DB14-T 2988-2024 山西電子政務(wù)外網(wǎng)電子認證應(yīng)用服務(wù)規(guī)范

14I 2 2 2 本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定1山西電子政務(wù)外網(wǎng)電子認證應(yīng)用服務(wù)規(guī)范GB/T25056信息安全技術(shù)證書認證系統(tǒng)密碼及其相關(guān)安全GB/T35285信息安全技術(shù)公鑰基礎(chǔ)設(shè)施基于數(shù)字證書的可靠電子簽名生成及驗證技術(shù)要求GM/T0010SM2密碼算法加密簽名消息GM/T0067基于數(shù)字證書的身份鑒別接口理和服務(wù)窗口。政務(wù)CA是專業(yè)化電子政務(wù)采用電子技術(shù)檢驗用戶真實性的操作，是以PKI技術(shù)為基礎(chǔ)，通過政務(wù)CA簽發(fā)的數(shù)字證書對電子政2的公鑰進行驗證，用于確認待簽名數(shù)據(jù)的完整性，簽名者4縮略語CACertificationAuthorityCRLCertificationRevocationList證書OCSPOnlineCertificateStatusProtocol在線證5基本要求5.1電子認證服務(wù)應(yīng)符合GB/T35285、GM/T0067、GM/T0010等國5.2在山西電子政務(wù)外網(wǎng)應(yīng)用中基于證書進行身份認證、數(shù)字簽名與驗簽、信息加密與解密時應(yīng)驗證teRevocationList;binary?sub?(&(objectClass=cRLDistributionPoint)(3c)客戶端收到認證原文，彈出證書選擇對話框，電子政務(wù)用戶選擇證書輸入PIN碼，過簽名證書對應(yīng)的私鑰對認證原文進行簽名運算得到簽名值，將簽名值、簽名證書作為認證d)代理收到認證請求，根據(jù)認證請求消息內(nèi)容對電子政務(wù)用戶身份進行認證，包括驗證證書有e)代理驗證成功，服務(wù)端電子政務(wù)外網(wǎng)應(yīng)用系統(tǒng)解析證書得到證書唯一標識，獲取對應(yīng)的操作權(quán)限，客戶端登錄成功顯示登錄頁面；驗證失敗拒絕訪問，并將失敗消息返回給客戶端。代理身份認證服務(wù)端電子政務(wù)用戶插入智能密碼鑰匙訪問代理請求認證原文顯示頁面顯示頁面輸入PIN碼簽名證書對應(yīng)的私鑰對隨機數(shù)簽名得到簽名值簽名證書登錄成功顯示登錄頁面身份認證結(jié)束驗證成功生成隨機數(shù)驗證成功將隨機數(shù)返回請求業(yè)面驗證證書有效性驗證簽名有效性<><>解析證書得到證書獲取對應(yīng)的操作權(quán)限返回登錄頁面a)客戶端電子政務(wù)用戶插入智能密碼鑰匙通過證書登錄，訪問電子政務(wù)外網(wǎng)應(yīng)用系統(tǒng)（簡稱服b)服務(wù)端收到請求后，服務(wù)端生成隨機數(shù)或服務(wù)端向身份認證系統(tǒng)請求生成隨機數(shù)作為認證原4c)客戶端收到認證原文，彈出證書選擇對話框，電子政務(wù)用戶選擇證書輸入PIN碼，過簽名證書對應(yīng)的私鑰對認證原文進行簽名運算得到簽名值，將簽名值、簽名證書作為認證d)服務(wù)端收到認證請求消息，向身份認證系統(tǒng)發(fā)起身份認證請求；e)身份認證系統(tǒng)收到認證請求，根據(jù)認證請求消息內(nèi)容對電子政務(wù)用戶身份進行驗證，包括驗證證書有效期、是否政務(wù)CA簽發(fā)、證書狀態(tài)及簽名有效性等，并將驗證結(jié)果返回給服務(wù)端；f)服務(wù)端根據(jù)身份認證系統(tǒng)返回的結(jié)果，驗證成功，解析證書得到證書唯一標識，獲取對應(yīng)的客戶端身份認證服務(wù)端開始電子政務(wù)用戶插入智能密碼鑰匙訪問電子政務(wù)外網(wǎng)應(yīng)用系統(tǒng)請求認證原文>生成隨機數(shù)生成隨機數(shù)將隨機數(shù)返回請求業(yè)面顯示頁面電子政務(wù)用戶選擇證書<輸入PIN客戶端身份認證服務(wù)端開始電子政務(wù)用戶插入智能密碼鑰匙訪問電子政務(wù)外網(wǎng)應(yīng)用系統(tǒng)請求認證原文>生成隨機數(shù)生成隨機數(shù)將隨機數(shù)返回請求業(yè)面顯示頁面電子政務(wù)用戶選擇證書<輸入PIN碼簽名證書對應(yīng)的私鑰對隨機數(shù)簽名得到簽名值簽名證書驗證證書有效性驗證簽名有效性簽名值簽名證書返回驗證結(jié)果登錄成功顯示登錄頁面獲取對應(yīng)的操作權(quán)限身份認證結(jié)束登錄失敗 否驗證成功登錄失敗解析證書得到證書唯一標識解析證書得到證書唯一標識客戶端對數(shù)據(jù)進行數(shù)字簽名，服務(wù)端驗證成功對數(shù)據(jù)進行處理，簽名驗簽過程5b)客戶端使用電子政務(wù)用戶簽名證書對應(yīng)的私鑰對數(shù)據(jù)進行簽名運算得到簽名值，將簽名值、c)服務(wù)端收到客戶端的簽名值、數(shù)據(jù)和簽名證書，驗證客戶端證書有效性，用客戶端簽名證書客戶端服務(wù)端開始簽名證書對應(yīng)的私鑰對數(shù)據(jù)簽名得到簽名值數(shù)據(jù)簽名證書驗證失敗消息<驗簽結(jié)束驗證成功處理數(shù)據(jù)驗證成功處理數(shù)據(jù)驗證客戶端證書有效性客戶端簽名證書驗證簽名值<><>b)客戶端使用電子政務(wù)用戶簽名證書對應(yīng)的私鑰對數(shù)據(jù)進行簽名運算得到簽名值，將簽名值、c)服務(wù)端收到客戶端的簽名值、數(shù)據(jù)和簽名證書，驗證客戶端證書有效性，用客戶端簽名證書d)驗證成功服務(wù)端處理數(shù)據(jù)，驗證失敗返回客戶端驗證失敗消息；e)服務(wù)端完成數(shù)據(jù)處理，使用服務(wù)端簽名證書對應(yīng)的私鑰對數(shù)據(jù)處理結(jié)果進行簽名運算得到簽名值，將數(shù)據(jù)處理結(jié)果、簽名值和簽名證書發(fā)f)客戶端收到服務(wù)端的數(shù)據(jù)處理結(jié)果、簽名值和簽名證書，驗證服務(wù)端證書有效性，用服務(wù)端6客戶端客戶端服務(wù)端開始簽名證書對應(yīng)的私鑰對數(shù)據(jù)簽名得到簽名值數(shù)據(jù)簽名證書對應(yīng)的私鑰對數(shù)據(jù)簽名得到簽名值數(shù)據(jù)簽名證書驗證客戶端證書有效性>客戶端簽名證書驗證簽名值驗證失敗消息驗證失敗消息< 否驗證成功驗證服務(wù)端證書有效性服務(wù)端簽名證書驗證<簽名值驗證服務(wù)端證書有效性服務(wù)端簽名證書驗證<簽名值處理數(shù)據(jù)簽名證書對應(yīng)的私鑰對處理結(jié)果簽名得到簽名值數(shù)據(jù)處理結(jié)果簽名證書<><>>返回驗證失敗消息驗證成功否>返回驗證失敗消息確認處理結(jié)果進行操作確認處理結(jié)果進行操作驗簽結(jié)束應(yīng)用系統(tǒng)如不需要保存密文，選擇標準SSL協(xié)議進行數(shù)據(jù)加密與解密；如需要保存密文，選擇數(shù)字7c)發(fā)送方使用對稱加密算法和數(shù)據(jù)加密密鑰對消息加密得到消息密文；d)發(fā)送方使用接收方的加密證書，選擇一種非對稱加密算法對數(shù)據(jù)加密密鑰加密，得到數(shù)據(jù)加e)發(fā)送方形成數(shù)字信封，發(fā)送給接收消息發(fā)送方消息接收方隨機生成數(shù)據(jù)加密密鑰消息加密得到消息密文形成數(shù)字信封形成數(shù)字信封選擇一種非對稱加密算法，用加密證書對數(shù)據(jù)加密密鑰加密得到密鑰密文加密證書用非對稱加密算法和加密證書對應(yīng)的私鑰解密得到數(shù)據(jù)加密密鑰用對稱加密算法和數(shù)據(jù)加密密鑰解密消息密文得到原始消息8b)發(fā)送方使用消息摘要算法對消息計算得到消息摘要，用簽名證書對應(yīng)的私鑰對消息摘要進行d)發(fā)送方使用對稱加密算法和數(shù)據(jù)加密密鑰對消息加密得到消息密文；e)發(fā)送方使用接收方的加密證書，選擇一種非對稱加密算法對數(shù)據(jù)加密密鑰加密，得到數(shù)據(jù)加h)接收方驗證發(fā)送方證書有效性，用發(fā)送方的簽名證書對消息摘要簽名值進