DB14-T 2988-2024 山西电子政务外网电子认证应用服务规范

ICS35.240.20CCSL0714IDB14/T2988—2024前言 12规范性引用文件 13术语和定义 14缩略语 25基本要求 26服务内容 27服务质量 DB14/T2988—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由山西省政务信息管理局提出、组织实施和监督检查。本文件由山西省市场监督管理局对标准的组织实施情况进行监督检查。本文件由山西省电子政务信息标准化技术委员会归口。本文件起草单位：山西省数字政府服务中心、太原理工大学。本文件主要起草人：张一梅、马志红、赵栓驹、李灯熬、申若琦、张海燕、郝戍峰、郑超。DB14/T2988—20241山西电子政务外网电子认证应用服务规范本文件规定了山西电子政务外网电子认证应用服务的基本要求、服务内容、服务质量等。本文件适用于山西电子政务外网电子认证应用服务。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25056信息安全技术证书认证系统密码及其相关安全技术规范GB/T35285信息安全技术公钥基础设施基于数字证书的可靠电子签名生成及验证技术要求GM/T0010SM2密码算法加密签名消息语法规范GM/T0067基于数字证书的身份鉴别接口规范3术语和定义GB/T25056界定的以及下列术语和定义适用于本文件。3.1政务CA国家电子政务外网数字证书中心，又称“政务CA”，是国家电子政务外网电子认证工作统一对外管理和服务窗口。政务CA是专业化电子政务电子认证服务机构，设有独立密钥管理中心。3.2电子认证采用电子技术检验用户真实性的操作，是以PKI技术为基础，通过政务CA签发的数字证书对电子政务外网上传输的信息进行加密、解密、数字签名和签名验签，保证信息的保密性、完整性和不可抵赖性。3.3电子政务用户在山西电子政务外网范围内从事电子政务服务活动的政务部门、企事业单位、社会团体和社会公众等用户。3.4数字证书又称“证书”，是由政务CA签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。3.5私钥非对称密码算法中只能由拥有者使用的不公开密钥。3.6数字签名DB14/T2988—20242签名者使用私钥对待签名数据或待签名数据的杂凑值做密码运算得到的结果，该结果只能用签名者的公钥进行验证，用于确认待签名数据的完整性，签名者身份的真实性和签名行为的不可抵赖性。3.7数字信封数字信封是将对称密钥通过非对称加密的结果分发的方法，包含加密数据、数据加密密钥的密文等。4缩略语下列符号适用于本文件。CACertificationAuthority认证机构PKIPublicKeyInfrastructure公钥基础设施CRLCertificationRevocationList证书撤销列表OCSPOnlineCertificateStatusProtocol在线证书状态协议SSLSecureSocketsLayer安全套接层协议5基本要求5.1电子认证服务应符合GB/T35285、GM/T0067、GM/T0010等国家标准、行业标准的相关要求。5.2在山西电子政务外网应用中基于证书进行身份认证、数字签名与验签、信息加密与解密时应验证证书的有效性。6服务内容6.1身份认证6.1.1概述电子政务用户通过证书登录电子政务外网应用系统，身份认证系统对证书进行有效性验证和签名验证，验证成功登录系统，否则，登录失败。身份认证实现方式支持代理模式和调用模式，实现过程包括请求认证原文和请求身份认证。6.1.2身份认证系统配置身份认证系统，基本配置要求包括：——配置政务CA根证书；——配置OCSP；——配置CRL，CRL为自动下载，CRL的URL为“ldap://从目录服务系统IP:端口/o=sicca?certificateRevocationList;binary?sub?(&(objectClass=cRLDistributionPoint)(CN=CEGNSM2Class2CA))”；——配置电子政务外网应用系统相关信息，包括系统名称、IP地址、应用标识、认证方式等信息。6.1.3代理模式请求认证原文和身份认证过程如下：a)客户端电子政务用户插入智能密码钥匙通过证书登录，访问代理身份认证系统（简称代理由客户端发起，向代理请求认证原文；DB14/T2988—20243b)代理收到请求后，生成随机数作为认证原文，返回给客户端；c)客户端收到认证原文，弹出证书选择对话框，电子政务用户选择证书输入PIN码，客户端通过签名证书对应的私钥对认证原文进行签名运算得到签名值，将签名值、签名证书作为认证请求消息，发送给代理；d)代理收到认证请求，根据认证请求消息内容对电子政务用户身份进行认证，包括验证证书有效期、是否政务CA签发、证书状态及签名有效性等；e)代理验证成功，服务端电子政务外网应用系统解析证书得到证书唯一标识，获取对应的操作权限，客户端登录成功显示登录页面；验证失败拒绝访问，并将失败消息返回给客户端。请求认证原文和身份认证过程见图1。签名证书对应的私钥对随机数签名得到签名值将随机数返回请求业面验证证书有效性验证签名有效性图1请求认证原文和身份认证过程流程图6.1.4调用模式请求认证原文和身份认证过程如下：a)客户端电子政务用户插入智能密码钥匙通过证书登录，访问电子政务外网应用系统（简称服务端），由客户端发起，向服务端请求认证原文；b)服务端收到请求后，服务端生成随机数或服务端向身份认证系统请求生成随机数作为认证原文，返回给客户端；DB14/T2988—20244c)客户端收到认证原文，弹出证书选择对话框，电子政务用户选择证书输入PIN码，客户端通过签名证书对应的私钥对认证原文进行签名运算得到签名值，将签名值、签名证书作为认证请求消息，发送给服务端；d)服务端收到认证请求消息，向身份认证系统发起身份认证请求；e)身份认证系统收到认证请求，根据认证请求消息内容对电子政务用户身份进行验证，包括验证证书有效期、是否政务CA签发、证书状态及签名有效性等，并将验证结果返回给服务端；f)服务端根据身份认证系统返回的结果，验证成功，解析证书得到证书唯一标识，获取对应的操作权限，客户端登录成功显示登录页面；验证失败拒绝访问，并将失败消息返回给客户端。请求认证原文和身份认证过程见图2。密码钥匙访问电子政务外网应用系统请求认证原文签名证书对应的私钥对随机数签名得到签名值签名证书显示登录页面身份认证结束将随机数返回请求业面签名证书解析证书得到证书生成随机数验证证书有效性验证签名有效性返回验证结果获取对应的操作权限图2请求认证原文和身份认证过程流程图6.2数字签名与验签6.2.1单向签名与验签客户端对数据进行数字签名，服务端验证成功对数据进行处理，签名验签过程如下：a)客户端根据业务需求向服务端提交数据；DB14/T2988—20245b)客户端使用电子政务用户签名证书对应的私钥对数据进行签名运算得到签名值，将签名值、数据和签名证书发送给服务端；c)服务端收到客户端的签名值、数据和签名证书，验证客户端证书有效性，用客户端签名证书验证数据签名值；d)验证成功服务端处理数据，返回数据处理结果，验证失败返回客户端验证失败消息。签名验签过程见图3。签名证书对应的私钥对数据签名得到签名值验签结束验证客户端证书有效性客户端签名证书验证验证成功图3单向签名与验签流程图6.2.2双向签名与验签客户端与服务端双方分别对数据进行签名和验签，签名验签过程如下：a)客户端根据业务需求向服务端提交数据；b)客户端使用电子政务用户签名证书对应的私钥对数据进行签名运算得到签名值，将签名值、数据和签名证书发送给服务端；c)服务端收到客户端的签名值、数据和签名证书，验证客户端证书有效性，用客户端签名证书验证数据签名值；d)验证成功服务端处理数据，验证失败返回客户端验证失败消息；e)服务端完成数据处理，使用服务端签名证书对应的私钥对数据处理结果进行签名运算得到签名值，将数据处理结果、签名值和签名证书发送给客户端；f)客户端收到服务端的数据处理结果、签名值和签名证书，验证服务端证书有效性，用服务端签名证书验证数据处理结果签名值；g)验证成功确认处理结果并进行相应的操作，验证失败返回服务端验证失败消息。签名验签过程见图4。DB14/T2988—20246客户端服务端开始签名证书对应的私钥对数据签名得到签名值数据签名证书验证失败消息验证服务端证书有效性服务端签名证书验证签名值验证成功确认处理结果进行操作验证客户端证书有效性客户端签名证书验证签名值验证成功处理数据签名证书对应的私钥对处理结果签名得到签名值数据处理结果签名证书返回验证失败消息验签结束图4双向签名与验签流程图6.3数据加密与解密6.3.1数据加密与解密方式电子政务外网应用系统使用证书加密与解密的方式包括：——使用标准SSL协议对数据加密与解密；——使用数字信封或签名及数字信封对数据进行加密与解密。应用系统如不需要保存密文，选择标准SSL协议进行数据加密与解密；如需要保存密文，选择数字信封或签名及数字信封进行数据加密与解密。6.3.2标准SSL协议加密与解密数据加密与解密过程符合标准SSL协议的使用规范。6.3.3数字信封方式的加密与解密DB14/T2988—20247客户端与服务端进行数据加密传输，发送数据的一方称为消息发送方，接收数据的一方称为消息接收方，加密与解密过程如下：a)发送方获得接收方的加密证书；b)发送方选择一种对称加密算法，随机生成数据加密密钥；c)发送方使用对称加密算法和数据加密密钥对消息加密得到消息密文；d)发送方使用接收方的加密证书，选择一种非对称加密算法对数据加密密钥加密，得到数据加密密钥密文；e)发送方形成数字信封，发送给接收方；f)接收方收到数字信封；g)接收方用非对称加密算法和加密证书对应的私钥解密数据加密密钥密文，得到数据加密密钥；h)接收方用对称加密算法和数据加密密钥解密消息密文，得到原始消息。加密与解密过程见图5。消息发送方消息接收方开始选择一种对称加密算法，随机生成数据加密密钥消息加密得到消息密文选择一种非对称加密算法，用加密证书对数据加密密钥加密得到密钥密文形成数字信封加密证书用非对称加密算法和加密证书对应的私钥解密得到数据加密密钥用对称加密算法和数据加密密钥解密消息密文得到原始消息结束图5数字信封方式的加密与解密流程图6.3.4签名及数字信封方式的加密与解密DB14/T2988—20248客户端与服务端进行数据加密传输，发送数据的一方称为消息发送方，接收数据的一方称为消息接收方，加密与解密过程如下：a)发送方获得接收方的加密证书；b)发送方使用消息摘要算法对消息计算得到消息摘要，用签名证书对应的私钥对消息摘要进行签名运算得到消息摘要签名值；c)发送方选择一种对称加密算法，随机生成数据加密密钥；d)发送方使用对称加密算法和数据加密密钥对消息加密得到消息密文；e)发送方使用接收方的加密证书，选择一种非对称加密算法对数据加密密钥加密，得到数据加密密钥密文；f)发送方形成签名及数字信封，发送给接收方；g)接收方收到签名及数字信封；h)接收方验证发送方证书有效性，用发送方的签名证书对消息摘要签名值进行验证，验证失败返回发送方验证失败消息；验证成功，用非对称加密算法和加密证书对应的私