标准搜索结果: 'GM/T 0067-2019'
标准编号 | GM/T 0067-2019 (GM/T0067-2019) | 中文名称 | 基于数字证书的身份鉴别接口规范 | 英文名称 | Interface specifications of authentication based on digital certificate | 行业 | Chinese Industry Standard (推荐) | 中标分类 | L80 | 国际标准分类 | 35.040 | 字数估计 | 21,243 | 发布日期 | 2019 | 实施日期 | 2019-07-12 |
GM/T 0067-2019
Interface specifications of authentication based on digital certificate
ICS 35.040
L80
中华人民共和国密码行业标准
基于数字证书的身份鉴别接口规范
2019-07-12发布
2019-07-12实施
国家密码管理局 发 布
目次
前言 Ⅰ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 实现方式 2
5.1 概述 2
5.2 代理身份鉴别模式 2
5.3 调用模式 3
6 算法标识与数据结构 4
6.1 算法标识定义 4
6.2 数据结构定义和说明 6
7 接口定义及函数 6
7.1 身份鉴别接口在公钥密码基础设施应用技术体系框架中的位置 6
7.2 身份鉴别接口逻辑结构 7
7.3 消息定义 7
7.4 函数接口定义 11
附录A(规范性附录) 错误代码定义和说明 15
附录B(资料性附录) 身份鉴别应用流程示例 16
参考文献 18
前言
本标准以GB/T 15843.3-2016《信息技术 安全技术 实体鉴别 第3部分:采用数字签名技术
的机制》为依据,规范了基于数字证书的身份鉴别密码应用接口。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由密码行业标准化技术委员会提出并归口。
本标准所使用的密码算法遵从国家密码管理主管部门公布的相关密码算法。
本标准主要起草单位:格尔软件股份有限公司、上海市数字证书认证中心有限公司、山东得安计算
机技术有限公司、北京海泰方圆科技有限公司、成都卫士通信息产业股份有限公司、北京数字证书认证
中心有限公司、国民技术股份有限公司、长春吉大正元信息技术股份有限公司。
本标准主要起草人:郑强、谭武征、韩玮、马洪富、蒋红宇、罗俊、傅大鹏、付月朋、赵丽丽。
基于数字证书的身份鉴别接口规范
1 范围
本标准规定了公钥密码基础设施体系上层应用中基于数字证书的身份鉴别接口。
本标准适用于公钥密码基础设施体系上层应用中身份鉴别服务的开发、证书应用支撑平台身份鉴
别系统的研制及检测,也可用于指导应用系统规范化地使用证书进行身份鉴别。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件,凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 15843.1-2017 信息技术 安全技术 实体鉴别 第1部分:概述
GB/T 15843.3-2016 信息技术 安全技术 实体鉴别 第3部分:采用数字签名技术的机制
3 术语和定义
下列术语和定义适用于本文件。
3.1
证书认证系统
对数字证书的签发、发布、更新、撤销等数字证书全生命周期进行管理的系统。
3.2
证书撤消列表
由证书认证机构签发并发布的被撤销证书的列表。
3.3
按照验证策略确认证书有效性和真实性的过程。
3.4
数字证书
也称公钥证书,由证书认证机构(CA)签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有
效期以及扩展信息的一种数据结构。按类别可分为个人证书、机构证书和设备证书,按用途可分为签名
证书和加密证书。
5 实现方式
5.1 概述
身份鉴别实现方式包括代理身份鉴别模式和调用模式,身份鉴别T与应用B是相互信任的整体,
这两种模式下使用的身份鉴别机制遵循 GB/T 15843.3-2016。
5.2 代理身份鉴别模式
在这种模式下,由代理身份鉴别服务T对用户A的身份进行鉴别,然后把鉴别的结果传递给应用
B,这种身份鉴别模式称为代理身份模式,一般采用消息方式来实现。
鉴别协议在用户A和代理身份鉴别服务T间进行,这种模式下,用户A启动过程并由代理身份鉴
别服务T对它进行鉴别,唯一性和时效性是通过产生并检验时间戳或序号(见GB/T 15843.1-2017的
附录B)来控制的。
代理模式下的单向身份鉴别机制如图1所示。
图1 代理模式下单向身份鉴别机制
a) 用户A发送证书和TokenAT(TokenAT为用户A向代理身份鉴别服务T发的凭证,其形式
参见 GB/T 15843.3-2016中的5.2.2)给代理身份鉴别服务T;
b) 代理身份鉴别服务T在接收到含有TokenAT的消息时,执行下列步骤:
1) 验证A的证书有效性,包括有效期、是否可信机构颁发、证书状态,以及证书密钥用法验
证等;
2) 验证TokenAT。
c) 代理身份鉴别服务T将验证通过的A的身份传递给应用B。
代理身份鉴别模式下的双向身份鉴别机制如图2所示。
图2 代理模式下双向身份鉴别机制
a) 用户A发送证书和TokenAT(TokenAT的形式参见 GB/T 15843.3中的5.2.2)给代理身份
鉴别服务T;
b) 代理身份鉴别服务T在接收到含有TokenAT的消息时,执行下列步骤:
1) 验证A的证书有效性,包括有效期,是否可信机构颁发、证书状态,以及证书密钥用法
验证;
2) 验证TokenAT。
c) 代理身份鉴别服务T向A发送T的证书和TokenTA(TokenTA的形式参见GB 15843.3-
2016中的5.3.2);
d) 在接收到含有TokenTA的消息时,用户A执行下列步骤:
1) 验证T的证书有效性,包括有效期,是否可信机构颁发,是否在黑名单内,以及证书密钥
用法验证;
2) 验证TokenTA。
e) 代理身份鉴别服务T将验证通过的A的身份传递给应用B。
5.3 调用模式
对于应用获取到用户身份后,主动调用身份鉴别服务的对外服务接口进行身份鉴别以获取身份鉴
别结果的模式,称为调用模式,一般采用接口函数实现。
这种模式中,应用 B启动验证过程并对用户 A 进行鉴别,通过产生并检验随机数 RB(见
GB/T 15843.1-2017的附录B)来控制鉴别协议的唯一性和时效性。验证机制如图3所示:
图3 调用模式下的身份鉴别机制
a) 应用B向A发送随机数RB,并可选地发送一个文本字段Text;
b) A向B发送A的证书和TokenAB(TokenAB的形式参见GB/T 15843.3-2016的5.3.2);
c) 接收到A的证书和TokenAB后,应用B通过调用身份鉴别T来对A的身份进行验证。
6 算法标识与数据结构
6.1 算法标识定义
6.1.1 数据类型定义
对于数据的类型定义如表1所示。
6.1.3 全局参数定义
对于全局参数的定义如表3所示。
7 接口定义及函数
7.1 身份鉴别接口在公钥密码基础设施应用技术体系框架中的位置
本标准为公钥密码基础设施体系上层应用使用身份鉴别服务制定了统一的接口标准。身份鉴别在
公钥密码基础设施应用技术体系框架中的位置如图4所示。
图4 身份鉴别在公钥密码基础设施应用技术体系框架中的位置
7.2 身份鉴别接口逻辑结构
7.2.1 概述
身份鉴别接口的逻辑结构如图5所示。
图5 身份鉴别接口体系结构
身份鉴别接口规范所依托的身份鉴别服务模块位于应用系统和密码服务接口之间,通过本接口为
应用系统提供身份鉴别服务。身份鉴别模块所需要的密码运算通过密码服务接口规范调用密码服务
实现。
身份鉴别接口在逻辑上分为两部分,分别为:环境函数和身份鉴别函数。
7.2.2 环境函数
环境函数负责创建和管理安全程序空间,负责创建和管理安全程序空间中所需的各种资源、信号,
并确保安全程序空间在应用程序运行期间不会被非法访问,造成信息泄漏。环境函数负责完成与身份
鉴别服务的安全连接,确保后续的安全操作是在安全、可信的程序空间中进行。
应用程序在使用身份鉴别接口时,要首先调用初始化环境函数(SIF_Initialize)创建和初始化安全
的应用程序空间,完成与身份鉴别服务的连接和初始化工作。在中止应用程序之前,应调用清除环境函
数(SIF_Finalize),中止与身份鉴别服务的连接,销毁所创建的安全程序空间,防止由于内存残留所带来
的安全风险。
7.2.3 身份鉴别函数
身份鉴别函数实现用户信息的获取以及用户身份的验证(主要手段通过证书验证和分析证书撤消
列表)。应用程序通过调用身份鉴别函数来实现基于数字证书的身份鉴别。
7.3 消息定义
7.3.1 消息格式定义
7.3.2 消息头格式定义
消息头定义方式如下:
7.3.4 用户凭证生成消息
附 录 B
(资料性附录)
身份鉴别应用流......
|