为什么引入GSMA SAS认证？
GSMA SAS-SM（GSM Association Security Accreditation Scheme for Subscription Management）提供世界一流的运营安全检查和统一的安全审计方法。SAS-SM过程可以确保通过认证的eSIM管理服务能够达到最高的安全级别，移动运营商将能够提供满足消费市场需求的全球连接服务，可远程将其订购证书分配给终端，且不会对安全造成任何影响。


完整的GSMA认证证书将颁发给成功经过SAS现场生产审核的厂商。

 GSMA SAS认证流程分析

1. PGP安全邮件传输customer data

      基于PGP原理，需要通过卡厂商与客户交换公钥，实现客户信息的安全传输，传输过程保证机密性，完整性和防抵赖。

2. KEK通过多分量传输

      通过背靠背方式把密钥加密密钥kek传递给eSIM卡厂商，一般需要基于分量方式输入加密机。

3. TK工作密钥安全传输及调用解密数据

      TK为工作密钥，由KEK加密传递给eSIM卡厂商。通过加密机中存储的kek，调用unwrap接口加载到加密机。

      调用加密机接口对客户传递的数据应用TK进行解密。

4. customer数据转加密

  4.1 随机生成本客户数据主密钥

      调用加密机接口，随机生成一个主密钥

4.2 派生过程密钥

     基于客户离散因子，应用主密钥MK派生过程密钥，及数据加密密钥

4.3 分别加密机数据

    调用加密机中的过程密钥对客户1类&2类数据分别进行加密

4.4 解密数据

    调用加密机中的过程密钥对客户1类&2类数据进行解密

  

GSMA SAS认证过程中对eSIM的应用方面有如下功能要求：

      包括但不仅限导入证书、证书删除、导出公钥、生成csr文件、生成公私钥对、选择性导入恢复秘钥、秘钥公钥私钥分别存入两张智能卡进行备份、证书签名验证、签名等功能。

      我们安策技术团队可以帮助客户在GSMA SAS认证过程中实现函数接口的封装，并实现一些GSMA SAS中要求的用例。欢迎联系我们安策工程师进一步了解。

SAS-SM过程可以确保通过认证的eSIM管理服务能够达到最高的安全级别，移动运营商将能够提供满足消费市场需求的全球连接服务，可远程将其订购证书分配给终端，且不会对安全造成任何影响。