卡不會被容易克隆。
[0029]現(xiàn)有技術SM卡包括形成在通用集成電路卡(UICC)中的處理器和存儲器。可利用環(huán)氧樹脂填充SIM卡以防止對nCC上的數(shù)據(jù)信號進行外部探測。如果需要,其他防篡改結構可被包括在nCC中(例如,屏蔽層、掩膜層等)。SIM卡具有至處理器的安全接口,并且處理器具有至存儲器的內部接口。HCC從外部設備接收電力,這使得處理器能夠執(zhí)行存儲于存儲器中的代碼。存儲器自身不能直接訪問(即,內部文件系統(tǒng)對用戶隱藏),并且必須經(jīng)由處理器來進行訪問。
[0030]在正常操作期間,處理器接受有限數(shù)量的命令。每個命令僅在一定條件下可訪問。訪問條件被限制為執(zhí)行命令以防止未授權的訪問。訪問條件可以是或可以不是分級的,例如,對一個水平的授權不可能自動許可對另一水平的授權。例如,一組訪問條件可包括:(i)始終可訪問;(ii)從來就不可訪問;(iii)可被第一帳戶訪問;(iv)可被第二帳戶訪問,等等。僅在成功完成適當安全協(xié)議之后才授權有條件的訪問。用于驗證身份的常見方法可包括密碼或個人識別號碼(PIN)、對共享密鑰的挑戰(zhàn)等。
[0031]條件訪問、有限命令集和所保護的存儲空間確保存儲于SIM卡內的信息對外部訪問是安全的。克隆SIM卡將承擔物理卡的構建以及內部文件系統(tǒng)和數(shù)據(jù)的構建。由此,這些特征的組合使得物理SM卡不受實際偽造嘗試的影響。
[0032]電子用戶身份模塊(eSIM)操作
[0033]盡管傳統(tǒng)SM方案在可移除集成電路卡(ICC)(也稱為“SM卡”)中實施,但是本發(fā)明的受讓人所作的初期研宄涉及在移動設備內執(zhí)行的軟件客戶端內的虛擬化的SIM操作。虛擬化的SIM操作可減小設備尺寸,增強設備功能性并且提供更大的靈活性。
[0034]遺憾的是,虛擬化的SM操作還為網(wǎng)絡運營商和設備制造商呈現(xiàn)多個新挑戰(zhàn)。例如,傳統(tǒng)SM卡由可信的SM供應商制造和保證。這些傳統(tǒng)SM卡執(zhí)行已永久“燒錄”到SIM卡的單一安全版本的軟件。一旦被燒錄,卡不能被篡改(在也不損壞SIM卡的情況下)。
[0035]相反,移動設備由眾多設備制造商制造,并且可執(zhí)行由多個或者甚至未知的第三方軟件供應商所提供的軟件。另外,移動設備對軟件頻繁“打補丁”,這既可安裝現(xiàn)有漏洞,還會引入新的漏洞。任何軟件都易受到損壞、破壞和/或濫用。此外,盡管物理SIM卡極難復制,但是軟件會容易復制,成倍增加等。由于每個SIM代表對有限網(wǎng)絡資源的約定數(shù)量的訪問,所以虛擬化的SIM的非法使用可極大地影響網(wǎng)絡操作和用戶體驗。
[0036]簡而言之,本文使用的術語“保護”、“保全”和“保全的”指的是沒有能力成倍增大或減小的元件(物理的或虛擬的)。例如,在正常操作期間不能重復或復制保全的eSIM。
[0037]另外,如本文所使用的,應用于元件(物理的或虛擬的)的術語“唯一”指的是其中元件為具有特定屬性和/或特性的唯一一個元件的屬性。例如,唯一的eSIM不能具有復制的eSIMo
[0038]如本文使用的,術語“安全性”一般是指對數(shù)據(jù)和/或軟件的保護。例如,訪問控制數(shù)據(jù)安全性確保與訪問控制客戶端相關聯(lián)的數(shù)據(jù)和/或軟件免受未被授權的活動和/或惡意的第三方盜竊、濫用、損壞、公開和/或篡改。
[0039]此外,如本文所使用的,術語“用戶授權”通常指的是規(guī)定用戶對資源的訪問。簡而言之,借助現(xiàn)有技術的物理SM卡,用戶授權利用物理SM卡占有權被實施,其中物理卡代表對訪問網(wǎng)絡資源的用戶授權。例如,當物理SIM卡從第一電話移動到第二電話時,假定該移動是由用戶執(zhí)行的(以及由用戶隱含授權)。在eSIM操作的上下文內,對于eSIM傳輸?shù)挠脩羰跈嘈枰愃频哪芰?。具體地,eSM(以及還有網(wǎng)絡)的“所有者”需要確保eSIM只被傳輸?shù)胶戏ㄔO備。
[0040]一般來講,應當理解,軟件比硬件更靈活;例如,軟件易于拷貝、修改和分發(fā)。另外,軟件經(jīng)??杀蛔龀杀扔布葍r物更便宜、更有功率效率且體積更小。因此,盡管常規(guī)SIM操作使用物理形式因素諸如卡(HCC),但是當前研宄領域集中于在軟件內對SIM操作進行虛擬化。然而,SIM數(shù)據(jù)的敏感本質(例如,用戶專用信息等)需要特別考慮。例如,SIM數(shù)據(jù)的各個部分對用戶來說是唯一的,并且應當小心免受惡意的第三方破壞。此外,如先前所述,每個SIM代表對有限網(wǎng)絡資源的約定數(shù)量的訪問;此外,對SIM的復制、損壞和/或收回必須得到管理以防止對網(wǎng)絡資源的過度使用和/或未充分使用,以及對服務提供方費用或收入的代位求償。因此,虛擬化的SIM應滿足以下屬性:(i)安全性;(ii)唯一性;以及
(iii)保全性。此外,這些屬性應理想地以與現(xiàn)有網(wǎng)絡基礎結構成本相稱的成本提供。
[0041]方法
[0042]本文詳述了一種用于在不要求網(wǎng)絡訪問的情況下的電子訪問控制客戶端的控制切換的方法的各種實施例。具體地,本文詳述的各種示例性方法允許在無需網(wǎng)絡監(jiān)控的情況下切換訪問控制客戶端的訂閱和/或配置文件,同時避免高頻切換。訪問控制客戶端的高頻切換可能用于例如,服務型攻擊的拒絕和/或設備/網(wǎng)絡操作的一般中斷。
[0043]現(xiàn)參考圖1,呈現(xiàn)了用于在不要求網(wǎng)絡訪問的情況下的電子訪問控制客戶端的控制切換的方法的一個實施例。考慮這樣的設備,該設備至少包括被配置為選擇、激活和執(zhí)行至少一個訪問控制客戶端的安全元件,其中安全元件被進一步配置為在多個不活動的訪問控制客戶端之間進行切換。例如,移動設備可具有存儲于電子通用集成電路卡(enCC)內的多個電子用戶身份模塊(eSIM)。
[0044]在步驟102處,選擇不活動的訪問控制客戶端和活動的訪問控制客戶端以用于切換操作。為清楚起見,如本文所使用的,術語“活動的”和“不活動的”指的是訪問控制客戶端的執(zhí)行狀態(tài),而不是當前連接狀態(tài)(即,活動的訪問控制客戶端可具有或可不具有與網(wǎng)絡的連接背景)。相關領域的普通技術人員將會理解,由安全元件正執(zhí)行的訪問控制客戶端是“活動的”,而未執(zhí)行的訪問控制客戶端是“不活動的”。
[0045]在一個實施例中,由用戶執(zhí)行選擇??山?jīng)由用戶界面發(fā)生用戶選擇。在其他變形中,用戶選擇可經(jīng)由物理操作發(fā)生,諸如卡插入(例如,其中物理卡可包括SM,或者具有SIM卡形狀因數(shù)的eSM)。在另外的變形中,用戶選擇可基于物理開關等發(fā)生。
[0046]在其他實施例中,選擇可由軟件實體發(fā)起。軟件實體的一般實例包括例如:操作系統(tǒng)(OS)、安全元件OS、軟件應用程序、第三方軟件應用程序、網(wǎng)絡應用程序。在一些實施例中,軟件實施例可基于例如地理位置、一天中的時間、使用等自動執(zhí)行切換。例如,OS可在一天中的指定時間將與商業(yè)賬戶相關聯(lián)的第一 eSIM切換為與個人賬戶相關聯(lián)的第二 eSIM。在其他實施例中,OS可將第一 eSIM自動切換為第二 eSIM以防止和/或減小漫游費用等。
[0047]此外,相關領域的普通技術人員將會理解以下實例僅僅是示例性的。例如,在其他方案中,可利用不同數(shù)量的訪問控制客戶端來執(zhí)行切換。在這樣一種方案中,安全元件可嘗試將兩個(2) eSIM切換到操作中,從而代替一個(I)先前活動的eSIM;g卩,正“切換”的eSIM的數(shù)量不必為一一對應關系。
[0048]此外,盡管在沒有網(wǎng)絡訪問可用的上下文中呈現(xiàn)以下實例,但是本公開的各種原理同樣適于可在不使用現(xiàn)有網(wǎng)絡訪問的情況下執(zhí)行切換的場景。例如,在一些情況下,基于例如功率消耗、網(wǎng)絡擁塞等,網(wǎng)絡連接性可能是不期望的。此外,切換可在網(wǎng)絡實體或過程的命令下執(zhí)行。
[0049]進而,應當理解,在各種所公開的實施例中,對活動的或不活動的訪問控制客戶端的選擇可能是隱含的。例如,在一些具體實施中,用戶可去激活活動的訪問控制客戶端,使得活動的訪問控制客戶端利用先前不活動的默認訪問控制客戶端被替換在類似的實例中,在用戶已被選擇激活與當前活動的訪問控制客戶端的能力重疊的一個訪問控制客戶端的情況下,可替換當前活動的訪問控制客戶端(而不是將兩個訪問控制客戶端都保持為活動的)。
[0050]在方法100的步驟104處,安全元件確定是否可執(zhí)行切換。具體地,安全元件評