htt ps://w ww.ta f.o rg.c n/Download_detail.aspx?_NOTICE_ID=956粗略看了看 taf 协会、通信院、三大运营商、芯片电子厂 几家做的幻灯片通信院的干货比较多，esim 的政策说的很明确了，运营商都要按规范来。电信说了说自家 esim 相关的要求，也说了目前 esim 标准的技术限制——老外来国内用不了，希望推广国内根证书到全球范围。移动就实干多了，在国际标准上做了很多国产化替代方案，比如 euicc 卡内置的加密算法和 java 虚拟机的国产化替代方案，甚至已经做了技术验证。联通分两个人讲的，最不在状态，主打一个国际标准干啥我干啥，重点多半都在宣传推广自家业务，来搞营销了。另外两家芯片厂没怎么看。顺便写一下最近学习 esim 的笔记esim 芯片学名叫 eUICC ，芯片序列号叫做 eID生产 eUICC 芯片的芯片制造商，也就是卡商，学名叫 EUM虚拟化的 sim 卡叫做 profile运营商用来发 profile 的服务器叫做 SM-DP+搞国际标准的组织叫做 GSMAeUICC 没有操作界面，芯片本身能力也有限，所以需要 LPA 软件来操作。LPA 软件形态多变，在原生支持 esim 的手机上，LPA 就是手机自带的系统设置。使用外置读卡器的话就可以用第三方的软件来操作，例如经典软件 easylpac 。GSMA 除了搞了标准，还自建了一个根 CA ，和 https/tls 的证书体系（学名叫 PKI ）类似，但为了和 PKI 体系区别，所以不叫 CA ，管自己叫 CI 。每张 eUICC 都内置了 ecdsa 的密钥，公钥被 EUM 卡商签发证书。EUM 的证书由 GSMA CI 签发LPA 连接 SM-DP+ 时，SM-DP+ 服务器的 https 证书是由 GSMA CI 或者 PKI CA （即常规 tls 证书机构）签发的SM-DP+ 和 eUICC 之间则有额外单独的加密通信，类似 PKI 体系下的双向 tls 证书验证，对 LPA 不可见。最终的效果就是运营商的 SM-DP+ 服务器和 eUICC 芯片直接端到端加密通信。但参与这个机制（学名叫 RSP ）的多方证书最终都是由 GSMA 这个机构来签发。国内就很直接了，三大运营商直接自建自己的根 CA(严谨的说法叫 CI ，但没必要)，联通的根 CA 甚至在 GSMA CI 签发后几天就签发了，可以说联通跟进国际标准动作非常迅速了。这点电信做的比较不好，电信没有自建的 CA 机构，直接让第三方 CA 来做了。eUICC 芯片的证书和卡商 EUM 的证书也是三大运营商签发的了。我手里这张 st33 不光内置了三大运营商和 GSMA 的 4 个根证书，用来信任 SM-DP+。并且还分别生成了 4 套密钥对，分别交给 4 个 EUM 证书来签发。这 4 个 EUM 证书分别由三大根 CA 和 GMSA 根签发。这四个密钥可以理解为和 SM-DP+ 通信时的客户端证书。另外，据说三大运营商的 SM-DP+ 服务器，都有用其他两家运营商根签发的证书，互相交叉签发，用来信任其他两家运营商签发的 eUICC 。心得：国内的合约机时代早已结束，手机和运营商不再绑定。国际上运营商还很强势，合约机大行其道，手机厂和运营商强绑定。国际上卡商和运营商通过 esim 时代解绑了，统一通过 GSMA 机构来协调。国内反而沿袭了物理 sim 卡时代的做法，卡商依然和运营商绑定，运营商通过自建根 CA 来管理卡商。