בדף הזה מתוארת דרך מאובטחת, מהימנה וחלקה להעברה של פרופילים של eSIM ונתונים של כרטיס SIM פיזי ממכשיר Android אחד (בדף הזה הוא מכשיר המקור) למכשיר Android אחר שתומך ב-eSIM (שנקרא מכשיר היעד).
ארכיטקטורה
התרשים באיור 1 מדגים את הרכיבים העיקריים ואת התהליך הכללי להעברת מינויים של ODSA ב-GSMA TS.43 באמצעות אסימון זמני.
איור 1. ארכיטקטורת העברת eSIM.
הטבלה הבאה מספקת תיאורים מפורטים של השלבים באיור 1:
שלב | תיאור |
---|---|
1 | לקוח ההעברה של eSIM במכשיר היעד מתחיל העברה שמתחילה בהתאמת המכשיר. |
2 | אחרי ההתאמה בין שני המכשירים, לקוח ההעברה במכשיר היעד מבקש רשימת פרופילים להעברה ממכשיר היעד. |
3 | לקוח העברת ה-eSIM במכשיר המקור מבצע את התהליכים הבאים של TS.43:
שרת ההרשאות מחזיר אסימון זמני
וערך |
4 | המשתמש בוחר פרופיל להעברה ו-LPA מבקש קוד הפעלה. |
5 | לקוח ההעברה במכשיר היעד מבצע את תהליכי TS.43 הבאים:
שרת ההרשאות מחזיר את קוד ההפעלה. |
6 | לקוח ההעברה של ה-eSIM במכשיר היעד מחזיר את קוד ההפעלה ל-LPA. |
7 | נוצר ערוץ מאובטח בין ה-SM-DP+ ל-LPA דרך ממשק ES9+, והפרופיל מוריד מהשרת של ה-SM-DP+. הורדת הפרופיל מבוססת על קוד ההפעלה. |
8 | ה-LPA מוריד את פרופיל ה-eSIM ל-eUICC. |
לקוחות העברת eSIM הן אפליקציות של יצרני מכשירים שמאפשרות להעביר פרופילי eSIM ונתונים פיזיים של SIM ממכשיר אחד למכשיר אחר, או להמיר כרטיסי SIM פיזיים ל-eSIM באותו המכשיר. לקוחות העברה של eSIM תואמים למכשירי מקור עם Android 10 ואילך, ומתאימים למכשירים עם Android מגרסה 14 ואילך.
העברת מינוי GSMA TS.43 עם אסימון זמני ו-EAP-AKA
שיטת ההעברה הנתמכת של eSIM מבוססת-ODSA ברמה הראשית של GSMA TS.43 פועלת לפי תהליכי הקריאה כפי שמתואר בקטע 8.9 של GSMA TS.43. כדי שהספקים יוכלו להטמיע את שיטת ההעברה הזו של eSIM, הם צריכים לבצע שילוב נוסף בצד השרת. השילוב הזה מתואר בקטע דרישות שקשורות ל-TS.43 בקטע דרישות טכניות.
מומלץ להשתמש בגישה של אסימון זמני TS.43 עם EAP-AKA (שיטת CR1052).
תהליך העברת ה-eSIM
תהליכי ההעברה של eSIM כלולים בתהליך ההגדרה או בהגדרות.
תהליכי העברת eSIM בתהליך ההגדרה
תהליך ההגדרה הוא ממשק המשתמש הראשון שהמשתמשים מקיימים איתו אינטראקציה כשהם מפעילים את טלפון Android בפעם הראשונה או אחרי איפוס המכשיר להגדרות המקוריות. תהליך ההגדרה כולל הנחיות להגדרת טלפון Android, ויש בו נושאים כמו העברת נתונים, חיבור Wi-Fi וגיבוי. התחברות לרשת סלולרית באמצעות כרטיס SIM פיזי או eSIM הוא חלק מתהליך ההגדרה. כדי להעביר את ה-eSIM, צריך ליצור חיבור בין המכשיר המקור למכשיר היעד (D2D).
איור 2. הגדרת רצף תהליכים למכשירי יעד באמצעות הגדרת קישור D2D.
תהליך ההגדרה עוזר להגדיר את המכשיר על ידי העברת חשבונות וייבוא נתונים ממכשיר Android אחר.
תהליך ההגדרה כולל את שלב תהליך ההעברה של eSIM אם מתקיימים התנאים הבאים:
- המשתמש ביצע התאמה בין מכשיר היעד למכשיר המקור בשלב 2 בתהליך ההגדרה.
- בשלב 2, הספק אישר שכרטיס ה-SIM הפיזי או כרטיס ה-eSIM במכשיר המקור עומד בדרישות להעברת eSIM.
- לא הוקצה פרופיל eSIM למכשיר היעד באמצעות השיטה SM-DS או השיטה שמוגדרת כברירת מחדל של SM-DP+ בשלב 5.
- מכשיר המקור המותאם נעול באמצעות נעילת מסך, ומסך הנעילה של מכשיר המקור של המשתמש אומת בהצלחה בשלב 6.
ההתראה על eSIM תישאר במכשיר היעד בחלונית ההתראות למשך הזמן הנדרש להשלמת עסקת ההעברה של ה-eSIM עם תשתית הספק, כולל שלב ההורדה וההתקנה של פרופיל ה-eSIM. בהתאם להטמעה של הספק, הפעולה הזו יכולה להתבצע כמעט באופן מיידי או להתעכב עד לסיום הגדרת המכשיר.
איור 3. דוגמאות למסכים של ממשק המשתמש של מכשירי יעד שמשתמשים בהגדרת קישור D2D באמצעות תהליך ההגדרה.
בטבלה הבאה מפורטים תיאורים מפורטים של השלבים שמוצגים באיור 3:
שלב | תיאור |
---|---|
1 | כשמשתמש מתחיל את תהליך ההעברה במכשיר היעד, מופיע קוד QR ובמכשיר המקור מוצג חלון קופץ של בקשת ההעברה. |
2 | במכשיר מוצגת משימת אבטחה לאימות המשתמש. |
3 | במכשיר היעד מתבצעת בדיקה של פרופילים מתאימים שאפשר להעביר ממכשיר המקור. |
4 | במכשיר מוצגת רשימה של פרופילים שניתנים להעברה ושלא ניתנים להעברה. |
5 | המשתמש מספק אישור סופי על ההעברה. |
6 | ההעברה מתבצעת. |
המשתמשים יכולים גם להתחיל את תהליך ההעברה של ה-eSIM דרך מסך ההגדרות. באיור 4 מתואר תהליך לדוגמה של חוויית משתמש באמצעות העברה D2D מההגדרות.
איור 4. דוגמאות למסכי ממשק משתמש במכשירי יעד שמשתמשים בהגדרת קישור D2D לפי תהליך ההגדרה.
בטבלה הבאה מפורטים התיאורים של השלבים במכשירי היעד והמקור שמוצגים באיור 4:
שלב | תיאור (מכשיר היעד) | שלב | תיאור (מכשיר המקור) |
---|---|---|---|
1 | המשתמש בוחר בתפריט כרטיסי SIM בהגדרות. | ||
2 | המשתמש לוחץ על הלחצן העברת כרטיס SIM ממכשיר אחר. | ||
3 | במכשיר יוצג קוד QR להתאמה מסוג D2D. | 1 | במכשיר יוצג חלון קופץ עם אפשרות ההעברה. |
4 | מכשיר היעד בודק אם יש פרופילים מתאימים שאפשר להעביר למכשיר המקור. | 2 | במכשיר יופיע מסך לסריקת קוד ה-QR של מכשיר היעד לצורך התאמה מסוג D2D. |
5 | במכשיר תוצג רשימה של פרופילים שניתן להעביר ושל פרופילים שלא ניתן להעביר. | 3 | במכשיר מוצגת הודעה על סריקת קוד ה-QR לצורך התאמה מסוג D2D. |
6 | במכשיר תוצג בקשה למשתמש לאשר את ההעברה במכשיר המקור. | 4 | במכשיר מוצגת משימת אבטחה לאימות המשתמש. |
7 | במכשיר מוצגת ההודעה 'ההעברה מתבצעת'. | 5 | במכשיר מוצגת ההודעה 'ההעברה מתבצעת'. |
8 | במכשיר תוצג הודעה שההעברה הושלמה. |
אבטחה
כדי להבטיח שהנתונים של eSIM יועברו באופן מאובטח, נדרשים הדברים הבאים:
- קרבה בין מכשירים (שמתאפיינת בהתאמת D2D מוצלחת בין מכשיר המקור למכשיר היעד). ערוץ התקשורת בין מכשיר המקור למכשיר היעד מוצפן מקצה לקצה באמצעות מפתח מסתובב ומספר מסגרת שמוסיף 1 כדי למנוע תקיפות שחזור ותקיפות אדם בתווך.
- מכשיר המקור צריך להיות מוגן באמצעות נעילת מסך (לדוגמה, נעילת קוד אימות).
- צריך להשתמש באימות של נעילת המסך במכשיר המקור כדי לאשר את התהליך ולהמשיך בתהליך ההעברה של ה-eSIM.
לדוגמה, אחת הדרכים להעביר כרטיסי SIM בין מכשירים היא כשמכשיר המקור נמצא בסמיכות פיזית לכרטיס ה-SIM, כך שמשתמשים יכולים לבטל את הנעילה של מכשיר המקור.
אחסון אסימוני ספק זמני TS.43
בלקוח ההעברה של ה-eSIM, גם במכשיר המקור וגם במכשיר היעד, אסימון הספק הזמני TS.43 מאוחסן ב-block store, פתרון לאחסון פרטי כניסה מוצפן (הצפנת מאגר מפתחות). בסיום ההעברה, אסימון המכשיר המקור נמחק מאחסון הבלוק. לאף ממשק API אין גישה לאסימון הזמני של הספק (TS.43) מאפליקציות אחרות של צד ראשון ושל צד שלישי.
תהליך ההצטרפות של הספק
בקטעים הבאים מתוארות הדרישות שמפעילי הסלולר צריכים לעמוד בהן כדי לתמוך בהעברת eSIM במכשירים שלהם.
בחירת הטמעה של שרת הרשאות
כל ספקי שרתי ההרשאות (ES) הגדולים תומכים בהעברת eSIM. כדי לקבל פרטים על התהליך שבו תומכים בהעברת eSIM במכשירים, צריך לפנות לספק ES.
דרישות הספק לשילוב TS.43 ES
כדי לתמוך בתהליך העברת ה-eSIM שמבוסס על ODSA ראשי של GSMA TS.43, ספק הסלולר חייב לתמוך ב-ES בהתאם למפרט GSMA TS.43.
דרישות שקשורות ל-TS.43
- [חובה] חובה להטמיע ב-ES את התהליך של TS.43 כפי שמתואר במפרט GSMA TS.43.
- [Mandatory] ה-ES והקצה העורפי של הספק חייבים לתמוך ב-EAP-AKA כשיטת האימות.
- [מומלץ מאוד] מערכת ה-ES צריכה להפריד בין הפעולות של העברת המינוי לבין הפעולות של הפעלת המינוי. כך מונעים מהספקים להשבית את ה-pSIM או ה-eSIM במכשיר המקור אם יש כשל בהורדת הפרופיל במכשיר היעד, כך שלמשתמשים לא יהיו כרטיסי SIM מושבתים בשני המכשירים. פרטים נוספים זמינים ברשימה הבאה:
- אחרי
ManageSubscription(3:TRANSFER)
צריך להופיעManageSubscription(4: UPDATE SUBSCRIPTION)
כדי לוודא שההורדה של הפרופיל הושלמה לפני שה-ES מפעיל את ההעברה ברשת הספק. ManageSubscription(4: UPDATE SUBSCRIPTION)
צריך להשבית את ה-pSIM או ה-eSIM במכשיר המקור ולהפעיל את פרופיל ה-eSIM שהורדתם במכשיר היעד.- אם הקצה העורפי של הספק לא תומך בהפעלות נפרדות (כלומר, הקצה העורפי לא יכול לשחרר את ה-eSIM בלי להפעיל אותו), הקצה העורפי אמור להחזיר את סטטוס השירות בתור
1(activated)
. לאחר מכן, הלקוח להעברת eSIM ידלג עלManageSubscription(4: UPDATE SUBSCRIPTION)
.
- אחרי
- [מומלץ מאוד] ה-ES של הספק אמור להחזיר את מספר ה-MSISDN שמשויך למינוי בשדה
AcquireTemporaryToken
. - [מומלץ מאוד] במקרה של העברת מינויים ל-TS.43, רוב הטרנזקציות של הספק העורפי צריכות לעבד בקשה להחלפת SIM (מופעלות על ידי פונקציית
ManageSubscription(3:TRANSFER SUBSCRIPTION)
מורשית) תוך פחות מ-5 שניות. - [חובה] אם למערכת הקצה העורפי של הספק נדרשות יותר מכמה שניות כדי להגיב לבקשת החלפת כרטיס ה-SIM, הספק וה-ES חייבים לתמוך בהורדה מושהית באמצעות סקרים, כפי שמוגדר בקטע 7.3.2 של TS.43.
- [חובה] הספק צריך להחזיר את הערך
GeneralErrorText
מ-CheckEligibility
ואת התגובהManageSubscription
שמוגדרת בקטע 6.5.1 של TS43. - [חובה] בדיקת הזכאות (ראו קטע 6.5.2 CheckEligibility Operation ב-GSMA Service Entitlement Configuration) חייבת לתמוך באפשרויות הבאות:
- כשל עקב בעיות בחשבון (למשל, חשבון מושעה, חובות שלא שולמו או הגבלות על העברת eSIM)
- כשל עקב חבות המכשיר (לדוגמה: Enterprise, תשלום מראש או MVNO)
- הכישלון נובע מרשימת החסימה של המכשיר (לדוגמה, התראה על הונאה או מכשיר גנוב)
- [מומלץ מאוד] מכיוון שמתבצע חילופי פרטים אישיים מזהים (PII) בין המכשיר לבין ה-ES, מומלץ מאוד להטמיע ב-ES שיטות מומלצות, כמו:
- שימוש רק ב-TLS 1.2 או 1.3.
- השבתה של RC4 ו-SSL3.
- השבתת דחיסת TLS כי היא חשופה להתקפות CRIME.
- בחירת סט אלגוריתמים להצפנה (cipher suite) בטוח, רצוי כזה שמספק סודיות העברה מושלמת, לדוגמה, TLS_AES_256_GCM_SHA384 כפי שמוגדר ב-TLS 1.3.
מסירה סופית
כדי להפעיל את שיטת ההעברה של eSIM ברשת שלכם, עליכם לעבוד עם יצרני המכשירים על ההטמעה.