一种嵌入式通用集成电路卡及其用户签约信息激活方法
【专利摘要】本发明提供了一种eUICC及其profile激活方法;所述方法包括:分别将各运营商的profile的基本部分预存在eUICC中相互隔离的安全域中;当eUICC收到对于第一运营商的profile的激活请求后,根据所述第一运营商的profile的基本部分,执行该profile中的NAA的个人化,将NAA相关算法参数与认证算法相关联,完成PIN/PUK码的设置,以及完成运营商主安全域信任状的设置;eUICC通过所在终端提示输入对应所述第一运营商的PIN码;正确则激活所述第一运营商的profile的基本部分;eUICC连接所述第一运营商的网络,下载所述第一运营商的profile的扩展部分,并安装到profile公用区。本发明能够简化profile激活过程;降低eUICC的成本。
【专利说明】一种嵌入式通用集成电路卡及其用户签约信息激活方法
【技术领域】
[0001]本发明涉及物联网领域,尤其涉及一种嵌入式通用集成电路卡及其用户签约信息激活方法。
【背景技术】
[0002]随着物联网的发展,大量物联网终端(自动售货机、照相机、车载终端、电表等)接入移动网络,这些终端所使用的SIM (Subscriber Identity Module客户识别模块)卡需在设备生产阶段集成到设备中,被称为嵌入式UICC (Universal Integrated Circuit Card,通用集成电路卡),简称eUICC。
[0003]enCC作为物联网终端接入运营商网络的鉴权工具,以及承载各种应用、数据的安全载体,已经成为物联网发展的关键核心技术。enCC不可插拔,通常通过远程管理平台与eUICC建立安全通道,基于此安全通道远程管理平台一般通过OTA(Over The Air,空中下载)的方式实现对enCC上的用户签约信息profile的远程管理(下载、安装、激活、去激活等操作)。GSMA(GSM协会)于2013年12月发布了 eUICC架构规范和技术规范,大大推进了 enCC的部署和标准化进程。
[0004]profile是指配置在或出现在eUICC上的文件结构、数据和应用程序的集合。运营商的profile多种多样,例如64K卡的profile、128K卡的profile等,这些profile由于支持的业务不同,其大小和内容也不同。
[0005]现有技术中(GSMA规范),eUICC需要为各运营商动态创建安全域以独立保存各运营商的profile,下载profile后还需要建立数据通道,通过数据通道传输操作指令来激活profile ;这样导致eUICC实现复杂、profile激活效率低、成本较高,对于物联网的大规模部署显然是不适合的。
【发明内容】
[0006]本发明要解决的技术问题是如何简化profile激活过程;降低eHCC的成本。
[0007]为了解决上述问题,本发明提供了一种嵌入式通用集成电路卡enCC的用户签约信息profile激活方法,包括:
[0008]S101、分别将各运营商的profile的基本部分预存在eUICC中相互隔离的安全域中;
[0009]S102、当eUICC收到对于第一运营商的profile的激活请求后,根据所述第一运营商的profile的基本部分,执行该profile中的NAA的个人化,将NAA相关算法参数与认证算法相关联,完成PIN/PUK码的设置,以及完成运营商主安全域信任状的设置;
[0010]S103、encc通过所在终端提示输入对应所述第一运营商的PIN码;如果输入的PIN码正确,则激活所述第一运营商的profile的基本部分;
[0011]S104、enCC连接所述第一运营商的网络,通过第一运营商的远程管理平台下载所述第一运营商的profile的扩展部分,并安装到profile公用区。
[0012]可选地,所述扩展部分是指profile中预存在eUICC卡中的基本部分以外的内容;
[0013]所述基本部分包括:网络接入应用、与网络接入应用相关的算法参数、运营商主安全域的安全信任状、PIN/PUK码。
[0014]可选地,所述步骤S104后还包括:
[0015]enCC通过短信从所述第一运营商的远程管理平台接收操作指令,根据该操作指令对所述第一运营商的profile进行管理。
[0016]可选地,所述步骤S104后还包括:
[0017]eUICC如果无法正常安装profile的所述扩展部分,则忽略该扩展部分。
[0018]可选地,所述步骤S102前还包括:
[0019]eUICC侦听网络变化事件,如果该事件发生,则检测目前基本部分预存在本eUICC中且处于未激活状态的profile,将未激活的profile所对应的运营商作为可供激活的运营商发送给所在的终端。
[0020]本发明还提供了一种嵌入式通用集成电路卡eUICC,包括:
[0021]存储单元,用于将各运营商的profile的基本部分保存在在相互隔离的安全域中;
[0022]设置单元,用于当eUICC收到对于第一运营商的profile的激活请求后,根据所述第一运营商的profile的基本部分,执行该profile中的NAA的个人化,将NAA相关算法参数与认证算法相关联,完成PIN/PUK码的设置,以及完成运营商主安全域信任状的设置;
[0023]用户交互单元,用于通过所在终端提示输入对应所述第一运营商的PIN码;如果输入的PIN码正确,则激活所述第一运营商的profile的基本部分;
[0024]远程交互单元,用于连接所述第一运营商的网络,通过第一运营商的远程管理平台下载所述第一运营商的profile的扩展部分,并安装到profile公用区。
[0025]可选地,所述扩展部分是指profile中预存在eUICC卡中的基本部分以外的内容;
[0026]所述基本部分包括:网络接入应用、与网络接入应用相关的算法参数、运营商主安全域的安全信任状、PIN/PUK码。
[0027]可选地,所述远程交互单元还用于通过短信从所述第一运营商的远程管理平台接收操作指令,根据该操作指令对所述第一运营商的profile进行管理。
[0028]可选地,所述远程交互单元还用于当无法正常安装profile的所述扩展部分时,忽略该扩展部分。
[0029]可选地,所述用户交互单元还用于侦听网络变化事件,如果该事件发生,则检测目前基本部分预存在本eUICC中且处于未激活状态的profile,将未激活的profile所对应的运营商作为可供激活的运营商发送给所在的终端。
[0030]本发明的方案提出将profile分为基本部分和扩展部分,基本部分可实现eUICC的网络接入和与运营商的OTA平台对接,扩展部分包括敏感度较低的其他数据和应用;分别将各运营商的profile的基本部分预存在eUICC的相互隔离的安全域中,分别将各运营的profile的扩展部分存储在该运营商的远程管理平台中,enCC将两者结合即可实现完整的profile功能。本发明无需eUICC动态创建安全域,无须下载整个profile,通过短信就可实现profile的管理(profile的基本部分即可支持短信功能),因此可以降低eUICC的实现复杂度,从而减少eUICC的成本;而且运营商核心信息也不会在空口传输,使安全性得到了保证。
【专利附图】
【附图说明】
[0031]图1为实施例一的eUICC的profile激活方法的流程示意图;
[0032]图2为实施例一的例子的流程图;
[0033]图3为实施例二的例子的架构示意图。
【具体实施方式】
[0034]下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
[0035]需要说明的是,如果不冲突,本发明实施例以及实施例中的各个特征可以相互结合,均在本发明的保护范围之内。另外,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
[0036]实施例一、一种嵌入式通用集成电路卡的profile激活方法,如图1所示,包括:
[0037]S101、分别将各运营商的profile的基本部分预存在eUICC中相互隔离的安全域中;
[0038]S102、当eUICC收到对于第一运营商的profile的激活请求后,根据所述第一运营商的profile的基本部分,执行该profile中的NAA的个人化,将NAA相关算法参数与认证算法相关联,完成PIN/PUK码的设置,以及完成运营商主安全域信任状的设置;
[0039]S103、eUICC通过所在终端提示输入对应所述第一运营商的PIN码;如果输入的PIN码正确,则激活所述第一运营商的profile的基本部分;
[0040]S104、enCC连接所述第一运营商的网络,然后通过第一运营商的远程管理平台下载所述第一运营商的profile的扩展部分,并安装到profile公用区。
[0041]本实施例中,将预先存储在eUICC卡中的profile的内容称为profile的基本部分,包括:NAA(Network access applicat1n,网络接入应用)、与网络接入应用相关的算法参数、运营商主安全域的安全信任状、PIN/PUK码;基本部分配置完成之后,enCC可实现网络接入功能、短信功能以及和运营商OTA平台对接功能。
[0042]profile基本部分以外的元素统称profile扩展部分(如运营商私有应用等)。
[0043]其中,安全域是指应用提供商在卡上的代表,是基于安全信任状实现的一块独立于其他应用的空间。
[0044]本实施例将profile分成预存的基本部分和后续下载的扩展部分,可以减少下载量,减少动态建立安全域、减少建立数据通道的操作,因此可降低enCC的实现复杂度,并且使profile的激活更加快捷方便。
[0045]本实施例的一种实施方式中,所述步骤S104后还可以包括:
[0046]enCC通过短信从所述第一运营商的远程管理平台接收操作指令,根据该操作指令对所述第一运营商的profile进行管理。
[0047]本实施方式仅需通过短信就可实现profile的管理,可大大降低eWCC卡的成本。
[0048]本实施例的一种实施方式中,所述步骤S104后还可以包括:
[0049]eUICC如果无法正常安装profile的所述扩展部分,则忽略该扩展部分。
[0050]此时eHCC可以接入该运营商网络和连接运营商OTA平台,但是没有扩展部分中包含内容(如运营商私有应用)。若扩展部分正常安装到profile公用区,则eUICC具有与普通UICC profile相同的功能,
[0051]本实施例的一种实施方式中,所述步骤S102前还可以包括:
[0052]eUICC侦听网络变化事件,如果该事件发生,则检测目前基本部分预存在本eUICC中且处于未激活状态的profile,将未激活的profile所对应的运营商作为可供激活的运营商发送给所在的终端。可以但不限于以列表形式发送。
[0053]本实施例的一个例子如图2所示,包括:
[0054]201、终端如果检测到当前网络没有覆盖,则将网络变化事件通知给enCC ;
[0055]202,eUICC判断侦听到网络变化事件,开始通过主动式命令与终端交互,包括下列步骤 203、206 ;
[0056]203、eUICC检测目前处于未激活状态的profile基本部分,向终端返回可供激活的运营商列表;
[0057]204、用户选择激活某运营商profile,终端接收用户激活请求,将激活请求发给eUICC ;
[0058]205、eUICC收到激活请求后,完成如下操作:执行NAA应用的个人化,将NAA相关算法参数与认证算法相关联,完成PIN/PUK码的设置,以及完成运营商主安全域信任状的设置。
[0059]206、eUICC通过终端弹出对话界面,要求用户输入对应该运营商的PIN码。
[0060]207、用户输入PIN码。
[0061]208、enCC核验用户输入的PIN码是否正确,如果正确则激活该运营商profile ;如果不正确,则提示PIN码错误,返回步骤206 ;如果错误次数超过预设次数,则结束。
[0062]209、eHCC连接对应的运营商网络,如果连接失败,则返回步骤204,要求用户重新选择激活运营商的profile ;如果成功则进行210。
[0063]210、eUICC通过远程管理平台下载并安装profile扩展部分,若扩展部分正常安装到profile公用区,则eHCC具有与普通HCC profile相同的功能,如果不能正常安装,eUICC则忽略该profile扩展部分,此时eWCC可以接入该运营商网络和连接运营商OTA平台,但是没有扩展部分中包含内容(如运营商私有应用)。
[0064]实施例二、一种eHCC卡,包括:
[0065]存储单元,用于将各运营商的profile的基本部分保存在在相互隔离的安全域中;
[0066]设置单元,用于当eUICC收到对于第一运营商的profile的激活请求后,根据所述第一运营商的profile的基本部分,执行该profile中的NAA的个人化,将NAA相关算法参数与认证算法相关联,完成PIN/PUK码的设置,以及完成运营商主安全域信任状的设置;
[0067]用户交互单元,用于通过所在终端提示输入对应所述第一运营商的PIN码;如果输入的PIN码正确,则激活所述第一运营商的profile的基本部分;
[0068]远程交互单元,用于连接所述第一运营商的网络,然后通过第一运营商的远程管理平台下载所述第一运营商的profile的扩展部分,并安装到profile公用区。
[0069]本实施例的一种实施方式中,所述扩展部分是指profile中预存在eWCC卡中的基本部分以外的内容;
[0070]所述基本部分包括:网络接入应用、与网络接入应用相关的算法参数、运营商主安全域的安全信任状、PIN/PUK码。
[0071 ] 本实施例的一种实施方式中,所述远程交互单元还用于通过短信从所述第一运营商的远程管理平台接收操作指令,根据该操作指令对所述第一运营商的profile进行管理。
[0072]本实施例的一种实施方式中,所述远程交互单元还用于当无法正常安装profile的所述扩展部分时,忽略该扩展部分。
[0073]本实施例的一种实施方式中,所述用户交互单元还用于侦听网络变化事件,如果该事件发生,则检测目前基本部分预存在本eUICC中且处于未激活状态的profile,将未激活的profile所对应的运营商作为可供激活的运营商发送给所在的终端。
[0074]本实施例的一个例子中,enCC卡的架构基于GP卡结构模型,如图3所示:存储单元用于保存各运营商的profile的基本部分,比如图3中的MNO-A、MNO-B……。
[0075]图3中profile公用区斜线填充的方块表示prof ile基本部分中的网络接入应用(NAA)、与NAA相关的算法参数、PIN/PUK码,椭圆部分表示运营商主安全域及信任状。
[0076]profile基本部分完成安装之后,profile扩展部分可以通过远程管理平台,以在profile公用区增加文件或应用的方式实现扩展部分的下载和安装。
[0077]profile管理模块可以包括远程交互单元,负责与远程管理平台交互,下载profile的扩展部分。
[0078]profile管理模块还可以包括设置单元,用于完成profile的基本部分的安装,如根据用户请求将对应某个运营商的profile的基本部分配置安装到profile公用区。
[0079]profile管理模块还可以包括用户交互单元,用于与eWCC所在终端进行交互,如通过主动式命令(Envelope命令)要求终端弹出PIN码输入界面。
[0080]enCC卡在发行时,将卡中包含的运营商信息以其他安全方式(如光盘)发送给用户,这些运营商信息中包含PIN/PUK码。eHCC在发行时,prof ile公用区已经预先配置好一个或多个运营商的profile的基本部分(enCC只在这些运营商网络覆盖的区域发行),提供与相应运营商的远程管理平台的连接。
[0081]本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
[0082]当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明的权利要求的保护范围。
【权利要求】
1.一种嵌入式通用集成电路卡encc的用户签约信息profile激活方法,包括: 5101、分别将各运营商的profile的基本部分预存在eUICC中相互隔离的安全域中; 5102、当eUICC收到对于第一运营商的profile的激活请求后,根据所述第一运营商的profile的基本部分,执行该profile中的网络接入应用NAA的个人化,将NAA相关算法参数与认证算法相关联,完成PIN/PUK码的设置,以及完成运营商主安全域信任状的设置; 5103、enCC通过所在终端提示输入对应所述第一运营商的PIN码;如果输入的PIN码正确,则激活所述第一运营商的profile的基本部分; 5104、eUICC连接所述第一运营商的网络,通过第一运营商的远程管理平台下载所述第一运营商的profile的扩展部分,并安装到profile公用区。
2.如权利要求1所述的方法,其特征在于: 所述扩展部分是指profile中预存在enCC卡中的基本部分以外的内容; 所述基本部分包括:网络接入应用、与网络接入应用相关的算法参数、运营商主安全域的安全信任状、PIN/PUK码。
3.如权利要求1所述的方法,其特征在于,所述步骤S104后还包括: eUICC通过短信从所述第一运营商的远程管理平台接收操作指令,根据该操作指令对所述第一运营商的profile进行管理。
4.如权利要求1所述的方法,其特征在于,所述步骤S104后还包括: eUICC如果无法正常安装profile的所述扩展部分,则忽略该扩展部分。
5.如权利要求1所述的方法,其特征在于,所述步骤S102前还包括: eUICC侦听网络变化事件,如果该事件发生,则检测目前基本部分预存在本eUICC中且处于未激活状态的profile,将未激活的profile所对应的运营商作为可供激活的运营商发送给所在的终端。
6.一种嵌入式通用集成电路卡eUICC,其特征在于,包括: 存储单元,用于将各运营商的profile的基本部分保存在在相互隔离的安全域中;设置单元,用于当eUICC收到对于第一运营商的profile的激活请求后,根据所述第一运营商的profile的基本部分,执行该profile中的NAA的个人化,将NAA相关算法参数与认证算法相关联,完成PIN/PUK码的设置,以及完成运营商主安全域信任状的设置; 用户交互单元,用于通过所在终端提示输入对应所述第一运营商的PIN码;如果输入的PIN码正确,则激活所述第一运营商的profile的基本部分; 远程交互单元,用于连接所述第一运营商的网络,通过第一运营商的远程管理平台下载所述第一运营商的profile的扩展部分,并安装到profile公用区。
7.如权利要求6所述的eUICC,其特征在于: 所述扩展部分是指profile中预存在enCC卡中的基本部分以外的内容; 所述基本部分包括:网络接入应用、与网络接入应用相关的算法参数、运营商主安全域的安全信任状、PIN/PUK码。
8.如权利要求6所述的eUICC,其特征在于: 所述远程交互单元还用于通过短信从所述第一运营商的远程管理平台接收操作指令,根据该操作指令对所述第一运营商的profile进行管理。
9.如权利要求6所述的eUICC,其特征在于: 所述远程交互单元还用于当无法正常安装profile的所述扩展部分时,忽略该扩展部分。
10.如权利要求所述远程交互单元还用于,其特征在于: 所述用户交互单元还用于侦听网络变化事件,如果该事件发生,则检测目前基本部分预存在本eUICC中且处于未激活状态的profile,将未激活的profile所对应的运营商作为可供激活的运营商发送给所在的终端。
【文档编号】H04W8/18GK104469737SQ201410655424
【公开日】2015年3月25日 申请日期:2014年11月17日 优先权日:2014年11月17日
【发明者】陈豪, 张尼, 刘廉如, 宫雪 申请人:中国联合网络通信集团有限公司