用于管理安全元件内的数据的方法与装置的制造方法
【技术领域】
[0001]本发明整体涉及通信系统领域,并且更具体地,在一个示例性方面中,涉及在一个或多个移动设备的多个用户访问客户端之间促进共享数据。
【背景技术】
[0002]在大多数现有技术无线电设备通信系统中需要访问控制以用于安全通信。例如,一种简单的访问控制方案可包括:(i)验证通信方的身份;以及(ii)授予与被验证身份相称的访问水平。在示例性蜂窝系统(如通用移动电信系统(UMTS))的上下文中,访问控制受到访问控制客户端的管控,该访问控制客户端称为通用用户身份模块(USIM),该USIM在物理通用集成电路卡(UICC)(也称为“SM卡”)上执行。USM访问控制客户端认证UMTS蜂窝网络的用户。在成功认证之后,允许用户访问蜂窝网络。如下文中使用的,术语“访问控制客户端” 一般是指实现于硬件或软件或它们的组合内的适于控制第一设备对网络的访问的逻辑实体。访问控制客户端的常见实例包括上述USIM、CDMA用户身份模块(CSM)、IP多媒体服务身份模块(ISIM)、用户身份模块(SIM)、可移除用户身份模块(RUIM)等。
[0003]传统地,UICC为一个或多个USM(或更一般地,“SM”)访问控制客户端强加可信边界。利用SM制造并“硬编码”UICC,即一旦被编程,就不能对nCC重新编程。如果用户想要使用不同的SIM认证到蜂窝网络,则用户必须利用不同的SM卡物理地交换设备中的SM卡。响应于这些物理局限性,一些设备已经被设计为同时接收两个SM卡,该设备被称为双SM电话。然而,双SM电话未解决SM卡设备的根本物理局限性。例如,不能容易地将存储于一个SIM卡内的信息与存储于另一个SIM卡内的信息合并。现有的双SIM设备不能同时访问两个SM卡的内容。最后,访问SIM卡需要用户花费可察觉且非极少量的时间;在SM卡之间进行切换来转移信息是不可取的并且降低了用户体验,并且这种局限性呈现在传统和双SIM设备两者中。
[0004]因此,需要新的解决方案来提高访问多个访问控制客户端中的灵活性。理想地,此类解决方案应当允许在多个访问控制客户端之间共享公共用户数据以提高用户的体验。此夕卜,改进的方法与装置应当允许在多个访问控制客户端之间无缝切换以改善用户的访问和蜂窝服务的使用。
【发明内容】
[0005]本发明通过特别提供用于在一个或多个移动设备的多个用户访问客户端之间共享数据的改进的装置与方法来满足上述需求。
[0006]在本发明的一个方面中,公开了一种被配置为存储一个或多个访问控制客户端的安全元件,该一个或多个访问控制客户端中的每个访问控制客户端均包含数据。在一个实施例中,安全元件包括安全处理器;以及与安全处理器进行数据通信的安全存储设备。在一个示例性实施例中,存储设备包括计算机可执行指令,该计算机可执行指令被配置为当由安全处理器执行时:接收对非活动第一访问控制客户端的第一数据进行访问的请求;验证请求;访问非活动第一访问控制客户端的第一数据;以及返回第一数据。
[0007]在一个变型中,一个或多个访问控制客户端中的每个访问控制客户端包括计算机可执行指令,该计算机可执行指令被配置为当由安全处理器执行时:从网络实体接收对活动的第二访问控制客户端进行认证的请求;认证请求;以及当请求可信时,对网络实体作出响应。
[0008]在另一个变型中,访问数据的请求和网络发起的请求处于不同的权限级别。
[0009]在一些变型中,该请求识别请求者。例如,请求者可以是用户。又如,请求者可以是软件应用程序。在一种此类情况下,软件应用程序驻留在安全元件上。在其他实例中,请求者包括安全元件上的一个或多个访问控制客户端中的第二访问控制客户端上的软件进程。
[0010]在第二方面中,公开了一种用于处理安全元件内的数据的方法,该安全元件被配置为存储一个或多个访问控制客户端,每个访问控制客户端均包含数据。在一个实施例中,该方法包括:接收对第一数据进行访问的请求;验证请求;在多个访问控制客户端中搜索第一数据;以及当找到第一数据时,返回第一数据。
[0011]在一种此类变型中,验证请求包括识别请求者。在一种此类实例中,验证请求还包括确定与请求者相关联的权限。在另一个实例中,与该请求者相关联的所确定的权限是由管理实体预先确定的。
[0012]在其他变型中,访问第一数据包括访问多个联系人信息以识别单个联系人。
[0013]在其他变型中,访问第一数据包括访问一种或多种设备配置,该访问使得能够根据一种或多种配置中的至少一种配置来配置设备。
[0014]在第三方面中,公开了一种被配置为存储一个或多个访问控制客户端的安全元件,该一个或多个访问控制客户端中的每个访问控制客户端均包含数据。在一个实施例中,安全元件包括:用于接收对第一数据进行访问的请求的装置;用于验证请求的装置;用于在一个或多个访问控制客户端中搜索第一数据的装置;以及用于返回第一数据的装置。
[0015]在一个变型中,用于验证请求的装置包括用于验证由用户提供的个人识别码(PIN)或密码的装置。
[0016]在其他变型中,用于验证请求的装置包括用于确定软件应用程序的软件权限级别的装置。
[0017]在其他变型中,安全元件包括用于接收对访问控制客户端进行认证的网络请求的
目.ο
[0018]在第四方面中,公开了一种移动设备。在一个实施例中,移动设备包括:被配置为存储一个或多个访问控制客户端的安全元件,该一个或多个访问控制客户端中的每个访问控制客户端均包含数据;适于与通信网络进行通信的一个或多个无线通信电路;第一处理器;与第一处理器进行数据通信的存储设备,该存储设备包括计算机可执行指令,该计算机可执行指令被配置为当由第一处理器执行时:传输根据第一权限对第一访问控制客户端的第一数据进行访问的请求,该第一权限限于工具包可访问数据;该请求被配置为使得安全元件:验证请求;访问第一访问控制客户端的第一数据;以及向第一处理器返回第一数据。
[0019]在本发明的第五方面中,公开了一种用于访问用户设备的安全元件内的数据的方法。在一个实施例中,该方法包括:传输对存储在用户设备的安全元件上的第一数据进行访问的请求;响应于接收请求,安全元件验证该请求;当请求有效时,定位多个访问控制客户端中的一个访问控制客户端上的第一数据;以及从安全元件接收第一数据。
[0020]在本发明的第六方面中,公开了一种移动设备。在一个实施例中,移动设备包括:被配置为存储一个或多个访问控制客户端的安全元件,该一个或多个访问控制客户端中的每个访问控制客户端均包含数据;适于与通信网络进行通信的一个或多个无线通信电路;被配置为请求访问存储在安全元件上的一个或多个非活动访问控制客户端的第一非活动访问控制客户端的第一数据的逻辑部件;其中安全元件被配置为验证请求,并且当请求有效时,提供第一访问控制客户端的第一数据;以及被配置为从安全元件接收第一数据的逻部件。
[0021]本领域的普通技术人员参考如下给出的附图和示例性实施例的详细描述应当立即理解本发明的其他特征和优点。
【附图说明】
[0022]图1生动地示出了一种使用现有技术USM的示例性认证和密钥协商(AKA)过程。
[0023]图2是可用于实现本发明的方法的装置的示例性实施例的框图。
[0024]图3是根据本发明的各个方面的嵌入式通用集成电路卡(UICC)的示例性实施例的逻辑表示。
[0025]图4是根据本发明的各个方面的用于管理安全元件内的数据的一般化方法的一个实施例的逻辑流程图。
[0026]图5是根据本发明的用于合并多个电子用户身份模块(eSIM)的用户定义的联系人信息的方法的一个实施例的逻辑流程图。
[0027]图6是示出了根据本发明的用于在多个电子用户身份模块(eSIM)内搜索联系人信息的方法的一个实施例的逻辑流程图。
[0028]图7是示出了根据本发明的基于用户定义的条件性触发而用于促进在电子用户身份模块(eSIM)之间的自动切换的方法的一个实施例的逻辑流程图。
【具体实施方式】
[0029]现在参考附图,其中在所有附图中,类似的标号是指类似的部件。
[0030]本发明特别提供了用于在设备中跨多个用户访问控制客户端来管理和共享数据的方法与装置。在一个实施例中,嵌入式通用集成电路卡(enCC)、安全元件或包含逻辑实体(例如,高级用户身份工具包)的管理跨多个电子用户身份模块(eSM)存储的数据并提供对该数据进行访问的权限。例如,数据可由用户定义的数据(UDD)(例如,由用户配置的设置和数据,诸如电话簿联系人、eSIM使用偏好等)、运营商特有的数据、校准数据等构成。高级用户身份工具包提供一种辅助权限接口,使得能够更快地访问存储在eSIM内的数据,而不会影响eSIM安全的完整性。
[0031]本发明的其他方面使得能够进行协作访问控制客户端操作。例如,在一种示例性使用情况下,逻辑实体诸如上述高级用户身份工具被配置为监测设备的操作条件或其他条件,并将它们与已由用户(或者,例如网络运营商等)指定的eSIM使用偏好进行比较。高级用户身份工具包的示例性具体实施还可根据期望的偏好自动切换活动eSM。
[0032]现在对本发明的示例性实施例和方面进行详细描述。尽管主要在GSM、GPRS/EDGE或UMTS蜂窝网络的用户身份模块(SM)的上下文中论述