RSP-BSP-1
2.6.4.6 密钥替换
会话密钥可通过受保护的TLV命令(见第5.5.4节)提供新密钥和新的初始MAC链值进行替换。
密钥替换后,用于计算加密ICV(初始校验值)的数据块计数器应重置为初始值。
2.6.5 密码算法协商、算法及密钥长度
本节描述eUICC与RSP服务器在TLS协议之上的应用层密码算法协商机制。TLS自身协商机制见第2.6.6.1节,应用层协商独立于TLS。
1. 协商流程
-
每次RSP会话开始时,eUICC与RSP服务器通过通用双向认证流程(见第3.0.1节)协商密码算法。
-
算法选择基于RSP服务器证书(
CERT.XXauth.SIG)的签名算法,并受限于表4c和4d定义的算法集合。
2. 算法协商步骤
-
eUICC提供支持列表:
-
在
ES9+.InitiateAuthentication函数中,eUICC声明其支持的eSIM CA根证书公钥标识符(用于签名验证与生成)。
-
-
RSP服务器选择证书链:
-
SM-DP+选择一条以eUICC支持的eSIM CA根证书为终点的证书链(
CERT.XXauth.SIG)。 -
证书链中所有证书的签名算法必须一致(确保接收方能验证证书链和签名)。
-
3. 算法确定规则
根据CERT.XXauth.SIG的签名算法,会话中使用的密码算法按下表确定:
| 证书签名算法及参数 | 密钥协商算法及参数 | PPP对称算法 | SM-XX签名哈希算法 |
|---|---|---|---|
| ECDSA, NIST P-256 | ECKA, NIST P-256, SHA-256 | AES-CBC-128, AES-CMAC-128 | 同证书签名算法(当前仅SHA-256) |
| ECDSA, BrainpoolP256r1 | ECKA, BrainpoolP256r1, SHA-256 | AES-CBC-128, AES-CMAC-128 | 同证书签名算法 |
| ECDSA, FRP256V1 | ECKA, FRP256V1, SHA-256 | AES-CBC-128, AES-CMAC-128 | 同证书签名算法 |
| SM2签名 | ECKA, SM2曲线, SM3 | SM4-CBC, SM4-CMAC | SM3 |
注:
-
ECDSA遵循GlobalPlatform卡规范修订版E [12]。
-
ECKA算法定义见第2.6.4节。
-
当前哈希算法限制为SHA-256(SM2/SM3除外)。
4. 算法参考标准
-
NIST P-256:NIST数字签名标准[29]
-
BrainpoolP256r1:RFC 5639 [18](BSI推荐)
-
FRP256V1:ANSSI ECC [20](法国国家网络安全局推荐)
-
AES-CBC-128:NIST SP 800-38A [83]
-
AES-CMAC-128:NIST SP 800-38B [84]
-
SM2/SM3/SM4:中国国密算法(RFC 8998 [96]、[93]-[95])
5. 实现要求
-
eUICC预置参数:
-
出厂时须预装至少两组椭圆曲线参数(需对应eSIM CA支持)。
-
-
RSP服务器兼容性:
-
须支持所属eSIM CA信任链下的所有曲线参数。
-
-
签名算法灵活性:
-
eUICC可使用与RSP服务器不同的签名算法(需双方支持),由RSP服务器在
ES9+.InitiateAuthentication响应中指定(字段euiccCiPKIdToBeUsed)。 -
对于配置文件安装结果等签名,eUICC必须使用RSP服务器指定的算法;其他通知类签名则沿用配置文件下载安装流程中选择的算法(见表4d)。
-
表4d:eUICC签名算法集合
| eUICC证书签名算法及参数 | 签名哈希算法 |
|---|---|
| ECDSA, NIST P-256 | 同证书签名算法(SHA-256) |
| ECDSA, BrainpoolP256r1 | 同证书签名算法 |
| ECDSA, FRP256V1 | 同证书签名算法 |
| SM2签名 | SM3 |
核心要点
-
分层安全:TLS负责传输层加密,应用层算法通过证书链动态协商。
-
国密支持:SM2/SM3/SM4算法与国际标准(AES/ECDSA)并行,满足区域合规要求。
-
前向兼容:通过预置多组参数支持未来算法升级。
该机制确保RSP生态在灵活适配不同密码标准的同时,维持高安全性与互操作性。