CN101917700A - 一种使用业务应用的方法及用户识别模块 - Google Patents

一种使用业务应用的方法及用户识别模块 Download PDF

Info

Publication number
CN101917700A
CN101917700A CN2010101930090A CN201010193009A CN101917700A CN 101917700 A CN101917700 A CN 101917700A CN 2010101930090 A CN2010101930090 A CN 2010101930090A CN 201010193009 A CN201010193009 A CN 201010193009A CN 101917700 A CN101917700 A CN 101917700A
Authority
CN
China
Prior art keywords
service application
identification module
key
subscriber identification
network
Prior art date
Application number
CN2010101930090A
Other languages
English (en)
Other versions
CN101917700B (zh
Inventor
郑辉
焦华清
王京阳
Original Assignee
大唐微电子技术有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 大唐微电子技术有限公司 filed Critical 大唐微电子技术有限公司
Priority to CN201010193009.0A priority Critical patent/CN101917700B/zh
Publication of CN101917700A publication Critical patent/CN101917700A/zh
Application granted granted Critical
Publication of CN101917700B publication Critical patent/CN101917700B/zh

Links

Abstract

一种使用业务应用的方法及用户识别模块;方法包括:用户识别模块向网络侧以唯一标识注册订购的业务应用;用户识别模块向所述网络侧请求下载业务应用,其中携带所述唯一标识;所述网络侧根据所述唯一标识查找到所述用户识别模块订购的业务应用及其密钥权限;从网络侧下载业务应用及其对应的密钥权限;用户识别模块保存所接收的密钥权限,并记录其对应的业务应用;运行所接收的业务应用,当该业务应用生成或接收到涉及安全的控制指令时,用户识别模块使用所述密钥权限对该控制指令中的数据段进行安全操作,包括:加密、解密或认证。本发明能够提供同步的个性化应用下载与密钥权限下载;提高安全程度。

Description

一种使用业务应用的方法及用户识别模块
技术领域
[0001] 本发明涉及通信领域,尤其涉及一种使用业务应用的方法及用户识别模块。 背景技术
[0002] 现有的OTA应用下载系统如图1所示,包括应用下载平台、无线/有线通信网络、 终端、以及用户识别模块(SIM卡、JAVA卡、WIB卡等);用户识别模块与应用下载系统配合, 可通过所述终端及无线/有线通信网络,从所述应用下载平台将OTA业务应用数据(通常 但不限于为应用菜单数据)下载到用户识别模块上,由用户识别模块存储并生成菜单供用 户使用。
[0003] 但是,现有OTA应用下载技术下载的对象是应用菜单,该方案只支持卡端(即用户 识别模块)业务应用下载及使用,不支持与该业务应用相关联的密钥权限下载和同步保证 机制,也即不支持有个性化安全需求的业务应用下载。在应用下载的目标管理单元方面,现 有OTA应用下载技术是以群集性、批量性用户下载管理为目标管理单元,只能实现针对品 牌级别划分的用户的下载与管理,不能实现物联网等领域需要的以个人为目标管理单元的 一对一的下载与管理,而且现有的应用安全密钥都是按组、按批次存储的,无法实现物联网 应用中针对个人的个性化定制及应用私有化要求,也不支持以个人为目标管理单元的分层 级应用下载管理。
[0004] 随着个性化应用的增多和复杂化,越来越多的用户希望使用手机(或其它终 端)客户端软件完成对于业务应用的使用;基于开放式操作系统(如=AndroicU Symbian, Windows Mobile等)的手机,可以支持JAVA客户端应用软件的下载和使用,支持个人化应 用以手机客户端软件的方式下载到手机中,代替下载到SIM卡中存在的占用空间较大,操 作界面单调枯燥的弊端。
[0005] 但是,业务密钥权限出于安全性考虑不能直接下载到手机中,密钥应下载到存储 密钥有着得天独厚的优势的用户识别模块中,这就造成了业务应用与密钥权限分开存储和 联合使用的问题,无法实现客户端个人化应用对于安全认证和加密的需求;现有的手机终 端客户端应用软件仅能满足对于安全没有要求或要求不高的层次需求,只能实现到软安全 的程度,无法实现高强度的硬安全。对于有较高安全需求的应用,现有技术没有解决客户端 应用软件与用户识别模块联合实现安全认证和加密的要求。
发明内容
[0006] 本发明要解决的技术问题是提供一种使用业务应用的方法及用户识别模块,能够 提供同步的个性化应用下载与密钥权限下载;提高安全程度。
[0007] 为了解决上述问题,本发明提供了一种使用业务应用的方法,包括:
[0008] 用户识别模块向网络侧以唯一标识注册订购的业务应用;
[0009] 用户识别模块向所述网络侧请求下载业务应用,其中携带所述唯一标识;
[0010] 所述网络侧根据所述唯一标识查找到所述用户识别模块订购的业务应用及其密
4钥权限;
[0011] 从网络侧下载业务应用及其对应的密钥权限;
[0012] 用户识别模块保存所接收的密钥权限,并记录其对应的业务应用;
[0013] 运行所接收的业务应用,当该业务应用生成或接收到涉及安全的控制指令时,用 户识别模块使用所述密钥权限对该控制指令中的数据段进行安全操作,包括:加密、解密或 认证。
[0014] 进一步地,所述业务应用包括用户识别模块业务应用和终端客户端业务应用;
[0015] 所述网络侧如果根据所述唯一标识查找到终端客户端业务应用,且所述用户识别 模块所在终端支持下载终端客户端业务应用,则发送终端客户端业务应用;否则发送用户 识别模块业务应用;
[0016] 如果发送用户识别模块业务应用,则由所述用户识别模块接收、保存及运行所述 业务应用;
[0017] 如果发送终端客户端业务应用,则由所述终端接收、保存及运行所述业务应用。
[0018] 进一步地,当所述业务应用为终端客户端业务应用时,所述用户识别模块使用所 述密钥权限对控制指令中的数据段进行安全操作的步骤包括:
[0019] 终端向用户识别模块指定的标准接口文件写入专用协议报文,其中携带用于指示 在运行的业务应用的信息,以及所述控制指令;
[0020] 用户识别模块根据所述专用协议报文确定运行的业务应用,查找到该业务应用对 应的密钥权限;
[0021] 使用所述密钥权限对所述专用协议报文携带的控制指令中的数据段进行安全操 作,将含操作结果的专用协议报文更新到所述标准接口文件中;
[0022] 终端以时间轮询方式从用户识别模块读取含操作结果的专用协议报文,得到操作结果。
[0023] 进一步地,所述的方法还包括:
[0024] 所述用户识别模块保存唯一对应该用户识别模块的主控密钥;
[0025] 所述用户识别模块向所述网络侧请求下载业务应用时还携带所述主控密钥;
[0026] 所述用户识别模块利用业务应用唯一标识符、所述主控密钥计算一业务应用的会 话密钥,用该会话密钥解密所接收的该业务应用的密钥权限;
[0027] 所述网络侧发送密钥权限的步骤包括:
[0028] 利用业务应用唯一标识符、所述主控密钥计算会话密钥;利用所述会话密钥加密 要下载的密钥权限;发送加密后的密钥权限。
[0029] 进一步地,所述的方法还包括:
[0030] 作为主卡的用户识别模块向网络侧以作为副卡的用户识别模块的唯一标识注册 订购的业务应用;
[0031] 网络侧当收到所述作为副卡的用户识别模块的同意确认消息后,主动根据所述唯 一标识查找所述用户识别模块订购的业务应用及其密钥权限,并发送给所述作为副卡的用 户识别模块。
[0032] 进一步地,所述从网络侧下载业务应用及其对应的密钥权限的步骤包括:
[0033] 将密钥权限下载到用户识别模块,用户识别模块首先为该密钥权限分配存储空
5间,如果空间已满,则通知所述网络侧的应用下载平台密钥权限空间已满,终止下载;否则, 用户识别模块验证下载密钥权限的报文的合法性后,存储密钥权限中的密钥值、密钥版本、 密钥用途、隶属的业务应用唯一标识符,之后通知所述应用下载平台密钥权限下载成功,继 续下载业务应用给用户识别模块。
[0034] 本发明还提供了一种用户识别模块,包括:
[0035] 注册单元,用于向网络侧以唯一标识注册订购的业务应用;
[0036] 请求单元,用于向所述网络侧请求下载业务应用,其中携带所述唯一标识;
[0037] 接收单元,用于接收所述网络侧根据所述唯一标识查找到的密钥权限,保存所接 收的密钥权限,并记录其对应的业务应用;
[0038] 处理单元,用于当运行的业务应用生成或接收到涉及安全的控制指令时,使用所 述密钥权限对该控制指令中的数据段进行安全操作,包括:加密、解密或认证。
[0039] 进一步地,所述接收单元还用于当所述网络侧根据所述唯一标识查找到的所述业 务应用为用户识别模块业务应用时,接收并保存该业务应用。
[0040] 进一步地,所述处理单元包括:
[0041] 监控子单元,用于监控指定的标准接口文件是否被终端写入专用协议报文;当写 入时,发送使能指令;
[0042] 提取子单元,用于当收到所述使能指令时,从所述指定的标准接口文件中提取用 于指示在运行的业务应用的信息,以及所述控制指令;
[0043] 查找子单元,用于根据所述指示在运行的业务应用的信息确定运行的业务应用, 查找到该业务应用对应的密钥权限;
[0044] 操作子单元,用于使用所述密钥权限对所述专用协议报文携带的控制指令中的数 据段进行安全操作,将含操作结果的专用协议报文更新到所述标准接口文件中。
[0045] 进一步地,所述的用户识别模块还包括:
[0046] 存储单元,用于保存唯一对应该用户识别模块的主控密钥;
[0047] 所述请求单元向所述网络侧请求下载业务应用时还携带所述主控密钥;
[0048] 计算单元,用于利用业务应用唯一标识符、所述主控密钥计算一业务应用的会话 密钥,用该会话密钥解密所接收的该业务应用的密钥权限。
[0049] 本发明的技术方案通过业务订购关系,对用户进行应用下载和管理,可以实现一 对一的应用下载与管理,为每个用户提供应用个人化数据(比如密钥等),可提供以个人为 目标管理单元的应用下载管理机制和应用关联密钥权限的下载机制,同时支持应用下载与 密钥权限下载的同步,在应用下载完成后进行更新,不再根据卡批次对一批卡进行密钥存 储及管理,对于有安全需求的个性化应用定制起到弥补技术空白的作用。
[0050] 本发明的优化方案提供基于终端客户端业务应用下载及机卡交互认证加密的技 术,解决了基于手机终端作为应用承载实体时,需与卡片交互进行认证和加密的接口的问 题,达到了应用与密钥权限物理实体分开但融合使用的目的;利用用户识别模块作为硬件 加密令牌,实现客户端应用软件对于数据的安全认证和加密要求,通过用户识别模块与终 端的标准接口文件作为机卡交互通道,通过一套专用的通信报文协议实现客户端软件应用 数据通过SIM卡进行认证和加密的要求,多数开放式操作系统终端都可以支持,终端无需 单独定制开发即可使用,解决了有安全需求但数据量较大且要求图文并茂的个性化应用的需求问题,是基于用户识别模块的个性化应用下载管理的有效补充,既可以充分利用终端 资源又可以解决安全问题,用户接受度将很高。
[0051] 本发明的另一优化方案中,如果是主卡用户为副卡用户订购业务应用,在得到副 卡用户的同意确认消息后,网络侧主动下载为副卡用户所订购的业务应用,实现了业务应 用的分层级下载。
附图说明
[0052] 图1是现有技术中的业务应用下载示意图;
[0053] 图2是实施例一的一种实施方式的流程示意图;
[0054] 图3是实施例一的另一种实施方式的流程示意图;
[0055] 图4是实施例一的一个具体例子的流程示意图。
具体实施方式
[0056] 下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
[0057] 需要说明的是,如果不冲突,本发明实施例以及实施例中的各个特征可以相互结 合,均在本发明的保护范围之内。另外,在附图的流程图示出的步骤可以在诸如一组计算机 可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况 下,可以以不同于此处的顺序执行所示出或描述的步骤。
[0058] 实施例一、一种使用业务应用的方法,包括:
[0059] 用户识别模块向网络侧以唯一标识注册订购的业务应用;
[0060] 用户识别模块向所述网络侧请求下载业务应用,其中携带所述唯一标识;
[0061] 所述网络侧根据所述唯一标识查找到所述用户识别模块订购的业务应用及其密 钥权限;
[0062] 从网络侧下载业务应用及其对应的密钥权限;
[0063] 用户识别模块保存所接收的密钥权限,并记录其对应的业务应用;
[0064] 运行所接收的业务应用,当该业务应用生成或接收到涉及安全的控制指令时,用 户识别模块使用所述密钥权限对该控制指令中的数据段进行安全操作,包括:加密、解密或 认证等。
[0065] 后继还可以同现有流程一样,根据所述安全操作的操作结果相应进行后续业务逻 辑处理操作,包括:
[0066] 发送加密数据段后的控制指令、显示解密结果或返回认证结果等。
[0067] 本实施例中,所述唯一标识可以是唯一指明一个用户识别模块的标识,国际移动 用户识别码IMSI,也可以是唯一指明一个终端的标识,比如国际移动设备身份码IMEI ;实 际应用时也可以是其它信息。
[0068] 本实施例中,由用户识别模块通过终端向网络侧注册、请求下载;所请求下载及接 收的可以是适用于用户识别模块的业务应用(即用户识别模块业务应用),也可以是适用 于终端的业务应用(即终端客户端业务应用)。用户订购的业务应用是采用用户识别模块 业务应用还是终端客户端业务应用,依赖于应用下载平台对于该应用的配置或终端支持情 况,如果应用下载平台对于一个业务应用两种类型的应用都有且都有效,且用户终端支持
7终端应用下载,则应用下载平台优先发送终端客户端业务应用,是否需要继续发送用户识 别模块业务应用,由应用下载平台配置可选;如果用户终端不支持终端客户端业务应用下 载,则直接发送用户识别模块业务应用而无需发送终端客户端业务应用。
[0069] 实际应用中,也可以优先下载用户识别模块业务应用,或直接在请求下载时指定 要下载的业务应用的类型。
[0070] 如果发送的为用户识别模块业务应用,则由所述用户识别模块接收、保存及运行 所述业务应用;
[0071] 如果发送的为终端客户端业务应用,则由所述终端接收、保存及运行所述业务应用。
[0072] 实际应用中,如果有的业务应用不需要密钥权限,则网络侧根据订购关系可以只 返回业务应用;接收和使用该业务应用的过程可同现有技术,这里不再赘述。
[0073] 本实施例的一种实施方式可以如图2所示,是用户主动请求下载或远程PUSH下载 并接收适用于用户识别模块的业务应用的过程,包括:
[0074] 用户主动请求下载业务应用或远程PUSH下载业务应用;
[0075] 网络侧的应用下载平台根据订购关系找到对应的业务应用;
[0076] 判断该业务应用否需要下载密钥权限;如果不要就只下载该业务应用;要则先下 载该业务应用对应的密钥权限,密钥权限下载成功后再下载该业务应用;业务应用的下载 过程同现有OTA下载流程,不再赘述;
[0077] 使用下载的业务应用。
[0078] 本实施方式中,所述从网络侧下载业务应用及其对应的密钥权限的步骤具体可以 包括:
[0079] 将密钥权限下载到用户识别模块,用户识别模块首先为该密钥权限分配存储空 间,如果空间已满,则通知所述应用下载平台密钥权限空间已满,终止下载;否则,用户识 别模块验证下载密钥权限的报文的合法性后,存储密钥权限中的密钥值、密钥版本、密钥用 途、隶属的业务应用唯一标识符等相关保密密钥和参数,之后通知所述应用下载平台密钥 权限下载成功,继续下载业务应用给用户识别模块。
[0080] 本实施例的另一种实施方式可以如图3所示,是用户主动请求下载或远程PUSH下 载及接收适用于终端的业务应用的过程,包括:
[0081] 用户请求下载终端客户端业务应用或远程PUSH下载终端客户端业务应用;
[0082] 网络侧的应用下载平台根据订购关系找到对应的业务应用;
[0083] 判断该业务应用是否存在与终端操作系统匹配的版本(即相应的终端客户端业 务应用);如果不存在则提示用户无匹配下载版本,结束流程;
[0084] 如果存在则判断该业务应用否需要下载密钥权限;如果不要,只下载所述相应的 终端客户端业务应用;如果要就下载该业务应用对应的密钥权限,密钥权限下载成功后再 下载所述终端客户端业务应用;终端业务应用的下载过程同现有终端应用下载流程,不再 赘述;
[0085] 用户通过终端客户端使用下载的终端客户端业务应用。
[0086] 本实施方式中,下载密钥权限的步骤具体可以包括:
[0087] 将密钥权限下载到用户识别模块后,用户识别模块首先为该应用的密钥权限分配存储空间,如果空间已满,则通知所述应用下载平台密钥权限空间已满,终止下载;否则,用 户识别模块验证下载密钥权限的报文的合法性后,存储密钥权限中的密钥值、密钥版本、密 钥用途、隶属的业务应用唯一标识符等相关保密密钥和参数,之后通知应用下载平台密钥 权限下载成功,可继续下载业务应用给终端。
[0088] 本实施例中,如果所接收的是终端客户端业务应用,则终端运行所接收的业务应 用运行;用户识别模块使用所述密钥权限对该控制指令中的数据段进行安全操作的步骤具 体可以包括:
[0089] 终端向用户识别模块指定的标准接口文件写入专用协议报文,其中携带用于指示 在运行的业务应用的信息,以及所述控制指令;
[0090] 用户识别模块根据所述专用协议报文确定运行的业务应用,查找到该业务应用对 应的密钥权限;
[0091] 使用所述密钥权限对所述专用协议报文携带的控制指令中的数据段进行安全操 作,将含操作结果的专用协议报文更新到所述标准接口文件中;
[0092] 终端以时间轮询方式从用户识别模块读取含操作结果的专用协议报文,得到操作结果。
[0093] 当涉及到安全认证和加解密等与安全相关的操作时,终端可通过用户识别模块标 准化文件(如:短消息文件、电话本文件等)作为机卡交互通道,通过机卡专用报文协议实 现与安全相关的认证和加解密操作,为了使用户识别模块能够配合终端使用,用户识别模 块需要提供的改进如下:用户识别模块监控指定的标准化文件的更新操作(Update操作), 终端应用执行与安全相关的操作时,会向该标准化文件进行更新数据操作,更新的数据内 容为机卡专用的报文协议,用户识别模块监控到更新操作后,对输入的报文协议内容进行 解析处理,在用户识别模块中找出应用对应的密钥,按照协议要求进行认证或加/解密运 算,之后用户识别模块通过同样的标准接口文件返回操作结果,终端以时间轮询方式读取 用户识别模块返回的操作结果,并按照协议返回内容进行后续业务逻辑处理,如发送加密 数据段后的控制指令、显示解密结果或返回认证结果等。
[0094] 以加密为例,用户识别模块是使用所述密钥权限对所述专用协议报文携带的控制 指令中的数据段加密,得到的操作结果是携带有加密数据段后的控制指令的加密结果;终 端得到加密结果中的加密数据段后的控制指令后发送。
[0095] 实际应用时也不排除直接由用户识别模块发送所述加密数据段后的控制指令。
[0096] 一个具体的由终端保存、运行终端客户端业务应用的交互过程可以如图4所示, 包括:
[0097] 用户使用终端上的客户端软件;
[0098] 终端执行所述软件,运行业务应用;
[0099] 当需要发送控制指令时,向用户识别模块某个指定的标准接口文件写入专用协议 报文,其中携带用于指示在运行的业务应用的信息,以及所述控制指令;
[0100] 用户识别模块对所述专用协议报文进行解析,确定运行的业务应用,得到所述控 制指令;
[0101] 用户识别模块使用所述在运行的业务应用对应的密钥权限,对所述控制指令的数 据段执行加密,得到携带有加密数据段后的控制指令的加密结果;
9[0102] 将含加密结果的专用协议报文更新到该标准接口文件中;
[0103] 终端向用户识别模块以时间轮询机制读取含加密结果的专用协议报文;
[0104] 终端解析含所述加密结果的专用协议报文,得到加密结果中的加密数据段后的控 制指令,发送该控制指令;
[0105] 终端通知用户处理完毕。
[0106] 本实施例中,为了保证业务应用密钥权限的下载过程是安全的,防止密钥下载过 程中被监听破解等漏洞发生,采用业务应用密钥权限下载安全控制机制;所述方法还包 括:
[0107] 所述用户识别模块保存唯一对应该用户识别模块的主控密钥;
[0108] 所述用户识别模块向所述网络侧请求下载业务应用时还携带所述主控密钥;
[0109] 所述用户识别模块利用业务应用唯一标识符、所述主控密钥计算一业务应用的会 话密钥,用该会话密钥解密所接收的该业务应用的密钥权限;
[0110] 所述网络侧发送密钥权限的步骤包括:
[0111] 利用业务应用唯一标识符、所述主控密钥计算会话密钥;利用所述会话密钥加密 要下载的密钥权限;发送加密后的密钥权限。
[0112] 所述方法还包括:
[0113] 本实施例中,所述方法还包括:
[0114] 网络侧当收到所述作为副卡的用户识别模块的同意确认消息后,主动根据所述唯 一标识查找所述用户识别模块订购的业务应用及其密钥权限,并发送给所述作为副卡的用 户识别模块。
[0115] 这样可以实现业务应用的分层级下载。
[0116] 实施例二、一种用户识别模块,包括:
[0117] 注册单元,用于向网络侧以唯一标识注册订购的业务应用;
[0118] 请求单元,用于向所述网络侧请求下载业务应用,其中携带所述唯一标识;
[0119] 接收单元,用于接收所述网络侧根据所述唯一标识查找到的密钥权限,保存所接 收的密钥权限,并记录其对应的业务应用;
[0120] 处理单元,用于当运行的业务应用生成或接收到涉及安全的控制指令时,使用所 述密钥权限对该控制指令中的数据段进行安全操作,包括:加密、解密或认证。
[0121] 本实施例中,所述接收单元还可用于当所述网络侧根据所述唯一标识查找到的所 述业务应用为用户识别模块业务应用时,接收并保存该业务应用。
[0122] 本实施例中,所述处理单元具体可以包括:
[0123] 监控子单元,用于监控指定的标准接口文件是否被终端写入专用协议报文;当写 入时,发送使能指令;
[0124] 提取子单元,用于当收到所述使能指令时,从所述指定的标准接口文件中提取用 于指示在运行的业务应用的信息,以及所述控制指令;
[0125] 查找子单元,用于根据所述指示在运行的业务应用的信息确定运行的业务应用, 查找到该业务应用对应的密钥权限;
[0126] 操作子单元,用于使用所述密钥权限对所述专用协议报文携带的控制指令中的数 据段进行安全操作,将含操作结果的专用协议报文更新到所述标准接口文件中。[0127] 本实施例中,所述的用户识别模块还可以包括:
[0128] 存储单元,用于保存唯一对应该用户识别模块的主控密钥;
[0129] 所述请求单元向所述网络侧请求下载业务应用时还携带所述主控密钥;
[0130] 计算单元,用于利用业务应用唯一标识符、所述主控密钥计算一业务应用的会话 密钥,用该会话密钥解密所接收的该业务应用的密钥权限。
[0131 ] 其它实现细节可以同实施例一。
[0132] 显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储 在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们 中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的 硬件和软件结合。
[0133] 当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟 悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变 形都应属于本发明的权利要求的保护范围。
11

Claims (10)

  1. 一种使用业务应用的方法,包括:用户识别模块向网络侧以唯一标识注册订购的业务应用;用户识别模块向所述网络侧请求下载业务应用,其中携带所述唯一标识;所述网络侧根据所述唯一标识查找到所述用户识别模块订购的业务应用及其密钥权限;从网络侧下载业务应用及其对应的密钥权限;用户识别模块保存所接收的密钥权限,并记录其对应的业务应用;运行所接收的业务应用,当该业务应用生成或接收到涉及安全的控制指令时,用户识别模块使用所述密钥权限对该控制指令中的数据段进行安全操作,包括:加密、解密或认证。
  2. 2.如权利要求1所述的方法,其特征在于:所述业务应用包括用户识别模块业务应用和终端客户端业务应用; 所述网络侧如果根据所述唯一标识查找到终端客户端业务应用,且所述用户识别模块 所在终端支持下载终端客户端业务应用,则发送终端客户端业务应用;否则发送用户识别 模块业务应用;如果发送用户识别模块业务应用,则由所述用户识别模块接收、保存及运行所述业务 应用;如果发送终端客户端业务应用,则由所述终端接收、保存及运行所述业务应用。
  3. 3.如权利要求2所述的方法,其特征在于,当所述业务应用为终端客户端业务应用时, 所述用户识别模块使用所述密钥权限对控制指令中的数据段进行安全操作的步骤包括:终端向用户识别模块指定的标准接口文件写入专用协议报文,其中携带用于指示在运 行的业务应用的信息,以及所述控制指令;用户识别模块根据所述专用协议报文确定运行的业务应用,查找到该业务应用对应的 密钥权限;使用所述密钥权限对所述专用协议报文携带的控制指令中的数据段进行安全操作,将 含操作结果的专用协议报文更新到所述标准接口文件中;终端以时间轮询方式从用户识别模块读取含操作结果的专用协议报文,得到操作结:^ ο
  4. 4.如权利要求1到3中任一项所述的方法,其特征在于,还包括: 所述用户识别模块保存唯一对应该用户识别模块的主控密钥;所述用户识别模块向所述网络侧请求下载业务应用时还携带所述主控密钥; 所述用户识别模块利用业务应用唯一标识符、所述主控密钥计算一业务应用的会话密 钥,用该会话密钥解密所接收的该业务应用的密钥权限; 所述网络侧发送密钥权限的步骤包括:利用业务应用唯一标识符、所述主控密钥计算会话密钥;利用所述会话密钥加密要下 载的密钥权限;发送加密后的密钥权限。
  5. 5.如权利要求1到3中任一项所述的方法,其特征在于,还包括:作为主卡的用户识别模块向网络侧以作为副卡的用户识别模块的唯一标识注册订购 的业务应用;网络侧当收到所述作为副卡的用户识别模块的同意确认消息后,主动根据所述唯一标 识查找所述用户识别模块订购的业务应用及其密钥权限,并发送给所述作为副卡的用户识 别模块。
  6. 6.如权利要求1到3中任一项所述的方法,其特征在于,所述从网络侧下载业务应用及 其对应的密钥权限的步骤包括:将密钥权限下载到用户识别模块,用户识别模块首先为该密钥权限分配存储空间,如 果空间已满,则通知所述网络侧的应用下载平台密钥权限空间已满,终止下载;否则,用户 识别模块验证下载密钥权限的报文的合法性后,存储密钥权限中的密钥值、密钥版本、密钥 用途、隶属的业务应用唯一标识符,之后通知所述应用下载平台密钥权限下载成功,继续下 载业务应用给用户识别模块。
  7. 7. 一种用户识别模块,其特征在于,包括:注册单元,用于向网络侧以唯一标识注册订购的业务应用; 请求单元,用于向所述网络侧请求下载业务应用,其中携带所述唯一标识; 接收单元,用于接收所述网络侧根据所述唯一标识查找到的密钥权限,保存所接收的 密钥权限,并记录其对应的业务应用;处理单元,用于当运行的业务应用生成或接收到涉及安全的控制指令时,使用所述密 钥权限对该控制指令中的数据段进行安全操作,包括:加密、解密或认证。
  8. 8.如权利要求7所述的用户识别模块,其特征在于:所述接收单元还用于当所述网络侧根据所述唯一标识查找到的所述业务应用为用户 识别模块业务应用时,接收并保存该业务应用。
  9. 9.如权利要求7所述的用户识别模块,其特征在于,所述处理单元包括:监控子单元,用于监控指定的标准接口文件是否被终端写入专用协议报文;当写入时, 发送使能指令;提取子单元,用于当收到所述使能指令时,从所述指定的标准接口文件中提取用于指 示在运行的业务应用的信息,以及所述控制指令;查找子单元,用于根据所述指示在运行的业务应用的信息确定运行的业务应用,查找 到该业务应用对应的密钥权限;操作子单元,用于使用所述密钥权限对所述专用协议报文携带的控制指令中的数据段 进行安全操作,将含操作结果的专用协议报文更新到所述标准接口文件中。
  10. 10.如权利要求7到9中任一项所述的用户识别模块,其特征在于,还包括: 存储单元,用于保存唯一对应该用户识别模块的主控密钥;所述请求单元向所述网络侧请求下载业务应用时还携带所述主控密钥; 计算单元,用于利用业务应用唯一标识符、所述主控密钥计算一业务应用的会话密钥, 用该会话密钥解密所接收的该业务应用的密钥权限。3
CN201010193009.0A 2010-05-27 2010-05-27 一种使用业务应用的方法及用户识别模块 CN101917700B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201010193009.0A CN101917700B (zh) 2010-05-27 2010-05-27 一种使用业务应用的方法及用户识别模块

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010193009.0A CN101917700B (zh) 2010-05-27 2010-05-27 一种使用业务应用的方法及用户识别模块

Publications (2)

Publication Number Publication Date
CN101917700A true CN101917700A (zh) 2010-12-15
CN101917700B CN101917700B (zh) 2014-03-26

Family

ID=43325062

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010193009.0A CN101917700B (zh) 2010-05-27 2010-05-27 一种使用业务应用的方法及用户识别模块

Country Status (1)

Country Link
CN (1) CN101917700B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9071596B2 (en) 2012-07-30 2015-06-30 Hewlett-Packard Development Company, L.P. Securely establishing a communication channel between a switch and a network-based application using a unique identifier for the network-based application
CN105825134A (zh) * 2016-03-16 2016-08-03 中国联合网络通信集团有限公司 智能卡处理方法、智能卡管理服务器及终端
CN107395549A (zh) * 2016-05-16 2017-11-24 北京信威通信技术股份有限公司 一种多用户登录的方法及装置
CN108632525A (zh) * 2017-09-20 2018-10-09 北京视联动力国际信息技术有限公司 一种业务处理的方法和系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1946203A (zh) * 2006-11-09 2007-04-11 中国移动通信集团江苏有限公司 针对特征群体用户的用户识别模块业务和应用的实现方法
CN101511051A (zh) * 2008-12-31 2009-08-19 北京握奇数据系统有限公司 电信智能卡的应用业务下载方法、系统及设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1946203A (zh) * 2006-11-09 2007-04-11 中国移动通信集团江苏有限公司 针对特征群体用户的用户识别模块业务和应用的实现方法
CN101511051A (zh) * 2008-12-31 2009-08-19 北京握奇数据系统有限公司 电信智能卡的应用业务下载方法、系统及设备

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9071596B2 (en) 2012-07-30 2015-06-30 Hewlett-Packard Development Company, L.P. Securely establishing a communication channel between a switch and a network-based application using a unique identifier for the network-based application
CN105825134A (zh) * 2016-03-16 2016-08-03 中国联合网络通信集团有限公司 智能卡处理方法、智能卡管理服务器及终端
CN107395549A (zh) * 2016-05-16 2017-11-24 北京信威通信技术股份有限公司 一种多用户登录的方法及装置
CN108632525A (zh) * 2017-09-20 2018-10-09 北京视联动力国际信息技术有限公司 一种业务处理的方法和系统
CN108632525B (zh) * 2017-09-20 2020-03-06 视联动力信息技术股份有限公司 一种业务处理的方法和系统

Also Published As

Publication number Publication date
CN101917700B (zh) 2014-03-26

Similar Documents

Publication Publication Date Title
US9843585B2 (en) Methods and apparatus for large scale distribution of electronic access clients
US10348715B2 (en) Computer-implemented systems and methods of device based, internet-centric, authentication
US20180091978A1 (en) Universal Integrated Circuit Card Having A Virtual Subscriber Identity Module Functionality
US9455830B2 (en) Method for securing credentials in a remote repository
CN107005836B (zh) 订户标识模块池化
US20180109374A1 (en) Key agreement for wireless communication
EP2747466B1 (en) Methods and devices for ota subscription management
US9779564B2 (en) Device and method for controlling an access authorisation and/or driving authorisation for a vehicle
EP3280090B1 (en) User authentication method and device
EP2741548B1 (en) Method for changing mno in embedded sim on basis of dynamic key generation and embedded sim and recording medium therefor
JP6580669B2 (ja) Euiccのプロファイル設置方法及び装置
US8718711B2 (en) Method, apparatus, and system for supporting multiple IMSIS
US10242210B2 (en) Method for managing content on a secure element connected to an equipment
US10349272B2 (en) Virtual SIM card cloud platform
EP2633711B1 (en) Management systems for multiple access control entities
ES2604183T3 (es) Método de distribución y método de obtención de datos de identificación de usuario virtual y dispositivos
US9043898B2 (en) Access management system
KR20170015462A (ko) 보안 통신 채널을 설정하기 위한 방법들 및 장치
RU2518924C2 (ru) Беспроводное устройство, способ запроса пользовательского клиента управления доступом и способ выполнения клиента управления доступом
EP2798777B1 (en) Method and system for distributed off-line logon using one-time passwords
CN105007577B (zh) 一种虚拟sim卡参数管理方法、移动终端及服务器
TWI455559B (zh) 虛擬用戶識別模組
KR101527550B1 (ko) 고유하게 퍼스널라이징된 마스터 sim에 의한 sim의 퍼스널라이제이션
KR101611773B1 (ko) 멀티 네트워크 시스템에서 아이덴티티 관리를 위한 방법들, 장치들 및 컴퓨터 프로그램 제품들
JP5601729B2 (ja) 移動無線機の移動無線網へのログイン方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
LICC Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20101215

Assignee: Beijing Datang Smart Card Co., Ltd.

Assignor: Datang Microelectronics Technology Co., Ltd.

Contract record no.: 2016110000008

Denomination of invention: Method for using service application and user identification module

Granted publication date: 20140326

License type: Common License

Record date: 20160422