SGP.31-03

在文档的“5 要求”部分，详细列出了 eSIM IoT 架构的功能要求，特别是针对 eUICC（嵌入式通用集成电路卡）的功能要求。以下是每个要求的简要说明：

5.1.1 **一般功能要求**：
   - **GENF01**：IoT 设备、eIM 和 SM-DP+ 是否允许使用 SM-DS（订阅管理发现服务器）是可选的。

5.1.2 **eUICC 功能要求**：
   - **EUICCF1**：eIM 配置数据必须包括凭证（例如 eIM 公钥），以便 eUICC 能够验证来自 eIM 的命令。
   - **EUICCF2**：在 eUICC 生产阶段，必须有可能将 eIM 配置数据传输到 eUICC。
     - 注：实现和应用的机制和安全性由具体实现决定，并且可能是 EUM（eUICC 用户管理器）特定的。
   - **EUICCF3**：eUICC 必须为 IPA（IoT 配置助手）提供接口以执行 eIM 配置操作。
     - 注：IP A/设备是否使用此接口是具体实现的决定。
   - **EUICCF4**：当 eUICC 未与任何 eIM 关联时，eUICC 必须接受通过 EUICCF3 定义的接口提供的任何 eIM 配置数据。
     - 注：此接口可以通过配置任何（甚至不存在的）eIM 来禁用。
   - **EUICCF5**：一旦 eIM 与 eUICC 关联，eUICC 只能接受由关联 eIM 签名的进一步 eIM 配置操作，除了 EUICCF6。
     - 注：这些签名的 eIM 配置操作的处理必须作为签名的 PSMO（配置文件状态管理操作）处理。
   - **EUICCF6**：eUICC 可以为 IPA 提供一个接口，以允许从 eUICC 中完全移除所有 eIM 配置数据。
     - 注：该机制必须防止滥用，并且可以通过某种重置功能实现。
   - **EUICCF7**：eUICC 必须支持回滚机制。
   - **EUICCF8**：如果 eIM 已请求使用回滚机制（见 EIMF8），并且如果 IPA 通知 eUICC 需要回滚（见 IPAF1），eUICC 必须执行回滚机制。
     - 注：在此版本中，只有请求的 eIM 会收到关于结果的通知。
   - **EUICCF9**：eUICC 必须向 IPA 提供所请求的 PSMO 或配置文件安装的签名结果。
     - 注：这个签名结果由 IPA 包含在其对 eIM 请求的响应中。
   - **EUICCF10**：eUICC 必须能够向 IPA 提供通知，以便 IPA 将其发送给通知接收者。该机制必须符合 SGP.21[1]。
   - **EUICCF11**：eUICC 必须能够接受 SM-DS 或默认 SM-DP+ 触发的配置文件下载和自动激活，而无需任何潜在关联 eIM 的签名 PSMO。
   - **EUICCF12**：EUICCF11 中的行为必须在 eUICC 中可配置。
   - **EUICCF13**：更改 eUICC 中的配置（见 EUICCF12）如果未关联 eIM，则不需要签名的 PSMO。如果已关联 eIM，则只有关联的 eIM 可以更改 eUICC 中的配置。
     - 注：EUM（eUICC 制造商）可以在 eUICC 制造过程中锁定行为。

这些功能要求确保了 eUICC 的安全性、灵活性和可管理性，为 IoT 设备的远程配置和管理提供了坚实的基础。通过这些要求，eUICC 能够安全地接收和执行来自 eIM 的指令，同时支持在生产阶段或之后配置 eIM 数据，并能够在必要时回滚到先前的配置。

在文档的“5.1.3 eIM 功能要求”部分，列出了 eIM（eSIM IoT 远程管理器）必须或可能具备的功能，以支持 eUICC（嵌入式通用集成电路卡）的远程配置和管理。以下是每个要求的简要说明：

**EIMF1**：eIM 必须能够触发 IPA（IoT 配置助手）从 SM-DP+（订阅管理数据准备服务器）启动配置文件下载。根据 IoT 设备的技术能力（参见 IPAF12），至少需要支持以下三种配置文件下载机制中的一种：
   - 默认 SM-DP+ 的配置文件下载
   - 使用激活代码的配置文件下载
   - 通过 SM-DS（订阅管理发现服务器）的配置文件下载
   - **注**：这种可选性对配置文件提供程序的影响是“进一步研究”（FFS）。

**EIMF2**：eIM 必须能够触发 eUICC 执行 PSMO（配置文件状态管理操作）。

**EIMF3**：eIM 可以支持 eIM 配置操作。

**EIMF4**：eIM 可以支持在 SM-DP+ 和 IPA/eUICC 之间传输绑定的配置文件包以及相关的通信。

**EIMF5**：为不需要支持建立与 SM-DP+ 直接 ES9+ 接口的 IoT 设计的 eIM，必须能够支持在 SM-DP+ 和 IPA 之间传输绑定的配置文件包以及相关的通信。

**EIMF6**：eIM 可以支持在 SM-DS 和 IPA/eUICC 之间传输事件记录以及相关的通信。

**EIMF7**：为不需要支持建立与 SM-DS 直接 ES11 接口的 IoT 设计的 eIM，必须能够支持在 SM-DS 和 IPA 之间传输事件记录以及相关的通信。

EIMF8：eIM 必须能够向 eUICC 请求激活回滚机制（Roll-Back Mechanism）。这个机制允许在配置文件安装或激活失败时，eUICC 能够恢复到之前的状态或配置文件。

EIMF9：eIM 可以支持在 SM-DP+ 和 IPA/eUICC 之间传输通知（Notifications）及相关通信。这意味着 eIM 可以参与到通知的传递过程中，确保 eUICC 或 IPA 能够接收到有关配置文件状态变更的重要信息。

EIMF10：对于设计用于不需要支持与 SM-DP+ 建立直接 ES9+ 接口的 IoT 设备的 eIM，必须能够支持在 SM-DP+ 和 IPA 之间传输通知。这要求 eIM 能够在没有直接与 SM-DP+ 通信的情况下，通过其他机制（如通过 IPA）来转发通知。

这些功能要求确保 eIM 能够与 eUICC 和其他组件（如 IPA 和 SM-DP+）进行必要的交互，以实现 IoT 设备的远程配置和管理。eIM 的设计必须足够灵活，以适应不同的 IoT 设备和网络环境，同时提供安全的通信和数据传输机制。通过这些要求，eIM 可以有效地管理 IoT 设备的移动网络订阅，包括配置文件的下载、安装、激活和删除。

在文档的“5.1.4 IPA 功能要求”部分，详细列出了 IoT 配置助手（IPA）必须或可能具备的功能，以支持 eUICC 的远程配置和管理。以下是每个要求的简要说明：

**IPAF1**：如果 eIM 请求激活回滚机制，那么在 eIM 发出配置文件启用请求并由 eUICC 执行后，IPA 必须 (a) 确定是否可以与该 eIM 建立通信；以及 (b) 如果无法与 eIM 通信，则通知 eUICC 需要执行回滚。

**IPAF2**：如果 eIM 请求包含已签名的 PSMO（配置文件状态管理操作），或已签名的 eIM 配置操作，或触发返回 eUICC 签名结果的配置文件安装，则 IPA 必须从 eUICC 检索签名结果，并且必须将其包含在对 eIM 的响应中。

**IPAF3**：IPA 必须从 eUICC 检索待处理的通知，并将这些通知发送给通知接收者。

**IPAF4**：为不需要支持与 SM-DP+ 建立直接 ES9+ 接口的 IoT 设备设计的 IPA，必须能够在 IPA 和 eIM 之间的响应中包含通知。

**IPAF5**：根据 EIMF10，必须有一种方式让 IPA 识别由特定 eIM 传输给指定 SM-DP+ 的通知。

**IPAF6**：IPA 必须在可用连接时尽力而为地发送通知。

**IPAF7**：IPA 必须保留 eUICC 的签名结果，直到它们可以作为响应发送给 eIM。

**IPAF8**：IPA 可以支持通过 ES9+ 直接下载配置文件。

**IPAF9**：IPA 可以支持通过 ESipa 间接下载配置文件。

**IPAF10**：IPA 可以支持 eIM 配置操作。

**IPAF11**：根据 EIMF1，IPA 必须能够接受来自 eIM 的配置文件下载触发。

**IPAF12**：IPA 必须支持以下配置文件下载机制中的至少一种：
   - 从默认 SM-DP+ 下载配置文件
   - 使用激活代码下载配置文件
   - 通过 SM-DS 下载配置文件

**IPAF13**：IPA 可以支持通过 SM-DS 或默认 SM-DP+ 下载配置文件和自动激活，而无需 eIM 参与。

这些功能要求确保了 IPA 在 eUICC 的配置和管理中发挥关键作用，包括处理回滚机制、通知、配置文件下载和 eIM 配置操作。通过这些要求，IPA 能够灵活地与 eUICC 和其他组件（如 eIM 和 SM-DP+）交互，以实现 IoT 设备的远程配置和管理。

在文档的“5.2 安全要求”部分，详细列出了 eUICC（嵌入式通用集成电路卡）和 eIM（eSIM IoT 远程管理器）必须遵守的安全规范，以及一般安全要求。以下是每个要求的简要说明：

### 5.2.1 eUICC 安全要求：
**EUICCS1**：eUICC 只接受与 eUICCF1 中定义的关联 eIM 触发的 PSMO（配置文件状态管理操作）。

**EUICCS2**：在处理任何 PSMO 之前，eUICC 必须验证 PSMO 是否由关联 eIM 签名。

**EUICCS3**：关于 EUICCF5，eUICC 在处理之前必须验证 eIM 配置操作是否由关联 eIM 签名。

**EUICCS4**：eUICC 必须支持一种非对称加密方案，用于验证 eIM 签名。

**EUICCS5**：eUICC 必须有手段验证通过默认 SM-DP+ 或 SM-DS 进行的配置文件下载和自动激活是否被授权。

### 5.2.2 eIM 安全要求：
**EIMS1**：发送给 eUICC 的任何 PSMO 必须由 eIM 签名。

**EIMS2**：如果 eIM 支持，eIM 必须签署 eIM 配置操作。

**EIMS3**：eIM 必须支持一种非对称加密方案，用于签署 PSMO。

### 5.2.3 一般安全要求：
**GS1**：修改 eUICC 内 eIM 配置数据的机制必须在完整性和真实性方面得到保护。
- **注**：除了签名的 eIM 请求外，安全和机制的实现留给了具体实现。

这些安全要求确保了 eUICC 和 eIM 之间的交互是安全和可信的。通过使用签名和加密机制，可以防止未授权的访问和篡改，保护 IoT 设备的配置过程。这些要求为 IoT 设备的远程配置和管理提供了一个安全的框架，有助于保护 IoT 设备和用户的数据安全。