本發(fā)明涉及一種用于安裝eUICC(嵌入式通用集成電路卡)的配置文件的方法和裝置，更具體地，涉及一種用于通過以下方式遠程地在安全模塊中安裝移動通信訂戶信息(配置文件)的方法和裝置：用eUICC替換UICC(通用集成電路卡)。

背景技術：

UICC(通用集成電路卡)是插入到移動通信終端中的智能卡，并且存儲諸如移動通信用戶的網絡連接認證信息、電話號碼和SMS的個人信息。UICC在連接到諸如GSM、WCDMA和LTE的移動通信網絡時通過執(zhí)行用戶認證并生成業(yè)務安全密鑰來實現移動通信的安全使用。

根據由用戶連接的移動通信網絡的類型，將諸如SIM、USIM和ISIM的通信應用程序發(fā)送到UICC中。此外，UICC提供用于啟動諸如電子錢包、售票和電子護照的各種應用的上級安全功能。

傳統(tǒng)的UICC根據來自移動通信提供商的請求被制造為用于特定移動通信提供商的專用卡。因此，通過預安裝用于連接到相應提供商的網絡的認證信息(例如USIM應用的IMSI和K值)來釋放UICC。制造的UICC被遞送到相應的移動通信提供商并且被提供給訂戶，并且如果需要，可以通過使用諸如OTA(Over the Air)的技術來執(zhí)行在UICC中安裝、修改和刪除應用的管理。用戶可以通過將UICC插入到用戶所擁有的移動通信終端中來使用相應移動通信運營商的網絡和應用服務，并且如果終端被新的終端替換，則用戶可以通過將UICC插入到新的終端來使用現有的認證信息、用于移動通信的電話號碼以及個人電話簿。

UICC的物理規(guī)范和邏輯功能由提供國際兼容性的ETSI(歐洲電信標準協(xié)會)的標準化組織定義。關于物理規(guī)范，UICC的形式因素從最廣泛使用的Mini SIM到幾年前使用的Micro SIM，以及最近發(fā)布的Nano SIM逐漸減小。這有助于移動通信終端的小型化。

最近，已經建立了比Nano SIM小的UICC，然而由于UICC的丟失，可能難以標準化。可能難以進一步小型化UICC，因為當考慮可拆卸UICC的特性時，終端需要用于安裝插槽的空間。

此外，傳統(tǒng)UICC不適用于在智能家用電器、電表/水表及CCTV攝像機的各種安裝環(huán)境中執(zhí)行與移動通信數據網絡的連接而沒有人的直接操作的M2M(機器對機器)裝置。

為了解決這樣的問題，需要替換傳統(tǒng)UICC，并且在生產過程中將具有與UICC類似功能的安全模塊集成到移動通信終端中。

根據這種要求開發(fā)的內部安全模塊是安裝在終端中的安全模塊，然而其在制造終端時不能啟動特定移動通信提供商的網絡連接認證信息，例如USIM的IMSI和K值。因此，終端內部安全模塊的認證信息可以由用戶在購買了利用相應的內部安全模塊啟動并成為特定移動通信提供商的訂戶的終端之后設置。

在支持具有內部安全模塊的新開發(fā)的終端的網絡中，如果終端通過提供配置文件來連接到特定移動通信網絡，則配置文件提供服務器實時地使用通過與終端的實時相互認證而生成的會話密鑰來加密配置文件，并將加密的配置文件發(fā)送到終端。安裝在配置文件提供服務器中的用于加密配置文件的硬件安全模塊可以適合于實時地加密小數目的配置文件，然而，如果大量終端要接收具有內部安全模塊的終端的配置文件，就有可能無法提供配置文件，這是因為所有配置文件必須同時加密。因此，當為具有內部安全模塊的大量終端提供配置文件時可能會產生技術困難。

此外，如果將具有內部安全模塊的大量終端連接到SM-DP(訂閱管理器數據準備)服務器的外部網絡狀態(tài)較差，則存在不能為一些終端提供正確配置文件的問題。

因此，需要一種改進的方法，使得可以在不與外部網絡同步的情況下提供用于具有內部安全模塊的終端的配置文件，并且可以預先加密和存儲用于大數目的終端的配置文件。

技術實現要素：

技術問題

為了解決上述問題，本發(fā)明提供了一種用于向終端提供配置文件的方法和裝置，在提供該配置文件的時候不需要與外部網絡同步。

此外，本發(fā)明提供了一種用于存儲大數目的配置文件和密碼密鑰的方法和裝置，用于在提供配置文件之前對配置文件進行加密，并且當提供終端的配置文件時向終端提供加密的配置文件信息。

問題的解決方案

為了實現上述目的，根據本發(fā)明的用于安裝網絡裝置的eUICC(嵌入式通用集成電路卡)的配置文件的方法可以包括以下步驟：獲取用第一密碼密鑰加密的至少一個配置文件和用第二密碼密鑰加密的至少一個第一密碼密鑰；以及當用于所述eUICC的配置文件安裝開始時，將所述至少一個加密的配置文件和所述至少一個加密的第一密碼密鑰傳送到至少一個eUICC。分別地，第一密碼密鑰通過第一密碼密鑰用第三密碼密鑰重新加密并被發(fā)送到至少一個eUICC，并且加密的配置文件被第一密碼密鑰解密并安裝在至少一個eUICC中。

第一密碼密鑰、第二密碼密鑰和第三密碼密鑰中的每一個可以分別配置有多個密鑰。例如，第一密碼密鑰、第二密碼密鑰和第三密碼密鑰可以是包括密鑰信息的密碼密鑰集。此外，每個密碼密鑰可以是SCP 80密鑰、SCP 81密鑰、SCP 03或不對稱密鑰。作為基于RSA的認證中的非對稱密鑰的示例，存在包括在明語的認證證書中的公開密鑰和與公開密鑰成對生成并安全地存儲在認證證書所擁有的實體中的個人密鑰。在下面的描述中，使用認證證書的加密意味著通過使用包括在認證證書的接收實體中的公開密鑰加密來發(fā)送內容，并且該接收實體可以通過使用內部存儲的個人密鑰來執(zhí)行解密。

此外，根據本發(fā)明的用于安裝SM-DP(訂閱管理器數據準備)的eUICC(嵌入式通用集成電路卡)的配置文件的方法可以包括以下步驟：發(fā)送至少一個加密的配置文件和用于將所述至少一個配置文件加密的至少一個第一密碼密鑰二者中的至少一個到網絡裝置。如果用于eUICC的配置文件安裝開始，則將至少一個加密的配置文件和至少一個第一密碼密鑰發(fā)送到至少一個eUICC，并且通過使用第三密鑰加密來將至少一個第一密碼密鑰發(fā)送到至少一個eUICC，通過利用所述至少一個第一密碼密鑰解密而將該至少一個加密的配置文件發(fā)送到所述至少一個eUICC。

此外，根據本發(fā)明的用于安裝eUICC(嵌入式通用集成電路卡)的配置文件的網絡裝置可以包括：通信單元，被配置為執(zhí)行數據通信；加密裝置，被配置為執(zhí)行加密和解密；以及存儲裝置，被配置為獲取至少一個加密的配置文件和用于加密所述至少一個配置文件的至少一個第一密碼。當eUICC的配置文件安裝開始時，通信單元將至少一個加密的配置文件和至少一個第一密碼密鑰發(fā)送到至少一個eUICC，加密裝置通過利用第三密碼密鑰加密將至少一個第一密碼密鑰發(fā)送到至少一個eUICC，并且通過利用所述至少一個第一密碼密鑰解密來將所述至少一個加密的配置文件安裝在所述至少一個eUICC中。

此外，根據本發(fā)明的用于安裝eUICC(嵌入式通用集成電路卡)的配置文件的SM-DP(訂閱管理器數據準備)服務器可以包括：通信單元，被配置為執(zhí)行數據通信；以及控制單元，被配置為控制將至少一個加密的配置文件和用于加密所述至少一個配置文件的至少一個第一密碼密鑰二者中至少之一傳送到網絡裝置。當用于eUICC的配置文件安裝開始時，將至少一個加密的配置文件和至少一個第一密碼密鑰發(fā)送到至少一個eUICC，并且通過利用第三密碼密鑰加密來將該至少一個第一密碼密鑰發(fā)送到該至少一個eUICC，以及通過利用至少一個第一密碼密鑰進行解密來將所述至少一個加密的配置文件安裝在所述至少一個eUICC中。

本發(fā)明的有益效果

根據本發(fā)明的各種實施例，當對于具有內部安全模塊的大數目的終端同時供應配置文件時，可以提供加密的配置文件而沒有性能或數據丟失。

此外，根據本發(fā)明的各種實施例，即使連接配置文件提供服務器和終端的外部網絡狀態(tài)差，也可以針對大數目的終端執(zhí)行配置文件提供。

附圖說明

圖1示出了支持eUICC的網絡的結構。

圖2示出用于安裝eUICC的配置文件的方法的流程圖。

圖3示出了根據本發(fā)明的支持eUICC的網絡的結構。

圖4示出根據本發(fā)明第一實施例的用于安裝eUICC的配置文件的方法的流程圖。

圖5示出根據本發(fā)明的第二實施例的用于安裝eUICC的配置文件的方法的流程圖。

圖6示出根據本發(fā)明第三實施例的用于安裝eUICC的配置文件的方法的流程圖。

圖7示出根據本發(fā)明的實施例的裝置的結構的框圖。

具體實施方式

本發(fā)明涉及一種配備有內部安全模塊的終端，并且可以應用于一般的電子終端，諸如智能電話、便攜式終端、移動終端、PDA(個人數字助理)、PMP(便攜式多媒體播放器)終端、筆記本計算機、Wibro終端、智能電視和智能冰箱，并進一步應用于支持內部安全模塊的所有裝置或服務。

本發(fā)明提供了一種內部安全模塊、配置文件提供服務器和支持用于內部安全模塊的配置文件安裝的網絡裝置。

內部安全模塊稱為eSE(嵌入式安全元件)，典型示例可以是eUICC。以下實施例主要針對eUICC進行公開，然而本領域技術人員將清楚，本發(fā)明可以應用于包括eUICC的各種類型的內部安全模塊。在本發(fā)明中，術語“eUICC”可以與eSIM(嵌入式訂戶身份模塊)互換地使用。根據本發(fā)明的各種實施例的eUICC可以安裝在終端中或以可拆卸類型添加到終端。

安裝在內部安全模塊中的配置文件包括諸如存儲在UICC中的一個或多個應用、訂戶認證信息、電話簿的數據信息。根據使用，配置文件可以包括操作配置文件和供應配置文件(或開機配置文件)。操作配置文件以軟件形式封裝，并且可以指由移動通信公司服務的終端的用戶信息。在用戶訂閱某個通信公司之前，要求供應配置文件連接到一個國家中的某個移動通信網絡，并且供應配置文件可以指在eUICC中預先啟動的配置文件。供應配置文件可以僅用于提供網絡連接環(huán)境以遠程下載操作配置文件，并且可以包括連接到某個移動通信網絡所需的信息，例如IMSI和K值。

配置文件提供服務器稱為SM-DP(訂閱管理器數據準備)，并且可以用作配置文件域、配置文件加密服務器、配置文件生成服務器、配置文件供應者或配置文件提供者的卡外實體的含義。

可以通過包括用于加密或解密配置文件的加密裝置和用于存儲至少一個配置文件的存儲裝置中的至少一個，以服務器形式來配置支持在內部安全模塊中安裝配置文件的網絡裝置。在網絡裝置僅配置有加密裝置和存儲裝置中的一個的情況下，網絡裝置可以是加密裝置或存儲裝置本身。或者，在配置有加密裝置和存儲裝置兩者的網絡裝置的情況下，網絡裝置可以作為包括加密裝置和存儲裝置的裝置操作，或者可以被解釋為包括加密裝置和存儲裝置的普通含義。

加密裝置可以包括HSM(硬件安全模塊)或者可以被稱為HSM本身。

此外，針對支持eUICC的網絡可以定義和使用各種術語。

例如，作為本發(fā)明中使用的術語，SM-SR(預訂管理器安全路由)可以被表示為利用OTA來發(fā)送加密的配置文件到eUICC的配置文件管理服務器。此外，SM-SR可以表示為eUICC配置文件管理器或配置文件管理器的卡外實體。

此外，作為本發(fā)明中使用的術語，EID(eUICC標識符)是用于區(qū)分安裝在終端中的eUICC的唯一標識符，并且如果供應配置文件預先安裝在eUICC中，則可以指配置文件ID，或者如果終端和eUICC(或eSIM)芯片不是分開的，則可以指終端ID。此外，E-UICC ID可以指示eSIM芯片的特定安全域。

此外，作為本發(fā)明中使用的術語，EIS(eUICC信息集)可以包括EID和ICCID作為存儲在SM-SR中的eUICC信息。

此外，作為本發(fā)明中使用的術語，EF(基本文件)可以指在可以存儲IMSI和MSISDN的eUICC的配置文件中存儲信息的文件。

此外，作為本發(fā)明中使用的術語，MNO(移動網絡運營商)可以表示移動通信提供商或移動通信提供商的系統(tǒng)。

此外，作為本發(fā)明中使用的術語，HSM(硬件安全模塊)可以表示用于加密或解密密碼密鑰以便不暴露密碼密鑰的模塊。

以下提供的具體術語用于幫助理解本發(fā)明，并且可以在不脫離本發(fā)明的技術范圍的情況下修改為各種形式。

在以下描述和權利要求中使用的術語和詞語不限于字面意義，而是僅由發(fā)明人使用以使得能夠清楚和一致地理解本發(fā)明。因此，對本領域技術人員顯而易見的是，提供本發(fā)明的各種實施例的以下描述僅用于說明目的，而不是為了限制由所附權利要求及其等同物限定的本發(fā)明的目的。

應當理解，除非上下文另有明確指示，否則單數形式“一”、“一個”和“該”包括復數指示物。應當理解，諸如“配置”和“包括”的術語并不總是包括本發(fā)明中描述的所有組件或步驟。

在下文中，參考附圖詳細描述本發(fā)明的實施例。在整個附圖中使用相同的附圖標記來指代相同或相似的部件?？梢允÷栽诖瞬⑷氲墓δ芎徒Y構的詳細描述，以避免模糊本發(fā)明的主題。此外，下面描述的術語通過考慮本發(fā)明中的功能來定義，并且可以根據用戶或操作者的意圖或實踐而改變。因此，應當基于本發(fā)明的一般內容來定義術語。

圖1示出了支持eUICC的網絡的結構。

參考圖1，支持eUICC的網絡可以配置有終端100、SM服務器110和MNO120。SM服務器110可以配置有SM-SR111和SM-DP112。

終端100包括作為內部安全模塊安裝的eUICC102。eUICC可以具有EID作為唯一標識符，并且EID可以被指示為終端100中的物理或軟件元素。

終端100通過在控制單元101的控制下連接到與存儲在eUICC 102中的至少一個配置文件相對應的移動通信網絡來執(zhí)行數據通信。具體地，用于臨時連接到網絡的供應配置文件可以被存儲在eUICC 102中，使得終端100可以下載并安裝要使用的配置文件。

終端100可以通過觸發(fā)安裝配置文件事件來執(zhí)行配置文件的安裝。更詳細地，終端100向SM-SR 111發(fā)送對包括EID的配置文件的請求，并且通過SM-SR的認證處理來接收利用與SM-DP 112預先共享的會話密鑰加密的配置文件。終端100通過用會話密鑰解密配置文件來連接到移動通信網絡。

在各種實施例中，終端100可以通過使用數字認證方法與SM-DP 112共享會話密鑰。例如，終端100可以通過SM-SR 111從SM-DP 112接收與其自己的eUICC 112相對應的數字認證證書，通過使用接收的數字認證證書來生成會話密鑰，并通過加密會話密鑰來發(fā)送到SM-DP 112。SM-DP 112可以通過使用數字認證證書來解密所接收的會話密鑰，并且通過使用會話密鑰加密來向終端100發(fā)送對應于數字認證證書的eUICC 112的配置文件。在使用數字認證方法的情況下，SM-DP 112可以通過使用利用數字認證證書生成的公開密鑰來加密配置文件，并且終端100可以通過使用利用數字認證證書生成的秘密密鑰(私人密鑰)來解密配置文件。上面已經描述了使用數字認證證書的方法作為共享會話密鑰的示例，然而本發(fā)明不限于此，并且可以使用在SM-DP 112與終端100之間共享認證算法的各種方法。

SM-SR 111管理多個終端的配置文件信息。SM-SR 111可以通過觸發(fā)配置文件安裝事件來發(fā)送用于將配置文件下載到eUICC 102的MSISDN的SMS。在各種實施例中，SM-SR 111可以執(zhí)行在SM-DP 112與終端100之間發(fā)送加密的會話密鑰或加密的配置文件的功能。SM-SR 111可以通過使用經驗證的OTA技術與終端100交換數據。即，SM-SR 111可以通過使用OTA密鑰向終端發(fā)送數據。在完成eUICC 102中的配置文件的解密和安裝之后，SM-SR 111可以執(zhí)行激活、去激活和去除配置文件的配置文件管理功能。

SM-DP 112生成用于安裝在終端100中的eUICC 102的配置文件，并通過使用會話密鑰來加密配置文件。如果從某個eUICC 102接收到用于安裝配置文件的請求，則SM-DP 112可以通過使用與對應eUICC 102預先共享的會話密鑰加密來發(fā)送配置文件。或者，如果從終端接收到經驗證的會話密鑰，則SM-DP 112向終端100發(fā)送用對應的會話密鑰加密的配置文件。SM-DP 112可以直接由MNO 120或者與MNO 120具有極好信任關系的其他公司操作。根據業(yè)務或合同關系，SM-DP 112可以為一個或多個MNO 120提供服務。

至少一個MNO 120可以存在于網絡中。MNO 120可以為終端100提供通信服務。如果終端100的用戶申請對一個服務的訂閱，則MNO 120可以管理SM-DP 112并且通過使用SM-DP 112幫助終端的配置文件安裝。至少一個MNO 120可以單獨管理單獨的SM-DP 112。或者，SM-DP 112可以根據可信的合同關系為多個MNO 120提供服務。

在下文中，將描述用于安裝配置文件的方法，用于圖1所示的網絡中的eUICC。

圖2示出用于安裝eUICC的配置文件的方法的流程圖。盡管圖2中未示出SM-DP 230與eUICC 210之間的SM-SR 220 2的數據流，SM-SR 220可以向eUICC 210發(fā)送用于配置由SM-DP 230加密的配置文件和會話密鑰的全部或部分信息，或者向SM-DP 230發(fā)送用于配置由eUICC 210加密的會話密鑰的全部或部分信息。

參考圖2，eUICC 210和SM-DP 230在步驟201生成單獨的eUICC認證和會話密鑰。

更詳細地，SM-DP 230通過對由EID區(qū)分的每個eUICC 210的認證來生成會話密鑰，并通過使用所生成的會話密鑰來生成配置文件。eUICC 210可以通過認證處理實時獲得會話密鑰，并通過使用獲得的會話密鑰對從SM-DP 230發(fā)送的加密的配置文件進行解密。

SM-DP 230在步驟203使用相應的會話密鑰單獨地加密每個eUICC 210的配置文件，并在步驟205將這些配置文件發(fā)送到eUICC 210。eUICC 210通過使用經認證過程實時生成的會話密鑰來解密和安裝配置文件。因為每個會話密鑰一個一個地對應于每個eUICC 210，所以由特定會話密鑰加密的配置文件只能由對應于會話密鑰的特定eUICC 210解密。

當eUICC 210實際開始配置文件安裝時，對每個eUICC單獨執(zhí)行上述處理。SM-DP 230可以配備用于加密配置文件的單獨的加密模塊，然而如果大量eUICC同時請求配置文件安裝，則SM-DP 230不能正確地同時執(zhí)行配置文件安裝，因為加密模塊對配置文件進行加密需要時間。此外，如果在單獨執(zhí)行配置文件安裝時由于網絡斷開而配置文件安裝停止，則不能針對所有eUICC210正確地安裝配置文件。

因此，可以通過對于大量的終端，在將配置文件安裝在eUICC 210中之前，將預加密的配置文件存儲在SM-DP 230中，和當配置文件安裝實際開始時，將預加密的配置文件發(fā)送到終端，來使用安裝配置文件的有效方法。此外，當在eUICC 210中安裝配置文件時，需要獨立地從位于外部網絡中的SM-DP 230來下載配置文件的方法。

在下文中，將根據本發(fā)明描述用于安裝能夠提供上述技術特征的配置文件的方法。

圖3示出了根據本發(fā)明的支持eUICC的網絡的結構。

參考圖3，根據本發(fā)明的支持eUICC的網絡可以配置有支持eUICC的配置文件安裝的網絡裝置330。

網絡裝置330可以配置有用于加密或解密配置文件的加密裝置331和用于存儲至少一個配置文件的存儲裝置332中的至少一個。

加密裝置331可以包括HSM或者可以稱為HSM本身，并且可以在不暴露密碼密鑰的情況下執(zhí)行配置文件的加密和解密。

存儲裝置332存儲至少一個配置文件。存儲裝置332可以包括硬盤、RAM(隨機存取存儲器)、SRAM(靜態(tài)隨機存取存儲器)、ROM(只讀存儲器)、EEPROM(電可擦除可編程只讀存儲器)、PROM(可編程只讀存儲器)、磁存儲器、磁盤和光盤中至少一種介質。

在網絡裝置330包括加密裝置331和存儲裝置332中之一的情況下，網絡裝置330可以是加密裝置331或存儲裝置332自身?；蛘撸诰W絡裝置330包括加密裝置331和存儲裝置332二者的情況下，網絡裝置330可以作為包括加密裝置331和存儲裝置332的裝置操作，或者可以被解釋為包括分別配置的加密裝置331和存儲裝置332的通常概念。

此外，網絡裝置330可以配置有通信單元333。通信單元330發(fā)送和接收數據。當網絡裝置330作為包括加密裝置331和存儲裝置332的裝置操作時，通信單元333可以配備在網絡裝置330中。另一方面，當網絡裝置330被解釋為包括單獨配置的加密裝置331和存儲裝置332的通常概念時，通信單元333可以安裝在加密裝置331和存儲裝置332中的每一個中。在這種情況下，加密裝置331和存儲裝置332可以通過通信單元333交換數據。

網絡裝置330可以以服務器形式配置。當網絡裝置330作為包括加密裝置331和存儲裝置332的裝置操作時，網絡裝置330可以包括用于集中地控制加密裝置331和存儲裝置332的單獨的控制裝置。

上面已經描述了包括在支持根據本發(fā)明的eUICC的網絡中的實體的示例，然而可以進一步包括為eUICC提供和安裝配置文件所需的各種實體，并且可以通過省略或其中某些裝置或者集成其中的某些裝置來配置具有相同或類似功能的裝置。在這種情況下，可以根據本發(fā)明的技術范圍來修改構造網絡的實體，并且如果構造網絡的實體在本發(fā)明的技術范圍內操作，則本領域技術人員將清楚，相應的實施例仍然落入由所附權利要求限定的權利范圍內。

在下文中，將更詳細地描述根據本發(fā)明的上述實施例的用于在網絡中實際地安裝eUICC的配置文件的方法。

圖4示出根據本發(fā)明第一實施例的用于安裝eUICC的配置文件的方法的流程圖。

參考圖4，在本發(fā)明的第一實施例中，在步驟401，SM-DP 410成對地產生用第一密碼密鑰加密的配置文件和用第二密碼密鑰加密的第一密碼密鑰。

SM-DP 410生成用于多個eUICC 430的配置文件。SM-DP 410可以生成秘密密鑰的IMSI和K值作為用于配置每個eUICC 430的配置文件的信息。

SM-DP 410使用對應于每個配置文件的第一密碼密鑰來加密每個配置文件。第一密碼密鑰是由安裝在SM-DP 410中的HSM生成的隨機密鑰，并且可以是對稱密鑰、非對稱密鑰或SCP 03會話密鑰。第一密碼密鑰獨立于eUICC 430(即未映射到EID)，并且逐個地對應于每個配置文件。因此，用第一密碼密鑰加密的配置文件不是針對特定eUICC 430的，并且可以以批量形式生成。SM-DP 410可以以批量形式生成和存儲用第一密碼密鑰加密的大數目的配置文件。

SM-DP 410用第二密碼密鑰加密和存儲第一密碼密鑰。第二密碼密鑰可以是作為主密鑰的對稱密鑰或非對稱密鑰。此外，第二密碼密鑰可以用于通過使用預共享密鑰在SM-DP 410和網絡裝置之間的相互認證。

在步驟403，SM-DP 410將用第一密碼密鑰加密的配置文件和用第二密碼加密的第一密碼密鑰成對地發(fā)送到存儲裝置421。在開始配置文件的安裝之前，在步驟405，存儲裝置421成對地存儲用第一密碼密鑰加密的配置文件和用第二密碼加密的第一密碼密鑰。

如果eUICC 430的配置文件安裝實際上在某個時間開始，則在步驟407加密裝置422對利用第二密碼密鑰加密的第一密碼密鑰進行解密，并且使用第三密碼密鑰再次加密第一密碼密鑰。

第三密碼密鑰是由各個eUICC 430發(fā)布的電子密鑰，并且可以是對稱密鑰或不對稱密鑰。第三密碼密鑰通過數字認證方法生成，并且可以被配置有根據預共享認證方法成對地生成的公開密鑰和私人密鑰。第三密碼密鑰逐個地對應于eUICC 430，并且相應的第三密碼密鑰僅可以由特定eUICC 430解密。

加密裝置422和eUICC 430可以在開始配置文件安裝之前或之后以離線共享方法或網絡通信方法共享第三密碼密鑰。在一個實施例中，加密裝置422和eUICC 430可以在共享數字認證證書的方法中共享第三密碼密鑰。即，加密裝置422和eUICC 430具有相同的數字認證證書，從而可以通過使用從相應的數字認證證書中成對生成的公開密鑰和私人密鑰來執(zhí)行相互認證(數據加密和解密)。

在步驟409，加密裝置422將利用第三密碼密鑰加密的第一密碼密鑰發(fā)送到eUICC 430。在步驟411，eUICC 430通過利用預共享的第三密碼密鑰解密來存儲第一密碼密鑰。

隨后，在步驟413，eUICC 430從存儲裝置421接收利用第二密碼密鑰加密的配置文件。

在各種實施例中，網絡裝置420可以向eUICC 430發(fā)送配置加密的配置文件和第一密碼密鑰所需的全部或部分信息。

在步驟415，eUICC 430在解密用第一密碼密鑰加密的配置文件之后安裝相應的配置文件。

根據第一實施例，SM-DP 410可以在安裝eUICC 430的配置文件之前生成大量的加密的配置文件，而沒有時間限制。此外，SM-DP 410使用與網絡裝置420預先共享的密碼密鑰來加密配置文件和用于加密配置文件的第一密碼密鑰，并且預先將它們存儲在網絡裝置420中。因此，當安裝配置文件時，可以在不與SM-DP 410直接同步的情況下將配置文件發(fā)送到eUICC 430。

圖5示出根據本發(fā)明的第二實施例的用于安裝eUICC的配置文件的方法的流程圖。

參考圖5，在本發(fā)明的第二實施例中，在步驟501，SM-DP 510生成用第二密碼密鑰加密的配置文件。這里，SM-DP 510可以是SIM制造商的配置文件提供服務器。

SM-DP 510生成用于多個eUICC 540的配置文件。SM-DP 510可以生成秘密密鑰的IMSI和K值作為用于配置每個eUICC 540的配置文件的信息。

SM-DP 510使用第二密碼密鑰來加密每個配置文件。第二密碼密鑰是主密鑰，其可以是對稱密鑰或不對稱密鑰。此外，第二密碼密鑰可以在SM-DP 510和網絡裝置520之間預先共享。第二密碼密鑰獨立于eUICC 540，并且可以逐個地對應于每個配置文件，或者可以對于所有的配置文件是相同的。用第二密碼密鑰加密的配置文件可以隨機生成，而不固定到特定eUICC 540。

在步驟503，SM-DP 510將利用第二密碼密鑰加密的配置文件發(fā)送到網絡裝置520。在步驟505，網絡裝置520解密用第二密碼密鑰加密的配置文件。

隨后，網絡裝置520在步驟507直接生成第一密碼密鑰。第一密碼密鑰由安裝在網絡裝置520中的加密裝置隨機生成，并且可以是對稱密鑰、非對稱密鑰或SCP 03會話密鑰。

在步驟509，網絡裝置520通過用第一密碼密鑰重新加密配置文件來生成用第一密碼密鑰加密的配置文件。

在一個實施例中，網絡裝置520可以生成以遠程APDU(應用協(xié)議數據單元)形式加密的配置文件。遠程APDU是用于在遠程服務器和eUICC之間發(fā)送加密命令的一種標準(ETSI TS 102.226)，并且在通過用陣列緩沖器單元分割來發(fā)送數據時生成。網絡裝置520可以通過利用第一密碼密鑰重新加密配置文件來生成遠程APDU。

在步驟511，網絡裝置520將第一密碼密鑰和用第一密碼密鑰加密的配置文件發(fā)送到SM-DP 530。這里，SM-DP 530可以是SIM的配置文件提供服務器或者由終端制造商單獨操作的配置文件提供服務器。在開始配置文件安裝之前，SM-DP 530可以存儲大量的第一密碼密鑰和用第一密碼密鑰加密的配置文件。

如果eUICC 540的配置文件安裝實際上在某個時間開始，則在步驟513，SM-DP 530用第三密碼密鑰加密第一密碼密鑰。第三密碼密鑰是由eUICC 540發(fā)布的電子密鑰，并且可以是對稱密鑰或不對稱密鑰。第三密碼密鑰由數字認證方法提供，并且可以根據預先共享的認證方法成對地生成公開密鑰和私人密鑰。第三密碼密鑰逐個地對應于每個eUICC 540，從而可以僅通過與第三密碼密鑰相對應的特定eUICC來解密。

在開始配置文件的安裝之前或之后，SM-DP 530和eUICC 540可以在離線共享方法或網絡通信方法中共享第三密碼密鑰。在一個實施例中，SM-DP 530和eUICC 540可以在共享數字認證證書的方法中預共享第三密碼密鑰。即，加密裝置530和eUICC 540具有相同的數字認證證書，從而可以通過使用從相應的數字認證證書中成對生成的公開密鑰和私人密鑰來執(zhí)行相互認證(數據加密和解密)。

在步驟515，SM-DP 530發(fā)送用第三密碼密鑰加密的第一秘密密鑰到eUICC 540。在一個實施例中，SM-DP 530可以根據CCCM場景#1將第一密碼密鑰發(fā)送到eUICC 540。場景#1是加密和發(fā)送會話密鑰的全球平臺規(guī)范技術之一，并且可以通過如下來實現：對應于對第一密碼密鑰或(第一密碼密鑰的傳輸)的請求，通過在SM-DP 530和eUICC 540之間的直接通信來發(fā)送第一密碼密鑰并且響應于第一密碼密鑰。

在步驟517，eUICC 540通過用預共享的第三密碼密鑰解密第一密碼密鑰來存儲第一密碼密鑰。

隨后，eUICC 540在步驟519中基于SM-DP 530的遠程APDU執(zhí)行配置文件的安裝。eUICC 540從SM-DP 530接收通過使用第一密碼密鑰加密而生成的遠程APDU，并且通過用所述第一密碼密鑰解密所述遠程APDU來獲得配置文件。因此，eUICC 540可以安裝獲得的配置文件。

根據第二實施例，SM-DP 510可以在開始eUICC 540的配置文件安裝之前預先存儲由網絡裝置生成的大量加密的配置文件，而沒有時間限制。此外，SM-DP 540通過提供加密的配置文件和用于基于遠程APDU加密的第一密碼密鑰來實現對網絡狀態(tài)的影響較小的配置文件安裝。

與第一實施例相比，第二實施例與第一實施例的區(qū)別在于，生成第一密碼密鑰和用第一密碼密鑰解密配置文件的主體從SM-DP改變到網絡裝置。此外，第二實施例可以與第一實施例的不同之處在于，發(fā)送加密的配置文件的主體從網絡裝置改變到SM-DP。因此，第二實施例與第一實施例的不同之處在于，當發(fā)送使用第三密碼密鑰加密的第一密碼密鑰并且基于遠程APDU執(zhí)行配置文件安裝時使用CCCM場景#1。

圖6示出根據本發(fā)明第三實施例的用于安裝eUICC的配置文件的方法的流程圖。

參考圖6，在本發(fā)明的第三實施例中，在步驟601，SM-DP 610產生用第一密碼密鑰加密的配置文件。

SM-DP 610生成用于多個eUICC 630的配置文件。SM-DP 610可以生成每個eUICC 630的秘密密鑰的IMSI和K值作為用于配置每個eUICC 630的配置文件的信息。

SM-DP 610使用與每個配置文件相對應的第一密碼密鑰加密每個配置文件。第一密碼密鑰由安裝在SM-DP 610中的HSM隨機生成，并且可以是對稱密鑰、非對稱密鑰或SCP 03會話密鑰。第一密碼密鑰獨立于eUICC 630并且逐個地對應于每個配置文件。因此，用第一密碼密鑰加密的配置文件不是針對特定eUICC 650并且以批量形式生成。SM-DP 610可以以批量形式生成和存儲用第一密碼密鑰加密的大量配置文件。

在步驟603，SM-DP 610將利用密碼加密的配置文件發(fā)送到網絡裝置620。在開始配置文件的安裝之前，網絡裝置620在步驟605存儲利用第一密碼加密的配置文件。

如果eUICC 630的配置文件的安裝實際上在特定時間開始，則在步驟607，網絡裝置620確定要以配置文件安裝的至少一個eUICC。網絡裝置620可以根據預定條件或來自eUICC 630或MNO的請求來識別由配置文件安裝事件觸發(fā)的eUICC640，并且基于識別結果確定要以配置文件安裝的至少一個eUICC。

在步驟609，網絡裝置620向SM-DP 610發(fā)送與將被安裝有配置文件的至少一個eUICC相關的信息(列表)。與將被安裝有配置文件的至少一個eUICC相關的信息可以包括相應eUICC的標識符(EID)、相應eUICC中要安裝的配置文件的標識符以及相應的eUICC的認證證書。

如果從eUICC接收到與至少一個eUICC相關的信息，則在步驟611，SM-DP 610用第三密碼密鑰加密第一密碼密鑰。第三密碼密鑰是由eUICC 630發(fā)布的電子密鑰，并且可以是對稱密鑰或不對稱密鑰。在數字認證方法中提供的第三密碼密鑰，可以配置有根據預共享認證方法成對地生成的公開密鑰和秘密密鑰。第三密碼密鑰逐個地對應于eUICC 630，從而可以僅用于與第三密碼密鑰相對應的特定eUICC中的解密。

SM-DP 610和eUICC 630可以在開始配置文件的安裝之前或之后以離線共享方法或網絡通信方法共享第三密碼密鑰。在一個實施例中，SM-DP 610和eUICC 630可以在共享數字認證證書的方法中預共享第三密碼密鑰。即，加密裝置610和eUICC630具有相同的數字認證證書，從而可以通過使用從相應的數字認證證書中成對生成的公開密鑰和秘密密鑰來執(zhí)行相互認證(數據加密和解密)。在各種實施例中，用第三密碼密鑰加密的第一密碼密鑰可以從SM-DP 610直接發(fā)送到eUICC 630。

在步驟613，SM-DP 610將利用第三密碼密鑰加密的第一密碼密鑰發(fā)送到網絡裝置620。在步驟615，網絡裝置620將加密的第二密碼密鑰發(fā)送到eUICC 630。此外，在步驟617網絡裝置620將使用第一密碼密鑰加密的配置文件發(fā)送到eUICC 630。

在步驟619，eUICC 630通過解密用第三密碼密鑰加密的第一密碼密鑰來獲得第一密碼密鑰，并且在步驟621中，在用所獲得的第一密碼密鑰解密配置文件之后安裝相應的配置文件。

根據第三實施例，網絡裝置620可以在開始eUICC 630的配置文件安裝之前沒有時間限制地預先存儲由SM-DP 610生成的大量的加密的配置文件。

與第一實施例相比，第三實施例與第一實施例的區(qū)別在于，在開始配置文件的安裝之后，僅對網絡裝置所請求的eUICC執(zhí)行加密的第一密碼密鑰的傳輸。

在下文中，將描述根據本發(fā)明的實施例操作的裝置的配置。

圖7示出根據本發(fā)明的實施例的裝置的結構的框圖。

參考圖7，根據本發(fā)明實施例的SM-DP 700可以配置有通信單元701、控制單元702和加密單元703。

通信單元701可以向/從其他裝置發(fā)送和接收數據。通信單元701可以發(fā)送和接收加密的密鑰和加密的配置文件。為此，通信單元701可以包括至少一個通信模塊和天線。

根據本發(fā)明，控制單元702可以控制SM-DP 700的每個組件以安裝配置文件?？刂茊卧?02的詳細操作與上述相同。

加密單元703根據控制單元702的控制來執(zhí)行密鑰或配置文件的加密或解密。加密單元703可以安裝在控制單元702中或者以由控制單元702驅動的軟件代碼形式提供。

參考圖7，根據本發(fā)明實施例的網絡裝置710可以配置有通信裝置711、加密裝置712和存儲裝置713。

通信裝置711可以向/從其他裝置發(fā)送或接收數據。通信裝置711可以發(fā)送或接收加密的密鑰或加密的配置文件。為此，通信裝置711可以包括至少一個通信模塊和天線。

在各種實施例中，如果網絡裝置710用作包括加密裝置712和存儲裝置713的裝置操作，則通信裝置711可以安裝在網絡裝置710中?；蛘?，如果網絡裝置710被解釋為包括分別配置的加密裝置712和存儲裝置713的通常概念，則通信裝置711可以單獨地安裝在加密裝置712和存儲裝置713中。在這種情況下，加密裝置712和存儲裝置713可以通過通信裝置711彼此發(fā)送和接收數據。

加密裝置712可以包括HSM或被稱為HSM本身，并且可以在不暴露密碼密鑰的情況下執(zhí)行加密和解密。

存儲裝置713存儲至少一個配置文件。存儲裝置713可以包括硬盤、RAM(隨機存取存儲器)、SRAM(靜態(tài)隨機存取存儲器)、ROM(只讀存儲器)、EEPROM(電可擦除可編程只讀存儲器)、PROM(可編程只讀存儲器)、磁存儲器、磁盤和光盤中的至少一個介質。

網絡裝置710可以以服務器形式配置。在網絡裝置710作為包括加密裝置712和存儲裝置713的裝置操作的情況下，網絡裝置710可以包括用于集中地控制加密裝置712和存儲裝置713的單獨的控制裝置。

參考圖7，根據本發(fā)明實施例的終端720可以配置有通信單元721、控制單元722和eUICC 723。

通信單元721可以向/從其他裝置發(fā)送或接收。通信單元721可以接收加密的密鑰和加密的配置文件。為此，通信單元721可以包括至少一個通信模塊和天線。

根據本發(fā)明，控制單元722可以控制終端720的每個組件以安裝配置文件。控制單元722的詳細操作與上述相同。

eUICC 723是安裝在終端720中的UICC芯片，并且執(zhí)行存儲、管理和刪除至少一個配置文件的功能。該配置文件包括諸如一個或多個應用、訂戶認證信息和電話簿的數據信息。

為了更容易理解本發(fā)明，已經提出了附圖所示的本發(fā)明的上述實施例，并且實施例不限制本發(fā)明的范圍。此外，本領域技術人員將理解，在不脫離由所附權利要求及其等同物限定的本發(fā)明的精神和范圍的情況下，可以在其中進行形式和細節(jié)上的各種改變。