[张荣 黎艳]
运营商统一移动认证方案与应用
[张荣 黎艳]
文章介绍了互联网/移动互联网移动认证现状,并描述了全球运营商统一认证的方案以及应用情况,最后阐述了运营商所面临的机遇与挑战。
GSMA 移动互联 路由发现 本地验证
张荣
高工,中国电信股份有限公司广东研究院,主要从事移动互联网新技术与业务、智能管道等研究。
黎艳
工程师,中国电信股份有限公司广东研究院,主要从事移动互联网安全技术研究与产品开发。
随着移动互联网应用的丰富,为了便于用户免于申请和记忆众多的帐号,应用系统逐渐采用大型SP帐号、手机号码或者email等作为账号信息。例如,大众点评网可以使用QQ帐号登录认证;而国外的很多网站也可以使用Facebook、Google的帐号进行登录。但是由于各地区流行应用的多样性,目前,还没有一个能登录不同应用的统一账号及其认证方式。
FIDO联盟提出了UAF(无密码指纹认证)与U2F(第二因子认证)认证解决方案,全球较大的SP包括阿里巴巴、Google等等都表示支持FIDO方案,但这只是一种认证技术的标准,只有全球SP都采用这种方案,才能够实现FIDO登录全球SP。
2015年,GSMA在个人数据项目中提出Mobile Connect(移动互联,以下简称MC)业务,旨在提供一个具有全球一致性和互操作性的移动互联网认证服务,并支持其在运营商市场的部署。该业务主要以运营商手机号为认证帐号、以手机为认证载体、在全球运营商联盟内实现认证系统的互联、向全球用户提供可分不同安全级别的并且体验一致的移动手机认证业务。欧洲多数运营商已经在其全球业务中开展Mobile Connect的试验与业务发布。
图1为Mobile Connect的技术方案,它主要分为手机本地验证、在线认证与互联模型三部分。
本地验证是指在移动终端上完成的用户验证认证。本地验证方式包括:(1)Click OK,即没有任何本地验证,在收到终端弹出认证请求确认消息时,用户直接点击“确认”即可;(2)本地认证密码,也称为个人码(Personal Code),即在终端弹出的认证请求确认消息需要用户输入本地验证码。本地验证码在终端侧完成验证,不会发送到平台。
图1 Mobile Connect技术方案
Mobile Connect也不排除其他本地认证方案,比如FIDO提出的生物特征本地认证方式,如通过终端指纹验证等。GSMA也正在与FIDO合作,进一步完善丰富本地认证方式。
在线认证是指在认证平台侧完成的用户身份验证。在线认证方式可以选择多种认证方案,实现不同安全级别的认证。运营商可以采用USSD(非结构化补充数据业务)方案,也可以采用基于卡应用的各种认证方案。不同的在线认证方案提供基本一致的客户体验,不同的安全等级。应用或用户可以根据自己对安全等级的需求,决定采用哪种认证方案。表一描述了GSMA定义的四种不同的安全等级,并给出相应的认证方法示例。
表1 Mobile Connect安全等级与认证方案示例
注:因子主要有分类,(1)用户所拥有的,如手机、令牌;(2)用户所知道的,如密码、验证码;(3)用户自身特征,如指纹、虹膜等。
互联模型是指SP与不同运营商MC系统 进行对接的模型。不同运营商的认证系统通过路由发现模块进行互联,该模块主要根据电话号码、IP地址来发现其归属运营商认证系统的URL。该模块可以由运营商进行管理维护,也可以由大的SP进行管理,还可以由第三方进行管理,从而形成三种不同的互联模型。
(1)MNO管理路由发现
图2 MNO管理路由模式
各运营商认证系统实现路由发现的模块,各运营商认证系统彼此互联形成互信的联盟。其中A运营商签约SP1,B运营商的用户(B-EU,表示B的End User)也可以使用Mobile Connect登录SP1,A运营商收到B-EU的认证请求,会发现其属于B运营商,并将该认证请求转至B运营商。
该方案可以实现SP与运营商联盟之间的一点对接,全部互联。而且就像其他通信漫游业务一样,运营商之间的这种合作机制较为成熟,易于操作。这种方式非常适合中国市场,联盟的运营商数量不多于三个,且彼此实力相当。
(2)第三方管理路由发现
图3 第三方管理路由发现
这种互联模型中,路由发现由非SP、非MNO的第三方进行管理。第三方可以是政府也可以是其他商业机构。例如,国际地区之间互通时可以通过政府的路由中心互联进行。GSMA在欧洲范围内推广这一方案。该模型中,互联的中心平台完成与各个运营商系统对接,SP仅需要与互联的中心平台完成一点对接即可接入所有运营商。
(3)SP管理路由发现
大型SP有能力自己完成路由发现的管理,与各个运营商完成对接。
2016年7月在上海MWC大会上,中国的三家运营商与国外运营商联合演示了Mobile Connect业务。中国电信的号簿助手业务作为开放的互联网业务,采用运营商路由发现模型与各运营商认证系统对接,实现了各个运营商的用户通过点击“Mobile Connect”按钮,就可以直接登录号簿助手应用。
GSMA聚焦推动运营商Mobile Connect部署:互联的认证服务、统一开放的应用接口、一致的业务名称。全球已有22个国家的42家运营商在部署,如:Orange 在西班牙、摩洛哥、法国等地部署了MC服务;Telenor在北欧、马来西亚、巴基斯担、孟加拉、泰国、印度、缅甸等地推进MC业务; Telefonica在西班牙等地部署MC业务。目前,全球运营商的移动认证服务注册用户数 2千万。
Mobile Connect作为一种全球统一认证的方案为用户、SP与运营商都带来了好处。用户无须记忆不同应用的多个密码可以实现快速安全登录认证,且仅需携带手机便可实现多个Ukey功能。SP增加了一种全球用户体验一致的应用认证手段,路由发现简化了SP和多MNO合作时的系列问题,减少了系统接口、业务接口、协议等;无须用户逐一注册,应用与MC合作即可获得全球运营商的用户数。而运营商的各种转型业务从而也可以跨过运营商网间壁垒,具备为他网用户提供服务的能力,获得了进一步向海外更多用户开放的空间。同时,运营商参与到认证环节中,在与互联网商的竞争与合作中,形成合力,提高用户粘性,提升产业链的话语权与控制力 。但是,Mobile Connect作为全球运营商推广的统一的移动认证业务也面临着各种挑战。
(1)政策与法规
全球可互通的认证跨不过法律法规这道坎。身份是否允许外传,是否国外认证过的用户国内就能够承认?这些都需要仔细研究。GSMA成立了相应的隐私保护与政策研究工作组,中电信已经申请加入,中移动中联通也表态加入。三个运营商都表示需要推动明确和遵循国家相关电子签名法、隐私保护法规(工信部2013年24、25号令等),GSMA也会内部协调法务和隐私方面专家指导中国运营商。同时对于SP的需求,也要进行分级,不同的安全级别对应不同的隐私法规区别要求。
(2)用户体验
GSMA提供Mobile Connect统一的Logo设计和业务入口Button,以及主要用户使用流程。但是,实际上用户对于运营商的标识已经深入人心,此外,短信验证码也已经是市场认可的,用户高度接受的认证方式,如何将用户迁移到Mobile Connect? Mobile Connect的Logo与业务体验获得市场认可,需要的不仅仅是时间,更是各方市场努力。
(3)互联网商的竞争
许多互联网商已经在认证开放平台这方面精耕多年,如腾讯、百度、Google、Facebook等。全球运营商联合推出业务体验一致的移动认证方案正是为了更好地参与到移动认证领域中。然而,如何有效地争取客户,扩大业务规模,使其品牌真正立足于用户心中,需要做好产品的规划和策略。GSMA建议暂时先建立两类产品架构,MC1(1factor,对应LoA2的Click OK)和MC2(2 factors,对应LoA 3的Enter PIN)。针对银行、政务等应用开展LoA4的基于用户卡的卡盾认证服务。从认证切入,后续还可以结合网络信息进一步开展多维度属性验证等业务。
1 FIDO 联盟 https://FIDOalliance.org/specifications/overview/
2 GSMA http://inforcentre2.gsma.com/
10.3969/j.issn.1006-6403.2016.11.016
(2016-11-08)