GB/T 38646-2020 标准规范下载简介
GB/T 38646-2020 信息安全技术 移动签名服务技术要求ICS.35.040 L.80
GB/T 38646—2020
GB/T 42254-2022 渤海和黄海北部冰情等级Information securitytechnology Technical reguirements of mobile signature service
国家市场监督管理总局 发布 国家标准化管理委员会
范围 规范性引用文件 术语和定义 缩略语 概述 5.1 移动签名的基本特征 5.2 移动签名服务的相关实体 移动签名服务的流程 6.1 移动签名基本流程 6.2 证书管理相关流程 移动签名服务的实体功能 7.1 MSSP 7.2 MSD 7.3 用户 7.4 CA 7.5 AP 移动签名服务的接口功能· 8.1 MSSP与AP之间的接口 8.2MSSP与MSD之间的接口 8.3 MSSP与CA之间的接口 移动签名服务的安全要求 9.1 概述: 9.2 实体安全 9.3 移动签名服务流程安全
GB/T38646—2020
本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:中国移动通信集团有限公司、中移(杭州)信息技术有限公司、中国信息通信研究 院、北京数字认证股份有限公司、中国电信股份有限公司、工业和信息化部电子工业标准化研究院。 本标准主要起草人:于蓉蓉、张滨、杨志强、张锦卫、邱勤、樊山、杨超、路晓明、刘海龙、罗红、董靖宇 贾倩、鲁青、黄伟湘、林雪焰、杨正军、崇静、许东阳、于乐、蒋周良、安宝宇、马臣云、霍薇靖、蔡准
本标准按照GB/T1.1一2009给出的规则起草, 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:中国移动通信集团有限公司、中移(杭州)信息技术有限公司、中国信息通信研究 院、北京数字认证股份有限公司、中国电信股份有限公司、工业和信息化部电子工业标准化研究院。 本标准主要起草人:于蓉蓉、张滨、杨志强、张锦卫、邱勤、樊山、杨超、路晓明、刘海龙、罗红、董靖宇、 贾倩、鲁青、黄伟湘、林雪焰、杨正军、崇静、许东阳、于乐、蒋周良、安宝宇、马臣云、霍薇靖、蔡准
GB/T38646—2020
全技术移动签名服务技术要求
本标准规定了实现移动签名服务的技术要求,包括移动签名服务的基本框架、基本服务流程、参与 移动签名服务的主要实体功能、接口功能及安全要求等。 本标准适用于移动签名服务的设备研制和平台开发
下列缩略语适用于本文件。 AP:应用提供者(ApplicationProvider) APP:应用(Application) CA:证书认证机构(CertificationAuthority) MSD:移动签名设备(MobileSignatureDevice) MSSP:移动签名服务平台(MobileSignatureServicePlatform) PIN:个人身份识别码(PersonalIdentificationNumber)
5.1移动签名的基本特征
移动签名的核心流程在于,用户触发AP将待签数据通过移动设备发送到MSD中,MSD在用户输 人PIN并确认后对待签数据完成签名,并将电子签名结果通过移动终端返回至AP进行验证。 移动签名具有业务无关性,可作为一种通用方法用于各种业务。MSD作为一个通用设备,可存储 用月户的多个证书信息和私钥,通过某个业务首次使用电子签名时,只需到该业务所信任的CA申请证 书,并将证书信息及其对应的私钥存储到MSD中,无需因使用不同的业务而持有多个电子签名硬件 设备。 移动签名节约成本,无需安装客户端程序,降低用户操作复杂度,还可适用于多种业务,最大限度地 发挥电子签名对电子交易的保护作用。 本标准凡涉及密码算法的相关内容,按国家有关法规实施;凡涉及采用密码技术解决保密性、完整 生、真实性、不可否认性需求的遵循密码相关国家标准和行业标准。 .2移动签名服务的相关实体 移动签名的使用过程中共涉及五类实体:用户、MSD、AP、CA和MSSP,各实体的作用描述如下, a)用户,即移动签名人,是移动签名服务的使用者,用户在AP的网站上选择商品或服务,并进行 交易,用户需要对交易数据进行签名,代表自已对交易内容的认可。 MSD是帮助用户随时随地实现移动签名的设备。 C) AP是向用户提供业务的实体,AP需要验证用户的签名,通过验证的结果来判断当前交易是 否是真实用户的行为,因此AP是验证者。 d)CA作为电子认证服务机构,为用户签发数字证书,CA应保证所签发证书的真实、可信。AP 在验证签名时应首先验证用户的数字证书的合法性,因此AP需信任CA。 e) MSSP是提供移动签名服务的实体,介于用户与AP、CA之间,主要实现如下两个功能 1)作为用户端与CA的连接桥梁,协助CA实现对MSD中证书的生命周期管理,如申请、更 新、撤销; 2)作为用户与AP的连接桥梁,实现AP与用户之间待签数据与签名结果的传递,使AP的 交易能够得到移动签名的保护
5.2移动签名服务的相关实体
6.1移动签名基本流程
移动签名的基本实现流程如图2所示。
图1移动签名服务的相关实体关系
图2移动签名的基本流程
用户使用AP签名服务需提前完成数字证书的申请。 当用户使用移动签名服务甘肃省市政工程预算定额2018 第六册 水处理工程,AP发起一个移动签名流程 a)AP产生待签数据; b)AP将待签数据及签名人标识发送给MSSP:
GB/T 386462020
MSSP根据签名人标识检索对应的移动终端; MSSP将待签数据转发给移动终端; 移动终端将待签数据传递到MSD,MSD对待签数据进行处理后,触发移动终端将待签信息展 示给用户确认,并提示用户输人PIN进行验证; 用户输入PIN验证; g 移动终端将PIN传递到MSD,MSD对PIN进行验证,验证成功后,MSD对待签数据进行运 算,生成对应该消息的电子签名: h MSD通过移动终端将签名结果返回给MSSP; 1 MSSP将签名结果返回给AP; AP对签名进行验证,根据验证结果执行对应操作
6.2.2证书申请与分发
CA证书申请与分发需包含以下两个过程: a)身份审核预受理 身份审核预受理是指用户到CA的指定网点提出证书申请请求,CA受理用户的请求,核实用月 身份,并对证书的申请进行预受理。身份审核预受理过程应符合CA自身的安全要求,还应实 ISD与真实身份的绑定,并为用户颁发授权码,用于在后续证书申请和下载流程中认证用户。 b)证书申请和下载 用户在完成身份审核预受理流程之后,即可进行证书申请/下载流程,如图3所示。 证书申请和下载的过程如下: a)CA接收到来自用户发起的证书下载申请,将授权码提供给用户; b) CA向MSSP发送激活证书申请; c MSSP向MSD发送激活证书申请指令; MSD依次进行PIN初始化设置,并输入授权码: e) MSD生成公私钥对,生成证书请求; MSD通过移动终端向MSSP发起证书申请请求; g) MSSP向CA发送证书申请请求; CA处理证书申请请求,生成并签发用户证书; 1) CA向MSSP返回证书申请请求响应,其中包含用户证书; MSSP解析证书,保存证书相关信息; MSSP向MSD发送证书信息下发指令,其中含有证书相关信息; 1) MSD向MSSP发送证书下发响应;
图3用户证书申请和下载流程
为增强用户体验,应支持MSSP侧发起的证书更新和CA侧发起的证书更新,服务器包括M CA两类,如图4所示,
证书更新的具体过程如
GB/T 51365-2019 网络工程验收标准GB/T38646—2020