□ 文 賈聿庸 楊 劍 湯建歡

1 概述

2019年，5G技術產品是焦點。各大設備商，運營商都積極推出自己的新產品，同時，eUICC卡遠程配置技術應用于5G通信領域，新的科技產品也不斷推出。裝載eUICC的智能手環(huán)、手表等智能配套設備的出現，只需要運營商對主設備進行認證，不需要對配套設備進行認證，即可簡便地連接到主設備中，運營商可在配套設備上拓展相應的通信業(yè)務和應用，極大地提升了用戶體驗，可為后續(xù)5G產品推廣提供極大的便利。

隨著eUICC產品不斷發(fā)展，用戶和廠商希望通過eUICC獲得更高的性能，占用更小的物理空間和更加靈活的應用部署，因此各大設備商和服務提供商提出了將eUICC集成到終端SoC中作為新一代的eUICC相關技術的發(fā)展方向。

2 eUICC相關技術方案綜述

eUICC技術實現有多種方案，下面分別進行描述。

2.1 標準的eUICC技術方案

GSMA為eUICC遠程配置技術制定了技術標準，分為物聯網（M2M）和消費電子（RSP）兩大類，具體技術架構如下：

如圖1所示，在面向物聯網的eUICC遠程配置架構中，eUICC遠程配置平臺主要包括SM-DP（簽約數據準備）和SM-SR（簽約數據安全路由）兩個功能模塊，遠程配置平臺可對物聯網設備中的eUICC卡進行遠程配置，實現簽約數據文件的下載、激活、刪除、策略調整等功能。

圖1 面向物聯網的eUICC遠程配置架構

圖2 面向消費電子的eUICC遠程配置架構

如圖2所示，在面向消費電子領域的eUICC架構中，除了簽約管理數據準備和簽約管理數據發(fā)現服務兩個核心功能模塊外，還有終端設備或卡上的LPA（本地簽約數據文件輔助管理）這個關鍵模塊，輔助遠程配置平臺進行簽約數據文件的遠程配置管理，同時可對本地簽約數據文件進行管理。

2.2 純軟件的eUICC技術方案

純軟件的eUICC技術方案是非標準化的，有多種概念定義。下面分別就軟SIM技術方案和TEE技術方案進行分析。

2.2.1 軟SIM（SoftSIM）技術方案

軟SIM沒有相關卡的硬件，是一組純軟件應用程序和數據，它可實現UICC卡的功能，但沒有任何類型的安全數據存儲，也不使用安全處理器，基于軟SIM技術方案的安全性將存在很大的問題。由于沒有硬件，且其可簡化實現eUICC遠程配置功能，因而具有研發(fā)成本優(yōu)勢，業(yè)務部署靈活便利的特點。

2.2.2 TEE（Trusted Execution Environment/可信執(zhí)行環(huán)境）的技術方案

T E E執(zhí)行的是一系列的可信應用T A（Trusted Applications），可信執(zhí)行環(huán)境為這些可信應用提供一系列的安全服務，包括應用執(zhí)行的完整性、安全存儲、與輸入輸出設備的安全交互、密鑰管理、加密算法以及與CA（Client Application）進行安全通信。從提供的安全功能角度看，可信環(huán)境應提供以下安全功能：可信執(zhí)行環(huán)境、安全存儲、操作系統(tǒng)的安全保護、與輸入輸出設備的安全交互。基于TEE的eUICC方案，一方面要實現eUICC遠程配置功能，另一方面還需考慮安全等級，從而在滿足安全要求情況下實現遠程配置能力。

2.3 集成eUICC的技術方案

集成的eUICC技術是屬于芯片系統(tǒng)的技術方案，其中UICC功能作為一個獨立的安全處理器核心與其他核心集成在一起，使用加密方法來保護核心數據，旨在滿足或超越當前eUICC的安全級別及性能。

集成的eUICC主要是將原eUICC中管理運營商的憑證集成到芯片系統(tǒng)（SoC）中，并在集成的防篡改安全單元上進行遠程配置功能實現，作為符合GSMA eUICC遠程配置要求的功能來運行。

終端芯片將安全處理器、基帶處理器以及可能的其他處理器組集成一個離散的硬件組件，這樣不僅滿足eUICC的功能及安全需求，而且不占終端設備的物理空間。

2.4 方案對比分析

標準的eUICC技術方案，由于其標準化，安全性高，且業(yè)界認知度高，是目前市場上最具可行性的技術實現方案；從節(jié)省產品成本的因素考慮，軟SIM和TEE技術實現方案還是具有部分優(yōu)勢的；純軟SIM技術方案在設備制造商生產設備時不占據設備內部的物理空間，只需要對設備的軟件架構進行修改，但由于軟件的安全性風險，容易出現安全漏洞的問題；TEE的eUICC的技術方案，安全性相比純軟技術方案要高，但由于TEE使用的是共享內存，在安全系數要求較高的場景中，該方案的使用同樣容易出現安全風險；

集成eUICC的技術方案安全級別應與eUICC標準技術方案一致，它一方面集成安全處理器，利用外部非易失性共享內存，使用加密方法保護數據安全，另一方面，降低了設備占用的物理空間，提高終端空間利用率；同時性能方面也有提升，但目前還存在標準化程度低及產品認知度較低的問題。

3 新一代eUICC技術的分析

從上述對比來看，現有成熟的技術方案是標準的eUICC技術方案，而具有廣闊前景的則是集成eUICC的技術方案，為了滿足多方的技術需求，GSMA和ETSI一同提出了SSP（Smart Secure Platform智能安全平臺）技術方案。

3.1 智能安全平臺（SSP）

SSP（Smart Secure Platform）是ETSI主導提出的新一代新型安全元件平臺，是一種顛覆傳統(tǒng)卡技術的新標準。其操作系統(tǒng)可以直接訪問SSP硬件平臺，為了提高操作系統(tǒng)的可移植性，SSP可以指定一個虛擬化接口，該接口將操作系統(tǒng)功能劃分為主平臺和輔助平臺，主平臺包含操作系統(tǒng)中與技術相關的部分，輔助平臺則包含與技術無關的部分，輔助平臺和SSP應用程序組合成SPB（Secondary Platform Bundle），它是根據服務提供商的指令來創(chuàng)建符合SSP主平臺需要的相關數據。

SSP使用GlobalPlatform提出VPP（Virtual Primary Platform）的概念，并將其作為SSP的主平臺，該VPP上可運行多個不同業(yè)務場景的VPP應用程序，且互不干擾。OFL（Open Firmware Loader）由TRE Maker（Tamper Resistant Element Maker）提供，OFL負責從OFL Image中提取固件并將其安裝到TRE（防篡改元件）中，并解決無固件/操作系統(tǒng)的TRE的分發(fā)問題，允許在設備發(fā)布后從各種固件制造商處加載固件，是VPP生態(tài)系統(tǒng)的推動者。以下是SSP的架構圖：

圖3 SSP架構示意圖

由圖3可知，SSP主要由兩部分組成：主平臺和輔助平臺捆綁包，其中主平臺（Primary Platform）包括硬件平臺和底層操作系統(tǒng)（Low Level Operating System），輔助平臺捆綁包（Secondary Platform Bundle），包括高級操作系統(tǒng)（High Level Operating System）及其應用程序（SSP Application）。

PBL（Primary Boot Loader）本身是虛擬主平臺的VPP應用程序，具有額外的特定API，能夠按照將固件（根據特定安全方案）封裝到防篡改元件的安全存儲器中的標準格式來執(zhí)行鏡像加載。

3.2 智能安全平臺（SSP）的技術分析

SSP包含多種類型，如rSSP（Removable SSP 可移除的SSP），eSSP（Embedded SSP 嵌入式SSP）和iSSP（Integrated Smart Secure Platform 集成SSP），業(yè)界焦點匯聚在iSSP上，本文著重討論iSSP。

iSSP指的是SSP集成到SoC中，SoC通常焊接在終端中，是終端設備的主要芯片系統(tǒng)，因此iSSP是終端的組成部分，與一個可移除卡內的獨立SSP和設備內獨立且不可移動的SSP不同，iSSP的軟件和敏感數據永遠不會從iSSP暴露在任何明文的外部組件，其對軟件和敏感數據提供隱私性和機密性保護，防止了回滾攻擊以及側通道攻擊。

iSSP將TRE集成到設備的SoC中，來保護用戶的訂購憑證，這也滿足了3GPP對5G的安全需求，為5G的推出提供技術基礎，并且要求在認證過程之外強制VPP應用程序制造商對主要平臺的信任。VPP將所有與用例無關的設施委托給主平臺，負責在VPP和VPP應用之間分配，便于跨多個TRE制造商的VPP移植VPP應用程序。以下是對iSSP架構的設想：

圖4 iSSP架構

圖中的SE（Secure Element）集成為iSE（integrated Secure Element），TRE集成到設備的SoC中，將VPP作為新一代eUICC技術的主平臺，不同業(yè)務場景的多個VPP應用可以共享該VPP。將SSP集成到終端設備的SoC中，將終端卡的軟件和關鍵數據存儲在SSP中，通過安全協(xié)議綁定到SSP中，保證其數據的安全性。

SSP應支持一個或多個能夠處理數據的SSP應用程序，SSP將允許一個或多個SSP應用程序與SSP之外的其他實體交換數據，一個SSP應用程序不能阻止另一個SSP應用程序與終端交換數據，從而滿足eUICC遠程配置及安全的要求，實現GSMA RSP向iSSP的演進。

4 智能安全平臺的應用場景

通過對eUICC相關技術方案的探討分析，SSP技術方案應用場景可擴展到如下領域：

1.支付場景：運營商的VPP應用與支付VPP應用相互獨立，多個支付應用加載到不同的VPP應用中，按需進行激活。如，電話公司A、B和Z銀行想部署基于不同技術（二維碼、EMV NFC、Banana Pay）的支付解決方案。每一種支付方案都需要不同的認證方式以及商業(yè)合同，不同支付方式可以按序、獨立分享虛擬主平臺（VPP）。通過檢測所需的支付方式以及用戶指令，虛擬主平臺會把當前的VPP應用進行備份并恢復用戶所選的VPP應用；

2.鑒權安全場景：SSP中的TRE可作為終端設備上軟件安裝鑒權安全引導的信任根。使用平板電腦舉例，當平板電腦設備啟動時，移動通信應用與Secure Bootstrap（安全引導程序）相關的應用被加載到VPP平臺中，作為其他平板電腦關鍵軟件組件的信任根，當完成安全引導后，VPP能夠繼續(xù)應用于其他業(yè)務場景；

3.智能家居應用場景：裝載SSP（已裝載通信數據）的家庭網關，可將家庭中的設備加載到相應的主終端設備中，主終端設備的虛擬家庭安全應用程序通過PBL加載到TRE中，在主終端設備上進行相應的操作，實現對智能家居中的設備自動化的管理；

4.安全認證場景：以車載系統(tǒng)為例子，使用智能手機作為汽車的鑰匙，用戶可在APP應用商店下載虛擬車鑰匙相關的應用，智能手機的虛擬車鑰匙應用把包含汽車訪問算法的鏡像安裝到終端設備SSP的TRE中，實現在手機的APP中可直接開啟車輛的開關。

5 展望

隨著5G技術的推出，新一代eUICC技術結合5G低時延和高可靠的特性，將eUICC管理的運營商通信數據集成到設備的SoC中，來提高eUICC技術的安全級別，來保證用戶敏感數據的安全，以實現低成本、低能源、占用設備空間小、復雜程度小和數據安全的發(fā)展目標；在集成的防篡改元件上實現安全管理的功能，實現設備與eUICC技術的真正的融合，這將是eUICC技術今后發(fā)展的重要研究方向?！?/p>