Integration des Mobilfunkanbieters für die eSIM-Übertragung

Auf dieser Seite wird eine sichere, vertrauenswürdige und nahtlose Möglichkeit beschrieben, eSIM-Profile und physische SIM-Daten von einem Android-Gerät (auf dieser Seite als Quellgegerät bezeichnet) auf ein anderes eSIM-fähiges Android-Gerät (auf dieser Seite als Zielgerät bezeichnet) zu übertragen.

Architektur

Das Diagramm in Abbildung 1 zeigt die wichtigsten Komponenten und den allgemeinen Ablauf der GSMA TS.43-ODSA-Aboübertragung mit einem temporären Token.

eSIM-Übertragungsarchitektur

Abbildung 1: Architektur der eSIM-Übertragung

In der folgenden Tabelle finden Sie detaillierte Beschreibungen der Schritte in Abbildung 1:

Schritt Beschreibung
1 Der eSIM-Übertragungsclient auf dem Zielgerät startet eine Übertragung, die mit der Gerätekopplung beginnt.
2 Nachdem die beiden Geräte gekoppelt sind, fordert der Übertragungsclient auf dem Zielgerät eine Liste der übertragbaren Profile vom Zielgerät an.
3

Der eSIM-Übertragungsclient auf dem Quellgerät führt die folgenden TS.43-Vorgänge aus:

  1. EAP-AKA
  2. CheckEligibility
  3. AcquireTransferToken

Der Berechtigungsserver gibt ein temporäres Token und einen expTime-Wert zurück, der die Gültigkeitsdauer des Tokens angibt.
4 Der Nutzer wählt ein Profil aus, das übertragen werden soll, und der LPA fordert einen Aktivierungscode an.
5

Der Übertragungsclient auf dem Zielgerät führt die folgenden TS.43-Vorgänge aus:

  1. ManageSubscription (z. B. „transfer“, „token“)
  2. AcquireConfigurations (gilt nur für verzögerte eSIM-Übertragung)

Der Berechtigungsserver gibt den Aktivierungscode zurück.
6 Der eSIM-Übertragungsclient auf dem Zielgerät gibt den Aktivierungscode an die LPA zurück.
7 Über die ES9+-Schnittstelle wird ein sicherer Kanal zwischen dem SM-DP+ und dem LPA hergestellt und das Profil wird vom SM-DP+-Server heruntergeladen. Der Profildownload basiert auf dem Aktivierungscode.
8 Der LPA lädt das eSIM-Profil auf die eUICC herunter.

eSIM-Übertragungsclients sind Apps von Geräteherstellern, mit denen eSIM-Profile und physische SIM-Daten von einem Gerät auf ein anderes übertragen oder physische SIMs auf demselben Gerät in eSIMs umgewandelt werden können. eSIM-Übertragungsclients sind mit Quellgeräten mit Android 10 und höher sowie Zielgeräten mit Android 14 und höher kompatibel.

GSMA TS.43-Aboübertragung mit temporärem Token und EAP-AKA

Die unterstützte GSMA TS.43-ODSA-Primär-basierte eSIM-Übertragungsmethode folgt den Aufrufabfolgen, die in Abschnitt 8.9 der GSMA TS.43 beschrieben sind. Für Mobilfunkanbieter ist für die Implementierung dieser eSIM-Übertragungsmethode eine zusätzliche serverseitige Integration erforderlich. Diese wird im Abschnitt Technische Anforderungen unter Anforderungen im Zusammenhang mit TS.43 beschrieben.

Wir empfehlen das TS.43-Temporäre Token mit EAP-AKA-Ansatz (CR1052-Methode).

Nur für Partner:Wenn Sie als Mobilfunkanbieter andere Übertragungsmethoden in Betracht ziehen, wenden Sie sich an Ihren Google-Ansprechpartner.

eSIM-Übertragungsabläufe

Die Abläufe für die eSIM-Übertragung sind in der Einrichtung oder in den Einstellungen enthalten.

eSIM-Übertragungsabläufe in der Einrichtung

Der Einrichtungs-User Flow ist die erste Benutzeroberfläche, mit der Nutzer interagieren, wenn sie ihr Android-Smartphone zum ersten Mal starten oder nach einem Zurücksetzen auf die Werkseinstellungen. Der Einrichtungsvorgang führt sie durch die Einrichtung ihres Android-Smartphones und umfasst Elemente wie Datenübertragung, WLAN-Verbindung und Sicherung. Die Verbindung mit einem Mobilfunknetz über eine physische SIM-Karte oder eine eSIM ist Teil der Einrichtung. Für die eSIM-Übertragungslösung müssen sowohl das Ziel- als auch das Quellgerät eine D2D-Verbindung (Device-to-Device) herstellen.

Ablaufsequenz für die Einrichtung von D2D-Links

Abbildung 2: Einrichtungsabfolge für Zielgeräte mit D2D-Link-Einrichtung

Bei der Einrichtung werden Konten übertragen und Daten von einem anderen Android-Gerät importiert.

Der Einrichtungsablauf umfasst den Schritt „eSIM-Übertragung“, wenn die folgenden Bedingungen erfüllt sind:

  • Der Nutzer hat in Schritt 2 der Einrichtung sein Zielgerät mit seinem Quellgerät gekoppelt.
  • Der Mobilfunkanbieter hat in Schritt 2 bestätigt, dass die physische SIM-Karte oder eSIM auf dem Quellgerät für die eSIM-Übertragung infrage kommt.
  • Dem Zielgerät wurde in Schritt 5 über die SM-DS- oder die Standard-SM-DP+-Methode kein eSIM-Profil zugewiesen.
  • Das gekoppelte Quellgerät war mit einer Displaysperre gesichert und die Displaysperre des Quellgeräts des Nutzers wurde in Schritt 6 erfolgreich bestätigt.

Auf dem Zielgerät wird so lange eine eSIM-Benachrichtigung in der Benachrichtigungsleiste angezeigt, wie es für die vollständige Durchführung der eSIM-Übertragungstransaktion mit der Mobilfunkanbieterinfrastruktur erforderlich ist, einschließlich des Downloads und der Installation des eSIM-Profils. Je nach Implementierung des Mobilfunkanbieters kann dieser Vorgang fast sofort erfolgen oder bis zur vollständigen Einrichtung des Geräts verzögert werden.

Benutzeroberfläche für die Einrichtung von D2D-Links

Abbildung 3 Beispiel-UI-Bildschirme für Zielgeräte, auf denen die D2D-Verknüpfung über den Einrichtungsvorgang eingerichtet wird.

In der folgenden Tabelle finden Sie detaillierte Beschreibungen der Schritte in Abbildung 3:

Schritt Beschreibung
1 Wenn ein Nutzer die Übertragung auf dem Zielgerät initiiert, wird ein QR-Code angezeigt und auf dem Quellgerät ein Pop-up für die Übertragungsanfrage.
2 Auf dem Gerät wird eine Sicherheitsmaßnahme für die Nutzerauthentifizierung angezeigt.
3 Auf dem Zielgerät wird nach geeigneten Profilen gesucht, die auf dem Quellgerät übertragen werden können.
4 Auf dem Gerät wird eine Liste der übertragbaren und nicht übertragbaren Profile angezeigt.
5 Der Nutzer bestätigt die Übertragung abschließend.
6 Die Übertragung läuft.

Nutzer können die eSIM-Übertragung auch über den Einstellungsbildschirm starten. Abbildung 4 zeigt einen Beispiel-UX-Vorgang mit der D2D-Übertragung über die Einstellungen.

Benutzeroberfläche für die D2D-Link-Einstellungen

Abbildung 4: Beispiel-UI-Bildschirme für Zielgeräte, auf denen die D2D-Verbindung über den Einrichtungsvorgang eingerichtet wird.

In der folgenden Tabelle finden Sie detaillierte Beschreibungen der Schritte für die Ziel- und Quellgeräte in Abbildung 4:

Schritt Beschreibung (Zielgerät) Schritt Beschreibung (Quellgerät)
1 Der Nutzer wählt in den Einstellungen das Menü SIM-Karten aus.
2 Der Nutzer wählt die Schaltfläche SIM von einem anderen Gerät übertragen aus.
3 Auf dem Gerät wird ein QR-Code für die D2D-Kopplung angezeigt. 1 Auf dem Gerät wird ein Pop-up für die Übertragung angezeigt.
4 Auf dem Zielgerät wird nach geeigneten Profilen gesucht, die auf dem Quellgerät übertragen werden können. 2 Auf dem Gerät wird ein Bildschirm angezeigt, auf dem der QR-Code des Zielgeräts für die D2D-Kopplung gescannt werden kann.
5 Auf dem Gerät wird eine Liste der übertragbaren und nicht übertragbaren Profile angezeigt. 3 Auf dem Gerät wird angezeigt, dass der QR-Code für die D2D-Kopplung gescannt wird.
6 Der Nutzer wird aufgefordert, die Übertragung auf dem Quellgerät zu bestätigen. 4 Auf dem Gerät wird eine Sicherheitsmaßnahme für die Nutzerauthentifizierung angezeigt.
7 Auf dem Gerät wird angezeigt, dass die Übertragung läuft. 5 Auf dem Gerät wird angezeigt, dass die Übertragung läuft.
8 Auf dem Gerät wird angezeigt, dass die Übertragung abgeschlossen ist.

Sicherheit

Damit eSIM-Daten sicher übertragen werden, sind folgende Voraussetzungen erforderlich:

  • Gerätenähe (bezeichnet durch eine erfolgreiche D2D-Kopplung zwischen Quell- und Zielgerät) Der Kommunikationskanal zwischen dem Quell- und dem Zielgerät wird mit einem rotierenden Schlüssel und einer inkrementellen Frame-Nummer Ende-zu-Ende verschlüsselt, um Replay- und Man-in-the-Middle-Angriffe zu verhindern.
  • Das Quellgerät muss mit einer Displaysperre geschützt sein, z. B. mit einer PIN.
  • Die Displaysperre des Quellgeräts muss verwendet werden, um die eSIM-Übertragung zu autorisieren und fortzusetzen.

Eine sichere Möglichkeit, SIM-Karten zwischen Geräten zu übertragen, ist beispielsweise, wenn sich das Quellgerät in der Nähe der SIM-Karte befindet, damit Nutzer das Quellgerät entsperren können.

TS.43-Speicherung des temporären Mobilfunkanbieter-Tokens

Für den eSIM-Übertragungsclient wird sowohl auf dem Quell- als auch auf dem Zielgerät das temporäre TS.43-Mobilfunkanbieter-Token im Blockspeicher gespeichert, einer verschlüsselten Lösung zur Speicherung von Anmeldedaten (Keystore-Verschlüsselung). Nach Abschluss der Übertragung wird das Token des Quellgeräts aus dem Blockspeicher gelöscht. Es gibt keine API, über die andere Apps von Drittanbietern und Erstanbietern auf das temporäre Mobilfunkanbieter-Token von TS.43 zugreifen können.

Onboardingprozess für Mobilfunkanbieter

In den folgenden Abschnitten werden die Anforderungen für Mobilfunkanbieter beschrieben, die die eSIM-Übertragung auf ihren Geräten unterstützen müssen.

Implementierung des Berechtigungsservers auswählen

Alle großen Anbieter von Berechtigungsservern (ES) unterstützen die eSIM-Weitergabe. Wenden Sie sich an einen ES-Anbieter, um weitere Informationen zur Unterstützung der eSIM-Übertragung auf Ihren Geräten zu erhalten.

Anforderungen der Mobilfunkanbieter für die Integration von TS.43 ES

Um den primären ODSA-basierten eSIM-Übertragungsablauf der GSMA TS.43 zu unterstützen, MUSS der Mobilfunkanbieter ein ES gemäß der GSMA TS.43-Spezifikation unterstützen.

Anforderungen im Zusammenhang mit TS.43

  • [Erforderlich] Das ES MUSS das TS.43-Verfahren gemäß der GSMA TS.43-Spezifikation implementieren.
  • [Erforderlich] Das ES- und das Mobilfunkanbieter-Backend MÜSSEN EAP-AKA als Authentifizierungsmethode unterstützen.
  • [Dringend empfohlen] Der ES SOLLTE die Vorgänge für die Aboübertragung und die Aboaktivierung trennen. So wird verhindert, dass Mobilfunkanbieter die pSIM oder eSIM auf dem Quellgerät deaktivieren, wenn der Profildownload auf dem Zielgerät fehlschlägt. So haben Nutzer keine deaktivierten SIMs auf beiden Geräten. Weitere Informationen finden Sie in der folgenden Liste:
    • Auf ManageSubscription(3:TRANSFER) SOLLTE ManageSubscription(4: UPDATE SUBSCRIPTION) folgen, um sicherzustellen, dass der Profildownload erfolgreich abgeschlossen wird, bevor die ES die Übertragung im Mobilfunknetz auslöst.
    • ManageSubscription(4: UPDATE SUBSCRIPTION) MÜSSEN die pSIM/eSIM auf dem Quellgerät deaktivieren und das neu heruntergeladene eSIM-Profil auf dem Zielgerät aktivieren.
    • Wenn das Backend des Mobilfunkanbieters keine separaten Aktivierungen unterstützt, d. h., das Backend kann die eSIM nicht freigeben, ohne sie zu aktivieren, MUSS das Backend den Dienststatus als 1(activated) zurückgeben. Der eSIM-Übertragungsclient überspringt dann ManageSubscription(4: UPDATE SUBSCRIPTION).
  • [Empfohlen] Der Mobilfunkanbieter ES MUSS die mit dem Abo verknüpfte MSISDN in AcquireTemporaryToken zurückgeben.
  • [Empfohlen] Bei der Übertragung von TS.43-Abos sollte das Backend-System des Mobilfunkanbieters in der Lage sein, einen SIM-Tauschantrag (ausgelöst durch eine autorisierte ManageSubscription(3:TRANSFER SUBSCRIPTION)-Funktion) für die meisten Transaktionen in weniger als 5 Sekunden zu verarbeiten.
  • [Erforderlich] Wenn das Back-End-System des Mobilfunkanbieters mehr als einige Sekunden benötigt, um auf die SIM-Kartentauschanfrage zu reagieren, MÜSSEN der Mobilfunkanbieter und das ES den verzögerten Download durch Polling unterstützen, wie in TS.43 Abschnitt 7.3.2 definiert.
  • [Erforderlich] Der Mobilfunkanbieter muss GeneralErrorText aus CheckEligibility und die ManageSubscription-Antwort zurückgeben, die in Abschnitt 6.5.1 von TS43 definiert ist.
  • [Erforderlich] Die Berechtigungsprüfung (siehe Abschnitt 6.5.2 „CheckEligibility“-Vorgang in der GSMA-Konfiguration für Serviceberechtigungen) MUSS Folgendes unterstützen:
    • Fehler aufgrund von Kontoproblemen (z. B. gesperrtes Konto, ausstehende Zahlungen oder Einschränkungen bei der eSIM-Übertragung)
    • Fehler aufgrund von Gerätehaftung (z. B. für Unternehmen, Prepaid- oder MVNO-Kunden)
    • Fehler aufgrund der Geräteblockierungsliste (z. B. Betrugswarnung oder gestohlen)
  • [Empfohlen] Da personenidentifizierbare Informationen (PII) zwischen dem Gerät und dem ES ausgetauscht werden, empfehlen wir dringend, dass der ES Best Practices implementiert, z. B.:
    • Verwenden Sie nur TLS 1.2 oder 1.3.
    • Deaktivierung von RC4 und SSL3
    • TLS-Komprimierung deaktivieren, da sie anfällig für CRIME-Angriffe ist
    • Auswahl sicherer Chiffrenfolgen, vorzugsweise solche, die Perfect Forward Secrecy bieten, z. B. TLS_AES_256_GCM_SHA384 gemäß TLS 1.3

Endgültige Zustellung

Wenn Sie die eSIM-Übertragungsmethode für Ihr Netzwerk aktivieren möchten, wenden Sie sich an die Gerätehersteller, um die Implementierung zu besprechen.