運營商發(fā)展統(tǒng)一賬號認證業(yè)務(wù)技術(shù)方案

郭茂文，張榮，盧燕青，黎艷

（中國電信股份有限公司廣州研究院，廣東 廣州 510630）

1 引言

隨著互聯(lián)網(wǎng)和智能移動終端的高速發(fā)展，基于智能移動終端的應(yīng)用出現(xiàn)了爆發(fā)式增長，這些豐富的應(yīng)用給人們的工作和生活提供了極大的便利，但也帶來了新的問題。絕大部分應(yīng)用需要用戶進行注冊，有可能注冊時需要輸入用戶的隱私信息，如身份證號碼、出生日期、聯(lián)系方式等，注冊過程中用戶還需要設(shè)置復(fù)雜的賬號/密碼用于后續(xù)的應(yīng)用登錄。另外，由于同一個用戶需要使用的應(yīng)用數(shù)量眾多，因此，用戶需要記憶大量的應(yīng)用賬號和密碼信息。

這種傳統(tǒng)的賬號/密碼方式的應(yīng)用在用戶體驗和安全性方面存在多處痛點，如密碼復(fù)雜繁瑣、記憶困難；賬號/密碼信息容易被不良木馬盜竊；用戶身份核實困難，只能依賴手機號和身份證信息[1]。

針對以上這些應(yīng)用痛點，近兩年，國內(nèi)各電信運營商紛紛利用自身的移動網(wǎng)絡(luò)和用戶卡資源優(yōu)勢，大力發(fā)展統(tǒng)一賬號增值服務(wù)業(yè)務(wù)，如中國移動的和通行證[2]、中國聯(lián)通的沃通行證[3]以及中國電信的天翼賬號等。

2 影響發(fā)展統(tǒng)一賬號認證業(yè)務(wù)的關(guān)鍵因素

（1）多網(wǎng)絡(luò)多終端支持

目前，互聯(lián)網(wǎng)及智能終端已經(jīng)非常普遍，用戶可以方便地通過各個運營商的3G/4G移動網(wǎng)絡(luò)或者Wi-Fi網(wǎng)絡(luò)來使用互聯(lián)網(wǎng)業(yè)務(wù)，同一個互聯(lián)網(wǎng)應(yīng)用會在智能移動終端、平板電腦或者PC之間頻繁使用。因此，運營商的統(tǒng)一賬號認證服務(wù)必須滿足用戶在不同類型網(wǎng)絡(luò)、不同類型終端環(huán)境下的正常使用。

（2）運營商間的互聯(lián)互通

運營商用戶與互聯(lián)網(wǎng)應(yīng)用用戶具有天然的差異性，互聯(lián)網(wǎng)應(yīng)用用戶具有跨運營商特性。因此，運營商在發(fā)展統(tǒng)一賬號認證服務(wù)時，必須考慮與其他運營商的互聯(lián)互通，否則，無法做到互聯(lián)網(wǎng)應(yīng)用用戶的全覆蓋。

（3）多種認證方式的協(xié)同

除了傳統(tǒng)的賬號/密碼和短信驗證碼認證方式外，運營商還可以提供獨有的移動網(wǎng)關(guān)認證和用戶卡認證。但是，移動網(wǎng)關(guān)認證需要用戶的移動終端開啟移動數(shù)據(jù)網(wǎng)絡(luò)功能；用戶卡認證需要用戶卡下載安裝運營商提供的卡應(yīng)用。因此，統(tǒng)一賬號認證服務(wù)要求運營商能夠準(zhǔn)確判斷認證過程中用戶移動終端和用戶卡環(huán)境，如果不具備這兩種認證能力，必須能夠自動切換到傳統(tǒng)的賬號/密碼或短信驗證碼認證方式。

3 統(tǒng)一賬號認證業(yè)務(wù)的技術(shù)實現(xiàn)

3.1 統(tǒng)一賬號認證系統(tǒng)總體架構(gòu)

運營商統(tǒng)一賬號認證業(yè)務(wù)是指以手機號作為賬號體系[4]，以手機為認證載體，以運營商獨有的差異化的移動網(wǎng)絡(luò)和用戶卡認證能力為核心功能，整合運營商相關(guān)資源，向運營商自有應(yīng)用和第三方合作應(yīng)用提供多等級多因子的安全認證服務(wù)，同時輸出基礎(chǔ)電信能力服務(wù)。

基于互聯(lián)網(wǎng)及智能移動終端技術(shù)現(xiàn)狀，運營商的統(tǒng)一賬號認證業(yè)務(wù)應(yīng)能夠支持 Android和iOS移動應(yīng)用以及平板電腦/PC的Web應(yīng)用。為充分利用運營商的網(wǎng)關(guān)認證和用戶卡認證能力，Web應(yīng)用的登錄認證方式可采用移動應(yīng)用掃描Web登錄頁面的二維碼認證方式實現(xiàn)。在這種應(yīng)用需求下，運營商的統(tǒng)一賬號認證系統(tǒng)架構(gòu)如圖1所示。

統(tǒng)一賬號認證系統(tǒng)分為網(wǎng)絡(luò)側(cè)和終端側(cè)兩部分，具體介紹如下。

網(wǎng)絡(luò)側(cè)主要完成應(yīng)用認證能力開放、認證策略管理、認證能力集成等功能，具體可以分為統(tǒng)一賬號認證業(yè)務(wù)能力開放平臺、統(tǒng)一賬號認證能力管理平臺以及各認證能力子系統(tǒng)。其中，認證能力子系統(tǒng)主要有網(wǎng)關(guān)認證系統(tǒng)、卡應(yīng)用認證系統(tǒng)、賬號/密碼認證系統(tǒng)和短信驗證碼認證系統(tǒng)。

終端側(cè)的組成部分主要是統(tǒng)一賬號認證業(yè)務(wù)在終端上的必要能力封裝。對于應(yīng)用，由統(tǒng)一賬號提供登錄框給應(yīng)用合作方，在應(yīng)用合作方 Web頁面通過iframe的方式嵌入統(tǒng)一賬號登錄框。登錄方式可以包括二維碼掃碼登錄、賬號/密碼登錄、短信驗證碼登錄以及其他的第三方應(yīng)用賬號授權(quán)登錄等，應(yīng)用合作方可以根據(jù)自身需要選擇優(yōu)先的登錄方式。對于移動端應(yīng)用，由統(tǒng)一賬號提供 SDK給應(yīng)用合作方，SDK主要實現(xiàn)對終端認證能力信息的收集，并與統(tǒng)一賬號認證能力開放平臺配合實現(xiàn)認證功能。另外，對于用戶卡認證方式，移動終端需要在用戶卡中預(yù)置卡應(yīng)用Applet。

3.2 統(tǒng)一賬號認證系統(tǒng)特點

基于上述的統(tǒng)一賬號認證系統(tǒng)總體架構(gòu)可以看出，統(tǒng)一賬號認證業(yè)務(wù)的特點主要如下。

圖1 統(tǒng)一賬號認證系統(tǒng)總體架構(gòu)

（1）一號通行

一套以手機號為核心的賬號系統(tǒng)可以通行運營商的多個業(yè)務(wù)和應(yīng)用，如中國移動的飛信、139郵箱、和彩云以及和通訊錄等；中國電信的天翼云、翼健康和號簿助手等。

（2）差異化認證方式

在傳統(tǒng)的賬號/密碼、短信驗證碼認證方式基礎(chǔ)上，運營商還可以利用移動數(shù)據(jù)網(wǎng)絡(luò)和用戶卡資源優(yōu)勢，采用移動通信網(wǎng)關(guān)取號以及用戶卡識別等技術(shù)，提供更安全、更方便快捷的網(wǎng)關(guān)認證和用戶卡認證能力。

（3）可擴展的“認證+”業(yè)務(wù)生態(tài)能力

統(tǒng)一賬號認證服務(wù)除了提供基本的登錄認證功能外，運營商還可以通過統(tǒng)一賬號認證能力開放平臺與其他的運營商能力系統(tǒng)對接實現(xiàn)向第三方合作應(yīng)用開放其核心能力，如“賬號+二次放號識別”“賬號+支付”“賬號+云存儲”等[5]，第三方合作應(yīng)用不需要多頭對接就可以方便快捷地獲得這些核心能力。

3.3 關(guān)鍵應(yīng)用接口場景

運營商統(tǒng)一賬號認證系統(tǒng)與第三方合作應(yīng)用對接時的接口應(yīng)用場景主要有兩種：一種是移動端應(yīng)用接口場景；另一種是PC端的Web應(yīng)用接口場景。

對于移動端應(yīng)用接口場景，運營商統(tǒng)一賬號認證系統(tǒng)可以通過移動端SDK與第三方合作應(yīng)用對接。移動端應(yīng)用使用統(tǒng)一賬號 SDK獲得AccessToken，然后通過獲取用戶信息 API利用AccessToken換取手機號碼及其他用戶信息等。在移動端應(yīng)用發(fā)起登錄請求時，由SDK檢測移動終端環(huán)境，選擇最優(yōu)的認證方式并攜帶認證方式標(biāo)志向統(tǒng)一賬號業(yè)務(wù)能力開放平臺發(fā)起身份認證請求。主要流程實現(xiàn)方案如圖2所示。

對于PC端Web應(yīng)用接口場景，運營商統(tǒng)一賬號認證系統(tǒng)可以提供登錄框給應(yīng)用合作方，在應(yīng)用合作方Web頁面通過iframe的方式嵌入統(tǒng)一賬號登錄框。主要流程實現(xiàn)方案如圖3所示。

3.4 差異化認證能力實現(xiàn)方案

運營商差異化的認證能力主要體現(xiàn)在移動網(wǎng)關(guān)認證和用戶卡認證，其方案實現(xiàn)思路如下。

圖2 移動端應(yīng)用接口場景實現(xiàn)流程

圖3 PC端Web應(yīng)用接口場景實現(xiàn)流程

· 對于移動網(wǎng)關(guān)認證來說，需要移動終端開啟移動數(shù)據(jù)網(wǎng)絡(luò)功能。移動終端上的應(yīng)用SDK通過移動數(shù)據(jù)網(wǎng)絡(luò)發(fā)送登錄請求消息的過程中，在請求消息經(jīng)過移動網(wǎng)關(guān)（PGW）時，移動網(wǎng)關(guān)在用戶的HTTP請求分組頭加入加密的用戶信息（手機號碼MDN、IMSI、手機IP地址、PGW IP地址等）后傳遞給網(wǎng)關(guān)認證系統(tǒng)，網(wǎng)關(guān)認證系統(tǒng)對用戶信息進行解密后識別用戶手機號碼，確認用戶身份，用戶即可登錄認證成功。實現(xiàn)方案如圖4所示。

圖4 移動網(wǎng)關(guān)認證實現(xiàn)方案

· 對于用戶卡認證來說，需要在用戶卡中預(yù)置卡應(yīng)用Applet[6]?？☉?yīng)用Applet初始化時會通過OTA數(shù)據(jù)短信方式與卡認證系統(tǒng)進行卡認證配置數(shù)據(jù)的同步，卡認證系統(tǒng)確認該用戶支持卡認證。用戶登錄時，移動終端上的應(yīng)用SDK發(fā)送登錄請求消息給統(tǒng)一賬號業(yè)務(wù)能力開放平臺，該請求消息通過統(tǒng)一賬號認證能力管理平臺傳遞給用戶卡認證系統(tǒng)。用戶卡認證系統(tǒng)通過短信網(wǎng)關(guān)下發(fā)OTA數(shù)據(jù)短信到用戶卡，用戶卡根據(jù)短信信息在手機上彈出用戶登錄確認的UTK提示框，用戶確認（輸入PIN碼或點擊OK）后，用戶卡發(fā)送登錄確認短信給用戶卡認證系統(tǒng)，用戶即可登錄認證成功。實現(xiàn)方案如圖5所示。

無論是移動網(wǎng)關(guān)認證還是用戶卡認證方式，對用戶移動終端環(huán)境都有一定的要求。移動網(wǎng)關(guān)認證方式需要移動終端能夠用戶在手機設(shè)置中開啟移動數(shù)據(jù)網(wǎng)絡(luò)開關(guān)，而用戶卡認證方式需要用戶卡預(yù)置有卡應(yīng)用 Applet，并進行初始化同步。因此，對于某個用戶來說，每次登錄時選擇何種認證方式需要通過應(yīng)用 SDK與統(tǒng)一賬號認證能力開放平臺的配合和信息交互來確定。運營商也可以通過認證策略配置來實現(xiàn)認證方式的最優(yōu)選擇，如當(dāng)用戶手機的移動數(shù)據(jù)網(wǎng)絡(luò)功能開啟時，可讓用戶每次登錄時優(yōu)先選擇移動網(wǎng)關(guān)認證方式；當(dāng)用戶登錄后的網(wǎng)絡(luò)行為需要進行二次身份認證時，可選擇安全性更高的用戶卡認證方式，以替代傳統(tǒng)的短信驗證碼認證方式，當(dāng)然，其前提是現(xiàn)網(wǎng)用戶的用戶卡預(yù)置卡應(yīng)用Applet比較普及。當(dāng)用戶移動終端環(huán)境無法支持移動網(wǎng)關(guān)認證和用戶卡認證這兩種方式時，統(tǒng)一賬號認證系統(tǒng)應(yīng)能夠根據(jù)用戶或第三方合作應(yīng)用的選擇回退到賬號/密碼或短信驗證碼的認證方式。

圖5 用戶卡認證實現(xiàn)方案

4 統(tǒng)一賬號認證業(yè)務(wù)的互聯(lián)互通

運營商發(fā)展統(tǒng)一賬號認證業(yè)務(wù)的優(yōu)勢在于差異化的移動網(wǎng)關(guān)認證和用戶卡認證技術(shù)，但是，由于單個運營商所擁有的用戶無法覆蓋單個互聯(lián)網(wǎng)應(yīng)用所擁有的用戶，因此，統(tǒng)一賬號認證業(yè)務(wù)必須要做到運營商之間的互聯(lián)互通[7]。這樣，SP（服務(wù)提供商）應(yīng)用只需要與單個運營商對接，其所有用戶均可以使用統(tǒng)一賬號認證業(yè)務(wù)。

運營商統(tǒng)一賬號認證業(yè)務(wù)互聯(lián)互通的關(guān)鍵是認證系統(tǒng)能夠?qū)σ允謾C號為核心的統(tǒng)一賬號進行識別，并基于手機號的歸屬實現(xiàn)路由轉(zhuǎn)發(fā)。根據(jù)前面所述的應(yīng)用接口場景，這里提出一種基于代理轉(zhuǎn)發(fā)機制的運營商對等自治互聯(lián)互通模型來進行分析，如圖6所示。

圖6 運營商對等自治互聯(lián)互通模型

如圖6所示，SP1的移動端應(yīng)用包含有MNO1運營商的SDK，即SP1的移動端應(yīng)用在登錄認證時只向MNO1運營商的認證系統(tǒng)發(fā)送認證請求。各運營商的認證系統(tǒng)均具有相對獨立的號碼識別和路由發(fā)現(xiàn)功能，并且各自互信對接。這里以MNO3運營商用戶使用與MNO1運營商認證系統(tǒng)對接的SP1移動端應(yīng)用為例來分析不同認證方式的互聯(lián)互通方案。

傳統(tǒng)的賬號/密碼認證方式不需要互聯(lián)互通，只需要MNO3運營商用戶使用與MNO1運營商認證系統(tǒng)對接的SP1移動端應(yīng)用時，以其手機號（歸屬MNO3運營商）在MNO1運營商認證系統(tǒng)注冊成統(tǒng)一賬號即可，MNO1運營商認證系統(tǒng)就可以在本地完成對異網(wǎng)手機號的統(tǒng)一賬號用戶完成賬號/密碼方式的認證。

對于短信驗證碼方式，只需要運營商各自的短信網(wǎng)關(guān)系統(tǒng)能夠互通即可。MNO3運營商用戶的短信驗證碼通過MNO1運營商認證系統(tǒng)產(chǎn)生，MNO1運營商的短信網(wǎng)關(guān)將該短信驗證碼轉(zhuǎn)發(fā)給MNO3運營商的短信網(wǎng)關(guān)，MNO3運營商的短信網(wǎng)關(guān)再將短信驗證碼直接發(fā)送到其用戶手機上。

對于移動網(wǎng)關(guān)認證方式，其互聯(lián)互通的實現(xiàn)思路可以如下：

（1）MNO3運營商用戶在移動端發(fā)起 SP1 應(yīng)用（與MNO1運營商的認證系統(tǒng)對接）的登錄操作；

（2）SP1 應(yīng)用 SDK通過MNO3運營商的移動數(shù)據(jù)網(wǎng)絡(luò)發(fā)送client hello消息；

（3）MNO3運營商的移動網(wǎng)關(guān)插入用戶手機號等用戶信息；

（4）MNO1運營商的認證系統(tǒng)接收到SP1 應(yīng)用 SDK的HTTP消息，并解析；

（5）MNO1運營商的認證系統(tǒng)將 SP1應(yīng)用SDK的HTTP消息轉(zhuǎn)發(fā)給MNO3運營商的認證系統(tǒng)；

（6）MNO3運營商的認證系統(tǒng)驗證用戶手機號的合法性，驗證通過后，產(chǎn)生AccessToken，并與驗證結(jié)果一起發(fā)送給MNO1運營商的認證系統(tǒng)；

（7）MNO1運營商的認證系統(tǒng)轉(zhuǎn)發(fā)AccessToken和驗證結(jié)果給SP1 應(yīng)用 SDK；

（8）SP1 應(yīng)用將AccessToken發(fā)送給SP1應(yīng)用服務(wù)器；

（9）SP1應(yīng)用服務(wù)器攜帶 AccessToken向MNO1運營商的認證系統(tǒng)調(diào)用“獲取用戶信息”API；

（10）MNO1運營商的認證系統(tǒng)通過 MNO3運營商的認證系統(tǒng)獲得用戶信息，并返回給 SP1應(yīng)用服務(wù)器。

這種移動網(wǎng)關(guān)認證方式互聯(lián)互通的關(guān)鍵是每個運營商的移動網(wǎng)關(guān)必須采用一致的HTTP頭增強功能，以及 AccessToken與用戶信息在運營商認證系統(tǒng)之間的安全傳輸。

對于用戶卡認證方式的互聯(lián)互通，其實現(xiàn)方案比較簡單，SP1 應(yīng)用 SDK發(fā)送卡認證請求（攜帶手機號信息，如首次認證時用戶手工輸入其手機號）給MNO1運營商的認證系統(tǒng)后，MNO1運營商的認證系統(tǒng)根據(jù)手機號判斷其歸屬運營商，并將認證請求轉(zhuǎn)發(fā)給歸屬運營商的認證系統(tǒng)。歸屬運營商的認證系統(tǒng)完成卡認證后，直接將認證結(jié)果和AccessToken返回給MNO1運營商的認證系統(tǒng)。在卡認證方式情況下，SP1應(yīng)用服務(wù)器獲取用戶信息的方法與移動網(wǎng)關(guān)認證方式情況是類似的。

5 結(jié)束語

總地來說，隨著互聯(lián)網(wǎng)應(yīng)用和智能移動終端的大規(guī)模普及，運營商發(fā)展統(tǒng)一賬號認證業(yè)務(wù)可以實現(xiàn)電信與互聯(lián)網(wǎng)的跨體系融合發(fā)展。這樣既可以作為密碼認證的替代品，減少多重身份校驗帶來的麻煩，提升用戶賬戶的安全性，又可以實現(xiàn)整合運營商自身的基礎(chǔ)電信能力輸出，增強用戶黏性，提升運營商在互聯(lián)網(wǎng)時代的價值。但是，由于現(xiàn)網(wǎng)移動終端環(huán)境千差萬別，運營商必須完善獨有的差異化移動網(wǎng)關(guān)認證和用戶卡認證技術(shù)，并實現(xiàn)運營商相互之間的互聯(lián)互通，優(yōu)化和提升用戶業(yè)務(wù)體驗，運營商的統(tǒng)一賬號認證業(yè)務(wù)才會具有良好的應(yīng)用前景。

參考文獻：

[1]孫韓林, 劉建華.公眾網(wǎng)絡(luò)統(tǒng)一身份認證服務(wù)及標(biāo)準(zhǔn)研究[J].電信科學(xué), 2013, 29(2)： 84-88.SUN H L, LIU J H.Study on unified identifier authentication service and standards on public network[J].Telecommunications Science, 2013, 29(2)： 84-88.

[2]中國移動集團公司.中國移動能力開放白皮書[R].2016.China Mobile Communications Corporation.The white paper of China Mobile’s ability[R].2016.

[3]劉鏑, 張云勇, 張尼, 等.“沃互聯(lián)”統(tǒng)一認證技術(shù)研究[J].電信科學(xué), 2015, 31(6)： 6-11.LIU D, ZHANG Y Y,ZHANG N, et al.Research on “Wo Connect”uniform authentication technologys[J].Telecommunications Science,2015, 31(6)： 6-11.

[4]CCTIME飛象網(wǎng).運營商統(tǒng)一帳號體系背后的戰(zhàn)略思考[Z].2016.Dumbo CCTIME.Strategic thinking behind the unified account number system of the operators[Z].2016.

[5]中國電信集團公司.中國電信統(tǒng)一賬號業(yè)務(wù)規(guī)范[S].2017.China Telecom Co.Business specification of China Telecom [S].2017.

[6]董雙赫, 嚴(yán)斌峰, 胡博, 等.基于 SIM 卡的金融應(yīng)用移動數(shù)字簽名業(yè)務(wù)研究[J].電信科學(xué), 2015, 31(6)： 12-17.DONG S H, YAN B F, HU B, et al.Research on SIM card-based mobile digital signature and authentication for financial services[J].Telecommunications Science, 2015, 31(6)：12-17.

[7]張榮, 黎艷, 郭建昌.基于用戶卡的移動認證技術(shù)方案與應(yīng)用[J].移動通信, 2015(5)： 31-35.ZHANG R, LI Y, GUO J C.Technical solution and application of mobile authentication based on sim-applet[J].Mobile Communications, 2015(5)： 31-35.