DB44 T 2226-2020 基于统一社会信用代码的移动终端身份认证技术规范.pdf

1、ICS 35.220L 80 DB44广 东 省 地 方 标 准DB44/T 2226 2020基 于 统 一 社 会 信 用 代 码 的 移 动 终 端 身 份 认证 技 术 规 范 The specification of identity authentication of mobile terminal institutions based onthe unified social credit code 2020 -04- 22发 布 2020- 07-22实 施广 东 省 市 场 监 督 管 理 局 发 布 DB44/T 22262020 I 目 次前 言 .II1 范 围 .12

2、 规 范 性 引 用 文 件 .13 术 语 和 定 义 .14 缩 略 语 .25 身 份 鉴 别 机 制 与 流 程 .25.1 机 制 .25.2 要 求 .5 6 数 字 证 书 格 式 规 范 .56.1 概 述 .56.2 证 书 分 类 .66.3 证 书 结 构 .66.4 主 体 命 名 规 范 .107 移 动 端 密 码 模 块 的 技 术 要 求 .107.1 算 法 要 求 .107.2 安 全 性 要 求 .107.3 资 质 要 求 .117.4 软 件 接 口 要 求 .118 应 用 集 成 规 范 .11 8.1 技 术 要 求 .118.2 工 作 步 骤

3、 .11附 录 A（ 资 料 性 附 录 ） 证 书 的 结 构 .12附 录 B（ 资 料 性 附 录 ） 身 份 鉴 别 数 据 结 构 . 14 DB44/T 22262020 II 前 言本 标 准 按 GB/T 1.1-2009给 出 的 规 则 起 草 。本 标 准 由 广 东 省 标 准 化 研 究 院 提 出 。本 标 准 由 本 标 准 由 广 东 省 信 息 技 术 标 准 化 技 术 委 员 会 归 口 。本 标 准 起 草 单 位 ： 广 东 省 标 准 化 研 究 院 、 广 州 市 标 准 化 研 究 院 、 广 东 省 电 子 商 务 认 证 有 限 公 司 、

4、数安 时 代 科 技 股 份 有 限 公 司 。本 标 准 主 要 起 草 人 ： 陈 贤 明 、 郭 龙 祥 、 胡 静 、 黄 燕 玲 、 卢 朝 金 、 张 立 盈 、 陈 木 来 、 肖 晓 赟 、 林 泽 虹 、陈 雨 、 丘 诗 雅 、 邹 学 成 、 李 兴 勤 、 黄 润 飞 。 DB44/T 22262020 1 基 于 统 一 社 会 信 用 代 码 的 移 动 终 端 身 份 认 证 技 术 规 范1 范 围本 标 准 规 定 了 基 于 统 一 社 会 信 用 代 码 的 移 动 终 端 身 份 认 证 的 术 语 和 定 义 、 缩 略 语 、 身 份 鉴 别 机 制

5、 与流 程 、 数 字 证 书 格 式 规 范 、 移 动 端 密 码 模 块 的 技 术 要 求 和 应 用 集 成 规 范 。本 标 准 适 用 于 我 省 信 息 化 建 设 中 应 用 统 一 社 会 信 用 代 码 开 展 移 动 终 端 数 字 证 书 身 份 认 证 服 务 。2 规 范 性 引 用 文 件下 列 文 件 对 于 本 文 件 的 应 用 是 必 不 可 少 的 。 凡 是 注 日 期 的 引 用 文 件 ， 仅 所 注 日 期 的 版 本 适 用 于 本 文件 。 凡 是 不 注 日 期 的 引 用 文 件 ， 其 最 新 版 本 （ 包 括 所 有 的 修 改

6、单 ） 适 用 于 本 文 件 。 GB/T15843.3-2016 信 息 技 术 安 全 技 术 实 体 鉴 别 第 3部 分 ： 采 用 数 字 签 名 技 术 的 机 制 （ ISO/IEC9798-3： 2010， IDT）GB/T 20518-2018 信 息 安 全 技 术 公 钥 基 础 设 施 数 字 证 书 格 式GB/T 25056-2018 信 息 安 全 技 术 证 书 认 证 系 统 密 码 及 其 相 关 安 全 技 术 规 范GB 32100-2015 法 人 和 其 他 组 织 统 一 社 会 信 用 代 码 编 码 规 则GB/T 33560-2017 信

7、息 安 全 技 术 密 码 应 用 标 识 规 范GB/T 35275-2017 信 息 安 全 技 术 SM2密 码 算 法 加 密 签 名 消 息 语 法 规 范GB/T 35291-2017 智 能 密 码 钥 匙 密 码 应 用 接 口 规 范GB/T 37092-2018 密 码 模 块 安 全 技 术 要 求GM/T 0020-2012 证 书 应 用 综 合 服 务 接 口 规 范3 术 语 和 定 义 以 下 术 语 和 定 义 适 用 于 本 文 件 。3.1 证 书 认 证 机 构 （ CA） certificate authority（ CA）受 用 户 信 任 ， 负

8、责 创 建 和 分 配 证 书 的 权 威 机 构 。 证 书 认 证 机 构 (CA)也 可 以 为 用 户 创 建 密 钥 。GB/T 20518-2018 ， 定 义 3.53.2 数 字 证 书 digital certificate由 国 家 认 可 的 ， 具 有 权 威 性 、 可 信 性 和 公 正 性 的 第 三 方 证 书 认 证 机 构 （ CA） 进 行 数 字 签 名 的 一 个 可信 的 数 字 化 文 件 。GB/T 20518-2018 ， 定 义 3.7 3.3 DB44/T 22262020 2 公 钥 证 书 public key certificate用

9、 户 的 公 钥 连 同 其 他 信 息 ， 并 由 发 布 该 证 书 的 证 书 认 证 机 构 （ CA） 的 私 钥 进 行 加 密 使 其 不 可 伪 造 。GB/T 20518-2018 ， 定 义 3.23.4 证 书 注 销 列 表 （ CRL） certificate revocation list（ CRL）一 个 已 标 识 的 列 表 ， 它 指 定 了 一 套 证 书 颁 发 者 确 认 为 无 效 的 证 书 。 除 了 普 通 CRL外 ， 还 定 义 了 一 些特 殊 的 CRL类 型 用 于 覆 盖 特 殊 领 域 的 CRLs。GB/T 20518-2018

10、， 定 义 3.33.5 证 书 序 列 号 certificate serial number在 证 书 认 证 机 构 (CA)颁 发 的 证 书 范 围 内 为 每 个 证 书 分 配 的 一 个 整 数 值 。 此 整 数 值 对 于 该 证 书 认 证 机 构 (CA)所 颁 发 的 每 一 张 证 书 必 须 是 唯 一 的 。GB/T 20518-2018， 定 义 3.43.6 统 一 社 会 信 用 代 码 unified social credit identifier每 一 个 法 人 和 其 他 组 织 在 全 国 范 围 内 唯 一 的 、 终 身 不 变 的 法 定

11、 身 份 识 别 码 。GB 32100-2015， 定 义 3.53.7 移 动 终 端 mobile terminal能 够 接 入 移 动 通 信 网 ， 具 有 能 够 提 供 应 用 程 序 开 发 接 口 的 开 放 操 作 系 统 ， 并 能 够 安 装 和 运 行 应 用 软件 的 便 携 式 电 子 设 备 ， 包 括 手 机 、 笔 记 本 、 平 板 电 脑 、 POS机 等 。 4 缩 略 语下 列 缩 略 语 适 用 于 本 文 件 。ASN： 抽 象 语 法 表 示 法 （ Abstract Syntax Notation）CA： 证 书 认 证 机 构 （ Cer

12、tification Authority）CRL： 证 书 注 销 列 表 （ Certificate Revocation List）DER： 可 区 分 编 码 规 则 （ Distinguished Encoding Rules）DN： 可 辨 别 名 （ Distinguished Name）OID： 对 象 标 识 符 （ Object Identifier）RA： 证 书 注 册 机 构 （ Registration Authority）OCSP:在 线 证 书 状 态 协 议 (Online Certificate Status Protocol)5 身 份 鉴 别 机 制 与

13、流 程 5.1 机 制5.1.1 体 系 架 构 DB44/T 22262020 3 5.1.1.1 身 份 鉴 别 体 系 架 构 见 图 1。 图 1 身 份 鉴 别 体 系 架 构5.1.1.2 身 份 鉴 别 体 系 架 构 ， 包 括 以 下 参 与 方 ：a) 证 书 认 证 机 构 （ CA） ： 作 为 信 任 的 基 础 ， 为 移 动 终 端 用 户 的 身 份 真 实 性 负 责 ， 通 过 审 核 移 动 终端 用 户 及 其 所 属 机 构 的 身 份 后 ， 为 合 法 持 有 统 一 社 会 信 用 代 码 的 企 业 组 织 及 其 员 工 、 移 动 终端 颁

14、 发 数 字 证 书 ； 同 时 ， 证 书 认 证 机 构 (CA)为 应 用 服 务 器 提 供 移 动 终 端 数 字 证 书 有 效 性 验 证 服务 （ 如 证 书 信 任 列 表 、 CRL、 OCSP等 ） ；b) 应 用 服 务 器 ： 为 移 动 终 端 提 供 信 息 处 理 服 务 ， 提 供 信 息 处 理 服 务 前 ， 需 要 先 鉴 别 移 动 终 端 的 身份 ；c) 移 动 终 端 ： 用 户 持 有 的 移 动 终 端 ， 通 过 证 书 认 证 登 录 到 应 用 服 务 器 进 行 信 息 处 理 操 作 。 移 动 终端 应 包 括 以 下 部 分 ：

15、1) 移 动 终 端 应 用 ： 用 户 提 供 业 务 操 作 功 能 前 ， 通 过 调 用 证 书 应 用 综 合 服 务 接 口 ， 并 实 现 与 应用 服 务 器 的 安 全 信 息 交 互 ， 执 行 身 份 鉴 别 流 程 ； DB44/T 22262020 4 2) 证 书 应 用 综 合 服 务 接 口 ： 提 供 证 书 应 用 层 接 口 ， 主 要 包 括 证 书 的 编 码 解 码 、 登 录 表 单 签 名等 功 能 ， 应 符 合 GM/T0020 的 规 定 。 本 接 口 通 过 智 能 密 码 钥 匙 应 用 接 口 完 成 与 移 动 端 密 码模 块

16、的 交 互 ；3) 智 能 密 码 钥 匙 应 用 接 口 ： 提 供 移 动 端 密 码 模 块 的 软 件 访 问 接 口 ， 主 要 包 括 PIN认 证 、 证 书读 取 、 密 码 运 算 等 功 能 ， 应 符 合 GB/T 35291 的 规 定 ；4) 移 动 端 密 码 模 块 ： 内 置 SE模 块 、 SDKey、 SIMKey、 蓝 牙 Key、 软 件 密 码 模 块 等 ， 主 要 提 供密 钥 的 产 生 和 安 全 存 储 、 密 码 运 算 等 功 能 ， 安 全 性 应 符 合 GB/T 37092 安 全 二 级 及 以 上 的规 定 。5.1.2 身 份

17、 鉴 别 流 程5.1.2.1 单 向 鉴 别 的 两 次 传 递 机 制 应 符 合 GB/T15843.3的 规 定 ， 声 称 方 是 移 动 终 端 ， 验 证 方 是 应 用 服务 器 。 移 动 终 端 的 权 标 应 按 照 GB/T35275的 SignedData结 构 的 要 求 ， 签 名 内 容 为 应 用 服 务 器 返 回 的 随机 数 （ 挑 战 码 ） ， SignedData 移 动 终 端 的 签 名 证 书 。 5.1.2.2 身 份 鉴 别 流 程 如 图 2。 图 2 身 份 鉴 别 流 程 DB44/T 22262020 5 5.1.2.3 身 份

18、鉴 别 流 程 步 骤 如 下 ：a) 移 动 终 端 向 应 用 服 务 器 提 出 身 份 鉴 别 申 请 ；b) 应 用 服 务 器 产 生 随 机 数 挑 战 码 ， 随 机 数 为 长 度 不 短 于 16 字 节 的 整 数 ；c) 应 用 服 务 器 返 回 挑 战 码 ， 移 动 终 端 对 挑 战 码 执 行 数 字 签 名 ；d) 移 动 终 端 使 用 数 字 证 书 私 钥 对 挑 战 码 做 签 名 ， 并 组 装 SignedData 数 据 结 构 （ 参 考 附 录 B） ，签 名 内 容 为 挑 战 码 ， 内 容 类 型 标 识 符 应 标 识 为 数 据

19、类 型 ， 证 书 列 表 域 要 带 用 户 证 书 。 如 果 是SM2相 关 的 签 名 算 法 ， OID应 符 合 GB/T 35275 的 规 定 ， 否 则 ， 应 符 合 RFC 5652 的 规 定 ；e) 移 动 终 端 提 交 SignedData作 为 权 标 ；f) 应 用 服 务 器 从 权 标 中 提 取 被 签 名 内 容 ， 比 较 和 前 面 产 生 的 挑 战 码 是 否 一 致 ， 若 不 一 致 ， 返 回 身份 鉴 别 失 败 信 息 ；g) 应 用 服 务 器 按 本 规 范 的 证 书 格 式 获 取 用 户 的 统 一 社 会 信 用 代 码

20、， 若 证 书 中 没 有 包 含 用 户 的 统 一社 会 信 用 代 码 ， 则 返 回 身 份 鉴 别 失 败 消 息 ； h) 应 用 服 务 器 从 权 标 中 提 取 用 户 证 书 公 钥 ， 从 权 标 (Token)中 提 取 签 名 值 ， 并 使 用 证 书 公 钥 验 证签 名 的 有 效 性 ， 确 认 移 动 终 端 持 有 用 户 证 书 对 应 的 私 钥 ， 若 签 名 无 效 则 返 回 身 份 鉴 别 失 败 消 息 ；i) 应 用 服 务 器 验 证 用 户 证 书 的 有 效 性 ， 包 括 证 书 信 任 链 、 证 书 颁 发 者 签 名 、 证

21、书 是 否 在 有 效 期 内 、密 钥 用 法 、 扩 展 密 钥 用 法 、 基 本 限 制 、 名 字 限 制 、 证 书 策 略 等 ， 若 证 书 无 效 ， 则 返 回 身 份 鉴 别失 败 信 息 ；j) 应 用 服 务 器 向 证 书 认 证 机 构 （ CA） 发 出 在 线 申 请 ， 查 询 颁 发 该 数 字 证 书 的 运 营 证 书 认 证 机 构 (CA)签 发 的 CRL， 或 者 直 接 提 交 OCSP 请 求 报 文 ， 验 证 用 户 证 书 的 注 销 状 态 ； 如 果 基 于 CRL 验 证 用户 证 书 的 注 销 状 态 ， 并 且 上 一 次

22、 查 询 获 得 CRL尚 在 有 效 期 内 ， 则 应 用 服 务 器 可 以 直 接 将 最 近 一次 查 询 获 得 的 CRL用 于 验 证 用 户 证 书 的 注 销 状 态 ；k) 应 用 服 务 器 根 据 CRL判 定 用 户 证 书 的 注 销 状 态 ， 或 者 从 证 书 认 证 机 构 （ CA） 的 OCSP服 务 器 返回 的 OCSP响 应 报 文 中 获 得 用 户 证 书 的 注 销 状 态 ， 若 提 交 查 询 的 证 书 不 被 证 书 认 证 机 构 （ CA）信 任 ， 则 应 用 服 务 器 返 回 身 份 鉴 别 失 败 信 息 ； l) 应

23、用 服 务 器 根 据 统 一 社 会 信 用 代 码 识 别 用 户 ， 并 根 据 权 限 控 制 策 略 授 权 该 用 户 访 问 相 关 资 源 ；m) 若 以 上 步 骤 均 通 过 ， 则 应 用 服 务 器 返 回 身 份 鉴 别 成 功 消 息 。5.2 要 求基 于 统 一 社 会 信 用 代 码 的 移 动 终 端 数 字 证 书 身 份 鉴 别 过 程 应 满 足 ：a) 移 动 终 端 数 字 证 书 应 由 具 有 国 内 电 子 认 证 服 务 资 格 的 证 书 认 证 机 构 （ CA） 签 发 ， 证 书 认 证 机 构（ CA） 运 营 的 电 子 认 证

24、 系 统 应 符 合 GB/T 25056 的 规 定 ， 满 足 证 书 生 命 周 期 和 密 钥 生 命 周 期 的管 理 要 求 ；b) 证 书 认 证 机 构 （ CA） 颁 发 的 移 动 终 端 数 字 证 书 的 格 式 应 满 足 第 6 章 的 要 求 ；c) 密 码 产 品 厂 商 提 供 的 移 动 端 密 码 模 块 应 满 足 第 7章 的 要 求 ；d) 应 用 集 成 方 实 现 基 于 统 一 社 会 信 用 代 码 的 移 动 终 端 数 字 证 书 的 身 份 鉴 别 ， 应 用 集 成 过 程 应 满 足第 8 章 的 要 求 。 6 数 字 证 书 格

25、 式 规 范6.1 概 述数 字 证 书 格 式 应 符 合 GB/T 20518的 规 定 。 本 规 范 要 求 使 用 X.509 V3版 本 的 公 钥 证 书 。 DB44/T 22262020 6 6.2 证 书 分 类基 于 统 一 社 会 信 用 代 码 的 移 动 终 端 数 字 证 书 主 要 分 为 三 类 ： 机 构 数 字 证 书 ： 由 机 构 持 有 ， 代 表 机 构 身 份 的 数 字 证 书 ； 机 构 员 工 数 字 证 书 ： 由 机 构 里 面 的 某 一 员 工 持 有 ， 代 表 该 员 工 身 份 的 数 字 证 书 ； 移 动 终 端 设 备

26、证 书 ： 由 机 构 的 某 一 移 动 终 端 设 备 持 有 ， 代 表 该 移 动 终 端 设 备 身 份 的 数 字 证 书 。6.3 证 书 结 构6.3.1 通 则数 字 证 书 的 基 本 结 构 应 符 合 GB/T 20518的 规 定 ， 由 三 部 分 组 成 ： 基 本 证 书 域 、 签 名 算 法 域 、 签 名值 域 。 如 图 3所 示 ： 图 3 数 字 证 书 结 构 示 意 图6.3.2 基 本 证 书 域6.3.2.1 概 述本 规 范 要 求 基 本 证 书 域 应 符 合 GB/T 20518-2018第 5.2.2条 的 规 定 ， 由 八 部

27、分 组 成 ： 版 本 、 序 列 号 、签 名 算 法 、 颁 发 者 、 有 效 期 、 主 体 、 主 体 公 钥 信 息 、 扩 展 项 集 。 不 使 用 颁 发 者 唯 一 标 识 符 和 主 体 唯 一 标识 符 这 两 项 。 如 图 4所 示 ： 图 4 基 本 证 书 域 组 成 DB44/T 22262020 7 6.3.2.2 版 本数 字 证 书 版 本 号 应 符 合 GB/T20518-2018第 5.2.2.1条 的 规 定 ， 使 用 X.509版 本 3， 对 应 的 数 值 是 整 数“ 2” 。6.3.2.3 序 列 号序 列 号 应 符 合 GB/T

28、20518-2018第 5.2.3.2条 的 规 定 ， 证 书 认 证 机 构 (CA)应 不 使 用 大 于 20个 8位 字 节的 序 列 号 。6.3.2.4 签 名 算 法签 名 算 法 应 符 合 GB/T 20518-2018第 5.2.3.3条 的 规 定 ， 应 符 合 国 家 密 码 主 管 部 门 对 密 码 算 法 的 规定 。 注 ： 根 据 国 家 密 码 主 管 部 门 批 准 的 最 新 算 法 及 时 调 整 。6.3.2.5 颁 发 者颁 发 者 应 符 合 GB/T 20518-2018第 5.2.3.4条 的 规 定 ， 颁 发 者 的 DN应 至 少

29、包 括 CN、 O和 C项 。 如 表 1所示 ： 表 1 颁 发 者 DN 编 码 规 范Name类 型 说 明 示 例 编 码 格 式C 国 家 CN PrintableStringO 组 织 ， 证 书 颁 发 者 的 公 司 名 字 XXXX认 证 中 心 PrintableString或 UTF8StringCN 主 体 名 称 XXXX CA PrintableString或 UTF8String6.3.2.6 有 效 期有 效 期 应 符 合 GB/T 20518-2018第 5.2.3.5条 的 规 定 。6.3.2.7 主 体主 体 应 符 合 GB/T 20518-2018

30、第 5.2.3.6条 的 规 定 ,主 体 的 DN至 少 应 包 括 CN、 O和 C项 。 如 表 2所 示 ：表 2 主 体 DN 编 码 规 范 Name类 型 说 明 示 例 编 码 格 式C 国 家 CN PrintableStringO 单 位 或 机 构 名 称 广 州 市 XXX有 限 公 司 PrintableString或 UTF8StringCN 主 体 名 称 张 三 PrintableString或 UTF8String6.3.2.8 主 体 公 钥 信 息 DB44/T 22262020 8 主 体 公 钥 信 息 应 符 合 GB/T20518-2018第 5.

31、2.3.7条 的 规 定 。 主 体 公 钥 应 符 合 国 家 密 码 主 管 部 门 对 密码 算 法 的 规 定 。注 ： 根 据 国 家 密 码 主 管 部 门 批 准 的 最 新 算 法 及 时 调 整 。6.3.2.9 扩 展 项 集6.3.2.9.1 扩 展 项 结 构扩 展 项 结 构 应 符 合 GB/T 20518-2018-2018第 5.2.3.10条 的 规 定 。证 书 扩 展 项 结 构 见 图 5。数 字 证 书 应 至 少 包 括 以 下 扩 展 项 ：a) 颁 发 机 构 密 钥 标 识 符 ；b) 主 体 密 钥 标 识 符 ； c) 密 钥 用 法 ；d

32、) 证 书 策 略 ；e) 基 本 限 制 ；f) 证 书 撤 销 列 表 分 发 点 ；g) 统 一 社 会 信 用 代 码 。 图 5 扩 展 项 构 成6.3.2.9.2 颁 发 机 构 密 钥 标 识 符颁 发 机 构 密 钥 标 识 符 应 符 合 GB/T 20518-2018第 5.2.4.2.2条 的 规 定 。6.3.2.9.3 主 体 密 钥 标 识 符主 体 密 钥 标 识 符 应 符 合 GB/T 20518-2018第 5.2.4.2.3条 的 规 定 。6.3.2.9.4 密 钥 用 法密 钥 用 法 应 符 合 GB/T 20518-2018第 5.2.4.2.4

33、条 的 规 定 ， 包 含 digitalSignature用 途 。6.3.2.9.5 证 书 策 略 DB44/T 22262020 9 证 书 策 略 应 符 合 GB/T 20518-2018第 5.2.4.2.7条 的 规 定 ,应 带 证 书 业 务 规 则 的 访 问 地 址 。6.3.2.9.6 基 本 限 制基 本 限 制 应 符 合 GB/T 20518第 5.2.4.2.12条 的 规 定 ,签 发 给 移 动 终 端 的 证 书 ， 此 项 里 面 的 CA字 段 必须 为 FALSE。6.3.2.9.7 证 书 撤 销 列 表 分 发 点证 书 撤 销 列 表 分 发

34、 点 应 符 合 GB/T 20518-2018第 5.2.4.2.15条 的 规 定 ,证 书 认 证 机 构 (CA)应 支 持 全量 CRL发 布 服 务 ， 并 且 把 CRL的 访 问 地 址 写 到 本 扩 展 ， CRL的 访 问 协 议 至 少 应 支 持 HTTP。6.3.2.9.8 统 一 社 会 信 用 代 码统 一 社 会 信 用 代 码 应 符 合 GB 32100的 规 定 ,移 动 终 端 证 书 中 应 包 括 本 扩 展 。 6.3.3 签 名 算 法 域签 名 算 法 域 包 含 证 书 颁 发 机 构 签 发 该 证 书 所 使 用 的 密 码 算 法 的

35、 标 识 符 ， 应 符 合 GB/T 20518-2018第5.2.2条 的 规 定 ,签 名 算 法 应 符 合 国 家 密 码 主 管 部 门 对 密 码 算 法 的 规 定 。注 ： 根 据 国 家 密 码 主 管 部 门 批 准 的 最 新 算 法 及 时 调 整 。6.3.4 签 名 值 域签 名 值 域 包 含 了 对 基 本 证 书 域 进 行 数 字 签 名 的 结 果 ， 应 符 合 GB/T 20518-2018第 5.2.2条 的 规 定 ,签名 算 法 应 符 合 国 家 密 码 主 管 部 门 对 密 码 算 法 的 规 定 。注 ： 根 据 国 家 密 码 主 管

36、 部 门 批 准 的 最 新 算 法 及 时 调 整 。6.4 主 体 命 名 规 范6.4.1 机 构 证 书 组 织 机 构 证 书 的 主 体 DN为 :C=国 家 代 码S=省 份 （ 可 选 ） ， 如 “ 广 东 省 ”L=城 市 （ 可 选 ） ， 如 “ 广 州 市 ”O=机 构 名 称 ， 如 “ 广 州 市 XXX公 司 ”CN=机 构 或 部 门 名 称 ， 如 “ 广 州 市 XXX公 司 XXX部 门 ”6.4.2 机 构 员 工 证 书机 构 员 工 数 字 证 书 的 主 体 DN为 ：C=国 家 代 码S=省 份 （ 可 选 ） ， 如 “ 广 东 省 ”L=城

37、 市 （ 可 选 ） ， 如 “ 广 州 市 ”O=机 构 名 称 ， 如 “ 广 州 市 XXX公 司 ” CN=用 户 姓 名 ， 如 “ 张 三 ”6.4.3 移 动 终 端 设 备 证 书机 构 拥 有 的 移 动 终 端 设 备 数 字 证 书 的 主 体 DN为 : DB44/T 22262020 10 C=国 家 代 码S=省 份 （ 可 选 ） ， 如 “ 广 东 省 ”L=城 市 （ 可 选 ） ， 如 “ 广 州 市 ”O=机 构 名 称 ， 如 “ 广 州 市 XXX公 司 ”CN=终 端 标 识7 移 动 端 密 码 模 块 的 技 术 要 求7.1 算 法 要 求移

38、动 端 密 码 模 块 支 持 的 密 码 算 法 应 符 合 国 家 密 码 主 管 部 门 对 密 码 算 法 的 规 定 ， 算 法 标 识 应 符 合 GB/T33560的 规 定 。7.2 安 全 性 要 求 移 动 端 密 码 模 块 应 经 过 国 家 密 码 主 管 部 门 的 安 全 检 测 ， 安 全 性 应 符 合 GB/T37092规 定 的 安 全 二 级 及以 上 的 要 求 。7.3 资 质 要 求移 动 端 密 码 模 块 所 用 的 产 品 应 获 得 国 家 密 码 主 管 部 门 颁 发 的 商 用 密 码 产 品 型 号 证 书 。7.4 软 件 接 口

39、 要 求移 动 端 密 码 模 块 应 提 供 配 套 软 件 接 口 ， 软 件 接 口 应 符 合 GB/T 35291的 规 定 。8 应 用 集 成 规 范8.1 技 术 要 求 应 用 系 统 实 施 的 证 书 认 证 登 录 应 满 足 ：a) 应 用 调 用 数 字 证 书 做 身 份 鉴 别 的 软 件 接 口 应 符 合 GM/T 0020的 规 定 ；b) 能 防 重 放 攻 击 ， 保 证 登 录 认 证 报 文 被 窃 取 后 ， 不 能 用 来 重 放 登 录 ；c) 对 登 录 证 书 应 做 证 书 信 任 链 验 证 或 信 任 状 态 验 证 ， 保 证 只 有 受 信 任 的 证 书 认 证 机 构 （ CA） 颁 发的 数 字 证 书 才 能 登 录 到 应 用 系 统 ；d) 对 登 录 证 书 应 做