ICS35.220DB44Thespecificationofidentityauthenticationofmobileterminalinstitutionsbasedontheunifiedsocial廣東省市場監督管理局發布IDB44/T2226—2020前言 12規范性引用文件 13術語和定義 14縮略語 25身份鑒別機制與流程 25.1機制 25.2要求 56數字證書格式規范 56.1概述 56.2證書分類 66.3證書結構 66.4主體命名規范 7移動端密碼模塊的技術要求 107.1算法要求 7.2安全性要求 7.3資質要求 7.4軟件接口要求 8應用集成規范 8.1技術要求 8.2工作步驟 附錄A（資料性附錄）證書的結構 12附錄B（資料性附錄）身份鑒別數據結構 DB44/T2226—2020本標準按GB/T1.1-2009給出的規則起草。本標準由廣東省標準化研究院提出。本標準由本標準由廣東省信息技術標準化技術委員會歸口。本標準起草單位：廣東省標準化研究院、廣州市標準化研究院、廣東省電子商務認證有限公司、數安時代科技股份有限公司。本標準主要起草人：陳賢明、郭龍祥、胡靜、黃燕玲、盧朝金、張立盈、陳木來、肖曉赟、林澤虹、陳雨、丘詩雅、鄒學成、李興勤、黃潤飛。1DB44/T2226—2020基于統一社會信用代碼的移動終端身份認證技術規范本標準規定了基于統一社會信用代碼的移動終端身份認證的術語和定義、縮略語、身份鑒別機制與流程、數字證書格式規范、移動端密碼模塊的技術要求和應用集成規范。本標準適用于我省信息化建設中應用統一社會信用代碼開展移動終端數字證書身份認證服務。2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T15843.3-2016信息技術安全技術實體鑒別第3部分：采用數字簽名技術的機制（ISO/IEC9798-3：2010，IDT）GB/T20518-2018信息安全技術公鑰基礎設施數字證書格式GB/T25056-2018信息安全技術證書認證系統密碼及其相關安全技術規范GB32100-2015法人和其他組織統一社會信用代碼編碼規則GB/T33560-2017信息安全技術密碼應用標識規范GB/T35275-2017信息安全技術SM2密碼算法加密簽名消息語法規范GB/T35291-2017智能密碼鑰匙密碼應用接口規范GB/T37092-2018密碼模塊安全技術要求GM/T0020-2012證書應用綜合服務接口規范3術語和定義以下術語和定義適用于本文件。3.1證書認證機構（CA）certificateauthority（CA）受用戶信任，負責創建和分配證書的權威機構。證書認證機構(CA)也可以為用戶創建密鑰。[GB/T20518-2018，定義3.5]3.2數字證書digitalcertificate由國家認可的，具有權威性、可信性和公正性的第三方證書認證機構（CA）進行數字簽名的一個可信的數字化文件。[GB/T20518-2018，定義3.7]3.32DB44/T2226—2020公鑰證書publickeycertificate用戶的公鑰連同其他信息，并由發布該證書的證書認證機構（CA）的私鑰進行加密使其不可偽造。[GB/T20518-2018，定義3.2]3.4證書注銷列表（CRL）certificaterevocationlist（CRL）一個已標識的列表，它指定了一套證書頒發者確認為無效的證書。除了普通CRL外，還定義了一些特殊的CRL類型用于覆蓋特殊領域的CRLs。[GB/T20518-2018，定義3.3]3.5證書序列號certificateserialnumber在證書認證機構(CA)頒發的證書范圍內為每個證書分配的一個整數值。此整數值對于該證書認證機構(CA)所頒發的每一張證書必須是唯一的。[GB/T20518-2018，定義3.4]3.6統一社會信用代碼unifiedsocialcreditidentifier每一個法人和其他組織在全國范圍內唯一的、終身不變的法定身份識別碼。[GB32100-2015，定義3.5]3.7移動終端mobileterminal能夠接入移動通信網，具有能夠提供應用程序開發接口的開放操作系統，并能夠安裝和運行應用軟件的便攜式電子設備，包括手機、筆記本、平板電腦、POS機等。4縮略語下列縮略語適用于本文件。ASN：抽象語法表示法（AbstractSyntaxNotation）CA：證書認證機構（CertificationAuthority）CRL：證書注銷列表（CertificateRevocationList）DER：可區分編碼規則（DistinguishedEncodingRules）DN：可辨別名（DistinguishedName）OID：對象標識符（ObjectIdentifier）RA：證書注冊機構（RegistrationAuthority）OCSP:在線證書狀態協議(OnlineCertificateStatusProtocol)5身份鑒別機制與流程5.1機制5.1.1體系架構3DB44/T2226—2020身份鑒別體系架構見圖1。圖1身份鑒別體系架構身份鑒別體系架構，包括以下參與方：a)證書認證機構（CA作為信任的基礎，為移動終端用戶的身份真實性負責，通過審核移動終端用戶及其所屬機構的身份后，為合法持有統一社會信用代碼的企業／組織及其員工、移動終端頒發數字證書；同時，證書認證機構(CA)為應用服務器提供移動終端數字證書有效性驗證服務（如證書信任列表、CRL、OCSP等）；b)應用服務器：為移動終端提供信息處理服務，提供信息處理服務前，需要先鑒別移動終端的身份；c)移動終端：用戶持有的移動終端，通過證書認證登錄到應用服務器進行信息處理操作。移動終端應包括以下部分：1)移動終端應用：用戶提供業務操作功能前，通過調用證書應用綜合服務接口，并實現與應用服務器的安全信息交互，執行身份鑒別流程；4DB44/T2226—20202)證書應用綜合服務接口：提供證書應用層接口，主要包括證書的編碼解碼、登錄表單簽名等功能，應符合GM/T0020的規定。本接口通過智能密碼鑰匙應用接口完成與移動端密碼模塊的交互；3)智能密碼鑰匙應用接口：提供移動端密碼模塊的軟件訪問接口，主要包括PIN認證、證書讀取、密碼運算等功能，應符合GB/T35291的規定；4)移動端密碼模塊：內置SE模塊、SDKey、SIMKey、藍牙Key、軟件密碼模塊等，主要提供密鑰的產生和安全存儲、密碼運算等功能，安全性應符合GB/T37092安全二級及以上的規定。5.1.2身份鑒別流程單向鑒別的兩次傳遞機制應符合GB/T15843.3的規定，聲稱方是移動終端，驗證方是應用服務器。移動終端的權標應按照GB/T35275的SignedData結構的要求，簽名內容為應用服務器返回的隨機數（挑戰碼），SignedData移動終端的簽名證書。身份鑒別流程如圖2。圖2身份鑒別流程5DB44/T2226—2020身份鑒別流程步驟如下：a)移動終端向應用服務器提出身份鑒別申請；b)應用服務器產生隨機數挑戰碼，隨機數為長度不短于16字節的整數；c)應用服務器返回挑戰碼，移動終端對挑戰碼執行數字簽名；d)移動終端使用數字證書私鑰對挑戰碼做簽名，并組裝SignedData數據結構（參考附錄B），簽名內容為挑戰碼，內容類型標識符應標識為數據類型，證書列表域要帶用戶證書。如果是SM2相關的簽名算法，OID應符合GB/T35275的規定，否則，應符合RFC5652的規定；e)移動終端提交SignedData作為權標；f)應用服務器從權標中提取被簽名內容，比較和前面產生的挑戰碼是否一致，若不一致，返回身份鑒別失敗信息；g)應用服務器按本規范的證書格式獲取用戶的統一社會信用代碼，若證書中沒有包含用戶的統一社會信用代碼，則返回身份鑒別失敗消息；h)應用服務器從權標中提取用戶證書公鑰，從權標(Token)中提取簽名值，并使用證書公鑰驗證簽名的有效性，確認移動終端持有用戶證書對應的私鑰，若簽名無效則返回身份鑒別失敗消息；i)應用服務器驗證用戶證書的有效性，包括證書信任鏈、證書頒發者簽名、證書是否在有效期內、密鑰用法、擴展密鑰用法、基本限制、名字限制、證書策略等，若證書無效，則返回身份鑒別失敗信息；j)應用服務器向證書認證機構（CA）發出在線申請，查詢頒發該數字證書的運營證書認證機構(CA)簽發的CRL，或者直接提交OCSP請求報文，驗證用戶證書的注銷狀態；如果基于CRL驗證用戶證書的注銷狀態，并且上一次查詢獲得CRL尚在有效期內，則應用服務器可以直接將最近一次查詢獲得的CRL用于驗證用戶證書的注銷狀態；k)應用服務器根據CRL判定用戶證書的注銷狀態，或者從證書認證機構（CA）的OCSP服務器返回的OCSP響應報文中獲得用戶證書的注銷狀態，若提交查詢的證書不被證書認證機構（CA）信任，則應用服務器返回身份鑒別失敗信息；l)應用服務器根據統一社會信用代碼識別用戶，并根據權限控制策略授權該用戶訪問相關資源；m)若以上步驟均通過，則應用服務器返回身份鑒別成功消息。5.2要求基于統一社會信用代碼的移動終端數字證書身份鑒別過程應滿足：a)移動終端數字證書應由具有國內電子認證服務資格的證書認證機構（CA）簽發，證書認證機構（CA）運營的電子認證系統應符合GB/T25056的規定，滿足證書生命周期和密鑰生命周期的管理要求；b)證書認證機構（CA）頒發的移動終端數字證書的格式應滿足第6章的要求；c)密碼產品廠商提供的移動端密碼模塊應滿足第7章的要求；d)應用集成方實現基于統一社會信用代碼的移動終端數字證書的身份鑒別，應用集成過程應滿足第8章的要求。6數字證書格式規范6.1概述數字證書格式應符合GB/T20518的規定。本規范要求使用X.509V3版本的公鑰證書。6DB44/T2226—20206.2證書分類基于統一社會信用代碼的移動終端數字證書主要分為三類：——機構數字證書：由機構持有，代表機構身份的數字證書；——機構員工數字證書：由機構里面的某一員工持有，代表該員工身份的數字證書；——移動終端設備證書：由機構的某一移動終端設備持有，代表該移動終端設備身份的數字證書。6.3證書結構6.3.1通則數字證書的基本結構應符合GB/T20518的規定，由三部分組成：基本證書域、簽名算法域、簽名值域。如圖3所示：圖3數字證書結構示意圖6.3.2基本證書域概述本規范要求基本證書域應符合GB/T20518-2018第5.2.2條的規定，由八部分組成：版本、序列號、簽名算法、頒發者、有效期、主體、主體公鑰信息、擴展項集。不使用頒發者唯一標識符和主體唯一標識符這兩項。如圖4所示：圖4基本證書域組成7DB44/T2226—2020版本數字證書版本號應符合GB/T20518-2018第條的規定，使用X.509版本3，對應的數值是整數“2”。序列號序列號應符合GB/T20518-2018第條的規定，證書認證機構(CA)應不使用大于20個8位字節的序列號。簽名算法簽名算法應符合GB/T20518-2018第條的規定，應符合國家密碼主管部門對密碼算法的規頒發者頒發者應符合GB/T20518-2018第條的規定，頒發者的DN應至少包括CN、O和C項。如表1所示：表1頒發者DN編碼規范CO有效期有效期應符合GB/T20518-2018第條的規定。主體主體應符合GB/T20518-2018第條的規定,主體的DN至少應包括CN、O和C項。如表2所示：表2主體DN編碼規范CO主體公鑰信息8DB44/T2226—2020主體公鑰信息應符合GB/T20518-2018第條的規定。主體公鑰應符合國家密碼主管部門對密碼算法的規定。擴展項集.1擴展項結構擴展項結構應符合GB/T20518-2018-2018第0條的規定。證書擴展項結構見圖5。數字證書應至少包括以下擴展項：a)頒發機構密鑰標識符；b)主體密鑰標識符；c)密鑰用法；d)證書策略；e)基本限制；f)證書撤銷列表分發點；g)統一社會信用代碼。圖5擴展項構成6.頒發機構密鑰標識符頒發機構密鑰標識符應符合GB/T20518-2018第.2條的規定。6.主體密鑰標識符主體密鑰標識符應符合GB/T20518-2018第.3條的規定。.4密鑰用法密鑰用法應符合GB/T20518-2018第.4條的規定，包含digitalSignature用途。6.證書策略9DB44/T2226—2020證書策略應符合GB/T20518-2018第.7條的規定,應帶證書業務規則的訪問地址。.6基本限制基本限制應符合GB/T20518第.12條的規定,簽發給移動終端的證書，此項里面的CA字段必須為FALSE。.7證書撤銷列表分發點證書撤銷列表分發點應符合GB/T20518-2018第.15條的規定,證書認證機構(CA)應支持全量CRL發布服務，并且把CRL的訪問地址寫到本擴展，CRL的訪問協議至少應支持HTTP。6.統一社會信用代碼統一社會信用代碼應符合GB32100的規定,移動終端證書中應包括本擴展。6.3.3簽名算法域簽名算法域包含證書頒發機構簽發該證書所使用的密碼算法的標識符，應符合GB/T20518-2018第5.2.2條的規定,簽名算法應符合國家密碼主管部門對密碼算法的規定。6.3.4簽名值域簽名值域包含了對基本證書域進行數字簽名的結果，應符合GB/T20518-2018第5.2.2條的規定,簽名算法應符合國家密碼主管部門對密碼算法的規定。6.4主體命名規范6.4.1機構證書組織機構證書的主體DN為:C=國家代碼S=省份（可選），如“廣東省”L=城市（可選），如“廣州市”O=機構名稱，如“廣州市XXX公司”CN=機構或部門名稱，如“廣州市XXX公司XXX部門”6.4.2機構員工證書機構員工數字證書的主體DN為：C=國家代碼S=省份（可選），如“廣東省”L=城市（可選），如“廣州市”O=機構名稱，如“廣州市XXX公司”CN=用戶姓名，如“張三”6.4.3移動終端設備證書機構擁有的移動終端設備數字證書的主體DN為:DB44/T2226—2020C=國家代碼S=省份（可選），如“廣東省”L=城市（可選），如“廣州市”O=機構名稱，如“廣州市XXX公司”CN=終端標識7移動端密碼模塊的技術要求7.1算法要求移動端密碼模塊支持的密碼算法應符合國家密碼主管部門對密碼算法的規定，算法標識應符合GB/T33560的規定。7.2安全性要求移動端密碼模塊應經過國家密碼主管部門的安全檢測，安全性應符合GB/T37092規定的安全二級及以上的要求。7.3資質要求移動端密碼模塊所用的產品應獲得國家密碼主管部門頒發的商用密碼產品型號證書。7.4軟件接口要求移動端密碼模塊應提供配套軟件接口，軟件接口應符合GB/T35291的規定。8應用集成規范8.1技術要求應用系統實施的證書認證登錄應滿足：a)應用調用數字證書做身份鑒別的軟件接口應符合GM/T0020的規定；b)能防重放攻擊，保證登錄認證報文被竊取后，不能用來重放登錄；c)對登錄證書應做證書信任鏈驗證或信任狀態驗證，保證只有受信任的證書認證機構（CA）頒發的數字證書才能登錄到應用系統；d)對登錄證書應做有效期檢查，保證在有效期范圍內的證書才能登錄到應用系統；e)對登