На этой странице описывается безопасный, надежный и простой способ переноса профилей eSIM и данных физической SIM-карты с одного устройства Android (называемого на этой странице исходным устройством ) на другое устройство Android с поддержкой eSIM (называемое целевым устройством ).
Архитектура
Диаграмма на рисунке 1 иллюстрирует ключевые компоненты и высокоуровневый поток для передачи подписки GSMA TS.43 ODSA с временным токеном.
Рисунок 1. Архитектура передачи eSIM.
В следующей таблице приведены подробные описания шагов, показанных на рисунке 1:
| Шаг | Описание |
|---|---|
| 1 | Клиент eSIM Transfer на целевом устройстве инициирует передачу, начиная с сопряжения устройств. |
| 2 | После сопряжения двух устройств клиент передачи на целевом устройстве запрашивает у целевого устройства список профилей, которые можно передать. |
| 3 | Клиент eSIM Transfer на исходном устройстве выполняет следующие процедуры TS.43:
Сервер прав возвращает временный токен и значение |
| 4 | Пользователь выбирает профиль для передачи, и LPA запрашивает код активации. |
| 5 | Клиент передачи на целевом устройстве выполняет следующие процедуры TS.43:
Сервер прав возвращает код активации. |
| 6 | Клиент eSIM Transfer на целевом устройстве возвращает код активации в LPA. |
| 7 | Между SM-DP+ и LPA устанавливается защищенный канал через интерфейс ES9+, и профиль загружается с сервера SM-DP+. Загрузка профиля основана на коде активации. |
| 8 | LPA загружает профиль eSIM на карту eUICC. |
Клиенты eSIM Transfer — это приложения, предоставляемые производителями устройств, которые позволяют переносить профили eSIM и данные физической SIM-карты с одного устройства на другое или преобразовывать физические SIM-карты в eSIM на одном устройстве. Клиенты eSIM Transfer совместимы с исходными устройствами под управлением Android 10 и выше и целевыми устройствами под управлением Android 14 и выше.
Передача подписки GSMA TS.43 с временным токеном и EAP-AKA
Поддерживаемый метод передачи на основе GSMA TS.43 ODSA на основе eSIM следует потокам вызовов, описанным в разделе 8.9 GSMA TS.43 . Для операторов, реализация этого метода передачи на eSIM требует дополнительной интеграции на стороне сервера, которая описана в подразделе требований, связанных с TS.43, в разделе Технические требования .
Мы рекомендуем использовать временный токен TS.43 с подходом EAP-AKA (метод CR1052).
Потоки передачи eSIM
Процессы передачи данных eSIM включены в процесс настройки или в настройки.
Передача eSIM в процессе настройки
Пользовательский поток настройки — это первый пользовательский интерфейс, с которым взаимодействуют пользователи при первом запуске своего телефона Android или после сброса настроек устройства до заводских. Поток настройки проводит их через процесс настройки телефона Android и включает такие элементы, как передача данных, подключение Wi-Fi и резервное копирование. Подключение к мобильной сети с помощью физической SIM-карты или eSIM является частью потока настройки. Решение eSIM Transfer требует, чтобы и целевое, и исходное устройства установили соединение устройство-устройство (D2D).
Рисунок 2. Последовательность настройки целевых устройств с использованием настройки канала D2D.
Процесс настройки поможет настроить устройство путем переноса учетных записей и импорта данных с другого устройства Android.
Процесс настройки включает в себя этап передачи eSIM, если соблюдены следующие условия:
- Пользователь выполнил сопряжение целевого устройства с исходным устройством на шаге 2 процесса настройки.
- Оператор подтвердил, что физическая SIM-карта или eSIM на исходном устройстве подходит для переноса eSIM на шаге 2.
- Профиль eSIM не был назначен целевому устройству с помощью метода SM-DS или SM-DP+ по умолчанию на шаге 5.
- Сопряженное исходное устройство было защищено блокировкой экрана, а блокировка экрана исходного устройства пользователя была успешно проверена на шаге 6.
Целевое устройство сохраняет уведомление eSIM в панели уведомлений столько времени, сколько требуется для полного завершения транзакции eSIM Transfer с инфраструктурой оператора, включая этап загрузки и установки профиля eSIM. В зависимости от реализации оператора эта операция может быть почти мгновенной или может быть отложена до завершения настройки устройства.
Рисунок 3. Примеры экранов пользовательского интерфейса для целевых устройств, использующих настройку связи D2D с помощью потока настройки.
В следующей таблице приведены подробные описания шагов, показанных на рисунке 3:
| Шаг | Описание |
|---|---|
| 1 | Когда пользователь инициирует процесс передачи данных на целевом устройстве, отображается QR-код, а на исходном устройстве отображается всплывающее окно с запросом на передачу данных. |
| 2 | Устройство отображает запрос безопасности для аутентификации пользователя. |
| 3 | Целевое устройство проверяет наличие подходящих профилей, которые можно перенести на исходное устройство. |
| 4 | Устройство отображает список передаваемых и непередаваемых профилей. |
| 5 | Пользователь предоставляет окончательное подтверждение перевода. |
| 6 | Передача продолжается. |
Пользователи также могут инициировать поток eSIM Transfer через экран настроек. На рисунке 4 описывается пример потока UX с использованием D2D-передачи из настроек.
Рисунок 4. Примеры экранов пользовательского интерфейса для целевых устройств, использующих настройку связи D2D с помощью потока настроек.
В следующей таблице приведены подробные описания шагов для целевого и исходного устройств на рисунке 4:
| Шаг | Описание (целевое устройство) | Шаг | Описание (исходное устройство) |
|---|---|---|---|
| 1 | Пользователь выбирает меню SIM-карт в Настройках. | ||
| 2 | Пользователь выбирает кнопку «Перенести SIM-карту с другого устройства» . | ||
| 3 | На устройстве отображается QR-код для сопряжения D2D. | 1 | На устройстве отобразится всплывающее окно для передачи. |
| 4 | Целевое устройство проверяет наличие подходящих профилей, которые можно перенести на исходное устройство. | 2 | На устройстве отобразится экран для сканирования QR-кода целевого устройства для сопряжения D2D. |
| 5 | Устройство отображает список передаваемых и непередаваемых профилей. | 3 | Устройство показывает, что QR-код сканируется для сопряжения D2D. |
| 6 | Устройство предлагает пользователю подтвердить передачу на исходном устройстве. | 4 | Устройство отображает запрос безопасности для аутентификации пользователя. |
| 7 | Устройство показывает, что передача выполняется. | 5 | Устройство показывает, что передача выполняется. |
| 8 | Устройство показывает, что передача завершена. |
Безопасность
Для обеспечения безопасной передачи данных eSIM необходимо следующее:
- Близость устройств (которая характеризуется успешным сопряжением D2D между исходным и целевым устройствами). Канал связи между исходным и целевым устройствами зашифрован сквозным образом с помощью чередующегося ключа и увеличивающегося номера кадра для предотвращения атак повторного воспроизведения и атак типа «человек посередине».
- Исходное устройство должно быть защищено блокировкой экрана (например, блокировкой PIN-кода).
- Для авторизации и продолжения процесса передачи eSIM необходимо использовать проверку блокировки экрана исходного устройства.
Например, безопасный способ передачи SIM-карт между устройствами — это когда исходное устройство находится в физической близости от SIM-карты, чтобы пользователи могли разблокировать исходное устройство.
TS.43 временное хранилище токенов оператора
Для клиента eSIM Transfer как на исходном, так и на целевом устройстве временный токен оператора TS.43 хранится в блочном хранилище, зашифрованном (шифрование хранилища ключей) решении для хранения учетных данных. После завершения передачи токен исходного устройства очищается из блочного хранилища. API не предоставляется для доступа к временному токену оператора TS.43 из других основных и сторонних приложений.
Процесс приема на работу в качестве оператора
В следующих разделах описываются требования к операторам связи для поддержки переноса данных с eSIM на их устройствах.
Выберите реализацию сервера прав
Все основные поставщики серверов прав (ES) поддерживают eSIM Transfer. Обратитесь к поставщику ES для получения подробной информации о процессе поддержки eSIM Transfer на ваших устройствах.
Требования к оператору для интеграции TS.43 ES
Для поддержки первичного процесса передачи eSIM GSMA TS.43 ODSA оператор мобильной связи ДОЛЖЕН поддерживать ES в соответствии со спецификацией GSMA TS.43 .
Требования, связанные с TS.43
- [Обязательно] ES ДОЛЖЕН реализовать процедуру TS.43, как описано в спецификации GSMA TS.43 .
- [Обязательно] ES и серверная часть оператора связи ДОЛЖНЫ поддерживать EAP-AKA в качестве метода аутентификации.
- [Настоятельно рекомендуется] ES ДОЛЖЕН разделять операции переноса и активации подписки. Это не позволяет операторам деактивировать pSIM или eSIM на исходном устройстве, если на целевом устройстве произошел сбой загрузки профиля, поэтому пользователи не имеют деактивированных SIM-карт на обоих устройствах. Более подробную информацию см. в следующем списке:
- За
ManageSubscription(3:TRANSFER)ДОЛЖНО следоватьManageSubscription(4: UPDATE SUBSCRIPTION)чтобы гарантировать успешную загрузку профиля до того, как ES инициирует передачу в сети оператора. -
ManageSubscription(4: UPDATE SUBSCRIPTION)ДОЛЖЕН деактивировать pSIM/eSIM на исходном устройстве и активировать недавно загруженный профиль eSIM на целевом устройстве. - Если бэкенд оператора не может поддерживать отдельные активации (то есть бэкенд не может освободить eSIM без ее активации), бэкенд ДОЛЖЕН вернуть статус услуги как
1(activated). Затем клиент eSIM Transfer пропускаетManageSubscription(4: UPDATE SUBSCRIPTION).
- За
- [Настоятельно рекомендуется] ES оператора ДОЛЖЕН возвращать MSISDN, связанный с подпиской, в
AcquireTemporaryToken. - [Настоятельно рекомендуется] Для переноса подписки TS.43 внутренняя система оператора ДОЛЖНА иметь возможность обрабатывать запрос на замену SIM-карты (инициированный авторизованной функцией
ManageSubscription(3:TRANSFER SUBSCRIPTION)) менее чем за 5 секунд для большинства всех транзакций. - [Обязательно] Если серверной системе оператора требуется больше нескольких секунд для ответа на запрос замены SIM-карты, оператор и ES ДОЛЖНЫ поддерживать отложенную загрузку путем опроса, определенного в разделе 7.3.2 TS.43.
- [Обязательно] Оператор должен вернуть
GeneralErrorTextиз ответаCheckEligibilityиManageSubscription, определенного в разделе 6.5.1 TS43. - [Обязательно] Проверка соответствия требованиям (см. раздел 6.5.2 Операция CheckEligibility в конфигурации прав на обслуживание GSMA) ДОЛЖНА поддерживать следующее:
- Сбой из-за проблем с аккаунтом (например, приостановленный аккаунт, неоплаченные взносы или ограничения на передачу данных eSIM)
- Сбой из-за ответственности устройства (например, корпоративное, предоплаченное или MVNO)
- Сбой из-за списка блокировки устройства (например, предупреждение о мошенничестве или кража)
- [Настоятельно рекомендуется] Учитывая, что между устройством и ES происходит обмен персональными данными (PII), мы настоятельно рекомендуем ES внедрить передовые практики, такие как:
- Использование только TLS 1.2 или 1.3.
- Отключение RC4 и SSL3.
- Отключение сжатия TLS, так как оно уязвимо для атак CRIME.
- Выбор безопасных наборов шифров, предпочтительно тех, которые обеспечивают совершенную прямую секретность, например, TLS_AES_256_GCM_SHA384, как определено в TLS 1.3.
Окончательная поставка
Чтобы включить метод передачи данных eSIM в вашей сети, обратитесь к производителям устройств для его реализации.