sgp：SGP.21 eSIM Architecture Specification v2.4学习总结

2024-04-29 19:06:23 0 0

主题：SGP.21 eSIM Architecture Specification v2.4学习总结
简介：
作者：ybb
时间：2021年10月11日
4 Remote SIM Provisioning System Architecture
4.1 eUICC架构

4.1.1eUICC架构概述

4.1.1.1 ECASD
ECASD:Embedded UICC Control Authority Security Domain
负责支持eUICC上所需安全域所需的安全存储
一个eUICC上只有一个ECASD，有EUM安装和定制。
ECASD应包含以下内容：
用于创建签名的eUICC私钥（私钥签名，公钥验签）；
用于eUICC身份验证的证书；
证书颁发者的根秘钥用于验证SM-DP+和SM-DS的证书（The Certificate Issuers’ (CI) root public keys for verifying SM-DP+ and SM-DS Certificate）
用于秘钥/证书更新的EUM秘钥集；
提供秘钥建立和eUICC身份认证过程中使用的安全功能；

4.1.1.2 ISD-R
ISD-R Issuer Security Domain-Root
ISD-P:Issuer Security Domain-Profile
ISD-R负责创建新的ISD-P和ISD-P的生命周期管理
4.1.1.3 ISD-P
ISD-P是用于托管配置文件的安全容器；
ISD-P用于下载配置文件并与配置文件包解释器协同下载和安装，用于解码接收到的配置文件包。
4.1.1.4 MNO-SD
MNO-SD包含运营商OTA的Key并提供安全的OTA通道。
4.1.1.5 Profile Policy Enabler
执行eUICC操作系统服务以及提供Profile Policy Rules 验证
4.1.1.6 Telecom Framework
NAA:Network Access Application
为托管在ISD-P中的NAA提供标准化的网络认证算法。
4.1.1.7 Profile Package Interpreter
将配置文件包数据转换为已安装的配置文件的格式（translates the Profile Package data into an installed Profile using the specific internal format of the target eUICC.）
4.1.1.8 Local Profile Assiatant Services
提供以下服务和数据的访问权限：
根SM-DS地址；
默认SM-DP+地址；
方便从LPA接收正在转移的绑定配置文件包；
提供已经安装的配置文件以及配置文件元数据的信息；
提供本地配置文件管理；
为LPA提供可以进行身份认证并与SM-DS进行交互的功能；
保证对EID的访问仅仅限制在LPA；

4.2 LPA与SM-DP+的连接方式
在LPA所在设备上提供互联网连接；
其他设备共享的互联网连接；

4.4 eUICC资格检查
eUICC资格间隔使SM-DP+能够使用eUICC发送的信息来验证eUICC用于安装配置文件的资格。

4.10 SM-DP+
4.10.1 SM-DP+概述
SM-DP+负责配置文件的创建、生成、管理、保护；
负责配置文件的安全递送；
负责在eUICC中创建ISD-P的请求；

4.11 LPA

4.11.1 LPA概述
提供LUI、LPD、LDS

LDS:负责从SM-DS中检索未决的事件记录；
LUI:用户在设备商执行本地配置文件管理；
LPD:负责配置文件的下载（将配置文件包从SM-DP+下载到LPD，将绑定的配置文件包转移到eUICC）
4.11.2 LPA运行模式

4.12 SM-DS
4.12.1 SM-DS概述
SM-DS的作用是允许SM-DP+通知SM-DP+希望与之通信的LDS。
SM-DP+ SM-DP LDS
SM-DP+通过SM-DS向目标设备发送时间注册消息。
根SM-DS的地址是唯一的。
目标设备回轮询根SM-DS，最后的响应使用的是SM-DP+地址

事件注册：

4.12.2 SM-DS执行
SM-DS存在Root SM-DS和Alternative SM-DS

4.12.4 SM-DS功能
事件注册
事件删除
事件检索

事件注册和删除流程

4.13 配置文件策略管理
4.13.1 Introduction

配置文件策略管理功能提供了一种机制，使服务提供商能够加强向订阅者提供服务的条件或策略。
配置文件策略管理功能的实现基于两个关键要素。第一是包含在eUICC中的配置文件策略启用器。第二个是一组已定义的配置文件策略规则。
5 操作流程
5.1 LPA发起下载
5.1.1 LPA发起下载请求
如果还未获得激活码，LPA应使用eUICC上填充的任何根SM-DS或者默认SM-DP+地址。
如果同时填充了根SM-DS和SM-DP+的地址，LPA首先应联系SM-DP+，然后联系SM-DS启动远程SIM配置。
5.1.2 LPA发起下载的流程

启动配置文件下载的条件：
用户已经完成对选定运营商提供的订阅操作流程；
与此订阅相关的配置文件订购流程已完成。
1.LPA发起Profile Package的下载并识别存储配置文件的SM-DP+地址，通过二维码、URL、手动输入等方式完成配置文件的下载。
The LPA initiates Profile Package download and identifies the address of the
SM-DP+ where the Profile is stored and available for download (via e.g. URL,
QR code, manual input, etc.) as well as other information provided (e.g.
Token, SMDPId, Confirmation Code).

2.LPA通过与SM-DP+建立TLS连接来验证SM-DP+，如果提供了其他信息需要验证SMDPId。
The LPA authenticates the SM-DP+ through establishing a TLS connection
with the SM-DP+, and verifying the SMDPid if such information has been
provided.
3-4.LPA获得eUICC challenge

5-6.LPA向SM-DP+发送eUICC challenge和其他相关的信息
7-9.SM-DP+在eUICC challenge进行标记，生成DP_challenge并发送到eUICC
10.eUICC检查SMDPId，并验证SM-DP+
11.eUICC向LPA返回DP_challenge、AC Token、EID和证书
12.终端用户确认进行配置文件的下载。
13.LPA向SM-DP+发送步骤11返回的消息（eUICC到LPA到SM-DP+）
14.SM-DP+核实签名，验证eUICC
15-16.SM-DP+执行eUICC资格检查和配置绑定
17.运营商收到即将下载的配置文件包
18.如果运营商已经收到通知，但是遇到错误，需要像SM-DP+指示错误代码停止下载过程。
19.如果运营商向SM-DP+发送错误代码，SM-DP+停止下载过程并向LPA执行错误代码
20.LPA会以适当的消息通知终端用户
21-22.SM-DP+从运营商接收信息，并准备合适的配置文件包。
23-25.绑定的配置文件包被发送到eUICC并安装到eUICC上。
26.从SM-DP+到运营商发送配置文件包下载报告

5.2用激活码下载配置文件
5.2.2用激活码下载配置文件的流程
激活码定义了一个通用功能，允许订阅用户通过从设备本身下载操作配置文件来激活设备。
5.3 本地配置文件管理
5.3.1本地配置文件管理过程
5.3.1.1启用配置文件