eSIM 主機的 SM-DP+ 拓撲與租戶隔離

由營運商託管的 eSIM，面向 MVNE/MVNO 租戶的成敗，取決於所選擇的 SM-DP+ 設計、憑證範圍與生命週期控制。錨點在 SM-SR 權限，但經濟與營運形態則由 SM-DP+ 的入口、儲存與探索對齊所決定。選擇正確的 SM-DP+ 拓撲，並證明多租戶 SM-SR 的隔離，將決定上線速度、事件影響半徑與稽核範圍。本文拆解瓶頸出現的位置、如何進行容量規劃，以及在共用 SM-DP+ 拓撲下，乾淨的 SM-DS 探索應呈現的樣態。

信任地圖與控制平面：SM-DP+、SM-SR、eUICC、LPA

在選擇拓撲之前，主機方必須先繪製信任地圖。GSMA SGP.21 與 SGP.22 定義了協定路徑，但不決定商業風險的責任歸屬。責任由憑證保管、稽核邊界，以及租戶權限如何映射至 eUICC、LPA、SM-DP+ 與 SM-SR 等網域所界定。

SM-SR 應被視為啟用、停用與綁定的權限中心。租戶隔離不應只是一個 tenant_id 欄位，還應綁定至 EID 範圍、ISD-R 政策，以及明確的 API 租戶邊界。任何可對租戶領域外 EID 發出指令的 SM-SR 呼叫，皆屬控制平面缺陷，即便未暴露任何設定檔內容。

在 SM-DP+ 端，RSP API 必須以 TLS 與 mTLS 完整終止。於租戶風險模型需要時，DSC 私鑰應置於 FIPS L3 的 HSM 分割區。OCSP 與 CRL 的處理須有邊界，而非臨場應變。縮短 OCSP 快取並採用 stapling，可在電力不穩時降低對回應器的依賴；在撤銷查核降級時，CRL 仍是安全網。

涵蓋之 GSMA 規範

SGP.21, SGP.22, SAS-SM

信任錨點

EUM root、CI 委派憑證

HSM 政策

FIPS 140-2/3 L3；可選擇依租戶劃分分割區

OCSP/CRL 策略

OCSP stapling + 5–15 分快取，CRL 作為安全網

憑證輪換

TLS 90 天；DSC 24–36 個月，分階段切換

資料角色應納入架構文件，而非僅列於法律附件。多數市場會將 RSP 中繼資料、啟用碼與裝置識別視為個資。依法截取、稽核匯出與保存政策，應在掛載租戶前先行決定。使用者路徑亦須明確：先進行 SM-DS 探索，再以 QR 備援，並以啟用碼網域導向預期的 SM-DP+，而非共用預設端點。

針對營運商託管租戶的三種 SM-DP+ 部署拓撲

第一種樣式為共用的多租戶 SM-DP+。單一 PKI 網域、單一設定檔儲存，以及單一入口層為多個租戶服務。這是營運成本最低的模式，因為工作池、監控、憑證操作與儲存生命週期控制皆共用。代價是更寬的故障面。若租戶端回呼格式錯誤、HSM 併發激增，或設定檔封裝缺陷，均可能壓垮共用平面，除非入口層能提前強制配額。

第二種樣式為虛擬化、逐租戶的 SM-DP+。每個租戶在共用入口層後方擁有獨立實例或命名空間。這會提高實例數量，並增加憑證、HSM 分割區與版本發布管理的工作量。同時，它為受監管租戶與高峰發佈壓力較大的品牌，提供更乾淨的影響半徑邊界。對於一個在 EMEA 服務 12+ 租戶的 MVNE，這常是折衷方案：共用運維，但隔離設定檔儲存與租戶專屬的速率限制。

第三種樣式為外部合作夥伴的 SM-DP+ 搭配營運商託管的 SM-SR。DP+ 的營運與封裝負載移出主機方的直接 runbook，但不會移除其在探索對齊、租戶上線或稽核證據方面的責任。合約須明確：誰負責 SM-DS 註冊、憑證輪替、設定檔保存、事故通報，以及失敗下載的清算。

探索是讓拓撲顯形之處。啟用碼網域必須對應到租戶端點，SM-DS 註冊更新的作業控制需與 DNS TTL 相匹配。過期的網域在遷移後會延長錯誤路由期。設定檔封包的儲存需以每租戶金鑰進行靜態加密，並以每租戶節流並行下載，以保護物件儲存、HSM 簽章作業與資料庫鎖。

{
  "tenantRoutes": [
    {
      "tenantId": "tenant-emea-07",
      "eidPrefix": "89049032",
      "mccMnc": ["23450", "26209"],
      "activationRealm": "rsp.tenant-emea-07.example",
      "smdpEndpoint": "https://dpplus-emea-07.rsp.example/gsma/rsp2"
    },
    {
      "tenantId": "tenant-apac-02",
      "eidPrefix": "89049088",
      "mccMnc": ["52512"],
      "activationRealm": "rsp.tenant-apac-02.example",
      "smdpEndpoint": "https://dpplus-apac-02.rsp.example/gsma/rsp2"
    }
  ],
  "defaultAction": "reject"
}

預設處置很重要。對於共用入口層，應拒絕無法匹配的 MCC/MNC 或 EID 範圍，而非回退到一般的 SM-DP+ 端點。無聲回退在測試時看似方便，在商用上線時將變得昂貴。

設計多租戶 SM-SR，避免跨租戶滲漏

多租戶 SM-SR 集中權限。其負責綁定設定檔、啟用與停用，並記錄租戶用來對帳客戶、裝置與費用的狀態轉換。設計上，應以 EID 範圍與服務的 MNC/MCC，將每個 ISD-R 綁定到對應租戶；允許清單應阻擋誤連至非預期租戶領域。這不僅是安全控制，也可在大量佈建後避免稽核爭議。

生命週期事件應作為可冪等的 webhook，導入租戶的 BSS/OSS 與 OCS 網域。下載、綁定、啟用、停用與刪除等事件，需具備租戶關聯 ID、重放保護與序號。租戶必須能重放一整天的事件而不改變計費狀態；反之，主機方必須能證明重試未重複執行相同的 SM-SR 操作。

將 MNP 與裝置更換邏輯，與 RSP 狀態嚴格分離。SM-DP+ 發佈設定檔內容；SM-SR 編排啟用與停用。攜碼事件可觸發佈建流程，但不等同於設定檔生命週期事件。將兩者混為一談，會導致孤兒設定檔、錯誤計費觸發，並混淆租戶支援路徑。

保存與匯出設計同樣需要精準邊界。LAES 範圍、SM-SR 事件中繼資料與租戶稽核匯出，應遵循主機方政策，同時能在租戶層級切分。一家 Tier-2 MNO（東南亞，約 800 萬用戶）發現，租戶稽核證據的核准時間比 API 整合更久，原因在於保存等級未對應至各租戶合約。

災難復原是排序問題。雙站點 SM-SR 設計須對齊資料庫預寫日誌狀態與訊息位移，並收斂序列視窗，以避免切換後的重複執行。在 OEM 批次上線期間，需嚴密監看 EID 前綴；碰撞或輸入錯誤的範圍，可能在高峰視窗將設定檔導向錯誤租戶，直到啟用支援單出現才被察覺。

佈建流程、探索與清算觸點

佈建在裝置與 RSP 溝通前即已開始。啟用碼可為一次性或池化，TTL 視詐欺風險承受度與預期通路延遲而定。核發權杖前的預檢，應確認 KYC、庫存狀態與 OCS 資格。一次失敗下載即產生成本：SM-DS 查詢、設定檔保留、儲存讀取、HSM 作業與客服處理。

依 SGP.22 流程，在啟用探索時，LPA 會先抵達 SM-DS。其後啟用碼網域必須落在預期的 SM-DP+。QR 備援應採短 TTL，且不應長於探索狀態。這在租戶遷移時尤為重要；舊的 QR 資產與已快取的網域，可能讓裝置持續指向已退役的端點。

回呼是計費正確性的組成部分。RSP 應傳送 downloadProgress 與最終結果事件，並附帶冪等鍵。租戶需去重，以免重試造成重複計費或孤兒客戶狀態。重試與退避策略應尊重裝置端計時器，並在暫時性 Wi‑Fi 或無線電受損期間限制嘗試次數。無上限重試會耗損營運資源，且可能長期保留從未轉換的授權。

{
  "eventType": "profileDownloadResult",
  "eventId": "9f4c7b6e-3d1a-4f3f-94df-0c81b4d1a912",
  "tenantId": "tenant-emea-07",
  "correlationId": "order-7844129",
  "eid": "89049032123456789012345678901234",
  "iccid": "8944501234567890123",
  "result": "SUCCESS",
  "resultCode": "RSP-2000",
  "attempt": 1,
  "completedAt": "2026-05-07T08:41:23Z"
}

清算需要明確基礎。有些合約僅計價成功下載；另一些則對過期權杖、保留庫存、設定檔儲存，或超過門檻的重試計費。一家 Greenfield MVNO、post-2023、多IMSI 架構，承擔設定檔庫存成本的方式，與擁有數百萬 dormant eSIM 設定檔的成熟主機方不同。錯誤的計費單位，足以讓單位經濟在一季內變得不透明。

授權模式

按啟用計費 vs 按庫存席位計費

探索費用

SM-DS 註冊與按查詢計費（依合約）

HSM 營運項目

模組資本支出、RMA 與韌體稽核之營運支出

資料中心佔用

雙站點運算 + 加密物件儲存

法規遵循成本

SAS-SM 稽核、滲透測試、資料在地化

NOC 覆蓋

24/7 監控、每租戶合成啟用測試

容量規劃、SLO 與故障情境

容量規劃應從發佈行為出發，而非月均啟用量。裝置行銷、OEM 釋出、零售到貨與號碼遷移視窗，都會形成短峰並暴露隔離薄弱點。DP+ 無狀態工作可水平擴展，但資料庫、物件儲存、HSM 分割區與 SM-SR 序列往往才是天花板。於上線視窗前，預先溫備權杖池與租戶快取。

為不同拓撲設定明確的 SLO 目標。務實基線為：首次嘗試成功率 96–98%、區內 DP+ 至第一個位元組的中位數低於 300 ms，以及 webhook 含重試的月度投遞成功率 99.9%。以上數據須在租戶層級量測，而非僅平台層級。共用平台看似健康時，單一租戶仍可能因憑證、網域或配額缺陷而受阻。

影響半徑控制應部署在入口層。逐租戶的速率限制、斷路器、儲存配額與 HSM 併發上限，可避免單一租戶的發佈高峰拖慢其他租戶的啟用路徑。明確化韌性目標：RPO 對授權與權杖資料庫應為 0；RTO 在主備切換應小於 30 分鐘。故障切換測試需包含合成裝置啟用，而非僅資料庫主從提升。

可觀測性應聚焦於租戶可見的失敗。針對每個租戶執行合成 LPA 旅程，監看憑證到期、追蹤 OCSP 健康，並暴露啟用指標，以區分探索失敗、DP+ 下載失敗與 SM-SR 狀態失敗。變更窗口應將憑證輪替與探索更新，對齊 OEM 發布行事曆。回滾計畫須涵蓋 DNS、SM-DS 項目、權杖發放與租戶 webhook 端點。

當 SM-DP+ 佈署位置、SM-SR 租戶邊界與探索機制，均以隔離與稽核為設計原則時，營運商託管的 RSP 才能有效運行。其商業效益不僅是較低的平台成本，還包含較低的事件外溢、清晰的責任邊界，以及在不同發佈曲線與監管義務下，仍可預測的跨租戶啟用單位成本。