安全用户识别模块服务制造技术

用于安全用户识别模块服务的方法、装置、系统和计算机程序产品。响应于接收到由系统的安全分区来为所述系统激活通信服务的请求，来激活经由移动网络的通信。响应于接收到所述请求，从仅可由安全分区访问的存储器中获取用于许可服务的密钥。该密钥包含在请求激活通信服务的许可中，并且该许可被发送给所述通信服务的服务提供方。该服务提供方与许可服务进行通信，以获取所述许可的数字签名。安全分区接收来自服务提供方的签名的许可，确认该签名的许可包含许可服务的数字签名，以及响应于确认该签名的许可包含数字签名来为所述系统激活通信服务。

【技术实现步骤摘要】
安全用户识别模块服务本申请是申请日为2010年12月17日、申请号为201010599679.2、专利技术名称为“安全用户识别模块服务”的中国专利申请的分案申请。版权声明本文所包含的是受版权保护的材料。版权拥有者并不反对任何人复制本专利公开，因为本专利公开出现在专利商标局的专利文件或记录中，但仍然保留对该版权的全部权利。
本公开总体上涉及经由无线网络进行通信的移动设备和计算机系统中的用户识别模块。
技术介绍
经由无线网络(本文中也称为移动网络)进行通信的计算机和移动电话设备包括物理用户识别模块(SIM)卡。SIM卡安全地存储服务-用户密钥(也被称为国际移动用户标识符(IMSI))，其在服务被激活时由无线服务提供方进行分配。SIM卡还存储由移动设备所使用的、用于接入该设备的归属移动网络的认证密钥。当前，在服务可被激活之前，服务提供方必须向移动设备用户发放物理SIM卡。物理SIM卡被绑定到发放服务提供方和归属网络。公众陆地移动网络(PLMN)的每个位置区域都具有被称为位置区域标识(LAI)的唯一的标识符。位置区域标识包括移动国家码(MCC)、移动网络码(MNC)和位置区域码。给定移动网络中的基站在广播控制信道(BCCH)中传送该区域的LAI。给定移动设备可与之进行通信的移动网络被存储在SIM中的各种不同的列表中，例如等效归属PLMN(EHPLMN)列表，其提供关于归属网络位置区域中的小区的信息，或者存储在用于确定应当选择哪个网络的用户控制的或运营商控制的PLMN选择器列表中。在网络注册期间，移动设备从其当前位置中的可用PLMN中选择移动网络。自动选择过程根据3GPP规范TS23.122来搜索可用PLMN的列表以找到适当的PLMN，该3GPP规范TS23.122可在URLwww-3gpp-org/ftp/Specs/html-info/23122-htm中获得，其中已经对该URL进行了更改，即用字符“-”代替字符“.”，以避免来自该文档中的主动超链接。如果发现了适当的匹配，则移动设备向所选择的PLMN注册并将其作为归属网络。当移动设备尝试接入移动网络时，物理SIM卡提供与归属网络相关联的认证密钥。如果该移动设备位于该归属网络区域之外，则伙伴网络服务提供方从该归属网络服务提供方处请求认证证书，以便授权该移动设备接入无线网络。对于接入该伙伴移动网络，该伙伴服务提供方实施“漫游收费”。为了避免漫游收费，移动设备用户可获取用于该移动设备经常旅行到的区域的另一物理SIM卡，并然后在旅行到那个区域时切换物理SIM卡。附图说明图1是根据本专利技术一个实施方式的被配置来提供安全用户识别模块(SIM)服务的系统的框图。图2是示出了在激活使用安全用户识别模块(SIM)服务的通信时用户与图1中系统的部件之间的交互的流程图。图3是根据本专利技术一个实施方式的被配置来提供多个安全用户识别模块(SIM)服务的系统的框图。图4是用于基于主设备的位置从多个配置的用户识别模块(SIM)服务中选择安全SIM服务的方法的流程图。图5示出了根据本专利技术一个实施方式的针对两个配置的SIM服务的优选移动网络列表的组合。图6示出了根据本专利技术一个实施方式的用于实现安全用户识别模块服务的虚拟机环境。具体实施方式本专利技术的实施方式可以提供方法、装置、系统和计算机程序产品来提供安全用户识别模块(SIM)服务。在一个实施方式中，安全用户识别模块服务由平台芯片组中的固件来实现，而非物理SIM卡。通过提供请求为移动设备获取物理SIM卡的选择，可以立即激活并配置无线通信服务。另外，可以配置不止一个安全SIM服务，并且可基于移动设备的位置来为通信选择其中一个安全SIM服务。说明书中提及的本专利技术的“一个实施方式”或“实施方式”意味着结合该实施方式描述的特定特征、结构或特性包含在本专利技术的至少一个实施方式中。因此，在整个说明书中出现在不同地方的短语“在一个实施方式中”、“根据一个实施方式”等并不必然都指代同一实施方式。出于解释的目的，阐述了特定的配置和细节，以便提供对本专利技术的透彻理解。然而，对于本领域普通技术人员而言显而易见的是，在没有本文呈现的这些特定细节时也可实现本专利技术的实施方式。另外，为了不模糊本专利技术，可以省略或简化公知的特征。在整个说明书中可以提供各种示例。这些仅仅是本专利技术的特定实施方式的描述。本专利技术的范围不限于给出的这些示例。在一个实施方式中，在安全分区中提供安全用户识别模块服务，该安全分区确保了用于激活服务的隔离和受控环境。该安全分区确保将系统上要被激活的服务验证为源自经认证的源。该安全分区与系统的主操作系统相隔离，从而确保系统上要被激活的服务免受损害。安全平台用户识别模块的隔离和安全的环境可包括各种不同类型的分区，包括完全分离的硬件分区(例如，使用因特尔公司的管理性引擎(“ME”)、主动管理技术(“AMT”)、平台资源层(“PRL”)和/或其它可比较的或类似的技术)和/或虚拟分区(例如，因特尔公司的虚拟技术(“VT”)方案中的虚拟机)。对本领域普通技术人员显而易见的是，虚拟主机也可用于实现ME、AMT、PRL技术(将在下文参照图6进一步详细描述)。本文中将安全分区描述为通过使用管理性引擎(“ME”)技术来实现，但是本领域技术人员将意识到，本专利技术并不局限于此并且其它实现方式落入本专利技术的范围内。图1是根据本专利技术一个实施方式的被配置为能够激活安全用户识别模块服务的系统的框图。相当于主计算机系统的平台100包括连接到芯片组/安全分区120的处理器110。处理器110向平台100提供处理能力并可以是单核或多核处理器，并且不止一个处理器可以包含在平台100中。处理器110可经由一个或多个系统总线、通信路径或介质(未示出)连接到平台100的其他部件。处理器110可执行诸如主应用程序112之类的应用程序，其在主操作系统111的控制下运行。主应用程序112可经由诸如以太网NIC114之类的网络控制器来与诸如网络170上的服务提供方服务器180或许可服务器190之类的其他系统进行通信。芯片组/安全分区120包括管理性引擎(ME)130，该管理性引擎(ME)130可被实现为独立于主处理器110而进行操作的嵌入式微处理器，以便管理平台100的配置和操作。在一个实施方式中，处理器110在主操作系统111的指示下进行操作，然而管理性引擎(ME)130提供了不能被主操作系统111访问的安全和隔离的环境。在一个实施方式中，管理性引擎(ME)130对用户进行认证、控制对外围设备的访问、管理加密密匙以保护存储在平台100的存储设备上的数据，并且为安全用户识别模块(SIM)服务的激活提供安全环境。在一个实施方式中，如下文将进一步描述的，管理性引擎(ME)130被配置为通过使用非对称RSA公钥加密技术来以与诸如许可服务器190之类的外部实体的相互信任关系进行操作。在一个实施方式中，运行在处理器110上的主应用程序112与管理性引擎(ME)130之间通过主嵌入式控制器接口(HECI)116进行通信。为了利用在管理性引擎(ME)130与诸如许可服务器190之类的外部实体之间的信任关系，主应用程序112可从诸如许可服务器190之类的外部实体、为主应用程序112期望传递给管理性引擎(ME)130的数据获取签本文档来自技高网...

【技术保护点】
一种计算机实现的方法，包括：从在系统的一个位置处可用的至少一个移动网络中选择移动网络；识别用于所述系统的多个配置的SIM服务；选择所述多个配置的SIM服务中的配置的SIM服务；以及使用所选择的配置的SIM服务的证书来尝试与所选择的移动网络进行通信。

【技术特征摘要】
2009.12.17 US 12/653,7091.一种计算机实现的方法，包括：识别最高质量的移动网络，所述最高质量的移动网络提供在系统的一个位置处可用的至少一个移动网络所提供的服务中的最高质量的服务；识别所述最高质量的移动网络的国家码；识别用于所述系统的多个配置的SIM服务；从移动网络列表中为所述多个配置的SIM服务中的每一个选择移动网络以包括在组合的移动网络列表中，所述选择是根据了所述最高质量移动网络的国家码以及与所选择的移动网络中的每一个相关联的国家码；从所述组合的移动网络列表中选择移动网络；从所述多个配置的SIM服务中选择与所选择的移动网络相对应的配置的SIM服务；使用所选择的配置的SIM服务的证书来尝试向所选择的移动网络注册；确定向所选择的移动网络的注册是否成功；以及响应于确定向所选择的移动网络的注册是不成功的，从所述组合的移动网络列表中选择另一个移动网络。2.根据权利要求1所述的方法，还包括请求对应于在所述系统的所述位置处可用的所述至少一个移动网络中的每一个的信号质量，其中，识别提供在所述系统的所述位置处可用的至少一个移动网络所提供的服务中的最高质量的服务的最高质量的移动网络包括，标识与在所述系统的所述位置处可用的所述至少一个移动网络的最高质量的信号相关联的移动网络。3.根据权利要求1所述的方法，还包括：确定向所述组合的移动网络列表中的每一个移动网络的注册是否不成功；响应于确定向所述组合的移动网络列表中的每一个移动网络的注册是不成功的，识别下一个最高质量的移动网络，所述下一个最高质量的移动网络提供在所述位置处可用的所述至少一个移动网络所提供的服务中的下一个最高质量的服务，所述下一个最高质量的移动网络与和所述最高质量的移动网络的国家码不同的国家码相关联；以及选择另外的移动网络以包括在新的组合的移动网络列表中，所述选择是根据了所述下一个最高质量移动网络的国家码以及与所选择的另外的移动网络中的每一个相关联的国家码。4.根据权利要求1所述的方法，还包括：使所述系统的安全分区中的SIM服务采用所选择的配置的SIM服务的标识，其中，所述安全分区与所述系统的主操作系统相隔离。5.一种用于选择安全用户识别模块服务的装置，包括：至少一个处理器；与所述处理器的主操作系统相隔离的安全分区；以及包含用于在所述安全分区中执行的至少一个服务的指令的存储器，以便执行下述步骤：识别最高质量的移动网络，所述最高质量的移动网络提供在所述装置的一个位置处可用的至少一个移动网络所提供的服务中的最高质量的服务；识别所述最高质量的移动网络的国家码；识别用于所述装置的多个配置的SIM服务；从移动网络列表中为所述多个配置的SIM服务中的每一个选择移动网络以包括在组合的移动网络列表中，所述选择是根据了所述最高质量移动网络的国家码以及与所选择的移动网络中的每一个相关联的国家码；从所述组合的移动网络列表中选择移动网络；从所述多个配置的SIM服务中选择与所选择的移动网络相对应的配置的SIM服务；以及使用所选择的配置的SIM服务的证书来尝试与所选择的移动网络进行通信。6.根据权利要求5所述的装置，其中，所述指令还包括用于执行下述步骤的指令：请求对应于在所述装置的所述位置处可用的所述至少一个移动网络中的每一个的信号质量，其中，识别提供在所述装置的所述位置处可用的至少一个移动网络所提供的服务中的最高质量的服务的最高质量的移动网络包括，标识与在所述装置的所述位置处可用的所述至少一个移动网络的最高质量的信号相关联的移动网络。7.根据权利要求5所述的装置，其中，所述指令还包括用于执行下述步骤的指令：尝试一次一个地向所述组合的移动网络列表中的每一个移动网络注册；以及确定向所选择的移动网络的注册是否成功。8.根据权利要求7所述的装置，其中，所述指令还包括用于执行下述步骤的指令：确定向所述组合的移动网络列表中的每一个移动网络的注册是否不成功；响应于确定向所述组合的移动网络列表中的每一个移动网络的注册是不成功的，识别下一个最高质量的移动网络，所述下一个最高质量的移动网络提供在所述位置处可用的所述至少一个移动网络所提供的服务中的下一个最高质量的服务，所述下一个最高质量的移动网络与和所述最高质量的移动网络的国家码不同的国家码相关联；以及使用与所述下一个最高质量的移动网络相关联的所述不同的国家码来选择要包括在新的组合的移动网络列表中的另外的移动...

【专利技术属性】
技术研发人员：S·达杜，G·普拉卡什，M·米拉什拉斐，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国;US