WO2018107723A1

WO2018107723A1 - 智能卡的远程签约管理平台切换方法及装置、智能卡、sm-sr

Info

Publication number: WO2018107723A1
Application number: PCT/CN2017/090814
Authority: WO
Inventors: 吴传喜
Original assignee: 中兴通讯股份有限公司
Priority date: 2016-12-14
Filing date: 2017-06-29
Publication date: 2018-06-21
Also published as: CN108235302A

Abstract

本公开实施例公开了一种智能卡的远程签约管理平台切换方法及装置，所述方法包括：目的用户签约数据管理—安全路由SM-SR接收到针对嵌入式智能卡eUICC的切换请求后，对涉及eUICC与其他网元实体建立安全通信的信任状数据进行加密，确保所述信任状数据安全传送。

Description

智能卡的远程签约管理平台切换方法及装置、智能卡、SM-SR

技术领域

本公开涉及物联网通信技术，尤其涉及一种智能卡的远程签约管理平台切换方法及装置、智能卡、用户签约数据管理—安全路由(SM-SR，Subscription Manager-Secure Routing)。

背景技术

物联网被称为继计算机、互联网之后，世界信息产业的第三次浪潮，代表了下一代信息技术发展方向，随着物联网技术的普及，越来越多传统商品如汽车、智能表具、监控设备等被嵌入一种嵌入式智能卡(eUICC，embedded Universal Integrated Circuit Card)，即将智能卡芯片直接焊接在终端的电路板或直接封装为通信模块，成为物联网终端。

eUICC作为物联网终端接入运营商网络的鉴权工具，以及承载各种应用程序(APP)、数据的安全载体，已经成为物联网发展的关键核心技术。应用于物联网业务的eUICC已不仅仅是一种新的UICC卡形态或用户终端设备形态，还包括为支持这种新形态设备而建立的整体系统，其中eUICC的激活、去激活管理、用户关系管理、远程管理、业务管理和安全管理可能都将是该系统中必不可少的功能。

此外，当前移动网络中电信智能卡根据发行地、使用地以及卡片用途不同，发行采用网络管理区域如省、地市等的方法。但在物联网应用场景下，由于智能卡通常存在于物联网终端中或者焊接在终端中，其发行地及使用地很难在物联网终端生产时确定。在此种应用场景下，需考虑物联网智能卡的首次使用时激活、激活后更换运营配置等业务。因此，物联网业务对智能卡管理提出的新的需求，特别是智能卡空中配号、激活、去激活以及配置更换管理等是首先必须要解决的问题。而eUICC的使用流程与传统UICC卡使用流程发生了较大的改变。传统UICC卡在发行前需要经过生产、选择运营商、定制、发行、激活、使用、终止等环节。在e_UICC情况下，UICC卡在发行前只需要进行基础性的个性化，例如UICC卡ID写入、UICC卡基本认证授权参数的写入、初始签约数据或相关参数的写入，发行后则可以根据运营商提供的新注册描述信息，由用户签约数据管理—数据准备(SM-DP，SubscriptionManager-Data Preparation)重新生成新的签约数据并下载到eUICC中，实现运营商的选择更换。由此可以看出，签约数据的定制过程从卡商公司内部更改为通过空口的制作和安装，尤其是个人化密钥、信任状(Profile Installer Credential)数据的生成和写入。因此空中配号的安全问题凸显出来，一直受到运营商、卡商以及用户的高度关注。空中配号技术的安全威胁包括假冒、窃听、重放、拒绝服务和非授权访问，如身份假冒威胁，在产生、下载、安装、切换签约数据的过程，不同的操作实体会参与进来，例如多个运营商、多个用户签约数据管理—安全路由(SM-SR，Subscription Manager-Secure Routing)，因此身份认证算法不可避免地会被多个操作实体掌握，同时通过信任状获取操作授权时，一旦信任状丢失，则会导致出现非法操作。相关技术中，当eUICC出厂后，由某个运营商的移动网络为其提供服务，但是如果后续需要变更运营商时，就需要改变原来提供服务的运营商的移动网络使用的目的SM-SR，这时就需要将源SM-SR对eUICC的远程管理控制权转移到目的SM-SR。一般来说，目的SM-SR和源SM-SR由不同的管理者进行管理，eUICC在卡制造商处会预先安装一个用于接入SM-SR的配置文件(Provisioning Profile)，用以连接到一个预设的SM-SR，预设的SM-SR用于实现eUICC接入运营商网络所需要的文件如执行文件(Operational Profile)等的下载等操作，而且eUICC中还设置有与预设的SM-SR对应的文件安装信任状，以实现SM-SR可以与eUICC所属内部的文件、数据的下载。然而，在上述的SM-SR的切换过程中，如何保证目的SM-SR中的用于保证eUICC与外部实体建立安全通信的文件管理信任状(Profile Management Credential)不被源SM-SR接触或者获知，目前还没有效的解决方案。

发明内容

为解决上述技术问题，本公开实施例提供了一种智能卡的远程签约管理平台切换方法及装置、智能卡、SM-SR。

本公开实施例的技术方案如下：

一种智能卡的远程签约管理平台切换方法，包括：

目的SM-SR接收到针对eUICC的切换请求后，对涉及eUICC与其他网元实体建立安全通信的信任状数据进行加密，确保所述信任状数据能够安全传送。

本公开实施例中，所述信任状数据包括：

用于接入SM-SR的配置文件，所述配置文件用于连接预设的SM-SR，所述预设的SM-SR用于实现eUICC接入运营商网络所需要的文件的下载；

与所述预设的SM-SR对应的文件安装信任状，以实现SM-SR与eUICC之间内部的文件、数据的下载。

本公开实施例中，所述对涉及eUICC与其他网元实体建立安全通信的信任状数据进行加密，确保所述信任状数据能够安全传送，包括：

所述目的SM-SR向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

所述目的SM-SR接收源SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息，向目的用户签约数据管理—数据准备SM-DP发送文件安装信任状及配置文件生成的请求消息；

所述目的SM-SR接收所述目的SM-DP发送的以文件安装信任状加密的配置文件，生成公钥、私钥密钥对，并将以文件安装信任状加密后的配置文件、所述公钥通过所述源SM-SR向所述eUICC发送；

所述目的SM-SR接收所述eUICC发送的接入请求，使用所述私钥对与所述目的SM-SR对应的文件管理信任状进行加密，并将将加密后的与所述目的SM-SR对应的文件管理信任状、SM-SR信任状向所述eUICC发送；

所述目的SM-SR接收所述eUICC发送的接入所述目的SM-SR所属运营商网络所需文件的下载请求，将对应的文件向所述eUICC发送。

所述目的SM-SR向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

所述目的SM-SR接收源SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息，以文件安装信任状加密自身存储的配置文件；生成公钥、私钥密钥对，并将以文件安装信任状加密后的配置文件、所述公钥通过所述源SM-SR向所述eUICC发送；

本公开实施例中，所述确定允许切换至所述目的SM-SR，包括：

切换发起方为所述eUICC时，所述目的SM-SR还向所述目的SM-DP发送能否为所述eUICC提供服务的查询请求，并在接收到所述目的SM-DP发送的能为所述eUICC提供服务的响应消息时，确定允许切换至所述目的SM-SR。

本公开实施例中，所述方法还包括：

切换发起方为所述目的SM-SR的运营商时，所述目的SM-SR向所述源SM-SR发送eUICC切换宿主SM-SR的请求，并与源SM-SR进行双向鉴权认证。

本公开实施例中，所述方法还包括：

源SM-SR与源SM-DP、源SM-SR与目的SM-SR之间、目的SM-SR与目的SM-DP、目的SM-DP与运营商之间，目的SM-SR与目的SM-DP、源SM-SR与eUICC、目的SM-SR与eUICC、eUICC与运营商之间的通信先进行身份的双向认证，认证通过后再进行通信。

本公开实施例中，所述方法还包括：

在源SM-SR与目的SM-SR、源SM-SR与源SM-DP、目的SM-SR与目的SM-DP之间进行空口数据传输时，分别在目的SM-DP、目的SM-SR、源SM-SR、源SM-DP内部设置计数器，目的SM-DP、目的SM-SR、源SM-SR在发送数据时按照设定的顺序发送，不允许重复发送相同的数据，目的SM-DP、目的SM-SR、源SM-SR、源SM-DP和eUICC各自维护自身的计数器，且计数器作为参数参与认证计算。

本公开实施例中，所述方法还包括：

所述目的SM-SR在将约签数据中的关键个人信息向eUICC发送前，首先进行密钥协商以确定加密密钥，利用所述加密密钥将所述关键个人信息进行加密，将加密后的关键个人信息通过网页业务Web Service安全或安全套接层SSL建立的安全传输通道进行传送。

本公开实施例中，所述方法还包括：

所述eUICC或所述eUICC所在的物联网终端被设置为无权限读取或修改关键个人信息数据；所述个人关键数据信息被存储于单独立的空间中，所述单独的独立空间包括硬件安全模块。

一种智能卡的远程签约管理平台切换方法，包括：

源SM-SR接收eUICC发送的切换请求后，向目的SM-SR发送eUICC切换宿主SM-SR的请求；

所述源SM-SR接收所述目的SM-SR发送的同意切换的响应，向所述目的SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

所述源SM-SR接收所述目的SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息、eUICC切换宿主SM-SR的请求，将所述用文件安装信任状加密后的配置文件以及所述公钥信息向所述eUICC发送，并向所述eUICC发送切换宿主SM-SR的请求。

本公开实施例中，所述源SM-SR接收eUICC发送的切换请求后，所述方法还包括：

所述源SM-SR与所述目的SM-SR进行双向鉴权认证，并在双向鉴权认证通过后，向所述目的SM-SR发送eUICC切换宿主SM-SR的请求。

一种智能卡的远程签约管理平台切换方法，包括：

源SM-SR接收目的SM-SR发送的双向鉴权认证请求后，与所述目的SM-SR进行双向鉴权认证，并在双向鉴权认证通过后，接收所述目的SM-SR发送的eUICC切换宿主SM-SR的请求；

所述源SM-SR同意切换时，向所述目的SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

所述源SM-SR接收所述目的SM-SR发送的响应，向所述目的SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

所述源SM-SR接收所述目的SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息，将所述用文件安装信任状加密后的配置文件以及所述公钥信息向所述eUICC发送，并向所述eUICC发送切换宿主SM-SR的请求。

本公开实施例中，所述源SM-SR中存储有文件安装信任状。

本公开实施例中，向所述目的SM-SR发送文件安装信任状的信息之前，所述方法还包括：

所述源SM-SR向源SM-DP发送文件安装信任状的请求，并接收所述源SM-DP发送的文件安装信任状。

一种智能卡的远程签约管理平台切换方法，包括：

eUICC接收源SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息后，去激活或删除与所述源SM-SR相关的配置文件、删除与所述源SM-SR相关的文件管理信任状，激活当前接收的配置文件；并按照所述当前接收的配置文件向目的SM-SR发送接入请求消息；

所述eUICC接收目的SM-SR发送的以所述目的SM-SR的私钥加密的与所述目的SM-SR对应的文件管理信任状以及SM-SR信任状，基于所述SM-SR信任状确定所述目的SM-SR合法时，与所述目的SM-SR进行数据交互。

本公开实施例中，所述方法还包括：

所述eUICC向所述目的SM-SR发送所述目的SM-SR所属的运营商网络所需文件的下载请求，并接收所述目的SM-SR发送的所述目的SM-SR所属的运营商网络所需文件，根据所述目的SM-SR所属的运营商网络所需文件向所述目的SM-SR所属的运营商网络发起接入请求。

本公开实施例中，所述方法还包括：

eUICC在切换到新SM-SR之前，确定切换无法完成时，自动回退到初始的签约数据。

本公开实施例中，所述方法还包括：所述eUICC或所述eUICC所在的物联网终端被设置为无权限读取或修改关键个人信息数据。

本公开实施例中，所述方法还包括：所述个人关键数据信息被存储于单独立的空间中，所述单独的独立空间包括硬件安全模块。

一种智能卡的远程签约管理平台切换方法，包括：

目的SM-SR接收到针对嵌入式智能卡eUICC的切换请求后，向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

所述目的SM-SR接收源SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息，向目的SM-DP发送文件安装信任状及配置文件生成的请求消息；

一种智能卡的远程签约管理平台切换方法，其包括：

一种智能卡的远程签约管理平台切换装置，包括：

接收单元，设置为接收到针对嵌入式智能卡eUICC的切换请求；

加密单元，设置为对涉及eUICC与其他网元实体建立安全通信的信任状数据进行加密，确保所述信任状数据能够安全传送。

本公开实施例中，所述信任状数据包括：

设置为接入SM-SR的配置文件，所述配置文件用于连接预设的SM-SR，所述预设的SM-SR用于实现eUICC接入运营商网络所需要的文件的下载；

本公开实施例中，所述加密单元，包括：

认证子单元，设置为与源SM-SR进行双向鉴权认证；

确定子单元，设置为确定是否允许切换至所述目的SM-SR；

第一发送子单元，设置为在鉴权认证通过且确定允许切换至所述目的SM-SR时，向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

第一接收子单元，设置为接收源SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

第二发送子单元，设置为向目的SM-DP发送文件安装信任状及配置文件生成的请求消息；

第二接收子单元，设置为接收所述目的SM-DP发送的以文件安装信任状加密的配置文件；

生成子单元，设置为生成公钥、私钥密钥对；

第三发送子单元，设置为将以文件安装信任状加密后的配置文件、所述公钥通过所述源SM-SR向所述eUICC发送；

第三接收子单元，设置为接收所述eUICC发送的接入请求；

加密子单元，设置为使用所述私钥对与所述目的SM-SR对应的文件管理信任状进行加密；

第四发送子单元，设置为将加密后的与所述目的SM-SR对应的文件管理信任状、SM-SR信任状向所述eUICC发送；

第四接收子单元，设置为接收所述eUICC发送的接入所述目的SM-SR所属运营商网络所需文件的下载请求；

第五发送子单元，设置为将对应的文件向所述eUICC发送。

或者，本公开实施例中，所述加密单元，包括：

认证子单元，设置为与源SM-SR进行双向鉴权认证；

确定子单元，设置为确定是否允许切换至所述目的SM-SR；

第一加密子单元，设置为以文件安装信任状加密配置文件；

生成子单元，设置为生成公钥、私钥密钥对；

第二发送子单元，设置为将以文件安装信任状加密后的配置文件、所述公钥通过所述源SM-SR向所述eUICC发送；

第二接收子单元，设置为接收所述eUICC发送的接入请求；

第二加密子单元，设置为使用所述私钥对与所述目的SM-SR对应的文件管理信任状进行加密；

第三发送子单元，设置为将加密后的与所述目的SM-SR对应的文件管理信任状、SM-SR信任状向所述eUICC发送；

第三接收子单元，设置为接收所述eUICC发送的接入所述目的SM-SR所属运营商网络所需文件的下载请求；

第四发送子单元，设置为将对应的文件向所述eUICC发送。

本公开实施例中，所述确定子单元，还设置为：

在切换发起方为所述eUICC时，向所述目的SM-DP发送能否为所述eUICC提供服务的查询请求；接收所述目的SM-DP发送的能为所述eUICC 提供服务的响应消息后，确定允许切换至所述目的SM-SR。

本公开实施例中，所述加密单元，还包括：

第六发送子单元，设置为在切换发起方为所述目的SM-SR的运营商时，向所述源SM-SR发送eUICC切换宿主SM-SR的请求，并触发所述认证子单元与源SM-SR进行双向鉴权认证。

一种智能卡的远程签约管理平台切换装置，包括：

第一接收单元，设置为接收eUICC发送的切换请求；

第一发送单元，设置为向目的SM-SR发送eUICC切换宿主SM-SR的请求；

第二接收单元，设置为接收所述目的SM-SR发送的同意切换的响应；

第二发送单元，设置为向所述目的SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

第三接收单元，设置为接收所述目的SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息、eUICC切换宿主SM-SR的请求；

第三发送单元，设置为将所述用文件安装信任状加密后的配置文件以及所述公钥信息向所述eUICC发送，并向所述eUICC发送切换宿主SM-SR的请求。

本公开实施例中，所述装置还包括：

认证单元，设置为与所述目的SM-SR进行双向鉴权认证；

第四发送单元，设置为在双向鉴权认证通过后，向所述目的SM-SR发送eUICC切换宿主SM-SR的请求。

一种智能卡的远程签约管理平台切换装置，包括：

第一接收单元，设置为接收目的SM-SR发送的双向鉴权认证请求；

认证单元，设置为与所述目的SM-SR进行双向鉴权认证；

第二接收单元，设置为在双向鉴权认证通过后，接收所述目的SM-SR 发送的eUICC切换宿主SM-SR的请求；

第一发送单元，设置为向所述目的SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

第三接收单元，设置为接收所述目的SM-SR发送的响应，向所述目的SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

第四接收单元，设置为接收所述目的SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息；

第二发送单元，设置为将所述用文件安装信任状加密后的配置文件以及所述公钥信息向所述eUICC发送，并向所述eUICC发送切换宿主SM-SR的请求。

本公开实施例中，所述装置还包括：

存储单元，设置为存储有文件安装信任状。

本公开实施例中，所述装置还包括：

第三发送单元，设置为向源SM-DP发送文件安装信任状的请求；

第五接收单元，设置为接收所述源SM-DP发送的文件安装信任状。

一种智能卡的远程签约管理平台切换装置，包括：

第一接收单元，设置为接收源SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息；

去激活删除单元，设置为去激活或删除与所述源SM-SR相关的配置文件、删除与所述源SM-SR相关的文件管理信任状；

激活单元，设置为激活当前接收的配置文件；

第一发送单元，设置为按照所述当前接收的配置文件向目的SM-SR发送接入请求消息；

第二接收单元，设置为接收目的SM-SR发送的以所述目的SM-SR的私钥加密的与所述目的SM-SR对应的文件管理信任状以及SM-SR信任状；

确定单元，设置为基于所述SM-SR信任状确定所述目的SM-SR是否合法，合法时触发交互单元；

交互单元，设置为与所述目的SM-SR进行数据交互。

本公开实施例中，所述交互单元还包括：

第一发送子单元，设置为向所述目的SM-SR发送所述目的SM-SR所属的运营商网络所需文件的下载请求；

接收子单元，设置为接收所述目的SM-SR发送的所述目的SM-SR所属的运营商网络所需文件；

第二发送子单元，设置为根据所述目的SM-SR所属的运营商网络所需文件向所述目的SM-SR所属的运营商网络发起接入请求。

一种智能卡，所述智能卡应用于机器类型通信终端中，所述智能卡包括：

天线系统，设置为接收源SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息；

处理器，设置为去激活或删除与所述源SM-SR相关的配置文件、删除与所述源SM-SR相关的文件管理信任状，激活当前接收的配置文件；

天线系统，还设置为按照所述当前接收的配置文件向目的SM-SR发送接入请求消息；接收目的SM-SR发送的以所述目的SM-SR的私钥加密的与所述目的SM-SR对应的文件管理信任状以及SM-SR信任状；

处理器，还设置为基于所述SM-SR信任状确定所述目的SM-SR是否合法，合法时与所述目的SM-SR进行数据交互。

本公开实施例中，所述天线系统，还设置为向所述目的SM-SR发送所述目的SM-SR所属的运营商网络所需文件的下载请求；接收所述目的SM-SR发送的所述目的SM-SR所属的运营商网络所需文件；并根据所述目的SM-SR所属的运营商网络所需文件向所述目的SM-SR所属的运营商网络发起接入请求。

一种用户签约数据管理安全路由，所述用户签约数据管理安全路由SM-SR包括：

天线系统，设置为接收到针对嵌入式智能卡eUICC的切换请求；

处理器，设置为对涉及eUICC与其他网元实体建立安全通信的信任状数据进行加密，确保所述信任状数据能够安全传送。

本公开实施例中，所述信任状数据包括：

本公开实施例中，所述处理器，还设置为

向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

接收源SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息，向目的用户签约数据管理—数据准备SM-DP发送文件安装信任状及配置文件生成的请求消息；

接收所述目的SM-DP发送的以文件安装信任状加密的配置文件，生成公钥、私钥密钥对，并将以文件安装信任状加密后的配置文件、所述公钥通过所述源SM-SR向所述eUICC发送；

接收所述eUICC发送的接入请求，使用所述私钥对与所述目的SM-SR对应的文件管理信任状进行加密，并将将加密后的与所述目的SM-SR对应的文件管理信任状、SM-SR信任状向所述eUICC发送；

接收所述eUICC发送的接入所述目的SM-SR所属运营商网络所需文件的下载请求，将对应的文件向所述eUICC发送。

本公开实施例中，所述处理器，还设置为

向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

接收源SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息，以文件安装信任状加密自身存储的配置文件；生成公钥、私钥密钥对，并将以文件安装信任状加密后的配置文件、所述公钥通过所述源SM-SR向所述eUICC发送；

一种存储介质，所述存储介质包括存储的程序，其中，所述程序运行时执行上述智能卡的远程签约管理平台切换方法。

本公开实施例的技术方案采用了一种更加安全的方式来保证远程管理平台的安全切换，安全地进行签约管理安全路由设备切换，保证了eUICC的SM-SR切换过程中目的SM-SR的文件管理信任状不被其他外部装置接触或获知的问题。

附图说明

此处所说明的附图用来提供对本公开的进一步理解，构成本公开的一部分，本公开的示意性实施例及其说明用于解释本公开，并不构成对本公开的不当限定。在附图中：

图1为本公开实施例的eUICC远程管理架构示意图；

图2为本公开实施例一的智能卡的远程签约管理平台切换方法的流程图；

图3为本公开实施例二的智能卡的远程签约管理平台切换方法的流程图；

图4为本公开实施例三的智能卡的远程签约管理平台切换方法的流程图；

图5为本公开实施例四的智能卡的远程签约管理平台切换方法的流程图；

图6为本公开实施例一的智能卡的远程签约管理平台切换装置的组成结构示意图；

图7为本公开实施例二的智能卡的远程签约管理平台切换装置的组成结构示意图；

图8为本公开实施例三的智能卡的远程签约管理平台切换装置的组成结构示意图；

图9为本公开实施例四的智能卡的远程签约管理平台切换装置的组成结构示意图。

具体实施方式

实施例一

为了能够更加详尽地了解本公开实施例的特点与技术内容，下面结合附图对本公开实施例的实现进行详细阐述，所附附图仅供参考说明之用，并非用来限定本公开实施例。

本公开实施例记载了一种智能卡的远程签约管理平台切换方法，本示例是以目的SM-SR侧的执行动作进行的说明，所述方法包括：

目的用户签约数据管理—安全路由SM-SR接收到针对嵌入式智能卡eUICC的切换请求后，对涉及eUICC与其他网元实体建立安全通信的信任状数据进行加密，确保所述信任状数据能够安全传送。

本示例中，所述信任状数据包括：

所述对涉及eUICC与其他网元实体建立安全通信的信任状数据进行加密，确保所述信任状数据能够安全传送，包括：

所述目的SM-SR向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

或者，作为一种实现方式，所述对涉及eUICC与其他网元实体建立安全通信的信任状数据进行加密，确保所述信任状数据能够安全传送，包括：

所述目的SM-SR向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

所述确定允许切换至所述目的SM-SR，包括：

本公开实施例记载的源SM-SR执行主体的智能卡的远程签约管理平台切换方法，包括：

所述源SM-SR接收eUICC发送的切换请求后，所述方法还包括：

本公开实施例记载的源SM-SR执行主体的另一智能卡的远程签约管理平台切换方法，包括：

本示例中，作为一种实现方式，所述源SM-SR中存储有文件安装信任状。

作为一种实现方式，向所述目的SM-SR发送文件安装信任状的信息之前，所述方法还包括：

本公开实施例记载的eUICC执行主体的智能卡的远程签约管理平台切换方法，包括：

以下通过示例，进一步阐明本公开实施例技术方案的实质。

图1为本公开实施例的eUICC远程管理架构示意图，如图1所示，本公开实施例的eUICC远程管理架构描述了参与eUICC远程管理的三种角色:eUICC制造商、运营商(MNO)和远程管理平台的连接关系。在上述架构中，远程管理平台是eUICC远程管理的核心。eUICC中涉及运营商及卡商的数据须经由远程管理平台生成完整的运营商数据文件后，才能通过空中写号等方式下载到eUICC卡中。此外，运营商数据的变更、eUICC更换运营商等过程也经由远程管理平台完成。远程管理平台功能的实现一定程度上还决定或影响着其它管理功能的实现。其中，远程管理平台处于网络架构的核心地位，远程管理平台的功能主要包括两部分:SM-DP和SM-SR。其中，SM-DP主要负责eUICC卡远程配置的用户签约数据的安全生成、存储和下载；SM-SR主要负责eUICC卡远程配置数据的安全传输和管理。上述功能可以由一个或多个物理实体进行系统实现。

基于图1所示的架构，如图2所示，本公开实施例提供的智能卡的远程签约管理平台切换方法包括以下处理流程：

步骤1，eUICC根据用户请求，激活对应的配置文件，取得目标运营商的相关信息；

步骤2，eUICC向原远程管理平台之宿主SM-SR发送切换请求(并携带目标运营商标识)；

步骤3，原远程管理平台(源SM-SR)与欲切换的远程管理平台(目的SM-SR)进行双向鉴权认证；

步骤4，源SM-SR向目的SM-SR发送eUICC切换宿主SM-SR请求；目的SM-SR向目的SM-DP查询能否为该eUICC提供服务；

步骤5，目的SM-DP向运营商查询能否为该eUICC提供服务；运营商将结果返回，并将结果通过SM-DP返回给目的SM-SR；

步骤6，目的SM-SR确定是否可以切换；当确定不能切换时，结束当前处理流程，能切换时执行步骤7。

步骤7，目的SM-SR向源SR发送同意切换的消息；

步骤8，源SM-SR向目的SM-SR发送包括eUICC信任状、SM-SR信任状、文件安装信任状的消息；

步骤9，目的SM-SR向目的SM-DP发送文件安装信任状及配置文件生成请求消息，目的SM-DP生成配置文件，并将配置文件用文件安装信任状加密；将加密后的配置文件发送给目的SM-SR；

步骤10，目的SM-SR通过运算产生一对公钥、私钥密钥对，作为临时使用；并将用文件安装信任状加密后的配置文件以及上述公钥发送给源SM-SR；

步骤11，源SM-SR将加密后的配置文件、公钥传给eUICC并向eUICC发送更换其SM-SR的请求，eUICC将与源SM-SR相关的配置文件去激活(或删除)、与源SM-SR相关的文件管理信任状删除，并激活刚接收到的配置文件；按照刚激的配置文件向的目的SM-SR发送接入请求消息；

步骤12，目的SM-SR判断该eUICC公开是否合法，如果合法，目的SM-SR采用私钥对与目的SM-SR对应的文件管理信任状进行加密；并将将加密后的与目的SM-SR对应的文件管理信任状以及SM-SR信任状发送给eUICC；

步骤13，eUICC根据SM-SR信任状判断SM-SR的合法性,如果合法，则和目的SM-SR进行数据传送，eUICC与SM-SR交互,实现eUICC接入该运营商网络所需文件的下载，eUICC根据下载的网络接入相关文件向该运营商网络发起接入请求。

基于图1所示的架构，如图3所示，本公开实施例提供的智能卡的远程签约管理平台切换方法包括以下处理流程：

步骤6，目的SM-SR判断是否可以进行切换，如果不能切换则结束当前处理流程，可以切换时，执行步骤7；

步骤7，目的SM-SR向源SR发送同意切换的消息；

步骤13，eUICC根据SM-SR信任状判断SM-SR的合法性，如果合法，则和目的SM-SR进行数据传送，eUICC与SM-SR交互，实现eUICC 接入该运营商网络所需文件的下载，eUICC根据下载的网络接入相关文件向该运营商网络发起接入请求。

基于图1所示的架构，如图4所示，本公开实施例提供的智能卡的远程签约管理平台切换方法，在用户发起运营商变更的情况下，包括以下处理流程：

步骤1101，eUICC根据用户请求，激活对应的配置文件，取得目的运营商的相关信息；

步骤1103，eUICC向原远程管理平台之宿主SM-SR发送切换请求(并携带目的运营商标识)；

步骤1105，原远程管理平台(源SM-SR)与欲切换的远程管理平台(目的SM-SR)进行双向鉴权认证；

步骤1107，源SM-SR向目的SM-SR发送eUICC切换宿主SM-SR请求；目的SM-SR向目的SM-DP查询能否为该eUICC提供服务；

步骤1109，SM-DP向运营商查询能否为该eUICC提供服务；运营商将结果返回，并将结果通过SM-DP返回给SM-SR；

步骤1111，如果查询结果是可以切换，则目的SM-SR向源SR发送同意切换的消息；

步骤1113，源SM-SR向目的SM-SR发送包括eUICC信任状、SM-SR信任状、文件安装信任状的消息；

步骤1115，目的SM-SR向目的SM-DP发送文件安装信任状及配置文件生成请求消息；

步骤1117，目的SM-DP生成配置文件，并将配置文件用文件安装信任状加密；并将加密后的配置文件发送给目的SM-SR；

需要说明的是，作为一种实现方式，文件安装信任状也可以存储于目的SM-SR中，SM-SR也可以自行生成配置文件并存储。此时，步骤1115及1117也可以合并为：由SM-SR直接使用文件安装信任状加密配置文件。

步骤1119，目的SM-SR通过运算产生一对公钥、私钥密钥对，作为临时使用；并将用文件安装信任状加密后的配置文件以及上述公钥发送给源SM-SR；

步骤1121，源SM-SR将加密后的配置文件、公钥传给eUICC并向eUICC发送更换其SM-SR的请求，eUICC将与源SM-SR相关的配置文件去激活(或删除)、与源SM-SR相关的文件管理信任状删除，并激活刚接收到的配置文件；按照刚激活的配置文件向的目的SM-SR发送接入请求消息；

步骤1123，目的SM-SR判断该eUICC公开是否合法，如果合法，目的SM-SR采用私钥对与目的SM-SR对应的文件管理信任状进行加密；并将将加密后的与目的SM-SR对应的文件管理信任状以及SM-SR信任状发送给eUICC；

步骤1125，eUICC根据SM-SR信任状判断SM-SR的合法性，如果合法，则和目的SM-SR进行数据传送，eUICC与SM-SR交互，实现eUICC接入该运营商网络所需文件的下载，eUICC根据下载的网络接入相关文件向该运营商网络发起接入请求。

本公开实施例中，源SM-SR到目的SM-SR之间、目的SM-DP和运营商之间，目的SM-SR和目的SM-DP、源SM-SR和eUICC、目的SM-SR和eUICC、eUICC与运营商之间的通信首先进行身份的双向认证，确认身份正确后再进行通信。

源SM-SR在将约签数据中的关键个人信息(包括且不限于密钥、信任状)下发给eUICC前，需要首先进行一个密钥协商流程以确定一个加密密钥，之后将各新信息进行加密，然后将加密后的关键个人信息通过Web Service安全或安全套接层(SSL，Secure Sockets Layer)建立的安全传输通道进行传送。

在源SM-SR与目的SM-SR、目的SM-SR与目的SM-DP之间进行空口数据传输时，分别在目的SM-DP、目的SM-SR、源SM-SR内部设置计数器，目的SM-DP、目的SM-SR、源SM-SR在发送时按照一定的顺序发送指令并不允许重复发送相同的报文，目的SM-DP、目的SM-SR、源SM-SR和接收端各自维护自身的计数器，且计数器作为参数参与认证计算。

eUICC在切换到新的SM-SR之前，按照一定的规则对是否能够安装进行多次确认，若切换无法完成，将会自动回退到初始的签约数据。

eUICC或所在的物联网设备被设置为无权限读取或修改关键个人信息数据。个人关键数据信息被存储于单独立的空间中；所述单独的独立空间可以是硬件安全模块等。

基于图1所示的架构，如图5所示，本公开实施例提供的智能卡的远程签约管理平台切换方法，在运营商发起远程签约管理平台变更的情况下，包括以下处理流程：

步骤1301，运营商向目的远程管理平台之SM-SR发送eUICC宿主SM-SR切换请求；

步骤1303，目的远程管理平台(目的SM-SR)和源远程管理平台(源SM-SR)进行双向鉴权认证过程；

步骤1305，认证通过后，目的SM-SR向源SM-SR发送eUICC切换宿主SM-SR请求；

步骤1307，源SM-SR同意切换的话(是否同意切换看是否两家运营商有合作协议)，源SM-SR向源SM-DP发送文件安装信任状请求；源 SM-DP向源SM-SR发送文件安装信任状；源SM-SR向目的SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状；

作为一种实现方式，源SM-SR中可以直接存储文件安装信任状，此时源SM-SR将不必向源SM-DP获取文件安装信任状。

步骤1309，目的SM-SR收到源SM-SR发送的数据后，向目的SM-DP发送文件安装信任状，并发送配置文件生成请求消息；

步骤1311，目的SM-DP将配置文件用收到的文件安装信任状加密；并将加密后的配置文件发送给目的SM-SR；

步骤1313，目的SM-SR通过预设的密钥运算方法产生一对公钥、私钥密钥对，作为临时使用；并将用文件安装信任状加密后的配置文件以及上述公钥发送给源SM-SR；同时向源SM-SR发送更换eUICC的SM-SR的请求；

步骤1315，源SM-SR将加密后的配置文件、公钥传给eUICC并向eUICC发送更换其SM-SR的请求，eUICC将与源SM-SR相关的配置文件去激活(或删除)、与源SM-SR相关的文件管理信任状删除，并激活刚接收到的配置文件；按照刚激的配置文件向的目的SM-SR发送接入请求消息；

步骤1317，目的SM-SR判断该eUICC公开是否合法，如果合法，目的SM-SR采用私钥对与目的SM-SR对应的文件管理信任状进行加密；并将将加密后的与目的SM-SR对应的文件管理信任状以及SM-SR信任状发送给eUICC；

步骤1319，eUICC根据SM-SR信任状判断SM-SR的合法性，如果合法，则和目的SM-SR进行数据传送，eUICC与SM-SR交互，实现eUICC接入该运营商网络所需文件的下载，eUICC根据下载的网络接入相关文件向该运营商网络发起接入请求。

本公开实施例中，源SM-SR与源SM-DP、源SM-SR与目的SM-SR之间、目的SM-SR与目的SM-DP、目的SM-DP与运营商之间，目的SM-SR和目的SM-DP、源SM-SR和eUICC、目的SM-SR和eUICC、eUICC与运营商之间的通信首先进行身份的双向认证，确认身份正确后再进行通信。

目的SM-SR在将约签数据中的关键个人信息(包括且不限于密钥、信任状)下发给eUICC前，需要首先进行一个密钥协商流程以确定一个加密密钥，之后将个新信息进行加密，然后将加密后的关键个人信息通过Web Service安全或SSL建立的安全传输通道进行传送。

在源SM-SR与目的SM-SR、源SM-SR与源SM-DP、目的SM-SR与目的SM-DP之间进行空口数据传输时，分别在目的SM-DP、目的SM-SR、源SM-SR、源SM-DP内部设置计数器，目的SM-DP、目的SM-SR、源SM-SR在发送时按照一定的顺序发送指令并不允许重复发送相同的报文，目的SM-DP、目的SM-SR、源SM-SR、源SM-DP和接收端各自维护自身的计数器，且计数器作为参数参与认证计算。

eUICC与相关装置在切换到新的签约之前按照一定的规则对是否能够安装进行多次确认，若切换无法完成，将会自动回退到初始的签约数据。eUICC或所在的M2M设备被设置为无权限读取或修改关键个人信息数据。个人关键数据信息被存储于单独立的空间中；所述单独的独立空间可以是硬件安全模块等。

图6为本公开实施例一的智能卡的远程签约管理平台切换装置的组成结构示意图，如图6所示，本公开实施例的智能卡的远程签约管理平台切换装置包括：

接收单元40，设置为接收到针对嵌入式智能卡eUICC的切换请求；

加密单元41，设置为对涉及eUICC与其他网元实体建立安全通信的信任状数据进行加密，确保所述信任状数据能够安全传送。

所述信任状数据包括：

本公开实施例中，所述加密单元41，包括：

认证子单元(图6中未示出)，设置为与源SM-SR进行双向鉴权认证；

确定子单元(图6中未示出)，设置为确定是否允许切换至所述目的SM-SR；

第一发送子单元(图6中未示出)，设置为在鉴权认证通过且确定允许切换至所述目的SM-SR时，向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

第一接收子单元(图6中未示出)，设置为接收源SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

第二发送子单元(图6中未示出)，设置为向目的SM-DP发送文件安装信任状及配置文件生成的请求消息；

第二接收子单元(图6中未示出)，设置为接收所述目的SM-DP发送的以文件安装信任状加密的配置文件；

生成子单元(图6中未示出)，设置为生成公钥、私钥密钥对；

第三发送子单元(图6中未示出)，设置为将以文件安装信任状加密后的配置文件、所述公钥通过所述源SM-SR向所述eUICC发送；

第三接收子单元(图6中未示出)，设置为接收所述eUICC发送的接入请求；

加密子单元(图6中未示出)，设置为使用所述私钥对与所述目的SM-SR对应的文件管理信任状进行加密；

第四发送子单元(图6中未示出)，设置为将加密后的与所述目的SM-SR对应的文件管理信任状、SM-SR信任状向所述eUICC发送；

第四接收子单元(图6中未示出)，设置为接收所述eUICC发送的接入所述目的SM-SR所属运营商网络所需文件的下载请求；

第五发送子单元(图6中未示出)，设置为将对应的文件向所述eUICC发送。

作为一种实现方式，所述加密单元41，还可以包括：

第一加密子单元(图6中未示出)，设置为以文件安装信任状加密配置文件；

生成子单元(图6中未示出)，设置为生成公钥、私钥密钥对；

第二发送子单元(图6中未示出)，设置为将以文件安装信任状加密后的配置文件、所述公钥通过所述源SM-SR向所述eUICC发送；

第二接收子单元(图6中未示出)，设置为接收所述eUICC发送的接入请求；

第二加密子单元(图6中未示出)，设置为使用所述私钥对与所述目的SM-SR对应的文件管理信任状进行加密；

第三发送子单元(图6中未示出)，设置为将加密后的与所述目的SM-SR对应的文件管理信任状、SM-SR信任状向所述eUICC发送；

第三接收子单元(图6中未示出)，设置为接收所述eUICC发送的接入所述目的SM-SR所属运营商网络所需文件的下载请求；

第四发送子单元(图6中未示出)，设置为将对应的文件向所述eUICC发送。

所述确定子单元，还设置为：

在切换发起方为所述eUICC时，向所述目的SM-DP发送能否为所述eUICC提供服务的查询请求；接收所述目的SM-DP发送的能为所述eUICC提供服务的响应消息后，确定允许切换至所述目的SM-SR。

所述加密单元41，还可以包括：

本领域技术人员应当理解，图6所示的智能卡的远程签约管理平台切换装置中的各单元的实现功能可参照前述智能卡的远程签约管理平台切换方法的相关描述而理解。图6所示的确定单元、认证单元、生成单元、加密单元等均可以通过微处理器、FPGA、数字信号处理器等实现，发送单元和接收单元可以通过空口天线系统或有线接口等的方式实现。

图7为本公开实施例二的智能卡的远程签约管理平台切换装置的组成结构示意图，如图7所示，本公开实施例的智能卡的远程签约管理平台切换装置包括：

第一接收单元50，设置为接收eUICC发送的切换请求；

第一发送单元51，设置为向目的SM-SR发送eUICC切换宿主SM-SR的请求；

第二接收单元52，设置为接收所述目的SM-SR发送的同意切换的响应；

第二发送单元53，设置为向所述目的SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

第三接收单元54，设置为接收所述目的SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息、eUICC切换宿主SM-SR的请求；

第三发送单元55，设置为将所述用文件安装信任状加密后的配置文件以及所述公钥信息向所述eUICC发送，并向所述eUICC发送切换宿主SM-SR的请求。

在图6所示的智能卡的远程签约管理平台切换装置的基础上，本公开实施例的智能卡的远程签约管理平台切换装置还包括：

认证单元(图7中未示出)，设置为与所述目的SM-SR进行双向鉴权认证；

第四发送单元(图7中未示出)，设置为在双向鉴权认证通过后，向所述目的SM-SR发送eUICC切换宿主SM-SR的请求。

本领域技术人员应当理解，图7所示的智能卡的远程签约管理平台切换装置中的各单元的实现功能可参照前述智能卡的远程签约管理平台切换方法的相关描述而理解。图7所示的认证单元等均可以通过微处理器、FPGA、数字信号处理器等实现，发送单元和接收单元可以通过空口天线系统或有线接口等的方式实现。

图8为本公开实施例三的智能卡的远程签约管理平台切换装置的组成结构示意图，如图8所示，本公开实施例的智能卡的远程签约管理平台切换装置包括：

第一接收单元60，设置为接收目的SM-SR发送的双向鉴权认证请求；

认证单元61，设置为与所述目的SM-SR进行双向鉴权认证；

第二接收单元62，设置为在双向鉴权认证通过后，接收所述目的SM-SR发送的eUICC切换宿主SM-SR的请求；

第一发送单元63，设置为向所述目的SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

第三接收单元64，设置为接收所述目的SM-SR发送的响应，向所述目的SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

第四接收单元65，设置为接收所述目的SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息；

第二发送单元66，设置为将所述用文件安装信任状加密后的配置文件以及所述公钥信息向所述eUICC发送，并向所述eUICC发送切换宿主SM-SR的请求。

在图8所示的智能卡的远程签约管理平台切换装置的基础上，本公开实施例的智能卡的远程签约管理平台切换装置还包括：

存储单元(图8中未示出)，设置为存储有文件安装信任状。

第三发送单元(图8中未示出)，设置为向源SM-DP发送文件安装信任状的请求；

第五接收单元(图8中未示出)，设置为接收所述源SM-DP发送的文件安装信任状。

本领域技术人员应当理解，图8所示的智能卡的远程签约管理平台切换装置中的各单元的实现功能可参照前述智能卡的远程签约管理平台切换方法的相关描述而理解。图8所示的认证单元等均可以通过微处理器、FPGA、数字信号处理器等实现，发送单元和接收单元可以通过空口天线系统或有线接口等的方式实现。

图9为本公开实施例四的智能卡的远程签约管理平台切换装置的组成结构示意图，如图9所示，本公开实施例的智能卡的远程签约管理平台切换装置包括：

第一接收单元70，设置为接收源SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息；

去激活删除单元71，设置为去激活或删除与所述源SM-SR相关的配置文件、删除与所述源SM-SR相关的文件管理信任状；

激活单元72，设置为激活当前接收的配置文件；

第一发送单元73，设置为按照所述当前接收的配置文件向目的SM-SR发送接入请求消息；

第二接收单元74，设置为接收目的SM-SR发送的以所述目的SM-SR的私钥加密的与所述目的SM-SR对应的文件管理信任状以及SM-SR信任状；

确定单元75，设置为基于所述SM-SR信任状确定所述目的SM-SR是否合法，合法时触发交互单元；

交互单元76，设置为与所述目的SM-SR进行数据交互。

所述交互单元76还包括：

第一发送子单元(图9中未示出)，设置为向所述目的SM-SR发送所述目的SM-SR所属的运营商网络所需文件的下载请求；

接收子单元(图9中未示出)，设置为接收所述目的SM-SR发送的所述目的SM-SR所属的运营商网络所需文件；

第二发送子单元(图9中未示出)，设置为根据所述目的SM-SR所属的运营商网络所需文件向所述目的SM-SR所属的运营商网络发起接入请求。

本领域技术人员应当理解，图9所示的智能卡的远程签约管理平台切换装置中的各单元的实现功能可参照前述智能卡的远程签约管理平台切换方法的相关描述而理解。图9所示的去激活删除单元、激活单元、确定单元、交互单元等均可以通过微处理器、FPGA、数字信号处理器等实现，发送单元和接收单元可以通过空口天线系统或有线接口等的方式实现。

本公开实施例还记载了一种智能卡，所述智能卡应用于机器类型通信终端中，所述智能卡包括：

所述天线系统，还设置为向所述目的SM-SR发送所述目的SM-SR所属的运营商网络所需文件的下载请求；接收所述目的SM-SR发送的所述目的SM-SR所属的运营商网络所需文件；并根据所述目的SM-SR所属的运营商网络所需文件向所述目的SM-SR所属的运营商网络发起接入请求。

本公开实施例还记载了一种用户签约数据管理安全路由，所述用户签约数据管理安全路由SM-SR包括：

其中，所述信任状数据包括：

所述处理器，还设置为

向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

或者，所述处理器，还设置为

向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

本公开实施例还记载了一种存储介质，可选地，在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的程序代码：

S1，目的用户签约数据管理—安全路由SM-SR接收到针对嵌入式智能卡eUICC的切换请求后，对涉及eUICC与其他网元实体建立安全通信的信任状数据进行加密，确保信任状数据能够安全传送。

可选地，存储介质还被设置为存储用于执行以下步骤的程序代码：

S1，源用户签约数据管理—安全路由SM-SR接收嵌入式智能卡eUICC发送的切换请求后，向目的SM-SR发送eUICC切换宿主SM-SR的请求；

S2，源SM-SR接收目的SM-SR发送的同意切换的响应，向目的SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

S3，源SM-SR接收目的SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息、eUICC切换宿主SM-SR的请求，将用文件安装信任状加密后的配置文件以及公钥信息向eUICC发送，并向eUICC发送切换宿主SM-SR的请求。

在本公开所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其他的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其他形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本公开各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(ROM，Read Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本公开上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本公开实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本公开各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、只读存储器(ROM，Read Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本公开的实施方式，但本公开的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本公开揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本公开的保护范围之内。因此，本公开的保护范围应以所述权利要求的保护范围为准。

工业实用性

通过本公开的技术方案，采用了一种更加安全的方式来保证远程管理平台的安全切换，安全地进行签约管理安全路由设备切换，保证了嵌入式智能卡eUICC的用户签约数据管理—安全路由SM-SR切换过程中目的SM-SR的文件管理信任状不被其他外部装置接触或获知的问题。

Claims

一种智能卡的远程签约管理平台切换方法，所述方法包括：

目的用户签约数据管理—安全路由SM-SR接收到针对嵌入式智能卡eUICC的切换请求后，对涉及eUICC与其他网元实体建立安全通信的信任状数据进行加密，确保所述信任状数据能够安全传送。
根据权利要求1所述的方法，其中，所述信任状数据包括：

用于接入SM-SR的配置文件，所述配置文件用于连接预设的SM-SR，所述预设的SM-SR用于实现eUICC接入运营商网络所需要的文件的下载；

与所述预设的SM-SR对应的文件安装信任状，以实现SM-SR与eUICC之间内部的文件、数据的下载。
根据权利要求1或2所述的方法，其中，所述对涉及eUICC与其他网元实体建立安全通信的信任状数据进行加密，确保所述信任状数据能够安全传送，包括：

所述目的SM-SR向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

所述目的SM-SR接收源SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息，向目的用户签约数据管理—数据准备SM-DP发送文件安装信任状及配置文件生成的请求消息；

所述目的SM-SR接收所述目的SM-DP发送的以文件安装信任状加密的配置文件，生成公钥、私钥密钥对，并将以文件安装信任状加密后的配置文件、所述公钥通过所述源SM-SR向所述eUICC发送；

所述目的SM-SR接收所述eUICC发送的接入请求，使用所述私钥对与所述目的SM-SR对应的文件管理信任状进行加密，并将将加密后的与所述目的SM-SR对应的文件管理信任状、SM-SR信任状向所述eUICC发送；

所述目的SM-SR接收所述eUICC发送的接入所述目的SM-SR所属运营商网络所需文件的下载请求，将对应的文件向所述eUICC发送。
根据权利要求1或2所述的方法，其中，所述对涉及eUICC与其他网元实体建立安全通信的信任状数据进行加密，确保所述信任状数据能够安全传送，包括：

所述目的SM-SR向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

所述目的SM-SR接收源SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息，以文件安装信任状加密自身存储的配置文件；生成公钥、私钥密钥对，并将以文件安装信任状加密后的配置文件、所述公钥通过所述源SM-SR向所述eUICC发送；

所述目的SM-SR接收所述eUICC发送的接入请求，使用所述私钥对与所述目的SM-SR对应的文件管理信任状进行加密，并将将加密后的与所述目的SM-SR对应的文件管理信任状、SM-SR信任状向所述eUICC发送；

所述目的SM-SR接收所述eUICC发送的接入所述目的SM-SR所属运营商网络所需文件的下载请求，将对应的文件向所述eUICC发送。
根据权利要求3所述的方法，其中，所述确定允许切换至所述目的SM-SR，包括：

切换发起方为所述eUICC时，所述目的SM-SR还向所述目的SM-DP发送能否为所述eUICC提供服务的查询请求，并在接收到所述目的SM-DP发送的能为所述eUICC提供服务的响应消息时，确定允许切换至所述目的SM-SR。
根据权利要求3所述的方法，其中，所述方法还包括：

切换发起方为所述目的SM-SR的运营商时，所述目的SM-SR向所述源SM-SR发送eUICC切换宿主SM-SR的请求，并与源SM-SR进行双向鉴权认证。
根据权利要求1至6任一项所述的方法，其中，所述方法还包括：

源SM-SR与源SM-DP、源SM-SR与目的SM-SR之间、目的SM-SR与目的SM-DP、目的SM-DP与运营商之间，目的SM-SR与目的SM-DP、源SM-SR与eUICC、目的SM-SR与eUICC、eUICC与运营商之间的通信先进行身份的双向认证，认证通过后再进行通信。
根据权利要求1至7任一项所述的方法，其中，所述方法还包括：

在源SM-SR与目的SM-SR、源SM-SR与源SM-DP、目的SM-SR与目的SM-DP之间进行空口数据传输时，分别在目的SM-DP、目的SM-SR、源SM-SR、源SM-DP内部设置计数器，目的SM-DP、目的SM-SR、源SM-SR在发送数据时按照设定的顺序发送，不允许重复发送相同的数据，目的SM-DP、目的SM-SR、源SM-SR、源SM-DP和eUICC各自维护自身的计数器，且计数器作为参数参与认证计算。
根据权利要求1至8任一项所述的方法，其中，所述方法还包括：

所述目的SM-SR在将约签数据中的关键个人信息向eUICC发送前，首先进行密钥协商以确定加密密钥，利用所述加密密钥将所述关键个人信息进行加密，将加密后的关键个人信息通过网页业务Web Service安全或安全套接层SSL建立的安全传输通道进行传送。
根据权利要求1至9任一项所述的方法，其中，所述方法还包括：

所述eUICC或所述eUICC所在的物联网终端被设置为无权限读取或修改关键个人信息数据；所述个人关键数据信息被存储于单独立的空间中，所述单独的独立空间包括硬件安全模块。
一种智能卡的远程签约管理平台切换方法，所述方法包括：

源用户签约数据管理—安全路由SM-SR接收嵌入式智能卡eUICC发送的切换请求后，向目的SM-SR发送eUICC切换宿主SM-SR的请求；

所述源SM-SR接收所述目的SM-SR发送的同意切换的响应，向所述目的SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

所述源SM-SR接收所述目的SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息、eUICC切换宿主SM-SR的请求，将所述用文件安装信任状加密后的配置文件以及所述公钥信息向所述eUICC发送，并向所述eUICC发送切换宿主SM-SR的请求。
根据权利要求11所述的方法，其中，所述源SM-SR接收eUICC发送的切换请求后，所述方法还包括：

所述源SM-SR与所述目的SM-SR进行双向鉴权认证，并在双向鉴权认证通过后，向所述目的SM-SR发送eUICC切换宿主SM-SR的请求。
一种智能卡的远程签约管理平台切换方法，所述方法包括：

源用户签约数据管理—安全路由SM-SR接收目的SM-SR发送的双向鉴权认证请求后，与所述目的SM-SR进行双向鉴权认证，并在双向鉴权认证通过后，接收所述目的SM-SR发送的嵌入式智能卡eUICC切换宿主SM-SR的请求；

所述源SM-SR同意切换时，向所述目的SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

所述源SM-SR接收所述目的SM-SR发送的响应，向所述目的SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

所述源SM-SR接收所述目的SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息，将所述用文件安装信任状加密后的配置文件以及所述公钥信息向所述eUICC发送，并向所述eUICC发送切换宿主SM-SR的请求。
根据权利要求13所述的方法，其中，所述源SM-SR中存储有文件安装信任状。
根据权利要求13所述的方法，其中，向所述目的SM-SR发送文件安装信任状的信息之前，所述方法还包括：

所述源SM-SR向源用户签约数据管理—数据准备SM-DP发送文件安装信任状的请求，并接收所述源SM-DP发送的文件安装信任状。
一种智能卡的远程签约管理平台切换方法，所述方法包括：

嵌入式智能卡eUICC接收源用户签约数据管理—安全路由SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息后，去激活或删除与所述源SM-SR相关的配置文件、删除与所述源SM-SR相关的文件管理信任状，激活当前接收的配置文件；并按照所述当前接收的配置文件向目的SM-SR发送接入请求消息；

所述eUICC接收目的SM-SR发送的以所述目的SM-SR的私钥加密的与所述目的SM-SR对应的文件管理信任状以及SM-SR信任状，基于所述SM-SR信任状确定所述目的SM-SR合法时，与所述目的SM-SR进行数据交互。
根据权利要求16所述的方法，其中，所述方法还包括：

所述eUICC向所述目的SM-SR发送所述目的SM-SR所属的运营商网络所需文件的下载请求，并接收所述目的SM-SR发送的所述目的SM-SR所属的运营商网络所需文件，根据所述目的SM-SR所属的运营商网络所需文件向所述目的SM-SR所属的运营商网络发起接入请求。
根据权利要求16所述的方法，其中，所述方法还包括：

eUICC在切换到新SM-SR之前，确定切换无法完成时，自动回退到初始的签约数据。
根据权利要求16所述的方法，其中，所述方法还包括：所述eUICC或所述eUICC所在的物联网终端被设置为无权限读取或修改关键个人信息数据。
根据权利要求19所述的方法，其中，所述方法还包括：所述个人关键数据信息被存储于单独立的空间中，所述单独的独立空间包括硬件安全模块。
一种智能卡的远程签约管理平台切换方法，所述方法包括：

目的用户签约数据管理—安全路由SM-SR接收到针对嵌入式智能卡eUICC的切换请求后，向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

所述目的SM-SR接收源SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息，向目的用户签约数据管理—数据准备SM-DP 发送文件安装信任状及配置文件生成的请求消息；

所述目的SM-SR接收所述目的SM-DP发送的以文件安装信任状加密的配置文件，生成公钥、私钥密钥对，并将以文件安装信任状加密后的配置文件、所述公钥通过所述源SM-SR向所述eUICC发送；

所述目的SM-SR接收所述eUICC发送的接入请求，使用所述私钥对与所述目的SM-SR对应的文件管理信任状进行加密，并将将加密后的与所述目的SM-SR对应的文件管理信任状、SM-SR信任状向所述eUICC发送；

所述目的SM-SR接收所述eUICC发送的接入所述目的SM-SR所属运营商网络所需文件的下载请求，将对应的文件向所述eUICC发送。
一种智能卡的远程签约管理平台切换方法，所述方法包括：

目的用户签约数据管理—安全路由SM-SR接收到针对嵌入式智能卡eUICC的切换请求后，向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

所述目的SM-SR接收源SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息，以文件安装信任状加密自身存储的配置文件；生成公钥、私钥密钥对，并将以文件安装信任状加密后的配置文件、所述公钥通过所述源SM-SR向所述eUICC发送；

所述目的SM-SR接收所述eUICC发送的接入请求，使用所述私钥对与所述目的SM-SR对应的文件管理信任状进行加密，并将将加密后的与所述目的SM-SR对应的文件管理信任状、SM-SR信任状向所述eUICC发送；

所述目的SM-SR接收所述eUICC发送的接入所述目的SM-SR所属运营商网络所需文件的下载请求，将对应的文件向所述eUICC发送。
一种智能卡的远程签约管理平台切换装置，所述装置包括：

接收单元，设置为接收到针对嵌入式智能卡eUICC的切换请求；

加密单元，设置为对涉及eUICC与其他网元实体建立安全通信的信任状数据进行加密，确保所述信任状数据能够安全传送。
根据权利要求23所述的装置，其中，所述信任状数据包括：

设置为接入用户签约数据管理—安全路由SM-SR的配置文件，所述配置文件用于连接预设的SM-SR，所述预设的SM-SR用于实现eUICC接入运营商网络所需要的文件的下载；

与所述预设的SM-SR对应的文件安装信任状，以实现SM-SR与eUICC之间内部的文件、数据的下载。
根据权利要求23或24所述的装置，其中，所述加密单元，包括：

认证子单元，设置为与源SM-SR进行双向鉴权认证；

确定子单元，设置为确定是否允许切换至所述目的SM-SR；

第一发送子单元，设置为在鉴权认证通过且确定允许切换至所述目的SM-SR时，向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

第一接收子单元，设置为接收源SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

第二发送子单元，设置为向目的用户签约数据管理—数据准备SM-DP发送文件安装信任状及配置文件生成的请求消息；

第二接收子单元，设置为接收所述目的SM-DP发送的以文件安装信任状加密的配置文件；

生成子单元，设置为生成公钥、私钥密钥对；

第三发送子单元，设置为将以文件安装信任状加密后的配置文件、所述公钥通过所述源SM-SR向所述eUICC发送；

第三接收子单元，设置为接收所述eUICC发送的接入请求；

加密子单元，设置为使用所述私钥对与所述目的SM-SR对应的文件管理信任状进行加密；

第四发送子单元，设置为将加密后的与所述目的SM-SR对应的文件管理信任状、SM-SR信任状向所述eUICC发送；

第四接收子单元，设置为接收所述eUICC发送的接入所述目的SM-SR所属运营商网络所需文件的下载请求；

第五发送子单元，设置为将对应的文件向所述eUICC发送。
根据权利要求23或24所述的装置，其中，所述加密单元，包括：

认证子单元，设置为与源SM-SR进行双向鉴权认证；

确定子单元，设置为确定是否允许切换至所述目的SM-SR；

第一发送子单元，设置为在鉴权认证通过且确定允许切换至所述目的SM-SR时，向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

第一接收子单元，设置为接收源SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

第一加密子单元，设置为以文件安装信任状加密配置文件；

生成子单元，设置为生成公钥、私钥密钥对；

第二发送子单元，设置为将以文件安装信任状加密后的配置文件、所述公钥通过所述源SM-SR向所述eUICC发送；

第二接收子单元，设置为接收所述eUICC发送的接入请求；

第二加密子单元，设置为使用所述私钥对与所述目的SM-SR对应的文件管理信任状进行加密；

第三发送子单元，设置为将加密后的与所述目的SM-SR对应的文件管理信任状、SM-SR信任状向所述eUICC发送；

第三接收子单元，设置为接收所述eUICC发送的接入所述目的SM-SR所属运营商网络所需文件的下载请求；

第四发送子单元，设置为将对应的文件向所述eUICC发送。
根据权利要求25所述的装置，其中，所述确定子单元，还设置为：

在切换发起方为所述eUICC时，向所述目的SM-DP发送能否为所述eUICC提供服务的查询请求；接收所述目的SM-DP发送的能为所述eUICC提供服务的响应消息后，确定允许切换至所述目的SM-SR。
根据权利要求25所述的装置，其中，所述加密单元，还包括：

第六发送子单元，设置为在切换发起方为所述目的SM-SR的运营商时，向所述源SM-SR发送eUICC切换宿主SM-SR的请求，并触发所述认证子单元与源SM-SR进行双向鉴权认证。
一种智能卡的远程签约管理平台切换装置，所述装置包括：

第一接收单元，设置为接收嵌入式智能卡eUICC发送的切换请求；

第一发送单元，设置为向目的用户签约数据管理—安全路由SM-SR发送eUICC切换宿主SM-SR的请求；

第二接收单元，设置为接收所述目的SM-SR发送的同意切换的响应；

第二发送单元，设置为向所述目的SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

第三接收单元，设置为接收所述目的SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息、eUICC切换宿主SM-SR的请求；

第三发送单元，设置为将所述用文件安装信任状加密后的配置文件以及所述公钥信息向所述eUICC发送，并向所述eUICC发送切换宿主SM-SR的请求。
根据权利要求29所述的装置，其中，所述装置还包括：

认证单元，设置为与所述目的SM-SR进行双向鉴权认证；

第四发送单元，设置为在双向鉴权认证通过后，向所述目的SM-SR发送eUICC切换宿主SM-SR的请求。
一种智能卡的远程签约管理平台切换装置，所述装置包括：

第一接收单元，设置为接收目的用户签约数据管理—安全路由SM-SR发送的双向鉴权认证请求；

认证单元，设置为与所述目的SM-SR进行双向鉴权认证；

第二接收单元，设置为在双向鉴权认证通过后，接收所述目的SM-SR发送的嵌入式智能卡eUICC切换宿主SM-SR的请求；

第一发送单元，设置为向所述目的SM-SR发送eUICC信任状、 SM-SR信任状、文件安装信任状的信息；

第三接收单元，设置为接收所述目的SM-SR发送的响应，向所述目的SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息；

第四接收单元，设置为接收所述目的SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息；

第二发送单元，设置为将所述用文件安装信任状加密后的配置文件以及所述公钥信息向所述eUICC发送，并向所述eUICC发送切换宿主SM-SR的请求。
根据权利要求31所述的装置，其中，所述装置还包括：

存储单元，设置为存储有文件安装信任状。
根据权利要求31所述的装置，其中，所述装置还包括：

第三发送单元，设置为向源用户签约数据管理—数据准备SM-DP发送文件安装信任状的请求；

第五接收单元，设置为接收所述源SM-DP发送的文件安装信任状。
一种智能卡的远程签约管理平台切换装置，所述装置包括：

第一接收单元，设置为接收源用户签约数据管理—安全路由SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息；

去激活删除单元，设置为去激活或删除与所述源SM-SR相关的配置文件、删除与所述源SM-SR相关的文件管理信任状；

激活单元，设置为激活当前接收的配置文件；

第一发送单元，设置为按照所述当前接收的配置文件向目的SM-SR发送接入请求消息；

第二接收单元，设置为接收目的SM-SR发送的以所述目的SM-SR的私钥加密的与所述目的SM-SR对应的文件管理信任状以及SM-SR信任状；

确定单元，设置为基于所述SM-SR信任状确定所述目的SM-SR是否合法，合法时触发交互单元；

交互单元，设置为与所述目的SM-SR进行数据交互。
根据权利要求34所述的装置，其中，所述交互单元还包括：

第一发送子单元，设置为向所述目的SM-SR发送所述目的SM-SR所属的运营商网络所需文件的下载请求；

接收子单元，设置为接收所述目的SM-SR发送的所述目的SM-SR所属的运营商网络所需文件；

第二发送子单元，设置为根据所述目的SM-SR所属的运营商网络所需文件向所述目的SM-SR所属的运营商网络发起接入请求。
一种智能卡，所述智能卡应用于机器类型通信终端中，所述智能卡包括：

天线系统，设置为接收源用户签约数据管理—安全路由SM-SR发送的用文件安装信任状加密后的配置文件以及公钥信息；

处理器，设置为去激活或删除与所述源SM-SR相关的配置文件、删除与所述源SM-SR相关的文件管理信任状，激活当前接收的配置文件；

天线系统，还设置为按照所述当前接收的配置文件向目的SM-SR发送接入请求消息；接收目的SM-SR发送的以所述目的SM-SR的私钥加密的与所述目的SM-SR对应的文件管理信任状以及SM-SR信任状；

处理器，还设置为基于所述SM-SR信任状确定所述目的SM-SR是否合法，合法时与所述目的SM-SR进行数据交互。
根据权利要求36所述的智能卡，其中，所述天线系统，还设置为向所述目的SM-SR发送所述目的SM-SR所属的运营商网络所需文件的下载请求；接收所述目的SM-SR发送的所述目的SM-SR所属的运营商网络所需文件；并根据所述目的SM-SR所属的运营商网络所需文件向所述目的SM-SR所属的运营商网络发起接入请求。
一种用户签约数据管理安全路由，所述用户签约数据管理安全路由SM-SR包括：

天线系统，设置为接收到针对嵌入式智能卡eUICC的切换请求；

处理器，设置为对涉及eUICC与其他网元实体建立安全通信的信任状数据进行加密，确保所述信任状数据能够安全传送。
根据权利要求38所述的SM-SR，其中，所述信任状数据包括：

设置为接入SM-SR的配置文件，所述配置文件用于连接预设的SM-SR，所述预设的SM-SR用于实现eUICC接入运营商网络所需要的文件的下载；

与所述预设的SM-SR对应的文件安装信任状，以实现SM-SR与eUICC之间内部的文件、数据的下载。
根据权利要求38或39所述的SM-SR，其中，所述处理器，还设置为

向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

接收源SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息，向目的用户签约数据管理—数据准备SM-DP发送文件安装信任状及配置文件生成的请求消息；

接收所述目的SM-DP发送的以文件安装信任状加密的配置文件，生成公钥、私钥密钥对，并将以文件安装信任状加密后的配置文件、所述公钥通过所述源SM-SR向所述eUICC发送；

接收所述eUICC发送的接入请求，使用所述私钥对与所述目的SM-SR对应的文件管理信任状进行加密，并将将加密后的与所述目的SM-SR对应的文件管理信任状、SM-SR信任状向所述eUICC发送；

接收所述eUICC发送的接入所述目的SM-SR所属运营商网络所需文件的下载请求，将对应的文件向所述eUICC发送。
根据权利要求38或39所述的SM-SR，其中，所述处理器，还设置为

向所述源SM-SR发送eUICC切换宿主SM-SR的请求；

接收源SM-SR发送eUICC信任状、SM-SR信任状、文件安装信任状的信息，以文件安装信任状加密自身存储的配置文件；生成公钥、私钥密钥对，并将以文件安装信任状加密后的配置文件、所述公钥通过所述源SM-SR向所述eUICC发送；

接收所述eUICC发送的接入请求，使用所述私钥对与所述目的SM-SR对应的文件管理信任状进行加密，并将将加密后的与所述目的SM-SR对应的文件管理信任状、SM-SR信任状向所述eUICC发送；

接收所述eUICC发送的接入所述目的SM-SR所属运营商网络所需文件的下载请求，将对应的文件向所述eUICC发送。
一种存储介质，所述存储介质包括存储的程序，其中，所述程序运行时执行上述权利要求1至20任一项中所述的方法。