网络辅助的欺诈检测装置与方法

网络辅助的欺诈检测装置与方法
【专利摘要】本发明提供用于检测欺诈性设备操作的方法与装置。在本公开的一个示例性实施例中，为设备发出与共享的秘密唯一地相关联的用户访问控制客户端，该共享的秘密安全地存储于网络和访问控制客户端内。随后的激活或去激活访问控制客户端的工作需要验证共享的秘密。每个状态变化都包括共享的秘密的变化。因此，不具有适当共享的秘密的状态改变的请求将被忽略，和/或被标记为欺诈性的。
【专利说明】网络辅助的欺诈检测装置与方法
[0001]优先权
[0002]本专利申请要求2013年2月7日与本专利申请同时提交的名称为“NETWORKASSISTED FRAUD DETECT1N APPARATUS AND METHODS” 的共同拥有且共同未决的美国专利申请序列号13/762,074的优先权，该专利申请要求2012年2月7日提交的名称为“NETWORK ASSISTED FRAUD DETECT1N APPARATUS AND METHODS”的美国临时专利申请序列号61/596，007的优先权，上述中的每一个均全文以引用方式并入本文。
[0003]相关专利申请
[0004]本专利申请涉及2011年4月25日提交的名称为“APPARATUS ANDMETH0DS FORSTORING ELECTRONIC ACCESS CLIENTS”的共同拥有且共同未决的美国专利申请序列号13/093，722 ;2011 年 4 月 5 日提交的名称为 “APPARATUS AND METHODS FOR CONTROLLINGDISTRIBUT1N OF ELECTRONIC ACCESS CLIENTS”的美国专利申请序列号 13/080，558 ;2010年 11 月 22 日提交的名称为 “METHODS FOR PROVIS1NING SUBSCRIBER IDENTITY DATA INA WIRELESS NETWORK”的美国专利申请序列号12/952，089 ；2011年7月14日提交的名称为 “VIRTUAL SUBSCRIBER IDENTITY MODULE DISTRIBUT1N SYSTEM” 的美国专利申请序列号 13/183，023 ;2011 年 5 月 17 日提交的名称为 “METHODS AND APPARATUS FOR ACCESSCONTROL CLIENT ASSISTED ROAMING”的美国专利申请序列号 13/109，851 ;2011 年 4 月 4 日提交的名称为“MANAGEMENT SYSTEMS FOR MULTIPLE ACCESS CONTROL ENTITIES”的美国专利申请序列号13/079，614 ；2011年5月19日提交的名称为“METHODS AND APPARATUS FORDELIVERING ELECTRONIC IDENTIFICAT1N COMPONENTS OVER A WIRELESS NETWORK” 的美国专利申请序列号13/111, 801 ;2011年4月5日提交的名称为“METHODS AND APPARATUSFOR STORAGE AND EXECUT1N OF ACCESS CONTROL CLIENTS” 的美国专利申请序列号13/080，521 ;2011 年 4 月 I 日提交的名称为 “ACCESS DATA PROVIS1NING SERVICE” 的美国专利申请序列号13/078, 811 ；2011年11月2日提交的名称为“METHODS AND APPARATUSFOR ACCESS DATA RECOVERY FROM A MALFUNCT1NING DEVICE” 的美国专利申请序列号 13/287，874 ；2011 年4月 5 日提交的名称为 “SMULACRUM OF PHYSICAL SECURITYDEVICE AND METHODS”的美国专利申请序列号13/080，533 ；2011年11月11日提交的名称为 “APPARATUS AND METHODS FOR RECORDAT1N OF DEVICE HISTORY ACROSS MULTIPLESOFTWARE EMULAT1N”的美国专利申请序列号13/294,631 ;2010年11月22日提交的名称为“WIRELESS NETWORK AUTHENTICAT1N APPARATUS AND METHODS”的美国专利申请序列号12/952，082 ;2010年 11 月 22 日提交的名称为“APPARATUS AND METHODS FOR PROVIS1NINGSUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK”的美国专利申请序列号 12/952，089 ;以及2009年I月13日提交的名称为“POSTPONED CARRIER CONFI⑶RAT1N”的美国专利申请序列号12/353，227 (现在公布为美国专利公布N0.2009/0181662)，上述中的每一个均全文以引用方式并入本文。

【技术领域】
[0005]本公开整体涉及通信系统领域，并且在一个示例性方面更具体地涉及无线系统，其允许用户设备利用访问控制客户端对无线网络(例如蜂窝网络、WLAN、WMAN等)进行认证。

【背景技术】
[0006]在大多数现有技术无线电设备通信系统中需要访问控制来实现安全通信。例如，一种简单的访问控制方案可以包括:(i)验证通信方的身份；以及(ii)授予与被验证身份相称的访问水平。在示例性蜂窝系统(例如通用移动通信系统(UMTS))的语境中，访问控制受到访问控制客户端的管控，在示例性UMTS语境中，访问控制客户端称为通用用户身份模块(USM)，在物理通用集成电路卡(UICC)上执行。US頂会认证访问UMTS蜂窝网络的用户。在成功认证之后，允许用户访问蜂窝网络。
[0007]USIM软件的常见实现基于Java Card?编程语目。Java Card是Java?编程语目中为了嵌入式“卡”型设备(诸如上述的UICC)而修改的子集。传统上，USIM执行熟知的认证和密钥协商(AKA)过程，其验证并解密适用的数据和程序以确保安全的初始化。具体地讲，USM必须既(i)成功回答远程质疑以向网络运营商证实其身份；又(ii)发出质疑以验证网络的身份。基于USM的访问控制仅限于每次单个移动网络运营商(MNO)。
[0008]现有的USIM解决方案是硬编码到物理卡介质中的；用户需要新的来改变USM操作。这可能对于MNO和用户都是不利的；例如，如果认证过程“被破坏”(例如通过恶意的“黑客行为”或其他此类活动)，就必须要向用户发出新的UICC，此过程既耗时又费钱。
[0009]此外，各种实际考虑问题将每个物理限制成仅支持单个USM实体；现有解决方案不适于处理同一 UICC内的多个USIM配置文件。
[0010]至少由于上述原因，需要改进的解决方案，以实现不依赖于物理硬件的安全性。理想情况是，此类解决方案将不需要物理ncc而工作，仍提供与其物理对应物等同水平的欺诈的防范，并且在处理不同SM配置文件的能力方面是灵活的。


【发明内容】

[0011]本公开通过特别提供用户设备利用访问控制客户端对无线网络(例如蜂窝网络、WLAN、WMAN等)进行认证的装置与方法，解决了以上需求。
[0012]本发明公开了一种执行欺诈协议的方法。在一个实施例中，该方法包括诸如响应于接收到激活请求，从该请求提取一个或多个数据，所提取的一个或多个数据对应于第一激活状态；至少部分地基于第一激活状态验证一个或多个数据；以及响应于一个或多个数据的未成功验证执行欺诈协议。
[0013]还公开了一种在执行欺诈检测协议时有用的器件装置。在一个实施例中，该器件装置包括处理器；状态数据库，其被配置为针对多个访问控制客户端的每个相应访问控制客户端来存储激活状态信息；以及具有非暂态存储介质的计算机可读装置，该非暂态存储介质上存储有至少一个计算机程序。
[0014]在一种变体中，至少一个计算机程序被配置为在处理器上被执行时使得器件装置从移动设备接收访问控制客户端请求，该访问控制客户端请求至少包括激活状态信息；使得从状态数据库检索与所请求的访问控制客户端对应的当前状态信息；通过至少将激活状态信息与所检索的当前状态信息进行比较来验证请求的有效性；以及在确定请求无效时，实行欺诈协议。
[0015]还公开了一种非暂态计算机可读介质。在一个实施例中，计算机可读介质包括用于检测欺诈性设备激活的多个指令，这些多个指令在被执行时使得网络实体:从移动设备接收访问控制客户端请求，该请求包括访问控制客户端的至少状态信息和移动设备的密钥；确定至少状态信息是否对应于用于访问控制客户端的期望的状态，以及密钥是否有效；以及在(i)状态信息不对应于期望的状态时，和/或(ii)在密钥无效时，实施针对访问控制客户端的欺诈协议。
[0016]在另一个实施例中，该计算机可读介质包括用于检测欺诈性设备激活的多个指令，所述多个指令在被执行时使得移动设备:向激活服务传输访问控制客户端请求，请求至少包括访问控制客户端的当前激活状态；从激活服务接收消息，其中消息被配置为指示请求的有效性；以及在消息指示请求无效时，至少在访问控制客户端上实施欺诈过程。
[0017]还公开了一种用于检测欺诈性设备激活的方法。在一个实施例中，该方法包括传输针对访问控制客户端的请求；接收与访问控制客户端请求的访问控制客户端相关联的信息；验证所接收的信息；以及在验证所接收的信息后，执行与访问控制客户端的请求相关联的动作。
[0018]还公开了一种被配置为执行欺诈检测协议的移动设备。在一个实施例中，该移动设备包括处理器；被配置为存储一个或多个访问控制客户端的安全元件；与处理器进行数据通信的至少一个无线接口 ；以及具有非暂态存储介质的计算机可读装置，非暂态存储介质上存储有至少一个计算机程序。
[0019]在一种变体中，该至少一个计算机程序被配置为在处理器上被执行时使得移动设备:传输与访问控制客户端相关的请求，其中该请求至少包括与访问控制客户端的激活状态相关的信息；接收指示请求已确定的有效性的响应；并在响应指示无效请求时，执行欺诈协议。
[0020]还公开了一种被配置为执行欺诈检测协议的网络架构。
[0021]还公开了一种用于移动设备上的访问控制客户端。
[0022]本领域的普通技术人员参考如下附图和示例性实施例的详细描述将会立即认识到本公开的其他特征和优点。

【专利附图】

【附图说明】
[0023]图1示出了利用现有技术的通用用户身份模块(USM)的示例性认证和密钥协商(AKA)过程。
[0024]图2是用于分布访问控制客户端的一个示例性网络架构的框图。
[0025]图3是示出根据本公开用于执行欺诈检测协议的一般化方法的一个实施例的逻辑流程图。
[0026]图4是示出根据本公开对执行欺诈检测协议有用的网络架构的一个实施例的框图。
[0027]图5是示出根据本公开适于存储一个或多个访问控制客户端的eUICC器件的一个实施例的框图。
[0028]图6是示出根据本公开适于存储和使用一个或多个访问控制客户端的移动设备的一个实施例的框图。
[0029]所有图片?版权所有2012-2013 Apple Inc.保留所有权利。

【具体实施方式】
[0030]现在参考附图，在所有附图中类似标号指代类似部分。
[0031]鐘述
[0032]在一个方面，本发明提供了用于检测欺诈性设备操作的方法与装置。在一个示例性实施例中，向设备(诸如无线移动设备)发出用户访问控制客户端，并且访问控制客户端与安全存储于网络和访问控制客户端内的共享的秘密唯一地相关联。随后激活或去激活访问控制客户端的努力需要验证共享的秘密。在一种变体中，状态的每种变化(例如激活、去激活等)包括共享的秘密的变化。如下文中更详细所述，共享的秘密的排斥属性确保用户每次仅可具有一个访问控制客户端在活动。因此，不具有适当共享的秘密的状态改变请求将被忽略，被标记为欺诈性的，和/或甚至导致设备部分或完全失效。
[0033]在本公开的一个示例性具体实施中，向用户发出访问客户端(例如电子用户身份模块(eSIM))，eSIM与状态(例如活动、不活动)和如在授权中心等处存储的隐藏同步变量相关联。用户具有一个或多个用户设备(UE)，其包括虚拟化电子通用集成电路卡(enCC)，并被配置为接收和存储eSM。用户可从网络器件(例如SIM提供服务(SPS)、对等设备等)检索发出的eSM，并激活eSM以使UE能够正常操作。配置授权中心，使得仅有具有最新同步变量的激活请求被进一步处理或授权。
[0034]示例性实施例的详细描述
[0035]现在详细描述本公开的示例性实施例。尽管主要在GSM、GPRS/EDGE、UMTS蜂窝网络的用户身份模块(SIM)的语境中论述了这些实施例，但普通技术人员将认识到，本公开不受这样的限制。实际上，本公开的各个方面在可受益于检测欺诈性网络事务的任何网络(无论是蜂窝网络或其他网络)中是有用的。
[0036]现有技术用户身份模块(SIM)操作一
[0037]在示例性现有技术UMTS蜂窝网络的语境内，用户设备(UE)包括移动设备和通用用户身份模块(USM)。USIM是从物理通用集成电路卡(UICC)存储并执行的逻辑软件实体。在USIM中存储多种信息，诸如用户信息，以及用于在网络运营商处进行认证的密钥和算法，以便获得无线网络服务。USM软件基于Java Card?编程语言。Java Card是Java?编程语言中为了嵌入式“卡”型设备(诸如上述的UICC)而修改的子集。
[0038]通常，在用户分发之前利用US頂对进行编程；预编程或“个性化”特定于每个网络运营商。例如，在部署之前，USM与国际移动用户身份(MSI)、唯一的集成电路卡标识符(ICC-1D)和特定的认证密钥(K)相关联。网络运营商在网络认证中心(AuC)内包含的注册表中存储该关联。在个性化之后，可以将ncc分发给用户。
[0039]现在参见图1，详细例示了利用上述现有技术USM的一种示例性认证和密钥协商(AKA)过程。在正常认证过程期间，UE从US頂获得国际移动用户身份(MSI)。UE将頂SI传递到网络运营商的服务网络(SN)或被访问的核心网。SN向家庭网络(HN)的AuC转发认证请求。HN将所接收的MSI与AuC的注册表进行比较并获得适当的K。HN生成随机数(RAND)，并利用算法用K签署它以创建期望的响应(XRES)。HN还生成密码密钥(CK)和完整性密钥(IK)，以利用各种算法用于密码和完整性保护以及认证令牌(AUTN)中。HN向SN发送由RAND、XRES, CK和AUTN构成的认证矢量。SN存储仅用于一次性认证过程的认证矢量。SN将RAND和AUTN传递到UE。
[0040]一旦UE接收到RAND和AUTN’ USIM就验证所接收的AUTN是否有效。如果是这样的话，UE使用所接收的RAND，利用存储的K和生成XRES的相同算法，计算其自身的响应(RES)。UE将RES传递回SN。SN将XRES与所接收的RES进行比较，并且如果它们匹配，则SN授权UE使用运营商的无线网络服务。
[0041]在现有技术的SM卡的物理介质内具体化图1的上述过程。现有技术的SM卡具有至少两个(2)不同且期望的属性:(i)SIM卡为SIM数据(例如帐户信息、加密密钥等)提供密码保护的物理存储装置；以及(ii) SM卡不容易被克隆。
[0042]现有技术的SM卡包括处理器和通用集成电路卡(UICC)中形成的存储器。可以利用环氧树脂填充SM卡以防止外部探测nCC上的数据信号。如果需要，nCC中可以包括其他防篡改结构(例如屏蔽层、掩膜层等)。SIM卡具有通往处理器的安全接口，处理器具有通往存储器的内部接口。ncc从外部设备接收电力，这使得处理器能够执行来自存储器部件的代码。存储器部件自身不是可直接访问的(即，内部文件系统对于用户而言是隐藏的)，必须要经由处理器访问。
[0043]在正常操作期间，处理器接受有限数量的命令，每条命令仅仅是可有条件访问的。访问条件被限制为执行命令以防止未授权的访问。访问条件可以是分级的或不分级的；例如，对一个层级或区域或功能的授权不可自动为另一层级或区域或功能授权。例如，一组访问条件可以包括:(i)始终可访问；(ii)永远不能访问；(iii)可以被第一帐户访问；(iv)可以被第二帐户访问，等等。仅在成功完成适当安全协议之后才授权有条件的访问。用于验证身份的常见方法可以包括密码或个人识别号码(PIN)、对共享的秘密的质疑等。
[0044]使用条件访问的有限命令组和受保护的存储器空间确保SIM卡内存储的信息不会受到外部访问。克隆SM卡将需要构造物理卡，并构造内部文件系统和数据。这些特征的组合使得物理SM卡在很大程度上不受实际伪造企图的影响。
[0045]然而，UICC的物理性质还具有几个缺点。例如，UICC的物理卡形状因数需要主机设备或用于读取ncc操作的读取器内的卡插座。类似地，ncc是针对操作硬编码的。因此，在部署之后不能改变ncc的操作(例如添加或移除SIM、更新固件、改变特权等)。出于至少这些原因，当前的发展领域涉及用于SIM交付和使用的替代机制。
[0046]电子用户身份模块(eSIM)操作一
[0047]现在详细描述访问客户端(例如eSIM)的示例性实施例的操作。
[0048]作为简要旁白，本文使用的术语“保全”是指不能被轻微增加或减小的元件(物理的或虚拟的)。例如，在正常操作期间不能拷贝或复制保全的eSIM。
[0049]此外，如本文使用的，应用于元件(物理的或虚拟的)的术语“唯一性”是指使元件是具有特定属性和/或特性的独一无二元件的属性。例如，唯一的eSIM不能具有复制的eSIMo
[0050]如本文使用的，术语“安全性”一般是指数据和/或软件的保护。例如，访问控制数据安全性确保与访问控制客户端相关联的数据和/或软件受到保护，不会受到未被授权的活动和/或恶意的第三方盗窃、滥用、损坏、公开和/或篡改。
[0051]此外，如本文使用的，术语“用户授权” 一般是指指定用户对资源的访问。
[0052]一般来讲，应当理解软件比硬件更灵活；例如，软件易于拷贝、修改和分发。此外，软件常常可被做成比硬件等价物更便宜、更有功率效率且体积更小。因此，尽管常规SIM操作利用诸如卡(UICC)的物理形状因数，但当前的发展领域集中于在软件内实现SIM操作的虚拟化。然而，SIM数据(例如用户特有的信息等)的高度敏感性质需要特殊的考虑。例如，SIM数据的各个部分对于用户而言是唯一的，并且应当小心防护恶意第三方或暗中使用或分发。此外，每个SM表示对有限网络资源访问的协议量；因而，必须要对SM的复制、破坏和/或回收进行管理以防止网络资源、以及服务提供方费用或收入的代位追偿的过度和/或不足利用。因此，虚拟化的访问客户端，诸如eSIM应当满足以下属性:(i)安全性；(ii)唯一性；以及(iii)保全性。此外，理想情况是，应当至少以可与现有网络基础结构相当的成本提供这样的属性。
[0053]最初用于SIM操作的解决方案将模仿成虚拟或电子实体，诸如软件应用程序，在下文中称为电子通用集成电路卡(enCC)。enCC能够存储和管理一个或多个SIM元件，在下文中称为电子用户身份模块(eSM)。然而，用于虚拟化eSIM操作的解决方案必须提供与ncc已经提供的现有安全能力等效(如果不是改进的)的安全性。此外，现有的基础结构需要适当的方法实现虚拟化eSIM的保全，使得在整个网络中控制虚拟化eSIM的数量(即，虚拟化eSIM不被复制、丢失等)。
[0054]考虑图2中所示的系统；系统200包括:(i)多个SM供应商202 ;(ii)多个SM提供服务器(SPS) 204(诸如先前以引用方式并入的，在2010年11月22日提交的名称为“WIRELESS NETWORK AUTHENTICAT1N APPARATUS AND METHODS” 的共同拥有且共同未决的美国专利申请N0.12/952,082，以及在2010年11月22日提交的名称为“APPARATUS ANDMETHODS FOR PROVIS1NING SUBSCRIBER IDENTITY DATA IN A WIRELESS NETWORK”的美国专利申请N0.12/952, 089中更详细所述的那些)，以及(iii) 一组用户设备(UE) 206，其中每个UE包含安全的eUICC。以下论述描述用于从SM供应商向安全的eWCC分发eSM的不同方案。
[0055]在第一种方案中，UE 206从任何SPS 204请求eSM，并且SPS从SM供应商202检索适当的eSM。在这种方法中，SM供应商可容易地控制eSM的分发；仅由SM供应商授权每个新请求的eSIM。然而，由于SIM供应商是可分配eSIM的唯一方，因此如果大量用户在短时间内带着请求涌到SIM供应商处(对于成功的产品发布通常是这样)，则SIM供应商会出现“瓶颈”。
[0056]在第二种方案中，每个SPS 204都从SM供应商202检索eSM池，并在每个SPS内存储eSM池(针对每个SPS复制eSM池)。然后，SPS根据请求向UE 206分发eSM。eSIM只能由安全的enCC解密和使用。这种分布式SPS服务器模型不是因SIM供应商而遇到瓶颈的。然而，第二种方案需要显著更多的基础结构。具体地讲，SPS的群体必须确保不分发复制的eSM。因此，无论何时SPS授权eSM，其他SPS都必须经由通信链路208去激活其复制的eSM。这确保eSM是唯一的(即，没有复制的eSM已被分发)。保持SPS之间eSIM状态信息同步的通信是网络基础结构上巨量的流量。
[0057]在第三种方案(未示出)中，以某种方式组合SPS 204和SM供应商206基础结构。例如，SIM供应商和SPS网络可以共同容纳于公共设施中并彼此自由访问，或者在逻辑上缠绕在一起。成功操作缠绕设施需要SM供应商和SPS网络运营商之间建立信任的业务关系，在一些情况下，这可能是不希望出现的情况(例如由于合法的反垄断考虑导致的商务关注冲突等)。
[0058]方法一
[0059]因此，本公开的各方面有利地实现在虚拟化访问控制客户端操作和分布的语境中的欺诈检测。此外，如本文更详细所述，本公开的实施例并非对于任何特定网络基础结构是特有的，而是可灵活地适应几乎任何配置。
[0060]在一个方面，本文描述的欺诈检测方案利用了如下事实:可以存储访问控制客户端，且每次仅向一个安全元件传送。例如，先前以引用方式并入的，2011年4月25日提交的名称为“APPARATUS AND METHODS FOR STORING ELECTRONIC ACCESS CLIENTS”的共同拥有且共同未决的美国专利申请N0.13/093，722中描述了虚拟化访问控制的使用和分发。
[0061]作为简要旁白，可以将安全元件实现为从受保护存储介质执行软件的处理器或处理装置。在一些变体中，对受保护存储器介质加密或通过其他方式保护，以防止未授权的访问或篡改。此外，安全元件可以是物理加强或保护的，以防止访问存储介质和/或安全处理器。物理加强的常见实例可以包括物理外壳或其他机构，主要在有未授权访问企图时自我破坏或使设备不可访问，和/或在树脂或其他材料中嵌入电路以防止外部探查。本公开的安全元件被配置为进一步限制和/或监视/标记异常访问，并且在一些变体中，防止进一步使用设备的全部或部分。
[0062]在本公开的一个示例性实施例中，为设备发出与共享的秘密唯一地相关联的用户访问控制客户端，该共享的秘密安全地存储于网络内以及客户端设备的安全元件内。随后激活或去激活访问控制客户端的工作需要验证共享的秘密。状态的每种变化(例如激活、去激活等)还包括共享的秘密的变化。共享的秘密的这种排斥属性确保用户可每次仅有一个访问控制客户端在活动。因此，不具有适当共享的秘密的状态改变的请求将被忽略，和/或被标记为欺诈性的。还应理解，尽管该方法的上述实施例是围绕与单个状态变量相关联的共享的秘密构造的，但如果需要，每个访问控制客户端可以具有多个状态变量。例如，一个状态变量可以涉及访问客户端的使用属性(例如“可用”、“失效”等)，而其他状态变量可以涉及或描述其他类型的属性(例如针对各种不同服务的访问许可的状态或值，诸如“仅语音”、“语音和数据”、“仅数据”、“漫游”、“非漫游”等)。
[0063]现在参见图3，示出了用于执行与上述访问控制客户端相关联的欺诈检测协议并根据本公开的一般化方法300的一个实施例。在方法300的步骤302，在验证过程期间检查访问控制客户端。在示例性实施例中，这种验证过程是在状态变化(例如激活和/或去激活等)期间执行的。在一种变体中，为了确保在状态变化期间保持访问控制客户端的保全性和唯一性属性，在激活服务之间同步访问控制客户端的内部状态和与其关联的共享的秘密。此外，每次仅允许访问控制客户端的一个副本是活动的。这样，试图访问网络的设备必须不仅知道向网络认证所需的信息(例如参见之前的图1)，还必须要维持与激活服务的状态同步(例如通过共享的秘密)。
[0064]例如，在一个示例性实施例中，源设备向目标设备传送访问控制客户端。除了传输访问控制客户端之外，源设备还向激活服务标记该传送。然后，目标设备从激活服务接收状态更新(和相关联的共享的秘密)。因此，任何后续试图访问网络的操作必须证明了解这种状态更新。
[0065]或者，在另一种变体中，源设备向目标设备传送访问控制客户端。目标设备通知激活服务其希望被验证，并随后接收指示状态的共享的秘密更新。然后，任何后续试图访问网络的操作必须证明了解这种共享的秘密。应当理解，可以在不同时间完成状态通知或共享的秘密更新，这可能是方便的或在各种情形中是需要的。在一些实施例中，在传送之后某个时间可以进行状态更新。这样的实施例在批量传送时可能特别有用。
[0066]一般来讲，共享的秘密是用于在安全通信中彼此验证两方(例如目标设备、网络等)的一个数据。共享的秘密可以是密码、密码短语、大数或随机选择字节的阵列。共享的秘密的其他常见实例包括但不限于:增大/减小计数、加密散列。在一些情况下，可以利用初始化矢量(IV)进一步使共享的秘密模糊不清。
[0067]此外，还可以指定“有效性窗口 ”，使得必须在被认为是有效的规定时域窗口内完成特定通知或更新。例如，供应商知道一旦产品被订购并装运，设备到达客户那里要花费两天。因此，激活服务可以仅接受装运之后四十八(48)到九十六(96)小时内发生的验证请求，因为这是预计要激活设备上的访问控制客户端的期望窗口。除了在一开始订购产品期间使用有效性窗口之外，还应理解，在给定本公开的情况下，其他有效性窗口对于普通技术人员而言将是显而易见的。例如，可以将有效性窗口从分发设备的时间延迟(即，不是立即可用的)，有效性窗口是在从用户接收到在设备之间传送访问控制客户端的请求时规定的，仅在特定再发生事件期间发生(例如每个月的一号)等等。
[0068]在步骤304，例如，通过确保共享的秘密和访问控制客户端的认证数据二者都有效，确定访问控制客户端是否有效。此外，尽管这决不是一个要求，但此确定可能必须要发生于上述有效性窗口内。如果访问控制客户端有效，那么在步骤306授权进行访问。然而，如果访问控制客户端是无效的，那么在步骤308执行欺诈检测和/或迁移协议。
[0069]使用各种欺诈检测和/或迁移协议向网络运营商和/或网络用户提供多项益处。在一个示例性实施例中，可以使用激活服务对无效访问控制客户端的检测通知用户与用户帐户相关联的潜在欺诈。例如，如果影响到用户的访问控制客户端，且另一个实体尝试通过利用另一设备获得对网络的访问来重新使用用户的访问控制客户端，则可以通过电子邮件消息、电话呼叫或短消息服务(SMS)文本消息来通知用户。然后用户可采取适当的行动，以确保他们不对骗用其访问控制客户端数据导致的任何行为负责。
[0070]除了用户通知之外或作为替代形式，激活服务还可以通知网络运营商试图使用欺诈性访问控制客户端数据造成的任何异常或恶意活动。例如，可以使用欺诈检测协议的执行来阻止针对网络的拒绝服务攻击，其中特别是进行反复的重放攻击或其他攻击以耗尽网络资源。在一种示例性具体实施中，激活服务维持访问控制客户端和试图获得访问的设备身份(例如ICC-1D)之间的关联。如果确定访问尝试是异常或欺诈性的，网络可以仅通过阻止访问已经与获得访问的欺诈性尝试相关联的身份来忽视任何来自该设备的反复请求。
[0071]除了上述那些特定方法之外，网络运营商还可以向作为异常或恶意活动来源的设备传输禁用信号。例如，运营商可以破坏设备上的固件，使得设备不会按预期工作。然后使设备无用，直到所有者联系网络运营商解决问题。通过禁用设备并要求设备用户联系网络运营商，将给那些参与网络上恶意活动，诸如进行拒绝服务攻击或试图克隆访问控制客户端的用户留下无法工作的设备。相反，如果错误地禁用设备，则用户可通过联系其网络运营商容易地补救这种情况。然而，应该认识到，本公开设想了永久性和非永久性禁用方式，或它们的组合(例如，在恢复时限期满时，或发生与ICC-1D或访问客户端相关联的跟进事件时，可以使非永久性禁用成为永久性的)。
[0072]实例操作一
[0073]图4示出了对于本公开有用的示例性网络架构的一个实施例。如图所示，该网络架构包括多个访问客户端(例如eSM)供应商402、多个激活服务404、多个eWCC器件406，以及多个移动设备408，但每种都可以为更多或更少。
[0074]UE 408A从网络请求eSM，并将该请求转发到器件406A。该器件从SM供应商402A检索适当的eS頂并将这一 eSM转发回UE 408A。然后UE 408A的用户激活所接收的eSIM.这一激活请求被转发到激活服务404上。与eSIM内存在的其他数据一起，在激活服务404和UE 408A之间同步eSM的内部状态和与之相关联的共享的秘密。与UE 408A相关联的eSM现在被网络激活，UE 408A的用户现在可以访问网络资源。
[0075]在激活之后，UE 408B试图利用克隆的与UE 408A相关联的eS頂数据获得对网络的访问。将UE 408B的请求转发到激活服务404，使得可验证这一克隆的eSM数据。由于来自UE 408B的eS頂数据和状态信息不和激活服务404中存储的那种信息匹配，因此由网络执行欺诈检测协议。与UE 408B相关联的ICC-1D被网络标记，向UE 408A的用户发送SMS消息，通知他们有欺诈性访问企图。然后用户和/或网络响应于执行欺诈检测协议采取适当措施。
[0076]装置一
[0077]现在更详细地描述可结合上述方法使用的各种装置。
[0078]eUICC 器件
[0079]现在参见图5，示出了根据本公开的eHCC器件406的一个示例性实施例。eUICC器件可以包括独立的实体，或者合并其他网络实体(例如，服务提供服务(SPS)等)。如图所示，eHCC器件一般包括用于与通信网络交接的网络接口 502、处理器504和存储装置508。网络接口被示为连接到MNO基础结构，以便提供对其他eUICC器件的访问，以及对一个或多个移动设备的直接或间接访问，但可以用其他配置和功能取代。
[0080]在一种配置中，eUICC器件是硬件安全模块(HSM)。HSM包括用于存储多个访问控制客户端的一个或多个安全元件。HSM被配置为实现向和从另一 HSM传送访问控制客户端，同时保持访问控制客户端的唯一性和保全性。此外，在这一实施例中，向另一 HSM传送访问控制客户端导致本地存储的访问控制客户端去激活和/或删除。还可以配置HSM以在被篡改时自我破坏或永久/非永久地禁用自身。
[0081]在图5所示的实施例中，enCC器件至少包括运行于处理器504上的状态数据库510。尽管被示为运行于eUICC器件上的单个应用程序，但应当理解，上述数据库功能可以包括运行于彼此进行数据通信的多个设备上的分布式应用程序。
[0082]状态数据库应用程序处理请求包括:(I)存储eSM的请求；(ii)传送当前存储的eSIM的请求。数据库应用程序还负责验证请求，以确保从授权进行这种请求的实体接收通?目。
[0083]在一个实施例中，状态数据库应用程序被配置为执行质疑和响应安全协议。质疑响应安全协议被配置为基于质疑和/或响应的适当生成来验证由未知第三方做出的请求。或者，在另一个实施例中，安全元件可验证由受信任管理机构签署的数字证书。
[0084]如图所示，存储装置508适于存储访问控制客户端的阵列。在一个实施例中，enCC器件存储eSMS的阵列。在一个这样的具体实施中，每个eSM包括小型文件系统，小型文件系统包括计算机可读指令(eSIM程序)和关联数据(例如密码密钥、完整性密钥等)。此外，利用enCC器件的公钥对每个eS頂另外加密。因此，每个eUICC只能被eUICC器件解密。在一些实施例中，进一步利用唯一标识符、质疑或质疑响应对每个加密的eSIM加密。在一些实施例中，进一步将加密的部件存储为二进制大对象(BLOB)。
[0085]状态数据库应用程序被配置为管理可用的eSIMS。如图5中所示，数据库可以提供关于特定eSIM BLOB、被授权使用eSIM的设备、eSM的当前状态和/或当前状况(“可用”、“不可用”、“失效”等)的信息。也可以维持另外的信息。
[0086]数据库应用程序被配置为更新或改变数据库中存储的信息。在一个示例性实施例中，SIM数据库应用程序负责存储秘密并在访问控制客户端的状态变化时(例如激活、去激活等)生成新的共享的秘密。enCC器件将通过网络接口 502为请求设备提供新的共享的秘密，同时将新的共享的秘密与相应的访问控制客户端相关联并将其存储在SIM数据库510中。在一种变体中，由另一受信任网络实体生成共享的密钥并传送到enCC器件，以存储并传送到请求设备。
[0087]在设备从enCC器件请求eSM时，数据库应用程序检索请求的eSM的共享的秘密。使用这一信息确定是否可以提供请求的eSM，以及是否发生了任何疑似欺诈。这种有效性检查可以在eUICC器件处被执行、可以被共享、或可以发生于其他位置；例如，通过比较请求设备提供的共享的秘密与eUICC器件或另一被信任实体处存储的共享的秘密。
[0088]用户装置
[0089]现在参见图6，示出了根据本公开各方面的示例性用户装置408 (例如UE)。
[0090]图6的示例性UE装置是具有应用程序处理器602的无线设备，应用程序处理器可以包括数字信号处理器、微处理器、现场可编程门阵列或安装于一个或多个基底上的多个处理部件。处理子系统还可包括内部高速缓存存储器。处理子系统与存储器子系统604通信，存储器子系统包括存储器，存储器例如可以包括SRAM、闪存和/或SDRAM部件。存储器子系统可实现一个或多个DMA型硬件，以便促进本领域所熟知的数据访问。存储器子系统包含可以由处理器子系统执行的计算机可执行指令。
[0091 ] 在一个示例性实施例中，该设备可以包括适于连接到一个或多个无线网络的一个或多个无线接口 606。多个无线接口可以通过实施适当的天线和调制解调器子系统来支持不同的无线电技术，诸如GSM、CDMA、UMTS, LTE/LTE-A、WiMAX, WLAN、蓝牙等。
[0092]用户接口子系统608包括任意数量的熟知1/0，包括但不限于:小键盘、触摸屏(例如多触点接口)、LCD显示器、背光、扬声器和/或麦克风。然而，应该认识到，在某些应用程序中，可排除这些部件中的一者或多者。例如，PCMCIA卡型客户端实施例可不含用户接口(因为它们可能背负在它们物理和/或电耦接的主机设备的用户接口上)。
[0093]在图示的实施例中，该设备包括安全元件610，安全元件包含并操作eHCC应用程序。enCC能够存储并访问要用于网络运营商认证的多个访问控制客户端。安全元件在这一实施例中包括执行安全介质中存储的软件的安全处理器。安全介质难以被所有其他部件(除安全处理器之外)访问。此外，可以进一步强化安全元件以防止如上所述被篡改(例如封入树脂中)。
[0094]安全元件610能够接收并存储一个或多个访问控制客户端。在一个实施例中，如上所述，安全元件存储eSIM的阵列或多个eSIM以及与每个eSIM相关联的共享的秘密，以在欺诈检测中使用。每个eSIM包括小型文件系统，小型文件系统包括计算机可读指令(eSIM程序)和关联数据(例如密码密钥、完整性密钥等)。
[0095]安全元件还适于实现向和/或从移动设备传送eSM。在一个示例性实施例中，移动设备提供基于⑶I的确认以启动eSM的传送。另外向enCC器件通知每个传送事件，诸如经由设备的无线接口之一。enCC器件确保仅可以传送具有带有效密钥的eS頂的移动设备；可以使包含无效密钥的eSIM请求不具备功能。
[0096]一旦移动设备的用户选择传送或接收eSM，移动设备就向eWCC器件发送传送请求。该请求标识eSIM，并且包括为enCC和用于验证以被授权使用的移动设备二者已知的共享的秘密。在密钥被eUICC器件验证并确定有效之后，enCC器件将允许传送用于移动设备的eSM。生成新的共享的密钥并提供给移动设备，用于相应eSIM将来的传送请求。将接收的共享的秘密与相应eSIM相关联并存储在安全元件内。
[0097]最后，移动装置也可以在每个传送事件(发送、接收等)时向eUICC器件生成通知。也可以识别并标记eSM的不规则或异常行为以阻止eSM可能违法或未授权的使用。
[0098]应当认识到，虽然本公开的某些方面以方法的步骤的具体序列的形式被描述，但是这些描述仅示出本公开的更广泛的方法，并且可应特定应用程序的要求修改。在某些情况下，某些步骤可为不必要的或可选的。此外，可将某些步骤或功能添加到公开的实施例，或者两个或多个步骤的性能的次序可加以排列。所有此类变型形式均视为涵盖在本文所公开和要求保护的本公开内。
[0099]虽然上述【具体实施方式】已经示出、描述并指出施加到各种实施例的本公开的新颖特征，但应当理解，本领域的技术人员在不脱离本公开的情况下在设备或过程的形式和细节中可做出各种省略、替代和改变前述描述是目前设想的实施本公开的最佳模式。本说明书绝不旨在进行限制，而是应被认为是本公开的一般原理的示例。应结合权利要求来确定本公开的范围。
【权利要求】
1.一种用于执行欺诈协议的方法，包括: 响应于接收到激活请求，从所述请求提取一个或多个数据，其中所提取的一个或多个数据对应于第一激活状态； 至少部分地基于所述第一激活状态验证所述一个或多个数据；以及 响应于未成功验证所述一个或多个数据执行欺诈协议。
2.根据权利要求1所述的方法，其中所述激活请求至少包括激活与网络服务提供方相关联的电子用户身份模块(eSIM)的请求。
3.根据权利要求2所述的方法，其中: 所述验证所述一个或多个数据至少包括将所述第一激活状态与期望的激活状态进行比较；并且 所述未成功验证至少包括当所述第一激活状态与所期望的激活状态的所述比较不符合规定的标准时。
4.根据权利要求2所述的方法，其中: 所提取的一个或多个数据至少包括负责所述激活请求的移动设备与激活服务实体之间的共享的秘密；并且 未成功验证至少包括当所提取的一个或多个数据的所述共享的秘密不匹配激活服务实体处的所述共享的秘密时。
5.一种用于执行欺诈检测协议的器件装置，所述器件装置包括: 处理器； 状态数据库，被配置为针对多个访问控制客户端的每个相应访问控制客户端来存储激活状态信息；和 具有非暂态存储介质的计算机可读装置，所述非暂态存储介质上存储有至少一个计算机程序，所述至少一个计算机程序被配置为当在所述处理器上被执行时使得所述器件装置: 从移动设备接收访问控制客户端请求，所述访问控制客户端请求至少包括激活状态信息； 使得从所述状态数据库检索对应于所请求的访问控制客户端的当前状态信息； 通过至少将所述激活状态信息与所检索的当前状态信息进行比较来验证所述请求的有效性；以及 当确定所述请求无效时，实行欺诈协议。
6.根据权利要求5所述的器件装置，其中所述至少一个计算机程序还被配置为在被执行时使得所述器件装置通过对具有所述请求的秘密信息、所述移动设备和所述器件装置之间共享的所述秘密信息的验证检查来验证所述请求的有效性。
7.根据权利要求6所述的器件装置，其中所述至少一个计算机程序还被配置为在被执行时使得所述器件装置: 在确定所述请求的有效性为有效时，更新所述秘密信息；以及 向所述移动设备提供所更新的秘密信息。
8.根据权利要求5所述的器件装置，其中所述至少一个计算机程序还被配置为在被执行时使得所述器件装置: 在验证所述请求时，根据所述请求更新所述状态数据库中存储的所述当前状态信息。
9.根据权利要求5所述的器件装置，其中所述欺诈协议包括禁用与所述访问控制客户端请求相关联的访问控制客户端。
10.一种非暂态计算机可读介质，包括用于检测欺诈性设备激活的多个指令，所述多个指令被配置为在被执行时使得网络实体: 从移动设备接收访问控制客户端请求，所述请求包括所述访问控制客户端的至少状态信息和所述移动设备的密钥； 确定所述至少状态信息是否对应于用于所述访问控制客户端的期望的状态，以及所述密钥是否有效；以及 在(i)所述状态信息不对应于所期望的状态时，和/或(ii)在所述密钥无效时，实施针对所述访问控制客户端的欺诈协议。
11.一种用于检测欺诈性设备激活的方法，所述方法包括: 传输针对访问控制客户端的请求； 接收与所述访问控制客户端请求的访问控制客户端相关联的信息； 验证所接收的信息；以及 在验证所接收的信息时，执行与针对所述访问控制客户端的所述请求相关联的动作。
12.根据权利要求11所述的方法，其中与访问控制客户端相关联的所述信息至少包括所述访问控制客户端的激活状态信息。
13.根据权利要求12所述的方法，其中至少部分地基于所述激活状态信息与所述访问控制客户端的期望的激活状态的匹配来确定所述验证。
14.根据权利要求13所述的方法，还包括在执行所述动作时更新所期望的激活状态，其中所更新的期望的激活状态至少部分地与所执行的动作相关。
15.一种被配置用于执行欺诈检测协议的移动设备，所述移动设备包括: 处理器； 安全元件，被配置为存储一个或多个访问控制客户端； 至少一个与所述处理器进行数据通信的无线接口 ；和 计算机可读装置，其具有非暂态存储介质，所述非暂态存储介质上存储有至少一个计算机程序，所述至少一个计算机程序被配置为当在所述处理器上被执行时使得所述移动设备: 传输与访问控制客户端相关的请求，其中所述请求至少包括与所述访问控制客户端的激活状态相关的信息； 接收指示所述请求的已确定的有效性的响应；以及 在所述响应指示无效请求时，执行欺诈协议。
16.根据权利要求15所述的移动设备，其中所述欺诈协议包括禁用所述移动设备中的所述访问控制客户端。
17.根据权利要求15所述的移动设备，其中: 所述请求还包括所述移动设备和与所述访问控制客户端相关联的激活服务之间共享的秘密；并且 所接收的响应至少包括当所述响应指示有效请求时更新的秘密。
18.根据权利要求16所述的移动设备，其中所述至少一个计算机程序还被配置为在被执行时使得所述移动设备在安全元件中存储所接收的更新的秘密。
19.根据权利要求15所述的移动设备，其中所述至少一个计算机程序还被配置为在所述响应指示有效请求时更新所述访问控制客户端的状态，所更新的状态至少部分地基于与所述请求相关联的动作。
20.一种非暂态计算机可读介质，包括用于检测欺诈性设备激活的多个指令，所述多个指令被配置为在被执行时使得移动设备: 向激活服务传输访问控制客户端请求，所述请求至少包括所述访问控制客户端的当前激活状态； 从所述激活服务接收消息，其中所述消息被配置为指示所述请求的有效性；以及 在所述消息指示所述请求为无效时，至少在所述访问控制客户端上实施欺诈过程。
21.一种被配置用于检测欺诈性设备激活的移动设备，所述移动设备包括: 用于传输针对访问控制客户端的请求的装置； 用于接收涉及与所述请求相关联的访问控制客户端的信息的装置； 用于验证所接收的信息的装置；和 用于执行与针对所述访问控制客户端的所述请求相关联的动作的装置，其中根据所接收的信息的验证来执行所述动作。
22.根据权利要求21所述的移动设备，其中与访问控制客户端相关的所述信息至少包括所述访问控制客户端的激活状态信息。
23.根据权利要求22所述的移动设备，其中至少部分地基于所述激活状态信息与所述访问控制客户端的期望的激活状态的匹配来确定所述验证。
24.根据权利要求23所述的移动设备，还包括用于更新所期望的激活状态的装置，其中所期望的激活状态更新在执行所述动作时发生； 其中所期望的激活状态更新至少部分地与所执行的动作相关。
25.一种被配置用于执行欺诈协议的器件装置，所述器件装置包括: 从激活请求提取一个或多个数据的装置，其中所提取的一个或多个数据对应于第一激活状态； 用于至少部分地基于所述第一激活状态验证所述一个或多个数据的装置；和 用于基于所述一个或多个数据的未成功验证执行欺诈协议的装置。
26.根据权利要求25所述的器件装置，其中所述激活请求至少包括激活与网络服务提供方相关联的电子用户身份模块(eSIM)的请求。
27.根据权利要求26所述的器件装置，其中: 用于验证所述一个或多个数据的装置至少包括将所述第一激活状态与期望的激活状态进行比较；并且 所述未成功验证至少包括所述第一激活状态与所期望的激活状态的比较不符合规定的标准。
【文档编号】H04L29/06GK104205906SQ201380016716
【公开日】2014年12月10日 申请日期:2013年2月7日 优先权日:2012年2月7日
【发明者】J·冯·豪克, 李立, S·V·彻尔 申请人:苹果公司