ICS 33.050 CCS M 30 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 高频率行业下行验证码短消息涉诈风险防 范技术要求 Technical requirements for resisting high frequency industry downlink potential fraud short message with verification code (报批稿) 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YD/TXXXXXXXXX 目次 前 1范围 2规范性引用文件 3术语和定义 4缩略语. 5下发验证码短消息的服务类别场景及服务流程.
5.1下发验证码短消息的服务类别.
5.2下发验证码短消息的应用场景.
5.3下发验证码短消息安全防护服务流程, 6下发验证码短消息的安全防护机制分层架构 7下发验证码短消息的通用安全防护要求. 8人机验证功能服务的技术要求. 8.1不同场景人机验证功能服务的应用要求., 8.2基于验证码的人机验证技术要求.. 8.3基于号码认证的人机验证技术要求 8.4基于统一风控的人机验证技术要求., 8.5基于统一匿名设备标识符的人机验证技术要求. 8.6不同人机验证功能服务部署的优先策略... 附录A(资料性)人机验证示例 A.1验证码人机验证示例 A.2号码认证的人机验证示例........... 息服务平台 . 10
YD/T XXXXXXXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起 草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位深圳市腾讯计算机系统有限公司、中国信息通信研究院、中国移动通信集团有限 公司、中国联合网络通信集团有限公司、中国电信集团有限公司、北京京东尚科信息技术有限公司、北 京快手科技有限公司、蚂蚊科技集团股份有限公司、北京百度网讯科技有限公司、北京抖音信息服务有 限公司、北京奇虎科技有限公司、华为技术有限公司、联通在线信息科技有限公司、中移互联网有限公 司、天翼安全科技有限公司、天翼数字生活科技有限公司、东软集团股份有限公司、郑州信大捷安信息 技术股份有限公司、北京东方通网信科技有限公司、恒安嘉新(北京)科技股份公司、北京亚鸿世纪科 技发展有限公司、河南信大网御科技有限公司、华信咨询设计研究院有限公司、高通无线通信技术(中 国)有限公司 本文件主要起草人徐永太、代威、张亦冰、万晓玥、杨剑锋、梅述家、杨翔宇、黄汉川、李键均、 刘洋、廖晨、蒋济舟、路康、代娟、常雯、崔现东、杜伟、许晴雯、姜清明、袁亚光、刘冬、马洪晓、 廖奇、万翔宇、张立彤、李力卡、李然、落红卫、王昕、谷晨、白晓媛、王海棠、郭建领、王九九、邱 浚漾、韩勇、梁斌、沈超、黄文建、刘炜、陈鑫、杨朗、刘浩、唐玲淑、王翔、杨红、张曦盛、孙长举、 张凯、武杨、倪平、李克鹏、郑剑锋、刘震宇、蒋增增、唐兴波、张宝峰、程冉、李丽君、杨莉娟、王 颖、王跌、毕韶威、刘峰、翟尤、姚理、吴延鸿、陈俊杰、王梦寅、陈慧慧、侯宗方、韩娜、田梦依、 贾志鹏、姚一楠、许东阳、彭雪娜、蔡桂玲、孙佳慧、高树旗、刘森、周畅、王陈、魏星、黄锦容、董 雾月、杨洪平、郭鑫鹏、谈芳、刘为华、崔婷婷、刘志强、王文重、董平、李俨 行业标准信息服务平台 I1
YD/T XXXXXXXXX 高频率行业下行验证码短消息涉诈风险防范技术要求 1范围 本文件规定了互联网信息服务提供商高频率下行验证码短消息风险防范技术要求,提出了安全防 护机制分层架构和安全防护要求.
本文件适用于互联网信息服务提供商规范下发验证码短消息流程,也适用于行业主管部门、第三方 评估机构等对互联网信息服务提供商下发验证码短消息接口的安全防护能力进行监督、管理和评估.
2规范性引用文件 本文件没有规范性引用文件.
3术语和定义 下列术语和定义适用于本文件.
3. 1 互联网信息服务提供商Internetcontentprovider 面向公众提供互联网信息服务的主体.
注:互联网信息服务,是指通过互联网向上网用户提供信息的服务活动,见《互联网信息服务管理办法》.
3. 2 验证码短消息verificatien code shortmessage 互联网服务提供商,为了验证用户提供的手机号是否正确,或者验证其他资料是否匹配,而向用户 手机号推送短消息的验证信息.
3. 3 一个或多个互联网信息服务提供商向同一手机号码的用户在1分钟内下发超过3条的验证码短消息.
3. 4 人机验证man-machine verification 一种区分当前网络交互行为是否真人操作的安全措施,也被称作人机识别,如验证码人机验证、号 码认证、统一风控策略验证等.
YD/T XXXXXXXXX 3.5 字符型验证码alphanumericCAPTCHA 通过字符或数字的组合方式显示验证码方式识别是否为正常用户的验证机制.
3.6 滑块型验证码sliderCAPTCHA 通过用户滑动的方式识别是否为正常用户的验证机制.
3. 7 云滑块验证码cloud slider CAPTCHA 人机验证策略配置云端,云端根据对抗的实时情况,动态下发验证策略到本地端,从而加快对抗适 应过程的一种滑块型验证码验证机制.
3.8 虚拟图灵测试动态语义验证码virtualturing test dynamicsemanticsCAPTCHA 基于虚拟图灵测试,通过用户根据题目选出图中的一个或多个答案、物体或字符,对用户进行判断 和识别的验证机制.
3. 9 智能验证intelligentverification 基于风险分析和智能分级模型,根据用户多维环境因素,对用户进行判断和识别的验证机制.
3.10 号码认证phonemumber authentication 在获得用户同意的前提下,通过数据网关或短消息网关识别本机号码,结合基础电信运营商提供的 接口,安全、快速地验证用户身份,支持完成一键登录、本机校验的功能,实现用户注册、登录、安全 校验等.
3.11 统一匿名设备标识符uniformanonymous deviceidentifier 基础电信运营商通过结合基站获取到的用户终端IMEI、手机号等ID,进行匿名化处理后生成的,不 包含IMEI、手机号等信息,仅表征集成关系的匿名ID.
4缩略语 下列缩略语适用于本文件.
APP 移动应用软件 Application 全自动区分计算机和Completely Automated Public Turing Test to Tell Computers and CAPTCHA 人类的图灵测试 Humans Apart