SIM karty, eSIM a správa identity zařízení

Trener

SIM, eSIM a identita zařízení v ekosystému mobilních sítí

SIM (Subscriber Identity Module) je zabezpečený prvek, který uchovává klíčové identifikátory a kryptografické materiály nezbytné pro ověření účastníka v mobilní síti. Moderní varianty zahrnují eSIM (embedded UICC) a nástupnický iSIM (integrated UICC). Společně s identifikátory zařízení, jako je IMEI, tvoří páteř digitální identity pro sítě 2G–5G a přidružené IoT služby. Tento článek vysvětluje principy, architekturu, bezpečnost, životní cyklus i praktické aspekty nasazení.

Terminologie a základní pojmy

  • IMSI (International Mobile Subscriber Identity): jedinečný identifikátor účastníka. Síť z něj vyvozuje domovského operátora.
  • ICCID (Integrated Circuit Card Identifier): výrobní/jedinečné číslo karty (SIM/eSIM profilu).
  • Ki/K: tajný klíč účastníka uložený v (e)UICC; spolu s algoritmem (např. Milenage) slouží k autentizaci.
  • UICC: fyzická nebo virtuální karta hostující aplikace SIM/USIM/ISIM.
  • USIM/ISIM: aplikační profily pro 3G/4G/5G a IMS služby (VoLTE/VoNR).
  • IMEI/IMEISV: identifikátor koncového zařízení (terminálu), nikoli účastníka.
  • EID: identifikátor čipu eUICC používaný při vzdáleném nahrávání profilů.
  • SUPI/SUCI (5G): anonymizovaná identita účastníka (SUCI) odvozena ze SUPI/IMSI pomocí šifrování veřejným klíčem domovské sítě.

Form-faktory a vývoj: od plastové karty k čipu na SoC

  • Fyzická SIM: 1FF (full-size), 2FF (mini), 3FF (micro), 4FF (nano); průmyslové MFF2 (LGA) pro pájení na desku.
  • eSIM (eUICC): vestavěný čip v zařízení; profil(y) operátora se nahrávají vzdáleně (RSP – Remote SIM Provisioning).
  • iSIM (iUICC): funkce UICC integrovaná přímo do bezpečné domény SoC (TEE/SE). Cíl: nižší spotřeba, menší výrobní náklady (BOM), lepší odolnost a škálovatelnost pro IoT.

Jak SIM a eSIM fungují na úrovni ověřování

Při přihlášení zařízení do sítě probíhá vzájemná autentizace mezi USIM a jádrem sítě (AuC/HSS v 4G, UDM/AUSF/ARPF v 5G). Síť zašle výzvu (RAND), USIM vypočítá odpověď (RES/RES*) a derivuje klíče (CK/IK a následně KASME/KAMF). V 5G se používá EAP-AKA′ nad NAS/HTTP, přičemž identita je chráněna pomocí SUCI. Tím vzniká důvěryhodný šifrovaný kanál (NAS/AS), z něhož se odvozují klíče pro RRC a uživatelská data (UP).

Role identifikace zařízení: IMEI, TAC a síťové identity

  • IMEI identifikuje hardwarové koncové zařízení. První část, TAC (Type Allocation Code), označuje typ/model. Operátoři využívají IMEI pro řízení přístupu (např. blokace odcizených zařízení) a optimalizaci sítě.
  • GUTI (4G) a 5G-GUTI: dočasné identifikátory přidělované sítí pro ochranu soukromí a mobilitu.
  • MAC/EUI-48/EUI-64 u modulů Wi-Fi/BT/LPWAN mohou doplňovat identitu v heterogenních zařízeních.

SIM Toolkit, BIP a aplikační ekosystém

UICC hostí aplikace (Java Card), které komunikují s ME (Mobile Equipment) přes SIM Toolkit (STK) a mohou využívat Bearer Independent Protocol (BIP) pro datové kanály. To umožňuje služby jako OTA správa, menu operátora, platební aplikace či IoT SAFE pro bezpečné klíče zařízení.

Vzdálené nahrávání profilů (RSP) a architektura eSIM

U eSIM je fyzická výměna karty nahrazena Remote SIM Provisioning. Základní komponenty jsou:

  • SM-DP+ (Subscription Manager – Data Preparation+): bezpečně připravuje a doručuje profily do eUICC.
  • SM-DS (Discovery Service): zprostředkovává nalezení dostupných profilů podle EID.
  • LPA (Local Profile Assistant): software v zařízení, který iniciuje stažení a aktivaci profilu (např. přes skenování QR kódu nebo volbu „Add eSIM“).

Existují dva hlavní provozní modely: Consumer (telefony, wearables, notebooky) s uživatelskou interakcí přes LPA a M2M/IoT s řízením prostřednictvím platformy integrátora (bez zásahu koncového uživatele). U IoT je běžná strategie bootstrap profilu pro počáteční konektivitu a následnou vzdálenou přeregistraci na cílového operátora.

Životní cyklus SIM/eSIM profilu

  1. Personalizace: generace IMSI a klíčů, mapování na EID/ICCID, nahrání do SM-DP+.
  2. Doručení: zařízení přes LPA nebo integraci na SM-DS vyžádá profil; ověřování probíhá pomocí certifikátů a zabezpečených kanálů (SCP/HTTPS).
  3. Aktivace: profil se přepne do stavu enabled; USIM je nastaven jako primární pro mobilní datové a hlasové služby.
  4. Správa: aktualizace, přepínání mezi více profily, pozastavení, smazání. U eSIM lze uchovávat více profilů, ale typicky je aktivní jen jeden na aplikačním slotu.
  5. Deaktivace a převod: odinstalace profilu při změně zařízení nebo operátora; bezpečné vymazání klíčů.

Bezpečnostní architektura a kryptografie

  • Bezpečný element: UICC/eUICC je certifikovaná čipová karta (Common Criteria), odolná vůči fyzickým útokům.
  • Algoritmy: Milenage/AKA, v 5G EAP-AKA′, šifrování SUCI veřejným klíčem domovské sítě. Klíče nikdy neopouštějí UICC.
  • OTA: zabezpečené kanály (např. SCP03) pro správu appletů a profilů; auditovatelnost operací.
  • Ochrana soukromí: dočasné identifikátory (GUTI), šifrovaná identita v 5G, politika přístupu k IMEI/IMSI na úrovni operačních systémů.

Dual SIM, DSDS/DSDA a více profilů

Moderní telefony podporují Dual SIM Dual Standby (DSDS) – dvě identity v pohotovosti sdílející RF řetězec, přičemž pouze jedna je aktivní při hovoru nebo datovém přenosu. DSDA (Dual Active) umožňuje souběžný provoz obou linek. U eSIM lze kombinovat fyzickou nano-SIM s eSIM profilem nebo mít více eSIM profilů, přičemž současně bývá aktivní jeden na radio-doménu podle implementace chipsetu a operačního systému.

Identifikace v sítích 5G a dopad na IoT

V 5G se zavádí SUPI/SUCI pro ochranu identity a oddělení ověřovacích funkcí (AUSF/UDM). Pro IoT nasazení (NB-IoT, LTE-M) je eSIM/eUICC klíčová díky škálovatelnosti a logistice – fyzická manipulace s kartou není potřebná, což je výhodné u zařízení utěsněných, masově nasazovaných či geograficky rozptýlených.

eSIM v praxi: aktivace přes QR kód, přenositelnost a roaming

  • QR aktivace: uživatel naskenuje QR kód obsahující adresu SM-DP+ a aktivační kód; LPA provede stažení a aktivaci profilu.
  • Přenositelnost: profily lze odinstalovat a znovu nainstalovat do nového zařízení (omezeno politikou operátora a platností aktivačního kódu).
  • Roaming a multi-IMSI: pro globální M2M lze využít profily s více IMSI nebo vzdálené přemapování na lokálního operátora kvůli regulaci a cenám.

Identita zařízení vs. identita účastníka: rozdíly a vazby

IMEI (hardware) a IMSI/SUPI (účastník) představují logicky oddělené identity. Síť může kontrolovat jejich kombinaci (např. povolené modemy pro VoLTE/VoNR). V podnikových a IoT scénářích se k těmto identitám mapují aplikační identity (certifikáty, tokeny), což umožňuje zero-touch onboardig a end-to-end bezpečnost nad rámec mobilní vrstvy.

SIM pro IMS: VoLTE/VoWiFi/VoNR a ISIM

Pro volání a zprávy přes IP Multimedia Subsystem (IMS) SIM uchovává nezbytné parametry (IMPI/IMPU, domény, bezpečnost). Autentizace probíhá metodou AKA a odvozenými klíči; to umožňuje služby VoLTE (4G), VoNR (5G) i nouzové volání s přesnou lokalizací.

iSIM a budoucnost integrované identity

iSIM integruje funkce UICC do izolované bezpečné oblasti procesoru SoC. Přináší úsporu místa a energie, zjednodušuje výrobu a potenciálně zvyšuje odolnost. Pro masové IoT nasazení a miniaturní senzory je iSIM atraktivní, avšak zvyšuje nároky na výrobní řetězec (nulové dotyky, zabezpečení během produkce) a na standardizaci RSP pro iUICC.

Regulační a provozní aspekty

  • Lawful Intercept a uchovávání dat: operátoři musí splňovat povinnosti dle místní legislativy; SIM/eSIM identita a její mapování na IMSI/IMEI jsou klíčová.
  • Nouzové služby: přístup k tísňovým linkám i bez aktivního profilu či SIM (v rámci legislativních regulací), lokalizační povinnosti.
  • Blokace zařízení: databáze odcizených IMEI (CEIR/blacklist) s dopadem na přístup do sítě.

Best practices pro podniky a IoT integrátory

  • Volba form-faktoru: MFF2 nebo eSIM/iSIM pro náročné prostředí; nano-SIM pro snadnou servisovatelnost.
  • Bootstrap + lokální profil: zkrácení aktivace v terénu, minimalizace roamingových nákladů.
  • Bezpečnostní politika: správa klíčů, OTA operace, audit; využití IoT SAFE pro aplikační certifikáty.
  • Telemetrie a inventář: evidence EID/ICCID/IMSI/IMEI, firmware modemu, podporovaná pásma a rádiové technologie (RAT).
  • Testování: ověření chování DSDS, fallback mezi 2G/3G/4G/5G, podpora NB-IoT/LTE-M, kompatibilita IMS.

Časté problémy a jejich diagnostika

  • „No SIM / No Service“: zkontrolujte aktivní profil, stav PIN/PUK, správnost SM-DP+ a signál/pásma.
  • Data nefungují: ověřte APN/IMS profil, povolení datového roamingu, podporu VoLTE/VoNR a registraci do EPC/5GC.
  • Aktivace eSIM selže: vypršel aktivační kód, problém s LPA/OS, blokace Wi-Fi captive portálem; doporučené řešení: přepnout na mobilní data, opakovat provisioning.
  • IoT zařízení se nepřeregistruje: chybějící vzdálené oprávnění pro přepnutí profilu, nedostupný SM-DS, nevhodná rádiová konfigurace (např. pouze NB-IoT bez pokrytí).

Srovnávací tabulka: SIM vs. eSIM vs. iSIM

Vlastnost Fyzická SIM eSIM (eUICC) iSIM (iUICC)
Nasazení Výměna karty Vzdálené profily (RSP) Integrované do SoC
Více profilů Ne (1 karta = 1 profil) Ano (více uložených, 1 aktivní) Ano (dle implementace)
Odolnost/servis Citlivé na kontakt/slot Bez slotu, pájené MFF2 Bez samostatného čipu
Bezpečnost SE, certifikace CC SE + RSP, silné OTA SE v SoC, vyšší integrace
Vhodnost pro IoT Nižší (logistika) Vysoká (škálovatelnost) Velmi vysoká (ultra-low BOM)

Trendy a výhled

  • Masové přijetí eSIM

Súvisiace články

Odpočet daně a daňové přiznání k DPH

Správný odpočet DPH snižuje daňové zatížení plátců a je podmíněn reálným využitím vstupu pro zdanitelná plnění, splněním formálních náležitostí a případným krácením podle koeficientu. Nárok se uplatňuje v daňovém přiznání za období vzniku p