USIM卡快捷認證應用設計

黃健，黃健文，李俊磊

（中國電信股份有限公司廣東電信研究院，廣州 510630）

0 引言

在互聯網時代，用戶需要為各種互聯網應用輸入不同的用戶名、密碼進行登錄認證，針對互聯網應用多用戶名、多密碼的場景，GSMA國際組織于2014年提出了Mobile Connect項目簡稱MC計劃，該計劃主要以運營商手機為認證載體，采用用戶賬號作為統(tǒng)一的應用接入賬號，在全球聯盟內實現認證系統(tǒng)互聯、向全球用戶提供可分不同安全級別并且體驗一致的手機認證業(yè)務[1]。

自MC計劃于2014年世界移動通信大會（Mobile World Congress）期間推出以來，34家移動網絡運營商已在21個國家和地區(qū)推出此項服務。中國電信2016年底開始研究以MC計劃為基礎的快捷認證USIM卡產品，并明確定義：快捷認證功能是使用USIM卡的用戶身份認證能力，為中國電信自有業(yè)務、公眾和行業(yè)應用提供用戶認證的功能[2]。本文后續(xù)內容將重點分析中國電信USIM卡快捷認證數據接口、核心業(yè)務流程。

1 快捷認證系統(tǒng)架構

快捷認證系統(tǒng)包括：應用用戶、用戶終端、USIM卡、應用UI、應用認證平臺、運營商快捷認證平臺、運營商短信網關等角色，其中USIM卡和用戶終端共同構成快捷認證的認證主體，USIM卡負責快捷認證相關身份認證短信處理及認證加密數據處理，終端通過主動式命令菜單提供用戶認證時的操作UI。系統(tǒng)架構中，電信運營商負責終端、USIM卡、運營商快捷認證平臺構建；互聯網應用商負責應用UI、應用認證平臺構建。系統(tǒng)架構如圖1所示。

圖1 快捷認證系統(tǒng)架構圖

用戶使用互聯網應用時，用戶可選擇由互聯網應用認證平臺進行認，也可選擇由運營商快捷認證方式進行認證?？旖菡J證系統(tǒng)將電信運營商、互聯網應用商、用戶認證方式選擇和認證主體整合，打通應用認證平臺和快捷認證平臺間接口，使用戶在認證主體選擇時可選擇通過用戶手機終端進行認證。

2 快捷認證數據接口

2.1 快捷認證應用數據短信接口

中國電信快捷認證由于網絡制式原因，采用CD?MA數據短信方式實現。數據短信根據傳遞數據量大小分級聯短信和非級聯短信兩種，當傳遞數據量超過一定數值時必須采用級聯的多條短信實現數據傳遞，根據傳遞方向分上行（卡到平臺）和下行（平臺到卡）兩種。下行應用數據不超過120字節(jié)時，采用非級聯短信方式；當下行數據超過120字節(jié)時需采用級聯短信方式，如表1和表2所示。由于上行數據量較少，上行采用非級聯數據短信。

表1 級聯下行數據短信接口

表2 級聯下行后續(xù)數據短信接口

2.2 快捷認證流程設計

快捷認證應用流程主要包括開機主動注冊、個人密碼修改、基本認證及帶驗證碼認證等核心業(yè)務流程，同時為了實現認證平臺對USIM卡的管理，快捷認證應用也支持USIM卡狀態(tài)獲取、重置初始狀態(tài)等卡管理流程。

2.3 開機主動注冊流程

開機主動注冊流程通過監(jiān)聽終端發(fā)出的STATUS指令為計時器，當卡未注冊時，收到10個STATUS指令時觸發(fā)注冊流程，注冊完成后則結束STATUS指令監(jiān)聽。注冊流程如圖2所示。

圖2 開機主動注冊流程圖

快捷認證應用要求禁止在國際漫游狀態(tài)下進行注冊。USIM通過setup event list主動式命令監(jiān)聽終端位置信息方式判斷USIM是否處于國際漫游狀態(tài)判斷。終端獲取位置信息后通過envelope指令將位置信息（MCC/MNC）發(fā)送給USIM，若卡片接收的MCC為非460值，則表示卡處于國漫漫游狀態(tài)，不進行開機主動注冊流程。

快捷認證應用設計時考慮到注冊的成功率及監(jiān)聽STATUS指令帶來的卡硬件資源消耗問題，快捷認證應用限定開機注冊總的注冊次數為3次，3次后不再進行STATUS事件監(jiān)聽，后續(xù)注冊通過認證平臺發(fā)出的0x65指令進行平臺觸發(fā)注冊。

2.4 個人密碼修改流程

當用戶希望更換快捷認證個人密碼時，用戶可通過客戶電話進行安全條件審核，安全條件驗證通過后客戶觸發(fā)快捷認證平臺下發(fā)0x56數據短信進行個人密碼修改。

快捷認證個人密碼設計為4-8位數字，編碼方式為ASCII碼。個人密碼修改前需在手機端輸入驗證舊密碼，當舊的密碼輸入錯誤10次后，USIM使用DIS?PLAY主動式命令提示用戶“您的個人密碼已被鎖定，請咨詢電信客服10000號”，個人密碼鎖定后可采用密碼重置流程進行密碼初始化重置。密碼修改流程通過GETINPUT命令進行兩次密碼輸入，當兩次密碼輸入不一致時修改不成功。個人密碼修改流程如圖3所示。

圖3 快捷認證個人密碼修改流程圖

2.5 帶驗證碼的認證流程

在圖1快捷認證系統(tǒng)架構圖中，當用戶選擇通過快捷認證方式進行登錄時，登錄認證請求由互聯網應用認證平臺轉發(fā)提交給運營商快捷認證平臺，觸發(fā)快捷認證平臺給USIM下發(fā)指令為0x52（基本認證）、0x59（帶驗證碼認證）數據短信。帶驗證碼認證流程如圖4所示。

圖4 帶驗證碼認證流程圖

如果USIM未注冊，認證流程將觸發(fā)USIM立即發(fā)送注冊上行請求0x65指令；如果未設置密碼，則觸發(fā)USIM進行密碼初始化設置流程，完成個人密碼設置。收到認證平臺下發(fā)認證請求0x59（帶驗證碼認證）數據短信后，進行認證類型判斷，認證類型10不需要輸入密碼時，USIM直接GETINPUT輸入驗證碼完成認證。

當認證類型為01，需要用戶輸入個人密碼時，GETINPUT輸入個人密碼驗證，當輸入密碼10次錯誤后，DISPLAYTEXT提示用戶個人密碼鎖定，認證結束。當個人密碼驗證成功后，GETINPUT輸入驗證碼完成認證。

認證過程中在用戶GET INPUT指令輸入個人密碼和GET INPUT輸入驗證碼時,當用戶點擊GETIN?PUT指令菜單“取消”按鈕時，認證不成功，認證流程結束。

2.6 數據短信異常重發(fā)處理機制

快捷認證應用中USIM發(fā)出Display text，Get in?put，Send SMS等主動式命令時，可能存在手機終端忙或不支持等異?，F象，導致以上主動式命令不能在終端上正常執(zhí)行。因此USIM會根據終端主動式命令執(zhí)行返回值，進行如下異常機制處理：

●當返回值為“00”時，用戶確認或執(zhí)行成功，根據各認證業(yè)務流程圖決定USIM操作。

●當返回值為“10”時，用戶取消，根據業(yè)務流程決定USIM操作。

●當返回值為“2X”時，USIM卡立即重發(fā)一次，重發(fā)后再次收到終端返回“2X”時，卡返回9000給終端，USIM不再重發(fā)。

●當返回值為其它（含3X），不需重發(fā)，USIM響應9000狀態(tài)字給終端，結束該業(yè)務流程。

●當返回值為“11”，均跳轉到當前指令。所有業(yè)務流程不支持result“11”回退操作。

3 結語

中國電信快捷認證應用以加密CDMA數據短信方式實現了用戶在手機端的接入身份認證，為用戶使用互聯網應用提供了便利性和安全性。在快捷認證應用推廣過程中同時也發(fā)現了數據短信延時、不能在國際漫游狀態(tài)下進行認證、手機終端GETINPUT、DISPLAY TEXT主動式命令兼容性較差等主要問題，解決目前已出現問題，需要短信網關、終端、業(yè)務平臺等環(huán)節(jié)和角色共同努力，隨著技術的持續(xù)進步及快捷認證業(yè)務管理的完善，將進一步提升用戶使用體驗。

參考文獻：

[1]張榮.運營商統(tǒng)一移動認證方案與應用.廣東通信技術，2016,36(11).

[2]關于印發(fā)中國電信4G卡（非NFC）需求白皮書(V2.0)的通知.中國電信市場部【2017】19號文件.