运营商身份认证方案解析

［张荣 郭建昌］

运营商身份认证方案解析

［张荣 郭建昌］

介绍了运营商开展身份认证业务的背景与认证主要技术，并讨论了运营商身份认证三类主要方案，最后阐述了运营商开展身份认证业务所面临的机遇与挑战。

认证 加密 接入鉴权 用户卡

张荣

高级工程师，中国电信股份有限公司广州研究院，主要从事移动互联网新技术与业务、智能管道等研究。

郭建昌

工程师，中国电信股份有限公司广州研究院，主要从事移动互联网安全技术研究与产品开发。

1 背景

随着O2O的发展，线下生活与线上行为连接，启动全球生活数字化。而无论是产业链玩家还是消费者都一致认识到：万物互联，认证先行。提供安全无缝的身份认证服务，成为数字经济中的战略挑战。

作为互联网SP巨头，微信2016.05已经7.6亿多活跃用户，越来越多的应用选择使用微信、QQ进行认证。基于开放的认证能力，微信开放平台将其登录、分享、支付等作为能力组件为第三方SP开放。Google、Facebook、苹果等巨头也都在积极构建安全认证能力。

身份认证业务对于运营商也有着深刻的意义。用户需要随时、随地、随身登陆网络上的不同应用，但是多应用、多密码一直困扰着用户。认证是用户接入网络、应用的第一道门户，维系用户关系的纽带；打造新型IDaaS（认证即服务）服务，有助于运营商构筑从传统传输型网络切入智慧信息网络的用户基础。

同时，运营商开展身份认证也有着先天优势。全球最大的宽带网络和覆盖全国的移动网络，在对移动终端接入网络的合法性进行鉴权以及安全性进行保障方面的运营经验丰富。自有渠道能够覆盖到每一个乡镇，结合实名制，有能力对用户进行面对面服务、审核。手机号码是很多移动互联网应用认证重要手段，培养了用户通过运营商业务进行业务认证的习惯。

2 身份认证技术简介

身份认证技术用于解决访问者的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据。它的任务是检验信息系统用户身份的合法性和真实性，并按系统授予的权限访问系统资源，将非法访问者拒之门外。

如图1所示，完整的身份认证方案包含了用户侧/系统侧的判定依据、加密方式、验证方式、以及是否进行完整性保护。判定依据通常根据用户所拥有的（例如：key）所知道（如：密码）、所是即代表用户的生物特征（如指纹）。加密方式主要是指对明文的加密方法，也是认证的核心技术。验证方式主要分为对比明文和对比密文两类。完整性保护主要是保证传输的数据不被篡改，是身份认证方案中的一个辅助手段，本文不作详述。采用1个或多个这些判定因子，对明文进行加密，然后在系统侧相同的因子参加相同的加密运算形成系统侧密文，与从远端端传输来的密文进行比较；或者在系统侧将远端传来的密文解密，将再与系统侧所持有的判定因子的明文进行对比，这样就形成了端到端的认证方案。

图1 身份认证方案示意

根据加密的方法：分为对称密码认证和非对称密码认证（PKI）。对称加密认证包括用户名密码、OTP、令牌、基于冲击-响应的双因子认证，而对称的判定因子也相当于对称的密码。非对称密加密认证主要是基于PKI技术的。根据是否基于硬件处理,又可分为基于硬件认证（UKEY）和非硬件认证。

3 运营商典型身份认证方案分析

网络接入鉴权方案、基于网络能力开放的认证方案（IMSI、网关插入手机号）、基于用户卡应用的认证方案是运营商中较为典型的三类认证方案。

运营商最广泛使用的身份认证方案是其网络接入鉴权方案。随着网络的发展，其鉴权方案也在不断演变，但是总体来说，移动数据网接入鉴权一直都使用的是对称加密技术。表1所示为各类移动网络中的接入鉴权方案对比。由表1可见，移动接入网络鉴权整体使用的是对称加密算法，对密钥的管理要求较高；随着技术的发展，逐步由单向认证向双向认证演进；算法逐渐复杂，密钥也越来越长，以对抗破解攻击；从最初GSM网络缺乏加密和完整性保护，到今天的LTE网络已经采用多层次密钥，对网络分层加密和实施完整性保护。

表1 移动网络接入鉴权对比

3GPP TS 33.220 中描述的GBA统一认证架构即是将网络接入鉴权架构开放出来为上层业务服务。但是目前仅在IMS补充配置业务中有所应用。

利用网络优势，运营商将网络能力开放还尝试了一些其他业务认证方案，例如IMSI反查、综合网关插入电话号码等。

IMSI反查是指根据终端上报IMSI，在系统侧查出对应的手机号，用户自动使用手机号吗登录。这种认证方案适用于低安全级别的登录认证，如影讯浏览等。但是该方案也存在于终端IMSI仿冒等安全问题。

综合网关插入电话号码如图2所示，基于HTTP头增强的功能，当用户访问认证平台时，网关在用户的HTTP请求包头中插入MDN号码，从而实现将用户号码传递给认证平台。适用中安全级别的免登录应用或小额交易应用。该方案虽然具有不需要用户参与，自动实现手机号码识别，推广不受终端和卡的限制等优点，但是它不支持WiFi接入，限于移动数据HTTP类应用，也有一些隐性安全问题，如APP应用自己在HTTP协议字段中添加MDN字段（网关需配置重置所有HTTP协议包头的MDN字段）。

图2 综合网关插入电话号码认证示意

近来，国内外各运营商中有的推出基于用户卡能力的卡应用认证，主要是利用卡的安全存储、安全访问、安全运算等能力，将终端的认证因子和算法存储在卡应用，通过卡和系统侧的安全交互，实现在线身份认证，具体可参考文献[1]。基于卡应用的身份认证方案可以选择OTP、令牌、PKI等成熟的方法，但是由于数据和算法都存在用户卡这样的安全单元上，用户卡具备了CC EAL 5+安全级别，任何应用要访问卡必须符合安全访问规则，由此对卡内信息和算法提供了当前最高等级的安全防护。卡应用认证可提供多种不同安全等级认证方式，分别适用高、中、中低安全级别应用场景，如银行卡盾、安全办公、app登录等。

上述三类认证方案都是利用了运营商现有的优势资源，但是从满足用户需求和运营商长期发展策略来看，无论网络如何变化，网络接入是运营商的核心资源，而用户卡上所承载的信息也是网络接入所必不可少的。

4 运营商身份认证业务所面临的机遇与挑战

运营商开展身份认证业务具有以下先天优势。（1）品牌和渠道优势。网点覆盖范围广，对所有用户可以作面对面审核；获得合作伙伴和客户广泛认可，是普遍信赖的服务提供方。（2）系统优势。端到端的系统优势体现在：应用对于基础网络的依赖；系统对移动终端接入网络的合法性进行鉴权以及安全性进行保障；用户卡具备安全保护芯片，加解密算法的协处理器，配合GPAC安全访问控制机制，使得用户卡具备了与U盾同等的高安全级别。此外，系统中还有各种用户行为记录。（3）业务基础。作为用户卡的发卡方，发卡过程实现了对用户真实身份的核验；可以通过可信服务管理平台TSM对卡片进行维护及管理；码号作为网络接入与用户的触点，具有增强用户粘性的作用。

但是运营商仍面临很多挑战。（1）认证整体方案往往需要终端和系统侧的配合，而运营商对终端的控制力仅限于定制终端，而国内市场上销售的手机定制终端所占比例不高。如何确保终端对方案的支持？（2）越来越多的eSIM会首先占领物联网市场，如何应对这种用户卡形式的变化？（3）终端厂商也在纷纷向平台商转型。以苹果为例，Apple ID账号认证应用在苹果的各种应用、维护中，其苹果pay也是以认证为核心。这种竞争趋势下，运营商如何迅速有效利用自身优势？

万物互联中认证必不可少，与领先互联网公司、终端设备公司对用户的争夺、价值链的博弈已经在认证技术上开始了。运营商是否能把握机遇？让我们拭目以待。

1 张荣、黎艳、郭建昌 基于用户卡的移动认证技术方案与应用移动通信 2015（3）

2 3GPP TS 33.220-2005

2016-12-01）

10.3969/j.issn.1006-6403.2016.12.002