用户卡的发展变革

摘要：全球手机用户总数接近30亿，用户卡在其中扮演着举足轻重的角色。作为一类特殊的智能卡，用户卡现已集中了智能卡领域的多项先进技术，推动着技术和标准化的发展，丰富着移动用户的生活。随着多应用、非接触智能卡技术日趋成熟及用户卡性能的大幅提升，用户卡除了承载传统的电信应用外，还可以承载其它的非电信应用。本文介绍了用户卡的发展历程，探讨了用户卡技术的重要研究领域，并提出了完整的用户卡生命周期管理概念。

1  引言

据权威机构统计，2007年中国手机用户数量达到5.4亿，全球手机用户总数接近30亿，手机的迅速普及在很大程度上得益于用户卡技术的发展。在现代移动通信网络中，用户卡与手机共同构成了为客户提供通信业务和信息服务的用户终端。其中，用户卡除了保障用户通信安全外，还为用户提供数据存储和各类增值服务。

用户卡是一类特殊的智能卡，存有认证客户身份所需的所有信息。用户卡具备智能卡的几个基本特征：1）参与自动电子交易；2）提高系统安全性；3）不易伪造或复制；4）安全存储数据；5）支持一定的加密算法和安全功能。

在GSM环境中，用户卡通常只包含单一的电信应用——SIM（Subscriber Identity Module，用户识别模块）应用，因此简称为SIM卡。如今的用户卡不再只包含传统的电信业务，随着多应用、非接触智能卡技术的日趋成熟及用户卡性能的大幅提升，用户卡正逐渐改变着用户的使用习惯，极大程度上拓展了移动运营商的业务范畴。

用户卡之所以能迅速平稳地普及，一定程度上得益于标准化工作顺利出色的进展。目前同用户卡相关的标准化组织包括：1）ISO 7816 WG4、USB Forum、JavaCard Forum；2）ETSI SCP；3）3GPP、3GPP2、OMA等。

一张小小的用户卡，正在发挥着前所未有的作用，在不久的将来，用户卡将进入用户生活的方方面面，为用户提供方便、快捷、安全的各类应用服务。

2  移动通信应用

2.1 GSM网络

在GSM网络环境下，用户卡保存：1）移动运营商规定的网络应用参数（如语言选择、位置信息）；2）用户识别信息（如Ki、IMSI）；3）用户个人数据（如ADN、SMS、PIN、PUK）。用户鉴权登录GSM网络的过程参见图1。

图1 用户卡在GSM网络中的鉴权过程

1999年，ETSI引入了STK[1]（SIM Tool Kit，SIM开发包），应用驻留在用户卡上，通过标准接口调用手机提供的服务。

中国移动在用户卡发行中已经大量采用了STK技术，为用户卡提供了建立菜单、显示（输入）信息、发送短信、建立呼叫等能力。中国移动可以凭借STK功能在卡片中建立完善的菜单结构，让用户方便、快捷地获得服务，如查询天气、航班、股票信息等，也可以在应用中直接呼叫客服中心。用户使用STK应用时，可以在STK菜单的指引下逐级进行操作。由于这些STK应用是建立在用户卡上的，完全受中国移动控制，中国移动可以根据市场需求为用户提供更多的服务，从而增加语音通话之外的更多营业收入。

遗憾的是，STK应用的用户界面不够友好，提供的功能也相对有限。SCWS（Smart Card Web Server）技术使得用户卡更像是一个通用的计算机平台，用户可以借助手机内置的浏览器通过HTTP协议访问用户卡中的内容，势必会大幅提升用户感受。

2.2 UMTS网络

UMTS环境下的用户卡支持多应用，称为UICC卡（Universal Integrated Circuit Card，通用集成电路卡），其中用于3G网络鉴权的应用称为USIM应用，因此也简称为USIM卡。

为了实现GSM网络向UMTS网络的平滑过渡，在设计鉴权算法时仍然采用“挑战/应答”的方式。不同之处在于，网络向用户发送的“挑战数据”中包含一个鉴权令牌AUTN，用户可以根据收到的AUTN对网络进行鉴权，从而弥补了GSM网络单向鉴权的不足。另外，UMTS引入了运营商可控的密钥OP（Operator Parameter），并对用户卡和网络侧鉴权算法的强度进行了提升。

2.3 LTE网络

从用户卡的支持类型上，LTE采用USIM卡作为用户卡接入，出于安全考虑，SIM卡不可接入LTE网络。

从用户卡鉴权机制上，LTE的鉴权过程和UMTS中的鉴权过程类似，继承了UMTS中五元组鉴权机制的优点（实现了用户卡对网络的认证），并派生出较多层次的密钥（参见图2），分别实现各层的保密性和完整性保护，提高了通信中的安全性。

图2 LTE环境下的密钥层次关系

从底层网络的支持上，LTE的新特性也给USIM卡提出了更多新的需求——需要存储更多的数据，如对H(e)NB白列表的支持、新的全球唯一临时标识GUTI的支持、上次访问和注册过的TAI的支持等。

从对上层应用的支持上，由于带宽和移动性的提高，更多的应用会应用于LTE环境中。因此，LTE对USIM卡的需求也不仅仅局限于鉴权功能上，同时也包括对多应用的支持，以便为上层业务提供更多的平台服务。

3  多应用卡平台及操作系统

3.1 多应用用户卡面临的机遇与挑战

目前用户卡主要承载传统的电信应用，但随着多应用智能卡技术的日趋成熟，用户卡还可承载其它的非电信应用，例如：公交应用、金融应用、社保应用、医疗应用等。通过普及多应用卡，既能方便普通客户的生活，也能大力拓展中国移动的业务范畴。

但是，随着用户卡承载应用的增多，对用户卡管理的难度也随之增大。目前，通常借助读卡器对用户卡上的应用进行管理，在将用户卡发放给客户之前，根据客户的需要，在用户卡中内置与客户需要开通应用相关的数据，并对这些数据进行初始化。当需要激活一个新的应用，或对已有业务进行暂停、取消暂停或终止操作时，需要将用户卡插入只有代理商持有的读卡器中，才能对其进行相关应用的管理。

由此可见，当客户领取用户卡后，网络侧无法对用户卡上的应用进行动态的管理，也不能对用户卡上的应用状态进行实时监控，这可能引起对用户卡上应用失控的问题。另外，当用户需要激活、暂停、取消暂停或终止相关应用时，需要去相关代理点进行相关业务的办理，这也给用户的操作带来很大的不便。Java卡技术、CMS²AC框架和各类多应用操作系统的出现，正在逐步改善多应用用户卡的使用环境。

3.2 Java卡技术

3.2.1 发展历史

1996年，Schlumberger公司向世人展示了第一个具备Java字节码解释器功能的COS（Chip Operating System，芯片操作系统）。虽然该版本COS只提供有限的方法和功能，但却揭开了Java卡快速发展的序幕。同期，Visa公司同Integrity Arts公司开始协作开发一款开放式COS。

不久，Sun公司收购了Integrity Arts公司，并起草了JavaCard API v1.0规范。Gemplus和Schlumberger公司联合其它的智能卡公司共同成立了JavaCard Forum（http://www.javacardforum.org），并于1997年底发布了JavaCard API v2.0规范。JavaCard API规范后续又经历了几个版本的修订，2008年3月，JavaCard API v3.0规范正式发布。

3.2.2 Java卡

Java是一种解释性语言，目标是“一次写成，随处运行”（Write Once，use anywhere）。Java卡受到自身能力的限制，对Java语言进行了裁剪，只实现了全部功能的一个子集。Java卡架构参见图3。

图3 Java卡架构

Java卡程序以Java Applet形式出现，Applet调用卡上的Java类库（通常保存在ROM中）。用户自定义的类库通常加载到E²PROM中。Java卡虚拟机运行在各类硬件环境上，了解运行Java字节码所需的所有资源信息，屏蔽了不同硬件平台的差异。

Java卡的诞生使虚拟机技术得以应用到用户卡中，从而打破了传统用户卡封闭开发的模式。Java卡支持在同一张用户卡上放置几个不同的应用程序，而且各个程序间相互独立，以“防火墙”相隔离。另外，在发卡前、发卡时和发卡后都可以安全、动态地下载应用程序，包括修改、删除和增加。

3.3 CMS²AC

CMS²AC是中国/通用移动安全、多空间/应用卡（China/Common Mobile Secure multi-Space & Application Card）规范的简称，CMS²AC的提出，同时解决了业务需求（其它行业应用同传统电信应用的融合）和技术需求（提供应用隔离和安全下载服务）。

3.3.1 卡片架构

如图4所示，CMS²AC卡架构包括：运行时环境、可信任框架、安全域、API和应用。

3.3.2 生命周期模型

CMS²AC中用户卡的生命周期分为5个状态（各状态的变迁情况参见图5）：

1）OP_READY：表明运行时环境已经准备就绪，发卡方安全域作为当前选定应用可以接收、执行和响应APDU命令。

2）INITIALIZED：管理卡生产的状态，从OP_READY状态到INITIALIZED状态的变迁过程不可逆。

图4 CMS²AC卡片架构

3）SECURED：作用于发卡后，可以执行同发卡后卡行为相关的发卡方安全策略，例如应用加载、安装和激活。从INITIALIZED状态到SECURED状态的变迁过程不可逆。

4）CARD_LOCKED：允许发卡方禁用安全域和应用的功能。从SECURED状态到CARD_LOCKED状态的变迁过程可逆。

5）TERMINATED：标明卡片及卡生命周期的结束。从其它状态到TERMINATED状态的变迁过程均是不可逆的。当卡片处于TERMINATED状态时，所有的APDU指令都将路由到发卡方安全域，发卡方安全域只对GET DATA命令作出响应。

图5 卡片生命周期各状态间的变迁关系

3.3.3 卡管理器

作为卡片的集中管理组件，卡管理器承担多项职责，卡管理器可以视为CMS²AC环境或发卡方安全域。

3.3.4 安全域

发卡方、应用提供方和控制机构均可在卡上定义各自的安全域，分别对应主安全域（ISD，Issuer Security Domain）、辅助安全域（SSD，Supplementary Security Domain）和控制机构安全域。其中，控制机构安全域对卡上加载的所有应用代码强制执行安全策略。

各类安全域均支持安全服务，如密钥管理、加密、解密、生成数字签名和验证安全域所有者。安全域属于特殊的应用，因此具有应用属性，如应用AID、应用权限和生命周期状态（ISD继承卡片的生命周期状态）。每个安全域需要实现一个安全信道协议（参见3.3.5节），定义安全域所有者和卡片通信时的安全策略。

安全域为应用提供访问安全域服务的接口，定义好的外部APDU接口确保所有安全域的表现一致，因此可以通过同一个卡外管理系统来统一管理所有的安全域。当发卡方、应用提供方和控制机构这些卡外实体要求使用独立密钥时，需要为其建立单独的安全域。

3.3.5 安全通信协议

CMS²AC提供下述与报文相关的安全服务：

1）实体鉴权：卡片或卡外实体通过密码交换的方式向其它实体提供自身的鉴权；

2）完整性及鉴权：接收实体（卡片或卡外实体）确保来自发送实体（卡外实体或卡片）的数据的确来自一个鉴权实体，而且数据的顺序和内容没有被改动；

3）机密性：从发送实体（卡外实体或卡片）发往接收实体（卡片或卡外实体）的数据不会被非授权实体看到。

3.4 Multos

Multos由Mondex International公司最先发起，是一种支持EMV、身份证与其它多种应用的COS。目前，Multos是一个开放标准，由Multos联盟（成员涉及的领域包括：智能卡生产、芯片制造、支付卡方案设计、芯片数据准备、卡片管理、个人化系统及智能卡解决方案）负责维护和开发。

Multos的设计目标包括：1）提供高安全级别平台；2）提供平台无关的编程语言和应用架构；3）卡上各应用以安全可控的方式共享卡片内存和数据；4）卡片发行后可以下载新的应用，同时阻止非授权应用的下载。Multos卡的架构参见图6。

图6 Multos卡架构

3.5 其它技术

IBM公司在20世纪90年代初开发了一款多应用卡（MFC，Multi-Function Card），后续又不断增加其安全特性和新功能。IBM MFC最突出的特点在于：在卡片发行后，仍然可以利用脚本协议更新或下载E²PROM中的应用程序。IBM公司1999年后不再提供智能卡，并将MFC技术授权给几家卡供应商。

Wolfgang Salge和ZeitControl Cardsystems公司于1996年首次提出BasicCard的概念。允许开发者利用ZeitControl Basic语言开发应用并下载到BasicCard上。卡片的ROM区域保存有Basic解释器，可以方便程序的执行。BasicCard利用了Basic语言的易学性，并对APDU指令进行封装。

位于西班牙的SERMEPA公司于1994年开发了“TIBC”操作系统，用于运行Visa Cash电子钱包产品。TIBC现在更名为Advantis，用于支持EMV和CEPS电子钱包。

操作系统巨人微软公司在1999年正式宣布进军智能卡领域，推出了WfSC（Windows for Smart Cards，智能卡视窗系统）。但是，WfSC并没有达到预期的效果。于是，微软在2004年再次推出了全新的.NET卡平台，该平台两个突出的特点是：1）灵活的客户端-服务器关系；2）认证。

4  接触与非接触物理特性并存

普通的非接触式智能卡将芯片和天线完全封装在卡片内部，与接触式卡相比，非接触卡具有很多优点：1）没有裸露的触点，可避免触点磨损；2）便于卡片印刷；3）操作方便、快捷；4）在一定范围内可以从任意角度实现卡片操作；5）提高了卡片和读卡器的使用寿命。

用户卡通常放置在手机内使用，无法像普通的接触式智能卡一样方便地取出使用。因此，支持非接触功能对用户卡就显得尤为重要。

提供非接触功能的用户卡可以极大丰富手机的使用场景，例如：1）公共交通系统，如公共汽车、市内轨道交通、出租车、轮渡等，甚至可能应用于长途车、铁路、飞机等领域；2）日常生活收费，如电话、电表、煤气表、水表、有限电视等；3）公用收费系统，如高速公路、路桥、码头、港口停泊、停车收费、娱乐场所等，特别是可以实现不停车（船）收费；4）金融、证券等交易领域，如银行、邮政、电信、证券交易、商场消费、自助加油等；5）出入口管理系统，如考勤管理、门禁系统等；6）访问控制系统，如贵重设备、密码设备的使用。

图7 非接触用户卡应用场景

4.1 射频接口

支持非接触功能的移动终端和非接触式读卡器间的接口遵从ISO 14443系列标准，供电和通信频率为13.56MHz。数据传输速率范围为106~847kbps（缺省速率为106kbps），这样的高速率接口使得通信时间短，满足非接触交易的要求。通常的操作距离为10cm左右。

ISO14443标准定义了两种信号接口：typeA和typeB。

typeA：发送100%ASK调制修正的Miller编码，传输速率为106kbps；接收副载波调制847.5kHz的Manchester编码。

typeB：发送10%ASK调制数位编码NRZ（不归零制），传输速率106kbps；接收副载波调制847.5kHz数位编码BPSK（二进制相位键控），传输速率为106kbps。

由此可见，typeA和typeB最主要的区别在于载波调制程度的不同以及二进制数据编码方法的不同。目前typeA和typeB孰优孰劣尚在争论中，typeA产品具有更高的市场占有率，typeB则在安全性、高速率和适应性方面有更好的前景，更适合于CPU卡。

4.2 机卡接口

4.2.1 SWP/HCI技术

SWP（Single Wire Protocol，单线协议）是由Gemalto公司提出的基于C6引脚的单线连接方案（参见图8），属于物理层协议。简单来说，就是用一根数据线沟通用户卡与NFC芯片，再通过NFC芯片与外部联接。这样，用户卡资源可以被充分利用，而且手机内部改动容易、硬件开发简单。

在SWP方案中，接口界面包括三根线：VCC(C1)、GND(C5)和SWP(C6)，其中SWP信号线上基于电压和负载调制原理实现了全双工通讯，这样可以实现用户卡在ISO 7816界面定义下同时支持7816和SWP两个接口，并预留了扩展第三个高速（USB）接口的引脚。

图8 SWP接口

支持SWP的用户卡必须同时支持ISO 7816和SWP两个协议栈，需要用户卡的COS是多任务操作系统，并且这两部分独立管理。在 SWP线上传输的是准数字信号，需要特定的接收和解调电路，信号的噪声容限稍低。SWP传输的波特率可以从106kbps最高上升至2Mbps。从 SWP的定义看，SWP方案同时满足ISO 7816、NFC和大容量高速接口，并且是全双工通讯，可以实现较高波特率。SWP系统地定义了从物理层、链路层到应用层的多层协议，并已成为ETSI标准（TS 102.613）。

HCI（Host Controller Interface，主机控制器接口）协议属于网络层协议，SWP/HCI协议栈的层次关系参见图9。

图9 SWP/HCI协议栈

HCI协议中定义了Host（主机）之间的接口，包含：1）不同主机通过在Gate（门）间建立Pipe（管道）来交换命令、响应和事件；2）定义了一套HCP（Host Controller Protocol，主机控制器协议）报文机制；3）定义了一套HCP路由机制，负责报文在不同主机间的传递，并且在必要的时候对报文进行分片处理。图10给出了用户卡和NFC芯片通过HCI协议进行信息交互的示意图。

图10 HCI协议

4.2.2 双界面技术

从严格意义上说，双界面卡应该是双接口卡（Dual Interface Card），同时在一张卡片上提供接触式和非接触两种与外界交互的接口方式。

双界面卡由芯片和天线构成，接触式和非接触式接口共用芯片内的E²PROM存储器、CPU、ROM和RAM等资源。

图11 握奇公司的SIMpass产品

图11是握奇公司推出的一款名为SIMpass的双界面用户卡。SIMpass卡属于典型的多功能卡：支持GSM，CDMA，3G，PBOC 2.0, Calypso等应用标准；支持ISO 7816, ISO 14443 Type A/B, MiFare等协议标准。

5  用户卡性能的飞跃

传统用户卡的内部芯片由CPU（微处理器）、ROM（程序存储器）、RAM（工作存储器）、E²PROM（数据存储器）和I/O(输入/输出）等器件组成（参见图12）。用户卡的物理特性、结构、尺寸及通讯协议都符合国际标准化组织专门为接触式IC卡制定的标准，包括ISO/IEC 7810、ISO/IEC 7816，GSM11.11和GSM11.14等标准。COS是用户卡的软件平台，COS的主要功能是控制用户卡和外界的信息交互，管理用户卡内部的存储器，接收并解释执行手机发给用户卡的命令。

随着用户卡技术的不断发展，卡片在容量、指令处理能力和接口速率等方面都在不断增强，提升了用户卡的整体性能。

图12 用户卡芯片结构

5.1 用户卡的容量显著增加

传统用户卡集成了几个KB的E²PROM及ROM作为非挥发性内存，仅支持数十条短信和数百个用户电话的存储。这远不能满足人们日益增长的信息储存要求。

中国移动定义容量超过64M的用户卡为海量用户卡，目前的海量用户卡可以集成MB级甚至GB级 容量的闪存。这样，除了以往的鉴权数据外，用户卡还能保存更多其它的内容。不仅支持数千个用户名片和短信的存储，还可以为非智能手机提供更多的功能，诸如 电子书阅读、电子词典、生活百科等功能。卡片内可预置开放式实时操作系统和自动运行的程序，可以在智能终端上实现电子商务等复杂功能。

虽然采用第三方支持的可移动存储卡（如MMC卡、SD卡） 可以廉价地扩展手机终端的存储能力，但从安全、可移植性等方面来说，具备微处理器的用户卡具有更大的优势。第一，安全保护。与可移动存储卡相比，配备微处 理器的用户卡可以进行认证与加密，具有不可比拟的优势。第二，可移植性优良。由于可移动存储卡有各种格式参数，因此容易受其制约；而把内容存储在用户卡中 就不存在这个问题。第三，使用用户卡便于移动通信运营商直接访问内容。使用可移动存储卡时，运营商无法直接访问。

5.2 用户卡的处理能力大大增强

最初的用户卡采用8位处理器，指令处理能力差，用户只能使用代码发出指令。如今，用户卡中的CPU已经由最初的8位发展为32位，用户卡的处理能力大大增强。可以实现图形菜单、游戏等，易于用户操作；可以提供各种尖端加密算法，提高卡片安全性能；结合空中下载，实现移动商务与移动增值服务。

第一，STK的应用，使用户操作变得极为轻松，只要在手机屏幕上直接使用相应的功能键就可以执行各种操作。

第二，计算能力的增强使得卡片可以支持信息的加密、备份等功能，提高了用户卡的安全性。

第三，在计算能力提升后，卡片可以提供尖端的加密及数字签名程序，确认用户身份的同时，还能防止用户信息的丢失，为商务操作提供了基础。基于用户卡中的应用软件，客户只要打开手机点击STK菜单，将有关账户、卡号、密码、交易金额等信息输入手机，即可完成各项交易或增值服务。

5.3 用户卡的传输速率大大提高

传统的用户卡仅支持ISO 7816接口，传输速率为9600bps；而现有的大容量用户卡不仅支持终端通过ISO 7816接口访问大容量存储器，并支持通过MMC接口访问大容量存储区，同时还可以转接到USB接口。

在使用MMC接口访问存储器时，其速度可达10Mbps。访问速度的提升不仅提高了用户与卡片之间的交互速度；而且提高了手机终端与网络之间的传输速度，减少了网络丢包、出错的概率。用户卡传输速率的提高为海量信息存储与查询、移动商务、移动增值服务提供了良好的保障。

目前，在一些手机终端，如：DOPOD  D805、BIRD E908、LENOVO  ET600-E上，可以实现MMC高速接口。同时，高速度的存储卡可以通过转接器接入USB口，可以作U盘使用，方便快捷。

6  用户卡安全

用户卡安全受到来自卡片自身性能的约束，包括功耗（依靠终端或读卡器供电）、内存限制等。针对用户卡的各类攻击，向用户卡安全提出了挑战。

6.1 攻击方式

针对用户卡的攻击方式，大致分为三类：

1）侵入式攻击（Invasive Attack）：这类攻击直接对芯片内部进行攻击，甚至修改芯片内的电路。侵入式攻击通常耗时较长，需要昂贵的设备加以配合。因此，攻击范围主要限定在芯片制造商或拥有强大科研能力的科研机构。

2. 半侵入式攻击（Semi-Invasive Attack）：这类攻击也是针对芯片内部展开，但是不会对芯片进行修改。

3. 非侵入式攻击（Non-Invasive Attack）：这类攻击不会破坏卡体或芯片，一般通过观测管脚信号或借助其它可能的漏洞。

6.2 安全算法

用户卡内通常预置的安全算法包括：DES、3DES、AES及RSA算法。表1列出了对这4种算法的简单对比情况。

6.3 安全特性

用户卡下述的几个特点，同安全密切相关：

1）外部通信：接触式用户卡通常利用5个管脚，根据ISO/IEC 7816标准同外部设备通信。其中，I/O管脚负责数据信息的传递；

2）安全协处理器：为了提高用户卡的性能，往往采用协处理器完成安全运算功能，例如RSA计算；

3）随机数生成器：负责卡片中随机数的生成；

4）芯片特征：攻击者可以通过一定的技术手段移除芯片的保护层，直接查看芯片的内部结构。

6.4 用户卡克隆

在GSM网络中，用户卡和网络侧配合完成鉴权来防止未经授权的接入，从而保护运营商和合法用户双方的权益。

GSM网络通过A3算法运算获得鉴权验证值，通过A8算法运算获得会话密钥。实现A3/A8的算法可以有多种，例如COMP128-1/2/3、IDEA、AES或运营商自主专用算法等。目前，很多运营商使用了COMP128-1算法。但是COMP128-1算法具有“碰撞”的先天安全缺陷。所谓“碰撞”，就是对于两个不同的明文输入，经过密码算法的密码运算后却得到了相同的输出。用户卡克隆就是利用COMP128-1算法的漏洞，实现了对用户卡的克隆。

目前，少数运营商在用户卡上采用一些了一些安全机制来防止COMP128-1算法被破解，例如：采用增强型Ki解决方案、索引随机数方案。部分运营商已经升级到COMP128-2或COMP128-3算法；部分运营商采用自主算法，例如Vodafone公司。

这 些措施的采用，在一定程度上遏制了用户卡克隆带来的不良影响，但是随着用户卡克隆技术的发展和硬件计算能力的提高，用户卡克隆现象还不时影响着运营商和合 法用户的权益。要从根本上杜绝用户卡克隆现象，除了提高算法本身的强度外，还需加强用户卡的管理，例如：加强卡分销渠道管理，规范空白卡市场，严格控制写 卡过程，研究诊断向用户发放用户卡过程中的法律问题，完善用户卡发放流程与管理机制（如有效期、所有权、损坏责任等）。

7  用户卡生命周期管理

7.1 用户卡生命周期

ISO 10202-1标准将智能卡的生命周期划分为5个阶段（各阶段的变迁流程参见图13）：

图13 用户卡生命周期

第1阶段（芯片和卡片生产阶段）：此阶段包含卡片芯片设计、卡片操作系统设计、卡体的生产和将芯片镶嵌于卡体中。

第2阶段（卡片准备阶段）：将卡片操作系统加载到芯片中。

第3阶段（应用准备阶段）：规划卡片上的应用程序，初始化应用的个人化数据。

第4阶段（卡片使用阶段）：开始使用卡片（启用某应用程序或锁定某应用程序）。

第5阶段（终止卡阶段）：锁定卡片所有应用程序，锁定卡片。

在图13中，根据用户卡的特点，增加了卡片检测环节，该环节贯穿于用户卡生命周期的各个阶段。

7.2 用户卡生命周期管理平台

一个完整的用户卡生命周期管理平台，应能涵盖用户卡生命周期的各个阶段。如图14所示，包括：1）用户卡数据生成管理系统（简称卡管系统）；2）用户卡检测环境；3）全网OTA系统。

图14 用户卡生命周期管理平台

7.2.1 卡管系统

卡管系统统一生成用户卡数据，规划卡数据的传送环节。通过设计自动化数据匹配和发放功能，可以解决人工分发非实时性的问题。

卡管系统提供远程写卡、空中写卡（包括接触式和非接触式）功能，使卡的生产环节和码号资源申请、分配环节合理分离，实现码号资源的动态、实时利用。

7.2.2 OTA系统

全网OTA系统是一个分级架构，可以实现多应用（CMS²AC）宽带下载：

1）研究用户卡存储空间、数据及运算等能力的统筹利用、分配等策略。

2）实现宽带下载需求，支持多应用间的安全访问控制，传递良好的用户感受。

3）实现全网业务OTA、支持业务漫游、省际传递OTA信息。

7.2.3 用户卡检测

整个测试体系可以划分为基础类测试和业务类测试：

1）基础类测试

-          认证及基础能力检测；

-          适用于有限公司实施的专业检测，要求采用专用设备，检测项目齐全，对检测条件要求严格；

-          对应于中国移动业务卡质量控制的“分级检测体系”的一级测试；

-          测试项目包括：电气物理性能测试、基本电信功能测试、STK/USAT功能测试、SIM卡芯片及COS版本测试和SIM卡空间测试。

2）业务类测试

-          全网业务认证测试；

-          适用于中国移动定制的新业务要求的实现测试，要求充分测试机卡兼容性，并进而对终端的兼容性提出评级要求；

-          测试项目包括：OTA支撑功能测试、应用及菜单测试和机卡兼容性测试。

8  总结

自第一张用户卡面世以来，短短十几年时间里，移动通信业取得了巨大的成绩。在传统电信领域，用户卡的发展经历了1G、2G、3G时代。多应用及非接触功能的丰富，以及用户卡本身容量、性能的提升，促使了用户卡迈向新的领域。

用户卡快速发展的背后，也存在一些隐患，如安全问题、配套平台的建设问题，这都为用户卡未来的发展提出了新的挑战。

 

---

[1] 也称为SAT（SIM Application Toolkit），或统称为CAT（Card Application Toolkit）。