林鹏, 梁如凯, 利惠光
(中国移动通信集团广东有限公司,广州 510623)
基于SIM卡的移动互联网应用鉴权研究
林鹏, 梁如凯, 利惠光
(中国移动通信集团广东有限公司,广州 510623)
智能终端的普及和移动互联网的迅速发展极大地改变了通信服务产业链。面对移动互联网行业,SIM卡作为天然的鉴权工具却无法发挥其优势。我们希望探索一种基于SIM卡的移动互联网应用鉴权机制,利用SIM卡现有能力,将SIM卡通信鉴权的便利性带到移动互联网的应用鉴权中,使用户享受更安全便捷,无感知的应用鉴权方式,同时为众多移动互联网应用提供开放性的平台化接入服务。
SIM;应用鉴权;移动互联网;信息安全
智能终端促使移动互联网产业快速发展,手机已经从以往的通话工具向个人移动应用中心转变。互联网/移动互联网推倒了通信业的围墙,短信、语音等业务被加速替代,通信管道变成哑管道,边际效应被无限放大。云管端的市场分层概念已经得到广泛的认可,移动互联网企业如今对终端的控制欲望比以往任何时候都要强烈。苹果nano-SIM新标准的提出,说明终端应用厂商希望逐步弱化SIM卡的能力,继而减少运营商利益分成比例。SIM卡是移动运营商实现业务端到端的重要渠道,务必巩固加强其地位。
目前包括TD-SCDMA在内的中国移动3G用户仍使用2G时代的SIM卡——OTA卡。这类卡在移动互联网时代灵活度不高,很多功能无法实现。同时,智能终端对SIM卡的支持力度不足,导致SIM卡在移动互联网应用服务中被边缘化的风险;4G技术在未来3~5年内仍然无法商用,由此得出,目前的SIM卡将在相当长的一段时间内继续支撑移动互联网业务转型。
顾名思义,SIM卡应用鉴权就是利用SIM卡实现对应用软件APP的接入认证。SIM卡应用鉴权不是独立的移动业务,而是为众多第三方APP应用提供的开放接入服务。任何APP应用均可以使用SIM卡应用鉴权来为客户提供更便捷安全的认证接入服务。中国移动提出“智能管道,开放平台,特色业务,友好界面”,利用SIM卡实现移动互联网应用鉴权能够发挥中国移动的管道优势,为其它APP应用提供一体化、集中化、开放式的鉴权服务和平台,有别于现有APP应用,独辟蹊径,找准了移动互联网产业链中的差异化定位。
目前SIM的主要功能包括通信鉴权和SIM菜单业务,现有的APP应用认证接入不依赖SIM卡,主要通过固定密码方式鉴权,部分通过动态短信方式鉴权。利用Cookies保存密码的方式,APP可以实现直接登录,无需重复输入密码。当用户首次登陆APP时输入账号和密码,APP会提示是否保存密码以便下次直接登录。如果用户选择保存账号密码,就会在手机内生成Cookies文件。下次登陆的时候APP直接读取Cookies完成登录。
固定密码方式实现简单,但也存在一定缺陷:
(1)账号密码易被窃取,账号安全缺乏保障。一旦账号密码泄露,他人便可以在其它移动终端盗用账号登陆。近些年微博上流传的免费WLAN账号和密码,ISDN账号泄露的事件就证明仅仅静态密码的鉴权方式存在相当大的盗号冒用风险;
(2)移动互联应用众多,账号密码使用繁多。虽然cookies解决了二次输入密码的问题,但还需用户记忆密码。众多的应用对应不同的账号和密码,又给用户增加了记忆的难度;
(3)鉴权输入方式繁琐,无感知鉴权成趋势。在换机和重置密码后,固定密码的鉴权方式不可避免要手工输入,这种繁琐的方式与无感知鉴权的大趋势形成鲜明对比。
利用SIM卡实现APP应用的鉴权登陆不但可以解决账号盗用的问题,还能实现无感知登陆。利用SIM卡信息实现鉴权认证,将SIM卡的通信鉴权能力能引入到移动互联网应用鉴权中,使SIM卡成为移动互联网应用鉴权的重要工具,也将SIM卡网络鉴权的便利性带到移动互联网应用鉴权中。
利用既有数据实现认证的方式。Wi-Fi的接入认证就有一种方式是利用了MAC编码实现鉴权。SIM卡也具备这一能力。从SIM卡存储的已有数据中寻找唯一不可替代的数据作为鉴权凭证。以下从SIM卡的文件结构分析利用SIM现有数据实现认证鉴权的可行性。
图1 SIM卡文件结构
SIM卡的技术构造简单,作为一个完整的单片机系统,它包含了CPU,ROM,RAM,EEPROM和I/O,但在业务定位上SIM卡在设计之初仅仅服务于通信鉴权,SIM卡的文件目标包含以下基本参数:
(1) IMSI (International Mobile Subscriber Identity);
(2) Ki (Subscriber authentication key);
(3) ICCID (Integrated Circuit Card Identifier);
(4) PIN (Personal Identification Number);
(5) PUK(PIN Unblocking Key)。
移动智能终端实现应用认证鉴权的就要从SIM卡中找到不可复制且唯一的标识符。Ki信息不能被移动终端直接读取,PIN和PUK是加锁解锁专用码。唯有IC卡识别号ICCID和国际用户识别码IMSI可以读取并使用,具备成为鉴权凭证的条件,IMSI信息目前只有运营商掌握,不具备公开性,ICCID作为SIM卡的硬件编码,除了运营商掌握外,SIM实体卡上也有印刷。
新密钥写卡实现认证的方式。SIM卡的存储区域分为标准区域和非标准区域。标准区域是各个卡商的SIM卡都具备的空间,可以作为新密钥写入的目的区域。由于SIM卡的读取遵循7816接口的严格指令集定义,读写新数据意味着要破坏现有文件结构,部分功能将丧失。这种方式安全级别更高,但改造成本过大,不宜采用。
(1)“三不”原则。不换机,不换卡,不增加硬件;
(2)兼容适配原则。能够兼容市面上主流硬件平台和操作系统;
(3)快速部署原则。可通过预置写卡,远程更新或用户手工更新方式快速加载;
(4)开放能力原则。能够作为统一鉴权的能力为众多APP应用提供开放接入的能力。
SIM卡实现应用鉴权首先要建立卡-组件-云端一体化架构,包括SIM卡,鉴权组件,CA云端三部分,SIM卡定位于前端业务key;云端定位于提供鉴权接入服务,终端组件提供交互能力。这是由SIM卡的自身能力局限性决定的,SIM卡自身的单片机系统不能提供应用鉴权服务,如果由应用开发商自行开发鉴权组件和鉴权云端,会造成重复开发和标准不统一。一体化架构有利于实现开放的鉴权接入能力,降低APP应用接入门槛,也能弥补SIM卡智能交互能力不足的缺陷。
应用鉴权包括如下步骤:
(1)应用授权。APP应用云端与SIM鉴权云端建立授权关系,这是SIM鉴权的前提。之后SIM鉴权云端会建立手机号和APP应用账号的对应关系,这就为APP应用实现SIM鉴权提供了平台基础。同时APP客户端应用需要相应改造,增加SIM鉴权的选项,当用户选择SIM鉴权后,登录认证时会调用SIM鉴权组件完成SIM信息读取和云端交互工作;
(2)APP应用登录调用SIM鉴权组件。用户点击APP应用客户端,客户端会自动调用SIM卡鉴权组件。SIM鉴权组件负责了SIM卡读数和向云端发起请求的工作,是SIM卡应用鉴权服务的桥梁枢纽;
(3)读取SIM卡信息。SIM组件收到APP应用客户端的调用请求后,会读取SIM卡ICCID和IMSI数据,之后向SIM鉴权云端发起认证请求;
(4)云端鉴权。SIM鉴权云端收到移动终端鉴权组件发来的认证请求后,会将上行的ICCID/IMSI进行数据匹配,验证用户是否是该应用的合法用户。验证通过后向移动终端返回认证token;
(5)获得认证token。移动终端的SIM鉴权组件获得云端返回的认证token,并将token交由APP应用客户端发起面向应用云端的接入请求;
(6)发起APP认证请求。APP客户端通过token向应用云端发起认证请求。应用云端认证通过。同时token在一段时期内有效,短时内APP应用无需重复向SIM鉴权云端发起鉴权请求。
(1)无感知鉴权。鉴权行为由SIM卡自动完成,用户点击APP应用即可实现登录,无需手工认证;
图2 SIM应用鉴权实现原理
(2)防止盗用。由于APP账号与SIM卡捆绑,无SIM卡便无法盗用当事人身份登录;
(3)免记密码。新的鉴权方式不涉及固定密码,无需记忆密码;
(4)随卡换机。由于鉴权方式随卡不随终端,所以客户可以随意换机,只要SIM卡不变,就能轻易登录账号;
(5)集中接入。一张SIM卡可以服务众多APP应用的鉴权需求,不受数量限制。
(1)开放式服务。作为移动运营商,中国移动应更专注于移动互联网的管道服务和平台服务。而鉴权服务作为移动互联网所有应用的共同点,具备独立化,模块化的可能性,由运营商统一建设应用鉴权服务平台,为众多应用提供鉴权服务,建立类似通话服务的信控机制,可降低应用开发成本,方便用户接入使用。SIM卡应用鉴权作为开放式的服务,会建立开放平台,任何APP应用均可接入并建立授权关系,为用户提供多样化的鉴权方式选择;
(2)应用探针。当SIM应用鉴权服务成为众多APP应用登录方式的授权。应用探针的扩展职能也就具备。以SIM卡为重要组件开发面向移动互联网应用服务的“应用探针”,目的是识别手机用户的行为,具体包括通信状态(开关机,停开机,换机),应用状态(应用名称,应用版本),操作行为(应用使用时间,使用次数,使用时长),终端配置(终端编码,操作系统及版本)。
应用探针是运营商了解用户移动互联网行为的必要工具,是移动互联网经营分析的重要数据基础和数据来源。
搭建一体化SIM卡应用鉴权体系,利用SIM卡现有数据实现应用加密,替代固定密码方式,有SIM卡就能登陆,无感知接入,使应用接入向接入GSM一样便捷安全。这种新型鉴权方式改造成本小,接入门槛低,职能定位清晰,将成为运营商在移动互联网战略转型中的特色产品。
Research of mobile Internet application authentication based on SIM technology
LIN Peng, LIANG Ru-kai, LI Hui-guang
(China Mobile Group Guangdong Co., Ltd., Guangzhou 510623, China)
With popularity of smart phones and development of mobile Internet, the communication service industry chain has greatly changed. As natural authentication tool, SIM was unable to play to its strengths.We hope to explore a new way for mobile application authentication based on SIM technology, by using existing capacity, bring the convenience of communication authentication to mobile application authentication, allow users to enjoy a more secure and convenient, no aware application authentication, while providing the open platform access for all APP developers.
SIM; application authentication; mobile Internet; information security
TN929.5
A
1008-5599(2012)10-0006-04
2012-09-10