本发明专利技术涉及移动通信领域,尤其涉及一种实现eSIM卡安全认证的管理方法及系统。所述方法包括:对客户端的合法性进行认证,认证通过后,执行管理命令,将执行结果通知所述客户端。采用本发明专利技术的技术方案,在设备中安装的LPA客户端,通过了认证或者规则检查后,才能得到访问eSIM卡中安全文件的许可,避免了未经许可直接操作eSIM卡带来的风险。
【技术实现步骤摘要】
一种实现eSIM卡安全认证的管理方法及系统
本专利技术涉及移动通信
,尤其涉及一种实现eSIM卡安全认证的管理方法及系统。
技术介绍
在物联网领域,eSIM卡作为设备入网的关键元件,是设备提供接入运营商网络和进行身份认证媒介,同时,也给用户提供选择运营商以及服务的便利。用户通过设备操作系统里或手机中的LPA客户端(LocalProfileAssistant,以下简称客户端),不仅可以选择下载新的运营商的数据文件profile(profile包含文件系统、入网密钥参数、辅助安全域、应用等数据),还可以对本地已有的数据文件profile进行激活、去激活和删除操作。LPA客户端在设备操作系统或手机中并不是唯一的,不同的运营商、卡商和第三方应用开发者都可以开发自己的LPA客户端。然而,现有的客户端与eSIM卡之间的数据交互却没有任何安全保障。客户端作为运行在设备操作系统上的一个应用软件,可以通过设备提供的硬件接口访问eSIM卡,但是设备提供的硬件接口,并没有认证客户端的合法性,只要客户端能安装在设备的操作系统中即可。因此,会产生如下问题:(1)如果安装了多个来自不同运营商的客户端,如:联通客户端和移动客户端,联通客户端下载了数据文件profile之后,移动客户端可以无条件将该数据文件profile删除。(2)如果安装了恶意客户端,则eSIM卡内的数据文件profile可以被该客户端无限制访问。
技术实现思路
为克服现有技术中存在的不足,本专利技术提供了一种实现eSIM卡安全认证的管理方法。本专利技术采用的技术方案是:一种实现eSIM卡安全认证的管理方法,包括:对客户端的合法性进行认证;认证通过后,执行管理命令;将执行结果通知所述客户端。所述eSIM卡持有eSIM证书、EUM证书、eSIM私钥、CA证书和共享信息。所述对客户端的合法性进行认证,具体包括:验证来自所述客户端的认证请求,当认证请求合法时,生成临时非对称密钥,然后协商产生会话密钥,根据所述会话密钥建立安全通道。所述eSIM卡中预置所述客户端的访问规则。所述对客户端的合法性进行认证,具体包括:接收来自所述客户端的唯一标识码和哈希值,读取eSIM卡中预置的所述访问规则,当检查所述客户端的唯一标识码和哈希值与所述访问规则中的唯一标识码和哈希值匹配时,认证客户端合法性通过。一种eSIM卡,包括如下部件:第一安全元件,对客户端的合法性进行认证;处理元件,用于在所述第一安全元件对所述客户端的认证合法性通过后,执行管理命令,将执行结果通知客户端。所述第一安全元件具体用于,验证来自所述客户端的认证请求,当认证请求合法时,生成临时非对称密钥,然后协商生成会话密钥,根据所述eSIM会话密钥建立安全通道。所述第一安全元件还用于预置所述客户端的访问规则,所述访问规则包括访问eSIM卡的客户端应用的唯一标识码和哈希值。本专利技术还提供一种实现eSIM卡安全认证的管理系统,包括:上述eSIM卡;客户端,包括通信元件,用于在合法性认证通过后,向所述eSIM卡发送管理命令,并接收来自所述eSIM卡的执行结果。所述客户端还包括第二安全元件,用于认证来自所述eSIM卡的认证请求,还用于生成客户端会话密钥,使用所述客户端会话密钥建立安全通道。本专利技术达到的有益效果是:采用本专利技术的技术方案,在设备中安装的LPA客户端在通过了认证或者规则检查后,才能得到访问eSIM卡中安全文件的许可,避免了未经许可直接操作eSIM卡的风险。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。图1为现有技术操作系统模块交互示意图;图2为本专利技术实施例一提供的一种实现eSIM卡安全认证的管理方法流程图;图3为本专利技术提供的eSIM卡与客户端进行双向认证流程图;图4为本专利技术提供的一种认证客户端合法性的方法流程图;图5为本专利技术实施例二提供的一种实现eSIM卡安全认证的管理系统元件图。具体实施方式本申请提供一种实现eSIM卡安全认证的管理方法及系统,实现在客户端与eSIM卡之间的安全认证。为了使本领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于本申请保护的范围。如图1所示,现有的运营商入网系统包括运营商服务器110、移动设备120、客户端130和eSIM卡140。具体的,在请求下载数据文件profile时,eSIM卡将持有证书通过客户端传输给运营商服务器110,运营商服务器110和eSIM卡140完成双向认证,建立安全通道,保证数据文件profile下载过程的安全。然而,对profile的管理操作,没有所述双向认证和建立安全通道。显然,现有系统保障了运营商服务器110和eSIM卡140之间的profile下载的安全性,但是没有考虑eSIM卡与客户端之间的管理操作的安全性。为了解决现有的eSIM卡管理系统运营过程中eSIM卡与客户端之间的安全性问题,本专利技术提供了在eSIM卡与客户端之间进行管理操作的安全认证的方法,包括:认证方法和限制访问方式,通过以下实施例进行详细说明。实施例一下面结合附图2进一步介绍本申请的一种实现eSIM卡安全认证的管理方法,包括如下步骤:步骤S210:对客户端的合法性进行认证;本实施例中,对客户端的合法性进行认证具体通过下述两种方式之一进行认证,具体为:认证方法一、eSIM卡与客户端进行双向认证,认证通过后,生成会话密钥,建立安全通道,客户端合法性认证通过;发行eSIM卡时,eSIM卡中持有由eSIM生产厂商(EUM)签发的eSIM证书CERT_ESIM、eSIM私钥、EUM证书、CA证书,以及共享信息sharedinfo,所述共享信息包括生成的密钥类型、长度、eID等;在客户端中持有由CA机构或者eSIM生产厂商签发的客户端证书CERT_LPA、客户端私钥、CA证书或EUM证书以及共享信息sharedinfo。参见图3,具体的,eSIM卡与客户端进行双向认证包括如下子步骤:步骤S310:eSIM卡在收到来自客户端的认证请求后,验证认证请求是否合法,是则执行步骤S320,否则返回错误;客户端发起的认证请求为:initAuthentication{transactionID,CERT_LPA,signature1;}其中,transactionID为16字节的随机数、CERT_LPA为客户端持有的客户端证书、signature1为使用客户端证书的私钥对transactionID和客户端证书计算得到的签名值,保证传输过程中数据不被篡改。验证认证请求是否合法,具体包括:使用持有的CA证书或EUM证书验证认证请求中的客户端证书CERT_LPA的合法性,如果合法,则从合法的客户端证书中提取公钥,验证认证请求中的签名值signature1的正确性,如果正确,则执行步骤S320,否则返回错误;步骤S320:eSIM卡生成本文档来自技高网...
【技术保护点】
一种实现eSIM卡安全认证的管理方法,其特征在于,包括:对客户端的合法性进行认证;认证通过后,执行管理命令;将执行结果通知所述客户端。
【技术特征摘要】
1.一种实现eSIM卡安全认证的管理方法,其特征在于,包括:对客户端的合法性进行认证;认证通过后,执行管理命令;将执行结果通知所述客户端。2.如权利要求1所述的管理方法,其特征在于,所述eSIM卡持有eSIM证书、EUM证书、eSIM私钥、CA证书和共享信息。3.如权利要求2所述的管理方法,所述对客户端的合法性进行认证,具体包括:验证来自所述客户端的认证请求,当认证请求合法时,生成临时非对称密钥,然后协商产生会话密钥,根据所述会话密钥建立安全通道。4.如权利要求2所述的管理方法,其特征在于,所述eSIM卡中预置所述客户端的访问规则。5.如权利要求4所述的管理方法,所述对客户端的合法性进行认证,具体包括:接收来自所述客户端的唯一标识码和/或哈希值,读取eSIM卡中预置的所述访问规则,当检查所述客户端的唯一标识码和/或哈希值与所述访问规则中的唯一标识码和/或哈希值匹配时,认证客户端合法性通过。6.一种eSIM卡,包括如下部件:第一安全元件,...
【专利技术属性】
技术研发人员:何碧波,
申请(专利权)人:恒宝股份有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。