郭茂文，張榮，盧燕青，黎艷

（中國(guó)電信股份有限公司廣州研究院，廣東 廣州 510630）

1 引言

隨著互聯(lián)網(wǎng)和智能移動(dòng)終端的高速發(fā)展，基于智能移動(dòng)終端的應(yīng)用出現(xiàn)了爆發(fā)式增長(zhǎng)，這些豐富的應(yīng)用給人們的工作和生活提供了極大的便利，但也帶來(lái)了新的問(wèn)題。絕大部分應(yīng)用需要用戶進(jìn)行注冊(cè)，有可能注冊(cè)時(shí)需要輸入用戶的隱私信息，如身份證號(hào)碼、出生日期、聯(lián)系方式等，注冊(cè)過(guò)程中用戶還需要設(shè)置復(fù)雜的賬號(hào)/密碼用于后續(xù)的應(yīng)用登錄。另外，由于同一個(gè)用戶需要使用的應(yīng)用數(shù)量眾多，因此，用戶需要記憶大量的應(yīng)用賬號(hào)和密碼信息。

這種傳統(tǒng)的賬號(hào)/密碼方式的應(yīng)用在用戶體驗(yàn)和安全性方面存在多處痛點(diǎn)，如密碼復(fù)雜繁瑣、記憶困難；賬號(hào)/密碼信息容易被不良木馬盜竊；用戶身份核實(shí)困難，只能依賴手機(jī)號(hào)和身份證信息[1]。

針對(duì)以上這些應(yīng)用痛點(diǎn)，近兩年，國(guó)內(nèi)各電信運(yùn)營(yíng)商紛紛利用自身的移動(dòng)網(wǎng)絡(luò)和用戶卡資源優(yōu)勢(shì)，大力發(fā)展統(tǒng)一賬號(hào)增值服務(wù)業(yè)務(wù)，如中國(guó)移動(dòng)的和通行證[2]、中國(guó)聯(lián)通的沃通行證[3]以及中國(guó)電信的天翼賬號(hào)等。

2 影響發(fā)展統(tǒng)一賬號(hào)認(rèn)證業(yè)務(wù)的關(guān)鍵因素

（1）多網(wǎng)絡(luò)多終端支持

目前，互聯(lián)網(wǎng)及智能終端已經(jīng)非常普遍，用戶可以方便地通過(guò)各個(gè)運(yùn)營(yíng)商的3G/4G移動(dòng)網(wǎng)絡(luò)或者Wi-Fi網(wǎng)絡(luò)來(lái)使用互聯(lián)網(wǎng)業(yè)務(wù)，同一個(gè)互聯(lián)網(wǎng)應(yīng)用會(huì)在智能移動(dòng)終端、平板電腦或者PC之間頻繁使用。因此，運(yùn)營(yíng)商的統(tǒng)一賬號(hào)認(rèn)證服務(wù)必須滿足用戶在不同類型網(wǎng)絡(luò)、不同類型終端環(huán)境下的正常使用。

（2）運(yùn)營(yíng)商間的互聯(lián)互通

運(yùn)營(yíng)商用戶與互聯(lián)網(wǎng)應(yīng)用用戶具有天然的差異性，互聯(lián)網(wǎng)應(yīng)用用戶具有跨運(yùn)營(yíng)商特性。因此，運(yùn)營(yíng)商在發(fā)展統(tǒng)一賬號(hào)認(rèn)證服務(wù)時(shí)，必須考慮與其他運(yùn)營(yíng)商的互聯(lián)互通，否則，無(wú)法做到互聯(lián)網(wǎng)應(yīng)用用戶的全覆蓋。

（3）多種認(rèn)證方式的協(xié)同

除了傳統(tǒng)的賬號(hào)/密碼和短信驗(yàn)證碼認(rèn)證方式外，運(yùn)營(yíng)商還可以提供獨(dú)有的移動(dòng)網(wǎng)關(guān)認(rèn)證和用戶卡認(rèn)證。但是，移動(dòng)網(wǎng)關(guān)認(rèn)證需要用戶的移動(dòng)終端開(kāi)啟移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)功能；用戶卡認(rèn)證需要用戶卡下載安裝運(yùn)營(yíng)商提供的卡應(yīng)用。因此，統(tǒng)一賬號(hào)認(rèn)證服務(wù)要求運(yùn)營(yíng)商能夠準(zhǔn)確判斷認(rèn)證過(guò)程中用戶移動(dòng)終端和用戶卡環(huán)境，如果不具備這兩種認(rèn)證能力，必須能夠自動(dòng)切換到傳統(tǒng)的賬號(hào)/密碼或短信驗(yàn)證碼認(rèn)證方式。

3 統(tǒng)一賬號(hào)認(rèn)證業(yè)務(wù)的技術(shù)實(shí)現(xiàn)

3.1 統(tǒng)一賬號(hào)認(rèn)證系統(tǒng)總體架構(gòu)

運(yùn)營(yíng)商統(tǒng)一賬號(hào)認(rèn)證業(yè)務(wù)是指以手機(jī)號(hào)作為賬號(hào)體系[4]，以手機(jī)為認(rèn)證載體，以運(yùn)營(yíng)商獨(dú)有的差異化的移動(dòng)網(wǎng)絡(luò)和用戶卡認(rèn)證能力為核心功能，整合運(yùn)營(yíng)商相關(guān)資源，向運(yùn)營(yíng)商自有應(yīng)用和第三方合作應(yīng)用提供多等級(jí)多因子的安全認(rèn)證服務(wù)，同時(shí)輸出基礎(chǔ)電信能力服務(wù)。

基于互聯(lián)網(wǎng)及智能移動(dòng)終端技術(shù)現(xiàn)狀，運(yùn)營(yíng)商的統(tǒng)一賬號(hào)認(rèn)證業(yè)務(wù)應(yīng)能夠支持 Android和iOS移動(dòng)應(yīng)用以及平板電腦/PC的Web應(yīng)用。為充分利用運(yùn)營(yíng)商的網(wǎng)關(guān)認(rèn)證和用戶卡認(rèn)證能力，Web應(yīng)用的登錄認(rèn)證方式可采用移動(dòng)應(yīng)用掃描Web登錄頁(yè)面的二維碼認(rèn)證方式實(shí)現(xiàn)。在這種應(yīng)用需求下，運(yùn)營(yíng)商的統(tǒng)一賬號(hào)認(rèn)證系統(tǒng)架構(gòu)如圖1所示。

統(tǒng)一賬號(hào)認(rèn)證系統(tǒng)分為網(wǎng)絡(luò)側(cè)和終端側(cè)兩部分，具體介紹如下。

網(wǎng)絡(luò)側(cè)主要完成應(yīng)用認(rèn)證能力開(kāi)放、認(rèn)證策略管理、認(rèn)證能力集成等功能，具體可以分為統(tǒng)一賬號(hào)認(rèn)證業(yè)務(wù)能力開(kāi)放平臺(tái)、統(tǒng)一賬號(hào)認(rèn)證能力管理平臺(tái)以及各認(rèn)證能力子系統(tǒng)。其中，認(rèn)證能力子系統(tǒng)主要有網(wǎng)關(guān)認(rèn)證系統(tǒng)、卡應(yīng)用認(rèn)證系統(tǒng)、賬號(hào)/密碼認(rèn)證系統(tǒng)和短信驗(yàn)證碼認(rèn)證系統(tǒng)。

終端側(cè)的組成部分主要是統(tǒng)一賬號(hào)認(rèn)證業(yè)務(wù)在終端上的必要能力封裝。對(duì)于應(yīng)用，由統(tǒng)一賬號(hào)提供登錄框給應(yīng)用合作方，在應(yīng)用合作方 Web頁(yè)面通過(guò)iframe的方式嵌入統(tǒng)一賬號(hào)登錄框。登錄方式可以包括二維碼掃碼登錄、賬號(hào)/密碼登錄、短信驗(yàn)證碼登錄以及其他的第三方應(yīng)用賬號(hào)授權(quán)登錄等，應(yīng)用合作方可以根據(jù)自身需要選擇優(yōu)先的登錄方式。對(duì)于移動(dòng)端應(yīng)用，由統(tǒng)一賬號(hào)提供 SDK給應(yīng)用合作方，SDK主要實(shí)現(xiàn)對(duì)終端認(rèn)證能力信息的收集，并與統(tǒng)一賬號(hào)認(rèn)證能力開(kāi)放平臺(tái)配合實(shí)現(xiàn)認(rèn)證功能。另外，對(duì)于用戶卡認(rèn)證方式，移動(dòng)終端需要在用戶卡中預(yù)置卡應(yīng)用Applet。

3.2 統(tǒng)一賬號(hào)認(rèn)證系統(tǒng)特點(diǎn)

基于上述的統(tǒng)一賬號(hào)認(rèn)證系統(tǒng)總體架構(gòu)可以看出，統(tǒng)一賬號(hào)認(rèn)證業(yè)務(wù)的特點(diǎn)主要如下。

圖1 統(tǒng)一賬號(hào)認(rèn)證系統(tǒng)總體架構(gòu)

（1）一號(hào)通行

一套以手機(jī)號(hào)為核心的賬號(hào)系統(tǒng)可以通行運(yùn)營(yíng)商的多個(gè)業(yè)務(wù)和應(yīng)用，如中國(guó)移動(dòng)的飛信、139郵箱、和彩云以及和通訊錄等；中國(guó)電信的天翼云、翼健康和號(hào)簿助手等。

（2）差異化認(rèn)證方式

在傳統(tǒng)的賬號(hào)/密碼、短信驗(yàn)證碼認(rèn)證方式基礎(chǔ)上，運(yùn)營(yíng)商還可以利用移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)和用戶卡資源優(yōu)勢(shì)，采用移動(dòng)通信網(wǎng)關(guān)取號(hào)以及用戶卡識(shí)別等技術(shù)，提供更安全、更方便快捷的網(wǎng)關(guān)認(rèn)證和用戶卡認(rèn)證能力。

（3）可擴(kuò)展的“認(rèn)證+”業(yè)務(wù)生態(tài)能力

統(tǒng)一賬號(hào)認(rèn)證服務(wù)除了提供基本的登錄認(rèn)證功能外，運(yùn)營(yíng)商還可以通過(guò)統(tǒng)一賬號(hào)認(rèn)證能力開(kāi)放平臺(tái)與其他的運(yùn)營(yíng)商能力系統(tǒng)對(duì)接實(shí)現(xiàn)向第三方合作應(yīng)用開(kāi)放其核心能力，如“賬號(hào)+二次放號(hào)識(shí)別”“賬號(hào)+支付”“賬號(hào)+云存儲(chǔ)”等[5]，第三方合作應(yīng)用不需要多頭對(duì)接就可以方便快捷地獲得這些核心能力。

3.3 關(guān)鍵應(yīng)用接口場(chǎng)景

運(yùn)營(yíng)商統(tǒng)一賬號(hào)認(rèn)證系統(tǒng)與第三方合作應(yīng)用對(duì)接時(shí)的接口應(yīng)用場(chǎng)景主要有兩種：一種是移動(dòng)端應(yīng)用接口場(chǎng)景；另一種是PC端的Web應(yīng)用接口場(chǎng)景。

對(duì)于移動(dòng)端應(yīng)用接口場(chǎng)景，運(yùn)營(yíng)商統(tǒng)一賬號(hào)認(rèn)證系統(tǒng)可以通過(guò)移動(dòng)端SDK與第三方合作應(yīng)用對(duì)接。移動(dòng)端應(yīng)用使用統(tǒng)一賬號(hào) SDK獲得AccessToken，然后通過(guò)獲取用戶信息 API利用AccessToken換取手機(jī)號(hào)碼及其他用戶信息等。在移動(dòng)端應(yīng)用發(fā)起登錄請(qǐng)求時(shí)，由SDK檢測(cè)移動(dòng)終端環(huán)境，選擇最優(yōu)的認(rèn)證方式并攜帶認(rèn)證方式標(biāo)志向統(tǒng)一賬號(hào)業(yè)務(wù)能力開(kāi)放平臺(tái)發(fā)起身份認(rèn)證請(qǐng)求。主要流程實(shí)現(xiàn)方案如圖2所示。

對(duì)于PC端Web應(yīng)用接口場(chǎng)景，運(yùn)營(yíng)商統(tǒng)一賬號(hào)認(rèn)證系統(tǒng)可以提供登錄框給應(yīng)用合作方，在應(yīng)用合作方Web頁(yè)面通過(guò)iframe的方式嵌入統(tǒng)一賬號(hào)登錄框。主要流程實(shí)現(xiàn)方案如圖3所示。

3.4 差異化認(rèn)證能力實(shí)現(xiàn)方案

運(yùn)營(yíng)商差異化的認(rèn)證能力主要體現(xiàn)在移動(dòng)網(wǎng)關(guān)認(rèn)證和用戶卡認(rèn)證，其方案實(shí)現(xiàn)思路如下。

圖2 移動(dòng)端應(yīng)用接口場(chǎng)景實(shí)現(xiàn)流程

圖3 PC端Web應(yīng)用接口場(chǎng)景實(shí)現(xiàn)流程

· 對(duì)于移動(dòng)網(wǎng)關(guān)認(rèn)證來(lái)說(shuō)，需要移動(dòng)終端開(kāi)啟移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)功能。移動(dòng)終端上的應(yīng)用SDK通過(guò)移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)發(fā)送登錄請(qǐng)求消息的過(guò)程中，在請(qǐng)求消息經(jīng)過(guò)移動(dòng)網(wǎng)關(guān)（PGW）時(shí)，移動(dòng)網(wǎng)關(guān)在用戶的HTTP請(qǐng)求分組頭加入加密的用戶信息（手機(jī)號(hào)碼MDN、IMSI、手機(jī)IP地址、PGW IP地址等）后傳遞給網(wǎng)關(guān)認(rèn)證系統(tǒng)，網(wǎng)關(guān)認(rèn)證系統(tǒng)對(duì)用戶信息進(jìn)行解密后識(shí)別用戶手機(jī)號(hào)碼，確認(rèn)用戶身份，用戶即可登錄認(rèn)證成功。實(shí)現(xiàn)方案如圖4所示。

圖4 移動(dòng)網(wǎng)關(guān)認(rèn)證實(shí)現(xiàn)方案

· 對(duì)于用戶卡認(rèn)證來(lái)說(shuō)，需要在用戶卡中預(yù)置卡應(yīng)用Applet[6]。卡應(yīng)用Applet初始化時(shí)會(huì)通過(guò)OTA數(shù)據(jù)短信方式與卡認(rèn)證系統(tǒng)進(jìn)行卡認(rèn)證配置數(shù)據(jù)的同步，卡認(rèn)證系統(tǒng)確認(rèn)該用戶支持卡認(rèn)證。用戶登錄時(shí)，移動(dòng)終端上的應(yīng)用SDK發(fā)送登錄請(qǐng)求消息給統(tǒng)一賬號(hào)業(yè)務(wù)能力開(kāi)放平臺(tái)，該請(qǐng)求消息通過(guò)統(tǒng)一賬號(hào)認(rèn)證能力管理平臺(tái)傳遞給用戶卡認(rèn)證系統(tǒng)。用戶卡認(rèn)證系統(tǒng)通過(guò)短信網(wǎng)關(guān)下發(fā)OTA數(shù)據(jù)短信到用戶卡，用戶卡根據(jù)短信信息在手機(jī)上彈出用戶登錄確認(rèn)的UTK提示框，用戶確認(rèn)（輸入PIN碼或點(diǎn)擊OK）后，用戶卡發(fā)送登錄確認(rèn)短信給用戶卡認(rèn)證系統(tǒng)，用戶即可登錄認(rèn)證成功。實(shí)現(xiàn)方案如圖5所示。

無(wú)論是移動(dòng)網(wǎng)關(guān)認(rèn)證還是用戶卡認(rèn)證方式，對(duì)用戶移動(dòng)終端環(huán)境都有一定的要求。移動(dòng)網(wǎng)關(guān)認(rèn)證方式需要移動(dòng)終端能夠用戶在手機(jī)設(shè)置中開(kāi)啟移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)開(kāi)關(guān)，而用戶卡認(rèn)證方式需要用戶卡預(yù)置有卡應(yīng)用 Applet，并進(jìn)行初始化同步。因此，對(duì)于某個(gè)用戶來(lái)說(shuō)，每次登錄時(shí)選擇何種認(rèn)證方式需要通過(guò)應(yīng)用 SDK與統(tǒng)一賬號(hào)認(rèn)證能力開(kāi)放平臺(tái)的配合和信息交互來(lái)確定。運(yùn)營(yíng)商也可以通過(guò)認(rèn)證策略配置來(lái)實(shí)現(xiàn)認(rèn)證方式的最優(yōu)選擇，如當(dāng)用戶手機(jī)的移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)功能開(kāi)啟時(shí)，可讓用戶每次登錄時(shí)優(yōu)先選擇移動(dòng)網(wǎng)關(guān)認(rèn)證方式；當(dāng)用戶登錄后的網(wǎng)絡(luò)行為需要進(jìn)行二次身份認(rèn)證時(shí)，可選擇安全性更高的用戶卡認(rèn)證方式，以替代傳統(tǒng)的短信驗(yàn)證碼認(rèn)證方式，當(dāng)然，其前提是現(xiàn)網(wǎng)用戶的用戶卡預(yù)置卡應(yīng)用Applet比較普及。當(dāng)用戶移動(dòng)終端環(huán)境無(wú)法支持移動(dòng)網(wǎng)關(guān)認(rèn)證和用戶卡認(rèn)證這兩種方式時(shí)，統(tǒng)一賬號(hào)認(rèn)證系統(tǒng)應(yīng)能夠根據(jù)用戶或第三方合作應(yīng)用的選擇回退到賬號(hào)/密碼或短信驗(yàn)證碼的認(rèn)證方式。

圖5 用戶卡認(rèn)證實(shí)現(xiàn)方案

4 統(tǒng)一賬號(hào)認(rèn)證業(yè)務(wù)的互聯(lián)互通

運(yùn)營(yíng)商發(fā)展統(tǒng)一賬號(hào)認(rèn)證業(yè)務(wù)的優(yōu)勢(shì)在于差異化的移動(dòng)網(wǎng)關(guān)認(rèn)證和用戶卡認(rèn)證技術(shù)，但是，由于單個(gè)運(yùn)營(yíng)商所擁有的用戶無(wú)法覆蓋單個(gè)互聯(lián)網(wǎng)應(yīng)用所擁有的用戶，因此，統(tǒng)一賬號(hào)認(rèn)證業(yè)務(wù)必須要做到運(yùn)營(yíng)商之間的互聯(lián)互通[7]。這樣，SP（服務(wù)提供商）應(yīng)用只需要與單個(gè)運(yùn)營(yíng)商對(duì)接，其所有用戶均可以使用統(tǒng)一賬號(hào)認(rèn)證業(yè)務(wù)。

運(yùn)營(yíng)商統(tǒng)一賬號(hào)認(rèn)證業(yè)務(wù)互聯(lián)互通的關(guān)鍵是認(rèn)證系統(tǒng)能夠?qū)σ允謾C(jī)號(hào)為核心的統(tǒng)一賬號(hào)進(jìn)行識(shí)別，并基于手機(jī)號(hào)的歸屬實(shí)現(xiàn)路由轉(zhuǎn)發(fā)。根據(jù)前面所述的應(yīng)用接口場(chǎng)景，這里提出一種基于代理轉(zhuǎn)發(fā)機(jī)制的運(yùn)營(yíng)商對(duì)等自治互聯(lián)互通模型來(lái)進(jìn)行分析，如圖6所示。

圖6 運(yùn)營(yíng)商對(duì)等自治互聯(lián)互通模型

如圖6所示，SP1的移動(dòng)端應(yīng)用包含有MNO1運(yùn)營(yíng)商的SDK，即SP1的移動(dòng)端應(yīng)用在登錄認(rèn)證時(shí)只向MNO1運(yùn)營(yíng)商的認(rèn)證系統(tǒng)發(fā)送認(rèn)證請(qǐng)求。各運(yùn)營(yíng)商的認(rèn)證系統(tǒng)均具有相對(duì)獨(dú)立的號(hào)碼識(shí)別和路由發(fā)現(xiàn)功能，并且各自互信對(duì)接。這里以MNO3運(yùn)營(yíng)商用戶使用與MNO1運(yùn)營(yíng)商認(rèn)證系統(tǒng)對(duì)接的SP1移動(dòng)端應(yīng)用為例來(lái)分析不同認(rèn)證方式的互聯(lián)互通方案。

傳統(tǒng)的賬號(hào)/密碼認(rèn)證方式不需要互聯(lián)互通，只需要MNO3運(yùn)營(yíng)商用戶使用與MNO1運(yùn)營(yíng)商認(rèn)證系統(tǒng)對(duì)接的SP1移動(dòng)端應(yīng)用時(shí)，以其手機(jī)號(hào)（歸屬M(fèi)NO3運(yùn)營(yíng)商）在MNO1運(yùn)營(yíng)商認(rèn)證系統(tǒng)注冊(cè)成統(tǒng)一賬號(hào)即可，MNO1運(yùn)營(yíng)商認(rèn)證系統(tǒng)就可以在本地完成對(duì)異網(wǎng)手機(jī)號(hào)的統(tǒng)一賬號(hào)用戶完成賬號(hào)/密碼方式的認(rèn)證。

對(duì)于短信驗(yàn)證碼方式，只需要運(yùn)營(yíng)商各自的短信網(wǎng)關(guān)系統(tǒng)能夠互通即可。MNO3運(yùn)營(yíng)商用戶的短信驗(yàn)證碼通過(guò)MNO1運(yùn)營(yíng)商認(rèn)證系統(tǒng)產(chǎn)生，MNO1運(yùn)營(yíng)商的短信網(wǎng)關(guān)將該短信驗(yàn)證碼轉(zhuǎn)發(fā)給MNO3運(yùn)營(yíng)商的短信網(wǎng)關(guān)，MNO3運(yùn)營(yíng)商的短信網(wǎng)關(guān)再將短信驗(yàn)證碼直接發(fā)送到其用戶手機(jī)上。

對(duì)于移動(dòng)網(wǎng)關(guān)認(rèn)證方式，其互聯(lián)互通的實(shí)現(xiàn)思路可以如下：

（1）MNO3運(yùn)營(yíng)商用戶在移動(dòng)端發(fā)起 SP1 應(yīng)用（與MNO1運(yùn)營(yíng)商的認(rèn)證系統(tǒng)對(duì)接）的登錄操作；

（2）SP1 應(yīng)用 SDK通過(guò)MNO3運(yùn)營(yíng)商的移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)發(fā)送client hello消息；

（3）MNO3運(yùn)營(yíng)商的移動(dòng)網(wǎng)關(guān)插入用戶手機(jī)號(hào)等用戶信息；

（4）MNO1運(yùn)營(yíng)商的認(rèn)證系統(tǒng)接收到SP1 應(yīng)用 SDK的HTTP消息，并解析；

（5）MNO1運(yùn)營(yíng)商的認(rèn)證系統(tǒng)將 SP1應(yīng)用SDK的HTTP消息轉(zhuǎn)發(fā)給MNO3運(yùn)營(yíng)商的認(rèn)證系統(tǒng)；

（6）MNO3運(yùn)營(yíng)商的認(rèn)證系統(tǒng)驗(yàn)證用戶手機(jī)號(hào)的合法性，驗(yàn)證通過(guò)后，產(chǎn)生AccessToken，并與驗(yàn)證結(jié)果一起發(fā)送給MNO1運(yùn)營(yíng)商的認(rèn)證系統(tǒng)；

（7）MNO1運(yùn)營(yíng)商的認(rèn)證系統(tǒng)轉(zhuǎn)發(fā)AccessToken和驗(yàn)證結(jié)果給SP1 應(yīng)用 SDK；

（8）SP1 應(yīng)用將AccessToken發(fā)送給SP1應(yīng)用服務(wù)器；

（9）SP1應(yīng)用服務(wù)器攜帶 AccessToken向MNO1運(yùn)營(yíng)商的認(rèn)證系統(tǒng)調(diào)用“獲取用戶信息”API；

（10）MNO1運(yùn)營(yíng)商的認(rèn)證系統(tǒng)通過(guò) MNO3運(yùn)營(yíng)商的認(rèn)證系統(tǒng)獲得用戶信息，并返回給 SP1應(yīng)用服務(wù)器。

這種移動(dòng)網(wǎng)關(guān)認(rèn)證方式互聯(lián)互通的關(guān)鍵是每個(gè)運(yùn)營(yíng)商的移動(dòng)網(wǎng)關(guān)必須采用一致的HTTP頭增強(qiáng)功能，以及 AccessToken與用戶信息在運(yùn)營(yíng)商認(rèn)證系統(tǒng)之間的安全傳輸。

對(duì)于用戶卡認(rèn)證方式的互聯(lián)互通，其實(shí)現(xiàn)方案比較簡(jiǎn)單，SP1 應(yīng)用 SDK發(fā)送卡認(rèn)證請(qǐng)求（攜帶手機(jī)號(hào)信息，如首次認(rèn)證時(shí)用戶手工輸入其手機(jī)號(hào)）給MNO1運(yùn)營(yíng)商的認(rèn)證系統(tǒng)后，MNO1運(yùn)營(yíng)商的認(rèn)證系統(tǒng)根據(jù)手機(jī)號(hào)判斷其歸屬運(yùn)營(yíng)商，并將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給歸屬運(yùn)營(yíng)商的認(rèn)證系統(tǒng)。歸屬運(yùn)營(yíng)商的認(rèn)證系統(tǒng)完成卡認(rèn)證后，直接將認(rèn)證結(jié)果和AccessToken返回給MNO1運(yùn)營(yíng)商的認(rèn)證系統(tǒng)。在卡認(rèn)證方式情況下，SP1應(yīng)用服務(wù)器獲取用戶信息的方法與移動(dòng)網(wǎng)關(guān)認(rèn)證方式情況是類似的。

5 結(jié)束語(yǔ)

總地來(lái)說(shuō)，隨著互聯(lián)網(wǎng)應(yīng)用和智能移動(dòng)終端的大規(guī)模普及，運(yùn)營(yíng)商發(fā)展統(tǒng)一賬號(hào)認(rèn)證業(yè)務(wù)可以實(shí)現(xiàn)電信與互聯(lián)網(wǎng)的跨體系融合發(fā)展。這樣既可以作為密碼認(rèn)證的替代品，減少多重身份校驗(yàn)帶來(lái)的麻煩，提升用戶賬戶的安全性，又可以實(shí)現(xiàn)整合運(yùn)營(yíng)商自身的基礎(chǔ)電信能力輸出，增強(qiáng)用戶黏性，提升運(yùn)營(yíng)商在互聯(lián)網(wǎng)時(shí)代的價(jià)值。但是，由于現(xiàn)網(wǎng)移動(dòng)終端環(huán)境千差萬(wàn)別，運(yùn)營(yíng)商必須完善獨(dú)有的差異化移動(dòng)網(wǎng)關(guān)認(rèn)證和用戶卡認(rèn)證技術(shù)，并實(shí)現(xiàn)運(yùn)營(yíng)商相互之間的互聯(lián)互通，優(yōu)化和提升用戶業(yè)務(wù)體驗(yàn)，運(yùn)營(yíng)商的統(tǒng)一賬號(hào)認(rèn)證業(yè)務(wù)才會(huì)具有良好的應(yīng)用前景。

參考文獻(xiàn)：

[1]孫韓林, 劉建華.公眾網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證服務(wù)及標(biāo)準(zhǔn)研究[J].電信科學(xué), 2013, 29(2)： 84-88.SUN H L, LIU J H.Study on unified identifier authentication service and standards on public network[J].Telecommunications Science, 2013, 29(2)： 84-88.

[2]中國(guó)移動(dòng)集團(tuán)公司.中國(guó)移動(dòng)能力開(kāi)放白皮書[R].2016.China Mobile Communications Corporation.The white paper of China Mobile’s ability[R].2016.

[3]劉鏑, 張?jiān)朴? 張尼, 等.“沃互聯(lián)”統(tǒng)一認(rèn)證技術(shù)研究[J].電信科學(xué), 2015, 31(6)： 6-11.LIU D, ZHANG Y Y,ZHANG N, et al.Research on “Wo Connect”uniform authentication technologys[J].Telecommunications Science,2015, 31(6)： 6-11.

[4]CCTIME飛象網(wǎng).運(yùn)營(yíng)商統(tǒng)一帳號(hào)體系背后的戰(zhàn)略思考[Z].2016.Dumbo CCTIME.Strategic thinking behind the unified account number system of the operators[Z].2016.

[5]中國(guó)電信集團(tuán)公司.中國(guó)電信統(tǒng)一賬號(hào)業(yè)務(wù)規(guī)范[S].2017.China Telecom Co.Business specification of China Telecom [S].2017.

[6]董雙赫, 嚴(yán)斌峰, 胡博, 等.基于 SIM 卡的金融應(yīng)用移動(dòng)數(shù)字簽名業(yè)務(wù)研究[J].電信科學(xué), 2015, 31(6)： 12-17.DONG S H, YAN B F, HU B, et al.Research on SIM card-based mobile digital signature and authentication for financial services[J].Telecommunications Science, 2015, 31(6)：12-17.

[7]張榮, 黎艷, 郭建昌.基于用戶卡的移動(dòng)認(rèn)證技術(shù)方案與應(yīng)用[J].移動(dòng)通信, 2015(5)： 31-35.ZHANG R, LI Y, GUO J C.Technical solution and application of mobile authentication based on sim-applet[J].Mobile Communications, 2015(5)： 31-35.