htt ps://w ww.ta f.o rg.c n/Download_detail.aspx?_NOTICE_ID=956
粗略看了看 taf 协会、通信院、三大运营商、芯片电子厂 几家做的幻灯片
通信院的干货比较多,esim 的政策说的很明确了,运营商都要按规范来。
电信说了说自家 esim 相关的要求,也说了目前 esim 标准的技术限制——老外来国内用不了,希望推广国内根证书到全球范围。
移动就实干多了,在国际标准上做了很多国产化替代方案,比如 euicc 卡内置的加密算法和 java 虚拟机的国产化替代方案,甚至已经做了技术验证。
联通分两个人讲的,最不在状态,主打一个国际标准干啥我干啥,重点多半都在宣传推广自家业务,来搞营销了。
另外两家芯片厂没怎么看。
顺便写一下最近学习 esim 的笔记
esim 芯片学名叫 eUICC ,芯片序列号叫做 eID
生产 eUICC 芯片的芯片制造商,也就是卡商,学名叫 EUM
虚拟化的 sim 卡叫做 profile
运营商用来发 profile 的服务器叫做 SM-DP+
搞国际标准的组织叫做 GSMA
eUICC 没有操作界面,芯片本身能力也有限,所以需要 LPA 软件来操作。LPA 软件形态多变,在原生支持 esim 的手机上,LPA 就是手机自带的系统设置。使用外置读卡器的话就可以用第三方的软件来操作,例如经典软件 easylpac 。
GSMA 除了搞了标准,还自建了一个根 CA ,和 https/tls 的证书体系(学名叫 PKI )类似,但为了和 PKI 体系区别,所以不叫 CA ,管自己叫 CI 。
每张 eUICC 都内置了 ecdsa 的密钥,公钥被 EUM 卡商签发证书。
EUM 的证书由 GSMA CI 签发
LPA 连接 SM-DP+ 时,SM-DP+ 服务器的 https 证书是由 GSMA CI 或者 PKI CA (即常规 tls 证书机构)签发的
SM-DP+ 和 eUICC 之间则有额外单独的加密通信,类似 PKI 体系下的双向 tls 证书验证,对 LPA 不可见。
最终的效果就是运营商的 SM-DP+ 服务器和 eUICC 芯片直接端到端加密通信。但参与这个机制(学名叫 RSP )的多方证书最终都是由 GSMA 这个机构来签发。
国内就很直接了,三大运营商直接自建自己的根 CA(严谨的说法叫 CI ,但没必要),联通的根 CA 甚至在 GSMA CI 签发后几天就签发了,可以说联通跟进国际标准动作非常迅速了。这点电信做的比较不好,电信没有自建的 CA 机构,直接让第三方 CA 来做了。
eUICC 芯片的证书和卡商 EUM 的证书也是三大运营商签发的了。我手里这张 st33 不光内置了三大运营商和 GSMA 的 4 个根证书,用来信任 SM-DP+。
并且还分别生成了 4 套密钥对,分别交给 4 个 EUM 证书来签发。这 4 个 EUM 证书分别由三大根 CA 和 GMSA 根签发。这四个密钥可以理解为和 SM-DP+ 通信时的客户端证书。
另外,据说三大运营商的 SM-DP+ 服务器,都有用其他两家运营商根签发的证书,互相交叉签发,用来信任其他两家运营商签发的 eUICC 。
心得:
国内的合约机时代早已结束,手机和运营商不再绑定。国际上运营商还很强势,合约机大行其道,手机厂和运营商强绑定。
国际上卡商和运营商通过 esim 时代解绑了,统一通过 GSMA 机构来协调。国内反而沿袭了物理 sim 卡时代的做法,卡商依然和运营商绑定,运营商通过自建根 CA 来管理卡商。
