CN105828324A - 一种获取虚拟用户身份的方法及装置 - Google Patents
一种获取虚拟用户身份的方法及装置 Download PDFInfo
- Publication number
- CN105828324A CN105828324A CN201610162030.1A CN201610162030A CN105828324A CN 105828324 A CN105828324 A CN 105828324A CN 201610162030 A CN201610162030 A CN 201610162030A CN 105828324 A CN105828324 A CN 105828324A
- Authority
- CN
- China
- Prior art keywords
- card resource
- safety module
- number card
- embedded safety
- pki
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种获取虚拟用户身份的方法及装置,涉及通信技术领域。其中,获取方法包括生成步骤、请求步骤、获取步骤及鉴权步骤。其中,生成步骤包括在TEE中生成公钥与存储在ESE中的私钥;请求步骤包括向虚拟运营商服务器发送下载号卡资源的请求及上传公钥;获取步骤包括接收虚拟运营商服务器基于上传的公钥进行加密的号卡资源,在TEE中基于存储在ESE的私钥对接收到的号卡资源进行解密,并将解密后的号卡资源存储在ESE中;鉴权步骤包括在TEE中基于接收到的鉴权参数与存储在ESE中的号卡资源对终端用户的接入身份进行鉴权。有效确保号卡资源安全及获取过程的安全性。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种获取虚拟用户身份的方法及装置。
背景技术
用户身份识别模块(SubscriberIdentityModule,SIM),通常称为“SIM卡”,作为整个GSM系统中唯一确认用户身份的设备,使其成为向网络表明用户合法身份的重要工具。通常为带有微处理器的芯片,用于存储用户信息、加密密钥等,以及提供入网的身份鉴权并对用户的语音信息进行加密处理。
当一张SIM卡从一个地区漫游至另一个地区时,会产生高昂的漫游费,为了减少由此产生的漫游费,通常会选择使用漫游所在地的SIM卡,现在还可以使用Softsim,即虚拟SIM卡。
对于虚拟SIM卡,用户无需在手机上装入漫游所在地的SIM卡,只需在手机中装入客户端应用程序SoftsimAPP,在到达漫游所在地后,通过通信数据通道,从虚拟运营商服务器上下载包含加密算法、加密算法密钥、IMSI的号卡资源,并对终端用户的接入身份进行鉴权,以获取虚拟用户身份,从而拥有漫游所在地的号码,有效地降低用户的漫游费用。
但是,现有虚拟SIM卡的获取过程直接运行在Android等普通操作系统中,导致其存储与运行均存在安全风险,难以满足终端用户在获取虚拟用户身份过程中对安全性的要求。
发明内容
本发明的主要目的为提供一种获取虚拟用户身份的方法;
本发明的另一目的为提供一种获取虚拟用户身份的装置。
为了实现上述主要目的,本发明提供的获取虚拟用户身份的方法包括生成步骤、请求步骤、获取步骤及鉴权步骤。其中,生成步骤包括在TEE中生成公钥与存储在ESE中的私钥;请求步骤包括向虚拟运营商服务器发送下载号卡资源的请求及上传生成步骤生成的公钥;获取步骤包括接收虚拟运营商服务器基于上传的公钥进行加密的号卡资源,在TEE中基于存储在ESE中的私钥对接收到的号卡资源进行解密,并将解密之后的号卡资源存储在ESE中;鉴权步骤包括在TEE中基于接收到的鉴权参数与存储在ESE中的号卡资源对终端用户的接入身份进行鉴权。
由以上方案可见,由于在TEE中生成公钥与私钥及对号卡资源进行解密,并将私钥与解密后的号卡资源存储在ESE中,且终端设备中的鉴权过程为在TEE中进行,有效地确保整个获取虚拟用户身份过程的安全性,及有效地确保号卡资源的安全性。
具体的方案为生成步骤包括:客户端应用接收下载号卡资源的请求,触发安全操作,从REE切换至TEE,运行在TEE下的可信操作系统执行与客户端应用对应的第一可信应用。第一可信应用执行公钥加密算法生成公钥与私钥,并将公钥传给客户端应用,及在TEE与ESE之间建立第一安全通道,并通过第一安全通道将私钥传给ESE并存储在该ESE中。
更具体的方案为获取步骤包括:接收虚拟运营商服务器基于公钥进行加密的号卡资源,客户端应用将加密的号卡资源传给第一可信应用。第一可信应用使用私钥对加密的号卡资源进行解密,获取号卡资源,并通过第一安全通道将解密后的号卡资源传给ESE及存储在该ESE中。完成对解密后号卡资源的存储后,关闭第一安全通道。
优选的方案为鉴权步骤包括:客户端应用接收激活虚拟用户身份的请求,触发安全操作,从REE切换到TEE,运行在TEE下的可信操作系统执行与该客户端应用相对应的第二可信应用。第二可信应用通过基带接收核心网发送的鉴权参数。在TEE与ESE之间建立第二安全通道。第二可信应用通过第二安全通道从ESE中获取鉴权算法与IMSI,基于鉴权参数执行鉴权算法获得SRES,并将SRES与IMSI通过基带返回给核心网。完成鉴权算法与IMSI的传输后,关闭第二安全通道。当然,也可以不关闭第二安全通道。
为了实现上述另一目的,本发明提供的获取虚拟用户身份的装置包括生成单元、请求单元、获取单元及鉴权单元。其中,生成单元用于在TEE中生成公钥与存储在ESE中的私钥;请求单元用于向虚拟运营商服务器发送下载号卡资源的请求及上传生成单元生成的公钥;获取单元用于接收虚拟运营商服务器基于公钥进行加密的号卡资源,在TEE中基于存储在ESE中的私钥对接收到的号卡资源进行解密,并将解密后的号卡资源存储在该ESE中;鉴权单元用于在TEE中基于接收到的鉴权参数与存储在ESE中的号卡资源对终端用户的接入身份进行鉴权。
为了实现上述主要目的,本发明提供的获取虚拟用户身份的方法包括生成步骤、请求步骤、获取步骤及鉴权步骤。其中,生成步骤包括在ESE中生成公钥与存储在该ESE中的私钥;请求步骤包括向虚拟运营商服务器发送下载号卡资源的请求及上传生成步骤生成的公钥;获取步骤包括接收虚拟运营商服务器基于上传的公钥进行加密的号卡资源,在ESE中基于存储在该ESE中的私钥对接收到的号卡资源进行解密,并将解密后的号卡资源存储在该ESE中;鉴权步骤包括在ESE中基于接收到的鉴权参数与存储在ESE中的号卡资源对终端用户的接入身份进行鉴权。
由以上方案可见,由于在ESE中生成公钥与私钥及对号卡资源进行解密,并将私钥与解密后的号卡资源存储在该ESE中,且终端设备中的鉴权过程为在该ESE中进行,有效地确保整个获取虚拟用户身份过程的安全性,有效地确保号卡资源的安全性。
具体的方案为生成步骤包括:客户端应用接收下载号卡资源的请求,并向ESE发送安全操作请求。在ESE中,执行公钥加密算法生成公钥与私钥,并将私钥存储在ESE中,及在REE与ESE之间建立第一安全通道,并通过第一安全通道将公钥传给客户端应用。
更具体的方案为获取步骤包括:接收虚拟运营商服务器基于公钥进行加密的号卡资源,客户端应用将号卡资源通过第一安全通道传给ESE。完成加密后号卡资源的传输后,关闭第一安全通道。在ESE中,使用私钥对经加密的号卡资源进行解密,获取解密后的号卡资源,并将解密后的号卡资源存储在ESE中。
优选的方案为鉴权步骤包括:客户端应用接收激活虚拟用户身份的请求后,向ESE发送安全操作请求。ESE接收安全操作请求及通过基带接收核心网发送的鉴权参数,在ESE中,基于鉴权参数执行鉴权算法获得SRES,并将SRES与从解密后号卡资源中提取的IMSI通过基带返回给核心网。
为了实现上述另一目的,本发明提供的获取虚拟用户身份的装置包括生成单元、请求单元、获取单元及鉴权单元。其中,生成单元用于在ESE中生成公钥与存储在该ESE中的私钥;请求单元用于向虚拟运营商服务器发送下载号卡资源的请求及上传生成单元生成的公钥;获取单元用于接收虚拟运营商服务器基于公钥进行加密的号卡资源,在ESE中基于存储在ESE中的私钥对接收到的号卡资源进行解密,并将解密后的号卡资源存储在该ESE中;鉴权单元用于在ESE中基于接收到的鉴权参数与存储在ESE中的号卡资源对终端用户的接入身份进行鉴权。
附图说明
图1是本发明获取虚拟用户身份的方法实施例的工作流程图;
图2是本发明获取虚拟用户身份的装置实施例的结构框图。
以下结合具体实施例及其附图对本发明作进一步的说明。
具体实施方式
获取虚拟用户身份的方法第一实施例
本实施例中的移动终端设备可支持两种运行环境,分别为普通执行环境(RichExecutionEnvironment,REE)与可信执行环境(TrustedExecutionEnvironment,TEE),本实施例基于ARM的Trustedzone技术提供可信执行环境,且安装有运行在普通执行环境中的客户端应用程序SoftsimAPP及在设备中设有嵌入式安全模块(embeddedSecureElement,ESE)。
参见图1,获取虚拟用户身份的方法由生成步骤S1、请求步骤S2、获取步骤S3及鉴权步骤S4构成。
生成步骤S1,在可信执行环境中生成公钥与私钥,并将私钥存储在嵌入式安全模块中。
当用户达到漫游所在地后,用户操作SoftsimAPP主动触发安全操作流程,从REE切换至TEE,运行在TEE下的可信操作系统(TrustedOS)执行与SoftsimAPP对应的第一可信应用(TrustedApplication,TA),第一可信应用执行RSA公钥加密算法生成密钥对--公钥(RSAPublicKey)与私钥(RSAPrivateKey),私钥存储在嵌入式安全模块中,并将公钥传至SoftsimAPP。
将私钥存储在嵌入式安全模块中为,在REE与ESE之间建立第一安全通道,通过该第一安全通道将私钥传至ESE并存储在该ESE中。
请求步骤S2,向虚拟运营商服务器发送下载号卡资源的请求及上传由生成步骤S11中生成的公钥。
SoftsimAPP通过通信数据通道向虚拟运营商(VirtualNetworkOperator,VNO)的服务器请求获取号卡资源,并将公钥发送给虚拟运营商服务器。
在本实施例中,号卡资源中包括了虚拟用户身份识别卡的信息。
虚拟运营商服务器在接收到请求及公钥后,对包括国际移动客户识别码ISMI、鉴权密钥Ki、运营商密钥Opc、鉴权算法的号卡资源全部使用公钥进行RSA加密生成密文,并将加密之后的号卡资源通过通信数据通道发送至SoftsimAPP。
获取步骤S3,接收虚拟运营商服务器基于公钥进行加密的号卡资源,在TEE中,基于存储在ESE中的私钥对接收到的号卡资源进行解密,并将解密之后的号卡资源存储在该ESE中。
SoftsimAPP在接收到经加密的号卡资源后,将经加密的号卡资源传至第一可信应用,第一可信应用通过第一安全通道从ESE中获取私钥,并使用私钥对加密的号卡资源进行RSA解密,将密文解密为明文,从中得到号卡资源,并将号卡资源通过第一安全通道传至ESE中并存储在该ESE中,在完全存储后,关闭第一安全通道。在本发明一个实施例中,也可以不关闭第一安全通道。
鉴权步骤S4,当接收到激活虚拟用户身份的指令后,在TEE中,基于接收到的鉴权参数与存储在ESE中的号卡资源对终端用户的接入身份进行鉴权。
当要激活虚拟SIM卡时,用户操控SoftsimAPP主动触发安全流程,从REE切换到TEE,运行在TEE下的可信操作系统(TrustedOS)执行与SoftsimAPP对应的第二可信应用。
当收到核心网的鉴权请求及其通过基带传递给第二可信应用的鉴权参数后,在TEE与ESE之间建立第二安全通道,第二可信应用通过第二安全通道从ESE中获取号卡资源,从获取的号卡资源中提取IMSI与鉴权算法,结合收到的鉴权参数,如鉴权标记AUTN与随机参数RAND,采用USIM/SIM鉴权算法A3A5,计算出响应结果SRES及其他K值,并将IMSI、SRES及其他K值通过基带返回给核心网。
核心网收到IMSI、SRES及其他K值后,进行网络侧鉴权。
获取虚拟用户身份的方法第二实施例
本实施例中的移动终端设备中设有嵌入式安全模块(embeddedSecureElement,ESE),且具有运行在普通执行环境(RichExecutionEnvironment,REE)中的客户端应用程序SoftsimAPP。
参见图1,获取虚拟用户身份的方法由生成步骤S1、请求步骤S2、获取步骤S3及鉴权步骤S4构成。
生成步骤S1,在ESE中生成公钥与私钥,并将私钥存储在该ESE中。
当用户达到漫游所在地后,用户操作SoftsimAPP向ESE发送安全操作请求,ESE在接收到安全操作的请求后,执行RSA公钥加密算法生成密钥对--公钥(RSAPublicKey)与私钥(RSAPrivateKey),并在REE与ESE之间建立第一安全通道,其中,私钥存储在ESE中,将公钥通过第一安全通道传至SoftsimAPP。
请求步骤S2,向虚拟运营商服务器发送下载号卡资源的请求及上传由生成步骤S1中生成的公钥。
SoftsimAPP通过通信数据通道向虚拟运营商(VirtualNetworkOperator,VNO)服务器请求获取号卡资源,并将公钥发送给虚拟运营商服务器。
虚拟运营商服务器在接收到请求及公钥后,对包括国际移动客户识别码ISMI、鉴权密钥Ki、运营商密钥Opc、鉴权算法的号卡资源全部使用公钥进行RSA加密生成密文,并将加密之后的号卡资源通过通信数据通道发送至SoftsimAPP。
获取步骤S3,接收虚拟运营商服务器基于公钥进行加密的号卡资源,在ESE中,基于存储在该ESE中的私钥对接收到的号卡资源进行解密,并将解密之后的号卡资源存储在该ESE中。
SoftsimAPP在接收到经加密的号卡资源后,将其通过第一安全通道传至ESE,在ESE中,使用私钥对加密的号卡资源进行RSA解密,将密文解密为明文,从中得到号卡资源及将号卡资源存储在该ESE中,并关闭第一安全通道。
鉴权步骤S4,当接收到激活虚拟用户身份的指令后,在ESE中,基于接收到的鉴权参数与存储在该ESE中的号卡资源对终端用户的接入身份进行鉴权。
当要激活虚拟用户身份时,用户操作SoftsimAPP向ESE发送安全操作请求。
当收到核心网的鉴权请求及核心网通过基带传递给ESE的鉴权参数。在ESE中,从存储在ESE中的号卡资源中提取IMSI,结合收到鉴权参数,如鉴权标记AUTN与随机参数RAND,采用USIM/SIM鉴权算法A3A5,计算出响应结果SRES及其他K值,并将IMSI、SRES及其他K值通过基带返回给核心网。
核心网收到IMSI、SRES及其他K值后,进行网络侧鉴权。
获取虚拟用户身份的装置第一实施例
参见图2,获取虚拟用户身份的装置1包括生成单元10、请求单元11、获取单元12及鉴权单元13。
生成单元10用于在TEE中生成公钥与存储在ESE中的私钥,包括接收模块、生成模块与操作模块。
生成模块用于在可信执行环境中执行RSA公钥加密算法生成密钥对--公钥与私钥;操作模块用于在TEE与ESE之间建立第一安全通道,将公钥传给SoftsimAPP,及通过第一安全通道将私钥传给ESE并在该ESE中存储。
请求单元11用于向虚拟运营商服务器发送下载号卡资源的请求及上传公钥,包括请求模块与上传模块。
请求模块用于通过通信数据通道向虚拟运营商服务器请求下载号卡资源,号卡资源包括国际移动客户识别码ISMI、鉴权密钥Ki、运营商密钥Opc、鉴权算法;上传模块用于将生成单元10的操作模块传送的公钥传给虚拟运营商服务器,以供虚拟运营商服务器基于该公钥对请求模块所请求的号卡资源进行RSA加密。
获取单元12用于接收虚拟运营商服务器基于公钥进行加密的号卡资源,在TEE中,基于私钥对接收到的号卡资源进行解密,并将解密之后的号卡资源存储在ESE中;其包括接收模块、解密模块及操作模块。
接收模块用于通过通信数据通道接收虚拟运营商服务器发送的经RSA加密之后的号卡资源;解密模块用于在TEE中基于存储在ESE中的私钥,对接收到的号卡资源进行RSA解密;操作模块用于将解密后的号卡资源通过第一安全通道传给ESE并在该ESE中存储。
鉴权单元13用于当接收到激活虚拟用户身份的指令后,在TEE中基于接收到的鉴权参数与存储在ESE中的号卡资源对终端用户的接入身份进行鉴权;其包括接收模块、处理模块及传输模块。
接收模块用于接收激活虚拟SIM卡的指令及核心网通过基带传输的鉴权参数;处理模块用于在TEE中,基于接收到的鉴权参数与存储在ESE中的号卡资源,采用USIM/SIM鉴权算法A3A5,计算出响应结果SRES及其他K值;传输模块用于将IMSI、SRES及其他K值通过基带返回给核心网。
获取虚拟用户身份的装置第二实施例
参见图2,获取虚拟用户身份的装置1包括生成单元10、请求单元11、获取单元12及鉴权单元13。
生成单元10用于在ESE中生成公钥与存储在该ESE中的私钥,包括生成模块与操作模块。
生成模块用于在接收到安全操作的请求后,在ESE中执行RSA公钥加密算法生成密钥对--公钥与私钥;操作模块用于在REE与ESE之间建立第一安全通道,并将公钥传给SoftsimAPP及通过第一安全通道将私钥传给ESE并在该ESE中存储。
请求单元11用于向虚拟运营商服务器发送下载号卡资源的请求及上传公钥,包括请求模块与上传模块。
请求模块用于通过通信数据通道向虚拟运营商服务器请求下载号卡资源,号卡资源包括国际移动客户识别码ISMI、鉴权密钥Ki、运营商密钥Opc、鉴权算法;上传模块用于将生成单元10的操作模块传送的公钥传给虚拟运营商服务器,以供虚拟运营服务器基于该公钥对请求模块所请求的号卡资源进行RSA加密。
获取单元12用于接收虚拟运营商服务器基于公钥进行加密的号卡资源,在ESE中,基于私钥对接收到的号卡资源进行解密,并将解密之后的号卡资源存储在该ESE中;其包括接收模块、解密模块及操作模块。
接收模块用于通过通信数据通道接收虚拟运营商服务器发送的经RSA加密之后的号卡资源;解密模块用于在ESE中基于存储在该ESE中的私钥,对接收到的号卡资源进行RSA解密;操作模块用于将解密后的号卡资源存储在该ESE中。
鉴权单元13用于当接收到激活虚拟用户身份的指令后,在ESE中基于接收到的鉴权参数与存储在该ESE中的号卡资源对终端用户的接入身份进行鉴权;其包括接收模块、处理模块及传输模块。
接收模块用于接收激活虚拟用户身份的指令及核心网通过基带传输的鉴权参数;处理模块用于在ESE中,基于接收到的鉴权参数与存储在ESE中的号卡资源,采用USIM/SIM鉴权算法A3A5,计算出响应结果SRES及其他K值;传输模块用于将IMSI、SRES及其他K值通过基带返回给核心网。
本发明的主要构思是通过在TEE或ESE中实现获取虚拟用户身份的过程及将号卡资源存储在ESE中,有效地确保号卡资源的安全及获取虚拟用户身份过程的安全性,根据本构思,生成公钥与私钥的算法还有多种显而易见的变化,进行鉴权的方法还有多种显而易见的变化。
Claims (10)
1.一种获取虚拟用户身份的方法,其特征在于,包括:
生成步骤,在可信执行环境中生成公钥与私钥,所述私钥存储在嵌入式安全模块中;
请求步骤,向虚拟运营商服务器发送下载号卡资源的请求及上传所述公钥;
获取步骤,接收所述虚拟运营商服务器基于所述公钥进行加密的号卡资源,在所述可信执行环境中基于所述私钥对接收到的号卡资源进行解密,并将解密后的号卡资源存储在所述嵌入式安全模块中;
鉴权步骤,在所述可信执行环境中,基于接收到的鉴权参数与存储在所述嵌入式安全模块中的号卡资源对终端用户的接入身份进行鉴权。
2.根据权利要求1所述获取虚拟用户身份的方法,其特征在于,所述生成步骤包括:
接收下载号卡资源的请求;
触发所述可信执行环境下的可信操作系统执行第一可信应用,所述第一可信应用执行公钥加密算法生成所述公钥与所述私钥;
在所述可信执行环境与所述嵌入式安全模块间建立第一安全通道,并通过所述第一安全通道将所述私钥传给所述嵌入式安全模块并存储在所述嵌入式安全模块中。
3.根据权利要求2所述获取虚拟用户身份的方法,其特征在于,所述获取步骤包括:
接收所述虚拟运营商服务器基于所述公钥进行加密的号卡资源;
将所述加密的号卡资源传给所述第一可信应用;
所述第一可信应用使用所述私钥对所述加密的号卡资源进行解密,获取解密后的号卡资源,并通过所述第一安全通道将所述解密后的号卡资源传给所述嵌入式安全模块及存储在所述嵌入式安全模块中。
4.根据权利要求1至3任一项所述获取虚拟用户身份的方法,其特征在于,所述鉴权步骤包括:
接收激活所述虚拟用户身份的请求;
触发运行在所述可信执行环境下的可信操作系统执行第二可信应用;
所述第二可信应用通过基带接收核心网发送的所述鉴权参数;
在所述可信执行环境与所述嵌入式安全模块间建立第二安全通道;
所述第二可信应用通过所述第二安全通道从所述嵌入式安全模块中获取鉴权算法与国际移动客户识别码,并基于所述鉴权参数执行所述鉴权算法获得响应结果,并将所述响应结果与所述国际移动客户识别码通过基带返回给所述核心网。
5.一种获取虚拟用户身份的装置,其特征在于,包括:
生成单元,用于在可信执行环境中生成公钥与存储在嵌入式安全模块中的私钥;
请求单元,用于向虚拟运营商服务器发送下载号卡资源的请求及上传所述公钥;
获取单元,用于接收所述虚拟运营商服务器基于所述公钥进行加密的号卡资源,在所述可信执行环境中基于所述私钥对接收到的号卡资源进行解密,并将解密后的号卡资源存储在所述嵌入式安全模块中;
鉴权单元,用于在所述可信执行环境中基于接收到的鉴权参数与存储在所述嵌入式安全模块中的号卡资源对终端用户的接入身份进行鉴权。
6.一种获取虚拟用户身份的方法,其特征在于,包括:
生成步骤,在嵌入式安全模块中生成公钥与私钥,所述私钥存储在所述嵌入式安全模块中;
请求步骤,向虚拟运营商服务器发送下载号卡资源的请求及上传所述公钥;
获取步骤,接收所述虚拟运营商服务器基于所述公钥进行加密的号卡资源,在所述嵌入式安全模块中基于所述私钥对接收到的号卡资源进行解密,并将解密后的号卡资源存储在所述嵌入式安全模块中;
鉴权步骤,在所述嵌入式安全模块中基于接收到的鉴权参数与存储在所述嵌入式安全模块中的号卡资源对终端用户的接入身份进行鉴权。
7.根据权利要求6所述获取虚拟用户身份的方法,其特征在于,所述生成步骤包括:
客户端应用接收下载号卡资源的请求,并向所述嵌入式安全模块发送安全操作请求;
在所述嵌入式安全模块中,执行公钥加密算法生成所述公钥与所述私钥,并将所述私钥存储在所述嵌入式安全模块中,及在普通执行环境与所述嵌入式安全模块间建立第一安全通道,并通过所述第一安全通道将所述公钥传给所述客户端应用。
8.根据权利要求7所述获取虚拟用户身份的方法,其特征在于,所述获取步骤包括:
接收所述虚拟运营商服务器基于所述公钥进行加密的号卡资源;
所述客户端应用将所述加密的号卡资源通过所述第一安全通道传给所述嵌入式安全模块;
完成所述加密的号卡资源的传输后,关闭所述第一安全通道;
在所述嵌入式安全模块中,使用所述私钥对所述加密的号卡资源进行解密,获取解密后的号卡资源,并将所述解密后的号卡资源存储在所述嵌入式安全模块中。
9.根据权利要求6至8任一项所述获取虚拟用户身份的方法,其特征在于,所述鉴权步骤包括:
客户端应用接收激活所述虚拟用户身份的请求后,向所述嵌入式安全模块发送安全操作请求;
所述嵌入式安全模块接收安全操作请求及通过基带接收核心网发送的所述鉴权参数,在所述嵌入式安全模块中,基于所述鉴权参数执行鉴权算法获得响应结果,并将所述响应结果与从所述解密后的号卡资源中提取的国际移动客户识别码通过基带返回给所述核心网。
10.一种获取虚拟用户身份的装置,其特征在于,包括:
生成单元,用于在嵌入安全模块中生成公钥与存储在所述嵌入式安全模块中的私钥;
请求单元,用于向虚拟运营商服务器发送下载号卡资源的请求及上传所述公钥;
获取单元,用于接收所述虚拟运营商服务器基于所述公钥进行加密的号卡资源,在所述嵌入式安全模块中基于所述私钥对接收到的号卡资源进行解密,并将解密后的号卡资源存储在所述嵌入式安全模块中;
鉴权单元,在所述嵌入式安全模块中基于接收到的鉴权参数与存储在所述嵌入式安全模块中的号卡资源对终端用户的接入身份进行鉴权。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610162030.1A CN105828324A (zh) | 2016-03-21 | 2016-03-21 | 一种获取虚拟用户身份的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610162030.1A CN105828324A (zh) | 2016-03-21 | 2016-03-21 | 一种获取虚拟用户身份的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105828324A true CN105828324A (zh) | 2016-08-03 |
Family
ID=56524166
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610162030.1A Pending CN105828324A (zh) | 2016-03-21 | 2016-03-21 | 一种获取虚拟用户身份的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105828324A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106658474A (zh) * | 2016-10-31 | 2017-05-10 | 上海路随通信科技有限公司 | 利用嵌入式安全元件实现sim卡数据安全防护方法 |
| CN108156143A (zh) * | 2017-12-14 | 2018-06-12 | 上海格尔安全科技有限公司 | 基于可信执行环境的Android应用程序之间的安全通信方法 |
| CN109600725A (zh) * | 2019-01-04 | 2019-04-09 | 广东安创信息科技开发有限公司 | 一种基于sm9算法的短信加密方法 |
| CN110264197A (zh) * | 2019-05-20 | 2019-09-20 | 阿里巴巴集团控股有限公司 | 结合事件函数类型和判断条件的收据存储方法和节点 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013055255A1 (ru) * | 2011-10-12 | 2013-04-18 | Нейрон.Ком.Лимитед | Способ и система предоставления услуг абонентам мобильной связи |
| CN103415017A (zh) * | 2013-08-23 | 2013-11-27 | 深圳市中兴物联科技有限公司 | 虚拟sim卡的方法、装置及移动终端 |
| CN104244229A (zh) * | 2014-09-15 | 2014-12-24 | 苏州蜗牛数字科技股份有限公司 | 一种基于智能终端的虚拟号码网络鉴权处理系统与方法 |
| CN104378729A (zh) * | 2014-06-30 | 2015-02-25 | 北京神州泰岳软件股份有限公司 | 移动通信网络业务实现方法和移动终端系统 |
| CN104955031A (zh) * | 2015-04-27 | 2015-09-30 | 小米科技有限责任公司 | 信息传输方法及装置 |
| CN105007577A (zh) * | 2015-06-19 | 2015-10-28 | 宇龙计算机通信科技(深圳)有限公司 | 一种虚拟sim卡参数管理方法、移动终端及服务器 |
-
2016
- 2016-03-21 CN CN201610162030.1A patent/CN105828324A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013055255A1 (ru) * | 2011-10-12 | 2013-04-18 | Нейрон.Ком.Лимитед | Способ и система предоставления услуг абонентам мобильной связи |
| CN103415017A (zh) * | 2013-08-23 | 2013-11-27 | 深圳市中兴物联科技有限公司 | 虚拟sim卡的方法、装置及移动终端 |
| CN104378729A (zh) * | 2014-06-30 | 2015-02-25 | 北京神州泰岳软件股份有限公司 | 移动通信网络业务实现方法和移动终端系统 |
| CN104244229A (zh) * | 2014-09-15 | 2014-12-24 | 苏州蜗牛数字科技股份有限公司 | 一种基于智能终端的虚拟号码网络鉴权处理系统与方法 |
| CN104955031A (zh) * | 2015-04-27 | 2015-09-30 | 小米科技有限责任公司 | 信息传输方法及装置 |
| CN105007577A (zh) * | 2015-06-19 | 2015-10-28 | 宇龙计算机通信科技(深圳)有限公司 | 一种虚拟sim卡参数管理方法、移动终端及服务器 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106658474A (zh) * | 2016-10-31 | 2017-05-10 | 上海路随通信科技有限公司 | 利用嵌入式安全元件实现sim卡数据安全防护方法 |
| CN106658474B (zh) * | 2016-10-31 | 2019-11-19 | 上海路随通信科技有限公司 | 利用嵌入式安全元件实现sim卡数据安全防护方法 |
| CN108156143A (zh) * | 2017-12-14 | 2018-06-12 | 上海格尔安全科技有限公司 | 基于可信执行环境的Android应用程序之间的安全通信方法 |
| CN109600725A (zh) * | 2019-01-04 | 2019-04-09 | 广东安创信息科技开发有限公司 | 一种基于sm9算法的短信加密方法 |
| CN110264197A (zh) * | 2019-05-20 | 2019-09-20 | 阿里巴巴集团控股有限公司 | 结合事件函数类型和判断条件的收据存储方法和节点 |
| CN110264197B (zh) * | 2019-05-20 | 2021-05-18 | 创新先进技术有限公司 | 结合事件函数类型和判断条件的收据存储方法和节点 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11146568B2 (en) | Method and apparatus for providing profile | |
| CN107534856B (zh) | 用于在无线通信系统中管理终端的简档的方法和装置 | |
| CN105813060B (zh) | 一种获取虚拟用户身份的方法及装置 | |
| US9191818B2 (en) | Methods and devices for OTA management of subscriber identity modules | |
| EP3249849B1 (en) | Key agreement for wireless communication | |
| US9300474B2 (en) | Enhanced authentication and/or enhanced identification of a secure element of a communication device | |
| CN102594555B (zh) | 数据的安全保护方法、网络侧实体和通信终端 | |
| US20110055909A1 (en) | Methods, apparatus, and computer program products for subscriber authentication and temporary code generation | |
| US20190289463A1 (en) | Method and system for dual-network authentication of a communication device communicating with a server | |
| US11336445B2 (en) | Method for updating a one-time secret key | |
| CN102318386A (zh) | 向网络的基于服务的认证 | |
| CN104521213A (zh) | 网络认证规程中的认证挑战参数的操纵和恢复 | |
| CA2820502A1 (en) | Key agreement using a key derivation key | |
| JP2006050523A (ja) | 認証ベクトル生成装置、加入者認証モジュール、移動通信システム、認証ベクトル生成方法、演算方法及び加入者認証方法 | |
| CN105828324A (zh) | 一种获取虚拟用户身份的方法及装置 | |
| CN103581154A (zh) | 物联网系统中的鉴权方法和装置 | |
| CN109151823A (zh) | eSIM卡鉴权认证的方法及系统 | |
| CN109756451B (zh) | 一种信息交互方法及装置 | |
| KR20180021838A (ko) | 보안 요소를 인증하기 위한 적어도 하나의 인증 파라미터를 교체하는 방법, 및 대응하는 보안 요소 | |
| EP3550765A1 (en) | Service provisioning | |
| US10028141B2 (en) | Method and system for determining that a SIM and a SIP client are co-located in the same mobile equipment | |
| EP2961208A1 (en) | Method for accessing a service and corresponding application server, device and system | |
| CN111246464A (zh) | 身份鉴别方法、装置和系统、计算机可读存储介质 | |
| KR101603476B1 (ko) | 이중 채널을 이용한 이중 인증 방법 | |
| EP3024194A1 (en) | Method for accessing a service and corresponding server, device and system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160803 |
|
| RJ01 | Rejection of invention patent application after publication |