運營商發(fā)展統(tǒng)一賬號認證業(yè)務技術(shù)方案

郭茂文，張榮，盧燕青，黎艷

（中國電信股份有限公司廣州研究院，廣東 廣州 510630）

1 引言

隨著互聯(lián)網(wǎng)和智能移動終端的高速發(fā)展，基于智能移動終端的應用出現(xiàn)了爆發(fā)式增長，這些豐富的應用給人們的工作和生活提供了極大的便利，但也帶來了新的問題。絕大部分應用需要用戶進行注冊，有可能注冊時需要輸入用戶的隱私信息，如身份證號碼、出生日期、聯(lián)系方式等，注冊過程中用戶還需要設(shè)置復雜的賬號/密碼用于后續(xù)的應用登錄。另外，由于同一個用戶需要使用的應用數(shù)量眾多，因此，用戶需要記憶大量的應用賬號和密碼信息。

這種傳統(tǒng)的賬號/密碼方式的應用在用戶體驗和安全性方面存在多處痛點，如密碼復雜繁瑣、記憶困難；賬號/密碼信息容易被不良木馬盜竊；用戶身份核實困難，只能依賴手機號和身份證信息[1]。

針對以上這些應用痛點，近兩年，國內(nèi)各電信運營商紛紛利用自身的移動網(wǎng)絡和用戶卡資源優(yōu)勢，大力發(fā)展統(tǒng)一賬號增值服務業(yè)務，如中國移動的和通行證[2]、中國聯(lián)通的沃通行證[3]以及中國電信的天翼賬號等。

2 影響發(fā)展統(tǒng)一賬號認證業(yè)務的關(guān)鍵因素

（1）多網(wǎng)絡多終端支持

目前，互聯(lián)網(wǎng)及智能終端已經(jīng)非常普遍，用戶可以方便地通過各個運營商的3G/4G移動網(wǎng)絡或者Wi-Fi網(wǎng)絡來使用互聯(lián)網(wǎng)業(yè)務，同一個互聯(lián)網(wǎng)應用會在智能移動終端、平板電腦或者PC之間頻繁使用。因此，運營商的統(tǒng)一賬號認證服務必須滿足用戶在不同類型網(wǎng)絡、不同類型終端環(huán)境下的正常使用。

（2）運營商間的互聯(lián)互通

運營商用戶與互聯(lián)網(wǎng)應用用戶具有天然的差異性，互聯(lián)網(wǎng)應用用戶具有跨運營商特性。因此，運營商在發(fā)展統(tǒng)一賬號認證服務時，必須考慮與其他運營商的互聯(lián)互通，否則，無法做到互聯(lián)網(wǎng)應用用戶的全覆蓋。

（3）多種認證方式的協(xié)同

除了傳統(tǒng)的賬號/密碼和短信驗證碼認證方式外，運營商還可以提供獨有的移動網(wǎng)關(guān)認證和用戶卡認證。但是，移動網(wǎng)關(guān)認證需要用戶的移動終端開啟移動數(shù)據(jù)網(wǎng)絡功能；用戶卡認證需要用戶卡下載安裝運營商提供的卡應用。因此，統(tǒng)一賬號認證服務要求運營商能夠準確判斷認證過程中用戶移動終端和用戶卡環(huán)境，如果不具備這兩種認證能力，必須能夠自動切換到傳統(tǒng)的賬號/密碼或短信驗證碼認證方式。

3 統(tǒng)一賬號認證業(yè)務的技術(shù)實現(xiàn)

3.1 統(tǒng)一賬號認證系統(tǒng)總體架構(gòu)

運營商統(tǒng)一賬號認證業(yè)務是指以手機號作為賬號體系[4]，以手機為認證載體，以運營商獨有的差異化的移動網(wǎng)絡和用戶卡認證能力為核心功能，整合運營商相關(guān)資源，向運營商自有應用和第三方合作應用提供多等級多因子的安全認證服務，同時輸出基礎(chǔ)電信能力服務。

基于互聯(lián)網(wǎng)及智能移動終端技術(shù)現(xiàn)狀，運營商的統(tǒng)一賬號認證業(yè)務應能夠支持 Android和iOS移動應用以及平板電腦/PC的Web應用。為充分利用運營商的網(wǎng)關(guān)認證和用戶卡認證能力，Web應用的登錄認證方式可采用移動應用掃描Web登錄頁面的二維碼認證方式實現(xiàn)。在這種應用需求下，運營商的統(tǒng)一賬號認證系統(tǒng)架構(gòu)如圖1所示。

統(tǒng)一賬號認證系統(tǒng)分為網(wǎng)絡側(cè)和終端側(cè)兩部分，具體介紹如下。

網(wǎng)絡側(cè)主要完成應用認證能力開放、認證策略管理、認證能力集成等功能，具體可以分為統(tǒng)一賬號認證業(yè)務能力開放平臺、統(tǒng)一賬號認證能力管理平臺以及各認證能力子系統(tǒng)。其中，認證能力子系統(tǒng)主要有網(wǎng)關(guān)認證系統(tǒng)、卡應用認證系統(tǒng)、賬號/密碼認證系統(tǒng)和短信驗證碼認證系統(tǒng)。

終端側(cè)的組成部分主要是統(tǒng)一賬號認證業(yè)務在終端上的必要能力封裝。對于應用，由統(tǒng)一賬號提供登錄框給應用合作方，在應用合作方 Web頁面通過iframe的方式嵌入統(tǒng)一賬號登錄框。登錄方式可以包括二維碼掃碼登錄、賬號/密碼登錄、短信驗證碼登錄以及其他的第三方應用賬號授權(quán)登錄等，應用合作方可以根據(jù)自身需要選擇優(yōu)先的登錄方式。對于移動端應用，由統(tǒng)一賬號提供 SDK給應用合作方，SDK主要實現(xiàn)對終端認證能力信息的收集，并與統(tǒng)一賬號認證能力開放平臺配合實現(xiàn)認證功能。另外，對于用戶卡認證方式，移動終端需要在用戶卡中預置卡應用Applet。

3.2 統(tǒng)一賬號認證系統(tǒng)特點

基于上述的統(tǒng)一賬號認證系統(tǒng)總體架構(gòu)可以看出，統(tǒng)一賬號認證業(yè)務的特點主要如下。

圖1 統(tǒng)一賬號認證系統(tǒng)總體架構(gòu)

（1）一號通行

一套以手機號為核心的賬號系統(tǒng)可以通行運營商的多個業(yè)務和應用，如中國移動的飛信、139郵箱、和彩云以及和通訊錄等；中國電信的天翼云、翼健康和號簿助手等。

（2）差異化認證方式

在傳統(tǒng)的賬號/密碼、短信驗證碼認證方式基礎(chǔ)上，運營商還可以利用移動數(shù)據(jù)網(wǎng)絡和用戶卡資源優(yōu)勢，采用移動通信網(wǎng)關(guān)取號以及用戶卡識別等技術(shù)，提供更安全、更方便快捷的網(wǎng)關(guān)認證和用戶卡認證能力。

（3）可擴展的“認證+”業(yè)務生態(tài)能力

統(tǒng)一賬號認證服務除了提供基本的登錄認證功能外，運營商還可以通過統(tǒng)一賬號認證能力開放平臺與其他的運營商能力系統(tǒng)對接實現(xiàn)向第三方合作應用開放其核心能力，如“賬號+二次放號識別”“賬號+支付”“賬號+云存儲”等[5]，第三方合作應用不需要多頭對接就可以方便快捷地獲得這些核心能力。

3.3 關(guān)鍵應用接口場景

運營商統(tǒng)一賬號認證系統(tǒng)與第三方合作應用對接時的接口應用場景主要有兩種：一種是移動端應用接口場景；另一種是PC端的Web應用接口場景。

對于移動端應用接口場景，運營商統(tǒng)一賬號認證系統(tǒng)可以通過移動端SDK與第三方合作應用對接。移動端應用使用統(tǒng)一賬號 SDK獲得AccessToken，然后通過獲取用戶信息 API利用AccessToken換取手機號碼及其他用戶信息等。在移動端應用發(fā)起登錄請求時，由SDK檢測移動終端環(huán)境，選擇最優(yōu)的認證方式并攜帶認證方式標志向統(tǒng)一賬號業(yè)務能力開放平臺發(fā)起身份認證請求。主要流程實現(xiàn)方案如圖2所示。

對于PC端Web應用接口場景，運營商統(tǒng)一賬號認證系統(tǒng)可以提供登錄框給應用合作方，在應用合作方Web頁面通過iframe的方式嵌入統(tǒng)一賬號登錄框。主要流程實現(xiàn)方案如圖3所示。

3.4 差異化認證能力實現(xiàn)方案

運營商差異化的認證能力主要體現(xiàn)在移動網(wǎng)關(guān)認證和用戶卡認證，其方案實現(xiàn)思路如下。

圖2 移動端應用接口場景實現(xiàn)流程

圖3 PC端Web應用接口場景實現(xiàn)流程

· 對于移動網(wǎng)關(guān)認證來說，需要移動終端開啟移動數(shù)據(jù)網(wǎng)絡功能。移動終端上的應用SDK通過移動數(shù)據(jù)網(wǎng)絡發(fā)送登錄請求消息的過程中，在請求消息經(jīng)過移動網(wǎng)關(guān)（PGW）時，移動網(wǎng)關(guān)在用戶的HTTP請求分組頭加入加密的用戶信息（手機號碼MDN、IMSI、手機IP地址、PGW IP地址等）后傳遞給網(wǎng)關(guān)認證系統(tǒng)，網(wǎng)關(guān)認證系統(tǒng)對用戶信息進行解密后識別用戶手機號碼，確認用戶身份，用戶即可登錄認證成功。實現(xiàn)方案如圖4所示。

圖4 移動網(wǎng)關(guān)認證實現(xiàn)方案

· 對于用戶卡認證來說，需要在用戶卡中預置卡應用Applet[6]?？☉肁pplet初始化時會通過OTA數(shù)據(jù)短信方式與卡認證系統(tǒng)進行卡認證配置數(shù)據(jù)的同步，卡認證系統(tǒng)確認該用戶支持卡認證。用戶登錄時，移動終端上的應用SDK發(fā)送登錄請求消息給統(tǒng)一賬號業(yè)務能力開放平臺，該請求消息通過統(tǒng)一賬號認證能力管理平臺傳遞給用戶卡認證系統(tǒng)。用戶卡認證系統(tǒng)通過短信網(wǎng)關(guān)下發(fā)OTA數(shù)據(jù)短信到用戶卡，用戶卡根據(jù)短信信息在手機上彈出用戶登錄確認的UTK提示框，用戶確認（輸入PIN碼或點擊OK）后，用戶卡發(fā)送登錄確認短信給用戶卡認證系統(tǒng)，用戶即可登錄認證成功。實現(xiàn)方案如圖5所示。

無論是移動網(wǎng)關(guān)認證還是用戶卡認證方式，對用戶移動終端環(huán)境都有一定的要求。移動網(wǎng)關(guān)認證方式需要移動終端能夠用戶在手機設(shè)置中開啟移動數(shù)據(jù)網(wǎng)絡開關(guān)，而用戶卡認證方式需要用戶卡預置有卡應用 Applet，并進行初始化同步。因此，對于某個用戶來說，每次登錄時選擇何種認證方式需要通過應用 SDK與統(tǒng)一賬號認證能力開放平臺的配合和信息交互來確定。運營商也可以通過認證策略配置來實現(xiàn)認證方式的最優(yōu)選擇，如當用戶手機的移動數(shù)據(jù)網(wǎng)絡功能開啟時，可讓用戶每次登錄時優(yōu)先選擇移動網(wǎng)關(guān)認證方式；當用戶登錄后的網(wǎng)絡行為需要進行二次身份認證時，可選擇安全性更高的用戶卡認證方式，以替代傳統(tǒng)的短信驗證碼認證方式，當然，其前提是現(xiàn)網(wǎng)用戶的用戶卡預置卡應用Applet比較普及。當用戶移動終端環(huán)境無法支持移動網(wǎng)關(guān)認證和用戶卡認證這兩種方式時，統(tǒng)一賬號認證系統(tǒng)應能夠根據(jù)用戶或第三方合作應用的選擇回退到賬號/密碼或短信驗證碼的認證方式。

圖5 用戶卡認證實現(xiàn)方案

4 統(tǒng)一賬號認證業(yè)務的互聯(lián)互通

運營商發(fā)展統(tǒng)一賬號認證業(yè)務的優(yōu)勢在于差異化的移動網(wǎng)關(guān)認證和用戶卡認證技術(shù)，但是，由于單個運營商所擁有的用戶無法覆蓋單個互聯(lián)網(wǎng)應用所擁有的用戶，因此，統(tǒng)一賬號認證業(yè)務必須要做到運營商之間的互聯(lián)互通[7]。這樣，SP（服務提供商）應用只需要與單個運營商對接，其所有用戶均可以使用統(tǒng)一賬號認證業(yè)務。

運營商統(tǒng)一賬號認證業(yè)務互聯(lián)互通的關(guān)鍵是認證系統(tǒng)能夠?qū)σ允謾C號為核心的統(tǒng)一賬號進行識別，并基于手機號的歸屬實現(xiàn)路由轉(zhuǎn)發(fā)。根據(jù)前面所述的應用接口場景，這里提出一種基于代理轉(zhuǎn)發(fā)機制的運營商對等自治互聯(lián)互通模型來進行分析，如圖6所示。

圖6 運營商對等自治互聯(lián)互通模型

如圖6所示，SP1的移動端應用包含有MNO1運營商的SDK，即SP1的移動端應用在登錄認證時只向MNO1運營商的認證系統(tǒng)發(fā)送認證請求。各運營商的認證系統(tǒng)均具有相對獨立的號碼識別和路由發(fā)現(xiàn)功能，并且各自互信對接。這里以MNO3運營商用戶使用與MNO1運營商認證系統(tǒng)對接的SP1移動端應用為例來分析不同認證方式的互聯(lián)互通方案。

傳統(tǒng)的賬號/密碼認證方式不需要互聯(lián)互通，只需要MNO3運營商用戶使用與MNO1運營商認證系統(tǒng)對接的SP1移動端應用時，以其手機號（歸屬MNO3運營商）在MNO1運營商認證系統(tǒng)注冊成統(tǒng)一賬號即可，MNO1運營商認證系統(tǒng)就可以在本地完成對異網(wǎng)手機號的統(tǒng)一賬號用戶完成賬號/密碼方式的認證。

對于短信驗證碼方式，只需要運營商各自的短信網(wǎng)關(guān)系統(tǒng)能夠互通即可。MNO3運營商用戶的短信驗證碼通過MNO1運營商認證系統(tǒng)產(chǎn)生，MNO1運營商的短信網(wǎng)關(guān)將該短信驗證碼轉(zhuǎn)發(fā)給MNO3運營商的短信網(wǎng)關(guān)，MNO3運營商的短信網(wǎng)關(guān)再將短信驗證碼直接發(fā)送到其用戶手機上。

對于移動網(wǎng)關(guān)認證方式，其互聯(lián)互通的實現(xiàn)思路可以如下：

（1）MNO3運營商用戶在移動端發(fā)起 SP1 應用（與MNO1運營商的認證系統(tǒng)對接）的登錄操作；

（2）SP1 應用 SDK通過MNO3運營商的移動數(shù)據(jù)網(wǎng)絡發(fā)送client hello消息；

（3）MNO3運營商的移動網(wǎng)關(guān)插入用戶手機號等用戶信息；

（4）MNO1運營商的認證系統(tǒng)接收到SP1 應用 SDK的HTTP消息，并解析；

（5）MNO1運營商的認證系統(tǒng)將 SP1應用SDK的HTTP消息轉(zhuǎn)發(fā)給MNO3運營商的認證系統(tǒng)；

（6）MNO3運營商的認證系統(tǒng)驗證用戶手機號的合法性，驗證通過后，產(chǎn)生AccessToken，并與驗證結(jié)果一起發(fā)送給MNO1運營商的認證系統(tǒng)；

（7）MNO1運營商的認證系統(tǒng)轉(zhuǎn)發(fā)AccessToken和驗證結(jié)果給SP1 應用 SDK；

（8）SP1 應用將AccessToken發(fā)送給SP1應用服務器；

（9）SP1應用服務器攜帶 AccessToken向MNO1運營商的認證系統(tǒng)調(diào)用“獲取用戶信息”API；

（10）MNO1運營商的認證系統(tǒng)通過 MNO3運營商的認證系統(tǒng)獲得用戶信息，并返回給 SP1應用服務器。

這種移動網(wǎng)關(guān)認證方式互聯(lián)互通的關(guān)鍵是每個運營商的移動網(wǎng)關(guān)必須采用一致的HTTP頭增強功能，以及 AccessToken與用戶信息在運營商認證系統(tǒng)之間的安全傳輸。

對于用戶卡認證方式的互聯(lián)互通，其實現(xiàn)方案比較簡單，SP1 應用 SDK發(fā)送卡認證請求（攜帶手機號信息，如首次認證時用戶手工輸入其手機號）給MNO1運營商的認證系統(tǒng)后，MNO1運營商的認證系統(tǒng)根據(jù)手機號判斷其歸屬運營商，并將認證請求轉(zhuǎn)發(fā)給歸屬運營商的認證系統(tǒng)。歸屬運營商的認證系統(tǒng)完成卡認證后，直接將認證結(jié)果和AccessToken返回給MNO1運營商的認證系統(tǒng)。在卡認證方式情況下，SP1應用服務器獲取用戶信息的方法與移動網(wǎng)關(guān)認證方式情況是類似的。

5 結(jié)束語

總地來說，隨著互聯(lián)網(wǎng)應用和智能移動終端的大規(guī)模普及，運營商發(fā)展統(tǒng)一賬號認證業(yè)務可以實現(xiàn)電信與互聯(lián)網(wǎng)的跨體系融合發(fā)展。這樣既可以作為密碼認證的替代品，減少多重身份校驗帶來的麻煩，提升用戶賬戶的安全性，又可以實現(xiàn)整合運營商自身的基礎(chǔ)電信能力輸出，增強用戶黏性，提升運營商在互聯(lián)網(wǎng)時代的價值。但是，由于現(xiàn)網(wǎng)移動終端環(huán)境千差萬別，運營商必須完善獨有的差異化移動網(wǎng)關(guān)認證和用戶卡認證技術(shù)，并實現(xiàn)運營商相互之間的互聯(lián)互通，優(yōu)化和提升用戶業(yè)務體驗，運營商的統(tǒng)一賬號認證業(yè)務才會具有良好的應用前景。

參考文獻：

[1]孫韓林, 劉建華.公眾網(wǎng)絡統(tǒng)一身份認證服務及標準研究[J].電信科學, 2013, 29(2)： 84-88.SUN H L, LIU J H.Study on unified identifier authentication service and standards on public network[J].Telecommunications Science, 2013, 29(2)： 84-88.

[2]中國移動集團公司.中國移動能力開放白皮書[R].2016.China Mobile Communications Corporation.The white paper of China Mobile’s ability[R].2016.

[3]劉鏑, 張云勇, 張尼, 等.“沃互聯(lián)”統(tǒng)一認證技術(shù)研究[J].電信科學, 2015, 31(6)： 6-11.LIU D, ZHANG Y Y,ZHANG N, et al.Research on “Wo Connect”uniform authentication technologys[J].Telecommunications Science,2015, 31(6)： 6-11.

[4]CCTIME飛象網(wǎng).運營商統(tǒng)一帳號體系背后的戰(zhàn)略思考[Z].2016.Dumbo CCTIME.Strategic thinking behind the unified account number system of the operators[Z].2016.

[5]中國電信集團公司.中國電信統(tǒng)一賬號業(yè)務規(guī)范[S].2017.China Telecom Co.Business specification of China Telecom [S].2017.

[6]董雙赫, 嚴斌峰, 胡博, 等.基于 SIM 卡的金融應用移動數(shù)字簽名業(yè)務研究[J].電信科學, 2015, 31(6)： 12-17.DONG S H, YAN B F, HU B, et al.Research on SIM card-based mobile digital signature and authentication for financial services[J].Telecommunications Science, 2015, 31(6)：12-17.

[7]張榮, 黎艷, 郭建昌.基于用戶卡的移動認證技術(shù)方案與應用[J].移動通信, 2015(5)： 31-35.ZHANG R, LI Y, GUO J C.Technical solution and application of mobile authentication based on sim-applet[J].Mobile Communications, 2015(5)： 31-35.