GA T 1722-2020 居民身份网络认证 整体技术框架.pdf

《GA T 1722-2020 居民身份网络认证 整体技术框架.pdf》由会员分享，可在线阅读，更多相关《GA T 1722-2020 居民身份网络认证 整体技术框架.pdf（13页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 35.240.15 A 90 GA 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T XXXX XXXX 居民身份网络认证 整体技术框架 CTID online authentication Overall technical framework （报批稿） XXXX - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国公安部 发布 GA/T XXXX XXXX I 目 次 前言 . II 引言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 总则 . 1 4.1 系统框架 . 1 4.2 网证管理客户端

2、 . 2 4.3 网证应用系统 . 3 4.4 居 民身份网络认证服务系统 . 3 5 业务功能 . 3 5.1 网证管理客户端 . 3 5.2 网证应用系统 . 4 5.3 居民身份网络认证服务系统 . 4 6 技术要求 . 5 6.1 一般要求 . 5 6.2 网证管理客户端 . 5 6.3 网证应用系统 . 5 6.4 居民身份网络认证服务系统 . 6 参考文献 . 7 图 1 居民身份网络认证系统整体技术框架 . 2 GA/T XXXX XXXX II 前 言 本标准按照 GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利

3、的责任。 本标准由公安部社会公共安全应用基础标准化技术委员 会提出并归口。 本标准起草单位：公安部第一研究 所、北京中盾安信科技发展有限公司、北京中盾安全技术开发公 司、广东 省公安厅、兴唐通信科技有限公司、浙江蚂蚁小微金融服务集团有限公司、联想（北京）有限 公司、深圳市腾讯计算机系统有限公司。 本标准主要起草人： 于锐、邱旭华、吴国英、张治安、黄耀晖、王菁、蔡子凡、谷晨、王昕、李俊、 杨晓光、王俊峰、陈虎军、韩汨鸿 。 本标准为首次发布。 GA/T XXXX XXXX III 引 言 居民身份网络认证是国家实施网络可信身份战略实施的重要环节之一。由于互联网的虚拟性特点 , 传统的身份认证方式

4、已无法适应网络用户应用 的需求 ,而网络身份认证存在着认证方式多种多样、身份 信息真假难辨等弊端 ,并引发了数据泄露、身份冒用、隐私传播等新的安全问题 ,甚至威胁到了国家安全。 为此 ， 亟需从标准化角度开展研究 ,构建安全、便捷、统一的居民身份网络认证技术框架 ,为在网络空间 标识居民身份和认证提供安全保障 ,为提高我国网络身份管理水平、实现网络社会治理现代化提供技术 支持。 为了从国家层面构建网络身份管理体系 ,建立安全、便捷、统一的居民身份网络认证技术框架 ,从而 推动建立不同网络服务提供者之间安全、合理、有序共享使用用户身份信息机制 ,构建网络可信身份服 务生态环境 ,特制 定本标准。

5、 GA/T XXXX XXXX 1 居民身份网络认证 整体技术框架 1 范围 本标准给出了居民身份网络认证整体技术框架 ,规定了居民身份网络认证系统的组成、业务功能和 技术要求。 本标准适用于居民身份网络认证系统的设计、开发、集成、测试和应用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅 注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GA/T XXXX 居民身份网络认证 通用术语 GA/T XXXX 居民身份网络认证 网络可信凭证和

6、网络标识格式要求 GA/T XXXX.1 居民身份网络认证 认证服务 第 1部分：认证分级 GA/T XXXX.2 居民身份网络认证 认证服务 第 2部分：服务接口要求 GA/T XXXX.3 居民身份网络认证 认证服务 第 3部分：信息获取控件接口要求 GA/T XXXX.4 居民身份网络认证 认证服务 第 4部分：人脸图像采集控件技术要求 GA/T XXXX.5 居民 身份网络认证 认证服务 第 5部分：人脸比对引擎接口要求 GA/T XXXX.1 居民身份网络认证 信息采集设备 第 1部分：居民身份证开通网证读卡器 GA/T XXXX.2 居民身份网络认证 信息采集设备 第 2部分：自助

7、开通网证设备 GA/T XXXX.3 居民身份网络认证 信息采集设备 第 3部分：批量开通网证设备 GA/T XXXX.4 居民身份网络认证 信息采集设备 第 4部分：移动终端安全技术要求 GM/T 0054-2018 信息系统密码应用基本要求 3 术语和 定义 GA/T XXXX居民身份网络认证 通用术语界定的术语和定义适用于本文件。 4 总则 4.1 系统框架 居民身份网络认证系统由网证管理客户端、网证应用系统、居民身份网络认证服务系统三部分组成。 居民身份网络认证系统整体技术框架见图 1。 GA/T XXXX XXXX 2 标准 2标准 1 标准 10 标准 12 标准 4 标准 1 居

8、民身份网络认证 通用术语 标准 2 居民身份网络认证 整体技术框架 标准 3 居民身份网络认证 网络可信凭证和网络标识格式要求 标准 4 居民身份网络认证 认证服务 第 1 部分 ： 认证分级 标准 5 居民身份网络认证 认证服务 第 2 部分 ： 服务接口要求 标准 6 居民身份网络认证 认证服务 第 3 部分 ： 信息获取控件接口要求 标准 7 居民身份网络认证 认证服务 第 4 部分 ： 人脸图像采集控件技术要求 标准 8 居民身份网络认证 认证服务 第 5 部分 ： 人脸比对引擎接口要求 标准 9 居民身份网络认证 信息采集设备 第 1 部分 ： 居民身份证开通网证读卡器 标准 1 0

9、 居民身份网络认证 信息采集设备 第 2 部分 ： 自助开通网证设备 标准 1 1 居民身份网络认证 信息采集设备 第 3 部分 ： 批量开通网证设备 标准 1 2 居民身份网络认证 信息采集设备 第 4 部分 ： 移动终端安全技术要求 标准 11 居民身份网络认证 服务系统 （ 见 5 . 3 ） 网证 应用 服务 接口 网证管理 数据存储 生物特征 验证 网证验证 网证 居民身份 网络标识 应用程序 居民 网证应用客户端 应用程序 人脸图像 采集控件 信息 获取控件 网证 网证应用服务端 签名验签 应用程序服务器 数据存储 居民身份 网络标识 签名验签 身份信息核验 业务服务 身份信息验证

10、 标识管理 网证应用系统 （ 见 5 . 2 ） 居民 身份 证开 通网 证读 卡器 人脸图像 采集控件 网证 管理 服务 接口 标准 7 标准 12 标准 5 网证 开通 网证 冻结 网证 解冻 网证 注销 网证 口令重置 标准 7 标准 6 人脸 验证 标准 8 标准 9 标准 3标准 3 标准 3 标准 3 网证管理 客户端 （ 见 5 . 1 ） 图 1 居民身份网络认证系统整体技术框架 在居民身份网络认证系统整体技术框架中 ,居民用网证证明身份 ,网证贯穿于居民身份网络认证的 所有业务流程中： a) 网证开通申请：居民通过网证管理客户端与居民身份网络认证服务系统协同交互完成网证开 通

11、 申请； b) 网证下载申请：居民开通网证后 ,通过网证应用系统与居民身份网络认证服务系统协同交互完 成网证下载申请 ,把网证下载并存储到网证应用客户端； c) 身份认证：居民在网证应用系统中 ,办理需要核验身份的业务时 ,通过出示存储在网证应用客户 端的网证 ,根据业务需求可同时附加人脸图像或网证口令等信息 ,由网证应用系统提交到居民 身份网络认证服务系统核验居民身份的正确性；正确性核验通过后 ,居民身份网络认证服务系 统向网证应用服务端下发验证结果和居民身份网络标识； d) 网证管理业务申请：居民通过网证管理客户端到居民身份网络认证服务系统进 行网证注销、网 证冻结、网证解冻和网证口令重置

12、等操作 ,实现对网证的管理。 4.2 网证管理客户端 网证管理客户端由硬件和软件组成。硬件形态可以是移动终端 ,或外接居民身份证件阅读器的计算 机 ,或自助开通网证设备 ,或批量开通网证设备等；软件是运行在硬件上用于采集网证管理所需信息的应 GA/T XXXX XXXX 3 用程序 ,该应用程序一般包含人脸图像采集控件。网证管理客户端具有网证开通、网证冻结、网证解冻、 网证注销和网证口令重置等功能。 4.3 网证应用系统 网证应用系统由网证应用客户端和网证应用服务端组成。网证应用客户端由软、硬件组成 ,硬件形 态一般是移动终端或计算 机；软件是运行在硬件上用于采集网证下载和身份认证所需信息的应

13、用程序 , 该应用程序一般包含人脸图像采集控件和信息获取控件。网证应用服务端由应用程序服务器、签名验签 服务器和存储居民身份网络标识的数据存储设备组成。 4.4 居民身份网络认证服务系统 居民身份网络认证服务系统由网证管理服务接口、网证应用服务接口、签名验签、业务服务和数据 存储等功能组成。其中业务服务包括网证管理、标识管理、网证验证、人脸验证、身份信息核验和身份 信息验证等功能模块；数据存储包括网证和居民身份网络标识的存储。 5 业务功能 5.1 网证管理客户端 5.1.1 网证开通 居民通过网证管理客户端的网证开通功能 ,在居民身份网络认证服务系统申请生成网证。开通网证 时 ,居民需要出示

14、居民身份证件 ,采集人脸图像 ,输入手机号码和设置网证口令 ,这些信息的提交可以根 据网证管理客户端的界面提示进行操作。 5.1.2 网证冻结 居民通过网证管理客户端的网证冻结功能 ,可以对在居民身份网络认证服务系统已经生成的网证进 行冻结 ,冻结后此网证进入不可用状态 ,后续可以通过解冻操作恢复到可用状态。冻结网证时 ,网证客户 端读取居民身份证件信息或读取网证信息并采集人脸图像 ,提交到居民身份网络认证服务系统。 5.1.3 网证解冻 居民通过网证 管理客户端的网证解冻功能 ,可以对在居民身份网络认证服务系统已经冻结的网证进 行解冻 ,解冻后此网证恢复可用状态。解冻网证时 ,网证客户端读取

15、居民身份证件信息或读取网证信息并 采集人脸图像 ,提交到居民身份网络认证服务系统。 5.1.4 网证注销 居民通过网证管理客户端的网证注销功能 ,可以对在居民身份网络认证服务系统已经生成的网证进 行注销 ,注销后此网证直接失效 ,不可恢复。注销网证时 ,网证客户端读取居民身份证件信息或读取网证 信息并采集人脸图像 ,提交到居民身份网络认证服务系统。 5.1.5 网证口令重置 居民通过网证管理客户端的网证口令重置功能 ,可以对在居民身份网络认证服务系统已经生成的网 证口令进行重置。网证口令重置时 ,网证客户端读取居民身份证件信息或读取网证信息、采集人脸图像 和 设置 网证口令 ,提交到居民身份网

16、络认证服务系统。 GA/T XXXX XXXX 4 5.2 网证应用系统 5.2.1 网证应用客户端 网证应用客户端是网证应用系统面向居民用户的客户端 ,主要功能是接收居民的网证下载或身份认 证请求 ,采集网证下载或身份认证所需的信息 ,并把相关信息转发给网证应用服务端；接收网证应用服务 端转发的居民身份网络认证服务系统的返回结果 ,并展示给居民或引导居民进行网证应用系统的相关业 务 操作 。 5.2.2 网证应用服务端 网证 应用服务端是网证应用系统的后台服务 ,主要功能是对网证应用客户端发送的数据包按照居民 身份网络认证服务系统服务接口要求进行组包和签名 ,并转发给居民身份网络认证服务系统

17、；对居民身 份网络认证服务系统返回的数据包进行验签和解析 ,并把结果转发至网证应用客户端。 5.3 居民身份网络认证服务系统 5.3.1 网证管理服务接口 网证管理服务接口主要与网证管理客户端进行数据交互 ,实现协议的解析、签名验签以及业务服务 的分发和调度等功能。 5.3.2 网证应用服务接口 网证应用服务接口主要与网证应用系统服务端进行数据交互 ,实现协议的解析、签名验签以及业务 服务的 分发和调度等功能。 5.3.3 签名验签 提供签名和验签服务 ,验证数据的完整性和有效性。 5.3.4 业务服务 5.3.4.1 网证管理 根据网证管理服务接口接收的功能请求 ,完成网证的生成、下载、注销

18、、冻结、解冻和口令重置等 功能。 5.3.4.2 标识管理 完成居民身份网络标识的生成、查询、更新和删除等功能。 5.3.4.3 网证验证 验证从网证应用服务接口接收的网证是否与居民身份网络认证服务系统存储的网证一致。 5.3.4.4 人脸验证 验证从服务接口接收的人脸信息是否与居民身份网络认证服务系统存储的信息匹配。 5.3.4.5 身份信息核验 在网证开通环节 ,核验从网证管理服务接口接收的身份证件信息是否与居民 身份网络认证服务系统 存储的信息一致。 GA/T XXXX XXXX 5 5.3.4.6 身份信息验证 在身份认证环节 ,验证从网证应用服务接口接收的除网证和人脸信息之外的信息是

19、否与居民身份网 络认证服务系统存储的信息相匹配。 5.3.5 数据存储 实现网证和居民身份网络标识等业务数据存储。 6 技术 要求 6.1 一般要求 居民身份网络认证系统业务功能的具体技术要求应符合 GA/T XXXX居民身份网络认证 网络可信 凭证和网络标识格式要求、 GA/T XXXX.1 居民身份网络认证 认证服务 第 1部分：认证分级、 GA/T XXXX.2居民身份网络认证 认证服务 第 2部 分：服务接口要求、 GA/T XXXX.3居民身份网 络认证 认证服务 第 3部分：信息获取控件接口要求、 GA/T XXXX.4居民身份网络认证 认证服务 第 4部分：人脸图像采集控件技术要

20、求、 GA/T XXXX.5 居民身份网络认证 认证服务 第 5部分：人 脸比对引擎接口要求、 GA/T XXXX.1居民身份网络认证 信息采集设备 第 1部分：居民身份证开通 网证读卡器、 GA/T XXXX.2居民身份网络认证 信息采集设备 第 2部分：自助开通网证设备、 GA/T XXXX.3居民 身份网络认证 信息采集设备 第 3部分：批量开通网证设备和 GA/T XXXX.4居民身份 网络认证 信息采集设备 第 4部分：移动终端安全技术要求。 6.2 网证管理客户端 网证管理客户端技术要求如下： a) 网证管理客户端集成的人脸图像采集控件应符合 GA/T XXXX.4居民身份网络认证

21、 认证服务 第 4 部分：人脸图像采集控件技术要求的要求； b) 网证管理客户端硬件设备根据实际形态应满足： 1) 居民身份证开通网证读卡器应符合 GA/T XXXX.1居民身份网络认证 信息采集设备 第 1 部分：居民身份证开通网证读 卡器的要求； 2) 自助开通网证设备应符合 GA/T XXXX.2居民身份网络认证 信息采集设备 第 2 部分： 自助开通网证设备的要求； 3) 批量开通网证设备应符合 GA/T XXXX.3居民身份网络认证 信息采集设备 第 3 部分： 批量开通网证设备的要求； 4) 移动终端应支持网证的安全存储 ,应符合 GA/T XXXX.4居民身份网络认证 信息采集设

22、 备 第 4 部分：移动终端安全技术要求的要求。 6.3 网证应用系统 6.3.1 网证应用客户端 网证应用客户端技术要求如下： a) 网证应用客户端集成的信息获取控件应符合 GA/T XXXX.3居民身份网络认证 认证服务 第 3 部分：信息获取控件接口要求的要求； b) 网证应用客户端集成的人脸图像采集控件应符合 GA/T XXXX.4居民身份网络认证 认证服务 第 4 部分：人脸图像采集控件技术要求的要求； GA/T XXXX XXXX 6 c) 网证应用客户端移动终端形态的设备应符合 GA/T XXXX.4居民身份网络认证 信息采集设备 第 4 部分：移动终端安全技术要求的要求。 6.

23、3.2 网证应用服务端 网证应用服务端技术要求如下： a) 应通过网证应用服务接口与居民身份网络认证服务系统交互 ,实现网证下载和身份认证。接口 协议应符合 GA/T XXXX.2居民身份网络认证 认证服务 第 2 部分：服务接口要求的要求； b) 应提供存储区域 ,存储居民身份网络认证服务系统下发的居民身份网络标识。 6.4 居民身份网络认证服务系统 6.4.1 网证管理服务接口 网证管理服务接口技术要求如下： a) 应能实现协议的解析； b) 应能调用签名验签服务对交互数据进行签名和验签 ,实现对请求的合法性验证； c) 应能进行业务服务分发和调度。 6.4.2 网证应用服务接口 网证应用

24、服务接口技术要求如下： a) 应能实现协议的解析； b) 应能调用签名验签服务对交互数据进行签名和验签 ,实现对请求的合法性验证； c) 应能进行业务服务分发 和调度； d) 应符合 GA/T XXXX.2居民身份网络认证 认证服务 第 2 部分：服务接口要求的要求。 6.4.3 业务服务 业务服务技术要求如下： a) 应提供网证管理、标识管理、网证验证、人脸验证、身份信息验证和核验等功能； b) 人脸验证中的人脸比对引擎应符合 GA/T XXXX.5居民身份网络认证 认证服务 第 5 部分： 人脸比对引擎接口要求的要求。 6.4.4 数据存储 居民身份网络认证服务系统应实现网证和居民身份网络

25、标识安全存储 ,应有灾备机制。 6.4.5 系统安全 居民身份网络认证服务系统应符合 GB/T 22239-2019和 GM/T 0054-2018中 的 第三级安全要求。 GA/T XXXX XXXX 7 参 考 文 献 1 GB/T 32907-2016 信息安全技术 SM4分组密码算法 2 GB/T 32918.1-2016 信息安全技术 SM2椭圆曲线公钥密码算法 第 1部分： 总则 3 GB/T 32918.2-2016 信息安全技术 SM2椭圆曲线公钥密码算法 第 2部分 ： 数字签名算法 4 GB/T 32918.3-2016 信息安全技术 SM2椭圆曲线公钥密码算法 第 3部分

26、 ： 密钥交换协议 5 GB/T 32918.4-2016 信 息安全技术 SM2椭圆曲线公钥密码算法 第 4部分 ： 公钥加密算法 6 GB/T 32918.5-2017 信息安全技术 SM2椭圆曲线公钥密码算法 第 5部分 ： 参数定义 7 GB/T 32905-2016 信息安全技术 SM3密码杂凑算法 8 GB/T 32915-2016 信息安全技术 二元序列随机性检测方法 9 GB/T 33560-2017 信息安全技术 密码应用标识规范 10GB/T 35276-2017 信息安全技术 SM2密码算法使用规范 11GB/T 35275-2017 信息安全技术 SM2密码算法加密签名

27、消息语法规范 12GB/T 20518-2018 信息安全技术 公钥基础设施 数字证书格式规范 13GB/T 36322-2018 信息安全技术 密码设备应用接口规范 14GB/T 37092-2018 信息安全技术 密码模块安全要求 15GB/T 25056-2018 信息安全技术 证书认证系统密码及其相关安全技术规范 16GA 490-2013 居民身份证机读信息规范 17GM/T 0008-2012 安全芯片密码检测准则 18GM/T 0014-2012 数字证书认证系统密码协议规范 19GM/T 0019-2012 通用密码服务接口规范 20GM/T 0024-2014 SSL VPN

28、技术规范 21GM/T 0025-2014 SSL VPN网关产品规范 22GM/T 0026-2014 安全认证网关产品规范 23GM/T 0029-2014 签名验签服务器技术规范 24GM/T 0030-2014 服务器密码机技术规范 25GM/T 0032-2014 基于角色的授权与访问控制 技术规范 26GM/T 0037-2014 证书认证系统检测规范 27GM/T 0038-2014 证书认证密钥管理系统检测规范 28ISO/IEC 29115:2013 Information technology - Security techniques - Entity authentication assurance framework（信息技术 安全技术 实体认证保证框架） 29中华人民共和国居民身份证法（ 2011年 10月 29日中华人民共和国主席令第五十一号） _