WO2013189245A1 - 实现智能卡远程操作的方法及系统 - Google Patents

Description

实现智能卡远程操作的方法及系统

技术领域

本发明涉及智能卡远程操作和数据更新，尤其涉及的是一种利用BIP协议和SCWS实现智能卡远程操作的方法及系统。

背景技术

目前，大多数的用户识别卡（Subscriber Identity Module，SIM）是以SIM卡开发工具包菜单呈现移动增值业务的，具体借助于短消息通道，利用空中下载(Over The Air，OTA)技术来实现。OTA技术是一项基于短消息机制，通过手机终端和远程服务器方式实现SIM卡内业务菜单的下载、删除和更新的技术，该技术可使用户获取个性化信息服务的数据增值业务。由于受短消息通道的限制，SIM卡和OTA服务器之前交货的数据基本是以字节为单位，只能包含一些诸如菜单、接入号等少量的文本信息，数据承载量小，较大的应用业务无法下载。随着技术的发展，SIM卡的容量由K级增加到M级、G级，卡商利用大容量卡能够预置很多应用程序，存储包括多媒体等多种类型的文件，因此，远程服务器如何与SIM卡上存储的这些大型数据文件进行交互成为目前亟待解决的问题。

智能卡网页服务器（Smart Card Web Server，SCWS）是内置在智能卡内的服务器，可以根据用户的请求，将智能卡内存储的文件以网页方式显示给用户。SCWS技术使得手机用户可以通过网页方式方便地查阅智能卡商的多媒体文件，但是目前SCWS规范中并没有给出如何实现远程管理服务器和智能卡中的智能卡网页服务器SCWS之间的信息交互，不能进行远程控制、远程数据更新，以及配置定制手机内容。

因此，现有技术还有待于改进和发展。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种利用BIP协议和SCWS实现智能卡远程操作的方法及系统，实现通过远程管理服务器对智能卡进行远程控制和数据更新，避免和智能卡不必要的交互协商，且以手机作为网关，实现身份认证、数据完整性验证以及可定制的访问策略。

本发明解决技术问题所采用的技术方案如下：

一种利用BIP协议和SCWS实现智能卡远程操作的方法，其中，包括步骤：

A、预先在手机上建立一用于使远程管理服务器与智能卡通信的手机网关；

B、远程管理服务器向手机发送一更新智能卡网页服务器SCWS的短消息，并通过智能卡网页服务器SCWS或其代理程序处理，得到远程管理服务器的通信请求；

C、智能卡网页服务器SCWS或其代理程序通过一SIM卡通道指示手机启动所述手机网关，通过所述手机网关侦听并打开本地的TCP/IP服务端口，等待远程管理服务器连接；

D、远程管理服务器在网络内定位手机IP地址，并以客户端身份连接所述手机网关侦听的TCP/IP服务端口，与智能卡建立连接；

E、远程管理服务器将待传输数据通过手机网关写入智能卡，并通过手机网关接收智能卡反馈的数据信息。

所述的方法，其中，所述步骤A还包括：所述手机网关通过承载无关协议与智能卡建立用于通信的SIM卡通道，并通过HTTP/IP协议与远程管理服务器建立通信通道。

所述的方法，其中，所述步骤E还包括：所述手机网关对远程管理服务器进行识别授权，并对远程管理服务器发送的数据进行数据验证。

所述的方法，其中，所述步骤E之后还包括：所述远程管理服务器采用短信方式通过重新配置SIM卡通道更新智能卡网页服务器SCWS，以及采用短信方式指示手机网关使用安全或非安全的TCP/IP服务端口进行数据通信。

所述的方法，其中，一个远程管理服务器对应一个或多个SIM卡通道，进行数据的同步更新。

所述的方法，其中，智能卡通过手机网关选择HTTP/HTTPS与远程管理服务器连接，HTTP/HTTPS头部的格式需与远程管理服务器预先协商确定。

一种利用BIP协议和SCWS实现智能卡远程操作的系统，其中，所述系统包括：

预设置模块，用于预先在手机上建立一用于远程管理服务器与智能卡通信的手机网关；

启动处理模块，用于根据远程管理服务器向手机发送的更新智能卡网页服务器SCWS的短信息，控制智能卡网页服务器SCWS或其代理程序通过一SIM卡通道指示手机启动所述手机网关，并通过所述手机网关侦听并打开本地的TCP/IP服务端口，等待远程管理服务器连接；

连接模块，用于控制远程管理服务器在网络内定位手机IP地址，并以客户端身份连接所述手机网关侦听的TCP/IP服务端口，与智能卡建立连接；

数据更新模块，用于远程管理服务器将待传输数据通过所述手机网关写入智能卡，并通过手机网关接收智能卡反馈的数据信息。

所述的系统，其中，所述手机网关通过承载无关协议与智能卡建立通信的SIM卡通道，并通过HTTP/IP协议与远程管理服务器建立通信通道。

所述的系统，其中，所述系统还包括：识别认证模块，用于通过手机网关对远程管理服务器进行识别授权，并对远程管理服务器发送的数据进行数据验证。

所述的系统，其中，所述系统还包括：重置模块，用于所述远程管理服务器采用短信方式通过重新配置SIM卡通道更新智能卡网页服务器SCWS，以及采用短信方式指示手机网关使用安全或非安全的TCP/IP服务端口进行数据通信。

本发明所提供的利用BIP协议和SCWS实现智能卡远程操作的方法及系统，通过预先在手机上建立一用于远程管理服务器与智能卡通信的手机网关；手机网关利用BIP协议和UICC通信，根据UICC的指示建立/关闭通道，接收/发送数据，并可同步通道状态，远程管理服务器利用TCP/IP数据栈，以服务器模式侦听本地端口，提供HTTP/HTTPS协议访问服务。远程管理服务器以客户端身份，向本地端口发送命令和数据，网关把数据包转发给UICC，经SCWS处理后，网关把UICC的响应，实施一定层级的数据检验和控制封装后，包装成HTTP/TCP数据报，确认远程管理服务器的请求。本发明实现了对智能卡的远程控制管理和数据更新。

附图说明

图1是本发明提供的实现智能卡远程操作的方法流程图。

图2是本发明提供的实现智能卡远程操作的系统结构示意图。

图3是本发明提供的实现智能卡远程操作的系统中一优选实施例的系统结构示意图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚、明确，以下参照附图并举实施例对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

参见图1，图1是本发明提供的利用BIP协议和SCWS实现智能卡远程操作的方法流程图，包括以下步骤：

步骤S100、预先在手机上建立一用于远程管理服务器与智能卡通信的手机网关；

步骤S200、远程管理服务器向手机发送一更新智能卡网页服务器SCWS的短消息，并通过智能卡网页服务器SCWS或其代理程序处理，得到远程管理服务器的通信请求；

步骤S300、智能卡网页服务器SCWS或其代理程序通过一SIM卡通道指示手机启动所述手机网关，通过所述手机网关侦听并打开本地的TCP/IP服务端口，等待远程管理服务器连接；

步骤S400、远程管理服务器在网络内定位手机IP地址，并以客户端身份连接所述手机网关侦听的TCP/IP服务端口，与智能卡建立连接；

步骤S500、远程管理服务器将待传输数据通过手机网关写入智能卡，并通过手机网关接收智能卡反馈的数据信息。

下面结合具体的实施例对上述步骤进行详细的描述和说明。

本发明的智能卡可以为通用集成电路卡（Universal Integrated Circuit Cards，UICC），通过UICC卡内预置的应用程序USIM（SIM）,实现手机终端和网络认证接入许可认证，从而实现机卡分离，本发明统称为SIM卡。而本发明所述的智能卡中内置有SCWS应用程序，在手机启动时，手机会通过ISO/IEC7816规程对UICC初始化，手机可以主动选择UICC内的SCWS应用程序，或UICC启动后自主启动SCWS，SCWS的入口路径存储在UICC根文件的首层文件中，并通过AID（Application Identifier ，SIM卡的应用程序标识）条目选择启动。

其中，手机支持SIM卡应用工具需要的基本命令Terminal Profile, Envelope, Fetch和Terminal Response，并支持BIP相关的Proactive command命令Open Channel各客户端模式，Send Data, Receive Data, Close Channel以及Get Channel Status等。

本发明通过在手机上建立手机网关实现远程管理服务器和智能卡之间的通信，其中，远程管理服务器可以为网络运营商，而该手机网关与智能卡通过承载无关协议（Bearer Independent Protocol，BIP）进行通信，手机网关与远程管理服务器通过HTTP/IP协议进行通信。在他们之间充当数据转发的代理人角色，实现不同协议栈的数据网关。在SIM卡发送给手机的Receive Data Proactive Command APDU中，把远程管理服务器关联的TCP连接中送来的数据，写入SIM卡，并通过手机向SIM卡发送Terminal Response APDU进行确认。而在Send Data Proactive Command APDU中，读取SIM卡要发给远程管理服务器的数据，并以Terminal Response APDU进行确认，在关联的TCP连接中发给远程管理服务器。

在具体实施过程中，首先，远程管理服务器给手机发送SIM卡类型的短消息，手机会通过Envelope APDU（Application Protocol Data Unit，应用层数据报）命令把信息传递到UICC。UICC解析出这是一条SCWS相关的消息，交给SCWS或其代理程序处理。SCWS或其代理程序会选择一条SIM卡通道（基本通道或扩展通道），在此通道SID上指示手机，有一条Proactive command命令需要处理，手机使用Fetch APDU命令得到该Proactive command。手机根据指示，启动手机网关，打开本地TCP/IP服务端口，建立服务器模式网关，等待远程服务器以客户端身份连接以对UICC进行数据更新。

下面对ENVELOPE APDU进行简单描述，UICC和手机交互的APDU有5个基本单元和变长数据组合，CLA指命令集，这里ENVELOPE属于UICC命令集集合，值为80。INS指命令编码，ENVELOPE命令编码值为C2。P1，P2为命令参数，Lc为数据长度，此处为SIM卡短信，后紧跟短信内容。UICC收到APDU后，对命令CLA INS处理，并响应处理结果。如响应状态SW1，SW2值为90 XX表示收到命令并正确处理。

手机网关与智能卡通过承载无关协议（Bearer Independent Protocol，BIP）建立通信通道，每个通信通道使用不同的会话标识SID区分，所有客户端的连接访问数据，被转发到对应UICC指示的SID中，该SID物理标识一个SIM卡通道。

而远程管理服务器对UICC进行管理时，使用PO-TCP（PPG Originated TCP connection establishment method，PUSH网关发起的连接）技术，在运营商的网络内定位手机的IP地址，远程管理服务器与TCP客户端身份，连接手机网关侦听的服务端口。从而通过手机网关和SIM卡的会话通道，与UICC建立连接。

远程管理服务器在与UICC建立连接后，通过手机网关向UICC发送命令和数据，而UICC反馈的数据信息也通过手机网关传输给远程管理服务器，从而实现远程管理服务器对UICC卡的远程管理和数据更新。

在远程服务器与UICC进行数据通信时，手机网关还会对远程管理服务器进行识别授权，并对远程管理服务器发送的数据进行数据验证。以保证数据交互的安全性。

本发明的远程管理服务器还可以采用短信方式通过重新配置SIM卡通道更新智能卡网页服务器SCWS，以及采用短信方式指示手机网关使用安全或非安全的TCP/IP服务端口进行数据通信。具体为：远程管理服务器以成熟的OTA 短信技术发出一条SIM卡类型短信，手机接收后，把短信内容封装到ENVELOPE类型的APDU中，通过欧洲电信标准机构智能卡协会（ETSI SCP）定义的接口，传递到UICC中，UICC根据短信指示，对SCWS重新配置，并通过Open Channel related to UICC Server Mode命令指示手机按新要求侦听服务端口，并重新配置SIM卡通道，以便为其它应用让步或增强安全保护。同时，远程管理服务器可以用短信指示手机网关使用安全或非安全端口以及对连接的验证级别。因此，不同的远程管理服务器，可以对UICC建立多个通道，进行数据的同步更新。

进一步地，在数据更新时，UICC可以选择HTTP/HTTPS和远程管理服务器连接，可以安全地更新批量数据内容，包括存储用户手册，运营商黄页，广告信息等。而UICC的请求，通常以HTTP POST的命令形式提交给远程管理服务器。其中，HTTP/HTTPS头部的构造，需要和远程管理服务器认证预先协商格式，以避免第三方监听和伪造。当然也可以使用数字证书认证作为SIM卡认证的补充，因为有时SIM卡认证会失效，比如WIFI接入时。

对于使用通过欧洲电信标准机构智能卡协会（ETSI SCP）,TS 102 600新标准的SIM卡，如果手机实现了USB-UICC的接口，SCWS可以直接使用TCP/IP栈，连接到远程管理服务器，从而绕开BIP协议，更有效更新UICC数据内容。

基于上述利用BIP协议和SCWS实现智能卡远程操作的方法，本发明还提供了一种利用BIP协议和SCWS实现智能卡远程操作的系统，如图2所示，所述系统包括：

预设置模块10，用于预先在手机上建立一用于远程管理服务器与智能卡通信的手机网关；

启动处理模块20，用于根据远程管理服务器向手机发送的更新智能卡网页服务器SCWS的短信息，控制智能卡网页服务器SCWS或其代理程序通过一SIM卡通道指示手机启动所述手机网关，并通过所述手机网关侦听并打开本地的TCP/IP服务端口，等待远程管理服务器连接；

连接模块30，用于控制远程管理服务器在网络内定位手机IP地址，并以客户端身份连接所述手机网关侦听的TCP/IP服务端口，与智能卡建立连接；

数据更新模块40，用于远程管理服务器将待传输数据通过所述手机网关写入智能卡，并通过手机网关接收智能卡反馈的数据信息。

进一步地，如图3所示，所述系统还包括：识别认证模块50，用于通过手机网关对远程管理服务器进行识别授权，并对远程管理服务器发送的数据进行数据验证。

重置模块60，用于所述远程管理服务器采用短信方式通过重新配置SIM卡通道更新智能卡网页服务器SCWS，以及采用短信方式指示手机网关使用安全或非安全的TCP/IP服务端口进行数据通信。

应当理解的是，本发明的应用不限于上述的举例，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，例如，对于使用通过欧洲电信标准机构智能卡协会（ETSI SCP）TS102600新标准的SIM卡，如果手机实现了USB-UICC的接口，SCWS可以直接使用TCP/IP栈，连接到远程管理服务器，从而绕开BIP协议，更有效更新UICC数据内容。所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (19)

1. 一种利用BIP协议和SCWS实现智能卡远程操作的方法，其特征在于，包括步骤：

   A、预先在手机上建立一用于使远程管理服务器与智能卡通信的手机网关；

   B、远程管理服务器向手机发送一更新智能卡网页服务器SCWS的短消息，并通过智能卡网页服务器SCWS或其代理程序处理，得到远程管理服务器的通信请求；

   C、智能卡网页服务器SCWS或其代理程序通过一SIM卡通道指示手机启动所述手机网关，通过所述手机网关侦听并打开本地的TCP/IP服务端口，等待远程管理服务器连接；

   D、远程管理服务器在网络内定位手机IP地址，并以客户端身份连接所述手机网关侦听的TCP/IP服务端口，与智能卡建立连接；

   E、远程管理服务器将待传输数据通过手机网关写入智能卡，并通过手机网关接收智能卡反馈的数据信息。
2. 根据权利要求1所述的方法，其特征在于，所述步骤A还包括：所述手机网关通过承载无关协议与智能卡建立用于通信的SIM卡通道，并通过HTTP/IP协议与远程管理服务器建立通信通道。
3. 根据权利要求1所述的方法，其特征在于，所述步骤E还包括：所述手机网关对远程管理服务器进行识别授权，并对远程管理服务器发送的数据进行数据验证。
4. 根据权利要求1所述的方法，其特征在于，一个远程管理服务器对应一个或多个SIM卡通道，进行数据的同步更新。
5. 根据权利要求1所述的方法，其特征在于，所述步骤E还包括：智能卡为通用集成电路卡通过UICC卡内预置的应用程序USIM，实现手机终端和网络认证接入许可认证。
6. 根据权利要求1所述的方法，其特征在于，智能卡通过手机网关选择HTTP/HTTPS与远程管理服务器连接。
7. 一种利用BIP协议和SCWS实现智能卡远程操作的系统，其特征在于，所述系统包括：

   预设置模块，用于预先在手机上建立一用于远程管理服务器与智能卡通信的手机网关；

   启动处理模块，用于根据远程管理服务器向手机发送的更新智能卡网页服务器SCWS的短信息，控制智能卡网页服务器SCWS或其代理程序通过一SIM卡通道指示手机启动所述手机网关，并通过所述手机网关侦听并打开本地的TCP/IP服务端口，等待远程管理服务器连接；

   连接模块，用于控制远程管理服务器在网络内定位手机IP地址，并以客户端身份连接所述手机网关侦听的TCP/IP服务端口，与智能卡建立连接；

   数据更新模块，用于远程管理服务器将待传输数据通过所述手机网关写入智能卡，并通过手机网关接收智能卡反馈的数据信息。
8. 根据权利要求7所述的系统，其特征在于，所述手机网关通过承载无关协议与智能卡建立通信的SIM卡通道，并通过HTTP/IP协议与远程管理服务器建立通信通道。
9. 根据权利要求7所述的系统，其特征在于，所述系统还包括：识别认证模块，用于通过手机网关对远程管理服务器进行识别授权，并对远程管理服务器发送的数据进行数据验证。
10. 一种利用BIP协议和SCWS实现智能卡远程操作的方法，其特征在于，包括步骤：

    A、预先在手机上建立一用于使远程管理服务器与智能卡通信的手机网关；

    B、远程管理服务器向手机发送一更新智能卡网页服务器SCWS的短消息，并通过智能卡网页服务器SCWS或其代理程序处理，得到远程管理服务器的通信请求；

    C、智能卡网页服务器SCWS或其代理程序通过一SIM卡通道指示手机启动所述手机网关，通过所述手机网关侦听并打开本地的TCP/IP服务端口，等待远程管理服务器连接；

    D、远程管理服务器在网络内定位手机IP地址，并以客户端身份连接所述手机网关侦听的TCP/IP服务端口，与智能卡建立连接；

    E、远程管理服务器将待传输数据通过手机网关写入智能卡，并通过手机网关接收智能卡反馈的数据信息；

    F、所述远程管理服务器采用短信方式通过重新配置SIM卡通道更新智能卡网页服务器SCWS，以及采用短信方式指示手机网关使用安全或非安全的TCP/IP服务端口进行数据通信。
11. 根据权利要求10所述的方法，其特征在于，所述步骤A还包括：所述手机网关通过承载无关协议与智能卡建立用于通信的SIM卡通道，每个通信通道使用不同的会话标识SID区分，所有客户端的连接访问数据，被转发到对应UICC指示的SID中，该SID物理标识一个SIM卡通道。
12. 根据权利要求10所述的方法，其特征在于，所述步骤A还包括：所述手机网关与通过HTTP/IP协议与远程管理服务器建立通信通道。
13. 根据权利要求10所述的方法，其特征在于，所述步骤E还包括：所述手机网关对远程管理服务器进行识别授权，并对远程管理服务器发送的数据进行数据验证。
14. 根据权利要求10所述的方法，其特征在于，一个远程管理服务器对应一个或多个SIM卡通道，进行数据的同步更新。
15. 根据权利要求10所述的方法，其特征在于，所述步骤E还包括：智能卡为通用集成电路卡通过UICC卡内预置的应用程序USIM，实现手机终端和网络认证接入许可认证。
16. 一种利用BIP协议和SCWS实现智能卡远程操作的系统，其特征在于，所述系统包括：

    预设置模块，用于预先在手机上建立一用于远程管理服务器与智能卡通信的手机网关；

    启动处理模块，用于根据远程管理服务器向手机发送的更新智能卡网页服务器SCWS的短信息，控制智能卡网页服务器SCWS或其代理程序通过一SIM卡通道指示手机启动所述手机网关，并通过所述手机网关侦听并打开本地的TCP/IP服务端口，等待远程管理服务器连接；

    连接模块，用于控制远程管理服务器在网络内定位手机IP地址，并以客户端身份连接所述手机网关侦听的TCP/IP服务端口，与智能卡建立连接；

    数据更新模块，用于远程管理服务器将待传输数据通过所述手机网关写入智能卡，并通过手机网关接收智能卡反馈的数据信息；

    重置模块，用于所述远程管理服务器采用短信方式通过重新配置SIM卡通道更新智能卡网页服务器SCWS，以及采用短信方式指示手机网关使用安全或非安全的TCP/IP服务端口进行数据通信。
17. 根据权利要求16所述的系统，其特征在于，所述手机网关通过承载无关协议与智能卡建立用于通信的SIM卡通道，每个通信通道使用不同的会话标识SID区分，所有客户端的连接访问数据，被转发到对应UICC指示的SID中，该SID物理标识一个SIM卡通道。
18. 根据权利要求16所述的系统，其特征在于，所述手机网关与通过HTTP/IP协议与远程管理服务器建立通信通道。
19. 根据权利要求16所述的系统，其特征在于，所述系统还包括：识别认证模块，用于通过手机网关对远程管理服务器进行识别授权，并对远程管理服务器发送的数据进行数据验证。

Images