|
建议项目名称
(中文)
|
基于用户卡应用的移动认证系统技术要求 安全要求
|
建议项目名称
(英文)
|
Security Technical Requirements for SIM-Applet based mobile authentication system
|
|
制定或修订
|
■制定 □修订
|
被修订标准号
|
|
|
采用程度
|
□IDT □MOD □NEQ
|
采标号
|
|
|
国际标准名称
(中文)
|
|
国际标准名称
(英文)
|
|
|
采用快速程序
|
□FTP
|
快速程序代码
|
□B □C
|
|
ICS分类号
|
35.030
|
中国标准分类号
|
L70
|
|
牵头单位
|
中国移动通信集团有限公司
|
体系编号
|
C-06-04-04
|
|
参与单位
|
中国电信集团有限公司,中国联合网络通信集团有限公司,中国信息通信研究院,郑州信大捷安信息技术股份有限公司
|
完成周期(月)
|
24
|
|
目的、意义
或必要性
|
SIM认证作为中国运营商应用层安全认证的能力系统,为现有认证系统补充了多种方便且高安全级别的认证能力,例如:身份令牌、PKI数字签名、动态口令OTP等,满足《基于用户卡应用的移动认证系统技术要求》。
不同于传统认证方案,SIM认证系统安全风险主要包含以下:
1.业务安全:用户办理SIM卡及申请数字证书环节中可能发生身份冒充等风险。
2.通信安全:基于用户SIM卡的认证流程中可能发生劫持、篡改、重放等风险。
3.数据安全:用户SIM卡数据、密钥数据需要保存在SIM卡侧及系统平台侧,认证指令数据需要从平台传输至SIM卡,均存在被攻击导致泄露的风险。
4.SIM卡安全:SIM卡放置于用户手机内,可能存在被攻击、破解、复制等风险。
5.卡应用安全:卡应用存储于SIM卡侧,可能发生被非法读取、篡改、删除等风险。
综上,我们需要全面分析和梳理SIM认证业务面临的安全风险,明确SIM认证业务安全总体技术要求,为技术试验、系统建设和运行维护提供依据。
|
|
范围和主要
技术内容
|
本标准基于对SIM认证业务的风险分析,将从业务安全、数据安全、终端安全、系统安全、网络安全、物理安全等方面提出技术要求。
|
|
国内外情况
简要说明
|
国外GSMA、FiDo分别针对用户身份认证制定了相关标准。GSMA OpenID Connect允许开发者验证跨网站和应用程序的用户,而无需拥有和管理密码文件,定义通过鉴别后身份凭证的分享规范。FiDo UAF主要协议允许网络服务端提供无密码和多因子安全的服务,用户通过本地认证机制(例如指纹,人脸识别,声纹,PIN码等)将用户注册到在线服务端。UAF协议允许服务选择哪些安全因子来进行用户认证。一旦注册,当用户需求服务时只需进行身份验证,用户只需重复本地身份验证操作就能完认证过程。
国内方面,CCSA《移动应用身份认证总体技术要求》,主要规定了移动应用身份认证(MAA)体系结构,允许采用可信执环境(TEE)、白盒加密或安全元件(SE)作为认证器。《基于用户卡应用的移动认证系统技术要求 总体要求》规定了基于用户卡应用的移动认证系统的总体架构要求、组网要求、系统模块功能要求、业务流程、多个认证系统互联互通要求、协议与接口要求。
本标准立项将与CCSA《基于用户卡应用的移动认证系统技术要求》相关标准,共同构成一个更加完整的技术标准体系。
针对以上情况,建议尽快推动本立项,从而弥补SIM认证业务在安全标准上的空白。
|
|
备注
|
|
|
牵头单位
|
(签字、盖公章)
月 日
|
标准化技术组织
|
(签字、盖公章)
月 日
|
部委托机构
|
(签字、盖公章)
月 日
|
|