［陈鑫 贺晓东 丁嘉嘉 马幸晖］

1 引言

5G 网络的快速普及，推动了移动互联网服务和应用数量急剧增长，促使人们的生活、社交与互联网深度融合。手机号码已成为通往互联网数字世界的身份通行证，人们通过手机号码实现应用、数据、服务的互联互通，享受更便捷、更智能的互联网生活。基于PGW/UPF 头增强(以下简称头增强）手机号码认证技术具有安全、便捷、可信等优势。头增强认证在应用过程中，用户无需密码，一键认证大大提升了身份认证的便捷性，认证过程由电信运营商的核心网设备完成，保证了身份认证的安全、可信性达到电信级。其人机交互友好，速度比传统的短信认证、账号密码认证提升10 倍以上，且单次认证成功率高达99%。因此头增强认证成为互联网众多APP 登录认证的首选项。但与此同时，头增强技术在应用过程中也受到了终端应用场景限制、安全、多运营商融合等技术问题制约，影响其规模和发展。本文对头增强认证应用关键技术进行了研究分析，提出部署方案和建议，为后续的头增强应用建设提供参考。

2 头增强认证概述及应用说明

核心网网关设备（PGW/UPF）通过DPI 功能模块基于CN 隧道信息、网络实例、QFI、IP 包过滤器集、应用标识符等对IPv4、IPv6 或IPv4/v6 PDU 会话的用户数据报文进行检测和识别。如用户报文特征与规则库中的规则匹配，则对报文进行拆包，拆包后在数据包中增加用户相关信息用于认证称为头增强认证，如图1 所示。

图1 头增强认证流程示意图

头增强认证技术业务应用过程如下：

（1）客户端APP 认证数据流，经过UPF/PGW 头增强后转发到认证平台获取认证授权码accesscode；

（2）客户端APP 将accesscode 参数值提交到APP 服务端；

（3）APP 服务端将accesscode 参数值提交运营商认证平台换取用户信息（手机号码）；

（4）APP 服务端再将认证结果返回给APP 客户端。

图2 头增强技术认证业务流程图

3 应用关键技术及方案

3.1 https 协议头增强关键技术

随着国家《网络安全法》的颁布，国内对于信息安全的重视度已经有了质的改变，安全可靠的证书传输HTTPS协议得到了进一步普及。HTTPS 协议头增强比HTTP 协议头增强在应用过程中，具有更好的适用性、安全性和穿透性。

HTTPS 协议与HTTP 协议不同点在于报文是否加密。HTTPS 协议是由TLS 协议和HTTP 协议组成，经由HTTP 进行通信，中间利用SSL/TLS 来加密数据包。在HTTP 协议报文传输的全流程中，报文始终以明文形式暴露在链路上，因此PGW/UPF 可在其报文的头部插入头增强认证相关信息。但HTTPS 协议报文在进行传输时，请求和响应信息的报文都已经过加密，通信过程中的UPF/PGW 网关设备无法对已加密的信息进行头增强，原有基于HTTP 协议的明文头增强方式已不再适用，因此需要从HTTPS 协议的特点入手，在握手过程中的client hello 信息中，进行头增强信息的插入，同时运营商认证平台服务端也需要在此阶段进行头增强信息提取。HTTPS 协议的头增强流程如图3 所示。

图3 HTTPS 协议头增强流程图

3.1.1 TLS 头增强规则

（l）数据携带规则

在TLS 握手的client hello 消息中插入私有扩展头，扩展头格式类似server-name，支持一个extension里封装多个扩展头数据列表，实现HTTPS 的头增强数据携带。在extension字段中定义指定的extension_type名称，例如运营商使用的字段名为17 965 的扩展字段，并将用户的手机号码等增强的信息填入此字段。为进一步增强该字段的扩展性，可定义sub extension，支持灵活携带各种头增强信息，便于后续携带其他扩展信息，对齐HTTP 头增强功能。

（2）数据存储规则

规则定义对extension-type：设定为固定值（如：17 965），占2 个字节，total-length：该extension 总长度，占2 个字节，用于后续扩展头数据sub extension 列表，可以多个sub extension并列。对于每个sub extension，包括1 个字节的type（数据类型），2 个字节的length，之后紧接的为具体data。在一个extension中，各sub extension的先后顺序不影响插入数据的含义，也就是插入信息的前后顺序可以任意。extension 字段数据结构如图4 所示。

图4 extension 携带字段示意图

头增强策略应用后，在运营商认证服务端抓包效果如图5 所示。

图5 头增强应用效果图

3.1.2 服务端数据提取方案

HTTPS 协议在TLS client hello 过程中通过网关设备UPF/PGW 头增强后数据转发到运营商认证服务端，根据TLS 协议，HTTPS 应用过程中服务端会将收到的头增强的数据包生成MAC（message authentication code）和原包值校验，协议校验失败会抛出Bad Record MAC 异常，如图6 所示。

图6 TLS 协议异常图

Bad Record MAC 异常，TLS 协议识别为交互过程数据遭到篡改，服务端根据TLS 协议安全规则主动中断数据流连接，导致头增强认证流程无法进行，因此需要在服务端TLS 协议MAC 校验阶段进行技术改造，主要技术方案如下：

（1）调整服务端的MAC 校验过程

在服务端OpenSSL 交互验证过程中，修改TLS 交互过程默认MAC 校验通过，规避MAC 校验带来中断风险。但此方案涉及优化调整的TLS 流程较多，会影响没有头增强的TLS 正常的MAC 校验，给系统的安全性带来一定的风险。

（2）特定字段数据拆包方案

检测到握手包中具有运营商特定标识（如：17965）的扩展字段时，对数据包进行复制，再对复制包进行拆解，删除头增强的信息并产生MAC，通过MAC 校验后，由于原包未修改，后续处理流程仍然使用具有头增强信息的数据包。后续服务端数据提取模块仍然可以解析到头增强信息。配合网关的防欺诈功能，既保障功能点的完整性，又保障了安全性。通常情况下推荐该方案。

3.2 多运营商融合关键技术

为了解决用户终端多运营商认证问题，终端在应用过程中需要支持三网融合认证，认证过程中根据终端应用使用具体环境场景，推荐不同融合策略。

（1）客户端三网融合策略

终端APP 融合三网运营商头增强能力，APP应用程序从终端系统获取运营商类型，根据运营商类型来选择相应的运营商头增强能力。

（2）服务端三网融合策略

终端APP 只需要集成单网运营商头增强能力，就可借助认证平台侧实现三网融合。流程中认证服务端通过终端流量IP 归属，控制终端转发到到对应的运营商。参考中国电信统一账号认证平台，三网融合大致实现流程如图7 所示。

图7 服务端三网融合流程示意图

客户端三网融合策略只适用于APP 应用下头增强认证，服务端三网融合策略可适用于APP、小程序、H5 环境下头增强认证。在应用过程中因客户端三网融合策略交互流程短，可控性强，成功率相对较高。合作方可根据具体应用场景选择合适的三网融合策略。

4 安全加固关键技术

4.1 应用过程安全策略

头增强认证过程中，为了确保应用的安全性，结合头增强认证特点，利用头增强优势对链路上各个环节进行安全加固，以确保过程安全，主要应用策略如下：

（1）头增强加密策略

不同于HTTP 头增强内容加密，HTTPS 头增强在原有综合加密的基础上面增加动态混淆技术，确保每次头增强数据内容都不相同，杜绝对数据内容穷举的可能性，极大的提升了数据的安全性。

式中：C0、C1 (mg/L)分别代表吸附液的初始浓度和吸附测定时的浓度；V(L)代表吸附液的体积；m(g)表示投加吸附剂的量。

（2）头增强覆盖重写策略

为了防止客户端侧伪造头增强信息，核心网设备PGW/UPF 对数据拆包后，每次都会进行头增强信息重写，覆盖可能因为客户端改造或者添加的类似头增强的相关信息，确保头增强信息可信、防伪造。

（3）白名单IP 防控策略

根据PGW/UPF 设备部署的区域不同，认证服务端根据获取终端数据包的来源IP 进行差异化鉴权。

（4）Oauth2 模式下非对称加密策略

应用过程中提供客户端SDK 接入和服务端认证API接入，全链路传输过程中使用https 加密，交互过程使用标准oauth2 的授权模式，账号和密钥不经第三方，认证成功后通过accessToken 调用能力接口。终端APP 发起预取号请求到认证服务器，认证服务器只返回临时授权码，而真实的用户信息，认证服务器只会通过对方在认证平台配置的公钥进行不对称加密后返回给应用的服务端。以确保应用过程中数据的安全性。

4.2 终端应用安全

4.2.1 防终端劫持策略

为确保头增强认证终端在认证过程中未发生更换，规避认证过程中存在终端劫持的风险。利用头增强认证的优势，认证服务端在获取用户手机号码过程中同时获取私网IP，在后续取号过程中校验私网IP 是否发生变更。具体流程如图8 所示。

图8 防终端劫持策略流程图

4.2.2 防热点中间人策略

头增强认证应用过程中，核心网关核心网设备PGW/UPF 对数据拆包后，在头增强信息中插入数据包的TTL 值，认证服务端根据终端特征和TTL 参数值综合判断终端是否借助了第三方中间人的热点流量发起认证请求。并根据判定结果执行认证策略，如图9 所示。

图9 防热点中间人策略流程图

5 结束语

PGW/UPF 头增强认证关键技术及方案的应用推动了头增强认证业务的广泛使用，截止到2021 年12 月，基于头增强认证技术的中国电信统一账号认证平台免密认证产品，已经接入应用超过3 万个，其中TOP 200 的应用已经有150 个，日调用次数近5 亿次，高效的促进了运营商移动互联网业务和用户规模发展，提升了我国运营商核心竞争力。头增强认证技术不仅可以为民众提供高质量移动互联网接入服务，而且极大提升了运营商基础设施水平，为国家信息化做出重大贡献。本文对PGW/UPF 头增强相关应用的关键技术及现网部署进行了研究分析，可为运营商后续头增强相关能力应用提供参考和借鉴，以提升运营商创新产品的应用能力和服务水平。