JP6259919B2 - サーバとセキュアエレメント間の通信方法 - Google Patents
サーバとセキュアエレメント間の通信方法 Download PDFInfo
- Publication number
- JP6259919B2 JP6259919B2 JP2016539577A JP2016539577A JP6259919B2 JP 6259919 B2 JP6259919 B2 JP 6259919B2 JP 2016539577 A JP2016539577 A JP 2016539577A JP 2016539577 A JP2016539577 A JP 2016539577A JP 6259919 B2 JP6259919 B2 JP 6259919B2
- Authority
- JP
- Japan
- Prior art keywords
- secure element
- server
- identifier
- data
- command
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 14
- 238000000034 method Methods 0.000 title claims description 7
- 230000006870 function Effects 0.000 description 9
- 230000015654 memory Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000003936 working memory Effects 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44589—Program code verification, e.g. Java bytecode verification, proof-carrying code
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/005—Discovery of network devices, e.g. terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/183—Processing at user equipment or user record carrier
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Description
(発明の分野)
本発明は、ネットワークを介したサーバとセキュアエレメント間の通信方法に係り、特に、ポイント・ツー・ポイントモードにおける2つのエンティティ間の通信方法に関する。
本発明は、ネットワークを介したサーバとセキュアエレメント間の通信方法に係り、特に、ポイント・ツー・ポイントモードにおける2つのエンティティ間の通信方法に関する。
(発明の背景)
セキュアエレメントは、計算処理のためのメモリ、プロセッサ、及びオペレーティングシステムを備えた小型デバイスである。このようなセキュアエレメントは、不揮発性メモリ及び揮発性メモリ等の種類の異なる複数のメモリを備えていてもよい。「セキュア」と呼ばれるのは、これらが含むデータへのアクセスを制御し、かつ他のマシンによるデータの使用を許可又は禁止できるためである。セキュアエレメントはまた、暗号コンポーネントに基づいた計算サービスを提供してもよい。一般に、セキュアエレメントは、そのコンピューティング資源及びメモリ資源が限られており、電力を供給するホストマシンに接続されることが意図されている。セキュアエレメントは、ホストマシンに着脱可能であっても固定されていてもよい。例えば、スマートカードは、セキュアエレメントの一種である。
セキュアエレメントは、計算処理のためのメモリ、プロセッサ、及びオペレーティングシステムを備えた小型デバイスである。このようなセキュアエレメントは、不揮発性メモリ及び揮発性メモリ等の種類の異なる複数のメモリを備えていてもよい。「セキュア」と呼ばれるのは、これらが含むデータへのアクセスを制御し、かつ他のマシンによるデータの使用を許可又は禁止できるためである。セキュアエレメントはまた、暗号コンポーネントに基づいた計算サービスを提供してもよい。一般に、セキュアエレメントは、そのコンピューティング資源及びメモリ資源が限られており、電力を供給するホストマシンに接続されることが意図されている。セキュアエレメントは、ホストマシンに着脱可能であっても固定されていてもよい。例えば、スマートカードは、セキュアエレメントの一種である。
セキュアエレメントは、耐タンパ装置に組み込まれた仮想エンティティとして実装されてもよい。このような仮想エンティティは、ソフトウェアに実装され、ハードウェアセキュアエレメントのように動作する。
セキュアエレメントは、インターネット等の無線チャネル、有線ネットワーク、或いはネットワークの組み合わせを介して遠隔サーバによってアクセスされてもよい。遠隔サーバは、ポイント・ツー・ポイント接続を介して確立される通信セッションを介してセキュアエレメントと通信する。
ポイント・ツー・ポイント接続は、2つのエンティティ間に確立される通信接続である。これは、1つの送信器から送信される情報を複数の受信器が受信する、ポイント・ツー・マルチポイント又はブロードキャスト通信接続形態とは異なる。これらの2つの通信アーキテクチャは、独自の技術的解決策を有する異なる技術領域に属する。
セキュアエレメントは、インターネット等の無線チャネル、有線ネットワーク、或いはネットワークの組み合わせを介して遠隔サーバによってアクセスされてもよい。遠隔サーバは、ポイント・ツー・ポイント接続を介して確立される通信セッションを介してセキュアエレメントと通信する。
ポイント・ツー・ポイント接続は、2つのエンティティ間に確立される通信接続である。これは、1つの送信器から送信される情報を複数の受信器が受信する、ポイント・ツー・マルチポイント又はブロードキャスト通信接続形態とは異なる。これらの2つの通信アーキテクチャは、独自の技術的解決策を有する異なる技術領域に属する。
電気通信領域又はマシン・ツー・マシン(M2M)領域で使用することが意図されているセキュアエレメントには、OTA(無線)チャネルを管理できるものもある。これらのセキュアエレメントはまた、通常、HTTP又はHTTPS(安全モードの場合)と呼ばれるハイパーテキスト転送プロトコルを介してアクセスされてもよい。したがって、遠隔サーバは、UICC(汎用集積回路カード)等のセキュアエレメントの内容を、特定のプロトコルを用いた専用の通信セッションを介して遠隔管理することができる。サーバは、例えば、GlobalPlatform(登録商標)v2.2規格―修正B「RAM over HTTP」が定義するRAM(リモートアプレット管理)機構、又はOMA−TS−DM V1.2.1規格が定義するOMA−DM(オープンモバイルアライアンス―デバイス管理)プロトコルを使用してもよい。
遠隔サーバは、すでにフィールドに展開されているセキュアエレメント群にデータを展開する役割を担っていてもよい。例えば、展開されるデータは、コマンドのスクリプト、新しいアプリケーション、アプリケーションのアップグレード版、或いはオペレーティングシステムそのもののアップグレード版であってもよい。展開されるデータはまた、新しい構成設定データ又は機密データ等の応用データであってもよい。
データには、あるセキュアエレメントの構成に適していて、他のセキュアエレメントの異なる構成とは互換性がないものがある。デバイス構成は、ハードウェアコンポーネント及び/又は組み込まれたソフトウェアエレメントに依存してもよい。例えば、デバイス構成は、オペレーティングシステムのバージョン、セキュアエレメントにインストールされているプロフィールデータ又は特定のデータによって規定されてもよい。サーバは、セキュアエレメントの構成と送信するデータとの間のいかなる不整合も処理しなければならない。また、サーバは、膨大な数のセキュアエレメントと通信する必要がある。
展開されるセキュアエレメントの構成の多様性は劇的に増している。この傾向により、既存のセキュアエレメントの群に正確にデータを展開するためにサーバが実行する必要がある処理の複雑性が増している。
サーバから遠隔セキュアエレメントへのデータの送信を管理する方法を改善する必要性がある。
サーバから遠隔セキュアエレメントへのデータの送信を管理する方法を改善する必要性がある。
(発明の概要)
本発明の目的は、上記の技術的課題を解決することである。
本発明の目的は、上記の技術的課題を解決することである。
本発明の目的は、ポイント・ツー・ポイント接続を介したサーバと遠隔セキュアエレメントとの間の通信方法である。遠隔セキュアエレメントは基準値を含む。この方法は、サーバに、複数のデータ及び複数の識別子からなるセットであって、複数のデータのそれぞれが複数の識別子に属する1つの識別子に関連付けられ、複数のデータが遠隔セキュアエレメントと互換性のある第1のデータと遠隔セキュアエレメントと互換性のない第2のデータとからなるセットを提供するステップと、セット全体をポイント・ツー・ポイント接続を介してサーバから遠隔セキュアエレメントに送信するステップと、遠隔セキュアエレメントにおいて、複数の識別子の各識別子について基準値に対する制御演算を実行し、制御演算に失敗した識別子に関連付けられたデータを破棄するステップと、を備える。
有利には、遠隔セキュアエレメントは、製造業者によって発行されていてもよく、デバイスリリースを有していてもよい。基準値は、製造業者又はデバイスリリースを反映していてもよい。
有利には、遠隔セキュアエレメントは、リリースバージョンを含むオペレーティングシステムを備えていてもよく、基準値は、リリースバージョンを反映していてもよい。
有利には、複数のデータのうちの1つのデータは、関連付けられた識別子の制御演算が成功した場合に遠隔セキュアエレメントにインストールされる実行可能なコンポーネントであってもよく、実行可能なコンポーネントは、オペレーティングシステムの動作を修正してもよい。
有利には、遠隔セキュアエレメントは、リリースバージョンを含むオペレーティングシステムを備えていてもよく、基準値は、リリースバージョンを反映していてもよい。
有利には、複数のデータのうちの1つのデータは、関連付けられた識別子の制御演算が成功した場合に遠隔セキュアエレメントにインストールされる実行可能なコンポーネントであってもよく、実行可能なコンポーネントは、オペレーティングシステムの動作を修正してもよい。
有利には、実行可能なコンポーネントは、ネイティブコンポーネントであってもよい。
有利には、ネイティブコンポーネントに関連付けられる識別子は、リリースバージョンの暗号ハッシュを用いることにより計算されてもよい。
有利には、複数のデータのうちの1つのデータは、関連付けられた識別子の制御演算が成功した場合に遠隔セキュアエレメント上で実行されるコマンドであってもよい。
有利には、遠隔セキュアエレメントは、制御演算に失敗した識別子に関連付けられたすべてのデータのリストを生成してもよく、このリストをサーバに送信してもよい。
有利には、ネイティブコンポーネントに関連付けられる識別子は、リリースバージョンの暗号ハッシュを用いることにより計算されてもよい。
有利には、複数のデータのうちの1つのデータは、関連付けられた識別子の制御演算が成功した場合に遠隔セキュアエレメント上で実行されるコマンドであってもよい。
有利には、遠隔セキュアエレメントは、制御演算に失敗した識別子に関連付けられたすべてのデータのリストを生成してもよく、このリストをサーバに送信してもよい。
本発明のもう1つの目的は、遠隔セキュアエレメントにデータを分配するように構成されるサーバである。サーバは、複数のデータ及び複数の識別子からなるセットを含む。複数のデータの各データは、複数の識別子に属する1つの識別子に関連付けられている。複数のデータは、遠隔セキュアエレメントと互換性のある第1のデータと、遠隔セキュアエレメントと互換性のない第2のデータの双方からなる。サーバは、セット全体をポイント・ツー・ポイント接続を介して遠隔セキュアエレメントに送信するように構成されている。
有利には、システムは、本発明のサーバと、このサーバと遠隔通信するように構成されたセキュアエレメントの群の双方からなる。各セキュアエレメントは、独自の基準値を備えていてもよく、ポイント・ツー・ポイントモードでサーバからセット全体を受信するように構成されていてもよい。セキュアエレメント群の各セキュアエレメントは、セットに含まれる各識別子について独自の基準値に対する制御演算を実行し、制御演算に失敗した識別子に関連付けられたデータを破棄するように構成されていてもよい。
本発明のその他の特徴や利点は、以下の複数の好適な実施形態の説明を対応する添付の図面を参照しながら読めば明らかとなる。
(図面の簡単な説明)
本発明によるサーバの一例を示す図。
本発明によるセキュアエレメントの一例を示す図。
本発明によるサーバとセキュアエレメントの群からなるシステムの一例を示す図。
本発明によるサーバから送信されるデータセットの一例を示す図。
本発明によるサーバから送信されるデータセットの別の例を示す図。
(好適な実施形態の詳細な説明)
本発明は、構成の異なる複数のセキュアエレメントと通信することが意図されたいずれのタイプのサーバに適用されてもよい。
本発明は、セキュアエレメントにロードされることが意図されたいずれのタイプのデータに適用されてもよい。例えば、ロードされるデータは、ファイル、HTMLページ、スクリプト、アプリケーション、アプリケーションのアップグレード版、ファームウェア、オペレーティングシステムのアップグレード版、応用データ又は機密データであってもよい。
本発明は、構成の異なる複数のセキュアエレメントと通信することが意図されたいずれのタイプのサーバに適用されてもよい。
本発明は、セキュアエレメントにロードされることが意図されたいずれのタイプのデータに適用されてもよい。例えば、ロードされるデータは、ファイル、HTMLページ、スクリプト、アプリケーション、アプリケーションのアップグレード版、ファームウェア、オペレーティングシステムのアップグレード版、応用データ又は機密データであってもよい。
図1は、本発明によるサーバSVの一例を示す。
この例では、サーバSVは、ポイント・ツー・ポイント接続を介して、1つの群FLに属する任意のセキュアエレメントと通信可能な通信インタフェースIN2を備えるコンピュータマシンである。例えば、サーバは、OTAを介したUICC等のセキュアエレメントとの通信チャネルを確立可能であってもよい。この場合、サーバは、携帯電話等のホストマシンを介してセキュアエレメントにアクセスする。サーバSVは、複数のセキュアエレメントに送信されるように意図されたデータD1及びD2からなるセットSTを備える。データD1は、1つのセキュアエレメントと互換性があるが、第2のデータD2は、このセキュアエレメントと互換性がない。第2のデータD2は、群FLの別のセキュアエレメントに適している。
この例では、サーバSVは、ポイント・ツー・ポイント接続を介して、1つの群FLに属する任意のセキュアエレメントと通信可能な通信インタフェースIN2を備えるコンピュータマシンである。例えば、サーバは、OTAを介したUICC等のセキュアエレメントとの通信チャネルを確立可能であってもよい。この場合、サーバは、携帯電話等のホストマシンを介してセキュアエレメントにアクセスする。サーバSVは、複数のセキュアエレメントに送信されるように意図されたデータD1及びD2からなるセットSTを備える。データD1は、1つのセキュアエレメントと互換性があるが、第2のデータD2は、このセキュアエレメントと互換性がない。第2のデータD2は、群FLの別のセキュアエレメントに適している。
サーバSVは、セットST全体を、ポイント・ツー・ポイント接続を介して接続され、群FLに属するセキュアエレメントSE1に送信するように構成された送信エレメントM1を備える。
例えば、セットSTは、スクリプトであってもよく、データD1及びD2は、群FLのセキュアエレメントで実行されるように意図されたコマンドである。
別の例では、データD1及びD2は、オペレーティングシステムコードの一部、又は汎用ロードコマンドによってロードされることが意図されたアプリケーションであってもよい。
例えば、セットSTは、スクリプトであってもよく、データD1及びD2は、群FLのセキュアエレメントで実行されるように意図されたコマンドである。
別の例では、データD1及びD2は、オペレーティングシステムコードの一部、又は汎用ロードコマンドによってロードされることが意図されたアプリケーションであってもよい。
セットSTは、データD1及びD2にそれぞれ関連付けられた識別子ID1及びID2を備える。
これらの識別子の各値によって、セキュアエレメントは、関連付けられたデータが各自の構成と互換性があるかどうかを判断することができる。識別子(タグ、フラグ又はマーカとも呼ばれる)は、例えば1または2バイトに符号化されていてもよい。
これらの識別子の各値によって、セキュアエレメントは、関連付けられたデータが各自の構成と互換性があるかどうかを判断することができる。識別子(タグ、フラグ又はマーカとも呼ばれる)は、例えば1または2バイトに符号化されていてもよい。
図2は、本発明によるセキュアエレメントSE1の一例を示す。
セキュアエレメントは、遠隔サーバSVにアクセスするホストマシンに接続される自律装置又は電子トークンであってもよい。セキュアエレメントはまた、耐タンパ装置に組み込まれた仮想セキュアエレメントであってもよい。
特に、セキュアエレメントは、プロセッサ、不揮発性メモリ、作業メモリ及びオペレーティングシステムを含んでいてもよい。オペレーティングシステムOSは、特に、Java(登録商標)Card仮想マシン、Java(登録商標)仮想マシン、又は.Net(登録商標)仮想マシン等の仮想マシンを備えていてもよい。プロセッサは、作業メモリと協働し、かつオペレーティングシステムを実行することが意図されている。
セキュアエレメントは、遠隔サーバSVにアクセスするホストマシンに接続される自律装置又は電子トークンであってもよい。セキュアエレメントはまた、耐タンパ装置に組み込まれた仮想セキュアエレメントであってもよい。
特に、セキュアエレメントは、プロセッサ、不揮発性メモリ、作業メモリ及びオペレーティングシステムを含んでいてもよい。オペレーティングシステムOSは、特に、Java(登録商標)Card仮想マシン、Java(登録商標)仮想マシン、又は.Net(登録商標)仮想マシン等の仮想マシンを備えていてもよい。プロセッサは、作業メモリと協働し、かつオペレーティングシステムを実行することが意図されている。
図2の例では、セキュアエレメントSE1は、ポイント・ツー・ポイント接続を介して図1のサーバSVと通信可能な通信インタフェースIN1を備えるデバイスである。この通信インタフェースは、非接触インタフェース又は接触インタフェースであってもよい。セキュアエレメントSE1は、遠隔サーバによって管理される群FLに属する。
セキュアエレメントSE1は、基準値RV1と、サーバSVから受信したセットに含まれる各識別子について独自の基準値RV1に対する制御演算を実行するように構成されたアナライザM2とを備える。アナライザM2は、制御演算に失敗した識別子に関連付けられたデータを破棄するように構成されている。すなわち、アナライザM2は、セキュアエレメントSE1と互換性のないデータが実行されないこと、及びセキュアエレメントSE1に永久保存されないことを保証する。
セキュアエレメントSE1は、基準値RV1と、サーバSVから受信したセットに含まれる各識別子について独自の基準値RV1に対する制御演算を実行するように構成されたアナライザM2とを備える。アナライザM2は、制御演算に失敗した識別子に関連付けられたデータを破棄するように構成されている。すなわち、アナライザM2は、セキュアエレメントSE1と互換性のないデータが実行されないこと、及びセキュアエレメントSE1に永久保存されないことを保証する。
図1のセットSTの例を参照すると、アナライザM2は、基準値RV1を使用して、どのコマンドがセキュアエレメントSE1に適しているかを判断する。好ましい実施形態では、アナライザM2は、各識別子の値と基準値RV1とを比較するだけで判断を行う。
1つの例では、基準値RV1は、セキュアエレメントSE1のオペレーティングシステムのリリースバージョンを反映していてもよい。
別の例では、基準値RV1は、セキュアエレメントSE1のデバイスリリースを反映していてもよい。デバイスリリースは、セキュアエレメントのハードウェア及び/又はソフトウェア機能の組み合わせに対応する。デバイスリリースは、セキュアエレメントの機能セットによって規定されていてもよい。
1つの例では、基準値RV1は、セキュアエレメントSE1のオペレーティングシステムのリリースバージョンを反映していてもよい。
別の例では、基準値RV1は、セキュアエレメントSE1のデバイスリリースを反映していてもよい。デバイスリリースは、セキュアエレメントのハードウェア及び/又はソフトウェア機能の組み合わせに対応する。デバイスリリースは、セキュアエレメントの機能セットによって規定されていてもよい。
例えば、デバイスリリースは、セキュアエレメントの世代番号(つまり、セキュアエレメントが属する範囲を特定する番号)又はセキュアエレメントに関連付けられた特定の計算番号に対応していてもよい。デバイスリリースはまた、NFC機能や暗号機能等の特定の機能を提供するコンポーネントの有無によって変化してもよい。デバイスリリースはまた、セキュアエレメントに実装される規格のバージョンに対応していてもよい。
別の例では、基準値RV1は、セキュアエレメントを提供する製造業者を反映していてもよい。
別の例では、基準値RV1は、前述した基準の任意の組み合わせを反映していてもよい。
すなわち、基準値によってセキュアエレメントの構成の特定が可能になる。
セキュアエレメントSE1は、アナライザM2によって実行されるあらゆる制御演算の結果を反映するレポートを生成するように構成された報告手段M3を備えていてもよい。例えば、報告手段M3は、制御演算に成功した受信セットのデータへの参照を含むリストを作成してもよい。あるいは、リストは、制御演算に失敗した受信セットのデータに対応していてもよい。
別の例では、基準値RV1は、前述した基準の任意の組み合わせを反映していてもよい。
すなわち、基準値によってセキュアエレメントの構成の特定が可能になる。
セキュアエレメントSE1は、アナライザM2によって実行されるあらゆる制御演算の結果を反映するレポートを生成するように構成された報告手段M3を備えていてもよい。例えば、報告手段M3は、制御演算に成功した受信セットのデータへの参照を含むリストを作成してもよい。あるいは、リストは、制御演算に失敗した受信セットのデータに対応していてもよい。
有利には、アナライザM2は、単純比較演算よりも複雑な関数を実行することにより制御演算を実行してもよい。例えば、アナライザM2は、識別子を暗号関数に適用して、次に基準値と比較される結果を得てもよい。
有利には、アナライザM2は、制御演算に失敗した識別子に関連付けられたデータを速やかに消去するように構成されていてもよい。
有利には、アナライザM2は、制御演算に失敗した識別子に関連付けられたデータを速やかに消去するように構成されていてもよい。
セキュアエレメントのオペレーティングシステムは、ネイティブコンポーネントに依存してもよい。ネイティブコンポーネントは、内蔵マイクロプロセッサに固有の言語で開発されたソフトウェアコンポーネントである。この固有の表現は、ネイティブコンポーネントが、Java(著作権)言語等の仮想マシンと関連付けられた言語で開発されていないことを意味する。例えば、ネイティブコンポーネントは、アセンブリ言語又はC言語で開発されていてもよい。したがって、ネイティブコンポーネントは、汎用コンポーネントではなく、多くのハードウェアプラットフォームと互換性がない。
別の例では、セットSTは、異なるハードウェアターゲットに対応するネイティブコンポーネントの集合体を備える。各識別子は、対象オペレーティングシステムの一部(または全体)の暗号ハッシュ関数の計算結果であってもよい。したがって、アナライザM2は、セキュアエレメントに格納されているオペレーティングシステムのハッシュを計算し、計算されたハッシュを受信したあらゆる識別子と比較することによって制御演算を実行してもよい。
有利には、識別子は、入力パラメータとして対象オペレーティングシステムのハッシュを考慮した特定の関数を用いて計算されてもよい。例えば、特定の関数は、以上のようなハッシュとデバイスリリースの参照との連結であってもよい。
有利には、識別子は、入力パラメータとして対象オペレーティングシステムのハッシュを考慮した特定の関数を用いて計算されてもよい。例えば、特定の関数は、以上のようなハッシュとデバイスリリースの参照との連結であってもよい。
別の例では、識別子は、セキュアエレメントで動作するオペレーティングシステムを構築したビルドバージョンに基づいていてもよい。
別の例では、セットSTは、JavaCard(著作権)等の高級言語で開発され、仮想マシンの異なるバージョンに対応するコンポーネントの集合体を備える。セットSTはまた、ネイティブコンポーネントと高級言語で開発されたコンポーネントを混合した集合体を備えていてもよい。
別の例では、セットSTは、JavaCard(著作権)等の高級言語で開発され、仮想マシンの異なるバージョンに対応するコンポーネントの集合体を備える。セットSTはまた、ネイティブコンポーネントと高級言語で開発されたコンポーネントを混合した集合体を備えていてもよい。
本発明によれば、各セキュアエレメントが、サーバから受信したセット全体から正しいデータを取り出すことができるようになっているため、好ましくない動作の変更を回避することによって、展開されたセキュアエレメントを保護することができる。
図3は、本発明によるサーバSVとセキュアエレメントの群FLとからなるシステムSYの一例を示す。
この例では、サーバSVは、図1に示されたサーバと類似している。サーバSVは、群FLのあらゆるセキュアエレメントに分配されることが意図されたデータセットSTを備える。
この例では、群FLは、4つのセキュアエレメントSE1、SE2、SE3、及びSE4を備える。各セキュアエレメントは、図2に示されたものと類似のアーキテクチャを有する。各セキュアエレメントは、独自の基準値を有する。例えば、セキュアエレメントSE1及びSE2は、オペレーティングシステムのバージョン1.2に対応する同じ基準値を有していてもよく、セキュアエレメントSE3は、バージョン1.3に対応する基準値を有し、セキュアエレメントSE4は、バージョン1.5に対応する基準値を有する。
有利には、サーバSVは、複数のセキュアエレメント群と通信し、分配される多くの異なるデータセットを管理してもよい。
この例では、サーバSVは、図1に示されたサーバと類似している。サーバSVは、群FLのあらゆるセキュアエレメントに分配されることが意図されたデータセットSTを備える。
この例では、群FLは、4つのセキュアエレメントSE1、SE2、SE3、及びSE4を備える。各セキュアエレメントは、図2に示されたものと類似のアーキテクチャを有する。各セキュアエレメントは、独自の基準値を有する。例えば、セキュアエレメントSE1及びSE2は、オペレーティングシステムのバージョン1.2に対応する同じ基準値を有していてもよく、セキュアエレメントSE3は、バージョン1.3に対応する基準値を有し、セキュアエレメントSE4は、バージョン1.5に対応する基準値を有する。
有利には、サーバSVは、複数のセキュアエレメント群と通信し、分配される多くの異なるデータセットを管理してもよい。
図4は、サーバSVから群FLのセキュアエレメントに送信されるデータセットST2の一例を示す。
この例では、セットST2は、順序付けられたコマンドのスクリプトである。このスクリプトは、識別子ID3に関連付けられた2つのコマンドD3及びD4、識別子ID4に関連付けられたコマンドD5、及び識別子ID5に関連付けられた3つのコマンドD6、D7、及びD8からなる。識別子ID3は、オペレーティングシステムのバージョン1.2に対応する値を有し、識別子ID4は、バージョン1.3に対応する値を有し、識別子ID5は、バージョン1.5に対応する値を有する。
この例では、セットST2は、順序付けられたコマンドのスクリプトである。このスクリプトは、識別子ID3に関連付けられた2つのコマンドD3及びD4、識別子ID4に関連付けられたコマンドD5、及び識別子ID5に関連付けられた3つのコマンドD6、D7、及びD8からなる。識別子ID3は、オペレーティングシステムのバージョン1.2に対応する値を有し、識別子ID4は、バージョン1.3に対応する値を有し、識別子ID5は、バージョン1.5に対応する値を有する。
図3の群FLの例を参照すると、セキュアエレメントSE1及びSE2は、完全なセットST2を受信し、識別子ID3に関連付けられたコマンドD3及びD4を実行する。セキュアエレメントSE1及びSE2は、コマンドD5〜D8を破棄する。同様に、セキュアエレメントSE3は、コマンドD5を実行し、スクリプトの他のコマンドを破棄する。セキュアエレメントSE4は、完全なセットST2を受信し、コマンドD6、D7及びD8を実行し、コマンドD3〜D5を破棄する。
図5は、サーバSVから群FLのセキュアエレメントに送信されるデータセットST3の一例を示す。
この例では、セットST3は、順序付けられたコマンドのスクリプトである。このスクリプトは、識別子IDA及びIDBに関連付けられたコマンドD9、識別子IDBに関連付けられたコマンドD10、及び識別子IDA、IDB及びIDCに関連付けられたコマンドD11からなる。
識別子IDAは、オペレーティングシステムのバージョン1.5に対応する値を有し、識別子IDBは、バージョン1.3に対応する値を有し、識別子IDCは、バージョン1.1に対応する値を有する。
この例では、セットST3は、順序付けられたコマンドのスクリプトである。このスクリプトは、識別子IDA及びIDBに関連付けられたコマンドD9、識別子IDBに関連付けられたコマンドD10、及び識別子IDA、IDB及びIDCに関連付けられたコマンドD11からなる。
識別子IDAは、オペレーティングシステムのバージョン1.5に対応する値を有し、識別子IDBは、バージョン1.3に対応する値を有し、識別子IDCは、バージョン1.1に対応する値を有する。
図3の群FLの例を参照すると、セキュアエレメントSE1及びSE2は、セットST3全体を受信し、コマンドを1つも実行せずにスクリプトの全コマンドを破棄する。これは、コマンドがこれらのセキュアエレメントの基準値に対応する値を有する識別子に関連付けられていないことによる。セキュアエレメントSE3は、コマンドD9、D10、及びD11を実行する。セキュアエレメントSE4は、コマンドD9及びD11のみを実行する。
有利には、サーバから送信されるセットは、添付されたデータはすべての受け手を対象としていることを示すワイルドカード識別子を含んでいてもよい。
有利には、サーバから送信されるセットは、添付されたデータはすべての受け手を対象としていることを示すワイルドカード識別子を含んでいてもよい。
UICCタイプのセキュアエレメントの場合には、識別子は、TS 102.226規格リリース9以降で定義されている拡張リモートアプリケーションデータフォーマットを使用して実装されてもよい。コマンドが連鎖するコマンドTLV(タグ‐長さ‐値)が、識別子の搬送に使用されてもよい。これらのコマンドTLVについては、TS 102.223規格リリース9以降に記載されている。特に、Comprehension−TLV(C−TLV)のメカニズムを拡張して、識別子を管理してもよい。
本発明によれば、対象セキュアエレメントがどんなに多様であっても、サーバは、送信されるデータセットの1つのバージョンを管理することができる。セキュアエレメントがサーバから送信された未対応コマンドの実行を試みるおそれはない。なぜなら、そのような実行の試みにより、最終的にはセキュアエレメントがロックしてしまうことを知っているためである。したがって、本発明は、例えばセキュアエレメントがホスティング装置にはんだ付けされている場合に、間違ったダウンロードが交換不可能なセキュアエレメントに決定的なダメージを与えてしまうことを回避する。
本発明によれば、サーバは、セキュアエレメントへのデータ送信のそれぞれに特別に適合したコンテンツを管理する必要がなくなる。
本発明は、セキュアエレメント自体の構成の誤った更新及び危険な更新を回避することにより、セキュアエレメントの自動保護を可能にする。
本発明は、セキュアエレメント自体の構成の誤った更新及び危険な更新を回避することにより、セキュアエレメントの自動保護を可能にする。
Claims (2)
- ポイント・ツー・ポイント接続を介したサーバ(SV)と基準値(RV1)を含む遠隔セキュアエレメント(SE1)との間の通信方法であって、前記方法は、
−前記遠隔セキュアエレメント(SE1)と互換性のある第1のコマンド(D1)と、前記遠隔セキュアエレメント(SE1)と互換性のない第2のコマンド(D2)とからなる複数のコマンド(D1,D2)と、前記複数のコマンド(D1,D2)の各コマンドが複数の識別子(ID1,ID2)に属する1つの識別子に関連付けられた、前記複数のコマンド(D1,D2)と前記複数の識別子(ID1,ID2)とからなるセット(ST)を前記サーバ(SV)に提供するステップと、
−前記セット(ST)全体をポイント・ツー・ポイント接続を介して前記サーバ(SV)から前記遠隔セキュアエレメント(SE1)に送信するステップと、
−前記遠隔セキュアエレメント(SE1)において、前記複数の識別子(ID1,ID2)の各識別子について前記基準値(RV1)に対する制御演算を実行し、前記制御演算に失敗した識別子に関連付けられたコマンドは破棄され、前記制御演算に成功した識別子に関連付けられたコマンドは、前記遠隔セキュアエレメント(SE1)上で実行されるステップとを備えることを特徴とする方法。 - サーバ(SV)と、ポイント・ツー・ポイント接続を介して前記サーバ(SV)と遠隔通信するように構成された遠隔セキュアエレメント(SE)の群(FL)とからなるシステム(SY)であって、
−前記サーバ(SV)は、
前記遠隔セキュアエレメント(SE)と互換性のある第1のコマンド(D1)と、前記遠隔セキュアエレメント(SE)と互換性のない第2のコマンド(D2)とからなる複数のコマンド(D1,D2)と、前記複数のコマンド(D1,D2)の各コマンドが複数の識別子(ID1,ID2)に属する1つの識別子に関連付けられた、前記複数のコマンド(D1,D2)と前記複数の識別子(ID1,ID2)とからなるセット(ST)を含み、前記セット(ST)全体をポイント・ツー・ポイント接続を介して前記遠隔セキュアエレメント(SE)に送信するように構成され、
−前記遠隔セキュアエレメント(SE)は、
それぞれ独自の基準値(RV1)を備え、前記サーバ(SV)から前記セット(ST)全体を受信するように構成され、前記群(FL)の各遠隔セキュアエレメント(SE)は、前記セット(ST)に含まれる各識別子について前記基準値(RV1)に対する制御演算を実行し、前記制御演算に失敗した識別子に関連付けられたコマンドは破棄し、前記制御演算に成功した識別子に関連付けられたコマンドは、前記遠隔セキュアエレメント(SE)上で実行するように構成されていることを特徴とするシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP13306272.9A EP2849464A1 (en) | 2013-09-17 | 2013-09-17 | Method of communicating between a server and a secure element |
| EP13306272.9 | 2013-09-17 | ||
| PCT/EP2014/069152 WO2015039923A1 (en) | 2013-09-17 | 2014-09-09 | Method of communicating between a server and a secure element |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016536701A JP2016536701A (ja) | 2016-11-24 |
| JP6259919B2 true JP6259919B2 (ja) | 2018-01-10 |
Family
ID=49301407
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016539577A Active JP6259919B2 (ja) | 2013-09-17 | 2014-09-09 | サーバとセキュアエレメント間の通信方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10033528B2 (ja) |
| EP (2) | EP2849464A1 (ja) |
| JP (1) | JP6259919B2 (ja) |
| ES (1) | ES2831384T3 (ja) |
| WO (1) | WO2015039923A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3086254A1 (en) * | 2015-04-22 | 2016-10-26 | Gemalto Sa | Method of managing applications in a secure element when updating the operating system |
| EP3239838A1 (en) * | 2016-04-25 | 2017-11-01 | Gemalto Sa | Method for sending a plurality of data from a server to a plurality of devices |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09138769A (ja) * | 1995-11-14 | 1997-05-27 | Mitsubishi Electric Corp | ソフトウェア配布システム及びソフトウェア配布方法 |
| JP2000309145A (ja) * | 1999-04-28 | 2000-11-07 | Ricoh Co Ltd | 画像形成装置の制御方法 |
| US6981245B1 (en) * | 2000-09-14 | 2005-12-27 | Sun Microsystems, Inc. | Populating binary compatible resource-constrained devices with content verified using API definitions |
| JP2003076555A (ja) * | 2001-09-06 | 2003-03-14 | Nec Eng Ltd | ソフトウェアのインストールシステム |
| GB0225649D0 (en) * | 2002-11-04 | 2002-12-11 | Transitive Technologies Ltd | Incremental validation |
| EP1632848A1 (en) * | 2004-09-06 | 2006-03-08 | Irdeto Access B.V. | Method of providing patches for software |
| US20080228865A1 (en) * | 2007-03-15 | 2008-09-18 | Nazareno Brier Cruzada | Electronic personal computing and videophone system consisting of a remote server system providing dynamic, subscription based virtual computing services & resources, a thin client hardware device connected to a television set and wireless keyboard & mouse, and a wireless mobile device (a Pocket PC Phone) |
| US20090191857A1 (en) * | 2008-01-30 | 2009-07-30 | Nokia Siemens Networks Oy | Universal subscriber identity module provisioning for machine-to-machine communications |
| JP2010113549A (ja) * | 2008-11-06 | 2010-05-20 | Dainippon Printing Co Ltd | Icカードおよびパッチコードの実行方法 |
| US8495621B2 (en) * | 2009-06-15 | 2013-07-23 | Microsoft Corporation | Catalog-based software component management |
| US9183415B2 (en) * | 2011-12-01 | 2015-11-10 | Microsoft Technology Licensing, Llc | Regulating access using information regarding a host machine of a portable storage drive |
| US20140073289A1 (en) * | 2012-09-11 | 2014-03-13 | Wavemax Corp. | 3g/4g mobile data offload via roaming in a network of shared protected/locked wi-fi access points |
-
2013
- 2013-09-17 EP EP13306272.9A patent/EP2849464A1/en not_active Withdrawn
-
2014
- 2014-09-09 JP JP2016539577A patent/JP6259919B2/ja active Active
- 2014-09-09 US US15/022,485 patent/US10033528B2/en active Active
- 2014-09-09 WO PCT/EP2014/069152 patent/WO2015039923A1/en active Application Filing
- 2014-09-09 ES ES14761644T patent/ES2831384T3/es active Active
- 2014-09-09 EP EP14761644.5A patent/EP3047660B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP3047660A1 (en) | 2016-07-27 |
| JP2016536701A (ja) | 2016-11-24 |
| US10033528B2 (en) | 2018-07-24 |
| EP3047660B1 (en) | 2020-08-19 |
| WO2015039923A1 (en) | 2015-03-26 |
| US20160234013A1 (en) | 2016-08-11 |
| EP2849464A1 (en) | 2015-03-18 |
| ES2831384T3 (es) | 2021-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11968100B2 (en) | Service enabler function | |
| CN108830720B (zh) | 智能合约运行方法、装置、***和计算机可读存储介质 | |
| EP2862065B1 (en) | Intermediary virtual machine task management | |
| US10270648B2 (en) | Configuration information management method, device, network element management system and storage medium | |
| CN100527080C (zh) | 软件程序同步的方法 | |
| EP3337219B1 (en) | Carrier configuration processing method, device and system, and computer storage medium | |
| WO2017071207A1 (zh) | 一种应用安装方法、相关装置及应用安装*** | |
| WO2015117527A1 (zh) | 升级方法及装置 | |
| EP2854028A1 (en) | Associated plugin management method, device and system | |
| US20220052866A1 (en) | Smart home system control method and apparatus, electronic device | |
| JP6793667B2 (ja) | アプリケーションダウンロード方法及び装置 | |
| EP2746963A1 (en) | Method and system for identifying file type | |
| US9760528B1 (en) | Methods and systems for creating a network | |
| JP6259919B2 (ja) | サーバとセキュアエレメント間の通信方法 | |
| CN112559124A (zh) | 一种模型管理***以及目标操作指令的处理方法和装置 | |
| CN116700751A (zh) | 一种服务器固件的升级方法及计算设备 | |
| CN104079540A (zh) | 应用更新方法、装置及***、用户设备 | |
| US10979287B2 (en) | Method and apparatus for receiving a solution when configuration function verification fails in a terminal | |
| KR102506155B1 (ko) | 전자장치, 어플리케이션 실행 시스템 및 그 제어방법 | |
| CN110851161B (zh) | 一种智能家居设备的固件更新方法 | |
| KR20150088462A (ko) | 클라우드 환경에서 네트워크 장치의 연동 방법 및 장치 | |
| WO2016206437A1 (zh) | Rom包生成方法及装置 | |
| CN111736859B (zh) | 操作***的版本更新方法、服务器以及终端 | |
| KR101351867B1 (ko) | 소프트웨어 및 어플리케이션 제어 관리 객체에서의 단계 실행 결과를 처리하는 방법 | |
| CN104424153B (zh) | 一种对usb接口的音视频设备数据采集***及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170330 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170418 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170605 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171205 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171211 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6259919 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |