路径: 主页 > GB/T > 第207页 > GB/T 40018-2021 | 标准编号 | GB/T 40018-2021 (GB/T40018-2021) | | 中文名称 | | | 英文名称 | Information security technology - Certificate request and application protocol based on multiple channels | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 字数估计 | 22,256 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 40018-2021
Information security technology - Certificate request and application protocol based on multiple channels
ICS 35.030
L80
中华人民共和国国家标准
信息安全技术 基于多信道的
证书申请和应用协议
2021-04-30发布
2021-11-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅰ
引言 Ⅱ
1 范围 1
2 规范性引用文件 1
3 术语、定义和缩略语 1
3.1 术语和定义 1
3.2 缩略语 1
4 总则 2
5 基于多信道的证书申请协议 3
6 基于多信道的数字签名与验签协议 5
6.1 数字签名 5
6.2 签名验证 8
7 基于多信道的文件加解密协议 11
7.1 文件加密密钥传输协议 11
7.2 文件解密密钥传输协议 12
附录A(资料性附录) 兼容性分析 14
附录B (资料性附录) 采用二维码的证书申请协议 15
附录C (资料性附录) 应用场景 16
参考文献 18
信息安全技术 基于多信道的
证书申请和应用协议
1 范围
本标准规定了利用智能移动设备进行证书申请和应用协议,包括证书申请协议、数字签名与验签协
议、文件加解密协议。
本标准适用于多信道环境中应用系统的设计、开发、测试。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术 术语
GB/T 37092-2018 信息安全技术 密码模块安全要求
GM/T 0014-2012 数字证书认证系统密码协议规范
3 术语、定义和缩略语
3.1 术语和定义
GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
3.1.1
近场信道 nearfieldchannel
智能移动设备和证书认证系统终端或业务系统终端近距离连接的信道。
示例:人工信道、光学信道、NFC等。
3.1.2
网络信道 networkchannel
证书认证系统或业务系统通过网络连接智能移动设备的信道。
3.1.3
厂商ID vendorID
应用服务器分配给智能移动设备开发厂商、表明智能移动设备开发厂商身份的唯一标识。
3.1.4
厂商私钥 vendorprivatekey
智能移动设备开发厂商在智能移动设备中预先植入的用于证明厂商是否可信的密钥对中的私钥。
3.1.5
厂商公钥 vendorpublickey
智能移动设备开发厂商在智能移动设备中预先植入的用于证明厂商是否可信的密钥对中的公钥。
3.2 缩略语
下列缩略语适用于本文件。
附 录 A
(资料性附录)
兼容性分析
A.1 用途
本附录主要分析本标准定义协议与现有应用协议的兼容性。
A.2 兼容性分析
目前二维码携带的信息通常为一个 URI,URI的格式为:[scheme:][//authority][path]
[? query],可以通过scheme来区分不同用途的二维码。本标准中二维码的内容也采用了URI格式,
使用TAG作为scheme区分不同的应用场景,具体为:
---TAG为CERT,按照第5章协议进行证书申请;
---TAG为AUTH,按照6.1.1协议进行身份鉴别;
---TAG为SIGN,按照6.1.2协议进行信息内容数字签名;
---TAG为AVERIFY,按照6.2.1协议进行身份鉴别的数字签名验证;
---TAG为CVERIFY,按照6.2.2协议进行信息内容数字签名验证;
---TAG为ENCRYPT,按照7.1协议进行文件加密;
---TAG为DECRYPT,按照7.2协议进行文件解密。
附 录 B
(资料性附录)
采用二维码的证书申请协议
B.1 用途
本附录给出了证书申请中的一种模式,即近场信道基于二维码的证书申请示例。应用场景为通过
手机向证书认证系统申请证书。
B.2 采用二维码的证书申请协议
采用二维码进行证书申请的具体流程如下:
打印的字符串CONTENT,然后加前缀CERT://,系统生成二维码;
b) 手机通过扫码获取CERT://CONTENT,并解析CONTENT获取证书认证系统生成的证书
c) 手机生成随机验证码VerificationCode并展示给用户;
d) 手机通过网络信道向该URI所在的证书认证系统发送证书申请请求消息;
e) 证书认证系统接收到手机的请求消息后,显示输入界面,要求用户输入c)中手机所生成的
VerificationCode;证书认证系统对手机的证书申请请求消息进行验证,包括验证 RN、
SessionID是否有效;用户签名公钥验证签名是否正确;厂商ID是否在可信厂商列表中,厂商
私钥对RN的签名是否有效;
f) 证书认证系统通过网络信道向手机回复证书申请响应消息;
g) 用户可按照GM/T 0014-2012要求下载证书,也可通过近场信道获取证书下载消息。证书
下载二维码的TAG为DOWNLOAD,URI为证书下载服务的地址。
附 录 C
(资料性附录)
应 用 场 景
C.1 用途
本附录对标准中数字签名与验签协议、文件加解密协议的典型应用场景进行介绍。
C.2 用于身份鉴别的数字签名协议应用场景
该协议的一种典型应用场景是智能门锁,可用于智能门锁对用户身份进行鉴别。协议开始前用户
的公钥信息已在提供身份鉴别服务的业务系统中完成注册,具体流程如下:
a) 用户选择通过智能移动设备进行开锁,智能移动设备通过NFC获取业务系统的网络访问地址
URI、RN、SessionID、业务系统描述信息等信息;
b) 智能移动设备显示a)中获取到的URI及系统描述信息,要求用户进行确认,确认通过后向业
务系统发送身份鉴别请求消息;
c) 业务系统收到身份鉴别请求消息后进行验证,验证通过后打开智能门锁。
C.3 信息内容数字签名协议应用场景
该协议的一种典型应用场景是对网上交易内容进行签名,具体流程如下:
a) 用户使用智能移动设备扫描二维码,获取提供交易内容业务系统的访问地址URI和访问令牌
信息AccessCode;
b) 智能移动设备通过网络信道向业务系统发送获取交易内容请求消息;
c) 业务系统通过网络信道向智能移动设备发送交易内容;
d) 智能移动设备向用户显示签名内容,用户确认对显示内容进行签名后,智能移动设备将内容签
名结果通过网络信道发送至业务系统。
C.4 信息内容数字签名验证协议应用场景
该协议的一种典型应用场景是证件验证,具体流程如下:
a) 用户使用智能移动设备扫描证件二维码,获取与证件验证系统通信方式为NFC以及访问令牌
信息AccessCode;
b) 智能移动设备通过NFC向证件芯片发送证件内容签名验证请求消息;
c) 证件芯片收到鉴别请求消息后首先验证AccessCode合法性,验证通过后对证件内容进行签
名,同证书下载地址或证书一起发送给智能移动设备;
d) 智能移动设备提取证书或根据下载地址下载证书,验证签名值是否有效。
C.5 文件加密的密钥传输协议应用场景
该协议的一种典型应用场景是邮件内容加密,协议开始前用户已将邮件接收者的公钥信息导入到
智能移动设备中,具体流程如下:
a) 邮件系统发送邮件内容前,生成二维码,用户使用智能移动设备扫描二维码获取邮件系统访问
地址URI及通信密钥CommunicationKey;
b) 智能移动设备产生随机数作为内容加密密钥ContentKey。分别使用通信密钥Communica-
tionKey和邮件接收者公钥加密内容加密密钥ContentKey,得到密文c1和密文c2,并通过网
络信道发送至邮件系统;
c) 邮件系统接收到数据后解密密文c1得到内容加密密钥ContentKey,并利用ContentKey加密
文件,同时将c2与加密后的文件一起发送至邮件接收者。
C.6 文件解密的密钥传输协议应用场景
该协议的一种典型应用场景是邮件内容解密,对应C.5邮件内容加密流程,具体流程如下:
a) 邮件接收者点击邮件内容,邮件系统生成二维码,接收者使用智能移动设备扫描二维码获取邮
件系统访问地址URI及通信密钥CommunicationKey;
b) 智能移动设备通过网络信道向邮件系统发送文件解密的密钥传输请求消息;
c) 邮件系统接收到文件解密的密钥传输请求消息后,通过网络信道向智能移动设备发送用接收
者公钥对内容加密密钥ContentKey的加密密文c2;
d) 智......
|