【YD通讯标准】 基于用户卡应用的移动认证系统技术要求总体要求

ICS33.030
中华人民共和国通信行业标准
YD/T3239—2017
基于用户卡应用的移动认证系统技术要求总体要求
General technical requirements for SIM-Applet based mobileauthenticationsystem
2017-04-12发布
中华人民共和国工业和信息化部2017-07-01实施
2规范性引用文件
术语、定义和缩略语
3.1术语和定义
3.2缩略语
体系架构..
认证方案概述
在网络中的位置及功能定位
功能实体定义
与周边系统关系
卡应用认证系统互联互通
概述，
SP管理路由发现
MNO管理路由发现.
第三方管理路由发现..
5.5行业SDK方案
功能要求，
平台要求，
终端要求.
卡应用要求
通信通道要求
系统状态同步
应用绑定/解绑.
本地验证码流程.
认证服务器更新提示语（可选）7.4
锁定/解锁
更换新手机卡（手机号不变）
认证流程
接口概述
8.2IF4/OIDC接口描述
YD/T3239—2017
YD/T3239—2017
系统运营管理要求
9.1系统管理功能.
9.2业务管理.
9.3用户管理。
10性能要求，
性能指标，
10.2可靠性要求
10.3可扩展性，
10.4可维护性.
10.5备份、倒换和故障恢复要求附录AOTP卡应用认证流程资料性附录，I
“基于用户卡应用的移动互联网认证系统”系列标准的名称和结构预计如下：基于用户卡应用的移动认证系统技术要求总体要求：基于用户卡应用的移动认证系统技术要求接口要求。本标准按照GB/T1.1一2009给出的规则起草。YD/T3239—2017
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国电信集团公司、中国联合网络通信集团有限公司、中国移动通信集团公司、中国信息通信研究院。
本标准主要起草人：张
、晨、郭茂文、刘镐、王笑帝、董靖宇、骆晓明、荣、陈
1范围
YD/T3239—2017
基于用户卡应用的移动认证系统技术要求总体要求本标准规定了基于用户卡应用的移动认证系统的总体架构要求、组网要求、系统模块功能要求、业务流程，多个认证系统互联互通要求、协议与接口要求。本标准适用于基于用户卡应用的移动认证系统。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T16649.4一2010识别卡集成电路卡第4部分：用于交换的结构、安全和命令GB/T16649.5一2002识别卡集成电路卡第5部分：应用标识符的国家编号体系和注册规程GPGPCSPE_034智能卡技术规范v2.2（GlobalPlatformCardSpecificationv2.2）GPGPD_SPE_013终端技术：安全单元访问控制（GlobalPlatformDeviceTechnology：SecureElementAccessControl)
ETSI TS 102 204 Mobile Signature Service;FiDoAlliance统一认证架构（FiDoUAFProtocolSpecification）OpenIDConnectProfile
GSMACAPS05
GSMACAPSo7运营商发现与联盟（OperatordiscoveryandFederation）OracleJava 安全架构API规范与参考（JavaTMCryptographyArchitectureAPISpecification&Reference)
OracleJava卡平台规范（TheJavaCard3PlatformV3.0.1）IETFRFC6749开放授权架构（OpenAuthorizationFramework）SIMAlliance开放移动API规范v2.03（OpenMobileAPIspecificationV2.03）3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件：YD/T3239—2017
基于用户卡的移动认证系统Sim-Appletbasedmobileauthenticationsystem基于移动用户卡应用上的信息与算法完成在线认证授权的系统，可提供端管云一体化的安全的用户身份认证和属性授权的能力系统。由移动认证卡应用、移动认证SDK、移动认证客户端和移动认证平台组成。其中，移动认证SDK与移动认证客户端为可选组成部分。3.1.2
用户卡应用SIMapplet
一个安装并运行在用户卡里面的应用。例如一个Java卡应用。为与设备应用区别，本文档中统称为“Applet”。
终端设备mobiledevice
本标准中特指任何需要使用电信用户卡的终端设备，如移动电话。3.1.4
开放移动设备操作系统openmobileOs允许加载第三方应用程序的移动设备操作系统。3.1.5
安全模块secureelement
可用于移动设备的智能卡芯片。例如UICC卡/SIM卡、嵌入式安全模块，安全SD卡等。3.1.6
终端应用deviceapplication
个安装并运行于移动设备上的应用程序，简称“应用”。3.1.7
会话session
设备（例如手机终端）应用和安全模块之间打开的一个连接3.1.8
通道channel
设备（例如手机终端）应用和Applet之间打开的一个连接，3.2缩略语
下列缩略语适用于本文件：
应用协议数据单元
应用程序编程接口
application protocol data unitApplicationProgrammingInterfaceCA
NFC-SWP
证书授权中心
码分多址
内容提供商
计算处理单元
客户关系管理
能力开放合作管理平台
全局平台访问控制
种基于HMAC的一次性口令算法
哈希运算消息认证码
超文本传输协议
集成电路卡号
国际移动用户标识
网间互连协议
综合业务接入网关
信任等级
近场通信-单线通信协议
消息认证码
管理/业务/运营支持系统
移动网络运营商
进场通信
OATH挑战应答算法
空中下载
动态口令
个人码
个人电脑
公开密钥体系
公钥加密算法
安全通道协议
软件开发工具
安全模块
安全散列算法
服务提供商
单线传输协议
可信服务管理平台
统一认证架构
MBOSS统一认证系统
Certificate Authority
YD/T3239—2017
Code Division Multiple AccessContent Provider
Computer Processing Unit
Customer Relation ManagementEnabler Management Platform
Global Platform Access ControlAn HMAC-Based One-Time Password AlgorithmHash-based Message Authentication CodeHypertext Transfer Protocol
Integrated Circuit Card IdentityidentifierwwW.bzxz.Net
International Mobile Subscriber IdentityInternet Protocol
Integrated Service Access GatewayLevel of Assurance
Near Field CommunictionSingle Wire ProtocolMessage Authentication Code
Management/Business/Operation Surport SystemMobile Network Operaton
Near field communication
OATHChallenge-ResponseAlgorithmOver-the-Air
One-Time Password
Personal Code
Personal Computer
Public Key Infrastructure
Ron RivestAdi ShamirhLenAdlemanSecure Channel Protocol
Software Development Kit
Secure element
Secure Hash Algorithm
Service Provider
Single wire protocol
Trusted service manager
Universal Authentication FrameworkUnified Authentication of MBOSS3
YD/T3239—2017
4体系架构
用户数据库
通用集成电路卡
用户标识模块，用于CDMA移动台中存储与用户安全相关信息和CDMA操作参数的IC卡
通用用户识别模块
UIM卡应用工具箱
无线应用通讯协议
4.1认证方案概述
User Database
Universal Integrated Circuit CardUserIdentifyModule
Universal Subscriber Identity ModuleUIM Toolkit
Wireless Application Protocol图1所示为基于用户卡的移动认证技术方案总体架构。该方案主要由认证请求获取方式、本地认证方式与在线认证方式组成，其中基于用户卡的在线认证方式是本方案的核心。高
认证请求获取
PASWORDS
STRONGAUTH
本地认证
用户卡应用
安全通道
对称/非对称
加解密算法
在线认证
基于用户卡的移动认证方案总体架构认证服务器
认证请求获取方式指将认证请求信息传递给负责认证的移动终端或者用户卡应用。手机上使用应用客户端时，则由应用客户端直接或通过认证服务器将认证请求传递给用户卡上的认证应用Applet。而电脑上的应用需要使用手机进行卡应用认证时，可以通过手机上应用客户端或者专用认证客户端扫描二维码的方式，或通过认证服务器1平台，将认证请求信息传递到手机，进而直接或间接交给卡上认证应用。
本地认证是指在移动手机本地完成的认证，可以由用户灵活地设置采用何种方式，如：免本地认证，本地验证码、指纹等，可按照FiDoUAF规范中本地认证的要求。用户设置的本地认证方式只存在智能手机的用户卡中，不向外传递，保证了本地认证验证方式的安全性。本标准中主要以本地个人码为例。
在线认证是指需要本地与服务器配合完成身份校验，身份校验信息要经过网络传递的认证方法。本标准主要对基于卡应用的在线认证系统进行规范说明，4.2在网络中的位置及功能定位
图2所示中虚线框部分是基于用户卡应用的移动认证系统，系统包括认证平台、卡应用插件、卡应用，各实体分别位于运营商网络中的能力平台层、移动终端应用层和移动用户卡应用层。4
YD/T32392017
基于用户卡的移动认证系统作为中国运营商应用层安全认证的能力系统，是在现有应用层统一认证基础网元的基础上，在移动终端和用户卡环节添加可信执行环境，为现有认证系统补充了多种方便月高安全级别的认证能力，例如：身份令牌、PKI数字签名、动态口令OTP等，并在原有平台侧认证能力开放的基础上，补充了终端侧的高安全认证能力开放，与现有认证系统是互补关系，为互联网和移动互联网应用提供融合一体化的安全的用户身份认证和属性授权的服务。应用平台
能力平台
平台层
短信网关
管理平台
TSM平台
网络层短信通道
ISM客户端
终端层
手机终端
应用平台
认证平台
第三方应用客户端
卡应用插件
卡应用
Java平台层
UICC层/芯片层
用户卡
P网络
IT支撑系统
卡应用移动认证系统
第三方
应用客户端
非手机终端
图2基于用户卡应用的移动认证系统在网络中的位置4.3功能实体定义
4.3.1认证平台
认证服务器包括能力开放、认证鉴权验证、认证策略管理、认证安全管理和数据存取/管理等功能模。认证服务器提供基于卡应用技术的高安全级别的认证服务，具体算法不做限定，如：ICCID对应手机号的码号令牌认证、动态口令OTP认证和PKI数字签名认证等。使用基于卡应用的认证能力时，终端上的应用首次使用时需与平台进行同步。5
YD/T3239—2017
4.3.2认证卡应用
认证卡应用包括认证算法逻辑处理模块（例如码号认证、OTP认证和PKI认证算法）与私密数据存储模块（私密数据包括身份令牌、口令种子和私钥等），是移动终端用户卡中的应用软件，以JavaApplet形式运行在用户卡内Java虚拟机环境之上，是终端侧移动认证能力的核心执行单元。卡应用所使用的认证算法不做限定。
4.3.3卡应用插件（认证SDK）
认证SDK是手机终端应用客户端或者移动认证客户端通过OpenMobileAPI机卡接口或其他接口，调用卡应用认证能力的入口。仅使用OTA接口的系统可以不需要卡应用插件。可选。4.3.4第三方应用客户端
第三方应用客户端为第三方应用系统的手机应用客户端，通过调用卡应用插件实现应用的身份认证。可选。
4.3.5卡应用移动认证客户端
卡应用移动认证客户端是应用进行认证流程中的一个可选实体。如果应用在手机终端上有自已的客户端，在认证流程中可不经过移动认证客户端；对于没有手机客户端的应用，只要其获得使用移动认证能力的许可，就可以通过移动认证客户端发起相应的认证流程。可选。4.4与周边系统关系
由图2可见，基于用户卡应用的移动认证系统会与以下系统对接：a）应用平台：使用认证系统的应用平台。b）EMP（能力开放平台）：认证平台对外提供能力开放时可通过EMP提供。c）TSM平台：卡应用更新、下载的平台。d）CA：第三方证书平台，证书颁发可信机构，负责证书的发放、查验、更新等。e）短信网关/ISAG：转发认证平台向卡应用发送OTP种子同步、OTP计数器同步等同步数据短信OTA短信：转发卡应用向认证平台发送的认证信息数据短信/OTA短信。f）CRM/UAM：认证平台与CRM对接，实现挂失/解挂等功能。g）非手机终端第三方应用客户端：包括TV、PC、笔记本、PAD等非手机设备上的浏览器应用或客户端应用。
h）TSM客户端：卡应用管理客户端，通过卡应用管理客户端从TSM平台下载卡应用。i）第三方手机应用客户端：应用提供方在手机终端侧的应用客户端。5卡应用认证系统互联互通
5.1概述
为了便于基于卡应用的移动认证业务的开展，使得用户能只要开通一个运营商的卡应用认证业务就6
YD/T3239—2017
可以利用移动认证业务使用各个SP的业务，可以采用如图3所示的互联互通方案。互联互通方案可以根据是由平台侧发现路由还是终端侧发现路由，分为两大类：平台侧发现路由方案与终端侧发现路由方案。路由发现功能技术要求见GSMACAPS7。获取业务接入请求
PC/平板
手机客户端
传送通道
卡应用
业务接入请求
数据传送通道
路由发现
认证服务器！
图3认证系统互联互通示意
务器2
务器n
平台侧发现路由方案包括SP管理路由发现、MNO管理路由发现、第三方管理路由发现三种方案。终端侧发现路由方案主要指行业SDK方案。5.2SP管理路由发现
如图4所示为SP管理路由发现的互联互通方式。路由发现功能位于SP平台侧，即由SP平台根据用户电话号码、IP地址等信息对用户所属的运营商进行判断，并将认证请求转发至相应的认证服务器。SP
路由发现
MNOI认证
服务器
MNO2认证
服务器
MNO3认证
服务器
SP管理路由发现互联方式
本方案需要SP平台维护MNO认证服务器地址表。SP平台与MNO服务器之间的接口推荐采用GSMACPAS05。
大型SP可以采用这种方案。
5.3MNO管理路由发现
如图5所示为运营商（MNO）管理路由发现的互联方案，由MNO服务器平台负责实现路由发现功能，具体接口方案可分为两种：7
YD/T3239—2017
a）类漫游方式：MNO2的用户登录SP1，SP1仅对接MNO1的认证平台，则SP1会将所有认证请求发送至MNO1认证平台：MNO1认证平台收到后由路由发现功能模块根据电话号码或者IP地址等信息判断其归属的认证平台，然后将请求转向MNO2平台。b）SP寻址应答方式：MNO2的用户登录SP1，SP1仅对接MNO1的认证平台，则SP1会先向MNO1询问该用户的归属认证平台：MNO1认证平的路由发现功能模块根据电话号码或者IP地址等信息判断其归属的认证平台，然后将MNO2平台的URL返回至SP1：SP1向MNO2发起认证请求，MNO2可向MNO1验证该请求的真实性。大型MNO可以针对中小SP采用此类方案。SP1
路由发现
MNOI认证
服务器
5.4第三方管理路由发现
路由发现
MNO2认证
服务器
MNOI认证
服务器
路由发现
MNOI认证
服务器
路由发现
MNO2认证
服务器
运营商管理路由互联方案
路由发现
MNO2认证
服务器
MNO3认证
服务器
图6第三方管理路由互联方式
第三方管理路由发现如图6所示，主要是由第三方机构来负责路由发现功能实体的实现与维护。该方案的各个接口可采用GSMAAPIExchange方案的定义。国家之间SP与MNO的交互可以采用此模型。5.5行业SDK方案
终端上的SDK实现根据用户号码本地或远程的方式发现其归属运营商，然后调用相应卡应用：卡8
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。