CN116980878B - 入网通信方法、终端、存储介质和智能卡 - Google Patents

入网通信方法、终端、存储介质和智能卡 Download PDF

Info

Publication number
CN116980878B
CN116980878B CN202311228797.6A CN202311228797A CN116980878B CN 116980878 B CN116980878 B CN 116980878B CN 202311228797 A CN202311228797 A CN 202311228797A CN 116980878 B CN116980878 B CN 116980878B
Authority
CN
China
Prior art keywords
application
network access
script
network
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311228797.6A
Other languages
English (en)
Other versions
CN116980878A (zh
Inventor
王文博
杨明
江庆彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ziguang Tongxin Microelectronics Co Ltd
Original Assignee
Ziguang Tongxin Microelectronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ziguang Tongxin Microelectronics Co Ltd filed Critical Ziguang Tongxin Microelectronics Co Ltd
Priority to CN202311228797.6A priority Critical patent/CN116980878B/zh
Publication of CN116980878A publication Critical patent/CN116980878A/zh
Application granted granted Critical
Publication of CN116980878B publication Critical patent/CN116980878B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/183Processing at user equipment or user record carrier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种入网通信方法、终端、存储介质和智能卡,该方法应用于eSE芯片,包括:响应于终端上的设备应用发送的指令,从设备应用的后台缓存中,获得至少一个入网脚本;基于至少一个入网脚本,确定至少一个入网应用的安装;从至少一个入网应用中,获得目标入网应用;激活目标入网应用,以使终端与目标网络进行通信。相较于现有技术,该方法可以避免eSIM芯片以及对应服务器的硬件消耗,基于入网脚本所安装的目标入网应用,其部署和维护所需的资源成本较低且不会占用过多的计算资源,此外,利用eSE芯片和入网应用的组合,不仅能够实现SIM入网通信,还能有效提高SIM入网通信的安全性。

Description

入网通信方法、终端、存储介质和智能卡
技术领域
本申请涉及通信技术领域,尤其涉及一种入网通信方法、终端、存储介质和智能卡。
背景技术
嵌入式用户识别模块(embedded Subscriber Identity Module,eSIM),为通信网络运营商根据用户的请求提供给用户的通信模块,以供终端利用eSIM实现与运营商网络进行通信(俗称为SIM入网通信),从而实现终端的网络通信业务应用。为了确保网络通信业务的安全性,可以通过嵌入式安全元件(embedded Secure Element,eSE),为终端提供基于独立芯片的安全保护,该嵌入式安全元件可称为eSE芯片。
目前,在终端上采用eSIM和eSE芯片的SIM入网通信方案,整个方案所需消耗的硬件资源较多。
发明内容
本申请提供了一种入网通信方法、终端、存储介质和智能卡,目的在于在不增加硬件资源消耗的情况下,实现终端的SIM入网通信。
为了实现上述目的,本申请提供了以下技术方案:
一种入网通信方法,所述方法应用于eSE芯片,所述eSE芯片预置在终端中,所述方法包括:
响应于所述终端上的设备应用发送的指令,从所述设备应用的后台缓存中,获得至少一个入网脚本;
基于至少一个所述入网脚本,确定至少一个入网应用的安装;
从至少一个所述入网应用中,获得目标入网应用;
激活所述目标入网应用,以使所述终端与目标网络进行通信;所述目标网络为与所述目标入网应用对应的网络。
可选的,响应于所述终端上的设备应用发送的指令,从所述设备应用的后台缓存中,获得至少一个入网脚本,包括:
基于指定第一接口,预先与所述终端上的设备应用建立通信连接;
响应于所述设备应用发送的第一指令,从所述设备应用的后台缓存中,获得所述第一指令所示网络运营方对应的至少一个入网脚本;所述后台缓存用于保存所述网络运营方发送给所述设备应用的入网脚本;所述至少一个入网脚本至少包括第一脚本、第二脚本以及第三脚本;所述第一脚本用于下载多个入网应用的数据包;所述第二脚本用于基于所述多个入网应用的数据包,安装所述多个入网应用;所述第三脚本用于将指定个性化数据,写入所述指定个性化数据对应的入网应用;所述指定个性化数据包括所述网络运营方基于指定入网号码提供的入网认证数据。
可选的,基于至少一个所述入网脚本,确定至少一个入网应用,包括:
调用所述第一指令所示网络运营方对应的安全域,依次运行所述第一脚本、所述第二脚本以及所述第三脚本,以使所述第一指令所示网络运营方对应的安全域上,确定安装至少一个入网应用;所述eSE芯片包括多个网络运营方对应的安全域;所述安全域包括所述网络运营方的安全存储区,以及与所述安全存储区对应的安全管理密钥;所述安全存储区用于执行入网脚本,且所述安全存储区的数量为至少一个。
可选的,从至少一个所述入网应用中,获得目标入网应用,包括:
获得所述设备应用响应于用户的第一输入操作所发送的第一应用编号;
基于至少一个所述入网应用中,所述第一应用编号所属的入网应用,作为目标入网应用。
可选的,激活所述目标入网应用,以使所述终端与目标网络进行通信,包括:
向所述目标入网应用发送激活指令,使得所述目标入网应用激活;
触发所述终端重启,以使所述终端利用激活后的所述目标入网应用对应的基带,与目标网络进行通信。
可选的,触发所述终端重启,以使所述终端利用激活后的所述目标入网应用对应的基带,与目标网络进行通信,包括:
触发所述终端重启,以使所述终端上的入网模块启动;
基于指定第二接口,与所述入网模块建立通信连接;
响应所述入网模块发送的选网指令,将记录有激活后的所述目标入网应用的应用编号的指定文件,发送给所述入网模块,以使所述入网模块调启所述指定文件所示应用编号对应的基带;
响应所述入网模块发送的入网指令,触发所述目标入网应用进行入网应用的选择以及网络鉴权,以使所述基带与目标网络建立通信连接。
可选的,还包括:
响应所述设备应用所发送的失效指令,触发所述目标入网应用失效,以断开所述终端与所述目标网络之间的通信。
一种终端,包括:
脚本获得单元,用于响应于所述终端上的设备应用发送的指令,从所述设备应用的后台缓存中,获得至少一个入网脚本;
应用安装单元,用于基于至少一个所述入网脚本,确定至少一个入网应用的安装;
应用选定单元,用于从至少一个所述入网应用中,获得目标入网应用;
应用激活单元,用于激活所述目标入网应用,以使所述终端与目标网络进行通信;所述目标网络为与所述目标入网应用对应的网络。
可选的,所述脚本获得单元具体用于:
基于指定第一接口,预先与所述终端上的设备应用建立通信连接;
响应于所述设备应用发送的第一指令,从所述设备应用的后台缓存中,获得所述第一指令所示网络运营方对应的至少一个入网脚本;所述后台缓存用于保存所述网络运营方发送给所述设备应用的入网脚本;所述至少一个入网脚本至少包括第一脚本、第二脚本以及第三脚本;所述第一脚本用于下载多个入网应用的数据包;所述第二脚本用于基于所述多个入网应用的数据包,安装所述多个入网应用;所述第三脚本用于将指定个性化数据,写入所述指定个性化数据对应的入网应用;所述指定个性化数据包括所述网络运营方基于指定入网号码提供的入网认证数据。
可选的,所述应用安装单元具体用于:
调用所述第一指令所示网络运营方对应的安全域,依次运行所述第一脚本、所述第二脚本以及所述第三脚本,以使所述第一指令所示网络运营方对应的安全域上,确定安装至少一个入网应用;所述终端包括多个网络运营方对应的安全域;所述安全域包括所述网络运营方的安全存储区,以及与所述安全存储区对应的安全管理密钥;所述安全存储区用于执行所述入网脚本,且所述安全存储区的数量为至少一个。
可选的,所述应用选定单元具体用于:
获得所述设备应用响应于用户的第一输入操作所发送的第一应用编号;
基于至少一个所述入网应用中,所述第一应用编号所属的入网应用,作为目标入网应用。
可选的,所述应用激活单元具体用于:
向所述目标入网应用发送激活指令,使得所述目标入网应用激活;所述目标数据包括:所述设备应用向网络运营方申请得到的入网认证数据;
触发所述终端重启,以使所述终端利用激活后的所述目标入网应用对应的基带,与目标网络进行通信。
可选的,所述应用激活单元具体用于:
触发所述终端重启,以使所述终端上的入网模块启动;
基于指定第二接口,与所述入网模块建立通信连接;
响应所述入网模块发送的选网指令,将记录有激活后的所述目标入网应用的应用编号的指定文件,发送给所述入网模块,以使所述入网模块调启所述指定文件所示应用编号对应的基带;
响应所述入网模块发送的入网指令,触发所述目标入网应用进行入网应用的选择以及网络鉴权,以使所述基带与目标网络建立通信连接。
可选的,所述应用激活单元还用于:
响应所述设备应用所发送的失效指令,触发所述目标入网应用失效,以断开所述终端与所述目标网络之间的通信。
一种存储介质,所述存储介质包括存储的程序,其中,所述程序被处理器运行时执行所述的入网通信方法。
一种智能卡,所述智能卡用于执行所述的入网通信方法。
本申请提供的技术方案,应用于eSE芯片,eSE芯片响应于终端上的设备应用发送的指令,从设备应用的后台缓存中,获得至少一个入网脚本,基于至少一个入网脚本,确定至少一个入网应用的安装,从至少一个入网应用中,获得目标入网应用,激活目标入网应用,以使终端与目标网络进行通信。相较于现有技术,可以避免eSIM芯片以及对应服务器的硬件消耗,基于入网脚本所安装的目标入网应用,其部署和维护所需的资源成本较低且不会占用过多的计算资源,使得SIM入网通信的硬件消耗资源得到有效减少,此外,利用eSE芯片和入网应用的组合,不仅能够实现SIM入网通信,还能有效提高SIM入网通信的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种入网通信方法的流程示意图;
图2为本申请实施例提供的另一种入网通信方法的流程示意图;
图3为本申请实施例提供的一种eSE入网系统的架构示意图;
图4为本申请实施例提供的一种eSE芯片的内部框架示意图;
图5为本申请实施例提供的一种选网流程示意图;
图6为本申请实施例提供的一种SIM入网通信流程示意图;
图7为本申请实施例提供的一种终端的架构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本申请中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
如图1所示,为本申请实施例提供的一种入网通信方法的流程示意图,可应用于eSE芯片,该eSE芯片预置在终端中,包括如下所示步骤。
S101:响应于终端上的设备应用发送的指令,从设备应用的后台缓存中,获得至少一个入网脚本。
其中,入网脚本为终端上的设备应用向网络运营方申请得到,即入网脚本为网络营运方提供的脚本。
在一些示例中,终端包括但不不限于为手机、平板电脑、智能手表等电子设备。
在一些示例中,终端可通过wifi连接方式与互联网进行通信,终端上的设备应用利用互联网访问网络运营方的服务器,以获得该服务器发送的入网脚本。该入网脚本包括网络运营方针对通信网络业务所提供的唯一代码。
需要说明的是,终端上的设备应用和eSE芯片之间存在离线通信连接,以使eSE芯片离线获得入网脚本,入网脚本可由网络运营方提供的私钥加密,执行入网脚本可由eSE芯片上的网络运营方对应的安全域(Mobile Network Operator Solid State Drives,MNOSSD)完成的,MNOSSD可以为eSE芯片出厂预先预置,且预先初始化过网络运营方的公钥,用于入网脚本运行过程中的鉴权及解密。
可选的,响应于终端上的设备应用发送的指令,从设备应用的后台缓存中,获得至少一个入网脚本的具体实现过程,包括:基于指定第一接口,预先与终端上的设备应用建立通信连接;响应于设备应用发送的第一指令,从设备应用的后台缓存中,获得第一指令所示网络运营方对应的至少一个入网脚本;后台缓存用于保存网络运营方发送给设备应用的入网脚本。
可选的,至少一个入网脚本至少包括第一脚本、第二脚本以及第三脚本。第一脚本用于下载多个入网应用的数据包。第二脚本用于基于多个入网应用的数据包,安装多个入网应用。第三脚本用于将指定个性化数据,写入指定个性化数据对应的入网应用。一般来讲,指定个性化数据包括网络运营方基于指定入网号码提供的入网认证数据,该指定入网号码由用户通过设备应用所确定。
需要注意的是,所谓的指定第一接口,可以为eSE芯片的机卡接口,设备应用可通过指定第一接口访问eSE芯片。另外,该指定第一接口中还内置软件业务安全接口,用于对设备应用和eSE芯片之间的数据传输进行验签授权的,以确保设备应用的数据安全性。
在一种可能的实施方式中,终端通过互联网从一个或多个网络运营方的服务器中,获得至少一个网络运营方对应的至少一个入网脚本,并将获得的所有入网脚本保存到后台缓存,以便eSE芯片离线读取,后台缓存的入网脚本过期后(入网脚本预先设置有时效属性,该时效属性用于指示入网脚本是否过期),设备应用将删除后台缓存中过期的入网脚本。
在一些示例中,eSE芯片根据入网脚本和网络运营方之间的对应关系,预先划分多个安全域,每个安全域可用于运行对应的网络运营方下的多个入网脚本。
S102:基于至少一个入网脚本,确定至少一个入网应用的安装。
其中,在获得入网脚本后,可以通过执行该入网脚本,以实现该入网脚本所对应入网应用的安装。
在一些示例中,入网脚本对应的入网应用,可以安装在入网脚本所属网络营运方对应的安全域中,为此,同一安全域可以安装一个或多个入网应用。
需要注意的是,同一安全域下的多个入网应用,相互之间不能互相访问,但是可以通过指定共享接口,为其它应用提供服务。
可选的,基于至少一个入网脚本,确定至少一个入网应用的具体实现过程,包括:调用第一指令所示网络运营方对应的安全域,依次运行第一脚本、第二脚本以及第三脚本,以使第一指令所示网络运营方对应的安全域上,确定安装至少一个入网应用。
在一些示例中,第一脚本、第二脚本以及第三脚本所对应的功能,还可以集成到同一脚本中,只需安全域运行该同一脚本,就可实现至少一个入网应用的安装。
需要注意的是,eSE芯片包括多个网络运营方对应的安全域,安全域包括网络运营方的安全存储区,以及与安全存储区对应的安全管理密钥。安全存储区用于执行入网脚本,且安全存储区的数量为至少一个。
在一些示例中,不同安全域中的数据是不共享的,且无法被其它安全域访问。
S103:从至少一个入网应用中,获得目标入网应用。
其中,目标入网应用的选择,基于用户所选择的第一应用编号来确定,具体可以由用户通过设备应用执行第一选择操作,例如,用户可以在设备应用中的入网号码列表(已经安装且个人化后的所有可入网的应用)中选择当前需要激活的目标入网应用。
在一些示例中,从至少一个入网应用中,获得目标入网应用并激活的具体实现过程,包括:首先,获得设备应用响应于用户的第一选择操作所发送的第一应用编号(选择应用指令);第二,基于已选择目标入网应用,发送激活指令,使得目标入网应用激活。
需要说明的是,所有入网应用的编号都是唯一的(包括不同的运营商)。
S104:激活目标入网应用,以使终端与目标网络进行通信。
其中,目标网络为与目标入网应用对应的网络,即目标入网应用所属网络营运方提供的网络。
在一些示例中,激活目标入网应用过程中,实质就是将目标入网应用的应用编号更新到指定文件中,该指定文件为eSE芯片上的应用入口文件,该应用入口文件为包含所有激活的入网应用的应用编号的列表文件,该应用入口文件是可被终端上的基带识别的国际标准文件。
在一些示例中,在目标入网应用激活后,指定文件也随之更新,同时目标应用发送设备重启或重写入网的主动式命令,触发终端重启后,终端上的基带重新通过指定文件进行选网,以实现终端与目标网络进行通信,从而实现SIM入网通信。
需要注意的是,当用户不想使用目标网络进行通信时,需要断开终端与目标网络之间的通信,可选的,响应设备应用所发送的失效指令,触发目标入网应用失效,以断开终端与目标网络之间的通信。
在一些示例中,在接收到用户通过设备应用发送的失效指令后,eSE芯片会向目标入网应用发送失效指令,以使目标入网应用断开终端与目标网络之间的通信。
需要说明的是,触发终端重启,以使终端利用激活后的目标入网应用,与目标网络进行通信的具体实现过程,可以参见图2所示的步骤以及步骤的解释说明。
另外,通信网络业务的运行并非一帆风顺,因此,受限于终端和通信网络业务的影响,目标入网应用有时可能会失效。在目标入网应用失效后,终端无法继续与目标网络进行通信,为此,需要对目标入网应用进行重新激活。
可选的,如果目标入网应用失效,重新循环向目标入网应用发送激活指令,直至目标入网应用激活成功,以使终端重新与目标网络进行通信。
在一些示例中,如果目标入网应用失效,目标入网应用经由eSE芯片向设备应用发送失效提示信息以便用户及时获悉,另外,目标入网应用的失效原因,包括但不限于为受到外部攻击所影响。
上述S101-S104所示流程,相较于现有技术,可以避免eSIM芯片以及对应服务器的硬件消耗,基于入网脚本所安装的目标入网应用,其部署和维护所需的资源成本较低且不会占用过多的计算资源,使得SIM入网通信的硬件消耗资源得到有效减少,此外,利用eSE芯片和入网应用的组合,不仅能够实现SIM入网通信,还能有效提高SIM入网通信的安全性。
为了便于理解入网通信方法的具体实现过程,本申请实施例以用户使用手机实现SIM入网通信的实施场景为例进行展开说明,该实施场景所涉及的步骤如下所示。
步骤1、用户购入手机后,将手机通过wifi接入互联网,并在互联网环境下启动xx设备应用。
步骤2、用户在xx设备应用中执行网络注册操作,以实现入网请求的输入,其中,该网络注册操作可以为:选择xx网络运营方、身份注册、号码选购、缴费提交。
步骤3、xx设备应用响应于该网络注册操作,向xx网络运营方的服务器发送入网请求,并获得该服务器反馈的至少一个入网脚本。
步骤4、xx设备应用将至少一个入网脚本保存到后台缓存中。
步骤5、xx设备应用向eSE芯片发送第一指令。
步骤6、eSE芯片响应于第一指令,从后台缓存中获得xx网络运营方所对应的至少一个入网脚本。
步骤7、eSE芯片调用网络运营方对应的安全域,运行至少一个入网脚本,以使安全域上确定安装至少一个入网应用。
步骤8、xx设备应用响应于应用选择操作,向eSE芯片发送第一应用编号(即选择应用指令),其中,应用选择操作用于表征用户所选择的xx号码,并针对xx号码所属运营网络的激活及使用,xx号码对应的入网应用的编号,即为第一应用编号。
步骤9、eSE芯片基于至少一个入网应用中,第一应用编号所属的入网应用,作为目标入网应用。
步骤10、eSE芯片触发目标入网应用执行第一应用编号对应的激活指令,使得目标入网应用激活。
步骤11、在目标入网应用激活后,eSE芯片基于目标入网应用通过指定第二接口发送主动式命令给手机,触发手机重启,以使手机利用激活后的目标入网应用对应的基带,与xx号码所属运营网络进行通信。
上述各个步骤,利用eSE芯片和入网应用的组合,不仅能够实现SIM入网通信,还能有效提高SIM入网通信的安全性,相较于现有技术,目标入网应用所占用的计算资源较小,不会影响到eSE芯片的其它功能,有效提高eSE芯片的性能。
如图2所示,为本申请实施例提供的另一种入网通信方法的流程示意图,应用于eSE芯片,包括如下所示步骤。
S201:向目标入网应用发送激活指令,使得目标入网应用激活。
S202:触发终端重启,以使终端上的入网模块启动。
其中,入网模块包括但不限于为GSM模块,所谓的GSM模块,是将GSM射频芯片、基带处理芯片、存储器、功放器件等集成在一块线路板上,具有独立的操作系统、GSM射频处理、基带处理并提供标准接口的功能模块。
在一些示例中,在目标入网应用激活后,eSE芯片基于目标入网应用通过指定第二接口发送主动式命令给终端,触发终端重启。
S203:基于指定第二接口,与入网模块建立通信连接。
其中,指定第二接口包括但不限于为USB接口、7186接口。
在一些示例中,eSE芯片与入网模块建立通信连接后,eSE芯片便可接收到入网模块发送的APDU指令。
S204:响应入网模块发送的选网指令,将记录有激活后的目标入网应用的应用编号的指定文件,发送给入网模块,以使入网模块调启指定文件所示应用编号对应的基带。
其中,选网指令为APDU指令中的一种具体指令,该指定文件用于记录已激活的目标入网应用的应用编号,eSE芯片确定目标入网应用激活后,都会将目标入网应用的应用编号写入到指定文件中。
需要说明的是,入网模块中预先保存有多个应用编号对应的基带,每个基带可以对应一个或多个应用编号,基带为终端实现网络通信的重要组件。
S205:响应入网模块发送的入网指令,触发目标入网应用进行入网应用的选择以及网络鉴权,以使基带与目标网络建立通信连接。
其中,入网应用的选择以及网络鉴权,均为目标入网应用所集成的功能,可由网络营运方预先在入网脚本中配置相应的参数。
上述S201-S205所示流程,能够实现有效实现终端的选网过程,使得终端与目标网络进行通信,从而实现SIM入网通信。
为了便于理解上述实施例所示的入网通信方法的具体应用场景,本申请基于eSE入网系统作为具体应用场景进行举例说明。
如图3所示,为本申请实施例提供的一种eSE入网系统的架构示意图,包括如下所示模块。
eSE入网系统包括:运营商服务器301,设备应用302,入网模块303,eSE芯片304。其中,运营商服务器301通过空中数据传输接口(Over-the-Air Technology,OTA)与设备应用302连接,设备应用302通过指定第一接口(即图3所示的OMA SPI)与eSE芯片304连接,入网模块303通过指定第二接口(即图3所示的7816/USB)与eSE芯片304连接。
在图3所示中,运营商服务器301:是网络运营商用于提供入网脚本的服务器,主要用于为eSE芯片304提供入网脚本以及入网认证数据,可用于向设备应用302通过互联网将入网脚本发送给设备应用302。
在图3所示中,设备应用302:可安装在终端上的运营商应用程序,或终端系统自带的应用程序,该应用程序是面向用户操作的图形界面应用,此外,设备应用302可以提供与运营商服务器301进行数据交互的服务,可以为eSE芯片304提供个性化数据的写入,可以读取eSE芯片304上的版本信息等数据,可以操作运营商的SIM入网管理功能(例如选择下载,切换,激活,失效用户需要的运营商定制号码套餐等)。
在图3所示中,入网模块303:通常可以为终端的GSM入网模块或4G入网模块,主要用于控制终端通过运营商接入互联网。
在图3所示中,eSE芯片304:植入SIM入网服务的安全芯片。
在图3所示中,OTA:空中数据传输接口,例如互联网。
在图3所示中,OMA SPI:机卡接口,设备应用302用于访问eSE芯片304的物理接口。
在图3所示中,7816/USB:7816接口是指ISO/IEC7816标准中定义的智能卡接口,当然,不仅仅限于7816接口,USB高速接口也是其中一种选择,用于入网模块303发送APDU指令直接访问eSE芯片304,APDU指令包括但不限于为:选择文件,读写文件,网络鉴权等指令。
在图3所示中,ESx:是基于OMA SPI上的软件业务安全接口,用于保证数据传输过程鉴权和加密。
在一些示例中,eSE芯片304的内部框架可参见图4所示。eSE芯片304包含底层框架和辅助安全域,其中,底层框架包括JavaCard框架和GP安全框架,辅助安全域包括设备应用开发商的SSD及其应用,以及网络运营商的SSD(简称为MNOSSD)及其应用。
在图4所示中,ISD:代表主安全域,主安全域符合GPC_Specification_v2.3规范的定义。
在图4所示中,SSD:代表辅助安全域,每个设备应用的提供商(或终端生产商)都有专属的SSD,这里特此强调MNOSSD代表网络运营商的SSD。
在本申请实施例中,辅助安全域(即SSD)为安全域的一种具体表现形式。
在图4所示中,GlobalPlatform:代表制定开放和互操作的智能卡标准,以促进多样化的应用和服务在智能卡上的实现,可理解为卡片应用生命周期的安全平台。
在图4所示中,卡片运行环境:卡片运行环境是指智能卡上运行的操作系统和相关软件的环境,例如JavaCard运行环境。
在图4所示中,USIM/ISIM/CSIMAPP(即入网应用):网络运营商预先制作的SIM入网服务应用。
在图4所示中,SNSA(即支持SIM入网服务的应用统称):包括网络运营商的标准文件系统、入网参数以及基本指令,当然也包含网络运营商的密钥信息、入网应用版本、应用状态等信息,SIM入网服务还可以作为可选项存在于入网应用中,例如,图4中所示的USIM就是一个SNSA应用。
在图4所示中,OMA SPI包括ESa接口和ESb接口,ESa接口用于获取入网脚本、入网认证数据以及个性化数据,ESb接口用于获取入网应用的相关信息、激活应用、失效应用。
在图4所示中,入网服务接口附录:eSE芯片304内部框架中自定义的算法库,主要用途为入网应用提供鉴权算法等实现。
在图4所示中,UICC SSD:eSE芯片304内部预置的SSD。
在图4所示中,MFAPP:用于处理入网模块303在选网过程中所涉及的指令。
在图4所示中,附录A、附录C、附录D、附录E以及附录F:GPC定义附录相关的规范。
需要注意的是,MNOSSD每个网络运营商只能有一个专属标识,在eSE芯片304出厂前就预置安装完成的,每个MNOSSD是相互独立的,且数据隔离,不能相互访问的。MNOSSD的用户空间可以在eSE芯片304中进行个人化配置,也可以动态分配。MNOSSD所安装的应用由网络运营商自行决定,但至少有一个入网应用被安装。MNOSSD中的入网应用存在多个时,可以删除其中多余的,但至少保留一个完成个人化的入网应用。
在一些示例中,入网应用可以基于网络运营商提供的文件系统模板、鉴权参数模板以及机密数据组成,其中机密数据是不可以读取的,这一点可由eSE芯片304保证。另外,同一MNOSSD可以包括多个入网应用,多个入网应用可以同时支持激活或失效,同时激活的入网应用的数量可以根据终端的能力决定(例如部分手机支持双卡双待),终端能力的指令标准有定义,需要扩展时可与终端生产商共同定义。
在一些示例中,入网应用可以通过文件模板创建,即入网应用安装后,就应已经完成文件系统的创建和部分数据的写入,后续只需要更新机密数据或是个性化数据。
在一些示例中,入网应用还可以不通过文件模板创建,即入网应用安装后,是没有文件系统存在的,需要通过指定标准协议中定义的创建文件指令来完成创建以及个人化。
在一些示例中,同一MNOSSD下的各个入网应用之间可以互相访问且支持数据共享。
在一些示例中,入网应用不支持访问MNOSSD中的其它应用,但可以支持共享接口为其它应用提供服务。入网应用可以产生主动式命令,也可以提供主动式命令的服务。
在一些示例中,在SIM入网服务失效后,可以对入网应用进行二次个人化,所谓的二次个人化:即通过设备应用302对入网应用进行安装之后,的又一次数据更新写入动作,可以简单理解为重装入网应用。
在一些示例中,SIM入网服务可以提供交换被动型的服务消息,例如,设备应用302激活入网应用后,入网应用的响应结果以服务消息的方式,发送给设备应用302。
在一些示例中,SIM入网服务还可以提供警告主动型的服务消息,例如,入网应用受到攻击时,将产生告警通知消息,并将告警通知消息发送给设备应用302。
在一种可能的实施方式中,设备应用302对激活的目标入网应用进行访问时,可基于指定规范《TS102.221R17》中的Logical Secure element Interface协议(简称LSI协议),实现目标入网应用的选网流程。一般来讲,LSI=0为默认打开,用于访问UICCAPP,LSI>0and<=4用于入网应用的选定,选网流程的指令交互过程可参见图5所示。
在一些示例中,入网服务接口附录为自定义接口,包含系统监控状态机,NNAS鉴权算法API,入网参数配置API,SMS入网服务接口以及受攻击事件状态机等。该附录需要定义空间申请的API,用于存储私密数据,该私密数据的保密安全由eSE芯片304的底层系统实现,入网服务接口附录只为上层应用提供相关接口。当私密数据受到非法访问时,eSE芯片304将认为受到攻击,受攻击事件状态机将被设置。入网应用在每次收到入网模块303发送的STATUS命令时,都会对改状态机的状态编码进行检查,如果状态编码示指示为被攻击,则将发送通知消息给设备应用302,并由设备应用302进行应对处理。
明显的,eSE入网系统相较于现有技术,SIM入网通信方法在软件业务设计上、安全性以及业务流程实现上均不同,eSE入网系统通过在eSE芯片304上集成安全入网功能,实现了SIM在终端上的安全入网和连接,并且同时支持多个网络同时激活以及之间的切换。
在一些示例中,eSE芯片304上集成的安全入网功能,其功能策略可以为:数据包(例如入网脚本和入网认证数据等)从服务器通过互联网,传输到终端上进行缓存,确保数据包是加密的且完整的。数据包传达到eSE芯片304上是通过指定第一接口(即本地机卡接口)通讯的且离线的。终端与eSE芯片304首先要进行证书链的验证,确保双方身份的合法性,然后再采用ECC算法的密钥交换,以及各自分散出共享密钥,最后再完成完整的加密会话,直到数据包传送完成。在数据包传输过程中,数据包的组织形式都是智能卡可识别的标准指令形式。另外,从终端到eSE芯片304的过程,数据安全是基于eSE芯片304内部的软件业务安全接口完成的。
在一种可能的实施方式中,eSE入网系统实现SIM入网通信的流程,可以简单概括为图6所示。
基于图6所示,用户可以通过设备应用302的UI界面进行订购合适移动号码套餐,例如:选号、注册、缴费、提交等。当完成订购后,设备应用302的后台就会通过互联网连接运营商服务器301,然后,以安全的方式进行数据下载。最后,设备应用302通过指定第一接口与eSE芯片304进行入网脚本安装及个性化数据写入。
在本申请实施例中,通过将安全入网功能集成在eSE芯片中,实现了SIM在终端上的安全入网和连接。用户可以通过eSE入网系统实现安全的终端连接和通信,提高通信系统的安全性和可靠性。同时,eSE芯片也可以扩展到不同的应用场景和终端类型,满足不同用户的需求和要求。
eSE入网系统相较于现有技术,具备以下有益效果。
1、硬件成本更低,因为终端生产商不需要升级采购eSIM芯片和与之配套的服务器设备,取而代之的仅仅采购eSE芯片。
2、服务器搭建更加简单,减少了部署和维护的复杂性和成本。
3、采用的入网应用占用的芯片空间更小,而且由于不需要在eSE芯片中集成eSIM功能,所以可以腾出更多的空间用于其他功能,从而提高了eSE芯片的性能。
4、相比于eSIM技术,入网应用技术更加成熟,已经在市场上得到广泛应用和验证。
5、入网应用是基于Javacard框架开发的,因此升级和维护更加方便,可以通过简单的软件更新来实现。
6、采用eSE芯片来存储和处理敏感数据,相对于eSIM芯片来说,安全性更高。
与上述本申请实施例提供的入网通信方法相对应,本申请实施例还提供了一种终端。
如图7所示,为本申请实施例提供的一种终端的架构示意图,包括如下所示单元。
脚本获得单元100,用于响应于终端上的设备应用发送的指令,从设备应用的后台缓存中,获得至少一个入网脚本。
可选的,脚本获得单元100具体用于:基于指定第一接口,预先与终端上的设备应用建立通信连接;响应于设备应用发送的第一指令,从设备应用的后台缓存中,获得第一指令所示网络运营方对应的至少一个入网脚本;后台缓存用于保存网络运营方发送给设备应用的入网脚本;至少一个入网脚本至少包括第一脚本、第二脚本以及第三脚本;第一脚本用于下载多个入网应用的数据包;第二脚本用于基于多个入网应用的数据包,安装多个入网应用;第三脚本用于将指定个性化数据,写入指定个性化数据对应的入网应用;指定个性化数据包括网络运营方基于指定入网号码提供的入网认证数据。
应用安装单元200,用于基于至少一个入网脚本,确定至少一个入网应用的安装。
可选的,应用安装单元200具体用于:调用第一指令所示网络运营方对应的安全域,依次运行第一脚本、第二脚本以及第三脚本,以使第一指令所示网络运营方对应的安全域上,确定安装至少一个入网应用;终端包括多个网络运营方对应的安全域;安全域包括网络运营方的安全存储区,以及与安全存储区对应的安全管理密钥;安全存储区用于执行入网脚本,且安全存储区的数量为至少一个。
应用选定单元300,用于从至少一个入网应用中,获得目标入网应用。
可选的,应用选定单元300具体用于:获得设备应用响应于用户的第一输入操作所发送的第一应用编号;基于至少一个入网应用中,第一应用编号所属的入网应用,作为目标入网应用。
应用激活单元400,用于激活目标入网应用,以使终端与目标网络进行通信;目标网络为与目标入网应用对应的网络。
可选的,应用激活单元400具体用于:向目标入网应用发送激活指令,使得目标入网应用激活;触发终端重启,以使终端利用激活后的目标入网应用对应的基带,与目标网络进行通信。
可选的,应用激活单元400具体用于:触发终端重启,以使终端上的入网模块启动;基于指定第二接口,与入网模块建立通信连接;响应入网模块发送的选网指令,将记录有激活后的目标入网应用的应用编号的指定文件,发送给入网模块,以使入网模块调启指定文件所示应用编号对应的基带;响应入网模块发送的入网指令,触发目标入网应用进行入网应用的选择以及网络鉴权,以使基带与目标网络建立通信连接。
可选的,应用激活单元400还用于:响应设备应用所发送的失效指令,触发目标入网应用失效,以断开终端与目标网络之间的通信。
上述各个单元,相较于现有技术,可以避免eSIM芯片以及对应服务器的硬件消耗,基于入网脚本所安装的目标入网应用,其部署和维护所需的资源成本较低且不会占用过多的计算资源,使得SIM入网通信的硬件消耗资源得到有效减少,此外,利用eSE芯片和入网应用的组合,不仅能够实现SIM入网通信,还能有效提高SIM入网通信的安全性。
本申请还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的程序,其中,程序执行上述本申请提供的入网通信方法。
本申请还提供了一种智能卡,该智能卡用于执行上述本申请提供的入网通信方法。
此外,本申请实施例中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本申请的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (8)

1.一种入网通信方法,其特征在于,所述方法应用于eSE芯片,所述eSE芯片预置在终端中,所述方法包括:
基于指定第一接口,预先与所述终端上的设备应用建立通信连接;
响应于所述设备应用发送的第一指令,从所述设备应用的后台缓存中,获得所述第一指令所示网络运营方对应的至少一个入网脚本;所述后台缓存用于保存所述网络运营方发送给所述设备应用的入网脚本;所述至少一个入网脚本至少包括第一脚本、第二脚本以及第三脚本;所述第一脚本用于下载多个入网应用的数据包;所述第二脚本用于基于所述多个入网应用的数据包,安装所述多个入网应用;所述第三脚本用于将指定个性化数据,写入所述指定个性化数据对应的入网应用;所述指定个性化数据包括所述网络运营方基于指定入网号码提供的入网认证数据;
调用所述第一指令所示网络运营方对应的安全域,依次运行所述第一脚本、所述第二脚本以及所述第三脚本,以使所述第一指令所示网络运营方对应的安全域上,确定安装至少一个入网应用;所述eSE芯片包括多个网络运营方对应的安全域;所述安全域包括所述网络运营方的安全存储区,以及与所述安全存储区对应的安全管理密钥;所述安全存储区用于执行入网脚本,且所述安全存储区的数量为至少一个;
从至少一个所述入网应用中,获得目标入网应用;
激活所述目标入网应用,以使所述终端与目标网络进行通信;所述目标网络为与所述目标入网应用对应的网络。
2.根据权利要求1所述的方法,其特征在于,从至少一个所述入网应用中,获得目标入网应用,包括:
获得所述设备应用响应于用户的第一输入操作所发送的第一应用编号;
基于至少一个所述入网应用中,所述第一应用编号所属的入网应用,作为目标入网应用。
3.根据权利要求1所述的方法,其特征在于,激活所述目标入网应用,以使所述终端与目标网络进行通信,包括:
向所述目标入网应用发送激活指令,使得所述目标入网应用激活;
触发所述终端重启,以使所述终端利用激活后的所述目标入网应用对应的基带,与目标网络进行通信。
4.根据权利要求3所述的方法,其特征在于,触发所述终端重启,以使所述终端利用激活后的所述目标入网应用对应的基带,与目标网络进行通信,包括:
触发所述终端重启,以使所述终端上的入网模块启动;
基于指定第二接口,与所述入网模块建立通信连接;
响应所述入网模块发送的选网指令,将记录有激活后的所述目标入网应用的应用编号的指定文件,发送给所述入网模块,以使所述入网模块调启所述指定文件所示应用编号对应的基带;
响应所述入网模块发送的入网指令,触发所述目标入网应用进行入网应用的选择以及网络鉴权,以使所述基带与目标网络建立通信连接。
5.根据权利要求1所述的方法,其特征在于,还包括:
响应所述设备应用所发送的失效指令,触发所述目标入网应用失效,以断开所述终端与所述目标网络之间的通信。
6.一种终端,其特征在于,包括:
脚本获得单元,用于响应于所述终端上的设备应用发送的指令,从所述设备应用的后台缓存中,获得至少一个入网脚本;
应用安装单元,用于基于至少一个所述入网脚本,确定至少一个入网应用;
应用选定单元,用于从至少一个所述入网应用中,获得目标入网应用;
应用激活单元,用于激活所述目标入网应用,以使所述终端与目标网络进行通信;所述目标网络为与所述目标入网应用对应的网络;
所述脚本获得单元具体用于,基于指定第一接口,预先与所述终端上的设备应用建立通信连接;响应于所述设备应用发送的第一指令,从所述设备应用的后台缓存中,获得所述第一指令所示网络运营方对应的至少一个入网脚本;所述后台缓存用于保存所述网络运营方发送给所述设备应用的入网脚本;所述至少一个入网脚本至少包括第一脚本、第二脚本以及第三脚本;所述第一脚本用于下载多个入网应用的数据包;所述第二脚本用于基于所述多个入网应用的数据包,安装所述多个入网应用;所述第三脚本用于将指定个性化数据,写入所述指定个性化数据对应的入网应用;所述指定个性化数据包括所述网络运营方基于指定入网号码提供的入网认证数据;
所述应用安装单元具体用于,调用所述第一指令所示网络运营方对应的安全域,依次运行所述第一脚本、所述第二脚本以及所述第三脚本,以使所述第一指令所示网络运营方对应的安全域上,确定安装至少一个入网应用;eSE芯片包括多个网络运营方对应的安全域;所述安全域包括所述网络运营方的安全存储区,以及与所述安全存储区对应的安全管理密钥;所述安全存储区用于执行入网脚本,且所述安全存储区的数量为至少一个。
7.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序被处理器运行时执行权利要求1-5任一所述的入网通信方法。
8.一种智能卡,其特征在于,所述智能卡用于执行权利要求1-5任一所述的入网通信方法。
CN202311228797.6A 2023-09-22 2023-09-22 入网通信方法、终端、存储介质和智能卡 Active CN116980878B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311228797.6A CN116980878B (zh) 2023-09-22 2023-09-22 入网通信方法、终端、存储介质和智能卡

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311228797.6A CN116980878B (zh) 2023-09-22 2023-09-22 入网通信方法、终端、存储介质和智能卡

Publications (2)

Publication Number Publication Date
CN116980878A CN116980878A (zh) 2023-10-31
CN116980878B true CN116980878B (zh) 2024-02-02

Family

ID=88485358

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311228797.6A Active CN116980878B (zh) 2023-09-22 2023-09-22 入网通信方法、终端、存储介质和智能卡

Country Status (1)

Country Link
CN (1) CN116980878B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101321191A (zh) * 2008-07-24 2008-12-10 大唐微电子技术有限公司 基于无线通信的用户识别模块业务发行终端
CN105813044A (zh) * 2014-12-31 2016-07-27 北京握奇智能科技有限公司 一种一卡多号漫游的方法
CN106535148A (zh) * 2016-10-24 2017-03-22 北京握奇智能科技有限公司 用于实现移动终端一卡多号同时在线的系统及方法
CN106658474A (zh) * 2016-10-31 2017-05-10 上海路随通信科技有限公司 利用嵌入式安全元件实现sim卡数据安全防护方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3125902A1 (fr) * 2021-07-30 2023-02-03 Idemia France Element securise pre-personalise et personnalisation embarquee

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101321191A (zh) * 2008-07-24 2008-12-10 大唐微电子技术有限公司 基于无线通信的用户识别模块业务发行终端
CN105813044A (zh) * 2014-12-31 2016-07-27 北京握奇智能科技有限公司 一种一卡多号漫游的方法
CN106535148A (zh) * 2016-10-24 2017-03-22 北京握奇智能科技有限公司 用于实现移动终端一卡多号同时在线的系统及方法
CN106658474A (zh) * 2016-10-31 2017-05-10 上海路随通信科技有限公司 利用嵌入式安全元件实现sim卡数据安全防护方法

Also Published As

Publication number Publication date
CN116980878A (zh) 2023-10-31

Similar Documents

Publication Publication Date Title
US11153746B2 (en) Method and terminal for keeping subscriber identity module card in standby state
US9628981B2 (en) Method for changing MNO in embedded SIM on basis of special privilege, and embedded SIM and recording medium therefore
US9775024B2 (en) Method for changing MNO in embedded SIM on basis of dynamic key generation and embedded SIM and recording medium therefor
US20220326959A1 (en) Method and device for efficiently providing profile for communication service
US9706407B2 (en) Method for configuring profile of subscriber authenticating module embedded and installed in terminal device, and apparatus using same
KR101802685B1 (ko) 서비스에 액세스하는 방법 및 대응하는 디바이스
KR101930217B1 (ko) 내장 sim에서의 키 관리방법, 및 그를 위한 내장 sim과 기록매체
CN107332817B (zh) 支持多个访问控制客户端的移动装置和对应的方法
US9398015B2 (en) Method for modifying rights to security domain for smartcard, and server, smartcard, and terminal for same
WO2013004638A1 (en) Method for accessing at least one service and corresponding system
CN116980878B (zh) 入网通信方法、终端、存储介质和智能卡
US12028934B2 (en) Method and terminal for keeping subscriber identity module card in standby state
CN116088885A (zh) 操作系统更新方法、装置、通用集成电路卡及存储介质
KR20230170020A (ko) 보안 요소를 개인화하기 위한 방법
WO2015097054A1 (en) Method for accessing a service and corresponding devices

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant