htt ps://w ww.ta f.o rg.c n/Download_detail.aspx?_NOTICE_ID=956
粗略看了看 taf 协会、通信院、三大运营商、芯片电子厂 几家做的幻灯片
通信院的干货比较多,esim 的政策说的很明确了,运营商都要按规范来。
电信说了说自家 esim 相关的要求,也说了目前 esim 标准的技术限制——老外来国内用不了,希望推广国内根证书到全球范围。
移动就实干多了,在国际标准上做了很多国产化替代方案,比如 euicc 卡内置的加密算法和 java 虚拟机的国产化替代方案,甚至已经做了技术验证。
联通分两个人讲的,最不在状态,主打一个国际标准干啥我干啥,重点多半都在宣传推广自家业务,来搞营销了。
另外两家芯片厂没怎么看。
顺便写一下最近学习 esim 的笔记
esim 芯片学名叫 eUICC ,芯片序列号叫做 eID
生产 eUICC 芯片的芯片制造商,也就是卡商,学名叫 EUM
虚拟化的 sim 卡叫做 profile
运营商用来发 profile 的服务器叫做 SM-DP+
搞国际标准的组织叫做 GSMA
eUICC 没有操作界面,芯片本身能力也有限,所以需要 LPA 软件来操作。LPA 软件形态多变,在原生支持 esim 的手机上,LPA 就是手机自带的系统设置。使用外置读卡器的话就可以用第三方的软件来操作,例如经典软件 easylpac 。
GSMA 除了搞了标准,还自建了一个根 CA ,和 https/tls 的证书体系(学名叫 PKI )类似,但为了和 PKI 体系区别,所以不叫 CA ,管自己叫 CI 。
每张 eUICC 都内置了 ecdsa 的密钥,公钥被 EUM 卡商签发证书。
EUM 的证书由 GSMA CI 签发
LPA 连接 SM-DP+ 时,SM-DP+ 服务器的 https 证书是由 GSMA CI 或者 PKI CA (即常规 tls 证书机构)签发的
SM-DP+ 和 eUICC 之间则有额外单独的加密通信,类似 PKI 体系下的双向 tls 证书验证,对 LPA 不可见。
最终的效果就是运营商的 SM-DP+ 服务器和 eUICC 芯片直接端到端加密通信。但参与这个机制(学名叫 RSP )的多方证书最终都是由 GSMA 这个机构来签发。
国内就很直接了,三大运营商直接自建自己的根 CA(严谨的说法叫 CI ,但没必要),联通的根 CA 甚至在 GSMA CI 签发后几天就签发了,可以说联通跟进国际标准动作非常迅速了。这点电信做的比较不好,电信没有自建的 CA 机构,直接让第三方 CA 来做了。
eUICC 芯片的证书和卡商 EUM 的证书也是三大运营商签发的了。我手里这张 st33 不光内置了三大运营商和 GSMA 的 4 个根证书,用来信任 SM-DP+。
并且还分别生成了 4 套密钥对,分别交给 4 个 EUM 证书来签发。这 4 个 EUM 证书分别由三大根 CA 和 GMSA 根签发。这四个密钥可以理解为和 SM-DP+ 通信时的客户端证书。
另外,据说三大运营商的 SM-DP+ 服务器,都有用其他两家运营商根签发的证书,互相交叉签发,用来信任其他两家运营商签发的 eUICC 。
心得:
国内的合约机时代早已结束,手机和运营商不再绑定。国际上运营商还很强势,合约机大行其道,手机厂和运营商强绑定。
国际上卡商和运营商通过 esim 时代解绑了,统一通过 GSMA 机构来协调。国内反而沿袭了物理 sim 卡时代的做法,卡商依然和运营商绑定,运营商通过自建根 CA 来管理卡商。
粗略看了看 taf 协会、通信院、三大运营商、芯片电子厂 几家做的幻灯片
通信院的干货比较多,esim 的政策说的很明确了,运营商都要按规范来。
电信说了说自家 esim 相关的要求,也说了目前 esim 标准的技术限制——老外来国内用不了,希望推广国内根证书到全球范围。
移动就实干多了,在国际标准上做了很多国产化替代方案,比如 euicc 卡内置的加密算法和 java 虚拟机的国产化替代方案,甚至已经做了技术验证。
联通分两个人讲的,最不在状态,主打一个国际标准干啥我干啥,重点多半都在宣传推广自家业务,来搞营销了。
另外两家芯片厂没怎么看。
顺便写一下最近学习 esim 的笔记
esim 芯片学名叫 eUICC ,芯片序列号叫做 eID
生产 eUICC 芯片的芯片制造商,也就是卡商,学名叫 EUM
虚拟化的 sim 卡叫做 profile
运营商用来发 profile 的服务器叫做 SM-DP+
搞国际标准的组织叫做 GSMA
eUICC 没有操作界面,芯片本身能力也有限,所以需要 LPA 软件来操作。LPA 软件形态多变,在原生支持 esim 的手机上,LPA 就是手机自带的系统设置。使用外置读卡器的话就可以用第三方的软件来操作,例如经典软件 easylpac 。
GSMA 除了搞了标准,还自建了一个根 CA ,和 https/tls 的证书体系(学名叫 PKI )类似,但为了和 PKI 体系区别,所以不叫 CA ,管自己叫 CI 。
每张 eUICC 都内置了 ecdsa 的密钥,公钥被 EUM 卡商签发证书。
EUM 的证书由 GSMA CI 签发
LPA 连接 SM-DP+ 时,SM-DP+ 服务器的 https 证书是由 GSMA CI 或者 PKI CA (即常规 tls 证书机构)签发的
SM-DP+ 和 eUICC 之间则有额外单独的加密通信,类似 PKI 体系下的双向 tls 证书验证,对 LPA 不可见。
最终的效果就是运营商的 SM-DP+ 服务器和 eUICC 芯片直接端到端加密通信。但参与这个机制(学名叫 RSP )的多方证书最终都是由 GSMA 这个机构来签发。
国内就很直接了,三大运营商直接自建自己的根 CA(严谨的说法叫 CI ,但没必要),联通的根 CA 甚至在 GSMA CI 签发后几天就签发了,可以说联通跟进国际标准动作非常迅速了。这点电信做的比较不好,电信没有自建的 CA 机构,直接让第三方 CA 来做了。
eUICC 芯片的证书和卡商 EUM 的证书也是三大运营商签发的了。我手里这张 st33 不光内置了三大运营商和 GSMA 的 4 个根证书,用来信任 SM-DP+。
并且还分别生成了 4 套密钥对,分别交给 4 个 EUM 证书来签发。这 4 个 EUM 证书分别由三大根 CA 和 GMSA 根签发。这四个密钥可以理解为和 SM-DP+ 通信时的客户端证书。
另外,据说三大运营商的 SM-DP+ 服务器,都有用其他两家运营商根签发的证书,互相交叉签发,用来信任其他两家运营商签发的 eUICC 。
心得:
国内的合约机时代早已结束,手机和运营商不再绑定。国际上运营商还很强势,合约机大行其道,手机厂和运营商强绑定。
国际上卡商和运营商通过 esim 时代解绑了,统一通过 GSMA 机构来协调。国内反而沿袭了物理 sim 卡时代的做法,卡商依然和运营商绑定,运营商通过自建根 CA 来管理卡商。
 |
1
pood222 2 天前 via Android
学习了
|
 |
2
AlohaV2 2 天前
“老外来国内用不了”我觉得有些人觉得这不是 bug 而是 feature 。
|
 |
3
docx 2 天前 via iPhone
> 老外来国内用不了,希望推广国内根证书到全球范围
这是没话说非要正确两句 给外国护照持有人发 GSMA 的 profile 就能解决问题 |
 |
4
MacTavish123 2 天前
又“高质量发展”了啊🤣
|
 |
5
Amex 1 天前 via iPhone
“老外来国内用不了”这话说的
正常场景是出发前买张流量 esim 落地直接激活用流量无缝衔接 简单方便 问题出在没有国内手机号干啥都不方便 跟 esim 有关系但不大 |
 |
7
keyfunc 1 天前
国内的根证书可能还是 SM2 算法的,要把根证书推广到全球范围,这点估计就很难。
|
 |
8
xiaooloong OP @keyfunc 目前从根到端的密钥都是 prime256v1 的 ecdsa 。根据移动在 ppt 里提到,国密算法还在技术验证阶段。
|
 |
9
julyclyde 1 天前
老外来华的正确使用方式不是漫游回国么
能不能用中国卡根本就不是个问题啊 |
 |
10
zizon 1 天前
>希望推广国内根证书到全球范围
这个应该不现实. 毕竟不太可能让你进来共享收费. |
 |
11
emma3 23 小时 23 分钟前
国外照样可以买到漫游中国的流量卡,GSMA 根证书,老外自己的 esim 设备可用。
我知道就有人会拿原生卡原生 ip 落地说事,中国的原生卡,如何访问 Google 等一系列被墙的网站?难道还要买机场? 而且现在政策对于 esim 的监管,强于物理 sim ,不卖 sim 卡给老外不是市场原因,是政策原因。 |
Select Language