用于安装嵌入式通用集成电路卡的配置文件的方法和装置与流程

本发明涉及一种用于安装eUICC(嵌入式通用集成电路卡)的配置文件的方法和装置，更具体地，涉及一种用于通过以下方式远程地在安全模块中安装移动通信订户信息(配置文件)的方法和装置：用eUICC替换UICC(通用集成电路卡)。

背景技术：

UICC(通用集成电路卡)是插入到移动通信终端中的智能卡，并且存储诸如移动通信用户的网络连接认证信息、电话号码和SMS的个人信息。UICC在连接到诸如GSM、WCDMA和LTE的移动通信网络时通过执行用户认证并生成业务安全密钥来实现移动通信的安全使用。

根据由用户连接的移动通信网络的类型，将诸如SIM、USIM和ISIM的通信应用程序发送到UICC中。此外，UICC提供用于启动诸如电子钱包、售票和电子护照的各种应用的上级安全功能。

传统的UICC根据来自移动通信提供商的请求被制造为用于特定移动通信提供商的专用卡。因此，通过预安装用于连接到相应提供商的网络的认证信息(例如USIM应用的IMSI和K值)来释放UICC。制造的UICC被递送到相应的移动通信提供商并且被提供给订户，并且如果需要，可以通过使用诸如OTA(Over the Air)的技术来执行在UICC中安装、修改和删除应用的管理。用户可以通过将UICC插入到用户所拥有的移动通信终端中来使用相应移动通信运营商的网络和应用服务，并且如果终端被新的终端替换，则用户可以通过将UICC插入到新的终端来使用现有的认证信息、用于移动通信的电话号码以及个人电话簿。

UICC的物理规范和逻辑功能由提供国际兼容性的ETSI(欧洲电信标准协会)的标准化组织定义。关于物理规范，UICC的形式因素从最广泛使用的Mini SIM到几年前使用的Micro SIM，以及最近发布的Nano SIM逐渐减小。这有助于移动通信终端的小型化。

最近，已经建立了比Nano SIM小的UICC，然而由于UICC的丢失，可能难以标准化。可能难以进一步小型化UICC，因为当考虑可拆卸UICC的特性时，终端需要用于安装插槽的空间。

此外，传统UICC不适用于在智能家用电器、电表/水表及CCTV摄像机的各种安装环境中执行与移动通信数据网络的连接而没有人的直接操作的M2M(机器对机器)装置。

为了解决这样的问题，需要替换传统UICC，并且在生产过程中将具有与UICC类似功能的安全模块集成到移动通信终端中。

根据这种要求开发的内部安全模块是安装在终端中的安全模块，然而其在制造终端时不能启动特定移动通信提供商的网络连接认证信息，例如USIM的IMSI和K值。因此，终端内部安全模块的认证信息可以由用户在购买了利用相应的内部安全模块启动并成为特定移动通信提供商的订户的终端之后设置。

在支持具有内部安全模块的新开发的终端的网络中，如果终端通过提供配置文件来连接到特定移动通信网络，则配置文件提供服务器实时地使用通过与终端的实时相互认证而生成的会话密钥来加密配置文件，并将加密的配置文件发送到终端。安装在配置文件提供服务器中的用于加密配置文件的硬件安全模块可以适合于实时地加密小数目的配置文件，然而，如果大量终端要接收具有内部安全模块的终端的配置文件，就有可能无法提供配置文件，这是因为所有配置文件必须同时加密。因此，当为具有内部安全模块的大量终端提供配置文件时可能会产生技术困难。

此外，如果将具有内部安全模块的大量终端连接到SM-DP(订阅管理器数据准备)服务器的外部网络状态较差，则存在不能为一些终端提供正确配置文件的问题。

因此，需要一种改进的方法，使得可以在不与外部网络同步的情况下提供用于具有内部安全模块的终端的配置文件，并且可以预先加密和存储用于大数目的终端的配置文件。

技术实现要素：

技术问题

为了解决上述问题，本发明提供了一种用于向终端提供配置文件的方法和装置，在提供该配置文件的时候不需要与外部网络同步。

此外，本发明提供了一种用于存储大数目的配置文件和密码密钥的方法和装置，用于在提供配置文件之前对配置文件进行加密，并且当提供终端的配置文件时向终端提供加密的配置文件信息。

问题的解决方案

为了实现上述目的，根据本发明的用于安装网络装置的eUICC(嵌入式通用集成电路卡)的配置文件的方法可以包括以下步骤：获取用第一密码密钥加密的至少一个配置文件和用第二密码密钥加密的至少一个第一密码密钥；以及当用于所述eUICC的配置文件安装开始时，将所述至少一个加密的配置文件和所述至少一个加密的第一密码密钥传送到至少一个eUICC。分别地，第一密码密钥通过第一密码密钥用第三密码密钥重新加密并被发送到至少一个eUICC，并且加密的配置文件被第一密码密钥解密并安装在至少一个eUICC中。

第一密码密钥、第二密码密钥和第三密码密钥中的每一个可以分别配置有多个密钥。例如，第一密码密钥、第二密码密钥和第三密码密钥可以是包括密钥信息的密码密钥集。此外，每个密码密钥可以是SCP 80密钥、SCP 81密钥、SCP 03或不对称密钥。作为基于RSA的认证中的非对称密钥的示例，存在包括在明语的认证证书中的公开密钥和与公开密钥成对生成并安全地存储在认证证书所拥有的实体中的个人密钥。在下面的描述中，使用认证证书的加密意味着通过使用包括在认证证书的接收实体中的公开密钥加密来发送内容，并且该接收实体可以通过使用内部存储的个人密钥来执行解密。

此外，根据本发明的用于安装SM-DP(订阅管理器数据准备)的eUICC(嵌入式通用集成电路卡)的配置文件的方法可以包括以下步骤：发送至少一个加密的配置文件和用于将所述至少一个配置文件加密的至少一个第一密码密钥二者中的至少一个到网络装置。如果用于eUICC的配置文件安装开始，则将至少一个加密的配置文件和至少一个第一密码密钥发送到至少一个eUICC，并且通过使用第三密钥加密来将至少一个第一密码密钥发送到至少一个eUICC，通过利用所述至少一个第一密码密钥解密而将该至少一个加密的配置文件发送到所述至少一个eUICC。

此外，根据本发明的用于安装eUICC(嵌入式通用集成电路卡)的配置文件的网络装置可以包括：通信单元，被配置为执行数据通信；加密装置，被配置为执行加密和解密；以及存储装置，被配置为获取至少一个加密的配置文件和用于加密所述至少一个配置文件的至少一个第一密码。当eUICC的配置文件安装开始时，通信单元将至少一个加密的配置文件和至少一个第一密码密钥发送到至少一个eUICC，加密装置通过利用第三密码密钥加密将至少一个第一密码密钥发送到至少一个eUICC，并且通过利用所述至少一个第一密码密钥解密来将所述至少一个加密的配置文件安装在所述至少一个eUICC中。

此外，根据本发明的用于安装eUICC(嵌入式通用集成电路卡)的配置文件的SM-DP(订阅管理器数据准备)服务器可以包括：通信单元，被配置为执行数据通信；以及控制单元，被配置为控制将至少一个加密的配置文件和用于加密所述至少一个配置文件的至少一个第一密码密钥二者中至少之一传送到网络装置。当用于eUICC的配置文件安装开始时，将至少一个加密的配置文件和至少一个第一密码密钥发送到至少一个eUICC，并且通过利用第三密码密钥加密来将该至少一个第一密码密钥发送到该至少一个eUICC，以及通过利用至少一个第一密码密钥进行解密来将所述至少一个加密的配置文件安装在所述至少一个eUICC中。

本发明的有益效果

根据本发明的各种实施例，当对于具有内部安全模块的大数目的终端同时供应配置文件时，可以提供加密的配置文件而没有性能或数据丢失。

此外，根据本发明的各种实施例，即使连接配置文件提供服务器和终端的外部网络状态差，也可以针对大数目的终端执行配置文件提供。

附图说明

图1示出了支持eUICC的网络的结构。

图2示出用于安装eUICC的配置文件的方法的流程图。

图3示出了根据本发明的支持eUICC的网络的结构。

图4示出根据本发明第一实施例的用于安装eUICC的配置文件的方法的流程图。

图5示出根据本发明的第二实施例的用于安装eUICC的配置文件的方法的流程图。

图6示出根据本发明第三实施例的用于安装eUICC的配置文件的方法的流程图。

图7示出根据本发明的实施例的装置的结构的框图。

具体实施方式

本发明涉及一种配备有内部安全模块的终端，并且可以应用于一般的电子终端，诸如智能电话、便携式终端、移动终端、PDA(个人数字助理)、PMP(便携式多媒体播放器)终端、笔记本计算机、Wibro终端、智能电视和智能冰箱，并进一步应用于支持内部安全模块的所有装置或服务。

本发明提供了一种内部安全模块、配置文件提供服务器和支持用于内部安全模块的配置文件安装的网络装置。

内部安全模块称为eSE(嵌入式安全元件)，典型示例可以是eUICC。以下实施例主要针对eUICC进行公开，然而本领域技术人员将清楚，本发明可以应用于包括eUICC的各种类型的内部安全模块。在本发明中，术语“eUICC”可以与eSIM(嵌入式订户身份模块)互换地使用。根据本发明的各种实施例的eUICC可以安装在终端中或以可拆卸类型添加到终端。

安装在内部安全模块中的配置文件包括诸如存储在UICC中的一个或多个应用、订户认证信息、电话簿的数据信息。根据使用，配置文件可以包括操作配置文件和供应配置文件(或开机配置文件)。操作配置文件以软件形式封装，并且可以指由移动通信公司服务的终端的用户信息。在用户订阅某个通信公司之前，要求供应配置文件连接到一个国家中的某个移动通信网络，并且供应配置文件可以指在eUICC中预先启动的配置文件。供应配置文件可以仅用于提供网络连接环境以远程下载操作配置文件，并且可以包括连接到某个移动通信网络所需的信息，例如IMSI和K值。

配置文件提供服务器称为SM-DP(订阅管理器数据准备)，并且可以用作配置文件域、配置文件加密服务器、配置文件生成服务器、配置文件供应者或配置文件提供者的卡外实体的含义。

可以通过包括用于加密或解密配置文件的加密装置和用于存储至少一个配置文件的存储装置中的至少一个，以服务器形式来配置支持在内部安全模块中安装配置文件的网络装置。在网络装置仅配置有加密装置和存储装置中的一个的情况下，网络装置可以是加密装置或存储装置本身。或者，在配置有加密装置和存储装置两者的网络装置的情况下，网络装置可以作为包括加密装置和存储装置的装置操作，或者可以被解释为包括加密装置和存储装置的普通含义。

加密装置可以包括HSM(硬件安全模块)或者可以被称为HSM本身。

此外，针对支持eUICC的网络可以定义和使用各种术语。

例如，作为本发明中使用的术语，SM-SR(预订管理器安全路由)可以被表示为利用OTA来发送加密的配置文件到eUICC的配置文件管理服务器。此外，SM-SR可以表示为eUICC配置文件管理器或配置文件管理器的卡外实体。

此外，作为本发明中使用的术语，EID(eUICC标识符)是用于区分安装在终端中的eUICC的唯一标识符，并且如果供应配置文件预先安装在eUICC中，则可以指配置文件ID，或者如果终端和eUICC(或eSIM)芯片不是分开的，则可以指终端ID。此外，E-UICC ID可以指示eSIM芯片的特定安全域。

此外，作为本发明中使用的术语，EIS(eUICC信息集)可以包括EID和ICCID作为存储在SM-SR中的eUICC信息。

此外，作为本发明中使用的术语，EF(基本文件)可以指在可以存储IMSI和MSISDN的eUICC的配置文件中存储信息的文件。

此外，作为本发明中使用的术语，MNO(移动网络运营商)可以表示移动通信提供商或移动通信提供商的系统。

此外，作为本发明中使用的术语，HSM(硬件安全模块)可以表示用于加密或解密密码密钥以便不暴露密码密钥的模块。

以下提供的具体术语用于帮助理解本发明，并且可以在不脱离本发明的技术范围的情况下修改为各种形式。

在以下描述和权利要求中使用的术语和词语不限于字面意义，而是仅由发明人使用以使得能够清楚和一致地理解本发明。因此，对本领域技术人员显而易见的是，提供本发明的各种实施例的以下描述仅用于说明目的，而不是为了限制由所附权利要求及其等同物限定的本发明的目的。

应当理解，除非上下文另有明确指示，否则单数形式“一”、“一个”和“该”包括复数指示物。应当理解，诸如“配置”和“包括”的术语并不总是包括本发明中描述的所有组件或步骤。

在下文中，参考附图详细描述本发明的实施例。在整个附图中使用相同的附图标记来指代相同或相似的部件。可以省略在此并入的公知功能和结构的详细描述，以避免模糊本发明的主题。此外，下面描述的术语通过考虑本发明中的功能来定义，并且可以根据用户或操作者的意图或实践而改变。因此，应当基于本发明的一般内容来定义术语。

图1示出了支持eUICC的网络的结构。

参考图1，支持eUICC的网络可以配置有终端100、SM服务器110和MNO120。SM服务器110可以配置有SM-SR111和SM-DP112。

终端100包括作为内部安全模块安装的eUICC102。eUICC可以具有EID作为唯一标识符，并且EID可以被指示为终端100中的物理或软件元素。

终端100通过在控制单元101的控制下连接到与存储在eUICC 102中的至少一个配置文件相对应的移动通信网络来执行数据通信。具体地，用于临时连接到网络的供应配置文件可以被存储在eUICC 102中，使得终端100可以下载并安装要使用的配置文件。

终端100可以通过触发安装配置文件事件来执行配置文件的安装。更详细地，终端100向SM-SR 111发送对包括EID的配置文件的请求，并且通过SM-SR的认证处理来接收利用与SM-DP 112预先共享的会话密钥加密的配置文件。终端100通过用会话密钥解密配置文件来连接到移动通信网络。

在各种实施例中，终端100可以通过使用数字认证方法与SM-DP 112共享会话密钥。例如，终端100可以通过SM-SR 111从SM-DP 112接收与其自己的eUICC 112相对应的数字认证证书，通过使用接收的数字认证证书来生成会话密钥，并通过加密会话密钥来发送到SM-DP 112。SM-DP 112可以通过使用数字认证证书来解密所接收的会话密钥，并且通过使用会话密钥加密来向终端100发送对应于数字认证证书的eUICC 112的配置文件。在使用数字认证方法的情况下，SM-DP 112可以通过使用利用数字认证证书生成的公开密钥来加密配置文件，并且终端100可以通过使用利用数字认证证书生成的秘密密钥(私人密钥)来解密配置文件。上面已经描述了使用数字认证证书的方法作为共享会话密钥的示例，然而本发明不限于此，并且可以使用在SM-DP 112与终端100之间共享认证算法的各种方法。

SM-SR 111管理多个终端的配置文件信息。SM-SR 111可以通过触发配置文件安装事件来发送用于将配置文件下载到eUICC 102的MSISDN的SMS。在各种实施例中，SM-SR 111可以执行在SM-DP 112与终端100之间发送加密的会话密钥或加密的配置文件的功能。SM-SR 111可以通过使用经验证的OTA技术与终端100交换数据。即，SM-SR 111可以通过使用OTA密钥向终端发送数据。在完成eUICC 102中的配置文件的解密和安装之后，SM-SR 111可以执行激活、去激活和去除配置文件的配置文件管理功能。

SM-DP 112生成用于安装在终端100中的eUICC 102的配置文件，并通过使用会话密钥来加密配置文件。如果从某个eUICC 102接收到用于安装配置文件的请求，则SM-DP 112可以通过使用与对应eUICC 102预先共享的会话密钥加密来发送配置文件。或者，如果从终端接收到经验证的会话密钥，则SM-DP 112向终端100发送用对应的会话密钥加密的配置文件。SM-DP 112可以直接由MNO 120或者与MNO 120具有极好信任关系的其他公司操作。根据业务或合同关系，SM-DP 112可以为一个或多个MNO 120提供服务。

至少一个MNO 120可以存在于网络中。MNO 120可以为终端100提供通信服务。如果终端100的用户申请对一个服务的订阅，则MNO 120可以管理SM-DP 112并且通过使用SM-DP 112帮助终端的配置文件安装。至少一个MNO 120可以单独管理单独的SM-DP 112。或者，SM-DP 112可以根据可信的合同关系为多个MNO 120提供服务。

在下文中，将描述用于安装配置文件的方法，用于图1所示的网络中的eUICC。

图2示出用于安装eUICC的配置文件的方法的流程图。尽管图2中未示出SM-DP 230与eUICC 210之间的SM-SR 220 2的数据流，SM-SR 220可以向eUICC 210发送用于配置由SM-DP 230加密的配置文件和会话密钥的全部或部分信息，或者向SM-DP 230发送用于配置由eUICC 210加密的会话密钥的全部或部分信息。

参考图2，eUICC 210和SM-DP 230在步骤201生成单独的eUICC认证和会话密钥。

更详细地，SM-DP 230通过对由EID区分的每个eUICC 210的认证来生成会话密钥，并通过使用所生成的会话密钥来生成配置文件。eUICC 210可以通过认证处理实时获得会话密钥，并通过使用获得的会话密钥对从SM-DP 230发送的加密的配置文件进行解密。

SM-DP 230在步骤203使用相应的会话密钥单独地加密每个eUICC 210的配置文件，并在步骤205将这些配置文件发送到eUICC 210。eUICC 210通过使用经认证过程实时生成的会话密钥来解密和安装配置文件。因为每个会话密钥一个一个地对应于每个eUICC 210，所以由特定会话密钥加密的配置文件只能由对应于会话密钥的特定eUICC 210解密。

当eUICC 210实际开始配置文件安装时，对每个eUICC单独执行上述处理。SM-DP 230可以配备用于加密配置文件的单独的加密模块，然而如果大量eUICC同时请求配置文件安装，则SM-DP 230不能正确地同时执行配置文件安装，因为加密模块对配置文件进行加密需要时间。此外，如果在单独执行配置文件安装时由于网络断开而配置文件安装停止，则不能针对所有eUICC210正确地安装配置文件。

因此，可以通过对于大量的终端，在将配置文件安装在eUICC 210中之前，将预加密的配置文件存储在SM-DP 230中，和当配置文件安装实际开始时，将预加密的配置文件发送到终端，来使用安装配置文件的有效方法。此外，当在eUICC 210中安装配置文件时，需要独立地从位于外部网络中的SM-DP 230来下载配置文件的方法。

在下文中，将根据本发明描述用于安装能够提供上述技术特征的配置文件的方法。

图3示出了根据本发明的支持eUICC的网络的结构。

参考图3，根据本发明的支持eUICC的网络可以配置有支持eUICC的配置文件安装的网络装置330。

网络装置330可以配置有用于加密或解密配置文件的加密装置331和用于存储至少一个配置文件的存储装置332中的至少一个。

加密装置331可以包括HSM或者可以称为HSM本身，并且可以在不暴露密码密钥的情况下执行配置文件的加密和解密。

存储装置332存储至少一个配置文件。存储装置332可以包括硬盘、RAM(随机存取存储器)、SRAM(静态随机存取存储器)、ROM(只读存储器)、EEPROM(电可擦除可编程只读存储器)、PROM(可编程只读存储器)、磁存储器、磁盘和光盘中至少一种介质。

在网络装置330包括加密装置331和存储装置332中之一的情况下，网络装置330可以是加密装置331或存储装置332自身。或者，在网络装置330包括加密装置331和存储装置332二者的情况下，网络装置330可以作为包括加密装置331和存储装置332的装置操作，或者可以被解释为包括分别配置的加密装置331和存储装置332的通常概念。

此外，网络装置330可以配置有通信单元333。通信单元330发送和接收数据。当网络装置330作为包括加密装置331和存储装置332的装置操作时，通信单元333可以配备在网络装置330中。另一方面，当网络装置330被解释为包括单独配置的加密装置331和存储装置332的通常概念时，通信单元333可以安装在加密装置331和存储装置332中的每一个中。在这种情况下，加密装置331和存储装置332可以通过通信单元333交换数据。

网络装置330可以以服务器形式配置。当网络装置330作为包括加密装置331和存储装置332的装置操作时，网络装置330可以包括用于集中地控制加密装置331和存储装置332的单独的控制装置。

上面已经描述了包括在支持根据本发明的eUICC的网络中的实体的示例，然而可以进一步包括为eUICC提供和安装配置文件所需的各种实体，并且可以通过省略或其中某些装置或者集成其中的某些装置来配置具有相同或类似功能的装置。在这种情况下，可以根据本发明的技术范围来修改构造网络的实体，并且如果构造网络的实体在本发明的技术范围内操作，则本领域技术人员将清楚，相应的实施例仍然落入由所附权利要求限定的权利范围内。

在下文中，将更详细地描述根据本发明的上述实施例的用于在网络中实际地安装eUICC的配置文件的方法。

图4示出根据本发明第一实施例的用于安装eUICC的配置文件的方法的流程图。

参考图4，在本发明的第一实施例中，在步骤401，SM-DP 410成对地产生用第一密码密钥加密的配置文件和用第二密码密钥加密的第一密码密钥。

SM-DP 410生成用于多个eUICC 430的配置文件。SM-DP 410可以生成秘密密钥的IMSI和K值作为用于配置每个eUICC 430的配置文件的信息。

SM-DP 410使用对应于每个配置文件的第一密码密钥来加密每个配置文件。第一密码密钥是由安装在SM-DP 410中的HSM生成的随机密钥，并且可以是对称密钥、非对称密钥或SCP 03会话密钥。第一密码密钥独立于eUICC 430(即未映射到EID)，并且逐个地对应于每个配置文件。因此，用第一密码密钥加密的配置文件不是针对特定eUICC 430的，并且可以以批量形式生成。SM-DP 410可以以批量形式生成和存储用第一密码密钥加密的大数目的配置文件。

SM-DP 410用第二密码密钥加密和存储第一密码密钥。第二密码密钥可以是作为主密钥的对称密钥或非对称密钥。此外，第二密码密钥可以用于通过使用预共享密钥在SM-DP 410和网络装置之间的相互认证。

在步骤403，SM-DP 410将用第一密码密钥加密的配置文件和用第二密码加密的第一密码密钥成对地发送到存储装置421。在开始配置文件的安装之前，在步骤405，存储装置421成对地存储用第一密码密钥加密的配置文件和用第二密码加密的第一密码密钥。

如果eUICC 430的配置文件安装实际上在某个时间开始，则在步骤407加密装置422对利用第二密码密钥加密的第一密码密钥进行解密，并且使用第三密码密钥再次加密第一密码密钥。

第三密码密钥是由各个eUICC 430发布的电子密钥，并且可以是对称密钥或不对称密钥。第三密码密钥通过数字认证方法生成，并且可以被配置有根据预共享认证方法成对地生成的公开密钥和私人密钥。第三密码密钥逐个地对应于eUICC 430，并且相应的第三密码密钥仅可以由特定eUICC 430解密。

加密装置422和eUICC 430可以在开始配置文件安装之前或之后以离线共享方法或网络通信方法共享第三密码密钥。在一个实施例中，加密装置422和eUICC 430可以在共享数字认证证书的方法中共享第三密码密钥。即，加密装置422和eUICC 430具有相同的数字认证证书，从而可以通过使用从相应的数字认证证书中成对生成的公开密钥和私人密钥来执行相互认证(数据加密和解密)。

在步骤409，加密装置422将利用第三密码密钥加密的第一密码密钥发送到eUICC 430。在步骤411，eUICC 430通过利用预共享的第三密码密钥解密来存储第一密码密钥。

随后，在步骤413，eUICC 430从存储装置421接收利用第二密码密钥加密的配置文件。

在各种实施例中，网络装置420可以向eUICC 430发送配置加密的配置文件和第一密码密钥所需的全部或部分信息。

在步骤415，eUICC 430在解密用第一密码密钥加密的配置文件之后安装相应的配置文件。

根据第一实施例，SM-DP 410可以在安装eUICC 430的配置文件之前生成大量的加密的配置文件，而没有时间限制。此外，SM-DP 410使用与网络装置420预先共享的密码密钥来加密配置文件和用于加密配置文件的第一密码密钥，并且预先将它们存储在网络装置420中。因此，当安装配置文件时，可以在不与SM-DP 410直接同步的情况下将配置文件发送到eUICC 430。

图5示出根据本发明的第二实施例的用于安装eUICC的配置文件的方法的流程图。

参考图5，在本发明的第二实施例中，在步骤501，SM-DP 510生成用第二密码密钥加密的配置文件。这里，SM-DP 510可以是SIM制造商的配置文件提供服务器。

SM-DP 510生成用于多个eUICC 540的配置文件。SM-DP 510可以生成秘密密钥的IMSI和K值作为用于配置每个eUICC 540的配置文件的信息。

SM-DP 510使用第二密码密钥来加密每个配置文件。第二密码密钥是主密钥，其可以是对称密钥或不对称密钥。此外，第二密码密钥可以在SM-DP 510和网络装置520之间预先共享。第二密码密钥独立于eUICC 540，并且可以逐个地对应于每个配置文件，或者可以对于所有的配置文件是相同的。用第二密码密钥加密的配置文件可以随机生成，而不固定到特定eUICC 540。

在步骤503，SM-DP 510将利用第二密码密钥加密的配置文件发送到网络装置520。在步骤505，网络装置520解密用第二密码密钥加密的配置文件。

随后，网络装置520在步骤507直接生成第一密码密钥。第一密码密钥由安装在网络装置520中的加密装置随机生成，并且可以是对称密钥、非对称密钥或SCP 03会话密钥。

在步骤509，网络装置520通过用第一密码密钥重新加密配置文件来生成用第一密码密钥加密的配置文件。

在一个实施例中，网络装置520可以生成以远程APDU(应用协议数据单元)形式加密的配置文件。远程APDU是用于在远程服务器和eUICC之间发送加密命令的一种标准(ETSI TS 102.226)，并且在通过用阵列缓冲器单元分割来发送数据时生成。网络装置520可以通过利用第一密码密钥重新加密配置文件来生成远程APDU。

在步骤511，网络装置520将第一密码密钥和用第一密码密钥加密的配置文件发送到SM-DP 530。这里，SM-DP 530可以是SIM的配置文件提供服务器或者由终端制造商单独操作的配置文件提供服务器。在开始配置文件安装之前，SM-DP 530可以存储大量的第一密码密钥和用第一密码密钥加密的配置文件。

如果eUICC 540的配置文件安装实际上在某个时间开始，则在步骤513，SM-DP 530用第三密码密钥加密第一密码密钥。第三密码密钥是由eUICC 540发布的电子密钥，并且可以是对称密钥或不对称密钥。第三密码密钥由数字认证方法提供，并且可以根据预先共享的认证方法成对地生成公开密钥和私人密钥。第三密码密钥逐个地对应于每个eUICC 540，从而可以仅通过与第三密码密钥相对应的特定eUICC来解密。

在开始配置文件的安装之前或之后，SM-DP 530和eUICC 540可以在离线共享方法或网络通信方法中共享第三密码密钥。在一个实施例中，SM-DP 530和eUICC 540可以在共享数字认证证书的方法中预共享第三密码密钥。即，加密装置530和eUICC 540具有相同的数字认证证书，从而可以通过使用从相应的数字认证证书中成对生成的公开密钥和私人密钥来执行相互认证(数据加密和解密)。

在步骤515，SM-DP 530发送用第三密码密钥加密的第一秘密密钥到eUICC 540。在一个实施例中，SM-DP 530可以根据CCCM场景#1将第一密码密钥发送到eUICC 540。场景#1是加密和发送会话密钥的全球平台规范技术之一，并且可以通过如下来实现：对应于对第一密码密钥或(第一密码密钥的传输)的请求，通过在SM-DP 530和eUICC 540之间的直接通信来发送第一密码密钥并且响应于第一密码密钥。

在步骤517，eUICC 540通过用预共享的第三密码密钥解密第一密码密钥来存储第一密码密钥。

随后，eUICC 540在步骤519中基于SM-DP 530的远程APDU执行配置文件的安装。eUICC 540从SM-DP 530接收通过使用第一密码密钥加密而生成的远程APDU，并且通过用所述第一密码密钥解密所述远程APDU来获得配置文件。因此，eUICC 540可以安装获得的配置文件。

根据第二实施例，SM-DP 510可以在开始eUICC 540的配置文件安装之前预先存储由网络装置生成的大量加密的配置文件，而没有时间限制。此外，SM-DP 540通过提供加密的配置文件和用于基于远程APDU加密的第一密码密钥来实现对网络状态的影响较小的配置文件安装。

与第一实施例相比，第二实施例与第一实施例的区别在于，生成第一密码密钥和用第一密码密钥解密配置文件的主体从SM-DP改变到网络装置。此外，第二实施例可以与第一实施例的不同之处在于，发送加密的配置文件的主体从网络装置改变到SM-DP。因此，第二实施例与第一实施例的不同之处在于，当发送使用第三密码密钥加密的第一密码密钥并且基于远程APDU执行配置文件安装时使用CCCM场景#1。

图6示出根据本发明第三实施例的用于安装eUICC的配置文件的方法的流程图。

参考图6，在本发明的第三实施例中，在步骤601，SM-DP 610产生用第一密码密钥加密的配置文件。

SM-DP 610生成用于多个eUICC 630的配置文件。SM-DP 610可以生成每个eUICC 630的秘密密钥的IMSI和K值作为用于配置每个eUICC 630的配置文件的信息。

SM-DP 610使用与每个配置文件相对应的第一密码密钥加密每个配置文件。第一密码密钥由安装在SM-DP 610中的HSM随机生成，并且可以是对称密钥、非对称密钥或SCP 03会话密钥。第一密码密钥独立于eUICC 630并且逐个地对应于每个配置文件。因此，用第一密码密钥加密的配置文件不是针对特定eUICC 650并且以批量形式生成。SM-DP 610可以以批量形式生成和存储用第一密码密钥加密的大量配置文件。

在步骤603，SM-DP 610将利用密码加密的配置文件发送到网络装置620。在开始配置文件的安装之前，网络装置620在步骤605存储利用第一密码加密的配置文件。

如果eUICC 630的配置文件的安装实际上在特定时间开始，则在步骤607，网络装置620确定要以配置文件安装的至少一个eUICC。网络装置620可以根据预定条件或来自eUICC 630或MNO的请求来识别由配置文件安装事件触发的eUICC640，并且基于识别结果确定要以配置文件安装的至少一个eUICC。

在步骤609，网络装置620向SM-DP 610发送与将被安装有配置文件的至少一个eUICC相关的信息(列表)。与将被安装有配置文件的至少一个eUICC相关的信息可以包括相应eUICC的标识符(EID)、相应eUICC中要安装的配置文件的标识符以及相应的eUICC的认证证书。

如果从eUICC接收到与至少一个eUICC相关的信息，则在步骤611，SM-DP 610用第三密码密钥加密第一密码密钥。第三密码密钥是由eUICC 630发布的电子密钥，并且可以是对称密钥或不对称密钥。在数字认证方法中提供的第三密码密钥，可以配置有根据预共享认证方法成对地生成的公开密钥和秘密密钥。第三密码密钥逐个地对应于eUICC 630，从而可以仅用于与第三密码密钥相对应的特定eUICC中的解密。

SM-DP 610和eUICC 630可以在开始配置文件的安装之前或之后以离线共享方法或网络通信方法共享第三密码密钥。在一个实施例中，SM-DP 610和eUICC 630可以在共享数字认证证书的方法中预共享第三密码密钥。即，加密装置610和eUICC630具有相同的数字认证证书，从而可以通过使用从相应的数字认证证书中成对生成的公开密钥和秘密密钥来执行相互认证(数据加密和解密)。在各种实施例中，用第三密码密钥加密的第一密码密钥可以从SM-DP 610直接发送到eUICC 630。

在步骤613，SM-DP 610将利用第三密码密钥加密的第一密码密钥发送到网络装置620。在步骤615，网络装置620将加密的第二密码密钥发送到eUICC 630。此外，在步骤617网络装置620将使用第一密码密钥加密的配置文件发送到eUICC 630。

在步骤619，eUICC 630通过解密用第三密码密钥加密的第一密码密钥来获得第一密码密钥，并且在步骤621中，在用所获得的第一密码密钥解密配置文件之后安装相应的配置文件。

根据第三实施例，网络装置620可以在开始eUICC 630的配置文件安装之前没有时间限制地预先存储由SM-DP 610生成的大量的加密的配置文件。

与第一实施例相比，第三实施例与第一实施例的区别在于，在开始配置文件的安装之后，仅对网络装置所请求的eUICC执行加密的第一密码密钥的传输。

在下文中，将描述根据本发明的实施例操作的装置的配置。

图7示出根据本发明的实施例的装置的结构的框图。

参考图7，根据本发明实施例的SM-DP 700可以配置有通信单元701、控制单元702和加密单元703。

通信单元701可以向/从其他装置发送和接收数据。通信单元701可以发送和接收加密的密钥和加密的配置文件。为此，通信单元701可以包括至少一个通信模块和天线。

根据本发明，控制单元702可以控制SM-DP 700的每个组件以安装配置文件。控制单元702的详细操作与上述相同。

加密单元703根据控制单元702的控制来执行密钥或配置文件的加密或解密。加密单元703可以安装在控制单元702中或者以由控制单元702驱动的软件代码形式提供。

参考图7，根据本发明实施例的网络装置710可以配置有通信装置711、加密装置712和存储装置713。

通信装置711可以向/从其他装置发送或接收数据。通信装置711可以发送或接收加密的密钥或加密的配置文件。为此，通信装置711可以包括至少一个通信模块和天线。

在各种实施例中，如果网络装置710用作包括加密装置712和存储装置713的装置操作，则通信装置711可以安装在网络装置710中。或者，如果网络装置710被解释为包括分别配置的加密装置712和存储装置713的通常概念，则通信装置711可以单独地安装在加密装置712和存储装置713中。在这种情况下，加密装置712和存储装置713可以通过通信装置711彼此发送和接收数据。

加密装置712可以包括HSM或被称为HSM本身，并且可以在不暴露密码密钥的情况下执行加密和解密。

存储装置713存储至少一个配置文件。存储装置713可以包括硬盘、RAM(随机存取存储器)、SRAM(静态随机存取存储器)、ROM(只读存储器)、EEPROM(电可擦除可编程只读存储器)、PROM(可编程只读存储器)、磁存储器、磁盘和光盘中的至少一个介质。

网络装置710可以以服务器形式配置。在网络装置710作为包括加密装置712和存储装置713的装置操作的情况下，网络装置710可以包括用于集中地控制加密装置712和存储装置713的单独的控制装置。

参考图7，根据本发明实施例的终端720可以配置有通信单元721、控制单元722和eUICC 723。

通信单元721可以向/从其他装置发送或接收。通信单元721可以接收加密的密钥和加密的配置文件。为此，通信单元721可以包括至少一个通信模块和天线。

根据本发明，控制单元722可以控制终端720的每个组件以安装配置文件。控制单元722的详细操作与上述相同。

eUICC 723是安装在终端720中的UICC芯片，并且执行存储、管理和删除至少一个配置文件的功能。该配置文件包括诸如一个或多个应用、订户认证信息和电话簿的数据信息。

为了更容易理解本发明，已经提出了附图所示的本发明的上述实施例，并且实施例不限制本发明的范围。此外，本领域技术人员将理解，在不脱离由所附权利要求及其等同物限定的本发明的精神和范围的情况下，可以在其中进行形式和细节上的各种改变。