CN109451483B

CN109451483B - eSIM数据处理方法、设备及可读存储介质

Info

Publication number: CN109451483B
Application number: CN201910003930.5A
Authority: CN
Inventors: 胡博; 严斌峰; 仇剑书
Original assignee: China United Network Communications Group Co Ltd
Current assignee: China United Network Communications Group Co Ltd
Priority date: 2019-01-03
Filing date: 2019-01-03
Publication date: 2021-09-07
Anticipated expiration: 2039-01-03
Also published as: CN109451483A

Abstract

本发明提供一种eSIM数据处理方法、设备及可读存储介质，本发明的方法，通过利用移动终端内的可信执行环境部署了eSIM应用，利用可信计算环境的根信任机制建立安全数据通道，获取eSIM的EID和eUICC证书信息，实现了认证、分配EID、申请证书的在线流程；为之后的符合GSMA SGP.21/22标准eSIM下载提供了技术基础，移动终端的应用层无法直接读取eSIM的数据文件，提高了eSIM的数据文件的安全性。

Description

eSIM数据处理方法、设备及可读存储介质

技术领域

本发明涉及智能卡技术领域，尤其涉及一种eSIM数据处理方法、设备及可读存储介质。

背景技术

随着智能终端的发展和消费互联网时代的来临，SIM卡形态向电子SIM卡(简称“eSIM”)等“无可插拔卡”的方向演进。eSIM技术可以将SIM卡数据从平台上下载至终端中并进行激活。

一种方式，可通过私有协议从移动数据服务运营平台将当地运营商的eSIM的数据文件以简单加密方式下载至移动终端的操作***中，并可以由移动终端应用层自由读取，因此eSIM的数据文件的安全性低。

发明内容

本发明提供一种eSIM数据处理方法、设备及可读存储介质，用以解决现有技术中eSIM的数据文件的安全性低的问题。

本发明的第一个方面是提供一种eSIM数据处理方法，包括：

在接收到eSIM服务启动请求后，移动终端在可信执行环境下向终端注册认证服务器发送第一认证请求，所述第一认证请求包括终端信息以及所述终端信息对应的密文信息，所述终端信息包括所述可信执行环境的标识，以使所述终端注册认证服务器为所述移动终端的eSIM TA分配EID，通过与所述可信执行环境的标识对应的TEE认证服务器对所述移动终端进行认证，并将认证结果和所述EID反馈给所述移动终端，所述EID用于唯一标识所述移动终端的eSIM TA；

所述移动终端接收所述终端注册认证服务器发送的认证结果和EID；

所述移动终端对所述认证结果进行验证，若验证通过，则所述移动终端将所述EID置入eSIM TA中；

所述移动终端在可信执行环境下生成证书请求信息，根据所述证书请求信息生成可信认证信息以及所述可信认证信息的签名信息；

所述移动终端向所述终端注册认证服务器发送可信设备认证请求，所述可信设备认证请求包括所述可信认证信息以及所述可信认证信息的签名信息，以使所述终端注册认证服务器在确定所述移动终端为可信设备后，获取所述移动终端的eUICC证书信息，并将所述eUICC证书信息发送给所述移动终端；

所述移动终端接收所述终端注册认证服务器发送的eUICC证书信息，根据所述eUICC证书信息得到eUICC证书，并存储所述eUICC证书。

本发明的第二个方面是提供一种eSIM的数据处理方法，包括：

终端注册认证服务器接收移动终端发送的第一认证请求，所述第一认证请求包括终端信息以及所述终端信息对应的密文信息，所述终端信息包括所述移动终端的可信执行环境的标识；

所述终端注册认证服务器为所述移动终端的eSIM TA分配EID，所述EID用于唯一标识所述移动终端的eSIM TA；

所述终端注册认证服务器通过与所述移动终端的可信执行环境的标识对应的TEE认证服务器对所述移动终端进行认证，并将认证结果和所述EID发送给所述移动终端，以使所述移动终端对所述认证结果进行验证，并在验证通过后将所述EID置入eSIM TA中；

所述终端注册认证服务器接收所述移动终端发送的可信设备认证请求；

所述终端注册认证服务器通过所述TEE认证服务器确定所述移动终端为可信设备后，所述终端注册认证服务器获取所述移动终端的eUICC证书信息，并将所述eUICC证书信息发送给所述移动终端。

本发明的第三个方面是提供一种移动终端，包括：

存储器，处理器，以及存储在所述存储器上并可在所述处理器上运行的计算机程序，

所述处理器运行所述计算机程序时实现上述第一个方面所述的方法。

本发明的第四个方面是提供一种终端注册认证服务器，包括：

所述处理器运行所述计算机程序时实现上述第二个方面所述的方法。

本发明的第五个方面是提供一种计算机可读存储介质，存储有计算机程序，

所述计算机程序被处理器执行时实现上述第一个方面所述的方法。

本发明的第六个方面是提供一种计算机可读存储介质，存储有计算机程序，

所述计算机程序被处理器执行时实现上述第二个方面所述的方法。

本发明提供的eSIM数据处理方法、设备及可读存储介质，通过利用移动终端内的可信执行环境部署了eSIM应用，利用可信计算环境的根信任机制建立安全数据通道，获取eSIM的EID和eUICC证书信息，实现了认证、分配EID、申请证书的在线流程；为之后的符合GSMA SGP.21/22标准eSIM下载提供了技术基础，移动终端的应用层无法直接读取eSIM的数据文件，提高了eSIM的数据文件的安全性。

附图说明

图1为本发明实施例提供的eSIM数据处理的***架构图；

图2为本发明实施例一提供的eSIM数据处理方法流程图；

图3为本发明实施例二提供的eSIM数据处理方法流程图；

图4为本发明实施例三提供的eSIM数据处理方法的交互流程图；

图5为本发明实施例四提供的移动终端的结构示意图；

图6为本发明实施例五提供的终端注册认证服务器的结构示意图。

通过上述附图，已示出本发明明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本发明构思的范围，而是通过参考特定实施例为本领域技术人员说明本发明的概念。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

首先对本发明所涉及的名词进行解释：

可信执行环境(Trusted Execution Environment，简称TEE)，应用于安全智能设备、安全支付等领域。可信执行环境技术核心是：在同一个CPU芯片上，通过硬件配置方式实现不同IP组件的访问控制，从而提供一个完全隔离的运行空间。

此外，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。在以下各实施例的描述中，“多个”的含义是两个以上，除非另有明确具体的限定。

下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本发明的实施例进行描述。

图1为本发明实施例提供的eSIM数据处理的***架构图。本实施例中，如图1所示，移动终端可以为手机等移动终端，移动终端由可信执行环境、本地电子卡管理代理(LocalProfile Agent，简称LPA)、业务受理应用(如图中所示的业务受理APP)、TEE-eSIM基带通信代理模块、基带处理模式、以及调制解调器等等多个部分共同组成。移动终端是完成eSIM的初始化和对eSIM数据文件(也称为Profile)进行相关操作的主要设备。

业务受理***由业务受理平台与业务受理应用构成，主要是负责对相关业务的订购激活及后续的管理。

eSIM管理平台与移动终端内的LPA和eSIM TA间存在连接接口。其主要功能是负责调取和接收来自移动终端的信息，处理相应的请求，并与包括证书发行服务器(如图1中所示的CI)和业务受理平台在内的功能模块进行通信，完成Profile的下载与管理等操作。

TEE认证服务器与终端注册认证服务器存在连接接口，其主要功能是对移动终端的合法性进行认证，协助完成后续的空发证书流程。

证书发行服务器(简记为CI)与终端注册认证服务器之间对接，其作为可信根，发行eSIM证书，用于eSIM管理平台与eSIM TA的相互信任。

终端注册服务器与证书发行服务器、TEE认证服务器以及终端内部的LPA间分别存在连接接口，其主要功能是与这些模块共同完成EID分配、空发证书等操作。

实施例一

图2为本发明实施例一提供的eSIM数据处理方法流程图。本发明实施例针对现有技术中eSIM的数据文件的安全性低的问题，提供了eSIM数据处理方法eSIM数据处理方法。本实施例中的方法应用于移动终端，该移动终端可以是智能手机、平板电脑等在其他实施例中，该方法还可应用于其他设备，本实施例以智能手机为例进行示意性说明。如图2所示，该方法具体步骤如下：

步骤S101、在接收到eSIM服务启动请求后，移动终端在可信执行环境下向终端注册认证服务器发送第一认证请求，第一认证请求包括终端信息以及终端信息对应的密文信息，终端信息包括可信执行环境的标识，以使终端注册认证服务器为移动终端的eSIM TA分配EID，通过与可信执行环境的标识对应的TEE认证服务器对移动终端进行认证，并将认证结果和EID反馈给移动终端，EID用于唯一标识移动终端的eSIM TA。

其中，移动终端的eSIM TA是指移动终端的可信执行环境的可信应用TA，本实施例中将该应用于eSIM数据处理的可信应用记为eSIM TA；相应地，移动终端的eSIM CA是指移动终端的可信执行环境的终端应用CA，本实施例中将该应用于eSIM数据处理的终端应用记为eSIM CA。

本实施例中，用户通过移动终端上的软件应用APP选择启动eSIM服务，向移动终端发送eSIM服务启动请求。移动终端在接收到eSIM服务启动请求后，移动终端在可信执行环境下，通过安全数据通道获取EID和eUICC证书，在线完成eSIM应用的个人化配置。

具体的，在接收到eSIM服务启动请求后，移动终端在可信执行环境下向终端注册认证服务器发送第一认证请求。终端注册认证服务器在接收到第一认证请求后，为移动终端的eSIM TA分配EID；通过与第一认证请求中的可信执行环境的标识对应的TEE认证服务器对移动终端进行认证，得到认证结果；终端注册认证服务器将EID和认证结果发送给移动终端，这样移动终端获取到了EID。

其中，EID用于唯一标识移动终端的eSIM TA。

可选的，在接收到eSIM服务启动请求后，移动终端在可信执行环境下向终端注册认证服务器发送第一认证请求，具体可以采用如下方式实现：

在接收到eSIM服务启动请求后，移动终端在可信执行环境下生成终端信息，终端信息包括可信执行环境的标识；移动终端根据预设密钥加密终端信息，得到终端信息对应的密文信息；移动终端向终端注册认证服务器发送包括终端信息以及终端信息对应的密文信息的第一认证请求。

可选的，终端信息可以包括可信执行环境标识，以及终端标识，终端的型号、序列号、软件版本等等信息，终端信息可以唯一标识一个移动终端。

步骤S102、移动终端接收终端注册认证服务器发送的认证结果和EID。

步骤S103、移动终端对认证结果进行验证，若验证通过，则移动终端将EID置入eSIM TA中。

移动终端在接收终端注册认证服务器发送的认证结果和EID之后，在可信执行环境下对认证结果进行验证，若验证通过，移动终端将EID置入eSIM TA中。

若对认证结果的验证不通过，则移动终端可以认为终端注册认证服务器提供的认证结果不可信，可以不将EID置入eSIM TA中，本次eSIM数据处理流程结束。

本实施例中，可信执行环境及其对应的TEE认证服务器之间预先约定了签名以及验签的规则。TEE认证服务器可以对可信执行环境生成的签名信息进行验签，可信执行环境也可以对TEE认证服务器生成的签名信息进行验签。

可选的，认证结果包括TEE认证服务器生成的第一挑战字和第一挑战字的签名信息。移动终端对认证结果进行验证，具体可以采用如下方式实现：

移动终端在可信执行环境下，根据预设密钥对第一挑战字和第一挑战字的签名信息进行验签；若验签成功则对认证结果验证通过，若验签失败则对认证结果验证不通过。

步骤S104、移动终端在可信执行环境下生成证书请求信息，根据证书请求信息生成可信认证信息以及可信认证信息的签名信息。

其中，证书请求信息用于向证书发行服务器申请eUICC证书。

可选的，移动终端根据证书请求信息生成可信认证信息以及可信认证信息的签名信息，具体可以采用如下方式实现：

移动终端根据证书请求信息以及挑战字等信息等加密得到的密文信息作为可信认证信息，采用预设签名算法对可信认证信息签名得到可信认证信息的签名信息。

其中，预设签名算法可以为移动终端的可信执行环境以及可信执行环境对应的TEE认证服务器预先约定好的签名算法，TEE认证服务器可以对可信执行环境生成的签名信息进行验签，可信执行环境也可以对TEE认证服务器生成的签名信息进行验签。

步骤S105、移动终端向终端注册认证服务器发送可信设备认证请求，可信设备认证请求包括可信认证信息以及可信认证信息的签名信息，以使终端注册认证服务器在确定移动终端为可信设备后，获取移动终端的eUICC证书信息，并将eUICC证书信息发送给移动终端。

本实施例中，移动终端向终端注册认证服务器发送包括可信认证信息以及可信认证信息的签名信息的可信设备认证请求。终端注册认证服务器在接收到可信设备认证请求之后，根据可信认证信息以及可信认证信息的签名信息，通过该移动终端对应的TEE认证服务器对移动终端是否为可信设备进行认证；在确定移动终端为可信设备后，终端注册认证服务器提取出可信认证信息中的证书请求信息，根据证书请求信息向证书发行服务器请求eUICC证书。证书发行服务器为该移动终端生成eUICC证书，并将eUICC证书发送给终端注册认证服务器。终端注册认证服务器接收到eUICC证书之后，生成eUICC证书信息，并将eUICC证书信息发送给移动终端。

可选的，为了保证eUICC证书安全传输，证书发行服务器通过端到端的安全加密通道将eUICC证书发送给终端注册认证服务器。

可选的，为了将eUICC证书安全传输给移动终端，在获取到eUICC证书之后，终端注册认证服务器通过TEE认证服务器对eUICC证书进行加密得到eUICC证书的密文信息，并对eUICC证书的密文信息签名得到eUICC证书的密文信息的签名信息，将eUICC证书的密文信息和eUICC证书的密文信息的签名信息作为eUICC证书信息，将eUICC证书信息发送给移动终端。

步骤S106、移动终端接收终端注册认证服务器发送的eUICC证书信息，根据eUICC证书信息得到eUICC证书，并存储eUICC证书。

移动终端接收终端注册认证服务器发送的eUICC证书信息之后，在可信执行环境下，根据eUICC证书信息得到eUICC证书，并存储eUICC证书。

另外，移动终端接收终端注册认证服务器发送的eUICC证书信息，根据eUICC证书信息得到eUICC证书，并存储eUICC证书之后，还包括：

移动终端下载eSIM数据文件；移动终端加载eSIM数据文件，并激活eSIM数据文件。

可选的，在激活eSIM数据文件之后，移动终端通知基带代理模块使用可信执行环境的eSIM TA进行登网鉴权等操作。

另外，国际标准组织GSMA制定了SGP.21/22技术标准，定义了在独立硬件即嵌入式UICC(简称：“eUICC”)承载电子SIM卡数据并进行远程管理等操作规范，但由于采用独立硬件，这种方式一方面仍然占据终端硬件空间，另一方面制造成本较高。

本实施例中，可利用现有智能终端可信执行环境进行部署，降低了成本。

实施例二

图3为本发明实施例二提供的eSIM数据处理方法流程图。本发明实施例针对现有技术中eSIM的数据文件的安全性低的问题，提供了eSIM数据处理方法eSIM数据处理方法。本实施例中的方法应用于终端注册认证服务器。如图3所示，该方法具体步骤如下：

步骤S201、终端注册认证服务器接收移动终端发送的第一认证请求，第一认证请求包括终端信息以及终端信息对应的密文信息，终端信息包括移动终端的可信执行环境的标识。

在接收到eSIM服务启动请求后，移动终端在可信执行环境下向终端注册认证服务器发送第一认证请求。终端注册认证服务器接收移动终端发送的第一认证请求。

步骤S202、终端注册认证服务器为移动终端的eSIM TA分配EID，EID用于唯一标识移动终端的eSIM TA。

该步骤中，终端注册认证服务器在接收到第一认证请求后，为移动终端的eSIM TA分配EID。

步骤S203、终端注册认证服务器通过与移动终端的可信执行环境的标识对应的TEE认证服务器对移动终端进行认证，并将认证结果和EID发送给移动终端，以使移动终端对认证结果进行验证，并在验证通过后将EID置入eSIM TA中。

终端注册认证服务器在接收到第一认证请求后，通过与第一认证请求中的可信执行环境的标识对应的TEE认证服务器对移动终端进行认证，得到认证结果；终端注册认证服务器将EID和认证结果发送给移动终端，这样移动终端获取到了EID。

可选的，认证结果包括TEE认证服务器生成的第一挑战字和第一挑战字的签名信息。移动终端在可信执行环境下，可以对第一挑战字和第一挑战字的签名信息进行验签；若验签成功则对认证结果验证通过，若验签失败则对认证结果验证不通过。

可选的，终端注册认证服务器通过与移动终端的可信执行环境的标识对应的TEE认证服务器对移动终端进行认证，并将认证结果和EID发送给移动终端，具体可以采用如下方式实现：

终端注册认证服务器根据第一认证请求中移动终端的可信执行环境的标识，确定与移动终端的可信执行环境的标识对应的TEE认证服务器；终端注册认证服务器向TEE认证服务器发送第二认证请求，第二认证请求包括终端信息以及终端信息对应的密文信息，以使TEE认证服务器根据已存储的移动终端对应的预设密钥，对终端信息以及终端信息对应的密文信息进行验证，并在验证通过后生成第一挑战字，采用预设密钥对第一挑战字进行签名得到第一挑战字的签名信息，并将第一挑战字和第一挑战字的签名信息作为认证结果发送给终端注册认证服务器；终端注册认证服务器将EID以及接收到的认证结果发送给移动终端。

步骤S204、终端注册认证服务器接收移动终端发送的可信设备认证请求。

其中，可信设备认证请求包括可信认证信息以及可信认证信息的签名信息。

步骤S205、终端注册认证服务器通过TEE认证服务器确定移动终端为可信设备后，终端注册认证服务器获取移动终端的eUICC证书信息，并将eUICC证书信息发送给移动终端。

本实施例中，该步骤具体可以采用如下方式实现：

终端注册认证服务器向TEE认证服务器发送可信认证信息以及可信认证信息的签名信息，以使TEE认证服务器对可信认证信息以及可信认证信息的签名信息进行验签，若验签通过，则确定移动终端是可信设备，并根据可信认证信息计算得到证书请求信息，并将证书请求信息发送给终端注册认证服务器；终端注册认证服务器接收到TEE认证服务器发送的证书请求信息后，确定移动终端为可信设备；终端注册认证服务器将证书请求信息发送给证书发行服务器，以使证书发行服务器根据证书请求信息生成eUICC证书，并将eUICC证书发送给终端注册认证服务器；终端注册认证服务器接收证书发行服务器发送的eUICC证书；终端注册认证服务器根据eUICC证书生成对应的eUICC证书信息，并将eUICC证书信息发送给移动终端。

可选的，为了提高eUICC证书传输的安全性，终端注册认证服务器根据eUICC证书生成对应的eUICC证书信息，并将eUICC证书信息发送给移动终端，具体可以采用如下方式实现：

终端注册认证服务器将eUICC证书发送给TEE认证服务器，以使TEE认证服务器对eUICC证书加密得到eUICC证书的密文信息，对eUICC证书的密文信息的签名得到eUICC证书的密文信息的签名信息，并将eUICC证书的密文信息以及eUICC证书的密文信息的签名信息发送给终端注册认证服务器；终端注册认证服务器接收TEE认证服务器发送的eUICC证书的密文信息以及eUICC证书的密文信息的签名信息，并将eUICC证书的密文信息以及eUICC证书的密文信息的签名信息作为eUICC证书信息发送给移动终端。

实施例三

图4为本发明实施例三提供的eSIM数据处理方法的交互流程图。在上述实施例一或者实施例二的基础上，本实施例中，对eSIM数据处理方法中移动终端、中的注册认证服务器、TEE认证服务器、证书发行服务器等的交互流程进行示例性地说明。如图2所示，该方法具体步骤如下：

步骤S301、用户通过APP选择启动eSIM服务，通过APP向LPA发送eSIM服务启动请求；

步骤S302、LPA向eSIM CA转发eSIM服务启动请求；

步骤S303、eSIM CA向eSIM TA转发eSIM服务启动请求；

步骤S304、eSIM TA向移动终端的可信执行环境TEE转发eSIM服务启动请求；

步骤S305、TEE生成挑战字C、终端信息A以及终端信息对应的密文信息A′；

步骤S306、TEE将(A，A′，C)发送给eSIM TA；

步骤S307、eSIM TA将(A，A′，C)转发给eSIM CA；

步骤S308、eSIM CA将(A，A′，C)转发给LPA；

步骤S309、LPA向终端注册认证服务器发送包括(A，A′，C)的第一认证请求；

步骤S310、终端注册认证服务器根据第一认证请求中终端信息A中的可信执行环境标识，确定对应的TEE认证服务器；

步骤S311、终端注册认证服务器向该TEE认证服务器发送(A，A′，C)；

步骤S312、终端注册认证服务器为eSIM TA分配EID；

步骤S313、TEE认证服务器对A和A′进行验证，若验证成功，TEE认证服务器生成挑战字CS1，根据挑战字C和CS1生成第一挑战字B，对第一挑战字B签名得到B′；

步骤S314、TEE认证服务器将(B，B′，CS1)作为认证结果发送给终端注册认证服务器；

步骤S315、终端注册认证服务器将EID和(B，B′，CS1)发送给LPA；

步骤S316、LPA将EID和(B，B′，CS1)转发给eSIM CA；

步骤S317、eSIM CA将EID和(B，B′，CS1)转发给eSIM TA；

步骤S318、eSIM TA将(B，B′)发送给TEE；

步骤S319、TEE对(B，B′)验签，并将验签结果反馈给eSIM TA；

步骤S320、若验签成功，eSIM TA将EID置入eSIM TA中；

若验签成功，则认为对终点注册认证服务器认证成功；若验签失败，则认为对终点注册认证服务器认证失败，不将EID置入eSIM TA中。

步骤S321、eSIM TA生成证书请求信息CSR；

步骤S322、eSIM TA将(CS1，CSR)发送给TEE；

步骤S323、TEE对(CS1，CSR)加密得到可信认证信息AA，对可信认证信息AA签名得到对应的签名信息AA′；

步骤S324、TEE将(AA，AA′)反馈给eSIM TA；

步骤S325、eSIM TA将(AA，AA′)转发给eSIM CA；

步骤S326、eSIM CA将(AA，AA′)转发给LPA；

步骤S327、LPA向终端注册认证服务器发送包括(AA，AA′)的可信设备认证请求；

步骤S328、终端注册认证服务器向TEE认证服务器发送(AA，AA′)；

步骤S329、TEE认证服务器对(AA，AA′)验签，验签成功后对AA解密得到证书请求信息CSR；

TEE认证服务器对(AA，AA′)验签，若验签成功，则确定移动终端是可信设备，根据可信认证信息计算得到证书请求信息。

步骤S330、TEE认证服务器将证书请求信息CSR发送给终端注册认证服务器；

步骤S331、终端注册认证服务器向证书发行服务器CI发送证书请求信息CSR；

步骤S332、CI根据CSR生成eUICC证书；

步骤S333、CI将eUICC证书发送给终端注册认证服务器；

步骤S334、终端注册认证服务器向TEE认证服务器发送eUICC证书；

步骤S335、TEE认证服务器对eUICC证书加密得到eUICC证书的密文信息Cert1，对Cert1签名得到Cert1′；

步骤S336、TEE认证服务器将(Cert1，Cert1′)发送给终端注册认证服务器；

步骤S337、终端注册认证服务器将(Cert1，Cert1′)发送给LPA；

步骤S338、LPA将(Cert1，Cert1′)转发给eSIM CA；

步骤S339、eSIM CA将(Cert1，Cert1′)转发给eSIM TA；

步骤S340、eSIM TA将(Cert1，Cert1′)发送给TEE；

步骤S341、TEE对(Cert1，Cert1′)验签，若验签成功，对Cert1解密得到eUICC证书；

步骤S342、TEE将eUICC证书发送给eSIM TA；

步骤S343、eSIM TA存储eUICC证书，完成个人化配置。

可选的，eSIM TA存储eUICC证书，完成个人化配置之后，eSIM TA可以通过eSIM CA以及LPA向用户APP发送个人化配置完成通知消息，该通知消息携带EID。

在完成个人化配置之后，可以采用符合GSMA SGP.21/22标准的下载方式下载Profile。

另外，对Profile的激活并使用可以采用如下步骤实现：

步骤1、用户通过操作“点击选择激活”或者业务APP调用LPA的接口函数的激活命令；

步骤2、LPA通过API接口函数调用eSIM CA激活方法；

步骤3、eSIM CA向eSIM TA发送APDU(ApplicationProtocol data unit)激活指令；

步骤4、eSIM TA执行APDU激活指令完成Profile的激活；

步骤5、激活完成后，eSIM TA向eSIM TA反馈激活成功消息；

步骤6、eSIM CA向LPA转发激活成功消息；

步骤7、LPA收到激活成功消息后，即Profile激活成功，向TEE-eSIM基带通信代理模块发起激活eSIM指令，并指定所激活eSIM使用的卡槽；

若LPA未收到激活成功消息，保持一定次数重试后报错并放弃。

步骤8、TEE-eSIM基带通信代理模块向基带处理模块注册步骤7中指定的卡槽的卡处理指令。

步骤9、激活后基带处理模块将所有APDU发给TEE-eSIM基带通信代理模块；

步骤10、TEE-eSIM基带通信代理模块将APDU发给eSIM CA；

步骤11、eSIM CA将APDU中转给eSIM TA；

步骤12、eSIM TA模拟SIM卡行为对APDU处理后，将响应APDU返回给eSIM CA；

步骤13、eSIM CA将响应APDU返回给TEE-eSIM基带通信代理模块；

步骤14、TEE-eSIM基带通信代理模块将响应APDU返回给基带处理模块。

另外，在去激活时，与激活步骤相反，先去激活TEE-eSIM基带通信代理模块切断基带处理模块发往eSIM CA的指令，之后由LPA向eSIM TA发送Profile去激活指令将eSIM TA内的Profile置为inactive状态。

可选的，上述架构中，eSIM CA可以被省略，在省略eSIM CA的架构中，LPA可直接与eSIM TA通信，完成注册，个人化配置和eSIM Profile的下载；TEE-eSIM基带通信代理模块可与eSIM TA直接通信完成所有eSIM卡电信应用的命令处理。

本发明实施例给出了eSIM数据处理方法中移动终端、中的注册认证服务器、TEE认证服务器、证书发行服务器等的详细交互流程。

本发明提供的eSIM数据处理方法、设备及可读存储介质，通过利用移动终端内的可信执行环境部署了eSIM应用，利用可信计算环境的根信任机制建立安全数据通道，获取eSIM的EID和eUICC证书信息，实现了认证、分配EID、申请证书的在线流程；为之后的符合GSMA SGP.21/22标准eSIM下载提供了技术基础，移动终端的应用层无法直接读取eSIM的数据文件，提高了eSIM的数据文件的安全性。相较于传统上，此过程在实体卡的制卡过程中实现，本实施例中TEE由于实现了类似软SIM的模式，在用户使用过程中才需申请EID和eUICC证书，实现了资源的按需分配。

实施例四

图5为本发明实施例四提供的移动终端的结构示意图。如图5所示，该移动终端50包括：处理器501，存储器502，可信执行环境(图中未示出)，以及存储在存储器502上并可由处理器501执行的计算机程序。

处理器501在执行存储在存储器502上的计算机程序时实现上述实施例一或者实施例三提供的eSIM数据处理方法。

实施例五

图6为本发明实施例五提供的终端注册认证服务器的结构示意图。如图6所示，该终端注册认证服务器60包括：处理器601，存储器602，以及存储在存储器602上并可由处理器601执行的计算机程序。

处理器601在执行存储在存储器602上的计算机程序时实现上述实施例二或者实施例三提供的eSIM数据处理方法。

另外，本发明实施例还提供一种计算机可读存储介质，存储有计算机程序，计算机程序被处理器执行时实现上述实施例一或者实施例三提供的eSIM数据处理方法。

另外，本发明实施例还提供一种计算机可读存储介质，存储有计算机程序，计算机程序被处理器执行时实现上述实施例二或者实施例三提供的eSIM数据处理方法。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

本领域技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求书指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求书来限制。

Claims

1.一种eSIM数据处理方法，其特征在于，包括：

在接收到eSIM服务启动请求后，移动终端在可信执行环境下向终端注册认证服务器发送第一认证请求，所述第一认证请求包括终端信息以及所述终端信息对应的密文信息，所述终端信息包括所述可信执行环境的标识，以使所述终端注册认证服务器为所述移动终端的eSIM TA分配EID，通过与所述可信执行环境的标识对应的TEE认证服务器对所述移动终端进行认证，并将认证结果和所述EID反馈给所述移动终端，所述EID用于唯一标识所述移动终端的eSIM TA；所述eSIM TA为应用于eSIM数据处理的可信应用；

所述移动终端接收所述终端注册认证服务器发送的eUICC证书信息，根据所述eUICC证书信息得到eUICC证书，并存储所述eUICC证书；

其中，所述根据所述证书请求信息生成所述可信认证信息以及所述可信认证信息的签名信息，包括：所述移动终端根据所述证书请求信息以及挑战字等信息等加密得到的密文信息作为所述可信认证信息，采用预设签名算法对所述可信认证信息签名得到所述可信认证信息的签名信息；

其中，所述预设签名算法为所述移动终端的所述可信执行环境以及所述执行环境对应的TEE认证服务器预先约定好的签名算法。

2.根据权利要求1所述的方法，其特征在于，所述认证结果包括所述TEE认证服务器生成的第一挑战字和所述第一挑战字的签名信息，

所述移动终端对所述认证结果进行验证，包括：

所述移动终端在可信执行环境下，根据预设密钥对所述第一挑战字和所述第一挑战字的签名信息进行验签；

若验签成功则对所述认证结果验证通过，若验签失败则对所述认证结果验证不通过。

3.根据权利要求1所述的方法，其特征在于，所述eUICC证书信息包括所述eUICC证书的密文信息，以及所述eUICC证书的密文信息的签名信息；

所述移动终端根据所述eUICC证书信息得到eUICC证书，包括：

所述移动终端在可执行环境下对所述eUICC证书的密文信息，以及所述eUICC证书的密文信息的签名信息验签；

若验签通过，则所述移动终端对所述eUICC证书的密文信息进行解密，得到所述eUICC证书。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述移动终端接收所述终端注册认证服务器发送的eUICC证书信息，根据所述eUICC证书信息得到eUICC证书，并存储所述eUICC证书之后，还包括：

所述移动终端下载eSIM数据文件；

所述移动终端加载所述eSIM数据文件，并激活所述eSIM数据文件。

5.一种eSIM数据处理方法，其特征在于，包括：

所述终端注册认证服务器为所述移动终端的eSIM TA分配EID，所述EID用于唯一标识所述移动终端的eSIM TA；所述eSIM TA为应用于eSIM数据处理的可信应用；

所述终端注册认证服务器接收所述移动终端发送的可信设备认证请求；所述可信设备认证请求包括所述可信认证信息以及所述可信认证信息的签名信息；所述可信认证信息是所述移动终端根据所述移动终端在可信执行环境下生成的证书请求信息以及挑战字等信息加密得到的密文信息；所述可信认证信息的签名信息是所述移动终端采用预设签名算法对所述可信认证信息签名得到的；其中，所述预设签名算法为所述移动终端的所述可信执行环境以及所述执行环境对应的TEE认证服务器预先约定好的签名算法；

6.根据权利要求5所述的方法，其特征在于，所述终端注册认证服务器通过与所述移动终端的可信执行环境的标识对应的TEE认证服务器对所述移动终端进行认证，并将认证结果和所述EID发送给所述移动终端，包括：

所述终端注册认证服务器根据所述第一认证请求中所述移动终端的可信执行环境的标识，确定与所述移动终端的可信执行环境的标识对应的TEE认证服务器；

所述终端注册认证服务器向所述TEE认证服务器发送第二认证请求，所述第二认证请求包括所述终端信息以及所述终端信息对应的密文信息，以使所述TEE认证服务器根据已存储的所述移动终端对应的预设密钥，对所述终端信息以及所述终端信息对应的密文信息进行验证，并在验证通过后生成第一挑战字，采用所述预设密钥对所述第一挑战字进行签名得到所述第一挑战字的签名信息，并将所述第一挑战字和所述第一挑战字的签名信息作为认证结果发送给所述终端注册认证服务器；

所述终端注册认证服务器将所述EID以及接收到的所述认证结果发送给所述移动终端。

7.根据权利要求5所述的方法，其特征在于，所述可信设备认证请求包括可信认证信息以及所述可信认证信息的签名信息；

所述终端注册认证服务器通过所述TEE认证服务器确定所述移动终端为可信设备后，所述终端注册认证服务器获取所述移动终端的eUICC证书信息，并将所述eUICC证书信息发送给所述移动终端，包括：

所述终端注册认证服务器向所述TEE认证服务器发送所述可信认证信息以及所述可信认证信息的签名信息，以使所述TEE认证服务器对所述可信认证信息以及所述可信认证信息的签名信息进行验签，若验签通过，则确定所述移动终端是可信设备，并根据所述可信认证信息计算得到证书请求信息，并将所述证书请求信息发送给所述终端注册认证服务器；

所述终端注册认证服务器接收到所述TEE认证服务器发送的所述证书请求信息后，确定所述移动终端为可信设备；

所述终端注册认证服务器将所述证书请求信息发送给证书发行服务器，以使证书发行服务器根据所述证书请求信息生成eUICC证书，并将所述eUICC证书发送给所述终端注册认证服务器；

所述终端注册认证服务器接收所述证书发行服务器发送的eUICC证书；

所述终端注册认证服务器根据所述eUICC证书生成对应的eUICC证书信息，并将所述eUICC证书信息发送给所述移动终端。

8.根据权利要求7所述的方法，其特征在于，所述终端注册认证服务器根据所述eUICC证书生成对应的eUICC证书信息，并将所述eUICC证书信息发送给所述移动终端，包括：

所述终端注册认证服务器将所述eUICC证书发送给所述TEE认证服务器，以使所述TEE认证服务器对所述eUICC证书加密得到所述eUICC证书的密文信息，对所述eUICC证书的密文信息的签名得到所述eUICC证书的密文信息的签名信息，并将所述eUICC证书的密文信息以及所述eUICC证书的密文信息的签名信息发送给所述终端注册认证服务器；

所述终端注册认证服务器接收所述TEE认证服务器发送的所述eUICC证书的密文信息以及所述eUICC证书的密文信息的签名信息，并将所述eUICC证书的密文信息以及所述eUICC证书的密文信息的签名信息作为所述eUICC证书信息发送给所述移动终端。

9.一种移动终端，其特征在于，包括：

可信执行环境，存储器，处理器，以及存储在所述存储器上并可在所述处理器上运行的计算机程序，

所述处理器运行所述计算机程序时实现如权利要求1-4中任一项所述的方法。

10.一种终端注册认证服务器，其特征在于，包括：

所述处理器运行所述计算机程序时实现如权利要求5-8中任一项所述的方法。

11.一种计算机可读存储介质，其特征在于，存储有计算机程序，

所述计算机程序被处理器执行时实现如权利要求1-4中任一项所述的方法。

12.一种计算机可读存储介质，其特征在于，存储有计算机程序，

所述计算机程序被处理器执行时实现如权利要求5-8中任一项所述的方法。