שילוב עם ספק של העברת eSIM

בדף הזה מוסבר על דרך מאובטחת, מהימנה וחלקה להעברת פרופילי eSIM ונתונים של כרטיסי SIM פיזיים ממכשיר Android אחד (שנקרא בדף הזה מכשיר המקור) למכשיר Android אחר עם תמיכה ב-eSIM (שנקרא בדף הזה מכשיר היעד).

ארכיטקטורה

הדיאגרמה באיור 1 ממחישה את הרכיבים העיקריים ואת התהליך הכללי של העברת מינוי ODSA של GSMA TS.43 באמצעות אסימון זמני.

ארכיטקטורה של העברת eSIM

איור 1. ארכיטקטורה של העברת eSIM.

בטבלה הבאה מופיעים תיאורים מפורטים של השלבים באיור 1:

שלב תיאור
1 לקוח העברת ה-eSIM במכשיר היעד מתחיל העברה שמתחילה בהתאמת המכשיר.
2 אחרי שמזווגים בין שני המכשירים, לקוח ההעברה במכשיר היעד מבקש רשימה של פרופילים שאפשר להעביר ממכשיר היעד.
3

לקוח העברת ה-eSIM במכשיר המקור מבצע את הפעולות הבאות בהתאם לתקן TS.43:

  1. EAP-AKA
  2. CheckEligibility
  3. AcquireTransferToken

שרת ההרשאות מחזיר טוקן זמני וערך expTime שמציין את משך החיים של הטוקן.
4 המשתמש בוחר פרופיל להעברה, ו-LPA מבקש קוד הפעלה.
5

לקוח ההעברה במכשיר היעד מבצע את הפעולות הבאות TS.43:

  1. ManageSubscription (לדוגמה, transfer, token)
  2. AcquireConfigurations (רלוונטי רק לתהליך העברת eSIM מושהה)

שרת ההרשאות מחזיר את קוד ההפעלה.
6 לקוח ההעברה של ה-eSIM במכשיר היעד מחזיר את קוד ההפעלה ל-LPA.
7 ערוץ מאובטח נוצר בין SM-DP+‎ לבין LPA דרך ממשק ES9+‎, והפרופיל מורד משרת SM-DP+‎. הורדת הפרופיל מבוססת על קוד ההפעלה.
8 ה-LPA מוריד את פרופיל ה-eSIM ל-eUICC.

לקוחות להעברת eSIM הם אפליקציות שסופקו על ידי יצרני מכשירים, שמאפשרות להעביר פרופילי eSIM ונתונים של כרטיסי SIM פיזיים ממכשיר אחד למכשיר אחר, או להמיר כרטיסי SIM פיזיים ל-eSIM באותו מכשיר. לקוחות להעברת eSIM תואמים למכשירי מקור עם Android 10 ומעלה ולמכשירי יעד עם Android 14 ומעלה.

העברת מינוי לפי GSMA TS.43 עם אסימון זמני ו-EAP-AKA

שיטת ההעברה של כרטיסי eSIM שמבוססת על ODSA GSMA TS.43, שנתמכת על ידי Google, פועלת לפי תרשימי הזרימה שמתוארים בסעיף 8.9 של GSMA TS.43. מפעילים סלולריים שרוצים להטמיע את שיטת ההעברה הזו של כרטיסי eSIM צריכים לבצע שילוב נוסף בצד השרת, שמתואר בקטע המשנה דרישות שקשורות ל-TS.43 שבקטע דרישות טכניות.

מומלץ להשתמש בגישת TS.43 temp-token עם EAP-AKA (שיטת CR1052).

תהליכי העברת eSIM

תהליכי העברה של eSIM כלולים בתהליך ההגדרה או בהגדרות.

תהליכי העברת eSIM בתהליך ההגדרה

תהליך ההגדרה למשתמש הוא ממשק המשתמש הראשון שהמשתמשים מנהלים איתו אינטראקציה כשהם מפעילים את הטלפון שלהם ל-Android בפעם הראשונה או אחרי איפוס המכשיר להגדרות המקוריות. תהליך ההגדרה כולל הנחיות להגדרת טלפון Android, כמו העברת נתונים, חיבור ל-Wi-Fi וגיבוי. התחברות לרשת סלולרית באמצעות כרטיס SIM פיזי או eSIM היא חלק מתהליך ההגדרה. כדי להשתמש בפתרון להעברת eSIM, צריך ליצור חיבור ישיר בין המכשיר שממנו מעבירים את ה-eSIM לבין המכשיר שאליו מעבירים אותו (D2D).

רצף הפעולות להגדרת קישור D2D

איור 2. רצף תהליך ההגדרה למכשירי היעד באמצעות הגדרת קישור D2D.

תהליך ההגדרה עוזר להגדיר את המכשיר על ידי העברת חשבונות וייבוא נתונים ממכשיר Android אחר.

תהליך ההגדרה כולל את שלב העברת ה-eSIM אם התנאים הבאים מתקיימים:

  • המשתמש התאים את מכשיר היעד למכשיר המקור בשלב 2 של תהליך ההגדרה.
  • בשלב 2, הספק אישר שכרטיס ה-SIM הפיזי או ה-eSIM במכשיר המקור עומד בדרישות להעברת eSIM.
  • לא הוקצה פרופיל eSIM למכשיר היעד באמצעות השיטה SM-DS או השיטה SM-DP+‎ שמוגדרת כברירת מחדל בשלב 5.
  • מכשיר המקור המזווג היה מאובטח באמצעות נעילת מסך, ונעילת המסך של מכשיר המקור של המשתמש אומתה בהצלחה בשלב 6.

במכשיר היעד מוצגת התראה לגבי ה-eSIM במגירת ההתראות, למשך הזמן שנדרש להשלמת העברת ה-eSIM באמצעות התשתית של הספק, כולל השלב של הורדה והתקנה של פרופיל ה-eSIM. בהתאם להטמעה של הספק, הפעולה הזו יכולה להיות כמעט מיידית או להתעכב עד לסיום הגדרת המכשיר.

ממשק המשתמש של תהליך ההגדרה של קישור D2D

איור 3. דוגמאות למסכי ממשק משתמש במכשירי היעד שבהם נעשה שימוש בתהליך ההגדרה כדי להגדיר קישור D2D.

בטבלה הבאה מופיעים תיאורים מפורטים של השלבים באיור 3:

שלב תיאור
1 כשמשתמש מתחיל את תהליך ההעברה במכשיר היעד, מוצג קוד QR, ובמכשיר המקור מוצג חלון קופץ עם בקשת ההעברה.
2 במכשיר מוצגת בקשת אימות אבטחה לאימות המשתמש.
3 מכשיר היעד בודק אם יש פרופילים שעומדים בדרישות ושאפשר להעביר אותם במכשיר המקור.
4 במכשיר מוצגת רשימה של פרופילים שאפשר להעביר ופרופילים שאי אפשר להעביר.
5 המשתמש מאשר סופית את ההעברה.
6 ההעברה מתבצעת.

המשתמשים יכולים גם להתחיל את תהליך ההעברה של ה-eSIM דרך מסך ההגדרות. באיור 4 מתואר תהליך UX לדוגמה באמצעות העברה ממכשיר למכשיר דרך ההגדרות.

ממשק המשתמש של תהליך הגדרת הקישור D2D

איור 4. דוגמאות למסכי ממשק משתמש במכשירי יעד שבהם נעשה שימוש בתהליך ההגדרה כדי להגדיר קישור D2D.

בטבלה הבאה מופיעים תיאורים מפורטים של השלבים במכשירי היעד והמקור באיור 4:

שלב תיאור (מכשיר היעד) שלב תיאור (מכשיר המקור)
1 המשתמש בוחר בתפריט כרטיסי SIM בהגדרות.
2 המשתמש לוחץ על הלחצן העברה של כרטיס SIM ממכשיר אחר.
3 במכשיר מוצג קוד QR להתאמה בין מכשירים. 1 במכשיר יופיע חלון קופץ להעברה.
4 מכשיר היעד בודק אם יש פרופילים שעומדים בדרישות ושאפשר להעביר אותם במכשיר המקור. 2 במכשיר מוצג מסך לסריקת קוד ה-QR של מכשיר היעד להתאמה בין מכשירים.
5 במכשיר מוצגת רשימה של פרופילים שאפשר להעביר ופרופילים שאי אפשר להעביר. 3 במכשיר מוצג שקוד ה-QR נסרק להתאמה בין מכשירים.
6 המכשיר יציג למשתמש בקשה לאשר את ההעברה במכשיר המקור. 4 במכשיר מוצגת בקשת אימות אבטחה לאימות המשתמש.
7 במכשיר מוצג שההעברה מתבצעת. 5 במכשיר מוצג שההעברה מתבצעת.
8 במכשיר מוצג שההעברה הושלמה.

אבטחה

כדי להבטיח שהנתונים של ה-eSIM יועברו בצורה מאובטחת, צריך לוודא את הדברים הבאים:

  • הקרבה של המכשיר (שמאופיינת בצימוד מוצלח בין מכשיר למכשיר בין מכשיר המקור למכשיר היעד). ערוץ התקשורת בין מכשיר המקור למכשיר היעד מוצפן מקצה לקצה באמצעות מפתח מתחלף ומספר מסגרת עולה, כדי למנוע התקפות חוזרות והתקפות מסוג 'אדם באמצע'.
  • מכשיר המקור צריך להיות מוגן באמצעות נעילת מסך (לדוגמה, נעילה באמצעות קוד אימות).
  • כדי לאשר את העברת ה-eSIM ולהמשיך בתהליך, צריך להשתמש באימות של שיטת פתיחת הנעילה במכשיר המקור.

לדוגמה, דרך מאובטחת להעברת כרטיסי SIM בין מכשירים היא אם מכשיר המקור נמצא בקרבה פיזית לכרטיס ה-SIM, כך שהמשתמשים יכולים לבטל את הנעילה של מכשיר המקור.

‫TS.43 אחסון זמני של טוקנים של ספק

במכשיר המקור ובמכשיר היעד, הלקוח של העברת ה-eSIM מאחסן את אסימון הספק הזמני TS.43 באחסון הבלוקים, שהוא פתרון מוצפן לאחסון פרטי כניסה (הצפנה של מאגר המפתחות). אחרי שההעברה מסתיימת, הטוקן של מכשיר המקור נמחק מחנות הבלוקים. אין API שחושף את האפשרות לגשת לטוקן הזמני של הספק TS.43 מאפליקציות אחרות מבית Google ומאפליקציות של צד שלישי.

תהליך ההצטרפות של ספקי סלולר

בקטעים הבאים מפורטות הדרישות מספקי סלולר לתמיכה בהעברת eSIM במכשירים שלהם.

בחירת הטמעה של שרת הרשאות

כל הספקים הגדולים של שרתי הרשאות (ES) תומכים בהעברת eSIM. כדי לקבל פרטים על התהליך לתמיכה בהעברת eSIM במכשירים, צריך לפנות לספק eSIM.

הדרישות של ספקי סלולר לשילוב של TS.43 ES

כדי לתמוך בתהליך העברת eSIM שמבוסס על ODSA GSMA TS.43, הספק הסלולרי חייב לתמוך ב-ES בהתאם למפרט GSMA TS.43.

דרישות שקשורות ל-TS.43

  • [חובה] ה-ES חייב להטמיע את ההליך TS.43 כפי שמתואר במפרט GSMA TS.43.
  • [חובה] מערכת ה-ES והקצה העורפי של הספק חייבות לתמוך ב-EAP-AKA כשיטת האימות.
  • [מומלץ מאוד] מומלץ להפריד בין פעולות העברת המינוי והפעלת המינוי. כך ספקי הסלולר לא יכולים להשבית את ה-pSIM או ה-eSIM במכשיר המקור אם הורדת הפרופיל במכשיר היעד נכשלת, ולמשתמשים לא יהיו כרטיסי SIM מושבתים בשני המכשירים. לפרטים נוספים, אפשר לעיין ברשימה הבאה:
    • ManageSubscription(3:TRANSFER) SHOULD be followed by ‫ManageSubscription(4: UPDATE SUBSCRIPTION) כדי להבטיח שהפרופיל יורד בהצלחה לפני שה-ES מפעיל את ההעברה ברשת הספק.
    • ManageSubscription(4: UPDATE SUBSCRIPTION) צריך להשבית את כרטיס ה-SIM הפיזי או ה-eSIM במכשיר המקור ולהפעיל את פרופיל ה-eSIM שהורד במכשיר היעד.
    • אם מערכת ה-backend של הספק לא תומכת בהפעלות נפרדות (כלומר, מערכת ה-backend לא יכולה לשחרר את ה-eSIM בלי להפעיל אותו), מערכת ה-backend צריכה להחזיר את סטטוס השירות כ-1(activated). לאחר מכן, לקוח ההעברה של ה-eSIM מדלג על ManageSubscription(4: UPDATE SUBSCRIPTION).
  • [מומלץ מאוד] ספק ה-ES צריך להחזיר את מספר ה-MSISDN שמשויך למינוי ב-AcquireTemporaryToken.
  • [מומלץ מאוד] בהעברת מינוי TS.43, מערכת העורף של הספק צריכה להיות מסוגלת לעבד בקשה להחלפת כרטיס SIM (שמופעלת על ידי פונקציית ManageSubscription(3:TRANSFER SUBSCRIPTION) מורשית) תוך פחות מ-5 שניות ברוב העסקאות.
  • [חובה] אם למערכת העורפית של הספק נדרש יותר מכמה שניות כדי להגיב לבקשת החלפת כרטיס ה-SIM, הספק וה-ES חייבים לתמוך בהורדה מושהית באמצעות בדיקת זמינות (polling) שמוגדרת בסעיף 7.3.2 של TS.43.
  • [חובה] ספק הסלולר צריך להחזיר את GeneralErrorText מתוך CheckEligibility ואת התגובה ManageSubscription שמוגדרת בסעיף 6.5.1 של TS43.
  • [חובה] בדיקת הזכאות (ראו סעיף 6.5.2 CheckEligibility Operation ב-GSMA Service Entitlement Configuration) חייבת לתמוך בפעולות הבאות:
    • העברה נכשלה בגלל בעיות בחשבון (למשל, חשבון מושעה, חובות שלא שולמו או הגבלות על העברת eSIM)
    • הפעולה נכשלה בגלל אחריות על המכשיר (לדוגמה, מכשיר ארגוני, מכשיר בתשלום מראש או מכשיר של MVNO)
    • כשל בגלל רשימת חסימה של מכשירים (לדוגמה, התראה על הונאה או על גניבה)
  • [מומלץ מאוד] בהתחשב בכך שפרטים אישיים מזהים (PII) מועברים בין המכשיר לבין שרת ה-ES, מומלץ מאוד להטמיע בשרת ה-ES שיטות מומלצות, כמו:
    • שימוש רק ב-TLS 1.2 או 1.3.
    • השבתה של RC4 ו-SSL3.
    • השבתת דחיסת TLS כי היא חשופה להתקפות CRIME.
    • בחירה של סטים בטוחים של אלגוריתמים להצפנה (cipher suite), רצוי כאלה שמספקים סודיות העברה מושלמת, למשל TLS_AES_256_GCM_SHA384 כפי שמוגדר ב-TLS 1.3.

מסירה סופית

כדי להפעיל את שיטת העברת ה-eSIM ברשת שלכם, צריך לעבוד עם יצרני המכשירים על ההטמעה.