YD T 2926-2021 嵌入式通用集成电路卡（eUICC）远程管理平台技术要求（第一阶段）.pdf

资源描述

1、ICS33.030 M36 YD 中华人民共和国通信行业标准 YD/T 2926XXXX 代替 YD/T 2926-2015 嵌入式通用集成电路卡（ eUICC）远程管理平台技术要求（第一阶段） Technical requirements of embedded UICC remote management platform（ Phase ）（报批稿） XXXX-XX-XX 发布 XXXX-XX-XX 实施中华人民共和国工业和信息化部发布 YD/T XXXXXXXXX I 目次前言 .II 1 范围 .3 2 规范性引用文件 .3 3 术语和定义

2、.4 4 缩略语 .4 5 总体要求 .4 5.1 总体架构 .4 6 业务流程 .6 6.1 Profile 创建和安装 .6 6.2 Profile 启用 .13 6.3 经由 SM-DP 启用 profile .16 6.4 Profile 禁用 .18 6.5 经由 SM-DP 禁用 Profile .20 6.6 Profile 和 ISD-P 的删除 .21 6.7 经由 SM-DP 删除 Profile 和 ISD-P .22 6.8 SM-SR 切换 .24 6.9 在 SM-SR 中注册 eUICC注册一个新的 EIS .26 6.10 强制删除 .27 6.11 经由 SM

3、-DP 的 POL2 更新 .28 6.12 MNO 更新 POL1 .29 6.13 MNO 更新连接参数 .29 6.14 更新使用 SCP03 的连接参数 .30 6.15 默认通知流程 .31 6.16 回退激活流程 .34 6.17 DNS 解析 .35 7 平台与 eUICC 间接口 .36 8 卡外实体间接口 .36 9 安全架构 .37 9.1 概述 .37 9.2 证书体系 .37 9.3 通用算法和密钥长度 .39 9.4 接口安全通道 .39 附录 A （规范性附录） EID 编码规则 .42 附录 B （资料性附录） TAF 已分配发行方 ID 列表 .44 YD/

4、T XXXXXXXXX II 前言本标准是嵌入式通用集成电路卡及其远程管理体系系列标准之一，该系列标准的名称如下：嵌入式通用集成电路卡 (eUICC)远程管理平台技术要求 (第一阶段 ) 支持远程管理的嵌入式通用集成电路卡（ eUICC）技术要求（第一阶段）嵌入式通用集成电路卡 (eUICC)及其远程管理的安全技术要求 (第一阶段 ) 嵌入式通用集成电路卡 (eUICC)远程管理平台测试要求 (第一阶段 ) 支持远程管理的嵌入式通用集成电路卡（ eUICC）测试方法（第一阶段）本标准按照 GB/T 1.1-2009 给出的规则起草。本标准代替 YD/T 2926-2015嵌入式通

5、用集成电路卡（ eUICC）远程管理平台技术要求（第一阶段），与 YD/T 2926-2015 相比主要技术变化如下：基于 GSMA SGP.02，进一步规定与 eUICC 的远程配置与管理相关的角色和接口要求、业务流程、接口要求、安全架构等内容；删除卡片相关技术要求、无运营商网络覆盖情况下的技术要求等内容；明确中国地区 EID 编码规则。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国联合网络通信集团有限公司，中国信息通信研究院。本标准主要起草人：韩玲，郑海霞，柳扬。 3 嵌

6、入式通用集成电路卡（ eUICC）远程管理平台技术要求（第一阶段） 1 范围本标准规定了嵌入式通用集成电路卡（ eUICC）远程管理平台的系统架构、核心业务流程、卡外实体间接口、安全要求、实体 ID定义等相关内容。本标准适用于物联网场景下的嵌入式通用集成电路卡。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GSMA SGP.01 嵌入式 UICC卡远程管理架构 v1.1（ Embedded SIM Remote

7、Provisioning Architecture v1.1） GSMA SGP.02 嵌入式 UICC卡远程管理架构技术规范 v3.2（ Remote Provisioning Architecture for Embedded UICC TechnicalSpecification v3.2） GSMA SGP.14 GSMA eUICC PKI证书策略 v1.1（ GSMA eUICC PKI Certificate Policy v1.1） ETSI TS 101 220 智能卡用于电信应用提供商的 ETSI编号系统 Release 9（ Smart Cards; ETSI numb

8、ering system for telecommunication application providers; Release 9） ETSI TS 102 223 智能卡卡片应用工具包（ CAT） Release 9（ Smart Cards; Card Application Toolkit (CAT); Release 9） ETSI TS 102 225 基于 UICC的应用的安全分组结构 Release 12（ Secured packet structure for UICC based applications; Release 12） ETSI TS 102 226 基于

9、 UICC 的应用的远程 APDU 结构 Release 9 （ Remote APDU structure for UICC based applications; Release 9） GPC_SPE_034 全球平台片卡规范 v.2.2.1（ GlobalPlatform Card Specification v.2.2.1） GPC_GUI_010 全球平台卡片规范 v.2.2.1 UICC 配置 v1.0.1 （ GlobalPlatform Card Specification v.2.2.1 UICC Configuration v1.0.1） GPC_SPE_0

10、11 全球平台卡片规范 v.2.2 修订 B： HTTP上的远程应用程序管理 v1.1.3 （ GlobalPlatform Card Specification v.2.2 Amendment B: Remote Application Management over HTTP v1.1.3） GPC_SPE_025 全球平台卡片规范 v.2.2 修订 C：非接触式业务 v1.1.1（ GlobalPlatform Card Specification v.2.2 Amendment C: Contactless Services v1.1.1） GPC_SPE_014 全球平台卡片规范 v

11、.2.2 修订 D：安全信道协议 03 v1.1.1（ GlobalPlatform Card Specification v.2.2 Amendment D: Secure Channel Protocol 03 v1.1.1） GPC_SPE_042 全球平台卡片规范 v.2.2 修订 E：卡片内容管理 v1.0.1的安全升级（ GlobalPlatform Card Specification v.2.2 Amendment E: Security Upgrade for Card Content Management v1.0.1） 4 ISO/IEC 7816-4 识别卡，集

12、成电路卡，第 4部分：交换用组织、安全和命令（ Identification cards - Integrated circuit cards - Part 4: Organization, security and commands for interchange） SIMAlliance 嵌入式 UICC 个人化数据包：兼容格式技术规范（ eUICC Profile Package: Interoperable Format Technical Specification） 3 术语和定义下列术语和定义适用于本文件。 3.1 嵌入式通用集成电路卡 embedded univ

13、ersal integrated circuit card 不容易接触或替换的 UICC，在终端中不宜被移除或替换，并可安全地进行 Profile变更。 3.2 用户信息 profile 配置在或出现在 eUICC上的文件结构、数据和应用程序的集合。 4 缩略语下列缩略语适用于本文件。 CI 证书发行方 Certificate Issuer ECASD eUICC 的控制安全域 eUICC Controlling Authority Security Domain EID eUICC 识别码 eUICC-ID EIS eUICC 卡信息集 eUICC Information Set

14、eUICC 嵌入式通用集成电路卡 Embedded Universal Integrated Circuit Card EUM eUICC 制造商 eUICC Manufacturer GPCS 全球平台智能卡技术规范 GlobalPlatform Card Specification ISD 发行者安全域 Issuer Security Domain ISD-P Profile 安全域 Issuer Security Domain Profile ISD-R 根安全域 Issuer Security Domain Root MNO-SD 运营商安全域 Mobile Network Opera

15、tor Security Domain POL1 Profile 中的策略 Policy Rules within the Profile POL2 EIS中保存的 Profile相关策略， EIS 保存在 SM-SR 中 Policy Rules associated to a Profile and stored in the relevantEIS at the SM-SR SCP 安全通道协议 Secure Channel Protocol SM 签约关系管理平台 Subscription Manager SM-DP 签约关系管理平台数据准备 Subscription Manager

16、 Data Preparation SM-SR 签约关系管理平台数据路由 Subscription Manager Security Routing 5 总体要求 5.1 总体架构 5 本节基于 GSMA SGP.01，进一步规定与 eUICC的远程配置与管理相关的角色和接口。注 1： ES2接口中与 Profile预订和强制删除相关的功能将不在本标准的说明范围内，因为这些功能也可基于预置 MNO流程来实现；注 2： SM-DP与 EUM之间的接口及相关的 Profile创建功能将不在本标准的说明范围内因为这些功能基于私有机制实现；注 3： ES6接口的实现基于 RAM和 RFM

17、机制（见 ETSI TS 102 225和 ETSI TS 102 226中相关描述）；注 4：如 GSMA SGP.01所定义，假定发起者角色由 MNO担任，并且在 ES4接口中指定与此角色相关的功能。图 1 eUICC 远程配置系统图 1提供了 eUICC远程配置与管理系统的完整描述。其中，参与 eUICC远程管理有三种主要角色： eUICC制造商（ EUM）、运营商（ MNO）和 eUICC远程管理平台。 eUICC远程管理平台主要有两部分功能：签约关系管理平台数据准备（ SM-DP）准备和配置 profile并在 eUICC 上进行安全配

18、置；签约关系管理平台数据路由（ SM-SR）安全地执行 eUICC上直接管理激活和配置 profile。不同实体间具有 8个接口：其中 ES5、 ES6、 ES8为 eUICC相关接口， ES1、 ES2、 ES3、 ES4、 ES7为平台相关接口，各接口定义详见表 1 。表 1 eUICC 远程配置与管理系统接口定义接口描述 ES1 EUM 和 SM-SR 之间的接口，用于通过其在 SM-SR 上对 eUICC 进行注册。 ES2 MNO 和 SM-DP 之间的接口，用于通过其进行 Profile 管理和触发 Profile 装载。 SM-DP SM-SR MNO EUM

19、 eUIC ES1 ES7* ES3 ES2 ES4 ES6 ES5ES8 CI 卡外接口eUIC接口本标准以外接口*两个 SM-SR实体之间用于 SM-SR切换的接口 6 接口描述 ES3 SM-DP 和 SM-SR 之间的接口，用于通过其进行 Profile 管理和触发 Profile 装载。 ES4 MNO 和 SM-SR 之间的接口，用于通过其对 Profiles 进行 enabling, disabling 和 deleting 操作。 ES5 SM-SR 和 eUICC 之间的接口，该接口允许使用 OTA 模式进行通讯。 ES6

20、MNO 和 eUICC 之间的接口，允许通过其对 MNO 的 Profile 内容进行管理。 ES7 两个 SM-SR 之间的接口，用于通过其管理 SM-SR 变更操作。 ES8 SM-DP 和 eUICC 之间的接口，允许通过其在 eUICC 上下载 Profile。 ES5,ES6,ES8接口在 GSMA SGP.02“eUICC接口 ”章节描述。 ES1,ES2,ES3,ES4,ES7接口在 GSMA SGP.02“卡外接口 ”章节描述。 6 业务流程 6.1 Profile 创建和安装 Profile下载和安装流程可以分为 4个主要的子流程： a) eUICC上 ISD-P的创建

21、； b) 使用初始密钥集对 ISD-P进行个人化，调用密钥创建流程； c) 下载和安装 Profile到 eUICC； d) 可选：启用最新安装的 Profile。 6.1.1 ISD-P 的创建图 2描述了 ISD-P创建的流程，该流程阐明了使用 HTTPS承载的 RAM（远程应用管理）协议，并假定该流程后跟一个密钥建立流程和一个完整的 Profile下载流程。注：使用 CAT_TP作为传输层协议的话，流程不变。 7 图 2 ISD-P 创建开始条件：开始条件见 GSMA SGP.01。流程：（ 1）拥有 Profile 的运营商调用 SM-DP 的 “ES2.Downloa

22、dProfile”接口（ MNO 必须提供 SM-SR 的 ID 和地址）。根据需求， MNO 可能会要求 SM-DP 在流程的最后启用最新下载的 Profile，默认状态是禁用；（ 2） SM-DP 用 “ES3.GetEIS”函数作为应答；（ 3） SM-SR 将基于 EID 来检索 eUICC 的 EIS。在这个阶段，如果没有找到， SM-SR 返回错误信息，该错误信息将返回给 MNO 并终结整个流程；（ 4） SM-SR 返回 EIS 给 SM-DP；（ 5） SM-DP 将检查 eUICC 和 Profile 的适配性，虽然精确的检查不是本标准讨论的范围，但可以包含

23、如下：（ 5a）目标 Profile 是否兼容该类型的 eUICC 卡？是否合法？（包括 SM-DP 能否为该类型的 eUICC 卡生成 Profile）；（ 5b） eUICC 卡上有无足够的空间？万一 EIS 上含有不可靠的信息， SM-DP 应该请求一个在线审查；（ 5c） eUICC 是否被认证？如果是非认证的 eUICC， SM-DP 应该停止流程。认证流程： SM-DP 应使用 EUM 证书和 CI 的根证书来验证收到的身为 EIS 的一部分的 ECASD 证书，并从 ECASD 证书中提取 PK.ECASD.ECKA。如果不满足任何这些条件或证书验证失败

24、， SM-DP 应返回指示失败的响应。（ 6） SM-DP 将使用相关输入数据调用 “ES3.CreatISDP”函数；（ 7） SM-SR 将验证 SM-DP 的请求是否可以接受，如果有任何的条件不满足， SM-SR 应该返回一个指示错误的响应，流程终止； SM-DP SM-SR (6) createISDP(eid, icid, mno-id) Failed (12) EIS update(13) createISDPfunction response (3) Retrieve EIS MNO(1) downloadProfile(srid, eid, icid, final st

25、ate, profileType, msidn)(2) getEIS(eid) (4) Return EIS(5) Check eUIC eligibilityFailed (7) Check initial conditionsFailed ISD-ReUIC ISD-P (8) HTPS sesion openigHTP/1. 20CRLF CRLF (9) POST/ HTP/1.CRLF X-Admin-Script-Status: CRLFCRLF (10) new(1) 8 （ 8）如果 eUICC 中不存在 HTTPS 会话 ,SM-SR 触发一个 HTTPS 会话；（ 9）

26、 SM-SR 将返回包含带有相关输入数据的 “ES5.CreateISDP”函数的 HTTPS POST 响应，由于目标是 ISD-R，所以 X-Admin-Targeted-Application 参数将被省略。（ 10） ISD-R 将创建 ISD-P，万一发生错误， ISD-R 将用下一个给 SM-SR 的 POST 请求返回该错误， SM-SR 将从 EIS 中删除“创建中” 状态的新 Profile 条目。该错误应最终返回给 SM-DP，流程可能会因错误而终止。；（ 11） eUICC 将通过 POST 请求返回 “ES5.CreateISDP”函数的执行响

27、应给 SM-SR；（ 12）假设 ISD-P 创建成功， SM-SR 应将 EIS 中的 Profile 状态更新为“已创建 ”。；（ 13） SM-SR 将返回 “ES3.CreateISDP”的执行响应给 SM-DP。 (13a)如果 SM-SR 没有收到来自 eUICC 的函数执行响应（例如，由于连接中断）， SM-SR 将触发目标 ISD-P 上的 ES5.DeleteISDP 功能，并通过删除“创建中”状态的新 Profile 条目来更新 EIS。在以上的简单流程中，假定 SM-DP通过 “ES5.CreateISDP”函数指示 “还有更多的事情要做 ”，一旦 S

28、M-DP不在指示 “还有更多的事情要做 ”， SM-SR可以终止 HTTPS会话。 6.1.2 相互认证，创建密钥图 3描述了 Profile文件下载和安装过程中的第二步。此序列定义了一个 “场景 3-Mutual Authentication”新场景。该序列使用基于 ECKA EG （ ElGamal）方案的场景 3，如 GPC_SPE_042 中所定义，并增加 SM-DP 认证步骤。 9 图 3 密钥创建，场景 #3 开始条件：作为前提条件， ISD-P 应按 6.1.1 节的规定创建， eUICC / ECASD 应支持方案 3-相互 SM-DP SM-SR ISD-RMN

29、O eUICC ISD-P ECASD Failed (2) Check initial conditions (1) sendData( eid, sd-aid, ES8.keyEstablishISDPKeySet (CERT.DP.ECDSA) (4) CERT.DP.ECDSA (6) RC or error (9) Generates (eSK.DP.ECKA, ePK.DP.ECKA)Signs RC and ePK.DP.ECKAwith SK.DP.ECDSA (2a) Conditional: HTTPS session opening HTTP/1.1 200CRLFCRL

30、F (3) (5) verifies CERT.DP.ECDSA using PK.CI.ECDSA. Continue if successful: -extracts PK.DP.ECDSAfrom CERT.DP.ECDSA.-generates RC POST/ HTTP/1.1CRLF X-Admin-Script-Status: CRLF CRLF (7)(8) sendDataresponse with ES8.keyEstablishISDPKeySet response: RC orerror (10) sendData( eid, sd-aid, ES8.keyEstabl

31、ishISDPKeySet(ePK.DP.ECKA, signature) HTTP/1.1 200CRLFCRLF (11) (12) ePK.DP.ECKA, signature (13) verifies signature using PK.DP.ECDSA. Continue if successful: -calculates ShSfrom ePK.DP.ECKAand SK.ECASD.ECKA. (15) (Opt.) Generates DRDerives keyset from ShS(and DR)Calculates receipt. (14) ShSor error

32、 (3a) CERT.DP.ECDSA (16) Receipt (Opt. DR) or error POST/ HTTP/1.1CRLF X-Admin-Script-Status: CRLF CRLF (17)(18) sendDataresponse with ES8.keyEstablishISDPKeySetresponse: Receipt (Opt. DR) or error (19) Calculates ShSfrom eSK.DP.ECKAand PK.ECASD.ECKA.Derives keyset from ShS(and DR) Verifies receipt

33、(8a) Conditional: Error management see 3.1.4 (18a) Conditional: Error management see 3.1.4 (3b) Verifiesthatitisan SM-DP certificate 10 认证，并应配备 SK.ECASD.ECKA， PK.CI.ECDSA。流程：（ 1） SM-DP 调用 “ES3.SendData”函数向指定 eUICC 的 ISD-P 发送数据，数据中含有搭载 SM-DP 证书的 “ES8.EstablishISDPKeySet”函数，用以验证 SM-DP，该证书由 SM

34、-DP 证书发行者发行；（ 2） SM-SR 验证 SM-DP 的请求是否可接受。如果有任何的条件不满足， SM-SR 应该返回一个错误响应，流程终止；（ 2a）如果没有已经打开的 HTTPS 会话， SM-SR 触发一个与 ISD-R 的 HTTPS 会话。（ 3） SM-SR 返回包含有 “ES8.EstablishISDPKeySet”函数（在第一步中由 SM-DP 提供）的 HTTP POST 响应；（ 3a） ISD-R 将转发 HTTP 响应中 “STORE DATA”命令的内容给 ISD-P；（ 3b） ISD-P 将检查这是一个 SM-DP 的证书。

35、（ 4） ISD-P 将转发 CERT.DP.ECDSA 给 ECASD，要求验签；（ 5） ECASD 将用 PK.CI.ECDSA 验签 CERT.DP.ECDSA。如果 CERT.DP.ECDSA 合法， ECASD 释放并保存 PK.DP.ECDSA，再生成一个 RC（随机数）；（ 6）随机数（也可能是错误信息）将被返回到 ISD-P， ISD-P 转发到 ISD-R；（ 7） ISD-R 将用一个新的 HTTP POST 应答，把从 ISD-P 来的执行响应（随机数或者错误信息）返回给 SM-SR；（ 8） SM-SR 返回执行响应（随机数或者错误信息）

36、给 SM-DP；（ 8a）一旦密钥创建流程失败，错误管理流程将被执行，密钥创建流程终止。（ 9） SM-DP 生成与目标 ICCID 相关的临时密钥对（ ePK.DP.ECKA 和 eSK.DP.ECKA）， SM-DP 用 SK.DP.ECDSA（ SM-DP 的私钥）对生成 ePK.DP.ECKA（ SM-DP 临时密钥协商公钥）和随机数签名；（ 10） SM-DP 调用 “ES3.SendData”函数，向指定的 eUICC 和 ISD-P 发送数据，数据中含有 “ES8.EstablishISDPKeySet”函数， ePK.DP.ECKA,和之前用 SK.DP

37、.ECDSA 对随机码和 ePK.DP.ECAK 计算的签名随机数；（ 11） SM-SR 将返回包含 “ES8.EstablishISDPKeySet”的 HTTP POST 响应；（ 12） ISD-P 转发 ePK.DP.ECKA 和签名给 ECASD 验签；（ 13） ECASD 将使用先前保存的 PK.DP.ECDSA 进行验签，如果签名非法，返回一个错误，如果签名合法， ECASD 用 ePK.DP.ECKA 和 SK.ECASD.ECKA 计算 ShS; （ 14） ShS 或者错误信息将被返回到 ISD-P；（ 15） ISD-P 将做：（ 15a）可能会计算一个

38、派生随机数（ Derivation Random， DR，如果函数调用中 SM-DP 请求）；（ 15b）从 ShS 派生出密钥集（和可选的 DR）；（ 15c）计算收据给 SM-DP; （ 15d)如果在此步骤中出错，则返回的收据的长度应为 0。（ 16） ISD-P 将返回计算好的收据（和可选的 DR）或者错误信息给 ISD-R；（ 17） ISD-R 将返回执行响应（收据和可选的 DR 或者错误信息）给 ISD-P，通过一个新的 HTTP POST 请求返回给 SM-SR；（ 18） SM-SR 返回接受到的 HTTP POST 内容（收据和可选的 D

39、R 或者错误信息）给 SM-DP；（ 18a）一旦下载和安装流程失败，错误管理流程将被执行，密钥创建流程终止 11 （ 19） SM-DP 同步将做：（ 19a）用 ePK.DP.ECKA 和 SK.ECASD.ECKA 计算 ShS；（ 19b）从 ShS 派生出密钥集；（ 19c）验证从响应中来的收据，确保派生的密钥集与 ISD-P 的一致。 eUICC 将支持有 DR 和没有 DR 的密钥创建， SM-DP 决定选择哪一种。 BSI TR-03111 包含针对临时密钥生成和校验的建议和要求，另外， NIST SP 800-56A 提供临时密钥销毁和其他中间加密数

40、据用后处理的要求。 6.1.3 Profile 的下载和安装图 4描述了 Profile下载和安装的第三步，该流程阐明了使用 HTTPS承载的 RAM（远程应用管理）协议。图 4 Profile 下载和安装开始条件：作为前提条件，应按 6.1.1 节和 6.1.2 节的规定创建和个性化 ISD-P。。流程： (1) SM-DP 调用“ ES3.SendData”接口与 SM-SR 通信，将要下载的 Profile 数据作为输入数据。 (2) SM-SR 验证 SM-DP 请求是否可以接受。 SM-DP SM-SR ISD-RMNO eUIC ISD-P (1) sen

41、dData(eid, icid, scp03t, moreTodo)(2) Check initial conditionsFailed (6) Proces profile data (8) SendDataresponse + dat1 execution response scp03t (2b) Conditional: HTPS sesion openig HTP/1. 20CRLFX-Admin-Targeted-Aplication:/aid/ (of ISD-P-AID)CRLFCRLF scp03t (3) (5) Unwrap SCP03t security POST/ HTP/1.CRLF X-Admin-Script-Status: CRLFCRLF body with dat1 execution response scp03t (7) (10) profileDownloadCompleted(eid, icid, subdAdres, POL2) (13) Profile download /a

展开阅读全文