[发明专利]更新固件的方法及相关装置

说明书

一种更新固件的方法及相关装置，方法包括：接收更新服务器发送的第一消息，第一消息包括第一数据以及第一数据的签名；对第一消息进行验证，并在第一消息验证通过之后，获取第一数据包括的摘要数据，摘要数据包括第一安装包和第二安装包之间的差分安装包的摘要信息，摘要数据还包括第一安装包的摘要信息或者第二安装包的摘要信息中的至少一种；接收更新服务器发送的第二消息，第二消息包括差分安装包；对摘要数据进行验证，并在摘要数据验证通过之后，根据差分安装包更新eUICC的固件；其中，第一安装包是当前固件版本对应的安装包，第二安装包是更新固件版本对应的安装包。通过本申请实施例可以在一定程度上保证eUICC固件更新的安全性。

技术领域

本申请涉及电信智能卡领域，尤其涉及更新固件的方法及相关装置。

背景技术

嵌入式通用集成电路卡(embedded Universal Integrated Circuit Card，eUICC)是第三代电信智能卡，能够执行远程配置文件管理，或者执行本地配置文件管理(比如，用户设备用户触发的配置文件激活、去激活或删除等)。eUICC一词源自嵌入式(embedded)UICC，可以是单个芯片形态嵌入在用户设备中，或者作为用户设备中其它单个芯片的一部分，但不意味着必须嵌入在用户设备中不可移动，也可以是可移动的卡片形态，就像用户身份识别(Subscriber Identification Module，SIM)卡、Micro SIM卡或NanoSIM卡一样。

在eUICC远程管理/配置系统的架构中，远程服务器包括签约管理者-发现(Subscription Manager Discovery Service，SM-DS)服务器等为用户设备提供服务或与用户设备进行交互的服务器。SM-DS又称事件管理服务器，可以用于根据其他远程服务器的事件注册请求进行事件注册，并在用户设备发起查询的情况下将对应的事件记录发送给用户设备，以使用户设备通过事件记录中的远程服务器地址与对应的远程服务器建立连接并进行相应的操作，其中，事件包括但不限于签约信息集(Profile)下载事件、远程Profile管理(Remote Profile Management，RPM)事件、固件更新事件。

目前，在对eUICC固件进行更新时，相关标准没有定义eUICC固件更新的安全性管理机制。如果在更新eUICC固件之前，不对更新安装包进行合法性以及完整性校验，可能会存在被恶意攻击者篡改过的更新安装包，给用户设备带来安全风险。

发明内容

本申请实施例公开了一种更新固件的方法及相关装置，可以保证eUICC固件更新的安全性。

本申请实施例第一方面提供了一种更新固件的方法，该方法包括：首先，用户设备接收更新服务器发送的第一消息，其中，该第一消息包括第一数据以及第一数据的签名；然后，用户设备利用第一数据以及第一数据的签名对该第一消息进行验证，并在该第一消息验证通过之后，用户设备获取第一数据包括的摘要数据，其中，摘要数据包括第一安装包和第二安装包之间的差分安装包的摘要信息，摘要数据还包括第一安装包的摘要信息或者第二安装包的摘要信息中的至少一种，第一安装包是用户设备当前固件版本对应的安装包，第二安装包是更新固件版本对应的安装包，该差分安装包即是第一安装包和第二安装包的差异部分组成的更新安装包；接着，用户设备接收更新服务器发送的第二消息，其中，第二消息包括该差分安装包，该差分安装包用于用户设备的固件更新；最后，用户设备对摘要数据进行验证，并在摘要数据验证通过之后，用户设备根据该第二消息包括的差分安装包更新用户设备的eUICC的固件。通过本申请实施例，可以在更新用户设备的固件之前，对用于更新eUICC固件的安装包进行合法性以及完整性验证，从而保证eUICC固件更新的安全性。