一种可管控的eSIM终端证书在线签发方法和系统与流程

一种可管控的esim终端证书在线签发方法和系统
技术领域
1.本发明涉及esim终端设备证书发放及证书管理技术领域，特别涉及一种可管控的esim终端证书在线签发方法和系统。


背景技术：

2.嵌入式sim(又称esim或者euicc)是一种新型的安全sim芯片，用于远程管理多个移动网络运营商个人化管理服务，并符合gsma(全球移动通信系统协会)的规范。现有方案中，euicc签发流程如图1所示，在线eum证书私钥的生成、存储由卡商管理，euicc的签发、更新、吊销以及验证均由卡商完成。
3.在我国，电子认证运营管理服务办法明确规定，向社会公众提供服务的电子认证服务机构应当依法设立，必须围绕满足人员、场地、安全等方面要求，围绕系统运行、认证业务管理、物理与设施安全、安全管理、业务连续性、记录与审计、组织与人员管理等7个层面282细项构建ca安全管理及技术支撑体系，保障认证服务的合法、合规、安全、可靠。
4.eum卡商不是专业的电子认证服务机构，其技术水平存在较大差异，eum卡商二级ca由卡商自己保管，私钥的生成、存储无法满足国家密码管理的规定，在生产过程中为euicc终端设备签发数字证书的发证环境不符合电子认证运营服务管理办法要求，证书规范、签发流程也不否符合电子认证相关运营要求，esim ca中心与eum中心从技术上脱机，缺乏技术上的监管控制手段，很难掌握esim终端证书的签发合规实际情况，无法对证书的签发及使用实施有效监管。


技术实现要素：

5.本发明旨在至少解决现有技术中存根据本发明的实施例，至少具有如下技在的技术问题。为此，本发明提出一种可管控的esim终端证书在线签发方法和系统，通过将eum证书和euicc证书统一托管到esim ca中心，能够对证书和签发流程形成有效监督和管理。
6.第一方面，本发明实施例提供一种可管控的esim终端证书在线签发方法，包括以下步骤：
7.接收来自所述卡商子系统提供的eum证书请求信息；
8.根据所述eum证书请求信息使用ci证书生成eum证书，对所述eum证书分配加密机密钥，并将所述eum证书返回给所述卡商子系统；
9.接收来自所述卡商子系统的提供的euicc证书请求信息；
10.根据所述euicc证书请求信息使用所述eum证书和所述加密机密钥生成所述euicc证书，并将所述euicc证书返回给所述卡商子系统。
11.根据本发明的一些实施例，在所述根据所述eum证书请求信息使用ci证书生成eum证书之前，还包括步骤：接收来自所述卡商子系统提供的卡商信息；对所述卡商信息进行审核，并在审核通过后根据所述卡商信息创建卡商账号；给所述卡商账号分配接入id和对应所述接入id的密钥，并将所述接入id和所述密钥返回给所述卡商子系统。
12.根据本发明的一些实施例，在根据所述euicc证书请求信息使用所述eum证书和所述加密机密钥生成所述euicc证书之前，还包括步骤：接收来自所述卡商子系统提供的所述接入id和所述密钥；对所述接入id和所述密钥进行验证，并在验证通过后执行所述euicc证书的生成操作。
13.根据本发明的一些实施例，在所述并在验证通过后执行所述euicc证书的生成操作之前，还包括步骤：对所述卡商子系统的ip进行验证。
14.根据本发明的一些实施例，在所述并将所述euicc证书返回给所述卡商子系统之前，还包括步骤：保存所述euicc证书。
15.第二方面，本发明实施例提供一种可管控的esim终端证书在线签发系统，包括：
16.卡商子系统，用于向esim ca在线签发子系统提供eum证书请求信息和euicc证书请求信息；
17.esim ca在线签发子系统，用于根据所述eum证书请求信息使用ci证书生成eum证书，对所述eum证书分配加密机密钥，并将所述eum证书返回给所述卡商子系统；以及根据所述euicc证书请求信息使用所述eum证书和所述加密机密钥生成所述euicc证书，并将所述euicc证书返回给所述卡商子系统。
18.根据本发明的一些实施例，所述esim ca在线签发子系统包括tee网关模块和证书签发模块：所述tee网关模块用于将所述卡商子系统提供的所述eum证书请求信息和所述euicc证书请求信息传递给证书证书签发模块，以及将所述证书证书签发模块提供的所述eum证书和所述euicc证书返回给所述卡商子系统；所述证书证书签发模块用于根据所述eum证书请求信息使用ci证书生成eum证书，对所述eum证书分配加密机密钥，以及根据所述euicc证书请求信息使用所述eum证书和所述加密机密钥生成所述euicc证书。
19.根据本发明的一些实施例，所述卡商子系统包括证书申请处理单元和euicc管理单元：所述证书申请处理单元用于向所述tee网关模块提供所述eum证书请求信息和所述euicc证书请求信息；所述euicc管理单元用于对euicc终端进行管理。
20.根据本发明的一些实施例，所述tee网关模块包括eum卡商管理单元、证书申请请求鉴证单元和证书申请处理单元：所述eum卡商管理单元用于管理所述卡商子系统的信息，并为所述卡商子系统分配接入id和对应所述接入id的密钥；所述证书申请请求鉴证单元用于对所述卡商子系统提供的所述接入id、所述密钥和ip进行验证；所述证书申请处理单元用于在所述证书申请请求鉴证单元验证通过后，将所述eum证书请求信息和所述euicc证书请求信息传递给所述证书证书签发模块。
21.根据本发明的一些实施例，所述证书签发模块包括eum根证书管理单元和证书签发单元：所述eum根证书管理单元用于管理所述eum证书和所述euicc证书；所述证书签发单元用于根据所述eum证书请求信息使用ci证书生成eum证书，对所述eum证书分配加密机密钥，以及根据所述euicc证书请求信息使用所述eum证书和所述加密机密钥生成所述euicc证书。
22.本发明实施例第一方面提供的种可管控的esim终端证书在线签发方法，通过将eum证书签发过程和euicc证书签发过程进行统一管理，不外泄eum证书对应的加密机密钥，使得卡商无法私下通过eum证书签发euicc证书，确保了eum证书的安全性，以及euicc证书的可靠性，对eum证书和euicc证书的签发及使用形成了有效监管。
23.可以理解的是，上述第二方面与相关技术相比存在的有益效果与上述第一方面与相关技术相比存在的有益效果相同，可以参见上述第一方面中的相关描述，在此不再赘述。
24.本发明的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。
附图说明
25.本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：
26.图1为现有技术euicc签发流程图；
27.图2为本发明实施例可管控的esim终端证书在线签发方法的流程示意图；
28.图3为本发明实施例可管控的esim终端证书在线签发系统的结构示意图；
29.图4为本发明实施例的eum根证书托管签发流程；
30.图5为本发明实施例的euicc证书在线签发流程。
具体实施方式
31.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行完整地描述,显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
32.非另有定义，本发明所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本发明中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是在于限制本发明。
33.为了更好的理解本发明的技术方案，对一些名称做出如下解释：
34.一、什么是esim
35.esim即embedded-sim，嵌入式sim卡，即将传统通信中可插拔的sim卡嵌入到设备芯片的技术，目前运营商运用的esim技术都是基于gsma标准，参考sgp22文档来进行协议的统一。esim最大的技术特点是，用户将不再依赖运营商，随时自主的切换运营商而不用考虑到需要更换终端的问题。esim较于传统sim卡模式，拥有占用体积小、降低实体卡成本、更安全的优点，是未来通信行业发展的必然趋势。
36.二、什么是rsp
37.rsp(remote sim provisioning)远程sim卡供应，顾名思义就是远程获取存在于运营商的电子sim卡信息。其适用场景为个人消费类终端，即由运营商提供可通信的电子卡、由个人主动触发远程电子卡下载。
38.组成esim rsp的三要素是sm-dp、lpa、euicc。
39.sm-dp(subscription manager data preparation)，是电子卡的提供商，我们一般默认为运营商。在运营商的系统会提供待下载的电子卡，和rsp server用来与终端进行交互进行身份鉴权，电子卡下载等功能。
40.euicc(embedded uicc)通俗是理解是嵌入式的集成电路卡，运营商的电子卡信息会承载与euicc中，实现与sim卡相同的通信功能。
41.lpa(local profile assistant)本地电子卡管理，存在于用户的终端设备中，是运营商sm-dp和电子卡euicc通信的桥梁。同时其还具备电子卡激活、删除等功能。
42.三、rsp中的证书体系
43.在rsp的体系中，证书是必不可少的重要组成部分。其主要目的在于进行身份的验证、交互的鉴权。
44.在sgp22中定义了在rsp中，同一个ci应当包含：
45.1.ci根证书cert.ci.ecdsa；
46.2.eum卡商证书cert.eum.ecdsa；
47.3.dp 证书cert.dpauth.ecdsa、cert.dppb.ecdsa；
48.4.卡证书cert.euicc.ecdsa；
49.5.tls证书cert.dp.tls。
50.下面详细说明每个证书的具体用处：
51.1.cert.ci.ecdsa，为ci机构签发的一级根证书，其主要目的是为了签发和验证二级证书。ci证书的使用者密钥标识符即是其签发的二级证书的颁发机构标识符。
52.2.cert.eum.ecdsa是ci根证书签发出来的二级证书，主要提供给euicc制造商即卡商。卡商得到eum证书后会签发其生产的euicc证书.同时因eum和dp证书是又同一ci签发而来，所以在与dp交换鉴权过程中，是验证是否为同根证书的必不可少的内容。
53.3.cert.dpauth.ecdsa、cert.dppb.ecdsa，均为dp证书，是由同一ci签发出来的叶子证书，与其一共签发的eum证书对应的根是相同的，这样在验证证书过程中euicc与dp互换证书来实现双向鉴权的过程。之所以有两个证书是对应电子卡下载过程es9 接口，cert.dpauth.ecdsa主要用来双向鉴权、cert.dppb.ecdsa用来电子卡下载。
54.4.cert.euicc.ecdsa是由二级证书cert.eum.ecdsa签发的三级叶子证书，证书内包含电子卡的eid，是电子卡下载中最重要的组成部分。在电子下载过程中会根据该证书验证传输的euicc信息即euiccsignature2。
55.5.cert.dp.tls是ci签发的用来进行https交互过程中用到的证书，其目的是为了保证https信息的安全。
56.参照图2，本发明实施例提供一种可管控的esim终端证书在线签发方法，包括以下步骤：
57.步骤s110：接收来自卡商子系统提供的eum证书请求信息；
58.步骤s120：根据eum证书请求信息使用ci证书生成eum证书，对eum证书分配加密机密钥，并将eum证书返回给卡商子系统；
59.步骤s130：接收来自卡商子系统的提供的euicc证书请求信息；
60.步骤s140：根据euicc证书请求信息使用eum证书和加密机密钥生成euicc证书，并将euicc证书返回给卡商子系统。
61.在步骤s110和步骤s130中，卡商子系统请求eum证书和euicc证书，是由于卡商需要eum证书预制到卡里面用于进行证书链验证，需要euicc证书进行制卡。
62.在步骤s120中，esim ca在线签发子系统基于ci证书签发eum证书，并给该eum证书分配对应的加密机密钥，之后将该eum证书返回给卡商子系统。没有将eum证书的加密机密钥一并交给卡商子系统，是不想让卡商掌握eum证书和加密机密钥私下签发euicc证书，这
样确保了eum证书的安全性，以及euicc证书的可靠性。
63.在步骤s140中，esim ca在线签发子系统使用eum证书和加密机密钥生成euicc证书，并将该euicc证书返回给卡商子系统。这样，卡商通过卡商子系统就能获取到eum证书和euicc证书，就能开始着手制卡活动。
64.本发明实施例第一方面提供的种可管控的esim终端证书在线签发方法，通过将eum证书签发过程和euicc证书签发过程进行统一管理，不外泄eum证书对应的加密机密钥，使得卡商无法私下通过eum证书签发euicc证书，确保了eum证书的安全性，以及euicc证书的可靠性，对eum证书和euicc证书的签发及使用形成了有效监管。
65.在一些可选的实施例中，在根据eum证书请求信息使用ci证书生成eum证书之前，还包括步骤：接收来自卡商子系统提供的卡商信息；对卡商信息进行审核，并在审核通过后根据卡商信息创建卡商账号；给卡商账号分配接入id和对应接入id的密钥，并将接入id和密钥返回给卡商子系统。
66.卡商信息，即卡商提交的相关申请资料，包括企业信息，组织机构代码、申请人姓名、身份证号码等信息。对卡商提交的相关申请资料进行审核工作，是为了防止没有资质的人员进行恶意申请eum证书。也就是说，即使有相关人员通过卡商子系统进行eum证书的申请，但如果他提交的相关申请资料未通过审核的话，esim ca在线签发子系统也不会给他派发eum证书。通过此举措保护了eum证书的安全性。
67.给提交的相关申请资料的卡商配接入id和对应接入id的密钥，也是考虑到了后续程序的安全性。
68.在一些可选的实施例中，在根据euicc证书请求信息使用eum证书和加密机密钥生成euicc证书之前，还包括步骤：接收来自卡商子系统提供的接入id和密钥；对接入id和密钥进行验证，并在验证通过后执行euicc证书的生成操作。
69.对接入id和对应接入id的密钥进行验证，是不想给没有提供相关申请资料的卡商签发euicc证书，只有录入esim ca在线签发子系统的，并分配了接入id和密钥的卡商才能获取到euicc证书，通过此举措保护了euicc证书的安全性。进一步，为了防止接入id和密钥的泄露，esim ca在线签发子系统在验证卡商子系统身份的时候也会对卡商子系统的ip进行鉴权。
70.在一些可选的实施例中，在将euicc证书返回给卡商子系统之前，还包括步骤：保存该euicc证书。
71.以前的流程euicc证书在卡商手里，esim ca在线签发子系统无法对euicc证书进行有效管理，保存euicc证书是为了对eum证书和euicc证书进行统一管理。
72.第二方面，参照图3，本发明实施例提供一种可管控的esim终端证书在线签发系统，包括：
73.卡商子系统，用于向esim ca在线签发子系统提供eum证书请求信息和euicc证书请求信息；
74.esim ca在线签发子系统，用于根据eum证书请求信息使用ci证书生成eum证书，对eum证书分配加密机密钥，并将eum证书返回给卡商子系统；以及根据euicc证书请求信息使用eum证书和加密机密钥生成euicc证书，并将euicc证书返回给卡商子系统。
75.具体的，esim ca在线签发子系统包括tee网关模块和证书签发模块。
76.eum卡商证书私钥由esim ca中心统一管理，由通过国密局认证的专用设备生成卡商私钥，私钥保存在专用设备内部，不出设备，密钥的使用和备份均符合ca系统安全设计规划，对密钥的整个生命周期包括密钥生成、保存、使用、备份恢复、更新、销毁流程进行安全管控，从源头保障eum证书的安全。
77.euicc证书的签发由esim ca中心通过eum二级证书进行在线签发：eum卡商准备euicc设备信息，包括设备标识，设备公钥(设备私钥从euicc终端安全组件生成)，通过esim catee接口网关进行euicc证书在线申请，tee通过对eum卡商系统身份识别，确认eum卡商身份后，由esim ca系统eum二级根证书为euicc颁发设备证书，形成ci-》eum-》euicc证书信任链。euicc后续更新、吊销均由卡商eum系统与tee对接，由esim ca在线签发系统对euicc证书的生命周期进行统一监管。
78.esim终端证书在线签发系统，包括卡商子系统、以及esim ca在线签发子系统旗下的tee网关模块和证书签发模块。
79.说明：
80.(1)卡商子系统；
81.卡商子系统：eum卡商业务单元，对euicc终端进行管理，同时与tee网关对接，实现在线euicc证书签发。
82.(2)tee网关模块；
83.包括eum卡商管理单元、证书申请请求鉴证单元和证书申请处理单元。
84.1、eum卡商管理单元：负责管理接入tee网关的卡商子系统信息，为卡商子系统分配接入账号及密钥，实现接入tee网关的eum系统管理。
85.2、证书申请请求鉴证单元：负责在线自动鉴证证书申请请求，包括请求ip鉴证，对应密钥验证等，鉴证通过后，tee网关才会向证书签发模块发起证书签发请求。
86.3、证书申请处理单元：负责向证书证书签发模块发送euicc证书申请请求。
87.(3)证书签发模块；
88.包括eum根证书管理及证书证书签发单元。
89.1、eum根证书管理单元：负责管理eum根证书信息，包括eum对应密钥号、证书有效期等，实现eum证书生成、更新、吊销生命周期管理；
90.2、证书签发单元：证书签发。
91.如图4所示，eum根证书托管签发流程如下：
92.1、eum线下提交申请资料，包括企业信息，组织机构代码、申请人姓名、身份证号码等信息；
93.2、esim ca系统管理员审核eum资料，确认无误后在esim ca系统为eum创建eum根证书；
94.3、eum系统创建eum卡商信息，分配根证书对应加密机密钥，使用ci顶级根签发eum二级证书；
95.4、将eum证书返回给eum卡商。
96.如图5所示，euicc证书在线签发流程如下：
97.1、卡商子系统向tee网关发起euicc证书申请；
98.2、tee网关验证卡商子系统身份，包括ip鉴权、接入id、密钥等；
99.3、验证通过，tee网关向签发模块申请euicc证书签发；
100.4、签发模块根据请求信息获取对于eum二级根证书，并使用eum二级根证书签发euicc证书；
101.5、签发模块保存euicc证书，并将签发的euicc证书返回给tee网关；
102.6、tee网关将euicc证书返回给卡商子系统。
103.本发明实施例实现eum根证书在esim ca中心托管，证书密钥的生成、存储、备份恢复均按照国家密码管理局要求进行安全操作，从源头保证了eum证书的安全。
104.euicc证书在线签发，实现了证书签发由符合工信部要求的ca中心签发和管理，证书签发在ca中心内部进行，签发流程符合工信部及国密局要求，证书发放可控可管。
105.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
106.尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。