中国联通研究院 北京 100032

前言

GSMA(全球移动通信系统协会)曾预计到2020年全球联网终端数将达110亿部，该数量的增长将主要集中在物联网领域，在未来的几年内，物联网业务将成为运营商业务的重要增长点。

随着移动通信技术的发展及广泛应用，物联网业务也向移动性、易于连接和远程管理的方向迅速发展，因此，推动物联网终端接入移动网络的关键模块智能卡产生了新的技术需求：一种新的智能卡形态eUICC(Embedded UICC，嵌入式通用集成电路卡)以及一种支持eUICC形态而建立的远程管理系统。

eUICC是固化在终端设备中的不可插拔的智能卡。与普通智能卡相同，eUICC提供移动网络接入鉴权和用户身份认证的安全服务；但在物理形态上，除了物理尺寸的要求，eUICC需要根据物联网业务的特性达到相应的工业级要求，如可靠性、抗震等级、适应温度或湿度范围、可擦写次数等，这些物联网的业务特性往往要求智能卡固定在终端设备中不能随意更换。由于这种与终端一体化不可分离的特性，在移动运营商开展业务时，传统的面向个人用户的智能卡的发行和管理流程中很多环节不再适用于eUICC，eUICC在发卡流程中的号码管理、号码配置、号码回收等方面都存在个性化的需求。需要一种新的远程管理系统，以“用户签约管理”为核心，能够通过移动通信网络远程配置和管理智能卡内的用户数据，为物联网用户提供安全可信的业务服务和运营管理保障。

为应对上述eUICC及其远程管理的新需求，国际主流运营商、制造商、标准组织等纷纷开展了研究与试验工作。

1 技术研究进展

eUICC主要应用在物联网领域。挪威的通信运营商Telenor是全球最早进入物联网市场的运营商，研发出了嵌入式智能卡，解决传统智能卡应用于物联网所存在的问题。基于其更强的物理性能，目前eUICC也已在很多国家和地区得到批量应用，但物联网业务的迅速发展衍生出eUICC发行和生命周期管理的一系列问题，静态预置码号已经极大地影响了业务的开展。至2010年，一些国际主流运营商与卡商纷纷提出了对eUICC远程管理技术的需求；在2011年国际智能卡工业展上，包括中国运营商在内的多家主流运营商及卡商联合演示了eUICC远程管理的技术解决方案原型，引起了移动运营商业界以及物联网业界的广泛关注。

为应对全球市场对可实现远程管理的eUICC的迫切需求，GSMA在2011年2月成立了嵌入式智能卡特别任务组，开展了对eUICC及其远程管理的技术研究工作，从研究需求出发，以期推动制定一个通用的、全球性的和可互操作的eUICC远程管理标准。至2012年7月，GSMA将该项目升级为快速推进项目(Fast Track Project)，开始进一步推动eUICC远程管理技术规范的制定，以便进一步集中各家运营商以及卡商的资源，快速推进全球标准制定以及商业部署。

除了GSMA，另外一个同步研究该技术的重要国际标准组织为ETSI。基于2011年GSMA提交的技术需求白皮书[1]，ETSI SCP组陆续启动了两个项目的研究工作：需求规范TS103.383[4]及技术规范TS103.384[5]。TS103.383主要从卡的角度研究更为规范化的eUICC使用场景和技术需求，目前已基本完成，最新发布版本为12.3.0版本；TS103.384从2013年9月开始启动，具体规定eUICC远程管理的技术实现要求，目前工作进展比较缓慢。

在技术及标准研究的同时，GSMA也在积极推动该业务的应用与部署。2012年起始，GSMA选择国际主流车厂、运营商、卡商，就eUICC在车辆中的应用联合进行概念性验证的相关工作。此外，GSMA在近几年其主办的世界移动通信大会上也相继展示了eUICC远程管理技术的最新研发成果：包括中国运营商在内的多家运营商与卡商联合就eUICC远程管理的个人化数据空中下载、多家运营商间号码切换、与运营商现网支撑系统对接等业务解决方案进行了相应的原型演示。图1为2012年在GSMA移动通信亚太展上，由中国、西班牙及澳洲的运营商联合卡商所演示的在智能卡上进行多运营商间号码切换的解决方案的网络拓扑示意。如图1所示，通过远在欧洲的远程管理平台对位于中国上海的演示终端内智能卡的远程配置，可以实现中国、西班牙、澳洲等多个运营商的号码下载激活，以及国际运营商之间的号码切换等业务。

图1 eUICC远程管理演示方案网络拓扑

2013年底，GSMA正式发布了eUICC远程管理架构规范V1.1[2]与技术规范V1.0[3]，这标志着业界对物联网领域eUICC远程管理技术的研究取得了阶段性的成果，该规范的发布将对物联网市场产生重大影响。该规范对eUICC远程管理技术方案进行了标准化，有助于确保在全球范围内可互操作的技术解决方案的应用，将帮助提供低运营成本和驱动的规模经济，从而进一步加快物联网市场快速增长，实现物联网业务蓬勃发展。业界有望在2014年推出第一个基于GSMA技术标准的想到eUICC远程管理产品。

2 eUICC远程管理关键技术

GSMA的eUICC远程管理标准规定了实现eUICC远程管理的关键技术方案，包括支持eUICC远程管理的体系架构，最基本的结构块组成功能、角色和执行部分等，是业界经过近两年的研究工作对eUICC远程管理技术达成一致的重要成果。

图2代表了eUICC的远程管理系统。实现eUICC远程配置和管理的体系架构包括如下几个角色：MNO(运营商)、SM-DP(签约关系管理数据准备平台)、SMSR(签约关系管理安全路由平台)、eUICC、EUM(卡商)、CI(证书发行方)等几个基本单元[4]。

图2 eUICC远程管理系统架构

其中，整个体系架构中重要角色之一的远程管理平台包括SM-DP与SM-SR两部分。SM-DP主要负责eUICC远程配置文件数据的安全生成和管理；而远程管理平台SM-SR主要负责eUICC远程配置文件数据的安全路由和传输。

整个系统通过各个单元的职责定位及其之间的接口互联，保证了运营商与eUICC之间安全可靠的远程配置业务路由。各单元间的接口定义如下：ES1是EUM和SM-SR间的接口，ES2是运营商与SM-DP间的接口，ES3是SM-SR与SM-SR间的接口，ES4是运营商与SM-SR间的接口，ES7是不同的SM-SR间的接口，以上5个接口统称为卡外接口；ES5是eUICC与SM-SR间的接口，ES6是eUICC与运营商间的接口，ES8是eUICC与SM-DP间的接口，这3个接口统称为卡上接口，上述接中涉及运营商自有流程的部分不做标准规定。此外，CI与EUM、运营商、SM-DP、SM-SR间的接口以及EUM与SM-DP间的接口主要涉及到卡片生产、密钥分发等流程，也不做标准规定。

各个接口的作用主要描述如下： ES1接口：用于SM-SR中eUICC的注册；ES2接口：用于从运营商获取个人化数据；用于配置文件数据的下载与安装、激活，卡片上ISD-P安全域的删除等；ES3、ES4、ES5、ES6、ES8接口：用于通过SM-DP进行配置文件数据的下载与安装，通过SM-DP或SM-SR进行配置文件数据的激活、注销、删除等；ES7接口：用于SM-SR切换等。

图3代表了支持远程管理的eUICC的卡片架构[5]。作为整个体系架构中重要角色之一的eUICC，其卡片架构与现网智能卡有很大区别。这是由于eUICC上可以装载多套配置文件数据，并支持远程管理，因而需要设计全新的卡片架构来保障运营商敏感数据的传输安全、存储安全与使用安全。

图3 支持远程管理的eUICC结构

eUICC卡片架构中包括的主要功能实体如下。

1) eUICC操作系统：包含最基本的平台特性，并支持GPCS[6]中定义的特性。

2) Profile：可以使用GPCS中定义的概念和信息模型扩展而成，被包含在eUICC上的安全域内，借助安全域机制激活和去激活。

3) 安全域ECASD(eUICC Certificate Authority Security Domain)：eUICC 认证授权安全域。

4) 安全域ISD-R(ISD-Root)：根安全域。

5) 安全域ISD-P(ISD-Profile)：配置文件数据安全域。

6) EID：嵌入式UICC卡标识，该唯一标识符也应存在于GP安全域中，可以使用ECASD的GP标识符作为EID来唯一标识eUICC。

7) 平台服务管理(Platform Service Manager)：是一种提供平台管理功能和策略实施机制的操作系统服务。ISD-R或ISD-P根据策略规则来执行功能。另外可获得ISD-P通用信息(例如profile ID和状态)，这些信息可被授权实体按照需求分享。

8) Telecom framework：服务于操作系统，为ISD-P中的NAAs提供标准网络鉴权算法，此外还提供由已知参数配置算法的能力。

如上所述，借助GPCS的相关概念和信息模型的扩展，支持远程管理的eUICC上建立了多级安全域的安全架构来实现对运营商敏感数据的安全保护：ECASD、ISD-R、ISD-P和MNO-SD(运营商安全域)。通过为这些安全域附加不同属性，使eUICC在远程管理系统中代表不同的卡外实体。

安全域的功能为：安全存储密钥；通过安全通道协议访问卡外实体；应用程序下载机制；应用程序安全服务。ECASD需要在制卡时创建，它与卡片上的ISD-R相关联，不能被注销或删除，可以持有卡片私钥、相关的证书、公钥等，同时它应能创建ISD-R和ISD-P的密钥集。ISD-R在卡片上与SM-SR相对应，它同样需要在制卡时创建，也不能被注销或删除，提供卡片与SM-SR之间的数据安全传输保障，同时它能够创建ISD-P。ISD-P在卡片上与MNO或SM-DP相对应，ISD-P是相互隔离而独立的，其中可以包含运营商的文件系统、NAA及策略控制规则等个人化数据。MNO-SD在卡片上代表了MNO，可以提供MNO的安全业务保障。

如上所述，在GSMA标准体系中对涉及运营商自有流程部分不做具体规定。但在部署远程管理业务时，除了搭建好eUICC远程管理系统、研发对应的eUICC卡片、实现卡上接口功能外，SM-DP、SM-SR与运营商间的流程与接口的设计与实现也是整个体系中不可或缺的关键技术之一。具体来说，可能涉及到的运营商的网元或系统包括用于提供eUICC卡片数据的制卡系统，个人化数据管理系统，实现用户开户、业务/产品创建、计费的支撑系统，码号资源管理系统等，如何基于运营商的现网环境和现有流程，推动远程管理系统接入现网满足具体业务需求也是业务部署的关键所在。

3 业务应用探讨

由于eUICC固定在移动终端中不能随意更换，相比较普通可插拔的智能卡，eUICC的生命周期发生变化。传统的智能卡生命周期呈线性模型，包括发行、激活、使用、终止四个阶段。如图4所示，eUICC引入了灵活的生命周期管理模型，通过远程管理能够实现二次发行，及终端用户订阅关系的签转等，号码资源的分配、管理、激活、再发行都向新的管理模式演进。

当前，物联网用户已经对eUICC远程管理有着迫切的需求，许多物联网服务提供商对于eUICC卡的海量终端开卡、生产及销售等环节中签约关系变更、发行后卡片状态信息监控等都提出了需求。近年来，一些汽车厂商和消费量电子产品厂商纷纷提出对基于单一智能卡的全球覆盖的需求，需要通过eUICC远程管理实现用户签约管理关系在运营商网络间签转，从而为用户提供全球覆盖解决方案需求。总结不同行业不同用户的应用需求，可以将eUICC远程管理典型应用场景归纳如下：eUICC初始发行、设备远程激活、签约关系转换、设备间的码号迁移以及设备远程注销。

图4 UICC生命周期模型演进

eUICC初始发行，即在M2M新设备中预置号码以启用通信服务。具体业务应用如对常用测量仪表(水、电、煤气表)自动抄表模块、安防设备、车载通信模块、智能家居等通信服务中的首个预置号码的配置。这些行业领域的M2M设备商或服务提供商(如水表厂商、汽车厂商、空调厂商)通过预配置eUICC到新设备中，使大量的可连接M2M设备能够进行通信。用户从设备商购买这些新的M2M设备后，可以直接使用，也可以进一步选择运营商，通过设备远程激活签约关系使用自己选择的运营商的通信服务。

设备远程激活，即个人用户或企业用户从设备商或服务提供商处购买有预置码号的新设备后，用户可以在一段短时间内自由选择一家运营商来提供正式的通信服务。用户可以在运营商的营业点或者在线受理门户申请签约，运营商对该签约关系授权后，eUICC远程管理平台通过设备中的预置号码提供的通信服务下发正式号码的个人化数据，对设备进行正式签约关系的远程激活。除了个人用户，也可以由企业批量购买新设备后，通过企业与运营商签署一系列签约关系，对新设备进行批量的远程激活提供通信服务，企业员工也知道具体由哪家运营商提供通信服务。

签约关系转换，即改变用户的签约关系，从而该用户的设备停止当前号码转而启用新号码。可以由用户发起签约关系转换，也可以由企业发起对多个员工办公设备进行码号变更。根据实际情况，签约关系转换的场景可以分为以下两种。

1) 运营商内部签约关系转变，例如由于用户地点迁移产生的需求，或者由于运营商对物联网码号资源统一管理的需求，用户或运营商可以发起从A省的签约关系转换到B省的签约关系，通过eUICC远程管理平台对用户设备的远程配置，该用户设备将停止当前省分的通信服务转而启用新省分的号码。

2) 运营商之间签约关系转变，用户更换运营商合约，从而该用户设备停止当前运营商的通信服务转而启用新的运营商的号码。

设备间码号迁移，即用户的签约关系可以从设备A转移到设备B上，具体业务场景如设备发生故障或用户产生需求的变更时，通过远程管理平台将用户的签约关系从一个设备转移到另一个设备上。

设备远程注销，即对设备注销其码号和相关服务，该签约关系的终止可由用户发起申请或者由运营商强制执行， eUICC远程管理平台及运营商回收该个人化数据。典型的应用场景可以包括如下：1)对一个设备注销其码号和相关服务；2)终止与运营商的一个设备合约；3)终止由企业发起的对多个办公设备的与运营商的合约；4)终止运营商的服务以防止欺诈或网络故障。在没有实体干预的情况下，设备不允许与任何运营商通信。

在上述具体业务应用中，通过eUICC远程管理对eUICC卡片进行远程配置管理来实现。在实际应用中，由于具体商业模式(SM-SR平台归属、运营模式等)、远程管理平台部署架构(特别是运营商之间部署架构)以及M2M终端设备应用情况(用户迁移、需求变更等)引发的需求，远程管理平台之间可能需要切换对eUICC的远程管理。应用场景例如，M2M设备商从eUICC卡商购买卡片，卡片初始发行时注册在平台Y上；如果最终用户选择运营商A向提供通信服务，运营商A部署的是平台Z，则eUIICC的管理应由平台Y转移到平台Z。

对于eUICC远程管理业务，除了考虑上述不同场景下的技术需求之外，由于预见将会应用于不同行业的通信、多媒体及互联网应用等，而这些应用又会有很多不同的参与者，因此在具体部署应用时需要仔细考虑服务提供商、设备商、卡商、运营商与用户之间的复杂的商业模式，设计实现服务提供商、运营商与用户之间的灵活的合约模式尤为关键。

4 结束语

物联网被称为继计算机、互联网之后，世界信息产业的第三次浪潮，代表了下一代信息技术发展方向，也是运营商业务的重要增长点。智能卡作为物联网终端接入运营商网络的鉴权工具，以及承载各种应用、数据的安全载体，已经成为物联网发展的关键核心技术，而机卡一体化是物联网终端的重要存在形式。eUICC是为了更好地满足物联网应用对终端和卡的特殊要求以及移动终端向更高集成度的方向发展的需求而产生的。借助无处不在的移动通信网络，通过为传统个人移动终端之外的多种设备提供新的服务，使得GSMA提出的“Connected living”物联网构想能够成为可能。eUICC及其远程管理技术与应用的研究对于拓展业务空间、加快物联网业务的发展，优化资源、降低成本，构建可持续发展的物联网业务生态系统，以及助力互联互通推动物联网国际业务的发展都有至关重要的意义。

参考文献

[1]GSMA.Embedded SIM Task Force Requirements and Use Cases[S]

[2]ETSI TS103.383.Smart Cards: Embedded UICC Requirements Specification[S]

[3]ETSI TS 103 384.Smart Cards;Embedded UICC;Technical Specification[S]

[4]GSMA.Embedded SIM Remote Provisioning Architecture[S]

[5]GSMA.Remote Provisioning Architecture for Embedded UICC Technical Specification[S]

[6]Global Platform.GlobalPlatform Card Specification[S]