建议项目名称
(中文)
|
基于移动用户号码(MSISDN)的身份鉴权技术要求
|
建议项目名称
(英文)
|
Technical requirements of identity authentication based on MSISDN
|
制定或修订
|
■制定 □修订
|
被修订标准号
|
|
采用程度
|
□IDT □MOD □NEQ
|
采标号
|
|
国际标准名称
(中文)
|
|
国际标准名称
(英文)
|
|
采用快速程序
|
□FTP
|
快速程序代码
|
□B □C
|
ICS分类号
|
35.030
|
中国标准分类号
|
L70
|
牵头单位
|
中国移动通信集团有限公司
|
体系编号
|
C-06-01-07
|
参与单位
|
中国电信集团有限公司,中国联合网络通信集团有限公司
|
完成周期(月)
|
24
|
目的、意义
或必要性
|
号码认证是基于电信运营商通信能力实现的一种用户身份认证方式。其基本原理是在移动数据(4G、5G)网络环境下,http/https协议报文在网关设备(GGSN/P-GW)处理转发时,插入用户手机号码实现用户身份识别。与传统密码认证相比,号码认证是一种基于通信能力的免密认证方式。用户无需记忆密码,无需保管预防泄露密码,使用时无需手工输入密码,仅需用户授权即可一键登录,是一种安全、便捷的身份认证方式。
号码认证产品使用场景覆盖登录认证、单点登录、本机号码识别等,产品服务对象包括金融、电商、医疗、教育等各行各业。作为身份认证的安全解决方案及其衍生产品,号码认证自身安全技术把控至关重要。我们需要对号码认证在产品设计、业务流程、系统运行、数据管理等各环节安全风险进行分析,并制定技术规范,为号码认证产品系统建设、安全运营等提供指导依据。
|
范围和主要
技术内容
|
该规范基于对号码认证系统建设、业务运营过程中可能存在的安全风险分析,从业务流程、业务风控、业务接入、数据传输、系统运行等方面提出安全技术要求。
|
国内外情况
简要说明
|
GSMA在Mobile Connect系列标准中提出了基于Oauth2.0的身份认证标准协议OIDC (OpenID Connect),该系列标准主要围绕认证(Authentication)、授权(Authorisation)、用户身份(Identity)和属性(Attributes)四个角度,针对手机号码的认证形式提出了认证概念模型及框架。但在实际的业务落地,应用侧的接入,并未对应用的集成接入、授权规范、业务风控、用户数据管理等内容制定体系化的安全标准和规范。
国内方面,目前中国移动、中国电信和中国联通在号码认证领域的标准,只有针对网关头增强插号技术的相关网元(P-GW)的技术描述和接口定义,而未针对号码认证业务流程、业务接入、系统运行等制定安全技术标准。
本标准立项将制定手机号码认证业务流程、业务风控、业务接入、数据传输、系统运行等安全规范, 弥补号码认证产品安全标准上的空白。
|
备注
|
|
牵头单位
|
(签字、盖公章)
月 日
|
标准化技术组织
|
(签字、盖公章)
月 日
|
部委托机构
|
(签字、盖公章)
月 日
|
|