SIM卡在手機裏存在了很多年,而隨著智能手機和物聯網的發展,産品形態也發生了很大變化,eSIM的出現會産品帶來了創新。2019年12月工業和信息化部批複了中國聯合網絡通信集團有限公司開展物聯網等領域eSIM技術應用服務,這必將會大大推動eSIM的應用發展。爲便于學習和了解eSIM技術,小編編譯整理了GSMA的《eSIM白皮書》。簡介
25年來,無處不在的SIM卡在移動通信領域中發揮了重要作用。它爲最終用戶所認可,並提供了一種安全的方式對設備入網進行身份驗證,所有這些都在一個可移動的“安全元件”裏面,並在移動設備之間易于轉移。
盡管SIM本身的作用沒有改變,但GSMA定義了一種將其加載到設備中的全新方法。現在SIM卡可以安全地下載到“安全元件”中,該元件可以永久地嵌入到任何類型的設備裏。爲了實現這一改變,GSMA爲創建eSIM解決方案推動了一個可信平台和參與者的生態系統。它提供了與可移動SIM卡相同的安全和保護級別。
從可移動SIM卡到eSIM的改變爲許多參與者帶來了好處:
- 每個人,eSIM提供了與可移動SIM卡相同的安全級別。 這是至關重要的,因爲它是存儲在SIM卡上的訂閱憑據,可實現對移動網絡的安全和私有訪問。它還支持計費過程的完整性,尤其是在漫遊場景中:
- 設備最終用戶, eSIM可以簡化訂閱和連接的管理。最終用戶將不再需要管理幾張SIM卡:
- 組織, eSIM支持遠程訂閱的管理。如果設備不由最終用戶管理或不易訪問,那麽這將是一個明顯的優勢(例如,由于運營規模大,使得單個設備管理成本過高)。這可以實現具有開創性的連接設備類型:
- 分銷商, 簡化物流是可能的,可以減少針對特定的運營商或地區的定制:
- 運營商 將有更簡單的方式把業務擴展到新興市場,例如汽車、可穿戴設備和消費電子産品。SIM卡的分銷成本將會被消除,eSIM將爲設備和訂閱營銷提供新的分銷模式:
- 設備制造商, 可以利用減少的産品空間來制造更小的設備。由于産品可以密封(完全密封),産品還可以更加耐受環境因素,如潮濕、溫度和振動等。制造商還可以利用eSIM來優化供應鏈流程。
本文既是介紹遠程SIM配置技術的基礎入門,又是詳細的技術規範的介紹。
如何工作
從概念上講,eSIM的原理很簡單。傳統的SIM卡的完整性是通過使用安全的制造設備來保證的,包括加載軟件和運營商憑證。運營商物流渠道再將SIM卡分發到所需的網點,例如零售店、零售合作夥伴或管理連接設備車隊的企業客戶。
eSIM將安全設備的範圍從特定的物理位置擴展到了可通過互聯網訪問到設備的任何位置。eSIM協議爲數據傳輸提供了安全性和完整性。然而,這只是挑戰的一部分。SIM卡的分發通道除了安全之外,還包含各種服務模式所需求的“業務邏輯”。在某些渠道中,業務邏輯甚至可以決定誰控制設備連接。將這個業務邏輯合到單一的eSIM技術解決方案中是不切實際的。GSMA創建了適合于不同類型渠道的解決方案:
- 消費者解決方案: 對于“直接面向消費者”渠道,如果最終用戶(或消費者)可以直接選擇提供連接的運營商,則需要這個解決方案。消費者解決方案需要有高度的最終用戶交互,其原理是最終用戶熟悉操作最終用戶界面並主動選擇其網絡連接提供商。消費者解決方案還針對使用面向消費者市場設備的企業。
- M2M解決方案: 對于“企業對企業對消費者”(B2B2C)渠道,該解決方案可滿足企業對企業客戶的需求,尤其是在物聯網市場。
本節從概念上解釋了該技術。後面的章節將詳細介紹用于消費者和M2M解決方案的專用技術。
在本節中,給出的示例使用了消費者模型。應該注意的是,M2M模型的不同之處在于,作爲配置文件管理的一部分,沒有最終用戶交互,因此所有SIM供應操作都是遠程管理的。
今天的SIM卡
如今,傳統的SIM卡由指定的運營商擁有和發行。下圖說明了此模型。
遠程SIM卡配置操作-運營商配置文件安裝
在(1)中,最終用戶與移動網絡運營商簽合約,在使用消費者解決方案的情況下,最終用戶不會得到一張SIM卡,而是會收到有關如何將其設備連接到運營商遠程SIM配置系統的說明。在本例中,使用QR(Quick Response,QR)碼。QR碼包含遠程SIM配置系統(符合GSMA規範的SM-DP +服務器)的地址,允許設備連接到該系統(2)並安全下載SIM卡配置文件。一旦安裝了配置文件並激活,設備就能夠連接到該運營商的網絡(3)。
需要注意的是,使用QR碼是在設備內配置eSIM解決方案的一種方式,替代方案包括預配置的設備,使用訂閱管理器-發現服務器和配套設備。
M2M 架構
SM-DP
SM-DP負責准備、存儲和保護運營商配置文件(包括運營商憑證)。它還負責將配置文件下載並安裝到eUICC上。
SM-SR
SM-SR負責管理eUICC上的配置文件狀態(啓用、禁用、刪除)。它還負責確保eUICC和SM-DP之間通信鏈路安全,以便交付運營商配置文件。
eUICC
eUICC是一個安全元件,包含了一個或多個訂閱配置文件。每個配置文件都能實現eUICC與運營商創建發行可移除SIM卡一樣的功能。一個eUICC可以使用任意外形形狀創建,從傳統的可移除卡到焊接到設備中的嵌入式形式。
合規
爲了讓所有參與者確信eSIM生態系統是安全的,制定了一套證明符合核心要求合規的標准。遵從GSMA M2M規範需要驗證:
- eUICC安全性,引用共同標准保護配置文件達到EAL4 +的保證級別。
- 生産環境和過程安全,需要通過GSMA的安全認證方案:SAS-UP(用于eUICC個性化設置)或SAS-SM(用于訂閱管理平台)
- 功能合規性,基于GSMA的測試規範。GlobalPlatform根據GSMA定義的測試用例爲eUICC創建並運行了一個功能測試和資格認證項目。
只有成功獲得GSMA SAS認證的eUICC制造商、SM-SR和SM-DP托管組織才能向GSMA證書頒發機構申請必要的證書,參與到GSMA認可的生態系統。
消費者解決方案概述
GSMA消費者解決方案是在M2M解決方案提供的基礎上開發的,並考慮了最終用戶對管理設備的需求。該解決方案需要管理比M2M解決方案更複雜的用例。因此,在該規範中需要更多的功能。特別是,消費者解決方案通過移動設備最終用戶界面來管理最終用戶交互,並且還支持獨立和配套設備類型。
主要系統元件
GSMA遠程SIM配置消費者解決方案遵循客戶端驅動(拉模型)的功能,允許設備的最終用戶控制遠程配置和本地管理運營商配置文件。該解決方案由4個元件組成:SM-DP +(訂閱管理器-數據准備+)、SM-DS(訂閱管理器-發現服務器)、LPA(本地配置文件助手)和eUICC。
eSIM logo
爲了幫助識別支持eSIM的設備,GSMA設計了一個標志,該標志可以與支持eSIM的任何設備結合使用,允許用戶通過空中下載運營商訂閱。任何組織均可免費使用該標志。
爲什麽有兩個解決方案?
兩種GSMA遠程SIM配置解決方案的根本區別在于控制方向。
共同的特性
兩種體系結構均具有網絡域遠程SIM配置系統(SM-DP / SM-DP +),但消費者解決方案(SM-DP +)中的平台具有額外的功能,其中一些功能來自SM-SR,而其他功能則需要支持消費者解決方案特定的功能。
兩種架構都依賴于移動設備中的安全元件來存儲、管理和操作配置文件(eUICC)。
兩種體系結構都使用基于預共享密鑰(PSK,Pre-Shared Key )和公共密鑰基礎設施(PKI,Public Key Infrastructure)的加密技術。但是,對于使用SM-SR的M2M解決方案身份驗證使用PSK,並且僅允許單個SM-SR與eUICC通信。對于消費者解決方案,使用基于PKI的身份驗證,因此,只要它們共享相同的根PKI證書,任何eUICC和SM-DP +都可以連接。
兩種架構都需要GSMA證書頒發者(CI),頒發數字證書使實體能夠彼此安全通信,在消費者解決方案中,彼此可以相互進行身份驗證。
需要注意的是,盡管消費者和M2M解決方案之間存在架構上的相似之處,但它們在技術上有著本質的不同,並且在服務消費者和M2M服務的實現中不能重疊。
M2M解決方案獨特功能
在M2M中,一切都是遠程管理的,不需要人工幹預。
在M2M解決方案中,eUICC使用承載獨立協議(BIP)連接到SM-SR,其中底層承載可以是SMS、CAT_TP或TCP/IP。承載的選擇和終止可能會對下載的性能産生影響。M2M解決方案不需要設備適配。
M2M解決方案包括消費者解決方案中不需要的SM-SR。SM-SR充當從運營商和SM-DP到eUICC的網關。SM-SR擁有一個由其控制的所有eUICC數據庫和管理它們的密鑰。
SM-SR交換
消費者解決方案的獨特功能
在消費者解決方案中,最終用戶管理自己的設備及其中的配置文件。
消費者解決方案在設備(或eUICC)中有LPA,可以幫助下載配置文件並保護用于本地控制的設備上的最終用戶界面。
所有配置文件下載都使用IP協議,並且在適用的情況下使用更大的設備TCP/IP棧來減少通信開銷。
由于不能將消息推送到設備和eUICC,因此有一個“發現服務”,設備可以隨時隨地進行檢查,以查看是否有任何的配置文件或管理操作等待從SM-DP+下載。