GSMA SGP.31 eSIM IoT 架构与需求笔记

GSMA SGP.31 eSIM IoT 架构与需求笔记 (版本 1.2，2024 年 4 月 26 日)

一、 概述

1. 文档目的：

本文件旨在为网络受限和/或用户界面 (UI) 受限的物联网 (IoT) 设备中的嵌入式通用集成电路卡 (eUICC) 提供远程配置架构和需求规范。

2. 主要内容：

• 核心目标： 支持需要使用远程配置文件管理实体的 IoT 设备，同时包含对能源和网络受限设备以及无需远程配置文件管理实体的 IoT 设备的支持性要求。
  • 未来版本可能会根据需求增加对上述 IoT 设备类型的额外要求。
• 基本原则： 本文档基于 SGP.21 架构，并定义了与当前文档范围相关的特性。 两者需结合使用，以涵盖 IoT 设备 eSIM 配置的完整范围。

3. 目标受众：

• 运营商、eUICC 解决方案提供商、订阅管理提供商、IoT 设备供应商、标准组织、解决方案提供商、网络基础设施供应商、移动服务提供商、IoT 服务提供商以及其他受影响的行业机构的技术专家。

二、 关键术语定义

术语	描述
ActivationCode (激活码)	运营商发放的信息，用于请求下载和安装配置文件。
Associated eIM (关联 eIM)	其配置数据在 eUICC 和 PSMO 中可用的 eIM。
Bound Profile Package (绑定配置文件包)	如 SGP.21 中定义。
Connectivity Parameters (连接参数)	例如 HTTPS，用于专用网络的参数。
eIM Configuration Data (eIM 配置数据)	eUICC 用于验证 eIM 命令的数据。
eIM Configuration Operation (eIM 配置操作，eCO)	通过 IPA 对 eIM 配置数据执行的操作（例如：添加 eIM 配置数据、读取/删除 eUICC 中的 eIM 配置数据）。
Eligibility Check Information (资格检查信息)	如 SGP.21 中定义。
Emergency Profile (紧急配置文件)	一种操作配置文件，带有指示此配置文件用于紧急呼叫的属性，仅适用于支持语音功能的 IoT 设备。
Emergency Mechanism (紧急机制)	由 IPA 触发的基于 eUICC 的机制，用于启用和禁用紧急配置文件。
eUICC	如 SGP.21 中定义。
eUICC Package (eUICC 包)	eUICC。
Event (事件)	如 SGP.21 中定义。
Event Record (事件记录)	如 SGP.21 中定义。
Event Registration (事件注册)	如 SGP.21 中定义。
Event Retrieval (事件检索)	IPA 或 eIM 从 SM-DS 检索 eUICC 事件记录的过程。
Fallback Attribute (回退属性)	配置文件的属性，设置为标识要由回退机制启用的配置文件。
Fallback Mechanism (回退机制)	由 IPA 触发的基于 eUICC 的机制，在启用的配置文件失去网络连接时启用设置了回退属性的配置文件。
Fallback Profile (回退配置文件)
IoT (物联网)	如 TS.34 中定义。
IoT Device (物联网设备)	如 TS.34 中定义。
IPA Capabilities (IPA 功能)	IPA 支持的功能列表。
Mobile Service Provider (移动服务提供商)	移动服务提供商向订阅者提供订阅，作为运营商的一部分或与运营商签订批发协议的一方。移动服务提供商也可以是运营商。
Network Constrained Device (网络受限设备，NCD)	由于网络带宽和/或可用协议替代方案的限制，设备通常限于相对较低的数据速率，并可能允许异步数据协议。
Notification (通知)	注意：这也适用于配置文件状态的隐式更改，例如：作为启用另一个配置文件的结果。
Notification Receivers (通知接收者)	配置文件中定义的列表，包含要接收有关该配置文件的通知的 SM-DP+。
Operator (运营商)	如 SGP.21 中定义。
Profile (配置文件)	如 SGP.21 中定义。
Profile Package (配置文件包)	如 SGP.21 中定义。
Profile State Management Operation (PSMO，配置文件状态管理操作)	对 eUICC 上专用 ISD-P 中配置文件的更新状态执行的操作（例如：启用配置文件、禁用配置文件、删除配置文件、列出配置文件）。注意：在 SGP.21 中，相应的术语是配置文件管理。

三、 基本原则

1. 架构预期目标：

• BP01: 对包含 eUICC 的给定 IoT 设备执行远程管理操作。
• BP02: 应能够建立包含 eUICC 的 IoT 设备的安全完整性和真实性。
• BP03: 应能够在没有 SMS 的情况下配置 IoT 设备中的 eUICCs。
• BP04: 应能够在不支持面向连接协议（例如：TCP/IP）的 IoT 设备中配置 eUICCs。
• BP05: 应能够使用基于 CoAP 的轻量级协议（例如：LwM2M）以安全的方式通过 LPwA 网络传输配置文件下载和配置文件状态管理操作相关消息（例如：ES8+ 消息）。
• BP06: 架构应支持以异步方式执行配置文件下载和配置文件状态管理操作，并在 IoT 设备周期上执行。注：可能需要将有关请求的信息存储更长时间，直到 IoT 设备连接。
• BP08: 架构应允许向 IoT 设备推送机制以启动配置文件配置或管理事务。
• BP09: 架构应允许 IoT 设备轮询以检查是否存在配置文件配置或管理事务。
• BP10: 架构应避免 IoT 设备与 RSP 系统之间持续且频繁的轮询。
• BP11: 通知机制应考虑到 IoT 设备在网络中的可用性可能有限，并且应适应在受限网络（例如：LPwA 网络）中的使用。
• BP12: 应能够允许实体（例如：IoT 设备所有者/用户、企业或 IoT 服务提供商）以安全的方式远程启用、禁用和删除配置文件。
• BP13: 应能够允许管理 IoT 设备群（例如：IoT 设备所有者/用户、企业、移动服务提供商或 IoT 服务提供商）的实体对其 IoT 设备执行远程操作。
• BP14: 应能够利用 IoT 设备现有的协议栈进行 IoT 设备和数据管理（例如：CoAP over DTLS）以安全地传输（例如：ES8+ 消息）到和来自 IoT 设备。
• BP21: 应能够使用 IP 传输（例如：CoAP over UDP）配置 IoT 设备中的 eUICCs。
• BP22: 应能够使用非 IP 传输（例如：CoAP over NIDD）配置 IoT 设备中的 eUICCs。
• BP24: 架构应支持单轮次密钥管理协议。
• BP26: 架构应支持配置文件状态管理操作和配置文件下载操作，不同组件和/或不同实体之间的集成应尽可能少。
• BP27: 架构应优化网络与 IoT 设备之间的流量（例如：避免过多的轮询），以实现大规模 IoT 部署。应遵循 GSMA 的“TS.34 - IoT 设备连接效率指南”。
• BP28: 架构应尽量减少 IoT 设备/eUICC 端的操作次数，以避免具有很长使用寿命的 IoT 设备磨损敏感内存。
• BP30: 当连接可用且 IoT 设备可以处理任务时，传输通知应具有很高的可靠性，同时考虑到存储通知直到可以发送的有限内存。
• BP31: 应能够以安全的方式远程触发 IoT 设备开始下载配置文件。
• BP32: 应能够在不需要与给定 IoT 设备进行本地交互的情况下执行 BP31、BP15 和 BP16 中描述的远程操作。
• BP34: 过程的计算复杂性应与 IoT 设备具有有限功率和/或总寿命能量资源的流程事务延迟一致，而不会影响安全级别。

四、 IoT 设备原则

• DEVP1: 配置文件限制对 IoT 设备功能的影响不在本规范范围内。
• DEVP2: IoT 设备上的配置文件处理相关代码应尽量减少，以节省内存受限 IoT 设备的内存。

五、 IoT 配置文件原则

• PROF1: 本文档使用 SGP.21 中定义的术语“配置文件”。
• PROF2: 配置文件描述由可信连接联盟（以前称为 SiMalliance）定义。
• PROF3: 描述适用于 IoT 服务和订阅的配置文件将由发行的移动服务提供商完成，不在本文档范围内。
• PROF4: 配置文件包大小应尽量减少，以适应网络受限设备。

六、 架构

1. 主要组件：

• eSIM IoT 远程管理器 (eIM): 负责对单个 IoT 设备或 IoT 设备群执行远程配置文件状态管理操作 (PSMO)。 如果 eIM 支持，eIM 也可以在关联到 eUICC 时执行 eIM 配置操作 (eCO) 。
• IoT 配置文件助手 (IPA): 提供使 eUICC 能够由 SM-DP+ 配置的功能。 IPA 可以是独立组件，也可以是 IoT 设备中更高级别功能软件（例如：设备管理客户端）的组件。
• eUICC: 包含 eIM 配置数据、eUICC 包、事件记录等。
• SM-DP+: 订阅管理器数据准备+ 负责处理配置文件下载请求、验证设备资格、准备配置文件包等。
• SM-DS: 订阅管理器发现服务器 负责存储事件记录并与 eIM 或 IPA 交互以检索事件记录。

2. 架构图：

• IPA 位于 IoT 设备中: eIM 与 IPA 交互，IPA 通过 ES10a 和 ES10b 与 eUICC 交互，并通过 ES11 与 SM-DS 交互。
• IPA 位于 eUICC 中: eIM 与 IPAe 交互，IPAe 通过 ES10a 和 ES10b 与 eUICC 交互，并通过 ES11 与 SM-DS 交互。

七、 接口

• ES2+: 运营商与 SM-DP+ 之间的接口，用于订购配置文件和管理其他行政功能。
• ES6: 运营商与 eUICC 之间的接口，用于通过 OTA 服务管理运营商服务。
• ES8+: SM-DP+ 与 eUICC 之间的接口，用于在下载和安装过程中管理 ISD-P 及其关联的配置文件。
• ES9+: SM-DP+ 与 IPA 之间的接口，用于提供安全传输以交付绑定配置文件包。
• ES9+’: SM-DP+ 与 eIM 之间的接口，用于提供安全传输以交付绑定配置文件包，eIM 代表 IPA 行事。
• ES10a: IPA 与 eUICC 之间的接口，用于获取 eUICC 中配置的根 SM-DS 和可选的默认 SM-DP+ 地址。
• ES10b: IPA 与 eUICC 之间的接口，用于将绑定配置文件包传输到 eUICC，以及传输 PSMO 和 eCO。
• ES11: IPA 与 SM-DS 之间的接口，允许 IPA 检索相应 eUICC 的事件记录。
• ES11’: eIM 与 SM-DS 之间的接口，允许 eIM 检索相应 eUICC 的事件记录，eIM 代表 IPA 行事。
• ES12: SM-DP+ 与 SM-DS 之间的接口，允许任何 SM-DP+ 在 SM-DS 上发出或移除事件注册。
• ESep: eIM 与 eUICC 之间的逻辑端到端接口，用于 eUICC 包 (PSMO 和 eCO)。
• ESipa: eIM 与 IPA 之间的逻辑接口，可用于触发 IPA 上的配置文件下载，并提供安全传输以在 eIM 和 IPA 之间交付 PSMO 和 eCO，除非底层传输提供必要的 security。

八、 配置文件下载流程

1. eIM 使用激活码触发的配置文件下载

• 流程概述: eIM 使用激活码触发 SM-DP+ 与 eUICC 之间的直接配置文件下载。
• 主要步骤:

  1.eIM 发送包含 SM-DP+ 标识符的激活码 (AC) 给 IPA。

  2.IPA 解析激活码参数以识别 SM-DP+ 地址。

  3.IPA 与 SM-DP+ 建立安全连接。

  4.eUICC 与 SM-DP+ 进行相互认证。

  5.SM-DP+ 准备配置文件包。

  6.配置文件包通过 IPA 使用与 SM-DP+ 的安全连接下载到 eUICC。

  7.eUICC 安装配置文件。

  8.配置文件成功安装后，eIM 和 SM-DP+ 都会收到通知。

  9.SM-DP+ 通知运营商配置文件安装。

2. eIM 使用 SM-DS 发起直接配置文件下载

• 流程概述: 存在两种选项：
  • 选项 a: IPA 被 eIM 触发以从 SM-DS 下载相应的事件记录。
  • 选项 b: eIM 从 SM-DS 检索相应的事件记录并将其转发给 IPA 以进一步处理。
• 主要步骤:
  • 选项 a:

    1.IPA 与 eIM 通过 ESipa 建立安全连接。

    2.IPA 被触发以启动与配置的 SM-DS 的连接以检索事件记录，并从 eUICC 请求和接收执行与 SM-DS 相互认证所需的信息。

    3.IPA 通过 ES11 与 SM-DS 建立安全连接。

    4.SM-DS 与 eUICC 进行相互认证。

    5.IPA 下载事件记录进行处理。
  • 选项 b:

    1.IPA 与 eIM 通过 ESipa 建立安全连接。

    2.eIM 请求 IPA 从 eUICC 获取执行与 SM-DS 相互认证所需的信息。

    3.eIM 通过 ES11’ 与配置的 SM-DS 建立安全连接。

    4.SM-DS 与 eUICC 进行相互认证。

    5.eIM 通过 ES11’ 下载事件记录，连接到 IPA 并将事件记录转发给 IPA 进行处理。

3. eIM 使用激活码辅助配置文件下载

• 流程概述: SM-DP+ 与 eUICC 之间的间接配置文件下载，其中 eIM 使用激活码辅助配置文件下载。
• 主要步骤:

  1.IPA 与 eIM 通过 ESipa 建立安全连接。

  2.eIM 解析激活码 (AC) 以识别 SM-DP+ 地址。

  3.eIM 与 SM-DP+ 建立安全连接。

  4.eUICC 与 SM-DP+ 进行相互认证。

  5.SM-DP+ 准备配置文件包。

  6.eIM 使用与 SM-DP+ 的安全连接从 SM-DP+ 接收绑定配置文件包。

  7.绑定配置文件包被加载到 eUICC 中。
  • eIM 发送请求给 IPA 以将绑定配置文件包加载到 eUICC。请求包含绑定配置文件包，并使用与 IoT 设备/IPA 的安全连接发送。
  • IPA 将绑定配置文件包加载到 eUICC。

  8.eUICC 安装配置文件包中包含的配置文件。

  9.成功安装配置文件后，eIM 会收到响应，其中包含由 eUICC 签名的配置文件安装结果通知。

  10.eIM 使用与 SM-DP+ 的安全连接将通知传递给 SM-DP+。

  11.SM-DP+ 通知运营商配置文件安装。

4. 使用默认 SM-DP+ 的配置文件下载

• 流程概述: SM-DP+ 与 eUICC 之间的直接配置文件下载，使用默认 SM-DP+ 地址。
• 主要步骤:

  1.IPA 被触发以从配置的默认 SM-DP+ 地址启动配置文件下载。

  2.IPA 与 SM-DP+ 建立安全连接。

  3.eUICC 与 SM-DP+ 进行相互认证。

  4.SM-DP+ 准备配置文件包。

  5.配置文件包通过 IPA 使用与 SM-DP+ 的安全连接下载到 eUICC。

  6.eUICC 安装配置文件。

  7.配置文件成功安装后，eIM（如果有）和 SM-DP+ 都会收到通知。

  8.SM-DP+ 通知运营商配置文件安装。

  9.IPA 可以请求 eUICC 启用配置文件并继续执行步骤 10。否则，流程停止。

  10.如果 eUICC 配置为支持使用默认 SM-DP+ 立即启用，则 eUICC 启用已安装的配置文件。否则，流程停止。

  11.SM-DP+ 和 eIM（如果有）都会收到配置文件启用结果的通知。

  12.SM-DP+ 通知运营商配置文件启用结果。

九、 eIM 配置流程

1. 通过 IPA 添加 eIM 配置数据

• 流程概述: 当 eUICC 中没有关联 eIM 时，将 eIM 配置数据添加到 eUICC。
• 主要步骤:

  1.IPA 发送包含 eIM 配置数据的 eCO 给 eUICC。

  2.eUICC 检查是否存在关联 eIM。
  • 如果没有 eIM 关联，则 eUICC 执行 eCO。
  • 否则，eUICC 中止流程。

  3.IPA 从 eUICC 检索 eCO 的结果。

2. 通过 eIM 配置 eIM

• 流程概述: 当 eUICC 中关联有 eIM 时，向 eUICC 添加 eIM 配置数据。
• 主要步骤:

  1.eIM 准备并签署 eCO 并将其发送给 IPA。

  2.IPA 将签署的 eCO 发送给 eUICC。

  3.eUICC 验证 eCO 是否由 eUICC 中配置为关联 eIM 的 eIM 签署。
  • 如果验证成功，则 eUICC 处理 eCO。
  • 否则，eUICC 中止流程。

  4.IPA 从 eUICC 检索签署的结果。

  5.IPA 将 eUICC 的签署结果包含到对 eIM 的响应中。

3. 从 eUICC 完全移除 eIM 配置数据

• 流程概述: 从 eUICC 中完全移除所有 eIM 配置数据。
• 主要步骤:

  1.IPA 向 eUICC 发送 eIM 配置数据移除操作。

  2.eUICC 执行操作并删除其中存储的所有 eIM 配置数据。

  3.IPA 从 eUICC 检索操作的结果。

十、 安全威胁与风险

• A.1 受损 IoT 设备: 恶意 IoT 设备软件/固件和/或恶意 IPA 能够阻止所有 PSMO 到 eUICC，关联非法 eIM 到 eUICC，以及不当地删除 eUICC 上的 eIM 关联。
• A.2 受损 eIM: 攻击者能够对多个 eUICC 执行非法 PSMO 和 eCO。
• A.3 恶意 eIM: 攻击者能够对多个 IoT 设备执行未经授权、非法的 PSMO 和 eCO，以及篡改 ES9+ 通信。
• A.4 隐私泄露: eIM 与 IoT 设备之间的接口泄露隐私相关数据，例如可用于跟踪 IoT 设备位置的数据，以及未经预测的远程寻呼或远程控制命令被第三方使用以窥探或危害 IoT 设备或订阅者。
• A.5 新配置文件到新 IoT 设备: 不完整或损坏的配置文件被推送到 IoT 设备，以及恶意 eUICC 方利用特权位置向 IoT 设备推送未经请求的配置文件。
• A.6 配置文件禁用/删除: 由于禁用后长期存储已交付的配置文件而导致关键材料的长期收集，以及丢弃的媒体支持（例如：硬盘）导致敏感数据丢失等。
• A.7 配置文件切换: 恶意配置文件切换源自内部方或恶意或受损 eIM，以及切换备用配置文件导致连接性丢失等。
• A.8 配置文件交换: 配置文件克隆由于针对特定场景的不可预测的实现例程。
• A.9 密码相关风险: 私钥丢失或被盗导致整个链上的机密性丧失，以及无法撤销受损证书导致整个证书链失去信任等。
• A.10 服务质量: 配置文件创建爆发导致 eUICC 平台无法提供预期的服务级别，以及拒绝服务攻击导致无法提供预期的服务级别等。
• A.11 非人类或不可预测: 灾难性事件（例如：洪水、地震等）导致数据中心被摧毁，以及地缘政治/人为事件导致数据中心被摧毁等。
• A.12 订阅者旅程期间的新配置文件: 使用无人看管的 IoT 设备恶意配对新 IoT 设备，以及使用公共 Wi-Fi 进行互联网连接导致配置文件操作期间失去机密性等。
• A.13 其他: 配置文件管理参与者之间的交换被破坏导致关键私钥的严重丢失，以及由于特定场景的不可预测的实现例程而导致配置文件克隆。

十一、 配置文件下载部署场景

1. 间接配置文件下载

• 概述: eIM 始终参与配置文件下载操作，充当 SM-DP+ 与 IPA 之间的支持。因此，使用 ES9+’ 和 ESipa 进行配置文件下载。
• 主要场景:
  • 使用 AC 辅助 eIM 的间接配置文件下载: 使用激活码触发配置文件下载。
  • 使用 SM-DS 辅助 eIM 的间接配置文件下载: 使用 SM-DS 触发配置文件下载，eIM 使用 ES11’ 检索配置文件下载事件记录。

2. 直接配置文件下载

• 概述: eIM 不使用与 SM-DP+ 的 ES9+’ 接口进行配置文件下载。 配置文件从 SM-DP+ 到 IPA 的传输始终通过 ES9+ 完成。 eIM 可以以不同程度参与（例如：发送激活码等）。
• 主要场景:
  • 使用激活码辅助 eIM 的直接配置文件下载: eIM 使用激活码指示 IPA。
  • 使用 SM-DS 辅助 eIM 的直接配置文件下载: eIM 使用 ES11’ 检索配置文件下载事件记录，并使用 ESipa 将事件发送给 IPA。
  • 未辅助 eIM 使用 SM-DS 的直接配置文件下载: IPA 使用 ES11 从 SM-DS 检索配置文件下载事件记录。
  • 未辅助 eIM 使用默认 SM-DP+ 的直接配置文件下载: 使用 IPA 与默认 SM-DP+ 之间的 ES9+ 进行配置文件下载。

十二、 其他信息

• 文档版本历史: 本文档经历了多个版本更新，添加了多项功能和修正，例如:
  • 增加了对网络受限设备、UI 受限设备等术语的定义。
  • 增加了 IPA 功能描述、eIM 配置流程、配置文件下载流程等。
  • 修正了多处编辑错误和注释。
  • 增加了对 eIM 作为 RSP 服务器攻击者的风险分析等。
  • 增加了对 eIM 安全要求的澄清等。
  • 增加了对紧急配置文件支持的可选性等。
• 文档所有者: eSIM。
• 编辑: Gloria Trujillo，GSMA。

十三、 总结

本文件为 IoT 设备中的 eSIM 远程配置提供了详细的架构和需求规范，涵盖了 eIM、IPA、eUICC、SM-DP+ 和 SM-DS 等关键组件，并详细描述了配置文件下载、eIM 配置、配置文件启用/禁用/删除等主要流程，以及相关的安全威胁和部署场景。