MNO로서 MNO1을, 변경 이전의 도너 MNO로서 MNO2를, 변경 이후의 새로운 리시빙 MNO로서 MNO3을 예로 설명한다.

본 발명의 일 실시예에 의한 eSIM을 이용한 MNO 변경 과정에서, 우선 MNO3 시스템에서 초기 개통 MNO인 MNO1 시스템으로 타사 이동 또는 MNO 변경 요청 메시지를 전송한다(S610).

다음으로 S620 단계에서, 초기 개통 MNO 인 MNO1 시스템은 ISD 키를 이용하여 리시빙 MNO인 MNO3를 위한 인증된 관리 특수 권한(Authorized Management Privilege) 또는 위임된 관리 특수 권한(Delegated Management Privilege)을 가지는 SD를 생성한다. 이때, 인증된 관리 특수 권한(Authorized Management Privilege) 또는 위임된 관리 특수 권한(Delegated Management Privilege)을 가지는 SD의 SD 키는 MNO3 시스템에서 MNO1 시스템으로 하드웨어 보안모듈(Hardware Security Module; HSM) 등을 통해 사전에 주입한 키이다. 다음으로 MNO1 시스템은 SD 이양(Extradition)을 수행하여 ISD와 생성된 SD 사이의 연관관계(Association)을 끊고, 도너 MNO인 MNO2의 프로파일을 삭제한다.

다음으로, MNO1 시스템은 타사 이동 또는 MNO 변경을 위한 준비가 되었음을 MNO3 시스템에게 통지한다(S630).

단말은 리부팅(Rebooting)을 수행하고(S640), 프로비저닝 프로파일(Provisioning Profile)을 통해 MNO3 네트워크에 접속한 후, MNO3 시스템은 SD 키를 활용한 SD 인증 수행 후, ISD로부터 획득한 인증된 권한 특수권한(Authorized Management Privilege) 또는 위임된 권한 특수권한(Delegated Management Privilege)를 활용하여 개통 데이터, 선탑재 부가 서비스 등의 어플리케이션 및 데이터를 발급한다. 발급 후, SD 키를 MNO3만 알고 있는 키로 변경한다(S650).

발급이 완료된 후, 단말이 리부팅이 되면(S660), 단말은 MNO2 네트워크를 통해 통신하고 MNO3이 제공하는 부가 서비스를 활용하며, MNO3 시스템은 MNO1 시스템에게 발급 완료 통보를 한다(S670).

즉, 도 5의 실시예에서는 도너 MNO가 초기 개통 MNO이므로 MNO의 프로파일을 삭제하지 않고 비활성화 상태로 전환하며, 도 6의 실시예에서는 도너 MNO와 초기 개통 MNO가 다르므로 도너 MNO의 프로파일을 삭제하는 것이다.

도 5의 실시예에 의하면, 도 7과 같이 추후 초기 개통 MNO로 복귀할 수 있으므로 초기 개통 MNO의 프로파일을 삭제하기 않고 단지 비활성화 시키는 것이다.

도 7에서는 현재 서비스 중인 MNO2에서 초기 개통 MNO인 MNO1로 복귀하는 경우를 가정한다.

본 발명의 일 실시예에 의한 eSIM을 이용한 초기 개통 MNO로의 복귀 과정에서, 우선 MNO1은 MNO2에게 초기 개통 MNO로의 이동을 요청한다(S710).

단말은 리부팅을 수행(S720)한 후, 프로비저닝 프로파일(Provisioning Profile)을 통해 초기 개통 MNO인 MNO1 네트워크에 접속하고, MNO1은 ISD 키를 활용하여 MNO2 프로파일 (SD 포함)을 삭제한 후, 기존에 비활성화(Inactive)되어 있던 MNO1 프로파일의 상태를 활성화(active) 상태로 변경한다(S730).

그 후, 단말이 리부팅 되면(S740), 단말은 MNO1 네트워크를 통해 통신하고 MNO1가 제공하는 부가 서비스를 기존 그대로 활용하며, MNO1 시스템은 초기 개통 통신사로 복귀가 완료되었다는 메시지를 MNO2 시스템으로 통보한다(S750).

이상과 같은 본 발명을 이용하면, eSIM 환경에서 MNO가 ISD 키를 소유한 환경에서 기존 SIM 관련 기술의 변경 없이 단말에 MNO 프로파일을 발급하고 타통신사로 이동(MNO 변경)하는 구조를 제공할 수 있다는 효과가 있다. 이를 통해 ISD 키를 소유한 MNO는 eSIM 환경에서도 지속적으로 통신 개통 및 부가 서비스 사업에 대한 주도권을 표준 기술을 근간으로 확보할 수 있다.

또한, 중복을 피하기 위하여 구체적인 설명은 생략하지만, 이상과 같이 인증된 관리 특수권한 및 위임된 관리 특수권한을 가진 SD를 이용하여 프로비저닝, MNO 변경 등을 수행하는 eSIM, MNO 시스템 및 프로비저닝 방법, MNO 변경 방법 등은 컴퓨터가 읽을 수 있는 프로그램 형태로 구현될 수 있을 것이다.

이와 같이, 컴퓨터가 기록매체에 기록된 프로그램을 읽어 들여 위와 같은 여러 기능을 실행시키기 위하여, 전술한 프로그램은 컴퓨터의 프로세서(CPU)가 읽힐 수 있는 C, C++, JAVA, 기계어 등의 컴퓨터 언어로 코드화된 코드(Code)를 포함할 수 있다.

이러한 코드는 전술한 기능들을 정의한 함수 등과 관련된 기능적인 코드(Function Code)를 포함할 수 있고, 전술한 기능들을 컴퓨터의 프로세서가 소정의 절차대로 실행시키는데 필요한 실행 절차 관련 제어 코드를 포함할 수 있다.

또한, 이러한 코드는 전술한 기능들을 컴퓨터의 프로세서가 실행시키는데 필요한 추가 정보나 미디어가 컴퓨터의 내부 또는 외부 메모리의 어느 위치(주소 번지)에서 참조 되어야 하는지에 대한 메모리 참조 관련 코드를 더 포함할 수 있다.

또한, 컴퓨터의 프로세서가 전술한 기능들을 실행시키기 위하여 원격(Remote)에 있는 어떠한 다른 컴퓨터나 서버 등과 통신이 필요한 경우, 코드는 컴퓨터의 프로세서가 컴퓨터의 통신 모듈(예: 유선 및/또는 무선 통신 모듈)을 이용하여 원격(Remote)에 있는 어떠한 다른 컴퓨터나 서버 등과 어떻게 통신해야만 하는지, 통신 시 어떠한 정보나 미디어를 송수신해야 하는지 등에 대한 통신 관련 코드를 더 포함할 수도 있다.

그리고, 본 발명을 구현하기 위한 기능적인(Functional) 프로그램과 이와 관련된 코드 및 코드 세그먼트 등은, 기록매체를 읽어서 프로그램을 실행시키는 컴퓨터의 시스템 환경 등을 고려하여, 본 발명이 속하는 기술분야의 프로그래머 들에 의해 용이하게 추론되거나 변경될 수도 있다.

전술한 바와 같은 프로그램을 기록한 컴퓨터로 읽힐 수 있는 기록매체는, 일 예로, ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 미디어 저장장치 등이 있다.

또한 전술한 바와 같은 프로그램을 기록한 컴퓨터로 읽힐 수 있는 기록매체는 네트워크로 커넥션된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 이 경우, 다수의 분산된 컴퓨터 중 어느 하나 이상의 컴퓨터는 상기에 제시된 기능들 중 일부를 실행하고, 그 결과를 다른 분산된 컴퓨터들 중 하나 이상에 그 실행 결과를 전송할 수 있으며, 그 결과를 전송받은 컴퓨터 역시 상기에 제시된 기능들 중 일부를 실행하여, 그 결과를 역시 다른 분산된 컴퓨터들에 제공할 수 있다.

특히, 본 발명의 실시예에 따른 eUICC 인증정보와 관련된 여러 기능 또는 방법을 실행시키기 위한 프로그램인 애플리케이션을 기록한 컴퓨터로 읽을 수 있는 기록매체는, 애플리케이션 스토어 서버(Application Store Server), 애플리케이션 또는 해당 서비스와 관련된 웹 서버 등의 애플리케이션 제공 서버(Application Provider Server)에 포함된 저장매체(예: 하드디스크 등)이거나, 애플리케이션 제공 서버 그 자체일 수도 있다.

이상에서, 본 발명의 실시예를 구성하는 모든 구성 요소들이 하나로 결합되거나 결합되어 동작하는 것으로 설명되었다고 해서, 본 발명이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위 안에서라면, 그 모든 구성 요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다. 또한, 그 모든 구성 요소들이 각각 하나의 독립적인 하드웨어로 구현될 수 있지만, 각 구성 요소들의 그 일부 또는 전부가 선택적으로 조합되어 하나 또는 복수 개의 하드웨어에서 조합된 일부 또는 전부의 기능을 수행하는 프로그램 모듈을 갖는 컴퓨터 프로그램으로서 구현될 수도 있다. 그 컴퓨터 프로그램을 구성하는 코드들 및 코드 세그먼트들은 본 발명의 기술 분야의 당업자에 의해 용이하게 추론될 수 있을 것이다. 이러한 컴퓨터 프로그램은 컴퓨터가 읽을 수 있는 저장매체(Computer Readable Media)에 저장되어 컴퓨터에 의하여 읽혀지고 실행됨으로써, 본 발명의 실시예를 구현할 수 있다. 컴퓨터 프로그램의 저장매체로서는 자기 기록매체, 광 기록매체, 캐리어 웨이브 매체 등이 포함될 수 있다.

또한, 이상에서 기재된 "포함하다", "구성하다" 또는 "가지다" 등의 용어는, 특별히 반대되는 기재가 없는 한, 해당 구성 요소가 내재될 수 있음을 의미하는 것이므로, 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것으로 해석되어야 한다. 기술적이거나 과학적인 용어를 포함한 모든 용어들은, 다르게 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 문맥 상의 의미와 일치 하는 것으로 해석되어야 하며, 본 발명에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

CROSS-REFERENCE TO RELATED APPLICATION

본 특허출원은 2011년 7월 8일 한국에 출원한 특허출원번호 제 10-2011-0067779 호 및 2011년 10월 21일 한국에 출원한 특허출원번호 제 10-2011-0107916 호에 대해 미국 특허법 119(a)조 (35 U.S.C § 119(a))에 따라 우선권을 주장하며, 그 모든 내용은 참고문헌으로 본 특허출원에 병합된다. 아울러, 본 특허출원은 미국 이외에 국가에 대해서도 위와 동일한 이유로 우선권을 주장하면 그 모든 내용은 참고문헌으로 본 특허출원에 병합된다.

Claims

1 이상의 통신사업자(MNO)와 연동되어 있는 내장 SIM(eSIM)를 이용한 MNO 변경 방법으로서,

상기 eSIM은 프로비저닝 프로파일 및 1 이상의 통신사업자(MNO)에 대한 프로파일을 저장하고 있으며,

리시빙(Receiving) MNO에 대한 위임된 관리 특수권한(Delegated Management Privilege) 또는 인증된 관리 특수권한(Authorized Management Privilege)을 가진 시큐리티 도메인(Security Domain; SD)을 도너(Donor) MNO 시스템으로부터 수신하는 단계;

상기 프로비저닝 프로파일을 이용하여 상기 리시빙 MNO 시스템으로 접속한 후 SD 인증 및 필요한 프로파일 또는 데이터 수신하는 단계;

를 포함하는 것을 특징으로 하는 MNO 변경방법.

제1항에 있어서,

상기 eSIM은 상기 리시빙(Receiving) MNO에 대한 위임된 관리(DM) 특수권한 또는 인증된 관리(AM) 특수권한을 가진 SD를 도너 MNO 시스템으로부터 수신한 경우, 도너 MNO에 대한 프로파일을 바활성화(Inactive) 시키는 단계를 추가로 포함하는 것을 특징으로 하는 MNO 변경방법.

제1항에 있어서,

상기 eSIM은 상기 리시빙 MNO를 위한 필요한 프로파일 또는 데이터를 발급받은 후, SD 키값을 상기 리시빙 MNO 시스템만 알 수 있는 고유한 SD 키값으로 변경하는 단계를 추가로 포함하는 것을 특징으로 하는 MNO 변경방법.

초기 개통 MNO 시스템으로부터 복귀 요청을 수신하는 단계;

상기 프로비저닝 프로파일을 이용하여 초기 개통 MNO 시스템으로 접속하나 단계;

발급자 시큐리티 도메인(Issuer Security Domain; ISD) 키를 이용하여 현재 활성화되어 있는 MNO의 프로파일(SD 포함)을 삭제하고, 비활성화되어 있던 초기 개통 MNO의 프로파일을 활성화 상태로 변경하는 단계;

를 포함하는 것을 특징으로 하는 MNO변경 방법.

상기 eSIM은 프로비저닝 프로파일 및 1 이상의 통신사업자(MNO)에 대한 프로파일을 저장하고 있으며, 초기 개통 MNO이 별도로 있는 상태에서 도너 MNO로부터 리시빙 MNO로 가입 변경이 발생하는 경우,

리시빙(Receiving) MNO에 대한 위임된 관리 특수권한(Delegated Management Privilege) 또는 인증된 관리 특수권한(Authorized Management Privilege)을 가진 시큐리티 도메인(Security Domain; SD)을 상기 초기 개통 MNO 시스템으로부터 수신하는 단계;

상기 도너 MNO의 프로파일을 삭제하는 단계;

상기 프로비저닝 프로파일을 이용하여 리시빙 MNO 시스템으로 접속한 후 SD 인증 및 필요한 프로파일 또는 데이터를 수신하는 단계;

를 포함하는 것을 특징으로 하는 MNO 변경방법.

제5항에 있어서,

초기개통 MNO이면서 도너(Donor) MNO인 MNO1 시스템, 리시빙(Receiving) MNO인 MNO2 시스템 및 1 이상의 MNO 프로파일을 저장하는 eSIM을 이용한 MNO 변경 방법으로서,

상기 MNO2 시스템에서 상기 MNO1 시스템으로 MNO 변경 요청 메시지를 전송하는 단계;

상기 MNO1 시스템은 발급자 시큐리티 도메인(Issuer Security Domain; ISD) 키를 이용하여 MNO2를 위한 인증된 관리 특수 권한(Authorized Management Privilege) 또는 위임된 관리 특수 권한(Delegated Management Privilege)을 가지는 시큐리티 도메인(Security Domain; SD)를 생성하는 단계;

상기 MNO1 시스템은 상기 MNO1에 대한 프로파일을 비활성화시키는 단계;

상기 eSIM이 장착된 단말은 부팅 후 상기 MNO2 시스템으로 접속한 후 서비스를 제공받는 단계;

를 포함하는 것을 특징으로 하는 MNO 변경 방법.

제7항에 있어서,

상기 MNO2를 위한 인증된 관리 특수 권한(Authorized Management Privilege) 또는 위임된 관리 특수 권한(Delegated Management Privilege)을 가지는 시큐리티 도메인(Security Domain; SD)의 SD 키는 MNO2 시스템이 미리 상기 MNO1 시스템으로 사전 전송 또는 주입한 것임을 특징으로 하는 MNO 변경방법.

제7항에 있어서,

상기 MNO1 시스템은 상기 생성된 SD의 이양(Extradition)을 수행하여, 상기 ISD와 생성된 SD 사이의 연관관계(Association)을 끊는 단계를 추가로 포함하는 것을 특징으로 하는 MNO 변경방법.

제7항에 있어서,

상기 MNO2 시스템이 상기 SD 키값을 자신만이 알수 있는 키값으로 변경하는 단계를 추가로 포함하는 것을 특징으로 하는 MNO 변경방법.

초기개통 MNO인 MNO2 시스템, 도너(Donor) MNO인 MNO2 시스템, 리시빙(Receiving) MNO인 MNO3 시스템 및 1 이상의 MNO 프로파일을 저장하는 eSIM을 이용한 MNO 변경 방법으로서,

상기 MNO3 시스템에서 상기 MNO1 시스템으로 MNO 변경 요청 메시지를 전송하는 단계;

상기 MNO1 시스템은 발급자 시큐리티 도메인(Issuer Security Domain; ISD) 키를 이용하여 MNO3을 위한 인증된 관리 특수 권한(Authorized Management Privilege) 또는 위임된 관리 특수 권한(Delegated Management Privilege)을 가지는 시큐리티 도메인(Security Domain; SD)를 생성하는 단계;

상기 MNO1 시스템은 상기 MNO2에 대한 프로파일을 삭제시키는 단계;

상기 eSIM이 장착된 단말은 부팅 후 상기 MNO3 시스템으로 접속한 후 서비스를 제공받는 단계;

를 포함하는 것을 특징으로 하는 MNO 변경 방법.

제11항에 있어서,

상기 MNO3을 위한 인증된 관리 특수 권한(Authorized Management Privilege) 또는 위임된 관리 특수 권한(Delegated Management Privilege)을 가지는 시큐리티 도메인(Security Domain; SD)의 SD 키는 MNO3 시스템이 미리 상기 MNO1 시스템으로 사전 전송 또는 주입한 것임을 특징으로 하는 MNO 변경방법.

제11항에 있어서,

상기 MNO3 시스템이 상기 SD 키값을 자신만이 알수 있는 키값으로 변경하는 단계를 추가로 포함하는 것을 특징으로 하는 MNO 변경방법.

1 이상의 통신사업자(MNO)와 연동되어 있는 내장 SIM(eSIM)으로서,

상기 eSIM은 프로비저닝 프로파일 및 1 이상의 통신사업자(MNO)에 대한 프로파일을 저장하고 있으며, 상기 리시빙(Receiving) MNO에 대한 위임된 관리 특수권한(Delegated Management Privilege) 또는 인증된 관리 특수권한(Authorized Management Privilege)을 가진 시큐리티 도메인(Security Domain; SD)을 도너(Donor) MNO 시스템으로부터 수신하고, 상기 프로비저닝 프로파일을 이용하여 상기 리시빙 MNO 시스템으로 접속한 후 SD 인증 및 필요한 프로파일 또는 데이터 수신하는 것을 특징으로 하는 eSIM.

상기 eSIM은 프로비저닝 프로파일 및 1 이상의 통신사업자(MNO)에 대한 프로파일을 저장하고 있으며, 초기 개통 MNO이 별도로 있는 상태에서 도너 MNO로부터 리시빙 MNO로 가입 변경이 발생하는 경우, 리시빙(Receiving) MNO에 대한 위임된 관리 특수권한(Delegated Management Privilege) 또는 인증된 관리 특수권한(Authorized Management Privilege)을 가진 시큐리티 도메인(Security Domain; SD)을 상기 초기 개통 MNO 시스템으로부터 수신하고, 상기 도너 MNO의 프로파일을 삭제하며, 상기 프로비저닝 프로파일을 이용하여 리시빙 MNO 시스템으로 접속한 후 SD 인증 및 필요한 프로파일 또는 데이터를 수신하는 것을 특징으로 하는 eSIM.

1 이상의 통신사업자(MNO)와 연동되어 있는 내장 SIM(eSIM)에 설치되는 프로그램으로서,

상기 eSIM은 프로비저닝 프로파일 및 1 이상의 통신사업자(MNO)에 대한 프로파일을 저장하고 있으며, 상기 프로그램은,

상기 리시빙(Receiving) MNO에 대한 위임된 관리 특수권한(Delegated Management Privilege) 또는 인증된 관리 특수권한(Authorized Management Privilege)을 가진 시큐리티 도메인(Security Domain; SD)을 도너(Donor) MNO 시스템으로부터 수신하는 기능과,

도너 MNO에 대한 프로파일을 바활성화(Inactive) 시키는 기능과,

상기 프로비저닝 프로파일을 이용하여 상기 리시빙 MNO 시스템으로 접속한 후 SD 인증 및 필요한 프로파일 또는 데이터 수신하는 기능을 수행하는 상기 프로그램을 기록한 기록매체.

1 이상의 통신사업자(MNO)와 연동되어 있는 내장 SIM(eSIM) 에 설치되는 프로그램으로서,

상기 eSIM은 프로비저닝 프로파일 및 1 이상의 통신사업자(MNO)에 대한 프로파일을 저장하고 있으며, 초기 개통 MNO이 별도로 있는 상태에서 도너 MNO로부터 리시빙 MNO로 가입 변경이 발생하는 경우 상기 프로그램은,

리시빙(Receiving) MNO에 대한 위임된 관리 특수권한(Delegated Management Privilege) 또는 인증된 관리 특수권한(Authorized Management Privilege)을 가진 시큐리티 도메인(Security Domain; SD)을 상기 초기 개통 MNO 시스템으로부터 수신하는 기능;

상기 도너 MNO의 프로파일을 삭제하는 기능; 및

상기 프로비저닝 프로파일을 이용하여 리시빙 MNO 시스템으로 접속한 후 SD 인증 및 필요한 프로파일 또는 데이터를 수신하는 기능;을 수행하는 상기 프로그램을 기록한 기록매체.