ICS 33.040 YD CCS M11 中华人民共和国通信行业标准 YD/T 4253.2—2025 基于电信网的移动互联网凭证管理技术要求 第2 部分：平台要求 Technical requirements of mobile Internet credential management system based on telecommunication network Part2: Platform requirements 2025-04-10 发布 2025-08-01实施 中华人民共和国工业和信息化部 发布 YD/T4253.2—2025 目 次 前言 .11 引言. III 1范围.. 2 规范性引用文件. 3术语与定义.. 缩略语.. 4 凭证管理总体框架. 5 凭证管理系统功能要求 6.1层次架构.. 6.2功能要求 认证系统功能要求. 7 8 8 用户身份核实系统功能要求 9电信网络凭证源功能要求 .8 10 系统运行维护要求 .9 10.1系统管理功能. 10.2性能要求. 9 11安全要求 9 11.1网络安全要求 9 11.2信息安全要求 10 YD/T4253.2—2025 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是YD/T4253《基于电信网的移动互联网凭证管理技术要求》的第2部分。YD/T4253已经 发布了以下部分。 一第1部分：总体要求。 一第2部分：平台要求。 请注意本文件的某些内容可能涉及专利。本部分的发布机构不承担识别这些专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国电信集团有限公司、中国联合网络通信集团有限公司、中国移动通信集团有 限公司。 本文件主要起草人：郭茂文、张荣、黎艳。 II YD/T4253.2—2025 引言 随着移动互联网的发展，人们每天通过各种数字身份凭证接入和使用各类互联网业务，用户面临着 身份盗窃、身份欺诈、隐私泄露等日益严重的安全问题。国家正大力加强互联网安全监管，互联网服务 须实行账号实名认证措施。 当前的移动认证技术和标准规范繁多，从账号口令、短信验证码到指纹验证、卡应用认证以及生物 特征识别认证等，各种认证技术和行业组织联盟标准之间缺乏协调性与兼容性。支持多安全等级、多种 认证技术的移动互联网凭证管理系统共享共用，既节约成本、满足不同应用需求，又能够实现用户的隐 私保护。 YD/T4253《基于电信网的移动互联网凭证管理技术要求》制定目的是通过标准促进互联网行业的 健康发展和保护用户的个人隐私，目前拟分为以下2个部分。 一第1部分：总体要求。目的在于提出基于电信网的移动互联网凭证管理的相关定义、系统框架、 基本功能、工作流程、认证服务、多域以及安全与隐私等方面要求 一第2部分：平台要求。目的在于提出基于电信网的移动互联网凭证管理系统总体框架、凭证管 理系统相关平台的技术要求等。 III YD/T4253.2—2025 基于电信网的移动互联网凭证管理技术要求 第2部分：平台要求 1范围 本文件规定了基于电信网（移动网关和SIM卡）的移动互联网凭证管理系统平台的技术要求，包 括凭证管理系统功能要求、认证系统功能要求、用户身份核实系统功能要求、电信网络凭证源功能要求、 系统运行维护要求以及安全要求等。 本文件适用于指导运营商在移动互联网凭证管理系统方面的研发、设计和运营管理以及相关的研发、 设计和运维人员。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 YD/T4253.1基于电信网的移动互联网凭证管理技术要求第1部分：总体要求 3术语与定义 3 YD/T4253.1界定的以及下列术语和定义适用于本文件。 3.1 凭证credential 互联网通信中代表用户身份信息的数字标识。本文件中的凭证是指运营商基于用户码号、身份证号 SIM卡号等信息，利用密码学算法为实名认证用户建立的唯一数字标识，使用该数字标识通过验证后可 以代替移动互联网应用账号。 3.2 凭证管理credentialmanagement 对互联网通信中代表用户身份的凭证的产生、更新、认证及授权等生命周期活动进行管 理和维护。 1 YD/T4253.2—2025 3.3 凭证管理系统 credentialmanagementsystem 有凭证管理提供能力的组织机构或服务提供方（如电信运营商），管理用户凭证生命周期及移动互 联网应用系统用户账号的绑定关系的系统。 3.4 认证系统 authentication system 辅助凭证管理系统对用户凭证进行验证及在此基础上通过多因子认证功能对用户进行增强身份认 证的系统。 3.5 电信网络凭证源credentialsourceoftelecomnetwork 运营商网络中能够提供用户凭证生成因子的系统或网络功能实体。 3.6 用户身份核实系统 useridentity authentication system 存储和管理有用户真实身份信息的系统。 3.7 移动互联网应ID mobile internet application identifier 由凭证管理系统分配给移动互联网应用的唯一标识。 4缩略语 下列缩略语适用于本文件。 CA 证书授权机构 Certificate Authority GSMA 全球移动通信系统协会 Global System of Mobile communication Association HTTP 超文本传输协议 Hyper Text Transfer Protocol HTTPS 安全超文本传输协议 Secure Hyper Text Transfer Protocol ICCID 集成电路卡识别码 Integrate Circuit Card Identity ID 标识 Identity IMEI 国际移动设备识别码 International Mobile Equipment Identity IMSI 国际移动用户识别码 International MobileSubscriberIdentificationNumber IP 互联网协议 Internet Protocol LoA 安全等级 Level of Assurance MDN 移动用户号码簿号码 Mobile Directory Number OMA 开放移动机卡通道接口 Open Mobile API 2 YD/T4253.2—2025 OTA 空中下载接口 Over-the-Air P-GW PDN网关 PDN GateWay PIN 个人识别码 Personal Identification Number PKI 公钥基础设施 Public Key Infrastructure RAT 无线接入技术 Radio Access Technology SDK 软件开发工具包 Software Development Kit S-GW 服务网关 Serving GateWay SHA256 安全哈希算法 Secure Hash Algorithm SIM 用户身份识别模块 Subscriber Identification Module 5凭证管理总体框架 基于电信网的移动互联网凭证管理包括凭证管理平台、移动互联网应用、移动终端/用户代理三部 分，如图1所示。 其中，凭证管理平台涉及以下4个功能实体。 a）凭证管理系统。 b）认证系统。 c）用户身份核实系统。 d）电信网络凭证源。 凭证管理 c)用户身份 d)电信 平台 核实系统 网络凭证源 bj认证系统 认证系统1 认证管理 认证结果 移动互联网 认证系统2 a)凭证管理系统 应用 认证系统r 凭证注册、认证 应用服务访问 移动终端/ 用户代理 图1基于电信网的移动互联网凭证管理框架 基于电信网的移动互联网凭证管理各部分角色如下。 a）凭证管理平台。 凭证管理平台通常部署于有凭证管理提供能力的组织机构或服务提供方（如电信运营商），为用户 提供真实身份信息核实、凭证及其生命周期管理、移动互联网应用的用户身份认证服务等功能。 凭证管理平台所涉及的相关功能实体的角色如下。 3