版权声明 本 研究报告 版权属于中国通信标准化协会，并受法律保护。转载、摘编或利用其它方式使用本 研究报告 文字或者观点的，应注明“来源：中国通信标准化协会”。违反上述声明者，本协会将追究其相关法律责任。 研 究 报 告 要 点 本项目将重点研究基于 SIM 卡的统一授权业务发展 模式 ，通过调研 基于 SIM卡的移动统一授权 业务研究背景 ， 分析基于 SIM 卡的移动统一授权业务 需求 ，制订基于 SIM 卡的移动统一授权 技术方案 ，提出 基于 SIM 卡的移动统一授权 业务的商业模式 等 内容 。本项目的研究成果可以为基于 SIM 卡的统一授权 方案在国内的成功推广提供参考和业务发展建议。 移动互联网应用和终端技术工作委员会（ TC11） 业务与应用工作组（ WG2） 研究单位： 中国联合网络通信有限公司、中国移动通信集团公司、 中国电信集团有限公司 、北京邮电大学、 联想（北京）有限公司 项目负责人： 王笑帝 王志军 刘镝 项目参加人： 汤雅妃、张荣、董靖宇、张勇、李俊 、左飞 完成日期： 2018 年 08 月 29 日 目录 1 范围 . 1 2 规范性引用文件 . 1 3 定义和缩略语 . 1 3.1 定义 . 2 3.2 缩略语 . 2 4 基于 SIM 卡的统一授权业务研究背景 . 2 4.1 业界安全现状 . 2 4.2 业务场景描述 . 3 5 基于 SIM 卡的统一授权业务分析和 需求 . 4 5.1 基于 SIM 卡的统一认证业务 vs 基于 SIM 卡的统一授权业务 . 4 5.2 业务各方需求及用例 . 5 6 基于 SIM 卡的统一授权技术方 案 . 6 6.1 系统架构 . 6 6.2 产品属性 . 8 6.3 业务流程 . 9 6.4 中国本地三家运营商互联互通方式 . 10 7 基于 SIM 卡的统一授权业务的商业模式 . 11 7.1 运营商、 SP 和用户间的商业、合作模式 . 11 7.2 不同的细分市场 . 12 8 基于 SIM 卡的统一授权业务发展建议 . 15 1 基于 SIM 卡的统一授权业务研究 1 范围 本项目将重点研究基于 SIM 卡的统一授权业务发展模式，通过调研基于 SIM卡的移动统一授权业务研究背景，分析基于 SIM 卡的移动统一授权业务需求，制订基于 SIM 卡的移动统一授权技术方案，提出基于 SIM 卡的移动统一授权业务的商业模式等内容。本项目的研究成果可以为基于 SIM 卡的统一授权方案在国内的成功推广提供参考和业务发展建议。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GSMA Personal Data CPAS1 Proposition definition and requirements v1 GSMA Personal Data CPAS2 High Level Design v1 GSMA Personal Data CPAS3 Level of Assurance definition v1 GSMA Personal Data CPAS4 Authenticator options v1.0 GSMA Personal Data CPAS5 OpenID Connect - OpConnect Profile 1.0 GSMA Personal Data CPAS6 Identity Gateway functional architecture 1.0 GSMA Personal Data CPAS7 Operator discovery and federation v1.0 GSMA Personal Data CPAS8 SIM Applet Authentication Specification v1.0 GSMA Personal Data 27 Mobile Connect Product Definition v2.1 3 定义和缩略语 2 3.1 定义 本部分使用下列定义： 恶意软件 恶意软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含我国法律法规规定的计算机病毒。 认证器 用于执行用户身份校验并根据校验结果基于公钥 密码算法机制进行身份认证的实体。认证器可以内嵌于客户端设备系统之中，也可以独立运行于客户端设备之外。认证器需要受到严格的安全边界的保护。 3.2 缩略语 本部分使用下列缩略语： LoA Level of Assurance，服务等级水平 。 SP Service Provider， 服务提供商。 OIDC OpenID Connect， 基于 OAuth 2.0的联合身份 API标准 。 USSD Unstructured Supplementary Service Data， 非结构化补充数据业务 。 2FA 2 Factor Authentication，双因子验证 4 基于 SIM 卡的统一授权业务研究 背景 4.1 业界安全现状 近年来，随着国内各种个人数据泄露事件的频繁爆发，第三方网站上大量用户已注册的个人数据被泄露。 普通用户对在网上交易、支付、授权敏感操作的安全需求也日益提高。现有授权操作存在一定的安全问题：例如，一次性短信验证码（ SMS-OTP）为广泛利用于银行、金融等方面的授权支付操作。但一次性验证码方式缺存在着一定的短板： 首先从用户安全性考虑：一般为明文传输一次性验证码， 一旦遭到黑客、恶意软件、间谍软件的攻击， 坏人很可能截获该验证码，从而取代用户完成操作，3 进而窃取用户账户信息、财产 ，后果不堪设想。 其次从用户操作便捷角度考虑：一些用户，特别是年长的用户可能并习惯输入一次性验证码的操作流程，从而导致超时，授权失败。 针对以上问题，各国政府、国际组织均引起了重视，并采取相应措施。国际方面，欧美国家相继出台用户信息保护法案，著名国际组织 GSMA 于 2013 年底提出 GSMA Vision 2020 个人数据项目，目的是号召全球运营商、厂商联合起来，通过构建一种基于 mobile ID的新型统一认证方式 ,即移动互联来取代传统用户 认证 、授权 方式，以更好地保护用户个人数据。国内方面，国家对个人数据安全高度重视。 2014 年 2 月 27 日，网络安全与信息化领导小组成立，小组组长国家主席习近平主持召开中央网络安全和信息化领导小组第一次会议并发表重要讲话，强调信息数据安全是国家发展的重大战略问题。 2012 年 12 月，我国全国人大常委会颁布了 “关于加强网络信息保护的决定 ”，以保护我国网络用户信息安全，保障公民合法权益。 2013 年 8 月，工信部发布了 2013 年工信部第 24 号令 “电信和互联网用户个人信息保护规定 ”，相当于对以上全国人大常委会法案的解读。 为了更好地保护用户个人信息，可以借鉴 GSMA Vision 2020 个人数据项目提出的移动互联方案 将用户个人真实数据存放在比普通第三方网站更为可信的机构运营商的基础设施中，并通过充分开放运营商业务层面的认证、鉴权能力，利用移动终端 SIM 卡绑定的个人移动 ID，为第三方网站、大型企业，甚至银行、政府的用户登录、关键操作（支付）过程提供用户身份验证能力。 4.2 业务场景描述 随着 GSMA Mobile Connect 认证业务的不断发展，基于 SIM 卡的身份认证技术已不仅能用于简单的登录认证，同时还可以对 SP 向用户提 出的特定问题进4 行授权业务， 过充分开放运营商业务层面的授权 能力，利用移动终端 SIM 卡绑定的个人移动 ID，为第三方网站、大型企业，甚至银行、政府的用户登录、关键操作（支付）过程提供用户身份验证能力。 例如： 当用户旅行到从没去过的外地或者国外进行信用卡支付，又或者首次进行大额支付，银行一般会通过电话人工向用户确认是否由本人操作，而这项操作可以通过 SIM 卡应用进行，在刷卡后在用户终端上弹窗并要求用户输入密码进行授权操作。 当医生想要查看患者的体检报告，只需登录就诊系统即可查看，然而这其实是属于患者的私人信 息，医生应该在患者授权的前提下查看其某些项指标，并且这应该属于一次性行为，如果医生可以随意查看则会有信息泄露的可能，对患者的合法权益造成损失。医生如果需要查看某个病人的体检报告，可以通过 SIM 卡应用向患者发起请求，如果患者同意就在终端的弹窗点击确认并要求患者输入密码进行授权操作。 针对以上问题，通过分析基于 SIM 卡的统一授权业务，可以推动 Mobile Connect 在国内的落地发展。 5 基于 SIM 卡的统一授权业务分析 和需求 5.1 基于 SIM 卡的统一认证 业务 vs 基于 SIM 卡的统一授权 业务 认证业务 的目标是证明用户是他们声称的那个人， 可以通过以下 三种要素 进行 “挑战 ”证明 ： 我有的 、我知道的和 我是谁 （ “Something I have“ “Something I Know“ and “Something I Am“） 。 例如 ： 我想要登录 一个网站 ； SP 发送一个 挑战（ 确认 你正在 持有 你的手机） ； 我需要 正确 操作 以证明 我的身份 。 5 这些 认证信息会被认证系统验证， 随后 赋予用户访问 SP 资源 的权限。 验证的重点在于 这是否 是个 有 权限 的 人，而不是这个人是谁。 授权 业务的目标是 确保这个人 对即将进行的操作负责。 授权 是一个 对 用户的“ 请求 ” -代表 用户 询问任务 将被执行 或即将 交付数据 /服务 。例如 ： 授权 一笔付款 ： “我同意 向亚马逊支付 5 元 ”。 授权业务 可能 被 第三方执行 ， 例如： 家长批准自己的 子女访问 有 年龄限制的内容； 老板批准 员工的消费。 授权业务 通常会发生在认证业务之后 -请求授权 方需要被 验证是否有 资格 授权 。认证可能是 ： 显性 ： 用户请求授权业务 ，通过 输入 PIN 的 方式进行授权请求认证 （认证 指向新的 用户交互 ） ； 隐性 ： 用户使用 能证明用户身份的 某一设备，即 在暗中进行认证 （认证和授权使用同一 用户交互 ）。 5.2 业务 各方需求及用例 以下 总结了 基于 SIM 卡的统一授权业务的 各行业需求及 用例 ，同时这些用例均 基于 市场 反馈 。 6 多 种 类 别银行业商业政府内容旅游业企业其他线上业务基于 S I M 卡的统一授权 业务场景示例银行转帐到新收款人验证有风险的卡交易使用预存信息进行额外检查医疗记录转移审批家长批准儿童在游戏中购买物品代收物品或票据确认经理审批公司开支验证密码更改或找回操作图 1 基于 SIM 卡 的统一授权 业务场景示例 6 基于 SIM 卡的统一授权技术方案 6.1 系统架构 下图描述解释基于 SIM 卡的统一授权业务流程不同模块、角色之间的交互过程：