【技术实现步骤摘要】
一种鉴权方法、终端及服务器
本专利技术实施例涉及安全鉴权领域,尤其涉及一种鉴权方法,终端及服务器。
技术介绍
嵌入式通用集成电路卡(embeddeduniversalintegratedcircuitcard,eUICC)是第三代电信智能卡。eUICC一词源自嵌入式(embedded)UICC,可以是单个芯片形态嵌入在终端设备中,或者作为终端设备中其他单个芯片的一部分,但不意味着必须嵌入在终端设备中不可移动,也可以是可移动的卡片形态,就像用户身份识别(subscriberidentificationmodule,SIM)卡、MicroSIM卡或NanoSIM卡一样。其中,eUICC中存在两个公钥列表,分别为用于eUICC验证的CI公钥标识列表(euiccPKIdListForVerfication)和用于eUICC签名的CI公钥标识列表(euiccPKIdListForSingning),验证列表中预置了唯一标识证书颁发中心(certificateissuer,CI)的公钥标识。在eUICC和远程SIM提供服务器处在同一个CI信任体系下时,传统的双向鉴权方法是,当eUICC与远程SIM提供(RemoteSIMProvisioning,RSP)服务器进行双向鉴权时,eUICC向RSP服务器发送用于eUICC验证的CI公钥标识列表和用于eUICC签名的CI公钥标识列表,RSP服务器根据用于验证的CI公钥标识列表和用于eUICC签名的CI公钥标识列表,确定可以采用eUICC和RSP服务器共有的CI的公钥标识对应的证书去让eUICC验证RSP服务器的合法性,同时也 ...
【技术保护点】
1.一种鉴权方法,其特征在于,所述鉴权方法包括:终端向远程服务器发送第一信息,所述第一信息包括用于嵌入式通用集成电路卡eUICC验证的证书颁发中心CI公钥标识列表和用于eUICC签名的CI公钥标识列表;所述用于eUICC验证的CI公钥标识列表中包括第一交叉证书的公钥标识,所述用于eUICC签名的CI公钥标识列表中包括第二交叉证书的公钥标识,其中,所述第一交叉证书由第一CI签名生成,所述第二交叉证书由第二CI签名生成;所述终端接收所述远程服务器发送的第二信息,所述第二信息包括所述第一交叉证书和第一远程服务器证书;所述终端验证所述第一交叉证书和所述第一远程服务器证书;所述终端向所述远程服务器发送第三信息,所述第三信息包括所述第二交叉证书的公钥标识对应的所述第二交叉证书,eUICC制造商EUM证书,以及eUICC证书,以使所述远程服务器根据所述第二交叉证书对所述EUM证书和所述eUICC证书进行验证。
【技术特征摘要】
1.一种鉴权方法,其特征在于,所述鉴权方法包括:终端向远程服务器发送第一信息,所述第一信息包括用于嵌入式通用集成电路卡eUICC验证的证书颁发中心CI公钥标识列表和用于eUICC签名的CI公钥标识列表;所述用于eUICC验证的CI公钥标识列表中包括第一交叉证书的公钥标识,所述用于eUICC签名的CI公钥标识列表中包括第二交叉证书的公钥标识,其中,所述第一交叉证书由第一CI签名生成,所述第二交叉证书由第二CI签名生成;所述终端接收所述远程服务器发送的第二信息,所述第二信息包括所述第一交叉证书和第一远程服务器证书;所述终端验证所述第一交叉证书和所述第一远程服务器证书;所述终端向所述远程服务器发送第三信息,所述第三信息包括所述第二交叉证书的公钥标识对应的所述第二交叉证书,eUICC制造商EUM证书,以及eUICC证书,以使所述远程服务器根据所述第二交叉证书对所述EUM证书和所述eUICC证书进行验证。2.根据权利要求1所述的鉴权方法,其特征在于,在所述终端向远程服务器发送第一信息之前,所述鉴权方法还包括:所述终端存储预配置的所述第二交叉证书、所述EUM证书、所述eUICC证书,以及所述用于eUICC验证的CI公钥标识列表和所述用于eUICC签名的CI公钥标识列表,其中,所述用于eUICC验证的CI公钥标识列表中包括所述第一交叉证书的公钥标识,所述用于eUICC签名的CI公钥标识列表中包括所述第二交叉证书的公钥标识。3.根据权利要求1或2所述的鉴权方法,其特征在于,所述第一信息还包括运营商标识;所述运营商标识用于所述远程服务器确定与所述终端中的eUICC采用交叉认证。4.根据权利要求1至3任一项所述的鉴权方法,其特征在于,所述第二信息还包括所述第二交叉证书的公钥标识。5.根据权利要求1至4任一项所述的鉴权方法,其特征在于,在所述终端向远程服务器发送第一信息之前,所述鉴权方法还包括:所述终端向远程服务器发送第四信息,所述第四信息包括终端中LPA支持的CI公钥标识列表,所述LPA支持的CI公钥标识列表中包括所述第一交叉证书的公钥标识;所述终端接收所述远程服务器发送的第五信息,所述第五信息包括所述第一交叉证书的公钥标识对应的所述第一交叉证书和第二远程服务器证书;所述终端中的LPA验证所述第一交叉证书和所述第二远程服务器证书。6.一种鉴权方法,其特征在于,所述鉴权方法包括:嵌入式通用集成电路卡eUICC向远程服务器发送第一信息,所述第一信息包括用于eUICC验证的证书颁发中心CI公钥标识列表和用于eUICC签名的CI公钥标识列表;所述用于eUICC验证的CI公钥标识列表中包括第一交叉证书的公钥标识,所述用于eUICC签名的CI公钥标识列表中包括第二交叉证书的公钥标识,其中,所述第一交叉证书由第一CI签名生成,所述第二交叉证书由第二CI签名生成;所述eUICC接收所述远程服务器发送的第二信息,所述第二信息包括所述第一交叉证书和第一远程服务器证书;所述eUICC验证所述第一交叉证书和所述第一远程服务器证书;所述eUICC向所述远程服务器发送第三信息,所述第三信息包括所述第二交叉证书的公钥标识对应的所述第二交叉证书、eUICC制造商EUM证书,以及eUICC证书,以使得所述远程服务器根据所述第二交叉证书对所述EUM证书和所述eUICC证书进行验证。7.根据权利要求6所述的鉴权方法,其特征在于,在所述eUICC向远程服务器发送第一信息之前,所述鉴权方法还包括:所述eUICC存储预配置的所述第二交叉证书、所述EUM证书、所述eUICC证书,以及所述用于eUICC验证的CI公钥标识列表和所述用于eUICC签名的CI公钥标识列表,其中所述用于eUICC验证的CI公钥标识列表中包括所述第一交叉证书的公钥标识,所述用于eUICC签名的CI公钥标识列表中包括所述第二交叉证书的公钥标识。8.根据权利要求6或7所述的鉴权方法,其特征在于,所述第一信息还包括运营商标识;所述运营商标识用于所述远程服务器确定与所述eUICC采用交叉认证。9.根据权利要求6至8任一项所述的方法,其特征在于,所述第二信息还包括所述第二交叉证书的公钥标识。10.一种鉴权方法,其特征在于,所述方法包括:远程服务器接收嵌入式通用集成电路卡eUICC发送的第一信息,所述第一信息包括用于eUICC验证的证书颁发中心CI公钥标识列表和用于eUICC签名的CI公钥标识列表;所述用于eUICC验证的CI公钥标识列表中包括第一交叉证书的公钥标识,所述用于eUICC签名的CI公钥标识列表中包括第二交叉证书的公钥标识,其中,所述第一交叉证书由第一CI签名生成,所述第二交叉证书由第二CI签名生成;所述远程服务器向所述eUICC发送第二信息,所述第二信息包括所述第一交叉证书和第一远程服务器证书,以使得所述eUICC根据所述第一交叉证书验证所述第一远程服务器证书;所述远程服务器接收所述eUICC发送的第三信息,所述第三信息包括所述第二交叉证书的公钥标识对应的所述第二交叉证书、eUICC制造商EUM证书,以及eUICC证书;所述远程服务器根据所述第二交叉证书验证所述EUM证书和所述eUICC证书。11.根据权利要求10所述的鉴权方法,其特征在于,在所述远程服务器向所述eUICC发送第二信息之前,所述鉴权方法还包括:所述远程服务器存储预配置的所述第一交叉证书。12.根据权利要求10或11所述的鉴权方法,其特征在于,在所述远程服务器接收到所述eUICC发送的第一信息之后,所述鉴权方法还包括:所述远程服务器确定所述用于eUICC验证的CI公钥标识列表和所述用于eUICC签名的CI公钥标识列表中均不包括所述第二CI的公钥的标识;所述远程服务器确定所述用于eUICC验证的CI公钥标识列表中包括第一交叉证书的公钥标识,所述用于eUICC签名的CI公钥标识列表中包括第二交叉证书的公钥标识。13.根据权利要求10至12任一项所述的鉴权方法,其特征在于,所述第一信息还包括运营商标识;当所述运营商标识存在于所述远程服务器的交叉认证策略规则列表中时,所述远程服务器确定与所述eUICC采用交叉认证;或者当所述运营商标识不存在于所述远程服务器的交叉认证策略规则列表中时,所述远程服务器确定与所述eUICC采用交叉认证。14.根据权利要求10至13任一项所述的鉴权方法,其特征在于,所述鉴权方法还包括:所述远程服务器从所述eUICC证书中获取eUICC的标识EID中的国家码;当所述国家码存在于所述远程服务器的交叉认证策略规则列表中时,所述远程服务器确定与所述eUICC采用交叉认证;或者当所述国家码不存在于所述远程服务器的交叉认证策略规则列表中时,所述远程服务器确定与所述eUICC采用交叉认证。15.根据权利要求10至14任一项所述的鉴权方法,其特征在于,所述第二信息还包括所述第二交叉证书的公钥标识。16.根据权利要求10至15任一项所述的鉴权方法,其特征在于,所述eUICC包含在终端中;在所述远程服务器接收eUICC发送的第一信息之前,所述鉴权方法还包括:所述远程服务器接收终端发送的第四信息,所述第四信息包括所述终端中LPA支持的CI公钥标识列表,所述LPA支持的CI公钥标识列表中包括所述第一交叉证书的公钥标识;所述远程服务器确定所述LPA支持的CI公钥标识列表中不包括所述第二CI的公钥标识;所述远程服务器确定所述LPA支持的CI公钥标识列表中包括所述第一交叉证书的公钥标识;所述远程服务器向所述终端发送第五信息,所述第五信息包括所述第一交叉证书的公钥标识对应的所述第一交叉证书和第二远程服务器证书,所述第五信息用于所述终端中的LPA验证所述第一交叉证书和所述第二远程服务器证书。17.一种鉴权方法,其特征在于,所述鉴权方法包括:终端向远程服务器发送第一信息,所述第一信息包括用于嵌入式通用集成电路卡eUICC验证的证书颁发中心CI公钥标识列表和用于eUICC签名的CI公钥标识列表;所述用于eUICC验证的CI公钥标识列表中包括第一交叉证书的公钥标识和第二交叉证书的公钥标识;所述用于eUICC签名的CI公钥标识列表中包括第三交叉证书的公钥标识和第四交叉证书的公钥标识;其中,所述第一交叉证书由第一CI签名生成;所述第二交叉证书和所述第四交叉证书分别由第二CI签名生成;所述第三交叉证书由第三CI签名生成;所述终端接收所述远程服务器发送的第二信息,所述第二信息包括第一交叉证书、第二交叉证书和第一远程服务器证书;所述终端根据所述第二交叉证书和所述第一交叉证书验证所述所述第一远程服务器证书;所述终端向所述远程服务器发送第三信息,所述第三信息包括所述第三交叉证书的公钥标识对应的所述第三交叉证书、所述第四交叉证书的公钥标识对应的所述第四交叉证书,eUICC制造商EUM证书,以及eUICC证书,以使得所述远程服务器根据所述第三交叉证书和所述第四交叉证书对所述EUM证书和所述eUICC证书进行验证。18.根据权利要求17所述的鉴权方法,其特征在于,在所述终端向所述远程服务器发送第一信息之前,所述鉴权方法还包括:所述终端存储预配置的所述第三交叉证书、所述第四交叉证书、所述EUM证书、所述eUICC证书,以及所述用于eUICC验证的CI公钥标识列表和所述用于eUICC签名的CI公钥标识列表;其中,所述用于eUICC验证的CI公钥标识列表中包括所述第一交叉证书的公钥标识、所述第二交叉证书的公钥标识,所述用于eUICC签名的CI公钥标识列表中包括所述第三交叉证书的公钥标识、所述第四交叉证书的公钥标识。19.根据权利要求17或18所述的鉴权方法,其特征在于,所述用于eUICC验证的CI公钥标识列表中还包括至少一个第五交叉证书的公钥标识,所述用于eUICC签名的CI公钥列表中还还包括至少一个第六交叉证书的公钥标识;其中,所述第五交叉证书由所述第二CI签名生成,所述第六交叉证书由第四CI签名生成;所述方法还包括:所述终端存储预配置的所述至少一个第六交叉证书。20.根据权利要求17至19任一项所述的鉴权方法,其特征在于,所述第一信息还包括运营商标识;所述运营商标识用于所述远程服务器确定与所述终端中的eUICC采用交叉认证。21.根据权利要求17至20任一项所述的鉴权方法,其特征在于,所述第二信息中还包括所述第三交叉证书的公钥标识和所述第四交叉证书的公钥标识。22.根据权利要求17至21任一项所述的鉴权方法,其特征在于,在所述终端向远程服务器发送第一信息之前,所述鉴权方法还包括:所述终端向远程服务器发送第四信息,所述第四信息包括终端中LPA支持的CI公钥标识列表,所述LPA支持的CI公钥标识列表中包括所述第一交叉证书的公钥标识和所述第二交叉证书的公钥标识;所述终端接收所述远程服务器发送的第五信息,所述第五信息包括所述第一交叉证书的公钥标识对应的所述第一交叉证书、所述第二交叉证书的公钥标识对应的所述第二交叉证书和第二远程服务器证书;所述终端中的LPA验证所述第一交叉证书、所述第二交叉证书和所述第二远程服务器证书。23.一种鉴权方法,其特征在于,所述鉴权方法包括:嵌入式通用集成电路卡eUICC向远程服务器发送第一信息,所述第一信息包括用于eUICC验证的证书颁发中心CI公钥标识列表和用于eUICC签名的CI公钥标识列表;所述用于eUICC验证的CI公钥标识列表中包括第一交叉证书的公钥标识和第二交叉证书的公钥标识;所述用于eUICC签名的CI公钥标识列表中包括第三交叉证书的公钥标识和第四交叉证书的公钥标识;其中,所述第一交叉证书由第一CI签名生成;所述第二交叉证书和所述第四交叉证书分别由第二CI签名生成;所述第三交叉证书由第三CI签名生成;所述eUICC接收所述远程服务器发送的第二信息,所述第二信息包括所述第一交叉证书、所述第二交叉证书和第一远程服务器证书;所述eUICC根据所述第二交叉证书和所述第一交叉证书验证所述第一远程服务器证书;所述eUICC向所述远程服务器发送第三信息,所述第三信息包括所述第三交叉证书的公钥标识对应的所述第三交叉证书、所述第四交叉证书的公钥标识对应的所述第四交叉证书,eUICC制造商EUM证书,以及eUICC证书,以使得所述远程服务器根据所述第三交叉证书和所述第四交叉证书对所述EUM证书和所述eUICC证书进行验证。24.根据权利要求23所述的鉴权方法,其特征在于,在所述eUICC向所述远程服务器发送第一信息之前,所述鉴权方法还包括:所述eUICC存储预配置的所述第三交叉证书、所述第四交叉证书、所述EUM证书、所述eUICC证书,以及用于eUICC验证的CI公钥标识列表和用于eUICC签名的CI公钥标识列表;其中,所述用于eUICC验证的CI公钥标识列表中包括所述第一交叉证书的公钥标识、所述第二交叉证书的公钥标识,所述用于eUICC签名的CI公钥标识列表中包括所述第三交叉证书的公钥标识、所述第四交叉证书的公钥标识。25.根据权利要求23或24所述的鉴权方法,其特征在于,所述用于eUICC验证的CI公钥标识列表中还包括至少一个第五交叉证书的公钥标识,所述用于eUICC签名的CI公钥列表中还还包括至少一个第六交叉证书的公钥标识;其中,所述第五交叉证书由所述第二CI签名生成,所述第六交叉证书由第四CI签名生成;所述方法还包括:所述eUICC存储预配置的所述至少一个第六交叉证书。26.根据权利要求23至25任一项所述的鉴权方法,其特征在于,所述第一信息还包括运营商标识;所述运营商标识用于所述远程服务器确定与所述终端中的eUICC采用交叉认证。27.根据权利要求23至26任一项所述的方法,其特征在于,所述第二信息中还包括所述第三交叉证书的公钥标识和所述第四交叉证书的公钥标识。28.一种鉴权方法,其特征在于,所述鉴权方法包括:远程服务器接收嵌入式通用集成电路卡eUICC发送的第一信息,所述第一信息包括用于eUICC验证的证书颁发中心CI公钥标识列表和用于eUICC签名的CI公钥标识列表;所述用于eUICC验证的CI公钥标识列表中包括第一交叉证书的公钥标识和第二交叉证书的公钥标识;所述用于eUICC签名的CI公钥标识列表中包括第三交叉证书的公钥标识和第四交叉证书的公钥标识;其中,所述第一交叉证书由第一CI签名生成;所述第二交叉证书和所述第四交叉证书分别由第二CI签名生成;所述第三交叉证书由第三CI签名生成;所述远程服务器向所述eUICC发送第二信息,所述第二信息包括所述第一交叉证书、所述第二交叉证书和第一远程服务器证书,以使所述eUICC根据所述第二交叉证书和所述第一交叉证书验证所述第一远程服务器证书;所述远程服务器接收所述eUICC发送的第三信息,所述第三信息包括所述第三交叉证书的公钥标识对应的所述第三交叉证书、所述第四交叉证书的公钥标识对应的所述第四交叉证书,eUICC制造商EUM证书,以及eUICC证书;所述远程服务器根据所述第三交叉证书和所述第四交叉证书验证所述EUM证书和所述eUICC证书。29.根据权利要求28所述的鉴权方法,其特征在于,在所述远程服务器向所述eUICC发送第二信息之前,所述鉴权方法还包括:所述远程服务器存储预配置的所述第一交叉证书和所述第二交叉证书。30.根据权利要求28或29所述的鉴权方法,其特征在于,所述用于eUICC验证的CI公钥标识列表中还包括至少一个第五交叉证书的公钥标识,所述用于eUICC签名的CI公钥标识列表中还包括至少一个第六交叉证书的公钥标识;其中,所述第五交叉证书由所述第二CI签名生成;所述第六交叉证书由第四CI签名生成;所述鉴权方法还包括:所述远程服务器存储预配置的所述至少一个第五交叉证书。31.根据权利要求28至30任一项所述的鉴权方法,其特征在于,在所述远程服务器接收到所述eUICC发送的第一信息之后,所述鉴权方法还包括:所述远程服务器确定所述用于eUICC验证的CI公钥标识列表和所述用于eUICC签名的CI公钥标识列表中均不包括所述第三CI的公钥的标识;所述远程服务器确定所述用于eUICC验证的CI公钥标识列表中包括所述第一交叉证书的公钥标识、所述第二交叉证书的公钥标识,以及所述用于eUICC签名的CI公钥标识列表中包括第三交叉证书的公钥标识、所述第四交叉证书的公钥...
【专利技术属性】
技术研发人员:于小博,龙水平,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。