GB/T 44285.1-2024卡及身份識別安全設備通過移動設備進行身份管理的構件第1部分：移動電子身份系統(tǒng)的通用系統(tǒng)架構

ICS35.240.15

CCSL70

中華人民共和國國家標準

GB/T44285.1—2024

卡及身份識別安全設備通過移動

設備進行身份管理的構件第1部分：

移動電子身份系統(tǒng)的通用系統(tǒng)架構

Cardsandsecuritydevicesforpersonalidentification—

Buildingblocksforidentitymanagementviamobiledevices—

Part1：GenericsystemarchitecturesofmobileeIDsystems

（ISO/IEC23220?1：2023，MOD）

2024?08?23發(fā)布2025?03?01實施

國家市場監(jiān)督管理總局

國家標準化管理委員會發(fā)布

GB/T44285.1—2024

目次

前言··························································································································Ⅲ

引言··························································································································Ⅳ

1范圍·······················································································································1

2規(guī)范性引用文件········································································································1

3術語和定義··············································································································1

4縮略語····················································································································6

5移動證件系統(tǒng)的設計和隱私原則···················································································6

6移動證件系統(tǒng)的通用生存周期階段和組件·······································································8

7移動證件系統(tǒng)安裝階段的通用系統(tǒng)架構········································································11

8移動證件系統(tǒng)發(fā)行階段的通用系統(tǒng)架構········································································12

9運行階段的現(xiàn)場身份識別系統(tǒng)架構··············································································17

10運行階段的遠程身份識別系統(tǒng)架構·············································································19

附錄A（資料性）發(fā)行者在發(fā)行階段部署選項的示例··························································24

附錄B（資料性）安裝階段的部署選項的示例···································································30

附錄C（資料性）持有者登記的示例···············································································35

附錄D（資料性）鑒別的其他物理因素的示例···································································38

參考文獻····················································································································41

Ⅰ

GB/T44285.1—2024

前言

本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)

定起草。

本文件是GB/T44285《卡及身份識別安全設備通過移動設備進行身份管理的構件》的第1部

分。GB/T44285已經(jīng)發(fā)布了以下部分：

——第1部分：移動電子身份系統(tǒng)的通用系統(tǒng)架構。

本文件修改采用ISO/IEC23220?1：2023《卡及身份識別安全設備通過移動設備進行身份管理

的構件第1部分：移動電子身份系統(tǒng)的通用系統(tǒng)架構》。

本文件與ISO/IEC23220?1：2023相比做了下述結構調(diào)整：

——本文件3.7“發(fā)現(xiàn)服務discoveryservice”對應ISO/IEC23220?1：2023中3.18的內(nèi)容。本文

件的3.8~3.18依次順延對應ISO/IEC23220?1：2023的3.7~3.17；

——本文件B.6對應ISO/IEC23220?1：2023中B.5的內(nèi)容。

本文件與ISO/IEC23220?1：2023的技術性差異及其原因如下：

——用規(guī)范性引用的GB/T35273和GB/T40660替換了ISO/IEC29100和ISO/IEC19286（見

5.2.1），以適應我國的技術條件，增加可操作性。

本文件做了下列編輯性改動：

——增加了縮略語“TRE”（見第4章）；

——增加了B.5的內(nèi)容。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。

本文件由全國信息技術標準化技術委員會（SAC/TC28）提出并歸口。

本文件起草單位：中國電子技術標準化研究院、江蘇賽西科技發(fā)展有限公司、深圳賽西信息技術

有限公司、中移動金融科技有限公司、新大陸數(shù)字技術股份有限公司、北京安御道合科技有限公司、飛

天誠信科技股份有限公司、北京中電華大電子設計有限責任公司、上海復旦微電子集團股份有限公司、

深圳市雄帝科技股份有限公司、中關村芯海擇優(yōu)科技有限公司、大唐微電子技術有限公司、楚天龍股份

有限公司、北京智芯微電子科技有限公司、東信和平科技股份有限公司、北京握奇數(shù)據(jù)股份有限公司、

金邦達有限公司、武漢天喻信息產(chǎn)業(yè)股份有限公司、螞蟻科技集團股份有限公司、北京眼神智能科技有

限公司、深圳源明杰科技股份有限公司、北京華大智寶電子系統(tǒng)有限公司、中國郵電器材集團有限公

司、上海浦東艾法金融科技身份認證技術創(chuàng)新中心、中國銀聯(lián)股份有限公司、興唐通信科技有限公司。

本文件主要起草人：高健、蔡春水、果艷紅、曹國順、謝依夫、林冠辰、朱鵬飛、潘亮、張暉、鄭嵩、

何凡、李琨、白婧、樓水勇、趙軼、程文杰、黃海明、徐文軍、蔣曲明、林靖、付英春、蘇昆、楊春林、李延、

王永濤、王昊、周吉天白、黎理明、王雪聰、錢濤、馬立群、吳思捷、束敏、劉志強。

Ⅲ

GB/T44285.1—2024

引言

電子ID應用（eID應用）通常用于具有集成電路的證章和ID卡，允許用戶完成電子身份識別、鑒

別或選擇創(chuàng)建數(shù)字簽名。許多不同的應用領域對這些機制都有基本需求，并使用不同的手段來提供這

些功能（例如，人社系統(tǒng)有社保卡或醫(yī)?？?，金融部門使用銀行卡，政府部門有身份證、電子護照或駕

照，教育系統(tǒng)有學生證或圖書證，公司有員工卡，個人有會員卡等）。

移動設備（如移動電話或智能電話，可穿戴設備）是許多人日常生活的核心部分。它們不僅用于通

信，還用于發(fā)送電子郵件、訪問社交媒體、游戲、購物、理財，以及存儲私人內(nèi)容，如照片、視頻和音樂。

今天，它們被作為個人設備用于商業(yè)和私人應用。隨著移動設備在日?；顒又械臒o處不在，用戶強烈

要求在他們的移動設備上有電子身份應用程序（eID?Apps）或具有身份/鑒別機制的服務，即mdoc應

用程序。

一個mdoc應用程序可以被部署來提供許多不同的數(shù)字ID證件。另外，它可以駐留在移動設備

上的其他eID應用程序中。此外，用戶可能擁有多個安裝mdoc應用程序的移動設備，這導致了憑證

和屬性管理機制的增強。

部署mdoc應用程序的技術先決條件已經(jīng)存在，它們被部分地標準化以支持移動設備上的安全和

隱私。eID應用程序解決方案的容器示例是基于軟件的可信執(zhí)行環(huán)境（TEE）、基于硬件的安全元件

（如：通用集成電路卡（UICC）、嵌入式或集成式UICC（eUICC或iUICC）、嵌入式安全元件、帶加密模

塊的安全存儲卡[19]或其他駐留在移動設備上的專用內(nèi)部安全裝置），以及具有基于服務器安全手段的

解決方案。

由于mdoc應用程序可以位于具有不同安全手段的不同形式的移動設備上，它們盡可能地通用，以

便能夠被不同的可信eID管理變體所采用。這種多樣性也導致了不同級別的安全、信任和保證。因

此，可信的eID管理意味著（遠程）管理和使用一個或幾個安全元件（例如，以智能網(wǎng)絡的形式）、憑證和

用戶屬性，并具有適合其能力和力量的不同安全級別。

外部世界對mdoc應用程序的訪問通過可用的傳輸通道進行。典型的本地信道為二維條碼掃描、

BLE、近場通信（NFC）和WLAN等，而遠程通信通常為通過移動網(wǎng)絡和WLAN網(wǎng)絡的互聯(lián)網(wǎng)聯(lián)接。

身份識別方式和傳輸接口及協(xié)議的選擇是可信的eID管理的重要部分。

mdoc應用程序被用于日常生活的不同領域，是不同標準化活動的重點。本文件旨在提供其他標

準可使用的機制和協(xié)議，以提供互操作性和互換性。考慮到這些基本情況，未來的mdoc應用程序可以

衍生，并可能擴展GB/T44285。

GB/T44285建立在現(xiàn)有標準的基礎上，包括四個主要特點：

a）安全通道建立；

b）API調(diào)用序列化方法；

c）數(shù)據(jù)元素命名約定；

d）通信信道協(xié)議上的有效載荷傳輸。

此外，它還增加了建立首次使用信任（TOFU）的手段。

注：GB/T44285繼承并增強了移動駕駛執(zhí)照應用所采用的功能，從而確保與ISO/IEC18013?5的向后兼容性。

GB/T44285《卡及身份識別安全設備通過移動設備進行身份管理的構件》擬分為以下六個

部分。

——第1部分：移動電子身份系統(tǒng)的通用系統(tǒng)架構。目的是確定系統(tǒng)通用架構和應用相關流程。

——第2部分：移動電子身份系統(tǒng)的數(shù)據(jù)對象和編碼規(guī)則。目的是確定系統(tǒng)通用的數(shù)據(jù)格式，以

Ⅳ

GB/T44285.1—2024

便于交換。

——第3部分：安裝發(fā)行階段的協(xié)議和服務。目的是規(guī)定發(fā)行階段的協(xié)議和服務。

——第4部分：運行階段的協(xié)議和服務。目的是規(guī)定運行階段的協(xié)議和服務。

——第5部分：信任模型和可信度評估。目的是規(guī)定可信模型和信任等級。

——第6部分：對安全區(qū)的可信度進行認證的機制。目的是確定使用安全區(qū)可信度認證的機制。

Ⅴ

GB/T44285.1—2024

卡及身份識別安全設備通過移動

設備進行身份管理的構件第1部分：

移動電子身份系統(tǒng)的通用系統(tǒng)架構

1范圍

本文件規(guī)定了基于移動eID系統(tǒng)的基礎設施構件組成的通用系統(tǒng)架構和通用生存周期，同時規(guī)范

了mdoc應用程序和移動驗證應用的接口和服務。

本文件適用于參與移動e