基于统一社会信用代码的移动终端身份认证技术规范编制说明

《基于统一社会信用代码的移动终端身份认证技术规范》编制说明一、任务来源本标准根据广东省质监局（原）《广东省质监局关于下达2017年广东省服务业地方标准制修订立项计划项目（第一批）的通知》（粤质监标函〔2017〕714号）开展制修订工作。本标准编制的牵头单位为广东省标准化研究院，协作单位有：广东省电子商务认证有限公司、广州市标准化研究院、数安时代科技股份有限公司。广东省标准化研究院主要负责地方标准的草案起草以及协助地方标准的申报、立项、地方标准的审定以及宣贯、培训等工作。广东省电子商务认证有限公司主要负责技术规范的相关技术文档、技术材料的整理和实施，并配合提供地方标准草案起草涉及的相关的技术文档和专家支持。广州市标准化研究院、数安时代科技股份有限公司主要配合地方标准草案起草的相关工作以及专家的技术支持。二、编制背景、目的和意义2016年9月国务院印发的《关于加快推进“互联网+政务服务”工作的指导意见》明确提出要“积极推动电子证照、电子公文、电子签章等在政务服务中的应用，开展网上验证核对，避免重复提交材料和循环证明”。事实上，早在2008年，根据《国家金卡工程全国IC卡应用（2008-2013年）发展规划》、《印发关于推广使用组织机构数字证书的通知》（粤质监〔2008〕158号）等文件精神，广东省已经开始发行组织机构数字证书，统一企事业单位的网上身份认证，增强企事业单位网上身份安全认证功能，保障企事业单位网上业务的安全，累计为将近200万家机构发放组织机构数字证书，并将组织机构数字证书应用于质监、税务、招投标等政务服务领域。其中，广东省国家税务局等部门最早利用组织机构数字证书推进无纸化业务，企事业单位利用数字证书可以在省国税的网站上实现无纸化报税业务，减少了大量流程，减少了大量的时间和经济成本。然而，随着组织机构数字证书在跨地区、跨行业的互通互认，一证多用，多证合一等应用需求日益凸现，尤其是近年移动办公、移动执法、手机银行等移动互联网快速发展，很多政务服务在手机等移动终端完成，随之而来的是移动终端安全问题也越来越多，移动应用成为新的安全瓶颈，无线PKI/CA安全应用需求迫切，迫切需要实现组织机构数字证书在移动领域上的拓展应用，满足用户在移动端的网上身份认证需求。例如，《广东省人民政府办公厅关于印发省网上办事大厅建设2017年工作方案的通知》提出“拓展省网上办事大厅手机版功能，提升个性化服务和精准推送能力，丰富工商、交通、税务、海关、教育、医疗、户籍、出入境、二孩等热点服务内容，推动移动服务向县区和镇街延伸，加快对接支付宝、微信等第三方支付平台，支撑手机“查、缴、办”一站式服务升级”。为了探索解决组织机构在移动终端的身份认证问题，广东省标准化研究联合广东省电子商务认证有限公司等单位承担并完成广东省质量技术监督局科研项目《基于组织机构代码的移动终端身份认证关键技术研究》（2015ZB01），研究成果包括“移动终端数字证书认证系统以及移动端电子证照认证系统”的新产品1项、一套移动终端上的即时电子签名系统等，为组织机构移动终端身份认证技术的相关标准制修订提供了实践的基础。因此，亟需加快移动终端身份认证技术相关标准制定，完善顶层设计，为移动数字证书在移动政务领域的推广应用提供技术标准支撑。结合我省实际，我们编写了广东省地方标准《基于统一社会信用代码的移动终端身份认证技术规范》。三、编制思路和依据本标准立足于规范统一社会信用代码在移动终端身份认证上的应用；解决机构用户在移动终端办事的身份认证安全问题；为移动应用服务商提供规范指引，协助不同应用间的互联互通的目标，在标准总规定了基于统一社会信用代码的移动终端身份认证的术语和定义、缩略语、身份鉴别机制与流程、数字证书格式规范、移动端密码模块的技术要求和应用集成规范。确保本标准适用于我省信息化建设中应用统一社会信用代码开展移动终端数字证书身份认证服务。四、标准主要内容本标准规范的内容主要包括四方面：身份鉴别机制与流程、数字证书格式规范、移动端密码模块、应用集成规范。（一）身份鉴别机制与流程本部分内容在第5章规定。身份鉴别机制提出身份鉴别的体系架构，包括三大参与方：证书认证机构、应用服务器、移动终端。证书认证机构作为第三方，是信任的基础，为移动终端用户的身份真实性负责，通过审核移动终端用户及其所属机构的身份后，为合法持有统一社会信用代码的企业/组织及其员工、移动终端颁发数字证书。同时，证书认证机构为应用服务器提供移动终端用户证书有效性验证服务（如证书信任列表、CRL、OCSP等）。应用服务器为用户或移动终端提供信息处理服务，提供信息处理服务前，需要先鉴别用户或移动终端的身份，需要向证书认证机构请求验证移动终端身份状态。移动智能终端通过证书认证登录到应用服务器进行信息处理操作。身份鉴别流程描述身份鉴别的整体流程，对身份鉴别的各个步骤进行详细说明。此外，本章对基于统一社会信用代码的移动终端数字证书身份鉴别过程的技术要求进行规定。（二）数字证书格式本部分内容在第6章规定，包括证书分类、证书结构、主体命名规范等内容。数字证书分为机构数字证书、机构员工数字证书、移动终端设备证书三大类。数字证书的基本结构由三部分组成：基本证书域（TBSCertificate）、签名算法域（SignatureAlgorithm）、签名值域（SignatureValue）。其中基本证书域主要由八部分组成：版本（Version）、序列号（SerialNumber）、签名算法（SignatureAlgorithm）、颁发者（Issuer）、有效期（Validity）、主体（Subject）、主体公钥信息（SubjectPublicKeyInfo）、扩展项集（Extensions）。此外，颁发者唯一标识符（IssuerUniqueID）、证书策略、密钥用法和主体唯一标识符（SubjectUniqueID）等为证书扩展项。具体技术要求参见GB/T20518-2006等国家标准相关规定。（三）移动终端模块本部分内容在第7章规定，对移动端密码模块的算法要求、安全性要求、资质要求、软件接口要求进行规定。其中，算法标识遵照GB/T33560-2017，安全性符合GM/T0028-2014标准中规定的安全二级及以上的要求，软件接口应符合GM/T0016-2012标准，且移动端密码模块应具有国家密码主管部门颁发的商用密码产品型号证书。（四）应用集成规范本部分内容在第8章规定，指导应用系统集成商在移动终端做数字证书应用集成实施工作，规范信息系统如何实现基于数字证书的安全登录功能。应用系统实施的证书认证登录需满足的条件包括：（1）应用调用数字证书做身份鉴别的软件接口要遵照GM/T0020-2012；（2）能防重放攻击，保证登录认证报文被窃取后，不能用来重放登录；（3）对登录证书要做证书信任链验证，保证只有受信任的证书认证机构（CA）颁发的数字证书才能登录到应用系统；（4）对登录证书要做有效期检查，保证在有效期范围内的证书才能登录到应用系统；（5）对登录证书要做密钥用法检查，保证只有签名或客户端认证用途的证书才能登录到应用系统；（6）对登录证书要做基本约束、名字约束、策略约束检查，保证不受约束条件限制；（7）对登录证书要做信任状态验证，保证被证书认证机构（CA）信任的证书才能登录到应用系统。应用系统集成包括以下步骤：确定集成安全需求、部署安全产品、签发用户证书、业务集成开放及竣工要求。五、与现行法律法规、强制性标准等上位标准关系《中华人民共和国电子签名法》规定“电子签名人向电子认证服务提供者申请电子签名认证证书，应当提供真实、完整和准确的信息”，从法律上保证了数字证书用户的身份真实性。《电子认证服务管理办法》规定“电子认证服务机构应当保证电子签名认证证书内容在有效期内完整、准确”，从管理上保证了CA所发数字证书的完整性、准确性。《商用密码管理条例》规定“任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品”，保障了密码使用的安全。《法人和其他组织统一社会信用代码编码规则》（GB32100-2015）：指明了统一社会信用代码编码规则。本标准符合国家相关法律、法规、规章及相关标准。六、标准调研、研讨、征求意见情况本标准的编制工作过程：（一）成立标准起草小组，制定工作方案自2017年8月起，在广东省标准化研究院的牵头组织下，成立了广东省标准化研究院、广州市标准化研究院、广东省电子商务认证有限公司等单位专业人员组成本标准的起草小组，制订工作方案，明确目标要求、工作思路、人员分工和工作进度等，开始标准的起草工作。（二）收集相关资料，开展调研起草小组针对本标准中涉及的移动终端身份认证相关技术标准问题，进行了相关资料的收集整理工作，检索了有关国家标准、行业标准和地方标准，查阅了大量有关的资料，并对这些标准和资料进行了系统的研究分析。起草小组针对本标准涉及的技术问题，调研了已经开始应用相关技术的企业，并与省移动、电信、联通的电信运营商沟通了解相应的应用需求和愿景。（三）标准起草起草小组在收集资料和实地调研基础上，经过深入的分析研究，并联系咨询行业内专家，确定了本标准的结构框架，进行标准的编写，并进行多次内部研讨和修改，于2017年10月形成了标准征求意见讨论稿。（四）标准研讨2017年11月，来自广东省标准化研究院、广州市标准化研究院、广东省电子商务认证有限公司等起草小组单位专家和数安时代科技股份有限公司等单位专家对本标准进行逐条详细研讨，并提出多条合理性修改建议。2018年4月，在研讨会各专家提出意见的基础上，对标准草案进行修改完善，形成了标准公开征求意见稿。（五）标准征求意见2018年4月，起草小组将标准征求意见稿分发至多家相关企业及专家广泛征求意见，回收12条修改意见（见征求意见汇总处理表）。起草小组对收到的反馈意见或建议进行了系统的整理、认真讨论，进一步对标准草稿进行了修改，形成标准审定稿。2019年10，召开了专家审定会，来自广东工业大学、工信部电子五所等专家对提供了很多专业的意见和修改建议。标准起草小组根据专家意见，修改完善标准，并形成了报批稿。七、重大分歧意见的处理经过和依据本标准在起草过程中无重大意见分歧。八、标准有何先进性或特色性。本标准把统一社会信用代码与公钥数字证书结合，实现对组织机构用户/终端单