Интеграция оператора eSIM Transfer

На этой странице описан безопасный, надежный и простой способ передачи профилей eSIM и данных физической SIM-карты с одного устройства Android (называемого на этой странице исходным устройством ) на другое устройство Android с поддержкой eSIM (называемое целевым устройством ).

Архитектура

Диаграмма на рисунке 1 иллюстрирует ключевые компоненты и высокоуровневый поток передачи подписки GSMA TS.43 ODSA с временным маркером.

Архитектура передачи eSIM

Рисунок 1 . Архитектура передачи eSIM.

В следующей таблице представлено подробное описание шагов, показанных на рисунке 1:

Шаг Описание
1 Клиент eSIM Transfer на целевом устройстве инициирует передачу, начиная с сопряжения устройств.
2 После сопряжения двух устройств клиент передачи на целевом устройстве запрашивает список передаваемых профилей с целевого устройства.
3

Клиент eSIM Transfer на исходном устройстве выполняет следующие процедуры TS.43:

  1. EAP-AKA
  2. CheckEligibility
  3. AcquireTransferToken

Сервер предоставления прав возвращает временный токен и значение expTime указывающее срок действия токена.

4 Пользователь выбирает профиль для передачи, и LPA запрашивает код активации.
5

Клиент передачи на целевом устройстве выполняет следующие процедуры TS.43:

  1. ManageSubscription (например, перевод, токен)
  2. AcquireConfigurations (применяется только к процедуре отложенной передачи eSIM)

Сервер полномочий возвращает код активации.

6 Клиент eSIM Transfer на целевом устройстве возвращает код активации LPA.
7 Между SM-DP+ и LPA устанавливается защищенный канал через интерфейс ES9+, а профиль загружается с сервера SM-DP+. Загрузка профиля осуществляется на основе кода активации.
8 LPA загружает профиль eSIM в eUICC.

Клиенты eSIM Transfer — это приложения, предоставляемые производителями устройств, которые позволяют передавать профили eSIM и данные физической SIM-карты с одного устройства на другое или конвертировать физические SIM-карты в eSIM на том же устройстве. Клиенты eSIM Transfer совместимы с исходными устройствами под управлением Android 10 и выше, а также целевыми устройствами под управлением Android 14 или выше.

Передача подписки GSMA TS.43 с временным токеном и EAP-AKA

Поддерживаемый метод передачи eSIM на основе основного GSMA TS.43 ODSA следует потокам вызовов, как описано в разделе 8.9 GSMA TS.43 . Для операторов связи реализация этого метода передачи eSIM требует дополнительной интеграции на стороне сервера, которая описана в подразделе требований, связанных с TS.43, в разделе « Технические требования» .

Мы рекомендуем временный токен TS.43 с подходом EAP-AKA (метод CR1052).

Потоки передачи eSIM

Потоки передачи eSIM включены в процесс настройки или в настройки.

Потоки передачи eSIM в процессе настройки

Пользовательский процесс настройки — это первый пользовательский интерфейс, с которым пользователи взаимодействуют при первом запуске своего телефона Android или после сброса настроек устройства. Процесс установки проведет их через процесс настройки телефона Android и включает в себя такие элементы, как передача данных, подключение Wi-Fi и резервное копирование. Подключение к мобильной сети с помощью физической SIM-карты или eSIM является частью процесса настройки. Решение eSIM Transfer требует, чтобы как целевое, так и исходное устройства установили соединение между устройствами (D2D).

Последовательность действий при настройке канала D2D

Рисунок 2 . Последовательность действий настройки для целевых устройств с использованием настройки связи D2D.

Процесс настройки помогает настроить устройство путем переноса учетных записей и импорта данных с другого устройства Android.

Последовательность действий включает в себя этап передачи eSIM, если выполняются следующие условия:

  • Пользователь соединил целевое устройство с исходным устройством на шаге 2 процедуры настройки.
  • На шаге 2 оператор подтвердил, что физическая SIM-карта или eSIM на исходном устройстве поддерживает передачу eSIM.
  • Целевому устройству не был назначен профиль eSIM с помощью метода SM-DS или SM-DP+ по умолчанию на шаге 5.
  • Сопряженное исходное устройство было защищено блокировкой экрана, а блокировка экрана исходного устройства пользователя была успешно проверена на шаге 6.

Целевое устройство сохраняет уведомление eSIM в ящике уведомлений столько времени, сколько необходимо для полного завершения транзакции передачи eSIM с инфраструктурой оператора связи, включая этап загрузки и установки профиля eSIM. В зависимости от реализации оператора связи эта операция может быть практически мгновенной или может быть отложена до завершения настройки устройства.

Пользовательский интерфейс настройки D2D-ссылки

Рисунок 3 . Примеры экранов пользовательского интерфейса для целевых устройств, использующих настройку связи D2D с помощью процесса настройки.

В следующей таблице представлено подробное описание шагов, показанных на рисунке 3:

Шаг Описание
1 Когда пользователь инициирует поток передачи на целевом устройстве, отображается QR-код, а на исходном устройстве отображается всплывающее окно с запросом на передачу.
2 Устройство отображает запрос безопасности для аутентификации пользователя.
3 Целевое устройство проверяет наличие подходящих профилей, которые можно перенести на исходное устройство.
4 Устройство отображает список передаваемых и непередаваемых профилей.
5 Пользователь предоставляет окончательное подтверждение перевода.
6 Передача находится в процессе.

Пользователи также могут инициировать процесс передачи eSIM через экран настроек. На рис. 4 описан пример потока пользовательского интерфейса с использованием передачи D2D из настроек.

Пользовательский интерфейс потока настроек D2D-ссылки

Рисунок 4 . Примеры экранов пользовательского интерфейса для целевых устройств, использующих настройку связи D2D с помощью потока настроек.

В следующей таблице представлено подробное описание шагов для целевого и исходного устройств на рис. 4.

Шаг Описание (целевое устройство) Шаг Описание (исходное устройство)
1 Пользователь выбирает меню SIM-карт в настройках.
2 Пользователь нажимает кнопку «Перенести SIM-карту с другого устройства» .
3 На устройстве отображается QR-код для сопряжения с D2D. 1 Устройство отображает всплывающее окно для передачи.
4 Целевое устройство проверяет наличие подходящих профилей, которые можно перенести на исходное устройство. 2 На устройстве отображается экран для сканирования QR-кода целевого устройства для сопряжения с D2D.
5 Устройство отображает список передаваемых и непередаваемых профилей. 3 Устройство показывает, что QR-код сканируется для сопряжения с D2D.
6 Устройство предложит пользователю подтвердить передачу на исходном устройстве. 4 Устройство отображает запрос безопасности для аутентификации пользователя.
7 Устройство показывает, что передача идет. 5 Устройство показывает, что передача идет.
8 Устройство показывает, что передача завершена.

Безопасность

Чтобы обеспечить безопасную передачу данных eSIM, необходимо следующее:

  • Близость устройства (которая характеризуется успешным соединением D2D между исходным и целевым устройством). Канал связи между исходным устройством и целевым устройством имеет сквозное шифрование с использованием вращающегося ключа и увеличивающегося номера кадра для предотвращения атак повтора и атак «человек посередине».
  • Исходное устройство должно быть защищено блокировкой экрана (например, PIN-кодом).
  • Проверка блокировки экрана исходного устройства должна использоваться для авторизации и продолжения процесса передачи eSIM.

Например, безопасный способ передачи SIM-карт между устройствами — это если исходное устройство находится в физической близости от SIM-карты, чтобы пользователи могли разблокировать исходное устройство.

Временное хранилище токенов оператора TS.43

Для клиента eSIM Transfer как на исходном, так и на целевом устройствах временный токен оператора связи TS.43 хранится в блочном хранилище — зашифрованном (шифрование хранилища ключей) решении для хранения учетных данных. После завершения передачи токен исходного устройства удаляется из хранилища блоков. Никакой API не доступен для доступа к временному токену носителя TS.43 из других собственных и сторонних приложений.

Процесс регистрации оператора связи

В следующих разделах описаны требования к операторам связи для поддержки передачи eSIM на своих устройствах.

Выберите реализацию сервера разрешений

Все основные поставщики серверов разрешений (ES) поддерживают передачу eSIM. Свяжитесь с провайдером ES для получения подробной информации о процессе поддержки eSIM Transfer на ваших устройствах.

Требования оператора связи для интеграции TS.43 ES

Для поддержки потока передачи eSIM на основе первичного GSMA TS.43 ODSA оператор мобильной связи ДОЛЖЕН поддерживать ES в соответствии со спецификацией GSMA TS.43 .

Требования, связанные с TS.43

  • [Обязательно] ES ДОЛЖЕН реализовать процедуру TS.43, как описано в спецификации GSMA TS.43 .
  • [Обязательно] Серверная часть ES и оператора связи ДОЛЖНА поддерживать EAP-AKA в качестве метода аутентификации.
  • [Настоятельно рекомендуется] ES СЛЕДУЕТ разделить операции передачи и активации подписки. Это не позволяет операторам связи деактивировать pSIM или eSIM на исходном устройстве, если на целевом устройстве произошел сбой загрузки профиля, поэтому у пользователей нет деактивированных SIM-карт на обоих устройствах. Для получения более подробной информации обратитесь к следующему списку:
    • ManageSubscription(3:TRANSFER) ДОЛЖНО следовать ManageSubscription(4: UPDATE SUBSCRIPTION) , чтобы гарантировать успешную загрузку профиля до того, как ES инициирует передачу в сети оператора связи.
    • ManageSubscription(4: UPDATE SUBSCRIPTION) СЛЕДУЕТ деактивировать pSIM/eSIM на исходном устройстве и активировать вновь загруженный профиль eSIM на целевом устройстве.
    • Если серверная часть оператора связи не может поддерживать отдельные активации (то есть серверная часть не может выпустить eSIM без ее активации), серверная часть ДОЛЖНА вернуть статус услуги как 1(activated) . Затем клиент eSIM Transfer пропускает ManageSubscription(4: UPDATE SUBSCRIPTION) .
  • [Настоятельно рекомендуется] Оператору ES СЛЕДУЕТ вернуть MSISDN, связанный с подпиской, в AcquireTemporaryToken .
  • [Настоятельно рекомендуется] Для передачи подписки TS.43 серверная система оператора ДОЛЖНА иметь возможность обрабатывать запрос на замену SIM-карты (инициируемый авторизованной функцией ManageSubscription(3:TRANSFER SUBSCRIPTION) ) менее чем за 5 секунд для большинства всех транзакций.
  • [Обязательно] Если внутренней системе оператора связи требуется более нескольких секунд для ответа на запрос замены SIM-карты, оператор связи и ES ДОЛЖНЫ поддерживать отложенную загрузку путем опроса, определенного в разделе 7.3.2 TS.43.
  • [Обязательно] Оператор должен возвращать GeneralErrorText из ответа CheckEligibility и ManageSubscription определенного в разделе 6.5.1 TS43.
  • [Обязательно] Проверка приемлемости (см. раздел 6.5.2 Операция CheckEligibility в конфигурации предоставления услуг GSMA) ДОЛЖНА поддерживать следующее:
    • Сбой из-за проблем с учетной записью (например, блокировка учетной записи, неоплаченные взносы или ограничения на передачу eSIM)
    • Сбой из-за ответственности за устройство (например, корпоративный, предоплаченный или MVNO)
    • Сбой из-за списка заблокированных устройств (например, предупреждение о мошенничестве или краже)
  • [Настоятельно рекомендуется] Учитывая, что между устройством и ES происходит обмен личной информацией (PII), мы настоятельно рекомендуем ES внедрить передовые методы, такие как:
    • Использование только TLS 1.2 или 1.3.
    • Отключение RC4 и SSL3.
    • Отключение сжатия TLS, поскольку оно уязвимо для КРИМИНАЛЬНЫХ атак.
    • Выбор безопасных наборов шифров, предпочтительно обеспечивающих полную секретность, например TLS_AES_256_GCM_SHA384, как определено в TLS 1.3.

Окончательная доставка

Чтобы включить метод передачи eSIM для вашей сети, поработайте над его внедрением с производителями устройств.