CN110446201B - 一种实现eSIM远程配置的通信模组、通信方法及系统 - Google Patents
一种实现eSIM远程配置的通信模组、通信方法及系统 Download PDFInfo
- Publication number
- CN110446201B CN110446201B CN201910893225.7A CN201910893225A CN110446201B CN 110446201 B CN110446201 B CN 110446201B CN 201910893225 A CN201910893225 A CN 201910893225A CN 110446201 B CN110446201 B CN 110446201B
- Authority
- CN
- China
- Prior art keywords
- euicc
- unit
- platform
- module
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/183—Processing at user equipment or user record carrier
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
- H04W8/205—Transfer to or from user equipment or user record carrier
Abstract
本申请公开一种实现eSIM远程配置的通信模组、通信方法及系统。所述通信模组集成在终端设备中,包括模组单元和eUICC单元;模组单元中包括profile远程配置应用程序,用于与服务器进行通信下载新profile文件、以及通过指令控制eUICC单元实现eUICC单元通信入网;eUICC单元为存储有用户身份信息和卡认证信息的集成电路卡,用于存储和安装新profile文件,以及根据模组单元的指令进行新profile文件的激活入网。采用本申请提供的通信模组可直接与服务器进行profile远程配置,减少了对终端的硬件需求和终端软件的开发。
Description
技术领域
本申请涉及智能卡通信领域,尤其涉及一种实现eSIM远程配置的通信模组、通信方法及系统。
背景技术
在移动蜂窝网络通信中,运营商普遍使用的SIM卡作为移动通信的用户鉴权信息载体,随着物联网市场的发展,对SIM卡提出了新的工艺要求,以及迁移灵活性要求,传统的SIM卡已经不能满足部分物联网产品严苛的空间限制和适应极端工作环境的需求。
在此背景下诞生了eSIM技术。eSIM是将移动运营商的客户识别信息(包含在Profile中)写入嵌入式通信集成电路卡(eUICC),并固定在嵌入式终端设备上,不能随便拔出或替换,用户无法直接对集成电路卡进行更换,需要后期远程对码号资源(包含在Profile中)进行管理,从而在终端使用过程中能够切换不同运营商的移动通信网络,也称为Profile远程配置。
eSIM技术能解决物联网产品空间限制、形态设计、极端工作环境上的需求,为客户提供便利的联网服务,极大提升客户使用体验。
然而目前所采用的profile远程配置方案由终端应用软件配合通信模组实现,现在通常的做法是在终端应用软件采用点击按钮或接收短信的方式控制profile远程配置业务流程的发起,因此也就要求不同种类的终端必须将profile远程配置业务集成到自身所支持的应用软件中。
另外,即使终端将profile远程配置业务集成在应用软件中,但是现有的通信模组由于受到卡片开通BIP通道的限制,因此并不支持profile远程配置业务,无法实现profile文件的下载、安装等功能。
由于上述缺陷,导致profile远程配置功能的使用受到极大限制,只能依靠用户繁琐操作才能完成,用户体验不佳。
发明内容
本申请提供了一种实现eSIM远程配置的通信模组,所述通信模组集成在终端设备中,所述通信模组包括模组单元和eUICC单元,所述模组单元通过专用数据线与所述eUICC单元通信;
所述模组单元中包括profile远程配置应用程序,用于与服务器进行通信下载新profile文件、以及通过指令控制eUICC单元实现eUICC单元通信入网;
所述eUICC单元为存储有用户身份信息和卡认证信息的集成电路卡,用于存储和安装新profile文件,以及根据所述模组单元的指令进行新profile文件的激活入网。
如上所述的实现eSIM远程配置的通信模组,其中,所述通信模组还包括定时器,用于定时查询服务器上的profile是否需要更新。
如上所述的实现eSIM远程配置的通信模组,其中,所述通信模组还包括按键装置或操作接口,用于通过按键装置或操作接口接收用户主动查询服务器上profile是否需要更新的触发。
本申请还提供一种实现eSIM远程配置的通信模组的通信方法,具体包括如下步骤:
所述模组单元调用模组API接口函数,与服务器建立连接;
所述模组单元向服务器发送HTTP请求,请求下载profile文件,将下载的profile文件写入eUICC单元中;
所述模组单元接收服务器下发的新profile文件,依次向eUICC单元发送写入新profile文件指令、激活新profile文件指令;
所述eUICC单元根据接收到的指令依次执行新profile文件的存储和激活入网。
如上所述的实现eSIM远程配置的通信模组的通信方法,其中,模组单元在接收到服务器下发的新profile之后具体执行如下子步骤:
所述eUICC单元接收到所述模组单元下发的写入新profile文件指令,将所述新profile文件写入非易失性存储器中,向所述模组单元返回写入成功响应;
所述模组单元在接收到写入成功响应后再向所述eUICC单元下发激活所述新profile文件指令;
所述eUICC单元执行所述新profile文件的激活,向所述模组单元返回激活成功响应;
所述模组单元接收到激活成功响应后,控制模组基带、射频单元重启,使用所述新profile文件接入网络,实现正常驻网。
如上所述的实现eSIM远程配置的通信模组的通信方法,其中,所述模组单元与服务器建立连接之前还包括:
所述模组单元在上电开机后首先运行系统软件完成硬件检测,以及基带射频初始化、eUICC单元识别、profile远程配置应用程序运行环境初始化。
本申请还提供一种实现eSIM远程配置的系统,所述系统包括集成上述通信模组的终端,以及服务器;所述服务器包括IT支撑系统和SM-DP+平台;
所述IT支撑系统与所述通信模组建立HTTPS连接,用于搭建通信模组与SM-DP+平台之间的关联,实现所述通信模组与SM-DP+平台的直接通信;
所述SM-DP+平台与所述通信模组建立HTTPS连接,用于向所述通信模组提供新profile文件;
所述通信模组用于根据所述SM-DP+平台提供的新profile文件实现通信入网。
如上所述的实现eSIM远程配置的系统,其中,所述模组单元用于监听profile远程配置业务的发起事件,当监听到事件发起后,与所述IT支撑系统建立HTTPS连接;向所述eUICC单元请求读取eUICC单元的eID,并将所述eID及其预存的签约信息发送至所述IT支撑系统;
所述IT支撑系统用于将EID传给SM-DP+平台,请求生成带有SM-DP+平台地址的激活码,接收所述SM-DP+平台返回的SM-DP+平台地址激活码,将所述激活码下发至所述模组单元;
所述模组单元从所述激活码中解析得到SM-DP+平台地址,使用所述SM-DP+平台地址与所述SM-DP+平台建立HTTPS连接。
如上所述的实现eSIM远程配置的系统,其中,所述模组单元还用于与所述SM-DP+平台进行双向认证,并在认证通过后检查通信模组是否具备下载profile文件的条件,具体包括:
与所述SM-DP+平台进行双向认证,并在认证通过后接收所述SM-DP+平台返回的下载profile所需的相关参数数据;
在接收到下载profile所需的相关参数数据后,查看是否存在配置文件策略规则信息,如果存在,则向eUICC单元请求规则授权表和profile头信息,如果不存在,则报错;
接收所述eUICC单元返回的规则授权表后,检查规则授权表是否允许配置文件策略规则,如果允许,则满足下载profile文件的条件。
如上所述的实现eSIM远程配置的系统,其中,所述通信模组用于根据所述SM-DP+平台提供的新profile文件实现通信入网,具体包括:
模组单元用于向所述eUICC单元发送下载准备请求,接收所述eUICC单元返回的签名信息,根据所述签名信息生成下载profile包请求,将下载profile包请求发送至SM-DP+平台;
接收所述SM-DP+平台下发的新profile文件,将所述新profile文件写入eUICC单元,然后向所述eUICC单元发送激活指令,激活所述新profile文件。
如上所述的实现eSIM远程配置的系统,其中,所述模组单元激活所述eUICC单元的新profile文件后,还用于控制模组基带、射频单元重启,当能够正常驻网时表示入网成功,向eUICC单元发送删除指令删除旧profile文件。
本申请实现的有益效果如下:采用本申请提供的通信模组可直接与后台服务器进行profile远程配置,不再需要现有终端应用软件的调度和管理,也不需要终端主控单元提供输入输出接口,减少了对终端主控单元的硬件需求,减少终端软件的开发。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本申请实施例一提供的实现eSIM远程配置的通信模组示意图;
图2是通信模组与服务器进行profile远程配置的流程图;
图3是通信模组中模组单元与eUICC单元进行新profile文件处理的流程图;
图4是在profile远程配置应用程序与服务器建立连接前模组单元的具体操作流程图;
图5是本申请实施例二提供的实现eSIM远程配置的系统示意图;
图6是实现eSIM远程配置的系统的通信方法流程图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
如图1所示,本申请实施例提供一种实现eSIM远程配置的通信模组,集成在终端设备(可以为手机、pad、可穿戴设备等)中,所述通信模组包括模组单元110和eUICC单元120,所述模组单元通过专用数据线与所述eUICC单元通信;其中,模组单元110中写入Profile远程配置功能代码,即profile远程配置应用程序,该应用程序用于实现通过指令控制eUICC单元120实现eUICC单元120通信入网,以及实现eUICC单元120与服务器通信下载新profile文件,即实现eUICC单元120通信入网;eUICC单元120为存储有用户身份信息和卡认证信息的集成电路卡,用于存储和安装新profile文件,以及根据所述模组单元的指令进行新profile文件的激活入网和旧profile文件的删除。
其中,实现指令控制eUICC单元,具体包括通过读指令读取eUICC信息,通过应用请求命令请求获取eUICC单元的应用数据,通过数据接收指令接收eUICC单元返回的数据,通过APDU指令(包括profile文件写入指令、激活指令、删除指令)实现新profile文件的写入和激活入网,以及旧profile文件的删除;
实现eUICC单元与服务器通信,具体包括profile远程配置单元连接/断开服务器,向服务器发送获取profile下载请求,从服务器接收新profile文件等。
具体地,通信模组中的profile远程配置应用程序通过调用模组API接口函数,实现profile远程配置,如图2所示,具体包括如下子步骤:
步骤210、模组单元调用模组API接口函数,与服务器建立连接;
本申请实施例中,模组单元调用模组API接口函数,与服务器建立连接,具体包括:
步骤211、创建HTTP客户端实例;
具体地,通过以下功能函数实现创建HTTP客户端实例:
步骤212、模组单元根据创建的HTTP客户端实例连接服务器;
具体地,通过以下功能函数实现连接服务器,其中,该功能函数的参数为上一步骤得到的HTTP客户端实例*httpclient_id:
步骤220、模组单元向连接的服务器发送HTTP请求,请求下载profile数据;
具体地,通过以下功能函数实现向连接的服务器发送下载profile数据的HTTP请求,实现eUICC单元与服务器之间的数据交互:
步骤230、模组单元接收服务器下发的新profile文件,依次向eUICC单元发送写入新profile文件指令、激活新profile文件指令和删除旧profile文件指令;
具体地,模组单元通过以下功能函数实现向eUICC单元下发APDU指令(一种调制解调命令语言,用于模组单元与eUICC单元的数据交互,包括profile文件写入指令、激活指令、删除指令),实现向eUICC单元写入从服务器下载的Profile数据、激活新Profile、删除旧Profile功能:
步骤240、eUICC单元根据接收到的指令依次执行新profile文件的存储和激活入网,以及旧profile文件的删除;
具体地,如图3所示,通信模组接收到服务器下发的新profile文件之后执行如下子步骤:
步骤310、eUICC单元接收到模组单元下发的写入新profile文件指令,将新profile文件写入非易失性存储器中,向模组单元返回写入成功响应;
步骤320、模组单元在接收到写入成功响应后再向eUICC单元下发激活新profile文件指令;
步骤330、eUICC单元执行新profile文件的激活,向模组单元返回激活成功响应;
步骤340、模组单元接收到激活成功响应后,控制模组基带、射频单元重启,使用新profile文件接入网络,实现正常驻网后,向eUICC单元下发删除旧profile文件指令;
步骤350、eUICC单元删除旧profile文件,向模组单元返回删除成功响应。
本申请实施例中,在profile远程配置应用程序与服务器建立连接之前,还包括模组单元在上电开机后首先运行系统软件完成硬件检测,以及基带射频初始化、eUICC单元识别、profile远程配置应用程序运行环境初始化;如图4所示,在profile远程配置应用程序与服务器建立连接之前具体包括:
步骤410、模组单元跳转至profile远程配置应用程序开始运行,profile远程配置应用程序使用模组单元的系统API接口函数与模组单元的系统软件交互;
步骤420、profile远程配置应用程序通过访问模组单元平台提供的服务,查询模组单元硬件状态、eUICC单元是否可用、当前网络状态等;
在查询上述信息全部正常之后,profile远程配置应用程序调用模组API接口函数,与服务器建立连接,从服务器中下载运营商profile文件。
采用本申请提供的通信模组可直接与后台服务器进行profile远程配置,不再需要现有终端应用软件的调度和管理,也不需要终端主控单元提供输入输出接口,减少了对终端主控单元的硬件需求,减少终端软件的开发。
实施例二
如图5所示,本申请实施例二提供一种实现eSIM远程配置的系统,包括集成如实施例一所示的通信模组的终端和服务器;
为匹配本申请的实现eSIM远程配置的通信模组,本申请在服务器中设置IT支撑系统和SM-DP+平台;其中,IT支撑系统用于实现对客户的管理和服务,为本申请移动终端的通信模组提供SM-DP(签约关系管理数据);SM-DP+平台是签约关系管理数据准备平台,负责为移动终端的通信模组提供Profile数据下载服务。
通信模组中profile远程配置应用程序实现模组与IT支撑系统架构连接、与SM-DP+平台建立HTTPS连接、下载profile、安装激活新profile、以及删除旧profile等功能。
本申请实施例中,实现eSIM远程配置的系统的工作方法,如图6所示,应用在包括由eUICC单元和模组单元组成的通信模组、IT支撑系统和SM-DP+平台组成的系统中,具体包括如下步骤:
步骤601、模组单元的profile远程配置应用程序监听profile远程配置业务的发起事件;
可选地,本申请实施例中,通信模组中可以设置定时器,用于定时监听远程配置业务的发起事件,每隔预设固定时间周期性地向服务器发送状态查询请求,定时查询服务器上的profile是否需要更新;另外,所述通信模组还可以通过设置按键装置或操作接口,供用户主动查询服务器是否需要更新。
步骤602、当监听到profile远程配置业务的发起事件后,模组单元与IT支撑系统之间建立HTTPS连接;
具体地,profile远程配置应用程序通过调用模组API接口函数,创建HTTPS客户端实例,然后根据创建的HTTPS客户端实例连接IT支撑系统。
步骤603、模组单元向eUICC单元请求读取eUICC单元的EID,将读取到的EID及其预存的签约数据发送至IT支撑系统;
IT支撑系统为用户的开户或eUICC的开通提供服务,模组单元通过eUICC单元的EID(Electronic Identity,公民网络电子身份标识)向IT支撑系统请求开通eUICC服务。
步骤604、IT支撑系统将EID传给SM-DP+平台,请求生成带有SM-DP+平台地址的激活码,将激活码传回IT支撑系统;
其中,激活码中包括SM-DP+平台地址和运营商数据包下载信息(如运营商全球唯一识别码、证书等);
SM-DP+平台为移动终端的通信模组提供Profile数据下载服务,当通信模组接收到SM-DP+平台地址的激活码之后,从激活码中解析得到SM-DP+平台地址,即可建立通信模组与SM-DP+平台的通信,通信模组即可从SM-DP+平台下载profile。
步骤605、IT支撑系统将SM-DP+平台地址激活码发送给模组单元;
步骤606、模组单元向eUICC单元请求读取eUICC的卡唯一标识和eUICC随机数;
具体地,模组单元的profile远程配置应用程序通过调用模组API接口函数,向eUICC单元发送读取eUICC单元的卡唯一标识eUICCInfo和eUICC单元的eUICC随机数eUICCChallenge信息的请求;
可选地,eUICC单元的eUICC随机数为eUICC单元生成的16字节随机数,在接收到模组单元的读取请求之后生成eUICC随机数,将eUICCInfo和eUICC随机数作为eUICC单元与SM-DP+平台相互认证的凭据
卡唯一标识eUICCInfo包括支持的GSMA协议的版本号VersionType、支持的CI公钥验签标识符列表euiccCiPKIdListForVerification和支持的CI公钥签名标识符列表euiccCiPKIdListForSigning。
步骤607、模组单元解析SM-DP+平台地址激活码获得SM-DP+平台地址,与该SM-DP+平台地址对应的SM-DP+平台建立连接;
步骤608、eUICC单元通过模组单元与SM-DP+平台进行双向认证;
具体地,eUICC单元通过模组单元与SM-DP+平台进行双向认证,具体包括如下子步骤:
步骤S1、模组单元将eUICCChallenge、eUICCInfo1和SM-DP+平台地址SMDPAddress发送至SM-DP+平台;
步骤S2、SM-DP+平台接收上述数据后,进行合法性检查,检查通过后,对eUICC认证数据进行验签,验签通过后,根据eUICCChallenge、SMDPChallenge和SMDPAddress生成服务器待签名数据,对服务器待签名数据进行签名生成签名结果,根据待签名数据、签名结果生成服务器认证数据并发送至模组单元进行认证;
具体地,SM-DP+平台在进行合法性检查包括:检查SM-DP+平台地址是否正确,如果不正确结束本流程,否则继续下一步骤;检查eUICC证书所相关联的CI公钥签名标识列表,如果SMDP平台不认可任何一个CI公钥标识,则结束本流程,否则继续下一步骤;检查接收到的CI公钥验签标识符列表,如果不能提供由eUICC支持的CERT.XXauth.ECDSA签名,则结束本流程,否则继续下一步骤;
SM-DP+平台在检查合法性通过后,生成TransactionID(用于唯一标识当前RSP会话并关联属于同一RSP会话的多个Esxx指令集请求);然后生成SM-DP+平台随机数SMDPChallenge,由RSP服务器支持的eUICC的CI公钥签名标识符列表中选择一个CI公钥进行签名验证并写入到euiccCiPKIdToBeUsed(表示使用该CI公钥进行签名验证);根据TransactionID、eUICC随机数、服务器随机数和SM-DP+平台地址生成服务器待签名数据serverSigned1;使用SM-DP+平台密钥SK.XXauth.ECDSA对serverSigned1签名得到serverSignature1;再由SM-DP+平台将TransactionID,serverSigned1,serverSignature1,euiccCiPKIdToBeUsed和CERT.XXauth.ECDSA证书发送给模组单元;
步骤S3、eUICC单元对服务器认证数据进行验证,验证通过后生成eUICC认证数据,通过模组单元发送至SM-DP+平台;
然后再进行eUICC单元对SM-DP+平台的验证,具体为:模组单元先查看SM-DP+平台返回的服务器认证数据中的SM-DP+平台地址是否匹配自身存储的地址,如果匹配,则为eUICC生成一个包含MatchingID和DeviceInfo的数据结构ctxParams1,DeviceInfo中包括IMEI和所支持的GSM、CDMA2000、NFC、eUICC、LTE的发行版本,将TransactionID,serverSigned1,serverSignature1,euiccCiPKIdToBeUsed、CERT.XXauth.ECDSA和ctxParams1发送给eUICC单元;
eUICC单元使用相关的PK.CI.ECDSA验证CERT.XXauth.ECDSA,还应该验证在serverSigned1上计算的serverSignature1;验证eUICC随机数与之前发送的eUICC随机数是否相等;验证euiccCiPKIdToBeUsed是否被支持且相关的证书可用于签名,如果任一验证不能通过则终止本流程,如果验证均通过,则根据TransactionID,serverChallenge,eUICCInfo2(包括SIM所支持的Profile包的版本,支持的GSMA协议的版本,eUICC固件版本,扩展卡资源信息,UICC容量,国际平台版本,eUICC支持的CI公钥验签标识符列表,eUICC支持的CI公钥签名标识符列表等)和ctxParams1数据生成eUICC待签名数据,然后使用SK.EUICC.ECDSA对euiccSigned1签名生成euiccSignature1,根据euiccSigned1,euiccSignature1,CERT.EUICC.ECDSA,andCERT.EUM.ECDSA生成eUICC认证数据,通过模组单元发送至SM-DP+平台,完成eUICC单元对SM-DP+平台的验证;
步骤S4、SM-DP+平台对eUICC认证数据进行验证,验证通过后双向认证完成;
SM-DP+平台对上述数据进行验证,包括验证TransactionID是否相同,验证CERT.EUICC.ECDSA和CERT.EUM.ECDSA是否有效,若验证均通过,则完成SM-DP+平台对eUICC单元的验证,建立通信模组与SM-DP+平台的安全通道,完成双向认证。
步骤609、SM-DP+平台验证eUICC单元通过后,向模组单元返回下载profile所需的相关参数数据;
其中,下载profile所需的相关参数数据包括本次会话标识TransactionID、ProfileMetadata(包括ICCID,serviceProviderName,ProfileName,iconType,icon,profileClass,notificationConfigurationInf,profileOwner,profilePolicyRules)、由SM-DP+平台签名的数据smdpSigned2、SM-DP+平台签名smdpSignature2、SM-DP+平台证书CERT.DPpb.ECDSA。
步骤610、模组单元接收到下载profile所需的相关参数数据后,查看是否存在配置文件策略规则信息,如果存在,则向eUICC单元请求规则授权表和profile头信息,如果不存在,则报错;
其中,配置文件策略规则信息(PPR)由profile拥有者定义并由SM-DP+平台在ProfileMetadata中设置,一个profile可以有0(测试用profile不包括PPR)或多个PPRs,PPRs在安装到eUICC上时,被设置在相关联的profile中,例如,PPR1为不允许对这个Profile执行禁用操作,PPR2:不允许对这个Profile执行删除操作;
规则授权表由eUICC平台级别定义,在eUICC生产或未安装操作配置文件的初始化设备期间提供,由eUICC生产厂商EUM设定规则授权表的内容,其中,规则授权表包含可在profile中配置的一组可接受的配置文件策略规则信息的描述,模组单元可使用规则授权表确定包含配置文件策略规则信息的配置文件是否可以授权在eUICC单元上安装;
profile头信息为eUICC单元中的profileinfo,包括ICCID、ISD-P应用ID、profile状态、ProfileNickname、服务提供商名字ServiceProviderName、图标类型Icontype、图标数据Icon、Profile分类ProfileClass、通知配置信息NotificationconfigurationInfo、Profile拥有者Profileowner、dpProprietaryData、所有配置文件策略规则信息profilepolicyRules。
步骤611、模组单元接收到eUICC单元返回的规则授权表后,检查规则授权表是否允许配置文件策略规则,如果允许,则向eUICC单元发送下载准备请求;
其中,下载准备请求中包括TransactionID,ProfileMetadata,smdpSigned2,smdpSignature2和CERT.DPpb.ECDSA。
步骤612、eUICC单元接收到下载准备请求后将签名信息返回模组单元;
eUICC单元验证CERT.DPpb.ECDSA是否有效,验证CERT.DPauth.ECDSA和CERT.DPpb.ECDSA是否属于同一实体,使用包含在CERT.DPpb.ECDSA中的PK.DPpb.ECDSA验证smdpSigned2和euiccSignature1上执行的smdpSignature2;验证TransactionID是否相同,若验证通过,则继续下一步骤,否则报错;
eUICC单元验证通过后,根据TransactionID,otPK.EUICC.ECKA生成待签名数据,然后使用SK.EUICC.ECDSA对euiccSigned2和smdpSignature2进行签名得到euiccSignature2,将euiccSigned2和euiccSignature2作为签名信息发送至模组单元。
步骤613、模组单元根据签名信息生成下载profile请求,将下载profile请求发送至SM-DP+平台;
具体地,模组单元根据TransactionID、euiccSigned2和euiccSignature2生成下载profile请求。
步骤614、SM-DP+平台将profile数据包发送至模组单元;
SM-DP+平台在接收到下载profile请求之后,验证TransactionID是否相同,如果相同,则获取与本次TransactionID相等的RSP会话相关联的PK.EUICC.ECDSA,使用PK.EUICC.ECDSA验证euiccSignature2,验证通过后进入profile下载命令。
可选地,SM-DP+平台将Profile数据分包发送至模组单元。
步骤615、模组单元将profile数据包发送至eUICC单元。
步骤616、eUICC单元将profile数据包写入存储区中,完成profile文件的安装,并将安装完成响应返回至模组单元。
步骤617、模组单元向SM-DP+平台返回安装成功结果。
步骤618、模组单元通过调用API接口函数向eUICC单元发送激活指令,激活新下载的profile文件,在激活成功后删除旧profile文件;
模组单元激活eUICC单元中新下载的profile文件之后,控制模组基带、射频等单元重启,然后eUICC单元即可使用新profile文件接入网络,当能够正常驻网则入网成功,删除旧profile文件。
本申请实施例中,在进行profile远程配置业务之前,在eUICC单元中存储有一个号码,该号码可以由通信模组出厂时与服务器协商预置,也可以在通信模组出厂后由集成通信模组的终端所具备的wifi等功能从SM-DP+平台中下载。需要说明的是,只要在进行本申请的profile远程配置业务之前通信模组与SM-DP+平台已协商过密钥即可,具体采用何种方式在此不作限定。
采用本申请的技术方案达到的有益效果如下:
(1)本方案是在通信模组中实现Profile远程配置,不需要终端主控单元提供输入输出接口支持,减少了对终端主控单元的硬件需求。
(2)通信模组独立完成Profile远程配置业务,不再需要终端应用软件支撑,减少了终端软件开发;
(3)本方案中模组内置profile远程配置应用程序直接实现通信模组与服务器上下行数据的交互,缩短远程配置过程中终端参与的数据交换路径,有助于减少数据转移中产生的数据错误;
(4)采用本方案只需要确认模组是否支持Profile远程配置业务即可,不再需要考虑终端应用软件是否支持,也不再需要考虑模组是否开放BIP通道,减少Profile远程配置业务实现的限制条件,减轻系统设计复杂度。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种实现eSIM远程配置的通信模组,其特征在于,所述通信模组集成在终端设备中,所述通信模组包括模组单元和eUICC单元,所述模组单元通过专用数据线与所述eUICC单元通信;
所述模组单元中包括profile远程配置应用程序,用于与服务器进行通信下载新profile文件、以及通过指令控制eUICC单元实现eUICC单元通信入网;
所述eUICC单元为存储有用户身份信息和卡认证信息的集成电路卡,用于存储和安装新profile文件,以及根据所述模组单元的指令进行新profile文件的激活入网;
模组单元,还用于监听profile远程配置业务的发起事件,当监听到事件发起后,与IT支撑系统建立HTTPS连接;向eUICC单元请求读取eUICC单元的eID,并将eID及其预存的签约信息发送至IT支撑系统;
IT支撑系统用于将EID传给SM-DP+平台,请求生成带有SM-DP+平台地址的激活码,接收SM-DP+平台返回的SM-DP+平台地址激活码,将激活码下发至模组单元;
模组单元从激活码中解析得到SM-DP+平台地址,使用SM-DP+平台地址与SM-DP+平台建立HTTPS连接,eUICC单元通过模组单元与SM-DP+平台进行双向认证;
其中,eUICC单元通过模组单元与SM-DP+平台进行双向认证,具体包括如下子步骤:
步骤S1、模组单元将eUICCChallenge、eUICCInfo1和SM-DP+平台地址SMDPAddress发送至SM-DP+平台;
步骤S2、SM-DP+平台接收上述数据后,进行合法性检查,检查通过后,对eUICC 认证数据进行验签,验签通过后,根据eUICCChallenge、SMDPChallenge和SMDPAddress生成服务器待签名数据,对服务器待签名数据进行签名生成签名结果,根据待签名数据、签名结果生成服务器认证数据并发送至模组单元进行认证;
其中,SM-DP+平台在进行合法性检查包括:检查SM-DP+平台地址是否正确,如果不正确结束本流程,否则继续下一步骤;检查eUICC证书所相关联的CI公钥签名标识列表,如果SM-DP+平台不认可任何一个CI公钥标识,则结束本流程,否则继续下一步骤;检查接收到的CI公钥验签标识符列表,如果不能提供由eUICC支持的CERT.XXauth.ECDSA签名,则结束本流程,否则继续下一步骤;
SM-DP+平台在检查合法性通过后,生成用于唯一标识当前RSP会话并关联属于同一RSP会话的多个Esxx指令集请求TransactionID;然后生成SM-DP+平台随机数SMDPChallenge,由RSP服务器支持的eUICC的CI公钥签名标识符列表中选择一个CI公钥进行签名验证并写入到euiccCiPKIdToBeUsed,表示使用该CI公钥进行签名验证,根据TransactionID、eUICC随机数、服务器随机数和SM-DP+平台地址生成服务器待签名数据serverSigned1;使用SM-DP+平台密钥SK.XXauth.ECDSA对serverSigned1签名得到serverSignature1;再由SM-DP+平台将TransactionID,serverSigned1,serverSignature1,euiccCiPKIdToBeUsed和CERT.XXauth.ECDSA证书发送给模组单元;
步骤S3、eUICC单元对服务器认证数据进行验证,验证通过后生成eUICC认证数据,通过模组单元发送至SM-DP+平台;
然后再进行eUICC单元对SM-DP+平台的验证,具体为:模组单元先查看SM-DP+平台返回的服务器认证数据中的SM-DP+平台地址是否匹配自身存储的地址,如果匹配,则为eUICC生成一个包含MatchingID和DeviceInfo的数据结构ctxParams1,DeviceInfo中包括IMEI和所支持的GSM、CDMA2000、NFC、eUICC、LTE的发行版本,将TransactionID,serverSigned1,serverSignature1,euiccCiPKIdToBeUsed、CERT.XXauth.ECDSA和ctxParams1发送给eUICC单元;
eUICC单元使用相关的PK.CI.ECDSA验证CERT.XXauth.ECDSA,还应该验证在serverSigned1上计算的serverSignature1;验证eUICC随机数与之前发送的eUICC随机数是否相等;验证euiccCiPKIdToBeUsed是否被支持且相关的证书可用于签名,如果任一验证不能通过则终止本流程,如果验证均通过,则根据TransactionID,serverChallenge,eUICCInfo2和ctxParams1数据生成eUICC待签名数据,eUICCInfo2包括SIM所支持的Profile包的版本,支持的GSMA协议的版本,eUICC固件版本,扩展卡资源信息,UICC容量,国际平台版本,eUICC支持的CI公钥验签标识符列表,eUICC支持的CI公钥签名标识符列表;然后使用SK.EUICC.ECDSA对euiccSigned1签名生成euiccSignature1,根据euiccSigned1,euiccSignature1,CERT.EUICC.ECDSA,and CERT.EUM.ECDSA生成eUICC认证数据,通过模组单元发送至SM-DP+平台,完成eUICC单元对SM-DP+平台的验证;
步骤S4、SM-DP+平台对eUICC认证数据进行验证,验证通过后双向认证完成;
SM-DP+平台对上述数据进行验证,包括验证TransactionID是否相同,验证CERT.EUICC.ECDSA和CERT.EUM.ECDSA是否有效,若验证均通过,则完成SM-DP+平台对eUICC单元的验证,建立通信模组与SM-DP+平台的安全通道,完成双向认证。
2.如权利要求1所述的实现eSIM远程配置的通信模组,其特征在于,所述通信模组还包括定时器,用于定时查询服务器上的profile是否需要更新。
3.如权利要求1所述的实现eSIM远程配置的通信模组,其特征在于,所述通信模组还包括按键装置或操作接口,用于通过按键装置或操作接口接收用户主动查询服务器上profile是否需要更新的触发。
4.一种如权利要求1-3中任意一项所述的实现eSIM远程配置的通信模组的通信方法,其特征在于,具体包括如下步骤:
所述模组单元调用模组API接口函数,与服务器建立连接;
所述模组单元向服务器发送HTTP请求,请求下载profile文件,将下载的profile文件写入eUICC单元中;
所述模组单元接收服务器下发的新profile文件,依次向eUICC单元发送写入新profile文件指令、激活新profile文件指令;
所述eUICC单元根据接收到的指令依次执行新profile文件的存储和激活入网。
5.如权利要求4所述的实现eSIM远程配置的通信模组的通信方法,其特征在于,模组单元在接收到服务器下发的新profile之后具体执行如下子步骤:
所述eUICC单元接收到所述模组单元下发的写入新profile文件指令,将所述新profile文件写入非易失性存储器中,向所述模组单元返回写入成功响应;
所述模组单元在接收到写入成功响应后再向所述eUICC单元下发激活所述新profile文件指令;
所述eUICC单元执行所述新profile文件的激活,向所述模组单元返回激活成功响应;
所述模组单元接收到激活成功响应后,控制模组基带、射频单元重启,使用所述新profile文件接入网络,实现正常驻网。
6.如权利要求4所述的实现eSIM远程配置的通信模组的通信方法,其特征在于,所述模组单元与服务器建立连接之前还包括:
所述模组单元在上电开机后首先运行系统软件完成硬件检测,以及基带射频初始化、eUICC单元识别、profile远程配置应用程序运行环境初始化。
7.一种实现eSIM远程配置的系统,其特征在于,所述系统包括集成如权利要求1-3中任意一项所述的通信模组的终端,以及服务器;所述服务器包括IT支撑系统和SM-DP+平台;
所述IT支撑系统与所述通信模组建立HTTPS连接,用于搭建通信模组与SM-DP+平台之间的关联,实现所述通信模组与SM-DP+平台的通信;
所述SM-DP+平台与所述通信模组建立HTTPS连接,用于向所述通信模组提供新profile文件;
所述通信模组用于根据所述SM-DP+平台提供的新profile文件实现通信入网。
8.如权利要求7所述的实现eSIM远程配置的系统 ,其特征在于,所述模组单元还用于与所述SM-DP+平台进行双向认证,并在认证通过后检查通信模组是否具备下载profile文件的条件,具体包括:
与所述SM-DP+平台进行双向认证,并在认证通过后接收所述SM-DP+平台返回的下载profile所需的相关参数数据;
在接收到下载profile所需的相关参数数据后,查看是否存在配置文件策略规则信息,如果存在,则向eUICC单元请求规则授权表和profile头信息,如果不存在,则报错;
接收所述eUICC单元返回的规则授权表后,检查规则授权表是否允许配置文件策略规则,如果允许,则满足下载profile文件的条件。
9.如权利要求7所述的实现eSIM远程配置的系统,其特征在于,所述通信模组用于根据所述SM-DP+平台提供的新profile文件实现通信入网,具体包括:
模组单元用于向所述eUICC单元发送下载准备请求,接收所述eUICC单元返回的签名信息,根据所述签名信息生成下载profile包请求,将下载profile包请求发送至SM-DP+平台;
接收所述SM-DP+平台下发的新profile文件,将所述新profile文件写入eUICC单元,然后向所述eUICC单元发送激活指令,激活所述新profile文件。
10.如权利要求9所述的实现eSIM远程配置的系统,其特征在于,所述模组单元激活所述eUICC单元的新profile文件后,还用于控制模组基带、射频单元重启,当能够正常驻网时表示入网成功,向eUICC单元发送删除指令删除旧profile文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910893225.7A CN110446201B (zh) | 2019-09-20 | 2019-09-20 | 一种实现eSIM远程配置的通信模组、通信方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910893225.7A CN110446201B (zh) | 2019-09-20 | 2019-09-20 | 一种实现eSIM远程配置的通信模组、通信方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110446201A CN110446201A (zh) | 2019-11-12 |
| CN110446201B true CN110446201B (zh) | 2022-03-18 |
Family
ID=68440585
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910893225.7A Active CN110446201B (zh) | 2019-09-20 | 2019-09-20 | 一种实现eSIM远程配置的通信模组、通信方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110446201B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110913374B (zh) * | 2019-12-13 | 2022-04-29 | 联通系统集成有限公司贵州省分公司 | 一种物联网跨网通信模块的通信方式 |
| CN111884828A (zh) * | 2019-12-18 | 2020-11-03 | 中国联合网络通信集团有限公司 | 物联网设备运营商的配置方法和物联网设备 |
| CN110996339B (zh) * | 2019-12-18 | 2021-03-02 | 深圳联想懂的通信有限公司 | 一种eSIM资源管理平台和管理方法 |
| CN113784331B (zh) * | 2020-06-09 | 2022-12-30 | 华为技术有限公司 | 更新用户身份识别模块卡系统数据的方法及装置 |
| CN113950043B (zh) * | 2020-07-17 | 2024-01-05 | 深圳酷派技术有限公司 | 通信方法、装置、存储介质以及终端 |
| CN111651183B (zh) * | 2020-08-05 | 2021-03-30 | 深圳杰睿联科技有限公司 | 基于软卡的通信模组升级方法及设备、系统和存储介质 |
| CN114554476B (zh) * | 2020-11-10 | 2023-04-07 | 荣耀终端有限公司 | eSIM卡控制方法、可读介质及电子设备 |
| CN112512118B (zh) * | 2020-11-18 | 2023-09-19 | 中国联合网络通信集团有限公司 | 一种通信方法和设备 |
| CN112543448A (zh) * | 2020-12-21 | 2021-03-23 | 中国联合网络通信集团有限公司 | 电子卡安装方法、设备及系统 |
| CN112565459B (zh) * | 2020-12-28 | 2021-08-24 | 深圳杰睿联科技有限公司 | 物联网设备及eUICC卡中profile的管理方法 |
| CN112954629B (zh) * | 2021-02-20 | 2022-12-09 | 捷开通讯(深圳)有限公司 | 一种eSIM设备入网更新的方法、系统、eSIM设备、存储介质 |
| CN113518341B (zh) * | 2021-04-13 | 2022-05-10 | 武汉天喻信息产业股份有限公司 | 一种eSIM码号管理方法及装置 |
| CN113301553A (zh) * | 2021-04-20 | 2021-08-24 | 北京握奇数据股份有限公司 | 一种基于eSIM的快速入网的方法和装置 |
| CN114125892A (zh) * | 2021-10-13 | 2022-03-01 | 东信和平科技股份有限公司 | eSIM远程配置管理方法、终端设备、融合RSP平台及系统 |
| CN114501535A (zh) * | 2021-11-29 | 2022-05-13 | 北京握奇智能科技有限公司 | 一种高质量网络连接终端的流量管理方法及系统 |
| CN114513787A (zh) * | 2021-12-29 | 2022-05-17 | 博鼎实华(北京)技术有限公司 | eSIM终端码号下载流程一致性测试方法及装置 |
| CN114401510A (zh) * | 2022-01-19 | 2022-04-26 | Tcl通讯科技(成都)有限公司 | 配置文件下载方法、装置、电子设备和存储介质 |
| CN115484158B (zh) * | 2022-09-15 | 2023-12-22 | 广东联想懂的通信有限公司 | 一种基于eSIM卡的车载设备的通信配置方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017147873A1 (zh) * | 2016-03-03 | 2017-09-08 | 华为技术有限公司 | 一种配置文件下载方法及相关设备、系统 |
| WO2018129754A1 (zh) * | 2017-01-16 | 2018-07-19 | 华为技术有限公司 | 一种eUICC配置文件管理方法及相关装置 |
| CN110024425A (zh) * | 2016-12-01 | 2019-07-16 | 三星电子株式会社 | 用于安装和管理esim配置文件的装置和方法 |
| CN110248358A (zh) * | 2019-07-03 | 2019-09-17 | 深圳杰睿联科技有限公司 | 基于物联网的eSIM管理方法和系统 |
-
2019
- 2019-09-20 CN CN201910893225.7A patent/CN110446201B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017147873A1 (zh) * | 2016-03-03 | 2017-09-08 | 华为技术有限公司 | 一种配置文件下载方法及相关设备、系统 |
| CN110024425A (zh) * | 2016-12-01 | 2019-07-16 | 三星电子株式会社 | 用于安装和管理esim配置文件的装置和方法 |
| WO2018129754A1 (zh) * | 2017-01-16 | 2018-07-19 | 华为技术有限公司 | 一种eUICC配置文件管理方法及相关装置 |
| CN110248358A (zh) * | 2019-07-03 | 2019-09-17 | 深圳杰睿联科技有限公司 | 基于物联网的eSIM管理方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110446201A (zh) | 2019-11-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110446201B (zh) | 一种实现eSIM远程配置的通信模组、通信方法及系统 | |
| US11743717B2 (en) | Automated credential porting for mobile devices | |
| JP5422571B2 (ja) | 無線機器の登録方法及び装置 | |
| CN105682075B (zh) | 向终端供给订户资料的方法、终端及供给服务器 | |
| KR102082854B1 (ko) | 업데이트된 프로파일을 다운로드하기 위한 방법, 서버들 및 시스템 | |
| US20050227669A1 (en) | Security key management system and method in a mobile communication network | |
| KR102209031B1 (ko) | 무선통신 시스템에서 망에 가입하기 위한 장치 및 방법 | |
| JP7043497B2 (ja) | eSIMプロファイルを設置及び管理する方法及び装置 | |
| US20220070658A1 (en) | Method and apparatus for managing event in communication system | |
| US20230209340A1 (en) | Method and apparatus for transferring network access information between terminals in mobile communication system | |
| US11832348B2 (en) | Data downloading method, data management method, and terminal | |
| CN102256241B (zh) | 终端独立承载协议信息获取方法、服务器及智能卡 | |
| US11930558B2 (en) | Method for providing subscription profiles, subscriber identity module and subscription server | |
| US11012830B2 (en) | Automated activation and onboarding of connected devices | |
| JP7413516B2 (ja) | Rspプロセスの検証のためのテスト方法、及びそのようなテスト方法を提供するアクティブテストシステム | |
| CN113490211A (zh) | 一种辅助安全域的创建方法、sm-sr及系统 | |
| RU2791001C1 (ru) | Способ тестирования для проверки процесса удаленной инициализации встроенных sim карт и активная система тестирования, обеспечивающая такой способ тестирования | |
| EP4301021A1 (en) | A method for informing a mobile network operator server which profile of a profile type should be downloaded from a sm-dp+ to a secure element | |
| CN115499821A (zh) | 一种eSIM签约方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |