2.7.3 eIM 证书
本节描述了 eIM(eSIM IoT 远程管理器) 证书的相关内容,包括支持的证书类型、证书的颁发、验证和吊销机制等。
1. 支持的证书类型
eIM 可以选择支持以下类型的证书:
-
用于签署 eUICC 包的 eIM 证书(如果有):
- 该证书用于对 eUICC 包进行数字签名,以确保其完整性和来源可靠性。
- 注意:是否使用该证书以及其具体实现方式取决于具体的实现方案,本规范未对此进行详细规定。
-
eIM DTLS/TLS 证书(如果有):
- 该证书用于在 ESipa 接口(eIM 与 IPA 之间的接口)上建立 DTLS/TLS 安全连接,以保护通信的机密性和完整性。
- eIM 必须使用证书或公钥来建立 DTLS/TLS 连接。
2. 证书颁发、验证和吊销
-
颁发:
- eIM 证书的颁发是实现相关的,本规范未对此进行详细规定。
- eIM 可以选择使用由公共证书颁发机构 (CA) 或私有 CA 颁发的证书。
-
验证:
- IPA 必须信任 eIM 的 DTLS/TLS 证书或颁发该证书的 CA。
- CA 可以是公共的或私有的。
- 对于 TLS 连接,IPAd 必须能够通过 CA 提供的 CRL(证书吊销列表) 或 OCSP(在线证书状态协议) 检查证书的吊销状态。
- CRL:由 CA 定期发布的已吊销证书列表。
- OCSP:一种实时查询证书状态的协议。
- eIM 可以选择提供 OCSP stapling,即在 TLS 握手过程中由 eIM 提供其证书的 OCSP 响应,以减少客户端的查询负担。
- 注意:对于受限的物联网设备,使用私有 CA 可以提供更大的灵活性,例如可以配置使用的子 CA 层数或定义 CA 的生命周期。
- IPA 必须信任 eIM 的 DTLS/TLS 证书或颁发该证书的 CA。
-
吊销:
- eIM 证书的吊销机制也是实现相关的,本规范未对此进行详细规定。
- DTLS 连接中,IPA 不需要检查证书的吊销状态。
- 注意:在 CRL 中列出的证书应被视为已明确吊销,即不考虑“保留”状态。
3. 安全性考虑
-
eIM 证书对于确保 ESipa 接口通信的安全性至关重要:
- DTLS/TLS 证书用于建立安全连接,防止窃听和篡改。
- 用于签署 eUICC 包的证书确保了 eUICC 包的完整性和来源可靠性,防止未经授权的配置更改。
-
IPA 对 eIM 证书的信任基于对 CA 的信任:
- 使用私有 CA 可以提供更大的控制权,但需要确保 CA 的安全性和可信度。
- 对于受限设备,使用私有 CA 可以简化证书管理,并提供更大的灵活性。
-
CRL 和 OCSP 提供了检查证书吊销状态的机制:
- CRL 适用于定期检查,而 OCSP 适用于实时查询。
- OCSP stapling 可以提高效率并减少网络负载。
4. 总结
本节强调了 eIM 证书在 eSIM IoT 架构中的重要性,并概述了证书的颁发、验证和吊销机制。eIM 和 IPA 需要根据具体的安全需求和设备能力选择合适的证书类型和验证机制,以确保通信的安全性和可靠性。
