ES6 (MNO-eUICC) 接口中 OTA 平台通信概述
1. 概述
-
**ES6 接口:** 连接 MNO OTA 平台与 eUICC 内部配置文件的安全通道。
-
**目的:** 允许 MNO 通过 OTA 方式对 eUICC 上的配置文件进行远程管理,例如启用/禁用配置文件、更新策略规则等。
2. 安全通道
-
ES6 接口使用 ETSI TS 102 225 [4] 和 ETSI TS 102 226 [5] 中定义的 SCP80 或 SCP81 安全通道。
-
**SCP80:** 基于对称密钥加密,提供数据机密性和完整性保护。
-
**SCP81:** 提供比 SCP80 更强的安全性,使用更长的密钥长度和更强的加密算法。
3. 安全设置
-
本规范建议 ES6 接口至少采用 ES5 接口中定义的最低安全设置 (见 2.4.2)。
-
**密钥长度:** AES-128 位。
-
**加密模式:** CBC 模式。
-
**消息认证码 (MAC):** AES CMAC 模式,64 位长度。
-
**安全协议标识符 (SPI):** 设置为 '16',表示使用 AES CMAC 和 CBC 加密。
-
**PoR (Proof of Receipt):** 在发送响应消息时使用 PoR,以确认命令执行结果。
4. 协议选择
-
MNO 可以选择使用 SMS、CAT_TP 或 HTTPS 作为 ES6 接口的传输协议,具体取决于 eUICC 和设备的通信能力以及要执行的操作类型。
-
**SMS:**
-
适用于命令长度较短或需要触发 HTTPS 或 CAT_TP 会话的情况。
-
需遵循 3GPP TS 31.115 [13] 和 ETSI TS 102 226 [5] 中定义的安全要求。
-
需使用 AES CMAC 和 CBC 加密,并设置 SPI 为 '39' 以启用 PoR 和加密。
-
**HTTPS:**
-
适用于需要传输较大数据量或需要更复杂通信协议的情况。
-
需使用 PSK-TLS (预共享密钥 TLS) 协议,并支持 TLS 1.2。
-
PSK 需具有至少 128 位的熵。
-
需支持 DNS 解析,以解析 SM-SR 的 IP 地址。
5. 通知流程
-
eUICC 可以通过 SMS、CAT_TP 或 HTTPS 向 SM-SR 发送默认通知,例如首次网络连接、配置文件启用或回滚等。
-
通知消息的内容格式在所有协议中都是相同的。
-
SM-SR 需确认收到通知,并根据协议类型执行相应的确认流程。
6. 关键点
-
ES6 接口的安全性和可靠性对于 MNO 远程管理 eUICC 至关重要。
-
规范建议采用强加密算法和协议,并启用 PoR 机制以确保命令执行结果。
-
MNO 应根据 eUICC 和设备的通信能力选择合适的传输协议,并配置相应的安全参数。
总结
ES6 接口在 eUICC 远程配置和管理中扮演着重要角色,其安全性至关重要。 了解 ES6 接口的安全机制、协议选择和通知流程,有助于 MNO 有效地对 eUICC 进行远程管理。