SGP.22-V.3.1-安全3

有任何关于GSMA\IOT\eSIM\RSP\业务应用场景相关的问题,欢迎+W: xiangcunge59 一起讨论, 共同进步 (加的时候请注明: 来自CSDN-iot).

ReplaceSessionKeys

您提供的文本描述了在加载绑定配置文件包(Bound Profile Package,BPP)期间,如何使用"ReplaceSessionKeys"(替换会话密钥)功能来更新BSP(基站接口协议)会话密钥的过程。以下是对这段文本的详细解释:

功能:ReplaceSessionKeys(替换会话密钥)

  • **相关流程**:配置文件的下载和安装。

  • **功能提供实体**:ISD-R(集成安全域-远程)。

功能描述

  • 在加载BPP时,此功能用于替换现有的BSP会话密钥(S-ENC和S-MAC),用一组新的会话密钥(通常是PPK-ENC和PPK-CMAC,如第2.5节所述)。

  • 注意,这个功能会同时替换两个密钥,不允许只替换其中一个。

eUICC接收到功能时的行为

  1. **密钥长度验证**:eUICC将验证新密钥与旧密钥的长度是否相同。如果长度不一致,eUICC将返回一个错误,并中止加载BPP。

  2. **替换会话密钥**:如果新密钥的长度验证通过,eUICC将用新的密钥集替换当前的会话密钥。

  3. **使用新密钥集**:一旦功能成功执行,eUICC将使用这组新的密钥集来解密和进行MAC(消息认证码)验证后续的BSP有效载荷块数据。

  • **密钥类型保持不变**:新密钥集的类型与它们替换的会话密钥类型相同。

总结

"ReplaceSessionKeys"功能是确保在加载BPP过程中密钥安全性的关键步骤。通过替换会话密钥,可以为传输的数据提供额外的安全层,尤其是在使用随机密钥模式时。这种机制有助于防止潜在的中间人攻击,因为每次加载BPP时都会使用不同的密钥集。

使用PPK的好处

在 SGP.22 v3.1 技术规范中提到的这段内容涉及配置文件(Profile)的创建过程以及服务提供商(Operator)和订阅管理数据准备服务器(SM-DP+)的角色。以下是对这段内容的详细解释:

  1. **配置文件创建过程**:虽然配置文件的创建过程本身不在本技术规范的范围之内,但该过程对于远程 SIM 配置(RSP)架构至关重要。配置文件通常包含了运营商的服务信息,如网络接入认证、用户身份信息等。

  2. **运营商的请求**:运营商可以请求 SM-DP+ 预先创建多个配置文件。这样做的目的是优化流程,以便在需要时可以快速地将这些配置文件分发给用户设备。

  3. **批量创建**:SM-DP+ 应能够批量创建这些配置文件,这通常涉及到自动化的配置文件生成过程。

  4. **使用随机密钥模式保护**:在创建过程中,SM-DP+ 必须使用随机密钥模式来保护这些配置文件。这意味着每个配置文件都将使用一组随机生成的密钥进行加密,以确保数据的安全性。

  5. **存储受保护的配置文件包 (PPPs)**:创建并加密后,这些受保护的配置文件包(Protected Profile Packages,PPPs)将被存储起来,以备后续使用。这些 PPPs 可以在需要时被检索并发送到目标 eUICC。

  6. **后续使用**:当用户设备需要下载和安装配置文件时,SM-DP+ 可以提供这些预先创建并存储的 PPPs。这可以加快服务交付的速度,并提高运营商的效率。

通过这种方式,运营商可以提前准备配置文件,确保在用户需要时可以迅速响应,同时保证了配置文件的安全性。这种预创建和保护机制是远程 SIM 配置流程中的一个重要环节,它允许运营商灵活地管理大量用户的服务配置文件。

在 SGP.22 v3.1 技术规范中提到的"随机密钥模式"(random key mode)是保护配置文件包(Profile Package Protection, PPP)的一种方法,它允许在没有特定 eUICC(嵌入式通用集成电路)信息的情况下预先进行保护。以下是对这种模式的详细解释:

  1. **预先保护**:在随机密钥模式下,SM-DP+(订阅管理数据准备服务器)可以预先创建并保护配置文件包,而不需要知道目标 eUICC 的具体信息。这有助于提高 SM-DP+ 的可扩展性,因为它可以批量生成受保护的配置文件包并存储起来,以备后续使用。

  2. **随机密钥**:在这种模式下,每个配置文件包都使用一组随机生成的密钥进行加密,而不是使用与特定 eUICC 会话相关的密钥。

  3. **初始 MAC 链值**:如果选择随机密钥模式,SM-DP+ 将为 PPP 的第一个数据段提供初始的消息认证码(MAC)链值。这个初始值与随机密钥一起提供。

  4. **数据块计数器**:用于计算完整性校验值(ICV)的数据块计数器被重置为其初始状态。这意味着,对于 PPP 的第一个数据段,计数器的值将被设置为 '00...01',这是一个 16 字节的值。

  5. **MAC 链方法**:如果不使用随机密钥模式,那么将应用第 2.6.4 节中定义的 MAC 链方法。这意味着,每个数据段的 MAC 计算将基于前一段的数据输出进行。

  6. **安全性**:无论是使用随机密钥模式还是基于会话的密钥模式,目的都是为了确保配置文件包在传输过程中的安全性和完整性。

通过使用随机密钥模式,SM-DP+ 可以在不与特定 eUICC 进行实时通信的情况下,预先准备好受保护的配置文件包,这有助于优化资源利用并提高服务交付的效率。当需要将配置文件交付给 eUICC 时,可以利用这些预先准备好的 PPP,从而加快整个配置文件下载和安装的过程。

相关推荐
云飞云共享云桌面24 分钟前
8位机械工程师如何共享一台图形工作站算力?
linux·服务器·网络
hikktn2 小时前
如何在 Rust 中实现内存安全:与 C/C++ 的对比分析
c语言·安全·rust
音徽编程3 小时前
Rust异步运行时框架tokio保姆级教程
开发语言·网络·rust
幺零九零零4 小时前
【C++】socket套接字编程
linux·服务器·网络·c++
23zhgjx-NanKon4 小时前
华为eNSP:QinQ
网络·安全·华为
23zhgjx-NanKon4 小时前
华为eNSP:mux-vlan
网络·安全·华为
点点滴滴的记录4 小时前
RPC核心实现原理
网络·网络协议·rpc
昔我往昔5 小时前
阿里云文本内容安全处理
安全·阿里云·云计算
Lionhacker5 小时前
网络工程师这个行业可以一直干到退休吗?
网络·数据库·网络安全·黑客·黑客技术
程思扬6 小时前
为什么Uptime+Kuma本地部署与远程使用是网站监控新选择?
linux·服务器·网络·经验分享·后端·网络协议·1024程序员节