看起来你在基于SCP03t的eUICC ISD-P上安装DER编码网络配置包时，遇到了分段处理的异常。结合你描述的现象——第一个分段成功、第二个返回乱码样响应、第三个触发9F460102错误终止，我整理了几个核心的排查方向，你可以逐一验证：

1. 分段命令的控制位与格式错误 #

带标签86的分段安装命令，必须在86标签后紧跟一个分段控制字节：

• 01表示当前分段后还有后续分段
• 00表示当前是最后一个分段
  很多开发者容易忽略这个控制位，导致eUICC无法识别分段的顺序和结束状态。另外，你看到的“随机字符串”大概率是eUICC返回的加密响应，但因为命令格式错误，你的设备无法正确解析，才呈现出乱码效果。同时要确认整个分段APDU（包括标签、控制位、数据）都严格按照SCP03t的要求做了加密和MAC校验，不能只加密数据部分。

2. 分段数据的连续性与完整性问题 #

• 要确保每个分段的字节偏移是完全连续的：比如第一个分段发送了前X字节，第二个必须从第X+1字节开始，不能有重叠、缺失或者字节计数错误。你可以对比DER包的总长度，计算每个分段的实际发送字节数是否匹配。
• 先单独校验DER配置包的合法性：用ASN.1解析工具（比如OpenSSL的asn1parse命令）打开文件，确认结构完全符合ETSI TS 103 483的规范，没有语法错误或者损坏，避免源文件本身导致分段处理失败。

3. 安全会话与权限问题 #

9F460102这个错误码属于eUICC的安全类异常，通常关联以下场景：

• 发送后续分段时，SCP03t的安全会话已经失效：比如会话超时、密钥更新后没有同步，导致eUICC无法验证后续分段的MAC/加密有效性。你需要在发送每个分段前，确认安全会话的密钥（ENC/MAC/KCV）都是活跃有效的。
• ISD-P的状态异常：比如ISD-P处于锁定、未激活状态，或者你没有获得足够的安装权限（需要确认SCP03t的认证流程完全正确，会话权限包含配置文件安装权限）。

4. APDU结构的细节错误 #

每个分段APDU的完整结构应该是：CLA INS P1 P2 Lc [86 控制字节 分段数据] Le

• 检查Le字段的设置：如果不需要eUICC返回响应，Le应设为00；如果需要响应，要设置合理的长度值。第二个分段返回的长字符串可能是因为Le设置错误，导致eUICC返回了多余的响应数据。
• 确认Lc字段的值准确对应86标签+控制字节+分段数据的总长度，长度不匹配也会导致eUICC返回异常响应。

快速排查步骤 #

1. 对比第一个和第二个分段的APDU结构，重点检查86标签后的控制字节、数据长度、加密MAC部分是否一致合规；
2. 用openssl asn1parse -in your-profile.der验证DER包的结构合法性；
3. 在发送每个分段前，主动校验SCP03t会话的密钥有效性，避免会话超时或密钥不同步。

内容的提问来源于stack exchange，提问作者Satan