发明内容
本发明实施例提供一种基于嵌入式通用集成电路卡的数据保密方法及设备,用于在终端设备丢失后,对eUICC上的数据进行保密。
第一方面提供一种基于嵌入式通用集成电路卡的数据保密方法,包括:
确定终端设备未被合法用户持有;
设置所述终端设备上的eUICC为不可用状态;
通过所述终端设备指示所述eUICC对所述eUICC上的数据进行保密处理。
在第一方面的第一种可选的实施方式中,所述确定终端设备未被合法用户持有包括:
接收所述终端设备上报的所述终端设备所在的地理位置信息;
在所述地理位置信息不属于预设的所述终端设备的合法使用区域时,确定所述终端设备被盗。
结合第一方面的第一种可能的实施方式,在第一方面的第二种可能的实施方式中,所述通过所述终端设备指示所述eUICC对所述eUICC上的数据进行保密处理包括:
向所述终端设备发送第一寻呼消息,以使所述终端设备向所述eUICC发送停止签约命令,以使所述eUICC根据所述停止签约命令对所述eUICC上的数据进行保密处理,所述第一寻呼消息包括所述终端设备的标识信息和用于标识所述终端设备被盗的被盗指示,所述停止签约命令包括所述终端设备的标识信息和所述被盗指示;或者
向所述终端设备发送第二寻呼消息,以使所述终端设备指示所述eUICC向签约管理单元-安全路由SM-SR发送第一执行文件OP请求消息并在接收到所述SM-SR返回的第一OP响应消息后对所述eUICC上的数据进行保密处理,所述第二寻呼消息包括所述终端设备的标识信息,所述第一OP请求消息包括所述终端设备的标识信息和所述eUICC的标识信息,所述第一OP响应消息是所述SM-SR根据所述终端设备的标识信息和所述eUICC的标识信息确定出所述终端设备被盗后发送的,所述第一OP响应消息包括所述被盗指示。
在第一方面的第三种可能的实现方式中,所述确定终端设备未被合法用户持有包括:
接收机器间通信服务提供商M2M-SP设备发送的暂停签约请求消息,所述暂停签约请求消息包括所述终端设备的标识信息、所述eUICC的标识信息和用于标识所述终端设备丢失的丢失指示,其中,所述M2M-SP设备根据所述合法用户的挂失请求确定所述终端设备丢失;
根据所述丢失指示,确定所述终端设备丢失。
结合第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,所述通过所述终端设备指示所述eUICC对所述eUICC上的数据进行保密处理包括:
接收所述终端设备发送的附着请求消息;
向所述终端设备返回拒绝附着响应消息,以使所述终端设备指示所述eUICC向签约管理单元-安全路由SM-SR发送第二OP请求消息并在接收到所述SM-SR返回的第二OP响应消息后对所述eUICC上的数据进行加密处理,所述第二OP请求消息包括所述终端设备的标识信息和所述eUICC的标识信息,所述第二OP响应消息是所述SM-SR根据所述终端设备的标识信息和所述eUICC的标识信息确定出所述终端设备丢失后发送的,所述第二OP响应消息包括所述丢失指示和对所述eUICC上的数据进行加密使用的加密密钥。
第二方面提供一种基于嵌入式通用集成电路卡的数据保密方法,包括:
终端设备上的eUICC接收指示消息,所述指示消息用于在所述终端设备未被合法用户持有时,指示所述eUICC对所述eUICC上的数据进行保密处理;
所述eUICC根据所述指示消息,对所述eUICC上的数据进行保密处理。
在第二方面的第一种可能的实现方式中,所述指示消息为停止签约命令;
所述终端设备上的eUICC接收指示消息包括:
所述eUICC接收所述终端设备发送的所述停止签约命令,所述停止签约命令是所述终端设备在接收到移动网络运营商MNO设备发送的第一寻呼消息后生成并发送给所述eUICC的,所述第一寻呼消息是所述MNO设备在根据所述终端设备上报的地理位置信息确定所述终端设备被盗后发送给所述终端设备的,所述第一寻呼消息包括所述终端设备的标识信息和用于标识所述终端设备被盗的被盗指示,所述停止签约命令包括所述终端设备的标识信息和所述被盗指示;
所述eUICC通过所述终端设备向签约管理单元-安全路由SM-SR发送停止签约响应,所述停止签约响应包括所述终端设备的标识信息、所述eUICC的标识信息和所述被盗指示。
在第二方面的第二种可能的实现方式中,所述指示消息为第一执行文件OP响应消息;
所述终端设备上的eUICC接收指示消息包括:
所述eUICC根据所述终端设备在接收到第二寻呼消息后的指示,通过所述终端设备向签约管理单元-安全路由SM-SR发送第一OP请求消息;所述第二寻呼消息是移动网络运营商MNO设备在根据所述终端设备上报的地理位置信息确定所述终端设备被盗后发送给所述终端设备的,所述第二寻呼消息 包括所述终端设备的标识信息,所述第一OP请求消息包括所述终端设备的标识信息和所述eUICC的标识信息;
所述eUICC通过所述终端设备接收所述SM-SR返回的第一OP响应消息;所述第一OP响应消息是所述SM-SR根据所述终端设备的标识信息和所述eUICC的标识信息确定出所述终端设备被盗后发送的,所述第一OP响应消息包括用于标识所述终端设备被盗的被盗指示。
在第二方面的第三种可能的实现方式中,所述指示消息为第二执行文件OP响应消息;
所述终端设备上的eUICC接收指示消息包括:
所述eUICC根据所述终端设备在接收到拒绝附着响应消息后的指示,通过所述终端设备向签约管理单元-安全路由SM-SR发送第二OP请求消息;所述拒绝附着响应消息是移动网络运营商MNO设备在接收到所述终端设备发送的附着请求消息且确定出所述终端设备丢失后发送给所述终端设备的,所述第二OP请求消息包括所述终端设备的标识信息和所述eUICC的标识信息;
所述eUICC通过所述终端设备接收所述SM-SR返回的第二OP响应消息;所述第二OP响应消息是所述SM-SR根据所述终端设备的标识信息和所述eUICC的标识信息确定出所述终端设备丢失后发送的,所述第二OP响应消息包括用于标识所述终端设备丢失的丢失指示和对所述eUICC上的数据进行加密使用的加密密钥。
第三方面提供一种基于嵌入式通用集成电路卡的数据保密方法,包括:
确定终端设备未被合法用户持有;
接收所述终端设备上的eUICC通过所述终端设备发送的第一OP请求消息,所述第一OP请求消息是所述终端设备在接收到移动网络运营商MNO设备发送的拒绝附着响应消息后指示所述eUICC发送的,所述第一OP请求消息包括所述终端设备的标识信息和所述eUICC的标识信息;
通过所述终端设备向所述eUICC返回第一OP响应消息,以使所述eUICC对所述eUICC上的数据进行保密处理。
在第三方面的第一种可能的实现方式中,所述确定终端设备未被合法用户持有包括:
接收所述MNO设备发送的停止签约请求消息,所述停止签约请求消息 是所述MNO设备在确定所述终端设备被盗且所述终端设备处于去附着状态后发送的,所述停止签约请求消息包括所述eUICC的标识信息和所述被盗指示;
根据所述eUICC的标识信息和所述被盗指示,确定所述终端设备被盗。
结合第三方面的第一种可能的实现方式,在三方面的第二种可能的实现方式中,所述第一OP响应消息包括用于标识所述终端设备被盗的被盗指示;
所述通过所述终端设备向所述eUICC返回第一OP响应消息,以使所述eUICC对所述eUICC上的数据进行保密处理包括:
通过所述终端设备向所述eUICC返回所述第一OP响应消息,以使所述eUICC删除所述eUICC上的数据。
在第三方面的第三种可能的实现方式中,所述确定终端设备未被合法用户持有包括:
接收机器间通信服务提供商M2M-SP设备发送的暂停签约请求消息,将所述暂停签约请求消息转发给所述MNO设备,以使所述MNO设备确定所述终端设备丢失;所述暂停签约请求消息包括所述终端设备的标识信息、所述eUICC的标识信息和所述丢失指示;
根据所述丢失指示,确定所述终端设备丢失。
结合第三方面的第三种可能的实现方式,在第三方面的第四种可能的实现方式中,所述第一OP响应消息包括用于标识所述终端设备丢失的丢失指示和对所述eUICC上的数据进行加密使用的加密密钥;
所述通过所述终端设备向所述eUICC返回第一OP响应消息,以使所述eUICC对所述eUICC上的数据进行保密处理包括:
通过所述终端设备向所述eUICC返回所述第一OP响应消息,以使所述eUICC对所述eUICC上的数据进行加密处理。
第四方面提供一种移动网络运营商MNO设备,包括:
确定模块,用于确定终端设备未被合法用户持有;
设置模块,用于设置所述终端设备上的嵌入式通用集成电路卡eUICC为不可用状态;
保密处理指示模块,用于通过所述终端设备指示所述eUICC对所述eUICC上的数据进行保密处理。
在第四方面的第一种可能的实现方式中,所述确定模块包括:
第一接收子模块,用于接收所述终端设备上报的所述终端设备所在的地理位置信息;
第一确定子模块,用于在所述第一接收子模块接收到的所述地理位置信息不属于预设的所述终端设备的合法使用区域时,确定所述终端设备被盗。
结合第四方面的第一种可能的实现方式,在第四方面的第二种可能的实现方式中,所述保密处理指示模块具体用于向所述终端设备发送第一寻呼消息,以使所述终端设备向所述eUICC发送停止签约命令,以使所述eUICC根据所述停止签约命令对所述eUICC上的数据进行保密处理,所述第一寻呼消息包括所述终端设备的标识信息和用于标识所述终端设备被盗的被盗指示,所述停止签约命令包括所述终端设备的标识信息和所述被盗指示;或者
所述保密处理指示模块具体用于向所述终端设备发送第二寻呼消息,以使所述终端设备指示所述eUICC向签约管理单元-安全路由SM-SR发送第一执行文件OP请求消息并在接收到所述SM-SR返回的第一OP响应消息后对所述eUICC上的数据进行保密处理,所述第二寻呼消息包括所述终端设备的标识信息,所述第一OP请求消息包括所述终端设备的标识信息和所述eUICC的标识信息,所述第一OP响应消息是所述SM-SR根据所述终端设备的标识信息和所述eUICC的标识信息确定出所述终端设备被盗后发送的,所述第一OP响应消息包括所述被盗指示。
在第四方面的第三种可能的实现方式中,所述确定模块包括:
第二接收子模块,用于接收机器间通信服务提供商M2M-SP设备发送的暂停签约请求消息,所述暂停签约请求消息包括所述终端设备的标识信息、所述eUICC的标识信息和用于标识所述终端设备丢失的丢失指示,其中,所述M2M-SP设备根据所述合法用户的挂失请求确定所述终端设备丢失;
第二确定子模块,用于根据所述丢失指示,确定所述终端设备丢失。
结合第四方面的第三种可能的实现方式,在第四方面的第四种可能的实现方式中,所述保密处理指示模块包括:
第三接收子模块,用于接收所述终端设备发送的附着请求消息;
发送子模块,用于向所述终端设备返回拒绝附着响应消息,以使所述终端设备指示所述eUICC向签约管理单元-安全路由SM-SR发送第二OP请求 消息并在接收到所述SM-SR返回的第二OP响应消息后对所述eUICC上的数据进行加密处理,所述第二OP请求消息包括所述终端设备的标识信息和所述eUICC的标识信息,所述第二OP响应消息是所述SM-SR根据所述终端设备的标识信息和所述eUICC的标识信息确定出所述终端设备丢失后发送的,所述第二OP响应消息包括所述丢失指示和对所述eUICC上的数据进行加密使用的加密密钥。
第五方面提供一种嵌入式通用集成电路卡eUICC设备,嵌在终端设备中,所述eUICC设备包括:
指示接收模块,用于接收指示消息,所述指示消息用于在所述终端设备未被合法用户持有时,指示所述eUICC设备对所述eUICC设备上的数据进行保密处理;
保密处理模块,用于根据所述指示消息,对所述eUICC设备上的数据进行保密处理。
在第五方面的第一种可能的实现方式中,所述指示消息为停止签约命令;
所述指示接收模块包括:
第一接收子模块,用于接收所述终端设备发送的所述停止签约命令,所述停止签约命令是所述终端设备在接收到移动网络运营商MNO设备发送的第一寻呼消息后生成并发送给所述eUICC设备的,所述第一寻呼消息是所述MNO设备在根据所述终端设备上报的地理位置信息确定所述终端设备被盗后发送给所述终端设备的,所述第一寻呼消息包括所述终端设备的标识信息和用于标识所述终端设备被盗的被盗指示,所述停止签约命令包括所述终端设备的标识信息和所述被盗指示;
第一发送子模块,用于通过所述终端设备向签约管理单元-安全路由SM-SR发送停止签约响应,所述停止签约响应包括所述终端设备的标识信息、所述eUICC设备的标识信息和所述被盗指示。
在第五方面的第二种可能的实现方式中,所述指示消息为第一执行文件OP响应消息;
所述指示接收模块包括:
第二发送子模块,用于根据所述终端设备在接收到第二寻呼消息后的指示,通过所述终端设备向签约管理单元-安全路由SM-SR发送第一OP请求消 息;所述第二寻呼消息是移动网络运营商MNO设备在根据所述终端设备上报的地理位置信息确定所述终端设备被盗后发送给所述终端设备的,所述第二寻呼消息包括所述终端设备的标识信息,所述第一OP请求消息包括所述终端设备的标识信息和所述eUICC设备的标识信息;
第二接收子模块,用于通过所述终端设备接收所述SM-SR返回的第一OP响应消息;所述第一OP响应消息是所述SM-SR根据所述终端设备的标识信息和所述eUICC的标识信息确定出所述终端设备被盗后发送的,所述第一OP响应消息包括用于标识所述终端设备被盗的被盗指示。
在第五方面的第三种可能的实现方式中,所述指示消息为第二执行文件OP响应消息;
所述指示接收模块包括:
第三发送子模块,用于根据所述终端设备在接收到拒绝附着响应消息后的指示,通过所述终端设备向签约管理单元-安全路由SM-SR发送第二OP请求消息;所述拒绝附着响应消息是移动网络运营商MNO设备在接收到所述终端设备发送的附着请求消息且确定出所述终端设备丢失后发送给所述终端设备的,所述第二OP请求消息包括所述终端设备的标识信息和所述eUICC设备的标识信息;
第三接收子模块,用于通过所述终端设备接收所述SM-SR返回的第二OP响应消息;所述第二OP响应消息是所述SM-SR根据所述终端设备的标识信息和所述eUICC设备的标识信息确定出所述终端设备丢失后发送的,所述第二OP响应消息包括用于标识所述终端设备丢失的丢失指示和对所述eUICC设备上的数据进行加密使用的加密密钥。
第六方面提供一种签约管理单元-安全路由SM-SR设备,包括:
确定模块,用于确定终端设备未被合法用户持有;
第一请求接收模块,用于接收所述终端设备上的eUICC通过所述终端设备发送的第一OP请求消息,所述第一OP请求消息是所述终端设备在接收到移动网络运营商MNO设备发送的拒绝附着响应消息后指示所述eUICC发送的,所述第一OP请求消息包括所述终端设备的标识信息和所述eUICC的标识信息;
第一响应发送模块,用于通过所述终端设备向所述eUICC返回第一OP 响应消息,以使所述eUICC对所述eUICC上的数据进行保密处理。
在第六方面的第一种可能的实现方式中,所述确定模块包括:
接收子模块,用于接收所述MNO设备发送的停止签约请求消息,所述停止签约请求消息是所述MNO设备在确定所述终端设备被盗且所述终端设备处于去附着状态后发送的,所述停止签约请求消息包括所述eUICC的标识信息和所述被盗指示;
第一确定子模块,用于根据所述eUICC的标识信息和所述被盗指示,确定所述终端设备被盗。
结合第六方面的第一种可能的实现方式,在第六方面的第二种可能的实现方式中,所述第一OP响应消息包括用于标识所述终端设备被盗的被盗指示;
所述第一响应发送模块具体用于通过所述终端设备向所述eUICC返回所述第一OP响应消息,以使所述eUICC删除所述eUICC上的数据。
在第六方面的第三种可能的实现方式中,所述确定模块包括:
接收转发子模块,用于接收机器间通信服务提供商M2M-SP设备发送的暂停签约请求消息,将所述暂停签约请求消息转发给所述MNO设备,以使所述MNO设备确定所述终端设备丢失;所述暂停签约请求消息包括所述终端设备的标识信息、所述eUICC的标识信息和所述丢失指示;
第二确定子模块,用于根据所述丢失指示,确定所述终端设备丢失。
结合第六方面的第三种可能的实现方式,在第六方面的第四种可能的实现方式中,所述第一OP响应消息包括用于标识所述终端设备丢失的丢失指示和对所述eUICC上的数据进行加密使用的加密密钥;
所述第一响应发送模块具体用于通过所述终端设备向所述eUICC返回所述第一OP响应消息,以使所述eUICC对所述eUICC上的数据进行加密处理。
第七方面提供一种基于嵌入式通用集成电路卡eUICC的数据保密系统,包括:本发明第四方面提供的任一移动网络运营商MNO设备、本发明第五方面提供的任一嵌入式通用集成电路卡eUICC设备、以及本发明第六方面提供的任一签约管理单元-安全路由SM-SR设备。
本发明实施例提供的基于嵌入式通用集成电路卡的数据保密方法及设备,MNO设备确定终端设备未被合法用户持有后,通过设置终端设备上的 eUICC为不可用状态,并通过终端设备指示eUICC对eUICC上的数据进行保密处理,从而在终端设备被盗或丢失的情况下实现了对eUICC上的数据的保护。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述, 显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的针对eUICC的系统架构示意图。如图1所示,该系统架构包括:MNO设备、签约管理单元(Subscription Manager,简称为SM)和机器间通信服务提供商(Machine to Machine-Service Provider,简称为M2M-SP)设备,SM包括签约管理单元-安全路由(Subscription Manager-Securely Routing,简称为SM-SR)和签约管理单元-数据准备(Subscription Manager-Data Preparation,简称为SM-DP)。
MNO设备主要负责保证签约用户正常接入移动通信网络,并为用户提供相应的语音或数据通信业务。
SM-SR主要用于直接管理签约相关的执行文件(Operational Profile,简称为OP)、配置文件(Provisioning Profile,简称为PP)等数据,例如负责这些数据的下载、删除和变更等。
SM-DP主要用于准备签约相关的OP/PP等数据,例如采用加密文件(Profile)的方式,确保OP/PP等安全下载到eUICC。
M2M-SP设备主要负责使用MNO设备提供的通信网络,为签约用户提供M2M服务,例如水电气表的抄表服务、楼宇自动化系统中的远程监控等。
为了在终端设备丢失或被盗等各种未被合法用户持有的情况下实现对终端设备的eUICC上的数据的保护,本发明以下实施例给出了解决方法。本发明以下各实施例可基于图1所示系统架构实现。
图2为本发明一实施例提供的基于eUICC的数据保密方法的流程图。如图2所示,本实施例的方法包括:
步骤201、确定终端设备未被合法用户持有。
步骤202、设置所述终端设备上的eUICC为不可用状态。
步骤203、通过所述终端设备指示所述eUICC对所述eUICC上的数据进行保密处理。
本实施例的执行主体为MNO设备。具体的,MNO设备确定终端设备是否被合法用户持有,当确定出终端设备未被合法用户持有时,首先设置终端设备上的eUICC为不可用状态,这样可以禁止该终端设备后续非法接入MNO 设备网络,并通过终端设备指示eUICC对eUICC上的数据进行保密处理,即通过终端设备尝试引导eUICC对本地数据进行保护。
其中,对MNO设备、SM-SR、SM-DP以及M2M-SP等机器设备看来,终端设备未被合法用户持有的场景包括终端设备被盗或终端设备丢失等情况。根据不同场景,MNO设备确定终端设备未被合法用户持有的具体实施方式会有所不同。
例如,如果终端设备是因为被盗而未被合法用户持有的,则MNO设备确定终端设备未被合法用户持有的过程包括:接收终端设备上报的终端设备所在的地理位置信息,在所述地理位置信息不属于预设的该终端设备的合法使用区域时,MNO设备认为该终端设备属于被盗的情况,于是确定终端设备被盗,也就是确定终端设备未被合法用户持有。由于许多终端设备具有低移动性的特点,因此用户可以在签约中预先定制终端设备的合法使用区域,并存储在MNO设备上。终端设备会周期性的通过信令向MNO设备上报其所在的地理位置信息。MNO设备可以将终端设备上报的地理位置信息与用户签约数据中该终端设备的合法使用区域进行比较,通过判断终端设备上报的地理位置信息是否属于合法使用区域,进而分析得出该终端设备是否被盗的结论。如果终端设备上报的地理位置信息不属于该终端设备的合法使用区域,则MNO设备可以确定终端设备被盗,反之,确定终端设备没有被盗(即仍被合法用户持有)。
在此说明,低移动性的终端设备发生地理位置变动,在很大程度上是因为被盗,但也有可能是M2M-SP设备组织的系统维护(例如在某个位置对所有终端设备进行统一维护)等导致的。在这些特殊情况下,MNO设备直接确定终端设备被盗会发生错误的操作,影响终端设备的服务,基于此,MNO设备可以向M2M-SP设备获取终端设备是否是被盗的处理指示。因此,MNO设备在终端设备上报的地理位置信息不属于预设的该终端设备的合法使用区域时,确定该终端设备被盗的一种可选实施过程包括:MNO设备在确定出终端设备上报的地理位置信息不属于预设的该终端设备的合法使用区域后,向M2M-SP设备发送设备被盗处理策略请求消息,该设备被盗处理策略请求消息包括终端设备的标识信息、eUICC的标识信息和终端设备上报的地理位置信息;接收M2M-SP设备发送的设备被盗处理策略响应消息,该设备被盗处 理策略响应消息是M2M-SP设备根据终端设备的标识信息、eUICC的标识信息和所述地理位置信息判断出终端设备被盗后发送的,该设备被盗处理策略响应消息包括被盗处理指示;根据所述被盗处理指示确定该终端设备被盗。
可选的,在终端设备被盗的情况下,MNO设备设置终端设备上的eUICC为不可用状态的过程包括:将eUICC的标识信息加入黑名单(英文为blacklist),以使eUICC处于不可用状态。可选的,MNO设备还可以将eUICC对应的OP挂起,从而使eUICC处于不可用状态。
可选的,在终端设备被盗的情况下,由于MNO设备是基于终端设备最近一次上报的地理位置信息确定终端设备被盗的,因此终端设备可能仍处于附着状态,也有可能处于未附着状态(即去附着状态)。在本实施例中,MNO设备在终端设备被盗的情况下,根据终端设备是否处于附着状态采用不同的方式通过终端设备指示eUICC对eUICC上的数据进行保密处理。
对于终端设备被盗,且终端设备处于附着状态的情况:步骤203的一种可选实施方式包括:向终端设备发送第一寻呼消息,以使终端设备向eUICC发送停止签约命令,以使eUICC根据停止签约命令对eUICC上的数据进行保密处理。其中,MNO设备发送给终端设备的第一寻呼消息包括终端设备的标识信息和用于标识该终端设备被盗的被盗指示(theft indication),终端设备发送给eUICC的停止签约命令包括终端设备的标识信息和所述被盗指示。对eUICC来说,在接收到停止签约命令后,可以根据停止签约命令中的被盗指示获知终端设备被盗需要对eUICC上的数据进行保密处理。
对于终端设备被盗,且终端设备处于附着状态的情况:步骤203的一种可选实施方式包括:向终端设备发送第二寻呼消息,以使终端设备指示eUICC向SM-SR发送第一OP请求消息并在接收到SM-SR返回的第一OP响应消息后对eUICC上的数据进行保密处理。其中,第二寻呼消息包括终端设备的标识信息,第一OP请求消息包括终端设备的标识信息和eUICC的标识信息,第一OP响应消息是SM-SR根据终端设备的标识信息和eUICC的标识信息确定出终端设备被盗后发送的,第一OP响应消息包括标识终端设备被盗的被盗指示。在该实施方式中,MNO设备通过第二寻呼消息对终端设备进行寻呼,终端设备接收到MNO设备的第二寻呼消息后向eUICC发送指示消息,以使eUICC向SM-SR发起OP请求,进而由SM-SR判断出终端设备被盗,并在 发给eUICC的OP响应中携带被盗指示。对eUICC来说,在接收到第一OP响应消息后,可以根据第一OP响应消息中的被盗指示获知终端设备被盗需要对eUICC上的数据进行保密处理。
在该实施方式中,SM-SR接收到第一OP响应消息后,可以向SM-DP发送删除签约数据请求消息,以指示SM-DP删除eUICC对应的签约数据。
基于上述,在一可选实施方式中,在步骤203之前包括:判断终端设备是否处于附着状态的操作;如果判断出终端设备处于附着状态,则执行步骤203,即通过终端设备指示eUICC对eUICC上的数据进行保密处理。可选的,MNO设备可以通过查询该终端设备对应的签约数据中的状态信息,以判断终端设备是否处于附着状态。
可选的,如果判断出终端设备处于去附着状态,则MNO设备向SM-SR发送停止签约请求消息,以使SM-SR指示SM-DP删除eUICC对应的签约数据,所述停止签约请求消息包括eUICC的标识信息和用于标识终端设备被盗的被盗指示。具体的,在终端设备去附着的情况下,MNO设备向SM-SR发送停止签约请求消息,携带eUICC的标识信息和被盗指示;SM-SR接收到MNO设备发送的停止签约请求消息后,根据其中的被盗指示获知该终端设备被盗,故向SM-DP发起删除签约数据的请求,在该请求中携带eUICC的标识信息;SM-DP根据eUICC的标识信息删除该eUICC对应的签约数据。可选的,SM-DP在删除该eUICC对应的签约数据之后,还可以向SM-SR返回删除签约数据完毕的消息。
进一步,在判断出终端设备处于去附着状态的情况下,当终端设备向MNO设备发送附着请求消息时,MNO设备向终端设备返回拒绝附着响应消息,以禁止终端设备非法接入MNO设备网络。在该情况下,终端设备收到拒绝附着响应消息后,指示eUICC向SM-SR发送OP请求消息并在接收到SM-SR返回的OP响应消息后对eUICC上的数据进行保密处理,这里的OP请求消息包括终端设备的标识信息和eUICC的标识信息,这里的OP响应消息是SM-SR根据终端设备的标识信息和eUICC的标识信息确定出终端设备丢失后发送的,这里的OP响应消息包括上述被盗指示,以指示eUICC对eUICC上的数据进行保密处理。
在终端设备被盗的情况下,MNO设备通过终端设备指示eUICC对eUICC 上的数据进行保密处理的一种可选实施方式为:通过终端设备指示eUICC将eUICC上的数据删除。在此说明,MNO设备除了指示eUICC将eUICC上的数据删除之外,还可以指示终端设备将终端设备上的数据删除。
在终端设备被盗的情况下,MNO设备通过终端设备指示eUICC对eUICC上的数据进行保密处理的另一种可选实施方式为:通过终端设备指示eUICC将eUICC上的数据进行加密,其中,eUICC加密数据使用的加密密钥可以是预先约定的,也可以是MNO设备或其他网元提供eUICC的。
在此说明,在本发明各实施例中,eUICC上的数据包括但不限于:OP、PP和用户数据。在本发明各实施中,终端设备的标识信息可以包括但不限于国际移动设备号(International Mobile Equipment Identifier,简称为IMEI)和国际移动用户识别码(International Mobile Subscriber Identifier,简称为IMSI)。在不同消息中,所携带的终端设备的标识信息或者是IMEI或者是IMSI。例如,在各种寻呼消息中携带的终端设备的标识信息可以是IMSI,在除寻呼消息之外的其他消息中携带的终端设备的标识信息可以是IMEI。在本发明各实施例中,eUICC的标识信息可以是但不限于嵌入式标识(embedded IDentity,简称为eID)。
又例如,如果终端设备是因为丢失而未被合法用户持有的,则MNO设备确定终端设备未被合法用户持有的过程包括:MNO设备接收M2M-SP设备发送的暂停签约请求消息,所述暂停签约请求消息包括终端设备的标识信息、eUICC的标识信息和用于标识终端设备丢失的丢失指示,其中,M2M-SP设备根据合法用户的挂失请求确定终端设备丢失;MNO设备根据所述丢失指示,确定终端设备丢失。具体的,终端设备的合法用户在发现终端设备丢失后可以向M2M-SP设备发起挂失请求;M2M-SP设备接收到挂失请求后,认为终端设备未被合法用户持有属于终端设备丢失的情况,于是确定终端设备丢失,然后通过SM-SR向MNO设备发起暂停签约请求消息,并携带终端设备的标识信息、eUICC的标识信息和丢失指示(Loss indication);MNO设备收到暂停签约请求消息后,根据其中的丢失指示确定终端设备丢失。
可选的,在终端设备丢失的情况下,MNO设备设置终端设备上的eUICC为不可用状态的过程包括:将eUICC对应的OP挂起,以使eUICC处于不可用状态;通过SM-SR向M2M-SP设备返回暂停签约响应消息,所述暂停签 约响应消息包括终端设备的标识信息和eUICC的标识信息。对于M2M-SP设备来说,在接收到暂停签约响应消息后,可以备份该终端设备相关的计费信息并暂停计费。
终端设备在合法用户解挂之前会尝试访问MNO设备网络,并且会被拒绝。基于此,在终端设备丢失的情况下,步骤203的一种可选实施方式包括:接收终端设备发送的附着请求消息;向终端设备返回拒绝附着响应消息,以使终端设备指示eUICC向SM-SR发送第二OP请求消息并在接收到SM-SR返回的第二OP响应消息后对eUICC上的数据进行加密处理。其中,第二OP请求消息包括终端设备的标识信息和eUICC的标识信息,第二OP响应消息是SM-SR根据终端设备的标识信息和eUICC的标识信息确定出终端设备丢失后发送的,第二OP响应消息包括丢失指示和对eUICC上的数据进行加密使用的加密密钥。具体的,终端设备访问MNO设备网络被拒绝后,会向eUICC发送指示消息,以使eUICC自动激活PP以通过终端设备向SM-SR发起OP请求,并携带终端设备的标识信息和eUICC的标识信息;SM-SR根据终端设备的标识信息和eUICC的标识信息可以判断出终端设备丢失,在发给eUICC的OP响应中携带加密密钥和丢失指示。对eUICC来说,在接收到第二OP响应消息后,可以根据第二OP响应消息中的丢失指示获知终端设备丢失需要对eUICC上的数据进行加密处理,并采用第二OP响应消息中的加密密钥对eUICC上的数据进行加密。可选的,eUICC完成对eUICC上的数据的加密处理后,可以通过终端设备向SM-SR返回加密数据确认消息。
在此说明,在上述过程中,由于M2M-SP设备发送给MNO设备的暂停签约请求消息以及MNO设备返回给M2M-SP设备的暂停签约响应消息都要经过SM-SR进行转发,在该过程中SM-SR可以获知发生丢失的终端设备的有关信息。基于此,SM-SR可以根据终端设备的标识信息和eUICC的标识信息判断出终端设备是否丢失。
在此说明,合法用户挂失具有一个最长时限,在该时限内,合法用户可以解除挂失,从而继续正常使用eUICC以及终端设备。基于此,在终端设备丢失的情况下,本实施例的方法还包括:MNO设备接收M2M-SP设备通过SM-SR发送的恢复签约请求消息,所述恢复签约请求消息包括终端设备的标识信息、eUICC的标识信息和用于标识该终端设备重新被所述合法用户持有 的恢复指示;将eUICC对应的OP解挂,以使eUICC恢复为可用状态;通过SM-SR向M2M-SP设备发送恢复签约响应消息,所述恢复签约响应消息包括终端设备的标识信息和eUICC的标识信息。具体的,合法用户需要解除挂失时,可以向M2M-SP设备发出解挂请求,相应的,M2M-SP设备会接收解挂请求,根据该解挂请求可知获知该终端设备重新被合法用户持有,故通过SM-SR向MNO设备发送恢复签约请求消息,并携带终端设备的标识信息、eUICC的标识信息和恢复指示;MNO设备接收到恢复签约请求消息后,将eUICC恢复为可用状态,并通过SM-SR向M2M-SP设备返回恢复签约响应消息。另外,M2M-SP设备会重新载入计费信息备份,并继续对该终端设备进行计费。之后,终端设备就可以在eUICC的指导下重新访问MNO设备网络了。具体的,eUICC重新向SM-SR发送第三OP请求消息,携带终端设备的标识信息和eUICC的标识信息,SM-SR根据终端设备的标识信息和eUICC的标识信息判断出终端设备已解挂,在发给eUICC的OP响应中携带解密密钥和恢复指示;eUICC根据恢复指示获知终端设备已经解挂,故使用解密密钥对eUICC上之前加密的数据进行解密处理。可选的,eUICC成功解密数据之后,可以通过终端设备向SM-SR返回解密数据确认消息。
可选的,当到达最长时限后,合法用户仍未解挂,则网络侧不再保留之前暂停的签约数据,此时可以在合法用户结算完毕后,删除网络侧的签约数据。具体的,合法用户对终端设备的挂失时间达到最长时限后,M2M-SP设备在删除备份的计费信息前通知用户完成结算,然后通知SM-DP、MNO设备\SM-SR等网络侧设备删除该终端设备对应的签约数据。
由上述可见,本实施例提供的基于eUICC的数据保密方法,MNO设备在确定终端设备未被合法用户持有后,通过设置终端设备上的eUICC为不可用状态,可以达到禁止终端设备非法接入MNO设备网络,并通过终端设备指示eUICC对eUICC上的数据进行保密处理,从而在终端设备被盗或丢失的情况下实现了对eUICC上的数据的保护,能够很好地保护用户的个人信息安全。
图3为本发明另一实施例提供的基于eUICC的数据保密方法的流程图。如图3所示,本实施例的方法包括:
步骤301、终端设备上的eUICC接收指示消息,所述指示消息用于在终 端设备未被合法用户持有时,指示eUICC对eUICC上的数据进行保密处理。
步骤302、eUICC根据所述指示消息,对eUICC上的数据进行保密处理。
本实施例的执行主体为终端设备上的eUICC。具体的,在终端设备未被合法用户持有时,MNO设备网络侧的设备会引导该终端设备上的eUICC进行数据保密处理,则eUICC会接收到用于指示eUICC对数据进行保密处理的指示信息,之后eUICC会根据该指示信息对eUICC上的数据进行保密处理。
其中,根据确定出终端设备未被合法用户持有的网络侧设备的不同,eUICC接收指示信息的方式也会有所不同。这里的网络侧设备可以是MNO设备或SM-SR等。其中,终端设备未被合法用户持有的场景包括终端设备被盗或终端设备丢失等情况。根据不同场景,确定终端设备未被合法用户持有的具体实施方式会有所不同,因此,eUICC接收指示信息的方式也会有所不同。下面举例说明:
在一可选实施方式中,假设终端设备是因为被盗而未被合法用户持有的,则在步骤301之前,终端设备会周期性的向MNO设备发送终端设备所在的地理位置信息,以使MNO设备根据所述地理位置信息确定终端设备被盗。具体的,由于许多终端设备具有低移动性的特点,因此用户可以在签约中预先定制终端设备的合法使用区域,并存储在MNO设备上。终端设备会周期性的通过信令向MNO设备上报其所在的地理位置信息。MNO设备可以将终端设备上报的地理位置信息与用户签约数据中该终端设备的合法使用区域进行比较,通过判断终端设备上报的地理位置信息是否属于合法使用区域,进而分析得出该终端设备是否被盗的结论。在本实施例中,MNO设备在步骤301之前判断出终端设备被盗。
对于终端设备被盗的情况:指示消息的一种实现方式为停止签约命令。相应的,终端设备上的eUICC接收指示消息的过程包括:eUICC接收终端设备发送的停止签约命令,该停止签约命令是终端设备在接收到MNO设备发送的第一寻呼消息后生成并发送给eUICC的,第一寻呼消息是MNO设备在根据终端设备上报的地理位置信息确定终端设备被盗后发送给终端设备的,第一寻呼消息包括终端设备的标识信息和用于标识终端设备被盗的被盗指示,所述停止签约命令包括终端设备的标识信息和被盗指示;eUICC通过终端设备向SM-SR发送停止签约响应,所述停止签约响应包括终端设备的标识 信息、eUICC的标识信息和被盗指示。SM-SR接收到停止签约响应后,向SM-DP发送删除签约数据请求消息,以指示SM-DP删除eUICC对应的签约数据。
具体的,MNO设备在根据终端设备最近一次上报的地理位置信息判断出终端设备被盗后,向终端设备发送第一寻呼消息,并携带终端设备的标识信息和被盗指示;终端设备收到第一寻呼消息后,向eUICC发送停止签约命令,并携带终端设备的标识信息和被盗指示。对eUICC来说,在接收到停止签约命令后,根据其中的被盗指示获知终端设备被盗需要对其进行保密处理。
对于终端设备被盗的情况:指示消息的一种实现方式为第一OP响应消息。相应的,终端设备上的eUICC接收指示消息的过程包括:eUICC根据终端设备在接收到第二寻呼消息后的指示,通过终端设备向SM-SR发送第一OP请求消息;第二寻呼消息是MNO设备在根据终端设备上报的地理位置信息确定终端设备被盗后发送给终端设备的,第二寻呼消息包括终端设备的标识信息,第一OP请求消息包括终端设备的标识信息和eUICC的标识信息;eUICC通过终端设备接收SM-SR返回的第一OP响应消息;第一OP响应消息是SM-SR根据终端设备的标识信息和eUICC的标识信息确定出终端设备被盗后发送的,第一OP响应消息包括用于标识终端设备被盗的被盗指示。SM-SR接收到第一OP响应消息后,向SM-DP发送删除签约数据请求消息,以指示SM-DP删除eUICC对应的签约数据。
具体的,MNO设备在根据终端设备最近一次上报的地理位置信息判断出终端设备被盗后,向终端设备发送第二寻呼消息,并携带终端设备的标识信息;终端设备接收到第二寻呼消息后,向eUICC发送指示消息,以使eUICC向SM-SR发起OP请求,并在OP请求中携带终端设备的标识信息和eUICC的标识信息;SM-SR收到OP请求后,可以根据其中的终端设备的标识信息和eUICC的标识信息判断出终端设备被盗,然后通过终端设备向eUICC返回OP响应,并携带用于标识终端设备被盗的被盗指示,以使eUICC根据被盗指示对本地数据进行保密处理。
在终端设备被盗的情况下,eUICC根据指示消息,对eUICC上的数据进行保密处理的一种实施方式包括:eUICC根据被盗指示,删除eUICC上的数据。另外,eUICC还可以根据被盗指示,对本地数据进行加密处理。其中, 加密处理使用的加密密钥可以是预先约定的,也可以是由MNO设备或SM-SR等网络侧设备提供的。
对于终端设备丢失的情况:指示消息的一种实现方式为第二OP响应消息。则终端设备上的eUICC接收指示消息的过程包括:eUICC根据终端设备在接收到拒绝附着响应消息后的指示,通过终端设备向SM-SR发送第二OP请求消息;所述拒绝附着响应消息是MNO设备在接收到终端设备发送的附着请求消息且确定出终端设备丢失后发送给终端设备的,第二OP请求消息包括终端设备的标识信息和eUICC的标识信息;eUICC通过终端设备接收SM-SR返回的第二OP响应消息;所述第二OP响应消息是SM-SR根据终端设备的标识信息和eUICC的标识信息确定出终端设备丢失后发送的,第二OP响应消息包括用于标识终端设备丢失的丢失指示和对eUICC上的数据进行加密使用的加密密钥。
具体的,在终端设备丢失的情况下,终端设备的合法用户可以向M2M-SP设备发起挂失请求;M2M-SP设备接收到挂失请求后,可以确定终端设备丢失;M2M-SP设备通过SM-SR向MNO设备发起暂停签约请求消息,并携带终端设备的标识信息、eUICC的标识信息和丢失指示;MNO设备收到暂停签约请求消息后,根据其中的丢失指示确定终端设备丢失,并且MNO设备会将eUICC对应的OP挂起,以使eUICC处于不可用状态,进而组织终端设备的非法接入。终端设备向MNO设备发送附着请求消息,以请求接入MNO设备网络;由于终端设备已经丢失,故MNO设备向终端设备返回拒绝附着响应消息,以拒绝终端设备的接入;终端设备接收到拒绝附着响应消息后,向eUICC发送指示消息,以使eUICC自动激活PP以通过终端设备向SM-SR发起OP请求,并携带终端设备的标识信息和eUICC的标识信息;SM-SR根据终端设备的标识信息和eUICC的标识信息可以判断出终端设备丢失,在发给eUICC的OP响应中携带加密密钥和丢失指示。
对eUICC来说,在接收到第二OP响应消息后,可以根据第二OP响应消息中的丢失指示获知终端设备丢失需要对eUICC上的数据进行保密处理。具体的,eUICC根据所述丢失指示,使用所述加密密钥对eUICC上的数据进行加密处理。
可选的,eUICC完成对eUICC上的数据的加密处理后,可以通过终端设 备向SM-SR返回加密数据确认消息。
在此说明,合法用户挂失具有一个最长时限,在该时限内,合法用户可以解除挂失,从而继续正常使用eUICC以及终端设备。基于此,在终端设备丢失的情况下,本实施例的方法还包括:eUICC通过终端设备向SM-SR发送第三OP请求消息,所述第三OP请求消息包括终端设备的标识信息和eUICC的标识信息;eUICC通过终端设备接收SM-SR发送的第三OP响应消息,所述第三OP响应消息是SM-SR根据接收到的MNO设备发送给M2M-SP设备的恢复签约响应消息确终端设备重新被合法用户持有后,在接收到的第三OP请求消息后发送的,所述恢复签约响应消息是MNO设备在接收到M2M-SP设备发送的恢复签约请求消息后发送给M2M-SP设备的,所述第三OP响应消息包括解密密钥和用于标识终端设备重新被合法用户持有的恢复指示;eUICC根据所述恢复指示,使用所述解密密钥对eUICC上的数据进行解密处理;eUICC通过终端设备向SM-SR发送数据恢复确认消息。
在此说明,本发明各实施例中的恢复指示除了标识终端设备重新被合法用户持有之外,还意味着合法用户针对该终端设备向M2M-SP设备发出了解挂请求。
由上述可见,本实施例提供的基于eUICC的数据保密方法,eUICC与网络侧设备(例如MNO设备、SM-SR和/或M2M-SP设备)相配合,在终端设备未被合法用户持有后,根据接收到的指示信息对eUICC上的数据进行保密处理,从而在终端设备被盗或丢失的情况下实现了对eUICC上的数据的保护,能够很好地保护用户的个人信息安全。
图4为本发明又一实施例提供的基于eUICC的数据保密方法的流程图。如图4所示,本实施例的方法包括:
步骤401、确定终端设备未被合法用户持有。
步骤402、接收终端设备上的eUICC通过终端设备发送的第一OP请求消息,所述第一OP请求消息是终端设备在接收到MNO设备发送的拒绝附着响应消息后指示eUICC发送的,第一OP请求消息包括终端设备的标识信息和eUICC的标识信息。
步骤403、通过终端设备向eUICC返回第一OP响应消息,以使eUICC对eUICC上的数据进行保密处理。
本实施例的执行主体为SM-SR。其中,对MNO设备、SM-SR、SM-DP以及M2M-SP等机器设备看来,终端设备未被合法用户持有的场景包括终端设备被盗或终端设备丢失等情况。根据不同场景,SM-SR确定终端设备未被合法用户持有的具体实施方式会有所不同。
例如,对于终端设备是因为被盗而未被合法用户持有的情况:终端设备被盗可由MNO设备根据终端设备上报的地理位置信息确定出,确定过程可参见上述实施的描述。MNO设备在确定终端设备被盗后,进一步判断终端设备是否处于附着状态,在判断出终端设备处于去附着状态的情况下,MNO设备向SM-SR发送停止签约请求消息,并会在停止签约请求消息中携带eUICC的标识信息和标识终端设备被盗的被盗指示。基于此,则SM-SR确定终端设备未被合法用户持有的过程包括:SM-SR接收MNO设备发送的停止签约请求消息,所述停止签约请求消息是MNO设备在确定终端设备被盗且终端设备处于去附着状态后发送的,停止签约请求消息包括eUICC的标识信息和标识终端设备被盗的被盗指示。SM-SR接收到停止签约请求消息后,根据其中的eUICC的标识信息和被盗指示,确定终端设备被盗。
在终端设备被盗的情况下,在一可选实施方式中,SM-SR在接收到第一OP响应消息后或者在接收到停止签约请求消息后,向SM-DP发送删除签约数据请求消息,以指示SM-DP删除eUICC对应的签约数据。
可选的,在终端设备被盗的情况下,SM-SR返回的第一OP响应消息包括用于标识终端设备被盗的被盗指示,则SM-SR通过终端设备向eUICC返回第一OP响应消息,以使eUICC对eUICC上的数据进行保密处理包括:SM-SR通过终端设备向eUICC返回第一OP响应消息,以使eUICC删除eUICC上的数据。或者,SM-SR通过终端设备向eUICC返回第一OP响应消息,以使eUICC对eUICC上的数据进行加密处理。
例如,对于终端设备是因为被盗而未被合法用户持有的情况:终端设备的合法用户发现终端设备丢失后,可以向M2M-SP设备发送挂失请求,M2M-SP设备根据挂失请求可以确定终端设备丢失。然后,M2M-SP设备向SM-SR发送暂停签约请求消息,并在暂停签约请求消息中携带终端设备的标识信息、eUICC的标识信息和标识终端设备丢失的丢失指示。基于此,SM-SR确定终端设备未被合法用户持有包括:SM-SR接收M2M-SP设备发送的暂停 签约请求消息,将暂停签约请求消息转发给MNO设备,以使MNO设备确定终端设备丢失;所述暂停签约请求消息包括终端设备的标识信息、eUICC的标识信息和丢失指示。在该过程中,SM-SR也可以根据暂停签约请求消息中的丢失指示确定终端设备丢失。
可选的,在终端设备丢失的情况下,MNO设备在接收到暂停签约请求消息后,会通过SM-SR向M2M-SP设备发送暂停签约响应消息。则SM-SR还会接收MNO设备发送的暂停签约响应消息,并将暂停签约响应消息转发给M2M-SP设备,所述暂停签约响应消息包括终端设备的标识信息和eUICC的标识信息。
可选的,在终端设备丢失的情况下,SM-SR返回的第一OP响应消息包括用于标识终端设备丢失的丢失指示和对eUICC上的数据进行加密使用的加密密钥,则SM-SR通过终端设备向eUICC返回第一OP响应消息,以使eUICC对eUICC上的数据进行保密处理包括:SM-SR通过终端设备向eUICC返回第一OP响应消息,以使eUICC对eUICC上的数据进行加密处理。
可选的,在终端设备丢失的情况下,本实施例的方法还包括:接收eUICC通过终端设备发送的第二OP请求消息,所述第二OP请求消息包括终端设备的标识信息和eUICC的标识信息;通过终端设备向eUICC发送第二OP响应消息,所述第二OP响应消息是根据接收到的MNO设备发送给M2M-SP设备的恢复签约响应消息确定终端设备重新被合法用户持有后,在接收到第二OP请求消息后发送的,所述恢复签约响应消息是MNO设备在接收到M2M-SP设备发送的恢复签约请求消息后发送给M2M-SP设备的,所述第二OP响应消息包括解密密钥和用于标识终端设备重新被合法用户持有的恢复指示,以使eUICC根据所述恢复指示,使用解密密钥对eUICC上的数据进行解密处理;接收eUICC通过终端设备发送的数据恢复确认消息。
在此说明,在终端设备丢失的情况下,本实施例中的第一OP请求消息和第一OP响应消息分别相当于其他方法实施例中的第二OP请求消息和第二OP响应消息;相应的,本实施例中的第二OP请求消息和第二OP响应消息分别相当于其他方法实施例中的第三OP请求消息和第三OP响应消息。
由上述可见,本实施例提供的基于eUICC的数据保密方法,SM-SR在终端设备被盗或丢失等未被合法用户持有的情况下,针对eUICC发送的OP请 求返回OP响应并在OP响应中携带标识终端设备被盗或丢失的指示,使得eUICC可以根据该指示对eUICC上的数据进行保密处理,从而在终端设备被盗或丢失等情况下实现了对eUICC上的数据的保护,能够很好地保护用户的个人信息安全。
图5为本发明一实施例提供的在终端设备丢失情况下,基于eUICC的数据保密方法的流程图。如图5所示,本实施例的方法包括:
步骤501、确定终端设备丢失。
步骤502、接收终端设备上的eUICC通过终端设备发送的第二OP请求消息,所述第二OP请求消息是终端设备在接收到MNO设备发送的拒绝附着响应消息后指示eUICC发送的,第二OP请求消息包括终端设备的标识信息和eUICC的标识信息。
步骤503、通过终端设备向eUICC返回第二OP响应消息,以使eUICC对eUICC上的数据进行加密处理,所述第二OP响应消息包括用于标识终端设备丢失的丢失指示和对eUICC上的数据进行加密使用的加密密钥。
本实施例的执行主体为SM-SR。本实施例适用于终端设备丢失的情况。具体的,终端设备的合法用户发现终端设备丢失后,可以向M2M-SP设备发送挂失请求,M2M-SP设备根据挂失请求可以确定终端设备丢失。然后,M2M-SP设备向SM-SR发送暂停签约请求消息,相应的,SM-SR接收M2M-SP设备发送的暂停签约请求消息,将暂停签约请求消息转发给MNO设备,以使MNO设备确定终端设备丢失;所述暂停签约请求消息包括终端设备的标识信息、eUICC的标识信息和丢失指示。在该过程中,SM-SR也可以根据暂停签约请求消息中的丢失指示确定终端设备丢失。
可选的,MNO设备在接收到暂停签约请求消息后,会通过SM-SR向M2M-SP设备发送暂停签约响应消息。则SM-SR还会接收MNO设备发送的暂停签约响应消息,并将暂停签约响应消息转发给M2M-SP设备,所述暂停签约响应消息包括终端设备的标识信息和eUICC的标识信息。
在此说明,合法用户挂失具有一个最长时限,在该时限内,合法用户可以解除挂失,从而继续正常使用eUICC以及终端设备。基于此,在终端设备丢失的情况下,本实施例的方法还包括:接收eUICC通过终端设备发送的第三OP请求消息,所述第三OP请求消息包括终端设备的标识信息和eUICC 的标识信息;通过终端设备向eUICC发送第三OP响应消息,所述第三OP响应消息是根据接收到的MNO设备发送给M2M-SP设备的恢复签约响应消息确定终端设备重新被合法用户持有后,在接收到第三OP请求消息后发送的,所述恢复签约响应消息是MNO设备在接收到M2M-SP设备发送的恢复签约请求消息后发送给M2M-SP设备的,所述第三OP响应消息包括解密密钥和用于标识终端设备重新被合法用户持有的恢复指示,以使eUICC根据所述恢复指示,使用解密密钥对eUICC上的数据进行解密处理;接收eUICC通过终端设备发送的数据恢复确认消息。
由上述可见,本实施例提供的基于eUICC的数据保密方法,SM-SR在终端设备丢失的情况下,针对eUICC发送的OP请求返回OP响应并在OP响应中携带标识终端设备丢失的丢失指示,使得eUICC可以根据该丢失指示将eUICC上的数据删除,从而在终端设备丢失的情况下实现了对eUICC上的数据的保护,能够很好地保护用户的个人信息安全。
图6为本发明又一实施例提供的基于eUICC的数据保密方法的流程图。如图6所示,本实施例的方法包括:
步骤6a、MNO设备检测到终端设备被盗。
由于许多终端设备具有低移动性的特点,因此用户可以在签约中预先定制终端设备的合法使用区域,并存储在MNO设备上。终端设备会周期性的通过信令向MNO设备上报其所在的地理位置信息。MNO设备可以将终端设备上报的地理位置信息与用户签约数据中该终端设备的合法使用区域进行比较,通过判断终端设备上报的地理位置信息是否属于合法使用区域,进而分析得出该终端设备是否被盗的结论。如果终端设备上报的地理位置信息不属于该终端设备的合法使用区域,则MNO设备可以确定终端设备被盗,反之,确定终端设备没有被盗(即仍被合法用户持有)。
步骤6b、MNO设备通过SM-SR向M2M-SP设备发起设备被盗处理策略请求,携带终端设备的标识信息、eUICC的标识信息和终端设备上报的地理位置信息。
步骤6c、M2M-SP设备根据终端设备的标识信息、eUICC的标识信息和终端设备上报的地理位置信息,确定终端设备属于被盗情形,通过SM-SR向MNO设备返回设备被盗处理策略响应消息,携带被盗处理指示。
由于低移动性的终端设备发生地理位置变动,在很大程度上是因为被盗,但也有可能是M2M-SP设备组织的系统维护(例如在某个位置对所有终端设备进行统一维护)等导致的。在这些特殊情况下,直接确定终端设备被盗会发生错误的操作,影响终端设备的服务,基于此,MNO设备可以向M2M-SP设备获取终端设备是否是被盗的处理指示。
其中,步骤6b和步骤6c属于可选步骤。
步骤6d、MNO设备根据被盗处理指示确定终端设备真的被盗,将eUICC的标识信息加入黑名单。
鉴于MNO设备是基于终端设备最近一次上报的地理位置信息监测到终端设备被盗的,终端设备可能是处于附着状态,也可能是处于去附着状态(又称为未附着状态)。对于终端设备处于附着状态的情况,本实施例采用下述两种寻呼方法来引导eUICC删除本地数据。
步骤6e1、MNO设备向终端设备发送第一寻呼消息,携带终端设备的标识信息和被盗指示。这里的第一寻呼消息是一种增强型的寻呼消息。
步骤6f1、终端设备向eUICC发送停止签约命令,携带终端设备的标识信息和被盗指示。
步骤6g1、eUICC通过终端设备向SM-SR发送停止签约响应,携带终端设备的标识信息、eUICC的标识信息和被盗指示,然后执行步骤6k。
步骤6e2、MNO设备向终端设备发送第二寻呼消息,携带终端设备的标识信息。
步骤6f2、终端设备向eUICC发送指示消息,以指示eUICC向SM-SR发起OP请求。
步骤6g2、eUICC通过终端设备向SM-SR发送第一OP请求消息,携带终端设备的标识信息和eUICC的标识信息。
步骤6h2、SM-SR根据终端设备的标识信息和eUICC的标识信息判断出终端设备被盗,向eUICC发送第一OP响应消息,携带被盗指示,然后执行步骤6k。
步骤6i、eUICC根据被盗指示,删除eUICC上的数据。eUICC删除的本地数据包括但不限于OP、PP和用户数据。
上述步骤6e1、步骤6f1、步骤6g1和步骤6i是在终端设备处于附着状态 情况下,提供的第一种寻呼方法引导eUICC删除本地数据的流程。
上述步骤6e2、步骤6f2、步骤6g2、步骤6h2和步骤6i是在终端设备处于附着状态情况下,提供的第二种寻呼方法引导eUICC删除本地数据的流程。
步骤6j、MNO设备向SM-SR发起停止签约请求消息,携带eUICC的标识信息和被盗指示,然后执行步骤6k。
步骤6k、SM-SR向SM-DP发送删除签约数据请求消息,携带eUICC的标识信息。
步骤6l、SM-DP根据eUICC的标识信息删除eUICC对应的签约数据。
步骤6m、SM-DP向SM-SR返回删除签约数据完毕的消息。
步骤6n、终端设备尝试访问MNO网络被拒绝。
步骤6n具体包括:终端设备向MNO设备发送附着请求消息,然后接收MNO设备返回的拒绝附着响应消息,在接收到拒绝附着响应消息之后向eUICC发送指示消息,以使eUICC向SM-SR发起OP请求。
步骤6o、eUICC自动激活其中的PP,并通过终端设备向SM-SR发送第二OP请求消息,携带终端设备的标识信息和eUICC的标识信息。
步骤6p、SM-SR根据终端设备的标识信息和eUICC的标识信息判断出终端设备被盗,通过终端设备向eUICC发送第二OP响应消息,携带被盗指示。
步骤6q、eUICC根据被盗指示,删除eUICC上的数据。eUICC删除的本地数据包括但不限于OP、PP和用户数据。
上述步骤6j以及步骤6n步骤6q是在终端设备处于去附着状态情况下,引导eUICC删除本地数据的流程。
步骤6k-步骤6m属于网络侧的处理流程,该流程并不受终端设备是处于附着状态还是去附着状态的限制。
在本实施例中,第一寻呼消息和第二寻呼消息中携带的终端设备的标识为IMSI,其他消息中携带的终端设备的标识信息为IMEI。
由上述可见,本实施例提供的方法,MNO设备在监测到终端设备被盗后,一方面通过将终端设备上的eUICC的标识信息加入黑名单,禁止终端设备非法接入MNO设备网络,另一方面尝试引导eUICC对本地数据进行删除操作,能够很好地保护用户的个人信息安全。
图7为本发明又一实施例提供的基于eUICC的数据保密方法的流程图。如图7所示,本实施例的方法包括:
步骤7a、M2M-SP设备根据终端设备的合法用户发起的挂失请求,确定终端设备丢失。
步骤7b、M2M-SP设备通过SM-SR向MNO设备发送暂停签约请求消息,携带终端设备的标识信息、eUICC的标识信息和标识终端设备丢失的丢失指示。
步骤7c、MNO设备将eUICC对应的OP状态置为挂起。
步骤7d、MNO设备通过SM-SR向M2M-SP设备返回暂停签约响应消息,携带终端设备的标识信息和eUICC的标识信息。
步骤7e、M2M-SP设备备份终端设备的计费信息并暂停计费。
步骤7f、终端设备在合法用户解挂之前尝试访问MNO网络被拒绝。
步骤7f具体包括:终端设备向MNO设备发送附着请求消息,接收MNO设备返回的拒绝附着响应消息,在接收到拒绝附着响应消息之后向eUICC发送指示消息,以使eUICC向SM-SR发起OP请求。
步骤7g、eUICC自动激活其中的PP,并通过终端设备向SM-SR发送第二OP请求消息,携带终端设备的标识信息和eUICC的标识信息。
步骤7h、SM-SR根据终端设备的标识信息和eUICC的标识信息判断出终端设备丢失,通过终端设备向eUICC发送第二OP响应消息,携带丢失指示和加密密钥。
步骤7i、eUICC根据所述丢失指示,使用所述加密密钥对eUICC上的数据进行加密处理。eUICC加密的本地数据包括但不限于OP和用户数据。
步骤7j、eUICC通过终端设备向SM-SR返回加密数据确认消息。
合法用户对终端设备的挂失具有一个最长时限,在该最长时限内,如果合法用户找到终端设备可以解除挂失,从而继续正常使用eUICC与终端设备。基于此,本实施例的方法还包括以下可选步骤:
步骤7k、M2M-SP设备接收针对终端设备的解挂请求。
步骤7l、M2M-SP设备通过SM-SR向MNO设备发送恢复签约请求消息,携带终端设备的标识信息、eUICC的标识信息和恢复指示。
步骤7m、MNO设备将eUICC对应的OP的状态恢复为正常。
步骤7n、MNO设备通过SM-SR向M2M-SP设备返回恢复签约响应消息,携带终端设备的标识信息和eUICC的标识信息。
步骤7o、M2M-SP设备重新载入备份的计费信息,并继续对终端设备进行计费。
步骤7p、eUICC通过终端设备向SM-SR发送第三OP请求消息,携带终端设备的标识信息和eUICC的标识信息。
步骤7q、SM-SR根据终端设备的标识信息和eUICC的标识信息判断出终端设备已解挂,向eUICC返回第三OP响应消息,携带解密密钥和恢复指示。
步骤7r、eUICC根据恢复指示,使用解密密钥解密出本地数据。
步骤7s、eUICC通过终端设备向SM-SR返回解密数据确认消息。
如果在最长时限结束时,合法用户仍未找到终端设备,则本实施例的方法还包括要求用户进行结算完并将删除网络侧的签约数据的操作。如图7所示,本实施例的方法还包括以下可选步骤:
步骤7t、M2M-SP设备检测到终端设备的挂失时间超过最大时限,通知该终端设备的合法用户完成结算,然后删除之前备份的计费信息。
步骤7u、网络侧的SM-DP、MNO设备、SM-SR删除该终端设备对应的签约数据。
由上述可见,本实施例提供的方法,M2M-SP设备在获知终端设备丢失后,一方面命令MNO设备临时挂起该终端设备上的eUICC对应的OP来暂停签约,以禁止终端设备非法接入MNO设备网络,另一方面在终端设备在解挂前尝试访问MNO设备网络被拒绝时,SM-SR下发加密密钥到eUICC引导eUICC对本地数据进行加密操作,能够很好地保护用户的个人信息安全。另外,在合法用户要求解挂时,首先恢复网络侧的签约状态,再由eUICC通过终端设备联系SM-SR时,SM-SR下发解密密钥到eUICC上,完成eUICC上的数据的解密操作。
图8为本发明一实施例提供的MNO设备的结构示意图。如图8所示,本实施例的MNO设备包括:确定模块81、设置模块82和保密处理指示模块83。
其中,确定模块81,用于确定终端设备未被合法用户持有。
设置模块82,用于在确定模块81确定终端设备未被合法用户持有后,设置终端设备上的eUICC为不可用状态。
保密处理指示模块83,用于在确定模块81确定终端设备未被合法用户持有后,通过终端设备指示eUICC对eUICC上的数据进行保密处理。
在一可选实施方式中,如图9所示,确定模块81的一种实现结构包括:第一接收子模块811和第一确定子模块812。
第一接收子模块811,用于接收终端设备上报的终端设备所在的地理位置信息。第一确定子模块812,与第一接收子模块811连接,用于在第一接收子模块811接收到的地理位置信息不属于预设的终端设备的合法使用区域时,确定终端设备被盗。
可选的,第一确定子模块812的一种实现结构包括:发送单元8121、接收单元8122和确定单元8123。
发送单元8121,与第一接收子模块811连接,用于在确定出第一接收子模块811接收到的地理位置信息不属于预设的终端设备的合法使用区域后,向M2M-SP设备发送设备被盗处理策略请求消息,所述设备被盗处理策略请求消息包括终端设备的标识信息、eUICC的标识信息和地理位置信息。
接收单元8122,用于接收M2M-SP设备发送的设备被盗处理策略响应消息,所述设备被盗处理策略响应消息是M2M-SP设备根据终端设备的标识信息、eUICC的标识信息和地理位置信息判断出终端设备被盗后发送的,所述设备被盗处理策略响应消息包括被盗处理指示。可选的,接收单元8122与发送单元8121连接,用于在发送单元8121发送设备被盗处理策略请求消息后,接收设备被盗处理策略响应消息。
确定单元8123,与接收单元8122连接,用于根据接收单元8122接收到的被盗处理指示确定终端设备被盗。
基于上述终端设备被盗的情况,设置模块82具体用于将终端设备上的eUICC的标识信息加入黑名单,以使该eUICC处于不可用状态。
基于上述终端设备被盗的情况,保密处理指示模块83具体用于通过终端设备指示eUICC将eUICC上的数据删除。
基于上述终端设备被盗的情况,保密处理指示模块83具体可用于向终端设备发送第一寻呼消息,以使终端设备向eUICC发送停止签约命令,以使 eUICC根据停止签约命令对eUICC上的数据进行保密处理,所述第一寻呼消息包括终端设备的标识信息和用于标识终端设备被盗的被盗指示,所述停止签约命令包括终端设备的标识信息和所述被盗指示。或者,保密处理指示模块83具体可用于向终端设备发送第二寻呼消息,以使终端设备指示eUICC向SM-SR发送第一OP请求消息并在接收到SM-SR返回的第一OP响应消息后对eUICC上的数据进行保密处理,所述第二寻呼消息包括终端设备的标识信息,所述第一OP请求消息包括终端设备的标识信息和eUICC的标识信息,所述第一OP响应消息是SM-SR根据终端设备的标识信息和eUICC的标识信息确定出终端设备被盗后发送的,所述第一OP响应消息包括所述被盗指示。
基于上述,如图9所示,本实施例的MNO设备还包括:判断模块84。判断模块84,与保密处理指示模块83连接,用于在保密处理指示模块83指示eUICC对eUICC上的数据进行保密处理之前,判断终端设备是否处于附着状态,并在判断除终端设备处于附着状态时,触发保密处理指示模块83通过终端设备指示eUICC对eUICC上的数据进行保密处理。
进一步可选的,如图9所示,本实施例的MNO设备还包括:删除指示模块85。删除指示模块85,与判断模块84连接,用于在判断模块84判断出终端设备处于去附着状态时,向SM-SR发送停止签约请求消息,以使SM-SR指示SM-DP删除eUICC对应的签约数据,所述停止签约请求消息包括eUICC的标识信息和用于标识终端设备被盗的被盗指示。
在一可选实施方式中,如图9所示,确定模块81的另一种实现结构包括:第二接收子模块813和第二确定子模块814。
第二接收子模块813,用于接收M2M-SP设备发送的暂停签约请求消息,所述暂停签约请求消息包括终端设备的标识信息、eUICC的标识信息和用于标识终端设备丢失的丢失指示,其中,M2M-SP设备根据终端设备的合法用户的挂失请求确定终端设备丢失。
第二确定子模块814,与第二接收子模块813连接,用于根据第二接收子模块813接收到的丢失指示,确定终端设备丢失。
基于上述终端设备丢失的情况,设置模块82具体可用于将eUICC对应的OP挂起,以使eUICC处于不可用状态。基于此,本实施例的MNO设备还包括:暂停响应发送模块86。
暂停响应发送模块86,与设置模块82连接,用于在设置模块82将eUICC对应的OP挂起后,向M2M-SP设备发送暂停签约响应消息,所述暂停签约响应消息包括终端设备的标识信息和eUICC的标识信息。
基于上述终端设备丢失的情况,如图9所示,保密处理指示模块83的一种实现结构包括:第三接收子模块831和发送子模块832。
第三接收子模块831,用于接收终端设备发送的附着请求消息。
发送子模块832,与第三接收子模块831连接,用于在第三接收子模块831接收到附着请求消息后,向终端设备返回拒绝附着响应消息,以使终端设备指示eUICC向SM-SR发送第二OP请求消息并在接收到SM-SR返回的第二OP响应消息后对eUICC上的数据进行加密处理,所述第二OP请求消息包括终端设备的标识信息和eUICC的标识信息,所述第二OP响应消息是SM-SR根据终端设备的标识信息和eUICC的标识信息确定出终端设备丢失后发送的,所述第二OP响应消息包括丢失指示和对eUICC上的数据进行加密使用的加密密钥。
基于上述,如图9所示,本实施例的MNO设备还包括:恢复请求接收模块87、解挂模块88和恢复响应发送模块89。
恢复请求接收模块87,用于接收M2M-SP设备通过SM-SR发送的恢复签约请求消息,所述恢复签约请求消息包括终端设备的标识信息、eUICC的标识信息和用于标识终端设备重新被合法用户持有的恢复指示。可选的,恢复请求接收模块87与发送子模块832连接。
解挂模块88,与恢复请求接收模块87连接,用于在恢复请求接收模块87接收到恢复签约请求消息,将eUICC对应的OP解挂,以使eUICC恢复为可用状态。
恢复响应发送模块89,与解挂模块88连接,用于在解挂模块88将eUICC对应的OP解挂后,通过SM-SR向M2M-SP设备发送恢复签约响应消息,所述恢复签约响应消息包括终端设备的标识信息和eUICC的标识信息。
本实施例提供的MNO设备的各功能模块可用于执行图2所示数据保密方法中的相应流程,其具体工作原理不再赘述,详见方法实施例的描述。
本实施例的MNO设备,在确定终端设备未被合法用户持有后,通过设置终端设备上的eUICC为不可用状态,可以达到禁止终端设备非法接入MNO 设备网络,并通过终端设备指示eUICC对eUICC上的数据进行保密处理,从而在终端设备被盗或丢失的情况下实现了对eUICC上的数据的保护,能够很好地保护用户的个人信息安全。
图10为本发明又一实施例提供的MNO设备的结构示意图。如10所示,本实施例的MNO设备包括:处理器1001、通信接口1002、存储器1003以及总线1004。处理器1001、通信接口1002和存储器1003通过总线1004相互连接并通过完成相互间的通信。总线1004可以是工业标准体系结构(Industry Standard Architecture,简称为ISA)总线、外部设备互连(Peripheral Component,简称为PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,简称为EISA)总线等。总线1004可以分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线1004。其中:
存储器1003,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。除了存放程序之外,存储器1003还可存储通信接口1002接收或发送的数据。
存储器1003可能包含高速RAM存储器,也可能还包括非易失性存储器(英文为non-volatile memory),例如至少一个磁盘存储器。
处理器1001用于执行存储器1003存放的程序,以实现:确定终端设备未被合法用户持有,设置终端设备上的eUICC为不可用状态。
通信接口1002,用于通过终端设备指示eUICC对eUICC上的数据进行保密处理。
可选的,通信接口1002可以在处理器1001的控制下,通过终端设备指示eUICC对eUICC上的数据进行保密处理。例如,处理器1001通过其与通信接口1002之间的总线,向通信接口1002发送指令,通信接口1002根据处理器1001的指令,通过终端设备指示eUICC对eUICC上的数据进行保密处理。
处理器1001可能是一个中央处理器(Central Processing Unit,简称为CPU),或者是特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路。
本实施例提供的MNO设备可用于执行图2所示数据保密方法中的相应 流程,其具体工作原理不再赘述,详见方法实施例的描述。
本实施例的MNO设备,在确定终端设备未被合法用户持有后,通过设置终端设备上的eUICC为不可用状态,可以达到禁止终端设备非法接入MNO设备网络,并通过终端设备指示eUICC对eUICC上的数据进行保密处理,从而在终端设备被盗或丢失的情况下实现了对eUICC上的数据的保护,能够很好地保护用户的个人信息安全。
图11为本发明一实施例提供的eUICC设备的结构示意图。本实施例的eUICC设备嵌在终端设备中,如图11所示,本实施例的eUICC设备包括:指示接收模块1101和保密处理模块1102。
指示接收模块1101,用于接收指示消息,所述指示消息用于在终端设备未被合法用户持有时,指示嵌入终端设备的本实施例的eUICC设备对该eUICC设备上的数据进行保密处理。
保密处理模块1102,与指示接收模块1101连接,用于根据指示接收模块1101接收到的指示消息,对本实施例的eUICC设备上的数据进行保密处理。
在一可选实施方式中,指示接收模块1101接收到的指示消息为停止签约命令。基于此,如图12所示,指示接收模块1101的一种实现结构包括:第一接收子模块11011和第一发送子模块11012。
第一接收子模块11011,用于接收终端设备发送的停止签约命令,所述停止签约命令是终端设备在接收到MNO设备发送的第一寻呼消息后生成并发送给本实施例的eUICC设备的,所述第一寻呼消息是MNO设备在根据终端设备上报的地理位置信息确定终端设备被盗后发送给终端设备的,所述第一寻呼消息包括终端设备的标识信息和用于标识终端设备被盗的被盗指示,所述停止签约命令包括终端设备的标识信息和被盗指示。
第一发送子模块11012,与第一接收子模块11011连接,用于在第一接收子模块11011接收到停止签约命令后,通过终端设备向SM-SR发送停止签约响应,所述停止签约响应包括终端设备的标识信息、本实施例的eUICC设备的标识信息和第一接收子模块11011接收到的被盗指示。第一发送子模块11012还与保密处理模块1102连接,用于向保密处理模块1102提供被盗指示。
在一可选实施方式中,指示接收模块1101接收到的指示消息为第一OP响应消息。基于此,如图12所示,指示接收模块1101的一种实现结构包括:第二发送子模块11013和第二接收子模块11014。
第二发送子模块11013,用于根据终端设备在接收到第二寻呼消息后的指示,通过终端设备向SM-SR发送第一OP请求消息;所述第二寻呼消息是MNO设备在根据终端设备上报的地理位置信息确定终端设备被盗后发送给终端设备的,所述第二寻呼消息包括终端设备的标识信息,第一OP请求消息包括终端设备的标识信息和本实施例的eUICC设备的标识信息。
第二接收子模块11014,与第二发送子模块11013连接,用于在第二发送子模块11013发送第一OP请求消息之后,通过终端设备接收SM-SR返回的第一OP响应消息;所述第一OP响应消息是SM-SR根据终端设备的标识信息和本实施例的eUICC设备的标识信息确定出终端设备被盗后发送的,所述第一OP响应消息包括用于标识终端设备被盗的被盗指示。第二接收子模块11014与保密处理模块1102连接,用于向保密处理模块1102提供被盗指示。
基于上述指示接收模块1101的两种实现结构,保密处理模块1102具体可用于根据所述被盗指示,删除本实施例的eUICC设备上的数据。
在一可选实施方式中,指示接收模块1101接收到的指示消息为第二OP响应消息。基于此,如图12所示,指示接收模块1101的另一种实现结构包括:第三发送子模块11015和第三接收子模块11016。
第三发送子模块11015,用于根据终端设备在接收到拒绝附着响应消息后的指示,通过终端设备向SM-SR发送第二OP请求消息;所述拒绝附着响应消息是MNO设备在接收到终端设备发送的附着请求消息且确定出终端设备丢失后发送给终端设备的,所述第二OP请求消息包括终端设备的标识信息和本实施例的eUICC设备的标识信息。
第三接收子模块11016,与第三发送子模块11015连接,用于在第三发送子模块11015发送第二OP请求消息后,通过终端设备接收SM-SR返回的第二OP响应消息;所述第二OP响应消息是SM-SR根据终端设备的标识信息和本实施例的eUICC设备的标识信息确定出终端设备丢失后发送的,所述第二OP响应消息包括用于标识终端设备丢失的丢失指示和对本实施例的 eUICC设备上的数据进行加密使用的加密密钥。第三接收子模块11016还与保密处理模块1102连接。
基于终端设备丢失的情况,保密处理模块1102具体可用于根据第三接收子模块11016接收到的丢失指示,使用第三接收子模块11016接收到的加密密钥对本实施例的eUICC设备上的数据进行加密处理。
基于上述,如图12所示,本实施例的eUICC设备还包括:请求发送模块1103、响应接收模块1104、解密处理模块1105和确认发送模块1106。
请求发送模块1103,用于通过终端设备向SM-SR发送第三OP请求消息,所述第三OP请求消息包括终端设备的标识信息和本实施例的eUICC设备的标识信息。可选的,请求发送模块1103与保密处理模块1102连接。
响应接收模块1104,与请求发送模块1103连接,用于在请求发送模块1103发送第三OP请求消息之后,通过终端设备接收SM-SR发送的第三OP响应消息,所述第三OP响应消息是SM-SR根据接收到的MNO设备发送给M2M-SP设备的恢复签约响应消息确定终端设备重新被合法用户持有后,在接收到第三OP请求消息后发送的,所述恢复签约响应消息是MNO设备在接收到M2M-SP设备发送的恢复签约请求消息后发送给M2M-SP设备的,所述第三OP响应消息包括解密密钥和用于标识终端设备被合法用户持有的恢复指示。
解密处理模块1105,与响应接收模块1104连接,用于根据响应接收模块1104接收到的恢复指示,使用响应接收模块1104接收到的解密密钥对本实施例的eUICC设备上的数据进行解密处理。
确认发送模块1106,与解密处理模块1105连接,用于在解密处理模块1105对本实施例的eUICC设备上的数据进行解密处理后,通过终端设备向SM-SR发送数据恢复确认消息。
本实施例的eUICC设备的各功能模块可用于执行图3所示数据保密方法中的相应流程,其具体工作原理不再赘述,详见方法实施例的描述。
本实施例提供的eUICC设备,与网络侧设备(例如MNO设备、SM-SR和/或M2M-SP设备)相配合,在终端设备未被合法用户持有后,根据接收到的指示信息对eUICC上的数据进行保密处理,从而在终端设备被盗或丢失的情况下实现了对eUICC上的数据的保护,能够很好地保护用户的个人信息安 全。
图13为本发明又一实施例提供的eUICC设备的结构示意图。本实施例的eUICC设备嵌在终端设备中,如图13所示,本实施例的eUICC设备包括:通信接口1301、处理器1302、存储器1303和总线1304。通信接口1301、处理器1302和存储器1303通过总线1304相互连接并完成相互间的通信。总线1304可以是ISA总线、PCI总线或EISA总线等。总线1304可以分为地址总线、数据总线、控制总线等。为便于表示,图13中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线1304。其中:
存储器1303,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。除了存放程序之外,存储器1303还可存储通信接口1301接收或发送的数据。
存储器1303可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
通信接口1301用于接收指示消息,所述指示消息用于在终端设备未被合法用户持有时,指示嵌入终端设备的eUICC设备对eUICC设备上的数据进行保密处理
处理器1302用于执行存储器1303存放的程序,以实现:根据通信接口1301接收到的指示消息,对本实施例的eUICC上的数据进行保密处理。
处理器1302可能是一个CPU,或者是特定ASIC,或者是被配置成实施本发明实施例的一个或多个集成电路。
本实施例提供的eUICC设备可用于执行图3所示数据保密方法中的相应流程,其具体工作原理不再赘述,详见方法实施例的描述。
本实施例提供的eUICC设备,与网络侧设备(例如MNO设备、SM-SR和/或M2M-SP设备)相配合,在终端设备未被合法用户持有后,根据接收到的指示信息对eUICC上的数据进行保密处理,从而在终端设备被盗或丢失的情况下实现了对eUICC上的数据的保护,能够很好地保护用户的个人信息安全。
图14为本发明一实施例提供的SM-SR设备的结构示意图。如图14所示,本实施例的SM-SR设备包括:确定模块1401、第一请求接收模块1402和第一响应发送模块1403。
确定模块1401,用于确定终端设备未被合法用户持有。
第一请求接收模块1402,与确定模块1401连接,用于在确定模块1401确定终端被盗后,接收终端设备上的eUICC通过终端设备发送的第一OP请求消息,所述第一OP请求消息是终端设备在接收到MNO设备发送的拒绝附着响应消息后指示eUICC发送的,所述第一OP请求消息包括终端设备的标识信息和eUICC的标识信息。
第一响应发送模块1403,与第一请求接收模块1402连接,用于在第一请求接收模块1402接收到第一OP请求消息后,通过终端设备向eUICC返回第一OP响应消息,以使eUICC对eUICC上的数据进行保密处理。
在一可选实施方式中,如图15所示,确定模块1401的一种实现结构包括:接收子模块14011和第一确定子模块14012。
接收子模块14011,用于接收MNO设备发送的停止签约请求消息,所述停止签约请求消息是MNO设备在确定终端设备被盗且终端设备处于去附着状态后发送的,所述停止签约请求消息包括eUICC的标识信息和被盗指示。
第一确定子模块14012,与接收子模块14011连接,用于根据接收子模块14011接收到的eUICC的标识信息和被盗指示,确定终端设备被盗。第一请求接收模块1402与第一确定子模块14012连接。
如图15所示,在第一确定子模块14012确定出终端设备被盗的情况下,本实施例的SM-SR设备还可以包括:请求发送模块14013,与接收子模块14011和第一响应发送模块1403连接,用于在第一响应发送模块1403向eUICC返回第一OP响应消息后或在接收子模块14011接收到停止签约请求消息后,向SM-DP发送删除签约数据请求消息,以指示SM-DP删除eUICC对应的签约数据。
在第一确定子模块14012确定出终端设备被盗的情况下,第一OP响应消息包括用于标识终端设备被盗的被盗指示,则第一响应发送模块1403具体可用于通过终端设备向eUICC返回第一OP响应消息,以使eUICC删除eUICC上的数据。可选的,第一响应发送模块1403具体也可用于通过终端设备向eUICC返回第一OP响应消息,以使eUICC对eUICC上的数据进行加密处理。在一可选实施方式中,如图15所示,确定模块1401包括:接收转发子模块16011和第二确定子模块16012。
接收转发子模块16011,用于接收M2M-SP设备发送的暂停签约请求消息,将暂停签约请求消息转发给MNO设备,以使MNO设备确定终端设备丢失;所述暂停签约请求消息包括终端设备的标识信息、eUICC的标识信息和丢失指示。
第二确定子模块16012,与接收转发子模块16011连接,用于根据接收转发子模块16011接收到的丢失指示,确定终端设备丢失。第二确定子模块16012与第一请求接收模块1402连接。
在第二确定子模块16012确定除终端设备丢失的情况下,第一OP响应消息包括用于标识终端设备丢失的丢失指示和对eUICC上的数据进行加密使用的加密密钥,则第一响应发送模块1403具体可用于通过终端设备向eUICC返回第一OP响应消息,以使eUICC对eUICC上的数据进行加密处理。
在第二确定子模块16012确定除终端设备丢失的情况下,在一可选实施方式中,如图15所示,本实施例的SM-SR还包括:暂停响应接收模块1604和暂停响应转发模块1605。
暂停响应接收模块1604,与接收转发子模块16011连接,用于在接收转发子模块16011转发暂停签约请求消息后,接收MNO设备发送的暂停签约响应消息,所述暂停签约响应消息包括终端设备的标识信息和eUICC的标识信息。
暂停响应转发模块1605,与暂停响应接收模块1604连接,用于将暂停响应接收模块1604接收到的暂停签约响应消息转发给M2M-SP设备。
在第二确定子模块16012确定除终端设备丢失的情况下,在一可选实施方式中,如图15所示,本实施例的SM-SR还包括:第二请求接收模块1606、第二响应发送模块1607和确定接收模块1608。
第二请求接收模块1606,用于接收eUICC通过终端设备发送的第二OP请求消息,所述第二OP请求消息包括终端设备的标识信息和eUICC的标识信息。可选的,第二请求接收模块1606与第一响应发送模块1403连接,用于在第一响应发送模块1403向eUICC返回第一OP响应消息,以使eUICC对eUICC上的数据进行加密处理之后,接收eUICC通过终端设备发送的第二OP请求消息。
第二响应发送模块1607,与第二请求接收模块1606连接,用于在第二请求接收模块1606接收到第二OP请求消息后,通过终端设备向eUICC发送 第二OP响应消息,所述第二OP响应消息是根据接收到MNO设备发送给M2M-SP设备的恢复签约响应消息确定终端设备重新被合法用户持有后,在接收到第二OP请求消息后发送的,所述恢复签约响应消息是MNO设备在接收到M2M-SP设备发送的恢复签约请求消息后发送给M2M-SP设备的,所述第二OP响应消息包括解密密钥和用于标识终端设备重新被所述合法用户持有的恢复指示,以使eUICC根据恢复指示,使用解密密钥对eUICC上的数据进行解密处理。
确认接收模块1608,与第二响应发送模块1607连接,用于在第二响应发送模块1607发送第二OP响应消息后,接收eUICC通过终端设备发送的数据恢复确认消息。
本实施例的SM-SR设备的各功能模块或子模块可用于执行图4所示数据保密方法中的相应流程,其具体工作原理不再赘述,详见方法实施例的描述。
本实施例的SM-SR设备,在终端设备被盗或丢失等未被合法用户持有的情况下,针对eUICC发送的OP请求返回OP响应并在OP响应中携带标识终端设备被盗或丢失的指示,使得eUICC可以根据该指示对eUICC上的数据进行保密处理,从而在终端设备被盗或丢失等情况下实现了对eUICC上的数据的保护,能够很好地保护用户的个人信息安全。
图16为本发明又一实施例提供的SM-SR设备的接收示意图。如图16所示,本实施例的SM-SR设备包括:处理器1801、通信接口1802、存储器1803和总线1804。处理器1801、通信接口1802和存储器1803通过总线1804相互连接并完成相互间的通信。总线1804可以是ISA总线、PCI总线或EISA总线等。总线1804可以分为地址总线、数据总线、控制总线等。为便于表示,图16中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线1804。其中:
存储器1803,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。除了存放程序之外,存储器1803还可存储通信接口1802接收或发送的数据。
存储器1803可能包含高速RAM存储器,也可能还包括非易失性存储器(英文为non-volatile memory),例如至少一个磁盘存储器。
处理器1801用于执行存储器1803存放的程序,以确定终端设备未被合法用户持有。处理器1801可能是一个CPU,或者是特定ASIC,或者是被配置成实施本发明实施例的一个或多个集成电路。
通信接口1802,用于在处理器1801确定终端设备未被合法用户持有之后,接收终端设备上的eUICC通过终端设备发送的第一OP请求消息,所述第一OP请求消息是终端设备在接收到MNO设备发送的拒绝附着响应消息后指示eUICC发送的,所述第一OP请求消息包括终端设备的标识信息和eUICC的标识信息;通信接口1802还用于通过终端设备向eUICC返回第一OP响应消息,以使eUICC对eUICC上的数据进行保密处理。
可选的,在处理器1801确定终端设备被盗的情况下,第一OP响应消息包括用于标识终端设备被盗的被盗指示。
可选的,在处理器1801确定终端设备丢失的情况下,第一OP响应消息包括用于标识终端设备丢失的丢失指示和对eUICC上的数据进行加密使用的加密密钥。
本实施例的SM-SR设备的各功能模块或子模块可用于执行图4所示数据保密方法中的相应流程,其具体工作原理不再赘述,详见方法实施例的描述。
本实施例的SM-SR设备,在终端设备被盗或丢失等未被合法用户持有的情况下,针对eUICC发送的OP请求返回OP响应并在OP响应中携带标识终端设备被盗或丢失的指示,使得eUICC可以根据该指示对eUICC上的数据进行保密处理,从而在终端设备被盗或丢失等情况下实现了对eUICC上的数据的保护,能够很好地保护用户的个人信息安全。
本发明一实施例提供一种基于eUICC的数据保密系统,包括:图8或图9或图10所示实施例提供的MNO设备、图11或图12或图13所示实施例提供的eUICC设备和图14或图15或图16所示实施例提供的SM-SR设备。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。