ICS 33.030 M21 YD    中华人民共和国 通信行业标准 XX/T XXXXX —XXXX 移动设备用户身份免密认证技术要求 Technical Requirements for Non-password User Authentication on Mobile Devices 点击此处添加与国际标准一致性程度的标识 XXXX - XX - XX发布 XXXX - XX - XX实施 发 布 目  次 目次 ................................................................................... 1 前言 ................................................................................... 2 移动设备用户身份免密认证技术要求 ....................................................... 3 1 范围 ................................................................................. 3 2 规范性引用文件 ....................................................................... 3 3 术语、定义和缩略语 ................................................................... 3 3.1 定义 ............................................................................. 3 3.2 缩略语 ........................................................................... 3 4 架构与分类 ........................................................................... 4 4.1 体系架构 ......................................................................... 4 4.2 认证方式与认证机制 ............................................................... 4 5 动态令牌 ............................................................................. 5 5.1 框架与流程 ....................................................................... 5 5.2 技术要求 ......................................................................... 5 6 数字证书 ............................................................................. 6 6.1 框架与流程 ....................................................................... 6 6.2 技术要求 ......................................................................... 6 7 生物特征识别 ......................................................................... 7 7.1 框架与流程 ....................................................................... 7 7.2 技术要求 ......................................................................... 8 8 多因子认证 ........................................................................... 9 8.1 框架与流程 ....................................................................... 9 8.2 技术要求 ........................................................................ 10 前  言 本文件按照 GB/T 1.1-2020的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位 ：蚂蚁科技集团股份有限公司、中国信息通信研究院、国家工业信息安全发展研究 中心、高通无线通信技术 （中国）有限公司 、华为技术有限公司 、维沃移动通信有限公司 、OPPO广东移 动通信有限公司、北京快手科技有限公司。 本文件主要起草人：彭晋、王昕、落红卫、杜志敏、王江胜、王小璞、刘巍、杨柳、杨玫、衣强 。 移动设备用户身份免密认证技术要求 1　范围 本文件规定了用户使用移动设备利用硬件令牌 、数字证书 、生物特征识别和 KBA（Knowledge-based Authentication ）等非密码方式实现身份认证的技术框架 ，规范移动设备上的应用使用此类身份认证的 处理流程和技术要求。 本文件适用于移动设备上支持以上身份认证功能的应用。 2　规范性引用文件 下列文件对于本文件的应用是必不可少的 。凡是注日期的引用文件 ，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 本文件没有规范性引用文件。 3　术语、定义和缩略语 3.1　术语和定义 下列术语和定义适用于本文件。 3.1.1　移动设备 mobile equipment 可以在移动中使用的计算机设备，包括手机、笔记本、平板电脑、 POS机和车载电脑。 3.1.2　令牌 token 生成并显示动态口令的载体。 3.1.3　动态口令 dynamic password 由令牌种子与当前时间通过特定加密算法运算生成的一次性口令。 注：本规范中为 6或8位数字。 3.1.4　令牌种子 token seed 即令牌密钥 ，用于与时间数据组装 ，通过特定算法运算获得当前时间的动态口令 ，同时存储于令牌 和认证服务器中。 3.1.5　数字证书 digital certificate 由证书认证机构签名的包含公开密钥拥有者信息 、公开密钥 、签发者信息 、有效期以及一些扩展信 息的数字文件。 3.2　缩略语 KBA 基于知识的身份认证（ Knowledge-based Authentication ） UTC 世界标准时间（ Coordinated Universal Time） 4　架构与分类 4.1　体系架构 移动设备身份认证体系结构中包括终端侧和服务侧两部分 。终端侧由用户及移动设备如手机 、平板 等组成；服务侧主要包括业务服务系统，在某些情况下也可能涉及第三方认证服务系统，其中第三方业 务系统代业务系统完成用户身份注册和识别环节。整体体系架构见图 1。 图 1 移动设备身份认证体系架构 4.2　认证方式与认证机制 目前在互联网应用的业务系统中 ，除传统的用户名口令认证方式外 ，基于移动设备的身份认证方式 主要包括 ：动态令牌、数字证书、生物特征识别和多因子认证方式等。按认证鉴别凭证的不同，身份认 证又可分为基于载体 的认证（whatyouhave）、基于特征的认证 （whatyouare）和基于知识 的认证（what you know）。移动设备身份认证方式与认证鉴别凭证的对应关系按照表 1的要求： 表1 移动设备用户身份免密认证方式与认证鉴别凭证对应关系 移动设备用户身份免密认证方式 认证鉴别凭证 动态令牌 数字证书 生物特征识别 KBA 基于载体 ● ● 基于特征 ● 基于知识 ● 5　动态令牌 业务服务第三方 认证服务 移动设备 用户互联网 终端侧 服务侧认证载体 5.1　框架与流程 动态令牌认证方式采用专用硬件或定制化软件 ，根据专门的密码算法计算具有时效性的密码并展示 给用户。服务侧系统采用相同的算法计算当前的有效密码 ，比对用户输入完成身份验证 ，相关框架及流 程见图2。