[发明专利]安全用户识别模块服务

权利要求书

1.一种在系统的安全分区中执行的计算机实现的方法，包括：

响应于接收到为所述系统激活通信服务的请求，创建请求激活所述通信服务的许可；

将所述许可发送给所述通信服务的服务提供方，其中，所述服务提供方与许可服务进行通信以获得所述许可的数字签名来激活所述通信服务；

接收来自所述服务提供方的签名的许可；

从仅可由所述安全分区访问的存储器获取所述许可服务的密钥；

使用所述密钥来确认所述签名的许可包含所述许可服务的数字签名；以及

响应于确认所述签名的许可包含所述许可服务的数字签名，为所述系统激活所述通信服务。

2.根据权利要求1所述的方法，还包括：

生成所述许可的临时值；

在为所述系统激活所述通信服务之前，确认所述签名的许可包含所述临时值。

3.根据权利要求1所述的方法，还包括：

将所述签名的许可存储在仅可由所述安全分区访问的所述存储器中。

4.根据权利要求1所述的方法，其中：

在制造所述安全分区的硬件时，将所述密钥嵌入仅可由所述安全分区访问的所述存储器中。

5.根据权利要求1所述的方法，其中：

所述签名的许可包含所述服务提供方的第二密钥，以及

所述方法还包括：

接收来自所述服务提供方的随后的通信；

在响应于所述随后的通信而进行动作之前，确认所述随后的通信与所述服务提供方的所述第二密钥相关联。

6.一种装置，包括：

至少一个处理器；

与所述处理器的主操作系统相隔离的安全分区；

仅可由所述安全分区访问的存储器；以及

包含用于在所述安全分区中执行的至少一个服务的指令的存储器，以便执行下述步骤：

响应于接收到为所述系统激活通信服务的请求，创建请求激活所述通信服务的许可；

将所述许可发送给所述通信服务的服务提供方，其中，所述服务提供方与许可服务进行通信以获得所述许可的数字签名来激活所述通信服务；

接收来自所述服务提供方的签名的许可；

从仅可由所述安全分区访问的所述存储器获取所述许可服务的密钥；

使用所述密钥来确认所述签名的许可包含所述许可服务的数字签名；以及

响应于确认所述签名的许可包含所述许可服务的数字签名，来为所述系统激活所述通信服务。

7.根据权利要求6所述的装置，其中：

在制造所述安全分区的硬件时，将所述密钥嵌入仅可由所述安全分区访问的所述存储器中。

8.一种计算机程序产品，包括：

计算机可读存储介质；以及

所述计算机可读存储介质中的指令，其中，当在处理系统的安全分区中执行所述指令时，使得在所述安全分区中执行的服务执行包括如下步骤的操作：

响应于接收到为所述系统激活通信服务的请求，创建请求激活所述通信服务的许可；

将所述许可发送给所述通信服务的服务提供方，其中，所述服务提供方与许可服务进行通信以获得所述许可的数字签名来激活所述通信服务；

接收来自所述服务提供方的签名的许可；

从仅可由所述安全分区访问的存储器获取所述许可服务的密钥；

使用所述密钥来确认所述签名的许可包含所述许可服务的数字签名；以及

响应于确认所述签名的许可包含所述许可服务的数字签名，来为所述系统激活所述通信服务。

9.一种计算机实现的方法，包括：

接收来自请求系统的请求激活通信服务的许可；

将密钥添加到所述许可；

从许可服务获得签名的许可，其中，所述许可服务将数字签名添加到所述许可以创建所述签名的许可；

向所述请求系统发送所述签名的许可，其中，在为所述系统激活所述通信服务之前，所述请求系统验证所述签名的许可包含所述许可服务的数字签名；以及

向所述请求系统发送随后的通信，其中，所述随后的通信包含用于修改所述通信服务的参数的命令，以及在修改所述通信服务之前，所述请求系统验证所述随后的通信与所述密钥相关联。

10.根据权利要求9所述的方法，还包括：

在获得所述签名的许可之前，将认证密钥和国际移动用户标识符添加到所述许可。