配置方法和设备技术

本发明专利技术提供一种配置方法和设备，其中方法包括：与第一终端的eUICC建立连接；接收第一终端的eUICC发送的OP获取请求，并向第一终端的eUICC发送认证证书获取请求；接收第一终端的eUICC返回的OP标识、以及利用第一私钥生成的数字签名，所述第一私钥是由第一终端的eUICC对从第一终端获取的第一密钥生成参数执行密钥生成算法后生成；获取第二公钥，并利用第二公钥与数字签名进行认证，第二公钥是从第二终端接收到并且是由第二终端的eUICC对从第二终端获取的第二密钥生成参数执行相同的密钥生成算法后生成；若认证通过，则将OP标识对应的OP发送至第一终端的eUICC。本发明专利技术提高了终端更换时的安全性。

【技术实现步骤摘要】
配置方法和设备
本专利技术涉及通信技术，尤其涉及一种配置方法和设备。
技术介绍
用户在使用终端(例如，手机)的过程中，可能会由于各种原因需要更换终端，例如终端损坏、终端被盗窃等，用户也可能会主动更换终端。对于使用通用集成电路卡(UniversalIntegratedCircuitCard，简称：UICC)的终端来说，由于运营商的文件(例如,执行文件(OperationalProfile，简称：OP))封装在UICC中，用户在更换终端时只需要将第二终端使用的UICC插入到第一终端，即可利用所述OP继续使用运营商的网络。但是，对于使用嵌入式集成电路卡(EmbeddedUniversalIntegratedCircuitCard，简称：eUICC)的终端来说，由于每个终端的eUICC是嵌入到终端中的，而且运营商的文件(例如，OP)不再封装到eUICC中，用户在更换终端时，第一终端的eUICC必须重新向运营商的签约管理实体(SubscriptionManager，简称：SM)请求OP并在该第一终端的eUICC上激活，才能继续使用运营商的网络；该签约管理实体可以称为远程管理平台。对于使用eUICC的终端，在终端更换过程中可能存在如下的安全隐患：例如，用户A与C运营商具有签约关系，该用户A为C运营商的合法用户，C运营商为用户A分配了用于使用C运营商网络的一些信息，可以称作认证信息；用户A在更换终端时，需要在再次请求OP时携带上述运营商分配的认证信息，C运营商就会根据该认证信息为用户A的新终端的eUICC下发OP。但是，假设存在未与C运营商签约的用户B，用户B可能会以某种方式获知了C运营商为用户A分配的认证信息，并利用该信息向C运营商请求OP；此时C运营商将无法识别出用户B为非合法用户，也会向用户B的终端下发OP，造成非合法用户非法使用C运营商的网络。
技术实现思路
本专利技术提供一种配置方法和设备，以提高终端更换时的安全性。第一方面，提供一种配置方法，包括：与第一终端的嵌入式通用集成电路卡eUICC建立连接；接收所述第一终端的eUICC发送的执行文件OP获取请求，向所述第一终端的eUICC发送认证证书获取请求；接收所述第一终端的eUICC返回的标识请求的OP的OP标识、以及利用第一私钥生成的第一数字签名，所述第一私钥是由所述第一终端的eUICC对从所述第一终端获取的第一密钥生成参数执行密钥生成算法后生成；根据所述OP标识查找第二公钥，并利用所述第二公钥与所述第一数字签名进行认证，所述第二公钥是从第二终端接收到，所述第二公钥是由所述第二终端的eUICC对从所述第二终端获取的第二密钥生成参数执行与所述第一终端相同的密钥生成算法后生成；若利用所述第二公钥与所述第一数字签名进行的认证通过，将所述OP发送至所述第一终端的eUICC。结合第一方面，在第一种可能的实现方式中，在与所述第一终端的嵌入式通用集成电路卡eUICC建立连接之前，还包括：与所述第二终端的eUICC建立连接；接收所述第二终端的eUICC发送的所述第二公钥、第二设备信息，所述第二设备信息用于标识所述第二终端；记录所述第二公钥、向所述第二终端分配的所述OP标识以及所述第二设备信息之间的对应关系。结合第一方面、或者第一方面的第一种可能的实现方式，在所述向所述第一终端的eUICC发送认证证书获取请求之前，还包括：所述OP标识携带在所述OP获取请求中，还接收第一设备信息，所述第一设备信息用于标识所述第一终端；根据所述OP标识、以及所述OP标识与所述第二设备信息之间的对应关系，查找到对应的所述第二设备信息；若判断所述第二设备信息与所述第一设备信息不同，则执行所述向所述第一终端的eUICC发送认证证书获取请求。结合第一方面的第二种可能的实现方式，在第三种可能的实现方式中，在利用所述第二公钥与所述数字签名进行的认证通过之后，还包括：记录所述OP标识与所述第一设备信息之间的对应关系。结合第一方面的第一种可能的实现方式，在第四种可能的实现方式中，在记录所述第二公钥与所述OP标识之间的对应关系之后，还包括：接收所述第二终端的eUICC发送的第二公钥修改请求；根据所述第二公钥修改请求，向所述第二终端的eUICC发送第二认证信息获取请求；接收所述第二终端的eUICC发送的第二认证信息，所述第二认证信息包括利用第三私钥生成的第二数字签名、以及所述OP标识；所述第三私钥是所述第二终端的eUICC对从所述第二终端获取的第三密钥生成参数执行所述密钥生成算法后生成；利用所述第二公钥与所述第二数字签名进行认证，并在认证通过时，根据所述第二公钥修改请求对所述第二公钥进行修改。结合第一方面的第一种可能的实现方式，在第五种可能的实现方式中，在记录所述第二公钥与所述OP标识之间的对应关系之后，还包括：接收所述第一终端的eUICC发送的第一公钥修改请求；根据所述第一公钥修改请求，向所述第一终端的eUICC发送第一认证信息获取请求；接收所述第一终端的eUICC发送的第一认证信息，所述第一认证信息包括利用第四私钥生成的第三数字签名、以及所述OP标识；所述第四私钥是所述第一终端的eUICC对从所述第一终端获取的第四密钥生成参数执行所述密钥生成算法后生成；利用所述第二公钥与所述第三数字签名进行认证，并在认证通过时，根据所述第一公钥修改请求对所述第二公钥进行修改。结合第一方面，在第六种可能的实现方式中，所述将所述OP发送至所述第一终端的eUICC，包括：通过所述第二公钥对所述OP加密，并将加密后的所述OP发送至所述第一终端的eUICC。第二方面，提供一种配置方法，包括：嵌入式通用集成电路卡eUICC与远程管理平台建立连接，所述eUICC位于第一终端中；所述eUICC向所述远程管理平台发送执行文件OP获取请求，并接收所述远程管理平台发送的认证证书获取请求；所述eUICC根据所述认证证书获取请求，从所述第一终端获取第一密钥生成参数，对所述第一密钥生成参数执行密钥生成算法生成第一私钥，利用所述第一私钥生成第一数字签名；还从所述第一终端获取用于标识请求的OP的OP标识，将所述OP标识和所述第一数字签名发送至所述远程管理平台；所述eUICC接收所述远程管理平台发送的与所述OP标识对应的所述OP，所述OP是由所述远程管理平台在利用存储在所述远程管理平台的第二公钥与所述第一数字签名进行认证通过后发送的；所述第二公钥是由所述远程管理平台从第二终端接收到，所述第二公钥是由所述第二终端的eUICC对从所述第二终端获取的第二密钥生成参数执行与所述第一终端相同的密钥生成算法后生成。结合第二方面，在第一种可能的实现方式中，在所述eUICC位于第一终端之前，当所述eUICC位于第二终端中时：所述eUICC还接收所述远程管理平台发送的密钥生成指示；所述eUICC根据所述密钥生成指示，从所述第二终端获取所述第二密钥生成参数、以及用于标识所述第二终端的第二设备信息；所述eUICC根据所述第二密钥生成参数执行所述密钥生成算法得到密钥对，所述密钥对包括所述第二公钥和第二私钥，并将所述第二公钥和所述第二设备信息发送至所述远程管理平台，以使得所述远程管理平台记录所述第二公钥、向所述第二终端分配的所述OP标识以及所述第二设备信息之间的对应关系。结合第二方本文档来自技高网...

【技术保护点】
一种配置方法，其特征在于，包括：与第一终端的嵌入式通用集成电路卡eUICC建立连接；接收所述第一终端的eUICC发送的执行文件OP获取请求，向所述第一终端的eUICC发送认证证书获取请求；接收所述第一终端的eUICC返回的标识请求的OP的OP标识、以及利用第一私钥生成的第一数字签名，所述第一私钥是由所述第一终端的eUICC对从所述第一终端获取的第一密钥生成参数执行密钥生成算法后生成；根据所述OP标识查找第二公钥，并利用所述第二公钥与所述第一数字签名进行认证，所述第二公钥是从第二终端接收到，所述第二公钥是由所述第二终端的eUICC对从所述第二终端获取的第二密钥生成参数执行与所述第一终端相同的密钥生成算法后生成；若利用所述第二公钥与所述第一数字签名进行的认证通过，将所述OP发送至所述第一终端的eUICC。

【技术特征摘要】
1.一种配置方法，其特征在于，包括：与第一终端的嵌入式通用集成电路卡eUICC建立连接；接收所述第一终端的eUICC发送的执行文件OP获取请求，向所述第一终端的eUICC发送认证证书获取请求；接收所述第一终端的eUICC返回的标识请求的OP的OP标识、以及利用第一私钥生成的第一数字签名，所述第一私钥是由所述第一终端的eUICC对从所述第一终端获取的第一密钥生成参数执行密钥生成算法后生成；根据所述OP标识查找第二公钥，并利用所述第二公钥与所述第一数字签名进行认证，所述第二公钥是从第二终端接收到，所述第二公钥是由所述第二终端的eUICC对从所述第二终端获取的第二密钥生成参数执行与所述第一终端相同的密钥生成算法后生成；若利用所述第二公钥与所述第一数字签名进行的认证通过，将所述OP发送至所述第一终端的eUICC。2.根据权利要求1所述的方法，其特征在于，在与所述第一终端的嵌入式通用集成电路卡eUICC建立连接之前，还包括：与所述第二终端的eUICC建立连接；接收所述第二终端的eUICC发送的所述第二公钥、第二设备信息，所述第二设备信息用于标识所述第二终端；记录所述第二公钥、向所述第二终端分配的所述OP标识以及所述第二设备信息之间的对应关系。3.根据权利要求2所述的方法，其特征在于，在所述向所述第一终端的eUICC发送认证证书获取请求之前，还包括：所述OP标识携带在所述OP获取请求中，还接收第一设备信息，所述第一设备信息用于标识所述第一终端；根据所述OP标识、以及所述OP标识与所述第二设备信息之间的对应关系，查找到对应的所述第二设备信息；若判断所述第二设备信息与所述第一设备信息不同，则执行所述向所述第一终端的eUICC发送认证证书获取请求。4.根据权利要求3所述的方法，其特征在于，在利用所述第二公钥与所述数字签名进行的认证通过之后，还包括：记录所述OP标识与所述第一设备信息之间的对应关系。5.根据权利要求2所述的方法，其特征在于，在记录所述第二公钥与所述OP标识之间的对应关系之后，还包括：接收所述第二终端的eUICC发送的第二公钥修改请求；根据所述第二公钥修改请求，向所述第二终端的eUICC发送第二认证信息获取请求；接收所述第二终端的eUICC发送的第二认证信息，所述第二认证信息包括利用第三私钥生成的第二数字签名、以及所述OP标识；所述第三私钥是所述第二终端的eUICC对从所述第二终端获取的第三密钥生成参数执行所述密钥生成算法后生成；利用所述第二公钥与所述第二数字签名进行认证，并在认证通过时，根据所述第二公钥修改请求对所述第二公钥进行修改。6.根据权利要求2所述的方法，其特征在于，在记录所述第二公钥与所述OP标识之间的对应关系之后，还包括：接收所述第一终端的eUICC发送的第一公钥修改请求；根据所述第一公钥修改请求，向所述第一终端的eUICC发送第一认证信息获取请求；接收所述第一终端的eUICC发送的第一认证信息，所述第一认证信息包括利用第四私钥生成的第三数字签名、以及所述OP标识；所述第四私钥是所述第一终端的eUICC对从所述第一终端获取的第四密钥生成参数执行所述密钥生成算法后生成；利用所述第二公钥与所述第三数字签名进行认证，并在认证通过时，根据所述第一公钥修改请求对所述第二公钥进行修改。7.根据权利要求1所述的配置方法，其特征在于，所述将所述OP发送至所述第一终端的eUICC，包括：通过所述第二公钥对所述OP加密，并将加密后的所述OP发送至所述第一终端的eUICC。8.一种配置方法，其特征在于，包括：嵌入式通用集成电路卡eUICC与远程管理平台建立连接，所述eUICC位于第一终端中；所述eUICC向所述远程管理平台发送执行文件OP获取请求，并接收所述远程管理平台发送的认证证书获取请求；所述eUICC根据所述认证证书获取请求，从所述第一终端获取第一密钥生成参数，对所述第一密钥生成参数执行密钥生成算法生成第一私钥，利用所述第一私钥生成第一数字签名；还从所述第一终端获取用于标识请求的OP的OP标识，将所述OP标识和所述第一数字签名发送至所述远程管理平台；所述eUICC接收所述远程管理平台发送的与所述OP标识对应的所述OP，所述OP是由所述远程管理平台在利用存储在所述远程管理平台的第二公钥与所述第一数字签名进行认证通过后发送的；所述第二公钥是由所述远程管理平台从第二终端接收到，所述第二公钥是由所述第二终端的eUICC对从所述第二终端获取的第二密钥生成参数执行与所述第一终端相同的密钥生成算法后生成。9.根据权利要求8所述的方法，其特征在于，在所述eUICC位于第一终端之前，当所述eUICC位于第二终端中时：所述eUICC还接收所述远程管理平台发送的密钥生成指示；所述eUICC根据所述密钥生成指示，从所述第二终端获取所述第二密钥生成参数、以及用于标识所述第二终端的第二设备信息；所述eUICC根据所述第二密钥生成参数执行所述密钥生成算法得到密钥对，所述密钥对包括所述第二公钥和第二私钥，并将所述第二公钥和所述第二设备信息发送至所述远程管理平台，以使得所述远程管理平台记录所述第二公钥、向所述第二终端分配的所述OP标识以及所述第二设备信息之间的对应关系。10.根据权利要求9所述的方法，其特征在于，还包括：所述eUICC将第一设备信息发送至所述远程管理平台，所述第一设备信息用于标识所述第一终端；以使得所述远程管理平台根据所述OP标识、以及所述OP标识与所述第二设备信息之间的对应关系查找到对应的所述第二设备信息，并在确定所述第二设备信息与所述第一设备信息不同时发送所述认证证书获取请求。11.根据权利要求9所述的方法，其特征在于，所述eUICC位于所述第二终端中时，在所述将第二设备信息发送至所述远程管理平台之后，还包括：向所述远程管理平台发送第二公钥修改请求，并接收所述远程管理平台根据所述第二公钥修改请求返回的第二认证信息获取请求；根据所述第二认证信息获取请求，从所述第二终端获取第三密钥生成参数，并执行所述密钥生成算法得到第三私钥，利用所述第三私钥生成第二数字签名；还从所述第二终端获取所述OP标识；将所述第二数字签名和所述OP标识发送至所述远程管理平台，以使得所述远程管理平台在利用所述第二公钥与所述第二数字签名认证通过后，根据所述第二公钥修改请求对所述第二公钥进行修改。12.根据权利要求10所述的方法，其特征在于，所述eUICC位于所述第一终端中时，在所述将第一设备信息发送至所述远程管理平台之后，还包括：向所述远程管理平台发送第一公钥修改请求，并接收所述远程管理平台根据所述第一公钥修改请求返回的第一认证信息获取请求；根据所述第一认证信息获取请求，从所述第一终端获取第四密钥生成参数，并执行所述密钥生成算法得到第四私钥，利用所述第四私钥生成第三数字签名；还从所述第一终端获取所述OP标识；将所述第三数字签名、所述OP标识和所述第一设备信息发送至所述远程管理平台，以使得所述远程管理平台在利用所述第二公钥与所述第三数字签名认证通过后，根据所述第一公钥修改请求对所述第二公钥进行修改。13.根据权利要求8所述的方法，其特征在于，所述eUICC位于所述第一终端中，在接收所述远程管理平台发送的所述OP之后，还包括：利用生成的所述第一私钥，对从所述远程管理平台接收的所述OP进行解密；将所述第一私钥删除。14.一种远程管理平台，其特征在于，包括：通信连接单元，用于与第一终端的嵌入式通用集成电路卡eUICC建立连接；信息获取单元，用于接收所述第一终端的eUICC发送的执行文件OP获取请求，向所述第一终端的eUICC发送认证证书获取请...

【专利技术属性】
技术研发人员：李永华，张国妍，宋琦，衣强，金辉，
申请(专利权)人：华为终端有限公司，
类型：发明
国别省市：广东;44