ICS 33.050 CCS M 30 YD 中华人民共和国 通信行业标准 YD/T XXXXX—XXXX 高频率行业下行验证码短消息涉诈风险防 范技术要求 Technical requirements for resisting high frequency industry downlink potential fraud short message with verification code （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发 布 YD/T XXXXX—XXXX I目 次 前 言 .............................................................................. II 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义 ........................................................................... 1 4 缩略语 ............................................................................... 2 5 下发验证码短消息的服务类别场景及服务流程 ............................................. 3 5.1 下发验证码短消息的服务类别 ......................................................... 3 5.2 下发验证码短消息的应用场景 ......................................................... 3 5.3 下发验证码短消息安全防护服务流程 ................................................... 3 6 下发验证码短消息的安全防护机制分层架构 ............................................... 5 7 下发验证码短消息的通用安全防护要求 ................................................... 5 8 人机验证功能服务的技术要求 ........................................................... 6 8.1 不同场景人机验证功能服务的应用要求 ................................................. 6 8.2 基于验证码的人机验证技术要求 ....................................................... 6 8.3 基于号码认证的人机验证技术要求 ..................................................... 7 8.4 基于统一风控的人机验证技术要求 ..................................................... 7 8.5 基于统一匿名设备标识符的人机验证技术要求 ........................................... 8 8.6 不同人机验证功能服务部署的优先策略 ................................................. 8 附录A （资料性） 人机验证示例 ......................................................... 9 A.1 验证码人机验证示例 ................................................................. 9 A.2 号码认证的人机验证示例 ............................................................ 10 YD/T XXXXX—XXXX II前 言 本文件按照 GB/T 1.1-2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位 ：深圳市腾讯计算机系统有限公司、中国信息通信研究院、中国移动通信集团有限 公司、中国联合网络通信集团有限公司 、中国电信集团有限公司 、北京京东尚科信息技术有限公司 、北 京快手科技有限公司 、蚂蚁科技集团股份有限公司 、北京百度网讯科技有限公司 、北京抖音信息服务有 限公司、北京奇虎科技有限公司 、华为技术有限公司 、联通在线信息科技有限公司 、中移互联网有限公 司、天翼安全科技有限公司 、天翼数字生活科技有限公司 、东软集团股份有限公司 、郑州信大捷安信息 技术股份有限公司 、北京东方通网信科技有限公司 、恒安嘉新 （北京）科技股份公司 、北京亚鸿世纪科 技发展有限公司 、河南信大网御科技有限公司 、华信咨询设计研究院有限公司 、高通无线通信技术 （中 国）有限公司 本文件主要起草人 ：徐永太、代威、张亦冰、万晓玥、杨剑锋、梅述家、杨翔宇、黄汉川、李键均、 刘洋、廖晨、蒋济舟、路康、代娟、常雯、崔现东、杜伟、许晴雯、姜清明、袁亚光、刘冬、马洪晓、 廖奇、万翔宇、张立彤、李力卡、李然、落红卫、王昕、谷晨、白晓媛、王海棠、郭建领、王九九、邱 浚漾、韩勇、梁斌、沈超、黄文建、刘炜、陈鑫、杨朗、刘浩、唐玲淑、王翔、杨红、张曦盛、孙长举、 张凯、武杨、倪平、李克鹏、郑剑锋、刘震宇、蒋增增、唐兴波、张宝峰、程冉、李丽君、杨莉娟、王 颖、王昳、毕韶威、刘峰、翟尤、姚理、吴延鸿、陈俊杰、王梦寅、陈慧慧、侯宗方、韩娜、田梦依、 贾志鹏、姚一楠、许东阳、彭雪娜、蔡桂玲、孙佳慧、高树旗、刘森、周畅、王陈、魏星、黄锦容、董 霁月、杨洪平、郭鑫鹏、谈芳、刘为华、崔婷婷、刘志强、王文重、董平、李俨 YD/T XXXXX—XXXX 1高频率行业下行验证码短消息涉诈风险防范技术要求 1　范围 本文件规定了互联网信息服务提供商高频率下行验证码短消息风险防范技术要求，提出了安全防 护机制分层架构和安全防护要求。 本文件适用于互联网信息服务提供商规范下发验证码短消息流程 ，也适用于行业主管部门 、第三方 评估机构等对互联网信息服务提供商下发验证码短消息接口的安全防护能力进行监督、管理和评估。 2　规范性引用文件 本文件没有规范性引用文件。 3　术语和定义 下列术语和定义适用于本文件。 3.1　 互联网信息服务提供商 Internet content provider 面向公众提供 互联网信息服务的主体。 注：互联网信息服务，是指通过互联网向上网用户提供信息的服务活动，见《互联网信息服务管理办法》。 3.2　 验证码短消息 verification code short message 互联网服务提供商 ，为了验证用户提供的手机号是否正确 ，或者验证其他资料是否匹配 ，而向用户 手机号推送短消息的验证信息。 3.3　 高频率行业下行验证码短消息 high-frequency downlink verification code short message 一个或多个互联网信息服务提供商向同一手机号码的用户在 1分钟内下发超过 3条的验证码短消息。 3.4　 人机验证 man-machine verification 一种区分当前网络交互行为是否真人操作的安全措施 ，也被称作人机识别 ，如验证码人机验证 、号 码认证、统一风控策略验证等。 YD/T XXXXX—XXXX 23.5　 字符型验证码 alphanumeric CAPTCHA 通过字符或数字的组合方式显示验证码方式识别是否为正常用户的验证机制。 3.6　 滑块型验证码 slider CAPTCHA 通过用户滑动的方式识别是否为正常用户的验证机制。 3.7　 云滑块验证码 cloud slider CAPTCHA 人机验证策略配置云端 ，云端根据对抗的实时情况 ，动态下发验证策略到本地端 ，从而加快对抗适 应过程的一种滑块型验证码验证机制。 3.8　 虚拟图灵测试 动态语义验证码 virtual turing test dynamic semantics CAPTCHA 基于虚拟图灵测试 ，通过用户根据题目选出图中的一个或多个答案 、物体或字符 ，对用户进行判断 和识别的验证机制。