ICS35.220DB44ThespecificationofidentityauthenticationofmobileterminalinstitutionsbasedonIDB44/T2226—2020前言 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 25身份鑒別機(jī)制與流程 25.1機(jī)制 25.2要求 56數(shù)字證書格式規(guī)范 56.1概述 56.2證書分類 66.3證書結(jié)構(gòu) 66.4主體命名規(guī)范 7移動端密碼模塊的技術(shù)要求 7.1算法要求 7.2安全性要求 7.3資質(zhì)要求 7.4軟件接口要求 8應(yīng)用集成規(guī)范 8.1技術(shù)要求 8.2工作步驟 附錄A（資料性附錄）證書的結(jié)構(gòu) 附錄B（資料性附錄）身份鑒別數(shù)據(jù)結(jié)構(gòu) DB44/T2226—2020本標(biāo)準(zhǔn)按GB/T1.1-2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由廣東省標(biāo)準(zhǔn)化研究院提出。本標(biāo)準(zhǔn)由本標(biāo)準(zhǔn)由廣東省信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會歸口。本標(biāo)準(zhǔn)起草單位：廣東省標(biāo)準(zhǔn)化研究院、廣州市標(biāo)準(zhǔn)化研究院、廣東省電子商務(wù)認(rèn)證有限公司、數(shù)安時代科技股份有限公司。本標(biāo)準(zhǔn)主要起草人：陳賢明、郭龍祥、胡靜、黃燕玲、盧朝金、張立盈、陳木來、肖曉赟、林澤虹、陳雨、丘詩雅、鄒學(xué)成、李興勤、黃潤飛。DB44/T2226—20201基于統(tǒng)一社會信用代碼的移動終端身份認(rèn)證技術(shù)規(guī)范本標(biāo)準(zhǔn)規(guī)定了基于統(tǒng)一社會信用代碼的移動終端身份認(rèn)證的術(shù)語和定義、縮略語、身份鑒別機(jī)制與流程、數(shù)字證書格式規(guī)范、移動端密碼模塊的技術(shù)要求和應(yīng)用集成規(guī)范。本標(biāo)準(zhǔn)適用于我省信息化建設(shè)中應(yīng)用統(tǒng)一社會信用代碼開展移動終端數(shù)字證書身份認(rèn)證服務(wù)。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T15843.3-2016信息技術(shù)安全技術(shù)實(shí)體鑒別第3部分：采用數(shù)字簽名技術(shù)的機(jī)制（ISO/IEC9798-3：2010，IDT）GB/T20518-2018信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式GB/T25056-2018信息安全技術(shù)證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范GB32100-2015法人和其他組織統(tǒng)一社會信用代碼編碼規(guī)則GB/T33560-2017信息安全技術(shù)密碼應(yīng)用標(biāo)識規(guī)范GB/T35275-2017信息安全技術(shù)SM2密碼算法加密簽名消息語法規(guī)范GB/T35291-2017智能密碼鑰匙密碼應(yīng)用接口規(guī)范GB/T37092-2018密碼模塊安全技術(shù)要求GM/T0020-2012證書應(yīng)用綜合服務(wù)接口規(guī)范3術(shù)語和定義以下術(shù)語和定義適用于本文件。3.1證書認(rèn)證機(jī)構(gòu)（CA）certificateauthority（CA）受用戶信任，負(fù)責(zé)創(chuàng)建和分配證書的權(quán)威機(jī)構(gòu)。證書認(rèn)證機(jī)構(gòu)(CA)也可以為用戶創(chuàng)建密鑰。[GB/T20518-2018，定義3.5]3.2數(shù)字證書digitalcertificate由國家認(rèn)可的，具有權(quán)威性、可信性和公正性的第三方證書認(rèn)證機(jī)構(gòu)（CA）進(jìn)行數(shù)字簽名的一個可信的數(shù)字化文件。[GB/T20518-2018，定義3.7]3.3DB44/T2226—20202公鑰證書publickeycertificate用戶的公鑰連同其他信息，并由發(fā)布該證書的證書認(rèn)證機(jī)構(gòu)（CA）的私鑰進(jìn)行加密使其不可偽造。[GB/T20518-2018，定義3.2]3.4證書注銷列表（CRL）certificaterevocationlist（CRL）一個已標(biāo)識的列表，它指定了一套證書頒發(fā)者確認(rèn)為無效的證書。除了普通CRL外，還定義了一些特殊的CRL類型用于覆蓋特殊領(lǐng)域的CRLs。[GB/T20518-2018，定義3.3]3.5證書序列號certificateserialnumber在證書認(rèn)證機(jī)構(gòu)(CA)頒發(fā)的證書范圍內(nèi)為每個證書分配的一個整數(shù)值。此整數(shù)值對于該證書認(rèn)證機(jī)構(gòu)(CA)所頒發(fā)的每一張證書必須是唯一的。[GB/T20518-2018，定義3.4]3.6統(tǒng)一社會信用代碼unifiedsocialcreditidentifier每一個法人和其他組織在全國范圍內(nèi)唯一的、終身不變的法定身份識別碼。[GB32100-2015，定義3.5]3.7移動終端mobileterminal能夠接入移動通信網(wǎng)，具有能夠提供應(yīng)用程序開發(fā)接口的開放操作系統(tǒng)，并能夠安裝和運(yùn)行應(yīng)用軟件的便攜式電子設(shè)備，包括手機(jī)、筆記本、平板電腦、POS機(jī)等。4縮略語下列縮略語適用于本文件。ASN：抽象語法表示法（AbstractSyntaxNotation）CA：證書認(rèn)證機(jī)構(gòu)（CertificationAuthority）CRL：證書注銷列表（CertificateRevocationList）DER：可區(qū)分編碼規(guī)則（DistinguishedEncodingRules）DN：可辨別名（DistinguishedName）OID：對象標(biāo)識符（ObjectIdentifier）RA：證書注冊機(jī)構(gòu)（RegistrationAuthority）OCSP:在線證書狀態(tài)協(xié)議(OnlineCertificateStatusProtocol)5身份鑒別機(jī)制與流程5.1機(jī)制5.1.1體系架構(gòu)DB44/T2226—20203身份鑒別體系架構(gòu)見圖1。圖1身份鑒別體系架構(gòu)身份鑒別體系架構(gòu)，包括以下參與方：a)證書認(rèn)證機(jī)構(gòu)（CA）：作為信任的基礎(chǔ)，為移動終端用戶的身份真實(shí)性負(fù)責(zé)，通過審核移動終端用戶及其所屬機(jī)構(gòu)的身份后，為合法持有統(tǒng)一社會信用代碼的企業(yè)／組織及其員工、移動終端頒發(fā)數(shù)字證書；同時，證書認(rèn)證機(jī)構(gòu)(CA)為應(yīng)用服務(wù)器提供移動終端數(shù)字證書有效性驗(yàn)證服務(wù)（如證書信任列表、CRL、OCSP等）；b)應(yīng)用服務(wù)器：為移動終端提供信息處理服務(wù)，提供信息處理服務(wù)前，需要先鑒別移動終端的身份；c)移動終端：用戶持有的移動終端，通過證書認(rèn)證登錄到應(yīng)用服務(wù)器進(jìn)行信息處理操作。移動終端應(yīng)包括以下部分：1)移動終端應(yīng)用：用戶提供業(yè)務(wù)操作功能前，通過調(diào)用證書應(yīng)用綜合服務(wù)接口，并實(shí)現(xiàn)與應(yīng)用服務(wù)器的安全信息交互，執(zhí)行身份鑒別流程；DB44/T2226—202042)證書應(yīng)用綜合服務(wù)接口：提供證書應(yīng)用層接口，主要包括證書的編碼解碼、登錄表單簽名等功能，應(yīng)符合GM/T0020的規(guī)定。本接口通過智能密碼鑰匙應(yīng)用接口完成與移動端密碼模塊的交互；3)智能密碼鑰匙應(yīng)用接口：提供移動端密碼模塊的軟件訪問接口，主要包括PIN認(rèn)證、證書讀取、密碼運(yùn)算等功能，應(yīng)符合GB/T35291的規(guī)定；4)移動端密碼模塊：內(nèi)置SE模塊、SDKey、SIMKey、藍(lán)牙Key、軟件密碼模塊等，主要提供密鑰的產(chǎn)生和安全存儲、密碼運(yùn)算等功能，安全性應(yīng)符合GB/T37092安全二級及以上的規(guī)定。5.1.2身份鑒別流程單向鑒別的兩次傳遞機(jī)制應(yīng)符合GB/T15843.3的規(guī)定，聲稱方是移動終端，驗(yàn)證方是應(yīng)用服務(wù)器。移動終端的權(quán)標(biāo)應(yīng)按照GB/T35275的SignedData結(jié)構(gòu)的要求，簽名內(nèi)容為應(yīng)用服務(wù)器返回的隨機(jī)數(shù)（挑戰(zhàn)碼），SignedData移動終端的簽名證書。身份鑒別流程如圖2。圖2身份鑒別流程DB44/T2226—20205身份鑒別流程步驟如下：a)移動終端向應(yīng)用服務(wù)器提出身份鑒別申請；b)應(yīng)用服務(wù)器產(chǎn)生隨機(jī)數(shù)挑戰(zhàn)碼，隨機(jī)數(shù)為長度不短于16字節(jié)的整數(shù)；c)應(yīng)用服務(wù)器返回挑戰(zhàn)碼，移動終端對挑戰(zhàn)碼執(zhí)行數(shù)字簽名；d)移動終端使用數(shù)字證書私鑰對挑戰(zhàn)碼做簽名，并組裝SignedData數(shù)據(jù)結(jié)構(gòu)（參考附錄B簽名內(nèi)容為挑戰(zhàn)碼，內(nèi)容類型標(biāo)識符應(yīng)標(biāo)識為數(shù)據(jù)類型，證書列表域要帶用戶證書。如果是SM2相關(guān)的簽名算法，OID應(yīng)符合GB/T35275的規(guī)定，否則，應(yīng)符合RFC5652的規(guī)定；e)移動終端提交SignedData作為權(quán)標(biāo)；f)應(yīng)用服務(wù)器從權(quán)標(biāo)中提取被簽名內(nèi)容，比較和前面產(chǎn)生的挑戰(zhàn)碼是否一致，若不一致，返回身份鑒別失敗信息；g)應(yīng)用服務(wù)器按本規(guī)范的證書格式獲取用戶的統(tǒng)一社會信用代碼，若證書中沒有包含用戶的統(tǒng)一社會信用代碼，則返回身份鑒別失敗消息；h)應(yīng)用服務(wù)器從權(quán)標(biāo)中提取用戶證書公鑰，從權(quán)標(biāo)(Token)中提取簽名值，并使用證書公鑰驗(yàn)證簽名的有效性，確認(rèn)移動終端持有用戶證書對應(yīng)的私鑰，若簽名無效則返回身份鑒別失敗消息；i)應(yīng)用服務(wù)器驗(yàn)證用戶證書的有效性，包括證書信任鏈、證書頒發(fā)者簽名、證書是否在有效期內(nèi)、密鑰用法、擴(kuò)展密鑰用法、基本限制、名字限制、證書策略等，若證書無效，則返回身份鑒別失敗信息；j)應(yīng)用服務(wù)器向證書認(rèn)證機(jī)構(gòu)（CA）發(fā)出在線申請，查詢頒發(fā)該數(shù)字證書的運(yùn)營證書認(rèn)證機(jī)構(gòu)(CA)簽發(fā)的CRL，或者直接提交OCSP請求報文，驗(yàn)證用戶證書的注銷狀態(tài)；如果基于CRL驗(yàn)證用戶證書的注銷狀態(tài)，并且上一次查詢獲得CRL尚在有效期內(nèi)，則應(yīng)用服務(wù)器可以直接將最近一次查詢獲得的CRL用于驗(yàn)證用戶證書的注銷狀態(tài)；k)應(yīng)用服務(wù)器根據(jù)CRL判定用戶證書的注銷狀態(tài)，或者從證書認(rèn)證機(jī)構(gòu)（CA）的OCSP服務(wù)器返回的OCSP響應(yīng)報文中獲得用戶證書的注銷狀態(tài)，若提交查詢的證書不被證書認(rèn)證機(jī)構(gòu)（CA）信任，則應(yīng)用服務(wù)器返回身份鑒別失敗信息；l)應(yīng)用服務(wù)器根據(jù)統(tǒng)一社會信用代碼識別用戶，并根據(jù)權(quán)限控制策略授權(quán)該用戶訪問相關(guān)資源；m)若以上步驟均通過，則應(yīng)用服務(wù)器返回身份鑒別成功消息。5.2要求基于統(tǒng)一社會信用代碼的移動終端數(shù)字證書身份鑒別過程應(yīng)滿足：a)移動終端數(shù)字證書應(yīng)由具有國內(nèi)電子認(rèn)證服務(wù)資格的證書認(rèn)證機(jī)構(gòu)（CA）簽發(fā)，證書認(rèn)證機(jī)構(gòu)（CA）運(yùn)營的電子認(rèn)證系統(tǒng)應(yīng)符合GB/T25056的規(guī)定，滿足證書生命周期和密鑰生命周期的管理要求；b)證書認(rèn)證機(jī)構(gòu)（CA）頒發(fā)的移動終端數(shù)字證書的格式應(yīng)滿足第6章的要求；c)密碼產(chǎn)品廠商提供的移動端密碼模塊應(yīng)滿足第7章的要求；d)應(yīng)用集成方實(shí)現(xiàn)基于統(tǒng)一社會信用代碼的移動終端數(shù)字證書的身份鑒別，應(yīng)用集成過程應(yīng)滿足第8章的要求。6數(shù)字證書格式規(guī)范6.1概述數(shù)字證書格式應(yīng)符合GB/T20518的規(guī)定。本規(guī)范要求使用X.509V3版本的公鑰證書。DB44/T2226—202066.2證書分類基于統(tǒng)一社會信用代碼的移動終端數(shù)字證書主要分為三類：——機(jī)構(gòu)數(shù)字證書：由機(jī)構(gòu)持有，代表機(jī)構(gòu)身份的數(shù)字證書；——機(jī)構(gòu)員工數(shù)字證書：由機(jī)構(gòu)里面的某一員工持有，代表該員工身份的數(shù)字證書；——移動終端設(shè)備證書：由機(jī)構(gòu)的某一移動終端設(shè)備持有，代表該移動終端設(shè)備身份的數(shù)字證書。6.3證書結(jié)構(gòu)6.3.1通則數(shù)字證書的基本結(jié)構(gòu)應(yīng)符合GB/T20518的規(guī)定，由三部分組成：基本證書域、簽名算法域、簽名值域。如圖3所示：圖3數(shù)字證書結(jié)構(gòu)示意圖6.3.2基本證書域概述本規(guī)范要求基本證書域應(yīng)符合GB/T20518-2018第5.2.2條的規(guī)定，由八部分組成：版本、序列號、簽名算法、頒發(fā)者、有效期、主體、主體公鑰信息、擴(kuò)展項(xiàng)集。不使用頒發(fā)者唯一標(biāo)識符和主體唯一標(biāo)識符這兩項(xiàng)。如圖4所示：圖4基本證書域組成DB44/T2226—20207版本數(shù)字證書版本號應(yīng)符合GB/T20518-2018第條的規(guī)定，使用X.509版本3，對應(yīng)的數(shù)值是整數(shù)“2”。序列號序列號應(yīng)符合GB/T20518-2018第條的規(guī)定，證書認(rèn)證機(jī)構(gòu)(CA)應(yīng)不使用大于20個8位字節(jié)的序列號。簽名算法簽名算法應(yīng)符合GB/T20518-2018第條的規(guī)定，應(yīng)符合國家密碼主管部門對密碼算法的規(guī)頒發(fā)者頒發(fā)者應(yīng)符合GB/T20518-2018第條的規(guī)定，頒發(fā)者的DN應(yīng)至少包括CN、O和C項(xiàng)。如表1所示：表1頒發(fā)者DN編碼規(guī)范CO有效期有效期應(yīng)符合GB/T20518-2018第條的規(guī)定。主體主體應(yīng)符合GB/T20518-2018第條的規(guī)定,主體的DN至少應(yīng)包括CN、O和C項(xiàng)。如表2所示：表2主體DN編碼規(guī)范CO主體公鑰信息DB44/T2226—20208主體公鑰信息應(yīng)符合GB/T20518-2018第條的規(guī)定。主體公鑰應(yīng)符合國家密碼主管部門對密碼算法的規(guī)定。擴(kuò)展項(xiàng)集.1擴(kuò)展項(xiàng)結(jié)構(gòu)擴(kuò)展項(xiàng)結(jié)構(gòu)應(yīng)符合GB/T20518-2018-2018第0條的規(guī)定。證書擴(kuò)展項(xiàng)結(jié)構(gòu)見圖5。數(shù)字證書應(yīng)至少包括以下擴(kuò)展項(xiàng)：a)頒發(fā)機(jī)構(gòu)密鑰標(biāo)識符；b)主體密鑰標(biāo)識符；c)密鑰用法；d)證書策略；e)基本限制；f)證書撤銷列表分發(fā)點(diǎn)；g)統(tǒng)一社會信用代碼。圖5擴(kuò)展項(xiàng)構(gòu)成6.頒發(fā)機(jī)構(gòu)密鑰標(biāo)識符頒發(fā)機(jī)構(gòu)密鑰標(biāo)識符應(yīng)符合GB/T20518-2018第.2條的規(guī)定。6.主體密鑰標(biāo)識符主體密鑰標(biāo)識符應(yīng)符合GB/T20518-2018第.3條的規(guī)定。.4密鑰用法密鑰用法應(yīng)符合GB/T20518-2018第.4條的規(guī)定，包含digitalSignature用途。6.證書策略DB44/T2226—20209證書策略應(yīng)符合GB/T20518-2018第.7條的規(guī)定,應(yīng)帶證書業(yè)務(wù)規(guī)則的訪問地址。.6基本限制基本限制應(yīng)符合GB/T20518第.12條的規(guī)定,簽發(fā)給移動終端的證書，此項(xiàng)里面的CA字段必須為FALSE。.7證書撤銷列表分發(fā)點(diǎn)證書撤銷列表分發(fā)點(diǎn)應(yīng)符合GB/T20518-2018第.15條的規(guī)定,證書認(rèn)證機(jī)構(gòu)(CA)應(yīng)支持全量CRL發(fā)布服務(wù)，并且把CRL的訪問地址寫到本擴(kuò)展，CRL的訪問協(xié)議至少應(yīng)支持HTTP。6.統(tǒng)一社會信用代碼統(tǒng)一社會信用代碼應(yīng)符合GB32100的規(guī)定,移動終端證書中應(yīng)包括本擴(kuò)展。6.3.3簽名算法域簽名算法域包含證書頒發(fā)機(jī)構(gòu)簽發(fā)該證書所使用的密碼算法的標(biāo)識符，應(yīng)符合GB/T20518-2018第5.2.2條的規(guī)定,簽名算法應(yīng)符合國家密碼主管部門對密碼算法的規(guī)定。6.3.4簽名值域簽名值域包含了對基本證書域進(jìn)行數(shù)字簽名的結(jié)果，應(yīng)符合GB/T20518-2018第5.2.2條的規(guī)定,簽名算法應(yīng)符合國家密碼主管部門對密碼算法的規(guī)定。6.4主體命名規(guī)范6.4.1機(jī)構(gòu)證書組織機(jī)構(gòu)證書的主體DN為:C=國家代碼S=省份（可選），如“廣東省”L=城市（可選），如“廣州市”O(jiān)=機(jī)構(gòu)名稱，如“廣州市XXX公司”CN=機(jī)構(gòu)或部門名稱，如“廣州市XXX公司XXX部門”6.4.2機(jī)構(gòu)員工證書機(jī)構(gòu)員工數(shù)字證書的主體DN為：C=國家代碼S=省份（可選），如“廣東省”L=城市（可選），如“廣州市”O(jiān)=機(jī)構(gòu)名稱，如“廣州市XXX公司”CN=用戶姓名，如“張三”6.4.3移動終端設(shè)備證書機(jī)構(gòu)擁有的移動終端設(shè)備數(shù)字證書的主體DN為:DB44/T2226—2020C=國家代碼S=省份（可選），如“廣東省”L=城市（可選），如“廣州市”O(jiān)=機(jī)構(gòu)名稱，如“廣州市XXX公司”CN=終端標(biāo)識7移動端密碼模塊的技術(shù)要求7.1算法要求移動端密碼模塊支持的密碼算法應(yīng)符合國家密碼主管部門對密碼算法的規(guī)定，算法標(biāo)識應(yīng)符合GB/T33560的規(guī)定。7.2安全性要求移動端密碼模塊應(yīng)經(jīng)過國家密碼主管部門的安全檢測，安全性應(yīng)符合GB/T37092規(guī)定的安全二級及以上的要求。7.3資質(zhì)要求移動端密碼模塊所用的產(chǎn)品應(yīng)獲得國家密碼主管部門頒發(fā)的商用密碼產(chǎn)品型號證書。7.4軟件接口要求移動端密碼模塊應(yīng)提供配套軟件接口，軟件接口應(yīng)符合GB/T35291的規(guī)定。8應(yīng)用集成規(guī)范8.1技術(shù)要求應(yīng)用系統(tǒng)實(shí)施的證書認(rèn)證登錄應(yīng)滿足：a)應(yīng)用調(diào)用數(shù)字證書做身份鑒別的軟件接口應(yīng)符合GM/T0020的規(guī)定；b)能防重放攻擊，保證登錄認(rèn)證報文被竊取后，不能用來重放登錄；c)對登錄證書應(yīng)做證書信任鏈驗(yàn)證或信任狀態(tài)驗(yàn)證，保證只有受信任的證書認(rèn)證機(jī)構(gòu)（CA）頒發(fā)的數(shù)字證書才能登錄到應(yīng)用系統(tǒng)；d)對登錄證書應(yīng)做有效期檢查，保證在有