Nieuwe embedded SIM (E-SIM)
Een abonnement op 2G/3G/4G communicatiediensten vereist een SIM in telefoon of tablet. Het uitgeven van zo’n SIM is beperkt tot bedrijven die een publieke ICT-dienst aanbieden. Omdat SURFnet haar diensten aan een gesloten doelgroep aanbiedt, was het moeilijk de vaste dienstverlening uit te breiden met mobiele dienstverlening. Mede vanwege de opmars van het internet-of-things, is de SIM veranderd.
De nieuwe embedded SIM, E-SIM kan worden geïntegreerd in een toestel en op afstand worden overschreven. Dit biedt niet alleen de mogelijkheid 2G/3G/4G diensten aan te bieden maar biedt ook tal van andere kansen.
Wisselen tussen mobiele operators
Verander je van operator (bijv. van KPN naar Vodafone) dan moet er nu een andere SIM in het apparaat worden gestopt. Elk apparaat (telefoon/tablet/slimme meter/navigatie/…) moet daarvoor worden opengemaakt en de SIM van de oude mobiele operator moet worden vervangen voor een SIM van een nieuwe operator. Dit is voor een consument niet zo’n probleem maar een omvangrijke operatie voor een (middel)grote instelling die haar medewerkers mobiele abonnementen verleent.
Het nieuwe E-SIM ontwerp werkt met profielen. Als SURFnet eigenaar zou worden van de SIM en de bijbehorende sleutels kan zij de SIM beheren en op afstand de profielen overschrijven. Het resultaat van de overschrijving is dat de telefoon gebruik maakt van het radionetwerk van een andere mobiele operator.
In de zomer van 2016 hebben we hier mee, samen met Aspider en BTG geëxperimenteerd. Het is gelukt om ‘over-the-air’ een ander profiel op de SIM te plaatsen en te activeren waardoor de eigenaar van het toestel migreerde van de ene Nederlandse mobiele operator naar een andere zonder de SIM te verwisselen. De resultaten beperkte zich tot Android toestellen (Android 5 en hoger) want iphones ondersteunen het ‘bearer independent protocol’ niet en dat is nodig om de SIM veilig te beheren.
Toegang tot eduroam via de SIM
Het primaire doel van de SIM is authenticatie bij een communicatienetwerk. Dit beperkt zich momenteel tot 2G/3G/4G maar dat hoeft niet! Doordat de SIM communiceert met de authenticatieservers die zijn verbonden met SURFnet, kunnen de encryptiesleutels op de SIM worden gebruikt voor authenticatie tot ieder netwerk, inclusief wifi (eduroam). Dit hebben we getest voor eduroam en werkt prima op zowel Android als iphone toestellen. Het is een kwestie van op het toestel EAP-SIM als authenticatiemethode te selecteren en het toestel komt online. Technisch werkt dit omdat de telecomindustrie hiervoor regels heeft ontworpen die goed aansluiten bij eduroam. Bij EAP-SIM ziet een network identifier er als volgt uit:
IMSI@wlan.mnc<MNC>.mcc<MCC>.3gppnetwork.org
Op onze ‘core eduroam proxies’ komen er dagelijks zo’n 15000 van dit soort verzoeken binnen. Die negeren we momenteel maar voor de SIMs in onze pilot sturen we ze middels RADIUS door naar dezelfde database als die ebruikt wordt voor het verkrijgen van toegang tot 2G/3G/4G netwerken. De encryptiesleutels op de SIM worden vergeleken met de afgeleide sleutels in die database. Net als nu gebeurt in de RADIUS-server van een instelling als iemand ergens op bezoek is waar eduroam wordt aangeboden. Het voordeel van de SIM als authenticatiemethode is dat de sleutels op de SIM veel veiliger zijn dan een combinatie username/password waardoor password retentie niet nodig is. Daarbij ontlast het de RADIUS servers van de instellingen.
Nadeel is dat de verzoeken naar een externe server worden gestuurd waar we de beschikbaarheid niet van weten. Daarom willen we een special eduroamprofiel op de SIM maken dat door een RADIUS server binnen SURFnet kan worden geverifieerd en los staat van de mobiele operator die 2G/3G/4G aanbiedt.
Vervolgstappen
Deze pilot was een eerste stap om de mogelijkheden van een eigen ‘SURFsim’ te verkennen. De evaluatie van het wisselen tussen operators toont dat het technisch kan maar toont ook dat het soms mis gaat. We willen inzicht waarom het mis gaat (timing, communicatie, invloed operating system/toestel??). Verder zien we nog veel meer kansen die eigenaarschap van een eigen SIM bieden: bijv. ‘two factor’-authenticatie, eigen certificaat in een secure element op de SIM, indoor communicatie, etc. We gaan die kansen samen met enkele instellingen verder uitdiepen.
Meer informatie
- Persbericht BTG 6 december 2016: E-SIM: de grootste telecomrevolutie sinds mobiele data
- Persbericht SURFnet/BTG 20 oktober 2016: SURFnet en BTG gaan strategische samenwerking aan.
- SURFnet’s Innovatieproject eSIM
Bron : Innovatieblog – Mobiel en draadvrij : SURFnet, Frans Panken