嵌入式通用集成电路卡的续证方法和系统

摘要

本申请提供一种嵌入式通用集成电路卡的续证方法和系统，方法包括：厂商证书管理服务器响应于嵌入式通用集成电路卡的厂商证书过期或厂商证书被废止，向证书签发中心发起厂商证书请求；厂商证书管理服务器接收证书签发中心签发的厂商证书；厂商证书管理服务器记录厂商证书并向物联网设备中的嵌入式通用集成电路卡推送证书更新通知；厂商证书管理服务器接收嵌入式通用集成电路卡的嵌入式通用集成电路卡证书签发请求并签发新的嵌入式通用集成电路卡证书；厂商证书管理服务器向嵌入式通用集成电路卡下发新的嵌入式通用集成电路卡证书、厂商证书，厂商证书管理服务器接收嵌入式通用集成电路卡证书更新的结果。本申请延长了物联网设备的使用寿命。

说明书

技术领域

本申请涉及通信技术领域，尤其涉及一种用于物联网设备的嵌入式通用集成电路卡的续证方法和系统。

背景技术

在物联网领域，嵌入式通用集成电路卡(embeddedUniversal Integrated Circuit Card，eUICC)是使设备接入网络的重要元件，它通过下载安装运营商提供的入网profile，来实现网络接入，但并不受限于某一家运营商。

eUICC的生产厂商需要向CI证书签发中心申请厂商证书(CERT_EUM)。在生产时，生产厂商用CERT_EUM的私钥为每一个eUICC签发eUICC证书(CERT_eUICC)，并与根证书(CERT_CI)和CERT_EUM一并写入eUICC中。CERT_EUM的有效期一般是一年期，而CERT_eUICC证书不限定使用期限。CERT_EUM被废止或者失效后，eUICC将不能下载新的profile，至此物联网设备将只能使用本地已下载的profile入网。若本地profile被删除，则物联网设备将不再有入网能力。

另外，物联网设备发行后，其使用年限一般比较长，为了避免一定的经济损失，随着时间推移，物联网设备需要根据资费情况，选择下载合适的profile，而设备中eUICC的CERT_CI和CERT_EUM证书使用期限是确定的，一旦过期，将不能再用来下载新的profile。

另外，CERT_EUM证书被废止后，没有重新写入证书的机制，对物联网设备而言，这种情况导致的结果等同于CERT_eUICC证书过期，使得物联网设备的使用期限缩短，更好物联网设备造成了资源的浪费。

发明内容

本申请的目的在于提供一种嵌入式通用集成电路卡的续证方法和系统，为eUICC生成了新的厂商证书和eUICC证书，使得物联网设备持续具有入网能力，可以下载新的profile，延长了物联网设备的使用寿命，节省了资源。

为达到上述目的，本申请提供一种嵌入式通用集成电路卡的续证方法，包括如下步骤：厂商证书管理服务器响应于物联网设备中的嵌入式通用集成电路卡的厂商证书过期或厂商证书被废止，签发厂商证书请求文件，并向证书签发中心发起厂商证书请求；厂商证书管理服务器接收证书签发中心响应于厂商证书请求合法而回传的第一数据，第一数据包括证书签发中心签发的厂商证书以及证书签发中心的根证书；厂商证书管理服务器对厂商证书的合法性、厂商证书与证书签发中心的根证书之间的同根签发关系以及根证书的合法性进行验证；若对厂商证书的合法性、厂商证书与证书签发中心的根证书之间的同根签发关系以及根证书的合法性的验证通过，则厂商证书管理服务器记录厂商证书；厂商证书管理服务器通过物联网设备终端应用向物联网设备中的嵌入式通用集成电路卡推送证书更新通知；厂商证书管理服务器接收嵌入式通用集成电路卡回传的第二数据，第二数据包括嵌入式通用集成电路卡证书签发请求、当前嵌入式通用集成电路卡证书以及第一签名，第一签名是嵌入式通用集成电路卡证书签发请求和当前嵌入式通用集成电路卡证书的签名；厂商证书管理服务器对第一签名的正确性和嵌入式通用集成电路卡证书签发请求的合法性进行验证；若第一签名正确并且嵌入式通用集成电路卡证书签发请求合法，则厂商证书管理服务器签发新的嵌入式通用集成电路卡证书；厂商证书管理服务器将第三数据下发给物联网设备终端应用，使物联网设备终端应用将物联网设备终端应用发起的更新证书请求和第三数据发送给嵌入式通用集成电路卡，其中第三数据包括新的嵌入式通用集成电路卡证书、厂商证书、根证书以及第二签名，第二签名是新的嵌入式通用集成电路卡证书、厂商证书、根证书的签名；厂商证书管理服务器接收嵌入式通用集成电路卡证书更新的结果。

如上的，其中，还包括：响应于物联网设备中的嵌入式通用集成电路卡的厂商证书过期或厂商证书被废止，厂商证书管理服务器生成第一非对称密钥对，并用第一非对称密钥对中的第一私钥签发厂商证书请求文件，生成厂商证书请求。

如上的，其中，厂商证书管理服务器与证书签发中心之间基于网络安全协定进行通信。

如上的，其中，嵌入式通用集成电路卡证书签发请求由嵌入式通用集成电路卡采用第二私钥签发；并且，厂商证书管理服务器采用第二公钥对嵌入式通用集成电路卡证书签发请求的合法性进行验证；其中，第二私钥和第二公钥形成的第二非对称密钥对由嵌入式通用集成电路卡生成。

如上的，其中，第一签名是第二私钥对嵌入式通用集成电路卡证书签发请求和当前嵌入式通用集成电路卡证书的签名；并且厂商证书管理服务器采用第二公钥对第一签名进行验证。

如上的，其中，第二签名是厂商证书的私钥对嵌入式通用集成电路卡证书、厂商证书、根证书的签名。

如上的，其中，嵌入式通用集成电路卡证书更新的结果采用嵌入式通用集成电路卡证书进行签名后透传给厂商证书管理服务器。

本申请还提供一种嵌入式通用集成电路卡的续证系统，包括厂商证书管理服务器、证书签发中心、物联网设备终端应用以及嵌入式通用集成电路卡；证书签发中心与厂商证书管理服务器通信连接，用于响应于厂商证书管理服务器发起的厂商证书请求而签发厂商证书；厂商证书管理服务器与物联网设备终端应用通信连接，用于向证书签发中心发起厂商证书请求、接收并记录证书签发中心签发的厂商证书、通过物联网设备终端应用向安装嵌入式通用集成电路卡的物联网设备推送证书更新通知、签发嵌入式通用集成电路卡证书并传送给嵌入式通用集成电路卡；物联网设备终端应用与嵌入式通用集成电路卡通信连接，用于发起更新证书请求并在厂商证书管理服务器与嵌入式通用集成电路卡之间转发信息；嵌入式通用集成电路卡用于发起嵌入式通用集成电路卡证书签发请求并写入厂商证书和嵌入式通用集成电路卡证书。

本申请还提供一种厂商证书管理服务器，包括第一通信模块、厂商证书请求文件签发模块、厂商证书请求模块、第一数据接收模块、第一验证模块、厂商证书记录模块、证书更新推送模块、第二数据接收模块、第二验证模块、嵌入式通用集成电路卡证书签发模块、第三数据发送模块以及更新证书结果接收模块；其中，第一通信模块用于分别与证书签发中心和物联网设备终端应用进行通信连接；厂商证书请求文件签发模块用于响应于物联网设备中的嵌入式通用集成电路卡的厂商证书过期或厂商证书被废止而签发厂商证书请求文件；厂商证书请求模块与第一通信模块连接，用于向证书签发中心发起厂商证书请求；第一数据接收模块与第一通信模块连接，用于接收证书签发中心响应于厂商证书请求合法而回传的第一数据，第一数据包括证书签发中心签发的厂商证书以及证书签发中心的根证书；第一验证模块与第一数据接收模块连接，用于对厂商证书的合法性、厂商证书与证书签发中心的根证书之间的同根签发关系以及根证书的合法性进行验证；厂商证书记录模块与第一验证模块连接，用于响应于对厂商证书的合法性、厂商证书与证书签发中心的根证书之间的同根签发关系以及根证书的合法性的验证通过而记录厂商证书；证书更新推送模块与第一通信模块连接，用于向物联网设备中的嵌入式通用集成电路卡推送证书更新通知；第二数据接收模块与第一通信模块连接，用于接收嵌入式通用集成电路卡回传的第二数据，第二数据包括嵌入式通用集成电路卡证书签发请求、当前嵌入式通用集成电路卡证书以及第一签名，第一签名是嵌入式通用集成电路卡证书签发请求和当前嵌入式通用集成电路卡证书的签名；第二验证模块与第二数据接收模块连接，用于对第一签名的正确性和嵌入式通用集成电路卡证书签发请求的合法性进行验证；嵌入式通用集成电路卡证书签发模块与第二验证模块连接，用于响应于第一签名正确并且嵌入式通用集成电路卡证书签发请求的合法性验证通过而签发嵌入式通用集成电路卡证书；第三数据发送模块与嵌入式通用集成电路卡证书签发模块和第一通信模块连接，用于将第三数据发送给物联网设备终端应用，使物联网设备终端应用将物联网设备终端应用发起的更新证书请求和第三数据发送给嵌入式通用集成电路卡，其中第三数据包括新的嵌入式通用集成电路卡证书、厂商证书、根证书以及第二签名，第二签名是新的嵌入式通用集成电路卡证书、厂商证书、根证书的签名；更新证书结果接收模块与第一通信模块连接，用于接收嵌入式通用集成电路卡证书更新的结果。

本申请还提供一种嵌入式通用集成电路卡，包括第二通信模块、APDU命令接收模块、APDU命令判断模块、嵌入式通用集成电路卡证书签发请求文件签发模块、第二数据回传模块、第三数据接收模块、第三验证模块、证书写入模块、更新证书结果发送模块；第二通信模块用于与物联网设备终端应用进行通信；APDU命令接收模块与第二通信模块连接，用于接收用于更新证书的APDU命令；APDU命令判断模块与APDU命令接收模块连接，用于判断APDU命令是否符合命令标准；嵌入式通用集成电路卡证书签发请求文件签发模块与APDU命令判断模块连接，用于响应于APDU命令正确而签发嵌入式通用集成电路卡证书签发请求文件；第二数据回传模块与嵌入式通用集成电路卡证书签发请求文件签发模块连接，用于将第二数据回传给物联网设备终端应用，第二数据包括嵌入式通用集成电路卡请求、当前的嵌入式通用集成电路卡证书以及第一签名，其中第一签名是对嵌入式通用集成电路卡请求和当前的嵌入式通用集成电路卡证书的签名；第三数据接收模块与第二通信模块连接，用于接收更新证书请求和第三数据，第三数据包括证书签发中心的根证书、厂商证书、新的嵌入式通用集成电路卡证书以及第二签名，其中第二签名是对证书签发中心的根证书、厂商证书和新的嵌入式通用集成电路卡证书的签名；第三验证模块与第三数据接收模块连接，用于验证第二签名是否正确，并验证证书签发中心的根证书、厂商证书和新的嵌入式通用集成电路卡证书的同根签发关系；证书写入模块与第三验证模块连接，用于响应于第二签名正确并且证书签发中心的根证书、厂商证书和新的嵌入式通用集成电路卡证书的同根签发关系的验证通过而写入新的厂商证书和新的嵌入式通用集成电路卡证书；更新证书结果发送模块与证书写入模块连接，用于返回证书更新的结果。

本申请实现的有益效果如下：

本申请为eUICC生成了新的厂商证书和eUICC证书，使得物联网设备持续具有入网能力，可以根据实时资费选择下载新的合适的profile，减少不必要的经济损失，延长了物联网设备的使用寿命，节省了资源。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的eUICC的续证系统的结构图。

图2是本申请实施例提供的eUICC的续证方法的流程图。

图3是本申请实施例提供的厂商证书管理服务器的结构图。

图4是本申请实施例提供的eUICC的结构图。

具体实施方式

下面结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

图1为本申请实施例提供的eUICC的续证系统的结构图。如图1所示，eUICC的续证系统100包括CI证书签发中心110、厂商(EUM)证书管理服务器120、物联网设备终端应用(LPA)130以及eUICC140。

实施例一

图2是本申请实施例提供的eUICC的续证方法的流程图。如图2所示，续证方法包括如下步骤：

S1：响应于EUM证书管理服务器查询到物联网设备中的eUICC的EUM证书过期或者被废止，EUM证书管理服务器生成第一非对称密钥对，即第一公钥和第一私钥，并用第一私钥签发厂商证书请求文件(CSR_EUM文件)，用来申请新的EUM证书(CERT_EUM)。

S2：EUM证书管理服务器向CI证书签发中心发起厂商证书请求(CSR_EUM)，申请签发CERT_EUM。

优选地，EUM证书管理服务器和CI证书签发中心通过网络安全协议进行通信。例如，可通过超文字传输安全协定(Hyper Text Transfer Protocol over Secure Socket Layer，https)进行安全加密来保证数据的一致性。

S3：CI证书签发中心收到CSR_EUM后，验证CSR_EUM的合法性。若CSR_EUM不合法，则CI证书签发中心告知EUM证书管理服务器请求失败，流程结束。否则，CI证书签发中心签发新的CERT_EUM证书。

其中，CI证书签发中心从CSR_EUM中提取CSR_EUM的签名和EUM证书管理服务器的第一公钥，利用EUM证书管理服务器的第一公钥验证CSR_EUM的签名是否正确，从而确定CSR_EUM的合法性。

S4：CI证书签发中心将第一数据回传给EUM证书管理服务器，第一数据包含签发好的新的CERT_EUM证书和证书签发中心的根证书(CERT_CI)。

优选地，该过程中数据传输可通过https安全加密来保证数据的一致性。

S5：EUM证书管理服务器验证CERT_EUM证书的合法性、CERT_EUM证书与CERT_CI证书之间的同根签发关系，以及CERT_CI证书的合法性。若验证未通过，则EUM证书管理服务器告知错误的出现，流程结束。否则，EUM证书管理服务器记录CERT_EUM证书。

其中，EUM证书管理服务器从CERT_EUM证书提取与CERT_EUM证书对应的CI证书的公钥，对CERT_EUM证书的签名进行验证，从而验证CERT_EUM证书的合法性和CERT_EUM证书与CERT_CI证书之间的同根签发关系。EUM证书管理服务器从CERT_CI证书提取公钥，对CERT_CI证书的签名进行验证，从而验证CERT_CI证书的合法性。

S6：EUM证书管理服务器向LPA推送用于更新证书的APDU命令(Application Protocol data unit，给智能卡发送的命令)。

S7：LPA将APDU命令透传给eUICC。

S8：eUICC收到APDU命令后，判断APDU命令是否符合命令标准。若APDU命令错误，则流程结束。否则，eUICC生成第二非对称密钥对，即第二公钥和第二私钥，并用第二私钥签发eUICC证书请求(CSR_eUICC)文件。

S9：eUICC将第二数据回传给LPA，第二数据包括CSR_eUICC、当前的eUICC证书(CERT_eUICC)以及第一签名Signature1，其中Signature1是eUICC的第二私钥对CSR_eUICC和CERT_eUICC的签名。此过程中回传的数据增加了签名，能避免数据传输过程中被修改或者冒充。

S10：LPA收到第二数据后，将第二数据透传给EUM证书管理服务器。

S11：EUM证书管理服务器验证Signature1的正确性和CSR_eUICC的合法性。若验证未通过，则EUM证书管理服务器通知eUICC，流程结束。否则EUM证书管理服务器签发新的CERT_eUICC。

其中，EUM证书管理服务器从CSR_eUICC提取eUICC的第二公钥和CSR_eUICC的签名。利用eUICC的第二公钥验证Signature1是否正确，用以保证数据的正确性；EUM证书管理服务器从当前的CERT_eUICC证书中提取公钥，验证当前的CERT_eUICC证书是否合法。并且利用eUICC的第二公钥验证CSR_eUICC文件的签名是否正确，从而验证CSR_eUICC的合法性。

S12：EUM证书管理服务器向LPA下发第三数据，第三数据包括CERT_CI、新的CERT_EUM、新的CERT_eUICC以及第二签名Signature2，其中Signature2是CERT_EUM的私钥对CERT_CI、新的CERT_EUM和新的CERT_eUICC的签名。此过程中增加签名，能避免数据传输过程中被修改或者冒充。

S13：LPA收到第三数据后，组织更新证书请求并将该请求和第三数据发给eUICC。

S14：eUICC验证Signature2是否正确，并验证CERT_CI、新的CERT_EUM以及新的CERT_eUICC的同根签发关系。若验证失败，则eUICC返回证书错误，流程结束。若验证通过，则eUICC写入新的CERT_EUM和新的CERT_eUICC证书。

其中，eUICC提取新的CERT_EUM的公钥，利用新的CERT_EUM的公钥验证Signature2是否正确。eUICC提取CERT_CI证书的公钥和新的CERT_EUM证书的签名，利用CERT_CI证书的公钥验证新的CERT_EUM证书的签名是否正确，从而验证新的CERT_EUM证书与CERT_CI证书之间的同根签发关系。eUICC提取新的CERT_EUM证书的公钥和新的CERT_eUICC证书的签名，利用新的CERT_EUM证书的公钥验证新的CERT_eUICC证书的签名是否正确，从而验证新的CERT_eUICC证书与新的CERT_EUM证书之间的同根签发关系。

S15：eUICC返回证书更新的结果。

优选地，证书更新的结果用新的CERT_eUICC的私钥签名后再返回至LPA，以避免结果数据被冒充或者篡改。

S16：LPA收到证书更新的结果后，将其透传给EUM证书管理服务器。

作为一个实施例，请求和证书的签发和验签以及数据的传输均通过非对称密钥算法进行。非对称密钥算法如PKI算法、国密算法、ECC加密算法等。

实施例二

在图2所示的流程的基础上，图3是示出了EUM证书管理服务器的结构图。

如图3所示，厂商证书管理服务器包括第一通信模块1201、厂商证书请求文件签发模块1202、厂商证书请求模块1203、第一数据接收模块1204、第一验证模块1205、厂商证书记录模块1206、证书更新推送模块1207、第二数据接收模块1208、第二验证模块1209、嵌入式通用集成电路卡(eUICC)证书签发模块1210、第三数据发送模块1211以及更新证书结果接收模块1212。

其中，第一通信模块1201用于分别与CI证书签发中心和LPA进行通信。

厂商证书文件签发模块1202用于响应于物联网设备中的eUICC的CERT_EUM过期或CERT_EUM被废止而签发CSR_EUM文件。

厂商证书请求模块1203与第一通信模块1201连接，用于向CI证书签发中心发起CSR_EUM。

第一数据接收模块1204与第一通信模块1201连接，用于接收CI证书签发中心响应于CSR_EUM合法而回传的第一数据，第一数据包括CI证书签发中心签发的新的CERT_EUM以及CI证书签发中心的CERT_CI。

第一验证模块1205与第一数据接收模块1204连接，用于对新的CERT_EUM的合法性以及新的CERT_EUM与CI证书签发中心的CERT_CI之间的同根签发关系进行验证。

厂商证书记录模块1206与第一验证模块1205连接，用于响应于对新的CERT_EUM的合法性以及新的CERT_EUM与CI证书签发中心的CERT_CI之间的同根签发关系的验证通过而记录新的CERT_EUM。

证书更新推送模块1207与第一通信模块1201连接，用于向物联网设备中的嵌入式通用集成电路卡推送新的CERT_EUM。

第二数据接收模块1208与第一通信模块1201连接，用于接收eUICC回传的第二数据，第二数据包括eUICC证书请求、当前eUICC证书以及第一签名，第一签名是eUICC证书请求和当前eUICC证书的签名。

第二验证模块1209与第二数据接收模块1208连接，用于对第一签名进行验证，并对eUICC证书请求的合法性进行验证。

eUICC证书签发模块1210与第二验证模块1209连接，用于响应于第一签名的正确性和eUICC证书请求的合法性验证通过而签发新的eUICC证书。

第三数据发送模块1211分别与eUICC证书签发模块1210和第一通信模块1201连接，用于将第三数据发送给LPA，使LPA将LPA发起的更新证书请求和第三数据发送给eUICC，其中第三数据包括eUICC证书、新的CERT_EUM、CERT_CI以及第二签名，第二签名是eUICC证书、新的CERT_EUM、CERT_CI的签名。

更新证书结果接收模块1212与第一通信模块1201连接，用于接收eUICC证书更新的结果。

图4是本申请实施例提供的eUICC的结构图。如图4所示，eUICC包括第二通信模块1401、APDU命令接收模块1402、APDU命令判断模块1403、eUICC证书请求文件签发模块1404、第二数据回传模块1405、第三数据接收模块1406、第三验证模块1407、证书写入模块1408、更新证书结果发送模块1409。

第二通信模块1401用于与LPA进行通信。

APDU命令接收模块1402与第二通信模块1401连接，用于接收用于更新证书的APDU命令。

APDU命令判断模块1403与APDU命令接收模块1402连接，用于判断APDU命令是否符合命令标准。

eUICC证书请求文件签发模块1404与APDU命令判断模块1403连接，用于响应于APDU命令正确而签发eUICC证书请求(CSR_eUICC)文件。

第二数据回传模块1405与eUICC证书请求文件签发模块1404连接，用于将第二数据回传给LPA，第二数据包括CSR_eUICC、当前的eUICC证书(CERT_eUICC)以及第一签名Signature1，其中Signature1是对CSR_eUICC和当前的CERT_eUICC的签名。

第三数据接收模块1406与第二通信模块1401连接，用于接收更新证书请求和第三数据，第三数据包括CERT_CI、CERT_EUM、新的CERT_eUICC以及第二签名Signature2，其中Signature2是对CERT_CI、CERT_EUM和新的CERT_eUICC的签名。

第三验证模块1407与第三数据接收模块1406连接，用于验证Signature2是否正确，并验证CERT_CI、新的CERT_EUM以及新的CERT_eUICC的同根签发关系。

证书写入模块1408与第三验证模块1407连接，用于响应于Signature2正确并且CERT_CI、CERT_EUM以及CERT_eUICC的同根签发关系的验证通过而写入新的CERT_EUM和新的CERT_eUICC证书。

更新证书结果发送模块1409与证书写入模块1408连接，用于返回证书更新的结果。

优选地，本申请中，请求和证书的签发、验签以及数据的传输采用非对称密钥算法进行签名和加解密。

因此，EUM证书管理服务器120还包括第一密钥对生成模块1213，用于响应于物联网设备中的eUICC的厂商证书过期或厂商证书被废止而生成第一非对称密钥对。并且，厂商证书请求文件签发模块1202与第一密钥对生成模块1213连接，用第一非对称密钥对中的第一私钥签发CSR_EUM文件。

同时，eUICC140还包括第二密钥对生成模块1410，第二密钥对生成模块1410与APDU命令判断模块1403连接，响应于APDU命令正确而生成第二非对称密钥对，即第二公钥和第二私钥。并且，eUICC证书请求文件签发模块1404与第二密钥对生成模块1410连接，用第二私钥签发eUICC证书请求(CSR_eUICC)文件。

本申请同样适用于嵌入式通用集成电路卡证书过期的情况，其续证方法与厂商证书的续证方法相同。

本申请为eUICC生成了新的厂商证书和eUICC证书，使得物联网设备持续具有入网能力，可以根据实时资费选择下载新的合适的profile，减少不必要的经济损失，延长了物联网设备的使用寿命，节省了资源。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。