面向eSIM宿主的SM-DP+拓扑与租户隔离

运营商自建托管的 eSIM 面向 MVNE/MVNO 租户，成败取决于所选的 SM-DP+ 设计、证书范围与生命周期控制。锚点在 SM-SR 权限，但经济与运营形态由SM-DP+入站、存储与发现对齐来决定。选择合适的 SM-DP+ 拓扑，并证明多租户SM-SR隔离，将决定上线速度、事故波及半径与审计范围。本文展开瓶颈何处出现、如何进行容量规划，以及当SM-DP+拓扑为共享时，何为干净的 SM-DS 发现在SM-DP+拓扑共享时应如何呈现。

信任映射与控制平面：SM-DP+、SM-SR、eUICC、LPA

在选择拓扑前，宿主需要先绘制信任映射。GSMA SGP.21 与 SGP.22 定义了协议路径，但不决定商业风险归属。风险由证书托管、审计边界，以及租户权限如何在 eUICC、LPA、SM-DP+与SM-SR域之间得到反映来确定。

应将SM-SR视为启用、停用与绑定的权威。租户隔离不能仅靠一个tenant_id字段，应锚定至 EID 范围、ISD-R 策略，以及明确的 API 租户边界。任何可对超出租户领域的EID发起寻址的SM-SR调用，均属于控制平面缺陷，即便未暴露任何配置档内容。

在SM-DP+侧，于RSP API上终止 TLS 并启用 mTLS。将 DSC 私钥保存在 FIPS L3级别的 HSM 分区中（当租户风险模型需要时）。OCSP 与 CRL 处理应有明确边界，而非临时拼接。短OCSP缓存与stapling可在服务降级时减少对响应方的依赖；当吊销检查退化时，CRL仍是兜底。

适用GSMA规范

SGP.21, SGP.22, SAS-SM

信任锚

EUM根，CI委派证书

HSM策略

FIPS 140-2/3 L3；可选按租户划分分区

OCSP/CRL策略

OCSP stapling + 5–15分钟缓存，CRL作为兜底

证书轮换

TLS 90天；DSC 24–36个月，分阶段切换

数据角色也应写入架构资料包，而非法律附件。RSP元数据、激活码与设备标识在若干市场会被视为个人数据。应在接入租户前确定合法监听、审计导出与保留策略。用户路径亦需明确：优先SM-DS发现，其次为QR兜底；并确保激活码域名路由至预期的SM-DP+，而非共享默认端点。

面向运营商宿主租户的三种SM-DP+部署拓扑

第一种模式是共享的多租户SM-DP+。一个PKI域、一个配置档存储与一个入站层服务多个租户。其运营成本最低，因为工作池、监控、证书操作与存储生命周期控制皆可共享。权衡在于更广的故障面：若无早期入站配额约束，畸形的租户侧回调、HSM并发峰值或配置档打包缺陷都可能压垮公共平面。

第二种模式是按租户虚拟化的SM-DP+。每个租户在公共入站层之后获得隔离实例或命名空间。这会提升实例数量，并增加证书、HSM分区与发行管理工作量。但它为受监管租户与具有强烈首发峰值的品牌提供了更清晰的爆炸半径边界。对于一家在EMEA服务12+租户的MVNE，此模式常成为折中：运维共享，但配置档存储隔离，并施加租户级速率限制。

第三种模式是外部合作方的SM-DP+配合运营商自建SM-SR。它将DP+运行与打包负载移出宿主的直接Runbook，但并不移除在发现对齐、租户上线或审计证据方面的责任。合同需明确由哪一方负责SM-DS注册、证书轮换、配置档保留、事故通知与失败下载结算。

拓扑在发现阶段最为可见。激活码域名必须映射到租户端点，SM-DS注册更新的操作控制应与DNS TTL匹配。迁移后，过期的域名可能延长误路由。配置档包应以租户级密钥做静态加密，并按租户限速并发下载，以保护对象存储、HSM签名操作与数据库锁。

{
  "tenantRoutes": [
    {
      "tenantId": "tenant-emea-07",
      "eidPrefix": "89049032",
      "mccMnc": ["23450", "26209"],
      "activationRealm": "rsp.tenant-emea-07.example",
      "smdpEndpoint": "https://dpplus-emea-07.rsp.example/gsma/rsp2"
    },
    {
      "tenantId": "tenant-apac-02",
      "eidPrefix": "89049088",
      "mccMnc": ["52512"],
      "activationRealm": "rsp.tenant-apac-02.example",
      "smdpEndpoint": "https://dpplus-apac-02.rsp.example/gsma/rsp2"
    }
  ],
  "defaultAction": "reject"
}

默认动作很关键。共享入站层应拒绝不匹配的 MCC/MNC 或EID范围，而非回落到通用SM-DP+端点。静默回落在测试期看似便捷，商业上线时会变得昂贵。

多租户SM-SR的设计：避免跨租户外溢

多租户SM-SR集中了承权。它绑定配置档，执行启用与停用，并记录租户用于对账客户、设备与计费的状态变更。设计上应按EID范围与服务的MNC/MCC将每个ISD-R绑定到唯一租户。白名单应阻断意外附着到非预期领域的租户。这不仅是安全控制，也能避免大批量开通窗口后的审计争议。

生命周期事件应建模为对租户 BSS/OSS 与 OCS 域的幂等webhook：下载、绑定、启用、停用、删除事件都需要租户相关ID、重放防护与序列号。租户必须能够回放一天的事件而不改变计费状态；反之，宿主必须能证明一次重试并未重复执行同一SM-SR操作。

将 MNP 与设备更换逻辑同RSP状态解耦。SM-DP+下发配置档素材，SM-SR编排启用/停用。携号转网事件可以触发配置工作流，但不等同于配置档生命周期事件。二者混淆会产生孤立配置档、错误的计费触发与混乱的租户支撑路径。

保留与导出设计同样需要精准边界。 LAES 范围、SM-SR事件元数据与租户审计提取应遵循宿主策略，同时保持租户级可分离性。某家Tier-2 MNO，东南亚，约800万用户，发现租户审计证据的批准耗时长于API集成，原因在于未按每份租户合同映射数据保留等级。

灾备是排序问题。双站点SM-SR设计需要对齐数据库预写状态与消息偏移，收敛序列窗口以防故障切换后双重执行。在OEM批量上线期间，需严密监控EID前缀；冲突或误录范围会在高峰窗口将配置档路由至错误租户，直到激活支持工单出现才被感知。

配置工作流、发现与结算触点

配置早于设备与RSP对话之前就开始。激活码可为一次性或池化，TTL窗口应由反欺诈偏好与预期渠道时延决定。预配置检查应在发码前确认KYC、库存状态与OCS资格。一次失败下载是有成本的：SM-DS查询、配置档预留、存储读取、HSM操作与支持处理。

在SGP.22流程中，启用发现时，LPA首先抵达SM-DS。随后激活码域名必须落到目标SM-DP+。QR兜底应使用短TTL，且不应长于发现状态。这对租户迁移尤为重要，因旧的QR素材与已缓存的域名可能让设备继续指向已退役端点。

回调是计费完整性的一部分。RSP应发送downloadProgress与最终结果事件，并附带幂等键。租户需要去重这些事件，避免重试造成双重计费或孤立客户状态。重试与退避策略应尊重设备端计时器，并在Wi-Fi或无线链路暂态劣化时限制尝试次数。无限重试会消耗运维能力，并可能长时间占用永不转化的许可证。

{
  "eventType": "profileDownloadResult",
  "eventId": "9f4c7b6e-3d1a-4f3f-94df-0c81b4d1a912",
  "tenantId": "tenant-emea-07",
  "correlationId": "order-7844129",
  "eid": "89049032123456789012345678901234",
  "iccid": "8944501234567890123",
  "result": "SUCCESS",
  "resultCode": "RSP-2000",
  "attempt": 1,
  "completedAt": "2026-05-07T08:41:23Z"
}

随后结算需要明确计费基础。有的合同仅计费成功下载；也有计费过期令牌、已预留库存、配置档存储，或超阈值重试。一家Greenfield MVNO，2023年后，多-IMSI 栈，可以用不同方式吸收配置档库存成本；而成熟宿主可能持有数百万休眠eSIM配置档。选择错误的计费单元，会让单元经济性在一季内变得不透明。

许可证模型

按激活计费 vs 按库存槽位计费

发现费用

SM-DS注册与按查询计费（合同约定）

HSM运维

模块资本开支、RMA运营开支、固件审计

DC足迹

双站点计算 + 加密对象存储

合规成本

SAS-SM审计、渗透测试、数据属地化

NOC覆盖

7x24监控，按租户的合成激活

容量规划、SLO与故障场景

容量规划应从首发行为而非月均激活量出发。设备促销、OEM发布、零售上新与号码迁移窗口会形成短时峰值，暴露隔离薄弱处。DP+无状态工作进程可横向扩展，但数据库、对象存储、HSM分区与SM-SR序列通常决定实际上限。于上线窗口前预热令牌池与租户缓存。

按拓扑设定明确的 SLO 目标。务实基线为：首次尝试成功率96–98%，本区域DP+首字节时间中位小于300毫秒，webhook月度投递可用性99.9%（含重试）。这些指标应按租户度量，而非仅按平台度量。共享平台可能总体健康，但单个租户会因证书、域名或配额缺陷而被阻断。

爆炸半径控制应放在入站层。按租户限速、断路器、存储配额与HSM并发上限，可防止某一租户的首发冲击劣化其他租户的激活路径。应明确韧性目标：许可证与令牌数据库的 RPO 为0，且主动/备用恢复的 RTO 小于30分钟。故障切换测试应包含合成设备激活，而非只做数据库主备切换。

可观测性需聚焦租户可见的失败。为每个租户运行合成LPA旅程，监控证书到期，跟踪OCSP健康，并曝光能区分发现失败、DP+下载失败与SM-SR状态失败的激活指标。变更窗口应将证书轮换与发现更新对齐至OEM发布日历。回滚计划必须覆盖DNS、SM-DS条目、令牌签发与租户webhook端点。

当SM-DP+部署位置、SM-SR租户化与发现均为隔离与审计而工程化时，运营商自建RSP才算可行。其商业收益不止于更低的平台成本，更在于更低的外部事故外溢、更清晰的责任划分，以及在不同首发曲线与合规义务的租户之间可预测的单次激活成本。