YD/T 3204-2016
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 3204-2016.Reference architecture of eID.
1范围
YD/T 3204规定了网络电子身份标识eID的体系架构,包括网络身份管理参考模型、eID技术框架和eID层次结构。
YD/T 3204适用于eID服务平台及相关应用服务系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术术语网络电子身份格式规范
YD/T 2592-2013 身份管理(IdM)术语网络电子身份标识eID载体安全技术要求
GM/T 0015-2012 基于SM2密码算法的数字证书格式规范
ITU-T X.509信息技术开放系统互连一号码簿: 公钥和属性鉴别框架( Information technology-Open systems interonection-The Directory: Public-key and atribute certificate frameworks)
ISO 7816识别卡.带触点的集成电路卡(ldentifcation cards - Integrated circuit(s) cards with contacts)
ISO 14443识别卡.非接触式集成电路卡(Identification cards - Contactless integrated circuit cards)
3术语、定义和缩略语
3.1术语和定义
GB/T 25069- 2010、 YD/T 2592-2013界 定的以及下列术语和定义适用于本文件。
3.1.1
微软的网络化多媒体对象技术ActiveX
1范围
YD/T 3204规定了网络电子身份标识eID的体系架构,包括网络身份管理参考模型、eID技术框架和eID层次结构。
YD/T 3204适用于eID服务平台及相关应用服务系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术术语网络电子身份格式规范
YD/T 2592-2013 身份管理(IdM)术语网络电子身份标识eID载体安全技术要求
GM/T 0015-2012 基于SM2密码算法的数字证书格式规范
ITU-T X.509信息技术开放系统互连一号码簿: 公钥和属性鉴别框架( Information technology-Open systems interonection-The Directory: Public-key and atribute certificate frameworks)
ISO 7816识别卡.带触点的集成电路卡(ldentifcation cards - Integrated circuit(s) cards with contacts)
ISO 14443识别卡.非接触式集成电路卡(Identification cards - Contactless integrated circuit cards)
3术语、定义和缩略语
3.1术语和定义
GB/T 25069- 2010、 YD/T 2592-2013界 定的以及下列术语和定义适用于本文件。
3.1.1
微软的网络化多媒体对象技术ActiveX
标准图片预览
标准内容
ICS35.110
中华人民共和国通信行业标准
YD/T3204—2016
网络电子身份标识eID体系架构
ReferencearchitectureofeD
2016-10-22发布
中华人民共和国工业和信息化部2017-01-01实施
引用。
1范围。
2规范性引用文件
3术语、定义和缩略语,
3.1术语和定义
3.2缩略语..
4网络电子身份标识eID体系架构4.1eID体系架构概述..
4.2网络身份管理参考模型,
4.3eID技术框架
4.4eID层次结构
附录A(资料性附录)eID应用场景交互实例参考文献.
YD/T3204—2016
YD/T3204—2016
本标准是“网络电子身份标识eID”系列标准之一。本系列标准预计结构和名称如下:1.《网络电子身份标识eID术语和定义》2.《网络电子身份标识eID体系架构》(本标准)3.《网络电子身份标识eID的审计追溯技术框架》4.《网络电子身份标识eID的审计追溯接口技术要求》5.《基于eID的多级数字身份管理技术参考框架》6.《网络虚拟身份描述方法》
7、《网络虚拟身份数据存储与交换技术要求》8.《网络虚拟资产描述方法》
9.《网络虚拟资产数据存储与交换技术要求》10.《网络电子身份标识eID验证服务接口技术要求》11.《网络电子身份标识eID验证服务接口测试方法》12.《网络电子身份标识eID移动应用接口技术要求》13.《网络电子身份标识eID移动应用接口测试方法》14.《网络电子身份标识eID桌面应用接口技术要求》15.《网络电子身份标识eID桌面应用接口测试方法》本标准依据GB/T1.1一2009给出的规则起草。请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:公安部第三研究所、中国科学院软件研究所、北京中电华大电子设计有限责任公司、国防科学技术大学计算机学院、北京邮电大学、中国科学院信息工程研究所。本标准主要起草人:邹翔、杨明慧、汪志鹏、倪力舜、高志刚、兰、天、李树栋、高峰、柳扬、全拥、邓璐、许晋、周薇、戴娇。II
YD/T3204—2016
本标准旨在提供与网络电子身份标识eID相关的编码、载体、服务平台、应用系统等各方面的一个整体技术架构,指导相关的设计、开发与测试。Ⅲ
1范围
网络电子身份标识eID体系架构
YD/T3204—2016
本标准规定了网络电子身份标识eID的体系架构,包括网络身份管理参考模型、eID技术框架和eID层次结构。
本标准适用于eID服务平台及相关应用服务系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069—2010信息安全技术术语网络电子身份格式规范
YD/T2592—2013身份管理(IdM)术语网络电子身份标识eID载体安全技术要求GM/T0015—2012基于SM2密码算法的数字证书格式规范ITU-TX.509信息技术—开放系统互连号码薄:公钥和属性鉴别框架(Informationtechnology-Open systems interconnection-TheDirectory:Public-key andattribute certificateframeworks)ISO7816识别卡.带触点的集成电路卡(Identificationcards-Integratedcircuit(s)cardswithcontacts)ISO14443识别卡.非接触式集成电路卡(Identificationcards-Contactlessintegratedcircuitcards)3术语、定义和缩略语
3.1术语和定义
GB/T250692010、YD/T2592—2013界定的以及下列术语和定义适用于本文件。3.1.1
微软的网络化多媒体对象技术ActiveX根据微软权威的软件开发指南MSDN(MicrosoftDeveloperNetwork)的定义,ActiveX技术涉及些软件组件或对象,可以将其插入到Web网页或其他应用程序中。3.1.2下载标准就来标准下载网
网络电子身份标识Electronicldentity用于在互联网上在线识别公民身份的电子标识,承载于智能安全芯片上,基于密码技术实现与公民真实身份的校验一一对应,简称eID。1
YD/T3204—2016
elD识别elDAuthentication
确认eID实体真实身份的过程。
elD身份注册elDRegistration
通过为实体的身份赋予唯一的eID标识码,提供一组作为声明的身份和/或权利证据的数据,并签发eID载体,保证其真实性的过程。3.1.5
elD身份验证elDVerification
通过将所提交的eID身份声明与事先证明的信息进行比较来确认声明的eID身份是否正确的过程。3.1.6
elD签名elDSignature
数据中以电子形式所含、用于识别签名人真实身份并表明签名人认可其中内容的数据。3.1.7
elD审计elDAudit
对eID系统进行系统记录和行为的独立审核,以测试系统控制的充分性,确保系统顺从已有策略和操作流程,检测安全漏洞,并指出在控制、策略和流程方面的任何显著变化。3.1.8
用户User
需要得到实名认证的实体,包括了个人实体和非个人实体(如组织机构、硬件设备、网络、软件和服务等)。
身份提供方IdentityProvider
根据各类应用的安全等级,为用户提供身份注册、载体发放(可选)和不同级别的真实身份验证等服务的实体。
身份依赖方IdentityRelyingParty依赖身份提供方的身份验证等服务做出的访问控制决策的主体,应保存必要的用户标识信息。3.1.11
身份基础库IdentityDatabase
为身份提供方提供基础身份信息的数据集合,包括公安人口库、法人库、ICP库等。3.1.12
身份监管方IdentitySupervisor2
YD/T3204—2016
制定、发布网络管理的指导意见和相关政策法规,监督身份依赖方和身份提供方,并可对其进行审计的国家权威网络管理机构或其授权的机构。3.2缩略语
下列缩略语适用于本文件。
eIDLCM
eIDMIC
USBChip/SmartCardInterfaceDevicesCryptoNextGeneration
Cryptographic ServiceProviderelectronic Identity
eIDLifeCycleManagement
eIDManagementInformationCenterHuman InterfaceDevice
Internet Protocol Security
LightweightDirectoryAccessProtocolNetscapePluginApplicationProgrammingInterface
NearFieldCommunication
PersonalComputer/SmartCard
Public Key Cryptography StandardsPublicKeyInfrastructure
Security Assertion Markup Languageecure Socket Layer
UniformAuthenticationInterfaceUSBMass Stroage
VendorDeviceApplicationProgrammingInterface
XMIKeyManagement Specification网络电子身份标识eID体系架构
4.1elD体系架构概述
芯片智能卡接口设备标准
下一代加密技术
微软的密码服务提供者
网络电子身份标识
eID生命周期管理
eID管理信息中心
人机交互操作设备类协议
保护IP协议的网络传输协议族
轻量目录访问协议
网景插件应用程序接口
近场通信
基于WINDOWS平台的标准用户
接口规范
公钥加密标准
公钥基础设施
安全断言标记语言
安全套接层
统一认证接口
大容量存储设备通讯协议
厂商设备接口
XML密钥管理规范
eID体系架构是指基于eID,涵盖网络身份管理模型、实现技术、实施层次等多方面的整体技术体系。本章即从如下3个不同角度描述网络电子身份标识eID体系架构:网络身份管理参考模型。从管理的角度出发,基于eID的网络身份管理模型。eID技术框架。实现eID所采用的主要技术。eID层次结构。通过以上技术,实施基于eID的网络身份管理的整体层次结构。3
YD/T3204—2016
4.2网络身份管理参考模型
基于eID体系架构的网络身份管理涉及5类实体:用户、身份依赖方、身份基础库、身份提供方和身份监管方。具体参考模型如图1所示。用产
验证协议交换
一更新→
身份垩础库
身份依赖方
响应请求
身分提供方
身份监控方
图1基于elD体系架构的网络身份管理参考模型当用户向身份依赖方发送服务请求时,身份依赖方根据需要向身份提供方发送真实身份验证的请求:身份提供方采用合适的手段对用户进行验证,并将结果返回给身份依赖方。身份依赖方根据来自身份提供方的响应信息,决定用户身份验证是否通过,从而向用户提供服务。身份基础库在身份载体发行及部分身份验证过程中,提供真实身份信息比对服务并进行定期的更新。身份监管方对身份依赖方和身份提供方的行为提出指导意见,并进行监督审计。附录A是一个eID应用场景的交互实例。4.3elD技术框架
4.3.1概述
eID在技术框架上主要包括编码要求(coding)、身份识别要求(identification)、验证服务要求(authentication)、生命周期管理要求(lifecyclemanagement)、信任管理要求(trust)、应用要求(application)。eID技术的层次结构见4.4。4.3.2编码要求
如图2所示,编码要求包括编码格式要求及身份标识要求。eID编码格式应采用《网络电子身份格式规范》,采用SM3加密算法及Base64编码算法生成eID身份标识采用数字证书形式,应遵循ITU-TX.509、GM/T0015-2012等技术标准。编码格式
网络先子身份
格式规范
SM3.Base64
加密编码穿法
身份识别
X.509/AML.
GMT0015-2012
图2编码要求
4.3.3身份识别要求
如图3所示,身份识别要求包括eID载体和eID读写机具的要求。4
YD/T3204—2016
eID载体应遵循ISO7816(接触式)或ISO14443(非接触式)系列标准和《网络电子身份标识eID载体安全技术要求》。
eID读写机具分为eID读卡器和移动终端,分别遵循CCID、HID、UMASS和NFC相关标准及协议。elD载体
换敏式IS07816/
非接式ISO14443
4.3.4验证服务要求
SM2/RSA
密码算法
密管理
文件系统
eID读写机具
elD读卡器
图3身份识别要求
移动势端
验证服务要求涉及第三方应用访问eID卡及eID服务平台的接口与数据交换方法,是eID相关服务与应用的接口技术要求,本质是架构于身份识别和应用之间的系列软件服务组件。如图4所示,包括eID桌面应用接口、eID移动应用接口、eID验证服务接口。eID桌面应用接口
CSPCNG
4.3.5生命周期管理要求
AetiveX
eID移动应用接口
嵌入式
SDK接口
交互式
SDK接口
验证服务要求
eID验证服务接口
PKCS#7
GM/T 0010-2012
生命周期管理要求包括关于eID卡的生成、签发、更新、挂失、解挂、撤销、运维、安全管理等eID卡全生命周期管理相关的技术要求,如图5所示。编码格式
网络电子身势
格式规范
SM3.Base64
加密编码异法
身分识别
V509NMI
GMT 0015-2012
生命周期管理要求
YD/T3204—2016
4.3.6信任管理要求
信任管理要求包括基于eID的身份关联、认证后的跨域访问控制、委托授权、多级数字身份管理、审计追溯、责任认定等要求,如图6所示。身份关联
4.3.7应用要求
委托授权
跨域访问控制
多级数字身份
图6信任管理机制
审计追溯
责任认定
应用要求包括基于eID的真实身份认证、虚拟资产保护、安全登录等要求,如图7所示。真实身份认证
4.4elID层次结构
4.4.1层次结构概述
虚拟资产保护
安全登录
图7应用机制
IPSee/SSL
网络电子身份标识eID层次结构由网络身份识别验证服务、生命周期管理和信任管理三部分组成。其中网络身份识别验证服务自下而上分为4个层次:基础服务层、身份识别层、验证服务层、业务应用层,如图8所示。
金融应用
政务应用
eID验证服务接口
eID状态查询验证
eID载体
eID载体应
用接口
编码格式
密钥管理
eID载体
文件管理
业务应用层
虚拟身份/资产
社交应用
验证服务层
eID桌面应用接口
eID验证服务协议
身份识别层
eID载体
应用安
eID读写机
具应用接
基础服务层
标识管理
身份审核
IPv6应用
eID移动应用接口
eID属性证明
eID读写机具
应用安全
eID读写机具
密钥管理
eID应用
密码管
基础设施
网络电子身份标识elD层次结构
4.4.2基础服务层
YD/T3204—2016
基础服务层包括编码格式、标识管理、身份审核、基础设施的管理和服务,其中的基础设施包括了系统集群、安全体系和网络接入等。4.4.3身份识别层
身份识别层包括eID搭载的载体(如智能卡)和读写机具两方面,包括了eID载体应用接口(接触式非接触式),eID载体的密钥管理、文件系统管理、eID读写机具应用接口(物理电气、通信、密码等)、eID读写机具的密钥管理和应用安全、eID应用密钥管理。4.4.4验证服务层
验证服务层包括eID服务平台、eID为第三方应用提供的移动/桌面接口,提供了架构于身份识别层和业务应用层之间的软件服务组件。它包括了eID验证服务接口、eID验证服务协议、eID状态查询和签名验证、eID移动/桌面应用接口、针对验证服务接口和移动/桌面应用接口的测试工具、基于eID的属性证明等。其中,eID服务系统主要是完成基于eID的身份验证服务,及相应的消息格式和处理机制:eID的第三方应用提供的移动/桌面接口机制,让用户除了通过eID移动/桌面应用访问eID载体外,还能通过基于eID的第三方应用接口来访问互联网应用。各类浏览器可以通过调用eID第三方应用接口形成基于eID卡的数字签名、证书校验、密钥交换等操作。4.4.5业务应用层
业务应用层包括实现各领域业务和管理功能的独立运行模块,包括eID在金融应用、电子政务应用、社交应用、IPv6中的应用和虚拟资产保全业务中的应用。4.4.6生命周期管理
生命周期管理包括eID的签发管理、发布管理、运维管理和安全管理等。4.4.7信任管理
信任管理涉包括跨域访问控制、委托授权、多级数字身份管理、审计追溯、责任认定等。7
YD/T3204—2016
A.1发行与审核交互实例
附录A
(资料性附录)
eID应用场景交互实例
图A.1展示了eID的发行与审核场景。一个用户在某网络中,请求身份提供方提供真实身份服务。身份提供方在识别用户真实身份过程中,需要向身份基础库核查用户提交的身份信息。实例包含以下实体的交互:
-发起注册服务请求的用户;
身份基础库;
身份提供方(提供身份审核与eID发放等服务)。用户
注册请求
根据应用级别,提
供所需身份信息
注册结果:
发放载体(可选)
身份提供方
真实身份核查
身份核查
身份基础库
根据相应结果,生成eID
图A.1elID的发行与审核的交互实例图A.1所示的交互实例过程描述如下:1)用户确定身份提供方,并向其发起身份注册请求。2)用户根据应用的级别,向身份提供方提供所需的身份审核信息。3)身份提供方基于身份基础库进行用户真实身份信息的审核。4)身份提供方基于身份基础库的响应结果,决定是否为用户生成eID。5)身份提供方将注册结果返回给用户;如果注册通过,给用户发放eID载体;否则,注册失败。A.2验证交互实例
图A.2展示了eID的验证场景。一个用户在某网络中使用eID进行身份验证,包含以下实体的交互:发起服务请求的终端用户;
提供网络服务的身份依赖方;
身份提供方(提供了身份发现,验证等服务)。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T3204—2016
网络电子身份标识eID体系架构
ReferencearchitectureofeD
2016-10-22发布
中华人民共和国工业和信息化部2017-01-01实施
引用。
1范围。
2规范性引用文件
3术语、定义和缩略语,
3.1术语和定义
3.2缩略语..
4网络电子身份标识eID体系架构4.1eID体系架构概述..
4.2网络身份管理参考模型,
4.3eID技术框架
4.4eID层次结构
附录A(资料性附录)eID应用场景交互实例参考文献.
YD/T3204—2016
YD/T3204—2016
本标准是“网络电子身份标识eID”系列标准之一。本系列标准预计结构和名称如下:1.《网络电子身份标识eID术语和定义》2.《网络电子身份标识eID体系架构》(本标准)3.《网络电子身份标识eID的审计追溯技术框架》4.《网络电子身份标识eID的审计追溯接口技术要求》5.《基于eID的多级数字身份管理技术参考框架》6.《网络虚拟身份描述方法》
7、《网络虚拟身份数据存储与交换技术要求》8.《网络虚拟资产描述方法》
9.《网络虚拟资产数据存储与交换技术要求》10.《网络电子身份标识eID验证服务接口技术要求》11.《网络电子身份标识eID验证服务接口测试方法》12.《网络电子身份标识eID移动应用接口技术要求》13.《网络电子身份标识eID移动应用接口测试方法》14.《网络电子身份标识eID桌面应用接口技术要求》15.《网络电子身份标识eID桌面应用接口测试方法》本标准依据GB/T1.1一2009给出的规则起草。请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:公安部第三研究所、中国科学院软件研究所、北京中电华大电子设计有限责任公司、国防科学技术大学计算机学院、北京邮电大学、中国科学院信息工程研究所。本标准主要起草人:邹翔、杨明慧、汪志鹏、倪力舜、高志刚、兰、天、李树栋、高峰、柳扬、全拥、邓璐、许晋、周薇、戴娇。II
YD/T3204—2016
本标准旨在提供与网络电子身份标识eID相关的编码、载体、服务平台、应用系统等各方面的一个整体技术架构,指导相关的设计、开发与测试。Ⅲ
1范围
网络电子身份标识eID体系架构
YD/T3204—2016
本标准规定了网络电子身份标识eID的体系架构,包括网络身份管理参考模型、eID技术框架和eID层次结构。
本标准适用于eID服务平台及相关应用服务系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069—2010信息安全技术术语网络电子身份格式规范
YD/T2592—2013身份管理(IdM)术语网络电子身份标识eID载体安全技术要求GM/T0015—2012基于SM2密码算法的数字证书格式规范ITU-TX.509信息技术—开放系统互连号码薄:公钥和属性鉴别框架(Informationtechnology-Open systems interconnection-TheDirectory:Public-key andattribute certificateframeworks)ISO7816识别卡.带触点的集成电路卡(Identificationcards-Integratedcircuit(s)cardswithcontacts)ISO14443识别卡.非接触式集成电路卡(Identificationcards-Contactlessintegratedcircuitcards)3术语、定义和缩略语
3.1术语和定义
GB/T250692010、YD/T2592—2013界定的以及下列术语和定义适用于本文件。3.1.1
微软的网络化多媒体对象技术ActiveX根据微软权威的软件开发指南MSDN(MicrosoftDeveloperNetwork)的定义,ActiveX技术涉及些软件组件或对象,可以将其插入到Web网页或其他应用程序中。3.1.2下载标准就来标准下载网
网络电子身份标识Electronicldentity用于在互联网上在线识别公民身份的电子标识,承载于智能安全芯片上,基于密码技术实现与公民真实身份的校验一一对应,简称eID。1
YD/T3204—2016
elD识别elDAuthentication
确认eID实体真实身份的过程。
elD身份注册elDRegistration
通过为实体的身份赋予唯一的eID标识码,提供一组作为声明的身份和/或权利证据的数据,并签发eID载体,保证其真实性的过程。3.1.5
elD身份验证elDVerification
通过将所提交的eID身份声明与事先证明的信息进行比较来确认声明的eID身份是否正确的过程。3.1.6
elD签名elDSignature
数据中以电子形式所含、用于识别签名人真实身份并表明签名人认可其中内容的数据。3.1.7
elD审计elDAudit
对eID系统进行系统记录和行为的独立审核,以测试系统控制的充分性,确保系统顺从已有策略和操作流程,检测安全漏洞,并指出在控制、策略和流程方面的任何显著变化。3.1.8
用户User
需要得到实名认证的实体,包括了个人实体和非个人实体(如组织机构、硬件设备、网络、软件和服务等)。
身份提供方IdentityProvider
根据各类应用的安全等级,为用户提供身份注册、载体发放(可选)和不同级别的真实身份验证等服务的实体。
身份依赖方IdentityRelyingParty依赖身份提供方的身份验证等服务做出的访问控制决策的主体,应保存必要的用户标识信息。3.1.11
身份基础库IdentityDatabase
为身份提供方提供基础身份信息的数据集合,包括公安人口库、法人库、ICP库等。3.1.12
身份监管方IdentitySupervisor2
YD/T3204—2016
制定、发布网络管理的指导意见和相关政策法规,监督身份依赖方和身份提供方,并可对其进行审计的国家权威网络管理机构或其授权的机构。3.2缩略语
下列缩略语适用于本文件。
eIDLCM
eIDMIC
USBChip/SmartCardInterfaceDevicesCryptoNextGeneration
Cryptographic ServiceProviderelectronic Identity
eIDLifeCycleManagement
eIDManagementInformationCenterHuman InterfaceDevice
Internet Protocol Security
LightweightDirectoryAccessProtocolNetscapePluginApplicationProgrammingInterface
NearFieldCommunication
PersonalComputer/SmartCard
Public Key Cryptography StandardsPublicKeyInfrastructure
Security Assertion Markup Languageecure Socket Layer
UniformAuthenticationInterfaceUSBMass Stroage
VendorDeviceApplicationProgrammingInterface
XMIKeyManagement Specification网络电子身份标识eID体系架构
4.1elD体系架构概述
芯片智能卡接口设备标准
下一代加密技术
微软的密码服务提供者
网络电子身份标识
eID生命周期管理
eID管理信息中心
人机交互操作设备类协议
保护IP协议的网络传输协议族
轻量目录访问协议
网景插件应用程序接口
近场通信
基于WINDOWS平台的标准用户
接口规范
公钥加密标准
公钥基础设施
安全断言标记语言
安全套接层
统一认证接口
大容量存储设备通讯协议
厂商设备接口
XML密钥管理规范
eID体系架构是指基于eID,涵盖网络身份管理模型、实现技术、实施层次等多方面的整体技术体系。本章即从如下3个不同角度描述网络电子身份标识eID体系架构:网络身份管理参考模型。从管理的角度出发,基于eID的网络身份管理模型。eID技术框架。实现eID所采用的主要技术。eID层次结构。通过以上技术,实施基于eID的网络身份管理的整体层次结构。3
YD/T3204—2016
4.2网络身份管理参考模型
基于eID体系架构的网络身份管理涉及5类实体:用户、身份依赖方、身份基础库、身份提供方和身份监管方。具体参考模型如图1所示。用产
验证协议交换
一更新→
身份垩础库
身份依赖方
响应请求
身分提供方
身份监控方
图1基于elD体系架构的网络身份管理参考模型当用户向身份依赖方发送服务请求时,身份依赖方根据需要向身份提供方发送真实身份验证的请求:身份提供方采用合适的手段对用户进行验证,并将结果返回给身份依赖方。身份依赖方根据来自身份提供方的响应信息,决定用户身份验证是否通过,从而向用户提供服务。身份基础库在身份载体发行及部分身份验证过程中,提供真实身份信息比对服务并进行定期的更新。身份监管方对身份依赖方和身份提供方的行为提出指导意见,并进行监督审计。附录A是一个eID应用场景的交互实例。4.3elD技术框架
4.3.1概述
eID在技术框架上主要包括编码要求(coding)、身份识别要求(identification)、验证服务要求(authentication)、生命周期管理要求(lifecyclemanagement)、信任管理要求(trust)、应用要求(application)。eID技术的层次结构见4.4。4.3.2编码要求
如图2所示,编码要求包括编码格式要求及身份标识要求。eID编码格式应采用《网络电子身份格式规范》,采用SM3加密算法及Base64编码算法生成eID身份标识采用数字证书形式,应遵循ITU-TX.509、GM/T0015-2012等技术标准。编码格式
网络先子身份
格式规范
SM3.Base64
加密编码穿法
身份识别
X.509/AML.
GMT0015-2012
图2编码要求
4.3.3身份识别要求
如图3所示,身份识别要求包括eID载体和eID读写机具的要求。4
YD/T3204—2016
eID载体应遵循ISO7816(接触式)或ISO14443(非接触式)系列标准和《网络电子身份标识eID载体安全技术要求》。
eID读写机具分为eID读卡器和移动终端,分别遵循CCID、HID、UMASS和NFC相关标准及协议。elD载体
换敏式IS07816/
非接式ISO14443
4.3.4验证服务要求
SM2/RSA
密码算法
密管理
文件系统
eID读写机具
elD读卡器
图3身份识别要求
移动势端
验证服务要求涉及第三方应用访问eID卡及eID服务平台的接口与数据交换方法,是eID相关服务与应用的接口技术要求,本质是架构于身份识别和应用之间的系列软件服务组件。如图4所示,包括eID桌面应用接口、eID移动应用接口、eID验证服务接口。eID桌面应用接口
CSPCNG
4.3.5生命周期管理要求
AetiveX
eID移动应用接口
嵌入式
SDK接口
交互式
SDK接口
验证服务要求
eID验证服务接口
PKCS#7
GM/T 0010-2012
生命周期管理要求包括关于eID卡的生成、签发、更新、挂失、解挂、撤销、运维、安全管理等eID卡全生命周期管理相关的技术要求,如图5所示。编码格式
网络电子身势
格式规范
SM3.Base64
加密编码异法
身分识别
V509NMI
GMT 0015-2012
生命周期管理要求
YD/T3204—2016
4.3.6信任管理要求
信任管理要求包括基于eID的身份关联、认证后的跨域访问控制、委托授权、多级数字身份管理、审计追溯、责任认定等要求,如图6所示。身份关联
4.3.7应用要求
委托授权
跨域访问控制
多级数字身份
图6信任管理机制
审计追溯
责任认定
应用要求包括基于eID的真实身份认证、虚拟资产保护、安全登录等要求,如图7所示。真实身份认证
4.4elID层次结构
4.4.1层次结构概述
虚拟资产保护
安全登录
图7应用机制
IPSee/SSL
网络电子身份标识eID层次结构由网络身份识别验证服务、生命周期管理和信任管理三部分组成。其中网络身份识别验证服务自下而上分为4个层次:基础服务层、身份识别层、验证服务层、业务应用层,如图8所示。
金融应用
政务应用
eID验证服务接口
eID状态查询验证
eID载体
eID载体应
用接口
编码格式
密钥管理
eID载体
文件管理
业务应用层
虚拟身份/资产
社交应用
验证服务层
eID桌面应用接口
eID验证服务协议
身份识别层
eID载体
应用安
eID读写机
具应用接
基础服务层
标识管理
身份审核
IPv6应用
eID移动应用接口
eID属性证明
eID读写机具
应用安全
eID读写机具
密钥管理
eID应用
密码管
基础设施
网络电子身份标识elD层次结构
4.4.2基础服务层
YD/T3204—2016
基础服务层包括编码格式、标识管理、身份审核、基础设施的管理和服务,其中的基础设施包括了系统集群、安全体系和网络接入等。4.4.3身份识别层
身份识别层包括eID搭载的载体(如智能卡)和读写机具两方面,包括了eID载体应用接口(接触式非接触式),eID载体的密钥管理、文件系统管理、eID读写机具应用接口(物理电气、通信、密码等)、eID读写机具的密钥管理和应用安全、eID应用密钥管理。4.4.4验证服务层
验证服务层包括eID服务平台、eID为第三方应用提供的移动/桌面接口,提供了架构于身份识别层和业务应用层之间的软件服务组件。它包括了eID验证服务接口、eID验证服务协议、eID状态查询和签名验证、eID移动/桌面应用接口、针对验证服务接口和移动/桌面应用接口的测试工具、基于eID的属性证明等。其中,eID服务系统主要是完成基于eID的身份验证服务,及相应的消息格式和处理机制:eID的第三方应用提供的移动/桌面接口机制,让用户除了通过eID移动/桌面应用访问eID载体外,还能通过基于eID的第三方应用接口来访问互联网应用。各类浏览器可以通过调用eID第三方应用接口形成基于eID卡的数字签名、证书校验、密钥交换等操作。4.4.5业务应用层
业务应用层包括实现各领域业务和管理功能的独立运行模块,包括eID在金融应用、电子政务应用、社交应用、IPv6中的应用和虚拟资产保全业务中的应用。4.4.6生命周期管理
生命周期管理包括eID的签发管理、发布管理、运维管理和安全管理等。4.4.7信任管理
信任管理涉包括跨域访问控制、委托授权、多级数字身份管理、审计追溯、责任认定等。7
YD/T3204—2016
A.1发行与审核交互实例
附录A
(资料性附录)
eID应用场景交互实例
图A.1展示了eID的发行与审核场景。一个用户在某网络中,请求身份提供方提供真实身份服务。身份提供方在识别用户真实身份过程中,需要向身份基础库核查用户提交的身份信息。实例包含以下实体的交互:
-发起注册服务请求的用户;
身份基础库;
身份提供方(提供身份审核与eID发放等服务)。用户
注册请求
根据应用级别,提
供所需身份信息
注册结果:
发放载体(可选)
身份提供方
真实身份核查
身份核查
身份基础库
根据相应结果,生成eID
图A.1elID的发行与审核的交互实例图A.1所示的交互实例过程描述如下:1)用户确定身份提供方,并向其发起身份注册请求。2)用户根据应用的级别,向身份提供方提供所需的身份审核信息。3)身份提供方基于身份基础库进行用户真实身份信息的审核。4)身份提供方基于身份基础库的响应结果,决定是否为用户生成eID。5)身份提供方将注册结果返回给用户;如果注册通过,给用户发放eID载体;否则,注册失败。A.2验证交互实例
图A.2展示了eID的验证场景。一个用户在某网络中使用eID进行身份验证,包含以下实体的交互:发起服务请求的终端用户;
提供网络服务的身份依赖方;
身份提供方(提供了身份发现,验证等服务)。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。