一種獲取虛擬用戶身份的方法及裝置的制造方法
【專利摘要】本發(fā)明涉及一種獲取虛擬用戶身份的方法及裝置����,涉及通信技術(shù)領(lǐng)域。其中�,獲取方法包括生成步驟、請求步驟���、獲取步驟及鑒權(quán)步驟���。其中,生成步驟包括在TEE中生成公鑰與存儲在ESE中的私鑰��;請求步驟包括向虛擬運營商服務(wù)器發(fā)送下載號卡資源的請求及上傳公鑰���;獲取步驟包括接收虛擬運營商服務(wù)器基于上傳的公鑰進(jìn)行加密的號卡資源�,在TEE中基于存儲在ESE的私鑰對接收到的號卡資源進(jìn)行解密,并將解密后的號卡資源存儲在ESE中�����;鑒權(quán)步驟包括在TEE中基于接收到的鑒權(quán)參數(shù)與存儲在ESE中的號卡資源對終端用戶的接入身份進(jìn)行鑒權(quán)��。有效確保號卡資源安全及獲取過程的安全性�。
【專利說明】
一種獲取虛擬用戶身份的方法及裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域,特別涉及一種獲取虛擬用戶身份的方法及裝置�。
【背景技術(shù)】
[0002]用戶身份識別模塊(Subscriber Identity Module,SIM)���,通常稱為“SIM卡”���,作為整個GSM系統(tǒng)中唯一確認(rèn)用戶身份的設(shè)備,使其成為向網(wǎng)絡(luò)表明用戶合法身份的重要工具��。通常為帶有微處理器的芯片�����,用于存儲用戶信息�、加密密鑰等,以及提供入網(wǎng)的身份鑒權(quán)并對用戶的語音信息進(jìn)行加密處理�。
[0003]當(dāng)一張SM卡從一個地區(qū)漫游至另一個地區(qū)時�����,會產(chǎn)生高昂的漫游費���,為了減少由此產(chǎn)生的漫游費�,通常會選擇使用漫游所在地的SIM卡,現(xiàn)在還可以使用Sof tsim���,即虛擬SIM 卡����。
[0004]對于虛擬S頂卡�����,用戶無需在手機(jī)上裝入漫游所在地的S頂卡����,只需在手機(jī)中裝入客戶端應(yīng)用程序Softsim APP,在到達(dá)漫游所在地后�,通過通信數(shù)據(jù)通道,從虛擬運營商服務(wù)器上下載包含加密算法�����、加密算法密鑰、IMSI的號卡資源��,并對終端用戶的接入身份進(jìn)行鑒權(quán)�����,以獲取虛擬用戶身份�,從而擁有漫游所在地的號碼,有效地降低用戶的漫游費用����。
[0005]但是,現(xiàn)有虛擬SM卡的獲取過程直接運行在Android等普通操作系統(tǒng)中����,導(dǎo)致其存儲與運行均存在安全風(fēng)險,難以滿足終端用戶在獲取虛擬用戶身份過程中對安全性的要求���。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的主要目的為提供一種獲取虛擬用戶身份的方法���;
本發(fā)明的另一目的為提供一種獲取虛擬用戶身份的裝置。
[0007]為了實現(xiàn)上述主要目的,本發(fā)明提供的獲取虛擬用戶身份的方法包括生成步驟���、請求步驟���、獲取步驟及鑒權(quán)步驟。其中���,生成步驟包括在TEE中生成公鑰與存儲在ESE中的私鑰;請求步驟包括向虛擬運營商服務(wù)器發(fā)送下載號卡資源的請求及上傳生成步驟生成的公鑰;獲取步驟包括接收虛擬運營商服務(wù)器基于上傳的公鑰進(jìn)行加密的號卡資源��,在TEE中基于存儲在ESE中的私鑰對接收到的號卡資源進(jìn)行解密�����,并將解密之后的號卡資源存儲在ESE中;鑒權(quán)步驟包括在TEE中基于接收到的鑒權(quán)參數(shù)與存儲在ESE中的號卡資源對終端用戶的接入身份進(jìn)行鑒權(quán)����。
[0008]由以上方案可見,由于在TEE中生成公鑰與私鑰及對號卡資源進(jìn)行解密�����,并將私鑰與解密后的號卡資源存儲在ESE中���,且終端設(shè)備中的鑒權(quán)過程為在TEE中進(jìn)行���,有效地確保整個獲取虛擬用戶身份過程的安全性���,及有效地確保號卡資源的安全性。
[0009]具體的方案為生成步驟包括:客戶端應(yīng)用接收下載號卡資源的請求�����,觸發(fā)安全操作��,從REE切換至TEE��,運行在TEE下的可信操作系統(tǒng)執(zhí)行與客戶端應(yīng)用對應(yīng)的第一可信應(yīng)用��。第一可信應(yīng)用執(zhí)行公鑰加密算法生成公鑰與私鑰����,并將公鑰傳給客戶端應(yīng)用,及在TEE與ESE之間建立第一安全通道����,并通過第一安全通道將私鑰傳給ESE并存儲在該ESE中。
[0010]更具體的方案為獲取步驟包括:接收虛擬運營商服務(wù)器基于公鑰進(jìn)行加密的號卡資源����,客戶端應(yīng)用將加密的號卡資源傳給第一可信應(yīng)用���。第一可信應(yīng)用使用私鑰對加密的號卡資源進(jìn)行解密,獲取號卡資源��,并通過第一安全通道將解密后的號卡資源傳給ESE及存儲在該ESE中���。完成對解密后號卡資源的存儲后�,關(guān)閉第一安全通道��。
[0011]優(yōu)選的方案為鑒權(quán)步驟包括:客戶端應(yīng)用接收激活虛擬用戶身份的請求����,觸發(fā)安全操作����,從REE切換到TEE,運行在TEE下的可信操作系統(tǒng)執(zhí)行與該客戶端應(yīng)用相對應(yīng)的第二可信應(yīng)用��。第二可信應(yīng)用通過基帶接收核心網(wǎng)發(fā)送的鑒權(quán)參數(shù)����。在TEE與ESE之間建立第二安全通道。第二可信應(yīng)用通過第二安全通道從ESE中獲取鑒權(quán)算法與頂SI,基于鑒權(quán)參數(shù)執(zhí)行鑒權(quán)算法獲得SRES�����,并將SRES與IMSI通過基帶返回給核心網(wǎng)����。完成鑒權(quán)算法與頂SI的傳輸后,關(guān)閉第二安全通道����。當(dāng)然,也可以不關(guān)閉第二安全通道���。
[0012]為了實現(xiàn)上述另一目的���,本發(fā)明提供的獲取虛擬用戶身份的裝置包括生成單元、請求單元��、獲取單元及鑒權(quán)單元��。其中�����,生成單元用于在TEE中生成公鑰與存儲在ESE中的私鑰;請求單元用于向虛擬運營商服務(wù)器發(fā)送下載號卡資源的請求及上傳生成單元生成的公鑰;獲取單元用于接收虛擬運營商服務(wù)器基于公鑰進(jìn)行加密的號卡資源,在TEE中基于存儲在ESE中的私鑰對接收到的號卡資源進(jìn)行解密�,并將解密后的號卡資源存儲在該ESE中;鑒權(quán)單元用于在TEE中基于接收到的鑒權(quán)參數(shù)與存儲在ESE中的號卡資源對終端用戶的接入身份進(jìn)行鑒權(quán)����。
[0013]為了實現(xiàn)上述主要目的,本發(fā)明提供的獲取虛擬用戶身份的方法包括生成步驟�、請求步驟、獲取步驟及鑒權(quán)步驟���。其中����,生成步驟包括在ESE中生成公鑰與存儲在該ESE中的私鑰;請求步驟包括向虛擬運營商服務(wù)器發(fā)送下載號卡資源的請求及上傳生成步驟生成的公鑰;獲取步驟包括接收虛擬運營商服務(wù)器基于上傳的公鑰進(jìn)行加密的號卡資源�����,在ESE中基于存儲在該ESE中的私鑰對接收到的號卡資源進(jìn)行解密����,并將解密后的號卡資源存儲在該ESE中�;鑒權(quán)步驟包括在ESE中基于接收到的鑒權(quán)參數(shù)與存儲在ESE中的號卡資源對終端用戶的接入身份進(jìn)行鑒權(quán)。
[0014]由以上方案可見�����,由于在ESE中生成公鑰與私鑰及對號卡資源進(jìn)行解密,并將私鑰與解密后的號卡資源存儲在該ESE中���,且終端設(shè)備中的鑒權(quán)過程為在該ESE中進(jìn)行����,有效地確保整個獲取虛擬用戶身份過程的安全性�,有效地確保號卡資源的安全性。
[0015]具體的方案為生成步驟包括:客戶端應(yīng)用接收下載號卡資源的請求�����,并向ESE發(fā)送安全操作請求�。在ESE中,執(zhí)行公鑰加密算法生成公鑰與私鑰�,并將私鑰存儲在ESE中,及在REE與ESE之間建立第一安全通道��,并通過第一安全通道將公鑰傳給客戶端應(yīng)用����。
[0016]更具體的方案為獲取步驟包括:接收虛擬運營商服務(wù)器基于公鑰進(jìn)行加密的號卡資源,客戶端應(yīng)用將號卡資源通過第一安全通道傳給ESE�。完成加密后號卡資源的傳輸后�,關(guān)閉第一安全通道�。在ESE中,使用私鑰對經(jīng)加密的號卡資源進(jìn)行解密�����,獲取解密后的號卡資源���,并將解密后的號卡資源存儲在ESE中����。
[0017]優(yōu)選的方案為鑒權(quán)步驟包括:客戶端應(yīng)用接收激活虛擬用戶身份的請求后��,向ESE發(fā)送安全操作請求���。ESE接收安全操作請求及通過基帶接收核心網(wǎng)發(fā)送的鑒權(quán)參數(shù)���,在ESE中,基于鑒權(quán)參數(shù)執(zhí)行鑒權(quán)算法獲得SRES����,并將SRES與從解密后號卡資源中提取的IMSI通過基帶返回給核心網(wǎng)。
[0018]為了實現(xiàn)上述另一目的����,本發(fā)明提供的獲取虛擬用戶身份的裝置包括生成單元、請求單元��、獲取單元及鑒權(quán)單元��。其中�����,生成單元用于在ESE中生成公鑰與存儲在該ESE中的私鑰;請求單元用于向虛擬運營商服務(wù)器發(fā)送下載號卡資源的請求及上傳生成單元生成的公鑰;獲取單元用于接收虛擬運營商服務(wù)器基于公鑰進(jìn)行加密的號卡資源�����,在ESE中基于存儲在ESE中的私鑰對接收到的號卡資源進(jìn)行解密��,并將解密后的號卡資源存儲在該ESE中��;鑒權(quán)單元用于在ESE中基于接收到的鑒權(quán)參數(shù)與存儲在ESE中的號卡資源對終端用戶的接入身份進(jìn)行鑒權(quán)���。
【附圖說明】
[0019]圖1是本發(fā)明獲取虛擬用戶身份的方法實施例的工作流程圖�����;
圖2是本發(fā)明獲取虛擬用戶身份的裝置實施例的結(jié)構(gòu)框圖�。
[0020]以下結(jié)合具體實施例及其附圖對本發(fā)明作進(jìn)一步的說明。
【具體實施方式】
[0021]獲取虛擬用戶身份的方法第一實施例
本實施例中的移動終端設(shè)備可支持兩種運行環(huán)境�,分別為普通執(zhí)行環(huán)境(RichExecut1n Environment,REE)與可信執(zhí)行環(huán)境(Trusted Execut1n Environment�,TEE),本實施例基于ARM的Trustedzone技術(shù)提供可信執(zhí)行環(huán)境��,且安裝有運行在普通執(zhí)行環(huán)境中的客戶端應(yīng)用程序Softsim APP及在設(shè)備中設(shè)有嵌入式安全模塊(embedded SecureElement,ESE)�����。
[0022]參見圖1�����,獲取虛擬用戶身份的方法由生成步驟S1�、請求步驟S2、獲取步驟S3及鑒權(quán)步驟S4構(gòu)成�。
[0023]生成步驟SI,在可信執(zhí)行環(huán)境中生成公鑰與私鑰�,并將私鑰存儲在嵌入式安全模塊中。
[0024]當(dāng)用戶達(dá)到漫游所在地后���,用戶操作SoftsimAPP主動觸發(fā)安全操作流程���,從REE切換至TEE���,運行在TEE下的可信操作系統(tǒng)(Trusted OS)執(zhí)行與Softsim APP對應(yīng)的第一可信應(yīng)用(Trusted Applicat1n�,TA)��,第一可信應(yīng)用執(zhí)行RSA公鑰加密算法生成密鑰對一公鑰(RSA PublicKey)與私鑰(RSA PrivateKey),私鑰存儲在嵌入式安全模塊中����,并將公鑰傳至Softsim APP0
[0025]將私鑰存儲在嵌入式安全模塊中為,在REE與ESE之間建立第一安全通道���,通過該第一安全通道將私鑰傳至ESE并存儲在該ESE中���。
[0026]請求步驟S2,向虛擬運營商服務(wù)器發(fā)送下載號卡資源的請求及上傳由生成步驟SI I中生成的公鑰�����。
[0027]Softsim APP通過通信數(shù)據(jù)通道向虛擬運營商(Virtual Network Operator����,VN0)的服務(wù)器請求獲取號卡資源,并將公鑰發(fā)送給虛擬運營商服務(wù)器。
[0028]在本實施例中�,號卡資源中包括了虛擬用戶身份識別卡的信息。
[0029]虛擬運營商服務(wù)器在接收到請求及公鑰后��,對包括國際移動客戶識別碼ISM1����、鑒權(quán)密鑰K1、運營商密鑰Opc����、鑒權(quán)算法的號卡資源全部使用公鑰進(jìn)行RSA加密生成密文,并將加密之后的號卡資源通過通信數(shù)據(jù)通道發(fā)送至Softsim APP0
[0030]獲取步驟S3����,接收虛擬運營商服務(wù)器基于公鑰進(jìn)行加密的號卡資源,在TEE中�����,基于存儲在ESE中的私鑰對接收到的號卡資源進(jìn)行解密��,并將解密之后的號卡資源存儲在該ESE 中��。
[0031]Softsim APP在接收到經(jīng)加密的號卡資源后���,將經(jīng)加密的號卡資源傳至第一可信應(yīng)用���,第一可信應(yīng)用通過第一安全通道從ESE中獲取私鑰����,并使用私鑰對加密的號卡資源進(jìn)行RSA解密����,將密文解密為明文����,從中得到號卡資源,并將號卡資源通過第一安全通道傳至ESE中并存儲在該ESE中�����,在完全存儲后���,關(guān)閉第一安全通道��。在本發(fā)明一個實施例中����,也可以不關(guān)閉第一安全通道。
[0032]鑒權(quán)步驟S4�����,當(dāng)接收到激活虛擬用戶身份的指令后���,在TEE中��,基于接收到的鑒權(quán)參數(shù)與存儲在ESE中的號卡資源對終端用戶的接入身份進(jìn)行鑒權(quán)�����。
[0033]當(dāng)要激活虛擬SIM卡時����,用戶操控SoftsimAPP主動觸發(fā)安全流程�,從REE切換到TEE,運行在TEE下的可信操作系統(tǒng)(Trusted OS)執(zhí)行與Softsim APP對應(yīng)的第二可信應(yīng)用��。
[0034]當(dāng)收到核心網(wǎng)的鑒權(quán)請求及其通過基帶傳遞給第二可信應(yīng)用的鑒權(quán)參數(shù)后��,在TEE與ESE之間建立第二安全通道�,第二可信應(yīng)用通過第二安全通道從ESE中獲取號卡資源,從獲取的號卡資源中提取MSI與鑒權(quán)算法�,結(jié)合收到的鑒權(quán)參數(shù)���,如鑒權(quán)標(biāo)記AUTN與隨機(jī)參數(shù)RAND,采用US頂/S頂鑒權(quán)算法A3A5�,計算出響應(yīng)結(jié)果SRES及其他K值,并將頂S1�、SRES及其他K值通過基帶返回給核心網(wǎng)。
[0035 ]核心網(wǎng)收到IMS1��、SRES及其他K值后��,進(jìn)行網(wǎng)絡(luò)側(cè)鑒權(quán)�。
[0036]獲取虛擬用戶身份的方法第二實施例
本實施例中的移動終端設(shè)備中設(shè)有嵌入式安全模塊(embedded Secure Element,ESE),且具有運行在普通執(zhí)行環(huán)境(Rich Execut1n Environment����,REE)中的客戶端應(yīng)用程序Softsim APP0
[0037]參見圖1��,獲取虛擬用戶身份的方法由生成步驟S1��、請求步驟S2����、獲取步驟S3及鑒權(quán)步驟S4構(gòu)成。
[0038]生成步驟SI���,在ESE中生成公鑰與私鑰���,并將私鑰存儲在該ESE中���。
[0039]當(dāng)用戶達(dá)到漫游所在地后,用戶操作SoftsimAPP向ESE發(fā)送安全操作請求��,ESE在接收到安全操作的請求后���,執(zhí)行RSA公鑰加密算法生成密鑰對一公鑰(RSA PublicKey)與私鑰(RSA PrivateKey)��,并在REE與ESE之間建立第一安全通道�����,其中�����,私鑰存儲在ESE中����,將公鑰通過第一安全通道傳至Softsim APP0
[0040]請求步驟S2���,向虛擬運營商服務(wù)器發(fā)送下載號卡資源的請求及上傳由生成步驟SI中生成的公鑰�。
[0041 ] Softsim APP通過通信數(shù)據(jù)通道向虛擬運營商(Virtual Network Operator,VN0)服務(wù)器請求獲取號卡資源����,并將公鑰發(fā)送給虛擬運營商服務(wù)器。
[0042]虛擬運營商服務(wù)器在接收到請求及公鑰后�����,對包括國際移動客戶識別碼ISM1����、鑒權(quán)密鑰K1、運營商密鑰Opc����、鑒權(quán)算法的號卡資源全部使用公鑰進(jìn)行RSA加密生成密文����,并將加密之后的號卡資源通過通信數(shù)據(jù)通道發(fā)送至Softsim APP0
[0043]獲取步驟S3,接收虛擬運營商服務(wù)器基于公鑰進(jìn)行加密的號卡資源��,在ESE中��,基于存儲在該ESE中的私鑰對接收到的號卡資源進(jìn)行解密,并將解密之后的號卡資源存儲在該ESE中���。
[0044]Softsim APP在接收到經(jīng)加密的號卡資源后�����,將其通過第一安全通道傳至ESE����,在ESE中�,使用私鑰對加密的號卡資源進(jìn)行RSA解密,將密文解密為明文����,從中得到號卡資源及將號卡資源存儲在該ESE中,并關(guān)閉第一安全通道�。
[0045]鑒權(quán)步驟S4,當(dāng)接收到激活虛擬用戶身份的指令后�,在ESE中,基于接收到的鑒權(quán)參數(shù)與存儲在該ESE中的號卡資源對終端用戶的接入身份進(jìn)行鑒權(quán)�����。
[0046]當(dāng)要激活虛擬用戶身份時,用戶操作SoftsimAPP向ESE發(fā)送安全操作請求���。
[0047]當(dāng)收到核心網(wǎng)的鑒權(quán)請求及核心網(wǎng)通過基帶傳遞給ESE的鑒權(quán)參數(shù)��。在ESE中����,從存儲在ESE中的號卡資源中提取IMSI��,結(jié)合收到鑒權(quán)參數(shù)�����,如鑒權(quán)標(biāo)記AUTN與隨機(jī)參數(shù)RAND�,采用US頂/S頂鑒權(quán)算法A3A5,計算出響應(yīng)結(jié)果SRES及其他K值�,并將頂S1、SRES及其他K值通過基帶返回給核心網(wǎng)�。
[0048]核心網(wǎng)收到IMS1、SRES及其他K值后����,進(jìn)行網(wǎng)絡(luò)側(cè)鑒權(quán)�����。
[0049]獲取虛擬用戶身份的裝置第一實施例
參見圖2,獲取虛擬用戶身份的裝置I包括生成單元10��、請求單元11��、獲取單元12及鑒權(quán)單元13�����。
[0050]生成單元10用于在TEE中生成公鑰與存儲在ESE中的私鑰��,包括接收模塊���、生成模塊與操作模塊�����。
[0051]生成模塊用于在可信執(zhí)行環(huán)境中執(zhí)行RSA公鑰加密算法生成密鑰對一公鑰與私鑰�;操作模塊用于在TEE與ESE之間建立第一安全通道��,將公鑰傳給Softsim APP��,及通過第一安全通道將私鑰傳給ESE并在該ESE中存儲�����。
[0052]請求單元11用于向虛擬運營商服務(wù)器發(fā)送下載號卡資源的請求及上傳公鑰,包括請求模塊與上傳模塊�����。
[0053]請求模塊用于通過通信數(shù)據(jù)通道向虛擬運營商服務(wù)器請求下載號卡資源����,號卡資源包括國際移動客戶識別碼ISM1、鑒權(quán)密鑰K1�、運營商密鑰Opc、鑒權(quán)算法;上傳模塊用于將生成單元10的操作模塊傳送的公鑰傳給虛擬運營商服務(wù)器�,以供虛擬運營商服務(wù)器基于該公鑰對請求模塊所請求的號卡資源進(jìn)行RSA加密。
[0054]獲取單元12用于接收虛擬運營商服務(wù)器基于公鑰進(jìn)行加密的號卡資源��,在TEE中����,基于私鑰對接收到的號卡資源進(jìn)行解密,并將解密之后的號卡資源存儲在ESE中���;其包括接收模塊�����、解密模塊及操作模塊����。
[0055]接收模塊用于通過通信數(shù)據(jù)通道接收虛擬運營商服務(wù)器發(fā)送的經(jīng)RSA加密之后的號卡資源;解密模塊用于在TEE中基于存儲在ESE中的私鑰�����,對接收到的號卡資源進(jìn)行RSA解密;操作模塊用于將解密后的號卡資源通過第一安全通道傳給ESE并在該ESE中存儲���。
[0056]鑒權(quán)單元13用于當(dāng)接收到激活虛擬用戶身份的指令后�,在TEE中基于接收到的鑒權(quán)參數(shù)與存儲在ESE中的號卡資源對終端用戶的接入身份進(jìn)行鑒權(quán);其包括接收模塊����、處理模塊及傳輸模塊。
[0057]接收模塊用于接收激活虛擬SM卡的指令及核心網(wǎng)通過基帶傳輸?shù)蔫b權(quán)參數(shù);處理模塊用于在TEE中��,基于接收到的鑒權(quán)參數(shù)與存儲在ESE中的號卡資源�,采用US頂/SIM鑒權(quán)算法A3A5,計算出響應(yīng)結(jié)果SRES及其他K值;傳輸模塊用于將頂S1�����、SRES及其他K值通過基帶返回給核心網(wǎng)���。
[0058]獲取虛擬用戶身份的裝置第二實施例
參見圖2�����,獲取虛擬用戶身份的裝置I包括生成單元10����、請求單元11、獲取單元12及鑒權(quán)單元13����。
[0059]生成單元10用于在ESE中生成公鑰與存儲在該ESE中的私鑰,包括生成模塊與操作模塊�����。
[0060]生成模塊用于在接收到安全操作的請求后��,在ESE中執(zhí)行RSA公鑰加密算法生成密鑰對--公鑰與私鑰����;操作模塊用于在REE與ESE之間建立第一安全通道,并將公鑰傳給Softsim APP及通過第一安全通道將私鑰傳給ESE并在該ESE中存儲�����。
[0061]請求單元11用于向虛擬運營商服務(wù)器發(fā)送下載號卡資源的請求及上傳公鑰,包括請求模塊與上傳模塊�����。
[0062]請求模塊用于通過通信數(shù)據(jù)通道向虛擬運營商服務(wù)器請求下載號卡資源����,號卡資源包括國際移動客戶識別碼ISM1����、鑒權(quán)密鑰K1、運營商密鑰Opc����、鑒權(quán)算法;上傳模塊用于將生成單元10的操作模塊傳送的公鑰傳給虛擬運營商服務(wù)器,以供虛擬運營服務(wù)器基于該公鑰對請求模塊所請求的號卡資源進(jìn)行RSA加密���。
[0063]獲取單元12用于接收虛擬運營商服務(wù)器基于公鑰進(jìn)行加密的號卡資源���,在ESE中,基于私鑰對接收到的號卡資源進(jìn)行解密����,并將解密之后的號卡資源存儲在該ESE中����;其包括接收模塊����、解密模塊及操作模塊。
[0064]接收模塊用于通過通信數(shù)據(jù)通道接收虛擬運營商服務(wù)器發(fā)送的經(jīng)RSA加密之后的號卡資源;解密模塊用于在ESE中基于存儲在該ESE中的私鑰�,對接收到的號卡資源進(jìn)行RSA解密;操作模塊用于將解密后的號卡資源存儲在該ESE中。
[0065]鑒權(quán)單元13用于當(dāng)接收到激活虛擬用戶身份的指令后����,在ESE中基于接收到的鑒權(quán)參數(shù)與存儲在該ESE中的號卡資源對終端用戶的接入身份進(jìn)行鑒權(quán);其包括接收模塊、處理模塊及傳輸模塊�。
[0066]接收模塊用于接收激活虛擬用戶身份的指令及核心網(wǎng)通過基帶傳輸?shù)蔫b權(quán)參數(shù);處理模塊用于在ESE中��,基于接收到的鑒權(quán)參數(shù)與存儲在ESE中的號卡資源���,采用US頂/SIM鑒權(quán)算法A3A5���,計算出響應(yīng)結(jié)果SRES及其他K值;傳輸模塊用于將頂S1、SRES及其他K值通過基帶返回給核心網(wǎng)���。
[0067]本發(fā)明的主要構(gòu)思是通過在TEE或ESE中實現(xiàn)獲取虛擬用戶身份的過程及將號卡資源存儲在ESE中���,有效地確保號卡資源的安全及獲取虛擬用戶身份過程的安全性����,根據(jù)本構(gòu)思�,生成公鑰與私鑰的算法還有多種顯而易見的變化,進(jìn)行鑒權(quán)的方法還有多種顯而易見的變化�。
【主權(quán)項】
1.一種獲取虛擬用戶身份的方法,其特征在于���,包括: 生成步驟,在可信執(zhí)行環(huán)境中生成公鑰與私鑰����,所述私鑰存儲在嵌入式安全模塊中; 請求步驟��,向虛擬運營商服務(wù)器發(fā)送下載號卡資源的請求及上傳所述公鑰�; 獲取步驟,接收所述虛擬運營商服務(wù)器基于所述公鑰進(jìn)行加密的號卡資源���,在所述可信執(zhí)行環(huán)境中基于所述私鑰對接收到的號卡資源進(jìn)行解密��,并將解密后的號卡資源存儲在所述嵌入式安全模塊中�����; 鑒權(quán)步驟����,在所述可信執(zhí)行環(huán)境中,基于接收到的鑒權(quán)參數(shù)與存儲在所述嵌入式安全模塊中的號卡資源對終端用戶的接入身份進(jìn)行鑒權(quán)�。2.根據(jù)權(quán)利要求1所述獲取虛擬用戶身份的方法,其特征在于��,所述生成步驟包括: 接收下載號卡資源的請求���; 觸發(fā)所述可信執(zhí)行環(huán)境下的可信操作系統(tǒng)執(zhí)行第一可信應(yīng)用�,所述第一可信應(yīng)用執(zhí)行公鑰加密算法生成所述公鑰與所述私鑰�����; 在所述可信執(zhí)行環(huán)境與所述嵌入式安全模塊間建立第一安全通道����,并通過所述第一安全通道將所述私鑰傳給所述嵌入式安全模塊并存儲在所述嵌入式安全模塊中。3.根據(jù)權(quán)利要求2所述獲取虛擬用戶身份的方法���,其特征在于��,所述獲取步驟包括: 接收所述虛擬運營商服務(wù)器基于所述公鑰進(jìn)行加密的號卡資源��; 將所述加密的號卡資源傳給所述第一可信應(yīng)用�; 所述第一可信應(yīng)用使用所述私鑰對所述加密的號卡資源進(jìn)行解密,獲取解密后的號卡資源�����,并通過所述第一安全通道將所述解密后的號卡資源傳給所述嵌入式安全模塊及存儲在所述嵌入式安全模塊中���。4.根據(jù)權(quán)利要求1至3任一項所述獲取虛擬用戶身份的方法�,其特征在于����,所述鑒權(quán)步驟包括: 接收激活所述虛擬用戶身份的請求����; 觸發(fā)運行在所述可信執(zhí)行環(huán)境下的可信操作系統(tǒng)執(zhí)行第二可信應(yīng)用; 所述第二可信應(yīng)用通過基帶接收核心網(wǎng)發(fā)送的所述鑒權(quán)參數(shù)��; 在所述可信執(zhí)行環(huán)境與所述嵌入式安全模塊間建立第二安全通道��; 所述第二可信應(yīng)用通過所述第二安全通道從所述嵌入式安全模塊中獲取鑒權(quán)算法與國際移動客戶識別碼,并基于所述鑒權(quán)參數(shù)執(zhí)行所述鑒權(quán)算法獲得響應(yīng)結(jié)果�����,并將所述響應(yīng)結(jié)果與所述國際移動客戶識別碼通過基帶返回給所述核心網(wǎng)���。5.一種獲取虛擬用戶身份的裝置�,其特征在于����,包括: 生成單元,用于在可信執(zhí)行環(huán)境中生成公鑰與存儲在嵌入式安全模塊中的私鑰���; 請求單元��,用于向虛擬運營商服務(wù)器發(fā)送下載號卡資源的請求及上傳所述公鑰�����; 獲取單元�����,用于接收所述虛擬運營商服務(wù)器基于所述公鑰進(jìn)行加密的號卡資源��,在所述可信執(zhí)行環(huán)境中基于所述私鑰對接收到的號卡資源進(jìn)行解密�����,并將解密后的號卡資源存儲在所述嵌入式安全模塊中�; 鑒權(quán)單元,用于在所述可信執(zhí)行環(huán)境中基于接收到的鑒權(quán)參數(shù)與存儲在所述嵌入式安全模塊中的號卡資源對終端用戶的接入身份進(jìn)行鑒權(quán)�����。6.一種獲取虛擬用戶身份的方法��,其特征在于����,包括: 生成步驟,在嵌入式安全模塊中生成公鑰與私鑰����,所述私鑰存儲在所述嵌入式安全模塊中�; 請求步驟,向虛擬運營商服務(wù)器發(fā)送下載號卡資源的請求及上傳所述公鑰�; 獲取步驟,接收所述虛擬運營商服務(wù)器基于所述公鑰進(jìn)行加密的號卡資源��,在所述嵌入式安全模塊中基于所述私鑰對接收到的號卡資源進(jìn)行解密,并將解密后的號卡資源存儲在所述嵌入式安全模塊中����; 鑒權(quán)步驟,在所述嵌入式安全模塊中基于接收到的鑒權(quán)參數(shù)與存儲在所述嵌入式安全模塊中的號卡資源對終端用戶的接入身份進(jìn)行鑒權(quán)�。7.根據(jù)權(quán)利要求6所述獲取虛擬用戶身份的方法,其特征在于����,所述生成步驟包括: 客戶端應(yīng)用接收下載號卡資源的請求,并向所述嵌入式安全模塊發(fā)送安全操作請求��; 在所述嵌入式安全模塊中����,執(zhí)行公鑰加密算法生成所述公鑰與所述私鑰,并將所述私鑰存儲在所述嵌入式安全模塊中�,及在普通執(zhí)行環(huán)境與所述嵌入式安全模塊間建立第一安全通道,并通過所述第一安全通道將所述公鑰傳給所述客戶端應(yīng)用��。8.根據(jù)權(quán)利要求7所述獲取虛擬用戶身份的方法�����,其特征在于���,所述獲取步驟包括: 接收所述虛擬運營商服務(wù)器基于所述公鑰進(jìn)行加密的號卡資源�; 所述客戶端應(yīng)用將所述加密的號卡資源通過所述第一安全通道傳給所述嵌入式安全模塊; 完成所述加密的號卡資源的傳輸后�����,關(guān)閉所述第一安全通道�; 在所述嵌入式安全模塊中,使用所述私鑰對所述加密的號卡資源進(jìn)行解密��,獲取解密后的號卡資源����,并將所述解密后的號卡資源存儲在所述嵌入式安全模塊中。9.根據(jù)權(quán)利要求6至8任一項所述獲取虛擬用戶身份的方法��,其特征在于����,所述鑒權(quán)步驟包括: 客戶端應(yīng)用接收激活所述虛擬用戶身份的請求后,向所述嵌入式安全模塊發(fā)送安全操作請求���; 所述嵌入式安全模塊接收安全操作請求及通過基帶接收核心網(wǎng)發(fā)送的所述鑒權(quán)參數(shù),在所述嵌入式安全模塊中��,基于所述鑒權(quán)參數(shù)執(zhí)行鑒權(quán)算法獲得響應(yīng)結(jié)果,并將所述響應(yīng)結(jié)果與從所述解密后的號卡資源中提取的國際移動客戶識別碼通過基帶返回給所述核心網(wǎng)���。10.一種獲取虛擬用戶身份的裝置���,其特征在于,包括: 生成單元����,用于在嵌入安全模塊中生成公鑰與存儲在所述嵌入式安全模塊中的私鑰; 請求單元���,用于向虛擬運營商服務(wù)器發(fā)送下載號卡資源的請求及上傳所述公鑰�����; 獲取單元���,用于接收所述虛擬運營商服務(wù)器基于所述公鑰進(jìn)行加密的號卡資源,在所述嵌入式安全模塊中基于所述私鑰對接收到的號卡資源進(jìn)行解密����,并將解密后的號卡資源存儲在所述嵌入式安全模塊中; 鑒權(quán)單元����,在所述嵌入式安全模塊中基于接收到的鑒權(quán)參數(shù)與存儲在所述嵌入式安全模塊中的號卡資源對終端用戶的接入身份進(jìn)行鑒權(quán)����。
【文檔編號】H04W12/04GK105828324SQ201610162030
【公開日】2016年8月3日
【申請日】2016年3月21日
【發(fā)明人】陸羽凡
【申請人】珠海市魅族科技有限公司