WO2013009045A2

WO2013009045A2 - 동적 키 생성 기반의 내장 ｓｉｍ의 ｍｎｏ 변경방법 및 그를 위한 내장 ｓｉｍ과 기록매체

Info

Publication number: WO2013009045A2
Application number: PCT/KR2012/005381
Authority: WO
Inventors: 박재민; 이진형; 이광욱
Original assignee: 주식회사 케이티
Priority date: 2011-07-08
Filing date: 2012-07-06
Publication date: 2013-01-17
Also published as: EP2741548B1; EP2741548A2; KR20130006258A; US20140140507A1; EP2741548A4; US9775024B2; WO2013009045A3

Abstract

본 발명은 동적 키 생성 기반 내장 SIM(Embedded Subscriber Identity Module; 이하 'eSIM' 또는 'eUICC'라 함)의 MNO 변경방법 및 그를 위한 내장 SIM 등에 관한 것으로서, 초기 개통 통신사업자(MNO) 시스템과, 리시빙 MNO 시스템과 연동되어 있는 내장 SIM(eSIM)으로서, 초기 개통 MNO 시스템의 요청에 따라, 리시빙 MNO를 위한 시큐리티 도메인(SD)을 생성하고, 사전 SD 키값을 주입하며, 키생성 및 보안 연산을 위한 보안 애플릿을 설치하고, 리시빙 MNO 시스템의 요청에 따라 새로운 SD 키값을 주입하고, 리시빙 MNO를 위한 키쌍을 생성한 후, 공개키만 상기 리시빙 MNO 시스템으로 전송하며, 리시빙 MNO 시스템 또는 초기 개통 MNO 시스템으로부터 공개키로 암호화된 리시빙 MNO 프로파일을 수신한 후, 공개키에 대응되는 개인키로 상기 리시빙 MNO 프로파일을 복호화한다.

Description

동적 키 생성 기반의 내장 ＳＩＭ의 ＭＮＯ 변경방법 및 그를 위한 내장 ＳＩＭ과 기록매체

본 발명은 동적 키 생성 기반 내장 SIM(Embedded Subscriber Identity Module; 이하 ‘eSIM’ 또는 ‘eUICC’라 함)의 MNO 변경방법 및 그를 위한 내장 SIM 등에 관한 것이다.

UICC(Universal Integrated Circuit Card)는 단말기 내에 삽입되어 사용자 인증을 위한 모듈로서 사용될 수 있는 스마트 카드이다. UICC는 사용자의 개인 정보 및 사용자가 가입한 이동 통신 사업자에 대한 사업자 정보를 저장할 수 있다. 예를 들면, UICC는 사용자를 식별하기 위한 IMSI(International Mobile Subscriber Identity)를 포함할 수 있다. UICC는 GSM(Global System for Mobile communications) 방식의 경우 SIM(Subscriber Identity Module) 카드, WCDMA(Wideband Code Division Multiple Access) 방식의 경우 USIM(Universal Subscriber Identity Module) 카드로 불리기도 한다.

사용자가 UICC를 사용자의 단말에 장착하면, UICC에 저장된 정보들을 이용하여 자동으로 사용자 인증이 이루어져 사용자가 편리하게 단말을 사용할 수 있다. 또한, 사용자가 단말을 교체할 때, 사용자는 기존의 단말에서 탈거한 UICC를 새로운 단말에 장착하여 용이하게 단말을 교체할 수 있다.

소형화가 요구되는 단말, 예를 들면 기계 대 기계(Machine to Machine, M2M) 통신을 위한 단말은 UICC를 착탈할 수 있는 구조로 제조할 경우 단말의 소형화가 어려워진다. 그리하여, 착탈할 수 없는 UICC인 eUICC 구조가 제안되었다. eUICC는 해당 UICC를 사용하는 사용자 정보가 IMSI 형태로 수록되어야 한다.

기존의 UICC는 단말에 착탈이 가능하여, 단말의 종류나 이동 통신 사업자에 구애받지 않고 사용자는 단말을 개통할 수 있다. 그러나, 단말을 제조할 때부터 제조된 단말은 특정 이동 통신 사업자에 대해서만 사용된다는 전제가 성립되어야 eUICC 내의 IMSI를 할당할 수 있다. 단말을 발주하는 이동 통신 사업자 및 단말 제조사는 모두 제품 재고에 신경을 쓸 수 밖에 없고 제품 가격이 상승하는 문제가 발생하게 된다. 사용자는 단말에 대해 이동 통신 사업자를 바꿀 수 없는 불편이 있다. 그러므로, eUICC의 경우에도 이동 통신 사업자에 구애받지 않고 사용자가 단말을 개통할 수 있는 방법이 요구된다.

한편, 최근 eUICC의 도입으로 인하여 여러 이통통신 사업자의 가입자 정보를 원격에서 UICC로 업데이트 할 필요가 생기게 되었고, 그에 따라 가입자 정보 관리를 위한 가입 관리 장치(Subscription Manager; 이하 ‘SM’이라 함) 또는 프로파일 관리장치(Profile Manager; 이하 ‘PM’이라 함)가 논의되고 있다.

그러나, 이러한 eSIM 환경에서는 기존 착탈식 SIM과는 다른 물리적 형태로 인해 소프트웨어 형태의 SIM 데이터들이 관리되어야 하며, 현재 글로벌 플랫폼(GlobalPlatform) 기술을 기반으로 방식들이 논의되고 있다. 하지만, 글로벌 플랫폼의 논의에 의하면 키(key) 소유와 이로 인한 eSIM 기반 사업 주도권 (통신 및 부가 서비스) 이슈로 인해 별도의 제3 주체가 아닌 MNO가 주도하여 eSIM 기반 서비스를 제공할 필요가 있으나, 이에 대한 구체적인 방안이 없는 실정이다.

본 발명의 목적은 eSIM을 포함하는 통신 환경에서 글로벌 플랫폼 기반으로eSIM을 관리하고, MNO 변경을 수행하는 방법 및 장치를 제공하는 것이다.

본 발명의 목적은 eSIM을 포함하는 통신 환경에서 동적 키 생성을 이용하여 eSIM을 관리하고, MNO 변경을 수행하는 방법 및 장치를 제공하는 것이다.

본 발명의 목적은 eSIM을 포함하는 통신 환경에서 시큐리티 도메인(Security Domain; 이하 ‘SD’라 함)을 이용하여 eSIM을 관리하고, MNO 변경을 수행하는 방법 및 장치를 제공하는 것이다.

본 발명의 다른 목적은 SD와 함께 동적으로 생성되는 키를 이용하여 eSIM의 MNO 변경 등을 수행할 수 있는 방법 및 장치를 제공하는 것이다.

본 발명의 다른 목적은 발급자 시큐리티 도메인(Issuer Security Domain; 이하 ‘ISD’라고도 함)으로 인증된 MNO를 위한 SD를 생성하고, eSIM이 동적으로 생성한 키를 이용하여 프로파일을 암호화하는 장치 및 방법을 제공하는 것이다.

본 발명의 일 실시예는, 1 이상의 통신사업자(MNO)와 연동되어 있는 내장 SIM(eSIM)을 이용한 MNO 변경 방법으로서, 상기 eSIM은 프로비저닝 프로파일 및 1 이상의 통신사업자(MNO)에 대한 프로파일을 저장하고 있으며, 도너 MNO 시스템이 발급자 시큐리티 도메인(Issuer Security Domain; ISD)를 이용하여 리시빙 MNO를 위한 시큐리티 도메인(Security Domain; SD)를 생성하는 단계와, 상기 리시빙 MNO 시스템이 새로운 SD 키를 상기 eSIM에 주입하는 단계와, 상기 리시빙 MNO 시스템의 요청에 따라 상기 eSIM에 설치된 보안애플릿이 키 쌍을 생성한 후 공개키를 상기 새로운 SD 키로 암호화하여 상기 리시빙 MNO 시스템으로 전달하는 단계와, 상기 리시빙 MNO 시스템이 자신의 프로파일을 상기 공개키로 암호화한 후 상기 도너 MNO 시스템을 통하여 상기 eSIM으로 전송하는 단계를 포함하는 MNO 변경방법을 제공한다.

본 발명의 다른 실시예는 초기 개통 통신사업자(MNO) 시스템과, 현재 서비스를 제공중인 서빙 MNO 시스템과 연동되어 있는 내장 SIM(eSIM)을 이용한 부가 서비스 제공방법으로서, 상기 서빙 MNO 시스템이 부가 서비스에 필요한 애플리케이션 또는 데이터를 공개키로 암호화하여 상기 초기 개통 MNO 시스템으로 전송하는 단계와, 상기 초기 개통 MNO 시스템은 상기 eSIM과 발급자 시큐리티 도메인(Issuer Security Domain; ISD) 키 인증을 수행한 후, 상기 공개키로 암호화된 데이터를 상기 ISD키로 2차 암호화하여 상기 eSIM으로 전송하는 단계와, 상기 eSIM은 내부에 설치되어 있는 보안 애플릿을 이용하여 상기 암호화된 데이터를 복호화하는 단계를 포함하는 부가 서비스 제공방법을 제공한다.

본 발명의 다른 실시예는 초기 개통 통신사업자(MNO) 시스템과, 리시빙 MNO 시스템과 연동되어 있는 내장 SIM(eSIM)으로서, 상기 초기 개통 MNO 시스템의 요청에 따라, 상기 리시빙 MNO를 위한 시큐리티 도메인(SD)을 생성하고, 사전 SD 키값을 주입하며, 키생성 및 보안 연산을 위한 보안 애플릿을 설치하고, 상기 리시빙 MNO 시스템의 요청에 따라 새로운 SD 키값을 주입하고, 상기 리시빙 MNO를 위한 키쌍을 생성한 후, 공개키만 상기 리시빙 MNO 시스템으로 전송하며, 상기 리시빙 MNO 시스템 또는 상기 초기 개통 MNO 시스템으로부터 상기 공개키로 암호화된 리시빙 MNO 프로파일을 수신한 후, 상기 공개키에 대응되는 개인키로 상기 리시빙 MNO 프로파일을 복호화하는 eSIM을 제공한다.

본 발명의 다른 실시예는 초기 개통 통신사업자(MNO) 시스템과, 도너 MNO 시스템 및 리시빙 MNO 시스템과 연동되어 있는 내장 SIM(eSIM)을 이용한 MNO 변경방법으로서, 상기 초기 개통 MNO 시스템이 상기 리시빙 MNO 시스템으로부터 MNO 변경 요청을 수신하는 단계와, 상기 초기 개통 MNO 시스템이 발급자 시큐리티 도메인(Issuer Security Domain; ISD)를 이용하여 상기 eSIM과 ISD 키 인증을 수행한 후 상기 도너 MNO 의 프로파일을 상기 eSIM에서 삭제하는 단계와, 상기 초기 개통 MNO 시스템이 리시빙 MNO를 위한 시큐리티 도메인(Security Domain; SD)를 생성하는 단계와, 상기 리시빙 MNO 시스템이 새로운 SD 키를 상기 eSIM에 주입하는 단계와, 상기 리시빙 MNO 시스템의 요청에 따라 상기 eSIM에 설치된 보안애플릿이 키 쌍을 생성한 후 공개키를 상기 새로운 SD 키로 암호화하여 상기 리시빙 MNO 시스템으로 전달하는 단계와, 상기 리시빙 MNO 시스템이 자신의 프로파일을 상기 공개키로 암호화한 후 상기 도너 MNO 시스템을 통하여 상기 eSIM으로 전송하는 단계를 포함하는 MNO 변경 방법을 제공한다.

본 발명의 다른 실시예는 초기 개통 통신사업자(MNO) 시스템과, 도너 MNO 시스템 및 리시빙 MNO 시스템과 연동되어 있는 내장 SIM(eSIM)으로서, 상기 eSIM 내부에는 MNO 변경에 따라서 리시빙 MNO 시스템으로부터 전송되는 새로운 시큐리티 도메인(SD) 키값을 인증한 후, 상기 리시빙 MNO 시스템을 위한 키쌍을 생성하여 생성된 공개키만을 상기 리시빙 MNO 시스템으로 전송하고, 상기 리시빙 MNO의 암호화된 프로파일이 수신된 경우 상기 공개키에 대응되는 개인키로 상기 암호화된 프로파일을 복호화하는 보안 애플릿을 포함하는 내장 SIM을 제공한다.

본 발명의 다른 실시예는 초기 개통 통신사업자(MNO)를 위한 발급자 시큐리티 도메인(ISD)과 프로파일과, 1 이상의 추가 MNO를 위한 시큐리티 도메인(SD)과 프로파일 및 보안애플릿 세트와, 상기 초기 개통 MNO를 위한 프로비저닝 프로파일을 포함하며, 상기 보안 애플릿은 상기 초기 개통 MNO 시스템으로부터 요청에 따라 설치되며, 상기 추가 MNO의 시스템 중 하나로부터 전송된 새로운 SD키의 인증여부에 따라 상기 추가 MNO 시스템을 위한 키쌍을 생성하여 공개키만을 상기 추가 MNO 시스템으로 전송하는 내장 SIM을 제공한다.

본 발명의 다른 실시예는 1 이상의 통신사업자(MNO) 시스템과 내장 SIM(eSIM)과 연동되어 있는 초기 개통 MNO 시스템으로서, 상기 초기 개통 MNO 시스템은 리시빙 MNO 시스템으로부터 MNO 변경요청이 수신된 경우, 상기 eSIM과 발급자 시큐리티 도메인(ISD) 인증을 수행한 후, 상기 리시빙 MNO을 위한 시큐리티 도메인(SD)를 생성하고 사전에 정해진 사전 SD 키를 상기 eSIM에 주입하며, 상기 리시빙 MNO를 위한 보안 애플릿을 상기 eSIM 내에 설치하며, 리시빙 MNO 시스템으로부터 상기 리시빙 MNO 시스템의 공개키로 암호화된 프로파일을 수신하고, 상기 ISD 키로 다시 암호화하여 상기 eSIM으로 전송하는 것을 특징으로 하는 초기 개통 MNO 시스템을 제공한다.

본 발명의 다른 실시예는 초기 개통 통신사업자(MNO) 시스템과, 도너 MNO 시스템 및 리시빙 MNO 시스템과 연동되어 있는 내장 SIM(eSIM)에 설치되는 프로그램으로서, 상기 프로그램은, MNO 변경에 따라서 리시빙 MNO 시스템으로부터 전송되는 새로운 시큐리티 도메인(SD) 키값을 인증하는 기능과, 상기 리시빙 MNO 시스템을 위한 키쌍을 생성하여 생성된 공개키만을 상기 리시빙 MNO 시스템으로 전송하는 기능과, 상기 리시빙 MNO의 암호화된 프로파일이 수신된 경우 상기 공개키에 대응되는 개인키로 상기 암호화된 프로파일을 복호화하는 기능을 수행하는 상기 프로그램이 기록된 기록매체를 제공한다.

본 발명의 다른 실시예는, 초기 개통 통신사업자(MNO) 시스템과, 리시빙 MNO 시스템과 연동되어 있는 내장 SIM(eSIM)에 사용되는 프로그램으로서, 상기 프로그램은, 상기 초기 개통 MNO 시스템의 요청에 따라, 상기 리시빙 MNO를 위한 시큐리티 도메인(SD)을 생성하고, 사전 SD 키값을 주입하며, 키생성 및 보안 연산을 위한 보안 애플릿을 설치하는 기능과, 상기 리시빙 MNO 시스템의 요청에 따라 새로운 SD 키값을 주입하고, 상기 리시빙 MNO를 위한 키쌍을 생성한 후, 공개키만 상기 리시빙 MNO 시스템으로 전송하는 기능과, 상기 리시빙 MNO 시스템 또는 상기 초기 개통 MNO 시스템으로부터 상기 공개키로 암호화된 리시빙 MNO 프로파일을 수신한 후, 상기 공개키에 대응되는 개인키로 상기 리시빙 MNO 프로파일을 복호화하는 기능을 수행하는 프로그램을 기록한 기록매체를 제공한다.

도 1은 본 발명이 적용되는 eSIM 또는 eUICC를 포함한 전체 서비스 아키텍처를 도시한다.

도 2는 본 발명에 의한 글로벌 플랫폼에 기초한 카드 아키텍처를 도시한다.

도 3은 본 발명의 일 실시예에 의한 eSIM의 내부 구조 및 외부 MNO와의 관계를 도시한다.

도 4는 본 발명의 일 실시예에 의한 eSIM을 이용한 프로비저닝 과정을 나타내는 흐름도이다.

도 5는 본 발명의 일 실시예에 의한 eSIM을 이용한 MNO 변경 과정을 나타내는 흐름도이다.

도 6은 본 발명의 다른 실시예에 의한 eSIM을 이용한 MNO 변경 과정을 나타내는 흐름도로서, 초기 개통 MNO가 도너 또는 리시빙 MNO가 아닌 경우에 해당된다.

도 7은 본 발명의 일 실시예에 의한 eSIM을 이용한 초기 개통 MNO로의 복귀 과정을 나타내는 흐름도이다.

이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.

현재 GSMA에서 활발하게 논의되는 M2M(Machine-to-Machine) 단말은 특성상 크기가 작아야 하는데, 기존 UICC를 사용하는 경우에는, M2M 단말에 UICC를 장착하는 모듈을 별도 삽입해야 하므로, UICC를 탈착가능한 구조로 M2M단말을 제조하게 되면, M2M 단말의 소형화가 힘들게 된다.

따라서, UICC 착탈이 불가능한 내장(Embedded) UICC 구조가 논의되고 있는데, 이때 M2M 단말에 장착되는 eUICC에는 해당 UICC를 사용하는 이동통신 사업자(Mobile Network Operator; 이하 ‘MNO’라 함)정보가 국제 모바일 가입자 식별자(International Mobile Subscriber Identity, IMSI) 형태로 UICC에 저장되어 있어야 한다.

그러나, M2M 단말을 제조할 때부터 제조된 단말은 특정 MNO에서만 사용한다는 전제가 성립되어야 eUICC내의 IMSI를 할당할 수 있으므로, M2M 단말 또는 UICC를 발주하는 MNO나 제조하는 M2M 제조사 모두 제품 재고에 많은 신경을 할당할 수 밖에 없고 제품 가격이 상승하게 되는 문제가 있어, M2M 단말 확대에 큰 걸림돌이 되고 있는 상황이다.

이와 같이, 기존의 착탈식 형태의 SIM과는 달리 단말에 일체형으로 탑재되는 eUICC 또는 eSIM은 그 물리적 구조 차이로 인해 개통 권한, 부가 서비스 사업 주도권, 가입자 정보 보안 등에 대한 많은 이슈들이 존재한다. 이를 위해 GSMA 및 ETSI의 국제 표준화 기관에서는 사업자, 제조사, SIM 제조사 등의 유관 회사들과 최상위 구조를 포함한 필요한 요소에 대해 표준화 활동을 전개하고 있다. eSIM이 표준화 단체들을 통해 논의되면서 이슈의 중심에 있는 것은 Subscription Manager라고 불리는 SM으로 사업자 정보 (Operator Credential, MNO Credential, Profile, eUICC Profile, Profile Package 등 다른 표현으로 사용될 수 있음)를 eSIM에 발급하고 가입(Subscription) 변경 또는 MNO 변경에 대한 프로세스를 처리하는 등 eSIM에 대한 전반적인 관리 역할을 수행하는 개체 또는 그 기능/역할을 의미한다.

최근 GSMA에서는 SM의 역할을 사업자 정보를 생성하는 역할을 수행하는 SM-DP (Data Preparation)과 eSIM에 사업자 정보의 직접적 운반을 수행하는 SM-SR (Secure Routing)로 분류한 구조와, 프로파일을 암호화하여 전송하는 방안을 제안하였으나 세부적인 내용이 부족하다.

본 명세서에서는 eSIM과 eUICC를 동등한 개념으로 사용한다.

eSIM은 단말 제조 단계에서 IC칩을 단말 회로판 상에 부착시킨 후, 소프트웨어 형태의 SIM 데이터 (개통 정보, 부가 서비스 정보 등)를 OTA (Over The Air) 또는 오프라인 (PC와의 USB 등의 기술 기반 연결)을 통해 발급하는 방식의 새로운 개념의 SIM 기술이다. eSIM에서 사용되는 IC칩은 일반적으로 하드웨어 기반의 CCP (Crypto Co-Processor)를 지원하여 하드웨어 기반의 공개키 생성을 제공하며, 이를 어플리케이션 (예, 애플릿) 기반에서 활용할 수 있는 API를 SIM 플랫폼 (예, Java Card Platform 등)에서 제공한다. 자바 카드 플랫폼(Java Card Platform)은 스마트카드 등에서 멀티 어플리케이션을 탑재하고 서비스를 제공할 수 있는 플랫폼 중 하나이다.

SIM은 제한된 메모리 공간과 보안상의 이유로 누구나 SIM 내에 어플리케이션을 탑재해서는 안되며, 이로 인해 어플리케이션 탑재를 위한 플랫폼 이외에 SIM을 어플리케이션 탑재 및 관리를 담당하는 SIM 서비스 관리 플랫폼을 필요로 한다. SIM 서비스 관리 플랫폼은 관리키를 통한 인증 및 보안을 통해 SIM 메모리 영역에 데이터를 발급하며, 글로벌 플랫폼(GlobalPlatform)과 ETSI TS 102.226의 RFM (Remote File Management) 및 RAM (Remote Application Management)은 이와 같은 SIM 서비스 관리 플랫폼의 표준 기술이다.

eSIM 환경에서 중요한 요소 중의 하나인 SM은 eSIM은 원격으로 관리키(UICC OTA Key, GP ISD Key 등)를 통해 통신 및 부가 서비스 데이터를 발급하는 역할을 수행한다.

GSMA에서는 SM의 역할을 SM-DP와 SM-SR로 분류할 수 있다. SM-DP는 오퍼레이션 프로파일(또는 사업자 정보) 이외에 IMSI, K, OPc, 부가 서비스 어플리케이션, 부가 서비스 데이터 등을 안전하게 빌드(Build)하여 크레덴셜 패키지(Credential Package) 형태로 만드는 역할을 수행하며, SM-SR은 SM-DP가 생성한 크레덴셜 패키지를 OTA(Over-The-Air) 또는 GP SCP (Secure Communication Protocol)과 같은 SIM 원격 관리 기술을 통해 eSIM에 안전하게 다운로드하는 역할을 수행한다.

도 1은 SM을 포함하는 eSIM 통신 시스템의 일 예를 도시한다.

SM을 이용하는 eSIM 통신 시스템 아키텍처는 다수의 MNO 시스템과, 1 이상의 SM 시스템, eUICC 제조사 시스템, eUICC를 포함하는 장치(Device) 제조사 시스템 및 eUICC 등을 포함할 수 있으며, 도 1에서 점선은 신뢰 서클(Circle of Trust)을 도시하고, 2개 실선은 안전한 링크를 의미한다.

도 1의 “신뢰 서클(Circle of Trust)”이라는 구조를 제안하여 각 유사 개체 또는 엔터티 들간에 신뢰 관계의 중첩을 통해 MNO와 eSIM 간의 엔드-투-엔드(End-to-End) 신뢰 관계를 구축한다는 개념을 제안하였다. 즉, MNO1는 SM1과, SM1은 SM4, SM4는 eSIM과 신뢰관계를 형성하여, 이를 통해 MNO와 eSIM 간의 신뢰관계를 형성한다는 개념이다.

이러한 SM을 이용한 eSIM 통신 시스템에서는 SM이라고 정의되는 기능을 도입하며, SM의 주요한 역할은 MNO 크레덴셜을 포함하는 패키지 또는 프로파일을 준비해서 eUICC로 전달하는 것이다. SM 기능은 MNO에 의하여 직접적으로 제공될 수도 있고, MNO가 SM 서비스를 획득하기 위하여 제3 기관과 계약할 수도 있을 것이다. 이러한 SM 기능은 MNO 또는 제3 기관에 의하여 제공되어야 하며, 만약 제3 기관에 의하여 제공된다면 SM과 MNO 사이에는 상업적인 관계가 설정되어 있는 경우 등일 것이다.

SM은 eUICC와 관련된 여러 프로파일(MNO의 오퍼레이션 프로파일, 프로비저닝 프로파일 등)을 안전하게 준비하는 SM-DP와, 그를 라우팅하기 위한 SM-SR로 구분되며, SM-SR은 다른 여러 SM-SR과 신뢰관계로 연동될 수 있고, SM-DP는 MNO 시스템에 연동되어 있다.

그러나, 도 1과 같이 SM을 이용하는 시스템에서는, SM이 가입 관리, 부가 서비스 관리, MNO 변경 관리 등의 전반적인 관리를 수행하게 되는데, 이는 현재의 통신 서비스가 모두 MNO 주도로 이루어지는 것과 달라서 호환성이나 신뢰성 확보등에 문제가 있을 수 있다.

한편, SIM 서비스 관리 플랫폼의 표준 중 하나로서 글로벌 플랫폼이 사용되고 있다.

이러한 글로벌 플랫폼은 안전하고 동적인 카드 및 애플리케이션 관리 스펙으로서, 카드 구성요소와, 명령어 세트, 트랜잭션 시퀀스 및 하드웨어, 시스템 및 OS 중립적이고 애플리케이션 독립적인 인터페이스를 제공한다.

본 발명은 이러한 글로벌 플랫폼 기반에서 MNO 주도로 발급자 시큐리티 도메인(Issuer Security Domain; 이하 ‘ISD’라고도 함) 키(Key)를 소유한 환경에서 기존 SIM 관련 기술의 변경 없이 단말에 MNO 프로파일을 발급하고 타통신사로 이동하는 구조를 제공할 수 있다.

그를 위하여, 본 발명의 일 실시예에서는 글로벌 플랫폼에 정의된 ISD 및 SD를 이용하여, eSIM 내에 초기 개통 MNO(MNO1)의 프로파일을 관리하고 및 추가 MNO의 SD 생성 및 보안 애플릿 설치 등을 제어하기 위한 ISD를 생성하고, 1 이상의 MNO를 위한 SD를 생성하여 관리하는 방안을 제공하고자 한다. 구체적인 본 발명의 구성에 대해서는 도 3 이하를 참고로 아래에서 설명한다.

글로벌 플랫폼에 의한 카드 아키텍처는 하드웨어와 벤더(Vendor)에 중립적인 인터페이스를 애플리케이션 및 오프카드 관리 시스템에게 보장하기 위한 다수의 컴포넌트로 구성된다.

이러한 컴포넌트로는 카드 발급자(Card Issuer)를 위한 하나 이상의 카드 발급자 애플리케이션(210), 카드 발급자의 사업 파트너, 즉, 애플리케이션 제공자를 위한 하나 이상의 애플리케이션 제공자 애플리케이션(220), 다른 애플리케이션으로 글로벌 서비스(예를 들면, CSM 서비스)를 제공하기 위한 하나 이상의 글로벌 서비스 애플리케이션(230) 등이 있다.

각 애플리케이션에는 대응되는 시큐리티 도메인(Security Domain; SD)이 연관되어 있으며, 즉, 발급자 SD(ISD; 211), 서비스 제공자 SD(221), 제어 기관(Controlling Authority) SD(231) 등이 포함된다.

모든 애플리케이션은 애플리케이션 이동성을 지원하는 하드웨어 중립적인 API(Application Programming Interface)를 포함하는 시큐어 런타임 환경(secure runtime environment; 250) 내에 구현된다. 글로벌 플랫폼은 특정한 런타임 환경 기술로 제한하는 것은 아니며, 카드 메니저가 중앙 관리자로서 역할을 수행하는 주요한 카드 컴포넌트이다. 특정한 키 및 시큐리티 도메인이라 불리는 시큐리티 관리 애플리케이션이 생성되어, 카드 발급자와 다수의 다른 SD 제공자 사이에서 키들이 완전히 분리되는 것을 보장하게 된다.

이러한 애플리케이션과 SD 하부에는 글로벌플랫폼 환경(OPEN) 및 GP 신뢰 프레임워크(240)이 포함되며, 그 하부에 런타임 환경(Runtime Environment; 250)이 형성되어 있다.

또한, 애플리케이션/SD와 글로벌플랫폼 환경(OPEN) 및 GP 신뢰 프레임워크(240) 사이에는 GP API(241)이 제공되며, 애플리케이션/SD와 런타임 환경(250) 사이에는 런타임 API(RTE API; 251)이 제공된다.

발급자 SD(ISD; 211), 서비스 제공자 SD(221), 제어 기관(Controlling Authority) SD(232)와 같은 SD는 SD는 오프카드 기관(Authority)의 온카드 대리자 역할을 수행한다. SD는 카드에 의하여 인식되는 오프카드 기관의 3가지 타입을 반영하여 크게 3개의 타입으로 구분될 수 있다.

첫째로, ISD(211)는 통상 카드 발급자가 되는 카드 관리자(Administration)를 위한 주요하면서도 필수인 온카드 대리자이다.

둘째로, 보조 SD(Supplementary SD)는 카드 발급자 또는 애플리케이션 제공자 또는 그들의 에이전트를 위한 추가적이고 선택적인 온카드 대리자로서 기능한다. 서비스 제공자 SD(221)가 이러한 보조 SD(SSD)에 해당된다.

셋째 타입으로서, 제어 기관 SD(Controlling Authority Security Domains)는 보조 SD의 특수한 한 형태로서, 제어 기관은 카드내에 로딩되는 모든 애플리케이션 코드 상에 적용되는 시큐리티 정책(Policy)을 강제하는 역할을 한다. 또한 제어 기관은 이러한 기능을 제공하기 위하여 자신의 온카드 대리자로서 이러한 형태의 SD를 이용할 수 있다. 이러한 제어 기관 SD는 하나 이상 존재할 수 있다.

일반적으로, 3가지 타입 모두는 단순하게 SD라고 부를 수 있으며, SD는 자신의 제공자(카드 발급자, 애플리케이션 제공자 또는 제어 기관 등)를 위한 키 핸들링, 암호화, 복호화, 전자서명 생성 및 검증과 같은 시큐리티 서비스를 지원한다. 각 SD는 오프카드 엔터티가 서로 완전히 격리되는 키를 사용하고자 요청하는 경우, 카드 발급자, 애플리케이션 제공자 또는 제어기관을 대신해서 설정된다.

한편, 카드 내에는 하나 이상의 글로벌 서비스 애플리케이션(230)이 존재해서, 카드 상의 다른 애플리케이션에 카드홀더 검증 방법(Cardholder Verification Method; CVM)과 같은 서비스를 제공할 수 있다.

글로벌 플랫폼은 안전한 다중 애플리케이션 카드 런타임 환경 상에서 동작하기 위한 것으로서, 이러한 런타임 환경(250)은 안전한 저장과 애플리케이션의 실행공간을 물론이고 애플리케이션을 위한 하드웨어 중립적인 API를 제공함으로써, 각 애플리케이션 코드 및 데이터가 다른 애플리케이션으로부터 분리된 상태에서 안정하게 유지되도록 한다. 카드의 런타임 환경은 또한 카드 및 오프카드 엔터티 사이의 통신 서비스를 제공하기도 한다.

글로벌 플랫폼 카드는 또한 하나 이상의 신뢰 프레임워크(Trusted Framework; 240)를 포함할 수 있으며, 이러한 신뢰 프레임워크는 애플리케이션 사이에서 애플리케이션 간 통신을 제공한다. 신뢰 프레임워크는 애플리케이션 또는 SD는 아니며, 카드 런타임 환경의 확장 또는 하나의 부분으로서 존재할 수 있다.

이와 같이, 글로벌 플랫폼(GlobalPlatform)은 SIM과 같은 스마트카드의 어플리케이션 (애플릿 등) 관리를 위한 표준 기술이다. 글로벌 플랫폼 은 ISD (Issuer Security Domain)이라는 카드 발급자(예, MNO)를 대표하고 필요한 전체적인 관리 기능을 수행하는 소프트웨어와 카드 발급자의 사업 파트너(예를 들면, 은행, 신용카드사 등의 애플리케이션 제공자)에서 자신들의 서비스 소프트웨어 및 정보 (예, 뱅킹 애플릿, 계좌 정보 등)를 위한 안전하게 관리할 수 있는 SSD (Supplementary Security Domain)이라는 소프트웨어를 정의한다.

그러나, eSIM 환경에서는 기존 착탈식 SIM과는 다른 물리적 형태로 인해 소프트웨어 형태의 SIM 데이터들이 관리되어야 하며, 현재 글로벌 플랫폼 기술을 기반으로 방식들이 논의되고 있다. 하지만, 글로벌 플랫폼 상의 ISD 키(Key) 소유와 이로 인한 eSIM 기반 사업 주도권 (통신 및 부가 서비스) 이슈로 인해 별도의 주체가 아닌 MNO가 ISD 키를 소유하고 이를 기반으로 eSIM 사업을 전개하는 구조적 정의가 필요하다.

이에 본 발명에서는 현존하는 표준 기술인 글로벌 플랫폼 상의 인증된 관리(Authorized Management) 및 위임된 관리(Delegated Management) 기반의 eSIM 관리 방안을 제시한다. 세부적으로 기본 개통 구조, 타사 이동 구조 및 프로세스의 방안을 제시한다.

본 발명의 일실시예에 의한 시스템은 eSIM(310)을 포함하는 단말(300)과 1 이상의 MNO 시스템(360, 370)으로 구성된다.

이하의 설명에서 MNO1은 초기 개통 MNO로, MNO2, MNO3 등을 추가적인 MNO인 것으로 가정한다.

단말 내부에는 발급처리모듈(350)가 설치되어 있으며, 이러한 발급처리 모듈은 MNO1과 통신하여 MNO 변경시 필요한 발급 과정을 수행한다. 이 과정에서 “발급처리모듈”은 MNO1과 안전한 보안 통신을 수행하여야 하며, 기기 또는 단말 내에 안전한 공간에 위치하고 동작하여 외부 해킹으로부터 보호되어야 한다.

발급처리 모듈(350)은 eSIM으로부터 MNO 시스템인 MNO2의 암호화된 프로파일에 대한 복호화를 요청받는 경우, MNO2를 위한 보안애플릿에게 MNO2 프로파일의 복호화를 요청하고 그에 대한 응답으로서 복호화된 MNO2 프로파일을 수신한 후, 그를 다시 eSIM 내의 ISD로 전달하는 기능을 수행한다. 이에 대해서는 아래 도 4 이하를 참고로 더 상세하게 설명한다.

발급 처리 모듈은 eUICC 프로비저닝을 위한 eUICC 탑재 단말 외부와의 통신 및 프로비저닝 관리의 역할을 수행하는 것으로서, 상기 용어에 한정되는 것은 아니며, 통신모듈, 프로비저닝 모듈, 발급 모듈, 개통 모듈 등 다른 용어로 표현될 수 있다.

또한, eSIM(310)은 내부에 프로비저닝 프로파일(Provisioning Profile; 312)과 글로벌 플랫폼(314) 및 글로벌 플랫폼 상위 계층에 하나의 ISD(320) 및 하나 이상의 SD(330)을 포함한다.

ISD(Issuer Security Domain)은 통상 카드 발급자가 되는 카드 관리자(Administration)를 위한 주요하면서도 필수인 온카드 대리자로서, 카드 관리(Administration)의 통신 요구조건, 제어 및 보안에 대한 지원을 제공하는 주된 온카드(On-card) 엔터티를 의미한다.

본 발명의 ISD는 초기 개통 MNO를 위한 것으로서, MNO1의 프로파일 관리를 수행하며, 구체적으로는 MNO 변경시 eSIM과 ISD 키 인증을 수행하고, 추가 MNO(MNO2 또는 MNO3 등)를 위한 SD 생성, 각 SD에 대한 사전 SD 키값 주입, 각 SD를 위한 보안 애플릿 설치 등을 수행한다. 또한, 추가 MNO로부터 암호화된 프로파일을 수신하는 경우 ISD 키로 추가 암호화하여 전달하는 기능을 수행할 수도 있다. 더 상세한 구성에 대해서는 아래 도 4를 참고로 설명한다.

각각의 SD(330)는 MNO1에 의해서 생성되는 것으로서, 각 추가 MNO를 위한 시큐리티 도메인이다.

또한, eSIM 내에는 하나 이상의 MNO에 대한 프로파일(321, 331)이 존재하며, ISD(320)에 의해서 초기 개통 MNO인 MNO1의 프로파일(321)이 관리되고, 각 SD(330)에 의해서 추가 MNO인 MNO2의 프로파일(331)이 관리된다.

각 SD에는 키생성 및 보안 연산을 위한 보안 애플릿(332)이 설치되어 있으며, 이러한 보안 애플릿은 연관(Association) 되어있는 SD와의 SD 키(Key) 기반 또는 공개키 암호화 상의 MAC 인증을 수행한 후에만 명령 수행이 가능하도록 설계되어야 한다.

이러한 각 SD의 보안애플릿(332)은 MNO 변경에 따라서 리시빙 MNO 시스템(MNO2 또는 MNO3)으로부터 전송되는 새로운 SD 키값을 인증한 후, 리시빙 MNO 시스템을 위한 키쌍을 생성하여 생성된 공개키만을 리시빙 MNO 시스템으로 전송하고, 리시빙 MNO의 암호화된 프로파일이 수신된 경우 상기 공개키에 대응되는 개인키로 상기 암호화된 프로파일을 복호화하는 기능을 등을 수행하며, 상기 복호화는 단말에 설치되는 발급처리 모듈의 요청에 따라 수행될 수 있다. . 더 상세한 구성에 대해서는 아래 도 4를 참고로 설명한다.

또한, eUICC 내의 보안애플릿은 크레덴셜 관리, 프로파일 관리나, 본 발명에 의한 암호키(각 MNO를 위한 공개키/개인키) 생성 및 암호키를 활용한 보안 연산을 수행하는 것으로서, 상기 용어에 한정되지 않으며 보안모듈, 암호키 생성 모듈, 암호키 처리 모듈 등 기타 다른 용어로 표현될 수 있다.

이하에서는 본 명세서에서 사용되는 용어를 정리한다.

MNO(Mobile Network Operator)는 이동통신 사업자를 의미하며, 모바일 네트워크를 통해 고객에게 통신 서비스를 제공하는 엔터티를 의미한다.

프로비저닝(Provisioning)은 eUICC 내부로 프로파일을 로딩하는 과정을 의미하며, 프로비저닝 프로파일은 다른 프로비저닝 프로파일 및 오퍼레이션 프로파일을 프로비저닝할 목적으로 장치가 통신 네트워크에 접속하는데 사용되는 프로파일을 의미한다.

가입(Subscription)은 가입자와 무선통신 서비스 제공자 사이의 서비스 제공을 위한 상업적인 관계를 의미한다.

프로파일(Profile)은 eUICC로 프로비저닝 되거나 eUICC 내에서 관리될 수 있는 파일 구조, 데이터 및 애플리케이션의 조합으로서, 사업자 정보인 오퍼레이션 프로파일, 프로비저닝을 위한 프로비저닝 프로파일, 기타 정책 제어 기능(PCF; Policy Control Function)을 위한 프로파일 등 eUICC 내에 존재할 수 있는 모든 정보를 의미한다.

오퍼레이션 프로파일(Operation Profile) 또는 사업자 정보는 사업자 가입(Operational Subscription)과 관련된 모든 종류의 프로파일을 의미한다.

카드 컨텐트(Card Content)는 OPEN의 책임하에서 카드 내에 포함되는 코드 및 애플리케이션 정보(애플리케이션 데이터가 아님)로서, 예를 들면 실행가능한 로드 파일, 애플리케이션 인스턴스 등이 있다.

카드 발급자(Card Issuer)는 카드를 소유하는 엔터티로서, 해당 카드의 양태에 대한 모든 책임을 지는 엔터티를 의미한다.

ISD는 카드 관리(Administration)의 통신 요구조건, 제어 및 보안에 대한 지원을 제공하는 주된 온카드(On-card) 엔터티를 의미한다.

SD는 오프카드(Off-card) 엔터티(예를 들면, 카드 이슈어, 애플리케이션 제공자 또는 제어 기관(Controlling Authority))의 제어, 보안 및 통신 조건 등을 지원하는 온카드 엔터티를 의미한다.

위임 관리(Delegated Management; 이하 ‘DM’이라고도 함)는 승인된 애플리케이션 제공자에 의하여 수행되는 인증 이전(Pre-authorized) 카드 컨텐트 변경을 의미하며, 토큰(Token)은 위임 관리 동작이 승인되었음을 입증하도록 카드 발급자에 의하여 제공되는 암호값(cryptographic value)을 의미한다.

제어 기관(Controlling Authority)은 DAP(Data Authentication Pattern) 검증 권한을 통해서 카드 컨텐트의 제어를 유지하는 특수 권한(Privilege)을 가지는 것을 의미한다.

MNO1 시스템(360)과 MNO2 시스템(370)은 글로벌 플랫폼 기반 카드 관리 기능 및 역할 (SIM과의 상호 인증 및 보안 통신 채널 형성, 어플리케이션 및 데이터 발급 등)을 수행할 수 있다. MNO1과 MNO2는 타사 이동을 위한 사전 협약을 진행한 상태여야 한다.

아래에서는 본 발명의 일 실시예에 의한 글로벌 플랫폼 기술의 세부 내용 중 본 발명과 관련된 기술에 대해서 상세하게 설명한다.

SD는 특수 권한을 가지는 애플리케이션(Privilege Application)으로, 시큐어 채널 프로토콜 동작을 지원하거나 카드 컨텐트 관리 기능을 인증하는데 사용되는 암호키들을 보유한다.

각 애플리케이션 및 각각의 실행가능한 로드 파일이 시큐리티 도메인과 관련되어 있으며, 애플리케이션은 관련된 SD의 암호화 서비스를 사용할 수 있다.

모든 카드는 하나의 필수적인 SD를 가지며 이를 ISD라 한다. 다중 SD를 지원하는 카드로 인하여 애플리케이션 제공자는 자신의 SD를 통해서 자신의 애플리케이션을 관리할 수 있고, 카드 발급자로부터 완전히 분리된 키를 이용하여 암호화된 서비스를 제공할 수 있다.

SD는 자신의 키 관리에 대한 책임을 지며, 이를 통하여 각 애플리케이션 제공자의 프라이버시 및 통합성을 위반하지 않으면서도 여러 다른 애플리케이션 제공자로부터의 애플리케이션 및 데이터가 동일 카드내에 같이 존재할 수 있다.

모든 SD에 대한 키와 관련 암호화 작업은 애플리케이션 제공자의 애플리케이션을 개인화하는 동안 안전한 통신 지원을 제공할 수 있고, 자신의 안전한 메시징 키들을 포함하지 않는 애플리케이션의 실행시간 동안 안전한 통신을 가능하게 한다.

ISD는 주로 하나의 특정한 SD로서 동작하지만, 다른 SD와 구분되는 몇가지 특징이 있다.

즉, ISD는 카드내에 최초로 설치되는 애플리케이션이지만, 애플리케이션마다 동일한 방식으로 ISD가 로딩 또는 설치될 필요는 없다. 또한, ISD는 카드 라이프 사이클 상태를 내재하고 있기 때문에 SD 라이프 사이클 상태를 가질 필요가 없으며, 만일 특수 권한(Privilege)을 가진 애플리케이션이 제거되면 카드 리셋 권한을 가지게 된다.

또한, 동일 카드 I/O 인터페이스의 동일한 논리 채널 상에서 암시적으로 선택될 수 있는 애플리케이션이 제거되는 경우에 ISD는 암시적으로 선택된 애플리케이션이 되며, 명령 데이터 필드를 가지지 않는 SELECT 명령에 의하여 선택된 수 있다.

SD를 포함하는 애플리케이션은 시큐어 채널 세션 및 다른 암호화 서비스를 제공하기 위하여 자신의 관련 SD의 서비스를 이용할 수 있다. 애플리케이션은 SD AID(Application Identifier)를 사전에 알 필요가 없으며, 글로벌플랫폼 레지스트리가 이러한 정보를 제공하고, OPEN이 관련된 SD의 기준을 애플리케이션에게 제공한다. 관련 SD가 이양(Extradition)에 의하여 변화될 수 있기 때문에, 애플리케이션은 이러한 기준을 저장할 필요가 없다.

이양(Extradition)는 애플리케이션이 다른 SD와 연관되도록 하는 수단으로서, 실행가능한 로드 파일은 처음에는 그를 로딩하는 SD와 관련되지만, 로딩 프로세스동안 암시적 이양 절차에 의하여 즉각적으로 다른 SD로 이양되거나, 명시적인 이양 절차를 통해서 순차적으로 다른 SD로 이양될 수 있다.

ISD는 이양 대상이 아니며, 이양을 통해서 SD는 자신과 연관될 수 있다. SD는 다른 SD에게 할당되는 특수 권한(Privilege)을 이용하여 다른 SD와 더욱 격리되도록 할 수 있으며, 그 결과 카드 상에는 하나 이상의 연관 계층이 형성될 수 있다. 각 계층의 루트(root)는 자신과 관련된 SD가 된다.

애플리케이션은 연관된 SD의 서비스에 접근할 수 있다. 이러한 서비스를 이용하여 애플리케이션은 개인화 및 런타임 동안 기밀성과 무결성을 보장하면서 SD로부터 암호화 지원에 의존할 수 있다. SD 서비스는 아래와 같은 특성을 가질 수 있다.

오프 카드 엔터티의 성공적인 검증이 있는 경우 시큐어 채널 세션을 개시하며, 무결성 검증에 의하여 시큐어 채널 세션 내에 수신된 명령어를 언랩(Unwrap)하거나 기밀성이 보정된 경우에 원래 데이터를 복호화한다.

또한, APDU 명령어의 시퀀스를 제어하며, 기밀 데이터 블록을 복호화하고, 다음의 유입 명령 또는 다음의 유출 응답에 적용될 수 있는 기밀성 또는 무결성의 시큐리티 레벨을 세팅할 수 있다. 또한, 요청이 있는 경우 시큐어 채널 세션을 클로즈하고 시큐어 채널 세션과 관련된 기밀 데이터를 제거한다.

특정한 시큐어 채널 프로토콜 지원 여부에 따라서, SD는 기밀성을 추가함으로써 시큐어 채널 세션내에 전송된 응답을 랩핑(Wrapping)하거나 기밀성이 보장되는 때 원래 데이터를 암호화하는 기능을 구비할 수 있으며, 기밀 데이터 블록의 암호화 및 APDU 응답의 시퀀스를 제어하는 기능을 수행할 수도 있다.

SD는 다중 시큐어 채널 세션을 동시에 관리(즉, 각각이 시큐어 채널을 개시하는 다수의 논리 채널 상에서 선택된 다수의 애플리케이션들)할 수 있고, 서비스를 이용하도록 시도되는 동시 선택된 다수의 애플리케이션 중에서 하나의 시큐어 채널 세션만을 관리하도록 제한할 수도 있다. SD가 다중 시큐어 채널 세션을 동시에 관리하도록 지원되는 경우에는, 다중 시큐어 채널 세션들 및 각각의 논리 채널들을 구분할 수 있어야 한다. SD가 다중 시큐어 채널 세션을 동시에 관리하도록 지원되지 않는다면, 현재의 시큐어 채널 세션과 다른 논리 채널에게 시큐어 채널 세션의 오픈을 요청하는 때에 SD가 새로운 시큐어 채널 세션을 개시하기 위한 이러한 요청을 거절할 수 있다.

또한, SD는 연관된 애플리케이션 중 하나로 향하는 STORE DATA 명령을 수신할 수 있다. SD는 명령이 애플리케이션으로 포워딩되기 이전에, 현재 시큐어 채널 세션의 시큐리티 레벨에 따라 이러한 명령을 언랩(Unwrap)한다.

ISD는 발급자 식별번호(IIN), 카드 이미지 번호(CIN), 카드 인식 데이터 및 기타 다른 카드 발급자 전용 데이터를 처리할 수 있어야 한다. 이러한 데이터들은 GET DATA 명령을 통해 카드로부터 획득될 수 있다.

발급자 식별 번호(IIN)는 오프카드 엔터티가 사용하는 것으로서, 카드를 특정한 카드 관리 시스템과 연동시키는데 이용된다. IIN은 일반적으로 발급자의 ISO 7812 정의 식별정보를 포함하며, ISO/IEC 7816-6의 태그 ‘42’에 의하여 전송된다. IIN 데이터 엘리먼트는 가변 길이를 가진다.

카드 이미지 번호(CIN)는 카드 베이스 내에서 카드를 고유하게 식별하기 위하여 카드 관리 시스템이 사용하는 것이다. CIN은 고유한 값으로서, ISO/IEC 7816에 정의된 태그 ‘45’(카드 발급자의 데이터)에 의하여 전송되며, 카드 발급자(IIN에 의해서 정의되는)에 의하여 할당된다. CIN 데이터 엘리먼트 역시 가변 길이를 가진다.

카드 관리 시스템은 카드와 상호 동작 하기 이전에 카드에 대한 정보를 알 필요가 있으며, 이러한 정보로는 카드의 종류에 대한 정보와 지원되는 시큐어 채널 프로토콜에 대한 정보들이 있다. 카드 인식 데이터는 이러한 카드에 대한 정보를 제공하는 메커니즘으로서 시행착오의 변동을 방지한다.

ISD 이외의 SD는 보조 SD(Supplementary Security Domain; 이하 ‘SSD’라고도 함)로 표현한 수 있으며, 이러한 SSD는 자신의 식별데이터를 핸들링 한다. 이러한 SSD의 식별 데이터로는 SD 제공자 식별번호(SIN), SD 이미지 번호, SD 관리 데이터 및 기타 애플리케이션 제공자 전용 데이터 등을 포함할 수 있다. 이러한 데이터들은 GET DATA 명령을 통해 카드로부터 획득될 수 있다.

SD 제공자 식별번호(SIN)는 오프카드 엔터티가 사용하는 것으로서, 해당 SD를 특정한 카드 관리 시스템과 연동시키는데 이용된다. SIN은 일반적으로 SD 제공자의 ISO 7812 정의 식별정보를 포함하며, ISO/IEC 7816-6의 태그 ‘42’에 의하여 전송된다. SIN 데이터 엘리먼트는 가변 길이를 가진다.

SD 이미지 번호는 카드 내에서 SD 인스턴스를 고유하게 식별하기 위하여 카드 관리 시스템이 사용하는 것으로서, 고유한 값이 사용될 수 있고 ISO/IEC 7816에 정의된 태그 ‘45’ 에 의하여 전송될 수 있다.

카드 관리 시스템은 카드와 상호 동작 하기 이전에 카드에 대한 정보를 알 필요가 있으며, 이러한 정보로는 SD의 종류에 대한 정보와 지원되는 시큐어 채널 프로토콜에 대한 정보들이 있다.

SD 관리 데이터는 SD에 대한 정보를 제공하는 메커니즘으로서, 시행착오의 변동을 방지한다. SD 관리 데이터는 SELECT 명령에 대한 응답내에 포함되어 리턴되어야 하며, 태그 ‘66’을 가지는 GET DATA 명령에 대한 응답 내에 포함되어 리턴될 수도 있다.

SD 관리 테이터로 제공되는 정보들은 카드와 초기 통신을 인에이블시키기에 충분한 것이어야 하지만, 특정한 요구조건으로 한정되는 것은 아니다. SD 관리 데이터는 카드에 의해 동적으로 업데이트되어야 한다.

본 발명의 일 실시예에 의한 eSIM은 리시빙 MNO를 위한 필요한 프로파일 또는 데이터를 발급받은 후, SD 키값을 상기 리시빙 MNO 시스템만 알 수 있는 고유한 새로운 SD 키값으로 변경할 수도 있다.

아래에서는 본 발명의 일실시예에서 사용되는 ISD 키 및 SD 키에 대하여 설명한다.

본 발명의 일 실시예에 의한 ISD 키 또는 SD 키는 아래와 같은 속성을 가진다.

온카드 엔터티 내부의 각 키를 식별하는 키 식별자를 가진다. 키는 하나 이상의 키 컴포넌트로 이루어져 있다. 예를 들면 대칭키(Symmetric key)는 하나의 키 컴포넌트를 가지며, 비대칭키는 다수의 컴포넌트를 가진다. 모든 키 컴포넌트는 동일한 키 식별자를 공유하여야 하며, 하나의 온카드 엔터티 내에서 키, 그 용도 및 기능을 구분하기 위하여 다른 키 식별자들이 사용되어야 한다. 키에 키 식별자를 할당하는 데에는 제한 또는 미리 정해진 순서는 없으며, 동일 엔터티 내에서 비연속적인 키 식별자가 사용될 수도 있다.

SD 키의 속성으로서, 연관 키 버전 번호(Associated Key Version Number)가 있다. 하나의 온카드 엔터티 내에서 동일한 키에 대한 몇개의 인스턴스 또는 버전을 구분하기 위하여 다른 키 버전들이 사용될 수 있다. 키에 대한 키 버전 번호의 할당에는 특별한 제한이나 미리 정해진 순서는 없다.

또한, SD 키의 속성으로 암호화 알고리즘이 있을 수 있으며, 특정한 키는 오직 하나의 암호화 알고리즘과 관련될 수 있다. 몇몇의 키 길이를 지원하는 암호화 알고리즘의 길이와, 키에 접근하거나 제어하기 위한 접근 조건 등도 SD 키의 속성이 될 수 있다.

이러한 키 속성들로 인하여 온카드 엔터티에게 아이덴터티, 의도된 용도, 암호키의 기능등이 명확하게 지시될 수 있다.

키 식별자와 키 버전 번호의 조합에 의하여 온카드 엔터티 내에서 특정 키가 명확하게 식별될 수 있으며, 키 형태(Type)가 암호화 알고리즘 및 키 컴포넌트를 식별한다. 엔터티 내에서 키와 알고리즘을 명확하게 식별함으로써, 암호화 기능에 대한 잘못된 사용이 방지될 수 있다. 오프 카드 엔터티는 키 정보 템플릿(태그 ‘E0')의 GET DATA 명령을 이용하여 SD 키에 대한 정보를 획득할 수 있다.

한편, 본 발명의 일 실시예에 의하여 SD가 키를 관리하는 방식은 다음과 같다.

키 식별자 및 키 버전 번호는 온카드 엔터티 내에서 각각의 키를 고유하게 참조하며, 각 키 식별자/키 버전 번호 조합이 엔터티 내에서 고유한 키 슬롯을 나타낸다.

키를 추가하는 것은 새로운 키 값, 새로운 키 식별자 또는 새로운 키 버전 번호로 새로운 키 슬롯을 할당하는 것과 같다. 키를 대체하는 것은 새로운 키 값과 관련된 키 버전 번호로 키 슬롯을 업데이트 하는 것과 관련된다. 키 식별자는 여전히 동일하게 남아있으며, 이전 키는 더이상 사용될 수 없다.

오프카드 키 관리 시스템은 온카드 엔터티에 의하여 수행되는 키 식별 방식을 알고 있어야 하며, 키 식별자 및 키 버전 번호는 특정한 카드에 대해 임의의 값을 가질 수 있고, 이러한 값들은 하나의 키 관리 방식에서 다음 방식으로 변화할 수 있다.

SD는 각 키와 관련된 PUT KEY 명령어로 제공되는 모든 키 정보들을 저장하고 있어야 한다.

SD 키에 할당되는 접근 조건으로는 3가지가 있을 수 있으며, SD 자신에 의한 접근과,소유자 이외의 인증된 사용자(예를 들면, SD의 연관 애플리케이션 등)의 접근 및 소유자를 포함한 모든 인증된 사용자의 접근이 그것이다.

SD 키에 대한 접근 조건은 1바이트로 나타낼 수 있으며, 예를 들면 ‘00’은 소유자를 포함한 어떠한 인증된 사용자를 나타내고(이는 PUT KEY 명령으로 명시적으로 제공되지 않는 경우, 시큐어 채널 프로토콜 키에 대한 기본 접근 조건임), ‘01’은 소유자(SD) 자신을 나타내며(이는 PUT KEY 명령으로 명시적으로 제공되지 않는 경우, 토큰과 DAP 키에 대한 기본 접근 조건임), ‘02’는 소유자 이외의 인증된 사용자를 나타내는 등이 될 수 있으나 그에 한정되는 것은 아니다. 특정 SD 키에 적용될 수 있는 접근 제어 규칙은 아래와 같이 강제될 수 있다.

특정한 SD 암호화 서비스를 사용하기 위하여, 애플리케이션은 OPEN에게 시큐어 채널 인터페이스의 참조를 요청하고, OPEN은 애플리케이션과 관련된 SD를 식별한 후 해당 애플리케이션에게 대응되는 시큐어 채널 인터페이스 참조를 제공할 수 있다.

또한, 애플리케이션은 시큐어 채널 인터페이스를 경유하여 SD에게 암호화 서비스를 요청할 수 있으며, OPEN은 관련 애플리케이션에 대해서만 접근을 허용할 수 있다.

데이터 및 키의 관리 방식을 설명하면 다음과 같다. 데이터/키 관리 요청이 수신되면 해당되는 SD가 자신의 접근 제어 규정에 따라 해당되는 키/데이터를 관리하여야 하며, 카드 라이프 사이클 상태는 CARD_LOCKED 또는 TERMINATED가 아니어야 한다.

DELETE [key], PUT KEY 또는 STORE DATA 명령어가 수신되면, 데이터 또는 키 관리를 수행하는 SD는 자신의 시큐어 통신 정책을 적용해야 하며, SD 제공자는 키의 삭제와 관련된 키 관리 정책을 적용할 수 있다.

먼저, 아래에서 설명할 프로비저닝 과정, MNO 변경 과정 등이 수행되기 위한 전제 조건으로서, eSIM에는 프로비저닝(Provisioning Profile)이 선탑재되어 있으며, 해당 프로파일은 모든 MNO에 대해서 동일하게 적용될 수 있다. 각 MNO는 프로비저닝 프로파일을 통해서 eSIM 관리가 이뤄질 수 있도록 해당 프로파일에 대한 네트워크 접속을 수락하여야 한다.

도 4과 같이, 본 발명의 일 실시예에 의한 eSIM을 이용한 프로비저닝 과정에서, 우선 eSIM이 장착된 단말의 부팅(Booting)시 단말은 eSIM의 프로비저닝 프로파일을 이용하여 MNO1 네트워크로 접속한다.(S410) 그러면, MNO1 시스템은 ISD 키를 이용하여 eSIM과 상호 인증 및 보안 통신 채널을 형성한다(S420). 그런 다음, MNO1 시스템은 MNO1의 프로파일은 통신을 위한 개통 데이터 (예, IMSI, Ki, OPc 등), 선탑재 대상 부가 서비스 (예, 교통카드, 신용카드 서비스를 위한 인프라 애플릿 등) 데이터 및 기타 발급에 필요한 데이터 등을 상기 보안 통신 채널을 통해 eSIM에 발급한다(S430).

S430에서의 프로파일 또는 데이터의 발급이 완료된 후, 단말이 리부팅되면 단말은 MNO1 네트워크를 통해 통신을 수행할 수 있으며, MNO1이 제공하는 부가 서비스를 활용한다(S440)

도 5에서는 초기 개통 MNO이자 도너(Donor) MNO로서 MNO1을, 변경 이후의 새로운 리시빙 MNO로서 MNO2를 예로 설명한다.

본 발명의 일 실시예에 의한 eSIM을 이용한 MNO 변경 과정에서, 우선 MNO2 시스템에서 MNO1 시스템으로 타사 이동 또는 MNO 변경 요청 메시지를 전송한다(S510).

다음으로 S515 단계에서, 초기 개통 MNO이자 도너(Donor) MNO인 MNO1 시스템은 eSIM과 ISD 인증을 수행하고, ISD 키를 이용하여 리시빙 MNO인 MNO2을 위한 SD를 생성하고, MNO2 시스템에서 MNO1 시스템으로 하드웨어 보안모듈(Hardware Security Module; HSM) 등을 통해 사전에 제공된 사전 SD 키를 주입하며, MNO2 프로파일을 위한 키 쌍 생성 및 보안 연산을 위한 보안애플릿을 설치한다(S515). 이러한 S515 단계는 생성된 MNO2를 위한 SD, 사전 SD 키값, 보안 애플릿 설치를 위한 데이터 등을 ISD 키로 암호화하여 전송하고, eSIM은 그를 복호화한 후 도 3과 같이 글로벌 플랫폼 상에 MNO2의 SD(사전 주입된 SD키값을 가지는 SD)를 생성하고, 필요한 보안 애플릿을 설치함으로써 수행될 수도 있다.

다음으로, MNO1은 MNO2에 SD 생성, 사전 SD 키 주입 및 애플릿 설치가 완료되었음을 통지한다.(S520)

MNO2는 MNO1 네트워크를 통해 사전 SD 키로 인증을 수행한 후 MNO2만 알 수 있는 새로운 SD 키값을 SD에 주입(S525)하며, 이 때 PUT KEY와 같은 명령어를 사용할 수 있으나 그에 한정되는 것은 아니다. 즉, MNO2 시스템은 새로운 SD 키값을 사전 SD 키로 암호화 한후 PUT KEY 명령어를 eSIM으로 전달하면, eSIM은 해당 사전 SD 키값을 통해 해당 요청이 정당한 것임을 인증한 후, 복호화하여 새로운 SD 키값을 추출한 후 해당 SD의 키값으로 갱신할 수 있다.

다음으로, MNO2는 새로운 SD 키로 SD (for MNO2)와 인증을 수행한 후, 새로운 SD 키로 암호화된 키 쌍 생성 요청 명령을 보안 애플릿에게 전달한다.(S530)

eSIM 내의 보안 애플릿은 키 쌍 생성 요청 명령에 따라 해당 MNO2를 위한 키 쌍, 즉 공개키/비밀키 쌍을 생성한 후, 공개키만을 새로운 SD 키로 암호화하여 MNO2에게 응답한다(S535).

MNO2는 전달 받은 공개키로 MNO2 프로파일을 암호화(1차 암호화) 하고(S540), 초기 개통 MNO인 MNO1에게 암호화된 MNO2 프로파일(PK[MNO2 Profile])을 전달한다(S545).

암호화된 MNO2 프로파일(PK[MNO2 Profile])을 MNO2로부터 수신한 MNO1은 eSIM과 ISD 키 인증을 수행하고(S550), ISD 키 인증이 된 경우에는 MNO2 공개키로 암호화된 MNO2 프로파일을 다시 ISD 키로 암호화(2차 암호화)하여 eSIM 내의 ISD로 전송한다(S555). 이 때 2차 암호화된 MNO2 프로파일은 ISDkey[PK[MNO2 Profile]]로 표현될 수 있다.

eSIM 내의 ISD는 ISD 키를 활용하여 공개키로 암호화된 MNO2 프로파일을 확인한 후, 이에 대한 복호화를 발급처리모듈에 요청한다(S560). 즉, 2차 암호화된 MNO2 프로파일 ISDkey[PK[MNO2 Profile]]을 수신한 eSIM의 ISD는 자신의 ISD 키를 이용하여 1차 복호화하여 MNO2의 공개키로 암호화된 MNO2 프로파일, 즉, PK[MNO2 Profile]을 생성한 후, 그를 단말의 발급처리모듈로 전달하면서 2차 복호화를 요청할 수 있다.

그러면, 발급처리모듈은 해당 MNO2의 보안애플릿에게 MNO2 프로파일의 복호화를 요청하고, 보안애플릿은 자신이 생성한 개인키, 즉 MNO2의 공개키에 대응되는 개인키를 이용하여 공개키로 암호화된 MNO2 프로파일을 복호화하여 발급처리모듈에 응답한다(S565). 이 과정에서, 발급처리 모듈 또는 보안 애플릿은 MAC 검증을 통해 요청이 정상적인 요청임을 검증할 수도 있다.

다음으로, 발급처리모듈은 완전 복호화된 MNO2 프로파일을 eSIM 내의 ISD로 전달한다.(S570) 즉, 단말의 발급처리모듈은 복호화된 MNO2, 프로파일을 eSIM으로 전달하면서 발급을 요청하는 것이다.

eSIM 내의 ISD는 발급처리모듈로부터 전달 받은 MNO2 프로파일을 토대로 발급 과정을 처리한다. 즉, 이러한 발급과정은, 도 4와 같이 MNO2 시스템은 ISD 키를 이용하여 eSIM과 상호 인증 및 보안 통신 채널을 형성하고, MNO2 시스템은 통신을 위한 개통 데이터 (예, IMSI, Ki, OPc 등), 선탑재 대상 부가 서비스 (예, 교통카드, 신용카드 서비스를 위한 인프라 애플릿 등) 데이터 및 기타 발급에 필요한 데이터 등을 상기 보안 통신 채널을 통해 eSIM에 발급하며, 프로파일 또는 데이터의 발급이 완료된 후, 단말이 리부팅되면 단말은 MNO2 네트워크를 통해 통신을 수행할 수 있으며, MNO2가 제공하는 부가 서비스를 활용하는 것이다.

eSIM은 전술한 발급 처리가 완료되면 그 결과를 초기 개통 MNO인 MNO1에게 전달한다(S575)

MNO1은 eSIM 내의 MNO1 프로파일을 비활성화(inactive) 상태로 변경하며, 단말은 리부팅(Rebooting) 되고 MNO1은 모든 발급 절차의 완료를 MNO2에게 통지한다(S580)

이러한 S510 내지 S580 단계는 반드시 구별되어 수행될 필요는 없으며, 필요에 따라 몇단계가 생략되거나, 하나 이상의 단계가 통합되어 수행될 수도 있을 것이다.

이와 같은 과정을 통해서, 글로벌 플랫폼의 기술적 사양인 ISD, SD 등을 그대로 이용하면서, MNO가 주도하여 MNO 변경 절차를 안전하고 신속하게 처리할 수 있게 되는 효과가 있다.

또한, 별도로 도시하지는 않았지만, MNO2로 이동 또는 변경한 이후에, MNO2의 신규 부가 서비스를 이용하기 위해서는, 상기 도 5의 S540 이후의 과정을 진행함으로써 가능할 수 있으며, 또는 부가 서비스에 필요한 어플리케이션 (예, 애플릿 등)을 MNO1에게 전달하여 설치를 요청할 수 있다.

즉, 예를 들면, 부가 서비스에 필요한 애플리케이션 등을 eSIM으로 전달하기 위하여, MNO2는 전달 받은 공개키로 해당 애플리케이션 등을 암호화(1차 암호화) 하여 MNO1에게 전달하고, MNO1은 eSIM과 ISD 키 인증을 수행한 후 다시 ISD 키로 암호화(2차 암호화)하여 eSIM 내의 ISD로 전송할 수 있다.

그러면, eSIM은 발급처리모듈과 연계하여 2차 암호화된 부가 서비스 애플리케이션 정보를 복호화한 후 설치함으로써, 해당 부가서비스를 제공받을 수 있게 되는 것이다.

도 6에서는 도 5가 초기 개통 MNO이 도너(Donor) MNO인 경우와 달리, 초기 개통 MNO로서 MNO1을, 변경 이전의 도너 MNO로서 MNO2를, 변경 이후의 새로운 리시빙 MNO로서 MNO3을 예로 설명한다.

본 발명의 일 실시예에 의한 eSIM을 이용한 MNO 변경 과정에서, 우선 MNO3 시스템에서 초기 개통 MNO인 MNO1 시스템으로 타사 이동 또는 MNO 변경 요청 메시지를 전송한다(S610).

다음으로 MNO1 시스템이 ISD를 이용하여 eSIM과 ISD 키 인증을 수행한 후 도너 MNO인 MNO2의 프로파일을 eSIM에서 삭제하고(S615), 그사실을 MNO2로 통지한다(S620). 즉, MNO1는 MNO2 프로파일을 삭제하라는 명령 신호를 ISD 키값으로 암호화한 후 eSIM으로 전달하면, eSIM은 ISD 키 인증 이후에 MNO2 삭제 명령을 수행하여, MNO2 프로파일을 삭제할 수 있다.

그 다음의 과정은 도 5의 S515 이하의 과정과 유사하게 진행될 수 있다.

즉, 초기 개통 MNO 인 MNO1 시스템은 eSIM과 ISD 인증을 수행하고, ISD 키를 이용하여 리시빙 MNO인 MNO3을 위한 SD를 생성하고, MNO3 시스템에서 MNO1 시스템으로 하드웨어 보안모듈(Hardware Security Module; HSM) 등을 통해 사전에 제공된 사전 SD 키를 주입하며, MNO3 프로파일을 위한 키 쌍 생성 및 보안 연산을 위한 보안애플릿을 설치한다(S625). 즉, 생성된 MNO3을 위한 SD, 사전 SD 키값, 보안 애플릿 설치를 위한 데이터 등을 ISD 키로 암호화하여 전송하고, eSIM은 그를 복호화한 후 도 3과 같이 글로벌 플랫폼 상에 MNO3의 SD(사전 주입된 SD키값을 가지는 SD)를 생성하고, 필요한 보안 애플릿을 설치함으로써 수행될 수 있다.

다음으로, MNO1은 MNO3에 SD 생성, 사전 SD 키 주입 및 애플릿 설치가 완료되었음을 통지한다.(S630)

MNO3은 MNO1 네트워크를 통해 사전 SD 키로 인증을 수행한 후 MNO3만 알 수 있는 새로운 SD 키값을 SD에 주입(S635)하며, 이 때 PUT KEY와 같은 명령어를 사용할 수 있으나 그에 한정되는 것은 아니다. 즉, MNO3 시스템은 새로운 SD 키값을 사전 SD 키로 암호화 한후 PUT KEY 명령어를 eSIM으로 전달하면, eSIM은 해당 사전 SD 키값을 통해 해당 요청이 정당한 것임을 인증한 후, 복호화하여 새로운 SD 키값을 추출한 후 해당 SD의 키값으로 갱신할 수 있다.

다음으로, MNO3은 새로운 SD 키로 SD 인증을 수행한 후, 새로운 SD 키로 암호화된 키 쌍 생성 요청 명령을 보안 애플릿에게 전달한다.(S640)

eSIM 내의 보안 애플릿은 키 쌍 생성 요청 명령에 따라 해당 MNO3을 위한 키 쌍, 즉 공개키/비밀키 쌍을 생성한 후, 공개키만을 새로운 SD 키로 암호화하여 MNO3에게 응답한다(S645).

MNO3은 전달 받은 공개키로 MNO3 프로파일을 암호화(1차 암호화) 하고(S650), 초기 개통 MNO인 MNO1에게 암호화된 MNO3 프로파일(PK[MNO3 Profile])을 전달한다(S655).

암호화된 MNO3 프로파일(PK[MNO3 Profile])을 MNO2로부터 수신한 MNO1은 eSIM과 ISD 키 인증을 수행하고(S660), ISD 키 인증이 된 경우에는 MNO3 공개키로 암호화된 MNO3 프로파일을 다시 ISD 키로 암호화(2차 암호화)하여 eSIM 내의 ISD로 전송한다(S665).

eSIM 내의 ISD는 ISD 키를 활용하여 공개키로 암호화된 MNO3 프로파일을 확인한 후, 이에 대한 복호화를 발급처리모듈에 요청한다(S670). 즉, 2차 암호화된 MNO3 프로파일 ISDkey[PK[MNO3 Profile]]을 수신한 eSIM의 ISD는 자신의 ISD 키를 이용하여 1차 복호화하여 MNO3의 공개키로 암호화된 MNO3 프로파일, 즉, PK[MNO3 Profile]을 생성한 후, 그를 단말의 발급처리모듈로 전달하면서 2차 복호화를 요청할 수 있다.

그러면, 발급처리모듈은 해당 MNO3의 보안애플릿에게 MNO3 프로파일의 복호화를 요청하고, 보안애플릿은 자신이 생성한 개인키, 즉 MNO3의 공개키에 대응되는 개인키를 이용하여 공개키로 암호화된 MNO3 프로파일을 복호화하여 발급처리모듈에 응답한다(S675). 이 과정에서, 발급처리 모듈 또는 보안 애플릿은 MAC 검증을 통해 요청이 정상적인 요청임을 검증할 수도 있다.

다음으로, 발급처리모듈은 완전 복호화된 MNO2 프로파일을 eSIM 내의 ISD로 전달한다.(S680) 즉, 단말의 발급처리모듈은 복호화된 MNO2 프로파일을 eSIM으로 전달하면서 발급을 요청하는 것이다.

eSIM 내의 ISD는 발급처리모듈로부터 전달 받은 MNO3 프로파일을 토대로 발급 과정을 처리하고, eSIM은 전술한 발급 처리가 완료되면 그 결과를 초기 개통 MNO인 MNO1에게 전달한다(S685)

이 상태에서, MNO1 프로파일을 이미 비활성화 상태가 되고, MNO2 프로파일은 상기 S615 과정을 통해서 삭제되거나 MNO3 프로파일로 갱신됨으로써, MNO3 프로파일만 활성화(Active)되어 있는 상태이다.

단말은 리부팅(Rebooting) 되고 MNO1은 모든 발급 절차의 완료를 MNO3에게 통지한다(S690)

이러한 S610 내지 S690 단계는 반드시 구별되어 수행될 필요는 없으며, 필요에 따라 몇단계가 생략되거나, 하나 이상의 단계가 통합되어 수행될 수도 있을 것이다.

이와 같이, 도 5의 실시예에서는 도너 MNO가 초기 개통 MNO이므로 MNO의 프로파일을 삭제하지 않고 비활성화 상태로 전환하며, 도 6의 실시예에서는 도너 MNO와 초기 개통 MNO가 다르므로 도너 MNO의 프로파일을 삭제하는 것이다.

도 5의 실시예에 의하면, 도 7과 같이 추후 초기 개통 MNO로 복귀할 수 있으므로 초기 개통 MNO의 프로파일을 삭제하기 않고 단지 비활성화 시키는 것이다.

도 7에서는 현재 서비스 중인 MNO2에서 초기 개통 MNO인 MNO1로 복귀하는 경우를 가정한다.

본 발명의 일 실시예에 의한 eSIM을 이용한 초기 개통 MNO로의 복귀 과정에서, 우선 MNO1은 MNO2에게 초기 개통 MNO로의 이동을 요청한다(S710).

단말은 리부팅을 수행(S720)한 후, 프로비저닝 프로파일(Provisioning Profile)을 통해 초기 개통 MNO인 MNO1 네트워크에 접속하고, MNO1은 ISD 키를 활용하여 MNO2 프로파일 (SD 포함)을 삭제한 후, 기존에 비활성화(Inactive)되어 있던 MNO1 프로파일의 상태를 활성화(active) 상태로 변경한다(S730).

그 후, 단말이 리부팅 되면(S740), 단말은 MNO1 네트워크를 통해 통신하고 MNO1가 제공하는 부가 서비스를 기존 그대로 활용하며, MNO1 시스템은 초기 개통 통신사로 복귀가 완료되었다는 메시지를 MNO2 시스템으로 통보한다(S750).

이상과 같은 본 발명을 이용하면, eSIM 환경에서 MNO가 ISD 키를 소유한 환경에서 기존 SIM 관련 기술의 변경 없이 단말에 MNO 프로파일을 발급하고 타통신사로 이동(MNO 변경)하는 구조를 제공할 수 있다는 효과가 있다. 이를 통해 ISD 키를 소유한 MNO는 eSIM 환경에서도 지속적으로 통신 개통 및 부가 서비스 사업에 대한 주도권을 표준 기술을 근간으로 확보할 수 있다.

또한, 중복을 피하기 위하여 구체적인 설명은 생략하지만, 이상과 같이 동적으로 생성되는 키쌍(공개키/개인키)와 기존의 글로벌 플랫폼 사양에 의한 프로비저닝, MNO 변경 등을 수행하는 eSIM, MNO 시스템 등은 컴퓨터가 읽을 수 있는 프로그램 형태로 구현될 수 있을 것이다.

이와 같이, 컴퓨터가 기록매체에 기록된 프로그램을 읽어 들여 위와 같은 여러 기능을 실행시키기 위하여, 전술한 프로그램은 컴퓨터의 프로세서(CPU)가 읽힐 수 있는 C, C++, JAVA, 기계어 등의 컴퓨터 언어로 코드화된 코드(Code)를 포함할 수 있다.

이러한 코드는 전술한 기능들을 정의한 함수 등과 관련된 기능적인 코드(Function Code)를 포함할 수 있고, 전술한 기능들을 컴퓨터의 프로세서가 소정의 절차대로 실행시키는데 필요한 실행 절차 관련 제어 코드를 포함할 수 있다.

또한, 이러한 코드는 전술한 기능들을 컴퓨터의 프로세서가 실행시키는데 필요한 추가 정보나 미디어가 컴퓨터의 내부 또는 외부 메모리의 어느 위치(주소 번지)에서 참조 되어야 하는지에 대한 메모리 참조 관련 코드를 더 포함할 수 있다.

또한, 컴퓨터의 프로세서가 전술한 기능들을 실행시키기 위하여 원격(Remote)에 있는 어떠한 다른 컴퓨터나 서버 등과 통신이 필요한 경우, 코드는 컴퓨터의 프로세서가 컴퓨터의 통신 모듈(예: 유선 및/또는 무선 통신 모듈)을 이용하여 원격(Remote)에 있는 어떠한 다른 컴퓨터나 서버 등과 어떻게 통신해야만 하는지, 통신 시 어떠한 정보나 미디어를 송수신해야 하는지 등에 대한 통신 관련 코드를 더 포함할 수도 있다.

그리고, 본 발명을 구현하기 위한 기능적인(Functional) 프로그램과 이와 관련된 코드 및 코드 세그먼트 등은, 기록매체를 읽어서 프로그램을 실행시키는 컴퓨터의 시스템 환경 등을 고려하여, 본 발명이 속하는 기술분야의 프로그래머 들에 의해 용이하게 추론되거나 변경될 수도 있다.

전술한 바와 같은 프로그램을 기록한 컴퓨터로 읽힐 수 있는 기록매체는, 일 예로, ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 미디어 저장장치 등이 있다.

또한 전술한 바와 같은 프로그램을 기록한 컴퓨터로 읽힐 수 있는 기록매체는 네트워크로 커넥션된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 이 경우, 다수의 분산된 컴퓨터 중 어느 하나 이상의 컴퓨터는 상기에 제시된 기능들 중 일부를 실행하고, 그 결과를 다른 분산된 컴퓨터들 중 하나 이상에 그 실행 결과를 전송할 수 있으며, 그 결과를 전송받은 컴퓨터 역시 상기에 제시된 기능들 중 일부를 실행하여, 그 결과를 역시 다른 분산된 컴퓨터들에 제공할 수 있다.

특히, 본 발명의 실시예에 따른 eUICC 인증정보와 관련된 여러 기능 또는 방법을 실행시키기 위한 프로그램인 애플리케이션을 기록한 컴퓨터로 읽을 수 있는 기록매체는, 애플리케이션 스토어 서버(Application Store Server), 애플리케이션 또는 해당 서비스와 관련된 웹 서버 등의 애플리케이션 제공 서버(Application Provider Server)에 포함된 저장매체(예: 하드디스크 등)이거나, 애플리케이션 제공 서버 그 자체일 수도 있다.

이상에서, 본 발명의 실시예를 구성하는 모든 구성 요소들이 하나로 결합되거나 결합되어 동작하는 것으로 설명되었다고 해서, 본 발명이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위 안에서라면, 그 모든 구성 요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다. 또한, 그 모든 구성 요소들이 각각 하나의 독립적인 하드웨어로 구현될 수 있지만, 각 구성 요소들의 그 일부 또는 전부가 선택적으로 조합되어 하나 또는 복수 개의 하드웨어에서 조합된 일부 또는 전부의 기능을 수행하는 프로그램 모듈을 갖는 컴퓨터 프로그램으로서 구현될 수도 있다. 그 컴퓨터 프로그램을 구성하는 코드들 및 코드 세그먼트들은 본 발명의 기술 분야의 당업자에 의해 용이하게 추론될 수 있을 것이다. 이러한 컴퓨터 프로그램은 컴퓨터가 읽을 수 있는 저장매체(Computer Readable Media)에 저장되어 컴퓨터에 의하여 읽혀지고 실행됨으로써, 본 발명의 실시예를 구현할 수 있다. 컴퓨터 프로그램의 저장매체로서는 자기 기록매체, 광 기록매체, 캐리어 웨이브 매체 등이 포함될 수 있다.

또한, 이상에서 기재된 "포함하다", "구성하다" 또는 "가지다" 등의 용어는, 특별히 반대되는 기재가 없는 한, 해당 구성 요소가 내재될 수 있음을 의미하는 것이므로, 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것으로 해석되어야 한다. 기술적이거나 과학적인 용어를 포함한 모든 용어들은, 다르게 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 문맥 상의 의미와 일치 하는 것으로 해석되어야 하며, 본 발명에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

CROSS-REFERENCE TO RELATED APPLICATION

본 특허출원은 2011년 7월 8일 한국에 출원한 특허출원번호 제 10-2011-0067780 호 및 2011년 12월 13일 한국에 출원한 특허출원번호 제 10-2011-0133562 호에 대해 미국 특허법 119(a)조 (35 U.S.C § 119(a))에 따라 우선권을 주장하며, 그 모든 내용은 참고문헌으로 본 특허출원에 병합된다. 아울러, 본 특허출원은 미국 이외에 국가에 대해서도 위와 동일한 이유로 우선권을 주장하면 그 모든 내용은 참고문헌으로 본 특허출원에 병합된다.

Claims

1 이상의 통신사업자(MNO)와 연동되어 있는 내장 SIM(eSIM)을 이용한 MNO 변경 방법으로서,

상기 eSIM은 프로비저닝 프로파일 및 1 이상의 통신사업자(MNO)에 대한 프로파일을 저장하고 있으며,

도너 MNO 시스템이 발급자 시큐리티 도메인(Issuer Security Domain; ISD)를 이용하여 리시빙 MNO를 위한 시큐리티 도메인(Security Domain; SD)를 생성하는 단계;

상기 리시빙 MNO 시스템이 새로운 SD 키를 상기 eSIM에 주입하는 단계;

상기 리시빙 MNO 시스템의 요청에 따라 상기 eSIM에 설치된 보안애플릿이 키 쌍을 생성한 후 공개키를 상기 새로운 SD 키로 암호화하여 상기 리시빙 MNO 시스템으로 전달하는 단계;

상기 리시빙 MNO 시스템이 자신의 프로파일을 상기 공개키로 암호화한 후 상기 도너 MNO 시스템을 통하여 상기 eSIM으로 전송하는 단계;

를 포함하는 것을 특징으로 하는 MNO 변경방법.

제1항에 있어서,

상기 SD 생성 단계에서의 SD 키는 상기 리시빙 MNO 시스템이 미리 도너 MNO 시스템으로 주입한 키인 것을 특징으로 하는 MNO 변경방법.

제1항에 있어서,

상기 도너 MNO 시스템은 리시빙 MNO 시스템이 상기 공개키로 1차 암호화하여 전송한 프로파일을 상기 ISD 키로 다시 2차 암호화하여 상기 eSIM으로 전달하는 것을 특징으로 하는 MNO 변경방법.

제3항에 있어서,

상기 보안애플릿은 상기 공개키에 대응되는 개인키를 이용하여 수신된 리시빙 MNO 프로파일을 복호화하는 단계를 추가로 포함하는 것을 특징으로 하는 MNO 변경방법.

제1항에 있어서,

상기 도너 MNO 시스템은 상기 eSIM 내의 도너 MNO 프로파일을 비활성화(Inactive) 상태로 변경하는 단계를 추가로 포함하는 것을 특징으로 하는 MNO 변경방법.

제1항에 있어서,

상기 도너 MNO 시스템은 초기 개통 MNO 시스템인 것을 특징으로 하는 MNO 변경방법.

초기 개통 통신사업자(MNO) 시스템과, 현재 서비스를 제공중인 서빙 MNO 시스템과 연동되어 있는 내장 SIM(eSIM)을 이용한 부가 서비스 제공방법으로서,

상기 서빙 MNO 시스템이 부가 서비스에 필요한 애플리케이션 또는 데이터를 공개키로 암호화하여 상기 초기 개통 MNO 시스템으로 전송하는 단계;

상기 초기 개통 MNO 시스템은 상기 eSIM과 발급자 시큐리티 도메인(Issuer Security Domain; ISD) 키 인증을 수행한 후, 상기 공개키로 암호화된 데이터를 상기 ISD키로 2차 암호화하여 상기 eSIM으로 전송하는 단계;

상기 eSIM은 내부에 설치되어 있는 보안 애플릿을 이용하여 상기 암호화된 데이터를 복호화하는 단계;를 포함하는 것을 특징으로 하는 부가 서비스 제공방법.

초기 개통 통신사업자(MNO) 시스템과, 리시빙 MNO 시스템과 연동되어 있는 내장 SIM(eSIM)으로서,

상기 초기 개통 MNO 시스템의 요청에 따라, 상기 리시빙 MNO를 위한 시큐리티 도메인(SD)을 생성하고, 사전 SD 키값을 주입하며, 키생성 및 보안 연산을 위한 보안 애플릿을 설치하고,

상기 리시빙 MNO 시스템의 요청에 따라 새로운 SD 키값을 주입하고, 상기 리시빙 MNO를 위한 키쌍을 생성한 후, 공개키만 상기 리시빙 MNO 시스템으로 전송하며,

상기 리시빙 MNO 시스템 또는 상기 초기 개통 MNO 시스템으로부터 상기 공개키로 암호화된 리시빙 MNO 프로파일을 수신한 후, 상기 공개키에 대응되는 개인키로 상기 리시빙 MNO 프로파일을 복호화하는 것을 특징으로 하는 eSIM.

제8항에 있어서,

상기 eSIM은 각 과정에서 상기 초기 개통 MNO 시스템과 발급자 시큐리티 도메인(Issuer Security Domain; ISD) 키 인증을 수행하는 것을 특징으로 하는 eSIM.

제8항에 있어서,

상기 eSIM은 상기 초기 개통 MNO의 프로파일을 비활성화 상태로 변경하는 것을 특징으로 하는 eSIM.

초기 개통 통신사업자(MNO) 시스템과, 도너 MNO 시스템 및 리시빙 MNO 시스템과 연동되어 있는 내장 SIM(eSIM)을 이용한 MNO 변경방법으로서,

상기 초기 개통 MNO 시스템이 상기 리시빙 MNO 시스템으로부터 MNO 변경 요청을 수신하는 단계;

상기 초기 개통 MNO 시스템이 발급자 시큐리티 도메인(Issuer Security Domain; ISD)를 이용하여 상기 eSIM과 ISD 키 인증을 수행한 후 상기 도너 MNO 의 프로파일을 상기 eSIM에서 삭제하는 단계;

상기 초기 개통 MNO 시스템이 리시빙 MNO를 위한 시큐리티 도메인(Security Domain; SD)를 생성하는 단계;

를 포함하는 것을 특징으로 하는 MNO 변경 방법.

초기 개통 통신사업자(MNO) 시스템과, 도너 MNO 시스템 및 리시빙 MNO 시스템과 연동되어 있는 내장 SIM(eSIM)으로서,

상기 eSIM 내부에는 MNO 변경에 따라서 리시빙 MNO 시스템으로부터 전송되는 새로운 시큐리티 도메인(SD) 키값을 인증한 후, 상기 리시빙 MNO 시스템을 위한 키쌍을 생성하여 생성된 공개키만을 상기 리시빙 MNO 시스템으로 전송하고, 상기 리시빙 MNO의 암호화된 프로파일이 수신된 경우 상기 공개키에 대응되는 개인키로 상기 암호화된 프로파일을 복호화하는 보안 애플릿을 포함하는 것을 특징으로 하는 내장 SIM.

초기 개통 통신사업자(MNO)를 위한 발급자 시큐리티 도메인(ISD)과 프로파일;

1 이상의 추가 MNO를 위한 시큐리티 도메인(SD)과 프로파일 및 보안애플릿 세트;

상기 초기 개통 MNO를 위한 프로비저닝 프로파일;

을 포함하며,

상기 보안 애플릿은 상기 초기 개통 MNO 시스템으로부터 요청에 따라 설치되며, 상기 추가 MNO의 시스템 중 하나로부터 전송된 새로운 SD키의 인증여부에 따라 상기 추가 MNO 시스템을 위한 키쌍을 생성하여 공개키만을 상기 추가 MNO 시스템으로 전송하는 것을 특징으로 하는 내장 SIM.

제13항에 있어서,

상기 보안애플릿은 추가 MNO 시스템으로부터 암호화된 프로파일을 수신하는 경우, 상기 공개키에 대응되는 개인키로 상기 암호화된 프로파일을 복호화하는 것을 특징으로 하는

제14항에 있어서,

상기 보안애플릿은 eSIM 외부에 있는 발급처리모듈의 요청에 따라 상기 복호화를 수행하는 것을 특징으로 하는 내장 SIM.

1 이상의 통신사업자(MNO) 시스템과 내장 SIM(eSIM)과 연동되어 있는 초기 개통 MNO 시스템으로서,

상기 초기 개통 MNO 시스템은 리시빙 MNO 시스템으로부터 MNO 변경요청이 수신된 경우, 상기 eSIM과 발급자 시큐리티 도메인(ISD) 인증을 수행한 후, 상기 리시빙 MNO을 위한 시큐리티 도메인(SD)를 생성하고 사전에 정해진 사전 SD 키를 상기 eSIM에 주입하며, 상기 리시빙 MNO를 위한 보안 애플릿을 상기 eSIM 내에 설치하며,

리시빙 MNO 시스템으로부터 상기 리시빙 MNO 시스템의 공개키로 암호화된 프로파일을 수신하고, 상기 ISD 키로 다시 암호화하여 상기 eSIM으로 전송하는 것을 특징으로 하는 초기 개통 MNO 시스템.

초기 개통 통신사업자(MNO) 시스템과, 도너 MNO 시스템 및 리시빙 MNO 시스템과 연동되어 있는 내장 SIM(eSIM)에 설치되는 프로그램으로서, 상기 프로그램은,

MNO 변경에 따라서 리시빙 MNO 시스템으로부터 전송되는 새로운 시큐리티 도메인(SD) 키값을 인증하는 기능과,

상기 리시빙 MNO 시스템을 위한 키쌍을 생성하여 생성된 공개키만을 상기 리시빙 MNO 시스템으로 전송하는 기능과,

상기 리시빙 MNO의 암호화된 프로파일이 수신된 경우 상기 공개키에 대응되는 개인키로 상기 암호화된 프로파일을 복호화하는 기능;

을 수행하는 상기 프로그램이 기록된 기록매체.

초기 개통 통신사업자(MNO) 시스템과, 리시빙 MNO 시스템과 연동되어 있는 내장 SIM(eSIM)에 사용되는 프로그램으로서, 상기 프로그램은,

상기 초기 개통 MNO 시스템의 요청에 따라, 상기 리시빙 MNO를 위한 시큐리티 도메인(SD)을 생성하고, 사전 SD 키값을 주입하며, 키생성 및 보안 연산을 위한 보안 애플릿을 설치하는 기능;

상기 리시빙 MNO 시스템의 요청에 따라 새로운 SD 키값을 주입하고, 상기 리시빙 MNO를 위한 키쌍을 생성한 후, 공개키만 상기 리시빙 MNO 시스템으로 전송하는 기능;

상기 리시빙 MNO 시스템 또는 상기 초기 개통 MNO 시스템으로부터 상기 공개키로 암호화된 리시빙 MNO 프로파일을 수신한 후, 상기 공개키에 대응되는 개인키로 상기 리시빙 MNO 프로파일을 복호화하는 기능;

을 수행하는 상기 프로그램을 기록한 기록매체.