一种基于SRAMPUF的eSIM数据保护方法与流程

本发明涉及esim卡数据安全，尤其涉及一种基于srampuf的esim数据保护方法。

背景技术：

1、esim是一种内置在电子设备中的sim卡，其可以通过软件配置来实现一些传统sim卡所需的功能。esim可以在不改变物理sim卡的情况下，远程配置和管理设备的码号信息，从而提高了码号管理的灵活性和便利性。esim卡通常由cpu，rom，sram，非易失性存储器（如eeprom）和iso / iec 7816接口组成。esim会将用户信息、网络信息以及安全参数（身份验证密钥、pin 码/解锁 pin、错误计数、数据完整性密钥、加密密钥）存储在非易失性存储器中。然而，从安全角度来看，esim本身可能会暴露弱点，存在安全风险。已经发现esim芯片会受到各种类型的黑客攻击,包括sim卡交换或sim卡劫持攻击、sim克隆攻击、使用软件和硬件的中间人(mitm)攻击、工厂密钥注入泄露等。

2、例如一种在中国专利文献上公开的“基于内置安全芯片的sim贴膜卡的安全输入法”，其公告号：cn108390755a，公开了包括s1、服务器注册：信息发送方和信息接收方通过服务器注册，将自己的手机号、sim贴膜卡产生的公钥、sim贴膜卡的id上传给服务器保存；s2、密钥交换：信息发送方和信息接收方添加好友时通过服务器进行公钥的交换；s3、发送方发送加密信息：信息发送方对要发送的信息进行加密获得加密数据流，并将加密数据流通过服务器发送至信息接收方；s4、接收方解密信息：信息接收方对接收到的加密数据流进行解密；s5、发送方回看加密信息：信息发送方对已发送的加密数据流进行解密，回看已发送的信息；但是该方案的密钥仍有泄漏风险。

技术实现思路

1、为了解决现有技术中esim卡和密钥泄漏的问题，本发明提供一种基于srampuf的esim数据保护方法，能够保证esim卡和密钥安全。

2、为了实现上述目的，本发明提供如下技术方案：

3、一种基于srampuf的esim数据保护方法，其特征在于，包括如下步骤：

4、构建硬件信任根，硬件信任根提供第一密钥；

5、esim获取安全参数使用请求；

6、esim获取第一密钥；

7、esim根据第一密钥解密返回安全参数。

8、作为优选的，所述的提供第一密钥包括，位于esim内部的srampuf识别esim的物理特征，并对srampuf外部的esim设定唯一标识符，唯一标识符由所述物理特征确定，根据所述唯一标识符确定第一密钥。通过esim内部的srampuf对esim的数据流转过程进行认证，使得esim不需要从外部获取特定密钥进行安全认证，使得仅需要两方确认即能保证esim和密钥的安全性。

9、作为优选的，所述的构建硬件信任根包括，在esim中部署srampuf芯片，esim根据srampuf认证建立安全认证协议；esim根据srampuf进行自身认证。能够防止esim中数据被非法获取和篡改，并在esim被更换后，防止应用中数据被窃。

10、作为优选的，所述的获取安全参数使用请求包括，将安全参数使用请求使用第一密钥加密，安全参数请求为从esim中获取第二密钥或写入数据到硬件信任根中。使得基于esim的加密解密过程被安全加密。

11、作为优选的，所述的获取第一密钥包括，esim向srampuf发送挑战信息，srampuf向esim返回响应信息，esim根据响应信息获取第一密钥。能够保证esim的安全，保证esim被替换时的数据安全。

12、作为优选的，所述的根据第一密钥解密返回安全参数包括，esim根据从srampuf中获得的第一密钥进行验证。实现对esim中的数据进行多次安全认证与保护。

13、作为优选的，获取所述的挑战信息后，所述的srampuf对发出挑战信息的esim提供第一密钥。使得第一密钥具有针对性、实时性。

14、作为优选的，所述的写入数据到硬件信任根时，esim再次获取第一密钥并根据当前获得的第一密钥对数据进行加密，使得数据的访问权限被当前第一密钥加密。实现对esim中的数据进行多次安全认证与保护。

15、本发明具有如下优点：

16、（1）硬件内生密钥优势：通常esim制造过程需要配置密钥，密钥配置必须在与外部世界隔离的安全环境中完成，维护成本很高。基于puf技术没有密钥预配过程，因为密钥是在内部生成的；（2）全面唯一密钥：puf 密钥具有唯一性，这意味着每个硬件密钥都不同，这种特性在需要注入密钥的传统esim卡实际上很难满足；（3）即使存储的数据被复制到其他esim，没有对应puf也无法解密使用；安全存储：与传统esim卡相比，使用puf密钥对数据的强大保护是主要优势之一。puf 与 esim 的结合可以保护安全存储中的安全信息。

技术特征：

1.一种基于srampuf的esim数据保护方法，其特征在于，包括如下步骤：

2.根据权利要求1所述的一种基于srampuf的esim数据保护方法，其特征在于，所述的提供第一密钥包括，位于esim内部的srampuf识别esim的物理特征，并对srampuf外部的esim设定唯一标识符，唯一标识符由所述物理特征确定，根据所述唯一标识符确定第一密钥。

3.根据权利要求2所述的一种基于srampuf的esim数据保护方法，其特征在于，所述的构建硬件信任根包括，在esim中部署srampuf芯片，esim根据srampuf认证建立安全认证协议；esim根据srampuf进行自身认证。

4.根据权利要求3所述的一种基于srampuf的esim数据保护方法，其特征在于，所述的获取安全参数使用请求包括，将安全参数使用请求使用第一密钥加密，安全参数请求为从esim中获取第二密钥或写入数据到硬件信任根中。

5.根据权利要求3或4所述的一种基于srampuf的esim数据保护方法，其特征在于，所述的获取第一密钥包括，esim向srampuf发送挑战信息，srampuf向esim返回响应信息，esim根据响应信息获取第一密钥。

6.根据权利要求5所述的一种基于srampuf的esim数据保护方法，其特征在于，所述的根据第一密钥解密返回安全参数包括，esim根据从srampuf中获得的第一密钥进行验证。

7.根据权利要求5所述的一种基于srampuf的esim数据保护方法，其特征在于，获取所述的挑战信息后，所述的srampuf对发出挑战信息的esim提供第一密钥。

8.根据权利要求4所述的一种基于srampuf的esim数据保护方法，其特征在于，所述的写入数据到硬件信任根时，esim再次获取第一密钥并根据当前获得的第一密钥对数据进行加密，使得数据的访问权限被当前第一密钥加密。

技术总结
本发明公开了一种基于SRAMPUF的eSIM数据保护方法，包括如下步骤：构建硬件信任根，硬件信任根提供第一密钥；eSIM获取安全参数使用请求；eSIM获取第一密钥；eSIM根据第一密钥解密返回安全参数；使用基于SRAM PUF技术的安全认证协议，验证eSIM的合法性，并获取eSIM存储数据的权限，保障手机APP的安全性；实现了对eSIM存储数据、手机APP应用的安全保护，提高了eSIM的安全性能。

技术研发人员：储建新,李豹,周弘毅,李想,陆建琴,潘炫霖,雷建新,张依辰,王晨波,俞晓伟,汪泽州
受保护的技术使用者：国网浙江省电力有限公司海盐县供电公司
技术研发日：
技术公布日：2024/1/15