技术特征:
1.一种辅助安全域的创建方法,其特征在于,应用于签约关系管理平台安全路由网元sm
‑
sr,所述方法包括:接收业务平台发送的创建辅助安全域ssd请求;根据创建ssd请求向euicc的根安全域isd
‑
r发送ssd创建命令,以使所述isd
‑
r接收到所述ssd创建命令后在所述euicc中创建ssd;接收所述isd
‑
r返回的ssd创建响应,并根据所述ssd创建响应为创建的ssd生成初始密钥;将所述初始密钥发送给所述isd
‑
r,以使所述isd
‑
r将所述初始密钥转发给所述创建的ssd;向所述业务平台发送所述初始密钥,以使所述业务平台用所述初始密钥与创建的ssd建立安全通道。2.根据权利要求1所述的辅助安全域的创建方法,其特征在于,所述将所述初始密钥发送给所述isd
‑
r之后,所述方法还包括:向签约关系管理平台数据准备sm
‑
dp发送申请ssd迁移令牌请求,以使所述sm
‑
dp接收到所述申请ssd迁移令牌请求后生成ssd迁移令牌;接收所述sm
‑
dp返回的所述ssd迁移令牌;向所述isd
‑
r发送携带有所述ssd迁移令牌的ssd迁移命令,以使所述isd
‑
r向profile安全域isd
‑
p转发所述ssd迁移命令,并使所述isd
‑
p接收到所述ssd迁移命令后对所述ssd迁移令牌进行验证,并在验证通过后,向所述euicc发送授权所述euicc将所述创建的ssd迁移至所述isd
‑
p的指示信息,以使所述euicc将所述创建的ssd迁移至所述isd
‑
p。3.根据权利要求2所述的辅助安全域的创建方法,其特征在于,所述创建ssd请求携带euicc标识eid以及业务平台证书,所述根据创建ssd请求向euicc的根安全域isd
‑
r发送ssd创建命令,具体包括:根据所述eid查询对应的euicc的euicc信息集eis信息;根据所述eis信息对接收到的所述创建ssd请求进行合法性验证;若验证通过,则进一步根据所述eid对应的profile信息判断是否允许创建ssd,并在判断结果为是时,为待创建的ssd分配应用标识;向所述isd
‑
r发送携带有所述应用标识的ssd创建命令,以使所述isd
‑
r接收到所述ssd创建命令后在所述euicc中创建所述应用标识对应的ssd。4.根据权利要求3所述的辅助安全域的创建方法,其特征在于,所述根据所述eid查询对应的euicc的euicc信息集eis信息之后,所述方法还包括:从所述eis信息中获取所述eid对应的当前激活profile的移动用户号码msisdn以及euicc证书;将所述euicc证书以及当前激活profile的msisdn发送给所述业务平台。5.根据权利要求3所述的辅助安全域的创建方法,其特征在于,所述申请ssd迁移令牌请求携带所述eid,当前激活profile的集成电路卡识别码iccid,所述应用标识以及所述业务平台证书;所述根据所述eid查询对应的euicc的euicc信息集eis信息之后,所述方法还包括:从所述eis信息中获取所述eid对应的当前激活profile的iccid;
所述向所述isd
‑
r发送携带有所述ssd迁移令牌的ssd迁移命令之后,所述方法还包括:接收所述isd
‑
r在所述创建的ssd迁移后返回的迁移成功消息;根据所述迁移成功消息向所述sm
‑
dp发送ssd迁移成功响应,以使所述sm
‑
dp接收到所述ssd迁移成功响应后更新所述eid对应的profile信息。6.一种辅助安全域的创建方法,其特征在于,应用于euicc,所述方法包括:所述euicc的isd
‑
r接收sm
‑
sr发送的ssd创建命令,所述ssd创建命令是所述sm
‑
sr接收到业务平台发送的创建ssd请求后发送的;所述isd
‑
r根据所述ssd创建命令在所述euicc中创建ssd;若接收到创建的ssd发送的ssd创建成功消息,所述isd
‑
r向所述sm
‑
sr返回ssd创建响应,以使所述sm
‑
sr接收到所述ssd创建响应后为创建的ssd生成初始密钥,并向所述业务平台发送所述初始密钥;所述isd
‑
r接收所述sm
‑
sr发送的所述初始密钥,并向所述创建的ssd发送所述初始密钥;所述创建的ssd接收所述初始密钥,并使用所述初始密钥与所述业务平台建立安全通道。7.根据权利要求6所述的辅助安全域的创建方法,其特征在于,所述isd
‑
r接收所述sm
‑
sr发送的所述初始密钥之后,所述方法还包括:所述isd
‑
r接收所述sm
‑
sr发送的携带有ssd迁移令牌的ssd迁移命令,所述ssd迁移令牌是所述sm
‑
sr向sm
‑
dp发送申请ssd迁移令牌请求后,从所述sm
‑
dp中获取的;所述isd
‑
r向isd
‑
p转发所述ssd迁移命令;所述isd
‑
p接收到所述ssd迁移命令后对所述ssd迁移令牌进行验证,并在验证通过后,向所述euicc发送授权所述euicc将所述创建的ssd迁移至所述isd
‑
p的指示信息;所述euicc接收所述指示信息,并将所述创建的ssd迁移至所述isd
‑
p。8.一种sm
‑
sr,其特征在于,包括:第一接收模块,用于接收业务平台发送的创建辅助安全域ssd请求;第一发送模块,与所述第一接收模块连接,用于根据创建ssd请求向euicc的根安全域isd
‑
r发送ssd创建命令,以使所述isd
‑
r接收到所述ssd创建命令后在所述euicc中创建ssd;接收生成模块,与所述第一发送模块连接,用于接收所述isd
‑
r返回的ssd创建响应,并根据所述ssd创建响应为创建的ssd生成初始密钥;第二发送模块,与所述接收生成模块连接,用于将所述初始密钥发送给所述isd
‑
r,以使所述isd
‑
r将所述初始密钥转发给所述创建的ssd;第三发送模块,与所述接收生成模块连接,用于向所述业务平台发送所述初始密钥,以使所述业务平台用所述初始密钥与创建的ssd建立安全通道。9.根据权利要求8所述的sm
‑
sr,其特征在于,还包括:第四发送模块,用于向签约关系管理平台数据准备sm
‑
dp发送申请ssd迁移令牌请求,以使sm
‑
dp接收到申请ssd迁移令牌请求后生成ssd迁移令牌;第二接收模块,用于接收sm
‑
dp返回的ssd迁移令牌;第五发送模块,用于向isd
‑
r发送携带有ssd迁移令牌的ssd迁移命令,以使isd
‑
r向
profile安全域isd
‑
p转发ssd迁移命令,并使isd
‑
p接收到ssd迁移命令后对ssd迁移令牌进行验证,并在验证通过后,向euicc发送授权euicc将创建的ssd迁移至isd
‑
p的指示信息,以使euicc将创建的ssd迁移至isd
‑
p。10.一种sm
‑
sr,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以实现如权利要求1
‑
5中任一项所述的辅助安全域的创建方法。11.一种辅助安全域的创建系统,其特征在于,包括:sm
‑
sr、和euicc;所述sm
‑
sr用于执行权利要求1
‑
5任一项所述的辅助安全域的创建方法;所述euicc用于执行权利要求6或7所述的辅助安全域的创建方法。
技术总结
本发明提供一种辅助安全域的创建方法、SM
技术研发人员:韩玲
受保护的技术使用者:中国联合网络通信集团有限公司
技术研发日:2021.06.17
技术公布日:2021/10/8