WO2014056302A1

WO2014056302A1 - 基于嵌入式通用集成电路卡的数据保密方法及设备

Info

Publication number: WO2014056302A1
Application number: PCT/CN2013/072034
Authority: WO
Inventors: 王涛; 薛国栋; 金辉; 衣强
Original assignee: 华为终端有限公司
Priority date: 2012-10-12
Filing date: 2013-03-01
Publication date: 2014-04-17
Also published as: EP2836052A4; US9390277B2; EP2836052B1; CN103731821B; EP2836052A1; CN103731821A; US20150067351A1

Abstract

本发明实施例提供一种基于嵌入式通用集成电路卡（eUICC）的数据保密方法及设备。一种方法包括：确定终端设备未被合法用户持有（201）；设置所述终端设备上的eUICC为不可用状态（202）；通过所述终端设备指示所述eUICC对所述eUICC上的数据进行保密处理（203）。采用本发明的技术方案，可以在终端设备丢失后，对嵌入终端设备的eUICC上的数据进行保密。

Description

基于人式通用集成电路卡的数据保密方法及设备本申请要求于 2012 年 10 月 12 日提交中国专利局，申请号为 201210387378.2、发明名称为 "基于嵌入式通用集成电路卡的数据保密方法及设备" 的中国专利申请，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信技术，尤其涉及一种基于嵌入式通用集成电路卡 ( embedded Universal Integrated Circuit Card, 筒称为 eUICC )的数据保密方法及设备。

背景技术

传统的通用集成电路卡（ Universal Integrated Circuit Card, 筒称为 UICC ) 是移动运营商定制的，出厂时包含了移动运营商的相关信息，一旦出厂后，运营商信息不可变更。 eUICC是嵌入在终端设备中的 UICC, 允许对其进行远程管理，例如下载 /删除移动运营商数据、切换移动运营商网络等。

对于 eUICC来说，在终端设备丟失后，用户可以自行联系移动网络运营商（Mobile Network Operator, 筒称为 MNO )客服或前往营业厅办理挂失业务。移动运营商收到挂失业务请求后，只需要更新网络中的签约数据库，使丟失终端设备使用的签约无效即可拒绝非法接入。但是，对于 eUICC上的签约信息和用户数据没有提供安全保护机制。发明内容

本发明实施例提供一种基于嵌入式通用集成电路卡的数据保密方法及设备，用于在终端设备丟失后，对 eUICC上的数据进行保密。

第一方面提供一种基于嵌入式通用集成电路卡的数据保密方法，包括：确定终端设备未被合法用户持有；设置所述终端设备上的 eUICC为不可用状态；

通过所述终端设备指示所述 eUICC对所述 eUICC上的数据进行保密处理。

在第一方面的第一种可选的实施方式中，所述确定终端设备未被合法用户持有包括：在所述地理位置信息不属于预设的所述终端设备的合法使用区域时，确定所述终端设备被盗。

结合第一方面的第一种可能的实施方式，在第一方面的第二种可能的实施方式中，所述通过所述终端设备指示所述 eUICC对所述 eUICC上的数据进行保密处理包括：

向所述终端设备发送第一寻呼消息，以使所述终端设备向所述 eUICC发数据进行保密处理，所述第一寻呼消息包括所述终端设备的标识信息和用于标识所述终端设备被盗的被盗指示，所述停止签约命令包括所述终端设备的标识信息和所述被盗指示；或者

向所述终端设备发送第二寻呼消息，以使所述终端设备指示所述 eUICC 向签约管理单元-安全路由 SM-SR发送第一执行文件 OP请求消息并在接收到所述 SM-SR返回的第一 OP响应消息后对所述 eUICC上的数据进行保密处理，所述第二寻呼消息包括所述终端设备的标识信息，所述第一 OP请求消息包括所述终端设备的标识信息和所述 eUICC的标识信息，所述第一 OP响应消息是所述 SM-SR根据所述终端设备的标识信息和所述 eUICC的标识信息确定出所述终端设备被盗后发送的，所述第一 OP响应消息包括所述被盗指示。

在第一方面的第三种可能的实现方式中，所述确定终端设备未被合法用户持有包括：

接收机器间通信服务提供商 M2M-SP设备发送的暂停签约请求消息，所述暂停签约请求消息包括所述终端设备的标识信息、所述 eUICC的标识信息和用于标识所述终端设备丟失的丟失指示，其中，所述 M2M-SP设备根据所述合法用户的挂失请求确定所述终端设备丟失；

根据所述丟失指示，确定所述终端设备丟失。

结合第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，所述通过所述终端设备指示所述 eUICC对所述 eUICC上的数据进行保密处理包括：

接收所述终端设备发送的附着请求消息；

向所述终端设备返回拒绝附着响应消息，以使所述终端设备指示所述 eUICC向签约管理单元-安全路由 SM-SR发送第二 OP请求消息并在接收到所述 SM-SR返回的第二 OP响应消息后对所述 eUICC上的数据进行加密处理，所述第二 OP请求消息包括所述终端设备的标识信息和所述 eUICC的标识信息，所述第二 OP响应消息是所述 SM-SR根据所述终端设备的标识信息和所述 eUICC的标识信息确定出所述终端设备丟失后发送的，所述第二 OP响应消息包括所述丟失指示和对所述 eUICC上的数据进行加密使用的加密密钥。

第二方面提供一种基于嵌入式通用集成电路卡的数据保密方法，包括：终端设备上的 eUICC接收指示消息，所述指示消息用于在所述终端设备未被合法用户持有时，指示所述 eUICC对所述 eUICC上的数据进行保密处理；所述 eUICC根据所述指示消息，对所述 eUICC上的数据进行保密处理。在第二方面的第一种可能的实现方式中，所述指示消息为停止签约命令；所述终端设备上的 eUICC接收指示消息包括：

所述 eUICC接收所述终端设备发送的所述停止签约命令，所述停止签约命令是所述终端设备在接收到移动网络运营商 MNO设备发送的第一寻呼消息后生成并发送给所述 eUICC的，所述第一寻呼消息是所述 MNO设备在根据所述终端设备上报的地理位置信息确定所述终端设备被盗后发送给所述终端设备的，所述第一寻呼消息包括所述终端设备的标识信息和用于标识所述终端设备被盗的被盗指示，所述停止签约命令包括所述终端设备的标识信息和所述被盗指示；

所述 eUICC通过所述终端设备向签约管理单元-安全路由 SM-SR发送停止签约响应，所述停止签约响应包括所述终端设备的标识信息、所述 eUICC 的标识信息和所述被盗指示。

在第二方面的第二种可能的实现方式中，所述指示消息为第一执行文件 OP响应消息；

所述终端设备上的 eUICC接收指示消息包括：

所述 eUICC根据所述终端设备在接收到第二寻呼消息后的指示，通过所述终端设备向签约管理单元-安全路由 SM-SR发送第一 OP请求消息；所述第二寻呼消息是移动网络运营商 MNO设备在根据所述终端设备上报的地理位置信息确定所述终端设备被盗后发送给所述终端设备的，所述第二寻呼消息包括所述终端设备的标识信息，所述第一 OP请求消息包括所述终端设备的标识信息和所述 eUICC的标识信息；

所述 eUICC通过所述终端设备接收所述 SM-SR返回的第一 OP响应消息；所述第一 OP 响应消息是所述 SM-SR根据所述终端设备的标识信息和所述 eUICC的标识信息确定出所述终端设备被盗后发送的，所述第一 OP响应消息包括用于标识所述终端设备被盗的被盗指示。

在第二方面的第三种可能的实现方式中，所述指示消息为第二执行文件 OP响应消息；

所述终端设备上的 eUICC接收指示消息包括：

所述 eUICC根据所述终端设备在接收到拒绝附着响应消息后的指示，通过所述终端设备向签约管理单元-安全路由 SM-SR发送第二 OP请求消息；所述拒绝附着响应消息是移动网络运营商 MNO设备在接收到所述终端设备发述第二 OP请求消息包括所述终端设备的标识信息和所述 eUICC的标识信息；所述 eUICC通过所述终端设备接收所述 SM-SR返回的第二 OP响应消息；所述第二 OP 响应消息是所述 SM-SR根据所述终端设备的标识信息和所述 eUICC的标识信息确定出所述终端设备丟失后发送的，所述第二 OP响应消息包括用于标识所述终端设备丟失的丟失指示和对所述 eUICC上的数据进行加密使用的加密密钥。

第三方面提供一种基于嵌入式通用集成电路卡的数据保密方法，包括：确定终端设备未被合法用户持有；

接收所述终端设备上的 eUICC通过所述终端设备发送的第一 OP请求消息，所述第一 OP请求消息是所述终端设备在接收到移动网络运营商 MNO设备发送的拒绝附着响应消息后指示所述 eUICC发送的，所述第一 OP请求消息包括所述终端设备的标识信息和所述 eUICC的标识信息；

通过所述终端设备向所述 eUICC返回第一 OP响应消息，以使所述 eUICC 对所述 eUICC上的数据进行保密处理。

在第三方面的第一种可能的实现方式中，所述确定终端设备未被合法用户持有包括：

接收所述 MNO设备发送的停止签约请求消息，所述停止签约请求消息是所述 MNO设备在确定所述终端设备被盗且所述终端设备处于去附着状态后发送的，所述停止签约请求消息包括所述 eUICC的标识信息和所述被盗指示；根据所述 eUICC的标识信息和所述被盗指示，确定所述终端设备被盗。结合第三方面的第一种可能的实现方式，在三方面的第二种可能的实现方式中，所述第一 OP响应消息包括用于标识所述终端设备被盗的被盗指示；所述通过所述终端设备向所述 eUICC返回第一 OP响应消息，以使所述 eUICC对所述 eUICC上的数据进行保密处理包括：

通过所述终端设备向所述 eUICC返回所述第一 OP响应消息，以使所述 eUICC删除所述 eUICC上的数据。

在第三方面的第三种可能的实现方式中，所述确定终端设备未被合法用户持有包括：

接收机器间通信服务提供商 M2M-SP设备发送的暂停签约请求消息，将所述暂停签约请求消息转发给所述 MNO设备，以使所述 MNO设备确定所述终端设备丟失；所述暂停签约请求消息包括所述终端设备的标识信息、所述 eUICC的标识信息和所述丟失指示；

根据所述丟失指示，确定所述终端设备丟失。

结合第三方面的第三种可能的实现方式，在第三方面的第四种可能的实现方式中，所述第一 OP响应消息包括用于标识所述终端设备丟失的丟失指示和对所述 eUICC上的数据进行加密使用的加密密钥；

所述通过所述终端设备向所述 eUICC返回第一 OP响应消息，以使所述 eUICC对所述 eUICC上的数据进行保密处理包括：

通过所述终端设备向所述 eUICC返回所述第一 OP响应消息，以使所述 eUICC对所述 eUICC上的数据进行加密处理。

第四方面提供一种移动网络运营商 MNO设备，包括：

确定模块，用于确定终端设备未被合法用户持有；

设置模块，用于设置所述终端设备上的嵌入式通用集成电路卡 eUICC为不可用状态；

保密处理指示模块，用于通过所述终端设备指示所述 eUICC 对所述 eUICC上的数据进行保密处理。

在第四方面的第一种可能的实现方式中，所述确定模块包括：理位置信息；

第一确定子模块，用于在所述第一接收子模块接收到的所述地理位置信息不属于预设的所述终端设备的合法使用区域时，确定所述终端设备被盗。

结合第四方面的第一种可能的实现方式，在第四方面的第二种可能的实现方式中，所述保密处理指示模块具体用于向所述终端设备发送第一寻呼消据所述停止签约命令对所述 eUICC上的数据进行保密处理，所述第一寻呼消息包括所述终端设备的标识信息和用于标识所述终端设备被盗的被盗指示，所述停止签约命令包括所述终端设备的标识信息和所述被盗指示；或者

所述保密处理指示模块具体用于向所述终端设备发送第二寻呼消息，以使所述终端设备指示所述 eUICC向签约管理单元-安全路由 SM-SR发送第一执行文件 OP请求消息并在接收到所述 SM-SR返回的第一 OP响应消息后对所述 eUICC上的数据进行保密处理，所述第二寻呼消息包括所述终端设备的标识信息，所述第一 OP请求消息包括所述终端设备的标识信息和所述 eUICC 的标识信息，所述第一 OP响应消息是所述 SM-SR根据所述终端设备的标识信息和所述 eUICC的标识信息确定出所述终端设备被盗后发送的，所述第一 OP响应消息包括所述被盗指示。

在第四方面的第三种可能的实现方式中，所述确定模块包括：

第二接收子模块，用于接收机器间通信服务提供商 M2M-SP设备发送的暂停签约请求消息，所述暂停签约请求消息包括所述终端设备的标识信息、所述 eUICC的标识信息和用于标识所述终端设备丟失的丟失指示，其中，所述 M2M-SP设备根据所述合法用户的挂失请求确定所述终端设备丟失；

第二确定子模块，用于根据所述丟失指示，确定所述终端设备丟失。结合第四方面的第三种可能的实现方式，在第四方面的第四种可能的实现方式中，所述保密处理指示模块包括：

第三接收子模块，用于接收所述终端设备发送的附着请求消息；发送子模块，用于向所述终端设备返回拒绝附着响应消息，以使所述终端设备指示所述 eUICC向签约管理单元-安全路由 SM-SR发送第二 OP请求消息并在接收到所述 SM-SR返回的第二 OP响应消息后对所述 eUICC上的数据进行加密处理，所述第二 OP请求消息包括所述终端设备的标识信息和所述 eUICC的标识信息，所述第二 OP响应消息是所述 SM-SR根据所述终端设备的标识信息和所述 eUICC的标识信息确定出所述终端设备丟失后发送的，所述第二 OP响应消息包括所述丟失指示和对所述 eUICC上的数据进行加密使用的加密密钥。

第五方面提供一种嵌入式通用集成电路卡 eUICC设备，嵌在终端设备中，所述 eUICC设备包括：

指示接收模块，用于接收指示消息，所述指示消息用于在所述终端设备未被合法用户持有时，指示所述 eUICC设备对所述 eUICC设备上的数据进行保密处理；

保密处理模块，用于根据所述指示消息，对所述 eUICC设备上的数据进行保密处理。

在第五方面的第一种可能的实现方式中，所述指示消息为停止签约命令；所述指示接收模块包括：

第一接收子模块，用于接收所述终端设备发送的所述停止签约命令，所述停止签约命令是所述终端设备在接收到移动网络运营商 MNO设备发送的第一寻呼消息后生成并发送给所述 eUICC设备的，所述第一寻呼消息是所述 MNO设备在根据所述终端设备上报的地理位置信息确定所述终端设备被盗后发送给所述终端设备的，所述第一寻呼消息包括所述终端设备的标识信息和用于标识所述终端设备被盗的被盗指示，所述停止签约命令包括所述终端设备的标识信息和所述被盗指示；

第一发送子模块，用于通过所述终端设备向签约管理单元-安全路由 SM-SR发送停止签约响应，所述停止签约响应包括所述终端设备的标识信息、所述 eUICC设备的标识信息和所述被盗指示。

在第五方面的第二种可能的实现方式中，所述指示消息为第一执行文件 OP响应消息；

所述指示接收模块包括：

第二发送子模块，用于根据所述终端设备在接收到第二寻呼消息后的指示，通过所述终端设备向签约管理单元-安全路由 SM-SR发送第一 OP请求消息；所述第二寻呼消息是移动网络运营商 MNO设备在根据所述终端设备上报的地理位置信息确定所述终端设备被盗后发送给所述终端设备的，所述第二寻呼消息包括所述终端设备的标识信息，所述第一 OP请求消息包括所述终端设备的标识信息和所述 eUICC设备的标识信息；

第二接收子模块，用于通过所述终端设备接收所述 SM-SR返回的第一 OP响应消息；所述第一 OP响应消息是所述 SM-SR根据所述终端设备的标识信息和所述 eUICC的标识信息确定出所述终端设备被盗后发送的，所述第一 OP响应消息包括用于标识所述终端设备被盗的被盗指示。

在第五方面的第三种可能的实现方式中，所述指示消息为第二执行文件

OP响应消息；

所述指示接收模块包括：

第三发送子模块，用于根据所述终端设备在接收到拒绝附着响应消息后的指示，通过所述终端设备向签约管理单元-安全路由 SM-SR发送第二 OP请求消息；所述拒绝附着响应消息是移动网络运营商 MNO设备在接收到所述终备的，所述第二 OP请求消息包括所述终端设备的标识信息和所述 eUICC设备的标识信息；

第三接收子模块，用于通过所述终端设备接收所述 SM-SR返回的第二 OP响应消息；所述第二 OP响应消息是所述 SM-SR根据所述终端设备的标识信息和所述 eUICC设备的标识信息确定出所述终端设备丟失后发送的，所述第二 OP 响应消息包括用于标识所述终端设备丟失的丟失指示和对所述 eUICC设备上的数据进行加密使用的加密密钥。

第六方面提供一种签约管理单元-安全路由 SM-SR设备，包括：确定模块，用于确定终端设备未被合法用户持有；

第一请求接收模块，用于接收所述终端设备上的 eUICC通过所述终端设备发送的第一 OP请求消息，所述第一 0P请求消息是所述终端设备在接收到移动网络运营商 MNO设备发送的拒绝附着响应消息后指示所述 eUICC发送的，所述第一 OP请求消息包括所述终端设备的标识信息和所述 eUICC的标识信息；

第一响应发送模块，用于通过所述终端设备向所述 eUICC返回第一 OP 响应消息，以使所述 eUICC对所述 eUICC上的数据进行保密处理。

在第六方面的第一种可能的实现方式中，所述确定模块包括：

接收子模块，用于接收所述 MNO设备发送的停止签约请求消息，所述停止签约请求消息是所述 MNO设备在确定所述终端设备被盗且所述终端设备处于去附着状态后发送的，所述停止签约请求消息包括所述 eUICC的标识信息和所述被盗指示；

第一确定子模块，用于根据所述 eUICC的标识信息和所述被盗指示，确定所述终端设备被盗。

结合第六方面的第一种可能的实现方式，在第六方面的第二种可能的实现方式中，所述第一 OP 响应消息包括用于标识所述终端设备被盗的被盗指示；述第一 OP响应消息，以使所述 eUICC删除所述 eUICC上的数据。

在第六方面的第三种可能的实现方式中，所述确定模块包括：

接收转发子模块，用于接收机器间通信服务提供商 M2M-SP设备发送的暂停签约请求消息，将所述暂停签约请求消息转发给所述 MNO设备，以使所述 MNO设备确定所述终端设备丟失；所述暂停签约请求消息包括所述终端设备的标识信息、所述 eUICC的标识信息和所述丟失指示；

第二确定子模块，用于根据所述丟失指示，确定所述终端设备丟失。结合第六方面的第三种可能的实现方式，在第六方面的第四种可能的实现方式中，所述第一 OP响应消息包括用于标识所述终端设备丟失的丟失指示和对所述 eUICC上的数据进行加密使用的加密密钥；述第一 OP响应消息，以使所述 eUICC对所述 eUICC上的数据进行加密处理。

第七方面提供一种基于嵌入式通用集成电路卡 eUICC的数据保密系统，包括：本发明第四方面提供的任一移动网络运营商 MNO设备、本发明第五方面提供的任一嵌入式通用集成电路卡 eUICC设备、以及本发明第六方面提供的任一签约管理单元-安全路由 SM-SR设备。

本发明实施例提供的基于嵌入式通用集成电路卡的数据保密方法及设备， MNO设备确定终端设备未被合法用户持有后，通过设置终端设备上的 eUICC为不可用状态，并通过终端设备指示 eUICC对 eUICC上的数据进行保密处理，从而在终端设备被盗或丟失的情况下实现了对 eUICC上的数据的保护。附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一筒单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例提供的针对 eUICC的系统架构示意图；

图 2为本发明一实施例提供的基于 eUICC的数据保密方法的流程图；图 3为本发明另一实施例提供的基于 eUICC的数据保密方法的流程图；图 4为本发明又一实施例提供的基于 eUICC的数据保密方法的流程图；图 5为本发明一实施例提供的在终端设备丟失情况下，基于 eUICC的数据保密方法的流程图；

图 6为本发明又一实施例提供的基于 eUICC的数据保密方法的流程图；图 7为本发明又一实施例提供的基于 eUICC的数据保密方法的流程图；图 8为本发明一实施例提供的 MNO设备的结构示意图；

图 9为本发明另一实施例提供的 MNO设备的结构示意图；

图 10为本发明又一实施例提供的 MNO设备的结构示意图；

图 11为本发明一实施例提供的 eUICC设备的结构示意图；

图 12为本发明另一实施例提供的 eUICC设备的结构示意图；

图 13为本发明又一实施例提供的 eUICC设备的结构示意图；

图 14为本发明一实施例提供的 SM-SR设备的结构示意图；

图 15为本发明另一实施例提供的 SM-SR设备的结构示意图；

图 16为本发明又一实施例提供的 SM-SR设备的结构示意图。具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图 1为本发明实施例提供的针对 eUICC的系统架构示意图。如图 1所示，该系统架构包括： MNO设备、签约管理单元（Subscription Manager, 筒称为 SM )和机器间通信服务提供商 ( Machine to Machine-Service Provider, 筒称为 M2M-SP ) 设备， SM 包括签约管理单元-安全路由（ Subscription Manager-Securely Routing , 筒称为 SM-SR ) 和签约管理单元-数据准备 ( Subscription Manager-Data Preparation , 筒称为 SM-DP )。

MNO设备主要负责保证签约用户正常接入移动通信网络，并为用户提供相应的语音或数据通信业务。

SM-SR主要用于直接管理签约相关的执行文件（Operational Profile, 筒称为 OP )、配置文件（Provisioning Profile , 筒称为 PP )等数据，例如负责这些数据的下载、删除和变更等。

SM-DP 主要用于准备签约相关的 OP/PP 等数据，例如采用加密文件 ( Profile ) 的方式，确保 OP/PP等安全下载到 eUICC。

M2M-SP设备主要负责使用 MNO设备提供的通信网络，为签约用户提供 M2M服务，例如水电气表的抄表服务、楼宇自动化系统中的远程监控等。

为了在终端设备丟失或被盗等各种未被合法用户持有的情况下实现对终端设备的 eUICC上的数据的保护，本发明以下实施例给出了解决方法。本发明以下各实施例可基于图 1所示系统架构实现。

图 2为本发明一实施例提供的基于 eUICC的数据保密方法的流程图。如图 2所示，本实施例的方法包括：

步骤 201、确定终端设备未被合法用户持有。

步骤 202、设置所述终端设备上的 eUICC为不可用状态。

步骤 203、通过所述终端设备指示所述 eUICC对所述 eUICC上的数据进行保密处理。

本实施例的执行主体为 MNO设备。具体的， MNO设备确定终端设备是否被合法用户持有，当确定出终端设备未被合法用户持有时，首先设置终端设备上的 eUICC为不可用状态，这样可以禁止该终端设备后续非法接入 MNO 设备网络，并通过终端设备指示 eUICC对 eUICC上的数据进行保密处理，即通过终端设备尝试引导 eUICC对本地数据进行保护。

其中，对 MNO设备、 SM-SR、 SM-DP以及 M2M-SP等机器设备看来，终端设备未被合法用户持有的场景包括终端设备被盗或终端设备丟失等情式会有所不同。

例如，如果终端设备是因为被盗而未被合法用户持有的，则 MNO设备确定终端设备未被合法用户持有的过程包括：接收终端设备上报的终端设备所在的地理位置信息，在所述地理位置信息不属于预设的该终端设备的合法使用区域时， MNO设备认为该终端设备属于被盗的情况，于是确定终端设备被盗，也就是确定终端设备未被合法用户持有。由于许多终端设备具有低移动储在 MNO设备上。终端设备会周期性的通过信令向 MNO设备上报其所在的地理位置信息。 MNO设备可以将终端设备上报的地理位置信息与用户签约数据中该终端设备的合法使用区域进行比较，通过判断终端设备上报的地理位置信息是否属于合法使用区域，进而分析得出该终端设备是否被盗的结论。如果终端设备上报的地理位置信息不属于该终端设备的合法使用区域，则 MNO设备可以确定终端设备被盗，反之，确定终端设备没有被盗（即仍被合法用户持有）。

在此说明，低移动性的终端设备发生地理位置变动，在很大程度上是因为被盗，但也有可能是 M2M-SP设备组织的系统维护（例如在某个位置对所有终端设备进行统一维护）等导致的。在这些特殊情况下， MNO设备直接确定终端设备被盗会发生错误的操作，影响终端设备的服务，基于此， MNO设备可以向 M2M-SP设备获取终端设备是否是被盗的处理指示。因此， MNO设备在终端设备上报的地理位置信息不属于预设的该终端设备的合法使用区域时，确定该终端设备被盗的一种可选实施过程包括： MNO设备在确定出终端设备上报的地理位置信息不属于预设的该终端设备的合法使用区域后，向 M2M-SP设备发送设备被盗处理策略请求消息，该设备被盗处理策略请求消息包括终端设备的标识信息、 eUICC 的标识信息和终端设备上 ·^艮的地理位置信息；接收 M2M-SP设备发送的设备被盗处理策略响应消息，该设备被盗处理策略响应消息是 M2M-SP设备根据终端设备的标识信息、 eUICC的标识信息和所述地理位置信息判断出终端设备被盗后发送的，该设备被盗处理策略响应消息包括被盗处理指示；根据所述被盗处理指示确定该终端设备被盗。

可选的，在终端设备被盗的情况下， MNO设备设置终端设备上的 eUICC 为不可用状态的过程包括：将 eUICC 的标识信息加入黑名单（英文为 blacklist ), 以使 eUICC处于不可用状态。可选的， MNO设备还可以将 eUICC 对应的 OP挂起，从而使 eUICC处于不可用状态。

可选的，在终端设备被盗的情况下，由于 MNO设备是基于终端设备最近一次上报的地理位置信息确定终端设备被盗的，因此终端设备可能仍处于附着状态，也有可能处于未附着状态（即去附着状态）。在本实施例中， MNO 设备在终端设备被盗的情况下，根据终端设备是否处于附着状态采用不同的方式通过终端设备指示 eUICC对 eUICC上的数据进行保密处理。

对于终端设备被盗，且终端设备处于附着状态的情况：步骤 203 的一种可选实施方式包括：向终端设备发送第一寻呼消息，以使终端设备向 eUICC 发送停止签约命令，以使 eUICC根据停止签约命令对 eUICC上的数据进行保密处理。其中， MNO设备发送给终端设备的第一寻呼消息包括终端设备的标识信息和用于标识该终端设备被盗的被盗指示（theft indication ), 终端设备发送给 eUICC 的停止签约命令包括终端设备的标识信息和所述被盗指示。对 eUICC 来说，在接收到停止签约命令后，可以根据停止签约命令中的被盗指示获知终端设备被盗需要对 eUICC上的数据进行保密处理。

对于终端设备被盗，且终端设备处于附着状态的情况：步骤 203 的一种可选实施方式包括：向终端设备发送第二寻呼消息，以使终端设备指示 eUICC 向 SM-SR发送第一 OP请求消息并在接收到 SM-SR返回的第一 OP响应消息后对 eUICC上的数据进行保密处理。其中，第二寻呼消息包括终端设备的标识信息，第一 OP请求消息包括终端设备的标识信息和 eUICC的标识信息，第一 OP响应消息是 SM-SR根据终端设备的标识信息和 eUICC的标识信息确定出终端设备被盗后发送的，第一 OP响应消息包括标识终端设备被盗的被盗指示。在该实施方式中， MNO设备通过第二寻呼消息对终端设备进行寻呼，终端设备接收到 MNO设备的第二寻呼消息后向 eUICC发送指示消息，以使 eUICC向 SM-SR发起 OP请求，进而由 SM-SR判断出终端设备被盗，并在发给 eUICC的 OP响应中携带被盗指示。对 eUICC来说，在接收到第一 OP响应消息后，可以根据第一 OP响应消息中的被盗指示获知终端设备被盗需要对 eUICC上的数据进行保密处理。

在该实施方式中， SM-SR接收到第一 OP响应消息后，可以向 SM-DP发送删除签约数据请求消息，以指示 SM-DP删除 eUICC对应的签约数据。

基于上述，在一可选实施方式中，在步骤 203之前包括：判断终端设备是否处于附着状态的操作；如果判断出终端设备处于附着状态，则执行步骤 203 , 即通过终端设备指示 eUICC对 eUICC上的数据进行保密处理。可选的， MNO设备可以通过查询该终端设备对应的签约数据中的状态信息，以判断终端设备是否处于附着状态。

可选的，如果判断出终端设备处于去附着状态，则 MNO设备向 SM-SR 发送停止签约请求消息，以使 SM-SR指示 SM-DP删除 eUICC对应的签约数据，所述停止签约请求消息包括 eUICC的标识信息和用于标识终端设备被盗的被盗指示。具体的，在终端设备去附着的情况下， MNO设备向 SM-SR发送停止签约请求消息，携带 eUICC 的标识信息和被盗指示； SM-SR接收到 MNO设备发送的停止签约请求消息后，根据其中的被盗指示获知该终端设备被盗，故向 SM-DP发起删除签约数据的请求，在该请求中携带 eUICC的标识信息； SM-DP根据 eUICC的标识信息删除该 eUICC对应的签约数据。可选的， SM-DP在删除该 eUICC对应的签约数据之后，还可以向 SM-SR返回删除签约数据完毕的消息。

进一步，在判断出终端设备处于去附着状态的情况下，当终端设备向 MNO设备发送附着请求消息时， MNO设备向终端设备返回拒绝附着响应消息，以禁止终端设备非法接入 MNO设备网络。在该情况下，终端设备收到拒绝附着响应消息后，指示 eUICC 向 SM-SR发送 OP请求消息并在接收到 SM-SR返回的 OP响应消息后对 eUICC上的数据进行保密处理，这里的 OP 请求消息包括终端设备的标识信息和 eUICC的标识信息，这里的 OP响应消息是 SM-SR根据终端设备的标识信息和 eUICC的标识信息确定出终端设备丟失后发送的，这里的 OP响应消息包括上述被盗指示，以指示 eUICC对 eUICC 上的数据进行保密处理。

在终端设备被盗的情况下， MNO设备通过终端设备指示 eUICC对 eUICC 上的数据进行保密处理的一种可选实施方式为：通过终端设备指示 eUICC将 eUICC上的数据删除。在此说明， MNO设备除了指示 eUICC将 eUICC上的数据删除之外，还可以指示终端设备将终端设备上的数据删除。

在终端设备被盗的情况下， MNO设备通过终端设备指示 eUICC对 eUICC 上的数据进行保密处理的另一种可选实施方式为：通过终端设备指示 eUICC 将 eUICC上的数据进行加密，其中， eUICC加密数据使用的加密密钥可以是预先约定的，也可以是 MNO设备或其他网元提供 eUICC的。

在此说明，在本发明各实施例中， eUICC上的数据包括但不限于： OP、 PP和用户数据。在本发明各实施中，终端设备的标识信息可以包括但不限于国际移动设备号 ( International Mobile Equipment Identifier, 筒称为 IMEI )和国际移动用户识别码 ( International Mobile Subscriber Identifier,筒称为 IMSI )。在不同消息中，所携带的终端设备的标识信息或者是 IMEI或者是 IMSI。例如，在各种寻呼消息中携带的终端设备的标识信息可以是 IMSI, 在除寻呼消息之外的其他消息中携带的终端设备的标识信息可以是 IMEI。在本发明各实施例中， eUICC的标识信息可以是但不限于嵌入式标识（ embedded IDentity , 筒称为 eID )。

又例如，如果终端设备是因为丟失而未被合法用户持有的，则 MNO设备确定终端设备未被合法用户持有的过程包括： MNO设备接收 M2M-SP设备发送的暂停签约请求消息，所述暂停签约请求消息包括终端设备的标识信息、 eUICC的标识信息和用于标识终端设备丟失的丟失指示，其中， M2M-SP设备根据合法用户的挂失请求确定终端设备丟失； MNO设备根据所述丟失指示，确定终端设备丟失。具体的，终端设备的合法用户在发现终端设备丟失后可以向 M2M-SP设备发起挂失请求； M2M-SP设备接收到挂失请求后，认为终端设备未被合法用户持有属于终端设备丟失的情况，于是确定终端设备丟失，然后通过 SM-SR向 MNO设备发起暂停签约请求消息，并携带终端设备的标识信息、 eUICC的标识信息和丟失指示（ Loss indication ); MNO设备收到暂停签约请求消息后，根据其中的丟失指示确定终端设备丟失。

可选的，在终端设备丟失的情况下， MNO设备设置终端设备上的 eUICC 为不可用状态的过程包括：将 eUICC对应的 OP挂起，以使 eUICC处于不可用状态；通过 SM-SR向 M2M-SP设备返回暂停签约响应消息，所述暂停签约响应消息包括终端设备的标识信息和 eUICC的标识信息。对于 M2M-SP设备来说，在接收到暂停签约响应消息后，可以备份该终端设备相关的计费信息并暂停计费。

终端设备在合法用户解挂之前会尝试访问 MNO设备网络，并且会被拒绝。基于此，在终端设备丟失的情况下，步骤 203的一种可选实施方式包括：接收终端设备发送的附着请求消息；向终端设备返回拒绝附着响应消息，以使终端设备指示 eUICC向 SM-SR发送第二 OP请求消息并在接收到 SM-SR 返回的第二 OP响应消息后对 eUICC上的数据进行加密处理。其中，第二 OP 请求消息包括终端设备的标识信息和 eUICC的标识信息，第二 OP响应消息是 SM-SR根据终端设备的标识信息和 eUICC的标识信息确定出终端设备丟失后发送的，第二 OP响应消息包括丟失指示和对 eUICC上的数据进行加密使用的加密密钥。具体的，终端设备访问 MNO设备网络被拒绝后，会向 eUICC 发送指示消息，以使 eUICC 自动激活 PP以通过终端设备向 SM-SR发起 OP 请求，并携带终端设备的标识信息和 eUICC的标识信息； SM-SR根据终端设备的标识信息和 eUICC的标识信息可以判断出终端设备丟失，在发给 eUICC 的 OP响应中携带加密密钥和丟失指示。对 eUICC来说，在接收到第二 OP 响应消息后，可以根据第二 OP响应消息中的丟失指示获知终端设备丟失需要对 eUICC上的数据进行加密处理，并采用第二 OP响应消息中的加密密钥对 eUICC上的数据进行加密。可选的， eUICC完成对 eUICC上的数据的加密处理后，可以通过终端设备向 SM-SR返回加密数据确认消息。

在此说明，在上述过程中，由于 M2M-SP设备发送给 ΜΝΟ设备的暂停签约请求消息以及 ΜΝΟ设备返回给 M2M-SP设备的暂停签约响应消息都要经过 SM-SR进行转发，在该过程中 SM-SR可以获知发生丟失的终端设备的有关信息。基于此， SM-SR可以根据终端设备的标识信息和 eUICC的标识信息判断出终端设备是否丟失。

在此说明，合法用户挂失具有一个最长时限，在该时限内，合法用户可以解除挂失，从而继续正常使用 eUICC以及终端设备。基于此，在终端设备丟失的情况下，本实施例的方法还包括： MNO设备接收 M2M-SP设备通过 SM-SR发送的恢复签约请求消息，所述恢复签约请求消息包括终端设备的标识信息、 eUICC 的标识信息和用于标识该终端设备重新被所述合法用户持有的恢复指示；将 eUICC对应的 OP解挂，以使 eUICC恢复为可用状态；通过 SM-SR向 M2M-SP设备发送恢复签约响应消息，所述恢复签约响应消息包括终端设备的标识信息和 eUICC的标识信息。具体的，合法用户需要解除挂失时，可以向 M2M-SP设备发出解挂请求，相应的， M2M-SP设备会接收解挂请求，根据该解挂请求可知获知该终端设备重新被合法用户持有，故通过 SM-SR向 MNO设备发送恢复签约请求消息，并携带终端设备的标识信息、 eUICC 的标识信息和恢复指示； MNO设备接收到恢复签约请求消息后，将 eUICC恢复为可用状态，并通过 SM-SR向 M2M-SP设备返回恢复签约响应消息。另外， M2M-SP设备会重新载入计费信息备份，并继续对该终端设备进行计费。之后，终端设备就可以在 eUICC的指导下重新访问 MNO设备网络了。具体的， eUICC重新向 SM-SR发送第三 OP请求消息，携带终端设备的标识信息和 eUICC的标识信息， SM-SR根据终端设备的标识信息和 eUICC 的标识信息判断出终端设备已解挂，在发给 eUICC的 OP响应中携带解密密钥和恢复指示； eUICC根据恢复指示获知终端设备已经解挂，故使用解密密钥对 eUICC上之前加密的数据进行解密处理。可选的， eUICC成功解密数据之后，可以通过终端设备向 SM-SR返回解密数据确认消息。

可选的，当到达最长时限后，合法用户仍未解挂，则网络侧不再保留之前暂停的签约数据，此时可以在合法用户结算完毕后，删除网络侧的签约数据。具体的，合法用户对终端设备的挂失时间达到最长时限后， M2M-SP设备在删除备份的计费信息前通知用户完成结算，然后通知 SM-DP、 MNO设备 \SM-SR等网络侧设备删除该终端设备对应的签约数据。

由上述可见，本实施例提供的基于 eUICC的数据保密方法， MNO设备在确定终端设备未被合法用户持有后，通过设置终端设备上的 eUICC为不可用状态，可以达到禁止终端设备非法接入 MNO设备网络，并通过终端设备指示 eUICC对 eUICC上的数据进行保密处理，从而在终端设备被盗或丟失的情况下实现了对 eUICC上的数据的保护，能够很好地保护用户的个人信息安全。

图 3为本发明另一实施例提供的基于 eUICC的数据保密方法的流程图。如图 3所示，本实施例的方法包括：

步骤 301、终端设备上的 eUICC接收指示消息，所述指示消息用于在终端设备未被合法用户持有时，指示 eUICC对 eUICC上的数据进行保密处理。

步骤 302、 eUICC根据所述指示消息，对 eUICC上的数据进行保密处理。本实施例的执行主体为终端设备上的 eUICC。具体的，在终端设备未被合法用户持有时， MNO设备网络侧的设备会引导该终端设备上的 eUICC进行数据保密处理，则 eUICC会接收到用于指示 eUICC对数据进行保密处理的指示信息，之后 eUICC会根据该指示信息对 eUICC上的数据进行保密处理。

其中，根据确定出终端设备未被合法用户持有的网络侧设备的不同， eUICC接收指示信息的方式也会有所不同。这里的网络侧设备可以是 MNO 设备或 SM-SR等。其中，终端设备未被合法用户持有的场景包括终端设备被盗或终端设备丟失等情况。根据不同场景，确定终端设备未被合法用户持有的具体实施方式会有所不同，因此， eUICC接收指示信息的方式也会有所不同。下面举例说明：在一可选实施方式中，假设终端设备是因为被盗而未被合法用户持有的，则在步骤 301之前，终端设备会周期性的向 MNO设备发送终端设备所在的地理位置信息，以使 MNO设备根据所述地理位置信息确定终端设备被盗。具体的，由于许多终端设备具有低移动性的特点，因此用户可以在签约中预先定制终端设备的合法使用区域，并存储在 MNO设备上。终端设备会周期性的通过信令向 MNO设备上报其所在的地理位置信息。 MNO设备可以将终端设备上报的地理位置信息与用户签约数据中该终端设备的合法使用区域进行比较，通过判断终端设备上报的地理位置信息是否属于合法使用区域，进而分析得出该终端设备是否被盗的结论。在本实施例中， MNO设备在步骤 301之前判断出终端设备被盗。

对于终端设备被盗的情况：指示消息的一种实现方式为停止签约命令。相应的，终端设备上的 eUICC接收指示消息的过程包括： eUICC接收终端设备发送的停止签约命令，该停止签约命令是终端设备在接收到 MNO设备发送的第一寻呼消息后生成并发送给 eUICC的，第一寻呼消息是 MNO设备在根据终端设备上报的地理位置信息确定终端设备被盗后发送给终端设备的，第一寻呼消息包括终端设备的标识信息和用于标识终端设备被盗的被盗指示，所述停止签约命令包括终端设备的标识信息和被盗指示； eUICC 通过终端设备向 SM-SR发送停止签约响应，所述停止签约响应包括终端设备的标识信息、 eUICC 的标识信息和被盗指示。 SM-SR接收到停止签约响应后，向 SM-DP 发送删除签约数据请求消息，以指示 SM-DP删除 eUICC对应的签约数据。

具体的， MNO设备在根据终端设备最近一次上报的地理位置信息判断出终端设备被盗后，向终端设备发送第一寻呼消息，并携带终端设备的标识信息和被盗指示；终端设备收到第一寻呼消息后，向 eUICC发送停止签约命令，并携带终端设备的标识信息和被盗指示。对 eUICC来说，在接收到停止签约命令后，根据其中的被盗指示获知终端设备被盗需要对其进行保密处理。

对于终端设备被盗的情况：指示消息的一种实现方式为第一 OP 响应消息。相应的，终端设备上的 eUICC接收指示消息的过程包括： eUICC根据终端设备在接收到第二寻呼消息后的指示，通过终端设备向 SM-SR发送第一 OP请求消息；第二寻呼消息是 MNO设备在根据终端设备上报的地理位置信息确定终端设备被盗后发送给终端设备的，第二寻呼消息包括终端设备的标识信息，第一 OP请求消息包括终端设备的标识信息和 eUICC的标识信息； eUICC通过终端设备接收 SM-SR返回的第一 OP响应消息；第一 OP响应消息是 SM-SR根据终端设备的标识信息和 eUICC的标识信息确定出终端设备被盗后发送的，第一 OP 响应消息包括用于标识终端设备被盗的被盗指示。 SM-SR接收到第一 OP响应消息后，向 SM-DP发送删除签约数据请求消息，以指示 SM-DP删除 eUICC对应的签约数据。

具体的， MNO设备在根据终端设备最近一次上报的地理位置信息判断出终端设备被盗后，向终端设备发送第二寻呼消息，并携带终端设备的标识信息；终端设备接收到第二寻呼消息后，向 eUICC发送指示消息，以使 eUICC 向 SM-SR发起 OP请求，并在 OP请求中携带终端设备的标识信息和 eUICC 的标识信息； SM-SR收到 OP请求后，可以根据其中的终端设备的标识信息和 eUICC的标识信息判断出终端设备被盗，然后通过终端设备向 eUICC返回 OP响应，并携带用于标识终端设备被盗的被盗指示，以使 eUICC根据被盗指示对本地数据进行保密处理。

在终端设备被盗的情况下， eUICC根据指示消息，对 eUICC上的数据进行保密处理的一种实施方式包括： eUICC根据被盗指示，删除 eUICC上的数据。另外， eUICC还可以根据被盗指示，对本地数据进行加密处理。其中，加密处理使用的加密密钥可以是预先约定的，也可以是由 MNO设备或 SM-SR 等网络侧设备提供的。

对于终端设备丟失的情况：指示消息的一种实现方式为第二 OP 响应消息。则终端设备上的 eUICC接收指示消息的过程包括： eUICC根据终端设备在接收到拒绝附着响应消息后的指示，通过终端设备向 SM-SR发送第二 OP 请求消息；所述拒绝附着响应消息是 MNO设备在接收到终端设备发送的附着请求消息且确定出终端设备丟失后发送给终端设备的，第二 OP请求消息包括终端设备的标识信息和 eUICC的标识信息； eUICC通过终端设备接收 SM-SR 返回的第二 OP响应消息；所述第二 OP响应消息是 SM-SR根据终端设备的标识信息和 eUICC的标识信息确定出终端设备丟失后发送的，第二 OP响应消息包括用于标识终端设备丟失的丟失指示和对 eUICC上的数据进行加密使用的加密密钥。

具体的，在终端设备丟失的情况下，终端设备的合法用户可以向 M2M-SP 设备发起挂失请求； M2M-SP设备接收到挂失请求后，可以确定终端设备丟失； M2M-SP设备通过 SM-SR向 MNO设备发起暂停签约请求消息，并携带终端设备的标识信息、 eUICC的标识信息和丟失指示； MNO设备收到暂停签约请求消息后，根据其中的丟失指示确定终端设备丟失，并且 MNO设备会将 eUICC对应的 OP挂起，以使 eUICC处于不可用状态，进而组织终端设备的非法接入。终端设备向 MNO设备发送附着请求消息，以请求接入 MNO设备网络；由于终端设备已经丟失，故 MNO设备向终端设备返回拒绝附着响应消息，以拒绝终端设备的接入；终端设备接收到拒绝附着响应消息后，向 eUICC 发送指示消息，以使 eUICC 自动激活 PP以通过终端设备向 SM-SR发起 OP 请求，并携带终端设备的标识信息和 eUICC的标识信息； SM-SR根据终端设备的标识信息和 eUICC的标识信息可以判断出终端设备丟失，在发给 eUICC 的 OP响应中携带加密密钥和丟失指示。

对 eUICC来说，在接收到第二 OP响应消息后，可以根据第二 OP响应消息中的丟失指示获知终端设备丟失需要对 eUICC上的数据进行保密处理。具体的， eUICC根据所述丟失指示，使用所述加密密钥对 eUICC上的数据进行加密处理。

可选的， eUICC完成对 eUICC上的数据的加密处理后，可以通过终端设备向 SM-SR返回加密数据确认消息。在此说明，合法用户挂失具有一个最长时限，在该时限内，合法用户可以解除挂失，从而继续正常使用 eUICC以及终端设备。基于此，在终端设备丟失的情况下，本实施例的方法还包括： eUICC通过终端设备向 SM-SR发送第三 OP请求消息，所述第三 OP请求消息包括终端设备的标识信息和 eUICC 的标识信息； eUICC通过终端设备接收 SM-SR发送的第三 OP响应消息，所述第三 OP响应消息是 SM-SR根据接收到的 MNO设备发送给 M2M-SP设备的恢复签约响应消息确终端设备重新被合法用户持有后，在接收到的第三 OP 请求消息后发送的，所述恢复签约响应消息是 MNO设备在接收到 M2M-SP 设备发送的恢复签约请求消息后发送给 M2M-SP设备的，所述第三 OP响应消息包括解密密钥和用于标识终端设备重新被合法用户持有的恢复指示； eUICC根据所述恢复指示，使用所述解密密钥对 eUICC上的数据进行解密处理； eUICC通过终端设备向 SM-SR发送数据恢复确认消息。

在此说明，本发明各实施例中的恢复指示除了标识终端设备重新被合法用户持有之外，还意味着合法用户针对该终端设备向 M2M-SP设备发出了解挂请求。

由上述可见，本实施例提供的基于 eUICC的数据保密方法， eUICC与网络侧设备 (例如 MNO设备、 SM-SR和 /或 M2M-SP设备 )相配合，在终端设备未被合法用户持有后，根据接收到的指示信息对 eUICC上的数据进行保密处理，从而在终端设备被盗或丟失的情况下实现了对 eUICC上的数据的保护，能够很好地保护用户的个人信息安全。

图 4为本发明又一实施例提供的基于 eUICC的数据保密方法的流程图。如图 4所示，本实施例的方法包括：

步骤 401、确定终端设备未被合法用户持有。

步骤 402、接收终端设备上的 eUICC通过终端设备发送的第一 OP请求消息，所述第一 OP请求消息是终端设备在接收到 MNO设备发送的拒绝附着响应消息后指示 eUICC发送的，第一 OP请求消息包括终端设备的标识信息和 eUICC的标识信息。

步骤 403、通过终端设备向 eUICC返回第一 OP响应消息，以使 eUICC 对 eUICC上的数据进行保密处理。

本实施例的执行主体为 SM-SR。其中，对 MNO设备、 SM-SR、 SM-DP 以及 M2M-SP等机器设备看来，终端设备未被合法用户持有的场景包括终端设备被盗或终端设备丟失等情况。根据不同场景， SM-SR确定终端设备未被合法用户持有的具体实施方式会有所不同。

例如，对于终端设备是因为被盗而未被合法用户持有的情况：终端设备被盗可由 MNO设备根据终端设备上报的地理位置信息确定出，确定过程可参见上述实施的描述。 MNO设备在确定终端设备被盗后，进一步判断终端设备是否处于附着状态，在判断出终端设备处于去附着状态的情况下， MNO设备向 SM-SR发送停止签约请求消息，并会在停止签约请求消息中携带 eUICC的标识信息和标识终端设备被盗的被盗指示。基于此，则 SM-SR确定终端设备未被合法用户持有的过程包括： SM-SR接收 MNO设备发送的停止签约请求消息，所述停止签约请求消息是 MNO设备在确定终端设备被盗且终端设备处于去附着状态后发送的，停止签约请求消息包括 eUICC的标识信息和标识终端设备被盗的被盗指示。 SM-SR接收到停止签约请求消息后，根据其中的 eUICC的标识信息和被盗指示，确定终端设备被盗。

在终端设备被盗的情况下，在一可选实施方式中， SM-SR在接收到第一 OP响应消息后或者在接收到停止签约请求消息后，向 SM-DP发送删除签约数据请求消息，以指示 SM-DP删除 eUICC对应的签约数据。

可选的，在终端设备被盗的情况下， SM-SR返回的第一 OP响应消息包括用于标识终端设备被盗的被盗指示，则 SM-SR通过终端设备向 eUICC返回第一 OP响应消息，以使 eUICC对 eUICC上的数据进行保密处理包括： SM-SR 通过终端设备向 eUICC返回第一 OP响应消息，以使 eUICC删除 eUICC上的数据。或者， SM-SR通过终端设备向 eUICC返回第一 OP响应消息，以使 eUICC 对 eUICC上的数据进行加密处理。

例如，对于终端设备是因为被盗而未被合法用户持有的情况：终端设备的合法用户发现终端设备丟失后，可以向 M2M-SP 设备发送挂失请求， M2M-SP设备才艮据挂失请求可以确定终端设备丟失。然后， M2M-SP设备向 SM-SR发送暂停签约请求消息，并在暂停签约请求消息中携带终端设备的标识信息、 eUICC的标识信息和标识终端设备丟失的丟失指示。基于此， SM-SR 确定终端设备未被合法用户持有包括： SM-SR接收 M2M-SP设备发送的暂停签约请求消息，将暂停签约请求消息转发给 MNO设备，以使 MNO设备确定终端设备丟失；所述暂停签约请求消息包括终端设备的标识信息、 eUICC 的标识信息和丟失指示。在该过程中， SM-SR也可以根据暂停签约请求消息中的丟失指示确定终端设备丟失。

可选的，在终端设备丟失的情况下， MNO设备在接收到暂停签约请求消息后，会通过 SM-SR向 M2M-SP设备发送暂停签约响应消息。则 SM-SR还会接收 MNO设备发送的暂停签约响应消息，并将暂停签约响应消息转发给 M2M-SP设备，所述暂停签约响应消息包括终端设备的标识信息和 eUICC的标识信息。

可选的，在终端设备丟失的情况下， SM-SR返回的第一 OP响应消息包括用于标识终端设备丟失的丟失指示和对 eUICC上的数据进行加密使用的加密密钥，则 SM-SR通过终端设备向 eUICC返回第一 OP响应消息，以使 eUICC 对 eUICC上的数据进行保密处理包括： SM-SR通过终端设备向 eUICC返回第一 OP响应消息，以使 eUICC对 eUICC上的数据进行加密处理。

可选的，在终端设备丟失的情况下，本实施例的方法还包括：接收 eUICC 通过终端设备发送的第二 OP请求消息，所述第二 OP请求消息包括终端设备的标识信息和 eUICC的标识信息；通过终端设备向 eUICC发送第二 OP响应消息，所述第二 OP响应消息是根据接收到的 MNO设备发送给 M2M-SP设备的恢复签约响应消息确定终端设备重新被合法用户持有后，在接收到第二 OP 请求消息后发送的，所述恢复签约响应消息是 MNO设备在接收到 M2M-SP 设备发送的恢复签约请求消息后发送给 M2M-SP设备的，所述第二 OP响应消息包括解密密钥和用于标识终端设备重新被合法用户持有的恢复指示，以使 eUICC根据所述恢复指示，使用解密密钥对 eUICC上的数据进行解密处理；接收 eUICC通过终端设备发送的数据恢复确认消息。

在此说明，在终端设备丟失的情况下，本实施例中的第一 OP请求消息和第一 OP响应消息分别相当于其他方法实施例中的第二 OP请求消息和第二 OP响应消息；相应的，本实施例中的第二 OP请求消息和第二 OP响应消息分别相当于其他方法实施例中的第三 OP请求消息和第三 OP响应消息。

由上述可见，本实施例提供的基于 eUICC的数据保密方法， SM-SR在终端设备被盗或丟失等未被合法用户持有的情况下，针对 eUICC发送的 OP请求返回 OP响应并在 OP响应中携带标识终端设备被盗或丟失的指示，使得 eUICC可以根据该指示对 eUICC上的数据进行保密处理，从而在终端设备被盗或丟失等情况下实现了对 eUICC上的数据的保护，能够艮好地保护用户的个人信息安全。

图 5为本发明一实施例提供的在终端设备丟失情况下，基于 eUICC的数据保密方法的流程图。如图 5所示，本实施例的方法包括：

步骤 501、确定终端设备丟失。

步骤 502、接收终端设备上的 eUICC通过终端设备发送的第二 OP请求消息，所述第二 OP请求消息是终端设备在接收到 MNO设备发送的拒绝附着响应消息后指示 eUICC发送的，第二 OP请求消息包括终端设备的标识信息和 eUICC的标识信息。

步骤 503、通过终端设备向 eUICC返回第二 OP响应消息，以使 eUICC 对 eUICC上的数据进行加密处理，所述第二 OP响应消息包括用于标识终端设备丟失的丟失指示和对 eUICC上的数据进行加密使用的加密密钥。

本实施例的执行主体为 SM-SR。本实施例适用于终端设备丟失的情况。具体的，终端设备的合法用户发现终端设备丟失后，可以向 M2M-SP设备发送挂失请求， M2M-SP设备根据挂失请求可以确定终端设备丟失。然后， M2M-SP设备向 SM-SR发送暂停签约请求消息，相应的， SM-SR接收 M2M-SP 设备发送的暂停签约请求消息，将暂停签约请求消息转发给 MNO设备，以使 MNO设备确定终端设备丟失；所述暂停签约请求消息包括终端设备的标识信息、 eUICC的标识信息和丟失指示。在该过程中， SM-SR也可以根据暂停签约请求消息中的丟失指示确定终端设备丟失。

可选的， MNO设备在接收到暂停签约请求消息后，会通过 SM-SR 向 M2M-SP设备发送暂停签约响应消息。贝' J SM-SR还会接收 MNO设备发送的暂停签约响应消息，并将暂停签约响应消息转发给 M2M-SP设备，所述暂停签约响应消息包括终端设备的标识信息和 eUICC的标识信息。

在此说明，合法用户挂失具有一个最长时限，在该时限内，合法用户可以解除挂失，从而继续正常使用 eUICC以及终端设备。基于此，在终端设备丟失的情况下，本实施例的方法还包括：接收 eUICC通过终端设备发送的第三 OP请求消息，所述第三 OP请求消息包括终端设备的标识信息和 eUICC 的标识信息；通过终端设备向 eUICC发送第三 OP响应消息，所述第三 OP 响应消息是根据接收到的 MNO设备发送给 M2M-SP设备的恢复签约响应消息确定终端设备重新被合法用户持有后，在接收到第三 OP请求消息后发送的，所述恢复签约响应消息是 MNO设备在接收到 M2M-SP设备发送的恢复签约请求消息后发送给 M2M-SP设备的，所述第三 OP响应消息包括解密密钥和用于标识终端设备重新被合法用户持有的恢复指示，以使 eUICC根据所述恢复指示，使用解密密钥对 eUICC上的数据进行解密处理；接收 eUICC通过终端设备发送的数据恢复确认消息。

由上述可见，本实施例提供的基于 eUICC的数据保密方法， SM-SR在终端设备丟失的情况下，针对 eUICC发送的 OP请求返回 OP响应并在 OP响应中携带标识终端设备丟失的丟失指示，使得 eUICC 可以根据该丟失指示将 eUICC上的数据删除，从而在终端设备丟失的情况下实现了对 eUICC上的数据的保护，能够很好地保护用户的个人信息安全。

图 6为本发明又一实施例提供的基于 eUICC的数据保密方法的流程图。如图 6所示，本实施例的方法包括：

步骤 6a、 MNO设备检测到终端设备被盗。

由于许多终端设备具有低移动性的特点，因此用户可以在签约中预先定制终端设备的合法使用区域，并存储在 MNO设备上。终端设备会周期性的通过信令向 MNO设备上报其所在的地理位置信息。 MNO设备可以将终端设备上报的地理位置信息与用户签约数据中该终端设备的合法使用区域进行比较，通过判断终端设备上报的地理位置信息是否属于合法使用区域，进而分析得出该终端设备是否被盗的结论。如果终端设备上报的地理位置信息不属于该终端设备的合法使用区域，则 MNO设备可以确定终端设备被盗，反之，确定终端设备没有被盗（即仍被合法用户持有）。

步骤 6b、 MNO设备通过 SM-SR向 M2M-SP设备发起设备被盗处理策略请求，携带终端设备的标识信息、 eUICC 的标识信息和终端设备上报的地理位置信息。

步骤 6c、 M2M-SP设备根据终端设备的标识信息、 eUICC的标识信息和终端设备上报的地理位置信息，确定终端设备属于被盗情形，通过 SM-SR向 MNO设备返回设备被盗处理策略响应消息，携带被盗处理指示。

由于低移动性的终端设备发生地理位置变动，在很大程度上是因为被盗，但也有可能是 M2M-SP设备组织的系统维护（例如在某个位置对所有终端设备进行统一维护）等导致的。在这些特殊情况下，直接确定终端设备被盗会发生错误的操作，影响终端设备的服务，基于此， MNO设备可以向 M2M-SP 设备获取终端设备是否是被盗的处理指示。

其中，步骤 6b和步骤 6c属于可选步骤。

步骤 6d、 MNO设备根据被盗处理指示确定终端设备真的被盗，将 eUICC 的标识信息加入黑名单。

鉴于 MNO设备是基于终端设备最近一次上报的地理位置信息监测到终端设备被盗的，终端设备可能是处于附着状态，也可能是处于去附着状态（又称为未附着状态）。对于终端设备处于附着状态的情况，本实施例采用下述两种寻呼方法来引导 eUICC删除本地数据。

步骤 6el、 MNO设备向终端设备发送第一寻呼消息，携带终端设备的标识信息和被盗指示。这里的第一寻呼消息是一种增强型的寻呼消息。

步骤 6fl、终端设备向 eUICC发送停止签约命令，携带终端设备的标识信息和被盗指示。

步骤 6gl、 eUICC通过终端设备向 SM-SR发送停止签约响应，携带终端设备的标识信息、 eUICC的标识信息和被盗指示，然后执行步骤 6k。

步骤 6e2、 MNO设备向终端设备发送第二寻呼消息，携带终端设备的标识信息。

步骤 6f2、终端设备向 eUICC发送指示消息，以指示 eUICC向 SM-SR发起 OP请求。

步骤 6g2、 eUICC通过终端设备向 SM-SR发送第一 OP请求消息，携带终端设备的标识信息和 eUICC的标识信息。

步骤 6h2、 SM-SR根据终端设备的标识信息和 eUICC的标识信息判断出终端设备被盗，向 eUICC发送第一 OP响应消息，携带被盗指示，然后执行步骤 6k。

步骤 6i、 eUICC根据被盗指示，删除 eUICC上的数据。 eUICC删除的本地数据包括但不限于 OP、 PP和用户数据。

上述步骤 6el、步骤 6fl、步骤 6gl和步骤 6i是在终端设备处于附着状态情况下，提供的第一种寻呼方法引导 eUICC删除本地数据的流程。

上述步骤 6e2、步骤 6f2、步骤 6g2、步骤 6h2和步骤 6i是在终端设备处于附着状态情况下，提供的第二种寻呼方法引导 eUICC删除本地数据的流程。步骤 6j、 MNO设备向 SM-SR发起停止签约请求消息，携带 eUICC的标识信息和被盗指示，然后执行步骤 6k。

步骤 6k、 SM-SR向 SM-DP发送删除签约数据请求消息，携带 eUICC的标识信息。

步骤 61、 SM-DP根据 eUICC的标识信息删除 eUICC对应的签约数据。步骤 6m、 SM-DP向 SM-SR返回删除签约数据完毕的消息。

步骤 6n、终端设备尝试访问 MNO网络被拒绝。

步骤 6n具体包括：终端设备向 MNO设备发送附着请求消息，然后接收 MNO 设备返回的拒绝附着响应消息，在接收到拒绝附着响应消息之后向 eUICC发送指示消息，以使 eUICC向 SM-SR发起 OP请求。

步骤 6o、 eUICC 自动激活其中的 PP, 并通过终端设备向 SM-SR发送第二 OP请求消息，携带终端设备的标识信息和 eUICC的标识信息。

步骤 6p、 SM-SR根据终端设备的标识信息和 eUICC的标识信息判断出终端设备被盗，通过终端设备向 eUICC发送第二 OP响应消息，携带被盗指示。

步骤 6q、 eUICC根据被盗指示，删除 eUICC上的数据。 eUICC删除的本地数据包括但不限于 OP、 PP和用户数据。

上述步骤 6j以及步骤 6n步骤 6q是在终端设备处于去附着状态情况下，弓 I导 eUICC删除本地数据的流程。

步骤 6k-步骤 6m属于网络侧的处理流程，该流程并不受终端设备是处于附着状态还是去附着状态的限制。

在本实施例中，第一寻呼消息和第二寻呼消息中携带的终端设备的标识为 IMSI, 其他消息中携带的终端设备的标识信息为 IMEI。

由上述可见，本实施例提供的方法， MNO设备在监测到终端设备被盗后，一方面通过将终端设备上的 eUICC的标识信息加入黑名单，禁止终端设备非法接入 MNO设备网络，另一方面尝试引导 eUICC对本地数据进行删除操作，能够很好地保护用户的个人信息安全。图 7为本发明又一实施例提供的基于 eUICC的数据保密方法的流程图。如图 7所示，本实施例的方法包括：

步骤 7a、 M2M-SP设备根据终端设备的合法用户发起的挂失请求，确定终端设备丟失。

步骤 7b、 M2M-SP设备通过 SM-SR向 MNO设备发送暂停签约请求消息，携带终端设备的标识信息、 eUICC 的标识信息和标识终端设备丟失的丟失指示。

步骤 7c、 MNO设备将 eUICC对应的 OP状态置为挂起。

步骤 7d、MNO设备通过 SM-SR向 M2M-SP设备返回暂停签约响应消息，携带终端设备的标识信息和 eUICC的标识信息。

步骤 7e、 M2M-SP设备备份终端设备的计费信息并暂停计费。

步骤 7f、终端设备在合法用户解挂之前尝试访问 MNO网络被拒绝。步骤 7f具体包括：终端设备向 MNO设备发送附着请求消息，接收 MNO 设备返回的拒绝附着响应消息，在接收到拒绝附着响应消息之后向 eUICC发送指示消息，以使 eUICC向 SM-SR发起 OP请求。

步骤 7g、 eUICC 自动激活其中的 PP, 并通过终端设备向 SM-SR发送第二 OP请求消息，携带终端设备的标识信息和 eUICC的标识信息。

步骤 7h、 SM-SR根据终端设备的标识信息和 eUICC的标识信息判断出终端设备丟失，通过终端设备向 eUICC发送第二 OP响应消息，携带丟失指示和加密密钥。

步骤 7i、 eUICC根据所述丟失指示，使用所述加密密钥对 eUICC上的数据进行加密处理。 eUICC加密的本地数据包括但不限于 OP和用户数据。

步骤 7j、 eUICC通过终端设备向 SM-SR返回加密数据确认消息。

合法用户对终端设备的挂失具有一个最长时限，在该最长时限内，如果合法用户找到终端设备可以解除挂失，从而继续正常使用 eUICC与终端设备。基于此，本实施例的方法还包括以下可选步骤：步骤 7k、 M2M-SP设备接收针对终端设备的解挂请求。

步骤 71、 M2M-SP设备通过 SM-SR向 MNO设备发送恢复签约请求消息，携带终端设备的标识信息、 eUICC的标识信息和恢复指示。

步骤 7m、 MNO设备将 eUICC对应的 OP的状态恢复为正常。

步骤 7n、 MNO设备通过 SM-SR向 M2M-SP设备返回恢复签约响应消息，携带终端设备的标识信息和 eUICC的标识信息。

步骤 7o、 M2M-SP设备重新载入备份的计费信息，并继续对终端设备进行计费。

步骤 7p、 eUICC通过终端设备向 SM-SR发送第三 OP请求消息，携带终端设备的标识信息和 eUICC的标识信息。

步骤 7q、 SM-SR根据终端设备的标识信息和 eUICC的标识信息判断出终端设备已解挂，向 eUICC返回第三 OP响应消息，携带解密密钥和恢复指示。

步骤 7r、 eUICC根据恢复指示，使用解密密钥解密出本地数据。

步骤 7s、 eUICC通过终端设备向 SM-SR返回解密数据确认消息。

如果在最长时限结束时，合法用户仍未找到终端设备，则本实施例的方法还包括要求用户进行结算完并将删除网络侧的签约数据的操作。如图 7所示，本实施例的方法还包括以下可选步骤：

步骤 7t、 M2M-SP设备检测到终端设备的挂失时间超过最大时限，通知该终端设备的合法用户完成结算，然后删除之前备份的计费信息。

步骤 7u、网络侧的 SM-DP、 MNO设备、 SM-SR删除该终端设备对应的签约数据。

由上述可见，本实施例提供的方法， M2M-SP设备在获知终端设备丟失后，一方面命令 MNO设备临时挂起该终端设备上的 eUICC对应的 OP来暂停签约，以禁止终端设备非法接入 MNO设备网络，另一方面在终端设备在解挂前尝试访问 MNO设备网络被拒绝时， SM-SR下发加密密钥到 eUICC引导 eUICC对本地数据进行加密操作，能够很好地保护用户的个人信息安全。另外，在合法用户要求解挂时，首先恢复网络侧的签约状态，再由 eUICC通过终端设备联系 SM-SR时， SM-SR下发解密密钥到 eUICC上，完成 eUICC上的数据的解密操作。

图 8为本发明一实施例提供的 MNO设备的结构示意图。如图 8所示，本实施例的 MNO设备包括：确定模块 81、设置模块 82和保密处理指示模块 83。

其中，确定模块 81 , 用于确定终端设备未被合法用户持有。

设置模块 82, 用于在确定模块 81确定终端设备未被合法用户持有后，设置终端设备上的 eUICC为不可用状态。

保密处理指示模块 83 ,用于在确定模块 81确定终端设备未被合法用户持有后，通过终端设备指示 eUICC对 eUICC上的数据进行保密处理。

在一可选实施方式中，如图 9所示，确定模块 81的一种实现结构包括：第一接收子模块 811和第一确定子模块 812。

第一接收子模块 811 ,用于接收终端设备上报的终端设备所在的地理位置信息。第一确定子模块 812, 与第一接收子模块 811连接，用于在第一接收子模块 811 接收到的地理位置信息不属于预设的终端设备的合法使用区域时，确定终端设备被盗。

可选的，第一确定子模块 812的一种实现结构包括：发送单元 8121、接收单元 8122和确定单元 8123。

发送单元 8121 , 与第一接收子模块 811连接，用于在确定出第一接收子模块 811 接收到的地理位置信息不属于预设的终端设备的合法使用区域后，向 M2M-SP设备发送设备被盗处理策略请求消息，所述设备被盗处理策略请求消息包括终端设备的标识信息、 eUICC的标识信息和地理位置信息。

接收单元 8122, 用于接收 M2M-SP设备发送的设备被盗处理策略响应消息，所述设备被盗处理策略响应消息是 M2M-SP设备根据终端设备的标识信息、 eUICC 的标识信息和地理位置信息判断出终端设备被盗后发送的，所述设备被盗处理策略响应消息包括被盗处理指示。可选的，接收单元 8122与发送单元 8121连接，用于在发送单元 8121发送设备被盗处理策略请求消息后，接收设备被盗处理策略响应消息。

确定单元 8123 , 与接收单元 8122连接，用于根据接收单元 8122接收到的被盗处理指示确定终端设备被盗。

基于上述终端设备被盗的情况，设置模块 82 具体用于将终端设备上的 eUICC的标识信息加入黑名单，以使该 eUICC处于不可用状态。

基于上述终端设备被盗的情况，保密处理指示模块 83具体用于通过终端设备指示 eUICC将 eUICC上的数据删除。

基于上述终端设备被盗的情况，保密处理指示模块 83具体可用于向终端设备发送第一寻呼消息，以使终端设备向 eUICC 发送停止签约命令，以使 eUICC根据停止签约命令对 eUICC上的数据进行保密处理，所述第一寻呼消息包括终端设备的标识信息和用于标识终端设备被盗的被盗指示，所述停止签约命令包括终端设备的标识信息和所述被盗指示。或者，保密处理指示模块 83具体可用于向终端设备发送第二寻呼消息，以使终端设备指示 eUICC向 SM-SR发送第一 OP请求消息并在接收到 SM-SR返回的第一 OP响应消息后对 eUICC上的数据进行保密处理，所述第二寻呼消息包括终端设备的标识信息，所述第一 OP请求消息包括终端设备的标识信息和 eUICC的标识信息，所述第一 OP响应消息是 SM-SR根据终端设备的标识信息和 eUICC的标识信息确定出终端设备被盗后发送的，所述第一 OP响应消息包括所述被盗指示。

基于上述，如图 9所示，本实施例的 MNO设备还包括：判断模块 84。判断模块 84, 与保密处理指示模块 83连接，用于在保密处理指示模块 83指示 eUICC对 eUICC上的数据进行保密处理之前，判断终端设备是否处于附着状态，并在判断除终端设备处于附着状态时，触发保密处理指示模块 83通过终端设备指示 eUICC对 eUICC上的数据进行保密处理。

进一步可选的，如图 9所示，本实施例的 MNO设备还包括：删除指示模块 85。删除指示模块 85 , 与判断模块 84连接，用于在判断模块 84判断出终端设备处于去附着状态时，向 SM-SR发送停止签约请求消息，以使 SM-SR 指示 SM-DP删除 eUICC对应的签约数据，所述停止签约请求消息包括 eUICC 的标识信息和用于标识终端设备被盗的被盗指示。

在一可选实施方式中，如图 9所示，确定模块 81的另一种实现结构包括：第二接收子模块 813和第二确定子模块 814。

第二接收子模块 813 , 用于接收 M2M-SP设备发送的暂停签约请求消息，所述暂停签约请求消息包括终端设备的标识信息、 eUICC 的标识信息和用于标识终端设备丟失的丟失指示，其中， M2M-SP设备根据终端设备的合法用户的挂失请求确定终端设备丟失。

第二确定子模块 814, 与第二接收子模块 813连接，用于根据第二接收子模块 813接收到的丟失指示，确定终端设备丟失。

基于上述终端设备丟失的情况，设置模块 82具体可用于将 eUICC对应的 OP挂起，以使 eUICC处于不可用状态。基于此，本实施例的 MNO设备还包括：暂停响应发送模块 86。

暂停响应发送模块 86,与设置模块 82连接，用于在设置模块 82将 eUICC 对应的 OP挂起后，向 M2M-SP设备发送暂停签约响应消息，所述暂停签约响应消息包括终端设备的标识信息和 eUICC的标识信息。

基于上述终端设备丟失的情况，如图 9所示，保密处理指示模块 83的一种实现结构包括：第三接收子模块 831和发送子模块 832。

第三接收子模块 831 , 用于接收终端设备发送的附着请求消息。

发送子模块 832, 与第三接收子模块 831 连接，用于在第三接收子模块 831接收到附着请求消息后，向终端设备返回拒绝附着响应消息，以使终端设备指示 eUICC向 SM-SR发送第二 OP请求消息并在接收到 SM-SR返回的第二 OP响应消息后对 eUICC上的数据进行加密处理，所述第二 OP请求消息包括终端设备的标识信息和 eUICC的标识信息，所述第二 OP响应消息是 SM-SR 根据终端设备的标识信息和 eUICC 的标识信息确定出终端设备丟失后发送的，所述第二 OP响应消息包括丟失指示和对 eUICC上的数据进行加密使用的加密密钥。

基于上述，如图 9所示，本实施例的 MNO设备还包括：恢复请求接收模块 87、解挂模块 88和恢复响应发送模块 89。

恢复请求接收模块 87, 用于接收 M2M-SP设备通过 SM-SR发送的恢复签约请求消息，所述恢复签约请求消息包括终端设备的标识信息、 eUICC 的标识信息和用于标识终端设备重新被合法用户持有的恢复指示。可选的，恢复请求接收模块 87与发送子模块 832连接。

解挂模块 88, 与恢复请求接收模块 87 连接，用于在恢复请求接收模块 87接收到恢复签约请求消息，将 eUICC对应的 OP解挂，以使 eUICC恢复为可用状态。

恢复响应发送模块 89,与解挂模块 88连接，用于在解挂模块 88将 eUICC 对应的 OP解挂后，通过 SM-SR向 M2M-SP设备发送恢复签约响应消息，所述恢复签约响应消息包括终端设备的标识信息和 eUICC的标识信息。

本实施例提供的 MNO设备的各功能模块可用于执行图 2所示数据保密方法中的相应流程，其具体工作原理不再赘述，详见方法实施例的描述。

本实施例的 MNO设备，在确定终端设备未被合法用户持有后，通过设置终端设备上的 eUICC为不可用状态，可以达到禁止终端设备非法接入 MNO 设备网络，并通过终端设备指示 eUICC对 eUICC上的数据进行保密处理，从而在终端设备被盗或丟失的情况下实现了对 eUICC上的数据的保护，能够很好地保护用户的个人信息安全。

图 10为本发明又一实施例提供的 MNO设备的结构示意图。如 10所示，本实施例的 MNO设备包括：处理器 1001、通信接口 1002、存储器 1003以及总线 1004。处理器 1001、通信接口 1002和存储器 1003通过总线 1004相互连接并通过完成相互间的通信。总线 1004可以是工业标准体系结构（ Industry Standard Architecture ,筒称为 ISA )总线、夕卜部设备互连( Peripheral Component, 筒称为 PCI ) 总线或扩展工业标准体系结构（Extended Industry Standard Architecture, 筒称为 EISA )总线等。总线 1004可以分为地址总线、数据总线、控制总线等。为便于表示，图 10中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线 1004。其中：

存储器 1003 , 用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。除了存放程序之外，存储器 1003还可存储通信接口 1002接收或发送的数据。

存储器 1003可能包含高速 RAM存储器，也可能还包括非易失性存储器 (英文为 non-volatile memory ), 例如至少一个磁盘存 4诸器。

处理器 1001用于执行存储器 1003存放的程序，以实现：确定终端设备未被合法用户持有，设置终端设备上的 eUICC为不可用状态。

通信接口 1002, 用于通过终端设备指示 eUICC对 eUICC上的数据进行保密处理。

可选的，通信接口 1002可以在处理器 1001的控制下，通过终端设备指示 eUICC对 eUICC上的数据进行保密处理。例如，处理器 1001通过其与通信接口 1002之间的总线，向通信接口 1002发送指令，通信接口 1002根据处理器 1001的指令，通过终端设备指示 eUICC对 eUICC上的数据进行保密处理。

处理器 1001 可能是一个中央处理器（Central Processing Unit, 筒称为 CPU ), 或者是特定集成电路（Application Specific Integrated Circuit, 筒称为

ASIC ), 或者是被配置成实施本发明实施例的一个或多个集成电路。

本实施例提供的 MNO设备可用于执行图 2所示数据保密方法中的相应流程，其具体工作原理不再赘述，详见方法实施例的描述。

图 11 为本发明一实施例提供的 eUICC设备的结构示意图。本实施例的 eUICC设备嵌在终端设备中，如图 11所示，本实施例的 eUICC设备包括：指示接收模块 1101和保密处理模块 1102。

指示接收模块 1101 , 用于接收指示消息，所述指示消息用于在终端设备未被合法用户持有时，指示嵌入终端设备的本实施例的 eUICC 设备对该 eUICC设备上的数据进行保密处理。

保密处理模块 1102, 与指示接收模块 1101连接，用于根据指示接收模块 1101接收到的指示消息，对本实施例的 eUICC设备上的数据进行保密处理。

在一可选实施方式中，指示接收模块 1101接收到的指示消息为停止签约命令。基于此，如图 12所示，指示接收模块 1101的一种实现结构包括：第一接收子模块 11011和第一发送子模块 11012。

第一接收子模块 11011 , 用于接收终端设备发送的停止签约命令，所述停止签约命令是终端设备在接收到 MNO设备发送的第一寻呼消息后生成并发送给本实施例的 eUICC设备的，所述第一寻呼消息是 MNO设备在根据终端设备上报的地理位置信息确定终端设备被盗后发送给终端设备的，所述第一寻呼消息包括终端设备的标识信息和用于标识终端设备被盗的被盗指示，所述停止签约命令包括终端设备的标识信息和被盗指示。

第一发送子模块 11012, 与第一接收子模块 11011连接，用于在第一接收子模块 11011接收到停止签约命令后，通过终端设备向 SM-SR发送停止签约响应，所述停止签约响应包括终端设备的标识信息、本实施例的 eUICC设备的标识信息和第一接收子模块 11011 接收到的被盗指示。第一发送子模块 11012还与保密处理模块 1102连接，用于向保密处理模块 1102提供被盗指示。

在一可选实施方式中，指示接收模块 1101接收到的指示消息为第一 OP 响应消息。基于此，如图 12所示，指示接收模块 1101的一种实现结构包括：第二发送子模块 11013和第二接收子模块 11014。

第二发送子模块 11013 ,用于根据终端设备在接收到第二寻呼消息后的指示，通过终端设备向 SM-SR发送第一 OP请求消息；所述第二寻呼消息是 MNO设备在根据终端设备上报的地理位置信息确定终端设备被盗后发送给终端设备的，所述第二寻呼消息包括终端设备的标识信息，第一 OP请求消息包括终端设备的标识信息和本实施例的 eUICC设备的标识信息。

第二接收子模块 11014, 与第二发送子模块 11013连接，用于在第二发送子模块 11013发送第一 OP请求消息之后，通过终端设备接收 SM-SR返回的第一 OP响应消息；所述第一 OP响应消息是 SM-SR根据终端设备的标识信息和本实施例的 eUICC设备的标识信息确定出终端设备被盗后发送的，所述第一 OP 响应消息包括用于标识终端设备被盗的被盗指示。第二接收子模块 11014与保密处理模块 1102连接，用于向保密处理模块 1102提供被盗指示。

基于上述指示接收模块 1101 的两种实现结构，保密处理模块 1102具体可用于根据所述被盗指示，删除本实施例的 eUICC设备上的数据。

在一可选实施方式中，指示接收模块 1101接收到的指示消息为第二 OP 响应消息。基于此，如图 12所示，指示接收模块 1101 的另一种实现结构包括：第三发送子模块 11015和第三接收子模块 11016。

第三发送子模块 11015 ,用于根据终端设备在接收到拒绝附着响应消息后的指示，通过终端设备向 SM-SR发送第二 OP请求消息；所述拒绝附着响应消息是 MNO设备在接收到终端设备发送的附着请求消息且确定出终端设备丟失后发送给终端设备的，所述第二 OP请求消息包括终端设备的标识信息和本实施例的 eUICC设备的标识信息。

第三接收子模块 11016, 与第三发送子模块 11015连接，用于在第三发送子模块 11015发送第二 OP请求消息后，通过终端设备接收 SM-SR返回的第二 OP响应消息；所述第二 OP响应消息是 SM-SR根据终端设备的标识信息和本实施例的 eUICC设备的标识信息确定出终端设备丟失后发送的，所述第二 OP 响应消息包括用于标识终端设备丟失的丟失指示和对本实施例的 eUICC设备上的数据进行加密使用的加密密钥。第三接收子模块 11016还与保密处理模块 1102连接。

基于终端设备丟失的情况，保密处理模块 1102具体可用于根据第三接收子模块 11016接收到的丟失指示，使用第三接收子模块 11016接收到的加密密钥对本实施例的 eUICC设备上的数据进行加密处理。

基于上述，如图 12所示，本实施例的 eUICC设备还包括：请求发送模块 1103、响应接收模块 1104、解密处理模块 1105和确认发送模块 1106。

请求发送模块 1103 ,用于通过终端设备向 SM-SR发送第三 OP请求消息，所述第三 OP请求消息包括终端设备的标识信息和本实施例的 eUICC设备的标识信息。可选的，请求发送模块 1103与保密处理模块 1102连接。

响应接收模块 1104,与请求发送模块 1103连接，用于在请求发送模块 1103 发送第三 OP请求消息之后，通过终端设备接收 SM-SR发送的第三 OP响应消息，所述第三 OP 响应消息是 SM-SR 根据接收到的 MNO设备发送给 M2M-SP设备的恢复签约响应消息确定终端设备重新被合法用户持有后，在接收到第三 OP请求消息后发送的，所述恢复签约响应消息是 MNO设备在接收到 M2M-SP设备发送的恢复签约请求消息后发送给 M2M-SP设备的，所述第三 OP 响应消息包括解密密钥和用于标识终端设备被合法用户持有的恢复指示。

解密处理模块 1105 , 与响应接收模块 1104连接，用于根据响应接收模块 1104接收到的恢复指示，使用响应接收模块 1104接收到的解密密钥对本实施例的 eUICC设备上的数据进行解密处理。

确认发送模块 1106,与解密处理模块 1105连接，用于在解密处理模块 1105 对本实施例的 eUICC设备上的数据进行解密处理后，通过终端设备向 SM-SR 发送数据恢复确认消息。

本实施例的 eUICC设备的各功能模块可用于执行图 3所示数据保密方法中的相应流程，其具体工作原理不再赘述，详见方法实施例的描述。本实施例提供的 eUICC设备，与网络侧设备 (例如 MNO设备、 SM-SR 和 /或 M2M-SP设备 )相配合，在终端设备未被合法用户持有后，根据接收到的指示信息对 _euiCC上的数据进行保密处理，从而在终端设备被盗或丟失的情况下实现了对 eUICC上的数据的保护，能够很好地保护用户的个人信息安全。

图 13为本发明又一实施例提供的 eUICC设备的结构示意图。本实施例的 eUICC设备嵌在终端设备中，如图 13所示，本实施例的 eUICC设备包括：通信接口 1301、处理器 1302、存储器 1303和总线 1304。通信接口 1301、处理器 1302和存储器 1303通过总线 1304相互连接并完成相互间的通信。总线 1304可以是 ISA总线、 PCI总线或 EISA总线等。总线 1304可以分为地址总线、数据总线、控制总线等。为便于表示，图 13中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线 1304。其中：

存储器 1303 , 用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。除了存放程序之外，存储器 1303还可存储通信接口 1301接收或发送的数据。

存储器 1303可能包含高速 RAM存储器，也可能还包括非易失性存储器 ( non-volatile memory ) , 例如至少一个磁盘存储器。

通信接口 1301用于接收指示消息，所述指示消息用于在终端设备未被合法用户持有时，指示嵌入终端设备的 eUICC设备对 eUICC设备上的数据进行保密处理

处理器 1302用于执行存储器 1303存放的程序，以实现：根据通信接口 1301接收到的指示消息，对本实施例的 eUICC上的数据进行保密处理。

处理器 1302可能是一个 CPU, 或者是特定 ASIC, 或者是被配置成实施本发明实施例的一个或多个集成电路。

本实施例提供的 eUICC设备可用于执行图 3所示数据保密方法中的相应流程，其具体工作原理不再赘述，详见方法实施例的描述。

本实施例提供的 eUICC设备，与网络侧设备 (例如 MNO设备、 SM-SR 和 /或 M2M-SP设备）相配合，在终端设备未被合法用户持有后，根据接收到的指示信息对 _euiCC上的数据进行保密处理，从而在终端设备被盗或丟失的情况下实现了对 eUICC上的数据的保护，能够很好地保护用户的个人信息安全。

图 14为本发明一实施例提供的 SM-SR设备的结构示意图。如图 14所示，本实施例的 SM-SR设备包括：确定模块 1401、第一请求接收模块 1402和第一响应发送模块 1403。

确定模块 1401 , 用于确定终端设备未被合法用户持有。

第一请求接收模块 1402, 与确定模块 1401连接，用于在确定模块 1401 确定终端被盗后，接收终端设备上的 eUICC通过终端设备发送的第一 OP请求消息，所述第一 OP请求消息是终端设备在接收到 MNO设备发送的拒绝附着响应消息后指示 eUICC发送的，所述第一 OP请求消息包括终端设备的标识信息和 eUICC的标识信息。

第一响应发送模块 1403 , 与第一请求接收模块 1402连接，用于在第一请求接收模块 1402接收到第一 OP请求消息后，通过终端设备向 eUICC返回第一 OP响应消息，以使 eUICC对 eUICC上的数据进行保密处理。

在一可选实施方式中，如图 15所示，确定模块 1401的一种实现结构包括：接收子模块 14011和第一确定子模块 14012。

接收子模块 14011 , 用于接收 MNO设备发送的停止签约请求消息，所述停止签约请求消息是 MNO设备在确定终端设备被盗且终端设备处于去附着状态后发送的，所述停止签约请求消息包括 eUICC的标识信息和被盗指示。

第一确定子模块 14012, 与接收子模块 14011连接，用于根据接收子模块 14011接收到的 eUICC的标识信息和被盗指示，确定终端设备被盗。第一请求接收模块 1402与第一确定子模块 14012连接。如图 15所示，在第一确定子模块 14012确定出终端设备被盗的情况下，本实施例的 SM-SR设备还可以包括：请求发送模块 14013 , 与接收子模块 14011 和第一响应发送模块 1403 连接，用于在第一响应发送模块 1403 向 eUICC返回第一 OP响应消息后或在接收子模块 14011接收到停止签约请求消息后，向 SM-DP发送删除签约数据请求消息，以指示 SM-DP删除 eUICC对应的签约数据。

在第一确定子模块 14012确定出终端设备被盗的情况下，第一 OP响应消息包括用于标识终端设备被盗的被盗指示，则第一响应发送模块 1403具体可用于通过终端设备向 eUICC返回第一 OP响应消息，以使 eUICC删除 eUICC 上的数据。可选的，第一响应发送模块 1403 具体也可用于通过终端设备向 eUICC返回第一 OP响应消息，以使 eUICC对 eUICC上的数据进行加密处理。在一可选实施方式中，如图 15所示，确定模块 1401 包括：接收转发子模块 16011和第二确定子模块 16012。

接收转发子模块 16011 , 用于接收 M2M-SP设备发送的暂停签约请求消息，将暂停签约请求消息转发给 MNO设备，以使 MNO设备确定终端设备丟失；所述暂停签约请求消息包括终端设备的标识信息、 eUICC 的标识信息和丟失指示。

第二确定子模块 16012, 与接收转发子模块 16011连接，用于根据接收转发子模块 16011接收到的丟失指示，确定终端设备丟失。第二确定子模块 16012 与第一请求接收模块 1402连接。

在第二确定子模块 16012确定除终端设备丟失的情况下，第一 OP响应消息包括用于标识终端设备丟失的丟失指示和对 eUICC上的数据进行加密使用的加密密钥，则第一响应发送模块 1403具体可用于通过终端设备向 eUICC返回第一 OP响应消息，以使 eUICC对 eUICC上的数据进行加密处理。

在第二确定子模块 16012确定除终端设备丟失的情况下，在一可选实施方式中，如图 15所示，本实施例的 SM-SR还包括：暂停响应接收模块 1604 和暂停响应转发模块 1605。

暂停响应接收模块 1604, 与接收转发子模块 16011连接，用于在接收转发子模块 16011转发暂停签约请求消息后，接收 MNO设备发送的暂停签约响应消息，所述暂停签约响应消息包括终端设备的标识信息和 eUICC的标识信息。

暂停响应转发模块 1605 , 与暂停响应接收模块 1604连接，用于将暂停响应接收模块 1604接收到的暂停签约响应消息转发给 M2M-SP设备。

在第二确定子模块 16012确定除终端设备丟失的情况下，在一可选实施方式中，如图 15所示，本实施例的 SM-SR还包括：第二请求接收模块 1606、第二响应发送模块 1607和确定接收模块 1608。

第二请求接收模块 1606, 用于接收 eUICC通过终端设备发送的第二 OP 请求消息，所述第二 OP请求消息包括终端设备的标识信息和 eUICC的标识信息。可选的，第二请求接收模块 1606与第一响应发送模块 1403连接，用于在第一响应发送模块 1403向 eUICC返回第一 OP响应消息，以使 eUICC 对 eUICC上的数据进行加密处理之后，接收 eUICC通过终端设备发送的第二 OP请求消息。

第二响应发送模块 1607, 与第二请求接收模块 1606连接，用于在第二请求接收模块 1606接收到第二 OP请求消息后，通过终端设备向 eUICC发送第二 OP 响应消息，所述第二 OP 响应消息是根据接收到 MNO设备发送给 M2M-SP设备的恢复签约响应消息确定终端设备重新被合法用户持有后，在接收到第二 OP请求消息后发送的，所述恢复签约响应消息是 MNO设备在接收到 M2M-SP设备发送的恢复签约请求消息后发送给 M2M-SP设备的，所述第二 OP 响应消息包括解密密钥和用于标识终端设备重新被所述合法用户持有的恢复指示，以使 eUICC根据恢复指示，使用解密密钥对 eUICC上的数据进行解密处理。

确认接收模块 1608 , 与第二响应发送模块 1607连接，用于在第二响应发送模块 1607发送第二 OP响应消息后，接收 eUICC通过终端设备发送的数据恢复确认消息。

本实施例的 SM-SR设备的各功能模块或子模块可用于执行图 4所示数据保密方法中的相应流程，其具体工作原理不再赘述，详见方法实施例的描述。

本实施例的 SM-SR设备，在终端设备被盗或丟失等未被合法用户持有的情况下，针对 eUICC发送的 OP请求返回 OP响应并在 OP响应中携带标识终端设备被盗或丟失的指示，使得 eUICC可以根据该指示对 eUICC上的数据进行保密处理，从而在终端设备被盗或丟失等情况下实现了对 eUICC上的数据的保护，能够很好地保护用户的个人信息安全。

图 16为本发明又一实施例提供的 SM-SR设备的接收示意图。如图 18所示，本实施例的 SM-SR设备包括：处理器 1801、通信接口 1802、存储器 1803 和总线 1804。处理器 1801、通信接口 1802和存储器 1803通过总线 1804相互连接并完成相互间的通信。总线 1804可以是 ISA总线、 PCI总线或 EISA 总线等。总线 1804可以分为地址总线、数据总线、控制总线等。为便于表示，图 16中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线 1804。其中：

存储器 1803 , 用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。除了存放程序之外，存储器 1803还可存储通信接口 1802接收或发送的数据。

存储器 1803可能包含高速 RAM存储器，也可能还包括非易失性存储器 (英文为 non-volatile memory ), 例如至少一个磁盘存 4诸器。

处理器 1801用于执行存储器 1803存放的程序，以确定终端设备未被合法用户持有。处理器 1801可能是一个 CPU, 或者是特定 ASIC, 或者是被配置成实施本发明实施例的一个或多个集成电路。

通信接口 1802,用于在处理器 1801确定终端设备未被合法用户持有之后，接收终端设备上的 eUICC通过终端设备发送的第一 OP请求消息，所述第一 OP请求消息是终端设备在接收到 MNO设备发送的拒绝附着响应消息后指示 eUICC发送的，所述第一 OP请求消息包括终端设备的标识信息和 eUICC的标识信息；通信接口 1802还用于通过终端设备向 eUICC返回第一 OP响应消息，以使 eUICC对 eUICC上的数据进行保密处理。

可选的，在处理器 1801确定终端设备被盗的情况下，第一 OP响应消息包括用于标识终端设备被盗的被盗指示。

可选的，在处理器 1801确定终端设备丟失的情况下，第一 OP响应消息包括用于标识终端设备丟失的丟失指示和对 eUICC上的数据进行加密使用的加密密钥。

本发明一实施例提供一种基于 eUICC的数据保密系统，包括：图 8或图 9或图 10所示实施例提供的 MNO设备、图 11或图 12或图 13所示实施例提供的 eUICC设备和图 14或图 15或图 16所示实施例提供的 SM-SR设备。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

权利要求书

1、一种基于嵌入式通用集成电路卡 eUICC的数据保密方法，其特征在于，包括：

确定终端设备未被合法用户持有；

设置所述终端设备上的 eUICC为不可用状态；

2、根据权利要求 1所述的方法，其特征在于，所述确定终端设备未被合法用户持有包括：

在所述地理位置信息不属于预设的所述终端设备的合法使用区域时，确定所述终端设备被盗。

3、根据权利要求 2所述的方法，其特征在于，所述在所述地理位置信息不属于预设的所述终端设备的合法使用区域时，确定所述终端设备被盗包括：在确定出所述地理位置信息不属于预设的所述终端设备的合法使用区域后，向机器间通信服务提供商 M2M-SP设备发送设备被盗处理策略请求消息，所述设备被盗处理策略请求消息包括所述终端设备的标识信息、所述 eUICC的标识信息和所述地理位置信息；接收所述 M2M-SP设备发送的设备被盗处理策略响应消息，所述设备被盗处理策略响应消息是所述 M2M-SP设备根据所述终端设备的标识信息、所述 eUICC的标识信息和所述地理位置信息判断出所述终端设备被盗后发送的，所述设备被盗处理策略响应消息包括被盗处理指示；根据所述被盗处理指示确定所述终端设备被盗。

4、根据权利要求 2或 3所述的方法，其特征在于，所述设置所述终端设备上的 eUICC为不可用状态包括：将所述 eUICC的标识信息加入黑名单，以使所述 eUICC处于不可用状态。

5、根据权利要求 2或 3或 4所述的方法，其特征在于，所述通过所述终端设备指示所述 eUICC对所述 eUICC上的数据进行保密处理包括：通过所述终端设备指示所述 eUICC将所述 eUICC上的数据删除。

6、根据权利要求 2-5任一项所述的方法，其特征在于，所述通过所述终端设备指示所述 eUICC对所述 eUICC上的数据进行保密处理包括：向所述终端设备发送第一寻呼消息，以使所述终端设备向所述 eUICC发送进行保密处理，所述第一寻呼消息包括所述终端设备的标识信息和用于标识所述终端设备被盗的被盗指示，所述停止签约命令包括所述终端设备的标识信息和所述被盗指示；或者向所述终端设备发送第二寻呼消息，以使所述终端设备指示所述 eUICC向签约管理单元-安全路由 SM-SR发送第一执行文件 OP请求消息并在接收到所述 SM-SR返回的第一 OP响应消息后对所述 eUICC上的数据进行保密处理，所述第二寻呼消息包括所述终端设备的标识信息，所述第一 OP请求消息包括所述终端设备的标识信息和所述 eUICC的标识信息，所述第一 OP响应消息是所述 SM-SR根据所述终端设备的标识信息和所述 eUICC的标识信息确定出所述终端设备被盗后发送的，所述第一 OP响应消息包括所述被盗指示。

7、根据权利要求 2-5任一项所述的方法，其特征在于，所述通过所述终端设备指示所述 eUICC对所述 eUICC上的数据进行保密处理之前包括：判断所述终端设备是否处于附着状态；如果判断出所述终端设备处于附着状态，通过所述终端设备指示所述 eUICC对所述 eUICC上的数据进行保密处理。

8、根据权利要求 7所述的方法，其特征在于，还包括：如果判断出所述终端设备处于去附着状态，向签约管理单元-安全路由 SM-SR发送停止签约请求消息，以使所述 SM-SR指示签约管理单元-数据准备 SM-DP删除所述 eUICC对应的签约数据，所述停止签约请求消息包括所述 eUICC的标识信息和用于标识所述终端设备被盗的被盗指示。

9、根据权利要求 1所述的方法，其特征在于，所述确定终端设备未被合法用户持有包括：

接收机器间通信服务提供商 M2M-SP设备发送的暂停签约请求消息，所述暂停签约请求消息包括所述终端设备的标识信息、所述 eUICC的标识信息和用于标识所述终端设备丟失的丟失指示，其中，所述 M2M-SP设备根据所述合法用户的挂失请求确定所述终端设备丟失；根据所述丟失指示，确定所述终端设备丟失。

10、根据权利要求 9所述的方法，其特征在于，所述设置所述终端设备上的 eUICC为不可用状态包括：将所述 eUICC对应的执行文件 OP挂起以使所述 eUICC处于不可用状态向所述 M2M-SP设备发送暂停签约响应消息，所述暂停签约响应消息包括所述终端设备的标识信息和所述 eUICC的标识信息。

11、根据权利要求 9或 10所述的方法，其特征在于，所述通过所述终端设备指示所述 eUICC对所述 eUICC上的数据进行保密处理包括：接收所述终端设备发送的附着请求消息；

向所述终端设备返回拒绝附着响应消息，以使所述终端设备指示所述 eUICC向签约管理单元-安全路由 SM-SR发送第二 OP请求消息并在接收到所述 SM-SR返回的第二 OP响应消息后对所述 eUICC上的数据进行加密处理，所述第二 OP请求消息包括所述终端设备的标识信息和所述 eUICC的标识信息，所述第二 OP响应消息是所述 SM-SR根据所述终端设备的标识信息和所述 eUICC 的标识信息确定出所述终端设备丟失后发送的，所述第二 OP响应消息包括所述丟失指示和对所述 eUICC上的数据进行加密使用的加密密钥。

12、根据权利要求 10或 11所述的方法，其特征在于，还包括：接收所述 M2M-SP设备通过所述 SM-SR发送的恢复签约请求消息，所述恢复签约请求消息包括所述终端设备的标识信息、所述 eUICC的标识信息和用于标识所述终端设备重新被所述合法用户持有的恢复指示；将所述 eUICC对应的 OP解挂，以使所述 eUICC恢复为可用状态；通过所述 SM-SR向所述 M2M-SP设备发送恢复签约响应消息，所述恢复签约响应消息包括所述终端设备的标识信息和所述 eUICC的标识信息。

13、一种基于嵌入式通用集成电路卡 eUICC的数据保密方法，其特征在于，包括：

终端设备上的 eUICC接收指示消息，所述指示消息用于在所述终端设备未被合法用户持有时，指示所述 eUICC对所述 eUICC上的数据进行保密处理；所述 eUICC根据所述指示消息，对所述 eUICC上的数据进行保密处理。

14、根据权利要求 13所述的方法，其特征在于，所述指示消息为停止签约命令；

所述终端设备上的 eUICC接收指示消息包括：所述 eUICC接收所述终端设备发送的所述停止签约命令，所述停止签约命令是所述终端设备在接收到移动网络运营商 MNO设备发送的第一寻呼消息后生成并发送给所述 eUICC的，所述第一寻呼消息是所述 MNO设备在根据所述终端设备上报的地理位置信息确定所述终端设备被盗后发送给所述终端设备的，所述第一寻呼消息包括所述终端设备的标识信息和用于标识所述终端设备被盗的被盗指示，所述停止签约命令包括所述终端设备的标识信息和所述被盗指示；

所述 eUICC通过所述终端设备向签约管理单元-安全路由 SM-SR发送停止签约响应，所述停止签约响应包括所述终端设备的标识信息、所述 eUICC的标识信息和所述被盗指示。

15、根据权利要求 13所述的方法，其特征在于，所述指示消息为第一执行文件 OP响应消息；

所述终端设备上的 eUICC接收指示消息包括：

所述 eUICC通过所述终端设备接收所述 SM-SR返回的第一 OP响应消息；所述第一 OP响应消息是所述 SM-SR根据所述终端设备的标识信息和所述 eUICC的标识信息确定出所述终端设备被盗后发送的，所述第一 OP响应消息包括用于标识所述终端设备被盗的被盗指示。

16、根据权利要求 14或 15所述的方法，其特征在于，所述 eUICC根据所述指示消息，对所述 eUICC上的数据进行保密处理包括：

所述 eUICC根据所述被盗指示，删除所述 eUICC上的数据。

17、根据权利要求 13所述的方法，其特征在于，所述指示消息为第二执行文件 OP响应消息；

所述终端设备上的 eUICC接收指示消息包括：

所述 eUICC根据所述终端设备在接收到拒绝附着响应消息后的指示，通过所述终端设备向签约管理单元-安全路由 SM-SR发送第二 OP请求消息；所述拒绝附着响应消息是移动网络运营商 MNO设备在接收到所述终端设备发送的附请求消息包括所述终端设备的标识信息和所述 eUICC的标识信息；

所述 eUICC通过所述终端设备接收所述 SM-SR返回的第二 OP响应消息；所述第二 OP响应消息是所述 SM-SR根据所述终端设备的标识信息和所述 eUICC的标识信息确定出所述终端设备丟失后发送的，所述第二 OP响应消息包括用于标识所述终端设备丟失的丟失指示和对所述 eUICC上的数据进行加密使用的加密密钥。

18、根据权利要求 17所述的方法，其特征在于，所述 eUICC根据所述指示消息，对所述 eUICC上的数据进行保密处理包括：所述 eUICC根据所述丟失指示，使用所述加密密钥对所述 eUICC上的数据进行加密处理。

19、根据权利要求 18所述的方法，其特征在于，还包括：所述 eUICC通过所述终端设备向所述 SM-SR发送第三 OP请求消息，所述第三 OP请求消息包括所述终端设备的标识信息和所述 eUICC的标识信息；所述 eUICC通过所述终端设备接收所述 SM-SR发送的第三 OP响应消息，所述第三 OP响应消息是所述 SM-SR根据接收到的所述 MNO设备发送给机器间通信服务提供商 M2M-SP设备的恢复签约响应消息确定所述终端设备重新被所述合法用户持有后，在接收到所述第三 OP请求消息后发送的，所述恢复签约响应消息是所述 MNO设备在接收到所述 M2M-SP设备发送的恢复签约请求消息后发送给所述 M2M-SP设备的，所述第三 OP响应消息包括解密密钥和用于标识所述终端设备被所述合法用户持有的恢复指示；所述 eUICC根据所述恢复指示，使用所述解密密钥对所述 eUICC上的数据进行解密处理；所述 eUICC通过所述终端设备向所述 SM-SR发送数据恢复确认消息。

20、一种基于嵌入式通用集成电路卡 eUICC的数据保密方法，其特征在于，包括：

确定终端设备未被合法用户持有；接收所述终端设备上的 eUICC通过所述终端设备发送的第一 OP请求消息，所述第一 OP请求消息是所述终端设备在接收到移动网络运营商 MNO设备发送的拒绝附着响应消息后指示所述 eUICC发送的，所述第一 OP请求消息包括所述终端设备的标识信息和所述 eUICC的标识信息；

21、根据权利要求 20所述的方法，其特征在于，所述确定终端设备未被合法用户持有包括：

接收所述 MNO设备发送的停止签约请求消息，所述停止签约请求消息是所述 MNO设备在确定所述终端设备被盗且所述终端设备处于去附着状态后发送的，所述停止签约请求消息包括所述 eUICC的标识信息和所述被盗指示；

根据所述 eUICC的标识信息和所述被盗指示，确定所述终端设备被盗。

22、根据权利要求 20或 21所述的方法，其特征在于，还包括：在向所述 eUICC返回所述第一 OP响应消息之后，或者在接收到所述停止签约请求消息之后，向签约管理单元-数据准备 SM-DP发送删除签约数据请求消息，以指示所述 SM-DP删除所述 eUICC对应的签约数据。

23、根据权利要求 21或 22所述的方法，其特征在于，所述第一 OP响应消息包括用于标识所述终端设备被盗的被盗指示；所述通过所述终端设备向所述 eUICC返回第一 OP响应消息，以使所述 eUICC对所述 eUICC上的数据进行保密处理包括：通过所述终端设备向所述 eUICC返回所述第一 OP响应消息，以使所述 eUICC删除所述 eUICC上的数据。

24、根据权利要求 20所述的方法，其特征在于，所述确定终端设备未被合法用户持有包括：

接收机器间通信服务提供商 M2M-SP设备发送的暂停签约请求消息，将所述暂停签约请求消息转发给所述 MNO设备，以使所述 MNO设备确定所述终端设备丟失；所述暂停签约请求消息包括所述终端设备的标识信息、所述 eUICC 的标识信息和所述丟失指示；根据所述丟失指示，确定所述终端设备丟失。

25、根据权利要求 24所述的方法，其特征在于，所述第一 OP响应消息包括用于标识所述终端设备丟失的丟失指示和对所述 eUICC上的数据进行加密使用的加密密钥；所述通过所述终端设备向所述 eUICC返回第一 OP响应消息，以使所述 eUICC对所述 eUICC上的数据进行保密处理包括：

26、根据权利要求 24或 25所述的方法，其特征在于，所述接收机器间通信服务提供商 M2M-SP设备发送的暂停签约请求消息，将所述暂停签约请求消息转发给所述 MNO设备以使所述 MNO设备确定所述终端设备丟失之后包括接收所述 MNO设备发送的暂停签约响应消息，并将所述暂停签约响应消息转发给所述 M2M-SP设备，所述暂停签约响应消息包括所述终端设备的标识信息和所述 eUICC的标识信息。

27、根据权利要求 25或 26所述的方法，其特征在于，还包括：接收所述 eUICC通过所述终端设备发送的第二 OP请求消息，所述第二 OP 请求消息包括所述终端设备的标识信息和所述 eUICC的标识信息；

通过所述终端设备向所述 eUICC发送第二 OP响应消息所述第二 OP响应消息是根据接收到所述 MNO设备发送给机器间通信服务提供商 M2M-SP设备的恢复签约响应消息确定所述终端设备重新被合法用户持有后，在接收到所述第二 OP请求消息后发送的，所述恢复签约响应消息是所述 MNO设备在接收到所述 M2M-SP设备发送的恢复签约请求消息后发送给所述 M2M-SP设备的，所述第二 OP响应消息包括解密密钥和用于标识所述终端设备重新被所述合法用户持有的恢复指示，以使所述 eUICC根据所述恢复指示，使用所述解密密钥对所述 eUICC上的数据进行解密处理；接收所述 eUICC通过所述终端设备发送的数据恢复确认消息。

28、一种移动网络运营商 MNO设备，其特征在于，包括：确定模块，用于确定终端设备未被合法用户持有；

保密处理指示模块，用于通过所述终端设备指示所述 eUICC对所述 eUICC 上的数据进行保密处理。

29、根据权利要求 28所述的 MNO设备，其特征在于，所述确定模块包括：

位置信息；第一确定子模块，用于在所述第一接收子模块接收到的所述地理位置信息不属于预设的所述终端设备的合法使用区域时，确定所述终端设备被盗。

30、根据权利要求 29所述的 MNO设备，其特征在于，所述第一确定子模块包括：发送单元，用于在确定出所述地理位置信息不属于预设的所述终端设备的合法使用区域后，向机器间通信服务提供商 M2M-SP设备发送设备被盗处理策略请求消息，所述设备被盗处理策略请求消息包括所述终端设备的标识信息、所述 eUICC的标识信息和所述地理位置信息；接收单元，用于接收所述 M2M-SP设备发送的设备被盗处理策略响应消息，所述设备被盗处理策略响应消息是所述 M2M-SP设备根据所述终端设备的标识信息、所述 eUICC的标识信息和所述地理位置信息判断出所述终端设备被盗后发送的，所述设备被盗处理策略响应消息包括被盗处理指示；确定单元，用于根据所述被盗处理指示确定所述终端设备被盗。

31、根据权利要求 29或 30所述的 MNO设备，其特征在于，所述设置模块具体用于将所述 eUICC的标识信息加入黑名单，以使所述 eUICC处于不可用状态。

32、根据权利要求 29或 30或 31所述的 MNO设备，其特征在于，所述保密处理指示模块具体用于通过所述终端设备指示所述 eUICC将所述 eUICC上的数据删除。

33、根据权利要求 29-32任一项所述的 MNO设备，其特征在于，所述保密处理指示模块具体用于向所述终端设备发送第一寻呼消息，以使所述终端设备向所述 eUICC发送停止签约命令，以使所述 eUICC根据所述停止签约命令对所述 eUICC上的数据进行保密处理，所述第一寻呼消息包括所述终端设备的标识信息和用于标识所述终端设备被盗的被盗指示，所述停止签约命令包括所述终端设备的标识信息和所述被盗指示；或者所述保密处理指示模块具体用于向所述终端设备发送第二寻呼消息，以使所述终端设备指示所述 eUICC向签约管理单元-安全路由 SM-SR发送第一执行文件 OP请求消息并在接收到所述 SM-SR返回的第一 OP响应消息后对所述 eUICC上的数据进行保密处理，所述第二寻呼消息包括所述终端设备的标识信息，所述第一 OP请求消息包括所述终端设备的标识信息和所述 eUICC的标识信息，所述第一 OP响应消息是所述 SM-SR根据所述终端设备的标识信息和所述 eUICC的标识信息确定出所述终端设备被盗后发送的，所述第一 OP响应消息包括所述被盗指示。

34、根据权利要求 29-32任一项所述的 MNO设备，其特征在于，还包括：判断模块，用于在所述保密处理指示模块指示所述 eUICC对所述 eUICC上的数据进行保密处理之前，判断所述终端设备是否处于附着状态，并在判断出所述终端设备处于附着状态时，触发所述保密处理指示模块通过所述终端设备指示所述 eUICC对所述 eUICC上的数据进行保密处理。

35、根据权利要求 34所述的 MNO设备，其特征在于，还包括：删除指示模块，用于在所述判断模块判断出所述终端设备处于去附着状态时，向签约管理单元-安全路由 SM-SR发送停止签约请求消息，以使所述 SM-SR 指示签约管理单元-数据准备 SM-DP删除所述 eUICC对应的签约数据，所述停止签约请求消息包括所述 eUICC的标识信息和用于标识所述终端设备被盗的被盗指示。

36、根据权利要求 28所述的 MNO设备，其特征在于，所述确定模块包括：第二接收子模块，用于接收机器间通信服务提供商 M2M-SP设备发送的暂停签约请求消息，所述暂停签约请求消息包括所述终端设备的标识信息、所述 eUICC的标识信息和用于标识所述终端设备丟失的丟失指示，其中，所述 M2M-SP设备根据所述合法用户的挂失请求确定所述终端设备丟失；第二确定子模块，用于根据所述丟失指示，确定所述终端设备丟失。

37、根据权利要求 36所述的 MNO设备，其特征在于，所述设置模块具体用于将所述 eUICC对应的执行文件 OP挂起以使所述 eUICC处于不可用状态所述 MNO设备还包括：

暂停响应发送模 ¾用于在所述设置模块将所述 eUICC对应的执行文件 OP 挂起后，向所述 M2M-SP设备发送暂停签约响应消息，所述暂停签约响应消息包括所述终端设备的标识信息和所述 eUICC的标识信息。

38、根据权利要求 36或 37所述的 MNO设备，其特征在于，所述保密处理指示模块包括：

第三接收子模块，用于接收所述终端设备发送的附着请求消息；发送子模块，用于向所述终端设备返回拒绝附着响应消息，以使所述终端设备指示所述 eUICC向签约管理单元-安全路由 SM-SR发送第二 OP请求消息并在接收到所述 SM-SR返回的第二 OP响应消息后对所述 eUICC上的数据进行加密处理，所述第二 OP请求消息包括所述终端设备的标识信息和所述 eUICC 的标识信息，所述第二 OP响应消息是所述 SM-SR根据所述终端设备的标识信息和所述 eUICC的标识信息确定出所述终端设备丟失后发送的，所述第二 OP 响应消息包括所述丟失指示和对所述 eUICC上的数据进行加密使用的加密密钥。

39、根据权利要求 37或 38所述的 MNO设备，其特征在于，还包括：恢复请求接收模块，用于接收所述 M2M-SP设备通过所述 SM-SR发送的恢复签约请求消息，所述恢复签约请求消息包括所述终端设备的标识信息、所述 eUICC的标识信息和用于标识所述终端设备重新被所述合法用户持有的恢复指示；

解挂模块，用于将所述 eUICC对应的 OP解挂，以使所述 eUICC恢复为可用状态；恢复响应发送模块，用于通过所述 SM-SR向所述 M2M-SP设备发送恢复签约响应消息，所述恢复签约响应消息包括所述终端设备的标识信息和所述 eUICC的标识信息。

40、一种嵌入式通用集成电路卡 eUICC设备，其特征在于，嵌在终端设备中，所述 eUICC设备包括：指示接收模块，用于接收指示消息，所述指示消息用于在所述终端设备未被合法用户持有时，指示所述 eUICC设备对所述 eUICC设备上的数据进行保密处理；保密处理模块，用于根据所述指示消息，对所述 eUICC设备上的数据进行保密处理。

41、根据权利要求 40所述的 eUICC设备，其特征在于，所述指示消息为停止签约命令；所述指示接收模块包括：第一接收子模块，用于接收所述终端设备发送的所述停止签约命令，所述停止签约命令是所述终端设备在接收到移动网络运营商 MNO设备发送的第一寻呼消息后生成并发送给所述 eUICC设备的，所述第一寻呼消息是所述 MNO 设备在根据所述终端设备上报的地理位置信息确定所述终端设备被盗后发送给所述终端设备的，所述第一寻呼消息包括所述终端设备的标识信息和用于标识所述终端设备被盗的被盗指示，所述停止签约命令包括所述终端设备的标识信息和所述被盗指示；第一发送子模块，用于通过所述终端设备向签约管理单元-安全路由 SM-SR 发送停止签约响应，所述停止签约响应包括所述终端设备的标识信息、所述 eUICC设备的标识信息和所述被盗指示。

42、根据权利要求 40所述的 eUICC设备，其特征在于，所述指示消息为第一执行文件 OP响应消息；所述指示接收模块包括：第二发送子模块，用于根据所述终端设备在接收到第二寻呼消息后的指示，通过所述终端设备向签约管理单元-安全路由 SM-SR发送第一 OP请求消息；所述第二寻呼消息是移动网络运营商 MNO设备在根据所述终端设备上报的地理位置信息确定所述终端设备被盗后发送给所述终端设备的，所述第二寻呼消息包括所述终端设备的标识信息，所述第一 OP请求消息包括所述终端设备的标识信息和所述 eUICC设备的标识信息；

第二接收子模块，用于通过所述终端设备接收所述 SM-SR返回的第一 OP 响应消息；所述第一 OP响应消息是所述 SM-SR根据所述终端设备的标识信息和所述 eUICC的标识信息确定出所述终端设备被盗后发送的，所述第一 OP响应消息包括用于标识所述终端设备被盗的被盗指示。

43、根据权利要求 41或 42所述的 eUICC设备，其特征在于，所述保密处理模块具体用于根据所述被盗指示，删除所述 eUICC设备上的数据。

44、根据权利要求 40所述的 eUICC设备，其特征在于，所述指示消息为第二执行文件 OP响应消息；所述指示接收模块包括：

第三发送子模块，用于根据所述终端设备在接收到拒绝附着响应消息后的指示，通过所述终端设备向签约管理单元-安全路由 SM-SR发送第二 OP请求消息；所述拒绝附着响应消息是移动网络运营商 MNO设备在接收到所述终端设备述第二 OP请求消息包括所述终端设备的标识信息和所述 eUICC设备的标识信息；

第三接收子模块，用于通过所述终端设备接收所述 SM-SR返回的第二 OP 响应消息；所述第二 OP响应消息是所述 SM-SR根据所述终端设备的标识信息和所述 eUICC设备的标识信息确定出所述终端设备丟失后发送的，所述第二 OP 响应消息包括用于标识所述终端设备丟失的丟失指示和对所述 eUICC设备上的数据进行加密使用的加密密钥。

45、根据权利要求 44所述的 eUICC设备，其特征在于，所述保密处理模块具体用于根据所述丟失指示，使用所述加密密钥对所述 eUICC设备上的数据进行加密处理。

46、根据权利要求 45所述的 eUICC设备，其特征在于，还包括：请求发送模块，用于通过所述终端设备向所述 SM-SR发送第三 OP请求消息，所述第三 OP请求消息包括所述终端设备的标识信息和所述 eUICC设备的标识信息；响应接收模块，用于通过所述终端设备接收所述 SM-SR发送的第三 OP响应消息，所述第三 OP响应消息是所述 SM-SR根据接收到的所述 MNO设备发送给机器间通信服务提供商 M2M-SP设备的恢复签约响应消息确定所述终端设备重新被所述合法用户持有后，在接收到所述第三 OP请求消息后发送的，所述恢复签约响应消息是所述 MNO设备在接收到所述 M2M-SP设备发送的恢复签约请求消息后发送给所述 M2M-SP设备的，所述第三 OP响应消息包括解密密钥和用于标识所述终端设备被所述合法用户持有的恢复指示；

解密处理模块，用于根据所述恢复指示，使用所述解密密钥对所述 eUICC 设备上的数据进行解密处理；

息。

47、一种签约管理单元-安全路由 SM-SR设备，其特征在于，包括：确定模块，用于确定终端设备未被合法用户持有；第一请求接收模块，用于接收所述终端设备上的 eUICC通过所述终端设备发送的第一 OP请求消息，所述第一 OP请求消息是所述终端设备在接收到移动网络运营商 MNO设备发送的拒绝附着响应消息后指示所述 eUICC发送的，所述第一 OP请求消息包括所述终端设备的标识信息和所述 eUICC的标识信息；第一响应发送模块，用于通过所述终端设备向所述 eUICC返回第一 OP响应消息，以使所述 eUICC对所述 eUICC上的数据进行保密处理。

48、根据权利要求 47所述的 SM-SR设备，其特征在于，所述确定模块包括：接收子模块，用于接收所述 MNO设备发送的停止签约请求消息，所述停止签约请求消息是所述 MNO设备在确定所述终端设备被盗且所述终端设备处于去附着状态后发送的，所述停止签约请求消息包括所述 eUICC的标识信息和所述被盗指示；第一确定子模块，用于根据所述 eUICC的标识信息和所述被盗指示，确定所述终端设备被盗。

49、根据权利要求 47或 48所述的 SM-SR设备，其特征在于，还包括：请求发送模块，用于在所述第一响应发送模块向所述 eUICC返回所述第一 OP响应消息后或在所述接收子模块接收到所述停止签约请求消息后，向签约管理单元-数据准备 SM-DP发送删除签约数据请求消息，以指示所述 SM-DP删除所述 eUICC对应的签约数据。

50、根据权利要求 48或 49所述的 SM-SR设备，其特征在于，所述第一 OP响应消息包括用于标识所述终端设备被盗的被盗指示；

第一 OP响应消息，以使所述 eUICC删除所述 eUICC上的数据。

51、根据权利要求 47所述的 SM-SR设备，其特征在于，所述确定模块包括：

接收转发子模块，用于接收机器间通信服务提供商 M2M-SP设备发送的暂停签约请求消息，将所述暂停签约请求消息转发给所述 MNO设备，以使所述 MNO设备确定所述终端设备丟失；所述暂停签约请求消息包括所述终端设备的标识信息、所述 eUICC的标识信息和所述丟失指示；第二确定子模块，用于根据所述丟失指示，确定所述终端设备丟失。

52、根据权利要求 51所述的 SM-SR设备，其特征在于，所述第一 OP响应消息包括用于标识所述终端设备丟失的丟失指示和对所述 eUICC上的数据进行加密使用的加密密钥；

第一 OP响应消息，以使所述 eUICC对所述 eUICC上的数据进行加密处理。

53、根据权利要求 51或 52所述的 SM-SR设备，其特征在于，还包括：暂停响应接收模块，用于接收所述 MNO设备发送的暂停签约响应消息，所述暂停签约响应消息包括所述终端设备的标识信息和所述 eUICC的标识信息；暂停响应转发模块，用于将所述暂停签约响应消息转发给所述 M2M-SP设备。

54、根据权利要求 51或 52或 53所述的 SM-SR设备，其特征在于，还包括：

第二请求接收模 ¾用于接收所述 eUICC通过所述终端设备发送的第二 OP 请求消息，所述第二 OP请求消息包括所述终端设备的标识信息和所述 eUICC 的标识信息；

第二响应发送模块，用于通过所述终端设备向所述 eUICC发送第二 OP响应消息，所述第二 OP响应消息是根据接收到所述 MNO设备发送给机器间通信服务提供商 M2M-SP设备的恢复签约响应消息确定所述终端设备重新被合法用户持有后，在接收到所述第二 OP请求消息后发送的，所述恢复签约响应消息是所述 MNO设备在接收到所述 M2M-SP设备发送的恢复签约请求消息后发送给所述 M2M-SP设备的，所述第二 OP响应消息包括解密密钥和用于标识所述终端设备重新被所述合法用户持有的恢复指示，以使所述 eUICC根据所述恢复指示，使用所述解密密钥对所述 eUICC上的数据进行解密处理；

确认接收模块，用于接收所述 eUICC通过所述终端设备发送的数据恢复确认消息。

55、一种基于嵌入式通用集成电路卡 eUICC的数据保密系统，其特征在于，包括权利要求 28-39任一项所述的移动网络运营商 MNO设备、权利要求 40-46 任一项所述的嵌入式通用集成电路卡 eUICC设备、以及权利要求 47-54任一项所述的签约管理单元-安全路由 SM-SR设备。