WO2018108132A1

WO2018108132A1 - 访问控制方法、系统、电子设备及计算机存储介质

Info

Publication number: WO2018108132A1
Application number: PCT/CN2017/116238
Authority: WO
Inventors: 乐祖晖; 朱本浩; 李征
Original assignee: 中国移动通信有限公司研究院; 中国移动通信集团公司
Priority date: 2016-12-15
Filing date: 2017-12-14
Publication date: 2018-06-21
Also published as: EP3537329B1; EP3537329A1; CN108229213B; CN108229213A; EP3537329A4

Abstract

一种访问控制方法、电子设备、访问控制系统及计算机存储介质。所述方法包括：位于电子设备应用层的本地文件管理（LPA）模块接收控制指令（201）；所述控制指令用于指示对嵌入式通用集成电路卡（eUICC）进行控制操作；所述LPA模块响应所述控制指令，调用所述电子设备的操作系统（OS）的应用程序编程接口（API），以将对应的信息或命令发送至所述eUICC（202）；所述OS的API被调用时，所述OS基于访问控制规则，判断所述LPA模块是否具有访问所述eUICC的权限，当确定所述LPA模块具有访问所述eUICC的权限时，将所述对应的信息或命令发送至所述eUICC（203），以由所述eUICC针对所述对应的信息或命令进行操作。

Description

访问控制方法、系统、电子设备及计算机存储介质

相关申请的交叉引用

本申请基于申请号为201611161153.X、申请日为2016年12月15日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本发明涉及通信领域的安全技术，尤其涉及一种访问控制方法、系统、电子设备及计算机存储介质。

背景技术

嵌入式通用集成电路卡(eUICC，embedded Universal Integrated Circuit Card)的最初需求源自物联网领域(特别是汽车行业)(即嵌入式客户识别模块(eSIM，embeded Subscriber Identification Module)卡)，但是随着人们需求的发展，eUICC还可以应用在个人领域，如可应用在可穿戴领域；而且对eUICC的需求也变为可动态下载运营商制卡文件信息(Profile)，可以在不同Profile间切换等。

目前，全球移动通信系统协会(GSMA)、欧洲电信标准化协会(ETSI)等国际组织目前正制定eUICC相关规范。针对个人领域的eUICC相关规范中，在相关技术架构中，设备商将本地文件管理(LPA，Local Profile Assistant)功能集成在设备的操作系统(OS)中，为用户提供Profile操作界面，连通用户管理-数据准备网元(SM-DP+，Subscription Manager-Data Preparation+)和eUICC以下载、管理Profile。

但是，将LPA集成在OS中会存在以下缺陷：

(1)LPA功能升级时需要用户更新设备的OS；

(2)运营商需要适配不同终端设备的LPA，且LPA的功能受限；

(3)LPA升级，运营商的系统均需要改造，实施难度高。

发明内容

本发明实施例提供一种访问控制方法、系统、电子设备及计算机存储介质。

本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种访问控制方法，应用于电子设备，包括：

位于所述电子设备应用层的LPA模块接收控制指令；所述控制指令用于指示对eUICC进行控制操作；

所述LPA模块响应所述控制指令，调用所述电子设备的OS的应用程序编程接口(API，Application Programming Interface)，以将对应的信息或命令发送至所述eUICC；

所述OS的API被调用时，所述OS基于访问控制规则，判断所述LPA模块是否具有访问所述eUICC的权限，当确定所述LPA模块具有访问所述eUICC的权限时，将所述对应的信息或命令发送至所述eUICC，以由所述eUICC针对所述对应的信息或命令进行操作。

上述方案中，所述方法还包括：

所述OS从所述eUICC获取所述访问控制规则，并保存。

上述方案中，所述OS从所述eUICC获取所述访问控制规则，包括：

所述OS向所述eUICC发送读取请求；

所述OS接收所述eUICC返回的所述访问控制规则。

上述方案中，所述方法还包括：

当所述LPA模块对应的发卡方安全域-运营商制卡文件信息(ISD-P，Issuer Security Domain-Profile)去激活后，所述OS清除保存的访问控制规则。

上述方案中，所述方法还包括：

当所述eUICC存储的访问控制规则发生变化时，所述OS从所述eUICC获取新的访问控制规则，并更新本地存储的访问控制规则。

上述方案中，通过所述电子设备实现用户管理-数据准备网元(SM-DP+，Subscription Manager-Data Preparation+)或业务平台与所述eUICC进行交互时，所述LPA模块接收控制指令；

调用所述OS的API之前，所述方法还包括：

所述LPA模块从所述SM-DP+或业务平台获取所述对应的信息或命令。

上述方案中，所述访问控制规则至少包括所述LPA模块的校验信息；所述校验信息用于校验所述LPA模块是否具有访问所述eUICC的权限。

上述方案中，所述访问控制规则还包括：API的访问权限；

确定所述LPA模块具有访问所述eUICC的权限，将所述对应的信息或命令发送至所述eUICC之前，所述方法还包括：

利用所述访问控制规则中的API的访问权项，判断所述LPA模块所调用的API是否允许被调用，确定所述LPA模块所调用的API允许被调用时，将所述对应的信息或命令发送至所述eUICC。

本发明实施例还提供了一种电子设备，包括：

位于所述电子设备应用层的LPA模块，配置为接收控制指令；所述控制指令用于指示对eUICC进行控制操作；并响应所述控制指令，调用OS模块的API，以将对应的信息或命令发送至所述eUICC；

OS模块，配置为当自身的API被调用时，基于访问控制规则，判断所述LPA模块是否具有访问所述eUICC的权限，当确定所述LPA模块具有访问所述eUICC的权限时，将所述对应的信息或命令发送至所述eUICC，以由所述eUICC针对所述对应的信息或命令进行操作。

上述方案中，所述OS模块，还配置为从所述eUICC获取所述访问控制规则，并保存。

上述方案中，所述OS模块，还配置为当所述LPA模块对应的ISD-P去激活后，所述OS清除保存的访问控制规则。

上述方案中，所述OS模块，还配置为当所述eUICC存储的访问控制规则发生变化时，所述OS从所述eUICC获取新的访问控制规则，并更新本地存储的访问控制规则。

上述方案中，通过所述电子设备实现SM-DP+或业务平台与所述eUICC进行交互时，所述LPA模块接收控制指令；

所述LPA模块，还配置为从所述SM-DP+或业务平台获取所述对应的信息或命令。

上述方案中，所述访问控制规则还包括：API的访问权限；所述OS模块，还配置为：确定所述LPA模块具有访问所述eUICC的权限后，利用所述访问控制规则中的API的访问权项，判断所述LPA模块所调用的API是否允许被调用，确定所述LPA模块所调用的API允许被调用时，将所述对应的信息或命令发送至所述eUICC。

本发明实施例又提供了一种访问控制系统，包括：电子设备及eUICC；所述电子设备包括：

OS模块，配置为当自身的API被调用时，基于访问控制规则，判断所述LPA模块是否具有访问所述eUICC的权限，当确定所述LPA模块具有访问所述eUICC的权限时，将所述对应的信息或命令发送至所述eUICC；

所述eUICC，配置为针对所述对应的信息或命令进行操作。

上述方案中，所述OS模块，还配置为从所述eUICC获取所述访问控制规则，并保存；

所述eUICC，还配置为为所述OS模块提供所述访问控制规则。

本发明实施例又提供了一种计算机存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一方法的步骤。

本发明实施例提供的访问控制方法、系统、电子设备及计算机存储介质，位于电子设备应用层的LPA模块接收控制指令；所述控制指令用于指示对eUICC进行控制操作；所述LPA模块响应所述控制指令，调用所述电子设备的OS的API，以将对应的信息或命令发送至所述eUICC；所述OS的API被调用时，所述OS基于访问控制规则，判断所述LPA模块是否具有访问所述eUICC的权限，当确定所述LPA模块具有访问所述eUICC的权限时，将所述对应的信息或命令发送至所述eUICC，以由所述eUICC针对所述对应的信息或命令进行操作，由于LPA模块位于电子设备的应用层，与OS完全分离，所以本发明实施例提供的方案可以适配不同的电子设备，对LPA模块的升级，也不需要改动运营商的系统，也不需要对电子设备的OS进行升级。而且通过OS对LPA权限的管理，可以实现对eUICC的安全操作。

附图说明

在附图(其不一定是按比例绘制的)中，相似的附图标记可在不同的视图中描述相似的部件。附图以示例而非限制的方式大体示出了本文中所讨论的各个实施例。

图1为相关技术中针对个人领域的eUICC相关规范技术架构示意图；

图2为本发明实施例一电子设备侧的访问控制方法流程示意图；

图3为本发明实施例一访问控制方法流程示意图；

图4为本发明实施例二电子设备结构示意图；

图5为本发明实施例二访问控制系统结构示意图；

图6为本发明实施例三访问控制系统架构示意图；

图7为本发明实施例三用户通过设备应用进行Profile下载流程示意图；

图8为本发明实施例三用户通过设备应用与当前激活的ISD-P进行交互示意图；

图9为本发明实施例三用户通过设备应用对ISD-P进行管理的过程示意图。

具体实施方式

下面结合附图及实施例对本发明再作进一步详细的描述。

在描述本发明实施例之前，先详细了解一下eUICC卡的相关技术。

eUICC的最初需求源自物联网领域(特别是汽车行业)，欧盟立法规定2018年4月起在欧盟境内出售的所有型号家用车和轻型乘用车必须配备嵌入式呼叫(eCall)紧急呼叫系统(该系统在紧急情况下可以自动/手动连通网络，上报用户位置信息，便于实施紧急救助)，该系统基于移动网络设计，需要在车辆中安装通用集成电路卡(UICC，Universal Integrated Circuit Card)卡(即客户识别模块(SIM，Subscriber Identification Module)卡)，考虑到安全车厂不希望用户自行更换UICC，因此出现了将UICC嵌入(即eUICC)汽车统一销售的需求。

但是有此引出了新的问题：汽车生产地与最终销售地很可能不一致，如果预置码号会产生高额的漫游费用、且某些地区不支持永久漫游，因此产生动态下载正式码号的需求。

随着技术和业务的发展，加之需求讨论的不断深入，eSIM卡应具备了：具有独立硬件载体、动态加载Profile、在不同运营商Profile之间切换的功能。同时，eUICC已经延伸至个人领域(如：手表、手机、平板电脑(Tablet)等)。

全球移动通信系统协会(GSMA)、欧洲电信标准化协会(ETSI)等国际组织目前正制定eUICC相关规范，其中，图1示出了针对个人领域的现有eUICC相关规范技术架构。如图1所示，在相关技术架构中，设备商将本地文件管理(LPA，Local Profile Assistant)功能集成在设备的OS中，为用户提供Profile操作界面，连通SM-DP+和eUICC，以下载、管理Profile。其中，LPA通过本地接口与eUICC上的LPA业务(LPA Services)模块通信，以创建、激活/去活、删除Profile。

在图1中，eUICC上的ISD-P是运营商Profile在卡上的存在方式，不同运营商(SM-DP+)在卡上对应不同的ISD-P，相互之间安全隔离。

从上面的描述中可以看出，LPA是集成在OS中的，这样就会存在以下问题：

1)LPA功能升级需要用户更新设备的OS；

2)运营商需要适配不同终端设备的LPA，且LPA的功能受限；

3)LPA升级，运营商的系统均需要改造，实施难度高(不同厂商提供的LPA，其功能扩展可能需要运营商后台系统适配升级，而由于终端厂商较多，所以适配升级的工作巨大)。

基于此，在本发明的各种实施例中：位于电子设备应用层的LPA模块接收控制指令；所述控制指令用于指示对eUICC进行控制操作；所述LPA模块响应所述控制指令，调用所述电子设备的OS的API，以将对应的信息或命令发送至所述eUICC；所述OS的API被调用时，所述OS基于访问控制规则，判断所述LPA模块是否具有访问所述eUICC的权限，当确定所述LPA模块具有访问所述eUICC的权限时，将所述对应的信息或命令发送至所述eUICC，以由所述eUICC针对所述对应的信息或命令进行操作。

实施例一

本发明实施例访问控制方法，应用于电子设备，所述电子设备可以是：穿戴式设备、手机、Tablet等；如图2所示，该方法包括以下步骤：

步骤201：位于所述电子设备应用层的LPA模块接收控制指令；

这里，所述控制指令用于指示对eUICC进行控制操作。

其中，实际应用时，所述控制指令可以是用户针对所述eUICC中ISD-P进行相关操作时，比如：进行激活/去激活、删除等操作时，发出的控制指令；所述控制指令还可以是用户通过所述电子设备(所述LPA模块)来实现SM-DP+或业务平台与所述eUICC进行交互时，比如：用户通过所述LPA模块进行Profile下载流程中SM-DP+与所述eUICC进行交互时，再比如：用户通过所述LPA模块实现SM-DP+或业务平台与所述eUICC上当前激活的ISD-P的profile进行交互时，发出的控制指令。

步骤202：所述LPA模块响应所述控制指令，调用所述电子设备的OS的API，以将对应的信息或命令发送至所述eUICC；

这里，实际应用时，当通过所述电子设备实现SM-DP+或业务平台与所述eUICC进行交互时，所述LPA模块接收控制指令；调用所述OS的API之前该方法还可以包括：

步骤203：所述OS的API被调用时，所述OS基于访问控制规则，判断所述LPA模块是否具有访问所述eUICC的权限，当确定所述LPA模块具有访问所述eUICC的权限时，将所述对应的信息或命令发送至所述eUICC，以由所述eUICC针对所述对应的信息或命令进行操作。

这里，实际应用时，所述OS需要先从所述eUICC获取所述访问控制规则，并保存。

具体地，所述OS向所述eUICC发送读取请求；

所述OS接收所述eUICC返回的所述访问控制规则。

其中，当所述LPA模块对应的ISD-P(位于所述eUICC上)去激活后，所述OS需要清除保存的访问控制规则，以保证对所述eUICC的安全访问。

另外，当所述eUICC存储的访问控制规则发生变化(新增、删除、修改等)时，所述OS需要从所述eUICC获取新的访问控制规则，并更新本地存储的访问控制规则，以保证对所述eUICC的安全访问。

这里，实际应用时，可以由后台(可以是运营商、设备商、卡商、或第三方的后台)通过空中下载(OTA)/互联网下载(OTI)方式对所述eUICC存储的访问控制规则进行更新(包括新增、删除、修改等)。

相应地，当所述eUICC存储的访问控制规则发生变化时，所述eUICC可以主动通知OS，当然，OS也可以通过轮询方式获知所述eUICC存储的访问控制规则发生了变化。

实际应用时，所述访问控制规则至少包括所述LPA模块的校验信息；所述校验信息用于校验所述LPA模块是否具有访问所述eUICC的权限。比如：所述校验信息为所述LPA模块签名证书的哈希(hash)值等。当然，所述访问控制规则还可以包括：每个API是否允许调用的标识符(掩码)，比如：可以设置1表示通过权限校验即可调用相应的API，0标识即便通过权限校验也不可调用相应的API等。

实际应用时，根据所述LPA模块接收控制指令的不同，可以设置所述LPA模块调用不同的API，比如：ISD-P创建过程调用第一API，而当对已创建的ISD-P进行操作时，调用第二API等。

在一实施例中，所述访问控制规则还包括：API的访问权限；相应地，确定所述LPA模块具有访问所述eUICC的权限，将所述对应的信息或命令发送至所述eUICC之前，该方法还可以包括：

从上面的描述中可以看出，为了实现本发明实施例提供的方法，需要在所述eUICC侧预先设置访问控制规则。

本发明实施例还提供了一种访问控制方法，如图3所示，该方法包括：

步骤301：位于所述电子设备应用层的LPA模块接收控制指令；

这里，所述第控制指令用于指示对eUICC进行控制操作。

步骤302：所述LPA模块响应所述控制指令，调用所述电子设备的OS的API，以将对应的信息或命令发送至所述eUICC；

步骤303：所述OS的API被调用时，所述OS基于访问控制规则，判断所述LPA模块是否具有访问所述eUICC的权限，当确定所述LPA模块具有访问所述eUICC的权限时，将所述对应的信息或命令发送至所述eUICC；

步骤304：所述eUICC针对所述对应的信息或命令进行操作。

需要说明的是：所述LPA模块、OS及eUICC的具体处理过程已在上文详述，这里不再赘述。

本发明实施例提供的访问控制方法，位于电子设备应用层的LPA模块接收控制指令；所述控制指令用于指示对eUICC进行控制操作；所述LPA模块响应所述控制指令，调用所述电子设备的OS的API，以将对应的信息或命令发送至所述eUICC；所述OS的API被调用时，所述OS基于访问控制规则，判断所述LPA模块是否具有访问所述eUICC的权限，当确定所述LPA模块具有访问所述eUICC的权限时，将所述对应的信息或命令发送至所述eUICC，以由所述eUICC针对所述对应的信息或命令进行操作，由于LPA模块位于电子设备的应用层，与OS完全分离，所以本发明实施例提供的方案可以适配不同的电子设备，对LPA模块的升级，也不需要改动运营商的系统，也不需要对电子设备的OS进行升级。而且通过OS对LPA权限的管理，可以实现对eUICC的安全操作。

实施例二

为实现本发明实施例的方法，本实施例提供一种电子设备，所述电子设备可以是：穿戴式设备、手机、Tablet等；如图4所示，该电子设备包括：

位于所述电子设备应用层的LPA模块41，配置为接收控制指令；所述控制指令用于指示对eUICC进行控制操作；并响应所述控制指令，调用OS模块42的API，以将对应的信息或命令发送至所述eUICC；

OS模块42，配置为当自身的API被调用时，基于访问控制规则，判断所述LPA模块是否具有访问所述eUICC的权限，当确定所述LPA模块41具有访问所述eUICC的权限时，将所述对应的信息或命令发送至所述eUICC，以由所述eUICC针对所述对应的信息或命令进行操作。

其中，实际应用时，所述控制指令可以是用户针对所述eUICC中ISD-P的进行相关操作时，比如：激活/去激活、删除等操作时，发出的控制指令；所述控制指令还可以是用户通过所述电子设备(所述LPA模块41)来实现SM-DP+或业务平台与所述eUICC进行交互时，比如：用户通过所述LPA模块41进行Profile下载流程中SM-DP+与所述eUICC进行交互时，再比如：用户通过所述LPA模块41实现SM-DP+或业务平台与所述eUICC上当前激活的ISD-P的profile进行交互时，发出的控制指令。

这里，实际应用时，当通过所述电子设备实现SM-DP+或业务平台与所述eUICC进行交互时，所述LPA模块41接收控制指令；

所述LPA模块41，还配置为从所述SM-DP+或业务平台获取所述对应的信息或命令。

在一实施例中，所述OS模块42，还配置为从所述eUICC获取所述访问控制规则，并保存。

具体地，所述OS模块42向所述eUICC发送读取请求；

所述OS模块42接收所述eUICC返回的所述访问控制规则。

其中，当所述LPA模块41对应的ISD-P(位于所述eUICC上)去激活后，所述OS模块42需要清除保存的访问控制规则，以保证对所述eUICC的安全访问。

另外，当所述eUICC存储的访问控制规则发生变化(新增、删除、修改等)时，所述OS模块42需要从所述eUICC获取新的访问控制规则，并更新本地存储的访问控制规则，以保证对所述eUICC的安全访问。

这里，实际应用时，可以由后台(可以是运营商、设备商、卡商、或第三方的后台)通过OTA/OTI方式对所述eUICC存储的访问控制规则进行更新(包括新增、删除、修改等)。

相应地，当所述eUICC存储的访问控制规则发生变化时，所述eUICC可以主动通知OS模块42，当然，OS模块42也可以通过轮询方式获知所述eUICC存储的访问控制规则发生了变化。

实际应用时，所述访问控制规则至少包括所述LPA模块的校验信息；所述校验信息用于校验所述LPA模块41是否具有访问所述eUICC的权限。比如：所述校验信息为所述LPA模块41签名证书的hash值等。当然，所述访问控制规则还可以包括：每个API是否允许调用的标识符(掩码)，比如：可以设置1表示通过权限校验即可调用相应的API，0标识即便通过权限校验也不可调用相应的API等。

在一实施例中，所述访问控制规则还包括：API的访问权限；相应地，所述OS模块42，还配置为：确定所述LPA模块具有访问所述eUICC的权限后，利用所述访问控制规则中的API的访问权项，判断所述LPA模块41所调用的API是否允许被调用，确定所述LPA模块41所调用的API允许被调用时，将所述对应的信息或命令发送至所述eUICC。

实际应用时，所述LPA模块41和OS模块可由电子设备中的控制器实现。

为实现本发明实施例的方法，本实施例还提供了一种访问控制系统，如图5所示，该系统包括电子设备51及eUICC 52；其中，

所述电子设备包括：

位于所述电子设备应用层的LPA模块511，配置为接收控制指令；所述控制指令用于指示对eUICC 52进行控制操作；并响应所述控制指令，调用OS模块512的API，以将对应的信息或命令发送至所述eUICC 52；

OS模块512，配置为当自身的API被调用时，基于访问控制规则，判断所述LPA模块是否具有访问所述eUICC 52的权限，当确定所述LPA模块511具有访问所述eUICC的权限时，将所述对应的信息或命令发送至所述eUICC 52；

所述eUICC 52，配置为针对所述对应的信息或命令进行操作。

其中，所述OS模块512，还配置为从所述eUICC 52获取所述访问控制规则，并保存；

所述eUICC 52，还配置为为所述OS模块512提供所述访问控制规则。

其中，LPA模块511及OS模块512的具体处理过程已在上文详述，这里不再赘述。

本发明实施例提供的方案，位于电子设备应用层的LPA模块接收控制指令；所述控制指令用于指示对eUICC进行控制操作；所述LPA模块响应所述控制指令，调用所述电子设备的OS模块的API，以将对应的信息或命令发送至所述eUICC；所述OS模块的API被调用时，所述OS模块基于访问控制规则，判断所述LPA模块是否具有访问所述eUICC的权限，当确定所述LPA模块具有访问所述eUICC的权限时，将所述对应的信息或命令发送至所述eUICC，以由所述eUICC针对所述对应的信息或命令进行操作，由于LPA模块位于电子设备的应用层，与OS完全分离，所以本发明实施例提供的方案可以适配不同的电子设备，对LPA模块的升级，也不需要改动运营商的系统，也不需要对电子设备的OS进行升级。而且通过OS对LPA权限的管理，可以实现对eUICC的安全操作。

实施例三

在实施例一、二的基础上，本实施例详细描述本发明实施例的架构及各模块的功能，以及模块之间的交互过程。

图6为本发明实施例三的访问控制系统架构示意图。从图6中可以看出，与图1所示的系统相比，本发明实施例新增的模块包括：

(1)在电子设备(Device)OS中新增两套API

如图6所示，增加的两套API分别是：API Set 1及API Set 2；其中，API Set 1主要负责ISD-P的创建、删除；API Set 2主要负责ISD-P内应用的访问，如：发送各类应用协议数据单元(APDU，Application Protocol Data Unit)命令；

(2)在eUICC上新增eUICC AC Applet(Java编程语言编写的应用程序，实际应用时，根据Device OS，也可以采用其它语言编写的应用程序)，是一个访问控制应用(Access Control应用)，该AC Applet配置为控制电子设备上应用对API Set 1的访问权限，即存储针对API Set 1的访问控制规则；

(3)在创建的ISD-P中新增AC Applet，也是一个访问控制应用(Access Control应用)，该Applet配置为控制电子设备上应用对API Set 2的访问权限，即存储针对API Set 2的访问控制规则；

(4)Device OS中新增访问控制执行器(AC Enforcer，Access Control Enforcer)，配置为加载eUICC和当前激活ISD-P中AC Applet存储的访问控制规则；

(5)运营商MNO LPA(当然，实际应用时，也可以是第三方LPA)，以设备应用的形式存在，为用户提供操作界面，连通SM-DP+和eUICC实现安全通信，并实现用户对eUICC的操作。

其中，对于AC Applet，有以下设置要求：

eUICC和ISD-P中均有一个AC Applet，分别是eUICC AC Applet和ISD-P AC Applet。

这里，AC Applet中存储访问控制规则(一条或者多条)，每条规则包含设备应用(MNO LPA或者第三方LPA)签名证书的Hash值(必选项)及设备应用的名字/标识(Name/ID)(可选项)；另外在每条规则中，可以通过设置掩码来设置每个API是否允许调用，比如：可以设置：1表示通过权限校验通过即可调用相应的API，0表示即便通过检查也不可调用相应的API。

Native LPA，配置为实现ISD-P的激活/去活、删除等操作，任一时刻eUICC上至多只有一个ISD-P处于激活状态。

AC Enforcer中关于eUICC AC Applet所存储的访问控制规则的更新机制是：

首先，设备开机时，AC Enforcer加载eUICC AC Applet中存储的访问控制规则(从eUICC AC Applet读取访问控制规则，并保存)；

其次，当eUICC AC Applet中存储的访问控制规则发生变化时(如：新增、删除、修改访问控制规则等)，AC Enforcer更新所存储的访问控制规则。

AC Enforcer中关于ISD-P AC Applet所存储的访问控制规则的更新机制是：

首先，设备开机时，加载当前处于激活状态的ISD-P所对应的ISD-P AC Applet中存储的访问控制规则；

其次，当前处于激活状态的ISD-P AC Applet中存储的访问控制规则发生变化时(如：新增、删除、修改访问控制规则等)，AC Enforcer更新所存储的访问控制规则。

第三，去活ISD-P时，清除存储的对应的访问控制规则；

第四，激活其他ISD-P时，重新加载新激活的ISD-P AC Applet中存储的访问控制规则。

下面详细描述对eUICC的操作。

首先，描述用户通过MNO进行Profile下载流程中SM-DP+与所述eUICC进行交互的操作。

如图7所示，该过程包括以下步骤：

步骤701：AC Enforcer选择eUICC AC Applet并读取其中存储的访问控制规则；

这里，实际应用时，当eUICC还未有任何激活的ISD-P时，当设备开机后，AC Enforcer选择eUICC AC Applet并读取其中存储的访问控制规则。

步骤702：eUICC AC Applet向AC Enforcer返回自身存储的访问控制规则；

步骤703：AC Enforcer收到访问控制规则后，保存访问控制规则；

步骤704：用户通过MNO LPA选择要下载的Profile；

步骤705：MNO LPA收到用户选择的Profile后，向SM-DP+发送Profile下载请求；

步骤706：SM-DP+收到请求后，根据请求信息向MNO LPA返回ISD-P创建、Profile下载/安装等指令；

这里，实际应用时，需要在eUICC上先创建ISD-P，再在ISD-P中安装Profile，所以指令也相应的包含创建指令、安装指令等。

步骤707：MNO LPA收到指令后，调用API Set 1中的API；

步骤708：获知API Set 1中的API被调用后，AC Enforcer根据存储的访问控制规则，校验MNO LPA是否具有访问API Set 1的权限，当确定MNO LPA有相关访问权限时，将ISD-P创建、Profile下载/安装等指令透传至eUICC；

这里，当未通过校验时则向MNO LPA返回相应的错误信息。

步骤709：MNO LPA通过与SM-DP+、eUICC进行交互，创建ISD-P、下载/安装Profile；

710：安装完成后，eUICC向AC Enforcer返回Profile成功安装响应；

这里，若安装的中间过程出现错误则返回错误信息，流程结束。

711：AC Enforcer向MNO LPA返回Profile成功安装响应；

712：MNO LPA向SM-DP+Profile返回Profile成功安装响应；

713：MNO LPA提示用户Profile成功安装。

接着，描述用户通过MNO LPA实现SM-DP+或业务平台与所述eUICC上当前激活的ISD-P的profile进行交互的操作。

如图8所示，该过程包括以下步骤：

步骤801：AC Enforcer选择当前激活ISD-P中ISD-P AC Applet并读取其中存储的访问控制规则；

这里，当Profile安装成功后，且激活了ISD-P后，AC Enforcer可以从当前激活的ISD-P中的ISD-P AC Applet读取存储的访问控制规则。

步骤802：当前激活ISD-P中的ISD-P AC Applet向AC Enforcer返回访问控制规则；

步骤803：AC Enforcer收到访问控制规则后，保存访问控制规则；

步骤804：用户通过MNO LPA进行操作，涉及SM-DP+或业务平台与eUICC的交互；

步骤805：MNO LPA向SM-DP+或业务平台发送交互请求；

步骤806：SM-DP+或业务平台根据请求信息返回响应信息；

这里，所述响应信息可以是APDU指令等。

步骤807：MNO LPA收到响应信息后，调用API Set 2中的API；

步骤808：获知API Set 2中的API被调用后，AC Enforcer根据存储的访问控制规则，校验MNO LPA是否具有访问API Set 2的权限，当确定MNO LPA有相关访问权限时，则响应信息透传至eUICC；

这里，当未通过校验时则向MNO LPA返回相应的错误信息。

步骤809：MNO LPA通过与SM-DP+或业务平台、eUICC进行交互执行各类指令。

第三，激活、去活、删除ISD-P的操作

当eUICC AC Applet中存储的访问控制规则中有允许MNO LPA执行激活/去活、删除ISD-P的权限(可以通过设置相应API对应的掩码为1来实现)，则用户可以通过MNO LPA激活、去活、删除eUICC上的ISD-P(用户可能感知到的是针对Profile执行此操作)。

具体来说，如图9所示，包括以下步骤：

步骤901：用户通过MNO PLA提供的操作界面，选择要操作的ISD-P及进行的操作；

这里，进行的操作可以是激活、去活、删除等操作。

步骤902：MNO PLA收到用户的指令后，调用API Set 1中的API；

步骤903：获知API Set 1中的API被调用后，AC Enforcer根据存储的访问控制规则，校验MNO LPA是否具有访问API Set 1的权限(针对用户选择的操作所进行的权限校验)，当确定MNO LPA有相关访问权限时，将指令透传至eUICC；

这里，当未通过校验时则向MNO LPA返回相应的错误信息。

步骤904：LPS Services根据指令，对eUICC上对应的ISD-P中的Profile进行相应的操作；

步骤905：操作完成后，LPS Services向AC Enforcer返回操作成功响应；

这里，如果操作过程出现错误则返回错误信息，流程结束。

步骤906：AC Enforcer向MNO LPA返回操作成功响应；

步骤907：MNO LPA提示用户操作成功。

从上面的描述中可以看出，本发明实施例提供的方案，首先，解决了LPA必须内置在设备OS中的问题；其次，当LPA不内置在设备OS中时，需要考虑LPA对eUICC的安全访问问题，本发明实施例通过OS来对MNO LPA的访问权限进行控制，从而解决了MNO LPA对eUICC安全访问的问题；第三通过OS来对MNO LPA的访问权限进行控制，还解决了ISD-P对MNO LPA功能开放的问题。

因此，当采用本发明实施例的方案时，可以达到以下有益效果：

1)由于LPA位于电子设备的应用层，所以运营商可以自行设计LPA，可以以App形式存在，从而可以适配不同的终端设备；

2)通过OS对MNOLPA的访问权项进行控制，MNO LPA既可以完全控制所属ISD-P的生命周期，又不影响其他ISD-P的生命周期；

3)通过OS对MNOLPA的访问权项进行控制，MNO LPA可以自由访问所属ISD-P内的应用，在未经授权的情况下无法访问其他ISD-P中的内容。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

基于此，本发明实施例提供了一种计算机存储介质，具体为计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现本发明实施例所述方法的步骤。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

工业实用性

本发明实施例提供的方案，位于电子设备应用层的LPA模块接收控制指令；所述控制指令用于指示对eUICC进行控制操作；所述LPA模块响应所述控制指令，调用所述电子设备的OS的API，以将对应的信息或命令发送至所述eUICC；所述OS的API被调用时，所述OS基于访问控制规则，判断所述LPA模块是否具有访问所述eUICC的权限，当确定所述LPA模块具有访问所述eUICC的权限时，将所述对应的信息或命令发送至所述eUICC，以由所述eUICC针对所述对应的信息或命令进行操作，由于LPA模块位于电子设备的应用层，与OS完全分离，所以本发明实施例提供的方案可以适配不同的电子设备，对LPA模块的升级，也不需要改动运营商的系统，也不需要对电子设备的OS进行升级。而且通过OS对LPA权限的管理，可以实现对eUICC的安全操作。

Claims

一种访问控制方法，应用于电子设备，包括：

位于所述电子设备应用层的本地文件管理LPA模块接收控制指令；所述控制指令用于指示对嵌入式通用集成电路卡eUICC进行控制操作；

所述LPA模块响应所述控制指令，调用所述电子设备的操作系统OS的应用程序编程接口API，以将对应的信息或命令发送至所述eUICC；

所述OS的API被调用时，所述OS基于访问控制规则，判断所述LPA模块是否具有访问所述eUICC的权限，当确定所述LPA模块具有访问所述eUICC的权限时，将所述对应的信息或命令发送至所述eUICC，以由所述eUICC针对所述对应的信息或命令进行操作。
根据权利要求1所述的方法，其中，所述方法还包括：

所述OS从所述eUICC获取所述访问控制规则，并保存。
根据权利要求2所述的方法，其中，所述OS从所述eUICC获取所述访问控制规则，包括：

所述OS向所述eUICC发送读取请求；

所述OS接收所述eUICC返回的所述访问控制规则。
根据权利要求2所述的方法，其中，所述方法还包括：

当所述LPA模块对应的发卡方安全域-运营商制卡文件信息ISD-P去激活后，所述OS清除保存的访问控制规则。
根据权利要求2所述的方法，其中，所述方法还包括：

当所述eUICC存储的访问控制规则发生变化时，所述OS从所述eUICC获取新的访问控制规则，并更新本地存储的访问控制规则。
根据权利要求1所述的方法，其中，通过所述电子设备实现用户管理-数据准备网元SM-DP+或业务平台与所述eUICC进行交互时，所述LPA模块接收控制指令；

调用所述OS的API之前，所述方法还包括：

所述LPA模块从所述SM-DP+或业务平台获取所述对应的信息或命令。
根据权利要求1至6任一项所述的方法，其中，所述访问控制规则至少包括所述LPA模块的校验信息；所述校验信息用于校验所述LPA模块是否具有访问所述eUICC的权限。
根据权利要求7所述的方法，其中，所述访问控制规则还包括：API的访问权限；确定所述LPA模块具有访问所述eUICC的权限，将所述对应的信息或命令发送至所述eUICC之前，所述方法还包括：

利用所述访问控制规则中的API的访问权项，判断所述LPA模块所调用的API是否允许被调用，确定所述LPA模块所调用的API允许被调用时，将所述对应的信息或命令发送至所述eUICC。
一种电子设备，包括：

位于所述电子设备应用层的LPA模块，配置为接收控制指令；所述控制指令用于指示对eUICC进行控制操作；并响应所述控制指令，调用OS模块的API，以将对应的信息或命令发送至所述eUICC；

OS模块，配置为当自身的API被调用时，基于访问控制规则，判断所述LPA模块是否具有访问所述eUICC的权限，当确定所述LPA模块具有访问所述eUICC的权限时，将所述对应的信息或命令发送至所述eUICC，以由所述eUICC针对所述对应的信息或命令进行操作。
根据权利要求9所述的电子设备，其中，所述OS模块，还配置为从所述eUICC获取所述访问控制规则，并保存。
根据权利要求10所述的电子设备，其中，所述OS模块，还配置为当所述LPA模块对应的ISD-P去激活后，所述OS清除保存的访问控制规则。
根据权利要求10所述的电子设备，其中，所述OS模块，还配置为当所述eUICC存储的访问控制规则发生变化时，所述OS从所述eUICC获取新的访问控制规则，并更新本地存储的访问控制规则。
根据权利要求9所述的电子设备，其中，通过所述电子设备实现SM-DP+或业务平台与所述eUICC进行交互时，所述LPA模块接收控制信息；

所述LPA模块，还配置为从所述SM-DP+或业务平台获取所述对应的信息或命令。
根据权利要求9至13任一项所述的电子设备，其中，所述访问控制规则至少包括所述LPA模块的校验信息；所述校验信息用于校验所述LPA模块是否具有访问所述eUICC的权限。
根据权利要求14所述的电子设备，其中，所述访问控制规则还包括：API的访问权限；相应地，所述OS模块，还配置为：确定所述LPA模块具有访问所述eUICC的权限后，利用所述访问控制规则中的API的访问权项，判断所述LPA模块所调用的API是否允许被调用，确定所述LPA模块所调用的API允许被调用时，将所述对应的信息或命令发送至所述eUICC。
一种访问控制系统，包括：电子设备及eUICC；所述电子设备包括：

位于所述电子设备应用层的LPA模块，配置为接收控制指令；所述控制指令配置为指示对eUICC进行控制操作；并响应所述控制指令，调用OS模块的API，以将对应的信息或命令发送至所述eUICC；

OS模块，配置为当自身的API被调用时，基于访问控制规则，判断所述LPA模块是否具有访问所述eUICC的权限，当确定所述LPA模块具有访问所述eUICC的权限时，将所述对应的信息或命令发送至所述eUICC；

所述eUICC，配置为针对所述对应的信息或命令进行操作。
根据权利要求16所述的系统，其中，所述OS模块，还配置为从所述eUICC获取所述访问控制规则，并保存；

所述eUICC，还配置为为所述OS模块提供所述访问控制规则。
一种计算机存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1至8任一项所述方法的步骤。