WO2013065983A1

WO2013065983A1 - 스마트 카드의 보안 도메인 권한 변경 방법과 그를 위한 서버, 스마트 카드, 및 단말

Info

Publication number: WO2013065983A1
Application number: PCT/KR2012/008683
Authority: WO
Inventors: 허국; 이진형; 윤여민
Original assignee: 주식회사 케이티
Priority date: 2011-11-03
Filing date: 2012-10-22
Publication date: 2013-05-10
Also published as: US9398015B2; US20160295407A1; US20140325613A1; KR20130049103A; US9980128B2; KR101844943B1

Abstract

본 발명은 스마트 카드의 보안 도메인의 권한을 변경하는 것에 관한 것으로서, 보다 상세하게는 보안 도메인의 권한 변경을 관리하는 서버, 보안 도메인의 권한을 변경하는 스마트 카드, 그 스마트 카드를 탑재한 단말, 및 권한 변경 방법에 관한 것이다.

Description

스마트 카드의 보안 도메인 권한 변경 방법과 그를 위한 서버, 스마트 카드, 및 단말

UICC(Universal Integrated Circuit Card)는 단말기 내에 삽입되어 사용자 인증을 위한 모듈로서 사용될 수 있는 스마트 카드이다. UICC는 사용자의 개인 정보 및 사용자가 가입한 이동 통신 사업자에 대한 사업자 정보를 저장할 수 있다. 예를 들면, UICC는 사용자를 식별하기 위한 IMSI(International Mobile Subscriber Identity)를 포함할 수 있다. UICC는 GSM(Global System for Mobile communications) 방식의 경우 SIM(Subscriber Identity Module) 카드, WCDMA(Wideband Code Division Multiple Access) 방식의 경우 USIM(Universal Subscriber Identity Module) 카드로 불리기도 한다.

사용자가 UICC를 사용자의 단말에 장착하면, UICC에 저장된 정보들을 이용하여 자동으로 사용자 인증이 이루어져 사용자가 편리하게 단말을 사용할 수 있다. 또한, 사용자가 단말을 교체할 때, 사용자는 기존의 단말에서 탈거한 UICC를 새로운 단말에 장착하여 용이하게 단말을 교체할 수 있다.

소형화가 요구되는 단말, 예를 들면 기계 대 기계(Machine to Machine, M2M) 통신을 위한 단말은 UICC를 착탈할 수 있는 구조로 제조할 경우 단말의 소형화가 어려워진다. 그리하여, 착탈할 수 없는 UICC인 내장 UICC(Embedded UICC) 구조가 제안되었다. 내장 UICC는 해당 UICC를 사용하는 사용자 정보가 IMSI 형태로 수록되어야 한다.

기존의 UICC는 단말에 착탈이 가능하여, 단말의 종류나 이동 통신 사업자에 구애받지 않고 사용자는 단말을 개통할 수 있다. 그러나, 단말을 제조할 때부터 제조된 단말은 특정 이동 통신 사업자에 대해서만 사용된다는 전제가 성립되어야 내장 UICC 내의 IMSI를 할당할 수 있다. 단말을 발주하는 이동 통신 사업자 및 단말 제조사는 모두 제품 재고에 신경을 쓸 수 밖에 없고 제품 가격이 상승하는 문제가 발생하게 된다. 사용자는 단말에 대해 이동 통신 사업자를 바꿀 수 없는 불편이 있다. 그러므로, 내장 UICC의 경우에도 이동 통신 사업자에 구애받지 않고 사용자가 단말을 개통할 수 있는 방법이 요구된다.

UICC는 어플리케이션의 보안을 위한 보안 도메인(Security Domain, SD)을 구비하고, 특히 ISD(Issuer Security Domain)는 카드 관리자(card manager)로서, 발급자(Issuer)의 비밀 키를 저장하고, MNO(Mobile Network Operator) 영역의 CCM(Card Content Management)를 위한 인증(Authentication)을 담당할 수 있다. 그러나, ISD는 이동 통신 사업자에 구애받는 개체로서, 이동 통신 사업자를 변경하는데 있어 ISD가 문제가 될 수 있다.

본 발명은 내장 UICC를 포함하는 단말이 이동 통신 사업자를 변경할 수 있는 방법 및 장치를 제공하는 것을 목적으로 한다.

본 발명의 일 실시예는, 스마트 카드를 관리하는 관리 서버와 키를 공유하는 제 1 보안 도메인 및 네트워크 사업자와 키를 공유하는 복수의 제 2 보안 도메인을 포함하는 스마트 카드에서 실행되는 보안 도메인 권한 변경 방법으로서, 상기 관리 서버로부터 상기 제 1 보안 도메인을 통해 복수의 제 2 보안 도메인 중 현재 활성화된 제 2 보안 도메인을 잠금 상태로 변경할 것을 요청하는 신호를 수신하는 단계; 상기 현재 활성화된 제 2 보안 도메인을 잠금 상태로 변경하는 단계; 상기 관리 서버로부터 상기 제 1 보안 도메인을 통해 복수의 제 2 보안 도메인 중 활성화될 제 2 보안 도메인의 인덱스 정보를 수신하는 단계; 상기 활성화시킬 제 2 보안 도메인을 활성화하는 단계를 포함하는 것을 특징으로 하는 스마트 카드의 보안 도메인 권한 변경 방법을 제공한다.

본 발명의 다른 실시예는, 스마트 카드의 제 1 보안 도메인과 공유하는 키를 저장하는 키 저장부; 네트워크 사업자에 대응되는 상기 스마트 카드의 복수의 제 2 보안 도메인의 인덱스를 저장하는 인덱스 저장부; 상기 제 1 보안 도메인으로 상기 제 2 보안 도메인의 상태 변경 요청 신호를 전송하고 전송에 대한 응답 신호를 수신하는 제 1 인터페이스를 포함하는 서버를 제공한다.

본 발명의 다른 실시예는, 스마트 카드를 관리하는 관리 서버와 키를 공유하는 제 1 보안 도메인; 네트워크 사업자와 키를 공유하는 복수의 제 2 보안 도메인; 및 상기 제 1 보안 도메인을 통해 수신된 제 2 보안 도메인의 상태 변경 요청 신호에 기초하여 해당하는 제 2 보안 도메인의 상태를 활성화 여부를 제어하는 제어부를 포함하는 스마트 카드를 제공한다.

본 발명의 다른 실시예는, 내부에 장착된 스마트 카드를 포함하고, 상기 스마트 카드는, 스마트 카드를 관리하는 관리 서버와 키를 공유하는 제 1 보안 도메인; 네트워크 사업자와 키를 공유하는 복수의 제 2 보안 도메인; 및 상기 제 1 보안 도메인을 통해 수신된 제 2 보안 도메인의 상태 변경 요청 신호에 기초하여 해당하는 제 2 보안 도메인의 상태를 활성화 여부를 제어하는 제어부를 포함하는 단말을 제공한다.

상술한 본 발명에 따르면, 내장 UICC를 포함하는 단말이 이동 통신 사업자를 변경할 수 있다.

도 1은 본 발명의 실시예들이 적용될 수 있는 시스템의 구조를 도시한다.

도 2는 본 발명의 일 실시예에 따른 eUICC에서 소프트웨어 계층 구조이다.

도 3은 본 발명의 일 실시예에 따른 라이프 사이클 구조를 도시한다.

도 4 및 5는 본 발명의 일 실시예에 따른 MNO 변경 방법의 흐름도이다.

도 6은 본 발명의 일 실시예에 따른 SM-SR의 구성을 도시하는 블록도이다.

도 7은 본 발명의 일 실시예에 따른 SM-DP의 구성을 도시하는 블록도이다.

도 8은 본 발명의 일 실시예에 따른 단말의 구성을 도시하는 블록도이다.

이하, 본 발명의 일부 실시 예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.

UICC(Universal Integrated Circuit Card)는 GSM(Global System for Mobile Communications), UMTS(Universal Mobile Telecommunications System) 및 CDMA(Code Division Multiple Access) 네트워크에서 이동 단말에 사용되는 스마트 카드이다. GSM 네트워크에서 UICC는 SIM(Subscriber Identity Module) 어플리케이션을 포함하고 UMTS 네트워크에서 USIM(Universal Subscriber Identity Module) 어플리케이션을 포함하며, CDMA 네트워크에서 CSIM(CDMA Subscriber Identity Module) 어플리케이션을 포함한다. UICC는 CPU, ROM, RAM, EEPROM 및 I/O 회로로 구성된다.

현재 GSMA(GSM Association) 등에서 활발하게 논의되는 M2M(Machine-to-Machine) 단말은 특성상 크기가 작아야 하는데, 기존 UICC를 사용하는 경우에는, M2M 단말에 UICC를 장착하는 모듈을 별도 삽입해야 하므로, UICC를 탈착가능한 구조로 M2M단말을 제조하게 되면, M2M 단말의 소형화가 힘들게 된다.

따라서, UICC 착탈이 불가능한 내장(Embedded) UICC(이하 eUICC라 함)(또는 내장 SIM(eSIM)이라 불리기도 함) 구조가 논의되고 있는데, 이때 M2M 단말에 장착되는 내장 UICC에는 해당 UICC를 사용하는 이동통신 사업자(Mobile Network Operator; 이하 ‘MNO’라 함)정보가 국제 모바일 가입자 식별자(International Mobile Subscriber Identity, IMSI) 형태로 UICC에 저장되어 있어야 한다.

그러나, M2M 단말을 제조할 때부터 제조된 단말은 특정 MNO에서만 사용한다는 전제가 성립되어야 내장 UICC내의 IMSI를 할당할 수 있으므로, M2M 단말 또는 UICC를 발주하는 MNO나 제조하는 M2M 제조사 모두 제품 재고에 많은 신경을 할당할 수 밖에 없고 제품 가격이 상승하게 되는 문제가 있어, M2M 단말 확대에 큰 걸림돌이 되고 있는 상황이다.

기존의 착탈식 UICC는 달리 단말에 일체형으로 탑재되는 eUICC는 그 물리적 구조 차이로 인해 개통 권한, 부가 서비스 사업 주도권, 가입자 정보 보안 등에 많은 문제점이 존재한다. 특히, UICC가 단말의 보드에 접합(solder)되어 나오기 때문에 기존의 가입 개통, 권한 부여, 가입 변경 등을 처리하기 위해서 소프트웨어 상의 원격 권한 설정 관리(Remote Provisioning Management)가 필요한 상황이다.

이를 위해, GSMA 및 ETSI(European Telecommunications Standards Institute)와 같은 국제 표준화 기관에서는 통신 사업자, 제조사, UICC 벤더 등의 유관 회사들과 최상위 구조를 포함한 필요한 요소에 대해 표준화 활동을 전개하고 있다. 또한, GP(GlobalPlatform)는 스마트 카드의 개발, 배포 및 관리를 위한 인프라스트럭처의 표준화 활동을 전개하고 있다. 표준화 단체들을 통해 eUICC가 논의되면서 이슈의 중심에 있는 것은 Subscriber Manager(이하 ‘SM’이라 함)라고 불리는 개체(또는 그 기능/역할)로서, SM은 사업자 정보(Operator Credential, MNO Credential, Profile, eUICC Profile, Profile Package 등)을 eUICC에 발급하고 subscription 변경에 대한 프로세스를 처리하는 등 eUICC에 대한 전반적인 관리 역할을 한다.

이에 따라 이동 통신 사업자(Mobile Network Operator, MNO)의 부가 서비스들을 그대로 수용하는 구조를 가지고 가기 위한 eUICC 구조 및 SM과의 관계가 필요할 수 있다.

도 1을 참조하면, 본 발명이 적용될 수 있는 시스템은 Subscription Manager(SM)(110), UICC 벤더(UICC Vendor)(120), 장치 벤더(Device Vendor)(130), 서비스 제공자(Service Provider)(140) 및 복수의 통신 사업자(MNO1 내지 MNO3)(150a~150c)를 포함한다.

SM(110)은 사업자 정보(Operator Credential, MNO Credential, Profile, eUICC Profile, Profile Package 등)을 eUICC에 발급하고 subscription 변경에 대한 프로세스를 처리하는 등 eUICC에 대한 전반적인 관리 역할을 한다.

SM(110)의 역할은 사업자 정보를 생성하는 역할을 수행화는 SM-DP(Subscription Manager-Data Preparation) 및 eUICC에 사업자 정보의 직접적 운반을 수행하는 SM-SR(Subscription Manager-Secure Routing)로 분류될 수 있다. SM-DP는 사업자 정보(IMSI, K, OPc, 부가 서비스 어플리케이션, 부가 서비스 데이터 등)를 안전하게 생성하여 크레덴셜 패키지(credential package) 형태로 만드는 역할을 수행할 수 있다. SM-SR은 SM-DP가 생성한 크레덴셜 패키지를 OTA(Over-The-Air) 또는 GP SCP(Secure Communication Protocol)과 같은 UICC 원격 관리 기술을 통해 eUICC에 안전하게 다운로드 하는 역할을 수행할 수 있다.

보다 상세하게는, SM-DP는 eUICC로 전달될 패키지의 안전한 준비를 담당하고, 실제 전송을 위해 SM-SR과 함께 동작한다. SM-DP의 핵심 기능은 1) eUICC의 기능적 특성 및 인증 레벨(Certification Level)을 관리하는 것과, 2) MNO 크리덴셜(예를 들면, IMSI, K, 부가 서비스 어플리케이션, 부가 서비스 데이터 중 하나 이상, 이들 중 일부는 잠재적으로 MNO에 의해 암호화되어 있을 수 있음)을 관리하는 것과, 3) SM-SR에 의한 다운로드를 위하여 OTA 패키지를 계산하는 것 등이고, 추후 부가적인 기능이 추가될 수 있다.

SM-DP는 특정 MNO에 의해 제공되거나 제 3의 TSM(3rd Trusted Service Manager, 이하 3rd TSM이라 함)에 의하여 제공될 수 있다. 3rd TSM에 의하여 제공되는 경우 보안과 신뢰 관계가 중요해진다. SM-DP는 실시간 프로비저닝(Provisioning) 기능 이외에도 상당한 정도의 백그라운드 프로세싱 기능을 보유할 수 있고, 퍼포먼스, 스캐러빌러티(scalability) 및 신뢰도에 대한 요구 사항이 중요할 수 있다.

SM-SR은 크리덴셜 패키지를 해당하는 eUICC로 안전하게 라우팅하고 전달하는 역할을 담당한다. SM-SR의 핵심 기능은 1) 암호화된 VPN(Virtual Private Network)을 통해 eUICC와 OTA 통신을 관리하는 것과, 2) eUICC까지 엔드-투-엔드를 형성하기 위해 다른 SM-SR과의 통신을 관리하는 것과, 3) eUICC 공급자에 의해 제공되는 SM-SR OTA 통신을 위해 사용되는 eUICC 데이터를 관리하는 것과, 4) 허용된 개체만을 필터링함으로써 eUICC와 통신을 보호하는 것(방화벽 기능) 등이다.

SM-SR 데이터베이스는 eUICC 벤더(120), 장치 벤더(130), MNO(150a~150c)에 의해 제공될 수 있고, SM-SR 메시 네트워크를 통해 MNO(150a~150c)에 의해 사용될 수 있다.

한편, GSMA는 신뢰 서클(Circle of Trust)이라는 구조를 제안하여 각 유사 개체들 간의 신뢰 관계의 중첩을 통해 MNO와 eUICC 간의 엔드-투-엔드(End-to-End) 신뢰 관계를 구축한다는 개념을 제안하였다. 예를 들면, MNO는 SM-DP와 신뢰 관계를 형성하고, SM-DP는 UICC SM과 신뢰 관계를 형성하며, UICC SM은 eUICC와 신뢰 관계를 형성하여, 이를 통해 MNO와 eUICC가 신뢰 관계를 형성할 수 있다.

또한, MNO는 SM-DP와 신뢰 관계를 형성하고, SM-DP는 Device SM과 신뢰 관계를 형성하며, Device SM은 단말과 신뢰 관계를 형성하여, 이를 통해 MNO와 단말이 신뢰 관계를 형성할 수 있다. 이하에서, MNO, eUICC, 단말 사이에서 플로우는 SM-DP, UICC SM, Device SM 사이에서 플로우로 표현될 수 있다.

UICC 벤더(120)는 eUICC 칩을 생산하는 개체이다. UICC 벤더(120)에 의해 생산된 eUICC 칩은 장치 벤더(130)에 의해 단말에 접합된다. eUICC가 내장된 단말은 서비스 제공업자(140)에게 제공될 수 있다.

프로비전을 위해 UICC 벤더(120)와 SM(110)은 eUICC 식별자 및 암호화를 위한 키 데이터를 교환할 수 있다. 가입을 위해 서비스 제공업자(140)와 SM(110)은 크리덴셜을 교환할 수 있고, SM(110)과 MNO(150a~150c)는 크리덴셜을 교환할 수 있다. 가입이 완료되면, 서비스 제공업자(140)와 MNO(150a~150c)는 텔레콤 서비스를 유지할 수 있다.

글로벌 플랫폼에 의한 카드 아키텍처는 하드웨어와 벤더(Vendor)에 중립적인 인터페이스를 애플리케이션 및 오프카드(off-card) 관리 시스템에게 보장하기 위한 다수의 컴포넌트로 구성된다. 이러한 컴포넌트로는 하나 이상의 카드 발급자의 애플리케이션, 카드 발급자의 사업 파트너(즉, 애플리케이션 제공자)를 위한 하나 이상의 애플리케이션, 다른 애플리케이션으로 글로벌 서비스(예를 들면, CSM 서비스)를 제공하기 위한 하나 이상의 애플리케이션 등이 있다.

모든 애플리케이션은 애플리케이션 이동성을 지원하는 하드웨어 중립적인 API(Application Programming Interface)를 포함하는 시큐어 런타임 환경(secure runtime environment) 내에 구현된다. 글로벌 플랫폼은 특정한 런타임 환경 기술로 제한하는 것은 아니며, 카드 매니저가 중앙 관리자로서 역할을 수행하는 주요한 카드 컴포넌트이다. 특정한 키 및 보안 도메인(Security Domain, 이하 SD라 함)이라 불리는 시큐리티 관리 애플리케이션이 생성되어, 카드 발급자와 다수의 다른 SD 제공자 사이에서 키들이 완전히 분리되는 것을 보장하게 된다.

SD는 오프카드 기관(Authority)의 온카드 대리자 역할을 수행한다. SD는 카드에 의하여 인식되는 오프카드 기관의 3가지 타입을 반영하여 크게 3개의 타입으로 구분될 수 있다.

첫째로, ISD는 통상 카드 발급자가 되는 카드 관리자(Administration)를 위한 주요하면서도 필수인 온카드 대리자이다.

*42둘째로, 보조 SD(Supplementary SD)는 카드 발급자 또는 애플리케이션 제공자 또는 그들의 에이전트를 위한 추가적이고 선택적인 온카드 대리자로서 기능한다.

세째 타입으로서, 제어 기관 SD(Controlling Authority Security Domains)는 보조 SD의 특수한 한 형태로서, 제어 기관은 카드내에 로딩되는 모든 애플리케이션 코드 상에 적용되는 시큐리티 정책(Policy)을 강제하는 역할을 한다. 또한 제어 기관은 이러한 기능을 제공하기 위하여 자신의 온카드 대리자로서 이러한 형태의 SD를 이용할 수 있다. 이러한 제어 기관 SD는 하나 이상 존재할 수 있다.

일반적으로, 3가지 타입 모두는 단순하게 SD라고 부를 수 있으며, SD는 자신의 제공자(카드 발급자, 애플리케이션 제공자 또는 제어 기관 등)를 위한 키 핸들링, 암호화, 복호화, 전자서명 생성 및 검증과 같은 시큐리티 서비스를 지원한다. 각 SD는 오프카드 엔터티가 서로 완전히 격리되는 키를 사용하고자 요청하는 경우, 카드 발급자, 애플리케이션 제공자 또는 제어기관을 대신해서 설정된다.

카드 내에는 하나 이상의 글로벌 서비스 애플리케이션이 존재해서, 카드 상의 다른 애플리테이션에 카드홀더 검증 방법(Cardholder Verification Method; CVM)과 같은 서비스를 제공할 수 있다.

글로벌 플랫폼은 안전한 다중 애플리케이션 카드 런타임 환경 상에서 동작하기 위한 것으로서, 이러한 런타임 환경은 안전한 저장과 애플리케이션의 실행공간을 물론이고 애플리케이션을 위한 하드웨어 중립적인 API를 제공함으로써, 각 애플리케이션 코드 및 데이터가 다른 애플리케이션으로부터 분리된 상태에서 안정하게 유지되도록 한다. 카드의 런타임 환경은 또한 카드 및 오프카드 개체 사이의 통신 서비스를 제공하기도 한다.

글로벌 플랫폼 카드는 또한 하나 이상의 신뢰 프레임워크(Trusted Framework)를 포함할 수 있으며, 이러한 신뢰 프레임워크는 애플리케이션 사이에서 애플리케이션 간 통신을 제공한다. 신뢰 프레임워크는 애플리케이션 또는 SD는 아니며, 카드 런타임 환경의 확장 또는 하나의 부분으로서 존재할 수 있다.

도 2를 참조하면, eUICC에서 소프트웨어 계층 구조는 하드웨어 계층, 하드웨어 계층 상부의 칩 OS 계층, 칩 OS 계층 상부의 자바 카드 플랫폼 계층, 자바 플랫폼 계층 상부의 글로벌 플랫폼(GP) 계층을 포함한다.

GP 계층 위에는 SIM/UICC API(Application Programming Interface) 계층이 존재하고, SIM/UICC API 계층 위에는 USAT(USIM Application Toolkit) 어플리케이션 프레임워크 계층이 존재하면, USAT 어플리케이션 프레임워크 계층 위에는 어플리케이션 계층(App5, App6)이 존재한다.

또한, GP 계층 위에는 슈퍼 ISD(Super Issuer Security Domain) 계층이 존재하고, 슈퍼 ISD 계층 위에는 각 MNO 별로 지정된 ISD(Issuer Security Domain) 계층(ISD1, ISD2)이 존재한다. 각 ISD 계층 위에는 보안 도메인(Security Domain) 계층이 존재하고, 각 보안 도메인 계층 위에는 어플리케이션 계층(App1~App4)이 존재한다.

보안 도메인은 특수 권한을 가지는 애플리케이션(Privilege Application)으로, 보안 채널 프로토콜 동작을 지원하거나 카드 컨텐트 관리 기능을 인증하는데 사용되는 암호키들을 보유한다.

각 보안 도메인은 특권 어플리케이션으로서, 보안 키를 저장하고, 관련된(associated) 어플리케이션에 암호화 서비스를 제공하며, SCP(Secure Channel Protocol)을 제공할 수 있다.

각 애플리케이션 및 각각의 실행가능한 로드 파일이 보안 도메인과 관련되어 있으며, 애플리케이션은 관련된 보안 도메인의 암호화 서비스를 사용할 수 있다.

보안 도메인은 자신의 키 관리에 대한 책임을 지며, 이를 통하여 각 애플리케이션 제공자의 프라이버시 및 통합성을 위반하지 않으면서도 여러 다른 애플리케이션 제공자로부터의 애플리케이션 및 데이터가 동일 카드 내에 같이 존재할 수 있다. 또한, 본 발명의 실시예에서, ISD는 자신의 키 관리에 대한 책임을 지며, 이를 통하여 각 MNO의 프라이버시 및 통합성을 위반하지 않으면서도 여러 다른 MNO로부터의 애플리케이션 및 데이터가 동일 카드 내에 같이 존재할 수 있다.

모든 보안 도메인에 대한 키와 관련 암호화 작업은 애플리케이션 제공자의 애플리케이션을 개인화하는 동안 안전한 통신 지원을 제공할 수 있고, 자신의 안전한 메시징 키들을 포함하지 않는 애플리케이션의 실행시간 동안 안전한 통신을 가능하게 한다.

각 ISD는 카드 관리자(card manager)로서, 발급자(Issuer)의 비밀 키를 저장하고, MNO 영역의 CCM(Card Content Management)를 위한 인증(Authentication)을 담당할 수 있다.

슈퍼 ISD는 복수의 카드 관리자(즉, ISD)를 선택 또는 변경할 수 있고, ISD의 비밀 키를 저장하고 그 인덱스를 관리할 수 있으며, SM-DP 영역의 CCM을 위한 인증을 담당할 수 있다.

*58도 2를 참조하면, 슈퍼 ISD는 ‘210’ 영역의 관리를 담당할 수 있고, 각 MNO에 따라 선택되는 ISD1 및 ISD2는 각각 ‘220a’ 및 ‘220b’ 영역의 관리를 담당할 수 있다.

보안 도메인 키의 정보는 키 ID, 키 버전, 암호화 알고리즘, 암호화 알고리즘 길이, 접속 조건 등으로 구성될 수 있다.

예를 들면, GP 카드 표준에 따르면, 보안 도메인은 다음과 같이 키를 관리할 수 있다:

- 키 ID 및 키 버전 번호는 카드 개체 내의 각 키를 유일하게 지정한다. 다르게 말하자면, 키 ID 및 키 버전 번호의 각 조합은 개체 내의 유일한 키 슬롯을 식별한다.

- 키를 추가하는 것은 새로운 키의 값, 새로운 키 ID, 또는 새로운 키 버전 번호로 새로운 키 슬롯을 할당하는 것과 같다.

- 키를 대체하는 것은 새로운 키의 값 및 관련된 키 버전 번호로 키 슬롯을 갱신하는 것과 관계된다. 키 ID는 같게 유지된다. 이전의 키는 더 이상 유효하지 않다.

본 발명의 일 실시예에서, 슈퍼 ISD 키는 eUICC 플랫폼 접속 크리덴셜로서, eUICC의 플랫폼을 접근할 수 있는 권한을 가질 수 있는 키이다. eUICC 환경에서도 기존 MNO의 부가 서비스(Value Added Service)는 지속되어야 한다. 처음 프로비저닝할 때 또는 MNO를 변경할 때 프로파일을 탑재하는 경우, eUICC 플랫폼 접속 크리덴셜을 이용하여 권한 획득이 가능하여야 하고, 이러한 경우 슈퍼 ISD를 이용할 수 있다. GP는 슈퍼 ISD를 수용할 수 있는 기능을 제공할 수 있다.

슈퍼 ISD는 ISD의 키 정보 및 키 속성 구조와 유사한 키 정보 및 키 속성 구조를 가질 수 있다. 다만, 특정 키 ID 및 키 버전 번호는 슈퍼 ISD 키 용도로 전용되어 할당될 수 있다. 슈퍼 ISD 기반에서는 1개 이상의 ISD 영역에서 1개 이상의 카드 라이프 사이클이 존재할 수 있다.

도 3을 참조하면, 슈퍼 ISD와 관련되어 SM-SR에 의해 관리되는 UICC의 슈퍼 카드 라이프 사이클은 OP_READY, INITIALIZED, SECURED, CARD_LOCKED 및 TERMINATED 상태를 가질 수 있다. OP_READY 상태는 실행 환경이 이용 가능하고 슈퍼 ISD가 APDU(Application Protocol Data Unit) 명령어를 수신, 실행 및 반응하도록 준비된 상태이다. INITIALIZED 상태는 카드 생성 상태이다. INITIALIZED 상태는 OP_READY 상태로 복귀할 수 없다. SECURED 상태는 카드 발급이 완료된 상태로서, 카드 보안은 안정된 상태이다. SECURED 상태는 INITIALIZED 상태로 복귀할 수 없다. CARD_LOCKED 상태는 일시적으로 카드가 잠긴 상태이다. 카드의 콘텐츠는 변경될 수 없다. CARD_LOCKED 상태는 SECURED 상태로 복귀할 수 있다. TERMINATED 상태는 카드가 폐기된 상태이다. 카드의 콘텐츠는 변경될 수 없다. TERMINATED 상태는 다른 상태로 복귀될 수 없다.

ISD와 관련되어 SM-DP에 의해 관리되는 카드 라이프 사이클은 INSTALLED, SECURED, TERMINATED, 및 CARD_LOCKED 상태를 가질 수 있다. INSTALLED 상태는 ISD가 GP 레지스트리의 개체가 되고 이러한 개체는 인증된 외부 개체로 접속할 수 있는 상태이다. SECURED 상태는 카드 보안이 안정된 상태이다. TERMINATED 상태는 특정 MNO와 관련된 ISD가 삭제 또는 비활성화된 상태이다. CARD_LOCKED 상태는 일시적인 잠금 상태이다.

이러한 카드 라이프 사이클은 하나의 슈퍼 카드 라이프 사이클 내에 하나 이상이 존재할 수 있다. 즉, eUICC가 장착된 단말과 관련된 MNO가 변경되는 경우, 이전 MNO에 관련된 카드 라이프 사이클은 종료되지만, 새로운 MNO에 관련된 카드 라이프 사이클이 새롭게 시작될 수 있고, 이러한 카드 라이프 사이클들은 모두 슈퍼 카드 라이프 사이클 내에 존재한다.

어플리케이션의 라이프 사이클은 INSTALLED, SELECTABLE, Applet specific, 및 LOCKED 상태를 가질 수 있다. INSTALLED 상태는 어플리케이션 실행 코드가 적절하게 링크되고 필요한 메모리 할당이 이루어진 상태이다. SELECTABLE 상태는 어플리케이션이 외부 개체로부터 명령어를 수신할 수 있는 상태이다. Applet specific 상태는 어플리케이션의 작동이 어플리케이션 자신에 의해 결정되는 상태이다. LOCKED 상태는 일시적인 잠금 상태이다.

보안 도메인의 라이프 사이클은 INSTALLED, SELECTABLE, PERSONALIZED, 및 LOCKED 상태를 가질 수 있다. INSTALLED 상태는 보안 도메인이 GP 레지스트리의 개체가 되고 이러한 개체가 인증된 외부 개체로 접속할 수 있는 상태이다. SELECTABLE 상태는 보안 도메인이 외부 개체로부터 명령어를 수신할 수 있는 상태이다. PERSONALIZED 상태는 보안 도메인이 실행을 위한 모든 필요한 개인화 데이터 및 키를 갖는 상태이다. LOCKED 상태는 일시적인 잠금 상태이다.

도 4 및 5는 본 발명의 일 실시예에 따른 MNO 변경 방법의 흐름도이다. 그러나, 도 4 및 5에 도시된 방법은 MNO를 변경할 때에만 적용될 수 있는 것이 아니라, 도 4에 도시된 방법은 특정 MNO에 대하여 해지 절차 또는 일시 정지 절차를 진행할 때에도 적용될 수 있고, 도 5에 도시된 방법은 특정 MNO에 대하여 가입 절차 또는 재가입 절차를 진행할 때에도 적용될 수 있다.

UICC는 슈퍼 키를 관리하기 위한 SKM(Super Key Manager) 개체를 포함한다. SKM은 슈퍼 ISD 영역, 복수의 ISD(1st ISD, 2nd ISD 등) 영역, SKM 어플리케이션 영역을 가질 수 있다. 복수의 ISD(1st ISD, 2nd ISD 등)는 복수의 MNO에 대응된다. 도 4에 도시된 SM-DP는 적어도 1st ISD에 대한 정보를 포함하는 개체이고, 도 5에 도시된 SM-DP는 적어도 2nd ISD에 대한 정보를 포함하는 개체로서, 이들은 서로 같은 개체일 수도 있고 서로 다른 개체일 수도 있다.

UICC를 탑재한 단말은 장치 SM 어플리케이션을 가질 수 있다.

초기 상태에서, SM-SR 및 SM-DP는 특정 MNO(MNO1)로 보안 권리의 변경을 완료한 상태이다.

UICC 내의 SKM에서 1st ISD는 카드 라이프 사이클에서 사후-배포(Post-Issuance) 상태이고, 2nd ISD는 카드 라이프 사이클에서 사전-배포(Pre-Issuance) 상태로서, 1st ISD는 활성화되고 2nd ISD는 활성화되지 않은 상태이다. 이러한 상태는 단말이 1st ISD에 대응되는 MNO(MNO1)로부터 지금까지 가입하지 않은 MNO(MNO2)로 MNO를 변경하는 경우에 발생할 수 있다.

또는, 2nd ISD는 카드 라이프 사이클에서 CARD-LOCKED 상태로서 활성화되지 않은 상태일 수도 있다. 이러한 상태는 이전에 단말이 2nd ISD에 대응되는 MNO(MNO2)로부터 현재 활성화된 1st ISD에 대응되는 MNO(MNO1)으로 MNO를 변경한 후 다시 MNO1으로부터 MNO2로 MNO를 재변경하는 경우에 발생할 수 있다.

한편, 초기 상태에서, SM-SR 및 SM-DP는 특정 MNO(MNO1)로 보안 권리가 변경된 상태이다.

도 4를 참조하면, MNO를 변경할 때, UICC 내의 SKM 어플리케이션은 MNO 사후-배포(Post-Issuance)를 다른 MNO로 변경할 것을 장치에 요청한다(S401). 장치는 SM-SR에 MNO 사후-배포를 다른 MNO로 변경할 것을 SM-SR에 요청한다(S402).

SM-SR은 UICC 내의 슈퍼-ISD를 이용하여 인증 절차를 수행한다(S403). 인증 절차는 SM-SR과 슈퍼-ISD가 공유하는 키를 이용하여 수행될 수 있다.

인증 절차가 완료되면, SM-SR은 SM-DP에게 1st ISD를 카드 라이프 사이클에서 CARD-LOCKED 상태로 변경할 것을 요청한다(S403). SM-SR로부터 SM-DP로의 CARD-LOCKED 요청은 해당하는 ISD(1st ISD)의 인덱스 정보를 포함할 수 있다. SM-DP는 슈퍼-ISD에게 1st ISD의 CARD-LOCKED를 요청한다(S404). SM-DP로부터 슈퍼-ISD로의 CARD-LOCKED 요청은 해당하는 ISD(1st ISD)의 인덱스 정보를 포함할 수 있다. 이와 함께, SM-SR은 1st ISD와 인증 절차를 수행한다(S405).

SM-DP로부터 1st ISD의 CARD-LOCKED 요청 신호를 수신한 슈퍼-ISD는 SKM 어플리케이션에 1st ISD의 CARD-LOCKED를 요청한다(S406). SKM 어플리케이션에게 ISD(1st ISD, 2nd ISD 등)의 라이프 사이클에서 상태 변경을 요청할 수 있는 권한은 슈퍼-ISD만이 가지고 있다. 슈퍼-ISD로부터 CARD-LOCKED 요청 신호를 수신한 SKM 어플리케이션은 1st ISD의 상태를 CARD-LOCKED로 설정한다(S407). 그리고, 1st ISD는 SM-SR로 ISD의 인덱스 및 CARD-LOCKED 상태에 대한 정보를 포함하는 설정 정보를 보고한다(S408).

S408 단계가 완료된 시점에서, 1st ISD는 카드 라이프 사이클에서 CARD-LOCKED 상태이다.

한편, 상술한 S401 내지 S408 단계는 MNO1에 대하여 해지 절차 또는 일시 정지 절차를 진행할 때에도 실행될 수 있다. 이러한 경우, S401 및 S402 단계에서 전송되는 메시지는 MNO 변경 요청 메시지 대신에 해지 또는 일시 정지 요청 메시지일 수 있다. 그리고, S408 단계로 모든 절차가 완료될 수 있다.

도 5는 MNO 변경 방법에서 도 4의 S408 단계 이후의 단계를 도시한다.

도 5를 참조하면, 1st ISD로부터 설정 상태 정보를 수신한 SM-SR은 MNO의 ISD 인덱스를 MNO1에 대응되는 1st ISD의 인덱스로부터 MNO2에 대응되는 2nd ISD의 인덱스로 변경한다(S409).

SM-SR은 SM-DP에게 MNO2의 ISD 키 정보(keyset)를 요청한다(S410). ISD 키 정보 요청은 S409 단계에서 변경된 MNO2의 ISD 인덱스가 사용될 수 있다. SM-DP는 MNO2의 ISD 키 정보를 SM-SR로 전송한다(S411).

SM-SR은 ISD 인덱스 및 ISD 키 정보를 슈퍼 ISD로 전달하여 Put key 요청을 한다(S412). ISD 인덱스 및/또는 ISD 키 정보는 SM-SR과 슈퍼 ISD가 공유하는 키를 이용하여 암호화될 수 있다. 슈퍼 ISD는 ISD 인덱스 및 ISD 키 정보를 주입하기를 SKM 어플리케이션에 요청한다(S413). ISD 인덱스 및/또는 ISD 키 정보가 SM-SR에 의해 암호화된 경우, 슈퍼 ISD는 암호화된 정보를 복호할 수 있다. SKM 어플리케이션은 ISD 인덱스를 기반으로 특정 MNO(MNO2)의 ISD 키 정보를 이용하여 특정 MNO(MNO2)에 해당하는 2nd ISD의 키를 입력한다(S414). 2nd ISD는 생성된 결과를 SM-SR에게 통지하여 Put key 결과를 응답한다(S415). 응답 메시지는 ISD 인덱스를 포함할 수 있다.

한편, 2nd ISD가 사전에 키 정보 또는 키를 저장하고 있는 경우가 있을 수 있다. 예를 들면, 이전에 2nd ISD가 활성화되었고, 이후에 활성화된 보안 도메인이 2nd ISD로부터 1st ISD로 변경되었으며, 그리하여 현재 2nd ISD는 CARD-LOCKED 상태일 수 있다. 이러한 경우, SM-SR이 SM-DP로부터 키 정보를 가져오기 위한 S410 및 S411 단계는 생략될 수 있다. 또한, S412 내지 S414 단계는 ISD 인덱스는 포함하지만 ISD 키 정보는 포함하지 않을 수 있다.

SKM 어플리케이션은 보안 도메인을 MNO1에 대응되는 1st ISD로부터 MNO2에 대응되는 2nd ISD로 변경한다(S416). SKM 어플리케이션은 MNO2의 2nd ISD로 보안 도메인 상태를 변경하는 것을 슈퍼 ISD로 지시한다(S417). 슈퍼 ISD는 변경된 보안 도메인 상태와 함께 Put Key 결과를 응답한다(S418). 응답 메시지는 MNO의 ISD를 포함할 수 있다.

이러한 과정이 완료되면, MNO2의 ISD가 활성화된다(S419, S420). 그리하여, MNO2(또는 SM-DP)가 자신과 UICC(2nd ISD)가 공유하는 키를 이용하여 UICC(2nd ISD)에 접근할 수 있게 된다.

SM-SR은 최종적으로 사후-배포 결과를 장치에 응답하고(S421), 장치는 SKM 어플리케이션에 이를 응답한다(S422).

완료된 시점에서, SM-SR 및 SM-DP는 MNO2로 보안 권리를 변경하는 것을 완료한 상태이고, MNO2는 UICC에 접근할 수 있게 된다. 2nd ISD는 카드 라이프 사이클에서 사후-배포 상태이고, 즉 SECURED 상태이다.

한편, 특정 MNO에 대하여 해지 절차 또는 일시 정지 절차를 진행하는 경우, 도 4의 S401 내지 S408 단계와 도 5의 S421 및 S422 단계가 실행될 수 있다. 절차가 진행되기 이전에는 하나의 MNO에 대하여 카드 라이프 사이클이 사후 배포(Post-Issuance) 상태이고 다른 MNO에 대하여 카드 라이프 사이클이 사전 배포(Pre-Issuance) 또는 CARD-LOCKED 상태이며, 절차가 진행된 이후에는 모든 MNO에 대하여 카드 라이프 사이클이 사전-배포 또는 CARD-LOCKED 상태일 것이다.

또는 해지되거나 일시 정지된 단말에 대하여 개통 또는 재개통 절차를 진행하는 경우, 도 4의 S401 및 S402 단계와 도 5의 S409 단계 내지 S422 단계가 실행될 수 있다. 절차가 진행되기 이전에는 모든 MNO에 대하여 카드 라이프 사이클이 사전 배포 또는 CARD-LOCKED 상태이고, 절차가 진행된 이후에는 하나의 MNO에 대하여 카드 라이프 사이클이 사후 배포 상태이고 다른 MNO에 대하여 사전 배포 또는 CARD-LOCKED 상태일 것이다.

도 6을 참조하면, SM-SR(600)은 슈퍼 ISD 키 저장부(610), ISD 인덱스 저장부(620), SM-DP 인터페이스(630) 및 UICC 인터페이스(640)를 포함한다.

슈퍼 ISD 키 저장부(610)는 UICC의 슈퍼 ISD와 공유하는 키를 저장한다. 슈퍼 ISD와 공유하는 키는 사전에 UICC를 제작한 UICC 벤더로부터 얻을 수 있다.

ISD 인덱스 저장부(620)는 각 MNO에 해당하는 ISD의 인덱스를 저장한다.

SM-DP 인터페이스(630)는 SM-DP와 통신하기 위한 인터페이스이다. SM-DP 인터페이스(630)는 MNO에 해당하는 ISD의 키 정보를 SM-DP로 요청하고 SM-DP로부터 이를 수신할 수 있다.

UICC 인터페이스(640)는 UICC와 통신하기 위한 인터페이스이다. UICC 인터페이스(640)는 UICC의 슈퍼 ISD와 인증 절차를 수행할 수 있다. UICC 인터페이스(640)는 UICC의 슈퍼 ISD를 통해 각 MNO에 해당하는 ISD의 라이프 사이클 상태를 변경하는 요청 신호를 전송할 수 있다. 예를 들면, UICC 인터페이스(640)는 각 ISD의 라이프 사이클 상태를 사전 배포에서 사후 배포 상태로, 사후 배포 상태에서 CARD-LOCKED 상태로, 또는 CARD-LOCKED 상태에서 사후 배포 상태로 변경하는 요청 신호를 슈퍼 ISD로 전송할 수 있다. MNO1에서 MNO2로 MNO를 변경하는 경우, UICC 인터페이스(640)는 MNO1에 대응되는 1st ISD를 사후 배포 상태에서 CARD-LOCKED 상태로 변경하는 요청 및 MNO2에 대응되는 2nd ISD를 사전 배포 상태 또는 CARD-LOCKED 상태에서 사후 배포로 변경하는 요청을 전송할 수 있다.

*103도 7을 참조하면, SM-DP(700)는 ISD 키 저장부(710), SM-SR 인터페이스(720) 및 UICC 인터페이스(730)를 포함한다.

ISD 키 저장부(710)는 MNO에 개통한 단말에 탑재된 eUICC의 ISD와 공유되는 키를 저장한다. 그리하여, MNO가 eUICC를 통해 서비스를 제공할 수 있도록 한다.

SM-SR 인터페이스(720)는 SM-SR로부터 키 정보 요청 신호를 수신하고 SM-SR로 키 정보를 전송할 수 있다.

UICC 인터페이스(730)는 eUICC의 ISD와 공유되는 키를 이용하여 eUICC 내의 해당하는 ISD에 서비스를 제공할 수 있다. 일 예로서, UICC 인터페이스(730)는 eUICC 내의 해당하는 ISD와 인증 절차를 수행할 수 있다.

도 8을 참조하면, 단말(800)은 내장된 UICC(eUICC)(810)를 포함한다.

eUICC(810)는 슈퍼 ISD(812), 하나 이상의 ISD(ISD1(814), ISD2(816)) 및 제어부(818)를 포함한다.

슈퍼 ISD(812)는 SM-SR과 키를 공유할 수 있다. 이를 이용하여, 슈퍼 ISD(812)는 SM-SR과 인증 절차를 진행할 수 있다.

또한, 슈퍼 ISD(812)는 각 ISD(814, 816)의 라이프 사이클 상태 변경 요청 신호를 SM-SR로부터 수신할 수 있다. 예를 들면, 슈퍼 ISD(812)는 각 ISD(814, 816)의 라이프 사이클 상태를 사전 배포(Pre-Issuance) 상태에서 사후 배포(Post-Issuance) 상태로, 사후 배포 상태를 CARD-LOCKED 상태로, 또는 CARD LOCKED 상태를 사후 배포 상태로 변경하도록 요청하는 신호를 SM-SR로부터 수신할 수 있다. 즉, 슈퍼 ISD(812)는 각 ISD(814, 816)가 활성화되지 않은 상태에서 활성화된 상태로, 또는 활성화된 상태를 활성화되지 않은 상태로 요청하는 신호를 SM-SR로부터 수신할 수 있다. 이를 이용하여, MNO를 변경할 때, 활성화된 보안 도메인을 변경하는 신호를 수신할 수 있다.

또한, 슈퍼 ISD(812)는 SM-SR로부터 특정 MNO에 대응되어 활성화될 ISD의 인덱스 및 키 정보를 수신할 수 있다.

ISD(814, 816)는 특정 MNO에 대응되어 활성화될 수 있다. 활성화된 ISD(814, 816)는 ISD의 키를 이용하여 MNO로부터 서비스를 받을 수 있다. 또한, ISD(814, 816)는 SM-DP와 인증 절차를 진행할 수 있다.

제어부(818)는 슈퍼 ISD(812)를 통해 수신한 ISD 라이프 사이클 상태 변경 요청 신호에 기초하여 각 ISD(814, 816)의 라이프 사이클 상태를 변경할 수 있다. 예를 들면, 제어부(818)는 각 ISD(814, 816)의 라이프 사이클 상태를 사전 배포(Pre-Issuance) 상태에서 사후 배포(Post-Issuance) 상태로, 사후 배포 상태를 CARD-LOCKED 상태로, 또는 CARD LOCKED 상태를 사후 배포 상태로 변경할 수 있다. 즉, 제어부(818)는 각 ISD(814, 816)가 활성화되지 않은 상태에서 활성화된 상태로, 또는 활성화된 상태를 활성화되지 않은 상태로 변경할 수 있다. 이를 이용하여, 제어부(818)는, MNO를 변경할 때, 활성화된 보안 도메인을 변경할 수 있다.

또한, 제어부(8181)는 슈퍼 ISD(812)를 통해 수신한 ISD의 인덱스 및 키 정보를 이용하여 특정 MNO에 대응되는 ISD(814, 816)에 키 정보를 입력할 수 있다.

상술한 방식을 통해 eUICC는 소프트웨어 상으로 가입된 MNO를 변경할 수 있다.

상술한 실시예는 M2M 단말에 내장되는 eUICC를 예시하여 설명되었지만, 본 발명은 이에 제한되는 것이 아니라, 다른 IC-카드에도 적용될 수 있다. 또한, 본 발명은 표준 Plug-In SIM(2FF), Mini-SIM(3FF), SMD SIM(4FF) 등 모은 IC-카드에 적용이 가능하다. 다만, 내장된 형태로 USIM이 기본적으로 적용되는 M2M 분야에 특히 활용성이 있어 장점을 갖는다.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

CROSS-REFERENCE TO RELATED APPLICATION

본 특허출원은 2011년 11월 3일 한국에 출원한 특허출원번호 제 10-2011-0114157 호에 대해 미국 특허법 119(a)조 (35 U.S.C § 119(a))에 따라 우선권을 주장하며, 그 모든 내용은 참고문헌으로 본 특허출원에 병합된다. 아울러, 본 특허출원은 미국 이외에 국가에 대해서도 위와 동일한 이유로 우선권을 주장하면 그 모든 내용은 참고문헌으로 본 특허출원에 병합된다.

Claims

스마트 카드를 관리하는 관리 서버와 키를 공유하는 제 1 보안 도메인;

네트워크 사업자와 키를 공유하는 복수의 제 2 보안 도메인; 및

상기 제 1 보안 도메인을 통해 수신된 제 2 보안 도메인의 상태 변경 요청 신호에 기초하여 해당하는 제 2 보안 도메인의 상태를 활성화 여부를 제어하는 제어부를 포함하는 스마트 카드.
제 1 항에 있어서,

상기 상태 변경 요청 신호는 활성화된 제 2 보안 도메인을 활성화되지 않은 상태로 변경하는 요청 신호 및 활성화되지 않은 제 2 보안 도메인을 활성화된 상태로 변경하는 요청 신호를 포함하는 것을 특징으로 하는 스마트 카드.
제 1 항에 있어서,

상기 제 1 보안 도메인을 통해 상기 관리 서버와 인증 절차를 수행하는 것을 특징으로 하는 스마트 카드.
제 1 항에 있어서,

상기 제 2 보안 도메인을 통해 상기 네트워크 사업자와 인증 절차를 수행하는 것을 특징으로 하는 스마트 카드.]
제 1 항에 있어서,

상기 제 2 보안 도메인은 ISD(Issuer Security Domain)인 것을 특징으로 하는 스마트 카드.
내부에 장착된 스마트 카드를 포함하고,

상기 스마트 카드는,

스마트 카드를 관리하는 관리 서버와 키를 공유하는 제 1 보안 도메인;

네트워크 사업자와 키를 공유하는 복수의 제 2 보안 도메인; 및

상기 제 1 보안 도메인을 통해 수신된 제 2 보안 도메인의 상태 변경 요청 신호에 기초하여 해당하는 제 2 보안 도메인의 상태를 활성화 여부를 제어하는 제어부를 포함하는 단말.
제 6 항에 있어서,

상기 상태 변경 요청 신호는 활성화된 제 2 보안 도메인을 활성화되지 않은 상태로 변경하는 요청 신호 및 활성화되지 않은 제 2 보안 도메인을 활성화된 상태로 변경하는 요청 신호를 포함하는 것을 특징으로 하는 단말.
제 6 항에 있어서,

상기 제 1 보안 도메인을 통해 상기 관리 서버와 인증 절차를 수행하는 것을 특징으로 하는 단말.
제 6 항에 있어서,

상기 제 2 보안 도메인을 통해 상기 네트워크 사업자와 인증 절차를 수행하는 것을 특징으로 하는 단말.
제 6 항에 있어서,

상기 제어부는 상기 제 1 보안 도메인을 통해 상기 제 2 보안 도메인의 인덱스 및 키 정보를 수신하고, 해당하는 제 2 보안 도메인에 상기 키 정보를 입력하는 것을 특징으로 하는 단말.
제 6 항에 있어서,

상기 제 2 보안 도메인은 ISD(Issuer Security Domain)인 것을 특징으로 하는 단말.
스마트 카드의 제 1 보안 도메인과 공유하는 키를 저장하는 키 저장부;

네트워크 사업자에 대응되는 상기 스마트 카드의 복수의 제 2 보안 도메인의 인덱스를 저장하는 인덱스 저장부;

상기 제 1 보안 도메인으로 상기 제 2 보안 도메인의 상태 변경 요청 신호를 전송하고 전송에 대한 응답 신호를 수신하는 제 1 인터페이스를 포함하는 서버.
제 12 항에 있어서,

상기 상태 변경 요청 신호는 활성화된 제 2 보안 도메인을 활성화되지 않은 상태로 변경하는 요청 신호 및 활성화되지 않은 제 2 보안 도메인을 활성화된 상태로 변경하는 요청 신호를 포함하는 것을 특징으로 하는 서버.
제 12 항에 있어서,

상기 제 1 인터페이스는 활성화된 제 2 보안 도메인을 활성화되지 않은 상태로 변경하는 요청 신호를 전송한 후 활성화되지 않은 다른 제 2 보안 도메인을 활성화된 상태로 변경하는 요청 신호를 전송하는 것을 특징으로 하는 서버.
제 12 항에 있어서,

상기 제 2 보안 도메인은 ISD(Issuer Security Domain)인 것을 특징으로 하는 서버.
스마트 카드를 관리하는 관리 서버와 키를 공유하는 제 1 보안 도메인 및 네트워크 사업자와 키를 공유하는 복수의 제 2 보안 도메인을 포함하는 스마트 카드에서 실행되는 보안 도메인 권한 변경 방법으로서,

상기 관리 서버로부터 상기 제 1 보안 도메인을 통해 복수의 제 2 보안 도메인 중 현재 활성화된 제 2 보안 도메인을 잠금 상태로 변경할 것을 요청하는 신호를 수신하는 단계;

상기 현재 활성화된 제 2 보안 도메인을 잠금 상태로 변경하는 단계;

상기 관리 서버로부터 상기 제 1 보안 도메인을 통해 복수의 제 2 보안 도메인 중 활성화될 제 2 보안 도메인의 인덱스 정보를 수신하는 단계;

상기 활성화시킬 제 2 보안 도메인을 활성화하는 단계를 포함하는 것을 특징으로 하는 스마트 카드의 보안 도메인 권한 변경 방법.
제 16 항에 있어서,

상기 제 1 보안 도메인을 통해 상기 관리 서버와 인증 절차를 수행하는 단계를 더 포함하는 것을 특징으로 하는 스마트 카드의 보안 도메인 권한 변경 방법.
제 16 항에 있어서,

상기 현재 활성화된 제 2 보안 도메인을 통해 현재 활성화된 제 2 보안 도메인에 서비스를 제공하는 네트워크 사업자와 인증 절차를 수행하는 단계를 더 포함하는 것을 특징으로 하는 스마트 카드의 보안 도메인 권한 변경 방법.