YD/T 3532-2019 移动应用身份认证总体技术要求.pdf

  • YD/T 3532-2019  移动应用身份认证总体技术要求.pdf为pdf格式
  • 文件大小:34.7 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2021-04-03
  • 发 布 人: 13648167612
  • 文档部分内容预览:
  • 该组件属于身份认证客户端的核心关键组件,负责管理用户密钥及认证器验证密钥,完成各种密码 学运算(例如签名、哈希、加解密等)。匹配元件作为认证器的子组件,使用生物特征识别技术或其他 身份识别技术对用户完成身份校验。认证器需要运行于安全边界中,可采用可信执行环境(TEE)或者 安全元件(SE)或者白盒加密技术对认证器进行安全保护。 认证器厂商需提供元数据文件,对认证器的各项属性进行描述, 认证器元数据应当至少包含如下属性信息。 认证器厂商标识符。此标识符应当能够唯一标识出同一生产批次的认证器设备。 ? 认证器的简要描述。 认证器的版本号。 认证器所支持的身份认证协议的版本号。 认证器所支持的认证算法。 认证器所支持的公钥格式。 认证器所支持的校验用户的方法列表。 认证器的密钥保护方法。 ? 认证器的匹配元件保护机制。 认证器连接设备的方式。 认证器所使用的X.509根证书列表。 认证器提供下列主要功能:

    YD/T35322019

    在认证器内部实现用户校验机制。校验机制可以是多种多样的,从生物识别校验到简单PIN 码校验均可。 实现用于身份认证的加解密、签名、哈希等操作。 生成身份认证服务器能够解析的数据结构。 如果内置了认证器验证功能,需要向身份认证服务器进行合法性验证。

    园林标准规范范本4.2.2身份认证服务器

    4.2.2.1协议响应功能

    身份认证协议响应功能,根据接收的身份认证客户端请求,与客户端进行正确的交互,对协议消息 进行封装和解析。

    4.2.2.2策略管理功能

    身份认证策略管理功能,负责实现依赖方对于身份认证的安全策略的设置、部署与管理。 身份认证系统的安全策略可以有效地帮助依赖方快速灵活地对身份认证系统进行控制,例如实现对 用户设备端的准入控制;对用户验证身份的方式(如指纹识别、虹膜识别、人脸识别等)进行选择;允 许或拒绝某个用户的身份认证操作等。身份认证策略管理功能包括: 策略编辑。管理员可以针对安全策略进行增删改查等操作。 策略启用。管理员可以启用当前安全策略。 策略停用。管理员可以停用当前安全策略。

    4.2.2.3且志审计功能

    身份认证日志审计功能,负责实现真 与审计功能。管理员能够查询到身 系统中每一次相关操作的全部信息, 用户名、设备型号、消息内容等。

    4.2.2.4密钥管理功能

    身份认证服务密钥管理功能,负责实现对用户公钥以及设备认证器元数据的安全管理。 身份认证服务密钥管理功能如下。 。当用户注册时接收用户公钥,并进行设备认证器验证(参见5.1注册流程),验证通过后将用 户公钥保存在服务器安全存储区域。 从设备厂商或可信第三方服务商获取设备认证器元数据,并将这些认证器元数据保存在服务器 安全存储区域。

    4.2.2.5设备验证功能

    身份认证服务设备验证功能,负责实现对发出注册请求的设备进行合法性验证的功能。 设备认证器中需预置认证器验证私钥和相应的公钥证书,当用户进行注册时,由认证器产 户公钥必须使用认证器中预置的认证器验证私钥进行签名,然后连同公钥证书一起发送到身

    该接口实现了认证器接口模块与认证器之间的功能调用。认证器必须向认证器接口模块提供下列命 令接口: 返回内部认证器信息(例如认证器厂商标识符、认证器元数据信息等); 注册命令(生成注册断言,将认证器注册到依赖方身份认证服务器); 签名命令(生成签名断言,发送到依赖方身份认证服务器进行验签); 注销命令(从认证器中删除已注册的用户密钥句柄); 打开设置界面(例如改变PIN码、注册新指纹等)。 该接口详细内容参见附录A.1。

    该接口实现了身份认证代理模块与认证器接口模块之间的功能调用。认证器接口模块应为身份认证 代理提供下列接口功能: 获取认证器信息(枚举当前设备存在的所有认证器并收集所有信息,为所有认证器分配索引); 执行注册操作(验证用户身份并返回认证器所生成的注册断言); 执行认证操作(验证用户身份并返回认证器所生成的签名断言); 执行注销操作(从认证器中删除注册记录及用户私钥); 获取注册信息(返回当前设备认证器中为此依赖方进行注册的所有记录); 打开设置界面(显示认证器内置的用户界面,比如刷指纹的界面)。 该接口详细内容参见附录A.2。

    该接口实现了浏览器或应用与身份认证代理 认证代理应为浏览器或应用提供 下列接口功能: 获取身份认证协议版本号: 获取设备认证器属性信息(即认证器元数据内容的子集); 检查当前设备是否支持MAA协议; 检查当前设备是否符合依赖方安全策略; 执行身份认证操作(如注册、认证、注销等); 解析身份认证服务器返回的结果。 该接口详细内容参见附录A.3。

    YD/T3532—2019

    即身份认证服务接口,负责实现依赖方Web服务器与身份认证服务器之间功能调用。 身份认证服务应提供下列接口功能: 查询; 注册; 认证; 注销。 该接口详细内容参见附录A.4。

    MAA协议主要由身份认证客户端和服务端之间的三种会话组成,分别是:注册、认证和注销。这 三种会话基本涵盖了身份认证系统的基本功能,描述了用户如何在依赖方建立起身份凭证、如何使用身 份凭证在依赖方完成鉴别以及如何在依赖方撤销身份凭证的过程。 注册:用户将认证器注册到其在依赖方的账号,依赖方可以指定策略从而选择支持何种类型的认证 器。身份认证客户端必须根据依赖方的策略选择认证器进行注册。 认证:用户可根据依赖方的策略选择已经完成注册的认证器进行到依赖方的身份鉴别过程。 注销:用户可以将与某依赖方账号相关的身份凭证信息删除

    YD/T3532—2019

    MAA中身份认证客户端与身份认证服务端之间必须采用TLS加密通道以确保通信安全。MAA切 议消息必须执行TLS通道绑定(见RFC5056[RFC5056])以防止中间人攻击。 MAA支持以下TLS绑定模式: serverEndPoint[RFC5929]:使用TLS服务器证书的哈希值的base64url编码值 tlsServerCertificate[RFC5929]:直接使用TLS服务器证书 tlsUnique[RFC5929]:使用TLS通道的Finished握手消息结构的base64url编码值。

    6.2.1服务端发起请求消息

    MAA协议中的所有业务会话流程中,无论是注册、认证还是注销流程,流程的正式请求消息总是 由服务端发起,其消息格式见表1。

    表2服务端请求消息头

    6.2.2客户端返回响应消息

    客户端收到服务端发出的请求消息后,进行一系列处理,最终由认证器产生相应的断言,并封 应消息返回给服务端。其消息格式见表3。

    客户端响应消息的消息头部分与服务端请求消息的消息头应保持一致,确保响应消息与请求消息是 处于同一次协议会话过程中。

    6.2.2.2最终排战值

    身份认证客户端将服务端请求消息的险 依赖方应用标识符以及TLS通道绑定信息等使 用UTF8编码进行序列化并采用Base64url进行编码得到最终挑战值。

    认证器在注册、认证流程中对产生的待签名对象进行签名之后采用Base64url编码得到断言。断言 的长度限制在4096字节以内。断言不能被修改。身份认证服务器接收到响应消息后将对断言进行相应 的解码和分析验证,进而完成MAA协议会话流程。

    YD/T3532—2019

    1Getlnfo()获取认证器

    描述: 此命令返回终端内部认证器相关信息。它可能会返回0或多个的认证器。每个认证器被分配序号以 便于识别。

    YD/T 35322019

    YD/T3532—2019

    YD/T 35322019

    A.1.2Register (注册

    YD/T35322019

    A.1.3Sign()签名

    描述: 此命令使用注册命令产生的用户私钥对数据进行签名,生成鉴别断言,该断言保证数据传递到服务 器后可通过用户公钥验证。

    YD/T 35322019

    煤矿标准规范范本YD/T3532—2019

    A.1.4Deregister()注销

    YD/T 35322019

    A.1.5OpenSettings()打开设置界面

    猫述: 此命令指示认证器打开内置的设置界面(例如更改PIN码、登记新的指纹等)。如果认证器不 功能,则必须返回STATUSCMDNOTSUPPORTED。

    YD/T3532—2019

    气象标准YD/T 35322019

    ....
  • 认证标准
  • 相关专题:

相关下载

常用软件