ICS 33.030 M21 YD 中华人民共和国通信行业标准 XX/TXXXXXXXXX 移动设备用户身份免密认证技术要求 Technical Requirements for Non-password User Authentication on Mobile Devices 点击此处添加与国际标准一致性程度的标识 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 发布 目 次 目次 前言 移动设备用户身份免密认证技术要求 1范围. .3 2规范性引用文件 3术语、定义和缩略语. :3 3.1定义 3.2缩略语. 4架构与分类.. 4.1体系架构. 4.2认证方式与认证机制. 5动态令牌.. 5.1框架与流程. 5 5.2技术要求. 6数字证书... .6 6.1框架与流程. 6 6.2技术要求. b 7生物特征识别.. 7.1框架与流程. 7.2技术要求. .8 8多因子认证.. 8.1框架与流程.. 9 8.2技术要求. 乐准信息服务平台 前言 本文件按照GB/T1.1-2020的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：蚂蚁科技集团股份有限公司、中国信息通信研究院、国家工业信息安全发展研究 中心、高通无线通信技术（中国）有限公司、华为技术有限公司、维沃移动通信有限公司、OPPO广东移 动通信有限公司、北京快手科技有限公司。 本文件主要起草人：彭晋、王昕、落红卫、杜志敏、王江胜、王小璞、刘巍、杨柳、杨玫、衣强。 行业标准信息服务平台 移动设备用户身份免密认证技术要求 1范围 本文件规定了用户使用移动设备利用硬件令牌、数字证书、生物特征识别和KBA（Knowledge-based Authentication）等非密码方式实现身份认证的技术框架，规范移动设备上的应用使用此类身份认证的 处理流程和技术要求。 本文件适用于移动设备上支持以上身份认证功能的应用。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 本文件没有规范性引用文件。 3术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件。 3.1.1移动设备mobileequipment 可以在移动中使用的计算机设备，包括手机、笔记本、平板电脑、POS机和车载电脑。 3. 1.2 令牌 token 生成并显示动态口令的载体。 3.1.3动态口令dynamicpassword 由令牌种子与当前时间通过特定加密算法运算生成的一次性口令 注：本规范中为6或8位数字。 3.1.4令牌种子token seed 即令牌密钥，用于与时间数据组装，通过特定算法运算获得当前时间的动态口令，同时存储于令牌 和认证服务器中。 3.1.5数字证书digital certificate 由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信 息的数字文件。 3.2缩略语 KBA基于知识的身份认证（Knowledge-basedAuthentication）