本公开涉及管理具有多个证书颁发者的嵌入式通用集成电路卡调配。一些实施方案通过具有嵌入式通用集成电路卡eUICC的远程SIM调配RSP交易中的电子用户身份模块eSIM服务器,识别要作为可信第三方信赖的证书颁发者CI。在RSP生态系统中,可能存在多个CI。各方依赖公钥基础结构PKI技术用于建立信任。信任可基于可信的第三方诸如CI来建立。各方需要同意CI,以便某些PKI技术有用。本文提供的实施方案描述eUICC和eSIM服务器达成同意CI的方法。候选或协商的CI可在公钥标识符PKID列表中指示。在一些实施方案中,借助发现服务器、经由激活代码AC和/或在建立配置文件调配会话期间,分发PKID列表。
【技术实现步骤摘要】
管理具有多个证书颁发者的嵌入式通用集成电路卡调配
所述实施方案涉及管理嵌入式通用集成电路卡(eUICC)调配,包括确定由电子用户身份模块(eSIM)服务器和无线设备的eUICC两者信任的一个或多个证书颁发者(CI)。
技术介绍
eSIM或配置文件包括与移动网络运营商(MNO)相关的软件和认证功能。配置文件可存在于从MNO接收服务的无线设备内的安全元件(SE)上。通用集成电路卡(UICC)和嵌入式UICC(eUICC)是用于托管配置文件的SE的示例。可由eSIM服务器为无线设备的eUICC调配新的配置文件。eSIM服务器的示例包括订阅管理器数据准备(SM-DP)实体或称为SM-DP+的増强型SM-DP。配置文件是运营商数据和在设备中的SE上调配的应用程序的组合,目的是由运营商提供服务,例如MNO。SE可由eUICC标识符识别,eUICC标识符是可被引用为EID的唯一编号。通用用户身份模块(USIM)是一种配置文件类型的示例。配置文件可由集成电路卡标识符(ICCID)的唯一编号识别。无线运营商是提供无线蜂窝网络服务的公司。MNO是通过移动网络基础设施向其用户提供接入能力和通信服务的实体。无线设备在本文中也可简称为设备。最终用户或客户是使用设备的人。启用配置文件可包括通过设备的SE和SE外部的设备的处理电路之间的接口选择文件和/或应用程序。若要使用设备,可通过MNO激活配置文件。在设备内将新的配置文件放置在SE上称为调配。可用于帮助调配的设备中的逻辑实体可以是硬件、固件和/或设备软件的组合,包括例如本地配置文件助理(LPA)。与消费性设备中的配置文件管理相关的文档是GSM协会(GSMA)文档GSMASGP.22:“RSP技术规范”(下文称为“SGP.22”)。eUICC包括操作系统,并且eUICC操作系统可包括为与给定运营商相关联的网络访问应用程序提供认证算法的能力。eUICC内的安全域可包括用于MNO的空中下载(OTA)密钥,并且可提供用于在eUICC和MNO的网络实体之间进行通信的安全OTA通信信道。OTA密钥是由MNO用于远程管理eUICC上的MNO配置文件的凭据。eUICC的通信可使用公钥基础结构(PKI)技术进行验证。用于认证和保密性目的的证书可由证书颁发者(CI)生成。公钥证书在本文中也可简称为证书。设备、eUICC和/或配置文件可存储证书的副本,其中所述证书包括给定方的名称(例如,用户身份)。名称可用对象标识符(OID)来指定。证书中记录的公钥可用于检查使用给定方的相应PKI私钥签名的消息的签名。PKI证书的一个示例是X.509证书,诸如互联网工程任务组(IETF)征求修正意见书(RFC)5280中所述。CI是签名公钥基础结构(PKI)证书的实体。认证和加密可由一方使用公钥—私钥对(本文中也称为PKI公钥—私钥对)来实现。公钥可通过提供包括公钥的证书分发给其他方,其中证书由CI签名。公钥的标识符在本文中可称为PKID。CI本身提供自签名证书,可称为CI证书。在由CI签名的实体证书中分发其自己的公钥的实体可被称为附接到CI证书。CI可由认证管理机构诸如标准机构认证,例如GSMA。在一些实例中,认证管理机构可设法确保将在配置文件生命周期期间使用的eSIM服务器连接到同一CI证书。在一些实例中,配置文件所有者(例如,MNO)可能要求分发由配置文件所有者拥有的配置文件的eSIM服务器连接到特定CI证书。用户购买新设备时,用户通过选择网络服务的MNO来激活该设备。激活通常使用激活代码(AC)执行。AC可包括eSIM服务器地址和对CI证书的标引。远程用户身份模块(SIM)调配(RSP)生态系统可包括CI、MNO、eSIM服务器(其示例包括SM-DP和SM-DP+网络实体)、设备(其可包括eUICC)、eSIM发现服务器(其示例包括订阅管理–发现服务器(SM-DS))和eUICC制造商(也称为EUM)。各种设备、服务器和eUICC可根据策略选择要采取的操作。策略包含规则;规则确定在某种情况发生时要采取或强制执行操作的资格。有关RSP生态系统成员关系和行为的其他示例性一般信息,请参阅SGP.22。
技术实现思路
本文阐述的代表性实施方案公开了用于管理嵌入式通用集成电路卡(eUICC)调配的各种系统和技术,包括确定由电子用户身份模块(eSIM)服务器,和无线设备的eUICC两者信任的一个或多个证书颁发者(CI)。远程SIM调配(RSP)生态系统包括多个实体,其中一些实体附接到同一CI,其中另一些实体在同一CI中不共享信任。参与配置文件调配的主要参与者包括eSIM服务器和设备的逻辑实体(硬件、固件和/或软件),例如,与设备的eUICC配合作用的本地配置文件助理(LPA)。配置文件由MNO拥有。要在调配期间使用PKI技术,eUICC和eSIM服务器必须信任通用CI。在本文的一些上下文中,调配的配置文件的接收人可被称为接收人eUICC。在一些实例中,提供配置文件的eSIM服务器可被称为源eSIM服务器。在一些实施方案中,MNO与eSIM服务器的运营商签订合同,以建立要在RSP期间使用的CI协商数据库。可在调配期间访问CI协商数据库,以确定在调配由eSIM服务器创建签名和/或生成会话密钥期间由活动eSIM服务器有资格使用的PKID列表。在一些实施方案中,MNO与eSIM服务器的运营商签订合同,以建立要由接收人eUICC使用的CI协商数据库。例如,适用于指示由接收人eUICC要在调配期间创建eUICC签名,并且/或创建由接收人eUICC加密的会话密钥使用的密钥的PKID列表。在一些实施方案中,在将配置文件调配到接收人eUICC期间,经由发现服务器提供从协商数据库导出的PKID列表。在一些实施方案中,在将配置文件调配到接收人eUICC期间,eSIM服务器使用ICCID和/或EID值索引到协商数据库以获取PKID列表,然后从PKID列表中选择CI以供eSIM服务器使用。在一些实施方案中,PKID列表用于指示当接收人eUICC创建签名时要依赖信任的CI。在一些实施方案中,MNO不是依赖协商数据库,而是在激活代码(AC)中提供PKI列表,并且eUICC与设备的逻辑实体共同在调配期间为源eSIM服务器提供PKID列表。用于实现所述功能的设备的示例性逻辑实体包括提供功能的硬件、固件和/或软件的任何组合,所述功能可包括例如本地配置文件助理(LPA)。如果eSIM服务器信任任何此类CI,则源eSIM服务器从PKID列表中选择CI。然后,由源eSIM服务器使用所选CI用于RSP会话。提供本
技术实现思路
的目的仅为概述一些示例性实施方案,以便提供对本文所述主题的一些方面的基本了解。于是,应当了解,上述特征仅为示例,并且不应解释为以任何方式缩窄本文所描述的主题的范围或实质。所描述的主题的其他特征、方面和优点将根据以下具体实施方式、附图和权利要求书而变得显而易见。附图说明包括的附图用于例示的目的并仅用于为公开的系统和技术提供可能结构和布置的示例,所公开的系统和技术用于智能且高效地管理多个相关联用户设备之间的呼叫和其他通信。这些附图决不限制本领域的技术人员在不脱离实施方案的实质和范围的情况下可对实施方案作出的在形式和细节上的任何改变。实施方案本文档来自技高网...
【技术保护点】
1.一种方法,包括:通过电子用户身份模块(eSIM)服务器:从嵌入式通用集成电路卡(eUICC)接收公钥标识符(PKID)列表和eUICC质疑;选择由eSIM服务器要用作可信第三方的证书颁发者(CI),其中所述选择基于PKID列表并且生成CI;在配置文件安装流期间使用私钥签名所述eUICC质疑以创建签名,其中对应于所述私钥的公钥包括在由所选CI签名的所述eSIM服务器的证书中;以及向所述eUICC发送由所选CI签名的所述证书,所述签名和由所述eUICC用于签名操作的CI的指示。
【技术特征摘要】
2017.09.01 US 62/553,6511.一种方法,包括:通过电子用户身份模块(eSIM)服务器:从嵌入式通用集成电路卡(eUICC)接收公钥标识符(PKID)列表和eUICC质疑;选择由eSIM服务器要用作可信第三方的证书颁发者(CI),其中所述选择基于PKID列表并且生成CI;在配置文件安装流期间使用私钥签名所述eUICC质疑以创建签名,其中对应于所述私钥的公钥包括在由所选CI签名的所述eSIM服务器的证书中;以及向所述eUICC发送由所选CI签名的所述证书,所述签名和由所述eUICC用于签名操作的CI的指示。2.根据权利要求1所述的方法,其中由所述eUICC用于签名操作的CI是所选CI。3.根据权利要求1所述的方法,其中由所述eUICC用于签名操作的CI与所选CI不同。4.根据权利要求1所述的方法,其中:所述证书是用于认证的所述eSIM服务器的证书;并且所述证书中包含的公钥是椭圆曲线加密数字签名算法(ECDSA)密钥。5.根据权利要求1所述的方法,还包括:通过所述eSIM服务器:使用所述私钥签名元数据,以创建第二签名;以及向所述eUICC发送由所选CI签名的所述eSIM服务器的第二证书、所述第二签名和所述元数据。6.根据权利要求5所述的方法,其中:所述第二证书是用于配置文件包绑定的所述eSIM服务器的证书。7.根据权利要求1所述的方法,还包括:通过所述eSIM服务器:从所述eUICC接收包括eUICC公钥的eUICC证书,并且使用由所述eSIM服务器指示的所述CI进行签名以供所述eUICC在签名操作中使用。8.根据权利要求7所述的方法,还包括:通过所述eSIM服务器:使用与所选CI相关联的一个或多个密钥向所述eUICC提供用于安装配置文件的绑定配置文件包(BPP)。9.一种方法,包括:在订阅管理器发现服务器(SM-DS)处:从电子用户身份模块(eSIM)服务器接收注册消息,其中所述注册消息包括:服务器支持的列表,和由eSIM服务器支持的第一证书颁发者(CI)的标识符;确定由嵌入式通用集成电路卡(eUICC)支持的CI的标识符列表以生成eUICC支持的列表,其中所述eUICC与eUICC-ID(EID)相关联;基于在以下两者上发现的CI标识符来确定与EID相关联的兼容性列表:i)所述服务器支持的列表和ii)所述eUICC支持的列表;当所述兼容性列表为空时:向所述eSIM服务器发送错误...
【专利技术属性】
技术研发人员:杨翔英,A·纳拉西穆罕,李莉,D·I·安,JM·帕多瓦,C·P·米勒,D·T·哈格蒂,
申请(专利权)人:苹果公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。