支持多数字证书的eSIM管理方法、系统及eSIM开通方法与流程

本发明涉及esim技术领域，具体地涉及一种支持多数字证书的esim管理方法、一种支持多数字证书的esim管理系统以及一种支持多数字证书的esim卡开通方法。

背景技术：

随着esim(嵌入式sim卡)技术的普及，越来越多的智能终端以及物联网设备开始支持esim功能，而euicc(嵌入式uicc卡)是管理esim卡数据的重要装置。esim的核心功能即远程sim卡配置(rsp平台)。通过rsp平台，用户可以根据实际需求选择需要使用的运营商网络，并可以根据网络质量、资费情况等因素在多家运营商的网络之间进行自由切换，在不增加硬件成本的情况下极大提升终端设备在运营商网络选取方面的便捷性和灵活性。

为了保证连接的安全性，需要确认euicc与rsp平台具有相同的信任域，即euicc与rsp平台的数字证书处于相同信任域，通常euicc与rsp平台的数字证书由被第三方认证机构(ca)信任的运营商(ci)直接或间接颁发。由于世界各地政策法规等客观因素各不相同，要做到全球所有rsp平台都在同一ci颁发的数字证书信任域下运行基本无法实现，但包含一个数字证书方案的euicc仅能使用信任域内的rsp平台提供的运营商资源，因此，带有esim功能的设备在出厂时还是会有一定的局限性，无法真正实现全球运营商资源的真正互联互通。同时，现有技术的euicc只能包含唯一的数字证书，否则就无法实现正常的数字证书储存和调取。

技术实现要素：

本发明实施例的目的是提供一种支持多数字证书的esim管理方案，该方案能够让euicc受多个信任域的信任，保证其储存的多个数字证书能够正常调用、交互等，扩大了全球资源的互通性。

为了实现上述目的，本发明实施例提供一种支持多数字证书的esim管理方法，包括：

euicc获得若干不同信任域的数字证书；

设置于所述euicc中的证书单元储存所述若干数字证书，其中所述证书单元具有可被所述euicc识别的证书文件结构，使得所述euicc能够识别出储存的所述若干数字证书。

优选的，所述euicc中，仅有所述证书单元采用所述证书文件结构。

优选的，所述euicc获得的所述数字证书，由运营商签发；或者，由运营商信任的euicc的生产方签发。

优选的，当所述euicc获得的所述数字证书由运营商信任的euicc的生产方签发时，所述数字证书通过烧录方式储存于所述euicc中。

另一方面，本发明实施例提供了一种支持多数字证书的esim管理系统，该管理系统中，包括：证书单元，设置于euicc中，所述证书单元储存有若干不同信任域的数字证书，其中所述证书单元具有可被所述euicc识别的证书文件结构，使得所述euicc能够识别出储存的所述若干数字证书。

优选的，所述euicc中，仅有所述证书单元采用所述证书文件结构。

优选的，所述euicc获得的所述数字证书，由运营商签发；或者，由运营商信任的euicc的生产方签发。

优选的，当所述euicc获得的所述数字证书由运营商信任的euicc的生产方签发时，所述数字证书通过烧录方式储存于所述euicc中。

再一方面，本发明实施例还提供了一种支持多数字证书的esim卡开通方法，具体步骤如下：

euicc与rsp平台建立连接并交换数字证书以确认信任域，其中所述euicc的证书单元储存有若干不同信任域的数字证书；

在所述euicc与所述rsp平台具有相同信任域的情况下，所述euicc从所述rsp平台下载esim卡资源；

所述euicc加载所述esim卡资源，完成esim卡的开通。

优选的，所述euicc与所述rsp平台建立连接并交换所述数字证书以确认信任域，包括：与所述rsp平台的首次交换和非首次交换；

首次交换时，所述euicc将储存的全部数字证书与所述rsp平台交换，并记录受所述rsp平台信任的数字证书；

非首次交换时，所述euicc只将首次交换时记录的受所述rsp平台信任的数字证书发送给所述rsp平台进行交换。

通过上述技术方案可以得出本发明包括以下有益效果：

本发明的euicc中储存有多个不同信任域的数字证书，因此能够访问更多的rsp平台，获得全球各运营商的资源，真正实现了esim技术的全球互联互通。

通过具有特定结构的证书单元，能够使euicc正确的存储并调用多个不同信任域的数字证书，实现了多数字证书的并存。

所述数字证书可以由生产方在制造时就烧录到euicc中，用户购买带该euicc的电子设备后不必进行证书获取操作，简化了用户侧的操作。

在进行证书交换时，首次需要交互euicc中全部的数字证书，以保证能够与rsp平台建立连接，之后再次与该rsp平台认证时，仅需提供首次交互中被rsp平台信任的数字证书即可，极大优化了交互的步骤，提高了效率。

本发明实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

附图是用来提供对本发明实施例的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明实施例，但并不构成对本发明实施例的限制。在附图中：

图1是本发明实施例的支持多数字证书的esim管理方法的流程图；

图2是本发明实施例的支持多数字证书的esim开通方法的流程图。

术语解释

euuic：嵌入式通用集成电路卡；

esim：embedded-sim，嵌入式sim卡；

rsp：remotesimprovision,远程sim卡配置；

ca：certificateauthority,颁发数字证书的实体，在本文指颁发数字证书的第三方机构；

ci：certificateissuer，被授权颁发证书的实体，在本文指运营商；

eum：euiccmanufacturer,euicc的生产厂商；

sm-dp+：subscriptionmanagerdatapreparation+，码号管理-数据准备平台。

具体实施方式

以下结合附图对本发明实施例的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明实施例，并不用于限制本发明实施例。

本发明的实施例提供了一种支持多数字证书的esim管理方法，该方法能够使euicc同时处于多个信任域中，基本实现了与全球各大运营商的对接。如图1所示，具体的方法包括：

第一步，euicc获得若干不同信任域的数字证书。目前数字证书广泛应用于互联网及通信领域，目的在于保证交互的双方是可靠可信的，连接的双方需要交换数字证书以证明两者处于同样的信任域，通常情况下数字证书是所建立连接的其中某一方无法伪造，并且数字证书往往由一个双方信赖且有较强公信力的单位签发，例如本发明的实施例中，要实现esim卡的开通等操作，euicc需要与rsp平台对接，用户侧需要认证所连接的rsp平台是可以信赖的运营商官方资源平台，运营商侧同样需要确认用户的合法性/合规性，因此两侧需要有上级单位运营商(ci)签发的数字证书以证明两侧均处于同一信任域，两侧可以相互信任。对于运营商的数字证书，通常是通过可信赖且具有公信力的第三方机构(ca)签发的，从而保证了整个信任域的可靠性。

本实施例中，euicc获得各大运营商签发的数字证书，使得euicc可以与这些签发数字证书的运营商的rsp平台实现连接，进而实现esim卡数据的下载。在一些情况下，euicc中的各数字证书可以是直接由运营商(ci)签发的，但实际生产生活中，为了降低用户侧的操作成本，euicc中的数据/程序/软件通常是在出厂前就已经预置好的，因此euicc中的数字证书也是生产方预置好的，表示该euicc是受生产方信任的，值得一提的是，由于euicc是批量生产的产品，运营商往往难以对生产商所生产的每一个euicc进行认证，所以运营商(ci)只会对euuic的生产方信任并颁发数字证书，然后生产方(eum)对生产的产品(euicc)信任并签发数字证书，这就形成了ci-eum-euicc的信任链，相对于ci-rsp的信任链，由于两者都属于同一信任域，并来自相同根证书(ci)签发的下级数字证书，因此该信任域中任意两个数字证书都是可以相互信任的。

对于本实施例而言，euicc获取了全球各大运营商直接或间接签发的数字证书，其中有一些运营商ci基于同一第三方机构ca认证，因此这些同ca认证的运营商具有共同的信任域，其任意一家运营商签发的数字证书都可以在该信任域受信任。但是，考虑到现实情况的复杂性，本发明实施例至少包括来自不同ca认证的ci，如图1所示，括号内的字母a/b/c分别表示三个互不信任的信任域，其中ci(a)、ci(b)、ci(c)三者的信任域不同，所签发授权数字证书的生产方eum(a)、eum(b)、eum(c)自然也不在同样的信任域，而euicc的生产方可以是eum(a)、eum(b)、eum(c)中的任意一个或者其他未在图中表示的eum，重要的是该生产方获得eum(a)、eum(b)、eum(c)三者的信任，具有三者颁发的下级数字证书，这样获得多个信任域数字证书的euicc就具备了与全球各大主流运营商实现数据连接的基本条件。

第二步，仅仅获得了所述多个数字证书还是不够的，还要对其进行分配和管理才能使数字证书起到实际的作用。目前euicc只能储存生产方签发的一个数字证书，一旦需要储存多个数字证书，由于euicc本身的卡端逻辑，是无法进行储存并识别出数字证书的。因此，在本发明所公开的实施例，对euicc的卡端逻辑进行改造，设置了专用的证书单元，euicc中的证书单元储存所述若干数字证书，所述证书单元具有可被euicc识别的证书文件结构，使得euicc能够识别出所储存的若干数字证书。通过证书单元的设置，既能保证euicc能同时储存多个数字证书，还能在交互时准确识别并正确调用。所述证书文件结构是专门为证书单元设置的文件结构，并且在euicc的所有数据中，只有证书单元具有所述证书文件结构，以便euicc能够准确识别/调用数字证书。

下面结合图1说明本发明的一个可行的实施例的多证书管理方法：

该实施例目的在于取得三个信任域a、b、c的信任，所述三个信任域的根证书分别属于三个运营商ci(a)、ci(b)、ci(c)，每个运营商可以向下给rsp平台签发数字证书，rsp平台具体为图1中的sm-dp+平台，该平台是gsma标准中所规定的一个模块，因此不再赘述。各ci同时还给信任的eum分别签发了数字证书，euicc的生产方取得了eum(a)、eum(b)、eum(c)三者的信任，具有三者颁发的下级数字证书：cert(a)、cert(b)、cert(c)，这三个数字证书均储存在euicc的证书单元，使其能够被euicc识别并调取。当euicc需要与其中一个运营商的任意一个sm-dp+平台建立连接时，就可以选择与该sm-dp+平台具有相同信任域的数字证书，以获得信任。

基于上述的管理方法，本发明的实施例还公开了一种支持多数字证书的esim管理系统，如图1所示，该管理系统中，嵌入到移动设备中的euicc具有证书单元，该证书单元储存有若干不同信任域的数字证书，其中该证书单元具有可被euicc识别的证书文件结构，使得euicc能够识别出所述储存的若干数字证书。

上述实施例中，对euicc的卡端逻辑进行改造，设置了专用的证书单元，euicc中的证书单元储存所述若干数字证书，所述证书单元具有可被识别的证书文件结构，使得euicc能够识别出所述储存的若干数字证书。通过证书单元的设置，既能保证euicc能同时储存多个数字证书，还能在交互时准确识别并正确调用。所述证书文件结构是专门为证书单元设置的文件结构，并且在euicc的所有数据中，只有证书单元具有所述证书文件结构，以便euicc能够准确识别/调用数字证书。

本实施例所述的管理系统可以采用上述的管理方法进行管理，具体流程请参见上文。

另一方面，本发明的实施例还公开了一种支持多数字证书的esim卡开通方法，达到在不同信任域实现开卡的效果。具体方法如下：

(0)本步骤为前序的准备步骤。具体如下：euicc获得并储存若干不同信任域的数字证书至其证书单元。其中，euicc中的多个数字证书由生产方在出厂前烧录进euicc，具体储存在euicc的证书单元，所述证书单元是专门为储存多数字证书设置的逻辑，其文件结构为专属的证书文件结构，能够使得euicc能够准确识别出数字证书并正确调用。

(1)euicc与rsp平台建立连接并交换所述数字证书以确认信任域。euicc与rsp平台建立连接其实并不需要处于相同信任域，但要实现通信以及数据的交互必须处于同一信任域来确保数据交互的安全性。

(2)在确认euicc与rsp平台具有相同信任域的情况下，所述euicc从所述rsp平台下载esim卡资源；相反的，如果euicc与rsp平台具有不同信任域，则不能进行数据的交互。

(3)所述euicc加载所述esim卡资源，完成esim卡的开通。

其中步骤(1)中，所述euicc与所述rsp平台建立连接并交换所述数字证书以确认信任域，具体包括：与所述rsp平台的首次交换和非首次交换；

首次交换时，euicc将储存的全部数字证书与所述rsp平台交换，并记录受所述rsp平台信任的数字证书。

非首次交换时，euicc只将首次交换时记录的受所述rsp平台信任的数字证书发送给所述rsp平台。

下面结合具体的实施例对esim卡开通方法进行说明，如图2所示，该实施例中，包括三个信任域a、b、c，三个生产方eum分别属于这三个信任域，具体包括以下步骤：

101：eum(a)签发数字证书给euicc；

102：eum(b)签发数字证书给euicc；

103：eum(c)签发数字证书给euicc；

104：euicc将步骤101～103所收到的数字证书分配给euicc的证书单元以保存所述数字证书；

105：在首次进行与三者中任一信任域sm-dp+平台建立安全连接并交换证书时，将三个数字证书同时发送给sm-dp+平台进行交互；

106：sm-dp+平台进行正确响应，并在响应内容里明确所信任的是哪一个数字证书,euicc记录被信任的数字证书的id，并在后续对该sm-dp+平台的所有交互流程中自动选用此被信任的证书；

107：euicc基于受信任的数字证书请求该sm-dp+平台，申请esim卡资源下载；

108：sm-dp+平台对证书校验成功，对euicc反馈所请求的esim卡资源；

109：euicc解析该esim卡资源并启动，完成开通。

对于本发明的另一个实施例，是euicc第二次与sm-dp+平台建立连接并进行重新开卡的过程，其开通方法与上述类似，区别在于步骤105和106应当被替换如下：

105’：euicc与该sm-dp+平台建立安全连接并交换证书时，仅发送受该sm-dp+平台信任的数字证书。

106’：sm-dp+平台进行正确响应。其中，具体的响应及后续下载卡资源的流程采用gsma组织定义的标准协议sgp.21/22完成，本文不进行详细说明。

以上结合附图详细描述了本发明实施例的可选实施方式，但是，本发明实施例并不限于上述实施方式中的具体细节，在本发明实施例的技术构思范围内，可以对本发明实施例的技术方案进行多种简单变型，这些简单变型均属于本发明实施例的保护范围。

另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合。为了避免不必要的重复，本发明实施例对各种可能的组合方式不再另行说明。

本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序存储在一个存储介质中，包括若干指令用以使得单片机、芯片或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

此外，本发明实施例的各种不同的实施方式之间也可以进行任意组合，只要其不违背本发明实施例的思想，其同样应当视为本发明实施例所公开的内容。