用于管理安全元件内的数据的方法与装置.pdf

本发明公开了用于在设备中跨多个访问控制客户端来管理和共享数据的装置和方法。在一个实施例中，访问控制客户端包括设置于嵌入式通用集成电路卡(eUICC)上的电子用户身份模块(eSIM)。每个eSIM包含其自身的数据。保持在EUICC内的高级用户身份工具包应用程序出于各种目的促进对多个eSIM的数据进行管理和共享诸如共享电话簿联系人或促进多个eSIM之间的自动切换(诸如基于用户上下文)。

1.  一种移动设备，包括：
适于与至少一个无线网络进行通信的无线电路；
被配置为存储多个访问控制客户端的安全元件，其中所述多个访问控制客户端至少包括活动访问控制客户端和非活动访问控制客户端；
被配置为向所述安全元件发出在无需激活所述非活动访问控制客户端的情况下对包含在所述非活动访问控制客户端中的数据成分进行访问的请求的逻辑部件；和
被配置为当所述安全元件验证所述请求有效时从所述安全元件接收所述数据成分的逻辑部件。

2.  根据权利要求1所述的移动设备，还包括：
被配置为向所述多个访问控制客户端中的至少一个访问控制客户端传输所述数据成分的至少一部分的逻辑部件，其中所述至少一个访问控制客户端不包括所述非活动访问控制客户端。

3.  根据权利要求2所述的移动设备，其中所述至少一个访问控制客户端包括所述活动访问控制客户端。

4.  根据权利要求1至3中任一项所述的移动设备，其中所述请求标识生成所述请求的请求者。

5.  根据权利要求4所述的移动设备，其中所述请求者包括用户。

6.  根据权利要求4所述的移动设备，其中所述请求者包括软件应用。

7.  根据权利要求6所述的移动设备，其中所述软件应用驻留在所述安全元件上。

8.  根据权利要求4所述的移动设备，其中所述请求者包括驻留在所述活动访问控制客户端上的软件进程。

9.  一种用于管理存储于安全元件中的多个访问控制客户端的方法，所述方法包括：
从请求者接收对包含在所述多个访问控制客户端中的特定访问控制客户端中的数据成分进行访问的请求；
验证所述请求；
在所述多个访问控制客户端中搜索所述特定访问控制客户端；
从所述特定访问控制客户端获取所述数据成分的至少一部分；以及
向所述请求者返回所述数据成分的所述至少一部分。

10.  根据权利要求9所述的方法，其中验证所述请求包括认证所述请求者。

11.  根据权利要求10所述的方法，其中验证所述请求进一步包括分析与所述请求者相关联的权限级别。

12.  根据权利要求11所述的方法，其中与所述请求者相关联的所述权限级别是由管理实体预先确定的。

13.  根据权利要求9至12中任一项所述的方法，其中：
所述数据成分包括多个个体的联系人信息；
所述请求指定所述多个个体中的特定个体；以及
所述数据成分的所述至少一部分包括所述特定个体的联系人信息。

14.  根据权利要求9至12中任一项所述的方法，其中所述数据成分的所述至少一部分包括用于移动设备的设备配置信息，所述安全元件被包括在所述移动设备中，并且所述方法进一步包括：
基于所述设备配置信息来配置所述移动设备的操作状态。

15.  一种被配置为管理多个访问控制客户端的安全元件，包括：
用于从请求者接收对包含在所述多个访问控制客户端中的特定访问控制客户端中的数据成分进行访问的请求的装置；
用于验证所述请求的装置；
用于在所述特定访问控制客户端中搜索存储于其中的所述数据成分的装置；和
用于向所述请求者返回所述数据成分的装置。

16.  根据权利要求15所述的安全元件，其中所述请求者为用户，并且验证所述请求包括验证由用户提供的个人识别码(PIN)或密码。

17.  根据权利要求15所述的安全元件，其中所述请求者为软件应用，并且验证所述请求包括分析所述软件应用的权限级别属性。

18.  根据权利要求15所述的安全元件，还包括用于使用所述多个访问控制客户端中的至少一个访问控制客户端来向网络进行认证的装置。

19.  一种移动设备，包括：
适于与无线网络进行通信的无线电路；
处理器；
与所述处理器进行数据通信的存储设备，其中所述存储设备存储计算机可执行指令，所述计算机可执行指令被配置为当由所述处理器执行时使得所述处理器：
将对包含在多个访问控制客户端中的特定访问控制客户端中的数据成分进行访问的请求传输至包括在所述移动设备中并且被配置为存储所述多个访问控制客户端的安全元件，其中所述请求指定允许访问所述数据成分的特定权限级别；和
所述安全元件，其中所述安全元件被配置为：
验证所述请求；
访问所述特定访问控制客户端的所述数据成分；以及
向所述处理器返回所述数据成分。

20.  一种用于访问在存储于用户设备的安全元件内的访问控制客户端中包含的数据成分的方法，包括：
在包括在所述用户设备中的处理器处，向所述安全元件传输对所述数据成分进行访问的请求，其中所述安全元件存储包括所述访问控制客户端的多个访问控制客户端，并且所述访问控制客户端是非活动的；
在所述安全元件处，验证所述请求，并且当所述请求有效时，访问所述数据成分并向所述处理器提供所述数据成分；
在所述处理器处，从所述安全元件接收所述数据成分；以及
在所述处理器处，基于所接收的数据成分来修改所述用户设备的操作状态。

21.  一种被配置为存储多个访问控制客户端的安全元件，其中所述多个访问控制客户端中的每个访问控制客户端包含数据成分，所述安全元件包括：
安全处理器；和
与所述安全处理器进行数据通信的安全存储设备，其中所述安全存储设备存储计算机可执行指令，所述计算机可执行指令被配置为当由所述安全处理器执行时使得所述安全处理器：
从请求者接收对所述多个访问控制客户端中的访问控制客户端的所述数据成分进行访问的请求，其中所述访问控制客户端是非活动的，并且所述请求包括与所述请求者相关联的权限级别信息；
基于所述权限级别信息来验证所述请求；
访问所述非活动访问控制客户端的所述数据成分；以及
向所述请求者返回所述数据成分。

用于管理安全元件内的数据的方法与装置
技术领域
本发明整体涉及通信系统领域，并且更具体地，在一个示例性方面中，涉及在一个或多个移动设备的多个用户访问客户端之间促进共享数据。
背景技术
在大多数现有技术无线电设备通信系统中需要访问控制以用于安全通信。例如，一种简单的访问控制方案可包括：(i)验证通信方的身份；以及(ii)授予与被验证身份相称的访问水平。在示例性蜂窝系统(如通用移动电信系统(UMTS))的上下文中，访问控制受到访问控制客户端的管控，该访问控制客户端称为通用用户身份模块(USIM)，该USIM在物理通用集成电路卡(UICC)(也称为“SIM卡”)上执行。USIM访问控制客户端认证UMTS蜂窝网络的用户。在成功认证之后，允许用户访问蜂窝网络。如下文中使用的，术语“访问控制客户端”一般是指实现于硬件或软件或它们的组合内的适于控制第一设备对网络的访问的逻辑实体。访问控制客户端的常见实例包括上述USIM、CDMA用户身份模块(CSIM)、IP多媒体服务身份模块(ISIM)、用户身份模块(SIM)、可移除用户身份模块(RUIM)等。
传统地，UICC为一个或多个USIM(或更一般地，“SIM”)访问控制客户端强加可信边界。利用SIM制造并“硬编码”UICC，即一旦被编程，就不能对UICC重新编程。如果用户想要使用不同的SIM认证到蜂窝网络，则用户必须利用不同的SIM卡物理地交换设备中的SIM卡。响应于这些物理局限性，一些设备已经被设计为同时接收两个SIM卡，该设备被称为双SIM电话。然而，双SIM电话未解决SIM卡设备的根本物理局限性。例如，不能容易地将存储于一个SIM卡内的信息与存储于另一个SIM卡内的信息合并。现有的双SIM设备不能同时访问两个SIM卡的内容。最后，访问SIM卡需要用户花费可察觉且非极少量的时间；在SIM卡之间进 行切换来转移信息是不可取的并且降低了用户体验，并且这种局限性呈现在传统和双SIM设备两者中。
因此，需要新的解决方案来提高访问多个访问控制客户端中的灵活性。理想地，此类解决方案应当允许在多个访问控制客户端之间共享公共用户数据以提高用户的体验。此外，改进的方法与装置应当允许在多个访问控制客户端之间无缝切换以改善用户的访问和蜂窝服务的使用。
发明内容
本发明通过特别提供用于在一个或多个移动设备的多个用户访问客户端之间共享数据的改进的装置与方法来满足上述需求。
在本发明的一个方面中，公开了一种被配置为存储一个或多个访问控制客户端的安全元件，该一个或多个访问控制客户端中的每个访问控制客户端均包含数据。在一个实施例中，安全元件包括安全处理器；以及与安全处理器进行数据通信的安全存储设备。在一个示例性实施例中，存储设备包括计算机可执行指令，该计算机可执行指令被配置为当由安全处理器执行时：接收对非活动第一访问控制客户端的第一数据进行访问的请求；验证请求；访问非活动第一访问控制客户端的第一数据；以及返回第一数据。
在一个变型中，一个或多个访问控制客户端中的每个访问控制客户端包括计算机可执行指令，该计算机可执行指令被配置为当由安全处理器执行时：从网络实体接收对活动的第二访问控制客户端进行认证的请求；认证请求；以及当请求可信时，对网络实体作出响应。
在另一个变型中，访问数据的请求和网络发起的请求处于不同的权限级别。
在一些变型中，该请求识别请求者。例如，请求者可以是用户。又如，请求者可以是软件应用程序。在一种此类情况下，软件应用程序驻留在安全元件上。在其他实例中，请求者包括安全元件上的一个或多个访问控制客户端中的第二访问控制客户端上的软件进程。
在第二方面中，公开了一种用于处理安全元件内的数据的方法，该安全元件被配置为存储一个或多个访问控制客户端，每个访问控制客户端均包含数据。在一个实施例中，该方法包括：接收对第一数据进行访问的请 求；验证请求；在多个访问控制客户端中搜索第一数据；以及当找到第一数据时，返回第一数据。
在一种此类变型中，验证请求包括识别请求者。在一种此类实例中，验证请求还包括确定与请求者相关联的权限。在另一个实例中，与该请求者相关联的所确定的权限是由管理实体预先确定的。
在其他变型中，访问第一数据包括访问多个联系人信息以识别单个联系人。
在其他变型中，访问第一数据包括访问一种或多种设备配置，该访问使得能够根据一种或多种配置中的至少一种配置来配置设备。
在第三方面中，公开了一种被配置为存储一个或多个访问控制客户端的安全元件，该一个或多个访问控制客户端中的每个访问控制客户端均包含数据。在一个实施例中，安全元件包括：用于接收对第一数据进行访问的请求的装置；用于验证请求的装置；用于在一个或多个访问控制客户端中搜索第一数据的装置；以及用于返回第一数据的装置。
在一个变型中，用于验证请求的装置包括用于验证由用户提供的个人识别码(PIN)或密码的装置。
在其他变型中，用于验证请求的装置包括用于确定软件应用程序的软件权限级别的装置。
在其他变型中，安全元件包括用于接收对访问控制客户端进行认证的网络请求的装置。
在第四方面中，公开了一种移动设备。在一个实施例中，移动设备包括：被配置为存储一个或多个访问控制客户端的安全元件，该一个或多个访问控制客户端中的每个访问控制客户端均包含数据；适于与通信网络进行通信的一个或多个无线通信电路；第一处理器；与第一处理器进行数据通信的存储设备，该存储设备包括计算机可执行指令，该计算机可执行指令被配置为当由第一处理器执行时：传输根据第一权限对第一访问控制客户端的第一数据进行访问的请求，该第一权限限于工具包可访问数据；该请求被配置为使得安全元件：验证请求；访问第一访问控制客户端的第一数据；以及向第一处理器返回第一数据。
在本发明的第五方面中，公开了一种用于访问用户设备的安全元件内的数据的方法。在一个实施例中，该方法包括：传输对存储在用户设备的 安全元件上的第一数据进行访问的请求；响应于接收请求，安全元件验证该请求；当请求有效时，定位多个访问控制客户端中的一个访问控制客户端上的第一数据；以及从安全元件接收第一数据。
在本发明的第六方面中，公开了一种移动设备。在一个实施例中，移动设备包括：被配置为存储一个或多个访问控制客户端的安全元件，该一个或多个访问控制客户端中的每个访问控制客户端均包含数据；适于与通信网络进行通信的一个或多个无线通信电路；被配置为请求访问存储在安全元件上的一个或多个非活动访问控制客户端的第一非活动访问控制客户端的第一数据的逻辑部件；其中安全元件被配置为验证请求，并且当请求有效时，提供第一访问控制客户端的第一数据；以及被配置为从安全元件接收第一数据的逻辑部件。
本领域的普通技术人员参考如下给出的附图和示例性实施例的详细描述应当立即理解本发明的其他特征和优点。
附图说明
图1生动地示出了一种使用现有技术USIM的示例性认证和密钥协商(AKA)过程。
图2是可用于实现本发明的方法的装置的示例性实施例的框图。
图3是根据本发明的各个方面的嵌入式通用集成电路卡(UICC)的示例性实施例的逻辑表示。
图4是根据本发明的各个方面的用于管理安全元件内的数据的一般化方法的一个实施例的逻辑流程图。
图5是根据本发明的用于合并多个电子用户身份模块(eSIM)的用户定义的联系人信息的方法的一个实施例的逻辑流程图。
图6是示出了根据本发明的用于在多个电子用户身份模块(eSIM)内搜索联系人信息的方法的一个实施例的逻辑流程图。
图7是示出了根据本发明的基于用户定义的条件性触发而用于促进在电子用户身份模块(eSIM)之间的自动切换的方法的一个实施例的逻辑流程图。
具体实施方式
现在参考附图，其中在所有附图中，类似的标号是指类似的部件。
本发明特别提供了用于在设备中跨多个用户访问控制客户端来管理和共享数据的方法与装置。在一个实施例中，嵌入式通用集成电路卡(eUICC)、安全元件或包含逻辑实体(例如，高级用户身份工具包)的UICC管理跨多个电子用户身份模块(eSIM)存储的数据并提供对该数据进行访问的权限。例如，数据可由用户定义的数据(UDD)(例如，由用户配置的设置和数据，诸如电话簿联系人、eSIM使用偏好等)、运营商特有的数据、校准数据等构成。高级用户身份工具包提供一种辅助权限接口，使得能够更快地访问存储在eSIM内的数据，而不会影响eSIM安全的完整性。
本发明的其他方面使得能够进行协作访问控制客户端操作。例如，在一种示例性使用情况下，逻辑实体诸如上述高级用户身份工具被配置为监测设备的操作条件或其他条件，并将它们与已由用户(或者，例如网络运营商等)指定的eSIM使用偏好进行比较。高级用户身份工具包的示例性具体实施还可根据期望的偏好自动切换活动eSIM。
现在对本发明的示例性实施例和方面进行详细描述。尽管主要在GSM、GPRS/EDGE或UMTS蜂窝网络的用户身份模块(SIM)的上下文中论述了这些实施例和方面，但普通技术人员应当理解，本发明不受这样的限制。实际上，本发明的各个方面在可能受益于多个用户访问控制客户端的安全管理的任何无线网络(无论是蜂窝还是其他)中是有用的。
还应当理解，尽管本文使用术语“用户身份模块”(例如SIM、USIM、CSIM、eSIM等)，但此术语决不必要地包含或需要(i)由用户自身使用(即，可由用户或非用户实践本发明)；(ii)单个个体的身份(即，可代表一组个体诸如家庭、或者无形或虚拟的实体诸如企业来实践本发明)；或(iii)任何有形的“模块”设备或硬件。
用户身份模块(SIM)操作
在现有技术的UMTS蜂窝网络的上下文中，用户设备(UE)包括移动设备和通用用户身份模块(USIM)。USIM是从物理通用集成电路卡(UICC)存储并执行的逻辑软件实体。在USIM中存储多种信息诸如用户信息，以及用于与网络运营商的认证以便获取无线网络服务的密钥和算法。在一些另选的具体实施中，在UICC的操作系统内存储密钥和/或加密算法。USIM 软件基于Java Card^TM编程语言。Java Card是Java^TM编程语言中的已针对嵌入式“卡”型设备(诸如上述UICC)而修改的子集。
通常，在用户分配之前利用USIM对UICC进行编程；预编程或“个性化”特定于每个网络运营商。例如，在部署之前，USIM与国际移动用户身份(IMSI)、唯一的集成电路卡标识符(ICCID)以及特定的认证密钥(K)相关联。网络运营商存储包含在网络认证中心(AuC)内的注册表中的关联。在个性化之后，可将UICC分配给用户。现在参见图1，详细示出了使用上述现有技术USIM的一种示例性认证和密钥协商(AKA)过程。在正常认证过程期间，UE从USIM获取国际移动用户身份(IMSI)。UE将IMSI传递到网络运营商的服务网络(SN)或被访问的核心网。SN向家庭网络(HN)的AuC转发认证请求。HN将所接收的IMSI与AuC的注册表进行比较并获取适当的密钥K。HN生成随机数(RAND)，并使用算法利用密钥K对其进行标记以创建期望的响应(XRES)。HN还生成密码密钥(CK)和完整性密钥(IK)以使用各种算法用于密码和完整性保护以及认证令牌(AUTN)。HN向SN发送由RAND、XRES、CK和AUTN构成的认证矢量。SN存储仅用于一次性认证过程的认证矢量。SN将RAND和AUTN传递到UE。
一旦UE接收到RAND和AUTN，USIM就验证所接收的AUTN是否有效。如果有效，UE使用所接收的RAND使用所存储的密钥K以及与生成XRES的算法相同的算法来计算其自身的响应(RES)。UE将RES传递回到SN。SN将XRES与所接收的RES进行比较，并且如果它们匹配，则SN授权UE使用运营商的无线网络服务。
除了利用USIM对UICC进行编程之外，通常还利用向UICC提供增强的功能的其他应用程序对UICC进行编程。此类应用程序的常见实例是电话簿或USIM应用程序工具包(USAT)。USAT通常被用作一种在UICC和设备之间扩展通信协议的增值服务技术。
加密/密钥方案
非对称密钥方案使用不同的密钥对消息加密和解密，并且因此加密者和解密者不会共享同一密钥。对称密钥方案针对加密和解密两者均利用相同的密钥(或稍加变换的密钥)。Rivest、Shamir和Adleman(RSA)算法是一种类型的公钥/私钥对加密术，其通常用于相关领域中，但应当理解，本发明决不受限于RSA算法。可使用公共/私有加密方案对消息加密和/或生 成签名。具体地，可利用私钥对消息进行加密并且利用公钥进行解密，从而确保在传输中其消息未被改变。类似地，可利用公钥来验证利用私钥生成的签名，从而确保生成签名的实体是合法的。在两种用途中，私钥都保持隐蔽并且公钥自由分配。
装置
顺便提一下，现有技术UICC(即，SIM卡)可在移动设备之间自由移动，但SIM自身在UICC内硬编码。尽管可利用多个SIM(例如USIM和CSIM等)对SIM卡进行预编程，但现有的部署通常仅包含单个SIM。根据现有的SIM信任架构，移动设备不是可信实体；因此，SIM卡必须在授权访问之前确定移动设备是否已被盗用。实际上，SIM仅被配置为与具有对适当的加密机密的访问权限的家庭网络(HN)或服务网络(SN)建立可信通信。
另外，现有解决方案中没有用于向另一个SIM卡认证一个SIM卡的机制，因此每个SIM卡的“信任边界”仅限于该卡其自身。在SIM卡之间共享信息需要移动设备安全地访问每个SIM卡，并在SIM卡之间从外部传输信息。
相比之下，在本发明的一个方面中，安全元件(UICC、eUICC等)被配置为存储在下文中被称为电子用户身份模块(eSIM)的多个SIM元件。每个eSIM都是典型USIM的软件模拟，并且包含类似编程和与其相关联的用户数据。在一些变型中，ESIM可包括除USIM应用程序之外的附加软件和/或应用程序。在一个示例性实施例中，驻留在移动设备内的嵌入式UICC(eUICC)被配置用于与高级用户身份工具包软件层一起使用以管理和访问其上存储的多个eSIM。本发明的各个实施例具有永久安装的eUICC部件，没有很大力气不能从移动设备移除该永久安装的eUICC部件。此外，尽管eUICC仍然强制执行与移动设备之间的信任边界，但多个eSIM内部存储于eUICC信任边界内并且可从eUICC信任边界内进行安全地修改和/或操控。
现在参考图2，其示出了用于实现本发明的方法的装置200的一个示例性实施例。示例性装置200包括应用处理器202、安全元件204和一个或多个无线接口以及相关联的基带处理器206。尽管被示为遵从UMTS的用户设备(UE)移动无线设备，但应当理解，装置200可采取与本发明相符的几乎任何形状因数或特性。
如图所示，应用处理器202包括数字信号处理器、微处理器、现场可编程门阵列、或安装在一个或多个基板上的多个处理部件。处理子系统还可包括内部高速缓存存储器。处理子系统连接到包括存储器的存储器子系统，该存储器子系统可例如包括SRAM、闪存和SDRAM部件。存储器子系统可实现一个或多个DMA型硬件，以便促进本领域所熟知的数据访问。存储器子系统包含可由处理器子系统执行的计算机可执行指令。
安全元件204包括安全处理器(例如，数字处理领域中的已知类型的安全微处理器)和相关联的安全存储装置。安全存储装置包含可由安全处理器执行的计算机可执行指令。与设备的其他处理器不同的是，安全元件与其他软件隔离；具体地，安全元件被永久或半永久地配置为执行已知安全的代码库。在一些变型中，安全代码库是不能修改的。在其他变型中，只能在严格的条件下(例如，连接到诸如制造商的可信方等)修改安全代码库。
安全元件包括虚拟或电子实体诸如软件应用程序，下文称为嵌入式通用集成电路卡(eUICC)。在一种此类变型中，eUICC能够存储和管理多个eSIM。eUICC基于eSIM的ICCID来选择eSIM。一旦eUICC选择了一个或多个期望的eSIM，UE就能够发起认证过程以从eSIM的对应网络运营商获取无线网络服务。尽管以上选择基于ICCID，但普通技术人员应当理解，其他类型的标识符可用于eSIM管理，ICCID纯粹是例示性的。
此外，安全元件包括在管理多个eSIM时有用的逻辑实体，下文称为“工具包”应用程序。在一个示例性实施例中，工具包应用程序是在安全元件内内部执行的高级用户身份工具包软件应用程序。每个eSIM都包含其自身的数据，诸如电话簿联系人、相关联的电话设置、网页书签和用于该装置可与之通信和/或使用的其他设备的服务简档。数据的一个实例是例如条件式切换偏好，这是由用户(和/或网络运营商)定义的并且可用于确定设备上哪个eSIM应该是活动的。例如，此类切换偏好可基于一天中的时间或一周中的一天、设备的物理位置、正使用的电话簿联系人、可用的无线网络服务(例如，语音或数据蜂窝网络服务)、使用环境(例如，商务、个人)、通信类型(例如，语音与数据)等。
为了清楚起见，如本文所用，术语“活动”和“非活动”是指访问控制客户端的执行状态，不是当前连接状态(即，活动的访问控制客户端可 具有或不具有与该网络的连接环境)。因此，本领域的普通技术人员应当理解，正在被安全元件执行的访问控制客户端是“活动的”，而未被执行的访问控制客户端是“非活动的”。
在一个实施例中，高级用户身份工具包逻辑实体提供了eUICC和eSIM的数据之间的辅助接口，从而允许装置访问任何eSIM的数据，不论正在活动使用哪个eSIM。顺便提一下，现有的SIM卡通常需要用户满足访问条件(例如，PIN代码、密码、行政代码等)。此外，现有的设备被禁止每次保持超过一个活动的SIM。因此，仅当SIM卡正在活动使用时，已存储在SIM卡内的数据有效可用。相比之下，示例性高级用户身份工具包提供辅助接口，该辅助接口具有与主要eSIM访问不同的权限和/或许可。例如，该装置可使用高级用户身份工具包来跨多个eSIM查询电话簿联系人并与装置共享该电话簿联系人。又如，可使用高级用户身份工具包通过监测一个或多个条件并将所监测到的条件与用户定义的切换偏好进行比较来促进不同eSIM之间的自动的和基本的无缝切换。
在一个示例性实施例中，安全元件204仅可由一个或多个基带处理器206直接访问。在此类实施例中，应用处理器202经由基带处理器仅具有对安全元件(包括工具包应用程序和访问控制客户端)的间接访问权限。然而，在另选的实施例中，应用处理器202和一个或多个基带处理器206两者均与安全元件204直接通信。允许应用处理器202与安全元件204直接通信的益处是提高了应用处理器202可如何存储并检索数据的灵活性。然而，本领域的普通技术人员应当理解，本发明的各个方面涉及提供：(i)多层访问控制，以及(ii)并行访问。因此，在一些实施例中，应用处理器可直接访问工具包应用程序而不影响主要访问控制客户端接口。例如，用户可能能够在任何eSIM中搜索联系人信息而不必(操作性地)切换到不同的eSIM。
在本发明的一种示例性具体实施中，该设备包括多个无线接口和适于连接到多个无线网络的基带处理器206。多个无线接口可通过实施适当的天线和调制解调器子系统来支持不同的无线电技术，诸如GSM、CDMA、UMTS、LTE/LTE-A、WiMAX、WLAN、蓝牙等。然而，应当理解，多个接口可以是同类的或不同类的；例如，该设备可具有CDMA接口和LTE接口、WiMAX接口、CDMA接口和两个CDMA接口等等。
另外，在各种实施例中，装置200可包括用户界面子系统，该用户界面子系统包括任意数量的熟知的I/O，其包括但不限于：小键盘、触摸屏(如多触摸界面)、LCD显示器、背光源、扬声器和/或麦克风。然而，应当理解，在某些应用中，可排除这些部件中的一个或多个部件。例如，PCMCIA卡型客户端实施例可缺少用户界面(因为它们可能背负在它们物理和/或电气耦接的主机设备的用户界面上)。
现在重新参照图2，在一个示例性实施例中，安全元件204包括存储一个或多个计算机程序的非暂态计算机可读介质。一个或多个计算机程序被配置为实施第一级信任(或权限)和/或与信任级别不同的访问协议和访问该访问控制客户端(例如一个或多个eSIM)所需的访问协议。在一个变型中，第一级信任和(或权限)使得软件能够访问高级用户身份工具包软件，并基于例如非对称或对称密钥/质疑方案。例如，应用处理器202可能需要对质疑和响应方案作出适当响应以验证自身为有效的软件实体。在其他变型中，访问协议可基于适当标记的数字证书或其他形式的第三方验证(例如，处理器呈现有效证书并随后可访问高级用户身份工具包软件)。在其他变型中，eUICC可被配置为检查特定于硬件的签名、硬编码的设备或部件标识符(例如处理器ID等)等。在其他变型中，高级用户身份工具包可以在能力方面受限，使得可在访问期间使用更低级别的权限(或一般权限)。
在一种此类示例性变型中，高级用户身份工具包被配置为针对特定类型的访问(比现有eSIM访问)具有更少的限制和更快的能力。在一些情况下，减少的限制仍需要比一般用户权限更高级别的管理权限。本领域的普通技术人员将易于理解，可利用不同程度的安全性来处理与eSIM关联存储的各种类型的信息；例如，可对特定于网络的加密技术进行非常严密的保护和控制，而可利用更低程度的保护来保护单独的用户输入，而对一般或无所不在的数据根本不给予保护。尽管现有的SIM卡仅提供单个访问协议(并且因此始终需要最高级别的安全性，即使对于微小事务处理也是如此)，但可将用于高级用户身份工具包的第二(或甚至第三)访问协议与相关联的事务处理的权限级别(即，可利用一般权限执行微小事务处理)匹配相称。
例如，考虑限于添加、删除和/或检索联系人信息和/或操控呼叫和/或消息历史的高级用户身份工具包。尽管用户信息是机密的且应当被保护，但应当理解，用户管理的现有安全和管理权限一般足以保护用户信息。因此，可以相同方式来保护对上述高级用户身份工具包的访问(例如，经由用户确定的密码等)。在一些变型中，高级用户身份工具包还可包括更严格的安全等级，例如记账和/或计费信息。例如，可能需要管理权限以查看计费信息。此外，在一些变型中，例如可向服务技术员和/或其他受到专门培训的人员提供主管理权限。
在另一个实施例中，高级用户身份工具包被配置为提供由两个eSIM对公共数据集的访问和/或针对每个eSIM自由访问eSIM数据集。在一种具体实施中，eUICC被配置有存储器的第一部分以用于网络数据和eSIM数据，以及存储器的第二部分以用于用户数据。这样，每个eSIM均具有对存储器公共部分的访问权限，同时仍然保留其自身的单独存储器。在其他具体实施中，eUICC被配置为使得每个eSIM都具有不同的存储器空间。在任一种具体实施中，可使用高级用户身份工具包来管理对用户数据的访问。
图3示出了嵌入式通用集成电路卡(UICC)的一个示例性实施例的逻辑框图。如图所示，eUICC 300包括用于经由现有公共操作系统302的eSIM访问的第一接口(使得SIM过程能够用于用户数据访问和非用户数据访问两者)，以及与高级用户身份工具包304进行通信的第二接口。每个eSIM308均具有工具包可访问数据310(例如，用户定义的数据、应用程序等)和非工具包可访问数据312(例如，加密信息、受保护软件等)。高级用户身份工具包被配置为自由访问每个eSIM的工具包可访问部分。另外，高级用户身份工具包可具有对用于高速缓存数据等的内部(或外部)公共存储器高速缓存306的访问权限。
在一些实施例中，高级用户身份工具包304可另外使得第一eSIM能够与第二eSIM通信和/或交易数据。例如，第一eSIM 308可发出对第二eSIM的用户数据310的请求。一般来讲，假设设备的所有者拥有第一eSIM和第二eSIM，因此高级用户身份工具包可授权请求而无需验证。然而，在一些变型中，高级用户身份工具包可另外验证第一eSIM是否具有用于访问第二eSIM的适当权限。在多个拥有者之间共享设备等的情况下，此类变型可能是有用的。
如图所示，用于公共操作系统302的第一接口和用于高级用户身份工具包304的第二接口在逻辑上是不同的，然而应当理解，第一接口和第二接口可实现于单个物理接口上或不同的物理接口上。在一些实施例中，第一接口和第二接口可耦接到基带处理器206。在其他实施例中，第一接口耦接到基带处理器206并且第二接口耦接到应用处理器202。
方法
现在参考图4，描述了用于管理安全元件内的数据的一般化方法的一个实施例。在本发明的一个具体实施中，一个或多个访问控制客户端能够存储和检索与该访问控制客户端唯一相关联的数据。驻留在安全元件内的工具包应用程序提供多个访问控制客户端上的附加软件管理层。工具包应用程序例如具有第一权限级别，并且一个或多个访问控制客户端具有第二权限级别。在一个变型中，可利用第一权限级别或第二权限级别来访问数据。
在方法400的步骤402处，安全元件确定访问是否涉及工具包应用程序或一个或多个访问控制客户端。如果该访问涉及访问控制客户端(例如，eSIM)，则安全元件经由例如ISO 7816、ISO 14443、USB等提供对访问控制客户端的访问权限。否则，如果该访问涉及该工具包应用程序，那么该方法继续进行到步骤404。
在一个实施例中，安全元件具有单个接口，该单个接口被逻辑地划分为(i)工具包应用程序，以及(ii)访问控制客户端应用程序。例如，SIM卡接口通常包括时钟、重置和单个输入/输出(1O)。1O线被时钟控制为进行读和写(可被解释为数据、地址和/或指令)。可为工具包应用程序提供一系列专门的命令、不同的存储器地址空间、操作模式开关等。例如，安全元件可具有接受SIM卡访问和工具包应用程序访问两者的单个公共接口。在其他示例性配置中，在SIM卡访问和工具包应用程序访问之间物理地或逻辑地切换(例如，通过向选择注册表写入、设置模式开关等)安全元件。
在其他实施例中，安全元件提供有针对工具包应用程序和访问控制客户端应用程序中的每的不同的物理接口(即两个接口)。例如，如前所述，SIM卡接口可包括时钟、重置和单个输入/输出(IO)，而独立的地址和数据总线被用于工具包访问。还应当理解，两个或更多个接口可共享一个 或多个公共特征(例如，共享时钟和重置，还利用独立的数据/地址总线)。
在一个变型中，请求者为用户。例如，用户可请求访问与一个或多个访问控制客户端中的任一个访问控制客户端(或子集)相关联的电话簿联系人。一般来讲，应当理解，用户将经由从应用处理器执行的图形用户界面(GUI)执行来此类请求；然而，其他形式的接口也可能符合本发明。例如，该设备可具有暴露的按钮或其他物理装置以用于触发特定操作(例如，SIM锁定、SIM更换等)。
在另一个变型中，请求者可以是在设备的处理器上执行的软件应用程序。例如，当使用eSIM数据以便多个eSIM之间的自动切换时，主机无线电设备(例如智能电话)的基带处理器和/或调制解调器可请求用于每个eSIM的所存储的数据切换标准来辅助自动确定在设备上具体哪个eSIM应当是活动的。在其他实例中，可由应用处理器请求eSIM数据来辅助个人联系人信息管理等。
在另一个变型中，请求者可以是由eSIM自身或另一个eSIM在内部执行的软件。例如，第一eSIM可请求将个人联系人信息与第二eSIM进行同步。在其他实例中，第一eSIM可根据与第二eSIM相关联的设备设置自动配置其自身，诸如当初始向UICC初始添加第一eSIM时。
本领域的普通技术人员应当理解，软件跨涵盖范围广泛的功能、能力和/或权限。软件的常见实例包括但不限于：固件、低级设备驱动程序、操作系统驱动程序(OS)、本机设备应用程序、第三方软件应用程序、联网应用程序和虚拟机。因此，在本发明的一些实施例中，工具包应用程序还可基于请求者软件类型暴露不同的软件能力。例如，可以为低级设备驱动程序赋予与例如联网应用程序不同的能力和功能。
顺便提一下，数据的常见实例包括但不限于：用于访问控制客户端的条件式操作标准(例如，用于自动SIM切换的设置等)、网址书签、账户密码列表、呼叫和/或消息历史、用户或财务账户信息、设备简档设置、软件应用程序等。
所支持的数据访问的常见实例包括但不限于：检索数据、存储数据、修改数据(例如，覆写或替换)、执行指令、确定数据有效性(例如，执行循环冗余校验(CRC)、单向加密散列或其他完整性校验)、启用/禁用特 征等。此外，应当理解，特定类型的访问可能是复杂的和/或需要工具包应用程序执行多个内部事务处理。实际上，本文公开的示例性工具包应用程序的一个突出优点是可在安全元件内部执行复杂的事务处理。经由ISO7816信令执行现有的SIM卡访问，其比安全元件自身的内部访问慢得多。例如，经由ICC ISO 7816协议的简单读取请求基于协商的速度并且最大可达到几百kbps(千比特/秒)。
在步骤404处，对访问数据的请求任选地进行验证以用于工具包应用程序的适当的许可、权限和/或行为。更一般地，工具包应用程序仅执行与赋予请求者的权限级别相称的访问；该限制确保安全元件和访问控制客户端的信任边界不能被无意或恶意使用工具包应用程序绕过。在一个实施例中，工具包应用程序仅访问整个安全元件资产的子集。在一个变型中，该子集限于与请求者的权限对应的数据。在其他变型中，工具包应用程序其自身具有最大的权限级别。例如，工具包应用程序可能仅能够访问/修改用户定义的数据。
例如，用户可请求合并与第一eSIM相关联的第一电话簿和与第二eSIM相关联的第二电话簿；工具包应用程序可另外要求(或提示用户)适当访问eSIM中的一者或两者的PIN。在其他实例中，用户可请求访问与eSIM相关联的计费信息。作为响应，工具包应用程序可在提供信用卡信息之前提示用户该密码(或PIN)。在另一个实例中，第三方应用程序可请求eSIM用户数据启用特定的功能(例如应用中支付、使用历史统计等)，工具包应用程序可验证该第三方应用程序在提供所请求数据之前已被准许访问用户的个人信息。
如果工具包应用程序确定没有足够的权限来访问数据，则拒绝对访问的请求(步骤406)。在一些变型中，可向请求实体(例如用户、软件、网络实体等)提供错误消息。否则，当工具包应用程序确定有充分许可时，授予对访问的请求(步骤408)。
此外，本领域的普通技术人员应当理解，访问控制客户端内容的敏感性可能需要附加安全层，以便防止恶意攻击。例如，本发明的各种实施例可被配置为另外特别执行输入验证(即，请求良好形成且符合预期输入)、认证/授权、完整性校验、会话管理(例如，会话未保持开放或不当地访问资产等)、意外管理(即，适当处理错误状况)和/或审计/记录等。
又如，可根据证书来授权请求。例如，可要求请求者软件呈现已由可信的第三方签署的证书，该证书指示请求者软件被授权用于所请求的访问。这种证书的一个实例包括已经利用软件标识和/或设备标识散列化的(可信第三方的)签名。在另一个此类实例中，根据请求者软件权限级别来验证请求。例如，考虑这样的系统，其中操作系统具有第一权限级别，第三方软件具有第二权限级别并且通信软件栈具有另一权限级别。在一些变型中，用户可另外能够配置一个或多个权限级别(例如，授予特定的第三方应用程序进行更多访问或从其撤回权限)。
在其他情况下，应用程序工具包可验证请求者软件是否正在根据可接受的行为而进行操作。常见校验包括但不限于：验证输入是否符合格式和长度、会话超时功能、适当的存储操作(例如，防止失去控制的指针等)等。
在方法400的步骤408处，工具包应用程序访问该访问控制客户端的所请求数据。在一个实施例中，工具包应用程序直接访问适当访问控制客户端的存储器空间。例如，通常根据预定义的分割布置存储器映射的文件结构。在一种此类变型中，分割被分成：(i)用户定义的数据(UDD)，以及(ii)非用户数据(例如，加密数据、软件、固件等)。为了执行访问，工具包从先前已缓存的目录结构或通过反复遍历目录结构直到找到存储器位置，从而确定适当的存储器地址。在另选的实施例中，工具包应用程序经由一组特定于访问控制客户端的指令来访问该访问控制客户端。通常使SIM类型文件结构模糊以防止直接访问所存储的数据。因此，在一些实施例中，工具包应用程序必须使用SIM设备的本机命令集来访问文件结构。尽管此类间接访问可能比直接访问方法需要更多的时间，但有利的是，工具包接口不需要很多协议保护措施，而利用现有技术将是必须要执行的。
在一些实施例中，工具包应用程序访问公共存储器空间。可提前在公共存储器空间中预先高速缓存数据，或者可根据需要或根据使用情况填充数据。一般来讲，高速缓存存储器比传统存储器结构更小、访问速度更快，但必须要加以优化以减少高速缓存“遗漏”(当高速缓存具有有用数据时)并使高速缓存“命中率”最大化(当高速缓存不具有有用数据时)。为了实现这些目的，高速缓存存储器实施不同的替换策略；具体地，当高速缓存遗漏时，高速缓存可利用所检索的有效数据来替换其现有 条目中的一条现有条目。替换策略确定将来不大可能使用哪个现有的高速缓存条目。在一个变型中，高速缓存根据最近最少使用的(LRU)范式即当高速缓存遗漏时，替换条目，高速缓存利用从例如访问控制客户端检索的数据来替换最近最少访问的条目。
在步骤410处，向请求者返回访问结果。在一些变型中，工具包应用程序可另外记录访问，更新高速缓存和/或向访问控制客户端提供记录信息。
给定本公开的内容，本领域的普通技术人员应当理解，本发明的各个方面提供经由在安全元件内安全执行的(并可能是固有可信的)内部受控工具包应用程序对数据的访问。
示例性电话簿合并
图5示出了用于合并多个电子用户身份模块(eSIM)的用户定义的联系人信息的方法500的一种特定具体实施。考虑这样的情形，其中eSIM A具有含200个条目的电话簿以及eSIM B具有含300个条目的电话簿并且eSIM A和eSIM B具有100个重叠的条目。
在步骤502处，智能电话(诸如例如由本发明的受让人制造的示例性iPhone^TM)的用户识别两个(2)eSIM(eSIM A，eSIM B)，并经由从应用处理器执行的图形用户界面(GUI)发出请求以合并两个eSIM的联系人信息。在该实例中，该请求涉及从嵌入式通用集成电路卡(eUICC)安全元件执行的高级用户身份工具包应用程序。
在步骤504处，高级用户身份工具包验证请求用户是否具有适当的权限以合并联系人信息。权限的验证可基于例如用户提供的PIN(或PIN)、密码、由第三方认证者提供的可信凭据等。然而，应当理解，如果需要，在某些情况下，对用户权限进行此类验证可能是不必要的并且被跳过。
在步骤506处，高级用户身份工具包从eSIM A检索200个条目并且从eSIM B检索300个条目，并执行条目的内部合并。值得注意的是，现有技术双SIM设备将不可避免地需要向第一SIM卡进行认证以读出第一组条目，并且随后接下来向第二SIM卡进行认证以读出第二组条目。更糟的是，现有技术解决方案将需要在ISO 7816卡接口上完整地执行上述操作，如前所述的，这比由工具包应用程序赋予的内部存储器访问要慢得多。
重新参照图5，在步骤508处，高级用户身份工具包返回存储于存储器中的400个条目的合并列表(例如，通过应用处理器)。一旦完成合并，就通知用户。
示例性联系人查找
图6示出了用于在一个或多个电子用户身份模块(eSIM)内搜索联系人信息的方法600的一种特定具体实施。
在步骤602处，智能电话的用户请求“John Doe”的联系人信息。在该实例中，用户未提供目标eSIM，然而应当理解，当用户提供目标eSIM时，搜索可能受到显著约束。
如有必要，在步骤604处，高级用户身份工具包验证请求用户(或请求应用程序)是否具有适当的权限来搜索所指定的联系人。在一些变型中，高级用户身份工具包可基于请求用户(或应用程序)的许可来识别可搜索的eSIM的子集。
在步骤606处，高级用户身份工具包搜索eSIM以用于匹配条目。顺便提一下，尽管现有的SIM卡允许单个条目访问，但在这种特定情形下，将要求现有技术的软件读取整组联系人以在应用处理器中执行搜索。具体地，对于特定条目而言索引是未知的，现有软件必须要从UICC中读取整组条目，并在读出条目中执行搜索。
重新参照图6，在步骤608处，高级用户身份工具包向请求用户或应用程序返回定位的联系人信息结果。
示例性切换操作
图7示出了基于用户定义的条件式触发在电子用户身份模块(eSIM)之间促进自动切换的方法700的一种特定具体实施。
在方法700的步骤702处，智能电话的用户定义条件式触发以在对应于例如用途或其他环境的特定时间处在eSIM之间进行自动切换。例如，用户可选择在上午7:00至下午5:00之间启用第一eSIM A(例如，工作账户)，并且在下午5:00至上午7:00之间启用第二eSIM B(例如，个人账户)。在每个相应的eSIM内将切换条件式触发作为用户偏好数据加以存储。
在步骤704处，高级用户身份工具包检查针对有效性的用户偏好数据条件式触发。例如，高级用户身份工具包可确保在所有时间内定义一个且 仅仅一个eSIM(即，没有重叠)。如果条件式触发有效，则高级用户身份工具包配置其触发能力，并适当配置每个eSIM(即，确保在其适当的使用时间处启用该eSIM，或者在操作性事务处理诸如呼叫或下载当中不执行切换)。
本领域的普通技术人员应当理解，现有技术SIM卡不具有上述能力。此外，现有技术双SIM设备也不能通过这种方式合作，因为两个SIM卡都是不同的逻辑实体，其不能与另一个合作或指定或影响另一个的操作。
在步骤706处，高级用户身份工具包监测触发条件(例如，时间、事件等)。例如，当满足下午5:00条件的一天时间(根据内部时钟基准，或者根据每个外部网络信令)时，高级用户身份工具包从第一eSIM A转换到第二eSIM B；类似地，当满足下午7:00条件时，高级用户身份工具包从第二eSIM B转换到第一eSIM A。
在一些变型中，eUICC(或高级用户身份工具包)向基带处理器发出“刷新”指令；作为响应，基带处理器刷新新eSIM的文件结构并执行AKA过程。在一些情况下，在正在进行的操作条件期间调用的任何此类动作，诸如呼叫都可以被中止或延期，直到完成该条件。
还应理解，可将本文图5的实例对eSIM“电话簿”的访问用作针对上下文(并且因此eSIM)改变的触发条件。例如，运行于应用处理器上的用户电话簿应用程序可能有某些联系人被标记或被指定为“个人”，并且其他为“企业”。所有用户企业联系人均可设置于企业eSIM上，并且所有个人联系人均在个人eSIM上；因此，如果不是已在使用中的情况下，用户选择联系人可调用工具包来选择特定的eSIM或“身份”。
应当理解，当根据方法的特定步骤顺序来描述本发明的某些方面时，这些描述仅仅说明了本发明的更广泛的方法并且可由特定应用程序按需要进行修改。在某些情况下，某些步骤可成为不必要的或可选的。另外，可将某些步骤或功能性添加至本发明所公开的实施例，或者两个或更多个步骤的性能的顺序可加以排列。所有此类变型都被视为包含在本文中的所公开的和受权利要求书保护的本发明中。
虽然上述具体实施方式已经示出、描述并指出施加到各种实施例的本发明的新颖特征，但应当理解，本领域的技术人员可以在不脱离本发明的情况下在所例示的设备或流程的形式和细节方面作出各种省略、替代和改 变。上述说明是目前所设想的实施本发明的最佳模式。本说明书决不旨在进行限制，而应被认为对于本发明的一般原理是示例性的。应结合权利要求来确定本发明的范围。