(高清版)GBT 41802-2022 信息技術(shù) 驗(yàn)證碼程序要求

信息技術(shù)驗(yàn)證碼程序要求2022-10-12發(fā)布國家標(biāo)準(zhǔn)化管理委員會前言 I引言 Ⅱ 2規(guī)范性引用文件 3術(shù)語和定義 4通用要求 5特定要求 3附錄A(資料性)驗(yàn)證碼示例 I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC28)提出并歸口。本文件起草單位：安徽省質(zhì)量和標(biāo)準(zhǔn)化研究院、杭州宇泛智能科技有限公司、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、深圳市感知未來科技有限公司、中科信息安全共性技術(shù)國家工程研究中心有限公司、上海市網(wǎng)絡(luò)技術(shù)綜合應(yīng)用研究所、合肥市市政工程管理處、江西省網(wǎng)絡(luò)安全研究院、麒麟軟件有限公司、成都安美勤信息技術(shù)股份有限公司、北京捷通華聲科技股份有限公司、河北網(wǎng)星軟件有限公司、安徽科測信息技術(shù)有限公司、湖南工商大學(xué)、安徽皖測信息技術(shù)有限公司。Ⅱ本文件描述的驗(yàn)證碼主要是指用于區(qū)分用戶是計(jì)算機(jī)還是自然人的信息元素(包括圖形字符、問題、目標(biāo)位置或軌跡形狀、語音)。驗(yàn)證碼通常用于用戶注冊、操作確認(rèn)、信息提交等場景。發(fā)送驗(yàn)證碼的一條主要路徑是：應(yīng)用所處的系統(tǒng)，將驗(yàn)證碼連同驗(yàn)證操作要求直接發(fā)送至申請?jiān)搼?yīng)用的設(shè)備上。設(shè)備持有人按操作要求進(jìn)行操作(反饋)以完成驗(yàn)證。本文件針對上述驗(yàn)證碼發(fā)送路徑所涉及的驗(yàn)證碼，描述和規(guī)范驗(yàn)證碼程序。1信息技術(shù)驗(yàn)證碼程序要求本文件規(guī)定了基于文本、知識、行為、語音及其復(fù)合驗(yàn)證碼程序的通用要求和特定要求。本文件未涉及基于生物識別技術(shù)驗(yàn)證碼程序的要求。本文件適用于驗(yàn)證碼程序的開發(fā)、測試和應(yīng)用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于GB/T1988—1998信息技術(shù)信息交換用七位編碼字符集GB18030信息技術(shù)中文編碼字符集3術(shù)語和定義下列術(shù)語和定義適用于本文件。個位組組成的編碼表示。驗(yàn)證碼verificationcode用于區(qū)分用戶是計(jì)算機(jī)還是自然人的一組信息元素。驗(yàn)證碼程序verificationcodeprogram用于生成驗(yàn)證碼并實(shí)現(xiàn)驗(yàn)證功能的程序。合驗(yàn)證碼程序?；谖谋镜尿?yàn)證碼程序text-basedverificationcodeprogram用于生成一組以文本形式呈現(xiàn)的驗(yàn)證碼，并實(shí)現(xiàn)驗(yàn)證功能的程序。2基于知識的驗(yàn)證碼程序knowledge-basedverificationcodeprogram用于生成一組以問題形式呈現(xiàn)的驗(yàn)證碼，并實(shí)現(xiàn)驗(yàn)證功能的程序。注：這組問題需要用戶運(yùn)用所掌握的知識或信息，經(jīng)過運(yùn)算、比較、聯(lián)想或推理才能獲得正確答案，答案是唯一的?；谛袨榈尿?yàn)證碼程序behavior-basedverificationcodeprogram用于生成一組以目標(biāo)位置、軌跡形狀等形式呈現(xiàn)的驗(yàn)證碼，并通過獲取用戶行為實(shí)現(xiàn)驗(yàn)證功能的程序。注：用戶需要通過執(zhí)行點(diǎn)擊某個位置、拖動滑塊到某個位置、繪制軌跡等動作實(shí)現(xiàn)驗(yàn)證信息輸入，驗(yàn)證碼程序收集完成時間、完成精度、軌跡信息等多個維度用戶行為信息完成綜合判斷?；谡Z音的驗(yàn)證碼程序voice-basedverificationcodeprogram用于生成一組以語音形式呈現(xiàn)的驗(yàn)證碼，并實(shí)現(xiàn)驗(yàn)證功能的程序。復(fù)合驗(yàn)證碼程序compoundverificationcodeprogram用于生成由兩類或兩類以上信息元素構(gòu)成的驗(yàn)證碼，并實(shí)現(xiàn)驗(yàn)證功能的程序。注：信息元素是3.5～3.8定義的基于文本、知識、行為、語音的驗(yàn)證碼程序所使用的信息元素，即圖形字符、問題、目4通用要求4.1驗(yàn)證碼程序(以下簡稱程序)生成的驗(yàn)證碼應(yīng)具有以下特征：a)可及性：驗(yàn)證碼所呈現(xiàn)的信息能通過自然人的眼睛、耳朵等感官系統(tǒng)獲得。b)可識別性：驗(yàn)證碼所呈現(xiàn)的信息能被自然人識別。c)適應(yīng)性：1)驗(yàn)證碼的呈現(xiàn)方式與用戶相適應(yīng)，例如供視力障礙用戶使用的驗(yàn)證碼采取語音方式呈現(xiàn)；2)驗(yàn)證碼數(shù)量與可能使用驗(yàn)證碼的總次數(shù)相適應(yīng)；3)與用戶的認(rèn)知結(jié)構(gòu)、范圍和程度相適應(yīng)；d)時效性：驗(yàn)證碼所呈現(xiàn)的信息僅在程序設(shè)定的有效期內(nèi)有效。4.2程序生成驗(yàn)證碼時應(yīng)同時產(chǎn)生相應(yīng)的驗(yàn)證操作提示。示例1:請輸入驗(yàn)證碼完成驗(yàn)證。示例2:請拖動滑塊完成拼圖。4.3程序應(yīng)能接收用戶反饋(即用戶按要求執(zhí)行的驗(yàn)證操作),并判斷是否達(dá)到預(yù)期結(jié)果。4.4程序宜能設(shè)置對同一用戶連續(xù)驗(yàn)證碼生成請求的響應(yīng)時間間隔。4.5程序應(yīng)能對其生成的驗(yàn)證碼設(shè)置允許的驗(yàn)證操作時間長度。4.6程序生成的驗(yàn)證碼應(yīng)是隨機(jī)的。4.7程序使用的信息元素庫(如：圖形字符庫、圖片庫、語音庫、問題庫等)應(yīng)能擴(kuò)展、更新；程序生成驗(yàn)證碼時，所使用的信息元素庫中每個信息元素被選中的概率宜盡可能相同。4.8程序應(yīng)采取措施確保程序本身及信息元素的安全。4.9程序不應(yīng)提供直接或間接獲取預(yù)期結(jié)果的方法。35特定要求5.1基于文本的驗(yàn)證碼程序5.1.1程序應(yīng)能生成一組文本，對這組文本進(jìn)行干擾處理后作為驗(yàn)證碼(示例見A.1)呈現(xiàn)給用戶，并能判定用戶的反饋是否符合預(yù)期。5.1.2宜建立與用戶數(shù)相適宜的圖形字符庫，圖形字符應(yīng)符合GB18030的要求。5.1.3程序生成的驗(yàn)證碼文本長度應(yīng)不少于4個字符。5.1.4應(yīng)采取不少于2種干擾處理方法對生成的文本進(jìn)行處理。干擾處理方法可包括但不限于字符5.1.5以即時消息、短信息、電子郵件等形式通過第三方平臺發(fā)送的驗(yàn)證碼可不進(jìn)行干擾處理。5.2基于知識的驗(yàn)證碼程序5.2.1程序應(yīng)能生成一組問題，將這組問題及備選答案(若存在)作為驗(yàn)證碼(示例見A.2)呈現(xiàn)給用戶，并能判定用戶的反饋是否符合預(yù)期。注1:不是所有基于知識的驗(yàn)證碼程序都需提供備選答案給用戶。注2:問題所涉及的知識可能是常識、專業(yè)知識，也可能是與用戶行為相關(guān)的信息，這些信息包括但不限于用戶注冊時輸入的信息、瀏覽過的頁面類型、觀看過的節(jié)目類型、購買過的商品類型等不涉及用戶隱私或取得用戶授權(quán)的信息。5.2.2宜建立與預(yù)期用戶數(shù)相適宜的問題庫、答案庫及備選答案庫存儲相應(yīng)的信息元素。5.2.3問題應(yīng)無歧義，答案應(yīng)唯一，若提供備選答案，備選答案應(yīng)包括正確答案。注：答案的唯一性表現(xiàn)在兩個方面：a)一個問題針對所有用戶都只有一個正確答案；b)一個問題針對不同的用戶有不同的答案(如：最近觀看過的節(jié)目類型),但是針對某一個特定用戶其答案是唯一的。5.2.4宜采取與5.1.4相同的干擾處理方法對問題文本進(jìn)行處理。5.3基于行為的驗(yàn)證碼程序5.3.1程序應(yīng)能生成一組目標(biāo)位置、軌跡形狀等信息作為驗(yàn)證碼(示例見A.3)呈現(xiàn)給用戶，并能判定用戶通過其行為反饋的信息是否符合預(yù)期。5.3.2當(dāng)程序需要采用圖片等信息元素實(shí)現(xiàn)用戶行為驗(yàn)證時(如：滑塊拼圖、軌跡繪制),宜建立與預(yù)期用戶數(shù)相適宜的圖片庫存儲相應(yīng)的信息元素。5.3.3程序應(yīng)能設(shè)置允許的誤差，并在容許的誤差范圍內(nèi)準(zhǔn)確判斷。5.4基于語音的驗(yàn)證碼程序5.4.1程序應(yīng)能生成一組語音作為驗(yàn)證碼(示例見A.4)呈現(xiàn)給用戶，并能判定用戶的驗(yàn)證操作(反饋)是否符合預(yù)期。5.4.2程序宜包含與用戶相適宜的語音庫存儲相應(yīng)的信息元素，語音信息元素涉及的內(nèi)容包括但不限口音等)相適應(yīng)。5.4.4語音信息元素涉及的字符應(yīng)符合GB/T1988—1998和GB18030的要求。5.4.5語音庫中信息元素應(yīng)包括不少于1種干擾信息。干擾信息包括但不限于噪聲、背景音樂、環(huán)境4聲等。5.5復(fù)合驗(yàn)證碼程序5.5.1程序應(yīng)能運(yùn)用5.1～5.4中信息元素(包括圖形字符、問題、目標(biāo)位置或軌跡形狀、語音)的組合生成一組驗(yàn)證碼(示例見A.5)呈現(xiàn)給用戶，并能判定用戶的反饋是否符合預(yù)期。5.5.2程序使用的信息元素及信息元素庫應(yīng)符合5.1～5.4的要求。5GB/T41802—2022(資料性)驗(yàn)證碼示例A.1基于文本的驗(yàn)證碼基于文本的驗(yàn)證碼示例見圖A.1。請輸入驗(yàn)證碼A.2基于知識的驗(yàn)證碼基于知識的驗(yàn)證碼示例見圖A.2?；谖谋镜尿?yàn)證碼示例請輸入右邊算式的計(jì)算結(jié)果圖A.2基于知識的驗(yàn)證碼示例6話選擇下圖中所有的請點(diǎn)山下方圖片，旋轉(zhuǎn)至正確方向d)示例4圖A.2基于知識的驗(yàn)證碼示例(續(xù))A.3基于行為的驗(yàn)證碼基于行為的驗(yàn)證碼示例見圖A.3。按住滑塊拖動到最右邊圖A.3基于行為的驗(yàn)證碼示例GB/T41802