许多机器对机器设备将不易于达到供应订购的目的。这将需要一个新的解决方案来适应这种特殊情况。要求是在假定采用与今天相同或相似的认证协议的情况下,为具有获得移动网络访问所必需的凭证的“无线”远程配置机器对机器设备定义机制。 MNO必须能够响应请求,将订阅(合同)从一个MNO A更改为不同的MNO B,而无需物理访问相关设备中的嵌入式UICC。本文档描述了一种体系结构,该体系结构在实施时将启用远程供应和订阅管理,同时至少为网络运营商和客户保持与现有解决方案相同的安全级别。这包括MNO网络访问凭证的安全保存,例如加密功能的密钥,以及IMSI和其他客户身份标识符等标识符的使用。
本文件涉及:
•GSMA“嵌入式SIM任务组要求和用例”版本1.0 [1]中描述的机器对机器用例。该解决方案不适用于传统的消费电信设备,因为它们不关心上述问题陈述。
•嵌入式UICC远程供应系统的体系结构,即其组件和相关接口。 GSMA的嵌入式UICC生态系统文件[2]以及第2节中所述的原则和假设将支持其定义。
•嵌入式UICC的远程供应系统的安全性。
•网络基础设施中的SM-SR和SM-DP集成选项。
•嵌入式UICC架构及其外部接口的必要方面,以确保在交付ETSI标准之前与GSMA架构兼容。
•在适当的地方标准化嵌入式UICC远程供应架构。
本文档的目的是定义一个通用的全局体系结构框架,以实现机器设备中嵌入式UICC(eUICC)的远程供应和管理,这些设备不易到达。采用通用架构框架将为确保潜在的不同MNO部署方案之间的全球互用性提供基础,同时利用标准化的eUICC平台。本文档确定了各个角色和潜在的角色以及架构中每个角色之间的界面。
在MNO,SIM解决方案提供商,机器对机器设备供应商,标准组织,网络基础设施供应商,服务提供商和其他行业机构内部工作的技术专家。
本节包含与嵌入式UICC GSMA远程供应系统相关的原理和假设。
BPR1解决方案应反映UICC相关最重要的使用案例,并在eUICC硬件不容易从机器到机器设备进行访问或移除的情况下给予充分支持。由于eUICC的性质不同,可能会涵盖并非所有的当前使用案例。
BPR2解决方案的设计应能够提供新的商业机会,例如在M2M领域,同时保持现有UICC的成熟效益。
BPR3 eUICC及其整体管理流程的安全必须在任何时候,在任何情况下都至少与目前可拆卸的UICC及其供应流程一样好。
BPR4 eUICC上可以使用当前UICC上的任何功能,特性或服务。
BPR5 eUICC对功能,特性或业务的访问应与当前UICC相同,即对终端和用户透明。
BPR6对eUICC的功能,特性或服务的远程管理应对运营商现有的系统和基础设施产生最小的影响。这应通过尽可能使用现有的标准和规范来实现。
BPR7保持简单。复杂性被理解为一个风险因素。合理有限的功能方法将支持产品上市时间的预期,并可能随着未来的需求和改进而发展。
BPR8第三方应用程序在操作profile之外不属于本文档的范围。
BPR9各实体应对其运营负责。
BPR10禁用的操作profile中的应用程序和文件系统既不是本地的,也不是远程可选的。
STD1 eUICC和相关供应系统的定义应当尽可能有效地体现所有相关方的努力和成本。这应通过尽可能使用现有的标准和规范来实现。
STD2全球平台规范将被视为实施eUICC的首选框架。
DEV1 eUICC生态系统的实施对设备的影响很小。
DEV2没有安全认证要求将被放置在设备上。
DEV3没有新的认证要求放置在设备上。
DEV4任何设备批准的影响应包括在现有的设备型号认证或认证方案下,并且独立于eUICC的认证。
DEV5设备内的通信模块应符合ETSI TS 102 221 [102221]内针对所有标准ETSI格式要素的终端要求。
DEV6设备制造商应确保设备或服务提供商的所有者有权访问eUICC标识(EID)。
DEV7设备制造商应该在设备上打印eUICC标识(EID),以便人类可读。
SEC1 eUICC的总体安全性与相关管理过程必须始终在任何情况下至少与当前的可拆卸UICC及其供应过程相当。
SEC2 eUICC及其远程供应系统的体系结构符合3GPP TS 21.133 [21133]“3G安全,安全威胁和要求”的要求。
SEC3体系结构必须支持与保护操作员证书有关的安全级别,该级别至少等于当前的安全级别。这尤其适用于:
•密钥和认证参数的机密性。
•订户身份的完整性(例如IMSI)。
SEC4 对于eUICC,认证将成为强制性的,因为包含运营商证书的实体可能不再处于MNO的设计控制之下。
SEC5远程供应架构必须避免损害客户数据的安全性。
SEC6可信系统是一个依赖于特定范围的系统来执行指定的安全策略。信任模型被定义为安全相关项目可交付成果的一部分。
SEC7对于平台和profile管理,涉及管理的所有实体都必须经过相互认证。
REG1监管问题被认为不在嵌入式SIM快速通道工作组的范围之内。监管问题将提交给GSMA监管团队。
ECO1订阅管理功能由两个角色 - SM-DP和SM-SR提供。
ECO2
1.profile管理由MNOprofile和SM-SR中包含的策略规则管理。
2.政策规则由eUICC和SM-SR代表MNO执行。
3.政策规则的控制在于MNO。
2.3.1.1 eUICC制造商
MAN1
1.eUICC的制造商提供包含profile和/或一个或多个操作profile的eUICC。
2.eUICC交付给机器以加工设备制造商。
3.相关平台管理证书被转发到SM-SR以与每个eUICC相关联。
4.eUICC制造商负责eUICC的初始密码配置和安全架构。
5.eUICC制造商的产品和流程的相关部分通过了GSMA认可的认证流程。
MAN2 EUM应颁发eUICC证书以允许:
•eUICC对其他实体的认证和认证;
•在SM-DP和eUICC之间建立认证的密钥集;
•在SM-SR和eUICC之间建立认证的密钥集。
MAN3 EUM证书和根证书应使用可靠的存储和通信渠道交付给其他实体。
MAN4 EUM应向SM-DP提供服务,工具,脚本或文档,以便为EUM生成的eUICC创建非个性化的profile。代表SM-DP创建非个性化profile不是EUM的作用。
2.3.1.2机器到机器设备制造商
DMA1
1.设备制造商构建机器到机器包含通信模块和eUICC的设备。
2.预配置profile和/或操作profile可以默认启用。
注意:任何启用的profile都需要各自的MNO的同意。
2.3.1.3移动网络运营商(MNO)
MNO1
1.MNO提供移动网络连接。
2.MNO选择至少一个SM-DP。
3.MNO应具有到SM-SR的直接接口。
4.如果客户选择了移动网络运营商,则该移动网络运营商将根据当前的“策略规则”向特定的目标eUICC发起特定profile的下载。 5.移动运营商指定profile特征以及任何特征和应用,类似于当前的UICC。 MNO拥有该profile。
6.profile可以在订购下载时生成。
7.为了实现与现有UICC流程和接口的透明配合,profile也可以批量订购,然后安全存储在SM-DP中,直到订购下载为止。 SAS要求适用。
8.当启用此profile时,MNO定义了控制profile管理的策略规则。
9.命令下载后,MNO应能够在下载profile之前检查并验证目标eUICC的认证和功能(制造商,内存大小,算法等)。
10.移动网络运营商将收到成功完成的下载和安装profile的确认。
11.启用的MNO应能够使用OTA平台来管理eUICC中启用的profile的内容。
MNO2应客户的请求,移动网络运营商应能向相关实体申报将设备加密机器被盗的机器,以便采取适当措施。
MNO3移动网络运营商应该只使用profile向设备提供有限的服务; MNO用来执行这项有限服务的机制超出了这种架构的范围。
2.3.1.4 MNO客户
CUS1
1.MNO客户是MNO订阅的实际合约伙伴。他可能与最终用户不一样。
2.MNO客户使用一台机器加工来自设备制造商的装备有eUICC的设备和来自所选MNO的profile(订购)。
3.在下载profile之前,MNO客户必须提供其隐含或明确的接受。
4.MNO客户直接或间接识别机器以加工设备。机器识别机器设备应隐式或明确识别eUICC。
2.3.1.5最终用户
END1
1.最终用户使用本机器加工设备以及与启用profile相关的服务。 2.最终用户可以与MNO客户相同。
3.eUICC对最终用户是透明的。 4.最终用户与MNO客户或MNO直接相关。
2.3.1.6订购管理器 - 数据准备(SM-DP)
SMDP1
1.SM-DP代表MNO行事。
2.SM-DP从MNO接收profile描述并相应地创建非个人化profile。 SM-DP可能不得不利用EUM提供的工具来创建非个性化profile。 SM-DP和EUM之间交换的信息不是标准化的,可能因不同实体而有所不同。
3.SM-DP基于来自MNO的输入数据为目标eUICC生成个性化数据(例如,网络访问证书和其他数据)。
4.SM-DP为目标eUICC构建个性化profile。
5.SM-DP应使用目标eUICC的Profile Installer证书保护Profile软件包。
6.SM-DP通过SM-SR在eUICC上安装Personalized Profile。
SMDP2在MNO的请求下,SM-DP还启动profile启用,以及通过SM-SR向eUICC发送profile删除请求。
SMDP3 SM-DP为eUICC建立一个安全和认证的通道,以下载和安装profile到eUICC。
SMDP4 SM-DP和SM-SR之间的接口应具有适当的安全级别,以便支持向SM-SR安全传送profile。
SMDP5 SM-DP必须始终接收来自MNO的通过SMSR发送profile到eUICC的请求。
SMDP6 SM-DP至少应通过GSMA SAS认证。
SMDP7鉴于任何eUICC,SM-DP应能够为此eUICC生成个性化profile。
SMDP8 SM-DP和MNO是唯一允许为eUICC建立安全和认证通道来管理profile的实体。
SMDP9 MNO应能够与MNO选择服务任何MNO批准的eUICC的SM-DP接口。
SMDP10 SM-DP应能够生成可下载并安装在MNO所针对的eUICC上的个性化profile。
SMDP11 SM-DP应支持本文档第3.5.3节中描述的profile订购程序。
2.3.1.7订购管理器 - 安全路由(SM-SR)
SMSR1 SM-SR是唯一允许为eUICC建立安全和认证传输信道以管理eUICC平台的实体。
SMSR2 SM-SR根据MNO的策略规则加载,启用,禁用和删除eUICC上的profile。
SMSR3 SM-SR从eUICC制造商或以前的SM-SR获取eUICC的平台管理凭证。
SMSR4在任何时间点,只有一个SM-SR可以与eUICC相关联,但可以在eUICC的生命周期中更改。
SMSR5 SM-SR和eUICC之间的接口应具有适当的安全级别,以支持eUICC中的profile的安全传送和管理。
SMSR6
1.SM-SR不得以明文形式处理操作员证书。
2.SM-SR具有到SM-DP,eUICC和MNO的安全通信通道。
3.SM-SR至少应通过GSMA SAS认证。
SMSR7 SM-SR应能够确定eUICC是否可用于远程管理。
SMSR8 SM-SR对于生态系统内的其他实体不应具有歧视性。
2.3.1.8证书颁发者
CIS1证书颁发者角色为嵌入式UICC远程供应系统实体颁发证书,并充当可信第三方,用于对系统实体进行身份验证。
CIS2证书颁发者为EUM,SM-SR,SM-DP和MNO提供证书。
CIS3证书颁发者通过超出本规范范围的接口与MNO,SM-SR,SM-DP和EUM进行通信。
2.3.1.9发起者
INT1发起者是一个可以由各种实体承担的虚拟角色。发起人负责启动特定程序。
INT2为了本文件中定义的程序的目的,发起者可以假定为MNO。
INT3在任何时候,只有一个实体可以承担发起者角色。
INT4发起方和SM-SR之间的接口基于本文档中定义的接口。
INT5发起者应由SM-SR授权和认证。
EUICC1 eUICC是标准化ETSI规格中的分立硬件组件。
EUICC2通常,eUICC是不可移动的。
EUICC3从机器到机器设备的角度来看,eUICC的行为通常与UICC相同。
EUICC4 1. eUICC可以包含一个或多个profile。 2.在任何时间点只能启用一个profile。 3. eUICC应包含一个具有回退属性集的profile。只有一个profile可以设置“回退属性”。 4.具有回退属性集的profile不能删除。 5.回退属性的设置由SM-SR管理。 6.适用所有相关的UICC规范。
EUICC5 eUICC中的(U)SIM或ISIM在profile中的行为预计与当前(U)SIM或ISIM相同。预期不会更改现有的3GPP(U)SIM和ISIM规范。
EUICC6 eUICC将实施Milenage网络认证算法。
EUICC7当TUAK包含在3GPP规范中时,eUICC应该在Milenage之外实施TUAK算法。
EUICC8物理eUICC的所有权可能会在其整个生命周期内发生变化。
EUICC9 eUICC应包含其相关SM-SR的身份并具有对其进行鉴定的手段。 eUICC制造商交付的
EUICC10 eUICC应始终注册到SMSR。
EUICC11如果profile启用,profile禁用和profile下载和安装等任何命令未成功完成,则eUICC应在收到请求之前保持其所处的状态。
PRO 1简介是发行MNO的财产。
PRO 2profile应有唯一标识。
PRO 3 1.在任何时间点只能启用一个profile。 2.嵌入式UICC上可能存在其他profile,但启用/禁用profile始终只是由代表运营商的SM-SR执行的操作。 3.应根据政策规定采取行动。
PRO 4 1.简介由发行MNO控制。 2.profile与eUICC一起承载UICC的所有逻辑特性。所有相关的UICC规范应适用于eUICC规范定义的例外。
PRO 5每个profile应在其专用安全容器内隔离。应考虑GlobalPlatform的安全域框架。
PRO 6profile可用于配置(profile)或操作(操作profile)。他们显然是有区别的。 1.操作profile可以用作配置profile。 2.profile不能用作操作profile。
PRO 7总是会有一个profile。
PRO 8可能有几个操作profile。
PRO 9已安装的profile可以具有以下状态之一:•已启用•已禁用
PRO 10在所有操作使用中,eUICC应强制在任何时间点启用该profile并且只有一个profile已启用。
PRO 11将有一个由eUICC启动的使用回退属性集启用profile的功能。具有回退属性集的profile将因此提供网络连接,以允许SM-SR远程管理eUICC。
PRO 12机器不会对机器进行本地profile管理。
PRO 13 Aprofile包含认证算法的参数(例如Milenage算法的OPc,ri,ci),但不包括算法本身。 PRO 14 eUICC可支持其他网络认证算法;如果支持这样的算法,eUICC应实现一种机制来配置其参数。注意:这些其他网络身份验证算法对profile的可访问性超出了本文的范围。 PRO 15 Aprofile包含策略规则的子集以控制外部profile管理操作。 PRO 16 Aprofile可能包含生态系统中实体的标识符,密钥,PIN,证书,算法参数以及第一和第二级应用程序。 (参考:ETSI TS 102 221 [102221])PRO 17在当前UICC上可能的任何功能,特性或服务应该可以在eUICC上的操作profile中实现。
PRO 18在eUICC上对profile中功能,特性或服务的访问应与当前的UICC相同,即对终端和用户透明。
PRO 19在eUICC上对profile中的功能,特性或服务进行远程管理应该对运营商现有的系统和基础设施产生最小的影响。
PRO 20profile仅存储在SM-DP中并安装在eUICC上;它们不存储在其他地方并且在传输中加密。
PPC1每个profile都有相关的策略。政策包含管理profile操作状态更改的规则。这些状态转换是:•禁用•启用•删除
PPC2更新 - 对profile策略的访问仅限于发放MNO。
PPC3禁用profile的策略规则只能应用于自身。禁用的profile的策略规则不能影响任何其他profile。
本节定义了支持远程配置eUICC所需的功能架构. 该体系结构的基本组成部分包括要执行的功能,角色(Role)和分配的参与者(Actors). 下图显示了eUICC远程供应系统. 第3.3节和附录A中描述了角色的细节,相关的功能和接口.
GlobalPlatform提供了安全域(SD)的概念.这些是离卡(off-card)实体的卡内(on-card)代表,提供:
前进的方向是:
本节描述如何设计Profiles,例如,使用Global Platform Card Specification [GPCS]的概念和信息模型的扩展版本.profile包含在eUICC的安全域(SD)中,从而使SD的安全机制可用.更多信息可以在[GPCS]中找到.下图概述了eUICC的示意图.
操作系统(OS)包含基本的平台特征,例如支持GlobalPlatform Card Specification [GPCS]中定义的功能.
ECASD(eUICC认证机构安全域):
ISD-R和ISD-P是具有特殊功能的安全域.
ISD-R(ISD-Root)是执行平台管理命令的SM-SR的卡上代表(请参阅第3.3.1.3节中的平台管理功能).
ISD-R应:
a)在制造时在eUICC内创建;
b)与SM-SR相关联;
c)不被删除或禁用;
d)使用平台管理证书([管理]中定义的SCP80或SCP81)向SM-SR提供安全的OTA通道; e)实施支持SM-SR变更的密钥建立协议; f)在profile下载期间提供运输部分的包装和解包服务; g)能够创建具有所需内存配额的新的ISD-Ps(注:内存配额管理有待进一步研究); h)除ISD-P外无法创建任何SD;
i)按照政策规定执行平台管理职能;
j)不能在ISD-P内执行任何操作.
ISD-P(ISD-Profile)是移动网络运营商的现场代表,或者是MNO授权的SM-DP.
ISD-P应:
a)在eUICC上成为一个独立的独立实体
b)包含文件系统,NAA和政策规则等profile; c)包含与创建,启用和禁用profile相关的状态机; d)包含用于加载和安装阶段的profile管理的密钥; e)实施密钥建立协议,为ISD-P的个性化生成密钥集; f)能够接收和解密,加载并安装由SMDP创建的Profile; g)安装profile后,能够将自己的状态设置为禁用状态; h)提供SCP03能力以确保与SM-DP的通信;
i)能够包含CASD.此CASD在profile中是可选的,并且只在profile处于启用状态时才提供服务.
MNO-SD是MNO的卡上代表.
MNO-SD应:
j)与自身相关联;
k)包含MNO OTA密钥; l)提供安全的OTA通道([102225]和[102226]中定义的SCP80或SCP81);
m)有能力托管补充安全域.
一旦profile安装在eUICC的ISD-P上,profile和ISD-P应被认为是联合的,此后它就是被管理的ISD-P的状态.在装载和安装阶段,SM-DP执行ISD-P上的profile管理功能(请参阅第3.3.1.2节).一旦profile启用,MNO-SD由MNO OTA平台管理. MNO-SD以与当前UICC的ISD等效的方式进行管理.
平台服务管理器是提供平台管理功能和策略规则强制机制(策略规则强制实施器)的操作系统服务.它由ISD-R或ISD-P调用,它根据策略规则执行功能(参见第3.6节).另外,它可以检索可以根据请求与授权实体共享的ISD-P通用信息(即profileID,profile状态).
电信框架是一项OS服务,为ISD-Ps中托管的NAA提供标准化的网络认证算法.此外,它还提供了使用所需参数配置算法的功能.包含在ISD-P中的是公知的具有应用的卡结构,用于其他实体的SD,文件系统(MF树,ADF等)(根据ETSI TS 102 221 [102221]和3GPP TS 31 102 [31102 ])和政策规则.
ISD-P的状态和状态转换如下:
在创建ISD-P并建立密钥后,SM-DP代表MNO创建SD ,应用程序,NAA和文件系统.安装profile时,SM-DP将ISD-P的状态设置为禁用状态,从而有效地将其交给SM-SR进行平台管理.
在上图所示的创建状态下,profile被下载并安装在ISD-P中.在创建,禁用或删除状态下,profile对机器不可见以便机器设备
本节介绍并定义支持远程配置嵌入式UICC所需的相关角色和功能.这些函数描述了角色内部执行哪些操作,或者与架构的另一个角色或实体进行通信时执行了哪些操作.该角色与该角色分配给的业务角色不可知.
3.3.1.1数据准备功能
3.3.1.1.1非个性化profile创建
非个性化profile创建包括基于MNO profile描述和eUICC目标类型构建非个性化profile. SM-DP使用目标eUICC的EUM提供的服务,脚本,工具或文档生成非个性化profile. SM-DP和EUM之间交换的信息不是标准化的,可能因不同实体而有所不同.假定SM-DP用目标eUICC的样本测试非个性化profile. MNO通过测试使用由SM-DP开发的非个性化profile创建的测试个性化profile个性化的目标eUICC的样本来验证非个性化profile.
3.3.1.1.2profile订购
profile订购包括由SM-DP根据MNO向SM-DP提供的输入数据准备和生成个性化profile的过程.输入数据包括(但不限于):
3.3.1.1.3个性化数据的生成
该功能基于由MNO提供的输入数据(例如,IMSI,ICCID)在安全环境中创建证书和密钥值(例如,NAC,PIN,OTA密钥).
3.3.1.1.4profile个性化
SM-DP根据MNO下达的命令将个性化数据插入到非个性化profile中.此功能解决了确保创建的个性化profile只能安装在特定eUICC上的过程.
3.3.1.1.5 EUM服务,脚本,工具或文档
为允许任何SM-DP在任何eUICC上承担上述功能,EUM提供的服务,脚本,工具或文档必须至少支持以下eUICC属性由MNO交付.某些属性与非个性化profile创建的功能有关,有些属性与profile个性化有关,在某些情况下,它们适用的功能可能取决于特定的eUICC.这些属性包括:
SM-DP和EUM之间交换的信息不是标准化的,可能因不同实体而有所不同.
3.3.1.2profile管理的功能
3.3.1.2.1 eUICC资格验证功能
eUICC资格验证功能包括以下几个方面:
•验证目标eUICC是否正在安装profile.
•验证eUICC认证.
3.3.1.2.2profile下载和安装功能
这涉及将个性化profile下载和安装到目标eUICC中.
3.3.1.2.3profile内容更新功能
这是通过MNO OTA平台实现的.
3.3.1.2.4策略规则更新功能
这包括策略规则的更新.要更新的策略规则可能是SM-SR中的策略规则,或者是eUICC上的ISD-P中已安装的profile中的策略规则.
3.3.1.3平台管理功能
3.3.1.3.1 ISD-P创建功能
该功能用于在eUICC中创建ISD-P,以准备要加载的profile内容.
3.3.1.3.2 ISD-P删除功能
这涉及删除ISD-P. ISD-P删除是ISD-P以及之前加载并安装在eUICC上的内容的永久性删除.只有在禁用状态时才能删除ISD-P(见3.2.3节的状态图).
3.3.1.3.3主删除功能
无论profile的策略规则如何,它都会处理删除没有设置回退属性的孤立profile.该功能将删除profile及其ISD-P.只有profile处于禁用状态时才能删除profile.
3.3.1.3.4profile启用功能
这涉及启用profile.这将使profile中的应用程序和文件可见并可由机器选择,以便机器受到相关访问控制.
3.3.1.3.5profile禁用功能
这涉及禁用profile.这将使profile中的所有应用程序和文件不可见,并且不被机器选择以加密设备.
3.3.1.3.6设置回退属性
这涉及对所述eUICC
3.3.1.3.7传送功能
运输功能的资料(或多个)的回退属性的设置是指SMSR之间的通信信道的建立和eUICC上的ISD-R.此功能也解决了SM-SR和eUICC之间传输通道的安全问题.注意:SM-SR可以通过不同类型的网络系统(如GSM,GPRS,UMTS或EPS)联系机器到机器设备中的eUICC.此外,SM-SR将需要与相关的网络系统进行相应的接口.例如,SM-SR需要使用SMPP才能与SMS通信,或者可能需要连接到IMS网关才能与eUICC建立基于IP的通信.这些通信由活动的订阅提供.
3.3.1.3.8策略执行功能
介绍eUICC和SM-SR策略规则的实施.
3.3.1.4 eUICC管理的功能
3.3.1.4.1 eUICC注册功能
该功能用于处理SM-SR中的eUICC.
3.3.1.4.2 SM-SR变更功能
处理eUICC的SM-SR变更. SM-SR变更是将eUICC的EIS从一个SM-SR转移到另一个SM-SR,并在新的SM-SR和eUICC之间在ISD-R中建立新的密钥集.
3.3.1.5 eUICC功能
3.3.1.5.1回退功能
这涉及启用具有回退属性设置的profile.此功能会自动禁用当前启用的profile并启用配置了“回退属性”的profile.例如,在启用profile的网络连接永久丢失的情况下.
以下数据是profile的一部分:•应用程序和(特别是3GPP TS 31.102 [31102],3GPP TS 31.103 [31103]和ETSI TS 102 221 [102221])中定义的文件.除上述内容外,以下数据未包含在上述标准中:
•与其相应的网络访问应用程序相关的算法参数(例如Milenage:OPc,ri,ci值);
•profile附加的策略规则(POL1).
对于机器设备,启用profile相当于UICC.对于一个MNO OTA平台,启用资料相当于一个UICC按照ETSI TS 102 225 [102225],TS 102 226 [102226]和TS 102 223 [102223].根据profile的其余内容,附加到profile的策略规则POL1通过MNO OTA平台进行管理.根据相关的ETSI和3GPP标准,已启用profile中的小程序将按照与UICC中的小程序相同的方式工作.
本节描述的程序涉及业务环境的角色(例如,客户和服务提供者之间)和远程供应架构的实体(例如,eUICC和SM-SR之间)之间的交互.对于每个程序,描述主要步骤以及相关的“启动条件”和“结束条件”. “开始条件”描述了在执行程序之前必须保留的一组先决条件. “结束条件”描述了一系列结果,这些结果将在程序执行后保留.确定了eUICC和相关profile的配置和生命周期管理的以下主要程序:
eUICC是根据给定标准制造的,一般独立于机器对机器设备制造商,移动运营商或服务提供商.机器制造商设备制造商可以选择符合其用途的任何认证的eUICC,并直接从EUM订购它所需的数量.作为生产过程和发货前的强制性步骤,EUM将eUICC注册到选定的SMSR.这意味着在其整个生命周期中相关的相关信息,特别是平台管理证书,供应MSISDN,都存储在SM-SR数据库中.没有这一步,就不可能远程访问eUICC.注意:假设在此阶段eUICC确实包含配给profile并链接到活动的配给订购.如何选择Provisioning运营商,并且EUM与Provisioning MNO之间的相关商业和技术协议的性质超出了本文档的范围.以下表示eUICC信息集的功能表示形式:
启动条件:
生成eUICC,并在配给运营商的网络中加载并激活配给profile.他们已经过测试并准备发货.每个eUICC都有相应的EIS.
过程:
结束条件:eUICC在SM-SR上注册并准备好下载profile.现在可以将其运送到机器以加工设备制造商.
每个eUICC只能在一个SM-SR上注册. EUM和SM-SR之间的通信链路应是安全的.在器件制造过程中,eUICCs在注册和发货后嵌入到机器到机器设备中.
在eUICC中,UICC的当前功能范围由profile表示.类似于传统UICC的验证,profile应由创建profileSM-DP的实体验证.为了由SM-DP验证profile,应使用与典型UICC类似的程序.其中一个差异是物理测试eUICC只能由SM-DP进行个性化设置.注意:profile验证过程和接口不是标准化的,并且可能在MNO和SM-DP之间不同(profile验证策略,MNO可能执行哪些测试,可能由SM-DP完成,可能会在MNO和SM-DP,这个接口如何保护等).例如,简档验证过程可以包括以下步骤:开始条件:a. MNO已向SM-DP提供了profile描述,SM-DP已通过单独的过程生成了非个人化profile.b.SM-DP具有特定类型的样本eUICC.
过程:
在eUICC中,UICC的当前功能范围由profile表示.正如目前的UICC一样,Profile在MNO的责任下下令.应用相同的程序,唯一的区别在于UICC不是以实物形式生产,而是作为简档保存在SM-DP中.注意:profile订购流程和界面不是标准化的,并且可能因MNO而不同.例如,简档排序可以包括
例如,profile排序可以包括以下步骤:
开始条件:
a. SM-DP根据MNO提供的profile描述创建了非个性化profile.
b.MNO需要一定数量的eUICCprofile.
C.非个性化profile已使用第3.5.2节中的非个性化profile验证程序在目标eUICC类型上进行了验证.
步骤:
为了使机器能够将Device用于通信服务,eUICC必须至少加载一个Operational Profile.通常,这将通过使用由当前启用的profile表示的订阅进行无线传输完成.如果没有启用其他操作profile,则使用配置profile.profile下载和安装过程遵循以下步骤:
开始条件:
a.客户已经订阅了选定的MNO.
b.目标eUICC的EID和SRID为MNO所知.
C.使用选定的SM-DP完成profile订购程序.
d.目标eUICC被集成到一台机器中以加工设备并与SM-SR相关联.即MNO可以通过ICCID激活网络中的相关订阅.
过程:
结束条件:
已在MNU的eUICC中创建ISD-P,其中包含禁用或启用状态的profile. SM-SR相应地更新了此eUICC的EIS. MNO可以激活网络中的相关订阅.
此过程将删除没有回退属性的孤立profile,无论profile的策略规则如何.该程序的成功执行需要发起者和SM-DP的授权.注意:需要确定扮演发起人角色的角色.在下面的例子中,我们可以假设发起人将成为获得客户授权的新MNO.
开始条件:
a.在eUICC上有一个孤立的profile,例如,阻止加载另一个profile.
b.无法使用正常ISD-P删除程序删除孤立profile.
C.发起人决定删除eUICC上的孤立profile.
d.孤立profile被禁用.
过程:
两个profile之间的切换可以通过以下专用过程来实现.在这种情况下,请求由MNO直接发送到与目标eUICC相关联的SM-SR.
开始条件:
a.目标profile在eUICC上被禁用.其他profile已启用.
b.与目标profile相关的订阅在MNO的网络中处于活动状态.
C.目标eUICC的EID,与目标简档相关联的SRID以及目标简档的ICCID为MNO所知.
过程:
profile通过以下专用程序可以实现两个profile之间的切换.在这种情况下,MNO向SM-DP发出请求,SM-DP将其转发给与目标eUICC相关联的SM-SR.这样,MNO就不必链接到SMSR,并依靠SM-DP进行连接.
开始条件:
a.目标profile在eUICC上被禁用.其他profile已启用.
b.与目标profile相关的订阅在MNO的网络中处于活动状态.
C.目标eUICC的EID,目标profile的SRID和ICCID为MNO所知.
过程:
结束条件:
目标profile在eUICC上启用.先前启用的profile被禁用. EIS是最新的.
profile禁用可以通过以下过程来实现.该请求由MNO直接发送到与目标eUICC相关联的SM-SR.
开始条件:
在eUICC上启用目标profile.
过程:
结束条件:现在在eUICC上禁用了目标profile,并启用了具有故障预置属性集的profile.
启动条件:
MNO决定永久删除eUICC上的profile.
过程:
结束条件:目标profile从eUICC中删除. SM-SR中的EIS是最新的.
ISD-Pprofile可以由其MNO删除. ISD-P删除将通过SM-DP请求.在这种情况下,MNO不必链接到所有SM-SR,并依靠SM-DP进行连接.
开始条件:
MNO决定永久删除eUICC上的profile.
程序:
假定在执行过程之前,相关eUICC上具有已安装profile的MNO可能会请求通知当前SM-SR(SM-SR1)所做的更改并被允许采取行动,因为它涉及到他们的个人资料的理想处置(例如,什么也不做,更新政策规则,删除个人资料).在必须改变SM-SR的情况下,各个eUICC的证书必须保密.
开始条件:
a. eUICC的EID已知b. SM-SR1和SM-SR2的SRID是已知的.
C. ISD-R使用SM-SR1的钥匙进行个性化设置.
d. SM-SR的变化是允许的.
过程:
结束条件:
a. ISD-R使用目标SM-SR(SM-SR2)的密钥进行个性化设置.
b.eUICC在目标SM-SR(SM-SR2)中注册.
C. EIS和EID驻留在目标SM-SR(SM-SR2)中.
d. SM-SR1不再与eUICC相关.即profile的MNO所有者知道这一变化.
本程序在本文件的第4.5节中定义.
在机器到机器设备检测到网络连接丢失的情况下,需要切换到具有回退属性集的profile.在这种情况下,eUICC禁用当前启用的profile(profileA)并启用具有回退属性的profile集(profileB).出于安全原因,如果profileA的POL1规则设置为“禁用不允许”,则eUICC只能切换回profileA,直到profileA的POL1发生更改或使用主删除功能删除profileA.在这种情况下,profileA不能使用正常的删除命令删除.
开始条件:
a.机器设备向eUICC报告网络丢失.
b.如果机器向机器设备报告某些网络连接问题,则eUICC配置为执行回退机制.
C.具有回退属性集的profile不是当前启用的profile.
过程:
定义MNO如何验证eUICC是否通过认证,特别是如果eUICC是根据本规范设计的.
程序:
结束条件:MNU检查了eUICC证书和EUM证书.
策略控制与profile相关,它是这是MNO要求的,并且是通过使用MNO制定的规则来实现的.此策略控制受单个MNO策略的控制(或管辖权)控制.本政策可能包含执行不同实体的子政策.有两种规则:
•POL1 - 这些规则驻留在profile中,并由eUICC执行.
•POL2 - 这些规则将存储在SM-SR中并由其执行. MNO将POL2直接发送到SM-SR或通过SM-DP作为元数据附加到profile. POL1和POL2是在不同地点/实体执行的共同MNO政策的代表. POL1和POL2的组合代表适用于profile的MNO和客户之间的合同.在本节中,所有命令都被视为更新;在第一次建立规则时被认为是更新的特例.
3.6.2.1 SM-SR策略规则管理引擎
SM-SR的策略规则管理引擎在图中标识为“任务1”.任务1接受以下命令:
1)根据MNO请求更新POL2
2)通过SM-DP按照MNO请求更新POL2任务1根据从SM-DP提供的profile设置POL2.任务1在安装相关profile后立即执行POL2规则.此外,任务1相应地更新相关的EIS.管理eUICC时,SM-SR负责执行POL2规则.
3.6.2.2 SM-DP策略规则管理引擎
SM-DP的策略规则管理引擎在图中标识为“任务2”和“任务4”.任务2接受以下命令:1)根据MNO请求设置POL1并将其嵌入到profile中.任务4接受来自MNO的以下命令1)“更新POL2”,并且
1)根据MNO请求设置POL1并将其嵌入到profile中.任务4接受来自MNO的以下命令
1)“更新POL2”,并将其传递给SM-SR以更新EIS.
2)从MNO设置POL2并将其作为元数据附加到profile以传输到SM-SR.
3.6.2.3 eUICC策略规则管理引擎
eUICC的策略规则管理引擎在图中标识为“任务3”.任务3可以读取驻留在已安装profile中的POL1规则.此外,它在安装相关profile后立即执行POL1规则(请参阅第3.2.2节中的Platform Service Manager角色).任务3接受以下命令:1)根据MNO请求读取/更新POL1(命令由MNO各自的OTA系统发送).
3.6.2.4 OTA策略规则更新机制
对于任务5,使用MNO OTA平台.在这种情况下,它接受来自MNO规则制作者的POL1更新命令,并向eUICC发布POL1更新.
eUICC内的策略控制机制包括:
•在MNO权限下存储在ISD-P内的策略规则;
•策略规则执行者,这是执行策略执行功能的过程,驻留在平台服务管理器中.
请参见第3.2.2节中的图
3.6.3.1策略规则
在profile的不同状态更改时检查策略规则.它们可能会影响与规则关联的profile的状态以及其他profile的状态.根据规则的性质,策略执行可以在eUICC和/或SM-SR级别进行.只有profile所有者的MNO才能修改策略规则.在eUICC级别,规则是Profile软件包的一部分,并且由eUICC操作系统通过与Platform Service Manager的交互执行.移动网络运营商可以使用他自己的OTA平台更新他的个人资料中的政策规则.更新只能在profile处于启用状态时完成.本文档中定义的强制执行关于远程供应嵌入式SIM卡的合同条款的策略执行机制受制于适用的竞争和监管法律.以下原则适用于合同条款的执行:
•参与运营商不得滥用策略实施机制来阻止或阻碍合法安装,启用,禁用和删除嵌入式SIM上的profile.
•参与运营商可以执行政策规定,只要这些行为符合适用的竞争和监管法律.定义了以下策略规则:注意:这假定SM-SR通过了MNMA的GSMA认证和信任.
POL1和POL2的设置可能不一样. POL1和POL2由不同的实体执行(eUICC为POL1; SM-SR为POL2),并将独立实施. POL1和POL2规则的显式设置是MNO的选择(例如,将POL1规则设置为空).
3.6.3.2 eUICC策略规则强制实施器功能
策略强制实施器能够读取和执行eUICC上存在的所有
POL1. eUICC可以推翻POL1的唯一情况就是减速机制.
3.6.3.3 SM-SR策略规则强制实施器功能
SM-SR策略强制实施器能够读取和执行目标eUICC的EIS中包含的策略规则.
《end》