信息技術驗證碼程序要求2022-10-12發布國家標準化管理委員會前言 I引言 Ⅱ 2規范性引用文件 3術語和定義 4通用要求 5特定要求 3附錄A(資料性)驗證碼示例 I本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由全國信息技術標準化技術委員會(SAC/TC28)提出并歸口。本文件起草單位：安徽省質量和標準化研究院、杭州宇泛智能科技有限公司、中國電子技術標準化研究院、深圳市感知未來科技有限公司、中科信息安全共性技術國家工程研究中心有限公司、上海市網絡技術綜合應用研究所、合肥市市政工程管理處、江西省網絡安全研究院、麒麟軟件有限公司、成都安美勤信息技術股份有限公司、北京捷通華聲科技股份有限公司、河北網星軟件有限公司、安徽科測信息技術有限公司、湖南工商大學、安徽皖測信息技術有限公司。Ⅱ本文件描述的驗證碼主要是指用于區分用戶是計算機還是自然人的信息元素(包括圖形字符、問題、目標位置或軌跡形狀、語音)。驗證碼通常用于用戶注冊、操作確認、信息提交等場景。發送驗證碼的一條主要路徑是：應用所處的系統，將驗證碼連同驗證操作要求直接發送至申請該應用的設備上。設備持有人按操作要求進行操作(反饋)以完成驗證。本文件針對上述驗證碼發送路徑所涉及的驗證碼，描述和規范驗證碼程序。1信息技術驗證碼程序要求本文件規定了基于文本、知識、行為、語音及其復合驗證碼程序的通用要求和特定要求。本文件未涉及基于生物識別技術驗證碼程序的要求。本文件適用于驗證碼程序的開發、測試和應用。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于GB/T1988—1998信息技術信息交換用七位編碼字符集GB18030信息技術中文編碼字符集3術語和定義下列術語和定義適用于本文件。個位組組成的編碼表示。驗證碼verificationcode用于區分用戶是計算機還是自然人的一組信息元素。驗證碼程序verificationcodeprogram用于生成驗證碼并實現驗證功能的程序。合驗證碼程序。基于文本的驗證碼程序text-basedverificationcodeprogram用于生成一組以文本形式呈現的驗證碼，并實現驗證功能的程序。2基于知識的驗證碼程序knowledge-basedverificationcodeprogram用于生成一組以問題形式呈現的驗證碼，并實現驗證功能的程序。注：這組問題需要用戶運用所掌握的知識或信息，經過運算、比較、聯想或推理才能獲得正確答案，答案是唯一的。基于行為的驗證碼程序behavior-basedverificationcodeprogram用于生成一組以目標位置、軌跡形狀等形式呈現的驗證碼，并通過獲取用戶行為實現驗證功能的程序。注：用戶需要通過執行點擊某個位置、拖動滑塊到某個位置、繪制軌跡等動作實現驗證信息輸入，驗證碼程序收集完成時間、完成精度、軌跡信息等多個維度用戶行為信息完成綜合判斷。基于語音的驗證碼程序voice-basedverificationcodeprogram用于生成一組以語音形式呈現的驗證碼，并實現驗證功能的程序。復合驗證碼程序compoundverificationcodeprogram用于生成由兩類或兩類以上信息元素構成的驗證碼，并實現驗證功能的程序。注：信息元素是3.5～3.8定義的基于文本、知識、行為、語音的驗證碼程序所使用的信息元素，即圖形字符、問題、目4通用要求4.1驗證碼程序(以下簡稱程序)生成的驗證碼應具有以下特征：a)可及性：驗證碼所呈現的信息能通過自然人的眼睛、耳朵等感官系統獲得。b)可識別性：驗證碼所呈現的信息能被自然人識別。c)適應性：1)驗證碼的呈現方式與用戶相適應，例如供視力障礙用戶使用的驗證碼采取語音方式呈現；2)驗證碼數量與可能使用驗證碼的總次數相適應；3)與用戶的認知結構、范圍和程度相適應；d)時效性：驗證碼所呈現的信息僅在程序設定的有效期內有效。4.2程序生成驗證碼時應同時產生相應的驗證操作提示。示例1:請輸入驗證碼完成驗證。示例2:請拖動滑塊完成拼圖。4.3程序應能接收用戶反饋(即用戶按要求執行的驗證操作),并判斷是否達到預期結果。4.4程序宜能設置對同一用戶連續驗證碼生成請求的響應時間間隔。4.5程序應能對其生成的驗證碼設置允許的驗證操作時間長度。4.6程序生成的驗證碼應是隨機的。4.7程序使用的信息元素庫(如：圖形字符庫、圖片庫、語音庫、問題庫等)應能擴展、更新；程序生成驗證碼時，所使用的信息元素庫中每個信息元素被選中的概率宜盡可能相同。4.8程序應采取措施確保程序本身及信息元素的安全。4.9程序不應提供直接或間接獲取預期結果的方法。35特定要求5.1基于文本的驗證碼程序5.1.1程序應能生成一組文本，對這組文本進行干擾處理后作為驗證碼(示例見A.1)呈現給用戶，并能判定用戶的反饋是否符合預期。5.1.2宜建立與用戶數相適宜的圖形字符庫，圖形字符應符合GB18030的要求。5.1.3程序生成的驗證碼文本長度應不少于4個字符。5.1.4應采取不少于2種干擾處理方法對生成的文本進行處理。干擾處理方法可包括但不限于字符5.1.5以即時消息、短信息、電子郵件等形式通過第三方平臺發送的驗證碼可不進行干擾處理。5.2基于知識的驗證碼程序5.2.1程序應能生成一組問題，將這組問題及備選答案(若存在)作為驗證碼(示例見A.2)呈現給用戶，并能判定用戶的反饋是否符合預期。注1:不是所有基于知識的驗證碼程序都需提供備選答案給用戶。注2:問題所涉及的知識可能是常識、專業知識，也可能是與用戶行為相關的信息，這些信息包括但不限于用戶注冊時輸入的信息、瀏覽過的頁面類型、觀看過的節目類型、購買過的商品類型等不涉及用戶隱私或取得用戶授權的信息。5.2.2宜建立與預期用戶數相適宜的問題庫、答案庫及備選答案庫存儲相應的信息元素。5.2.3問題應無歧義，答案應唯一，若提供備選答案，備選答案應包括正確答案。注：答案的唯一性表現在兩個方面：a)一個問題針對所有用戶都只有一個正確答案；b)一個問題針對不同的用戶有不同的答案(如：最近觀看過的節目類型),但是針對某一個特定用戶其答案是唯一的。5.2.4宜采取與5.1.4相同的干擾處理方法對問題文本進行處理。5.3基于行為的驗證碼程序5.3.1程序應能生成一組目標位置、軌跡形狀等信息作為驗證碼(示例見A.3)呈現給用戶，并能判定用戶通過其行為反饋的信息是否符合預期。5.3.2當程序需要采用圖片等信息元素實現用戶行為驗證時(如：滑塊拼圖、軌跡繪制),宜建立與預期用戶數相適宜的圖片庫存儲相應的信息元素。5.3.3程序應能設置允許的誤差，并在容許的誤差范圍內準確判斷。5.4基于語音的驗證碼程序5.4.1程序應能生成一組語音作為驗證碼(示例見A.4)呈現給用戶，并能判定用戶的驗證操作(反饋)是否符合預期。5.4.2程序宜包含與用戶相適宜的語音庫存儲相應的信息元素，語音信息元素涉及的內容包括但不限口音等)相適應。5.4.4語音信息元素涉及的字符應符合GB/T1988—1998和GB18030的要求。5.4.5語音庫中信息元素應包括不少于1種干擾信息。干擾信息包括但不限于噪聲、背景音樂、環境4聲等。5.5復合驗證碼程序5.5.1程序應能運用5.1～5.4中信息元素(包括圖形字符、問題、目標位置或軌跡形狀、語音)的組合生成一組驗證碼(示例見A.5)呈現給用戶，并能判定用戶的反饋是否符合預期。5.5.2程序使用的信息元素及信息元素庫應符合5.1～5.4的要求。5GB/T41802—2022(資料性)驗證碼示例A.1基于文本的驗證碼基于文本的驗證碼示例見圖A.1。請輸入驗證碼A.2基于知識的驗證碼基于知識的驗證碼示例見圖A.2。基于文本的驗證碼示例請輸入右邊算式的計算結果圖A.2基于知識的驗證碼示例6話選擇下圖中所有的請點山下方圖片，旋轉至正確方向d)示例4圖A.2基于知識的驗證碼示例(續)A.3基于行為的驗證碼基于行為的驗證碼示例見圖A.3。按住滑塊拖動到最右邊圖A.3基于行為的驗證碼示例GB/T41802