用户名密码 [免费注册] [找回密码] 推广技巧 发布求购 建商铺  发产品  会员体制比较  
 

捷德马学军:SIM卡是数字世界里身份证

来源:腾讯科技  作者:马学军  发布时间:2008-12-19 16:50:35  字体:[ ]

关键字:cngi  捷德  sim卡  身份认证  

摘   要:“第二届CNGI工程技术论坛暨移动互联网国际研讨会”12月18-19日在北京香格里拉饭店举行,会上,捷德公司副总经理马学军做了主题演讲,其演讲的主题是“打造移动互联网中的身份认证平台”,以下为其演讲实录。

    由中国CNGI专家委主办、中国移动通信集团公司与中国教育和科研计算机网CERNET网络中心联合承办的“第二届CNGI工程技术论坛暨移动互联网国际研讨会”12月18-19日在北京香格里拉饭店举行。 

捷德公司副总经理马学军

    捷德公司副总经理马学军在会上表示,现在中国移动推出的一个新的业务叫做移动密保,它的基础实际上也就是用SIM卡来做数字世界里的身份证。

    主持人:下面为我们讲演的是马学军先生,马学军先生于2001年加入捷德公司,现任捷德公司副总经理,05年开始任电信大客户部销售经理,后任现在的职位,主管对国内各主要运营商的产品、业务推广和市场销售工作,拥有丰富的产品、市场营销和大客户销售经验,下面有请马学军先生为我们做打造移动互联网中的身份认证平台的主题演讲。

    马学军:谢谢张校长,谢谢大家,我是今天最后一个做发言的,首先感谢这么多人还坐在下面。今天我给大家讲的内容是我们从众多的SIM卡技术里面挑选的很好的市场前景,相信给大家一些启发。

    大家都认识SIM卡吧,就是手机里的小卡片,虽然小,但是五脏俱全,同样有CPU,在卡上的内部区分SIM卡都是按照容量区分的,市场上一般比较多的都是像32K、64K、128K、256K,现在像一些厂商,像捷德已经可以做到两个G,CPU现在一般都是用的比较好的都是32位的CPU,既然有CPU就应该有操作系统,我们叫COS,我们常说到的一些数据,号码簿等等数据都是以文件的形式存储在卡里的,我们常用的SIM卡开发工具我们叫STK,大家可能听说过,基本上手机上只要一个模块支持,卡商开发各种STK的应用,SIM卡的特点主要是一个安全的存储设备,为什么说它安全呢?大家看小图,SIM卡上一般有八个触点,真正被手机用到只能用五个,从物理上攻击就很难,卡还有一个特点就是所有的运算中间结果是不读出来的,黑客攻击肯定难度相当大了,还有一个特点就是刚才我提到了操作系统,现在的COS,基本每个卡商都是不一样的,自己开发的,对黑客来说难度比较大,从这些角度来说,卡作为一个安全存储设备是它最主要的特点,大家日常生活中,像公交卡、银行卡都用到的是卡片的特性,跟SIM卡从物理和性质上来说都是一样的,完全可以共通,这是它很重要的一个特点。

    另外移植性好,成本低,换句话说我们的卖价相当低,这点卡商的确很惨,具体的价格我就不便说了,如果感兴趣的话大家可以找一个小卖部问一下冰棍的价格就可以参考,另外的特点就是运营商可以完全控制,新业务开发的周期很短,运营商推出一个新的业务,对所有的卡商说你们先做吧,谁先做出来我就买谁的产品,还有一个最大的特点就是个人化,这个卡把客户的信息预先放到卡里,发到个人手里通过另外的方式下载到卡里,这是卡的很重要的特点。 

  下面我要讲一下移动互联网的身份认证,身份证大家都知道,我们日常生活中离不开的,是一个很权威的身份证明,但是大家想想,在互联网上,用身份认证都是用什么?一般用用户ID,有时候还要加一些USBK等等一些其他的辅助,有没有一种什么东西能够使在互联网世界中我们也像有一个身份证一样,只用一个东西代替所有的身份证明呢?现在中国移动推出的一个新的业务叫做移动密保,它的基础实际上也就是用SIM卡来做数字世界里的身份证,它的主要切入点就是网络游戏,网络游戏在座的很多人可能经常玩儿,这篇我不多讲了,意思是网络游戏方兴未艾,市场很好,这个是说网络盗窃,也是方兴未艾,市场很好,这是比较消极的地方,网络玩家都比较担心自己的装备和金币等等,所有的网络运营商对此也做了很多的措施,有一个叫令牌,很多玩家都比较熟悉,怎么使用呢?就是在登录的时候首先要把自己的账号写入,写上自己的密码,在下面有一个盛大密保的密码,这个是由小的装置生成的,输入就可以完成登录,是一个什么原理呢?

  我们管它高一次性密码,一次性密码就是说是一种可以生成一系列独立的不同的密码的算法,每个密码只能使用一次,大家可能问了,一般的认证都是用户跟后台去做认证,你这个密码是在变的,怎么保证后台也在变,而且跟我一致呢?一般是这么解决,首先你要有一个KYE,关键要保证有一个变的因子,这个Kye跟变的因子计算,生成一个使用密码,一般有三种,一种是挑战码,后台会发给你一段数字,客户把数字输入到装置里面,一次密码里边,这个用户体验比较不好,还有一种方法叫做基于事件的,比较常见的就是基于装置里边有一个CONTEH,按一次加1,每次生成不同的,这个大家想想其实也有一个问题,如果我要不小心多按了几次怎么办?这个一般是这么解决的,后台会设置一个窗口,后台现在技术是三,但是用户多按了,后台并不会只计算你三,可以往后计算四,五,发现第五,如果我按了一千次怎么办,那个这个没有办法,这个你就要做重新的同步,比较传统的就是到柜台重新同步,比较麻烦一些。

  还有一种更好的办法,基于时间的,后台和用户装置里面都有一个时间,用这个时间作为变化的因子,时间也有一个问题,我用了很长时间以后,时间不准,一般的游戏厂家是寿命,现在说的是电池寿命,但是比较大的原因是时间,几年以后时间变化比较大了,同步比较困难,往往因为这个把电池做死在里面,不能更换,一般用户说是三年,可能有的时候有不到三年电池就用完了,要重新购买一个,这是世界上常见的令牌,从这上看看表,能看到一些问题,我给大家分析一下,首先上它的价格,稍微有点高,对于一般的网络用户来讲,而且玩儿网络游戏的人不会一辈子只玩儿一种游戏,可能玩儿不同的游戏,就得买不同的密保,价格,另外一个是通用性,玩家可能要买很多的密保,还有一个是最下面的短信密保,很便宜,短信在安全上是很差的,不知道大家听说过克隆卡的事情吗,最快一个多小时就可以克隆你的SIM卡,就可以实现你打电话、收短信的功能,这个方面也是不太安全的,另外就是刚才说的寿命,有没有一种比较好的办法价廉物美的方法替代它们呢?肯定是有的。

  就是用SIM卡,这个就是中国移动的移动密保的简单演示,比如找到传奇这个生成一次性密码,把密码登录到这个框里,除了网络游戏以外还有没有其他的应用可以用呢?我们日常生活当中有很多,比如银行,中行一般是用一次性密码来做的,另外还有网上支付,一般用的是用户名加上密码,另外还有一些企业的OA系统也需要一些一次性密码作为登录。

  我给大家简单介绍一下PKI,基础基于非对称算法,大家日常想象中的加密往往是双方都有同样的Kye,传到对方那儿,这是我们对称密码,非对称,顾名思义就是用两个Kye,这两个Kye一个用来加密,这一堆密钥叫什么呢?一个叫公钥,另外一个叫私钥,为什么叫私钥呢?每个用户手里都会有一个私钥,这个原则上只有你自己有,别人拿不到,如果用这个私钥对一段数据加密以后,这个加密的密文只有你一个人有,国家现在立法了,叫数字签名法,专门对立法做一个保障,要求是有一个数字签名的合法性,每个人手里都是有私钥的,公钥怎么办?会搁在一个公开的库里,公开的钥库是什么呢?我们大家可能听说过CA,就是这个CA是认证中心的意思,就是一个合法的认证机构,专门保持公钥的,而且是以证书的形式,不光是有公钥,还有一些期限等等其他的东西,用户想申请证书的话,向CA发出申请,看看你是否合法,比如我马学军要申请的话,必须看看申请人是不是马学军,我要跟另外一个人进行交流的话,首先要做一个数字签名,然后发给它,这个人到CA里检索我的证书,验证一下是不是马学军,这就是一个安全认证的简单介绍。

  回到刚才,其他的安全认证服务有没有它的问题,当然是有了,首先它也是价格偏高,USBKye是40到80块钱一个,中行的令牌拿到是免费的,但是年费是36块钱一年,可能要多个银行做网银支付的话,你要买多个Kye,按时间的话肯定是有寿命限制的,安全问题,一般比较常见的是两种,一种是希望交易劫持,交易伪造,交易劫持以后,在网上做一个转账交易,里头的木马程序会给你篡改,交易伪造可能把USBKye插到电脑上,这时候木马就会在后台伪造一个交易,所以大家使用USBKye的时候用的时候插上不用的时候拔下。

  有没有解决办法呢?SIM卡肯定在这方面可以做到,SIM卡这个业务不但可以在传统的互联网上应用,手机互联网上也完全可以应用,包括手机银行、网络游戏、手机游戏、手机支付、企业信息化的手机客户端软件,都可以和SIM卡的认证功能结合在一起,还有没有更多的应用我们能够想到呢?其实这些只是一些,还有更广阔的市场,日常生活中可能经常网站的注册、登录、其他的认证,这些其实都可以用我们的SIM卡作为身份认证,作为数字世界里的身份证来使用的。大家可以想像一下,我们可以用卡片,我们在注册的时候,不用输入你的用户名,而不是用一个SIM卡的功能实现它,难道要对所有的网站都要升级吗?升级PKI和ODA吗?肯定不用的,如果用的话业务推不下去了。

  大家看这个图,中间有一个绿色的身份认证平台,下面是CA机构,服务于PKI功能的,其他的网游厂家,企业OA等等都是跟这个平台做一个接口交互,大家可以想像一下,如果这个业务要推的话,你只要在身份认证平台上注册一次,给自己起一个数字世界里的名字,在互联网站登录的时候,大家不会像以前有哪个烦恼,可能要给自己起不同的名字,只要把自己在身份认证平台上的名字写上去,不可能有人重复,注册成功以后,我在互联网登录的时候,写上自己的名字,直接是登录,按了登录键以后,这些网游就会发一个认证请求,到身份认证平台,就会跟你的手机通信,这时候你的手机就会弹出一个窗口,你是要登录某某网站吗?后台认证通过以后会把通过的消息告诉网站,网站直接切换到下面的界面,如果安全级别比较高的,比如说转账业务,可以谈出一个PIN的输入窗口,可能有一个自己的常用的,写进去就可以了。

  另外一个特点,一定要把业务和认证隔离,下面提供多级的认证标准,所有的业务并不是一样的都要求那么高的安全级别,所以提供安全级别的时候也要分级别,不同的级别不同的应用采用不同的安全认证,这是我们想到的以后的应用的拓展空间,大家看到上面除了我刚才提到的互联网应用、游戏、银行业务、企业信息化以外,还有零售、医疗、交通等等,这个平时我们只是坐公交卡、校园卡、医保卡或者买东西的卡片都是刷一下或者响一下,和SIM卡有什么关系呢?我不知道大家参加没参加另外一个论坛的手机支付的一系列的演讲,他们提到很多双界面卡和NFC的技术,NFC增加了一个短距离非接触的通道,使我们的移动无线业务能够延伸到我们的日常生活中去,就可以用手机的SIM卡做各种各样的消费,储值卡、公交等等等等,这两者的结合能带来很多很多的新的应用,很多很多新的技术,这里我就不多讲了,这是另外一个话题。

  所有的这些应用都离不开认证,因为像支付,VIP等等储值卡,我刚刚提到了认证平台应该像一个功能模块,要跟所有的应用独立开,这样的话你的应用空间就很广阔了,推一个业务的话,首先要看看对用户有什么好处,昨天卓望的人也提到了,山寨版的手机,重点是因为用户的需求,用户的需求才是市场的最大推动力,首先说是价格便宜,在中国价格是最有力的利器,这个并不是少买一根冰棍这么简单,这个是由运营商定它的价格,和传统的Kye相比,不用买那么多的Kye,可以用一个SIM卡就解决,更安全,经常有人说把一个东西集中到SIM卡上,觉得很不安全,假设你有十个鸡蛋,你是把它放在十个篮子里看住它了,还是把十个鸡蛋放在一个篮子里看着它?不知道大家是不是和我一样,我在生活中有很多很多密码,我为了简单记忆我往往用一个密码,这样可能在EMAIL或者QQ安全级别低的密码可能获得安全级别高的密码,而且使用次数多的话,密码的保护肯定也是很受限制的,如果用手机SIM卡的时候只有在需要输的时候才输入一次,安全性很高,使用简单,方便这是它另外一个特点,以后在游戏的玩家来说,只要有一个手机就可以玩儿各种各样的游戏,网银用户也不用买那么多Kye了,方便来说,只要用一个用户名,不会像以前一样给自己起那么多绰号,输错了也不用你输了,直接到手机上。

  运营商的收益当然肯定也是很重要的,尤其对卡商来说,首先说有偿使用提高收入,通过不推的级别向SP收取服务,客户的需求,另外推业务大家知道,用户的信任感和安全度是一个基础,如果运营商做安全认证平台的话,移动互联网,移动商务会达到很好的基础,SP不用自建平体,也可以建平台的认可度,共享运营商的广大用户群,培养协同效应。手机调用SIM卡的功能,这个我们做了简单的调研,手机的支持不够完善,另外像Windows一些调用接口还不太开放,需要大家在这方面多做一些调研。

  再简单介绍一下捷德公司,捷德公司是成立于1852年,总部设在德国慕尼黑,156年的历史,当然那时候没有IC卡,所以那时候我们是印钞起家的,我们是世界上最大的印钞公司,从这个来说,我觉得实质的钞票可能我们经常开玩笑,我们是现金流最大的公司,我们还是世界上第二大的IC卡厂家,每年我们研发投入超过一亿欧元,主要国际上IC卡的相关规范我们是主要的制定者,像电信、电子支付、交通领域我们有很好的解决方案。我的报告就到这儿,谢谢大家。

新闻投稿合作邮箱:yktchina-admin@163.com    字体[ ] [收藏] [进入论坛]

新闻榜
推荐新闻
论坛热帖