CN101917700A - 一种使用业务应用的方法及用户识别模块 - Google Patents
一种使用业务应用的方法及用户识别模块 Download PDFInfo
- Publication number
- CN101917700A CN101917700A CN2010101930090A CN201010193009A CN101917700A CN 101917700 A CN101917700 A CN 101917700A CN 2010101930090 A CN2010101930090 A CN 2010101930090A CN 201010193009 A CN201010193009 A CN 201010193009A CN 101917700 A CN101917700 A CN 101917700A
- Authority
- CN
- China
- Prior art keywords
- service application
- identification module
- key
- subscriber identification
- network side
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
一种使用业务应用的方法及用户识别模块;方法包括:用户识别模块向网络侧以唯一标识注册订购的业务应用;用户识别模块向所述网络侧请求下载业务应用,其中携带所述唯一标识;所述网络侧根据所述唯一标识查找到所述用户识别模块订购的业务应用及其密钥权限;从网络侧下载业务应用及其对应的密钥权限;用户识别模块保存所接收的密钥权限,并记录其对应的业务应用;运行所接收的业务应用,当该业务应用生成或接收到涉及安全的控制指令时,用户识别模块使用所述密钥权限对该控制指令中的数据段进行安全操作,包括:加密、解密或认证。本发明能够提供同步的个性化应用下载与密钥权限下载;提高安全程度。
Description
技术领域
本发明涉及通信领域,尤其涉及一种使用业务应用的方法及用户识别模块。
背景技术
现有的OTA应用下载***如图1所示,包括应用下载平台、无线/有线通信网络、终端、以及用户识别模块(SIM卡、JAVA卡、WIB卡等);用户识别模块与应用下载***配合,可通过所述终端及无线/有线通信网络,从所述应用下载平台将OTA业务应用数据(通常但不限于为应用菜单数据)下载到用户识别模块上,由用户识别模块存储并生成菜单供用户使用。
但是,现有OTA应用下载技术下载的对象是应用菜单,该方案只支持卡端(即用户识别模块)业务应用下载及使用,不支持与该业务应用相关联的密钥权限下载和同步保证机制,也即不支持有个性化安全需求的业务应用下载。在应用下载的目标管理单元方面,现有OTA应用下载技术是以群集性、批量性用户下载管理为目标管理单元,只能实现针对品牌级别划分的用户的下载与管理,不能实现物联网等领域需要的以个人为目标管理单元的一对一的下载与管理,而且现有的应用安全密钥都是按组、按批次存储的,无法实现物联网应用中针对个人的个性化定制及应用私有化要求,也不支持以个人为目标管理单元的分层级应用下载管理。
随着个性化应用的增多和复杂化,越来越多的用户希望使用手机(或其它终端)客户端软件完成对于业务应用的使用;基于开放式操作***(如:Android、Symbian、Windows Mobile等)的手机,可以支持JAVA客户端应用软件的下载和使用,支持个人化应用以手机客户端软件的方式下载到手机中,代替下载到SIM卡中存在的占用空间较大,操作界面单调枯燥的弊端。
但是,业务密钥权限出于安全性考虑不能直接下载到手机中,密钥应下载到存储密钥有着得天独厚的优势的用户识别模块中,这就造成了业务应用与密钥权限分开存储和联合使用的问题,无法实现客户端个人化应用对于安全认证和加密的需求;现有的手机终端客户端应用软件仅能满足对于安全没有要求或要求不高的层次需求,只能实现到软安全的程度,无法实现高强度的硬安全。对于有较高安全需求的应用,现有技术没有解决客户端应用软件与用户识别模块联合实现安全认证和加密的要求。
发明内容
本发明要解决的技术问题是提供一种使用业务应用的方法及用户识别模块,能够提供同步的个性化应用下载与密钥权限下载;提高安全程度。
为了解决上述问题,本发明提供了一种使用业务应用的方法,包括:
用户识别模块向网络侧以唯一标识注册订购的业务应用;
用户识别模块向所述网络侧请求下载业务应用,其中携带所述唯一标识;
所述网络侧根据所述唯一标识查找到所述用户识别模块订购的业务应用及其密钥权限;
从网络侧下载业务应用及其对应的密钥权限;
用户识别模块保存所接收的密钥权限,并记录其对应的业务应用;
运行所接收的业务应用,当该业务应用生成或接收到涉及安全的控制指令时,用户识别模块使用所述密钥权限对该控制指令中的数据段进行安全操作,包括:加密、解密或认证。
进一步地,所述业务应用包括用户识别模块业务应用和终端客户端业务应用;
所述网络侧如果根据所述唯一标识查找到终端客户端业务应用,且所述用户识别模块所在终端支持下载终端客户端业务应用,则发送终端客户端业务应用;否则发送用户识别模块业务应用;
如果发送用户识别模块业务应用,则由所述用户识别模块接收、保存及运行所述业务应用;
如果发送终端客户端业务应用,则由所述终端接收、保存及运行所述业务应用。
进一步地,当所述业务应用为终端客户端业务应用时,所述用户识别模块使用所述密钥权限对控制指令中的数据段进行安全操作的步骤包括:
终端向用户识别模块指定的标准接口文件写入专用协议报文,其中携带用于指示在运行的业务应用的信息,以及所述控制指令;
用户识别模块根据所述专用协议报文确定运行的业务应用,查找到该业务应用对应的密钥权限;
使用所述密钥权限对所述专用协议报文携带的控制指令中的数据段进行安全操作,将含操作结果的专用协议报文更新到所述标准接口文件中;
终端以时间轮询方式从用户识别模块读取含操作结果的专用协议报文,得到操作结果。
进一步地,所述的方法还包括:
所述用户识别模块保存唯一对应该用户识别模块的主控密钥;
所述用户识别模块向所述网络侧请求下载业务应用时还携带所述主控密钥;
所述用户识别模块利用业务应用唯一标识符、所述主控密钥计算一业务应用的会话密钥,用该会话密钥解密所接收的该业务应用的密钥权限;
所述网络侧发送密钥权限的步骤包括:
利用业务应用唯一标识符、所述主控密钥计算会话密钥;利用所述会话密钥加密要下载的密钥权限;发送加密后的密钥权限。
进一步地,所述的方法还包括:
作为主卡的用户识别模块向网络侧以作为副卡的用户识别模块的唯一标识注册订购的业务应用;
网络侧当收到所述作为副卡的用户识别模块的同意确认消息后,主动根据所述唯一标识查找所述用户识别模块订购的业务应用及其密钥权限,并发送给所述作为副卡的用户识别模块。
进一步地,所述从网络侧下载业务应用及其对应的密钥权限的步骤包括:
将密钥权限下载到用户识别模块,用户识别模块首先为该密钥权限分配存储空间,如果空间已满,则通知所述网络侧的应用下载平台密钥权限空间已满,终止下载;否则,用户识别模块验证下载密钥权限的报文的合法性后,存储密钥权限中的密钥值、密钥版本、密钥用途、隶属的业务应用唯一标识符,之后通知所述应用下载平台密钥权限下载成功,继续下载业务应用给用户识别模块。
本发明还提供了一种用户识别模块,包括:
注册单元,用于向网络侧以唯一标识注册订购的业务应用;
请求单元,用于向所述网络侧请求下载业务应用,其中携带所述唯一标识;
接收单元,用于接收所述网络侧根据所述唯一标识查找到的密钥权限,保存所接收的密钥权限,并记录其对应的业务应用;
处理单元,用于当运行的业务应用生成或接收到涉及安全的控制指令时,使用所述密钥权限对该控制指令中的数据段进行安全操作,包括:加密、解密或认证。
进一步地,所述接收单元还用于当所述网络侧根据所述唯一标识查找到的所述业务应用为用户识别模块业务应用时,接收并保存该业务应用。
进一步地,所述处理单元包括:
监控子单元,用于监控指定的标准接口文件是否被终端写入专用协议报文;当写入时,发送使能指令;
提取子单元,用于当收到所述使能指令时,从所述指定的标准接口文件中提取用于指示在运行的业务应用的信息,以及所述控制指令;
查找子单元,用于根据所述指示在运行的业务应用的信息确定运行的业务应用,查找到该业务应用对应的密钥权限;
操作子单元,用于使用所述密钥权限对所述专用协议报文携带的控制指令中的数据段进行安全操作,将含操作结果的专用协议报文更新到所述标准接口文件中。
进一步地,所述的用户识别模块还包括:
存储单元,用于保存唯一对应该用户识别模块的主控密钥;
所述请求单元向所述网络侧请求下载业务应用时还携带所述主控密钥;
计算单元,用于利用业务应用唯一标识符、所述主控密钥计算一业务应用的会话密钥,用该会话密钥解密所接收的该业务应用的密钥权限。
本发明的技术方案通过业务订购关系,对用户进行应用下载和管理,可以实现一对一的应用下载与管理,为每个用户提供应用个人化数据(比如密钥等),可提供以个人为目标管理单元的应用下载管理机制和应用关联密钥权限的下载机制,同时支持应用下载与密钥权限下载的同步,在应用下载完成后进行更新,不再根据卡批次对一批卡进行密钥存储及管理,对于有安全需求的个性化应用定制起到弥补技术空白的作用。
本发明的优化方案提供基于终端客户端业务应用下载及机卡交互认证加密的技术,解决了基于手机终端作为应用承载实体时,需与卡片交互进行认证和加密的接口的问题,达到了应用与密钥权限物理实体分开但融合使用的目的;利用用户识别模块作为硬件加密令牌,实现客户端应用软件对于数据的安全认证和加密要求,通过用户识别模块与终端的标准接口文件作为机卡交互通道,通过一套专用的通信报文协议实现客户端软件应用数据通过SIM卡进行认证和加密的要求,多数开放式操作***终端都可以支持,终端无需单独定制开发即可使用,解决了有安全需求但数据量较大且要求图文并茂的个性化应用的需求问题,是基于用户识别模块的个性化应用下载管理的有效补充,既可以充分利用终端资源又可以解决安全问题,用户接受度将很高。
本发明的另一优化方案中,如果是主卡用户为副卡用户订购业务应用,在得到副卡用户的同意确认消息后,网络侧主动下载为副卡用户所订购的业务应用,实现了业务应用的分层级下载。
附图说明
图1是现有技术中的业务应用下载示意图;
图2是实施例一的一种实施方式的流程示意图;
图3是实施例一的另一种实施方式的流程示意图;
图4是实施例一的一个具体例子的流程示意图。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
需要说明的是,如果不冲突,本发明实施例以及实施例中的各个特征可以相互结合,均在本发明的保护范围之内。另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
实施例一、一种使用业务应用的方法,包括:
用户识别模块向网络侧以唯一标识注册订购的业务应用;
用户识别模块向所述网络侧请求下载业务应用,其中携带所述唯一标识;
所述网络侧根据所述唯一标识查找到所述用户识别模块订购的业务应用及其密钥权限;
从网络侧下载业务应用及其对应的密钥权限;
用户识别模块保存所接收的密钥权限,并记录其对应的业务应用;
运行所接收的业务应用,当该业务应用生成或接收到涉及安全的控制指令时,用户识别模块使用所述密钥权限对该控制指令中的数据段进行安全操作,包括:加密、解密或认证等。
后继还可以同现有流程一样,根据所述安全操作的操作结果相应进行后续业务逻辑处理操作,包括:
发送加密数据段后的控制指令、显示解密结果或返回认证结果等。
本实施例中,所述唯一标识可以是唯一指明一个用户识别模块的标识,国际移动用户识别码IMSI,也可以是唯一指明一个终端的标识,比如国际移动设备身份码IMEI;实际应用时也可以是其它信息。
本实施例中,由用户识别模块通过终端向网络侧注册、请求下载;所请求下载及接收的可以是适用于用户识别模块的业务应用(即用户识别模块业务应用),也可以是适用于终端的业务应用(即终端客户端业务应用)。用户订购的业务应用是采用用户识别模块业务应用还是终端客户端业务应用,依赖于应用下载平台对于该应用的配置或终端支持情况,如果应用下载平台对于一个业务应用两种类型的应用都有且都有效,且用户终端支持终端应用下载,则应用下载平台优先发送终端客户端业务应用,是否需要继续发送用户识别模块业务应用,由应用下载平台配置可选;如果用户终端不支持终端客户端业务应用下载,则直接发送用户识别模块业务应用而无需发送终端客户端业务应用。
实际应用中,也可以优先下载用户识别模块业务应用,或直接在请求下载时指定要下载的业务应用的类型。
如果发送的为用户识别模块业务应用,则由所述用户识别模块接收、保存及运行所述业务应用;
如果发送的为终端客户端业务应用,则由所述终端接收、保存及运行所述业务应用。
实际应用中,如果有的业务应用不需要密钥权限,则网络侧根据订购关系可以只返回业务应用;接收和使用该业务应用的过程可同现有技术,这里不再赘述。
本实施例的一种实施方式可以如图2所示,是用户主动请求下载或远程PUSH下载并接收适用于用户识别模块的业务应用的过程,包括:
用户主动请求下载业务应用或远程PUSH下载业务应用;
网络侧的应用下载平台根据订购关系找到对应的业务应用;
判断该业务应用否需要下载密钥权限;如果不要就只下载该业务应用;要则先下载该业务应用对应的密钥权限,密钥权限下载成功后再下载该业务应用;业务应用的下载过程同现有OTA下载流程,不再赘述;
使用下载的业务应用。
本实施方式中,所述从网络侧下载业务应用及其对应的密钥权限的步骤具体可以包括:
将密钥权限下载到用户识别模块,用户识别模块首先为该密钥权限分配存储空间,如果空间已满,则通知所述应用下载平台密钥权限空间已满,终止下载;否则,用户识别模块验证下载密钥权限的报文的合法性后,存储密钥权限中的密钥值、密钥版本、密钥用途、隶属的业务应用唯一标识符等相关保密密钥和参数,之后通知所述应用下载平台密钥权限下载成功,继续下载业务应用给用户识别模块。
本实施例的另一种实施方式可以如图3所示,是用户主动请求下载或远程PUSH下载及接收适用于终端的业务应用的过程,包括:
用户请求下载终端客户端业务应用或远程PUSH下载终端客户端业务应用;
网络侧的应用下载平台根据订购关系找到对应的业务应用;
判断该业务应用是否存在与终端操作***匹配的版本(即相应的终端客户端业务应用);如果不存在则提示用户无匹配下载版本,结束流程;
如果存在则判断该业务应用否需要下载密钥权限;如果不要,只下载所述相应的终端客户端业务应用;如果要就下载该业务应用对应的密钥权限,密钥权限下载成功后再下载所述终端客户端业务应用;终端业务应用的下载过程同现有终端应用下载流程,不再赘述;
用户通过终端客户端使用下载的终端客户端业务应用。
本实施方式中,下载密钥权限的步骤具体可以包括:
将密钥权限下载到用户识别模块后,用户识别模块首先为该应用的密钥权限分配存储空间,如果空间已满,则通知所述应用下载平台密钥权限空间已满,终止下载;否则,用户识别模块验证下载密钥权限的报文的合法性后,存储密钥权限中的密钥值、密钥版本、密钥用途、隶属的业务应用唯一标识符等相关保密密钥和参数,之后通知应用下载平台密钥权限下载成功,可继续下载业务应用给终端。
本实施例中,如果所接收的是终端客户端业务应用,则终端运行所接收的业务应用运行;用户识别模块使用所述密钥权限对该控制指令中的数据段进行安全操作的步骤具体可以包括:
终端向用户识别模块指定的标准接口文件写入专用协议报文,其中携带用于指示在运行的业务应用的信息,以及所述控制指令;
用户识别模块根据所述专用协议报文确定运行的业务应用,查找到该业务应用对应的密钥权限;
使用所述密钥权限对所述专用协议报文携带的控制指令中的数据段进行安全操作,将含操作结果的专用协议报文更新到所述标准接口文件中;
终端以时间轮询方式从用户识别模块读取含操作结果的专用协议报文,得到操作结果。
当涉及到安全认证和加解密等与安全相关的操作时,终端可通过用户识别模块标准化文件(如:短消息文件、电话本文件等)作为机卡交互通道,通过机卡专用报文协议实现与安全相关的认证和加解密操作,为了使用户识别模块能够配合终端使用,用户识别模块需要提供的改进如下:用户识别模块监控指定的标准化文件的更新操作(Update操作),终端应用执行与安全相关的操作时,会向该标准化文件进行更新数据操作,更新的数据内容为机卡专用的报文协议,用户识别模块监控到更新操作后,对输入的报文协议内容进行解析处理,在用户识别模块中找出应用对应的密钥,按照协议要求进行认证或加/解密运算,之后用户识别模块通过同样的标准接口文件返回操作结果,终端以时间轮询方式读取用户识别模块返回的操作结果,并按照协议返回内容进行后续业务逻辑处理,如发送加密数据段后的控制指令、显示解密结果或返回认证结果等。
以加密为例,用户识别模块是使用所述密钥权限对所述专用协议报文携带的控制指令中的数据段加密,得到的操作结果是携带有加密数据段后的控制指令的加密结果;终端得到加密结果中的加密数据段后的控制指令后发送。
实际应用时也不排除直接由用户识别模块发送所述加密数据段后的控制指令。
一个具体的由终端保存、运行终端客户端业务应用的交互过程可以如图4所示,包括:
用户使用终端上的客户端软件;
终端执行所述软件,运行业务应用;
当需要发送控制指令时,向用户识别模块某个指定的标准接口文件写入专用协议报文,其中携带用于指示在运行的业务应用的信息,以及所述控制指令;
用户识别模块对所述专用协议报文进行解析,确定运行的业务应用,得到所述控制指令;
用户识别模块使用所述在运行的业务应用对应的密钥权限,对所述控制指令的数据段执行加密,得到携带有加密数据段后的控制指令的加密结果;
将含加密结果的专用协议报文更新到该标准接口文件中;
终端向用户识别模块以时间轮询机制读取含加密结果的专用协议报文;
终端解析含所述加密结果的专用协议报文,得到加密结果中的加密数据段后的控制指令,发送该控制指令;
终端通知用户处理完毕。
本实施例中,为了保证业务应用密钥权限的下载过程是安全的,防止密钥下载过程中被监听破解等漏洞发生,采用业务应用密钥权限下载安全控制机制;所述方法还包括:
所述用户识别模块保存唯一对应该用户识别模块的主控密钥;
所述用户识别模块向所述网络侧请求下载业务应用时还携带所述主控密钥;
所述用户识别模块利用业务应用唯一标识符、所述主控密钥计算一业务应用的会话密钥,用该会话密钥解密所接收的该业务应用的密钥权限;
所述网络侧发送密钥权限的步骤包括:
利用业务应用唯一标识符、所述主控密钥计算会话密钥;利用所述会话密钥加密要下载的密钥权限;发送加密后的密钥权限。
所述方法还包括:
本实施例中,所述方法还包括:
网络侧当收到所述作为副卡的用户识别模块的同意确认消息后,主动根据所述唯一标识查找所述用户识别模块订购的业务应用及其密钥权限,并发送给所述作为副卡的用户识别模块。
这样可以实现业务应用的分层级下载。
实施例二、一种用户识别模块,包括:
注册单元,用于向网络侧以唯一标识注册订购的业务应用;
请求单元,用于向所述网络侧请求下载业务应用,其中携带所述唯一标识;
接收单元,用于接收所述网络侧根据所述唯一标识查找到的密钥权限,保存所接收的密钥权限,并记录其对应的业务应用;
处理单元,用于当运行的业务应用生成或接收到涉及安全的控制指令时,使用所述密钥权限对该控制指令中的数据段进行安全操作,包括:加密、解密或认证。
本实施例中,所述接收单元还可用于当所述网络侧根据所述唯一标识查找到的所述业务应用为用户识别模块业务应用时,接收并保存该业务应用。
本实施例中,所述处理单元具体可以包括:
监控子单元,用于监控指定的标准接口文件是否被终端写入专用协议报文;当写入时,发送使能指令;
提取子单元,用于当收到所述使能指令时,从所述指定的标准接口文件中提取用于指示在运行的业务应用的信息,以及所述控制指令;
查找子单元,用于根据所述指示在运行的业务应用的信息确定运行的业务应用,查找到该业务应用对应的密钥权限;
操作子单元,用于使用所述密钥权限对所述专用协议报文携带的控制指令中的数据段进行安全操作,将含操作结果的专用协议报文更新到所述标准接口文件中。
本实施例中,所述的用户识别模块还可以包括:
存储单元,用于保存唯一对应该用户识别模块的主控密钥;
所述请求单元向所述网络侧请求下载业务应用时还携带所述主控密钥;
计算单元,用于利用业务应用唯一标识符、所述主控密钥计算一业务应用的会话密钥,用该会话密钥解密所接收的该业务应用的密钥权限。
其它实现细节可以同实施例一。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明的权利要求的保护范围。
Claims (10)
1.一种使用业务应用的方法,包括:
用户识别模块向网络侧以唯一标识注册订购的业务应用;
用户识别模块向所述网络侧请求下载业务应用,其中携带所述唯一标识;
所述网络侧根据所述唯一标识查找到所述用户识别模块订购的业务应用及其密钥权限;
从网络侧下载业务应用及其对应的密钥权限;
用户识别模块保存所接收的密钥权限,并记录其对应的业务应用;
运行所接收的业务应用,当该业务应用生成或接收到涉及安全的控制指令时,用户识别模块使用所述密钥权限对该控制指令中的数据段进行安全操作,包括:加密、解密或认证。
2.如权利要求1所述的方法,其特征在于:
所述业务应用包括用户识别模块业务应用和终端客户端业务应用;
所述网络侧如果根据所述唯一标识查找到终端客户端业务应用,且所述用户识别模块所在终端支持下载终端客户端业务应用,则发送终端客户端业务应用;否则发送用户识别模块业务应用;
如果发送用户识别模块业务应用,则由所述用户识别模块接收、保存及运行所述业务应用;
如果发送终端客户端业务应用,则由所述终端接收、保存及运行所述业务应用。
3.如权利要求2所述的方法,其特征在于,当所述业务应用为终端客户端业务应用时,所述用户识别模块使用所述密钥权限对控制指令中的数据段进行安全操作的步骤包括:
终端向用户识别模块指定的标准接口文件写入专用协议报文,其中携带用于指示在运行的业务应用的信息,以及所述控制指令;
用户识别模块根据所述专用协议报文确定运行的业务应用,查找到该业务应用对应的密钥权限;
使用所述密钥权限对所述专用协议报文携带的控制指令中的数据段进行安全操作,将含操作结果的专用协议报文更新到所述标准接口文件中;
终端以时间轮询方式从用户识别模块读取含操作结果的专用协议报文,得到操作结果。
4.如权利要求1到3中任一项所述的方法,其特征在于,还包括:
所述用户识别模块保存唯一对应该用户识别模块的主控密钥;
所述用户识别模块向所述网络侧请求下载业务应用时还携带所述主控密钥;
所述用户识别模块利用业务应用唯一标识符、所述主控密钥计算一业务应用的会话密钥,用该会话密钥解密所接收的该业务应用的密钥权限;
所述网络侧发送密钥权限的步骤包括:
利用业务应用唯一标识符、所述主控密钥计算会话密钥;利用所述会话密钥加密要下载的密钥权限;发送加密后的密钥权限。
5.如权利要求1到3中任一项所述的方法,其特征在于,还包括:
作为主卡的用户识别模块向网络侧以作为副卡的用户识别模块的唯一标识注册订购的业务应用;
网络侧当收到所述作为副卡的用户识别模块的同意确认消息后,主动根据所述唯一标识查找所述用户识别模块订购的业务应用及其密钥权限,并发送给所述作为副卡的用户识别模块。
6.如权利要求1到3中任一项所述的方法,其特征在于,所述从网络侧下载业务应用及其对应的密钥权限的步骤包括:
将密钥权限下载到用户识别模块,用户识别模块首先为该密钥权限分配存储空间,如果空间已满,则通知所述网络侧的应用下载平台密钥权限空间已满,终止下载;否则,用户识别模块验证下载密钥权限的报文的合法性后,存储密钥权限中的密钥值、密钥版本、密钥用途、隶属的业务应用唯一标识符,之后通知所述应用下载平台密钥权限下载成功,继续下载业务应用给用户识别模块。
7.一种用户识别模块,其特征在于,包括:
注册单元,用于向网络侧以唯一标识注册订购的业务应用;
请求单元,用于向所述网络侧请求下载业务应用,其中携带所述唯一标识;
接收单元,用于接收所述网络侧根据所述唯一标识查找到的密钥权限,保存所接收的密钥权限,并记录其对应的业务应用;
处理单元,用于当运行的业务应用生成或接收到涉及安全的控制指令时,使用所述密钥权限对该控制指令中的数据段进行安全操作,包括:加密、解密或认证。
8.如权利要求7所述的用户识别模块,其特征在于:
所述接收单元还用于当所述网络侧根据所述唯一标识查找到的所述业务应用为用户识别模块业务应用时,接收并保存该业务应用。
9.如权利要求7所述的用户识别模块,其特征在于,所述处理单元包括:
监控子单元,用于监控指定的标准接口文件是否被终端写入专用协议报文;当写入时,发送使能指令;
提取子单元,用于当收到所述使能指令时,从所述指定的标准接口文件中提取用于指示在运行的业务应用的信息,以及所述控制指令;
查找子单元,用于根据所述指示在运行的业务应用的信息确定运行的业务应用,查找到该业务应用对应的密钥权限;
操作子单元,用于使用所述密钥权限对所述专用协议报文携带的控制指令中的数据段进行安全操作,将含操作结果的专用协议报文更新到所述标准接口文件中。
10.如权利要求7到9中任一项所述的用户识别模块,其特征在于,还包括:
存储单元,用于保存唯一对应该用户识别模块的主控密钥;
所述请求单元向所述网络侧请求下载业务应用时还携带所述主控密钥;
计算单元,用于利用业务应用唯一标识符、所述主控密钥计算一业务应用的会话密钥,用该会话密钥解密所接收的该业务应用的密钥权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010193009.0A CN101917700B (zh) | 2010-05-27 | 2010-05-27 | 一种使用业务应用的方法及用户识别模块 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010193009.0A CN101917700B (zh) | 2010-05-27 | 2010-05-27 | 一种使用业务应用的方法及用户识别模块 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101917700A true CN101917700A (zh) | 2010-12-15 |
| CN101917700B CN101917700B (zh) | 2014-03-26 |
Family
ID=43325062
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010193009.0A Active CN101917700B (zh) | 2010-05-27 | 2010-05-27 | 一种使用业务应用的方法及用户识别模块 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101917700B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9071596B2 (en) | 2012-07-30 | 2015-06-30 | Hewlett-Packard Development Company, L.P. | Securely establishing a communication channel between a switch and a network-based application using a unique identifier for the network-based application |
| CN105825134A (zh) * | 2016-03-16 | 2016-08-03 | 中国联合网络通信集团有限公司 | 智能卡处理方法、智能卡管理服务器及终端 |
| CN107395549A (zh) * | 2016-05-16 | 2017-11-24 | 北京信威通信技术股份有限公司 | 一种多用户登录的方法及装置 |
| CN108632525A (zh) * | 2017-09-20 | 2018-10-09 | 北京视联动力国际信息技术有限公司 | 一种业务处理的方法和*** |
| CN111741462A (zh) * | 2020-06-29 | 2020-10-02 | 中国联合网络通信集团有限公司 | 终端应用权限变更获取方法、终端和usim |
| CN112699401A (zh) * | 2019-10-07 | 2021-04-23 | 富士施乐株式会社 | 信息处理装置、记录介质及信息处理方法 |
| CN115175165A (zh) * | 2022-07-01 | 2022-10-11 | 中国联合网络通信集团有限公司 | 用户识别卡的副***码转网控制方法、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1946203A (zh) * | 2006-11-09 | 2007-04-11 | ***通信集团江苏有限公司 | 针对特征群体用户的用户识别模块业务和应用的实现方法 |
| CN101511051A (zh) * | 2008-12-31 | 2009-08-19 | 北京握奇数据***有限公司 | 电信智能卡的应用业务下载方法、***及设备 |
-
2010
- 2010-05-27 CN CN201010193009.0A patent/CN101917700B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1946203A (zh) * | 2006-11-09 | 2007-04-11 | ***通信集团江苏有限公司 | 针对特征群体用户的用户识别模块业务和应用的实现方法 |
| CN101511051A (zh) * | 2008-12-31 | 2009-08-19 | 北京握奇数据***有限公司 | 电信智能卡的应用业务下载方法、***及设备 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9071596B2 (en) | 2012-07-30 | 2015-06-30 | Hewlett-Packard Development Company, L.P. | Securely establishing a communication channel between a switch and a network-based application using a unique identifier for the network-based application |
| CN105825134A (zh) * | 2016-03-16 | 2016-08-03 | 中国联合网络通信集团有限公司 | 智能卡处理方法、智能卡管理服务器及终端 |
| CN107395549A (zh) * | 2016-05-16 | 2017-11-24 | 北京信威通信技术股份有限公司 | 一种多用户登录的方法及装置 |
| CN108632525A (zh) * | 2017-09-20 | 2018-10-09 | 北京视联动力国际信息技术有限公司 | 一种业务处理的方法和*** |
| CN108632525B (zh) * | 2017-09-20 | 2020-03-06 | 视联动力信息技术股份有限公司 | 一种业务处理的方法和*** |
| CN112699401A (zh) * | 2019-10-07 | 2021-04-23 | 富士施乐株式会社 | 信息处理装置、记录介质及信息处理方法 |
| CN111741462A (zh) * | 2020-06-29 | 2020-10-02 | 中国联合网络通信集团有限公司 | 终端应用权限变更获取方法、终端和usim |
| CN111741462B (zh) * | 2020-06-29 | 2023-03-24 | 中国联合网络通信集团有限公司 | 终端应用权限变更获取方法、终端和usim |
| CN115175165A (zh) * | 2022-07-01 | 2022-10-11 | 中国联合网络通信集团有限公司 | 用户识别卡的副***码转网控制方法、设备及存储介质 |
| CN115175165B (zh) * | 2022-07-01 | 2023-04-25 | 中国联合网络通信集团有限公司 | 用户识别卡的副***码转网控制方法、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101917700B (zh) | 2014-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11025611B2 (en) | Method and apparatus of constructing secure infra-structure for using embedded universal integrated circuit card | |
| JP6185152B2 (ja) | サービスにアクセスする方法、アクセスするためのデバイスおよびシステム | |
| US9647984B2 (en) | System and method for securely using multiple subscriber profiles with a security component and a mobile telecommunications device | |
| KR102082854B1 (ko) | 업데이트된 프로파일을 다운로드하기 위한 방법, 서버들 및 시스템 | |
| CN103747443B (zh) | 一种基于手机用户识别卡多安全域装置及其鉴权方法 | |
| CN101917700B (zh) | 一种使用业务应用的方法及用户识别模块 | |
| US9730060B2 (en) | Method and system for transfering profiles of authentication module | |
| CA2879910C (en) | Terminal identity verification and service authentication method, system and terminal | |
| EP3724798B1 (en) | Method for authenticating a user based on an image relation rule and corresponding first user device, server and system | |
| CN103873454A (zh) | 一种认证方法及设备 | |
| CN105007577A (zh) | 一种虚拟sim卡参数管理方法、移动终端及服务器 | |
| CN102685739B (zh) | 安卓企业应用的鉴权方法及*** | |
| EP2693784A1 (en) | A method for accessing a service, corresponding first device, second device and system | |
| CN111132165B (zh) | 基于区块链的5g通信无卡接入方法、设备及存储介质 | |
| CN101667257A (zh) | 用于无线写卡的空卡、无线写卡服务器及方法 | |
| CN101150851A (zh) | 用于从服务器传送数据到移动站的方法、服务器和移动站 | |
| EP2727384B1 (en) | Method for accessing at least one service and corresponding system | |
| KR101711023B1 (ko) | 보안장치 및 이를 이용하는 데이터 이동 방법 | |
| EP2658297A1 (en) | Method and system for accessing a service | |
| KR102114431B1 (ko) | 모바일 터미널의 내장 보안 요소에 서브스크립션을 로딩하는 방법 | |
| EP2811769A1 (en) | Method and system for accessing a service | |
| CN111148098A (zh) | 5g终端设备注册方法、设备及存储介质 | |
| CN103049693B (zh) | 一种应用程序使用的方法、装置及*** | |
| KR102035158B1 (ko) | eUICC를 이용하기 위한 보안 기반 환경 구축 방법 및 장치 | |
| CN106899568A (zh) | 一种物联网设备的认证凭证更新的方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20101215 Assignee: Beijing Datang Smart Card Co., Ltd. Assignor: Datang Microelectronics Technology Co., Ltd. Contract record no.: 2016110000008 Denomination of invention: Method for using service application and user identification module Granted publication date: 20140326 License type: Common License Record date: 20160422 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model |