□ 文 賈聿庸 楊 劍 湯建歡

1 概述

2019年，5G技術(shù)產(chǎn)品是焦點(diǎn)。各大設(shè)備商，運(yùn)營商都積極推出自己的新產(chǎn)品，同時(shí)，eUICC卡遠(yuǎn)程配置技術(shù)應(yīng)用于5G通信領(lǐng)域，新的科技產(chǎn)品也不斷推出。裝載eUICC的智能手環(huán)、手表等智能配套設(shè)備的出現(xiàn)，只需要運(yùn)營商對(duì)主設(shè)備進(jìn)行認(rèn)證，不需要對(duì)配套設(shè)備進(jìn)行認(rèn)證，即可簡便地連接到主設(shè)備中，運(yùn)營商可在配套設(shè)備上拓展相應(yīng)的通信業(yè)務(wù)和應(yīng)用，極大地提升了用戶體驗(yàn)，可為后續(xù)5G產(chǎn)品推廣提供極大的便利。

隨著eUICC產(chǎn)品不斷發(fā)展，用戶和廠商希望通過eUICC獲得更高的性能，占用更小的物理空間和更加靈活的應(yīng)用部署，因此各大設(shè)備商和服務(wù)提供商提出了將eUICC集成到終端SoC中作為新一代的eUICC相關(guān)技術(shù)的發(fā)展方向。

2 eUICC相關(guān)技術(shù)方案綜述

eUICC技術(shù)實(shí)現(xiàn)有多種方案，下面分別進(jìn)行描述。

2.1 標(biāo)準(zhǔn)的eUICC技術(shù)方案

GSMA為eUICC遠(yuǎn)程配置技術(shù)制定了技術(shù)標(biāo)準(zhǔn)，分為物聯(lián)網(wǎng)（M2M）和消費(fèi)電子（RSP）兩大類，具體技術(shù)架構(gòu)如下：

如圖1所示，在面向物聯(lián)網(wǎng)的eUICC遠(yuǎn)程配置架構(gòu)中，eUICC遠(yuǎn)程配置平臺(tái)主要包括SM-DP（簽約數(shù)據(jù)準(zhǔn)備）和SM-SR（簽約數(shù)據(jù)安全路由）兩個(gè)功能模塊，遠(yuǎn)程配置平臺(tái)可對(duì)物聯(lián)網(wǎng)設(shè)備中的eUICC卡進(jìn)行遠(yuǎn)程配置，實(shí)現(xiàn)簽約數(shù)據(jù)文件的下載、激活、刪除、策略調(diào)整等功能。

圖1 面向物聯(lián)網(wǎng)的eUICC遠(yuǎn)程配置架構(gòu)

圖2 面向消費(fèi)電子的eUICC遠(yuǎn)程配置架構(gòu)

如圖2所示，在面向消費(fèi)電子領(lǐng)域的eUICC架構(gòu)中，除了簽約管理數(shù)據(jù)準(zhǔn)備和簽約管理數(shù)據(jù)發(fā)現(xiàn)服務(wù)兩個(gè)核心功能模塊外，還有終端設(shè)備或卡上的LPA（本地簽約數(shù)據(jù)文件輔助管理）這個(gè)關(guān)鍵模塊，輔助遠(yuǎn)程配置平臺(tái)進(jìn)行簽約數(shù)據(jù)文件的遠(yuǎn)程配置管理，同時(shí)可對(duì)本地簽約數(shù)據(jù)文件進(jìn)行管理。

2.2 純軟件的eUICC技術(shù)方案

純軟件的eUICC技術(shù)方案是非標(biāo)準(zhǔn)化的，有多種概念定義。下面分別就軟SIM技術(shù)方案和TEE技術(shù)方案進(jìn)行分析。

2.2.1 軟SIM（SoftSIM）技術(shù)方案

軟SIM沒有相關(guān)卡的硬件，是一組純軟件應(yīng)用程序和數(shù)據(jù)，它可實(shí)現(xiàn)UICC卡的功能，但沒有任何類型的安全數(shù)據(jù)存儲(chǔ)，也不使用安全處理器，基于軟SIM技術(shù)方案的安全性將存在很大的問題。由于沒有硬件，且其可簡化實(shí)現(xiàn)eUICC遠(yuǎn)程配置功能，因而具有研發(fā)成本優(yōu)勢(shì)，業(yè)務(wù)部署靈活便利的特點(diǎn)。

2.2.2 TEE（Trusted Execution Environment/可信執(zhí)行環(huán)境）的技術(shù)方案

T E E執(zhí)行的是一系列的可信應(yīng)用T A（Trusted Applications），可信執(zhí)行環(huán)境為這些可信應(yīng)用提供一系列的安全服務(wù)，包括應(yīng)用執(zhí)行的完整性、安全存儲(chǔ)、與輸入輸出設(shè)備的安全交互、密鑰管理、加密算法以及與CA（Client Application）進(jìn)行安全通信。從提供的安全功能角度看，可信環(huán)境應(yīng)提供以下安全功能：可信執(zhí)行環(huán)境、安全存儲(chǔ)、操作系統(tǒng)的安全保護(hù)、與輸入輸出設(shè)備的安全交互?；赥EE的eUICC方案，一方面要實(shí)現(xiàn)eUICC遠(yuǎn)程配置功能，另一方面還需考慮安全等級(jí)，從而在滿足安全要求情況下實(shí)現(xiàn)遠(yuǎn)程配置能力。

2.3 集成eUICC的技術(shù)方案

集成的eUICC技術(shù)是屬于芯片系統(tǒng)的技術(shù)方案，其中UICC功能作為一個(gè)獨(dú)立的安全處理器核心與其他核心集成在一起，使用加密方法來保護(hù)核心數(shù)據(jù)，旨在滿足或超越當(dāng)前eUICC的安全級(jí)別及性能。

集成的eUICC主要是將原eUICC中管理運(yùn)營商的憑證集成到芯片系統(tǒng)（SoC）中，并在集成的防篡改安全單元上進(jìn)行遠(yuǎn)程配置功能實(shí)現(xiàn)，作為符合GSMA eUICC遠(yuǎn)程配置要求的功能來運(yùn)行。

終端芯片將安全處理器、基帶處理器以及可能的其他處理器組集成一個(gè)離散的硬件組件，這樣不僅滿足eUICC的功能及安全需求，而且不占終端設(shè)備的物理空間。

2.4 方案對(duì)比分析

標(biāo)準(zhǔn)的eUICC技術(shù)方案，由于其標(biāo)準(zhǔn)化，安全性高，且業(yè)界認(rèn)知度高，是目前市場(chǎng)上最具可行性的技術(shù)實(shí)現(xiàn)方案；從節(jié)省產(chǎn)品成本的因素考慮，軟SIM和TEE技術(shù)實(shí)現(xiàn)方案還是具有部分優(yōu)勢(shì)的；純軟SIM技術(shù)方案在設(shè)備制造商生產(chǎn)設(shè)備時(shí)不占據(jù)設(shè)備內(nèi)部的物理空間，只需要對(duì)設(shè)備的軟件架構(gòu)進(jìn)行修改，但由于軟件的安全性風(fēng)險(xiǎn)，容易出現(xiàn)安全漏洞的問題；TEE的eUICC的技術(shù)方案，安全性相比純軟技術(shù)方案要高，但由于TEE使用的是共享內(nèi)存，在安全系數(shù)要求較高的場(chǎng)景中，該方案的使用同樣容易出現(xiàn)安全風(fēng)險(xiǎn)；

集成eUICC的技術(shù)方案安全級(jí)別應(yīng)與eUICC標(biāo)準(zhǔn)技術(shù)方案一致，它一方面集成安全處理器，利用外部非易失性共享內(nèi)存，使用加密方法保護(hù)數(shù)據(jù)安全，另一方面，降低了設(shè)備占用的物理空間，提高終端空間利用率；同時(shí)性能方面也有提升，但目前還存在標(biāo)準(zhǔn)化程度低及產(chǎn)品認(rèn)知度較低的問題。

3 新一代eUICC技術(shù)的分析

從上述對(duì)比來看，現(xiàn)有成熟的技術(shù)方案是標(biāo)準(zhǔn)的eUICC技術(shù)方案，而具有廣闊前景的則是集成eUICC的技術(shù)方案，為了滿足多方的技術(shù)需求，GSMA和ETSI一同提出了SSP（Smart Secure Platform智能安全平臺(tái)）技術(shù)方案。

3.1 智能安全平臺(tái)（SSP）

SSP（Smart Secure Platform）是ETSI主導(dǎo)提出的新一代新型安全元件平臺(tái)，是一種顛覆傳統(tǒng)卡技術(shù)的新標(biāo)準(zhǔn)。其操作系統(tǒng)可以直接訪問SSP硬件平臺(tái)，為了提高操作系統(tǒng)的可移植性，SSP可以指定一個(gè)虛擬化接口，該接口將操作系統(tǒng)功能劃分為主平臺(tái)和輔助平臺(tái)，主平臺(tái)包含操作系統(tǒng)中與技術(shù)相關(guān)的部分，輔助平臺(tái)則包含與技術(shù)無關(guān)的部分，輔助平臺(tái)和SSP應(yīng)用程序組合成SPB（Secondary Platform Bundle），它是根據(jù)服務(wù)提供商的指令來創(chuàng)建符合SSP主平臺(tái)需要的相關(guān)數(shù)據(jù)。

SSP使用GlobalPlatform提出VPP（Virtual Primary Platform）的概念，并將其作為SSP的主平臺(tái)，該VPP上可運(yùn)行多個(gè)不同業(yè)務(wù)場(chǎng)景的VPP應(yīng)用程序，且互不干擾。OFL（Open Firmware Loader）由TRE Maker（Tamper Resistant Element Maker）提供，OFL負(fù)責(zé)從OFL Image中提取固件并將其安裝到TRE（防篡改元件）中，并解決無固件/操作系統(tǒng)的TRE的分發(fā)問題，允許在設(shè)備發(fā)布后從各種固件制造商處加載固件，是VPP生態(tài)系統(tǒng)的推動(dòng)者。以下是SSP的架構(gòu)圖：

圖3 SSP架構(gòu)示意圖

由圖3可知，SSP主要由兩部分組成：主平臺(tái)和輔助平臺(tái)捆綁包，其中主平臺(tái)（Primary Platform）包括硬件平臺(tái)和底層操作系統(tǒng)（Low Level Operating System），輔助平臺(tái)捆綁包（Secondary Platform Bundle），包括高級(jí)操作系統(tǒng)（High Level Operating System）及其應(yīng)用程序（SSP Application）。

PBL（Primary Boot Loader）本身是虛擬主平臺(tái)的VPP應(yīng)用程序，具有額外的特定API，能夠按照將固件（根據(jù)特定安全方案）封裝到防篡改元件的安全存儲(chǔ)器中的標(biāo)準(zhǔn)格式來執(zhí)行鏡像加載。

3.2 智能安全平臺(tái)（SSP）的技術(shù)分析

SSP包含多種類型，如rSSP（Removable SSP 可移除的SSP），eSSP（Embedded SSP 嵌入式SSP）和iSSP（Integrated Smart Secure Platform 集成SSP），業(yè)界焦點(diǎn)匯聚在iSSP上，本文著重討論iSSP。

iSSP指的是SSP集成到SoC中，SoC通常焊接在終端中，是終端設(shè)備的主要芯片系統(tǒng)，因此iSSP是終端的組成部分，與一個(gè)可移除卡內(nèi)的獨(dú)立SSP和設(shè)備內(nèi)獨(dú)立且不可移動(dòng)的SSP不同，iSSP的軟件和敏感數(shù)據(jù)永遠(yuǎn)不會(huì)從iSSP暴露在任何明文的外部組件，其對(duì)軟件和敏感數(shù)據(jù)提供隱私性和機(jī)密性保護(hù)，防止了回滾攻擊以及側(cè)通道攻擊。

iSSP將TRE集成到設(shè)備的SoC中，來保護(hù)用戶的訂購憑證，這也滿足了3GPP對(duì)5G的安全需求，為5G的推出提供技術(shù)基礎(chǔ)，并且要求在認(rèn)證過程之外強(qiáng)制VPP應(yīng)用程序制造商對(duì)主要平臺(tái)的信任。VPP將所有與用例無關(guān)的設(shè)施委托給主平臺(tái)，負(fù)責(zé)在VPP和VPP應(yīng)用之間分配，便于跨多個(gè)TRE制造商的VPP移植VPP應(yīng)用程序。以下是對(duì)iSSP架構(gòu)的設(shè)想：

圖4 iSSP架構(gòu)

圖中的SE（Secure Element）集成為iSE（integrated Secure Element），TRE集成到設(shè)備的SoC中，將VPP作為新一代eUICC技術(shù)的主平臺(tái)，不同業(yè)務(wù)場(chǎng)景的多個(gè)VPP應(yīng)用可以共享該VPP。將SSP集成到終端設(shè)備的SoC中，將終端卡的軟件和關(guān)鍵數(shù)據(jù)存儲(chǔ)在SSP中，通過安全協(xié)議綁定到SSP中，保證其數(shù)據(jù)的安全性。

SSP應(yīng)支持一個(gè)或多個(gè)能夠處理數(shù)據(jù)的SSP應(yīng)用程序，SSP將允許一個(gè)或多個(gè)SSP應(yīng)用程序與SSP之外的其他實(shí)體交換數(shù)據(jù)，一個(gè)SSP應(yīng)用程序不能阻止另一個(gè)SSP應(yīng)用程序與終端交換數(shù)據(jù)，從而滿足eUICC遠(yuǎn)程配置及安全的要求，實(shí)現(xiàn)GSMA RSP向iSSP的演進(jìn)。

4 智能安全平臺(tái)的應(yīng)用場(chǎng)景

通過對(duì)eUICC相關(guān)技術(shù)方案的探討分析，SSP技術(shù)方案應(yīng)用場(chǎng)景可擴(kuò)展到如下領(lǐng)域：

1.支付場(chǎng)景：運(yùn)營商的VPP應(yīng)用與支付VPP應(yīng)用相互獨(dú)立，多個(gè)支付應(yīng)用加載到不同的VPP應(yīng)用中，按需進(jìn)行激活。如，電話公司A、B和Z銀行想部署基于不同技術(shù)（二維碼、EMV NFC、Banana Pay）的支付解決方案。每一種支付方案都需要不同的認(rèn)證方式以及商業(yè)合同，不同支付方式可以按序、獨(dú)立分享虛擬主平臺(tái)（VPP）。通過檢測(cè)所需的支付方式以及用戶指令，虛擬主平臺(tái)會(huì)把當(dāng)前的VPP應(yīng)用進(jìn)行備份并恢復(fù)用戶所選的VPP應(yīng)用；

2.鑒權(quán)安全場(chǎng)景：SSP中的TRE可作為終端設(shè)備上軟件安裝鑒權(quán)安全引導(dǎo)的信任根。使用平板電腦舉例，當(dāng)平板電腦設(shè)備啟動(dòng)時(shí)，移動(dòng)通信應(yīng)用與Secure Bootstrap（安全引導(dǎo)程序）相關(guān)的應(yīng)用被加載到VPP平臺(tái)中，作為其他平板電腦關(guān)鍵軟件組件的信任根，當(dāng)完成安全引導(dǎo)后，VPP能夠繼續(xù)應(yīng)用于其他業(yè)務(wù)場(chǎng)景；

3.智能家居應(yīng)用場(chǎng)景：裝載SSP（已裝載通信數(shù)據(jù)）的家庭網(wǎng)關(guān)，可將家庭中的設(shè)備加載到相應(yīng)的主終端設(shè)備中，主終端設(shè)備的虛擬家庭安全應(yīng)用程序通過PBL加載到TRE中，在主終端設(shè)備上進(jìn)行相應(yīng)的操作，實(shí)現(xiàn)對(duì)智能家居中的設(shè)備自動(dòng)化的管理；

4.安全認(rèn)證場(chǎng)景：以車載系統(tǒng)為例子，使用智能手機(jī)作為汽車的鑰匙，用戶可在APP應(yīng)用商店下載虛擬車鑰匙相關(guān)的應(yīng)用，智能手機(jī)的虛擬車鑰匙應(yīng)用把包含汽車訪問算法的鏡像安裝到終端設(shè)備SSP的TRE中，實(shí)現(xiàn)在手機(jī)的APP中可直接開啟車輛的開關(guān)。

5 展望

隨著5G技術(shù)的推出，新一代eUICC技術(shù)結(jié)合5G低時(shí)延和高可靠的特性，將eUICC管理的運(yùn)營商通信數(shù)據(jù)集成到設(shè)備的SoC中，來提高eUICC技術(shù)的安全級(jí)別，來保證用戶敏感數(shù)據(jù)的安全，以實(shí)現(xiàn)低成本、低能源、占用設(shè)備空間小、復(fù)雜程度小和數(shù)據(jù)安全的發(fā)展目標(biāo)；在集成的防篡改元件上實(shí)現(xiàn)安全管理的功能，實(shí)現(xiàn)設(shè)備與eUICC技術(shù)的真正的融合，這將是eUICC技術(shù)今后發(fā)展的重要研究方向?！?/p>