中國聯(lián)通WCDMA USIM卡Java OTA平臺技術(shù)規(guī)范

中國聯(lián)通公司企業(yè)標(biāo)準(zhǔn)QB/CUXX—2008中國聯(lián)通WCDMAUSIM卡

JavaOTA平臺技術(shù)規(guī)范(V1.0)義義義義-義義-義義發(fā)布義義義義-義義-義義實施中國聯(lián)通公司TOC\o"1-5"\h\z前言III范圍4規(guī)范性引用文件4縮略語4業(yè)務(wù)概述與系統(tǒng)結(jié)構(gòu)5業(yè)務(wù)概念5業(yè)務(wù)范圍5業(yè)務(wù)架構(gòu)5系統(tǒng)架構(gòu)5網(wǎng)絡(luò)結(jié)構(gòu)圖5JavaOTA平臺功能6數(shù)據(jù)加載6卡片管理7應(yīng)用管理7應(yīng)用下載7應(yīng)用鎖定/解鎖8應(yīng)用刪除8應(yīng)用狀態(tài)查詢8密鑰管理8并發(fā)處理8重發(fā)處理8業(yè)務(wù)流程8通道控制8應(yīng)用下載9應(yīng)用刪除10應(yīng)用鎖定11應(yīng)用解鎖11應(yīng)用狀態(tài)查詢12接口要求13安全數(shù)據(jù)13命令安全頭13SPI14KIC14KID15響應(yīng)安全頭15狀態(tài)字16計數(shù)器管理16BIP管理命令16申請建立BIP通道16申請建立CAT_TP通道17命令編碼17數(shù)據(jù)參數(shù)17用于打開BIP通道的數(shù)據(jù)參數(shù)17用于打開CAT_TP通道的數(shù)據(jù)參數(shù)17CAT_TP通道的關(guān)閉18BIP通道的關(guān)閉18應(yīng)用管理命令18DELETE18SETSTATUS19INSTALL19LOAD20PUTKEY20卡片資源管理命令21GETSTATUS21GETDATA22系統(tǒng)管理23性能管理23故障管理23安全管理23配置管理24業(yè)務(wù)層管理24設(shè)備要求24USIM卡24移動臺24JavaOTA平臺24硬件要求24硬件設(shè)備總體要求24存儲設(shè)備要求25環(huán)境要求25電源要求25接地要求25軟件要求25系統(tǒng)性能要求26本標(biāo)準(zhǔn)是中國聯(lián)通WCDMAUSIM卡JavaOTA平臺系列技術(shù)規(guī)范之一。該系列標(biāo)準(zhǔn)的名稱及結(jié)構(gòu)如下:本標(biāo)準(zhǔn)由中國聯(lián)通提出本標(biāo)準(zhǔn)由中國聯(lián)通技術(shù)部歸口。本標(biāo)準(zhǔn)主要起草單位：本標(biāo)準(zhǔn)主要起草人：本標(biāo)準(zhǔn)的修改和解釋權(quán)屬中國聯(lián)通公司。中國聯(lián)通WCDMAUSIM卡JavaOTA平臺技術(shù)規(guī)范范圍本規(guī)范主要定義中國聯(lián)通WCDMAUSIM卡JavaOTA平臺技術(shù)規(guī)范。本規(guī)范結(jié)合聯(lián)通移動網(wǎng)絡(luò)的發(fā)展情況和業(yè)務(wù)需要，規(guī)定YUSIM卡的JavaOTA業(yè)務(wù)，其中包括業(yè)務(wù)概述及業(yè)務(wù)架構(gòu)、卡片管理、應(yīng)用管理、密鑰管理、業(yè)務(wù)流程、系統(tǒng)設(shè)備性能等要求，是中國聯(lián)通WCDMAUSIM卡JavaOTA平臺建設(shè)和維護(hù)的重要依據(jù)。規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。.中國聯(lián)通Java卡互操作性技術(shù)要求(V1.0).中國聯(lián)通Java卡互操作性測試規(guī)范(V1.0).中國聯(lián)通GSM/WCDMA數(shù)字蜂窩移動通信網(wǎng)UICC-終端(Cu)接口技術(shù)要求第一部分：UICC.中國聯(lián)通GSM/WCDMA數(shù)字蜂窩移動通信網(wǎng)UICC-終端(Cu)接口技術(shù)要求第二部分：應(yīng)用特性.中國聯(lián)通GSM/WCDMA數(shù)字蜂窩移動通信網(wǎng)UICC-終端(Cu)接口技術(shù)要求第三部分：USAT.ETSITS102.127,TransportProtocolforCATapplications.ETSITS102.221,SmartCards;UICC-Terminalinterface;Physicalandlogicalcharacteristics,Release6.ETSITS102.223,CardApplicationToolkit(CAT),Release7.ETSITS102.225SecuredpacketstructureforUICCbasedapplicationsV7.3.0.ETSITS102.226RemoteAPDUstructureforUICCbasedapplicationsV7.2.0.GlobalPlatformCardSpecificationv2.1.1縮略語WCDMAWidebandCodeDivisionMultipleAccessHTTPHyperTextTransferProtocolOTAOvertheAirBIPBearerIndependentProtocolCAT_TPTransportProtocolforCATapplications業(yè)務(wù)概述與系統(tǒng)結(jié)構(gòu)業(yè)務(wù)概念JavaOTA平臺主要用于向已發(fā)放到用戶手中的USIM卡進(jìn)行Java卡應(yīng)用程序的發(fā)行，同時實現(xiàn)對卡上應(yīng)用的生命周期管理。業(yè)務(wù)范圍中國聯(lián)通手機(jī)JavaOTA下載業(yè)務(wù)的用戶群是聯(lián)通WCDMA網(wǎng)的后付費和預(yù)付費用戶。業(yè)務(wù)架構(gòu)系統(tǒng)架構(gòu)JavaOTA平臺的系統(tǒng)架構(gòu)如圖一所示：圖一：JavaOTA平臺系統(tǒng)結(jié)構(gòu)圖網(wǎng)絡(luò)結(jié)構(gòu)圖JavaOTA平臺網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。圖二：JavaOTA平臺網(wǎng)絡(luò)結(jié)構(gòu)圖JavaOTA平臺通過可通過卡商數(shù)據(jù)管理系統(tǒng)以及運營支撐系統(tǒng)獲取卡片及用戶數(shù)據(jù)，完成對卡片進(jìn)行遠(yuǎn)程管理的數(shù)據(jù)準(zhǔn)備。應(yīng)用提供商系統(tǒng)與JavaOTA平臺相連接以提供供下載的Java卡應(yīng)用。JavaOTA平臺通過移動通信網(wǎng)絡(luò)的短消息網(wǎng)關(guān)、GPRS/PDSN網(wǎng)關(guān)與移動終端通信。JavaOTA平臺功能數(shù)據(jù)加載數(shù)據(jù)加載功能主要用于向JavaOTA平臺加載對卡片進(jìn)行應(yīng)用管理所必需的數(shù)據(jù)，這些數(shù)據(jù)包括卡片數(shù)據(jù)、用戶數(shù)據(jù)及應(yīng)用數(shù)據(jù)。>卡片數(shù)據(jù)：JavaOTA平臺應(yīng)提供接口給卡商或制定操作人員，用于上載已發(fā)行卡片的出廠屬性，屬性包括但不限于：卡片操作系統(tǒng)信息.卡片芯片信息卡上文件信息卡片密鑰信息已下載的應(yīng)用AID已下載的應(yīng)用的狀態(tài)（是否個人化）卡剩余空間（參考值）IMSI卡商代碼.Java版本號應(yīng)用權(quán)限標(biāo)識批次號用戶數(shù)據(jù)主要包括：用戶的MSISDN、IMSI數(shù)據(jù)應(yīng)用數(shù)據(jù)：平臺應(yīng)提供接口允許應(yīng)用開發(fā)商加載應(yīng)用下載文件，文件以CAP方式上傳。同時平臺應(yīng)允許應(yīng)用提供商提供應(yīng)用的安裝參數(shù)文件，用于配置應(yīng)用的下載參數(shù)。應(yīng)用屬性包括：.應(yīng)用安裝文件?應(yīng)用AID.應(yīng)用的類型.應(yīng)用的大小.應(yīng)用的下載參數(shù)平臺應(yīng)能夠存儲同一應(yīng)用的多個版本，并維護(hù)應(yīng)用與卡片的兼容關(guān)系，保證為卡片提供適當(dāng)版本的應(yīng)用進(jìn)行下載。卡片管理JavaOTA平臺應(yīng)具備卡片管理功能，負(fù)責(zé)卡片、卡片上應(yīng)用通信的安全管理，同時也負(fù)責(zé)管理用戶數(shù)據(jù)及卡片基本數(shù)據(jù)，并為應(yīng)用管理提供相應(yīng)支持?？ㄆ芾淼闹饕δ馨ǎ禾峁┯脩粜畔ⅲ嚎ㄆ芾矸?wù)器能夠根據(jù)給定的用戶標(biāo)識號（通常是用戶手機(jī)號碼），提供該用戶的主要相關(guān)信息。更新用戶信息：卡片管理服務(wù)器能夠根據(jù)對USIM卡的相應(yīng)操作，例如：安全域的創(chuàng)建、應(yīng)用的下載等，來更新它內(nèi)部存儲的用戶信息。提供卡片信息：根據(jù)指定的用戶及卡片標(biāo)識，卡片管理服務(wù)器能夠提供相應(yīng)的卡片信息。備份卡片內(nèi)容：卡片管理服務(wù)器會保留一份卡片內(nèi)容的備份信息，此備份信息的目的是為了使得系統(tǒng)管理人員可以在任何時候都能夠清楚地了解卡片的內(nèi)容及狀態(tài)?？ㄆ芷诠芾恚嚎ㄆ芾韺ㄆ恼麄€生命周期也可實現(xiàn)終身的管理，包括對卡片的鎖定及解鎖，并且記錄變更情況。操作權(quán)限控制：卡片管理服務(wù)器同時也控制所有對USIM卡的內(nèi)容變更操作（例如應(yīng)用下載和個人化操作等）?？ㄆ呐喂芾恚簩Ω鱾€批次的版本信息進(jìn)行管理，并且能夠?qū)ㄆ母鱾€模塊進(jìn)行升級和管理。應(yīng)用管理應(yīng)用管理主要負(fù)責(zé)應(yīng)用數(shù)據(jù)及用戶卡上應(yīng)用的管理：應(yīng)用生命周期管理：應(yīng)用管理服務(wù)器負(fù)責(zé)下載應(yīng)用到相應(yīng)的安全域，對應(yīng)用的整個生命周期也可實現(xiàn)終身的管理，其中包括啟用，禁用，暫停，刪除，修改，對應(yīng)用狀態(tài)進(jìn)行跟蹤，并控制應(yīng)用的狀態(tài)變化，保證應(yīng)用按照應(yīng)用提供者的要求運行于相應(yīng)的狀態(tài)。應(yīng)用供應(yīng)商管理：應(yīng)用服務(wù)器負(fù)責(zé)管理所有應(yīng)用供應(yīng)商的信息，要求各應(yīng)用代理商以安全的方式上載應(yīng)用，以保證應(yīng)用的合法性及安全性。應(yīng)用提供商反饋相關(guān)應(yīng)用的修改信息給發(fā)行商，并按照發(fā)行商的要求對應(yīng)用的狀態(tài)進(jìn)行修改。應(yīng)用狀態(tài)管理：對用戶的應(yīng)用狀態(tài)能夠進(jìn)行總體的記錄和管理，并且提供相關(guān)信息給應(yīng)用下載系統(tǒng)及相關(guān)系統(tǒng)。應(yīng)用下載應(yīng)用下載功能是JavaOTA平臺的主要功能，JavaOTA平臺通過相應(yīng)的下載指令將應(yīng)用安裝文件下載到用戶卡片上并完成相應(yīng)的安裝過程。應(yīng)用的安裝通過短消息或IP通道進(jìn)行。應(yīng)用鎖定/解鎖對于臨時需要進(jìn)行禁用的應(yīng)用，可以通過JavaOTA平臺對應(yīng)用進(jìn)行鎖定或解鎖操作。在應(yīng)用被鎖定后，終端用戶將被臨時禁止使用此應(yīng)用，但是相關(guān)的個人數(shù)據(jù)不會被刪除；在應(yīng)用被解鎖后，終端用戶可繼續(xù)使用此應(yīng)用。應(yīng)用刪除對于已經(jīng)失效的應(yīng)用，可以通過JavaOTA平臺從卡片上刪除應(yīng)用，釋放卡片空間以供其他應(yīng)用使用。在應(yīng)用刪除時，相關(guān)的個人化數(shù)據(jù)也會被刪除。應(yīng)用狀態(tài)查詢JavaOTA平臺可以遠(yuǎn)程查詢卡片上應(yīng)用的狀態(tài)，以確認(rèn)操作結(jié)果。5.4密鑰管理為保證遠(yuǎn)程操作的安全性，卡片需要對所有OTA操作進(jìn)行驗證。操作的驗證通過相應(yīng)的簽名數(shù)據(jù)來保證，因此JavaOTA平臺需要管理卡片上的密鑰信息，并根據(jù)這些密鑰的屬性在進(jìn)行遠(yuǎn)程OTA操作時生成相應(yīng)的簽名數(shù)據(jù)，對敏感數(shù)據(jù)進(jìn)行加密。密鑰管理系統(tǒng)具備以下主要的功能：>保證會話安全：密鑰管理系統(tǒng)可以為一個新創(chuàng)建的會話生成一個臨時的會話密鑰，以保證整個會話的安全性。數(shù)據(jù)加密：使用同一個會話密鑰對同一會話中的一系列命令數(shù)據(jù)進(jìn)行加密，保證數(shù)據(jù)能夠被安全地傳送到目標(biāo)用戶。數(shù)據(jù)解密：將從用戶卡片發(fā)回的響應(yīng)數(shù)據(jù)進(jìn)行解密。密鑰導(dǎo)入：密鑰管理系統(tǒng)允許第三方進(jìn)行密鑰的導(dǎo)入操作。當(dāng)新的卡片被提交給用戶后，如果這些卡片的密鑰不是通過對一個給定的主密鑰的分散操作后獲取的話。系統(tǒng)允許用戶直接為這些卡片導(dǎo)入一組全新的密鑰。密鑰生成算法密鑰長度16字節(jié)，主密鑰有5個，隨機(jī)選取一個主密鑰，分散因子為“00+ICCID后14位”，算法為PBOC。參照《中國聯(lián)通OTA卡技術(shù)規(guī)范第二部分》密鑰分散算法。密鑰存儲要求主密鑰存儲于加密機(jī)中，由加密機(jī)完成相關(guān)密鑰的算法。并發(fā)處理USIM卡和JavaOTA平臺要求只支持1個BIP通道。JavaOTA平臺在無確認(rèn)要求時，不對下行數(shù)據(jù)的并發(fā)做控制。在有確認(rèn)要求時，需要等接收到每條指令的確認(rèn)后時才下發(fā)后一條命令。重發(fā)處理對于應(yīng)用下載未成功的情況，JavaOTA平臺應(yīng)支持重發(fā)，重發(fā)的最大次數(shù)為3次。重發(fā)時下行計數(shù)器與之前的一致。6業(yè)務(wù)流程通道控制通道控制主要用于建立卡片與JavaOTA平臺之間的安全通道，可用的通道有三種：短消息BIP讀卡器在使用短消息及讀卡器實現(xiàn)平臺與卡片的通信時，無須進(jìn)行通道的初始化，由平臺直接將業(yè)務(wù)指令發(fā)送給卡片，卡片在執(zhí)行完指定操作后將操作結(jié)果以短信的方式返回給平臺。讀卡器采用標(biāo)準(zhǔn)的PCSC讀卡器。在使用BIP通道時，平臺在發(fā)送真正的業(yè)務(wù)指令之前必須進(jìn)行通道的初始化。通道的初始化指令由平臺發(fā)起并通過短消息進(jìn)行發(fā)送。BIP通道的初始化過程如下：圖三：通道控制流程JavaOTA平臺查找用戶卡片屬性確定用戶是否支持BIP通道；JavaOTA平臺生成BIP通道初始化指令:PUSH；JavaOTA平臺利用短消息將PUSH指令發(fā)送到卡片，并等待IP連接；4)卡片收到PUSH指令后，向手機(jī)發(fā)起與平臺建立連接的請求；5)手機(jī)發(fā)起GPRS連接到JavaOTA平臺；6)連接建立完成后，卡片發(fā)送卡片標(biāo)識號(ICCID)到平臺；7)JavaOTA平臺開始發(fā)送業(yè)務(wù)指令，進(jìn)入業(yè)務(wù)流程。6.2應(yīng)用下載JavaOTA平臺可以將一個新的應(yīng)用下載到卡片上并進(jìn)行安裝。根據(jù)網(wǎng)絡(luò)條件，應(yīng)用的下載可以選擇短信下載或基于TCP/IP連接的高速下載。

圖四：應(yīng)用下載流程用戶申請下載指定應(yīng)用；JavaOTA平臺查找用戶的卡片屬性；JavaOTA平臺根據(jù)用戶屬性查找與用戶卡片兼容的應(yīng)用下載文件；JavaOTA平臺根據(jù)用戶卡片屬性生成相應(yīng)的應(yīng)用下載指令；JavaOTA平臺向卡片發(fā)送下載指令；6)卡片完成安裝過程并將執(zhí)行結(jié)果返回給JavaOTA平臺；7)JavaOTA平臺更新卡片屬性。6.3應(yīng)用刪除在應(yīng)用的生命周期結(jié)束后，JavaOTA平臺可以刪除應(yīng)用并釋放空間供其他應(yīng)用使用。應(yīng)用的刪除同時會刪除與應(yīng)用相關(guān)的任何個人化信息。圖五：應(yīng)用刪除流程用戶申請刪除指定應(yīng)用；JavaOTA平臺查找用戶的卡片屬性；JavaOTA平臺根據(jù)用戶卡片屬性生成相應(yīng)的刪除指令；JavaOTA平臺向卡片發(fā)送刪除指令；5)卡片完成刪除過程并將執(zhí)行結(jié)果返回給JavaOTA平臺；JavaOTA平臺更新卡片屬性。應(yīng)用鎖定如果用戶希望暫時關(guān)閉應(yīng)用的交互功能，則僅需要修改應(yīng)用狀態(tài)即可達(dá)到目標(biāo)，此時用戶的個人信息仍然保留在卡片中，但是應(yīng)用已經(jīng)不能被選擇并對相應(yīng)的通信指令做出響應(yīng)。圖六：應(yīng)用鎖定流程用戶申請鎖定指定應(yīng)用；JavaOTA平臺查找用戶的卡片屬性；JavaOTA平臺根據(jù)用戶卡片屬性生成相應(yīng)的鎖定指令；JavaOTA平臺向卡片發(fā)送鎖定指令；卡片完成鎖定過程并將執(zhí)行結(jié)果返回給JavaOTA平臺；JavaOTA平臺更新用戶卡片屬性中的應(yīng)用狀態(tài)。應(yīng)用解鎖如果用戶希望暫時恢復(fù)被暫停的應(yīng)用的交互功能，則可以通過解鎖應(yīng)用來達(dá)到目標(biāo)，此時保留在卡片中的用戶個人信息仍然有效，應(yīng)用可以被選擇并對相應(yīng)的通信指令做出響應(yīng)。

圖七：應(yīng)用解鎖流程用戶申請鎖定指定應(yīng)用；JavaOTA平臺查找用戶的卡片屬性；JavaOTA平臺根據(jù)用戶卡片屬性生成相應(yīng)的解鎖指令；JavaOTA平臺向卡片發(fā)送解鎖指令；5)卡片完成解鎖過程并將執(zhí)行結(jié)果返回給JavaOTA平臺；JavaOTA平臺更新用戶卡片屬性中的應(yīng)用狀態(tài)。6.6應(yīng)用狀態(tài)查詢JavaOTA平臺可以主動發(fā)起指令查詢卡片上的應(yīng)用的狀態(tài)，用于確定應(yīng)用是否可以接受某個特定操作。圖八：應(yīng)用狀態(tài)查詢流程JavaOTA平臺根據(jù)用戶卡片屬性生成相應(yīng)的應(yīng)用狀態(tài)查詢指令；JavaOTA平臺向卡片發(fā)送應(yīng)用狀態(tài)查詢指令；3)卡片獲取應(yīng)用狀態(tài)信息并發(fā)送給JavaOTA平臺；4)JavaOTA平臺比較用戶卡片屬性中的應(yīng)用狀態(tài)并更新。7接口要求安全數(shù)據(jù)空中安全機(jī)制建議采用TS102.225[9](ETSI)或03.48(3GPP)所定義的安全機(jī)制，此安全機(jī)制在GP2.2規(guī)范中也得到支持(SCP=’80')。每一個命令及響應(yīng)頭必須包含相應(yīng)的安全頭數(shù)據(jù)。命令安全頭命令數(shù)據(jù)指由服務(wù)器主動發(fā)送到USIM卡片的各種指令。其安全頭格式如下：項目名稱長度(字節(jié))值說明TPDU_HeadXHEXTP-UDHI為1UDL1(基于短信)2(基于BIP)HEX后續(xù)數(shù)據(jù)的長度安全應(yīng)用數(shù)據(jù)UDHL10X02Iela1CPI=0X70IEIDLa10X00CPL2HEX后續(xù)數(shù)據(jù)總長度CHL10X11從SPI到CC的數(shù)據(jù)長度SPI20XxxxxKIC10XxxKID10XxxTAR3HEXToolkitApplicationReference,參照TS102.220中的定義CNTR5HEX與密鑰集相關(guān)的計數(shù)器，用于重發(fā)檢測以及完整性檢查PCNTR10X00填充比特數(shù)。用于表示在加密過程中在用戶數(shù)據(jù)之后填充的比特的個數(shù)。CC0-8HEXMAC值。針對DES/TDES算法用戶數(shù)據(jù)包含用戶數(shù)據(jù)以及為加密而填充的比特CC的計算應(yīng)包含CPL，CHL，SPI，KIC，KID，TAR，CNTR，PCNTR以及用戶數(shù)據(jù)。如果同時需要進(jìn)行加密，應(yīng)首先計算出加密時需要的PCNTR的值，再進(jìn)行CC的計算。

要求加密時，應(yīng)首先計算CC的值，然后進(jìn)行加密，需要被加密的數(shù)據(jù)域包括：CNTR,PCNTR,CC，用戶數(shù)據(jù)以及相應(yīng)的填充比特。如果SPI指定某些域沒有被用到，這這些域的內(nèi)容應(yīng)設(shè)為0。卡片應(yīng)忽略這些域。如果SPI指定不需要CC，則CC的長度應(yīng)設(shè)為0。SPISPI用于指定命令數(shù)據(jù)所使用的安全級別，由兩個字節(jié)組成，低字節(jié)位按照如下格式編碼：b8b7b6b5b4b3b2bl-00:NoRC,CCorDS01:RedundancyCheck1~~10:CryptographicChecksum*?11:DigitalSignature0:NoCiphering11:Ciphering0_00:Nocounteravailable01:Counteravailable;noreplayorsequencecheckingProcessifandonlyifcountervalueishigherthanthevalueintheREProcessifandonlyifcountervalueisonehigherthanthevalueintheREReserved(settozeroandignoredbyRE)為保證足夠的安全性，不建議使用CRC安全校驗。b8b7b6b5b4b3b2b1高字節(jié)按如下格式編碼：00:NoPoRreplytotheSendingEntity(SE)01:PoRrequiredtobesenttotheSEPoRrequiredonlywhenanerrorhasoccurred>11:Reserved00:NoRC,CCorDSappliedtoPoRresponsetoSE01:PoRresponsewithsimpleRCappliedtoitPoRresponsewithCCappliedtoit>11:PoRresponsewithDSappliedtoit0:PoRresponseshallnotbeciphered,1:PoRresponseshallbecipheredReservedforTS31.115Reserved(settozeroandignoredbyRE)KICKIC用于指定加密所使用的密鑰以及算法，按照如下格式編碼

b8b7b6b5b4b3b2bl00:Algorithmknownimplicitlybybothentitiesb8b7b6b5b4b3b2bl01:DESReservedproprietaryImplementationsIfb2b1=01(DES),b4b3shallbecodedasfollows:00:DESinCBCmode01:TripleDESinouter-CBCmodeusingtwodifferentkeysTripleDESinouter-CBCmodeusingthreedifferentkeysDESinECBmode+Ifb2b1=10,b4andb3codingisreserved.indicationofKeystobeused(keysimplicitlyagreedbetweenbothentities)KIDKID指定用于計算MAC的密鑰以及算法。在使用CRC冗余校驗和使用加密算法進(jìn)行計算時，KID的編碼方式有所不同，本文檔僅指定使用加密算法計算MAC時KID的編碼方式，具體內(nèi)容請參考TS102.225[9]。當(dāng)SPI低字節(jié)的b1b2設(shè)為‘10’時，KID按照如下格式編碼:00:Algorithmknownimplicitlybybothentities01:DESReservedproprietaryImplementationsIfb2b1=01(DES),b4b3shallbecodedasfollows:00:DESinCBCmode01:TripleDESinouter-CBCmodeusingtwodifferentkeysTripleDESinouter-CBCmodeusingthreedifferentkeysReservedIfb2b1=10,b4andb3codingisreserved.indicationofKeystobeused(keysimplicitlyagreedbetweenbothentities)7.1.2響應(yīng)安全頭響應(yīng)安全頭用于傳輸卡片向服務(wù)器發(fā)送的命令執(zhí)行結(jié)果。其安全頭如下表：項目名稱長度（字節(jié)）值說明TPDU_HeadXHEXTP-UDHI為1UDL1（基于短信）2（基于BIP）HEX后續(xù)數(shù)據(jù)的長度安全應(yīng)用數(shù)據(jù)UDHL10X02Iela1CPI=0X71IEIDLa10X00RPL2HEX后續(xù)數(shù)據(jù)總長度RHL10X11從SPI到CC的數(shù)據(jù)長度TAR3HEXToolkitApplicationReference,參照TS102.220中的定義CNTR5HEXPCNTR10X00StatusCode1CC8HEX響應(yīng)數(shù)據(jù)狀態(tài)字狀態(tài)字用于表示命令執(zhí)行的結(jié)果，取值如下表：狀態(tài)碼（Hex）描述00執(zhí)行成功01MAC錯誤02計數(shù)器值過小03計數(shù)器值過大04計數(shù)器被鎖定05加密錯誤06不支持安全頭。當(dāng)卡片無法識別安全頭時返回此狀態(tài)碼。07內(nèi)存不足08卡片忙，需要等待09未知的TAR值0A安全級別過低0B-FF保留7.1.3計數(shù)器管理如果SPI低字節(jié)的b4b5=00（不檢查計數(shù)器），則卡片將不會檢查安全頭中的計數(shù)器，也不會更新計數(shù)器。如果SPI低字節(jié)的b5設(shè)為1,為防止重傳攻擊并保證計數(shù)器的同步，卡片應(yīng)按照如下規(guī)則管理計數(shù)器：?服務(wù)器應(yīng)在安全頭中加入計數(shù)器的值,并且計數(shù)器值只能遞增?在接收到命令并完成安全校驗之后,卡片應(yīng)更新卡上的計數(shù)器?卡片應(yīng)使用在命令數(shù)據(jù)安全頭中所設(shè)定的計數(shù)器值來更新卡片上的計數(shù)器?當(dāng)計數(shù)器值達(dá)到最大值時,計數(shù)器應(yīng)當(dāng)被鎖定如果有多個服務(wù)器需要向卡片發(fā)送安全數(shù)據(jù),必須能夠保證計數(shù)器值在多個服務(wù)器之間的同步。7.2BIP管理命令BIP指令用于實現(xiàn)JavaOTA平臺與USIM卡之間的IP通道的管理。JavaOTA平臺通過此命令通知卡片建立數(shù)據(jù)通道?？蓞⒖糡S102.226[10]中的定義。申請建立BIP通道JavaOTA平臺通過此命令要求USIM卡片打開一個到手機(jī)的BIP通道，卡片在接收到此命令后，應(yīng)向手機(jī)發(fā)送OPENCAHNNEL命令（參照TS102.223[8]）打開BIP通道，然后手機(jī)通過GSM/GPRS或者UMTS/Packets與服務(wù)器建立數(shù)據(jù)通道。當(dāng)卡片接收到手機(jī)返回的響應(yīng)信息,此命令的執(zhí)行結(jié)束。申請建立CAT_TP通道在BIP通道已經(jīng)建立的情況下，CAT_TP連接的建立有主動模式和被動模式兩種。在JavaOTA平臺主動發(fā)起連接請求的情況下，卡片工作在被動模式，在被動模式下卡片處于LISTEN狀態(tài)，監(jiān)聽從服務(wù)器發(fā)來的連接請求。JavaOTA平臺通過發(fā)送連接請求命令要求USIM卡片打開一個到JavaOTA平臺的CAT_TP通道。當(dāng)CAT_TP鏈接的狀態(tài)為OPEN或者鏈接由于錯誤而關(guān)閉時，此命令的執(zhí)行結(jié)束。命令編碼PUSH命令按照如下格式編碼：代碼值CLA‘80’INS‘EC’P1‘01’‘08’保留為應(yīng)用自定義P2’01’請求打開BIP通道’02’請求建立CAT_TP通道Lc數(shù)據(jù)長度Data數(shù)據(jù)參數(shù)注意：本表中數(shù)據(jù)值僅適用于P1為01的情況數(shù)據(jù)參數(shù)用于打開BIP通道的數(shù)據(jù)參數(shù)在TS102.223[8]中為OPENCHANNEL命令所定義的任何COMPREHENSION-TLV數(shù)據(jù)都可以包含在PUSH命令的數(shù)據(jù)參數(shù)中?？ㄆ诮邮盏竭@些數(shù)據(jù)后根據(jù)參數(shù)構(gòu)造OPENCHANNEL命令并提交到手機(jī)。對于OPENCHANNEL指令，必須遵守與傳輸通道相關(guān)的兩個規(guī)則：“Otheraddress(localaddress)”參數(shù)不應(yīng)當(dāng)包含在參數(shù)中“Login”和“Parameter”兩個參數(shù)要么同時存在，要么同時不存在如果這兩個條件不符合的話，卡片應(yīng)當(dāng)拒絕執(zhí)行PUSH命令并返回錯誤代碼“6A80”。用于打開CAT_TP通道的數(shù)據(jù)參數(shù)關(guān)于CAT_TP的具體使用，請參照TS102.127[6]。用于打開CAT_TP通道時，PUSH命令需包含以下參數(shù)，這些參數(shù)對應(yīng)于TS102.223[8]中所定義的參數(shù)格式：參數(shù)名對應(yīng)的TS102.223[8]格式是否必選CAT_TP目的端口號UICC/terminalinterfacetransport必選Level最大SDU大小Buffersize必選標(biāo)識數(shù)據(jù)ChannelData可選Alphaidentifier可選Bearerdescription必選Datadestinationaddress對于CAT_TP而言，目的端口號參數(shù)中所包含的協(xié)議類型不重要，應(yīng)當(dāng)設(shè)置為0；端口號為JavaOTA平臺的CAT_TP端口號。如果在PUSH命令中設(shè)定了最大SDU的大小，而且卡片支持這個值，則卡片應(yīng)使用PUSH命令中所制定的值；如果PUSH命令未設(shè)定最大SDU的大小或者卡片不支持設(shè)定值，則卡片應(yīng)另選擇一個適當(dāng)?shù)拇笮≈?。PUSH命令參數(shù)中的標(biāo)識數(shù)據(jù)用于設(shè)定由USIM發(fā)出的SYNPDU中的標(biāo)識數(shù)據(jù)。如果在PUSH命令中標(biāo)識數(shù)據(jù)的長度為0，則在卡片上發(fā)的SYNPDU中的標(biāo)識數(shù)據(jù)的長度也必須設(shè)定為0。如果在PUSH命令中未設(shè)定此值，則卡片上發(fā)的SYNPDU中的標(biāo)識數(shù)據(jù)應(yīng)使用卡片的ICCID。從JavaOTA平臺發(fā)送到卡片的SYN/ACKPDU中的數(shù)據(jù)標(biāo)識應(yīng)設(shè)為空。Bearerdescription用來設(shè)定是通過GPRS還是UMTS..Datadestinationaddress用來設(shè)定JavaOTA平臺的IP地址，可能還包括login/password如果CAT_TP鏈接建立成功，狀態(tài)為OPEN，PUSH命令的發(fā)揮狀態(tài)字應(yīng)設(shè)為“9000”。如果鏈接建立失敗，PUSH命令應(yīng)認(rèn)為執(zhí)行失敗，狀態(tài)字應(yīng)設(shè)為“6F00”，響應(yīng)數(shù)據(jù)中應(yīng)同時包含下列的額外響應(yīng)數(shù)據(jù)：’01’：SYN發(fā)送失敗‘02’：未收到SYN/ACK’03’：ACK發(fā)送失敗(第一個ACK)如果命令執(zhí)行成功，PUSH命令返回的狀態(tài)字應(yīng)該是“9000”；如果執(zhí)行錯誤，狀態(tài)字應(yīng)為“6F00”。CAT_TP通道的關(guān)閉主動要求關(guān)閉CAT_TP連接的一方發(fā)送RSTPDU到連接的對端，然后自身進(jìn)入CLOSE-WAIT狀態(tài)，然后保持一段時間(time-outperiod)，在CLOSE-WAIT期間，不會接受連接對端過來的PDU.當(dāng)CLOSE-WAIT的時間達(dá)到time-out的數(shù)值后，連接中止。BIP通道的關(guān)閉JavaOTA平臺無需發(fā)送顯式指令來關(guān)閉BIP通道。當(dāng)使用此BIP通道的唯一一個或最后一個鏈接關(guān)閉之后，卡片應(yīng)發(fā)送在TS102.223[8]中的CLOSECHANNEL指令來關(guān)閉BIP通道。應(yīng)用管理命令應(yīng)用管理命令用于完成以下操作：下載應(yīng)用到卡片刪除卡片上的應(yīng)用更新卡片密鑰文件更改卡上應(yīng)用的狀態(tài)本規(guī)范主要列出命令的主要功能及編碼格式，具體內(nèi)容可參考TS102.6[8]及Globalplatformcardspecification2.1.1[11]規(guī)范。.3.1DELETEDELETE命令用于刪除卡片上已加載的應(yīng)用下載文件、已安裝的應(yīng)用。要刪除某個應(yīng)用，此應(yīng)用必須在卡上可以被選定的應(yīng)用、安全域或者發(fā)卡者安全域所唯一標(biāo)識。刪除指令按照下表進(jìn)行編碼：代碼值描述CLA’80’或者’84’INS’E4’DELETEP1’00’ReferencecontrolparameterP1P2’xx’ReferencecontrolparameterP2’00’—僅刪除Data域中指定的應(yīng)用‘80’一刪除Data域中指定的應(yīng)用及其相關(guān)的應(yīng)用

LcDataxxDataLcDataxxData域的長度TLV結(jié)構(gòu)數(shù)據(jù)（根據(jù)安全要求，可能包含MAC）Le‘00’Data域中包含的是用于標(biāo)識被刪除卡內(nèi)實體信息的TLV結(jié)構(gòu)數(shù)據(jù)。對于應(yīng)用刪除而言，數(shù)據(jù)必須按照下表進(jìn)行編碼：項目值描述Tag‘4F’AID的標(biāo)簽Lc‘xx’AID的長度Valuexxxx’被刪除應(yīng)用的AID值7.3.2SETSTATUSSETSTATUS命令用于更改卡片或卡片上應(yīng)用的生命周期狀態(tài)。SETSTATUS按照下表格式進(jìn)行編碼：代碼值描述CLA‘80’或者‘84’INS‘F0’SETSTATUSP1‘xx’Statustype’80’更改ISD的狀態(tài)‘40’更改輔助安全域或者應(yīng)用的狀態(tài)P2‘xx’StateControl參照GlobalPlatformCardspecification2.1.1[11]Lc‘xx’Data域的長度Dataxxxxxx應(yīng)用的AID（根據(jù)安全要求，可能包含MAC）Le不存在7.3.3INSTALLINSTALL指令用于通過安全域在卡上增加一個新的應(yīng)用。INSTALL命令的編碼格式如下：代碼值描述CLA‘80’或者‘84’INS‘E6’INSTALLP1‘xx’ReferencecontrolparameterP1P2‘00’ReferencecontrolparameterP2Lc‘xx’Data域的長度Dataxxxxxx安裝數(shù)據(jù)（根據(jù)安全要求，可能包含MAC）Le‘00’參數(shù)P1的編碼：P1主要說明此INSTALL命令的目的，按照如下格式進(jìn)行編碼:b8b7b6b5b4b3b2b1描述100000Forpersonalization個人化010000Forextradition應(yīng)用遷移001X00Formakeselectable應(yīng)用可選00X100Forinstall應(yīng)用安裝000010Forload應(yīng)用安裝文件加載RFUData域取值：數(shù)據(jù)域中包含的是1丫類型的數(shù)據(jù)結(jié)構(gòu)，對于不同的P1參數(shù)，數(shù)據(jù)域的內(nèi)容也不相同。具體請參照TS102.226[10]及Globalplatformcardspecification2.1.1[11]中的定義。.3.4LOADLOAD命令用于將一個應(yīng)用安裝文件加載到USIM卡中，本文檔僅描述LOAD命令的結(jié)構(gòu)及參數(shù)，卡片內(nèi)部的內(nèi)存管理不包括在本文檔中。一個應(yīng)用安裝文件可能需要多個LOAD指令進(jìn)行傳輸，加載文件被分割成多個塊由不同的LOAD指令進(jìn)行傳輸，并在卡端進(jìn)行重組。傳輸同一個加載文件的多個LOAD指令需要從‘00’開始順序編號，當(dāng)最后一個LOAD指令被卡片接收到時，卡片應(yīng)開始按照自有流程進(jìn)行文件的組裝及存放。LOAD命令的編碼格式如下表所示：代碼值描述CLA‘80’或者‘84’INS‘E8’LOADP1‘xx’‘00’還有后續(xù)數(shù)據(jù)塊需要接受‘80’最后一個數(shù)據(jù)塊P2‘xx’Blocknumber從零開始編碼，取值范圍為00FFLc‘xx’Data域的長度DataXXXXXX加載數(shù)據(jù)（根據(jù)安全要求，可能包含MAC）Le‘00’Data域取值:Data域包含著應(yīng)用下載文件的一部分，關(guān)于Data域的完整表述，請參考GlobalPlatformCardspecificationV2.1.1[11]代碼值描述CLAINS‘80’或者‘84’‘E8’LOADP1‘XX’‘00’還有后續(xù)數(shù)據(jù)塊需要接受P2‘XX’‘80’最后一個數(shù)據(jù)塊Blocknumber從零開始編碼，取值范圍為00FFLc‘XX’Data域的長度DataXXXXXX加載數(shù)據(jù)（根據(jù)安全要求，可能包含MAC）Le不存在7.3.5PUTKEYPUTKEY指令用于以下幾個主要操作：?更新卡片上某一密鑰的值?增加新的密鑰PUTKEY命令編碼格式如下：代碼值描述CLA‘80’或者‘84’INS‘D8’PUTKEYP1‘XX’ReferencecontrolparameterP1P2‘XX’ReferencecontrolparameterP2LcDataLe‘xx’Data域的長度‘xxxxxx……’密鑰數(shù)據(jù)（根據(jù)安全要求，可能包含MAC）’00’其中P1的取值：P1用于定義密鑰的版本號以及是否在此PUTKEY命令之后還有后續(xù)的PUTKEY指令。密鑰版本號用于標(biāo)識已經(jīng)存在于卡片上的一個或一組密鑰。如果密鑰版本號設(shè)為‘00’，表示此密鑰或密鑰組是需要增加到卡片上的新密鑰（新密鑰或密鑰組的版本號包含在Data域中）。密鑰版本號的取值范圍為‘01’~‘7F’。P1的b8為0時表示此PUTKEY指令沒有后續(xù)的PUTKEY指令;b8為1時表示后續(xù)有更多的PUTKEY指令。P2的取值：P2參數(shù)定義密鑰的ID，并說明在Data域中是包含有一個密鑰還是多個密鑰。當(dāng)Data域僅僅包含一個密鑰時，P2指定此密鑰的ID；當(dāng)Data域包含有多個密鑰時，P2指定第一個密鑰的ID，后續(xù)其他密鑰的ID依次加1。密鑰ID的取值范圍為00?7F。P2的b8為0時，表示Data域僅包含單個密鑰；b8為1時，表示Data域包含多個密鑰。Data域的取值：對于增加新密鑰和更新舊密鑰時，Data域的格式及處理方式請參照GlobalPlatformCardSpecificationV2.1.1[11]?？ㄆY源管理命令卡片資源管理命令主要用于獲取卡片及卡上應(yīng)用的當(dāng)前狀態(tài)及資源使用狀況。GETSTATUSGETSTATUS命令用于根據(jù)給定的查詢條件獲取卡上的ISD、SSD、應(yīng)用安裝文件以及應(yīng)用的信息。GETSTATUS命令是對SETSTATUS命令的補(bǔ)充。GETSTATUS命令的編碼格式如下：代碼值描述CLA’80’或者’84’INS’F2’GETSTATUSP1’xx’ReferencecontrolparameterP1P2’xx’ReferencecontrolparameterP2Lc’xx’Data域的長度Dataxxxxxx查詢條件（根據(jù)安全要求，可能包含MAC）Le’00’其中P1的取值：P1用于描述需要包含在響應(yīng)命令中包含狀態(tài)信息的應(yīng)用的子集。主要取值范圍為：’80’-僅僅包含ISD，此情況下Data域中的查詢條件被忽略，僅僅返回ISD的狀態(tài)信息’40’-僅查詢應(yīng)用及安全域的狀態(tài)信息

’20’-僅查詢應(yīng)用安裝文件的狀態(tài)信息’10’-僅查詢應(yīng)用安裝文件及相關(guān)模塊的狀態(tài)信息其他值保留。JavaOTA通過應(yīng)用的權(quán)限來區(qū)別一個應(yīng)用ID所對應(yīng)的是應(yīng)用還是安全域。P2的取值:描述RFU獲取第一個或所有查詢到的結(jié)果或取下一個查詢結(jié)果響應(yīng)數(shù)據(jù)按照第一和第三種結(jié)構(gòu)編碼響應(yīng)數(shù)據(jù)按照第二種結(jié)構(gòu)編碼描述RFU獲取第一個或所有查詢到的結(jié)果或取下一個查詢結(jié)果響應(yīng)數(shù)據(jù)按照第一和第三種結(jié)構(gòu)編碼響應(yīng)數(shù)據(jù)按照第二種結(jié)構(gòu)編碼b8b7b6b5b4b3b2b1XXXXXXTOC\o"1-5"\h\zX0X10X1X如果在當(dāng)前的會話中沒有出現(xiàn)過GETSTATUS命令用于獲取第一個或者所有查詢結(jié)果，而直接收到GETSTATUS命令用于獲取下一個查詢結(jié)果時，卡片應(yīng)拒絕執(zhí)行。P1為80時，P2的b1不能為1。Data域的取值：Data域中使用TLV結(jié)構(gòu)來定義查詢條件，查詢條件一般為應(yīng)用的AID，此時TLV結(jié)構(gòu)中的標(biāo)簽必須使用’4F’。如果Data域的值為‘4F00’，卡片應(yīng)根據(jù)P1的定義返回所有符合條件的應(yīng)用，安全域或應(yīng)用安裝文件的狀態(tài)信息。7.4.2GETDATAGETDATA用于獲取卡片上的某個指定信息。GETDATA指令按照如下格式編碼：代碼值描述CLA’80’或者’84’INS’CA’GETDATAP1’xx’’00’或者標(biāo)簽值的高位字節(jié)P2’xx’標(biāo)簽值的低位字節(jié)Lc’xx’不存在，或"MAC的長度DataXXXXXX如果需要的話，僅包含MAC值Le’00’其中P1,P2的取值：P1和P2用于定義需要獲取的卡片信息的類型。發(fā)卡商安全域ISD需要至少支持如下標(biāo)簽：’66’：CardData’E0’：KeyInformationTemplate‘C1’：默認(rèn)密鑰版本號的順序計數(shù)器值輔助安全域SSD需要至少支持如下標(biāo)簽：’E0’：KeyInformationTemplate‘C1’：默認(rèn)密鑰版本號的順序計數(shù)器值卡片還應(yīng)支持如下標(biāo)簽：‘FF21’：擴(kuò)展的卡片資源標(biāo)簽，用于獲取卡片資源的使用情況‘FF22’to‘FF3F’：保留Data域的取值：Data域應(yīng)當(dāng)為空，除非有MAC值。系統(tǒng)管理性能管理性能管理是向網(wǎng)絡(luò)運營者提供網(wǎng)絡(luò)設(shè)備的性能特征，以供網(wǎng)絡(luò)趨勢分析、網(wǎng)絡(luò)擴(kuò)建、網(wǎng)絡(luò)控制時參考。e監(jiān)視網(wǎng)絡(luò)性能，定期收集網(wǎng)絡(luò)中所有網(wǎng)元設(shè)備包括卡片管理服務(wù)器、應(yīng)用管理服務(wù)器等的性能參數(shù)統(tǒng)計；e監(jiān)視所有網(wǎng)元設(shè)備的運行狀況，如響應(yīng)速度、用戶連接并發(fā)情況、用戶訪問分布等；e檢查其他相關(guān)服務(wù)的運行狀況，如數(shù)據(jù)庫的響應(yīng)性能；e在性能分析的基礎(chǔ)上，對制約網(wǎng)絡(luò)性能的相關(guān)參數(shù)進(jìn)行調(diào)整，提高網(wǎng)絡(luò)性能。故障管理故障管理負(fù)責(zé)監(jiān)視網(wǎng)絡(luò)設(shè)備的故障告警，進(jìn)行故障診斷及定位分析。提供對各個網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)的狀態(tài)跟蹤，在某個網(wǎng)絡(luò)設(shè)備出現(xiàn)故障或異常時，能夠及時醒目地通知管理人，迅速恢復(fù)故障。e實時監(jiān)視網(wǎng)絡(luò)運行狀態(tài)和設(shè)備故障，以圖形和文本方式顯示網(wǎng)絡(luò)告警；e所有網(wǎng)絡(luò)設(shè)備都必須提供狀態(tài)通知功能，定期將各自的各項狀態(tài)指標(biāo)通知相關(guān)的管理人員；e所有網(wǎng)絡(luò)設(shè)備都必須有報警功能，設(shè)置必要的報警條件，另外報警手段也不能過于單一；e對產(chǎn)生的故障告警及事件信息進(jìn)行記錄，以便用戶對歷史告警進(jìn)行查詢。定期進(jìn)行告警日志的維護(hù)及刪除；e當(dāng)一個物理設(shè)備發(fā)生故障時，可能產(chǎn)生多個失效告警，網(wǎng)管系統(tǒng)應(yīng)能夠進(jìn)行故障定位，確定與實際失效有關(guān)的告警。故障可定位到設(shè)備的端口級；e應(yīng)能夠在不影響網(wǎng)絡(luò)正常業(yè)務(wù)的情況下，完成連通性測試、網(wǎng)絡(luò)傳送能力測試等。網(wǎng)絡(luò)測試可在故障發(fā)生前有計劃地進(jìn)行，也可以在發(fā)現(xiàn)問題后作為診斷手段；e為便于故障定位分析或鏈路性能分析，各種服務(wù)器應(yīng)接收網(wǎng)管系統(tǒng)發(fā)來的連通性測試要求，并返回測試結(jié)果。安全管理通過必要的手段在各個層次上進(jìn)行安全防范，使得用戶能放心使用業(yè)務(wù)，應(yīng)用提供方能安心提供應(yīng)用和服務(wù)，系統(tǒng)管理員能全面地對平臺進(jìn)行控制。e應(yīng)用級安全，必要的防病毒軟件；e采取一定的認(rèn)證和授權(quán)機(jī)制，對無權(quán)操作人員進(jìn)行控制，規(guī)范管理人員的行為；e配置及修改各管理用戶的管理范圍，實現(xiàn)對整個網(wǎng)絡(luò)的分區(qū)域管理；e為增加網(wǎng)絡(luò)的安全系數(shù)，關(guān)鍵的服務(wù)器應(yīng)提供冗余備份；e對于與密鑰相關(guān)的服務(wù)器，應(yīng)對其設(shè)置密鑰生命期、密鑰備份等管理功能；e需要有用戶級權(quán)限管理，管理整個平臺的用戶級別；e需要能夠?qū)υL問平臺的客戶進(jìn)行ip限制；e需要提供幾類不同的備份/恢復(fù)策略，如系統(tǒng)級、應(yīng)用級和數(shù)據(jù)級；e需要詳細(xì)地記錄用戶的動作，用戶和服務(wù)器打交道的全過程都是被監(jiān)控的。配置管理配置管理是指通過網(wǎng)管接口接入所能實現(xiàn)的網(wǎng)絡(luò)資源和配置管理功能。配置管理的功能主要包括：e提供網(wǎng)元級的配置管理，包括對卡片管理服務(wù)器、應(yīng)用管理服務(wù)器等網(wǎng)元設(shè)備進(jìn)行配置。支持配置信息查詢。e創(chuàng)建并維護(hù)配置數(shù)據(jù)庫，其中包含網(wǎng)絡(luò)設(shè)備、軟件、操作級別、負(fù)責(zé)維護(hù)設(shè)備的人員等信息；e能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)中的路由器設(shè)備，并動態(tài)地顯示當(dāng)前網(wǎng)絡(luò)的拓?fù)錉顩r，用戶可逐級進(jìn)入而進(jìn)行拓?fù)湫畔⒉樵?；e對網(wǎng)絡(luò)互連信息進(jìn)行配置和查詢；e網(wǎng)絡(luò)業(yè)務(wù)配置，網(wǎng)絡(luò)節(jié)點各種數(shù)據(jù)的初始配置與修改，網(wǎng)絡(luò)各種業(yè)務(wù)政策的配置與管理；e當(dāng)服務(wù)器的某些配置發(fā)生改變時應(yīng)向網(wǎng)管系統(tǒng)報告；e各種服務(wù)器準(zhǔn)備就緒后應(yīng)向網(wǎng)管系統(tǒng)報告其身份。業(yè)務(wù)層管理必須提供必要的業(yè)務(wù)層管理