虚拟SIM卡管理装置、通信终端、访问控制及管理方法

本发明涉及虚拟SIM卡领域，尤其涉及一种虚拟SIM卡管理装置、 通信终端、访问控制及管理方法。

近些年通信技术和电子终端的快速发展，虚拟SIM(Subscriber Identity Module，客户识别模块)卡的需求越来越有潜力，其运用 的领域也会越来越广泛，与实体SIM卡相比，其具有成本低、更方便、 快捷以及更环保等诸多优点。但虚拟SIM卡的安全性是用户比较担心 的一个问题。目前虚拟SIM卡管理装置的虚拟SIM卡并未设置任何安 全访问控制机制，其在存储过程中以及使用过程中，任何能够正常启 用该虚拟SIM卡管理装置的用户都能直接对其进行访问，获取用户或 者服务商的数据。也即目前虚拟SIM卡管理装置内的虚拟SIM卡由于 未设置安全访问机制导致数据很容易泄露，给用户和服务商造成损失。 因此如何有效的提升虚拟SIM可的安全性是目前亟需解决的一个技 术问题。

本发明的主要目的在于提出一种虚拟SIM卡管理装置、通信终端、 访问控制及管理方法，旨在解决现有通信终端内的虚拟SIM卡无安全 访问控制机制导致虚拟SIM卡安全性低的问题。

为实现上述目的，本发明提供了一种虚拟SIM卡管理装置，包括 虚拟SIM卡申请模块以及身份验证模块；

所述虚拟SIM卡申请模块用于向虚拟SIM卡服务器发送包含用户 身份认证信息的虚拟SIM卡申请请求，以及接收并存储所述虚拟SIM 卡服务器反馈的集成有所述用户身份认证信息的虚拟SIM卡；

所述身份验证模块用于检测到用户对所述虚拟SIM卡发起访问 时，根据所述虚拟SIM卡中的用户身份认证信息对所述用户进行身份 认证，认证通过则允许访问所述虚拟SIM卡，否则禁止访问所述虚拟 SIM卡。

其中，所述用户身份认证信息包含用户生物识别信息和用户自定 义识别信息中的至少一种。

其中，所述用户生物识别信息包含用户指纹识别信息、用户视网 膜识别信息、用户声音识别信息、用户眼虹膜识别信息和用户面貌识 别信息中的至少一种。

其中，所述用户自定义识别信息包含用户自定义密码。

另一方面，为了实现上述目的，本发明还提供了一种通信终端， 包含如上所述的虚拟SIM卡管理装置。

另一方面，为了实现上述目的，本发明还提供了一种包括虚拟 SIM卡管理模块和虚拟SIM卡生成模块；

所述虚拟SIM卡管理模块用于接收来自虚拟SIM卡管理装置的虚 拟SIM卡申请请求，所述虚拟SIM卡申请请求包含用户身份认证信息， 并将所述用户身份认证信息发给所述虚拟SIM卡生成模块；

所述虚拟SIM卡生成模块用于将所述用户身份认证信息作为访 问虚拟SIM卡的认证条件集成于生成的虚拟SIM卡中，并发给所述虚 拟SIM卡管理装置。

其中，还包括虚拟SIM卡鉴权模块；所述SIM卡申请请求还包括 所述虚拟SIM卡管理装置的唯一识别码，所述虚拟SIM卡鉴权模块用 于将所述唯一识别码与所述虚拟SIM卡绑定存储；以及用于检测到当 前使用所述虚拟SIM卡的虚拟SIM卡管理装置的唯一识别码与之前存 储的唯一识别码不一致时，根据所述SIM卡中的用户身份认证信息对 当前虚拟SIM卡管理装置的用户进行身份验证，如验证通过，将之前 存储的唯一识别码替换为所述当前虚拟SIM卡管理装置的唯一识别 码。

另一方面，为了实现上述目的，本发明还提供了一种虚拟SIM卡 访问控制方法，包括：

向虚拟SIM卡服务器发送包含用户身份认证信息的虚拟SIM卡申 请请求，以及接收并存储所述虚拟SIM卡服务器反馈的集成有所述用 户身份认证信息的虚拟SIM卡；

当检测到用户对所述虚拟SIM卡发起访问时，根据所述虚拟SIM 卡中的用户身份认证信息对当前用户进行身份认证，认证通过时允许 访问所述虚拟SIM卡，否则禁止访问所述虚拟SIM卡。

另一方面，为了实现上述目的，本发明还提供了一种虚拟SIM卡 管理方法，包括：

接收虚拟SIM卡管理装置发送的包含用户身份认证信息的虚拟 SIM卡申请请求；

将所述用户身份认证信息作为访问虚拟SIM卡的认证条件集成 于生成的虚拟SIM卡中，并发给所述虚拟SIM卡管理装置。

其中，所述SIM卡申请请求还包括所述虚拟SIM卡管理装置的唯 一识别码，所述方法还包括：

将所述唯一识别码与所述虚拟SIM卡绑定存储；检测到当前使用 所述虚拟SIM卡的虚拟SIM卡管理装置的唯一识别码与之前存储的唯 一识别码不一致时，根据所述SIM卡中的用户身份认证信息对所述虚 拟SIM卡管理装置当前的用户进行身份验证，如验证通过，将之前存 储的唯一识别码替换为所述当前虚拟SIM卡管理装置的唯一识别码。

本发明提出的虚拟SIM卡管理装置、通信终端、访问控制及管理 方法，在虚拟SIM卡管理装置向虚拟SIM卡服务器申请虚拟SIM卡时， 其可将用户的用户身份认证信息发给虚拟SIM卡服务器，虚拟SIM卡 服务器生成虚拟SIM卡时则可将该用户身份认证信息作为访问虚拟 SIM卡的认证条件集成于生成的虚拟SIM卡中发给虚拟SIM卡管理装 置。虚拟SIM卡管理装置在检测到有对该虚拟SIM卡发起访问时，则 根据该虚拟SIM卡中的用户身份认证信息对当前发起访问的用户进 行身份认证，只有在认证通过时才允许其对虚拟SIM卡进行访问。这 样可避免其他非法用户非法获取虚拟SIM卡数据，提升虚拟SIM卡的 安全性，尽可能避免因虚拟SIM卡数据的泄露对用户和运营商造成损 失。

图1为本发明实施例一种可选的移动终端的硬件结构示意图；

图2为本发明实施例一种可选的服务器的硬件结构示意图；

图3为本发明第一实施例的通信系统的结构示意图；

图4为本发明第二实施例的虚拟SIM卡管理装置结构示意图；

图5为本发明第三实施例的虚拟SIM卡服务器结构示意图；

图6为本发明第四实施例的虚拟SIM卡访问控制方法流程示意图；

图7为本发明第五实施例的虚拟SIM卡管理方法流程示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做 进一步说明。

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不 用于限定本发明。

本实施例中的虚拟SIM卡管理装置是指能使用虚拟SIM卡的所有 虚拟SIM卡管理装置，其可设置于各种通信终端内，包含移动类型的 通信终端，例如移动电话、智能电话、笔记本电脑、PDA(个人数字助 理)、PAD(平板电脑)、PMP(便携式多媒体播放器)等等；也可包括具 有通信功能的固定类型的通信终端。本实施例中的虚拟SIM卡管理装 置作为虚拟SIM卡申请方向虚拟SIM卡服务器申请虚拟SIM卡时，其 可将用户的用户身份认证信息发给虚拟SIM卡服务器，以供虚拟SIM 卡服务器生成虚拟SIM卡时则将该用户身份认证信息作为访问虚拟 SIM卡的认证条件集成于虚拟SIM卡中。这样在后续的访问控制过程 中，虚拟SIM卡管理装置在检测到有对该虚拟SIM卡发起访问时，就 可根据该虚拟SIM卡中的用户身份认证信息对当前发起访问的用户 进行身份认证，只有在认证通过时才允许其对虚拟SIM卡进行访问， 可避免其他非法用户非法获取虚拟SIM卡数据，提升虚拟SIM卡的安 全性。

进一步的，本实施例中的虚拟SIM卡服务器除了在生成虚拟SIM 卡时将用户身份认证信息作为访问虚拟SIM卡的认证条件外，还可进 一步将包含用户身份认证信息的虚拟SIM卡与发起申请的虚拟SIM卡 管理装置的唯一识别码进行绑定存储。当后续SIM卡服务器检测到当 前使用该虚拟SIM卡的虚拟SIM卡管理装置的唯一识别码(例如当虚 拟SIM卡管理装置设置于手机中时，则虚拟SIM卡管理装置的唯一识 别码可以是手机的各种唯一识别码，包括但不限于IMIE (International Mobile Equipment Identity)码)与之前所存储 的唯一识别码不一致时，根据该虚拟SIM卡中的用户认证信息对当前 虚拟SIM卡管理装置用户的身份进行认证，如非法，则表明可能被盗 用，禁止其使用；如合法，表明用户更换了虚拟SIM卡管理装置，将 之绑定存储的唯一识别码更新为当前虚拟SIM卡管理装置的唯一识 别码。这样可在虚拟SIM卡的使用过程中进一步虚拟SIM卡是否被盗 用进行实时监控，避免虚拟SIM卡被盗用，能进一步提升其安全性能。 尽可能避免因虚拟SIM卡数据的泄露对用户和运营商造成损失。

为了更好的理解本发明，下面以一种设置有虚拟SIM卡管理装置 的移动终端的为例，对本发明做进一步示例性说明。在后续的描述中， 使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了 有利于本发明的说明，其本身并没有特定的意义。因此，"模块"与" 部件"可以混合地使用。

如图1所示，为实现本发明各个实施例一个移动终端的硬件结构 示意。其包括：无线通信单元110、、A/V(音频/视频)输入单元120、 用户输入单元130、感测单元140、输出单元150、存储器160、接口单 元170、控制器180、电源单元190以及身份验证单元200等等。图1示 出了具有各种组件的移动终端，但是应理解的是，并不要求实施所有 示出的组件。可以替代地实施更多或更少的组件。下面对上述元件进 行简单的说明。

无线通信单元110通常包括一个或多个组件，其允许移动终端100 与无线通信系统或网络之间的无线电通信，且其具体可利用终端内的 虚拟SIM卡进行通信实现上网、通话、收发短信等各种业务。例如， 无线通信单元可以包括广播接收模块111、移动通信模块112、无线互 联网模块113、短程通信模块114和位置信息模块115中的至少一个。

A/V输入单元120用于接收音频或视频信号。A/V输入单元120可以 包括相机121和麦克风1220，麦克风1220可以采集用户的声音这一生 理特征，且可以作为一种身份认证信息发给虚拟SIM卡申请模块。

用户输入单元130可以根据用户输入的命令生成键输入数据以控 制移动终端的各种操作。用户输入单元130允许用户输入各种类型的 信息，并且可以包括键盘、锅仔片、触摸板(例如，检测由于被接触 而导致的电阻、压力、电容等等的变化的触敏组件)、滚轮、摇杆等 等。特别地，当触摸板以层的形式叠加在显示单元151上时，可以形 成触摸屏。

感测单元140检测移动终端100的当前状态，(例如，移动终端100 的打开或关闭状态)、移动终端100的位置、用户对于移动终端100的 接触(即，触摸输入)的有无、移动终端100的取向、移动终端100的加 速或减速移动和方向等等，并且生成用于控制移动终端100的操作的 命令或信号。

接口单元170用作至少一个外部装置与移动终端100连接可以通 过的接口。例如，外部装置可以包括有线或无线头戴式耳机端口、外 部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用 于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频 I/O端口、耳机端口等等。

输出单元150被构造为以视觉、音频和/或触觉方式提供输出信号 (例如，音频信号、视频信号、警报信号、振动信号等等)。输出单元 150可以包括显示单元151、音频输出模块152、警报单元153等等。

显示单元151可以包括液晶显示器(LCD)、薄膜晶体管 LCD(TFT-LCD)、有机发光二极管(OLED)显示器、柔性显示器、三维(3D) 显示器等等中的至少一种。这些显示器中的一些可以被构造为透明状 以允许用户从外部观看，这可以称为透明显示器，典型的透明显示器 可以例如为TOLED(透明有机发光二极管)显示器等等。根据特定想要 的实施方式，移动终端100可以包括两个或更多显示单元(或其它显示 装置)，例如，移动终端可以包括外部显示单元(未示出)和内部显示 单元(未示出)。触摸屏可用于检测触摸输入压力以及触摸输入位置和 触摸输入面积。

音频输出模块152可以在移动终端处于呼叫信号接收模式、通话 模式、记录模式、语音识别模式、广播接收模式等等模式下时，将无 线通信单元110接收的或者在存储器160中存储的音频数据转换音频 信号并且输出为声音。而且，音频输出模块152可以提供与移动终端 100执行的特定功能相关的音频输出(例如，呼叫信号接收声音、消息 接收声音等等)。音频输出模块152可以包括扬声器、蜂鸣器等等。

警报单元153可以提供输出以将事件的发生通知给移动终端100。 典型的事件可以包括呼叫接收、消息接收、键信号输入、触摸输入等 等。除了音频或视频输出之外，警报单元153可以以不同的方式提供 输出以通知事件的发生。

存储器160可以存储由控制器180执行的处理和控制操作的软件 程序等等，或者可以暂时地存储己经输出或将要输出的数据(例如， 电话簿、消息、静态图像、视频、用户身份信息等等)。而且，存储 器160可以存储关于当触摸施加到触摸屏时输出的各种方式的振动和 音频信号的数据。

存储器160可以包括至少一种类型的存储介质，所述存储介质包 括闪存、硬盘、多媒体卡、卡型存储器(例如，SD或DX存储器等等)、 随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器 (ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器 (PROM)、磁性存储器、磁盘、光盘等等。而且，移动终端100可以与 通过网络连接执行存储器160的存储功能的网络存储装置协作。

控制器180通常控制移动终端的总体操作。例如，控制器180执行 与语音通话、数据通信、视频通话等等相关的控制和处理。另外，控 制器180可以包括用于再现(或回放)多媒体数据的多媒体模块1810， 多媒体模块1810可以构造在控制器180内，或者可以构造为与控制器 180分离。控制器180可以执行模式识别处理，以将在触摸屏上执行的 手写输入或者图片绘制输入识别为字符或图像。

虚拟SIM卡申请模块1811可以构造在控制器180内，也可以构 造为与控制器180分离，控制器180可以控制虚拟SIM卡申请模块 1811向虚拟SIM卡服务器发送包含用户身份认证信息的虚拟SIM卡 申请请求以申请虚拟SIM卡。

电源单元190在控制器180的控制下接收外部电力或内部电力并 且提供操作各元件和组件所需的适当的电力。

身份验证单元200可以包含各种能实现对用户身份信息进行认证 的功能模块，具体的，其可包括通过对用户的生物特征信息实现对用 户身份尽心认证的各种模块，例如包括但不限于指纹识别模块201、 视网膜识别模块202、声音识别模块203、眼虹膜识别模块204和面貌 识别模块205等中的至少一种；其也可以包含供用户自定义识别信息 以识别用户身份的功能模块，例如包括但不限于各种口令识别模块 206以及密码识别模块207等。通过上述各种识别模块中的一个或多个 的组合即可实现对终端用户当前身份的识别。

如图2所示，为实现本发明各个实施例一个可选的服务器的结构 示意图，该服务器至少包括：输入输出(IO)总线21、处理器22、存 储器23、内存24和通信装置25。其中，

输入输出(IO)总线21分别与自身所属的服务器的其它部件(处 理器22、存储器23、内存24和通信装置25)连接，并且为其它部件提 供传送线路。

处理器22通常控制自身所属的服务器的总体操作。例如，处理器 22执行计算和确认等操作。其中，处理器22可以是中央处理器(CPU)。 虚拟SIM卡管理模块221和虚拟SIM卡生成模块222可以设置于处理器 22内，也可以脱离处理器22单独设置，分别用于生成虚拟SIM卡和对 虚拟SIM卡进行各种管理。

存储器23存储处理器可读、处理器可执行的软件代码，其包含用 于控制处理器22执行本文描述的功能的指令(即软件执行功能)，还 包含为各通信终端存储的虚拟SIM卡、终端标识、用户身份识别信息 等数据以及各种业务数据。

内存24，一般采用半导体存储单元，包括随机存储器(RAM)，只 读存储器(ROM)，以及高速缓存(CACHE)，RAM是其中最重要的存储 器。内存24是计算机中重要的部件之一，它是与CPU12进行沟通的桥 梁，计算机中所有程序的运行都是在内存中进行的，其作用是用于暂 时存放CPU22中的运算数据，以及与硬盘等外部存储器交换的数据， 只要计算机在运行中，CPU22就会把需要运算的数据调到内存中进行 运算，当运算完成后CPU22再将结果传送出来。

通信装置25，通常包括一个或多个组件，其允许自身所属的服务 器与无线通信系统或网络之间的无线电通信，例如与外部通信终端通 过有线或无线的方式建立通信连接。

以下通过具体实施例进行详细说明。

第一实施例

请参见图3所示，该图所示通信系统其具体包括通信终端2和虚 拟SIM卡服务器202，通信终端2和虚拟SIM卡服务器可以分别采用 图1和图2所示的移动终端和服务器结构。其中通信终端2中包括虚 拟SIM卡管理装置201。该通信系统中虚拟SIM卡的申请、访问及管 理过程如下：

虚拟SIM卡管理装置201向虚拟SIM卡服务器202申请虚拟SIM 卡时，发送包含用户身份认证信息的虚拟SIM卡申请请求给虚拟SIM 卡服务器202；

虚拟SIM卡服务器202接收到虚拟SIM卡申请请求后，生成虚拟 SIM卡(当然为了提升安全性，在此之前可通过各种方式对此次申请 请求的合法性进行验证，只有当验证通过才进行后续的步骤)，并将 该请求中的将用户身份认证信息作为访问虚拟SIM卡的认证条件集 成于生成的虚拟SIM卡中，发给虚拟SIM卡管理装置201；

虚拟SIM卡管理装置201接收并存储虚拟SIM卡服务器202反馈 的虚拟SIM卡；后面在检测到用户或其他业务有对该虚拟SIM卡发起 访问时，根据虚拟SIM卡中的用户身份认证信息对当前用户进行身份 认证，认证通过时允许访问所述虚拟SIM卡，否则禁止访问所述虚拟 SIM卡。这样在用户每次使用终端中的虚拟SIM卡时，都会先对用户 身份的合法性进行认证。认证通过后才允许对其进行访问。提升了虚 拟SIM卡访问的安全性，避免终端内的虚拟SIM卡被非法访问而导致 数据泄露。

应当理解的是，本实施例中虚拟SIM卡管理装置申请虚拟SIM卡 时，其向虚拟SIM卡服务器202发送用户身份认证信息的方式并不仅 限于包含在申请请求中发过去，也可以通过单独的消息或包含于其他 现有消息中发给虚拟SIM卡服务器202。例如，可在现有虚拟SIM卡 管理装置与虚拟SIM卡服务器的现有消息交互机制基础之上，额外构 建包含用户身份认证信息的身份认证请求消息，并在虚拟SIM卡服务 器根据虚拟SIM卡管理装置所发送的申请请求生成虚拟SIM卡之前， 将该用户身份认证信息发给虚拟SIM卡服务器，以供其从中提取用户 身份认证信息并集成于虚拟SIM卡中。又例如，当通过其他现有消息 携带发送时，理论上能通过虚拟SIM卡管理装置在虚拟SIM卡服务器 生成虚拟SIM卡之前向其发送的任意一种消息都可实现将用户身份 认证信息发给虚拟SIM卡服务器。例如，当SIM卡终端在向虚拟SIM 卡服务器发送虚拟SIM卡申请请求之前，当其需要向SIM卡服务器注 册时，可在注册请求中将该消息发给虚拟SIM卡服务器。

本实施例中的用户身份认证信息可以包含至少一种能对用户身 份进行安全认证的识别信息，当为了进一步提升认证的可靠性时，可 以选择两种或两种以上信息的组合。例如，用户身份认证信息包含虚 拟SIM卡管理装置201用户的生物特征识别信息和用户自定义识别信 息中的至少一种。其中：

用户的生物特征识别信息包括但不限于用户指纹识别信息、用户 视网膜识别信息、用户声音识别信息、用户眼虹膜识别信息和用户面 貌识别信息中的至少一种。采用生物特征识别信息对用户身份进行认 证的方式可以灵活选择。例如，用户自定义识别信息可以包含用户指 纹信息，此时用户访问虚拟SIM卡时，虚拟SIM卡管理装置201需获 取该用户的指纹信息进行身份认证。而用户自定义识别信息则包括但 不限于用户自定义密码等，访问用户只有输入了对的密码才能对虚拟 SIM卡进行正常的访问。

为了提升安全性，可以采用多种信息的组合，例如采用用户指纹 识别信息和用户视网膜识别信息，此时用户访问虚拟SIM卡时，虚拟 SIM卡管理装置201需获取该用户的指纹信息和视网膜信息进行身份 认证。又例如，采用用户指纹识别信息和用户自定义的识别口令时， 此时用户访问虚拟SIM卡，虚拟SIM卡管理装置201需获取该用户的 指纹信息和用户输入的识别口令对用户的身份进行认证。具体认证过 程为：SIM卡终端将获取的识别信息与虚拟SIM卡中集成的用户身份 认证信息进行匹配，如匹配的上，则认证通过，允许此次访问；否则 认证失败，禁止此次访问。

为了进一步提升安全性，本实施例中的虚拟SIM卡服务器202还 可对使用虚拟SIM卡的虚拟SIM卡管理装置进行监控。具体的，虚拟 SIM卡管理装置201向虚拟SIM卡服务器202申请虚拟SIM卡时，其 还可将自身的唯一识别码随着申请请求发给虚拟SIM卡服务器202。 本实施例中，虚拟SIM卡管理装置201作为独立的终端存在时，其唯 一标识码则是自身可以唯一标识自己身份的各种信息；虚拟SIM卡管 理装置201设置于移动终端(例如手机、PAD等)或其他固定终端内 时，其唯一标识码则可以取能唯一标识其所在的移动终端或固定终端 的唯一标识信息。

虚拟SIM卡服务器202生成虚拟SIM卡后，除了将用户身份认证 信息集成于该虚拟SIM卡内，在存储虚拟SIM卡时，其还将申请终侧 (即虚拟SIM卡管理装置201)的唯一识别码与该虚拟SIM卡绑定存 储。在后续虚拟SIM卡的使用过程中，虚拟SIM安卡服务器检测到当 前使用该虚拟SIM卡的虚拟SIM卡管理装置的唯一识别码与之前存储 的唯一识别码不一致时，根据该SIM卡中的用户身份认证信息对当前 虚拟SIM卡管理装置的用户进行身份验证，如验证通过，将之前存储 的唯一识别码替换为当前虚拟SIM卡管理装置的唯一识别码；如验证 失败，则表明极有可能虚拟SIM卡被盗用，禁止该虚拟SIM卡管理装 置继续使用。这样在虚拟SIM卡后续使用过程中，可对使用该虚拟 SIM卡管理装置的合法性进行进一步监控、认证。能进一步提升虚拟 SIM卡使用管理的安全性能。

另外，本实施例中，为了进一步提升安全性，避免生成的虚拟 SIM卡在网络传输过程中被复制盗用；虚拟SIM卡服务器202在生成 好虚拟SIM卡并将用户身份认证信息集成到该虚拟SIM卡中后，对该 虚拟SIM卡进行加密后再发给虚拟SIM卡管理装置201。其加密可以 采用虚拟SIM卡管理装置201发送的公钥(该公钥也可随着虚拟SIM 卡申请请求发给虚拟SIM卡服务器202)或之前与虚拟SIM卡管理装 置201所约定好的公钥或其他加密规则。虚拟SIM卡管理装置201接 收到该虚拟SIM卡后，对其完成正确解密后进行存储。对生成的虚拟 SIM卡进行加密传输避免其传输构成中复制盗用，可见进一步提升虚 拟SIM卡的安全性。

第二实施例

参照图4，图4为本发明第二实施例提供的虚拟SIM卡管理装 置201，虚拟SIM卡管理装置201可以为一个独立的终端，也可以内 置于移动终端或其他具有通信功能的固定终端内，其包含虚拟SIM卡 申请模块2011以及身份验证模块2012；其中虚拟SIM卡申请模块 2011可以内置于终端的处理器中，也可以独立于处理器之外单独设 置。身份验证模块202可以通过终端的各种传感器(例如麦克风、摄 像头、指纹识别传感器)采集用户的生物特征信息，和/或利用终端 的各种输入模块(例如触摸屏、物理按键等)获取用户自定义密码作 为用户的身份认证信息。

虚拟SIM卡申请模块2011用于向虚拟SIM卡服务器发送包含用 户身份认证信息(该信息可以是之前存储在虚拟SIM卡管理装置中的， 也可为实时通过身份验证模块2012所获取的当前用户的身份认证信 息)的虚拟SIM卡申请请求，当然该申请请求中还可包含虚拟SIM卡 管理装置的唯一识别码(例如IMEI)和公钥；

虚拟SIM卡申请模块2011还用于接收并存储虚拟SIM卡服务器 反馈的集成有用户身份认证信息的虚拟SIM卡；当虚拟SIM卡服务器 反馈的虚拟SIM卡有加密时，虚拟SIM卡申请模块2011还用于对接 收到的虚拟SIM卡进行解密。

身份验证模块2012用于在检测到用户或其他业务对虚拟SIM卡 发起访问时，根据虚拟SIM卡中的用户身份认证信息对当前用户进行 身份认证，认证通过时允许访问虚拟SIM卡，否则禁止访问虚拟SIM 卡。本示例中的身份验证模块可以包括但不限于指纹识别模块、视网 膜识别模块、声音识别模块、眼虹膜识别模块、面貌识别模块、密码 识别模块中的至少一种；对应的用户身份验证信息包括但不限于用户 指纹识别信息、用户视网膜识别信息、用户声音识别信息、用户眼虹 膜识别信息、用户面貌识别信息、用户自定义密码中的至少一种。应 当理解的是，为了进一步提升认证的可靠性时，可以选择两种或两种 以上信息的组合。例如，用户身份认证信息包含虚拟SIM卡管理装置 201用户的生物特征识别信息和用户自定义识别信息中；而用户的生 物特征识别信息包括但不限于用户指纹识别信息、用户视网膜识别信 息、用户声音识别信息、用户眼虹膜识别信息和用户面貌识别信息中 的至少一种；例如，用户自定义识别信息可以包含用户指纹信息，此 时用户访问虚拟SIM卡时，虚拟SIM卡管理装置201需获取该用户的 指纹信息进行身份认证。用户自定义识别信息则包括但不限于用户自 定义的密码等。为了提升安全性，可以采用多种信息的组合，例如采 用用户指纹识别信息和用户视网膜识别信息，此时用户访问虚拟SIM 卡时，指纹识别模块和视网膜识别模块分别获取该用户的指纹信息和 视网膜信息进行身份认证。如都匹配的上，则认证通过，允许此次访 问；否则认证失败，禁止此次访问。

可见，实施例中的虚拟SIM卡管理装置在申请虚拟SIM卡时将用 户的身份认证信息一并发给虚拟SIM卡服务器，使得生成的虚拟SIM 卡与该用户身份认证信息进行绑定。后续检测到用户对该需求SIM卡 进行访问时，基于该用户身份认证信息对用户的身份进行认证通过后 才允许其访问，在虚拟SIM卡管理装置侧提升了虚拟SIM卡访问的安 全性。

第三实施例

请参见图5所示，图5为本发明第三实施例提供的虚拟SIM卡 服务器202，其包括虚拟SIM卡管理模块221、虚拟SIM卡生成模块 222、以及虚拟SIM卡鉴权模块223，且以上三个模块都可以内置于 服务器的处理器中，也可以独立于处理器设置；其中：

虚拟SIM卡管理模块221用于接收虚拟SIM卡管理装置发送的包 含用户身份认证信息的虚拟SIM卡申请请求(还可包括唯一识别码和 公钥)，并将用户身份认证信息发给虚拟SIM卡生成模块；在发送用 户身份认证信息之前还其还用先对接收到的申请请求的合法性进行 认证；

虚拟SIM卡生成模块222用于生成虚拟SIM卡将用户身份认证信 息作为访问虚拟SIM卡的认证条件集成虚拟SIM卡生成模块222于生 成的虚拟SIM卡中，并发给虚拟SIM卡管理装置。这样虚拟SIM卡管 理装置在对该虚拟SIM卡进行访问时，需要通过身份认证才有权限对 虚拟SIM卡进行访问，提升虚拟SIM卡的安全性。

虚拟SIM卡生成模块222发送虚拟SIM卡给虚拟SIM卡管理装置 时，可根据上述公钥对其进行加密后发送，以进一步提升安全性。

虚拟SIM卡鉴权模块223用于将唯一识别码与虚拟SIM卡生成模 块所生成的虚拟SIM卡绑定存储(该虚拟SIM卡可以通过虚拟SIM卡 管理模块从虚拟SIM卡生成模块获取后转发给虚拟SIM卡鉴权模块， 也可以由虚拟SIM卡生成模块直接发给虚拟SIM卡鉴权模块)；以及 用于检测到当前使用虚拟SIM卡的虚拟SIM卡管理装置的唯一识别码 与之前存储的唯一识别码不一致时，根据该SIM卡中的用户身份认证 信息对当前虚拟SIM卡管理装置的用户进行身份验证，如验证通过， 将之前存储的唯一识别码替换为所述当前虚拟SIM卡管理装置的唯 一识别码。否则，表明虚拟SIM卡当前可能被盗用，其可直接报警或 直接禁止当前虚拟SIM卡管理装置继续使用。这样在虚拟SIM卡后续 使用过程中，可对使用该虚拟SIM卡管理装置的合法性进行进一步监 控、认证。能进一步虚拟SIM卡使用管理的提升安全性能。

这里描述的各种实施方式可以以使用例如计算机软件、硬件或其 任何组合的计算机可读介质来实施。对于硬件实施，这里描述的实施 方式可以通过使用特定用途集成电路(ASIC)、数字信号处理器(DSP)、 数字信号处理装置(DSPD)、可编程逻辑装置(PLD)、现场可编程门阵 列(FPGA)、处理器、控制器、微控制器、微处理器、被设计为执行这 里描述的功能的电子单元中的至少一种来实施，在一些情况下，这样 的实施方式可以在控制器180中实施。对于软件实施，诸如过程或功 能的实施方式可以与允许执行至少一种功能或操作的单独的软件模 块来实施。软件代码可以由以任何适当的编程语言编写的软件应用程 序(或程序)来实施，软件代码可以存储在存储器160中并且由控制器 180执行。

第四实施例

参见图6所示，图6为本发明第四实施例提供的虚拟SIM卡访问控 制方法，其对虚拟SIM卡进行生成及访问控制的过程包括：

S501：虚拟SIM卡管理装置向虚拟SIM卡服务器发送包含用户身 份认证信息的虚拟SIM卡申请请求；该请求中还可进一步包含虚拟 SIM卡管理装置的唯一识别码和公钥；

S502：虚拟SIM卡管理装置接收并存储虚拟SIM卡服务器反馈的 集成有用户身份认证信息的虚拟SIM卡；当该虚拟SIM卡被虚拟SIM 卡服务器根据上述公钥进行了加密时，虚拟SIM卡管理装置还将对其 进行解密操作；

S503：虚拟SIM卡管理装置在检测到用户或其他业务对虚拟SIM 卡发起访问时，根据虚拟SIM卡中的用户身份认证信息对当前用户进 行身份认证；此处的用户身份认证信息可以是用户生物特征识别信息， 例如指纹、视网膜、虹膜等等，也可以是用户自定义识别信息，例如 识别指令或密码等；

S504：判断认证是否通过，如是，转至S505；否则，转至S506；

S505：允许访问虚拟SIM卡。

S506：禁止访问虚拟SIM卡。

这样在用户每次使用终端中的虚拟SIM卡时，都会先对用户身份 的合法性进行认证。认证通过后才允许对其进行访问。提升了虚拟 SIM卡访问的安全性。应当理解的是，本实施例中虚拟SIM卡管理装 置申请虚拟SIM卡时，其向虚拟SIM卡服务器发送用户身份认证信息 的方式并不仅限于包含在申请请求中发过去，也可以通过单独的消息 或包含于其他现有消息中发给虚拟SIM卡服务器。例如，可在现有虚 拟SIM卡管理装置与虚拟SIM卡服务器的现有消息交互机制基础之上， 额外构建包含用户身份认证信息的身份认证请求消息，并在虚拟SIM 卡服务器根据虚拟SIM卡管理装置所发送的申请请求生成虚拟SIM卡 之前，将该用户身份认证信息发给虚拟SIM卡服务器，以供其从中提 取用户身份认证信息并集成于虚拟SIM卡中。

又例如，当通过其他现有消息携带发送时，理论上能通过虚拟 SIM卡管理装置在虚拟SIM卡服务器生成虚拟SIM卡之前向其发送的 任意一种消息都可实现将用户身份认证信息发给虚拟SIM卡服务器。 例如，当SIM卡终端在向虚拟SIM卡服务器发送虚拟SIM卡申请请求 之前，当其需要向SIM卡服务器注册时，可在注册请求中将该消息发 给虚拟SIM卡服务器。

本实施例中的用户身份认证信息可以包含至少一种能对用户身 份进行安全认证的识别信息，当为了进一步提升认证的可靠性时，可 以选择两种或两种以上信息的组合。

第五实施例

参见图7所示，图7为本发明第五实施例提供的虚拟SIM卡管理方 法。在虚拟SIM卡服务器侧，其生成和管理虚拟SIM卡的过程包括：

S601：虚拟SIM卡服务器接收虚拟SIM卡管理装置发送的包含用 户身份认证信息的虚拟SIM卡申请请求；该请求中还可进一步包含虚 拟SIM卡管理装置的唯一识别码和公钥；

S602：虚拟SIM卡服务器对接收的虚拟SIM卡申请请求进行合法 验证，通过转至S603；应当理解的是该步骤为可选步骤；

S603：虚拟SIM卡服务器生成虚拟SIM卡并将用户身份认证信息 作为访问虚拟SIM卡的认证条件集成于生成的虚拟SIM卡中，并发给 虚拟SIM卡管理装置；该步骤将虚拟SIM卡发给虚拟SIM卡管理装置 之前，可选的可利用上述公钥对该虚拟SIM卡进行加密后发送，防止 传输过程中被篡改或盗用；

S604：虚拟SIM卡服务器将生成的SIM卡(含用户身份认证信息) 和上述虚拟SIM卡管理装置的唯一识别码进行绑定存储；

S605：虚拟SIM卡服务器在虚拟SIM卡业务过程中检测到当前使 用虚拟SIM卡的虚拟SIM卡管理装置的唯一识别码与之前存储的唯一 识别码不一致；

S606：虚拟SIM卡服务器根据SIM卡中的用户身份认证信息对当 前虚拟SIM卡管理装置的用户进行身份验证；

S607：判断验证是否通过，如是，转至S608；否则，转至S609；

S608：虚拟SIM卡服务器将之前存储的唯一识别码替换为当前虚 拟SIM卡管理装置的唯一识别码。

S609：禁止当前虚拟SIM卡管理装置继续使用该虚拟SIM卡。在 虚拟SIM卡后续使用过程中，可对使用该虚拟SIM卡管理装置的合法 性进行进一步监控、认证。能进一步虚拟SIM卡使用管理的提升安全 性能。

另外，本实施例中，为了进一步提升安全性，避免生成的虚拟 SIM卡在网络传输过程中被复制盗用；虚拟SIM卡服务器在生成好虚 拟SIM卡并将用户身份认证信息集成到该虚拟SIM卡中后，对该虚拟 SIM卡进行加密后再发给虚拟SIM卡管理装置。其加密可以采用虚拟 SIM卡管理装置发送的公钥(该公钥也可随着虚拟SIM卡申请请求发 给虚拟SIM卡服务器)或之前与虚拟SIM卡管理装置所约定好的公钥 或其他加密规则。虚拟SIM卡管理装置接收到该虚拟SIM卡后，对其 完成正确解密后进行存储。对生成的虚拟SIM卡进行加密传输避免其 传输构成中复制盗用，可见进一步提升虚拟SIM卡的安全性。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其 他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、 方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的 其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的 要素。在没有更多限制的情况下，由语句“包括一个……”限定的要 素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另 外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解 到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现， 当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这 样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部 分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存 储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台 终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等) 执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡 是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或 直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利 保护范围内。