[发明专利]一种远程更新认证应用证书的方法及系统

说明书

本发明提供一种远程更新认证应用证书的方法及系统，该方法包括：接收签约关系管理平台安全路由网元SM‑SR发送的认证应用证书更新命令；根据所述认证应用证书更新命令生成新的认证应用公私钥对，用预存的认证平台公钥加密所述新的认证应用公私钥对中的新的认证应用公钥；向SM‑SR发送携带有加密的所述新的认证应用公钥的认证应用证书更新请求；接收SM‑SR发送的携带有所述新的认证应用证书的认证应用证书更新反馈消息，并基于所述新的认证应用证书进行证书更新操作。该方法及系统能够解决现有的基于智能卡的私有解决方案，通常需要与指定卡商及运营商合作，在制卡时需要预置指定认证应用证书，只能适用于特定范围内的用户，无法远程更新认证应用证书的问题。

技术领域

本发明涉及智能卡技术领域，尤其涉及一种远程更新认证应用证书的方法及系统。

背景技术

随着国家加快“新基建”步伐，5G通信网络也将日益融入社会管理的方方面面。系列5G应用场景都对信息安全提出比传统互联网更高的要求，尤其在工业物联网领域，泛在连接场景下的海量多样化终端易被攻击利用，对网络运行安全造成威胁，由于终端能力差异很大，弱终端由于资源、能力受限，终端自身安全防护能力也较弱，容易成为受攻击、受控对象。另一方面，作为移动通信网络基础入口的智能卡也逐渐从移动通信的生产部件发展成为移动通信业务和服务创新的重要载体，成为移动信息化的重要平台。

基于智能卡在移动通信网络中的重要位置和安全属性，业界提出了基于智能卡的身份认证解决方案，将智能卡作为用户端的安全承载模块，存放认证应用以及证书、密钥等敏感数据，终端通过认证应用与认证服务器交互以进行身份认证。

然而，现有的基于智能卡的安全认证解决方案为私有解决方案，通常需要与指定卡商及运营商合作，在制卡时预置指定认证应用证书，建立私有封闭的安全体系，只适用于其特定范围内的用户，且无法远程更新认证应用证书。

发明内容

本发明所要解决的技术问题是针对现有技术的上述不足，提供一种远程更新认证应用证书的方法及系统，用以解决现有的基于智能卡的私有解决方案，通常需要与指定卡商及运营商合作，在制卡时需要预置指定认证应用证书，只能适用于特定范围内的用户，无法远程更新认证应用证书的问题。

第一方面，本发明实施例提供一种远程更新认证应用证书的方法，应用于嵌入式通用集成电路卡eUICC，所述方法包括：

接收签约关系管理平台安全路由网元SM-SR发送的认证应用证书更新命令；

根据所述认证应用证书更新命令生成新的认证应用公私钥对，用预存的认证平台公钥加密所述新的认证应用公私钥对中的新的认证应用公钥；

向SM-SR发送携带有加密的所述新的认证应用公钥的认证应用证书更新请求，所述认证应用证书更新请求用于触发SM-SR向认证平台转发所述认证应用证书更新请求，以使所述认证平台根据所述认证应用证书更新请求生成新的认证应用证书；

接收SM-SR发送的携带有所述新的认证应用证书的认证应用证书更新反馈消息，并基于所述新的认证应用证书进行证书更新操作。

优选地，所述认证应用证书更新命令还携带第一RC和第一签名，所述第一签名为所述认证平台使用自身私钥对所述第一RC的签名，

所述根据所述认证应用证书更新命令生成新的认证应用公私钥对，包括：

用所述认证平台公钥对所述第一签名进行验证；

若验证通过，则生成所述新的认证应用公私钥对；

所述向SM-SR发送携带有加密的所述新的认证应用公钥的认证应用证书更新请求之前，所述方法还包括：

用原认证应用私钥对第一RC和加密的新的认证应用公钥进行签名，得到第二签名；

所述认证应用证书更新请求还携带所述第一RC和所述第二签名。