CN112733133A - 嵌入式通用集成电路卡访问控制方法、装置及存储介质 - Google Patents
嵌入式通用集成电路卡访问控制方法、装置及存储介质 Download PDFInfo
- Publication number
- CN112733133A CN112733133A CN201910973351.3A CN201910973351A CN112733133A CN 112733133 A CN112733133 A CN 112733133A CN 201910973351 A CN201910973351 A CN 201910973351A CN 112733133 A CN112733133 A CN 112733133A
- Authority
- CN
- China
- Prior art keywords
- application
- euicc
- access control
- profile
- card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 230000015654 memory Effects 0.000 claims description 34
- 230000004913 activation Effects 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 16
- 230000009849 deactivation Effects 0.000 claims description 5
- 230000001360 synchronised effect Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000003993 interaction Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 235000019800 disodium phosphate Nutrition 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 239000000126 substance Substances 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/77—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/183—Processing at user equipment or user record carrier
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种嵌入式通用集成电路卡(eUICC)访问控制方法、装置及存储介质。其中,该方法包括:eUICC接收终端发送的用于获取卡级应用的访问权限的第一请求;基于所述第一请求,第一接入控制(AC)应用管理终端访问卡级应用的访问权限;接收所述终端发送的第二请求;基于所述第二请求,第二AC应用管理终端访问Profile级应用的访问权限;其中,所述eUICC配置有所述第一AC应用和所述第二AC应用。
Description
技术领域
本发明涉及移动通信领域,尤其涉及一种嵌入式通用集成电路卡(EmbeddedUICC,eUICC)访问控制方法、装置及存储介质。
背景技术
eSIM(Embedded SIM,嵌入式用户身份识别模块)是一种新型SIM卡,是将传统SIM卡以芯片形态直接嵌入到设备上,而不是作为独立的可移除零部件加入设备中,用户无需插入物理SIM卡。GSMA(全球移动通信系统协会)规范定义的eSIM卡架构中,eUICC(即eSIM卡)上可以保存一个或多个Profile(签约数据文件),当某个Profile处于激活状态时,用户可以使用该Profile中包含的安全域、卡应用(Applet)及文件。Profile作为“容器”,卡上的Applet可以包含在某一个Profile中。当某个Profile处于“激活(Enabled)”状态时,该Profile中包含的Applet(s)处于“激活”状态,可以正常的访问、工作;当某个Profile处于“去活(Disabled)”状态时,该Profile中包含的Applet(s)处于“去活”状态,无法与外部实体通信。
相关技术中,为了确保授权的终端应用(又称为客户端应用)才能对指定的卡应用进行访问,需要对终端应用访问的卡应用进行访问权限认证,确保获得访问权限后进行终端应用与卡应用的信息交互,然而,对于eSIM卡中多Profile共存的业务场景,eUICC控制方、不同Profile所有方之间的访问控制规则往往无法协调。
发明内容
有鉴于此,本发明实施例提供了一种eSIM访问控制方法、装置及存储介质,旨在解决eUICC控制方、不同Profile所有方之间的访问控制规则无法协调的技术问题。
本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种eUICC访问控制方法,包括:
eUICC接收终端发送的用于获取卡级应用的访问权限的第一请求;
基于所述第一请求,第一接入控制AC应用管理终端访问卡级应用的访问权限;
接收所述终端发送的用于获取签约数据文件Profile级应用的访问权限的第二请求,所述第二请求为所述终端获取卡级应用的访问权限后发生成的;
基于所述第二请求,第二AC应用管理终端访问Profile级应用的访问权限;
其中,所述eUICC配置有所述第一AC应用和所述第二AC应用。
本发明实施例还提供了一种eUICC访问控制方法,包括:
终端发送用于获取卡级应用的访问权限的第一请求给eUICC;
访问所述eUICC的第一接入控制AC应用,对所述eUICC的卡级应用的访问权限进行认证;
确定获取所述eUICC的卡级应用的访问权限后,发送用于获取签约数据文件Profile级应用的访问权限的第二请求给所述eUICC;
访问所述eUICC的第二AC应用,对所述eUICC的Profile级应用的访问权限进行认证。
本发明实施例又提供了一种嵌入式通用集成电路卡eUICC访问控制装置,应用于eUICC,包括:
第一处理模块,用于接收终端发送的用于获取卡级应用的访问权限的第一请求;
第一接入控制AC应用,用于基于所述第一请求,管理终端访问卡级应用的访问权限;
所述第一处理模块,还用于接收所述终端发送用于获取签约数据文件Profile级应用的访问权限的第二请求,所述第二请求为所述终端获取卡级应用的访问权限后发生成的;
第二AC应用,用于基于所述第二请求,管理终端访问Profile级应用的访问权限。
本发明实施例还提供了一种嵌入式通用集成电路卡eUICC访问控制装置,应用于终端,包括:
第二处理模块,用于发送用于获取卡级应用的访问权限的第一请求给eUICC;
认证模块,用于访问所述eUICC的第一接入控制AC应用,对所述eUICC的卡级应用的访问权限进行认证;
所述第二处理模块,还用于所述认证模块确定所述终端获取所述eUICC的卡级应用的访问权限后,发送用于获取签约数据文件Profile级应用的访问权限的第二请求给所述eUICC;
所述认证模块,还用于访问所述eUICC的第二AC应用,对所述eUICC的Profile级应用的访问权限进行认证。
本发明实施例又提供了一种嵌入式通用集成电路卡eUICC,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器,用于运行计算机程序时,执行本发明实施例eUICC侧所述方法的步骤。
本发明实施例还提供了一种终端,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器,用于运行计算机程序时,执行本发明实施例终端侧所述方法的步骤。
本发明实施例又一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本发明任一实施例所述方法的步骤。
本发明实施例提供的技术方案,由于eUICC配置有卡级的第一AC应用和各Profile对应的第二AC应用,可以实现卡级应用的访问权限与Profile级应用的访问权限的分级管理,由不同的AC应用管理相应的访问权限,便于在终端实现对卡应用的分级访问权限的管理,从而提升eUICC上卡应用访问的安全性。
附图说明
图1为本发明一实施例eUICC访问控制方法的流程示意图;
图2为本发明一实施例eUICC的架构示意图;
图3为本发明另一实施例eUICC访问控制方法的流程示意图;
图4为本发明应用实施例终端的客户端应用获取卡应用访问权限的流程示意图;
图5为本发明一实施例eUICC访问控制装置的结构示意图;
图6为本发明另一实施例eUICC访问控制装置的结构示意图;
图7为本发明实施例eUICC的结构示意图;
图8为本发明实施例终端的结构示意图。
具体实施方式
下面结合附图及实施例对本发明再作进一步详细的描述。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
相关技术中,eUICC只有一个AC应用,eUICC上各种卡应用的访问控制规则均由该AC应用管理。这里,卡应用可以包括:卡级应用和Profile级应用,其中,卡级应用是指在eUICC的操作系统(OS)下直接安装的卡应用,操作系统还可以创建一个以上的Profile容器,每个Profile容器在eUICC上都是一个独立的实体,各Profile容器主要用于存储运营商Profile。Profile级应用是指各Profile容器下安装的卡应用。
随着业务需求的不断涌现,eUICC上会安装多个Profile,对于eUICC中多Profile共存的业务场景,eUICC控制方、不同Profile所有方之间的访问控制规则往往无法协调。
基于此,在本发明的各种实施例中,通过eUICC配置卡级的第一AC应用和各Profile对应的第二AC应用,可以实现卡级应用的访问权限与Profile级应用的访问权限的分级管理,由不同的AC应用管理相应的访问权限,便于在终端实现对卡应用的分级访问权限的管理,从而提升eUICC上卡应用访问的安全性。
本发明实施例提供了一种eUICC访问控制方法,应用于eUICC,如图1所示,该方法包括:
步骤101,eUICC接收终端发送的用于获取卡级应用的访问权限的第一请求;
这里,eUICC接收终端发送的第一请求,所述第一请求用于获取所述eUICC的第一访问控制规则;
实际应用时,终端开机后,终端会发送第一请求给eUICC,该第一请求用于获取eUICC的卡级应用对应的第一访问控制规则,即该第一访问控制规则包括各卡级应用对应的访问控制规则。这里,访问控制规则是指对卡应用的访问权限进行认证的认证信息,第一访问控制规则即对卡级应用的访问权限进行认证的认证信息,该认证信息可以为私有密钥或者数字证书。
步骤102,基于所述第一请求,第一接入控制(AC)应用管理终端访问卡级应用的访问权限;
这里,第一AC应用基于第一请求,将第一访问控制规则发送给所述终端,所述第一访问控制规则用于所述终端进行卡级应用的访问权限认证;
这里,eUICC由第一AC应用管理各卡级应用对应的访问控制规则,第一AC应用基于该第一请求,发送第一访问控制规则给终端,所述第一访问控制规则包括所述eUICC的各卡级应用对应的访问控制规则。
步骤103,接收所述终端发送的用于获取签约数据文件Profile级应用的访问权限的第二请求,所述第二请求为所述终端获取卡级应用的访问权限后发生成的;
这里,eUICC接收所述终端发送的第二请求,所述第二请求为所述终端获取卡级应用的访问权限后发生成的,所述第二请求用于获取所述eUICC上处于激活状态的签约数据文件Profile对应的第二访问控制规则;
实际应用时,终端接收到第一访问控制规则,根据第一访问控制规则对卡级应用的访问权限进行认证,若通过,则获取卡级应用的访问权限,可以基于卡级应用执行相应的处理,若未通过,则表明无法获取卡级应用的访问权限,无法访问卡级应用。
本发明实施例仅在终端获取卡级应用的访问权限后,生成并发送第二请求给eUICC,以获取eUICC上处于激活状态的签约数据文件(Profile)对应的第二访问控制规则,这样,可以实现对访问控制规则的分级管理。
步骤104,基于所述第二请求,第二AC应用管理终端访问Profile级应用的访问权限。
这里,eUICC由第二AC应用管理各Profile级应用对应的访问控制规则,第二AC应用基于第二请求,将激活状态的Profile对应的第二访问控制规则发送给终端,该第二访问控制规则包括相应Profile下Profile级应用的访问控制规则。
本发明实施例eUICC访问控制方法,由于eUICC配置有卡级的第一AC应用和各Profile对应的第二AC应用,可以实现卡级的第一访问控制规则与各Profile的第二访问控制规则的分级管理,由不同的AC应用管理相应的访问控制规则,便于在终端实现对卡应用的分级访问权限的管理,从而提升eUICC上卡应用访问的安全性。
为了可以分别管理各Profile下的Profile级应用的第二访问控制规则,以避免不同Profile间的第二访问控制规则的冲突或管理混乱,基于此,在一实施例中,第二AC应用与Profile一一对应设置,用于管理相应Profile对应的Profile级应用的第二访问控制规则,各第二AC应用的应用标识包括对应Profile的身份标识。
在一实施例中,eUICC的架构如图2所示,该eUICC(即eSIM)包括一个用于管理卡级应用的访问控制规则的AC应用(即第一AC应用),每个Profile(Profile1、Profile2)下各有一个AC应用(即第二AC应用)。其中,卡级应用包括:ISD_R(发行者安全根域)、ECASD(嵌入式UICC控制权限安全域)、Applet 1,第一AC应用的应用标识(AID)标记为AC AID,各Profile具有对应的身份标识(PID),每个Profile下各有一个第二AC应用,该第二AC应用的AID包括:所属Profile的PID和特定的后缀(如AC)。这样,各AC应用的AID在全局具有唯一性,可以有效杜绝以下情形:
1)、eUICC的卡级AC应用管理Profile中应用的访问控制规则;
2)、eUICC的Profile级AC应用管理卡级应用的访问控制规则。
在一实施例中,所述基于所述第二请求,第二AC应用将所述第二访问控制规则发送给所述终端,包括:
基于所述第二请求携带的激活状态的Profile的身份标识确定对应的第二AC应用;
激活状态的Profile对应的各第二AC应用分别发送各自管理的第二访问控制规则给所述终端。
实际应用时,eUICC维护激活状态的Profile对应的列表信息,终端可以获取该列表信息,从而在第二请求中携带激活状态的Profile的PID,由于各AC应用的应用标识包括对应Profile的PID,eUICC可以根据第二请求确定各激活状态的Profile对应的第二AC应用,由相应的第二AC应用发送其管理的第二访问控制规则给终端。
实际应用时,为了满足eSIM所有方有权通过空中下载(OTA)更新第一AC应用中存储的访问控制规则,各Profile所有方通过OTA更新各第二AC应用中存储的访问控制规则。在一实施例中,述方法还包括以下至少之一:
接收所述终端发送的第一更新请求,所述第一AC应用基于所述第一更新请求更新所述第一访问控制规则,其中,所述第一更新请求为所述终端获取卡级应用的访问权限后生成的;
接收所述终端发送的第二更新请求,所述第二AC应用基于所述第二更新请求更新所述第二访问控制规则,其中,所述第二更新请求为所述终端获取Profile级应用的访问权限且该Profile级应用对应的Profile处于激活状态下生成成的。
实际应用时,客户端应用访问待访问的卡级应用或者Profile级应用时,为了确保终端获取的卡级应用或者Profile级应用的访问控制规则为最新的访问控制规则,在一实施例中,所述方法还包括:
接收终端发送的更新标志查询请求,所述更新标志查询请求用于查询目标访问控制规则是否更新,所述目标访问控制规则为终端侧的客户端应用待访问的卡级应用或者Profile级应用对应的访问控制规则;
若所述目标访问控制规则未更新,则反馈第一信息给所述终端,所述第一信息用于指示所述目标访问控制规则未更新;
若所述目标访问控制规则已更新,则反馈第二信息给所述终端,所述第二信息用于指示所述终端重新获取所述目标访问控制规则。
为了及时管理各AC应用下的访问控制规则,确保各访问控制规则有效,所述方法还包括以下至少之一:
确定安装新的卡级应用或者Profile级应用时,对应的AC应用添加新安装的卡级应用或者Profile级应用对应的访问控制规则;
确定删除卡级应用或者Profile级应用时,对应的AC应用删除相应卡级应用或者Profile级应用对应的访问控制规则。
为了实现本发明实施例方法,本发明实施例还提供了一种eUICC访问控制方法,应用于终端,如图3所示,该方法包括:
步骤301,终端发送用于获取卡级应用的访问权限的第一请求给eUICC;
这里,所述第一请求用于获取所述eUICC的第一访问控制规则;
实际应用时,终端开机后,终端会发送第一请求给eUICC,该第一请求用于获取eUICC的卡级应用对应的第一访问控制规则,即该第一访问控制规则包括各卡级应用对应的访问控制规则。这里,访问控制规则是指对卡应用的访问权限进行认证的认证信息,第一访问控制规则即对卡级应用的访问权限进行认证的认证信息,该认证信息可以为私有密钥或者数字证书。
步骤302,访问所述eUICC的第一接入控制AC应用,对所述eUICC的卡级应用的访问权限进行认证;
这里,终端访问eUICC的第一AC应用,接收所述第一AC应用发送的第一访问控制规则;
这里,eUICC由第一AC应用管理各卡级应用对应的访问控制规则,第一AC应用基于该第一请求,发送第一访问控制规则给终端。
步骤303,确定获取所述eUICC的卡级应用的访问权限后,发送用于获取签约数据文件Profile级应用的访问权限的第二请求给所述eUICC;
这里,终端基于所述第一访问控制规则确定所述终端获取所述eUICC的卡级应用的访问权限后,发送用于获取Profile级应用的访问权限的第二请求给所述eUICC。具体地,所述第二请求用于获取所述eUICC上激活状态的Profile对应的第二访问控制规则;
实际应用时,终端接收到第一访问控制规则,根据第一访问控制规则对卡级应用的访问权限进行认证,若通过,则获取卡级应用的访问权限,可以基于卡级应用执行相应的处理,若未通过,则表明无法获取卡级应用的访问权限,无法访问卡级应用。
终端确定获取eUICC的卡级应用的访问权限后,发送第二请求给所述eUICC,所述第二请求用于获取eUICC上处于激活状态的Profile对应的第二访问控制规则,这样,可以实现对访问控制规则的分级管理。
步骤304,访问所述eUICC的第二AC应用,对所述eUICC的Profile级应用的访问权限进行认证。
这里,终端访问所述eUICC的第二AC应用,接收所述第二AC应用发送的第二访问控制规则。
这里,若激活状态的Profile为两个以上时,终端分别接收相应的第二AC应用发送的第二访问控制规则。
终端接收第二访问控制规则,可以根据接收的第二访问控制规则对相应的Profile级应用进行访问权限认证,若认证通过,则可以访问相应的Profile级应用。
在一实施例中,所述发送用于获取Profile级应用的访问权限的第二请求给所述eUICC,包括:
获取所述eUICC上处于激活状态的Profile的身份标识;
基于所述激活状态的Profile的身份标识发送所述第二请求,所述第二请求携带所述激活状态的Profile的身份标识。
实际应用时,eUICC维护激活状态的Profile对应的列表信息,终端可以获取该列表信息,从而在第二请求中携带激活状态的Profile的PID,由于各AC应用的应用标识包括对应Profile的PID,eUICC可以根据第二请求确定各激活状态的Profile对应的第二AC应用,由相应的第二AC应用发送其管理的第二访问控制规则给终端。
在一实施例中,为了能够更新eUICC上的访问控制规则,所述方法还包括以下之一:
确定获取所述eUICC的卡级应用的访问权限后,发送第一更新请求给所述eUICC,所述第一更新请求用于指示所述eUICC更新所述第一访问控制规则;
确定获取所述eUICC的Profile级应用的访问权限后,发送第二更新请求给所述eUICC,所述第二更新请求用于指示所述eUICC更新所述第二访问控制规则。
实际应用时,客户端应用访问待访问的卡级应用或者Profile级应用时,为了确保终端获取的卡级应用或者Profile级应用的访问控制规则为最新的访问控制规则,在一实施例中,所述方法还包括:
发送更新标志查询请求给所述eUICC,所述更新标志查询请求用于查询目标访问控制规则是否更新,所述目标访问控制规则为终端侧的客户端应用待访问的卡级应用或者Profile级应用对应的访问控制规则;
接收所述eUICC反馈的反馈信息;
若所述反馈信息指示所述目标访问控制规则已更新,则重新获取所述目标访问控制规则,并基于所述重新获取的目标访问控制规则对所述待访问的卡级应用或者Profile级应用进行访问权限认证;
若所述反馈信息指示所述目标访问控制规则未更新,则终端可以根据已获取的目标访问控制规则对待访问的卡级应用或者Profile级应用进行访问权限认证。
实际应用时,若Profile的状态发生变化,需要对终端的访问控制规则进行更改,在一实施例中,所述方法还包括以下至少之一:
确定至少一个Profile由激活状态变为去活状态,删除终端存储的该Profile对应的第二访问控制规则;
确定至少一个Profile由去活状态变为激活状态,获取该Profile对应的第二访问控制规则。
实际应用时,终端可以通过周期性获取eUICC侧的激活状态的Profile的列表信息,从而判断是否有Profile由激活状态变为去活状态或者由去活状态变为激活状态的情形,若存在相应情形,则执行删除终端存储的该Profile对应的第二访问控制规则或者获取该Profile对应的第二访问控制规则的步骤。
下面结合应用实施例对本发明再作进一步详细的描述。
图4为本发明一应用实施例中终端的客户端应用获取卡应用访问权限的流程示意图。在本应用实施例中,终端配置有客户端应用、SIM API(用户身份识别模块应用)及应用管理器,其中,SIM API包括SIM访问接口和访问控制模块,应用管理器用于管理客户端应用对应的应用证书。eUICC配置有多个AC应用及各种卡应用(Applet),第一AC应用用于管理卡级Applet的访问控制规则,各第二AC应用于各Profile对应,用于管理相应Profile下Profile级Applet的访问控制规则。
本应用实施例客户端应用获取卡应用访问权限的流程说明如下:
步骤0,手机终端开机后,访问控制模块从SIM卡上读取规则(含客户端应用证书)并存储;
这里,手机终端会先发送第一请求给eUICC,该第一请求用于获取eUICC的卡级应用对应的第一访问控制规则,即该第一访问控制规则包括各卡级应用对应的访问控制规则,手机终端确定获得eUICC的卡级应用的访问权限后,发送第二请求给所述eUICC,所述第二请求用于获取所述eUICC上激活状态的Profile对应的第二访问控制规则。
步骤1,手机终端上的客户端应用调用SIM API访问SIM卡上的某个卡应用(先通过AID选择卡上的某个应用,再向该卡应用发送APDU(应用协议数据单元)指令);
这里,客户端应用基于卡应用的AID选择卡应用,基于选择的卡应用发送APDU请求给SIM访问接口。
步骤2,SIM访问接口转发访问请求;
这里,SIM访问接口转发APDU请求给访问控制模块。
步骤3,访问控制模块从应用管理器获取客户端应用的证书信息;
这里,访问控制模块从应用管理器获取客户端应用的证书信息,该证书信息为客户端应用安装时存储至应用管理器,该证书信息用于与访问控制模块已获取的访问控制规则进行客户端应用的访问权限认证。实际应用时,客户端应用于卡应用一一对应设置,终端在安装客户端应用时,会将证书颁发者(CI)下发的客户端应用证书发送至eUICC内管理该客户端应用的AC应用,终端还将该客户端应用证书的副本存储至应用管理器,这样,访问控制模块可以根据选择的卡应用从应用管理器获取客户端应用证书的副本。
步骤4,访问控制模块判断规则是否更新(若已更新则重新加载新的规则);
为了确保访问控制模块获取的APDU请求对应的卡应用的访问控制规则为最新的访问控制规则,访问控制模块还发送更新标志查询请求给所述eUICC,基于反馈信息判断待访问的卡应用的访问控制规则是否更新,若已更新,则需要重新获取该待访问的卡应用的访问控制规则。
步骤5,访问控制模块判断客户端应用是否符合访问条件;
访问控制模块根据获取的待访问的卡应用的访问控制规则和客户端应用的应用证书,对客户端应用的访问权限进行认证,若认证通过则判定符合访问条件,若认证未通过,则判定不符合访问条件。实际应用时,认证的过程可以是比较客户端应用证书的副本与客户端应用证书(即访问控制规则)是否匹配。
步骤6,若客户端应用的访问符合规则要求,则反馈OK,否则返回错误,流程结束;
访问控制模块确定客户端应用符合规则要求时,生成响应(即反馈OK)给SIM接口。
步骤7,客户端应用与卡应用进行信息交互。
SIM接口在收到响应后,可以实现客户端应用与卡应用间的信息交互。
为了实现本发明实施例的方法,本发明实施例还提供一种eUICC访问控制装置,设置在eUICC,如图5所示,该装置包括:第一处理模块501、第一AC应用502及第二AC应用503;其中,
第一处理模块501,用于接收终端发送的用于获取卡级应用的访问权限的第一请求;
实际应用时,所述第一请求用于获取所述eUICC的第一访问控制规则,所述第一访问控制规则用于所述终端进行卡级应用的访问权限认证。
第一AC应用502,用于基于所述第一请求,管理终端访问卡级应用的访问权限;
实际应用时,第一AC应用502用于基于所述第一请求,将所述第一访问控制规则发送给所述终端,以供终端根据所述第一访问控制规则进行卡级应用的访问权限认证;
所述第一处理模块501,还用于接收所述终端发送用于获取Profile级应用的访问权限的第二请求,所述第二请求为所述终端获取卡级应用的访问权限后发生成的;
第二AC应用503,用于基于所述第二请求,管理终端访问Profile级应用的访问权限。
实际应用时,第二请求用于获取所述eUICC上处于激活状态的Profile对应的第二访问控制规则,第二访问控制规则用于终端进行Profile级应用的访问权限认证。第二AC应用基于所述第二请求,将所述第二访问控制规则发送给所述终端,以供所述终端根据所述第二访问控制规则进行Profile级应用的访问权限认证。
在一实施例中,所述第二AC应用与所述Profile一一对应设置,用于管理相应Profile对应的Profile级应用的第二访问控制规则,各第二AC应用的应用标识包括对应Profile的身份标识。所述第一处理模块502还用于基于所述第二请求携带的激活状态的Profile的身份标识确定对应的第二AC应用,激活状态的Profile对应的各第二AC应用分别发送各自管理的第二访问控制规则给所述终端。
在一实施例中,所述第一处理模块501还用于接收所述终端发送的第一更新请求,所述第一AC应用基于所述第一更新请求更新所述第一访问控制规则,其中,所述第一更新请求为所述终端获取卡级应用的访问权限后生成的。
在一实施例中,所述第一处理模块501还用于接收所述终端发送的第二更新请求,所述第二AC应用基于所述第二更新请求更新所述第二访问控制规则,其中,所述第二更新请求为所述终端获取Profile级应用的访问权限且该Profile级应用对应的Profile处于激活状态下生成成的。
在一实施例中,所述第一处理模块501还用于接收终端发送的更新标志查询请求,所述更新标志查询请求用于查询目标访问控制规则是否更新,所述目标访问控制规则为终端侧的客户端应用待访问的卡级应用或者Profile级应用对应的访问控制规则;若所述目标访问控制规则未更新,则所述目标访问控制规则对应的AC应用反馈第一信息给所述终端,所述第一信息用于指示所述目标访问控制规则未更新;若所述目标访问控制规则已更新,则所述目标访问控制规则对应的AC应用反馈第二信息给所述终端,所述第二信息用于指示所述终端重新获取所述目标访问控制规则。
在一实施例中,所述第一处理模块501确定安装新的卡级应用或者Profile级应用时,对应的AC应用添加新安装的卡级应用或者Profile级应用对应的访问控制规则;
在一实施例中,所述第一处理模块501确定删除卡级应用或者Profile级应用时,对应的AC应用删除相应卡级应用或者Profile级应用对应的访问控制规则。
实际应用时,所述第一处理模块501、所述第一AC应用502及所述第二AC应用503,可以由eUICC访问控制装置中的处理器来实现。当然,处理器需要运行存储器中的计算机程序来实现它的功能。
为了实现本发明实施例的方法,本发明实施例还提供一种eUICC访问控制装置,设置在终端,如图6所示,该装置包括:第二处理模块601、认证模块602;其中,
第二处理模块601,用于发送用于获取卡级应用的访问权限的第一请求给eUICC;
实际应用时,所述第一请求用于获取所述eUICC的第一访问控制规则。
认证模块602,用于访问所述eUICC的第一AC应用,对所述eUICC的卡级应用的访问权限进行认证;
实际应用时,认证模块602访问所述eUICC的第一AC应用,接收所述第一AC应用发送的第一访问控制规则,根据所述第一访问控制规则对所述eUICC的卡级应用的访问权限进行认证。
所述第二处理模块601,还用于所述认证模块确定所述终端获取所述eUICC的卡级应用的访问权限后,发送用于获取签约数据文件Profile级应用的访问权限的第二请求给所述eUICC;
这里,第二请求用于获取所述eUICC上激活状态的Profile对应的第二访问控制规则。
所述认证模块602,还用于访问所述eUICC的第二AC应用,对所述eUICC的Profile级应用的访问权限进行认证。
实际应用时,认证模块602访问所述eUICC的第二AC应用,接收所述第二AC应用发送的第二访问控制规则,根据所述第二访问控制规则对所述eUICC的Profile级应用的访问权限进行认证。
在一实施例中,所述第二处理模块601具体用于:
获取所述eUICC上处于激活状态的Profile的身份标识;
基于所述激活状态的Profile的身份标识发送所述第二请求,所述第二请求携带所述激活状态的Profile的身份标识。
在一实施例中,所述认证模块602确定获取所述eUICC的卡级应用的访问权限后,所述第二处理模块601发送第一更新请求给所述eUICC,所述第一更新请求用于指示所述eUICC更新所述第一访问控制规则。
在一实施例中,所述认证模块602确定获取所述eUICC的Profile级应用的访问权限后,所述第二处理模块601发送第二更新请求给所述eUICC,所述第二更新请求用于指示所述eUICC更新所述第二访问控制规则。
在一实施例中,所述第二处理模块601还用于发送更新标志查询请求给所述eUICC,所述更新标志查询请求用于查询目标访问控制规则是否更新,所述目标访问控制规则为终端侧的客户端应用待访问的卡级应用或者Profile级应用对应的访问控制规则;接收所述eUICC反馈的反馈信息;若所述反馈信息指示所述目标访问控制规则已更新,则重新获取所述目标访问控制规则,所述认证模块602基于所述重新获取的目标访问控制规则对所述待访问的卡级应用或者Profile级应用进行访问权限认证。
在一实施例中,所述认证模块602还用于以下至少之一:
确定至少一个Profile由激活状态变为去活状态,删除终端存储的该Profile对应的第二访问控制规则;
确定至少一个Profile由去活状态变为激活状态,获取该Profile对应的第二访问控制规则。
需要说明的是:上述实施例提供的eUICC访问控制装置在进行eUICC访问控制时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的eUICC访问控制装置与eUICC访问控制方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本发明实施例的方法,本发明实施例还提供一种eUICC。图7仅仅示出了该eUICC的示例性结构而非全部结构,根据需要可以实施图7示出的部分结构或全部结构。
如图7所示,本发明实施例提供的eUICC 700包括:至少一个处理器701、存储器702和至少一个网络接口703。eUICC 700中的各个组件通过总线系统704耦合在一起。可以理解,总线系统704用于实现这些组件之间的连接通信。总线系统704除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图7中将各种总线都标为总线系统704。
本发明实施例中的存储器702用于存储各种类型的数据以支持eUICC 700的操作。这些数据的示例包括:用于在eUICC 700上操作的任何计算机程序。
本发明实施例揭示的eUICC访问控制方法可以应用于处理器701中,或者由处理器701实现。处理器701可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,eUICC访问控制方法的各步骤可以通过处理器701中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器701可以是通用处理器、数字信号处理器(DSP,Digital SignalProcessor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器701可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器702,处理器701读取存储器702中的信息,结合其硬件完成本发明实施例提供的eUICC访问控制方法的步骤。
在示例性实施例中,eUICC 700可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、FPGA、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现,用于执行前述方法。
基于上述程序模块的硬件实现,且为了实现本发明实施例的方法,本发明实施例还提供一种终端。图8仅仅示出了该终端的示例性结构而非全部结构,根据需要可以实施图8示出的部分结构或全部结构。
如图8所示,本发明实施例提供的终端800包括:至少一个处理器801、存储器802和至少一个网络接口803。终端800中的各个组件通过总线系统804耦合在一起。可以理解,总线系统804用于实现这些组件之间的连接通信。总线系统804除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图8中将各种总线都标为总线系统804。
本发明实施例中的存储器802用于存储各种类型的数据以支持终端800的操作。这些数据的示例包括:用于在终端800上操作的任何计算机程序。
本发明实施例揭示的eUICC访问控制方法可以应用于处理器801中,或者由处理器801实现。处理器801可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,eUICC访问控制方法的各步骤可以通过处理器801中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器801可以是通用处理器、数字信号处理器(DSP,Digital SignalProcessor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器801可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器802,处理器801读取存储器802中的信息,结合其硬件完成本发明实施例提供的eUICC访问控制方法的步骤。
在示例性实施例中,终端800可以被一个或多个ASIC、DSP、PLD、CPLD、FPGA、通用处理器、控制器、MCU、Microprocessor、或其他电子元件实现,用于执行前述方法。
可以理解,存储器702、802可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read OnlyMemory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
在示例性实施例中,本发明实施例还提供了一种存储介质,即计算机存储介质,具体可以是计算机可读存储介质,例如包括存储计算机程序的存储器702、802,上述计算机程序可由处理器701、801执行,以完成本发明实施例方法所述的步骤。计算机可读存储介质可以是ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
需要说明的是:“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
另外,本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (17)
1.一种嵌入式通用集成电路卡eUICC访问控制方法,其特征在于,包括:
eUICC接收终端发送的用于获取卡级应用的访问权限的第一请求;
基于所述第一请求,第一接入控制AC应用管理终端访问卡级应用的访问权限;
接收所述终端发送的用于获取签约数据文件Profile级应用的访问权限的第二请求,所述第二请求为所述终端获取卡级应用的访问权限后发生成的;
基于所述第二请求,第二AC应用管理终端访问Profile级应用的访问权限;
其中,所述eUICC配置有所述第一AC应用和所述第二AC应用。
2.根据权利要求1所述的方法,其特征在于,所述第一请求用于获取所述eUICC的第一访问控制规则,所述第一AC应用管理终端访问卡级应用的访问权限,包括:
所述第一AC应用将所述第一访问控制规则发送给所述终端,其中,所述第一访问控制规则用于所述终端进行卡级应用的访问权限认证;
所述第二请求用于获取所述eUICC上处于激活状态的签约数据文件Profile对应的第二访问控制规则,所述第二AC应用管理终端访问Profile级应用的访问权限,包括:
所述第二AC应用将所述第二访问控制规则发送给所述终端,其中,所述第二访问控制规则用于所述终端进行Profile级应用的访问权限认证。
3.根据权利要求2所述的方法,其特征在于,所述第二AC应用将所述第二访问控制规则发送给所述终端,包括:
基于所述第二请求携带的激活状态的Profile的身份标识确定对应的第二AC应用;
激活状态的Profile对应的各第二AC应用分别发送各自管理的第二访问控制规则给所述终端;
其中,所述第二AC应用与所述Profile一一对应设置,用于管理相应Profile对应的Profile级应用的第二访问控制规则,各第二AC应用的应用标识包括对应Profile的身份标识。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括以下至少之一:
接收所述终端发送的第一更新请求,所述第一AC应用基于所述第一更新请求更新所述第一访问控制规则,其中,所述第一更新请求为所述终端获取卡级应用的访问权限后生成的;
接收所述终端发送的第二更新请求,所述第二AC应用基于所述第二更新请求更新所述第二访问控制规则,其中,所述第二更新请求为所述终端获取Profile级应用的访问权限且该Profile级应用对应的Profile处于激活状态下生成成的。
5.根据权利要求2所述的方法,其特征在于,所述方法还包括:
接收终端发送的更新标志查询请求,所述更新标志查询请求用于查询目标访问控制规则是否更新,所述目标访问控制规则为终端侧的客户端应用待访问的卡级应用或者Profile级应用对应的访问控制规则;
若所述目标访问控制规则未更新,则反馈第一信息给所述终端,所述第一信息用于指示所述目标访问控制规则未更新;
若所述目标访问控制规则已更新,则反馈第二信息给所述终端,所述第二信息用于指示所述终端重新获取所述目标访问控制规则。
6.根据权利要求2所述的方法,其特征在于,所述方法还包括以下至少之一:
确定安装新的卡级应用或者Profile级应用时,对应的AC应用添加新安装的卡级应用或者Profile级应用对应的访问控制规则;
确定删除卡级应用或者Profile级应用时,对应的AC应用删除相应卡级应用或者Profile级应用对应的访问控制规则。
7.一种嵌入式通用集成电路卡eUICC访问控制方法,其特征在于,包括:
终端发送用于获取卡级应用的访问权限的第一请求给eUICC;
访问所述eUICC的第一接入控制AC应用,对所述eUICC的卡级应用的访问权限进行认证;
确定获取所述eUICC的卡级应用的访问权限后,发送用于获取签约数据文件Profile级应用的访问权限的第二请求给所述eUICC;
访问所述eUICC的第二AC应用,对所述eUICC的Profile级应用的访问权限进行认证。
8.根据权利要求7所述的方法,其特征在于,所述访问所述eUICC的第一AC应用,对所述eUICC的卡级应用的访问权限进行认证,包括:
接收所述第一AC应用发送的第一访问控制规则;
基于所述第一访问控制规则对所述eUICC的卡级应用的访问权限进行认证;
所述访问所述eUICC的第二AC应用,对所述eUICC的Profile级应用的访问权限进行认证,包括:
接收所述第二AC应用发送的第二访问控制规则;
基于所述第二访问控制规则对所述eUICC的Profile级应用的访问权限进行认证。
9.根据权利要求7所述的方法,其特征在于,所述发送用于获取Profile级应用的访问权限的第二请求给所述eUICC,包括:
获取所述eUICC上处于激活状态的Profile的身份标识;
基于所述激活状态的Profile的身份标识发送所述第二请求,所述第二请求携带所述激活状态的Profile的身份标识。
10.根据权利要求8所述的方法,其特征在于,所述方法还包括以下之一:
确定获取所述eUICC的卡级应用的访问权限后,发送第一更新请求给所述eUICC,所述第一更新请求用于指示所述eUICC更新所述第一访问控制规则;
确定获取所述eUICC的Profile级应用的访问权限后,发送第二更新请求给所述eUICC,所述第二更新请求用于指示所述eUICC更新所述第二访问控制规则。
11.根据权利要求8所述的方法,其特征在于,所述方法还包括:
发送更新标志查询请求给所述eUICC,所述更新标志查询请求用于查询目标访问控制规则是否更新,所述目标访问控制规则为终端侧的客户端应用待访问的卡级应用或者Profile级应用对应的访问控制规则;
接收所述eUICC反馈的反馈信息;
若所述反馈信息指示所述目标访问控制规则已更新,则重新获取所述目标访问控制规则,并基于所述重新获取的目标访问控制规则对所述待访问的卡级应用或者Profile级应用进行访问权限认证。
12.根据权利要求8所述的方法,其特征在于,所述方法还包括以下至少之一:
确定至少一个Profile由激活状态变为去活状态,删除终端存储的该Profile对应的第二访问控制规则;
确定至少一个Profile由去活状态变为激活状态,获取该Profile对应的第二访问控制规则。
13.一种嵌入式通用集成电路卡eUICC访问控制装置,其特征在于,应用于eUICC,所述装置包括:
第一处理模块,用于接收终端发送的用于获取卡级应用的访问权限的第一请求;
第一接入控制AC应用,用于基于所述第一请求,管理终端访问卡级应用的访问权限;
所述第一处理模块,还用于接收所述终端发送用于获取签约数据文件Profile级应用的访问权限的第二请求,所述第二请求为所述终端获取卡级应用的访问权限后发生成的;
第二AC应用,用于基于所述第二请求,管理终端访问Profile级应用的访问权限。
14.一种嵌入式通用集成电路卡eUICC访问控制装置,其特征在于,应用于终端,包括:
第二处理模块,用于发送用于获取卡级应用的访问权限的第一请求给eUICC;
认证模块,用于访问所述eUICC的第一接入控制AC应用,对所述eUICC的卡级应用的访问权限进行认证;
所述第二处理模块,还用于所述认证模块确定所述终端获取所述eUICC的卡级应用的访问权限后,发送用于获取签约数据文件Profile级应用的访问权限的第二请求给所述eUICC;
所述认证模块,还用于访问所述eUICC的第二AC应用,对所述eUICC的Profile级应用的访问权限进行认证。
15.一种嵌入式通用集成电路卡eUICC,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,
所述处理器,用于运行计算机程序时,执行权利要求1至6任一项所述方法的步骤。
16.一种终端,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,
所述处理器,用于运行计算机程序时,执行权利要求7至12任一项所述方法的步骤。
17.一种存储介质,所述存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至6任一项或者权利要求7至12任一项所述方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910973351.3A CN112733133B (zh) | 2019-10-14 | 2019-10-14 | 嵌入式通用集成电路卡访问控制方法、装置及存储介质 |
| PCT/CN2020/119563 WO2021073440A1 (zh) | 2019-10-14 | 2020-09-30 | 嵌入式通用集成电路卡访问控制方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910973351.3A CN112733133B (zh) | 2019-10-14 | 2019-10-14 | 嵌入式通用集成电路卡访问控制方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112733133A true CN112733133A (zh) | 2021-04-30 |
| CN112733133B CN112733133B (zh) | 2024-04-19 |
Family
ID=75537497
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910973351.3A Active CN112733133B (zh) | 2019-10-14 | 2019-10-14 | 嵌入式通用集成电路卡访问控制方法、装置及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN112733133B (zh) |
| WO (1) | WO2021073440A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115942323A (zh) * | 2023-01-09 | 2023-04-07 | 中国电子科技集团公司第三十研究所 | 安全增强usim装置和usim安全增强方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104185179A (zh) * | 2013-05-27 | 2014-12-03 | 中国移动通信集团公司 | 一种用于用户识别卡的控制装置、方法及用户识别卡 |
| US20170243105A1 (en) * | 2014-10-22 | 2017-08-24 | Sony Corporation | Information processing apparatus, information processing method, and program |
| US20180060199A1 (en) * | 2016-08-24 | 2018-03-01 | Apple Inc. | LOCAL RECOVERY OF ELECTRONIC SUBSCRIBER IDENTITY MODULE (eSIM) INSTALLATION FLOW |
| CN108229213A (zh) * | 2016-12-15 | 2018-06-29 | 中国移动通信有限公司研究院 | 访问控制方法、系统及电子设备 |
| US20190121797A1 (en) * | 2017-10-20 | 2019-04-25 | Idemia France | Methods for loading a profile to a secure element, manager and personalisable secure element |
| WO2019119544A1 (zh) * | 2017-12-18 | 2019-06-27 | 华为技术有限公司 | 嵌入式sim卡的数据访问的方法和设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102160597B1 (ko) * | 2014-07-17 | 2020-09-28 | 삼성전자 주식회사 | eUICC의 프로파일 설치 방법 및 장치 |
| CN107766717B (zh) * | 2016-08-17 | 2020-04-14 | 中国移动通信有限公司研究院 | 一种访问控制方法、装置及系统 |
| CN109963275B (zh) * | 2017-12-22 | 2022-01-28 | 中兴通讯股份有限公司 | 签约数据的发送方法、接收方法及签约数据的处理系统 |
-
2019
- 2019-10-14 CN CN201910973351.3A patent/CN112733133B/zh active Active
-
2020
- 2020-09-30 WO PCT/CN2020/119563 patent/WO2021073440A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104185179A (zh) * | 2013-05-27 | 2014-12-03 | 中国移动通信集团公司 | 一种用于用户识别卡的控制装置、方法及用户识别卡 |
| US20170243105A1 (en) * | 2014-10-22 | 2017-08-24 | Sony Corporation | Information processing apparatus, information processing method, and program |
| US20180060199A1 (en) * | 2016-08-24 | 2018-03-01 | Apple Inc. | LOCAL RECOVERY OF ELECTRONIC SUBSCRIBER IDENTITY MODULE (eSIM) INSTALLATION FLOW |
| CN108229213A (zh) * | 2016-12-15 | 2018-06-29 | 中国移动通信有限公司研究院 | 访问控制方法、系统及电子设备 |
| US20190121797A1 (en) * | 2017-10-20 | 2019-04-25 | Idemia France | Methods for loading a profile to a secure element, manager and personalisable secure element |
| WO2019119544A1 (zh) * | 2017-12-18 | 2019-06-27 | 华为技术有限公司 | 嵌入式sim卡的数据访问的方法和设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115942323A (zh) * | 2023-01-09 | 2023-04-07 | 中国电子科技集团公司第三十研究所 | 安全增强usim装置和usim安全增强方法 |
| CN115942323B (zh) * | 2023-01-09 | 2023-05-23 | 中国电子科技集团公司第三十研究所 | 安全增强usim装置和usim安全增强方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112733133B (zh) | 2024-04-19 |
| WO2021073440A1 (zh) | 2021-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3089494B1 (en) | Trusted execution environment initialization method and mobile terminal | |
| WO2018099485A1 (zh) | 一种保障终端安全的方法和设备 | |
| US20150181433A1 (en) | Methods and apparatus for managing data within a secure element | |
| US20130067564A1 (en) | Access management system | |
| US11234131B2 (en) | Information verification method and related device | |
| US20160048688A1 (en) | Restricting System Calls using Protected Storage | |
| KR20060089658A (ko) | 애플리케이션 실행의 보안 관리 프로세스 | |
| TW200302653A (en) | Method of software configuration assurance in programmable terminal devices | |
| JP2014174778A (ja) | ゲートウェイ装置及びサービス提供システム | |
| CN109196891B (zh) | 一种签约数据集的管理方法、终端及服务器 | |
| WO2018098713A1 (zh) | 一种获取授权文件的方法及设备 | |
| JP6923582B2 (ja) | 情報処理装置、情報処理方法、およびプログラム | |
| CN114245366B (zh) | 一种统一云卡发卡方法、混合云卡服务系统以及系统设备 | |
| US11290870B2 (en) | Combined migration and remigration of a network subscription | |
| CN107358118B (zh) | Sfs访问控制方法及系统、sfs及终端设备 | |
| US20210370872A1 (en) | Information processing apparatus, information processing method and non-transitory storage medium | |
| CN112733133B (zh) | 嵌入式通用集成电路卡访问控制方法、装置及存储介质 | |
| CN104969176B (zh) | 一种管理应用对证书和密钥的访问的方法、设备及介质 | |
| WO2019214697A1 (zh) | 一种数据下载、管理的方法和终端 | |
| CN106576239B (zh) | 一种安全单元中内容管理的方法及装置 | |
| US10531296B2 (en) | Method for loading a subscription into an embedded security element of a mobile terminal | |
| US11777742B2 (en) | Network device authentication | |
| CN106982428B (zh) | 一种安全配置方法,安全控制装置及安全配置装置 | |
| CN107872786B (zh) | 一种控制方法及智能卡 | |
| CN110661765B (zh) | 授权网络更新方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |