基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台

本发明涉及通信技术领域，尤其涉及一种基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台。

随着嵌入式用户身份识别卡(Embedded Subscriber Identification Module，eSIM)业务的发展，越来越多的终端设备支持eSIM业务，这些设备被称为远程SIM配置(Remote SIM Provisioning，RSP)终端。RSP终端不需要设置独立的SIM卡槽，而是直接将实体eSIM卡嵌入到了终端设备的芯片中。RSP终端设备可以通过与eSIM管理平台的交互，实现eSIM卡的远程激活与终止、业务定制与变更、配置信息的更新、删除、下载与安装等功能。

根据GSMA国际标准规范，eSIM管理平台与RSP终端进行交互时，需要对RSP终端的eSIM卡的证书进行认证，具体的，RSP终端向eSIM管理平台发送认证请求，在认证请求中携带该终端的eSIM卡的证书，eSIM管理平台接收到认证请求后，查是否存在与该eSIM卡的证书对应的DP证书，若存在则认证通过。其中，eSIM卡的证书是终端厂商在生产终端时预置安装到RSP终端中的。

随着可信执行环境(Trusted Execution Environment,TEE)概念的提出，越来越多的终端支持TEE。TEE是设置在终端内的一个独立的安全运行环境，该运行环境与多媒体执行环境(Rich Execution Environment，REE)逻辑隔离，两者只能通过授权的应用程序编程接口进行交互。TEE提供了可信应用(Trust APP，TA)的安全执行环境，同时也保证TA的资源和数据的保密性、完整性和访问权限。利用TEE终端可以实现虚拟eSIM卡，即将eSIM卡的数据写入TEE终端的预设内存中，模拟真实的eSIM卡，实现接入运营商的网络进行通信。

由于TEE终端采用的是虚拟eSIM卡，其设备芯片中并未嵌入实体SIM卡，因此TEE终端中并未预置eSIM卡的证书，使得TEE终端无法按照GSMA国际标准规范与eSIM管理平台进行交互。

本发明提供一种基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台，管理平台为TEE终端分配虚拟eSIM卡的标识并为虚拟eSIM卡生成证书，使得TEE终端能够按照GSMA国际标准规范与管理平台进行后续的虚拟eSIM卡的认证流程，提高了TEE终端与管理平台进行交互的安全级别。

第一方面，本发明提供的基于TEE的虚拟eSIM卡的认证方法，应用于TEE终端，所述TEE终端中设置有所述虚拟eSIM卡，所述方法包括：

向管理平台发送签名验证请求，所述签名验证请求包括所述TEE终端的签名信息，用于所述管理平台向验证平台请求对所述签名信息进行验证；

接收所述管理平台发送的第一标识，所述第一标识为在所述验证平台对所述签名信息验证成功时，所述管理平台为所述虚拟eSIM卡分配的标识信息；

向所述管理平台发送证书申请请求，所述证书申请请求用于所述管理平台向证书生成平台请求为所述虚拟eSIM卡生成证书，其中，所述证书申请请求中包括所述第一标识；

接收所述管理平台发送的第一证书，并使用所述第一证书与所述管理平台进行虚拟eSIM卡的认证；其中，所述第一证书为所述证书生成平台根据所述证书申请请求为所述虚拟eSIM卡生成的证书。

可选的，所述向管理平台发送签名验证请求之前，还包括：

生成随机数，根据所述随机数和所述TEE终端的标识生成可信应用TA签名体；

根据所述TEE终端的私钥对所述TA签名体进行签名，得到TA签名信息；

根据所述TEE终端的公钥、所述TA签名体和所述TA签名信息，生成所述签名验证请求。

可选的，所述方法还包括：

接收所述管理平台发送的签名验证失败消息；

或者，

接收所述管理平台发送的证书申请失败消息；

其中，所述签名验证失败消息为所述管理平台在所述验证平台对所述签名信息验证失败时发送的；所述证书申请失败消息为所述管理平台在所述证书生成平台为所述虚拟eSIM卡生成证书失败时发送的。

第二方面，本发明提供的基于TEE的虚拟eSIM卡的认证方法，应用于管理平台，所述方法包括：

接收TEE终端发送的签名验证请求，并向验证平台转发所述签名验证请求，所述签名验证请求包括所述TEE终端的签名信息，用于所述验证平台对所述签名信息进行验证；

接收所述验证平台对所述签名信息的验证结果，若验证成功，则为所述TEE终端的虚拟eSIM卡分配第一标识，并向所述TEE终端发送所述第一标识；

接收所述TEE终端发送的证书申请请求，并向证书生成平台转发所述证书申请请求，所述证书申请请求用于所述证书生成平台为所述虚拟eSIM卡生成证书；

接收所述证书生成平台为所述虚拟eSIM卡生成的第一证书，并向所述TEE终端发送所述第一证书，所述第一证书用于所述TEE终端与所述管理平台进行虚拟eSIM卡的认证。

可选的，所述签名验证请求为所述TEE终端根据公钥、可信应用TA签名体和TA签名信息生成的，所述TA签名体为所述TEE终端根据生成的随机数和所述TEE终端的标识生成的，所述TA签名信息为所述TEE终端根据私钥对所述TA签名体进行签名得到的。

可选的，所述方法还包括：

在所述验证平台对所述签名信息验证失败时，向所述TEE终端发送签名验证失败消息；

或者，

在所述证书生成平台为所述虚拟eSIM卡生成证书失败时，向所述TEE终端发送证书申请失败消息。

第三方面，本发明提供的TEE终端，所述TEE终端中设置有虚拟嵌入式用户身份识别卡eSIM卡，所述TEE终端包括：

发送模块，用于向管理平台发送签名验证请求，所述签名验证请求包括所述TEE终端的签名信息，用于所述管理平台向验证平台请求对所述签名信息进行验证；

接收模块，用于接收所述管理平台发送的第一标识，所述第一标识为在所述验证平台对所述签名信息验证成功时，所述管理平台为所述虚拟eSIM卡分配的标识信息；

所述发送模块，还用于向所述管理平台发送证书申请请求，所述证书申请请求用于所述管理平台向证书生成平台请求为所述虚拟eSIM卡生成证书，其中，所述证书申请请求中包括所述第一标识；

所述接收模块，还用于接收所述管理平台发送的第一证书，并使用所述第一证书与所述管理平台进行虚拟eSIM卡的认证；其中，所述第一证书为所述证书生成平台根据所述证书申请请求为所述虚拟eSIM卡生成的证书。

可选的，所述TEE终端还包括：

处理模块，用于生成随机数，根据所述随机数和所述TEE终端的标识生成可信应用TA签名体；

根据所述TEE终端的私钥对所述TA签名体进行签名，得到TA签名信息；

根据所述TEE终端的公钥、所述TA签名体和所述TA签名信息，生成所述签名验证请求。

可选的，所述接收模块，还用于接收所述管理平台发送的签名验证失败消息；或者，接收所述管理平台发送的证书申请失败消息；

其中，所述签名验证失败消息为所述管理平台在所述验证平台对所述签名信息验证失败时发送的；所述证书申请失败消息为所述管理平台在所述证书生成平台为所述虚拟eSIM卡生成证书失败时发送的。

第四方面，本发明提供的管理平台，包括：

收发模块，用于接收TEE终端发送的签名验证请求，并向验证平台转发所述签名验证请求，所述签名验证请求包括所述TEE终端的签名信息，用于所述验证平台对所述签名信息进行验证；

所述收发模块，还用于接收所述验证平台对所述签名信息的验证结果；

处理模块，用于若所述验证平台对所述签名信息验证成功，则为所述TEE终端的虚拟eSIM卡分配第一标识；

所述收发模块，还用于向所述TEE终端发送所述第一标识；

所述收发模块，还用于接收所述TEE终端发送的证书申请请求，并向证书生成平台转发所述证书申请请求，所述证书申请请求用于所述证书生成平台为所述虚拟eSIM卡生成证书；

所述收发模块，还用于接收所述证书生成平台为所述虚拟eSIM卡生成的第一证书，并向所述TEE终端发送所述第一证书，所述第一证书用于所述TEE终端与所述管理平台进行虚拟eSIM卡的认证。

可选的，所述签名验证请求为所述TEE终端根据公钥、可信应用TA签名体和TA签名信息生成的，所述TA签名体为所述TEE终端根据生成的随机数和所述TEE终端的标识生成的，所述TA签名信息为所述TEE终端根据私钥对所述TA签名体进行签名得到的。

可选的，所述收发模块，还用于在所述验证平台对所述签名信息验证失败时，向所述TEE终端发送签名验证失败消息；

或者，在所述证书生成平台为所述虚拟eSIM卡生成证书失败时，向所述TEE终端发送证书申请失败消息。

第五方面，本发明提供的TEE终端，包括：

存储器；

处理器；以及，

计算机程序；

其中，所述计算机程序存储在所述存储器中，并被配置为由所述处理器执行以实现如第一方面任一项所述的方法。

第六方面，本发明提供的管理平台，包括：

存储器；

处理器；以及，

计算机程序；

其中，所述计算机程序存储在所述存储器中，并被配置为由所述处理器执行以实现如第二方面任一项所述的方法。

第七方面，本发明提供的计算机可读存储介质，其上存储有计算机程序；所述计算机程序被处理器执行以实现如第一方面任一项所述的方法，或者如第二方面任一项所述的方法。

第八方面，本发明提供的基于TEE的虚拟eSIM卡的认证系统，包括：验证平台、证书生成平台、如第五方面任一项所述的TEE终端和如第六方面任一项所述的管理平台。

本发明提供的基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台，TEE终端向管理平台发送签名验证请求，管理平台将签名验证请求转发给验证平台，以使验证平台对TEE终端进行验证，当验证成功时，管理平台为TEE终端的虚拟eSIM卡分配第一标识并发送给TEE终端，TEE终端根据第一标识生成证书申请请求发送给管理平台，管理平台将证书申请请求转发给证书生成平台，以使证书生成平台为TEE终端生成第一证书，管理平台对第一证书进行保存后将证书发送给TEE终端。通过上述过程，使得TEE终端具有了第一证书，能够按照GSMA国际标准规范与管理平台进行虚拟eSIM卡的认证流程，实现了管理平台对TEE终端的虚拟eSIM卡进行远程配置和管理。进一步的，由于TEE终端与管理平台之间可以采用第一证书进行虚拟eSIM卡的认证，使得TEE终端与管理平台的交互过程更加安全。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的基于TEE的虚拟eSIM卡的认证方法实施例一的流程图；

图2为本发明提供的基于TEE的虚拟eSIM卡的认证方法实施例一的信令流程图；

图3为本发明提供的基于TEE的虚拟eSIM卡的认证方法实施例二的流程图；

图4为本发明提供的基于TEE的虚拟eSIM卡的认证方法实施例三的信令流程图；

图5为本发明提供的实施例三中TEE终端生成签名验证请求的流程图；

图6为本发明提供的TEE终端实施例一的结构示意图；

图7为本发明提供的管理平台实施例一的结构示意图；

图8为本发明提供的TEE终端实施例二的结构示意图；

图9为本发明提供的管理平台实施例二的结构示意图；

图10为本发明提供的基于TEE的虚拟eSIM卡的认证系统实施例的结构示意图。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

如前所述，由于TEE终端采用的是虚拟eSIM卡，其设备芯片中并未嵌入实体SIM卡，因此TEE终端中并未预置eSIM卡的证书，使得TEE终端无法按照GSMA国际标准规范与eSIM管理平台进行交互。

本发明提供一种基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台，管理平台为TEE终端分配虚拟eSIM卡的标识并为虚拟eSIM卡生成证书，使得TEE终端能够按照GSMA国际标准规范与管理平台进行后续的虚拟eSIM卡的认证流程，提高了TEE终端与管理平台进行交互的安全级别。

下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。

图1为本发明提供的基于TEE的虚拟eSIM卡的认证方法实施例一的流程图，图2为本发明提供的基于TEE的虚拟eSIM卡的认证方法实施例一的信令流程图。本实施例的执行主体为TEE终端，TEE终端包括但不限于无线POS机、电脑、手机，TEE终端中设置有虚拟eSIM卡。所述虚拟eSIM卡应该理解为非实体的eSIM卡，例如：以TEE终端为例，可以采用TEE终端的可信应用TA的预设内存存储eSIM卡的数据，并且实现实体eSIM卡的功能。

如图1和图2所示，本实施例的方法，包括：

S11：向管理平台发送签名验证请求，所述签名验证请求包括所述TEE终端的签名信息，用于所述管理平台向验证平台请求对所述签名信息进行验证。

具体的，管理平台的主要功能为对终端的eSIM卡进行远程配置与管理，例如：进行eSIM卡的远程激活与终止、业务定制与变更、配置信息的更新、删除、下载与安装等。在管理平台对eSIM卡进行远程配置之前，管理平台与终端需要进行相互认证，当认证通过之后才能将eSIM卡数据下发到终端的eSIM卡中。

实际应用中，用户通过TEE终端办理eSIM卡业务时，例如申请开卡业务时，若TEE终端检测到该终端中未保存eSIM卡对应的证书信息，则向管理平台发送签名验证请求，以触发管理平台为TEE终端生成证书的流程。

其中，签名验证请求中包括TEE终端的签名信息，可选的，签名信息可以是由TEE终端的标识、随机数、私钥等信息经过签名得到的签名信息。管理平台接收到所述签名验证请求后，将所述签名验证请求转发给验证平台，由验证平台对该TEE终端的签名信息进行验证，以确定该终端的合法性。

需要说明的是，该验证平台应当理解为能够对所述TEE终端进行可信验证的任一平台，其可以是单独的验证平台，也可以是集成到管理平台中的一个逻辑单元，本发明对此并不作具体限定。通常每个终端厂商会设置一个验证平台，用于对终端的合法性进行验证。因此，管理平台接收到TEE终端发送的签名验证请求后，可以将该签名验证请求转发给该TEE终端厂商对应的验证平台进行验证。

可选的，TEE终端和管理平台之间，以及管理平台和验证平台之间通过安全的超文本传输协议(Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS)链路连接，从而能够保证消息传递的安全性。可以理解的，TEE终端向管理平台发送签名验证消息之前，TEE终端和管理平台之间，以及管理平台和验证平台之间已经建立了HTTP链路，从而签名验证消息以及后续的其他消息均可以通过HTTPS链路进行传递。

S12：接收所述管理平台发送的第一标识，所述第一标识为在所述验证平台对所述签名信息验证成功时，所述管理平台为所述虚拟eSIM卡分配的标识信息。

具体的，验证平台对TEE终端的签名信息进行验证后，将验证结果反馈给管理平台，管理平台对验证结果进行判断，若验证成功，则为TEE终端的虚拟eSIM卡分配第一标识，该第一标识将作为TEE终端的虚拟eSIM卡的唯一标识。管理平台还可以建立并保存该第一标识与TEE终端标识的对应关系，然后将该第一标识发送给TEE终端。

S13：向所述管理平台发送证书申请请求，所述证书申请请求用于所述管理平台向证书生成平台请求为所述虚拟eSIM卡生成证书，其中，所述证书申请请求中包括所述第一标识。

TEE终端接收到第一标识后，首先对该第一标识进行保存，然后根据该第一标识生成证书申请请求，并向管理平台发送该证书申请请求。

管理平台接收到证书申请请求后，将该证书申请请求转发给证书生成平台，由证书生成平台根据证书申请请求为TEE终端的虚拟eSIM卡生成证书。

需要说明的是，所述证书生成平台应该理解为能够为eSIM卡生成证书的任一平台，其可以是与管理平台相互独立的平台，也可以是集成到管理平台中的一个逻辑单元，本发明对此并不作具体限定。可选的，证书生成平台可以是CI证书颁发者。

可选的，所述证书申请请求中还可以包括：TEE终端的公钥、虚拟eSIM卡的名称、流水号等。

S14：接收所述管理平台发送的第一证书，并使用所述第一证书与所述管理平台进行虚拟eSIM卡的认证；其中，所述第一证书为所述证书生成平台根据所述证书申请请求为所述虚拟eSIM卡生成的证书。

证书生成平台根据所述证书申请请求中的信息为TEE终端的虚拟eSIM卡生成第一证书，并将第一证书发送给管理平台。管理平台对该第一证书进行保存，并建立TEE终端的标识、虚拟eSIM卡的标识(即第一标识)和第一证书之间的对应关系。管理平台将该第一证书发送给TEE终端，TEE终端将第一证书进行保存。

TEE终端经过上述流程后已经获取到第一证书，该第一证书可用于后续的管理平台对TEE终端的虚拟eSIM卡的认证流程。以用户申请开卡业务为例进行说明，TEE终端向管理平台发送认证请求，该认证请求中包括TEE终端的第一证书，管理平台接收到认证请求后，先查是否保存了与该第一证书一致的证书，如果存在，则继续进行其他信息的认证，若认证通过，则为TEE终端生成用于与运营商网络通信的eSIM卡数据的下载地址，所述eSIM卡数据包括但不限于鉴权参数。TEE终端根据下载地址获取到eSIM卡数据，并对eSIM卡数据进行保存，从而完成开卡流程。

本实施例中，TEE终端向管理平台发送签名验证请求，管理平台将签名验证请求转发给验证平台，以使验证平台对TEE终端进行验证，当验证成功时，管理平台为TEE终端的虚拟eSIM卡分配第一标识并发送给TEE终端，TEE终端根据第一标识生成证书申请请求发送给管理平台，管理平台将证书申请请求转发给证书生成平台，以使证书生成平台为TEE终端生成第一证书，管理平台对第一证书进行保存后将证书发送给TEE终端。通过上述过程，使得TEE终端具有了第一证书，能够按照GSMA国际标准规范与管理平台进行虚拟eSIM卡的认证流程，实现了管理平台对TEE终端的虚拟eSIM卡进行远程配置和管理。进一步的，由于TEE终端与管理平台之间可以采用第一证书进行虚拟eSIM卡的认证，使得TEE终端与管理平台的交互过程更加安全。

图3为本发明提供的基于TEE的虚拟eSIM卡的认证方法实施例二的流程图，本实施例的执行主体为管理平台。如图3所示，本实施例的方法，包括：

S31：接收TEE终端发送的签名验证请求，并向验证平台转发所述签名验证请求，所述签名验证请求包括所述TEE终端的签名信息，用于所述验证平台对所述签名信息进行验证。

S32：接收所述验证平台对所述签名信息的验证结果，若验证成功，则为所述TEE终端的虚拟eSIM卡分配第一标识，并向所述TEE终端发送所述第一标识。

S33：接收所述TEE终端发送的证书申请请求，并向证书生成平台转发所述证书申请请求，所述证书申请请求用于所述证书生成平台为所述虚拟eSIM卡生成证书。

S34：接收所述证书生成平台为所述虚拟eSIM卡生成的第一证书，并向所述TEE终端发送所述第一证书，所述第一证书用于所述TEE终端与所述管理平台进行虚拟eSIM卡的认证。

关于本实施例的详细描述可参见上述的实施例一，此处不再赘述。

本实施例中，TEE终端向管理平台发送签名验证请求，管理平台将签名验证请求转发给验证平台，以使验证平台对TEE终端进行验证，当验证成功时，管理平台为TEE终端的虚拟eSIM卡分配第一标识并发送给TEE终端，TEE终端根据第一标识生成证书申请请求发送给管理平台，管理平台将证书申请请求转发给证书生成平台，以使证书生成平台为TEE终端生成第一证书，管理平台对第一证书进行保存后将证书发送给TEE终端。通过上述过程，使得TEE终端具有了第一证书，能够按照GSMA国际标准规范与管理平台进行虚拟eSIM卡的认证流程，实现了管理平台对TEE终端的虚拟eSIM卡进行远程配置和管理。进一步的，由于TEE终端与管理平台之间可以采用第一证书进行虚拟eSIM卡的认证，使得TEE终端与管理平台的交互过程更加安全。

图4为本发明提供的基于TEE的虚拟eSIM卡的认证方法实施例三的信令流程图，在上述实施例的基础上，本实施例对TEE终端生成签名验证请求的过程进行详细描述。如图4所示，本实施例的方法，在TEE终端发送签名验证请求之前，还包括：生成签名验证请求的步骤。

具体的，图5为本发明提供的实施例三中TEE终端生成签名验证请求的流程图，如图5所示，作为其中一种可选的实施方式，生成签名验证请求的步骤可以包括：

S51：生成随机数，根据所述随机数和所述TEE终端的标识生成可信应用TA签名体。该TA签名体将作为签名验证请求中的明文信息，用于验证平台进行比对。

S52：根据所述TEE终端的私钥对所述TA签名体进行签名，得到TA签名信息。其中，TEE终端对TA签名体进行签名的过程相当于采用私钥对TA签名体进行加密，由此得到的TA签名信息将作为签名验证请求中加密信息。

S53：根据所述TEE终端的公钥、所述TA签名体和所述TA签名信息，生成所述签名验证请求。

具体的，经过上述步骤后，TEE终端生成的签名验证请求中包括了公钥、TA签名体和TA签名信息，当验证平台对TEE终端进行验证时，使用公钥对TA签名信息进行解密，可以得到一个随机数和一个终端标识，将解密得到的随机数和终端标识与TA签名体进行比对，若一致，则验证通过，若不一致，则验证不通过。

其中，所述TEE终端的标识可以为终端出厂时预置的唯一标识该终端的信息，例如：设备ID。TEE终端的公钥和私钥可以是在终端出厂时在TA中预置的，也可以是出厂后在TA中重新进行设置的。

可选的，本实施例中，如图4所示，当管理平台接收到验证平台反馈的验证结果时，对验证结果进行判断，还包括：若验证失败，则向TEE终端发送签名验证失败消息，当TEE终端接收到该消息时，结束TEE终端的认证流程。

可选的，本实施例中，如图4所示，当管理平台接收到证书生成平台返回的证书生成结果时，对证书生成结果进行判断，还包括：若证书生成失败，则向TEE终端发送证书申请失败消息，当TEE终端接收到该消息时，结束TEE终端的认证流程。

图6为本发明提供的TEE终端实施例一的结构示意图，如图6所示，本实施例的TEE终端600中设置有虚拟eSIM卡，TEE终端600可以包括：发送模块601和接收模块602。

其中，发送模块601，用于向管理平台发送签名验证请求，所述签名验证请求包括所述TEE终端的签名信息，用于所述管理平台向验证平台请求对所述签名信息进行验证；

接收模块602，用于接收所述管理平台发送的第一标识，所述第一标识为在所述验证平台对所述签名信息验证成功时，所述管理平台为所述虚拟eSIM卡分配的标识信息；

发送模块601，还用于向所述管理平台发送证书申请请求，所述证书申请请求用于所述管理平台向证书生成平台请求为所述虚拟eSIM卡生成证书，其中，所述证书申请请求中包括所述第一标识；

接收模块602，还用于接收所述管理平台发送的第一证书，并使用所述第一证书与所述管理平台进行虚拟eSIM卡的认证；其中，所述第一证书为所述证书生成平台根据所述证书申请请求为所述虚拟eSIM卡生成的证书。

可选的，本实施例的TEE终端600还可以包括处理模块603。

处理模块603，用于生成随机数，根据所述随机数和所述TEE终端的标识生成可信应用TA签名体；根据所述TEE终端的私钥对所述TA签名体进行签名，得到TA签名信息；根据所述TEE终端的公钥、所述TA签名体和所述TA签名信息，生成所述签名验证请求。

可选的，接收模块602，还用于接收所述管理平台发送的签名验证失败消息；或者，接收所述管理平台发送的证书申请失败消息；其中，所述签名验证失败消息为所述管理平台在所述验证平台对所述签名信息验证失败时发送的；所述证书申请失败消息为所述管理平台在所述证书生成平台为所述虚拟eSIM卡生成证书失败时发送的。

本实施例的TEE终端，可用于执行上述任一方法实施例中TEE终端侧的技术方案，其实现原理和技术效果类似，此处不再赘述。

图7为本发明提供的管理平台实施例一的结构示意图，如图7所示，本实施例的管理平台700包括：收发模块701和处理模块702。

其中，收发模块701，用于接收TEE终端发送的签名验证请求，并向验证平台转发所述签名验证请求，所述签名验证请求包括所述TEE终端的签名信息，用于所述验证平台对所述签名信息进行验证。

收发模块701，还用于接收所述验证平台对所述签名信息的验证结果。

处理模块702，用于若所述验证平台对所述签名信息验证成功，则为所述TEE终端的虚拟eSIM卡分配第一标识。

收发模块701，还用于向所述TEE终端发送所述第一标识。

收发模块701，还用于接收所述TEE终端发送的证书申请请求，并向证书生成平台转发所述证书申请请求，所述证书申请请求用于所述证书生成平台为所述虚拟eSIM卡生成证书。

收发模块701，还用于接收所述证书生成平台为所述虚拟eSIM卡生成的第一证书，并向所述TEE终端发送所述第一证书，所述第一证书用于所述TEE终端与所述管理平台进行虚拟eSIM卡的认证。

可选的，所述签名验证请求为所述TEE终端根据公钥、可信应用TA签名体和TA签名信息生成的，所述TA签名体为所述TEE终端根据生成的随机数和所述TEE终端的标识生成的，所述TA签名信息为所述TEE终端根据私钥对所述TA签名体进行签名得到的。

可选的，收发模块701，还用于在所述验证平台对所述签名信息验证失败时，向所述TEE终端发送签名验证失败消息；或者，在所述证书生成平台为所述虚拟eSIM卡生成证书失败时，向所述TEE终端发送证书申请失败消息。

本实施例的管理平台，可用于执行上述任一方法实施例中管理平台侧的技术方案，其实现原理和技术效果类似，此处不再赘述。

图8为本发明提供的TEE终端实施例二的结构示意图，如图8所示，本实施例的TEE终端800包括：存储器801、处理器802和计算机程序，其中，所述计算机程序存储在存储器801中，并被配置为由处理器802执行以实现如上述任一方法实施例中TEE终端侧的技术方案。其实现原理和技术效果类似，此处不再赘述。

图9为本发明提供的管理平台实施例二的结构示意图，如图9所示，本实施例的管理平台900包括：存储器901、处理器902和计算机程序，其中，所述计算机程序存储在存储器901中，并被配置为由处理器902执行以实现如上述任一方法实施例中管理平台侧的技术方案，其实现原理和技术效果类似，此处不再赘述。

本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行以实现如上述任一方法实施例中TEE终端侧的技术方案，或者，如上述任一方法实施例中管理平台侧的技术方案，其实现原理和技术效果类似，此处不再赘述。

图10为本发明提供的基于TEE的虚拟eSIM卡的认证系统实施例的结构示意图，如图10所示，本实施例的基于TEE的虚拟eSIM卡的认证系统1000包括：TEE终端1001、管理平台1002、验证平台1003和证书生成平台1004，其中，TEE终端1001可采用如图6或图8所示的结构，管理平台1002可采用如图7或图9所示的结构。本实施例的于TEE的虚拟eSIM卡的认证系统，可用于实现如上述任一方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(英文：processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(英文：Read-Only Memory，简称：ROM)、随机存取存储器(英文：Random Access Memory，简称：RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

在上述网络设备或者终端设备的实施例中，应理解，处理器可以是中央处理单元(英文：Central Processing Unit，简称：CPU)，还可以是其他通用处理器、数字信号处理器(英文：Digital Signal Processor，简称：DSP)、专用集成电路(英文：ApplicationSpecific Integrated Circuit，简称：ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。