[发明专利]一种实现eSIM卡安全认证的管理方法及系统

说明书

本发明涉及移动通信领域，尤其涉及一种实现eSIM卡安全认证的管理方法及系统。所述方法包括：对客户端的合法性进行认证，认证通过后，执行管理命令，将执行结果通知所述客户端。采用本发明的技术方案，在设备中安装的LPA客户端，通过了认证或者规则检查后，才能得到访问eSIM卡中安全文件的许可，避免了未经许可直接操作eSIM卡带来的风险。

技术领域

本发明涉及移动通信技术领域，尤其涉及一种实现eSIM卡安全认证的管理方法及系统。

背景技术

在物联网领域，eSIM卡作为设备入网的关键元件，是设备提供接入运营商网络和进行身份认证媒介，同时，也给用户提供选择运营商以及服务的便利。用户通过设备操作系统里或手机中的LPA客户端(Local Profile Assistant，以下简称客户端)，不仅可以选择下载新的运营商的数据文件profile(profile包含文件系统、入网密钥参数、辅助安全域、应用等数据)，还可以对本地已有的数据文件profile进行激活、去激活和删除操作。LPA客户端在设备操作系统或手机中并不是唯一的，不同的运营商、卡商和第三方应用开发者都可以开发自己的LPA客户端。

然而，现有的客户端与eSIM卡之间的数据交互却没有任何安全保障。客户端作为运行在设备操作系统上的一个应用软件，可以通过设备提供的硬件接口访问eSIM卡，但是设备提供的硬件接口，并没有认证客户端的合法性，只要客户端能安装在设备的操作系统中即可。因此，会产生如下问题：

(1)如果安装了多个来自不同运营商的客户端，如：联通客户端和移动客户端，联通客户端下载了数据文件profile之后，移动客户端可以无条件将该数据文件profile删除。

(2)如果安装了恶意客户端，则eSIM卡内的数据文件profile可以被该客户端无限制访问。

发明内容

为克服现有技术中存在的不足，本发明提供了一种实现eSIM卡安全认证的管理方法。

本发明采用的技术方案是：一种实现eSIM卡安全认证的管理方法，包括：

对客户端的合法性进行认证；

认证通过后，执行管理命令；

将执行结果通知所述客户端。

所述eSIM卡持有eSIM证书、EUM证书、eSIM私钥、CA证书和共享信息。

所述对客户端的合法性进行认证，具体包括：

验证来自所述客户端的认证请求，当认证请求合法时，生成临时非对称密钥，然后协商产生会话密钥，根据所述会话密钥建立安全通道。

所述eSIM卡中预置所述客户端的访问规则。

所述对客户端的合法性进行认证，具体包括：

接收来自所述客户端的唯一标识码和哈希值，读取eSIM卡中预置的所述访问规则，当检查所述客户端的唯一标识码和哈希值与所述访问规则中的唯一标识码和哈希值匹配时，认证客户端合法性通过。

一种eSIM卡，包括如下部件：

第一安全元件，对客户端的合法性进行认证；

处理元件，用于在所述第一安全元件对所述客户端的认证合法性通过后，执行管理命令，将执行结果通知客户端。

所述第一安全元件具体用于，验证来自所述客户端的认证请求，当认证请求合法时，生成临时非对称密钥，然后协商生成会话密钥，根据所述eSIM会话密钥建立安全通道。

所述第一安全元件还用于预置所述客户端的访问规则，所述访问规则包括访问eSIM卡的客户端应用的唯一标识码和哈希值。