[发明专利]用于订户身份模块容器的OTA配设的订户身份模块提供商装置和方法

权利要求书

1.一种订户身份模块(SIM)提供商装置，包括硬件处理电路，所述硬件处理电路被配置为执行下述操作：

基于主属性导出第一服务提供商密钥(SPK)，其中所述主属性包括主密钥，并且所述主属性由所述SIM提供商装置和SIM容器共享；

用所述第一SPK对第一随机数进行签名，并且向具有所述SIM容器的设备发送经签名的第一随机数；

从所述SIM容器接收所述第一随机数和第二随机数；以及

验证接收到的第一随机数和第二随机数是用第二SPK签名的。

2.根据权利要求1所述的SIM提供商装置，其中，所述硬件处理电路还被配置为：响应于成功验证所述第一随机数和所述第二随机数是由所述SPK签名的，存储所述SPK。

3.根据权利要求1所述的SIM提供商装置，其中，所述硬件处理电路还被配置为通过由SPK＝KDF(MK，M-IMSI，SP-IMSI，随机数，“SPK_Derivation”)表示的密钥导出来导出所述SPK。

4.根据权利要求3所述的SIM提供商装置，其中，所述硬件处理电路还被配置为：

将接收到的使用所述第二SPK生成的第一随机数和第二随机数的签名与所述第一SPK的签名和使用所述第一SPK本地生成的第二随机数的签名进行比较；以及

当所述第一SPK与所述第二SPK相同时，向所述SIM容器发送确以。

5.根据权利要求1所述的SIM提供商装置，其中，所述硬件处理电路还被配置为用单向密钥导出函数生成所述第一SPK。

6.根据权利要求1所述的SIM提供商装置，其中，所述SIM提供商装置通过互联网协议连接可操作地耦合到所述SIM容器。

7.根据权利要求6所述的SIM提供商装置，其中，所述硬件处理电路还被配置为通过所述IP连接向所述SIM容器发送命令，其中所述命令被配置为在所述SIM容器中启动对所述第二SPK的生成。

8.根据权利要求7所述的SIM提供商装置，其中，所述命令包括服务提供商IMSI(SP-IMSI)和由所述SIM提供商装置生成的第一随机数，其中所述SIM提供商装置还被配置为用所述第一SPK对所述第一随机数进行签名。

9.根据权利要求8所述的SIM提供商装置，其中，所述硬件处理电路还被配置为接收由所述SIM容器导出的所述第一随机数和第二随机数，其中所述第一随机数和第二随机数由所述第二SPK签名。

10.根据权利要求1所述的SIM提供商装置，其中，所述SIM容器是可从所述设备移除的SIM卡、通用集成电路卡(UICC)、焊接到所述设备中的SIM卡、所述设备的存储器区域、或所述设备的任意安全容器。

11.一种用于由具有硬件处理电路的订户身份模块(SIM)装置对设备中的SIM容器进行OTA配设的方法，所述方法包括：

根据第一随机数和存储在所述SIM提供商装置中的主属性导出第一服务提供商密钥(SPK)，其中所述主属性包括由所述SIM提供商装置和所述设备中的所述SIM容器共享的主密钥和主IMSI(M-IMSI)；

通过IP连接向具有所述SIM容器的所述设备发送由所述第一SPK签名的所述第一随机数；

从所述设备接收由第二SPK签名的所述第一随机数和第二随机数，所述第二SPK由所述SIM容器响应于所述第一随机数和存储在所述SIM容器中的主属性导出；以及

验证接收到的第一随机数和第二随机数是用与所述第一SPK相同的所述第二SPK签名的。

12.根据权利要求11所述的方法，还包括：

在所述SIM提供商装置与所述设备之间建立漫游连接；

在所述SIM提供商装置与具有所述SIM容器的所述设备之间建立互联网协议(IP)连接作为安全数据隧道；

从本地服务提供商接收服务提供商国际移动订户身份(SP-IMSI)；以及

响应于所述第一SPK与所述第二SPK相同，存储所述SP-IMSI和所述第一SPK。

13.根据权利要求12所述的方法，其中，所述SIM提供商装置模仿漫游服务提供商。

14.根据权利要求12所述的方法，其中，所述IP连接是安全数据隧道。