[发明专利]基于服务器信任评估的认证

说明书

本发明题为“基于服务器信任评估的认证”。本文公开了用于使用户能够利用移动网络运营商(MNO)激活新设备而无需用户提供容易被遗忘的MNO认证凭证的技术。用户使用来自MNO信任的(与用户相关联)现有设备的凭证并且还使用由知道用户与现有设备之间的关联性的第三方服务器提供的信任分数来激活新设备。新设备可为补充设备，诸如作为对蜂窝电话的补充的可穿戴设备，其中两个设备在使用MNO激活新设备之后仍然能够访问由MNO提供的服务。新设备也可为替换设备，诸如新的电话、平板电脑或可穿戴设备，其中新设备替代访问由MNO为现有设备提供的服务。

技术领域

所描述的实施方案涉及认证用户身份标识模块以在无线设备中使用，包括在认证流程期间使用服务器信任评估来消除对运营商用户登录的要求。

背景技术

可向用户设备提供用户身份标识模块(SIM)或电子用户身份标识模块(eSIM)。为了安全保护，敏感事务，诸如添加蜂窝服务，通常需要运营商用户登录。用户通过运营商服务器登录对用户构成挑战，因为用户经常忘记用户名和/或密码。因此，用户可能取消其事务。

SIM/eSIM配置方面包括在通用集成电路卡(UICC)或嵌入式UICC(eUICC)上下载、安装、启用、禁用、切换、删除和更新SIM/eSIM(也称为配置文件)。UICC和eUICC是托管配置文件的安全元件(SE)。配置文件是运营商数据和在设备中的SE上提供的应用程序的组合，用于由运营商提供服务。配置文件可包含用于证明身份的安全数据，从而验证服务的合同权利。在组装设备期间，可将SE安装到设备中。eUICC可由eUICC标识符诸如设备标识符(EID)标识。本文描述的技术和装置适用于eUICC以及UICC。

可通过称为用于SIM的ICCID(集成电路卡标识符)以及称为用于eSIM的嵌入式ICCID(eICCID)的唯一编号来标识配置文件。移动网络运营商(MNO)是通过移动网络基础设施向其用户提供接入能力和通信服务的实体。在一些情况下，该设备是与UICC结合使用以连接到无线网络的用户设备(UE)。最终用户或客户是使用该设备的人员。

SIM/eSIM认证可基于在SIM卡或eSIM与蜂窝无线网络的归属位置寄存器(HLR)/归属用户服务器(HSS)之间共享的凭证。然而，在设备上物理拥有SIM或eSIM并不能证明设备的用户拥有合法的所有权。

依靠物理拥有SIM/eSIM来表明合法所有权的漏洞是，攻击者可在短时间内从用户的设备中窃取SIM卡、将SIM卡插入攻击者的设备并通过攻击者的设备在用户的账户上注册蜂窝服务。SIM卡可在用户不注意的情况下返回用户的设备。强制规定MNO维护的用户账户的登录凭证以建立对MNO提供的蜂窝服务的访问可防止这种攻击；然而，在没有发生攻击的情况下，需要这种MNO认证凭证使得提供次优的用户体验。

发明内容

本文阐述的代表性实施方案公开了用于用户身份标识模块(SIM)和电子SIM(eSIM)的无密码安全认证的各种系统和技术。

用于访问蜂窝无线服务的用户身份标识模块(SIM)的常规认证聚焦于使用由安装在无线设备中的SIM提供的凭证。这种技术可能在SIM所有者不知情或未经同意的情况下容易被诸如从设备借用SIM的人滥用。对于某些敏感事务，诸如添加和/或修改蜂窝服务，增加安全性的一种方法是要求用户使用先前建立的用户登录凭证登录到运营商服务器。这些用户登录凭证可包括用户登录凭证的所有者很少使用且容易忘记的密码。当可使用另选标准或一组标准执行认证时，本文描述的某些实施方案允许跳过用户登录认证过程。系统可考虑用户的历史、用户的设备和相关的用户账户，以确定是否需要用户登录以允许某些事务处理。SIM和电子SIM(eSIM)实施方案都可采用这些原理。