ES6 (MNO-eUICC) 接口中 OTA 平台通信概述
## ES6 (MNO-eUICC) 接口中 OTA 平台通信概述
### 1. 概述
- **ES6 接口:** 连接 MNO OTA 平台与 eUICC 内部配置文件的安全通道。
- **目的:** 允许 MNO 通过 OTA 方式对 eUICC 上的配置文件进行远程管理,例如启用/禁用配置文件、更新策略规则等。
### 2. 安全通道
- ES6 接口使用 ETSI TS 102 225 [4] 和 ETSI TS 102 226 [5] 中定义的 SCP80 或 SCP81 安全通道。
- **SCP80:** 基于对称密钥加密,提供数据机密性和完整性保护。
- **SCP81:** 提供比 SCP80 更强的安全性,使用更长的密钥长度和更强的加密算法。
### 3. 安全设置
- 本规范建议 ES6 接口至少采用 ES5 接口中定义的最低安全设置 (见 2.4.2)。
- **密钥长度:** AES-128 位。
- **加密模式:** CBC 模式。
- **消息认证码 (MAC):** AES CMAC 模式,64 位长度。
- **安全协议标识符 (SPI):** 设置为 '16',表示使用 AES CMAC 和 CBC 加密。
- **PoR (Proof of Receipt):** 在发送响应消息时使用 PoR,以确认命令执行结果。
### 4. 协议选择
- MNO 可以选择使用 SMS、CAT_TP 或 HTTPS 作为 ES6 接口的传输协议,具体取决于 eUICC 和设备的通信能力以及要执行的操作类型。
- **SMS:**
- 适用于命令长度较短或需要触发 HTTPS 或 CAT_TP 会话的情况。
- 需遵循 3GPP TS 31.115 [13] 和 ETSI TS 102 226 [5] 中定义的安全要求。
- 需使用 AES CMAC 和 CBC 加密,并设置 SPI 为 '39' 以启用 PoR 和加密。
- **HTTPS:**
- 适用于需要传输较大数据量或需要更复杂通信协议的情况。
- 需使用 PSK-TLS (预共享密钥 TLS) 协议,并支持 TLS 1.2。
- PSK 需具有至少 128 位的熵。
- 需支持 DNS 解析,以解析 SM-SR 的 IP 地址。
### 5. 通知流程
- eUICC 可以通过 SMS、CAT_TP 或 HTTPS 向 SM-SR 发送默认通知,例如首次网络连接、配置文件启用或回滚等。
- 通知消息的内容格式在所有协议中都是相同的。
- SM-SR 需确认收到通知,并根据协议类型执行相应的确认流程。
### 6. 关键点
- ES6 接口的安全性和可靠性对于 MNO 远程管理 eUICC 至关重要。
- 规范建议采用强加密算法和协议,并启用 PoR 机制以确保命令执行结果。
- MNO 应根据 eUICC 和设备的通信能力选择合适的传输协议,并配置相应的安全参数。
## 总结
ES6 接口在 eUICC 远程配置和管理中扮演着重要角色,其安全性至关重要。 了解 ES6 接口的安全机制、协议选择和通知流程,有助于 MNO 有效地对 eUICC 进行远程管理。