ES2913023T3 - Método para gestionar un dispositivo a prueba de manipulaciones que comprende una pluralidad de contenedores de software - Google Patents

Método para gestionar un dispositivo a prueba de manipulaciones que comprende una pluralidad de contenedores de software Download PDF

Info

Publication number
ES2913023T3
ES2913023T3 ES18811039T ES18811039T ES2913023T3 ES 2913023 T3 ES2913023 T3 ES 2913023T3 ES 18811039 T ES18811039 T ES 18811039T ES 18811039 T ES18811039 T ES 18811039T ES 2913023 T3 ES2913023 T3 ES 2913023T3
Authority
ES
Spain
Prior art keywords
software container
activating agent
tamper
software
proof device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES18811039T
Other languages
English (en)
Inventor
François Bogusz
Fabien Courtiade
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales Dis Holding Singapore Pte Ltd Branch Office
Thales DIS France SAS
Original Assignee
Thales Dis Holding Singapore Pte Ltd Branch Office
Thales DIS France SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales Dis Holding Singapore Pte Ltd Branch Office, Thales DIS France SAS filed Critical Thales Dis Holding Singapore Pte Ltd Branch Office
Application granted granted Critical
Publication of ES2913023T3 publication Critical patent/ES2913023T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/183Processing at user equipment or user record carrier
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45504Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
    • G06F9/45508Runtime interpretation or emulation, e g. emulator loops, bytecode interpretation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • H04W48/04Access restriction performed under specific conditions based on user or terminal location or mobility data, e.g. moving direction, speed
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Software Systems (AREA)
  • Telephone Function (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)

Abstract

Un método para gestionar un dispositivo (30) a prueba de manipulaciones que comprende primer y segundo contenedores (32, 34) de software, estando incluido dicho dispositivo (30) a prueba de manipulaciones en un dispositivo anfitrión (80) que comprende una unidad (10) de banda base que incluye un agente activador (12), caracterizado por que dicho primer contenedor (32) de software emula una eUICC y estando en estado desactivado, por que el segundo contenedor de software comprende un conjunto (36) de reglas, por que el agente activador recupera ambos datos de ubicación difundidos por una red de telecomunicaciones sin autentificarse en la red de telecomunicaciones y dicho conjunto de reglas desde el segundo contenedor de software, por que el agente activador (12) verifica si la activación del primer contenedor de software está autorizada por una de dichas reglas para los datos de ubicación, y por que el agente activador (12) solicita la activación del primer contenedor de software solo en caso de verificación exitosa ejecutando una secuencia de comandos.

Description

DESCRIPCIÓN
Método para gestionar un dispositivo a prueba de manipulaciones que comprende una pluralidad de contenedores de software
Campo de la invención
La presente invención se refiere a métodos para gestionar un dispositivo a prueba de manipulaciones que comprende una pluralidad de contenedores de software. Se refiere particularmente a métodos para gestionar la activación de los contenedores de software.
Antecedentes de la invención
Un dispositivo a prueba de manipulaciones, también llamado elemento seguro, es un componente físico capaz de almacenar datos y proporcionar servicios de manera segura. En general, un dispositivo a prueba de manipulaciones tiene una cantidad limitada de memoria, un procesador con capacidades limitadas y carece de batería. Por ejemplo, una UICC (tarjeta de circuito integrado universal) es un dispositivo a prueba de manipulaciones que integra aplicaciones SIM para fines de telecomunicaciones. Se puede instalar un dispositivo a prueba de manipulaciones, de manera fija o no, en un terminal, como un teléfono móvil, por ejemplo. En algunos casos, los terminales están constituidos por máquinas que se comunican con otras máquinas para aplicaciones M2M (Máquina a Máquina). Un dispositivo a prueba de manipulaciones puede ser en el formato de una tarjeta inteligente, o puede ser en cualquier otro formato, tal como, por ejemplo, pero sin limitarse a un chip empaquetado como se describe en el documento PCT/SE2008/050380, o cualquier otro formato.
Se conoce unir o soldar el dispositivo a prueba de manipulaciones en un dispositivo anfitrión, para que dependa de este dispositivo anfitrión. Esto se realiza en aplicaciones M2M (Máquina a Máquina). El mismo objetivo se alcanza cuando un chip (un dispositivo a prueba de manipulaciones) que contiene una aplicación de pago, aplicaciones SIM o USIM y archivos asociados está contenido en el dispositivo anfitrión. El chip se suelda, por ejemplo, a la placa madre del dispositivo o máquina anfitrión y constituye una UICC integrada (eUICC).
Un dispositivo a prueba de manipulaciones como una UICC integrada (eUICC) puede contener varios perfiles de telecomunicaciones (suscripciones) unidos a uno o varios operadores de telecomunicaciones. Tales dispositivos a prueba de manipulaciones deben cumplir con el estándar de especificación técnica GSMA SGP .22 RSP debido a razones de interoperabilidad.
También se conoce el uso de dispositivos a prueba de manipulaciones que tienen un estándar de especificación de tarjeta GlobalPlatform. Tales dispositivos a prueba de manipulaciones - incluyendo el elemento seguro integrado (o eSE) - pueden contener aplicaciones no de telecomunicaciones como aplicaciones de pago o aplicaciones de acceso.
Hasta ahora estos dos tipos de dispositivo a prueba de manipulaciones se implementan a través de componentes físicos separados. Hoy en día, una nueva necesidad emerge: integrar ambas características de una eUICC y de una eSE en un único dispositivo a prueba de manipulaciones.
En algunos países, la ley o el acuerdo comercial y la política entre el operador de red OEM y móvil prohíbe el despliegue de productos eUICC. Debido a los requisitos de la cadena de suministro y de la de la industrialización, existe la necesidad de insertar un tipo único de dispositivo a prueba de manipulaciones en equipos de telecomunicaciones y activar o no la eUICC según el país donde se encuentra el equipo de telecomunicaciones. El documento US 2016/0246611 A1 describe un método para seleccionar una suscripción de telecomunicaciones en un dispositivo móvil. Existe la necesidad de gestionar la activación de un contenedor de software integrado en un único dispositivo a prueba de manipulaciones.
Resumen de la invención
La invención tiene como objetivo resolver el problema técnico mencionado anteriormente.
El objeto de la presente invención es un método para gestionar un dispositivo a prueba de manipulaciones que comprende un primer y segundo contenedores de software. El dispositivo a prueba de manipulaciones está incluido en un dispositivo anfitrión que comprende una unidad de banda base. Dicho primer contenedor de software está diseñado para emular una eUICC. Dicho primer contenedor de software está en un estado desactivado. Dicho segundo contenedor de software comprende un conjunto de reglas. La unidad de banda base comprende un agente activador que recupera datos de ubicación difundidos por una red de telecomunicaciones y que recupera el conjunto de reglas del segundo contenedor de software. El agente activador verifica si la activación del primer contenedor de software está autorizada por una regla de dicho conjunto para los datos de ubicación. El agente activador solicita la activación del primer contenedor de software solo en caso de comprobación exitosa.
Ventajosamente, los datos de ubicación pueden comprender al menos uno del siguiente grupo: identificador de país e identificador de red.
Ventajosamente, dicho primer contenedor de software puede comprender al menos un perfil de telecomunicación compatible con GSMA SGP .22 RSP y dicho segundo contenedor de software puede comprender un dominio de seguridad compatible con el estándar de especificación de tarjeta GlobalPlatform.
Ventajosamente, el agente activador puede solicitar la activación del primer contenedor de software ejecutando una secuencia de comandos precalculada con claves estáticas. La secuencia de comandos puede comprender los siguientes comandos ordenados:
- seleccionar un dominio de seguridad de administración ubicado en el dispositivo a prueba de manipulaciones,
- establecer un canal seguro entre el dominio de seguridad de administración y dicho agente activador, - enviar, a través del canal seguro, un comando de activación que pretende activar el primer contenedor de software.
Ventajosamente, el dispositivo a prueba de manipulaciones puede ser un elemento seguro incrustado, un elemento seguro integrado, un enclave seguro, una tarjeta inteligente o un dispositivo máquina a máquina.
Otro objeto de la invención es una unidad de banda base para gestionar un dispositivo a prueba de manipulaciones que comprende un primer y segundo contenedores de software. La unidad de banda base y el dispositivo a prueba de manipulaciones se incluyen en un dispositivo anfitrión. Dicho primer contenedor de software está diseñado para emular una eUICC. La unidad de banda base comprende un agente activador configurado para recuperar datos de ubicación difundidos por una red de telecomunicaciones y para recuperar el conjunto de reglas desde el segundo contenedor de software. El agente activador está configurado para verificar si la activación del primer contenedor de software está autorizada por una regla del conjunto para los datos de ubicación. El agente activador está configurado para activar el primer contenedor de software solo en caso de verificación exitosa.
Ventajosamente, los datos de ubicación pueden comprender al menos uno del siguiente grupo: identificador de país e identificador de red.
Ventajosamente, dicho primer contenedor de software puede comprender un perfil de telecomunicación compatible con GSMA SGP .22 RSP y dicho segundo contenedor de software puede comprender un dominio de seguridad compatible con el estándar de especificación de tarjeta GlobalPlatform.
Ventajosamente, el agente activador puede configurarse para solicitar la activación del primer contenedor de software ejecutando una secuencia de comandos precalculada con claves estáticas, comprendiendo dicha secuencia de comandos los siguientes comandos ordenados:
- selección de un dominio de seguridad de administración ubicado en el dispositivo a prueba de manipulaciones, - establecimiento de un canal seguro entre el dominio de seguridad de administración y dicho agente activador, y - envío de, a través del canal seguro, un comando de activación que pretende activar el primer contenedor de software.
Ventajosamente, el dispositivo a prueba de manipulaciones puede ser un elemento seguro incrustado, un elemento seguro integrado, un enclave seguro, una tarjeta inteligente o un dispositivo máquina a máquina.
Otro objeto de la invención es un dispositivo de telecomunicaciones que incorpora una unidad de banda base según la invención.
Breve descripción de los dibujos
Otras características y ventajas de la presente invención surgirán más claramente a partir de una lectura de la siguiente descripción de una serie de realizaciones preferidas de la invención con referencia a los dibujos adjuntos correspondientes, en los que:
- La Figura 1 es un ejemplo de arquitectura de hardware de un dispositivo anfitrión que comprende un dispositivo a prueba de manipulaciones y una unidad de banda base según la invención;
- la Figura 2 es un ejemplo de conjunto de reglas almacenadas en un dispositivo a prueba de manipulaciones según la invención; y
- la Figura 3 representa un ejemplo de diagrama de flujo para gestionar la activación de un contenedor de software en un dispositivo a prueba de manipulaciones según la invención.
Descripción detallada de las realizaciones preferidas
La invención puede aplicarse a cualquier tipo de dispositivos a prueba de manipulaciones o elementos seguros destinados a contener varios contenedores de software y poder comunicarse con una unidad de banda base. El dispositivo a prueba de manipulaciones puede acoplarse a cualquier tipo de máquina anfitrión. Por ejemplo, la máquina anfitrión puede ser un teléfono móvil, un vehículo, un medidor, una máquina tragaperras, una TV, una tableta, un ordenador portátil, un reloj conectado o un ordenador.
El dispositivo a prueba de manipulaciones puede ser un embedded secure element (elemento seguro incrustado -eSE), un integrated secure element (elemento seguro integrado - iSE), un enclave seguro, una tarjeta inteligente o un dispositivo máquina a máquina. Un elemento seguro integrado es un elemento seguro integrado en un elemento de hardware que proporciona funcionalidades adicionales distintas de las características del elemento de seguridad. Por ejemplo, un módem de banda base puede comprender un iSE. Se puede encontrar más información relacionada con el eSE y el iSE en las Especificaciones de la plataforma Javacard Platform Classic v3.0.5 y Global Platform Card v2.3.
Se pueden almacenar uno o varios perfiles de operador móvil dentro de los dominios de seguridad dentro de la eUICC. Debe observarse que la operación de activación de la eUICC es significativamente diferente de la operación de activación de un perfil de telecomunicaciones (es decir, suscripción).
La Figura 1 muestra un ejemplo de arquitectura de hardware de un dispositivo anfitrión 80 que comprende un dispositivo 3 a prueba de manipulaciones y una unidad 10 de banda base según la invención.
En este ejemplo, el dispositivo anfitrión 80 es un teléfono móvil, el dispositivo 30 a prueba de manipulaciones es un elemento seguro soldado al teléfono móvil 80. Por ejemplo, el dispositivo 30 a prueba de manipulaciones puede ser un chip integrado en el teléfono inteligente 80.
El teléfono móvil 80 comprende un procesador 40 de aplicaciones que incluye un OS Rich 42, un Trusted Execution Enviroment (entorno 44 de ejecución de confianza - TEE) y una Radio Interface Layer (capa 46 de interfaz de radio (RIL). El teléfono móvil 80 también comprende un controlador NFC 50 (también llamado c LF) conectado tanto al OS Rich 42 (a través de una conexión por cable usando el protocolo I2C) como el dispositivo 30 a prueba de manipulaciones a través de una conexión por cable usando el protocolo SWP).
El dispositivo 30 a prueba de manipulaciones comprende un procesador, una memoria de trabajo, una memoria no volátil y una interfaz de comunicación. La memoria de trabajo puede ser una RAM y la memoria no volátil puede ser una memoria flash. En este ejemplo, la interfaz de comunicación está diseñada para transmitir datos según varios protocolos de comunicación: SWP con el controlador NFC 50, Serial Peripheral Interface (interfaz periférica serie - SPI) con el protocolo TEE 44 e ISO 7816-3 T=0 con la unidad 10 de banda base.
La memoria no volátil comprende el sistema operativo del dispositivo 30 a prueba de manipulaciones y dos contenedores 32 y 34 de software. Estos contenedores de software están separados y gestionados por el sistema operativo como entidades aisladas. En otras palabras, el sistema operativo puede garantizar que un contenedor de software no pueda acceder indebidamente a datos que pertenecen a otro contenedor de software.
El sistema operativo está diseñado para activar y desactivar al menos un contenedor de software.
El contenedor 32 de software está diseñado para emular una eUICC. En otras palabras, el contenedor 32 de software está configurado para proporcionar una entidad externa con todas las características y servicios de una eUICC como se define por el estándar GSMA SGP .22 RSP Especificación técnica V2.1. El contenedor 32 de software puede almacenar datos relacionados con una o más suscripciones de operadores de telecomunicaciones compatibles con el estándar GSMA SGP .22 RSP Especificación técnica V2.1.
El contenedor 34 de software (eSE) almacena un dominio de seguridad (un perfil) relacionado con el emisor del teléfono móvil 80 o un Original Equipment Manufacturer (fabricante de equipos original - OEM). La estructura de este perfil es compatible con el estándar de tarjeta GlobalPlatform Especificación V2.3. Además, el contenedor 34 de software contiene un dominio 38 de seguridad de administración y un conjunto 36 de reglas relacionadas con la activación del contenedor 32 de software. Se proporciona un ejemplo detallado en la Figura 2.
Debe observarse que el contenedor 34 de software no contiene necesariamente un perfil relacionado con el emisor del teléfono móvil. Puede contener cualquier perfil que esté relacionado con un actor no de telecomunicaciones. El teléfono móvil 80 también comprende una ranura SIM 20 capaz de conectar una SIM/UICC extraíble 25.
La unidad 10 de banda base (también llamada módem de banda base) comprende dos interfaces de comunicación INT1 e INT2 adaptados para establecer comunicación usando el protocolo ISO 7816-3 T=0 o T=1 con el dispositivo 30 a prueba de manipulaciones y la ranura SIM 20.
La unidad 10 de banda base comprende un agente activador 12 implementado preferentemente como un programa de software destinado a ser ejecutado por un procesador de la unidad 10 de banda base. Alternativamente, puede implementarse como un ASIC específico.
El agente activador 12 está adaptado para recuperar datos de ubicación difundidos por una red de telecomunicaciones. Por ejemplo, puede recuperar el Mobile Country Code (Código de País Móvil - MCC) y/o el Mobile Network Code (Código de Red Móvil - MNC) de un elemento 90 de la red de telecomunicaciones. Debe observarse que dicha operación de recuperación puede llevarse a cabo sin autentificarse en la red de telecomunicaciones.
El agente activador 12 puede usar la SIM extraíble 25 para obtener el MCC y/o MNC.
El agente activador 12 está adaptado para recuperar el conjunto 36 de reglas desde el contenedor 34 de software. Puede enviar un comando de lectura usando el protocolo ISO 7816-3 T=0, por ejemplo. Preferentemente, el acceso al contenido del contenedor 34 de software se fija mediante credenciales específicas y el agente activador 12 usa dichas credenciales específicas para generar el comando de lectura.
El agente activador 12 está adaptado para verificar si la activación del contenedor 32 de software está autorizada por una regla del conjunto 36 para los datos de ubicación (recuperados de la red de telecomunicaciones). Típicamente, el agente activador 12 escanea el conjunto 36 hasta que encuentra la regla para aplicar los datos de ubicación objetivo.
El agente activador 12 está adaptado para activar el contenedor 32 de software solo en caso de comprobación exitosa. En otras palabras, el agente activador 12 está diseñado para solicitar la activación del contenedor 32 de software solo si encuentra una regla relativa a los datos de ubicación que autorizan dicha activación.
En este ejemplo, el agente activador 12 está adaptado para solicitar la activación del contenedor 32 de software ejecutando una secuencia de comandos que se ha calculado previamente con claves estáticas y preinstalada en la unidad 10 de banda base. Los comandos de la secuencia de comandos se dirigen al dominio 38 de seguridad de administración. La secuencia de comandos comprende una secuencia de comandos ordenados:
- selección de un dominio 38 de seguridad de administración ubicado en el dispositivo 30 a prueba de manipulaciones,
- establecimiento de un canal seguro entre el dominio 38 de seguridad de administración y el agente activador 12, - envío a través del canal seguro de una orden de activación con el objetivo de activar el contenedor 32 de software.
Los comandos de la secuencia de comandos se cifran y se firman usando las claves estáticas. Por lo tanto, las series de comandos pueden ejecutarse de manera segura por el dispositivo a prueba de manipulaciones sin requerir una conexión (y autentificación) a la red de telecomunicaciones.
Cabe señalar que se puede desplegar una única secuencia de comandos precalculada y ejecutarse en un lote de teléfonos móviles siempre que el mismo conjunto de claves estáticas se haya desplegado en el dominio de seguridad de administración del dispositivo a prueba de manipulaciones de cada teléfono móvil que pertenece al lote.
Preferentemente, el contenedor 32 de software está en estado desactivado cuando se emite el teléfono móvil 80. Siempre que el agente activador 12 no encuentre una regla autorizando la activación para los datos de ubicación actuales, el contenedor 32 de software permanece desactivado.
En una realización, el agente activador 12 activa automáticamente el proceso de activación del contenedor de software tan pronto como el teléfono móvil 80 ingrese a un área cubierta por una red de telecomunicaciones.
En otra realización, el agente activador 12 activa automáticamente el proceso de activación del contenedor de software tan pronto como el teléfono móvil 80 ingrese a una nueva célula de una red de telecomunicaciones. En otra realización, el uso del teléfono móvil 80 puede requerir que el agente activador 12 active el proceso de activación del contenedor de software.
En una realización adicional, el agente activador 12 puede recibir un mensaje aunque la red de telecomunicaciones que hace que el agente activador 12 active el proceso de activación del contenedor de software.
Ventajosamente, el agente activador 12 está adaptado para solicitar la desactivación del contenedor 32 de software. Por ejemplo, si el agente activador 12 detecta un cambio de país, puede llevar a cabo la comprobación del conjunto 36 de reglas y solicitar la desactivación del contenedor 32 de software si ninguna regla autoriza que el contenedor 32 de software esté en estado activado.
De forma ventajosa, el dominio 38 de seguridad de administración puede configurarse para permitir la actualización segura del conjunto 36 por un servidor remoto. El dominio 38 de seguridad de administración puede usarse para realizar - en la posterior emisión - una actualización segura del conjunto 36 de reglas definidas a la emisión de elementos seguros.
La Figura 2 muestra un ejemplo del conjunto 36 de reglas almacenadas en un dispositivo 30 a prueba de manipulaciones según la invención.
En este ejemplo, el conjunto se almacena en una tabla que comprende tres columnas: MCC, MNC y “ ¿Autorizado?” . La columna “ ¿autorizado?” especifica la combinación de MCC/MNC para la que está autorizado el estado de activación para el contenedor 32 de software.
Cada línea es una regla. Por ejemplo, el contenedor 32 de software no puede estar en estado activo para la combinación MCC_2 y MNC_2.
En otra realización, la tabla puede estar desprovista de la columna MNC. En tal caso, solo se tiene en cuenta el identificador de país para identidad la regla aplicable.
En otra realización, el dispositivo 30 a prueba de manipulaciones puede comprender al menos un contenedor de software adicional que puede activarse/desactivarse y la tabla puede comprender una columna adicional que especifica el contenedor de software al que se aplica la regla.
En otra realización, el conjunto 36 puede implementarse como una lista o una base de datos.
La Figura 3 representa un ejemplo de diagrama de flujo para gestionar la activación de un contenedor de software en un dispositivo a prueba de manipulaciones según la invención.
En la etapa S20, el teléfono móvil 80 entra en el área cubierta por una red de telecomunicaciones.
En la etapa S21, el agente activador 12 se activa por la detección de la red de telecomunicaciones. Recupera los datos de ubicación de la red de telecomunicaciones. Dichos datos de ubicación comprenden un código de país (Ej: MCC) y/o un identificador de red (Ej: MNC).
En la etapa S22, el agente activador 12 recupera un conjunto 36 de reglas desde el contenedor 34 de software. En la etapa S23, el agente activador 12 verifica si la activación del contenedor 32 de software está autorizada en relación con los datos de ubicación.
Si ninguna regla especifica que el contenedor 32 de software puede estar en estado activo, el contenedor 32 de software permanece desactivado o el agente activador 12 solicita la desactivación del contenedor 32 de software. (Etapa S25) Si una regla especifica que el contenedor 32 de software puede estar en estado activo, el contenedor 32 de software solicita la activación del contenedor 32 de software en la Etapa S24.
El dispositivo 30 a prueba de manipulaciones puede comprender más de dos contenedores de software.
La arquitectura del teléfono móvil 80 se proporciona únicamente como ejemplo. La invención no se limita al teléfono móvil y puede aplicarse a cualquier dispositivo anfitrión que comprenda tanto una unidad de banda base como un dispositivo a prueba de manipulaciones.
Gracias a la invención, el contenedor de software que comprende una eUlCC puede activarse en el campo sin solicitar autentificarse a una red de telecomunicaciones.

Claims (13)

  1. REIVINDICACIONES
    i. Un método para gestionar un dispositivo (30) a prueba de manipulaciones que comprende primer y segundo contenedores (32, 34) de software, estando incluido dicho dispositivo (30) a prueba de manipulaciones en un dispositivo anfitrión (80) que comprende una unidad (10) de banda base que incluye un agente activador (12), caracterizado por que dicho primer contenedor (32) de software emula una eUICC y estando en estado desactivado,
    por que el segundo contenedor de software comprende un conjunto (36) de reglas, por que el agente activador recupera ambos datos de ubicación difundidos por una red de telecomunicaciones sin autentificarse en la red de telecomunicaciones y dicho conjunto de reglas desde el segundo contenedor de software,
    por que el agente activador (12) verifica si la activación del primer contenedor de software está autorizada por una de dichas reglas para los datos de ubicación,
    y por que el agente activador (12) solicita la activación del primer contenedor de software solo en caso de verificación exitosa ejecutando una secuencia de comandos.
  2. 2. El método según la reivindicación 1, en donde el agente activador solicita la activación del primer contenedor de software ejecutando una secuencia de comandos que se ha instalado previamente en la unidad de banda base y ambos se cifran y se firman con claves estáticas, y en donde dicha secuencia de comandos comprende los siguientes comandos ordenados:
    - seleccionar un dominio (38) de seguridad de administración ubicado en el dispositivo (30) a prueba de manipulaciones,
    - establecer un canal seguro entre el dominio de seguridad de administración y dicho agente activador (12),
    - enviar a través del canal seguro de una orden de activación destinada a activar el primer contenedor de software.
  3. 3. El método según la reivindicación 1, en donde el agente activador (12) solicita la desactivación del primer contenedor de software si ninguna de dichas reglas especifica que dicho primer contenedor de software está autorizado para estar en estado activo.
  4. 4. El método según la reivindicación 1, en donde los datos de ubicación comprenden al menos uno del siguiente grupo: identificador de país e identificador de red.
  5. 5. El método según una cualquiera de las reivindicaciones 1 a 4, en donde dicho primer contenedor (32) de software comprende uno o más perfiles de telecomunicación compatibles con el estándar de especificación técnica GSMA SGP .22 RSP y dicho segundo contenedor (34) de software comprende un dominio de seguridad compatible con el estándar de especificación de tarjeta GlobalPlatform.
  6. 6. El método según una cualquiera de las reivindicaciones 1 a 5, en donde el dispositivo a prueba de manipulaciones es un elemento seguro incrustado, un elemento seguro integrado, un enclave seguro, una tarjeta inteligente o un dispositivo de máquina a máquina.
  7. 7. Un sistema que comprende una unidad (10) de banda base y un dispositivo (30) a prueba de manipulaciones que comprende primer y segundo contenedores (32, 34) de software, estando adaptada dicha unidad de banda base para gestionar el dispositivo a prueba de manipulaciones, estando dicha unidad de banda base y dispositivo a prueba de manipulaciones incluidos en un dispositivo anfitrión (80), comprendiendo la unidad (10) de banda base un agente activador (12),
    caracterizado por que dicho primer contenedor (32) de software está diseñado para emular una eUICC y está en un estado desactivado, por que dicho agente activador (12) está configurado para recuperar unos datos de ubicación difundidos por una red de telecomunicaciones sin autentificarse en la red de telecomunicaciones y para recuperar un conjunto de reglas desde el segundo contenedor de software,
    por que el agente activador (12) está configurado para comprobar si la activación del primer contenedor de software está autorizada por una de dichas reglas para los datos de ubicación, y por que el agente activador (12) está configurado para activar el primer contenedor de software solo en el caso de verificación correcta ejecutando una secuencia de comandos.
  8. 8. El sistema según la reivindicación 7, en donde el agente activador (12) está configurado para solicitar la activación del primer contenedor de software ejecutando una secuencia de comandos que ha sido preinstalada en la unidad de banda base y ambos cifrados y firmados con claves estáticas, y en donde dicha secuencia de comandos comprende los siguientes comandos ordenados:
    - seleccionar un dominio (38) de seguridad de administración ubicado en el dispositivo (30) a prueba de manipulaciones,
    - establecer un canal seguro entre el dominio de seguridad de administración y dicho agente activador (12), - enviar a través del canal seguro de una orden de activación destinada a activar el primer contenedor de software.
  9. 9. El sistema según la reivindicación 7, en donde el agente activador (12) está adaptado para solicitar la desactivación del primer contenedor de software si ninguna de dichas reglas especifica que dicho primer contenedor de software está autorizado para estar en estado activo.
  10. 10. El sistema según la reivindicación 7, en donde los datos de ubicación comprenden al menos uno del siguiente grupo: identificador de país e identificador de red.
  11. 11. El sistema según una cualquiera de las reivindicaciones 7 a 10, en donde dicho primer contenedor (32) de software comprende un perfil de telecomunicación compatible con el estándar de especificación técnica GSMA SGP .22 RSP y dicho segundo contenedor (34) de software comprende un dominio de seguridad compatible con el estándar de especificación de tarjeta GlobalPlatform.
  12. 12. Un dispositivo (80) de telecomunicaciones que integra un sistema según una cualquiera de las reivindicaciones 7 a 11.
  13. 13. El dispositivo de telecomunicaciones según la reivindicación 12, en donde el dispositivo a prueba de manipulaciones es un elemento seguro incrustado, un elemento seguro integrado, un enclave seguro, una tarjeta inteligente o un dispositivo de máquina a máquina.
ES18811039T 2017-12-13 2018-12-04 Método para gestionar un dispositivo a prueba de manipulaciones que comprende una pluralidad de contenedores de software Active ES2913023T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP17306765.3A EP3499938A1 (en) 2017-12-13 2017-12-13 Method of managing a tamper-proof device comprising a plurality of software containers
PCT/EP2018/083513 WO2019115294A1 (en) 2017-12-13 2018-12-04 Method of managing a tamper-proof device comprising a plurality of software containers

Publications (1)

Publication Number Publication Date
ES2913023T3 true ES2913023T3 (es) 2022-05-30

Family

ID=61249471

Family Applications (1)

Application Number Title Priority Date Filing Date
ES18811039T Active ES2913023T3 (es) 2017-12-13 2018-12-04 Método para gestionar un dispositivo a prueba de manipulaciones que comprende una pluralidad de contenedores de software

Country Status (4)

Country Link
US (1) US11533620B2 (es)
EP (2) EP3499938A1 (es)
ES (1) ES2913023T3 (es)
WO (1) WO2019115294A1 (es)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113886773B (zh) * 2021-08-23 2025-01-03 阿里巴巴(中国)有限公司 数据处理方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE530640C2 (sv) 2007-04-05 2008-07-29 Straalfors Ab Identitetsbärare
US20120238206A1 (en) 2011-03-14 2012-09-20 Research In Motion Limited Communications device providing near field communication (nfc) secure element disabling features related methods
KR20130012243A (ko) * 2011-07-08 2013-02-01 주식회사 케이티 특수 권한 기반의 내장 sim의 mno 변경방법 및 그를 위한 내장 sim과 기록매체
US9940141B2 (en) * 2015-02-23 2018-04-10 Apple Inc. Method and apparatus for selecting bootstrap ESIMs

Also Published As

Publication number Publication date
WO2019115294A1 (en) 2019-06-20
US11533620B2 (en) 2022-12-20
EP3499938A1 (en) 2019-06-19
US20210144554A1 (en) 2021-05-13
EP3725109B1 (en) 2022-02-09
EP3725109A1 (en) 2020-10-21

Similar Documents

Publication Publication Date Title
US11032713B2 (en) Method and electronic device for providing communication service
CN107005836B (zh) 订户标识模块池化
ES2922726T3 (es) Procedimiento y aparato de gestión de un perfil de un terminal en un sistema de comunicación inalámbrica
US9775024B2 (en) Method for changing MNO in embedded SIM on basis of dynamic key generation and embedded SIM and recording medium therefor
EP2708069B1 (en) Sim lock for multi-sim environment
EP2630816B1 (en) Authentication of access terminal identities in roaming networks
EP2903389B1 (en) Method for keeping subscriber identity module cards on standby and terminal equipment
ES2728299T3 (es) Procedimientos y dispositivos para proporcionar un perfil de suscripción a un dispositivo móvil
US10462667B2 (en) Method of providing mobile communication provider information and device for performing the same
EP3171622A1 (en) Method and device for installing profile of euicc
US9794784B2 (en) Techniques for preventing unauthorized users from controlling modem of mobile device
EP3413600B1 (en) Communication device and method of managing profiles
KR20190012233A (ko) 코어 os 및 애플리케이션 os를 갖는 통합된 가입자 식별 모듈
EP2617218B1 (en) Authentication in a wireless access network
ES2972462T3 (es) Método de gestión de un dispositivo a prueba de manipulaciones que comprende varios contenedores de software
ES2913023T3 (es) Método para gestionar un dispositivo a prueba de manipulaciones que comprende una pluralidad de contenedores de software
ES2865293T3 (es) Dispositivo electrónico que comprende un módulo seguro que soporta un modo de gestión local de configurar de un perfil de abonado
EP4482085B1 (en) Method for storing protected data in a secure chip in an unsecure environment
US20170228556A1 (en) Method of managing several profiles in a secure element