На этой странице описывается безопасный, надежный и простой способ переноса профилей eSIM и данных физической SIM-карты с одного устройства Android (называемого на этой странице исходным устройством ) на другое устройство Android с поддержкой eSIM (называемое целевым устройством ).
Архитектура
Диаграмма на рисунке 1 иллюстрирует ключевые компоненты и высокоуровневый поток для передачи подписки GSMA TS.43 ODSA с временным токеном.
Рисунок 1. Архитектура передачи данных eSIM.
В следующей таблице приведены подробные описания шагов на рисунке 1:
| Шаг | Описание |
|---|---|
| 1 | Клиент eSIM Transfer на целевом устройстве инициирует передачу, начиная с момента сопряжения устройств. |
| 2 | После сопряжения двух устройств клиент передачи на целевом устройстве запрашивает у целевого устройства список профилей, которые можно передать. |
| 3 | Клиент eSIM Transfer на исходном устройстве выполняет следующие процедуры TS.43:
Сервер прав возвращает временный токен и значение |
| 4 | Пользователь выбирает профиль для переноса, и LPA запрашивает код активации. |
| 5 | Клиент передачи на целевом устройстве выполняет следующие процедуры TS.43:
Сервер прав возвращает код активации. |
| 6 | Клиент eSIM Transfer на целевом устройстве возвращает код активации в LPA. |
| 7 | Между SM-DP+ и LPA устанавливается защищенный канал связи через интерфейс ES9+, и профиль загружается с сервера SM-DP+. Загрузка профиля осуществляется с помощью кода активации. |
| 8 | LPA загружает профиль eSIM на карту eUICC. |
Клиенты eSIM Transfer — это приложения, предоставляемые производителями устройств, которые позволяют переносить профили eSIM и данные физических SIM-карт с одного устройства на другое или преобразовывать физические SIM-карты в eSIM на одном устройстве. Клиенты eSIM Transfer совместимы с исходными устройствами под управлением Android 10 и более поздних версий, а также с целевыми устройствами под управлением Android 14 и более поздних версий.
Перенос подписки GSMA TS.43 с временным токеном и EAP-AKA
Поддерживаемый метод передачи eSIM на основе GSMA TS.43 ODSA соответствует алгоритмам вызовов, описанным в разделе 8.9 GSMA TS.43 . Реализация этого метода передачи eSIM требует от операторов связи дополнительной интеграции на стороне сервера, которая описана в подразделе , связанном с требованиями TS.43, в разделе «Технические требования» .
Мы рекомендуем использовать временный токен TS.43 с подходом EAP-AKA (метод CR1052).
Потоки передачи данных eSIM
Процессы переноса eSIM включены в процесс настройки или в настройки.
Передача eSIM в процессе настройки
Процесс настройки — это первый пользовательский интерфейс, с которым взаимодействуют пользователи при первом запуске телефона Android или после сброса настроек до заводских. Процесс настройки проведет вас через процесс настройки телефона Android и включает такие этапы, как передача данных, подключение по Wi-Fi и резервное копирование. Подключение к мобильной сети с помощью физической SIM-карты или eSIM является частью процесса настройки. Для переноса eSIM требуется, чтобы как целевое, так и исходное устройства установили соединение D2D.
Рисунок 2. Последовательность настройки целевых устройств с использованием настройки соединения D2D.
Процесс настройки поможет вам настроить устройство путем переноса учетных записей и импорта данных с другого устройства Android.
Процесс настройки включает этап переноса eSIM, если выполнены следующие условия:
- Пользователь выполнил сопряжение целевого устройства с исходным устройством на шаге 2 процесса настройки.
- Оператор подтвердил, что физическая SIM-карта или eSIM в исходном устройстве подходит для переноса eSIM на шаге 2.
- Профиль eSIM не был назначен целевому устройству с помощью метода SM-DS или SM-DP+ по умолчанию на шаге 5.
- Сопряженное исходное устройство было защищено блокировкой экрана, а блокировка экрана исходного устройства пользователя была успешно проверена на шаге 6.
Целевое устройство сохраняет уведомление об eSIM в панели уведомлений столько времени, сколько необходимо для полного завершения транзакции по переносу eSIM с использованием инфраструктуры оператора, включая загрузку и установку профиля eSIM. В зависимости от реализации оператора, эта операция может быть выполнена практически мгновенно или отложена до завершения настройки устройства.
Рисунок 3. Примеры экранов пользовательского интерфейса для целевых устройств, использующих настройку соединения D2D с помощью потока настройки.
В следующей таблице приведены подробные описания шагов на рисунке 3:
| Шаг | Описание |
|---|---|
| 1 | Когда пользователь инициирует процесс передачи данных на целевом устройстве, отображается QR-код, а на исходном устройстве отображается всплывающее окно с запросом на передачу. |
| 2 | Устройство отображает запрос безопасности для аутентификации пользователя. |
| 3 | Целевое устройство проверяет наличие подходящих профилей, которые можно перенести на исходное устройство. |
| 4 | Устройство отображает список передаваемых и непередаваемых профилей. |
| 5 | Пользователь предоставляет окончательное подтверждение перевода. |
| 6 | Передача в процессе. |
Пользователи также могут инициировать процесс переноса eSIM через экран настроек. На рисунке 4 показан пример пользовательского интерфейса при использовании D2D-переноса из настроек.
Рисунок 4. Примеры экранов пользовательского интерфейса для целевых устройств, использующих настройку соединения D2D с помощью потока настроек.
В следующей таблице приведены подробные описания шагов для целевого и исходного устройств на рисунке 4:
| Шаг | Описание (целевое устройство) | Шаг | Описание (исходное устройство) |
|---|---|---|---|
| 1 | Пользователь выбирает меню SIM-карт в Настройках. | ||
| 2 | Пользователь выбирает кнопку «Перенести SIM-карту с другого устройства» . | ||
| 3 | На устройстве отображается QR-код для сопряжения D2D. | 1 | На устройстве отобразится всплывающее окно для передачи. |
| 4 | Целевое устройство проверяет наличие подходящих профилей, которые можно перенести на исходное устройство. | 2 | На экране устройства отобразится запрос на сканирование QR-кода целевого устройства для сопряжения D2D. |
| 5 | Устройство отображает список передаваемых и непередаваемых профилей. | 3 | Устройство показывает, что QR-код сканируется для сопряжения D2D. |
| 6 | Устройство предлагает пользователю подтвердить передачу на исходном устройстве. | 4 | Устройство отображает запрос безопасности для аутентификации пользователя. |
| 7 | Устройство показывает, что передача выполняется. | 5 | Устройство показывает, что передача выполняется. |
| 8 | Устройство показывает, что передача завершена. |
Безопасность
Для обеспечения безопасной передачи данных eSIM необходимо следующее:
- Близость устройств (характеризуется успешным D2D-сопряжением между исходным и целевым устройствами). Канал связи между исходным и целевым устройствами зашифрован сквозным способом с использованием циклически меняющегося ключа и увеличивающегося номера кадра для предотвращения атак повторного воспроизведения и атак типа «человек посередине».
- Исходное устройство должно быть защищено блокировкой экрана (например, блокировкой PIN-кода).
- Для авторизации и продолжения процесса передачи eSIM необходимо использовать проверку блокировки экрана исходного устройства.
Например, безопасный способ передачи SIM-карт между устройствами заключается в том, что исходное устройство находится в непосредственной близости от SIM-карты, чтобы пользователи могли разблокировать исходное устройство.
TS.43 временное хранилище токенов оператора
Для клиента eSIM Transfer как на исходном, так и на целевом устройствах временный токен оператора связи TS.43 хранится в блочном хранилище — зашифрованном (с шифрованием хранилища ключей) решении для хранения учётных данных. После завершения переноса токен исходного устройства удаляется из блочного хранилища. API для доступа к временному токену оператора связи TS.43 из других основных и сторонних приложений не предоставляется.
Процесс адаптации оператора
В следующих разделах описываются требования к операторам связи по поддержке переноса eSIM на их устройствах.
Выберите реализацию сервера прав доступа
Все основные поставщики серверов прав доступа (ES) поддерживают перенос eSIM. Обратитесь к поставщику ES, чтобы узнать подробности о поддержке переноса eSIM на ваших устройствах.
Требования к оператору связи для интеграции TS.43 ES
Для поддержки первичного процесса передачи eSIM GSMA TS.43 ODSA оператор мобильной связи ДОЛЖЕН поддерживать ES в соответствии со спецификацией GSMA TS.43 .
Требования, связанные с TS.43
- [Обязательно] ES ДОЛЖЕН реализовать процедуру TS.43, как описано в спецификации GSMA TS.43 .
- [Обязательно] ES и серверная часть оператора связи ДОЛЖНЫ поддерживать EAP-AKA в качестве метода аутентификации.
- [Настоятельно рекомендуется] ES ДОЛЖЕН разделять операции переноса и активации подписки. Это предотвращает деактивацию pSIM или eSIM на исходном устройстве в случае сбоя загрузки профиля на целевом устройстве, чтобы пользователи не деактивировали SIM-карты на обоих устройствах. Подробнее см. в следующем списке:
- За
ManageSubscription(3:TRANSFER)ДОЛЖЕН следоватьManageSubscription(4: UPDATE SUBSCRIPTION)чтобы гарантировать успешную загрузку профиля до того, как ES инициирует передачу в сети оператора. -
ManageSubscription(4: UPDATE SUBSCRIPTION)ДОЛЖЕН деактивировать pSIM/eSIM на исходном устройстве и активировать недавно загруженный профиль eSIM на целевом устройстве. - Если серверная часть оператора не поддерживает отдельные активации (то есть не может выдать eSIM без её активации), серверная часть ДОЛЖНА вернуть статус услуги
1(activated). В этом случае клиент eSIM Transfer пропускаетManageSubscription(4: UPDATE SUBSCRIPTION).
- За
- [Настоятельно рекомендуется] Оператор ES ДОЛЖЕН возвращать MSISDN, связанный с подпиской, в
AcquireTemporaryToken. - [Настоятельно рекомендуется] Для переноса подписки TS.43 внутренняя система оператора ДОЛЖНА иметь возможность обрабатывать запрос на замену SIM-карты (инициированный авторизованной функцией
ManageSubscription(3:TRANSFER SUBSCRIPTION)) менее чем за 5 секунд для большинства всех транзакций. - [Обязательно] Если серверной системе оператора требуется больше нескольких секунд для ответа на запрос замены SIM-карты, оператор и ES ДОЛЖНЫ поддерживать отложенную загрузку путем опроса, определенного в разделе 7.3.2 TS.43.
- [Обязательно] Оператор должен вернуть
GeneralErrorTextиз ответаCheckEligibilityиManageSubscription, определенного в разделе 6.5.1 TS43. - [Обязательно] Проверка соответствия (см. раздел 6.5.2 Операция CheckEligibility в Конфигурации прав на обслуживание GSMA) ДОЛЖНА поддерживать следующее:
- Сбой из-за проблем с учетной записью (например, приостановленная учетная запись, неоплаченные взносы или ограничения на передачу данных eSIM)
- Сбой из-за ответственности устройства (например, корпоративное, предоплаченное или MVNO)
- Сбой из-за списка заблокированных устройств (например, предупреждение о мошенничестве или краже)
- [Настоятельно рекомендуется] Учитывая, что между устройством и ES происходит обмен персональными данными (PII), мы настоятельно рекомендуем ES внедрить передовые практики, такие как:
- Использование только TLS 1.2 или 1.3.
- Отключение RC4 и SSL3.
- Отключение сжатия TLS, так как оно уязвимо для атак CRIME.
- Выбор безопасных наборов шифров, предпочтительно тех, которые обеспечивают совершенную прямую секретность, например, TLS_AES_256_GCM_SHA384, как определено в TLS 1.3.
Окончательная доставка
Чтобы включить метод передачи eSIM в вашей сети, обратитесь к производителям устройств для его реализации.