CN105848134A - 虚拟sim卡管理装置、通信终端、访问控制及管理方法 - Google Patents

Abstract

本发明公开了一种虚拟SIM卡管理装置、通信终端、访问控制及管理方法，通信终端的虚拟SIM卡管理装置向虚拟SIM卡服务器申请虚拟SIM卡时，其可将用户的用户身份认证信息发给虚拟SIM卡服务器，虚拟SIM卡服务器生成虚拟SIM卡时则可将该用户身份认证信息作为访问虚拟SIM卡的认证条件集成于生成的虚拟SIM卡中发给虚拟SIM卡管理装置。虚拟SIM卡管理装置在检测到有对该虚拟SIM卡发起访问时，则根据该虚拟SIM卡中的用户身份认证信息对当前发起访问的用户进行身份认证，只有在认证通过时才允许其对虚拟SIM卡进行访问。可避免其他非法用户非法获取虚拟SIM卡数据，提升虚拟SIM卡的安全性，尽可能避免因虚拟SIM卡数据的泄露对用户和运营商造成损失。

Description

虚拟SIM卡管理装置、通信终端、访问控制及管理方法

技术领域

本发明涉及虚拟SIM卡领域，尤其涉及一种虚拟SIM卡管理装置、通信终端、访问控制及管理方法。

背景技术

近些年通信技术和电子终端的快速发展，虚拟SIM(SubscriberIdentity Module，客户识别模块)卡的需求越来越有潜力，其运用的领域也会越来越广泛，与实体SIM卡相比，其具有成本低、更方便、快捷以及更环保等诸多优点。但虚拟SIM卡的安全性是用户比较担心的一个问题。目前虚拟SIM卡管理装置的虚拟SIM卡并未设置任何安全访问控制机制，其在存储过程中以及使用过程中，任何能够正常启用该虚拟SIM卡管理装置的用户都能直接对其进行访问，获取用户或者服务商的数据。也即目前虚拟SIM卡管理装置内的虚拟SIM卡由于未设置安全访问机制导致数据很容易泄露，给用户和服务商造成损失。因此如何有效的提升虚拟SIM可的安全性是目前亟需解决的一个技术问题。

发明内容

本发明的主要目的在于提出一种虚拟SIM卡管理装置、通信终端、访问控制及管理方法，旨在解决现有通信终端内的虚拟SIM卡无安全访问控制机制导致虚拟SIM卡安全性低的问题。

为实现上述目的，本发明提供了一种虚拟SIM卡管理装置，包括虚拟SIM卡申请模块以及身份验证模块；

所述虚拟SIM卡申请模块用于向虚拟SIM卡服务器发送包含用户身份认证信息的虚拟SIM卡申请请求，以及接收并存储所述虚拟SIM卡服务器反馈的集成有所述用户身份认证信息的虚拟SIM卡；

所述身份验证模块用于检测到用户对所述虚拟SIM卡发起访问时，根据所述虚拟SIM卡中的用户身份认证信息对所述用户进行身份认证，认证通过则允许访问所述虚拟SIM卡，否则禁止访问所述虚拟SIM卡。

其中，所述用户身份认证信息包含用户生物识别信息和用户自定义识别信息中的至少一种。

其中，所述用户生物识别信息包含用户指纹识别信息、用户视网膜识别信息、用户声音识别信息、用户眼虹膜识别信息和用户面貌识别信息中的至少一种。

其中，所述用户自定义识别信息包含用户自定义密码。

另一方面，为了实现上述目的，本发明还提供了一种通信终端，包含如上所述的虚拟SIM卡管理装置。

另一方面，为了实现上述目的，本发明还提供了一种包括虚拟SIM卡管理模块和虚拟SIM卡生成模块；

所述虚拟SIM卡管理模块用于接收来自虚拟SIM卡管理装置的虚拟SIM卡申请请求，所述虚拟SIM卡申请请求包含用户身份认证信息，并将所述用户身份认证信息发给所述虚拟SIM卡生成模块；

所述虚拟SIM卡生成模块用于将所述用户身份认证信息作为访问虚拟SIM卡的认证条件集成于生成的虚拟SIM卡中，并发给所述虚拟SIM卡管理装置。

其中，还包括虚拟SIM卡鉴权模块；所述SIM卡申请请求还包括所述虚拟SIM卡管理装置的唯一识别码，所述虚拟SIM卡鉴权模块用于将所述唯一识别码与所述虚拟SIM卡绑定存储；以及用于检测到当前使用所述虚拟SIM卡的虚拟SIM卡管理装置的唯一识别码与之前存储的唯一识别码不一致时，根据所述SIM卡中的用户身份认证信息对当前虚拟SIM卡管理装置的用户进行身份验证，如验证通过，将之前存储的唯一识别码替换为所述当前虚拟SIM卡管理装置的唯一识别码。

另一方面，为了实现上述目的，本发明还提供了一种虚拟SIM卡访问控制方法，包括：

向虚拟SIM卡服务器发送包含用户身份认证信息的虚拟SIM卡申请请求，以及接收并存储所述虚拟SIM卡服务器反馈的集成有所述用户身份认证信息的虚拟SIM卡；

当检测到用户对所述虚拟SIM卡发起访问时，根据所述虚拟SIM卡中的用户身份认证信息对当前用户进行身份认证，认证通过时允许访问所述虚拟SIM卡，否则禁止访问所述虚拟SIM卡。

另一方面，为了实现上述目的，本发明还提供了一种虚拟SIM卡管理方法，包括：

接收虚拟SIM卡管理装置发送的包含用户身份认证信息的虚拟SIM卡申请请求；

将所述用户身份认证信息作为访问虚拟SIM卡的认证条件集成于生成的虚拟SIM卡中，并发给所述虚拟SIM卡管理装置。

其中，所述SIM卡申请请求还包括所述虚拟SIM卡管理装置的唯一识别码，所述方法还包括：

将所述唯一识别码与所述虚拟SIM卡绑定存储；检测到当前使用所述虚拟SIM卡的虚拟SIM卡管理装置的唯一识别码与之前存储的唯一识别码不一致时，根据所述SIM卡中的用户身份认证信息对所述虚拟SIM卡管理装置当前的用户进行身份验证，如验证通过，将之前存储的唯一识别码替换为所述当前虚拟SIM卡管理装置的唯一识别码。

本发明提出的虚拟SIM卡管理装置、通信终端、访问控制及管理方法，在虚拟SIM卡管理装置向虚拟SIM卡服务器申请虚拟SIM卡时，其可将用户的用户身份认证信息发给虚拟SIM卡服务器，虚拟SIM卡服务器生成虚拟SIM卡时则可将该用户身份认证信息作为访问虚拟SIM卡的认证条件集成于生成的虚拟SIM卡中发给虚拟SIM卡管理装置。虚拟SIM卡管理装置在检测到有对该虚拟SIM卡发起访问时，则根据该虚拟SIM卡中的用户身份认证信息对当前发起访问的用户进行身份认证，只有在认证通过时才允许其对虚拟SIM卡进行访问。这样可避免其他非法用户非法获取虚拟SIM卡数据，提升虚拟SIM卡的安全性，尽可能避免因虚拟SIM卡数据的泄露对用户和运营商造成损失。

附图说明

图1为本发明实施例一种可选的移动终端的硬件结构示意图；

图2为本发明实施例一种可选的服务器的硬件结构示意图；

图3为本发明第一实施例的通信***的结构示意图；

图4为本发明第二实施例的虚拟SIM卡管理装置结构示意图；

图5为本发明第三实施例的虚拟SIM卡服务器结构示意图；

图6为本发明第四实施例的虚拟SIM卡访问控制方法流程示意图；

图7为本发明第五实施例的虚拟SIM卡管理方法流程示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本实施例中的虚拟SIM卡管理装置是指能使用虚拟SIM卡的所有虚拟SIM卡管理装置，其可设置于各种通信终端内，包含移动类型的通信终端，例如移动电话、智能电话、笔记本电脑、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)等等；也可包括具有通信功能的固定类型的通信终端。本实施例中的虚拟SIM卡管理装置作为虚拟SIM卡申请方向虚拟SIM卡服务器申请虚拟SIM卡时，其可将用户的用户身份认证信息发给虚拟SIM卡服务器，以供虚拟SIM卡服务器生成虚拟SIM卡时则将该用户身份认证信息作为访问虚拟SIM卡的认证条件集成于虚拟SIM卡中。这样在后续的访问控制过程中，虚拟SIM卡管理装置在检测到有对该虚拟SIM卡发起访问时，就可根据该虚拟SIM卡中的用户身份认证信息对当前发起访问的用户进行身份认证，只有在认证通过时才允许其对虚拟SIM卡进行访问，可避免其他非法用户非法获取虚拟SIM卡数据，提升虚拟SIM卡的安全性。

进一步的，本实施例中的虚拟SIM卡服务器除了在生成虚拟SIM卡时将用户身份认证信息作为访问虚拟SIM卡的认证条件外，还可进一步将包含用户身份认证信息的虚拟SIM卡与发起申请的虚拟SIM卡管理装置的唯一识别码进行绑定存储。当后续SIM卡服务器检测到当前使用该虚拟SIM卡的虚拟SIM卡管理装置的唯一识别码(例如当虚拟SIM卡管理装置设置于手机中时，则虚拟SIM卡管理装置的唯一识别码可以是手机的各种唯一识别码，包括但不限于IMIE(International Mobile Equipment Identity)码)与之前所存储的唯一识别码不一致时，根据该虚拟SIM卡中的用户认证信息对当前虚拟SIM卡管理装置用户的身份进行认证，如非法，则表明可能被盗用，禁止其使用；如合法，表明用户更换了虚拟SIM卡管理装置，将之绑定存储的唯一识别码更新为当前虚拟SIM卡管理装置的唯一识别码。这样可在虚拟SIM卡的使用过程中进一步虚拟SIM卡是否被盗用进行实时监控，避免虚拟SIM卡被盗用，能进一步提升其安全性能。尽可能避免因虚拟SIM卡数据的泄露对用户和运营商造成损失。

为了更好的理解本发明，下面以一种设置有虚拟SIM卡管理装置的移动终端的为例，对本发明做进一步示例性说明。在后续的描述中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明，其本身并没有特定的意义。因此，"模块"与"部件"可以混合地使用。

如图1所示，为实现本发明各个实施例一个移动终端的硬件结构示意。其包括：无线通信单元110、、A/V(音频/视频)输入单元120、用户输入单元130、感测单元140、输出单元150、存储器160、接口单元170、控制器180、电源单元190以及身份验证单元200等等。图1示出了具有各种组件的移动终端，但是应理解的是，并不要求实施所有示出的组件。可以替代地实施更多或更少的组件。下面对上述元件进行简单的说明。

无线通信单元110通常包括一个或多个组件，其允许移动终端100与无线通信***或网络之间的无线电通信，且其具体可利用终端内的虚拟SIM卡进行通信实现上网、通话、收发短信等各种业务。例如，无线通信单元可以包括广播接收模块111、移动通信模块112、无线互联网模块113、短程通信模块114和位置信息模块115中的至少一个。

A/V输入单元120用于接收音频或视频信号。A/V输入单元120可以包括相机121和麦克风1220，麦克风1220可以采集用户的声音这一生理特征，且可以作为一种身份认证信息发给虚拟SIM卡申请模块。

用户输入单元130可以根据用户输入的命令生成键输入数据以控制移动终端的各种操作。用户输入单元130允许用户输入各种类型的信息，并且可以包括键盘、锅仔片、触摸板(例如，检测由于被接触而导致的电阻、压力、电容等等的变化的触敏组件)、滚轮、摇杆等等。特别地，当触摸板以层的形式叠加在显示单元151上时，可以形成触摸屏。

感测单元140检测移动终端100的当前状态，(例如，移动终端100的打开或关闭状态)、移动终端100的位置、用户对于移动终端100的接触(即，触摸输入)的有无、移动终端100的取向、移动终端100的加速或减速移动和方向等等，并且生成用于控制移动终端100的操作的命令或信号。

接口单元170用作至少一个外部装置与移动终端100连接可以通过的接口。例如，外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频I/O端口、耳机端口等等。

输出单元150被构造为以视觉、音频和/或触觉方式提供输出信号(例如，音频信号、视频信号、警报信号、振动信号等等)。输出单元150可以包括显示单元151、音频输出模块152、警报单元153等等。

显示单元151可以包括液晶显示器(LCD)、薄膜晶体管LCD(TFT-LCD)、有机发光二极管(OLED)显示器、柔性显示器、三维(3D)显示器等等中的至少一种。这些显示器中的一些可以被构造为透明状以允许用户从外部观看，这可以称为透明显示器，典型的透明显示器可以例如为TOLED(透明有机发光二极管)显示器等等。根据特定想要的实施方式，移动终端100可以包括两个或更多显示单元(或其它显示装置)，例如，移动终端可以包括外部显示单元(未示出)和内部显示单元(未示出)。触摸屏可用于检测触摸输入压力以及触摸输入位置和触摸输入面积。

音频输出模块152可以在移动终端处于呼叫信号接收模式、通话模式、记录模式、语音识别模式、广播接收模式等等模式下时，将无线通信单元110接收的或者在存储器160中存储的音频数据转换音频信号并且输出为声音。而且，音频输出模块152可以提供与移动终端100执行的特定功能相关的音频输出(例如，呼叫信号接收声音、消息接收声音等等)。音频输出模块152可以包括扬声器、蜂鸣器等等。

警报单元153可以提供输出以将事件的发生通知给移动终端100。典型的事件可以包括呼叫接收、消息接收、键信号输入、触摸输入等等。除了音频或视频输出之外，警报单元153可以以不同的方式提供输出以通知事件的发生。

存储器160可以存储由控制器180执行的处理和控制操作的软件程序等等，或者可以暂时地存储己经输出或将要输出的数据(例如，电话簿、消息、静态图像、视频、用户身份信息等等)。而且，存储器160可以存储关于当触摸施加到触摸屏时输出的各种方式的振动和音频信号的数据。

存储器160可以包括至少一种类型的存储介质，所述存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，SD或DX存储器等等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等等。而且，移动终端100可以与通过网络连接执行存储器160的存储功能的网络存储装置协作。

控制器180通常控制移动终端的总体操作。例如，控制器180执行与语音通话、数据通信、视频通话等等相关的控制和处理。另外，控制器180可以包括用于再现(或回放)多媒体数据的多媒体模块1810，多媒体模块1810可以构造在控制器180内，或者可以构造为与控制器180分离。控制器180可以执行模式识别处理，以将在触摸屏上执行的手写输入或者图片绘制输入识别为字符或图像。

虚拟SIM卡申请模块1811可以构造在控制器180内，也可以构造为与控制器180分离，控制器180可以控制虚拟SIM卡申请模块1811向虚拟SIM卡服务器发送包含用户身份认证信息的虚拟SIM卡申请请求以申请虚拟SIM卡。

电源单元190在控制器180的控制下接收外部电力或内部电力并且提供操作各元件和组件所需的适当的电力。

身份验证单元200可以包含各种能实现对用户身份信息进行认证的功能模块，具体的，其可包括通过对用户的生物特征信息实现对用户身份尽心认证的各种模块，例如包括但不限于指纹识别模块201、视网膜识别模块202、声音识别模块203、眼虹膜识别模块204和面貌识别模块205等中的至少一种；其也可以包含供用户自定义识别信息以识别用户身份的功能模块，例如包括但不限于各种口令识别模块206以及密码识别模块207等。通过上述各种识别模块中的一个或多个的组合即可实现对终端用户当前身份的识别。

如图2所示，为实现本发明各个实施例一个可选的服务器的结构示意图，该服务器至少包括：输入输出(IO)总线21、处理器22、存储器23、内存24和通信装置25。其中，

输入输出(IO)总线21分别与自身所属的服务器的其它部件(处理器22、存储器23、内存24和通信装置25)连接，并且为其它部件提供传送线路。

处理器22通常控制自身所属的服务器的总体操作。例如，处理器22执行计算和确认等操作。其中，处理器22可以是中央处理器(CPU)。虚拟SIM卡管理模块221和虚拟SIM卡生成模块222可以设置于处理器22内，也可以脱离处理器22单独设置，分别用于生成虚拟SIM卡和对虚拟SIM卡进行各种管理。

存储器23存储处理器可读、处理器可执行的软件代码，其包含用于控制处理器22执行本文描述的功能的指令(即软件执行功能)，还包含为各通信终端存储的虚拟SIM卡、终端标识、用户身份识别信息等数据以及各种业务数据。

内存24，一般采用半导体存储单元，包括随机存储器(RAM)，只读存储器(ROM)，以及高速缓存(CACHE)，RAM是其中最重要的存储器。内存24是计算机中重要的部件之一，它是与CPU12进行沟通的桥梁，计算机中所有程序的运行都是在内存中进行的，其作用是用于暂时存放CPU22中的运算数据，以及与硬盘等外部存储器交换的数据，只要计算机在运行中，CPU22就会把需要运算的数据调到内存中进行运算，当运算完成后CPU22再将结果传送出来。

通信装置25，通常包括一个或多个组件，其允许自身所属的服务器与无线通信***或网络之间的无线电通信，例如与外部通信终端通过有线或无线的方式建立通信连接。

以下通过具体实施例进行详细说明。

第一实施例

请参见图3所示，该图所示通信***其具体包括通信终端2和虚拟SIM卡服务器202，通信终端2和虚拟SIM卡服务器可以分别采用图1和图2所示的移动终端和服务器结构。其中通信终端2中包括虚拟SIM卡管理装置201。该通信***中虚拟SIM卡的申请、访问及管理过程如下：

虚拟SIM卡管理装置201向虚拟SIM卡服务器202申请虚拟SIM卡时，发送包含用户身份认证信息的虚拟SIM卡申请请求给虚拟SIM卡服务器202；

虚拟SIM卡服务器202接收到虚拟SIM卡申请请求后，生成虚拟SIM卡(当然为了提升安全性，在此之前可通过各种方式对此次申请请求的合法性进行验证，只有当验证通过才进行后续的步骤)，并将该请求中的将用户身份认证信息作为访问虚拟SIM卡的认证条件集成于生成的虚拟SIM卡中，发给虚拟SIM卡管理装置201；

虚拟SIM卡管理装置201接收并存储虚拟SIM卡服务器202反馈的虚拟SIM卡；后面在检测到用户或其他业务有对该虚拟SIM卡发起访问时，根据虚拟SIM卡中的用户身份认证信息对当前用户进行身份认证，认证通过时允许访问所述虚拟SIM卡，否则禁止访问所述虚拟SIM卡。这样在用户每次使用终端中的虚拟SIM卡时，都会先对用户身份的合法性进行认证。认证通过后才允许对其进行访问。提升了虚拟SIM卡访问的安全性，避免终端内的虚拟SIM卡被非法访问而导致数据泄露。

应当理解的是，本实施例中虚拟SIM卡管理装置申请虚拟SIM卡时，其向虚拟SIM卡服务器202发送用户身份认证信息的方式并不仅限于包含在申请请求中发过去，也可以通过单独的消息或包含于其他现有消息中发给虚拟SIM卡服务器202。例如，可在现有虚拟SIM卡管理装置与虚拟SIM卡服务器的现有消息交互机制基础之上，额外构建包含用户身份认证信息的身份认证请求消息，并在虚拟SIM卡服务器根据虚拟SIM卡管理装置所发送的申请请求生成虚拟SIM卡之前，将该用户身份认证信息发给虚拟SIM卡服务器，以供其从中提取用户身份认证信息并集成于虚拟SIM卡中。又例如，当通过其他现有消息携带发送时，理论上能通过虚拟SIM卡管理装置在虚拟SIM卡服务器生成虚拟SIM卡之前向其发送的任意一种消息都可实现将用户身份认证信息发给虚拟SIM卡服务器。例如，当SIM卡终端在向虚拟SIM卡服务器发送虚拟SIM卡申请请求之前，当其需要向SIM卡服务器注册时，可在注册请求中将该消息发给虚拟SIM卡服务器。

本实施例中的用户身份认证信息可以包含至少一种能对用户身份进行安全认证的识别信息，当为了进一步提升认证的可靠性时，可以选择两种或两种以上信息的组合。例如，用户身份认证信息包含虚拟SIM卡管理装置201用户的生物特征识别信息和用户自定义识别信息中的至少一种。其中：

用户的生物特征识别信息包括但不限于用户指纹识别信息、用户视网膜识别信息、用户声音识别信息、用户眼虹膜识别信息和用户面貌识别信息中的至少一种。采用生物特征识别信息对用户身份进行认证的方式可以灵活选择。例如，用户自定义识别信息可以包含用户指纹信息，此时用户访问虚拟SIM卡时，虚拟SIM卡管理装置201需获取该用户的指纹信息进行身份认证。而用户自定义识别信息则包括但不限于用户自定义密码等，访问用户只有输入了对的密码才能对虚拟SIM卡进行正常的访问。

为了提升安全性，可以采用多种信息的组合，例如采用用户指纹识别信息和用户视网膜识别信息，此时用户访问虚拟SIM卡时，虚拟SIM卡管理装置201需获取该用户的指纹信息和视网膜信息进行身份认证。又例如，采用用户指纹识别信息和用户自定义的识别口令时，此时用户访问虚拟SIM卡，虚拟SIM卡管理装置201需获取该用户的指纹信息和用户输入的识别口令对用户的身份进行认证。具体认证过程为：SIM卡终端将获取的识别信息与虚拟SIM卡中集成的用户身份认证信息进行匹配，如匹配的上，则认证通过，允许此次访问；否则认证失败，禁止此次访问。

为了进一步提升安全性，本实施例中的虚拟SIM卡服务器202还可对使用虚拟SIM卡的虚拟SIM卡管理装置进行监控。具体的，虚拟SIM卡管理装置201向虚拟SIM卡服务器202申请虚拟SIM卡时，其还可将自身的唯一识别码随着申请请求发给虚拟SIM卡服务器202。本实施例中，虚拟SIM卡管理装置201作为独立的终端存在时，其唯一标识码则是自身可以唯一标识自己身份的各种信息；虚拟SIM卡管理装置201设置于移动终端(例如手机、PAD等)或其他固定终端内时，其唯一标识码则可以取能唯一标识其所在的移动终端或固定终端的唯一标识信息。

虚拟SIM卡服务器202生成虚拟SIM卡后，除了将用户身份认证信息集成于该虚拟SIM卡内，在存储虚拟SIM卡时，其还将申请终侧(即虚拟SIM卡管理装置201)的唯一识别码与该虚拟SIM卡绑定存储。在后续虚拟SIM卡的使用过程中，虚拟SIM安卡服务器检测到当前使用该虚拟SIM卡的虚拟SIM卡管理装置的唯一识别码与之前存储的唯一识别码不一致时，根据该SIM卡中的用户身份认证信息对当前虚拟SIM卡管理装置的用户进行身份验证，如验证通过，将之前存储的唯一识别码替换为当前虚拟SIM卡管理装置的唯一识别码；如验证失败，则表明极有可能虚拟SIM卡被盗用，禁止该虚拟SIM卡管理装置继续使用。这样在虚拟SIM卡后续使用过程中，可对使用该虚拟SIM卡管理装置的合法性进行进一步监控、认证。能进一步提升虚拟SIM卡使用管理的安全性能。

另外，本实施例中，为了进一步提升安全性，避免生成的虚拟SIM卡在网络传输过程中被复制盗用；虚拟SIM卡服务器202在生成好虚拟SIM卡并将用户身份认证信息集成到该虚拟SIM卡中后，对该虚拟SIM卡进行加密后再发给虚拟SIM卡管理装置201。其加密可以采用虚拟SIM卡管理装置201发送的公钥(该公钥也可随着虚拟SIM卡申请请求发给虚拟SIM卡服务器202)或之前与虚拟SIM卡管理装置201所约定好的公钥或其他加密规则。虚拟SIM卡管理装置201接收到该虚拟SIM卡后，对其完成正确解密后进行存储。对生成的虚拟SIM卡进行加密传输避免其传输构成中复制盗用，可见进一步提升虚拟SIM卡的安全性。

第二实施例

参照图4，图4为本发明第二实施例提供的虚拟SIM卡管理装置201，虚拟SIM卡管理装置201可以为一个独立的终端，也可以内置于移动终端或其他具有通信功能的固定终端内，其包含虚拟SIM卡申请模块2011以及身份验证模块2012；其中虚拟SIM卡申请模块2011可以内置于终端的处理器中，也可以独立于处理器之外单独设置。身份验证模块202可以通过终端的各种传感器(例如麦克风、摄像头、指纹识别传感器)采集用户的生物特征信息，和/或利用终端的各种输入模块(例如触摸屏、物理按键等)获取用户自定义密码作为用户的身份认证信息。

虚拟SIM卡申请模块2011用于向虚拟SIM卡服务器发送包含用户身份认证信息(该信息可以是之前存储在虚拟SIM卡管理装置中的，也可为实时通过身份验证模块2012所获取的当前用户的身份认证信息)的虚拟SIM卡申请请求，当然该申请请求中还可包含虚拟SIM卡管理装置的唯一识别码(例如IMEI)和公钥；

虚拟SIM卡申请模块2011还用于接收并存储虚拟SIM卡服务器反馈的集成有用户身份认证信息的虚拟SIM卡；当虚拟SIM卡服务器反馈的虚拟SIM卡有加密时，虚拟SIM卡申请模块2011还用于对接收到的虚拟SIM卡进行解密。

身份验证模块2012用于在检测到用户或其他业务对虚拟SIM卡发起访问时，根据虚拟SIM卡中的用户身份认证信息对当前用户进行身份认证，认证通过时允许访问虚拟SIM卡，否则禁止访问虚拟SIM卡。本示例中的身份验证模块可以包括但不限于指纹识别模块、视网膜识别模块、声音识别模块、眼虹膜识别模块、面貌识别模块、密码识别模块中的至少一种；对应的用户身份验证信息包括但不限于用户指纹识别信息、用户视网膜识别信息、用户声音识别信息、用户眼虹膜识别信息、用户面貌识别信息、用户自定义密码中的至少一种。应当理解的是，为了进一步提升认证的可靠性时，可以选择两种或两种以上信息的组合。例如，用户身份认证信息包含虚拟SIM卡管理装置201用户的生物特征识别信息和用户自定义识别信息中；而用户的生物特征识别信息包括但不限于用户指纹识别信息、用户视网膜识别信息、用户声音识别信息、用户眼虹膜识别信息和用户面貌识别信息中的至少一种；例如，用户自定义识别信息可以包含用户指纹信息，此时用户访问虚拟SIM卡时，虚拟SIM卡管理装置201需获取该用户的指纹信息进行身份认证。用户自定义识别信息则包括但不限于用户自定义的密码等。为了提升安全性，可以采用多种信息的组合，例如采用用户指纹识别信息和用户视网膜识别信息，此时用户访问虚拟SIM卡时，指纹识别模块和视网膜识别模块分别获取该用户的指纹信息和视网膜信息进行身份认证。如都匹配的上，则认证通过，允许此次访问；否则认证失败，禁止此次访问。

可见，实施例中的虚拟SIM卡管理装置在申请虚拟SIM卡时将用户的身份认证信息一并发给虚拟SIM卡服务器，使得生成的虚拟SIM卡与该用户身份认证信息进行绑定。后续检测到用户对该需求SIM卡进行访问时，基于该用户身份认证信息对用户的身份进行认证通过后才允许其访问，在虚拟SIM卡管理装置侧提升了虚拟SIM卡访问的安全性。

第三实施例

请参见图5所示，图5为本发明第三实施例提供的虚拟SIM卡服务器202，其包括虚拟SIM卡管理模块221、虚拟SIM卡生成模块222、以及虚拟SIM卡鉴权模块223，且以上三个模块都可以内置于服务器的处理器中，也可以独立于处理器设置；其中：

虚拟SIM卡管理模块221用于接收虚拟SIM卡管理装置发送的包含用户身份认证信息的虚拟SIM卡申请请求(还可包括唯一识别码和公钥)，并将用户身份认证信息发给虚拟SIM卡生成模块；在发送用户身份认证信息之前还其还用先对接收到的申请请求的合法性进行认证；

虚拟SIM卡生成模块222用于生成虚拟SIM卡将用户身份认证信息作为访问虚拟SIM卡的认证条件集成虚拟SIM卡生成模块222于生成的虚拟SIM卡中，并发给虚拟SIM卡管理装置。这样虚拟SIM卡管理装置在对该虚拟SIM卡进行访问时，需要通过身份认证才有权限对虚拟SIM卡进行访问，提升虚拟SIM卡的安全性。

虚拟SIM卡生成模块222发送虚拟SIM卡给虚拟SIM卡管理装置时，可根据上述公钥对其进行加密后发送，以进一步提升安全性。

虚拟SIM卡鉴权模块223用于将唯一识别码与虚拟SIM卡生成模块所生成的虚拟SIM卡绑定存储(该虚拟SIM卡可以通过虚拟SIM卡管理模块从虚拟SIM卡生成模块获取后转发给虚拟SIM卡鉴权模块，也可以由虚拟SIM卡生成模块直接发给虚拟SIM卡鉴权模块)；以及用于检测到当前使用虚拟SIM卡的虚拟SIM卡管理装置的唯一识别码与之前存储的唯一识别码不一致时，根据该SIM卡中的用户身份认证信息对当前虚拟SIM卡管理装置的用户进行身份验证，如验证通过，将之前存储的唯一识别码替换为所述当前虚拟SIM卡管理装置的唯一识别码。否则，表明虚拟SIM卡当前可能被盗用，其可直接报警或直接禁止当前虚拟SIM卡管理装置继续使用。这样在虚拟SIM卡后续使用过程中，可对使用该虚拟SIM卡管理装置的合法性进行进一步监控、认证。能进一步虚拟SIM卡使用管理的提升安全性能。

这里描述的各种实施方式可以以使用例如计算机软件、硬件或其任何组合的计算机可读介质来实施。对于硬件实施，这里描述的实施方式可以通过使用特定用途集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理装置(DSPD)、可编程逻辑装置(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器、被设计为执行这里描述的功能的电子单元中的至少一种来实施，在一些情况下，这样的实施方式可以在控制器180中实施。对于软件实施，诸如过程或功能的实施方式可以与允许执行至少一种功能或操作的单独的软件模块来实施。软件代码可以由以任何适当的编程语言编写的软件应用程序(或程序)来实施，软件代码可以存储在存储器160中并且由控制器180执行。

第四实施例

参见图6所示，图6为本发明第四实施例提供的虚拟SIM卡访问控制方法，其对虚拟SIM卡进行生成及访问控制的过程包括：

S501：虚拟SIM卡管理装置向虚拟SIM卡服务器发送包含用户身份认证信息的虚拟SIM卡申请请求；该请求中还可进一步包含虚拟SIM卡管理装置的唯一识别码和公钥；

S502：虚拟SIM卡管理装置接收并存储虚拟SIM卡服务器反馈的集成有用户身份认证信息的虚拟SIM卡；当该虚拟SIM卡被虚拟SIM卡服务器根据上述公钥进行了加密时，虚拟SIM卡管理装置还将对其进行解密操作；

S503：虚拟SIM卡管理装置在检测到用户或其他业务对虚拟SIM卡发起访问时，根据虚拟SIM卡中的用户身份认证信息对当前用户进行身份认证；此处的用户身份认证信息可以是用户生物特征识别信息，例如指纹、视网膜、虹膜等等，也可以是用户自定义识别信息，例如识别指令或密码等；

S504：判断认证是否通过，如是，转至S505；否则，转至S506；

S505：允许访问虚拟SIM卡。

S506：禁止访问虚拟SIM卡。

这样在用户每次使用终端中的虚拟SIM卡时，都会先对用户身份的合法性进行认证。认证通过后才允许对其进行访问。提升了虚拟SIM卡访问的安全性。应当理解的是，本实施例中虚拟SIM卡管理装置申请虚拟SIM卡时，其向虚拟SIM卡服务器发送用户身份认证信息的方式并不仅限于包含在申请请求中发过去，也可以通过单独的消息或包含于其他现有消息中发给虚拟SIM卡服务器。例如，可在现有虚拟SIM卡管理装置与虚拟SIM卡服务器的现有消息交互机制基础之上，额外构建包含用户身份认证信息的身份认证请求消息，并在虚拟SIM卡服务器根据虚拟SIM卡管理装置所发送的申请请求生成虚拟SIM卡之前，将该用户身份认证信息发给虚拟SIM卡服务器，以供其从中提取用户身份认证信息并集成于虚拟SIM卡中。

又例如，当通过其他现有消息携带发送时，理论上能通过虚拟SIM卡管理装置在虚拟SIM卡服务器生成虚拟SIM卡之前向其发送的任意一种消息都可实现将用户身份认证信息发给虚拟SIM卡服务器。例如，当SIM卡终端在向虚拟SIM卡服务器发送虚拟SIM卡申请请求之前，当其需要向SIM卡服务器注册时，可在注册请求中将该消息发给虚拟SIM卡服务器。

本实施例中的用户身份认证信息可以包含至少一种能对用户身份进行安全认证的识别信息，当为了进一步提升认证的可靠性时，可以选择两种或两种以上信息的组合。

第五实施例

参见图7所示，图7为本发明第五实施例提供的虚拟SIM卡管理方法。在虚拟SIM卡服务器侧，其生成和管理虚拟SIM卡的过程包括：

S601：虚拟SIM卡服务器接收虚拟SIM卡管理装置发送的包含用户身份认证信息的虚拟SIM卡申请请求；该请求中还可进一步包含虚拟SIM卡管理装置的唯一识别码和公钥；

S602：虚拟SIM卡服务器对接收的虚拟SIM卡申请请求进行合法验证，通过转至S603；应当理解的是该步骤为可选步骤；

S603：虚拟SIM卡服务器生成虚拟SIM卡并将用户身份认证信息作为访问虚拟SIM卡的认证条件集成于生成的虚拟SIM卡中，并发给虚拟SIM卡管理装置；该步骤将虚拟SIM卡发给虚拟SIM卡管理装置之前，可选的可利用上述公钥对该虚拟SIM卡进行加密后发送，防止传输过程中被篡改或盗用；

S604：虚拟SIM卡服务器将生成的SIM卡(含用户身份认证信息)和上述虚拟SIM卡管理装置的唯一识别码进行绑定存储；

S605：虚拟SIM卡服务器在虚拟SIM卡业务过程中检测到当前使用虚拟SIM卡的虚拟SIM卡管理装置的唯一识别码与之前存储的唯一识别码不一致；

S606：虚拟SIM卡服务器根据SIM卡中的用户身份认证信息对当前虚拟SIM卡管理装置的用户进行身份验证；

S607：判断验证是否通过，如是，转至S608；否则，转至S609；

S608：虚拟SIM卡服务器将之前存储的唯一识别码替换为当前虚拟SIM卡管理装置的唯一识别码。

S609：禁止当前虚拟SIM卡管理装置继续使用该虚拟SIM卡。在虚拟SIM卡后续使用过程中，可对使用该虚拟SIM卡管理装置的合法性进行进一步监控、认证。能进一步虚拟SIM卡使用管理的提升安全性能。

另外，本实施例中，为了进一步提升安全性，避免生成的虚拟SIM卡在网络传输过程中被复制盗用；虚拟SIM卡服务器在生成好虚拟SIM卡并将用户身份认证信息集成到该虚拟SIM卡中后，对该虚拟SIM卡进行加密后再发给虚拟SIM卡管理装置。其加密可以采用虚拟SIM卡管理装置发送的公钥(该公钥也可随着虚拟SIM卡申请请求发给虚拟SIM卡服务器)或之前与虚拟SIM卡管理装置所约定好的公钥或其他加密规则。虚拟SIM卡管理装置接收到该虚拟SIM卡后，对其完成正确解密后进行存储。对生成的虚拟SIM卡进行加密传输避免其传输构成中复制盗用，可见进一步提升虚拟SIM卡的安全性。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种虚拟SIM卡管理装置，其特征在于，包括虚拟SIM卡申请模块以及身份验证模块；

所述虚拟SIM卡申请模块用于向虚拟SIM卡服务器发送包含用户身份认证信息的虚拟SIM卡申请请求，以及接收并存储所述虚拟SIM卡服务器反馈的集成有所述用户身份认证信息的虚拟SIM卡；

所述身份验证模块用于检测到用户对所述虚拟SIM卡发起访问时，根据所述虚拟SIM卡中的用户身份认证信息对所述用户进行身份认证，认证通过则允许访问所述虚拟SIM卡，否则禁止访问所述虚拟SIM卡。

2.如权利要求1所述的虚拟SIM卡管理装置，其特征在于，所述用户身份认证信息包含用户生物识别信息和用户自定义识别信息中的至少一种。

3.如权利要求2所述的虚拟SIM卡管理装置，其特征在于，所述用户生物识别信息包含用户指纹识别信息、用户视网膜识别信息、用户声音识别信息、用户眼虹膜识别信息和用户面貌识别信息中的至少一种。

4.如权利要求2或3所述的虚拟SIM卡管理装置，其特征在于，所述用户自定义识别信息包含用户自定义密码。

5.一种通信终端，其特征在于，包含如权利要求1-4任一项所述的虚拟SIM卡管理装置。

6.一种虚拟SIM卡服务器，其特征在于，包括虚拟SIM卡管理模块和虚拟SIM卡生成模块；

所述虚拟SIM卡管理模块用于接收来自虚拟SIM卡管理装置的虚拟SIM卡申请请求，所述虚拟SIM卡申请请求包含用户身份认证信息，并将所述用户身份认证信息发给所述虚拟SIM卡生成模块；

所述虚拟SIM卡生成模块用于将所述用户身份认证信息作为访问虚拟SIM卡的认证条件集成于生成的虚拟SIM卡中，并发给所述虚拟SIM卡管理装置。

7.如权利要求6所述的虚拟SIM卡服务器，其特征在于，还包括虚拟SIM卡鉴权模块；所述SIM卡申请请求还包括所述虚拟SIM卡管理装置的唯一识别码，所述虚拟SIM卡鉴权模块用于将所述唯一识别码与所述虚拟SIM卡绑定存储；以及用于检测到当前使用所述虚拟SIM卡的虚拟SIM卡管理装置的唯一识别码与之前存储的唯一识别码不一致时，根据所述SIM卡中的用户身份认证信息对当前虚拟SIM卡管理装置的用户进行身份验证，如验证通过，将之前存储的唯一识别码替换为所述当前虚拟SIM卡管理装置的唯一识别码。

8.一种虚拟SIM卡访问控制方法，其特征在于，包括：

向虚拟SIM卡服务器发送包含用户身份认证信息的虚拟SIM卡申请请求，以及接收并存储所述虚拟SIM卡服务器反馈的集成有所述用户身份认证信息的虚拟SIM卡；

当检测到用户对所述虚拟SIM卡发起访问时，根据所述虚拟SIM卡中的用户身份认证信息对当前用户进行身份认证，认证通过时允许访问所述虚拟SIM卡，否则禁止访问所述虚拟SIM卡。

9.一种虚拟SIM卡管理方法，其特征在于，包括：

接收虚拟SIM卡管理装置发送的包含用户身份认证信息的虚拟SIM卡申请请求；

将所述用户身份认证信息作为访问虚拟SIM卡的认证条件集成于生成的虚拟SIM卡中，并发给所述虚拟SIM卡管理装置。

10.如权利要求9所述的虚拟SIM卡管理方法，其特征在于，所述SIM卡申请请求还包括所述虚拟SIM卡管理装置的唯一识别码，所述方法还包括：

将所述唯一识别码与所述虚拟SIM卡绑定存储；检测到当前使用所述虚拟SIM卡的虚拟SIM卡管理装置的唯一识别码与之前存储的唯一识别码不一致时，根据所述SIM卡中的用户身份认证信息对所述虚拟SIM卡管理装置当前的用户进行身份验证，如验证通过，将之前存储的唯一识别码替换为所述当前虚拟SIM卡管理装置的唯一识别码。