远程变更签约方法及其装置制造方法

远程变更签约方法及其装置制造方法
【专利摘要】本发明属于通信领域，提供一种远程变更签约方法、装置及终端，所述方法包括：向源运营商的源远程管理平台发送变更签约请求消息，以使所述源远程管理平台向目标远程管理平台发送所述变更签约请求消息，所述变更签约请求消息用于请求将终端的签约变更到目标运营商，接收目标远程管理平台根据所述变更签约请求消息提供的目标运营商网络的执行文件；激活所述执行文件，通过激活后的所述执行文件接入所述目标运营商网络。本发明提供的技术方案具有实现跨远程管理平台切换签约的优点。
【专利说明】远程变更签约方法及其装置
【技术领域】
[0001]本发明属于通信【技术领域】，尤其涉及一种远程变更签约方法及其装置。
【背景技术】
[0002]嵌入式通用电路卡(embeddedUniversal Integrated Circuit Card, eUICC)是可以远程配置通用电路卡(Universal Integrated Circuit Card, UICC)码号的嵌入式卡，也可以是远程设置切换或准入移动运营商网络的嵌入式卡。eUICC目前主要用于物联网领域。enCC被嵌入物联网设备，并且可以通过后写的方式修改eUICC归属的运营商和签约数据。
[0003]在实际组网中，基于eUICC的网络架构包括移动网络运营商(Mobile NetworkOperator, MNO)> 签约管理安全路由单兀(Subscription Manager-Secure Routing,SM-SR)、签约管理数据准备单兀(Subscription Manager-Data preparing, SM-DP)和 eUICC终端。他们的功能如下:
[0004]MNO提供网络接入、用户的鉴权和用户签约的计费等功能；
[0005]SM-DP对文件(profile)进行数据准备，如对其进行加密，使得只有指定的终端可以解密；；
[0006]SM-SR对SM-DP准备并加密后的profile实施安全路由、加载、删除、激活、去激活等操作；
[0007]一个 SM-DP 和一个 SM-SR 组成一个签约管理(Subscription Manager, SM)设备，也可称之为远程管理平台；
[0008]eUICC终端是嵌入WCC的终端，需要远程配置，在本说明书中称为终端。
[0009]图1所示为eUICC网络架构示意图，ΜΝ0, SM-DP, SM-SR间的关系以图1中各组成为例说明。
[0010]SMl-DP和SMl-SR组成的SM1，在本发明中，假设SMl负责MNOl的签约管理工作；SM2-DP和SM2-SR组成的SM2，SM2负责MN02的签约管理工作，SM3-DP和SM3-SR组成的SM3, SM3负责MN03的签约管理工作。
[0011]SM1-SR、SM2-SR和SM3-SR间具有安全通信链路。
[0012]图2所示为eUICC内部逻辑结构图，与本发明相关的模块包括:
[0013]文件安装(Profile Installer, PI)模块用于验证、解密、安装和管理文件(profile),与SM-DP属于同一个逻辑层；
[0014]文件块管理(Profile Block manager, PM)模块用来加载,删除,激活或去激活profile,与SM-SR属于同一逻辑层。
[0015]预备文件(provisioningprofile,PP)用于下载可执行性文件 OP (operationalprofile)，包含终端和SM-SR之间建立连接和传输所需要的应用和密钥等信息。
[0016]可执行性文件0P(operational profile)包括一个或多个网络接入应用(NetworkAccess Application, NAA),也包括相关网络接入证书的profile。图2中0P#1表示当前正在使用的OP，0P#2表示将来用户要加载到eUICC中的0P。
[0017]NAA为在接入网络时提供认证功能的网络接入应用。
[0018]其中，NAAO、NAAl、NAA2是为了表示不同的NAA。
[0019]图3所示为证书分配情况图。
[0020]文件安装证书(ProfileInstaller Credential,PIC)为存在于 eUICC 和 SM侧的密钥，用于保证eUICC正确解密和安装从外部获取的加密的prof ile。本发明中使用密钥对PIC-PKT/PIC-KT。公钥PIC-PKt存储于SM-DP用于对profile加密，私钥PIC-Kt用于对接收到的加密的profile解密。存储于终端的enCC上。在eWCC处于初始化状态时，eUICC中包含该私钥PIC_KT。密钥对可由终端中的eUICC或SM或第三方实体产生。在本发明中，终端正常工作前，密钥对中的公钥和私钥已经分别存储在于终端的enCC上和终端归属的SM上。
[0021]文件管理证书(ProfileManagement Credential,PMC)为存在终端的 eUICC和 SM侧的密钥，用来保证eUICC和外部建立安全可靠的通信。本发明中使用密钥对PKT/KT。公钥PKt存储于SM-SR，用于对需要路由请求或profile加密。私钥Kt存储于终端的eWCC上，用于对接收到的加密数据解密。在eUICC处于初始化状态时，eUICC中包含该密钥。密钥对可由enCC或SM或第三方实体生成。
[0022]签约管理安全路由单元接入证书(SM-SR Access Credential)为SM对终端进行身份认证的接入证书，由SM生成。在终端正常工作之前处于初始化状态时，eUICC中包含该密钥，并在SM侧有相应的记录。
[0023]现有技术可以实现单一 SM内的签约切换，也就是，MMOl和MM02的用户签约信息都由SMl管理，并且终端可以利用签约信息通过SMl将用户签约从MMOl切换到MM02。例如，用户已经与MNOl签约，并正常工作而且接入MNOl的网络，用户因各种原因希望将签约切换到MN02，切换流程为:
[0024]1、终端正常工作时，使用0P#1接入运营商MNOl的网络，并与终端所属的SMl建立连接；
[0025]2、终端向SMl发起变更签约请求；
[0026]3、SMl-SR接收更换签约请求，并向SMl-DP发起数据准备请求；
[0027]4、SMl-DP 把准备好的 0P#2 返回给 SM1-SR ；
[0028]5、终端接收到0P#2后，解密安装0P#2，并去激活0P#1，激活0P#2;
[0029]6、终端使用0P#2接入MN02的网络；
[0030]7、终端向SMl返回0P#2的状态。
[0031]上述流程省略了关于更换签约过程中的加解密、认证过程。
[0032]现有技术的签约切换仅能在同一个SM内切换，当UE请求从MNOl切换到MN02，而MNOl与MN02如果由不同的签约管理实体SM管理，则按现有技术的技术方案无法实现跨SM切换签约。

【发明内容】

[0033]本发明实施例的目的在于提供一种远程变更签约方法，旨在解决现有的技术方案的无法实现跨SM切换签约的问题。[0034]本发明第一方面提供了一种用于终端的远程变更签约方法，所述方法包括:
[0035]向源运营商的源远程管理平台发送变更签约请求消息，以使所述源远程管理平台向目标运营商的目标远程管理平台发送所述变更签约请求消息，所述变更签约请求消息用于请求将终端的签约变更到目标运营商，所述目标远程管理平台由源远程管理平台根据所述变更签约请求消息确定；
[0036]接收所述目标远程管理平台根据所述变更签约请求消息提供的所述目标运营商网络的执行文件；
[0037]激活所述执行文件，通过激活后的所述执行文件接入所述目标运营商网络。
[0038]其中，所述目标远程管理平台由源远程管理平台根据所述变更签约请求消息确定，具体包括:
[0039]源远程管理平台根据所述变更签约请求消息中的目标运营商信息及所述终端当前所在位置信息进行确定，其中，所述终端当前所在位置信息携带在所述变更签约请求消息中或由源远程管理平台从所述终端的归属位置寄存器/归属用户服务器查询获得
[0040]在第一方面的第一种可能的实现方式中，
[0041]所述接收所述目标远程管理平台根据所述变更签约请求消息提供所述目标运营商网络的执行文件，具体包括:
[0042]接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息包含目标远程管理平台的地址信息；
[0043]根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，通过所述连接获取目标运营商网络的执行文件。
[0044]在第一方面的第二种可能的实现方式中，
[0045]所述接收目标远程管理平台发送的根据所述变更签约请求消息提供的目标运营商网络的执行文件，具体包括:
[0046]接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息包含目标远程管理平台的地址信息及目标远程管理平台的临时接入证书；
[0047]根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，且根据所述临时接入证书完成与目标远程管理平台的认证后，通过所述连接获取所述目标运营商网络的执行文件。
[0048]在第一方面的第二种可能的实现方式中，
[0049]所述接收目标远程管理平台发送的根据所述变更签约请求消息提供的目标运营商网络的执行文件，具体包括:
[0050]接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息中携带所述目标运营商网络的执行文件；
[0051]从所述响应消息中获取所述目标运营商网络的执行文件。
[0052]结合第一方面的第一种、第二种或第三种可能的实现方式，在第四种可能的实现方式中，
[0053]所述目标远程管理平台采用第一密钥对的公钥加密所述变更签约请求响应消息，所述终端收到所述变更签约响应消息后采用第一密钥对的私钥解密所述变更签约响应消息；和/或[0054]所述目标远程管理平台采用第二密钥对的公钥加密所述目标运营商网络的执行文件，所述终端收到所述加密的目标运营商网络的执行文件后采用第二密钥对的私钥对加密的目标运营商网络的执行文件进行解密获取目标运营商网络的执行文件。
[0055]结合第一方面的第一种、第二种可能的实现方式中，在第五种可能的实现方式中，
[0056]目标远程管理平台的地址信息与所述目标远程管理平台建立连接后，所述方法还包括:
[0057]所述终端生成第三密钥对和第四密钥对，并将所述第三、第四密钥对中的公钥发送至目标远程管理平台。
[0058]本发明第二方面提供了一种用于源远程管理平台的远程变更签约方法，所述方法包括:
[0059]源远程管理平台接收终端发送的变更签约请求消息，所述变更签约请求消息用于请求将终端的签约变更到目标运营商，源远程管理平台根据所述变更签约请求消息目标运营商的目标远程管理平台；
[0060]源远程管理平台将所述变更签约请求消息发送给所述目标远程管理平台，以使所述终端从目标远程管理平台获取所述目标运营商网络的执行文件。
[0061]其中，所述源远程管理平台根据所述变更签约请求消息目标运营商的目标远程管理平台，具体包括:
[0062]源远程管理平台根据所述变更签约请求消息中的目标运营商信息及所述终端当前所在位置信息确定目标运营商的目标远程管理平台，其中，所述终端当前所在位置信息携带在所述变更签约请求消息中或由源远程管理平台从所述终端的归属位置寄存器/归属用户服务器查询获得。
[0063]在第二方面的第一种可能的实现方式中，
[0064]所述终端从目标远程管理平台获取所述目标运营商网络的执行文件，具体包括:
[0065]接收所述目标远程管理平台根据该变更签约请求返回的变更签约请求响应消息，所述响应消息携带所述目标远程管理平台的地址信息；
[0066]将携带有所述目标远程管理平台的地址信息的所述响应消息发送至所述终端，以使所述终端根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，并通过所述连接获取所述目标运营商网络的执行文件。
[0067]在第二方面的第二种可能的实现方式中，
[0068]所述终端从目标远程管理平台获取所述目标运营商网络的执行文件，具体包括:
[0069]源远程管理平台接收所述目标远程管理平台根据该变更签约请求返回的变更签约请求响应消息。所述响应消息携带所述目标远程管理平台的地址信息及所述目标远程管理平台的临时接入证书，
[0070]将携带有所述目标远程管理平台的地址信息和临时接入证书的所述响应消息发送给所述终端，以使所述终端根据目标远程管理平台的地址信息与所述目标远程管理平台建立连接，且根据所述临时接入证书完成与目标远程管理平台的认证后，通过所述连接获取目标运营商网络的执行文件。
[0071]在第二方面的第三种可能的实现方式中，
[0072]所述终端从目标远程管理平台获取所述目标运营商网络的执行文件，具体包括:[0073]接收所述目标远程管理平台根据所述变更签约请求消息返回的变更签约请求响应消息，所述响应消息中携带所述目标运营商网络的执行文件；
[0074]将携带有所述目标运营商的的执行文件的所述响应消息发送给所述终端，使所述终端获取所述目标运营商网络的执行文件。
[0075]本发明第三方面提供了一种用于目标远程管理平台的远程变更签约方法，所述方法包括:
[0076]目标远程管理平台接收源远程管理平台发送的变更签约请求消息，所述变更签约请求消息由终端发送到至所述源远程管理平台，用于请求将所述终端的签约变更到目标运营商；
[0077]所述目标远程管理平台向所述终端提供所述终端请求的所述目标运营商网络的执行文件。
[0078]在第三方面的第一种可能的实现方式中，
[0079]所述目标远程管理平台向所述终端提供所述终端请求的所述目标运营商网络的执行文件，具体包括:
[0080]所述目标远程管理平台向源远程管理平台返回所述更变签约请求的变更签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端，所述响应消息包括:所述目标远程管理平台的地址信息；
[0081]所述目标远程管理平台与所述终端建立连接，并通过所述连接向所述终端发送所述目标运营商网络的执行文件。
[0082]在第三方面的`第二种可能的实现方式中，
[0083]所述目标远程管理平台向所述终端提供所述终端请求的所述目标运营商网络的执行文件，具体包括::
[0084]所述目标远程管理平台向源远程管理平台返回所述更变签约请求的变更签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端，所述响应消息包括:目标远程管理平台的地址信息及目标远程管理平台的临时接入证书；
[0085]所述目标远程管理平台与所述终端建立连接，并根据所述临时接入证书完成对所述终端的验证后，向所述终端发送所述终端请求的所述目标运营商网络的执行文件。
[0086]在第三方面的第一种可能的实现方式中，
[0087]所述目标远程管理平台向终端提供所述终端请求的所述目标运营商网络的执行文件，具体包括:
[0088]所述目标远程管理平台根据变更签约请求消息向源远程管理平台返回携带有所述目标运营商网络的执行文件的更变签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端。
[0089]本发明第四方面提供了一种用于终端的远程变更签约装置，所述装置包括:
[0090]发送单元，用于向源运营商的源远程管理平台发送变更签约请求消息，以使所述源远程管理平台向目标运营商的目标远程管理平台发送所述变更签约请求消息，所述变更签约请求消息用于请求将所述终端所属用户的签约变更到目标运营商，所述目标远程管理平台由源远程管理平台根据所述变更签约请求消息确定，
[0091]接收单元，用于接收所述目标远程管理平台根据所述变更签约请求消息提供的所述目标运营商网络的执行文件；
[0092]激活单元，用于激活所述执行文件，通过激活后的所述执行文件接入所述目标运营商网络。在第四方面的第一种可能的实现方式中，
[0093]所述接收单元包括:
[0094]第一接收模块，用于接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息包含目标远程管理平台的地址信息；
[0095]第一执行文件获取子模块，用于根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，并通过所述连接获取目标运营商网络的执行文件，或者，
[0096]第二接收模块，用于接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息包含目标远程管理平台的地址信息及目标远程管理平台的临时接入证书；
[0097]第二执行文件获取子模块，用于根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，且根据所述临时接入证书完成与目标远程管理平台的认证后，通过所述连接获取所述目标运营商网络的执行文件，或者，
[0098]第三接收模块，用于接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息中携带所述目标运营商网络的执行文件；
[0099]第三执行文件获取子模块，用于从所述响应消息中获取所述目标运营商网络的执行文件。
[0100]结合第四方面的第一种可能的实现方式，在第二种可能的实现方式中，
[0101]所述装置还包括:
[0102]解密单元，用于采用密钥对中的私钥分别对响应消息及执行文件进行解密。
[0103]其中，
[0104]如果所述目标远程管理平台采用第一密钥对的公钥加密所述变更签约请求响应消息，则解密单元采用第一密钥对的私钥解密所述变更签约响应消息，以获取所述变更签约响应消息中的临时接入证书和/或目标远程管理平台的地址信息。或者，
[0105]如果所述目标远程管理平台采用第二密钥对的公钥加密所述目标运营商网络的执行文件，则解密单元74采用第二密钥对的私钥对加密的目标运营商网络的执行文件进行解密获取目标运营商网络的执行文件，或者，
[0106]如果所述目标远程管理平台采用第三密钥对的公钥加密获取执行文件请求消息的响应消息，所述响应消息是在终端与目标远程管理平台建立连接后，由目标远程管理平台根据终端发送的获取执行文件请求消息返回的响应消息，则解密单元采用第三密钥对的私钥解密所述获取执行文件请求消息的响应消息，以获取所述获取目标运营商网络的执行文件响应消息中的加密的执行文件，或者，
[0107]如果所述目标远程管理平台采用第四密钥对的公钥加密获取执行文件请求消息的响应消息中携带的执行文件，则解密单元74采用第四密钥对的私钥解密所述获取执行文件请求消息的响应消息中携带的加密的执行文件，以获取所述获取目标运营商网络的执行文件响应消息中的携带的解密的执行文件。
[0108]结合第四方面的第一种或第二种可能的实现方式，在第三种可能的实现方式中，所述装置，还包括:[0109]密钥生成单元，用于生成第三密钥对和第四密钥对，所述第三、四密钥对用于分别对获取执行文件请求消息的响应消息及所述响应消息中携带的目标运营商网络的执行文件进行加解密，所述响应消息是在终端与目标远程管理平台建立连接后，由目标远程管理平台根据终端发送的获取执行文件请求消息返回的响应消息。
[0110]本发明第五方面提供了 一种用于源远程管理平台的远程变更签约装置，所述装置包括:
[0111]请求消息接收单元，用于接收终端发送的变更签约请求消息，所述变更签约请求消息用于请求将终端的签约变更到目标运营商；
[0112]确定单元，用于根据所述变更签约请求消息确定目标运营商的目标远程管理平台；
[0113]请求消息发送单元，用于将所述变更签约请求消息发送给所述目标远程管理平台，以使所述终端能够从目标远程管理平台获取所述目标运营商网络的执行文件。
[0114]在第五方面的第一种可能的实现方式中，所述装置还包括:
[0115]第一响应消息接收单元，用于接收所述目标远程管理平台根据该变更签约请求返回的变更签约请求响应消息，所述响应消息携带所述目标远程管理平台的地址信息；
[0116]第一响应消息发送单元，用于将携带有所述目标远程管理平台的地址信息的所述响应消息发送至所述终端，以使所述终端根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，并通过所述连接获取所述目标运营商网络的执行文件。或者，
[0117]第二响应消息接收单元，用于接收所述目标远程管理平台根据该变更签约请求返回的变更签约请求响应消息。所述响应消息携带所述目标远程管理平台的地址信息及所述目标远程管理平台的临时接入证书；
[0118]第二响应消息发送单元，用于将携带有所述目标远程管理平台的地址信息和临时接入证书的所述响应消息发送给所述终端，以使所述终端根据目标远程管理平台的地址信息与所述目标远程管理平台建立连接，且根据所述临时接入证书完成与目标远程管理平台的认证后，通过所述连接获取目标运营商网络的执行文件。或者，
[0119]第三响应消息接收单元，用于接收所述目标远程管理平台根据所述变更签约请求消息返回的变更签约请求响应消息，所述响应消息中携带所述目标运营商网络的执行文件；
[0120]第三响应消息发送单元，用于将携带有所述目标运营商的的执行文件的所述响应消息发送给所述终端，使所述终端获取所述目标运营商网络的执行文件。
[0121]本发明第六方面提供了一种用于目标远程管理平台的远程变更签约装置，所述装置包括:
[0122]请求消息接收单元，用于接收源远程管理平台发送的变更签约请求消息，所述变更签约请求消息由终端发送至源远程管理平台，用于请求将所述终端的签约变更到目标运营商；
[0123]执行文件发送单元，用于向终端提供所述终端请求的所述目标运营商网络的执行文件。
[0124]在第六方面的第一种可能的实现方式中，
[0125]执行文件发送单元，具体包括:[0126]第一响应消息发送模块，用于向源远程管理平台返回所述更变签约请求的变更签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端，所述响应消息包括:目标远程管理平台的地址信息；
[0127]第一执行文件发送模块，用于所述目标远程管理平台与所述终端建立连接，并通过所述连接向所述终端发送所述目标运营商网络的执行文件。或者，
[0128]第二响应消息发送模块，用于向源远程管理平台返回所述更变签约请求的变更签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端，所述响应消息包括:目标远程管理平台的地址信息及目标远程管理平台的临时接入证书；
[0129]第二执行文件发送模块，用于所述目标远程管理平台与所述终端建立连接，并根据所述临时接入证书完成对所述终端的验证后，向所述终端发送所述终端请求的所述目标运营商网络的执行文件；或者，
[0130]第三响应消息发送模块，用于根据变更签约请求消息向源远程管理平台返回携带有所述目标运营商网络的执行文件的更变签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端。
[0131]结合第六方面的第一种可能的实现方式，在第二种可能的实现方式中，所述装置，还包括:
[0132]加密单元，用于采用密钥对中的公钥对响应消息或执行文件进行加密，
[0133]其中，所述加密单元采用第一密钥对的公钥加密所述变更签约请求响应消息。或者，
[0134]所述加密单元采用第二密钥对的公钥加密所述目标运营商网络的执行文件。或者，
[0135]所述加密单元采用第三密钥对的公钥加密获取执行文件请求消息的响应消息，所述响应消息是在终端与目标远程管理平台建立连接后，由目标远程管理平台根据终端发送的获取执行文件请求消息返回的响应消息。或者，
[0136]所述加密单元采用第四密钥对的公钥加密获取执行文件请求消息的响应消息中携带的执行文件，所述响应消息是在终端与目标远程管理平台建立连接后，由目标远程管理平台根据终端发送的获取执行文件请求消息返回的响应消息。
[0137]在本发明实施例中，本发明提供的技术方案优点，终端向源运营商的源远程管理平台发送变更签约请求消息后，接收目标远程管理平台提供的目标运营商网络的执行文件，激活该执行文件，实现目标运营商网络的接入，这样上述方法实现了跨远程管理平台切换签约，即通过与源远程管理平台连接向目标远程管理平台的签约变更，实现了跨远程管理平台的签约变更。
【专利附图】

【附图说明】
[0138]为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0139]图1是现有eUICC网络架构示意图；[0140]图2是现有eUICC内部逻辑结构图；
[0141]图3是现有证书分配情况图；
[0142]图4、图5、图6是本发明【具体实施方式】提供的远程变更签约方法的流程图；
[0143]图7、图8、图9是本发明【具体实施方式】提供的远程变更签约装置的流程图；
[0144]图10为本发明一实施例提供的一种远程变更签约方法实现的技术场景的示意图；
[0145]图11为本发明一实施例提供的一种远程变更签约方法的流程图；
[0146]图12为本发明另一实施例提供的一种远程变更签约方法的流程图；
[0147]图13为本发明又一实施例提供的一种远程变更签约方法的流程图。
[0148]图14为本发明实施例提供的终端的硬件结构示框图；
[0149]图15为本发明实施例提供的装置的结构图。
【具体实施方式】
[0150]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0151]本发明【具体实施方式】提供一种用于终端的远程变更签约方法，该方法由终端执行，如图4所示,包括:
[0152]S41、终端向源运营商的源远程管理平台发送变更签约请求消息，以使所述源远程管理平台向目标运营商的目标远程管理平台发送所述变更签约请求消息。所述变更签约请求消息用于请求将终端的签约变更到目标运营商。所述目标远程管理平台由源远程管理平台根据所述变更签约请求消息确定。例如，源远程管理平台可以根据所述变更签约请求消息中的目标运营商信息及所述终端当前所在位置信息确定目标运营商的目标远程管理平台。其中，所述终端当前所在位置信息可以携带在所述变更签约请求消息中，也可以由源远程管理平台从所述终端的归属位置寄存器/归属用户服务器查询获得。
[0153]S42、终端接收目标远程管理平台根据所述变更签约请求消息提供的目标运营商网络的执行文件。
[0154]S43、终端激活所述执行文件，通过激活后的所述执行文件接入所述目标运营商网络。
[0155]本发明【具体实施方式】提供的方法通过向源运营商的源远程管理平台发送变更签约请求消息，接收目标远程管理平台提供的目标运营商网络的执行文件，并激活该执行文件，实现目标运营商网络的接入，这样就实现了跨远程管理平台切换签约，即通过源远程管理平台与目标远程管理平台，实现跨远程管理平台签约变更。
[0156]在本发明实施例中，步骤S42至少包括以下三种具体实现方式:
[0157]方式一:
[0158]可选地，在本发明的一个实施例中，步骤S42具体可以包括:
[0159]终端接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息包含目标远程管理平台的地址信息。
[0160]终端根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，并通过所述连接获取目标运营商网络的执行文件。
[0161]其中，获取目标运营商网络的执行文件可以是基于所述连接，由终端请求目标远程管理平台发送所述目标运营商网络的执行文件，也可以是目标远程管理平台直接发送所述目标运营商网络的执行文件。
[0162]方式二:
[0163]可选地，在本发明的另一个实施例中，步骤S42具体可以包括:
[0164]终端接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息包含目标远程管理平台的地址信息及目标远程管理平台的临时接入证书;
[0165]终端根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，且根据所述临时接入证书完成与目标远程管理平台的认证后，通过所述连接获取所述目标运营商网络的执行文件。
[0166]其中，获取目标运营商网络的执行文件可以是基于所述连接，由终端请求目标远程管理平台发送所述目标运营商网络的执行文件，也可以是目标远程管理平台直接发送所述目标运营商网络的执行文件。
[0167]可选的，上述方式一和/或方式二进一步包括:
[0168]所述目标远程管理平台采用第一密钥对的公钥加密所述变更签约请求响应消息。所述终端收到所述加密过的变更签约响应消息后采用第一密钥对的私钥解密所述变更签约响应消息，以获取所述变更签约响应消息中的临时接入证书和/或目标远程管理平台的地址信息，
[0169]可选地，所述目标远程管理平台可以采用第二密钥对的公钥加密所述目标运营商网络的执行文件。相应地，上述方式一和/或方式二进一步包括:
[0170]所述终端收到所述加密的目标运营商网络的执行文件后采用第二密钥对的私钥对加密的目标运营商网络的执行文件进行解密，以获取目标运营商网络的执行文件。
[0171]前述的第一密钥对和第二密钥对可以单独使用分别对响应消息或执行文件进行加解密，也可以同时使用，由第一密钥对对响应消息进行加解密，由第二密钥对对执行文件进行加解密。
[0172]可选的，在上述本发明实施例的方式一或方式二中，通过所述连接获取所述目标运营商网络的执行文件，具体可以包括:
[0173]终端生成第三、第四密钥对，并将所述第三、第四密钥对中的公钥发送至目标远程管理平台，其中，发送第三、第四密钥对中的公钥可以通过密钥更新请求消息进行发送；
[0174]终端向目标远程管理平台发送获取执行文件请求消息，其中，该请求消息可以由第三密钥对中的私钥进行加密；
[0175]目标远程管理平台接收获取执行文件请求消息，并可以由第三密钥对中的公钥进行该请求消息进行解密；
[0176]目标远程管理平台根据获取执行文件请求消息提供所述目标运营商网络的执行文件，其中，所述目标运营商网络的执行文件由获取执行文件请求消息的响应消息携带，所述响应消息可以由第三密钥对的公钥进行加密，所述执行文件可以由第四密钥对的公钥加
LU O[0177]终端收到所述由第三密钥对公钥加密的响应消息后，可以采用第三密钥对的私钥进行解密，以获取解密的响应消息，对于响应消息中由第四密钥对公钥加密的目标运营商网络的执行文件，采用第四密钥对的私钥对加密的目标运营商网络的执行文件进行解密，以获取目标运营商网络的执行文件。
[0178]方式三:
[0179]可选地，在本发明的再一个实施例中，步骤S42具体可以包括:
[0180]终端接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息中携带所述目标运营商网络的执行文件；
[0181]终端从所述响应消息中获取所述目标运营商网络的执行文件。
[0182]可选的，在方式三中，可以对所述响应消息及执行文件加密，则步骤S42具体可以包括:
[0183]终端接收源远程管理平台发送的目标远程管理平台返回由第一密钥对的公钥加密的变更签约请求响应消息，且所述响应消息中携带有经第二密钥对的公钥加密的所述目标运营商网络的执行文件；
[0184]终端采用所述第一密钥对的私钥对所述响应消息进行解密，获取所述变更签约请求响应消息，并采用所述第二密钥对的私钥对所述加密的目标运营商网络的执行文件进行解密得到目标运营商网络的执行文件。
[0185]上述加密过程由目标远程管理平台实现。
[0186]其中，上述各实施例中，第一、二密钥对可以预先存储在终端设备及源远程管理平台。比如，签约时由运营商写入终端与源远程管理平台。目标远程管理平台的第一、二密钥对中的公钥可以从源远程管理平台接收。所述第一密钥对与第二密钥对可以为相同的密钥对，也可以为不同的密钥对，例如，所述第一密钥对可以为PKT/KT密钥对，所述第二密钥对可以为pic-pkt/pic-kt。第三、四密钥对为与第一、二密钥对不同的密钥对。
[0187]本发明【具体实施方式】还提供一种用于源远程管理平台的远程变更签约方法，该方法由源远程管理平台执行。如图5所示，该方法包括:
[0188]S51、源远程管理平台接收终端发送的变更签约请求消息。所述变更签约请求消息用于请求将终端的签约变更到目标运营商。
[0189]S52、源远程管理平台根据所述变更签约请求消息确定目标运营商的目标远程管理平台。
[0190]所述请求消息中包含目标运营商信息。源远程管理平台根据所述变更签约请求消息中的目标运营商信息及所述终端当前所在位置信息确定目标运营商的目标远程管理平台，其中，所述终端当前所在位置信息可以携带在所述变更签约请求消息中或由源远程管理平台从所述终端的归属位置寄存器/归属用户服务器(HLR/HSS)查询获得。
[0191]当变更签约请求消息中包括的位置信息时，源远程管理平台根据变更签约请求消息中包括的位置信息确定终端当前所在位置的目标运营商的远程管理平台。当变更签约请求中不包含终端当前所在的位置信息，源远程管理平台可以向HLR/HSS查询，HLR/HSS返回该终端用户当前所在位置，源远程管理平台用所接收的位置信息确定终端当前所在位置的目标运营商的远程管理平台。具体的，运营商可以在远程管理平台维护一个终端所在位置、运营商及对应的远程管理平台地址的对应关系表，以使得源远程管理平台可以根据用户请求的目标运营商及位置信息确定终端当前所在位置的目标运营商的远程管理平台。其中，终端当前所在位置的信息可以为终端当前所在网络的国家码，也可以为终端当前所在的跟踪区域标识TA1、路由区域标识RAI或位置区域标识LAI。终端当前所在的位置信息还可以为终端当前所在的网络实体的标识，如MME或SGSN的标识信息或地址信息。本实施例对此不做限定。一般情况下，目标远程管理平台默认是源远程管理平台可以连接的目标运营商的远程管理平台。
[0192]S53、源远程管理平台将所述变更签约请求消息发送给所述目标远程管理平台，以使所述终端能够从目标远程管理平台获取所述目标运营商网络的执行文件。
[0193]本发明实施方式中，源远程管理平台将变更签约请求消息发送给目标远程管理平台，使目标远程管理平台可以提供终端切换所需要的目标运营商网络的执行文件。因此，本发明实施例提供的方法可以实现跨远程管理平台切换签约。
[0194]在本发明实施例中，所述终端从目标远程管理平台获取所述目标运营商网络的执行文件，至少可以包括以下三种方式:
[0195]方式一:
[0196]可选的，在本发明的一个实施例中，从目标远程管理平台获取所述目标运营商网络的执行文件，具体包括:
[0197]源远程管理平台接收所述目标远程管理平台根据该变更签约请求返回的变更签约请求响应消息。所述响应消息携带所述目标远程管理平台的地址信息。
[0198]将携带有所述目标远程管理平台的地址信息的所述响应消息发送至所述终端，以使所述终端根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，并通过所述连接获取所述目标运营商网络的执行文件。
[0199]方式二:
[0200]可选的，在本发明的一个实施例中，从目标远程管理平台获取所述目标运营商网络的执行文件，具体包括:
[0201]源远程管理平台接收所述目标远程管理平台根据该变更签约请求返回的变更签约请求响应消息。所述响应消息携带所述目标远程管理平台的地址信息及所述目标远程管理平台的临时接入证书，
[0202]将携带有所述目标远程管理平台的地址信息和临时接入证书的所述响应消息发送给所述终端，以使所述终端根据目标远程管理平台的地址信息与所述目标远程管理平台建立连接，且根据所述临时接入证书完成与目标远程管理平台的认证后，通过所述连接获取目标运营商网络的执行文件。
[0203]方式三:
[0204]可选的，在本发明的另一个实施例中，从目标远程管理平台获取所述目标运营商网络的执行文件，具体包括:
[0205]源远程管理平台接收所述目标远程管理平台根据所述变更签约请求消息返回的变更签约请求响应消息，所述响应消息中携带所述目标运营商网络的执行文件；
[0206]将携带有所述目标运营商的的执行文件的所述响应消息发送给所述终端，使所述终端获取所述目标运营商网络的执行文件。
[0207]其中，上述三种实现方式中，所述响应消息可以由第一密钥对的公钥加密，所述响应消息中携带的所述目标运营商网络的执行文件可以由第二密钥对的公钥加密；
[0208]终端接收到所述响应消息后，可以采用所述第一密钥对的私钥对所述响应消息进行解密，获取所述响应消息，并采用所述第二密钥对的私钥对所述加密的目标运营商网络的执行文件进行解密得到目标运营商网络的执行文件。
[0209]其中，上述各实施例中，第一、二密钥对可以预先存储在终端及源远程管理平台，t匕如，签约时由运营商写入终端与源远程管理平台，目标远程管理平台的第一、二密钥对的公钥可以由源远程管理平台发送。所述第一密钥对与第二密钥对可以为相同的密钥对，也可以为不同的密钥对，例如，所述第一密钥对可以为PKT/KT密钥对，所述第二密钥对可以为
pic-pkt/pic-kt。
[0210]本发明【具体实施方式】还提供一种用于目标远程管理平台的远程变更签约方法，该方法由目标远程管理平台执行，如图6所示，该方法包括:
[0211]S61、目标远程管理平台接收源远程管理平台发送的变更签约请求消息。所述变更签约请求消息由终端发送至源远程管理平台并由源远程管理平台再发送给目标远程管理平台。所述变更签约请求消息用于请求将所述终端的签约变更到目标运营商。
[0212]S62、所述目标远程管理平台向终端提供所述终端请求的所述目标运营商网络的执行文件。
[0213]在本发明【具体实施方式】提供的方法中，目标远程管理平台接收到源远程管理平台发送的变更签约请求消息，并将目标运营商网络的执行文件提供给终端以使该终端依据该执行文件实现目标运营商网络的接入。上述方法实现了跨远程管理平台切换签约。
[0214]在本发明实施例中，步骤S62至少包括以下三种实现方式。
[0215]方式一:
[0216]可选地，在本发明的一个实施例中，步骤S62具体可以包括:
[0217]所述目标远程管理平台向源远程管理平台返回所述更变签约请求的变更签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端，所述响应消息包括:目标远程管理平台的地址信息；
[0218]所述目标远程管理平台与所述终端建立连接，并通过所述连接向所述终端发送所述目标运营商网络的执行文件。
[0219]方式二:
[0220]可选地，在本发明的一个实施例中，步骤S62具体可以包括:所述目标远程管理平台向源远程管理平台返回所述更变签约请求的变更签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端。所述响应消息包括:目标远程管理平台的地址信息及目标远程管理平台的临时接入证书；
[0221]所述目标远程管理平台与所述终端建立连接，并根据所述临时接入证书完成对所述终端的验证后，向所述终端发送所述终端请求的所述目标运营商网络的执行文件。
[0222]在本实施中的方式一或方式二实现方式中，所述目标远程管理平台与所述终端建立连接，并通过所述连接向所述终端发送所述目标运营商网络的执行文件，具体可以包括:目标远程管理平台接收终端发送的获取执行文件请求消息，以获取目标运营商的执行文件。获取执行文件请求消息是在终端接收到变更签约请求响应消息中的目标远程管理平台的地址信息后向目标远程管理平台发送的。目标远程管理平台收到获取执行文件请求消息后，向终端返回获取执行文件请求消息的响应消息。所述获取执行文件请求消息的的响应消息中携带目标运营商网络的执行文件。
[0223]可选地，在本实施中的方式一或方式二实现方式中，进一步可以包括:
[0224]接收终端发送的第三、第四密钥对，其中，发送第三、第四密钥对中的公钥可以通过密钥更新请求消息进行发送；
[0225]则，终端根据变更签约请求响应消息中的目标远程管理平台的地址信息向目标远程管理平台发送获取执行文件请求消息。目标运营商远程管理平台向终端返回获取执行文件请求消息的响应消息，所述获取执行文件请求消息的响应消息中携带目标运营商网络的执行文件，具体可以包括:
[0226]终端向目标远程管理平台发送获取执行文件请求消息，其中，该请求消息可以由第三密钥对中的私钥进行加密；
[0227]目标远程管理平台接收获取执行文件请求消息，并可以用第三密钥对中的公钥进行该请求消息进行解密；
[0228]目标远程管理平台根据获取执行文件请求消息提供所述目标运营商网络的执行文件。其中，所述目标运营商网络的执行文件由获取执行文件请求消息的响应消息携带。所述响应消息可以由第三密钥对的公钥进行加密，所述执行文件可以由第四密钥对的公钥加
LU O
[0229]终端收到所述由第三密钥对公钥加密的响应消息后，可以采用第三密钥对的私钥进行解密，以获取获取执行文件请求消息的响应消息，对于响应消息中由第四密钥对公钥加密的目标运营商网络的执行文件，采用第四密钥对的私钥对加密的目标运营商网络的执行文件进行解密，以获取目标运营商网络的执行文件。
[0230]方式三:
[0231]可选地，在本发明的一个实施例中，步骤S62具体可以包括:所述目标远程管理平台根据变更签约请求消息向源远程管理平台返回携带有所述目标运营商网络的执行文件的更变签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端。
[0232]其中，所述响应消息可以由第一密钥对的公钥加密，所述响应消息中携带的所述目标运营商网络的执行文件可以由第二密钥对的公钥加密；
[0233]终端接收到所述响应消息后，可以采用所述第一密钥对的私钥对所述响应消息进行解密，获取所述响应消息，并采用所述第二密钥对的私钥对所述加密的目标运营商网络的执行文件进行解密得到目标运营商网络的执行文件。
[0234]其中，上述各实施例中，第一、二密钥对可以预先存储在终端设备及源远程管理平台。比如，签约时由运营商写入终端与源远程管理平台，源远程管理平台可以向目标远程管理平台发送第一、二密钥对中的公钥。所述第一密钥对与第二密钥对可以为相同的密钥对，也可以为不同的密钥对，例如，所述第一密钥对可以为PKT/KT密钥对，所述第二密钥对可以为 pic-pkt/pic-kt。
[0235]本发明【具体实施方式】提供一种用于终端的远程变更签约装置，如图7所示，包括:
[0236]发送单元71，用于向源运营商的源远程管理平台发送变更签约请求消息，以使所述源远程管理平台向目标运营商的目标远程管理平台发送所述变更签约请求消息，所述变更签约请求消息用于请求将终端签约变更到目标运营商，所述目标远程管理平台由源远程管理平台根据所述变更签约请求消息确定；
[0237]接收单元72，用于接收目标远程管理平台根据所述变更签约请求消息提供的目标运营商网络的执行文件；
[0238]激活单元73，用于激活所述执行文件，通过激活后的所述执行文件接入所述目标运营商网络。
[0239]其中，所述接收单元72包括:
[0240]第一接收模块721，用于接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息包含目标远程管理平台的地址信息；
[0241 ] 第一执行文件获取子模块722，用于根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，并通过所述连接获取目标运营商网络的执行文件。或者，
[0242]第二接收模块723，用于接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息包含目标远程管理平台的地址信息及目标远程管理平台的临时接入证书；
[0243]第二执行文件获取子模块724，用于根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，且根据所述临时接入证书完成与目标远程管理平台的认证后，通过所述连接获取所述目标运营商网络的执行文件。或者，
[0244]第三接收模块725，用于接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息中携带所述目标运营商网络的执行文件；
[0245]第三执行文件获取子模块726，用于从所述响应消息中获取所述目标运营商网络的执行文件。
[0246]可选地，本发明实施例的装置，还可以包括:
[0247]解密单元74，用于采用密钥对中的私钥分别对响应消息及执行文件进行解密。
[0248]可选地，在本发明实施例中，所述目标远程管理平台可以采用第一密钥对的公钥加密所述变更签约请求响应消息，所述终端接收单元72收到所述变更签约响应消息后，解密单元74采用第一密钥对的私钥解密所述变更签约响应消息，以获取所述变更签约响应消息中的临时接入证书和/或目标远程管理平台的地址信息。
[0249]可选地，所述目标远程管理平台也可以采用第二密钥对的公钥加密所述目标运营商网络的执行文件，所述终端接收单元72收到所述加密的目标运营商网络的执行文件后，解密单元74采用第二密钥对的私钥对加密的目标运营商网络的执行文件进行解密获取目标运营商网络的执行文件。
[0250]可选地，所述目标远程管理平台也可以采用第三密钥对的公钥加密获取执行文件请求消息的响应消息，所述响应消息是在终端与目标远程管理平台建立连接后，由目标远程管理平台根据终端发送的获取执行文件请求消息返回的响应消息，所述终端接收单元72收到所述获取执行文件请求消息的响应消息后，解密单元74采用第三密钥对的私钥解密所述获取执行文件请求消息的响应消息，以获取所述获取目标运营商网络的执行文件响应消息中的加密的执行文件。
[0251]可选地，所述目标远程管理平台也可以采用第四密钥对的公钥加密获取执行文件请求消息的响应消息中携带的执行文件，所述终端接收单元72收到所述获取执行文件请求消息的响应消息后，解密单元74采用第四密钥对的私钥解密所述获取执行文件请求消息的响应消息中携带的加密的执行文件，以获取所述获取目标运营商网络的执行文件响应消息中的携带的解密的执行文件。
[0252]可选地，本发明实施例的装置，还可以包括:
[0253]密钥生成单元75，用于生成第三密钥对和第四密钥对所述第三、四密钥对用于分别对获取执行文件请求消息的响应消息及所述响应消息中携带的目标运营商网络的执行文件进行加解密，所述响应消息是在终端与目标远程管理平台建立连接后，由目标远程管理平台根据终端发送的获取执行文件请求消息返回的响应消息。
[0254]。
[0255]本发明【具体实施方式】提供一种用于源远程管理平台的远程变更签约装置，如图8所示，所述装置包括:
[0256]请求消息接收单元81，用于接收终端发送的变更签约请求消息，所述变更签约请求消息用于请求将终端的签约变更到目标运营商；
[0257]确定单元82，用于根据所述变更签约请求消息确定目标运营商的目标远程管理平台；
[0258]其中，所述请求消息中包含目标运营商信息。源远程管理平台根据所述变更签约请求消息中的目标运营商信息及所述终端当前所在位置信息确定目标运营商的目标远程管理平台，其中，所述终端当前所在位置信息携带在所述变更签约请求消息中或由源远程管理平台从所述终端的归属位置寄存器/归属用户服务器(HLR/HSS)查询获得。可选地，源远程管理平台根据变更签约请求消息中包括的位置信息确定终端当前所在位置的目标运营商的远程管理平台。当变更签约请求中不包含终端当前所在的位置信息，源远程管理平台可以向HLR/HSS查询，HLR/HSS返回该终端用户当前所在位置，源远程管理平台用所接收的位置信息确定终端当前所在位置的目标运营商的远程管理平台。具体的，运营商在远程管理平台可以维护一个终端所在位置、运营商及对应的远程管理平台地址的列表，以使得源远程管理平台根据用户的请求的目标运营商及位置信息确定终端当前所在位置的目标运营商的远程管理平台，其中，表示终端当前所在位置的信息终端可以为终端当前所在网络的国家码，表示终端当前所在的位置信息也可以为终端当前所在的跟踪区域标识TA1、路由区域标识RAI或位置区域标识LAI，表示终端当前所在的位置信息还可以为终端当前所在的网络实体的标识，如MME或SGSN的标识信息或地址信息，本实施例对此不做限定。一般情况下，目标远程管理平台默认是源远程管理平台可以连接的目标运营商的远程管理平台。
[0259]请求消息发送单元83，用于将所述变更签约请求消息发送给所述目标远程管理平台，以使所述终端能够从目标远程管理平台获取所述目标运营商网络的执行文件。
[0260]所述装置还包括:
[0261]第一响应消息接收单元84，用于接收所述目标远程管理平台根据该变更签约请求返回的变更签约请求响应消息，所述响应消息携带所述目标远程管理平台的地址信息；
[0262]第一响应消息发送单元85，用于将携带有所述目标远程管理平台的地址信息的所述响应消息发送至所述终端，以使所述终端根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，并通过所述连接获取所述目标运营商网络的执行文件。或者，
[0263]第二响应消息接收单元86，用于接收所述目标远程管理平台根据该变更签约请求返回的变更签约请求响应消息。所述响应消息携带所述目标远程管理平台的地址信息及所述目标远程管理平台的临时接入证书；
[0264]第二响应消息发送单元87，用于将携带有所述目标远程管理平台的地址信息和临时接入证书的所述响应消息发送给所述终端，以使所述终端根据目标远程管理平台的地址信息与所述目标远程管理平台建立连接，且根据所述临时接入证书完成与目标远程管理平台的认证后，通过所述连接获取目标运营商网络的执行文件。或者，
[0265]第三响应消息接收单元88，用于接收所述目标远程管理平台根据所述变更签约请求消息返回的变更签约请求响应消息，所述响应消息中携带所述目标运营商网络的执行文件；
[0266]第三响应消息发送单元89，用于将携带有所述目标运营商的的执行文件的所述响应消息发送给所述终端，使所述终端获取所述目标运营商网络的执行文件。
[0267]本发明【具体实施方式】提供一种用于目标远程管理平台的远程变更签约装置，如图9所示,包括:
[0268]请求消息接收单元91，用于接收源远程管理平台发送的变更签约请求消息，所述变更签约请求消息由终端发送至源远程管理平台，用于请求将所述终端的签约变更到目标运营商；
[0269]执行文件发送单元92，用于向终端提供所述终端请求的所述目标运营商网络的执行文件。
[0270]所述执行文件发送单元92，具体可以包括:
[0271]第一响应消息发送模块921，用于向源远程管理平台返回所述更变签约请求的变更签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端，所述响应消息包括:目标远程管理平台的地址信息；
[0272]第一执行文件发送模块922，用于所述目标远程管理平台与所述终端建立连接，并通过所述连接向所述终端发送所述目标运营商网络的执行文件。或者，
[0273]第二响应消息发送模块923，用于向源远程管理平台返回所述更变签约请求的变更签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端，所述响应消息包括:目标远程管理平台的地址信息及目标远程管理平台的临时接入证书；
[0274]第二执行文件发送模块924，用于所述目标远程管理平台与所述终端建立连接，并根据所述临时接入证书完成对所述终端的验证后，向所述终端发送所述终端请求的所述目标运营商网络的执行文件；或者，
[0275]第三响应消息发送模块925，用于根据变更签约请求消息向源远程管理平台返回携带有所述目标运营商网络的执行文件的更变签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端。
[0276]可选地，本装置还包括:
[0277]加密单元93，用于采用密钥对中的公钥对响应消息或执行文件进行加密。
[0278]其中，所述加密单元93可以采用第一密钥对的公钥加密所述变更签约请求响应消息。或者，
[0279]所述加密单元93也可以采用第二密钥对的公钥加密所述目标运营商网络的执行文件。或者，[0280]所述加密单元93也可以采用第三密钥对的公钥加密获取执行文件请求消息的响应消息，所述响应消息是在终端与目标远程管理平台建立连接后，由目标远程管理平台根据终端发送的获取执行文件请求消息返回的响应消息。或者，
[0281]所述加密单元93也可以采用第四密钥对的公钥加密获取执行文件请求消息的响应消息中携带的执行文件，所述响应消息是在终端与目标远程管理平台建立连接后，由目标远程管理平台根据终端发送的获取执行文件请求消息返回的响应消息。
[0282]本实施例提供一种远程变更签约方法，应用于如图10所示的技术场景如图10中具体包括:
[0283]终端，所述终端包括eUICC，所述eHCC包括:PI模块和PM模块。
[0284]源远程管理平台SMl，所述SMl包括SMl-SR和SM1-DP，源运营商网络MNOl，其对应的执行文件为0P#1，所述MNOl的用户签约由SMl管理。
[0285]目标远程管理平台SM2，所述SM2包括SM2-SR和SM2-DP，目标运营商网络MN02，其对应的执行文件为0P#2，所述MN02的用户签约由SM2管理，其中，SMl不管辖MN02的签约。
[0286]终端当前在运营商MNOl网络下，由SMl对其签约进行管理，用户期望将签约由MNOl变更到MN02，在变更之前，与变更过程需要的密钥对已经存储在UE的eUICC内与SMl侦牝所述密钥对具体为:公钥PIC-PKt和私钥PIC-Kt，其中公钥PIC-PKt存储在SMl-DP内，PIC-Kt存储在终端的enCC的PI模块内；公钥PKt和私钥Κτ，其中，公钥PKt存储在SMl-SR内，Kt存储在终端的enCC的PM模块内，本实施例提供的方法如图11所示，包括:
[0287]SllOU eUICC的PM模块向SMl-SR发送变更签约请求消息，该请求消息用于请求将终端的签约由MNOl变更到MM02。所述请求消息携带有:目标运营商标识信息，可选的携带终端当前所在的位置信息，其中，终端当前所在的位置信息可以为终端当前所在网络的国家码，终端当前所在的位置信息也可以为终端当前所在的跟踪区域标识TA1、路由区域标识RAI或位置区域标识LAI，终端当前所在的位置信息还可以为终端当前所在的网络实体的标识，如MME或SGSN的标识信息或地址信息,本实施例对此不做限定。
[0288]其中，终端与SMl-SR之间利用现有密钥进行加密、认证，该过程利用现有技术，不再赘述。
[0289]S1102、SMl-SR发现MN02不属于其管辖范围时，确定目标远程管理平台为SM2，其中，SMl-SR根据变更签约请求消息中携带的目标运营商信息MN02，从其自身存储的执行文件中寻找是否存在目标运营商网络的执行文件，如果不存在目标运营商网络的执行文件，即可发现MN02不属于其管辖范围，同时，确定目标远程管理平台为SM2的过程包括:
[0290]源远程管理平台根据步骤S1102中变更签约请求消息中包括的位置信息确定终端当前所在位置的目标运营商的远程管理平台。当变更签约请求中不包含终端当前所在的位置信息，源远程管理平台可以向HLR/HSS查询，HLR/HSS返回该终端用户当前所在位置，源远程管理平台用所接收的位置信息确定终端当前所在位置的目标运营商的远程管理平台。具体的，运营商在远程管理平台可以维护一个终端所在位置、运营商及对应的远程管理平台地址的列表，以使得源远程管理平台根据用户的请求的目标运营商及位置信息确定终端当前所在位置的目标运营商的远程管理平台，其中，表示终端当前所在位置的信息终端可以为终端当前所在网络的国家码，表示终端当前所在的位置信息也可以为终端当前所在的跟踪区域标识TA1、路由区域标识RAI或位置区域标识LAI，表示终端当前所在的位置信息还可以为终端当前所在的网络实体的标识，如MME或SGSN的标识信息或地址信息，本实施例对此不做限定。一般情况下，目标远程管理平台默认是源远程管理平台可以连接的目标运营商网络的远程管理平台。
[0291]S1103、SMl-SR将上述变更签约请求消息发送给SM2-SR，上述变更签约请求消息用于告知SM2-SR有终端需要更换签约至MN02 ；
[0292]S1104,SMl-SR允许SM2-SR对该终端用户的签约进行管理，则SM2-SR可以对终端的签约进行管理；
[0293]SI 105、SMl-SR 将 eUICC 的信息发送给 SM2-SR，所述 eUICC 的信息包括:PIC_PKT、PKt和eUICC的相关信息(例如，eUICC标识信息等)；
[0294]该步骤中的信息可以通过单独的信令消息携带，或在步骤1103中的变更签约请求消息中携带。
[0295]SI 106、SM2-SR向SM2-DP请求0P#2文件，并将公钥PIC-PKt和eUICC标识信息发送给 SM2-DP ；
[0296]S1107、SM2-DP向MN02的网络实体请求对用户进行鉴权、申请MS1、及获取0P#2文件；
[0297]SI 108、SM2-DP采用PIC-PKt加密所述0P#2文件，并将加密的0P#2文件发送给SM2-SR ；
[0298]S1109、SM2-SR向SMl-SR返回变更签约请求的响应消息，响应消息中携带所述加密的0P#2文件，并采用PKt加密所述变更签约请求的响应消息；
[0299]S1110、SMl-SR向终端返回携带所述加密的0P#2文件的变更签约请求的响应消息；
[0300]SlllUeUICC的PM模块获取所述获取profile文件响应消息，并使用Kt对所述变更签约请求的响应消息进行解密，获取响应消息中包含的所述加密的0P#2，并将所获取的加密的0P#2发送给enCC的PI模块；
[0301]S1112、eUICC的PI模块使用PIC-Kt对所述加密的0P#2文件进行解密，获得可激活的0P#2文件；
[0302]SI 113、终端的eUICC的PI模块安装0P#2文件，激活0P#2文件，去激活0P#1文件；
[0303]S1114、终端的eHCC通过0P#2文件中的NAA2与MN02建立固定连接；
[0304]SI 115、eUICC的PM模块向SM1-SR发送文件状态信息，SMl-SR判断该UE当前由SM2-SR管理，则将文件状态信息发送至SM2-SR。
[0305]本实施例提供的方法在SMl-SR发现MN02不属于其管辖时，依据终端发送的目标运营商标识信息和终端当前所在的位置信息确定目标运程管理平台为SM2，将该变更签约请求消息发送给SM2-SR，SM2-SR根据该变更签约请求消息获取MM02的0P#2文件，然后通过SMl-SR发送给终端的eUICC，终端的enCC得到0P#2文件后，通过该0P#2文件接入到不属于SMl-SR管辖的MN02，这样就实现了跨SM的签约切换。另外，上述方法中0P#2文件及响应消息还可以通过加密的方式来发送，从而提高了 0P#2文件传输的安全性。
[0306]本实施例提供一种远程变更签约方法，本实施例实现的技术场景与如图11所示的实施例相同，本实施例提供的方法如图12所示，包括:[0307]S1201、enCC的PM模块向SMl-SR发送变更签约请求消息，该请求消息用于请求将终端的签约由MNOl变更到MM02，所述请求消息携带有:目标运营商标识信息可选的携带终端当前所在的位置信息，其中，终端当前所在的位置信息可以为终端当前所在网络的国家码，也可以为终端当前所在的跟踪区域标识TAI或路由区域标识RAI或位置区域标识LAI，或终端当前所在的网络实体的标识，如MME或SGSN的标识信息或地址信息，本实施例对此不做限定。源远程管理平台根据该位置信息确定终端当前所在位置的目标运营商的远程管理平台，具体确定终端当前所在位置的目标运营商的远程管理平台的过程请参阅SllOl中的描述；
[0308]S1202、SMl-SR发现MN02不属于其管辖范围时，并根据S1201步骤确定终端当前所在位置的目标远程管理平台为SM2。
[0309]S1203、SMl-SR将上述变更签约请求消息发送给SM2-SR，上述变更签约请求消息用于告知SM2-SR有终端需要更换签约至MN02 ；
[0310]S1204、SM1-SR允许SM2-SR对该终端用户的签约进行管理，此时，SM2-SR可以对终端的签约进行管理；
[0311]S1205、SMl-SR 将 eUICC 的信息发送给 SM2-SR，所述 eUICC 的信息包括:PIC_PKT、PKt和eUICC的相关信息(例如，eUICC标识信息等)；
[0312]S1206、SM2_SR根据该变更签约请求生成临时接入证书，该临时接入证书用于后续eUICC和SM2-SR之间进行认证。
[0313]S1207、SM2_SR向SMl-SR发送由PKt加密的变更签约响应消息，所述变更签约响应消息中携带所述临时接入证书和SM2-SR的地址信息。
[0314]S1208,SMl-SR将携带所述临时接入证书和SM2-SR的地址信息的变更签约响应消息发送给eUICC的PM模块；
[0315]S1209,eUICC的PM模块采用Kt解密所述变更签约响应消息，获取所述变更签约响应消息中的临时接入证书和SM2-SR的地址信息；
[0316]S1210、eUICC的PM模块根据所述SM2-SR的地址信息，向SM2-SR发送获取profile文件请求消息，并在请求消息中携带临时接入证书，使得终端与SM2-SR通过所述临时接入证书完成与SM2-SR的身份验证；
[0317]SM2-SR通过身份验证之后，废除所述临时接入证书的权限；
[0318]其中，SM2-SR生成临时接入证书、eUICC使用所述临时接入证书与SM2-SR完成认证为可选操作，也可以由enCC中的Kt加密获取文件请求消息，由SM2-SR中从SMl-SR接收的的PKt解密，以实现enCC和SM2-SR之间的认证。
[0319]S1211、SM2-SR接收获取profile文件请求消息,并根据所述获取profile文件请求消息，向SM2-DP请求0P#2文件；该步骤中SM2-SR可以通过对临时接入证书的认证，以接收到获取profile文件请求消息,或用PKt解密接收到获取profile文件请求消息。
[0320]S1212、SM2-DP向MM02的网络实体请求对用户进行鉴权、申请MS1、及获取0P#2文件等；
[0321]S1213、SM2-DP采用PIC-PKt加密所获取的0P#2文件，并将加密的0P#2文件发送给 SM2-SR ；
[0322]S1214、SM2_SR向终端返回获取profile文件请求的响应消息，响应消息中携带所述加密的0P#2文件，并采用PKt加密所述获取profile文件响应消息；
[0323]S1215,eUICC的PM模块接收所述获取profile文件请求的响应消息，并使用Kt对所述获取profile文件请求的响应消息进行解密，获取响应消息中的加密的0P#2文件，并将所获取0P#2文件发送给enCC的PI模块；
[0324]S1216、eUICC的PI模块使用PIC-Kt对所获取的加密的0P#2文件进行解密，获得可激活的0P#2文件；
[0325]S1217、终端的JICC安装0P#2文件，激活0P#2文件，去激活0P#1文件；
[0326]S1218、终端的eHCC通过0P#2文件中的NAA2与MN02建立固定连接；
[0327]S1219、eUICC的PM模块接入SM2-SR，返回profile文件状态信息；
[0328]S1220、SM2-SR向SM1-SR返回终端profile文件状态信息。
[0329]本实施例提供的方法，通过SMl将终端的变更签约请求消息发送至SM2，SM2根据变更请求消息返回响应消息，通过响应消息中携带的SM2地址信息，建立终端与SM2的连接，终端通过该连接获取MN02的执行文件，并通过该执行文件接入MN02网络，从而实现了跨SM的签约切换。
[0330]本发明【具体实施方式】提供又一实施例，本实施例提供一种远程变更签约方法，本实施例实现的技术场 景与如图11所示的实施例相同，本实施例提供的方法如图13所示，包括:
[0331]S1301-S1309步骤与图12中S1201-S1209步骤相同，此处不再赘述。
[0332]S1310、eUICC 产生新的密钥对 N-PIC-PKT/N-PIC_KT 和 N_PKT/N_KT，
[0333]S1311、eHCC将新密钥中的公钥N-PIC-PKt和N-PKt发送给SM2。此处
[0334]enCC可以通过密钥更新请求消息将新密钥发送给SM2.[0335]eUICC的PM模块根据获取的所述SM2-SR的地址信息，向SM2-SR发送密钥更新请求消息，并在请求消息中携带临时接入证书，使得终端与SM2-SR通过所述临时接入证书完成与SM2-SR的身份验证，建立连接以通信；该消息的安全传递过程与其他步骤类似，此处不再赘述。
[0336]SM2-SR通过身份验证之后，废除所述临时接入证书的权限；
[0337]其中，SM2-SR生成临时接入证书、eUICC使用所述临时接入证书与SM2-SR完成认证为可选操作，也可以由enCC中的Kt加密密钥更新请求消息，由SM2-SR中从SMl-SR接收的的PKt解密，以实现enCC和SM2-SR之间的认证。
[0338]S1312、SM2_SR接收到eHCC发送的密钥并通过对eHCC的认证后，返回密钥更新确认消息。该消息的安全传递过程与其他步骤类似，此处不再赘述。成功接收密钥消息后，eUICC和SM2分别将删除旧密钥PIC_KT/KT和PIC_PKT/PKT。
[0339]S1313、eUICC的PM模块向SM2-SR发送获取profile文件请求消息，该消息可由eUICC中的N-Kt加密以安全发送至SM2-SR。
[0340]S1314、SM2-SR接收获取profile文件请求消息，并根据所述获取profile文件请求消息，向SM2-DP请求0P#2文件；该步骤中SM2-SR可以通过N-PKt解密接收到获取profile文件请求消息。
[0341]S1315、SM2-DP向MM02的网络实体请求对用户进行鉴权、申请MS1、及获取0P#2文件等；[0342]S1316、SM2-DP采用N_PIC_PKT加密所述0P#2文件，并将加密的0P#2文件发送给SM2-SR ；
[0343]S1317、SM2_SR向终端返回获取profile文件请求的响应消息，响应消息中携带所述通过N-PIC-PKt加密的0P#2文件，并采用N-PKt加密所述获取profile文件响应消息；
[0344]S1318,eUICC的PM模块接收所述获取profile文件请求的响应消息，并使用N_KT，对所述获取profile文件请求的响应消息进行解密，获取响应消息中的加密的0P#2文件，并将解所获取的0P#2文件发送给enCC的PI模块；
[0345]S1319、eUICC的PI模块使用N_PIC_KT对所获取的加密的0P#2文件进行解密，获得可激活的0P#2文件；
[0346]S1320、终端的eWCC安装0P#2文件，激活0P#2文件，去激活0P#1文件；
[0347]S1321、终端的eHCC通过0P#2文件中的NAA2与MN02建立固定连接；
[0348]S1322、eUICC的PM模块接入SM2-SR，返回profile文件状态信息；
[0349]S1323、SM2-SR向SM1-SR返回终端profile文件状态信息。
[0350]本实施例中，当enCC成功接入SM2后，由eWCC产生新的密钥对，并在后续0P#2文件获取中使用新的密钥对传输文件及响应消息进行加密，进一步增强传输过程的安全性。
[0351]本实施例中UE向源远程管理平台发送变更签约请求消息，是指UE向当前服务UE的源远程管理平台发送变更签约请求消息，或当UE漫游时，请求消息被直接发送到漫游地的源远程管理平台对应的镜像远程管理平台。
[0352]图14示出了本发明实施例提供的终端的硬件结构框图，该终端用于运行本发明实施例所述的远程变更签约方法。为了便于说明，仅示出了与本实施例相关的部分。参照图14，该终端包括处理器141、存储器142和总线143，其中，处理器141和存储器142通过总线143进行相互间的通信，存储器142用于存储程序，处理器141用于执行存储器142中存储的程序，所述程序在被执行时，用于:
[0353]向源运营商的源远程管理平台发送变更签约请求消息，以使所述源远程管理平台向目标运营商的目标远程管理平台发送所述变更签约请求消息，所述变更签约请求消息用于请求将终端的签约变更到目标运营商，所述目标远程管理平台由源远程管理平台根据所述变更签约请求消息确定；
[0354]接收所述目标远程管理平台根据所述变更签约请求消息提供的所述目标运营商网络的执行文件；
[0355]激活所述执行文件，通过激活后的所述执行文件接入所述目标运营商网络。其中，所述目标远程管理平台由源远程管理平台根据所述变更签约请求消息确定，具体包括:
[0356]源远程管理平台根据所述变更签约请求消息中的目标运营商信息及所述终端当前所在位置信息进行确定，其中，所述终端当前所在位置信息携带在所述变更签约请求消息中或由源远程管理平台从所述终端的归属位置寄存器/归属用户服务器查询获得
[0357]可选的，所述接收所述目标远程管理平台根据所述变更签约请求消息提供所述目标运营商网络的执行文件，具体包括:
[0358]接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息包含目标远程管理平台的地址信息；[0359]根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，通过所述连接获取目标运营商网络的执行文件。
[0360]可选的，所述接收目标远程管理平台发送的根据所述变更签约请求消息返回的目标运营商网络的执行文件，具体包括:
[0361]接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息包含目标远程管理平台的地址信息及目标远程管理平台的临时接入证书；
[0362]根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，且根据所述临时接入证书完成与目标远程管理平台的认证后，通过所述连接获取所述目标运营商网络的执行文件。
[0363]可选地，所述接收目标远程管理平台发送的根据所述变更签约请求消息提供的目标运营商网络的执行文件，具体包括:
[0364]接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息中携带所述目标运营商网络的执行文件；
[0365]从所述响应消息中获取所述目标运营商网络的执行文件。
[0366]可选的，在本发明实施例中，可以对所述响应消息及执行文件加密，则步所述接收目标远程管理平台发送的根据所述变更签约请求消息提供的目标运营商网络的执行文件，具体可以包括:
[0367]终端接收源远程管理平台发送的目标远程管理平台返回由第一密钥对的公钥加密的变更签约请求响应消息，且所述响应消息中携带有经第二密钥对的公钥加密的所述目标运营商网络的执行文件；
[0368]终端采用所述第一密钥对的私钥对所述响应消息进行解密，获取加密的所述目标运营商网络的执行文件，并采用所述第二密钥对的私钥对所述加密的目标运营商网络的执行文件进行解密得到目标运营商网络的执行文件。
[0369]其中，上述各实施例中，第一、二密钥对可以预先存储在终端设备及源远程管理平台，比如，签约时由运营商写入终端与源远程管理平台，目标远程管理平台的第一、二密钥对中的公钥可以由源远程管理平台发送。所述第一密钥对与第二密钥对可以为相同的密钥对，也可以为不同的密钥对，例如，所述第一密钥对可以为PKT/KT密钥对，所述第二密钥对可以为 pic-pkt/pic-kt。
[0370]请参考图15，本发明实施例提供的远程管理平台的结构图。本发明具体实施例并不对装置的具体实现做限定。装置1500包括:
[0371]处理器(processor)1510,通信接口(Communications Interface) 1520,存储器(memory) 1530,总线 1540。
[0372]处理器1510，通信接口 1520，存储器1530通过总线1540完成相互间的通信。
[0373]通信接口 1520，用于与网元通信。
[0374]处理器1510,用于执行程序1532。
[0375]具体地，程序1532可以包括程序代码，所述程序代码包括计算机操作指令。
[0376]处理器1510可能是一个中央处理器CPU，或者是特定集成电路ASICXApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。[0377]存储器1530，用于存放程序1532。存储器1530可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
[0378]程序1532具体可以用于:
[0379]接收终端发送的变更签约请求消息。所述变更签约请求消息用于请求将终端的签约变更到目标运营商；
[0380]根据所述变更签约请求消息确定目标运营商的目标远程管理平台；
[0381]将所述变更签约请求消息发送给所述目标远程管理平台，以使所述终端能够从目标远程管理平台获取所述目标运营商网络的执行文件。
[0382]本发明实施方式中，源远程管理平台将变更签约请求消息发送给目标远程管理平台，使目标远程管理平台可以提供终端切换所需要的目标运营商网络的执行文件。因此，本发明实施例提供的方法可以实现跨远程管理平台切换签约。
[0383]可选的，在本发明的一个实施例中，从目标远程管理平台获取所述目标运营商网络的执行文件，具体包括:
[0384]源远程管理平台接收所述目标远程管理平台根据该变更签约请求返回的变更签约请求响应消息。所述响应消息携带所述目标远程管理平台的地址信息。
[0385]将携带有所述目标远程管理平台的地址信息的所述响应消息发送至所述终端，以使所述终端根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，并通过所述连接获取所述目标运营商网络的执行文件。
[0386]可选的，在本发明的另一个实施例中，从目标远程管理平台获取所述目标运营商网络的执行文件，具体包括:
[0387]源远程管理平台接收所述目标远程管理平台根据该变更签约请求返回的变更签约请求响应消息。所述响应消息携带所述目标远程管理平台的地址信息及所述目标远程管理平台的临时接入证书，
[0388]将携带有所述目标远程管理平台的地址信息和临时接入证书的所述响应消息发送给所述终端，以使所述终端根据目标远程管理平台的地址信息与所述目标远程管理平台建立连接，且根据所述临时接入证书完成与目标远程管理平台的认证后，通过所述连接获取目标运营商网络的执行文件。
[0389]可选的，在本发明的再一个实施例中，从目标远程管理平台获取所述目标运营商网络的执行文件，具体包括:
[0390]源远程管理平台接收所述目标远程管理平台根据所述变更签约请求消息返回的变更签约请求响应消息，所述响应消息中携带所述目标运营商网络的执行文件；
[0391]将携带有所述目标运营商的的执行文件的所述响应消息发送给所述终端，使所述终端获取所述目标运营商网络的执行文件。
[0392]其中，所述响应消息可以由第一密钥对的公钥加密，所述响应消息中携带的所述目标运营商网络的执行文件可以由第二密钥对的公钥加密；
[0393]终端接收到所述响应消息后，可以采用所述第一密钥对的私钥对所述响应消息进行解密，获取加密的所述目标运营商网络的执行文件，并采用所述第二密钥对的私钥对所述加密的目标运营商网络的执行文件进行解密得到目标运营商网络的执行文件。
[0394]其中，上述各实施例中，第一、二密钥对可以预先存储在终端及源远程管理平台，t匕如，签约时由运营商写入终端与源远程管理平台，目标远程管理平台的第一、二密钥对的公钥可以由源远程管理平台发送。所述第一密钥对与第二密钥对可以为相同的密钥对，也可以为不同的密钥对，例如，所述第一密钥对可以为PKT/KT密钥对，所述第二密钥对可以为
pic-pkt/pic-kt。
[0395]或者所述程序1532具体还可以用于:
[0396]接收源远程管理平台发送的变更签约请求消息，所述变更签约请求消息由终端发送到至所述源远程管理平台，用于请求将所述终端的签约变更到目标运营商；
[0397]所述目标远程管理平台向所述终端提供所述终端请求的所述目标运营商网络的执行文件。
[0398]本发明【具体实施方式】提供的方法，目标远程管理平台接收到源远程管理平台发送的变更签约请求消息，并将目标运营商网络的执行文件提供给终端以使该终端依据该执行文件实现目标运营商网络的接入。上述方法实现了跨远程管理平台切换签约。
[0399]可选地，所述目标远程管理平台向所述终端提供所述终端请求的所述目标运营商网络的执行文件，具体包括:
[0400]所述目标远程管理平台向源远程管理平台返回所述更变签约请求的变更签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端，所述响应消息包括:所述目标远程管理平台的地址信息；`
[0401]所述目标远程管理平台与所述终端建立连接，并通过所述连接向所述终端发送所述目标运营商网络的执行文件。
[0402]可选地，所述目标远程管理平台向所述终端提供所述终端请求的所述目标运营商网络的执行文件，具体包括::
[0403]所述目标远程管理平台向源远程管理平台返回所述更变签约请求的变更签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端，所述响应消息包括:目标远程管理平台的地址信息及目标远程管理平台的临时接入证书；
[0404]所述目标远程管理平台与所述终端建立连接，并根据所述临时接入证书完成对所述终端的验证后，向所述终端发送所述终端请求的所述目标运营商网络的执行文件。
[0405]可选地，所述目标远程管理平台向终端提供所述终端请求的所述目标运营商网络的执行文件，具体包括:
[0406]所述目标远程管理平台根据变更签约请求消息向源远程管理平台返回携带有所述目标运营商网络的执行文件的更变签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端。
[0407]本领域普通技术人员还可以理解，实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以在存储于一计算机可读取存储介质中，所述的存储介质，包括R0M/RAM、磁盘、光盘等。
[0408]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明提供的技术方案之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种用于终端的远程变更签约方法，其特征在于，所述方法包括: 向源运营商的源远程管理平台发送变更签约请求消息，以使所述源远程管理平台向目标运营商的目标远程管理平台发送所述变更签约请求消息，所述变更签约请求消息用于请求将终端的签约变更到目标运营商，所述目标远程管理平台由源远程管理平台根据所述变更签约请求消息确定； 接收所述目标远程管理平台根据所述变更签约请求消息提供的所述目标运营商网络的执行文件； 激活所述执行文件，通过激活后的所述执行文件接入所述目标运营商网络。
2.根据权利要求1所述的方法，其特征在于，所述目标远程管理平台由源远程管理平台根据所述变更签约请求消息确定，具体包括: 源远程管理平台根据所述变更签约请求消息中的目标运营商信息及所述终端当前所在位置信息进行确定，其中，所述终端当前所在位置信息携带在所述变更签约请求消息中或由源远程管理平台从所述终端的归属位置寄存器/归属用户服务器查询获得。
3.根据权利要求1或2所述的方法，其特征在于，所述接收所述目标远程管理平台根据所述变更签约请求消息提供所述目标运营商网络的执行文件，具体包括: 接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息包含目标远程管理平台的地址信息； 根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，通过所述连接获取目标运营商网络的执行文件。
4.根据权利要求1或2`所述的方法，其特征在于，所述接收目标远程管理平台发送的根据所述变更签约请求消息提供的目标运营商网络的执行文件，具体包括: 接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息包含目标远程管理平台的地址信息及目标远程管理平台的临时接入证书； 根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，且根据所述临时接入证书完成与目标远程管理平台的认证后，通过所述连接获取所述目标运营商网络的执行文件。
5.根据权利要求1或2所述的方法，其特征在于，所述接收目标远程管理平台发送的根据所述变更签约请求消息提供的目标运营商网络的执行文件，具体包括: 接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息中携带所述目标运营商网络的执行文件； 从所述响应消息中获取所述目标运营商网络的执行文件。
6.根据权利要求3至5任一权利要求所述的方法，其特征在于，所述变更签约请求响应消息由所述目标远程管理平台采用第一密钥对的公钥加密，所述终端收到所述变更签约响应消息后采用第一密钥对的私钥解密所述变更签约响应消息；和/或 所述目标运营商网络的执行文件由所述目标远程管理平台采用第二密钥对的公钥加密，所述终端收到所述加密的目标运营商网络的执行文件后采用第二密钥对的私钥对加密的目标运营商网络的执行文件进行解密获取目标运营商网络的执行文件。
7.权利权利要求3或4所述的方法，其特征在于，根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接后，所述方法还包括:所述终端生成第三密钥对和第四密钥对，并将所述第三、第四密钥对中的公钥发送至目标远程管理平台。
8.一种用于源远程管理平台的远程变更签约方法，其特征在于，所述方法包括: 源远程管理平台接收终端发送的变更签约请求消息，所述变更签约请求消息用于请求将终端的签约变更到目标运营商，源远程管理平台根据所述变更签约请求消息目标运营商的目标远程管理平台； 源远程管理平台将所述变更签约请求消息发送给所述目标远程管理平台，以使所述终端从目标远程管理平台获取所述目标运营商网络的执行文件。
9.根据权利要求8所述的方法，其特征在于，所述源远程管理平台根据所述变更签约请求消息目标运营商的目标远程管理平台，具体包括: 源远程管理平台根据所述变更签约请求消息中的目标运营商信息及所述终端当前所在位置信息确定目标运营商的目标远程管理平台，其中，所述终端当前所在位置信息携带在所述变更签约请求消息中或由源远程管理平台从所述终端的归属位置寄存器/归属用户服务器查询获得。
10.根据权利要求8或9所述的方法，其特征在于，所述终端从目标远程管理平台获取所述目标运营商网络的执行文件，具体包括: 接收所述目标远程管理平台根据该变更签约请求返回的变更签约请求响应消息，所述响应消息携带 所述目标远程管理平台的地址信息； 将携带有所述目标远程管理平台的地址信息的所述响应消息发送至所述终端，以使所述终端根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，并通过所述连接获取所述目标运营商网络的执行文件。
11.根据权利要求8或9所述的方法，其特征在于，所述终端从目标远程管理平台获取所述目标运营商网络的执行文件，具体包括: 源远程管理平台接收所述目标远程管理平台根据该变更签约请求返回的变更签约请求响应消息，所述响应消息携带所述目标远程管理平台的地址信息及所述目标远程管理平台的临时接入证书， 将携带有所述目标远程管理平台的地址信息和临时接入证书的所述响应消息发送给所述终端，以使所述终端根据目标远程管理平台的地址信息与所述目标远程管理平台建立连接，且根据所述临时接入证书完成与目标远程管理平台的认证后，通过所述连接获取目标运营商网络的执行文件。
12.根据权利要求8或9所述的方法，其特征在于，所述终端从目标远程管理平台获取所述目标运营商网络的执行文件，具体包括: 接收所述目标远程管理平台根据所述变更签约请求消息返回的变更签约请求响应消息，所述响应消息中携带所述目标运营商网络的执行文件； 将携带有所述目标运营商的的执行文件的所述响应消息发送给所述终端，使所述终端获取所述目标运营商网络的执行文件。
13.一种用于目标远程管理平台的远程变更签约方法，其特征在于，所述方法包括: 目标远程管理平台接收源远程管理平台发送的变更签约请求消息，所述变更签约请求消息由终端发送到至所述源远程管理平台，用于请求将所述终端的签约变更到目标运营商； 所述目标远程管理平台向所述终端提供所述终端请求的所述目标运营商网络的执行文件。
14.根据权利要求13所述的方法，其特征在于，所述目标远程管理平台向所述终端提供所述终端请求的所述目标运营商网络的执行文件，具体包括: 所述目标远程管理平台向源远程管理平台返回所述更变签约请求的变更签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端，所述响应消息包括:所述目标远程管理平台的地址信息； 所述目标远程管理平台与所述终端建立连接，并通过所述连接向所述终端发送所述目标运营商网络的执行文件。
15.根据权利要求13述的方法，其特征在于，所述目标远程管理平台向所述终端提供所述终端请求的所述目标运营商网络的执行文件，具体包括:: 所述目标远程管理平台向源远程管理平台返回所述更变签约请求的变更签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端，所述响应消息包括:目标远程管理平台的地址信息及目标远程管理平台的临时接入证书； 所述目标远程管理平台与所述终端建立连接，并根据所述临时接入证书完成对所述终端的验证后，向所述终端发送所述终端请求的所述目标运营商网络的执行文件。
16.根据权利要求13述的方法，其特征在于，所述目标远程管理平台向终端提供所述终端请求的所述目标运营商网络的执行文件，具体包括: 所述目标远程管理平台根据变更签约`请求消息向源远程管理平台返回携带有所述目标运营商网络的执行文件的更变签约`请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端。
17.一种用于终端的远程变更签约装置，其特征在于，所述装置包括: 发送单元，用于向源运营商的源远程管理平台发送变更签约请求消息，以使所述源远程管理平台向目标运营商的目标远程管理平台发送所述变更签约请求消息，所述变更签约请求消息用于请求将所述终端所属用户的签约变更到所述目标运营商，所述目标远程管理平台由源远程管理平台根据所述变更签约请求消息确定； 接收单元，用于接收所述目标远程管理平台根据所述变更签约请求消息提供的所述目标运营商网络的执行文件； 激活单元，用于激活所述执行文件，通过激活后的所述执行文件接入所述目标运营商网络。
18.根据权利要求17所述的装置，其特征在于，所述接收单元包括第一接收模块和第一执行文件获取子模块；或者，第二接收模块和第二执行文件获取子模块；或者，第三接收模块和第三执行文件获取子模块；其中， 所述第一接收模块，用于接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息包含目标远程管理平台的地址信息； 所述第一执行文件获取子模块，用于根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，并通过所述连接获取目标运营商网络的执行文件； 所述第二接收模块，用于接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息包含目标远程管理平台的地址信息及目标远程管理平台的临时接入证书； 所述第二执行文件获取子模块，用于根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，且根据所述临时接入证书完成与目标远程管理平台的认证后，通过所述连接获取所述目标运营商网络的执行文件； 所述第三接收模块，用于接收源远程管理平台发送的目标远程管理平台返回的变更签约请求响应消息，所述响应消息中携带所述目标运营商网络的执行文件； 所述第三执行文件获取子模块，用于从所述响应消息中获取所述目标运营商网络的执行文件。
19.根据权利要求18所述的装置，其特征在于，所述装置还包括: 解密单元，用于采用密钥对中的私钥分别对响应消息及执行文件进行解密； 其中， 如果所述变更签约请求响应消息是由所述目标远程管理平台采用第一密钥对的公钥加密的，则解密单元采用第一密钥对的私钥解密所述变更签约响应消息，以获取所述变更签约响应消息中的临时接入证书和/或目标远程管理平台的地址信息，或者， 如果所述目标运营商网络的执行文件是由所述目标远程管理平台采用第二密钥对的公钥加密，则解密单元采用第二密钥对的私钥对加密的目标运营商网络的执行文件进行解密获取目标运营商网络的执行文件，或者， 如果获取执行文件请求消息的响应消息是由所述目标远程管理平台采用第三密钥对的公钥加密，其中，所述获取执行文件请求消息的响应消息是在终端与目标远程管理平台建立连接后，由目标远程管`理平台根据终端发送的获取执行文件请求消息返回的响应消息，则解密单元采用第三密钥对的私钥解密所述获取执行文件请求消息的响应消息，以获取所述获取目标运营商网络的执行文件响应消息中的加密的执行文件，或者， 如果获取执行文件请求消息的响应消息中携带的执行文件是由所述目标远程管理平台采用第四密钥对的公钥加密，则解密单元采用第四密钥对的私钥解密所述获取执行文件请求消息的响应消息中携带的加密的执行文件，以获取所述获取目标运营商网络的执行文件响应消息中的携带的解密的执行文件。
20.根据权利要求17至19任一项所述的装置，其特征在于，还包括: 密钥生成单元，用于生成第三密钥对和第四密钥对，所述第三、四密钥对用于分别对获取执行文件请求消息的响应消息及所述获取执行文件请求消息的响应消息中携带的目标运营商网络的执行文件进行加解密，所述获取执行文件请求消息的响应消息是在终端与目标远程管理平台建立连接后，由目标远程管理平台根据终端发送的获取执行文件请求消息返回的响应消息。。
21.一种用于源远程管理平台的远程变更签约装置，其特征在于，所述装置包括: 请求消息接收单元，用于接收终端发送的变更签约请求消息，所述变更签约请求消息用于请求将终端的签约变更到目标运营商； 确定单元，用于根据所述变更签约请求消息确定目标运营商的目标远程管理平台；请求消息发送单元，用于将所述变更签约请求消息发送给所述目标远程管理平台，以使所述终端能够从目标远程管理平台获取所述目标运营商网络的执行文件。
22.根据权利要求21所述的装置，其特征在于，所述装置，还包括第一响应消息接收单元和第一响应消息发送单元，或者，第二响应消息接收单元和第二响应消息发送单元，或者第三响应消息接收单元和第三响应消息发送单元，其中: 所述第一响应消息接收单元，用于接收所述目标远程管理平台根据该变更签约请求返回的变更签约请求响应消息，所述响应消息携带所述目标远程管理平台的地址信息； 所述第一响应消息发送单元，用于将携带有所述目标远程管理平台的地址信息的所述响应消息发送至所述终端，以使所述终端根据所述目标远程管理平台的地址信息与所述目标远程管理平台建立连接，并通过所述连接获取所述目标运营商网络的执行文件； 所述第二响应消息接收单元，用于接收所述目标远程管理平台根据该变更签约请求返回的变更签约请求响应消息。所述响应消息携带所述目标远程管理平台的地址信息及所述目标远程管理平台的临时接入证书； 所述第二响应消息发送单元，用于将携带有所述目标远程管理平台的地址信息和临时接入证书的所述响应消息发送给所述终端，以使所述终端根据目标远程管理平台的地址信息与所述目标远程管理平台建立连接，且根据所述临时接入证书完成与目标远程管理平台的认证后，通过所述连接获取目标运营商网络的执行文件， 所述第三响应消息接收单元，用于接收所述目标远程管理平台根据所述变更签约请求消息返回的变更签约请求响应消息，所述响应消息中携带所述目标运营商网络的执行文件; 所述第三响应消息发送单元，用于将携带有所述目标运营商的的执行文件的所述响应消息发送给所述终端，使所述终端获取所述目标运营商网络的执行文件。
23.一种用于目标远程管理平台的远程变更签约装置，其特征在于，所述装置包括: 请求消息接收单元，用于接收源远程管理平台发送的变更签约请求消息，所述变更签 约请求消息由终端发送至源远程管理平台，用于请求将所述终端的签约变更到目标运营商； 执行文件发送单元，用于向终端提供所述终端请求的所述目标运营商网络的执行文件。
24.根据权利要求23所述的装置，其特征在于，执行文件发送单元，具体包括:第一响应消息发送模块和第一执行文件发送模块，或者，第二响应消息发送模块和第二执行文件发送模块，或者，第三响应消息发送模块，其中: 所述第一响应消息发送模块，用于向源远程管理平台返回所述更变签约请求的变更签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端，所述响应消息包括:目标远程管理平台的地址信息； 所述第一执行文件发送模块，用于所述目标远程管理平台与所述终端建立连接，并通过所述连接向所述终端发送所述目标运营商网络的执行文件， 所述第二响应消息发送模块，用于向源远程管理平台返回所述更变签约请求的变更签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端，所述响应消息包括:目标远程管理平台的地址信息及目标远程管理平台的临时接入证书； 所述第二执行文件发送模块 ，用于所述目标远程管理平台与所述终端建立连接，并根据所述临时接入证书完成对所述终端的验证后，向所述终端发送所述终端请求的所述目标运营商网络的执行文件； 所述第三响应消息发送模块，用于根据变更签约请求消息向源远程管理平台返回携带有所述目标运营商网络的执行文件的更变签约请求响应消息，以使所述源远程管理平台将所述响应消息发送给所述终端。
25.根据权利要求24所述的装置，其特征在于，所述装置，还包括: 加密单元，用于采用密钥对中的公钥对响应消息或执行文件进行加密， 其中，所述加密单元采用第一密钥对的公钥加密所述变更签约请求响应消息；或者，所述加密单元采用第二密钥对的公钥加密所述目标运营商网络的执行文件；或者，所述加密单元采用第三密钥对的公钥加密获取执行文件请求消息的响应消息，所述获取执行文件请求消息的响应消息是在终端与目标远程管理平台建立连接后，由目标远程管理平台根据终端发送的获取执行文件请求消息返回的响应消息；或者， 所述加密单元采用第四密钥对的公钥加密获取执行文件请求消息的响应消息中携带的执行文件，所述获取执行文件请求消息的响应消息是在终端与目标远程管理平台建立连接后，由目标远程管理平台根据 终端发送的获取执行文件请求消息返回的响应消息。
【文档编号】H04L29/06GK103782568SQ201380002239
【公开日】2014年5月7日 申请日期:2013年8月30日 优先权日:2013年8月30日
【发明者】李永华, 钱点点, 宋琦, 衣强, 金辉 申请人:华为终端有限公司