本发明实施例提供一种用户身份识别卡的鉴权控制方法和系统,该方法通过在移动终端部署鉴权控制应用程序,使得移动终端能够在鉴权控制应用程序指示下调用设置于该移动终端中的用户身份识别卡的应用协议数据单元指令,并通过应用协议数据单元指令携带的鉴权控制信息控制用户身份识别卡执行鉴权过程,使得用户身份识别卡的鉴权过程可由移动终端部署的鉴权控制应用程序来控制,防止用户身份识别卡在鉴权过程中泄露重要信息,进而提高了鉴权过程中的安全性和保密性。

本发明公开了本发明实施例提供了一种基于IMS环境的鉴权方法,步骤包括：接收未配置SIM卡的待接入终端的第一鉴权请求后,对所述待接入终端接入报文数据网关进行鉴权认证；完成所述待接入终端接入所述报文数据网关的鉴权认证后,若接收到所述待接入终端的第二鉴权请求,则对所述待接入终端发送的信令进行鉴权认证。本发明提供了一种基于IMS环境的单卡多点接入及鉴权方法、装置、系统,通过对向接入设备提供鉴权认证并让接入设备完成鉴权操作,从而实现基于ePDG接入方式实现单卡多点接入,进而让用户通过一个SIM卡号即可访问多个鉴权服务器。

本发明实施例提供一种身份认证系统及方法。该系统包括：基站,用于当用户设备UE进入预设范围时,与UE建立通信连接,获取UE的用户识别卡SIM卡信息,并将基站身份标识ID和SIM卡信息发送至运营商核心网；运营商核心网,用于根据SIM卡信息对SIM卡进行认证,当SIM卡认证通过时,确定基站ID对应的服务设备ID,并将服务设备ID和SIM卡信息中的用户ID发送至服务器；服务器,用于根据服务设备ID与用户ID确定UE在服务设备上的权限。通过本发明实施例,能够基于运营商核心网进行身份认证,提高身份认证的安全性,缩短认证时间,优化用户体验。

本发明提出了藉由称为第一IMSI的临时IMSI(e-IMSI)来将与装置协作的安全元件连接到第一移动网络运营商的网络的方法,第一IMSI存储在安全元件中,以便从第一移动网络运营商获得称为第二IMSI的另一IMSI(t-IMSI),该方法包括：A-装置在执行3GPP网络选择程序之后选择无线电服务网络(VPLMN),称为第一个选择的网络,第一个选择的网络未列在安全元件的禁止VPLMN列表(FPLMN)中；B-装置向第一个选择的网络发送包括第一IMSI(e-IMSI)的注册请求消息；C-如果第一个选择的网络(VPLMN)没有将该消息路由到第一移动网络运营商的网络,则停止尝试注册到第一个选择的网络(VPLMN)并将第一个选择的网络(VPLMN)的MCC/MNC代码放在安全元件的禁止VPLMN列表(FPLMN)中；D-装置用3GPP网络选择程序搜索另一网络以进行注册；E-重复步骤A到D,直到网络将第一IMSI(e-IMSI)路由到了第一移动网络运营商的网络。

本公开涉及电子用户身份模块转移凭据包装。本文所述的实施方案涉及用于在无线设备之间安全转移电子SIM(eSIM)的凭据包装。将eSIM从源设备转移到目标设备包括使用新加密密钥来重新加密敏感eSIM数据,例如eSIM加密密钥、金融交易凭据、通行授权凭据等,该新加密密钥包括适用于源设备和目标设备之间的单个特定转移会话的临时元件。利用对称密钥(K-(s))加密的敏感eSIM数据被重新包装成具有新标头,该新标头包括利用新密钥加密密钥(KEK)加密版本的K-(s)和由该目标设备用于导出KEK的信息。利用附加eSIM数据将该重新加密的敏感SIM数据格式化为新绑定配置文件包(BPP),以将该eSIM从源设备转移到目标设备。

本公开涉及通信技术领域,涉及一种业务路由方法及系统、存储介质和电子设备。该方法包括：第一业务路由模块接收第一终端发送的携带有第二终端号码的业务连接请求；向动态数据处理模块发送对第二终端号码的动态查询请求,并接收动态数据处理模块基于存储的动态数据更新结果返回的查询结果,查询结果包括第二业务路由模块的标识信息；向动态数据处理模块发送携带有标识信息的地址查询请求,接收动态数据处理模块返回的标识信息对应的网关协议地址；通过网关协议地址,向第二业务路由模块发送业务连接请求,以建立所述第一终端和第二终端的业务连接。本公开通过实时业务动态数据路由,能完成通信双方就近端到端连接,具有低时延的特点。

本发明提供一种辅助安全域的创建方法、SM-SR及系统,所述方法包括：接收业务平台发送的创建辅助安全域SSD请求；根据创建SSD请求向eUICC的根安全域ISD-R发送SSD创建命令,以使所述ISD-R接收到所述SSD创建命令后在所述eUICC中创建SSD；接收所述ISD-R返回的SSD创建响应,并根据所述SSD创建响应为创建的SSD生成初始密钥；将所述初始密钥发送给所述ISD-R,以使所述ISD-R将所述初始密钥转发给所述创建的SSD；向所述业务平台发送所述初始密钥,以使所述业务平台用所述初始密钥与创建的SSD建立安全通道。该方法、SM-SR及系统能够解决相关技术中由于业务提供商的应用在终端侧没有专属安全域,导致终端无法支持多业务提供者的应用在eUICC上并存的问题。

本发明提供一种辅助安全域的创建方法及系统,所述方法包括：接收业务平台发送的创建辅助安全域SSD请求；向运营商平台转发创建SSD请求,以使所述运营商平台根据所述创建SSD请求向嵌入式通用集成电路卡eUICC的运营商安全域MNO-SD发送创建SSD的命令,并使所述MNO-SD接收到所述创建SSD的命令后在所述eUICC中创建SSD；接收所述运营商平台返回的SSD创建响应,所述SSD创建响应携带所述运营商平台为创建的SSD生成的初始密钥；将所述初始密钥发送给所述业务平台,以使所述业务平台用所述初始密钥与创建的SSD建立安全通道。该方法及系统能够解决相关技术中随着应用的增多,eUICC卡无法支持多家业务提供商的应用以安全的方式同时并存的问题。

本发明提供一种基于广域网上实现移动用户位置隐藏的运作方法与装置,包括：在广域网上部署一专用网关连接移动用户与移动用户所属核心网；使一用户端设备执行网络连接；用户端设备中的第一SIM卡(流量卡)与专用网关连接,以在专用网关建立一专属IP安全隧道；用户端设备中的第二SIM卡(用户卡)经由第一SIM卡建立的专属IP隧道完成第二SIM卡在其所属核心网的接入和业务执行。其中第一SIM卡与用户身分无关,第二SIM卡与用户身份相关,由于第二SIM卡的用户身份相关信息都是基于专属IP安全隧道传输,藉此,有效防止了基于伪基站的身份泄漏以及基于运营商无线基站的移动用户的位置和身份信息的泄漏。

本发明公开了一种移动办公通信方法及系统,所述方法包括：接收安全管理中心的管理策略；所述管理策略包括移动终端白名单；接受记录于移动终端白名单中的移动终端的通信请求,向所述移动终端收集身份信息；将所述移动终端上传的身份信息发送至所述安全管理中心进行身份认证；当所述安全管理中心确认所述移动终端对应的身份信息属实后,与所述移动终端建立I PSec隧道；通过所述I PSec隧道与所述移动终端进行数据交换。采用本发明提供移动办公通信方法及系统实施例,能有效解决现有技术中移动办公安全性低、访问速率低的问题。