CN107835204A - 配置文件策略规则的安全控制 - Google Patents

Abstract

本发明题为“配置文件策略规则的安全控制”。本发明公开了设备中的安全元件(SE)处理接收在消息中的配置文件策略规则(PPR)更新信息。SE在处理所述消息时使用规则授权表(RAT)，以控制是否将调节PPR通断状态。PPR信息标识配置文件。例如，控制配置文件的移动网络运营商(MNO)可指定指示配置文件在被禁用时要被删除的策略。SE查询RAT以确定用于所标识策略的验证规则。在一些实施方案中，使用对签名进行认证的公钥基础结构技术来验证MNO已对消息进行签名。如果签名验证失败，则不进行PPR通断状态的任何改变。

Description

配置文件策略规则的安全控制

技术领域

本文所述实施方案涉及用于配置文件(电子用户身份模块(eSIM))策略规则设置的安全性增强。

背景技术

eSIM或配置文件包括与移动网络运营商(MNO)有关的软件和认证功能。配置文件可存在于从MNO接收服务的无线设备内的安全元件(SE)上。MNO可具有在例如配置文件管理事件时对配置文件采取的动作的策略。配置文件管理事件的一个示例是禁用配置文件。策略实施的开/关状态应在MNO的控制下。

通用集成电路卡(UICC)和嵌入式UICC(eUICC)是用于托管配置文件的SE。配置文件是为了由运营商例如MNO提供服务的目的而在设备中的SE上调配的运营商数据和应用程序的组合。通用用户身份模块(USIM)是一种类型的配置文件。配置文件可通过被称为ICCID(集成电路卡识别码)的唯一数来识别。无线运营商是提供无线蜂窝网络服务的公司。MNO是通过移动网络基础设施来向其用户提供接入能力和通信服务的实体。无线设备在本文中也可被简称为设备。最终用户或客户是使用设备的人。被启用的配置文件可包括通过SE设备接口可选的文件和/或应用程序。为了使用设备，配置文件被MNO激活。与消费设备中配置文件的管理有关的文档是GSM协会文档GSMA SGP.22:“RSP Technical Specification”，版本1.1，2016年6月9日(以下称为“SGP.22”)。与机器到机器设备中的SE有关的两个文档(包括策略)是GSM协会文档GSMA SGP.01:“Embedded SIM Remote ProvisioningArchitecture”，版本1.1，2014年1月30日(以下称为“SGP.01”)和GSM协会文档GSMASGP.02:“Remote Provisioning Architecture for Embedded UICC TechnicalSpecification”，版本3.1，2016年5月27日(以下称为“SGP.02”)。设备可包括规则授权表并基于与规则授权表中MNO识别码的比较来评估所请求配置文件策略规则状态改变的授权。这种方法容易受到欺诈，因为任何一方都能提供匹配的MNO识别码。

发明内容

本文列出的代表性实施方案公开了用于配置文件策略规则的安全控制的多种系统和技术。

在某些情况下，MNO建立用于确定响应于特定事件的发生而要对配置文件采取的动作的策略。在某些情况下，策略由SE的操作系统执行的策略规则实施者功能来实施。规则授权表(RAT)可存在于SE中。在一些实施方案中，每个策略的通断(ON/OFF)状态被存储在SE中。PPR可由控制相关联配置文件的MNO更新，或者在某些情况下，PPR可由另一方更新。在一些实施方案中，评估对于更新PPR的授权基于使用RAT找到的PKI参数。

当SE接收到PPR更新信息时，其检查RAT中公钥基础结构(PKI)检查点列以确定是否为PPR更新信息所指示的特定PPR定义了PKI检查点。在一些实施方案中，PPR更新信息被包括在下载到SE的配置文件的策略规则描述中。PKI检查点指示如何基于PKI加密方法执行PPR更新消息的授权检查。对于表中的特定PPR，相应行条目指代对于所述特定PPR的一个或多个可信实体。

在一些实施方案中，SE通过在相应配置文件不必被启用的情况下建立与MNO服务器的传输层安全(TLS)信道来触发PPR更新信息事件。

提供所述发明内容仅仅是为了概述一些示例性实施方案，以便提供对本文所述主题的一些方面的基本了解。因此，应当理解，上文所述的特征仅为示例并且不应理解为以任何方式缩小本文所述主题的范围或实质。本文所述主题的其他特征、方面和优点将根据以下具体实施方式、附图和权利要求书而变得显而易见。

附图说明

所包括的附图是为了进行示意性的说明，并且只用于提供所公开的用于智能且有效地管理多个相关联用户设备之间的呼叫和其他通信的系统和技术的可能结构和布置的示例。这些附图决不限制本领域的技术人员在不脱离实施方案的实质和范围的前提下可对实施方案进行的在形式和细节方面的任何更改。所述实施方案通过下面结合附图的具体描述将更易于理解，其中类似的附图标记表示类似的结构元件。

图1示出了根据一些实施方案的用于配置文件策略规则的安全控制的示例性系统。

图2示出了根据一些实施方案的用于配置文件策略规则的安全控制的示例性逻辑。

图3示出了根据一些实施方案的包括配置文件策略规则(PPR)消息到达安全元件(SE)的示例性消息流。

图4示出了根据一些实施方案的用于利用认证功能的配置文件策略规则的安全控制的示例性系统。

图5A示出了根据一些实施方案的到达设备的示例性二进制大对象(blob)。

图5B示出了根据一些实施方案的包括PPR更新消息和绑定配置文件包(BPP)的示例性blob。

图5C示出了根据一些实施方案的包括PPR更新消息且不包括BPP的示例性blob。

图5D示出了根据一些实施方案的包括签名的示例性PPR更新消息。

图5E示出了根据一些实施方案的示例性认证变量，其中一个或多个认证变量可出现在PPR更新消息的认证参数中。

图6示出了根据一些实施方案的用于SE处理PPR更新消息的示例性逻辑。

图7示出了根据一些实施方案的在某些情况下用于SE处理PPR更新消息并安装配置文件的示例性逻辑。

图8A示出了根据一些实施方案的用于服务器和SE之间利用使用PKI技术建立的信道的通信的示例性系统。

图8B示出了根据一些实施方案的图8A的SE在与图8A的服务器通信以便控制配置文件策略规则时所使用的示例性逻辑。

图9示出了根据一些实施方案的用于SE利用规则授权表(RAT)处理PPR更新消息的示例性逻辑。

图10示出了根据一些实施方案的存在于与eSIM服务器通信的设备中的SE上的示例性配置文件。

图11示出了根据一些实施方案的本申请中所述的各个实体的示例性连接方法。

图12示出了根据一些实施方案的用于实施本文所公开的实施方案的示例性装置。

具体实施方式

在此部分中提供了根据本文所述实施方案的装置、系统和方法的代表性应用。提供这些示例仅是为了添加上下文并有助于理解所述实施方案。对于本领域的技术人员因此将显而易见的是，本发明所述的实施方案可在不具有这些具体细节中的一些或全部的情况下实施。在其它情况下，未详细描述熟知的工艺步骤，以便避免不必要地模糊本发明所述的实施方案。其它应用也是可能的，使得以下实例不应视为是限制性的。

配置文件策略

如上所述，在某些情况下，MNO建立用于确定响应于特定事件的发生而要对配置文件采取的动作的策略。策略原理在管控SE(例如eUICC)的行为和/或在SE的远程管理中所涉及的实体的行为的一组规则中反映。策略规则定义策略的原子动作以及执行所述动作的条件。原子动作是这样一种动作，即其要么完成而不失败，要么如果与该动作相关联失败，则配置文件保持不改变。策略的示例有：i)配置文件的禁用不被允许，ii)配置文件的删除不被允许，和/或iii)在配置文件被禁用时必须进行配置文件删除。

配置文件可以是调配到SE(诸如例如eUICC)上或存在于SE上的文件结构、数据和应用程序的组合。配置文件在被启用时允许设备访问特定移动网络基础设施。配置文件中的MNO-SD实体在配置文件被启用时为与配置文件相关联的MNO提供安全空中(OTA)信道。

配置文件策略规则(PPR)可存储在其所从属的配置文件中。给定配置文件的状态(启用或禁用)被存储在所述给定配置文件中的状态机中。ISD-P是被创建用于托管配置文件的安全域。

如上所述，在某些情况下，策略由SE的操作系统执行的策略规则实施者功能来实施。规则授权表(RAT)可存在于SE中。RAT中的值可由SE的制造商填充，或者基于旨在容纳SE的设备的制造商提供的值来填充，或者由MNO按与设备制造商的商业协议来填充。根据一些实施方案，每个策略的通断状态被存储在SE中。在一些实施方案中，给定策略的通断状态存储在所述给定策略所从属的配置文件中。

PPR可由控制相关联配置文件的MNO更新，或者在某些情况下，PPR可由另一方更新。对更新PPR的能力的控制在RAT中指示。根据一些实施方案，表1提供了一种示例性RAT。

表1.示例性规则授权表(RAT)

当SE接收到PPR更新信息(在这里称为PPR更新消息)时，其检查表1的PKI检查点列以确定对于更新消息指定的PPR是否定义了PKI检查点。在一些实施方案中，PPR更新消息被包括在下载到SE的配置文件的策略规则描述中。PKI检查点指示如何基于PKI加密方法执行PPR更新消息的授权检查(证书验证)。对于表中的给定PPR，相应行条目指代对于该PPR的可信实体。对于MNO更新PPR通断状态，与PPR消息相关联的配置文件不需要被启用。这是因为PKI检查点基于PKI方法，而不是基于只与被启用配置文件可用的预共享密钥。

在一些实施方案中，PPR更新消息被封装在与eSIM包格式例如元数据部分(参见SGP.22)类似的二进制大对象(blob)中。在一些实施方案中，除了对于PPR信息或消息之外，blob的内容是空的。与配置文件调配类似，传输信道终止于设备，并且设备向和从SE传输和接收数据消息。

在一些实施方案中，SE通过建立经由ES6接口与MNO服务器的传输层安全(TLS)信道来触发PPR更新消息。在这种情形中，传输终止于SE，并且消息流的实质对于设备是透明的。ES6接口在SGP.22中有所解释，并且TLS在RFC 5246中有所解释。在一些实施方案中，SE和MNO服务器利用PKI方法认证彼此。如果需要，TLS提供用于建立用于安全通信的一个或多个会话密钥的机制。

参见表1，策略#1链接到值为MCC1,MNC1的特定MCC、MNC变量对(移动国家代码、移动网络代码)所标识的MNO。策略#N的MNO可能通过GID1-N和GID2-N进一步标识。GID代表组标识符；GID1代表组标识符等级1。策略#1也链接到在这里称为OID1的对象标识符#1。SE可使用包含值OID1的PKI证书来获取公钥，然后利用PKI技术以所述公钥来检查PPR更新消息上的签名。策略#2链接到MNO公钥和已加载在SE上的密钥参数，在表1中被指示为PKI参数。

策略#5链接到特定证书管理机构(CA)。这提供信任根CA上的细粒度。对于策略#5，SE在一些实施方案中不对具体控制实体(例如MNO)执行任何检查。然而，其确实要求该实体(例如MNO)与特定市场的可信CA验证的凭据(例如公钥)相关联。通过这个方法，当设备和服务器的生态系统可能在各个市场中具有多个根CA时，本文所展示的实施方案提供了在只具有与可信CA的链接的市场内灵活的策略控制。对于策略#3，没有定义PKI检查点。SE在一些实施方案中通过将PPR更新消息中的MNO标识参数与对应于策略#3的行条目(即MMC3、MNC3(可能还有GID1-3和GID2-3))进行比较来为策略#3使用表1的RAT。

这里提供了与配置文件(eSIM)调配、SE和PKI技术有关的一些信息。

SE包括操作系统，并且操作系统可具有为与给定运营商相关联的网络接入应用程序提供认证算法的能力。SE内的安全域包含运营商的空中(OTA)密钥并提供安全OTA信道。OTA密钥是运营商用于远程管理SE上的运营商配置文件的凭据。

公钥基础结构(PKI)技术

SE的通信可利用PKI技术来认证。用于认证和保密目的的证书可由CI生成。公钥证书在本文中也可被简称为证书。设备、SE和/或配置文件可存储证书的副本，其中证书保持给定方的名称(用户身份)。名称可根据对象标识符(OID)来给定。记录在证书中的公钥可用于检查利用所述给定方的PKI私钥签名的消息上的签名。PKI证书的一个示例是X.509证书。X.509在互联网工程任务小组(IETF)请求注解(RFC)5280中有所描述。

系统

图1示出了一种用于配置文件策略规则的安全控制的系统100。系统包括SE 110、MNO服务器130、eSIM服务器140、和证书管理机构(CA)150。SE 110被图示为在被标记为策略控制111的功能处接收PPR更新消息101。PPR更新消息在这个示例中与图1的配置文件120相关联。PPR更新消息101在一些实施方案中是从eSIM服务器140下载的配置文件120的元数据中的PPR更新信息。在一些实施方案中，PPR更新消息与配置文件120相关联，并且配置文件120已存在于SE 110上。图1将配置文件120图示为已经存在于SE 110上。SE 110上的配置文件120与安全域ISD-P 115相关联。

策略控制111在一些实施方案中是由SE 110的操作系统(OS)使用的功能。策略控制111通过接口103访问RAT 114(以表1来例示)。策略控制111确定RAT的哪行适用于PPR更新消息101并相应执行。在图1的示例中，表1的PKI检查点被定义，并且策略控制111进而通过接口104访问认证功能113以验证PPR更新消息101上的签名。认证功能113在一些实施方案中由SE 110的安全处理器和安全存储器执行。签名验证在一些实施方案中依赖于CA 150签名的MNO服务器130的PKI证书。如果签名验证指示PPR更新消息以与配置文件120和国际移动用户识别码(IMSI)121相关联的MNO的私钥进行签名，则经由连接105，与配置文件120的PPR 122相关联的PPR通断状态123根据PPR更新消息的有效载荷或信息按需调节(开启或关闭)。

将配置文件120与RAT中标识的MNO相关联基于IMSI 121。IMSI包含对应于相关联的运营商的MNC和MCC字段和在该运营商控制下的GID1和GID2字段。

PPR通断状态可存储在配置文件120的文件中，或者可存储在SE 110中，例如在存储器112中。虽然描述在这里涉及消息和有效载荷，但一般而言，PPR更新消息在一些实施方案中不是分立的消息，而是可例如由传送到SE 110的blob中的字段或数据构成。

验证逻辑

图2示出了用于配置文件策略规则的安全控制的示例性逻辑200。在201，SE接收到PPR更新消息。在202，SE验证消息中的签名。如果签名有效，则逻辑经203前进到204，并且SE调节PPR通断状态以符合PPR更新消息。例如，如果PPR更新消息或信息指示策略要为“通”，则SE断言存储器中的值以如此指示。在202，如果验证失败，则逻辑经由205(“无有效签名”)前进到206，并且不进行PPR通断状态的任何改变。

例如，在一些实施方案中，逻辑200通过SE执行的以下方法来实现。所述方法包括：i)接收配置文件的第一部分；ii)从第一部分解析MNO的第一标识符；ii)从第一部分解析签名；iii)从SE存储器获取密钥，其中密钥与MNO相关联；和iv)以密钥验证签名以确定验证结果。如果验证结果指示签名是MNO创建的，则方法进而标识配置文件的策略规则并将配置文件安装在SE中且策略规则被启用。然而，如果验证结果指示签名不是MNO创建的，则方法进而终止SE中配置文件的安装。在方法的一些实施方案中，配置文件的第一部分是blob的区段。在方法的一些实施方案中，终止包括丢弃配置文件的第一部分。

消息流

图3示出了用于配置文件策略规则的安全控制的一种示例性消息流程图300。时间从上向下前进，并且实体在顶上从左向右标记。PPR更新消息101被图示为到达(附图标记323)SE 110的ISD-R 330。在图3中，ISD-R330例如实现功能策略控制111。PPR更新消息例如源自MNO服务器130(附图标记321)或第三方310(附图标记322)。第三方310在一些实施方案中是eSIM服务器140。ISD-R 330按事件324的指示执行签名验证。在图3的示例中，签名验证成功，并且消息325被发送给ISD-P 115以相应地设置PPR通断状态，这在事件326进行。这些功能可由SE 110的其他部件进行，ISD-R 330、ISD-P 115和配置文件120的作用是为了举例说明而被图示。例如，配置文件120可按来自SE 110的操作系统(OS)的指令或者按来自SE110的eUICC证书管理机构安全域(ECASD)的指令而存储和更新PPR通断状态(参见图10)。SE、ISD-R、ISD-P和配置文件特性和关系的更多细节可在SGP.22中找到。

详细系统

图4示出了包括具有ISD-P 415中或与ISD-P 415相关联的第二配置文件420的SE110的系统400。图4还示出了分别指示配置文件120和420中的一者是否被启用的状态信息461和462。在图4中，与PPR 122相关联的PPR通断状态123被图示为在ISD-P 115内。配置文件420的PPR 422的类似状态423被图示为在ISD-P 415内。这个状态信息的位置并不重要。配置文件420的MNO安全域MNO-SD 425以及两个IMSI值：IMSI 421和IMSI 424也被示出。SE110也被图示为具有被标记为策略实施412的功能。策略实施412将基于特定事件并基于感兴趣的策略是否为通而按需实施配置文件策略规则122和422。

例如，如果PPR 122具有配置文件启用状态461“通”并且正确的命令被接收到用于禁用配置文件120，并且PPR 122指示配置文件在被禁用时要被删除，且PPR通断状态123为通，则策略实施实用程序412将在禁用命令被接收到时通过删除配置文件120执行配置文件策略规则(PPR)122。

策略控制111在一些实施方案中在处理PPR更新消息101时首先从PPR更新消息101解析MNO名称，然后检查表1(RAT 114)的MNO名称列。如果成功找到MNO名称匹配，则策略控制111检查RAT的PKI检查点列。在一些实施方案中，RAT中的MNO标识符不匹配策略控制111所检查的第一IMSI值。例如，PPR更新消息101可与配置文件420相关联。策略控制111在一些情况下首先尝试将RAT的MNO名称与对应于IMSI 421的MNO匹配并且发现不匹配。例如，考虑IMSI 421不包括对于该策略号与RAT匹配的MNC/MCC对的情形。策略控制111于是针对附加IMSI值搜索配置文件420并且找到IMSI 424。例如，IMSI 424可指示对于该配置文件号对应于RAT的MNO名称。在满足MNO名称检查之后，策略控制111确定是否定义了PKI检查点。如果定义了，则策略控制111尝试利用认证功能113验证PPR更新消息或信息101中的签名，并且如果验证成功，则策略控制111按需调节PPR通断状态423以符合PPR更新消息101的指令。策略控制111能够在没有MNO-SD 425的辅助的情况下操作，因为策略控制111是基于PKI的，并且不需要访问MNO-SD 425支持的预共享OTA密钥。

接收blob

图5A提供了包括接收包含PPR更新信息的blob的SE 110的系统500的示例性图示。图5B、图5C、图5D和图5E提供示例性blob、消息和参数格式和内容。在图5A中，eSIM服务器140提供blob 502给设备501内的SE 110。在一些实施方案中，blob 502由MNO服务器130提供。blob502被SE 110解析并且被ISD-R 330遵循。在一些实施方案中，blob 502被SE 110的OS或者被SE 110的另一功能模块遵循。

变量和值

图5B提供了作为blob 502的示例的blob 504的示意图。Blob 504包括PPR更新消息101和绑定配置文件包(BPP)503。PPR更新消息101代表向SE 110指示特定配置文件的配置文件策略规则要被设置到或要符合的状态的信息。BPP可包括处于加密形式的所述特定配置文件。图5B对应于配置文件在BPP中被下载并且配置文件策略规则通断状态在包含BPP的blob内的信息中指示的实施方案。

与图5B不同，图5C示出了包含PPR更新消息101的blob 505不包含BPP的示例性实施方案。图5C适用于例如PPR更新消息101所针对的配置文件已存在于SE 110上的情形。例如，图5C的PPR消息101在一些实施方案中涉及图4的配置文件120的PPR 122。配置文件120的配置文件启用状态461可以是断或通。配置控制111将相对于RAT 114(也参见表1)处理图5C的PPR更新消息101，验证签名(参见图5D附图标记516)，并相应地调节PPR通断状态123。

图5D示出了PPR更新消息101中的示例性数据字段。PPR更新消息101代表信息，其可以不被格式化为分立的消息。PPR更新消息101在一些实施方案中包含i)MNO标识符511、ii)SE标识符512、iii)配置文件标识符ICCID 513、iv)新PPR通断状态514、v)认证参数(矢量)515和/或vi)签名516。维度描述符“矢量”表明认证参数515可代表不止一个变量。图5D的字段对应于图4，在一些情况下如下：MNO标识符511与MNO服务器130以及与配置文件120和/或配置文件420的权属或控制相关联。MNO标识符511还与IMSI 121、IMSI 421和/或IMSI424相关联。SE标识符512标识SE 110。ICCID 513标识配置文件120或配置文件420。新PPR通断状态514代表如果成功验证则PPR通断状态123(或PPR通断状态423)要被设置到或要符合的值。认证参数(矢量)515代表在确定PPR更新消息是否来自被授权控制PPR 122或PPR 422的通断状态的一方时与来自RAT114的信息一起被输入策略控制111的认证信息。

图5E示出了在一些实施方案中存在于认证参数(矢量)515中的示例性变量。认证参数515在一些实施方案中包括：i)证书521、ii)表示为OID522的可信实体的标识符、iii)密钥参数523和/或iv)证书管理机构(CA)OID 524。

逻辑，配置文件已经存在

图6示出了根据一些实施方案在目标配置文件已存在于SE上时用于配置文件策略规则的安全控制的示例性逻辑600。图3至图4、图5A、和图5C至图5E提供逻辑600的背景。在601，SE接收包含针对特定配置文件的PPR更新消息的blob。在602，SE从blob解析MNO标识符和签名。在603，SE获取密钥，并且在604，SE通过将密钥和签名作为输入提供给认证功能而产生验证结果。获取用于签名验证的正确密钥(预加载的CA PK或来自证书的相应实体PK或预加载的相应实体PK)依赖于表1中定义的配置。如果验证结果指示签名是由被授权控制所述特定配置文件的PPR的MNO创建的，则逻辑经由605前进到606。在606，与PPR相关联的配置文件策略规则更新被确定。在607，PPR的PPR通断状态被设置为符合所述更新。如果验证结果指示不存在有效签名，则逻辑从604沿608前进到609，并且不执行对PPR通断状态的任何改变。

逻辑，包括配置文件安装

图7示出了包括安装配置文件策略规则所属于的配置文件的配置文件策略规则的安全控制的示例性逻辑700。图7的逻辑除了配置文件安装之外与图6的逻辑类似。在701，SE接收配置文件的一部分。在702，SE从所述配置文件部分解析MNO标识符和签名。在703，SE获取与RAT中标识的MNO相关联的密钥。在704，SE使用该密钥和签名产生验证结果。获取用于签名验证的正确密钥(预加载的CA PK或来自证书的相应实体PK或预加载的相应实体PK)依赖于表1中定义的配置。如果验证结果指示签名是由RAT标识的MNO创建的，则逻辑经由705前进到706。在706，SE标识与配置文件相关联的PPR。在707，SE将配置文件安装在SE上，策略规则例如被启用。如果704的验证结果指示在从所述配置文件部分解析的信息中不存在有效签名，则逻辑经由708前进到709并且SE上配置文件的安装被终止。

基于PKI的信道

图8A示出了例如不要求被启用配置文件的示例性认证和安全信道布置820。基于PKI的信道821将MNO服务器130(或eSIM服务器140)连接到SE 110。基于PKI的信道821对于设备501是透明的。在图8A中，基于PKI的信道821由ISD-R 330终止。在一些实施方案中，SE110中的另一功能实体诸如SE 110的OS终止基于PKI的信道821。信道是基于PKI的，因为其不依赖于预共享的密钥。相反，eSIM服务器140和SE 110利用PKI技术彼此认证并且可利用例如TLS建立安全信道。

图8B示出了图8A的SE 110用于触发PPR通断状态改变的示例性逻辑800。在801，SE110在一些实施方案中包括具有PPR更新触发值的有效载荷。在802，SE通过以SE的私钥对有效载荷签名来计算SE签名。在803，SE形成包括有效载荷和签名的消息。在804，SE将消息发送给MNO服务器，例如MNO服务器130。在805，SE接收来自MNO服务器的回复。在806，SE从回复消息解析MNO签名。在807，SE例如利用来自诸如表1所示的RAT的信息来验证MNO签名以产生验证结果。如果MNO签名通过验证，则逻辑经由808前进到809。在809，SE从回复消息解析回复有效载荷，并且在810，SE基于回复有效载荷更新PPR通断状态。在811，如果MNO签名未通过验证，则逻辑经由811前进到812，并且不进行PPR通断状态的任何改变。

包括不止一个IMSI的逻辑

图9示出了用于配置文件策略规则的安全控制的逻辑900。逻辑900包括验证MNO标识符和验证签名，如果签名验证根据RAT定义的话。在901，SE接收针对配置文件的包括配置文件策略规则标识符的PPR更新消息。消息可与配置文件一起到达(例如图5B和图7)，或者消息可涉及已安装的配置文件(例如图5C和图6)。在图9中，为了举例说明而讨论配置文件与消息一起到达的示例。

在902，SE确定配置文件中的MNO标识符是否匹配RAT中的MNO标识符。这个讨论将接续成功的检查，然后在不匹配的情况下返回到902。如果配置文件中的MNO标识符匹配RAT中的MNO标识符，则逻辑经由903前进到904。在904，SE确定在RAT中是否为这个配置文件策略规则标识符和MNO标识符定义了PKI规则。如果是，则逻辑经由905前进到906，并且SE执行从PPR更新消息解析的签名的验证。验证可例如由图4的策略控制111利用参考图4或其他附图讨论的认证功能113来进行。如果验证成功，则逻辑经由907前进到908，并且SE根据PPR消息指示的新状态调节PPR的PPR通断状态。如果验证不成功，则逻辑经由913前进到915，并且PPR状态更新尝试被拒绝。

讨论现在返回902。如果在902处在配置文件中评估的MNO标识符不匹配RAT中的MNO标识符，则逻辑经由909前进到910，并且SE评估配置文件中的附加MNO标识符(例如USIM中的第二IMSI)是否匹配RAT中的MNO标识符。如果是，则逻辑经由911前进到904，并如前所述继续。在904，如果PKI规则未被定义，则逻辑经由912前进到908，并且PPR通断状态基于902或910的MNO匹配强度而被调节。如果所指示的状态为通，则PPR将由例如图4的策略实施412在事件条件调用PPR时实施。

讨论现在返回910。如果附加MNO标识符不匹配RAT，则逻辑经由914前进到915，并且SE拒绝PPR通断状态更新。一般来讲，配置文件在一些实施方案中可在逻辑900的过程期间被安装。如果配置文件被安装并且开始于901的逻辑终止于915，则PPR将与断状态相关联并且将不为配置文件实施PPR(除非后续PPR更新消息到达并且被成功验证)。

例如，在一些实施方案中，逻辑900通过容纳在设备中的eUICC执行的以下方法来实现。配置文件存在于eUICC上，并且eUICC包括RAT。方法包括：i)接收包括配置文件策略规则(PPR)更新的消息，其中PPR更新与配置文件相关联；ii)从配置文件获取第一移动网络运营商(MNO)标识符；和iii)将第一MNO标识符与RAT中的行实体比较以产生第一匹配结果。

当第一匹配结果指示RAT包括第一MNO标识符时，方法进而确定是否为第一MNO标识符定义了认证步骤，并且产生第一定义结果。当第一定义结果指示未定义认证步骤时，方法进而更新PPR更新所标识的PPR。然而，当第一定义结果指示定义了认证步骤时，方法包括i)从消息解析签名，和ii)验证签名以产生第一验证结果。当第一验证结果指示PPR更新真实可信时，方法进而更新PPR更新所标识的PPR。然而，当第一验证结果指示PPR更新不是真实可信时，方法不更新PPR更新所标识的PPR。

另一方面，当第一匹配结果指示RAT不包括第一MNO标识符时，方法进而确定配置文件是否包括第二MNO标识符。当配置文件不包括第二MNO标识符时，方法不更新PPR更新所标识的PPR。然而，方法包括在以下条件成立时更新PPR更新所标识的PPR：i)配置文件包括第二MNO标识符，ii)第二MNO标识符匹配RAT中的行实体，iii)为第二MNO标识符定义了认证步骤，和iv)来自消息的签名是由第二MNO标识符标识的第二MNO创建的。在一些实施方案中，第一MNO标识符与配置文件中存在的第一IMSI相关联。在一些实施方案中，第二MNO标识符与配置文件中存在的第二IMSI相关联。

SE细节

图10示出了系统1000中设备501中容纳的SE 110的进一步细节。设备包括LPA1001(其可实现在软件中)和存储器1002。SE 110包括操作系统1003。在操作系统1003内有为网络接入应用程序(NAA)提供认证算法的电信框架1094。解释器1095利用SE 110的具体内部格式将配置文件包数据翻译成被安装的配置文件。ISD-P 415托管配置文件420。设备501以SE 110处理的事件可包括例如安装、启用或禁用配置文件420。

ISD-P是用于配置文件420的托管的安全容器(安全域)。与用于所接收绑定配置文件包的解码的解释器1095协作，ISD-P用于配置文件下载和安装。SE 110还包括存储器1009和ECASD 1004。ECASD 1004提供支持SE 110上安全域所要求的凭据的安全存储。MNO-SD425是为最终用户提供服务的运营商在SE 110上的代表。MNO-SD 425包含运营商的OTA密钥，并提供安全OTA信道。

eSIM服务器140在一些实施方案中在接口1031上与SE 110通信。eSIM服务器140也可利用接口1032和1033经由本地配置文件助理1001来通信。MNO服务器130还直接与SE通信，或者间接地通过设备501通信(这些接口在图10中未示出)。

示例性设备连接

图11示出了系统1100中配置文件策略规则的安全控制的示例性连接方法。最终用户1150可利用可支持用户界面输入的接口1121来管理设备501。最终用户1150也可利用接口1118经由互联网1102远程地管理设备501。设备501被图示为通过无线链路1106连接到无线基站1104或者经由有线连接1122连接到互联网1102。无线基站1104可以是电子和电气工程师协会802.11无线保真(IEEE 802.11Wi-Fi)接入点(AP)，或者无线基站1104可以是例如蜂窝移动网络基站。蜂窝移动网络基站的示例有2G或3G基站或者LTE eNode B。

无线设备，特别是移动设备，可整合多种不同的无线电接入技术以提供通过提供不同服务和/或能力的不同无线网络的连接。无线设备可包括用于支持根据无线个人局域网(“WPAN”)通信协议(诸如，如技术联盟(“SIG”)标准化的那些和/或Apple开发的被称为Apple无线直连(AWDL)的那些)的WPAN的硬件和软件。无线设备可发现兼容的外围无线设备，并且可建立连接到所定位的这些外围无线设备，以便通过WPAN提供特定的通信服务。在一些情况下，无线设备可充当为在无线设备上执行的各种应用程序可支持的多种服务提供对无线局域网(“WLAN”)和/或对无线广域网(“WWAN”)的接入的通信枢纽。因此，可利用与提供WWAN连接的伙伴或主无线设备的本地WPAN(或WLAN)连接来扩展例如没有和/或未被配置用于WWAN通信的附件无线设备的通信能力。另选地，附件无线设备也可包括用于WLAN连接的无线电路，并且可起源和/或终止经由WLAN连接的连接。是使用直接连接还是中继连接可取决于附件无线设备与远程设备之间活动通信会话的一个或多个链路的性能特性。较少的链路(或跳跃)可提供较低的延迟，因此直接连接可以是优选的；然而，与提供专用链路的传统电路切换连接不同，经由WLAN的直接连接可与同一WLAN上的其它无线设备和/或与来自管理WLAN的接入点的回程连接共享带宽。当本地WLAN连接链路和/或回程连接上的性能劣化时，经由伙伴无线设备的中继连接可以是优选的。通过监视活动通信会话的性能以及相关联无线设备的可用性和能力(诸如与伙伴无线设备的接近度)，附件无线设备可请求在直接连接和中继连接之间转移活动通信会话，反之亦然。

根据本文所述的各种实施方案，术语“无线通信设备”、“无线设备”、“移动设备”、“移动站”、“无线站”、“无线接入点”、“站点”、“接入点”和“用户设备(UE)”在本文中可用于描述可以能够执行与本公开的各种实施方案相关联的过程的一个或多个普通消费电子设备。根据各种具体实施，这些消费电子设备中的任一者可涉及：蜂窝电话或智能电话、平板电脑、膝上型计算机、笔记本计算机、个人计算机、上网本计算机、媒体播放器设备、电子书设备、设备、可穿戴计算设备、以及具有无线通信能力的任何其他类型的电子计算设备，该无线通信能力可包括经由诸如用于以下网络上的通信的一个或多个无线通信协议的通信：无线广域网(WWAN)、无线城域网(WMAN)、无线局域网(WLAN)、无线个人局域网(WPAN)、近场通信(NFC)、蜂窝无线网络、第四代(4G)LTE、高级LTE(LTE-A)和/或5G或其它现有的或未来开发的高级蜂窝无线网络。

无线设备在一些实施方案中也可作为无线通信系统的一部分工作，无线通信系统可包括互连到接入点(AP)(例如作为WLAN的一部分)和/或彼此互连(例如作为WPAN和/或“自组织”无线网络诸如Wi-Fi直接连接的一部分)的一组客户端设备，客户端设备也可被称为站点、客户端无线设备或客户端无线设备。在一些实施方案中，客户端设备可为能够经由WLAN技术(例如，根据无线局域网通信协议)进行通信的任何无线设备。在一些实施方案中，WLAN技术可包括Wi-Fi(或更一般性地，WLAN)无线通信子系统或无线电部件，Wi-Fi无线电部件可实施电子和电气工程师协会(IEEE)802.11技术，诸如以下中一者或多者：IEEE802.11a；IEEE 802.11b；IEEE 802.11g；IEEE 802.11-2007；IEEE 802.11n；IEEE 802.11-2012；IEEE 802.11ac；IEEE 802.11ax；或者其他现有的或者将来开发的IEEE802.11技术。

另外应该理解，本文所述的无线设备可被配置为也能够经由不同第三代(3G)和/或第二代(2G)无线电接入技术进行通信的多模无线通信设备。在某些情况下，与提供更低数据率吞吐量的其它3G传统网络相比，多模无线设备或UE可以被配置为优先连接到提供更快数据率吞吐量的LTE网络。例如，在一些实施方案中，多模无线设备或UE可被配置为在LTE和LTE-A网络不可用时回退到3G传统网络，例如演进型高速分组接入(HSPA+)网络或码分多址(CDMA)2000演进-仅数据(EV-DO)网络。

代表性示例性装置

图12以框图形式示出了根据一些实施方案的可用于实现本文所述各个部件和技术的一种示例性计算设备1200。具体地，示例性计算设备1200的详细视图示出了可包括在图1、图4、图5A、图8A和图11中示出的设备501、SE 110、eSIM服务器140和/或MNO服务器130中的各个部件。如图12所示，计算设备1200可包括处理器1202，该处理器表示用于控制计算设备1200的总体操作的微处理器或控制器。计算设备1200还可包括用户输入设备1208，该用户输入设备允许计算设备1200的用户与计算设备1200进行交互。例如，用户输入设备1208可采取多种形式，诸如按钮、小键盘、拨号盘、触摸屏、音频输入接口、视觉/图像捕捉输入接口、传感器数据形式的输入等。更进一步地，计算设备1200可包括可由处理器1202控制以向用户显示信息(例如与呼入、呼出、或活动通信会话有关的信息)的显示器1210(屏幕显示器)。数据总线1216可有利于在至少存储设备1240、处理器1202和控制器1213之间进行数据传输。控制器1213可用于通过设备控制总线1214与不同设备进行交互并对其进行控制。计算设备1200还可包括耦接至数据链路1212的网络/总线接口1211。在无线连接的情况下，网络/总线接口1211可包括无线电路，诸如无线收发器和/或基带处理器。计算设备1200还可包括安全元件1250。安全元件1250可包括eUICC或UICC。在一些实施方案中，计算设备1200包括基带处理器、一个或多个射频(RF)收发器和一个或多个天线(未示出)。

计算设备1200还包括存储设备1240，并且包括管理存储设备1240内一个或多个分区的存储管理模块，存储设备可包括单个存储装置或多个存储装置(例如硬盘驱动器)。在一些实施方案中，存储设备1240可包括闪存存储器、半导体(固态)存储器等。计算设备1200还可包括随机存取存储器(“RAM”)1220和只读存储器(“ROM”)1222。ROM 1222可以以非易失性方式存储待执行的程序、实用程序或进程。RAM 1220可提供易失性数据存储，并存储与计算设备1200的操作相关的指令。

可单独地或以任何组合方式来使用所述实施方案的各个方面、实施方案、具体实施或特征。可由软件、硬件或硬件与软件的组合来实现所述实施方案的各个方面。所述实施方案还可体现为计算机可读介质上的计算机可读代码。计算机可读介质为可存储数据的任何数据存储设备，所述数据其后可由计算机系统读取。计算机可读介质的示例包括只读存储器、随机存取存储器、CD-ROM、DVD、磁带、硬盘存储驱动器、固态驱动器和光学数据存储设备。计算机可读介质还可分布在网络连接的计算机系统中，使得计算机可读代码以分布式方式来存储和执行。

在上述描述中，为了解释的目的，所使用的特定命名提供对所述实施方案的彻底理解。然而，对于本领域的技术人员而言将显而易见的是，实践所述实施方案不需要这些具体细节。因此，对特定实施方案的上述描述是出于例示和描述的目的而呈现的。这些描述不旨在被认为是穷举性的或将所述的实施方案限制为所公开的精确形式。对于本领域的普通技术人员而言将显而易见的是，根据上述教导内容，许多修改和变型是可能的。

Claims (20)

1.一种安全元件(SE)执行的方法，该方法包括：

i)接收二进制大对象(blob)；

ii)从所述blob解析移动网络运营商(MNO)的第一标识符；

iii)从所述blob解析签名；

iv)获取密钥；

v)当用所述密钥对所述签名的验证指示所述签名是由所述MNO创建的时：

a)从所述blob解析配置文件策略规则(PPR)更新信息，以及

b)基于所述PPR更新信息将策略规则变量设置为启用状态或禁用状态，其中所述策略规则变量与所述SE上存在的配置文件相关联；并且

vi)当用所述密钥对所述签名的所述验证指示所述签名不是由所述MNO创建的时：

不改变所述策略规则变量。

2.根据权利要求1所述的方法，还包括：

当用所述密钥对所述签名的所述验证指示所述签名不是由所述MNO创建的时：

丢弃所述blob。

3.根据权利要求1所述的方法，其中与所述配置文件相关联的国际移动用户识别码(IMSI)与所述MNO相关联。

4.根据权利要求1所述的方法，其中：i)所述blob是经由设备从电子用户身份模块(eSIM)服务器接收的，并且ii)所述SE容纳在所述设备中。

5.根据权利要求1所述的方法，其中所述解析配置文件标识符包括从所述blob的元数据部分解析所述配置文件标识符。

6.根据权利要求1所述的方法，其中：i)所述blob不包括绑定配置文件包(BPP)，并且ii)所述SE上存在的所述配置文件处于禁用状态。

7.根据权利要求1所述的方法，其中所述获取密钥包括：

从所述blob获取公钥参数，其中所述公钥参数与所述MNO相关联。

8.根据权利要求1所述的方法，其中所述获取密钥包括：

从SE存储器位置获取所述密钥。

9.根据权利要求8所述的方法，其中所述获取密钥包括：

从所述blob解析对象标识符(OID)；

基于所述OID寻址SE存储器位置；以及

从所述SE存储器位置获取所述密钥。

10.根据权利要求9所述的方法，其中所述OID与证书管理机构(CA)相关联。

11.根据权利要求9所述的方法，其中所述OID与所述MNO相关联。

12.根据权利要求1所述的方法，其中所述获取密钥包括：

从证书获取所述密钥，其中：i)所述blob包括所述证书，并且ii)所述证书包括所述MNO的标识符。

13.根据权利要求12所述的方法，其中：i)所述证书由证书签发方(CI)签名，并且ii)存储在所述SE中的可信列表包括所述CI的标识符。

14.一种安全元件(SE)，包括：

存储器；和

处理器，其中所述存储器包括在被所述处理器执行时使所述SE执行包括如下操作的指令：

i)接收二进制大对象(blob)，

ii)从所述blob解析移动网络运营商(MNO)的第一标识符，

iii)从所述blob解析签名，

iv)获取密钥，

v)当用所述密钥对所述签名的验证指示所述签名是由所述MNO创建的时：

a)从所述blob解析配置文件策略规则(PPR)更新信息，以及

b)基于所述PPR更新信息将策略规则变量设置为启用状态或禁用状态，其中所述策略规则变量与所述SE上存在的配置文件相关联，并且

vi)当用所述密钥对所述签名的所述验证指示所述签名不是由所述MNO创建的时：

不改变所述策略规则变量。

15.根据权利要求14所述的SE，其中所述解析配置文件标识符包括从所述blob的元数据部分解析所述配置文件标识符。

16.根据权利要求14所述的SE，其中所述blob不包括绑定配置文件包(BPP)。

17.根据权利要求14所述的SE，其中所述获取密钥包括：

从证书获取所述密钥，其中：i)所述blob包括所述证书，并且ii)所述证书包括所述MNO的标识符。

18.根据权利要求14所述的SE，其中所述获取密钥包括：

从所述blob解析对象标识符(OID)；

基于所述OID寻址SE存储器位置；以及

从SE存储器位置获取所述密钥。

19.根据权利要求18所述的SE，其中所述OID与所述MNO相关联。

20.一种非暂态计算机可读介质，所述非暂态计算机可读介质包括在被安全元件(SE)执行时使所述SE执行包括如下操作的指令：

i)构成有效载荷，其中所述有效载荷包括配置文件策略规则(PPR)更新触发值；

ii)用所述SE的私钥对所述有效载荷签名以产生第一签名；

iii)形成第一消息，其中所述第一消息包括所述有效载荷和所述第一签名；

iv)经由容纳所述SE的设备发送所述第一消息给移动网络运营商(MNO)服务器；

v)经由所述设备从所述MNO服务器接收第二消息；

vi)从所述第二消息解析第二签名；

vii)当所述第二签名的验证指示所述第二签名是由所述MNO创建的时：

a)从所述第二消息解析第二有效载荷，以及

b)更新PPR，其中所述更新基于所述第二有效载荷；并且

viii)当所述第二签名的所述验证指示所述第二签名不是由所述MNO创建的时：

不改变所述PPR。