[張榮 黎艷]
運(yùn)營商統(tǒng)一移動(dòng)認(rèn)證方案與應(yīng)用
[張榮 黎艷]
文章介紹了互聯(lián)網(wǎng)/移動(dòng)互聯(lián)網(wǎng)移動(dòng)認(rèn)證現(xiàn)狀,并描述了全球運(yùn)營商統(tǒng)一認(rèn)證的方案以及應(yīng)用情況,最后闡述了運(yùn)營商所面臨的機(jī)遇與挑戰(zhàn)。
GSMA 移動(dòng)互聯(lián) 路由發(fā)現(xiàn) 本地驗(yàn)證
張榮
高工,中國電信股份有限公司廣東研究院,主要從事移動(dòng)互聯(lián)網(wǎng)新技術(shù)與業(yè)務(wù)、智能管道等研究。
黎艷
工程師,中國電信股份有限公司廣東研究院,主要從事移動(dòng)互聯(lián)網(wǎng)安全技術(shù)研究與產(chǎn)品開發(fā)。
隨著移動(dòng)互聯(lián)網(wǎng)應(yīng)用的豐富,為了便于用戶免于申請和記憶眾多的帳號,應(yīng)用系統(tǒng)逐漸采用大型SP帳號、手機(jī)號碼或者email等作為賬號信息。例如,大眾點(diǎn)評網(wǎng)可以使用QQ帳號登錄認(rèn)證;而國外的很多網(wǎng)站也可以使用Facebook、Google的帳號進(jìn)行登錄。但是由于各地區(qū)流行應(yīng)用的多樣性,目前,還沒有一個(gè)能登錄不同應(yīng)用的統(tǒng)一賬號及其認(rèn)證方式。
FIDO聯(lián)盟提出了UAF(無密碼指紋認(rèn)證)與U2F(第二因子認(rèn)證)認(rèn)證解決方案,全球較大的SP包括阿里巴巴、Google等等都表示支持FIDO方案,但這只是一種認(rèn)證技術(shù)的標(biāo)準(zhǔn),只有全球SP都采用這種方案,才能夠?qū)崿F(xiàn)FIDO登錄全球SP。
2015年,GSMA在個(gè)人數(shù)據(jù)項(xiàng)目中提出Mobile Connect(移動(dòng)互聯(lián),以下簡稱MC)業(yè)務(wù),旨在提供一個(gè)具有全球一致性和互操作性的移動(dòng)互聯(lián)網(wǎng)認(rèn)證服務(wù),并支持其在運(yùn)營商市場的部署。該業(yè)務(wù)主要以運(yùn)營商手機(jī)號為認(rèn)證帳號、以手機(jī)為認(rèn)證載體、在全球運(yùn)營商聯(lián)盟內(nèi)實(shí)現(xiàn)認(rèn)證系統(tǒng)的互聯(lián)、向全球用戶提供可分不同安全級別的并且體驗(yàn)一致的移動(dòng)手機(jī)認(rèn)證業(yè)務(wù)。歐洲多數(shù)運(yùn)營商已經(jīng)在其全球業(yè)務(wù)中開展Mobile Connect的試驗(yàn)與業(yè)務(wù)發(fā)布。
圖1為Mobile Connect的技術(shù)方案,它主要分為手機(jī)本地驗(yàn)證、在線認(rèn)證與互聯(lián)模型三部分。
本地驗(yàn)證是指在移動(dòng)終端上完成的用戶驗(yàn)證認(rèn)證。本地驗(yàn)證方式包括:(1)Click OK,即沒有任何本地驗(yàn)證,在收到終端彈出認(rèn)證請求確認(rèn)消息時(shí),用戶直接點(diǎn)擊“確認(rèn)”即可;(2)本地認(rèn)證密碼,也稱為個(gè)人碼(Personal Code),即在終端彈出的認(rèn)證請求確認(rèn)消息需要用戶輸入本地驗(yàn)證碼。本地驗(yàn)證碼在終端側(cè)完成驗(yàn)證,不會發(fā)送到平臺。
圖1 Mobile Connect技術(shù)方案
Mobile Connect也不排除其他本地認(rèn)證方案,比如FIDO提出的生物特征本地認(rèn)證方式,如通過終端指紋驗(yàn)證等。GSMA也正在與FIDO合作,進(jìn)一步完善豐富本地認(rèn)證方式。
在線認(rèn)證是指在認(rèn)證平臺側(cè)完成的用戶身份驗(yàn)證。在線認(rèn)證方式可以選擇多種認(rèn)證方案,實(shí)現(xiàn)不同安全級別的認(rèn)證。運(yùn)營商可以采用USSD(非結(jié)構(gòu)化補(bǔ)充數(shù)據(jù)業(yè)務(wù))方案,也可以采用基于卡應(yīng)用的各種認(rèn)證方案。不同的在線認(rèn)證方案提供基本一致的客戶體驗(yàn),不同的安全等級。應(yīng)用或用戶可以根據(jù)自己對安全等級的需求,決定采用哪種認(rèn)證方案。表一描述了GSMA定義的四種不同的安全等級,并給出相應(yīng)的認(rèn)證方法示例。
表1 Mobile Connect安全等級與認(rèn)證方案示例
注:因子主要有分類,(1)用戶所擁有的,如手機(jī)、令牌;(2)用戶所知道的,如密碼、驗(yàn)證碼;(3)用戶自身特征,如指紋、虹膜等。
互聯(lián)模型是指SP與不同運(yùn)營商MC系統(tǒng) 進(jìn)行對接的模型。不同運(yùn)營商的認(rèn)證系統(tǒng)通過路由發(fā)現(xiàn)模塊進(jìn)行互聯(lián),該模塊主要根據(jù)電話號碼、IP地址來發(fā)現(xiàn)其歸屬運(yùn)營商認(rèn)證系統(tǒng)的URL。該模塊可以由運(yùn)營商進(jìn)行管理維護(hù),也可以由大的SP進(jìn)行管理,還可以由第三方進(jìn)行管理,從而形成三種不同的互聯(lián)模型。
(1)MNO管理路由發(fā)現(xiàn)
圖2 MNO管理路由模式
各運(yùn)營商認(rèn)證系統(tǒng)實(shí)現(xiàn)路由發(fā)現(xiàn)的模塊,各運(yùn)營商認(rèn)證系統(tǒng)彼此互聯(lián)形成互信的聯(lián)盟。其中A運(yùn)營商簽約SP1,B運(yùn)營商的用戶(B-EU,表示B的End User)也可以使用Mobile Connect登錄SP1,A運(yùn)營商收到B-EU的認(rèn)證請求,會發(fā)現(xiàn)其屬于B運(yùn)營商,并將該認(rèn)證請求轉(zhuǎn)至B運(yùn)營商。
該方案可以實(shí)現(xiàn)SP與運(yùn)營商聯(lián)盟之間的一點(diǎn)對接,全部互聯(lián)。而且就像其他通信漫游業(yè)務(wù)一樣,運(yùn)營商之間的這種合作機(jī)制較為成熟,易于操作。這種方式非常適合中國市場,聯(lián)盟的運(yùn)營商數(shù)量不多于三個(gè),且彼此實(shí)力相當(dāng)。
(2)第三方管理路由發(fā)現(xiàn)
圖3 第三方管理路由發(fā)現(xiàn)
這種互聯(lián)模型中,路由發(fā)現(xiàn)由非SP、非MNO的第三方進(jìn)行管理。第三方可以是政府也可以是其他商業(yè)機(jī)構(gòu)。例如,國際地區(qū)之間互通時(shí)可以通過政府的路由中心互聯(lián)進(jìn)行。GSMA在歐洲范圍內(nèi)推廣這一方案。該模型中,互聯(lián)的中心平臺完成與各個(gè)運(yùn)營商系統(tǒng)對接,SP僅需要與互聯(lián)的中心平臺完成一點(diǎn)對接即可接入所有運(yùn)營商。
(3)SP管理路由發(fā)現(xiàn)
大型SP有能力自己完成路由發(fā)現(xiàn)的管理,與各個(gè)運(yùn)營商完成對接。
2016年7月在上海MWC大會上,中國的三家運(yùn)營商與國外運(yùn)營商聯(lián)合演示了Mobile Connect業(yè)務(wù)。中國電信的號簿助手業(yè)務(wù)作為開放的互聯(lián)網(wǎng)業(yè)務(wù),采用運(yùn)營商路由發(fā)現(xiàn)模型與各運(yùn)營商認(rèn)證系統(tǒng)對接,實(shí)現(xiàn)了各個(gè)運(yùn)營商的用戶通過點(diǎn)擊“Mobile Connect”按鈕,就可以直接登錄號簿助手應(yīng)用。
GSMA聚焦推動(dòng)運(yùn)營商Mobile Connect部署:互聯(lián)的認(rèn)證服務(wù)、統(tǒng)一開放的應(yīng)用接口、一致的業(yè)務(wù)名稱。全球已有22個(gè)國家的42家運(yùn)營商在部署,如:Orange 在西班牙、摩洛哥、法國等地部署了MC服務(wù);Telenor在北歐、馬來西亞、巴基斯擔(dān)、孟加拉、泰國、印度、緬甸等地推進(jìn)MC業(yè)務(wù); Telefonica在西班牙等地部署MC業(yè)務(wù)。目前,全球運(yùn)營商的移動(dòng)認(rèn)證服務(wù)注冊用戶數(shù) 2千萬。
Mobile Connect作為一種全球統(tǒng)一認(rèn)證的方案為用戶、SP與運(yùn)營商都帶來了好處。用戶無須記憶不同應(yīng)用的多個(gè)密碼可以實(shí)現(xiàn)快速安全登錄認(rèn)證,且僅需攜帶手機(jī)便可實(shí)現(xiàn)多個(gè)Ukey功能。SP增加了一種全球用戶體驗(yàn)一致的應(yīng)用認(rèn)證手段,路由發(fā)現(xiàn)簡化了SP和多MNO合作時(shí)的系列問題,減少了系統(tǒng)接口、業(yè)務(wù)接口、協(xié)議等;無須用戶逐一注冊,應(yīng)用與MC合作即可獲得全球運(yùn)營商的用戶數(shù)。而運(yùn)營商的各種轉(zhuǎn)型業(yè)務(wù)從而也可以跨過運(yùn)營商網(wǎng)間壁壘,具備為他網(wǎng)用戶提供服務(wù)的能力,獲得了進(jìn)一步向海外更多用戶開放的空間。同時(shí),運(yùn)營商參與到認(rèn)證環(huán)節(jié)中,在與互聯(lián)網(wǎng)商的競爭與合作中,形成合力,提高用戶粘性,提升產(chǎn)業(yè)鏈的話語權(quán)與控制力 。但是,Mobile Connect作為全球運(yùn)營商推廣的統(tǒng)一的移動(dòng)認(rèn)證業(yè)務(wù)也面臨著各種挑戰(zhàn)。
(1)政策與法規(guī)
全球可互通的認(rèn)證跨不過法律法規(guī)這道坎。身份是否允許外傳,是否國外認(rèn)證過的用戶國內(nèi)就能夠承認(rèn)?這些都需要仔細(xì)研究。GSMA成立了相應(yīng)的隱私保護(hù)與政策研究工作組,中電信已經(jīng)申請加入,中移動(dòng)中聯(lián)通也表態(tài)加入。三個(gè)運(yùn)營商都表示需要推動(dòng)明確和遵循國家相關(guān)電子簽名法、隱私保護(hù)法規(guī)(工信部2013年24、25號令等),GSMA也會內(nèi)部協(xié)調(diào)法務(wù)和隱私方面專家指導(dǎo)中國運(yùn)營商。同時(shí)對于SP的需求,也要進(jìn)行分級,不同的安全級別對應(yīng)不同的隱私法規(guī)區(qū)別要求。
(2)用戶體驗(yàn)
GSMA提供Mobile Connect統(tǒng)一的Logo設(shè)計(jì)和業(yè)務(wù)入口Button,以及主要用戶使用流程。但是,實(shí)際上用戶對于運(yùn)營商的標(biāo)識已經(jīng)深入人心,此外,短信驗(yàn)證碼也已經(jīng)是市場認(rèn)可的,用戶高度接受的認(rèn)證方式,如何將用戶遷移到Mobile Connect? Mobile Connect的Logo與業(yè)務(wù)體驗(yàn)獲得市場認(rèn)可,需要的不僅僅是時(shí)間,更是各方市場努力。
(3)互聯(lián)網(wǎng)商的競爭
許多互聯(lián)網(wǎng)商已經(jīng)在認(rèn)證開放平臺這方面精耕多年,如騰訊、百度、Google、Facebook等。全球運(yùn)營商聯(lián)合推出業(yè)務(wù)體驗(yàn)一致的移動(dòng)認(rèn)證方案正是為了更好地參與到移動(dòng)認(rèn)證領(lǐng)域中。然而,如何有效地爭取客戶,擴(kuò)大業(yè)務(wù)規(guī)模,使其品牌真正立足于用戶心中,需要做好產(chǎn)品的規(guī)劃和策略。GSMA建議暫時(shí)先建立兩類產(chǎn)品架構(gòu),MC1(1factor,對應(yīng)LoA2的Click OK)和MC2(2 factors,對應(yīng)LoA 3的Enter PIN)。針對銀行、政務(wù)等應(yīng)用開展LoA4的基于用戶卡的卡盾認(rèn)證服務(wù)。從認(rèn)證切入,后續(xù)還可以結(jié)合網(wǎng)絡(luò)信息進(jìn)一步開展多維度屬性驗(yàn)證等業(yè)務(wù)。
1 FIDO 聯(lián)盟 https://FIDOalliance.org/specifications/overview/
2 GSMA http://inforcentre2.gsma.com/
10.3969/j.issn.1006-6403.2016.11.016
(2016-11-08)