EF 7.1 je standardizovaný soubor na UICC, který ukládá data pro řízení přístupu k síti a obsahuje parametry jako Access Rule Reference (odkaz na pravidlo přístupu) pro vynucení bezpečných přístupových pravidel definovaných operátorem pro síťovou autentizaci.

Popis

Elementary File 7.1 je základní součástí souborového systému UICC, standardizovaná v 3GPP TS 31.122 a TS 31.127. Nachází se v adresáři Telecom Application Directory (TELECOM) nebo v dedikovaném aplikačním adresáři a je strukturována jako lineární soubor s pevnou délkou záznamu. Primární role souboru spočívá v ukládání pravidel řízení přístupu pro aplikace, jako je Universal Subscriber Identity Module (USIM) nebo IP Multimedia Services Identity Module (ISIM), což zajišťuje, že pouze autorizované entity mohou provádět specifické operace. Každý záznam v EF 7.1 obsahuje klíčová pole: Access Rule Reference (ARR), která odkazuje na sadu pravidel; Security Protocol Identifier (SPI), určující kryptografický protokol pro zabezpečenou komunikaci; a Access Rule (pravidlo přístupu), které definuje podmínky, jako je vždy povoleno, nikdy povoleno nebo povoleno pouze za specifických autentizačních scénářů. Soubor je spravován operačním systémem UICC, který tato pravidla interpretuje během běhu aplikace.

Z architektonického hlediska se EF 7.1 integruje do bezpečnostního rámce UICC a interaguje s Card Application Toolkit (CAT) a bezpečnostní doménou. Když se aplikace pokusí o operaci – například o navázání síťového spojení nebo přístup k citlivým datům – operační systém UICC konzultuje EF 7.1, aby vyhodnotil přidružené ARR a SPI. SPI určuje, zda musí být příkazy zabezpečeny pomocí mechanismů jako Secure Channel Protocol 80 (SCP80) nebo SCP81, což zajišťuje integritu a důvěrnost. ARR následně odkazuje na sadu pravidel, která může být uložena v jiném elementárním souboru, jako je EF ARR, a která podrobně specifikuje oprávnění na základě faktorů, jako je identita účastníka nebo síťové podmínky. Tento vrstvený přístup odděluje definici pravidel od jejich vynucování, což poskytuje operátorům flexibilitu pro aktualizaci politik bez nutnosti změny aplikační logiky.

Během provozu umožňuje EF 7.1 jemně odstupňované řízení přístupu, což je klíčové pro scénáře jako je dálková provize (např. prostřednictvím OTA platforem) a nasazení IoT. Například u zařízení M2M může EF 7.1 omezit síťový přístup pro specifické aplikace, pokud nejsou autentizovány backendovým serverem, a tím zabránit neoprávněnému použití. Struktura souboru podporuje více záznamů, což umožňuje různá pravidla pro jednotlivé aplikace nebo služby. Jeho správa zahrnuje standardizované příkazy jako SELECT, READ a UPDATE, které jsou často prováděny prostřednictvím OTA mechanismů síťovým operátorem. Centralizací přístupových pravidel EF 7.1 snižuje prostor pro potenciální útoky na UICC, protože aplikace nemohou tato ověření obcházet, čímž zvyšuje celkovou síťovou bezpečnost a soulad s politikami operátora.

K čemu slouží

EF 7.1 byl zaveden v 3GPP Release 8, aby řešil rostoucí bezpečnostní a manažerské výzvy v systémech založených na UICC, zejména s nástupem komunikace M2M a různorodých aplikací mimo tradiční hlasové služby. Před jeho standardizací bylo řízení přístupu na UICC často specifické pro aplikaci nebo volně definované, což vedlo k nekonzistenci a zranitelnostem. Operátoři potřebovali jednotný mechanismus pro vynucování bezpečnostních politik napříč více aplikacemi – jako jsou USIM, ISIM nebo proprietární aplety – zejména pro dálkovou správu a IoT zařízení, kde je fyzický přístup omezený. EF 7.1 poskytuje standardizovaný způsob ukládání a vynucování přístupových pravidel, který zajišťuje, že pouze autentizované entity mohou provádět kritické operace, a tím zmírňuje rizika, jako je neoprávněný síťový přístup nebo manipulace s daty.

Vznik EF 7.1 byl motivován omezeními starších architektur UICC, kterým chybělo podrobné, centralizované řízení přístupu. V systémech před Release 8 se bezpečnost často opírala o ad-hoc implementace, což operátorům ztěžovalo správu zařízení ve velkém měřítku nebo dynamickou aktualizaci politik. EF 7.1 tento problém řeší integrací do bezpečnostního rámce 3GPP, což operátorům umožňuje definovat pravidla prostřednictvím OTA aktualizací a konzistentně je vynucovat. To je zásadní pro nasazení IoT, kde zařízení mohou fungovat v nedůvěryhodném prostředí a vyžadovat striktní řízení přístupu, aby se zabránilo zneužití. Standardizací EF 7.1 3GPP usnadnila interoperabilitu mezi dodavateli a zařízeními, čímž podpořila bezpečnou a škálovatelnou správu aplikací UICC v rozvíjejících se sítích, jako jsou LTE a 5G.

Klíčové vlastnosti

• Ukládá Access Rule Reference (ARR) pro propojení s detailními sadami oprávnění
• Obsahuje Security Protocol Identifier (SPI) pro specifikaci kryptografických protokolů, jako jsou SCP80/81
• Vynucuje jemně odstupňované řízení přístupu pro aplikace UICC prostřednictvím struktury lineárního souboru s pevnou délkou záznamu
• Podporuje dálkovou správu prostřednictvím OTA aktualizací pro dynamické změny politik
• Integruje se s bezpečnostními doménami UICC, aby zajistila odolné vynucování pravidel proti manipulaci
• Umožňuje škálovatelnou bezpečnost pro zařízení M2M a IoT centralizací přístupových pravidel

Definující specifikace

• TS 31.122 (Rel-18) — USIM Conformance Test Specification
• TS 31.127 (Rel-18) — UICC-terminal interaction testing specification

📖 Anglický originál a plná specifikace: EF 7.1 na 3GPP Explorer