Trang này mô tả một cách an toàn, đáng tin cậy và liền mạch để chuyển hồ sơ eSIM và dữ liệu SIM thực từ một thiết bị Android (được gọi là thiết bị nguồn trên trang này) sang một thiết bị Android khác có hỗ trợ eSIM (được gọi là thiết bị mục tiêu).
Kiến trúc
Sơ đồ trong Hình 1 minh hoạ các thành phần chính và luồng cấp cao cho việc chuyển gói thuê bao GSMA TS.43 ODSA bằng mã thông báo tạm thời.
Hình 1. Cấu trúc chuyển eSIM.
Bảng sau đây cung cấp nội dung mô tả chi tiết về các bước trong Hình 1:
| Bước | Mô tả |
|---|---|
| 1 | Ứng dụng chuyển eSIM trên thiết bị mục tiêu sẽ bắt đầu quá trình chuyển từ bước ghép nối thiết bị. |
| 2 | Sau khi hai thiết bị được ghép nối, ứng dụng chuyển trên thiết bị đích sẽ yêu cầu danh sách hồ sơ có thể chuyển từ thiết bị đích. |
| 3 | Ứng dụng chuyển eSIM trên thiết bị nguồn thực hiện các quy trình TS.43 sau:
Máy chủ quyền trả về một mã thông báo tạm thời và giá trị |
| 4 | Người dùng chọn một hồ sơ để chuyển và LPA yêu cầu mã kích hoạt. |
| 5 | Ứng dụng chuyển trên thiết bị mục tiêu thực hiện các quy trình TS.43 sau:
Máy chủ quyền trả về mã kích hoạt. |
| 6 | Ứng dụng chuyển eSIM trên thiết bị mục tiêu trả về mã kích hoạt cho LPA. |
| 7 | Một kênh bảo mật được thiết lập giữa SM-DP+ và LPA thông qua giao diện ES9+ và cấu hình được tải xuống từ máy chủ SM-DP+. Quá trình tải hồ sơ xuống dựa trên mã kích hoạt. |
| 8 | LPA tải hồ sơ eSIM xuống eUICC. |
Ứng dụng chuyển eSIM là ứng dụng do nhà sản xuất thiết bị cung cấp, cho phép chuyển hồ sơ eSIM và dữ liệu SIM thực từ thiết bị này sang thiết bị khác, hoặc chuyển đổi SIM thực sang eSIM trên cùng một thiết bị. Ứng dụng chuyển eSIM tương thích trên thiết bị nguồn chạy Android 10 trở lên và nhắm đến thiết bị chạy Android 14 trở lên.
Chuyển gói thuê bao GSMA TS.43 bằng mã thông báo tạm thời và EAP-AKA
Phương thức chuyển eSIM dựa trên ODSA GSMA TS.43 được hỗ trợ tuân theo luồng lệnh gọi như mô tả trong Mục 8.9 của GSMA TS.43. Đối với nhà mạng, việc triển khai phương thức chuyển eSIM này yêu cầu tích hợp thêm phía máy chủ, như mô tả trong tiểu mục Các yêu cầu liên quan đến TS.43 trong mục Yêu cầu kỹ thuật.
Bạn nên sử dụng mã thông báo tạm thời TS.43 với phương pháp EAP-AKA (phương thức CR1052).
Quy trình chuyển eSIM
Quy trình chuyển eSIM được đưa vào quy trình thiết lập hoặc trong phần Cài đặt.
Quy trình chuyển eSIM trong quy trình thiết lập
Quy trình thiết lập người dùng là giao diện người dùng đầu tiên mà người dùng tương tác khi khởi động điện thoại Android lần đầu hoặc sau khi đặt lại thiết bị về trạng thái ban đầu. Quy trình thiết lập sẽ hướng dẫn họ thực hiện quá trình thiết lập điện thoại Android và bao gồm các mục như chuyển dữ liệu, kết nối Wi-Fi và sao lưu. Việc kết nối với mạng di động bằng SIM thực hoặc eSIM là một phần trong quy trình thiết lập. Giải pháp chuyển eSIM yêu cầu cả thiết bị mục tiêu và thiết bị nguồn đều thiết lập kết nối thiết bị với thiết bị (D2D).
Hình 2. Trình tự quy trình thiết lập cho các thiết bị mục tiêu bằng cách sử dụng tính năng thiết lập liên kết D2D.
Quy trình thiết lập giúp thiết lập thiết bị bằng cách chuyển tài khoản và nhập dữ liệu từ một thiết bị Android khác.
Quy trình thiết lập bao gồm cả bước chuyển eSIM nếu đáp ứng các điều kiện sau:
- Người dùng đã ghép nối thiết bị mục tiêu với thiết bị nguồn ở bước 2 của quy trình thiết lập.
- Nhà mạng xác nhận rằng SIM thực hoặc eSIM trong thiết bị nguồn đủ điều kiện để chuyển eSIM ở bước 2.
- Không có hồ sơ eSIM nào được chỉ định cho thiết bị mục tiêu thông qua phương thức SM-DS hoặc SM-DP+ mặc định ở bước 5.
- Thiết bị nguồn đã ghép nối được bảo mật bằng phương thức khoá màn hình và phương thức khoá màn hình của thiết bị nguồn của người dùng đã được xác minh thành công ở bước 6.
Thiết bị đích sẽ lưu giữ một thông báo eSIM trong ngăn thông báo miễn là cần hoàn tất giao dịch chuyển eSIM bằng cơ sở hạ tầng của nhà mạng, bao gồm cả bước tải xuống và cài đặt hồ sơ eSIM. Tuỳ thuộc vào cách triển khai của nhà mạng, thao tác này có thể gần như ngay lập tức hoặc có thể bị trì hoãn cho đến khi hoàn tất việc thiết lập thiết bị.
Hình 3. Ví dụ về màn hình giao diện người dùng cho các thiết bị mục tiêu sử dụng chế độ thiết lập liên kết D2D theo luồng thiết lập.
Bảng sau đây cung cấp nội dung mô tả chi tiết về các bước trong Hình 3:
| Bước | Mô tả |
|---|---|
| 1 | Khi người dùng bắt đầu quy trình chuyển trên thiết bị mục tiêu, một mã QR sẽ xuất hiện và thiết bị nguồn sẽ hiển thị một cửa sổ bật lên cho yêu cầu chuyển. |
| 2 | Thiết bị sẽ hiển thị một thử thách bảo mật để xác thực người dùng. |
| 3 | Thiết bị mục tiêu sẽ kiểm tra các hồ sơ đủ điều kiện có thể chuyển trên thiết bị nguồn. |
| 4 | Thiết bị sẽ hiển thị danh sách các hồ sơ có thể chuyển và không thể chuyển. |
| 5 | Người dùng xác nhận cuối cùng về việc chuyển. |
| 6 | Quá trình chuyển đang diễn ra. |
Người dùng cũng có thể bắt đầu quy trình chuyển eSIM thông qua màn hình Cài đặt. Hình 4 mô tả một quy trình trải nghiệm người dùng mẫu bằng cách sử dụng quy trình chuyển D2D từ phần Cài đặt.
Hình 4. Ví dụ về màn hình giao diện người dùng cho các thiết bị mục tiêu sử dụng chế độ thiết lập liên kết D2D theo quy trình cài đặt.
Bảng sau đây cung cấp nội dung mô tả chi tiết về các bước cho thiết bị mục tiêu và thiết bị nguồn trong Hình 4:
| Bước | Nội dung mô tả (thiết bị mục tiêu) | Bước | Mô tả (thiết bị nguồn) |
|---|---|---|---|
| 1 | Người dùng chọn trình đơn SIM trong phần Cài đặt. | ||
| 2 | Người dùng chọn nút Chuyển SIM từ một thiết bị khác. | ||
| 3 | Thiết bị hiện một mã QR để ghép nối D2D. | 1 | Thiết bị sẽ hiển thị một cửa sổ bật lên để chuyển. |
| 4 | Thiết bị mục tiêu sẽ kiểm tra các hồ sơ đủ điều kiện có thể chuyển trên thiết bị nguồn. | 2 | Thiết bị sẽ hiển thị màn hình để quét mã QR của thiết bị mục tiêu nhằm ghép nối D2D. |
| 5 | Thiết bị sẽ hiện danh sách các hồ sơ có thể chuyển và chuyển được. | 3 | Thiết bị cho biết rằng mã QR đã được quét để ghép nối D2D. |
| 6 | Thiết bị sẽ nhắc người dùng xác nhận quá trình chuyển trên thiết bị nguồn. | 4 | Thiết bị sẽ hiển thị một thử thách bảo mật để xác thực người dùng. |
| 7 | Thiết bị cho biết quá trình chuyển đang diễn ra. | 5 | Thiết bị cho biết quá trình chuyển đang diễn ra. |
| 8 | Thiết bị cho biết quá trình chuyển đã hoàn tất. |
Bảo mật
Để đảm bảo dữ liệu eSIM được chuyển một cách an toàn, bạn cần phải đáp ứng các yêu cầu sau:
- Độ gần của thiết bị (đặc điểm là ghép nối D2D thành công giữa thiết bị nguồn và thiết bị mục tiêu). Kênh giao tiếp giữa thiết bị nguồn và thiết bị mục tiêu được mã hoá hai đầu bằng khoá xoay vòng và số khung tăng dần để ngăn chặn các cuộc tấn công phát lại và tấn công giả mạo.
- Thiết bị nguồn phải được bảo vệ bằng phương thức khoá màn hình (ví dụ: khoá mã PIN).
- Bạn phải sử dụng quy trình xác minh phương thức khoá màn hình của thiết bị nguồn để uỷ quyền và tiếp tục quy trình chuyển eSIM.
Ví dụ: một cách an toàn để chuyển SIM giữa các thiết bị là nếu thiết bị nguồn ở gần SIM, để người dùng có thể mở khoá thiết bị nguồn.
Lưu trữ mã thông báo tạm thời của nhà mạng theo chuẩn TS.43
Đối với ứng dụng chuyển eSIM trong cả thiết bị nguồn và thiết bị mục tiêu, mã thông báo tạm thời của nhà mạng TS.43 được lưu trữ trong kho khoá, một giải pháp lưu trữ thông tin xác thực được mã hoá (mã hoá kho khoá). Sau khi quá trình chuyển hoàn tất, mã thông báo thiết bị nguồn sẽ bị xoá khỏi bộ nhớ khối. Không có API nào được hiển thị để truy cập vào mã thông báo tạm thời của nhà mạng TS.43 từ các ứng dụng bên thứ nhất và bên thứ ba khác.
Quy trình làm quen dành cho nhà mạng
Các phần sau đây mô tả các yêu cầu đối với nhà mạng để hỗ trợ tính năng chuyển eSIM trên thiết bị của họ.
Chọn cách triển khai máy chủ quyền
Tất cả các nhà cung cấp máy chủ quyền (ES) lớn đều hỗ trợ chuyển eSIM. Hãy liên hệ với nhà cung cấp dịch vụ ES để biết thông tin chi tiết về quy trình hỗ trợ chuyển eSIM trên thiết bị của bạn.
Yêu cầu về nhà mạng để tích hợp TS.43 ES
Để hỗ trợ quy trình chuyển eSIM dựa trên chính GSMA TS.43 ODSA, nhà mạng di động PHẢI hỗ trợ ES sau GSMA TS.43 specifications.
Các yêu cầu liên quan đến TS.43
- [Bắt buộc] ES PHẢI triển khai quy trình TS.43 như mô tả trong quy cách GSMA TS.43.
- [bắt buộc] Phần phụ trợ của nhà mạng và ES phải hỗ trợ EAP-AKA làm phương thức xác thực.
- [Nên dùng] ES NÊN tách biệt các thao tác chuyển gói thuê bao và kích hoạt gói thuê bao. Thao tác này ngăn nhà mạng vô hiệu hoá pSIM hoặc eSIM trong thiết bị nguồn nếu có lỗi tải hồ sơ xuống trên thiết bị mục tiêu, nhờ đó, người dùng không huỷ kích hoạt SIM trên cả hai thiết bị. Tham khảo danh sách sau để biết thêm thông tin chi tiết:
ManageSubscription(3:TRANSFER)Nên theo sau bởiManageSubscription(4: UPDATE SUBSCRIPTION)để đảm bảo tải hồ sơ xuống thành công trước khi ES kích hoạt quá trình chuyển trong mạng mạng di động.ManageSubscription(4: UPDATE SUBSCRIPTION)PHẢI huỷ kích hoạt pSIM/eSIM trong thiết bị nguồn và kích hoạt hồ sơ eSIM mới tải xuống trên thiết bị mục tiêu.- Nếu phần phụ trợ của nhà mạng không thể hỗ trợ các lần kích hoạt riêng biệt (tức là phần phụ trợ không thể phát hành eSIM mà không kích hoạt), thì phần phụ trợ PHẢI trả về trạng thái dịch vụ là
1(activated). Sau đó, ứng dụng chuyển eSIM sẽ bỏ quaManageSubscription(4: UPDATE SUBSCRIPTION).
- [Nên dùng] ES của nhà mạng PHẢI trả về MSISDN liên kết với gói thuê bao trong
AcquireTemporaryToken. - [Nên dùng] Đối với việc chuyển gói thuê bao theo TS.43, hệ thống phụ trợ của nhà mạng PHẢI có thể xử lý yêu cầu hoán đổi SIM (do hàm
ManageSubscription(3:TRANSFER SUBSCRIPTION)được uỷ quyền kích hoạt) trong vòng chưa đến 5 giây đối với hầu hết các giao dịch. - [Bắt buộc] Nếu hệ thống phụ trợ của nhà mạng cần nhiều hơn vài giây để phản hồi yêu cầu hoán đổi SIM, thì nhà mạng và ES PHẢI hỗ trợ tính năng tải xuống bị trì hoãn bằng cách thăm dò ý kiến được xác định trong phần 7.3.2 của TS.43.
- [Bắt buộc] Mạng di động để trả về
GeneralErrorTexttừ phản hồiCheckEligibilityvàManageSubscriptionxác định trong mục 6.5.1 của TS43. - [ bắt buộc] eligibility check (refer to section 6.5.2 Checkeligibility
Operation in GSMA Service Entitlement Configuration) PHẢI support the following:
- Không thành công do vấn đề về tài khoản (ví dụ: tài khoản bị tạm ngưng, khoản phí chưa thanh toán hoặc hạn chế chuyển eSIM)
- Không thành công do trách nhiệm pháp lý của thiết bị (ví dụ: doanh nghiệp, trả trước hoặc MVNO)
- Không thực hiện được do danh sách chặn thiết bị (ví dụ: cảnh báo lừa đảo hoặc bị đánh cắp)
- [Nên dùng] Do thông tin nhận dạng cá nhân (PII) được trao đổi giữa thiết bị và ES, bạn nên triển khai các phương pháp hay nhất cho ES, chẳng hạn như:
- Chỉ sử dụng TLS 1.2 hoặc 1.3.
- Tắt RC4 và SSL3.
- Tắt tính năng nén TLS vì tính năng này dễ bị tấn công CRIME.
- Chọn bộ thuật toán mật mã an toàn, tốt nhất là các bộ cung cấp tính năng bảo mật chuyển tiếp hoàn hảo, ví dụ: TLS_AES_256_GCM_SHA384 như đã xác định trong TLS 1.3.
Phân phối cuối cùng
Để bật phương thức chuyển eSIM cho mạng của bạn, hãy làm việc với nhà sản xuất thiết bị để triển khai.