WO2018107718A1

WO2018107718A1 - 智能卡的空中配号方法及装置

Info

Publication number: WO2018107718A1
Application number: PCT/CN2017/090367
Authority: WO
Inventors: 吴传喜
Original assignee: 中兴通讯股份有限公司
Priority date: 2016-12-14
Filing date: 2017-06-27
Publication date: 2018-06-21
Also published as: CN108235306A

Abstract

本文公布一种智能卡的空中配号方法及装置，所述方法包括：SM-DP接收运营商发送的下载请求，基于所述下载请求中的用户设备卡的ID和预注册的SM-SR标识与SM-SR进行双向鉴权认证；鉴权通过后，SM-DP接收SM-SR发送的SM-SR依据用户设备卡的ID提取的eUICC预设信息；SM-DP基于eUICC预设信息确定eUICC能下载签约数据时，通过SM-SR向eUICC通知建立新ISD-P，并在接收到eUICC建立新ISD-P的通知后，通过SM-SR与eUICC的新ISD-P协商签约数据的传输密钥；SM-DP从已生成的签约数据中选择一个，利用传输密钥对所选择的签约数据进行加密，并将加密后的签约数据向eUICC发送。

Description

智能卡的空中配号方法及装置

技术领域

本申请涉及但不限于物联网通信技术，尤指一种智能卡的空中配号方法及装置、智能卡。

背景技术

物联网被称为继计算机、互联网之后，世界信息产业的第三次浪潮，代表了下一代信息技术发展方向，美国、欧盟、中国等国纷纷出台物联网发展规划，进行相关技术和产业前瞻布局。随着物联网技术的普及，越来越多传统商品如汽车、智能表具、监控设备等被嵌入一种嵌入式智能卡(eUICC，embedded Universal Integrated Circuit Card)，即将智能卡芯片直接焊接在终端的电路板或直接封装如通信模块，成为物联网终端。

eUICC作为物联网终端接入运营商网络的鉴权工具，以及承载各种应用程序(APP)、数据的安全载体，已经成为物联网发展的关键核心技术。应用于物联网业务的eUICC已不仅仅是一种新的UICC卡形态或用户终端设备形态，还包括为支持这种新形态设备而建立的整体系统，其中eUICC的激活、去激活管理、用户关系管理、远程管理、业务管理和安全管理可能都将是该系统中必不可少的功能。

此外，当前移动网络中电信智能卡根据发行地、使用地以及卡片用途不同，发行采用网络管理区域(省、地市)方法。但在物联网应用场景下，由于智能卡通常存在于物联网终端中或者焊接在终端中，其发行地及使用地很难在物联网终端生产时确定。在此种应用场景下，需考虑物联网智能卡的首次使用时激活、激活后更换运营配置等业务。因此，物联网业务对智能卡管理提出的新的需求，特别是智能卡空中配号、激活、去激活以及配置更换管理等是首先要解决的问题。而eUICC的使用流程与传统UICC卡使用流程发生了较大的改变。传统UICC卡在发行前需要经过生产、选择运营商、定制、发行、激活、使用、终止等环节。在eUICC情况下，UICC卡在发行前只需要进行基础性的个性化，例如UICC卡标识(ID， IDentity)写入、UICC卡基本认证授权参数的写入、初始签约数据或相关参数的写入，发行后则可以根据运营商提供的新注册描述信息，由用户签约数据管理—数据准备(SM-DP，SubscriptionManager-Data Preparation)重新生成新的签约数据并下载到eUICC中，实现运营商的选择更换。由此可以看出，签约数据的定制过程从卡商公司内部更改为通过空口的制作和安装，尤其是个人化密钥、证书等数据的生成和写入，因此空中配号的安全问题凸显出来，一直受到运营商、卡商以及用户的高度关注。空中配号技术的安全威胁包括假冒、窃听、重放、拒绝服务和非授权访问，如身份假冒威胁，在产生、下载、安装、切换签约数据的过程，不同的操作实体会参与进来，例如多个运营商、多个用户签约数据管理—安全路由(SM-SR，SubscriptionManager-Secure Routing)，因此身份认证算法不可避免地会被多个操作实体掌握，同时通过证书获取操作授权时，一旦证书丢失，则会导致出现非法操作。再如篡改威胁，在SM-DP到SM-SR、运营商到SM-DP、运营商到SM-SR之间传递操作信令时，可能面临信息篡改风险，例如在SM-DP向SM-SR发送所需安装的eUICC卡标识号时，若UICC卡标识号被人篡改，则可能将签约数据安装在错误的UICC卡。又如拒绝服务和窃听威胁，在用户进行空中操作时，可能会遭受到拒绝服务，导致无法完成写号流程；此外，由于空口容易被人窃听，极易导致在进行信息交换时，其交换的密钥信息被人截获。又如设备使用风险，eUICC依然存在着关键信息存储的不安全风险，同时，由于eUICC可以切换签约数据，在使用时还可能会错误安装、或者激活了一个不完整的签约数据，导致无法使用。如何保证配号过程中签约数据不被相关网元获知，目前还没有效的解决方案。

发明概述

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本发明实施例提供了一种智能卡的空中配号方法及装置。

本发明实施例的技术方案如下：

一种智能卡的空中配号方法，包括：

用户签约数据管理—数据准备SM-DP接收运营商发送的下载请求，基于所述下载请求中的用户设备卡的ID和预注册的SM-SR标识与所述SM-SR进行双向鉴权认证；

鉴权通过后，所述SM-DP接收所述SM-SR发送的所述SM-SR依据所述用户设备卡的ID提取的嵌入式智能卡eUICC预设信息；

所述SM-DP基于所述eUICC预设信息确定所述eUICC能下载签约数据时，通过所述SM-SR向所述eUICC通知建立新ISD-P(Issuer Security Domain Profile，证书发行方安全域配置)，并在接收到所述eUICC建立新ISD-P的通知后，通过所述SM-SR与所述eUICC的新ISD-P协商签约数据的传输密钥；

所述SM-DP从已生成的签约数据中选择一个，利用所述传输密钥对所选择的签约数据进行加密，并将加密后的签约数据向所述eUICC的新ISD-P发送。

本发明实施例中，所述方法还包括：

所述SM-DP接收运营商发送的签约数据预生成指令，根据所述预生成指令中携带的相关数据生成签约数据。

本发明实施例中，所述相关数据包括以下数据至少之一：

预定的签约数据数量、签约数据要求、有效的国际移动用户识别码IMSI范围。

本发明实施例中，所述方法还包括：

所述SM-DP接收到所述新ISD-P发送的签约数据的安装结果后，将所述安装结果向SM-SR发送。

本发明实施例中，所述方法还包括：

所述SM-DP在将约签数据中的关键个人信息向eUICC发送前，进行密钥协商以确定加密密钥，利用所述加密密钥将所述关键个人信息进行加密，将加密后的关键个人信息通过网页业务Web Service或安全套接层SSL建立的安全传输通道进行传送。

本发明实施例中，所述方法还包括：

所述SM-DP与所述SM-SR进行空口数据传输时，分别在所述SM-DP和所述SM-SR内部设置计数器，所述SM-DP和所述SM-SR在发送数据时按照设定的顺序发送，不允许重复发送相同的数据，所述SM-DP和所述SM-SR各自维护自身的计数器，且计数器作为参数参与认证计算。

本发明实施例中，所述方法还包括：

所述SM-DP在所述eUICC安装签约数据失败时，使所述eUICC自动回退到初始的签约数据。

本发明实施例中，所述方法还包括：

所述eUICC或所述eUICC所在的物联网终端被设置为无权限读取或修改关键个人信息数据；所述关键个人信息数据被存储于单独立的空间中，所述单独的独立空间包括硬件安全模块。

一种智能卡的空中配号方法，包括：

用户签约数据管理—安全路由SM-SR接收到SM-DP鉴权请求后，与SM-DP进行鉴权认证；

鉴权通过后，SM-SR接收所述SM-DP发送的用户设备卡的ID，并基于所述用户设备卡的ID提取与所述用户设备卡对应的eUICC预设信息，将所述eUICC预设信息向所述SM-DP发送；

所述SM-SR接收所述SM-DP发送的签署安装新ISD-P请求后，所述SM-SR与所述eUICC中的ISD-R进行双向鉴权认证；

所述SM-SR接收所述ISD-R发送的建立新ISD-P的响应消息后，将所述响应消息向所述SM-DP发送。

本发明实施例中，所述方法还包括：

所述SM-SR接收所述SM-DP发送的新ISD-P的签约数据的安装结果后，对数据库进行更新，将所述签约数据存储于eUICC签约数据集中，且将所述签约数据设置为未激活状态。

本发明实施例中，所述方法还包括：

所述SM-SR接收运营商发送的所述签约数据的激活请求后，确定所述 eUICC签约数据集中的规则信息是否允许切换；允许时，向所述eUICC发送注册激活请求；

所述SM-SR接收所述ISD-R签约数据切换成功的消息时，将所述签约数据设置为激活状态，将切换结果通知运营商。

本发明实施例中，所述方法还包括：

所述SM-SR接收eUICC制造商的注册请求后，将所述注册请求中的签约数据进行注册，所述签约数据包括以下信息至少之一：

签约数据类别、应用标识、eUICC ID、eUICC卡号、签约数据状态、需分配内存、管理策略。

一种智能卡的空中配号装置，包括：

第一接收单元，设置为接收运营商发送的下载请求；

认证单元，设置为基于所述下载请求中的用户设备卡的ID和预注册的SM-SR标识与所述SM-SR进行双向鉴权认证；

第二接收单元，设置为在鉴权通过后，接收所述SM-SR发送的所述SM-SR依据所述用户设备卡的ID提取的嵌入式智能卡eUICC预设信息；

确定单元，设置为基于所述eUICC预设信息确定所述eUICC能否下载签约数据；

通知单元，设置为通过所述SM-SR向所述eUICC通知建立新ISD-P；

第三接收单元，设置为接收到所述eUICC建立新ISD-P的通知；

协商单元，设置为通过所述SM-SR与所述eUICC的新ISD-P协商签约数据的传输密钥；

加密单元，设置为从已生成的签约数据中选择一个，利用所述传输密钥对所选择的签约数据进行加密；

第一发送单元，设置为将加密后的签约数据向所述eUICC的新ISD-P发送。

本发明实施例中，所述装置还包括：

第四接收单元，设置为接收运营商发送的签约数据预生成指令；

生成单元，设置为根据所述预生成指令中携带的相关数据生成签约数据。

本发明实施例中，所述相关数据包括以下数据至少之一：

本发明实施例中，所述装置还包括：

第五接收单元，设置为接收所述新ISD-P发送的签约数据的安装结果；

第二发送单元，设置为将所述安装结果向SM-SR发送。

本发明实施例中，所述装置还包括：

所述协商单元，还设置为在所述第一发送单元将约签数据中的关键个人信息向eUICC发送前，进行密钥协商以确定加密密钥；

所述第一发送单元还设置为将加密后的关键个人信息通过网页业务Web Service或安全套接层SSL建立的安全传输通道进行传送。

本发明实施例中，所述装置还包括：

设置单元，设置为在SM-DP与所述SM-SR进行空口数据传输时，分别在所述SM-DP和所述SM-SR内部设置计数器，所述SM-DP和所述SM-SR在发送数据时按照设定的顺序发送，不允许重复发送相同的数据，所述SM-DP和所述SM-SR各自维护自身的计数器，且计数器作为参数参与认证计算。

一种智能卡的空中配号装置，包括：

第一接收单元，设置为接收SM-DP鉴权请求；

鉴权单元，设置为与SM-DP进行鉴权认证；

第二接收单元，设置为在鉴权通过后，接收所述SM-DP发送的用户设备卡的ID；

提取单元，设置为基于所述用户设备卡的ID提取与所述用户设备卡对应的eUICC预设信息；

第一发送单元，设置为将所述eUICC预设信息向所述SM-DP发送；

第三接收单元，设置为接收所述SM-DP发送的签署安装新ISD-P请求；

认证单元，设置为与所述eUICC中的ISD-R进行双向鉴权认证；

第四接收单元，设置为接收所述ISD-R发送的建立新ISD-P的响应消息后，将所述响应消息向所述SM-DP发送。

本发明实施例中，所述装置还包括：

第五接收单元，设置为接收所述SM-DP发送的新ISD-P的签约数据的安装结果；

更新单元，设置为对数据库进行更新，将所述签约数据存储于eUICC签约数据集中，且将所述签约数据设置为未激活状态。

本发明实施例中，所述装置还包括：

第六接收单元，设置为接收运营商发送的所述签约数据的激活请求；

确定单元，设置为确定所述eUICC签约数据集中的规则信息是否允许切换；允许时，触发第二发送单元；

第二发送单元，设置为向所述eUICC发送注册激活请求；

第七接收单元，设置为接收所述ISD-R签约数据切换成功的消息；

所述更新单元，还设置为将所述签约数据设置为激活状态，并将切换结果通知运营商。

本发明实施例中，所述装置还包括：

第八接收单元，设置为接收eUICC制造商的注册请求；

注册单元，设置为将所述注册请求中的签约数据进行注册，所述签约数据包括以下信息至少之一：

一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令被处理器执行时实现上述智能卡的空中配号方法。

本发明实施例的技术方案采用了一种更加安全的方式来保证配号过程中的签约数据不被其他网元获知，对发行者安全信息域的提供安全的下载和管理，从而提高了系统的安全性。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

图1为本发明实施例的智能卡的空中配号方法的流程图(SM-DP侧)；

图2为本发明实施例的智能卡的空中配号方法的流程图(SM-SR侧)；

图3为本发明实施例的eUICC远程管理架构示意图；

图4为本发明实施例的空中配号架构示意图；

图5为本发明实施例的eUICC发行者安全信息域结构示意图；

图6为本发明实施例一的智能卡的空中配号方法的流程图；

图7为本发明实施例二的智能卡的空中配号方法的流程图；

图8为本发明实施例一的智能卡的空中配号装置的组成结构示意图；

图9为本发明实施例二的智能卡的空中配号装置的组成结构示意图。

详述

为了能够更加详尽地了解本发明实施例的特点与技术内容，下面结合附图对本发明实施例的实现进行详细阐述，所附附图仅供参考说明之用，并非用来限定本发明实施例。

本发明实施例记载了一种智能卡的空中配号方法，如图1所示，所述方法包括：

步骤101，用户签约数据管理—数据准备SM-DP接收运营商发送的下载请求，基于所述下载请求中的用户设备卡的ID和预注册的SM-SR标识与所述SM-SR进行双向鉴权认证；

步骤102，鉴权通过后，所述SM-DP接收所述SM-SR发送的所述SM-SR依据所述用户设备卡的ID提取的嵌入式智能卡eUICC预设信息；

步骤103，所述SM-DP基于所述eUICC预设信息确定所述eUICC能下载签约数据时，通过所述SM-SR向所述eUICC通知建立新ISD-P，并在接收到所述eUICC建立新ISD-P的通知后，通过所述SM-SR与所述eUICC的新ISD-P协商签约数据的传输密钥；

步骤104，所述SM-DP从已生成的签约数据中选择一个，利用所述传输密钥对所选择的签约数据进行加密，并将加密后的签约数据向所述eUICC的新ISD-P发送。

本示例中，所述SM-DP接收运营商发送的签约数据预生成指令，根据所述预生成指令中携带的相关数据生成签约数据。

本示例中，所述相关数据包括以下数据至少之一：

本示例中，所述SM-DP接收到所述新ISD-P发送的签约数据的安装结果后，将所述安装结果向SM-SR发送。

本示例中，所述SM-DP在将约签数据中的关键个人信息向eUICC发送前，进行密钥协商以确定加密密钥，利用所述加密密钥将所述关键个人信息进行加密，将加密后的关键个人信息通过网页业务Web Service或安全套接层SSL建立的安全传输通道进行传送。

本示例中，所述SM-DP与所述SM-SR进行空口数据传输时，分别在所述SM-DP和所述SM-SR内部设置计数器，所述SM-DP和所述SM-SR在发送数据时按照设定的顺序发送，不允许重复发送相同的数据，所述SM-DP和所述SM-SR各自维护自身的计数器，且计数器作为参数参与认证计算。

本示例中，所述SM-DP在所述eUICC安装签约数据失败时，使所述eUICC自动回退到初始的签约数据。

本示例中，所述eUICC或所述eUICC所在的物联网终端被设置为无权限读取或修改关键个人信息数据；所述关键个人信息数据被存储于单独立的空间中，所述单独的独立空间包括硬件安全模块。

本发明实施例还记载了一种智能卡的空中配号方法，如图2所示，所述方法包括：

步骤201，用户签约数据管理—安全路由SM-SR接收到SM-DP鉴权请求后，与SM-DP进行鉴权认证；

步骤202，鉴权通过后，SM-SR接收所述SM-DP发送的用户设备卡的ID，并基于所述用户设备卡的ID提取与所述用户设备卡对应的eUICC预设信息，将所述eUICC预设信息向所述SM-DP发送；

步骤203，所述SM-SR接收所述SM-DP发送的签署安装新ISD-P请求后，所述SM-SR与所述eUICC中的ISD-R进行双向鉴权认证；

步骤204，所述SM-SR接收所述ISD-R发送的建立新ISD-P的响应消息后，将所述响应消息向所述SM-DP发送。

本示例中，所述SM-SR接收所述SM-DP发送的新ISD-P的签约数据的安装结果后，对数据库进行更新，将所述签约数据存储于eUICC签约数据集中，且将所述签约数据设置为未激活状态。

本示例中，所述SM-SR接收运营商发送的所述签约数据的激活请求后，确定所述eUICC签约数据集中的规则信息是否允许切换；允许时，向所述eUICC发送注册激活请求；

本示例中，所述SM-SR接收eUICC制造商的注册请求后，将所述注册请求中的签约数据进行注册，所述签约数据包括以下信息至少之一：

以下通过示例，进一步阐明本发明实施例技术方案。

图3为本发明实施例的eUICC远程管理架构示意图，如图3所示，本发明实施例的eUICC远程管理架构描述了参与eUICC远程管理的三种角色:eUICC制造商31、运营商(MNO)32和远程管理平台33的连接关系。在上述架构中，远程管理平台33是eUICC34远程管理的核心。eUICC34中涉及运营商32及eUICC制造商31的数据经由远程管理平台33生成完整的运营商数据文件后，通过空中写号等方式下载到eUICC卡34中。此外，运营商数据的变更、eUICC更换运营商等过程也经由远程管理平台33完成。远程管理平台功能的实现一定程度上还决定或影响着其它管理功能的实现。其中，远程管理平台33处于网络架构的核心地位，远程管理平台的功能主要包括两部分:SM-DP和SM-SR。其中，SM-DP主要负责eUICC卡远程配置的用户签约数据的安全生成、存储和下载；SM-SR主要负责eUICC卡远程配置数据的安全传输和管理。上述功能可以由一个或多个物理实体进行系统实现。

图4为本发明实施例的空中配号架构示意图，如图4所示，本发明实施例中，SM-DP331，主要负责根据运营商的需求，以及证书发行者35提供的信任状信息生成可供下载的签约信息，包括个人化信息(包括且不限于密钥信息、认证信任状)以及非个人化信息；之后，通过SM-SR332将这些数据传输并安装在嵌入式UICC卡34上。SM-SR332，在接收到运营商32或SM-DP331的下载指令后，负责建立一个安全的传输通道，来完成签约数据的下载、激活、禁用、删除等操作。每一个嵌入式UICC卡34首次都需要在一个SM-SR332处注册，但以后可以切换其注册的SM-SR332，因此在不同的SM-SR332间需要传递相关的签约数据。嵌入式UICC卡制造商31在制作卡时，需要将一些初始的签约数据预先装载到eUICC卡31中，这些数据包括但不限于下列信息：信任状签发者提供的身份认证信任状、运营商提供的IMSI、ICCID(Integrate Circuit Card Identity，集成电路卡识别码)。eUICC卡制作完毕后则将这些初始信息备份到SM-SR332中，此外制造商31还会向SM-DP331提供签约数据的生成工具，以便SM-DP331可以自行生成新的签约数据。嵌入式UICC卡34是一个带有操作系统(COS)的智能卡，内部包含了信任状安全域、发行者安全根域以及多个发行者安全信息域，参见图5所示。其中信任状安全域中存储着私钥、相关信任状、CI的根公钥以及用于信任状更换的密钥组，具有较高的安全级别；发行者安全根域则负责执行SM-SR发送的平台管理指令，并在SM-SR切换时执行密钥建立协议。发行者安全信息域代表了运营商的一个签约数据，包括文件系统、网络接入应用、控制授权安全域、补充安全域、策略规则以及运营商安全域。

基于图3、图4所示的架构，如图6所示，本发明实施例提供的智能卡的空中配号方法，包括以下处理流程：

步骤401，运营商向SM-DP发送签约数据预生成指令，并将需要预定的签约数据数量、签约数据要求、可用IMSI范围发送给SM-DP，SM-DP根据这些描述信息自行生成签约数据中的密钥、证书等个人信息部分，并将这些签约数据存储在SM-DP中准备下载。

步骤402，SM-DP完成签约数据准备后，运营商将下载请求发送给SM-DP，SM-DP对所述请求中的用户设备卡的ID号(EID，eUICC ID)和对应预注册的SM-SR标识号(SRID,SR ID)进行识别。

步骤403，SM-DP与注册的SM-SR进行双向鉴权。

步骤404，鉴权通过后，SM-DP向SM-SR传送eUICC卡信息集(EIS，eUICC Information Set)条目请求(参数eUICC标识EID)。

步骤405，SM-SR依据用户设备卡的ID号将该UICC卡预设信息即eUICC卡信息集(EIS，eUICC Information Set)提取出来。

步骤406，SM-SR将EIS条目信息发送给SM-DP，用于确认该eUICC是否适合下载该签约数据。若可以，执行步骤409，如果不可以，则执行步骤408。

步骤408，给SM-SR通知发生的错误。

步骤409，SM-DP向SM-SR签署安装新的ISD-P请求。

步骤410，SM-SR和eUICC中的ISD-R启动认证流程，进行双向鉴权。

步骤411，如果通过认证，则建立一个空的ISD-P。

步骤412，SM-SR将确认信息返回给SM-DP。步骤413，SM-DP与新建立的ISD-P进行密钥协商流程，建立一个共享来传输密钥，并且从已经生成的新的签约数据中挑选一个预备发送给eUICC卡。

步骤414，SM-DP使用与ISD-P协商好的密钥对其中的个人签约数据进行加密。

步骤415，建立安全传输通道。

步骤416，将加密后的个人签约数据发送给ISD-P。

步骤417，ISD-P接收该数据后，使用前面所述密钥对该数据进行解密和安装。

步骤418，ISD-P将安装结果和状态返回给SM-DP。步骤419，SM-DP将ISD-P的安装结果和状态发送给SM-SR。

步骤420，SM-SR对其数据库进行更新，将新的签约数据存储于eUICC签约数据集(EIS)中，且置这个新的签约数据为未激活状态。

步骤421，SM-SR向SM-DP发送注册信息下载确认。

步骤422，接到用户申请开通新签约数据后，运营商向SM-SR发送新签约数据激活请求，SM-SR确认该新签约数据集中的规则信息是否允许切换；若允许，则签署一个注册激活请求给eUICC的ISD-R，eUICC继续进行本地执行规则的确认；如果有冲突，ISD-R停止该过程，并且告知SM-SR；如果没有冲突，ISD-R进行签约数据切换，并告知切换结果给SM-SR，SM-SR再告知运营商切换结果。随后，运营商再通过SM-SR将原签约数据禁用，此过程也要经过上面所述两次规则信息的确认后再执行操作。

步骤421，SM-DP给运营商发送发送注册消息下载成功的消息。

运营商确定对某签约数据不再启用，并将彻底删除时，可以进行eUICC卡内该签约数据的删除的操作。

本发明实施例中，当eUICC在eUICC卡制造商处制作完成后，卡制造商先将eUICC内部预存储的签约数据发送给SM-SR进行注册，所述签约数据包括并不限于签约数据类别、应用标识、ICCID、MSISDN、签约数据状态、需分配内存、管理策略。

SM-DP到SM-SR、SM-SR到SM-SR之间的通信首先进行身份的双向认证，确认身份正确后再可进行通信。

本发明实施例中，SM-DP在将约签数据中的关键个人信息(包括且不限于密钥、信任状)下发给eUICC前，首先进行一个密钥协商流程以确定一个加密密钥，之后将关键个人信息进行加密，然后将加密后的关键个人信息通过Web Service或SSL建立的安全传输通道进行传送。

本发明实施例中，在SM-DP和SM-SR进行空口数据传输时，在SM-DP、SM-SR内部设置计数器，SM-DP、SM-SR在发送时按照一定的顺序发送指令并不允许重复发送相同的报文，SM-DP、SM-SR和接收端各自维护自己的计数器，且计数器作为参数参与认证计算。

本发明实施例中，SM-DP和eUICC在安装之前按照一定的规则对是否能够安装进行多次确认，若安装无法完成，将会自动回退到初始的签约数据。

本发明实施例中，eUICC或所在的M2M(Machine to Machine，机器与机器)设备被设置为无权限读取或修改关键个人信息数据。

本发明实施例中，关键个人信息数据被存储于单独立的空间中；所述单独的独立空间可以是硬件安全模块等。

基于图3、图4所示的架构，如图7所示，本发明实施例提供的智能卡的空中配号方法，可包括以下处理流程：

步骤501，运营商向远程管理平台之SM-DP发送注册信息下载请求，携带参数包括(SM-SR的标识SRID，eUICC标识EID，ICCID，激活请求)；

步骤502，目的远程管理平台(SM-DP)识别接收的SM-SR标识是否正确；

步骤503，SM-DP和SM-SR进行双向鉴权；

步骤504，鉴权通过的话，SM-DP向SM-SR传送eUICC卡信息集EIS条目请求(参数eUICC标识EID)；

步骤505，SM-SR根据eUICC标识EID查找、获取对应的EIS条目，并向SM-DP返回EIS条目信息；

步骤506，SM-DP判断该eUICC是否可用。如果可用，继续执行步骤7，如果不可用，则执行步骤13，给SM-SR通知发生的错误。

步骤507，SM-DP向SM-SR发送IS-DP安装请求；

步骤508，SM-SR和eUICC进行双向鉴权，并进行ISD-P创建过程，创建完成后SM-SR向SM-DP发送创建确认消息；

步骤509，SM-DP和eUICC进行ISD-P密钥建立流程，并利用ISD-P密钥对注册的个人信息部分进行加密，将加密后的数据下载并安装注册信息通过安全传输通道传送给eUICC；

步骤510，eUICC接收到数据后，解密数据并安装ISD-P，成功后给SM-DP发送安装成功确认消息，SM-DP给SM-SR也发一个ISD-P安装结果的确认消息，SM-SR更新(加入新的注册信息)注册信息，并给SM-DP发送注册信息下载确认；

步骤511，eUICC激活相应的注册消息，给SM-DP发送激活成功的消息；

步骤512，SM-DP给运营商发送发送注册消息下载成功的消息。

图8为本发明实施例一的智能卡的空中配号装置的组成结构示意图，如图8所示，本发明实施例的智能卡的远程签约管理平台切换装置包括：

第一接收单元60，设置为接收运营商发送的下载请求；

认证单元61，设置为基于所述下载请求中的用户设备卡的ID和预注册的SM-SR标识与所述SM-SR进行双向鉴权认证；

第二接收单元62，设置为在鉴权通过后，接收所述SM-SR发送的所述SM-SR依据所述用户设备卡的ID提取的嵌入式智能卡eUICC预设信息；

确定单元63，设置为基于所述eUICC预设信息确定所述eUICC能否下载签约数据；

通知单元64，设置为通过所述SM-SR向所述eUICC通知建立新ISD-P；

第三接收单元65，设置为接收到所述eUICC建立新ISD-P的通知；

协商单元66，设置为通过所述SM-SR与所述eUICC的新ISD-P协商签约数据的传输密钥；

加密单元67，设置为从已生成的签约数据中选择一个，利用所述传输密钥对所选择的签约数据进行加密；

第一发送单元68，设置为将加密后的签约数据向所述eUICC的新ISD-P发送。

在图8所示的智能卡的空中配号装置的基础上，本发明实施例的智能卡的空中配号装置还包括：

第四接收单元(图8中未示出)，设置为接收运营商发送的签约数据预生成指令；

生成单元(图8中未示出)，设置为根据所述预生成指令中携带的相关数据生成签约数据。

所述相关数据包括以下数据至少之一：

第五接收单元(图8中未示出)，设置为接收所述新ISD-P发送的签约数据的安装结果；

第二发送单元(图8中未示出)，设置为将所述安装结果向SM-SR发送。

所述协商单元66，还设置为在所述第一发送单元将约签数据中的关键个人信息向eUICC发送前，进行密钥协商以确定加密密钥；

所述第一发送单元68还设置为将加密后的关键个人信息通过网页业务Web Service或安全套接层SSL建立的安全传输通道进行传送。

设置单元(图8中未示出)，设置为在SM-DP与所述SM-SR进行空口数据传输时，分别在所述SM-DP和所述SM-SR内部设置计数器，所述SM-DP和所述SM-SR在发送数据时按照设定的顺序发送，不允许重复发送相同的数据，所述SM-DP和所述SM-SR各自维护自身的计数器，且计数器作为参数参与认证计算。

本领域技术人员应当理解，图8所示的智能卡的空中配号装置中的各单元的实现功能可参照前述智能卡的远程签约管理平台切换方法的相关描述而理解。图8所示的确定单元、认证单元、协商单元、加密单元等均可以通过微处理器、FPGA(Field－Programmable Gate Array，现场可编程门阵列)、数字信号处理器等实现，发送单元、通知单元和接收单元可以通过空口天线系统或有线接口等的方式实现。

图9为本发明实施例一的智能卡的空中配号装置的组成结构示意图，如图9所示，本发明实施例的智能卡的远程签约管理平台切换装置包括：

第一接收单元70，设置为接收SM-DP鉴权请求；

鉴权单元71，设置为与SM-DP进行鉴权认证；

第二接收单元72，设置为在鉴权通过后，接收所述SM-DP发送的用户设备卡的ID；

提取单元73，设置为基于所述用户设备卡的ID提取与所述用户设备卡对应的eUICC预设信息；

第一发送单元74，设置为将所述eUICC预设信息向所述SM-DP发送；

第三接收单元75，设置为接收所述SM-DP发送的签署安装新ISD-P请求；

认证单元76，设置为与所述eUICC中的ISD-R进行双向鉴权认证；

第四接收单元77，设置为接收所述ISD-R发送的建立新ISD-P的响应消息后，将所述响应消息向所述SM-DP发送。

在图9所示的智能卡的空中配号装置的基础上，本发明实施例的智能卡的空中配号装置还包括：

第五接收单元(图9中未示出)，设置为接收所述SM-DP发送的新ISD-P的签约数据的安装结果；

更新单元(图9中未示出)，设置为对数据库进行更新，将所述签约数据存储于eUICC签约数据集中，且将所述签约数据设置为未激活状态。

第六接收单元(图9中未示出)，设置为接收运营商发送的所述签约数据的激活请求；

确定单元(图9中未示出)，设置为确定所述eUICC签约数据集中的规则信息是否允许切换；允许时，触发第二发送单元；

第二发送单元(图9中未示出)，设置为向所述eUICC发送注册激活请求；

第八接收单元(图9中未示出)，设置为接收所述eUICC制造商的注册请求；

注册单元(图9中未示出)，设置为将所述注册请求中的签约数据进行注册，所述签约数据包括以下信息至少之一：

本领域技术人员应当理解，图9所示的智能卡的远程签约管理平台切换装置中的各单元的实现功能可参照前述智能卡的远程签约管理平台切换方法的相关描述而理解。图9所示的鉴权单元、认证单元、提取单元等均可以通过微处理器、FPGA、数字信号处理器等实现，发送单元和接收单元可以通过空口天线系统或有线接口等的方式实现。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其他的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其他形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(ROM，Read Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本发明实施例上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、只读存储器(ROM，Read Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

工业实用性

Claims

一种智能卡的空中配号方法，所述方法包括：

用户签约数据管理—数据准备SM-DP接收运营商发送的下载请求，基于所述下载请求中的用户设备卡的标识ID和预注册的用户签约数据管理—安全路由SM-SR标识与所述SM-SR进行双向鉴权认证；

鉴权通过后，所述SM-DP接收所述SM-SR发送的所述SM-SR依据所述用户设备卡的ID提取的嵌入式智能卡eUICC预设信息；

所述SM-DP基于所述eUICC预设信息确定所述eUICC能下载签约数据时，通过所述SM-SR向所述eUICC通知建立新证书发行方安全域配置ISD-P，并在接收到所述eUICC建立新ISD-P的通知后，通过所述SM-SR与所述eUICC的新ISD-P协商签约数据的传输密钥；

所述SM-DP从已生成的签约数据中选择一个，利用所述传输密钥对所选择的签约数据进行加密，并将加密后的签约数据向所述eUICC的新ISD-P发送。
根据权利要求1所述的方法，所述方法还包括：

所述SM-DP接收运营商发送的签约数据预生成指令，根据所述预生成指令中携带的相关数据生成签约数据。
根据权利要求2所述的方法，其中，所述相关数据包括以下数据至少之一：

预定的签约数据数量、签约数据要求、有效的国际移动用户识别码IMSI范围。
根据权利要求1所述的方法，所述方法还包括：

所述SM-DP接收到所述新ISD-P发送的签约数据的安装结果后，将所述安装结果向SM-SR发送。
根据权利要求1至4任一项所述的方法，所述方法还包括：

所述SM-DP在将约签数据中的关键个人信息向eUICC发送前，进行密钥协商以确定加密密钥，利用所述加密密钥将所述关键个人信息进行加密，将加密后的关键个人信息通过网页业务Web Service或安全套接层SSL建立的安全传输通道进行传送。
根据权利要求1至5任一项所述的方法，所述方法还包括：

所述SM-DP与所述SM-SR进行空口数据传输时，分别在所述SM-DP和所述SM-SR内部设置计数器，所述SM-DP和所述SM-SR在发送数据时按照设定的顺序发送，不允许重复发送相同的数据，所述SM-DP和所述SM-SR各自维护自身的计数器，且计数器作为参数参与认证计算。
根据权利要求1至6任一项所述的方法，所述方法还包括：

所述SM-DP在所述eUICC安装签约数据失败时，使所述eUICC自动回退到初始的签约数据。
根据权利要求1至7任一项所述的方法，所述方法还包括：

所述eUICC或所述eUICC所在的物联网终端被设置为无权限读取或修改关键个人信息数据；所述关键个人信息数据被存储于单独立的空间中，所述单独的独立空间包括硬件安全模块。
一种智能卡的空中配号方法，所述方法包括：

用户签约数据管理—安全路由SM-SR接收到用户签约数据管理—数据准备SM-DP鉴权请求后，与SM-DP进行鉴权认证；

鉴权通过后，SM-SR接收所述SM-DP发送的用户设备卡的标识ID，并基于所述用户设备卡的ID提取与所述用户设备卡对应的嵌入式智能卡eUICC预设信息，将所述eUICC预设信息向所述SM-DP发送；

所述SM-SR接收所述SM-DP发送的签署安装新证书发行方安全域配置ISD-P请求后，所述SM-SR与所述eUICC中的ISD-R进行双向鉴权认证；

所述SM-SR接收所述ISD-R发送的建立新ISD-P的响应消息后，将所述响应消息向所述SM-DP发送。
根据权利要求9所述的方法，所述方法还包括：

所述SM-SR接收所述SM-DP发送的新ISD-P的签约数据的安装结果后，对数据库进行更新，将所述签约数据存储于eUICC签约数据集中，且将所述签约数据设置为未激活状态。
根据权利要求10所述的方法，所述方法还包括：

所述SM-SR接收运营商发送的所述签约数据的激活请求后，确定所述eUICC签约数据集中的规则信息是否允许切换；允许时，向所述eUICC发送注册激活请求；

所述SM-SR接收所述ISD-R签约数据切换成功的消息时，将所述签约数据设置为激活状态，将切换结果通知所述运营商。
根据权利要求10所述的方法，所述方法还包括：

所述SM-SR接收eUICC制造商的注册请求后，将所述注册请求中的签约数据进行注册，所述签约数据包括以下信息至少之一：

签约数据类别、应用标识、eUICC ID、eUICC卡号、签约数据状态、需分配内存、管理策略。
一种智能卡的空中配号装置，所述装置包括：

第一接收单元，设置为接收运营商发送的下载请求；

认证单元，设置为基于所述下载请求中的用户设备卡的标识ID和预注册的用户签约数据管理—安全路由SM-SR标识与所述SM-SR进行双向鉴权认证；

第二接收单元，设置为在鉴权通过后，接收所述SM-SR发送的所述SM-SR依据所述用户设备卡的ID提取的嵌入式智能卡eUICC预设信息；

确定单元，设置为基于所述eUICC预设信息确定所述eUICC能否下载签约数据；

通知单元，设置为通过所述SM-SR向所述eUICC通知建立新证书发行方安全域配置ISD-P；

第三接收单元，设置为接收到所述eUICC建立新ISD-P的通知；

协商单元，设置为通过所述SM-SR与所述eUICC的新ISD-P协商签约数据的传输密钥；

加密单元，设置为从已生成的签约数据中选择一个，利用所述传输密钥对所选择的签约数据进行加密；

第一发送单元，设置为将加密后的签约数据向所述eUICC的新ISD-P发送。
根据权利要求13所述的装置，所述装置还包括：

第四接收单元，设置为接收运营商发送的签约数据预生成指令；

生成单元，设置为根据所述预生成指令中携带的相关数据生成签约数据。
根据权利要求14所述的装置，其中，所述相关数据包括以下数据至少之一：

预定的签约数据数量、签约数据要求、有效的国际移动用户识别码IMSI范围。
根据权利要求13所述的装置，所述装置还包括：

第五接收单元，设置为接收所述新ISD-P发送的签约数据的安装结果；

第二发送单元，设置为将所述安装结果向SM-SR发送。
根据权利要求13至16任一项所述的装置，所述装置还包括：

所述协商单元，还设置为在所述第一发送单元将约签数据中的关键个人信息向eUICC发送前，进行密钥协商以确定加密密钥；

所述第一发送单元还设置为将加密后的关键个人信息通过网页业务Web Service或安全套接层SSL建立的安全传输通道进行传送。
根据权利要求13至17任一项所述的装置，所述装置还包括：

设置单元，设置为在SM-DP与所述SM-SR进行空口数据传输时，分别在所述SM-DP和所述SM-SR内部设置计数器，所述SM-DP和所述SM-SR在发送数据时按照设定的顺序发送，不允许重复发送相同的数据，所述SM-DP和所述SM-SR各自维护自身的计数器，且计数器作为参数参与认证计算。
一种智能卡的空中配号装置，所述装置包括：

第一接收单元，设置为接收用户签约数据管理—数据准备SM-DP鉴权请求；

鉴权单元，设置为与SM-DP进行鉴权认证；

第二接收单元，设置为在鉴权通过后，接收所述SM-DP发送的用户设备卡的标识ID；

提取单元，设置为基于所述用户设备卡的ID提取与所述用户设备卡对应的嵌入式智能卡eUICC预设信息；

第一发送单元，设置为将所述eUICC预设信息向所述SM-DP发送；

第三接收单元，设置为接收所述SM-DP发送的签署安装新证书发行方安全域配置ISD-P请求；

认证单元，设置为与所述eUICC中的ISD-R进行双向鉴权认证；

第四接收单元，设置为接收所述ISD-R发送的建立新ISD-P的响应消息后，将所述响应消息向所述SM-DP发送。
根据权利要求19所述的装置，所述装置还包括：

第五接收单元，设置为接收所述SM-DP发送的新ISD-P的签约数据的安装结果；

更新单元，设置为对数据库进行更新，将所述签约数据存储于eUICC签约数据集中，且将所述签约数据设置为未激活状态。
根据权利要求20所述的装置，所述装置还包括：

第六接收单元，设置为接收运营商发送的所述签约数据的激活请求；

确定单元，设置为确定所述eUICC签约数据集中的规则信息是否允许切换；允许时，触发第二发送单元；

第二发送单元，设置为向所述eUICC发送注册激活请求；

第七接收单元，设置为接收所述ISD-R签约数据切换成功的消息；

所述更新单元，还设置为将所述签约数据设置为激活状态，并将切换结果通知所述运营商。
根据权利要求20所述的装置，所述装置还包括：

第八接收单元，设置为接收eUICC制造商的注册请求；

注册单元，设置为将所述注册请求中的签约数据进行注册，所述签约数据包括以下信息至少之一：

签约数据类别、应用标识、eUICC ID、eUICC卡号、签约数据状态、需分配内存、管理策略。