CN113490211B - 一种辅助安全域的创建方法、sm-sr及系统 - Google Patents
一种辅助安全域的创建方法、sm-sr及系统 Download PDFInfo
- Publication number
- CN113490211B CN113490211B CN202110671227.9A CN202110671227A CN113490211B CN 113490211 B CN113490211 B CN 113490211B CN 202110671227 A CN202110671227 A CN 202110671227A CN 113490211 B CN113490211 B CN 113490211B
- Authority
- CN
- China
- Prior art keywords
- ssd
- isd
- euicc
- migration
- receiving
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种辅助安全域的创建方法、SM‑SR及系统,所述方法包括:接收业务平台发送的创建辅助安全域SSD请求;根据创建SSD请求向eUICC的根安全域ISD‑R发送SSD创建命令,以使所述ISD‑R接收到所述SSD创建命令后在所述eUICC中创建SSD;接收所述ISD‑R返回的SSD创建响应,并根据所述SSD创建响应为创建的SSD生成初始密钥;将所述初始密钥发送给所述ISD‑R,以使所述ISD‑R将所述初始密钥转发给所述创建的SSD;向所述业务平台发送所述初始密钥,以使所述业务平台用所述初始密钥与创建的SSD建立安全通道。该方法、SM‑SR及系统能够解决相关技术中由于业务提供商的应用在终端侧没有专属安全域,导致终端无法支持多业务提供者的应用在eUICC上并存的问题。
Description
技术领域
本发明涉及智能卡技术领域,尤其涉及一种辅助安全域的创建方法、SM-SR及系统。
背景技术
eUICC(Embedded Universal Integrated Circuit Card,嵌入式通用集成电路卡)是一种支持远程配置的新型电信智能卡技术,可运用于任何SIM卡形式,包括嵌入式和可插拔的SIM卡。eUICC卡通过空中远程配置,可支持灵活网络更换,确保为设备提供最高速的网络支持,提高了设备的安全性和工作效率,能让连接设备从公众市场扩展到更丰富的物联网和消费类市场,可广泛应用在智能电网、车联网、安全监控等领域。
然而,面对这种新型的卡片架构,需要考虑如何满足未来人与人、物与物、人与物海量应用的多样性和个性化需求,现有技术中,虽然eUICC卡定义了ECASD(eUICCControlling Authority Security Domain,eUICC的控制安全域)、ISD-R(IssuerSecurity Domain Root,根安全域)、ISD-P(Issuer Security Domain Profile,Profile安全域)等基本安全域的概念和特征,但由于业务提供商的应用在终端侧没有专属安全域,导致终端无法支持多业务提供者的应用在eUICC上并存。因此,提供一种辅助安全域的创建方法是本领域技术人员亟待解决的问题。
发明内容
本发明所要解决的技术问题是针对现有技术的上述不足,提供一种辅助安全域的创建方法、SM-SR及系统,用以解决相关技术中由于业务提供商的应用在终端侧没有专属安全域,导致终端无法支持多业务提供者的应用在eUICC上并存的问题。
第一方面,本发明实施例提供一种辅助安全域的创建方法,应用于签约关系管理平台安全路由网元SM-SR,所述方法包括:
接收业务平台发送的创建辅助安全域SSD请求;
根据创建SSD请求向eUICC的根安全域ISD-R发送SSD创建命令,以使所述ISD-R接收到所述SSD创建命令后在所述eUICC中创建SSD;
接收所述ISD-R返回的SSD创建响应,并根据所述SSD创建响应为创建的SSD生成初始密钥;
将所述初始密钥发送给所述ISD-R,以使所述ISD-R将所述初始密钥转发给所述创建的SSD;
向所述业务平台发送所述初始密钥,以使所述业务平台用所述初始密钥与创建的SSD建立安全通道。
优选地,所述将所述初始密钥发送给所述ISD-R之后,所述方法还包括:
向签约关系管理平台数据准备SM-DP发送申请SSD迁移令牌请求,以使所述SM-DP接收到所述申请SSD迁移令牌请求后生成SSD迁移令牌;
接收所述SM-DP返回的所述SSD迁移令牌;
向所述ISD-R发送携带有所述SSD迁移令牌的SSD迁移命令,以使所述ISD-R向Profile安全域ISD-P转发所述SSD迁移命令,并使所述ISD-P接收到所述SSD迁移命令后对所述SSD迁移令牌进行验证,并在验证通过后,向所述eUICC发送授权所述eUICC将所述创建的SSD迁移至所述ISD-P的指示信息,以使所述eUICC将所述创建的SSD迁移至所述ISD-P。
优选地,所述创建SSD请求携带eUICC标识EID以及业务平台证书,所述根据创建SSD请求向eUICC的根安全域ISD-R发送SSD创建命令,具体包括:
根据所述EID查询对应的eUICC的eUICC信息集EIS信息;
根据所述EIS信息对接收到的所述创建SSD请求进行合法性验证;
若验证通过,则进一步根据所述EID对应的profile信息判断是否允许创建SSD,并在判断结果为是时,为待创建的SSD分配应用标识;
向所述ISD-R发送携带有所述应用标识的SSD创建命令,以使所述ISD-R接收到所述SSD创建命令后在所述eUICC中创建所述应用标识对应的SSD。
优选地,所述根据所述EID查询对应的eUICC的eUICC信息集EIS信息之后,所述方法还包括:
从所述EIS信息中获取所述EID对应的当前激活profile的移动用户号码MSISDN以及eUICC证书;
将所述eUICC证书以及当前激活profile的MSISDN发送给所述业务平台。
优选地,所述申请SSD迁移令牌请求携带所述EID,当前激活profile的集成电路卡识别码ICCID,所述应用标识以及所述业务平台证书;所述根据所述EID查询对应的eUICC的eUICC信息集EIS信息之后,所述方法还包括:
从所述EIS信息中获取所述EID对应的当前激活profile的ICCID;
所述向所述ISD-R发送携带有所述SSD迁移令牌的SSD迁移命令之后,所述方法还包括:
接收所述ISD-R在所述创建的SSD迁移后返回的迁移成功消息;
根据所述迁移成功消息向所述SM-DP发送SSD迁移成功响应,以使所述SM-DP接收到所述SSD迁移成功响应后更新所述EID对应的profile信息。
第二方面,本发明实施例提供一种辅助安全域的创建方法,应用于eUICC,所述方法包括:
所述eUICC的ISD-R接收SM-SR发送的SSD创建命令,所述SSD创建命令是所述SM-SR接收到业务平台发送的创建SSD请求后发送的;
所述ISD-R根据所述SSD创建命令在所述eUICC中创建SSD;
若接收到创建的SSD发送的SSD创建成功消息,所述ISD-R向所述SM-SR返回SSD创建响应,以使所述SM-SR接收到所述SSD创建响应后为创建的SSD生成初始密钥,并向所述业务平台发送所述初始密钥;
所述ISD-R接收所述SM-SR发送的所述初始密钥,并向所述创建的SSD发送所述初始密钥;
所述创建的SSD接收所述初始密钥,并使用所述初始密钥与所述业务平台建立安全通道。
优选地,所述ISD-R接收所述SM-SR发送的所述初始密钥之后,所述方法还包括:
所述ISD-R接收所述SM-SR发送的携带有SSD迁移令牌的SSD迁移命令,所述SSD迁移令牌是所述SM-SR向SM-DP发送申请SSD迁移令牌请求后,从所述SM-DP中获取的;
所述ISD-R向ISD-P转发所述SSD迁移命令;
所述ISD-P接收到所述SSD迁移命令后对所述SSD迁移令牌进行验证,并在验证通过后,向所述eUICC发送授权所述eUICC将所述创建的SSD迁移至所述ISD-P的指示信息;
所述eUICC接收所述指示信息,并将所述创建的SSD迁移至所述ISD-P。
第三方面,本发明实施例提供一种SM-SR,包括:
第一接收模块,用于接收业务平台发送的创建辅助安全域SSD请求;
第一发送模块,与所述第一接收模块连接,用于根据创建SSD请求向eUICC的根安全域ISD-R发送SSD创建命令,以使所述ISD-R接收到所述SSD创建命令后在所述eUICC中创建SSD;
接收生成模块,与所述第一发送模块连接,用于接收所述ISD-R返回的SSD创建响应,并根据所述SSD创建响应为创建的SSD生成初始密钥;
第二发送模块,与所述接收生成模块连接,用于将所述初始密钥发送给所述ISD-R,以使所述ISD-R将所述初始密钥转发给所述创建的SSD;
第三发送模块,与所述接收生成模块连接,用于向所述业务平台发送所述初始密钥,以使所述业务平台用所述初始密钥与创建的SSD建立安全通道。
优选地,还包括:
第四发送模块,用于向签约关系管理平台数据准备SM-DP发送申请SSD迁移令牌请求,以使SM-DP接收到申请SSD迁移令牌请求后生成SSD迁移令牌;
第二接收模块,用于接收SM-DP返回的SSD迁移令牌;
第五发送模块,用于向ISD-R发送携带有SSD迁移令牌的SSD迁移命令,以使ISD-R向Profile安全域ISD-P转发SSD迁移命令,并使ISD-P接收到SSD迁移命令后对SSD迁移令牌进行验证,并在验证通过后,向eUICC发送授权eUICC将创建的SSD迁移至ISD-P的指示信息,以使eUICC将创建的SSD迁移至ISD-P。
第四方面,本发明实施例提供一种SM-SR,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以实现上述第一方面所述的辅助安全域的创建方法。
第五方面,本发明实施例提供一种辅助安全域的创建系统,包括:SM-SR和eUICC;
所述SM-SR用于执行第一方面所述的辅助安全域的创建方法;
所述eUICC用于执行第二方面所述的辅助安全域的创建方法。
本发明实施例提供的辅助安全域的创建方法、SM-SR及系统,基于标准的eUICC体系架构,SM-SR在接收到业务平台发送的创建SSD请求后,向eUICC的ISD-R发送SSD创建命令,以使所述ISD-R接收到所述SSD创建命令后在所述eUICC中创建SSD。SSD创建后,SM-SR接收ISD-R返回的SSD创建响应,并根据所述SSD创建响应为创建的SSD生成初始密钥;SM-SR将初始密钥发送给所述ISD-R,以使所述ISD-R将所述初始密钥转发给所述创建的SSD,同时,向业务平台发送初始密钥,以使业务平台用初始密钥与创建的SSD建立安全通道,从而使得业务提供商可以在其专属安全域,即SSD内部署应用。本发明能够实时、安全地为业务提供商在终端侧创建应用专属安全域,从而支持多业务提供者的应用在eUICC上并存,为其业务的开展提供基础安全保障,解决了相关技术中由于业务提供商的应用在终端侧没有专属安全域,导致终端无法支持多业务提供者的应用在eUICC上并存的问题。
附图说明
图1:为本发明实施例1的一种辅助安全域的创建方法的流程图;
图2:为本发明实施例的一种辅助安全域的创建方法的交互示意图;
图3:为本发明实施例2的一种辅助安全域的创建方法的流程图;
图4:为本发明实施例4的一种SM-SR的结构示意图;
图5:为本发明实施例5的一种SM-SR的结构示意图;
图6:为本发明实施例6的一种辅助安全域的创建系统的结构示意图。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面将结合附图对本发明实施方式作进一步地详细描述。
可以理解的是,此处描述的具体实施例和附图仅仅用于解释本发明,而非对本发明的限定。
可以理解的是,在不冲突的情况下,本发明中的各实施例及实施例中的各特征可相互组合。
可以理解的是,为便于描述,本发明的附图中仅示出了与本发明相关的部分,而与本发明无关的部分未在附图中示出。
可以理解的是,本发明的实施例中所涉及的每个单元、模块可仅对应一个实体结构,也可由多个实体结构组成,或者,多个单元、模块也可集成为一个实体结构。
可以理解的是,在不冲突的情况下,本发明的流程图和框图中所标注的功能、步骤可按照不同于附图中所标注的顺序发生。
可以理解的是,本发明的流程图和框图中,示出了按照本发明各实施例的系统、装置、设备、方法的可能实现的体系架构、功能和操作。其中,流程图或框图中的每个方框可代表一个单元、模块、程序段、代码,其包含用于实现规定的功能的可执行指令。而且,框图和流程图中的每个方框或方框的组合,可用实现规定的功能的基于硬件的系统实现,也可用硬件与计算机指令的组合来实现。
可以理解的是,本发明实施例中所涉及的单元、模块可通过软件的方式实现,也可通过硬件的方式来实现,例如单元、模块可位于处理器中。
实施例1:
本实施例提供一种辅助安全域的创建方法,应用于签约关系管理平台安全路由网元SM-SR(Subscription Manager Security Routing),如图1所示,该方法包括:
步骤S102:接收业务平台发送的创建辅助安全域SSD(Supplementary SecurityDomain)请求。
需要说明的是,本发明基于标准的eUICC体系架构和eUICC卡片,在当前激活的profile中新建业务所需要的SSD,该eUICC体系架构主要包括SM-SR、SM-DP(SubscriptionManager Data Preparation,签约关系管理平台数据准备)、ECASD、ISD-P和ISD-R,完整的eUICC体系架构还可以包括其他网元,并不以此为限制。
在本实施例中,SM-SR为eUICC卡的远程管理平台的一个重要网元,业务提供商的业务平台事先与SM-SR的新增接口进行连接,业务平台中预先存储CI(CertificateIssuer,证书发行方)根证书,新增业务平台公钥PK.AuServer.ECASD以及新增业务平台证书CERT.AuServer.ECASD,由CI或SM-SR进行签发。
在本实施例中,业务提供商根据业务需求,在需要为其所属应用申请创建一个或多个卡片的辅助安全域时,业务提供商通过业务平台向SM-SR发送创建SSD请求,该创建SSD请求中可以携带eUICC标识EID(eUICC-ID)以及业务平台证书。
步骤S104:根据创建SSD请求向eUICC的根安全域ISD-R发送SSD创建命令,以使ISD-R接收到SSD创建命令后在eUICC中创建SSD。
具体地,SM-SR接收到业务平台发送的创建SSD请求后,提取该创建SSD请求中的EID,并根据EID查询对应的eUICC的eUICC信息集EIS(eUICC Information Set)信息。其中,SM-SR事先存储有所有eUICC的EIS,该EIS包括一系列的eUICC的信息,比如,eUICC证书、eUICC卡里当前激活profile的MSISDN(Mobile Subscriber International ISDN/PSTNnumber,移动用户号码)、ICCID(Integrate circuit card identity,集成电路卡识别码)等等。同时,为了确保通信安全,SM-SR可以根据EIS信息对接收到的创建SSD请求进行合法性验证,比如,可以通过证书方式进行验证,也可以通过其他方式对该创建SSD请求进行合法性验证,比如其他商业约定,证书方式如PKI(Public Key Infrastructure公钥基础设施)证书验证等等。如验证不通过,SM-SR向业务平台通知验证失败,流程结束。如果验证通过,SM-SR则进一步根据EID对应的profile信息判断是否允许创建SSD,比如依据profile的空间条件,安全限制等等判断是否允许创建SSD,并在判断结果为是时,为待创建的SSD分配应用标识,即SSD的aid,aid可作为该SSD的唯一标识。同时,SM-SR与ISD-R通过ES5接口建立安全通道,SM-SR通过该安全通道向ISD-R发送携带有该应用标识的SSD创建命令,以使ISD-R接收到SSD创建命令后在eUICC中创建应用标识对应的SSD。
可选地,如果验证通过,为了便于后续业务平台与eUICC卡的认证与交互,SM-SR可以从EIS信息中获取EID对应的当前激活profile的MSISDN以及eUICC证书,并将eUICC证书以及当前激活profile的MSISDN发送给业务平台。
步骤S106:接收ISD-R返回的SSD创建响应,并根据SSD创建响应为创建的SSD生成初始密钥。
在本实施例中,ISD-R创建SSD后,创建的SSD向ISD-R返回SSD创建成功消息,ISD-R通过ES5接口向SM-SR返回SSD创建响应,SM-SR根据该SSD创建响应为创建的SSD生成初始密钥。
步骤S108:将初始密钥发送给ISD-R,以使ISD-R将初始密钥转发给创建的SSD。
在本实施例中,为了防止密钥泄露,SM-SR生成初始密钥后,可以采用事先与ISD-R约定的安全传输密钥进行加密,并通过ES5接口向ISD-R发送加密的SSD初始密钥,以使ISD-R解密SSD初始密钥后向SSD发送该初始密钥。
可选地,将初始密钥发送给ISD-R之后或者接收ISD-R返回的SSD创建响应之后,方法还可以包括:
向签约关系管理平台数据准备SM-DP发送申请SSD迁移令牌请求,以使SM-DP接收到申请SSD迁移令牌请求后生成SSD迁移令牌;
接收SM-DP返回的SSD迁移令牌;
向ISD-R发送携带有SSD迁移令牌的SSD迁移命令,以使ISD-R向Profile安全域ISD-P转发SSD迁移命令,并使ISD-P接收到SSD迁移命令后对SSD迁移令牌进行验证,并在验证通过后,向eUICC发送授权eUICC将创建的SSD迁移至ISD-P的指示信息,以使eUICC将创建的SSD迁移至ISD-P。
在本实施例中,由于卡片架构、功能、业务管理模式等的不同,或者根据业务提供商事先与SM-DP/MNO(Mobile Network Operator,移动网络运营商)事先的约定,可能需要对创建的SSD进行迁移。比如,若业务提供商事先与SM-DP/运营商签约合作,约定将SSD安装在ISD-P中,则SSD创建后,SM-SR向SM-DP发送申请SSD迁移令牌请求,该申请SSD迁移令牌请求可以携带EID,当前激活profile的集成电路卡识别码ICCID,应用标识以及业务平台证书,SM-SR可以事先从EIS信息中获取EID对应的当前激活profile的ICCID,并向SM-DP发送申请SSD迁移令牌请求。SM-DP接收到申请SSD迁移令牌请求后,可以先审核EID合法性,若审核通过,SM-DP可以根据事先与运营商的约定直接生成SSD迁移令牌,或者,可以进一步通过ES2接口向运营商平台请求SSD迁移授权,若授权成功,SM-DP再生成SSD迁移令牌,并向SM-SR返回SSD迁移令牌。SM-SR接收到SSD迁移令牌后,向ISD-R发送携带有SSD迁移令牌的SSD迁移命令,以使ISD-R向ISD-P转发SSD迁移命令,并使ISD-P接收到SSD迁移命令后对SSD迁移令牌进行验证,并在验证通过后,向eUICC发送授权eUICC将创建的SSD迁移至ISD-P的指示信息,以使eUICC将创建的SSD迁移至ISD-P。SSD迁移后,ISD-P向ISD-R返回迁移成功消息,ISD-R通过ES5接口向SM-SR平台返回迁移成功消息。SM-SR接收到ISD-R迁移成功消息后,根据该迁移成功消息向SM-DP发送SSD迁移成功响应,以使SM-DP接收到SSD迁移成功响应后更新EID对应的profile信息。本实施例通过令牌授权的方式,能够保证SD-P及其中的profile的高安全性,提高在ISD-P中安装SSD的高安全保障,尤其适用于SR平台为第三方平台的情况。
步骤S110:向业务平台发送初始密钥,以使业务平台用初始密钥与创建的SSD建立安全通道。
在本实施例中,SM-SR可以先用业务平台公钥加密SSD初始密钥,并向业务平台返回SSD的aid及加密的初始密钥。业务平台收到加密的SSD初始密钥后,可以先用自身的私钥解密得到SSD初始密钥,并用SSD初始密钥与应用标识为aid的SSD建立安全通道,从而可通过该安全通道在SSD内部部署应用。其中,为了通信过程中的安全,避免因密钥泄露所带来的风险,业务平台可以定期或接收到SSD初始密钥后更新SSD密钥。具体地,业务平台产生新的SSD密钥,用初始密钥或上一密钥与SSD建立安全通道,向SSD发送密钥更新命令,该密钥更新命令携带新的SSD密钥,SSD收到密钥更新命令后,进行密钥更新,从而业务平台可以直接通过该新的安全密钥与SSD进行通信。
具体地,参考图2,示出了本发明实施例提供的一种辅助安全域的创建方法的交互示意图。其中,业务提供商的业务平台与eUICC卡的远程管理平台SM-SR的新增接口进行连接,SM-SR是eUICC远程管理平台的一个重要网元。业务平台中预先存储CI根证书,新增业务平台公钥PK.AuServer.ECASD以及新增业务平台证书CERT.AuServer.ECASD,由CI或SM-SR进行签发。该eUICC包括ECASD、ISD-R和ISD-P。在本实施例中,包括如下步骤:
步骤S01:业务平台向SM-SR发送创建SSD请求;
具体地,该创建SSD请求中携带EID,EID为相关的eUICC标识,同时,为了便于认证,还可以携带业务平台的证书。
步骤S02:SM-SR根据EID查询EIS信息,并对该创建SSD请求进行合法性验证,验证通过后,检查profile初始条件,并为待创建SSD分配aid;
具体地,SM-SR接收到业务平台发送的创建SSD请求后,提取EID,并根据EID查询该eUICC的eUICC信息集EIS信息。其中,SM-SR事先存储有所有eUICC的EIS,该EIS包括一系列的eUICC的信息,比如,eUICC证书、eUICC卡里当前激活profile的MSISDN、ICCID等等。为了确保通信安全,SM-SR可以先根据该EIS对该创建SSD请求进行合法性验证,比如,可以通过证书方式进行验证,也可以通过其他方式对该创建SSD请求进行合法性验证,比如其他商业约定,证书方式如PKI证书验证等等。如验证不通过,SM-SR向业务平台通知验证失败,流程结束。如果验证通过,SM-SR通过预先存储的profile信息来检查profile初始条件,如profile的空间条件,安全限制等等判断是否允许创建SSD,并在判断允许创建SSD后分配待创建SSD的aid,即应用标识。
步骤S03:SM-SR向业务平台返回该eUICC的证书及当前激活profile的MSISDN;
具体地,如果验证通过,为了便于后续业务平台与eUICC卡的认证与交互,SM-SR向业务平台返回该eUICC的证书:CERT.ECASD.ECKA以及与该eUICC对应的当前激活profile的MSISDN,其中,eUICC卡事先已激活MSISDN号码对应的profile。如果验证不通过,则向业务平台返回错误码。其中,Profile指的是eUICC内部与某个MNO相关的一系列文件、数据的统称。
步骤S04:SM-SR向ISD-R发送SSD创建命令;
具体地,如果验证通过,SM-SR建立与该eUICC卡的ISD-R的ES5接口的安全通道,并通过该安全通道向ISD-R发送install[for instal and make selectable],即SSD创建命令,该SSD创建命令携带aid。
步骤S05:ISD-R创建SSD;
具体地,ISD-R接收到SSD创建命令后,创建一个标识为该aid的SSD;
步骤S06:SSD向ISD-R返回SSD创建成功消息;
具体地,创建的SSD向ISD-R返回SSD创建成功消息或SSD创建失败消息。
步骤S07:ISD-R通过ES5接口向SM-SR返回SSD创建响应;
步骤S08:SM-SR生成并加密SSD初始密钥;
具体地,SM-SR收到SSD创建响应后,如SSD创建成功,SM-SR生成SSD初始密钥并采用事先与ISD-R约定的安全传输密钥进行加密。
步骤S09:SM-SR通过ES5接口向ISD-R发送SSD初始密钥;
步骤S10:ISD-R解密SSD初始密钥;
步骤S11:ISD-R向SSD发送初始密钥;
步骤S12:SSD向ISD-R返回密钥接收响应;
步骤S13:ISD-R通过ES5接口向SM-SR返回密钥接收响应;
步骤S14:SM-SR接收到密钥接收响应后,向当前激活profile归属的SM-DP发送申请SSD迁移令牌请求,请求中携带EID,当前激活profile的ICCID,SSD的aid以及业务平台的证书。
步骤S15:SM-DP收到申请SSD迁移令牌请求后,向运营商平台请求SSD迁移授权。
具体地,为了确保通信安全,SM-DP可以先审核EID合法性,具体验证方式本发明不做规定,可通过证书方式进行验证,或进一步进行其他商业约定。若审核通过,SM-DP可以进一步通过ES2接口向运营商平台请求SSD迁移授权,具体请求授权方式本发明不做规定。若审核不通过,SM-DP向SM-SR返回错误码。SM-SR进一步向业务平台返回SSD创建失败消息。
步骤S16:SM-DP生成SSD迁移令牌。
具体地,若授权成功,SM-DP生成SSD迁移令牌。
步骤S17:SM-DP向SM-SR返回SSD迁移令牌(extradition token)。
步骤S18:SM-SR向ISD-R发送SSD迁移命令,该命令中携带SSD迁移令牌和SSD的aid
具体地,SM-SR通过ES5接口与ISD-R建立安全通道,向ISD-R发送SSD迁移命令install[for extadition],命令中携带SSD迁移令牌和ssd-aid。
步骤S19:ISD-R向ISD-P发送SSD迁移命令;
具体地,ISD-R向ISD-P发送SSD迁移命令install[for extadition],命令中携带SSD迁移令牌和ssd-aid。
步骤S20:ISD-P验证SSD迁移令牌,并在通过后,授权eUICC将SSD迁移至ISD-P。
具体地,通过令牌授权的方式,能够保证SD-P及其中的profile的高安全性,提高在ISD-P中安装SSD的高安全保障,尤其适用于SR平台为第三方平台的情况。ISD-P接收到SSD迁移命令后,对SSD迁移令牌进行验证,并在验证通过后,授权eUICC将SSD迁移至ISD-P,验证方式如验证所述SSD迁移令牌是否过期等等,如未过期,则验证通过。
步骤S21:eUICC将SSD迁移至ISD-P。
步骤S22:ISD-P向ISD-R返回迁移成功或失败消息。
步骤S23:ISD-R通过ES5接口向SM-SR平台返回迁移成功或失败消息。
步骤S24~24:SM-SR平台向SM-DP发送SSD迁移响应,如迁移成功,SM-DP更新profile信息。
具体地,由于安装了SSD,该卡片侧的profile中的文件和数据都有更新,因此,对于该profile的管理方SM-DP也需要更新该profile信息。
步骤S25:SM-SR向业务平台返回SSD的aid及初始密钥,或错误码。
具体地,SM-SR可以先用业务平台公钥加密SSD初始密钥,并向业务平台返回SSD的aid及加密的初始密钥,或错误码。
步骤S26:业务平台用SSD初始密钥与SSD建立安全通道,并向SSD发送密钥更新命令;
具体地,业务平台收到加密的SSD初始密钥后,可以先用自身的私钥解密得到SSD初始密钥,业务平台用SSD初始密钥与应用标识为aid的SSD建立安全通道后,即可通过该安全通道在SSD内部部署应用。其中,为了通信过程中的安全,避免因密钥泄露所带来的风险,业务平台可以定期或接收到SSD初始密钥后更新SSD密钥。具体地,业务平台产生新的SSD密钥,用初始密钥或上一密钥与SSD建立安全通道,向SSD发送密钥更新命令,该密钥更新命令携带新的SSD密钥。
步骤S27:SSD收到密钥更新命令后,进行密钥更新;
步骤S28:密钥更新完毕,SSD向业务平台返回密钥更新响应,从而业务平台可以直接通过该新的安全密钥与SSD进行通信。
本实施例提供的辅助安全域的创建方法,基于标准的eUICC体系架构,SM-SR在接收到业务平台发送的创建SSD请求后,向eUICC的ISD-R发送SSD创建命令,以使所述ISD-R接收到所述SSD创建命令后在所述eUICC中创建SSD。SSD创建后,SM-SR接收ISD-R返回的SSD创建响应,并根据所述SSD创建响应为创建的SSD生成初始密钥;SM-SR将初始密钥发送给所述ISD-R,以使所述ISD-R将所述初始密钥转发给所述创建的SSD,同时,向业务平台发送初始密钥,以使业务平台用初始密钥与创建的SSD建立安全通道,从而使得业务提供商可以在其专属安全域,即SSD内部署应用。本发明能够实时、安全地为业务提供商在终端侧创建应用专属安全域,从而支持多业务提供者的应用在eUICC上并存,为其业务的开展提供基础安全保障,解决了相关技术中由于业务提供商的应用在终端侧没有专属安全域,导致终端无法支持多业务提供者的应用在eUICC上并存的问题。
实施例2:
参考图3,本实施例提供一种辅助安全域的创建方法,应用于eUICC,所述方法包括:
步骤S202:eUICC的ISD-R接收SM-SR发送的SSD创建命令,SSD创建命令是SM-SR接收到业务平台发送的创建SSD请求后发送的;
步骤S204:ISD-R根据SSD创建命令在eUICC中创建SSD;
步骤S206:若接收到创建的SSD发送的SSD创建成功消息,ISD-R向SM-SR返回SSD创建响应,以使SM-SR接收到SSD创建响应后为创建的SSD生成初始密钥,并向业务平台发送初始密钥;
步骤S208:ISD-R接收SM-SR发送的初始密钥,并向创建的SSD发送初始密钥;
步骤S210:创建的SSD接收初始密钥,并使用初始密钥与业务平台建立安全通道。
可选地,ISD-R接收SM-SR发送的初始密钥之后,方法还可以包括:
ISD-R接收SM-SR发送的携带有SSD迁移令牌的SSD迁移命令,SSD迁移令牌是SM-SR向SM-DP发送申请SSD迁移令牌请求后,从SM-DP中获取的;
ISD-R向ISD-P转发SSD迁移命令;
ISD-P接收到SSD迁移命令后对SSD迁移令牌进行验证,并在验证通过后,向eUICC发送授权eUICC将创建的SSD迁移至ISD-P的指示信息;
eUICC接收指示信息,并将创建的SSD迁移至ISD-P。
实施例3:
本实施例提供一种辅助安全域的创建方法,应用于SM-DP,所述方法包括:
接收SM-SR发送的申请SSD迁移令牌请求;
根据所述申请SSD迁移令牌请求生成SSD迁移令牌;
将所述SSD迁移令牌返回给SM-SR,所述SSD迁移令牌用于触发SM-SR向所述ISD-R发送携带有所述SSD迁移令牌的SSD迁移命令,以使所述ISD-R向Profile安全域ISD-P转发所述SSD迁移命令,并使所述ISD-P接收到所述SSD迁移命令后对所述SSD迁移令牌进行验证,并在验证通过后,向所述eUICC发送授权所述eUICC将所述创建的SSD迁移至所述ISD-P的指示信息,以使所述eUICC将所述创建的SSD迁移至所述ISD-P。
可选地,所述申请SSD迁移令牌请求携带EID;所述接收SM-SR发送的申请SSD迁移令牌请求之后,所述方法还包括:
对所述EID进行合法性验证;
若验证通过,则进一步判断profile初始条件是否满足SSD迁移条件;
若满足,则向运营商平台请求SSD迁移授权;
所述根据所述申请SSD迁移令牌请求生成SSD迁移令牌,具体包括:
若接收到所述运营商平台发送的授权成功信息,则生成SSD迁移令牌。实施例4:
参考图4,本实施例提供一种SM-SR,包括:
第一接收模块11,用于接收业务平台发送的创建辅助安全域SSD请求;
第一发送模块12,与第一接收模块11连接,用于根据创建SSD请求向eUICC的根安全域ISD-R发送SSD创建命令,以使ISD-R接收到SSD创建命令后在eUICC中创建SSD;
接收生成模块13,与第一发送模块12连接,用于接收ISD-R返回的SSD创建响应,并根据SSD创建响应为创建的SSD生成初始密钥;
第二发送模块14,与接收生成模块13连接,用于将初始密钥发送给ISD-R,以使ISD-R将初始密钥转发给创建的SSD;
第三发送模块15,与接收生成模块13连接,用于向业务平台发送初始密钥,以使业务平台用初始密钥与创建的SSD建立安全通道。
可选地,还可以包括:
第四发送模块,用于向签约关系管理平台数据准备SM-DP发送申请SSD迁移令牌请求,以使SM-DP接收到申请SSD迁移令牌请求后生成SSD迁移令牌;
第二接收模块,用于接收SM-DP返回的SSD迁移令牌;
第五发送模块,用于向ISD-R发送携带有SSD迁移令牌的SSD迁移命令,以使ISD-R向Profile安全域ISD-P转发SSD迁移命令,并使ISD-P接收到SSD迁移命令后对SSD迁移令牌进行验证,并在验证通过后,向eUICC发送授权eUICC将创建的SSD迁移至ISD-P的指示信息,以使eUICC将创建的SSD迁移至ISD-P。
可选地,第一发送模块12具体可以包括:
EIS信息获取单元,用于根据EID查询对应的eUICC的eUICC信息集EIS信息;
验证单元,用于根据EIS信息对接收到的创建SSD请求进行合法性验证;
判断单元,用于若验证通过,则进一步根据EID对应的profile信息判断是否允许创建SSD,并在判断结果为是时,为待创建的SSD分配应用标识;
发送单元,用于向ISD-R发送携带有应用标识的SSD创建命令,以使ISD-R接收到SSD创建命令后在eUICC中创建应用标识对应的SSD。
可选地,还可以包括:
第一获取模块,用于从EIS信息中获取EID对应的当前激活profile的移动用户号码MSISDN以及eUICC证书;
第六发送模块,用于将eUICC证书以及当前激活profile的MSISDN发送给业务平台。
可选地,申请SSD迁移令牌请求携带EID,当前激活profile的集成电路卡识别码ICCID,应用标识以及业务平台证书;
可选地,还可以包括:
第二获取模块,用于从EIS信息中获取EID对应的当前激活profile的ICCID;
第三接收模块,用于接收ISD-R在创建的SSD迁移后返回的迁移成功消息;
第七发送模块,用于根据迁移成功消息向SM-DP发送SSD迁移成功响应,以使SM-DP接收到SSD迁移成功响应后更新EID对应的profile信息。
实施例5:
参考图5,本实施例提供一SM-SR,包括存储器21和处理器22,存储器21中存储有计算机程序,处理器22被设置为运行所述计算机程序以执行实施例1中的辅助安全域的创建方法。
其中,存储器21与处理器22连接,存储器21可采用闪存或只读存储器或其他存储器,处理器22可采用中央处理器或单片机。
实施例6:
参考图6,本实施例提供一种辅助安全域的创建系统,包括:SM-SR和eUICC;
所述SM-SR用于执行实施例1的辅助安全域的创建方法;
所述eUICC用于执行实施例2的辅助安全域的创建方法。
可选地,还包括SM-DP;
所述SM-DP用于执行实施例3的辅助安全域的创建方法。
实施例2至实施例6提供的辅助安全域的创建方法、SM-SR及系统,基于标准的eUICC体系架构,SM-SR在接收到业务平台发送的创建SSD请求后,向eUICC的ISD-R发送SSD创建命令,以使所述ISD-R接收到所述SSD创建命令后在所述eUICC中创建SSD。SSD创建后,SM-SR接收ISD-R返回的SSD创建响应,并根据所述SSD创建响应为创建的SSD生成初始密钥;SM-SR将初始密钥发送给所述ISD-R,以使所述ISD-R将所述初始密钥转发给所述创建的SSD,同时,向业务平台发送初始密钥,以使业务平台用初始密钥与创建的SSD建立安全通道,从而使得业务提供商可以在其专属安全域,即SSD内部署应用。本发明能够实时、安全地为业务提供商在终端侧创建应用专属安全域,从而支持多业务提供者的应用在eUICC上并存,为其业务的开展提供基础安全保障,解决了相关技术中由于业务提供商的应用在终端侧没有专属安全域,导致终端无法支持多业务提供者的应用在eUICC上并存的问题。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (8)
1.一种辅助安全域的创建方法,其特征在于,应用于签约关系管理平台安全路由网元SM-SR,所述方法包括:
接收业务平台发送的创建辅助安全域SSD请求;
根据创建SSD请求向eUICC的根安全域ISD-R发送SSD创建命令,以使所述ISD-R接收到所述SSD创建命令后在所述eUICC中创建SSD;
接收所述ISD-R返回的SSD创建响应,并根据所述SSD创建响应为创建的SSD生成初始密钥;
将所述初始密钥发送给所述ISD-R,以使所述ISD-R将所述初始密钥转发给所述创建的SSD;
向所述业务平台发送所述初始密钥,以使所述业务平台用所述初始密钥与创建的SSD建立安全通道;
所述将所述初始密钥发送给所述ISD-R之后,所述方法还包括:
向签约关系管理平台数据准备SM-DP发送申请SSD迁移令牌请求,以使所述SM-DP接收到所述申请SSD迁移令牌请求后生成SSD迁移令牌;
接收所述SM-DP返回的所述SSD迁移令牌;
向所述ISD-R发送携带有所述SSD迁移令牌的SSD迁移命令,以使所述ISD-R向Profile安全域ISD-P转发所述SSD迁移命令,并使所述ISD-P接收到所述SSD迁移命令后对所述SSD迁移令牌进行验证,并在验证通过后,向所述eUICC发送授权所述eUICC将所述创建的SSD迁移至所述ISD-P的指示信息,以使所述eUICC将所述创建的SSD迁移至所述ISD-P。
2.根据权利要求1所述的辅助安全域的创建方法,其特征在于,所述创建SSD请求携带eUICC标识EID以及业务平台证书,所述根据创建SSD请求向eUICC的根安全域ISD-R发送SSD创建命令,具体包括:
根据所述EID查询对应的eUICC的eUICC信息集EIS信息;
根据所述EIS信息对接收到的所述创建SSD请求进行合法性验证;
若验证通过,则进一步根据所述EID对应的profile信息判断是否允许创建SSD,并在判断结果为是时,为待创建的SSD分配应用标识;
向所述ISD-R发送携带有所述应用标识的SSD创建命令,以使所述ISD-R接收到所述SSD创建命令后在所述eUICC中创建所述应用标识对应的SSD。
3.根据权利要求2所述的辅助安全域的创建方法,其特征在于,所述根据所述EID查询对应的eUICC的eUICC信息集EIS信息之后,所述方法还包括:
从所述EIS信息中获取所述EID对应的当前激活profile的移动用户号码MSISDN以及eUICC证书;
将所述eUICC证书以及当前激活profile的MSISDN发送给所述业务平台。
4.根据权利要求2所述的辅助安全域的创建方法,其特征在于,所述申请SSD迁移令牌请求携带所述EID,当前激活profile的集成电路卡识别码ICCID,所述应用标识以及所述业务平台证书;所述根据所述EID查询对应的eUICC的eUICC信息集EIS信息之后,所述方法还包括:
从所述EIS信息中获取所述EID对应的当前激活profile的ICCID;
所述向所述ISD-R发送携带有所述SSD迁移令牌的SSD迁移命令之后,所述方法还包括:
接收所述ISD-R在所述创建的SSD迁移后返回的迁移成功消息;
根据所述迁移成功消息向所述SM-DP发送SSD迁移成功响应,以使所述SM-DP接收到所述SSD迁移成功响应后更新所述EID对应的profile信息。
5.一种辅助安全域的创建方法,其特征在于,应用于eUICC,所述方法包括:
所述eUICC的ISD-R接收SM-SR发送的SSD创建命令,所述SSD创建命令是所述SM-SR接收到业务平台发送的创建SSD请求后发送的;
所述ISD-R根据所述SSD创建命令在所述eUICC中创建SSD;
若接收到创建的SSD发送的SSD创建成功消息,所述ISD-R向所述SM-SR返回SSD创建响应,以使所述SM-SR接收到所述SSD创建响应后为创建的SSD生成初始密钥,并向所述业务平台发送所述初始密钥;
所述ISD-R接收所述SM-SR发送的所述初始密钥,并向所述创建的SSD发送所述初始密钥;
所述创建的SSD接收所述初始密钥,并使用所述初始密钥与所述业务平台建立安全通道;
所述ISD-R接收所述SM-SR发送的所述初始密钥之后,所述方法还包括:
所述ISD-R接收所述SM-SR发送的携带有SSD迁移令牌的SSD迁移命令,所述SSD迁移令牌是所述SM-SR向SM-DP发送申请SSD迁移令牌请求后,从所述SM-DP中获取的;
所述ISD-R向ISD-P转发所述SSD迁移命令;
所述ISD-P接收到所述SSD迁移命令后对所述SSD迁移令牌进行验证,并在验证通过后,向所述eUICC发送授权所述eUICC将所述创建的SSD迁移至所述ISD-P的指示信息;
所述eUICC接收所述指示信息,并将所述创建的SSD迁移至所述ISD-P。
6.一种SM-SR,其特征在于,包括:
第一接收模块,用于接收业务平台发送的创建辅助安全域SSD请求;
第一发送模块,与所述第一接收模块连接,用于根据创建SSD请求向eUICC的根安全域ISD-R发送SSD创建命令,以使所述ISD-R接收到所述SSD创建命令后在所述eUICC中创建SSD;
接收生成模块,与所述第一发送模块连接,用于接收所述ISD-R返回的SSD创建响应,并根据所述SSD创建响应为创建的SSD生成初始密钥;
第二发送模块,与所述接收生成模块连接,用于将所述初始密钥发送给所述ISD-R,以使所述ISD-R将所述初始密钥转发给所述创建的SSD;
第三发送模块,与所述接收生成模块连接,用于向所述业务平台发送所述初始密钥,以使所述业务平台用所述初始密钥与创建的SSD建立安全通道;
第四发送模块,用于向签约关系管理平台数据准备SM-DP发送申请SSD迁移令牌请求,以使SM-DP接收到申请SSD迁移令牌请求后生成SSD迁移令牌;
第二接收模块,用于接收SM-DP返回的SSD迁移令牌;
第五发送模块,用于向ISD-R发送携带有SSD迁移令牌的SSD迁移命令,以使ISD-R向Profile安全域ISD-P转发SSD迁移命令,并使ISD-P接收到SSD迁移命令后对SSD迁移令牌进行验证,并在验证通过后,向eUICC发送授权eUICC将创建的SSD迁移至ISD-P的指示信息,以使eUICC将创建的SSD迁移至ISD-P。
7.一种SM-SR,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以实现如权利要求1-4中任一项所述的辅助安全域的创建方法。
8.一种辅助安全域的创建系统,其特征在于,包括:SM-SR、和eUICC;
所述SM-SR用于执行权利要求1-4任一项所述的辅助安全域的创建方法;
所述eUICC用于执行权利要求5所述的辅助安全域的创建方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110671227.9A CN113490211B (zh) | 2021-06-17 | 2021-06-17 | 一种辅助安全域的创建方法、sm-sr及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110671227.9A CN113490211B (zh) | 2021-06-17 | 2021-06-17 | 一种辅助安全域的创建方法、sm-sr及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113490211A CN113490211A (zh) | 2021-10-08 |
| CN113490211B true CN113490211B (zh) | 2023-03-24 |
Family
ID=77933846
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110671227.9A Active CN113490211B (zh) | 2021-06-17 | 2021-06-17 | 一种辅助安全域的创建方法、sm-sr及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113490211B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114244887B (zh) * | 2021-12-16 | 2023-05-12 | 中国联合网络通信集团有限公司 | 通道管理方法、装置和电子设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112219416A (zh) * | 2018-06-13 | 2021-01-12 | 基根(英国)有限公司 | 用于认证通过蜂窝网络传输的数据的技术 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101742481B (zh) * | 2008-11-10 | 2013-03-20 | 中兴通讯股份有限公司 | 智能卡的从安全域初始密钥分发方法和系统、移动终端 |
| CN102118385A (zh) * | 2010-12-14 | 2011-07-06 | 北京握奇数据系统有限公司 | 安全域的管理方法和装置 |
| US10270811B2 (en) * | 2014-08-13 | 2019-04-23 | Huawei Technologies Co., Ltd. | Security domain management method, apparatus, and system |
| US10412577B2 (en) * | 2015-09-11 | 2019-09-10 | Huawei Technologies Co., Ltd. | Method for migration from SIM card to eUICC, device, and system |
| CN108235306A (zh) * | 2016-12-14 | 2018-06-29 | 中兴通讯股份有限公司 | 智能卡的空中配号方法及装置 |
| EP3484198A1 (en) * | 2017-11-09 | 2019-05-15 | Gemalto Sa | A method for a service provider to launch a targeted service implemented by an application belonging to a security domain of an euicc |
| CN112492577B (zh) * | 2019-09-12 | 2022-04-08 | 中国移动通信有限公司研究院 | Profile的迁移方法、装置、SM-DP+及运营商后台系统 |
-
2021
- 2021-06-17 CN CN202110671227.9A patent/CN113490211B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112219416A (zh) * | 2018-06-13 | 2021-01-12 | 基根(英国)有限公司 | 用于认证通过蜂窝网络传输的数据的技术 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113490211A (zh) | 2021-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110446201B (zh) | 一种实现eSIM远程配置的通信模组、通信方法及系统 | |
| CN106899540B (zh) | 用户签约数据的更新方法、管理系统、eUICC以及终端 | |
| KR102082854B1 (ko) | 업데이트된 프로파일을 다운로드하기 위한 방법, 서버들 및 시스템 | |
| EP3485663B1 (en) | Remote provision of a subscriber entity | |
| US10721616B2 (en) | Subscription information download method, related device, and system | |
| EP3114862B1 (en) | Communication system | |
| CN110381103B (zh) | 一种下载运营商配置文件的方法、装置和系统 | |
| CN107809776B (zh) | 信息处理方法、装置以及网络系统 | |
| WO2018129754A1 (zh) | 一种eUICC配置文件管理方法及相关装置 | |
| US11503474B2 (en) | Technique for obtaining a network access profile | |
| CN110719620B (zh) | 一种终端的接入方法及系统 | |
| CN114302481B (zh) | 切片选择方法、mep、应用服务器、设备及计算机可读介质 | |
| CN109963275B (zh) | 签约数据的发送方法、接收方法及签约数据的处理系统 | |
| CN113490211B (zh) | 一种辅助安全域的创建方法、sm-sr及系统 | |
| US11832348B2 (en) | Data downloading method, data management method, and terminal | |
| CN110268730B (zh) | 用于管理向运营商的订阅的技术 | |
| US11930558B2 (en) | Method for providing subscription profiles, subscriber identity module and subscription server | |
| JP2022525370A (ja) | Sm‐srプラットフォームを介してセキュアエレメントのオペレーティングシステムに透過的にパッチを適用する方法 | |
| CN113098933B (zh) | 一种远程安装认证应用的方法、eUICC及SM-SR | |
| CN113490210B (zh) | 一种辅助安全域的创建方法及系统 | |
| CN113273231A (zh) | 用于处理iSSP设备的eSIM配置文件的装置和方法 | |
| CN112637848B (zh) | 管理认证应用证书的方法、装置和系统 | |
| CN113079503B (zh) | 一种远程下载认证应用证书的方法及系统 | |
| US20230098400A1 (en) | Method for session creation and related equipment | |
| CN113079037B (zh) | 一种远程更新认证应用证书的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |