林鵬， 梁如凱， 利惠光

（中國移動通信集團廣東有限公司，廣州 510623）

基于SIM卡的移動互聯(lián)網應用鑒權研究

林鵬， 梁如凱， 利惠光

（中國移動通信集團廣東有限公司，廣州 510623）

智能終端的普及和移動互聯(lián)網的迅速發(fā)展極大地改變了通信服務產業(yè)鏈。面對移動互聯(lián)網行業(yè)，SIM卡作為天然的鑒權工具卻無法發(fā)揮其優(yōu)勢。我們希望探索一種基于SIM卡的移動互聯(lián)網應用鑒權機制，利用SIM卡現(xiàn)有能力，將SIM卡通信鑒權的便利性帶到移動互聯(lián)網的應用鑒權中，使用戶享受更安全便捷，無感知的應用鑒權方式，同時為眾多移動互聯(lián)網應用提供開放性的平臺化接入服務。

SIM；應用鑒權；移動互聯(lián)網；信息安全

智能終端促使移動互聯(lián)網產業(yè)快速發(fā)展，手機已經從以往的通話工具向個人移動應用中心轉變。互聯(lián)網/移動互聯(lián)網推倒了通信業(yè)的圍墻，短信、語音等業(yè)務被加速替代，通信管道變成啞管道，邊際效應被無限放大。云管端的市場分層概念已經得到廣泛的認可，移動互聯(lián)網企業(yè)如今對終端的控制欲望比以往任何時候都要強烈。蘋果nano-SIM新標準的提出，說明終端應用廠商希望逐步弱化SIM卡的能力，繼而減少運營商利益分成比例。SIM卡是移動運營商實現(xiàn)業(yè)務端到端的重要渠道，務必鞏固加強其地位。

目前包括TD-SCDMA在內的中國移動3G用戶仍使用2G時代的SIM卡——OTA卡。這類卡在移動互聯(lián)網時代靈活度不高，很多功能無法實現(xiàn)。同時，智能終端對SIM卡的支持力度不足，導致SIM卡在移動互聯(lián)網應用服務中被邊緣化的風險；4G技術在未來3～5年內仍然無法商用，由此得出，目前的SIM卡將在相當長的一段時間內繼續(xù)支撐移動互聯(lián)網業(yè)務轉型。

1 SIM卡應用鑒權的含義

顧名思義，SIM卡應用鑒權就是利用SIM卡實現(xiàn)對應用軟件APP的接入認證。SIM卡應用鑒權不是獨立的移動業(yè)務，而是為眾多第三方APP應用提供的開放接入服務。任何APP應用均可以使用SIM卡應用鑒權來為客戶提供更便捷安全的認證接入服務。中國移動提出“智能管道，開放平臺，特色業(yè)務，友好界面”，利用SIM卡實現(xiàn)移動互聯(lián)網應用鑒權能夠發(fā)揮中國移動的管道優(yōu)勢，為其它APP應用提供一體化、集中化、開放式的鑒權服務和平臺，有別于現(xiàn)有APP應用，獨辟蹊徑，找準了移動互聯(lián)網產業(yè)鏈中的差異化定位。

目前SIM的主要功能包括通信鑒權和SIM菜單業(yè)務，現(xiàn)有的APP應用認證接入不依賴SIM卡，主要通過固定密碼方式鑒權，部分通過動態(tài)短信方式鑒權。利用Cookies保存密碼的方式，APP可以實現(xiàn)直接登錄，無需重復輸入密碼。當用戶首次登陸APP時輸入賬號和密碼，APP會提示是否保存密碼以便下次直接登錄。如果用戶選擇保存賬號密碼，就會在手機內生成Cookies文件。下次登陸的時候APP直接讀取Cookies完成登錄。

固定密碼方式實現(xiàn)簡單，但也存在一定缺陷：

（1）賬號密碼易被竊取，賬號安全缺乏保障。一旦賬號密碼泄露，他人便可以在其它移動終端盜用賬號登陸。近些年微博上流傳的免費WLAN賬號和密碼，ISDN賬號泄露的事件就證明僅僅靜態(tài)密碼的鑒權方式存在相當大的盜號冒用風險；

（2）移動互聯(lián)應用眾多，賬號密碼使用繁多。雖然cookies解決了二次輸入密碼的問題，但還需用戶記憶密碼。眾多的應用對應不同的賬號和密碼，又給用戶增加了記憶的難度；

（3）鑒權輸入方式繁瑣，無感知鑒權成趨勢。在換機和重置密碼后，固定密碼的鑒權方式不可避免要手工輸入，這種繁瑣的方式與無感知鑒權的大趨勢形成鮮明對比。

利用SIM卡實現(xiàn)APP應用的鑒權登陸不但可以解決賬號盜用的問題，還能實現(xiàn)無感知登陸。利用SIM卡信息實現(xiàn)鑒權認證，將SIM卡的通信鑒權能力能引入到移動互聯(lián)網應用鑒權中，使SIM卡成為移動互聯(lián)網應用鑒權的重要工具，也將SIM卡網絡鑒權的便利性帶到移動互聯(lián)網應用鑒權中。

2 實現(xiàn)途徑分析

利用既有數(shù)據(jù)實現(xiàn)認證的方式。Wi-Fi的接入認證就有一種方式是利用了MAC編碼實現(xiàn)鑒權。SIM卡也具備這一能力。從SIM卡存儲的已有數(shù)據(jù)中尋找唯一不可替代的數(shù)據(jù)作為鑒權憑證。以下從SIM卡的文件結構分析利用SIM現(xiàn)有數(shù)據(jù)實現(xiàn)認證鑒權的可行性。

圖1 SIM卡文件結構

SIM卡的技術構造簡單，作為一個完整的單片機系統(tǒng)，它包含了CPU，ROM，RAM，EEPROM和I/O，但在業(yè)務定位上SIM卡在設計之初僅僅服務于通信鑒權，SIM卡的文件目標包含以下基本參數(shù)：

(1) IMSI (International Mobile Subscriber Identity)；

(2) Ki (Subscriber authentication key)；

(3) ICCID (Integrated Circuit Card Identifier)；

(4) PIN (Personal Identification Number)；

(5) PUK(PIN Unblocking Key)。

移動智能終端實現(xiàn)應用認證鑒權的就要從SIM卡中找到不可復制且唯一的標識符。Ki信息不能被移動終端直接讀取，PIN和PUK是加鎖解鎖專用碼。唯有IC卡識別號ICCID和國際用戶識別碼IMSI可以讀取并使用，具備成為鑒權憑證的條件，IMSI信息目前只有運營商掌握，不具備公開性，ICCID作為SIM卡的硬件編碼，除了運營商掌握外，SIM實體卡上也有印刷。

新密鑰寫卡實現(xiàn)認證的方式。SIM卡的存儲區(qū)域分為標準區(qū)域和非標準區(qū)域。標準區(qū)域是各個卡商的SIM卡都具備的空間，可以作為新密鑰寫入的目的區(qū)域。由于SIM卡的讀取遵循7816接口的嚴格指令集定義，讀寫新數(shù)據(jù)意味著要破壞現(xiàn)有文件結構，部分功能將喪失。這種方式安全級別更高，但改造成本過大，不宜采用。

3 SIM卡應用鑒權設計原則

（1）“三不”原則。不換機，不換卡，不增加硬件；

（2）兼容適配原則。能夠兼容市面上主流硬件平臺和操作系統(tǒng)；

（3）快速部署原則。可通過預置寫卡，遠程更新或用戶手工更新方式快速加載；

（4）開放能力原則。能夠作為統(tǒng)一鑒權的能力為眾多APP應用提供開放接入的能力。

4 SIM卡應用鑒權的實現(xiàn)

SIM卡實現(xiàn)應用鑒權首先要建立卡-組件-云端一體化架構，包括SIM卡，鑒權組件，CA云端三部分，SIM卡定位于前端業(yè)務key；云端定位于提供鑒權接入服務，終端組件提供交互能力。這是由SIM卡的自身能力局限性決定的，SIM卡自身的單片機系統(tǒng)不能提供應用鑒權服務，如果由應用開發(fā)商自行開發(fā)鑒權組件和鑒權云端，會造成重復開發(fā)和標準不統(tǒng)一。一體化架構有利于實現(xiàn)開放的鑒權接入能力，降低APP應用接入門檻，也能彌補SIM卡智能交互能力不足的缺陷。

應用鑒權包括如下步驟：

（1）應用授權。APP應用云端與SIM鑒權云端建立授權關系，這是SIM鑒權的前提。之后SIM鑒權云端會建立手機號和APP應用賬號的對應關系，這就為APP應用實現(xiàn)SIM鑒權提供了平臺基礎。同時APP客戶端應用需要相應改造，增加SIM鑒權的選項，當用戶選擇SIM鑒權后，登錄認證時會調用SIM鑒權組件完成SIM信息讀取和云端交互工作；

（2）APP應用登錄調用SIM鑒權組件。用戶點擊APP應用客戶端，客戶端會自動調用SIM卡鑒權組件。SIM鑒權組件負責了SIM卡讀數(shù)和向云端發(fā)起請求的工作，是SIM卡應用鑒權服務的橋梁樞紐；

（3）讀取SIM卡信息。SIM組件收到APP應用客戶端的調用請求后，會讀取SIM卡ICCID和IMSI數(shù)據(jù)，之后向SIM鑒權云端發(fā)起認證請求；

（4）云端鑒權。SIM鑒權云端收到移動終端鑒權組件發(fā)來的認證請求后，會將上行的ICCID/IMSI進行數(shù)據(jù)匹配，驗證用戶是否是該應用的合法用戶。驗證通過后向移動終端返回認證token；

（5）獲得認證token。移動終端的SIM鑒權組件獲得云端返回的認證token，并將token交由APP應用客戶端發(fā)起面向應用云端的接入請求；

（6）發(fā)起APP認證請求。APP客戶端通過token向應用云端發(fā)起認證請求。應用云端認證通過。同時token在一段時期內有效，短時內APP應用無需重復向SIM鑒權云端發(fā)起鑒權請求。

5 SIM卡應用鑒權的優(yōu)勢

（1）無感知鑒權。鑒權行為由SIM卡自動完成，用戶點擊APP應用即可實現(xiàn)登錄，無需手工認證；

圖2 SIM應用鑒權實現(xiàn)原理

（2）防止盜用。由于APP賬號與SIM卡捆綁，無SIM卡便無法盜用當事人身份登錄；

（3）免記密碼。新的鑒權方式不涉及固定密碼，無需記憶密碼；

（4）隨卡換機。由于鑒權方式隨卡不隨終端，所以客戶可以隨意換機，只要SIM卡不變，就能輕易登錄賬號；

（5）集中接入。一張SIM卡可以服務眾多APP應用的鑒權需求，不受數(shù)量限制。

6 SIM卡應用鑒權職能定位

（1）開放式服務。作為移動運營商，中國移動應更專注于移動互聯(lián)網的管道服務和平臺服務。而鑒權服務作為移動互聯(lián)網所有應用的共同點，具備獨立化，模塊化的可能性，由運營商統(tǒng)一建設應用鑒權服務平臺，為眾多應用提供鑒權服務，建立類似通話服務的信控機制，可降低應用開發(fā)成本，方便用戶接入使用。SIM卡應用鑒權作為開放式的服務，會建立開放平臺，任何APP應用均可接入并建立授權關系，為用戶提供多樣化的鑒權方式選擇；

（2）應用探針。當SIM應用鑒權服務成為眾多APP應用登錄方式的授權。應用探針的擴展職能也就具備。以SIM卡為重要組件開發(fā)面向移動互聯(lián)網應用服務的“應用探針”，目的是識別手機用戶的行為，具體包括通信狀態(tài)（開關機，停開機，換機），應用狀態(tài)（應用名稱，應用版本），操作行為（應用使用時間，使用次數(shù)，使用時長），終端配置（終端編碼，操作系統(tǒng)及版本）。

應用探針是運營商了解用戶移動互聯(lián)網行為的必要工具，是移動互聯(lián)網經營分析的重要數(shù)據(jù)基礎和數(shù)據(jù)來源。

7 結束語

搭建一體化SIM卡應用鑒權體系，利用SIM卡現(xiàn)有數(shù)據(jù)實現(xiàn)應用加密，替代固定密碼方式，有SIM卡就能登陸，無感知接入，使應用接入向接入GSM一樣便捷安全。這種新型鑒權方式改造成本小，接入門檻低，職能定位清晰，將成為運營商在移動互聯(lián)網戰(zhàn)略轉型中的特色產品。

Research of mobile Internet application authentication based on SIM technology

LIN Peng, LIANG Ru-kai, LI Hui-guang
(China Mobile Group Guangdong Co., Ltd., Guangzhou 510623, China)

With popularity of smart phones and development of mobile Internet, the communication service industry chain has greatly changed. As natural authentication tool, SIM was unable to play to its strengths.We hope to explore a new way for mobile application authentication based on SIM technology, by using existing capacity, bring the convenience of communication authentication to mobile application authentication, allow users to enjoy a more secure and convenient, no aware application authentication, while providing the open platform access for all APP developers.

SIM; application authentication; mobile Internet; information security

TN929.5

A

1008-5599（2012）10-0006－04

2012-09-10