林鵬， 梁如凱， 利惠光

（中國(guó)移動(dòng)通信集團(tuán)廣東有限公司，廣州 510623）

基于SIM卡的移動(dòng)互聯(lián)網(wǎng)應(yīng)用鑒權(quán)研究

林鵬， 梁如凱， 利惠光

（中國(guó)移動(dòng)通信集團(tuán)廣東有限公司，廣州 510623）

智能終端的普及和移動(dòng)互聯(lián)網(wǎng)的迅速發(fā)展極大地改變了通信服務(wù)產(chǎn)業(yè)鏈。面對(duì)移動(dòng)互聯(lián)網(wǎng)行業(yè)，SIM卡作為天然的鑒權(quán)工具卻無法發(fā)揮其優(yōu)勢(shì)。我們希望探索一種基于SIM卡的移動(dòng)互聯(lián)網(wǎng)應(yīng)用鑒權(quán)機(jī)制，利用SIM卡現(xiàn)有能力，將SIM卡通信鑒權(quán)的便利性帶到移動(dòng)互聯(lián)網(wǎng)的應(yīng)用鑒權(quán)中，使用戶享受更安全便捷，無感知的應(yīng)用鑒權(quán)方式，同時(shí)為眾多移動(dòng)互聯(lián)網(wǎng)應(yīng)用提供開放性的平臺(tái)化接入服務(wù)。

SIM；應(yīng)用鑒權(quán)；移動(dòng)互聯(lián)網(wǎng)；信息安全

智能終端促使移動(dòng)互聯(lián)網(wǎng)產(chǎn)業(yè)快速發(fā)展，手機(jī)已經(jīng)從以往的通話工具向個(gè)人移動(dòng)應(yīng)用中心轉(zhuǎn)變?；ヂ?lián)網(wǎng)/移動(dòng)互聯(lián)網(wǎng)推倒了通信業(yè)的圍墻，短信、語音等業(yè)務(wù)被加速替代，通信管道變成啞管道，邊際效應(yīng)被無限放大。云管端的市場(chǎng)分層概念已經(jīng)得到廣泛的認(rèn)可，移動(dòng)互聯(lián)網(wǎng)企業(yè)如今對(duì)終端的控制欲望比以往任何時(shí)候都要強(qiáng)烈。蘋果nano-SIM新標(biāo)準(zhǔn)的提出，說明終端應(yīng)用廠商希望逐步弱化SIM卡的能力，繼而減少運(yùn)營(yíng)商利益分成比例。SIM卡是移動(dòng)運(yùn)營(yíng)商實(shí)現(xiàn)業(yè)務(wù)端到端的重要渠道，務(wù)必鞏固加強(qiáng)其地位。

目前包括TD-SCDMA在內(nèi)的中國(guó)移動(dòng)3G用戶仍使用2G時(shí)代的SIM卡——OTA卡。這類卡在移動(dòng)互聯(lián)網(wǎng)時(shí)代靈活度不高，很多功能無法實(shí)現(xiàn)。同時(shí)，智能終端對(duì)SIM卡的支持力度不足，導(dǎo)致SIM卡在移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)中被邊緣化的風(fēng)險(xiǎn)；4G技術(shù)在未來3～5年內(nèi)仍然無法商用，由此得出，目前的SIM卡將在相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)繼續(xù)支撐移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)轉(zhuǎn)型。

1 SIM卡應(yīng)用鑒權(quán)的含義

顧名思義，SIM卡應(yīng)用鑒權(quán)就是利用SIM卡實(shí)現(xiàn)對(duì)應(yīng)用軟件APP的接入認(rèn)證。SIM卡應(yīng)用鑒權(quán)不是獨(dú)立的移動(dòng)業(yè)務(wù)，而是為眾多第三方APP應(yīng)用提供的開放接入服務(wù)。任何APP應(yīng)用均可以使用SIM卡應(yīng)用鑒權(quán)來為客戶提供更便捷安全的認(rèn)證接入服務(wù)。中國(guó)移動(dòng)提出“智能管道，開放平臺(tái)，特色業(yè)務(wù)，友好界面”，利用SIM卡實(shí)現(xiàn)移動(dòng)互聯(lián)網(wǎng)應(yīng)用鑒權(quán)能夠發(fā)揮中國(guó)移動(dòng)的管道優(yōu)勢(shì)，為其它APP應(yīng)用提供一體化、集中化、開放式的鑒權(quán)服務(wù)和平臺(tái)，有別于現(xiàn)有APP應(yīng)用，獨(dú)辟蹊徑，找準(zhǔn)了移動(dòng)互聯(lián)網(wǎng)產(chǎn)業(yè)鏈中的差異化定位。

目前SIM的主要功能包括通信鑒權(quán)和SIM菜單業(yè)務(wù)，現(xiàn)有的APP應(yīng)用認(rèn)證接入不依賴SIM卡，主要通過固定密碼方式鑒權(quán)，部分通過動(dòng)態(tài)短信方式鑒權(quán)。利用Cookies保存密碼的方式，APP可以實(shí)現(xiàn)直接登錄，無需重復(fù)輸入密碼。當(dāng)用戶首次登陸APP時(shí)輸入賬號(hào)和密碼，APP會(huì)提示是否保存密碼以便下次直接登錄。如果用戶選擇保存賬號(hào)密碼，就會(huì)在手機(jī)內(nèi)生成Cookies文件。下次登陸的時(shí)候APP直接讀取Cookies完成登錄。

固定密碼方式實(shí)現(xiàn)簡(jiǎn)單，但也存在一定缺陷：

（1）賬號(hào)密碼易被竊取，賬號(hào)安全缺乏保障。一旦賬號(hào)密碼泄露，他人便可以在其它移動(dòng)終端盜用賬號(hào)登陸。近些年微博上流傳的免費(fèi)WLAN賬號(hào)和密碼，ISDN賬號(hào)泄露的事件就證明僅僅靜態(tài)密碼的鑒權(quán)方式存在相當(dāng)大的盜號(hào)冒用風(fēng)險(xiǎn)；

（2）移動(dòng)互聯(lián)應(yīng)用眾多，賬號(hào)密碼使用繁多。雖然cookies解決了二次輸入密碼的問題，但還需用戶記憶密碼。眾多的應(yīng)用對(duì)應(yīng)不同的賬號(hào)和密碼，又給用戶增加了記憶的難度；

（3）鑒權(quán)輸入方式繁瑣，無感知鑒權(quán)成趨勢(shì)。在換機(jī)和重置密碼后，固定密碼的鑒權(quán)方式不可避免要手工輸入，這種繁瑣的方式與無感知鑒權(quán)的大趨勢(shì)形成鮮明對(duì)比。

利用SIM卡實(shí)現(xiàn)APP應(yīng)用的鑒權(quán)登陸不但可以解決賬號(hào)盜用的問題，還能實(shí)現(xiàn)無感知登陸。利用SIM卡信息實(shí)現(xiàn)鑒權(quán)認(rèn)證，將SIM卡的通信鑒權(quán)能力能引入到移動(dòng)互聯(lián)網(wǎng)應(yīng)用鑒權(quán)中，使SIM卡成為移動(dòng)互聯(lián)網(wǎng)應(yīng)用鑒權(quán)的重要工具，也將SIM卡網(wǎng)絡(luò)鑒權(quán)的便利性帶到移動(dòng)互聯(lián)網(wǎng)應(yīng)用鑒權(quán)中。

2 實(shí)現(xiàn)途徑分析

利用既有數(shù)據(jù)實(shí)現(xiàn)認(rèn)證的方式。Wi-Fi的接入認(rèn)證就有一種方式是利用了MAC編碼實(shí)現(xiàn)鑒權(quán)。SIM卡也具備這一能力。從SIM卡存儲(chǔ)的已有數(shù)據(jù)中尋找唯一不可替代的數(shù)據(jù)作為鑒權(quán)憑證。以下從SIM卡的文件結(jié)構(gòu)分析利用SIM現(xiàn)有數(shù)據(jù)實(shí)現(xiàn)認(rèn)證鑒權(quán)的可行性。

圖1 SIM卡文件結(jié)構(gòu)

SIM卡的技術(shù)構(gòu)造簡(jiǎn)單，作為一個(gè)完整的單片機(jī)系統(tǒng)，它包含了CPU，ROM，RAM，EEPROM和I/O，但在業(yè)務(wù)定位上SIM卡在設(shè)計(jì)之初僅僅服務(wù)于通信鑒權(quán)，SIM卡的文件目標(biāo)包含以下基本參數(shù)：

(1) IMSI (International Mobile Subscriber Identity)；

(2) Ki (Subscriber authentication key)；

(3) ICCID (Integrated Circuit Card Identifier)；

(4) PIN (Personal Identification Number)；

(5) PUK(PIN Unblocking Key)。

移動(dòng)智能終端實(shí)現(xiàn)應(yīng)用認(rèn)證鑒權(quán)的就要從SIM卡中找到不可復(fù)制且唯一的標(biāo)識(shí)符。Ki信息不能被移動(dòng)終端直接讀取，PIN和PUK是加鎖解鎖專用碼。唯有IC卡識(shí)別號(hào)ICCID和國(guó)際用戶識(shí)別碼IMSI可以讀取并使用，具備成為鑒權(quán)憑證的條件，IMSI信息目前只有運(yùn)營(yíng)商掌握，不具備公開性，ICCID作為SIM卡的硬件編碼，除了運(yùn)營(yíng)商掌握外，SIM實(shí)體卡上也有印刷。

新密鑰寫卡實(shí)現(xiàn)認(rèn)證的方式。SIM卡的存儲(chǔ)區(qū)域分為標(biāo)準(zhǔn)區(qū)域和非標(biāo)準(zhǔn)區(qū)域。標(biāo)準(zhǔn)區(qū)域是各個(gè)卡商的SIM卡都具備的空間，可以作為新密鑰寫入的目的區(qū)域。由于SIM卡的讀取遵循7816接口的嚴(yán)格指令集定義，讀寫新數(shù)據(jù)意味著要破壞現(xiàn)有文件結(jié)構(gòu)，部分功能將喪失。這種方式安全級(jí)別更高，但改造成本過大，不宜采用。

3 SIM卡應(yīng)用鑒權(quán)設(shè)計(jì)原則

（1）“三不”原則。不換機(jī)，不換卡，不增加硬件；

（2）兼容適配原則。能夠兼容市面上主流硬件平臺(tái)和操作系統(tǒng)；

（3）快速部署原則?？赏ㄟ^預(yù)置寫卡，遠(yuǎn)程更新或用戶手工更新方式快速加載；

（4）開放能力原則。能夠作為統(tǒng)一鑒權(quán)的能力為眾多APP應(yīng)用提供開放接入的能力。

4 SIM卡應(yīng)用鑒權(quán)的實(shí)現(xiàn)

SIM卡實(shí)現(xiàn)應(yīng)用鑒權(quán)首先要建立卡-組件-云端一體化架構(gòu)，包括SIM卡，鑒權(quán)組件，CA云端三部分，SIM卡定位于前端業(yè)務(wù)key；云端定位于提供鑒權(quán)接入服務(wù)，終端組件提供交互能力。這是由SIM卡的自身能力局限性決定的，SIM卡自身的單片機(jī)系統(tǒng)不能提供應(yīng)用鑒權(quán)服務(wù)，如果由應(yīng)用開發(fā)商自行開發(fā)鑒權(quán)組件和鑒權(quán)云端，會(huì)造成重復(fù)開發(fā)和標(biāo)準(zhǔn)不統(tǒng)一。一體化架構(gòu)有利于實(shí)現(xiàn)開放的鑒權(quán)接入能力，降低APP應(yīng)用接入門檻，也能彌補(bǔ)SIM卡智能交互能力不足的缺陷。

應(yīng)用鑒權(quán)包括如下步驟：

（1）應(yīng)用授權(quán)。APP應(yīng)用云端與SIM鑒權(quán)云端建立授權(quán)關(guān)系，這是SIM鑒權(quán)的前提。之后SIM鑒權(quán)云端會(huì)建立手機(jī)號(hào)和APP應(yīng)用賬號(hào)的對(duì)應(yīng)關(guān)系，這就為APP應(yīng)用實(shí)現(xiàn)SIM鑒權(quán)提供了平臺(tái)基礎(chǔ)。同時(shí)APP客戶端應(yīng)用需要相應(yīng)改造，增加SIM鑒權(quán)的選項(xiàng)，當(dāng)用戶選擇SIM鑒權(quán)后，登錄認(rèn)證時(shí)會(huì)調(diào)用SIM鑒權(quán)組件完成SIM信息讀取和云端交互工作；

（2）APP應(yīng)用登錄調(diào)用SIM鑒權(quán)組件。用戶點(diǎn)擊APP應(yīng)用客戶端，客戶端會(huì)自動(dòng)調(diào)用SIM卡鑒權(quán)組件。SIM鑒權(quán)組件負(fù)責(zé)了SIM卡讀數(shù)和向云端發(fā)起請(qǐng)求的工作，是SIM卡應(yīng)用鑒權(quán)服務(wù)的橋梁樞紐；

（3）讀取SIM卡信息。SIM組件收到APP應(yīng)用客戶端的調(diào)用請(qǐng)求后，會(huì)讀取SIM卡ICCID和IMSI數(shù)據(jù)，之后向SIM鑒權(quán)云端發(fā)起認(rèn)證請(qǐng)求；

（4）云端鑒權(quán)。SIM鑒權(quán)云端收到移動(dòng)終端鑒權(quán)組件發(fā)來的認(rèn)證請(qǐng)求后，會(huì)將上行的ICCID/IMSI進(jìn)行數(shù)據(jù)匹配，驗(yàn)證用戶是否是該應(yīng)用的合法用戶。驗(yàn)證通過后向移動(dòng)終端返回認(rèn)證token；

（5）獲得認(rèn)證token。移動(dòng)終端的SIM鑒權(quán)組件獲得云端返回的認(rèn)證token，并將token交由APP應(yīng)用客戶端發(fā)起面向應(yīng)用云端的接入請(qǐng)求；

（6）發(fā)起APP認(rèn)證請(qǐng)求。APP客戶端通過token向應(yīng)用云端發(fā)起認(rèn)證請(qǐng)求。應(yīng)用云端認(rèn)證通過。同時(shí)token在一段時(shí)期內(nèi)有效，短時(shí)內(nèi)APP應(yīng)用無需重復(fù)向SIM鑒權(quán)云端發(fā)起鑒權(quán)請(qǐng)求。

5 SIM卡應(yīng)用鑒權(quán)的優(yōu)勢(shì)

（1）無感知鑒權(quán)。鑒權(quán)行為由SIM卡自動(dòng)完成，用戶點(diǎn)擊APP應(yīng)用即可實(shí)現(xiàn)登錄，無需手工認(rèn)證；

圖2 SIM應(yīng)用鑒權(quán)實(shí)現(xiàn)原理

（2）防止盜用。由于APP賬號(hào)與SIM卡捆綁，無SIM卡便無法盜用當(dāng)事人身份登錄；

（3）免記密碼。新的鑒權(quán)方式不涉及固定密碼，無需記憶密碼；

（4）隨卡換機(jī)。由于鑒權(quán)方式隨卡不隨終端，所以客戶可以隨意換機(jī)，只要SIM卡不變，就能輕易登錄賬號(hào)；

（5）集中接入。一張SIM卡可以服務(wù)眾多APP應(yīng)用的鑒權(quán)需求，不受數(shù)量限制。

6 SIM卡應(yīng)用鑒權(quán)職能定位

（1）開放式服務(wù)。作為移動(dòng)運(yùn)營(yíng)商，中國(guó)移動(dòng)應(yīng)更專注于移動(dòng)互聯(lián)網(wǎng)的管道服務(wù)和平臺(tái)服務(wù)。而鑒權(quán)服務(wù)作為移動(dòng)互聯(lián)網(wǎng)所有應(yīng)用的共同點(diǎn)，具備獨(dú)立化，模塊化的可能性，由運(yùn)營(yíng)商統(tǒng)一建設(shè)應(yīng)用鑒權(quán)服務(wù)平臺(tái)，為眾多應(yīng)用提供鑒權(quán)服務(wù)，建立類似通話服務(wù)的信控機(jī)制，可降低應(yīng)用開發(fā)成本，方便用戶接入使用。SIM卡應(yīng)用鑒權(quán)作為開放式的服務(wù)，會(huì)建立開放平臺(tái)，任何APP應(yīng)用均可接入并建立授權(quán)關(guān)系，為用戶提供多樣化的鑒權(quán)方式選擇；

（2）應(yīng)用探針。當(dāng)SIM應(yīng)用鑒權(quán)服務(wù)成為眾多APP應(yīng)用登錄方式的授權(quán)。應(yīng)用探針的擴(kuò)展職能也就具備。以SIM卡為重要組件開發(fā)面向移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)的“應(yīng)用探針”，目的是識(shí)別手機(jī)用戶的行為，具體包括通信狀態(tài)（開關(guān)機(jī)，停開機(jī)，換機(jī)），應(yīng)用狀態(tài)（應(yīng)用名稱，應(yīng)用版本），操作行為（應(yīng)用使用時(shí)間，使用次數(shù)，使用時(shí)長(zhǎng)），終端配置（終端編碼，操作系統(tǒng)及版本）。

應(yīng)用探針是運(yùn)營(yíng)商了解用戶移動(dòng)互聯(lián)網(wǎng)行為的必要工具，是移動(dòng)互聯(lián)網(wǎng)經(jīng)營(yíng)分析的重要數(shù)據(jù)基礎(chǔ)和數(shù)據(jù)來源。

7 結(jié)束語

搭建一體化SIM卡應(yīng)用鑒權(quán)體系，利用SIM卡現(xiàn)有數(shù)據(jù)實(shí)現(xiàn)應(yīng)用加密，替代固定密碼方式，有SIM卡就能登陸，無感知接入，使應(yīng)用接入向接入GSM一樣便捷安全。這種新型鑒權(quán)方式改造成本小，接入門檻低，職能定位清晰，將成為運(yùn)營(yíng)商在移動(dòng)互聯(lián)網(wǎng)戰(zhàn)略轉(zhuǎn)型中的特色產(chǎn)品。

Research of mobile Internet application authentication based on SIM technology

LIN Peng, LIANG Ru-kai, LI Hui-guang
(China Mobile Group Guangdong Co., Ltd., Guangzhou 510623, China)

With popularity of smart phones and development of mobile Internet, the communication service industry chain has greatly changed. As natural authentication tool, SIM was unable to play to its strengths.We hope to explore a new way for mobile application authentication based on SIM technology, by using existing capacity, bring the convenience of communication authentication to mobile application authentication, allow users to enjoy a more secure and convenient, no aware application authentication, while providing the open platform access for all APP developers.

SIM; application authentication; mobile Internet; information security

TN929.5

A

1008-5599（2012）10-0006－04

2012-09-10