[发明专利]一种远程下载认证应用证书的方法及系统

权利要求书

1.一种远程下载认证应用证书的方法，其特征在于，应用于嵌入式通用集成电路卡eUICC，所述方法包括：

通过ES5接口与签约关系管理平台安全路由网元SM-SR建立安全通道；

使用所述安全通道向所述SM-SR发送认证应用证书申请请求，所述认证应用证书申请请求用于触发所述SM-SR在判断出所述认证应用证书申请请求通过合法性验证后，向认证平台转发所述认证应用证书申请请求，以使所述认证平台根据所述认证应用证书申请请求生成认证应用证书；

接收所述SM-SR通过所述安全通道发送的认证应用证书响应消息，所述认证应用证书响应消息携带所述认证应用证书；

从所述认证应用证书响应消息中提取并存储所述认证应用证书。

2.根据权利要求1所述的远程下载认证应用证书的方法，其特征在于，所述使用所述安全通道向所述SM-SR发送认证应用证书申请请求之前，所述方法还包括：

生成认证应用公私钥对；

根据预设算法生成第一RC；

用预存的认证平台公钥加密所述认证应用公私钥对中的认证应用公钥；

用eUICC的私钥对所述第一RC和加密的认证应用公钥进行签名，得到第一签名；

所述认证应用证书申请请求携带所述第一RC、加密的认证应用公钥及第一签名。

3.根据权利要求2所述的远程下载认证应用证书的方法，其特征在于，所述认证应用证书响应消息还携带第二RC和第二签名，所述第二签名为所述认证平台使用自身私钥对所述第二RC和认证应用证书的签名，

所述从所述认证应用证书响应消息中提取并存储所述认证应用证书，包括：

用所述认证平台公钥对所述第二签名进行验证；

若验证通过，则进一步判断所述第一RC是否与第二RC相同；

若相同，则从所述认证应用证书响应消息中提取并存储所述认证应用证书。

4.根据权利要求1所述的远程下载认证应用证书的方法，其特征在于，所述使用所述安全通道向所述SM-SR发送认证应用证书申请请求之前，所述方法还包括：

使用所述安全通道接收所述SM-SR发送的认证应用下载安装请求，所述认证应用下载安装请求携带认证应用安装文件；

根据所述认证应用安装文件将所述认证应用安装在所述eUICC的控制安全域ECASD中。

5.一种远程下载认证应用证书的方法，其特征在于，应用于签约关系管理平台安全路由网元SM-SR，所述方法包括：

通过ES5接口与eUICC建立安全通道，并使用所述安全通道接收所述eUICC发送的认证应用证书申请请求；

对所述认证应用证书申请请求进行合法性验证；

若验证通过，则向认证平台转发所述认证应用证书申请请求，以使所述认证平台根据所述认证应用证书申请请求生成认证应用证书；

接收所述认证平台发送的认证应用证书响应消息，所述认证应用证书响应消息携带所述认证应用证书；

通过所述安全通道向eUICC转发所述认证应用证书响应消息，以使所述eUICC从所述认证应用证书响应消息中提取并存储所述认证应用证书。

6.根据权利要求5所述的远程下载认证应用证书的方法，其特征在于，向认证平台转发的所述认证应用证书申请请求中携带所述eUICC的eUICC标识EID，

所述向认证平台转发所述认证应用证书申请请求之后，所述方法还包括：

接收认证平台发送的eUICC证书申请请求，所述eUICC证书申请请求携带所述EID；

根据所述EID获取对应的eUICC的eUICC卡信息集EIS信息；

从所述EIS信息中获取所述EID对应的eUICC证书；

向所述认证平台返回所述eUICC的证书。