［郭茂文］

Mobile Connect卡認證與FIDO認證技術(shù)方案比較研究

［郭茂文］

主要介紹了業(yè)界兩種典型的移動認證解決方案：以運營商為代表的Mobile Connect卡認證方案和以互聯(lián)網(wǎng)公司為代表的FIDO聯(lián)盟認證方案，并從多個角度比較了這兩種方案的差異及其優(yōu)缺點，最后提出了在Mobile Connect卡認證方案中集成FIDO聯(lián)盟認證方案的設(shè)想和思路。

移動認證 Mobile Connect 卡認證 FIDO認證

郭茂文

中國電信股份有限公司廣東研究院。

1 背景

當前，互聯(lián)網(wǎng)+的發(fā)展趨勢非常明顯，各行各業(yè)都在進行互聯(lián)網(wǎng)化轉(zhuǎn)型升級，手機購物、移動金融、移動醫(yī)療、移動政務(wù)等，這些移動應(yīng)用已經(jīng)滲透到我們生活和工作的方方面面，這些移動應(yīng)用在給我們帶來便利的同時，也帶來了個人隱私泄露問題。而且，移動應(yīng)用用得越多，用戶隱私泄露的概率就越大。2016年10月初，廣東省公安機關(guān)開展的“安網(wǎng)7號”行動中繳獲的非法個人信息達2.3億條，這些個人信息主要來自電商、銀行，甚至是一些政府網(wǎng)站等，可見，現(xiàn)在的隱私泄露問題已經(jīng)非常嚴重了。目前，移動應(yīng)用的登錄和關(guān)鍵操作（如支付環(huán)節(jié)）基本是采用“賬號+口令+短信驗證碼”方式實現(xiàn)對用戶進行身份認證的。這種認證方式存在兩個缺陷：一是安全性低，容易被惡意軟件攔截，導致短信驗證碼泄露；二是存在網(wǎng)絡(luò)延遲問題，它是在網(wǎng)絡(luò)側(cè)產(chǎn)生的，通過短信方式發(fā)送到移動終端上，用戶在手機上輸入后，又需要發(fā)送到網(wǎng)絡(luò)側(cè)驗證，這樣，耗費時間長，用戶體驗效果差。

隨著智能終端和用戶卡技術(shù)的發(fā)展，近兩年，業(yè)界出現(xiàn)了新的移動認證技術(shù)以用于取代傳統(tǒng)的“賬號+口令+短信驗證碼”方式的身份認證技術(shù)。其中，比較典型的有兩種，一種是以互聯(lián)網(wǎng)公司為代表的基于指紋識別的FIDO聯(lián)盟認證技術(shù)解決方案；另一種是以運營商為代表的基于用戶卡的卡認證技術(shù)解決方案。

2 Mobile Connect卡認證技術(shù)方案介紹

2015年，GSMA在個人數(shù)據(jù)項目中提出Mobile Connect移動互聯(lián)身份認證業(yè)務(wù)。該業(yè)務(wù)以運營商優(yōu)勢資源用戶卡為認證載體，向用戶提供安全、簡單、便捷的移動身份認證服務(wù)。而且，通過路由發(fā)現(xiàn)機制實現(xiàn)全球各運營商卡認證系統(tǒng)的互聯(lián)互通，簡化了SP應(yīng)用的接入。

GSMA Mobile Connect卡認證方案如圖1所示：

圖1 GSMA Mobile Connect卡認證方案示意圖

該方案主要功能模塊包括：運營商認證平臺、路由發(fā)現(xiàn)及尋址服務(wù)器、卡應(yīng)用。其中，運營商認證平臺主要實現(xiàn)Mobile Connect認證功能；路由發(fā)現(xiàn)及尋址服務(wù)器主要實現(xiàn)對不同運營商歸屬電話號碼的判斷，并將來自SP的認證請求轉(zhuǎn)發(fā)給相應(yīng)的運營商認證平臺；卡應(yīng)用位于用戶卡中，完成卡認證算法邏輯處理等功能。

GSMA Mobile Connect卡認證方案的主要業(yè)務(wù)流程如下：

（1）用戶在應(yīng)用APP客戶端認證頁面輸入自己的電話號碼，并提交給SP；

（2）SP服務(wù)器將來自APP客戶端的認證請求（含電話號碼信息）轉(zhuǎn)發(fā)給路由發(fā)現(xiàn)及尋址服務(wù)器；

（3）路由發(fā)現(xiàn)及尋址服務(wù)器解析用戶電話號碼，并將用戶電話號碼所屬的運營商認證平臺URL地址信息返回給SP服務(wù)器；

（4）SP服務(wù)器重定向?qū)PP客戶端的認證請求信息轉(zhuǎn)發(fā)給運營商認證平臺；

（5）運營商認證平臺以短信方式將認證請求信息發(fā)送給用戶卡；

（6）用戶卡在用戶手機上彈出認證確認窗口，用戶點擊確認按鈕；

（7）用戶卡以短信方式返回認證確認信息給運營商認證平臺；

（8）認證平臺對認證確認信息進行校驗，核實后將認證通過的結(jié)果通知SP服務(wù)器；

（9）用戶通過SP客戶端進行后續(xù)操作。

3 FIDO聯(lián)盟認證技術(shù)方案介紹

FIDO聯(lián)盟認證技術(shù)方案是FIDO聯(lián)盟制定的在線與數(shù)碼驗證方面的首個開放行業(yè)標準，并于2014年12月發(fā)布，包括fdo-u2f-v1.0和fdo-uaf-v1.0兩套協(xié)議。這兩套協(xié)議可以很好地提高身份認證安全性、保護隱私及簡化用戶體驗。其中，U2F（Universal Second Factor protocol）支持U盾、NFC芯片、TPM(可信賴平臺模塊)等硬件設(shè)備，使用雙因子（密碼和硬件設(shè)備）保護用戶賬戶和隱私；UAF（ Universal Authentication Framework protocol）支持指紋、語音、虹膜、臉部識別等生物身份識別方式。無需用戶密碼介入，直接進行認證。這里主要介紹UAF。

UAF協(xié)議主要利用了智能終端的生物特征識別技術(shù)，并通過本地身份識別與在線身份認證相結(jié)合的方式實現(xiàn)用戶的安全身份認證。其中，在線身份認證技術(shù)采用非對稱公私鑰對來提供安全保障。基于UAF協(xié)議的FIDO聯(lián)盟認證方案的總體架構(gòu)如圖2所示。

圖2 基于UAF協(xié)議的FIDO聯(lián)盟認證方案總體架構(gòu)

該方案主要功能模塊包括：網(wǎng)絡(luò)側(cè)的認證器服務(wù)器、終端側(cè)的UAF認證器和UAF插件。其中，認證器服務(wù)器主要是實現(xiàn)FIDO認證校驗功能；UAF認證器負責獲取生物特征識別信息結(jié)果（一般是指紋信息），產(chǎn)生并管理非對稱密鑰對，完成各種密碼學運算（例如簽名、哈希、加解密等）；UAF插件主要實現(xiàn)訪問控制，建立應(yīng)用APP、賬號與認證器之間的對應(yīng)關(guān)系，屏蔽認證器差異（一個移動終端可能有多個認證器）向應(yīng)用APP提供統(tǒng)一接口。

具體來說，基于UAF協(xié)議的FIDO聯(lián)盟方案在使用時涉及兩個步驟：注冊和認證。

當用戶注冊時，用戶側(cè)的UAF認證器產(chǎn)生一對非對稱密鑰對，并與用戶本地的生物特征身份信息（如指紋等）進行關(guān)聯(lián)。私鑰在用戶端本地設(shè)備中保留，公鑰傳給服務(wù)器，服務(wù)器將此公鑰和用戶對應(yīng)的應(yīng)用賬戶相關(guān)聯(lián)。

當用戶登錄時，用戶側(cè)UAF認證器在經(jīng)過本地用戶身份識別后，采用私鑰對服務(wù)器的挑戰(zhàn)數(shù)據(jù)做簽名，服務(wù)器使用對應(yīng)的公鑰做驗證。

4 兩種方案的比較分析

Mobile Connect卡認證方案和FIDO聯(lián)盟認證方案均希望為用戶提供更容易、更安全的在線身份認證，采用移動終端作為認證載體，其中卡認證方案利用了運營商的用戶卡（手機號）作為用戶的身份標識，而FIDO聯(lián)盟認證方案則是利用了終端生物特征識別技術(shù)，并將用戶生物特征作為身份標識。但是，這兩種方案在應(yīng)用場景、加密技術(shù)以及對終端與卡的要求方面均存在一定的差異，表1是二者的主要比較和分析情況。

表1 Mobile Connect卡認證和FIDO聯(lián)盟認證方案比較

從表1的比較中可以看出，對于Mobile Connect卡認證方案來說，在適合的應(yīng)用場景方面，可廣泛用于PC應(yīng)用和移動應(yīng)用，而且，其認證器（即卡應(yīng)用）存儲在用戶卡內(nèi)，安全性較高，可適合于任何智能移動終端，當用戶變更終端時，只需要將用戶卡插入新的終端即可繼續(xù)使用。但是，用戶卡需要加載或提前預(yù)置認證器，其用戶覆蓋能力有賴于運營商及各運營商之間的互聯(lián)互通情況，在用戶體驗方面也一般。對于FIDO聯(lián)盟方案來說，只需要移動終端支持生物特征識別技術(shù)，對用戶卡無要求，可廣泛覆蓋各運營商的用戶，用戶使用時，認證速度比較快，用戶具有良好的客戶體驗，但是，這種方案只適用于移動應(yīng)用，而且，在高安全需求情況下，需要終端通過TEE環(huán)境或者SE實現(xiàn)認證器功能。

5 兩種方案的集成分析

綜上所述，Mobile Connect卡認證和FIDO聯(lián)盟認證方案各有自己的優(yōu)缺點，其中，卡認證采用短信通道對用戶的業(yè)務(wù)體驗會有一定的影響，而FIDO聯(lián)盟認證方案中的認證器如果需要安全存儲，則對終端的要求較高，影響該方案的推廣和普及。隨著現(xiàn)在用戶卡技術(shù)以及機卡通信技術(shù)的發(fā)展，終端和用戶卡之間可直接通過OMA接口實現(xiàn)高效通信。卡認證和FIDO聯(lián)盟認證這兩種方案可以互相借鑒和融合，形成新的安全性高、用戶體驗良好的移動認證解決方案，如圖3所示。

圖3 卡認證和FIDO聯(lián)盟認證方案示意圖

集成的認證方案由終端側(cè)的FIDO認證器、FIDO插件及認證APP，網(wǎng)絡(luò)側(cè)的Identity網(wǎng)關(guān)、FIDO認證服務(wù)器組成。其中，F(xiàn)IDO認證器位于SIM卡內(nèi)，Identity網(wǎng)關(guān)與FIDO認證服務(wù)器連接，實現(xiàn)用戶認證路由尋址功能，并發(fā)送消息通知給終端側(cè)認證APP，以便發(fā)起FIDO認證服務(wù)。認證APP實現(xiàn)接收來自Identity網(wǎng)關(guān)的認證請求，并發(fā)送給FIDO插件。以下為該方案情況下的FIDO注冊和認證主要流程。

FIDO注冊流程：

（1）用戶啟動認證APP，選擇要注冊的新的FIDO認證器，認證APP請求Identity網(wǎng)關(guān)啟動注冊流程；

按照灌溉系統(tǒng)分為A系統(tǒng)、B系統(tǒng)和C系統(tǒng)，根據(jù)行間耕作方式分別確定為行間清耕、間作小麥、自然生草3種處理。行間清耕處理位于A灌溉系統(tǒng)，調(diào)查區(qū)域為距離防風林第12行～第17行。間作小麥處理位于B灌溉系統(tǒng)中間位置，調(diào)查區(qū)域為距離防風林第6行～第11行，間作的小麥被風沙掩埋。自然生草處理位于C灌溉系統(tǒng)，調(diào)查區(qū)域為距離防風林第7行～第12行。

（2）Identity網(wǎng)關(guān)對認證APP進行合法性驗證。驗證通過后，Identity網(wǎng)關(guān)發(fā)送FIDO注冊請求（包含F(xiàn)IDO策略）給FIDO認證服務(wù)器；

（3）FIDO認證服務(wù)器檢查FIDO策略后，返回FIDO注冊請求消息給Identity網(wǎng)關(guān)；

（4）Identity網(wǎng)關(guān)返回FIDO注冊請求響應(yīng)消息給認證APP；認證APP將該消息轉(zhuǎn)發(fā)給FIDO插件；

（5）FIDO插件根據(jù)FIDO策略發(fā)現(xiàn)FIDO認證器，用戶通過生物特征識別和認證后選擇SIM卡內(nèi)的FIDO認證器進行注冊；

（6）SIM卡內(nèi)的FIDO認證器產(chǎn)生密鑰對并返回公鑰給FIDO插件，F(xiàn)IDO插件轉(zhuǎn)發(fā)給認證APP；

（7）認證APP返回注冊響應(yīng)消息（包括公鑰）給Identity網(wǎng)關(guān)，Identity網(wǎng)關(guān)轉(zhuǎn)發(fā)給FIDO認證服務(wù)器；

FIDO認證（以應(yīng)用客戶端位于PC為例）流程：

（1）用戶通過PC訪問SP應(yīng)用服務(wù)器，并點擊FIDO認證按鈕；

（2）SP應(yīng)用服務(wù)器發(fā)送認證請求給Identity網(wǎng)關(guān)；

（3）Identity網(wǎng)關(guān)向用戶獲取MSISDN信息，根據(jù)策略選擇FIDO認證器；

（4）Identity網(wǎng)關(guān)推送消息給認證APP；認證APP向Identity網(wǎng)關(guān)發(fā)起FIDO認證流程；

（5）Identity網(wǎng)關(guān)觸發(fā)FIDO認證服務(wù)器產(chǎn)生FIDO認證請求消息；FIDO認證服務(wù)器響應(yīng)認證請求消息給Identity網(wǎng)關(guān)；

（6）Identity網(wǎng)關(guān)返回FIDO認證請求響應(yīng)消息給認證APP；認證APP將該消息轉(zhuǎn)發(fā)給FIDO插件；

（7）FIDO插件根據(jù)FIDO策略選擇相應(yīng)的FIDO認證器，用戶本地生物特征識別和認證后，SIM卡內(nèi)的FIDO認證器采用私鑰進行簽名認證，并將簽名認證結(jié)果發(fā)送給FIDO插件；

（8）FIDO插件轉(zhuǎn)發(fā)簽名認證結(jié)果給認證APP；

（9）認證APP返回簽名認證結(jié)果給Identity網(wǎng)關(guān)，Identity網(wǎng)關(guān)轉(zhuǎn)發(fā)給FIDO認證服務(wù)器；

（10）FIDO認證服務(wù)器通過公鑰檢驗簽名認證結(jié)果；并將校驗結(jié)果返回給Identity網(wǎng)關(guān)；

（11）Identity網(wǎng)關(guān)返回校驗結(jié)果給認證APP；

（12）Identity網(wǎng)關(guān)發(fā)送授權(quán)碼給SP應(yīng)用服務(wù)器，用戶可正常訪問SP應(yīng)用。

6 結(jié)束語

當前，安全的移動認證解決方案是業(yè)界關(guān)注的焦點，可以大大降低用戶隱私泄漏后的經(jīng)濟損失風險?；ヂ?lián)網(wǎng)公司希望擺脫運營商的束縛，基于智能移動終端技術(shù)提供以生物特征識別為基礎(chǔ)的安全便捷的認證解決方案。但是，這種方案對終端的安全存儲要求較高，難以覆蓋大多數(shù)互聯(lián)網(wǎng)用戶；而運營商則希望利用用戶卡優(yōu)勢發(fā)展基于用戶卡的安全認證解決方案，雖然這種方案不依賴終端，可以通過運營商互聯(lián)互通實現(xiàn)全網(wǎng)互聯(lián)網(wǎng)用戶的覆蓋，但是，在用戶體驗方面遜于互聯(lián)網(wǎng)公司的解決方案。較好的解決方案是互聯(lián)網(wǎng)公司和運營商彼此揚長避短進行合作，運營商開放用戶卡空間作為安全的認證器載體，在卡認證解決方案中集成互聯(lián)網(wǎng)公司的FIDO認證解決方案，從而為用戶提供安全便捷、體驗良好的身份認證解決方案，共同推動這種解決方案在互聯(lián)網(wǎng)行業(yè)的應(yīng)用和推廣普及，保障用戶安全。

1 FIDO Alliance，F(xiàn)IDO UAF Protocol Specifcation v1.0 2014年12月8日

2 GSMA, FIDO integration with Mobile Connect 2015年5月11日

2016-12-02）

10.3969/j.issn.1006-6403.2016.12.005