隨著移動通信技術 3G 時代的到來，三大電信運營商相繼推出了全新的3G 業務，其中 增值業務將取代語音業務成為電信運營商的主要收入。但如何利用3G 網絡優勢采用與2G 時代不同的市場推銷手段，三大電信運營商不約而同地采用了多媒體技術作為主要推介手 段，確保用戶獲悉并使用3G 新業務。

　　圖形化界面 SIM 卡不同于原來的僅借用SMS 短信技術[1]，而是使用戶可以通過手機上 的瀏覽器，訪問儲存在SIM 卡上的數據信息，發現并選擇運營商的數據業務；同時運營商 可以利用后臺服務器，及時更新數據業務，也可將用戶群體細分，達到個性化業務推介和體 驗。圖形化界面SIM 卡采用SCWS（Smart Card Web Server，智能卡網絡服務器）技術，將 Internet、移動網絡、移動服務器平臺結合起來，依靠3G 網絡的數據傳輸速度，將各類應用 放在SIM 卡中，用戶只需更換手機的SIM 卡達到使用這些應用的目的，使運營商掌握新增 值業務推介的主動權。 本文介紹基于 SCWS 技術的圖形化界面SIM 卡的系統應用環境、接口技術、安全協議。

　　2 圖形化界面卡

　　早期的手機SIM 卡主要作為個人的身份認證與識別信息的載體，隨著芯片技術的快速 發展和移動技術的發展，手機SIM 卡已日益成為增值業務、電子商務等移動業務的載體， 目前運營商在現有的SIM 卡中，已經置入了品牌服務、超級號碼本、地圖、目錄等本地服 務，也采用短信方式對其進行更新，但其可視性及速度不盡人意。

　　圖形化界面 SIM 卡使得用戶利用手機上的瀏覽器，以圖形方式瀏覽預儲存在圖形化界 面SIM 卡中的音樂、鈴聲、視頻等，在離線媒體庫中試用感興趣的數據業務，引導用戶選 擇并購買該項業務；運營商在閑時可以根據業務推廣情況，細分用戶群，及時更新圖形化界 面SIM 卡中的離線媒體庫，確保運營商快速推廣新業務、提高數字服務的收入。

　　3 系統應用環境

　　圖形化界面 SIM 卡系統應用環境[2]如圖1 所示。

　　1) 遠端管理服務器：該服務器是定位于 SCWS 的OTA（Over-The-Air 空中下載）服 務器，用來實現SIM 卡上內容的及時更新、管理、統計等；

　　2) 支持 SCWS 的手機終端：用于手機終端與SIM 卡間的通信，實現手機終端對卡片 的內容訪問，符合OMA-Smart_Card_Web_Server-V1_0-20080421-A [2]規范中的 SCWS Gateway（SCWS 門戶）軟件的所有必須功能要求；同時符合該規范要求， 對外提供一個3516(HTTP)，4116(HTTPS)端口，并代理SCWS 卡作為HTTP-server 的服務；

　　3) 圖形化界面 SIM 卡：預置由開放移動聯盟（OMA）定義的SCWS 應用，該應用定 位于SIM 卡端的HTTP/1.1 的WEB 服務器，向手機終端HTTP 客戶端軟件提供靜 態（xHTML 和相關文件）和動態（由servlets 生成）的數據信息，實現了手機終 端與圖形化界面SIM 卡的通信，實現了邏輯分離而不必依賴于目前基于電信的通 信；同時允許開放移動聯盟（OMA）定義的完全管理協議（Full Admin Protocol） 來管理圖形化界面SIM 卡的內容。

　　圖 1 SCWS 應用環境

　　SCWS 工作模式有兩類，即服務器模式和客戶端模式：

　　1) 服務器端模式：當終端瀏覽器對圖形化界面SIM 卡作本地瀏覽時，SCWS 處于BIP （Bearer Independent Protocol，承載無關協議）服務器模式；通過BIP 協議，手機 終端允許圖形化界面SIM 卡和遠程服務器之間進行透明的數據傳輸，更有利于實 現高速移動數據業務的傳輸。此時，SCWS 為手機瀏覽器提供靜態（xHTML 和相 關文件）和動態（由Servlets 生成）的內容。Servlet 是一個標準Java 卡小應用 （JavaCard Applet），它允許圖形化界面SIM 卡提供使用追蹤、廣告橫幅管理、動 態頁面生成等服務；

　　2) 客戶端模式：運營商/服務提供商通過遠程服務器對圖形化界面SIM 卡進行更新時， SCWS 處于BIP 客戶端模式。此時，移動運營商可以定期更新SIM 卡的本地化內 容。手機終端用戶也可以主動向服務器發起更新請求，從服務器上獲取數據，此時SCWS 同樣也工作在客戶端模式。

　　4 系統通信接口

　　在本系統應用環境中有兩種通信：圖形化界面 SIM 卡與遠端管理服務器；圖形化界面 SIM 卡與手機終端[3]。

　　4.1 圖形化界面SIM 卡與遠端管理服務器的通信接口

　　即 SCWS 與遠端管理服務器的通信接口，用來實現管理SCWS 內容，或更新SCWS 的 配置。使用HTTP 協議或BIP 客戶端模式，遵循OMA 定義的完全管理協議（Full Admin Protocol）來打開SCWS 和遠端管理服務器間的通道，也可使用HTTPs 定義的安全通道。

　　4.2 圖形化界面SIM 卡與手機終端的通信接口

　　即 SCWS 與手機終端的通信接口，用來實現手機終端瀏覽器對圖形化界面SIM 卡作本 地瀏覽。使用HTTP 協議或BIP 服務器端模式。

　　SCWS 與手機終端的接口運行在一個邏輯獨立的通信通道上，該通道獨立于電信通道， 使手機應用程序可與智能卡內運營商部署的SCWS 通信。

　　SCWS 與手機終端使用HTTP 協議通信。手機終端瀏覽器不需要任*增功能來呈現 SCWS 內容。手機終端上的應用程序可以通過IP 地址連接SCWS。SCWS 采用開放式體系 結構，允許選用多種“智能卡-手機”協議作為傳輸HTTP 請求與應答的本地承載。SCWS 響應來自手機終端內置的HTTP 應用程序（如，瀏覽器）的HTTP 請求。

　　手機終端通過內置的網關訪問SCWS，該網關將TCP/IP 協議轉化為手機終端和智能卡 間的本地傳輸協議，HTTP 的請求與應答是通過手機終端與智能卡間的本地傳輸協議直接送 至SCWS。由終端內部傳遞給SCWS 的本地訪問URL 被分配了兩個TCP 端口：HTTP 端口 3516 和HTTP 端口4116。

　　SCWS 與移動手機HTTP 應用通信使用兩種協議：BIP 服務器模式；TCP/IP 傳輸協議。

　　1) BIP 服務器模式 如果智能卡沒有自己的 IP 地址并且不直接支持TCP/IP 協議，終端內的BIP 網關可被用 作協議轉換器。TCP/IP 協議用于實現終端內的HTTP 應用程序與BIP 網關間的通信；BIP 協議用于BIP 網關和智能卡間的通信。

　　移動手機中的 HTTP 應用程序（如，瀏覽器）將回送的IP 地址用作BIP 網關尋址。BIP 網關*SCWS，必須打開兩個端口：為來自手機的HTTP 應用程序的HTTP 請求打開端口； 為HTTP over TLS（HTTPs）請求打開端口。 當一個手機中的HTTP應用程序經BIP 網關連接到SCWS并開始進行數據交換時，SCWS 可以打開另外的BIP 通道（使用Open Channel 命令），以允許手機中其他HTTP 應用程序連 接到SCWS，實現多個應用程序的同時連接。

　　2) TCP/IP 傳輸協議 如果智能卡擁有自己的 IP 地址并直接支持TCP/IP，而且手機終端支持來自智能卡的直 接IP 訪問，TCP/IP 則被視作手機上HTTP 應用程序和卡上SCWS 間通信的首選協議。

　　有一組預先設置的端口：用于 HTTP 通信的80 端口和用于HTTPS 通信的443 端口是 默認端口。這種情況下終端中的HTTP 應用程序可以不依賴手機內置BIP 網關而直接與 SCWS 通信。因此，SCWS 將*默認端口和安全端口，以響應來自手機的HTTP 請求和 HTTP over TLS 請求。

　　5 安全協議

　　為保證傳輸的安全性，采用傳輸層安全TLS（Transport Layer Security）為通信的雙方提 供一種安全可靠的傳輸機制，以保證傳輸的私密性和完整性，也可根據要求采用單向或雙向 認證。TLS 工作于客戶端-服務器方式，其中發起認證的一端稱為客戶端，響應的一端稱為服務器。大多數情況下，TLS 客戶端使用公共密鑰證書方式來認證服務器，而雙向認證可以 使用公共密鑰證書方式，或者是預共享密鑰PSK-TLS 方式。

　　SCWS 作為本地的HTTPS 服務器時，必須能夠采用公共密鑰實現HTTP over TLS，也可以采用PSK-TLS 實現HTTP over TLS。

　　1) 采用 PSK-TLS 方式的HTTP over TLS

　　在SCWS 和已連接的主機（如遠程管理服務器）間共享一個對稱密鑰時，采用PSK-TLS。

　　SCWS 必須支持下列加密算法：

　　TLS_PSK_WITH_3DES_EDE_CBC_SHA [PSK-TLS]

　　TLS_PSK_WITH_AES_128_CBC_SHA [PSK-TLS]

　　2) 公共密鑰對和設備證書

　　SCWS 應該能使用一個公共鑰密鑰對，并把它們保存在安全的區域，這些密鑰只能用于 TLS 的實現或卡應用的驗證，這是由卡發行者的內部安全策略決定的。SCWS 也應該為公共 密鑰嵌入一個設備證書，該設備證書由卡發行者提供并由權威發行者簽署。

　　公共密鑰對和設 備證書應該用于服務器在TLS 上的認證（如TLS 二級認證）。 如果 SCWS 采用公共密鑰對和設備證書，則必須支持下列所有的加密算法：

　　TLS_RSA_WITH_3DES_EDE_CBC_SHA

　　TLS_RSA_WITH_AES_128_CBC_SHA

　　SCWS 必須支持采用TLS1.0 的服務器認證，并且應該能采用WAP profiled X.509 服務器證書[WAPCert]。

　　3) 支持 TLS 擴展

　　由于容量限制或者帶寬限制， SCWS 必須確定一個較小的最大片段長度，擴展允許使用以下定義的片段長度（默認值是2^14）：

　　2^9(1), 2^10(2), 2^11(3), 2^12(4), (255)

　　卡管理代理可以使用[RFC3546]定義協商的最大片段長度，管理服務器需要支持 [RFC3546]定義協商的最大片段長度，連接到SCWS 的HTTP 客戶端可以使用[RFC3546]定 義協商的最大片段長度，SCWS 需要支持[RFC3546]定義協商的最大片段長度，也可以支持 最小到512byte 的最大片段長度。如果客戶端沒有協商定義，SCWS 需要接受預先定義的16K 作為TLS 片段長度。

　　4) 會話恢復

　　SCWS 應該支持TLS 定義的會話恢復，能夠使用更長的會話周期（如12 小時）。會話 恢復流程應該遵守TLS1.0 中的相關定義。

　　6 總結

　　圖形化界面 SIM 卡技術的使用突破了以往SIM 卡只能支持SMS 短信類業務的局限， 將圖形界面引入到SIM 卡中，支持GPRS、EDGE、UMTS 類數據網絡業務的推廣，使用戶 不必連接網絡，即使在網絡無法覆蓋的區域也可使用，并且不產生任何費用；同時運營商可 按需定制SIM 卡，及時更新智能卡網絡服務器SCWS 內容，可跟蹤、統計用戶的使用行為， 定期發送到服務器統計分析，以實時調整業務推廣策略，為運營商創造了展示最佳服務和解 決方案的可控平臺，助推3G 業務的快速發展。