WO2018018604A1

WO2018018604A1 - 一种数据业务控制方法、相关设备及系统

Info

Publication number: WO2018018604A1
Application number: PCT/CN2016/092257
Authority: WO
Inventors: 陈曦; 刘治锋
Original assignee: 华为技术有限公司
Priority date: 2016-07-29
Filing date: 2016-07-29
Publication date: 2018-02-01
Also published as: CN109479007A; CN109479007B

Abstract

本发明实施例公开一种数据业务方法、相关设备及系统。所述方法包括：终端向服务器发送用于获取数据业务服务的请求；所述终端接收到所述服务器返回的分配给所述终端用户的数据业务服务的服务信息；所述终端在可信任执行环境中根据所述数据业务服务的服务信息和所述终端用户对所述数据业务服务的使用情况来对所述终端用户进行计费。上述方案可实现在所述终端本地对所述用户使用所述数据业务服务的情况进行可信的监测和控制，避免所述终端与所述移动虚拟运营商之间的频繁交互，减轻了所述移动虚拟运营商的服务平台的负荷。

Description

一种数据业务控制方法、相关设备及系统

技术领域

本发明涉及移动通信的技术领域，尤其涉及一种数据业务控制方法、相关设备及系统。

背景技术

数据业务(Data Service)是PS(Packet Switching，中文：分组交换)域的业务，以数据传输和信息交互为技术的移动通讯业务。随着移动数据业务的丰富和移动传输速率的提升，基于流量、时长等的移动数据业务产品也越来越多。在用户使用移动数据业务产品的同时，如何对用户进行上网控制，监控用户的流量消耗或时长消耗，一直是移动通信运营商非常关心的技术问题。移动通信运营商可以是基础移动运营商(Mobile Network Operator，MNO)，也可以是移动虚拟运营商(Mobile Virtual Network Operator，MVNO)。

现有技术中，对于基础移动运营商直接提供或销售的数据业务，例如各种流量套餐或时长套餐，的记录和监控必须通过基础移动运营商的核心网中的流量计费控制实体。例如，GPRS服务支持节点(Serving GPRS SUPPORT NODE，SGSN)用于收集用户对无线资源的使用情况，产生话单。网关GPRS支持节点(Gateway GPRS Support Node，GGSN)用于提供包括普通计费、内容计费和在线计费等多种丰富的计费功能。认证、授权、计费服务器(Authentication,Authorization,Accounting Server，AAA Server)用于认证、授权和计费。

例如，如图1所示，当用户试图上网时，流量通过网关。网关向AAA服务器发送鉴权请求。AAA服务器对该用户进行流量(或时长)检查，判断该用户已经消耗的流量(或时长)是否超出了用户购买的服务套餐的额度，如果超出额度，则返回认证失败；如果没有超出额度，则返回认证成功。在鉴权成功后，网关转发流量到互联网，实现用户正常上网。在鉴权失败后，网关拒绝为用户建立访问互联网的数据通道，停止提供数据业务。

上述方案对基础移动运营商网络的依赖性较强，必须要通过基础移动运营商的核心网中的流量计费控制实体。对于不是由基础移动运营商直接提供的数据业务，例如移动虚拟运营商提供的数据业务，就无法采用上述方案。如果移动虚拟运营商想在基础移动运营商网络中定制这种流量计费控制服务，定制成本通常很高。

针对这个问题，移动虚拟运营商通常采用实时云端校验的方法来进行数据业务控制。但是，这样极大的增加了移动虚拟运营商的服务平台的负荷。

发明内容

本发明实施例提供了一种数据业务控制方法、相关设备及系统，可实现在终端侧对用户使用所述数据业务服务的情况执行可信的监测和控制，避免了终端与移动虚拟运营商的服务平台进行频繁交互，减轻了移动虚拟运营商的服务平台的负荷。

第一方面，提供了一种数据业务控制方法，应用于终端侧，包括：终端向服务器发送用于获取数据业务服务数据业务服务的请求，然后接收到所述服务器返回的分配给所述终端用户的数据业务服务的服务信息，所述终端在可信任执行环境中根据所述数据业务服务的服务信息和所述终端用户对所述数据业务服务的使用情况来对所述终端用户进行计费。

第二方面，提供了一种数据业务控制方法，应用于移动虚拟运营商的服务器侧，包括：服务器接收终端发送的用于获取数据业务服务的请求，并响应所述用于获取数据业务服务的请求，为所述终端用户分配数据业务服务，并根据所述标识信息向所述终端发送所述已分配的数据业务服务的服务信息。

具体的，上述服务器是指移动虚拟运营商的服务器。所述用于获取数据业务服务数据业务服务的请求可包含所述终端用户的标识信息，用于指示申请所述数据业务服务的移动用户。具体实现中，所述终端用户的标识信息可包括：存储在所述终端用户的SIM卡上的IMSI，或者，所述终端用户注册在所述服务器中的账号。需要说明的，所述终端用户的标识信息还可以是其他能够在所述移动虚拟运营商的服务平台中唯一标识所述中的用户的信息，这里不作限制。

实施第一方面和第二方面描述的数据业务控制方法，可实现在所述终端本地对所述用户使用所述数据业务服务的情况进行可信的监测和控制，避免所述终端与所述服务器之间的频繁交互，减轻了所述移动虚拟运营商的服务平台的负荷。

结合第一方面或第二方面，在一些可能的实施例中，在所述终端用户利用所述数据业务服务上网时，所述终端可以通过无线调制解调器统计所述终端用户对所述数据业务服务的使用情况，例如所述终端用户消耗的流量、上网时长等等。所述无线调制解调可以通过安全管道将统计得到所述使用情况发送到TEE，关于所述安全管道的定义及其在所述终端内的实现请参考图3实施例中的相关内容，这里不赘述。

结合第一方面或第二方面，在一些可能的实施例中，所述服务信息可包括计费策略。所述终端可具体在TEE中根据所述计费策略和所述使用情况对所述终端用户进行计费。

具体实现中，所述计费策略可包括：计费类型，例如按照流量计费或者按照上网时长计费等。所述计费策略还可包括：计费标准，可用于度量单位使用量，例如单位流量或单位时长，所需要的费用。实际应用中，所述计费策略还可以根据具体需求制定，例如分时段的计费标准(高峰时段的收费比平常时段高)，本发明实施例对此不作限制。

进一步的，所述数据业务服务的服务信息还可包括所述数据业务服务的额度。所述终端还可以在所述可信任执行环境中，根据所述用户对所述数据业务服务的使用情况，来对所述数据业务服务的额度进行扣减，并判断所述额度是否使用完毕，如果所述额度使用完毕，则触发停止向所述终端用户提供所述数据业务服务。

具体的，所述终端可以通过下述方式触发停止向所述终端用户提供所述数据业务服务：

第一种实现方式，所述终端触发调制解调器关闭所述终端与所述基础移动运营商之间的数据业务连接，这样可实现停止向所述终端用户提供所述数据业务服务。

第二种实现方式，所述终端向所述服务器上报所述数据业务服务使用完毕的结果，触发所述移服务器通知所述基础移动运营商停止向所述终端用户提供所述数据业务服务。

结合第一方面或第二方面，在一些可能的实施例中，所述终端用户的SIM卡可以是所述移动虚拟运营商提供的硬SIM卡，例如eSIM卡或者类似于普通SIM卡形态的硬SIM卡。

结合第一方面或第二方面，在一些可能的实施例中，所述终端用户的SIM卡也可以是所述服务器下发的软SIM卡。

具体的，所述服务器可以通过下述方式向所述终端下发软SIM卡：

第一种实现方式，所述服务器可以根据所述终端用户的选择向所述终端下发软SIM卡。所述终端用户的选择可体现在所述用于获取软SIM卡的请求中，该请求可携带所述终端用户选择的目标基础移动运营商的标识信息。也即是说，所述服务器可以根据该请求携带的目标基础移动运营商的标识信息，向所述终端下发用于接入所述目标基础移动运营商的软SIM卡。

第二种实现方式，所述服务器可以根据所述终端用户所处的地理位置向所述终端下发适用所述地理位置的软SIM卡。所述适用所述地理位置的软SIM卡是指：用于接入所述地理位置处的与所述服务器所属的移动虚拟运营商存在合作关系的基础移动运营商网络的软SIM卡。

结合第一方面或第二方面，在一些可能的实施例中，所述终端可以通过Wi-Fi向所述服务器发送所述用于获取数据业务服务的请求，也可以通过电话通信链路向所述服务器发送所述用于获取数据业务服务的请求。在一些可能的实施例中，如果所述终端内置有基础移动运营商提供的SIM卡，例如中国移动的2G SIM卡，那么所述终端可以通过所述基础移动运营商提供的数据业务连接，例如GPRS数据链接，向所述服务器发送所述请求。

结合第一方面或第二方面，在一些可能的实施例中，所述分配给所述终端用户的数据业务服务可以支持所述终端用户通过2个或2个以上基础移动运营商的网络上网。具体实现中，所述移动虚拟运营商提供的数据业务服务不限制所述终端用户所使用的基础移动运营商网络，所述服务器可以根据所述终端用户所处的地理位置来适应性向所述终端下发适用所述地理位置的软SIM卡，使得所述终端用户可以通过所述地理位置处的基础移动运营商网络上网。

结合第一方面或第二方面，在一些可能的实施例中，针对所述终端用户上网，所述服务器既可以接收到所述基础移动运营商反馈的话单，也可以接收到所述终端上报的针对所述终端用户的计费情况。所述服务器可以利用所述终端上报的所述计费情况来对所述基础移动运营商的话单进行校验。这样可避免由于所述基础移动运营商产生的错误话单而付出不必要的服务成本，提高了所述移动虚拟运营商向所述基础移动运营商支付通信服务的准确性。

具体的，所述终端采用的所述计费情况的上报策略与实时上报不同，所述终端不需要与所述服务器进行频繁交互。例如，所述终端用户对所述数据业务服务的消耗每达到固定阈值，如流量消耗达到10M或上网时长持续2小时，所述终端向所述服务器上报一次针对所述终端用户的计费情况。又例如，所述终端用户每次上网开始或结束时，所述终端向所述服务器上报一次针对所述终端用户的计费情况。

结合第一方面或第二方面，在一些实施例中，所述终端发送的用于获取软SIM卡的请求和所述终端发送的用于获取数据业务服务的请求可以体现在同一个用户申请过程中，该申请过程既可用于请求所述服务器下发软SIM卡，又可用于请求所述服务器为所述终端用户分配数据业务服务。也即是说，所述用于获取软SIM卡的请求和所述用于获取数据业务服务的请求可以表现为同一个请求。

第三方面，提供了一种终端，包括：处理器、射频模块以及SIM卡，其中，所述处理器中运行有两种执行环境：通用执行环境和可信任执行环境，其中：

所述通用执行环境用于通过所述射频模块向服务器发送用于获取数据业务服务的请求，并通过所述射频模块接收到所述服务器返回的已分配的数据业务服务的服务信息；

所述可信任执行环境用于根据所述数据业务服务的服务信息和所述终端用户对所述数据业务服务的使用情况来对所述终端用户进行计费。

具体的，所述用于获取数据业务服务的请求可包含所述终端用户的标识信息。关于所述标识信息的实现可参考第一方面或第二方面描述的内容，这里不赘述。

结合第三方面，在一些可能的实施例中，所述数据业务服务的服务信息可包括所述数据业务服务的额度。所述可信任执行环境还可用于根据所述用户对所述数据业务服务的使用情况，来对所述数据业务服务的额度进行扣减，并判断所述额度是否使用完毕，如果所述额度使用完毕，则触发停止向所述终端用户提供所述数据业务服务。

具体实现中，在所述通用执行环境通过所述射频模块接收到所述已分配的数据业务服务的服务信息后，所述通用执行环境可用于调用所述可信任执行环境提供的可信客户端应用编程接口来将所述服务信息发送给所述可信任执行环境。

结合第三方面，在一些可能的实施例中，所述终端还包括：无线调制解调器，可用于在所述终端用户上网时，统计所述终端用户对所述数据业务服务的使用情况，并将统计得到的所述使用情况通过安全管道发送给所述可信任执行环境；所述安全管道建立在所述无线调制解调器与所述可信任执行环境之间，用于实现所述可信任执行环境与所述无线调制解调器之间的安全数据传输。

具体的，所述可信任执行环境可以通过下述方式触发停止向所述终端用户提供所述数据业务服务：

第一种实现方式，所述可信任执行环境可具体用于通过所述安全管道下发关闭指令到所述无线调制解调器，触发所述无线调制解调器关闭所述终端与所述基础移动运营商之间的数据业务连接，以停止向所述终端用户提供所述数据业务服务。

第二种实现方式，所述可信任执行环境可具体用于通过所述射频模块向所述服务器上报所述数据业务服务使用完毕的结果，触发所述服务器通知所述基础移动运营商停止向所述终端用户提供所述数据业务服务。

结合第三方面，在一些可能的实施例中，所述终端用户的SIM卡可以是所述服务器下发的软SIM卡。关于终端获取软SIM卡的具体实现请参考第一方面或第二方面描述的内容，这里不赘述。

第四方面，提供了一种终端，包括：用于执行上述第一方面的方法的单元。

第五方面，提供了一种服务器，包括：接收器、发射器和处理器，其中：

所述接收器用于接收终端发送的用于获取数据业务服务的请求；

所述处理器用于响应所述用于获取数据业务服务的请求，为所述终端用户分配数据业务服务；

所述发射器用于根据所述标识信息向所述终端发送所述已分配的数据业务服务的服务信息；

其中，所述终端用于在可信任执行环境中，根据所述已分配的数据业务服务的服务信息和所述终端用户对所述已分配的数据业务服务的使用情况来对所述终端用户进行计费。

结合第五方面，在一些可能的实施例中，所述终端内的SIM卡可以是所述发射器下发的软SIM卡。具体的，所述发射器下发的软SIM卡的方式可如下：

第一种实现方式，所述接收器可用于接收到所述终端发送的用于获取软SIM卡的请求。然后，所述发射器可用于响应该请求，向所述终端下发软SIM卡。

第二种实现方式，所述发射器可具体用于根据所述终端用户所处的地理位置向所述终端下发适用所述地理位置的软SIM卡。所述适用所述地理位置的软SIM卡是指：用于接入所述地理位置处的与所述移动虚拟运营商存在合作关系的基础移动运营商网络的软SIM卡。

结合第五方面，在一些可能的实施例中，所述接收器还可用于接收所述终端发送的针对所述终端用户的计费情况。所述计费情况是由所述终端当所述终端用户对所述数据业务服务的使用量每达到固定阈值时发送的。然后，所述处理器可具体用于通过所述终端上报的所述计费情况来对所述基础移动运营商的话单进行校验，可避免由于所述基础移动运营商产生的错误话单而付出不必要的服务成本，提高了所述移动虚拟运营商向所述基础移动运营商支付通信服务的准确性。

第六方面，提供了一种服务器，包括：用于执行上述第二方面的方法的单元。

第七方面，提供了一种通信系统，包括：终端和服务器，其中，所述终端可以是上述第三方面描述的终端，所述服务器可以是上述第五方面描述的服务器。所述终端也可以是上述第四方面描述的终端，所述服务器也可以是上述第六方面描述的服务器。需要说明，在一些实施例中，所述终端可以是上述全部内容中描述的终端，所述服务器是上述全部内容中描述的服务器。

第八方面，提供了一种存储计算机指令的可读非易失性存储介质，所述计算机指令用以实现上述第一方面描述的方法。

第九方面，提供了一种存储计算机指令的可读非易失性存储介质，所述计算机指令用以实现上述第二方面描述的方法。

实施本发明方法实施例，通过在终端的TEE中根据从移动虚拟运营商获取的数据业务服务的服务信息和所述终端用户对所述数据业务服务的使用情况来对所述终端用户进行计费，可确保针对所述终端用户的计费操作不会遭遇恶意软件攻击，计费操作是可信的。这样可实现在所述终端本地对所述用户使用所述数据业务服务的情况进行可信的监测和控制，避免所述终端与所述移动虚拟运营商之间的频繁交互，减轻了所述移动虚拟运营商的服务平台的负荷。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍。

图1是现有的基础移动运营商的流量控制示意图；

图2是本发明实施例涉及的一种应用场景的示意图；

图3是本发明实施例提供的可信任执行环境的架构示意图；

图4是本发明实施例提供的一种数据业务控制方法的流程示意图；

图5是本发明实施例提供的另一种数据业务控制方法的流程示意图；

图6是本发明实施例提供的再一种数据业务控制方法的流程示意图；

图7是本发明实施例提供的一种终端的硬件架构示意图；

图8是本发明实施例提供的一种终端的结构示意图；

图9是本发明实施例提供的一种服务器的硬件架构示意图；

图10是本发明实施例提供的一种服务器的结构示意图。

具体实施方式

本发明的实施方式部分使用的术语仅用于对本发明的具体实施例进行解释，而非旨在限定本发明。

为了便于了解本发明实施例，首先介绍本发明实施例涉及的一种应用场景：移动虚拟运营商(MVNO)。移动虚拟运营商相当于基础移动运营商的分销商，从基础移动运营商批量采购通信服务后，制定具有自身特色的数据业务服务提供给消费者。移动虚拟运营商与基础移动运营商的最大区别在于移动虚拟运营商不拥有接入网和核心网等网络资源，需要通过租借基础移动运营商的通信网络设施，通过部署必要的计费和客服系统来建立自己的虚拟网络经营信息、娱乐、移动支付和消息等数据业务。

图2示出了移动虚拟运营商的一种架构示意图。如图2所示，在这种架构中，MNO200和MVNO300共享无线接入网络(Radio Access Network，RAN)和部分核心网设备：VMSC(Visited Mobile-service Switching Center，中文：访问移动交换中心)、SGSN等。MVNO300仅拥有部分独立的核心网设备：GMSC(网关移动交换中心，中文：Gateway Mobile Switching Center)、GGSN，以及独立的业务平台、计费系统等。

具体实现中，终端100的用户可以从MVNO300获得，例如购买，数据业务服务，例如流量包，然后通过MNO200的RAN接入网络，通过MNO200的网络访问互联网。

为了能够接入MNO200的网络，终端100需内置有MVNO300提供的用于接入MNO200的硬SIM(Subscriber Identity Module，中文：用户识别模块)卡。在一种可能的情况下，终端100可以没有内置的硬SIM卡。针对这种可能的情况，MVNO300可以向终端100下发用于接入MNO200的软SIM。在一些可能的实施例中，MVNO300可以根据终端100所处的地理位置向终端100下发适用该地理位置的软SIM卡。所述适用该地理位置的软SIM卡是指：用于接入该地理位置处的与MVNO300存在合作关系的MNO网络的SIM卡。例如，移动运营商电讯盈科PCCW(Pacific Century Cyber Works)是MVNO300在香港的合作运营商。当MVNO300发现终端100的用户处于香港时，MVNO300向终端100下发用于接入PCCW的软SIM卡。终端100的用户可以通过这个软SIM卡接入PCCW的网络，并通过PCCW的网络上网。

这里，SIM卡是移动通信运营商(MNO或MVNO)根据用户的请求提供给用户的通信模块，以供用户利用该SIM卡上的数据以及通信电路实现与运营商网络进行网络通信，从而实现终端的网络通信业务应用。不同的移动通信运营商提供的SIM卡的类型以及SIM卡内的数据以及协议不一样。

目前的SIM卡主要为硬SIM卡，硬SIM卡是由硬件电路构成的智能卡。软SIM卡主要是通过计算机软件实现硬SIM卡的通信功能的虚拟化SIM卡，也可以称为虚拟SIM卡(Virtual SIM Card)。具体实现中，软SIM卡是由运营商将原本设置在硬SIM卡上的信息全部存储在一个软SIM卡数据包中来实现的。在向用终端100发卡时，运营商仅仅需要将软SIM卡数据包提供给用户，用户只要在终端中通过预设的软SIM卡应用打开运行该软SIM卡数据包即可实现硬SIM卡的功能，从而实现终端与网络的通信。

本发明实施例中，图2中终端100可以是手机、车载设备、可穿戴设备、M2M(Machine to Machine，中文：机器到机器)设备以及未来5G网络中的终端设备等具有移动通信功能的设备。

需要说明的，不限于图2所示，MVNO300可以与多个基础移动运营商合作，向客户提供基于多个基础移动运营商的组合服务。例如，MVNO300销售给消费者的包月流量套餐仅限制了总的流量额度，并不限制消费者使用哪一个基础移动运营商网络。消费者既可以使用中国移动的网络上网，也可以使用中国电信的网络上网。示例仅仅用于解释本发明实施例，不应构成限定。

需要说明的，不限于图2所示，MNO200也可以与多个移动虚拟运营商合作，向多个移动虚拟运营商的客户提供网络接入等服务。

需要说明的，移动虚拟运营商提供的数据业务服务可以包括：流量套餐，时长套餐，或基于使用次数的服务套餐。实际应用中，所述数据业务服务还可以是前述几种形式的组合服务，本发明实施例不作限制。

需要说明的，在一些可能的场景下，基础移动运营商也可以担当移动虚拟运营商的角色，例如向用户下发软SIM卡，向用户提供移动虚拟运营商销售的数据业务服务等等。也即是说，基础移动运营商和移动虚拟运营商也可以是同一个移动通信运营商。

基于图2示出的应用场景，本发明实施例提供了一种终端、数据业务控制方法和系统，通过在终端的可信任执行环境中，根据用户的上网情况对所述终端用户进行计费。上述方案可实现在终端侧对用户使用所述数据业务服务的情况执行可信的监测和控制，避免了终端与移动虚拟运营商的服务平台进行频繁交互，减轻了移动虚拟运营商的服务平台的负荷。

图3是本发明实施例提供的可信任执行环境的架构图。如图3所示，终端100中并存两种执行环境：可信任执行环境(Trusted Execution Environment，TEE)和通用执行环境(Rich Execution Environment，REE)。这里，REE是指能够提供丰富功能的执行环境，例如ANDROID，IOS，WINDOWS或LINUX等。TEE是一个与REE并行运行的独立执行环境，为REE提供安全服务。TEE所能访问的软硬件资源与REE是分离的。TEE提供了一个比REE更加安全的执行空间，可以抵挡应用或服务在REE中容易遭受的软件攻击，例如篡改、恶意拦截、获取操作系统的根用户权限等等。为了确保安全，在终端100开机或重启时，先启动TEE，再启动REE。

如图3所示，REE的架构大致包括：客户端应用(Client Application)和REE操作系统(REE OS)。其中：客户端应用可以是电子邮箱E-Mail、日历、电话簿等功能丰富的应用程序。本发明实施例中，客户端应用还可以通过调用TEE提供的可信客户端API来与TEE端的可信应用通信。

如图3所示，TEE的架构大致可分为两大部分：第一部分是提供给REE的可信客户端API(TEE Client API)，主要供运行于REE的客户端应用(Client APP)接入TEE。第二部分是TEE端的可信应用(Trusted Application，TA)、可信操作系统(TEE OS)和可信硬件资源(包括可信存储空间)。

本发明实施例中，如图3所示，运行于REE OS之上的客户端应用可包括：业务模块101。业务模块101可用于从移动虚拟运营商获取数据业务服务。业务模块101还可以调用TEE提供的可信客户端API，例如Send(info)，其中“info”表示所述用户获取的数据业务服务的服务信息，如额度等。所述Send(info)是TEE端提供的用于将所述数据业务服务的服务信息发送给TEE的API。具体实现中，在获得所述服务信息之后，TEE可用于将所述服务信息存储在指定的TEE内存中或者指定的可信存储中，以确保所述服务信息不会被恶意篡改。

本发明实施例中，如图3所示，运行于TEE OS之上的客户端应用可包括：控制模块102。控制模块102可用于根据所述数据业务服务的服务信息和所述终端用户对所述数据业务服务的使用情况进行计费。具体实现中，运行在TEE中的控制模块102可以从所述指定的TEE内存中或者指定的可信存储中获取到所述数据业务服务的服务信息，例如计费策略，然后根据所述计费策略来对所述终端用户的所述使用情况进行计费。

本发明实施例中，无线调制解调器(Modem)104用于统计所述用户对所述数据业务服务的使用情况，例如流量消耗、上网时长等等。如图3所示，无线调制解调器104与TEE OS之间建立有安全管道(Secure Tunnel)103，用于实现TEE OS与无线调制解调器104之间的安全数据传输。在接收到的无线调制解调器104传送的所述用户对所述数据业务服务的使用情况之后，TEE OS可以将所述使用情况缓存在可信存储中，这样使得控制模块102可以从该可信存储中获得所述用户的上网情况。也即是说，TEE中的控制模块102可以触发TEE OS通过安全管道103从无线调制解调器104获取无线调制解调器104统计的所述用户对所述数据业务服务的使用情况。

在一些实施例中，所述服务信息还可包括所述数据业务服务的额度。具体的，控制模块102还可用于根据所述终端用户的上网情况来对所述额度进行扣减，并判断所述额度是否使用完毕。一旦所述额度使用完毕，则触发停止向所述用户提供所述数据业务服务。具体的，当所述额度使用完毕时，控制模块102可以触发TEE OS通过安全管道103向无线调制解调器104下发停止向所述用户提供所述数据业务服务的指令。

本发明实施例涉及的安全管道103是指在无线调制解调器104和REE OS之间创建的一种安全交换数据的作用机制，其具体表现形式可以是加密的PDN连接、承载、IP隧道等等，也可以是私有的硬件总线(Bus)，这里不作限制。这里，无线调制解调器104具体是用于数据业务的无线调制解调器，例如3G通信中的GPRS调制解调器。

可以理解的，通过运行于TEE中的控制模块102对所述终端用户使用所述数据业务服务的行为进行计费，可确保针对所述数据业务服务的计费操作不会遭遇恶意软件攻击，控制模块102执行的计费操作是安全的和可信的。这样可实现在终端100的本地对所述用户使用所述数据业务服务的行为执行安全的和可信的计费，避免了终端100与移动虚拟运营商的服务平台之间的频繁交互，减轻了移动虚拟运营商的服务平台的负荷。

另外，如图3所示，终端100的公共硬件资源还可包括：MVNO提供的SIM卡105。SIM卡105可以是硬SIM卡，例如嵌入式SIM(Embedded SIM，eSIM)卡，也可以是软SIM卡。SIM卡105提供用于接入基础移动运营商(MNO)网络的SIM卡数据。所述SIM卡数据可包括：国际移动用户识别号International Mobile Subscriber Identification Number，简称IMSI)、鉴权密钥(KI)、鉴权和加密算法等。对于硬SIM卡来说，所述SIM卡数据在SIM卡出售前被写入到SIM卡中。对于软SIM卡来说，所述SIM卡数据本身即代表了软SIM卡，MVNO下发给终端的软SIM卡就是SIM卡数据。

图4是本发明实施例提供的一种数据业务控制方法的流程示意图。其中，图4中的基础移动运营商与移动虚拟运营商之间存在合作关系。所述终端内设置有所述移动虚拟运营商提供的用于接入所述基础移动运营商的SIM卡(硬SIM卡或软SIM卡)，所述移动虚拟运营商提供的硬SIM卡(下述称为MVNO SIM卡)可以是eSIM卡，也可以是类似于普通SIM卡形态的硬SIM卡。如图4所示，所述方法包括：

S101，内置有MVNO SIM卡的所述终端通过所述SIM卡上的数据注册在所述基础移动运营商的网络中。具体实现中，可以通过所述终端的开机或者重启来触发所述注册，也可以通过用户打开“数据链接”来触发所述注册，实际应用中，还可以通过其他方式触发所述注册，本发明实施例不作限制。

S102，所述终端向所述移动虚拟运营商服务器发送用于获取数据业务服务的请求。具体的，所述请求可包含所述终端用户的标识信息，用于指示申请所述数据业务服务的移动用户。

具体的，所述终端用户的标识信息可包括：存储在所述SIM卡上的IMSI，或者，所述终端用户注册在所述移动虚拟运营商的服务平台中的账号。需要说明的，所述终端用户的标识信息还可以是其他能够在所述移动虚拟运营商的服务平台中唯一标识所述中的用户的信息，这里不作限制。

实际应用中，所述终端用户可以通过下述方式向所述移动虚拟运营商申请数据业务服务：第一，所述终端用户通过Wi-Fi或基础移动运营商提供的数据业务连接，例如GPRS(General Packet Radio Service，中文：通用分组无线服务)，登录所述移动虚拟运营商的业务网站，然后在业务网站上选择想要获取的数据业务服务，例如点击“购买”按钮，向所述移动虚拟运营商的业务系统申请获取选中的套餐。第二，所述终端用户通过拨打电话的方式接入所述移动虚拟运营商的业务系统，然后申请获取选中的数据业务服务。实际应用中，所述终端用户还可以通过其他方式申请数据业务服务，这里不作限制。

也即是说，所述终端可以通过Wi-Fi(Wireless Fidelity，中文：无限高保真)向所述移动虚拟运营商服务器发送所述用于获取数据业务服务的请求，也可以通过电话通信链路向所述移动虚拟运营商服务器发送所述用于获取数据业务服务的请求。在一些可能的实施例中，如果所述终端内置有基础移动运营商提供的SIM卡，例如中国移动的2G SIM卡，那么所述终端可以通过所述基础移动运营商提供的数据业务连接，例如GPRS数据链接，向所述移动虚拟运营商服务器发送所述请求。对于发送所述请求的通信方式，本发明实施例不作限制。

S103，所述移动虚拟运营商服务器接收到所述终端发送的所述请求，响应所述请求，为所述终端用户分配数据业务服务。具体实现中，所述移动虚拟运营商可以将分配给所述终端用户的数据业务服务与所述请求中包含的所述终端用户的标识信息，如IMSI，相对应的记录在服务平台中。

S104，在分配数据业务服务之后，所述移动虚拟运营商服务器根据所述请求中包含的所述终端用户的标识信息，向所述终端返回分配给所述终端用户的数据业务服务的服务信息。所述终端接收到移动虚拟运营商返回的所述服务信息。

参考图3实施例可知，终端可通过运行在REE中的业务模块101接收移动虚拟运营商返回的上述服务信息。然后，业务模块101可以调用TEE提供的可信客户端API来将所述服务信息发送给TEE。所述可信客户端应用编程接口可如图3实施例中的Send(info)，其中“info”表示所述用户获取的数据业务服务的服务信息。具体实现中，TEE在获取到所述服务信息之后，可将所述服务信息存储在指定的TEE内存中或者指定的可信存储中，以确保所述服务信息不会被恶意篡改。

S105，所述终端用户通过所述基础移动运营商网络上网。具体实现中，所述终端可利用所述SIM卡上的数据，包括IMSI、KI、鉴权和加密算法等，与所述基础移动运营商网络通信，从而实现通过所述基础移动运营商网络访问互联网。

S106，所述终端在可信任执行环境(TEE)中，根据所述数据业务服务的服务信息和所述终端用户对所述数据业务服务的使用情况来对所述终端用户进行计费。具体的，所述服务信息可包括：计费策略。所述终端可具体在TEE中根据所述计费策略和所述使用情况对所述终端用户进行计费。

应理解的，移动虚拟运营商下发给所述终端的所述计费策略是所述终端所使用的基础移动运营商制定的。例如，如果所述终端用户使用“中国移动”的网络上网，则移动虚拟运营商下发给所述终端的所述计费策略是基础移动运营商“中国移动”制定的。如果所述终端用户使用“中国电信”的网络上网，则移动虚拟运营商下发给所述终端的所述计费策略是基础移动运营商“中国电信”制定的。示例仅仅用于解释本发明实施例，不应构成限定。

具体实现中，在所述终端用户上网时，所述终端可以通过无线调制解调器统计所述终端用户对所述数据业务服务的使用情况，例如所述终端用户消耗的流量、上网时长等等。所述无线调制解调可以通过安全管道将统计得到所述使用情况发送到TEE，关于所述安全管道的定义及其在所述终端内的实现请参考图3实施例中的相关内容，这里不赘述。

在一些实施例中，所述数据业务服务的服务信息还可包括所述数据业务服务的额度。所述终端还可以在可信任执行环境(TEE)中，根据所述用户对所述数据业务服务的使用情况，来对所述数据业务服务的额度进行扣减，并判断所述额度是否使用完毕，如果所述额度使用完毕，则触发停止向所述终端用户提供所述数据业务服务。

本发明实施例中，所述终端可以通过下述方式触发停止向所述终端用户提供所述数据业务服务：

第一种实现方式，所述终端触发调制解调器关闭所述终端与所述基础移动运营商之间的数据业务连接，这样可实现停止向所述终端用户提供所述数据业务服务。具体的，参考图3实施例可知，运行在TEE中的控制模块102可以通过安全管道向所述调制解调器下发关闭所述数据业务连接的指令，触发所述调制解调器关闭所述数据业务连接。

第二种实现方式，所述终端向所述移动虚拟运营商服务器上报所述数据业务服务使用完毕的结果，触发所述移动虚拟运营商通知所述基础移动运营商停止向所述终端用户提供所述数据业务服务。

可选的，如S107和S108所示，针对所述终端用户上网，所述移动虚拟运营商服务器既可以接收到所述基础移动运营商反馈的话单，也可以接收到所述终端上报的针对所述终端用户的计费情况。所述移动虚拟运营商可以利用所述终端上报的所述计费情况来对所述基础移动运营商的话单进行校验，可如S109所示。这样可避免由于所述基础移动运营商产生的错误话单而付出不必要的服务成本，提高了所述移动虚拟运营商向所述基础移动运营商支付通信服务的准确性。

上述S107采用的上报策略与实时上报不同，不需要与所述移动虚拟运营商的服务平台进行频繁交互。例如，所述终端用户对所述数据业务服务的消耗每达到固定阈值，如流量消耗达到10M或上网时长持续2小时，所述终端向所述移动虚拟运营商上报一次针对所述终端用户的计费情况。又例如，所述终端用户每次上网开始或结束时，所述终端向所述移动虚拟运营商上报一次针对所述终端用户的计费情况。需要说明的，示例仅仅用于解释本发明实施例，对于所述上报策略的具体实现，不限于所述示例。

实施图4所示的实施例，通过在终端的TEE中根据从移动虚拟运营商获取的数据业务服务的服务信息和所述终端用户对所述数据业务服务的使用情况来对所述终端用户进行计费，可确保针对所述终端用户的计费操作不会遭遇恶意软件攻击，计费操作是可信的。这样可实现在所述终端本地对所述用户使用所述数据业务服务的情况进行可信的监测和控制，避免所述终端与所述移动虚拟运营商之间的频繁交互，减轻了所述移动虚拟运营商的服务平台的负荷。

图5是本发明实施例提供的另一种数据业务控制方法的流程示意图。在图5实施例中，所述终端内没有所述移动虚拟运营商提供的用于接入所述基础移动运营商的SIM卡(硬SIM卡或软SIM卡)。如图5所示，与图4实施例不同的是，图5实施例还包括：

S201，所述终端可以通过账号和密码注册在所述移动虚拟运营商的服务平台中，为后续向所述服务平台请求下发软SIM卡时提供身份认证和鉴权的依据。

S202，所述终端向所述移动虚拟运营商服务器发送用于获取软SIM卡的请求。所述移动虚拟运营商服务器接收到该请求，并响应该请求，向所述终端下发用于接入所述基础移动运营商的软SIM卡。具体的，所述用于获取软SIM卡的请求可包含所述终端用户注册在所述服务平台中的账号和密码，用于指示请求获取软SIM卡的用户。

所述移动虚拟运营商服务器可以通过下述方式向所述终端下发软SIM卡。

第一种实现方式，所述移动虚拟运营商服务器可以根据所述终端用户的选择向所述终端下发软SIM卡。所述终端用户的选择可体现在所述用于获取软SIM卡的请求中，该请求可携带所述终端用户选择的目标基础移动运营商的标识信息。也即是说，所述移动虚拟运营商服务器可以根据该请求携带的目标基础移动运营商的标识信息，向所述终端下发用于接入所述目标基础移动运营商的软SIM卡。

举例说明，所述移动虚拟运营商的业务平台提供了分别用于接入“中国移动”、“中国联通”和“中国电信”这三个运营商网络的三种软SIM卡。所述终端用户通过S201注册得到的账号登录所述业务平台，然后选择购买用于接入“中国移动”的网络的软SIM卡。相应的，所述服务平台向所述终端下发用于接入“中国移动”的软SIM卡。关于软SIM卡的定义以及如何在所述终端中使用软SIM卡可参考前述图2的内容，这里不再赘述。

第二种实现方式，所述移动虚拟运营商服务器可以根据所述终端用户所处的地理位置向所述终端下发适用所述地理位置的软SIM卡。所述适用所述地理位置的软SIM卡是指：用于接入所述地理位置处的与所述移动虚拟运营商存在合作关系的基础移动运营商网络的软SIM卡。

例如，基础移动运营商PCCW是所述移动虚拟运营商在香港的合作运营商。当所述移动虚拟运营商发现所述终端用户处于香港时，所述移动虚拟运营商可以向所述终端下发用于接入PCCW的软SIM卡。示例仅仅用于说明本发明实施例，不应构成限定。

在上述第二种实现方式中，所述终端用户所处的地理位置可以是所述终端用户在所述服务平台中注册时，主动上报所述服务平台的。所述终端用户所处的地理位置也可以是所述移动虚拟运营商根据所述终端连接的接入点(Access Point，AP)的信息分析出的。对于所述移动虚拟运营商如何获知所述终端用户的地理位置，本发明实施例不做限制。

关于S203-S211，请参考图4实施例，为了说明书的简洁，这里不再赘述。

需要说明的，在一些实施例中，S202中所述终端发送的用于获取软SIM卡的请求和S204中所述终端发送的用于获取数据业务服务的请求可以体现在同一个用户申请过程中，该申请过程既可用于请求移动虚拟运营商下发软SIM卡，又可用于请求移动虚拟运营商为所述终端用户分配数据业务服务。也即是说，所述用于获取软SIM卡的请求和所述用于获取数据业务服务的请求可以表现为同一个请求。

例如，所述终端用户登录移动虚拟运营商的业务网站，然后在业务网站上输入所述终端用户所处的地理位置，并选择想要购买的数据业务服务，最后，所述终端用户点击“购买”按钮，用以向所述移动虚拟运营商申请获取数据业务服务。响应所述终端用户的申请，所述移动虚拟运营商可以向所述终端下发适用所述地理位置的软SIM卡，并且为所述终端用户分配数据业务服务。在示例中，用户并不需要明确的向移动虚拟运营商申请软SIM卡，用户仅需要选择想要购买的数据业务服务即可。示例仅仅是本发明实施例的一种实现方式，实际应用中还可以不同，不应构成限定。

图6是本发明实施例提供的再一种数据业务控制方法的流程示意图。在图6实施例中，所述移动虚拟运营商提供的数据业务服务不限制所述终端用户所使用的基础移动运营商网络，所述移动虚拟运营商可以根据所述终端用户所处的地理位置来适应性的调整所述终端用户使用的基础移动运营商网络。这样可实现针对动态移动过程中的用户，也能够在终端侧对用户使用所述数据业务服务的情况进行可信的监测和控制，更加灵活。如图6所示，所述方法包括：

S301，所述终端可以通过账号和密码注册在所述移动虚拟运营商的服务平台中，为后续向所述服务平台请求获取数据业务服务提供身份认证和鉴权的依据。

S302，所述终端从所述移动虚拟运营商获取数据业务服务。具体可参考图4实施例中的S102-S104，这里不再赘述。

S303-S304，所述移动虚拟运营商检测所述终端用户所处的地理位置。这里，可以将所述终端用户所处的地理位置为初始地理位置。所述移动虚拟运营商向所述终端下发适用所述初始地理位置的软SIM卡1。相应的，所述终端接收到所述软SIM卡1。以所述软SIM卡1可用于接入的中国移动的网络为例进行说明。中国移动是所述移动虚拟运营商在所述初始地理位置的合作运营商。

具体的，关于所述移动虚拟运营商如何获知所述终端用户的地理位置，可参考图5实施例中的相关内容，这里不再赘述。

S305，在接收到所述软SIM卡1之后，所述终端可以通过所述所述软SIM卡1上的数据注册在中国移动的网络中。

S306，所述终端用户通过中国移动的网络上网。

S307，当所述终端用户通过中国移动的网络上网时，所述终端在可信任执行环境(TEE)中，根据所述数据业务服务的服务信息和所述终端用户对所述数据业务服务的使用情况来对所述终端用户进行计费。

在一些实施例中，所述数据业务服务的服务信息可包括所述数据业务服务的额度。所述终端还可以在可信任执行环境(TEE)中，根据所述用户对所述数据业务服务的使用情况，来对所述数据业务服务的额度进行扣减，并判断所述额度是否使用完毕，如果所述额度使用完毕，则触发停止向所述终端用户提供所述数据业务服务。

S308-S310，针对所述终端用户上网，所述移动虚拟运营商既可以接收到中国移动反馈的话单，也可以接收到所述终端上报的针对所述终端用户的计费情况。然后，所述移动虚拟运营商可以利用所述终端上报的所述计费情况来对中国移动的话单进行校验。这样可避免由于中国移动产生的错误话单而付出不必要的服务成本，提高了所述移动虚拟运营商向中国移动支付通信服务的准确性。

具体实现中，在所述终端向所述移动虚拟运营商上报所述数据业务服务的使用情况时，需携带所述终端当前所使用的公共陆地移动网络(Public Land Mobile Network，PLMN)的标识信息，即中国移动的PLMN ID，用以告知所述移动虚拟运营商S308中的所述使用情况是所述终端用户使用中国移动的网络产生的。

S311-S312，所述移动虚拟运营商检测所述终端用户所处的地理位置。这时，相比于前述的初始地理位置，所述终端用户已经移动到了新的地理位置，例如香港。所述移动虚拟运营商向所述终端下发适用所述新的地理位置的软SIM卡2。相应的，所述终端接收到所述软SIM卡2。例如，如图6所示，以所述软SIM卡2可用于接入的PCCW的网络为例。PCCW是所述移动虚拟运营商在所述新的地理位置处的合作运营商。

S313，在接收到所述软SIM卡2之后，所述终端可以通过所述所述软SIM卡2上的数据注册在PCCW的网络中。

S314，所述终端用户通过PCCW的网络上网。

S315，当所述终端用户通过PCCW的网络上网时，所述终端在可信任执行环境(TEE)中，根据所述数据业务服务的服务信息和所述终端用户对所述数据业务服务的使用情况来对所述终端用户进行计费。

在一些实施例中，所述终端还可以在可信任执行环境(TEE)中，根据所述用户对所述数据业务服务的使用情况，来对所述数据业务服务的额度进行扣减，并判断所述额度是否使用完毕，如果所述额度使用完毕，则触发停止向所述终端用户提供所述数据业务服务。

S316-S318，针对所述终端用户上网，所述移动虚拟运营商既可以接收到PCCW反馈的话单，也可以接收到所述终端上报的针对所述终端用户的计费情况。然后，所述移动虚拟运营商可以利用所述终端上报的所述计费情况来对PCCW的话单进行校验。这样可避免由于PCCW产生的错误话单而付出不必要的服务成本，提高了所述移动虚拟运营商向PCCW支付通信服务的准确性。

具体实现中，在所述终端向所述移动虚拟运营商上报所述数据业务服务的使用情况时，需携带PCCW的PLMN ID，用以告知所述移动虚拟运营商S316中的所述使用情况是所述终端用户使用PCCW的网络产生的。

需要说明的，所述移动虚拟运营商合作的基础移动运营商不限于图6实施例示出的中国移动和PCCW。所述移动虚拟运营商合作的基础移动运营商的数量也不限于图6实施例示出的2个。

基于同一发明构思，本发明实施例还提供一种终端，用于执行前述图4-6实施例描述的一种数据业务控制方法。

图7是本发明实施例提供的终端的硬件架构图。如图7所示，终端100可包括：处理器110、REE存储器108(一个或多个计算机可读存储介质)、射频(RF)模块107、可信任存储器113、外围系统115。这些部件可在一个或多个通信总线114上通信。其中：

处理器110中运行两种执行环境：通用执行环境(REE)111和可信任执行环境(TEE)112。关于REE和TEE的系统架构可参考图3实施例中的相关内容。不限于图4所示，通用执行环境111和可信任执行环境112也可以分别运行在两块独立的处理器中。

射频(RF)模块107用于接收和发送射频信号，通过射频信号、通信网络和其他通信设备通信。具体实现中，射频(RF)模块107可包括但不限于：SIM卡104、Wi-Fi模块106和无线调制解调器105，还可以包括：天线系统、RF收发器、一个或多个放大器、调谐器、一个或多个振荡器和存储介质等。

具体实现中，SIM卡104是移动虚拟运营商提供的MVNO SIM卡。SIM卡104可以是软SIM卡形式，也可以是硬SIM卡形式。

具体实现中，无线调制解调器105可用于在终端100的用户通过SIM卡104上网时，统计该用户的上网情况，例如流量消耗、上网时长等。无线调制解调器105可以通过安全管道103与可信任执行环境112通信。关于安全管道 103可参考图3实施例的相关内容。

外围系统115主要用于实现终端100和用户/外部环境之间的交互功能，主要包括终端100的输入输出装置。具体实现中，外围系统115可包括：触摸屏控制器116、摄像头控制器117、音频控制器118以及传感器管理模块119。其中，各个控制器可与各自对应的外围设备，如触摸屏120、摄像头121、音频电路122以及传感器123，耦合。

REE存储器108与处理器110耦合，用于存储运行在通用执行环境111中的各种软件程序和/或多组指令，例如图3中的客户端应用：业务模块101。

可信任存储器113处理器110耦合，用于存储运行在可信任执行环境112中的各种软件程序和/或多组指令，例如图3中的可信应用：控制模块102。

可信任执行环境112所能访问的软硬件资源与通用执行环境111是分离的。可信任执行环境112提供了一个比通用执行环境111更加安全的执行空间，可以抵挡应用或服务在通用执行环境111中容易遭受的软件攻击，例如篡改、恶意拦截、获取操作系统的根用户权限等等。为了确保安全，在终端100开机或重启时，先启动信任执行环境112，再启动通用执行环境111。其中：

通用执行环境111用于通过射频模块107向服务器发送用于获取数据业务服务的请求，并通过射频模块107接收到所述服务器返回的已分配的数据业务服务的服务信息；

可信任执行环境112用于当终端100的用户通过SIM卡104关联的基础移动运营商的网络上网时，根据所述数据业务服务的服务信息和所述终端用户对所述数据业务服务的使用情况来对所述终端用户进行计费。

本发明实施例中，所述用于获取数据业务服务的请求可包含所述终端用户的标识信息。具体的，所述终端用户的标识信息可包括：存储在所述SIM卡上的IMSI，或者，所述终端用户注册在所述服务器中的账号。需要说明的，所述终端用户的标识信息还可以是其他能够在所述服务器中唯一标识所述中的用户的信息，这里不作限制。

本发明实施例中，所述服务信息可包括：计费策略。可信任执行环境112可具体用于根据所述计费策略和所述使用情况对所述终端用户进行计费。

在一些实施例中，所述服务信息还可包括所述数据业务服务的额度。可信任执行环境112还可以用于根据所述用户对所述数据业务服务的使用情况，来对所述数据业务服务的额度进行扣减，并判断所述额度是否使用完毕，如果所述额度使用完毕，则触发停止向所述终端用户提供所述数据业务服务。

具体实现中，在通用执行环境111通过射频模块107接收到所述已分配的数据业务服务的服务信息后，通用执行环境111可用于调用可信任执行环境112提供的可信客户端应用编程接口来将所述服务信息发送给可信任执行环境112。所述可信客户端应用编程接口可如图3实施例中的Send(info)，其中“info”表示所述用户获取的数据业务服务的服务信息。具体实现中，可信任执行环境112在获取到所述服务信息之后，可将所述服务信息存储在指定的可信任执行环境112的内存中或者指定的可信存储中，以确保所述服务信息不会被恶意篡改。

具体实现中，在终端100的用户上网时，通用执行环境111可用于通过无线调制解调器105统计终端100的用户对所述数据业务服务的使用情况，例如消耗的流量、上网时长等等。调制解调器105可以用于通过安全管道将统计得到所述使用情况发送给可信任执行环境112，关于所述安全管道的定义及其在所述终端内的实现请参考图3实施例中的相关内容，这里不赘述。

本发明实施例中，可信任执行环境112可以通过下述方式触发停止向终端100的用户提供上网服务：

第一种实现方式，可信任执行环境112可用于通过安全管道下发关闭指令到调制解调器105，以触发调制解调器105关闭终端100与所述基础移动运营商之间的数据业务连接，这样可实现停止向终端100的用户提供上网服务。

第二种实现方式，可信任执行环境112可通过射频模块107向所述移动虚拟运营商上报所述数据业务服务使用完毕的结果，触发所述服务器通知所述基础移动运营商停止向终端100的用户提供上网服务。

在一些实施例中，SIM卡104可以是所述服务器下发的软SIM卡。所述服务器可以通过下述方式向终端100下发软SIM卡。

第一种实现方式，通用执行环境111可通过射频模块107向所述服务器发送用于获取软SIM卡的请求。所述服务器响应该请求，向终端100下发软SIM卡。具体的，关于通用执行环境111请求下发SIM卡的具体实现可参考图4实施例中的相关内容，这里不再赘述。

第二种实现方式，所述服务器可以根据终端100的用户所处的地理位置向终端100下发适用所述地理位置的软SIM卡。所述适用所述地理位置的软SIM卡是指：用于接入所述地理位置处的与所述服务器所属的移动虚拟运营商存在合作关系的基础移动运营商网络的软SIM卡。对于所述服务器如何获知所述终端用户的地理位置，可参考图4实施例中的相关内容，这里不再赘述。

在一些实施例中，所述服务器分配给终端100的用户的数据业务服务可以不限制该用户所使用的基础移动运营商网络，所述服务器可以根据终端100的用户所处的地理位置来适应性的调整终端100的用户使用的基础移动运营商网络，具体可参考图6实施例，这里不再赘述。这样可实现针对动态移动过程中的用户，也能够在终端侧对用户使用所述数据业务服务的情况进行可信的监测和控制，更加灵活。

需要说明的，关于运行在处理器110中的可信任执行环境112和通用执行环境111的具体实现，可参考图3-6实施例的内容，这里不再赘述。

图8是本发明实施例提供的一种终端的结构示意图。如图8所示，终端40可中并存有两个运行环境：REE401和TEE402，终端40可包括：运行在REE401中的业务模块4011和运行在TEE402中的控制模块4021。其中：

业务模块4011用于向服务器发送用于获取数据业务服务的请求，并通过通信模块403接收到所述服务器返回的已分配的数据业务服务的服务信息；

控制模块4021用于根据所述数据业务服务的服务信息和所述终端用户对所述数据业务服务的使用情况来对所述终端用户进行计费。

本发明实施例中，所述用于获取数据业务服务的请求可包含所述终端用户的标识信息。具体的，所述终端用户的标识信息可包括：存储在所述SIM 卡上的IMSI，或者，所述终端用户注册在所述服务器中的账号。需要说明的，所述终端用户的标识信息还可以是其他能够在所述服务器中唯一标识所述中的用户的信息，这里不作限制。

本发明实施例中，所述服务信息可包括：计费策略。控制模块4021可具体用于根据所述计费策略和所述使用情况对所述终端用户进行计费。

在一些实施例中，所述服务信息还可包括所述数据业务服务的额度。控制模块4021还可用于根据所述用户对所述数据业务服务的使用情况，来对所述数据业务服务的额度进行扣减，并判断所述额度是否使用完毕，如果所述额度使用完毕，则触发停止向所述终端用户提供所述数据业务服务。

具体实现中，在接收到所述已分配的数据业务服务的额度后，业务模块4011可用于调用TEE402提供的可信客户端应用编程接口来将所述数据业务的服务信息发送给运行在TEE402中的控制模块4021。所述可信客户端应用编程接口可如图3实施例中的Send(info)，其中“info”表示所述用户获取的数据业务服务的服务信息。具体实现中，控制模块4021在获取到所述服务信息之后，可将所述服务信息存储在指定的TEE402的内存中或者指定的可信存储中，以确保所述服务信息不会被恶意篡改。

进一步的，终端40还可包括：通信模块403，用于在终端40的用户上网时，统计终端40的用户对所述已分配的数据业务服务的使用情况，例如消耗的流量、上网时长等等。通信模块403具体可以是图7实施例中的无线调制解调器105。

具体实现中，通信模块403与TEE402之间建立有安全管道。通信模块403可以具体用于通过安全管道将统计得到所述使用情况发送给运行在TEE402中的控制模块4021。关于所述安全管道的定义及其在所述终端内的实现请参考图3实施例中的相关内容，这里不赘述。

本发明实施例中，控制模块4021可以通过下述方式触发停止向终端40的用户提供上网服务：

第一种实现方式，控制模块4021可用于通过安全管道下发关闭指令到通信模块403，以触发通信模块403关闭终端40与所述基础移动运营商之间的数据业务连接，这样可实现停止向终端40的用户提供上网服务。

第二种实现方式，控制模块4021可用于向所述移动虚拟运营商服务器上报所述数据业务服务使用完毕的结果，触发所述服务器通知所述基础移动运营商停止向终端40的用户提供上网服务。

在一些实施例中，终端40内的SIM卡可以是所述服务器下发的软SIM卡。所述服务器可以通过下述方式向终端40下发软SIM卡。

第一种实现方式，业务模块4011还可用于向所述服务器发送用于获取软SIM卡的请求。所述服务器响应该请求，向终端40下发软SIM卡。具体的，关于请求下发SIM卡的具体实现可参考图4实施例中的相关内容，这里不再赘述。

第二种实现方式，所述服务器可以根据终端40的用户所处的地理位置向终端40下发适用所述地理位置的软SIM卡。所述适用所述地理位置的软SIM卡是指：用于接入所述地理位置处的与所述服务器所属的移动虚拟运营商存在合作关系的基础移动运营商网络的软SIM卡。对于所述服务器如何获知所述终端用户的地理位置，可参考图4实施例中的相关内容，这里不再赘述。

可以理解的，关于终端40包含的各个模块的具体实现可以参考图3-7实施例中关于所述终端的功能，这里不再赘述。

基于同一发明构思，本发明实施例还提供一种服务器，用于执行前述图4-6实施例描述的一种数据业务控制方法。所述服务器相当于前述图4-6实施例中提及的所述移动虚拟运营商的服务平台，用于执行所述移动虚拟运营商的功能。

图9是本发明实施例提供的服务器的硬件架构图。如图9所示，服务器50可包括：发射器503、接收器504、存储器502和处理器501(处理器501的数量可以是一个或多个，图9中以一个处理器为例)。发射器503、接收器504、存储器502和处理器501可通过总线或者其它方式连接(图9中以通过总线连接为例)。其中：

接收器504可用于接收终端发送的用于获取数据业务服务的请求，所述用于获取数据业务服务的请求包含所述终端用户的标识信息；

处理器501可用于响应所述用于获取数据业务服务的请求，为所述终端用户分配数据业务服务；

发射器503可用于根据所述标识信息向所述终端发送所述已分配的数据业务服务的服务信息；

其中，所述终端用于当所述终端用户通过SIM卡关联的基础移动运营商的网络上网时，在可信任执行环境中，根据所述已分配的数据业务服务的服务信息和所述终端用户对所述已分配的数据业务服务的使用情况来对所述终端用户进行计费。

具体的，所述服务信息可包括：计费策略。所述终端可具体在所述可信任执行环境中根据所述计费策略和所述使用情况对所述终端用户进行计费。

在一些实施例中，所述数据业务服务的服务信息可包括所述数据业务服务的额度。所述终端还可用于根据所述用户对所述数据业务服务的使用情况，来对所述数据业务服务的额度进行扣减，并判断所述额度是否使用完毕，如果所述额度使用完毕，则触发停止向所述终端用户提供所述数据业务服务。关于所述终端的具体实现请参考前述图4-6实施例，这里不赘述。

在一些实施例中，所述终端内的SIM卡可以是发射器503下发的软SIM卡。具体的，处理器501通过发射器503下发的软SIM卡的方式可如下：

第一种实现方式，接收器504可用于接收到所述终端发送的用于获取软SIM卡的请求。然后，发射器503可用于响应该请求，向所述终端下发软SIM卡。具体的，关于请求下发SIM卡的具体实现可参考图4实施例中的相关内容，这里不再赘述。

第二种实现方式，发射器503可具体用于根据所述终端用户所处的地理位置向所述终端下发适用所述地理位置的软SIM卡。所述适用所述地理位置的软SIM卡是指：用于接入所述地理位置处的与所述移动虚拟运营商存在合作关系的基础移动运营商网络的软SIM卡。对于所述移动虚拟运营商如何获知所述终端用户的地理位置，可参考图4实施例中的相关内容，这里不再赘述。

在一些实施例中，接收器504既可用于接收到所述基础移动运营商反馈的话单，也可用于接收到所述终端上报的针对所述终端用户的计费情况。然后，处理器501可具体用于通过所述终端上报的所述计费情况来对所述基础移动运营商的话单进行校验，可避免由于所述基础移动运营商产生的错误话单而付出不必要的服务成本，提高了所述移动虚拟运营商向所述基础移动运营商支付通信服务的准确性。

关于所述终端上报所述数据业务服务的使用情况的具体实现可参考图4实施例，这里不再赘述。

可以理解的，处理器501执行的具体步骤可参考图4-6实施例中关于所述移动虚拟运营商的功能，这里不再赘述。

图10是本发明实施例提供的服务器的结构示意图。如图10所示，服务器60可包括：分配模块601和通信模块605。其中：

通信模块605用于接收终端发送的用于获取数据业务服务的请求，所述用于获取数据业务服务的请求包含所述终端用户的标识信息；

分配模块601用于响应所述用于获取数据业务服务的请求，为所述终端用户分配数据业务服务；

通信模块605用于根据所述标识信息向所述终端发送所述已分配的数据业务服务的服务信息；

进一步的，如图10所示，服务器60还可包括：校验模块603。其中：通信模块605还可用于：既可以接收到所述基础移动运营商反馈的话单，也可以接收到所述终端上报的针对所述终端用户的计费情况。然后，校验模块603可以利用所述终端上报的所述计费情况来对所述基础移动运营商的话单进行校验，可避免由于所述基础移动运营商产生的错误话单而付出不必要的服务成本，提高了所述移动虚拟运营商向所述基础移动运营商支付通信服务的准确性。

关于所述终端上报所述计费情况的具体实现可参考图4实施例，这里不再赘述。

可以理解的，处理器60包含的各个模块的具体实现可参考图4-6实施例中关于所述移动虚拟运营商的功能，这里不再赘述。

另外，本发明实施例还提供了一种通信系统，包括：终端设备和服务器。其中，所述终端设备可以是图7所示的终端100，所述服务器可以是图9所示出的服务器50。所述终端设备也可以是图8所示的终端40，所述服务器可以是图10所示出的服务器60。

需要说明的，所述终端设备也可以是图2-10分别对应的实施例中的终端，所述服务器也可以是图2-10分别对应的实施例中的移动虚拟运营商的服务平台，这里不赘述。

实施本发明实施例，通过在终端的TEE中根据从移动虚拟运营商获取的数据业务服务的服务信息和所述终端用户对所述数据业务服务的使用情况来对所述终端用户进行计费，可确保针对所述终端用户的计费操作不会遭遇恶意软件攻击，计费操作是可信的。这样可实现在所述终端本地对所述用户使用所述数据业务服务的情况进行可信的监测和控制，避免所述终端与所述移动虚拟运营商之间的频繁交互，减轻了所述移动虚拟运营商的服务平台的负荷。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

一种数据业务控制方法，其特征在于，包括：

终端向服务器发送用于获取数据业务服务的请求；

所述终端接收到所述服务器返回的分配给所述终端用户的数据业务服务的服务信息；

所述终端在可信任执行环境中根据所述数据业务服务的服务信息和所述终端用户对所述数据业务服务的使用情况进行计费。
如权利要求1所述的方法，其特征在于，还包括：所述终端通过无线调制解调器统计所述终端用户对所述数据业务服务的使用情况；并通过安全管道将统计得到所述使用情况发送到所述可信任执行环境；其中，所述安全管道用于实现所述可信任执行环境与所述无线调制解调器之间的安全数据传输。
如权利要求2所述的方法，其特征在于，所述服务信息包括计费策略；所述终端在可信任执行环境中根据所述数据业务服务的服务信息和所述终端用户对所述数据业务服务的使用情况进行计费，包括：所述终端在所述可信任执行环境中根据所述计费策略和所述使用情况进行计费。
如权利要求3所述的方法，其特征在于，所述服务信息还包括所述数据业务服务的额度；所述方法还包括：所述终端在可信任执行环境中根据所述使用情况判断所述额度是否使用完毕，如果所述额度使用完毕，则触发停止向所述终端用户提供所述数据业务服务。
如权利要求4所述的方法，其特征在于，所述触发停止向所述终端用户提供所述数据业务服务，包括：所述终端触发所述无线调制解调器关闭所述终端与所述服务器之间的数据业务连接，以停止向所述终端用户提供所述数据业务服务。
如权利要求4所述的方法，其特征在于，所述触发停止向所述终端用户提供所述数据业务服务，包括：所述终端向所述服务器上报所述数据业务服务使用完毕的结果，触发所述服务器通知所述终端用户的SIM卡关联的基础移动运营商停止向所述终端用户提供所述数据业务服务。
如权利要求1-6中任一项所述的方法，其特征在于，所述终端用户的SIM 卡是所述服务器下发的软SIM卡。
如权利要求7所述的方法，其特征在于，还包括：所述终端向所述服务器发送用于获取所述软SIM卡的请求，并接收到所述服务器响应所述用于获取所述软SIM卡的请求所发送的所述软SIM卡。
如权利要求7所述的方法，其特征在于，所述软SIM卡是所述服务器根据所述终端用户所处的地理位置向所述终端发送的适用所述地理位置的软SIM卡；所述适用所述地理位置的软SIM卡是指：用于接入所述地理位置处的与所述服务器所属的移动虚拟运营商存在合作关系的基础移动运营商网络的软SIM卡。
如权利要求1-8中任一项所述的方法，其特征在于，所述用于获取数据业务服务的请求包括所述终端用户的标识信息，其中，所述终端用户的标识信息包括：存储在所述终端用户的SIM卡上的国际移动用户识别码，或者，所述终端用户注册在所述服务器中的账号。
如权利要求1-10中任一项所述的方法，其特征在于，所述终端向服务器发送用于获取数据业务服务的请求，包括：

所述终端通过Wi-Fi向所述服务器发送所述用于获取数据业务服务的请求；或者，

所述终端通过基础移动运营商提供的数据业务连接向所述服务器发送所述用于获取数据业务服务的请求；或者，

所述终端通过电话通信链路向所述服务器发送所述用于获取数据业务服务的请求。
如权利要求1-11中任一项所述的方法，其特征在于，所述分配给所述终端用户的数据业务服务支持所述终端用户通过2个或2个以上基础移动运营商的网络上网。
一种数据业务控制方法，其特征在于，包括：

服务器接收终端发送的用于获取数据业务服务的请求；

响应所述用于获取数据业务服务的请求，所述服务器为所述终端用户分配数据业务服务，并根据所述标识信息向所述终端发送所述已分配的数据业务服务的服务信息；

其中，所述终端用于在可信任执行环境中，根据所述已分配的数据业务服务的服务信息和所述终端用户对所述已分配的数据业务服务的使用情况来对所述终端用户进行计费。
如权利要求13所述的方法，其特征在于，所述服务器接收终端发送的用于获取数据业务服务的请求，包括：

所述服务器通过Wi-Fi接收所述终端发送的所述用于获取数据业务服务的请求；或者，

所述服务器通过基础移动运营商提供的数据业务连接接收所述终端发送的所述用于获取数据业务服务的请求；或者，

所述服务器通过电话通信链路接收所述终端发送的所述用于获取数据业务服务的请求。
如权利要求13或14所述的方法，其特征在于，所述分配给所述终端用户的数据业务服务支持所述终端用户通过2个或2个以上基础移动运营商的网络上网。
一种终端，其特征在于，包括：处理器、射频模块以及SIM卡，其中，所述处理器中运行有两种执行环境：通用执行环境和可信任执行环境，其中：

所述通用执行环境用于通过所述射频模块向服务器发送用于获取数据业务服务的请求，并通过所述射频模块接收到所述服务器返回的已分配的数据业务服务的服务信息；

所述可信任执行环境用于根据所述数据业务服务的服务信息和所述终端用户对所述数据业务服务的使用情况进行计费。
如权利要求16所述的终端，其特征在于，所述终端还包括：无线调制解调器，用于统计所述终端用户对所述数据业务服务的使用情况，并将统计得到的所述使用情况通过安全管道发送给所述可信任执行环境；所述安全管道建立在所述无线调制解调器与所述可信任执行环境之间，用于实现所述可信任执行环境与所述无线调制解调器之间的安全数据传输。
如权利要求17所述的终端，其特征在于，所述服务信息包括计费策略；所述可信任执行环境具体用于：根据所述计费策略和所述使用情况进行计费。
如权利要求18所述的终端，其特征在于，所述服务信息还包括所述数据业务服务的额度；所述可信任执行环境还用于：根据所述使用情况判断所述额度是否使用完毕，如果所述额度使用完毕，则触发停止向所述终端用户提供所述数据业务服务。
如权利要求19所述的终端，其特征在于，所述可信任执行环境具体用于通过所述安全管道下发关闭指令到所述无线调制解调器，触发所述无线调制解调器关闭所述终端与所述基础移动运营商之间的数据业务连接，以停止向所述终端用户提供所述数据业务服务。
如权利要求19所述的终端，其特征在于，所述可信任执行环境具体用于通过所述射频模块向所述服务器上报所述数据业务服务使用完毕的结果，触发所述服务器通知所述基础移动运营商停止向所述终端用户提供所述数据业务服务。
如权利要求16-21中任一项所述的终端，其特征在于，所述通用执行环境用于调用所述可信任执行环境提供的可信客户端应用编程接口来将所述数据业务服务的服务信息发送给所述可信任执行环境。
一种服务器，其特征在于，包括：接收器、发射器和处理器，其中：

所述接收器用于接收终端发送的用于获取数据业务服务的请求；

所述处理器用于响应所述用于获取数据业务服务的请求，为所述终端用户分配数据业务服务；

所述发射器用于根据所述标识信息向所述终端发送所述已分配的数据业务服务的服务信息；

其中，所述终端用于在可信任执行环境中，根据所述已分配的数据业务服务的服务信息和所述终端用户对所述已分配的数据业务服务的使用情况来对所述终端用户进行计费。
如权利要求23所述的服务器，其特征在于，所述接收器还用于接收所述终端发送的针对所述终端用户的计费情况；所述计费情况是由所述终端当所述终端用户对所述数据业务服务的使用量每达到固定阈值时发送的。
一种通信系统，其特征在于，包括：终端和服务器，其中：

所述终端用于向所述服务器发送用于获取数据业务服务的请求；

所述服务器用于接收所述终端发送的所述用于获取数据业务服务的请求，并为所述终端用户分配数据业务服务，向所述终端发送所述已分配的数据业务服务的服务信息；

所述终端用于接收所述服务器返回的所述数据业务服务的服务信息，并在可信任执行环境中根据所述数据业务服务的服务信息和所述终端用户对所述数据业务服务的使用情况进行计费。
如权利要求25所述的通信系统，其特征在于，所述终端用于向所述服务器发送用于获取数据业务服务的请求，包括：

所述终端具体用于通过Wi-Fi向所述服务器发送所述用于获取数据业务服务的请求；或者，

所述终端具体用于通过基础移动运营商提供的数据业务连接向所述服务器发送所述用于获取数据业务服务的请求；或者，

所述终端具体用于通过电话通信链路向所述服务器发送所述用于获取数据业务服务的请求。
如权利要求25或26所述的通信系统，其特征在于，所述已分配的数据业务服务支持所述终端用户通过2个或2个以上基础移动运营商的网络上网。