CN108229213A - 访问控制方法、系统及电子设备 - Google Patents
访问控制方法、系统及电子设备 Download PDFInfo
- Publication number
- CN108229213A CN108229213A CN201611161153.XA CN201611161153A CN108229213A CN 108229213 A CN108229213 A CN 108229213A CN 201611161153 A CN201611161153 A CN 201611161153A CN 108229213 A CN108229213 A CN 108229213A
- Authority
- CN
- China
- Prior art keywords
- euicc
- modules
- lpa
- access control
- api
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/77—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/42—Security arrangements using identity modules using virtual identity modules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Telephone Function (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供了一种访问控制方法,包括:位于电子设备应用层的本地文件管理(LPA)模块接收控制指令;所述控制指令用于指示对嵌入式通用集成电路卡(eUICC)进行控制操作;所述LPA模块响应所述控制指令,调用所述电子设备的操作系统(OS)的应用程序编程接口(API),以将对应的信息或命令发送至所述eUICC;所述OS的API被调用时,所述OS基于访问控制规则,判断所述LPA模块是否具有访问所述eUICC的权限,当确定所述LPA模块具有访问所述eUICC的权限时,将所述对应的信息或命令发送至所述eUICC,以由所述eUICC针对所述对应的信息或命令进行操作。本发明同时还公开了一种电子设备及访问控制系统。
Description
技术领域
本发明涉及通信领域的安全技术,尤其涉及一种访问控制方法、系统及电子设备。
背景技术
嵌入式通用集成电路卡(eUICC,embedded Universal Integrated CircuitCard)的最初需求源自物联网领域(特别是汽车行业)(即嵌入式客户识别模块(eSIM,embeded Subscriber Identification Module)卡),但是随着人们需求的发展,eUICC还可以应用在个人领域,如可应用在可穿戴领域;而且对eUICC的需求也变为可动态下载运营商制卡文件信息(Profile),可以在不同Profile间切换等。
目前,全球移动通信系统协会(GSMA)、欧洲电信标准化协会(ETSI)等国际组织目前正制定eUICC相关规范。针对个人领域的eUICC相关规范中,在现有技术架构中,设备商将本地文件管理(LPA,Local Profile Assistant)功能集成在设备的操作系统(OS)中,为用户提供Profile操作界面,连通用户管理-数据准备网元(SM-DP+,Subscription Manager-Data Preparation+)和eUICC以下载、管理Profile。
但是,将LPA集成在OS中会存在以下缺陷:
(1)LPA功能升级时需要用户更新设备的OS;
(2)运营商需要适配不同终端设备的LPA,且LPA的功能受限;
(3)LPA升级,运营商的系统均需要改造,实施难度高。
发明内容
为解决现有存在的技术问题,本发明实施例提供一种访问控制方法、系统及电子设备。
本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种访问控制方法,应用于电子设备,所述方法包括:
位于所述电子设备应用层的LPA模块接收控制指令;所述控制指令用于指示对eUICC进行控制操作;
所述LPA模块响应所述控制指令,调用所述电子设备的OS的应用程序编程接口(API,Application Programming Interface),以将对应的信息或命令发送至所述eUICC;
所述OS的API被调用时,所述OS基于访问控制规则,判断所述LPA模块是否具有访问所述eUICC的权限,当确定所述LPA模块具有访问所述eUICC的权限时,将所述对应的信息或命令发送至所述eUICC,以由所述eUICC针对所述对应的信息或命令进行操作。
上述方案中,所述方法还包括:
所述OS从所述eUICC获取所述访问控制规则,并保存。
上述方案中,所述OS从所述eUICC获取所述访问控制规则,包括:
所述OS向所述eUICC发送读取请求;
所述OS接收所述eUICC返回的所述访问控制规则。
上述方案中,所述方法还包括:
当所述LPA模块对应的发卡方安全域-运营商制卡文件信息(ISD-P,IssuerSecurity Domain-Profile)去激活后,所述OS清除保存的访问控制规则。
上述方案中,所述方法还包括:
当所述eUICC存储的访问控制规则发生变化时,所述OS从所述eUICC获取新的访问控制规则,并更新本地存储的访问控制规则。
上述方案中,通过所述电子设备实现用户管理-数据准备网元(SM-DP+,Subscription Manager-Data Preparation+)或业务平台与所述eUICC进行交互时,所述LPA模块接收控制指令;
调用所述OS的API之前,所述方法还包括:
所述LPA模块从所述SM-DP+或业务平台获取所述对应的信息或命令。
上述方案中,所述访问控制规则至少包括所述LPA模块的校验信息;所述校验信息用于校验所述LPA模块是否具有访问所述eUICC的权限。
上述方案中,所述访问控制规则还包括:API的访问权限;
确定所述LPA模块具有访问所述eUICC的权限,将所述对应的信息或命令发送至所述eUICC之前,所述方法还包括:
利用所述访问控制规则中的API的访问权项,判断所述LPA模块所调用的API是否允许被调用,确定所述LPA模块所调用的API允许被调用时,将所述对应的信息或命令发送至所述eUICC。
本发明实施例还提供了一种电子设备,包括:
位于所述电子设备应用层的LPA模块,用于接收控制指令;所述控制指令用于指示对eUICC进行控制操作;并响应所述控制指令,调用OS模块的API,以将对应的信息或命令发送至所述eUICC;
OS模块,用于当自身的API被调用时,基于访问控制规则,判断所述LPA模块是否具有访问所述eUICC的权限,当确定所述LPA模块具有访问所述eUICC的权限时,将所述对应的信息或命令发送至所述eUICC,以由所述eUICC针对所述对应的信息或命令进行操作。
上述方案中,所述OS模块,还用于从所述eUICC获取所述访问控制规则,并保存。
上述方案中,所述OS模块,还用于当所述LPA模块对应的ISD-P去激活后,所述OS清除保存的访问控制规则。
上述方案中,所述OS模块,还用于当所述eUICC存储的访问控制规则发生变化时,所述OS从所述eUICC获取新的访问控制规则,并更新本地存储的访问控制规则。
上述方案中,通过所述电子设备实现SM-DP+或业务平台与所述eUICC进行交互时,所述LPA模块接收控制指令;
所述LPA模块,还用于从所述SM-DP+或业务平台获取所述对应的信息或命令。
上述方案中,所述访问控制规则至少包括所述LPA模块的校验信息;所述校验信息用于校验所述LPA模块是否具有访问所述eUICC的权限。
上述方案中,所述访问控制规则还包括:API的访问权限;所述OS模块,还用于:确定所述LPA模块具有访问所述eUICC的权限后,利用所述访问控制规则中的API的访问权项,判断所述LPA模块所调用的API是否允许被调用,确定所述LPA模块所调用的API允许被调用时,将所述对应的信息或命令发送至所述eUICC。
本发明实施例又提供了一种访问控制系统,包括:电子设备及eUICC;所述电子设备包括:
位于所述电子设备应用层的LPA模块,用于接收控制指令;所述控制指令用于指示对eUICC进行控制操作;并响应所述控制指令,调用OS模块的API,以将对应的信息或命令发送至所述eUICC;
OS模块,用于当自身的API被调用时,基于访问控制规则,判断所述LPA模块是否具有访问所述eUICC的权限,当确定所述LPA模块具有访问所述eUICC的权限时,将所述对应的信息或命令发送至所述eUICC;
所述eUICC,用于针对所述对应的信息或命令进行操作。
上述方案中,所述OS模块,还用于从所述eUICC获取所述访问控制规则,并保存;
所述eUICC,还用于为所述OS模块提供所述访问控制规则。
本发明实施例提供的访问控制方法、系统及电子设备,位于电子设备应用层的LPA模块接收控制指令;所述控制指令用于指示对eUICC进行控制操作;所述LPA模块响应所述控制指令,调用所述电子设备的OS的API,以将对应的信息或命令发送至所述eUICC;所述OS的API被调用时,所述OS基于访问控制规则,判断所述LPA模块是否具有访问所述eUICC的权限,当确定所述LPA模块具有访问所述eUICC的权限时,将所述对应的信息或命令发送至所述eUICC,以由所述eUICC针对所述对应的信息或命令进行操作,由于LPA模块位于电子设备的应用层,与OS完全分离,所以本发明实施例提供的方案可以适配不同的电子设备,对LPA模块的升级,也不需要改动运营商的系统,也不需要对电子设备的OS进行升级。而且通过OS对LPA权限的管理,可以实现对eUICC的安全操作。
附图说明
在附图(其不一定是按比例绘制的)中,相似的附图标记可在不同的视图中描述相似的部件。具有不同字母后缀的相似附图标记可表示相似部件的不同示例。附图以示例而非限制的方式大体示出了本文中所讨论的各个实施例。
图1为相关技术中针对个人领域的eUICC相关规范技术架构示意图;
图2为本发明实施例一电子设备侧的访问控制方法流程示意图;
图3为本发明实施例一访问控制方法流程示意图;
图4为本发明实施例二电子设备结构示意图;
图5为本发明实施例二访问控制系统结构示意图;
图6为本发明实施例三访问控制系统架构示意图;
图7为本发明实施例三用户通过设备应用进行Profile下载流程示意图;
图8为本发明实施例三用户通过设备应用与当前激活的ISD-P进行交互示意图;
图9为本发明实施例三用户通过设备应用对ISD-P进行管理的过程示意图。
具体实施方式
下面结合附图及实施例对本发明再作进一步详细的描述。
在描述本发明实施例之前,先详细了解一下eUICC卡的相关技术。
eUICC的最初需求源自物联网领域(特别是汽车行业),欧盟立法规定2018年4月起在欧盟境内出售的所有型号家用车和轻型乘用车必须配备嵌入式呼叫(eCall)紧急呼叫系统(该系统在紧急情况下可以自动/手动连通网络,上报用户位置信息,便于实施紧急救助),该系统基于移动网络设计,需要在车辆中安装通用集成电路卡(UICC,UniversalIntegrated Circuit Card)卡(即客户识别模块(SIM,Subscriber IdentificationModule)卡),考虑到安全车厂不希望用户自行更换UICC卡,因此出现了将UICC卡嵌入(即eUICC)汽车统一销售的需求。
但是有此引出了新的问题:汽车生产地与最终销售地很可能不一致,如果预置码号会产生高额的漫游费用、且某些地区不支持永久漫游,因此产生动态下载正式码号的需求。
随着技术和业务的发展,加之需求讨论的不断深入,eSIM卡应具备了:具有独立硬件载体、动态加载Profile、在不同运营商Profile之间切换的功能。同时,eUICC已经延伸至个人领域(如:手表、手机、平板电脑(Tablet)等)。
全球移动通信系统协会(GSMA)、欧洲电信标准化协会(ETSI)等国际组织目前正制定eUICC相关规范,其中,图1示出了针对个人领域的现有eUICC相关规范技术架构。如图1所示,在现有技术架构中,设备商将本地文件管理(LPA,Local Profile Assistant)功能集成在设备的OS中,为用户提供Profile操作界面,连通SM-DP+和eUICC,以下载、管理Profile。其中,LPA通过本地接口与eUICC上的LPA业务(LPA Services)模块通信,以创建、激活/去活、删除Profile。
在图1中,eUICC上的ISD-P是运营商Profile在卡上的存在方式,不同运营商(SM-DP+)在卡上对应不同的ISD-P,相互之间安全隔离。
从上面的描述中可以看出,LPA是集成在OS中的,这样就会存在以下问题:
1)LPA功能升级需要用户更新设备的OS;
2)运营商需要适配不同终端设备的LPA,且LPA的功能受限;
3)LPA升级,运营商的系统均需要改造,实施难度高(不同厂商提供的LPA,其功能扩展可能需要运营商后台系统适配升级,而由于终端厂商较多,所以适配升级的工作巨大)。
基于此,在本发明的各种实施例中:位于电子设备应用层的LPA模块接收控制指令;所述控制指令用于指示对eUICC进行控制操作;所述LPA模块响应所述控制指令,调用所述电子设备的OS的API,以将对应的信息或命令发送至所述eUICC;所述OS的API被调用时,所述OS基于访问控制规则,判断所述LPA模块是否具有访问所述eUICC的权限,当确定所述LPA模块具有访问所述eUICC的权限时,将所述对应的信息或命令发送至所述eUICC,以由所述eUICC针对所述对应的信息或命令进行操作。
实施例一
本发明实施例访问控制方法,应用于电子设备,可以是:穿戴式设备、手机、Tablet等;如图2所示,该方法包括以下步骤:
步骤201:位于所述电子设备应用层的LPA模块接收控制指令;
这里,所述控制指令用于指示对eUICC进行控制操作。
其中,实际应用时,所述控制指令可以是用户针对所述eUICC中ISD-P进行相关操作时,比如:进行激活/去激活、删除等操作时,发出的控制指令;所述控制指令还可以是用户通过所述电子设备(所述LPA模块)来实现SM-DP+或业务平台与所述eUICC进行交互时,比如:用户通过所述LPA模块进行Profile下载流程中SM-DP+与所述eUICC进行交互时,再比如:用户通过所述LPA模块实现SM-DP+或业务平台与所述eUICC上当前激活的ISD-P的profile进行交互时,发出的控制指令。
步骤202:所述LPA模块响应所述控制指令,调用所述电子设备的OS的API,以将对应的信息或命令发送至所述eUICC;
这里,实际应用时,当通过所述电子设备实现SM-DP+或业务平台与所述eUICC进行交互时,所述LPA模块接收控制指令;调用所述OS的API之前该方法还可以包括:
所述LPA模块从所述SM-DP+或业务平台获取所述对应的信息或命令。
步骤203:所述OS的API被调用时,所述OS基于访问控制规则,判断所述LPA模块是否具有访问所述eUICC的权限,当确定所述LPA模块具有访问所述eUICC的权限时,将所述对应的信息或命令发送至所述eUICC,以由所述eUICC针对所述对应的信息或命令进行操作。
这里,实际应用时,所述OS需要先从所述eUICC获取所述访问控制规则,并保存。
具体地,所述OS向所述eUICC发送读取请求;
所述OS接收所述eUICC返回的所述访问控制规则。
其中,当所述LPA模块对应的ISD-P(位于所述eUICC上)去激活后,所述OS需要清除保存的访问控制规则,以保证对所述eUICC的安全访问。
另外,当所述eUICC存储的访问控制规则发生变化(新增、删除、修改等)时,所述OS需要从所述eUICC获取新的访问控制规则,并更新本地存储的访问控制规则,以保证对所述eUICC的安全访问。
这里,实际应用时,可以由后台(可以是运营商、设备商、卡商、或第三方的后台)通过空中下载(OTA)/互联网下载(OTI)方式对所述eUICC存储的访问控制规则进行更新(包括新增、删除、修改等)。
相应地,当所述eUICC存储的访问控制规则发生变化时,所述eUICC可以主动通知OS,当然,OS也可以通过轮询方式获知所述eUICC存储的访问控制规则发生了变化。
实际应用时,所述访问控制规则至少包括所述LPA模块的校验信息;所述校验信息用于校验所述LPA模块是否具有访问所述eUICC的权限。比如:所述校验信息为所述LPA模块签名证书的哈希(hash)值等。当然,所述访问控制规则还可以包括:每个API是否允许调用的标识符(掩码),比如:可以设置1表示通过权限校验即可调用相应的API,0标识即便通过权限校验也不可调用相应的API等。
实际应用时,根据所述LPA模块接收控制指令的不同,可以设置所述LPA模块调用不同的API,比如:ISD-P创建过程调用第一API,而当对已创建的ISD-P进行操作时,调用第二API等。
在一实施例中,所述访问控制规则还包括:API的访问权限;相应地,确定所述LPA模块具有访问所述eUICC的权限,将所述对应的信息或命令发送至所述eUICC之前,该方法还可以包括:
利用所述访问控制规则中的API的访问权项,判断所述LPA模块所调用的API是否允许被调用,确定所述LPA模块所调用的API允许被调用时,将所述对应的信息或命令发送至所述eUICC。
从上面的描述中可以看出,为了实现本发明实施例提供的方法,需要在所述eUICC侧预先设置访问控制规则。
本发明实施例还提供了一种访问控制方法,如图3所示,该方法包括:
步骤301:位于所述电子设备应用层的LPA模块接收控制指令;
这里,所述第控制指令用于指示对eUICC进行控制操作。
步骤302:所述LPA模块响应所述控制指令,调用所述电子设备的OS的API,以将对应的信息或命令发送至所述eUICC;
步骤303:所述OS的API被调用时,所述OS基于访问控制规则,判断所述LPA模块是否具有访问所述eUICC的权限,当确定所述LPA模块具有访问所述eUICC的权限时,将所述对应的信息或命令发送至所述eUICC;
步骤304:所述eUICC针对所述对应的信息或命令进行操作。
需要说明的是:所述LPA模块、OS及eUICC的具体处理过程已在上文详述,这里不再赘述。
本发明实施例提供的控制方法,位于电子设备应用层的LPA模块接收控制指令;所述控制指令用于指示对eUICC进行控制操作;所述LPA模块响应所述控制指令,调用所述电子设备的OS的API,以将对应的信息或命令发送至所述eUICC;所述OS的API被调用时,所述OS基于访问控制规则,判断所述LPA模块是否具有访问所述eUICC的权限,当确定所述LPA模块具有访问所述eUICC的权限时,将所述对应的信息或命令发送至所述eUICC,以由所述eUICC针对所述对应的信息或命令进行操作,由于LPA模块位于电子设备的应用层,与OS完全分离,所以本发明实施例提供的方案可以适配不同的电子设备,对LPA模块的升级,也不需要改动运营商的系统,也不需要对电子设备的OS进行升级。而且通过OS对LPA权限的管理,可以实现对eUICC的安全操作。
实施例二
为实现本发明实施例的方法,本实施例提供一种电子设备,可以是:穿戴式设备、手机、Tablet等;如图4所示,该电子设备包括:
位于所述电子设备应用层的LPA模块41,用于接收控制指令;所述控制指令用于指示对eUICC进行控制操作;并响应所述控制指令,调用OS模块42的API,以将对应的信息或命令发送至所述eUICC;
OS模块42,用于当自身的API被调用时,基于访问控制规则,判断所述LPA模块是否具有访问所述eUICC的权限,当确定所述LPA模块41具有访问所述eUICC的权限时,将所述对应的信息或命令发送至所述eUICC,以由所述eUICC针对所述对应的信息或命令进行操作。
其中,实际应用时,所述控制指令可以是用户针对所述eUICC中ISD-P的进行相关操作时,比如:激活/去激活、删除等操作时,发出的控制指令;所述控制指令还可以是用户通过所述电子设备(所述LPA模块41)来实现SM-DP+或业务平台与所述eUICC进行交互时,比如:用户通过所述LPA模块41进行Profile下载流程中SM-DP+与所述eUICC进行交互时,再比如:用户通过所述LPA模块41实现SM-DP+或业务平台与所述eUICC上当前激活的ISD-P的profile进行交互时,发出的控制指令。
这里,实际应用时,当通过所述电子设备实现SM-DP+或业务平台与所述eUICC进行交互时,所述LPA模块41接收控制指令;
所述LPA模块41,还用于从所述SM-DP+或业务平台获取所述对应的信息或命令。
在一实施例中,所述OS模块42,还用于从所述eUICC获取所述访问控制规则,并保存。
具体地,所述OS模块42向所述eUICC发送读取请求;
所述OS模块42接收所述eUICC返回的所述访问控制规则。
其中,当所述LPA模块41对应的ISD-P(位于所述eUICC上)去激活后,所述OS模块42需要清除保存的访问控制规则,以保证对所述eUICC的安全访问。
另外,当所述eUICC存储的访问控制规则发生变化(新增、删除、修改等)时,所述OS模块42需要从所述eUICC获取新的访问控制规则,并更新本地存储的访问控制规则,以保证对所述eUICC的安全访问。
这里,实际应用时,可以由后台(可以是运营商、设备商、卡商、或第三方的后台)通过空中下载(OTA)/互联网下载(OTI)方式对所述eUICC存储的访问控制规则进行更新(包括新增、删除、修改等)。
相应地,当所述eUICC存储的访问控制规则发生变化时,所述eUICC可以主动通知OS模块42,当然,OS模块42也可以通过轮询方式获知所述eUICC存储的访问控制规则发生了变化。
实际应用时,所述访问控制规则至少包括所述LPA模块的校验信息;所述校验信息用于校验所述LPA模块41是否具有访问所述eUICC的权限。比如:所述校验信息为所述LPA模块41签名证书的哈希(hash)值等。当然,所述访问控制规则还可以包括:每个API是否允许调用的标识符(掩码),比如:可以设置1表示通过权限校验即可调用相应的API,0标识即便通过权限校验也不可调用相应的API等。
实际应用时,根据所述LPA模块接收控制指令的不同,可以设置所述LPA模块调用不同的API,比如:ISD-P创建过程调用第一API,而当对已创建的ISD-P进行操作时,调用第二API等。
在一实施例中,所述访问控制规则还包括:API的访问权限;相应地,所述OS模块42,还用于:确定所述LPA模块具有访问所述eUICC的权限后,利用所述访问控制规则中的API的访问权项,判断所述LPA模块41所调用的API是否允许被调用,确定所述LPA模块41所调用的API允许被调用时,将所述对应的信息或命令发送至所述eUICC。
从上面的描述中可以看出,为了实现本发明实施例提供的方法,需要在所述eUICC侧预先设置访问控制规则。
实际应用时,所述LPA模块41和OS模块可由电子设备中的控制器实现。
为实现本发明实施例的方法,本实施例还提供了一种访问控制系统,如图5所示,该系统包括电子设备51及eUICC 52;其中,
所述电子设备包括:
位于所述电子设备应用层的LPA模块511,用于接收控制指令;所述控制指令用于指示对eUICC 52进行控制操作;并响应所述控制指令,调用OS模块512的API,以将对应的信息或命令发送至所述eUICC 52;
OS模块512,用于当自身的API被调用时,基于访问控制规则,判断所述LPA模块是否具有访问所述eUICC 52的权限,当确定所述LPA模块511具有访问所述eUICC的权限时,将所述对应的信息或命令发送至所述eUICC 52;
所述eUICC 52,用于针对所述对应的信息或命令进行操作。
其中,所述OS模块512,还用于从所述eUICC 52获取所述访问控制规则,并保存;
所述eUICC 52,还用于为所述OS模块512提供所述访问控制规则。
其中,LPA模块511及OS模块512的具体处理过程已在上文详述,这里不再赘述。
本发明实施例提供的方案,位于电子设备应用层的LPA模块接收控制指令;所述控制指令用于指示对eUICC进行控制操作;所述LPA模块响应所述控制指令,调用所述电子设备的OS模块的API,以将对应的信息或命令发送至所述eUICC;所述OS模块的API被调用时,所述OS模块基于访问控制规则,判断所述LPA模块是否具有访问所述eUICC的权限,当确定所述LPA模块具有访问所述eUICC的权限时,将所述对应的信息或命令发送至所述eUICC,以由所述eUICC针对所述对应的信息或命令进行操作,由于LPA模块位于电子设备的应用层,与OS完全分离,所以本发明实施例提供的方案可以适配不同的电子设备,对LPA模块的升级,也不需要改动运营商的系统,也不需要对电子设备的OS进行升级。而且通过OS对LPA权限的管理,可以实现对eUICC的安全操作。
实施例三
在实施例一、二的基础上,本实施例详细描述本发明实施例的架构及各模块的功能,以及模块之间的交互过程。
图6为本发明实施例三的访问控制系统架构示意图。从图6中可以看出,与图1所示的系统相比,本发明实施例新增的模块包括:
(1)在电子设备(Device)OS中新增两套API
如图6所示,增加的两套API分别是:API Set 1及API Set 2;其中,API Set 1主要负责ISD-P的创建、删除;API Set 2主要负责ISD-P内应用的访问,如:发送各类应用协议数据单元(APDU,Application Protocol Data Unit)命令;
(2)在eUICC上新增eUICC AC Applet(Java编程语言编写的应用程序,实际应用时,根据Device OS,也可以采用其它语言编写的应用程序),是一个访问控制应用(AccessControl应用),该AC Applet用于控制电子设备上应用对API Set 1的访问权限,即存储针对API Set 1的访问控制规则;
(3)在创建的ISD-P中新增AC Applet,也是一个访问控制应用(Access Control应用),该Applet用于控制电子设备上应用对API Set 2的访问权限,即存储针对API Set 2的访问控制规则;
(4)Device OS中新增访问控制执行器(AC Enforcer,Access ControlEnforcer),用于加载eUICC和当前激活ISD-P中AC Applet存储的访问控制规则;
(5)运营商MNO LPA(当然,实际应用时,也可以是第三方LPA),以设备应用的形式存在,为用户提供操作界面,连通SM-DP+和eUICC实现安全通信,并实现用户对eUICC的操作。
其中,对于AC Applet,有以下设置要求:
eUICC和ISD-P中均有一个AC Applet,分别是e UICC AC Applet和ISD-P ACApplet。
这里,AC Applet中存储访问控制规则(一条或者多条),每条规则包含设备应用(MNO LPA或者第三方LPA)签名证书的Hash值(必选项)及设备应用的名字/标识(Name/ID)(可选项);另外在每条规则中,可以通过设置掩码来设置每个API是否允许调用,比如:可以设置:1表示通过权限校验通过即可调用相应的API,0表示即便通过检查也不可调用相应的API。
Native LPA,用于实现ISD-P的激活/去活、删除等操作,任一时刻eUICC上至多只有一个ISD-P处于激活状态。
AC Enforcer中关于eUICC AC Applet所存储的访问控制规则的更新机制是:
首先,设备开机时,AC Enforcer加载eUICC AC Applet中存储的访问控制规则(从eUICC AC Applet读取访问控制规则,并保存);
其次,当eUICC AC Applet中存储的访问控制规则发生变化时(如:新增、删除、修改访问控制规则等),AC Enforcer更新所存储的访问控制规则。
AC Enforcer中关于ISD-P AC Applet所存储的访问控制规则的更新机制是:
首先,设备开机时,加载当前处于激活状态的ISD-P所对应的ISD-P AC Applet中存储的访问控制规则;
其次,当前处于激活状态的ISD-P AC Applet中存储的访问控制规则发生变化时(如:新增、删除、修改访问控制规则等),AC Enforcer更新所存储的访问控制规则。
第三,去活ISD-P时,清除存储的对应的访问控制规则;
第四,激活其他ISD-P时,重新加载新激活的ISD-P AC Applet中存储的访问控制规则。
下面详细描述对eUICC的操作。
首先,描述用户通过MNO进行Profile下载流程中SM-DP+与所述eUICC进行交互的操作。
如图7所示,该过程包括以下步骤:
步骤701:AC Enforcer选择eUICC AC Applet并读取其中存储的访问控制规则;
这里,实际应用时,当eUICC还未有任何激活的ISD-P时,当设备开机后,ACEnforcer选择eUICC AC Applet并读取其中存储的访问控制规则。
步骤702:eUICC AC Applet向AC Enforcer返回自身存储的访问控制规则;
步骤703:AC Enforcer收到访问控制规则后,保存访问控制规则;
步骤704:用户通过MNO LPA选择要下载的Profile;
步骤705:MNO LPA收到用户选择的Profile后,向SM-DP+发送Profile下载请求;
步骤706:SM-DP+收到请求后,根据请求信息向MNO LPA返回ISD-P创建、Profile下载/安装等指令;
这里,实际应用时,需要在eUICC上先创建ISD-P,再在ISD-P中安装Profile,所以指令也相应的包含创建指令、安装指令等。
步骤707:MNO LPA收到指令后,调用API Set 1中的API;
步骤708:获知API Set 1中的API被调用后,AC Enforcer根据存储的访问控制规则,校验MNO LPA是否具有访问API Set 1的权限,当确定MNO LPA有相关访问权限时,将ISD-P创建、Profile下载/安装等指令透传至eUICC;
这里,当未通过校验时则向MNO LPA返回相应的错误信息。
步骤709:MNO LPA通过与SM-DP+、eUICC进行交互,创建ISD-P、下载/安装Profile;
710:安装完成后,eUICC向AC Enforcer返回Profile成功安装响应;
这里,若安装的中间过程出现错误则返回错误信息,流程结束。
711:AC Enforcer向MNO LPA返回Profile成功安装响应;
712:MNO LPA向SM-DP+Profile返回Profile成功安装响应;
713:MNO LPA提示用户Profile成功安装。
接着,描述用户通过MNO LPA实现SM-DP+或业务平台与所述eUICC上当前激活的ISD-P的profile进行交互的操作。
如图8所示,该过程包括以下步骤:
步骤801:AC Enforcer选择当前激活ISD-P中ISD-P AC Applet并读取其中存储的访问控制规则;
这里,当Profile安装成功后,且激活了ISD-P后,AC Enforcer可以从当前激活的ISD-P中的ISD-P AC Applet读取存储的访问控制规则。
步骤802:当前激活ISD-P中的ISD-P AC Applet向AC Enforcer返回访问控制规则;
步骤803:AC Enforcer收到访问控制规则后,保存访问控制规则;
步骤804:用户通过MNO LPA进行操作,涉及SM-DP+或业务平台与eUICC的交互;
步骤805:MNO LPA向SM-DP+或业务平台发送交互请求;
步骤806:SM-DP+或业务平台根据请求信息返回响应信息;
这里,所述响应信息可以是APDU指令等。
步骤807:MNO LPA收到响应信息后,调用API Set 2中的API;
步骤808:获知API Set 2中的API被调用后,AC Enforcer根据存储的访问控制规则,校验MNO LPA是否具有访问API Set 2的权限,当确定MNO LPA有相关访问权限时,则响应信息透传至eUICC;
这里,当未通过校验时则向MNO LPA返回相应的错误信息。
步骤809:MNO LPA通过与SM-DP+或业务平台、eUICC进行交互执行各类指令。
第三,激活、去活、删除ISD-P的操作
当eUICC AC Applet中存储的访问控制规则中有允许MNO LPA执行激活/去活、删除ISD-P的权限(可以通过设置相应API对应的掩码为1来实现),则用户可以通过MNO LPA激活、去活、删除eUICC上的ISD-P(用户可能感知到的是针对Profile执行此操作)。
具体来说,如图9所示,包括以下步骤:
步骤901:用户通过MNO PLA提供的操作界面,选择要操作的ISD-P及进行的操作;
这里,进行的操作可以是激活、去活、删除等操作。
步骤902:MNO PLA收到用户的指令后,调用API Set 1中的API;
步骤903:获知API Set 1中的API被调用后,AC Enforcer根据存储的访问控制规则,校验MNO LPA是否具有访问API Set 1的权限(针对用户选择的操作所进行的权限校验),当确定MNO LPA有相关访问权限时,将指令透传至eUICC;
这里,当未通过校验时则向MNO LPA返回相应的错误信息。
步骤904:LPS Services根据指令,对eUICC上对应的ISD-P中的Profile进行相应的操作;
步骤905:操作完成后,LPS Services向AC Enforcer返回操作成功响应;
这里,如果操作过程出现错误则返回错误信息,流程结束。
步骤906:AC Enforcer向MNO LPA返回操作成功响应;
步骤907:MNO LPA提示用户操作成功。
从上面的描述中可以看出,本发明实施例提供的方案,首先,解决了LPA必须内置在设备OS中的问题;其次,当LPA不内置在设备OS中时,需要考虑LPA对eUICC的安全访问问题,本发明实施例通过OS来对MNO LPA的访问权限进行控制,从而解决了MNO LPA对eUICC安全访问的问题;第三通过OS来对MNO LPA的访问权限进行控制,还解决了ISD-P对MNO LPA功能开放的问题。
因此,当采用本发明实施例的方案时,可以达到以下有益效果:
1)由于LPA位于电子设备的应用层,所以运营商可以自行设计LPA,可以以App形式存在,从而可以适配不同的终端设备;
2)通过OS对MNOLPA的访问权项进行控制,MNO LPA既可以完全控制所属ISD-P的生命周期,又不影响其他ISD-P的生命周期;
3)通过OS对MNOLPA的访问权项进行控制,MNO LPA可以自由访问所属ISD-P内的应用,在未经授权的情况下无法访问其他ISD-P中的内容。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (17)
1.一种访问控制方法,其特征在于,应用于电子设备,所述方法包括:
位于所述电子设备应用层的本地文件管理LPA模块接收控制指令;所述控制指令用于指示对嵌入式通用集成电路卡eUICC进行控制操作;
所述LPA模块响应所述控制指令,调用所述电子设备的操作系统OS的应用程序编程接口API,以将对应的信息或命令发送至所述eUICC;
所述OS的API被调用时,所述OS基于访问控制规则,判断所述LPA模块是否具有访问所述eUICC的权限,当确定所述LPA模块具有访问所述eUICC的权限时,将所述对应的信息或命令发送至所述eUICC,以由所述eUICC针对所述对应的信息或命令进行操作。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述OS从所述eUICC获取所述访问控制规则,并保存。
3.根据权利要求2所述的方法,其特征在于,所述OS从所述eUICC获取所述访问控制规则,包括:
所述OS向所述eUICC发送读取请求;
所述OS接收所述eUICC返回的所述访问控制规则。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当所述LPA模块对应的发卡方安全域-运营商制卡文件信息ISD-P去激活后,所述OS清除保存的访问控制规则。
5.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当所述eUICC存储的访问控制规则发生变化时,所述OS从所述eUICC获取新的访问控制规则,并更新本地存储的访问控制规则。
6.根据权利要求1所述的方法,其特征在于,通过所述电子设备实现用户管理-数据准备网元SM-DP+或业务平台与所述eUICC进行交互时,所述LPA模块接收控制指令;
调用所述OS的API之前,所述方法还包括:
所述LPA模块从所述SM-DP+或业务平台获取所述对应的信息或命令。
7.根据权利要求1至6任一项所述的方法,其特征在于,所述访问控制规则至少包括所述LPA模块的校验信息;所述校验信息用于校验所述LPA模块是否具有访问所述eUICC的权限。
8.根据权利要求7所述的方法,其特征在于,所述访问控制规则还包括:API的访问权限;确定所述LPA模块具有访问所述eUICC的权限,将所述对应的信息或命令发送至所述eUICC之前,所述方法还包括:
利用所述访问控制规则中的API的访问权项,判断所述LPA模块所调用的API是否允许被调用,确定所述LPA模块所调用的API允许被调用时,将所述对应的信息或命令发送至所述eUICC。
9.一种电子设备,其特征在于,所述电子设备包括:
位于所述电子设备应用层的LPA模块,用于接收控制指令;所述控制指令用于指示对eUICC进行控制操作;并响应所述控制指令,调用OS模块的API,以将对应的信息或命令发送至所述eUICC;
OS模块,用于当自身的API被调用时,基于访问控制规则,判断所述LPA模块是否具有访问所述eUICC的权限,当确定所述LPA模块具有访问所述eUICC的权限时,将所述对应的信息或命令发送至所述eUICC,以由所述eUICC针对所述对应的信息或命令进行操作。
10.根据权利要求9所述的电子设备,其特征在于,所述OS模块,还用于从所述eUICC获取所述访问控制规则,并保存。
11.根据权利要求10所述的电子设备,其特征在于,所述OS模块,还用于当所述LPA模块对应的ISD-P去激活后,所述OS清除保存的访问控制规则。
12.根据权利要求10所述的电子设备,其特征在于,所述OS模块,还用于当所述eUICC存储的访问控制规则发生变化时,所述OS从所述eUICC获取新的访问控制规则,并更新本地存储的访问控制规则。
13.根据权利要求9所述的电子设备,其特征在于,通过所述电子设备实现SM-DP+或业务平台与所述eUICC进行交互时,所述LPA模块接收控制信息;
所述LPA模块,还用于从所述SM-DP+或业务平台获取所述对应的信息或命令。
14.根据权利要求9至13任一项所述的电子设备,其特征在于,所述访问控制规则至少包括所述LPA模块的校验信息;所述校验信息用于校验所述LPA模块是否具有访问所述eUICC的权限。
15.根据权利要求14所述的电子设备,其特征在于,所述访问控制规则还包括:API的访问权限;相应地,所述OS模块,还用于:确定所述LPA模块具有访问所述eUICC的权限后,利用所述访问控制规则中的API的访问权项,判断所述LPA模块所调用的API是否允许被调用,确定所述LPA模块所调用的API允许被调用时,将所述对应的信息或命令发送至所述eUICC。
16.一种访问控制系统,其特征在于,所述系统包括:电子设备及eUICC;所述电子设备包括:
位于所述电子设备应用层的LPA模块,用于接收控制指令;所述控制指令用于指示对eUICC进行控制操作;并响应所述控制指令,调用OS模块的API,以将对应的信息或命令发送至所述eUICC;
OS模块,用于当自身的API被调用时,基于访问控制规则,判断所述LPA模块是否具有访问所述eUICC的权限,当确定所述LPA模块具有访问所述eUICC的权限时,将所述对应的信息或命令发送至所述eUICC;
所述eUICC,用于针对所述对应的信息或命令进行操作。
17.根据权利要求16所述的系统,其特征在于,所述OS模块,还用于从所述eUICC获取所述访问控制规则,并保存;
所述eUICC,还用于为所述OS模块提供所述访问控制规则。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611161153.XA CN108229213B (zh) | 2016-12-15 | 2016-12-15 | 访问控制方法、系统及电子设备 |
| EP17880135.3A EP3537329B1 (en) | 2016-12-15 | 2017-12-14 | Access control method and system, electronic device, and computer storage medium |
| PCT/CN2017/116238 WO2018108132A1 (zh) | 2016-12-15 | 2017-12-14 | 访问控制方法、系统、电子设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611161153.XA CN108229213B (zh) | 2016-12-15 | 2016-12-15 | 访问控制方法、系统及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108229213A true CN108229213A (zh) | 2018-06-29 |
| CN108229213B CN108229213B (zh) | 2020-07-07 |
Family
ID=62558054
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611161153.XA Active CN108229213B (zh) | 2016-12-15 | 2016-12-15 | 访问控制方法、系统及电子设备 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP3537329B1 (zh) |
| CN (1) | CN108229213B (zh) |
| WO (1) | WO2018108132A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109219040A (zh) * | 2018-09-27 | 2019-01-15 | 努比亚技术有限公司 | eSIM卡操作方法、移动终端及eSIM卡设备 |
| CN109219039A (zh) * | 2018-09-27 | 2019-01-15 | 努比亚技术有限公司 | eSIM卡操作方法、移动终端及eSIM卡设备 |
| CN109495874A (zh) * | 2018-12-28 | 2019-03-19 | 恒宝股份有限公司 | Profile下载的方法和装置 |
| CN111142885A (zh) * | 2019-12-24 | 2020-05-12 | 中国联合网络通信集团有限公司 | 一种eSIM设备管理方法、装置、设备及存储介质 |
| CN111556487A (zh) * | 2020-07-13 | 2020-08-18 | 深圳杰睿联科技有限公司 | 一种基于混合协议的sim卡空中传输系统及其工作方法 |
| WO2021073440A1 (zh) * | 2019-10-14 | 2021-04-22 | 中国移动通信有限公司研究院 | 嵌入式通用集成电路卡访问控制方法、装置及存储介质 |
| CN115942323A (zh) * | 2023-01-09 | 2023-04-07 | 中国电子科技集团公司第三十研究所 | 安全增强usim装置和usim安全增强方法 |
| CN117880795A (zh) * | 2024-03-13 | 2024-04-12 | 东信和平科技股份有限公司 | 一种非eSIM终端设备实现配置文件远程订阅业务的方法及系统 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112738167A (zh) * | 2020-12-18 | 2021-04-30 | 福建新大陆软件工程有限公司 | 基于api网关的文件服务开放方法、装置、设备和介质 |
| CN113127075B (zh) * | 2021-03-10 | 2022-07-12 | 东信和平科技股份有限公司 | 一种智能卡的注册表管理方法,装置及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103348652A (zh) * | 2010-12-06 | 2013-10-09 | 交互数字专利控股公司 | 具有域信任评估和域策略管理功能的智能卡 |
| CN104221347A (zh) * | 2012-02-14 | 2014-12-17 | 苹果公司 | 支持多个访问控制客户端的移动装置和对应的方法 |
| CN105009617A (zh) * | 2013-03-08 | 2015-10-28 | 诺基亚技术有限公司 | 用于有嵌入的sim功能的多sim设备的方法和装置 |
| CN205283827U (zh) * | 2015-05-27 | 2016-06-01 | 意法半导体股份有限公司 | Sim模块 |
| CN105793861A (zh) * | 2013-09-30 | 2016-07-20 | 谷歌公司 | 用于安全地管理安全元件上的数据的系统、方法和计算机程序产品 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101954450B1 (ko) * | 2011-09-05 | 2019-05-31 | 주식회사 케이티 | 내장 uicc의 인증정보를 이용한 인증방법과, 그를 이용한 프로비저닝 및 mno 변경 방법, 그를 위한 내장 uicc, mno 시스템 및 기록매체 |
| US8577337B2 (en) * | 2012-03-05 | 2013-11-05 | Rogers Communications Inc. | Radio management method and system using embedded universal integrated circuit card |
| CN104185179B (zh) * | 2013-05-27 | 2018-06-12 | 中国移动通信集团公司 | 一种用于用户识别卡的控制装置、方法及用户识别卡 |
| FR3018654B1 (fr) * | 2014-03-14 | 2017-07-07 | Oberthur Technologies | Module d'identite de souscripteur embarque apte a gerer des profils de communication |
| US9432067B2 (en) * | 2014-05-30 | 2016-08-30 | Apple Inc. | Supporting SIM toolkit applications in embedded UICCs |
| DE102016204285A1 (de) * | 2015-03-20 | 2016-09-22 | Apple Inc. | Mobile Vorrichtung-zentrische elektronische Teilnehmer-Identitätsmodul(Electronic Subscriber ldentity Module, eSIM)-Bereitstellung |
-
2016
- 2016-12-15 CN CN201611161153.XA patent/CN108229213B/zh active Active
-
2017
- 2017-12-14 WO PCT/CN2017/116238 patent/WO2018108132A1/zh unknown
- 2017-12-14 EP EP17880135.3A patent/EP3537329B1/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103348652A (zh) * | 2010-12-06 | 2013-10-09 | 交互数字专利控股公司 | 具有域信任评估和域策略管理功能的智能卡 |
| CN104221347A (zh) * | 2012-02-14 | 2014-12-17 | 苹果公司 | 支持多个访问控制客户端的移动装置和对应的方法 |
| CN105009617A (zh) * | 2013-03-08 | 2015-10-28 | 诺基亚技术有限公司 | 用于有嵌入的sim功能的多sim设备的方法和装置 |
| CN105793861A (zh) * | 2013-09-30 | 2016-07-20 | 谷歌公司 | 用于安全地管理安全元件上的数据的系统、方法和计算机程序产品 |
| CN205283827U (zh) * | 2015-05-27 | 2016-06-01 | 意法半导体股份有限公司 | Sim模块 |
Non-Patent Citations (2)
| Title |
|---|
| 杨剑等: "电信运营商eUICC发展关键问题分析及建议", 《移动通信》 * |
| 黄海昆: "eSIM 及其远程配置技术与应用", 《运营技术广角》 * |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109219039A (zh) * | 2018-09-27 | 2019-01-15 | 努比亚技术有限公司 | eSIM卡操作方法、移动终端及eSIM卡设备 |
| CN109219040A (zh) * | 2018-09-27 | 2019-01-15 | 努比亚技术有限公司 | eSIM卡操作方法、移动终端及eSIM卡设备 |
| CN109219039B (zh) * | 2018-09-27 | 2022-04-19 | 努比亚技术有限公司 | eSIM卡操作方法、移动终端及eSIM卡设备 |
| CN109495874A (zh) * | 2018-12-28 | 2019-03-19 | 恒宝股份有限公司 | Profile下载的方法和装置 |
| CN109495874B (zh) * | 2018-12-28 | 2020-06-02 | 恒宝股份有限公司 | Profile下载的方法和装置 |
| CN112733133A (zh) * | 2019-10-14 | 2021-04-30 | 中国移动通信有限公司研究院 | 嵌入式通用集成电路卡访问控制方法、装置及存储介质 |
| CN112733133B (zh) * | 2019-10-14 | 2024-04-19 | 中国移动通信有限公司研究院 | 嵌入式通用集成电路卡访问控制方法、装置及存储介质 |
| WO2021073440A1 (zh) * | 2019-10-14 | 2021-04-22 | 中国移动通信有限公司研究院 | 嵌入式通用集成电路卡访问控制方法、装置及存储介质 |
| CN111142885A (zh) * | 2019-12-24 | 2020-05-12 | 中国联合网络通信集团有限公司 | 一种eSIM设备管理方法、装置、设备及存储介质 |
| CN111142885B (zh) * | 2019-12-24 | 2023-07-07 | 中国联合网络通信集团有限公司 | 一种eSIM设备管理方法、装置、设备及存储介质 |
| CN111556487B (zh) * | 2020-07-13 | 2020-11-06 | 深圳杰睿联科技有限公司 | 一种基于混合协议的sim卡空中传输系统及其工作方法 |
| CN111556487A (zh) * | 2020-07-13 | 2020-08-18 | 深圳杰睿联科技有限公司 | 一种基于混合协议的sim卡空中传输系统及其工作方法 |
| CN115942323A (zh) * | 2023-01-09 | 2023-04-07 | 中国电子科技集团公司第三十研究所 | 安全增强usim装置和usim安全增强方法 |
| CN117880795A (zh) * | 2024-03-13 | 2024-04-12 | 东信和平科技股份有限公司 | 一种非eSIM终端设备实现配置文件远程订阅业务的方法及系统 |
| CN117880795B (zh) * | 2024-03-13 | 2024-06-11 | 东信和平科技股份有限公司 | 一种非eSIM终端设备实现配置文件远程订阅业务的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108229213B (zh) | 2020-07-07 |
| EP3537329A4 (en) | 2019-11-20 |
| WO2018108132A1 (zh) | 2018-06-21 |
| EP3537329B1 (en) | 2020-09-16 |
| EP3537329A1 (en) | 2019-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108229213A (zh) | 访问控制方法、系统及电子设备 | |
| CN110225487B (zh) | Profile生成、获取方法及相关设备和存储介质 | |
| EP3337219B1 (en) | Carrier configuration processing method, device and system, and computer storage medium | |
| CN108029011B (zh) | 一种SIM卡向eUICC迁移的方法、设备及系统 | |
| US9628981B2 (en) | Method for changing MNO in embedded SIM on basis of special privilege, and embedded SIM and recording medium therefore | |
| CN105378747B (zh) | 一触式设备个性化 | |
| US20160234675A1 (en) | Dynamic Subscriber Identity Module | |
| CN104134122B (zh) | 一种许可证申请方法及装置 | |
| CN105050071B (zh) | 一种基于eUICC的多设备管理方法及系统 | |
| CN113031980A (zh) | Ota系统软件升级控制方法及终端设备 | |
| CN101123785B (zh) | 一种通信系统中管理终端的方法和系统 | |
| EP4093075A1 (en) | System and methods to store, retrieve, manage, augment and monitor applications on appliances | |
| CN104469737B (zh) | 一种嵌入式通用集成电路卡及其用户签约信息激活方法 | |
| CN103299658A (zh) | 移动应用的管理 | |
| WO2019119267A1 (zh) | 配置文件管理的方法、嵌入式通用集成电路卡和终端 | |
| US11503474B2 (en) | Technique for obtaining a network access profile | |
| JP6923582B2 (ja) | 情報処理装置、情報処理方法、およびプログラム | |
| KR20210039733A (ko) | 무선 통신 시스템의 SIM Profile을 재설치 하는 방법 및 장치 | |
| CN105812370B (zh) | 智能卡处理方法、装置及系统 | |
| CN101330500B (zh) | 在设备管理中访问权限的控制方法 | |
| US20130005402A1 (en) | Method for accessing at least one service and corresponding system | |
| US11503080B2 (en) | Remote management of a user device | |
| CN104079437A (zh) | 实现权限管理控制的方法及终端 | |
| CN105825134A (zh) | 智能卡处理方法、智能卡管理服务器及终端 | |
| CN113407364A (zh) | 应用程序的调用服务方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |