本技术涉及通用集成电路卡,例如涉及一种用于终端设备与euicc互信认证的方法。
背景技术:
1、随着消费类电子业务需求快速迭代,人们的认知水平也在逐步提高,对个人隐私及信息安全越来越重视,承载着个人身份信息的载体越来越重要。目前,市面上大部分终端在出厂时预置装载了euicc(embedded universal integrated circuit card,嵌入式通用集成电路卡),可通过更换终端或euicc来达到获取个人信息的目的。
2、相关技术中,默认许可了终端设备与euicc的互信认证,将euicc插入终端设备后,终端设备直接开始与euicc互相通信,完成数据交换,接入运营商网络。
3、在实现本公开实施例的过程中,发现相关技术中至少存在如下问题:
4、相关技术中,终端设备与euicc两个独立的实体部件之间无互信机制,若将euicc更换,新的euicc依旧能与终端设备完成通信和数据交换。本质上未做到终端设备与euicc的绑定与互信,影响终端设备与euicc的信息安全。
5、需要说明的是,在上述背景技术部分公开的信息仅用于加强对本技术的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
1、为了对披露的实施例的一些方面有基本的理解,下面给出了简单的概括。所述概括不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围,而是作为后面的详细说明的序言。
2、本公开实施例提供了一种用于终端设备与euicc互信认证的方法,以提高终端设备与euicc的信息安全。
3、在一些实施例中,用于终端设备与euicc互信认证的方法应用于终端设备,方法包括:获取终端tee(trusted execution environment,可信执行环境)的身份绑定状态;获取euicc的身份绑定状态;在终端tee和euicc均未完成身份绑定的情况下,生成终端侧会话密钥,并根据终端侧会话密钥进行终端tee与euicc的身份绑定验证;在终端tee和euicc均已完成身份绑定的情况下,根据终端侧会话密钥进行终端tee与euicc的互信认证。
4、可选地,生成终端侧会话密钥,包括:生成终端侧临时私钥和终端侧临时公钥;向euicc发送终端侧临时公钥,并获取euicc侧临时公钥;根据终端侧临时私钥和euicc侧临时公钥,生成终端侧会话密钥。
5、可选地,终端侧会话密钥包括终端侧加密密钥和终端侧计算密钥;根据终端侧会话密钥进行终端tee与euicc的身份绑定验证,包括:获取euicc生成的第一随机数,以及第一随机数的第一mac(message authentication code,消息认证码)值;使用终端侧计算密钥验证第一mac值,并使用终端侧加密密钥对第一随机数进行加密,获得第一加密随机数;向euicc发送第一加密随机数进行身份绑定验证,获得验证结果,验证通过则保存终端侧会话密钥和终端侧身份绑定标记位。
6、可选地,根据终端侧会话密钥进行终端tee与euicc的互信认证,包括:获取euicc生成的第二随机数,以及第二随机数的第二mac值;使用终端侧计算密钥验证第二mac值,并使用终端侧加密密钥对第二随机数进行加密,获得第二加密随机数;向euicc发送第二加密随机数进行互信认证,获得认证结果,认证通过则完成终端tee与euicc的互信认证。
7、可选地,用于终端设备与euicc互信认证的方法还包括:响应于解除身份绑定指令,安装解绑软件;响应于解绑软件的触发操作,根据终端侧会话密钥进行终端tee与euicc的身份解绑验证,验证通过则清除终端侧会话密钥。
8、在一些实施例中,用于终端设备与euicc互信认证的方法应用于euicc,方法包括:向终端设备发送euicc的身份绑定状态;在终端设备判断终端tee和euicc均未完成身份绑定的情况下,生成euicc侧会话密钥,并根据euicc侧会话密钥进行终端tee与euicc的身份绑定验证;在终端设备判断终端tee和euicc均已完成身份绑定的情况下,根据euicc侧会话密钥进行终端tee与euicc的身份绑定验证。
9、可选地,生成euicc侧会话密钥,包括:获取终端侧临时公钥;生成euicc侧临时私钥和euicc侧临时公钥,并向终端设备发送euicc侧临时公钥;根据终端侧临时公钥和euicc侧临时私钥,生成euicc侧会话密钥。
10、可选地,euicc侧会话密钥包括euicc侧加密密钥和euicc侧计算密钥;根据euicc侧会话密钥进行终端tee与euicc的身份绑定验证,包括:根据终端设备发送的第一随机数获取指令,生成第一随机数,并通过euicc侧计算密钥计算第一随机数的第一mac值;将第一随机数和第一mac值发送至终端设备;获取终端设备返回的第一加密随机数,并通过euicc侧加密密钥对第一加密随机数进行解密,获得第一解密随机数;在第一解密随机数和第一随机数相同的情况下,向终端设备发送验证通过结果,并保存euicc侧会话密钥和euicc侧身份绑定标记位。
11、可选地,根据euicc侧会话密钥进行终端tee与euicc的互信认证,包括:根据终端设备发送的第二随机数获取指令,生成第二随机数,并通过euicc侧计算密钥计算第二随机数的第二mac值;将第二随机数和第二mac值发送至终端设备;获取终端设备返回的第二加密随机数,并通过euicc侧加密密钥对第二加密随机数进行解密,获得第二解密随机数;在第二解密随机数和第二随机数相同的情况下,向终端设备发送认证通过结果。
12、可选地,用于终端设备与euicc互信认证的方法还包括:响应于终端设备中解绑软件的触发操作,在euicc已完成身份绑定的情况下,根据euicc侧会话密钥进行终端tee与euicc的身份解绑验证;在身份解绑验证通过的情况下,清除euicc侧会话密钥。
13、本公开实施例还提供一种用于终端设备与euicc互信认证的装置,包括处理器和存储有程序指令的存储器,所述处理器被配置为在运行所述程序指令时,执行如上述的用于终端设备与euicc互信认证的方法。
14、本公开实施例还提供了一种终端设备,所述终端设备包括处理器和存储有程序指令的存储器,所述处理器被配置为在运行所述程序指令时,执行上述的应用于终端设备的用于终端设备与euicc互信认证的方法。
15、本公开实施例还提供了一种euicc,所述euicc包括处理器和存储有程序指令的存储器,所述处理器被配置为在运行所述程序指令时,执行上述的应用于euicc的用于终端设备与euicc互信认证的方法。
16、本公开实施例提供的用于终端设备与euicc互信认证的方法及装置、终端设备、euicc,可以实现以下技术效果:
17、在终端设备的使用过程中,通过获取终端tee和euicc的身份绑定状态,来判断终端tee与euicc是否已经完成了身份绑定验证。在终端tee和euicc均未完成身份绑定的情况下,则生成终端侧会话密钥,并根据终端侧会话密钥进行终端tee与euicc的身份绑定验证,以实现终端tee与euicc的身份绑定。在终端tee和euicc均已完成身份绑定的情况下,则根据终端侧会话密钥进行终端tee与euicc的互信认证,认证通过则终端设备可以正常使用。在本公开实施例中,建立了终端设备与euicc的身份绑定与互信认证,实现了机卡身份绑定。若将终端设备的euicc进行更换,新的euicc由于没有与终端设备进行身份绑定,因此新的euicc与终端设备无法完成互信认证,也无法进行通信和数据交换,从而实现了终端设备与euicc的信息安全保护。
18、以上的总体描述和下文中的描述仅是示例性和解释性的,不用于限制本技术。
1.一种用于终端设备与嵌入式通用集成电路卡euicc互信认证的方法,应用于终端设备,其特征在于,方法包括:
2.根据权利要求1所述的方法,其特征在于,生成终端侧会话密钥,包括:
3.根据权利要求1所述的方法,其特征在于,终端侧会话密钥包括终端侧加密密钥和终端侧计算密钥;根据终端侧会话密钥进行终端tee与euicc的身份绑定验证,包括:
4.根据权利要求1所述的方法,其特征在于,终端侧会话密钥包括终端侧加密密钥和终端侧计算密钥;根据终端侧会话密钥进行终端tee与euicc的互信认证,包括:
5.根据权利要求1至4任一项所述的方法,其特征在于,还包括:
6.一种用于终端设备与euicc互信认证的方法,应用于euicc,其特征在于,方法包括:
7.根据权利要求6所述的方法,其特征在于,生成euicc侧会话密钥,包括:
8.根据权利要求6所述的方法,其特征在于,euicc侧会话密钥包括euicc侧加密密钥和euicc侧计算密钥;根据euicc侧会话密钥进行终端tee与euicc的身份绑定验证,包括:
9.根据权利要求6所述的方法,其特征在于,euicc侧会话密钥包括euicc侧加密密钥和euicc侧计算密钥;根据euicc侧会话密钥进行终端tee与euicc的互信认证,包括:
10.根据权利要求6至9任一项所述的方法,其特征在于,还包括:
