域ISD-P發(fā)送包括腳本SP的數(shù)據(jù)DSP�����。這些數(shù)據(jù)是用密鑰KSEC加密的���。
[0066]實踐中����,這些數(shù)據(jù)包括指示它們旨在用于目標(biāo)安全域ISD-P的信息。如果使用SCP80協(xié)議����,則該信息特別地可被包含在TAR字段(工具箱應(yīng)用參考)中,或者如果使用SCP81協(xié)議����,則該信息特別地可被包含在AID字段(應(yīng)用標(biāo)識符)中。
[0067]目標(biāo)安全域ISD-P不提供用于根據(jù)該安全傳輸協(xié)議的通信的服務(wù)���。
[0068]因此���,根據(jù)本發(fā)明,在步驟E20期間���,目標(biāo)安全域ISD-P將該數(shù)據(jù)DSP發(fā)送給專用安全域ISD-R����,使得專用安全域ISD-R對安全傳輸協(xié)議進(jìn)行解封裝�。實踐中,安全域ISD-P調(diào)用安全域ISD-R的服務(wù)來完成該傳送����。
[0069]在此處描述的實施例中���,目標(biāo)安全域ISD-P通過使用全球平臺卡規(guī)范2.2標(biāo)準(zhǔn)的全球服務(wù)接口來向?qū)S冒踩騃SD-R發(fā)送該數(shù)據(jù)DSP。
[0070]在步驟E30期間��,專用安全域ISD-R對安全傳輸協(xié)議進(jìn)行解封裝���,該解封裝特別地包括對接收到的數(shù)據(jù)進(jìn)行解密以及通過簽名驗證機制來對它們進(jìn)行認(rèn)證����。
[0071]在步驟E40期間�,專用安全域ISD-R向目標(biāo)安全域ISD-P發(fā)送用運營商MNO的密鑰KMNO加密了的腳本SP。
[0072]在步驟E50期間����,目標(biāo)安全域ISD-P通過使用與運營商MNO共享的密鑰KMNO來對從安全域ISD-R接收到的腳本SP進(jìn)行解密和認(rèn)證���,其中這些密鑰在產(chǎn)生安全域ISD-P (步驟F20)時已經(jīng)創(chuàng)建����。如果該解密和認(rèn)證操作正確進(jìn)行��,則在該同一步驟E50期間�����,目標(biāo)安全域ISD-P在該安全域中安裝該簡檔P。
[0073]在步驟E60期間�����,目標(biāo)安全域ISD-P準(zhǔn)備意圖用于服務(wù)器SM-SR的響應(yīng)RP�,以向服務(wù)器SM-SR通知簡檔P的安裝結(jié)果是成功或是失敗。
[0074]目標(biāo)安全域ISD-P不能根據(jù)安全傳輸協(xié)議與服務(wù)器SM-SR進(jìn)行通信��。
[0075]因此�,在具體實施例中,目標(biāo)安全域IDS-P準(zhǔn)備好響應(yīng)RP (該響應(yīng)RP是IDS-P用運營商的密鑰KMNO加密的)����,然后要求專用安全域ISD-R對該加密響應(yīng)進(jìn)行加密,以供安全傳送給服務(wù)器SM-SR (步驟E70)�。
[0076]在此處描述的實施例中,目標(biāo)安全域ISD-P通過使用全球平臺卡規(guī)范2.2標(biāo)準(zhǔn)的全球服務(wù)接口來向?qū)S冒踩騃SD-R發(fā)送該加密響應(yīng)RP�。
[0077]在步驟E80期間,專用安全域ISD-R通過使用密鑰KSEC����,根據(jù)安全傳輸協(xié)議,對響應(yīng)RP進(jìn)行加密,并在步驟E90期間���,向目標(biāo)安全域發(fā)送根據(jù)該協(xié)議加密后的響應(yīng)��。
[0078]在步驟ElOO期間���,目標(biāo)安全域ISD-P向服務(wù)器SM-SR發(fā)送該加密后的響應(yīng)。
[0079]在本示例中����,步驟F10、F20��、GlO和ElO至ElOO是以它們呈現(xiàn)的順序來執(zhí)行的�����。
[0080]圖2示出了在本發(fā)明的具體實施例中的根據(jù)本發(fā)明的安全單元10��。
[0081]該安全單元10被包含在移動電話20中�,移動電話20特別地包括處理器21����、RAM22、ROM 23和基于移動網(wǎng)絡(luò)的通信裝置24。例如通過集成電路來構(gòu)建安全單元10�����。
[0082]在此處描述的實施例中�,通信裝置24適于根據(jù)所使用的安全傳輸協(xié)議SCP80或SCP81,按照CAT-TP協(xié)議或按照HTTP協(xié)議安全��,與安全域服務(wù)器SM-SR進(jìn)行通信�。
[0083]在此處所述的實施例中,該安全單元10例如是由ETSI 102 221標(biāo)準(zhǔn)所定義的eUICC組件�����。它特別地包括處理器IURAM 12,ROM 13和與移動電話的處理器21通信的通信裝置24���。
[0084]處理器11能夠執(zhí)行先前參考圖1描述的步驟����。
[0085]在此處描述的實施例中�,移動電話借助APDU命令來與安全單元10通信。
[0086]安全單元10包括目標(biāo)安全域ISD-P和專用安全域ISD-R�����,其中簡檔P必須被安裝在目標(biāo)安全域ISD-P中,專用安全域ISD-R能夠根據(jù)目標(biāo)安全域ISD-P不能解密的安全傳輸協(xié)議來與安全域服務(wù)器SM-SR進(jìn)行通信�����。
[0087]實踐中�,專用安全域ISD-R知曉加密密鑰KSEC,并提供服從該安全協(xié)議的通信�、加密/解密或/和認(rèn)證服務(wù),該密鑰和這些服務(wù)是目標(biāo)安全域ISD-P不知曉或不提供的��。
[0088]目標(biāo)安全域ISD-P包括與運營商MNO共享的一個或更多個密鑰KMNO和使用所述密鑰的加密/解密和/或認(rèn)證方法��。這些方法特別適用于對從專用安全域ISD-R接收到的簡檔P的安裝腳本進(jìn)行解密和/或認(rèn)證�����。
[0089]目標(biāo)安全域ISD-P還包括能夠執(zhí)行這一點以在所述目標(biāo)安全域中安裝簡檔P的進(jìn)程���。
[0090]當(dāng)目標(biāo)安全域ISD-P接收根據(jù)該安全傳輸協(xié)議的數(shù)據(jù)時��,它自動調(diào)用專用安全域ISD-R的進(jìn)程來向?qū)S冒踩騃SD-R傳送這些數(shù)據(jù)����。這就是它將包括簡檔P的加密的安裝腳本的數(shù)據(jù)DSP傳送給專用安全域ISD-P的方式����。
[0091]該專用安全域ISD-R包括用密鑰KSEC對傳輸協(xié)議進(jìn)行解密的進(jìn)程,該進(jìn)程被調(diào)用以獲得加密腳本����。
[0092]專用安全域ISD-R能夠調(diào)用目標(biāo)安全域ISD-P的方法,以向目標(biāo)安全域ISD-P發(fā)送數(shù)據(jù)���。特別地���,它使用該進(jìn)程來向目標(biāo)安全域發(fā)送加密腳本。
【主權(quán)項】
1.一種在安全單元(10)的目標(biāo)安全域(ISD-P)中創(chuàng)建簡檔(P)的方法�����,所述安全單元(10)包括能夠根據(jù)安全傳輸協(xié)議與安全域服務(wù)器(SM-SR)通信的專用安全域(ISD-R)���,所述目標(biāo)安全域(ISD-P)不能解密所述安全傳輸協(xié)議���,所述方法包括: -接收步驟(ElO),由所述目標(biāo)安全域(ISD-P)根據(jù)所述安全傳輸協(xié)議接收數(shù)據(jù)(DSP)�,所述數(shù)據(jù)(DSP)包括用所述目標(biāo)安全域(IDS-P)知的至少一個密鑰(KMNO)加密的所述簡檔(P)的安裝腳本; -傳送步驟(E20)�����,所述目標(biāo)安全域(ISD-P)根據(jù)所述安全傳輸協(xié)議向所述專用安全域(IDS-R)傳送所述數(shù)據(jù)(DSP); -解密步驟(E30),由所述專用安全域(IDS-R)解密所述安全傳輸協(xié)議以獲得所述加密腳本�����; -發(fā)送步驟(E40)���,所述專用安全域(IDS-R)向所述目標(biāo)安全域(ISD-P)發(fā)送所述加密腳本��; -解密步驟(E50)�,由所述目標(biāo)安全域(IDS-P)通過使用所述至少一個密鑰(KMNO)解密所述加密腳本���;以及 -執(zhí)行步驟(E50)�,由所述目標(biāo)安全域(IDS-P)執(zhí)行所述腳本���,以在所述目標(biāo)安全域中安裝所述簡檔(P)�����。2.根據(jù)權(quán)利要求1所述的創(chuàng)建簡檔(P)的方法����,其特征在于:所述目標(biāo)安全域(ISD-P)通過使用全球平臺標(biāo)準(zhǔn)的全球服務(wù)接口來向所述專用安全域(IDS-R)傳送所述數(shù)據(jù)(DSP) ο3.根據(jù)權(quán)利要求1或2所述的創(chuàng)建簡檔(P)的方法,其特征在于:所述安全傳輸協(xié)議是SCP80或SCP81協(xié)議����。4.根據(jù)權(quán)利要求1至3中任一項所述的創(chuàng)建簡檔(P)的方法�����,其特征在于:所述目標(biāo)安全域(ISD-P)向所述專用安全域(ISD-R)發(fā)送(E70)響應(yīng)(RP)����,所述響應(yīng)(RP)由所述專用安全域根據(jù)所述安全傳輸協(xié)議加密(E80),所述加密響應(yīng)被根據(jù)所述安全傳輸協(xié)議回送(E90)給所述目標(biāo)安全域(ISD-P)����,以供傳送給所述服務(wù)器(SM-SR)。5.根據(jù)權(quán)利要求1至4中任一項所述的創(chuàng)建簡檔(P)的方法�,其特征在于,所述方法包括:由所述專用安全域(ISD-R)創(chuàng)建和激活所述目標(biāo)安全域(ISD-P)的步驟(F20)���。6.根據(jù)權(quán)利要求5所述的創(chuàng)建簡檔(P)的方法��,其特征在于�����,創(chuàng)建和激活的所述步驟(F20)包括:由所述目標(biāo)安全域(ISD-P)執(zhí)行腳本�,以產(chǎn)生所述至少一個密鑰(KMNO)。7.一種安全單元(10)��,包括: -目標(biāo)安全域(ISD-P);以及 -專用安全域(ISD-R)��,其能夠根據(jù)安全傳輸協(xié)議與安全域服務(wù)器(SM-SR)通信����,所述安全傳輸協(xié)議不能被所述目標(biāo)安全域(ISD-P)解密; 所述安全單元(10)的特征在于: -所述目標(biāo)安全域(ISD-P)包括: -接收裝置����,用于根據(jù)所述安全傳輸協(xié)議接收數(shù)據(jù)(DSP),所述數(shù)據(jù)(DSP)包括用所述目標(biāo)安全域(IDS-P)知的至少一個密鑰(KMNO)加密的簡檔(P)的安裝腳本����; -傳送裝置,用于根據(jù)所述安全傳輸協(xié)議向所述專用安全域(IDS-R)傳送所述數(shù)據(jù)(DSP); -所述專用安全域(IDS-R)包括: -解密裝置�,用于解密所述安全傳輸協(xié)議,以獲得所述加密腳本���; -發(fā)送裝置����,用于向所述目標(biāo)安全域(IDS-P)發(fā)送所述加密腳本; -所述目標(biāo)安全域(ISD-P)包括: -解密裝置���,用于通過使用所述至少一個密鑰(KMNO)解密所述加密腳本��;以及 -執(zhí)行裝置��,用于執(zhí)行所述腳本,以在所述目標(biāo)安全域中安裝所述簡檔(P)�����。8.根據(jù)權(quán)利要求7所述的安全單元(10)����,其特征在于,所述安全域(ISD-P����,ISD-R)服從全球平臺卡規(guī)范2.2.1標(biāo)準(zhǔn)。9.根據(jù)權(quán)利要求7或8所述的安全單元(10)�����,其特征在于,它包括諸如ETSI102 221標(biāo)準(zhǔn)所定義的eUICC組件���。10.根據(jù)權(quán)利要求7至9中任一項所述的安全單元(10)����,其特征在于��,它由集成電路構(gòu)成����。11.一種終端(20),包括根據(jù)權(quán)利要求7至10中任一項所述的安全單元(10)���。
【專利摘要】本發(fā)明涉及一種在安全單元(10)的目標(biāo)安全域(ISD-P)中創(chuàng)建簡檔(P)的方法����,所述方法包括:接收步驟(E10)����,由所述目標(biāo)安全域(ISD-P)根據(jù)所述安全域不能解釋的安全協(xié)議接收數(shù)據(jù)(DSP),所述數(shù)據(jù)(DSP)包括用所述目標(biāo)安全域(IDS-P)的密鑰(KMNO)加密的所述簡檔(P)的安裝腳本����;傳送步驟(E20),向能夠解釋所述協(xié)議的專用安全域(IDS-R)傳送數(shù)據(jù);解密步驟(E30)����,由所述專用安全域解密所述協(xié)議以獲得所述加密腳本;發(fā)送步驟(E40)����,向所述目標(biāo)安全域發(fā)送所述加密腳本;解密步驟(E50)��,由所述目標(biāo)安全域(IDS-P)用所述密鑰解密所述加密腳本���,并且執(zhí)行所述腳本,以安裝所述簡檔(P)�。
【IPC分類】H04L29/06
【公開號】CN105122769
【申請?zhí)枴緾N201480021752
【發(fā)明人】熱羅姆·迪穆蘭, 亞歷克西斯·米夏埃爾
【申請人】歐貝特科技公司
【公開日】2015年12月2日
【申請日】2014年2月14日
【公告號】EP2957086A1, WO2014125228A1