用于在不要求网络访问的情况下的电子访问客户端的控制切换的装置和方法

摘要

本文描述了一种用于在不要求网络访问的情况下提供对电子访问控制客户端的控制切换的方法和装置。在一个实施例中，公开了一种用于在不需要用于防止可能的恶意高频切换的网络监控的情况下切换电子用户身份模块(eSIM)的订阅和/或配置文件的方法。所公开的实施例为网络运营商提供了合理的管理能力，而无损eSIM操作的灵活性。

说明书

背景技术

技术领域

本公开整体涉及通信系统领域，并且在一个示例性实施例中更具体地 涉及在受控方式下在访问控制客户端之间进行切换。

相关技术的描述

在大多数现有技术无线电设备通信系统中需要用于安全通信的访问控 制。作为实例，一个简单的访问控制方案可包括：(i)验证通信方的身 份；以及(ii)授予与被验证身份相称的访问水平。在示例性蜂窝系统(例 如，通用移动通信系统(UMTS))的上下文内，访问控制受到访问控制客 户端的管理，访问控制客户端被称为运行在物理通用集成电路卡(UICC) 上的通用用户身份模块(USIM)。USIM访问控制客户端认证UMTS蜂窝 网络的用户。在成功认证之后，允许用户访问蜂窝网络。如下文中使用 的，术语“访问控制客户端”通常是指实现于硬件或软件内的适于控制第 一设备访问网络的逻辑实体。访问控制客户端的一般实例包括前述的 USIM、CDMA用户识别模块(CSIM)、互联网协议(IP)多媒体服务身 份模块(ISIM)、用户身份模块(SIM)、可移除用户身份模块(RUIM) 等。

初期的研究涉及对访问控制客户端的虚拟化。例如，电子用户身份模 块(eSIM)为执行于客户端设备内的安全元件的虚拟化的访问控制客户端。 虚拟化的访问控制客户端可为用户和网络运营商提供明显益处。例如，用 户可在设备之间自由传输eSIM；此外，eSIM可灵活地被存储、备份等。 网络运营商可经由软件分发网络进行分发和/或为eSIM打补丁。然而，由 于用户信息(例如，账户信息)和用于网络访问的数据(例如，加密信 息)的敏感本质，所以必须严密控制安全元件和eSIM以防止例如盗窃、滥 用、恶意行为等。

遗憾的是，对于本文更详细描述的原因，由于各种预想到的安全顾虑 网络运营商已不愿意采用eSIM。例如，网络运营商表现出eSIM的无人监 控切换会被滥用的某种程度的忧虑。对这些终端，网络运营商已要求eSIM 仅能够在网络监控下进行交易。尽管监控方案可能缓解安全顾虑，但是这 种严密控制有效地否定了eSIM技术带来的许多益处。

因此，需要用于eSIM切换的改进的方法和装置。更一般地，这种方 案应当理想地为网络运营商提供合理的管理能力，而无损虚拟化的访问控 制客户端的灵活性。

发明内容

本公开通过用于在不要求网络访问的情况下特别提供电子访问控制客 户端的控制切换的装置和方法来解决前述需要。

公开了一种用于在无需网络访问的情况下提供对电子访问控制客户端 的控制切换的方法。在一个实施例中，该方法包括：基于一个或多个信用 额来确定活动的访问控制客户端是否可被切换为不活动的访问控制客户 端；当可执行切换时：去激活活动的访问控制客户端；以及激活不活动的 访问控制客户端；以及响应于正被恢复的网络连接性，使一个或多个日志 信息与监控网络实体同步。

还公开了被配置为在无需网络访问的情况下切换电子访问控制客户端 的无线手持式设备。

还公开了在其上存储有至少一个计算机程序的非暂态计算机可读介 质，该至少一个计算机程序被配置为当在处理器上被执行时使得处理器在 无需网络访问的情况下切换电子访问控制客户端。

另外还公开了监控网络实体。

根据附图以及以下详细描述，本文所描述的各种原理的另外特征、其 本质和各种优点将会更加显而易见。

附图说明

图1是用于在不要求网络访问的情况下的电子访问控制客户端的控制 切换的方法的一个实施例的逻辑流程图。

图2是用于在不要求网络访问的情况下控制eSIM切换的基于信用额 的系统的一个示例性实施例的逻辑流程图。

图3是用于在不要求网络访问的情况下控制eSIM切换的速率限制系 统的一个示例性实施例的逻辑流程图。

图4A是用于在不要求网络访问的情况下控制eSIM切换的人机交互系 统的一个示例性实施例的逻辑流程图，其中移动设备不可信。

图4B是用于在不要求网络访问的情况下控制eSIM切换的人机交互系 统的一个示例性实施例的逻辑流程图，其中移动设备的至少一部分可信。

图5是根据本文所述的原理的各种原理配置的移动设备的示例性实施 例的逻辑框图。

图6是用于控制eSIM切换并与网络同步的基于信用额的系统的方法 的一个示例性实施例的逻辑流程图。

具体实施方式

示例性实施例的详细描述

现在详细描述示例性实施例。尽管这些实施例主要在GSM、 GPRS/EDGE、UMTS或长期演进(LTE)蜂窝系统的电子用户身份模块(eSIM) 的上下文中讨论，但是本领域的普通技术人员应当理解，本公开不限于 此。事实上，本文讨论的各种原理在可得益于在不要求网络访问的情况下 的电子访问控制客户端的控制切换的任何网络(无论是无线蜂窝还是其他 网络)中是有用的。

应当理解，尽管本文使用了术语“用户身份模块”(例如，eSIM)， 但是该术语绝不必然暗指或要求(i)用户本身使用(即，所公开的实施例 可由用户或非用户实施)；(ii)单个个体的身份(即，所公开的实施例可代 表个体组诸如家庭，或无形或虚拟实体诸如企业来实施)；或(iii)任何 有形的“模块”设备或硬件。

用户身份模块(SIM)操作

在示例性现有技术UMTS蜂窝网络的上下文内，用户设备(UE)包括 移动设备和通用用户身份模块(USIM)。USIM是从物理通用集成电路卡 (UICC)存储并执行的逻辑软件实体。在USIM中存储多种信息诸如用户 信息，以及用于在网络运营商处进行认证的密钥和算法，以便获取无线网 络服务。在一个实施例中，USIM软件基于Java Card^TM编程语言。Java Card 是Java^TM编程语言的针对嵌入式“卡”型设备(诸如前述的UICC)而修改 的子集。其他具体实施可包括所谓的“本来的”软件具体实施，和/或具有 所有权的具体实施等。

一般来讲，在用户分发之前利用USIM对UICC进行编程，其中预先 编程或“个性化”特定于每个网络运营商。例如，在部署之前，USIM与国 际移动用户身份(IMSI)、唯一集成电路卡标识符(ICC-ID)和专用认证密钥(K) 相关联。网络运营商在网络认证中心(AuC)内包含的注册表中存储该关 联。在个性化之后，UICC可被分发到用户。

简而言之，在正常认证过程期间，UE要求来自USIM的IMSI。UE将 IMSI传递到网络运营商的服务网络(SN)或被访问的核心网。SN向家庭 网络(HN)的AuC转发认证请求。HN将所接收到的IMSI与AuC的注册 表进行比较并且获取适合的密钥K。HN生成随机数(RAND)并且使用算法 利用密钥K对其进行标记以创建期望的应答(XRES)。HN还生成密码密钥 (CK)和完整性密钥(IK)以用于使用各种算法用于密码和完整性保护以 及认证令牌(AUTN)中。HN向SN发送由RAND、XRES、CK和AUTN 构成的认证矢量。SN存储仅用于一次性认证过程的认证矢量。SN将 RAND和AUTN传递到UE。

一旦UE接收到RAND和AUTN，USIM便验证所接收的AUTN是否 有效。如果有效，UE使用所接收到的RAND来使用所存储的密钥K和生 成XRES的相同算法来计算其自身的应答(RES)。UE将RES传递回到 SN。SN将XRES与所接收到的RES进行比较，并且如果它们匹配，则SN 授权UE使用运营商的无线网络服务。

通常，认证与密钥协商(AKA)过程由已被封装在SIM卡内的安全处 理器来执行。现有技术SIM卡具有至少两个(2)不同的且期望的属性：(i) SIM卡为SIM数据(例如，账户信息、加密密钥等)提供加密的安全存 储，以及(ii)SIM卡不会被容易克隆。

现有技术SIM卡包括形成在通用集成电路卡(UICC)中的处理器和存储 器。可利用环氧树脂填充SIM卡以防止对UICC上的数据信号进行外部探 测。如果需要，其他防篡改结构可被包括在UICC中(例如，屏蔽层、掩 膜层等)。SIM卡具有至处理器的安全接口，并且处理器具有至存储器的 内部接口。UICC从外部设备接收电力，这使得处理器能够执行存储于存储 器中的代码。存储器自身不能直接访问(即，内部文件系统对用户隐 藏)，并且必须经由处理器来进行访问。

在正常操作期间，处理器接受有限数量的命令。每个命令仅在一定条 件下可访问。访问条件被限制为执行命令以防止未授权的访问。访问条件 可以是或可以不是分级的，例如，对一个水平的授权不可能自动许可对另 一水平的授权。例如，一组访问条件可包括：(i)始终可访问；(ii)从 来就不可访问；(iii)可被第一帐户访问；(iv)可被第二帐户访问，等 等。仅在成功完成适当安全协议之后才授权有条件的访问。用于验证身份 的常见方法可包括密码或个人识别号码(PIN)、对共享密钥的挑战等。

条件访问、有限命令集和所保护的存储空间确保存储于SIM卡内的信 息对外部访问是安全的。克隆SIM卡将承担物理卡的构建以及内部文件系 统和数据的构建。由此，这些特征的组合使得物理SIM卡不受实际伪造尝 试的影响。

电子用户身份模块(eSIM)操作

尽管传统SIM方案在可移除集成电路卡(ICC)(也称为“SIM卡”)中实 施，但是本发明的受让人所作的初期研究涉及在移动设备内执行的软件客 户端内的虚拟化的SIM操作。虚拟化的SIM操作可减小设备尺寸，增强设 备功能性并且提供更大的灵活性。

遗憾的是，虚拟化的SIM操作还为网络运营商和设备制造商呈现多个 新挑战。例如，传统SIM卡由可信的SIM供应商制造和保证。这些传统 SIM卡执行已永久“烧录”到SIM卡的单一安全版本的软件。一旦被烧 录，卡不能被篡改(在也不损坏SIM卡的情况下)。

相反，移动设备由众多设备制造商制造，并且可执行由多个或者甚至 未知的第三方软件供应商所提供的软件。另外，移动设备对软件频繁“打 补丁”，这既可安装现有漏洞，还会引入新的漏洞。任何软件都易受到损 坏、破坏和/或滥用。此外，尽管物理SIM卡极难复制，但是软件会容易复 制，成倍增加等。由于每个SIM代表对有限网络资源的约定数量的访问， 所以虚拟化的SIM的非法使用可极大地影响网络操作和用户体验。

简而言之，本文使用的术语“保护”、“保全”和“保全的”指的是 没有能力成倍增大或减小的元件(物理的或虚拟的)。例如，在正常操作 期间不能重复或复制保全的eSIM。

另外，如本文所使用的，应用于元件(物理的或虚拟的)的术语“唯 一”指的是其中元件为具有特定属性和/或特性的唯一一个元件的属性。例 如，唯一的eSIM不能具有复制的eSIM。

如本文使用的，术语“安全性”一般是指对数据和/或软件的保护。例 如，访问控制数据安全性确保与访问控制客户端相关联的数据和/或软件免 受未被授权的活动和/或恶意的第三方盗窃、滥用、损坏、公开和/或篡改。

此外，如本文所使用的，术语“用户授权”通常指的是规定用户对资 源的访问。简而言之，借助现有技术的物理SIM卡，用户授权利用物理 SIM卡占有权被实施，其中物理卡代表对访问网络资源的用户授权。例 如，当物理SIM卡从第一电话移动到第二电话时，假定该移动是由用户执 行的(以及由用户隐含授权)。在eSIM操作的上下文内，对于eSIM传输 的用户授权需要类似的能力。具体地，eSIM(以及还有网络)的“所有 者”需要确保eSIM只被传输到合法设备。

一般来讲，应当理解，软件比硬件更灵活；例如，软件易于拷贝、修 改和分发。另外，软件经常可被做成比硬件等价物更便宜、更有功率效率 且体积更小。因此，尽管常规SIM操作使用物理形式因素诸如卡 (UICC)，但是当前研究领域集中于在软件内对SIM操作进行虚拟化。然 而，SIM数据的敏感本质(例如，用户专用信息等)需要特别考虑。例 如，SIM数据的各个部分对用户来说是唯一的，并且应当小心免受恶意的 第三方破坏。此外，如先前所述，每个SIM代表对有限网络资源的约定数 量的访问；此外，对SIM的复制、损坏和/或收回必须得到管理以防止对网 络资源的过度使用和/或未充分使用，以及对服务提供方费用或收入的代位 求偿。因此，虚拟化的SIM应满足以下属性：(i)安全性；(ii)唯一 性；以及(iii)保全性。此外，这些属性应理想地以与现有网络基础结构 成本相称的成本提供。

方法

本文详述了一种用于在不要求网络访问的情况下的电子访问控制客户 端的控制切换的方法的各种实施例。具体地，本文详述的各种示例性方法 允许在无需网络监控的情况下切换访问控制客户端的订阅和/或配置文件， 同时避免高频切换。访问控制客户端的高频切换可能用于例如，服务型攻 击的拒绝和/或设备/网络操作的一般中断。

现参考图1，呈现了用于在不要求网络访问的情况下的电子访问控制 客户端的控制切换的方法的一个实施例。考虑这样的设备，该设备至少包 括被配置为选择、激活和执行至少一个访问控制客户端的安全元件，其中 安全元件被进一步配置为在多个不活动的访问控制客户端之间进行切换。 例如，移动设备可具有存储于电子通用集成电路卡(eUICC)内的多个电子用 户身份模块(eSIM)。

在步骤102处，选择不活动的访问控制客户端和活动的访问控制客户 端以用于切换操作。为清楚起见，如本文所使用的，术语“活动的”和 “不活动的”指的是访问控制客户端的执行状态，而不是当前连接状态 (即，活动的访问控制客户端可具有或可不具有与网络的连接背景)。相 关领域的普通技术人员将会理解，由安全元件正执行的访问控制客户端是 “活动的”，而未执行的访问控制客户端是“不活动的”。

在一个实施例中，由用户执行选择。可经由用户界面发生用户选择。 在其他变形中，用户选择可经由物理操作发生，诸如卡插入(例如，其中 物理卡可包括SIM，或者具有SIM卡形状因数的eSIM)。在另外的变形 中，用户选择可基于物理开关等发生。

在其他实施例中，选择可由软件实体发起。软件实体的一般实例包括 例如：操作系统(OS)、安全元件OS、软件应用程序、第三方软件应用程 序、网络应用程序。在一些实施例中，软件实施例可基于例如地理位置、 一天中的时间、使用等自动执行切换。例如，OS可在一天中的指定时间将 与商业账户相关联的第一eSIM切换为与个人账户相关联的第二eSIM。在 其他实施例中，OS可将第一eSIM自动切换为第二eSIM以防止和/或减小 漫游费用等。

此外，相关领域的普通技术人员将会理解以下实例仅仅是示例性的。 例如，在其他方案中，可利用不同数量的访问控制客户端来执行切换。在 这样一种方案中，安全元件可尝试将两个(2)eSIM切换到操作中，从而 代替一个(1)先前活动的eSIM；即，正“切换”的eSIM的数量不必为一 一对应关系。

此外，尽管在没有网络访问可用的上下文中呈现以下实例，但是本公 开的各种原理同样适于可在不使用现有网络访问的情况下执行切换的场 景。例如，在一些情况下，基于例如功率消耗、网络拥塞等，网络连接性 可能是不期望的。此外，切换可在网络实体或过程的命令下执行。

进而，应当理解，在各种所公开的实施例中，对活动的或不活动的访 问控制客户端的选择可能是隐含的。例如，在一些具体实施中，用户可去 激活活动的访问控制客户端，使得活动的访问控制客户端利用先前不活动 的默认访问控制客户端被替换在类似的实例中，在用户已被选择激活与当 前活动的访问控制客户端的能力重叠的一个访问控制客户端的情况下，可 替换当前活动的访问控制客户端(而不是将两个访问控制客户端都保持为 活动的)。

在方法100的步骤104处，安全元件确定是否可执行切换。具体地， 安全元件评估并防止过多的和/或高频切换。

在一个示例性实施例中，安全元件应用一个或多个标准来作出前述确 定；例如，安全元件限制可在无需监控情况下执行的交易的总数量。这 样，不管切换发生多快，安全元件也不能执行过多的切换操作。例如，在 一个变形中，安全元件和网络在“信用额”系统上进行操作，其中安全元 件可针对交易的信用额数量在无需网络监控的情况下执行功能。在稍晚时 候，安全元件可连接到网络并且使其交易与网络同步(并且接收新的信用 额)。这样，用户可被授予合理量的自主性，同时限制了可利用这种灵活 性的程度。

在一些变形中，信用额系统可限于操作的子集。例如，用户可被允许 自由地取消对可操作配置文件或eSIM的选择，而仅有受限数量的信用额用 于选择可操作配置文件。

在一些实施例中，信用额系统可进一步由监控网络元件进行监控。根 据一个实施例，监控网络元件代表任何硬件设备(例如，服务器设备)或 被配置为监控发生在信用额系统内的交易的服务(例如，软件部件)。例 如，如果安全元件显示出过频繁地请求过顶的信用额(指示不寻常的过多 的切换行为)，则网络实体可把安全元件/移动设备标记为可能恶意的或违 背原则的。在其他实例中，网络实体可调节(增大或减小)信用额的刷新 以控制切换行为的数量(例如，增大信用额可减小用于切换操作的网络花 销，减小信用额可增大网络监控职责)。

在其他实施例中，安全元件直接或间接地限制切换的速率。例如，安 全元件可例如基于内部时间基准和日志信息确定自上次切换已过去的时间 量。可拒绝在先前切换之后过早发生的切换请求。在类似的实施例中，安 全元件可要求访问控制客户端在切换之前的至少最小时间间隔内为活动 的。给定本公开的内容，相关领域的普通技术人员将会认识到对于基于时 间的速率限制的各种其他方案。

在又一实例中，可间接加强速率限制。例如，在一个变形中，安全元 件可要求人机交互以执行切换。人机交互元件可包括例如PIN、所谓的全 自动区分计算机和人类的图灵测试(CAPTCHA)型挑战-应答测试(例如，可 轻易由人解决但对于计算机难以处理的失真图像)、物理切换和/或按钮按 压等。相关领域的普通技术人员将会认识到人机交互明显比软件(几毫秒) 要慢(几秒)，并且由此具有合理的低频率，从而影响期望的速率限制。

此外，还将理解，人机交互元件还可用于验证移动设备的用户正发起 传输(并且不是恶意软件)。在一些实施例中，移动设备可被制造成具有 物理存在PIN(PPP)，其特征在于无法被访问或者以其他方式在软件中被 欺骗。这种PPP可连接到必须在切换期间由人操控(诸如发起或确定切 换)的外部按钮(或开关、拨盘等)，以便完成该过程。

此外，相关领域的普通技术人员将容易认识到，前述方案中的某一种 方案可提供验证请求的合法性的附加益处。例如，PIN码将验证请求者为 合法用户。类似地，生物计量数据(例如，视网膜扫描图像、指纹、声 纹、面部识别软件图像等)可用于验证用户的身份。在一些变形中，可基 于特定于访问控制客户端中的一个访问控制客户端的信息进一步限定切 换。例如，可要求用户输入活动的访问控制客户端(或另选地，正被切换以 替换活动的访问控制客户端的不活动的访问控制客户端)的PIN码。

另外还认识到，对于软件发起的切换，可要求请求应用程序提供某些 合法性的证明。一般实例包括数字证书、加密挑战等。

尽管已呈现了前述方案，但是相关领域的普通技术人员将容易理解， 在给定本公开的内容的情况下，大量速率限制和/或验证方案结合本文所公 开的方法是可行的。

参考现在返回至图1，当步骤104的确定指示可执行切换时，安全元 件去激活其当前活动的访问控制客户端(步骤106)；当不能执行切换时，安 全元件忽略该请求(步骤108)。在步骤110处，安全元件激活先前不活动的 访问控制客户端。

一般来讲，安全元件经由现有协议和序列去激活/激活访问控制客户 端。在一些实施例中，这些可以是特定于访问控制客户端的私有协议。在 其他实施例中，协议对于众多不同的访问控制客户端的阵列来说是标准化 的。这种标准化协议的一般实例包括ISO/IEC 7816-4，其指定例如访问协 议和针对智能卡通信的消息发送的安全机制。

在一个实施例中，安全元件从可用信用额的总数量中递减一个或多个 信用额。在一些实施例中，可基于各种网络偏好来调节递减的信用额的数 量。例如，网络运营商可能关心切换行为的类型，或访问控制客户端的类 型。通过在这些切换期间增大递减的信用额的数量，移动设备在要求刷新 之前不能执行过多的切换。

在一个实施例中，安全元件将交易记录在内部日志数据库中。数据库 可跟踪信息，该消息包括但不限于：交易的时间、已过去的使用、访问控 制客户端、尝试的数量(例如，针对失败的尝试)等。在一个实施例中， 内部日志数据库存储于安全元件内。在其他实施例中，日志数据库可存储 于移动设备中。在一些变形中，日志数据库还可进一步经由例如加密保护 起来。

在步骤112处，安全元件在已恢复网络连接性之后使其交易与监控网 络实体(也称为“网络实体”、“网络安全实体”、“网络服务器实体” 和“监控网络元件”)同步。在一些实施例中，在重新连接期间触发同 步。在其他实施例中，同步可基于所剩余的信用额的量。例如，如果安全 元件具有足够的信用额供应，则可推迟同步。在另外其他实施例中，可基 于需要或者另选地当由用户或应用程序指引时发起同步。

在同步期间，安全元件将所记录的交易历史传输到网络。网络可使用 所记录的交易历史例如来检测恶意活动、确定访问控制客户端使用、调节 计费等。在一些实施例中，安全元件可在成功完成同步时对其信用额余额 进行充值。在其他实施例中，网络确定安全元件应充值的信用额的量。例 如，在网络已识别恶意高频切换的情况下，网络可能不允许该安全元件充 值任何信用额。

实例操作

现在讨论图1中所呈现的方法的实施例的各种示例性具体实施。

首先，考虑包括具有多个电子用户身份模块(eSIM)的安全电子通用集 成电路卡(eUICC)的蜂窝用户设备(UE)装置。eSIM可与具有相关联的蜂窝 网络技术的一个或多个蜂窝网络相关联。例如，在一个示例性场景中，UE 具有用于以下各项的eSIM：用于操作UMTS网络(语音和数据)的运营商 A、用于操作码分多址(CDMA)2000(语音和数据)的运营商B以及用于操作 LTE网络(仅数据)的运营商C。

信用额系统

图2示出了用于在不要求网络访问的情况下控制eSIM切换的一个示 例性的基于信用额的系统200。

在图2的系统中，eUICC允许在“离线”模式下才未授权(本地)切 换命令的预设最大数量，其中eUICC具有等于预设最大数量的信用额的数 量。

在步骤202处，移动设备进入“离线”模式，在该“离线”模式期间 移动设备不具有网络连接性。在一个示例性场景中，移动设备移动到没有 网络连接性的区域(例如，飞机)中。在其他场景中，移动设备可禁用操 作，例如以减小功率消耗。

在步骤204处，请求离线切换。例如，当在飞机上时，用户可基于飞 行目的地有意地选择新的eSIM。

在步骤206处，如果信用额可用，则递减信用额并且执行切换。然 而，如果没有信用额可用(或不足的信用额)，则拒绝进一步的离线切换 请求。

一旦移动设备返回到在线操作(即，在移动设备恢复网络连接性的情 况下)，信用额余额经由来自授权的网络服务器实体的授权的命令被增大 或者被重置(步骤208)。网络服务器实体可监测用于识别可能的可疑行为 的请求。

在一个实施例中，每当eUICC恢复网络连接性，其便一直尝试以“过 顶”其信用额。这样，网络服务器实体将几乎立即被通知可疑的切换行 为。如果网络服务器实体检测到任何可疑/欺骗活动，则网络服务器实体可 例如限制所发布的信用额的数量，不发布信用额，或者在一些情况下标记 设备以用于可能的纠正措施。

在一些变形中，eUICC将切换进一步分成“取消选择”和“选择”操 作。具体地，eUICC可自由地允许离线取消选择命令而无需授权，但是需 要“选择”将基于信用额的命令。在这样一个变形中，对于调配和或限制 与网络服务器实体的接触，可能存在默认的可选择配置文件，但所述接触 不是例如用户数据访问、语音呼叫等。在操作期间，默认配置简档使得移 动设备的操作能够在其他功能性eSIM中进行加载，接收从网络推送的更新 等。

速率限制系统

图3示出了用于在不要求网络访问的情况下控制eSIM切换的一个示 例性速率限制系统300。

在一个示例性实施例中，eUICC具有对可被测量的时间基准的访问权 限。尽管现有的eUICC不具有内部时钟(晶体振荡器等)，但是安全元件 确实从移动设备接收时钟信号。该时钟信号不必准确(可以是断断续续 的)，但它确实提供充足的定时以支持可用于确保不过于频繁发布切换命 令的递增计数。

在步骤302处，移动设备进入“离线”模式，在“离线”模式期间移 动设备不具有网络连接性，并且在步骤304处，请求离线切换。

在步骤306处，eUICC估计自上一次切换已过去的时间量。在一个实 施例中，eUICC保持自上一次切换事件起时钟周期的递增计数。当时钟周 期超过最小阈值时，eUICC可执行切换。否则，切换被忽略或者另选地被 推迟(步骤308)。

一旦移动设备返回到在线操作，eUICC便可将其日志信息提供至网络 服务器实体(可选的步骤310)。

人机交互系统

在其他实施例中，eUICC尝试验证由人(假定移动设备的用户)所请 求的离线切换。图4A示出了用于在不要求网络访问的情况下控制eSIM切 换的一个示例性人机交互系统400，其中移动设备为不可信的(即，在唯一 已知的安全元件为eUICC其自身的情况下)。

在步骤402处，移动设备进入“离线”模式，在“离线”模式期间， 移动设备不具有网络连接性，并且在步骤404处，请求离线切换。

在步骤406处，eUICC通过例如请求与正切换的eSIM唯一相关联的 密码或个人识别号码(PIN)来验证人的存在。在一些情况下，PIN码可经 由带外机制(例如，调用客户服务)由用户获取；PIN码条目的附加安全 措施和时间确保该过程是速率限制并且是可验证的。

如果PIN码条目正确，则可继续进行切换，否则，忽略该尝试(步骤 408)。

在另选的具体实施中，eUICC可产生容易被人解决但是不能被计算机 诸如CAPTCHA解决的难题挑战。在一定期限内对难题的正确解答对该命 令进行授权。

现在参考图4B，其示出了用于在不要求网络访问的情况下控制eSIM 切换的一个示例性人机交互系统450，其中移动设备为可信的。在该实施例 中，可借助移动设备中的eUICC外部的其他部件来构建人机交互。在这样 的情况下，移动设备可以提供不能由不可信的软件操控的物理存在PIN (PPP)的方式来被另外配置。

在步骤452处，移动设备进入“离线”模式，在“离线”模式期间， 移动设备不具有网络连接性，并且在步骤454处，请求离线切换。

在步骤456处，eUICC等待待断言的PPP。在这样一个实例中，PPP 唯一地在移动设备上的硬件“顶出”开关和eUICC之间路由。

在其他实施例中，PPP可被路由至移动设备中的另一可信/验证的协处 理器。在验证过程期间，可信处理器可另外实现安全输入/输出(I/O)、生 物识别传感器数据，或CAPTCHA类机制来证明人机交互，并且随后提供 PPP上的适合信令。

装置

现在更详细地描述可用于结合上述方法的各种装置。

现在参考图5，示出了根据本文描述的各个原理的示例性移动设备500 (例如，用户设备(UE))。

图5的示例性UE装置是具有处理器子系统502的无线设备，该处理 器子系统诸如数字信号处理器、微处理器、现场可编程门阵列或安装于一 个或多个基底上的多个处理部件。处理子系统还可包括内部高速缓存存储 器。处理子系统与包括存储器的存储器子系统504通信，该存储器例如可 包括SRAM、闪存存储器和/或同步动态随机存取存储器(SDRAM)部件。存 储器子系统可实现一种或多种直接存储器存取(DMA)型硬件，以便有利 于本领域熟知的数据存取。存储器子系统包含可由处理器子系统执行的计 算机可执行指令。

在一个示例性实施例中，设备可包括适用于连接到一个或多个无线网 络的一个或多个无线接口506。多个无线接口可通过实施适当的天线和调制 解调器子系统来支持不同的无线电技术，诸如GSM、CDMA、UMTS、 LTE/LTE-A、WiMAX、WLAN、蓝牙等。

用户界面子系统508包括任意数量的熟知的I/O，包括但不限于：键 盘、触摸屏(例如，多触摸界面)、液晶显示器(LCD)、背光源、扬声 器和/或麦克风。然而，已经认识到，在某些应用中，可排除这些部件中的 一个或多个部件。例如，PCMCIA卡型客户端实施例可缺少用户界面(因 为它们可能背负在它们物理和/或电气耦合的主机设备的用户接口上)。

在例示的实施例中，设备包括具有并运行eUICC应用程序的安全元件 510。eUICC能够存储并访问待用于认证网络运营商的多个访问控制客户 端。在这一实施例中，安全元件包括执行存储于安全介质中的软件的安全 处理器。安全介质对所有其他部件(除安全处理器之外)不可访问。此 外，可进一步强化安全元件以防止如上所述被篡改(例如封入树脂中)。

安全元件510能够接收并存储一个或多个访问控制客户端。在一个实 施例中，安全元件存储与用户相关联的eSIM的阵列或多个eSIM(如一个 用于工作、一个用于个人、几个用于漫游访问等)，和/或根据另一种逻辑 方案或关系(如一个用于家庭或企业实体的多个成员中的每个成员、一个 用于家庭的成员的个人用途和工作用途中的每一者，等等)进行存储。每 个eSIM都包括小的文件系统，包括计算机可读指令(eSIM程序)和相关 联的数据(如密码密钥、完整性密钥等)。

安全元件进一步适用于启用移动设备内的对eSIM的切换。具体地， 安全元件可将一个或多个eSIM切换到“活动”或“不活动”状态。

在一个示例性实施例中，安全元件还包括被配置为存储访问控制客户 端交易历史的内部数据库。在一个变形中，内部数据库跟踪以下中的一者 或多者：交易的时间、已过去的使用、访问控制客户端、尝试的次数(例 如，对于失败的尝试)等。

在其他实施例中，安全元件还包括对物理存在PIN(PPP)的访问权 限，其中PPP不能由不可信的软件来操控(即，需要物理操控，或者以其 他方式连接到可信的软件实体)。

此外，示例性实施例的各种实现包括在执行时启动挑战/应答安全协议 的指令。挑战应答安全协议被配置为基于挑战和/或响应的适当生成来验证 由未知第三方作出的请求。另选地，在一个示例性实施例中，安全元件可 验证由可信管理机构所签署的数字证书。

另外，图6是用于控制eSIM切换并与网络同步的基于信用额的系统 的方法600的一个示例性实施例的逻辑流程图。如图6所示，方法600开 始于步骤602处，其中移动设备接收将第一访问控制客户端切换为第二访 问控制客户端请求，其中第一访问控制客户端为活动的，而第二访问控制 客户端为不活动的。在步骤604处，移动设备基于可用信用额来确定将第 一访问控制客户端切换为第二访问控制客户端是有效的。在步骤606处， 移动设备去激活第一访问控制客户端并且激活第二访问控制客户端。在步 骤608处，移动设备更新用于反映该切换的可用信用额。最后，在步骤610 处，移动设备响应于移动设备和网络之间所建立的网络连接性使可用信用 额与监控网络元件同步。

应当理解，虽然在方法的步骤的具体顺序的方面描述了某些特征，但 是这些描述仅仅示出了本文所公开的更广泛的方法，并且可根据特定应用 的需求进行修改。在某些情况下，某些步骤可成为不必要的或可选的。另 外，可将某些步骤或功能性添加至本发明所公开的实施例，或者两个或更 多个步骤的性能的顺序可加以排列。所有此类变型均被认为涵盖在本文的 公开内容和权利要求书内。

虽然上述详细描述已示出、描述并指出应用于各种实施例的新颖特 征，但应当理解，可由本领域的技术人员进行在所示的设备或过程的形式 和细节上的各种省略、代替和更改。前述描述是目前设想的最佳模式。该 描述决不意味着进行限制，而是应被视为是对本文描述的一般原理的例 示。