一种用于用户识别卡的控制装置、方法及用户识别卡制造方法及图纸

本发明专利技术公开了一种用于用户识别卡的控制装置、方法及用户识别卡，所述用户识别卡中存储有至少一个与运营商对应的配置文件Profile，所述控制装置包括：第一接收模块，用于从网络侧接收一请求对第一目标Profile进行第一操作的第一Profile操作请求；第一判断模块，用于根据所述第一目标Profile中保存的控制规则判断是否允许对所述第一目标Profile执行所述第一操作，获取一判断结果；第一执行模块，用于在判断结果指示允许对所述第一目标Profile执行所述第一操作时，对所述第一目标Profile执行所述第一操作，否则拒绝对所述第一目标Profile执行所述第一操作。本发明专利技术在用户识别卡层面实现了对针对运营商Profile进行的操作的有效控制。

【技术实现步骤摘要】
一种用于用户识别卡的控制装置、方法及用户识别卡
本专利技术涉及用户识别卡，特别是一种用于用户识别卡的控制装置、方法及用户识别卡。
技术介绍
在现代无线通信网络中，用户识别卡与终端共同构成了提供给客户通信业务和信息服务的用户终端。用户识别卡凭借自身安全存储、可移植、低成本等特点在无线通信领域占据着不可替代的作用。用户识别卡在GSM环境中称为SIM(SubscriberIdentityModule，用户识别模块)；3G网络中称为USIM(UniversalSubscriberIdentityModule，全球用户识别模块)；UMTS环境下的用户识别卡是支持多应用(如：SIM、USIM、ISIM等应用)的通用IC卡，称为UICC(UniversalIntegratedCircuitCard，通用集成电路卡)。用户识别卡是一个装有微处理器的芯片卡，内部通常包含有5个模块，并且每个模块都对应一个功能：微处理器CPU、程序存储器ROM、工作存储器RAM、数据存储器EEPROM和串行通信单元。这5个模块被胶封在SIM卡铜制接口后与普通IC卡封装方式相同。这5个模块必须集成在一块集成电路中，否则其安全性会受到威胁，因为芯片间的连线可能成为非法存取和盗用用户识别卡的重要线索。目前针对用户识别卡，能够通过空中写卡方式实现动态写卡。然而目前的空中写卡仅仅能够对写入用户识别卡的运营商Profile进行写入，无法在用户识别卡层面对针对运营商Profile进行的操作进行有效的控制。
技术实现思路
本专利技术实施例的目的在于提供一种用于用户识别卡的控制装置、方法及用户识别卡，在用户识别卡层面针对运营商Profile进行的操作进行有效的控制。为了实现上述目的，本专利技术实施例提供了一种用于用户识别卡的控制装置，所述用户识别卡中存储有至少一个与运营商对应的Profile，所述控制装置包括：第一接收模块，用于从网络侧接收一请求对第一目标Profile进行第一操作的第一Profile操作请求；第一判断模块，用于根据所述第一目标Profile中保存的控制规则判断是否允许对所述第一目标Profile执行所述第一操作，获取一判断结果；第一执行模块，用于在判断结果指示允许对所述第一目标Profile执行所述第一操作时，对所述第一目标Profile执行所述第一操作，否则拒绝对所述第一目标Profile执行所述第一操作。上述的用于用户识别卡的控制装置，其中，所述第一Profile操作请求中还包括第一校验信息，所述控制装置还包括：第一校验模块，用于根据所述第一校验信息对所述第一Profile操作请求进行校验，得到第一校验结果；触发模块，用于在第一校验结果指示校验通过时，触发所述判断模块。上述的用于用户识别卡的控制装置，其中，还包括：第一响应模块，用于在判断结果指示不允许对所述第一目标Profile执行所述第一操作时，向网络侧返回一拒绝响应消息；协商模块，用于根据网络侧在接收到所述拒绝响应消息后发起的协商请求与网络侧执行协商操作，确定令牌Token；第二接收模块，用于接收网络侧在获取所述Token后发送的，携带有包括所述令牌的第二校验信息，请求对所述第一Profile进行所述第一操作的第二Profile操作请求；第二校验模块，用于根据所述第二校验信息对所述第二Profile操作请求进行校验，得到第二校验结果；第二执行模块，用于在第二校验结果指示校验通过时，允许对所述第一目标Profile执行所述第一操作，否则拒绝对所述第一目标Profile执行所述第一操作。上述的用于用户识别卡的控制装置，其中，还包括：创建模块，用于根据一Profile创建请求创建Profile。上述的用于用户识别卡的控制装置，其中，所述创建模块具体包括：第一接收单元，用于接收携带有第三校验信息和Profile内容的所述Profile创建请求；第一校验单元，用于依据所述第三校验信息对所述Profile创建请求进行校验，得到第三校验结果；创建单元，用于在第三校验结果指示校验通过时，利用所述Profile内容创建一新Profile。上述的用于用户识别卡的控制装置，其中，还包括：更新模块，用于根据由运营商发送的Profile更新请求更新第二目标Profile。上述的用于用户识别卡的控制装置，其中，所述更新模块具体包括：协商单元，用于和运营商协商确定一加密密钥；第二接收单元，用于接收携带有第四校验信息、第二目标Profile和待更新内容的Profile更新请求；所述第四校验信息为运营商利用所述加密密钥对第二目标Profile和待更新内容进行加密得到的信息；第二校验单元，用于依据所述加密密钥和所述第四校验信息对所述Profile更新请求进行校验，得到第四校验结果；更新单元，用于在第四校验结果指示校验通过时，利用所述待更新内容更新所述第二目标Profile的数据。上述的用于用户识别卡的控制装置，其中，所述协商单元具体用于根据所述用户识别卡的用户识别卡证书与网络侧协商确定所述加密密钥。为了实现上述目的，本专利技术实施例提供了一种用户识别卡，包括上述的控制装置。为了实现上述目的，本专利技术实施例提供了一种用于用户识别卡的控制方法，所述用户识别卡中存储有至少一个与运营商对应的Profile，所述控制方法包括：从网络侧接收一请求对第一目标Profile进行第一操作的第一Profile操作请求；根据所述第一目标Profile中保存的控制规则判断是否允许对所述第一目标Profile执行所述第一操作，获取一判断结果；在判断结果指示允许对所述第一目标Profile执行所述第一操作时，对所述第一目标Profile执行所述第一操作，否则拒绝对所述第一目标Profile执行所述第一操作。上述的用于用户识别卡的控制方法，其中，所述第一Profile操作请求中还包括第一校验信息，所述控制方法还包括：根据所述第一校验信息对所述第一Profile操作请求进行校验，得到第一校验结果；在第一校验结果指示校验通过时，触发判断是否允许对所述第一目标Profile执行所述第一操作的操作。上述的用于用户识别卡的控制方法，其中，还包括：在判断结果指示不允许对所述第一目标Profile执行所述第一操作时，向网络侧返回一拒绝响应消息；根据网络侧在接收到所述拒绝响应消息后发起的协商请求与网络侧执行协商操作，确定令牌Token；接收网络侧在获取所述Token后发送的，携带有包括所述令牌的第二校验信息，请求对所述第一Profile进行所述第一操作的第二Profile操作请求；根据所述第二校验信息对所述第二Profile操作请求进行校验，得到第二校验结果；在第二校验结果指示校验通过时，允许对所述第一目标Profile执行所述第一操作，对所述第一目标Profile执行所述第一操作，否则拒绝对所述第一目标Profile执行所述第一操作。上述的用于用户识别卡的控制方法，其中，还包括：根据一Profile创建请求创建所述Profile。上述的用于用户识别卡的控制方法，其中，所述创建所述Profile具体包括：接收携带有第三校验信息和Profile内容的所述Profile创建请求；依据所述第三校验信息对所述Profile创建请求进行校验，得到第三校验结果；在第三校验结果指示本文档来自技高网...

【技术保护点】
一种用于用户识别卡的控制装置，所述用户识别卡能够存储至少一个与运营商对应的配置文件Profile，其特征在于，所述控制装置包括：第一接收模块，用于从网络侧接收一请求对第一目标Profile进行第一操作的第一Profile操作请求；第一判断模块，用于根据所述第一目标Profile中保存的控制规则判断是否允许对所述第一目标Profile执行所述第一操作，获取一判断结果；第一执行模块，用于在判断结果指示允许对所述第一目标Profile执行所述第一操作时，对所述第一目标Profile执行所述第一操作，否则拒绝对所述第一目标Profile执行所述第一操作。

【技术特征摘要】
1.一种用于用户识别卡的控制装置，所述用户识别卡能够存储至少一个与运营商对应的配置文件Profile，其特征在于，所述控制装置包括：第一接收模块，用于从网络侧接收一请求对第一目标Profile进行第一操作的第一Profile操作请求；第一判断模块，用于根据所述第一目标Profile中保存的控制规则判断是否允许对所述第一目标Profile执行所述第一操作，获取一判断结果，控制规则是由运营商定义的策略规则，Profile管理器能够通过内部API访问这些控制规则；第一执行模块，用于在判断结果指示允许对所述第一目标Profile执行所述第一操作时，对所述第一目标Profile执行所述第一操作，否则拒绝对所述第一目标Profile执行所述第一操作。2.根据权利要求1所述的用于用户识别卡的控制装置，其特征在于，所述第一Profile操作请求中还包括第一校验信息，所述控制装置还包括：第一校验模块，用于根据所述第一校验信息对所述第一Profile操作请求进行校验，得到第一校验结果；触发模块，用于在第一校验结果指示校验通过时，触发所述第一判断模块。3.根据权利要求1所述的用于用户识别卡的控制装置，其特征在于，还包括：第一响应模块，用于在判断结果指示不允许对所述第一目标Profile执行所述第一操作时，向网络侧返回一拒绝响应消息；协商模块，用于根据网络侧在接收到所述拒绝响应消息后发起的协商请求与网络侧执行协商操作，确定令牌Token；第二接收模块，用于接收网络侧在获取所述Token后发送的，请求对所述第一Profile进行所述第一操作的第二Profile操作请求；所述第二Profile操作请求中携带包含所述令牌的第二校验信息；第二校验模块，用于根据所述第二校验信息对所述第二Profile操作请求进行校验，得到第二校验结果；第二执行模块，用于在第二校验结果指示校验通过时，允许对所述第一目标Profile执行所述第一操作，否则拒绝对所述第一目标Profile执行所述第一操作。4.根据权利要求1、2或3所述的用于用户识别卡的控制装置，其特征在于，还包括：创建模块，用于根据一Profile创建请求创建Profile。5.根据权利要求4所述的用于用户识别卡的控制装置，其特征在于，所述创建模块具体包括：第一接收单元，用于接收携带有第三校验信息和Profile内容的所述Profile创建请求；第一校验单元，用于依据所述第三校验信息对所述Profile创建请求进行校验，得到第三校验结果；创建单元，用于在第三校验结果指示校验通过时，利用所述Profile内容创建一新Profile。6.根据权利要求4所述的用于用户识别卡的控制装置，其特征在于，还包括：更新模块，用于根据由运营商发送的Profile更新请求更新第二目标Profile。7.根据权利要求6所述的用于用户识别卡的控制装置，其特征在于，所述更新模块具体包括：协商单元，用于和运营商协商确定一加密密钥；第二接收单元，用于接收携带有第四校验信息、第二目标Profile和待更新内容的Profile更新请求；所述第四校验信息为运营商利用所述加密密钥对第二目标Profile和待更新内容进行加密得到的信息；第二校验单元，用于依据所述加密密钥和所述第四校验信息对所述Profile更新请求进行校验，得到第四校验结果；更新单元，用于在第四校验结果指示校验通过时，利用所述待更新内容更新所述第二目标Profile的数据。8.根据权利要求7所述的用于用户识别卡的控制装置，其特征在于，所述协商单元具体用于根据所述用户识别卡的用...

【专利技术属性】
技术研发人员：乐祖晖，罗红，于蓉蓉，
申请(专利权)人：中国移动通信集团公司，
类型：发明
国别省市：北京;11