[发明专利]配置文件策略规则的安全控制

权利要求书

1.一种安全元件SE执行的方法，该方法包括：

i)接收二进制大对象blob；

ii)从所述blob解析移动网络运营商MNO的第一标识符；

iii)从所述blob解析签名；

iv)获取密钥；

v)当用所述密钥对所述签名的验证指示所述签名是由所述MNO创建的时：

a)从所述blob解析配置文件策略规则PPR更新信息，以及

b)基于所述PPR更新信息将策略规则变量设置为启用状态或禁用状态，其中所述策略规则变量与所述SE上存在的配置文件相关联；并且

vi)当用所述密钥对所述签名的所述验证指示所述签名不是由所述MNO创建的时：

不改变所述策略规则变量。

2.根据权利要求1所述的方法，还包括：

当用所述密钥对所述签名的所述验证指示所述签名不是由所述MNO创建的时：

丢弃所述blob。

3.根据权利要求1所述的方法，其中与所述配置文件相关联的国际移动用户识别码(IMSI)与所述MNO相关联。

4.根据权利要求1所述的方法，其中：i)所述blob是经由设备从电子用户身份模块(eSIM)服务器接收的，并且ii)所述SE容纳在所述设备中。

5.根据权利要求1所述的方法，其中所述解析PPR更新信息包括从所述blob的元数据部分解析所述PPR更新信息。

6.根据权利要求1所述的方法，其中：i)所述blob不包括绑定配置文件包(BPP)，并且ii)所述SE上存在的所述配置文件处于禁用状态。

7.根据权利要求1所述的方法，其中所述获取密钥包括：

从所述blob获取公钥参数，其中所述公钥参数与所述MNO相关联。

8.根据权利要求1所述的方法，其中所述获取密钥包括：

从SE存储器位置获取所述密钥。

9.根据权利要求8所述的方法，其中所述获取密钥包括：

从所述blob解析对象标识符OID；

基于所述OID寻址SE存储器位置；以及

从所述SE存储器位置获取所述密钥。

10.根据权利要求9所述的方法，其中所述OID与证书管理机构(CA)相关联。

11.根据权利要求9所述的方法，其中所述OID与所述MNO相关联。

12.根据权利要求1所述的方法，其中所述获取密钥包括：

从证书获取所述密钥，其中：i)所述blob包括所述证书，并且ii)所述证书包括所述MNO的标识符。

13.根据权利要求12所述的方法，其中：i)所述证书由证书签发方CI签名，并且ii)存储在所述SE中的可信列表包括所述CI的标识符。

14.一种安全元件SE，包括：

存储器；和

处理器，其中所述存储器包括在被所述处理器执行时使所述SE执行包括如下操作的指令：

i)接收二进制大对象blob，

ii)从所述blob解析移动网络运营商MNO的第一标识符，

iii)从所述blob解析签名，

iv)获取密钥，

v)当用所述密钥对所述签名的验证指示所述签名是由所述MNO创建的时：

a)从所述blob解析配置文件策略规则PPR更新信息，以及

b)基于所述PPR更新信息将策略规则变量设置为启用状态或禁用状态，其中所述策略规则变量与所述SE上存在的配置文件相关联，并且

vi)当用所述密钥对所述签名的所述验证指示所述签名不是由所述MNO创建的时：

不改变所述策略规则变量。