Integration des Mobilfunkanbieters für die eSIM-Übertragung

Auf dieser Seite wird eine sichere, vertrauenswürdige und nahtlose Möglichkeit beschrieben, eSIM-Profile und Daten von physischen SIM-Karten von einem Android-Gerät (auf dieser Seite als Quellgegerät bezeichnet) auf ein anderes eSIM-fähiges Android-Gerät (auf dieser Seite als Zielgerät bezeichnet) zu übertragen.

Architektur

Das Diagramm in Abbildung 1 zeigt die wichtigsten Komponenten und den allgemeinen Ablauf der GSMA TS.43-ODSA-Aboübertragung mit einem temporären Token.

eSIM-Übertragungsarchitektur

Abbildung 1: eSIM-Übertragungsarchitektur

In der folgenden Tabelle finden Sie detaillierte Beschreibungen der Schritte in Abbildung 1:

Schritt Beschreibung
1 Der eSIM-Übertragungsclient auf dem Zielgerät startet eine Übertragung, die mit der Gerätekopplung beginnt.
2 Nachdem die beiden Geräte gekoppelt sind, fordert der Übertragungsclient auf dem Zielgerät eine übertragbare Profilliste vom Zielgerät an.
3

Der eSIM-Übertragungsclient auf dem Quellgerät führt die folgenden TS.43-Vorgänge aus:

  1. EAP-AKA
  2. CheckEligibility
  3. AcquireTransferToken

Der Berechtigungsserver gibt ein temporäres Token und einen expTime-Wert zurück, der die Lebensdauer des Tokens angibt.
4 Der Nutzer wählt ein Profil aus, das übertragen werden soll, und der LPA fordert einen Aktivierungscode an.
5

Der Übertragungsclient auf dem Zielgerät führt die folgenden TS.43-Vorgänge aus:

  1. ManageSubscription (z. B. „transfer“, „token“)
  2. AcquireConfigurations (gilt nur für verzögerte eSIM-Übertragung)

Der Berechtigungsserver gibt den Aktivierungscode zurück.
6 Der eSIM-Übertragungsclient auf dem Zielgerät gibt den Aktivierungscode an die LPA zurück.
7 Über die ES9+-Schnittstelle wird ein sicherer Kanal zwischen dem SM-DP+ und dem LPA hergestellt und das Profil wird vom SM-DP+-Server heruntergeladen. Der Profildownload basiert auf dem Aktivierungscode.
8 Der LPA lädt das eSIM-Profil auf die eUICC herunter.

eSIM-Übertragungsclients sind Apps von Geräteherstellern, mit denen eSIM-Profile und physische SIM-Daten von einem Gerät auf ein anderes übertragen oder auf demselben Gerät physische SIM-Karten in eSIM umgewandelt werden können. eSIM-Übertragungsclients sind mit Quellgeräten mit Android 10 und höher sowie Zielgeräten mit Android 14 oder höher kompatibel.

Übertragung von GSMA TS.43-Abos mit vorübergehendem Token und EAP-AcA

Die unterstützte primärbasierte eSIM-Übertragungsmethode von GSMA TS.43 ODSA folgt den Aufrufabläufen, wie in Abschnitt 8.9 von GSMA TS.43 beschrieben. Für Mobilfunkanbieter ist für die Implementierung dieser eSIM-Übertragungsmethode eine zusätzliche serverseitige Integration erforderlich. Diese wird im Abschnitt Technische Anforderungen unter Anforderungen im Zusammenhang mit TS.43 beschrieben.

Wir empfehlen das temporäre TS.43-Token mit dem EAP-AKA-Ansatz (CR1052-Methode).

eSIM-Übertragungsabläufe

Die Abläufe für die eSIM-Übertragung sind in der Einrichtung oder in den Einstellungen enthalten.

eSIM-Übertragungsabläufe in der Einrichtung

Der Einrichtungs-User Flow ist die erste Benutzeroberfläche, mit der Nutzer interagieren, wenn sie ihr Android-Smartphone zum ersten Mal starten oder nach einem Zurücksetzen auf die Werkseinstellungen. Der Einrichtungsvorgang führt ihn durch die Einrichtung seines Android-Smartphones und umfasst Elemente wie Datenübertragung, WLAN-Verbindung und Sicherung. Die Verbindung mit einem Mobilfunknetz über eine physische SIM-Karte oder eSIM ist Teil der Einrichtung. Für die eSIM-Übertragungslösung müssen sowohl das Ziel- als auch das Quellgerät eine D2D-Verbindung (Device-to-Device) herstellen.

Ablaufsequenz für die Einrichtung von D2D-Links

Abbildung 2: Einrichtungsabfolge für Zielgeräte mit D2D-Link-Einrichtung

Bei der Einrichtung werden Konten übertragen und Daten von einem anderen Android-Gerät importiert.

Der Einrichtungsablauf umfasst den Schritt für die eSIM-Übertragung, wenn die folgenden Bedingungen erfüllt sind:

  • Der Nutzer hat in Schritt 2 der Einrichtung sein Zielgerät mit seinem Quellgerät gekoppelt.
  • Der Mobilfunkanbieter hat in Schritt 2 bestätigt, dass die physische SIM oder eSIM im Quellgerät für die eSIM-Übertragung geeignet ist.
  • Dem Zielgerät wurde in Schritt 5 über die SM-DS- oder die Standardmethode SM-DP+ kein eSIM-Profil zugewiesen.
  • Das gekoppelte Quellgerät war mit einer Displaysperre gesichert und die Displaysperre des Quellgeräts des Nutzers wurde in Schritt 6 erfolgreich bestätigt.

Auf dem Zielgerät wird so lange eine eSIM-Benachrichtigung im Benachrichtigungs-Schieberegler angezeigt, wie es für die vollständige Durchführung der eSIM-Übertragungstransaktion mit der Mobilfunkanbieterinfrastruktur erforderlich ist, einschließlich des Downloads und der Installation des eSIM-Profils. Je nach Implementierung des Mobilfunkanbieters kann dieser Vorgang fast sofort erfolgen oder bis zur vollständigen Einrichtung des Geräts verzögert werden.

Benutzeroberfläche für die Einrichtung von D2D-Links

Abbildung 3. Beispiel-UI-Bildschirme für Zielgeräte, auf denen die D2D-Verknüpfung über den Einrichtungsvorgang eingerichtet wird.

In der folgenden Tabelle finden Sie detaillierte Beschreibungen der Schritte in Abbildung 3:

Schritt Beschreibung
1 Wenn ein Nutzer die Übertragung auf dem Zielgerät initiiert, wird ein QR-Code angezeigt und auf dem Quellgerät ein Pop-up für die Übertragungsanfrage.
2 Auf dem Gerät wird eine Sicherheitsmaßnahme für die Nutzerauthentifizierung angezeigt.
3 Auf dem Zielgerät wird nach geeigneten Profilen gesucht, die auf dem Quellgerät übertragen werden können.
4 Auf dem Gerät wird eine Liste der übertragbaren und nicht übertragbaren Profile angezeigt.
5 Der Nutzer bestätigt die Übertragung abschließend.
6 Die Übertragung läuft.

Nutzer können die eSIM-Übertragung auch über den Einstellungsbildschirm starten. Abbildung 4 zeigt einen Beispiel-UX-Vorgang mit der D2D-Übertragung über die Einstellungen.

Benutzeroberfläche für D2D-Link-Einstellungen

Abbildung 4 Beispiel-UI-Bildschirme für Zielgeräte, auf denen die D2D-Verbindung über den Einrichtungsvorgang eingerichtet wird.

In der folgenden Tabelle finden Sie detaillierte Beschreibungen der Schritte für die Ziel- und Quellgeräte in Abbildung 4:

Schritt Beschreibung (Zielgerät) Schritt Beschreibung (Quellgerät)
1 Der Nutzer wählt in den Einstellungen das Menü SIM-Karten aus.
2 Der Nutzer wählt die Schaltfläche SIM von einem anderen Gerät übertragen aus.
3 Auf dem Gerät wird ein QR-Code für die D2D-Kopplung angezeigt. 1 Auf dem Gerät wird ein Pop-up für die Übertragung angezeigt.
4 Auf dem Zielgerät wird nach geeigneten Profilen gesucht, die auf dem Quellgerät übertragen werden können. 2 Auf dem Gerät wird ein Bildschirm angezeigt, auf dem der QR-Code des Zielgeräts für die D2D-Kopplung gescannt werden kann.
5 Auf dem Gerät wird eine Liste der übertragbaren und nicht übertragbaren Profile angezeigt. 3 Das Gerät zeigt an, dass der QR-Code für die D2D-Kopplung gescannt wurde.
6 Der Nutzer wird aufgefordert, die Übertragung auf dem Quellgerät zu bestätigen. 4 Auf dem Gerät wird eine Sicherheitsmaßnahme für die Nutzerauthentifizierung angezeigt.
7 Das Gerät zeigt an, dass die Übertragung läuft. 5 Auf dem Gerät wird angezeigt, dass die Übertragung läuft.
8 Auf dem Gerät wird angezeigt, dass die Übertragung abgeschlossen ist.

Sicherheit

Damit eSIM-Daten sicher übertragen werden, sind folgende Voraussetzungen erforderlich:

  • Gerätenähe (bezeichnet durch eine erfolgreiche D2D-Kopplung zwischen Quell- und Zielgerät) Der Kommunikationskanal zwischen dem Quellgerät und dem Zielgerät ist mit einem rotierenden Schlüssel und einer sich erhöhenden Frame-Nummer Ende-zu-Ende-verschlüsselt, um Replay-Angriffe und Man-in-the-Middle-Angriffe zu verhindern.
  • Das Quellgerät muss mit einer Displaysperre geschützt sein, z. B. mit einer PIN.
  • Die Displaysperre des Quellgeräts muss verwendet werden, um die eSIM-Übertragung zu autorisieren und fortzusetzen.

Eine sichere Möglichkeit, SIM-Karten zwischen Geräten zu übertragen, ist beispielsweise, wenn sich das Quellgerät in der Nähe der SIM-Karte befindet, damit Nutzer das Quellgerät entsperren können.

Temporärer Speicher von Mobilfunkanbieter-Tokens mit TS.43

Für den eSIM-Übertragungsclient auf den Quell- und Zielgeräten wird das temporäre Mobilfunkanbietertoken TS.43 im Blockspeicher gespeichert, einer verschlüsselten Lösung (Schlüsselspeicher-Verschlüsselung) für Anmeldedatenspeicher. Nach Abschluss der Übertragung wird das Quellgerätetoken aus dem Blockspeicher gelöscht. Es gibt keine API, über die andere Apps von Drittanbietern und Erstanbietern auf das temporäre Mobilfunkanbieter-Token von TS.43 zugreifen können.

Onboardingprozess für Mobilfunkanbieter

In den folgenden Abschnitten werden die Anforderungen für Mobilfunkanbieter beschrieben, die die eSIM-Übertragung auf ihren Geräten unterstützen können.

Implementierung des Berechtigungsservers auswählen

Alle großen Anbieter von Berechtigungsservern unterstützen die eSIM-Übertragung. Wenden Sie sich an einen ES-Anbieter, um weitere Informationen zur Unterstützung der eSIM-Übertragung auf Ihren Geräten zu erhalten.

Anforderungen der Mobilfunkanbieter für die TS.43 ES-Integration

Zur Unterstützung des primären ODSA-basierten eSIM-Übertragungsablaufs der GSMA TS.43 MUSS der Mobilfunkanbieter ein ES gemäß der GSMA TS.43-Spezifikation unterstützen.

Anforderungen in Bezug auf TS.43

  • [Obligatorisch] ES MÜSSEN das TS.43-Verfahren wie in der GSMA TS.43-Spezifikation beschrieben implementieren.
  • [Erforderlich] Das ES- und das Mobilfunkanbieter-Backend MÜSSEN EAP-AKA als Authentifizierungsmethode unterstützen.
  • [Dringend empfohlen] Der ES SOLLTE die Vorgänge für die Aboübertragung und die Aboaktivierung trennen. So wird verhindert, dass Mobilfunkanbieter die pSIM oder eSIM auf dem Quellgerät deaktivieren, wenn der Profildownload auf dem Zielgerät fehlschlägt. So haben Nutzer keine deaktivierten SIMs auf beiden Geräten. Weitere Informationen findest du in der folgenden Liste:
    • Auf ManageSubscription(3:TRANSFER) SOLLTE ManageSubscription(4: UPDATE SUBSCRIPTION) folgen, um sicherzustellen, dass der Profildownload erfolgreich abgeschlossen wird, bevor die ES die Übertragung im Mobilfunknetz auslöst.
    • ManageSubscription(4: UPDATE SUBSCRIPTION) MÜSSEN die pSIM/eSIM auf dem Quellgerät deaktivieren und das neu heruntergeladene eSIM-Profil auf dem Zielgerät aktivieren.
    • Wenn das Mobilfunkanbieter-Backend keine separaten Aktivierungen unterstützt, d. h., das Backend kann die eSIM nicht freigeben, ohne sie zu aktivieren, sollte das Backend den Dienststatus als 1(activated) zurückgeben. Dann überspringt der eSIM-Übertragungsclient ManageSubscription(4: UPDATE SUBSCRIPTION).
  • [Empfohlen] Der Mobilfunkanbieter ES MUSS die mit dem Abo verknüpfte MSISDN in AcquireTemporaryToken zurückgeben.
  • [Empfohlen] Bei der Übertragung eines TS.43-Abos sollte das Backend-System des Mobilfunkanbieters in der Lage sein, einen SIM-Tauschantrag (ausgelöst durch eine autorisierte ManageSubscription(3:TRANSFER SUBSCRIPTION)-Funktion) für die meisten Transaktionen in weniger als 5 Sekunden zu verarbeiten.
  • [Obligatorisch] Wenn das Back-End-System des Mobilfunkanbieters mehr als einige Sekunden benötigt, um auf die Anfrage zum SIM-Austausch zu antworten, MÜSSEN der Mobilfunkanbieter und ES einen verzögerten Download durch Abfrage unterstützen, wie in Abschnitt 7.3.2 von TS.43 definiert.
  • [Erforderlich] Der Mobilfunkanbieter muss GeneralErrorText aus CheckEligibility und die ManageSubscription-Antwort zurückgeben, die in Abschnitt 6.5.1 von TS43 definiert ist.
  • [Erforderlich] Die Berechtigungsprüfung (siehe Abschnitt 6.5.2 „CheckEligibility-Vorgang in der GSMA-Konfiguration für Serviceberechtigungen“) MUSS Folgendes unterstützen:
    • Fehler aufgrund von Kontoproblemen (z. B. gesperrtes Konto, ausstehende Zahlungen oder Einschränkungen bei der eSIM-Übertragung)
    • Unterlassung aufgrund der Gerätehaftung (z. B. Enterprise, Prepaid oder Mobilfunkdiscounter)
    • Fehler aufgrund der Geräteblockierungsliste (z. B. Betrugswarnung oder gestohlen)
  • [Empfohlen] Da zwischen dem Gerät und dem E-Shop personenidentifizierbare Informationen ausgetauscht werden, empfehlen wir dringend, dass der E-Shop Best Practices implementiert, z. B.:
    • Verwenden Sie nur TLS 1.2 oder 1.3.
    • Deaktivierung von RC4 und SSL3
    • TLS-Komprimierung deaktivieren, da sie anfällig für CRIME-Angriffe ist
    • Auswahl sicherer Chiffrenfolgen, vorzugsweise solche, die Perfect Forward Secrecy bieten, z. B. TLS_AES_256_GCM_SHA384 gemäß TLS 1.3

Endgültige Zustellung

Wenn Sie die eSIM-Übertragungsmethode für Ihr Netzwerk aktivieren möchten, arbeiten Sie mit den Geräteherstellern an der Implementierung.