CN107211026B - 用于移动设备中的用户认证和人类意图验证的方法和装置 - Google Patents
用于移动设备中的用户认证和人类意图验证的方法和装置 Download PDFInfo
- Publication number
- CN107211026B CN107211026B CN201680008588.2A CN201680008588A CN107211026B CN 107211026 B CN107211026 B CN 107211026B CN 201680008588 A CN201680008588 A CN 201680008588A CN 107211026 B CN107211026 B CN 107211026B
- Authority
- CN
- China
- Prior art keywords
- mobile device
- esim
- user
- euicc
- secure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Abstract
本发明公开了用于包括在移动设备中的eUICC的eSIM的管理操作的用户认证和人类意图验证的方法和装置。eSEVI和/或eUICC固件的某些管理操作(诸如导入、修改和/或导出)可需要在由移动设备执行或完成管理操作的执行之前的用户认证和/或人类意图验证。移动设备的用户在eSEVI安装在eUICC上之时(或之后)提供将外部用户帐户链接到eSEVI的信息。可使用用户凭证(诸如用户名和密码,和/或从其生成的信息)来向外部服务器认证用户。响应于成功的用户认证,管理操作可被执行。人类意图验证还可与用户认证一起执行,以防止恶意软件干扰移动设备的eSIM和/或eUICC功能。
Description
技术领域
所描述的实施方案阐述了针对移动设备内的集成组件(诸如被配置为管理电子用户身份模块(eSIM)的嵌入式通用集成电路卡(eUICC))的管理操作的用户认证和人类意图验证的技术。
背景技术
许多移动设备被配置为接收使得移动设备能够访问由移动网络运营商(MNO)提供的服务的可移除通用集成电路卡(UICC)。具体地,每个UICC至少包括微处理器和只读存储器(ROM),其中ROM被配置为存储MNO配置文件,移动设备可使用此MNO配置文件来向MNO注册并与其进行交互。通常,UICC采取小的可移除卡的形式(通常称为用户身份模块(SIM)卡),其被配置为插入到包括在移动设备中的UICC接收区中。然而,在最近的具体实施中,将UICC直接嵌入到移动设备的系统板中。值得注意的是,这些嵌入式UICC(eUICC)可提供优于传统的可移除UICC的若干优点。例如,一些eUICC包括可重写存储器,可重写存储器可有利于一个或多个eSIM的安装、修改和/或删除,这可提供新的和/或不同的服务和/或可更新用于访问由MNO提供的扩展特征部。eUICC还可消除在移动设备内对UICC接收区的需求。因此eUICC的采用不仅提高了移动设备的灵活性,而且还简化了它们的设计并释放了用于其他部件的空间。
在一些情况下,可需要为eUICC的eSIM和/或eUICC的固件执行各种管理功能,使得eUICC可向包括eUICC的移动设备的用户提供新的或增强的服务。然而,由于硬件组件可变成永久不可操作,和/或当管理功能未经授权和/或正确执行时MNO可遭受恶意软件攻击,因此更改eSIM和/或eUICC功能的此类管理功能可相当危险。该缺点对于eUICC是特别重要的,因为它们嵌入在移动设备内,并且当发生固件损坏时不能容易地更换。
发明内容
本文中阐述的代表性实施方案公开了用于包括在移动设备中的eUICC的管理操作的用户认证和人类意图验证的各种技术。在一些实施方案中,用于一个或多个eSIM和/或用于移动设备的eUICC的eUICC固件的一组管理操作中的一个或多个管理操作可需要在针对eSIM和/或移动设备的eUICC执行一个或多个管理操作之前进行用户认证,例如,验证特定用户,一组用户或具有管理权限的用户。代表性的管理操作包括为移动设备的eUICC安装、修改、删除、导入、导出、启用和/或禁用eSIM的操作。在一些实施方案中,可识别某些管理操作和/或某些eSIM(其可包括所有eSIM)和/或eUICC的某些固件更新以要求附加的用户认证和/或人类意图验证。在一些实施方案中,移动设备的用户提供信息以将一个或多个外部用户帐户链接到一个或多个eSIM。代表性的外部用户帐户可包括但不限于诸如Yahoo和/或Gmail的电子邮件帐户,诸如Facebook和/或Twitter的社交网站帐户,诸如Apple ID帐户的计算设备帐户等。在一些实施方案中,链接到外部用户帐户发生在eSIM安装时和/或eSIM安装之后。在一些实施方案中,针对移动设备的eUICC的一个或多个现有eSIM发生对外部用户帐户的链接的改变,例如,将不同的外部用户帐户替换为现有的外部用户帐户。在一些实施方案中,某些eSIM操作可需要使用凭证(诸如用户名和密码)(和/或从此类证书生成的信息)来进行用户的认证以使用外部服务器对用户进行认证,例如可经由通过有线和/或无线链路的安全通信可达。在一些实施方案中,在移动设备处生成和/或获得安全令牌并传送到外部服务器,其中安全令牌包括用户凭证信息,并且外部服务器与第三方服务器通信(例如,由第三方服务诸如Yahoo、Google、Facebook、Twitter等维护)以基于包括在安全令牌中的用户凭证信息对用户进行认证。响应于从外部服务器接收到用户被认证的指示,可执行针对eSIM和/或针对eUICC的管理操作。在一些实施方案中,针对eSIM和/或针对eUICC的管理操作可单独地和/或除了用户认证之外需要人类意图验证,例如以确认一个或多个请求的管理操作是预期由移动设备的人类用户执行,例如,以防止恶意软件、软件机器人和/或远程黑客干扰eSIM和/或干扰移动设备的eUICC的eUICC功能。在一些实施方案中,人类意图验证可包括用于获得可验证信息的安全输入/输出(I/O)装置,该可验证信息可被检查以确定针对eSIM和/或针对eUICC的所请求的管理操作是由人意图的,包括例如由特定的人。代表性的I/O装置包括生物识别传感器,例如指纹扫描仪、虹膜检测器和/或相机面部识别、安全显示器和/或安全键盘,例如,以请求并接受密码、个人识别号(PIN)码、签名等等,以及人/机器区分软件。安全I/O可耦接到安全认证解决方案,诸如移动设备中的嵌入式安全元件(eSE)和/或受信执行环境(TEE),用于基于捕获的可验证信息来验证人类和/或特定人类意图对移动设备的一个或多个eSIM和/或eUICC执行一个或多个管理操作。在一些实施方案中,诸如eSIM的功能和/或eUICC的本地管理功能的管理操作组可被限制为单独地和/或与通过外部服务器的用户认证相结合而需要人类意图验证。在一些实施方案中,一组一个或多个eSIM和/或针对一个或多个eSIM的一组管理操作可免于人类意图验证和/或用户认证。在特定情况下,针对一组一个或多个eSIMs可适用检查人类意图验证和/或用户认证的豁免。某些管理操作,诸如切换到指定用于特定受限功能的eSIM,诸如用于获取和/或安装常规eSIM的配置eSIM可免除验证人类意图和/或认证用户。类似地,切换到用于紧急通信的eSIM也可免除人类意图验证和/或用户认证。然而,从配置eSIM和/或紧急服务eSIM切换到常规eSIM仍然可能需要人类意图验证和/或用户认证。
提供所述发明内容仅仅是为了概述一些示例性实施方案,以便提供对本文所述主题的一些方面的基本了解。因此,应当理解,上文所述的特征仅为实施例并且不应理解为以任何方式缩小本文所述主题的范围或实质。本文所述主题的其他特征、方面和优点将根据以下具体实施方式、附图和权利要求书而变得显而易见。
根据结合以举例的方式示出所述实施方案的原理的附图而进行的以下详细描述,本文所述的实施方案的其他方面和优点将变得显而易见。
附图说明
所包括的附图用于说明性目的,并且仅能够提供用于提供无线计算设备的所公开的本发明的装置和方法的可能结构和布置的示例。这些附图决不限制本领域的技术人员在不脱离实施方案的实质和范围的前提下可对实施方案进行的在形式和细节方面的任何更改。所述实施方案通过下面结合附图的具体描述将更易于理解,其中类似的附图标记表示类似的结构元件:
图1A示出了根据一些实施方案的被配置为实现本文描述的各种技术的系统的不同组件的框图。
图1B示出了根据一些实施方案的被配置为实现本文描述的各种技术的系统的不同组件的另一框图。
图2示出了根据一些实施方案的图1A和1B的系统的特定组件的更详细视图的框图。
图3示出了根据一些实施方案的包括在移动设备中的用于人类意图验证和/或用户认证的组件的框架的框图。
图4示出了根据一些实施方案的用于使用移动设备中的生物识别传感器进行验证和/或认证的组件的代表性配置的框图。
图5A和5B示出了根据一些实施方案的用于将嵌入式安全元件与移动设备中的eUICC配对的顺序图。
图6示出了根据一些实施方案的用于使用移动设备中的受信执行环境(TEE)进行验证和/或认证的组件的代表性配置的框图。
图7A至7D示出了根据一些实施方案的由移动设备经由外部服务器导出具有用户认证的eSIM的序列图。
图8A至8D示出了根据一些实施方案的由移动设备经由外部服务器安装具有用户认证的eSIM的顺序图。
图9A和9B示出了根据一些实施方案的用于eSIM和/或移动设备的eUICC的管理操作的用户认证的代表性方法。
图10A和10B示出了根据一些实施方案的用于eSIM和/或移动设备的eUICC的管理操作的人类意图验证的代表性方法。
图11示出了根据一些实施方案的可用于实现各个组件的计算设备的详细视图。
具体实施方式
在本部分中提供了根据本发明所述的实施方案的装置和方法的代表性应用。提供这些示例仅是为了添加上下文并有助于理解所述实施方案。对于本领域的技术人员因此将显而易见的是,本发明所述的实施例可在不具有这些具体细节中的一些或全部的情况下实施。在其它情况下,未详细描述熟知的工艺步骤,以便避免不必要地模糊本发明所述的实施方案。其它应用也是可能的,使得以下实例不应视为是限制性的。
本文阐述的实施方案提供了用于针对移动设备的eUICC的eSIM和/或直接针对eUICC的管理操作的用户认证和人类意图验证的各种技术。可需要对针对eSIM的某些管理操作诸如导入、安装、修改、删除和导出等进行身份验证,以保护eUICC和/或eUICC的eSIM免受可影响移动设备的正常操作和/或影响由一个或多个移动网络运营商管理的移动设备通过其进行通信的无线网络的恶意软件攻击或者其他恶意操作。在一些实施方案中,本文公开了例如经由用于第三方服务(诸如Apple ID、Facebook、Yahoo、Gmail、Twitter)的用户帐户凭证或者移动设备的用户可与其相关联的其他服务账户进行的用户认证。
在一些实施方案中,响应于在移动设备的eUICC上导入、添加或安装一个或多个eSIM,可提示移动设备的用户将一个或多个用户帐户与哪个eSIM相关联以认证用户,例如,用于一个或多个eSIM的当前管理操作和/或将来的管理操作。在一些实施方案中,可经由移动设备的安全输入/输出提示用户,以提供用户可被认证的用户凭证,例如用户帐户信息、用户帐户登录ID、密码(password)、密码(passcode)、签名、指纹、虹膜扫描、脸部扫描等。移动设备可基于用户凭证获得认证令牌,并且移动设备的eUICC可生成可被发送到被配置为管理一个或多个移动网络运营商(MNO)的移动设备的eSIM的外部服务器,例如3级(L3)服务器的消息,例如签名有效载荷。在一些实施方案中,L3服务器提供一次性代码(OTC),其用作临时认证令牌,以证明在完成一个或多个eSIM的一个或多个管理操作期间移动设备的用户被认证。至少在完成一个或多个eSIM的一个或多个管理操作时,OTC可从L3服务器传送到移动设备的eUICC,以验证用户认证,而不需要与L3服务器进行额外的通信以进行用户认证。在一些实施方案中,OTC在有限的时间段内是有效的,并且在有限的时间段之后到期。在一些实施方案中,L3服务器至少部分地基于在消息中提供的用户凭证(或从其导出的信息)与一个或多个第三方服务器通信以认证用户。
在一些实施方案中,响应于与用户凭证相关联的eSIM的管理操作的启动,移动设备可从eUICC获得关于eSIM的用户认证的信息,例如相关联的服务的指示、第三方服务器、用户凭证、从用户凭证导出的信息等,并且移动设备可提示用户输入eSIM的全部或一部分用户凭证。在一些实施方案中,用户通过移动设备的安全输入/输出(I/O)全部或部分地输入凭证。移动设备可获得存储的认证令牌和/或使用用户凭证将消息传送到L3服务器,L3服务器继而可与第三方服务器进行通信,以认证用户被授权以使得完成eSIM的管理操作。响应于从L3服务器接收到用户的成功认证的指示,移动设备可执行(和/或完成执行)eSIM的管理操作。
在一些实施方案中,移动设备的用户可使移动设备的eUICC的eSIM的一个或多个管理操作由诸如经由L3服务器和/或经由第三方服务器的外部服务器发起。在一些实施方案中,用户可通过经由L3服务器和/或经由第三方服务器输入用户凭证来启动eSIM管理操作,并且L3服务器可向移动设备的eUICC提供消息,例如认证令牌。作为用户认证的证明的结果,例如,基于提供给移动设备的eUICC的认证令牌,可在移动设备的eUICC处执行eSIM管理操作。
在一些实施方案中,可使用生物识别传感器来确定特定用户和/或验证人类意图以执行移动设备的eUICC的eSIM的一个或多个管理操作。在一些实施方案中,生物识别传感器与嵌入式安全元件耦接,该嵌入式安全元件存储通过其可认证用户和/或通过其可确定人类意图验证的信息。在一些实施方案中,嵌入式安全元件存储绑定到移动设备的eUICC的密钥和/或证书,诸如在密钥和/或证书中包括eUICC的特定芯片识别号。在一些实施方案中,需要识别特定用户以执行某些管理操作,例如从移动设备的eUICC删除或导出eSIM。
在一些实施方案中,移动设备包括嵌入式安全元件和/或与eUICC耦接的受信执行环境,以便提供用户认证和/或人类意图验证来执行(和/或完成执行)针对移动设备的eUICC的一个或多个eSIM的某些管理操作。在一些实施方案中,移动设备的eUICC使用外部服务器(诸如单独的L3服务器或与另一第三方服务器组合)来提供用户认证。在一些实施方案中,嵌入式安全元件和/或受信执行环境使用诸如具有共享秘密、对称密钥等的安全通信来执行与eUICC的相互认证。在一些实施方案中,嵌入式安全元件和/或受信执行环境使用与eUICC和外部服务器(诸如与管理移动设备的eUICC的一个或多个eSIM的L3服务器)之间使用的相同的协议彼此相互认证。在一些实施方案中,在移动设备的制造期间,eUICC和嵌入式安全元件与对称密钥和/或证书配对。在一些实施方案中,eUICC和嵌入式安全元件和/或受信执行环境在制造移动设备之后与对称密钥和/或证书配对,诸如使用经由外部L3服务器的验证和注入移动设备的密钥/证书。
在一些实施方案中,一组一个或多个eSIM和/或用于一个或多个eSIM的一组一个或多个管理操作不受人类意图验证和/或用户认证的约束。某些eSIM可提供不需要额外的人类意图验证和/或用户认证的有限的专门功能,并且在一些实施方案中,切换到、安装、启用和/或激活这些eSIM中的一者可免除对人类意图和/或特定用户授权使用eSIM的检查。提供通过无线网络(和/或通过有线网络)进行通信以安装、启用和/或激活常规eSIM的配置eSIM可免除针对某些管理eSIM操作的人类意图验证和/或用户认证,诸如当切换到、安装、启用和/或激活配置eSIM时。类似地,当在某些情况下紧急通信eSIM或针对通信提供受限功能的另一eSIM也可在切换到、安装、启用和/或激活紧急服务eSIM时免于人类意图验证和/或用户认证。然而,在一些实施方案中,当从配置eSIM或紧急服务eSIM切换到常规eSIM时,可需要人类意图验证和/或用户认证。下面结合图1A至11更详细地描述上述技术。
根据本文描述的各种实施方案,术语无线通信设备、无线设备、移动设备、移动站和用户设备(UE)本文可互换使用来描述可能够执行与本公开的各种实施方案相关联的程序的一个或多个普通消费电子设备。根据各种具体实施,这些消费电子设备中的任何一者可涉及:蜂窝电话或智能电话、平板电脑、膝上型计算机、笔记本计算机、个人计算机、上网本计算机、媒体播放器设备、电子书设备、
设备、可穿戴式计算设备,以及具有无线通信能力的任何其他类型的电子计算设备,其可包括经由一个或多个无线通信协议的通信,诸如用于以下的通信:无线广域网(WWAN)、无线城域网(WMAN)、无线局域网(WLAN)、无线个域网(WPAN)、近场通信(NFC)、蜂窝无线网络、第四代(4G)长期演进(LTE)、LTE高级(LTE-A)和/或5G或其他现有或未来开发的高级蜂窝无线网络。
在一些实施方案中,无线通信设备还可作为无线通信系统的一部分来操作,无线通信系统可包括一组客户端设备(其也可称为移动设备)、无线移动设备、站、客户端无线设备或客户端无线通信设备,互连到接入点(AP),例如,作为WLAN的一部分,和/或彼此互连,例如,作为WPAN和/或自组织无线网络的一部分。在一些实施方案中,客户端设备可为能够经由WLAN技术(例如,根据无线局域网通信协议)进行通信的任何无线通信设备。在一些实施方案中,WLAN技术可包括Wi-Fi(或更一般地,WLAN)无线通信子系统或无线电,Wi-Fi无线电可实现电气和电子工程师协会(IEEE)802.11技术,诸如以下项中的一者或多者:IEEE802.11a;IEEE 802.11b;IEEE 802.11g;IEEE 802.11-2007;IEEE 802.11n;IEEE 802.11-2012;IEEE 802.11ac;或者其他现有的或者将来开发的IEEE 802.11技术。
此外,应当理解,本文描述的UE可被配置为也能够经由不同的第三代(3G)和/或第二代(2G)RAT进行通信的多模式无线通信设备。在这些情况下,与提供较低数据速率吞吐量的其他3G传统网络相比,多模式UE可配置为优先附接到提供更快数据速率吞吐量的LTE网络。例如,在一些具体实施中,当LTE和LTE-A网络以其他方式不可用时,多模式UE可被配置为回退到3G传统网络,例如演进型高速分组接入(HSPA+)网络或码分多址(CDMA)2000仅演进数据(EV-DO)网络。
图1A示出了根据一些实施方案的被配置为实现本文描述的各种技术的系统100的不同组件的框图。更具体地,图1A示出了系统100的高级概述,如图所示,其包括由不同MNO114管理的移动设备102和一组基站112。根据图1A的图示,移动设备102可表示移动计算设备(例如
的
或
),基站112可表示被配置为与移动设备102通信的用于无线网络的不同无线电塔,MNO 114可表示提供移动设备102可订阅的特定服务(例如语音、数据、消息等)的不同无线服务提供商。此外,并且如下面更详细描述的那样,可将一个或多个服务器(未明确示出)配置为与移动设备102进行通信,并且以安全的方式向移动设备102提供一个或多个eSIM和/或eUICC固件/软件。
如图1A所示,移动设备102可包括处理器104、存储器106、eUICC 108和基带模块110。这些部件协同工作以使移动设备102能够向移动设备102的用户提供有用的特征,例如局部计算、基于位置的服务,以及互联网连接。如下文更详细地描述,eUICC 108可被配置为存储用于通过基站112访问不同MNO 114的多个eSIM。例如,eUICC 108可被配置为存储针对移动设备102向其订阅的每个MNO 114的一个或多个eSIM。如下面更详细描述的那样,根据本文所阐述的各种技术,移动设备102-具体地,包括在移动设备102中的eUICC 108-可被配置为执行针对eUICC 108的一个或多个eSIM的管理操作并且接收并处理eUICC固件。在一些实施方案中,移动设备102可被配置为例如经由一个或多个外部服务器来执行与针对eUICC108的eSIM的一个或多个管理操作和/或针对eUICC 108的固件改变相关联的用户认证和/或人类意图验证。在一些实施方案中,用户认证可包括使用生物识别传感器116和/或嵌入式安全元件(eSE)118和/或受信执行环境(TEE)120和/或安全输入/输出122,例如以获得用户凭证和/或相关信息,通过该用户凭证和/或相关信息,移动设备的用户、特定用户、一组用户和/或管理用户被授权执行某些管理操作。在一些实施方案中,仅在移动设备102处执行用户认证(例如,基于移动设备102中的硬件/软件)。在一些实施方案中,用户认证包括经由无线(和/或有线)连接的通信,以确定是否应执行某些管理功能。在一些实施方案中,生物识别传感器116、eSE 118、TEE 120和/或安全I/O 122可用于确定人类,例如而不是机器意图在移动设备102上执行一个或多个管理功能,例如,为移动设备102的eUICC 108添加、安装、导入、启用、修改、更新、删除、禁用和/或导出eSIM。
如图1A所示,移动设备102可包括生物识别传感器116以执行至少在可靠程度上确立人类是否正在操作移动设备102和/或正在请求执行一个或多个管理操作的认证技术。例如,生物识别传感器116可被配置为通过签名动态来认证用户,这涉及提示用户提供签名(例如,使用触笔)并在提供签名时采集信息(例如,压力和书写速度)。生物识别传感器116还可被配置为通过打字模式来认证用户,涉及提示用户输入一系列字词(例如,使用键盘)并在输入字词时采集信息(例如,打字速度、打字模式等)。生物识别传感器116还可被配置为通过指纹识别来认证用户,涉及提示用户提供他或她的指纹(例如,使用指纹扫描器)并采集指纹的有关信息(例如,详细的图像)。生物识别传感器116还可被配置为通过语音识别、面部识别、手和/或手掌几何学、瞳孔扫描等来认证用户。需注意,生物识别传感器116不限于实现上述方法,并且用于认证人的任何方法在本文所述的实施方案范围内。在一些实施方案中,除了生物识别传感器116和/或代替生物识别传感器116之外,用户认证和/或人类意图验证可使用安全I/O 122,可用于收集信息,通过该信息可执行认证和/或验证。
当尝试确定人类正在操作移动设备102和/或正在请求执行一个或多个管理操作时,可需要不同级别的认证。例如,基础认证级别可涉及确定是否有人在操作移动设备102(例如,通过提供指纹),而移动设备102无需明确知晓此人。在另一个示例中,中间认证级别可涉及通过发出认证质疑来确定操作移动设备102的人是否为移动设备102明确知晓。这可涉及,例如,提示此人提供他或她的指纹,收集与指纹相关的信息,随后将该信息与由移动设备102管理的预存储信息比较。在另一个实施例中,高级认证可涉及通过发布多个认证质疑(例如,指纹识别和语音识别)确立移动设备102是否具体知道操作移动设备102的人类。需注意,这些技术还可包括核实某人是被授权且为移动设备102知晓的一群人中的一份子。在一些实施方案中,生物识别传感器116和/或安全I/O 122接收的信息可结合存储在eSE118中的信息和/或经由TEE 120和/或经由一个或多个外部服务器进行处理。
图1B示出了根据一些实施方案的被配置为实现本文所述的各种技术的系统150的不同组件的另一框图。图1B示出了系统150的高级概述,如图所示,系统150包括证书管理机构152、策略指令服务器140、客户端设备管理器144以及一个或多个客户端设备130,其包括图1A所示的移动设备102。每个证书管理机构152可自己签署分发给客户端设备130并被其信任的根证书154。具体地,根证书154可由客户端设备130用于验证基于根证书154签名并呈现给客户端设备130用于认证目的的中间证书(和相关签名)。更具体地,客户端设备130可被配置为接收并处理基于上述证书中的一者或多者签名的命令,其中客户端设备130依赖根证书154以在处理命令之前对它们进行认证。
在一些实施方案中,客户端设备管理器144表示被配置为管理客户端设备130的特定实体,例如,客户端设备管理器144可负责向客户端设备130发布固件和软件更新,包括例如安装、修改和/或删除客户端设备(多个)130的eUICC 108的eSIM和/或eUICC固件/软件。如图1B所示,客户端设备管理器144与策略指令服务器140交互,策略指令服务器140执行策略管理器142,该策略管理器142被配置为生成上述eSIM和/或eUICC固件/软件并将其发布给客户端设备130。策略管理器142可被配置为维护指示如何在客户端设备130上分布不同的根证书154的记录。这样,当根证书154被破坏并需要被撤销时,策略管理器142可识别存储根证书154的一个或多个客户端设备130,并发出使一个或多个客户端设备130永久地忽略根证书154的撤销消息。
如图1B所示,每个客户端设备130包括嵌入在客户端设备130的主系统板内的eUICC 108。eUICC 108可被配置为沙箱化硬件/软件环境,其不能被外部实体直接访问,诸如由在客户端设备130上执行的主操作系统(OS)。尽管图1B中未示出,eUICC 108可包括微处理器和联合工作以处理不同命令的存储设备(例如,ROM),并且与如图1A所示且在本文进一步描述的附加的固件/软件/硬盘组合执行用户认证和/或人类意图验证,例如,其中存储设备被配置为存储用于客户端设备130的一个或多个根证书154。
图2示出了根据一些实施方案的图1A中的移动设备102的特定部件的更详细视图200的框图。如图2所示,处理器104结合存储器106可实现主操作系统(OS)202,该主操作系统被配置为执行应用程序(例如本地OS应用程序和用户应用程序)。在一些实施方案中,主OS 202可被配置为执行一个或多个应用程序204,例如以有助于eSIM 208和/或eUICC 108的固件的管理操作。如图2所示,eUICC 108可被配置为实现被配置为管理eUICC 108的硬件资源的eUICC OS 206(例如,处理器、随机存取存储器(RAM)和非易失性存储器,其不是在图2中明确地示出)。eUICC OS 206还可被配置为例如通过激活、去激活、和/或修改eUICC 108内的eSIM 208并且向基带模块110提供对eSIM 208的访问来管理由eUICC 108存储的eSIM208。根据图2所示,每个eSIM 208可与唯一标识符210相关,并且可包括定义eSIM 208的操作方式的多个小应用程序212。例如,当由基带模块110和eUICC 108实现时,小应用程序212中的一者或多者可被配置为使得移动设备102能够与MNO 114通信以激活移动设备102的特征结构(例如,电话呼叫和因特网接入)。
同样如图2所示,移动设备102的基带模块110可包括基带OS 214,该基带OS 214被配置为管理基带模块110的硬件资源(例如处理器、存储器、不同的无线电部件等,其不是在图2中明确地示出)。在一些实施方案中,基带模块110可实现管理器216,该管理器216被配置为与eUICC 108交互以实现本文所述的各种技术,所述各种技术包括当eUICC 108管理两个或更多个eSIM 208时与eUICC OS 206交换eSIM能力信息并且管理eUICC 108的唯一标识符210。同样如图2所示,管理器216可被配置为实现服务218,其表示可通过包括在eUICC108中的激活的eSIM 208的各种小应用程序212来实例化的软件模块的集合。例如,服务218可被配置为根据被激活的不同eSIM 208来管理移动设备102和MNO 114之间的不同连接。
图3示出了根据一些实施方案的包括在移动设备102中的用于人类意图验证和/或用户认证的组件的框架的框图300。移动设备102的eSIM 208的本地管理(其中eSIM 208提供用于访问MNO 114的无线网络的服务的授权和/或认证)可是暗中安装在移动设备102上和/或通过远程黑客的恶意软件攻击的目标。eSIM 208的某些管理操作可容易受到不正确的执行的影响,这可影响移动设备102和/或MNO 114的无线网络的操作。例如,恶意软件可尝试切换由移动设备102使用的一个或多个eSIM 208,而移动设备102的用户不知道该切换。在一些情况下,移动设备102的eSIM 208的本地切换可导致频繁的无线网络附接(建立和解除连接),这可使移动设备102通过其与无线服务连接的无线接入网络的控制信令过载。此外,由于移动设备102的eSIM 208的不当切换,无线网络的后端服务器可会过载。此外,传统上,MNO 114基于控制物理SIM的制造和分配来利用对服务的访问和对移动设备102的用户在服务之间切换的控制,并且当eSIM 208被实现在移动设备102中时将继续确保服务连续性和控制。恶意软件在本地删除eSIM 208(在一些实施方案中也可以被称为简档和/或eSIM简档)可导致对于eUICC 108和/或移动设备102的操作(至少对于使用eSIM 208接入无线服务)的不可逆的损害。包括在eSIM 208中的信息也可受到可导致移动设备102的用户的隐私问题的恶意软件的不当访问。鉴于这些问题,出于业务原因和安全原因,可需要用户认证和/或人类意图验证的额外的层,以便确认执行可影响一个或多个eSIM 208和/或移动设备102的eUICC 108的一个或多个管理操作的权限。
移动设备102可包括用于人类验证302的一个或多个装置,诸如生物识别传感器116(其代表性实施例可包括指纹扫描器308)、个人识别号码(PIN)输入312(或其他密码和/或用户身份验证输入),以及全自动区分计算机和人类的图灵测试(CAPTCHA)或reCAPTCHA实施反向图灵测试以验证人类操作移动设备102。这些人类验证302装置中的每者可提供不同级别的安全性,以验证人类(而不是移动设备102的软件/硬件/固件模块)是否意图执行特定管理操作(或管理操作组),诸如影响移动设备102的一个或多个eSIM 208和/或eUICC108。人类验证302装置中的每者可与中间层平台安全解决方案的一个或多个版本,该解决方案提供eUICC认证304装置,以验证人类(和/或特定用户)是否意图移动设备102的eSIM208和/或eUICC 108的一个或多个管理操作被执行。例如,eUICC认证304装置可包括基于硬件的嵌入式安全元件(eSE)118(在一些实施方案中也称为安全区域处理器或SEP),其包括到人类验证302装置中的一者或多者的安全连接和到移动设备102的eUICC 108的安全连接。eSE 118与人类验证302装置和eUICC 108组合可为用户和/或人类的认证提供受信且安全的硬件/软件组合,其中通过硬件和软件的组合实现的认证功能在图3中指示为eSE/SEP至eUICC认证310框。
作为代表性实施例,在执行可影响一个或多个eSIM 208和/或eUICC 108的一个或多个管理操作之前,移动设备102可要求人类验证,诸如通过PIN输入312输入PIN和/或通过指纹扫描器308(或通过生物识别传感器116的另一生物识别输入)输入指纹,以验证人类和/或特定用户操作移动设备102。当人类验证输入被认证时,例如通过eUICC认证304装置,可执行被示为eUICC 108的eUICC本地管理操作的所请求的管理操作的执行。在一些实施方案中,eUICC 108可经由一个或多个外部服务器提供认证,例如基于一个或多个数字证书(诸如密钥、证书等等)的离卡认证。在一些实施方案中,人类验证302的不同安全级别可用于不同的管理操作和/或基于移动设备102的安全级别配置(和/或移动设备102的eUICC108的eSIM 208,诸如各种MNO 114所要求的,这可在针对图1B所描述的各种策略中指定)。如图3所示,人类意图验证和/或用户认证可使用受信组件在移动设备102本地的人类验证和eUICC认证之间桥接,其可涉及除本地验证之外的外部服务器验证。
在一些实施方案中,受信执行环境(TEE)120可链接到一个或多个人类验证302装置,诸如指纹扫描器308(和/或另一个生物识别传感器116)、PIN输入312(和/或其他用户凭证I/O验证),和/或(重新)CAPTCHA质疑316框。在一些实施方案中,TEE 120可提供类似于基于硬件的eSE 118的虚拟安全元件。正在进行的标准化努力,诸如全球平台(GP)安全信道协议(SCP),例如GP SCP11,指定允许TEE 120和eUICC 108之间的相互认证的体系结构,在一些实施方案中可基于公钥基础设施(PKI)证书。对于eUICC认证314框的TEE可提供用于将eUICC认证304与人类验证302接合一起的替代和/或补充手段,以便在允许待执行的管理操作执行之前认证/验证针对eSIM 208和/或针对eUICC 108的管理操作。
在一些实施方案中,安全I/O 122可与人类验证302装置连接,诸如PIN输入312(重新)CAPTCHA质疑316和/或其他用户凭证输入,例如经由安全I/O具体实施318诸如安全显示器/键盘收集,以提供用于移动设备102上的安全I/O的附加装置。在一些实施方案中,安全I/O 122可与在移动设备102的处理器104上执行的主OS 202的安全软件集成。可使用安全I/O 122来代替普通的I/O机制,以确保恶意软件不拦截和/或模仿人类验证输入以与eUICC认证304结合使用,以控制针对eSIM 208和/或eUICC 108的一个或多个管理操作的执行。尽管图3的框图300提供了用于执行人类验证和eUICC认证的代表性装置,还可使用附加装置代替和/或结合本文所描述的那些来提供安全输入。附加装置可包括例如人类与机器的区别、安全通信信道、硬件/软件模块之间的受信关系以及与外部服务器的安全交换,以在影响eSIM 208和/或eUICC 108的一个或多个管理操作的执行时防止恶意软件。
图4示出了根据一些实施方案的用于在移动设备102中使用诸如指纹扫描器308的生物识别传感器116进行验证和/或认证的组件的代表性配置的框图400。指纹扫描仪308可通过使用预共享密钥的安全链路402与嵌入式安全元件(eSE)118或安全区域处理器(SEP)配对,例如可在制造移动设备102时实现。安全链路402可提供通常使用对称密钥配对的指纹扫描器308和eSE 118之间的端到端(E2E)安全性的装置。诸如通过指纹扫描器308收集的指纹信息的生物识别用户凭证可被保护以防恶意软件,因为生物识别用户凭证的验证可发生在仅可通过安全链路402访问的受信硬件(诸如(eSE 118)内。eSE 118可依次与eUICC108配对,以在eSE 118和eUICC 108之间提供相互认证。在一些实施方案中,在移动设备102的制造期间,eSE 118和eUICC 108可与对称密钥和/或证书配对,使得当移动设备102被用户配置并投入使用时eSE 118和eUICC 108之间的相互认证404是安全的。在一些实施方案中,eSE 118和eUICC 108之间的相互认证404机制可使用与eUICC 108和诸如ProfileManager L3服务器408的外部服务器之间的相互认证406机制相同的协议。在一些实施方案中,在制造移动设备102之后,可使用诸如L3服务器408之类的一个或多个服务器来获得并验证用于配对eSE 118和eUICC 108的凭证,例如,凭证可包括提供用于eSE 118和eUICC108的对称密钥和/或证书连同通过一个或多个服务器的验证。指纹扫描器308、eSE 118和eUICC 108的组合提供了本地(对于移动设备102)平台的安全级别,其可另外被补充有远程安全性,例如经由eUICC 108和一个或多个外部服务器的组合,一个或多个外部服务器诸如Level 3(L3)简档管理器服务器408,其继而也可与附加的第三方服务器通信。
图5A和5B示出了根据一些实施方案的用于将嵌入式安全元件(例如eSE 118)与移动设备102中的eUICC 108配对的序列图500/550。移动设备102可包括在一些实施方案中可对应于处理器104的应用处理器(AP)506。序列图500/550示出了代表性的实施方案,其中eSE 118与eUICC 108之间的安全配对可在移动设备102的制造之后发生。受信的远程服务器,标示为图5A中的硬件安全模块(HSM)502,可帮助建立移动设备102的eSE 118和eUICC108之间的信任关系。HSM 502可维护策略控制功能(PCF)证书,其中的一者或多者可从HSM502提供给移动设备102的AP 506。在一些实施方案中,可由具有签名质疑的AP 506从HSM502获得HSM证书(HSMcert)。AP 506可从eUICC 108检索卡序列号(CSN),并向eSE 118提供签名质疑、HSM证书和CSN。eSE 118可验证HSM证书,验证HSM签名,并且随后基于用于移动设备102和CSN的唯一标识符(UID)生成密钥对。eSE 118可生成可与eSE 118和CSN组合相关联的证书签名请求(CSR)和通用名(CN)。eSE 118还可基于组标识符(GID)、CSR、专用芯片标识符(ECID)和质疑来生成散列(在图5A中标记为HMAC_SEP)。可将CSR、ECID和HMAC_SEP传送到AP 506,AP 506可基于该信息生成签名的身份映射并将签名的身份映射发送到eUICC 108。继而,eUICC 108可向AP 506返回带有加入其中的随机数的签名身份映射。签名的身份映射可被传送到HSM 502(例如,到移动设备102的eUICC 108可与其具有先前建立的受信关系的外部服务器)。HSM 502可为eSE 118证实eUICC证书,验证eUICC签名,验证CSN,验证散列(HSM_SEP),证实CSR,并颁发证书(当成功验证和证实发生时)(证书标记为图5A中的SEP_VINYLcert)。HSM 502可为eSE 118创建PCF所有者证书。HSM 502可提供第二质疑(标记为图5B中的质疑2)、用于eSE 118的证书和PCF所有者证书的签名组合,其中HSM证书到移动设备102的AP 506,并且AP 506可将从HSM 502接收的信息转发到eSE 118。eSE 118可证实HSM证书、验证HSM签名、验证eSE证书并存储eSE证书。eSE 118可将PCF所有者证书传送到AP 506,AP 506可将PCF所有者证书转发到eUICC 108用于安装在eUICC 108处,eUICC 108继而可向AP 506指示接收到PCF所有者证书。AP 506可向eUICC 108发送SignIDMap(命令),eUICC108可使用包括随机数和CSN的签名ID映射进行响应。通过eSE 118上的eSE证书和eUICC108中安装的PCF所有者证书,可建立eSE 118和eUICC 108之间的信任关系。
从eUICC 108的角度来看,建立eUICC 108和eSE 118之间的受信关系类似于用新的受信服务器为eUICC 108添加受信任关系,新的受信服务器可外部于移动设备102(尽管在这种情况下,新的受信服务器即eSE 118实际上是内部(本地)于移动设备102)。eSE 118与eUICC 108的配对可依赖于PCF所有者证书的安装,这可基于公钥基础设施(PKI)证书。在安装PCF所有者证书之后,eSE 118和eUICC 108之间的安全通信可基于认证的Level 3(L3)命令。在一些实施方案中,可扩展eSE 118和eUICC 108之间的受信关系(和/或后续安全通信)的建立,以在使用基于对称密钥的L3安全协议(例如,如GP SCP03和GP SCP80中所述)时包括用作L3凭证的对称密钥(多个)的安装。在一些实施方案中,根据开发中的基于对称密钥的安全信道协议(例如GP SCP11),可使用附加机制来在安装证书之后生成对称密钥。
图6示出了根据一些实施方案的用于使用移动设备102中的受信执行环境(TEE)(例如,移动设备102的TEE 120)的验证和/或认证的组件的代表性配置的框图600。在一些实施方案中,TEE 120可根据一个或多个GP规范来操作。TEE 120可被认为是移动设备102的eUICC 108可与其建立受信安全关系的虚拟安全元件(SE)。一个或多个受信安全输入,例如安全I/O318,诸如安全显示器和/或键盘,和安全生物识别传感器116诸如指纹扫描器308,可经由安全通信链路来提供通过其人类意图验证和/或用户认证可至少部分地被实现的信息。可在一些实施方案中用于人类意图验证和/或用户认证的安全应用608可经由TEE 120与受信安全输入相关联。在一些实施方案中,安全应用608作为丰富操作系统(OS)607和TEE120的一部分执行。TEE 120可包括受信内核610,其中可存储可用于TEE 120和eUICC 108之间的相互认证的安全凭证,例如密钥、证书等。与硬件eSE 118一样,软件TEE 120可与eUICC108建立受信关系,eUICC 108使用相互认证用于与在移动设备102外部的服务器的安全通信类似的安全通信。在对eUICC 108上的一个或多个eSIM 208执行一个或多个管理操作之前,TEE 120可处理通过安全输入接收的信息,以验证人类意图和/或认证用户。因此,可需要TEE 120和eUICC 108之间的相互认证614以便在eUICC 108上执行eSIM操作616。在一些实施方案中,TEE 120与安全硬件612(例如,高级精简指令集计算(RISC)机器(ARM)受信区域硬件模块)接口,其可存储用于TEE 120和eUICC 108之间的相互认证614的密钥和/或证书。与eSE 118一样,TEE 120可使用对称密钥和/或PKI证书作为用于相互认证的L3凭证,并且可在移动设备102的制造期间和/或之后安装L3凭证。在一些实施方案中,TEE 120可在安装一个或多个证书之后产生对称密钥,例如由基于对称密钥的安全信道协议(例如GPSCP11)使用。在一些实施方案中,TEE 120可用于人类意图验证,例如基于经由安全I/O 318获得的输入。在一些实施方案中,TEE 120与移动设备102的OS 604一起操作以执行用户认证和/或人类意图验证。在一些实施方案中,用于安全和/或恶意软件保护的基于OS的软件/硬件可与TEE 120一起使用和/或补充TEE 120的安全特征,以防止恶意软件劫持OS 604和/或用户接口,诸如显示器和键盘。
图7A至7D示出了根据一些实施方案的用于由移动设备102经由外部服务器716使用用户认证从eUICC 108导出eSIM 208的序列图700/720/730/740。移动设备102可包括可以实现多级安全性的eUICC 108,包括例如执行加密和重新加密功能的第一级(L1),执行反克隆功能以防止克隆eSIM 208的第二级(L2)以及执行移动设备102的身份确定、受信安全通信、用户认证和/或人类意图验证功能的第三级(L3)。移动设备102的用户可在一个或多个eSIM 208在eUICC 108上安装期间和/或之后将外部用户帐户(例如电子邮件帐户、AppleID、Facebook帐户等)与一个或多个eSIM 208链接。与这些外部用户帐户中的每者相关联的凭证可通过与服务于那些外部用户帐户的第三方服务器进行通信来验证。移动设备102可与外部服务器716接口,外部服务器716继而可与另外的第三方服务器通信以进行用户认证。在可以执行一个或多个eSIM 208的一个或多个管理操作和/或用于eUICC 108的其他管理操作之前,可需要用户认证和/或人类意图验证,这可使用本文进一步描述的技术来实现。
图7A至7D示出可发生以包括用户认证作为从移动设备102的eUICC 108导出eSIM208的过程的一部分的代表性动作组,其中用户认证包括外部服务器716,外部服务器716可与另外的第三方服务器进行通信以基于由移动设备102提供的凭证对用户进行认证。移动设备102可在eUICC 108内包括可存储由L1安全协议保护的一个或多个eSIM 208的客户端简档存储器702,可防止使用L2安全协议克隆一个或多个eSIM 208的客户端简档代理704,以及客户端706,其可实现用于用户认证、用于身份确定以建立并维护信任关系以及对执行各种管理操作(诸如针对eSIM 208和/或eUICC 108固件/软件)的授权的L3安全协议。外部服务器716可包括并行的L1/L2/L3组件,诸如可实现L3安全协议的服务器代理710,可实现L2安全协议的服务器简档代理712和可实现L1安全协议的服务器简档存储器714。
在一些实施方案中,可由移动设备102的AP 506执行的客户端代理708可例如经由安全I/O 122来提示移动设备102的用户,以获得用其验证对eUICC 108的eSIM 208执行一个或多个管理功能(和/或用于对eUICC 108的固件/软件更改)的授权的用户输入。代表性管理操作可包括导出eSIM操作以将一个或多个eSIM 208移动到另一移动设备,以将一个或多个eSIM 208存储在安全的外部服务器(例如,在云中),和/或以将来自eUICC 108的一个或多个eSIM 208传送到移动设备102内的移动设备的AP 506。在一些实施方案中,由移动设备102获得的用户输入包括可用于经由可与一个或多个其他第三方服务器通信的外部服务器(诸如服务器716)认证用户的用户凭证。用户凭证可包括与移动设备102的用户相关联的特定用户帐户的用户名和密码。AP 506的客户端代理708获得用于与用户试图从eUICC 108导出的一个或多个eSIM 208相关联的L3安全性的授权令牌(标记为AuthToken)。如本文进一步描述的,在安装eSIM 208期间和/或之后,可生成授权令牌并与eSIM 208相关联,以经由外部服务器716和相关联的第三方服务器提供对用户的认证。授权令牌可用于确定用户是否被授权导出eSIM 208(和/或对eSIM 208和/或对eUICC 108执行其他管理操作)。由移动设备102确定用户授权可包括与外部服务器716的通信。客户端代理708向eUICC 108的L3客户端706提供用于eSIM 208的简档描述符和用于eSIM 208的当前L3相关联的授权令牌,L3客户端706返回签名的身份映射(基于eSIM 208的简档和当前L3授权令牌)到移动设备102的AP 506的客户端代理708。客户端代理708将导出eSIM 208的请求发送到外部服务器716的L3服务器代理710,包括签名的身份映射,外部服务器716的L3服务器代理710可使用该签名的身份映射来认证用户权限以致使导出eSIM 208(或其他管理操作)的执行。在一些实施方案中,当前L3授权令牌包括外部服务器716的L3服务器代理710可用于与第三方服务器进行通信以验证移动设备102的用户的信息。当用户被认证时,L3服务器代理710可存储L3授权令牌,并且随后可与移动设备102的eUICC 108建立会话,以执行所请求的管理操作,例如,从eUICC 108导出eSIM 208。
图8A至8D示出了根据一些实施方案的用于由移动设备102经由外部服务器716用用户认证安装eSIM 208的序列图800/820/830/840。当安装eSIM 208时,移动设备102可响应于可影响eSIM 208的所请求的管理操作,与一个或多个用户账户随后用其认证用户的eSIM 208关联。在一些实施方案中,已经安装在移动设备102的eUICC 108上的eSIM 208可与用于认证用户以用于涉及eSIM 208的后续管理操作的一个或多个用户帐户相关联。在一些实施方案中,只有当经由外部服务器716来验证用于一个或多个用户帐户的用户凭证时,eSIM 208的安装可发生,外部服务器716可与另外的第三方服务器通信以认证用户凭证。在一些实施方案中,移动设备102的用户可将特定用户帐户(和/或特定用户凭证组)与eSIM208相关联,例如作为当前用户帐户,并且稍后更改成将eSIM 208与不同的新用户帐户或下一个用户帐户相关联。
在一些实施方案中,AP 506可提示用户为用户帐户输入一组用户凭证,以便移动设备102用于授权针对一个或多个eSIM 208和/或针对eUICC 108的管理操作。AP 506的客户端代理708可将用户凭证(和/或从其导出的信息)提供给移动设备102的eUICC 108的L3客户端706,并继而获得签名身份映射,签名的身份映射可包括用户凭证和/或可用于认证用户的基于用户凭证的信息。签名身份映射可由AP 506的客户端代理708提供给外部服务器716的L3服务器代理710,其可用第三方服务器认证用户(和/或确定用户的权限以致使在移动设备102处执行一个或多个请求的管理操作)。当外部服务器716向第三方服务器基于提供有签名身份映射的用户凭证成功地认证用户时,可在移动设备102处进行eSIM 208的安装。在一些实施方案中,外部服务器716的L3服务器代理710生成一个(或多个)一次性代码(OTC)以提供给eUICC 108的L3客户端706,以避免再次对用户与第三方服务器进行认证用于会话的需要,在该会话期间发生一个或多个管理操作(诸如安装eSIM 208)。当会话建立时,例如,如CreateSession命令所指示的,可将一个或多个OTC从AP 506的客户端代理708传送到eUICC 108的L3客户端706,以根据需要在会话期间稍后使用以完成一个或多个管理操作,例如,从L3客户端706向外部服务器716的L3服务器代理710提供认证证明,而不需要外部服务器716的L3服务器代理710在一个或多个管理功能的执行期间重新检查第三方服务器。例如,在图8B中,从L3客户端706提供给AP 506的客户端代理708并且被包括在发送到外部服务器716的L3服务器代理710的个性化配置文件命令中的ProfileL3RequestBlob可包括OTC中的至少一者,以验证在当前会话期间,由会话请求的管理操作已被授权给移动设备102的用户。在一些实施方案中,OTC可被限制使用到一段时间,例如基于时间戳或其他时间计数机制可确保OTC在有限时间段之后到期。因此,外部服务器716的L3服务器代理710可通过检查包括在ProfileL3RequestBlob中的OTC的时间戳来验证会话用户认证保持有效。
在一些实施方案中,如图8C所示,外部服务器716的L3服务器代理710创建将特定eSIM 208与与特定用户帐户(例如,Apple ID帐户、Yahoo帐户、Facebook帐户等等)相关联的用户凭证。AP 506,如图8B所示,根据ProfileL3RequestBlob中提供给L3服务器代理710的用户凭证,请求eSIM 208针对用户进行个性化(如传送给L3服务器代理710的个性化简档请求所指示的)。在一些实施方案中,例如当OTC未被使用时,L3服务器代理710可在为移动设备102的用户个性化eSIM 208时在会话期间根据需要验证与第三方服务器的用户认证。如图8B和8C所示,外部服务器716可由L3服务器代理710在L3级以及由服务器简档代理712在L2级两者处验证对eSIM 208进行个性化的请求。在成功验证时,可从L1服务器简档存储器714检索eSIM 208,并与L3所有者一起传送给移动设备102的AP 506,以将eSIM 208与用户帐户进行连接,用于影响eSIM 208的管理操作的后续验证。L3所有者信息被传送到eUICC108(具体地,到L3客户端706),并且可被存储在eUICC 108处,从而在eUICC 108处将特定eSIM 208与用户账号进行关联,通过用户账户执行eSIM 208的一个或多个管理操作的用户认证。图7A至图7D中示出的并且在本文描述的导出eSIM管理操作可使用存储的L3所有者的用户凭证信息用于导出eSIM管理操作的用户认证。在一些实施方案中,L3所有者结构包括待联系用于用户认证的特定第三方服务的信息,以授权与L3所有者相关联的eSIM 208的一个或多个管理操作。
图9A示出了根据一些实施方案的用于eSIM 208的管理操作和/或用于移动设备102的eUICC 108的用户认证的代表性方法的流程图900。在步骤902中,移动设备102的处理器(诸如处理器104和/或AP 506)检测对移动设备102的eSIM 208的管理操作的发起(和/或请求发起)。在一些实施方案中,在执行eSIM 208的管理操作之前,处理器确定eSIM 208的管理操作需要另外的用户认证和/或人类意图验证。在步骤904中,移动设备102例如经由安全I/O 122和/或使用生物识别传感器116来获得用户凭证,以确定用于验证授权执行管理操作的特定用户和/或用户帐户。在一些实施方案中,可需要仅基于用户凭证和/或结合基于单独输入的人类意图验证的用户认证来完成管理操作。在一些实施方案中,在步骤906中,移动设备102的处理器向外部服务器发送基于用户凭证(和/或包括用户凭证的版本)的消息,以验证对eSIM 208执行管理操作的用户授权。在一些实施方案中,外部服务器使用用户凭证信息来执行向第三方服务器的用户认证。在步骤908中,响应于从外部服务器接收到用户授权的指示,移动设备102执行(或完成执行)eSIM 208的管理操作。
某些eSIM 208和/或某些eSIM 208的某些管理操作可免于人类意图验证和/或用户认证。可免除管理操作的代表性eSIM 208可包括提供有限的专门功能的eSIM 208,例如用于获得常规eSIM 208的配置eSIM 208和/或用于提供紧急通信的紧急服务eSIM 208。切换到使用(和/或安装、启用、激活)配置eSIM 208可提供用于移动设备102的通信功能的初始化和/或恢复。类似地,切换到使用(和/或安装、启用、激活)紧急服务eSIM 208可经由特定无线网络提供有限的通信和/或访问特定的一组紧急通信服务,例如在美国拨打911和/或获得其他紧急服务,诸如警察、消防和/或紧急医疗服务。当切换到某个eSIM 208(诸如配置eSIMS 208)和/或紧急服务eSIM 208时,可解除适用于一个或多个常规eSIM 208的限制。然而,从豁免的eSIM 208切换回常规eSIM 208可需要人类意图验证和/或用户认证。在一些实施方案中,eUICC 108基于eSIM 208的类型和/或基于对于eSIM 208类型的管理操作的类型,强制对eSIM 208的人类意图验证和/或用户认证的限制和/或豁免。在一些实施方案中,eUICC 108基于一个或多个策略强制对eSIM 208的管理操作的限制。eSIM 208或一组eSIM208可具有指示用于eSIM 208的一组管理操作中的所有管理操作、一些管理操作或没有管理操作的限制和/或豁免的相关联的策略。人类意图验证和/或用户认证可由移动设备102的eUICC 108使用,以防止恶意软件干扰移动设备102和/或无线网络的网络设备的操作,例如通过限制在移动设备102处eSIM 208之间的切换和/或与无线网络通信以快速或经常地在eSIM 208之间切换。某些eSIM 208(诸如用于获取初始访问以选择和/或加载常规eSIM208,或者以恢复先前安装的eSIM 208的使用的配置eSIM 208)可至少针对某些管理操作诸如切换到配置eSIM 208来免除人类意图验证和/或用户认证。类似地,在一些实施方案中,切换到、启用、安装和/或激活紧急服务eSIM 208可免除人类意图验证和/或用户认证。从豁免eSIM 208(诸如从配置eSIM 208或紧急服务eSIM 208)切换回常规eSIM 208可经受人类意图验证和/或用户认证。因此,可通过仅在一个方向上免除人类用户验证和/或用户认证,例如,切换到配置eSIM 208或紧急服务eSIM 208,而在另一个方向上要求人类用户验证和/或用户认证,例如,从配置eSIM 208或紧急服务eSIM 208切换回常规eSIM 208,防止恶意软件太快地和/或太频繁地在eSIM 208之间切换,包括配置eSIM 208或紧急服务eSIM 208。在一些实施方案中,eUICC 108可强制执行规则以确保在每者免除人类意图验证和/或用户认证的两个或多个不同的eSIM 208之间的切换在时间间隔内不会太频繁或太多次发生或者不以切换之间的最小时间间隔发生。在一些实施方案中,当多个eSIM 208免于人类意图验证和/或用户认证时,eUICC 108可允许在任何时间从任何其他eSIM 208切换到特定eSIM208,诸如紧急服务eSIM 208,但是可需要限制从特定eSIM 208切换离开,诸如离开紧急服务eSIM 208。因此,由于eSIM 208之间的过度切换,对紧急服务的访问可绕过人类意图验证和/或用户认证,而不允许恶意软件不利地影响移动设备102和/或相关无线网络的网络设备的操作。
图9B示出了根据一些实施方案的使用豁免处理的用于eSIM 208和/或移动设备102的eUICC 108的管理操作的用户认证的代表性方法的流程图950。在步骤952中,移动设备102的处理器(诸如处理器104和/或AP 506)检测对移动设备102的eSIM 208的管理操作的发起(和/或请求发起)。在步骤954中,在执行eSIM 208的管理操作之前,处理器确定eSIM208的管理操作是否需要另外的用户认证和/或人类意图验证。当eSIM 208的管理操作不需要人类意图验证和/或用户认证时,在步骤956中,移动设备102执行(和/或完成执行)eSIM208的管理操作。可免除人类意图验证和/或用户认证的代表性eSIM 208,特别是当切换到、启用、安装和/或激活此类eSIM 208时,包括配置eSIM 208(为特殊目的提供有限的通信能力,诸如加载、安装和/或恢复常规eSIM 208)和紧急服务eSIM 208(为特定的紧急服务提供有限的通信能力)。在步骤958中,移动设备102例如经由安全I/O 122和/或使用生物识别传感器116获得用户凭证,以确定用于验证执行管理操作的授权的特定用户和/或用户帐户。在一些实施方案中,可需要仅基于用户凭证和/或结合基于单独输入的人类意图验证的用户认证来完成管理操作。在一些实施方案中,在步骤960中,移动设备102的处理器发送基于用户凭证(和/或包括用户凭证的版本)的消息到外部服务器,以验证对eSIM 208执行管理操作的用户授权。在一些实施方案中,外部服务器使用用户凭证信息来执行向第三方服务器的用户认证。在步骤962中,响应于从外部服务器接收到用户授权的指示,移动设备102执行(或完成执行)eSIM 208的管理操作。
图10A示出了根据一些实施方案的用于eSIM 208和/或用于移动设备102的eUICC108的管理操作的人类意图验证和/或用户认证的代表性方法的流程图1000。在步骤1002中,移动设备102的处理器(诸如处理器104和/或AP 506)检测对于移动设备102的eSIM 208的管理操作的发起(和/或请求发起)。在一些实施方案中,在eSIM 208的管理操作的执行完成之前,处理器确定eSIM 208的管理操作需要另外的用户认证和/或人类意图验证。在步骤1004中,移动设备102例如经由安全I/O 122和/或使用生物识别传感器116来获得用户凭证,以确定用其验证人类意图以执行eSIM 208的管理操作的特定用户和/或用户账户。在一些实施例中,安全I/O 122和/或生物识别传感器116直接与移动设备102的安全硬件元件和/或受信执行环境通信。在步骤1006中,移动设备102经由安全硬件元件和/或受信执行环境,确定用户是否被授权致使eSIM 208的管理操作和/或验证人类意图以致使eSIM 208的管理操作。在步骤1008中,响应于用户授权和/或人类意图的成功确定,移动设备102执行(和/或完成)eSIM 208的管理操作。
图10B示出了根据一些实施方案的使用豁免处理的用于eSIM 208和/或用于移动设备102的eUICC 108的管理操作的人类意图验证的代表性方法的流程图1050。在步骤1052中,移动设备102的处理器(诸如处理器104和/或AP 506)检测对移动设备102的eSIM 208的管理操作的发起(和/或请求发起)。在步骤1054中,在eSIM 208的管理操作的执行完成之前,处理器确定eSIM 208和/或eSIM 208的管理操作是否需要另外的用户认证和/或人类意图验证。当eSIM 208的管理操作不需要用户认证和/或人类意图验证时,在步骤1056中,移动设备102执行(和/或完成)eSIM 208的管理操作。当eSIM 208的管理操作和/或eSIM 208需要人类意图验证和/或用户认证时,移动设备102进行附加的步骤以确定是否执行(或完成)eSIM 208的管理操作。在步骤1058中,移动设备102例如经由安全I/O 122和/或使用生物识别传感器116来获得用户凭证,以确定用其验证人类意图以执行eSIM 208的管理操作的特定用户和/或用户帐户。在一些实施方案中,安全I/O 122和/或生物识别传感器116直接与移动设备102的安全硬件元件和/或受信执行环境通信。在步骤1060中,移动设备102经由安全硬件元件和/或受信执行环境,确定用户是否被授权以致使eSIM 208的管理操作和/或验证人类意图以致使eSIM 208的管理操作。在步骤1062中,响应于用户授权和/或人类意图的成功确定,移动设备102执行(和/或完成)eSIM 208的管理操作。
代表性实施方案
在一些实施方案中,用于对包括在移动设备中的嵌入式通用集成电路卡(eUICC)的管理操作的用户认证的方法包括由移动设备执行的以下动作:(a)检测对移动设备的电子用户识别模块(eSIM)的管理操作的启动;(b)获得用户凭证;(c)发送基于用户凭证消息到服务器,以验证对eSIM执行管理操作的用户授权;以及(d)响应于从服务器接收到用户授权的指示,来对eSIM执行管理操作。
在一些实施方案中,管理操作包括eSIM的安装、导入、修改、删除或导出。在一些实施方案中,用户凭证与移动设备的用户的用户帐户相关联。在一些实施方案中,用户凭证由用户帐户的第三方服务器进行验证。在一些实施方案中,用户凭证包括用户登录身份和用户帐户的密码。在一些实施方案中,服务器包括被配置为管理一个或多个移动网络运营商(MNO)的eSIM的级别3(L3)服务器,并且该消息由eUICC签名。在一些实施方案中,该方法还包括移动设备在执行eSIM的管理操作期间从服务器接收对用户的重新认证有效的一次性代码(OTC)。在一些实施方案中,移动设备通过移动设备的安全输入/输出接口获得用户凭证。在一些实施方案中,移动设备通过移动设备的生物识别传感器获得用户凭证。在一些实施方案中,该方法还包括基于用户凭证获得认证令牌的eUICC;并且eUICC生成发送到服务器的消息,其中消息包括签名有效载荷,签名有效载荷包括认证令牌。
在一些实施方案中,用于对包括在移动设备中的嵌入式通用集成电路卡(eUICC)的管理操作的人类意图验证的方法包括由移动设备执行的以下操作:(a)检测对移动设备的电子用户识别模块(eSIM)的管理操作的启动;(b)通过安全输入/输出(I/O)获取用户凭证;(c)通过移动设备的安全硬件和/或受信任执行环境(TEE)验证人类意图以基于用户凭证执行eSIM的管理操作;以及(d)响应于执行管理操作的人类意图的成功确定,来执行eSIM的管理操作。
在一些实施方案中,管理操作包括安装、导入、修改、删除或导出eSIM。在一些实施方案中,该方法还包括移动设备:(e)获得附加的用户凭证来认证移动设备的用户;(f)将基于附加用户凭证的消息发送到服务器,以验证对eSIM执行管理操作的用户授权;以及(g)响应于从服务器接收到用户授权的指示以及执行管理操作的人类意图的成功确定,来执行eSIM的管理操作。在一些实施方案中,附加用户凭证与移动设备的用户的用户帐户相关联,并且附加用户凭证由用户帐户的第三方服务器验证。在一些实施方案中,附加用户凭证包括用户登录身份和用户帐户的密码。在一些实施方案中,服务器包括被配置为管理一个或多个移动网络运营商(MNO)的eSIM的级别3(L3)服务器,并且该消息由eUICC签名。在一些实施方案中,移动设备通过移动设备的生物识别传感器获得附加的用户凭证。在一些实施方案中,移动设备通过移动设备的安全I/O获得附加用户凭证。
在一些实施方案中,对包括在移动设备中的嵌入式通用集成电路卡(eUICC)的管理操作的用户认证的方法包括由移动设备执行的以下操作:(a)检测对移动设备的电子用户识别模块(eSIM)的管理操作的启动;(b)确定eSIM的管理操作是否需要用户认证;(c)当eSIM的管理操作需要用户认证时:(i)获取用户凭证,(ii)将基于用户凭证的消息发送到服务器,以验证对eSIM执行管理操作的用户授权;以及(iii)响应于从服务器接收到用户授权的指示,来对eSIM执行管理操作;以及(d)当eSIM的管理操作不需要用户认证时,对eSIM执行管理操作。
在一些实施方案中,eSIM包括配置eSIM或紧急服务eSIM,并且管理操作包括切换到配置eSIM或紧急服务eSIM。
在一些实施方案中,对包括在移动设备中的嵌入式通用集成电路卡(eUICC)的管理操作的人类意图验证的方法包括由移动设备执行的以下操作:(a)检测对移动设备的电子用户识别模块(eSIM)的管理操作的启动;(b)确定eSIM的管理操作是否需要人类意图验证或用户认证;(c)当eSIM的管理操作需要人类意图验证或用户认证时:(i)通过安全输入/输出(I/O)获取用户凭证;(ii)通过移动设备的安全硬件和/或受信执行环境(TEE)验证人类意图以基于用户凭证对eSIM执行管理操作;以及(iii)响应于对执行管理操作的人类意图的成功确定,来对eSIM执行管理操作;以及(d)当eSIM的管理操作不需要人类意图验证或用户认证时,对eSIM执行管理操作。
在一些实施方案中,eSIM包括配置eSIM或紧急服务eSIM,并且管理操作包括切换到配置eSIM或紧急服务eSIM。在一些实施方案中,该方法还包括移动设备:(e)获得附加的用户凭证来认证移动设备的用户;(f)将基于附加用户凭证的消息发送到服务器,以验证对eSIM执行管理操作的用户授权;以及(g)响应于从服务器接收到用户授权的指示以及对执行管理操作的人类意图的成功确定,来执行eSIM的管理操作。
在一些实施方案中,移动设备包括无线电路,其包括可配置用于无线通信的一个或多个天线,一个或多个处理器和通信地耦接到一个或多个处理器并存储指令的非暂态存储介质(诸如存储器),所述指令当由一个或多个处理器执行时,使得移动设备执行本文大体上描述的一种或多种方法。
在一些实施方案中,集成电路装置包括一个或多个处理器和通信地耦接到一个或多个处理器并存储指令的存储器,所述指令当由一个或多个处理器执行时使得包括集成电路装置的移动设备执行本文描述的一种或多种方法。
在一些实施方案中,非暂态计算机可读介质存储当由移动设备的一个或多个处理器执行时使得移动设备执行本文所述的一种或多种方法的指令。
图11示出了根据一些实施方案的可用于实现本文所述各个组件的计算设备1100的详细视图。具体地讲,该详细视图示出了图1A所示移动设备102中可包括的各个组件。如图11所示,计算设备1100可包括处理器1102,该处理器表示用于控制计算设备1100的总体操作的微处理器或控制器。在一些实施方案中,处理器1102包括移动设备102的处理器104和/或应用处理器506。计算设备1100还可包括用户输入设备1108,该用户输入设备允许计算设备1100的用户与计算设备1100进行交互。例如,用户输入设备1108可采取各种形式,例如按钮、小键盘、拨盘、触摸屏、音频输入接口、视觉/图像捕获输入接口、传感器数据形式的输入等。在一些实施方案中,用户输入设备1108包括安全I/O 122和/或移动设备102的生物识别传感器116。在一些实施方案中,用户输入设备1108可表示不同软件可控输入的组合,包括具有防止恶意软件或其他恶意活动的附加安全措施的安全版本,以及用于计算设备1100的正常操作的非安全版本。此外,计算设备1100可包括可由处理器1102控制以向用户显示信息的显示器1110(屏幕显示)。在一些实施方案中,显示器1110的控制可包括当前信息和/或经由显示器1110(例如,触敏显示器)获得信息。在一些实施方案中,显示器1110可由处理器1102控制以呈现安全接口。在一些实施方案中,用户输入设备1108和/或显示器单独或组合地可与提供以如本文详细描述的安全方式显示和/或获得输入的附加硬件安全性的一个或多个安全元件通信。计算设备1100的数据总线1116可促进至少存储设备1140、处理器1102和控制器1113之间的数据传输。控制器1113可用于通过设备控制总线1114与不同设备进行交互并对其进行控制。计算设备1100还可包括耦接至数据链路1112的网络/总线接口1111。在无线连接的情况下,网络/总线接口1111可包括无线收发器或更一般地一组无线电路用于根据一个或多个无线通信协议进行通信。在一些实施方案中,计算设备1100可包括有线接口和无线接口两者的组合,用于根据有线通信协议和无线通信协议的连接。
计算设备1100还包括可表示单个磁盘或多个磁盘(例如,硬盘驱动器)的存储设备1140,并且包括管理存储设备1140内的一个或多个分区的存储管理模块。在一些实施方案中,存储设备1140可包括闪存存储器、半导体(固态)存储器等。计算设备1100还可包括随机存取存储器(RAM)1120和只读存储器(ROM)1122。ROM 1122可存储将以非易失性方式执行的程序、实用程序或进程。RAM 1120可提供易失性数据存储,并存储与计算设备1100的操作相关的指令。计算设备1100还可包括安全元件1150,其在一些实施方案中可表示本文详细描述的eUICC 108。
可单独地或以任何组合方式来使用所述实施方案的各个方面、实施方案、具体实施或特征。可由软件、硬件或硬件与软件的组合来实现所述实施方案的各个方面。所述实施方案还可体现为计算机可读介质上的计算机可读代码。计算机可读介质为可存储数据的任何数据存储装置,所述数据之后可由计算机系统读取。计算机可读介质的示例包括只读存储器、随机存取存储器、CD-ROM、DVD、磁带、硬盘驱动器、固态驱动器和光学数据存储设备。计算机可读介质还可分布在网络耦接的计算机系统中使得计算机可读代码以分布式方式来存储和执行。
上述描述为了进行解释使用了特定命名来提供对所述实施方案的彻底理解。然而,对于本领域的技术人员而言将显而易见的是,实践所述实施方案不需要这些具体细节。因此,对特定实施方案的上述描述是出于例示和描述的目的而呈现的。这些描述不旨在被认为是穷举性的或将所述的实施方案限制为所公开的精确形式。对于本领域的普通技术人员而言将显而易见的是,根据上述教导内容,许多修改和变型是可能的。
Claims (22)
1.一种用于包括在移动设备中的嵌入式通用集成电路卡(eUICC)的管理操作的用户认证的方法,所述方法包括:
由所述移动设备的处理器检测对所述移动设备的电子用户身份模块(eSIM)的管理操作的启动;
经由所述移动设备的安全输入获得用户凭证并经由安全连接传送至所述移动设备的安全处理环境;
由所述移动设备的所述安全处理环境基于所述用户凭证来验证对执行所述eSIM的所述管理操作的用户授权;以及
响应于用户授权的成功验证,由所述eUICC执行所述eSIM的所述管理操作。
2.根据权利要求1所述的方法,其中所述管理操作包括所述eSIM的安装、导入、修改、删除或导出。
3.根据权利要求1所述的方法,其中:
所述用户凭证与所述移动设备的用户的用户账户相关联。
4.根据权利要求3所述的方法,其中所述用户凭证包括所述用户账户的用户登录身份和密码。
5.根据权利要求1所述的方法,其中所述安全输入基于预共享密钥与所述安全处理环境安全地连接。
6.根据权利要求5所述的方法,其中所述预共享密钥是在所述移动设备的制造期间安装的。
7.根据权利要求1所述的方法,其中所述安全处理环境包括与所述eUICC分离的安全区域处理器或者嵌入式安全元件。
8.根据权利要求1所述的方法,其中所述安全处理环境包括受信执行环境(TEE)。
9.根据权利要求1所述的方法,还包括:
在允许执行所述eSIM的所述管理操作之前由所述eUICC对所述安全处理环境进行认证。
10.一种用于包括在移动设备中的嵌入式通用集成电路卡(eUICC)的管理操作的人类意图验证的方法,所述方法包括:
由所述移动设备的处理器检测对所述移动设备的电子用户身份模块(eSIM)的管理操作的启动;
经由所述移动设备的安全输入/输出(I/O)获得用户凭证并经由安全连接传送到所述移动设备的安全处理环境;
经由所述移动设备的包括安全硬件和/或受信执行环境(TEE)的所述安全处理环境,基于所述用户凭证来验证执行所述eSIM的所述管理操作的人类意图;以及
响应于对执行所述管理操作的人类意图的成功验证,由所述eUICC执行所述eSIM的所述管理操作。
11.根据权利要求10所述的方法,其中所述管理操作包括所述eSIM的安装、导入、修改、删除或导出。
12.根据权利要求10所述的方法,还包括:
获得附加的用户凭证以认证所述移动设备的用户;
将基于所述附加的用户凭证的消息发送到服务器以验证对执行所述eSIM的所述管理操作的用户授权;以及
响应于从所述服务器接收到用户授权的指示以及对执行所述管理操作的人类意图的成功确定,执行所述eSIM的所述管理操作。
13.根据权利要求12所述的方法,其中所述附加的用户凭证与所述移动设备的所述用户的用户账户相关联,并且所述附加的用户凭证由第三方服务器针对所述用户账户验证。
14.根据权利要求13所述的方法,其中所述附加的用户凭证包括所述用户账户的用户登录身份和密码。
15.根据权利要求12所述的方法,其中所述服务器包括被配置为管理一个或多个移动网络运营商(MNO)的eSIM的级别3(L3)服务器,并且所述消息由所述eUICC签名。
16.根据权利要求12所述的方法,其中所述移动设备通过所述移动设备的生物识别传感器获得所述附加的用户凭证。
17.根据权利要求12所述的方法,其中所述移动设备通过所述移动设备的所述安全I/O获得所述附加的用户凭证。
18.一种用于对包括在移动设备中的嵌入式通用集成电路卡(eUICC)的管理操作的人类意图验证的方法,所述方法包括:
由所述移动设备的处理器检测对所述移动设备的电子用户身份模块(eSIM)的管理操作的启动;
确定所述eSIM的所述管理操作是否需要人类意图验证或用户认证;
当所述eSIM的所述管理操作需要人类意图验证或用户认证时:
经由所述移动设备的安全输入/输出(I/O)获得用户凭证并经由安全连接传送到所述移动设备的安全处理环境;
经由所述移动设备的包括安全硬件和/或受信执行环境(TEE)的所述安全处理环境,基于所述用户凭证来验证执行所述eSIM的所述管理操作的人类意图;以及
响应于对执行所述管理操作的人类意图的成功验证,由所述eUICC执行所述eSIM的所述管理操作;以及
当所述eSIM的所述管理操作不需要人类意图验证或用户认证时,由所述eUICC执行所述eSIM的所述管理操作。
19.根据权利要求18所述的方法,其中所述eSIM包括配置eSIM或紧急服务eSIM,并且所述管理操作包括切换到所述配置eSIM或所述紧急服务eSIM。
20.根据权利要求18所述的方法,还包括:
获得附加的用户凭证以认证所述移动设备的用户;
将基于所述附加的用户凭证的消息发送到服务器以验证对执行所述eSIM的所述管理操作的用户授权;以及
响应于从所述服务器接收到用户授权的指示以及对执行所述管理操作的人类意图的成功确定,执行所述eSIM的所述管理操作。
21.一种计算机可读存储介质,包括其上存储的计算机指令,所述计算机指令当被一个或多个处理器执行时使得所述一个或多个处理器执行根据权利要求1至20中任一项所述的方法。
22.一种计算设备,包括:
一个或多个处理器;和
存储器,存储可执行程序指令,所述可执行程序指令当被所述一个或多个处理器执行时使得所述一个或多个处理器执行根据权利要求1至20中任一项所述的方法。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562136596P | 2015-03-22 | 2015-03-22 | |
| US62/136,596 | 2015-03-22 | ||
| US201562146896P | 2015-04-13 | 2015-04-13 | |
| US62/146,896 | 2015-04-13 | ||
| PCT/US2016/023062 WO2016153977A1 (en) | 2015-03-22 | 2016-03-18 | Methods and apparatus for user authentication and human intent verification in mobile devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107211026A CN107211026A (zh) | 2017-09-26 |
| CN107211026B true CN107211026B (zh) | 2021-01-08 |
Family
ID=56925855
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680008588.2A Active CN107211026B (zh) | 2015-03-22 | 2016-03-18 | 用于移动设备中的用户认证和人类意图验证的方法和装置 |
Country Status (7)
| Country | Link |
|---|---|
| US (3) | US9877193B2 (zh) |
| EP (1) | EP3275232B1 (zh) |
| JP (1) | JP6799541B2 (zh) |
| KR (3) | KR102032857B1 (zh) |
| CN (1) | CN107211026B (zh) |
| AU (1) | AU2016235515B2 (zh) |
| WO (1) | WO2016153977A1 (zh) |
Families Citing this family (52)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7099663B2 (en) | 2001-05-31 | 2006-08-29 | Qualcomm Inc. | Safe application distribution and execution in a wireless environment |
| US9218468B1 (en) | 2013-12-16 | 2015-12-22 | Matthew B. Rappaport | Systems and methods for verifying attributes of users of online systems |
| US11461766B1 (en) | 2014-04-30 | 2022-10-04 | Wells Fargo Bank, N.A. | Mobile wallet using tokenized card systems and methods |
| US9652770B1 (en) | 2014-04-30 | 2017-05-16 | Wells Fargo Bank, N.A. | Mobile wallet using tokenized card systems and methods |
| US9730072B2 (en) * | 2014-05-23 | 2017-08-08 | Apple Inc. | Electronic subscriber identity module provisioning |
| US10019604B2 (en) * | 2014-10-31 | 2018-07-10 | Xiaomi Inc. | Method and apparatus of verifying terminal and medium |
| US10185949B2 (en) | 2015-03-05 | 2019-01-22 | American Express Travel Related Services Company, Inc. | System and method for authentication of a mobile device configured with payment capabilities |
| KR102032857B1 (ko) | 2015-03-22 | 2019-10-16 | 애플 인크. | 모바일 디바이스에서의 사용자 인증 및 인간 의도 검증을 위한 방법 및 장치 |
| AU2016247689B2 (en) | 2015-04-13 | 2020-07-02 | Samsung Electronics Co., Ltd. | Technique for managing profile in communication system |
| US9888070B2 (en) * | 2015-06-29 | 2018-02-06 | Microsoft Technology Licensing, Llc | Brokered advanced pairing |
| DE102015012943A1 (de) * | 2015-10-07 | 2017-04-13 | Giesecke & Devrient Gmbh | Verwalten eines Subskriptions-Profils |
| EP3432543B1 (en) | 2016-03-14 | 2022-05-04 | Ricoh Company, Ltd. | Service providing system, service delivery system, service providing method, and program |
| US9867037B2 (en) | 2016-03-24 | 2018-01-09 | Verizon Patent And Licensing Inc. | Profile deletion codes in subscription management systems |
| US9826403B2 (en) * | 2016-03-24 | 2017-11-21 | Verizon Patent And Licensing Inc. | Protected smart card profile management |
| EP3438837A4 (en) | 2016-03-29 | 2019-03-20 | Ricoh Company Ltd. | SERVICE PROVIDING SYSTEM, SERVICE DISTRIBUTION SYSTEM, SERVICE PROVIDING METHOD, AND PROGRAM |
| WO2017170255A1 (ja) * | 2016-03-29 | 2017-10-05 | 株式会社リコー | サービス提供システム、サービス授受システム、サービス提供方法、及びプログラム |
| CN109074327B (zh) | 2016-03-29 | 2022-02-15 | 株式会社理光 | 服务提供系统、服务递送系统、服务提供方法和程序 |
| US10187791B2 (en) * | 2016-04-06 | 2019-01-22 | Hrb Innovations, Inc. | Workstation and client device pairing |
| US10356087B1 (en) * | 2016-08-26 | 2019-07-16 | Intelligent Waves Llc | System, method and computer program product for credential provisioning in a mobile device platform |
| US10356073B2 (en) * | 2016-08-29 | 2019-07-16 | Cisco Technology, Inc. | Secure captcha test |
| CN109792604B (zh) * | 2017-01-16 | 2021-12-03 | 华为技术有限公司 | 一种eUICC配置文件管理方法及相关装置 |
| KR102293683B1 (ko) * | 2017-02-13 | 2021-08-26 | 삼성전자 주식회사 | eSIM 접근 제어 방법 및 장치 |
| US10805349B2 (en) | 2017-03-29 | 2020-10-13 | At&T Intellectual Property I, L.P. | Method and system to secure and dynamically share IOT information cross multiple platforms in 5G network |
| CN110679166B (zh) | 2017-06-07 | 2021-05-18 | 华为技术有限公司 | 鉴权更新eUICC固件版本的方法及相关装置 |
| JP2019092120A (ja) * | 2017-11-16 | 2019-06-13 | キヤノン株式会社 | 情報処理システム、制御方法及びプログラム |
| CN109840578A (zh) * | 2017-11-28 | 2019-06-04 | 上海耕岩智能科技有限公司 | 一种电子设备 |
| CN108040044B (zh) * | 2017-12-07 | 2019-06-07 | 恒宝股份有限公司 | 一种实现eSIM卡安全认证的管理方法及系统 |
| KR20190074782A (ko) * | 2017-12-20 | 2019-06-28 | 삼성전자주식회사 | 생체 정보와 관련된 이미지의 품질에 따라, 이미지를 지정된 방식으로 처리하여 인증하는 방법 및 이를 수행하는 전자 장치 |
| SE1850155A1 (en) | 2018-02-13 | 2019-08-14 | Fingerprint Cards Ab | Registration of data at a sensor reader and request of data at the sensor reader |
| WO2019202563A1 (en) * | 2018-04-20 | 2019-10-24 | Vishal Gupta | Decentralized document and entity verification engine |
| JP7185978B2 (ja) * | 2018-07-03 | 2022-12-08 | 株式会社ソラコム | 認証情報の設定を仲介するための装置及び方法 |
| US11599862B1 (en) | 2018-08-30 | 2023-03-07 | Wells Fargo Bank, N.A. | User interface for a biller directory and payments engine |
| CN109218028B (zh) * | 2018-09-19 | 2019-08-09 | 恒宝股份有限公司 | 一种在线签发eSIM证书的方法、装置及系统 |
| KR102536948B1 (ko) * | 2018-10-29 | 2023-05-25 | 삼성전자주식회사 | Ssp의 번들을 관리하는 방법 및 장치 |
| WO2020104032A1 (en) * | 2018-11-22 | 2020-05-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure handling of hardware activation codes |
| US11210414B2 (en) | 2018-12-24 | 2021-12-28 | Thales Dis Usa, Inc. | Biometric sensor and processor pairing |
| US11129014B2 (en) * | 2019-03-08 | 2021-09-21 | Apple Inc. | Methods and apparatus to manage inactive electronic subscriber identity modules |
| CN111989693A (zh) * | 2019-03-22 | 2020-11-24 | 华为技术有限公司 | 生物识别方法及装置 |
| US11551190B1 (en) | 2019-06-03 | 2023-01-10 | Wells Fargo Bank, N.A. | Instant network cash transfer at point of sale |
| US10846383B2 (en) | 2019-07-01 | 2020-11-24 | Advanced New Technologies Co., Ltd. | Applet-based account security protection method and system |
| US20220295276A1 (en) * | 2019-08-18 | 2022-09-15 | Apple Inc. | Mobile device authentication without electronic subscriber identity module (esim) credentials |
| CN110610075A (zh) * | 2019-08-22 | 2019-12-24 | 苏州浪潮智能科技有限公司 | 一种双因子证书管理系统及方法 |
| US10764746B1 (en) * | 2019-10-28 | 2020-09-01 | Sprint Communications Company L.P. | Electronic subscriber identity module (eSIM) transfer from inactive device |
| US11146948B1 (en) | 2019-11-05 | 2021-10-12 | Sprint Communications Company L.P. | Electronic subscriber identity module (eSIM) transfer via activation code |
| US11222339B2 (en) * | 2019-12-17 | 2022-01-11 | Capital One Services, Llc | Computer-based systems and methods configured for one or more technological applications for authorizing a credit card for use by a user |
| US11146944B1 (en) | 2020-02-20 | 2021-10-12 | Sprint Communications Company L.P. | Mobile phone peer-to-peer electronic subscriber identity module (eSIM) transfer |
| US20220217136A1 (en) * | 2021-01-04 | 2022-07-07 | Bank Of America Corporation | Identity verification through multisystem cooperation |
| US11831731B2 (en) | 2021-02-23 | 2023-11-28 | Prove Identity, Inc. | Proving possession of a communications device via a directed connection |
| WO2022197919A1 (en) * | 2021-03-17 | 2022-09-22 | Celona, Inc. | Reclaiming of a provisioned credential on user equipment |
| US11968523B2 (en) | 2021-08-19 | 2024-04-23 | Prove Identity, Inc. | Secure channel formation using embedded subscriber information module (ESIM) |
| US11647392B1 (en) | 2021-12-16 | 2023-05-09 | Bank Of America Corporation | Systems and methods for context-aware mobile application session protection |
| DE102022001094A1 (de) | 2022-03-30 | 2023-10-05 | Giesecke+Devrient ePayments GmbH | Verfahren zur Verwaltung einer Anwendung zur elektronischen Identifizierung eines Nutzers |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101102190A (zh) * | 2006-07-04 | 2008-01-09 | 华为技术有限公司 | 生成本地接口密钥的方法 |
| CN102932787A (zh) * | 2012-10-25 | 2013-02-13 | 北京傲天动联技术有限公司 | Eap-sim用户认证的业务测试系统 |
| JP2013061956A (ja) * | 2007-12-24 | 2013-04-04 | Qualcomm Inc | モバイルハンドセットのための仮想simカード |
| CN103493541A (zh) * | 2012-08-24 | 2014-01-01 | 华为终端有限公司 | 切换运营商网络的方法及终端 |
| CN104125216A (zh) * | 2014-06-30 | 2014-10-29 | 华为技术有限公司 | 一种提升可信执行环境安全性的方法、系统及终端 |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006034436A2 (en) * | 2004-09-21 | 2006-03-30 | Stout Medical Group, L.P. | Expandable support device and method of use |
| EP1798943A1 (en) * | 2005-12-13 | 2007-06-20 | Axalto SA | SIM messaging client |
| FI120480B (fi) | 2006-05-15 | 2009-10-30 | Software Cellular Network Ltd | Menetelmä ja järjestelmä käyttäjälaitteen konfiguroimiseksi |
| US20090268912A1 (en) * | 2006-09-06 | 2009-10-29 | Masayuki Nakae | Data use managing system |
| CA2590387A1 (en) * | 2007-05-29 | 2008-11-29 | Sal Khan | A system and method for creating a virtual private network (vpn) over a computer network using multi-layered permissions-based access control |
| US8839373B2 (en) * | 2010-06-18 | 2014-09-16 | Qualcomm Incorporated | Method and apparatus for relay node management and authorization |
| US9100810B2 (en) * | 2010-10-28 | 2015-08-04 | Apple Inc. | Management systems for multiple access control entities |
| US8924715B2 (en) | 2010-10-28 | 2014-12-30 | Stephan V. Schell | Methods and apparatus for storage and execution of access control clients |
| US8887257B2 (en) * | 2011-04-26 | 2014-11-11 | David T. Haggerty | Electronic access client distribution apparatus and methods |
| WO2012152991A1 (en) * | 2011-05-09 | 2012-11-15 | Nokia Corporation | Sim lock for multi-sim environment |
| WO2013015729A1 (en) | 2011-07-27 | 2013-01-31 | Telefonaktiebolaget L M Ericsson (Publ) | Mediation server, control method therefor, subscription information managing apparatus, control method therefor, subscription management server, and control method therefor |
| US8171525B1 (en) | 2011-09-15 | 2012-05-01 | Google Inc. | Enabling users to select between secure service providers using a central trusted service manager |
| US8989806B2 (en) * | 2011-09-16 | 2015-03-24 | Alcatel Lucent | Network operator-neutral provisioning of mobile devices |
| US9712996B2 (en) * | 2011-09-28 | 2017-07-18 | Kt Corporation | Profile management method, embedded UICC, and device provided with the embedded UICC |
| US20130179944A1 (en) * | 2012-01-11 | 2013-07-11 | Douglas Everett Kozlay | Personal area network (PAN) ID-authenticating systems, apparatus, method |
| KR101651808B1 (ko) * | 2012-02-07 | 2016-08-26 | 애플 인크. | 네트워크 보조형 사기 검출 장치 및 방법 |
| KR101618274B1 (ko) * | 2012-02-14 | 2016-05-04 | 애플 인크. | 복수의 액세스 제어 클라이언트를 지원하는 모바일 장치, 및 대응 방법들 |
| US9591476B2 (en) | 2012-02-24 | 2017-03-07 | Sony Corporation | Mobile using reconfigurable user identification module |
| US8577337B2 (en) * | 2012-03-05 | 2013-11-05 | Rogers Communications Inc. | Radio management method and system using embedded universal integrated circuit card |
| US8718607B2 (en) * | 2012-04-12 | 2014-05-06 | At&T Intellectual Property I, L.P. | Anonymous customer reference services enabler |
| US8866041B2 (en) | 2012-04-12 | 2014-10-21 | Tdk Corporation | Apparatus and method of manufacturing laser diode unit utilizing submount bar |
| CA2810360C (en) * | 2012-06-27 | 2016-05-10 | Rogers Communications Inc. | System and method for remote provisioning of embedded universal integrated circuit cards |
| CN104769983B (zh) * | 2012-09-12 | 2018-07-27 | 苹果公司 | 用于管理安全元件内的数据的方法与装置 |
| WO2014047494A1 (en) * | 2012-09-21 | 2014-03-27 | Apple Inc. | Apparatus and methods for controlled switching of electronic access clients without requiring network access |
| EP2961207A1 (en) * | 2014-06-24 | 2015-12-30 | Gemalto SA | Method, server and telecommunications system for establishing, through an OTA server, a secured communication channel between an administrative agent comprised in a device and a third party server |
| US9231925B1 (en) * | 2014-09-16 | 2016-01-05 | Keypasco Ab | Network authentication method for secure electronic transactions |
| KR102032857B1 (ko) | 2015-03-22 | 2019-10-16 | 애플 인크. | 모바일 디바이스에서의 사용자 인증 및 인간 의도 검증을 위한 방법 및 장치 |
-
2016
- 2016-03-18 KR KR1020197007249A patent/KR102032857B1/ko active IP Right Grant
- 2016-03-18 AU AU2016235515A patent/AU2016235515B2/en active Active
- 2016-03-18 KR KR1020187027897A patent/KR101959492B1/ko active IP Right Grant
- 2016-03-18 WO PCT/US2016/023062 patent/WO2016153977A1/en active Application Filing
- 2016-03-18 JP JP2017541835A patent/JP6799541B2/ja active Active
- 2016-03-18 KR KR1020177024005A patent/KR101904338B1/ko active Application Filing
- 2016-03-18 CN CN201680008588.2A patent/CN107211026B/zh active Active
- 2016-03-18 EP EP16769395.1A patent/EP3275232B1/en active Active
- 2016-03-21 US US15/076,527 patent/US9877193B2/en active Active
-
2018
- 2018-01-22 US US15/876,875 patent/US10405181B2/en active Active
-
2019
- 2019-08-30 US US16/557,770 patent/US10856148B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101102190A (zh) * | 2006-07-04 | 2008-01-09 | 华为技术有限公司 | 生成本地接口密钥的方法 |
| JP2013061956A (ja) * | 2007-12-24 | 2013-04-04 | Qualcomm Inc | モバイルハンドセットのための仮想simカード |
| CN103493541A (zh) * | 2012-08-24 | 2014-01-01 | 华为终端有限公司 | 切换运营商网络的方法及终端 |
| CN102932787A (zh) * | 2012-10-25 | 2013-02-13 | 北京傲天动联技术有限公司 | Eap-sim用户认证的业务测试系统 |
| CN104125216A (zh) * | 2014-06-30 | 2014-10-29 | 华为技术有限公司 | 一种提升可信执行环境安全性的方法、系统及终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018512752A (ja) | 2018-05-17 |
| US10856148B2 (en) | 2020-12-01 |
| WO2016153977A1 (en) | 2016-09-29 |
| KR20190028824A (ko) | 2019-03-19 |
| US9877193B2 (en) | 2018-01-23 |
| AU2016235515A1 (en) | 2017-09-21 |
| KR101959492B1 (ko) | 2019-03-18 |
| EP3275232A1 (en) | 2018-01-31 |
| US20190387402A1 (en) | 2019-12-19 |
| US20160277930A1 (en) | 2016-09-22 |
| KR102032857B1 (ko) | 2019-10-16 |
| KR20170109010A (ko) | 2017-09-27 |
| KR101904338B1 (ko) | 2018-10-05 |
| US10405181B2 (en) | 2019-09-03 |
| KR20180110202A (ko) | 2018-10-08 |
| EP3275232B1 (en) | 2020-09-02 |
| US20180249333A1 (en) | 2018-08-30 |
| CN107211026A (zh) | 2017-09-26 |
| AU2016235515B2 (en) | 2020-05-21 |
| JP6799541B2 (ja) | 2020-12-16 |
| EP3275232A4 (en) | 2018-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107211026B (zh) | 用于移动设备中的用户认证和人类意图验证的方法和装置 | |
| CN110557751B (zh) | 基于服务器信任评估的认证 | |
| US10666642B2 (en) | System and method for service assisted mobile pairing of password-less computer login | |
| US9361451B2 (en) | System and method for enforcing a policy for an authenticator device | |
| US8898759B2 (en) | Application registration, authorization, and verification | |
| US20160286393A1 (en) | Method and apparatus for seamless out-of-band authentication | |
| US20200280550A1 (en) | System and method for endorsing a new authenticator | |
| US20160066184A1 (en) | Pairing Computing Devices According To A Multi-Level Security Protocol | |
| US20160125180A1 (en) | Near Field Communication Authentication Mechanism | |
| JP2016533694A (ja) | ユーザアイデンティティ認証方法、端末及びサーバ | |
| US11805112B2 (en) | Enhanced multi-factor authentication based on physical and logical proximity to trusted devices and users | |
| US20230319573A1 (en) | Profile transfer with secure intent | |
| WO2018137239A1 (zh) | 一种鉴权方法、鉴权服务器和核心网设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |