支持远程管理的下一代智能卡关键技术及应用

韩 玲 ，顾旻霞 ，严斌峰 ，旷 炜

（1.中国联合网络通信有限公司研究院 北京 100032；2.中国联合网络通信集团有限公司 北京 100038）

1 引言

传统的电信智能卡遵循从生产、发行、使用到终止的线性生命周期模型。近年来，物联网业务的迅猛发展推动了智能卡从物理形态到生命周期模型演进的需求。在物联网应用中，由于智能卡对数据保存时间、擦写次数、工业级（抗震、温度、湿度）等要求更高，智能卡的物理形态发生了改变，从可插拔的智能卡（UICC）向嵌入式智能卡（eUICC）演进。由于嵌入式智能卡固定在终端中不能随意更换，它在号码管理、号码配置、号码回收等方面都存在个性化的需求，使其在传统可插拔智能卡的发行和管理流程中的很多环节不再适用。

因此，在诸如国际物联网用户提出的基于单一智能卡全球覆盖的迫切需求的推动下，2010年开始，工业界纷纷开展相关研发工作，并在一些国际展会上进行了智能卡远程管理服务的初步演示。在2012年、2013年的亚洲移动通信博览会上，中国运营商也联合欧洲运营商及卡商进行了嵌入式智能卡远程管理服务能力的演示。与此同时，一些国际标准化组织也纷纷组织开展了相关的研究项目，其中以GSMA（GSM协会）组织为典型代表。从2011年开始，GSMA积极组织国际主流运营商与卡商进行了关键技术的研究与PoC试验验证，从而应对来自业界的迫切需求，并推动应用在全球范围内的互联互通。2011年，GSMA完成了嵌入式智能卡远程管理需求白皮书，并提交至ETSI（欧洲电信标准化协会）；2012年，GSMA组织运营商与卡商开始进行相关的概念验证工作；2013年，GSMA发布了第二阶段技术规范；2014年，GSMA进一步发布了第三阶段的技术规范以及测试规范。目前，GSMA的工作已初见成效，在2014年10月中东举行的Mobile 360 Series会议上，GSMA 宣称 AT&T、阿联电信、NTT DoCoMo、Telefonica、Vodafone Group将推出符合GSMA标准的解决方案。此外，另外一个重要的标准化组织ETSI也在开展对嵌入式智能卡及其远程管理技术的标准化工作。2013年，在GSMA提交的需求白皮书的基础上，ETSI发布了需求规范TS 103 383；2013年9月至今，ETSI进一步开展了嵌入式智能卡远程管理技术规范的制定工作。

综上所述，虽然当前标准化的智能卡远程管理技术尚未完全成熟和得以正式商用，但嵌入式智能卡是一种物理上被集成到设备中，无法接触、删除或者替换，但可以安全地更换个人化数据（智能卡上的文件结构、数据和应用的复合体，代表了运营商的所有信息）的电信智能卡，其概念已经被业界认可。在可预见的将来，支持远程管理能力将成为下一代智能卡的关键技术之一。嵌入式智能卡远程管理技术以“用户签约管理”为核心，通过移动通信网络远程配置和管理智能卡内的用户数据，提供智能卡的灵活升级，满足远程配置、远程激活、空中更换用户身份等业务需求，为用户提供灵活、安全可信的业务服务，为运营商提供智能卡发行后的生命周期远程管理，为服务提供商提供业务运营管理保障。

2 关键技术

2.1 eUICC远程管理体系

支持远程管理的嵌入式智能卡已不仅仅是一种新的通用集成电路卡形态，还包括为支撑这种新的卡形态而建立的一系列系统接口、平台以及保障安全可信的业务提供和运营管理等。因此，支持远程管理的智能卡涉及一种新的系统架构。在这种架构中，终端管理、用户签约关系管理、个人定制化管理、业务管理、安全管理将是该系统中不可或缺的功能，而远程用户签约关系管理是其中最基本、最关键的功能之一，在一定程度上决定或影响着其他管理功能的实现。

目前业界均认可在嵌入式智能卡远程管理体系架构中应至少包括智能卡制造商（EUM）、证书发行方（CI）、运营商（MNO）、支持远程管理的嵌入式智能卡及其远程管理平台。在该体系架构中，支持远程管理的智能卡及其远程管理平台是核心。智能卡远程管理平台主要实现嵌入式智能卡远程下载个人化数据，并且通过提供授权、认证、防重放攻击、隐私保护、完整性保护等措施保证下载过程的安全性。智能卡中涉及运营商的个人化数据必须经由远程管理平台生成完整的运营商数据文件，协商建立安全传输通道后，通过OTA（空中下载技术）等方式下载并激活。此外，运营商数据的变更、用户更换运营商等过程也经由远程管理平台完成。

在GSMA的eUICC体系架构和ETSI的eUICC远程管理体系架构中，虽然具体名称有所不同，但远程管理平台均根据功能划分为数据准备和数据可靠路由两部分。其中，数据准备平台主要负责eUICC远程配置的用户个人化数据（profile）的安全生成、存储和下载，拥有profile配置信任状。在数据准备阶段，eUICC远程管理平台接收来自运营商的用户签约数据（如IMSI等），进而生成profile，进行加密，通过数据路由功能将profile安全下载到eUICC中。数据可靠路由平台主要负责eUICC远程配置数据的安全传输和管理。在数据传输过程中，建立到eUICC的安全通道，转发eUICC和数据准备之间的消息或数据，将数据准备生成的profile可靠路由下载到目标eUICC中，并负责将eUICC发送的消息路由到数据准备平台。同时，数据可靠路由平台也负责管理eUICC中的profile，如激活、去激活、删除等；也拥有profile管理信任状，可以与eUICC建立通信通道，并且数据准备平台与eUICC通信都需经过数据可靠路由平台建立通信通道。通过这条通信通道，利用eUICC信任状可以安全地将要求的数据传至eUICC。

通常，在eUICC远程管理体系中数据准备平台隶属于运营商，其中保存着运营商关键的个人化数据。当eUICC需要个人化时，由数据准备平台负责eUICC远程配置数据的安全生成和管理，提供其需要的数据，并对数据进行加密，以保证任何第三方都不能获得这些数据的明文信息。另一方面，数据可靠路由平台可以隶属于运营商，也可以隶属于独立的第三方。数据可靠路由平台负责eUICC远程配置数据的安全路由和传输，通过OTA等方式实现与eUICC的交互。多个数据准备平台可以接入同一个数据可靠路由平台，在该数据可靠路由平台管理的eUICC上创建自己的安全空间，安装自己的应用。反之，数据准备平台也可以接入不同数据可靠路由平台，在不同数据可靠路由平台管理的eUICC上安装自己的应用。正是由于将数据准备平台和数据可靠路由平台独立开，才能实现在一张eUICC上搭载多个不同运营商的码号，并且一个运营商的码号能在全球范围内使用。图1为一种eUICC远程管理体系架构，其中，数据准备平台隶属于运营商，同时运营商也拥有自己的数据可靠路由平台。由CI向参与eUICC远程管理的运营商、卡商、平台各方发放证书，通过eUICC远程管理安全体系构建了各数据可靠路由平台之间、运营商与第三方之间新的生态系统和安全可靠的链路，保证运营商和eUICC之间端到端的信息安全。

2.2 eUICC架构

支持远程管理的下一代嵌入式智能卡与传统智能卡相比，在架构上具有革新性的区别，它能够同时装载并远程管理多家运营商的个人化数据。为了实现eUICC在全球范围内的安全、可靠互联互通，借鉴了GPCS（global platform card specification）中“安全域”的概念对支持远程管理的eUICC架构进行全新的设计。

GSMA定义的支持远程管理的eUICC的逻辑功能结构如图2所示，eUICC由操作系统、电信框架、安全域、profile和profile管理这几个部分构成，profile放置在卡片上的安全域中。其中，安全域ECASD沿用了GPCS中CASD的概念，在此是卡外实体CA在eUICC内的代表；ISD-R是有特殊特征的安全域，是SM-SR（GSMA定义的数据安全路由平台）在卡上的代表，负责执行平台管理的命令；ISD-P也是有特殊特征的安全域，是SM-DP（GSMA定义的数据准备平台）在卡上的代表，一张eUICC可以有多个ISD-P；MNO的安全域MNO-SD（MNO安全域）是MNO在卡上的代表。

在GSMA eUICC上的主要逻辑功能实体如下。

eUICC操作系统包含基本平台的功能，如支持GPCS中定义的功能特性。

图1 eUICC远程管理体系示意

图2 GSMA eUICC逻辑结构

平台服务管理是eUICC操作系统的服务，提供平台管理功能和策略执行机制 （控制策略可定义在profile／ISD-P内或者eUICC平台层面）。此外，还可检索ISD-P通用信息（如profile ID、profile状态、profile类型），这些信息可以由信任实体共享。

电信框架也是一个eUICC操作系统的服务，为profile提供标准化的网络认证算法的接口。算法由存储在ISD-P域内的profile的NAA（网络接入应用）在进行网络接入认证时调用。此外，它提供根据profile内运营商的算法配置参数来定制算法的功能。

另外，eUICC的其他功能建立在安全域架构上。其中，运营商的整个profile都被包含在一个ISD-P中，而MNO-SD是其中一个非常重要的profile组件，包含MNO的OTA密钥集。如图2所示，profile应包括MNO-SD、至少一个 NAA、POL1（profile中的策略，即使不使用）、文件系统。此外，profile可选择包括除MNO-SD之外的一些应用以及一个CASD（CA安全域）。

当前ETSI定义的eUICC逻辑结构如图3所示 （未来可能会进一步补充细节）。与GSMA定义类似，eUICC结构由操作系统、安全域、profile和profile管理几部分构成。其中，eUICC操作系统包含基本平台的功能；profile管理实现与平台安全通信的功能；profile域类似于GSMA ISD-P，负责承纳profile，并能根据需要在激活、去激活等状态间转换。图3进一步显示了ETSI eUICC profile逻辑结构，其包含的文件、应用、组件等内容也与GSMA要求类似。

2.3 eUICC安全体系

图4为一种可行的eUICC远程管理平台安全架构，系统安全由平台安全和数据传输安全两部分组成。平台安全包括卡密钥安全和用户管理安全，通过加密机进行数据安全存储；数据传输安全包括写卡安全以及不同系统间的卡数据传输安全，在eUICC远程管理平台内部以及平台和eUICC之间都要建立端到端加密的安全通道。其中，SM-SR与eUICC ISD-R之间的安全通道通过SCP80协议/SCP81协议建立；SM-DP和eUICC ISD-P之间的安全通道通过SCP03协议/SCP81协议建立；为了实现SCP03协议，ISD-P应当至少拥有一套密钥集，第一个SCP03密钥由SM-DP根据特定的密钥建立场景—相互认证流程装载到eUICC中。

2.4 eUICC profile管理功能

对用户签约信息profile的管理是eUICC远程管理的基础功能，包括对profile的生成、下载、安装、激活、去激活、删除等管理功能，eUICC远程管理体系需要具备运营商发起对profile管理的基础业务流程。

图3 ETSI eUICC逻辑结构

图4 eUICC远程管理平台安全架构示意

以profile下载、安装流程为例，eUICC远程管理平台可以根据运营商或者用户请求，将其生成的profile下载到eUICC中。由于eUICC远程管理平台和eUICC之间没有实际的物理接口，eUICC远程管理平台需要建立到eUICC的OTA传输通道来下载profile。eUICC将下载的profile安装为可执行的应用和文件系统，这一过程包括为profile分配资源以及注册相关参数。profile安装通常和profile下载同时进行，成功安装的profile进入去激活状态。

3 eUICC远程管理业务

3.1 业务应用场景

基于profile管理功能，eUICC远程管理体系可以为物联网用户提供诸如远程开户、远程注销、设备间码号迁移、码号变更、测试、远程批量开通等业务功能，满足不同用户在不同场景下的具体业务需求。

开展物联网业务时涉及的综合场景主要包括购买场景、组装场景、测试场景、使用场景和支付场景等。基于eUICC porfile远程管理功能，用户可以在上述场景中灵活自如地开展业务。

· 在购买场景中，集团客户从运营商直接批量购买物联网嵌入式UICC或一体化通信模组，其中内置预置码号，用于提供后续的远程管理业务，用户可按需实时下载另一个应用码号作为正式号码，并进行激活。

·在组装场景中，集团客户批量购买运营商嵌入式UICC或一体化通信模组组装到终端中，在组装的过程中可以向运营商订购测试号业务来帮助完成组装设备的网络测试。

· 在测试场景中，集团客户可以下载一个测试用的应用码号到eUICC中，测试终端和业务的各项功能。测试完毕后，再通过服务门户将其删除，让卡片恢复到出厂状态。

· 在使用场景中，最终用户可以根据使用需求进行远程开户、远程注销、设备间码号迁移、码号变更等。

3.2 应用体系架构

eUICC远程管理涉及一种新的应用体系架构，图5描述了GSMA提出的一种可行的通用eUICC远程管理应用体系架构。

图5 GSMA eUICC远程管理架构

表1 接口描述

其中，参与eUICC远程管理的主要角色之间有8个接口：ES5、ES6、ES8 为 eUICC 相关接口，ES1、ES2、ES3、ES4、ES7为平台相关接口，各接口定义见表1。

上述通用架构通过技术研究与原型测试，可以实现最基本、最关键的远程用户签约关系管理能力。在eUICC远程管理业务的应用落地中，需要注意的是，虽然GSMA定义了eUICC远程管理的通用架构，但无法对涉及不同运营商的接口和流程进行标准化，包括profile的订购和主删除流程。因此，为了实现eUICC远程管理的业务场景，需要结合运营商的实网生产管理，进一步定义应用体系架构和全业务流程。

在应用体系架构的设计中需要重点考虑的环节因素见表2。

基于GSMA国际标准与运营商实网架构，提出了一种运营商自建eUICC远程管理平台方式的eUICC远程管理应用体系架构，如图6所示。采用全网一级平台架构统一管理码号资源，可以为全网物联网用户提供eUICC远程管理服务。

在该应用体系架构中，运营商的总部业务支撑系统包括客户关系管理的业务支撑功能以及电子化销售服务管理功能。在eUICC远程管理体系中，业务支撑系统负责码号资源（如MSISDN、IMSI等）的维护与管理、卡数据管理与相关卡数据同步、业务销售和核心服务能力等。省分业务支撑系统负责各渠道销售受理过程的落地工作，包括订单处理、联机指令等。在eUICC远程管理体系中，省分业务支撑系统主要配合总部集团业务支撑系统实现eUICC的号码开通、号码注销、号码迁移等操作的后台支撑功能。省分HLR（归属位置寄存器）用于归属其移动用户数据的管理。在eUICC远程管理体系中，省分HLR根据省分BSS的指令进行用户签约数据的开通和去激活。其他SM-SR是指其他运营商或第三方的SM-SR，也可以是运营商的二级SM-SR。当eUICC用户进行不同SM-SR之间切换时，需要SM-SR之间进行数据交互。

eUICC远程管理平台与eUICC和制卡中心 （等同于EUM）之间、SM-DP与SM-SR之间、SM-SR与其他SM-SR之间的接口遵循GSMA标准接口，实现对eUICC profile的远程管理。其中，eUICC远程管理平台由SM-SR和SM-DP两部分独立的功能实体组成，SM-SR与SM-DP之间的接口功能基于GSMA通用架构ES3接口功能实现；eUICC远程管理平台与制卡中心之间的接口功能基于运营商现网生产流程以及GSMA通用架构ES1接口功能实现；eUICC远程管理平台与eUICC进行交互的接口基于GSMA通用架构ES5、ES8接口功能实现。

如图6所示，eUICC远程管理平台还需要与运营商业务支撑系统建立接口，以支持profile数据管理、码号资源管理、卡片管理，实现符合实际用户需求的全业务流程。具体来说，由SM-DP平台与运营商业务支撑系统进行交互，实时获取卡数据，实现码号的实时开户、注销等。该接口功能基于运营商现网生产流程以及GSMA通用架构ES2、ES4接口功能实现。此外，eUICC远程管理平台与其他SM-SR之间的接口基于GSMA通用架构ES7接口功能实现。

表2 应用体系架构设计中需重点考虑的环节因素描述

图6 eUICC远程管理应用体系架构

在该应用架构下，可以实现对eUICC码号的全生命周期管理，其业务能力可包括：初始化多个eUICC号码、远程激活、远程注销、码号迁移、码号变更等。以远程激活场景为例，其主要业务流程描述如下：

· 通过运营商的业务受理界面，发起用户开户操作；

·运营商总部业务支撑系统配合eUICC远程管理平台进行个人化数据准备，形成一条完整的个人化数据，并请求省分开通指定的个人化数据；

·开通成功后，运营商总部业务支撑系统通知eUICC远程管理平台执行profile下载；

·eUICC反馈profile下载执行结果，如果成功，则通知业务支撑系统该码号资源被占用；

·eUICC远程管理平台执行指定号码的激活流程；

·eUICC使用新激活的号码与eUICC远程管理平台建立通信，确保激活成功完成。

基于该应用体系，当最终用户购买了搭载eUICC的设备后，可以基于运营商的现网选号入网流程选择某个正式号码申请入网，继而运营商通过eUICC远程管理平台，以空中方式将正式号码的profile数据文件远程下载并写入卡片中，然后基于现网的开户流程与卡片侧进行交互，对号码进行实时激活操作，从而实现对智能卡的远程操作和码号的实时管理。

4 结束语

支持远程签约管理的下一代嵌入式智能卡突破了传统智能卡的架构体系，突破了传统的智能卡线性且不可逆的流程管理，智能卡的生命周期将被重新定义，包括发行前（生产、发行、选择运营商）和发行后（选择/变更签约、定制、使用、终止签约）。下一代嵌入式智能卡不仅可以满足国际物联网用户单一智能卡覆盖全球漫游的业务需求，更可以满足大众物联网用户的海量终端开卡、在生产/测试及销售环节中变更签约用户的二次发行、对发行后嵌入式智能卡的状态信息进行监控、降低运营成本等需求。此外，对于运营商而言，下一代嵌入式智能卡远程管理技术体系也能够为码号资源管理、卡全生命周期监控、卡资源集中管控等提供技术解决方案和建议。

1 GSMA Embedded SIM Task Force Requirements and Use Cases V1.0,2011

2 GSMA Embedded SIM Remote Provisioning Architecture V1.1,2014

3 GSMA Remote Provisioning Architecture for Embedded UICC Technical Specification V2.0,2014

4 GSMA Remote Provisioning Architecture for Embedded UICC Test Specification V1.0,2014

5 GlobalPlatform Card Specification V2.2.1,2011

6 GlobalPlatform Card UICC Configuration V1.0.1,2011

7 GlobalPlatform Card Specification V.2.2-Amendment D:Secure Channel Protocol 03 V1.1,2014

8 GlobalPlatform Card Specification V.2.2-Amendment E:Security Upgrade for Card Content Management V1.0,2014

9 ETSI TS 103 383.Smart Cards;Embedded UICC;Requirements Specification V12.3.0(Release 12),2014