DB14-T 2988-2024 山西電子政務(wù)外網(wǎng)電子認證應(yīng)用服務(wù)規(guī)范_第1頁
DB14-T 2988-2024 山西電子政務(wù)外網(wǎng)電子認證應(yīng)用服務(wù)規(guī)范_第2頁
DB14-T 2988-2024 山西電子政務(wù)外網(wǎng)電子認證應(yīng)用服務(wù)規(guī)范_第3頁
DB14-T 2988-2024 山西電子政務(wù)外網(wǎng)電子認證應(yīng)用服務(wù)規(guī)范_第4頁
DB14-T 2988-2024 山西電子政務(wù)外網(wǎng)電子認證應(yīng)用服務(wù)規(guī)范_第5頁
已閱讀5頁,還剩8頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

35.240.20CCS

L

0714 DB14/T

2988—2024山西電子政務(wù)外網(wǎng)電子認證應(yīng)用服務(wù)規(guī)范 山西省市場監(jiān)督管理局 發(fā)

布DB14/T

2988—2024 前言

.................................................................................

II1

...............................................................................

12 規(guī)范性引用文件

.....................................................................

13 術(shù)語和定義

.........................................................................

14 縮略語

.............................................................................

25 基本要求

...........................................................................

26 服務(wù)內(nèi)容

...........................................................................

27 服務(wù)質(zhì)量

..........................................................................

10DB14/T

2988—2024 本文件按照GB/T

—《標準化工作導則 第1部分:標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由山西省政務(wù)信息管理局提出、組織實施和監(jiān)督檢查。本文件由山西省市場監(jiān)督管理局對標準的組織實施情況進行監(jiān)督檢查。本文件由山西省電子政務(wù)信息標準化技術(shù)委員會歸口。本文件起草單位:山西省數(shù)字政府服務(wù)中心、太原理工大學。本文件主要起草人:張一梅、馬志紅、趙栓駒、李燈熬、申若琦、張海燕、郝戍峰、鄭超。IIDB14/T

2988—20241 范圍本文件規(guī)定了山西電子政務(wù)外網(wǎng)電子認證應(yīng)用服務(wù)的基本要求、服務(wù)內(nèi)容、服務(wù)質(zhì)量等。本文件適用于山西電子政務(wù)外網(wǎng)電子認證應(yīng)用服務(wù)。2 規(guī)范性引用文件文件。GB/T

25056

信息安全技術(shù)

證書認證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范GB/T

35285

信息安全技術(shù)

公鑰基礎(chǔ)設(shè)施

基于數(shù)字證書的可靠電子簽名生成及驗證技術(shù)要求GM/T

0010

SM2密碼算法加密簽名消息語法規(guī)范GM/T

0067

基于數(shù)字證書的身份鑒別接口規(guī)范3 術(shù)語和定義GB/T

25056界定的以及下列術(shù)語和定義適用于本文件。3.1政務(wù)

CA理和服務(wù)窗口。政務(wù)CA是專業(yè)化電子政務(wù)電子認證服務(wù)機構(gòu),設(shè)有獨立密鑰管理中心。3.2電子認證采用電子技術(shù)檢驗用戶真實性的操作,是以技術(shù)為基礎(chǔ),通過政務(wù)簽發(fā)的數(shù)字證書對電子政3.3電子政務(wù)用戶等用戶。3.4數(shù)字證書一些擴展信息的數(shù)字文件。3.5 私鑰非對稱密碼算法中只能由擁有者使用的不公開密鑰。3.6數(shù)字簽名DB14/T

2988—2024的公鑰進行驗證,用于確認待簽名數(shù)據(jù)的完整性,簽名者身份的真實性和簽名行為的不可抵賴性。3.7數(shù)字信封4縮略語下列符號適用于本文件。CA

Certification

Authority

認證機構(gòu)PKI

公鑰基礎(chǔ)設(shè)施CRL Certification

Revocation

List

證書撤銷列表OCSP Online

Status

Protocol

在線證書狀態(tài)協(xié)議SSL

安全套接層協(xié)議5 基本要求5.1 電子認證服務(wù)應(yīng)符合

GB/T

35285、GM/T

0067、GM/T

0010

等國家標準、行業(yè)標準的相關(guān)要求。5.2 在山西電子政務(wù)外網(wǎng)應(yīng)用中基于證書進行身份認證、數(shù)字簽名與驗簽、信息加密與解密時應(yīng)驗證證書的有效性。6 服務(wù)內(nèi)容

6.1 身份認證6.1.1 概述請求認證原文和請求身份認證。6.1.2 身份認證系統(tǒng)配置身份認證系統(tǒng),基本配置要求包括:——配置政務(wù)

根證書;——配置

;——配置CRL,CRL為自動下載,CRL的URL為“l(fā)dap://從目錄服務(wù)系統(tǒng)teRevocationList;binary?sub?(&(objectClass=cRLDistributionPoint)(CN=CEGN

Class

2

IP

6.1.3代理模式請求認證原文和身份認證過程如下:a)

由客戶端發(fā)起,向代理請求認證原文;DB14/T

2988—2024b)

代理收到請求后,生成隨機數(shù)作為認證原文,返回給客戶端;c)

客戶端收到認證原文,彈出證書選擇對話框,電子政務(wù)用戶選擇證書輸入

碼,客戶端通過簽名證書對應(yīng)的私鑰對認證原文進行簽名運算得到簽名值,將簽名值、簽名證書作為認證請求消息,發(fā)送給代理;d)

代理收到認證請求,根據(jù)認證請求消息內(nèi)容對電子政務(wù)用戶身份進行認證,包括驗證證書有效期、是否政務(wù)

CA

簽發(fā)、證書狀態(tài)及簽名有效性等;e)

代理驗證成功,服務(wù)端電子政務(wù)外網(wǎng)應(yīng)用系統(tǒng)解析證書得到證書唯一標識,獲取對應(yīng)的操作權(quán)限,客戶端登錄成功顯示登錄頁面;驗證失敗拒絕訪問,并將失敗消息返回給客戶端。請求認證原文和身份認證過程見圖1??蛻舳?代理身份認證 服務(wù)端開始電子政務(wù)用戶插入智能密碼鑰匙訪問代理請求認證原文顯示頁面電子政務(wù)用戶選擇證書

生成隨機數(shù)將隨機數(shù)返回請求業(yè)面驗證簽名有效性輸入PIN碼驗證簽名有效性簽名證書對應(yīng)的私鑰對隨驗證證書有效性機數(shù)簽名得到簽名值簽名證書登錄失敗登錄成功顯示登錄頁面身份認證結(jié)束

是驗證成功返回登錄頁面圖1

請求認證原文和身份認證過程流程圖

解析證書得到證書唯一標識獲取對應(yīng)的操作權(quán)限6.1.4 調(diào)用模式請求認證原文和身份認證過程如下:a)

客戶端電子政務(wù)用戶插入智能密碼鑰匙通過證書登錄,訪問電子政務(wù)外網(wǎng)應(yīng)用系統(tǒng)(簡稱服務(wù)端),由客戶端發(fā)起,向服務(wù)端請求認證原文;b)

服務(wù)端收到請求后,服務(wù)端生成隨機數(shù)或服務(wù)端向身份認證系統(tǒng)請求生成隨機數(shù)作為認證原文,返回給客戶端;DB14/T

2988—2024c)

客戶端收到認證原文,彈出證書選擇對話框,電子政務(wù)用戶選擇證書輸入

碼,客戶端通過簽名證書對應(yīng)的私鑰對認證原文進行簽名運算得到簽名值,將簽名值、簽名證書作為認證請求消息,發(fā)送給服務(wù)端;d)

服務(wù)端收到認證請求消息,向身份認證系統(tǒng)發(fā)起身份認證請求;e)

身份認證系統(tǒng)收到認證請求,根據(jù)認證請求消息內(nèi)容對電子政務(wù)用戶身份進行驗證,包括驗證證書有效期、是否政務(wù)

CA

簽發(fā)、證書狀態(tài)及簽名有效性等,并將驗證結(jié)果返回給服務(wù)端;f)

服務(wù)端根據(jù)身份認證系統(tǒng)返回的結(jié)果,驗證成功,解析證書得到證書唯一標識,獲取對應(yīng)的請求認證原文和身份認證過程見圖2。

圖2

請求認證原文和身份認證過程流程圖6.2數(shù)字簽名與驗簽6.2.1單向簽名與驗簽客戶端對數(shù)據(jù)進行數(shù)字簽名,服務(wù)端驗證成功對數(shù)據(jù)進行處理,簽名驗簽過程如下:a)

客戶端根據(jù)業(yè)務(wù)需求向服務(wù)端提交數(shù)據(jù);DB14/T

2988—2024b)

客戶端使用電子政務(wù)用戶簽名證書對應(yīng)的私鑰對數(shù)據(jù)進行簽名運算得到簽名值,將簽名值、數(shù)據(jù)和簽名證書發(fā)送給服務(wù)端;c)

服務(wù)端收到客戶端的簽名值、數(shù)據(jù)和簽名證書,驗證客戶端證書有效性,用客戶端簽名證書驗證數(shù)據(jù)簽名值;d)

驗證成功服務(wù)端處理數(shù)據(jù),返回數(shù)據(jù)處理結(jié)果,驗證失敗返回客戶端驗證失敗消息。簽名驗簽過程見圖3。

圖3 單向簽名與驗簽流程圖6.2.2 雙向簽名與驗簽客戶端與服務(wù)端雙方分別對數(shù)據(jù)進行簽名和驗簽,簽名驗簽過程如下:a)

客戶端根據(jù)業(yè)務(wù)需求向服務(wù)端提交數(shù)據(jù);b)

客戶端使用電子政務(wù)用戶簽名證書對應(yīng)的私鑰對數(shù)據(jù)進行簽名運算得到簽名值,將簽名值、數(shù)據(jù)和簽名證書發(fā)送給服務(wù)端;c)

服務(wù)端收到客戶端的簽名值、數(shù)據(jù)和簽名證書,驗證客戶端證書有效性,用客戶端簽名證書驗證數(shù)據(jù)簽名值;d)

驗證成功服務(wù)端處理數(shù)據(jù),驗證失敗返回客戶端驗證失敗消息;e)

服務(wù)端完成數(shù)據(jù)處理,使用服務(wù)端簽名證書對應(yīng)的私鑰對數(shù)據(jù)處理結(jié)果進行簽名運算得到簽名值,將數(shù)據(jù)處理結(jié)果、簽名值和簽名證書發(fā)送給客戶端;f)

客戶端收到服務(wù)端的數(shù)據(jù)處理結(jié)果、簽名值和簽名證書,驗證服務(wù)端證書有效性,用服務(wù)端簽名證書驗證數(shù)據(jù)處理結(jié)果簽名值;g)

驗證成功確認處理結(jié)果并進行相應(yīng)的操作,驗證失敗返回服務(wù)端驗證失敗消息。簽名驗簽過程見圖4。DB14/T

2988—2024

圖4 雙向簽名與驗簽流程圖6.3數(shù)據(jù)加密與解密6.3.1數(shù)據(jù)加密與解密方式電子政務(wù)外網(wǎng)應(yīng)用系統(tǒng)使用證書加密與解密的方式包括:——使用標準

協(xié)議對數(shù)據(jù)加密與解密;——使用數(shù)字信封或簽名及數(shù)字信封對數(shù)據(jù)進行加密與解密。應(yīng)用系統(tǒng)如不需要保存密文,選擇標準SSL協(xié)議進行數(shù)據(jù)加密與解密;如需要保存密文,選擇數(shù)字信封或簽名及數(shù)字信封進行數(shù)據(jù)加密與解密。6.3.2標準

協(xié)議加密與解密數(shù)據(jù)加密與解密過程符合標準協(xié)議的使用規(guī)范。6.3.3數(shù)字信封方式的加密與解密消息加密得到消息密文選擇一種非對稱加密算密密鑰加密得到密鑰密文形成數(shù)字信封DB14/T

2988—2024收方,加密與解密過程如下:a)

發(fā)送方獲得接收方的加密證書;b)

發(fā)送方選擇一種對稱加密算法,隨機生成數(shù)據(jù)加密密鑰;c)

發(fā)送方使用對稱加密算法和數(shù)據(jù)加密密鑰對消息加密得到消息密文;d)

發(fā)送方使用接收方的加密證書,選擇一種非對稱加密算法對數(shù)據(jù)加密密鑰加密,得到數(shù)據(jù)加密密鑰密文;e)

發(fā)送方形成數(shù)字信封,發(fā)送給接收方;f)

接收方收到數(shù)字信封;g)

接收方用非對稱加密算法和加密證書對應(yīng)的私鑰解密數(shù)據(jù)加密密鑰密文,得到數(shù)據(jù)加密密鑰;h)

接收方用對稱加密算法和數(shù)據(jù)加密密鑰解密消息密文,得到原始消息。加密與解密過程見圖5。消息發(fā)送方 消息接收方開始選擇一種對稱加密算法,加密證書用非對稱加密算法和加密數(shù)據(jù)加密密鑰密密鑰解密消息密文得到結(jié)束圖5 數(shù)字信封方式的加密與解密流程圖6.3.4簽名及數(shù)字信封方式的加密與解密DB14/T

2988—2024收方,加密與解密過程如下:a)

發(fā)送方獲得接收方的加密證書;b)

發(fā)送方使用消息摘要算法對消息計算得到消息摘要,用簽名證書對應(yīng)的私鑰對消息摘要進行簽名運算得到消息摘要簽名值;c)

發(fā)送方選擇一種對稱加密算法,隨機生成數(shù)據(jù)加密密鑰;d)

發(fā)送方使用對稱加密算法和數(shù)據(jù)加密密鑰對消息加密得到消息密文;e)

發(fā)送方使用接收方的加密證書,選擇一種非對稱加密算法對數(shù)據(jù)加密密鑰加密,得到數(shù)據(jù)加密密鑰密文;f)

發(fā)送方形成簽名及數(shù)字信封,發(fā)送給接收方;g)

接收方收到簽名及數(shù)字信封;h)

接收方驗證發(fā)送方證書有效性,用發(fā)送方的簽名證書對消息摘要簽名值進行驗證,驗證失敗返回發(fā)送方驗證失敗消息;驗證成功,用非對稱加密算法和加密證書對應(yīng)的私鑰解密數(shù)據(jù)加密密鑰密文,得到數(shù)據(jù)加密密鑰;i)

接收方用對稱加密算法和數(shù)據(jù)加密密鑰解密消息密文,得到原始消息。加密與解密過程見圖6。用消息摘要算法對消息計算得到消息摘要用簽名證書對應(yīng)的私鑰對消息摘要簽名得到簽名值簽名證書選擇一種對稱加密算法,隨機生成數(shù)據(jù)加密密鑰消息加密得到消息密文選擇一種非對稱加密算法,用加密證書對數(shù)據(jù)加密密鑰加密得到密鑰密文形成簽名及數(shù)字信封DB14/T

2988—2024消息發(fā)送方 消息接收方開始加密證書驗證發(fā)送方證書有效性用發(fā)送方簽名證書驗證消息

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論