運營商發展統一賬號認證業務技術方案

郭茂文，張榮，盧燕青，黎艷

（中國電信股份有限公司廣州研究院，廣東 廣州 510630）

1 引言

隨著互聯網和智能移動終端的高速發展，基于智能移動終端的應用出現了爆發式增長，這些豐富的應用給人們的工作和生活提供了極大的便利，但也帶來了新的問題。絕大部分應用需要用戶進行注冊，有可能注冊時需要輸入用戶的隱私信息，如身份證號碼、出生日期、聯系方式等，注冊過程中用戶還需要設置復雜的賬號/密碼用于后續的應用登錄。另外，由于同一個用戶需要使用的應用數量眾多，因此，用戶需要記憶大量的應用賬號和密碼信息。

這種傳統的賬號/密碼方式的應用在用戶體驗和安全性方面存在多處痛點，如密碼復雜繁瑣、記憶困難；賬號/密碼信息容易被不良木馬盜竊；用戶身份核實困難，只能依賴手機號和身份證信息[1]。

針對以上這些應用痛點，近兩年，國內各電信運營商紛紛利用自身的移動網絡和用戶卡資源優勢，大力發展統一賬號增值服務業務，如中國移動的和通行證[2]、中國聯通的沃通行證[3]以及中國電信的天翼賬號等。

2 影響發展統一賬號認證業務的關鍵因素

（1）多網絡多終端支持

目前，互聯網及智能終端已經非常普遍，用戶可以方便地通過各個運營商的3G/4G移動網絡或者Wi-Fi網絡來使用互聯網業務，同一個互聯網應用會在智能移動終端、平板電腦或者PC之間頻繁使用。因此，運營商的統一賬號認證服務必須滿足用戶在不同類型網絡、不同類型終端環境下的正常使用。

（2）運營商間的互聯互通

運營商用戶與互聯網應用用戶具有天然的差異性，互聯網應用用戶具有跨運營商特性。因此，運營商在發展統一賬號認證服務時，必須考慮與其他運營商的互聯互通，否則，無法做到互聯網應用用戶的全覆蓋。

（3）多種認證方式的協同

除了傳統的賬號/密碼和短信驗證碼認證方式外，運營商還可以提供獨有的移動網關認證和用戶卡認證。但是，移動網關認證需要用戶的移動終端開啟移動數據網絡功能；用戶卡認證需要用戶卡下載安裝運營商提供的卡應用。因此，統一賬號認證服務要求運營商能夠準確判斷認證過程中用戶移動終端和用戶卡環境，如果不具備這兩種認證能力，必須能夠自動切換到傳統的賬號/密碼或短信驗證碼認證方式。

3 統一賬號認證業務的技術實現

3.1 統一賬號認證系統總體架構

運營商統一賬號認證業務是指以手機號作為賬號體系[4]，以手機為認證載體，以運營商獨有的差異化的移動網絡和用戶卡認證能力為核心功能，整合運營商相關資源，向運營商自有應用和第三方合作應用提供多等級多因子的安全認證服務，同時輸出基礎電信能力服務。

基于互聯網及智能移動終端技術現狀，運營商的統一賬號認證業務應能夠支持 Android和iOS移動應用以及平板電腦/PC的Web應用。為充分利用運營商的網關認證和用戶卡認證能力，Web應用的登錄認證方式可采用移動應用掃描Web登錄頁面的二維碼認證方式實現。在這種應用需求下，運營商的統一賬號認證系統架構如圖1所示。

統一賬號認證系統分為網絡側和終端側兩部分，具體介紹如下。

網絡側主要完成應用認證能力開放、認證策略管理、認證能力集成等功能，具體可以分為統一賬號認證業務能力開放平臺、統一賬號認證能力管理平臺以及各認證能力子系統。其中，認證能力子系統主要有網關認證系統、卡應用認證系統、賬號/密碼認證系統和短信驗證碼認證系統。

終端側的組成部分主要是統一賬號認證業務在終端上的必要能力封裝。對于應用，由統一賬號提供登錄框給應用合作方，在應用合作方 Web頁面通過iframe的方式嵌入統一賬號登錄框。登錄方式可以包括二維碼掃碼登錄、賬號/密碼登錄、短信驗證碼登錄以及其他的第三方應用賬號授權登錄等，應用合作方可以根據自身需要選擇優先的登錄方式。對于移動端應用，由統一賬號提供 SDK給應用合作方，SDK主要實現對終端認證能力信息的收集，并與統一賬號認證能力開放平臺配合實現認證功能。另外，對于用戶卡認證方式，移動終端需要在用戶卡中預置卡應用Applet。

3.2 統一賬號認證系統特點

基于上述的統一賬號認證系統總體架構可以看出，統一賬號認證業務的特點主要如下。

圖1 統一賬號認證系統總體架構

（1）一號通行

一套以手機號為核心的賬號系統可以通行運營商的多個業務和應用，如中國移動的飛信、139郵箱、和彩云以及和通訊錄等；中國電信的天翼云、翼健康和號簿助手等。

（2）差異化認證方式

在傳統的賬號/密碼、短信驗證碼認證方式基礎上，運營商還可以利用移動數據網絡和用戶卡資源優勢，采用移動通信網關取號以及用戶卡識別等技術，提供更安全、更方便快捷的網關認證和用戶卡認證能力。

（3）可擴展的“認證+”業務生態能力

統一賬號認證服務除了提供基本的登錄認證功能外，運營商還可以通過統一賬號認證能力開放平臺與其他的運營商能力系統對接實現向第三方合作應用開放其核心能力，如“賬號+二次放號識別”“賬號+支付”“賬號+云存儲”等[5]，第三方合作應用不需要多頭對接就可以方便快捷地獲得這些核心能力。

3.3 關鍵應用接口場景

運營商統一賬號認證系統與第三方合作應用對接時的接口應用場景主要有兩種：一種是移動端應用接口場景；另一種是PC端的Web應用接口場景。

對于移動端應用接口場景，運營商統一賬號認證系統可以通過移動端SDK與第三方合作應用對接。移動端應用使用統一賬號 SDK獲得AccessToken，然后通過獲取用戶信息 API利用AccessToken換取手機號碼及其他用戶信息等。在移動端應用發起登錄請求時，由SDK檢測移動終端環境，選擇最優的認證方式并攜帶認證方式標志向統一賬號業務能力開放平臺發起身份認證請求。主要流程實現方案如圖2所示。

對于PC端Web應用接口場景，運營商統一賬號認證系統可以提供登錄框給應用合作方，在應用合作方Web頁面通過iframe的方式嵌入統一賬號登錄框。主要流程實現方案如圖3所示。

3.4 差異化認證能力實現方案

運營商差異化的認證能力主要體現在移動網關認證和用戶卡認證，其方案實現思路如下。

圖2 移動端應用接口場景實現流程

圖3 PC端Web應用接口場景實現流程

· 對于移動網關認證來說，需要移動終端開啟移動數據網絡功能。移動終端上的應用SDK通過移動數據網絡發送登錄請求消息的過程中，在請求消息經過移動網關（PGW）時，移動網關在用戶的HTTP請求分組頭加入加密的用戶信息（手機號碼MDN、IMSI、手機IP地址、PGW IP地址等）后傳遞給網關認證系統，網關認證系統對用戶信息進行解密后識別用戶手機號碼，確認用戶身份，用戶即可登錄認證成功。實現方案如圖4所示。

圖4 移動網關認證實現方案

· 對于用戶卡認證來說，需要在用戶卡中預置卡應用Applet[6]?？☉肁pplet初始化時會通過OTA數據短信方式與卡認證系統進行卡認證配置數據的同步，卡認證系統確認該用戶支持卡認證。用戶登錄時，移動終端上的應用SDK發送登錄請求消息給統一賬號業務能力開放平臺，該請求消息通過統一賬號認證能力管理平臺傳遞給用戶卡認證系統。用戶卡認證系統通過短信網關下發OTA數據短信到用戶卡，用戶卡根據短信信息在手機上彈出用戶登錄確認的UTK提示框，用戶確認（輸入PIN碼或點擊OK）后，用戶卡發送登錄確認短信給用戶卡認證系統，用戶即可登錄認證成功。實現方案如圖5所示。

無論是移動網關認證還是用戶卡認證方式，對用戶移動終端環境都有一定的要求。移動網關認證方式需要移動終端能夠用戶在手機設置中開啟移動數據網絡開關，而用戶卡認證方式需要用戶卡預置有卡應用 Applet，并進行初始化同步。因此，對于某個用戶來說，每次登錄時選擇何種認證方式需要通過應用 SDK與統一賬號認證能力開放平臺的配合和信息交互來確定。運營商也可以通過認證策略配置來實現認證方式的最優選擇，如當用戶手機的移動數據網絡功能開啟時，可讓用戶每次登錄時優先選擇移動網關認證方式；當用戶登錄后的網絡行為需要進行二次身份認證時，可選擇安全性更高的用戶卡認證方式，以替代傳統的短信驗證碼認證方式，當然，其前提是現網用戶的用戶卡預置卡應用Applet比較普及。當用戶移動終端環境無法支持移動網關認證和用戶卡認證這兩種方式時，統一賬號認證系統應能夠根據用戶或第三方合作應用的選擇回退到賬號/密碼或短信驗證碼的認證方式。

圖5 用戶卡認證實現方案

4 統一賬號認證業務的互聯互通

運營商發展統一賬號認證業務的優勢在于差異化的移動網關認證和用戶卡認證技術，但是，由于單個運營商所擁有的用戶無法覆蓋單個互聯網應用所擁有的用戶，因此，統一賬號認證業務必須要做到運營商之間的互聯互通[7]。這樣，SP（服務提供商）應用只需要與單個運營商對接，其所有用戶均可以使用統一賬號認證業務。

運營商統一賬號認證業務互聯互通的關鍵是認證系統能夠對以手機號為核心的統一賬號進行識別，并基于手機號的歸屬實現路由轉發。根據前面所述的應用接口場景，這里提出一種基于代理轉發機制的運營商對等自治互聯互通模型來進行分析，如圖6所示。

圖6 運營商對等自治互聯互通模型

如圖6所示，SP1的移動端應用包含有MNO1運營商的SDK，即SP1的移動端應用在登錄認證時只向MNO1運營商的認證系統發送認證請求。各運營商的認證系統均具有相對獨立的號碼識別和路由發現功能，并且各自互信對接。這里以MNO3運營商用戶使用與MNO1運營商認證系統對接的SP1移動端應用為例來分析不同認證方式的互聯互通方案。

傳統的賬號/密碼認證方式不需要互聯互通，只需要MNO3運營商用戶使用與MNO1運營商認證系統對接的SP1移動端應用時，以其手機號（歸屬MNO3運營商）在MNO1運營商認證系統注冊成統一賬號即可，MNO1運營商認證系統就可以在本地完成對異網手機號的統一賬號用戶完成賬號/密碼方式的認證。

對于短信驗證碼方式，只需要運營商各自的短信網關系統能夠互通即可。MNO3運營商用戶的短信驗證碼通過MNO1運營商認證系統產生，MNO1運營商的短信網關將該短信驗證碼轉發給MNO3運營商的短信網關，MNO3運營商的短信網關再將短信驗證碼直接發送到其用戶手機上。

對于移動網關認證方式，其互聯互通的實現思路可以如下：

（1）MNO3運營商用戶在移動端發起 SP1 應用（與MNO1運營商的認證系統對接）的登錄操作；

（2）SP1 應用 SDK通過MNO3運營商的移動數據網絡發送client hello消息；

（3）MNO3運營商的移動網關插入用戶手機號等用戶信息；

（4）MNO1運營商的認證系統接收到SP1 應用 SDK的HTTP消息，并解析；

（5）MNO1運營商的認證系統將 SP1應用SDK的HTTP消息轉發給MNO3運營商的認證系統；

（6）MNO3運營商的認證系統驗證用戶手機號的合法性，驗證通過后，產生AccessToken，并與驗證結果一起發送給MNO1運營商的認證系統；

（7）MNO1運營商的認證系統轉發AccessToken和驗證結果給SP1 應用 SDK；

（8）SP1 應用將AccessToken發送給SP1應用服務器；

（9）SP1應用服務器攜帶 AccessToken向MNO1運營商的認證系統調用“獲取用戶信息”API；

（10）MNO1運營商的認證系統通過 MNO3運營商的認證系統獲得用戶信息，并返回給 SP1應用服務器。

這種移動網關認證方式互聯互通的關鍵是每個運營商的移動網關必須采用一致的HTTP頭增強功能，以及 AccessToken與用戶信息在運營商認證系統之間的安全傳輸。

對于用戶卡認證方式的互聯互通，其實現方案比較簡單，SP1 應用 SDK發送卡認證請求（攜帶手機號信息，如首次認證時用戶手工輸入其手機號）給MNO1運營商的認證系統后，MNO1運營商的認證系統根據手機號判斷其歸屬運營商，并將認證請求轉發給歸屬運營商的認證系統。歸屬運營商的認證系統完成卡認證后，直接將認證結果和AccessToken返回給MNO1運營商的認證系統。在卡認證方式情況下，SP1應用服務器獲取用戶信息的方法與移動網關認證方式情況是類似的。

5 結束語

總地來說，隨著互聯網應用和智能移動終端的大規模普及，運營商發展統一賬號認證業務可以實現電信與互聯網的跨體系融合發展。這樣既可以作為密碼認證的替代品，減少多重身份校驗帶來的麻煩，提升用戶賬戶的安全性，又可以實現整合運營商自身的基礎電信能力輸出，增強用戶黏性，提升運營商在互聯網時代的價值。但是，由于現網移動終端環境千差萬別，運營商必須完善獨有的差異化移動網關認證和用戶卡認證技術，并實現運營商相互之間的互聯互通，優化和提升用戶業務體驗，運營商的統一賬號認證業務才會具有良好的應用前景。

參考文獻：

[1]孫韓林, 劉建華.公眾網絡統一身份認證服務及標準研究[J].電信科學, 2013, 29(2)： 84-88.SUN H L, LIU J H.Study on unified identifier authentication service and standards on public network[J].Telecommunications Science, 2013, 29(2)： 84-88.

[2]中國移動集團公司.中國移動能力開放白皮書[R].2016.China Mobile Communications Corporation.The white paper of China Mobile’s ability[R].2016.

[3]劉鏑, 張云勇, 張尼, 等.“沃互聯”統一認證技術研究[J].電信科學, 2015, 31(6)： 6-11.LIU D, ZHANG Y Y,ZHANG N, et al.Research on “Wo Connect”uniform authentication technologys[J].Telecommunications Science,2015, 31(6)： 6-11.

[4]CCTIME飛象網.運營商統一帳號體系背后的戰略思考[Z].2016.Dumbo CCTIME.Strategic thinking behind the unified account number system of the operators[Z].2016.

[5]中國電信集團公司.中國電信統一賬號業務規范[S].2017.China Telecom Co.Business specification of China Telecom [S].2017.

[6]董雙赫, 嚴斌峰, 胡博, 等.基于 SIM 卡的金融應用移動數字簽名業務研究[J].電信科學, 2015, 31(6)： 12-17.DONG S H, YAN B F, HU B, et al.Research on SIM card-based mobile digital signature and authentication for financial services[J].Telecommunications Science, 2015, 31(6)：12-17.

[7]張榮, 黎艷, 郭建昌.基于用戶卡的移動認證技術方案與應用[J].移動通信, 2015(5)： 31-35.ZHANG R, LI Y, GUO J C.Technical solution and application of mobile authentication based on sim-applet[J].Mobile Communications, 2015(5)： 31-35.