基于SIM卡的移动互联网应用鉴权研究.doc

基于SIM卡的移动互联网应用鉴权研究 林鹏, 梁如凯, 利惠光 （中国移动通信集团广东有限公司，广州 510623） 摘 要 智能终端的普及和移动互联网的迅速发展极大地改变了通信服务产业链。面对移动互联网行业，SIM卡作为 天然的鉴权工具却无法发挥其优势。我们希望探索一种基于SIM卡的移动互联网应用鉴权机制，利用SIM卡 现有能力，将SIM卡通信鉴权的便利性带到移动互联网的应用鉴权中，使用户享受更安全便捷，无感知的应 用鉴权方式，同时为众多移动互联网应用提供开放性的平台化接入服务。 关键词 SIM；应用鉴权；移动互联网；信息安全 中图分类号 TN929.5 文献标识码 A 文章编号 1008-5599（2012）10-0006－04 智能终端促使移动互联网产业快速发展，手机已经 从以往的通话工具向个人移动应用中心转变。互联网 / 移动互联网推倒了通信业的围墙，短信、语音等业务被 加速替代，通信管道变成哑管道，边际效应被无限放大。 云管端的市场分层概念已经得到广泛的认可，移动互联 网 企 业 如 今 对 终 端 的 控 制 欲 望 比 以 往 任 何 时 候 都 要 强 烈。苹果 nano-SIM 新标准的提出，说明终端应用厂商 希望逐步弱化 SIM 卡的能力，继而减少运营商利益分成 比例。SIM 卡是移动运营商实现业务端到端的重要渠道， 务必巩固加强其地位。 目前包括 TD-SCDMA 在内的中国移动 3G 用户仍 使 用 2G 时 代 的 SIM 卡 ——OTA 卡。 这 类 卡 在 移 动 互 联网时代灵活度不高，很多功能无法实现。同时，智能 终端对 SIM 卡的支持力度不足，导致 SIM 卡在移动互 联网应用服务中被边缘化的风险 ；4G 技术在未来 3 ～ 5 年内仍然无法商用，由此得出，目前的 SIM 卡将在相当 长的一段时间内继续支撑移动互联网业务转型。 1 SIM 卡应用鉴权的含义 顾 名 思 义，SIM 卡 应 用 鉴 权 就 是 利 用 SIM 卡 实 现 对应用软件 APP 的接入认证。SIM 卡应用鉴权不是独 立的移动业务，而是为众多第三方 APP 应用提供的开 放接入服务。任何 APP 应用均可以使用 SIM 卡应用鉴 权来为客户提供更便捷安全的认证接入服务。中国移动 提 出“ 智 能 管 道， 开 放 平 台， 特 色 业 务， 友 好 界 面 ”， 利 用 SIM 卡 实 现 移 动 互 联 网 应 ?? 鉴 权 能 够 发 挥 中 国 移 动的管道优势，为其它 APP 应用提供一体化、集中化、 开放式的鉴权服务和平台，有别于现有 APP 应用，独 辟蹊径，找准了移动互联网产业链中的差异化定位。 目前 SIM 的主要功能包括通信鉴权和 SIM 菜单业 务， 现 有 的 APP 应 用 认 证 接 入 不 依 赖 SIM 卡， 主 要 收稿日期 ：2012-09-10  通过固定密码方式鉴权，部分通过动态短信方式鉴权。 利 用 Cookies 保 存 密 码 的 方 式，APP 可 以 实 现 直 接 登 录，无需重复输入密码。当用户首次登陆 APP 时输入 账 号 和 密 码，APP 会 提 示 是 否 保 存 密 码 以 便 下 次 直 接 登录。如果用户选择保存账号密码，就会在手机内生成 Cookies 文件。下次登陆的时候 APP 直接读取 Cookies 完成登录。 固定密码方式实现简单，但也存在一定缺陷 ： （1） 账 号 密 码 易 被 窃 取， 账 号 安 全 缺 乏 保 障。 一 旦账号密码泄露，他人便可以在其它移动终端盗用账号 登 陆。 近 些 年 微 博 上 流 传 的 免 费 WLAN 账 号 和 密 码， ISDN 账号泄露的事件就证明仅仅静态密码的鉴权方式 存在相当大的盗号冒用风险 ； （2）移动互联应用众多，账号密码使用繁多。虽然 cookies 解决了二次输入密码的问题，但还需用户记忆 密码。众多的应用对应不同的账号和密码，又给用户增 加了记忆的难度 ； （3）鉴权输入方式繁琐，无感知鉴权成趋势。在换 机和重置密码后，固定密码的鉴权方式不可避免要手工 输入，这种繁琐的方式与无感知鉴权的大趋势形成鲜明 对比。 利用 SIM 卡实现 APP 应用的鉴权登陆不但可以解 决账号盗用的问题，还能实现无感知登陆。利用 SIM 卡 信息实现鉴权认证，将 SIM 卡的通信鉴权能力能引入到 移动互联网应用鉴权中，使 SIM 卡成为移动互联网应用 鉴权的重要工具，也将 SIM 卡网络鉴权的便利性带到移 动互联网应用鉴权中。 图1 SIM卡文件结构 SIM 卡的技术构造简单，作为一个完整的单片机系 统，它包含了 CPU，ROM，RAM，EEPROM 和 I/O， 但 在 业 务