[发明专利]一种远程下载认证应用证书的方法及系统

说明书

本发明提供一种远程下载认证应用证书的方法及系统，所述方法包括：与签约关系管理平台安全路由网元SM‑SR建立安全通道；使用所述安全通道向所述SM‑SR发送认证应用证书申请请求；接收所述SM‑SR通过所述安全通道发送的认证应用证书响应消息，所述认证应用证书响应消息携带所述认证应用证书；从所述认证应用证书响应消息中提取并存储所述认证应用证书。该方法及系统能够解决现有的基于智能卡的私有解决方案，通常需要与指定卡商及运营商合作，在制卡时需要预置指定认证应用以及证书、密钥等敏感数据，只能适用于特定范围内的用户，无法实时远程下载认证应用证书的问题。

技术领域

本发明涉及智能卡技术领域，尤其涉及一种远程下载认证应用证书的方法及系统。

背景技术

随着国家加快“新基建”步伐，5G通信网络也将日益融入社会管理的方方面面。系列5G应用场景都对信息安全提出比传统互联网更高的要求，尤其在工业物联网领域，泛在连接场景下的海量多样化终端易被攻击利用，对网络运行安全造成威胁，由于终端能力差异很大，弱终端由于资源、能力受限，终端自身安全防护能力也较弱，容易成为受攻击、受控对象。另一方面，作为移动通信网络基础入口的智能卡也逐渐从移动通信的生产部件发展成为移动通信业务和服务创新的重要载体，成为移动信息化的重要平台。

基于智能卡在移动通信网络中的重要位置和安全属性，业界提出了基于智能卡的身份认证解决方案，将智能卡作为用户端的安全承载模块，存放认证应用以及证书、密钥等敏感数据，终端通过认证应用与认证服务器交互以进行身份认证。

然而，现有的基于智能卡的安全认证解决方案为私有解决方案，通常需要与指定卡商及运营商合作，在制卡时预置指定认证应用以及证书、密钥等敏感数据，建立私有封闭的安全体系，或通过私有接口进行数据传递，只适用于其特定范围内的用户。因此这些解决方案对商业模式、产品种类、受众用户都有诸多限制。

发明内容

本发明所要解决的技术问题是针对现有技术的上述不足，提供一种远程下载认证应用证书的方法及系统，用以解决现有的基于智能卡的私有解决方案，通常需要与指定卡商及运营商合作，在制卡时需要预置指定认证应用以及证书、密钥等敏感数据，只能适用于特定范围内的用户，无法实时远程下载认证应用证书的问题。

第一方面，本发明实施例提供一种远程下载认证应用证书的方法，应用于嵌入式通用集成电路卡eUICC，所述方法包括：

与签约关系管理平台安全路由网元SM-SR建立安全通道；

使用所述安全通道向所述SM-SR发送认证应用证书申请请求，所述认证应用证书申请请求用于触发所述SM-SR在判断出所述认证应用证书申请请求通过合法性验证后，向认证平台转发所述认证应用证书申请请求，以使所述认证平台根据所述认证应用证书申请请求生成认证应用证书；

接收所述SM-SR通过所述安全通道发送的认证应用证书响应消息，所述认证应用证书响应消息携带所述认证应用证书；

从所述认证应用证书响应消息中提取并存储所述认证应用证书。

优选地，所述使用所述安全通道向所述SM-SR发送认证应用证书申请请求之前，所述方法还包括：

生成认证应用公私钥对；

根据预设算法生成第一RC；

用预存的认证平台公钥加密所述认证应用公私钥对中的认证应用公钥；

用eUICC的私钥对所述第一RC和加密的认证应用公钥进行签名，得到第一签名；

所述认证应用证书申请请求携带所述第一RC、加密的认证应用公钥及第一签名。

优选地，所述认证应用证书响应消息还携带第二RC和第二签名，所述第二签名为所述认证平台使用自身私钥对所述第二RC和认证应用证书的签名，