本發明涉及移動通信領域，尤其涉及一種實現eSIM卡安全認證的管理方法及系統。所述方法包括：對客戶端的合法性進行認證，認證通過后，執行管理命令，將執行結果通知所述客戶端。采用本發明的技術方案，在設備中安裝的LPA客戶端，通過了認證或者規則檢查后，才能得到訪問eSIM卡中安全文件的許可，避免了未經許可直接操作eSIM卡帶來的風險。

技術領域

本發明涉及移動通信技術領域，尤其涉及一種實現eSIM卡安全認證的管理方法及系統。

背景技術

在物聯網領域，eSIM卡作為設備入網的關鍵元件，是設備提供接入運營商網絡和進行身份認證媒介，同時，也給用戶提供選擇運營商以及服務的便利。用戶通過設備操作系統里或手機中的LPA客戶端(Local Profile Assistant，以下簡稱客戶端)，不僅可以選擇下載新的運營商的數據文件profile(profile包含文件系統、入網密鑰參數、輔助安全域、應用等數據)，還可以對本地已有的數據文件profile進行激活、去激活和刪除操作。LPA客戶端在設備操作系統或手機中并不是唯一的，不同的運營商、卡商和第三方應用開發者都可以開發自己的LPA客戶端。

然而，現有的客戶端與eSIM卡之間的數據交互卻沒有任何安全保障?？蛻舳俗鳛檫\行在設備操作系統上的一個應用軟件，可以通過設備提供的硬件接口訪問eSIM卡，但是設備提供的硬件接口，并沒有認證客戶端的合法性，只要客戶端能安裝在設備的操作系統中即可。因此，會產生如下問題：

(1)如果安裝了多個來自不同運營商的客戶端，如：聯通客戶端和移動客戶端，聯通客戶端下載了數據文件profile之后，移動客戶端可以無條件將該數據文件profile刪除。

(2)如果安裝了惡意客戶端，則eSIM卡內的數據文件profile可以被該客戶端無限制訪問。

發明內容

為克服現有技術中存在的不足，本發明提供了一種實現eSIM卡安全認證的管理方法。

本發明采用的技術方案是：一種實現eSIM卡安全認證的管理方法，包括：

對客戶端的合法性進行認證；

認證通過后，執行管理命令；

將執行結果通知所述客戶端。

所述eSIM卡持有eSIM證書、EUM證書、eSIM私鑰、CA證書和共享信息。

所述對客戶端的合法性進行認證，具體包括：

驗證來自所述客戶端的認證請求，當認證請求合法時，生成臨時非對稱密鑰，然后協商產生會話密鑰，根據所述會話密鑰建立安全通道。

所述eSIM卡中預置所述客戶端的訪問規則。

所述對客戶端的合法性進行認證，具體包括：

接收來自所述客戶端的唯一標識碼和哈希值，讀取eSIM卡中預置的所述訪問規則，當檢查所述客戶端的唯一標識碼和哈希值與所述訪問規則中的唯一標識碼和哈希值匹配時，認證客戶端合法性通過。

一種eSIM卡，包括如下部件：

第一安全元件，對客戶端的合法性進行認證；

處理元件，用于在所述第一安全元件對所述客戶端的認證合法性通過后，執行管理命令，將執行結果通知客戶端。

所述第一安全元件具體用于，驗證來自所述客戶端的認證請求，當認證請求合法時，生成臨時非對稱密鑰，然后協商生成會話密鑰，根據所述eSIM會話密鑰建立安全通道。

所述第一安全元件還用于預置所述客戶端的訪問規則，所述訪問規則包括訪問eSIM卡的客戶端應用的唯一標識碼和哈希值。