SIM, eSIM a identita

Posted on by Monika P.
SIM, eSIM a identita

SIM, eSIM a identita zařízení v ekosystému mobilních sítí

SIM (Subscriber Identity Module) je bezpečný prvek, který ukládá klíčové identifikátory a kryptografický materiál potřebný k ověření účastníka v mobilní síti. Moderní varianty zahrnují eSIM (embedded UICC) a nastupující iSIM (integrated UICC). Společně s identifikátory zařízení, jako je IMEI, tvoří páteř digitální identity pro 2G–5G sítě a přidružené služby IoT. Tento článek vysvětluje principy, architekturu, bezpečnost, životní cyklus i praktické aspekty nasazení.

Terminologie a základní pojmy

  • IMSI (International Mobile Subscriber Identity): jedinečný identifikátor účastníka. Z něj síť odvozuje domovského operátora.
  • ICCID (Integrated Circuit Card Identifier): výrobní/jedinečné číslo karty (SIM/eSIM profilu).
  • Ki/K: tajný klíč účastníka uložený v (e)UICC; společně s algoritmem (např. Milenage) slouží k autentizaci.
  • UICC: fyzická/virtuální karta hostící aplikace SIM/USIM/ISIM.
  • USIM/ISIM: aplikační profily pro 3G/4G/5G a IMS služby (VoLTE/VoNR).
  • IMEI/IMEISV: identifikátor koncového zařízení (terminálu), nikoliv účastníka.
  • EID: identifikátor čipu eUICC používaný při vzdáleném nahrávání profilů.
  • SUPI/SUCI (5G): anonymizovaná identita účastníka (SUCI) odvozená z SUPI/IMSI pomocí šifrování veřejným klíčem domovské sítě.

Form-faktory a vývoj: od plastové karty k čipu na SoC

  • Fyzická SIM: 1FF (full-size), 2FF (mini), 3FF (micro), 4FF (nano); průmyslové MFF2 (LGA) pro pájení na desku.
  • eSIM (eUICC): vestavěný čip v zařízení; profil(y) operátora se nahrávají vzdáleně (RSP – Remote SIM Provisioning).
  • iSIM (iUICC): funkce UICC integrována přímo do bezpečné domény SoC (TEE/SE). Cíl: menší spotřeba, nižší BOM, lepší odolnost a škálovatelnost pro IoT.

Jak SIM a eSIM fungují na úrovni ověřování

Při přihlášení zařízení do sítě probíhá vzájemná autentizace mezi USIM a jádrem sítě (AuC/HSS v 4G, UDM/AUSF/ARPF v 5G). Síť zašle výzvu (RAND), USIM vypočítá odpověď (RES/RES*) a odvodí klíče (CK/IK a následně KASME/KAMF). V 5G se používá EAP-AKA′ nad NAS/HTTP, identita se chrání přes SUCI. Tím vzniká důvěryhodný šifrovaný kanál (NAS/AS), z něhož se odvozují klíče pro RRC a UP (uživatelská data).

Role identifikace zařízení: IMEI, TAC a síťové identity

  • IMEI identifikuje hardwarové koncové zařízení. První část, TAC (Type Allocation Code), označuje typ/model. Operátoři využívají IMEI pro řízení přístupu (např. blokace odcizených telefonů) a optimalizaci sítě.
  • GUTI (4G) a 5G-GUTI: dočasné identifikátory přidělované sítí pro ochranu soukromí a mobilitu.
  • MAC/EUI-48/EUI-64 u Wi-Fi/BT/LPWAN modulů mohou doplňovat identitu v heterogenních zařízeních.

SIM Toolkit, BIP a aplikační ekosystém

UICC hostí aplikace (Java Card), které komunikují s ME (Mobile Equipment) přes SIM Toolkit (STK) a mohou využívat Bearer Independent Protocol (BIP) pro datové kanály. To umožňuje služby jako OTA správa, menu operátora, platební aplikace či IoT SAFE pro bezpečné klíče zařízení.

Vzdálené nahrávání profilů (RSP) a architektura eSIM

U eSIM se fyzická výměna karty nahrazuje Remote SIM Provisioning. Základní komponenty:

  • SM-DP+ (Subscription Manager – Data Preparation+): bezpečně připravuje a doručuje profily do eUICC.
  • SM-DS (Discovery Service): zprostředkuje nalezení dostupných profilů pro dané EID.
  • LPA (Local Profile Assistant): software v zařízení, který iniciuje stažení/aktivaci profilu (např. skenováním QR kódu nebo přes „Add eSIM”).

Existují dva hlavní provozní modely: Consumer (telefony, wearables, laptopy) s uživatelskou interakcí přes LPA a M2M/IoT s řízením přes platformu integrátora (bez zásahu koncového uživatele). U IoT je běžná strategie bootstrap profilu pro počáteční konektivitu a následnou vzdálenou přeregistraci na cílového operátora.

Životní cyklus SIM/eSIM profilu

  1. Personalizace: generace IMSI a klíčů, mapování na EID/ICCID, nahrání do SM-DP+.
  2. Doručení: zařízení přes LPA/napojení na SM-DS vyžádá profil; ověřování proběhne pomocí certifikátů a bezpečných kanálů (SCP/HTTPS).
  3. Aktivace: profil se přepne do stavu enabled; USIM je vybrán jako primární pro mobilní datové a hlasové služby.
  4. Správa: aktualizace, přepínání mezi více profily, pozastavení, smazání. U eSIM lze uchovávat více profilů, ale aktivní je typicky jeden na aplikační slot.
  5. Deaktivace a převod: odinstalace profilu při změně zařízení nebo operátora; bezpečné vymazání klíčů.

Bezpečnostní architektura a kryptografie

  • Bezpečný element: UICC/eUICC je certifikovaná čipová karta (Common Criteria), odolná proti fyzickým útokům.
  • Algoritmy: Milenage/AKA, v 5G EAP-AKA′, šifrování SUCI veřejným klíčem HN. Klíče se nikdy neopouštějí UICC.
  • OTA: zabezpečené kanály (např. SCP03) pro správu appletů a profilů; auditovatelnost operací.
  • Ochrana soukromí: dočasné identifikátory (GUTI), šifrovaná identita v 5G, politika přístupu k IMEI/IMSI na platformách OS.

Dual SIM, DSDS/DSDA a více profilů

Moderní telefony podporují Dual SIM Dual Standby (DSDS) – dvě identity v pohotovosti sdílející RF řetězec; pouze jedna je aktivní při hovoru/datích. DSDA (Dual Active) umožňuje souběžnou aktivní činnost obou linek. U eSIM lze kombinovat fyzickou nano-SIM + eSIM profil nebo více eSIM profilů, z nichž současně bývá aktivní jeden na rádio-doménu, dle implementace chipsetu a OS.

Identifikace v sítích 5G a dopad na IoT

V 5G se zavádí SUPI/SUCI pro ochranu identity a oddělení ověřovacích funkcí (AUSF/UDM). Pro IoT nasazení (NB-IoT, LTE-M) je eSIM/eUICC klíčová díky škálovatelnosti a logistice – není nutné fyzicky manipulovat s kartou, což je důležité u zařízení utěsněných, masově nasazovaných či geograficky rozptýlených.

eSIM v praxi: aktivace přes QR kód, přenositelnost a roaming

  • QR aktivace: uživatel naskenuje kód obsahující SM-DP+ adresu a aktivační kód; LPA provede stažení a aktivaci profilu.
  • Přenositelnost: profily lze odinstalovat a znovu nainstalovat do nového zařízení (omezeno politikou operátora a platností aktivačního kódu).
  • Roaming a multi-IMSI: pro globální M2M lze využít profily s více IMSI či vzdálené přemapování na lokálního operátora kvůli regulaci a cenám.

Identita zařízení vs. identita účastníka: rozdíly a vazby

IMEI (hardware) a IMSI/SUPI (účastník) jsou logicky oddělené identity. Síť může kontrolovat kombinaci (např. povolené modemy pro VoLTE/VoNR). V podnikových a IoT scénářích se k těmto identitám mapují aplikační identity (certifikáty, tokeny), což umožňuje zero-touch onboarding a end-to-end bezpečnost nad rámec mobilní vrstvy.

SIM pro IMS: VoLTE/VoWiFi/VoNR a ISIM

Pro volání a zprávy přes IP Multimedia Subsystem (IMS) SIM uchovává potřebné parametry (IMPI/IMPU, domény, bezpečnost). Autentizace probíhá zpravidla metodou AKA a odvozenými klíči; to umožňuje služby VoLTE (4G) a VoNR (5G) i nouzové volání s přesnou lokalizací.

iSIM a budoucnost integrované identity

iSIM integruje funkce UICC do izolované bezpečné oblasti SoC. Přináší úsporu prostoru/energie, jednodušší výrobu a potenciálně vyšší odolnost. Pro masové IoT nasazení a miniaturní senzory je iSIM atraktivní, současně však zvyšuje nároky na výrobní řetězec (nulové dotyky, zabezpečení během produkce) a na standardizaci RSP pro iUICC.

Regulační a provozní aspekty

  • Lawful Intercept a uchovávání dat: operátoři musí splňovat povinnosti dle místní legislativy; SIM/eSIM identita a mapování na IMSI/IMEI jsou klíčová.
  • Nouzové služby: přístup k tísňovým linkám i bez aktivního profilu či SIM (v rámci regulí), lokalizační povinnosti.
  • Blokace zařízení: databáze kradených IMEI (CEIR/blacklist) s dopadem na přístup do sítě.

Best practices pro podniky a IoT integrátory

  • Volba form-faktoru: MFF2 či eSIM/iSIM pro drsné prostředí; nano-SIM pro snadný servis.
  • Bootstrap + lokální profil: zkraťte aktivaci v terénu, minimalizujte roamingové náklady.
  • Bezpečnostní politika: správa klíčů, OTA operace, audit; využití IoT SAFE pro aplikační certifikáty.
  • Telemetrie a inventář: evidujte EID/ICCID/IMSI/IMEI, firmware modemu, podporované pásma a RAT.
  • Testování: ověřte chování DSDS, fallback mezi 2G/3G/4G/5G, podporu NB-IoT/LTE-M, IMS kompatibilitu.

Časté problémy a jejich diagnostika

  • „No SIM / No Service“: zkontrolujte aktivní profil, zamknutí (PIN/PUK), správnost SM-DP+ a signál/pásma.
  • Data nefungují: ověřte APN/IMS profil, povolení datového roamingu, podporu VoLTE/VoNR a registraci do EPC/5GC.
  • Aktivace eSIM selže: vypršel aktivační kód, problém s LPA/OS, blokace na Wi-Fi captive portálu; řešení: switch na mobilní data, opakovat provisioning.
  • IoT zařízení se nepřeregistruje: chybějící vzdálené oprávnění pro profil-switch, nedostupný SM-DS, nevhodná rádiová konfigurace (např. jen NB-IoT bez pokrytí).

Srovnávací tabulka: SIM vs. eSIM vs. iSIM

Vlastnost Fyzická SIM eSIM (eUICC) iSIM (iUICC)
Nasazení Výměna karty Vzdálené profily (RSP) Integrované do SoC
Více profilů Ne (1 karta = 1 profil) Ano (více uložených, 1 aktivní) Ano (dle implementace)
Odolnost/servis Citlivé na kontakt/slot Bez slotu, pájené MFF2 Bez samostatného čipu
Bezpečnost SE, certifikace CC SE + RSP, silné OTA SE v SoC, vyšší integrace
Vhodnost pro IoT Nižší (logistika) Vysoká (škálovatelnost) Velmi vysoká (ultra-low BOM)

Trendy a výhled

  • Masové přijetí eSIM v telefonech, hodinkách, noteboocích; postupně i v SIM-only zemích s regulací přenositelnosti.
  • iSIM pro senzory a průmyslové moduly s důrazem na energetickou efektivitu, bezpečné výrobní řetězce a plně automatizované RSP.
  • IoT SAFE a aplikační klíče v UICC pro end-to-end šifrování nad mobilní sítí, standardizace rozhraní a API.
  • Pokročilé soukromí v 5G/6G: širší používání anonymizace identit, post-quantum kryptografie v budoucnu pro SUCI/EAP.

Závěr

SIM, eSIM a iSIM tvoří vývojovou linii bezpečné identity účastníka, zatímco IMEI reprezentuje identitu zařízení. Přechod od plastové karty ke vzdáleně spravovaným a integrovaným řešením umožňuje škálovat mobilní služby od chytrých telefonů až po miliardy IoT uzlů. Správná volba form-faktoru, bezpečnostní politiky a RSP architektury je klíčová pro spolehlivost, náklady i dlouhodobou udržitelnost nasazení.

Related Posts

Správa súhlasov

Správa súhlasov

Ako získať a spravovať súhlasy používateľov cez CMP a double opt-in, s jasným odhlásením a logovaním, aby bola personalizácia férová aj auditovateľná.

Súkromné statky

Úvod k Súkromným Statkom Súkromné statky predstavujú dôležitý aspekt v ekonomickej sfére, a to sú statky, ktoré sú exkluzívne vlastnené jednotlivcami alebo súkromnými subjektmi a […]

Štýl autorov

Štýl autorov

Analýza štýlu vybraných autorov slovenskej literatúry. Poetika, tematika a jazykové postupy v historickom vývine.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *