互联网新背景，移动认证的机遇与挑战

01移动互联网时代：

不安全感正在与日俱增

移动互联网时代，大家进行各类APP的账号注册，或多或少都要使用到各种验证码。从常规验证码体系(滑动拼图、图中点选、短信上行验证)，到最新的行为验证码，无一不是为了防止机器大规模注册。歪歪扭扭的图形及字母，数字都是为了增大机器识别难度而设，一句话总结起来，就是为了让服务器一端确认电脑面前的你是人而非机器。

然而基于图灵测试的理念被做成最简单粗暴的形式——验证码，渗透到人们互联网生活的方方面面。验证码虽好，但在移动终端由于普遍安全防御水平较低，非法窃取短信时有发生，伪基站覆盖范围内，所有受影响的手机短信都会被监听易于携带就易于丢失，从而导致敏感信息的泄漏，对数据安全构成极大威胁，而所丢失的设备也可能会变成黑客攻击内部网络的跳板。

现阶段，也由于巨额潜在利润的驱动，不法之徒必定不会放弃对验证码的虎视眈眈。因此，不管是移动终端，系统服务端，还是通道(wifi、3G/4G、APN网络)等，让移动互联网时代的不安全感与日俱增。

02 To be or not to be ?

这是一个问题!

具体的说，移动认证技术希望“烦人的验证码”离开我们，朝着更便捷，更安全的互联网身份认证方式前进。但是，看似简单的东西，背后实现起来的技术却是越复杂。12306的验证模式，在启用不久后就被人破解了，而其他的各种验证方式，因为成本安全壁垒等种种原因，也还没有普及。但从整个业界的趋势看，验证的方式将会越来越简单，而安全性将会越来越高。

但即使验证再简单，APP注册依然是一个需要多步骤操作的事情。我们能不能再往下思考一下呢?注册是为了在应用中初始化一个新用户身份，登录则是为了确认这个身份。如果用户在登录的行为时，直接用手机号码作为登录凭证，剔除掉账号密码环节，能否通行各大APP呢?

移动认证技术的初衷正是如此：用手机号码作为互联网应用的通信凭证，基于运营商的底层技术网关确保安全用户身份认证的准确性与安全性。用户在打开移动数据网络以后，不需进行任何多余输入的操作，授权即可实现一键登陆操作。注册、账号、密码、短信验证码等等所有步都省去，最大程度提升用户体验。

总言之，以手机号码作为统一的账号体系，移动认证技术能基于运营商数据与网关能力实现用户身份认证、鉴权、管理，为各类应用提供信任登录及认证，并提供应用与应用连接、号码查询鉴别等增值服务。

03 移动认证的技术亮点及价值所在

目前，移动认证产品体系已基本形成，包括基于网关认证的六大基础产品：一键登录、本机号码校验、二次放号查询、实名认证、防刷单、应用连接器，提供账号使用和用户数据管理解决方案，强调快捷、安全、方便、高效的用户体验。其次还形成了以SIM卡为载体的高安全性身份认证产品SIM盾和数字身份验证。

移动认证产品通过多层措施保障用户账号安全。移动认证系统采用多种安全措施，包括软硬件方式来保证用户信息安全，不存在用户个人信息篡改、泄露、盗用等问题。基于运营商SIM卡、网络、支撑系统等核心资源，以网络自动认证、SIM卡高安全认证、大数据智能风控为核心技术，为移动互联网环境下的安全认证提供多层级、全覆盖的统一解决方案。其重要技术亮点如下：

1. 基于网络鉴权自适应的全方位安全认证技术。这一技术能提供自登录到传输再到平台的全方位安全保障。首先是登录安全保障。一方面，通过在软件中写入防篡改机制，对身份文件内容进行加密，实现认证的安全性和不可复制性;另一方面，在用户凭证中加入哈希值，保证每次取号对应的hash密钥无法伪造，实现认证的安全性和不可抵赖性。其次是传输安全保障，基于网络鉴权自适应机制，本成果试图针对不同的机卡开放、网络接入情况，自适应地选择不同的处理机制确保安全、可信、稳定地实现自动认证。最后是平台安全保障。技术的接口安全，具备白名单、防DDOS攻击、防重放等功能，并采用国密算法对敏感信息进行加密传输，实现全方位的安全认证。