专利名称:通过无线网络传输电子标识组件的方法和装置的制作方法
技术领域:
本发明总体上涉及无线系统,例如设备使用蜂窝网络通信的系统。更具体地说, 在一个示例方面,本发明涉及用于通过蜂窝网络向蜂窝设备传输电子标识组件的方法和装置。
背景技术:
大部分现有技术的无线无线电通信系统的安全通信需要访问控制。作为例子, 一个简单的访问控制方案可能包括(i)验证通信方的身份,和(ii)授予与验证的身份相称的访问等级。在示例性蜂窝系统的情况下,访问控制由访问控制客户端管理,所述访问控制客户端被称为用户身份模块(SIM),其实际上被实现在物理卡形式的通用集成电路卡 (UICC)中。在操作中,所述SM卡相对于所述蜂窝网络认证用户。在成功的认证后,用户被允许访问所述蜂窝网络。每一张SIM卡与单一用户账户相关联,其中用户账户数据被永久地存储在所述 SIM卡上。如果用户希望将服务从现有的账户转变到新的账户,用户需要使用新的SIM卡替换掉现有的SIM卡(比如,从SIM卡槽中物理地移除现有的SIM卡,并插入新的SIM卡)。 简短而言,用户账户与SIM卡是绑定的,而不是与移动设备本身绑定。因此,添加额外的账户需要使用新的SIM卡。例如,当用户旅行到新的服务区时,用户必须常常在支付高额的漫游费或购买新的SIM卡之间进行选择。类似地,对于在支付账户之间转变(例如,针对工作和个人使用共享一部电话等)的用户,所述用户必须不断地在不同的SIM卡之间进行切换。 有些设备尝试通过提供多个卡插座从而能够支持多张SIM卡来解决这个问题。但是,这些 “多卡”解决方案并不是所希望的,因为额外的SIM卡插座占用相当大的面积,但无法解决 SIM卡账户本质上的不灵活性。此外,现有的SIM解决方案包括一个或多个SIM软件标识,这些软件标识被“硬编码”到实体的UICC卡媒介上;即SIM卡组件无法重新编程等。对于所有实际的意图和目的, 现有技术的SIM卡是不可分的;即SIM软件与实体UICC卡媒介是无法分离的。因此一些操作无法在现有的SIM卡构架中执行。例如,对于不同的网络运营商,SIM不能在SIM卡之间移动、修改、撤销和/或启用。因此,正如随后更详细地描述的那样,现有的SIM卡的解决方案越来越不足以适应不断复杂化的蜂窝技术(以及其它无线技术)。因此,需要改进的解决方案给用户提供获得(例如,购买)和管理用户账户的能力。这种改进的解决方案应当在不需要新SIM卡的情况下理想地支持新的或不同的账户到先前配置或购买的设备的传输。
发明内容
尤其是通过提供用于安全获取和传输访问控制客户端的改进方法和装置,本发明满足了上述需求。在本发明的第一个方面,公开了一种通过无线网络接收访问控制客户端的方法。 在一个实施例中,所述方法包括建立一个认证的数据会话,其中所述认证的数据会话具有第一组访问权限;选择访问控制客户端,所述访问控制客户端具有第二组访问权限;接收一个或多个更新数据包;将所述一个或多个更新数据包组装到所述访问控制客户端;以及执行所述访问控制客户端。在本发明的第二个方面,公开了一种通过无线网络修改设备操作系统的方法。在一个实施例中,所述方法包括建立认证的数据会话,其中所述认证的数据会话具有第一组访问权限;接收一个或多个更新数据包;将所述一个或多个更新数据包组装到操作系统组件;其中,所述操作系统组件被配置为利用访问控制客户端进行操作,所述访问控制客户端具有第二组访问权限。在本发明的第三个方面,公开了一种通过网络接收访问控制客户端的方法。在一个实施例中,该方法包括建立认证的数据会话,其中所述认证的数据会话具有第一组访问权限,使得能够访问与访问控制客户端相关的一个或多个数据包;下载与所述访问控制客户端相关的所述一个或多个数据包,其中所述访问控制客户端具有第二组访问权限;至少部分基于所下载的一个或多个数据包组装所述访问控制客户端;以及用所组装的访问控制客户端建立用户会话。在一个变型中,所述认证的数据会话包括所述无线网络和接收设备之间的相互验证。例如,所述相互验证可以包括加密密钥协议。在一个这样的例子中,所述加密密钥协议基于一个或多个非对称的Rivest Siamir和Adelman(RSA)公有和私有密钥。在其它的变型中,所述第二组访问权限启动一个或多个客户服务,例如安排或接收语音电话、访问网络、访问媒体文件。另选地,所述第一组访问权限不能用于客户服务。在本发明的第四个方面,公开了一种通过网络修改设备操作系统的方法。在一个实施例中,所述方法包括建立认证的数据会话,所述认证的数据会话具有第一组访问权限;通过所述认证的数据会话接收更新请求,以及作为响应产生适当的更新数据包;以及通过所述认证的数据会话传输一个或多个更新数据包。所述一个或多个更新数据包被配置为利用访问控制客户端进行操作,所述访问控制客户端具有第二组访问权限。在一个变型中,所述网络是无线网络,并且所述认证的数据会话包括所述无线网络和所述设备之间的相互验证。在第二个变型中,所述第一组访问权限基本上限制于交换更新数据包。另选地,在其它的变型中,所述第二组访问权限启动一个或多个用户会话。作为另一种可选方案,所述第一组访问权限是所述第二组访问权限的子集。另选地,所述第二组访问权限是基于一个或多个用户选择进行选择的。另外,所述更新请求可以包括一个或多个用户选择。一个或多个更新选项被呈现给所述设备。在本发明的另一个方面,公开了一种网络装置。在一个实施例中,所述无线装置包括一个或多个无线接口,适于连接到一个或多个无线网络;安全单元,适于存储多个用户访问数据单元,每个用户访问数据单元与相应的网络相关联;处理器;以及存储设备,与所述处理器进行数据通信,所述存储设备包括计算机可执行指令。在一个变型中,所述计算机可执行指令被配置为,当由所述处理器执行时建立限制于第一组访问权限的认证的数据会话;通过所述认证的数据会话,为访问控制客户端请求更新;以及通过更新的访问控制客户端建立用户会话,其中所述用户会话具有第二组访问权限。在第二个变型中,所述无线设备是移动设备,所述访问控制客户端是电子用户身份模块(eSIM)。
在本发明的又一个方面,公开了一种网络装置。在一个实施例中,所述网络装置包括一个或多个接口,适于与一个或多个无线设备通信;处理器;以及存储设备,其与所述处理器进行数据通信,所述存储设备包括计算机可执行指令。在一个变型中,所述计算机可执行指令被配置为,当由所述处理器执行时建立与一个或多个无线设备中的一个的认证的数据会话,所述认证的数据会话具有第一组访问权限;从所述一个无线设备接收更新请求,以及作为响应产生适当的更新数据包;传输所产生的更新数据包。所产生的更新数据包被配置为利用访问控制客户端进行操作,所述访问控制客户端具有第二组访问权限。在本发明的又一方面,公开了一种计算机可读装置。在一个实施例中,所述装置包括被配置为存储至少一个计算机程序的存储介质。在一个变型中,所述程序包括指令,当所述指令被执行时建立具有第一组访问权限的认证的数据会话;接收一个或多个更新数据包;以及将所述一个或多个更新数据包组装到操作系统组件中。参考下面给出的相关的附图以及对示例性实施例的详细说明,本领域的普通技术人员能够立即认识到本发明的其它特征以及优点。
图1是示出使用用户身份模块(SIM)的现有技术的认证和密钥协商(AKA)程序的逻辑梯图。图2是详细说明根据本发明的各个方面编程移动设备eSIM的一个示例性实施例的逻辑流程图。图3是详细说明根据本发明的各个方面编程移动设备操作系统的一个示例性实施例的逻辑流程图。图4是说明根据本发明编程移动设备的组件的总体方法的一个实施例的逻辑流程图。图5是用于实施本发明的方法的示例性装置的框图。图6是根据一些实施例的无线装置的功能框图。图7是根据一些实施例的通过网络修改设备操作系统的装置的功能框图。全部图片属于2010年苹果公司的版权。保留所有权利。
具体实施例方式现在参照附图,其中同样的附图标记在文中指代同样的部件。概述在一方面,本发明提供了通过网络向设备传输访问控制客户端的方法和装置。在一个示例性实施例中,在配置蜂窝设备后,蜂窝网络能够安全地将eSIM传输到蜂窝设备。 特别地,所述蜂窝设备预先编程为具有有限的连接到所述网络的能力。所述蜂窝设备具有一些有限的访问能力以连接到更新入口,但是为了进行语音呼叫、接收和发送用户数据等必须接收到全功能(fully featured)的eSIM。例如,用户购买具有简单的访问模块的移动设备(例如,蜂窝电话)。所述访问模块被配置为连接到所述蜂窝网络,认证所述设备,以及使所述用户能够购买或获取全功能的eSIM。所述蜂窝网络安全地传输由引导OS组装和激活的eSIM。
如在这里更详细地描述的,本发明的一个示例性实施例公开了一种访问模块系统,所述访问模块系统能够方便与访问控制客户端(包括例如,所述操作系统、以及访问控制客户端组件)相关的组件的传输。在接收到被适当地传输的已被正确地签名和/或加密的数据包之后,所述操作系统能够组装以及加载所述组件。在本发明的多种具体示例中,所述数据包能够被用于传输操作系统、访问控制客户端、用户帐户数据等。一方面,本发明还考虑了用于管理无线设备的整个生命周期的基于软件的更新。 相应地,分配给现有方法的灵活性包括替代无线设备的任何软件单元(甚至包括访问模块和/或操作系统组件)的能力。例如,蜂窝设备能够接收全新的操作系统以更新其认证算法。所公开的发明的各种其它有用的应用包括进化安全能力、更新修正控制、新的特征和服务的后期配置供应。对示例性实施例的详细说明以下将详细地描述本发明的示例性实施例和方面。尽管这些实施例和方面主要在 GSM、GPRS/EDGE或UMTS蜂窝网络的用户身份模块(SIM)环境下讨论,但本领域技术人员将认识到本发明不限于此。事实上,本发明的各个方面在可受益于访问控制实体或客户端的安全修改、存储和执行的任何无线网络中(无论蜂窝或另外的)都是有用的。还应当认识到,尽管在这里使用术语“用户身份模块”(例如,eSIM),但该术语并不必须意味着或要求以下之一 (i)被用户本身使用(即,本发明可被用户或非用户实践); ( )单一个人的身份(即,本发明可代表个体的群体(例如家庭或者例如企业的无形或虚拟机构)来实践);或(iii)任何有形的“模块”设备或硬件。现有技术的用户身份模块(SIM)操作在现有技术UMTS蜂窝网络的环境下,用户设备(UE)包括移动设备和通用用户身份模块(USIM)。该USIM是逻辑软件实体,其通过实体的通用集成电路卡(UICC)来存储和执行。各种信息存储在USIM中,例如用户信息,以及用来与网络运营方认证以获得无线网络服务的密钥和算法。一般地,在用户分配之前UICC通过USIM编程;该预编程或“个人化”是特定于每个网络运营方的。例如,在配置以前,USIM与国际移动用户标识(IMSI),特有的集成电路卡识别码(ICC-ID)和特定的认证密钥(K)关联。网络运营方在该网络的认证中心(AuC)中包含的登记簿中存储该关联信息。在个人化后该UICC就可以分配给用户。现在参照图1,详细地说明使用上述现有技术USIM的一个示例性认证和密钥协商 (AKA)程序100。在普通的认证程序中,UE102从USIM104获取国际移动用户识别码(IMSI)。 UE将该识别码传给网络运营方或所访问的核心网络的服务网络(SN) 106。SN转发该认证请求到本地网络(HN)的AuC。HN将接收到的IMSI与AuC的登记簿进行比较并且获得合适的 K。HN产生随机数(RAND)并且利用K使用一算法对其签名以创建期望响应(XRES)。HN使用各种算法进一步产生用于密码和完整性保护的密码密钥(CK)和完整性密钥(IK)以及认证令牌(AUTN)。HN向SN发送包括RAND、XRES, CK和AUTN的认证向量。SN存储该认证向量,仅仅供一次认证处理之用。SN将RAND和AUTN传递给UE。一旦UE102接收到RAND和AUTN,USIM104就验证接收到的AUTN是否是有效的。 如果是有效的话,UE就使用接收到的RAND、利用存储的K以及与产生XRES的算法的相同的算法来计算其自身的响应(RES)。UE向SN传回RES。SN106比较XRES和接收到的RES,并且如果它们匹配,SN则授权UE使用运营方的无线网络服务。示例操作在本发明的示例性实施例的环境下,不是如在现有技术中那样使用实体的UICC, UICC被模拟为虚拟的或电子的实体,例如软件应用,此后将其称为电子通用集成电路卡 (eUICC),其被包括在UE中的安全单元(例如,安全微处理器或存储设备)内。eUICC能够存储和管理多个USIM单元,此后称之为电子用户身份模块(eSIM)。每个eSIM包括典型USIM 的相同数据。eUICC基于eSIM的ICC-ID选择eSIM。一旦eUICC选择了期望的eSIM,UE可以启动认证程序来从eSIM的对应的网络运营方获得无线网络服务。图2是根据本发明eSIM数据的安全传输的一个示例性实施例200的处理图。针对本地运营商,用户从认证的零售实体购买无线设备,所述无线设备的eUICC预先加载有访问模块。参见先前已通过引用包含于此的共有且共同待决的于2011年4月5日提交的序列号为 13/080,521 标题为 “METHODS AND APPARATUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS”的美国专利申请,其描述了建立可靠通信的示例性方法和装置。访问模块的有限功能被配置为利用本地运营商网络的预定数据入口建立数据连接,从更新入口下载软件数据包,以及组装接收到的数据包。这些数据包可以包括操作系统组件、访问控制客户端、用户账户数据等的部分或全部。在下面的例子中,用户通过电子方式下载新的eSIM到他们的设备中,因而避免了对任何实体组件拥有的需求。所述eSIM认证用户,之后所述网络认证用户访问;网络访问允许终端用户的操作,例如建立/接收蜂窝呼叫、浏览因特网、访问网络上的音频视频内容等。在所述方法200的步骤202,所述无线设备在所述移动设备的eUICC安全单元和本地运营商更新入口之间建立认证的数据会话。会话认证基于eUICC模块标识数据。所述 eUICC模块标识数据参照特定于eUICC的先前存在的密钥,但是当获得了本公开内容时本领域技术人员知道的多种其它方法也可以被使用。如在这里更详细地描述的,所述eUICC 包括访问模块,在一个变型中,所述访问模块被“烧录”或硬编码有公钥/私钥,并被认证权力方(例如委托人)鉴认。所述公钥和签注证书被提供给所述本地运营商更新入口。所述本地运营商更新入口验证所述签注证书(例如,通过发出证书的认证权力方验证等)。如果签注证书是有效的,则所述本地运营商更新入口向所述移动设备发送供应商证书和会话密钥,其中所述供应商证书和会话密钥用所述移动设备的公钥进一步加密。作为响应,所述 eUICC用供应商的公钥解密所述供应商证书,并验证其真实性。应该注意,通过供应商的公共签名密钥成功解密供应商证书向eUICC提供了所述签名不是伪造的证据。所述移动设备使用其私钥解密所述供应商证书和会话密钥。如果所述供应商证书是有效的,则所述移动设备接受所述会话密钥。成功地完成前述交换确保移动设备和本地运营商更新入口都是合法的,以及现在具有共享的会话密钥。所述共享的会话密钥用于在所述移动设备和所述本地运营商更新入口之间执行安全的会话。参考回图2,在步骤204,一个或多个更新选项呈现给所述用户(或设备管理实体)。多种选项包括例如可用的数据方案的列表、可用的网络运营商选项等。一旦在步骤 206接收到用户选择,所述本地运营商更新入口准备一个或多个数据包。在步骤208,所述数据包被发送到所述移动设备,每一个数据包由所述会话密钥加密。所述一个或多个数据包可能例如包括eSIM.其它普通的数据包可能包括SIM OS 或“普通OS”所需要的附加特征或组件。尤其是,当所述访问模块足够建立和本地运营商更新入口的安全会话时,它不提供其它的SIM操作需要的元件。例如,所述普通OS提供例如文件输入和输出、文件管理、存储器分配等的服务。所述普通OS与所述eUICC软件结合,模拟传统上由现有技术UICC用以支持SIM操作的服务。在步骤210,在接收到安全传输的数据包后,所述引导OS能加载和组装数据包。一旦组装,所述引导OS执行所述普通0S,以及所述普通OS加载并执行合适的eSIM。应该注意,普通OS可能已经通过数据包传输,或者驻留在所述eUICC中。另外,也应该注意,不同的eSIM可能还需要不同的普通OS服务。所述引导OS应该确保所述eSIM和普通OS是兼容的。兼容性可以通过版本标识、信任的实体证书等验证。例如,所述引导OS可以验证可接受eSIM与现有的普通OS —起使用,以及eSIM已经由信任的实体签名。根据要求(步骤212),例如通过所述设备提示用户新的账户信息(例如,用户姓名、账户号码、密码、和/或PIN),附加的服务可以被激活。之后,更新的移动设备激活全功能的eSIM以进行语音呼叫、接收和发送用户数据等。可选地,在非蜂窝实现方式中,例如访问点或网关访问(例如,在WLAN中)、宽带访问等功能可以通过前述的方法启用。生命周期管理描述用于管理无线设备的整个生命周期的本发明的示例性实施例。现有的编程方法支持安装安全更新,安装OS补丁,和/或全部替换OS的一个或多个方面。在一个示例性实施例中,eUICC还包括引导OS和普通OS。简单的引导OS加载并执行普通0S,以及其相关连的eSIM和补丁。操作系统需要支持SIM操作,但是并非直接与用户访问控制本身相关。特别地,普通OS提供了普遍的服务,例如文件输入与输出、文件管理、存储器分配等。在极端的情形下,蜂窝设备或者其它设备可以接收并组装全新的引导OS 以更新其认证算法。图3示出了根据本发明的实施例替换(或更新)操作系统的示例性处理300。需要进行引导OS更新的普通原因包括新发现的安全漏洞、认证算法的改进、新的能力等。在一些例子中,为了鼓励及时的安全更新,运营商可以选择停用在合理的时间内还没有进行更新的移动设备。此外,所述运营商可以采取主动措施来促进用户进行更新(比如,以不断增加的频率进行重复提醒),或者甚至配置所述设备使其接到通知之后就必须完成更新以获得后续服务访问。强制更新(即,这些是在没有用户同意的情况下执行的)在本发明的某些实施例中也被考虑。替换或更新所述操作系统的其它原因可能包括例如客户驱动的考虑,例如转换到新的蜂窝网络服务、更新产品性能、购买新的蜂窝合约等。在步骤302,移动设备通过预先存在的专用于eUICC的密钥,在安全单元与所述运营商的更新入口之间建立认证的数据会话。在某些情况下,对引导OS的改变也将需要更新普通OS的相应部分,以例如启用新的安全功能等。相应地,在所示出的实施例的步骤304,所述移动设备可以(i)仅更新引导 OS部分;(ii)更新普通OS部分;或者(iii)更新引导OS和普通OS。例如,所述移动设备可通过更新其引导OS来更新其支持的运营商列表。类似地,所述移动设备可通过普通OS 更新来更新其内部的文件结构,以支持更大的eSIM文件结构。更进一步,所述移动设备可被重新编程以支持新的运营商,这还包括文件结构的改变(更新引导OS和普通OS)。如果引导OS更新了,则本地运营商更新入口存储所述移动设备的引导OS简档配置(步骤306)。所述引导OS简档包括但不仅限于网络认证配置、eSIM管理等。所存储的 OS简档可在之后被用来配置普通OS的更新数据包(普通OS更新对于所述移动设备的配置可以是特定的)。在步骤308,包括引导OS的更新数据包之后被下载到所述移动设备上并被组装到新的引导OS中。所述eUICC中现有的引导OS在步骤310被新的引导OS替换。如果引导OS不需要对现有普通OS做任何相应的更改,那么所述设备就可以使用新的引导OS进行操作。另一方面,如果引导OS更新还需要更新全功能普通OS中的至少一部分,则普通OS更新将至少部分地基于步骤306存储的更新的OS简档来进行。因此,普通OS可根据步骤312下载。由于所述移动设备、eUICC或者本地运营商网络的具体实现要求,普通OS数据包可对应于之前在步骤306存储的OS简档进行定制(根据步骤314)。全功能普通OS被下载到所述移动设备上并组装成新的普通OS。在某些情况下,多个普通OS可能被存储在所述移动设备中,以便例如支持多个 eSIM等。引导OS将控制eSIM的执行;并且这可以包括选择合适的普通OS。在某些实施例中,普通OS和/或其各种组件的执行可能取决于兼容性(例如,引导OS与普通0S,普通OS 组件与普通OS组件等)。方法现在参照图4,示出了用于通过蜂窝网络传输电子标识组件的总体方法400的一个实施例。带有预先加载的有限功能的访问模块的移动设备例如通过销售、宣传、作为认购计划的一部分等被分发给终端用户。所述访问模块的有限功能被配置为利用本地运营商网络建立数据连接、从所述运营商网络下载软件数据包以及组装所接收的数据包。在步骤402,所述移动设备建立到一个或多个可接受的运营商网络上的更新入口的连接。所述更新入口可以是,例如,运营商的数据入口、第三方软件供应商、移动设备生产商等。各种类型的可以提供电子标识组件的网络实体在以下专利申请中描述 2011 年 4 月 25 日提交的序列号是 13/093,722、标题是"APPARATUS AND METHODS FOR STORING ELECTRONIC SUBSCRIBER IDENTITY MODULES,,美国专利申请,2011 年 4 月 27 日提交的序列号为 13/095,716、标题为 “SYSTEM FOR DISTRIBUTION OF UNIQUE SUBSCRIBER IDENTITY MODULES”的美国专利申请,2011年4月26日提交的序列号是61/479,319、标题是“ELECTRONIC ACCESS CLIENT DISTRIBUTION APPARATUS AND METHODS”的美国临时专利申请,以及2011年5月6日提交的序列号是61/483,582、标题是“METHODS AND APPARATUS FOR PROVIDING MANAGEMENT CAPABILITIES FOR ACCESS CONTROL CLIENTS” 的美国临时专利申请,前述每一个专利申请的全部内容通过引用包含于此。例如eUICC装置或者eSIM库是以与移动设备建立安全连接以交换或修改现有的eSIM的网络结构。在一些实施例中,预先加载有限功能的访问模块可被配置为扫描多个优选的运营商。如果多个运营商是可用的,则所述设备确定一个或多个运营商的可用性,并从可用的运营商列表中进行选择。在一个实施例中,运营商列表额外地对优选的运营商优先考虑;优选的运营商由于例如业务考量、用户偏好等,相对于其它的运营商是优先的。在一些实施例中,运营商列表通过图形用户界面(⑶I)呈现给用户。在一些变型中,运营商与移动设备耦合到可信任的服务管理方(TSM)入口。所述TSM是被本地运营商认证的实体,用于给所述移动设备传输更新数据包。在一个示例性实施例中,在所述设备具有正常运行的访问控制客户端之前,步骤 402需要认证的数据会话。具体而言,步骤402在设备激活有效的eSIM之前执行。现在参考安全传输方案的一个实施例,其在2011年4月5日提交的序列号为13/080,521的共同拥有、共同提交的标题为 “METHODS AND APPARATUS FOR STORAGE AND EXECUTION OF ACCESS CONTROL CLIENTS”的美国专利申请中描述,上述专利申请之前以包含在本文中。本领域技术人员将认识到以下方案可以由其它相似的方案代替。因此,在示例性实施例中,移动设备硬编码有加密公钥/私钥对(例如Rivest、 Shamir和Adleman (RSA)算法),所述加密公钥/私钥对被存储在例如eUICC的软件实体的被物理保护的安全单元中。另外,所述eUICC的可靠性和密钥的保密性被可靠实体进一步验证,该可靠实体对于eUICC密钥对发出“签注”证书。可靠实体的例子可以是例如设备生厂商、网络运营方等。简单地说,公钥/私钥对包括保密的私钥以及公开的公钥。使用公钥加密的信息只能使用适当的私钥来解密。公钥/私钥方案被认为是“非对称的”,因为用于加密和解密的密钥是不同的,因此加密器和解密器不共用相同的密钥。相比之下,对称密钥方案使用同一个密钥(或通过简单变换的密钥)进行加密和解密。RivestJhamir和Adleman (RSA)算法是相关领域中常用的一种公钥/私钥对加密方法,但是应认识到,本发明并不限于RSA算法,实际上也不限制于非对称技术。由于签注密钥对是非对称的,因此公钥可以发布出去而不会损害私钥的完整性。 相应的,签注密钥和证书可以用来保护和验证之前未知各方(例如移动设备和本地运营商更新入口)之间的通信。成功完成前述交换(例如移动设备与本地运营商更新入口之间的相互验证)确保了移动设备与本地运营商更新入口都是合法的,并且目前共享同一个会话密钥。共享的会话密钥用来在移动设备与本地运营商更新入口之间进行安全会话。返回参考图4,在步骤404,所述移动设备要求或者被指示下载一个或多个组件。 在一个实施例中,多个组件可被预先加载到所述移动设备中,以最小化所需的下载量。例如,在一个示例性实施例中,常用的(包括在不同的完整操作系统和eSIM中通用的那些组件),以及大的部分在制造期间被预先加载到移动设备中;预先加载的部分不需要下载,并且可以减小数据包的大小。因此,所述移动设备不必下载已被预先加载的组件。在一个具体例子中,更新入口分析更新请求(例如eSIM下载、操作系统下载,用户账户数据下载等)、用户账户信息、相关的计划和服务以及标识数据,并且作为响应生成合适的更新数据包。在一些变型中,在生成更新数据包之前,更新请求要被批准和/或验证。在步骤406,准备更新数据包。在一个实施例中,为了方便传输,更新被分成多个数据包。在步骤408,更新数据包通过无线被安全地传输到目标。这些数据包可包括操作系统组件、访问控制客户端、用户账户数据等的全部或部分。在一个示例性实施例中,所述移动设备下载和/或更新访问控制客户端。在一个变型中,所述访问控制客户端是eSIM。各种类型的eSIM被配置成模拟SIM(用户身份模块),USIM(通用用户身份模块),RUIM(可移动的用户身份模块)等。在一些实施例中,所述访问控制客户端可在传输时例如通过延迟方案确定,该延期方案在共同拥有共同待决的、于2009年1月13日提交的序列号是12/353, 227、标题是“POSTPONED CARRIER CONFIGURATION”的美国专利申请中描述,该专利申请的全部内容之前已通过引用包含于此。在其它实施例中,移动设备下载和/或更新操作系统(OS)或者OS组件。例如, 该操作系统组件可包括公钥或私钥、新的加密算法、用于安全访问的更新程序、新的设备证书、一个或多个其它信任的供应商证书等。例如,应认识到,验证通信方身份并且授予与验证的身份相称的访问等级的访问模块可以在验证方法和/或可授予的访问等级方面做出任意数目的修改。在另外的变型中,所述操作系统组件被配置成支持访问控制操作,但是并不直接与访问控制相关。例如,普通OS服务包括文件输入与输出、文件管理、存储器分配等。
在步骤408,在接收并认证数据包之后,所述移动设备组装并更新组件。此后,所述移动设备可以使用新组装/更新的访问控制客户端建立用户会话,其中用户会话能够使用运营方的无线网络服务。例如,更新的移动设备可以激活更新的eSIM以进行语音呼叫、接收和发送用户数据等。示例性的移动装置现在参照图5,示出了用来实现本发明的方法的示例性的装置500。图5的示例性UE装置是带有处理器子系统502的无线设备,所述处理子系统例如数字信号处理器、微处理器、现场可编程门阵列或者安装在一个或多个基板上的多个处理组件。所述处理器子系统还可以包括内部高速缓冲存储器。所述处理器子系统与存储器子系统504相连接,所述存储器子系统包括存储器,所述存储器例如可以包括SRAM、flash和 SDRAM组件。所述存储器子系统可以实现一个或多个DMA类型的硬件以便于数据访问,这是本技术领域中公知的。所述存储器子系统包括可由处理器子系统执行的计算机可执行指令。在本发明的一个示例性实施例中,所述设备可以包括一个或多个无线接口(506), 所述无线接口适于连接到一个或多个无线网络。所述多个无线接口可以通过实现合适的天线和调制解调器子系统来支持不同的无线电技术,例如GSM、CDMA、UMTS、LTE/LTE-A、WiMAX、 WLAN、Bluetooth 等。用户接口子系统508包括任意数量的众所周知的1/0,包括但不限于键盘、触摸屏(例如多点触控接口)、LCD显示器、背光、扬声器和/或麦克风。然而,认识到,在某些应用中,这些组件中的一个或多个可以被去除。例如,PCMCIA卡型客户端实施例可以没有用户接口(因为它们可以背负在与其物理和/或电耦合的主设备的用户接口上)。在说明的实施例中,所述设备包括安全单元510,所述安全单元包括和操作eUICC 应用。所述eUICC能够存储和访问多个访问控制客户端,其中所述访问控制客户端被配置为向相应的网络认证所述用户。在所述处理器子系统请求时,所述存储器子系统可以访问所述安全单元。所述安全单元还可以包括所谓的“安全微处理器”或在安全领域中众所周知类型的SM。而且,所述eUICC的多个实现方式都包括一个访问模块,该模块被配置为在所述移动设备和入口之间建立安全连接。在一些实施例中,不用利用现有的eSIM,甚至在用户设备被配置之后,所述eUICC能够建立到入口的安全连接。在一个变型中,所述设备具有与对称密钥相区分的不同的非对称的签注密钥对,所述对称密钥与任意一个单独的eSIM(以及发出eSIM的ΜΝ0)相关。返回参考图5,在一个示例性实施例中,访问模块能够接收和存储与一个或多个访问控制客户端一起使用的组件。在一个示例性实施例中,安全单元具有相关的签注密钥。所述签注密钥用于保护和验证移动设备和外部更新入口之间的通信。在一个这样的变型中, 所述签注密钥是一个非对称公钥/私钥对的私钥。对应的公钥可以自由地发布而不会危害私钥的完整性。在一个这样的变型中,所述设备被分配公钥/私钥。在另一个这样的变型中,所述设备内部产生公钥/私钥对。在另选的变型中,签注密钥基于对称密钥算法。所述签注密钥必须小心分配以确保所述签注密钥的完整性。根据某些实施例,图6示出了根据本发明的上述原理配置的无线装置600的功能框图。该装置600的功能模块可以由实现本发明原理的硬件、软件或硬件和软件的结合来实现。本领域技术人员可以理解的是图6中所描述的功能模块可以组合起来或者划分成于模块,从而实现上述发明的原理。因此,本文的描述可以支持对本文描述的功能模块的任何可能的组合、或者划分、或者更进一步的限定。如图6所示,所述无线装置600包括一个或多个无线接口 610,安全单元620和处理器630。所述一个或多个无线接口 610适于连接到一个或多个无线网络。所述安全单元 620适于存储多个用户访问控制客户端,每个用户访问控制客户端与相应的网络相关联。所述处理器630包括第一建立单元631、请求单元632和一个第二建立单元633。所述第一建立单元631被配置为建立限于第一组访问权限的认证的数据会话。所述请求单元632被配置为通过所述认证的数据会话请求访问控制客户端的更新。所述第二建立单元633被配置为通过更新的访问控制客户端建立用户会话,其中所述用户会话具有第二组访问权限。优选地,所述无线装置600包括移动设备,所述访问控制客户端包括电子用户身份模块(eSIM)。根据某些实施例,图7示出了根据本发明的上述原理配置的通过网络修改设备操作系统的装置700的功能框图。该装置700的功能模块可以由实现本发明原理的硬件、软件或硬件和软件的结合来实现。本领域技术人员可以理解的是图7中所描述的功能模块可以组合起来或者划分成子模块,从而实现上述发明的原理。因此,本文的描述可以支持对本文描述的功能模块的任何可能的组合、或者划分、或者更进一步的限定如图7所示,所述用于通过网络修改设备操作系统的装置700包括网络接口 710 和处理器720。所述网络接口 710适于连接到所述网络。所述处理器720包括建立单元 721、接收单元722和传送单元723。所述建立单元721被配置为建立具有第一组访问权限的认证的数据会话。所述接收单元722被配置为通过所述认证的数据会话接收更新请求, 并且作为响应生成合适的更新数据包。所述传送单元723被配置为通过所述认证的数据会话传送一个或多个更新数据包。所述一个或多个更新数据包被配置用于通过访问控制客户端进行操作,其中所述访问控制客户端有第二组访问权限。优选地,所述网络包括无线网络,并且所述认证的数据会话包括所述无线网络和所述设备之间的相互验证。优选地,所述第一组访问权限基本上局限于交换更新数据包。优选地,所述第二组访问权限允许一个或多个用户会话。另外,示例性实施例的不同实现方式包括引导操作系统,所述引导操作系统被进一步配置为选择至少一个访问控制客户端进行操作。在一个变型中,所述引导操作系统可以在执行前验证访问控制客户端的完整性。而且,在一个实施例中,所述引导OS被配置为选择性地存储、选择和执行多个访问控制客户端中的至少一个。特别地,本发明的各种实现方式适于存储多个eSIM,以及选择性地启用eSIM以通过当前的网络运营商进行操作。尽管前面说明的是通过蜂窝网络传输电子标识组件到蜂窝设备的方法和装置,但本领域技术人员很容易想到,可以类似地替换其它配送方案。例如,在其它的变型中,电子标识组件可通过局域网或个人局域网配送的。应认识到,虽然本发明的某些方面是依据方法步骤的特定序列来描述的,但是这些描述仅仅是本发明范围更大的方法的说明性描述,并且其可以根据特定的应用需要而修改。在某种情况下,某些步骤可能变成不必要的或可选的。另外,某些步骤或功能可以加入到已公开的实施例中,或者两个或更多个步骤的进行次序可以被改变。所有这类变化都被认为是在本文所公开和要求保护的发明的范围之内。虽然以上详细说明已经示出、描述并指出了应用于各个实施例的本发明的创新之处,但可以理解的是,本领域技术人员能够在不脱离本发明的情况下,对所说明的设备或处理的形式和细节作出各种省略、替换和改变。以上描述是当前设想的实现本发明的最佳方式。这样的描述决不意味着限制,而应该作为对本发明的一般原理的说明。本发明的范围应当参照权利要求来确定。
权利要求
1.一种通过网络接收访问控制客户端的方法,所述方法包括以下步骤建立具有第一组访问权限的认证的数据会话,所述第一组访问权限允许访问与访问控制客户端相关的一个或多个数据包;下载与所述访问控制客户端相关的所述一个或多个数据包,所述访问控制客户端具有第二组访问权限;至少部分地基于所下载的一个或多个数据包组装所述访问控制客户端;以及用所组装的访问控制客户端建立用户会话。
2.如权利要求1所述的方法,其中所述访问控制客户端包括一个或多个电子用户身份模块(eSIM); 所述下载由安全单元执行,所述安全单元包括电子通用集成电路卡(eUICC),以及所述一个或多个eSIM中的每一个eSIM与国际移动用户识别码相关联;所述建立的步骤包括至少部分地受益于一个或多个eSIM的认证和密钥协议(AKA);以及所述用户会话使用蜂窝网络建立。
3.如权利要求1所述的方法,其中所述认证的数据会话包括所述网络和接收设备之间的相互验证,并且其中所述相互验证包括加密的秘钥协议。
4.如权利要求3所述的方法,其中所述加密的秘钥协议基于一个或多个非对称Rivest Shamir 和 Adelman(RSA)公钥和私钥。
5.如权利要求1所述的方法,其中所述第二组访问权限允许一个或多个客户服务。
6.如权利要求5所述的方法,其中所述网络包括无线网络,并且所述一个或多个客户服务包括安排或接收语音呼叫。
7.如权利要求5所述的方法,其中所述一个或多个客户服务包括访问网络。
8.如权利要求5所述的方法,其中所述一个或多个客户服务包括访问媒体文件。
9.如权利要求5所述的方法,其中所述第一组访问权限不能用于客户服务。
10.一种通过网络改变设备操作系统的方法,所述方法包括 建立具有第一组访问权限的认证的数据会话;通过所述认证的数据会话接收更新请求,并且作为响应产生适当的更新数据包;以及通过所述认证的数据会话传送一个或多个更新数据包;其中所述一个或多个更新数据包被配置用于通过访问控制客户端进行操作,所述访问控制客户端具有第二组访问权限。
11.如权要求10所述的方法,其中所述网络包括无线网络,并且所述认证的数据会话包括所述无线网络和所述设备之间的相互验证。
12.如权利要求10所述的方法,其中所述第一组访问权限基本上局限于交换更新数据包。
13.如权利要求10所述的方法,其中所述第二组访问权限允许一个或多个用户会话。
14.如权利要求10所述的方法,其中所述第一组访问权限是所述第二组访问权限的子集。
15.如权利要求10所述的方法,其中所述第二组访问权限基于一个或多个用户选择来进行选择。
16.如权利要求15所述的方法,其中所述更新请求包括所述一个或多个用户选择。
17.如权利要求10所述的方法,还包括向所述设备呈现一个或多个更新选项。
18.一种无线装置,包括一个或多个无线接口,所述一个或多个无线接口适于连接到一个或多个无线网络; 安全单元,其中所述安全单元适于存储多个用户访问控制客户端,每个用户控制客户端与相应的网络相关联; 处理器,被配置为建立受限于第一组访问权限的认证的数据会话;通过所述认证的数据会话,为访问控制客户端请求更新;以及通过更新的访问控制客户端建立用户会话,其中所述用户会话具有第二组访问权限。
19.如权利要求18所述的无线装置,其中所述无线装置包括移动设备,并且所述访问控制客户端包括电子用户身份模块(eSIM)。
20.一种通过网络接收访问控制客户端的装置,所述装置包括建立具有第一组访问权限的认证的数据会话的部件,所述第一组访问权限允许访问一个或多个与访问控制客户端相关的数据包;下载所述一个或多个与访问控制客户端相关的数据包的部件,所述访问控制客户端具有第二组访问权限;至少部分地基于所下载的一个或多个数据包组装所述访问控制客户端的部件;以及使用所组装的访问控制客户端建立用户会话的部件。
21.如权利要求20所述的装置,其中所述访问控制客户端包括一个或多个电子用户身份模块(eSIM); 所述下载由安全单元执行,所述安全单元包括电子通用集成电路卡(eUICC),所述一个或多个eSIM中的每一个与国际移动用户识别码(IMSI)相关联;所述建立包括至少部分地受益于所述一个或多个eSIM的认证和密钥协商(AKA);以及所述用户会话使用蜂窝网络建立。
22.如权利要求20所述的装置,其中所述认证的数据会话包括所述网络和接收设备之间的相互验证,其中所述相互验证包括加密密钥协议。
23.一种通过网络改变设备操作系统的装置,所述装置包括 网络接口,所述网络接口适于连接到所述网络;以及处理器,被配置为建立具有第一组访问权限的认证的数据会话;通过所述认证的数据会话接收更新请求,并且作为响应产生合适的更新数据包;以及通过所述认证的数据会话传送一个或多个更新数据包;其中所述一个或多个更新数据包被配置为通过访问控制客户端进行操作,所述访问控制客户端具有第二组访问权限。
24.如权利要求23所述的装置,其中所述网络包括无线网络,并且所述认证的数据会话包括所述无线网络和所述设备之间的相互验证。
25.如权利要求23所述的装置,其中所述第一组访问权限基本上局限于交换更新数据包。
26.如权利要求23所述的装置,其中所述第二组访问权限允许一个或多个用户会话。
27.一种通过网络改变设备操作系统的装置,所述装置包括 建立具有第一组访问权限的认证的数据会话的部件;通过所述认证的数据会话接收更新请求,并且作为响应产生合适的更新数据包的部件;以及通过所述认证的数据会话传送一个或多个更新数据包的部件; 其中一个或多个更新数据包被配置用于通过访问控制客户端进行操作,所述访问控制客户端具有第二组访问权限。
28.如权利要求27所述的装置,其中所述网络包括无线网络,并且所述认证的数据会话包括所述无线网络和所述设备之间的相互验证。
29.如权利要求27所述的装置,其中所述第一组访问权限基本上局限于交换更新数据包。
30.如权利要求27所述的装置,其中所述第二组访问权限允许一个或多个用户会话。
全文摘要
本发明涉及通过无线网络传输电子标识组件的方法和装置,公开了能够对无线装置的电子身份信息进行编程的方法和装置。在一个实施例中,先前购买或者配置的无线装置通过蜂窝网络激活。所述无线装置使用访问模块连接至所述蜂窝网络,以下载操作系统组件和/或访问控制客户端组件。所描述的方法和装置可以更新、添加和替换包括电子用户身份模块(eSIM)数据、OS组件在内的各种组件。本发明的一个示例性实现方式利用在所述设备和所述蜂窝网络之间的可靠密钥交换以维持安全性。
文档编号H04W8/24GK102572805SQ20111046217
公开日2012年7月11日 申请日期2011年10月28日 优先权日2010年10月28日
发明者A·G·马赛厄斯, B-H·胡昂, D·T·哈格蒂, J·冯豪克, K·迈克劳林, S·V·谢尔, 李立 申请人:苹果公司