[发明专利]基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台

说明书

本发明提供一种基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台，TEE终端向管理平台发送签名验证请求，管理平台将签名验证请求转发给验证平台，以使验证平台对TEE终端进行验证，当验证成功时，管理平台为TEE终端的虚拟eSIM卡分配第一标识，TEE终端根据第一标识生成证书申请请求并由管理平台转发给证书生成平台，以使证书生成平台为TEE终端生成第一证书，管理平台对第一证书进行保存后将证书发送给TEE终端。通过上述过程，使得TEE终端具有了第一证书，能够按照GSMA国际标准规范与管理平台进行虚拟eSIM卡的认证流程，实现了管理平台对TEE终端的虚拟eSIM卡进行远程配置和管理。

技术领域

本发明涉及通信技术领域，尤其涉及一种基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台。

背景技术

随着嵌入式用户身份识别卡(Embedded Subscriber Identification Module，eSIM)业务的发展，越来越多的终端设备支持eSIM业务，这些设备被称为远程SIM配置(Remote SIM Provisioning，RSP)终端。RSP终端不需要设置独立的SIM卡槽，而是直接将实体eSIM卡嵌入到了终端设备的芯片中。RSP终端设备可以通过与eSIM管理平台的交互，实现eSIM卡的远程激活与终止、业务定制与变更、配置信息的更新、删除、下载与安装等功能。

根据GSMA国际标准规范，eSIM管理平台与RSP终端进行交互时，需要对RSP终端的eSIM卡的证书进行认证，具体的，RSP终端向eSIM管理平台发送认证请求，在认证请求中携带该终端的eSIM卡的证书，eSIM管理平台接收到认证请求后，查找是否存在与该eSIM卡的证书对应的DP证书，若存在则认证通过。其中，eSIM卡的证书是终端厂商在生产终端时预置安装到RSP终端中的。

随着可信执行环境(Trusted Execution Environment,TEE)概念的提出，越来越多的终端支持TEE。TEE是设置在终端内的一个独立的安全运行环境，该运行环境与多媒体执行环境(Rich Execution Environment，REE)逻辑隔离，两者只能通过授权的应用程序编程接口进行交互。TEE提供了可信应用(Trust APP，TA)的安全执行环境，同时也保证TA的资源和数据的保密性、完整性和访问权限。利用TEE终端可以实现虚拟eSIM卡，即将eSIM卡的数据写入TEE终端的预设内存中，模拟真实的eSIM卡，实现接入运营商的网络进行通信。

由于TEE终端采用的是虚拟eSIM卡，其设备芯片中并未嵌入实体SIM卡，因此TEE终端中并未预置eSIM卡的证书，使得TEE终端无法按照GSMA国际标准规范与eSIM管理平台进行交互。

发明内容

本发明提供一种基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台，管理平台为TEE终端分配虚拟eSIM卡的标识并为虚拟eSIM卡生成证书，使得TEE终端能够按照GSMA国际标准规范与管理平台进行后续的虚拟eSIM卡的认证流程，提高了TEE终端与管理平台进行交互的安全级别。

第一方面，本发明提供的基于TEE的虚拟eSIM卡的认证方法，应用于TEE终端，所述TEE终端中设置有所述虚拟eSIM卡，所述方法包括：

向管理平台发送签名验证请求，所述签名验证请求包括所述TEE终端的签名信息，用于所述管理平台向验证平台请求对所述签名信息进行验证；

接收所述管理平台发送的第一标识，所述第一标识为在所述验证平台对所述签名信息验证成功时，所述管理平台为所述虚拟eSIM卡分配的标识信息；

向所述管理平台发送证书申请请求，所述证书申请请求用于所述管理平台向证书生成平台请求为所述虚拟eSIM卡生成证书，其中，所述证书申请请求中包括所述第一标识；