廣東移動業(yè)務支撐中心 | 梁如凱 林鵬

SIM卡作為移動終端的通信鑒權工具，具備安全的機卡交互接口、加密存儲空間和計算能力，可以利用SIM卡的獨特地位從單一的通信鑒權功能發(fā)展為復合的應用鑒權功能，滿足智能終端在身份認證、數據保密傳輸、數據完整性和交易不可抵賴性方面的需求。

中國移動廣東公司在2011年啟動了基于SIM卡技術的手機防病毒科研項目，其中的重要內容是研發(fā)新型機卡交互組件，目標是在SIM卡開辟獨立的安全區(qū)域存儲安全信息 ，實現SIM卡承載及身份授權，為應用提供認證服務。

SIM卡安全潛力巨大

SIM卡標準稱謂是用戶識別模塊，作為通信鑒權工具獨立存在于手機上。它內建5個模塊，每個模塊對應一個功能：CPU、程序存儲器ROM、工作存儲器RAM、數據存儲器EEPROM和串行通信單元，這5個模塊集成在一塊集成電路中。用戶對智能卡的操作都是通過卡操作系統(tǒng)COS來實現的。

目前中國移動使用的SIM卡普遍為64k和128k的OTA3版本的SIM卡，除去通信錄、短信、SIM卡菜單等基礎業(yè)務外還剩余至少20k以上的存儲空間。如何在現有SIM卡基礎上，以不更換硬件為前提，發(fā)揮SIM卡的最大功效，成為電信運營商的一件難題。

事實上，SIM卡在智能終端安全防護中有獨特優(yōu)勢：作為運營商掌控的戰(zhàn)略資產，手機用戶OTA STK卡普及率高；高安全個人化設備，承載法律保障的身份信息，不僅能完成通話鑒權，而且增加多網絡、多業(yè)務鑒權功能；在OTA STK卡上開發(fā)應用，成本低且可控；不受手機終端限制；應用可以通過空中下載和升級，靈活性好；傳輸閥門，應用從服務端到終端，SIM卡在其中擔當著中轉紐帶；部分大型客戶應用需要進行個性化定制。

SIM卡向業(yè)務鑒權演進

業(yè)務鑒權指的是SIM卡在智能終端應用服務的身份認證、接入訪問、數據加密、數字簽名方面發(fā)揮能力，并起到關鍵作用?？偟膩碇v，智能終端基于SIM卡搭建的的安全機制主要包括以下內容：移動互聯網終端應具有身份認證功能，具有對各種系統(tǒng)資源、業(yè)務應用的訪問控制能力。對于身份認證，可以通過口令或智能卡方式、實體鑒別機制等手段保證安全性；對于數據信息的安全性保護和訪問控制，可以通過設置訪問控制策略來保證其安全性；對于終端內部存儲的一些數據，可以通過分級存儲和隔離，以及檢測數據完整性等手段來保證安全性。

具體而言，業(yè)務鑒權的演進策略有以下五個方面。

一是不換卡，不換機。此前以移動支付為代表的NFC業(yè)務需要更換SIM卡才可以實現，而本文提到的業(yè)務鑒權思路則是基于SIM卡現有能力設計的。目前SIM卡的發(fā)展方向是小型化、智能化，體積瘦身后的SIM卡會專注本職，利用現有軟硬件環(huán)境擴展職能方向。用戶不需要換卡、換機即可享受業(yè)務鑒權服務，可以有效降低業(yè)務接入成本。

二是不占用現有SIM卡業(yè)務空間。目前SIM卡的空間劃分已經規(guī)范，通信錄、短信、SIM卡菜單的存儲空間已經確定。業(yè)務鑒權旨在利用剩余的空閑資源。

三是以SIM卡及終端應用組件作為一體化工具提供服務。對于智能移動終端，SIM卡及機卡交互協議不能直接服務于終端應用程序，需要開發(fā)機卡交互組件程序，方可被其他應用程序兼容使用。SIM卡的業(yè)務鑒權職能也并非開發(fā)完備的鑒權工具，而是開鑒權功能插件組件供其他應用程序調用。

四是廣泛兼容適配。能夠覆蓋包括Android、iOS、Windows phone在內的主流智能終端操作系統(tǒng)制式和主流版本。

五是優(yōu)先服務移動自有業(yè)務。目前中國移動已經建立初具規(guī)模的移動互聯網產業(yè)鏈，SIM卡業(yè)務鑒權在業(yè)務融合、網絡融合、商業(yè)融合等方面將發(fā)揮規(guī)模效應。

圖 總體技術架構

研發(fā)新型機卡交互組件

中國移動廣東公司在2011年啟動了基于SIM卡技術的手機防病毒科研項目，其中的重要內容是研發(fā)新型機卡交互組件，目標是在SIM卡開辟獨立的安全區(qū)域存儲安全信息。

其中，SIM卡實現業(yè)務鑒權的關鍵技術有兩個，一是SIM承載技術，業(yè)務鑒權數據對SIM卡來說屬于新的數據類型，SIM卡的地址空間需要重新規(guī)劃并標準化；定義存儲方式和格式；設計數據更新方式。二是終端與SIM卡數據交互技術。業(yè)務鑒權的核心是授權認證，基于現有7816-IC接口實現數據交互就需要智能終端具有兼容適配的機卡交互組件。而現有智能終端操作系統(tǒng)多樣，為交互組件的開發(fā)帶來難度。

通過關鍵鑒權技術實現，手機SIM卡防病毒可以是通過SIM卡來提醒客戶安裝防病毒軟件，統(tǒng)一更新客戶手機的病毒庫，保證客戶手機能夠抵御絕大多數的流行病毒。同時，當手機遭到病毒攻擊，SIM卡可以及時通知OTA服務器，OTA服務器通過短信或客戶服務接口通知客戶，為智能終端提供安全保護盾，提高智能終端的安全性，從而提高用戶的忠誠度（圖）。

SIM卡作為移動通信業(yè)務的承載體，成為運營商與客戶溝通的主要橋梁，是運營商聯系用戶的核心，更是運營商手中的一種非常值得利用的和容易掌控的資源。SIM卡只有快速適應業(yè)務發(fā)展需要，利用自身優(yōu)勢在移動互聯網安全機制中發(fā)揮核心地位，才能在未來移動互聯網中發(fā)揮更大的作用。