指紋或是人臉？一機在手猜猜我是誰電信行動身分認證機制簡介

一、前言

隨著行動裝置普及，越來越多的服務提供者爭相開發行動裝置上的應用程式，如電子郵件、新聞報導、影音分享、股票交易、社交軟體、遊戲、地圖導航、健康管理及行動支付等，如此豐富的應用程式已經使得手機成為現代人必備的隨身用品。另一方面，像新聞報導與地圖導航等可能不一定需要先經過使用者身分認證就能提供服務，然而像財務資料查詢、交易支付及更改個資紀錄等，則需要不同程度的身分認證來確保安全。因此，在使用行動服務的同時，又能利用手機來進行安全又便利的身分認證，不論對使用者或服務提供者而言，都有越來越高的需求。

由於傳統密碼(Password)的身分認證方式因網路釣魚與密碼設定強度不夠等因素而導致冒用帳號事件層出不窮，而行動裝置因其內嵌相機與生物特徵感應裝置的特性，使得採用非密碼的身分認證機制(如人臉辨識與指紋辨識)更加容易在行動裝置上實現，同時，也因為手機的個人獨用性與使用便利性，使得非密碼的身分認證技術受到關注，連帶加速行動身分認證的發展。

而在身分認證流程上，由於一般使用者在申辦手機門號時需要親自以雙證件進行身分認證，因此理論上已經可以將手機門號SIM卡(Subscriber Identity Module)視為個人身分的代表。在電信行動身分認證服務中，使用者就可以透過安裝手機門號SIM卡的行動裝置，輸入手機門號與身分證字號等個人識別資訊，再連網透過電信業者確認，並且將認證結果回傳給應用程式後，即可完成使用者身分認證，如此可避免每個新應用都必須再本人親自以證件臨櫃辦理身分認證的麻煩。

二、國內外發展現況

資料來源：群信「我的號碼」服務2

在國際上，歐盟的愛沙尼亞(Estonia)是全球發展數位身分的先驅，愛沙尼亞在2007年即推出行動身分認證Mobile-ID1，使用者可以跟電信業者申請Mobile-ID SIM卡，之後就可以使用安裝Mobile-ID SIM卡的手機來進行身分認證。Mobile-ID採用輸入PIN碼(Personal Identification Number)啟動SIM卡以進行身分認證協定，若是一般的身分證明只需輸入4位數的PIN1，而若要簽章功能則須輸入5位數的PIN2，此外，若PIN1/PIN2因3次輸入錯誤被鎖定，則須輸入8位數的PUK碼(PINUnlock Key)來解鎖。

而我國為推動行動支付，由電信業者、銀行業者、悠遊卡公司及國發基金共同成立的「群信行動數位科技」公司於2017年推出的「我的號碼」服務，可以說是我國電信行動身分認證的濫觴，「我的號碼」服務的身分認證流程如圖1所示。然而隨著行動支付技術的演變與市場的競爭，導致「我的號碼」服務在行動支付市場失去競爭優勢，群信公司於2018年底宣布解散，儘管如此，「我的號碼」服務所累積的技術已為我國的電信行動身分認證發展奠定基礎。

2018年11月28日，臺灣網路認證公司(TWCA)與中華電信、台灣大哥大、遠傳電信、台灣之星及亞太電信五大電信業者合作提供「Mobile ID行動身分認證服務」，藉由該服務即可讓使用者直接透過手機完成實名身分認證，進而便利地使用各種應用。雖然依照國內現行法規，行動身分認證只能用於會員登入的身分認證，但未來修改政府與銀行等相關法規後，國內2,800多萬手機門號將可用於電子化政府網路便民服務、網路購物、銀行開戶及金融交易等應用的身分認證。 3

三、電信行動身分認證機制

目前電信行動身分認證機制的技術，主要是遵循GSMA(Groupe Speciale Mobile Association )協會所推行的Mobile Connect數位認證標準，Mobile Connect的設計目的是希望提供安全且通用的行動身分認證框架，只需將使用者與手機綁定，Mobile Connect即可讓使用者快速地登入網站與應用程式，而無需記住使用者帳號與密碼，同時，在未經使用者許可的情況下，也不會共享任何個人資訊給服務提供者。

Mobile Connect系統架構

Mobile Connect的系統架構與基本運作流程如圖2所示，Mobile Connect的架構中有4個主要角色：

• 使用者(User)
  包括使用者本人、使用者的手機及使用者執行應用程式的設備(可能是桌上型電腦、平板及手機等)。
• 服務提供者(Service Provider)
  提供應用程式的服務伺服器，如網路購物、網路銀行及影音分享等商家的線上服務伺服器。
• 行動網路業者(Mobile Network Operator, MNO)
  使用者手機門號的電信業者，如中華電信、台灣大哥大及遠傳電信等。
• 探索伺服器(Discovery Server)
  由GSMA維運的行動網路業者識別伺服器，又稱為API Exchange。

資料來源：GSMA Mobile Connect4

而Mobile Connect的運作流程則是以 Mobile Connect 所提供的2類應用程式介面(Application Programming Interface, API )來進行，這2類API分別是Discovery API與Mobile Connect API。Discovery API主要是要讓服務提供者的應用程式能夠識別可用的行動網路業者，而Mobile Connect API則是用來進行使用者身分認證。當使用者透過行動裝置或桌上型電腦的應用程式啟動Mobile Connect登入時，應用程式將先以Discovery API與API Exchange進行對話以識別使用者的行動網路業者，而每一家提供Mobile Connect的行動網路業者都必須先在API Exchange註冊，一旦DiscoveryAPI回覆行動網路業者的相關資訊後，應用程式就可以接著以Mobile Connect API來請求行動網路業者與使用者進行身分認證流程。

Mobile Connect使用者情境

資料來源：GSMA Mobile Connect4

Mobile Connect的目的是要讓使用者可以利用手機快速地完成身分認證，因此，從使用者的角度來看，其認證的情境相當簡易，圖3是Mobile Connect的使用者情境案例。首先，一個應用程式如果有支援Mobile Connect的登入方式，該應用程式的登入畫面就會放置Mobile Connect的按鈕，當使用者按下按鈕選擇以Mobile Connect登入後，應用程式接著會出現提示使用者至手機進行身分認證的視窗，使用者依手機上的程序(如輸入PIN碼)完成身分認證後，應用程式就會再出現身分認證完成的訊息。

Mobile Connect身分認證機制

接著，我們進一步介紹Mobile Connect身分認證機制的技術細節。使用者要能使用Mobile Connect進行身分認證的前提是使用者必須先做身分與手機的綁定，所謂身分與手機的綁定其實就是使用者向電信業者申請手機門號SIM卡，此時，安裝此SIM卡的手機就與使用者的身分資訊(如身分證號碼)綁在一起了。

Mobile Connect身分認證機制的步驟如圖4所示，說明如下：

1. 服務提供者的應用程式在使用者的執行設備上打開登入視窗，並在視窗上顯示Mobile Connect按鈕。
2. 當使用者按下Mobile Connect按鈕後，應用程式從使用者的執行設備向MNO發出授權請求(Authorize Request)。

   

   資料來源：Mobile Connect API5

3. MNO傳送回覆訊息(302 Found)給使用者的執行設備，此時，使用者執行設備的視窗將進入等待狀態並提示使用者至手機進行身分認證。
4. 同時，MNO發送一個身分認證請求(Authentication Request)給使用者的手機。
5. 依據身分認證請求所要求的認證方法，使用者在手機上照著指示的認證程序進行身分認證。
6. 一旦使用者通過MNO的身分認證，MNO會再傳送回覆訊息(302 Found)給使用者的執行設備，其中包括一個授權碼(Authorization Code)，這個授權碼一般只有幾分鐘的有效期且只能使用一次，以降低洩漏的風險。
7. 應用程式使用授權碼向MNO發出提取憑證的請求(Get Token Request)。
8. MNO回覆身分憑證(ID Token)與存取憑證(AccessToken)給應用程式，完成使用者身分認證。
9. 其中應用程式可以從身分憑證中得到一個使用者的匿名ID，稱為PCR(Pseudonymous Customer Reference)，PCR向應用程式保證了使用者身分的真實性也同時保護使用者的身分隱私；而存取憑證則記載使用者授權給應用程式後續可以存取的資訊與服務的權限。

身分認證請求

在上述的身分認證步驟4中，身分認證請求的傳送管道與請求內容代表要認證使用者所採用的方法。所謂傳送管道是指Mobile Connect目前支援的5種認證器(Authenticator)，分別是：

• 無縫身分認證(Seamless Authentication)當使用者的手機透過電信網路與MNO建立連線時，MNO即自動進行手機認證，因使用者完全無需做任何動作也沒有感覺，所以稱之為無縫身分認證。
• 簡訊+網址(SMS+URL)使用者透過點擊簡訊中的網址連結來認證。
• 非結構化補充服務資料(Unstructured Supplementary Service Data, USSD)USSD是早期功能型手機即有的手機與MNO之間的通訊協定，使用者手機可與MNO建立USSD連線來進行身分認證。
• SIM卡應用工具包(SIM Application Toolkit, STK)MNO可透過內建於SIM卡的應用程式來進行身分認證。
• 智慧型手機應用程式(Smartphone Application)可透過智慧型手機上的原生(Native)應用程式來進行身分認證，如手機原生的指紋或臉部辨識程式。

而請求內容中的acr_values參數則是代表應用程式要求身分認證的保證等級(Level of Assurance, LoA)，所謂LoA是由ISO/IEC 29115標準所定義的身分認證等級，分為LoA1~LoA4共4個等級，它代表對身分認證的信心度，LoA1最低而LoA4最高，對於身分認證失誤風險愈高的應用，理應要求更高的LoA。在Mobile Connect中，LoA1~LoA4的意義如下：

認證器(Authenticator)	LoA2	LoA3	LoA4
無縫身分認證	●
簡訊+網址	●	●
USSD	●	●
SIM卡應用工具包	●	●	●
智慧型手機應用程式	●	●	●

資料來源：Mobile Connect Authenticators6

• LoA1：只可以確信該手機在連續的認證事件中是相同的，如檢查手機的MAC位址即可以達到LoA1的要求，LoA1適合用於身分認證要求很低的應用，像是查詢資料與閱讀新聞等應用。
• LoA2：使用者將被要求證明持有手機，也就是單因子認證(Single-Factor Authentication)的「Something you have」，如使用者要按下手機上出現的OK按鈕，甚至使用者可以不必做任何動作，透過無縫身分認證即自動完成身分認證，LoA2適合用於資料異動的應用，像是修改個資與新增紀錄等應用。
• LoA3：除了要證明持有手機外，使用者將額外被要求輸入PIN碼或提供生物特徵，也就是需要多因子認證(Multi-Factor Authentication)的「Something you have + Something you know/Something you are」， LoA3適合用於像金融交易等安全要求較高的應用。
• LoA4：相較於LoA3，LoA4額外要求必須親自身分證明(in-person identity proofing)以及使用防篡改(tamper-resistant)安全元件儲存秘密金鑰，在實務上LoA4通常是利用公開金鑰密碼系統(Public Key Cryptography)的數位簽章功能來達到要求，LoA4適合用於像股票買賣與藥物調配等安全要求極高的應用。

不同的認證器依其特性可提供不同的LoA，表1是認證器與LoA的相關性。

四、行動身分認證的未來發展

Mobile Connect在對使用者的身分認證請求部分(圖4的步驟4與步驟5)，持續朝著更便利與安全的方向擴展，而FIDO(Fast Identity Online)標準的發展正可以滿足這個部分的需求，事實上，GSMA協會與FIDO聯盟自2017年即開始合作促進安全身分認證解決方案的標準化發展。

資料來源：FIDO & Mobile Connect7

FIDO認證標準有2個主要的設計目標，一是不使用密碼做為認證依據，二是認證伺服器端不儲存認證秘密。為達成上述的2個目標並建立通用的開放架構，FIDO的認證機制由2個部分組成：

• 線上認證協定(Online Authentication Protocol)
  是指使用者向認證伺服器證明身分的協定，這個協定使用公開金鑰密碼系統，使用者在初始註冊階段利用本地端設備產生新的一對公鑰與私鑰，使用者保留私鑰並向認證伺服器註冊公鑰，而在身分認證階段時，使用者利用私鑰對來自伺服器的挑戰(Challenge)簽章以證明身分。
• 本地端認證(Local Authentication)
  是指使用者必須在本地端設備通過認證後才能使用私鑰，而本地端設備的認證方法包括PIN碼、生物特徵辨識及額外設備等。

因此，對Mobile Connect而言，FIDO可以協助支援更多的認證器(Authenticator)並提供更強的身分認證保證等級(LoA4)，圖5是Mobile Connect與FIDO的結合關係。

五、結論與建議

隨著行動裝置的普及、使用者與服務應用對於便利的需求以及身分認證技術的發展，電信行動身分認證機制的部署將會是非常重要的趨勢。本文介紹電信行動身分認證機制的標準Mobile Connect，從系統架構、運作流程、使用者情境到身分認證機制的步驟，更探討未來Mobile Connect與FIDO的結合。

對於創新經濟與數位國家的發展，電信行動身分認證機制將扮演關鍵的核心技術，除了解電信行動身分認證機制的資安特性外，對於電信行動身分認證的發展本文亦提供幾點建議：

1. 電信行動身分認證機制的技術皆植基於相關國際標準，這些國際標準的安全性雖然在理論上都被嚴格的檢驗過，但是卻可能在軟體開發的過程產生資安漏洞，因此在開發過程應遵循安全軟體發展生命週期(SSDLC)的管理規範，並建立相關的軟體資安檢測機制，以確保電信行動身分認證機制在實務運作的安全性。
2. 服務提供者雖然可依其應用的屬性來設定身分認證的保證等級(LoA)要求，但是對於重要的民生應用，如金融交易與政府服務等，應訂定強制性的最低保證等級要求，甚至對認證因子的強度亦必須加以規範，以愛沙尼亞的Mobile-ID為例，其提供一般身分認證目的之應用需使用PIN 1或4位數的密碼，但是提供簽章目的之應用則需使用PIN 2或至少5位數以上的密碼。
3. 電信行動身分認證的推動應重新檢視應用面採行的適法性，包括金融應用、政府服務及一般電商等，如用在網銀開戶或交易支付等金融應用，須檢視「金融機構辦理電子銀行業務安全控管作業基準」等法規規範，如用在電子化政府便民等服務也須檢視相關的身分認證機制規範。同時建議應用系統可先以沙盒機制進行概念性驗證，以了解技術可行性與應用適法性。
4. 由於電信業者將從原本只是電信服務提供者，額外成為身分認證服務提供者，其影響層面將擴及更多其他產業，因此對於電信業者，應建立更嚴格的認證系統資安要求。

(作者為國家資通安全會報技術服務中心資安工程師)