CN117240464A - 一种基于SRAMPUF的eSIM数据保护方法 - Google Patents
一种基于SRAMPUF的eSIM数据保护方法 Download PDFInfo
- Publication number
- CN117240464A CN117240464A CN202310964602.8A CN202310964602A CN117240464A CN 117240464 A CN117240464 A CN 117240464A CN 202310964602 A CN202310964602 A CN 202310964602A CN 117240464 A CN117240464 A CN 117240464A
- Authority
- CN
- China
- Prior art keywords
- esim
- key
- srampuf
- security
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000004044 response Effects 0.000 claims description 10
- 238000005516 engineering process Methods 0.000 abstract description 5
- 230000008569 process Effects 0.000 description 8
- 230000008901 benefit Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000010367 cloning Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于SRAMPUF的eSIM数据保护方法,包括如下步骤:构建硬件信任根,硬件信任根提供第一密钥;eSIM获取安全参数使用请求;eSIM获取第一密钥;eSIM根据第一密钥解密返回安全参数;使用基于SRAM PUF技术的安全认证协议,验证eSIM的合法性,并获取eSIM存储数据的权限,保障手机APP的安全性;实现了对eSIM存储数据、手机APP应用的安全保护,提高了eSIM的安全性能。
Description
技术领域
本发明涉及eSIM卡数据安全技术领域,尤其涉及一种基于SRAMPUF的eSIM数据保护方法。
背景技术
eSIM是一种内置在电子设备中的SIM卡,其可以通过软件配置来实现一些传统SIM卡所需的功能。eSIM可以在不改变物理SIM卡的情况下,远程配置和管理设备的码号信息,从而提高了码号管理的灵活性和便利性。eSIM卡通常由CPU,ROM,SRAM,非易失性存储器(如EEPROM)和ISO / IEC 7816接口组成。eSIM会将用户信息、网络信息以及安全参数(身份验证密钥、PIN 码/解锁 PIN、错误计数、数据完整性密钥、加密密钥)存储在非易失性存储器中。然而,从安全角度来看,eSIM本身可能会暴露弱点,存在安全风险。已经发现eSIM芯片会受到各种类型的黑客攻击,包括SIM卡交换或SIM卡劫持攻击、SIM克隆攻击、使用软件和硬件的中间人(MITM)攻击、工厂密钥注入泄露等。
例如一种在中国专利文献上公开的“基于内置安全芯片的SIM贴膜卡的安全输入法”,其公告号:CN108390755A,公开了包括S1、服务器注册:信息发送方和信息接收方通过服务器注册,将自己的手机号、SIM贴膜卡产生的公钥、SIM贴膜卡的ID上传给服务器保存;S2、密钥交换:信息发送方和信息接收方添加好友时通过服务器进行公钥的交换;S3、发送方发送加密信息:信息发送方对要发送的信息进行加密获得加密数据流,并将加密数据流通过服务器发送至信息接收方;S4、接收方解密信息:信息接收方对接收到的加密数据流进行解密;S5、发送方回看加密信息:信息发送方对已发送的加密数据流进行解密,回看已发送的信息;但是该方案的密钥仍有泄漏风险。
发明内容
为了解决现有技术中eSIM卡和密钥泄漏的问题,本发明提供一种基于SRAMPUF的eSIM数据保护方法,能够保证eSIM卡和密钥安全。
为了实现上述目的,本发明提供如下技术方案:
一种基于SRAMPUF的eSIM数据保护方法,其特征在于,包括如下步骤:
构建硬件信任根,硬件信任根提供第一密钥;
eSIM获取安全参数使用请求;
eSIM获取第一密钥;
eSIM根据第一密钥解密返回安全参数。
作为优选的,所述的提供第一密钥包括,位于eSIM内部的SRAMPUF识别eSIM的物理特征,并对SRAMPUF外部的eSIM设定唯一标识符,唯一标识符由所述物理特征确定,根据所述唯一标识符确定第一密钥。通过eSIM内部的SRAMPUF对eSIM的数据流转过程进行认证,使得eSIM不需要从外部获取特定密钥进行安全认证,使得仅需要两方确认即能保证eSIM和密钥的安全性。
作为优选的,所述的构建硬件信任根包括,在eSIM中部署SRAMPUF芯片,eSIM根据SRAMPUF认证建立安全认证协议;eSIM根据SRAMPUF进行自身认证。能够防止eSIM中数据被非法获取和篡改,并在eSIM被更换后,防止应用中数据被窃。
作为优选的,所述的获取安全参数使用请求包括,将安全参数使用请求使用第一密钥加密,安全参数请求为从eSIM中获取第二密钥或写入数据到硬件信任根中。使得基于eSIM的加密解密过程被安全加密。
作为优选的,所述的获取第一密钥包括,eSIM向SRAMPUF发送挑战信息,SRAMPUF向eSIM返回响应信息,eSIM根据响应信息获取第一密钥。能够保证eSIM的安全,保证eSIM被替换时的数据安全。
作为优选的,所述的根据第一密钥解密返回安全参数包括,eSIM根据从SRAMPUF中获得的第一密钥进行验证。实现对eSIM中的数据进行多次安全认证与保护。
作为优选的,获取所述的挑战信息后,所述的SRAMPUF对发出挑战信息的eSIM提供第一密钥。使得第一密钥具有针对性、实时性。
作为优选的,所述的写入数据到硬件信任根时,eSIM再次获取第一密钥并根据当前获得的第一密钥对数据进行加密,使得数据的访问权限被当前第一密钥加密。实现对eSIM中的数据进行多次安全认证与保护。
本发明具有如下优点:
(1)硬件内生密钥优势:通常eSIM制造过程需要配置密钥,密钥配置必须在与外部世界隔离的安全环境中完成,维护成本很高。基于PUF技术没有密钥预配过程,因为密钥是在内部生成的;(2)全面唯一密钥:PUF 密钥具有唯一性,这意味着每个硬件密钥都不同,这种特性在需要注入密钥的传统eSIM卡实际上很难满足;(3)即使存储的数据被复制到其他eSIM,没有对应PUF也无法解密使用;安全存储:与传统eSIM卡相比,使用PUF密钥对数据的强大保护是主要优势之一。PUF 与 eSIM 的结合可以保护安全存储中的安全信息。
附图说明
下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
图1是本发明的方法步骤示意图。
图2是实施例中SRAMPUF的电路结构图。
图3是实施例中安全认证协议交互示意图。
图4是实施例中安全参数获取过程示意图。
图中:
1-安全参数使用请求;2-挑战数据;3-响应数据;4-解密后安全参数;5-eSIM;6-SRAMPUF;7-应用;8-数字逻辑控制单元。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于SRAMPUF的eSIM数据保护方法,其特征在于,包括如下步骤:
构建硬件信任根,硬件信任根提供第一密钥;
eSIM获取安全参数使用请求;
eSIM获取第一密钥;
eSIM根据第一密钥解密返回安全参数。
所述的提供第一密钥包括,位于eSIM内部的SRAMPUF识别eSIM的物理特征,并对SRAMPUF外部的eSIM设定唯一标识符,唯一标识符由所述物理特征确定,根据所述唯一标识符确定第一密钥。
所述的构建硬件信任根包括,在eSIM中部署SRAMPUF芯片,eSIM根据SRAMPUF认证建立安全认证协议;eSIM根据SRAMPUF进行自身认证。
所述的获取安全参数使用请求包括,将安全参数使用请求使用第一密钥加密,安全参数请求为从eSIM中获取第二密钥或写入数据到硬件信任根中。
所述的获取第一密钥包括,eSIM向SRAMPUF发送挑战信息,SRAMPUF向eSIM返回响应信息,eSIM根据响应信息获取第一密钥。
所述的根据第一密钥解密返回安全参数包括,eSIM根据从SRAMPUF中获得的第一密钥进行验证。
获取所述的挑战信息后,所述的SRAMPUF对发出挑战信息的eSIM提供第一密钥。
所述的写入数据到硬件信任根时,eSIM再次获取第一密钥并根据当前获得的第一密钥对数据进行加密,使得数据的访问权限被当前第一密钥加密。
在另一个较佳的实施例中,本发明公开了一种基于SRAMPUF的eSIM数据保护方法,包括:
首先,在eSIM中加入SRAM PUF芯片,并使用SRAM PUF芯片生成唯一标识符。SRAMPUF芯片可以根据芯片的物理特性生成唯一标识符,且每个SRAM PUF芯片生成的唯一标识符都是不同的。这样,我们可以使用SRAM PUF芯片生成的唯一标识符对eSIM中存储的安全参数进行加密,保证安全参数不会被非法获取和篡改。
其次,在加密时,我们可以使用SRAM PUF芯片生成的唯一标识符,作为加密密钥,对eSIM中存储的安全参数进行加密。在解密时,我们需要使用相同的加密密钥,对加密后的数据进行解密,得到原始的安全参数。
具体来说,SRAM PUF对eSIM中存储安全参数的加密和解密过程如下:
加密过程
(1) 手机中eSIM使用SRAM PUF芯片生成唯一标识符。
(2) 手机将唯一标识符作为加密密钥,对eSIM中存储的安全参数进行加密。
解密过程
(1) 手机APP或网络接入设备向eSIM申请使用安全参数。
(2) eSIM使用SRAM PUF芯片生成的唯一标识符作为解密密钥,对加密后的安全参数进行解密,得到原始的安全参数。
(3) eSIM将解密后的安全参数发送给请求的手机应用,手机应用进行后续的操作。
在另一个实施例中,如图2所示,SRAMPUF中包括,数字逻辑控制单元8,数字逻辑控制单元8连接有PUF模块,PUF模块产生唯一标识符。数字逻辑控制单元还连接有LDO模块、POR模块及OSC模块,SRAMPUF设有SDA口和SCL口。
如图3所示,基于SRAM PUF技术的安全认证协议交互流程包括,应用7向eSIM5发送安全参数使用请求1,eSIM5获取安全参数使用请求1并认证成功后,eSIM5根据该安全参数使用请求1向SRAMPUF6发送挑战数据2,SRAMPUF6获取挑战数据2后向eSIM5发送响应数据3,该响应数据3根据上述挑战数据2确定,eSIM5获得响应数据3并认证成功后,eSIM5将解密后安全参数4返回应用7中。
如图4所示,基于SRAM PUF保护的安全参数获取过程包括;手机应用
创建文件时,在保存到存储中之前,会使用 PUF 密钥对其进行加密。只有在验证身份验证后,才会授予文件访问权限。
PUF与eSIM的结合可以保护安全存储中的安全信息。例如,数字钱包的私钥、或生物识别凭证,不会发生数据泄露。
本方案的优点为,利用SRAMPUF技术增强eSIM的安全性能,实现了对eSIM存储数据的安全保护、手机APP的安全认证和网络接入的安全保障,提高了eSIM的安全性能。通过实验验证,本发明的技术方案具有安全性高、抗攻击性强、易于实现等优点。
使用基于SRAM PUF技术的安全认证协议,验证eSIM的合法性,并获取eSIM存储数据的权限,保障手机APP的安全性;实现了对eSIM存储数据、手机APP应用的安全保护,提高了eSIM的安全性能。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (8)
1.一种基于SRAMPUF的eSIM数据保护方法,其特征在于,包括如下步骤:
构建硬件信任根,硬件信任根提供第一密钥;
eSIM获取安全参数使用请求;
eSIM获取第一密钥;
eSIM根据第一密钥解密返回安全参数。
2.根据权利要求1所述的一种基于SRAMPUF的eSIM数据保护方法,其特征在于,所述的提供第一密钥包括,位于eSIM内部的SRAMPUF识别eSIM的物理特征,并对SRAMPUF外部的eSIM设定唯一标识符,唯一标识符由所述物理特征确定,根据所述唯一标识符确定第一密钥。
3.根据权利要求2所述的一种基于SRAMPUF的eSIM数据保护方法,其特征在于,所述的构建硬件信任根包括,在eSIM中部署SRAMPUF芯片,eSIM根据SRAMPUF认证建立安全认证协议;eSIM根据SRAMPUF进行自身认证。
4.根据权利要求3所述的一种基于SRAMPUF的eSIM数据保护方法,其特征在于,所述的获取安全参数使用请求包括,将安全参数使用请求使用第一密钥加密,安全参数请求为从eSIM中获取第二密钥或写入数据到硬件信任根中。
5.根据权利要求3或4所述的一种基于SRAMPUF的eSIM数据保护方法,其特征在于,所述的获取第一密钥包括,eSIM向SRAMPUF发送挑战信息,SRAMPUF向eSIM返回响应信息,eSIM根据响应信息获取第一密钥。
6.根据权利要求5所述的一种基于SRAMPUF的eSIM数据保护方法,其特征在于,所述的根据第一密钥解密返回安全参数包括,eSIM根据从SRAMPUF中获得的第一密钥进行验证。
7.根据权利要求5所述的一种基于SRAMPUF的eSIM数据保护方法,其特征在于,获取所述的挑战信息后,所述的SRAMPUF对发出挑战信息的eSIM提供第一密钥。
8.根据权利要求4所述的一种基于SRAMPUF的eSIM数据保护方法,其特征在于,所述的写入数据到硬件信任根时,eSIM再次获取第一密钥并根据当前获得的第一密钥对数据进行加密,使得数据的访问权限被当前第一密钥加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310964602.8A CN117240464A (zh) | 2023-08-02 | 2023-08-02 | 一种基于SRAMPUF的eSIM数据保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310964602.8A CN117240464A (zh) | 2023-08-02 | 2023-08-02 | 一种基于SRAMPUF的eSIM数据保护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117240464A true CN117240464A (zh) | 2023-12-15 |
Family
ID=89088695
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310964602.8A Pending CN117240464A (zh) | 2023-08-02 | 2023-08-02 | 一种基于SRAMPUF的eSIM数据保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117240464A (zh) |
-
2023
- 2023-08-02 CN CN202310964602.8A patent/CN117240464A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107004083B (zh) | 设备密钥保护 | |
| US7178025B2 (en) | Access system utilizing multiple factor identification and authentication | |
| JP7277270B2 (ja) | 埋め込まれたルートオブトラストシークレットで生成される集積回路の個人化 | |
| EP1556992B1 (en) | Secure implementation and utilization of device-specific security data | |
| EP2991267B1 (en) | Apparatus for providing puf-based hardware otp and method for authenticating 2-factor using same | |
| US8724819B2 (en) | Credential provisioning | |
| CN106464498B (zh) | 由第二电子实体认证第一电子实体的方法以及电子实体 | |
| EP2297665B1 (en) | Method and apparatus for secure hardware analysis | |
| KR20080020621A (ko) | 무결성 보호된 보안 저장의 실행 | |
| US10263782B2 (en) | Soft-token authentication system | |
| CN111295654B (zh) | 安全地传递数据的方法和系统 | |
| EP2339777A2 (en) | Method of authenticating a user to use a system | |
| US10320774B2 (en) | Method and system for issuing and using derived credentials | |
| US20170026385A1 (en) | Method and system for proximity-based access control | |
| CN108768941B (zh) | 一种远程解锁安全设备的方法及装置 | |
| CN115150180A (zh) | 存储设备管理方法、存储设备、管理设备及存储介质 | |
| KR100991658B1 (ko) | Usim카드를 이용한 도어락 설정 시스템 및 그 방법 | |
| EP3556046B1 (en) | Method for secure management of secrets in a hierarchical multi-tenant environment | |
| KR101947408B1 (ko) | PUF 기반 하드웨어 OTP 제공 장치 및 이를 이용한 2-Factor 인증 방법 | |
| US10979226B1 (en) | Soft-token authentication system with token blocking after entering the wrong PIN | |
| CN117240464A (zh) | 一种基于SRAMPUF的eSIM数据保护方法 | |
| KR20190002388A (ko) | PUF 기반 하드웨어 OTP 제공 장치 및 이를 이용한 2-Factor 인증 방법 | |
| KR100932275B1 (ko) | Tpm을 이용한 가입자 식별 모듈의 사용 제한 방법 및이를 위한 이동 단말기 | |
| Athena | FIPS 140-2 Cryptographic Module Security Policy | |
| KR20090040607A (ko) | 사용자 입력 정보에 대한 메모리 해킹 방지 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |