［張榮 郭建昌］

運(yùn)營商身份認(rèn)證方案解析

［張榮 郭建昌］

介紹了運(yùn)營商開展身份認(rèn)證業(yè)務(wù)的背景與認(rèn)證主要技術(shù)，并討論了運(yùn)營商身份認(rèn)證三類主要方案，最后闡述了運(yùn)營商開展身份認(rèn)證業(yè)務(wù)所面臨的機(jī)遇與挑戰(zhàn)。

認(rèn)證 加密 接入鑒權(quán) 用戶卡

張榮

高級工程師，中國電信股份有限公司廣州研究院，主要從事移動互聯(lián)網(wǎng)新技術(shù)與業(yè)務(wù)、智能管道等研究。

郭建昌

工程師，中國電信股份有限公司廣州研究院，主要從事移動互聯(lián)網(wǎng)安全技術(shù)研究與產(chǎn)品開發(fā)。

1 背景

隨著O2O的發(fā)展，線下生活與線上行為連接，啟動全球生活數(shù)字化。而無論是產(chǎn)業(yè)鏈玩家還是消費(fèi)者都一致認(rèn)識到：萬物互聯(lián)，認(rèn)證先行。提供安全無縫的身份認(rèn)證服務(wù)，成為數(shù)字經(jīng)濟(jì)中的戰(zhàn)略挑戰(zhàn)。

作為互聯(lián)網(wǎng)SP巨頭，微信2016.05已經(jīng)7.6億多活躍用戶，越來越多的應(yīng)用選擇使用微信、QQ進(jìn)行認(rèn)證?；陂_放的認(rèn)證能力，微信開放平臺將其登錄、分享、支付等作為能力組件為第三方SP開放。Google、Facebook、蘋果等巨頭也都在積極構(gòu)建安全認(rèn)證能力。

身份認(rèn)證業(yè)務(wù)對于運(yùn)營商也有著深刻的意義。用戶需要隨時(shí)、隨地、隨身登陸網(wǎng)絡(luò)上的不同應(yīng)用，但是多應(yīng)用、多密碼一直困擾著用戶。認(rèn)證是用戶接入網(wǎng)絡(luò)、應(yīng)用的第一道門戶，維系用戶關(guān)系的紐帶；打造新型IDaaS（認(rèn)證即服務(wù)）服務(wù)，有助于運(yùn)營商構(gòu)筑從傳統(tǒng)傳輸型網(wǎng)絡(luò)切入智慧信息網(wǎng)絡(luò)的用戶基礎(chǔ)。

同時(shí)，運(yùn)營商開展身份認(rèn)證也有著先天優(yōu)勢。全球最大的寬帶網(wǎng)絡(luò)和覆蓋全國的移動網(wǎng)絡(luò)，在對移動終端接入網(wǎng)絡(luò)的合法性進(jìn)行鑒權(quán)以及安全性進(jìn)行保障方面的運(yùn)營經(jīng)驗(yàn)豐富。自有渠道能夠覆蓋到每一個(gè)鄉(xiāng)鎮(zhèn)，結(jié)合實(shí)名制，有能力對用戶進(jìn)行面對面服務(wù)、審核。手機(jī)號碼是很多移動互聯(lián)網(wǎng)應(yīng)用認(rèn)證重要手段，培養(yǎng)了用戶通過運(yùn)營商業(yè)務(wù)進(jìn)行業(yè)務(wù)認(rèn)證的習(xí)慣。

2 身份認(rèn)證技術(shù)簡介

身份認(rèn)證技術(shù)用于解決訪問者的物理身份和數(shù)字身份的一致性問題，給其他安全技術(shù)提供權(quán)限管理的依據(jù)。它的任務(wù)是檢驗(yàn)信息系統(tǒng)用戶身份的合法性和真實(shí)性，并按系統(tǒng)授予的權(quán)限訪問系統(tǒng)資源，將非法訪問者拒之門外。

如圖1所示，完整的身份認(rèn)證方案包含了用戶側(cè)/系統(tǒng)側(cè)的判定依據(jù)、加密方式、驗(yàn)證方式、以及是否進(jìn)行完整性保護(hù)。判定依據(jù)通常根據(jù)用戶所擁有的（例如：key）所知道（如：密碼）、所是即代表用戶的生物特征（如指紋）。加密方式主要是指對明文的加密方法，也是認(rèn)證的核心技術(shù)。驗(yàn)證方式主要分為對比明文和對比密文兩類。完整性保護(hù)主要是保證傳輸?shù)臄?shù)據(jù)不被篡改，是身份認(rèn)證方案中的一個(gè)輔助手段，本文不作詳述。采用1個(gè)或多個(gè)這些判定因子，對明文進(jìn)行加密，然后在系統(tǒng)側(cè)相同的因子參加相同的加密運(yùn)算形成系統(tǒng)側(cè)密文，與從遠(yuǎn)端端傳輸來的密文進(jìn)行比較；或者在系統(tǒng)側(cè)將遠(yuǎn)端傳來的密文解密，將再與系統(tǒng)側(cè)所持有的判定因子的明文進(jìn)行對比，這樣就形成了端到端的認(rèn)證方案。

圖1 身份認(rèn)證方案示意

根據(jù)加密的方法：分為對稱密碼認(rèn)證和非對稱密碼認(rèn)證（PKI）。對稱加密認(rèn)證包括用戶名密碼、OTP、令牌、基于沖擊-響應(yīng)的雙因子認(rèn)證，而對稱的判定因子也相當(dāng)于對稱的密碼。非對稱密加密認(rèn)證主要是基于PKI技術(shù)的。根據(jù)是否基于硬件處理,又可分為基于硬件認(rèn)證（UKEY）和非硬件認(rèn)證。

3 運(yùn)營商典型身份認(rèn)證方案分析

網(wǎng)絡(luò)接入鑒權(quán)方案、基于網(wǎng)絡(luò)能力開放的認(rèn)證方案（IMSI、網(wǎng)關(guān)插入手機(jī)號）、基于用戶卡應(yīng)用的認(rèn)證方案是運(yùn)營商中較為典型的三類認(rèn)證方案。

運(yùn)營商最廣泛使用的身份認(rèn)證方案是其網(wǎng)絡(luò)接入鑒權(quán)方案。隨著網(wǎng)絡(luò)的發(fā)展，其鑒權(quán)方案也在不斷演變，但是總體來說，移動數(shù)據(jù)網(wǎng)接入鑒權(quán)一直都使用的是對稱加密技術(shù)。表1所示為各類移動網(wǎng)絡(luò)中的接入鑒權(quán)方案對比。由表1可見，移動接入網(wǎng)絡(luò)鑒權(quán)整體使用的是對稱加密算法，對密鑰的管理要求較高；隨著技術(shù)的發(fā)展，逐步由單向認(rèn)證向雙向認(rèn)證演進(jìn)；算法逐漸復(fù)雜，密鑰也越來越長，以對抗破解攻擊；從最初GSM網(wǎng)絡(luò)缺乏加密和完整性保護(hù)，到今天的LTE網(wǎng)絡(luò)已經(jīng)采用多層次密鑰，對網(wǎng)絡(luò)分層加密和實(shí)施完整性保護(hù)。

表1 移動網(wǎng)絡(luò)接入鑒權(quán)對比

3GPP TS 33.220 中描述的GBA統(tǒng)一認(rèn)證架構(gòu)即是將網(wǎng)絡(luò)接入鑒權(quán)架構(gòu)開放出來為上層業(yè)務(wù)服務(wù)。但是目前僅在IMS補(bǔ)充配置業(yè)務(wù)中有所應(yīng)用。

利用網(wǎng)絡(luò)優(yōu)勢，運(yùn)營商將網(wǎng)絡(luò)能力開放還嘗試了一些其他業(yè)務(wù)認(rèn)證方案，例如IMSI反查、綜合網(wǎng)關(guān)插入電話號碼等。

IMSI反查是指根據(jù)終端上報(bào)IMSI，在系統(tǒng)側(cè)查出對應(yīng)的手機(jī)號，用戶自動使用手機(jī)號嗎登錄。這種認(rèn)證方案適用于低安全級別的登錄認(rèn)證，如影訊瀏覽等。但是該方案也存在于終端IMSI仿冒等安全問題。

綜合網(wǎng)關(guān)插入電話號碼如圖2所示，基于HTTP頭增強(qiáng)的功能，當(dāng)用戶訪問認(rèn)證平臺時(shí)，網(wǎng)關(guān)在用戶的HTTP請求包頭中插入MDN號碼，從而實(shí)現(xiàn)將用戶號碼傳遞給認(rèn)證平臺。適用中安全級別的免登錄應(yīng)用或小額交易應(yīng)用。該方案雖然具有不需要用戶參與，自動實(shí)現(xiàn)手機(jī)號碼識別，推廣不受終端和卡的限制等優(yōu)點(diǎn)，但是它不支持WiFi接入，限于移動數(shù)據(jù)HTTP類應(yīng)用，也有一些隱性安全問題，如APP應(yīng)用自己在HTTP協(xié)議字段中添加MDN字段（網(wǎng)關(guān)需配置重置所有HTTP協(xié)議包頭的MDN字段）。

圖2 綜合網(wǎng)關(guān)插入電話號碼認(rèn)證示意

近來，國內(nèi)外各運(yùn)營商中有的推出基于用戶卡能力的卡應(yīng)用認(rèn)證，主要是利用卡的安全存儲、安全訪問、安全運(yùn)算等能力，將終端的認(rèn)證因子和算法存儲在卡應(yīng)用，通過卡和系統(tǒng)側(cè)的安全交互，實(shí)現(xiàn)在線身份認(rèn)證，具體可參考文獻(xiàn)[1]。基于卡應(yīng)用的身份認(rèn)證方案可以選擇OTP、令牌、PKI等成熟的方法，但是由于數(shù)據(jù)和算法都存在用戶卡這樣的安全單元上，用戶卡具備了CC EAL 5+安全級別，任何應(yīng)用要訪問卡必須符合安全訪問規(guī)則，由此對卡內(nèi)信息和算法提供了當(dāng)前最高等級的安全防護(hù)。卡應(yīng)用認(rèn)證可提供多種不同安全等級認(rèn)證方式，分別適用高、中、中低安全級別應(yīng)用場景，如銀行卡盾、安全辦公、app登錄等。

上述三類認(rèn)證方案都是利用了運(yùn)營商現(xiàn)有的優(yōu)勢資源，但是從滿足用戶需求和運(yùn)營商長期發(fā)展策略來看，無論網(wǎng)絡(luò)如何變化，網(wǎng)絡(luò)接入是運(yùn)營商的核心資源，而用戶卡上所承載的信息也是網(wǎng)絡(luò)接入所必不可少的。

4 運(yùn)營商身份認(rèn)證業(yè)務(wù)所面臨的機(jī)遇與挑戰(zhàn)

運(yùn)營商開展身份認(rèn)證業(yè)務(wù)具有以下先天優(yōu)勢。（1）品牌和渠道優(yōu)勢。網(wǎng)點(diǎn)覆蓋范圍廣，對所有用戶可以作面對面審核；獲得合作伙伴和客戶廣泛認(rèn)可，是普遍信賴的服務(wù)提供方。（2）系統(tǒng)優(yōu)勢。端到端的系統(tǒng)優(yōu)勢體現(xiàn)在：應(yīng)用對于基礎(chǔ)網(wǎng)絡(luò)的依賴；系統(tǒng)對移動終端接入網(wǎng)絡(luò)的合法性進(jìn)行鑒權(quán)以及安全性進(jìn)行保障；用戶卡具備安全保護(hù)芯片，加解密算法的協(xié)處理器，配合GPAC安全訪問控制機(jī)制，使得用戶卡具備了與U盾同等的高安全級別。此外，系統(tǒng)中還有各種用戶行為記錄。（3）業(yè)務(wù)基礎(chǔ)。作為用戶卡的發(fā)卡方，發(fā)卡過程實(shí)現(xiàn)了對用戶真實(shí)身份的核驗(yàn)；可以通過可信服務(wù)管理平臺TSM對卡片進(jìn)行維護(hù)及管理；碼號作為網(wǎng)絡(luò)接入與用戶的觸點(diǎn)，具有增強(qiáng)用戶粘性的作用。

但是運(yùn)營商仍面臨很多挑戰(zhàn)。（1）認(rèn)證整體方案往往需要終端和系統(tǒng)側(cè)的配合，而運(yùn)營商對終端的控制力僅限于定制終端，而國內(nèi)市場上銷售的手機(jī)定制終端所占比例不高。如何確保終端對方案的支持？（2）越來越多的eSIM會首先占領(lǐng)物聯(lián)網(wǎng)市場，如何應(yīng)對這種用戶卡形式的變化？（3）終端廠商也在紛紛向平臺商轉(zhuǎn)型。以蘋果為例，Apple ID賬號認(rèn)證應(yīng)用在蘋果的各種應(yīng)用、維護(hù)中，其蘋果pay也是以認(rèn)證為核心。這種競爭趨勢下，運(yùn)營商如何迅速有效利用自身優(yōu)勢？

萬物互聯(lián)中認(rèn)證必不可少，與領(lǐng)先互聯(lián)網(wǎng)公司、終端設(shè)備公司對用戶的爭奪、價(jià)值鏈的博弈已經(jīng)在認(rèn)證技術(shù)上開始了。運(yùn)營商是否能把握機(jī)遇？讓我們拭目以待。

1 張榮、黎艷、郭建昌 基于用戶卡的移動認(rèn)證技術(shù)方案與應(yīng)用移動通信 2015（3）

2 3GPP TS 33.220-2005

2016-12-01）

10.3969/j.issn.1006-6403.2016.12.002