[PDF] GM/T 0113-2021 - 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| GM/T 0113-2021 | 605 | GM/T 0113-2021 | 9秒内发货PDF | 在线快捷身份鉴别协议 |
| 基本信息 | |
|---|---|
| 标准编号 | GM/T 0113-2021 (GM/T0113-2021) |
| 中文名称 | 在线快捷身份鉴别协议 |
| 英文名称 | Fast online identity authentication protocol |
| 行业 | Chinese Industry Standard (推荐) |
| 中标分类 | L80 |
| 字数估计 | 41,491 |
| 发布日期 | 2021-10-18 |
| 实施日期 | 2022-05-01 |
| 发布机构 | 国家密码管理局 |
GM/T 0113-2021: 在线快捷身份鉴别协议
ICS 35.030
L80
中华人民共和国密码行业标准
在线快捷身份鉴别协议
2021-10-18发布
2022-05-01实施
国家密码管理局 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 通用在线快捷身份鉴别协议 2
5.1 协议架构 2
5.2 协议消息相关数据结构 5
5.3 协议流程和要求 9
6 双因素在线快捷身份鉴别协议 15
6.1 协议架构 15
6.2 协议消息框架 17
6.3 协议流程和要求 19
附录A(资料性) 安全风险及措施建议 28
附录B(资料性) 可信环境实现方式 31
附录C(资料性) 协议接口 32
参考文献 36
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件由密码行业标准化技术委员会提出并归口。
本文件起草单位:中国科学院数据与通信保护研究教育中心、联想(北京)有限公司、中国科学院大
学、国民认证科技(北京)有限公司、北京数字认证股份有限公司、浙江蚂蚁小微金融服务集团有限公司、
北京天融信网络安全技术有限公司、中国科学院信息工程研究所、飞天诚信科技股份有限公司、成都卫
士通信息产业股份有限公司、中国金融认证中心、吉大正元信息技术股份有限公司、中孚信息股份有限
公司、杭州天谷信息科技有限公司、神州融安科技(北京)有限公司、北京握奇智能科技有限公司、郑州信
大捷安信息技术股份有限公司、北京眼神智能科技有限公司。
本文件主要起草人:钱文飞、赵欣怡、贾世杰、刘丽敏、柴海新、荆继武、李俊、张永强、宋铮、景鸿理、
王平建、牛莹姣、高彪、吕娜、陈天宇、张咪、朱鹏飞、罗俊、孙国栋、赵丽丽、苗功勋、程亮、李登峰、张渊、
刘熙胖、杨春林。
在线快捷身份鉴别协议
1 范围
本文件规定了在线快捷身份鉴别协议,包括通用在线快捷身份鉴别协议、双因素在线快捷身份鉴别
协议等内容。
本文件适用于在线快捷身份鉴别服务的开发、测试和评估。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 16262(所有部分) 抽象语法记法(ASN.1)
GB/T 16649.4 识别卡 集成电路卡 第4部分:用于交换的结构、安全和命令
GB/T 25069 信息安全技术 术语
GB/T 32905 信息安全技术 SM3密码杂凑算法
GB/T 32918(所有部分) 信息安全技术 SM2椭圆曲线公钥密码算法
GB/T 35276 信息安全技术 SM2密码算法使用规范
GB/T 36651 信息安全技术 基于可信环境的生物特征识别身份鉴别协议框架
GB/T 37092 信息安全技术 密码模块安全要求
GB/T 38636 信息安全技术 传输层密码协议(TLCP)
GM/Z4001 密码术语
3 术语和定义
GB/T 25069、GB/T 36651、GM/Z4001界定的以及下列术语和定义适用于本文件。
3.1
鉴别客户端 authenticationclient
在用户代理中处理双因素身份鉴别协议消息的软件组件,用于双因素身份鉴别协议中用户代理与
鉴别器之间的通信。
3.2
由鉴别客户端提供的协议接口,用于双因素身份鉴别协议中用户代理与鉴别客户端之间的通信。
3.3
分配给同一型号生物特征识别密钥管理器的唯一标识符,依赖方可通过该标识符唯一确定厂商
公钥。
3.4
用户代理 useragent
安装在用户设备上的浏览器或者其他应用程序。
4 缩略语
下列缩略语适用于本文件。
KeyID:密钥标识符(KeyIdentifier)
5 通用在线快捷身份鉴别协议
5.1 协议架构
5.1.1 概述
通用在线快捷身份鉴别协议借助智能设备,结合生物特征识别技术,提供了无口令、安全性能高、使
用方便的身份鉴别方案,该协议在GB/T 36651规定的基于可信环境的生物特征识别身份鉴别协议框
架基础上,针对协议架构、协议流程和要求等进行了细化,并在协议流程和要求中规定了协议的相关消
息数据格式。其中,安全风险及措施建议见附录A,关于可信环境实现方式见附录B,关于协议接口见
附录C。在实际部署过程中使用的商用密码产品,应当由具备资格的商用密码检测、认证机构检测认证
合格后,方可部署到实际系统中。
在执行通用在线快捷身份鉴别协议之前,身份鉴别服务器通过用户代理调用生物特征识别密钥管
理器接口的发现方法,检查用户设备是否支持通用在线快捷身份鉴别协议。本文件不规定身份鉴别服
务器获取生物特征识别密钥管理器相关信息以及厂商公钥信息的方式,身份鉴别服务器可利用生物特
征识别密钥管理器接口的发现方法中返回的结果,通过生物特征识别密钥管理器相关提供方的服务来
获取这些信息。
通用在线快捷身份鉴别协议的交互图如图1所示。其中,图中实线表示消息流由图例中的左侧实
体到右侧实体,虚线部分表示消息流由图例中的右侧实体到左侧实体或者是重定向消息流,双向箭头表
示两个实体进行交互以完成某操作,跨越实体的虚线表示其他实体通过该实体进行通信,后续交互图中
均以此说明为准。图中采用HTTP重定向方式对协议交互情况进行说明。
图1 协议交互图
用户身份鉴别流程主要分为8个步骤:
a) 用户使用用户设备中的用户代理访问依赖方;
b) 依赖方将用户代理重定向至身份服务提供方;
c) 身份服务提供方向用户代理发送鉴别请求;
d) 用户使用用户设备的鉴别器进行身份验证;
e) 用户身份验证通过后,鉴别器将鉴别响应通过用户代理传递给身份服务提供方;
f) 身份服务提供方对鉴别响应进行验证;
g) 身份服务提供方通过用户代理将身份鉴别结果重定向至依赖方。
5.1.2 注册
在用户向身份鉴别服务器进行注册的流程中,用户使用生物特征识别密钥管理器创建一对新的鉴
别公私钥并且将鉴别私钥保存在生物特征识别密钥管理器中,将鉴别公钥注册在身份鉴别服务器中。
注册流程如图2所示,图中采用HTTP重定向方式对协议流程进行说明,详细流程和消息见5.3.1。
图2 注册/鉴别流程
a) 用户使用用户设备中的用户代理访问依赖方。
b) 当用户需要进行生物特征识别身份鉴别注册时,依赖方将用户定向到身份鉴别服务器。可使
用HTTP重定向方式将用户设备重定向到身份鉴别服务器,或者使用消息转发方式。
c) 身份鉴别服务器向用户设备中的生物特征识别密钥管理器发送注册请求消息;用户设备的生
物特征识别密钥管理器在收到身份鉴别服务器的注册请求消息时,验证身份鉴别服务器的真
实性,验证通过则提示用户选择本地可用的生物特征识别器,否则拒绝该消息。本文件中涉及
生物特征识别密钥管理器验证身份鉴别服务器真实性的方法,宜采用证书方式或者其他可验
证身份鉴别服务器真实性的方法。
d) 用户选择本地合适的生物特征识别器,使用生物特征识别信息解锁生物特征识别密钥管理
器,完成用户生物特征识别验证。如果用户之前未将生物特征识别信息登记到该生物特征识
别器,则进行登记;如果用户已进行登记,则使用已登记的生物特征识别信息完成解锁过程。
用户生物特征识别验证成功后,生物特征识别密钥管理器创建一对与生物特征识别密钥管理
器、身份鉴别服务器相关联的唯一的鉴别公私钥,鉴别私钥保存在本地的生物特征识别密钥管
理器,并且不允许从生物特征识别密钥管理器导出。如果生物特征识别密钥管理器没有能力
保存鉴别私钥,则该生物特征识别密钥管理器将鉴别私钥进行加密,然后将加密后的鉴别私钥
保存在用户设备中,用于加密用户私钥的密钥则保存在生物特征识别密钥管理器中并且不允
许从生物特征识别密钥管理器导出;本协议中有关密钥等关键安全参数的全生命周期管理或
安全管理的要求应符合GB/T 37092的规定。
e) 生物特征识别密钥管理器生成密钥注册数据,然后生成注册响应消息,将注册响应消息发送到
身份鉴别服务器。其中,密钥注册数据中包含上一步生成的鉴别公钥,注册响应消息中包含密
钥注册数据,以及使用厂商私钥对密钥注册数据进行签名的签名值。厂商公私钥为用户设备
制造厂商在生物特征识别密钥管理器中预先植入的用于证明生物特征识别密钥管理器身份的
密钥对。
f) 身份鉴别服务器通过5.2.7的生物特征识别密钥管理器信息获取厂商公钥,利用厂商公钥验证
注册响应消息中的签名,签名正确则提取出鉴别公钥并保存该鉴别公钥,同时应保存该鉴别公
钥与用户之间的对应关系。
g) 身份鉴别服务器将注册结果返回给依赖方。
5.1.3 鉴别
在鉴别流程中,用户通过生物特征识别密钥管理器使用鉴别私钥对服务器挑战签名,向身份鉴别服
务器证明其拥有该私钥,完成身份鉴别过程。鉴别流程如图2所示,图中采用 HTTP重定向方式对协
议流程进行说明,协议详细流程和消息见5.3.2。
a) 用户使用用户设备中的用户代理访问依赖方。
b) 当用户需要进行生物特征识别身份鉴别时,依赖方将用户定向到身份鉴别服务器,可使用
HTTP重定向方式将用户设备重定向到身份鉴别服务器,或者使用消息转发方式。
c) 身份鉴别服务器向用户设备中的生物特征识别密钥管理器发送鉴别请求消息;用户设备的生
物特征识别密钥管理器在收到身份鉴别服务器的鉴别请求消息时,验证身份鉴别服务器的真
实性,验证通过则提示用户选择可用的生物特征识别器,否则拒绝该消息。本文件中涉及生物
特征识别密钥管理器验证身份鉴别服务器真实性的方法,宜采用证书方式或者其他可验证身
份鉴别服务器真实性的方法。
d) 用户选择本地合适的生物特征识别器,使用生物特征识别信息解锁存储在生物特征识别密钥
管理器中的用户鉴别私钥,完成用户生物特征识别验证。用户生物特征识别验证成功后,生物
特征识别密钥管理器选择相应的鉴别私钥对待签名数据签名。
e) 生物特征识别密钥管理器将包含签名结果的鉴别响应消息发送到身份鉴别服务器。
f) 身份鉴别服务器使用相应的鉴别公钥对签名进行验证,验证成功后,用户身份鉴别成功,否则
用户身份鉴别失败。
g) 身份鉴别服务器将鉴别结果返回给依赖方。
5.1.4 注销
当用户删除在依赖方注册的账户,或丢失用户设备,或依赖方在需要删除用户绑定的公私钥等情形
下,身份鉴别服务器应发起注销流程。其中,身份鉴别服务器在执行注销流程前应鉴别用户的身份,应
使用5.1.3中规定的鉴别流程,若无法使用上述鉴别流程,则使用其他身份鉴别方式,例如线下身份鉴
别方式。具体注销流程如图3所示,图中采用 HTTP重定向方式对协议流程进行说明,图中为完整的
注销流程,若丢失用户设备,则不需要向生物特征识别密钥管理器发送注销请求消息。
图3 注销流程
a) 用户使用用户设备中的用户代理向依赖方发起注销流程。
b) 依赖方将用户定向到身份鉴别服务器,可使用HTTP重定向方式将用户设备重定向到身份鉴
别服务器,或者使用消息转发方式。首先进行用户的身份鉴别,鉴别通过后执行后续注销流
程,否则拒绝执行注销流程。
c) 身份鉴别服务器删除相应的鉴别公钥,并向生物特征识别密钥管理器发送注销请求消息。
d) 用户设备的生物特征识别密钥管理器在收到身份鉴别服务器的注销请求消息时,验证身份鉴
别服务器的真实性,验证通过则删除相应的鉴别私钥,否则拒绝该消息。
5.2 协议消息相关数据结构
5.2.1 概述
通用在线快捷身份鉴别协议所有数据格式采用GB/T 16262描述。
5.2.2 版本
Version::=SEQUENCE{
major INTEGER,
minor INTEGER
major:主要版本。
minor:次要版本。
本文件的协议主要版本为1,次要版本为0。
5.2.3 操作类型
Operation::=PrintableString
本文件有以下三种操作类型:
Reg:注册,Operation值为“Reg”。
Auth:鉴别,Operation值为“Auth”。
Dereg:注销,Operation值为“Dereg”。
5.2.4 扩展
Extension::=SEQUENCE{
id PrintableString,
data PrintableString,
fail_if_unknown BOOLEAN
该结构描述的是在各种操作中使用的通用扩展。
id:扩展的标识符。
data:该值可包含任意字符串,身份鉴别服务器和生物特征识别密钥管理器应对该值的语义协商一
致。该值可为空。
fail_if_unknown:当fail_if_unknown是false时表示未知扩展应被忽略,当fail_if_unknown是true
时表示未知扩展应导致错误。
5.2.5 操作头
OperationHeader::=SEQUENCE{
bapv Version,
op Operation,
appID PrintableString,
bapv:在线快捷身份鉴别协议版本,抽象语法标记(ASN.1)描述见5.2.2。
op:值应为“Reg”,“Auth”或者“Dereg”,在线快捷身份鉴别协议操作的类型,ASN.1描述见5.2.3。
appID:依赖方应用程序标识符。
serverData:依赖方创建的会话标识符。
exts:扩展列表,ASN.1描述见5.2.4。
5.2.6 最终挑战参数
FinalChalengeParams::=SEQUENCE{
appID PrintableString,
chalenge:该参数值设置为注册请求或鉴别请求中的服务器挑战参数值,服务器挑战是服务器提供
的随机参数值。
5.2.7 生物特征识别密钥管理器信息
身份鉴别服务器可获取生物特征识别密钥管理器相关信息,例如生物特征识别密钥管理器厂商在
生成厂商密钥时所使用的相关算法和信息,以及生物特征识别密钥管理器生成鉴别公私钥时所使用的
相关算法和信息。身份鉴别服务器可使用生物特征识别密钥管理器相关提供方的服务来获取这些
信息。
5.2.8 断言描述信息
AssertionInfo::=SEQUENCE{
version Version,
mode AuthenticationMode,
mode:断言模式。
AuthenticationMode:用户验证方式,ASN.1描述如下:
AuthenticationMode::=INTEGER{explicitly(0x01)}
理器应对该值的语义协商一致,即能够通过该值在身份鉴别过程中使用一致的签名算法和相关参数。
在通用在线快捷身份鉴别协议中,宜采用SM2算法,SM2算法的实现应符合GB/T 32918的规定,该值
为0x0007。
理器应对该值的语义协商一致,即能够通过该值在身份鉴别过程中使用一致的公钥算法和相关参数。
在通用在线快捷身份鉴别协议中,宜采用SM2算法,SM2算法的实现应符合GB/T 32918的规定,该值
为0x0007。
5.2.9 生物特征识别密钥管理器计数器值
Counters::=SEQUENCE{
SignCounter INTEGER,
RegCounter INTEGER
SignCounter:签名计数器的值。
RegCounter:注册计数器的值。
5.2.10 发现数据
DiscoveryData::=SEQUENCE{
描述:
clientVendor:生物特征识别密钥管理器厂商。
clientVersion:生物特征识别密钥管理器版本。
5.2.11 错误码
ErrorCode::=INTEGER{
NO_ERROR(0x0),
WAIT_USER_ACTION(0x1),
INSECURE_TRANSPORT(0x2),
USER_CANCELLED(0x3),
NO_SUITABLE_BAPKEYMANAGER(0x5),
KEY_DISAPPEARED_PERMANENTLY(0x09),
USER_LOCKOUT(0x10),
USER_NOT_ENROLLED(0x11),
描述:
NO_ERROR:操作完成,没有错误发生。
WAIT_USER_ACTION:等待用户操作。
INSECURE_TRANSPORT:不安全的传输,例如没有使用HTTPS。
USER_CANCELLED:用户取消当前操作。
UNSUPPORTED_VERSION:生物特征识别密钥管理器不支持该版本的协议消息。
NO_SUITABLE_BAPKEYMANAGER:没有与身份鉴别服务器策略相匹配的生物特征识别密钥
管理器。
PROTOCOL_ERROR:发生协议错误。
UNTRUSTED_FACET_ID:不受信任的依赖方应用程序。
KEY_DISAPPEARED_PERMANENTLY:鉴别私钥丢失并且无法恢复。
BAPKEYMANAGER_ACCESS_DENIED:生物特征识别密钥管理器拒绝访问。
USER_NOT_RESPONSIVE:用户长时间无响应。
INSUFFICIENT_BAPKEYMANAGER_RESOURCES:生物特征识别密钥管理器没有足够的资
源执行操作。
USER_LOCKOUT:由于用户锁定,操作无法执行。
USER_NOT_ENROLLED:用户没有登记。
UNKNOWN:以上没有列出的其他错误。
5.2.12 协议消息
协议消息是通用在线快捷身份鉴别协议的各个参与方交互时传递的消息,ASN.1描述如下:
BAPMessage::=SEQUENCE{
注销请求消息等。
additionalData:附加参数。
5.3 协议流程和要求
5.3.1 注册流程
5.3.1.1 概述
图4描述用户注册流程,本流程中用户访问依赖方进行用户名和口令验证的过程作为注册流程的
前提条件,不在本流程中进行说明。
图4 注册/鉴别详细流程
a) 用户通过用户代理访问依赖方,发起注册流程。
b) 依赖方将用户重定向到身份鉴别服务器。
c) 身份鉴别服务器生成注册请求消息,见5.3.1.2.1a)步骤。
d) 身份鉴别服务器通过用户代理将注册请求消息发送至生物特征识别密钥管理器,见5.3.1.2.1
a)步骤。
e) 生物特征识别密钥管理器首先验证身份鉴别服务器的真实性,然后生物特征识别密钥管理器
发起本地用户校验,提示用户使用生物特征识别信息进行身份验证,见5.3.1.2.2a)、b)步骤。
f) 用户提交生物识别信息,例如指纹、虹膜等信息。
g) 生物特征识别密钥管理器验证用户提交的生物识别信息,验证通过后,生成一对新的鉴别公
私钥,然后生成注册响应消息,注册响应消息中包含使用厂商私钥对鉴别公钥等信息的签名,
见5.3.1.2.2c)、d)步骤。
h) 生物特征识别密钥管理器通过用户代理将注册响应消息返回给身份鉴别服务器,见5.3.1.2.2
e)步骤。
i) 身份鉴别服务器使用厂商公钥验证注册响应消息,验证成功后存储相关信息,否则返回错误信
息,见5.3.1.2.3a)~c)步骤。
j) 身份鉴别服务器将结果返回给依赖方。
5.3.1.2 注册流程处理规则
5.3.1.2.1 身份鉴别服务器生成注册请求规则
身份鉴别服务器应遵循以下步骤:
a) 创建注册请求消息,并初始化注册请求消息的各个参数。注册请求消息格式如下:
RegistrationRequest::=SEQUENCE{
header OperationHeader,
chalenge:身份鉴别服务器提供的挑战值。
username:用户在某依赖方的账号名称;
b) 将注册请求消息发送给生物特征识别密钥管理器。
5.3.1.2.2 生物特征识别密钥管理器处理注册请求规则
生物特征识别密钥管理器应遵循以下步骤:
a) 验证身份鉴别服务器的真实性,验证成功则执行以下步骤,否则拒绝该消息;
b) 解析注册请求消息,判断注册请求消息是否包含必要的参数以及每个参数是否符合要求,若
符合要求则执行以下步骤,否则拒绝该消息;
c) 提示用户选择本地生物特征识别器,用户选择后,使用用户选择的本地生物特征识别器验证用
户,验证通过后执行以下操作,否则返回错误;
d) 创建注册响应消息,并根据注册请求消息的参数初始化注册响应消息的参数。注册响应消息
格式如下:
header OperationHeader,
fcParams:最终挑战参数FinalChalengeParams,ASN.1描述见5.2.6。该参数使用 UTF8编
码,然后使用[RFC4627]定义的序列化方法序列化后,再使用base64url[RFC4648]对其进行编码
后的值。
assertions:注册请求断言,生物特征识别密钥管理器的响应数据,ASN.1描述如下:
assertionScheme PrintableString,
exts:生物特征识别密钥管理器支持的扩展,ASN.1描述见5.2.4。
assertion:注册......
英文网页English: GM/T 0113-2021
相关标准: GB/T 15843.1|GM/T 0118|GM/T 0119|GM/T 0117|GM/T 0113-2021|GM/T 0113|