本公開涉及管理具有多個證書頒發者的嵌入式通用集成電路卡調配。一些實施方案通過具有嵌入式通用集成電路卡eUICC的遠程SIM調配RSP交易中的電子用戶身份模塊eSIM服務器，識別要作為可信第三方信賴的證書頒發者CI。在RSP生態系統中，可能存在多個CI。各方依賴公鑰基礎結構PKI技術用于建立信任。信任可基于可信的第三方諸如CI來建立。各方需要同意CI，以便某些PKI技術有用。本文提供的實施方案描述eUICC和eSIM服務器達成同意CI的方法。候選或協商的CI可在公鑰標識符PKID列表中指示。在一些實施方案中，借助發現服務器、經由激活代碼AC和/或在建立配置文件調配會話期間，分發PKID列表。

技術領域

所述實施方案涉及管理嵌入式通用集成電路卡(eUICC)調配，包括確定由電子用戶身份模塊(eSIM)服務器和無線設備的eUICC兩者信任的一個或多個證書頒發者(CI)。

背景技術

eSIM或配置文件包括與移動網絡運營商(MNO)相關的軟件和認證功能。配置文件可存在于從MNO接收服務的無線設備內的安全元件(SE)上。通用集成電路卡(UICC)和嵌入式UICC(eUICC)是用于托管配置文件的SE的示例?？捎蒭SIM服務器為無線設備的eUICC調配新的配置文件。eSIM服務器的示例包括訂閱管理器數據準備(SM-DP)實體或稱為SM-DP+的増強型SM-DP。

配置文件是運營商數據和在設備中的SE上調配的應用程序的組合，目的是由運營商提供服務，例如MNO。SE可由eUICC標識符識別，eUICC標識符是可被引用為EID的唯一編號。通用用戶身份模塊(USIM)是一種配置文件類型的示例。配置文件可由集成電路卡標識符(ICCID)的唯一編號識別。

無線運營商是提供無線蜂窩網絡服務的公司。MNO是通過移動網絡基礎設施向其用戶提供接入能力和通信服務的實體。無線設備在本文中也可簡稱為設備。最終用戶或客戶是使用設備的人。啟用配置文件可包括通過設備的SE和SE外部的設備的處理電路之間的接口選擇文件和/或應用程序。若要使用設備，可通過MNO激活配置文件。在設備內將新的配置文件放置在SE上稱為調配?？捎糜趲椭{配的設備中的邏輯實體可以是硬件、固件和/或設備軟件的組合，包括例如本地配置文件助理(LPA)。與消費性設備中的配置文件管理相關的文檔是GSM協會(GSMA)文檔GSMA SGP.22：“RSP技術規范”(下文稱為“SGP.22”)。

eUICC包括操作系統，并且eUICC操作系統可包括為與給定運營商相關聯的網絡訪問應用程序提供認證算法的能力。eUICC內的安全域可包括用于MNO的空中下載(OTA)密鑰，并且可提供用于在eUICC和MNO的網絡實體之間進行通信的安全OTA通信信道。OTA密鑰是由MNO用于遠程管理eUICC上的MNO配置文件的憑據。

eUICC的通信可使用公鑰基礎結構(PKI)技術進行驗證。用于認證和保密性目的的證書可由證書頒發者(CI)生成。公鑰證書在本文中也可簡稱為證書。設備、eUICC和/或配置文件可存儲證書的副本，其中所述證書包括給定方的名稱(例如，用戶身份)。名稱可用對象標識符(OID)來指定。證書中記錄的公鑰可用于檢查使用給定方的相應PKI私鑰簽名的消息的簽名。PKI證書的一個示例是X.509證書，諸如互聯網工程任務組(IETF)征求修正意見書(RFC)5280中所述。

CI是簽名公鑰基礎結構(PKI)證書的實體。認證和加密可由一方使用公鑰—私鑰對(本文中也稱為PKI公鑰—私鑰對)來實現。公鑰可通過提供包括公鑰的證書分發給其他方，其中證書由CI簽名。公鑰的標識符在本文中可稱為PKID。CI本身提供自簽名證書，可稱為CI證書。在由CI簽名的實體證書中分發其自己的公鑰的實體可被稱為附接到CI證書。

CI可由認證管理機構諸如標準機構認證，例如GSMA。在一些實例中，認證管理機構可設法確保將在配置文件生命周期期間使用的eSIM服務器連接到同一CI證書。在一些實例中，配置文件所有者(例如，MNO)可能要求分發由配置文件所有者擁有的配置文件的eSIM服務器連接到特定CI證書。