用于管理智能安全平台的绑定的方法和装置

摘要

一种由用户设备(UE)执行的管理次级平台绑定(SPB)的方法，包括：接收用于管理在智能安全平台(SSP)模块中所安装的SPB当中的、至少一个SPB的状态的终端用户选择；基于终端用户选择，检查管理至少一个SPB的状态所需要的绑定管理信息；基于绑定管理信息、根据终端用户选择，确定是否需要终端用户意图确认来管理至少一个SPB的状态；以及基于确定的结果管理至少一个SPB的状态。

说明书

技术领域

本公开涉及一种用于在移动通信系统中管理智能安全平台(SSP)的绑定(bundle)的方法和装置。

背景技术

为了满足由于第4代(4G)通信系统的商业化而针对无线数据业务的增长的需求，已经努力开发第5代(5G)或前5G通信系统。由于这个原因，5G或前5G通信系统被称为“超4G网络”通信系统或“后长期演进(post-LTE)”系统。为了实现高数据速率，正在考虑在超高频或毫米波(mmWave)频带(例如60GHz频带)中实现5G通信系统。为了降低在用于5G通信系统的超高频带中的路径损耗并且增加传输距离，正在研究各种技术，诸如波束成形、大规模多输入多输出(大规模MIMO)、全维MIMO(FD-MIMO)、阵列天线、模拟波束成形和大型(large-scale)天线。为了改进用于5G通信系统的系统网络，已经开发了各种技术，诸如演进的小小区、先进小小区、云无线电接入网络(Cloud-RAN)、超密集网络、设备到设备(D2D)通信、无线回程、移动网络、协作通信、协调多点(CoMP)和干扰消除。另外，对于5G通信系统，已经开发了先进编码调制(ACM)技术，诸如混合频移键控(FSK)和正交幅度调制(QAM)(FQAM)以及滑动窗口叠加编码(SWSC)；和先进接入技术，诸如滤波器组多载波(FBMC)、非正交多址(NOMA)和稀疏码多址(SCMA)。

互联网已经从其中人类创造和消费信息的以人类为基础的连接网络演进为其中诸如对象的分布式元素彼此交换信息以处理信息的物联网(IoT)。万物互联(IoE)技术已经出现，其中，IoT技术与例如通过连接云服务器来处理大数据的技术结合。为了实现物联网，需要各种技术要素，诸如传感技术、有线/无线通信和网络基础设施、服务接口技术和安全技术，并且近年，已经研究了与用于连接对象的传感器网络、机器到机器(M2M)通信和机器类型通信(MTC)相关的技术。在IoT环境中，可以提供智能互联网技术(IT)服务，收集和分析从连接的对象获得的数据，以为人类生活创造新的价值。随着现有信息技术(IT)与各种行业的融合和结合，IoT可应用于各种领域，诸如智能家居、智能建筑、智慧城市、智能汽车或联网汽车、智能电网、医疗保健、智能家电以及先进医疗服务。

对于将5G通信系统应用于IoT网络正在进行各种尝试。例如，正在通过使用包括波束成形、MIMO和阵列天线的5G通信技术来实现与传感器网络、M2M通信和MTC相关的技术。作为上述大数据处理技术的云RAN的应用可以是5G通信技术与IoT技术融合的示例。因为由于移动通信系统的发展可以提供各种服务，所以需要能够有效地提供这些服务的方法。

发明内容

技术方案

提供了一种能够在移动通信系统中有效地提供服务的装置和方法。

额外的方面将在随后的描述中部分地阐述，并且根据描述部分地将是明显的，或者可以通过本公开的所呈现的实施例的实践而习得。

根据本公开的实施例，一种由用户设备(UE)执行的管理次级平台绑定(SPB)的方法，包括：接收用于管理在智能安全平台(SSP)模块中所安装的SPB当中的、至少一个SPB的状态的终端(end)用户选择；基于终端用户选择，检查管理至少一个SPB的状态所需要的绑定管理信息；基于绑定管理信息、根据终端用户选择，确定是否需要终端用户意图确认来管理至少一个SPB的状态；以及基于确定的结果管理至少一个SPB的状态。

管理至少一个SPB的状态可以包括：当确定的结果指示需要终端用户意图确认时，检查对于管理至少一个SPB的状态的终端用户同意；以及基于终端用户同意的检查的结果来确定至少一个SPB的状态。

管理至少一个SPB的状态可以包括：启用、禁用或删除至少一个SPB。

管理至少一个SPB的状态可以包括：当确定的结果指示不需要终端用户意图确认时，基于绑定管理信息来管理至少一个SPB的状态。

绑定管理信息可以从外部服务器接收或者可以预先存储在至少一个SPB中。

绑定管理信息可以包括指示是否需要终端用户意图确认的指示符，或者用于终端用户意图确认的手段(means)信息。

指示符可以包括与终端用户意图确认的至少一个SPB的启用状态、禁用状态或删除状态相对应的特定字符串。

手段信息可以包括终端用户的生物特征信息、标识信息或配置信息，并且该方法还可以包括当确定的结果指示需要终端用户意图确认时，接收终端用户输入；以及基于接收到的终端用户输入，管理至少一个SPB的状态。

可以基于与至少一个SPB相关的功能，通过族(family)标识符来标识至少一个SPB。

该方法还可以包括基于族标识符来标识接入移动通信网络的电信SPB，其中至少一个SPB是基于族标识符所标识的电信SPB。

根据本公开的另一实施例，一种用于管理次级平台绑定(SPB)的用户设备(UE)，包括：收发器；智能安全平台(SSP)模块；以及至少一个处理器，连接到收发器并被配置为：接收用于管理在SSP模块中所安装的SPB当中的、至少一个SPB的状态的终端用户选择；基于终端用户选择，检查管理至少一个SPB的状态所需要的绑定管理信息；基于绑定管理信息、根据终端用户选择，确定是否需要终端用户意图确认来管理至少一个SPB的状态；以及基于确定的结果管理至少一个SPB的状态。

至少一个处理器还可以被配置为：当确定的结果指示需要终端用户意图确认时，检查对于管理至少一个SPB的状态的终端用户同意；以及基于终端用户同意的检查的结果来确定至少一个SPB的状态。

至少一个处理器还可以被配置为启用、禁用或删除至少一个SPB。

至少一个处理器还可以被配置为：当确定的结果指示不需要终端用户意图确认时，基于绑定管理信息来管理至少一个SPB的状态。

绑定管理信息可以从外部服务器接收或者可以预先存储在至少一个SPB中。

绑定管理信息可以包括指示是否需要终端用户意图确认的指示符，或者用于检查终端用户意图确认的手段信息。

指示符可以包括与至少一个SPB的启用状态、禁用状态或删除状态相对应的特定字符串，以检查终端用户意图确认。

手段信息可以包括终端用户的生物特征信息、识别信息或配置信息，并且至少一个处理器还可以被配置为：当确定的结果指示需要终端用户意图确认时，接收终端用户输入；以及基于接收到的终端用户输入，管理至少一个SPB的状态。

可以基于与至少一个SPB相关的功能，通过族标识符来标识至少一个SPB。

至少一个处理器还可以被配置为基于族标识符来标识接入移动通信网络的电信SPB，并且至少一个SPB是基于族标识符所标识的电信SPB。

附图说明

通过结合附图进行的以下描述，本公开的某些实施例的上述和其他方面、特征和优点将更加明显，其中：

图1是示出根据本公开的实施例的使用其中安装有包括配置文件(profile)的电信绑定的智能安全平台(SSP)的用户设备的移动通信网络连接方法的示意图；

图2是示出根据本公开的实施例的SSP的内部结构的概念图；

图3是示出根据本公开的实施例的、由证书颁发方(CI)颁发的证书的证书层级(或者证书链)的示例以及在每个证书中所包括的公钥(PK)和CI数字签名的示例的示意图；

图4是示出根据本公开的实施例的用于在SSP中下载和安装绑定的用户设备的内部和外部元件的示例的示意图；

图5是示出根据本公开的实施例的订户经由服务提供方订阅服务并且在绑定管理服务器中准备绑定的一般过程的示例的示意图；

图6是示出根据本公开的实施例的用户设备的配置以及服务提供方、绑定管理服务器和终端用户之间的合作方法的示例的示意图。

图7是示出根据本公开的实施例的用户设备执行绑定本地管理的一般过程的示例的示意图；

图8是示出根据本公开的实施例的用户设备执行绑定远程管理的一般过程的示例的示意图；

图9是示出根据本公开的实施例的配置绑定策略的示例的示意图；

图10是示出根据本公开的实施例的用户设备执行绑定本地管理的过程的示例的示意图；

图11是示出根据本公开的实施例的用户设备执行绑定本地管理的过程的另一示例的示意图；

图12是示出根据本公开的实施例的用户设备执行绑定本地管理和绑定远程管理的过程的示例的示意图；

图13是示出根据本公开的实施例的用户设备执行绑定本地管理和绑定远程管理的过程的另一示例的示意图；

图14A是示出根据本公开的实施例的用户设备、绑定管理服务器和服务提供方配置绑定策略的过程的示例的示意图；

图14B是示出根据本公开的实施例的用户设备、绑定管理服务器和服务提供方配置绑定策略的过程的另一示例的示意图；

图15是示出根据本公开的实施例的用户设备的框图；以及

图16是示出根据本公开的实施例的绑定管理服务器的框图。

具体实施方式

以下讨论的图1至16以及用于描述本专利文件中本公开的原理的各种实施例仅作为说明，并且不应当以任何方式被解释为限制本公开的范围。本领域技术人员将理解，本公开的原理可以在任何适当地布置的系统或设备中实施。

在下文中，将通过参考附图解释本公开的实施例来详细地描述本公开。

在描述本公开的实施例时，将不描述对于本领域公知的并且与本发明不直接地相关的技术内容。通过省略不必要的描述，本公开的主题将不被模糊并且可以被更清楚地解释。

出于同样的原因，在附图中可能夸大、省略或示意性地示出一些元件。另外，每个元件的大小不完全地反映其真实的大小。在附图中，相同的附图标记表示相同的元件。

贯穿本公开，表达“a、b或c中的至少一个”指示：仅a、仅b、仅c、a和b两者、a和c两者、b和c两者、a、b和c的全部，或其变型。

在本公开中，控制器也可以被称为处理器。

贯穿说明书，层(或层装置)也可以被称为实体。

通过参考以下本公开的实施例的详细描述和附图，可以更容易地理解本公开的一个或多个实施例及实现其的方法。关于这点，本公开的实施例可以具有不同的形式并且不应被解释为限于本文所阐述的描述，而是提供本公开的这些实施例使得本公开将是彻底的和完整的且向本领域的普通技术人员完整地传达本公开的概念，并且本公开仅由所附权利要求限定。贯穿本公开，相同的附图标记表示相同的元件。

将理解，流程图中的块或流程图的组合可以由计算机程序指令执行。因为这些计算机程序指令可以被加载到通用计算机、专用计算机或另外的可编程数据处理装置的处理器中，所以由计算机或另外的可编程数据处理装置的处理器执行的指令创建用于执行(一个或多个)流程图块中所描述的功能的单元。计算机程序指令可以存储在能够指导计算机或另外的可编程数据处理装置以特定方式实现功能的计算机可用或计算机可读存储器中，并且因此，在计算机可用或计算机可读存储器中所存储的指令可读存储器还能够产生包含指令单元的制造项目，该指令单元用于执行在(一个或多个)流程图块中所描述的功能。计算机程序指令还可以被加载到计算机或另外的可编程数据处理装置中，并且因此，用于在计算机或其他可编程数据处理装置中执行系列操作时通过生成计算机执行的处理来操作计算机或其他可编程数据处理装置的指令可以提供用于执行在(一个或多个)流程图块中所描述的功能的操作。

另外，每个块可以代表模块、片段或代码的一部分，其包括用于执行指定的(一个或多个)逻辑功能的一个或多个可执行指令。还应当注意的是，在一些替代实施方式中，块中提及的功能可能不按顺序发生。例如，两个连续的块也可以依赖于与其相对应的功能来同时地或按照相反的顺序执行。

当在本文中使用时，术语“单元”表示软件元件或硬件元件，诸如现场可编程门阵列(FPGA)或专用集成电路(ASIC)，并且执行某些功能。然而，术语“单元”不限于软件或硬件。“单元”可以被形成为在可寻址存储介质中，或者可以形成为操作一个或多个处理器。因此，例如，术语“单元”可以包括元件(例如，软件元件、面向对象的软件元件、类元件和任务元件)、处理、功能、属性、过程、子例程、程序代码的片段、驱动程序、固件、微代码、电路、数据、数据库、数据结构、表、数组或变量。元件和“单元”提供的功能可以被组合为较少数量的元件和“单元”，或者可以被划分为额外的元件和“单元”。此外，元件和“单元”可以体现为在设备或安全多媒体卡中再现一个或多个中央处理单元(CPU)。

提供本文中使用的特定术语以为了更好地理解本公开，并且在不脱离本公开的范围的情况下，可以将其修改为其他形式。

安全元件(SE)指代单芯片安全模块，其存储安全信息(例如，移动通信网络接入密钥、诸如身份证明(identification)或护照的用户标识信息、信用卡信息或加密密钥)并且包括和能够操作使用所存储的安全信息的控制模块(例如，诸如通用订户身份模块(USIM)、加密模块或密钥生成模块)。SE可以用于各种电子设备(例如，智能电话、平板式设备、可穿戴设备、汽车和物联网(IoT)设备)以经由通过使用安全信息的控制模块来提供安全服务(例如，移动通信网络接入、支付或用户验证)。

SE可以被划分为例如通用集成电路卡(UICC)、嵌入式安全元件(eSE)和其中UICC与eSE集成的智能安全平台(SSP)，以及基于用于到电子设备的连接或电子设备中的安装的方法、被细分为可移除SE、嵌入式SE和集成到特定设备或片上系统(SoC)中的集成SE。

UICC是例如插入到移动通信设备中的智能卡，并且也被称为UICC卡。UICC可以包括用于接入移动运营商的网络的接入控制模块。接入控制模块的示例包括通用订户身份模块(USIM)、订户身份模块(SIM)和互联网协议(IP)多媒体服务身份模块(ISIM)。包括USIM的UICC一般被称为USIM卡。同样地，包括SIM模块的UICC一般被称为SIM卡。SIM模块可以在制造UICC时安装，或者用户可以在期望的时间在UICC卡中下载期望的移动通信服务的SIM模块。多个SIM模块可以下载和安装在UICC卡中，并且可以选择和使用至少一个SIM模块。UICC卡可以嵌入或不嵌入到用户设备中。嵌入到用户设备中的UICC称为嵌入式UICC(eUICC)，并且具体地，集成到SoC中的UICC被称为集成UICC(iUICC)，该SoC包括用户设备的通信处理器或应用处理器，或者其中集成两个处理器的单处理器结构。通常，eUICC或iUICC可以指代嵌入到用户设备中的并且能够远程地下载和选择SIM模块的UICC卡。当在本文中使用时，能够远程地下载和选择SIM模块的UICC卡被称为eUICC或iUICC。即，能够远程地下载和选择SIM模块的、并且嵌入或不嵌入到用户设备中的UICC卡被称为eUICC或iUICC。下载的SIM模块信息被称为eUICC或iUICC配置文件，或者更简单地被称为配置文件。

eSE指代嵌入到电子设备中的嵌入式SE。通常，eSE可以基于用户设备制造商的要求而针对该用户设备制造商被专门地生产，并且包括操作系统和框架。eSE可以在其中远程地下载和安装小程序类型服务控制模块，并且被用于各种安全服务，例如电子钱包、票务、电子护照以及数字密钥等。当在本文中使用时，附接到电子设备以在其中远程地下载和安装服务控制模块的单芯片SE被被称为eSE。

SSP可以在单个芯片中集成地支持UICC和eSE功能，并且被划分为可移除SSP(rSSP)、嵌入式SSP(eSSP)和集成在SoC中的集成SSP(iSSP)。SSP可以包括一个一级平台(PP)以及在PP上进行操作的一个或多个次级平台绑定(SPB)，以及PP可以包括硬件平台或低级操作系统(LLOS)中的至少一个并且每个SPB可以包括高级操作系统(HLOS)或在HLOS上驱动的应用中的至少一个。SPB可以被简称为绑定。绑定可以经由PP提供的一级平台接口(PPI)接入PP的资源，例如中央处理单元(CPU)或存储器，并且因此，在PP上被驱动。绑定可以包括通信应用，诸如SIM、USIM或ISIM，还可以包括各种应用，诸如电子钱包、票务、电子护照和数字密钥。当在本文中使用时，SSP也可以被称为智能安全介质。

SSP可以基于远程地下载和安装的绑定而用作上述UICC或eSE，或者通过在单个SSP中安装和同时地操作多个绑定来包括UICC和eSE功能。即，当包括配置文件的绑定进行操作时，SSP可以用作UICC来接入移动运营商的网络。这样的UICC绑定可以通过远程地下载和选择至少一个配置文件(如eUICC或iUICC)来进行操作。当包括下述服务控制模块的绑定在SSP上进行操作时，SSP可以用作eSE，该服务控制模块能够提供诸如电子钱包、票务、电子护照或数字密钥的服务的应用。多个服务控制模块可以集成地安装并且操作在一个绑定中，或者可以安装并且操作在独立的绑定中。

当在本文中所使用时，SSP是芯片类型的安全模块，其能够在单个芯片中集成地支持UICC和eSE功能，并且可划分为集成在SoC中的rSSP、eSSP和iSSP。SSP可以通过使用空中下载(OTA)技术从外部绑定管理服务器(例如，SPB管理器(SPBM))下载和安装绑定。

通过使用OTA技术在SSP中下载并且安装绑定的方法可以同样地应用于可附接到设备并且从设备可解附的rSSP、安装在用户设备中的eSSP以及安装在设备中的SoC中所包括的iSSP。

当在本文中使用时，术语“UICC”可以与术语“SIM”可互换地使用，并且术语“eUICC”可以与术语“eSIM”可互换地使用。

当在本文中使用时，SPB可以是通过使用PP的资源在SSP的PP上驱动的绑定，并且例如UICC绑定可以指代通常在UICC中所存储的应用的软件类型包、文件系统、验证密钥值等以及用于操作该值的HLOS。

当在本文中使用时，USIM配置文件可以指代配置文件、或者配置文件中的USIM应用所中包括的软件类型包的信息。

当在本文中使用时，由用户设备或外部服务器启用绑定的操作可以指代以设备可以接收由绑定提供的服务(例如，经由移动运营商的通信服务、信用卡支付服务或用户验证服务)的方式来将相对应的配置文件改变为启用状态的操作。当被启用时，绑定可以表达为“启用的绑定”。启用的绑定可以加密并且存储在SSP或外部存储空间中。

启用的绑定可以基于来自绑定外部的输入(例如，用户输入、推送、用户设备中的应用的请求、移动运营商的验证请求或PP管理消息)或绑定中的操作(例如，计时器或轮询)而改变为活动的状态。活动的绑定可以意味着：将绑定从SSP内部或者从外部存储空间加载到SSP中的驱动存储器中，使用SSP中的安全CPU处理安全信息，以及向用户设备提供安全服务。

当在本文中使用时，由用户设备或外部服务器禁用绑定的操作可以指代以设备不可以接收由绑定提供的服务的方式将绑定改变为禁用状态的操作。当被禁用时，相对应的配置文件可以表达为“禁用的绑定”。启用的绑定可以加密并存储在SSP或外部存储空间中。

当在本文中使用时，由用户设备或外部服务器删除绑定的操作可以指代以将设备或外部服务器不再可以启用或禁用绑定的方式将绑定改变为删除状态的操作。当被删除时，绑定可以被表达为“删除的绑定”。

当在本文中使用时，绑定管理服务器可以具有下述功能：基于服务提供方或另外的绑定管理服务器的请求来生成绑定、加密生成的绑定、生成绑定远程管理命令或加密生成的绑定远程管理命令。提供上述功能的绑定管理服务器可以表达为下述中的至少一个：SPB管理器(SPBM)、远程绑定管理器(RBM)、图像递送服务器(IDS)、订阅管理器数据准备(SM-DP)、SM-DP升级(plus)(SM-DP+)、管理器绑定服务器、管理SM-DP+、绑定加密服务器、绑定生成服务器、绑定供应商(BP)、绑定供应商或绑定供应凭证(BPC)持有方。

当在本文中使用时，绑定管理服务器可以用作下载、安装或更新SSP中的绑定，并且管理用于远程地管理绑定的状态的密钥和证书。提供上述功能的绑定管理服务器可以表达为下述中的至少一个：SPBM、RBM、IDS、订阅管理器安全路由(SM-SR)、SM-SR升级(SM-SR+)、eUICC配置文件管理器的卡外实体、配置文件管理凭证(PMC)持有方或者eUICC管理器(EM)。

当在本文中使用时，中介服务器可以被表达为下述中的至少一个：SPBM、RBM、SPB发现服务器(SPBDS)、绑定发现服务器(BDS)、订阅管理器发现服务(SM-DS)、发现服务(DS)、根SM-DS或替代的SM-DS。中介服务器可以从一个或多个绑定管理服务器或中介服务器接收事件注册请求。一个或多个中介服务器可以组合使用，在这种情况下，第一中介服务器不仅可以从绑定管理服务器而且还可以从第二中介服务器接收事件注册请求。中介服务器的功能可以与绑定管理服务器的功能集成。

当在本文中使用时，绑定管理服务器可以被统称为下述功能：生成、加密和传送绑定或绑定远程管理命令的功能，以及配置SSP和管理安装的绑定的功能。绑定管理服务器还可以用作中介服务器。因此，在以下描述的本公开的各种实施例中，绑定管理服务器和中介服务器的操作可以由一个绑定管理服务器来执行。替选地，功能可以由多个单独的绑定管理服务器来执行。在下面的描述中，绑定管理服务器或中介服务器可以表达为绑定服务器。绑定服务器可以是绑定管理服务器和中介服务器中的一个，或者包括绑定管理服务器和中介服务器两者。

当在本文中使用时，绑定管理服务器和中介服务器可以被称为SPBM或RBM。绑定服务器也可以称为绑定管理服务器。

当在本文中使用时，术语“用户设备”可以指代移动台(MS)、用户设备(UE)、用户终端(UT)、无线终端、接入终端(AT)、终端、订户单元、订户站(SS)、无线设备、无线通信设备、无线传送/接收单元(WTRU)、移动节点或移动设备，并且该设备也可以被称为其他名称。用户设备的各种示例包括蜂窝电话、具有无线通信功能的智能电话、具有无线通信功能的个人数字助理(PDA)、无线调制解调器、具有无线通信功能的便携式计算机、具有无线通信功能的摄影设备(例如数码相机)、具有无线通信功能的游戏设备、具有无线通信功能的音乐可录制和可再现家电、能够进行无线互联网接入和浏览的互联网家电，以及具有上述设备的功能组合的便携式单元或设备。用户设备可以包括机器到机器(M2M)设备或机器类型通信(MTC)设备，但不限于此。当在本文中使用时，用户设备也可以被称为电子设备。

能够下载和安装绑定的SSP可以集成到电子设备中。当SSP未集成到电子设备中时，可以将与电子设备物理地分离的SSP插入并且连接到电子设备。例如，SSP可以以卡的形式插入到电子设备中。例如，电子设备可以包括用户设备，并且在这种情况下，用户设备可以是包括能够下载和安装绑定的SSP的设备。SSP可以集成到用户设备中，但是当SSP与用户设备分离时，SSP可以插入并且连接到用户设备。

用户设备或电子设备可以包括安装在用户设备或电子设备中以控制SSP的软件或应用。软件或应用也可以被称为例如本地绑定助手(LBA)或本地绑定管理器(LBM)。

当在本文中使用时，绑定标识符可以包括绑定ID(或SPB ID)、绑定族ID(或SPB族ID)、绑定匹配ID或事件ID。绑定ID(或SPB ID)可以指代每个绑定的唯一标识符。绑定族ID可以指代用于标识绑定(例如，用于接入移动运营商网络的电信绑定)的类型的标识符。绑定标识符可以被绑定管理服务器用作绑定索引值。当在本文中使用时，SSP ID可以是集成到用户设备的SSP的唯一标识符，并且也可以被称为SSPID。如在本公开的实施例中那样地，当SSP芯片与用户设备不分离时，SSP ID可以作为用户设备ID。SSP ID可以指代SSP中的特定绑定ID(或SPB ID)。更详细地，SSP ID可以指代用于安装和管理SSP中另外的绑定的启用、禁用和删除的管理绑定或加载器(或SPB加载器(SPBL))的绑定ID。SSP可以具有多个SSPID，并且多个SSP ID可以从单个唯一SSP ID导出的值。

当在本文中使用时，加载器(或SPBL)可以指代用于安装和管理SSP中另一个绑定的启用、禁用和删除的管理绑定。用户设备或远程服务器的LBA可以经由加载器来安装、启用、禁用或删除特定绑定。加载器也可以被称为SSP。加载器也可以被称为LBA。

当在本文中使用时，绑定供应凭证(BPC)可以是用于下述的手段：用于绑定管理服务器和SSP之间的相互验证、绑定加密和签名。BPC可以包括下述中的至少一个：对称密钥、Rivest-Shamir-Adleman(RSA)证书和私钥、椭圆曲线密码(ECC)证书和私钥或者根证书颁发机构(CA)和证书链。当存在多个配置文件管理服务器时，多个配置文件管理服务器的不同BPC可以存储在SSP中或被使用。

当在本文中使用时，配置文件管理凭证(PMC)可以是用于下述的手段：用于配置文件管理服务器和eUICC之间的相互验证、传送数据加密和签名。PMC可以包括下述中的至少一个：对称密钥、RSA证书和私钥、ECC证书和私钥或根CA和证书链。当存在多个配置文件管理服务器时，多个配置文件管理服务器的不同PMC可以存储在eUICC中或被使用。

当在本文中使用时，事件可以是指示下述的统称术语：绑定下载、远程绑定管理和另外的绑定或SSP管理/处理命令。该事件也可以被称为远程绑定供应(RBP)操作或事件记录，并且每个事件可以由下述指示：事件ID(或EventID)、匹配ID(或MatchingID)或者包括具有存储在其中的事件的绑定管理服务器或中介服务器的地址(例如，完全限定域名(FQDN)、IP地址或统一资源定位符(URL))或每个服务器的ID中的至少一个。绑定下载可以与绑定安装可互换地使用。事件类型可以用作指示特定事件是否对应于绑定下载、远程绑定管理(例如，删除、启用、禁用、替换或更新)或者另外的绑定或SSP管理/处理命令的术语，并且还可被称为例如操作类型(或OperationType)、操作类(或OperationClass)、事件请求类型、事件类或事件请求类。

当在本文中使用时，绑定镜像(或镜像)可以与绑定可互换地使用或用作指示特定绑定的数据对象的术语，并且还可以被称为绑定标记长度值(TLV)或绑定镜像TLV。当使用加密参数对绑定镜像进行加密时，绑定镜像可以被称为受保护的绑定镜像(PBI)或PBITLV。当使用只能由特定SSP解密的加密参数对绑定镜像进行加密时，绑定镜像可以称为约束(bound)绑定镜像(BBI)或BBI TLV。绑定镜像TLV可以是用于以标签长度值(TLV)格式来表达配置文件信息的数据集。

当在本文中时使用时，本地绑定管理(LBM)也可以被称为绑定本地管理、本地管理、本地管理命令、本地命令、LBM包、绑定本地管理包、本地管理包、本地管理命令包或者本地命令包。LBM可以用于经由例如在用户设备中安装的软件来安装任意绑定，改变特定绑定的状态(例如，启用、禁用或删除)或更新特定绑定的内容(例如，绑定昵称或绑定元数据)。LBM可以包括一个或多个本地管理命令，并且在这种情况下，本地管理命令可以指向相同或不同的绑定。

当在本文中使用时，远程绑定管理(RBM)也可以被称为绑定远程管理、远程管理、远程管理命令、远程命令、RBM包、绑定远程管理包、远程管理包、远程管理命令包或远程命令包。RBM可以用于安装任意绑定，改变特定绑定的状态(例如，启用、禁用或删除)，或更新特定绑定的内容(例如，绑定昵称或绑定元数据)。RBM可以包括一个或多个远程管理命令，并且远程管理命令可以指向相同或不同的绑定。

当在本文中使用时，目标绑定可以用作指示本地或远程管理命令所指向的绑定的术语。

当在本文中使用时，绑定规则可以用作指示需要由用户设备检查以本地或远程地管理目标绑定的信息的术语。绑定规则可以与诸如绑定策略、规则或策略的术语可互换地使用。

当在本文中使用时，订户可以用作指示拥有用户设备的服务提供方或者拥有用户设备的终端用户的术语。一般地，前者可以被称为M2M设备，而后者可以被称为消费设备。M2M设备可以指代不由终端用户拥有，而是由终端用户从服务提供方处租赁(rent)或租用(lease)的用户设备，在这种情况下，终端用户可以与服务提供方不同或相同。

当在本文中使用时，订户意图可以用作共同地指示订户对于本地地和远程地管理绑定的意图的术语。对于本地管理，订户意图可以被用作指示终端用户意图的术语；而对于远程管理，订户意图可以被作指示服务提供方意图的术语。

当在本文中使用时，终端用户同意可以用作指示终端用户是接受本地管理还是远程管理的术语。

当在本文中使用时，证书或数字证书可以指代用于基于包括一对公钥(PK)和秘钥(SK)的非对称密钥的相互验证的数字证书。每个证书可以包括一个或多个PK、与每个PK相对应的PK标识符(PKID)以及颁发该证书的证书颁发方(CI)的ID和数字签名。CI也可以被称为证书颁发方、证书颁发机构(CA)或证明(certification)颁发机构。当在本文中使用时，PK和PKID可以与下述可互换地使用：特定PK或包括该PK的证书、特定PK的一部分或包括该PK的证书的一部分、特定PK的运算结果值(例如，哈希值)或包括该PK的证书的运算结果值(例如，哈希值)、特定PK的一部分的运算结果值(例如，哈希值)或包括该PK的证书的一部分的运算结果值(例如，哈希值)或者其中存储有数据的存储空间。

当一个CI颁发的证书(一级证书)被用于颁发其他证书(二级证书)，或二级证书被用于按层级地颁发三级或更多级证书时，证书之间的相关性可以被称为证书链或证书层级，并且在这种情况下，最初被用于颁发证书的CI证书可以被称为例如证书根、根证书、根CI、根CI证书、根CA或根CA证书。

当在本文中使用时，服务提供方可以指代用于请求绑定管理服务器以生成绑定并且经由该绑定向用户设备提供服务的公司。例如，服务提供方可以指代经由包括通信应用的绑定来提供网络接入服务的移动运营商，并且共同地指示商业支持系统(BSS)、运营支持系统(OSS)、销售点(POS)终端和移动运营商的其他信息技术(IT)系统。服务提供方不限于代表一个特定的公司，并且可以用作指示一个或多个公司的协会或财团或者该协会或财团的代表的术语。服务提供方也可以被称为例如运营商(或OP或Op.)、绑定拥有者(BO)或镜像拥有者(IO)，并且每个服务提供方可以配置或接收至少一个名称和/或对象标识符(OID)的分配。当服务提供方指示一个或多个公司的协会、财团或代表时，任意协会、财团或代表的名称或OID可能是属于该协会或财团的所有公司或者与该代表合作的所有公司共享的名称或OID。

当在本文中使用时，验证和密钥协商(AKA)可以指代用于接入3GPP和3GPP2网络的验证算法。

当在本文中使用时，K(或值K)可以是存储在用于AKA验证算法的eUICC中的加密密钥值。

当在本文中使用时，OPc可以是存储在用于AKA验证算法的eUICC中的参数值。

当在本文中使用时，网络接入应用(NAA)可以是存储在UICC中以接入网络的应用程序，例如USIM或ISIM。NAA也可以是网络接入模块。

当在本文中使用时，电信绑定可以是包括至少一个NAA或者具有远程地下载和安装至少一个NAA的功能的绑定。电信绑定可以包括指示电信绑定的电信绑定ID。

在本公开的以下描述中，当其可能使本公开的主题不清楚时，将省略对并入本文的已知功能和配置的详细描述。

现在将描述根据本公开的各种实施例的用于经由远程服务器在线安装和管理绑定的方法和装置。

根据本公开的实施例，一种装置和方法，其能够经由通过使用在安全模块中所存储的安全信息的控制模块，来在电子设备中所安装的安全模块中远程地安装控制模块并且提供安全服务(例如，移动通信网络接入、支付、用户验证或数字密钥)。

图1是示出根据本公开的实施例的使用其中安装有包括配置文件的电信绑定的SSP 120的用户设备的移动通信网络连接方法以及各种类型的绑定的操作的示意图。

如图1所示，SSP 120可以被集成到用户设备110的SoC 130中。在这种情况下，SoC130可以是通信处理器、应用处理器或者其中集成两个处理器的处理器。SSP 120可由作为未集成到SoC 130中的独立芯片而提供的rSSP122或先前嵌入到用户设备110中的eSSP 124代替。

包括配置文件的绑定意味着其包括可用于接入特定移动运营商的“接入信息”。例如，接入信息可以包括订户标识符，诸如国际移动订户标识(IMSI)，以及针对网络验证而与用户标识符一起所需要的值K或Ki。

用户设备110可以通过使用在SSP 120中所安装的电信绑定140和150中的至少一个来与移动运营商的验证系统(例如，归属位置寄存器(HLR))或验证中心(AuC)来执行验证。例如，验证处理可以是AKA处理。当成功地验证时，用户设备110可以通过使用移动通信系统的移动运营商网络160来使用移动通信服务，例如电话呼叫或使用移动数据。电信绑定140和150可以存储不同的验证信息，并且用户设备110可以通过基于配置同时地或以时分方式操作两个绑定来使用移动通信网络。

用户设备110可以通过使用在SSP 120中所安装的支付绑定170、经由用户设备110的应用来使用在线支付服务，或者经由外部信用卡POS设备来使用离线支付服务；并且使用验证服务通过使用e-ID绑定180来验证用户设备110的拥有者的身份。

图2是图示根据本公开的实施例的SSP 210的内部结构的概念图。SSP210可以对应于图1的SSP 120，在此将不提供其间重复的描述。

参考图2，SSP 210可以包括一个PP 220和在PP 220上进行操作的一个或多个SPB230和240。PP 220可以包括硬件(未示出)和至少一个LLOS 222。SPB 230可以包括HLOS 232和在HLOS 232上进行操作的一个或多个应用234。SPB 230和240中的每个可以通过使用PPI250来接入PP 220的资源，例如CPU或存储器，并且因此在SSP 210中被驱动。

图3是示出根据本公开的实施例的、由CI颁发的证书的证书层级(或证书链)的示例以及在每个证书中所包括的PK和CI数字签名的示例的示意图。

参考图3，CI可以生成要由CI使用的CI PK 313和CI SK，生成包括CI PK 313的CI证书311，以及将使用CI SK生成的数字签名(即，CI签名315)附接到CI证书311。

参考图3，CI证书311可以被用于颁发(参见附图标记391)对象1(object1)证书331。Object1可以是例如SPBM。Object 1可以生成要由object1使用的object1 PK 333和object1 SK，生成包括object1 PK 333的object1证书331，并且通过使用CI SK从CI请求和接收CI数字签名335。在这种情况下，object1证书331可以包括与需要被用来验证object1证书331中所包括的CI签名335的CI PK 313相对应的CI标识符337。CI标识符337可以包括CI PKID、CI ID、CI对象ID或对象通用唯一标识符(UUID)中的至少一个。

参考图3，CI证书311可以被用于颁发(参见附图标记393)对象2(object2)证书351。例如，Object2可以是SSP制造商。Object2可以生成要由object2使用的object2 PK353和object2 SK，生成包括object2 PK 353的object2证书351，并且通过使用CI SK从CI请求和接收CI数字签名355。在这种情况下，object2证书351可以包括与需要被用来验证object2证书351中所包括的CI签名355的CI PK 313相对应的CI标识符337。CI标识符337可以包括CI PKID、CI ID、CI对象ID或对象UUID中的至少一个。在object2证书331和object2证书351中所包括的CI签名335和355可以具有不同的值，但是CI PKID 337具有相同的值。

参考图3，object2证书351被可用来颁发(参见附图标记395)对象3(object3)证书371。Object3可以是例如由SSP制造商生产的SSP，或者在SSP中所包括的SPBL。Object3可以生成object3 PK 373和object3 SK以供object3使用，生成包括object3 PK 373的object3证书371，并且通过使用object2 SK(即CI SK)来从object2请求和接收object3数字签名375。在这种情况下，object3证书371可以包括与需要被用来验证在object3证书371中所包括的object3签名375的object2 PK 353相对应的颁发方标识符377。颁发方标识符377可以包括颁发方PKID、对象ID或对象UUID中的至少一个。

图3中所示的object1证书331、object2证书351和object3证书371。可以具有与根证书或证书根相同的CI证书311。因此，对于相互验证，object1、object2和object3可能需要包括在其中的CI证书311或CI PK 313。更具体地，在图3的示例中，针对使用数字证书和签名进行的object1和object2之间的相互验证，object1可能需要object2的签名355、object2证书351和CI PK 313，而object2可能需要object1的签名335、object1证书331和CI PK 313。在图3的示例中，针对使用数字证书和签名进行的object1和object3之间的相互验证，object1可能需要object3的签名375、object3证书371、object2证书351和CI PK313，而object3可能需要object1的签名335、object1证书331和CI PK 313。在这种情况下，关于object3证书371，object2证书351可以被称为子CI或子CA证书。

图4是示出根据本公开的实施例的用于在SSP 430中下载和安装绑定的用户设备410的内部和外部的元件的示例的示意图。

在图4中，用户设备410可以是包括SSP 430并且其中安装有LBA 412以控制SSP430的设备。SSP 430可以集成到用户设备410中或从用户设备410移除。SSP 430可以包括PP431、SPBL 433以及一个或多个SPB 435、437和439。SPB 435、437和439在用户设备410发布时可能尚未安装在SSP 430中，但可以在发布后远程地下载和安装。

参考图4，SPB 435、437和439可以具有不同的绑定族ID 441和442。SSP 430或SPBL433可以生成和管理要被用来下载和安装针对其分配了不同绑定族ID 441和442的SPB435、437和439的证书信息。在这种情况下，基于绑定族ID 441和442单独地管理的证书信息可以存在于由不同CI颁发的证书的证书层级上。当从绑定管理服务器451或453下载和安装绑定时，SSP 430或SPBL 433可以选择针对分配给绑定的绑定族ID 441或442所配置的证书信息，并且将该信息传送到绑定管理服务器451或453。证书信息471、473可以是证书或证书层级中的CI的PK，并且可以是与证书和PK相对应的标识符(例如，CI ID，CI对象ID，对象UUID或CI PKID)。绑定管理服务器451可以从服务提供方461接收绑定。绑定管理服务器453可以从服务提供方463接收绑定。

图5是示出根据本公开的实施例的订户530经由服务提供方540订阅服务并且在绑定管理服务器550中准备绑定的一般过程的示例的示意图。

在图5中，用户设备500可以是包括SSP 510并且具有安装在其中以控制SSP 510的LBA 520的设备。尽管在图5中未示出，但是服务提供方540请求的绑定可能已经由绑定管理服务器550生成并且存储在绑定管理服务器550中，以及服务提供方540可以具有下述中的至少一个：生成的绑定的绑定ID(或SPB ID)、生成的绑定的绑定族ID(或SPB族ID)或绑定管理服务器550的地址(或SPBM地址)。

参考图5，在操作5001中，订户530可以选择并且订阅由服务提供方540提供的服务(例如，通过移动通信网络的数据服务)。在这种情况下，为了使用由服务提供方540提供的服务，订户530可以可选地将其中要安装绑定的用户设备500的SSP 510的SSP ID传送到服务提供方540。在操作5003中，服务提供方540和绑定管理服务器550可以执行绑定下载准备过程。在操作5003中，服务提供方540可以可选地向绑定管理服务器550传送绑定其中要安装绑定的SSP 510的SSP ID，并且向绑定管理服务器550传送以下中的至少一个：能够提供由订户530从在绑定管理服务器550中所准备的绑定当中选择的服务的特定绑定的绑定ID(或SPB ID)或绑定族ID(或SPB族ID)。在操作5003中，绑定管理服务器550可以选择具有接收到的绑定ID的绑定或具有接收到的绑定族ID的绑定中的一个，并且将所选择的绑定的标识符传送到服务提供方540。服务提供方540或绑定管理服务器550可以新生成能够标识所选择的绑定的绑定匹配ID。绑定管理服务器550可以连接和管理接收到的SSP ID和选择的绑定。在操作5003中，绑定管理服务器550可以传送可以从中下载所选择的绑定的SPBM地址，在这种情况下，SPBM地址可以是绑定管理服务器550或其中存储所准备的绑定的另外的绑定管理服务器的地址，或者能够存储和获得准备的绑定的下载信息(例如，服务器地址)的另外的绑定管理服务器的地址。

参考图5，在操作5005中，服务提供方540可以向订户530传送准备的绑定下载信息。绑定下载信息可以可选地传送准备的绑定的SPBM地址、准备的绑定的绑定匹配ID或准备的绑定的绑定族ID(或SPB族ID)中的至少一个。

参考图5，在操作5006中，绑定下载信息可以被传送到LBA 520。绑定下载信息可以是以下中的至少一个：LBA 520要接入的SPBM地址、在操作5003中准备的绑定的绑定标识符或者准备的绑定的绑定族ID(或SPB族ID)。绑定标识符可以包括在操作5003中生成的绑定匹配ID或绑定事件ID中的至少一个。绑定标识符可以包括准备的绑定的绑定族ID。绑定事件ID可以包括在操作5003中准备的绑定的绑定匹配ID或SPBM地址中的至少一个。绑定下载信息可以由订户530(例如，作为扫描的QR码或直接文本输入)输入到LBA 520。绑定下载信息可以由订户530或服务提供方540经由信息提供服务器(未示出)、通过使用推送输入而输入到LBA 520。LBA 520可以通过接入先前针对用户设备500配置的信息提供服务器(未示出)来接收绑定下载信息。

图6是示出根据本公开的实施例的用户设备600的配置以及服务提供方630、绑定管理服务器640和终端用户650之间的合作方法的示例的示意图。

参考图6，用户设备600可以包括至少一个LBA 610和至少一个SSP 620。

如在操作6001和6003中那样，终端用户650可以经由用户设备600中的LBA 610对SSP 620给出命令。替选地，LBA 610可以基于操作6003直接地对SSP 620给出命令而无需终端用户650的输入。当在本文中使用时，由终端用户650或用户设备600进行的上述绑定管理操作6001或6003可以被称为本地管理。

在操作6005中，服务提供方630可以请求绑定管理服务器640远程地管理绑定。在操作6007中，绑定管理服务器640可以经由LBA 610对SSP 620给出远程管理命令。当在本文中使用时，由服务提供方630进行的上述绑定管理操作6005或6007可以被称为远程管理。

在操作6009中，SSP 620可以检查绑定策略以处理接收到的本地或远程管理命令。LBA 610或绑定管理服务器640也可以检查绑定策略。下面将详细地描述检查绑定策略的方法。

图7是示出根据本公开的实施例的用户设备700定本地管理的一般过程的示例的示意图。

在图7中，在此将不再重复以上关于图1至图6提供的用户设备700、LBA 710、SSP720、服务提供方730、绑定管理服务器740和终端用户750的描述。

参考图7，在操作7001中，终端用户750可以向LBA 710表达对于开始特定本地管理的终端用户意图。操作7001可以使用被用于终端用户和用户设备之间的交互的通用用户界面。例如，终端用户750可以向LBA 710输入特定数据(例如，扫描的QR码)或选择LBA 710的特定菜单。当用户设备700基于绑定策略执行不需要终端用户意图的本地管理操作时，可以省略操作7001。

在操作7003中，LBA 710可以将本地管理请求传送到SSP 720。当执行基于绑定策略需要终端用户意图的本地管理操作时，操作7003可以反映操作7001的终端用户意图。当执行基于绑定策略不需要终端用户意图的本地管理操作时，LBA 710可以直接地执行操作7003而不执行操作7001。

在操作7005中，SSP 720可以检查目标绑定的绑定策略以执行本地管理。在操作7005中，LBA 710和/或绑定管理服务器740也可以检查绑定策略。例如，对于安装绑定的本地管理操作，SSP 720可以经由LBA 710从绑定管理服务器740接收绑定元数据和/或要安装的绑定的绑定策略的一部分。作为另一示例，除了在SSP 720中所存储的绑定策略之外，SSP720还可以从LBA710接收全部或部分绑定策略。下面将详细地描述SSP 720进行的检查绑定策略的操作。当LBA 710在没有终端用户意图的情况下自主地执行本地管理时，并且当检查绑定策略的结果指示本地管理需要终端用户意图时，SSP 720可以通过执行操作7015来终止本地管理。当基于绑定策略对不允许本地管理的绑定执行本地管理时，SSP 720可以通过执行操作7015来终止本地管理。

当检查绑定策略的结果指示针对本地管理还需要终端用户意图确认时，在操作7007中，SSP 720可以向LBA 710传送终端用户意图确认请求。在操作7009中，LBA 710可以检查终端用户750的终端用户意图确认。可以通过下述来执行操作7009，例如，通过输出用于简单地选择“是/否”的屏幕、通过接收由终端用户750或服务提供方730预设的个人识别号(PIN)(或PIN码)、通过接收终端用户750的生物特征信息(例如，指纹或虹膜信息)、或通过使用由用户设备700提供的各种其他手段。可以在绑定策略中配置用于在操作7009中检查终端用户意图确认的手段。在操作7011中，LBA 710可以将检查终端用户意图确认(例如，接受或拒绝)的结果传送到SSP 720。当基于绑定策略对于本地管理不需要终端用户意图确认时，可以省略操作7007至7011。当检查终端用户意图确认的结果指示终端用户750拒绝本地管理或在一定时间内没有进行响应时，SSP 720可以通过执行操作7015来终止本地管理。当不需要终端用户意图确认或者终端用户意图确认的检查结果指示终端用户750接受本地管理时，SSP 720可以执行操作7013。

在操作7013中，SSP 720可以执行本地管理。操作7013也可以由LBA 710和/或绑定管理服务器740来执行。例如，对于用于安装绑定的本地管理操作，SSP 720可以经由LBA710从绑定管理服务器740接收和安装绑定。

在操作7015中，SSP 720可以将执行本地管理的结果(例如，成功或失败)通知给LBA 710。

在操作7017中，LBA 710可以将执行本地管理的结果(例如，成功或失败)通知终端用户750。当不需要将执行本地管理的结果通知给终端用户750时，可以省略操作7017。

参见图7，当执行绑定本地管理时，用户设备700可以基于绑定策略确定是否需要终端用户意图和终端用户意图确认，并且基于确定结果接受/执行或拒绝本地管理命令。

图8是示出根据本公开的实施例的用户设备800执行绑定远程管理的一般过程的示例的示意图。

在图8中，在此将不再重复以上关于图1至图6提供的用户设备800、LBA 810、SSP820、服务提供方830、绑定管理服务器840和终端用户850的描述。

参考图8，在操作8001中，服务提供方830可以向绑定管理服务器840传送绑定远程管理请求。

在操作8003中，绑定管理服务器840可以经由LBA 810向SSP 820传送特定绑定远程管理请求。绑定远程管理请求可以进一步包括绑定远程管理命令和执行绑定远程管理所需要的全部或部分信息(例如，要远程地管理的目标绑定的ID或族ID，以及远程管理命令类型，诸如启用/禁用/删除)。可以在操作8003或操作8015中传送绑定远程管理命令和执行绑定远程管理所需要的全部或部分信息。

在操作8005中，SSP 820可以检查目标绑定的绑定策略以执行远程管理。在操作8005中，LBA 810和/或绑定管理服务器840也可以检查绑定策略。例如，对于安装绑定的远程管理操作，SSP 820可以经由LBA 810从绑定管理服务器840接收绑定元数据和/或要安装的绑定的绑定策略的一部分。作为另一示例，除了在SSP 820中所存储的绑定策略之外，SSP820还可以从LBA810或绑定管理服务器840接收全部或部分绑定策略。下面将详细地描述SSP820进行的检查绑定策略的操作。当基于绑定策略对不允许远程管理的绑定执行远程管理时，SSP 820可以通过执行操作8017来终止远程管理。

当检查绑定策略的结果指示针对远程管理需要订户意图验证时，在操作8007中，SSP 820可以验证订户意图。操作8007也可以由用户设备800、服务提供方830和/或绑定管理服务器840来执行。可以通过下述执行操作8007，例如，通过针对任意数据(例如，操作8001的远程管理请求消息或由绑定管理服务器840或SSP 820生成的任意字符串)验证服务提供方830的数字签名和证书，通过验证先前从服务提供方830提供给在绑定管理服务器840、LBA 810、SSP 820和/或用户设备800中安装的绑定的凭证密钥，或通过使用由用户设备800、绑定管理服务器840和服务提供方830提供的各种其他手段。在操作8007中用于验证订户意图的手段可以配置在绑定策略中；或者当未配置在绑定策略中时，可以使用由用户设备800、绑定管理服务器840或服务提供方830接受/选择的任意手段。当检查绑定策略的结果指示针对远程管理不需要订户意图验证时，可以省略操作8007。当订户意图验证失败时，SSP 820可以通过执行操作8017来终止远程管理。当不需要订户意图验证或订户意图验证成功时，SSP 820可以执行操作8009。尽管在图8中操作8007在操作8009或8013之前执行，但是应当注意，基于实施方式，操作8007可以在操作8009或8013之后执行。操作8007可以与操作8003、8005或8015集成地执行。例如，当在操作8007中需要验证服务提供方830的数字签名以验证订户意图时，操作8007可以被下述代替：操作8005中的绑定策略检查，操作8003中的传送绑定远程管理请求，或操作8015中的由服务提供方830检查针对绑定远程管理命令生成的数字签名。

当检查绑定策略的结果指示针对远程管理还需要终端用户同意时，在操作8009中，SSP 820可以向LBA 810传送终端用户同意请求。在操作8011中，LBA 810可以检查终端用户850的终端用户同意。可以通过下述来执行操作8011，例如通过输出用于简单地选择“是/否”的屏幕、通过接收由终端用户850或服务提供方830预设的PIN(或PIN码)、通过接收终端用户850的生物特征信息(例如，指纹或虹膜信息)、或通过使用由用户设备800提供的各种其他手段。在操作8011中用于检查终端用户同意的手段可以配置在绑定策略中；或者当未配置在绑定策略中时，可以使用由用户设备800、绑定管理服务器840或服务提供方830接受/选择的任意手段。在操作8013中，LBA 810可以向SSP 820传送检查终端用户同意的结果(例如，接受或拒绝)。当基于绑定策略针对远程管理不需要终端用户同意时，可以省略操作8009至8013。当检查终端用户同意的结果指示终端用户850拒绝远程管理或在一定时间内没有进行响应时，SSP 820可以通过执行操作8017来终止远程管理。当不需要终端用户同意或者检查终端用户同意的结果指示终端用户850接受远程管理时，SSP 820可以执行操作8015。

在操作8015中，SSP 820可以执行远程管理。操作8015也可以由LBA 810和/或绑定管理服务器840执行。例如，对于用于安装绑定的远程管理操作，SSP 820可以经由LBA 810从绑定管理服务器840接收和安装绑定。

在操作8017中，SSP 820可以将执行远程管理的结果(例如，成功或失败)通知给LBA 810。

在操作8019中，LBA 810可以将执行远程管理的结果(例如，成功或失败)通知给终端用户850。当不需要将执行远程管理的结果通知给终端用户850时，可以省略操作8019。

在操作8021中，LBA 810可以将执行远程管理的结果(例如，成功或失败)通知给绑定管理服务器840。

在操作8023中，绑定管理服务器840可以将执行远程管理的结果(例如，成功或失败)通知给服务提供方830。

参考图8，当执行绑定远程管理时，用户设备800可以基于绑定策略确定是否需要订户意图验证和终端用户同意，并且基于确定结果接受/执行或拒绝远程管理命令。

图9是示出根据本公开的实施例的配置绑定策略910的示例的示意图。

参考图9，绑定策略910可以由一系列参数表示。尽管为了便于解释绑定策略910以图9中的表的形式表达，但是绑定策略910不限于该表并且可以被配置为参数列表。应当注意的是，为了便于解释，图9中所示的参数的值仅代表绑定策略的示例，并且可以针对不同的绑定而变化。

绑定策略910可以包括用于标识每个绑定的绑定标识符911。绑定标识符911可以是指示每个绑定的名称或绑定ID的字符串或数字串。尽管未在图9中示出，但是绑定标识符911还可以包括每个绑定的族ID(或FID)。

绑定策略910可以包括“对终端用户可见”指示符913，其指示是否允许向终端用户显示每个绑定。当允许向终端用户显示绑定时，LBA的屏幕(未示出)可以向终端用户显示绑定，并且“对终端用户可见”指示符913可以由字符串、数字串和/或指示“是”的布尔值代表。当不允许向终端用户显示绑定时，LBA的屏幕(未示出)可以不向终端用户显示绑定，并且“对终端用户可见”指示符913可以由字符串、数字串和/或指示“否”的布尔值代表。

绑定策略910可以包括“命令”类型915，其包括将由每个绑定接收的本地或远程管理命令的类型的列表。每个远程管理命令可以由指示命令的字符串或数字串代表。尽管本地或远程管理命令具有诸如图9中的“安装”、“启用”、“禁用”、“删除”和“更新”的五个类型，但是本地或远程管理命令的“命令”类型915不限于此并且可以扩展到各种其他绑定管理命令类型。尽管每个本地或远程管理命令在图9中单独地指定，但是一个或多个本地或远程管理命令可以被分并且被一起指定。例如，可以将命令分类为诸如“安装”和“等等(或其他)”的两个类型，以分别地表达与表达安装相对应的命令和其他命令，或者可以将所有命令分类为一个类型，诸如“所有”。

绑定策略910可以包括“本地管理”配置917，其基于命令类型915指示每个命令的详细本地管理配置。

更具体地，“本地管理”配置917还可以包括“允许”指示符917a，其指示是否允许每个本地管理命令。当允许绑定的本地管理命令时，“允许”指示符917a可以由字符串、数字串或指示“是”的布尔值来代表。当绑定的本地管理命令不被允许时，“允许”指示符917a可以由字符串、数字串或指示“否”的布尔值来代表。

“本地管理”配置917还可以包括“终端用户意图”指示符917b，其指示是否需要终端用户意图来执行每个本地管理命令。当需要由终端用户开始绑定的本地管理命令时，“终端用户意图”指示符917b可以由字符串、数字串和/或指示“需要”的布尔值来代表。当不需要由终端用户开始绑定的本地管理命令并且用户设备可以自主地开始时，“终端用户意图”指示符917b可以由字符串、数字串和/或指示“不需要”的布尔值来代表。当“允许”指示符917a指示不允许绑定的本地管理命令时，“终端用户意图”指示符917b可以由字符串、数字串或指示“不适用(N/A)”来代表。

“本地管理”配置917还可以包括“终端用户意图确认”指示符917c，其指示是否需要终端用户意图确认来执行每个本地管理命令。当需要终端用户意图确认来执行绑定的本地管理命令时，“终端用户意图确认”指示符917c可以由字符串、数字串和/或指示“需要”的布尔值来代表，并且还可以根据需要进一步配置用于终端用户意图确认的手段。例如，可以向终端用户输出用于选择“是/否”的屏幕(参见附图标记917c的“是或否”)，可以接收终端用户的生物特征信息(例如，指纹/虹膜信息)(参见附图标记917c的“指纹”)，可以接收由终端用户指定的PIN(参见附图标记917c的“PIN”)，或者可以使用各种其他检查手段。尽管终端用户意图确认被标示为“需要”，但是当用于终端用户意图确认的手段没有被指定或者用于终端用户意图确认的指定的手段对于用户设备不可用时，用户设备可以任意地可用的检查手段中的一个。当不需要终端用户意图确认来执行绑定的本地管理命令时，“终端用户意图确认”指示符917c可以由字符串、数字串和/或指示“不需要的”布尔值来代表。当“允许”指示符917a指示绑定的本地管理命令不被允许时，“终端用户意图确认”指示符917c可以由字符串、数字串或指示“N/A”的布尔值来代表。

绑定策略910可以包括“远程管理”配置919，其指示基于命令类型915的每个命令的详细远程管理配置。

更具体地，“远程管理”配置919可以进一步包括“允许”指示符919a，其指示每个远程管理命令是否被允许。当允许绑定的远程管理命令时，“允许”指示符919a可以由字符串、数字串或指示“是”的布尔值来代表。当不允许绑定的远程管理命令时，“允许”指示符919a可以由字符串、数字串或指示“否”的布尔值来代表。

“远程管理”配置919还可以包括“终端用户同意”指示符919b，其指示是否需要终端用户同意来执行每个远程管理命令。当绑定的远程管理命令需要终端用户同意时，“终端用户同意”指示符919b可以由字符串、数字串和/或指示“需要”的布尔值来代表，以及用于可以根据需要进一步配置用于终端用户同意的手段。例如，类似于“终端用户意图确认”指示符917c的示例，可以向终端用户输出用于选择“接受/拒绝”的屏幕(参见附图标记919b的“接受或拒绝”)、可以接收终端用户的生物特征信息(例如，指纹/虹膜信息)(参见附图标记919b的“指纹”)，可以接收由终端用户指定的PIN(参见附图标记919b的“PIN”)，或者可以使用各种其他检查手段。尽管终端用户同意被指示为“需要”，但是当用于终端用户同意的手段没有被指定或者用于终端用户同意的指定的手段对于用户设备不可用时，用户设备可以任意地选择可用的检查手段中的一个。当绑定的远程管理命令不需要终端用户同意时，“终端用户同意”指示符919b可以由字符串、数字串和/或指示“不需要”的布尔值来代表。当“允许”指示符919a指示不允许绑定的远程管理命令时，“终端用户同意”指示符919b可以由字符串、数字串或指示“N/A”的布尔值来代表。

“远程管理”配置919还可以包括“订户意图验证”指示符919c，其指示是否需要订户意图验证来执行每个远程管理命令。当需要订户意图验证来执行绑定的远程管理命令时，“订户意图验证”指示符919c可以由指示“需要”的字符串、数字串和/或布尔值来代表，以及可以根据需要进一步配置用于订户意图验证的手段。例如，可以检查诸如订户的凭证密钥的安全信息(参见附图标记919c的“凭证密钥”)，可以检查使用订户的数字证书的数字签名(参见附图标记919c的“签名令牌”)，或者可以使用各种其他验证手段。尽管订户意图验证被指示为“需要”，但是当用于订户意图验证的手段没有被指定或者用于订户意图验证的指定的手段对于用户设备和/绑定管理服务器不可用时，用户设备和/绑定管理服务器可以任意地选择可用的检查手段中的一个。当不需要订户意图验证来执行绑定的远程管理命令时，“订户意图验证”指示符919c可以由字符串、数字串和/或指示“不需要”的布尔值来代表。当“允许”指示符919a指示不允许绑定的远程管理命令时，“订户意图验证”指示符919c可以由字符串、数字串或指示“不适用(N/A)”的布尔值来代表。

图10是图示根据本公开的实施例的用户设备1020执行绑定本地管理的过程的示例的示意图。

参考图10，用户设备1020可以具有安装在其中的第一绑定1011。本公开的当前实施例假设第一绑定1011当前被禁用。第一绑定1011还可以包括绑定策略1010。绑定策略1010的全部或部分不仅可以被包括在绑定中，而且还可以被包括在用户设备1020、LBA(未示出)和/或绑定管理服务器(未示出)中。

因为第一绑定1011被配置为向终端用户显示(参见附图标记1013)，所以在操作1021中，第一绑定1011可以显示在用户设备1020的LBA配置屏幕1020a上。在操作1023中，终端用户可以尝试使用命令1015来本地地启用第一绑定1011。

因为第一绑定1011的本地管理配置1017不需要针对启用操作的终端用户意图确认，所以在操作1025中，第一绑定1011可以在用户设备1020的LBA配置屏幕1020b上显示为启用而不需要终端用户在操作1023之后的额外的输入。在操作1027中，终端用户可以尝试本地地禁用第一绑定1011。

因为第一绑定1011的本地管理配置1017不需要对于禁用操作的终端用户意图确认，所以在操作1029中，第一绑定1011可以在用户设备1020的LBA配置屏幕1020c上显示为被禁用而不需要终端用户在操作1025之后的额外的输入。在操作1031中，终端用户可以尝试在本地地删除第一绑定1011。

因为第一绑定1011的本地管理配置1017需要终端用户意图确认，诸如用于删除操作的PIN输入，所以在操作1033中，用户设备1020的LBA配置屏幕1020d可以请求终端用户输入PIN。在操作1035中，终端用户可以输入PIN。基于绑定策略1010的配置，在操作1035中请求终端用户的PIN的操作可以被请求生物特征信息(例如，指纹/虹膜信息)或终端用户选择(例如，“是/否”)的操作代替。

当终端用户在操作1035中输入的PIN有效时，用户设备1020可以删除第一绑定1011。当用户设备1020中没有剩余绑定时，用户设备1020的LBA配置屏幕1020e可以不显示绑定。尽管本文中描述了本地管理配置1017，但是订户的远程管理配置1019也是可能的。

图11是图示根据本公开的实施例的用户设备1120执行绑定本地管理的过程的另一示例的示意图。

参考图11，用户设备1120可能已经在其中安装了用于提供通信服务的第二绑定1111。本公开的当前实施例假设第二绑定1111当前被禁用。第二绑定1111还可以包括绑定策略1110。绑定策略1110的全部或部分不仅可以被包括在绑定中，而且还可以被包括在用户设备1120、LBA(未示出)和/或绑定管理服务器1130中。

因为第二绑定1111被配置为不显示给终端用户(参见附图标记1113)，所以在操作1121中，可以在用户设备1120的LBA配置屏幕1120a上隐藏第二绑定1111。因为第二绑定1111的本地管理配置1117允许用户设备1120本地地启用或禁用第二绑定1111而无需终端用户意图，所以在操作1123中，用户设备1120可以本地地启用第二绑定1111而无需终端用户使用命令1115的任何输入。

因为第二绑定1111的本地管理配置1117不需要针对启用操作的终端用户意图确认，所以在操作1125中，可以在用户设备1120的LBA配置屏幕1120b上以隐藏状态启用第二绑定1111，而不需要终端用户在操作1123之后的额外的输入。在操作1127中，用户设备1120可以通过使用由第二绑定1111提供的通信服务从绑定管理服务器1130接收和安装第三绑定11110。因为第三绑定11110的本地管理配置1117不需要针对绑定安装操作的终端用户意图确认，所以在操作1129中，安装的第三绑定11110可以显示在用户设备1120的LBA配置屏幕1120b上，而不需要终端用户在操作1127之后的额外的输入。在操作1131中，用户设备1120可以本地地禁用第二绑定1111。

因为第二绑定1111的本地管理配置1117不需要针对禁用操作的终端用户意图确认，所以在操作1133中，可以在用户设备1120的LBA配置屏幕1120c上以隐藏状态禁用第二绑定1111，而不需要终端用户在操作1131之后的额外的输入。尽管本文中描述了本地管理配置1117，但是订户进行的远程管理配置1119也是可能的。

图12是图示根据本公开的实施例的用户设备1220执行绑定本地管理和绑定远程管理的过程的示例的示意图。

参考图12，用户设备1220可以具有安装在其中的第四绑定1211。本公开的当前实施例假设第四绑定1211当前被启用。第四绑定1211还可以包括绑定策略1210。绑定策略1210的全部或部分不仅可以被包括在绑定中而且还可以被包括在用户设备1220、LBA(未示出)和/或绑定管理服务器1230中。

因为第四绑定1211被配置为向终端用户显示(参见附图标记1213)但不允许本地管理(参见附图标记1217)，所以在操作1221中，可以在用户设备1220的LBA配置屏幕1220a上显示第四绑定1211并且可以去激活其禁用/删除操作1215，以不被终端用户选择。

在操作1223中，服务提供方1240可以请求绑定管理服务器1230远程地禁用第四绑定1211。在操作1225中，绑定管理服务器1230可以请求用户设备1220远程地禁用第四绑定1211。因为第四绑定1211的远程管理配置1219不需要针对禁用操作的终端用户同意和订户意图验证，所以在操作1227中，第四绑定1211可以在用户设备1220的LBA配置屏幕1220b上显示为被禁用，而不需要绑定管理服务器1230或终端用户在操作1125之后的额外的操作。

在操作1229中，服务提供方1240可以请求绑定管理服务器1230远程地删除第四绑定1211。因为第四绑定1211的远程管理配置1219需要订户意图验证，诸如用于远程删除操作的凭证密钥验证，所以操作1229可以进一步使用要由绑定管理服务器1230验证的第一密钥和/或要由用户设备1220验证的第二密钥，以远程地删除第四绑定1211。

在操作1231中，绑定管理服务器1230可以通过验证由服务提供方1240提供的第一密钥来验证订户意图。当第一密钥有效时，在操作1233中，绑定管理服务器1230可以请求用户设备1220远程地删除第四绑定1211。因为第四绑定1211的远程管理配置1219需要订户意图验证，诸如用于远程删除操作的凭证密钥验证，所以操作1233可以进一步使用要由用户设备1220验证的第二密钥，以远程地删除第四绑定1211。尽管第二密钥由图12中的服务提供方1240提供，但是可以根据需要由绑定管理服务器1230生成第二密钥。

在操作1235中，用户设备1220可以通过验证由绑定管理服务器1230提供的第二密钥来验证订户意图。当第二密钥有效时，因为第四绑定1211的远程管理配置1219需要针对远程删除操作的终端用户同意，所以在操作1237中，用户设备1220的LBA配置屏幕1220c可以通过输出用于选择“接受/拒绝”的屏幕来请求终端用户同意。基于绑定策略1210的配置，在操作1237中通过输出用于选择“接受/拒绝”的屏幕来请求终端用户同意的操作可以被请求终端用户的PIN或生物特征信息(例如，指纹/虹膜信息)的操作替代。

基于绑定策略1210的配置，操作1231和1235中验证第一密钥和第二密钥的操作可以被验证数字签名和/或包括数字签名的令牌(例如，签名的令牌)的操作替代。订户意图验证可以不由绑定管理服务器1230和用户设备1220两者执行，并且可以根据需要仅由两者中的一个来执行。操作1231和1235还可以包括一个或多个消息交换。例如，在操作1231中，当服务提供方1240没有传送第一密钥和/或第二密钥来请求远程地删除第四绑定1211时，绑定管理服务器1230可以从服务提供方1240请求并且额外地接收第一密钥和/或第二密钥以基于远程管理配置1219来执行订户意图验证。同样地，在操作1233中，当绑定管理服务器1230没有传送第一密钥和/或第二密钥来请求远程地删除第四绑定1211时，用户设备1220可以从绑定管理服务器1230请求并且额外地接收第一密钥和/或第二密钥以基于远程管理配置1219来执行订户意图验证。

在操作1239中，终端用户可以接受要远程地删除的第四绑定1211。此后，用户设备1220可以远程地删除第四绑定1211。当用户设备1220中没有剩余更多的绑定时，用户设备1220的LBA配置屏幕1220d可以不显示绑定。

图13是图示根据本公开的实施例的用户设备1320执行绑定本地管理和绑定远程管理的过程的另一示例的示意图。

参考图13，用户设备1320可以具有安装在其中的第五绑定1311。本公开的当前实施例假设当前启用第五绑定1311。第五绑定1311还可以包括绑定策略1310。绑定策略1310的全部或部分不仅可以包括在绑定中而且可以包括在用户设备1320、LBA(未示出)和/或绑定管理服务器1330中。

第五绑定1311可以被配置为向终端用户显示(参见附图标记1313)并且被允许用于本地管理的启用和禁用操作1315(参见附图标记1317)。在这种情况下，在操作1321中，可以在用户设备1320的LBA配置屏幕1320a上显示第五绑定1311，并且与其中对于终端用户去激活不允许的本地管理操作的图12的实施例不同，不仅禁用操作而且还有不允许的删除操作都可以向终端用户显示为被允许。下面将结合操作1339来描述针对不允许的删除操作的处理。

在操作1323中，服务提供方1340可以请求绑定管理服务器1330远程地禁用第五绑定1311。在操作1325中，绑定管理服务器1330可以请求用户设备1320远程地禁用第五绑定1311。因为第五绑定1311的远程管理配置1319不需要针对远程禁用操作的终端用户同意和订户意图验证，所以在操作1327中，第五绑定1311可以在用户设备1320的LBA配置屏幕1320b上显示为被禁用，而不需要绑定管理服务器1330或终端用户在操作1325之后的额外的操作。

在操作1329中，服务提供方1340可以请求绑定管理服务器1330远程地删除第五绑定1311。在操作1331中，绑定管理服务器1330可以请求用户设备1320远程地删除第五绑定1311。因为第五绑定1311的远程管理配置1319不允许远程删除操作，所以在操作1333中，用户设备1320可以拒绝远程地删除第五绑定1311。尽管用户设备1320拒绝图13中的远程管理命令，但是当绑定管理服务器1330知道绑定策略1310和第五绑定1311的当前状态时，绑定管理服务器1330也可以拒绝操作1329的远程管理命令。当绑定管理服务器1330拒绝远程管理命令时，操作1333可以不被不必要地执行。

因为第五绑定1311的远程删除操作被拒绝，所以在操作1335中，第五绑定1311可以在用户设备1320的LBA配置屏幕1320c上连续地被显示为禁用。在操作1337中，终端用户可以尝试本地地删除第五绑定1311。

因为第五绑定1311的本地管理配置1317不允许本地删除操作，所以在操作1339中，用户设备1320的LBA配置屏幕1320d可以向终端用户显示第五绑定1311的删除操作不被允许。

尽管在图13的操作1329、1333或1339中，当绑定策略1310不允许本地或远程管理命令时，绑定管理服务器1330或用户设备1320拒绝第五绑定1311的本地或远程管理命令，但是当检查绑定策略1310的结果指示终端用户意图确认、终端用户同意和/或订户意图验证失败时，可以同样地拒绝第五绑定1311的本地或远程管理命令。例如，当在图12的操作1231或1235中密钥的验证失败时，可以如图13的操作1333或1335中那样拒绝远程管理命令。作为另一示例，当在图10的操作1033中终端用户的PIN的验证失败时，可以如图13的操作1339中那样拒绝本地管理命令。

尽管在本公开的上述实施例中将绑定策略描述为存储在每个绑定中的信息，但是根据需要，可以将绑定策略的全部或部分存储在用户设备(更具体地，SSP、SPBL或LBA)中。例如，在绑定策略当中，针对终端用户意图确认的手段和针对终端用户同意的手段可以存储在LBA中，针对确定是否允许本地和远程管理命令的手段和针对订户意图验证的手段可以存储在SSP中，以及其他绑定策略可以存储在绑定中。当绑定策略的全部或部分都存储在用户设备和绑定中时，并且当用户设备中所存储的绑定策略与绑定中所存储的绑定策略不同时，用户设备可以拒绝安装绑定，接受安装但是与在绑定中所存储的绑定策略相比给予在用户设备中所存储的绑定策略应用优先级，或者接受安装但是与在用户设备中所存储的绑定策略相比给予在绑定中所存储的绑定策略应用优先级。

当在绑定策略中指定了针对终端用户意图确认、终端用户同意和订户意图验证的手段时，该手段可能并不总是用户设备、绑定管理服务器和/或服务提供方所支持的输入手段。例如，可以为没有指纹读取器的用户设备配置需要指纹输入以检查终端用户同意的绑定策略。作为另一示例，可以为没有数字证书的服务提供方配置需要数字证书和数字签名来验证订户意图的绑定策略。当用户设备、绑定管理服务器和/或服务提供方的能力与上述绑定策略的要求冲突时，设备或绑定管理服务器可以拒绝执行绑定策略，认为绑定策略被成功地执行(无条件成功)，或采用其他手段替换绑定策略。例如，用户设备可以采用PIN(或PIN码)输入代替指纹输入，而绑定管理服务器可以采用证书密钥来代替数字签名。为了防止用户设备、绑定管理服务器和/或服务提供方的能力与绑定策略之间的冲突，可以考虑用户设备、绑定管理服务器和/或服务提供方的能力来配置绑定策略。例如，对于安装任意绑定的操作，用户设备、绑定管理服务器和服务提供方可以预先协商和检查其能力，并且配置绑定策略以使用由三者所支持的手段。现在将参考图14A和图14B来描述上述示例。

图14A是示出根据本公开的实施例的用户设备1400、服务提供方1430和绑定管理服务器1440基于能力协商来配置绑定策略的过程的示例的示意图。

参考图14A，在操作14001中，终端用户1450可以订阅服务提供方1430的服务。

在操作14003中，服务提供方1430和绑定管理服务器1440可以生成用于下载任意绑定的绑定下载信息。

在操作14005中，服务提供方1430可以向终端用户1450提供绑定下载信息。

在操作14007中，终端用户1450可以将绑定下载信息输入到LBA 1410。

在操作14009中，绑定管理服务器1440和服务提供方1430可以执行证书和能力协商。更具体地，在操作14009中，绑定管理服务器1440和服务提供方1430可以交换在绑定下载和安装过程中要使用的数字证书(或CI证书)信息，并且交换关于可用于终端用户意图确认、终端用户同意和订户意图验证的手段的信息。操作14009可以根据需要在操作14003之后立即地执行或与操作14003集成地执行。

在操作14011中，用户设备1400中的LBA 1410和SSP 1420可以与绑定管理服务器1440执行证书和能力协商。更具体地，在操作14011中，用户设备1400和绑定管理服务器1440可以交换在绑定下载和安装过程中要使用的数字证书(或CI证书)信息，并且交换关于可用于终端用户意图确认、终端用户同意和订户意图验证的手段的信息。操作14011可以并不总是与操作14009分离地执行，并且根据需要可以与操作14009集成地执行。

在操作14013中，用户设备1400、绑定管理服务器1440和服务提供方1430可以准备绑定策略。绑定策略的全部或部分可以存储在绑定、LBA 1410、SSP 1420或绑定管理服务器1440中。操作14013可以并不总是在操作14011之后执行，并且操作14013的一部分可以根据需要在操作14009之后立即地执行或与操作14009集成地执行。例如，绑定策略的远程管理策略可以在绑定管理服务器1440和服务提供方1430的能力协商之后进行配置，并且绑定策略的本地管理策略可以在用户设备1400和绑定管理服务器1440的能力协商之后进行配置。

在操作14015中，用户设备1400、绑定管理服务器1440和服务提供方1430可以开始下载绑定。

图14B是示出根据本公开的实施例的用户设备1400、服务提供方1430和绑定管理服务器1440基于能力协商来配置绑定策略的过程的另一示例的示意图。

参考图14B，在操作14101中，终端用户1450可以订阅服务提供方1430的服务。尽管在图14B中未示出，但是在操作14101中，终端用户1450可以从用户设备1400接收用户设备1400的能力信息，并且在订阅服务时将用户设备1400的能力信息提供给服务提供方1430。用户设备1400的能力信息可以进一步包括关于用户设备1400可用于终端用户意图确认、终端用户同意和订户意图验证的手段的信息。尽管在图14B中，用户设备1400的能力信息被从终端用户1450传送到服务提供方1430，但是用户设备1400的能力信息可以从用户设备1400直接地传送到服务提供方1430或绑定管理服务器1440。例如，终端用户1450通过使用用户设备1400接入服务提供方1430或绑定管理服务器1440来订阅服务提供方1430的服务，用户设备1400可以将用户设备1400的能力信息传送到服务提供方1430或绑定管理服务器1440作为服务订阅过程的一部分。

在操作14103中，绑定管理服务器1440和服务提供方1430可以执行证书和能力协商。更具体地，在操作14103中，绑定管理服务器1440和服务提供方1430可以交换在绑定下载和安装过程中要使用的数字证书(或CI证书)信息，并且交换关于可用于终端用户意图确认、终端用户同意和订阅者意图验证的手段的信息。在操作14103中，还可以交换在操作14101中从终端用户1450接收的用户设备1400的能力信息。操作14103可以根据需要与操作14105集成地执行。

在操作14105中，用户设备1400、绑定管理服务器1440和服务提供方1430可以准备绑定策略。绑定策略的全部或部分可以存储在绑定、LBA 1410、SSP 1420或绑定管理服务器1440中。

在操作14107中，服务提供方1430和绑定管理服务器1440可以生成用于下载任意绑定的绑定下载信息。操作14107可以根据需要在操作14105之前或与操作14105集成地执行。

在操作14109中，服务提供方1430可以向终端用户1450提供绑定下载信息。

在操作14111中，终端用户1450可以将绑定下载信息输入到LBA 1410。

在操作14113中，用户设备1400中的LBA 1410和SSP 1420可以与绑定管理服务器1440执行证书和能力协商。更具体地，在操作14113中，用户设备1400和绑定管理服务器1440可以交换在绑定下载和安装过程中要使用的数字证书(或CI证书)信息，并且交换关于可用于终端用户意图确认、终端用户同意和订户意图验证的手段的信息。操作14113的全部或部分可以根据需要与操作14101或14103集成地执行。

在操作14115中，用户设备1400、绑定管理服务器1440和服务提供方1430可以开始下载绑定。

根据本公开的实施例，用户设备和绑定管理服务器可以基于其能力来配置绑定策略。当本地地或远程地管理某个绑定时，可以基于绑定策略检查终端用户和/或服务订户的同意或验证，并且然后可以接受或拒绝本地或远程管理。

图15是根据本公开的实施例的用户设备1500的框图。

如图15中所示，用户设备1500可以包括收发器1510和至少一个处理器1520。用户设备1500还可以包括SSP 1530。例如，SSP 1530可以是插入到用户设备1500中的rSSP，或者嵌入到用户设备1500中的eSSP或iSSP。至少一个处理器1520也可以被称为控制器。

然而，用户设备1500不限于图15中所示的元件，并且与图15中所示的元件相比，可以包括更大或更小数量的元件。根据本公开的实施例，收发器1510、至少一个处理器1520和存储器(未示出)可以被配置为单个芯片。当嵌入SSP 1530时，单个芯片还可以包括SSP1530。

根据本公开的实施例，收发器1510可以根据本公开的各种实施例向绑定管理服务器传送信号、信息和数据以及从绑定管理服务器接收信号、信息和数据。收发器1510可以包括用于对要传送的信号的频率进行上变频和放大的射频(RF)传送器，以及用于对接收的信号的频率进行低噪声放大和下变频的RF接收器。然而，RF发射器和RF接收器仅是示例，并且收发器1510的元件不限于此。收发器1510可以通过无线信道接收信号并且将该信号输出到至少一个处理器1520，以及通过无线信道传送从至少一个处理器1520输出的信号。

根据本公开的实施例，收发器1510可以从绑定管理服务器接收至少与绑定安装相关的消息，或者包括绑定远程管理请求的消息。收发器1510可以传送绑定安装结果或绑定远程管理结果。

至少一个处理器1520是用于控制用户设备1500的元件。根据本公开的前述实施例，处理器1520可以控制用户设备1500的整体操作。

根据本公开的实施例，处理器1520可以将接收到的绑定包或绑定远程管理命令与绑定策略进行比较以确定绑定包或绑定远程管理命令是否可由SSP 1530处理，并且向SSP1530输入绑定包或者绑定远程管理命令，而SSP 1530可以安装或者管理绑定，并且生成绑定安装结果或者远程管理结果。

根据本公开的实施例，至少一个处理器1520可以将从终端用户接收的绑定本地管理命令与绑定策略进行比较以确定绑定本地管理命令是否可由SSP 1530处理，并且向SSP1530输入绑定本地管理命令，而SSP 1530可以安装或管理绑定，并且生成本地管理结果。

根据本公开的实施例，至少一个处理器1520可以控制收发器1510从配置文件服务器接收绑定或绑定远程管理命令，安装绑定或处理绑定远程管理命令，以及向绑定管理服务器传送绑定安装结果或远程管理结果。

根据本公开的各种实施例的SSP 1530可以下载并且安装绑定。SSP 1530可以管理绑定和绑定策略。

根据本公开的实施例，SSP 1530可以在处理器1520的控制下进行操作。替选地，SSP 1530可以包括用于安装绑定的处理器或控制器，或者已经在其中安装了用于安装包的应用。应用的一部分可以安装在处理器1520中。

用户设备1500还可以包括用于存储诸如基本程序、应用程序或用于操作用户设备1500的配置信息的数据的存储器(未示出)。存储器可以包括以下中的至少一个：闪速存储器、硬盘、多媒体卡微型、存储卡(例如，安全数字(SD)或极限数字(XD)卡)、磁存储器、磁盘、光盘、随机存取存储器(RAM)、静态RAM(SRAM)、只读存储器(ROM)、可编程ROM(PROM)或电可擦除可编程ROM(EEPROM)。处理器1520可以通过使用在存储器中所存储的各种程序、内容和数据来执行各种操作。

图16是根据本公开的实施例的绑定管理服务器1600的框图。

根据本公开的实施例，绑定管理服务器1600可以包括收发器1610和至少一个处理器1620。然而，绑定管理服务器1600不限于图16中所示的元件，并且与图16中所示的元件相比，绑定管理服务器1600可以包括更大或更小数量的元件。根据本公开的实施例，收发器1610、至少一个处理器1620和存储器(未示出)可以被配置为单个芯片。

根据本公开的实施例，收发器1610可以向用户设备1500(参见图1500)传送并且从用户设备1500接收根据本公开的各种实施例的信号、信息和数据。例如，收发器1610可以向和/或从用户设备1500传送和/或接收绑定信息或与绑定远程管理相关的信息。

收发器1610可以包括用于对要传送的信号的频率进行上变频和放大的RF传送器，以及用于对接收的信号的频率进行低噪声放大和下变频的RF接收器。然而，RF传送器和RF接收器仅是示例，并且收发器1610的元件不限于此。收发器1610可以通过无线信道接收信号并且将该信号输出到至少一个处理器1620，以及通过无线信道传送从至少一个处理器1620输出的信号。

根据本公开的实施例，收发器1610可以从用户设备1500接收绑定下载请求消息或绑定远程管理请求消息。

根据本公开的实施例的绑定下载请求消息或绑定远程管理请求消息可以包括关于用户设备1500和/或SSP 1530的信息(参见图15)，并且还可以包括绑定信息或绑定策略信息的全部或部分。

例如，根据本公开的实施例的收发器1610可以向用户设备1500传送绑定安装包或绑定远程管理命令。

根据本公开的实施例的绑定安装包或绑定远程管理命令还可以包括绑定信息或绑定策略信息的全部或部分。

至少一个处理器1620是用于控制绑定管理服务器1600的元件。根据本公开的前述实施例，处理器1620可以控制绑定管理服务器1600的整体操作。

例如，根据本公开的实施例的至少一个处理器1620基于从用户设备1500接收的关于用户设备1500和/或SSP 1530的信息来确定绑定策略，并且控制收发器1610基于绑定策略，将绑定安装包或绑定远程管理命令传送到用户设备1500。

绑定管理服务器1600还可以包括用于存储诸如基本程序、应用程序或用于操作绑定管理服务器1600的配置信息的数据的存储器(未示出)。存储器可以包括以下中的至少一个：闪速存储器、硬盘、多媒体卡微型、存储卡(例如，SD或XD卡)、磁存储器、磁盘、光盘、RAM、SRAM、ROM、PROM或EEPROM。处理器1620可以通过使用在存储器中所存储的各种程序、内容和数据来执行各种操作。

在本发明的上述实施例中，本公开中所包括的每个元件基于本公开的特定实施例而表达未单数或复数形式。然而，为了便于解释、针对特定情形适当地选择单数或复数形式并且不限制本公开的范围，以及表达为复数形式的元件可以代表单数形式并且表达为单数形式的元件可以代表复数形式。

虽然已经参考其实施例具体地示出和描述了本公开，但是将理解，在不脱离本公开的范围的情况下可以在其中做出各种改变。因此，本公开的范围不应限于本公开的前述实施例，而是由所附权利要求及其等同物限定。

应当理解，本公开的各种实施例和本文中使用的术语并非旨在将所公开的技术限制为特定形式，而是相反，涵盖其各种修改、等同物和/或替代物。在附图中，相同的附图标记表示相同的元件。当在本文中使用时，单数形式“一”、“一个”和“该”也旨在包括复数形式，除非上下文另有明确指示。贯穿本公开，表达“A或B”、“A和/或B中的至少一个”、“A、B或C”或“A、B和/或C中的至少一个”可以包括所列项目的所有可能组合。本文中所用的“第一”、“第二”、“第1”、“第2”等表达可以指代各种不同的元件，而与其顺序或优先级无关，并且仅用于将一个元件与另一元件相区分，而不对元件进行限制。当某个元件(例如，第一元件)被称为“(功能地或通信地)连接”或“耦合”到另一元件(例如，第二元件)时，该特定元件可以直接地或通过又一元件(例如，第三元件)连接到该另一元件。

当在本文中使用时，术语“模块”可以包括被配置为硬件、软件或固件的单元，并且可以与例如术语“逻辑”、“逻辑块”、“组件”或“电路”可互换地使用。模块可以是集成组件、执行一个或多个功能的最小单元或其一部分。例如，模块可以被配置为专用集成电路(ASIC)。

本公开的各种实施例可以由包括存储在机器可读(例如，计算机可读)存储介质(例如，嵌入式或外部存储器)中的指令的软件(例如，程序)来实现。机器指代能够获取在存储介质中所存储的指令并且基于获取的指令进行操作的设备，并且可以包括根据本公开的各种实施例的用户设备1500。当指令由处理器(例如，图15的处理器1520)执行时，与指令相对应的功能可以由处理器直接地执行，或者可以在处理器的控制下由其他元件执行。指令可以包括由编译器或解释器创建或执行的代码。

机器可读存储介质可以以非暂时性存储介质的形式提供。当存储介质为“非暂时性”时，其意味着该存储介质是有形的但不包括信号(例如电磁波)，并且不限制数据半永久地或临时地存储在该存储介质中。

根据本公开的实施例，可以在移动通信系统中有效地提供服务。

根据本公开的各种实施例的方法可以被包括并且提供在计算机程序产品中。该计算机程序产品可以在卖方和买方之间交易。计算机程序产品可以以机器可读存储介质(例如，光盘只读存储器(CD-ROM))的形式分发，或者经由应用商店(例如，Google Play

尽管已经采用各种实施例描述了本公开，但是可以向本领域技术人员建议各种改变和修改。本公开旨在包含落入所附权利要求的范围内的这种改变和修改。