［郭茂文］

Mobile Connect卡認(rèn)證與FIDO認(rèn)證技術(shù)方案比較研究

［郭茂文］

主要介紹了業(yè)界兩種典型的移動(dòng)認(rèn)證解決方案：以運(yùn)營(yíng)商為代表的Mobile Connect卡認(rèn)證方案和以互聯(lián)網(wǎng)公司為代表的FIDO聯(lián)盟認(rèn)證方案，并從多個(gè)角度比較了這兩種方案的差異及其優(yōu)缺點(diǎn)，最后提出了在Mobile Connect卡認(rèn)證方案中集成FIDO聯(lián)盟認(rèn)證方案的設(shè)想和思路。

移動(dòng)認(rèn)證 Mobile Connect 卡認(rèn)證 FIDO認(rèn)證

郭茂文

中國電信股份有限公司廣東研究院。

1 背景

當(dāng)前，互聯(lián)網(wǎng)+的發(fā)展趨勢(shì)非常明顯，各行各業(yè)都在進(jìn)行互聯(lián)網(wǎng)化轉(zhuǎn)型升級(jí)，手機(jī)購物、移動(dòng)金融、移動(dòng)醫(yī)療、移動(dòng)政務(wù)等，這些移動(dòng)應(yīng)用已經(jīng)滲透到我們生活和工作的方方面面，這些移動(dòng)應(yīng)用在給我們帶來便利的同時(shí)，也帶來了個(gè)人隱私泄露問題。而且，移動(dòng)應(yīng)用用得越多，用戶隱私泄露的概率就越大。2016年10月初，廣東省公安機(jī)關(guān)開展的“安網(wǎng)7號(hào)”行動(dòng)中繳獲的非法個(gè)人信息達(dá)2.3億條，這些個(gè)人信息主要來自電商、銀行，甚至是一些政府網(wǎng)站等，可見，現(xiàn)在的隱私泄露問題已經(jīng)非常嚴(yán)重了。目前，移動(dòng)應(yīng)用的登錄和關(guān)鍵操作（如支付環(huán)節(jié)）基本是采用“賬號(hào)+口令+短信驗(yàn)證碼”方式實(shí)現(xiàn)對(duì)用戶進(jìn)行身份認(rèn)證的。這種認(rèn)證方式存在兩個(gè)缺陷：一是安全性低，容易被惡意軟件攔截，導(dǎo)致短信驗(yàn)證碼泄露；二是存在網(wǎng)絡(luò)延遲問題，它是在網(wǎng)絡(luò)側(cè)產(chǎn)生的，通過短信方式發(fā)送到移動(dòng)終端上，用戶在手機(jī)上輸入后，又需要發(fā)送到網(wǎng)絡(luò)側(cè)驗(yàn)證，這樣，耗費(fèi)時(shí)間長(zhǎng)，用戶體驗(yàn)效果差。

隨著智能終端和用戶卡技術(shù)的發(fā)展，近兩年，業(yè)界出現(xiàn)了新的移動(dòng)認(rèn)證技術(shù)以用于取代傳統(tǒng)的“賬號(hào)+口令+短信驗(yàn)證碼”方式的身份認(rèn)證技術(shù)。其中，比較典型的有兩種，一種是以互聯(lián)網(wǎng)公司為代表的基于指紋識(shí)別的FIDO聯(lián)盟認(rèn)證技術(shù)解決方案；另一種是以運(yùn)營(yíng)商為代表的基于用戶卡的卡認(rèn)證技術(shù)解決方案。

2 Mobile Connect卡認(rèn)證技術(shù)方案介紹

2015年，GSMA在個(gè)人數(shù)據(jù)項(xiàng)目中提出Mobile Connect移動(dòng)互聯(lián)身份認(rèn)證業(yè)務(wù)。該業(yè)務(wù)以運(yùn)營(yíng)商優(yōu)勢(shì)資源用戶卡為認(rèn)證載體，向用戶提供安全、簡(jiǎn)單、便捷的移動(dòng)身份認(rèn)證服務(wù)。而且，通過路由發(fā)現(xiàn)機(jī)制實(shí)現(xiàn)全球各運(yùn)營(yíng)商卡認(rèn)證系統(tǒng)的互聯(lián)互通，簡(jiǎn)化了SP應(yīng)用的接入。

GSMA Mobile Connect卡認(rèn)證方案如圖1所示：

圖1 GSMA Mobile Connect卡認(rèn)證方案示意圖

該方案主要功能模塊包括：運(yùn)營(yíng)商認(rèn)證平臺(tái)、路由發(fā)現(xiàn)及尋址服務(wù)器、卡應(yīng)用。其中，運(yùn)營(yíng)商認(rèn)證平臺(tái)主要實(shí)現(xiàn)Mobile Connect認(rèn)證功能；路由發(fā)現(xiàn)及尋址服務(wù)器主要實(shí)現(xiàn)對(duì)不同運(yùn)營(yíng)商歸屬電話號(hào)碼的判斷，并將來自SP的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給相應(yīng)的運(yùn)營(yíng)商認(rèn)證平臺(tái)；卡應(yīng)用位于用戶卡中，完成卡認(rèn)證算法邏輯處理等功能。

GSMA Mobile Connect卡認(rèn)證方案的主要業(yè)務(wù)流程如下：

（1）用戶在應(yīng)用APP客戶端認(rèn)證頁面輸入自己的電話號(hào)碼，并提交給SP；

（2）SP服務(wù)器將來自APP客戶端的認(rèn)證請(qǐng)求（含電話號(hào)碼信息）轉(zhuǎn)發(fā)給路由發(fā)現(xiàn)及尋址服務(wù)器；

（3）路由發(fā)現(xiàn)及尋址服務(wù)器解析用戶電話號(hào)碼，并將用戶電話號(hào)碼所屬的運(yùn)營(yíng)商認(rèn)證平臺(tái)URL地址信息返回給SP服務(wù)器；

（4）SP服務(wù)器重定向?qū)PP客戶端的認(rèn)證請(qǐng)求信息轉(zhuǎn)發(fā)給運(yùn)營(yíng)商認(rèn)證平臺(tái)；

（5）運(yùn)營(yíng)商認(rèn)證平臺(tái)以短信方式將認(rèn)證請(qǐng)求信息發(fā)送給用戶卡；

（6）用戶卡在用戶手機(jī)上彈出認(rèn)證確認(rèn)窗口，用戶點(diǎn)擊確認(rèn)按鈕；

（7）用戶卡以短信方式返回認(rèn)證確認(rèn)信息給運(yùn)營(yíng)商認(rèn)證平臺(tái)；

（8）認(rèn)證平臺(tái)對(duì)認(rèn)證確認(rèn)信息進(jìn)行校驗(yàn)，核實(shí)后將認(rèn)證通過的結(jié)果通知SP服務(wù)器；

（9）用戶通過SP客戶端進(jìn)行后續(xù)操作。

3 FIDO聯(lián)盟認(rèn)證技術(shù)方案介紹

FIDO聯(lián)盟認(rèn)證技術(shù)方案是FIDO聯(lián)盟制定的在線與數(shù)碼驗(yàn)證方面的首個(gè)開放行業(yè)標(biāo)準(zhǔn)，并于2014年12月發(fā)布，包括fdo-u2f-v1.0和fdo-uaf-v1.0兩套協(xié)議。這兩套協(xié)議可以很好地提高身份認(rèn)證安全性、保護(hù)隱私及簡(jiǎn)化用戶體驗(yàn)。其中，U2F（Universal Second Factor protocol）支持U盾、NFC芯片、TPM(可信賴平臺(tái)模塊)等硬件設(shè)備，使用雙因子（密碼和硬件設(shè)備）保護(hù)用戶賬戶和隱私；UAF（ Universal Authentication Framework protocol）支持指紋、語音、虹膜、臉部識(shí)別等生物身份識(shí)別方式。無需用戶密碼介入，直接進(jìn)行認(rèn)證。這里主要介紹UAF。

UAF協(xié)議主要利用了智能終端的生物特征識(shí)別技術(shù)，并通過本地身份識(shí)別與在線身份認(rèn)證相結(jié)合的方式實(shí)現(xiàn)用戶的安全身份認(rèn)證。其中，在線身份認(rèn)證技術(shù)采用非對(duì)稱公私鑰對(duì)來提供安全保障?；赨AF協(xié)議的FIDO聯(lián)盟認(rèn)證方案的總體架構(gòu)如圖2所示。

圖2 基于UAF協(xié)議的FIDO聯(lián)盟認(rèn)證方案總體架構(gòu)

該方案主要功能模塊包括：網(wǎng)絡(luò)側(cè)的認(rèn)證器服務(wù)器、終端側(cè)的UAF認(rèn)證器和UAF插件。其中，認(rèn)證器服務(wù)器主要是實(shí)現(xiàn)FIDO認(rèn)證校驗(yàn)功能；UAF認(rèn)證器負(fù)責(zé)獲取生物特征識(shí)別信息結(jié)果（一般是指紋信息），產(chǎn)生并管理非對(duì)稱密鑰對(duì)，完成各種密碼學(xué)運(yùn)算（例如簽名、哈希、加解密等）；UAF插件主要實(shí)現(xiàn)訪問控制，建立應(yīng)用APP、賬號(hào)與認(rèn)證器之間的對(duì)應(yīng)關(guān)系，屏蔽認(rèn)證器差異（一個(gè)移動(dòng)終端可能有多個(gè)認(rèn)證器）向應(yīng)用APP提供統(tǒng)一接口。

具體來說，基于UAF協(xié)議的FIDO聯(lián)盟方案在使用時(shí)涉及兩個(gè)步驟：注冊(cè)和認(rèn)證。

當(dāng)用戶注冊(cè)時(shí)，用戶側(cè)的UAF認(rèn)證器產(chǎn)生一對(duì)非對(duì)稱密鑰對(duì)，并與用戶本地的生物特征身份信息（如指紋等）進(jìn)行關(guān)聯(lián)。私鑰在用戶端本地設(shè)備中保留，公鑰傳給服務(wù)器，服務(wù)器將此公鑰和用戶對(duì)應(yīng)的應(yīng)用賬戶相關(guān)聯(lián)。

當(dāng)用戶登錄時(shí)，用戶側(cè)UAF認(rèn)證器在經(jīng)過本地用戶身份識(shí)別后，采用私鑰對(duì)服務(wù)器的挑戰(zhàn)數(shù)據(jù)做簽名，服務(wù)器使用對(duì)應(yīng)的公鑰做驗(yàn)證。

4 兩種方案的比較分析

Mobile Connect卡認(rèn)證方案和FIDO聯(lián)盟認(rèn)證方案均希望為用戶提供更容易、更安全的在線身份認(rèn)證，采用移動(dòng)終端作為認(rèn)證載體，其中卡認(rèn)證方案利用了運(yùn)營(yíng)商的用戶卡（手機(jī)號(hào)）作為用戶的身份標(biāo)識(shí)，而FIDO聯(lián)盟認(rèn)證方案則是利用了終端生物特征識(shí)別技術(shù)，并將用戶生物特征作為身份標(biāo)識(shí)。但是，這兩種方案在應(yīng)用場(chǎng)景、加密技術(shù)以及對(duì)終端與卡的要求方面均存在一定的差異，表1是二者的主要比較和分析情況。

表1 Mobile Connect卡認(rèn)證和FIDO聯(lián)盟認(rèn)證方案比較

從表1的比較中可以看出，對(duì)于Mobile Connect卡認(rèn)證方案來說，在適合的應(yīng)用場(chǎng)景方面，可廣泛用于PC應(yīng)用和移動(dòng)應(yīng)用，而且，其認(rèn)證器（即卡應(yīng)用）存儲(chǔ)在用戶卡內(nèi)，安全性較高，可適合于任何智能移動(dòng)終端，當(dāng)用戶變更終端時(shí)，只需要將用戶卡插入新的終端即可繼續(xù)使用。但是，用戶卡需要加載或提前預(yù)置認(rèn)證器，其用戶覆蓋能力有賴于運(yùn)營(yíng)商及各運(yùn)營(yíng)商之間的互聯(lián)互通情況，在用戶體驗(yàn)方面也一般。對(duì)于FIDO聯(lián)盟方案來說，只需要移動(dòng)終端支持生物特征識(shí)別技術(shù)，對(duì)用戶卡無要求，可廣泛覆蓋各運(yùn)營(yíng)商的用戶，用戶使用時(shí)，認(rèn)證速度比較快，用戶具有良好的客戶體驗(yàn)，但是，這種方案只適用于移動(dòng)應(yīng)用，而且，在高安全需求情況下，需要終端通過TEE環(huán)境或者SE實(shí)現(xiàn)認(rèn)證器功能。

5 兩種方案的集成分析

綜上所述，Mobile Connect卡認(rèn)證和FIDO聯(lián)盟認(rèn)證方案各有自己的優(yōu)缺點(diǎn)，其中，卡認(rèn)證采用短信通道對(duì)用戶的業(yè)務(wù)體驗(yàn)會(huì)有一定的影響，而FIDO聯(lián)盟認(rèn)證方案中的認(rèn)證器如果需要安全存儲(chǔ)，則對(duì)終端的要求較高，影響該方案的推廣和普及。隨著現(xiàn)在用戶卡技術(shù)以及機(jī)卡通信技術(shù)的發(fā)展，終端和用戶卡之間可直接通過OMA接口實(shí)現(xiàn)高效通信。卡認(rèn)證和FIDO聯(lián)盟認(rèn)證這兩種方案可以互相借鑒和融合，形成新的安全性高、用戶體驗(yàn)良好的移動(dòng)認(rèn)證解決方案，如圖3所示。

圖3 卡認(rèn)證和FIDO聯(lián)盟認(rèn)證方案示意圖

集成的認(rèn)證方案由終端側(cè)的FIDO認(rèn)證器、FIDO插件及認(rèn)證APP，網(wǎng)絡(luò)側(cè)的Identity網(wǎng)關(guān)、FIDO認(rèn)證服務(wù)器組成。其中，F(xiàn)IDO認(rèn)證器位于SIM卡內(nèi)，Identity網(wǎng)關(guān)與FIDO認(rèn)證服務(wù)器連接，實(shí)現(xiàn)用戶認(rèn)證路由尋址功能，并發(fā)送消息通知給終端側(cè)認(rèn)證APP，以便發(fā)起FIDO認(rèn)證服務(wù)。認(rèn)證APP實(shí)現(xiàn)接收來自Identity網(wǎng)關(guān)的認(rèn)證請(qǐng)求，并發(fā)送給FIDO插件。以下為該方案情況下的FIDO注冊(cè)和認(rèn)證主要流程。

FIDO注冊(cè)流程：

（1）用戶啟動(dòng)認(rèn)證APP，選擇要注冊(cè)的新的FIDO認(rèn)證器，認(rèn)證APP請(qǐng)求Identity網(wǎng)關(guān)啟動(dòng)注冊(cè)流程；

按照灌溉系統(tǒng)分為A系統(tǒng)、B系統(tǒng)和C系統(tǒng)，根據(jù)行間耕作方式分別確定為行間清耕、間作小麥、自然生草3種處理。行間清耕處理位于A灌溉系統(tǒng)，調(diào)查區(qū)域?yàn)榫嚯x防風(fēng)林第12行～第17行。間作小麥處理位于B灌溉系統(tǒng)中間位置，調(diào)查區(qū)域?yàn)榫嚯x防風(fēng)林第6行～第11行，間作的小麥被風(fēng)沙掩埋。自然生草處理位于C灌溉系統(tǒng)，調(diào)查區(qū)域?yàn)榫嚯x防風(fēng)林第7行～第12行。

（2）Identity網(wǎng)關(guān)對(duì)認(rèn)證APP進(jìn)行合法性驗(yàn)證。驗(yàn)證通過后，Identity網(wǎng)關(guān)發(fā)送FIDO注冊(cè)請(qǐng)求（包含F(xiàn)IDO策略）給FIDO認(rèn)證服務(wù)器；

（3）FIDO認(rèn)證服務(wù)器檢查FIDO策略后，返回FIDO注冊(cè)請(qǐng)求消息給Identity網(wǎng)關(guān)；

（4）Identity網(wǎng)關(guān)返回FIDO注冊(cè)請(qǐng)求響應(yīng)消息給認(rèn)證APP；認(rèn)證APP將該消息轉(zhuǎn)發(fā)給FIDO插件；

（5）FIDO插件根據(jù)FIDO策略發(fā)現(xiàn)FIDO認(rèn)證器，用戶通過生物特征識(shí)別和認(rèn)證后選擇SIM卡內(nèi)的FIDO認(rèn)證器進(jìn)行注冊(cè)；

（6）SIM卡內(nèi)的FIDO認(rèn)證器產(chǎn)生密鑰對(duì)并返回公鑰給FIDO插件，F(xiàn)IDO插件轉(zhuǎn)發(fā)給認(rèn)證APP；

（7）認(rèn)證APP返回注冊(cè)響應(yīng)消息（包括公鑰）給Identity網(wǎng)關(guān)，Identity網(wǎng)關(guān)轉(zhuǎn)發(fā)給FIDO認(rèn)證服務(wù)器；

FIDO認(rèn)證（以應(yīng)用客戶端位于PC為例）流程：

（1）用戶通過PC訪問SP應(yīng)用服務(wù)器，并點(diǎn)擊FIDO認(rèn)證按鈕；

（2）SP應(yīng)用服務(wù)器發(fā)送認(rèn)證請(qǐng)求給Identity網(wǎng)關(guān)；

（3）Identity網(wǎng)關(guān)向用戶獲取MSISDN信息，根據(jù)策略選擇FIDO認(rèn)證器；

（4）Identity網(wǎng)關(guān)推送消息給認(rèn)證APP；認(rèn)證APP向Identity網(wǎng)關(guān)發(fā)起FIDO認(rèn)證流程；

（5）Identity網(wǎng)關(guān)觸發(fā)FIDO認(rèn)證服務(wù)器產(chǎn)生FIDO認(rèn)證請(qǐng)求消息；FIDO認(rèn)證服務(wù)器響應(yīng)認(rèn)證請(qǐng)求消息給Identity網(wǎng)關(guān)；

（6）Identity網(wǎng)關(guān)返回FIDO認(rèn)證請(qǐng)求響應(yīng)消息給認(rèn)證APP；認(rèn)證APP將該消息轉(zhuǎn)發(fā)給FIDO插件；

（7）FIDO插件根據(jù)FIDO策略選擇相應(yīng)的FIDO認(rèn)證器，用戶本地生物特征識(shí)別和認(rèn)證后，SIM卡內(nèi)的FIDO認(rèn)證器采用私鑰進(jìn)行簽名認(rèn)證，并將簽名認(rèn)證結(jié)果發(fā)送給FIDO插件；

（8）FIDO插件轉(zhuǎn)發(fā)簽名認(rèn)證結(jié)果給認(rèn)證APP；

（9）認(rèn)證APP返回簽名認(rèn)證結(jié)果給Identity網(wǎng)關(guān)，Identity網(wǎng)關(guān)轉(zhuǎn)發(fā)給FIDO認(rèn)證服務(wù)器；

（10）FIDO認(rèn)證服務(wù)器通過公鑰檢驗(yàn)簽名認(rèn)證結(jié)果；并將校驗(yàn)結(jié)果返回給Identity網(wǎng)關(guān)；

（11）Identity網(wǎng)關(guān)返回校驗(yàn)結(jié)果給認(rèn)證APP；

（12）Identity網(wǎng)關(guān)發(fā)送授權(quán)碼給SP應(yīng)用服務(wù)器，用戶可正常訪問SP應(yīng)用。

6 結(jié)束語

當(dāng)前，安全的移動(dòng)認(rèn)證解決方案是業(yè)界關(guān)注的焦點(diǎn)，可以大大降低用戶隱私泄漏后的經(jīng)濟(jì)損失風(fēng)險(xiǎn)。互聯(lián)網(wǎng)公司希望擺脫運(yùn)營(yíng)商的束縛，基于智能移動(dòng)終端技術(shù)提供以生物特征識(shí)別為基礎(chǔ)的安全便捷的認(rèn)證解決方案。但是，這種方案對(duì)終端的安全存儲(chǔ)要求較高，難以覆蓋大多數(shù)互聯(lián)網(wǎng)用戶；而運(yùn)營(yíng)商則希望利用用戶卡優(yōu)勢(shì)發(fā)展基于用戶卡的安全認(rèn)證解決方案，雖然這種方案不依賴終端，可以通過運(yùn)營(yíng)商互聯(lián)互通實(shí)現(xiàn)全網(wǎng)互聯(lián)網(wǎng)用戶的覆蓋，但是，在用戶體驗(yàn)方面遜于互聯(lián)網(wǎng)公司的解決方案。較好的解決方案是互聯(lián)網(wǎng)公司和運(yùn)營(yíng)商彼此揚(yáng)長(zhǎng)避短進(jìn)行合作，運(yùn)營(yíng)商開放用戶卡空間作為安全的認(rèn)證器載體，在卡認(rèn)證解決方案中集成互聯(lián)網(wǎng)公司的FIDO認(rèn)證解決方案，從而為用戶提供安全便捷、體驗(yàn)良好的身份認(rèn)證解決方案，共同推動(dòng)這種解決方案在互聯(lián)網(wǎng)行業(yè)的應(yīng)用和推廣普及，保障用戶安全。

1 FIDO Alliance，F(xiàn)IDO UAF Protocol Specifcation v1.0 2014年12月8日

2 GSMA, FIDO integration with Mobile Connect 2015年5月11日

2016-12-02）

10.3969/j.issn.1006-6403.2016.12.005