用户识别模块、证书获取方法、装置和存储介质与流程

本公开实施例涉及安全应用领域，尤其涉及一种用户识别模块、一种证书获取方法、装置和存储介质。

背景技术：

伴随着物联网技术的快速发展，物体之间的互联成为可能。以车联网为例，近年来，车联网发展迅速。包含集成嵌入式用户识别模块(sim，subscriberidentitymodula)的车载终端及路侧单元(rsu,roadsideunit)可实现汽车与汽车、汽车和道路、汽车以及人类、汽车和业务平台之间的全方位网络连接。车联网的普及可以提高车辆智能水平，为汽车和运输服务构建新模式。车联网提高了交通效率，改善了汽车驾驶体验。并能为用户提供智能、舒适、高效的综合服务。

但是，在实现汽车与汽车、汽车和道路、汽车以及人类、汽车和业务平台之间的全方位网络的连接过程中，会存在数据存储与数据传输不安全的问题。

技术实现要素：

本公开实施例提供一种用户识别模块、一种证书获取方法、装置和存储介质。

本公开实施例的技术方案是这样实现的：

第一方面，本公开实施例提供一种用户识别模块，包括：

第一域，用于存储第一类应用程序和第二类应用程序，所述第一类应用程序包括所述用户识别模块sim应用程序；所述第二类应用程序不同于所述第一类应用程序；

第二域，具有比所述第一域高的安全等级，至少用于存储所述第二类应用程序的证书。

在一个实施例中，所述用户识别模块还包括分别与所述第一域和所述第二域连接的接口单元；

所述接口单元，用于向认证实体发送利用所述第一类应用程序与所述认证实体之间通信的共享密钥加密的证书请求消息；接收基于所述证书请求消息返回的所述第二类应用程序的证书。

在一个实施例中，所述接口单元还用于：

下载所述第一类应用程序；

和/或，下载所述第二类应用程序；

和/或，更新所述第一类应用程序的数据；

和/或，更新所述第二类应用程序的数据。

在一个实施例中，所述接口单元，还用于通过所述用户识别模块sim应用程序中建立的可信应用列表对所述第二类应用程序进行身份认证；其中，所述可信应用列表包含至少一个预先设置的所述第二类应用程序的身份标识。

在一个实施例中，所述用户识别模块sim应用程序用于在所述第二类应用程序通过身份认证时，实现如下至少之一的功能：数据加解密、签名和验签、证书下载。第二方面，本公开实施例提供一种证书获取方法，包括：

利用用户识别模块内第一类应用程序与认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息；

发送加密后的所述证书请求消息；

接收基于所述证书请求消息返回的所述第二类应用程序的证书；

将所述证书存储到所述用户识别模块内。

在一个实施例中，所述第一类应用程序和所述第二类应用程序存储在所述用户识别模块的第一域内；

所述将所述证书存储到所述用户识别模块内，包括：

将所述证书存储到所述用户识别模块的第二域内，其中，所述第二域具有比所述第一域高的安全等级。

在一个实施例中，所述方法还包括：

所述用户识别模块接收终端中应用处理器发送的所述终端内第三类应用程序发送的证书访问请求消息；

所述利用用户识别模块内第一类应用程序与认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息，包括：

基于所述证书访问请求消息，利用所述用户识别模块内所述第一类应用程序与所述认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息。

在一个实施例中，所述基于所述证书访问请求消息，利用所述用户识别模块内所述第一类应用程序与所述认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息，包括：

当在所述用户识别模块中没有查询到所述证书访问请求消息中指示的第二类应用程序的证书时，利用所述用户识别模块内所述第一类应用程序与所述认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息。

在一个实施例中，在所述利用所述用户识别模块内所述第一类应用程序与所述认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息之前，还包括：

查询可信应用列表；其中，所述可信应用列表包含至少一个预先设置的所述终端内第三类应用程序的身份标识；

所述利用用户识别模块内第一类应用程序与认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息，包括：

当发送所述证书访问请求消息的所述第三类应用程序的身份标识包含在所述可信应用列表中时，利用所述用户识别模块内所述第一类应用程序与所述认证实体之间通信的共享密钥加密所述第二类应用程序的证书请求消息。

在一个实施例中，所述接收基于所述证书请求消息返回的第二类应用程序的证书，包括：

接收基于所述证书请求消息返回且使用所述共享密钥加密的所述第二类应用程序的证书；

所述方法还包括：

使用所述共享密钥对加密后的所述证书进行认证，获得认证结果；

所述将所述证书存储到所述用户识别模块内，包括：

当所述认证结果为通过认证时，将所述证书存储到所述用户识别模块内。

第三方面，本公开实施例提供一种证书获取方法，应用于终端，包括：

接收所述用户识别模块使用共享密钥加密的证书请求消息；其中，所述共享密钥为所述用户识别模块内第一类应用程序与认证实体之间通信的共享密钥；

将所述证书请求消息发送给认证实体；

接收所述认证实体基于所述证书请求消息返回的所述证书；

将所述证书发送给所述用户识别模块。

在一个实施例中，在接收所述用户识别模块使用共享密钥加密的证书请求消息之前，还包括：

所述终端内的第三类应用程序通过终端中应用处理器向用户识别模块发送证书访问请求消息；其中，所述证书访问请求消息用于触发所述用户识别模块使用所述共享密钥加密所述证书请求消息并发送加密后的所述证书请求消息。

第四方面，本公开实施例提供一种证书获取方法，应用于认证实体，包括：

接收使用共享密钥加密且用于请求第二类应用程序证书的证书请求消息；其中，所述共享密钥为所述用户识别模块内第一类应用程序与认证实体之间通信的共享密钥；

基于所述共享密钥对所述证书请求消息进行认证，获得认证结果；

当所述认证结果为通过认证时，向所述终端发送所述第二类应用程序的证书。

在一个实施例中，所述向所述终端发送所述第二类应用程序的证书，包括：当所述认证结果为通过认证时，向所述终端发送使用所述共享密钥加密后的所述第二类应用程序的证书。

第五方面，本公开实施例提供一种证书获取装置，所述装置包括第一加密模块、第一发送模块、第一接收模块和存储模块；其中，

所述第一加密模块，用于利用用户识别模块内第一类应用程序与认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息；

所述第一发送模块，用于发送加密后的所述证书请求消息；

所述第一接收模块，用于接收基于所述证书请求消息返回的所述第二类应用程序的证书；

存储模块，用于将所述证书存储到所述用户识别模块内。

在一个实施例中，所述第一类应用程序和所述第二类应用程序存储在所述用户识别模块的第一域内；所述存储模块还用于将所述证书存储到所述用户识别模块的第二域内，其中，所述第二域具有比所述第一域高的安全等级。

在一个实施例中，所述第一接收模块，还用于所述用户识别模块接收终端中应用处理器发送的所述终端内第三类应用程序发送的证书访问请求消息；所述第一加密模块还用于基于所述证书访问请求消息，利用所述用户识别模块内所述第一类应用程序与所述认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息。

在一个实施例中，所述第一加密模块，还用于当在所述用户识别模块中没有查询到所述证书访问请求消息中指示的第二类应用程序的证书时，利用所述用户识别模块内所述第一类应用程序与所述认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息。

在一个实施例中，所述装置还包括查询模块，所述查询模块用于查询可信应用列表；其中，所述可信应用列表包含至少一个预先设置的所述终端内第三类应用程序的身份标识；所述第一加密模块，用于当发送所述证书访问请求消息的所述第三类应用程序的身份标识包含在所述可信应用列表中时，利用所述用户识别模块内所述第一类应用程序与所述认证实体之间通信的共享密钥加密所述第二类应用程序的证书请求消息。

在一个实施例中，所述装置还包括第一认证模块；所述第一接收模块还用于接收基于所述证书请求消息返回且使用所述共享密钥加密的所述第二类应用程序的证书；所述第一认证模块用于使用所述共享密钥对加密后的所述证书进行认证，获得认证结果；所述存储模块还用于当所述认证结果为通过认证时，将所述证书存储到所述用户识别模块内。

第六方面，本公开实施例提供一种证书获取装置，应用于终端，所述装置包括第二接收模块和第二发送模块；其中，

所述第二接收模块，用于接收所述用户识别模块使用共享密钥加密的证书请求消息；其中，所述共享密钥为所述用户识别模块内第一类应用程序与认证实体之间通信的共享密钥；还用于接收所述认证实体基于所述证书请求消息返回的所述证书；

所述第二发送模块，用于将所述证书请求消息发送给认证实体；还用于将所述证书发送给所述用户识别模块。

在一个实施例中，所述第二发送模块，还用于所述终端内的第三类应用程序通过终端中应用处理器向用户识别模块发送证书访问请求消息；其中，所述证书访问请求消息用于触发所述用户识别模块使用所述共享密钥加密所述证书请求消息并发送加密后的所述证书请求消息。

第七方面，本公开实施例提供一种证书获取装置，应用于认证实体，所述装置包括第三接收模块、第二认证模块和第三发送模块；其中，

所述第三接收模块，用于接收使用共享密钥加密且用于请求第二类应用程序证书的证书请求消息；其中，所述共享密钥为所述用户识别模块内第一类应用程序与认证实体之间通信的共享密钥；

所述第二认证模块，用于基于所述共享密钥对所述证书请求消息进行认证，获得认证结果；

所述第三发送模块，用于当所述认证结果为通过认证时，向所述终端发送所述第二类应用程序的证书。

在一个实施例中，所述第三发送模块还包括当所述认证结果为通过认证时，向所述终端发送使用所述共享密钥加密后的所述第二类应用程序的证书。

第八方面，本公开实施例还提供一种证书获取装置，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器；其中，所述处理器用于运行所述计算机程序时，实现如本公开实施例中任一所述的方法。

第九方面，本公开实施例还提供一种存储介质，所述存储介质中存储有计算机程序，所述计算机程序被处理器执行时实现如本公开实施例中任一所述的方法。

在本公开实施例中，所述用户识别模块包括：第一域，用于存储第一类应用程序和第二类应用程序，所述第一类应用程序包括所述用户识别模块sim应用程序；所述第二类应用程序不同于所述第一类应用程序；第二域，具有比所述第一域高的安全等级，至少用于存储所述第二类应用程序的证书。这里，所述用户识别模块区分所述第一域和安全等级比所述第一域高的所述第二域，在所述第一域中存储包括用户识别模块应用程序的所述第一类应用程序和不同于所述第一类应用程序的第二类应用程序，可以通过所述第一类应用程序和第二类应用程序实现不同的应用功能；在第二域中存储所述第二类应用程序的证书，可以用于终端中应用程序在数据交互时的认证。且所述用户识别模块将安全级别较低的应用程序存储在安全等级较低的区域，而将安全级别较高的证书数据存储在安全等级较高的区域。这里，根据数据的安全等级有针对性地对存储的数据进行了保护，降低了高安全等级的数据的泄漏风险。

在本公开实施例提供的一种证书获取方法中，通过利用用户识别模块内第一类应用程序与认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息；发送加密后的所述证书请求消息。这里，通过所述共享密钥对所述证书请求消息进行加密可以防止所述证书请求消息中的信息在传输过程中被窃取，保障所述证书请求消息中的信息的传输安全。接收基于所述证书请求消息返回的所述第二类应用程序的证书；将所述证书存储到所述用户识别模块内。这里，由于所述第二类应用程序的证书存储在所述用户识别模块内，当应用程序在需要所述第二类应用程序的证书时就可以从所述用户识别模块中获取。同时，由于所述证书是基于所述证书请求消息获得的，无需在终端中专门预置包含存储有证书的安全模块，且所述证书可以基于所述证书请求消息灵活获取。因此，本实施例基于通过共享密钥加密过的所述证书请求消息获取所述证书并将所述证书存储在所述用户识别模块中的方式更加安全和灵活。

附图说明

图1为本公开一个实施例提供的一种集成了用户识别模块的车载终端或路侧单元的总体架构示意图。

图2a为本公开一个实施例提供的一种用户识别模块的结构示意图。

图2b为本公开一个实施例提供的第二类应用程序的下载示意图。

图3本公开一个实施例提供的一种证书获取方法的流程示意图。

图4本公开另一个实施例提供的一种集成了用户识别模块sim的车载终端或路侧单元的总体架构示意图。

图5为本公开一个实施例提供的一种通用引导架构接口触发通用引导架构流程的流程示意图。

图6本公开另一个实施例提供的一种证书获取方法的流程示意图。

图7本公开另一个实施例提供的一种证书获取方法的流程示意图。

图8本公开另一个实施例提供的一种证书获取方法的流程示意图。

图9本公开另一个实施例提供的一种证书获取方法的流程示意图。

图10本公开另一个实施例提供的一种证书获取方法的流程示意图。

图11本公开另一个实施例提供的一种证书获取方法的流程示意图。

图12本公开另一个实施例提供的一种证书获取方法的流程示意图。

图13本公开另一个实施例提供的一种证书获取方法的流程示意图。

图14本公开另一个实施例提供的一种证书获取方法的流程示意图。

图15本公开另一个实施例提供的一种证书获取装置的结构示意图。

图16本公开另一个实施例提供的一种证书获取装置的结构示意图。

图17本公开另一个实施例提供的一种证书获取装置的结构示意图。

图18本公开另一个实施例提供的一种证书获取装置的结构示意图。

图19为本公开另一实施例提供的一种证书获取方法的流程示意图。

具体实施方式

为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

为了更好地理解本公开实施例的技术方案，请参见图1，本公开一个实施例提供了一种集成了用户识别模块的车载终端或路侧单元的总体架构示意图。

在所述车载终端或路侧单元的总体架构中，设置有应用处理器11、通信模块12、第一车载应用程序13、业务平台14、用户识别卡接口15、用户识别模块16、安全模块17、第二车载应用程序18。这里，所述第二车载应用程序18可以用于从所述安全模块17的存储区域获取所述第一车载应用程序13的密钥信息。

这里，所述第一车载应用程序13可以是安装在所述车载终端或路侧单元中的上层应用程序。所述第一车载应用程序13能够提供各种服务。例如，导航服务、天气预报服务等。这里，所述第一车载应用程序13对应的所述业务平台14通常由所述第一车载应用程序13的服务提供商搭建。所述业务平台14也可由车企搭建运营。这里，所述用户识别卡接口15可以为所述第一车载应用程序13访问所述用户识别模块16的访问接口。这里，所述用户识别模块16可以是java卡，所述用户识别模块16可以由运营商提供。所述用户识别模块16可以集成在所述车载终端或路侧单元中，为所述车载终端或所述路侧单元提供网络连接服务。这里，所述安全模块17，可以用于存储所述第一车载应用程序13的密钥(例如，应用证书)。所述密钥可以用于所述第一车载应用程序13与其他实体的交互时的数据加解密，以确保车辆的安全通信。这里，为了保障数据在汽车与汽车、汽车和道路、汽车和业务平台14之间传输的安全性，车辆在出厂前需要在所述安全模块17中预置相关的密钥信息(例如，证书信息)，以实现双方的身份认证。

在上述实施例中，因为目前车载应用较少，一般车企在车辆出厂前会在所述安全模块17中预置所述第二车载应用程序18和相应的应用密钥(例如，应用证书)。但是，伴随着车联网的快速发展，车载终端将会连接越来越多机构、企业的业务平台。如车管所、公安系统等(统称为业务提供商)。为实现车载终端和这些机构、企业的业务数据的安全交互，这种方式中，业务提供商需委托车企在车辆出厂前在所述安全模块17中预置相应的所述第二车载应用程序18和相应的应用密钥。首先，将所述安全模块17交付给车企存在密钥被窃取的安全风险。其次，当业务服务提供商数目较多时，预置所述安全模块将给车企带来很大的维护开销。且车企在所述安全模块17中预置密钥需要修改原有的产线，增加个人化产线以实现密钥的安全预置，将给车企带来更多的成本开销。最后，所述安全模块17中的预置的证书一般都比较单一，只能针对特定的应用进行预置，灵活性差。

请参见图2a，本公开一个实施例提供了一种用户识别模块。所述用于识别模块包括：

第一域21，用于存储第一类应用程序23和第二类应用程序24，所述第一类应用程序23包括所述用户识别模块sim应用程序；所述第二类应用程序24不同于所述第一类应用程序23；

第二域22，具有比所述第一域21高的安全等级，至少用于存储所述第二类应用程序24的证书25。

这里，所述用户识别模块可以是以单独个体形式存在的用户识别模块卡或以集成形式存在于终端内部的集成用户识别模块(e-sim，embeddedsubscriberidentificationmodule)等。在一个实施例中，所述终端为车载终端或路侧单元，所述用户识别模块可以为所述车载终端或所述路侧单元提供网络连接服务。

在一个实施例中，所述第一域和所述第二域都分别连接有各自的处理器。在另一个实施例中，所述第一域和所述第二域连接同一个处理器。这里，所述处理器可以用于运行所述第一域中的所述第一类应用程序和所述第二类应用程序。这里，所述处理器可以通过运行所述第二类应用程序读和/或写所述第二域中存储的所述证书的数据。

在一个实施例中，所述第一域从属于第一存储器，所述第二域从属于第二存储器。这里，可以是设置所述第二存储器的安全等级大于所述第一存储器的安全等级。

在一个实施例中，所述第一域和所述第二域分别从属于同一个存储器中的不同存储区域，所述第一域和所述第二域单独设置。例如，所述第一域从属于第三存储器的第一存储区域，所述第二域从属于所述第三存储器的第二存储区域。这里，可以是设置所述第二存储区域的安全等级大于所述第一存储区域的安全等级。

在一个实施例中，所述安全等级的设置可以是对用户或应用访问所述存储器或存储区域的主体、数据的类型、数据的时间、地址等的权限进行的设置。在一个实施例中，用户具有第一安全等级权限可以是用户有权限在各个时间段访问所述存储器或存储区域中各种类型的数据对应的等级；用户具有第二安全等级权限可以是用户只能在第一时间段有权限访问所述存储器或存储区域中各种类型数据对应的等级。这里，第二安全等级高于所述第一安全等级。

这里，所述第一类应用程序既可以是在生产所述用户识别卡时厂家植入的应用程序，也可以是通过终端从应用平台处在线下载的应用程序。所述第一类应用程序可以是用于实现数据的访问、数据的加解密、认证、联网等功能的应用程序。在一个实施例中，所述第一类应用程序包括的所述用户识别模块应用程序可以实现接收/发送证书、对申请证书的数据进行加密、对接收到的证书进行认证等功能。

在一个实施例中，所述第二类应用程序可以是与终端中的应用程序对应配置的应用程序。所述第二类应用程序可以访问存储在所述第二域中的所述终端中的应用程序的证书。这里，所述证书可以包括私钥公钥对、数字证书等。

在一个实施例中，请再次参见图2a，所述用户识别模块还包括分别与所述第一域21和所述第二域22连接的接口单元26；所述接口单元26，用于向认证实体发送利用所述第一类应用程序23与所述认证实体之间通信的共享密钥加密的证书请求消息；接收基于所述证书请求消息返回的所述第二类应用程序24的证书。

在一个实施例中，所述接口单元26可以包括控制器，所述控制器可以用于控制所述接口单元26发送和/或接收各种类型的数据。

在一个实施例中，所述接口单元26可以与认证实体建立通信连接，所述用户识别模块可以从所述认证实体获得所述证书25或共享密钥后通过所述接口单元26存储至所述第二域22。

所述接口单元26还用于：

下载所述第一类应用程序23；

和/或，下载所述第二类应用程序24；

和/或，更新所述第一类应用程序的数据23；

和/或，更新所述第二类应用程序的数据24。

在一个实施例中，所述接口单元26可以与终端中的应用程序下载平台客户端建立通信连接。所述应用程序下载平台客户端可以从应用程序下载平台下载所述第一类应用程序23和/或所述第二类应用程序24后通过所述接口单元存储至所述第一域21。所述应用程序下载平台客户端还可以是从所述应用下载平台下载所述第一类应用程序23和/或所述第二类应用程序24的更新数据后通过所述接口单元26存储至所述第一域21。

在一个实施例中，请参见图2b，当终端中应用程序(例如车载终端中的车载应用程序)尝试访问所述用户识别模块中的第二类应用程序时，如果所述用户识别模块中的所述第二类应用程序不存在，或者当业务后台提示所述用户识别模块中的所述第二类应用程序版本过期时，可以触发所述第二类应用程序下载/更新流程。在一个实施例中，所述车载应用程序客户端访问所述车载应用程序下载平台，所述车载应用程序下载平台将所述第二类应用程序经过用户识别模块接口下载/更新到用户识别模块的安全存储区域进行存储。

在一个实施例中，所述接口单元，还用于通过所述用户识别模块sim应用程序中建立的可信应用列表对所述第二类应用程序进行身份认证；其中，所述可信应用列表包含至少一个预先设置的所述第二类应用程序的身份标识。

在一个实施例中，所述可信应用列表可以事先存储在所述用户识别模块的存储区域中。这里，每个所述第二类应用程序都可以对应一个身份标识。例如，用于导航的第二类应用程序的身份标识为“001”；用于天气预报的第二类应用程序的身份标识为“010”。

在一个实施例中，对所述第二类应用程序进行身份认证可以是确认所述第二类应用程序的身份标识是否在所述可信应用列表中。当所述第二类应用程序的身份标识在所述可信应用列表中，所述第二类应用程序通过身份认证；当所述第二类应用程序的身份标识不在所述可信应用列表中，所述第二类应用程序不通过身份认证。

在一个实施例中，所述用户识别模块sim应用程序用于在所述第二类应用程序通过身份认证时，实现如下至少之一的功能：数据加解密、签名和验签、证书下载。

在一个实施例中，所述用户识别模块sim应用程序通过所述接口单元接收所述第二类应用程序发送的待加密数据，在对所述待加密数据进行加密后再通过所述接口单元发送给所述第二类应用程序。

在一个实施例中，所述用户识别模块sim应用程序通过所述接口单元接收所述第二类应用程序发送的待解密数据，在对所述待解密数据进行解密后再通过所述接口单元发送给所述第二类应用程序。

在一个实施例中，所述用户识别模块sim应用程序通过所述接口单元接收所述第二类应用程序发送的待签名数据，在对所述待签名数据进行签名后再将签名结果通过所述接口单元发送给所述第二类应用程序。

在一个实施例中，所述用户识别模块sim应用程序通过所述接口单元接收所述第二类应用程序发送的待验签数据，在对所述待验签数据进行验签后再将验签结果通过所述接口单元发送给所述第二类应用程序。本公开实施例中，所述用户识别模块区分所述第一域和安全等级比所述第一域高的所述第二域，在所述第一域中存储包括用户识别模块应用程序的所述第一类应用程序和不同于所述第一类应用程序的第二类应用程序，可以通过所述第一类应用程序和第二类应用程序实现不同的应用功能；在第二域中存储所述第二类应用程序的证书，可以用于终端中应用在数据交互时的认证。且所述用户识别模块将安全级别较低的应用程序存储在安全等级较低的区域，而将安全级别较高的证书数据存储在安全等级较高的区域。这里，根据数据的安全等级有针对性地对存储的数据进行了保护，降低了高安全等级的数据的泄漏风险。需要说明的是，在车载终端或路测单元中，由于所述用户识别卡是车企厂家为了实现终端联网需要设置的功能模块，并不需要车企厂家改变原有生产线和预置用户识别卡时的额外人工投入。

请参见图3，本公开一个实施例提供了一种证书获取方法。应用于用户识别模块，所述方法包括如下步骤：

步骤31，利用用户识别模块内第一类应用程序与认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息。

这里，所述用户识别模块可以是以单独个体形式存在的用户识别模块卡或以集成形式存在于终端内部的集成用户识别模块(e-sim，embeddedsubscriberidentificationmodule)等。在一个实施例中，所述终端为车载终端或路侧单元，所述用户识别模块可以为所述车载终端或所述路侧单元提供网络连接服务。

在一个实施例中，请参见图4，所述用户识别模块可以是设置在车载终端或路侧单元中。所述车载终端或路侧单元包括通用引导架构接口41。所述用户识别模块可以通过所述通用引导架构接口41与认证实体(包括引导服务功能模块42、证书管理机构43)进行通信。所述车载终端或路侧单元包括车载应用程序a-1。所述用户识别模块包括车载应用程序a-2和用户识别模块应用程序，其中，所述车载应用程序a-2为第二类应用程序，所述用户识别模块应用程序为第一类应用程序。所述车载终端中的所述车载应用程序a-1和所述车载应用程序a-2的数据可以对应实现同步更新，所述车载应用程序a-2可以在所述用户识别模块中访问所述车载应用程序a-1的数据。例如，所述车载应用程序a-2可以在所述用户识别模块中访问所述车载应用程序a-1的证书数据。所述车载应用程序a-1可以通过用户识别模块的接口单元与所述车载应用程序a-2及所述用户识别模块应用程序进行数据交互。所述车载终端或路侧单元包括车载应用程序客户端44，所述车载应用程序客户端44可以从所述车载应用程序下载平台45下载所述车载应用程序a-1、所述车载应用程序a-2、用户识别模块应用程序及应用程序的更新数据等。所述车载应用程序a-2、所述用户识别模块应用程序、所述应用程序的更新数据可以通过用户识别模块接口下载到所述用户识别模块中。所述用户识别模块还可以通过用户识别模块接口从所述证书管理机构获取所述证书和共享密钥，并将所述证书和共享密钥存储在所述安全存储区域46。

在一个实施例中，请参见图5，可以是车载应用程序a-1通过通用引导架构接口41触发通用引导架构流程。这里，用户识别模块应用可以通过通信模块与引导服务功能模块42进行通信完成通用引导架构流程。这里，在通用引导架构流程后，引导服务功能模块42和用户识别模块应用之间将协商产生共享密钥ks和衍生密钥ks_naf。这里，所述衍生密钥可以是由共享密钥ks分散得出。这里，利用所述共享密钥可以在知晓该密钥的两个实体间建立安全通道保证数据交互的安全。所述共享密钥可以是事先存储在所述用户识别模块中。

在一个实施例中，可以是在所述终端中的应用程序需要与其他的应用程序进行数据交互时，向所述用户识别模块发送所述证书访问请求消息。所述用户识别模块在接收到所述证书访问请求消息后，利用用户识别模块内第一类应用程序与认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息。

步骤32，发送加密后的所述证书请求消息。

在一个实施例中，所述证书请求消息可以包括所述证书的申请数据。所述证书的申请数据可以包含公钥、私钥和p10数据。这里，所述p10数据可以是向认证实体(例如，证书管理机构43)申请所述证书的请求数据。这里，所述p10数据可以不包含私钥(私钥被单独存储)，但包含公钥。

步骤33，接收基于所述证书请求消息返回的所述第二类应用程序的证书；

所述认证实体收到证书请求消息后，获得所述p10数据，可以根据所述p10数据中的信息制作一张不包含私钥的公钥证书。

步骤34，将所述证书存储到所述用户识别模块内。

在一个实施例中，将所述证书存储至安全等级高于设置阈值的安全存储区域。

在本公开实施例中，通过所述共享密钥对所述证书请求消息进行加密可以防止所述证书请求消息中的信息在传输过程中被窃取，保障所述证书请求消息中的信息的传输安全。接收基于所述证书请求消息返回的所述第二类应用程序的证书；将所述证书存储到所述用户识别模块内。这里，由于所述第二类应用程序的证书存储在所述用户识别模块内，当应用程序在需要所述第二类应用程序的证书时就可以从所述用户识别模块中获取。同时，由于所述证书是基于所述证书请求消息获得的，无需在终端中专门预置包含存储有证书的安全模块，且所述证书可以基于所述证书请求消息灵活获取。因此，本实施例基于通过共享密钥加密过的所述证书请求消息获取所述证书并将所述证书存储在所述用户识别模块中的方式更加安全和灵活。

请参见图6，本公开另一个实施例提供了一种证书获取方法，所述第一类应用程序和所述第二类应用程序存储在所述用户识别模块的第一域内；

所述步骤34中，所述将所述证书存储到所述用户识别模块内，包括：

步骤61，将所述证书存储到所述用户识别模块的第二域内，其中，所述第二域具有比所述第一域高的安全等级。

在一个实施例中，所述第一域从属于第一存储器，所述第二域从属于第二存储器。这里，可以是设置所述第二存储器的安全等级大于所述第一存储器的安全等级。

在一个实施例中，所述第一域和所述第二域分别从属于同一个存储器中的不同存储区域，所述第一域和所述第二域单独设置。例如，所述第一域从属于第三存储器的第一存储区域，所述第二域从属于所述第三存储器的第二存储区域。这里，可以是设置所述第二存储区域的安全等级大于所述第一存储区域的安全等级。

在一个实施例中，所述安全等级的设置可以是对用户或应用访问所述存储器或存储区域的主体、数据的类型、数据的时间、地址等的权限进行的设置。在一个实施例中，用户具有第一安全等级权限可以是用户有权限在各个时间段访问所述存储器或存储区域中各种类型的数据对应的等级；用户具有第二安全等级权限可以是用户只能在第一时间段有权限访问所述存储器或存储区域中各种类型数据对应的等级。这里，所述第二安全等级高于所述第一安全等级。

这里，将所述证书存储至安全等级高于设置阈值的安全存储区域。一方面，能够保障存储的所述证书的安全，保障所述证书不被窃取，确保了所述证书的存储安全；另一方面，终端中的应用可以直接在所述存储区域访问所述证书，而不需要通过里所述用户识别模块重复请求所述证书。

请参见图7，本公开另一个实施例提供了一种证书获取方法，所述方法还包括：

步骤71，所述用户识别模块接收终端中应用处理器发送的所述终端内第三类应用程序发送的证书访问请求消息。

在一个实施例中，可以是在所述终端内第三类应用程序需要与其他的应用程序进行数据交互时，向所述用户识别模块发送所述证书访问请求消息。例如，可以是a终端内的导航应用程序需要与b终端内的导航应用程序进行数据交互时，a终端内的导航应用程序向所述用户识别模块发送所述证书访问请求消息。

步骤31中，所述利用用户识别模块内第一类应用程序与认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息，包括：

步骤72，基于所述证书访问请求消息，利用所述用户识别模块内所述第一类应用程序与所述认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息。

在一个实施例中，请再次参见图5，用户识别模块可以是在利用所述用户识别模块内所述第一类应用程序与所述认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息之前通过通信模块与引导服务功能模块42进行通信完成通用引导架构流程，获得所述共享密钥。

请参见图8，本公开另一个实施例提供了一种证书获取方法，步骤72中，所述基于所述证书访问请求消息，利用所述用户识别模块内所述第一类应用程序与所述认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息，包括：

步骤81，当在所述用户识别模块中没有查询到所述证书访问请求消息中指示的第二类应用程序的证书时，利用所述用户识别模块内所述第一类应用程序与所述认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息。

在一个实施例中，每个终端内的第三类应用程序都可以对应一个所述证书。例如，车载终端中用于导航业务的车载应用对应第一证书；车载终端中用于天气预报业务的车载应用对应第二证书。所述证书用于终端中应用程序进行业务数据交互时的身份认证，能够确保数据交互安全。在一个实施例中，每个应用程序在获得所述证书后都可以存储在所述用户识别模块的安全存储区域中，以防止证书泄露。并在需要所述证书时，从所述安全存储区域中获取所述证书。这里，所述安全存储区域可以是所述用户识别模块的第二域。

在一个实施例中，所述证书可以是按照获取的顺序连续存储在所述安全存储区域中。这里，可以是按照存储顺序逐个确认所述证书的方式查询所述安全存储区域中存储的证书，确认是否存储有所述访问请求消息请求中指示的所述证书。

在一个实施例中，可以是基于接收到的终端中第三类应用程序发送的证书访问请求消息向认证实体直接发送申请所述证书的请求消息。也可以是基于接收到的终端中第三类应用程序发送的证书访问请求消息向终端中第三类应用程序发送申请所述证书的请求消息，并经终端中的第三类应用程序向所述认证实体转发所述证书的请求消息。

请参见图9，本公开另一个实施例提供了一种证书获取方法。在所述利用所述用户识别模块内所述第一类应用程序与所述认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息之前，还包括：

步骤91，查询可信应用列表；其中，所述可信应用列表包含至少一个预先设置的所述终端内第三类应用程序的身份标识；

这里，所述可信应用列表可以事先存储在所述用户识别模块的存储区域中。这里，终端中的每个第三类应用程序都可以对应一个身份标识。例如，终端中用于导航的应用程序的身份标识为“001”；终端中用于天气预报的应用程序的身份标识为“010”。这里，可以是按照所述身份标识的存储顺序逐个查询所述可信应用列表中的身份标识。

在一个实施例中，可以是由预置的所述用户识别模块应用程序维护所述可信应用列表。

步骤31中，所述利用用户识别模块内第一类应用程序与认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息，包括：

步骤92，当发送所述证书访问请求消息的所述第三类应用程序的身份标识包含在所述可信应用列表中时，利用所述用户识别模块内所述第一类应用程序与所述认证实体之间通信的共享密钥加密所述第二类应用程序的证书请求消息。

在一个实施例中，可以将通过通用引导架构流程后与认证实体之间协商的共享密钥共享给可信应用列表中的终端内各种第三类应用程序，对可信应用列表中的所述第三类应用程序通过所述第二类应用程序申请所述证书的所述第二类应用程序的证书请求消息进行加密。

请参见图10，本公开另一个实施例提供了一种证书获取方法。

所述步骤33中，所述接收基于所述证书请求消息返回的第二类应用程序的证书，包括：

步骤101，接收基于所述证书请求消息返回且使用所述共享密钥加密的所述第二类应用程序的证书；

所述方法还包括：

步骤102，使用所述共享密钥对加密后的所述证书进行认证，获得认证结果；

这里，对所述证书进行认证，可以是通过所述共享密钥对所述证书进行解密，确认是否能够进行解密，如果能够解密所述证书，则认证结果为通过认证。

所述步骤34中，所述将所述证书存储到所述用户识别模块内，包括：

步骤103，当所述认证结果为通过认证时，将所述证书存储到所述用户识别模块内。

这里，对所述证书进行认证，只有通过认证时，才会将所述证书存储至所述用户识别模块内。这样，能够防止所述证书在传输过程中被篡改，导致存储在所述用户识别模块内的证书为伪证书，确保终端中应用在使用所述证书进行数据交互时没有安全隐患。

请参见图11，本公开另一个实施例提供了一种证书获取方法。应用于终端，所述方法包括：

步骤111，接收所述用户识别模块使用共享密钥加密的证书请求消息；其中，所述共享密钥为所述用户识别模块内第一类应用程序与认证实体之间通信的共享密钥。

在一个实施例中，请再次参见图4，所述用户识别模块可以是设置在车载终端或路侧单元中。所述车载终端或路侧单元包括通用引导架构接口41。所述用户识别模块可以通过所述通用引导架构接口41与认证实体(包括引导服务功能模块42、证书管理机构43)进行通信。所述车载终端或路侧单元包括车载应用程序a-1。所述用户识别模块包括车载应用程序a-2和用户识别模块应用程序，其中，所述车载应用程序a-2为第二类应用程序，所述用户识别模块应用程序为第一类应用程序。所述车载终端中的所述车载应用程序a-1和所述车载应用程序a-2的数据可以对应实现同步更新，所述车载应用程序a-2可以在所述用户识别模块中访问所述车载应用程序a-1的数据。例如，所述车载应用程序a-2可以在所述用户识别模块中访问所述车载应用程序a-1的证书数据。所述车载应用程序a-1可以通过用户识别模块的接口单元与所述车载应用程序a-2及所述用户识别模块应用程序进行数据交互。所述车载终端或路侧单元包括车载应用程序客户端44，所述车载应用程序客户端44可以从所述车载应用程序下载平台45下载所述车载应用程序a-1、所述车载应用程序a-2、用户识别模块应用程序及应用程序的更新数据等。所述车载应用程序a-2、所述用户识别模块应用程序、所述应用程序的更新数据可以通过用户识别模块接口下载到所述用户识别模块中。所述用户识别模块还可以通过用户识别模块接口从所述证书管理机构获取所述证书和共享密钥，并将所述证书和共享密钥存储在所述安全存储区域46。

在一个实施例中，请参见图5，可以是车载应用程序a-1通过通用引导架构接口41触发通用引导架构流程。这里，用户识别模块应用可以通过通信模块与引导服务功能模块42进行通信完成通用引导架构流程。这里，在通用引导架构流程后，引导服务功能模块42和用户识别模块应用之间将协商产生共享密钥ks和衍生密钥ks_naf。这里，所述衍生密钥可以是由共享密钥ks分散得出。这里，利用所述共享密钥可以在知晓该密钥的两个实体间建立安全通道保证数据交互的安全。所述共享密钥可以是事先存储在所述用户识别模块中。

在一个实施例中，可以是在所述终端中的应用程序需要与其他的应用程序进行数据交互时，向所述用户识别模块发送所述证书访问请求消息。所述用户识别模块在接收到所述证书访问请求消息后，利用用户识别模块内第一类应用程序与认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息。

步骤112，将所述证书请求消息发送给认证实体。

在一个实施例中，所述证书请求消息包括所述证书的申请数据。所述证书的申请数据可以包含公钥、私钥和p10数据。这里，所述p10数据可以是向认证实体(例如，证书管理机构43)申请所述证书的请求数据。这里，所述请求数据不包含私钥(私钥被单独存放)，但包含公钥。

步骤113，接收所述认证实体基于所述证书请求消息返回的所述证书。

所述认证实体收到证书请求消息后，获得所述p10数据，可以根据所述p10数据中的信息制作一张不包含私钥的公钥证书。

步骤114，将所述证书发送给所述用户识别模块。

请参见图12，本公开另一实施例提供了一种证书获取方法。步骤111中，在接收所述用户识别模块使用共享密钥加密的证书请求消息之前，还包括：

步骤121，所述终端内的第三类应用程序通过终端中应用处理器向用户识别模块发送证书访问请求消息；其中，所述证书访问请求消息用于触发所述用户识别模块使用所述共享密钥加密所述证书请求消息并发送加密后的所述证书请求消息。

在一个实施例中，可以是在所述终端内第三类应用程序需要与其他的应用程序进行数据交互时，向所述用户识别模块发送所述证书访问请求消息。

请参见图13，本公开另一个实施例提供了一种证书获取方法，应用于认证实体，包括：

步骤131，接收使用共享密钥加密且用于请求第二类应用程序证书的证书请求消息；其中，所述共享密钥为所述用户识别模块内第一类应用程序与认证实体之间通信的共享密钥。

在一个实施例中，所述证书请求消息包括所述证书的申请数据。所述证书的申请数据可以包含公钥、私钥和p10数据。这里，所述p10数据可以是向认证实体(例如，证书管理机构43)申请所述证书的请求数据。这里，所述请求数据不包含私钥(私钥被单独存放)，但包含公钥。

步骤132，基于所述共享密钥对所述证书请求消息进行认证，获得认证结果。

这里，对所述证书请求消息进行认证，可以是通过所述共享密钥对所述请求消息进行解密，确认是否能够进行解密，如果能够解密所述请求消息，则认证结果为通过认证。

步骤133，当所述认证结果为通过认证时，向所述终端发送所述第二类应用程序的证书。

所述认证实体收到证书请求消息后，获得所述p10数据，可以根据所述p10数据中的信息制作一张不包含私钥的公钥证书。

请参见图14，本公开另一实施例提供了一种证书获取方法，所述当所述认证结果为通过认证时，向所述终端发送所述第二类应用程序的证书，包括：

步骤141，当所述认证结果为通过认证时，向所述终端发送使用所述共享密钥加密后的所述第二类应用程序的证书。

这里，所述第二类应用程序的证书通过所述共享密钥进行了加密，能够有效防止证书在传输过程中被篡改。

请参见图15，本公开一个实施例提供了一种证书获取装置，所述装置包括第一加密模块151、第一发送模块152、第一接收模块153和存储模块154；其中，

所述第一加密模块151，用于利用用户识别模块内第一类应用程序与认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息；

所述第一发送模块152，用于发送加密后的所述证书请求消息；

所述第一接收模块153，用于接收基于所述证书请求消息返回的所述第二类应用程序的证书；

存储模块154，用于将所述证书存储到所述用户识别模块内。

在一个实施例中，所述第一类应用程序和所述第二类应用程序存储在所述用户识别模块的第一域内；所述存储模块154还用于将所述证书存储到所述用户识别模块的第二域内，其中，所述第二域具有比所述第一域高的安全等级。

在一个实施例中，所述第一接收模块153，还用于所述用户识别模块接收终端中应用处理器发送的所述终端内第三类应用程序发送的证书访问请求消息；所述第一加密模块151还用于基于所述证书访问请求消息，利用所述用户识别模块内所述第一类应用程序与所述认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息。

在一个实施例中，所述第一加密模块151，还用于当在所述用户识别模块中没有查询到所述证书访问请求消息中指示的第二类应用程序的证书时，利用所述用户识别模块内所述第一类应用程序与所述认证实体之间通信的共享密钥加密所述用户识别模块内第二类应用程序的证书请求消息。

在一个实施例中，所述装置还包括查询模块155，所述查询模块155用于查询可信应用列表；其中，所述可信应用列表包含至少一个预先设置的所述终端内第三类应用程序的身份标识；所述第一加密模块151，用于当发送所述证书访问请求消息的所述第三类应用程序的身份标识包含在所述可信应用列表中时，利用所述用户识别模块内所述第一类应用程序与所述认证实体之间通信的共享密钥加密所述第二类应用程序的证书请求消息。

在一个实施例中，所述装置还包括第一认证模块156；所述第一接收模块153还用于接收基于所述证书请求消息返回且使用所述共享密钥加密的所述第二类应用程序的证书；所述第一认证模块156用于使用所述共享密钥对加密后的所述证书进行认证，获得认证结果；所述存储模块154还用于当所述认证结果为通过认证时，将所述证书存储到所述用户识别模块内。

请参见图16，本公开一个实施例提供一种证书获取装置，应用于终端，所述装置包括第二接收模块161和第二发送模块162；其中，

所述第二接收模块161，用于接收所述用户识别模块使用共享密钥加密的证书请求消息；其中，所述共享密钥为所述用户识别模块内第一类应用程序与认证实体之间通信的共享密钥；还用于接收所述认证实体基于所述证书请求消息返回的所述证书；

所述第二发送模块162，用于将所述证书请求消息发送给认证实体；还用于将所述证书发送给所述用户识别模块。

在一个实施例中，所述第二发送模块162，还用于所述终端内的第三类应用程序通过终端中应用处理器向用户识别模块发送证书访问请求消息；其中，所述证书访问请求消息用于触发所述用户识别模块使用所述共享密钥加密所述证书请求消息并发送加密后的所述证书请求消息。

请参见图17，本公开一实施例提供一种证书获取装置，应用于认证实体，所述装置包括第三接收模块171、第二认证模块172和第三发送模块173；其中，

所述第三接收模块171，用于接收使用共享密钥加密且用于请求第二类应用程序证书的证书请求消息；其中，所述共享密钥为所述用户识别模块内第一类应用程序与认证实体之间通信的共享密钥；

所述第二认证模块172，用于基于所述共享密钥对所述证书请求消息进行认证，获得认证结果；

所述第三发送模块173，用于当所述认证结果为通过认证时，向所述终端发送所述第二类应用程序的证书。

在一个实施例中，所述第三发送模块173还包括向所述终端发送使用所述共享密钥加密后的所述第二类应用程序的证书。

请参见图18，本公开一实施例提供了一种证书获取装置，包括：处理器181和用于存储能够在处理器181上运行的计算机程序的存储器182，其中，

所述处理器181，用于运行计算机程序时，执行本公开任一实施例所述方法的步骤。

本公开一实施例提供一种存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现本公开任一实施例所述方法的步骤。

为了方便对本公开的理解，通过一个示例性实施例对本技术方案做进一步的说明。

示例1：

本示例以车载终端为例。可插拔的用户识别模块插接在所述车载终端内。所述车载终端对应的系统包括引导服务功能模块、认证管理机构等。请参见图19，本公开一实施例提供了一种证书获取方法。所述用户识别模块包括车载应用程序a-1、用户识别模块接口、车载应用程序a-2、用户识别模块应用程序。

所述方法包括：

步骤s1，所述车载应用程序a-1向所述用户识别模块接口发送访问证书请求消息。

步骤s2，所述用户识别模块接口将所述访问证书请求消息传输给所述车载应用程序a-2。

步骤s3，所述车载应用a-2查询所述用户识别模块的安全域中是否存储有所述访问证书请求消息中指示的证书。如果没有查询到所述证书，所述车载应用程序a-2生成公钥私钥对和申请所述证书用的p10数据。

步骤s4，所述车载应用程序a-2向所述用户识别模块应用程序请求基于所述用户识别模块与认证管理机构之间进行通信确定的共享密钥加密所述p10数据。

步骤s5，所述用户识别模块应用程序查询可信应用列表，确定所述车载应用程序a-1的身份标识在所述可信应用列表中。

步骤s6，所述用户识别模块应用基于所述用户识别模块与认证管理机构之间进行通信确定的共享密钥加密所述p10数据。

步骤s7，所述用户识别模块向所述车载应用程序a-2发送申请所述证书的请求消息。所述证书的请求消息包括经所述共享密钥加密所述p10数据。

步骤s8，所述车载应用程序a-2向所述用户识别模块接口发送申请所述证书的请求消息。

步骤s9，所述用户识别模块向所述车载应用程序a-1发送申请证书的请求消息。

步骤s10，所述车载应用程序a-1向所述认证管理机构发送申请证书的请求消息。

步骤s11，所述认证管理机构向所述引导服务功能模块发送共享密钥的请求。

步骤s12，所述引导服务功能模块向所述认证管理机构发送所述共享密钥ks_naf。

步骤s13，所述认证管理机构验证所述申请证书的请求消息。

步骤s14，当验证通过时，所述认证管理机构签发证书，并采用所述ks_naf对证书进行加密。

步骤s15，所述认证管理机构向所述车载应用程序a-1发送证书。

步骤s16，所述车载应用程序a-1将所述证书发送给所述用户识别模块接口。

步骤s17，所述用户识别模块接口将所述证书发送给所述车载应用程序a-2。

步骤s18，所述车载应用程序a-2向所述用户识别模块应用程序发送所述证书验证请求。

步骤s19，所述用户识别模块应用程序对所述证书进行验证，获得验证结果。

步骤s20，所述用户识别模块应用程序将所述验证结果发送给所述车载应用程序a-2。

步骤s21，当所述验证结果为通过时，所述车载应用程序a-2将所述证书存储至安全存储区域；其中，所述安全存储区域为第二域。

步骤s22，所述车载应用程序a-2向所述用户识别模块接口反馈响应消息。

步骤s23，所述用户识别模块接口向车载应用程序a-1反馈所述响应消息。

步骤s24，所述车载应用程序a-1向所述认证管理机构反馈所述响应消息。

本示例中，这里，通过所述共享密钥对所述证书的申请数据进行加密可以防止所述证书的申请数据在传输过程中被窃取，保障所述证书的申请数据的传输安全。同时，可以通过请求获取终端中应用访问的所述证书并将所述证书存储至安全等级高于设置阈值的安全存储区域。一方面，能够保障存储的所述证书的安全，保障所述证书不被窃取，确保了所述证书的存储安全；另一方面，终端中的应用可以直接在所述存储区域访问所述证书，而不需要通过里所述用户识别模块重复请求所述证书。

以上所述，仅为本公开的较佳实施例而已，并非用于限定本公开的保护范围。凡在本公开的精神和范围之内所作的任何修改、等同替换和改进等，均包含在本公开的保护范围之内。