基于用戶卡的移動認證技術方案與應用

張榮，黎艷，郭建昌

（中國電信股份有限公司廣州研究院，廣東 廣州 510630）

1 市場期待可信的認證方案

互聯網發展至今，各種安全事件層出不窮。近年來，攜程網安全支付日志存在漏洞、眾多酒店客戶數據泄露、12306賬號泄露、山寨網銀與山寨微信客戶端、敲詐者病毒、危險Wi-Fi等一系列的不安全事件導致大量用戶賬號、身份信息、銀行卡信息泄露。據2014年互聯網安全研究報告統計，2014年2月與2012年2月相比，手機病毒的數量翻倍，且主要分布在支付、流量消耗和隱私泄露方面。互聯網/移動互聯網 領域需要可靠的授權機制。

當前，應用日益豐富，涉及到交易、隱私、保密等，認證安全要求也逐漸提高。應用主要采用“用戶名+密碼”的登錄認證方式，同時也出現了短信驗證碼、硬鍵盤動態口令、IMSI反查等諸多認證方法。但是這些方法仍存在一些問題，具體如表1所示。賬號密碼的認證方式記憶困難且容易被破解盜用；短信下發驗證碼的方式，存在被攔截、被竊取的可能且忙時響應速度慢。IMSI反查等是與網絡結合的認證方式，但仍難以滿足大量用戶對快速、準確的身份識別與交易安全性的要求。基于硬件的PKI認證，安全性高，但是每一種應用必須一個U盾，攜帶不方便。

表1 主要互聯網應用認證技術及應用情況

綜上所述，無論是互聯網/移動互聯網用戶還是CP/SP都期待安全可信、靈活便捷的認證方案。

2 基于用戶卡的移動互聯網認證技術成 為趨勢

2012年，以Google、Microsoft、PayPal、阿里巴巴、RSA為代表的100多個互聯網公司聯合成立FIDO（Fast Identity Online，線上快速身份驗證）聯盟，基于移動通信、本地生物特征、用戶卡、SD卡等手段發展強身份認證技術，并提出“消滅密碼”的目標。2014年2月，FIDO發布了FIDO協議的技術規范草案。NokNok、阿里巴巴、Google等互聯網商都在著手采用FIDO方案進行無帳號密碼的安全認證。

GSMA 在2013 年末規劃了以移動身份標識（Mobile Identity）為基礎的個人數據（Personal Data）作為未來通信數字化四個主要方向之一，并在參考GP、FIDO等成果的基礎上提出重點發展基于用戶卡的移動認證技術，計劃在全球運營商中推出Mobile Connect認證服務。基于用戶卡的移動認證技術成為運營商部署移動認證服務的首選。

2014年10月初，Orange宣布其云存儲業務、移動銀行等移動互聯網業務將支持Mobile Connect（MC）認證。其在法國已經完成了B2B、自有業務、公眾互聯網業務的商業驗證、業務架構設計、用戶流程設計、SIM-Applet設計與開發等。預計在2015年第1季度進行MC業務商業發布。

Telefonica在英國、西班牙和德國剛發起MC項目。預計2015年與西班牙銀行合作在西班牙先進行MC業務的beta發布。

Vodafone在多個國家開展了MC相關工作：在德國與多個運營商合作，進行了小規模的卡上ID應用的部署；在意大利嘗試NFC SIM卡的相關方案；在西班牙與三大銀行談合作簽署MNO。

國內三大運營商都積極參與了GSMA推動MC的技術與市場工作。中國移動、中國電信都已經積極研發試驗相關卡應用認證業務系統，中國聯通也正在進行相關技術跟蹤并計劃著手試驗系統研發。

3 基于用戶卡的移動認證技術方案與主 要流程

圖1為基于用戶卡的移動認證技術方案總體架構。該方案主要由認證請求獲取方式、本地認證方式與在線認證方式組成，其中基于用戶卡的在線認證方式是本方案的核心。

圖1 基于用戶卡的移動認證方案總體架構

認證請求獲取方式指將認證請求信息傳遞給負責認證的移動終端或者用戶卡應用。手機上使用應用客戶端時，則由應用客戶端直接或通過認證服務器將認證請求傳遞給用戶卡上的認證應用Applet。而電腦上的應用需要使用手機進行卡應用認證時，可以通過應用客戶端或者專用認證客戶端掃描二維碼的方式，將認證請求信息傳遞到手機，進而直接或間接交給卡上認證應用。

本地認證是指在移動手機本地完成的認證，可以由用戶靈活地設置采用何種方式，如免本地認證、本地個人碼、指紋等。用戶設置的本地認證方式只存在智能手機的用戶卡中，不向外傳遞，保證了本地認證驗證方式的安全性。

在線認證是指需要本地與服務器配合完成身份校驗，身份校驗信息要經過網絡傳遞的認證方法。本方案中的在線認證系統主要由認證卡應用、安全通道與認證服務器組成。認證卡應用存儲認證信息與認證運算邏輯，接收到認證請求后根據約定認證方法生成認證身份碼，然后通過安全通道送至服務器進行驗證。認證服務器負責提供認證身份碼的驗證、認證授權、云端能力開放、安全策略與規則等。安全通道主要包括OTA通道與Open Mobile API機卡通道。OMA通道傳輸速率可達230kbps，可以用于大量數據的傳送，而OTA短信每條限制140個字節，90%的OTA時延在30s以內，僅適用于少量信息的傳送。

卡應用通過預裝或者TSM平臺下載至用戶卡中，完成必要的信息同步（如OTP種子同步、會話密鑰同步、PKI密鑰對的生成等）與應用綁定后，可以開始進行業務認證。圖2概述地說明了基于用戶卡的移動認證流程。

（1）客戶端發起認證請求，如果采用OMA安全通道，則由應用平臺返回認證請求序列號等相關的認證請求信息；如果采用OTA安全通道，則將應用認證請求信息發送至認證平臺。

圖2 基于用戶卡的移動認證流程示意圖

（2）認證請求經安全通道傳遞至卡應用。如果采用OMA通道，則直接從客戶端發至卡應用（2.a）。如果采用OTA通道，則認證平臺將認證請求信息以OTA短信形式發送至卡應用（2.b）。

（3）卡應用選擇請求的相應認證方法進行運算，產生認證碼。

（4）認證碼經OMA或者OTA通道交由認證平臺，經認證平臺驗算后，將認證結果返回應用。

基于用戶卡的移動認證方案的安全性主要體現在以下幾個方面：

（1）卡的安全性。4G多功能用戶卡具備安全保護芯片，同時支持RSA加解密算法的協處理器，配合手機終端上的GP AC（Access Control）安全訪問控制機制，使用戶卡具備了CC EAL5+安全級別。任何應用要訪問卡必須符合安全訪問規則，由此對卡內信息和算法提供了當前最高等級的安全防護。

（2）通道的安全性。OMA安全通道只有符合安全規則的應用才可以打開；OTA短信是由服務器送至卡上，使用會話密鑰對傳送內容加密，難以被終端應用截獲。這2類通道的訪問權限都嚴格掌握在運營商手中，保證了通道傳送的安全性。

（3）算法的安全性。使用存儲在卡內的獨特的靜態卡信息以及其他動態信息，通過現有先進ORCA或RSA等算法生成認證碼或使用基于PKI的非對稱密鑰算法。可根據應用安全等級要求，采用相應的算法。基于PKI的簽名認證是目前安全等級最好的一種算法，廣泛應用于銀行業務中。

圖3 云應用登錄示例

4 應用示例

基于用戶卡的移動認證可用于互聯網/移動互聯網應用登陸、交易支付、辦公簽名等場景。

如圖3所示，用戶設置天翼云使用本方案進行登錄認證后，當用戶登錄時，只需要點擊登錄按鈕，就會自動完成卡應用認證，認證通過后進入云應用。過程中不需要用戶介入，簡單方便卻難以被盜用。

圖4 使用PKI簽名算法進行銀行交易或電子政務應用場景

圖4為使用基于用戶卡的移動認證進行銀行交易或電子政務。由于這2類應用安全要求都很高，采用了基于PKI數字簽名的認證算法。用戶在PC上進行購物，付款時應用將付款信息生成二維碼。手機客戶端掃描二維碼后，獲取交易認證請求信息。此為高安全等級應用，需要用戶輸入個人密碼進行本地驗證，以確認交易認證請求。本地驗證通過后，客戶端將用戶請求通過機卡通道傳送到卡應用，自動生成身份認證碼后傳回客戶端，并由客戶端經數據連接傳送到應用平臺再轉至認證平臺。認證平臺對身份認證碼進行驗證后，將結果傳回應用平臺，電腦上顯示交易結果。

5 運營商的機遇與挑戰

目前，運營商處于發展基于用戶卡的移動認證的有利時機。傳統的“用戶名+密碼”的認證手段已經不能滿足移動互聯網應用發展的需要，大量應用使用短信下發驗證碼來輔助確認用戶身份。安卓市場和蘋果APP Store下載量前十名的應用中，大部分正在采用手機號碼作為主要認證方式。基于手機以及相關碼號信息的認證方式已經成為趨勢。這為運營商擇機推出基于自身優勢的移動認證技術創造了良好的市場條件。另一方面，多功能通用用戶卡的存儲能力、運算能力、開放性都有了質的飛越，并能夠通過安全的機卡通道與終端上的應用交互，輔以TSM的業務管理，有能力做到“計算安全、存儲安全、通道安全、流程安全”，為向移動互聯網應用提供安全、便捷、獨特的基于用戶卡的融合認證技術與服務提供了良好的技術基礎。

同時，eSIM技術的出現，打破了運營商“發卡方”的壟斷地位，為運營商的移動認證業務帶來了挑戰。運營商應抓住實體發卡的機會窗口，加快基于用戶卡的移動互聯網融合認證技術發展、市場推廣、能力開放，為更多的移動互聯網應用與用戶提供安全、便捷、有運營商特點的移動融合認證技術，這將有利于推動傳統電信能力的互聯網化、有利于推動移動互聯網應用的規模發展及健康有序發展。

[1] 金山毒霸安全中心. 2014上半年互聯網安全研究報告[R]. 2014.

[2] 美通社. 領先的移動運營商推出Mobile Connect計劃[EB/OL]. (2014-02-25). http://www.prnasia.com/story/93352-1.shtml.

[3] 張霖. FIDO聯盟公布“無密碼強認證”安全協議技術草案[EB/OL]. (2014-02-13). http://www.ctocio.com/ccnews/14839.html.

[4] Fido Alliance. Specifications Overview [EB/OL]. https://fidoalliance.org/specifications.

[5] 張月紅. GSMA的移動互聯雄心：一個帳戶名登錄所有網站[EB/OL]. (2014-06-17). http://www.c114.net/news/16/a842438.html.