CN107211265B9 - 一种终端间的安全交互方法及装置 - Google Patents

一种终端间的安全交互方法及装置 Download PDF

Info

Publication number
CN107211265B9
CN107211265B9 CN201580073001.1A CN201580073001A CN107211265B9 CN 107211265 B9 CN107211265 B9 CN 107211265B9 CN 201580073001 A CN201580073001 A CN 201580073001A CN 107211265 B9 CN107211265 B9 CN 107211265B9
Authority
CN
China
Prior art keywords
terminal
http
slave terminal
slave
http url
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201580073001.1A
Other languages
English (en)
Other versions
CN107211265A (zh
CN107211265B (zh
Inventor
程紫尧
龙水平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN107211265A publication Critical patent/CN107211265A/zh
Application granted granted Critical
Publication of CN107211265B publication Critical patent/CN107211265B/zh
Publication of CN107211265B9 publication Critical patent/CN107211265B9/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • H04W8/205Transfer to or from user equipment or user record carrier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/43Security arrangements using identity modules using shared identity modules, e.g. SIM sharing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephone Function (AREA)

Abstract

一种终端间的安全交互方法及装置,包括:具备eUICC的从终端向主终端指示或间接指示包含安全信息的Https URL,以便所述主终端根据所述Https URL发起建立本地TLS连接;所述从终端接收所述主终端通过本地TLS连接发送的Http请求,所述从终端若确定所述Http请求中包含所述安全信息,则完成Https会话建立;所述从终端接收所述主终端通过所述Https会话发送的对所述eUICC的操作指令。

Description

一种终端间的安全交互方法及装置
技术领域
本申请涉及通信技术领域,尤其涉及一种终端问的安全交互方法及装置。
背景技术
eUICC(embedded Universal Integrated Circuit Card,嵌入式通用集成电路 卡)是第三代电信智能卡,可以支持运营商数据的远程配置和管理。由于 eUICC一般集成在终端中,而有些终端由于自身能力的限制,无法直接对 eUICC中的配置文件(profile)进行下载、激活等操作。例如,UI(user interface, 用户界面)受限且初始无蜂窝网接入能力的集成eUICC终端(以下称为从终 端),需要借助主终端接入网络,并由主终端提供UI完成profile的下载、激 活等操作。
为了确保从终端中profile的安全性,避免非法终端对从终端中的profile 进行删除、伪造、修改等风险,主终端对从终端中的profile进行操作之前, 需要制定主终端与从终端之间安全交互的方案。目前,对于主终端与从终端 之间如何进行安全交互,还没有一种解决方案。
发明内容
本申请实施例提供一种终端问的安全交互方法及装置,用以提供一种主 终端与从终端之间安全交互的方案。
本申请实施例提供一种终端问的安全交互方法,该方法包括:
具备eUICC的从终端向主终端指示或间接指示包含安全信息的Https URL,以便所述主终端基于证书认证方式根据所述Https URL与所述从终端 建立本地TLS连接;
所述从终端接收所述主终端通过本地TLS连接发送的Http请求,所述从 终端若确定所述Http请求中包含所述安全信息,则向主终端返回Http响应, 完成Https会话建立;
所述从终端接收所述主终端通过所述Https会话发送的对所述eUICC的 操作指令。
可选的,所述从终端向主终端指示或间接指示包含安全信息的Https URL,包括:
所述从终端向主终端传递包含安全信息的Https URL;或者,
所述从终端直接显示包含安全信息的Https URL以间接向所述主终端指 示所述Https URL;或者,
所述从终端通过显示包含安全信息的Https URL的图形以间接向所述主 终端指示所述Https URL。
本申请实施例提供一种终端问的安全交互方法,该方法包括:
主终端获取具备eUICC的从终端指示或间接指示的包含安全信息的Https URL;
所述主终端基于证书认证方式根据所述Https URL与所述从终端建立本 地TLS连接,并通过所述本地TLS连接向所述从终端发送包含所述安全信息 的Http请求,并在接收到所述从主终端返回的Http响应后,完成Https会话 建立;
所述主终端通过所述Https会话向所述从终端发送的对所述eUICC的操 作指令。
本申请实施例提供一种终端问的安全交互方法,该方法包括:
具备eUICC的从终端向主终端指示或间接指示包含第一安全信息的Http URL;
若所述从终端接收到所述主终端以包含第一安全信息的第一Https URL 发送的Http请求,则向所述主终端返回Https URL,以便所述主终端根据所 述Https URL发起建立Https会话;
所述从终端通过所述Https会话接收主终端发送的对所述eUICC的操作 指令。
可选的,所述从终端向主终端指示或间接指示包含第一安全信息的Http URL,包括:
所述从终端向主终端传递包含第一安全信息的Http URL;或者,
所述从终端直接显示包含第一安全信息的Http URL以间接向所述主终端 指示所述Http URL;或者,
所述从终端通过显示包含第一安全信息的Http URL的图形以间接向所述 主终端指示所述Http URL。
可选的,所述从终端接收到所述主终端以包含第一安全信息的第一Http URL发送的Http请求之后,还包括:
所述从终端向所述主终端返回用于下载CA根证书的第二Http URL,所 述CA根证书用于所述主终端基于证书认证方式建立与所述从终端的本地 TLS连接。
可选的,所述从终端向所述主终端返回Https URL之后,还包括:
所述从终端接收所述主终端根据所述Https URL发送的TCP连接请求;
所述从终端若确定所述TCP连接请求的源IP地址与所述Http请求的源 IP地址相同,则响应所述TCP连接请求以便完成TCP连接建立。
可选的,所述Https URL中包含第二安全信息;
所述从终端通过所述Https会话接收主终端发送的对所述eUICC的操作 指令之前,还包括:
所述从终端确定接收到所述主终端发送的第二安全信息,则完成Https会 话建立。
本申请实施例提供一种终端问的安全交互方法,该方法包括:
主终端获取具备eUICC的从终端指示或间接指示的包含第一安全信息的 第一Http URL;
所述主终端向所述从终端发送包含第一Http URL的Http请求,所述第一 Http URL中包含所述第一安全信息;
所述主终端接收所述从终端根据所述Http请求向所述主终端发送的Https URL,并根据所述Https URL发起建立Https会话;
所述主终端通过所述Https会话向所述从主终端发送对所述eUICC的操 作指令。
可选的,所述主终端获取具备eUICC的从终端指示或间接指示的包含第 一安全信息的第一Http URL,包括:
主终端接收所述从终端传递的包含第一安全信息的Http URL;或者,
所述从终端通过所述从终端直接显示的包含第一安全信息的Http URL获 取所述Http URL;或者,
所述从终端通过扫描包含第一安全信息的Http URL的图形获取所述Http URL。
可选的,所述主终端向所述从终端发送包含第一Http URL的Http请求之 后,还包括:
所述主终端接收所述从终端发送的用于下载CA根证书的第二Http URL, 并根据所述CA根证书基于证书认证方式建立与所述从终端的本地TLS连接。
可选的,所述主终端接收所述从终端根据包含第一安全信息的所述Http 请求向所述主终端发送的Https URL之后,还包括:
所述主终端根据所述Https URL向所述从终端发送TCP连接请求,以便 所述从终端根据所述TCP连接请求的源IP地址与所述Http请求的源IP地址 响应所述TCP连接请求。
可选的,所述Https URL中包含第二安全信息;
所述主终端通过所述Https会话向所述从主终端发送对所述eUICC的操 作指令之前,还包括:
所述主终端向所述从终端发送所述第二安全信息,以便所述从终端在接 收到所述第二安全信息后完成Https会话建立。
本申请实施例提供一种终端问的安全交互方法,该方法包括:
具备eUICC的从终端向主终端指示或间接指示从终端的地址信息和安全 信息,以便所述主终端根据所述地址信息和所述安全信息建立本地安全应用 会话;
从终端通过所述本地安全应用会话接收主终端对所述eUICC的操作指 令。
可选的,所述从终端向主终端指示或间接指示从终端的地址信息和安全 信息,包括:
所述从终端传递所述地址信息和安全信息到主终端;或者,
所述从终端直接显示所述地址信息和安全信息以间接向所述主终端指示 所述地址信息和安全信息;或者,
所述从终端通过显示包括所述地址信息和安全信息的图形以间接向所述 主终端指示所述地址信息和安全信息。
可选的,所述安全信息作为预共享密钥,以便所述从终端与所述主终端 通过所述预共享密钥进行双向认证并建立本地安全应用会话。
可选的,具备eUICC的从终端向主终端指示或间接指示从终端的地址信 息和安全信息之后,还包括:
所述从终端接收所述主终端的本地安全应用会话请求,并将获取到的本 地连接的密钥信息作为预共享密钥;
所述从终端与所述主终端通过所述预共享密钥进行双向认证后,若确定 接收到所述主终端发送的安全信息,则完成建立本地安全应用会话。
本申请实施例提供一种终端问的安全交互方法,该方法包括:
主终端获取具备eUICC的从终端向主终端指示或间接指示的地址信息和 安全信息;
所述主终端根据所述地址信息和所述安全信息建立本地安全应用会话;
所述主终端通过所述本地安全应用会话向所述从主终端发送对所述 eUICC的操作指令。
可选的,所述主终端获取具备eUICC的从终端向主终端指示或间接指示 的地址信息和安全信息,包括:
主终端接收所述从终端传递的地址信息和安全信息;或者,
所述从终端通过所述从终端直接显示的地址信息和安全信息获取地址信 息和安全信息;或者,
所述从终端通过扫描包含地址信息和安全信息的图形获取地址信息和安 全信息。
可选的,所述安全信息作为预共享密钥,以便所述主终端根据所述预共 享密钥与所述从终端进行双向认证并建立本地安全应用会话。
可选的,所述主终端根据所述地址信息和所述安全信息建立本地安全应 用会话,包括:
所述主终端向所述从终端发送本地安全应用会话请求,并将获取到的本 地连接的密钥信息作为预共享密钥;
所述主终端通过所述预共享密钥与所述从终端进行双向认证后,向所述 从终端发送所述安全信息,以便所述从终端确定接收到所述主终端发送的安 全信息后完成建立本地安全应用会话。
本申请实施例提供一种终端问的安全交互装置,该装置包括:
处理器,用于向主终端指示或间接指示包含安全信息的Https URL,以便 所述主终端基于证书认证方式根据所述Https URL与所述从终端建立本地 TLS连接;
收发器,用于接收所述主终端通过本地TLS连接发送的Http请求,所述 从终端若确定所述Http请求中包含所述安全信息,则向主终端返回Http响应, 完成Https会话建立;接收所述主终端通过所述Https会话发送的对所述eUICC 的操作指令。
可选的,所述处理器具体用于:
向主终端传递包含安全信息的Https URL;或者,
直接显示包含安全信息的Https URL以间接向所述主终端指示所述Https URL;或者,
通过显示包含安全信息的Https URL的图形以间接向所述主终端指示所 述Https URL。
本申请实施例提供一种终端问的安全交互装置,该装置包括:
处理器,用于获取具备eUICC的从终端指示或间接指示的包含安全信息 的Https URL;基于证书认证方式根据所述Https URL与所述从终端建立本地 TLS连接,并通过所述本地TLS连接向所述从终端发送包含所述安全信息的 Http请求,并在接收到所述从主终端返回的Http响应后,完成Https会话建 立;
收发器,用于通过所述Https会话向所述从终端发送的对所述eUICC的 操作指令。
本申请实施例提供一种终端问的安全交互装置,该装置包括:
处理器,用于主终端指示或间接指示包含第一安全信息的Http URL;
收发器,用于若接收到所述主终端以包含第一安全信息的第一Https URL 发送的Http请求,则向所述主终端返回Https URL,以便所述主终端根据所 述Https URL发起建立Https会话;通过所述Https会话接收主终端发送的对 所述eUICC的操作指令。
可选的,所述处理器具体用于:
向主终端传递包含第一安全信息的Http URL;或者,
直接显示包含第一安全信息的Http URL以间接向所述主终端指示所述 Http URL;或者,
通过显示包含第一安全信息的Http URL的图形以间接向所述主终端指示 所述Http URL。
可选的,所述收发器还用于:
向所述主终端返回用于下载CA根证书的第二Http URL,所述CA根证 书用于所述主终端基于证书认证方式建立与所述从终端的本地TLS连接。
可选的,所述收发器具体用于:
接收所述主终端根据所述Https URL发送的TCP连接请求;
若确定所述TCP连接请求的源IP地址与所述Http请求的源IP地址相同, 则响应所述TCP连接请求以便完成TCP连接建立。
可选的,所述Https URL中包含第二安全信息;
所述收发器用于确定接收到所述主终端发送的第二安全信息,则完成 Https会话建立。
本申请实施例提供一种终端问的安全交互装置,该装置包括:
处理器,用于获取具备eUICC的从终端指示或间接指示的包含第一安全 信息的第一Http URL;
收发器,用于向所述从终端发送包含第一Http URL的Http请求,所述第 一Http URL中包含所述第一安全信息;接收所述从终端根据所述Http请求向 所述主终端发送的Https URL,并根据所述Https URL发起建立Https会话;
所述主终端通过所述Https会话向所述从主终端发送对所述eUICC的操 作指令。
可选的,所述处理器具体用于:
接收所述从终端传递的包含第一安全信息的Http URL;或者,
通过所述从终端直接显示的包含第一安全信息的Http URL获取所述Http URL;或者,
通过扫描包含第一安全信息的Http URL的图形获取所述Http URL。
可选的,所述收发器还用于:
接收所述从终端发送的用于下载CA根证书的第二Http URL,并根据所 述CA根证书基于证书认证方式建立与所述从终端的本地TLS连接。
可选的,所述主终端接收所述从终端根据包含第一安全信息的所述Http 请求向所述主终端发送的Https URL之后,还包括:
根据所述Https URL向所述从终端发送TCP连接请求,以便所述从终端 根据所述TCP连接请求的源IP地址与所述Http请求的源IP地址响应所述TCP 连接请求。
可选的,所述Https URL中包含第二安全信息;
所述收发器用于向所述从终端发送所述第二安全信息,以便所述从终端 在接收到所述第二安全信息后完成Https会话建立。
本申请实施例提供一种终端问的安全交互装置,该装置包括:
处理器,用于向主终端指示或间接指示从终端的地址信息和安全信息, 以便所述主终端根据所述地址信息和所述安全信息建立本地安全应用会话;
收发器,用于通过所述本地安全应用会话接收主终端对所述eUICC的操 作指令。
可选的,所述处理器具体用于:
传递所述地址信息和安全信息到主终端;或者,
直接显示所述地址信息和安全信息以间接向所述主终端指示所述地址信 息和安全信息;或者,
通过显示包括所述地址信息和安全信息的图形以间接向所述主终端指示 所述地址信息和安全信息。
可选的,所述安全信息作为预共享密钥,以便所述从终端与所述主终端 通过所述预共享密钥进行双向认证并建立本地安全应用会话。
可选的,所述收发器具体用于:
接收所述主终端的本地安全应用会话请求,并将获取到的本地连接的密 钥信息作为预共享密钥;
与所述主终端通过所述预共享密钥进行双向认证后,若确定接收到所述 主终端发送的安全信息,则完成建立本地安全应用会话。
本申请实施例提供一种终端问的安全交互装置,该装置包括:
处理器,用于获取具备eUICC的从终端向主终端指示或间接指示的地址 信息和安全信息;根据所述地址信息和所述安全信息建立本地安全应用会话;
收发器,用于通过所述本地安全应用会话向所述从主终端发送对所述 eUICC的操作指令。
可选的,所述处理器具体用于:
接收所述从终端传递的地址信息和安全信息;或者,
通过所述从终端直接显示的地址信息和安全信息获取地址信息和安全信 息;或者,
通过扫描包含地址信息和安全信息的图形获取地址信息和安全信息。
可选的,所述安全信息作为预共享密钥,以便所述主终端根据所述预共 享密钥与所述从终端进行双向认证并建立本地安全应用会话。
可选的,所述处理器具体用于:
向所述从终端发送本地安全应用会话请求,并将获取到的本地连接的密 钥信息作为预共享密钥;
通过所述预共享密钥与所述从终端进行双向认证后,向所述从终端发送 所述安全信息,以便所述从终端确定接收到所述主终端发送的安全信息后完 成建立本地安全应用会话。
本申请实施例提供一种终端问的安全交互装置,该装置包括:
处理单元,用于向主终端指示或间接指示包含安全信息的Https URL,以 便所述主终端基于证书认证方式根据所述Https URL与所述从终端建立本地 TLS连接;
收发单元,用于接收所述主终端通过本地TLS连接发送的Http请求,所 述从终端若确定所述Http请求中包含所述安全信息,则向主终端返回Http响 应,完成Https会话建立;接收所述主终端通过所述Https会话发送的对所述 eUICC的操作指令。
可选的,所述处理单元具体用于:
向主终端传递包含安全信息的Https URL;或者,
直接显示包含安全信息的Https URL以间接向所述主终端指示所述Https URL;或者,
通过显示包含安全信息的Https URL的图形以间接向所述主终端指示所 述Https URL。
本申请实施例提供一种终端问的安全交互装置,该装置包括:
处理单元,用于获取具备eUICC的从终端指示或间接指示的包含安全信 息的Https URL;基于证书认证方式根据所述Https URL与所述从终端建立本 地TLS连接,并通过所述本地TLS连接向所述从终端发送包含所述安全信息 的Http请求,并在接收到所述从主终端返回的Http响应后,完成Https会话 建立;
收发单元,用于通过所述Https会话向所述从终端发送的对所述eUICC 的操作指令。
本申请实施例提供一种终端问的安全交互装置,该装置包括:
处理单元,用于主终端指示或间接指示包含第一安全信息的Http URL;
收发单元,用于若接收到所述主终端以包含第一安全信息的第一Https URL发送的Http请求,则向所述主终端返回Https URL,以便所述主终端根 据所述Https URL发起建立Https会话;通过所述Https会话接收主终端发送 的对所述eUICC的操作指令。
可选的,所述处理单元具体用于:
向主终端传递包含第一安全信息的Http URL;或者,
直接显示包含第一安全信息的Http URL以间接向所述主终端指示所述 Http URL;或者,
通过显示包含第一安全信息的Http URL的图形以间接向所述主终端指示 所述Http URL。
可选的,所述收发单元还用于:
向所述主终端返回用于下载CA根证书的第二Http URL,所述CA根证 书用于所述主终端基于证书认证方式建立与所述从终端的本地TLS连接。
可选的,所述收发单元具体用于:
接收所述主终端根据所述Https URL发送的TCP连接请求;
若确定所述TCP连接请求的源IP地址与所述Http请求的源IP地址相同, 则响应所述TCP连接请求以便完成TCP连接建立。
可选的,所述Https URL中包含第二安全信息;
所述收发单元用于确定接收到所述主终端发送的第二安全信息,则完成 Https会话建立。
本申请实施例提供一种终端问的安全交互装置,该装置包括:
处理单元,用于获取具备eUICC的从终端指示或间接指示的包含第一安 全信息的第一Http URL;
收发单元,用于向所述从终端发送包含第一Http URL的Http请求,所述 第一Http URL中包含所述第一安全信息;接收所述从终端根据所述Http请求 向所述主终端发送的Https URL,并根据所述Https URL发起建立Https会话;
所述主终端通过所述Https会话向所述从主终端发送对所述eUICC的操 作指令。
可选的,所述处理单元具体用于:
接收所述从终端传递的包含第一安全信息的Http URL;或者,
通过所述从终端直接显示的包含第一安全信息的Http URL获取所述Http URL;或者,
通过扫描包含第一安全信息的Http URL的图形获取所述Http URL。
可选的,所述收发单元还用于:
接收所述从终端发送的用于下载CA根证书的第二Http URL,并根据所 述CA根证书基于证书认证方式建立与所述从终端的本地TLS连接。
可选的,所述主终端接收所述从终端根据包含第一安全信息的所述Http 请求向所述主终端发送的Https URL之后,还包括:
根据所述Https URL向所述从终端发送TCP连接请求,以便所述从终端 根据所述TCP连接请求的源IP地址与所述Http请求的源IP地址响应所述TCP 连接请求。
可选的,所述Https URL中包含第二安全信息;
所述收发单元用于向所述从终端发送所述第二安全信息,以便所述从终 端在接收到所述第二安全信息后完成Https会话建立。
本申请实施例提供一种终端问的安全交互装置,该装置包括:
处理单元,用于向主终端指示或间接指示从终端的地址信息和安全信息, 以便所述主终端根据所述地址信息和所述安全信息建立本地安全应用会话;
收发单元,用于通过所述本地安全应用会话接收主终端对所述eUICC的 操作指令。
可选的,所述处理单元具体用于:
传递所述地址信息和安全信息到主终端;或者,
直接显示所述地址信息和安全信息以间接向所述主终端指示所述地址信 息和安全信息;或者,
通过显示包括所述地址信息和安全信息的图形以间接向所述主终端指示 所述地址信息和安全信息。
可选的,所述安全信息作为预共享密钥,以便所述从终端与所述主终端 通过所述预共享密钥进行双向认证并建立本地安全应用会话。
可选的,所述收发单元具体用于:
接收所述主终端的本地安全应用会话请求,并将获取到的本地连接的密 钥信息作为预共享密钥;
与所述主终端通过所述预共享密钥进行双向认证后,若确定接收到所述 主终端发送的安全信息,则完成建立本地安全应用会话。
本申请实施例提供一种终端问的安全交互装置,该装置包括:
处理单元,用于获取具备eUICC的从终端向主终端指示或间接指示的地 址信息和安全信息;根据所述地址信息和所述安全信息建立本地安全应用会 话;
收发单元,用于通过所述本地安全应用会话向所述从主终端发送对所述 eUICC的操作指令。
可选的,所述处理单元具体用于:
接收所述从终端传递的地址信息和安全信息;或者,
通过所述从终端直接显示的地址信息和安全信息获取地址信息和安全信 息;或者,
通过扫描包含地址信息和安全信息的图形获取地址信息和安全信息。
可选的,所述安全信息作为预共享密钥,以便所述主终端通过所述预共 享密钥与所述从终端进行双向认证并建立本地安全应用会话话。
可选的,所述处理单元具体用于:
向所述从终端发送本地安全应用会话请求,并将获取到的本地连接的密 钥信息作为预共享密钥;
通过所述预共享密钥与所述从终端进行双向认证后,向所述从终端发送 所述安全信息,以便所述从终端确定接收到所述主终端发送的安全信息后完 成建立本地安全应用会话。
根据本申请实施例提供的方法及装置,具备eUICC的从终端通过安全信 息对主终端进行权限验证,主终端通过从终端的根证书对从终端进行身份认 证,而后,主终端与从终端之间通过Https会话发送和接收对eUICC的操作 指令,提高了操作命令在传输过程中的机密性和完整性。
附图说明
图1为本申请实施例提供的一种终端问的安全交互方法流程示意图;
图2为本申请实施例提供的一种终端问的安全交互方法流程示意图;
图3为本申请实施例提供的一种终端问的安全交互方法流程示意图;
图4为本申请实施例提供的一种终端问的安全交互装置结构示意图;
图5为本申请实施例提供的一种终端问的安全交互装置结构示意图;
图6为本申请实施例提供的一种终端问的安全交互装置结构示意图;
图7为本申请实施例提供的一种终端问的安全交互装置结构示意图;
图8为本申请实施例提供的一种终端问的安全交互装置结构示意图;
图9为本申请实施例提供的一种终端问的安全交互装置结构示意图;
图10为本申请实施例提供的一种终端问的安全交互装置结构示意图;
图11为本申请实施例提供的一种终端问的安全交互装置结构示意图;
图12为本申请实施例提供的一种终端问的安全交互装置结构示意图;
图13为本申请实施例提供的一种终端问的安全交互装置结构示意图;
图14为本申请实施例提供的一种终端问的安全交互装置结构示意图;
图15为本申请实施例提供的一种终端问的安全交互装置结构示意图。
具体实施方式
下面结合说明书附图对本申请实施例做详细描述。
本申请实施例中,从终端可以为移动电话、可穿戴终端、计算机、平板 电脑、个人数码助理(英文:personal digital assistant,缩写:PDA)、移动互 联网终端(英文:mobile Internet device,缩写:MID)、互联网协议(英文: Internet Protocol,缩写:IP)电话、网络打印机和电子书阅读器(英文:e-book reader)等。
相应的,主终端可以为移动电话、可穿戴终端、计算机、平板电脑、个 人数码助理、移动互联网终端、互联网协议电话、网络打印机和电子书阅读 器等。
从终端中集成了eUICC,并通过从终端中的LPA(local profile assistant) 对eUICC中的profile进行下载及管理,其中profile可以是指文件结构、数据 以及应用的组合。
本申请实施例中,从终端的LPA可以具有增强Web Server(网页服务器) 的能力,从而能够提供网上信息浏览服务。同时,从终端以及主终端都支持 以下协议中的一种或多种:
HTTP(Hyper Text Transport Protocol,超文本传输协议);TLS(Transport Layer Security,传输层安全)协议;TCP/IP(Transmission Control Protocol/ Internet Protocol,传输控制协议/因特网互联协议);HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer,安全超文本传输协议)。
同时,本申请实施例中,从终端以及主终端还可以支持一些非IP类的协 议。
现有的eUICC系统架构中,SM-DP(subscription manager data preparation, 签约管理数据准备)负责生成profile,并将profile下载并安装到eUICC。SM-DP 也可以称为profile installer(安装器)。SM-SR(secure routine,安全路由)负 责对eUICC上的profile进行管理,也保证eUICC和远程实体通信的安全性。 SM-SR也可以称为profile manager(管理器)。SM-DS(Discovery Service,发 现服务)使得eUICC和终端可以发现是否有待下载的profile。MNO(Mobile Network Operators,移动运营商)要向SM-SR和SM-DP请求服务,比如,向 SM-DP订购profile,请求SM-SR对eUICC上的profile进行管理(比如,对 profile状态进行设置,删除profile等等)。
本申请实施例中,从终端可以通过蓝牙方式与主终端之间进行连接,也 可以通过Wi-Fi(wireless fidelity,无线保真)方式与主终端进行连接。
举例来说,主终端开启Wi-Fi网络共享热点。从终端在检测到主终端开启 的Wi-Fi网络共享热点后,可以通过Wi-Fi网络共享热点的SSID(Service Set Identifier,服务集标识)以及与Wi-Fi密钥接入主终端开启的Wi-Fi网络共享 热点。从终端接入主终端的网络共享热点之后,主终端可以作为动态主机配 置协议(Dynamic host configuration protocol,DHCP)服务器为从终端配置IP (Internet Protocol,互联网协议)地址。从终端与主终端从而可以通过本地连 接(Wi-Fi)进行通信。
举例来说,主终端开启蓝牙网络共享热点。从终端在检测到主终端开启 的蓝牙网络共享热点后,通过PIN(Personal Identification Number,个人识别) 码接入主终端开启的蓝牙网络共享热点。从终端与主终端从而可以通过本地 连接(蓝牙)进行通信。
本申请实施例中,从终端首先会对eUICC进行初始化,如上电、提供时 钟、接收ATR(Answer To Reset,复位应答)信息、进行PPS(Pre-Paid Service, 预付费业务)流程等。
基于上述论述,如图1所示,本申请实施例提供的一种终端问的安全交 互方法流程示意图。
如图1所示,该方法具体包括以下步骤:
步骤101:具备eUICC的从终端向主终端指示或间接指示包含安全信息 的Https URL,以便所述主终端基于证书认证方式根据所述Https URL与所述 从终端建立本地TLS连接。
步骤101中,安全信息可以是从终端生成的一个令牌,其中,令牌可以 为从终端生成的随机数。
安全信息也可以是从终端生成的随机数等信息,本申请对此并不限定。
从终端生成的Https URL(Uniform Resource Locator,统一资源定位符) 中可以包括指示出使用的协议名称、从终端的地址信息、安全信息。从终端 的地址信息可以为IP地址。
举例来说,从终端的LPA可以通过从终端的OS(Operating System,操 作系统)获取主终端为其分配的IP地址,并生成一个令牌作为安全信息,从 终端指定使用的传输协议可以为Https协议。此时,生成的Https URL可以为: https://192.168.0.x/LPA?eUICC_access token=xxxxxx,其中,从终端的地址信 息为:192.168.0.x;安全信息的名称为:eUICC_access token。
从终端可以直接向主终端指示包含安全信息的Https URL,也可以间接向 主终端指示包含安全信息的Https URL。
从终端直接向主终端指示包含安全信息的Https URL时,可以直接向主 终端指示Https URL。
举例来说,从终端可以通过NFC(Near Field Communication,近场通讯) 方式将Https URL传递给主终端。
或者,从终端还可以将Https URL转换为图形后显示,从而向主终端指 示出所述Https URL。例如,从终端可以将Https URL转换为二维码后在从终 端的显示单元中显示出来,以便主终端扫描从终端显示的二维码,从而指示 主终端获得Https URL。当然,从终端也可以将Https URL转换为图形后发送 给主终端。
或者,从终端还可以间接向主终端指示包含安全信息的Https URL。从终 端直接将Https URL显示出来,用户可以将显示的Https URL输入主终端;当 然主终端也可以通过扫描从终端显示的Https URL,并通过文字识别算法识别 出扫描到的Https URL。
相应的,步骤201:主终端获取具备eUICC的从终端指示或间接指示的 包含安全信息的Https URL。
步骤201中,结合步骤101的描述,主终端可以通过NFC的方式获得 Https URL。主终端也可以通过扫描Https URL转换后的图形获得Https URL。 主终端获得Https URL的其他方式可以参考前面的描述,在此不再赘述。
步骤202:所述主终端基于证书认证方式根据所述Https URL与所述从终 端建立本地TLS连接,并通过所述本地TLS连接向所述从终端发送包含所述 安全信息的Http请求,以便所述从终端在接收到所述安全信息后根据所述 Http请求完成Https会话建立。
步骤202中,主终端在获得Https URL之后,可以通过根据Https URL建 立与从终端之间的Https会话,以便通过建立的Https会话向从终端发送对所 述从终端中的eUICC的操作指令。
需要说明的是,本申请实施例中,主终端中可以包括预置根证书的浏览 器或者预置根证书的APP(Application,应用),主终端从而可以根据预置根 证书的浏览器或者预置根证书的APP基于证书认证方式根据所述Https URL 与所述从终端建立本地TLS连接。
Https会话的建立一般分为三个步骤:第一步、建立TCP连接;TCP连接 用于为主终端与从终端之间建立可靠的传输连接,是TLS连接的前置步骤。 第二步、建立本地TLS连接;TLS连接实现将HTTP传输数据进行加密及完 整性保护。第三步,HTTP请求与HTTP响应;TLS连接完成之后,主终端通 过本地TLS连接向从终端发送HTTP请求,从终端接收所述HTTP请求后会 返回HTTP响应给主终端,主终端接收到所述HTTP响应后,Https会话建立 完成。
第一步中,主终端通过Https URL中从终端的地址信息发起用于建立 Https会话的TCP连接。
举例来说,Https URL为https://192.168.0.x/LPA?eUICC_access token=xx; 主终端根据地址信息192.168.0.x向从终端发起TCP连接。
第二步,TCP连接建立完成之后,主终端发起本地TLS连接建立过程。 本地TLS连接建立过程中,为了验证从终端的身份,可以基于证书认证方式 建立本地TLS连接。具体的,主终端向从终端发送TLS连接建立请求之后, 会收到从终端发送的证书。此时主终端会根据其具有的CA(Certification Authority,认证机构)根证书对从终端发送的证书进行验证,并在验证通过后 确定从终端的身份认证通过。同时,主终端会在从终端的身份认证通过后完 成本地TLS连接。若主终端确定从终端的身份认证不通过,则可以终止本地 TLS连接的建立。
第三步,本地TLS连接完成之后,主终端可以通过已经建立的本地TLS 连接向从终端发送包含安全信息的Http请求,从而完成Https会话建立。
步骤102:所述从终端接收所述主终端通过本地TLS连接发送的Http请 求,所述从终端若确定所述Http请求中包含所述安全信息,则向主终端返回 Http响应,完成Https会话建立。
步骤102中,从终端接收到主终端通过本地TLS连接发送的Http请求之 后,若确定所述Http请求中包括所述安全信息,则确定主终端的权限验证通 过,并向主终端返回Http响应,从而完成Https会话的建立;否则,从终端 拒绝主终端发送的Http请求,从而结束此次Https会话的建立过程。
需要说明的是,在建立本地TLS连接的过程中,从终端与主终端会协商 出各自的加密密钥和完整性密钥,加密密钥和完整性密钥的生成过程以及使 用方法可以参考TLS协议中的规定,在此不再赘述。
步骤203:所述主终端通过所述Https会话向所述从终端发送的对所述 eUICC的操作指令。
步骤203中,在Https会话建立完成之后,主终端可以向从终端发送对 eUICC的操作指令,例如,删除eUICC中的profile、向eUICC中下载profile 等操作。
由于Https会话建立过程中,主终端对从终端进行了身份认证,且从终端 对主终端的权限进行了验证,同时,主终端传输的操作指令进行了加密与完 整性保护,因此从终端会响应主终端的操作指令。
相应的,步骤103:所述从终端接收所述主终端通过所述Https会话发送 的对所述eUICC的操作指令。
步骤103中,从终端还可以向主终端发送对eUICC的操作指令的响应消 息。
上述方案中,具备eUICC的从终端通过安全信息对主终端进行权限验证, 同时主终端通过从终端的证书对从终端进行身份认证,从而实现主终端与从 终端之间的鉴权认证。同时主终端与从终端之间通过Https会话发送和接收对 eUICC的操作指令,提高了操作命令在传输过程中的机密性和完整性
基于上述论述,如图2所示,本申请实施例提供的一种终端问的安全交 互方法流程示意图。
如图2所示,该方法具体包括以下步骤:
步骤301:具备eUICC的从终端向主终端指示或间接指示包含第一安全 信息的Http URL。
步骤301中,第一安全信息可以是从终端生成的一个随机数,也可以是 从终端中预设的令牌等信息,本申请对此并不限定。
从终端生成的第一Http URL中可以包括使用的协议名称、从终端的地址 信息、第一安全信息。第一Http URL中指示出使用的协议名称可以为Http; 从终端的地址信息可以为IP地址。
举例来说,从终端中的LPA可以通过从终端的OS获取主终端为其分配 的IP地址,并生成一个令牌作为第一安全信息。此时,生成的第一Http URL 可以为:http://192.168.0.x/LPA?eUICC_access token=xxxxxx,其中,从终端 的地址信息为:192.168.0.x;第一安全信息的名称为:eUICC_access token。
从终端可以直接向主终端指示第一Http URL,也可以间接向主终端指示 第一Http URL。
从终端直接向主终端指示第一Http URL时,可以直接向主终端发送所述 Https URL。
举例来说,从终端可以通过NFC方式将第一Http URL传递给主终端。
或者,从终端还可以将第一Http URL转换为图形后显示,从而向主终端 指示出所述第一Http URL。例如,从终端可以将第一Http URL转换为二维码 后在从终端的显示单元中显示出来,以便主终端扫描从终端显示的二维码, 从而获得第一Http URL。当然,从终端也可以将第一Http URL转换为图形后 发送给主终端。
或者,从终端还可以间接向主终端指示第一Http URL。从终端直接将第 一Http URL显示出来,用户可以将显示的第一Http URL输入主终端;当然 主终端也可以通过扫描从终端显示的第一Http URL,并通过文字识别算法识 别出扫描到的第一Http URL。
步骤401:主终端获取具备eUICC的从终端指示或间接指示的包含第一 安全信息的第一Http URL。
步骤401中,主终端可以通过NFC的方式获得从终端发送的第一Http URL。主终端也可以通过扫描第一Http URL转换后的图形获得第一Http URL。主终端获得第一Http URL的其他方式可以参考前面的描述,在此不再 赘述。
步骤402:所述主终端通过第一Http URL向所述从终端发送Http请求, 所述第一Http URL中包含所述第一安全信息。
步骤402中,主终端通过Http URL中从终端的地址信息发起用于建立 Https会话的Http请求。
举例来说,第一Http URL为http://192.168.0.x/LPA?eUICC_access token=xx;主终端通过从终端的地址信息192.168.0.x发起Http请求。
为了使得主终端的权限被从终端验证通过,主终端会在Http请求中携带 包括第一安全信息的第一Http URL。如果主终端在Http请求未携带包括第一 安全信息的第一Http URL,或者携带了错误的包括第一安全信息的第一Http URL,那么从终端会认为主终端未获得第一URL从而没有接入权限,不再响 应主终端发送的消息。如果主终端在Http请求携带包括第一安全信息的第一 Http URL,那么从终端可以根据第一安全信息确定主终端的权限验证通过。
步骤302:若所述从终端接收到所述主终端以包含第一安全信息的第一 Https URL发送的Http请求,则向所述主终端返回Https URL,以便所述主终 端根据所述Https URL发起建立Https会话。
步骤302中,从终端在向主终端发送了第一Https URL之后,会接收到 主终端发送的Http请求。若从终端确定接收到的Http请求中携带包含第一安 全信息的第一Https URL,则确定主终端的权限验证通过,并响应主终端发送 的Http请求;否则,从终端确定主终端的权限验证不通过,并拒绝主终端发 送的Http请求。
主终端的权限验证通过之后,从终端可以向主终端返回Https URL,所述 Https URL为重定向Https URL,以便所述主终端根据所述Https URL发起建 立Https会话。
可选的,若所述从终端接收到所述主终端以包含第一安全信息的第一 Https URL发送的Http请求,还可能会向主终端发送用于下载CA根证书的第 二Http URL。主终端可以根据第二Http URL下载CA根证书,以便所述主终 端根据所述CA根证书基于证书认证方式建立与所述从终端的本地TLS连接。
当然,主终端中也可以预先配置CA根证书,此时从终端可以不用发送第 二Http URL给主终端。
可选的,从终端发送的Https URL中还可能包含第二安全信息。其中, 第二安全信息可以为从终端生成的随机数或令牌等信息。第二安全信息用于 在本地TLS连接建立之后对主终端进行验证。
步骤403:所述主终端接收所述从终端根据所述Http请求向所述主终端 发送的Https URL,并根据所述Https URL建立Https会话。
步骤403中,Https会话的建立一般分为三个步骤:第一步、建立TCP连 接;TCP连接用于为主终端与从终端之间建立可靠的传输连接,是TLS连接 的前置步骤。第二步、建立本地TLS连接;TLS连接实现将HTTP传输数据 进行加密和完整性保护。第三步,HTTP请求与HTTP响应;TLS连接完成之 后,主终端通过本地TLS连接向从终端发送HTTP请求,从终端接收所述HTTP 请求后会返回HTTP响应给主终端,主终端接收到所述HTTP响应后,Https 会话建立完成。
第一步中,主终端通过Https URL中从终端的地址信息发起用于建立 Https会话的TCP连接。
举例来说,Https URL为https://192.168.0.x/LPA?eUICC_access token=xx; 主终端根据地址信息192.168.0.x向从终端发起TCP连接。
此时,从终端会接收到主终端发送的TCP连接请求。
可选的,从终端在接收到主终端发送的TCP连接请求之后,从终端若确 定主终端发送的TCP连接请求的源IP地址与主终端根据包含第一安全信息的 第一Http URL返回的Http请求的源IP地址不相同,则不响应主终端发送的 TCP连接请求;从终端若确定主终端发送的TCP连接请求的源IP地址与主终 端根据包含第一安全信息的第一Http URL返回的Http请求的源IP地址相同, 则响应主终端发送的TCP连接请求,从而完成TCP连接的建立。
第二步,TCP连接建立完成之后,主终端发起本地TLS连接建立过程。 本申请实施例中,是基于证书认证方式建立本地TLS连接。具体的,本地TLS 连接建立过程中,为了验证从终端的身份,主终端向从终端发送TLS连接建 立请求之后,会收到从终端发送的证书。此时主终端会根据其具有的CA根证 书对从终端发送的证书进行验证,并在验证通过后确定从终端的身份认证通 过。同时,主终端会在从终端的身份认证通过后完成本地TLS连接。若主终 端确定从终端的身份认证不通过,则可以终止本地TLS连接的建立。
第三步,本地TLS连接完成之后,主终端可以通过已经建立的本地TLS 连接向从终端发送Http请求,从而完成Https会话建立。
可选的,第三步中,若从终端发送的Https URL中还包含第二安全信息, 主终端在本地TLS连接建立之后,可以通过已经建立的本地TLS连接向从终 端发送包含第二安全信息的Http请求,以便完成Https会话建立。
从终端若接收到主终端通过本地TLS连接发送的含有第二安全信息的 Http请求,则向主终端返回Http响应,完成Https会话建立,从而响应主终 端发送的对eUICC的操作指令。否则,拒绝主终端发送的Http请求,从而结 束此次Https会话的建立过程。
步骤404:所述主终端通过所述Https会话向所述从主终端发送对所述 eUICC的操作指令。
步骤404中,主终端可以向从终端发送对eUICC的操作指令,例如,删 除eUICC中的profile、向eUICC中下载profile等操作。
由于Https会话建立过程中,主终端对从终端进行了身份认证,且从终端 对主终端的权限进行了验证,从而实现了主终端与从终端之间的鉴权认证, 因此从终端会响应主终端的操作指令。
相应的,步骤303:所述从终端通过所述Https会话接收主终端发送的对 所述eUICC的操作指令。
同样的,从终端也可以通过Https会话向主终端发送对eUICC的操作指 令的响应消息。
需要说明的是,本申请实施例中,主终端可以利用浏览器或者具有浏览 器功能的APP通过Http URL中从终端的地址信息发起用于建立Https会话的 Http请求,并基于证书认证方式通过Https URL与从终端建立本地TLS连接。
基于上述论述,如图3所示,本申请实施例提供的一种终端问的安全交 互方法流程示意图。
如图3所示,该方法具体包括以下步骤:
步骤501:具备eUICC的从终端向主终端指示或间接指示从终端的地址 信息和安全信息,以便所述主终端根据所述地址信息和所述安全信息建立本 地安全应用会话。
步骤501中,安全信息可以是从终端生成的密钥(Secret Key);或者是从 终端与主终端本地连接的密钥信息,例如将蓝牙方式连接时使用的链路密钥 (link key)作为安全信息;将Wi-Fi方式连接时使用的Wi-Fi密钥作为安全 信息。
从终端的地址信息可以为IP地址,也可以为从终端MAC(Media Access Control,媒体介入控制)地址。
从终端可以直接向主终端指示地址信息和安全信息,也可以间接向主终 端指示地址信息和安全信息。
从终端直接向主终端指示地址信息和安全信息时,可以直接向主终端发 送所述地址信息和安全信息。
举例来说,从终端可以通过NFC方式将地址信息和安全信息传递给主终 端。
或者,从终端还可以将地址信息和安全信息转换为图形后显示,从而向 主终端指示出所述地址信息和安全信息。例如,从终端可以将地址信息和安 全信息转换为二维码后在从终端的显示单元中显示出来,以便主终端扫描从 终端显示的二维码,从而获得地址信息和安全信息。当然,从终端也可以将 地址信息和安全信息转换为图形后发送给主终端。
举例来说,从终端可以根据地址信息和安全信息生成Https URL,并将 Https URL转换为二维码后在从终端的显示单元中显示出来,以便主终端扫描 从终端显示的二维码,从而获得地址信息和安全信息。
从终端还可以向主终端指示出协议信息等,如Https协议。
或者,从终端还可以间接向主终端指示地址信息和安全信息。从终端直 接将地址信息和安全信息显示出来,用户可以将显示的地址信息和安全信息 输入主终端;当然主终端也可以通过扫描从终端显示的地址信息和安全信息, 并通过文字识别算法识别出扫描到的地址信息和安全信息。
步骤601:主终端获取具备eUICC的从终端向主终端指示或间接指示的 地址信息和安全信息。
主终端可以通过NFC的方式获得从终端发送的地址信息和安全信息。主 终端也可以通过扫描地址信息和安全信息转换后的图形获得地址信息和安全 信息。主终端获得地址信息和安全信息的其他方式可以参考前面的描述,在 此不再赘述。
步骤602:所述主终端根据所述地址信息和所述安全信息建立本地安全应 用会话。
步骤602中,主终端可以通过多种方式建立主终端与从终端之间的本地 安全应用会话,建立的本地安全应用会话用于对主终端与从终端之间的数据 进行加密和完整性保护。
若安全信息是从终端生成的密钥,所述密钥可以作为预共享密钥(Pre Shared Key,PSK),以便所述从终端根据所述预共享密钥与所述主终端进行 双向认证并建立本地安全应用会话。其中,所述预共享密钥是唯有主终端与 从终端两者共享的秘密信息,用于从终端与主终端相互进行身份认证与密钥 协商。
举例来说,安全信息为从终端生成的密钥,并将所述密钥作为TLS-PSK, 并以建立的本地安全应用会话为Https会话为例进行详细说明。从终端根据地 址信息和安全信息生成Https URL为https://192.168.0.x/LPA?eUICC_access token=xxxxxx,其中,从终端的地址信息为:192.168.0.x;安全信息的名称为: eUICC_access token。主终端获取到从终端生成的Https URL之后,可以通过 APP触发该Https URL,从而发起建立主终端与从终端之间的Https会话。主 终端根据地址信息192.168.0.x向从终端发起TCP连接。主终端与从终端之间 的TCP连接建立之后,从终端与主终端之间再进行建立PSK-TLS连接。 PSK-TLS连接建立过程中,主终端利用安全信息计算Pre-Master Secret(预主 密钥);然后主终端可以根据Pre-Master Secret通过伪随机数函数(Pseudo random function,PRF)算法获得Master Secret(主密钥);最后主终端再根据 Master Secret通过PRF算法获得key block(密钥块),从而根据密钥块获得主 终端以及从终端使用的加密密钥以及完整性密钥。相应的,从终端也是根据 安全信息(即从终端生成的密钥Secret Key)按照主终端相同的方式计算出密 钥块,从而根据密钥块获得主终端以及从终端使用的加密密钥以及完整性密 钥,同时,主终端与从终端根据所述TLS-PSK进行双向认证,认证通过后, PSK-TLS连接建立完成。最后,主终端通过所述PSK-TLS连接向从终端发送 HTTP请求,从终端接收所述HTTP请求后会返回HTTP响应给主终端,主终 端接收到所述HTTP响应后,Https会话建立完成。
主终端与从终端之间的本地连接的密钥信息也可以作为预共享密钥 (PSK),主终端与从终端利用所述预共享密钥进行双向认证。从终端通过所述 密钥信息与所述主终端进行双向认证后,若确定接收到所述主终端发送的安 全信息,则完成建立本地安全应用会话。
举例来说,本地连接的密钥信息作为TLS-PSK,并以建立的本地安全应 用会话为Https会话为例进行详细说明。从终端根据地址信息和安全信息生成 Https URL为https://192.168.0.x/LPA?eUICC_access token=xxxxxx,其中,从 终端的地址信息为:192.168.0.x;安全信息的名称为:eUICC_access token;。 主终端获取到从终端生成的Https URL之后,主终端可以通过APP触发该 Https URL从而发起建立主终端与从终端之间的Https会话。主终端根据地址 信息192.168.0.x向从终端发起TCP连接。主终端与从终端之间的TCP连接 建立之后,从终端与主终端之间再建立PSK-TLS连接。TLS连接建立过程中, 主终端将本地连接的密钥信息作为TLS-PSK,并根据所述TLS-PSK计算密钥 块,从而根据密钥块获得主终端以及从终端使用的加密密钥以及完整性密钥。 相应的,从终端也是将本地连接的安全密钥作为安全信息,并根据安全信息 按照主终端相同的方式计算出密钥块,从而根据密钥块获得主终端以及从终 端使用的加密密钥以及完整性密钥,同时,主终端与从终端根据所述TLS-PSK 进行双向认证,认证通过后,此时PSK-TLS连接建立完成。最后,主终端通 过PSK-TLS连接向从终端发送HTTP请求,若确定接收到所述主终端发送的 安全信息,则从终端接收所述HTTP请求后会返回HTTP响应给主终端,主 终端接收到所述HTTP响应后,Https会话建立完成。
需要说明的是,上述实施例只是以IP类协议为例子进行说明,还可以采 用非IP类协议建立本地安全应用会话。在此不再赘述。
步骤603:所述主终端通过所述本地安全应用会话向所述从主终端发送对 所述eUICC的操作指令。
步骤502:从终端通过所述本地安全应用会话接收主终端对所述eUICC 的操作指令。需要说明的是,本申请实施例中,主终端可以通过APP根据所 述地址信息和所述安全信息建立本地安全应用会话。
基于上述论述,如图4所示,本申请实施例提供一种终端问的安全交互 装置结构示意图。
如图4所示,该装置包括:
处理器401,用于向主终端指示或间接指示包含安全信息的Https URL, 以便所述主终端基于证书认证方式根据所述Https URL与所述从终端建立本 地TLS连接;
收发器402,用于接收所述主终端通过本地TLS连接发送的Http请求, 所述从终端若确定所述Http请求中包含所述安全信息,则向主终端返回Http 响应,完成Https会话建立;接收所述主终端通过所述Https会话发送的对所 述eUICC的操作指令。
可选的,所述处理器401具体用于:
向主终端传递包含安全信息的Https URL;或者,
直接显示包含安全信息的Https URL以间接向所述主终端指示所述Https URL;或者,
通过显示包含安全信息的Https URL的图形以间接向所述主终端指示所 述Https URL。
如图5所示,本申请实施例提供一种终端问的安全交互装置结构示意图, 该装置包括:
处理器501,用于获取具备eUICC的从终端指示或间接指示的包含安全 信息的Https URL;基于证书认证方式根据所述Https URL与所述从终端建立 本地TLS连接,并通过所述本地TLS连接向所述从终端发送包含所述安全信 息的Http请求,并在接收到所述从主终端返回的Http响应后,完成Https会 话建立;
收发器502,用于通过所述Https会话向所述从终端发送的对所述eUICC 的操作指令。
如图6所示,本申请实施例提供一种终端问的安全交互装置结构示意图, 该装置包括:
处理器601,用于主终端指示或间接指示包含第一安全信息的Http URL;
收发器602,用于若接收到所述主终端以包含第一安全信息的第一Https URL发送的Http请求,则向所述主终端返回Https URL,以便所述主终端根 据所述Https URL发起建立Https会话;通过所述Https会话接收主终端发送 的对所述eUICC的操作指令。
可选的,所述处理器601具体用于:
向主终端传递包含第一安全信息的Http URL;或者,
直接显示包含第一安全信息的Http URL以间接向所述主终端指示所述 Http URL;或者,
通过显示包含第一安全信息的Http URL的图形以间接向所述主终端指示 所述Http URL。
可选的,所述收发器602还用于:
向所述主终端返回用于下载CA根证书的第二Http URL,所述CA根证 书用于所述主终端基于证书认证方式建立与所述从终端的本地TLS连接。
可选的,所述收发器602具体用于:
接收所述主终端根据所述Https URL发送的TCP连接请求;
若确定所述TCP连接请求的源IP地址与所述Http请求的源IP地址相同, 则响应所述TCP连接请求以便完成TCP连接建立。
可选的,所述Https URL中包含第二安全信息;
所述收发器602用于确定接收到所述主终端发送的第二安全信息,则完 成Https会话建立。
如图7所示,本申请实施例提供一种终端问的安全交互装置结构示意图, 该装置包括:
处理器701,用于获取具备eUICC的从终端指示或间接指示的包含第一 安全信息的第一Http URL;
收发器702,用于向所述从终端发送包含第一Http URL的Http请求,所 述第一Http URL中包含所述第一安全信息;接收所述从终端根据所述Http 请求向所述主终端发送的Https URL,并根据所述Https URL发起建立Https 会话;
所述主终端通过所述Https会话向所述从主终端发送对所述eUICC的操 作指令。
可选的,所述处理器701具体用于:
接收所述从终端传递的包含第一安全信息的Http URL;或者,
通过所述从终端直接显示的包含第一安全信息的Http URL获取所述Http URL;或者,
通过扫描包含第一安全信息的Http URL的图形获取所述Http URL。
可选的,所述收发器702还用于:
接收所述从终端发送的用于下载CA根证书的第二Http URL,并根据所 述CA根证书基于证书认证方式建立与所述从终端的本地TLS连接。
可选的,所述主终端接收所述从终端根据包含第一安全信息的所述Http 请求向所述主终端发送的Https URL之后,还包括:
根据所述Https URL向所述从终端发送TCP连接请求,以便所述从终端 根据所述TCP连接请求的源IP地址与所述Http请求的源IP地址响应所述TCP 连接请求。
可选的,所述Https URL中包含第二安全信息;
所述收发器用于向所述从终端发送所述第二安全信息,以便所述从终端 在接收到所述第二安全信息后完成Https会话建立。
如图8所示,本申请实施例提供一种终端问的安全交互装置结构示意图, 该装置包括:
处理器801,用于向主终端指示或间接指示从终端的地址信息和安全信 息,以便所述主终端根据所述地址信息和所述安全信息建立本地安全应用会 话;
收发器802,用于通过所述本地安全应用会话接收主终端对所述eUICC 的操作指令。
可选的,所述处理器801具体用于:
传递所述地址信息和安全信息到主终端;或者,
直接显示所述地址信息和安全信息以间接向所述主终端指示所述地址信 息和安全信息;或者,
通过显示包括所述地址信息和安全信息的图形以间接向所述主终端指示 所述地址信息和安全信息。
可选的,所述安全信息作为预共享密钥,以便所述从终端与所述主终端 通过所述预共享密钥进行双向认证并建立本地安全应用会话。
可选的,所述收发器802具体用于:
接收所述主终端的本地安全应用会话请求,并将获取到的本地连接的密 钥信息作为预共享密钥;
与所述主终端通过所述预共享密钥进行双向认证后,若确定接收到所述 主终端发送的安全信息,则完成建立本地安全应用会话。
如图9所示,本申请实施例提供一种终端问的安全交互装置结构示意图, 该装置包括:
处理器901,用于获取具备eUICC的从终端向主终端指示或间接指示的 地址信息和安全信息;根据所述地址信息和所述安全信息建立本地安全应用 会话;
收发器902,用于通过所述本地安全应用会话向所述从主终端发送对所述 eUICC的操作指令。
可选的,所述处理器901具体用于:
接收所述从终端传递的地址信息和安全信息;或者,
通过所述从终端直接显示的地址信息和安全信息获取地址信息和安全信 息;或者,
通过扫描包含地址信息和安全信息的图形获取地址信息和安全信息。
可选的,所述安全信息作为预共享密钥,以便所述主终端通过所述预共 享密钥与所述从终端进行双向认证并建立本地安全应用会话。
可选的,所述处理器901具体用于:
向所述从终端发送本地安全应用会话请求,并将获取到的本地连接的密 钥信息作为预共享密钥;
通过所述预共享密钥与所述从终端进行双向认证后,向所述从终端发送 所述安全信息,以便所述从终端确定接收到所述主终端发送的安全信息后完 成建立本地安全应用会话。
如图10所示,本申请实施例提供一种终端问的安全交互装置结构示意图, 该装置包括:
处理单元1001,用于向主终端指示或间接指示包含安全信息的Https URL,以便所述主终端基于证书认证方式根据所述Https URL与所述从终端 建立本地TLS连接;
收发单元1002,用于接收所述主终端通过本地TLS连接发送的Http请求, 所述从终端若确定所述Http请求中包含所述安全信息,则向主终端返回Http 响应,完成Https会话建立;接收所述主终端通过所述Https会话发送的对所 述eUICC的操作指令。
可选的,所述处理单元1001具体用于:
向主终端传递包含安全信息的Https URL;或者,
直接显示包含安全信息的Https URL以间接向所述主终端指示所述Https URL;或者,
通过显示包含安全信息的Https URL的图形以间接向所述主终端指示所 述Https URL。
如图11所示,本申请实施例提供一种终端问的安全交互装置结构示意图, 该装置包括:
处理单元1101,用于获取具备eUICC的从终端指示或间接指示的包含安 全信息的Https URL;基于证书认证方式根据所述Https URL与所述从终端建 立本地TLS连接,并通过所述本地TLS连接向所述从终端发送包含所述安全 信息的Http请求,并在接收到所述从主终端返回的Http响应后,完成Https 会话建立;
收发单元1102,用于通过所述Https会话向所述从终端发送的对所述 eUICC的操作指令。
如图12所示,本申请实施例提供一种终端问的安全交互装置结构示意图, 该装置包括:
处理单元1201,用于主终端指示或间接指示包含第一安全信息的Http URL;
收发单元1202,用于若接收到所述主终端以包含第一安全信息的第一 Https URL发送的Http请求,则向所述主终端返回Https URL,以便所述主终 端根据所述Https URL发起建立Https会话;通过所述Https会话接收主终端 发送的对所述eUICC的操作指令。
可选的,所述处理单元1201具体用于:
向主终端传递包含第一安全信息的Http URL;或者,
直接显示包含第一安全信息的Http URL以间接向所述主终端指示所述 Http URL;或者,
通过显示包含第一安全信息的Http URL的图形以间接向所述主终端指示 所述Http URL。
可选的,所述收发单元1202还用于:
向所述主终端返回用于下载CA根证书的第二Http URL,所述CA根证 书用于所述主终端基于证书认证方式建立与所述从终端的本地TLS连接。
可选的,所述收发单元1202具体用于:
接收所述主终端根据所述Https URL发送的TCP连接请求;
若确定所述TCP连接请求的源IP地址与所述Http请求的源IP地址相同, 则响应所述TCP连接请求以便完成TCP连接建立。
可选的,所述Https URL中包含第二安全信息;
所述收发单元1202用于确定接收到所述主终端发送的第二安全信息,则 完成Https会话建立。
如图13所示,本申请实施例提供一种终端问的安全交互装置结构示意图, 该装置包括:
处理单元1301,用于获取具备eUICC的从终端指示或间接指示的包含第 一安全信息的第一Http URL;
收发单元1302,用于向所述从终端发送包含第一Http URL的Http请求, 所述第一Http URL中包含所述第一安全信息;接收所述从终端根据所述Http 请求向所述主终端发送的Https URL,并根据所述Https URL发起建立Https 会话;
所述主终端通过所述Https会话向所述从主终端发送对所述eUICC的操 作指令。
可选的,所述处理单元1301具体用于:
接收所述从终端传递的包含第一安全信息的Http URL;或者,
通过所述从终端直接显示的包含第一安全信息的Http URL获取所述Http URL;或者,
通过扫描包含第一安全信息的Http URL的图形获取所述Http URL。
可选的,所述收发单元1302还用于:
接收所述从终端发送的用于下载CA根证书的第二Http URL,并根据所 述CA根证书基于证书认证方式建立与所述从终端的本地TLS连接。
可选的,所述主终端接收所述从终端根据包含第一安全信息的所述Http 请求向所述主终端发送的Https URL之后,还包括:
根据所述Https URL向所述从终端发送TCP连接请求,以便所述从终端 根据所述TCP连接请求的源IP地址与所述Http请求的源IP地址响应所述TCP 连接请求。
可选的,所述Https URL中包含第二安全信息;
所述收发单元用于向所述从终端发送所述第二安全信息,以便所述从终 端在接收到所述第二安全信息后完成Https会话建立。
如图14所示,本申请实施例提供一种终端问的安全交互装置结构示意图, 该装置包括:
处理单元1401,用于向主终端指示或间接指示从终端的地址信息和安全 信息,以便所述主终端根据所述地址信息和所述安全信息建立本地安全应用 会话;
收发单元1402,用于通过所述本地安全应用会话接收主终端对所述 eUICC的操作指令。
可选的,所述处理单元1401具体用于:
传递所述地址信息和安全信息到主终端;或者,
直接显示所述地址信息和安全信息以间接向所述主终端指示所述地址信 息和安全信息;或者,
通过显示包括所述地址信息和安全信息的图形以间接向所述主终端指示 所述地址信息和安全信息。
可选的,所述安全信息作为预共享密钥,以便所述从终端与所述主终端 通过所述预共享密钥进行双向认证并建立本地安全应用会话。
可选的,所述收发单元1402具体用于:
接收所述主终端的本地安全应用会话请求,并将获取到的本地连接的密 钥信息作为预共享密钥;
与所述主终端通过所述预共享密钥进行双向认证后,若确定接收到所述 主终端发送的安全信息,则完成建立本地安全应用会话。
如图15所示,本申请实施例提供一种终端问的安全交互装置结构示意图, 该装置包括:
处理单元1501,用于获取具备eUICC的从终端向主终端指示或间接指示 的地址信息和安全信息;根据所述地址信息和所述安全信息建立本地安全应 用会话;
收发单元1502,用于通过所述本地安全应用会话向所述从主终端发送对 所述eUICC的操作指令。
可选的,所述处理单元1501具体用于:
接收所述从终端传递的地址信息和安全信息;或者,
通过所述从终端直接显示的地址信息和安全信息获取地址信息和安全信 息;或者,
通过扫描包含地址信息和安全信息的图形获取地址信息和安全信息。
可选的,所述安全信息作为预共享密钥,以便所述主终端通过所述预共 享密钥与所述从终端进行双向认证并建立本地安全应用会话。
可选的,所述处理单元1501具体用于:
向所述从终端发送本地安全应用会话请求,并将获取到的本地连接的密 钥信息作为预共享密钥;
通过所述预共享密钥与所述从终端进行双向认证后,向所述从终端发送 所述安全信息,以便所述从终端确定接收到所述主终端发送的安全信息后完 成建立本地安全应用会话。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或 计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、 或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个 其中包含有计算机可用程序代码的计算机可用存储信道(包括但不限于磁盘 存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、终端(系统)、和计算机程序产 品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图 和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程 和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、 嵌入式处理机或其他可编程数据处理终端的处理器以产生一个机器指令,使 得通过计算机或其他可编程数据处理终端的处理器执行的指令产生用于实现 在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功 能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终 端以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器 中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或 多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端上, 使得在计算机或其他可编程终端上执行一系列操作步骤以产生计算机实现的 处理,从而在计算机或其他可编程终端上执行的指令提供用于实现在流程图 一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步 骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本 申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要 求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (42)

1.一种终端间的安全交互方法,其特征在于,该方法包括:
具备eUICC的从终端向主终端指示或间接指示包含安全信息的Https URL,以便所述 主终端基于证书认证方式根据所述Https URL与所述从终端建立本地TLS连接;
所述从终端接收所述主终端通过本地TLS连接发送的Http请求,所述从终端若确定 所述Http请求中包含所述安全信息,则向主终端返回Http响应,完成Https会话建立;
所述从终端接收所述主终端通过所述Https会话发送的对所述eUICC的操作指令。
2.根据权利要求1所述的方法,其特征在于,所述从终端向主终端指示或间接指示 包含安全信息的Https URL,包括:
所述从终端向主终端传递包含安全信息的Https URL;或者,
所述从终端直接显示包含安全信息的Https URL以间接向所述主终端指示所述Https URL;或者,
所述从终端通过显示包含安全信息的Https URL的图形以间接向所述主终端指示所述 Https URL。
3.一种终端间的安全交互方法,其特征在于,该方法包括:
主终端获取具备eUICC的从终端指示或间接指示的包含安全信息的Https URL;
所述主终端基于证书认证方式根据所述Https URL与所述从终端建立本地TLS连接, 并通过所述本地TLS连接向所述从终端发送包含所述安全信息的Http请求,并在接收到 所述从终端返回的Http响应后,完成Https会话建立;
所述主终端通过所述Https会话向所述从终端发送对所述eUICC的操作指令。
4.一种终端间的安全交互方法,其特征在于,该方法包括:
具备eUICC的从终端向主终端指示或间接指示包含第一安全信息的Http URL;
若所述从终端接收到所述主终端以包含第一安全信息的第一Https URL发送的Http请 求,则向所述主终端返回Https URL,以便所述主终端根据所述Https URL发起建立Https 会话;
所述从终端通过所述Https会话接收主终端发送的对所述eUICC的操作指令。
5.根据权利要求4所述的方法,其特征在于,所述从终端向主终端指示或间接指示 包含第一安全信息的Http URL,包括:
所述从终端向主终端传递包含第一安全信息的Http URL;或者,
所述从终端直接显示包含第一安全信息的Http URL以间接向所述主终端指示所述 Http URL;或者,
所述从终端通过显示包含第一安全信息的Http URL的图形以间接向所述主终端指示 所述Http URL。
6.根据权利要求4所述的方法,其特征在于,所述从终端接收到所述主终端以包含 第一安全信息的第一Http URL发送的Http请求之后,还包括:
所述从终端向所述主终端返回用于下载CA根证书的第二Http URL,所述CA根证书 用于所述主终端基于证书认证方式建立与所述从终端的本地TLS连接。
7.根据权利要求4-6任一所述的方法,其特征在于,所述从终端向所述主终端返回 Https URL之后,还包括:
所述从终端接收所述主终端根据所述Https URL发送的TCP连接请求;
所述从终端若确定所述TCP连接请求的源IP地址与所述Http请求的源IP地址相同, 则响应所述TCP连接请求以便完成TCP连接建立。
8.根据权利要求4-6任一所述的方法,其特征在于,所述Https URL中包含第二安全 信息;
所述从终端通过所述Https会话接收主终端发送的对所述eUICC的操作指令之前,还 包括:
所述从终端确定接收到所述主终端发送的第二安全信息,则完成Https会话建立。
9.一种终端间的安全交互方法,其特征在于,该方法包括:
主终端获取具备eUICC的从终端指示或间接指示的包含第一安全信息的第一Http URL;
所述主终端向所述从终端发送包含第一Http URL的Http请求,所述第一Http URL中 包含所述第一安全信息;
所述主终端接收所述从终端根据所述Http请求向所述主终端发送的Https URL,并根 据所述Https URL发起建立Https会话;
所述主终端通过所述Https会话向所述从终端发送对所述eUICC的操作指令。
10.根据权利要求9所述的方法,其特征在于,所述主终端获取具备eUICC的从终端 指示或间接指示的包含第一安全信息的第一Http URL,包括:
主终端接收所述从终端传递的包含第一安全信息的Http URL;或者,
所述主终端通过所述从终端直接显示的包含第一安全信息的Http URL获取所述Http URL;或者,
所述主终端通过扫描包含第一安全信息的Http URL的图形获取所述Http URL。
11.根据权利要求9所述的方法,其特征在于,所述主终端向所述从终端发送包含第 一Http URL的Http请求之后,还包括:
所述主终端接收所述从终端发送的用于下载CA根证书的第二Http URL,并根据所述 CA根证书基于证书认证方式建立与所述从终端的本地TLS连接。
12.根据权利要求9-11任一所述的方法,其特征在于,所述主终端接收所述从终端根 据包含第一安全信息的所述Http请求向所述主终端发送的Https URL之后,还包括:
所述主终端根据所述Https URL向所述从终端发送TCP连接请求,以便所述从终端根 据所述TCP连接请求的源IP地址与所述Http请求的源IP地址响应所述TCP连接请求。
13.根据权利要求9-11任一所述的方法,其特征在于,所述Https URL中包含第二安 全信息;
所述主终端通过所述Https会话向所述从终端发送对所述eUICC的操作指令之前,还 包括:
所述主终端向所述从终端发送所述第二安全信息,以便所述从终端在接收到所述第二 安全信息后完成Https会话建立。
14.一种终端间的安全交互方法,其特征在于,该方法包括:
具备eUICC的从终端生成包括从终端的地址信息和安全信息的超文本传输安全协议 Https统一资源定位符URL;
所述从终端向主终端指示或间接指示所述Https URL,以便所述主终端根据所述地址 信息和所述安全信息建立本地安全应用会话;所述从终端和所述主终端均支持Https;
从终端通过所述本地安全应用会话接收主终端对所述eUICC的操作指令。
15.根据权利要求14所述的方法,其特征在于,所述从终端向主终端指示或间接指 示所述Https URL,包括:
所述从终端传递包括所述地址信息和安全信息的Https URL到主终端;或者,
所述从终端直接显示所述Https URL以间接向所述主终端指示所述地址信息和安全信 息;或者,
所述从终端通过显示包括所述Https URL的图形以间接向所述主终端指示所述地址信 息和安全信息。
16.根据权利要求14所述的方法,其特征在于,所述安全信息作为预共享密钥,以 便所述从终端与所述主终端通过所述预共享密钥进行双向认证并建立本地安全应用会话。
17.根据权利要求14所述的方法,其特征在于,具备eUICC的从终端向主终端指示 或间接指示所述Https URL之后,还包括:
所述从终端接收所述主终端的本地安全应用会话请求,并将获取到的本地连接的密钥 信息作为预共享密钥;
所述从终端与所述主终端通过所述预共享密钥进行双向认证后,若确定接收到所述主 终端发送的安全信息,则完成建立本地安全应用会话。
18.一种终端间的安全交互方法,其特征在于,该方法包括:
主终端获取具备eUICC的从终端向主终端指示或间接指示的包括从终端的地址信息 和安全信息的超文本传输安全协议Https统一资源定位符URL;所述Https URL是所述从 终端生成的;所述从终端和所述主终端均支持Https;
所述主终端根据所述Https URL中的所述地址信息和所述安全信息建立本地安全应用 会话;
所述主终端通过所述本地安全应用会话向所述从终端发送对eUICC的操作指令。
19.根据权利要求18所述的方法,其特征在于,所述主终端获取具备eUICC的从终 端向主终端指示或间接指示的地址信息和安全信息,包括:
主终端接收所述从终端传递的包括所述地址信息和安全信息的所述Https URL;或者,
所述主终端通过所述从终端直接显示的所述Https URL获取地址信息和安全信息;或 者,
所述主终端通过扫描包含所述Https URL的图形获取地址信息和安全信息。
20.根据权利要求18所述的方法,其特征在于,所述安全信息作为预共享密钥,以 便所述主终端通过所述预共享密钥与所述从终端进行双向认证并建立本地安全应用会话。
21.根据权利要求18所述的方法,其特征在于,所述主终端根据所述地址信息和所 述安全信息建立本地安全应用会话,包括:
所述主终端向所述从终端发送本地安全应用会话请求,并将获取到的本地连接的密钥 信息作为预共享密钥;
所述主终端通过所述预共享密钥与所述从终端进行双向认证后,向所述从终端发送所 述安全信息,以便所述从终端确定接收到所述主终端发送的安全信息后完成建立本地安全 应用会话。
22.一种终端间的安全交互装置,其特征在于,该装置包括:
处理器,用于向主终端指示或间接指示包含安全信息的Https URL,以便所述主终端 基于证书认证方式根据所述Https URL与从终端建立本地TLS连接;
收发器,用于接收所述主终端通过本地TLS连接发送的Http请求,所述从终端若确 定所述Http请求中包含所述安全信息,则向主终端返回Http响应,完成Https会话建立; 接收所述主终端通过所述Https会话发送的对eUICC的操作指令。
23.根据权利要求22所述的装置,其特征在于,所述处理器具体用于:
向主终端传递包含安全信息的Https URL;或者,
直接显示包含安全信息的Https URL以间接向所述主终端指示所述Https URL;或者,
通过显示包含安全信息的Https URL的图形以间接向所述主终端指示所述Https URL。
24.一种终端间的安全交互装置,其特征在于,该装置包括:
处理器,用于获取具备eUICC的从终端指示或间接指示的包含安全信息的Https URL; 基于证书认证方式根据所述Https URL与所述从终端建立本地TLS连接,并通过所述本地 TLS连接向所述从终端发送包含所述安全信息的Http请求,并在接收到所述从终端返回的 Http响应后,完成Https会话建立;
收发器,用于通过所述Https会话向所述从终端发送对所述eUICC的操作指令。
25.一种终端间的安全交互装置,其特征在于,该装置包括:
处理器,用于向主终端指示或间接指示包含第一安全信息的Http URL;
收发器,用于若接收到所述主终端以包含第一安全信息的第一Https URL发送的Http 请求,则向所述主终端返回Https URL,以便所述主终端根据所述Https URL发起建立Https 会话;通过所述Https会话接收主终端发送的对eUICC的操作指令。
26.根据权利要求25所述的装置,其特征在于,所述处理器具体用于:
向主终端传递包含第一安全信息的Http URL;或者,
直接显示包含第一安全信息的Http URL以间接向所述主终端指示所述Http URL;或 者,
通过显示包含第一安全信息的Http URL的图形以间接向所述主终端指示所述Http URL。
27.根据权利要求25所述的装置,其特征在于,所述收发器还用于:
向所述主终端返回用于下载CA根证书的第二Http URL,所述CA根证书用于所述主 终端基于证书认证方式建立与从终端的本地TLS连接。
28.根据权利要求25-27任一所述的装置,其特征在于,所述收发器具体用于:
接收所述主终端根据所述Https URL发送的TCP连接请求;
若确定所述TCP连接请求的源IP地址与所述Http请求的源IP地址相同,则响应所述 TCP连接请求以便完成TCP连接建立。
29.根据权利要求25-27任一所述的装置,其特征在于,所述Https URL中包含第二 安全信息;
所述收发器用于确定接收到所述主终端发送的第二安全信息,则完成Https会话建立。
30.一种终端间的安全交互装置,其特征在于,该装置包括:
处理器,用于获取具备eUICC的从终端指示或间接指示的包含第一安全信息的第一 Http URL;
收发器,用于向所述从终端发送包含第一Http URL的Http请求,所述第一Http URL 中包含所述第一安全信息;接收所述从终端根据所述Http请求向主终端发送的Https URL, 并根据所述Https URL发起建立Https会话;
所述主终端通过所述Https会话向所述从终端发送对所述eUICC的操作指令。
31.根据权利要求30所述的装置,其特征在于,所述处理器具体用于:
接收所述从终端传递的包含第一安全信息的Http URL;或者,
通过所述从终端直接显示的包含第一安全信息的Http URL获取所述Http URL;或者,
通过扫描包含第一安全信息的Http URL的图形获取所述Http URL。
32.根据权利要求30所述的装置,其特征在于,所述收发器还用于:
接收所述从终端发送的用于下载CA根证书的第二Http URL,并根据所述CA根证书 基于证书认证方式建立与所述从终端的本地TLS连接。
33.根据权利要求30-32任一所述的装置,其特征在于,所述主终端接收所述从终端 根据包含第一安全信息的所述Http请求向所述主终端发送的Https URL之后,还包括:
根据所述Https URL向所述从终端发送TCP连接请求,以便所述从终端根据所述TCP 连接请求的源IP地址与所述Http请求的源IP地址响应所述TCP连接请求。
34.根据权利要求30-32任一所述的装置,其特征在于,所述Https URL中包含第二 安全信息;
所述收发器用于向所述从终端发送所述第二安全信息,以便所述从终端在接收到所述 第二安全信息后完成Https会话建立。
35.一种终端间的安全交互装置,其特征在于,该装置包括:
处理器,用于生成包括从终端的地址信息和安全信息的超文本传输安全协议Https统 一资源定位符URL;向主终端指示或间接指示所述Https URL,以便所述主终端根据所述 地址信息和所述安全信息建立本地安全应用会话;所述从终端和所述主终端均支持Https;
收发器,用于通过所述本地安全应用会话接收主终端对eUICC的操作指令。
36.根据权利要求35所述的装置,其特征在于,所述处理器具体用于:
传递包括所述地址信息和安全信息到主终端所述Https URL;或者,
直接显示所述Https URL以间接向所述主终端指示所述地址信息和安全信息;或者,
通过显示包括所述Https URL的图形以间接向所述主终端指示所述地址信息和安全信 息。
37.根据权利要求35所述的装置,其特征在于,所述安全信息作为预共享密钥,以 便所述从终端与所述主终端通过所述预共享密钥进行双向认证并建立本地安全应用会话。
38.根据权利要求35所述的装置,其特征在于,所述收发器具体用于:
接收所述主终端的本地安全应用会话请求,并将获取到的本地连接的密钥信息作为预 共享密钥;
与所述主终端通过所述预共享密钥进行双向认证后,若确定接收到所述主终端发送的 安全信息,则完成建立本地安全应用会话。
39.一种终端间的安全交互装置,其特征在于,该装置包括:
处理器,用于获取具备eUICC的从终端向主终端指示或间接指示的包括从终端的地址 信息和安全信息的超文本传输安全协议Https统一资源定位符URL;所述Https URL是所 述从终端生成的;根据所述Https URL中的所述地址信息和所述安全信息建立本地安全应 用会话;所述从终端和所述主终端均支持Https;
收发器,用于通过所述本地安全应用会话向所述从终端发送对eUICC的操作指令。
40.根据权利要求39所述的装置,其特征在于,所述处理器具体用于:
接收所述从终端传递的包括所述地址信息和安全信息的所述Https URL;或者,
通过所述从终端直接显示的所述Https URL获取地址信息和安全信息;或者,
通过扫描包含所述Https URL的图形获取地址信息和安全信息。
41.根据权利要求39所述的装置,其特征在于,所述安全信息作为预共享密钥,以 便所述主终端通过所述预共享密钥与所述从终端进行双向认证并建立本地安全应用会话。
42.根据权利要求39所述的装置,其特征在于,所述处理器具体用于:
向所述从终端发送本地安全应用会话请求,并将获取到的本地连接的密钥信息作为预 共享密钥;
通过所述预共享密钥与所述从终端进行双向认证后,向所述从终端发送所述安全信息, 以便所述从终端确定接收到所述主终端发送的安全信息后完成建立本地安全应用会话。
CN201580073001.1A 2015-12-01 2015-12-01 一种终端间的安全交互方法及装置 Active CN107211265B9 (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2015/096184 WO2017091987A1 (zh) 2015-12-01 2015-12-01 一种终端间的安全交互方法及装置

Publications (3)

Publication Number Publication Date
CN107211265A CN107211265A (zh) 2017-09-26
CN107211265B CN107211265B (zh) 2020-05-08
CN107211265B9 true CN107211265B9 (zh) 2020-06-02

Family

ID=58796080

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201580073001.1A Active CN107211265B9 (zh) 2015-12-01 2015-12-01 一种终端间的安全交互方法及装置

Country Status (4)

Country Link
US (2) US11063939B2 (zh)
EP (1) EP3373622B1 (zh)
CN (1) CN107211265B9 (zh)
WO (1) WO2017091987A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102545897B1 (ko) * 2015-12-22 2023-06-22 삼성전자 주식회사 프로파일 제공 방법 및 장치
KR102382894B1 (ko) * 2017-11-28 2022-04-05 삼성전자주식회사 통신 시스템에서 이벤트를 관리하는 방법 및 장치
US11570009B1 (en) * 2019-11-22 2023-01-31 Amazon Technologies, Inc. Systems and methods for onboarding IoT devices with session certificates
CN111142892B (zh) * 2019-12-30 2023-06-20 飞天诚信科技股份有限公司 ios应用程序自动安装方法及通信装置
CN112804676B (zh) * 2020-12-29 2024-03-29 北京握奇数据股份有限公司 一种基于eSIM M2M的自主下号的方法和系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101861567A (zh) * 2007-11-16 2010-10-13 诺基亚公司 用于自动下载软件安装依赖性的方法、装置和计算机程序产品
CN103765934A (zh) * 2011-05-27 2014-04-30 电话有限公司 支持多个签约的个人设备的签约切换方法
EP2747368A1 (fr) * 2012-12-19 2014-06-25 Gemalto SA Procédé de personnalisation d'un élément de sécurité
WO2015020629A1 (en) * 2013-08-05 2015-02-12 Nokia Corporation Secure storage synchronization
WO2015085571A1 (en) * 2013-12-13 2015-06-18 Nokia Technologies Oy Method and apparatus for provisioning an operational subscription
GB2522044A (en) * 2014-01-10 2015-07-15 Samsung Electronics Co Ltd Provisioning apparatus and methods therefor

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7624438B2 (en) * 2003-08-20 2009-11-24 Eric White System and method for providing a secure connection between networked computers
EP1664985A1 (en) * 2003-09-16 2006-06-07 Siemens Medical Solutions Health Services Corporation A processing device security setting configuration system and user interface
US20060085848A1 (en) 2004-10-19 2006-04-20 Intel Corporation Method and apparatus for securing communications between a smartcard and a terminal
US8140350B2 (en) * 2005-02-22 2012-03-20 Medimaging Tools, Llc System and method for integrating ancillary data in DICOM image files
US20080109656A1 (en) 2006-11-08 2008-05-08 General Instrument Corporation Method and Apparatus for Enabling Content to be Shared Among Multiple Devices in a Secure Environment
GB2456499B (en) * 2007-10-17 2012-05-16 Vodafone Plc Transport layer authentication
US9167024B2 (en) * 2009-04-16 2015-10-20 Hewlett-Packard Development Company, L.P. Formatted data file communication
CN101720071B (zh) 2009-12-01 2012-10-03 郑州信大捷安信息技术股份有限公司 基于安全sim卡的短消息两阶段加密传输和安全存储方法
WO2013062459A2 (en) * 2011-10-26 2013-05-02 Mopper Ab Method and arrangement for authorizing a user
EP2713575A1 (fr) * 2012-09-27 2014-04-02 Gemalto SA Procédé de mise en relation virtuelle de deux personnes, média et système correspondant
EP2747339A1 (en) * 2012-12-20 2014-06-25 Alcatel Lucent Method for supporting data-communication, a related system and related devices
US9100175B2 (en) * 2013-11-19 2015-08-04 M2M And Iot Technologies, Llc Embedded universal integrated circuit card supporting two-factor authentication
US9350550B2 (en) * 2013-09-10 2016-05-24 M2M And Iot Technologies, Llc Power management and security for wireless modules in “machine-to-machine” communications
WO2015184064A1 (en) * 2014-05-30 2015-12-03 Apple Inc. Secure storage of an electronic subscriber identity module on a wireless communication device
FR3028639B1 (fr) * 2014-11-17 2016-12-23 Oberthur Technologies Procede de securisation d'un jeton de paiement
CN107005837B (zh) * 2014-11-17 2020-12-18 三星电子株式会社 用于通信系统中的简档安装的装置和方法
EP3634022B1 (en) * 2014-11-24 2021-01-27 Samsung Electronics Co., Ltd. Profile downloading in a wearable electronic device trhough a mobile device
KR102333395B1 (ko) * 2015-02-17 2021-12-03 삼성전자 주식회사 이동통신 시스템의 단말에서 프로파일 수신을 위한 방법 및 장치

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101861567A (zh) * 2007-11-16 2010-10-13 诺基亚公司 用于自动下载软件安装依赖性的方法、装置和计算机程序产品
CN103765934A (zh) * 2011-05-27 2014-04-30 电话有限公司 支持多个签约的个人设备的签约切换方法
EP2747368A1 (fr) * 2012-12-19 2014-06-25 Gemalto SA Procédé de personnalisation d'un élément de sécurité
WO2015020629A1 (en) * 2013-08-05 2015-02-12 Nokia Corporation Secure storage synchronization
WO2015085571A1 (en) * 2013-12-13 2015-06-18 Nokia Technologies Oy Method and apparatus for provisioning an operational subscription
GB2522044A (en) * 2014-01-10 2015-07-15 Samsung Electronics Co Ltd Provisioning apparatus and methods therefor

Also Published As

Publication number Publication date
CN107211265A (zh) 2017-09-26
EP3373622A1 (en) 2018-09-12
EP3373622A4 (en) 2018-10-31
US20180351947A1 (en) 2018-12-06
CN107211265B (zh) 2020-05-08
EP3373622B1 (en) 2020-10-28
US11063939B2 (en) 2021-07-13
US20210367942A1 (en) 2021-11-25
WO2017091987A1 (zh) 2017-06-08

Similar Documents

Publication Publication Date Title
US10768918B2 (en) Method and device for downloading profile of operator
US10516988B2 (en) Profile processing method, profile processing apparatus, user terminal, and eUICC
KR102398276B1 (ko) 프로파일 다운로드 및 설치 장치
CN108259164B (zh) 一种物联网设备的身份认证方法及设备
US20210367942A1 (en) Method and Apparatus for Secure Interaction Between Terminals
KR20190027488A (ko) 무선 통신 시스템에서 디바이스들의 프로파일 이동을 지원하는 방법 및 장치
CN112640385B (zh) 用于在si系统中使用的非si设备和si设备以及相应的方法
CA2922826C (en) Wireless terminal configuration method, apparatus, and wireless terminal
CN106656923A (zh) 一种设备关联方法、秘钥更新方法及装置
CN112640387B (zh) 用于无线连接的非si设备、si设备、方法和计算机可读介质和/或微处理器可执行介质
CN112205013B (zh) 用于无线通信切换的设备
WO2018040524A1 (zh) 分享热点的方法及设备
CN107277935B (zh) 蓝牙通信方法、装置及其应用系统和设备
CN113919007A (zh) 数据签名方法、装置、电子设备及计算机可读存储介质
TW201843990A (zh) 藍牙通訊方法、裝置及其應用系統和設備
KR20140118380A (ko) Ap접속정보 설정방법 및 이를 위한 단말기

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CI03 Correction of invention patent

Correction item: Claims

Correct: Correct

False: error

Number: 19-02

Page: full text

Volume: 36

CI03 Correction of invention patent