一种在线签发eSIM证书的方法、装置及系统
技术领域
本申请涉及数字证书技术领域,具体而言,涉及一种在线签发嵌入式用户识别模块(eSIM,Embedded Subscriber Identity Module)证书的方法、装置及系统。
背景技术
eSIM卡是将SIM卡直接嵌入到电子设备芯片中,因而,无需在电子设备中为eSIM卡设置卡槽,从而能够避免灰尘进入卡槽、剧烈震动等导致的卡槽接触不良问题,使得使用eSIM卡的电子设备具有防尘、防水、防震等优势。而且,利用eSIM卡,用户可以灵活自主选择运营商并使用该运营商的蜂窝网络,满足用户个性化的入网需求,广泛应用于各类物联网领域。
与SIM卡发行,由运营商将码号数据委托给有资质的卡片生产厂商生产,该有资质的卡片生产厂商在生产过程中,将运营商的码号数据(profile)文件预置到SIM卡内不同的是,eSIM卡在生产过程中不需要预置profile文件,只需要预置用于下载profile文件的证书即可,这样,可以依据预置的证书,与卡片生产厂商交互认证后,实现自主选择运营商的目的。具体地,卡片生产厂商在eSIM卡生产过程中,为生产的eSIM卡签发eSIM证书,并将证书发行方(CI,Certificate Issuer)证书、嵌入式通用集成电路卡生产厂商(EUM,EmbeddedUniversal Integrated Circuit Card Manufacturer,简称卡片生产厂商)证书以及签发的eSIM证书预置到eSIM卡中。其中,CI证书(CI_CERT)为证书发行方的根证书,EUM证书(EUM_CERT)为证书发行方签发给卡片生产厂商的根证书,eSIM证书(eSIM_CERT)为卡片生产厂商签发给eSIM卡的证书,每一卡片生产厂商维护自身的EUM_CERT。这样,在需要获取某一运营商的profile文件时,物联网终端用户使用预置在eSIM卡内的证书,通过本地码号数据代理(LPA,Local Profile Assistant)与CI证书服务器进行在线认证,认证通过后,从CI证书服务器安全下载需要获取的profile文件,安装profile文件后,该物联网终端可以登录该profile文件对应的运营商蜂窝网络,从而实现灵活自主选择运营商的目的。
但该预置eSIM证书的方法,需要每一卡片生产厂商维护自身的EUM_CERT,并维护生产的eSIM卡的eSIM证书签发和管理,使得卡片生产厂商的运营维护成本较高,且证书签发的流程嵌入eSIM卡的生产流程,也增加了卡片生产厂商的产能负担,提高了eSIM卡的运营维护成本,同时,由于需要中间环节,即卡片生产厂商维护EUM证书签发和管理eSIM证书,存在的安全风险会增加;进一步地,对于没有通用集成电路卡(UICC,UniversalIntegrated Circuit Card)等实体卡存在的eSIM卡,例如,可信执行环境(TEE,TrustedExecution Environment)SIM卡或集成式通用集成电路卡(iUICC,integrated UniversalIntegrated Circuit Card),卡片生产厂商在该类产品出厂前不预置任何证书,使得该类产品还不能实现自主登录运营商蜂窝网络。
发明内容
有鉴于此,本申请的目的在于提供一种在线签发eSIM证书的方法、装置及系统,用于解决现有技术中eSIM卡的运营维护成本较高的问题。
第一方面,本申请实施例提供了一种在线签发eSIM证书的方法,应用于物联网终端,该方法包括:
向证书发行方CI证书服务器发起证书在线签发请求,所述证书在线签发请求中携带用户信息;
接收所述CI证书服务器为通过认证的所述用户信息签发的用户证书和CI证书;
基于接收的所述用户证书以及CI证书,得到eSIM证书密文请求待签名文件,对所述eSIM证书密文请求待签名文件进行签名,得到eSIM证书密文请求签名;
将所述eSIM证书密文请求待签名文件和eSIM证书密文请求签名传输至所述CI证书服务器;
接收所述CI证书服务器依据所述eSIM证书密文请求待签名文件、eSIM证书密文请求签名和用户证书返回的eSIM证书密文待签名文件和eSIM证书密文签名,解析所述eSIM证书密文待签名文件和eSIM证书密文签名,得到eSIM证书并存储。
第二方面,本申请实施例提供了一种在线签发嵌入式用户识别模块eSIM证书的方法,应用于证书发行方CI证书服务器,该方法包括:
接收物联网终端发送的携带有用户信息的证书在线签发请求,对所述用户信息进行认证;
若认证通过,提取预存储的CI证书中包含的CI证书私钥,利用提取的所述CI证书私钥签发用户证书,并将所述用户证书和CI证书发送至所述物联网终端;
接收所述物联网终端依据所述用户证书和CI证书返回的eSIM证书密文请求待签名文件和eSIM证书密文请求签名;
基于所述用户证书、eSIM证书密文请求待签名文件和eSIM证书密文请求待签名文件,签发eSIM证书;
对签发的所述eSIM证书进行加密处理,将加密处理的eSIM证书发送至所述物联网终端。
第三方面,本申请实施例提供了一种在线签发eSIM证书的装置,该装置包括:
证书在线签发请求模块,用于向证书发行方CI证书服务器发起证书在线签发请求,所述证书在线签发请求中携带用户信息;
用户证书接收模块,用于接收所述CI证书服务器为通过认证的所述用户信息签发的用户证书和CI证书;
签名文件生成模块,用于基于接收的所述用户证书以及CI证书,得到eSIM证书密文请求待签名文件,对所述eSIM证书密文请求待签名文件进行签名,得到eSIM证书密文请求签名;
签名文件传输模块,用于将所述eSIM证书密文请求待签名文件和eSIM证书密文请求签名传输至所述CI证书服务器;
eSIM证书解析模块,用于接收所述CI证书服务器依据所述eSIM证书密文请求待签名文件、eSIM证书密文请求签名和用户证书返回的eSIM证书密文待签名文件和eSIM证书密文签名,解析所述eSIM证书密文待签名文件和eSIM证书密文签名,得到eSIM证书并存储。
第四方面,本申请实施例提供了一种在线签发eSIM证书的装置,该装置包括:
认证模块,用于接收物联网终端发送的携带有用户信息的证书在线签发请求,对所述用户信息进行认证;
用户证书签发模块,若认证通过,提取预存储的证书发行方CI证书中包含的CI证书私钥,利用提取的所述CI证书私钥签发用户证书,并将所述用户证书和CI证书发送至所述物联网终端;
签名文件接收模块,用于接收所述物联网终端依据所述用户证书和CI证书返回的eSIM证书密文请求待签名文件和eSIM证书密文请求签名;
eSIM证书签发模块,用于基于所述用户证书、eSIM证书密文请求待签名文件和eSIM证书密文请求待签名文件,签发eSIM证书;
eSIM证书加密处理模块,用于对签发的所述eSIM证书进行加密处理,将加密处理的eSIM证书发送至所述物联网终端。
第五方面,本申请实施例提供了一种在线签发eSIM证书的系统,该系统包括:物联网终端以及证书发行方CI证书服务器,其中,
所述物联网终端,用于向所述证书服务器发起证书在线签发请求,所述证书在线签发请求中携带用户信息;
接收所述CI证书服务器签发的用户证书和CI证书;
基于接收的所述用户证书以及CI证书,得到eSIM证书密文请求待签名文件,对所述eSIM证书密文请求待签名文件进行签名,得到eSIM证书密文请求签名;
将所述eSIM证书密文请求待签名文件和eSIM证书密文请求签名传输至所述CI证书服务器;
接收所述CI证书服务器返回的eSIM证书密文待签名文件和eSIM证书密文签名,解析所述eSIM证书密文待签名文件和eSIM证书密文签名,得到eSIM证书并存储;
所述CI证书服务器,用于接收所述物联网终端发送的携带有用户信息的证书在线签发请求,对所述用户信息进行认证;
若认证通过,提取预存储的CI证书中包含的CI证书私钥,利用提取的所述CI证书私钥签发用户证书,并将所述用户证书和CI证书发送至所述物联网终端;
接收所述物联网终端返回的eSIM证书密文请求待签名文件和eSIM证书密文请求签名;
基于所述用户证书、eSIM证书密文请求待签名文件和eSIM证书密文请求待签名文件,签发eSIM证书;
对签发的所述eSIM证书进行加密处理,将加密处理的eSIM证书密文签名发送至所述物联网终端。
第六方面,本申请实施例提供了一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
第七方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述的方法的步骤。
本申请实施例提供的一种在线签发eSIM证书的方法、装置及系统,物联网终端通过向CI证书服务器发起携带用户信息的证书在线签发请求,CI证书服务器维护各用户的用户证书以及为用户签发eSIM证书,为用户签发用户证书和CI证书,物联网终端基于接收的用户证书和CI证书,生成eSIM证书密文请求待签名文件以及eSIM证书密文请求签名,发送至CI证书服务器,以使CI证书服务器验签后,为该用户签发eSIM证书。这样,实现无需在eSIM卡中预置证书,即可达到在线获取证书的目的,使得eSIM卡能够获得profile下载的能力,有效降低了eSIM卡的运营维护成本。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的在线签发eSIM证书的方法流程示意图;
图2为本申请实施例提供的基于图1的步骤103的流程示意图;
图3为本申请实施例提供的在线签发eSIM证书的方法另一流程示意图;
图4为本申请实施例提供的基于图3的步骤304的流程示意图;
图5为本申请实施例提供的在线签发eSIM证书的方法具体流程示意图;
图6为本申请实施例提供的在线签发eSIM证书的装置结构示意图;
图7为本申请实施例提供的在线签发eSIM证书的装置另一结构示意图;
图8为本申请实施例提供的在线签发eSIM证书的系统结构示意图
图9为本申请实施例提供的一种计算机设备400的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本申请实施例提供的在线签发eSIM证书的方法流程示意图。如图1所示,应用于物联网终端,该方法包括:
步骤101,向CI证书服务器发起证书在线签发请求,所述证书在线签发请求中携带用户信息;
本申请实施例中,对于没有UICC实体卡形态的eSIM卡,例如,TEESIM卡或iUICC等,由于没有内置证书,因而,作为一可选实施例,物联网终端可以通过LPA向CI证书服务器发起证书在线签发请求,以从CI证书服务器获取相应的证书。并在后续中,物联网终端的eSIM卡利用获取的证书再从CI证书服务器安全下载需要获取的profile文件进行安装。
本申请实施例中,在eSIM卡生产时,不会在eSIM卡中预置任何证书,用户在使用装置了eSIM卡的物联网终端(如智能手表、PAD等)时,需要联网(WIFI、蓝牙等)在线申请eSIM证书以获取下载profile的服务。
本申请实施例中,作为一可选实施例,用户信息包括但不限于:用户标识(USER_ID)、和/或,移动电话号码,其中,用户标识包括但不限于:身份证信息、护照信息、指纹信息、社会保障卡号信息中的任意一种或其组合。例如,用户信息包括:身份证信息和移动电话号码信息。
步骤102,接收所述CI证书服务器为通过认证的所述用户信息签发的用户证书和CI证书;
本申请实施例中,物联网终端用户在需要为eSIM卡内置证书时,通过物联网终端中的LPA向CI证书服务器发送证书在线签发请求,以在CI证书服务器对该物联网终端用户进行认证并通过后,CI证书服务器为该物联网终端用户签发用户证书(USER_CERT),并将USER_CERT以及CI_CERT下发至该物联网终端的eSIM卡。
本申请实施例中,CI证书服务器不再为卡片生产厂商签发EUM_CERT,而是为用户签发USER_CERT,并在CI证书服务器中,由签发的USER_CERT对eSIM卡进行eSIM_CERT签发,即CI证书服务器为每一物联网终端用户或者企业用户签发一个二级证书(USER_CERT),再利用USER_CERT为每个物联网终端中的eSIM卡签发eSIM_CERT,所有证书都由CI证书服务器签发。这样,卡片生产厂商就无需维护自身的EUM_CERT,也无需对生产的eSIM卡的eSIM证书的签发和管理进行维护,使得证书签发的流程不再嵌入eSIM卡的生产流程,而是由CI证书服务器统一对各用户的USER_CERT进行维护和管理,能够有效释放卡片生产厂商的产能,降低eSIM卡的运营维护成本。进一步地,通过CI证书服务器统一维护USER_CERT的签发以及eSIM_CERT的签发,可有效减少中间环节,从而避免中间环节导致的安全风险。
步骤103,基于接收的所述用户证书以及CI证书,得到eSIM证书密文请求待签名文件,对所述eSIM证书密文请求待签名文件进行签名,得到eSIM证书密文请求签名;
本申请实施例中,首先,从接收的CI_CERT中提取CI_CERT公钥,利用提取的CI_CERT公钥验证USER_CERT的签名;若签名验证通过,生成用于签发eSIM_CERT的签发公钥(PK_USER)和签发私钥(SK_USER),并利用PK_USER生成eSIM证书请求(CSR_USER,Cerificate Signing Request_USER)文件。
其次,从接收的USER_CERT中提取USER_CERT公钥,利用提取的USER_CERT公钥加密CSR_USER文件,得到eSIM证书密文请求待签名(SIGN_CSR_USER)文件。
最后,利用SK_USER对SIGN_CSR_USER文件进行签名,得到eSIM证书密文请求签名。
步骤104,将所述eSIM证书密文请求待签名文件和eSIM证书密文请求签名传输至所述CI证书服务器;
本申请实施例中,物联网终端的eSIM卡,通过物联网终端中的LPA,将SIGN_CSR_USER文件和SIGNATURE_CSR_USER发送至CI证书服务器。
步骤105,接收所述CI证书服务器依据所述eSIM证书密文请求待签名文件、eSIM证书密文请求签名和用户证书返回的eSIM证书密文待签名文件和eSIM证书密文签名,解析所述eSIM证书密文待签名文件和eSIM证书密文签名,得到eSIM证书并存储。
本申请实施例中,eSIM卡接收CI证书服务器返回的eSIM证书密文待签名(SIGN_eSIM_CERT)文件和eSIM证书密文签名(SIGNATURE_eSIM_CERT),其中,SIGN_eSIM_CERT文件和SIGNATURE_eSIM_CERT由CI证书服务器依据接收的SIGN_CSR_USER文件和SIGNATURE_CSR_USER以及为该用户签发的用户证书生成。物联网终端的eSIM卡基于该SIGN_eSIM_CERT文件和SIGNATURE_eSIM_CERT获取eSIM_CERT。
本申请实施例中,物联网终端通过向CI证书服务器发起携带用户信息的证书在线签发请求,CI证书服务器维护各用户的用户证书,在对该用户标识进行认证后,为该用户标识对应的用户签发用户证书和CI证书,物联网终端基于接收的用户证书和CI证书,生成eSIM证书密文请求待签名文件以及eSIM证书密文请求签名,发送至CI证书服务器,以使CI证书服务器验签后,为该用户签发eSIM证书。这样,无需由卡片生产厂商维护自身的EUM_CERT,并维护生产的eSIM卡的eSIM证书签发和管理,实现无需在eSIM卡中预置证书,即可获取证书的目的,使得eSIM卡能够获得profile下载的能力,有效降低了eSIM卡的运营维护成本。同时,通过在线签发证书的方法,可以有效避免因预置证书导致的资源闲置,以及,预置证书被泄露导致的经济损失。进一步地,将证书签发的流程与eSIM卡的生产流程相隔离,卡片生产厂商无需维护自身生产的eSIM卡的eSIM证书签发和管理,可以有效释放卡片生产厂商的产能;而且,由CI证书服务器统一维护各用户的用户证书签发以及用户的eSIM证书签发,只涉及到eSIM卡与CI证书服务器的证书管理,减少了卡片生产厂商这一中间环节,降低了中间环节导致的安全风险以及资源开销。此外,对于没有UICC等实体卡存在的eSIM卡,可以直接通过本申请实施例的方法获取证书,从而能够实现该类产品自主登录运营商蜂窝网络。
图2为本申请实施例提供的基于图1的步骤103的流程示意图。如图2所示,该流程包括:
步骤201,提取所述CI证书中包含的CI证书公钥,利用提取的所述CI证书公钥验证所述用户证书的签名;
本申请实施例中,CI_CERT中包含有CI_CERT公钥。
步骤202,若签名验证通过,生成用于签发所述eSIM证书的签发公钥和签发私钥,利用所述签发公钥生成eSIM证书请求文件;
本申请实施例中,eSIM卡接收到USER_CERT,提取USER_CERT的签名,利用CI_CERT公钥对USER_CERT的签名进行验证,对USER_CERT的签名验证通过后,eSIM卡依据预先设置的算法,生成用于签发eSIM_CERT的签发公钥(PK_USER)和签发私钥(SK_USER)。
本申请实施例中,作为一可选实施例,eSIM证书请求文件包括:签发公钥、CI服务器信息、扩展项、证书有效期等。
步骤203,提取所述用户证书中包含的用户证书公钥,利用所述用户证书公钥加密所述eSIM证书请求文件,得到eSIM证书密文请求待签名文件;
本申请实施例中,eSIM证书密文请求待签名文件为SIGN_CSR_USER文件。
步骤204,利用所述签发私钥对所述eSIM证书密文请求待签名文件进行签名,得到eSIM证书密文请求签名。
本申请实施例中,eSIM证书密文请求签名为SIGNATURE_CSR_USER。SIGNATURE_CSR_USER为SIGN_CSR_USER文件的签名。
本申请实施例中,作为一可选实施例,解析所述eSIM证书密文待签名文件和eSIM证书密文签名,得到eSIM证书,包括:
A11,利用所述用户证书公钥,对所述eSIM证书密文签名进行验证;
本申请实施例中,eSIM卡利用USER_CERT公钥进行验证。
A12,如果验证成功,利用所述签发私钥对所述eSIM证书密文待签名文件进行解密,得到eSIM证书。
图3为本申请实施例提供的在线签发eSIM证书的方法另一流程示意图。如图3所示,应用于CI证书服务器,该方法包括:
步骤301,接收物联网终端发送的携带有用户信息的证书在线签发请求,对所述用户信息进行认证;
本申请实施例中,CI证书服务器将用户信息(USER_ID和用户手机号码)传输至实名认证系统,验证发起证书在线签发请求的用户信息。
步骤302,若认证通过,提取预存储的CI证书中包含的CI证书私钥,利用提取的所述CI证书私钥签发用户证书,并将所述用户证书和CI证书发送至所述物联网终端;
本申请实施例中,作为一可选实施例,在若认证通过之后,提取预存储的CI证书中包含的CI证书私钥之前,该方法还包括:
查询是否存储有所述用户信息对应的用户证书账号,若没有,依据所述用户信息构建用户证书账号。
本申请实施例中,由CI证书服务器对用户证书进行统一管理,每一用户对应有一用户证书账号,用以对为该用户签发的USER_CERT进行维护。一个用户证书账号中包含有一个或多个USER_CERT。
步骤303,接收所述物联网终端依据所述用户证书和CI证书返回的eSIM证书密文请求待签名文件和eSIM证书密文请求签名;
步骤304,基于所述用户证书、eSIM证书密文请求待签名文件和eSIM证书密文签名,签发eSIM证书;
步骤305,对签发的所述eSIM证书进行加密处理,将加密处理的eSIM证书发送至所述物联网终端。
本申请实施例中,所述对签发的所述eSIM证书进行加密处理,包括:
利用签发公钥对所述eSIM证书进行加密,得到eSIM证书密文待签名文件;
利用所述用户证书中的用户证书私钥,对所述eSIM证书密文待签名文件进行签名,得到所述eSIM证书密文签名。
本申请实施例中,将eSIM证书密文待签名文件和eSIM证书密文签名发送至物联网终端。这样,物联网终端能够解析eSIM证书密文待签名文件和eSIM证书密文签名,得到eSIM证书并存储。
本申请实施例中,CI证书服务器在接收到证书在线签发请求后,为发起证书在线签发请求的用户签发用户证书,并将签发的用户证书以及CI证书返回给发起证书在线签发请求的用户,再通过与用户的交互认证,为该用户签发eSIM证书。从而实现在线签发eSIM证书,无需在eSIM卡中预置eSIM证书。
图4为本申请实施例提供的基于图3的步骤304的流程示意图。如图4所示,该流程包括:
步骤401,利用所述用户证书中的用户证书私钥,解密所述eSIM证书密文请求待签名文件,得到eSIM证书请求文件;
步骤402,从所述eSIM证书请求文件中提取签发公钥,利用所述签发公钥验证所述eSIM证书密文请求签名;
步骤403,如果签名验证成功,利用用户证书私钥签发所述eSIM证书请求文件,得到所述eSIM证书。
本申请实施例中,作为一可选实施例,对签发的所述eSIM证书进行加密处理,包括:
B11,利用签发公钥对所述eSIM证书进行加密,得到eSIM证书密文待签名文件;
B12,利用所述用户证书中的用户证书私钥,对所述eSIM证书密文待签名文件进行签名,得到所述eSIM证书密文签名。
图5为本申请实施例提供的在线签发eSIM证书的方法具体流程示意图。如图5所示,该方法包括:
步骤501,通过LPA向CI证书服务器发起证书在线签发请求,所述证书在线签发请求中携带用户信息;
本申请实施例中,物联网终端用户(包含个人用户和企业用户)通过LPA向CI证书服务器发起证书在线申请,证书在线签发请求中包含用户信息,其中,用户信息包括用户标识(USER_ID)和用户手机号码。
步骤502,CI证书服务器将证书在线签发请求中携带的用户信息传输至实名认证系统,以对用户信息进行实名认证;
本申请实施例中,CI证书服务器将用户信息(USER_ID和用户手机号码)传输至实名认证系统,验证发起证书在线签发请求的用户信息。
本申请实施例中,由于一个USER_ID允许有多个用户手机号码,因而,在用户每次发起证书在线签发请求时,都需要对用户信息进行实名认证。
步骤503,接收实名认证系统返回的实名认证结果;
本申请实施例中,实名认证系统依据用户信息进行认证,将实名认证结果返回给CI证书服务器。
步骤504,若实名认证结果为通过,提取CI_CERT中包含的CI_CERT私钥,利用提取的所述CI_CERT私钥签发USER_CERT;
本申请实施例中,若实名认证结果为未通过,CI证书服务器则拒绝用户发起的证书在线签发请求;若实名认证结果为通过,查询CI证书服务器中是否存储有该用户信息对应的用户证书账号,若没有,依据用户信息构建用户证书账号,提取CI_CERT中包含的CI_CERT私钥,利用提取的所述CI_CERT私钥签发USER_CERT;若有,则直接提取CI_CERT中包含的CI_CERT私钥,利用提取的所述CI_CERT私钥签发USER_CERT。
本申请实施例中,利用USER_ID和用户手机号码共同作为用户证书账号的唯一标识,一个用户证书账号中包含有一个或多个USER_CERT。
步骤505,CI证书服务器将CI_CERT和签发的USER_CERT返回给LPA;
步骤506,LPA将CI_CERT和USER_CERT返回给eSIM卡。
步骤507,提取CI_CERT中包含的CI_CERT公钥,利用提取的所述CI_CERT公钥验证USER_CERT的签名;
步骤508,若签名验证通过,生成用于签发eSIM_CERT的PK_USER和SK_USER,利用PK_USER生成CSR_USER文件;
步骤509,提取USER_CERT中包含的USER_CERT公钥,利用USER_CERT公钥加密CSR_USER文件,得到SIGN_CSR_USER文件;
步骤510,利用SK_USER对SIGN_CSR_USER文件进行签名,得到SIGNATURE_CSR_USER;
步骤511,将SIGN_CSR_USER文件和SIGNATURE_CSR_USER发送给LPA;
步骤512,LPA将SIGN_CSR_USER文件和SIGNATURE_CSR_USER发送给CI证书服务器;
步骤513,CI证书服务器利用USER_CERT私钥解密SIGN_CSR_USER文件,得到CSR_USER文件;
步骤514,从CSR_USER文件中提取PK_USER,利用PK_USER验证SIGNATURE_CSR_USER;
步骤515,如果签名验证成功,利用USER_CERT私钥签发CSR_USER文件,得到eSIM_CERT;
步骤516,利用PK_USER对eSIM_CERT进行加密,得到eSIM证书密文待签名(SIGN_eSIM_CERT)文件;
步骤517,利用USER_CERT私钥对SIGN_eSIM_CERT文件进行签名,得到eSIM证书密文签名(SIGNATURE_eSIM_CERT);
步骤518,将SIGN_eSIM_CERT文件和SIGNATURE_eSIM_CERT下发至LPA;
本申请实施例中,CI证书服务器将SIGN_eSIM_CERT和SIGNATURE_eSIM_CERT一并下发给LPA,完成在线签发证书。
步骤519,将SIGN_eSIM_CERT文件和SIGNATURE_eSIM_CERT下发至eSIM卡;
步骤520,eSIM卡利用USER_CERT公钥,对SIGN_eSIM_CERT文件和SIGNATURE_eSIM_CERT进行验签;
步骤521,如果签名验证成功,利用SK_USER对SIGN_eSIM_CERT文件进行解密,得到eSIM_CERT并存储;
本申请实施例中,如果签名验证失败,则流程终止。
步骤522,向LPA返回写卡成功结果;
步骤523,LPA依据写卡成功结果,通知用户已开通profile下载服务。
本申请实施例中,LPA提示用户在线申请profile下载服务开通成功。
图6为本申请实施例提供的在线签发eSIM证书的装置结构示意图。如图6所示,该装置包括:
证书在线签发请求模块601,用于向CI证书服务器发起证书在线签发请求,所述证书在线签发请求中携带用户信息;
用户证书接收模块602,用于接收所述CI证书服务器为通过认证的所述用户信息签发的用户证书和CI证书;
签名文件生成模块603,用于基于接收的所述用户证书以及CI证书,得到eSIM证书密文请求待签名文件,对所述eSIM证书密文请求待签名文件进行签名,得到eSIM证书密文请求签名;
签名文件传输模块604,用于将所述eSIM证书密文请求待签名文件和eSIM证书密文请求签名传输至所述CI证书服务器;
eSIM证书解析模块605,用于接收所述CI证书服务器依据所述eSIM证书密文请求待签名文件、eSIM证书密文请求签名和用户证书返回的eSIM证书密文待签名文件和eSIM证书密文签名,解析所述eSIM证书密文待签名文件和eSIM证书密文签名,得到eSIM证书并存储。
本申请实施例中,作为一可选实施例,签名文件生成模块603具体用于:
提取所述CI证书中包含的CI证书公钥,利用提取的所述CI证书公钥验证所述用户证书的签名;
若签名验证通过,生成用于签发所述eSIM证书的签发公钥和签发私钥,利用所述签发公钥生成eSIM证书请求文件;
提取所述用户证书中包含的用户证书公钥,利用所述用户证书公钥加密所述eSIM证书请求文件,得到eSIM证书密文请求待签名文件;
利用所述签发私钥对所述eSIM证书密文请求待签名文件进行签名,得到eSIM证书密文请求签名。
本申请实施例中,作为一可选实施例,所述解析所述eSIM证书密文待签名文件和eSIM证书密文签名,得到eSIM证书,包括:
利用所述用户证书公钥,对所述eSIM证书密文签名进行验证;
如果验证成功,利用所述签发私钥对所述eSIM证书密文待签名文件进行解密,得到eSIM证书。
图7为本申请实施例提供的在线签发eSIM证书的装置另一结构示意图。如图7所示,该装置包括:
认证模块701,用于接收物联网终端发送的携带有用户信息的证书在线签发请求,对所述用户信息进行认证;
用户证书签发模块702,若认证通过,提取预存储的CI证书中包含的CI证书私钥,利用提取的所述CI证书私钥签发用户证书,并将所述用户证书和CI证书发送至所述物联网终端;
签名文件接收模块703,用于接收所述物联网终端依据所述用户证书和CI证书返回的eSIM证书密文请求待签名文件和eSIM证书密文请求签名;
eSIM证书签发模块704,用于基于所述用户证书、eSIM证书密文请求待签名文件和eSIM证书密文请求签名,签发eSIM证书;
eSIM证书加密处理模块705,用于对签发的所述eSIM证书进行加密处理,将加密处理的eSIM证书密文签名发送至所述物联网终端。
本申请实施例中,作为一可选实施例,用户证书签发模块702在若认证通过之后,提取预存储的CI证书中包含的CI证书私钥之前,还用于:
查询是否存储有所述用户信息对应的用户证书账号,若没有,依据所述用户信息构建用户证书账号。
本申请实施例中,作为一可选实施例,eSIM证书签发模块702具体用于:
利用所述用户证书中的用户证书私钥,解密所述eSIM证书密文请求待签名文件,得到eSIM证书请求文件;
从所述eSIM证书请求文件中提取签发公钥,利用所述签发公钥验证所述eSIM证书密文请求签名;
如果签名验证成功,利用用户证书私钥签发所述eSIM证书请求文件,得到所述eSIM证书。
本申请实施例中,作为一可选实施例,eSIM证书加密处理模块705具体用于:
利用签发公钥对所述eSIM证书进行加密,得到eSIM证书密文待签名文件;
利用所述用户证书中的用户证书私钥,对所述eSIM证书密文待签名文件进行签名,得到所述eSIM证书密文签名。
图8为本申请实施例提供的在线签发eSIM证书的系统结构示意图。如图8所示,该系统包括:物联网终端801以及CI证书服务器802,其中,
物联网终端801,用于向证书服务器802发起证书在线签发请求,所述证书在线签发请求中携带用户信息;
接收CI证书服务器802签发的用户证书和CI证书;
基于接收的所述用户证书以及CI证书,得到eSIM证书密文请求待签名文件,对所述eSIM证书密文请求待签名文件进行签名,得到eSIM证书密文请求签名;
将所述eSIM证书密文请求待签名文件和eSIM证书密文请求签名传输至CI证书服务器802;
接收CI证书服务器802返回的eSIM证书密文待签名文件和eSIM证书密文签名,解析所述eSIM证书密文待签名文件和eSIM证书密文签名,得到eSIM证书并存储;
CI证书服务器802,用于接收物联网终端801发送的携带有用户信息的证书在线签发请求,对所述用户信息进行认证;
若认证通过,提取预存储的CI证书中包含的CI证书私钥,利用提取的所述CI证书私钥签发用户证书,并将所述用户证书和CI证书发送至物联网终端801;
接收物联网终端801返回的eSIM证书密文请求待签名文件和eSIM证书密文请求签名;
基于所述用户证书、eSIM证书密文请求待签名文件和eSIM证书密文请求签名,签发eSIM证书;
对签发的所述eSIM证书进行加密处理,将加密处理的eSIM证书密文签名发送至物联网终端801。
本申请实施例中,关于物联网终端以及CI证书服务器的具体结构,具体可参见图6和图7的描述,在此不再赘述。
如图9所示,本申请一实施例提供了一种计算机设备900,用于执行图1至图5中的在线签发eSIM证书的方法,该设备包括存储器901、处理器902及存储在该存储器901上并可在该处理器902上运行的计算机程序,其中,上述处理器902执行上述计算机程序时实现上述在线签发eSIM证书的方法的步骤。
具体地,上述存储器901和处理器902能够为通用的存储器和处理器,这里不做具体限定,当处理器902运行存储器901存储的计算机程序时,能够执行上述在线签发eSIM证书的方法。
对应于图1至图5中的在线签发eSIM证书的方法,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述在线签发eSIM证书的方法的步骤。
具体地,该存储介质能够为通用的存储介质,如移动磁盘、硬盘等,该存储介质上的计算机程序被运行时,能够执行上述在线签发eSIM证书的方法。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请提供的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释,此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围。都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。