PKI數字證書在eSIM安全上的應用研究

李宏平 孟玉明 張立星 張傲思 杜琳美

1 聯通華盛通信有限公司 北京 100032

2 全國海關信息中心 北京 100005

引言

現有實體SIM卡寫卡有以下兩種方式：一種是通過寫卡器將卡數據寫入SIM卡內，此種方式SIM卡與設備是物理接觸，不需要進行在線認證就能保證將卡數據寫入正確的卡內；另一種是空中寫卡方式，運營商通過卡內預置的號碼給卡發送數據短信，將卡數據傳遞到卡內，SIM卡與運營商之間通過預置號碼的網絡參數進行認證來保證卡數據寫入正確的終端內。

eSIM以密碼學技術為基礎，使運營商簽約數據在生產、存儲和遞送環節與硬件分離，以電子數據的形式存在，支持通過網絡遠程配置到終端。在這種情況下，eSIM終端出廠前無法確認需要支持的運營商；同時也存在一個終端上可存儲多個電子卡數據的情況，這些電子卡數據可能來自不同的運營商，這就會導致終端和管理平臺不知道對方各自的情況。

一般來說，網絡上的實體間采用數字證書的方式來進行在線的相互認證。GSMA使用PKI(Public Key Infrastructure)公鑰證書體系作為eSIM安全機制的基礎[1]。eSIM平臺RSP(Remote SIM Provisioning，遠程SIM卡數據配置)業務數字證書由eSIM CA系統簽發,可作為eSIM設備和服務器在RSP業務中的身份標識,實現設備認證、服務器認證以及信息傳輸的完整性和抗抵賴性。

1 數字證書與eSIM安全機制

1.1 eSIM技術架構

GSMA是eSIM標準的主要研究機構，從2011年至2016年先后發布了4個版本的eUICC標準，主要面向行業物聯網市場。為了將eSIM的適用范圍拓展至公眾消費設備，GSMA又于2016年發布了遠程SIM卡數據配置(RSP)標準。RSP采用的是客戶端驅動模式，適用于可穿戴、平板電腦等消費類電子產品,針對用戶自簽約、自配置、自管理的特點進行了優化。

為了實現eSIM的業務需求，RSP技術標準定義了一套包含管理平臺、終端、eUICC、CA以及相關配套設施的技術體系[2]，如圖1所示。

圖1 eSIM技術架構

主要實體包括以下6種。

1)Profile：運營商向用戶提供服務所需的卡數據和卡應用的集合，需要通過空中下載的方式安裝到eUICC上。

2)eUICC：Profile的硬件載體，類似于傳統USIM卡的UICC，但軟硬件更復雜，可滿足動態加載運營商數據的需要。同一張eUICC上可以加載屬于不同運營商的多份Pro fi le，但同一時間只有一份能使用。

3)SM-DP+：負責生產、存儲、提供Profile的網絡服務平臺。SM-DP+需具備必要的軟硬件能力以確保Pro fi le的安全。

4)終端：需要接入移動網絡的實體。eUICC預置在終端中，終端也負責從SM-DP+下載Profile并寫入eUICC。

5)DS：發現服務器，協助終端尋址SM-DP+。

6)CA：標準PKI證書權威機構，為體系內的通信各方頒發可信數字證書。

1.2 RSP標準的安全機制

eSIM采用基于公眾網絡的空中寫卡技術，面臨Profile數據泄露、Profile被竊取等網絡威脅及安全風險。GSMA RSP標準中提供了一系列安全機制和工具，用于防止Profile在下載、存儲等環節的安全威脅[3]。RSP標準要求eSIM在生產、管理、安裝、使用等任何環節的安全級別不低于傳統可插拔SIM卡，體系中各實體需通過GSMA定義的安全認證。在技術層面，RSP標準也定義了多種安全機制來確保安全性[4]，如表1所示。

表1 RSP使用的安全機制介紹

2 eSIM數字證書管理

2.1 證書分類

eSIM系統中的PKI證書體系分為三個層次：根證書、卡商證書/平臺證書、eUICC證書。其中根證書是自簽名證書，是信任鏈的起始點。EUM證書(Embedded UICC Manufacturer)也叫卡商證書，由根證書簽發，eUICC證書由EUM證書簽發。服務器證書也由根證書簽發。RSP業務中所有的證書均為X509格式證書。

2.2 證書鏈

RSP標準定義的證書鏈如圖2所示。

2.3 證書簽發

圖2 RSP證書鏈

eSIM管理系統中各個實體的證書管理需要符合PKI架構要求。CI 根證書、卡商證書、平臺證書(SM-DP+證書及 SM-DP+ TLS 證書)需要由運營商認可的CI簽發，但是允許SM-DP+證書與SM-DP+ TLS 證書可以由不同的CI簽發。eUICC證書由卡商使用二級根證書簽發，eUICC需要認證eSIM下載服務器的DP+公鑰證書。

2.4 證書系統實現

eSIM CA系統由離線CA、在線CA、RA、OCSP組成[5]。離線CA是一個單獨的、可信任的根CA，它生成CI根證書,并通過CI根證書簽發卡商EUM證書和服務器證書。在線CA即EUM,其核心功能就是簽發和管理eUICC證書，EUM具有證書發放、證書更新、證書撤銷和證書驗證的功能。RA (Register Authority)是面向用戶的審核受理機構，負責審核終端實體的相關信息，負責維護用戶的信息。通過證書中的OCSP (Online Certificate Status Protocol)服務器地址，使用在線證書狀態查詢服務。

證書有效性驗證包括三個方面內容：

1)驗證證書中的簽名，確認證書是由CA簽發的以及證書的內容沒有被篡改；

2)檢驗證書的有效期，確認該證書在有效期之內；

3)查詢證書狀態，確認該證書沒有被注銷。

在進行證書驗證時，逐級驗證簽發者直至根證書。根證書的驗證通過自身公鑰來驗證其簽名信息，CA證書驗證通過根證書的公鑰來驗證證書的簽名，用戶證書驗證通過相應CA證書的公鑰來驗證證書的簽名。在驗證過程中，需要判斷證書是否在有效期內。

2.5 證書生命周期

證書簽發下來后狀態默認為有效態；當證書處于不安全狀態時，可以進行凍結操作，證書狀態改為凍結態，凍結態證書可以通過解凍操作恢復為有效態；有效態證書和凍結態證書均可以做吊銷操作，使證書改為作廢態，吊銷后的證書不能改變狀態。

證書的整個生命周期如圖3所示[6]。

圖3 證書生命周期

CI簽發的各種證書應設置有效期，超過有效期的證書應停止使用。eSIM下載服務器會檢查eUICC證書、EUM證書的有效期，超過有效期的證書將被拒絕訪問。

3 數字證書在eSIM平臺上的應用

eSIM管理平臺的主要功能是卡數據的生成、管理以及下發。在卡數據下發之前，管理平臺與RSP終端需要進行相互認證之后，才能將卡數據下發到RSP終端中的eUICC卡內。有時，RSP終端內會預置多個不同CA簽發的不同根的證書，同樣，管理平臺也會預置多個不同CA簽發的不同根的證書，在用戶使用RSP終端選擇運營商辦理好業務之后，RSP終端可以根據運營商發來的信息訪問到管理平臺，通過相互認證之后管理平臺將卡數據下發到RSP終端上。

管理平臺與RSP終端間的相互認證過程如下：

1)當RSP終端需要進行認證時，向管理平臺發送認證請求，該認證請求包括RSP終端中eSIM支持的eSIM證書的標識；

2)管理平臺接收到認證請求后，在管理平臺查找與eSIM證書的標識一致的DP證書，并根據認證請求中的eSIM隨機數和生成的DP隨機數獲得DP簽名體，并對DP證書和DP簽名體進行簽名獲得DP的簽名；

3)管理平臺將DP證書的標識、DP證書、DP簽名體和DP簽名一并發送給RSP終端；

4)RSP終端接收到上述數據后，用與DP證書標識一致的eSIM證書的公鑰對所述DP證書進行驗證，若驗證失敗，則RSP終端向管理平臺向發送驗證失敗消息，如果驗證通過，則RSP終端進一步用DP證書的公鑰對DP簽名進行解簽，并將解簽后的DP簽名與DP簽名體進行比對，若比對一致，則RSP終端將DP隨機數和eSIM的信息一起打包生成eSIM簽名體，并對該eSIM簽名體進行簽名獲得eSIM簽名；

5)RSP終端向管理平臺發送eSIM證書、eSIM的EUM證書、eSIM簽名體和eSIM簽名；

6)管理平臺根據DP證書對接收到的eSIM證書和EUM證書進行驗證，若驗證通過，則管理平臺用接收到的eSIM證書的公鑰對eSIM簽名進行解簽，并將解簽后的eSIM簽名與接收到的eSIM簽名體進行比對，如果比對一致，則認證成功完成本次認證。

其中，進行簽名的步驟可以由管理平臺自身進行簽名，也可以單獨授權給獨立的模塊進行簽名。例如單獨設置加密機，管理平臺將需要進行簽名的數據發給加密機進行簽名，并獲得加密機返回的簽名。

如果RSP終端的eSIM支持多個eSIM證書，則針對每個eSIM證書都按照上述流程提供的認證方法進行認證，從而實現RSP終端的多運營商支持功能。

4 多證書管理現狀及發展趨勢

4.1 多證書

選擇合適的證書服務是保障運營商數據安全的關鍵。eSIM證書服務既要符合GSMA標準，又需滿足政府監管要求，目前國際上提供證書服務的主要兩家：CyberTrust、Symantec。GSMA特別準許國內運營商自己選擇CI，CA證書簽發者必須是工業與信息化部公布的具有電子認證服務行政許可的認證機構，目前，三家運營商各自有CA，國內的電信終端產業協會(TAF)也是具備為eSIM平臺及EUM頒發證書的CA。

RSP標準基于PKI的信任機制允許eUICC同時訪問多個eSIM管理平臺，理論上eUICC上只需要安裝一張證書就可以，但這只是理想狀態。例如美國Verizon和AT&T互不使用對方的證書。為了解決這個問題，RSP標準定義了多證書機制，eUICC中可以同時安裝多張CA證書，按需使用。eUICC應能支持多個根證書，eSIM下載服務器也應能支持多個根證書，并能根據eUICC支持根證書的情況選擇合適的證書。

4.2 GSMA統一根證書策略分析

為了實現全球互通，GSMA希望根證書統一由經過認證的CA簽發，但為了滿足各國政府監管需要，GSMA在SGP.28規范定義了兩種CI：GSMA Root CI和Independent Root CI。

根據GSMA 規范要求，CI選擇需要考慮的因素包括：

1)公司制度完善；

2)有能力對申請證書的企業的資質進行驗證；

3)有能力保護整個生態體系；

4)積極參與eSIM發展；

5)能證明產品質量；

6)具備CI領域的知名度；

7) 產品覆蓋廣度(建議至少被8個運營商支持)；

8)產品覆蓋的區域(建議至少在2個以上區域使用)；

9)具備長期服務的能力；

10)符合技術規范；

11)對各廠商中立無歧視；

12)簽發證書的效率。

根據國內運營商發展現狀，國內運營商提出針對GSMA的部分條件應當允許適當調整，如：為保證尊重運營商平等選擇權利，只要有一家運營商推薦即可申請成為CI；對CI申請評估應該注重技術性因素，綜合考慮市場規模因素，而不是運營商個數；覆蓋多少國家、有多少運營商支持不應成為對CI的準入要求；簽發證書的歷史長短不應成為對CI的準入要求等條件。

同時，為解決全球互通，減少eUICC需要安裝的CA數量，降低DP+平臺安裝多個CA所需的成本，GSMA需要提供一個完整的CI解決方案，在該方案中應該體現如下原則：

1)多個CI組成CI包(CI Package) ，以實現對多個監管地區的覆蓋；

2)對于每個監管地區，都需要有至少1個被該地區法律認可的CI在包中；

3)DP+需支持包中的所有被其所在地區認可的CI(不能選擇性支持)，eUICC則只需選擇其中一個CI(需要支持跨區域時需每個區域選擇一個CI)；

4)建議GSMA在認證CI時一并解決CI的商務問題，DP+平臺可以合理的價格獲得并安裝該監管地區內所有CI頒發的證書。

4.3 國內CA管理策略研究

由于國內運營商的eSIM平臺均采用自建的技術路線，在證書服務選擇上，終端廠商及卡商的話語權較弱，國家相關管理機構也未明確政策意見，因此目前仍由運營商自主選擇為主。同時，中國三家運營商互不使用對方證書，這導致終端eUICC需預置多家證書，提升了終端復雜度，也不符合GSMA對統一根證書的管理原則。

國內CA管理需要一套互聯互通方案，在設計時應考慮符合中國法律和監管要求、保證終端可以與各家運營商的DP/DP+互通、eUICC上只需安裝一個CA就可以連接全部運營商的DP/DP+、需要具備商業上的公平性、合理性和可行性。基于此，我們提出如下三種可行方案。表2對三種方案做出了比較。

表2 三種CI方案比較

4.3.1 公益性單CI方案

由監管部門指定一個CI作為統一CI，該CI需要是公益事業性質，由政府提供資金支持，不對運營商(平臺證書，包括TLS證書)、eUICC廠商(EUM證書)收取費用。

4.3.2 運營商互認多CI方案

1)由監管部門組織統一CI入圍招標，入圍廠家數量可控制在3家左右。

2)平臺證書免費。所有CI無歧視地向個運營商簽發平臺證書，所有運營商需要無歧視地支持各個CI的證書。

3)eUICC只需要安裝一個CI的證書，由eUICC廠家自主選擇用哪個CI，eUICC廠家與CI廠家自主進行商務談判。

4.3.3 市場化多CI方案

1)由監管部門組織統一CI入圍招標，入圍廠家數量可控制在3～4家左右。

2)平臺證書免費。所有CI無歧視地向個運營商簽發平臺證書，所有運營商需要無歧視地支持各個CI的證書。

3)eUICC只需要安裝一個CI的證書(但不限制安裝數量)，由eUICC廠家自主選擇用哪個CI，eUICC廠家與CI廠家自主進行商務談判。

5 結語

eSIM是對移動通信技術的一次重大改進，使通信服務擺脫了SIM卡線下發卡環節的束縛，可實現全面互聯網化的業務流程，讓用戶獲得隨需、即時入網的極致體驗。終端商則得以擺脫卡槽束縛，優化產品外觀并提升性能，如減小體積、增加電池續航、增強防水能力等，為廣大消費者帶來更多、更好的產品。

隨著智能手表等可穿戴設備在國內的普及，eSIM技術在移動通信業務中扮演的角色越來越重要，其安全性問題深受產業鏈各方的關注。eSIM采用基于公眾網絡的空中寫卡技術，為解決Pofile在傳輸過程中的安全性，采用了一套基于PKI的同根數字證書作為eSIM設備和服務器的身份標識。目前國內各運營商已確定使用自建的eSIM平臺進行業務發展，對eSIM平臺上的數字證書應用與管理必將引起更多重視，數字證書頒發機構之間的互相認可也將成為值得研究的新課題。