自建 eSIM RSP 服务指南

一、 自建 eSIM RSP 服务的必要性评估

在决定是否自建 RSP（远程 SIM 配置）服务时，企业需要全面了解其带来的利弊。以下是核心要点：

1. GSMA 安全认证 (SAS-SM) 的重要性

• 目的: 确保 RSP 服务符合全球移动网络运营商 (MNO) 对安全性的期望。

• 影响:

  • 相比未获得 GSMA 认证的方案，SAS-SM 认证增加了基础设施的复杂性。
  • 企业需进行安全审计，以获得 RSP 系统证书，才能与开放的 eSIM 生态系统进行交互。

• 趋势:

  • 随着 eSIM 的普及和云基础设施的采用，自建 RSP 服务的案例越来越多，不仅适用于基础设施和服务提供商，也适用于移动网络运营商本身。
  • 对于希望在内部网络中托管 RSP 服务的 MNO 来说，SAS-SM 审计的必要性尚不明确，未来可能采用简化版或无需审计即可获得 RSP 系统证书。

2. 自建 vs. 云托管

• 自建基础设施:

  • 优点: 完全控制硬件资源、数据存储和安全性。
  • 缺点:
    • 成本高：需购买硬件、租赁安全场地、雇佣专业技术人员。
    • 维护复杂：需自行管理数据中心基础设施。
  • 趋势: 许多企业已开始向云迁移。

• 云部署选项:

  • 私有云:
    • 特点: 在私有网络上维护服务和基础设施，仅供单一组织使用，可位于本地或由第三方托管。
    • 认证: 需要对私有云站点进行 SAS-SM 安全认证。
  • 公共云:
    • 特点: 由第三方服务提供商（如 IBM Cloud、Microsoft Azure、AWS 和 Google Cloud）通过互联网向多个租户提供计算资源。
    • 优势: 一些公共云提供商在特定地区提供 SAS-SM 认证的数据中心，是托管 RSP 解决方案的理想选择。
  • 混合云:
    • 特点: 将数据和应用分布在私有云和公共云之间，适用于需要利用现有基础设施或遵守数据主权法规的特定情况。

二、 eSIM RSP 软件架构设计

1. 从单体应用到微服务架构的转变

• 传统单体应用:

  • 特点: 生命周期长，更新不频繁，变更通常影响整个应用。
  • 缺点:
    • 扩展性差：添加新功能需重新配置和更新整个技术栈，耗时且成本高。
    • 部署周期长：阻碍产品上市时间和应用开发更新。

• 微服务架构:

  • 概念: 将应用分解为独立、松耦合、可单独部署的服务。
  • 优势:
    • 灵活性高：每个服务可以独立扩展或更新，而不会干扰应用中的其他服务。
    • 部署效率高：支持快速、频繁和可靠的交付大型复杂应用。

• 容器化:

  • 概念: 一种轻量级且高效的应用打包和运行环境。
  • 优势:
    • 跨环境可移植：应用可以轻松地在不同环境中移动并独立运行。
    • 资源利用率高：除了服务器上的共享操作系统外，所有运行应用所需的组件（代码、运行时环境、系统工具、库和依赖项）都打包在容器中。

2. 系统工具推荐

• 容器化工具:
  • Docker: 用于构建和运行容器化软件。
• 容器编排工具:
  • Kubernetes: 用于管理容器化应用的部署、扩展和管理。
• 数据库:
  • PostgreSQL (Postgres): 强调可扩展性和 SQL 兼容性的开源关系型数据库管理系统 (RDBMS)。
• 监控工具:
  • Prometheus: 监控和警报工具包，包括时间序列数据库和用于收集应用或服务器指标的组件。
  • Grafana: 仪表板工具，可从 Prometheus 等不同来源的数据创建可视化仪表板。
• 日志管理:
  • ELK Stack: 由 Elasticsearch（搜索和分析引擎）、Logstash（数据收集引擎）和 Kibana（可视化界面）组成，用于收集和分析服务器和应用的日志文件。
• Web 服务器:
  • Nginx: 开源 Web 应用服务器，专注于支持多语言、基于微服务的应用。

三、 GSMA 系统证书与 RSP 服务提供

• GSMA SAS-SM 审计:

  • 适用于所有提供 RSP 服务的公司，无论其资源或经验如何。
  • 目的是评估 SIM 和 eSIM 供应商以及 eSIM 订阅管理服务提供商的安全性。
  • 成功通过审计后，公司才能获得 RSP 系统证书，从而与开放的 eSIM 生态系统进行交互。

• MNO 内部托管 RSP 服务的认证趋势:

  • 考虑到 SAS-SM 审计本质上是针对外部供应商的供应商认证程序，对于希望在内部网络中托管 RSP 服务的 MNO 来说，其必要性尚不明确。
  • 未来，MNO 可能无需或仅需进行简化版的 SAS-SM 审计即可获得 RSP 系统证书。

四、 MNO 配置文件 (MNO Profile)

1. eSIM 架构中的安全域

• MNO-SD (MNO 安全域): 代表 MNO 管理配置文件中的应用，类似于 SIM 上的 ISD (发行者安全域)。
• NAA (网络接入应用): 例如 SIM 和 USIM，由设备选择以接入相关移动网络。
• 文件系统: 包含存储订阅者和网络信息的数据文件。
• 小程序 (可选): MNO 可能希望在配置文件中执行的附加功能的程序，例如优选漫游合作伙伴的引导。

2. 标准化配置文件描述

• 为了确保 MNO 配置文件能够在不同供应商的系统之间兼容，行业同意使用 TCA（可信连接联盟）定义的“互操作性配置文件包描述”规范来描述其内容。

3. eSIM 对 MNO 配置文件的影响

• 打破硬件与数字配置文件的绑定:

  • eSIM 打破了塑料 SIM 卡将数字配置文件与芯片硬件捆绑在一起的模式。
  • 减少了将不必要的内存占用功能纳入配置文件的动机。

• 更高效的开发模式:

  • 出现了一类新的专业公司，提供 MNO 配置文件开发服务或通过开放市场工具进行开发。
  • 这种模式更高效，并使 MNO 能够完全拥有自己的配置文件。

• 减少配置文件中的冗余功能:

  • 智能手机的普及使得许多功能转移到设备上，尤其是与个人订阅者数据相关的功能。
  • 例如，复杂的电话簿结构通常定义在 MNO 配置文件中，占用了一半的内存，而智能手机已经以更方便的方式管理此功能。

五、 总结

本篇博客详细介绍了自建 eSIM RSP 服务的关键要素，包括：

• 基础设施部署选项（私有云、公共云、混合云）以及 SAS-SM 安全认证的重要性。
• 从单体应用到微服务架构的转变，以及容器化技术的优势。
• 推荐的系统工具，包括 Docker、Kubernetes、PostgreSQL、Prometheus、Grafana、ELK Stack 和 Nginx。
• GSMA 系统证书的获取及其对 MNO 内部托管 RSP 服务的影响。
• eSIM 对 MNO 配置文件的影响，以及更高效的开发模式和更少的冗余功能。

这些信息为企业评估和实施自建 eSIM RSP 服务提供了宝贵的指导。