“沃互聯”統一認證方案研究與應用

中國聯合網絡通信有限公司研究院 北京 100032

引言

目前，弱口令和“拖庫”、“撞庫”問題已成為我國互聯網企業與用戶面臨的最大安全挑戰，是導致核心機密失竊、隱私泄露的主要根源。而現有移動互聯網普遍采用“用戶名+口令+短信驗證碼”機制驗證用戶身份。但這種認證方式存在諸多弊端：第一，用戶認證入口過多，不同業務系統用戶需設置、記憶多個不同用戶名及口令，不同網站的身份難以互通，用戶體驗差，常引發弱口令問題；第二，用戶真實身份難以驗證，用戶名及口令保管不善，易被不法分子冒名登錄；第三，服務提供商(如互聯網網站)各自建設、維護身份認證系統，安全防護水平差的系統就會成為黑客竊取用戶密碼、發起“拖庫”、“撞庫”攻擊的入口；第四，短信驗證碼不夠安全，當手機被盜或被裝入木馬后，犯罪分子都可僅通過竊取手機短信驗證碼獲得極高權限，如修改支付密碼，取消支付綁定的證書，登錄支付賬戶盜走資金。

鑒于此，研發新型身份認證技術已得到各國政府、業界的廣泛重視。國際方面，歐美國家相繼出臺用戶信息保護法案；GSMA于2013年提出Vision 2020個人數據項目，在全球通信產業中征集基于mobile ID的新型統一認證技術，取代傳統用戶名+口令認證方式。國內方面，政府對網絡空間環境下的個人隱私安全高度重視。2012年12月，全國人大常委會頒布“關于加強網絡信息保護的決定”。2014年2月，國家主席習近平主持召開中央網絡安全和信息化領導小組第一次會議并發表重要講話，強調網絡與信息安全是國家發展的重大戰略。互聯網企業紛紛研發新型身份認證技術，包括騰訊公司的掃碼登錄、阿里公司的臉部特征識別支付等。

綜上可知，傳統的認證方式已無法適應新政策、新技術、新業務的發展需求，已經制約移動互聯網快速、健康、有序的發展，移動互聯網需要一種新型的、安全、便捷、可信的身份認證技術來取代傳統認證方法。本文提出依靠運營商資源稟賦，為產業打造身份認證基礎設施，將手機號碼作為唯一身份標識(用戶名)，為業務提供商、用戶提供、開放創新的安全能力的“沃互聯”統一認證解決方案。

1 “沃互聯”統一認證方案

本章將從方案目標、技術架構、核心模塊、業務流程等方面具體闡述“沃互聯”統一認證方案。

1.1 目標

“沃互聯”統一認證方案是由中國聯通研究院研發的基于SIM卡的身份認證系統方案，用戶無需前往聯通營業廳辦理換卡業務，無需自行下載，通過聯通Java卡平臺無感知推送卡應用，支持2/3/4G終端。作為運營商為產業、用戶提供的安全解決方案，本方案有三個目標。1)安全創新+自主研發。研發業界領先的身份認證技術，提供比“用戶名+密碼+短信驗證碼”更為安全、可信的認證服務。2)提高運營效率+解決實際問題。提高移動號碼資源效率，拉動流量經濟增長，減少企業內部安全風險。3)通用+便捷。任何需要認證的場景都可以方便使用。

本方案將手機號碼作為唯一身份標識(用戶名)，用戶可無感知實現后臺推送卡應用，并完成初始注冊。登錄網站或業務系統時，無需輸入口令，只需輸入手機號碼，業務系統透傳手機號碼給聯通，聯通利用卡平臺尋址用戶，并提供三種強度等級(確認、輸入pincode、證書)的認證手段以驗證用戶真實身份，業務提供商根據聯通的反饋結果決定是否允許用戶登錄(如圖1)。

1.2 技術架構

“沃互聯”系統總體架構如圖2所示。

1.3 核心模塊

1.3.1 統一認證平臺側

1)管理模塊。此模塊主要指“沃互聯”門戶網站，門戶網站分為管理門戶、用戶門戶和業務門戶。分別提供角色、權限和管理員管理、業務平臺管理、普通用戶管理和數據統計分析功能。

2)業務模塊。此模塊為“沃互聯”統一認證平臺的核心業務模塊，包含注冊/注冊確認、密鑰更新/重置、卡認證密碼更新、登錄認證等功能。

3)短信組織解析模塊。此模塊具備兩個功能，即組織下發數據短信格式和解析上行數據信。

4)短信收發模塊。此模塊為短信代理，即發送數據短信的程序，主要負責與短信網關通信進行短信下發和上行接收轉發。

5)0348報文前置模塊。此模塊負責跟聯通TSM平臺通信，透傳數據請求打包0348安全報文。

圖1 “沃互聯”用戶流程圖

圖2 “沃互聯”總體架構圖

1.3.2 終端側

卡應用：這里指JAVA卡應用，主要包含以下功能。①注冊流程：負責主動上行注冊信息。②密鑰更新/重置流程：接收統一認證服務器下發密鑰更新或重置的指令，更新或重置卡應用的密鑰。③登錄認證流程：接收統一認證服務器下發認證的數據短信，調用手機UI界面彈窗，供用戶點擊確定或取消登錄確認使用。④pincode(卡應用認證密碼)修改流程：卡應用顯示用戶密碼修改提示操作界面，用戶修改密碼后，保存該密碼。

1.3.3 業務平臺側

業務平臺：使用“沃互聯”認證服務的所有外部系統，即業務提供商網站。需與“沃互聯”平臺(統一認證服務器)建立登錄認證接口。使用“沃互聯”認證的用戶需具備業務平臺帳號和“沃互聯”平臺的帳號(手機號)，并將兩個帳號綁定。

1.4 業務流程

1.4.1 卡認證應用空中下載流程

如圖3所示，流程描述為：1)聯通TSM平臺組織數據短信，發送至短信網關；2)短信網關將數據短信發送至卡片；3)卡片進行安裝“沃互聯”卡應用。

1.4.2 卡應用認證密碼設置流程

流程描述為：1)用戶打開卡應用設置密碼，輸入兩次密碼；2)卡應用校驗兩次密碼是否一致，若一致則存入卡中。

1.4.3 注冊流程

如圖4所示，流程描述為：1)用戶進入手機卡應用“沃互聯”菜單，點擊菜單；2)卡上行iccid、imsi和卡應用版本到短信網關；3)短信網關將卡的iccid、imsi和應用版本發給統一認證服務器；4)統一認證服務器記錄用戶的手機號、iccid、imsi和卡應用版本后，進行第一次密鑰更新；5)統一認證服務器組織好密鑰更新數據，去聯通TSM平臺請求進行0348打包封裝；6)聯通TSM平臺返回0348安全報文，統一認證服務器下發0348安全報文到手機卡應用；7)卡應用解析0348報文，更新密鑰，并上行por；8)統一認證服務器接收到por后，根據por結果保存密鑰更新的結果。

1.4.4 密鑰更新

如圖5所示，流程描述為：1)系統管理員登錄“沃互聯”管理平臺，進入用戶信息管理界面，點擊密鑰更新；2)管理平臺向統一認證服務器發起密鑰更新請求；3)統一認證服務器組織密鑰更新數據并請求聯通TSM平臺封裝0348安全頭；4)統一認證服務器得到聯通TSM平臺返回的0348安全報文后下發給手機；5)手機卡應用解析數據短信后更新應用密鑰并上行por；6)統一認證服務器根據por保存密鑰更新的結果。

圖3 卡認證應用空中下載流程

圖4 用戶注冊流程

1.4.5 密碼重置

如圖6所示，流程描述為：1)系統管理員登錄“沃互聯”管理平臺，進入用戶信息管理界面，點擊密碼更新；2)管理平臺向統一認證服務器發起密碼更新請求；3)統一認證服務器組織密碼更新數據并請求聯通TSM平臺封裝0348安全頭；4)“沃互聯”得到聯通TSM平臺返回的0348安全報文后下發給手機；5)手機卡應用解析數據短信后更新密碼并上行por。

1.4.6 登錄認證流程

如圖7所示，流程描述為：1)用戶在業務平臺選擇”沃互聯”登錄；2)業務平臺將認證請求發送給統一認證服務器，系統要將數據短信去聯通TSM平臺請求封裝0348安全頭；3)短信網關將平臺的登錄認證請求(隨機消息)封裝了0348安全頭的數據短信發送給卡應用；4)卡應用彈出用戶授權界面；5)用戶點擊確認，卡應用校驗結果并加密隨機消息；6)卡應用上行校驗結果和加密數據給短信網關，短信網關返回給統一認證服務器；7)統一認證服務器校驗加密數據，返回驗證結果給業務平臺；8)業務平臺根據驗證結果展示頁面。

1.4.7 卡認證密碼驗證流程

如圖8所示，流程描述為：1)短信網關將平臺的登錄認證請求(隨機消息)的數據短信發送給卡應用；2)卡應用彈窗密碼框；3)用戶輸入卡認證密碼，卡應用校驗密碼并加密隨機消息；4)卡應用上行校驗結果和加密數據給短信網關。

圖5 密鑰更新流程

圖6 密碼重置流程

圖7 登錄認證流程

圖8 卡認證密碼驗證流程

2 應用案例

本系統為聯通內部沃郵箱、沃建設、信息安全綜合管理平臺、研究院系列平臺等提供安全登錄服務，大大加強公司對移動互聯網業務入口的掌控能力，有效減少經濟損失與投訴，未來將根據彈性化及多級化的產業合作模型，實現對用戶以及外部SP不同場景合理前向、后向收費。同時，加深系統云化，將大大節省CAPEX及OPEX成本支出，創造更大的經濟效益(如圖9)。

圖9 與“沃互聯”對接的各平臺卡應用登錄確認彈窗

2.1 沃郵箱案例

沃郵箱是中國聯通推出的面向中國聯通用戶提供的多功能郵件服務。它能提供大容量的郵箱空間和網絡硬盤空間、郵件到達通知、短信、彩信、日程提醒以及PushMail手機客戶端等服務。目前，沃郵箱官網已正式采用“沃互聯”作為登錄方式，“沃互聯”已發展萬余名活躍用戶，遍及全國22省份，后續計劃為沃郵箱1.1億用戶提供服務(如圖10)。

圖10 沃郵箱“沃互聯”登錄頁面

2.2 沃通行證案例

圍繞公司沃通行證，建立對內、對外統一的中國聯通用戶身份認證體系，是聯通用戶面向互聯網的統一入口。目前，已將本方案作為一種安全認證方式集成至沃通行證中，豐富產品形態。

2.3 信息安全綜合管理平臺案例

該平臺實現垃圾短信治理、短信接入號申請、安全漏洞治理、工單處理等功能，包含核心功能及大量敏感數據。目前，已將“沃互聯”作為登錄認證方案并聯調成功，可為全國31省市信安部門員工提供安全快捷登錄服務。

3 “沃互聯”統一認證方案優勢分析

本章將從方案優勢、其他認證方式對比兩方面分析“沃互聯”方案的優勢。

3.1 方案優勢

1)以手機號碼作為唯一身份標識。并使用手機進行身份驗證，用戶無需記住密碼口令。2)易于使用。用戶可借助“沃互聯”方案完成SP網站或app快捷登錄。3)多種級別認證能力。并可根據業務提供商安全需求，提供多種級別的安全認證能力，如彈窗確認、卡認證密碼驗證等認證手段。4)快速合作部署。本方案采用統一的API接口，便于業務提供商快速對接運營商認證設施，享受安全的統一認證服務。5)為后續與業務提供商合作共贏用戶屬性奠定了基礎。一方面，運營商用戶體量龐大，具備充足的用戶基數；另一方面，采用運營商認證基礎設施發展用戶屬性業務更加安全、可信。

3.2 與其它認證方式比較

本節將“沃互聯”統一認證方案與現有認證方案進行多維度比較，對比如表1所示。

表1 “沃互聯”與現有認證方案對比表

根據表1，進一步對各種認證方案進行如下對比分析。1)安全性方面，“沃互聯”統一認證方案可解決弱口令、“拖庫”、“撞庫”等常見安全問題；而二維碼掃碼認證存在掃碼后被植入惡意軟件、病毒的風險；短信驗證碼認證方案，存在短信驗證碼被惡意軟件截獲的安全隱患。2)可信度方面，“沃互聯”方案可信度高，由運營商驗證用戶真實身份，且只有用戶本人能通過身份驗證；而二維碼認證及短信驗證碼認證方案在用戶移動終端丟失后，拾到手機的人可實現仿冒身份盜登。3)便捷性方面，“沃互聯”采用手機號作為唯一用戶名，可實現快捷登錄；二維碼認證方案可實現掃碼快捷認證登錄；用戶名+密碼方案則需用戶記憶不同用戶名、密碼，便捷性較差。4)管理成本方面，“沃互聯”方案采用不同的合作網站(業務提供商)共用運營商認證基礎設施的機制，便于管理，而其它方案采用不同的身份帳號體系，不能實現統一管理，管理成本高。

4 結束語

本文提出“沃互聯”統一認證方案，以解決網絡用戶帳戶面臨的弱口令、“拖庫”、“撞庫”問題。該方案是以手機號碼為用戶唯一身份標識，為網絡業務提供商提供統一的安全認證能力，后續繼續大力促成內外部合作部署，推動公眾商用化、行業定制化進程，使更多的公眾用戶、行業用戶、內部用戶獲得安全、便捷的認證、授權體驗。

參考文獻

[1] 常英賢,陳廣勇,石鑫磊.移動網絡安全防范技術研究[J].信息網絡安全,2016(04):76-81

[2] 景笑梅.統一身份認證平臺技術開發與應用[J].信息安全與保密通信, 2010(06):60-62

[3] 崔久強,徐祺.移動互聯網身份認證技術研究[J].信息安全與技術,2015(07):9-11

[4] 盧煜, 孔令山. 移動互聯網安全挑戰與應對策略[J].通信世界,2011(17):38-39

[5] 范月,許晉,高宇童.eID移動身份認證系統的研究與實現[J].信息網絡安全,2015(03): 48-53

[6] 容曉峰,蘇瑞丹,崔樹鵬.基于SIM卡的雙因素認證方案[J].計算機工程與應用, 2004(03):147-149