GB/T 36651-2018 信息安全技术 基于可信环境的生物特征识别身份鉴别协议框架

  • GB/T 36651-2018  信息安全技术 基于可信环境的生物特征识别身份鉴别协议框架为pdf格式
  • 文件大小:40.4M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2020-01-04
  • 发 布 人: 13648167612
  • 文档部分内容预览:
  • a) 用户使用用户设备中的用户代理访问依赖方,当用户需要进行生物特征识别身份鉴别时,依赖 方将用户定向到身份鉴别服务器(可以使用HTTP重定向方式将用户设备重定向到身份鉴别 服务器,或者使用消息转发方式)。 b) 身份鉴别服务器向用户设备中的生物特征识别密钥管理器发送鉴别请求消息;用户设备的生 物特征识别密钥管理器在收到身份鉴别服务器的鉴别请求消息时,验证身份鉴别服务器的真 实性,验证通过则提示用户选择可用的生物特征识别器,否则拒绝该消息。 用户选择合适的生物特征识别器,使用生物特征识别信息解锁生物特征识别密钥管理器,生物 特征识别密钥管理器选择相应的鉴别私钥对服务器挑战签名。 d 生物特征识别密钥管理器将签名后的挑战发送到身份鉴别服务器 e)身份鉴别服务 成功后,用户鉴别成功

    用户在身份鉴别成功后,发起注销流程,依赖方将用户定向到身份鉴别服务器(可以使用 HTTP重定向方式将用户设备重定向到身份鉴别服务器,或者使用消息转发方式)。 b) 身份鉴别服务器删除相应的鉴别公钥,并向生物特征识别密钥管理器发送注销请求消息。用 户设备的生物特征识别密钥管理器在收到身份鉴别服务器的鉴别请求消息时,验证身份鉴别 服务器的真实性,验证通过则删除相应的鉴别私钥,否则拒绝该消息。

    图5描述用户注册流程(图中实线表示消息流由图例中的左侧实体到右侧实体,虚线部分表示消息

    流由图例中的右 头表示两个实体进行交互以完成某操 作),其中步骤a)~步骤d)是用户使用已注册的账户(使用用户名口令或者数字证书进行身份鉴别的账 户登陆身份鉴别服务器的过程

    a)用户访问依赖方,发起注册流程; b)1 依赖方将用户导向到身份鉴别服务器: c) 身份鉴别服务器验证用户身份(如:可使用用户名口令、数字证书等方式,或用户重新注册一个 新的账户); d)身份鉴别服务器验证用户通过后,生成注册请求消息; e) 身份鉴别服务器将注册请求消息发送至生物特征识别密钥管理器; f)生物特征识别密钥管理器发起本地用户校验,提示用户使用生物特征识别信息进行身份验证 g)用户提交生物识别信息,例如指纹、虹膜等信息; 生物特征识别密钥管理器验证用户提交的生物识别信息污水处理厂标准规范范本,验证通过后,生成一对新的鉴别公 私钥,然后生成注册响应消息,注册响应消息中包含使用厂商私钥对鉴别私钥等信息的签名; 生物特征识别密钥管理器将注册响应消息返回给身份鉴别服务器; ) 身份鉴别服务器使用厂商公钥验证注册响应消息,验证成功后存储相关信息,否则返回错误 信息; k)身份鉴别服务器将结果返回给依赖方

    6.1.2注册流程处理规则

    6.1.2.1身份鉴别服务器生成注册请求规则

    创建注册请求消息,并初始化注册请求消息的各个参数,至少应包括服务器挑战等参数(参见 附录A): b)将注册请求消息发送给生物特征识别密钥管理器

    6.1.2.2生物特征识别密钥管理器处理注册请习

    生物特征识别密钥管理器处理注册请求应遵循以下步骤: 验证身份鉴别服务器的真实性,验证成功则执行以下步骤,否则拒绝该消息; 解析注册请求消息,判断注册请求消息是否包含必要的参数以及每个参数是否符合要求,若 符合要求则执行以下步骤,否则拒绝该消息; 提示用户选择生物特征识别器,用户选择后,使用用户选择的生物特征识别器验证用户,验证

    d 创建注册响应消息,并根据注册请求消息的参数初始化注册响应消息的参数; e)将注册响应消息发送给身份鉴别服务器

    6.1.2.3身份鉴别服务器处理注册响应规则

    身份鉴别服务器处理注册响应应遵循以下步骤: a 解析注册响应消息,判断注册响应消息是否包含必要的参数以及每个参数是否符合要求,若符 合要求则执行以下步骤,否则拒绝该消息; b) 使用厂商公钥验证注册响应消息中签名的正确性; C)如果注册响应消息通过验证.将相关信息保存在身份鉴别服务器

    图6描述鉴别流程(图中) 本到石侧实体:虚线部分表尔 由图例中的右侧实体到左侧实体

    a)用户访问依赖方,发起鉴别流程; b) 依赖方将用户导向到身份鉴别服务器; c)身份鉴别服务器生成鉴别请求消息; d)身份鉴别服务器将鉴别请求消息发送至生物特征识别密钥管理器; e)生物特征识别密钥管理器发起本地用户校验,提示用户使用生物特征识别信息进行身份验证; f)用户提交生物识别信息,例如指纹、虹膜等信息; g)生物特征识别密钥管理器验证用户提交的生物识别信息,验证通过后,生成鉴别响应消息; h) 生物特征识别密钥管理器将鉴别响应消息返回给身份鉴别服务器; 身份鉴别服务器验证鉴别响应消息; 身份鉴别服务器将结果返回给依赖方

    6.2.2鉴别流程处理规则

    6.2.2.1身份鉴别服务器生成鉴别请求规则

    身份鉴别服务器生成鉴别请求应遵循以下步骤: a)创建鉴别请求消息,并初始化鉴别请求消息的各个参数,至少应包括服务器挑战等参数(参

    附录A); b)将鉴别请求消息发送给生物特征识别密钥管理器

    .2.2生物特征识别密钥管理器处理鉴别请求规

    生物特征识别密钥管理器处理鉴别请求应遵循以下步骤: a) 验证身份鉴别服务器的真实性,验证成功则执行以下步骤,否则拒绝该消息; b) 解析鉴别请求消息,判断鉴别请求消息是否包含必要的参数以及每个参数是否符合要求,若 符合要求则执行以下步骤,否则拒绝该消息; 提示用户选择生物特征识别器,用户选择后,使用用户选择的生物特征识别器验证用户,验证 通过后执行以下操作,否则返回错误; d 创建鉴别响应消息,并根据鉴别请求消息的参数初始化鉴别响应消息的各个参数; e 将鉴别响应消息发送给身份鉴别服务器。

    6.2.2.3身份鉴别服务器处理鉴别响应规则

    身份鉴别服务器处理鉴别响应应遵循以下步骤: a)解析鉴别响应消息,判断鉴别响应消息是否包含必要的参数以及每个参数是否符合要求,若符 合要求则执行以下步骤,否则拒绝该消息; b) 使用鉴别公钥验证鉴别响应消息的正确性; c)如果验证通过,则鉴别成功,否则失败

    图7描还注销流程(图中流控实线表示尔消 由图例中的左侧实体到右侧实体,虚线部分表示 由图例中的右侧实体到左侧实体

    注销流程如下: 用户登陆身份鉴别服务器,发起注销流程; b)身份鉴别服务器生成注销请求消息,删除与该用户相关的数据; c)身份鉴别服务器将注销请求消息发送至生物特征识别密钥管理器; d生物特征识别密钥管理器删除用户相关数据

    注销流程如下: a)用户登陆身份鉴别服务器,发起注销流程; b)身份鉴别服务器生成注销请求消息,删除与该用户相关的数据; c)身份鉴别服务器将注销请求消息发送至生物特征识别密钥管理器; d生物特征识别密钥管理器删除用户相关数据

    6.3.2注销流程处理规则

    身份鉴别服务器生成注销请求应遵循以下步骤

    a)创建注销请求消息,并初 水滑息的谷下参数(参免附求A): b)删除身份鉴别服务器上与该用户相关的数据 )将注销请求消息发送到生物特征识别密钥管理器

    2生物特征识别密钥管理器处理注销请求规则

    生物特征识别密钥管理器处理注销请求应遵循以下步骤: a 解析注销请求消息,判断注销响应消息是否包含必要的参数以及每个参数是否符合要求,者 合要求则执行以下步骤,否则拒绝该消息; b)删除用户的相关数据

    主要接口是生物特征识别密钥管理器接口,关系女

    生物特征识别密钥管理器接口是生物特征 别服务器可以通过用户代理(例如浏览器

    7.2生物特征识别密钥管理器接口

    本章定义厂生物特征识别密钥管理器的接口,该接口包含三个方法,分别是发现方法、技 法和通知结果方法

    7.2.3执行操作方法

    身份鉴别服务器调用该方法,执行本协议的注册操作、鉴别操作或者注销操作。该方法的参数包 弟的协议消息,示例参见附录C

    7.2.4通知结果方法

    当身份鉴别服务器接收并处理协议 该方法,将身份鉴别服务器的处理结果返回约 特征识别密钥管理器。该方法的参数包括服务器的处理结果,示例参见附录C。

    本附录所有数据格式采用GB/T16262一2006的规定描述。

    协议消息是本协议的各个参与方交互时传递的消息,ASN.1描述如下: BAPMessage::=SEQUENCE( bapProtocolMessage OCTETSTRING additionalData OCTETSTRING bapProtocolMessage:协议消息,例如注册请求消息(参见A.2)、注册响应消息(参见A,3)、鉴别请 求消息(参见A.4)、鉴别响应消息(参见A.5)、注销请求消息(参见A.6)等。 additionalData:附加参数

    RegistrationRequest::=SEQUENCE( header OperationHeader, challenge PrintableString, username PrintableString header:操作头,header.op的值应为“Re challenge:身份鉴别服务器提供的挑战付 username.用户在某依赖方的账号名称。

    RegistrationResponse::=SEQUENCE( header OperationHeader, fcParams FinalChallengeParams, assertion RegistrationAssertion header:操作头,header.op应为"Reg”,ASN.1描述参见B.4。 fcParams:最终挑战参数FinalChallengeParams,ASN.1描述参见B.5。该参数使用UTF8编码, 然后使用[RFC4627]定义的序列化方法序列化后,再使用base64url[RFC4648]对其进行编码后的值。 assertions:注册请求断言,生物特征识别密钥管理器的响应数据,ASN.1描述如下: RegistrationAssertion::=SEQUENCE( assertionScheme PrintableString(BAPVITLV), assertion RegAssertion,

    GB/T366512018

    exts SEQUENCEOF Extensior assertionScheme:用来编码断言的断言模式名称,该值为“BAPV1TLV” exts:生物特征识别密钥管理器支持的扩展,ASN.1描述参见B.3。 assertion:注册断言,ASN.1描述如下: RegAssertion::=( krd KRD, sig BIT STRING krd:密钥注册数据,ASN.1描述参见B.9。 sig:使用厂商私钥对krd进行签名后的签名值

    AuthenticationRequest::=SEQUENCE header OperationHeader, challenge PrintableString

    AuthenticationRequest::=SEQUENCE( header OperationHeader, challenge PrintableString header:操作头,header.op的值应为“Auth”,ASN.1描述参见B.4。 challenge:服务器提供的挑战值

    AuthenticationResponse::=SEQUENCE header OperationHeader, fcParams FinalChallengeParams, assertions AuthAssertion header:操作头,header.op应为“Auth”,ASN.1描述参见B.4。 fcParams:最终挑战参数FinalChallengeParams,ASN.1描述参见B.5。该参数使用UTF8编码, 然后使用[RFC4627]定义的序列化方法序列化后,再使用base64url[RFC4648]对其进行编码后的值。 assertions:AuthAssertion对象,生物特征识别密钥管理器针对鉴别请求生成的签名断言,ASN.1 描述如下: AuthAssertion::=SEQUENCE( assertionScheme PrintableString(BAPVITLV), assertion SignAssertion, exts SEQUENCEOFExtensionOPTIONAL 1 assertionScheme:用来编码断言的断言模式名称,该值为“BAPV1TLV”。 exts:生物特征识别密钥管理器支持的扩展,ASN.1描述参见B.3。 assertion:生物特征识别密钥管理器针对鉴别请求数据生成的签名断言,ASN.1描述如下: SignAssertion::=( signData SignData,

    sig BITSTRING signData:待签名数据,ASN.1描述参见B.10。 sig:使用鉴别私钥对signData进行签名后的签名值

    sig BITSTRING signData:待签名数据,ASN.1描述参见B.10。 sig:使用鉴别私钥对signData进行签名后的签名值

    DeregistrationRequest::=SEQUENCE header OperationHeader, bapKeyManagers SEQUENCEOFDeregisterBAPKeyManager header:操作头,header.op应为“Dereg”,ASN.1描述参见B.4 bapKeyManagers:要注销的生物特征识别密钥管理器(DeregisterBAPKeyManager)列表,Deregis terBAPKeyManager的ASN.1描述如下: DeregisterBAPKeyManager::=SEQUENCE( bkmaID PrintableString, keyID PrintableString 2 bkmaID:要注销的生物特征识别密钥管理器的生物特征识别密钥管理器标识符(bkmID)。 keyID:与鉴别私钥相关联的唯一的密钥标识符(KeyID),对于具有相同bkmID的生物特征识别密 钥管理器,KeyID是唯一的

    本附录是协议消息相关数据结构的ASN.1描述

    附录B (资料性附录) 协议消息相关数据结构

    Version::=SEQUENCE( major INTEGER, minor INTEGER major:主要版本。 minor:次要版本 本标准的协议主要版本为1,次要版本为0。

    Operation::=PrintableString(Register(Reg),Authentication(Auth),Deregister(Dereg)) 本标准有以下三种操作类型: Reg:注册 Auth:鉴别 Dereg:注销

    OperationHeader::=SEQUENCE bapy Version,

    op Operation, appID PrintableString, serverData PrintableStringOPTIONAL, exts SEQUENCEOFExtensionOPTIONAL bapv:基于可信环境的生物特征识别身份鉴别协议版本,ASN.1描述参见B.1。 op:值应为“Reg”,“Auth”或者“Dereg”。基于可信环境的生物特征识别身份鉴别协议操作的类型, ASN.1描述参见B.2。 appID:依赖方应用程序标识符。 serverData:依赖方创建的会话标识符。 exts.扩展名列表.ASN.1描述参见B.3

    op Operation, appID PrintableString, serverData PrintableStringOPTIONAL, exts SEQUENCEOFExtensionOPTIONAL

    bapv:基于可信环境的生物特征识别身份鉴别协议版本,ASN.1描述参见B.1。 op:值应为“Reg”,“Auth”或者“Dereg”。基于可信环境的生物特征识别身份鉴别协议操作的类 SN.1描述参见B.2。 appID:依赖方应用程序标识符。 serverData:依赖方创建的会话标识符。 exts:扩展名列表,ASN.1描述参见B.3

    FinalChallengeParams::=SEQUENCE( appID PrintableString, challenge PrintableString 2 appID:该参数值设置为操作头的appID参数值。 challenge:该参数值设置为注册请求或鉴别请求中的服务器挑战参数值,服务器挑战是服务器提供 的随机参数值。

    FinalChallengeParams::=SEQUENCE appID PrintableString, challenge PrintableString

    ID:该参数值设置为操作头的appID参数值。 llenge:该参数值设置为注册请求或鉴别请求中的服务器挑战参数值,服务器挑战是服务器提供 参数值。

    B.6生物特征识别密钥管理器信息

    身份鉴别服务器可以获取生物特征识别密钥管理器相关信息,例如生物特征识别密钥管理器厂商 在生成厂商密钥时所使用的相关算法和信息,以及生物特征识别密钥管理器生成鉴别公私钥时所使用 的相关算法和信息。身份鉴别服务器可以使用生物特征识别密钥管理器相关提供方的服务来获取这些 信息。

    AssertionInfo::=SEQUENCE( version Version, mode AuthenticationMode, signatureAlgAndEncoding INTEGER, publicKeyAlgAndEncoding INTEGEROPTIONAL ? version:断言的版本,ASN.1描述参见B.1。 mode:断言模式。 signatureAlgAndEncoding:该值代表签名算法相关信息,身份鉴别服务器和生物特征识别密钥管 理器应对该值的语义协商一致,即能够通过该值在身份鉴别过程中使用一致的签名算法和相关参数。 publicKeyAlgAndEncoding:该值代表公钥算法相关信息,身份鉴别服务器和生物特征识别密钥管 理器应对该值的语义协商一致,即能够通过该值在身份鉴别过程中使用一致的公钥算法和相关参数。

    publicKeyAlgAndEncoding:用户验证方式,ASN.1描述如下: AuthenticationMode::=INTEGER(explicitly(OxO1)) explicitly:应进行显式的用户验证,例如指纹输入、虹膜扫描等

    猫还如下: AuthenticationMode::=INTEGER(explicitly(OxOl))) explicitly:应进行显式的用户验证,例如指纹输人、虹膜扫描等

    B.8生物特征识别密钥管理器计数器值

    Counters::=SEQUENCE SignCounter INTEGER, RegCounter INTEGER SignCounter:签名计数器的值。 RegCounter:注册计数器的值

    KRD::=SEQUENCE( bkmID PrintableString, assertionlnfo Assertionlnfo, challengeHash BIT STRING, keyID PrintableString, counters Counters, uauthPubKey OCTET STRING bkmID:生物特征识别密钥管理器标识符。 assertionlnfo:断言描述信息,ASN.1描述参见B.7。 challengeHash:服务器挑战的杂凑值。 keyID:鉴别私钥标识符。 counters:生物特征识别密钥管理器计数器值,ASN.1描述参见B.8。 uauthPubKey:生成的鉴别公钥。

    SignData:=SEQUENCE( bkmID PrintableString, assertionlnfo Assertionlnfo, nonce OCTET STRING, challengeHash OCTETSTRING, keyID PrintableString, counters Counters bkmID:生物特征识别密钥管理器标识符。 assertionlnfo:断言描述信息,ASN.1描述参见B.7。 nonce:生物特征识别密钥管理器生成的随机临时参数值

    challengeHash:服务器挑战的杂凑值。 keyID:鉴别私钥标识符。 counters:生物特征识别密钥管理器计数器值,ASN.1描述参见B.8。

    DiscoveryData::=SEQUENCE supportedBAPVersions SEQUENCEOFVersion, clientVendor PrintableString, clientVersion Version, availableBAPKeyManagers SEQUENCEOFPrintableString ) 描述: supportedBAPVersions:支持的基于可信环境的生物特征识别身份鉴别协议版本,ASN.1描述参 见B.1。 clientVendor:生物特征识别密钥管理器厂商。 clientVersion:生物特征识别密钥管理器版本。 availableBAPKeyManagers:可使用的生物特征识别密钥管理器标识符

    生物特征识别密钥管理器接口定义

    特征识别密钥管理器接口

    表C.1发现方法参数

    voidprocessBAPOperation rrorCallbackerrorCallback) 身份鉴别服务器调用该方法,执行本协议的三种操作,如注册操作、鉴别操作或者注销操作,执 方法参数参见表C.2。

    表C.2执行操作方法参数

    voidnotifyBAPResult(intresponseCode,BAPMessagebapResponse) 当身份鉴别服务器接收并处理协议消息后,应调用该方法,将身份鉴别服务器响应状态码返回给生 物特征识别密钥管理器,通知结果方法参数参见表C.3。

    表C3通知结果方法参数

    辅助软件C5DiscoveryCallback回调

    DiscoveryCallback回调用于生物特征识别密钥管理器在异步执行完成发现过程后将发现数据返 回给身份鉴别服务器。 callbackDiscoveryCallback=void(DiscoveryDatadata); 参数: data:DiscoveryData类型(参见B.11),描述当前身份鉴别服务器可使用的生物特征识别密钥管理 器和生物特征识别密钥管理器当前的状态。

    C.6BAPResponseCallback回调

    BAPResponseCallback回调用于生物特征识别密钥管理器在异步执行完成操作(例如注册、鉴别 后将协议消息返回给身份鉴别服务器。 参数: callbackBAPResponseCallback=void(BAPMessagebapResponse); 参数: bapResponse:BAPMessage类型(参见A.1),生物特征识别密钥管理器返回的响应消息

    、鉴别 后将协议消息返回给身份鉴别服务器。 参数: callbackBAPResponseCallback=void(BAPMessagebapResponse); 参数: bapResponse:BAPMessage类型(参见A.1),生物特征识别密钥管理器返回的响应消息

    住宅楼标准规范范本C7ErrorCallback回调

    ErrorCallback回调用于生物特征识别密钥管理器在异步执行操作时返回错误码和信息 callbackErrorCallback=void(ErrorCodecode); 参数: code.ErrorCode类型,ErrorCode接口(参见B.12)中的值.用于描述操作的结果

    GB/T16262.1—2006信息技术抽象语法记法一(ASN.1) 第1部分:基本记法规范 GB/T16262.2—2006 信息技术抽象语法记法一(ASN.1)第2部分:信息客体规范 GB/T16262.3—2006 信息技术抽象语法记法一(ASN.1) 第3部分:约束规范 GB/T16262.4—2006信息技术抽象语法记法一(ASN.1) 第4部分:ASN.1规范的参

    ....
  • 环境标准
  • 相关专题: 信息安全技术  

相关下载

常用软件