[发明专利]智能卡的远程签约管理平台切换方法及装置、智能卡、SM-SR

说明书

本发明实施例公开了一种智能卡的远程签约管理平台切换方法及装置，所述方法包括：目的SM‑SR接收到针对嵌入式智能卡eUICC的切换请求后，对涉及eUICC与其他网元实体建立安全通信的信任状数据进行加密，确保所述信任状数据安全传送。

技术领域

本发明涉及物联网通信技术，尤其涉及一种智能卡的远程签约管理平台切换方法及装置、智能卡、用户签约数据管理—安全路由(SM-SR，Subscription Manager-SecureRouting)。

背景技术

物联网被称为继计算机、互联网之后，世界信息产业的第三次浪潮，代表了下一代信息技术发展方向，随着物联网技术的普及，越来越多传统商品如汽车、智能表具、监控设备等被嵌入一种嵌入式智能卡(eUICC，embedded Universal Integrated Circuit Card)，即将智能卡芯片直接焊接在终端的电路板或直接封装为通信模块，成为物联网终端。

eUICC作为物联网终端接入运营商网络的鉴权工具，以及承载各种应用程序(APP)、数据的安全载体，已经成为物联网发展的关键核心技术。应用于物联网业务的eUICC已不仅仅是一种新的UICC卡形态或用户终端设备形态，还包括为支持这种新形态设备而建立的整体系统，其中eUICC的激活、去激活管理、用户关系管理、远程管理、业务管理和安全管理可能都将是该系统中必不可少的功能。

此外，当前移动网络中电信智能卡根据发行地、使用地以及卡片用途不同，发行采用网络管理区域如省、地市等的方法。但在物联网应用场景下，由于智能卡通常存在于物联网终端中或者焊接在终端中，其发行地及使用地很难在物联网终端生产时确定。在此种应用场景下，需考虑物联网智能卡的首次使用时激活、激活后更换运营配置等业务。因此，物联网业务对智能卡管理提出的新的需求，特别是智能卡空中配号、激活、去激活以及配置更换管理等是首先必须要解决的问题。而eUICC的使用流程与传统UICC卡使用流程发生了较大的改变。传统UICC卡在发行前需要经过生产、选择运营商、定制、发行、激活、使用、终止等环节。在e_UICC情况下，UICC卡在发行前只需要进行基础性的个性化，例如UICC卡ID写入、UICC卡基本认证授权参数的写入、初始签约数据或相关参数的写入，发行后则可以根据运营商提供的新注册描述信息，由用户签约数据管理—数据准备(SM-DP，SubscriptionManager-Data Preparation)重新生成新的签约数据并下载到eUICC中，实现运营商的选择更换。由此可以看出，签约数据的定制过程从卡商公司内部更改为通过空口的制作和安装，尤其是个人化密钥、信任状(Profile Installer Credential)数据的生成和写入。因此空中配号的安全问题凸显出来，一直受到运营商、卡商以及用户的高度关注。空中配号技术的安全威胁包括假冒、窃听、重放、拒绝服务和非授权访问，如身份假冒威胁，在产生、下载、安装、切换签约数据的过程，不同的操作实体会参与进来，例如多个运营商、多个用户签约数据管理—安全路由(SM-SR，Subscription Manager-Secure Routing)，因此身份认证算法不可避免地会被多个操作实体掌握，同时通过信任状获取操作授权时，一旦信任状丢失，则会导致出现非法操作。现有技术中，当eUICC出厂后，由某个运营商的移动网络为其提供服务，但是如果后续需要变更运营商时，就需要改变原来提供服务的运营商的移动网络使用的目的SM-SR，这时就需要将源SM-SR对eUICC的远程管理控制权转移到目的SM-SR。一般来说，目的SM-SR和源SM-SR由不同的管理者进行管理，eUICC在卡制造商处会预先安装一个用于接入SM-SR的配置文件(Provisioning Profile)，用以连接到一个预设的SM-SR，预设的SM-SR用于实现eUICC接入运营商网络所需要的文件如执行文件(Operational Profile)等的下载等操作，而且eUICC中还设置有与预设的SM-SR对应的文件安装信任状，以实现SM-SR可以与eUICC所属内部的文件、数据的下载。然而，在上述的SM-SR的切换过程中，如何保证目的SM-SR中的用于保证eUICC与外部实体建立安全通信的文件管理信任状(Profile Management Credential)不被源SM-SR接触或者获知，目前还没有效的解决方案。