一种远程下载认证应用证书的方法及系统技术方案

本发明专利技术提供一种远程下载认证应用证书的方法及系统，所述方法包括：与签约关系管理平台安全路由网元SM‑SR建立安全通道；使用所述安全通道向所述SM‑SR发送认证应用证书申请请求；接收所述SM‑SR通过所述安全通道发送的认证应用证书响应消息，所述认证应用证书响应消息携带所述认证应用证书；从所述认证应用证书响应消息中提取并存储所述认证应用证书。该方法及系统能够解决现有的基于智能卡的私有解决方案，通常需要与指定卡商及运营商合作，在制卡时需要预置指定认证应用以及证书、密钥等敏感数据，只能适用于特定范围内的用户，无法实时远程下载认证应用证书的问题。

【技术实现步骤摘要】
一种远程下载认证应用证书的方法及系统
本专利技术涉及智能卡
，尤其涉及一种远程下载认证应用证书的方法及系统。
技术介绍
随着国家加快“新基建”步伐，5G通信网络也将日益融入社会管理的方方面面。系列5G应用场景都对信息安全提出比传统互联网更高的要求，尤其在工业物联网领域，泛在连接场景下的海量多样化终端易被攻击利用，对网络运行安全造成威胁，由于终端能力差异很大，弱终端由于资源、能力受限，终端自身安全防护能力也较弱，容易成为受攻击、受控对象。另一方面，作为移动通信网络基础入口的智能卡也逐渐从移动通信的生产部件发展成为移动通信业务和服务创新的重要载体，成为移动信息化的重要平台。基于智能卡在移动通信网络中的重要位置和安全属性，业界提出了基于智能卡的身份认证解决方案，将智能卡作为用户端的安全承载模块，存放认证应用以及证书、密钥等敏感数据，终端通过认证应用与认证服务器交互以进行身份认证。然而，现有的基于智能卡的安全认证解决方案为私有解决方案，通常需要与指定卡商及运营商合作，在制卡时预置指定认证应用以及证书、密钥等敏感数据，建立私有封闭的安全体系，或通过私有接口进行数据传递，只适用于其特定范围内的用户。因此这些解决方案对商业模式、产品种类、受众用户都有诸多限制。
技术实现思路
本专利技术所要解决的技术问题是针对现有技术的上述不足，提供一种远程下载认证应用证书的方法及系统，用以解决现有的基于智能卡的私有解决方案，通常需要与指定卡商及运营商合作，在制卡时需要预置指定认证应用以及证书、密钥等敏感数据，只能适用于特定范围内的用户，无法实时远程下载认证应用证书的问题。第一方面，本专利技术实施例提供一种远程下载认证应用证书的方法，应用于嵌入式通用集成电路卡eUICC，所述方法包括：与签约关系管理平台安全路由网元SM-SR建立安全通道；使用所述安全通道向所述SM-SR发送认证应用证书申请请求，所述认证应用证书申请请求用于触发所述SM-SR在判断出所述认证应用证书申请请求通过合法性验证后，向认证平台转发所述认证应用证书申请请求，以使所述认证平台根据所述认证应用证书申请请求生成认证应用证书；接收所述SM-SR通过所述安全通道发送的认证应用证书响应消息，所述认证应用证书响应消息携带所述认证应用证书；从所述认证应用证书响应消息中提取并存储所述认证应用证书。优选地，所述使用所述安全通道向所述SM-SR发送认证应用证书申请请求之前，所述方法还包括：生成认证应用公私钥对；根据预设算法生成第一RC；用预存的认证平台公钥加密所述认证应用公私钥对中的认证应用公钥；用eUICC的私钥对所述第一RC和加密的认证应用公钥进行签名，得到第一签名；所述认证应用证书申请请求携带所述第一RC、加密的认证应用公钥及第一签名。优选地，所述认证应用证书响应消息还携带第二RC和第二签名，所述第二签名为所述认证平台使用自身私钥对所述第二RC和认证应用证书的签名，所述从所述认证应用证书响应消息中提取并存储所述认证应用证书，包括：用所述认证平台公钥对所述第二签名进行验证；若验证通过，则进一步判断所述第一RC是否与第二RC相同；若相同，则从所述认证应用证书响应消息中提取并存储所述认证应用证书。优选地，所述使用所述安全通道向所述SM-SR发送认证应用证书申请请求之前，所述方法还包括：使用所述安全通道接收所述SM-SR发送的认证应用下载安装请求，所述认证应用下载安装请求携带认证应用安装文件；根据所述认证应用安装文件将所述认证应用安装在所述eUICC的控制安全域ECASD中。第二方面，本专利技术实施例提供一种远程下载认证应用证书的方法，应用于签约关系管理平台安全路由网元SM-SR，所述方法包括：与eUICC建立安全通道，并使用所述安全通道接收所述eUICC发送的认证应用证书申请请求；对所述认证应用证书申请请求进行合法性验证；若验证通过，则向认证平台转发所述认证应用证书申请请求，以使所述认证平台根据所述认证应用证书申请请求生成认证应用证书；接收所述认证平台发送的认证应用证书响应消息，所述认证应用证书响应消息携带所述认证应用证书；通过所述安全通道向eUICC转发所述认证应用证书响应消息，以使所述eUICC从所述认证应用证书响应消息中提取并存储所述认证应用证书。优选地，向认证平台转发的所述认证应用证书申请请求中携带所述eUICC的eUICC标识EID；所述向认证平台转发所述认证应用证书申请请求之后，所述方法还包括：接收认证平台发送的eUICC证书申请请求，所述eUICC证书申请请求携带所述EID；根据所述EID获取对应的eUICC的eUICC卡信息集EIS信息；从所述EIS信息中获取所述EID对应的eUICC证书；向所述认证平台返回所述eUICC的证书。第三方面，本专利技术实施例提供一种远程下载认证应用证书的方法，应用于认证平台，所述方法包括：接收SM-SR在判断出通过安全通道接收到的eUICC发送的认证应用证书申请请求通过合法性验证后转发的所述认证应用证书申请请求；根据所述认证应用证书申请请求生成认证应用证书；向所述SM-SR发送认证应用证书响应消息，所述认证应用证书响应消息携带所述认证应用证书。优选地，所述认证应用证书申请请求中携带所述eUICC的EID；所述接收SM-SR在判断出通过安全通道接收到的eUICC发送的认证应用证书申请请求通过合法性验证后转发的所述认证应用证书申请请求之后，所述方法还包括：根据所述EID判断是否具有所述EID对应的所述eUICC的eUICC证书；若否，则向SM-SR发送eUICC证书申请请求，所述eUICC证书申请请求携带所述EID；接收所述SM-SR返回的所述eUICC的eUICC证书。优选地，所述认证应用证书申请请求还携带第一RC、加密的认证应用公钥及第一签名；所述根据所述认证应用证书申请请求生成认证应用证书，包括：从所述eUICC证书中提取eUICC公钥；用所述eUICC公钥对所述第一签名进行验证；若验证通过，则生成所述认证应用证书；所述认证应用证书响应消息中还携带与所述第一RC相同的第二RC以及第二签名，所述生成所述认证应用证书之后，所述方法还包括：用自身的私钥对所述加密的认证应用公钥进行解密，并存储解密后的认证应用公钥；用自身的私钥对所述第二RC和认证应用证书进行签名，得到第二签名。第四方面，本专利技术实施例提供一种远程下载认证应用证书的系统，包括：eUICC、SM-SR和认证平台；所述eUICC用于执行第一方面所述的远程下载认证应用证书的方法；所述SM-SR用于执行第二方面所述的远程下载认证应用证书的方法；所述认证平台用于执行第三方面所述的远程下载认证应用证书的方法。本文档来自技高网...

【技术保护点】
1.一种远程下载认证应用证书的方法，其特征在于，应用于嵌入式通用集成电路卡eUICC，所述方法包括：/n与签约关系管理平台安全路由网元SM-SR建立安全通道；/n使用所述安全通道向所述SM-SR发送认证应用证书申请请求，所述认证应用证书申请请求用于触发所述SM-SR在判断出所述认证应用证书申请请求通过合法性验证后，向认证平台转发所述认证应用证书申请请求，以使所述认证平台根据所述认证应用证书申请请求生成认证应用证书；/n接收所述SM-SR通过所述安全通道发送的认证应用证书响应消息，所述认证应用证书响应消息携带所述认证应用证书；/n从所述认证应用证书响应消息中提取并存储所述认证应用证书。/n

【技术特征摘要】
1.一种远程下载认证应用证书的方法，其特征在于，应用于嵌入式通用集成电路卡eUICC，所述方法包括：
与签约关系管理平台安全路由网元SM-SR建立安全通道；
使用所述安全通道向所述SM-SR发送认证应用证书申请请求，所述认证应用证书申请请求用于触发所述SM-SR在判断出所述认证应用证书申请请求通过合法性验证后，向认证平台转发所述认证应用证书申请请求，以使所述认证平台根据所述认证应用证书申请请求生成认证应用证书；
接收所述SM-SR通过所述安全通道发送的认证应用证书响应消息，所述认证应用证书响应消息携带所述认证应用证书；
从所述认证应用证书响应消息中提取并存储所述认证应用证书。


2.根据权利要求1所述的远程下载认证应用证书的方法，其特征在于，所述使用所述安全通道向所述SM-SR发送认证应用证书申请请求之前，所述方法还包括：
生成认证应用公私钥对；
根据预设算法生成第一RC；
用预存的认证平台公钥加密所述认证应用公私钥对中的认证应用公钥；
用eUICC的私钥对所述第一RC和加密的认证应用公钥进行签名，得到第一签名；
所述认证应用证书申请请求携带所述第一RC、加密的认证应用公钥及第一签名。


3.根据权利要求2所述的远程下载认证应用证书的方法，其特征在于，所述认证应用证书响应消息还携带第二RC和第二签名，所述第二签名为所述认证平台使用自身私钥对所述第二RC和认证应用证书的签名，
所述从所述认证应用证书响应消息中提取并存储所述认证应用证书，包括：
用所述认证平台公钥对所述第二签名进行验证；
若验证通过，则进一步判断所述第一RC是否与第二RC相同；
若相同，则从所述认证应用证书响应消息中提取并存储所述认证应用证书。


4.根据权利要求1所述的远程下载认证应用证书的方法，其特征在于，所述使用所述安全通道向所述SM-SR发送认证应用证书申请请求之前，所述方法还包括：
使用所述安全通道接收所述SM-SR发送的认证应用下载安装请求，所述认证应用下载安装请求携带认证应用安装文件；
根据所述认证应用安装文件将所述认证应用安装在所述eUICC的控制安全域ECASD中。


5.一种远程下载认证应用证书的方法，其特征在于，应用于签约关系管理平台安全路由网元SM-SR，所述方法包括：
与eUICC建立安全通道，并使用所述安全通道接收所述eUICC发送的认证应用证书申请请求；
对所述认证应用证书申请请求进行合法性验证；
若验证通过，则向认证平台转发所述认证应用证书申请请求，以使所述认证平台根据所述认证应用证书申请请求生成认证应用证书；
接收所述认证平台发送的认证应用证书响应消息，所述认证应用证书响应消息携带所述认证应用证书；
通过所述安全通道向eUICC转发所述认证应用证书响应消息，以使所述eUICC...

【专利技术属性】
技术研发人员：韩玲，王湘宁，庄立斌，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：北京;11