WO2015081545A1 - 一种eUICC的安全控制方法和eUICC - Google Patents

Abstract

　本发明实施例公开了一种eUICC的安全控制方法，包括：嵌入式集成电路卡eUICC验证订阅管理器 - 安全路由 SM-SR实体是否具有对所述eUICC进行管理的授权；若是，所述eUICC与所述SM-SR实体之间建立安全传输通道，所述安全传输通道用于所述eUICC的管理交互。本发明实施例还公开了一种eUICC。采用本发明，能确保eUICC的安全性。

Description

一 一

一种 eUICC的安全控制方法和 eUICC 技术领域

本发明涉及通信领域， 尤其涉及一种 eUICC的安全控制方法和 eUICC。

背景技术

M2M通信系统中存在嵌入式的 UICC(通用集成电路卡）卡（也称为 USIM 卡、 SIM卡或 RUIM卡等）， 所谓嵌入式， 是指 UICC卡、 USIM卡、 SIM卡 或 RUIM卡不是采用卡座插入 M2M终端中， 而是直接焊接或嵌入到 M2M终 端电路板上的。 这种嵌入式卡通常是出于防震或 M2M终端小型化等需要， 这 种类型的卡称为 eUICC ( embedded UICC )。

M2M终端通常处于户外或偏远的场地或恶劣的环境中， 由于 eUICC本身 是嵌入到用户设备中的， 难以进行替换操作。 因此， 对于这些 M2M终端的网 络签约变更就成为问题， 迫切需要一种远程的、安全的配置网络接入凭证信息 到 eUICC的方法， 并需要能够进行从一个 MNO (移动网络运营商 )到另一个 MNO的网络签约变更。

图 1 中是在目前标准组织讨论中各方比较认可的 eUICC系统架构。 其中 SM指 subscription manager (签约管理器）， DP指 data preparation (数据准备 ), SR指 secure routing (安全路由）。 Profile (轮廓 )是文件结构、 数据和应用的 组合。 一个 Enabled Profile (被使能的轮廓）， 其文件和 /或应用 （如网络接入 应用）可以通过 UICC-Terminal接口选择。一种 Profile称为 Provisioning profile (配置轮廓）， Provisioning profile安装到 eUICC上后，可以用于接入通信网络， 从而为 eUICC和远程实体（如 SM-SR, SM-DP )之间的 eUICC管理和 Profile 管理提供传输能力。一种 profile称为 operational profile(运营轮廓 ), Operational Profile 包含一个或多个网^ 入应用和关联的网络接入凭证。 SM-DP实体负 责生成 profile (轮廓）， 并将 profile下载和安装到 eUICC。 SM-DP也可以称为 profile installer (轮廓安装器）。 SM-SR实体负责对 eUICC上的 profile进行管 理，也负责保证 eUICC和远程实体（如 SM-SR, SM-DP )通信的安全性。 SM-SR 也可以称为 profile manager (轮廓管理器）。 MN0 (移动运营商）要向 SM-SR - - 和 SM-DP请求 profile相关服务或 eUICC相关服务， 比如， 向 SM-DP订购 profile, 请求 SM-SR对 eUICC上的 profile进行管理（如对 profile状态变更， 删除 profile等操作）。 eUICC可由通信模块供应商、 终端供应商、 网络运营商 或 M2M行业客户中任意一个向 eUICC供应商订购，并将 eUICC嵌入到 M2M 终端 （也称为用户设备） 中。 需要说明的是， eUICC不仅适用于 M2M终端， 也适用于非 M2M终端或传统终端， 比如智能手机， eUICC有利于智能手机的 多样化 ID ( industrial designer )设计， 也有利于用户便捷地签约新的运营商。 申请人发现， 目前的基于 eUICC的通信系统没有提供对用户设备中的 eUICC 进行安全控制的方法。 发明内容

本发明所要解决的技术问题在于， 提供一种 eUICC 的安全控制方法和 eUICC。 可确保 eUICC的安全性。

为了解决上述技术问题， 本发明第一方面提供了一种 eUICC的安全控制 方法， 包括：

嵌入式集成电路卡 eUICC验证订阅管理器-安全路由 SM-SR实体是否具 有对所述 eUICC进行管理的授权；

若是， 所述 eUICC与所述 SM-SR实体之间建立安全传输通道， 所述安全 传输通道用于所述 eUICC的管理交互。

结合第一方面， 在第一种可能的实现方式中， 所述 eUICC验证 SM-SR实 体是否具有对所述 eUICC进行管理的授权步骤包括：

若 eUICC基于公钥基础设施 PKI机制认证 SM-SR实体为合法实体，所述 eUICC根据自身存储的第一授权信息验证所述 SM-SR 实体是否具有对所述 eUICC进行管理的授权； 或

eUICC基于对称密钥机制验证 SM-SR实体是否具有对所述 eUICC进行管 理的授权。

结合第一方面， 在第二种可能的实现方式中， 还包括：

所述 eUICC 验证订阅管理器-数据准备 SM-DP 实体是否具有对所述 eUICC进行管理的授权； - - 若是， 所述 eUICC与所述 SM-DP实体之间建立密钥集， 所述密钥集用于 保护所述 SM-DP对所述 eUICC的轮廓 Profile配置操作。

结合第二种可能的实现方式， 在第三种可能的实现方式中， 所述 eUICC 验证 SM-DP实体是否具有对所述 eUICC进行管理的授权的步骤包括：

若所述 eUICC基于公钥基础设施 PKI机制认证 SM-DP实体为合法实体， 所述 eUICC根据自身存储的第二授权信息验证所述 SM-DP实体是否具有对所 述 eUICC进行管理的授权； 或

所述 eUICC基于对称密钥机制验证 SM-DP实体是否具有对所述 eUICC 进行管理的授权。

结合第一种可能的实现方式， 在第四种可能的实现方式中， 所述第一授权 信息包括：

至少一个 SM-SR实体的标识，该标识对应的 SM-SR实体具有对 eUICC进 行管理操作的授权； 或

至少一个授权令牌， 拥有所述至少一个授权令牌的 SM-SR 实体具有对 eUICC进行管理操作的授权。

结合第一种或第四种可能的实现方式， 在第五种可能的实现方式中， 所述 第一授权信息存储于：

所述 eUICC的轮廓管理凭证 PMC中或所述 eUICC的第一 PKI证书中。 结合第二种可能的实现方式， 在第六种可能的实现方式中， 所述第二授权 信息包括：

至少一个 SM-DP实体的标识，该标识对应的 SM-DP实体具有对 eUICC进 行 Profile配置操作的授权； 或

至少一个授权令牌， 拥有所述至少一个授权令牌的 SM-DP 实体具有对 eUICC进行管理操作的授权。

结合第三种或第六种可能的实现方式， 在第七种可能的实现方式中， 所述 第二授权信息存储于：

所述 eUICC的轮廓安装凭证 PIC中或所述 eUICC的第二 PKI证书中。 结合第一种或第三种可能的实现方式， 在第八种可能的实现方式中，还包 括： - - 所述 eUICC通过所述 SM-SR 实体接收新的第一授权信息或第二授权信 息； 或

所述 eUICC通过所述 SM-SR实体接收新的对称密钥。

结合第一种或第三种可能的实现方式， 在第九种可能的实现方式中，还包 括：

所述 eUICC与附着的公共陆地移动网络 PLMN协商产生新的第一授权信 息或第二授权信息； 或

所述 eUICC与附着的公共陆地移动网络 PLMN协商产生新的对称密钥。 相应地， 本发明第二方面还提供了一种 eUICC, 包括：

第一模块，用于验证订阅管理器-安全路由 SM-SR实体是否具有对自身进 行管理的授权；

第二模块， 用于若所述第一模块的验证结果为是， 与所述 SM-SR实体之 间建立安全传输通道。

结合第二方面， 在第一种可能的实现方式中， 所述第一模块用于： 若基于公钥基础设施 PKI机制认证 SM-SR实体为合法实体， 根据自身存 储的第一授权信息验证所述 SM-SR实体是否具有对自身进行管理的授权； 或 对称密钥机制验证 SM-SR实体是否具有对自身进行管理的授权。

结合第二方面， 在第二种可能的实现方式中， 还包括：

第三模块， 用于验证订阅管理器-数据准备 SM-DP 实体是否具有对所述 eUICC进行管理的授权；

第四模块， 用于若所述第三模块的验证结果为是， 与所述 SM-DP实体之 间建立密钥集， 所述密钥集用于保护所述 SM-DP对自身的轮廓 Profile配置操 作。

结合第二种可能的实现方式， 在第三种可能的实现方式中， 所述第三模块 用于：

若基于公钥基础设施 PKI机制认证 SM-DP实体为合法实体， 根据自身存 储的第二授权信息验证所述 SM-DP实体是否具有对自身进行管理的授权； 或 基于对称密钥机制验证 SM-DP实体是否具有对自身进行管理的授权。 结合第一种可能的实现方式， 在第四种可能的实现方式中， 所述第一授权 - - 信息包括：

至少一个 SM-SR实体的标识， 该标识对应的 SM-SR实体具有对自身进行 管理操作的授权； 或

至少一个授权令牌， 拥有所述至少一个授权令牌的 SM-SR 实体具有对 eUICC进行管理操作的授权。

结合第一种或第四种可能的实现方式， 在第五种可能的实现方式中， 所述 第一授权信息存储于：

所述 eUICC的 PMC轮廓管理凭证中或所述 eUICC的第一 PKI证书中。 结合第二种可能的实现方式， 在第六种可能的实现方式中， 所述第二授权 信息包括：

至少一个 SM-DP实体的标识，该标识对应的 SM-DP实体具有对 eUICC进 行 Profile配置操作的授权； 或

至少一个授权令牌， 拥有所述至少一个授权令牌的 SM-DP 实体具有对 eUICC进行管理操作的授权。

结合第三种或第六种可能的实现方式， 在第七种可能的实现方式中， 所述 第二授权信息存储于：

所述 eUICC的轮廓安装凭证 PIC中或所述 eUICC的第二 PKI证书中。 结合第一种或第三种可能的实现方式， 在第八种可能的实现方式中，还包 括：

第五模块， 用于与附着的公共陆地移动网络 PLMN协商产生新的第一授 权信息或第二授权信息； 或

与附着的公共陆地移动网络 PLMN协商产生新的对称密钥。

结合第一种或第三种可能的实现方式， 在第九种可能的实现方式中，还包 括：

第六模块， 用于与附着的公共陆地移动网络 PLMN协商产生新的第一授 权信息或第二授权信息； 或

与附着的公共陆地移动网络 PLMN协商产生新的对称密钥。

本发明第三方面提供了一种 eUICC, 包括所述存储器中存储一组程序代 码，且所述处理器用于调用所述存储器中存储的程序代码，用于执行以下操作： - - 验证订阅管理器-安全路由 SM-SR实体是否具有对所述 eUICC进行管理 的授权；

若所述第一模块的验证结果为是， 与所述 SM-SR实体之间建立安全传输 通道。

结合第三方面，在第一种可能的实现方式中，所述处理器执行验证 SM-SR 实体是否具有对所述 eUICC进行管理的授权步骤包括：

若基于公钥基础设施 PKI机制认证 SM-SR实体为合法实体， 根据自身存 储的第一授权信息验证所述 SM-SR实体是否具有对所述 eUICC进行管理的授 权； 或

基于对称密钥机制验证 SM-SR实体是否具有对所述 eUICC进行管理的授 权。

结合第三方面， 在第二种可能的实现方式中， 所述处理器还用于执行： 验证订阅管理器-数据准备 SM-DP实体是否具有对所述 eUICC进行管理 的授权；

若是， 与所述 SM-DP 实体之间建立密钥集， 所述密钥集用于保护所述

SM-DP对所述 eUICC的轮廓 Profile配置操作。

结合第二种可能的实现方式， 在第三种可能的实现方式中， 所述处理器执 行验证 SM-DP实体是否具有对所述 eUICC进行管理的授权的步骤包括：

若所述 eUICC基于公钥基础设施 PKI机制认证 SM-DP实体为合法实体， 所述 eUICC根据自身存储的第二授权信息验证所述 SM-DP实体是否具有对所 述 eUICC进行管理的授权； 或

所述 eUICC基于对称密钥机制验证 SM-DP实体是否具有对所述 eUICC 进行管理的授权。

结合第一种可能的实现方式， 在第四种可能的实现方式中， 所述第一授权 信息包括：

至少一个 SM-SR实体的标识，该标识对应的 SM-SR实体具有对 eUICC进 行管理操作的授权； 或

至少一个授权令牌， 拥有所述至少一个授权令牌的 SM-SR 实体具有对 eUICC进行管理操作的授权。 结合第一种或第四种可能的实现方式， 在第五种可能的实现方式中， 所述 第一授权信息存储于：

所述 eUICC的轮廓管理凭证 PMC中或所述 eUICC的第一 PKI证书中。 结合第二种可能的实现方式， 在第六种可能的实现方式中， 所述第二授权 信息包括：

至少一个 SM-DP实体的标识，该标识对应的 SM-DP实体具有对 eUICC进 行 Profile配置操作的授权； 或

至少一个授权令牌， 拥有所述至少一个授权令牌的 SM-DP 实体具有对 eUICC进行管理操作的授权。

结合第三种或第六种可能的实现方式， 在第七种可能的实现方式中， 所述 第二授权信息存储于：

所述 eUICC的轮廓安装凭证 PIC中或所述 eUICC的第二 PKI证书中。 结合第一种或第三种可能的实现方式， 在第八种可能的实现方式中， 所述 处理器还用于执行：

通过所述 SM-SR实体接收新的第一授权信息或第二授权信息； 或 通过所述 SM-SR实体接收新的对称密钥。

结合第一种或第三种可能的实现方式， 在第九种可能的实现方式中， 所述 处理器还用执行：

与附着的公共陆地移动网络 PLMN协商产生新的第一授权信息或第二授 权信息； 或

与附着的公共陆地移动网络 PLMN协商产生新的对称密钥。

实施本发明， 具有如下有益效果：

eUICC对外部的 SM-SR实体进行授权验证，若授权验证通过，允许 SM-SR 实体与自身进行通信， 同时 eUICC与 SM-SR实体间之间安全数据连接， 保证 二者之间通信的安全性， 能有效防止外部实体对 eUICC的攻击。 附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施 例或现有技术描述中所需要使用的附图作筒单地介绍，显而易见地， 下面描述 - - 中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付 出创造性劳动的前提下， 还可以根据这些附图获得其他的附图。

图 1是现有技术的 eUICC逻辑架构图；

图 2是本发明第一实施例的一种 eUICC的安全控制方法的流程示意图； 图 3是本发明第二实施例的一种 eUICC的安全控制方法的流程示意图； 图 4是本发明第三实施例的一种 eUICC的安全控制方法的流程示意图； 图 5是密钥和令牌的更新流程示意图；

图 6是本发明第一实施例的一种 eUICC的结构示意图；

图 7是本发明第二实施例的一种 eUICC的结构示意图；

图 8是本发明第三实施例的一种 eUICC的结构示意图。 具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清 楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是 全部的实施例。基于本发明中的实施例， 本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。

参见图 2, 为本发明第一实施例的一种嵌入式通用集成电路卡的安全控制 方法的流程示意图， 在本实施例中， 所述方法包括：

5101、 eUICC验证 SM-SR实体具有对自身进行管理的授权。

具体的， eUICC接收到 SM-SR实体的管理请求或命令时， 验证该 SM-SR 实体是否具有对该 eUICC进行管理的权限。 例如， eUICC接收到 SM-SR实体 发送的 profile安装请求时， eUICC验证该 SM-SR是否具有对该 eUICC进行 profile安装的授权。

5102、 建立安全传输通道。

具体的， eUICC验证 SM-SR实体具有授权后，与 SM-SR实体建立安全传 输通道。

5103、 管理交互流程。

具体的， SM-SR实体与 eUICC的管理交互通过建立的安全传输通道进行。 参见图 3, 为本发明第二实施例的一种嵌入式通用集成电路卡的安全控制 - - 方法的流程示意图， 在本实施例中， 所述方法包括：

S201、 SM-DP实体发送 profile安装请求至 SM-SR实体。

具体的， profile安装请求中携带 eUICC的标识（EID ), 该 eUICC的标识 表示需要进行 profile安装操作的 eUICC的身份。

S201、 SM-SR判断 EID对应的 eUICC是否为自身所服务的 eUICC。

具体的， SM-SR实体查询 profile安装请求中的 eUICC的标识对应的 eUICC 是否处于自己的服务之下，若不是，向 SM-DP实体返回失败消息，通知 SM-DP 实体无法提供服务， 若是， 执行 S203。

S203、 SM-SR实体发送证书和签名至 eUICC。

具体的， SM-SR实体预先存储有 CA发行给自身的 PKI证书 （以下称为

SM-SR实体的证书）， 并生成签名， 将自身的 PKI证书和签名发送给 eUICC 标识所指向的 eUICC。 可选的， SM-SR实体也发送 eUICC管理操作类型 （比 如， profile安装， profile下载， profile使能， profile去使能， profile状态切换， profile删除或关联的 SM-SR变更）到 eUICC。 s

S204、eUICC使用 CA的公钥验证 SM-SR实体的证书的合法性，从 SM-SR 的证书中获取 SM-SR的公钥， 利用 SM-SR的公钥验证 SM-SR的签名的合法 性， 根据第一授权信息验证 SM-SR是否具有管理该 eUICC的授权。

具体的， eUICC使用 CA的公钥验证 SM-SR的 PKI证书是否合法， 若为 是， 从 SM-SR实体的 PKI证书中获取 SM-SR的公钥， 利用 SM-SR实体的公 钥验证 SM-SR的签名是否合法， 若为是， 则确认 SM-SR实体为合法的实体。 进一步， eUICC根据第一授权信息验证 SM-SR实体是否被授权， 第一授权信 息可采用授权 SM-SR标识列表， 包含在 eUICC的 PMC (轮廓管理凭证） 中 或 eUICC的第一 PKI证书中（比如， 作为证书内容中的扩展信息）。 eUICC的 第一 PKI证书也是 eUICC的 PMC的一部分。 若 SM-SR实体具有授权， 执行 S207; 若 SM-SR实体不具有授权， 执行 S205。

可选的， 假设第一授权信息保存至 eUICC的第一 PKI证书中， 以 PKI证 书为 X.509证书为例， X.509数字证书包含以下内容：

证书的版本信息；

证书的序列号， 每个证书都有一个唯一的证书序列号； - - 证书所使用的签名算法；

证书的发行机构名称， 命名规则一般采用 X.500格式；

证书的有效期， 现在通用的证书一般采用 UTC时间格式， 它的计时范围 为 1950-2049;

证书所有人的名称， 命名规则一般采用 X.500格式；

证书所有人的公开密钥；

证书发行者对证书的签名；

证书扩展段 ( Authorized SM-SR list: SM-SR id-1 )。

X.509证书中的扩展字段中新增了授权信息列表， 表中包括有被授权的 SM-SR实体的标识（ SM-SR id-1 ) , eUICC根据 SM-SR实体是否记载在授权 信息列表中来判断是否被授权。 授权信息列表也可能包含多个 SM-SR实体的 标识。

S205、 eUICC向 SM-SR实体发送失败消息， 失败消息中携带未被授权的 SM-SR实体的标识。

S206、 SM-SR实体发送失败消息至 SM-DP实体。

5207、 eUICC发送自身的第一 PKI证书和相应的签名至 SM-SR实体。 具体的， eUICC中预先存储有 CA发行给自身的 PKI证书，将自身的第一 PKI证书和签名发送至 SM-SR实体。

5208、 SM-SR实体使用 CA的公钥验证 eUICC的第一 PKI证书合法性， 从 eUICC的第一 PKI证书中获取 eUICC的公钥，利用 eUICC的公钥验证 eUICC 的签名合法性， 验证 eUICC是否具有授权。

具体的， 此处 SM-SR实体验证 eUICC是否合法原理与 S204中一致， 若 验证 eUICC具有授权，执行 S209和 S210;若验证 eUICC具有授权,执行 S211。

5209、 SM-SR实体向 SM-DP实体发送失败消息， 失败消息中携带 eUICC 的标识。

5210、 SM-SR实体向 eUICC发送失败消息， 失败消息中携带 eUICC的标 识。

5211、 SM-SR实体和 eUICC之间建立安全传输通道。

具体的， SM-SR实体和 eUICC之间的交互操作通过建立的安全传输通道 - - 进行， 以保护安全。 并且， SM-SR在 eUICC中创建 profile Container (容器）。

S212、 SM-DP实体和 eUICC之间使用 PKI证书进行双向认证。

具体的， SM-DP实体和 eUICC使用对方发送的 PKI证书和签名验证对方 的合法性， 若 eUICC验证 SM-DP实体为合法实体， 执行 S213。

S213、 eUICC根据第二授权信息验证 SM-DP实体是否具有授权， 第二授 权信息采用授权 SM-DP列表， 包含在 PIC (轮廓安装器凭证） 中或 eUICC证 书中或单独存在。若 eUICC验证 SM-DP实体具有授权，执行 S216; 若 eUICC 验证 SM-DP实体不具有授权， 执行 S214和 S215。

5214、 eUICC向 SM-DP实体发送失败消息， 失败消息中携带 SM-DP实 体的标识。

5215、 SM-DP实体和 eUICC建立安全密钥集。

具体的， SM-DP实体和 eUICC之间的 profile配置管理操作通过建立的安 全密钥集进行保护， 比如， 对 profile进行加密保护， 对配置管理命令进行加 密保护。

S216、 SM-DP实体和 eUICC执行 profile下载和安装操作至 profile容器， 相关操作使用密钥集加密。

S217、 SM-DP实体将 profile安装结果发送至 SM-SR实体， profile安装结 果中携带安装成功的 eUICC的标识和 profile的标识。

参见图 4, 为本发明第三实施例的一种嵌入式通用集成电路卡的安全控制 方法的流程示意图， 在本实施例中， 包括：

S301、 SM-DP实体发送 profile安装请求至 SM-SR实体。

具体的， profile安装请求中携带 eUICC的标识（EID ), 该 eUICC的标识 表示需要进行 profile安装操作的 eUICC的身份。

5302、 SM-SR实体查询 EID对应的 eUICC是否为归属 eUICC。

具体的， eUICC 激活时， 根据 profile 中存储的配置信息注册到对应的

SM-SR实体， SM-SR实体将该 eUICC的标识保存至本地，该 eUICC作为 SM-SR 实体的归属 eUICC。 SM-SR实体查询 profile安装请求中的 eUICC的标识对应 的 eUICC是否处于自己的服务之下， 若不是， 执行 S303; 若是， 执行 S304。

5303、 SM-SR实体向 SM-DP实体返回失败消息。 - - 具体的， 失败消息中携带 eUICC的标识， 通知 SM-DP不能为该标识对应 的 eUICC提供服务。

5304、 SM-SR实体和 eUICC之间使用对称密钥进行双向认证。

具体的， 若 SM-DP实体和 eUICC双向认证通过， 则确定 SM-SR具有授 权， 执行 S307; 若 SM-DP实体和 eUICC双向认证不通过，， 则确定 SM-SR 不具有授权， 执行 S305和 S306

5305、 eUICC向 SM-SR实体发送失败消息。 失败消息中携带 SM-SR实 体的标识。

5306、 SM-SR实体向 SM-DP实体发送失败消息。

S307、 SM-SR验证 eUICC是否合法。

具体的， 若 SM-SR实体和 eUICC双向认证通过， 则确定 eUICC为合法 实体（即该 eUICC是属于该 SM-SR实体服务的 )执行 S311; 若 SM-SR实体 和 eUICC双向认证不通过， 则确定 eUICC为非法实体， 执行 S309和 S310。

5308、 SM-SR实体向 SM-DP发送失败消息。 失败消息中携带 eUICC的 标识。

5309、 SM-SR实体向 eUICC发送失败消息。 失败消息中携带 eUICC的标 识。

5310、 SM-SR实体和 eUICC之间建立密钥集。

具体的， SM-SR实体和 eUICC之间双向认证和双向授权通过， 二者之间 建立安全传输通道， 两个实体之间的通信通过该安全传输通道， 同时， 二者之 间建立密钥集， 对 SM-SR实体和 eUICC实体之间交互的数据进行加密。

S311、 SM-SR实体和 eUICC之间执行 profile容器创建流程。

S312、 SM-SR实体向 SM-DP实体发送 profile容器创建确认消息。确认消 息中携带成功创建 profile容器的 eUICC的标识。

S313、 SM-DP实体和 eUICC之间采用 PKI证书进行双向认证。

具体的， SM-DP实体和 eUICC使用对方发送的 PKI证书和签名验证对方 的合法性， 若 SM-DP实体验证 eUICC实体为合法实体， 执行 S315。

5314、 SM-DP实体向 eUICC发送令牌 ( Token )。

5315、 eUICC验证 SM-DP发送的 Token是否正确。 eUICC的本地 Token - - 保存在 PIC (轮廓安装器凭证）中或者第二 PKI证书或者单独存在。 eUICC保 存的本地 Token称为第二授权信息。

具体的， eUICC使用本地保存的第二授权信息验证 Token是否正确，若为 是， 则确定 SM-DP实体具有授权， 执行 S317; 若为否， 执行 S316。 eUICC 的第二授权信息包含在 PIC中或 eUICC证书中（作为扩展信息）或单独存在。 例如，授权信息包含与 eUICC的 X.509证书中，格式为： 证书扩展段（SM-DP Token: Tokenl ), 表示拥有 Tokenl的 SM-DP实体具有进行管理的授权。 需要 说明的是， SM-DP Token信息中可以包含多个 Token ( Tokenl , Token2, ... ), 以分别对不同的管理操作类型进行授权， 比如 Tokenl用于 profile load管理操 作类型进行授权， Token2用于 profile installation管理操作类型进行授权，等等。

5316、 eUICC向 SM-DP实体发送失败消息。 失败消息中携带 SM-DP实 体的标识。

5317、 SM-DP实体和 eUICC之间建立密钥集， 并进行相关的 profile容器 初始化操作。

S318、 profile下载和安装至 profile容器，使用密钥集加密。

5319、 SM-DP实体向 SM-SR实体发送 profile安装结果， 该 profile安装 结果中携带成功安装 profile的 eUICC的标识和 profile的标识。

5320、 通过 SM-SR实体远程更新对称密钥和第二授权信息。

参见图 5, 为一种对称密钥和令牌的更新方法的流程示意图， 包括： S401、 PLMN2向 PLMN1发送 profile管理请求， profile管理请求中携带 eUICC标识、 SM-SR标识和 SM-DP标识。

S402、 附着流程

具体的， eUICC所在的用户设备利用 eUICC中的 Provisioning Profile或 operational Profile附着到 PLMN1.

S403、 PLMN1和 eUICC之间建立对称密钥和第二授权信息（具体为一个 或多个 Token )。

5404、 PLMN1将对称密钥传送至 SM-SR实体。

5405、 PLMN1将第二授权信息传送至 SM-DP实体。

参见图 6, 为本发明第一实施例的一种 eUICC的结构示意图，在本实施例 - - 中， eUICC包括第一模块 10和第二模块 20,

第一模块 10,用于验证订阅管理器-安全路由 SM-SR实体是否具有对自身 进行管理的授权。

第二模块 20, 用于若所述第一模块的验证结果为是， 与所述 SM-SR实体 之间建立安全传输通道。

本实施例和方法实施例一属于同一构思， 其带来的技术效果也相同， 具体 请参照方法实施例一的描述， 此处不再赘述。

参见图 7, 为本发明第二实施例的一种 eUICC的结构示意图，在本实施例 中 eUICC除包括第一模块 10和第二模块 20, 还包括第三模块 30、 第四模块 40、 第五模块 50和第六模块 60,

第三模块 30, 用于验证订阅管理器-数据准备 SM-DP实体是否具有对所 述 eUICC进行管理的授权；

第四模块 40, 用于若所述第三模块的验证结果为是， 与所述 SM-DP实体 之间建立密钥集， 所述密钥集用于保护所述 SM-DP对自身的轮廓 Profile配置 操作。

第五模块 50, 用于与附着的公共陆地移动网络 PLMN协商产生新的第一 授权信息或第二授权信息； 或

与附着的公共陆地移动网络 PLMN协商产生新的对称密钥。

第六模块 60, 用于与附着的公共陆地移动网络 PLMN协商产生新的第一 授权信息或第二授权信息； 或

与附着的公共陆地移动网络 PLMN协商产生新的对称密钥。

可选的， 第一模块 10用于：

若基于公钥基础设施 PKI机制认证 SM-SR实体为合法实体， 根据自身存 储的第一授权信息验证所述 SM-SR实体是否具有对自身进行管理的授权； 或 对称密钥机制验证 SM-SR实体是否具有对自身进行管理的授权。

可选的， 第三模块 30用于：

若基于公钥基础设施 PKI机制认证 SM-DP实体为合法实体， 根据自身存 储的第二授权信息验证所述 SM-DP实体是否具有对自身进行管理的授权； 或 基于对称密钥机制验证 SM-DP实体是否具有对自身进行管理的授权。 - - 本实施例与方法实施例二至四属于同一构思， 其带来的技术效果也相同， 具体请参照上述实施例的描述， 此处不再赘述。

参见图 8, 为本发明第三实施例的一种 eUICC的结构示意图， 以下筒称 eUICCl , eUICCl包括处理器 71和存储器 72, eUICCl中的处理器 71的数量 可以是一个或多个， 图 8以一个处理器为例。 本发明的一些实施例中， 处理器 71和存储器 72可通过总线或其他方式连接， 图 8中以总线连接为例。

其中， 存储器 72中存储一组程序代码， 且处理器 71用于调用存储器 72 中存储的程序代码， 用于执行以下操作：

验证订阅管理器-安全路由 SM-SR实体是否具有对所述 eUICC进行管理 的授权；

若所述第一模块的验证结果为是， 与所述 SM-SR实体之间建立安全传输 通道。 在本发明的一些实施例中，处理器 61执行验证 SM-SR实体是否具有对所 述 eUICC进行管理的授权步骤包括：

若基于公钥基础设施 PKI机制认证 SM-SR实体为合法实体， 根据自身存 储的第一授权信息验证所述 SM-SR实体是否具有对所述 eUICC进行管理的授 权； 或

基于对称密钥机制验证 SM-SR实体是否具有对所述 eUICC进行管理的授 权。 在本发明的一些实施例中， 处理器 61还用于执行：

验证订阅管理器-数据准备 SM-DP实体是否具有对所述 eUICC进行管理 的授权；

若是， 与所述 SM-DP 实体之间建立密钥集， 所述密钥集用于保护所述

SM-DP对所述 eUICC的轮廓 Profile配置操作。 在本发明的一些实施例中，处理器 61执行验证 SM-DP实体是否具有对所 述 eUICC进行管理的授权的步骤包括： - - 若所述 eUICC基于公钥基础设施 PKI机制认证 SM-DP实体为合法实体， 所述 eUICC根据自身存储的第二授权信息验证所述 SM-DP实体是否具有对所 述 eUICC进行管理的授权； 或

所述 eUICC基于对称密钥机制验证 SM-DP实体是否具有对所述 eUICC 进行管理的授权。

在本发明的一些实施例中， 第一授权信息包括：

至少一个 SM-SR实体的标识，该标识对应的 SM-SR实体具有对 eUICC进 行管理操作的授权； 或

至少一个授权令牌， 拥有所述至少一个授权令牌的 SM-SR 实体具有对 eUICC进行管理操作的授权。

在本发明的一些实施例中， 第一授权信息存储于：

所述 eUICC的轮廓管理凭证 PMC中或所述 eUICC的第一 PKI证书中。 在本发明的一些实施例中， 所述第二授权信息包括：

至少一个 SM-DP实体的标识，该标识对应的 SM-DP实体具有对 eUICC进 行 Profile配置操作的授权； 或

至少一个授权令牌， 拥有所述至少一个授权令牌的 SM-DP 实体具有对 eUICC进行管理操作的授权。

在本发明的一些实施例中， 第二授权信息存储于：

所述 eUICC的轮廓安装凭证 PIC中或所述 eUICC的第二 PKI证书中。 在本发明的一些实施例中， 处理器 61还用于执行：

通过所述 SM-SR实体接收新的第一授权信息或第二授权信息； 或 通过所述 SM-SR实体接收新的对称密钥。

在本发明的一些实施例中， 处理器 61还用于执行：

与附着的公共陆地移动网络 PLMN协商产生新的第一授权信息或第二授 权信息； 或

与附着的公共陆地移动网络 PLMN协商产生新的对称密钥。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程， 是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算 机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。 - - 其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（Read-Only Memory, ROM )或随机存储记忆体（Random Access Memory, RAM )等。

以上所揭露的仅为本发明一种较佳实施例而已，当然不能以此来限定本发 明之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流 程， 并依本发明权利要求所作的等同变化， 仍属于发明所涵盖的范围。

Claims

权 利 要 求

1、 一种 eUICC的安全控制方法， 其特征在于， 包括：

嵌入式集成电路卡 eUICC验证订阅管理器-安全路由 SM-SR实体是否具 有对所述 eUICC进行管理的授权；

若是， 所述 eUICC与所述 SM-SR实体之间建立安全传输通道， 所述安全 传输通道用于所述 eUICC的管理交互。

2、 如权利要求 1所述的方法， 其特征在于， 所述 eUICC验证 SM-SR实 体是否具有对所述 eUICC进行管理的授权步骤包括：

若 eUICC基于公钥基础设施 PKI机制认证 SM-SR实体为合法实体，所述 eUICC根据自身存储的第一授权信息验证所述 SM-SR 实体是否具有对所述 eUICC进行管理的授权； 或

eUICC基于对称密钥机制验证 SM-SR实体是否具有对所述 eUICC进行管 理的授权。

3、 如权利要求 1所述的方法， 其特征在于， 还包括：

所述 eUICC 验证订阅管理器-数据准备 SM-DP 实体是否具有对所述 eUICC进行管理的授权；

若是， 所述 eUICC与所述 SM-DP实体之间建立密钥集， 所述密钥集用于 保护所述 SM-DP对所述 eUICC的轮廓 Profile配置操作。

4、 如权利要求 3所述的方法， 其特征在于， 所述 eUICC验证 SM-DP实 体是否具有对所述 eUICC进行管理的授权的步骤包括：

若所述 eUICC基于公钥基础设施 PKI机制认证 SM-DP实体为合法实体， 所述 eUICC根据自身存储的第二授权信息验证所述 SM-DP实体是否具有对所 述 eUICC进行管理的授权； 或

所述 eUICC基于对称密钥机制验证 SM-DP实体是否具有对所述 eUICC 进行管理的授权。

5、 如权利要求 2所述的方法， 其特征在于， 所述第一授权信息包括： 至少一个 SM-SR实体的标识，该标识对应的 SM-SR实体具有对 eUICC进 行管理操作的授权； 或

至少一个授权令牌， 拥有所述至少一个授权令牌的 SM-SR 实体具有对 eUICC进行管理操作的授权。

6、 如权利要求 2或 5所述的方法， 其特征在于， 所述第一授权信息存储 于：

所述 eUICC的轮廓管理凭证 PMC中或所述 eUICC的第一 PKI证书中。

7、 如权利要求 3所述的方法， 其特征在于， 所述第二授权信息包括： 至少一个 SM-DP实体的标识，该标识对应的 SM-DP实体具有对 eUICC进 行 Profile配置操作的授权； 或

至少一个授权令牌， 拥有所述至少一个授权令牌的 SM-DP 实体具有对 eUICC进行管理操作的授权。

8、 如权利要求 4或 7所述的方法， 其特征在于， 所述第二授权信息存储 于：

所述 eUICC的轮廓安装凭证 PIC中或所述 eUICC的第二 PKI证书中。

9、 如权利要求 2或 4所述的方法， 其特征在于， 还包括：

所述 eUICC通过所述 SM-SR 实体接收新的第一授权信息或第二授权信 息； 或

所述 eUICC通过所述 SM-SR实体接收新的对称密钥。

10、 如权利要求 2或 4所述的方法， 其特征在于， 还包括：

所述 eUICC与附着的公共陆地移动网络 PLMN协商产生新的第一授权信 息或第二授权信息； 或

所述 eUICC与附着的公共陆地移动网络 PLMN协商产生新的对称密钥。

11、 一种 eUICC, 其特征在于， 包括：

第一模块，用于验证订阅管理器-安全路由 SM-SR实体是否具有对自身进 行管理的授权；

第二模块， 用于若所述第一模块的验证结果为是， 与所述 SM-SR实体之 间建立安全传输通道。

12、 如权利要求 11所述的 eUICC, 其特征在于， 所述第一模块用于： 若基于公钥基础设施 PKI机制认证 SM-SR实体为合法实体， 根据自身存 储的第一授权信息验证所述 SM-SR实体是否具有对自身进行管理的授权； 或 对称密钥机制验证 SM-SR实体是否具有对自身进行管理的授权。

13、 如权利要求 11所述的 eUICC, 其特征在于， 还包括：

第三模块， 用于验证订阅管理器-数据准备 SM-DP 实体是否具有对所述 eUICC进行管理的授权；

第四模块， 用于若所述第三模块的验证结果为是， 与所述 SM-DP实体之 间建立密钥集， 所述密钥集用于保护所述 SM-DP对自身的轮廓 Profile配置操 作。

14、 如权利要求 13所述的 eUICC, 其特征在于， 所述第三模块用于： 若基于公钥基础设施 PKI机制认证 SM-DP实体为合法实体， 根据自身存 储的第二授权信息验证所述 SM-DP实体是否具有对自身进行管理的授权； 或 基于对称密钥机制验证 SM-DP实体是否具有对自身进行管理的授权。

15、 如权利要求 12所述的 eUICC, 其特征在于， 所述第一授权信息包括： 至少一个 SM-SR实体的标识， 该标识对应的 SM-SR实体具有对自身进行 管理操作的授权； 或 至少一个授权令牌， 拥有所述至少一个授权令牌的 SM-SR 实体具有对 eUICC进行管理操作的授权。

16、 如权利要求 12或 15所述的 eUICC, 其特征在于， 所述第一授权信息 存储于：

所述 eUICC的 PMC轮廓管理凭证中或所述 eUICC的第一 PKI证书中。

17、 如权利要求 13所述的 eUICC, 其特征在于， 所述第二授权信息包括： 至少一个 SM-DP实体的标识，该标识对应的 SM-DP实体具有对 eUICC进 行 Profile配置操作的授权； 或

至少一个授权令牌， 拥有所述至少一个授权令牌的 SM-DP 实体具有对 eUICC进行管理操作的授权。

18、 如权利要求 14或 17所述的 eUICC, 其特征在于， 所述第二授权信息 存储于：

所述 eUICC的轮廓安装凭证 PIC中或所述 eUICC的第二 PKI证书中。

19、 如权利要求 12或 14所述的 eUICC, 其特征在于， 还包括： 第五模块， 用于与附着的公共陆地移动网络 PLMN协商产生新的第一授 权信息或第二授权信息； 或

与附着的公共陆地移动网络 PLMN协商产生新的对称密钥。

20、 如权利要求 12或 14所述的 eUICC, 其特征在于， 还包括： 第六模块， 用于与附着的公共陆地移动网络 PLMN协商产生新的第一授 权信息或第二授权信息； 或

与附着的公共陆地移动网络 PLMN协商产生新的对称密钥。

21、 一种 eUICC, 其特征在于， 包括处理器和存储器， 所述存储器中存储 一组程序代码，且所述处理器用于调用所述存储器中存储的程序代码， 用于执 行以下操作：

验证订阅管理器-安全路由 SM-SR实体是否具有对所述 eUICC进行管理 的授权；

若所述第一模块的验证结果为是， 与所述 SM-SR实体之间建立安全传输 通道。

22、如权利要求 21所述的方法，其特征在于，所述处理器执行验证 SM-SR 实体是否具有对所述 eUICC进行管理的授权步骤包括：

若基于公钥基础设施 PKI机制认证 SM-SR实体为合法实体， 根据自身存 储的第一授权信息验证所述 SM-SR实体是否具有对所述 eUICC进行管理的授 权； 或

基于对称密钥机制验证 SM-SR实体是否具有对所述 eUICC进行管理的授 权。

23、 如权利要求 21所述的 eUICC, 其特征在于， 所述处理器还用于执行： 验证订阅管理器-数据准备 SM-DP实体是否具有对所述 eUICC进行管理 的授权；

若是， 与所述 SM-DP 实体之间建立密钥集， 所述密钥集用于保护所述 SM-DP对所述 eUICC的轮廓 Profile配置操作。

24、 如权利要求 23 所述的 eUICC, 其特征在于， 所述处理器执行验证 SM-DP实体是否具有对所述 eUICC进行管理的授权的步骤包括：

若所述 eUICC基于公钥基础设施 PKI机制认证 SM-DP实体为合法实体， 所述 eUICC根据自身存储的第二授权信息验证所述 SM-DP实体是否具有对所 述 eUICC进行管理的授权； 或

所述 eUICC基于对称密钥机制验证 SM-DP实体是否具有对所述 eUICC 进行管理的授权。

25、 如权利要求 22所述的 eUICC, 其特征在于， 所述第一授权信息包括: 至少一个 SM-SR实体的标识，该标识对应的 SM-SR实体具有对 eUICC进 行管理操作的授权； 或

至少一个授权令牌， 拥有所述至少一个授权令牌的 SM-SR 实体具有对 eUICC进行管理操作的授权。

26、 如权利要求 22或 25所述的 eUICC, 其特征在于， 所述第一授权信息 存储于：

所述 eUICC的轮廓管理凭证 PMC中或所述 eUICC的第一 PKI证书中。

27、 如权利要求 23所述的 eUICC, 其特征在于， 所述第二授权信息包括： 至少一个 SM-DP实体的标识，该标识对应的 SM-DP实体具有对 eUICC进 行 Profile配置操作的授权； 或

至少一个授权令牌， 拥有所述至少一个授权令牌的 SM-DP 实体具有对 eUICC进行管理操作的授权。

28、 如权利要求 24或 27所述的 eUICC, 其特征在于， 所述第二授权信息 存储于：

所述 eUICC的轮廓安装凭证 PIC中或所述 eUICC的第二 PKI证书中。

29、 如权利要求 22或 24所述的 eUICC, 其特征在于， 所述处理器还用于 执行：

通过所述 SM-SR实体接收新的第一授权信息或第二授权信息； 或 通过所述 SM-SR实体接收新的对称密钥。

30、 如权利要求 22或 24所述的 eUICC, 其特征在于， 所述处理器还用于 执行：

与附着的公共陆地移动网络 PLMN协商产生新的第一授权信息或第二授 权信息； 或

与附着的公共陆地移动网络 PLMN协商产生新的对称密钥。