Nesta página, descrevemos uma maneira segura, confiável e simples de transferir perfis de eSIM e dados de um chip físico de um dispositivo Android (chamado de dispositivo de origem nesta página) para outro dispositivo Android compatível com eSIM (chamado de dispositivo de destino).
Arquitetura
O diagrama na Figura 1 ilustra os principais componentes e o fluxo de alto nível para a transferência de assinatura ODSA TS.43 da GSMA com um token temporário.
Figura 1. Arquitetura de transferência de eSIM.
A tabela a seguir fornece descrições detalhadas das etapas na Figura 1:
| Etapa | Descrição |
|---|---|
| 1 | O cliente de transferência de eSIM no dispositivo de destino inicia uma transferência a partir do pareamento de dispositivos. |
| 2 | Depois que os dois dispositivos são pareados, o cliente de transferência no dispositivo de destino solicita uma lista de perfis transferíveis do dispositivo de destino. |
| 3 | O cliente de transferência de eSIM no dispositivo de origem executa os seguintes procedimentos TS.43:
O servidor de direitos retorna um token temporário e um valor |
| 4 | O usuário seleciona um perfil para transferir, e o LPA solicita um código de ativação. |
| 5 | O cliente de transferência no dispositivo de destino executa os seguintes procedimentos TS.43:
O servidor de direitos retorna o código de ativação. |
| 6 | O cliente de transferência de eSIM no dispositivo de destino retorna o código de ativação para o LPA. |
| 7 | Um canal seguro é estabelecido entre o SM-DP+ e o LPA pela interface ES9+, e o perfil é baixado do servidor SM-DP+. O download do perfil é baseado no código de ativação. |
| 8 | O LPA baixa o perfil do eSIM para o eUICC. |
Os clientes de transferência de eSIM são apps fornecidos por fabricantes de dispositivos que permitem a transferência de perfis de eSIM e dados de chip físico de um dispositivo para outro, ou a conversão de chips físicos em eSIM no mesmo dispositivo. Os clientes de transferência de eSIM são compatíveis com dispositivos de origem que executam o Android 10 e versões mais recentes e dispositivos de destino que executam o Android 14 ou versões mais recentes.
Transferência de assinatura GSMA TS.43 com token temporário e EAP-AKA
O método de transferência de eSIM baseado em ODSA TS.43 da GSMA segue os fluxos de chamadas descritos na Seção 8.9 do GSMA TS.43. Para as operadoras, a implementação desse método de transferência de eSIM exige uma integração adicional do lado do servidor, que é descrita na subseção Requisitos relacionados ao TS.43 na seção Requisitos técnicos.
Recomendamos o uso do token temporário TS.43 com a abordagem EAP-AKA (método CR1052).
Fluxos de transferência de eSIM
Os fluxos de transferência de eSIM estão incluídos no fluxo de configuração ou nas Configurações.
Fluxos de transferência de eSIM no fluxo de configuração
O fluxo de usuários de configuração é a primeira interface com que as pessoas interagem ao iniciar o smartphone Android pela primeira vez ou após uma redefinição de fábrica do dispositivo. O fluxo de configuração orienta as pessoas no processo de configuração do smartphone Android e inclui itens como transferência de dados, conexão Wi-Fi e backup. Conectar-se a uma rede móvel com um chip físico ou eSIM faz parte do fluxo de configuração. A solução de transferência de eSIM exige que os dispositivos de destino e de origem estabeleçam uma conexão entre dispositivos (D2D).
Figura 2. Sequência do fluxo de configuração para dispositivos de destino usando a configuração de link D2D.
O fluxo de configuração ajuda a configurar o dispositivo transferindo contas e importando dados de outro dispositivo Android.
O fluxo de configuração inclui a etapa de transferência de eSIM se as seguintes condições forem atendidas:
- O usuário pareou o dispositivo de destino com o dispositivo de origem na etapa 2 do fluxo de configuração.
- A operadora confirmou que o chip físico ou eSIM no dispositivo de origem está qualificado para a transferência de eSIM na etapa 2.
- Nenhum perfil de eSIM foi atribuído ao dispositivo de destino pelo método SM-DS ou SM-DP+ padrão na etapa 5.
- O dispositivo de origem pareado foi protegido com um bloqueio de tela, e o bloqueio de tela do dispositivo de origem do usuário foi verificado com sucesso na etapa 6.
O dispositivo de destino mantém uma notificação de eSIM na gaveta de notificações pelo tempo necessário para concluir totalmente a transação de transferência de eSIM com a infraestrutura da operadora, incluindo a etapa de download e instalação do perfil do eSIM. Dependendo da implementação da operadora, essa operação pode ser quase instantânea ou atrasada até que a configuração do dispositivo seja concluída.
Figura 3. Exemplo de telas da interface para dispositivos de destino usando a configuração de link D2D pelo fluxo de configuração.
A tabela a seguir fornece descrições detalhadas das etapas na Figura 3:
| Etapa | Descrição |
|---|---|
| 1 | Quando um usuário inicia o fluxo de transferência no dispositivo de destino, um QR code é exibido, e o dispositivo de origem mostra um pop-up para o pedido de transferência. |
| 2 | O dispositivo mostra uma comprovação de segurança para autenticação do usuário. |
| 3 | O dispositivo de destino verifica se há perfis qualificados que podem ser transferidos no dispositivo de origem. |
| 4 | O dispositivo mostra uma lista de perfis transferíveis e não transferíveis. |
| 5 | O usuário confirma a transferência. |
| 6 | A transferência está em andamento. |
Os usuários também podem iniciar o fluxo de transferência do eSIM na tela "Configurações". A Figura 4 descreve um exemplo de fluxo de UX usando a transferência D2D nas Configurações.
Figura 4. Exemplo de telas da interface para dispositivos de destino usando a configuração de link D2D pelo fluxo de configurações.
A tabela a seguir fornece descrições detalhadas das etapas para os dispositivos de destino e de origem na Figura 4:
| Etapa | Descrição (dispositivo de destino) | Etapa | Descrição (dispositivo de origem) |
|---|---|---|---|
| 1 | O usuário seleciona o menu SIMs em "Configurações". | ||
| 2 | O usuário seleciona o botão Transferir um chip de outro dispositivo. | ||
| 3 | O dispositivo mostra um QR code para pareamento D2D. | 1 | O dispositivo mostra um pop-up para a transferência. |
| 4 | O dispositivo de destino verifica se há perfis qualificados que podem ser transferidos no dispositivo de origem. | 2 | O dispositivo mostra uma tela para ler o QR code do dispositivo de destino para pareamento D2D. |
| 5 | O dispositivo mostra uma lista de perfis transferíveis e não transferíveis. | 3 | O dispositivo mostra que o QR code foi lido para pareamento D2D. |
| 6 | O dispositivo pede que o usuário confirme a transferência no dispositivo de origem. | 4 | O dispositivo mostra uma comprovação de segurança para autenticação do usuário. |
| 7 | O dispositivo mostra que a transferência está em andamento. | 5 | O dispositivo mostra que a transferência está em andamento. |
| 8 | O dispositivo mostra que a transferência foi concluída. |
Segurança
Para garantir que os dados do eSIM sejam transferidos com segurança, é necessário o seguinte:
- Proximidade do dispositivo (caracterizada pelo pareamento D2D bem-sucedido entre o dispositivo de origem e o de destino). O canal de comunicação entre os dispositivos de origem e de destino é criptografado de ponta a ponta com uma chave rotativa e um número de frame crescente para evitar ataques de repetição e man-in-the-middle.
- O dispositivo de origem precisa estar protegido com um bloqueio de tela, por exemplo, um bloqueio por PIN.
- A verificação do bloqueio de tela do dispositivo de origem precisa ser usada para autorizar e continuar com o fluxo de transferência do eSIM.
Por exemplo, uma maneira segura de transferir chips entre dispositivos é se o dispositivo de origem estiver fisicamente próximo ao chip, para que os usuários possam desbloquear o dispositivo de origem.
TS.43 armazenamento temporário de token da operadora
Para o cliente de transferência de eSIM nos dispositivos de origem e destino, o token temporário da operadora TS.43 é armazenado no armazenamento de blocos, uma solução de armazenamento de credenciais (criptografia de keystore) criptografada. Depois que a transferência for concluída, o token do dispositivo de origem será removido do armazenamento de blocos. Nenhuma API é exposta para acessar o token temporário da operadora TS.43 de outros apps próprios e de terceiros.
Processo de integração da operadora
As seções a seguir descrevem os requisitos para que as operadoras ofereçam suporte à transferência de eSIM nos dispositivos.
Escolher uma implementação de servidor de direitos
Todos os principais provedores de servidores de direitos (ES, na sigla em inglês) oferecem suporte à transferência de eSIM. Entre em contato com um provedor de ES para saber detalhes sobre o processo de suporte à transferência de eSIM nos seus dispositivos.
Requisitos da operadora para integração do TS.43 ES
Para oferecer suporte ao fluxo de transferência de eSIM baseado em ODSA primário GSMA TS.43, a operadora de celular PRECISA oferecer suporte a um ES seguindo a especificação GSMA TS.43.
Requisitos relacionados ao TS.43
- [Obrigatório] O ES PRECISA implementar o procedimento TS.43 conforme descrito na especificação TS.43 da GSMA.
- [Obrigatório] O ES e o back-end da operadora precisam ser compatíveis com EAP-AKA como método de autenticação.
- [Altamente recomendado] O ES DEVE separar as operações de
transferência e ativação de assinatura. Isso impede que as operadoras desativem o pSIM ou o eSIM no dispositivo de origem se houver uma falha no download do perfil no dispositivo de destino. Assim, os usuários não têm SIMs desativados nos dois dispositivos. Consulte a lista a seguir para mais detalhes:
ManageSubscription(3:TRANSFER)DEVE ser seguido porManageSubscription(4: UPDATE SUBSCRIPTION)para garantir o download bem-sucedido do perfil antes que o ES acione a transferência na rede da operadora.ManageSubscription(4: UPDATE SUBSCRIPTION)PRECISA desativar o pSIM/eSIM no dispositivo de origem e ativar o perfil de eSIM recém-baixado no dispositivo de destino.- Se o back-end da operadora não for compatível com ativações separadas (ou seja,
o back-end não pode liberar o eSIM sem ativá-lo), o
back-end DEVE retornar o status do serviço como
1(activated). Em seguida, o cliente de transferência de eSIM ignoraManageSubscription(4: UPDATE SUBSCRIPTION).
- [Altamente recomendado] O ES da operadora PRECISA retornar o MSISDN associado à assinatura em
AcquireTemporaryToken. - [Altamente recomendado] Para a transferência de assinatura TS.43, o
sistema de back-end da operadora PRECISA ser capaz de processar uma solicitação de troca de SIM
(acionada por uma função
ManageSubscription(3:TRANSFER SUBSCRIPTION)autorizada) em menos de 5 segundos para a maioria de todas as transações. - [Obrigatório] Se o sistema de back-end da operadora precisar de mais do que alguns segundos para responder à solicitação de troca de chip, a operadora e o ES PRECISAM oferecer suporte ao download atrasado por sondagem definido na seção 7.3.2 do TS.43.
- [Obrigatório] Operadora para retornar
GeneralErrorTextdas respostasCheckEligibilityeManageSubscriptiondefinidas na seção 6.5.1 do TS43. - [Obrigatório] A verificação de qualificação (consulte a seção 6.5.2 Operação CheckEligibility
na configuração de direitos de serviço da GSMA) PRECISA oferecer suporte ao
seguinte:
- Falha devido a problemas na conta (por exemplo, conta suspensa, débitos em aberto ou restrições de transferência de eSIM)
- Falha devido à responsabilidade do dispositivo (por exemplo, empresa, pré-pago ou MVNO)
- Falha devido à lista de bloqueio de dispositivos (por exemplo, alerta de fraude ou roubo)
- [Altamente recomendado] Como informações de identificação pessoal (PII) são trocadas entre o dispositivo e o ES, recomendamos que o ES implemente práticas recomendadas, como:
- Usar apenas TLS 1.2 ou 1.3.
- Desativar RC4 e SSL3.
- Desativa a compactação TLS porque ela é vulnerável a ataques CRIME.
- Selecionar pacotes de criptografia seguros, de preferência aqueles que oferecem sigilo de encaminhamento perfeito, por exemplo, TLS_AES_256_GCM_SHA384, conforme definido no TLS 1.3.
Entrega final
Para ativar o método de transferência de eSIM na sua rede, trabalhe com os fabricantes de dispositivos na implementação.