CN112533211B - eSIM卡的证书更新方法和系统以及存储介质 - Google Patents
eSIM卡的证书更新方法和系统以及存储介质 Download PDFInfo
- Publication number
- CN112533211B CN112533211B CN202011598971.2A CN202011598971A CN112533211B CN 112533211 B CN112533211 B CN 112533211B CN 202011598971 A CN202011598971 A CN 202011598971A CN 112533211 B CN112533211 B CN 112533211B
- Authority
- CN
- China
- Prior art keywords
- certificate
- platform
- request
- new
- lpa
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及通信技术领域,具体涉及一种eSIM卡的证书更新方法和系统以及存储介质。其中,eSIM卡的证书更新方法包括:获取证书更新订单;向SM‑DS平台发送证书更新请求,证书更新请求中包括证书更新订单;SM‑DS平台根据证书更新订单生成证书签发请求,并向证书签发服务器提交证书签发请求;证书签发服务器根据证书签发请求生成新的证书,并将新的证书发送给SM‑DS平台;向SM‑DS平台下载新的证书,并将该新的证书加载到终端设备的eSIM卡中,以完成证书更新。通过本申请的方法可以根据当地的运营商情况生成证书更新订单,然后依此完成证书更新过程,使得终端设备中eSIM卡的证书与当地的运营商匹配,进而实现终端设备联网。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种eSIM卡的证书更新方法和系统以及存储介质。
背景技术
随着eSIM(Embedded-SIM),即嵌入式SIM卡技术的发展,移动终端可以更加灵活便利的选择运营商套餐,在无需解锁设备、购买新设备的前提下随时更换运营商。国际电信联盟(GSMA)主导制定了eSIM技术体系的标准,标准提出远程SIM卡发放和配置需要在同一个GSMA CI证书体系下运作,然而,由于目前eSIM在全球的发展还不够成熟以及政策法规的原因,要求全球所有运营商都使用GSMA CI证书体系几乎不可能,比如某些大的运营商使用自有证书体系建设eSIM资源远程发放平台,而出厂时仅预置GSMA证书的设备无法访问此类运营商的资源,可见,只有一个GSMA CI证书体系限制了eSIM 只能使用部分运营商的网络,无法做到全球运营商之间真正的互联互通。
现有的终端设备内的eSIM卡都是出厂时预设好的,且在使用过程中无法变更,对于用户来说,若出差或者旅行到了另外一个地区,当地的运营商与自己当前终端设备内eSIM卡的证书不匹配则无法联网,只有通过更换终端设备才能解决。
发明内容
本发明主要解决的技术问题是现有的终端设备的eSIM卡的证书无法更换,导致在运营商与证书不匹配的地方无法联网。
一种eSIM卡的证书更新方法,包括:
获取证书更新订单;
向SM-DS平台发送证书更新请求,所述证书更新请求中包括所述证书更新订单;
所述SM-DS平台根据所述证书更新订单生成证书签发请求,并向证书签发服务器发送所述证书签发请求;
所述证书签发服务器根据所述证书签发请求生成新的证书,并将所述新的证书发送给所述SM-DS平台;
向所述SM-DS平台下载所述新的证书,并将该新的证书加载到终端设备的eSIM卡中,以完成证书更新。
在一种实施例中,所述证书更新订单至少包括:当前eSIM卡的唯一标识符和新的证书的所属机构标识。
在一种实施例中,在向SM-DS平台发送证书更新请求之前还包括:
LPA向SM-DS平台发送第一鉴权请求;
所述SM-DS平台根据所述第一鉴权请求生成包含自己身份的第一验证码,并向所述LPA返回所述第一验证码;
所述LPA接收所述第一验证码并依此对所述SM-DS平台进行安全验证;
若对SM-DS平台验证通过,则LPA向所述SM-DS平台发送包括自己身份信息的第二鉴权请求;
所述SM-DS平台根据所述第二鉴权请求完成对所述LPA的身份认证。
在一种实施例中,还包括:所述SM-DS平台接收到所述证书下载请求后,向LPA反馈一个下载码;
所述LPA通过所述下载码实时访问所述SM-DS平台以获取新的证书的状态;
当获取到所述新的证书的状态为可用时通过所述下载码向所述SM-DS发起证书下载请求以下载所述新的证书;
其中,所述下载码在预设的时间段有效。
在一种实施例中,还包括:所述SM-DS平台接收到所述证书签发服务器下发的新的证书后将该新的证书的状态更新为可用,并将该新的证书进行本地加密存储;
所述向所述SM-DS平台下载所述新的证书包括:当获取到新的证书状态为可用时,LAP向所述SM-DS平台发送证书下载请求;若下载失败则重新下载,若下载成功则向所述SM-DS平台返回下载成功指令,所述SM-DS平台收到所述下载成功指令后删除所述新的证书的本地存储。
一种eSIM卡的证书更新系统,包括:LPA、SM-DS平台和证书签发服务器;
所述LPA用于获取证书更新订单,并向SM-DS平台发送证书更新请求,所述证书更新请求中包括所述证书更新订单;
所述SM-DS平台用于根据所述证书更新订单生成证书签发请求,并向证书签发服务器发送所述证书签发请求;
所述证书签发服务器用于根据所述证书签发请求生成新的证书,并将所述新的证书发送给所述SM-DS平台;
所述LPA还用于向所述SM-DS平台下载所述新的证书,并将该新的证书加载到终端设备的eSIM卡中,以完成证书更新。
在一种实施例中,所述LPA还用于在向SM-DS平台发送证书更新请求之前,向SM-DS平台发送第一鉴权请求;
所述SM-DS平台还用于根据所述第一鉴权请求生成包含自己身份的第一验证码,并向所述LPA返回所述第一验证码;
所述LPA还用于接收所述第一验证码并依此对所述SM-DS平台进行安全验证;若对SM-DS平台验证通过,则LPA向所述SM-DS平台发送包括自己身份信息的第二鉴权请求;
所述SM-DS平台还用于根据所述第二鉴权请求完成对所述LPA的身份认证。
一种终端设备,包括eSIM卡和LPA;所述LPA用于获取证书更新订单,并向SM-DS平台发送证书更新请求,所述证书更新请求中包括所述证书更新订单;并且实时访问所述SM-DS平台以获取新的证书的状态;在所述新的证书的状态为可用时向所述SM-DS平台下载所述新的证书,并将该新的证书加载到终端设备的eSIM卡中,以完成证书更新。
一种SM-DS平台,所述SM-DS平台用于根据证书更新订单生成证书签发请求,并向证书签发服务器发送所述证书签发请求;
所述SM-DS平台还用于接收所述签发服务器发送的新的证书以供LPA下载。
一种计算机可读存储介质,包括程序,所述程序能够被处理器执行以实现如上所述的方法。
依据上述实施例的eSIM卡的证书更新方法,其包括:获取证书更新订单;向SM-DS平台发送证书更新请求,证书更新请求中包括证书更新订单;SM-DS平台根据证书更新订单生成证书签发请求,并向证书签发服务器发送证书签发请求;证书签发服务器根据证书签发请求生成新的证书,并将新的证书发送给SM-DS平台;向SM-DS平台下载新的证书,并将该新的证书加载到终端设备的eSIM卡中,以完成证书更新。通过本申请的方法可以根据当地的运营商情况生成证书更新订单,然后依此完成证书更新过程,使得终端设备中eSIM卡的证书与当地的运营商匹配,进而实现终端设备联网。
附图说明
图1为本申请实施例的eSIM卡的证书更新方法流程图;
图2为本申请实施例的eSIM卡的证书更新方法的信令流程图;
图3为本申请实施例的GSMA规范下Profile下发的接口示意图;
图4为本申请实施例提供的现有GSMA CI证书体系图,其中箭头方向表示证书签发给对应的角色;
图5为本申请实施例提供的一种扩展后的证书体系图,其中箭头方向表示证书签发给对应的角色;
图6为本申请实施例的提供的eSIM卡的证书更新系统结构框图。
具体实施方式
下面通过具体实施方式结合附图对本发明作进一步详细说明。其中不同实施方式中类似元件采用了相关联的类似的元件标号。在以下的实施方式中,很多细节描述是为了使得本申请能被更好的理解。然而,本领域技术人员可以毫不费力的认识到,其中部分特征在不同情况下是可以省略的,或者可以由其他元件、材料、方法所替代。在某些情况下,本申请相关的一些操作并没有在说明书中显示或者描述,这是为了避免本申请的核心部分被过多的描述所淹没,而对于本领域技术人员而言,详细描述这些相关操作并不是必要的,他们根据说明书中的描述以及本领域的一般技术知识即可完整了解相关操作。
另外,说明书中所描述的特点、操作或者特征可以以任意适当的方式结合形成各种实施方式。同时,方法描述中的各步骤或者动作也可以按照本领域技术人员所能显而易见的方式进行顺序调换或调整。因此,说明书和附图中的各种顺序只是为了清楚描述某一个实施例,并不意味着是必须的顺序,除非另有说明其中某个顺序是必须遵循的。
以下是本申请说明书中涉及到的一些专业名词缩写,为了方便本领域技术人员理解,本申请进行以下解释说明。
SIM:Subscriber identity module,身份认证模块,即通常意义讲的SIM卡,是通用集成电路卡的一种,作用是通过此模块来认证运营商网络的合法用户。
eUICC:eUICC是embedded UICC的简称,中文名就是嵌入式duUICC卡,其实就是eSIM,即嵌入式SIM卡。它可以与空中写卡,一号双dao卡相结合,提供换卡不换号的远程写卡服务。主要是运营商的能力,在国内就如中国移动的OneLink,还有电信、联通。通过“空中写卡”,在车联网、智能设备、能源行业、共享经济等领域,客户可实现一地生产,全球销售,方便库存管理和快速海外布局。其为GSMA指定的嵌入式通用集成电路卡,专用于电信领域,可支持安全进行远程Profile下载、多Profile管理等功能的eSIM卡片。
Profile:电信中的码号资源及对应数据和文件系统、应用等的集合,存储在普通的SIM卡、eUICC卡里面的一系列数据和应用。
eSIM:embedded SIM,嵌入式 SIM。
GSMA:GSM Association,国际电信联盟组织,主要参与者有运营商、卡商、终端设备厂商等,负责整体涉及到通信、Profile、核心网等领域的整体技术标准规范和统一协调。
EID:eUICC ID,eUICC卡的唯一标识。
LPA:Local Profile Assistant,本地Profile助手,功能包括辅助Profile下载、Profile管理(Profile启用、Profile关闭、Profile删除、Profile信息查询)、提供Profile管理界面。
SM-DS:Subscription Manager Discovery Server,管理SM-DP+的接入信息,终端设备通过访问SM-DS获取DP+地址。
SM-DP+:Subscription Manager Data Preparation Plus,订阅管理数据准备服务器,主要功能有准备Profile,安全的加密、存储和分配Profile到指定的EID。可以将一个加密的Profile安全的通过LPA下发到eUICC上。
MNO:Mobile Network Operator,移动运营商,例如中国移动、中国联通和海外各个国家的运营商,给用户提供移动网络服务,包括语音、短信、数据等。
EUM:eUICC manufacturer,即eSIM卡厂,类比传统SIM卡,卡厂指生产实体SIM卡的厂商,对于eSIM来说,即制造eUICC芯片的厂商。
CI:Certificate Issuer证书签发机构或证书签发实体。
RSP:Remote SIM Provision,远程SIM卡配置和管理。
CSR:Certificate Signing Request的英文缩写,即证书请求文件。证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。
TLS:Transport Layer Security,缩写作TLS,即传输层安全性协议,一种基于密钥和证书机制的安全通信协议。
Keypair:由非对称加密算法生成的密钥对,包含一个公钥和一个私钥,使用私钥加密的数据只能通过公钥解密,使用公钥加密的数据只能通过私钥解密。在安全通信领域,公钥以证书的方式保存和传输。
实施例一:
请参考图1和图2,本实施例提供一种eSIM卡的证书更新方法,其包括:
步骤101:获取证书更新订单。
其中,证书更新订单可以是用户通过终端设备(例如手机)上的APP的输入界面选择或者输入以生成的;证书更新订单还可以是当终端设备检测到无法连接到当前运营商或者当前运营商和终端设备内的eSIM卡的证书不匹配时,获取当前运营商机构信息与自身的eSIM卡身份信息生成的。
步骤102:向SM-DS平台发送证书更新请求,证书更新请求中包括证书更新订单。
其中,本实施例的证书更新订单至少包括:当前eSIM卡的唯一标识符和新的证书的机构标识,例如当地的运营商是中国移动网络,则获取的新的证书机构标识则是中国移动网络的标识。当前eSIM卡的唯一标识符和新的证书的机构标识是生成新的证书的主要信息。终端设备内的LPA向SM-DS平台发送证书更新请求,该证书更新请求中包括证书更新订单信息。
步骤103:SM-DS平台根据证书更新订单生成证书签发请求,并向证书签发服务器发送证书签发请求。
SM-DS平台收到LPA发起的证书下载请求后,提取其中的证书更新订单,并依据该证书更新订单生成证书签发请求,根据证书更新订单中的新的证书的机构标识向对应的证书签发服务器发送证书签发请求,以请求其签发新的证书。
步骤104:证书签发服务器根据证书签发请求生成新的证书,并将新的证书发送给SM-DS平台。
证书签发服务器根据当前eSIM卡的唯一标识符和新的证书的机构标识等信息生成新的证书,并将该新的证书发送给SM-DS平台。
步骤105:向SM-DS平台下载新的证书,并将该新的证书加载到终端设备的eSIM卡中,以完成证书更新。
SM-DS平台接收到新的证书之后对其进行临时存储以供终端设备的LPA下载,LPA下载证书成功后,并将该新的证书加载到终端设备的eSIM卡中,以完成证书更新。其中,eSIM卡具备可擦写和存储的能力。在另一种实施例中,LPA下载证书成功后还需要验证证书的完整性和合法性,以保证证书的正常使用。
证书更新完成后,LAP向用户推送证书更新成功的结果,例如向终端设备的APP的交互界面推送证书更新成功的消息,用户可以依据该新的证书访问当前运营商网络,然后还可以申请虚拟卡码号等操作。
其中,为了保证终端设备和SM-DS平台的安全,在LAP向SM-DS平台请求下载证书之前,需要先向SM-DS平台发送身份验证请求,以实现终端设备和SM-DS平台的双向验证。
例如,在一种实施例中,终端设备和SM-DS平台的双向验证包括:LPA向SM-DS平台发送第一鉴权请求;SM-DS平台根据第一鉴权请求生成包含自己身份的第一验证码,并向LPA返回所述第一验证码;LPA接收第一验证码并依此对SM-DS平台进行安全验证;若对SM-DS平台验证通过,则LPA向SM-DS平台发送包括自己身份信息的第二鉴权请求;SM-DS平台根据第二鉴权请求完成对所述LPA的身份认证。双向认证时可以是SM-DS平台先对终端设备进行安全认证,也可以是终端设备先对SM-DS平台进行身份认证。
例如另一种实施例中,终端设备和SM-DS平台的双向验证包括:LPA向SM-DS平台发送第一鉴权请求;第一鉴权请求中包括当前eSIM卡的身份信息。SM-DS平台根据第一鉴权请求对LPA进行安全认证,若认证通过则向LPA返回认证通过指令;LPA接收到认证通过指令后继续向SM-DS平台发送第二鉴权请求以请求SM-DS平台反馈其自身的平台身份信息;LPA接收SM-DS平台反馈的自身的平台身份信息以完成对该SM-DS平台的身份认证。这样终端设备和SM-DS平台完成双向认证之后,可以保证终端设备和SM-DS平台的通信安全,防止非法用户接入当前运营商网络。
例如,在具体的认证过程中,LPA向SM-DS发起initiate Authentication(启动身份认证请求)指令,该指令在GSMA SGP.22 规范中已有定义,其用于eSIM认证 SM-DS,在此处,构造鉴权消息以及认证时,需要将规范中使用的GSMA颁发的证书替换为终端厂商颁发的私有证书。认证成功后,LPA向SM-DS发起 Authenticate Client(认证客户端)指令, 该指令在GSMA SGP.22规范中已有定义,其用于SM-DS认证eSIM,类似的,在本方案中,需要将规范中使用的GSMA签发的证书替换为终端厂商签发的私有证书。
由于证书的准备和签发可能耗时较长,SM-DS平台接收到证书下载请求后,向LPA反馈一个下载码,LPA通过下载码实时访问SM-DS平台以获取新的证书的状态;当获取到新的证书的状态为可用时通过下载码向SM-DS发起证书下载请求以下载新的证书。具体的,例如SM-DS收到证书下载请求后,可生成一个与EID关联的ticket返回给LPA,LPA携带该ticket(下载码)定时向SM-DS查询证书状态,直到新的证书为可用状态后发起下载请求。
进一步的,为了安全性考虑,ticket(下载码)的应具有时效性,超过预设的一段时间则过期失效。
进一步的,SM-DS平台接收到证书签发服务器下发的新的证书后将该新的证书的状态更新为可用,并将该新的证书进行本地加密存储。当LPA获取到新的证书状态为可用时,LAP向SM-DS平台发送证书更新请求;若下载失败则重新下载,若下载成功则向SM-DS平台返回下载成功指令,SM-DS平台收到下载成功指令后删除新的证书的本地存储。换言之,SM-DS收到LPA携带ticket的下载请求后,需要返回证书内容以及证书内容的Hash摘要,并确认证书被LPA成功下载后删除本地缓存的新的证书,为确保成功,该证书下载请求可重试多次,以避免由于中断(如网络中断)而引起的证书下载失败。
采用本申请的eSIM卡的证书更新方法,实现eSIM终端灵活替换不同运营商的证书,以便接入更多运营商的网络,这样无需更换设备即可满足用户在各地区的上网需求。
其中,现在市面上常见的证书体系主要包括MNO构建的私有证书体系和GSMA CI证书体系。以下对现有的GSMA CI证书体系规范中Profile下发接口进行说明。
其中,SM-DP+用于存储和管理运营商的Profile,终端设备通过ES9+接口从SM-DP+下载Profile,加载到eUICC,从而完成SIM卡的远程发放。SM-DS作为一个发现服务,用于管理各个SM-DP+的地址,终端设备通过访问SM-DS找到可用的正确的DP+地址,以便访问DP+通过ES9+接口下载Profile。
其中,SM-DP+与LPA 通过ES9+接口实现双向认证和Profile的下载。SM-DS 与LPA通过ES11接口实现双向认证和DP+的服务发现。
如图3,以下对现有的GSMA CI证书体系进行说明。
其中,GSMA CI为由GSMA认证的证书颁发机构,CERT.EUM为GSMA CI颁发给EUM的证书,该证书用于签发eUICC证书。SM-DP+/SM-DS与eUICC交互时,从eUICC证书的证书链中提取出CERT.EUM,使用CERT.EUM认证eUICC证书的合法性。
CERT.eUICC由CERT.EUM签发,ES9+、ES11接口中,SM-DP+/SM-DS通过该证书校验eUICC合法性。
CERT.DSauth:ES11接口中,eUICC通过该证书认证SM-DS的合法性。
CERT.DS.TLS:SM-DS与终端建立TLS安全通道时使用的证书。
CERT.DPauth:ES9+接口中,eUICC通过该证书认证SM-DP+的合法性。
CERT.DP.TLS:SM-DP+与终端建立TLS安全通道时使用的证书。
现有技术中,一个eUICC只能预置一个证书,并只能与同一CI(证书签发)体系下的SM-DP+/SM-DS交互,这样终端设备所能使用的运营商资源是有限的。通过本实施例的证书更新方法就可以根据运营商更新证书,使得终端设备可以接入当前的运营商,不再受到预设的证书的限制。同时经常更新证书也可以提高安全性。
另外,现有的终端设备的eUICC卡中出厂时内置的证书一般都存在期限性,到期之后证书会过期或者失效,从而无法继续使用该证书上网,采用本实施例的证书更新方法同样可以解决该eUICC内置证书过期或者失效的问题。
进一步的,本实施例提供一种适用于本实施例的证书更新方法的证书体系,该证书体系在现有的图4中的GSMA体系上进行了扩展。如图5,该证书体系中包括EUM CI、MNO CI和GSMA CI三种证书体系,图中的箭头方向表示证书下发方向,即箭头指向方向表示由上一级向下一级签发证书。
其中,EUM CI:即终端厂商自建CI(证书)体系,终端厂商可以控制SM-DS以及eUICC的产线初始化,因此在标准GSMA CI体系之外,终端厂商可以建立一个私有证书体系,由终端厂商自己作为CI签发SM-DS证书以及eUICC证书,eUICC出厂时可以同时预置GSMA CI签发的eUICC证书和终端厂商签发的私有eUICC证书。
MNO CI:即运营商自建CI体系,某些MNO使用私有证书体系,终端要使用MNO的Profile,则必须内置MNO CI签发的eUICC证书,同时为了终端设备侧认证服务端,MNO CI也需要签发SM-DS证书和SM-DP+证书。
GSMA CI:即 GSMA CI体系。
EUM.CERT.DSauth:EUM签发的用于eUICC认证SM-DS的证书,该证书提前生成好预置到SM-DS。
GSMA.CERT.DSauth:GSMA签发的用于eUICC认证SM-DS的证书,该证书提前生成好预置到SM-DS。
MNO.CERT.DSauth:MNO签发的用于eUICC认证SM-DS的证书,终端厂商可以与各个使用私有证书体系的MNO合作,提前获取该证书,预置到SM-DS。
EUM.CERT.EUM:EUM签发的EUM证书,用于签发eUICC证书,在这里仅用于SM-DS从eUICC证书链中提取出该证书来验证eUICC证书的合法性。
GSMA.CERT.EUM:GSMA签发给EUM的证书,用于SM-DS/SM-DP+从eUICC证书链中提取出该证书来验证eUICC证书的合法性。
MNO.CERT.EUM:MNO签发给EUM的证书,用于SM-DS/SM-DP+从eUICC证书链中提取出该证书来验证eUICC证书的合法性。
EUM.CERT.eUICC:EUM 作为Root CI 签发的eUICC证书,在这里仅用于SM-DS校验eUICC的合法性。
GSMA.CERT.eUICC:GSMA作为Root CI 签发的eUICC证书,用于SM-DS/SM-DP+校验eUICC的合法性。
MNO.CERT.eUICC:MNO作为Root CI 签发的eUICC证书, 用于SM-DS/SM-DP+校验eUICC的合法性。
其中,MNO证书和GSMA证书可以通过本申请的证书更新方法实现互相替换,EUM CI(卡厂证书,用于保证信息交换的安全性)体系实现eUICC与SM-DS之间的双向认证,在此基础上,eUICC通过访问SM-DS,发起更换证书的请求,下载证书,并由LPA 将eUICC中的GSMA证书安全的替换为MNO 证书。
其中,MNO签发的SM-DS证书(MNO.CERT.DSauth)/SM-DP+证书(MNO.CERT.DPauth)提前预置到SM-DS/SM-DP+。终端厂商与MNO合作,经过MNO授权,可以访问MNO的证书签发系统为终端设备申请经MNO CI签发的eUICC证书。LPA有能力接收系统侧(如SM-DS/SM-DP+)发出的更换证书指令,eUICC具备内置证书和私钥可擦写的能力。终端发起更换证书的请求时需要具备联网能力。
本实施例中结合上述证书体系对具体的证书更新过程进行说明,具体包括如下步骤。
S1:终端设备(EUM.CERT.eUICC)与SM-DS(EUM.CERT.DS.TLS)基于EUM CI体系交换证书,建立TLS(安全传输层协议)安全通道。
S2:终端设备发起GSMA规范 ES11接口定义的initiate Authentication (启动身份验证)请求,SM-DS在接口响应中生成一个transactionId(标识符),以及使用与EUM.CERT.DSauth关联的私钥生成一个签名serverSignature(服务器签名)以及EUM.CERT.DSauth。
S3:终端设备校验EUM.CERT.DSauth是否为可信的EUM CI签发的有效证书,并使用EUM.CERT.DSauth验证serverSignature(服务器签名)的有效性,以此完成对SM-DS的安全认证。
S4:终端携带initiate Authentication返回的transactionId,以及与EUM.CERT.eUICC关联的私钥生成的签名(euiccSignature)以及EUM.CERT.eUICC 向SM-DS发起AuthenticateClient(验证SM-DS)请求。
S5:SM-DS验证EUM.CERT.eUICC证书是否为可行的EUM CI签发的有效证书,并使用EUM.CERT.eUICC验证euiccSignature的有效性,以此完成对终端设备侧的安全认证。
S6:终端设备携带EID和MNO标识发起更换证书指令,SM-DS收到后生成eUICC的Keypair和CSR,访问MNO的证书签发系统,获取MNO签发的eUICC证书。
S7:终端向SM-DS发起证书下载请求,SM-DS应返回eUICC证书和私钥,以及对应的文件HASH。
S8:终端设备由LPA将证书加载到eUICC卡内,以完成证书更新。
实施例二:
本实施例提供一种eSIM卡的证书更新系统,如图6,其包括:LPA202、SM-DS平台30和证书签发服务器40,LPA202设置在支持eSIM卡的终端设备20内,终端设备20内还设有eUICC201。
其中,LPA202用于获取证书更新订单,并向SM-DS平台30发送证书更新请求,证书更新请求中包括证书更新订单。
SM-DS平台30用于根据证书更新订单生成证书签发请求,并向证书签发服务器40发送证书签发请求。
证书签发服务器40用于根据证书签发请求生成新的证书,并将新的证书发送给SM-DS平台30。
LPA202还用于向SM-DS平台30下载新的证书,并将该新的证书加载到终端设备20的eUICC201卡中,以完成证书更新。
进一步的,为了保证证书的安全性,LPA202还用于在向SM-DS平台发送证书更新请求之前,向SM-DS平台发送第一鉴权请求。
SM-DS平台30还用于根据第一鉴权请求生成包含自己身份的第一验证码,并向LPA202返回第一验证码。
LPA202还用于接收第一验证码并依此对SM-DS平台30进行安全验证;若对SM-DS平台验证通过,则LPA向SM-DS平台30发送包括自己身份信息的第二鉴权请求。
SM-DS平台30还用于根据第二鉴权请求完成对LPA202的身份认证。
采用本申请的eSIM卡的证书更新系统,实现eSIM终端灵活替换不同运营商的证书,以便接入更多运营商的网络,这样无需更换设备即可满足用户在各地区的上网需求。
实施例三:
一种终端设备,如图6,其包括eUICC201卡(即eSIM卡)和LPA202;LPA202用于获取证书更新订单,并向SM-DS平台30发送证书更新请求,证书更新请求中包括证书更新订单;并且LPA202实时访问SM-DS平台以获取新的证书的状态;在新的证书的状态为可用时向SM-DS平台30下载新的证书,并将该新的证书加载到终端设备的eUICC201卡中,以完成证书更新。
实施例四:
本实施例提供一种SM-DS平台,如图6,SM-DS平台20用于根据证书更新订单生成证书签发请求,并向证书签发服务器30发送证书签发请求;SM-DS平台20还用于接收签发服务器30发送的新的证书以供LPA202下载。
实施例五:
本实施例提供一种计算机可读存储介质,其包括程序,程序能够被处理器执行以实现如实施例一提供的eSIM卡的证书更新方法。
本领域技术人员可以理解,上述实施方式中各种方法的全部或部分功能可以通过硬件的方式实现,也可以通过计算机程序的方式实现。当上述实施方式中全部或部分功能通过计算机程序的方式实现时,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器、随机存储器、磁盘、光盘、硬盘等,通过计算机执行该程序以实现上述功能。例如,将程序存储在设备的存储器中,当通过处理器执行存储器中程序,即可实现上述全部或部分功能。另外,当上述实施方式中全部或部分功能通过计算机程序的方式实现时,该程序也可以存储在服务器、另一计算机、磁盘、光盘、闪存盘或移动硬盘等存储介质中,通过下载或复制保存到本地设备的存储器中,或对本地设备的系统进行版本更新,当通过处理器执行存储器中的程序时,即可实现上述实施方式中全部或部分功能。
以上应用了具体个例对本发明进行阐述,只是用于帮助理解本发明,并不用以限制本发明。对于本发明所属技术领域的技术人员,依据本发明的思想,还可以做出若干简单推演、变形或替换。
Claims (9)
1.一种eSIM卡的证书更新方法,其特征在于,包括:
获取证书更新订单,所述证书更新订单至少包括:当前eSIM卡的唯一标识符和新的证书的所属机构标识;
向SM-DS平台发送证书更新请求,所述证书更新请求中包括所述证书更新订单;
所述SM-DS平台根据所述证书更新订单生成证书签发请求,并根据所述证书更新订单中的新的证书的所属机构标识向对应的证书签发服务器发送所述证书签发请求;
所述证书签发服务器根据所述证书签发请求生成新的证书,并将所述新的证书发送给所述SM-DS平台;
向所述SM-DS平台下载所述新的证书,并将该新的证书加载到终端设备的eSIM卡中,以完成证书更新。
2.如权利要求1所述的eSIM卡的证书更新方法,其特征在于,在向SM-DS平台发送证书更新请求之前还包括:
LPA向SM-DS平台发送第一鉴权请求;
所述SM-DS平台根据所述第一鉴权请求生成包含自己身份的第一验证码,并向所述LPA返回所述第一验证码;
所述LPA接收所述第一验证码并依此对所述SM-DS平台进行安全验证;
若对SM-DS平台验证通过,则LPA向所述SM-DS平台发送包括自己身份信息的第二鉴权请求;
所述SM-DS平台根据所述第二鉴权请求完成对所述LPA的身份认证。
3.如权利要求1所述的eSIM卡的证书更新方法,其特征在于,还包括:所述SM-DS平台接收到所述证书下载请求后,向LPA反馈一个下载码;
所述LPA通过所述下载码实时访问所述SM-DS平台以获取新的证书的状态;
当获取到所述新的证书的状态为可用时通过所述下载码向所述SM-DS发起证书下载请求以下载所述新的证书;
其中,所述下载码在预设的时间段有效。
4.如权利要求1所述的eSIM卡的证书更新方法,其特征在于,还包括:所述SM-DS平台接收到所述证书签发服务器下发的新的证书后将该新的证书的状态更新为可用,并将该新的证书进行本地加密存储;
所述向所述SM-DS平台下载所述新的证书包括:当获取到新的证书状态为可用时,LAP向所述SM-DS平台发送证书下载请求;若下载失败则重新下载,若下载成功则向所述SM-DS平台返回下载成功指令,所述SM-DS平台收到所述下载成功指令后删除所述新的证书的本地存储。
5.一种eSIM卡的证书更新系统,其特征在于,包括:LPA、SM-DS平台和证书签发服务器;
所述LPA用于获取证书更新订单,并向SM-DS平台发送证书更新请求,所述证书更新请求中包括所述证书更新订单,所述证书更新订单至少包括:当前eSIM卡的唯一标识符和新的证书的所属机构标识;
所述SM-DS平台用于根据所述证书更新订单生成证书签发请求,并根据所述证书更新订单中的新的证书的所属机构标识向对应的证书签发服务器发送所述证书签发请求;
所述证书签发服务器用于根据所述证书签发请求生成新的证书,并将所述新的证书发送给所述SM-DS平台;
所述LPA还用于向所述SM-DS平台下载所述新的证书,并将该新的证书加载到终端设备的eSIM卡中,以完成证书更新。
6.如权利要求5所述的eSIM卡的证书更新系统,其特征在于,所述LPA还用于在向SM-DS平台发送证书更新请求之前,向SM-DS平台发送第一鉴权请求;
所述SM-DS平台还用于根据所述第一鉴权请求生成包含自己身份的第一验证码,并向所述LPA返回所述第一验证码;
所述LPA还用于接收所述第一验证码并依此对所述SM-DS平台进行安全验证;若对SM-DS平台验证通过,则LPA向所述SM-DS平台发送包括自己身份信息的第二鉴权请求;
所述SM-DS平台还用于根据所述第二鉴权请求完成对所述LPA的身份认证。
7.一种终端设备,其特征在于,包括eSIM卡和LPA;所述LPA用于获取证书更新订单,并向SM-DS平台发送证书更新请求,以使所述SM-DS平台根据所述证书更新订单生成证书签发请求,并根据所述证书更新订单中的新的证书的所属机构标识向对应的证书签发服务器发送所述证书签发请求,所述证书更新请求中包括所述证书更新订单,所述证书更新订单至少包括:当前eSIM卡的唯一标识符和新的证书的所属机构标识;并且实时访问所述SM-DS平台以获取新的证书的状态;在所述新的证书的状态为可用时向所述SM-DS平台下载所述新的证书,并将该新的证书加载到终端设备的eSIM卡中,以完成证书更新。
8.一种SM-DS平台,其特征在于,所述SM-DS平台用于接收终端设备发送的证书更新请求,所述证书更新请求中包括证书更新订单,所述证书更新订单至少包括当前eSIM卡的唯一标识符和新的证书的所属机构标识;还用于根据证书更新订单生成证书签发请求,并根据所述证书更新订单中的新的证书的所属机构标识向对应的证书签发服务器发送所述证书签发请求;
所述SM-DS平台还用于接收所述签发服务器发送的新的证书以供LPA下载。
9.一种计算机可读存储介质,其特征在于,包括程序,所述程序能够被处理器执行以实现如权利要求1-4中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011598971.2A CN112533211B (zh) | 2020-12-30 | 2020-12-30 | eSIM卡的证书更新方法和系统以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011598971.2A CN112533211B (zh) | 2020-12-30 | 2020-12-30 | eSIM卡的证书更新方法和系统以及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112533211A CN112533211A (zh) | 2021-03-19 |
| CN112533211B true CN112533211B (zh) | 2023-08-29 |
Family
ID=74977059
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011598971.2A Active CN112533211B (zh) | 2020-12-30 | 2020-12-30 | eSIM卡的证书更新方法和系统以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112533211B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113079503B (zh) * | 2021-03-23 | 2022-11-15 | 中国联合网络通信集团有限公司 | 一种远程下载认证应用证书的方法及系统 |
| CN113079037B (zh) * | 2021-03-23 | 2022-12-02 | 中国联合网络通信集团有限公司 | 一种远程更新认证应用证书的方法及系统 |
| CN115484586A (zh) * | 2021-06-16 | 2022-12-16 | Oppo广东移动通信有限公司 | 文件管理方法、装置、电子设备和可读存储介质 |
| CN117880795B (zh) * | 2024-03-13 | 2024-06-11 | 东信和平科技股份有限公司 | 一种非eSIM终端设备实现配置文件远程订阅业务的方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107911224A (zh) * | 2017-11-28 | 2018-04-13 | 恒宝股份有限公司 | 嵌入式通用集成电路卡的续证方法和系统 |
| CN109802826A (zh) * | 2017-11-17 | 2019-05-24 | 华为技术有限公司 | 一种事件的处理方法和终端 |
| CN110535665A (zh) * | 2019-09-30 | 2019-12-03 | 恒宝股份有限公司 | 一种在线签发同根证书的方法、装置及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10985926B2 (en) * | 2017-09-01 | 2021-04-20 | Apple Inc. | Managing embedded universal integrated circuit card (eUICC) provisioning with multiple certificate issuers (CIs) |
-
2020
- 2020-12-30 CN CN202011598971.2A patent/CN112533211B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109802826A (zh) * | 2017-11-17 | 2019-05-24 | 华为技术有限公司 | 一种事件的处理方法和终端 |
| CN107911224A (zh) * | 2017-11-28 | 2018-04-13 | 恒宝股份有限公司 | 嵌入式通用集成电路卡的续证方法和系统 |
| CN110535665A (zh) * | 2019-09-30 | 2019-12-03 | 恒宝股份有限公司 | 一种在线签发同根证书的方法、装置及系统 |
Non-Patent Citations (1)
| Title |
|---|
| SGP.14 - GSMA eUICC PKI Certificate Policy;GSMA;《SGP.14 》;20170427;第43-45页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112533211A (zh) | 2021-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112533211B (zh) | eSIM卡的证书更新方法和系统以及存储介质 | |
| US9843585B2 (en) | Methods and apparatus for large scale distribution of electronic access clients | |
| RU2515809C2 (ru) | Способы, предназначенные для того, чтобы давать возможность безопасной самостоятельной инициализации абонентских устройств в системе связи | |
| US9025769B2 (en) | Method of registering smart phone when accessing security authentication device and method of granting access permission to registered smart phone | |
| US9831903B1 (en) | Update of a trusted name list | |
| KR100506432B1 (ko) | 스마트 카드에서 pki 기능들을 인에이블링시키는 방법 | |
| US9088565B2 (en) | Use of a public key key pair in the terminal for authentication and authorization of the telecommunication user with the network operator and business partners | |
| KR20060046243A (ko) | Sim 카드로부터의 정보를 적어도 하나의 통신 객체로안전 복제하기 위한 방법 및 시스템 | |
| EP2815553B1 (en) | Mobile apparatus supporting a plurality of access control clients, and corresponding methods | |
| WO2018107718A1 (zh) | 智能卡的空中配号方法及装置 | |
| CN110278084B (zh) | eID建立方法、相关设备及系统 | |
| CN114499876A (zh) | 基于区块链以及NB-IoT芯片的物联网数据存证方法 | |
| KR20170070379A (ko) | 이동통신 단말기 usim 카드 기반 암호화 통신 방법 및 시스템 | |
| JP4103678B2 (ja) | 無線通信サービス登録方法及びシステム | |
| CN109600220B (zh) | 用于Java卡的可信服务管理方法和系统 | |
| CN113098933A (zh) | 一种远程安装认证应用的方法、eUICC及SM-SR | |
| JP2005318269A (ja) | 電子証明書管理システム、電子証明書管理方法、及び、サーバ | |
| CN114189334B (zh) | 一种可管控的eSIM终端证书在线签发方法和系统 | |
| CN113079037B (zh) | 一种远程更新认证应用证书的方法及系统 | |
| KR20240042059A (ko) | 위임 eUICC 프로파일 관리 | |
| JP2001357017A (ja) | 認証処理システム及び課金処理システム | |
| CN113079503A (zh) | 一种远程下载认证应用证书的方法及系统 | |
| CN115987597A (zh) | 基于软件、终端设备、虚拟服务器的密钥更新方法及系统 | |
| KR20200130044A (ko) | 인증서 관리 및 검증 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |