用于管理访问控制的基于策略的技术的制作方法
【专利说明】
【背景技术】
技术领域
[0001]所公开的实施例涉及用于促进无线系统中的认证和安全通信的技术。更具体地,所公开的实施例涉及用于管理逻辑实体的特权的技术,该逻辑实体执行与电子设备中的安全元件中的安全访问控制元件相关联的操作。
[0002]相关领域
[0003]许多无线通信系统使用访问控制技术来确保安全通信。例如,访问控制技术可涉及:验证通信方的身份;以及授予与所验证的身份相称的访问水平。在蜂窝电话系统(诸如通用移动通信系统或UMTS)中,访问控制通常由在物理通用集成电路卡(UICC)上执行的访问控制元件或客户端(诸如,通用用户身份模块或USIM)来管理。访问控制客户端通常认证蜂窝网络的用户。在成功认证之后,用户可被允许访问蜂窝网络。在随后的讨论中,需注意,“访问控制客户端”通常指的是控制从电子设备到网络的访问的逻辑实体(可在硬件和/或软件中实现)。除了 USM之外,访问控制客户端可包括:CDMA用户身份模块(CSIM)、IP多媒体服务身份模块(ISIM)、用户身份模块(SIM)、可移除用户身份模块(RUIM)等。
[0004]传统上,访问控制客户端执行认证和密钥协议(AKA)技术,其验证和解密应用数据和程序以确保安全初始化。具体地,访问控制客户端可:回答远程质疑以证明其对于网络运营商的身份,并且可发出质疑来验证网络的身份。
[0005]尽管传统访问控制客户端解决方案在可移除集成电路卡(ICC)(有时称为“SIM卡”)内实施,但最新研宄涉及在电子设备上执行的软件客户端内的虚拟化SIM操作。虚拟化SIM操作可减小设备尺寸,增加设备功能并提供更大的灵活性。注意“虚拟化SIM”可指电子 SIM(eSIM) ο
[0006]然而,虚拟化SM操作还为网络运营商和设备制造商呈现新的质疑。例如,传统SM卡由可信SM供应商制造并保证。这些传统SM卡执行已永久烧录到SM卡的单一安全版本的软件。一旦被烧录,SIM卡通常不能加以改变或篡改(在另外不损坏SIM卡的情况下)。
[0007]相反,便携式电子设备由范围广泛的设备制造商制造,并且可执行由多个并且可能未知的第三方软件供应商提供的软件。另外,便携式电子设备经常利用能解决现有缺陷并且同时引入新缺陷的软件来“打补丁”。由此,该软件会易于受到损坏、蓄意破坏和/或滥用。
[0008]此外,尽管物理SM卡极难复制,但软件可容易被拷贝、倍增等。因为每个SM代表约定对有限网络资源的访问量,所以对虚拟化SIM的非法使用会极大影响网络操作和用户体验(例如,此类非法使用可掠夺将另外对合法用户可用的资源网络,从而降级针对此类合法用户的服务速度、可用性等)。
[0009]作为结果,需要新的解决方案来为通常与传统物理SM类似的虚拟化SM(以及,更一般地,访问控制客户端)提供保护和其他属性。此外,需要改进的解决方案以用于存储和分发虚拟化访问控制客户端。理想地,这些解决方案可提供传统访问控制客户端操作的益处,其中虚拟操作提供增加的性能。
【发明内容】
[0010]所述实施例涉及电子设备。该电子设备包括具有访问控制元件的安全元件,该访问控制元件识别服务的用户并且促进安全通信,其中访问控制元件与一组操作相关联。此夕卜,安全元件包括处理器和存储器,该存储器存储程序模块和凭证管理模块,程序模块由该处理器执行,凭证管理模块为与一组操作相关联的逻辑实体指定具有一组特权的配置文件。此外,对于操作中的一些操作,逻辑实体中的一些逻辑实体具有不同特权。
[0011 ] 在一些实施例中,凭证管理模块包括程序模块指定该一组特权所使用的信息。
[0012]需注意,访问控制元件可包括电子用户身份模块(eSIM)。
[0013]此外,逻辑实体可位于电子设备的内部和/或外部。
[0014]此外,访问控制元件可包括用于为逻辑实体和第二逻辑实体中的至少一者指定第二组特权的信息。在与该一组特权相关联的安全级别和与第二组特权相关联的第二安全级别之间发生冲突的情况下,安全元件可将安全级别和第二安全级别进行比较并且可选择该一组特权和第二组特征中的与较强安全性相关联的一者。另选地,在与该一组特权相关联的安全级别和与第二组特权相关联的第二安全级别之间发生冲突的情况下,安全元件可选择该一组特权。
[0015]另外,该一组操作可包括:加载访问控制元件、启用访问控制元件、禁用访问控制元件、输出访问控制元件和/或删除访问控制元件。
[0016]在一些实施例中,凭证管理模块包括与该一组操作相关联的对称加密密钥,并且给定的加密密钥有助于提供与该一组操作相关联的特权。另选地或除此之外,凭证管理模块可包括证书和与该一组操作相关联的非对称加密密钥以有助于非对称加密,并且给定的加密密钥和给定的证书可有助于提供与该一组操作相关联的特权。
[0017]另一实施例提供了一种用于为逻辑实体指定一组特权的方法。在该方法期间,从第一逻辑实体和第二逻辑实体接收凭证。随后,基于凭证和凭证管理模块为第一逻辑实体和第二逻辑实体确定与该一组操作相关联的该一组特权。接下来,指定第一逻辑实体和第二逻辑实体的该一组特权的信息被提供给电子设备中的安全元件中的访问控制元件,其中访问控制元件识别服务的用户并有助于安全通信。此外,访问控制元件与该一组操作相关联,对于操作中的一些操作,第一逻辑实体和第二逻辑实体具有不同特权。
[0018]在一些实施例中,使用电子设备中的处理器执行程序模块。
【附图说明】
[0019]图1是示出了现有的认证和密钥协议(AKA)技术的图示。
[0020]图2是示出了根据本公开的实施例的用于分发访问控制元件的网络架构的框图。
[0021]图3是示出了根据本公开的实施例的用于将访问控制元件传输到电子设备的方法的流程图。
[0022]图4是示出了根据本公开的实施例的针对与访问控制元件相关联的一组操作为逻辑实体指定一组特权的方法的流程图。
[0023]图5是示出了根据本公开的实施例的适用于存储一个或多个访问控制元件的电子通用集成电路卡(eUICC)装置的框图。
[0024]图6是示出了根据本公开的实施例的适用于存储和使用一个或多个访问控制元件的电子设备的框图。
[0025]图7是示出了根据本公开的实施例的电子设备的框图。
【具体实施方式】
[0026]概沭
[0027]所公开的实施例提供了用于存储访问控制元件并将访问控制元件分发到电子设备诸如便携式电子设备(例如,“智能电话”等)的装置和技术。用于传输访问控制元件(例如,eSIM)的电子设备可通过确保仅借助可信目标电子设备执行传输来实施访问控制元件的唯一性和保护。在一个实施例中,公开了在硬件安全模块(HSM)中实现的eUICC装置。每个HSM都可存储大量eSIM以有助于其存储和分发,例如用于零售服务。eWCC装置可验证其对等enCC装置根据达成一致的且可信的协议进行操作。如果enCC装置两者达成协议,则当源eUICC装置传输其eSIM时,其将删除其eSIM或者以其他方式使其自身eSIM闲置。目标enCC装置可保留eSIM的唯一现行版本。
[0028]在另一实施例中,当将访问控制元件从电子设备移动到另一个电子设备时,接收或目标电子设备发出质疑或唯一标识符。发送电子设备可使用接收电子设备的公钥来加密访问控制元件并且可添加唯一标识符或质疑。此外,还可对加密的访问控制元件和唯一标识符或质疑的组合进行签名。在传输之后,发送电子设备可删除其访问控制元件。随后,接收电子设备可验证加密的访问控制元件和唯一标识符。如果这些有效,则接收电子设备可存储加密的访问控制元件和唯一标识符以用于未来使用。
[0029]在示例性配置中,仅在符合标准可信关系的电子设备之间传输访问控制元件。因为电子设备两者均根据达成一致的协议进行操作,所以访问控制元件可在其整个传输过程中保持唯一和受保护的。此外,通过确保访问控制元件仅针对目标电子设备加密并且从当前电子设备中删除,介入的恶意方不会破坏或击垮传输过程。
[0030]在下文更具体地描述了用于传输访问控制元件的各个其他实施例。
[0031]另外,描述了用于实施策略的系统和技术。该策略可用于将不同的访问控制元件相关操作与逻辑实体的不同组凭证和/或当执行操作时使用的不同安全协议相关联。以此方式,不同逻辑实体可具有与不同操作相关联的不同特权。
[0032]示例性实施例的详细描述
[0033]现在详细描述本公开的示例性实施例和各方面。尽管这些实施例和方面主要是在GSM、GPRS/EDGE或UMTS蜂窝网络的用户身份模块(SM)的上下文中讨论的,但是本公开中的通信技术可用于各种通信系统中,该各种通信系统可得益于存储访问控制元件和将访问控制元件(可包括电子SM或eSM)分发到电子设备,诸如基于以下标准的那些电子设备:电气和电子工程师协会(IEEE) 802.11标准、Bluetooth?(来自Kirkland, Washington的蓝牙特别兴趣小组)和/或另一种类型的无线接口,诸如近场通信标准或规范(来自Wakefield, Massachusetts的NFC论坛)。尽管在本讨论中使用了术语“用户身份模块”(例如eSIM),但是该术语并不必意味着或需要:用户本身使用(例如,本公开可由用户或非用户来实践);由单个个体使用(例如,本公开可代表一组个体诸如家庭或无形或虚拟实体诸如公司、组织或企业来实践);和/或任何有形“模块”设备或硬件。
[0034]现有用户身份模块(Sm)操作
[0035]在示例性UMTS蜂窝网络的上下文内,用户设备(UE)可包括便携式电子设备和通用用户身份模块(USM)。USIM可为由物理通用集成电路卡(UICC)存储和执行的逻辑软件实体。通常,各种信息诸如用户信息以及用于与网络运营商进行认证以便获得无线网络服务的密钥和技术存储在US頂上。在一个实施例中,US頂软件基于Java Card?编程语言。Java Card为已被修改以用于嵌入式“卡”类型设备(诸如UICC)的Java?编程语言的子集。其他具体实施可包括所谓的“本地”软件具体实施和/或专有的具体实施等。
[0036]通常,在用户分发之前利用USM对进行编程。该预编程或“个性化处理”可特定于每个网络运营商。例如,在部署之前,USIM可与国际移动用户身份(IMSI)、唯一集成电路卡标识符(ICC-1D)和专用认证密钥(K)相关联。网络运营商可将该关联存储在包含在网络认证中心(AuC)内的注册表中。在个性化处理之后,UICC可被分发到用户。
[0037]图1呈现了使用USM的现有认证和密钥协议(AKA)技术。在AKA技术的正常认证期间,UE可从US頂获取国际移动用户身份(MSI)。随后,UE可将頂SI传递给网络运营商或被访问的核心网的服务网络(SN)。SN可将认证请求转发给本地网络(HN)的AuC。此夕卜,HN可将所接收的MSI与AuC的注册表进行比较并且可获得适当的K。接下来,HN可生成随机数(RAND)并且可使用某种技术借助K对其进行签名以生成期望的响应(XRES)。此夕卜,HN可生成用于加密和完整性保护的加密密钥(CK)和完整性密钥(IK)以及使用各种技术的认证令牌(AUTN)。另外,HN可将可包括RAND、XRES、CK和AUTN的认证矢量发送到SN。SN可存储仅用于一次认证过程的认证矢量,并且SN可将RAND和AUTN传递到UE。
[0038]在UE接收到RAND和AUTN之后,USIM可验证所接收的AUTN是否有效。如果有效,则UE可使用所接收的RAND利用所存储的K和生成XRES的相同技术来计算其自身响应(RES)。此外,UE将RES传递回到SN。随后,SN可将XRES与所接收的RES进行比较,如果它们匹配,则SN可授权UE使用运营商的无线网络服务。
[0039]前述AKA技术可在SM卡的物理介质中实施。通常,SM卡通常具有至少两个不同且期望的属性:它们以加密方式为SIM数据(例如,账户信息、加密密钥等)提供安全存储;以及它们不会容易被克隆。
[0040]此外,SM卡可包括形成在通用集成电路卡(UICC)中的处理器和存储器。该SM卡可填充有环氧树脂以防止对HCC上的数据信号的外部探测。然而,如果需要,其他防篡改结构可包括在nCC中(例如,屏蔽层、掩膜层等)。另外,SM卡可具有至处理器的安全接口,并且处理器可具有至存储器的内部接口。需注意,UICC可从外部设备接收电力,这使得处理器能够执行来自存储器部件的代码。存储器部件自身可能是无法直接访问的(例如,内部文件系统可能对用户是隐藏的)并且可经由处理器进行访问。
[0041]在正常操作期间,处理器可接受有限数量的命令。这些命令中的每个命令可能仅仅在一定条件下是可访问的。此外,访问条件可受限于命令的执行以防止未授权的访问。此夕卜,访问条件可以或者可以不是分级的,例如用于一个水平的认证不能自动授予用于另一个水平的认证。例如,一组访问条件可包括:始终可访问、永不可访问、可访问第一账户、可访问第二主等。可仅仅在成功完成正确的安全协议之后授予有条件的访问。需注意,用于验证用户的身份的技术可包括:密码、个人识别号码(PIN)、共享秘密的质疑等。
[0042]有条件的访问、有限的命令集和/或受保护的存储器空间可确保SIM卡内存储的信息在外部访问中是受保护的。克隆SIM卡可意味着物理卡的构建和内部文件系统和数据的构建。这些特征的组合可使得物理SM卡大体上不受实际伪造尝试的影响。
[0043]电子用户身份模块(eS頂)操作
[0044]简言之,如本文所用,术语“保护”、“加以保护”和“受保护的”可指代明显不能倍增或缩减的元件(或者物理的或者虚拟的)。例如,在正常操作期间不能模仿或复制受保护的 eSIMo
[0045]另外,如本文所用,术语“唯一的”和“唯一”(如同应用于物理或虚拟元件)可指代作为具有特定属性和/或特性的唯一一个元件的元件。例如,唯一的eSIM不能具有复制的 eSIMo
[0046]如本文所用,术语“安全性”通常指代对数据和/或软件的保护。例如,访问控制数据安全性可确保与访问控制元件相关联的数据和/或软件免受盗窃、滥用、损坏、出版和/或被未经授权的活动和/或恶意的第三方篡改。
[0047]此外,如本文所用,术语“用户认证”通常指代指定用户对资源的访问。需注意,在现有物理SM