腾讯科技讯 12月19日消息,由中国CNGI专家委主办、中国移动通信集团公司与中国教育和科研计算机网CERNET网络中心联合承办的“第二届CNGI工程技术论坛暨移动互联网国际研讨会”12月18-19日在北京香格里拉饭店举行。
捷德公司副总经理马学军在会上表示,现在中国移动推出的一个新的业务叫做移动密保,它的基础实际上也就是用SIM卡来做数字世界里的身份证。
以下是腾讯科技前方现场报道:
主持人:下面为我们讲演的是马学军先生,马学军先生于2001年加入捷德公司,现任捷德公司副总经理,05年开始任电信大客户部销售经理,后任现在的职位,主管对国内各主要运营商的产品、业务推广和市场销售工作,拥有丰富的产品、市场营销和大客户销售经验,下面有请马学军先生为我们做打造移动互联网中的身份认证平台的主题演讲。
马学军:谢谢张校长,谢谢大家,我是今天最后一个做发言的,首先感谢这么多人还坐在下面。今天我给大家讲的内容是我们从众多的SIM卡技术里面挑选的很好的市场前景,相信给大家一些启发。
大家都认识SIM卡吧,就是手机里的小卡片,虽然小,但是五脏俱全,同样有CPU,在卡上的内部区分SIM卡都是按照容量区分的,市场上一般比较多的都是像32K、64K、128K、256K,现在像一些厂商,像捷德已经可以做到两个G,CPU现在一般都是用的比较好的都是32位的CPU,既然有CPU就应该有操作系统,我们叫COS,我们常说到的一些数据,号码簿等等数据都是以文件的形式存储在卡里的,我们常用的SIM卡开发工具我们叫STK,大家可能听说过,基本上手机上只要一个模块支持,卡商开发各种STK的应用,SIM卡的特点主要是一个安全的存储设备,为什么说它安全呢?大家看小图,SIM卡上一般有八个触点,真正被手机用到只能用五个,从物理上攻击就很难,卡还有一个特点就是所有的运算中间结果是不读出来的,黑客攻击肯定难度相当大了,还有一个特点就是刚才我提到了操作系统,现在的COS,基本每个卡商都是不一样的,自己开发的,对黑客来说难度比较大,从这些角度来说,卡作为一个安全存储设备是它最主要的特点,大家日常生活中,像公交卡、银行卡都用到的是卡片的特性,跟SIM卡从物理和性质上来说都是一样的,完全可以共通,这是它很重要的一个特点。
另外移植性好,成本低,换句话说我们的卖价相当低,这点卡商的确很惨,具体的价格我就不便说了,如果感兴趣的话大家可以找一个小卖部问一下冰棍的价格就可以参考,另外的特点就是运营商可以完全控制,新业务开发的周期很短,运营商推出一个新的业务,对所有的卡商说你们先做吧,谁先做出来我就买谁的产品,还有一个最大的特点就是个人化,这个卡把客户的信息预先放到卡里,发到个人手里通过另外的方式下载到卡里,这是卡的很重要的特点。
下面我要讲一下移动互联网的身份认证,身份证大家都知道,我们日常生活中离不开的,是一个很权威的身份证明,但是大家想想,在互联网上,用身份认证都是用什么?一般用用户ID,有时候还要加一些USBK等等一些其他的辅助,有没有一种什么东西能够使在互联网世界中我们也像有一个身份证一样,只用一个东西代替所有的身份证明呢?现在中国移动推出的一个新的业务叫做移动密保,它的基础实际上也就是用SIM卡来做数字世界里的身份证,它的主要切入点就是网络游戏,网络游戏在座的很多人可能经常玩儿,这篇我不多讲了,意思是网络游戏方兴未艾,市场很好,这个是说网络盗窃,也是方兴未艾,市场很好,这是比较消极的地方,网络玩家都比较担心自己的装备和金币等等,所有的网络运营商对此也做了很多的措施,有一个叫令牌,很多玩家都比较熟悉,怎么使用呢?就是在登录的时候首先要把自己的账号写入,写上自己的密码,在下面有一个盛大密保的密码,这个是由小的装置生成的,输入就可以完成登录,是一个什么原理呢?
我们管它高一次性密码,一次性密码就是说是一种可以生成一系列独立的不同的密码的算法,每个密码只能使用一次,大家可能问了,一般的认证都是用户跟后台去做认证,你这个密码是在变的,怎么保证后台也在变,而且跟我一致呢?一般是这么解决,首先你要有一个KYE,关键要保证有一个变的因子,这个Kye跟变的因子计算,生成一个使用密码,一般有三种,一种是挑战码,后台会发给你一段数字,客户把数字输入到装置里面,一次密码里边,这个用户体验比较不好,还有一种方法叫做基于事件的,比较常见的就是基于装置里边有一个CONTEH,按一次加1,每次生成不同的,这个大家想想其实也有一个问题,如果我要不小心多按了几次怎么办?这个一般是这么解决的,后台会设置一个窗口,后台现在技术是三,但是用户多按了,后台并不会只计算你三,可以往后计算四,五,发现第五,如果我按了一千次怎么办,那个这个没有办法,这个你就要做重新的同步,比较传统的就是到柜台重新同步,比较麻烦一些。
还有一种更好的办法,基于时间的,后台和用户装置里面都有一个时间,用这个时间作为变化的因子,时间也有一个问题,我用了很长时间以后,时间不准,一般的游戏厂家是寿命,现在说的是电池寿命,但是比较大的原因是时间,几年以后时间变化比较大了,同步比较困难,往往因为这个把电池做死在里面,不能更换,一般用户说是三年,可能有的时候有不到三年电池就用完了,要重新购买一个,这是世界上常见的令牌,从这上看看表,能看到一些问题,我给大家分析一下,首先上它的价格,稍微有点高,对于一般的网络用户来讲,而且玩儿网络游戏的人不会一辈子只玩儿一种游戏,可能玩儿不同的游戏,就得买不同的密保,价格,另外一个是通用性,玩家可能要买很多的密保,还有一个是最下面的短信密保,很便宜,短信在安全上是很差的,不知道大家听说过克隆卡的事情吗,最快一个多小时就可以克隆你的SIM卡,就可以实现你打电话、收短信的功能,这个方面也是不太安全的,另外就是刚才说的寿命,有没有一种比较好的办法价廉物美的方法替代它们呢?肯定是有的。
就是用SIM卡,这个就是中国移动的移动密保的简单演示,比如找到传奇这个生成一次性密码,把密码登录到这个框里,除了网络游戏以外还有没有其他的应用可以用呢?我们日常生活当中有很多,比如银行,中行一般是用一次性密码来做的,另外还有网上支付,一般用的是用户名加上密码,另外还有一些企业的OA系统也需要一些一次性密码作为登录。
我给大家简单介绍一下PKI,基础基于非对称算法,大家日常想象中的加密往往是双方都有同样的Kye,传到对方那儿,这是我们对称密码,非对称,顾名思义就是用两个Kye,这两个Kye一个用来加密,这一堆密钥叫什么呢?一个叫公钥,另外一个叫私钥,为什么叫私钥呢?每个用户手里都会有一个私钥,这个原则上只有你自己有,别人拿不到,如果用这个私钥对一段数据加密以后,这个加密的密文只有你一个人有,国家现在立法了,叫数字签名法,专门对立法做一个保障,要求是有一个数字签名的合法性,每个人手里都是有私钥的,公钥怎么办?会搁在一个公开的库里,公开的钥库是什么呢?我们大家可能听说过CA,就是这个CA是认证中心的意思,就是一个合法的认证机构,专门保持公钥的,而且是以证书的形式,不光是有公钥,还有一些期限等等