YD_T 3239-2017基于用户卡应用的移动认证系统技术要求 总体要求.pdf

ICS 33.030M21YD中华人民共和国通信行业标准YD/T 3239—2017基于用户卡应用的移动认证系统技术要求总体要求General technical requirements for SIM-Applet based mobileauthenticationsystem2017-04-12发布2017-07-01实施中华人民共和国工业和信息化部发布 YD/T3239—2017目次前言..III1范围.2规范性引用文件3术语、定义和缩略语3.1术语和定义3.2缩略语.体系架构4.1认证方案概述4.2在网络中的位置及功能定位4.3功能实体定义4.4与周边系统关系，卡应用认证系统互联互通5.1 概述5.2SP管理路由发现5.3MNO管理路由发现..5.4第三方管理路由发现5.5行业SDK方案功能要求6.1 平台要求..6.2 终端要求..6.3卡应用要求126.4通信通道要求流程137.1系统状态同步137.2应用绑定/解绑157.3本地验证码流程7.4认证服务器更新提示语（可选）187.5锁定/解锁617.6更换新手机卡（手机号不变）197.7 认证流程，20接口208.1接口概述，208.2IF4/OIDC接口描述21 YD/T 3239—2017可以利用移动认证业务使用各个SP的业务，可以采用如图3所示的互联互通方案。互联互通方案可以根据是由平台侧发现路由还是终端侧发现路由，分为两大类：平台侧发现路由方案与终端侧发现路由方案，路山发现功能技术要求见GSMACAPS7。收业券接入达PC/板业务接入请求口于机客户端路山发理致据传送通道认证整务客！手机图3认证系统互联互通示意平台侧发现路由方案包括SP管理路由发现、MNO管理路由发现、第三方管理路由发现三种方案。终端侧发现路由方案主要指行业SDK方案。5.2SP管理路由发现如图4所示为SP管理路由发现的互联互通方式。路由发现功能位于SP平台侧，即由SP平台根据用户电话号码、IP地址等信息对用户所属的运营商进行判断，并将认证请求转发至相应的认证服务器。TY! IONN服务EMNoe iLifII% 3I图4SP管理路由发现互联方式本方案需要SP平台维护MNO认证服务器地址表。SP平台与MNO服务器之间的接口推荐采用GSMA CPAS05.大型SP可以采用这种方案。5.3MNO管理路由发现如图5所示为运营商（MNO）管理路由发现的互联方案，由MNO服务器平台负责实现路由发现功能，具体接口方案可分为两种： YD/T3239—2017a）类漫游方式：MNO2的用户登录SP1，SP1仅对接MNO1的认证平台，则SP1会将所有认证请求发送至MNO1认证平台：MNO1认证平台收到后由路由发现功能模块根据电话号码或者IP地址等信息判断其归属的认证平台，然后将请求转向MNO2平台。b）SP寻址应答方式：MNO2的用户登录SP1，SP1仅对接MNO1的认证平台，则SP1会先向MNO1询间该用户的归属认证平台：MNO1认证平的路由发现功能模块根据电话号码或者IP地址等信息判断其归属的认证平台，然后将MNO2平台的URL返回至SP1：SP1向MNO2发起认证请求，MNO2可向MNO1验证该请求的真实性，大型MNO可以针对中小SP采用此类方案。MNO1 认iFMN02 AiEMNO1 认iEMN02认iE服务器图5运营商管理路由互联方案5.4第三方管理路由发现SP2MNO1 iAif.MNO2 Ai!MN03 认 IE12. % 服务21图6第三方管理路由互联方式第三方管理路由发现如图6所示，主要是由第三方机构来负责路由发现功能实体的实现与维护。该方案的各个接口可采用GSMAAPIExchange方案的定义。国家之间SP与MNO的交互可以采用此模型。5.5行业SDK方案终端上的SDK实现根据用户号码本地或远程的方式发现其归属运营商，然后调用相应卡应用：卡8 YD/T.3239—2017应用在返回参数中携带认证平台地址，从而完成认证。此方案涉及多运营商的SDK的统一协做，对于终端和卡支持的一致性要求较高。6功能要求6.1平台要求6.1.1平台总体功能认证平台的总体功能包据认证能力开放、多认证能力引擎、认证策略管理、认证安全管理、数据存储/管理及运营维护管理。其分层模型，如图7所示。应用平台EMP认证能力开放层平台侧SDK解力开放应用客户端骼力对接卡内短用能力对接CACRM认证能力引擎篇认证练路管理展认证安全分级常略认证能力组合集路认证安全管理屋证书管理数国伴信/管理屋用户身份教规车图 7认证平台总体功能模块示例认证能力开放功能包括平台侧SDK能力开放，面向终端应用的应用客户端能力对接，和面向用户卡的卡内应用能力对接。多认证能力引革功能包括基于卡的认证功能，例如：身份令牌认证能力、动态口令O