GA T 1768-2021 移动警务 身份认证技术要求.pdf

《GA T 1768-2021 移动警务 身份认证技术要求.pdf》由会员分享，可在线阅读，更多相关《GA T 1768-2021 移动警务 身份认证技术要求.pdf（12页珍藏版）》请在麦多课文档分享上搜索。

1、 ICS 35.240.99 A 90 （ 报批稿 ） (本稿 完成 于 2020 年 10 月 21 日 ) GA xxxx-xx-xx 实施 xxxx-xx-xx 发布 移动警务 身份认证技术要求 Mobile police Technical requirements for identity authentication 中 华人民共和国公安部 发布 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T XXXX XXXX 代替 GA/T XXXX XXXX I 目 次 前 言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义、缩略语 . 1 4

2、总体要求 . 2 5 技术要求 . 4 6 跨区域认证要求 . 5 7 跨平台认证要求 . 6 附录 A （规范性附录） 跨平台认 证系统接口要求 . 7 GA/T XXXX XXXX II 前 言 本 文件 按照 GB/T 1.1-2020标准化工作导则 第 1 部分：标准化文件的结构和起草规则 的规 定 起草 。 本文件 由公安部科技信息化局提出。 本 文件 由公安部计算机与信息处理标准化技术委员会归口。 本文件 起草单位： 公安部科技信息化局 、 河南省公安厅 、 公安部第一研究所、公安部第三研究所、 格尔软件股份有限公司、郑州信大捷安信息技术 股份 有限公司 、长春吉大正元信息技术股份

3、有限公司 。 本标准主要起草人： 袁艺芳、 李伟强、王毅、陈巧慧、 张端涛、王卓 、 陈骁、陈昌前、陈家明、 梁 松涛 、 韩秀德 、 刘兴兴 、邓勇 。 GA/T XXXX XXXX 1 移动警务 身份认证技术 要求 1 范围 本文件 规定了移动警务身份认证的 总体要求、技术要求 、跨区域 认证要求 和跨平台认证要求 。 本文件 适用于移动警务身份认证系统建设、应用接入以及相关产品的设计和开发 。 2 规范性引用文件 下列文件 中的内容通过文中的规范性引用而构成本文件 必不可少的 条款。其中， 注日期的引用文件， 仅 该 日期 对应的版本适用于本文件； 不注日期的引用文件，其最新版本（包括所

4、有的修改单）适用于本 文件 。 GB/T 25069 信息安全技术 术语 GB/T 35678 公共安全 人脸识别应用图像技术要求 GB/T 37076 信息安全技术 指纹识别系统技术要求 GA/T 380 全国公安机关机构代码编制规则 GA/T 543 （所有部分） 公安数据元 GA/T 1053 数据项标准编写要求 GA/T 1054 （所有部分） 公安数据元限定词 GA/T 1561 移动警务系统 总体技术要求 GA/T 1720 移动警务 数字证书 格式要求 GM/Z 0001 密码术语 GM/T 0018 密码设备应用接口规范 GM/T 0034 基于 SM2密码算法的证书系统密码及

5、其相关安全技术规范 3 术语 和 定义 GB/T 25069、 GA/T 1561和 GM/Z 0001界定的以及下列 术语和定义适用于本 文件 。 3.1 移动警务 数字证书 digital certificate for mobile police information system 标识移动警务系统 用户、机构、设备 和 应用真 实身份的数字证书。 3.2 统一认证 unified authentication 在移动警务系统中，采用一致的 技术手段 ， 对 认证对象身份 进行鉴别的 过程。 3.3 GA/T XXXX XXXX 2 票据 token 在统一认证中产生， 表示 认证 对

6、象 访问 的 许可 信息 。 4 缩略语 下列缩略语适用于本文件。 ID： 身份标识（ Identity） MAC： 介质访问控制 （ Media Access Control） NFC： 近场通信 （ Near Field Communication） 5 总体要求 5.1 总体 构成 移动警务身份认证 部署在 类 区域 、 类 区域 和 类 区域中 ， 各 区域内 身份认证均由对应的认证对 象、认证服务 和 认证 因子 构成 。移动警务平台可进行 、 类区域之间 的 跨平台认证， 、 、 类区 域 之间可进行 跨区 域认证 ， 移动警务身份认证总体构成示意图见图 1。 用 户 机 构 设

7、备 应 用 认证对象 数字证书 口 令 生物标识 物理标识 认证因子 认证服务 I 类区域 II 类区域 III 类区域 A 平台 B 平台 用 户 机 构 设 备 应 用 认证对象 数字证书 口 令 生物标识 物理标识 认证因子 认证服务 用 户 机 构 设 备 应 用 认证对象 数字证书 口 令 生物标识 物理标识 认证因子 认证服务 用 户 机 构 设 备 应 用 认证对象 数字证书 口 令 生物标识 物理标识 认证因子 认证服务 用 户 机 构 设 备 应 用 认证对象 数字证书 口 令 生物标识 物理标识 认证因子 认证服务 用 户 机 构 设 备 应 用 认证对象 数字证书 口 令

8、 生物标识 物理标识 认证因子 认证服务 图 1 移动警务身份认证 总体构成 示意 图 GA/T XXXX XXXX 3 5.2 技术框架 5.2.1 概述 移动警务身份认证技术框架包括认证管理、认证对象、认证服务和认证因子四部分， 移动警务身份 认证技术框架 示意图见 图 2。 认证服务 认证对象 用户 设备 应用 身 份 认 证 服 务 认证因子 机构 数字证书 口令 生物标识 物理标识 身 份 验 证 服 务 认 证 管 理 用户凭证 / 票据 机构凭证 / 票据 设备凭证 / 票据 应用凭证 / 票据 凭 证 / 票 据 维 护 策 略 管 理 认 证 对 象 认 证 方 式 管 理

9、图 2 移动警务身份认证技术 框架 示意 图 5.2.2 认证对象 认证 对象包含用户、机构、设备和应用 等，其中： a) 用户 包 含 内部 用户 和 外部 用户 ， 内部用户 包含 民警和警务辅助人员 ，外部 用户包含党政用户和 企事业 用户 等； b) 机构 包含党政部门和 企事业 单位等； c) 设备 包含移动警务 终端、服务器和专用设备等 ； d) 应用 包含 应用客户端和应用服务端 。 5.2.3 认证 因子 认证 因子包含 但不限于数字证书、口令、生物 标识和 物理 标识，其中： a) 数字证书采 用 SM2 算法 并符合 GM/T 0034 的规 定 ， 证书 存储方式 采用

10、硬件 密码模块或 软件 密码 模块； b) 口令 包含但不限于 密码口令和短信验证码 ； c) 生物 标识 包含但不限于 人脸 和指纹 ； d) 物理 标识 包含但不限 于 MAC 地址、设备 ID 等 硬 件唯一标识。 GA/T XXXX XXXX 4 5.2.4 认证服务 认证服务 分为 类系统认证服务、 类系统认证服务和 类系统认证服务 ，其中： a) 类系统认证服务为 类区域用户提供实名认证，为机构、设备和应用提供统一认证服务，发 放认证凭证 /票据； b) 类系统认证服务 为 类 区域用户、机构、设备和应用提供统一认证服务，发放认证凭证 /票 据； c) 类系统认证服务 为 类区域用

11、 户、机构、设备和应用提 供统一认证服务 ，发放认证凭证 /票据 。 5.2.5 认证 管理 认证 管理包含 但不限于认证 对象认证方式管理和凭证 /票据维护策略管理，其中： a) 认证对象认证方式管理，按 照 、 、 类区域的安全防护要求，采用单因子、双因子或多因 子认证方式； b) 凭证 /票据维护策略管理，按照 、 、 类区域的安全防护要求，设置凭证 /票据的有效期， 更新、延 期条件等。 6 技术 要求 6.1 认证对象要求 6.1.1 用户 认证 用户认证需 满足下列要求： a) 根据信息重要程度， 类系统 用户可 采用 密码 口令、短信 验证码、数字证书、 NFC 读取二代身 份证

12、、生物标识 中的一种或多种方式 进行身份认证 ， 对 重要 信息的访问， 还应采用 实名认证 ； b) 类系统用户 应采用 硬件密码模块或软件密码模块 的 移动警务 数字证书进行身份认证，宜 采用 一种或多种其他认证标识进行辅助认证， 认证场景包含人机认证和系统认证等 ； c) 类系统 用户应 采用 硬 件 密码模块 的 移动警务 数字证书 进行身份认证 ， 其 他 应符合 类系统 用 户 认证 技术要求。 6.1.2 机构 认证 机构认证应满足下列要求： a) 类系统机构采用数字证书进行认证，同时对其访问的 数据、服务及应用等 资源进行限定 ； b) 类系统机构 采用 硬件密码模块或软件密码

13、模块 的移动警务数字 证书 进行身份认证； c) 类系统机构 采用 硬件密码模块 的移动警务数字 证书 进行身份认证 。 6.1.3 设备 认证 设备认证应满足下列要求： a) 类系统 设备 采用 数字证书或 基于物理标识的认证 方式 进行身份认证； b) 类系统设备采用 硬件密码模块或软件密码模块的移动警务 数字证书进行 身份 认证 ， 设备证书 应包括设备的唯一 物理标识； c) 类系统设备采用 硬件密码模块 的移动警务 数字证书进行 身份 认证 ， 设备证书应包括设备的唯 一 物理标识。 GA/T XXXX XXXX 5 6.1.4 应用 认证 应用认证应满足下列要求： a) 类系统应用

14、采用数字证书 进行身份认证； b) 类系统应用 采用 硬件密码模块或软件密码模块 的移动警务数字证书进行身份认证； c) 类系统应用 采用 硬件密码模块 的移动警务数字证书进行身份认证 。 6.2 认证 因子 要求 6.2.1 数字证书 数字证书 应 满足下列要求： a) 类系统数字证书密码算法采用国产密码算法 ； b) 、 类系统 移动警务 数字证书采用签名和加密双证书机制，密码算法采用国产密码算法，认 证接口符合 GM/T 0018 的规定 ，证书格式符合 GA/T 1720 的规定 ； c) 数字证书 产品 需 通过国家密码 管理部门检测 。 6.2.2 口令 口令应满足下列要求： a)

15、 口令由大 小写字母、 数字 和 符号组成，长度 8 位 及 以上， 定期更换； b) 口令 进行加密存储和传输 ， 具备防暴力破解能力 ； c) 短信验证码长度 6 位 及 以上，设定有效期，且一次有效。 6.2.3 生物 标 识 生物标识 应满足下列要 求： a) 生物特征 信息 进行加密存储和传输 ； b) 人脸图像采集具备活体检测能力，采样、比对的阈值应 符合 GB/T 35678 的规定； c) 指纹识别符合 GB/T 37076 的规定。 6.2.4 物理 标识 物理标识 应选 择硬件 ID、 MAC 地址、蓝牙地址 等 硬件唯一标识 。 7 跨区域认证要求 跨区域认证 应满足 下

16、列 要求： a) 类应用跨区域访问 类系统信息资源时，由 类 系统服务总线向 类 系统 服务总线传递 凭证 /票据的 身份信息 ； b) 类应用跨区域访问 类 系统 信息资源时，由 类系统服务总线 向 类系统服务总线传递 凭证 /票 据的 身份信息 ； c) 类应用跨区域访问 类 系统 信息资源时，由 类系统服务总线 向 类系统服务总线传递 凭证 /票据的 身份信息 。 GA/T XXXX XXXX 6 8 跨平台认证要求 8.1 概述 统一 认证支持跨平台的身份认证与信任传递 ，其 认证机制 与流程 示意图见 图 3。 应用使用地平台 应用归属地平台 应用客户端 统一认证 应用服务端统一认证

17、 a. 登录认证 b. 鉴别用户及应用身份 生成用户及应用凭证 / 票据 c. 返回结果 d. 应用登录 （ 携带用户及应用凭证 / 票据 ） h. 返回结果 e. 验证凭证 / 票据获取用户信息 g. 返回结果及用户信息 f - 2. 异地验证 f - 1. 验证凭证 / 票据获取用户信息 i. 业务交互 （ 携带用户及应用凭证 / 票据 ） 图 3 跨平台身份认证机制与流程 示意 图 跨平台身份认证机制由应用使用地平台和应用归属地平台联动 ， 提供统一的身份鉴别、验证和 身份 信息获取 等 服务。应用使用地平台为当地运行的应用客户端提供服务 。 应用归属地平台为当地运行的应 用服务端提供

18、服务。 8.2 跨平台认证流程及要求 跨平台认证流程及要求 如下： a) 应用 客户端 启动时，调用统一认证客户端 的身份凭证 /票据获取 接口 ， 传递应用标识等参数； b) 统一认证鉴别 身份 ， 进行 鉴权 ，生成凭证 /票据 ； c) 统一认证向应用 客户端 返回或定向广播认证结果，应用 客户端 获取 身份 凭证 /票据 ； d) 应用客户端 登录 应用 归属地平台应用服务端 时 ， 在 请求报文 中 携带身份凭证 /票据 ； e) 应用服务端调用应用 归属地 平台 的 统一认证 ， 验证 身份凭证 /票据 ，获取身份信息，进行鉴权， 完成登录操作 ； f) 应用归属地平台 的 统一认

19、证验证 应用使用地平台 签发 的身份凭证 /票据 时，可 在 应用 归属地 或 应用 使用地 验证 ，在 应用 归属地 鉴权 ； g) 应用归属地 统一认证 向 应用服务端返回 验证 结果及用户信息； h) 应用服务端向应用客户端返回 验证 结果； i) 在业务交互中，无会话状态维持的应用 需 携带凭证 ， 有会话状态维护的应用 需 携带票据 ； j) 跨平台认证接口符合附录 A 的规定。 GA/T XXXX XXXX 7 附录 A （规范性附录） 跨平台认证系统接口 要求 A.1 接口标识命名规则 接口标识命名 规则 应满足以下要求： a) 命名格式： IF-模块标识 -接口类型标识 -接口

20、序号 ； b) 模块标识： MAM 为移动应用市场， UA 为统一认证， UPM 为统一授权， RSB 为服务总线， CCM 为 级联配置管理； c) 接口类型： SDK 为模块客户端接口， SVC 为模块网络服务接口； d) 平台信息、应用信息、资源信息 等 采用 符合 GA/T 543、 GA/T 1053 和 GA/T 1054 规定 的数据元、 限定词和数据项 。 A.2 接口通信协议 接口通信协议 应满足以下要求： a) Android 应用 APP 接口： 用于 原生应用客户端调用。通信协议、接口地址格式和广播接口应满 足以下要求： 1) 通信协议：采用 Android 进程间通信

21、方式 ContentProvier 和广播方式，通过 Android 参 数传递请求、返回内容 ； 2) 接口地址格式：对于 ContentProvider 接口，地址为 URI，格式为 “ content:/com.ydjw. 模块 .接口 ” ； 3) 广播接口：地址由 Intent 封装，格式为“ com.ydjw.模块 .消息标识符参数 ”； b) H5 移动应用客户端接口：用于 H5 Web 应用调用 ，采用 JS、 HTTP 协议 ； c) 网络服务接口：用于服务端调用 ，通信协议和接口地址格式 满足以下要求： 1) 通信协议：采用无状态 HTTP Restful 格式 ，基于 H

22、TTP1.1 协议，通过 POST 方法调用，交 互数据格式为 JSON，交互数据 内容 使用 UTF-8 编码 ； 2) 接口地址格式：地址为 URL， 格式为：“ http:/网络地址 /域名 :端口 /上下文名称 / v版本号 /接口名称 ”，其中 “网络地址”为 IPv4 格式，“端口”为阿拉伯数字， “上 下文 名称 ”为模块名称， “版本号”为十进制阿拉伯数字 。 A.3 接口版本与兼容性 接口版本与兼容性 应满足以下要求： a) 在程序中增加新版本 接口时， 兼容旧版本 ； b) 同一 网络服务接口有多个版本的 ， 接口以列表形式上报； c) 兼容不同版本 的 Android A

23、PP 接口 。 A.4 Android 应用 APP 接口参数 Android 应用 APP 接口参数 应 满 足以下要求： a) ContentProvider 接口参数： 输入、输出参数 采用 Android Bundle 封装方式， 由 应用 进行封 装； b) 广播接口参数： 广播消息标识符为大写字母 表示 的静态常量 。 GA/T XXXX XXXX 8 A.5 网络协议接口参数 网络协议接口参数 需 满足以下要求： a) 输入（请求）参数 ， 应包括消息头 HTTP 协议头 Header 和消息体 Body 两部分 ， 输入 （请求） 参数 与 图 A.1 相符合， 其 中： 1)

24、 请求消息头包含 XXBS（消息标识） 、 YYPZ（应用凭证票据） /YYPJ（应用票据）、 YHPZ（用 户凭证票据） /YHPJ（用户票据）、 ZYBS（ 资源标识，可选 ） 和 ZYGSJGBS（ 资源归属机构 标识，与资源标识成对出现 ，可选 ） 。其中，资源标识应符合 GA/T 543 的规定，资源归属 机构标识应符合 GA/T 380 的规定 ； 2) 请求消 息体 QQXXT,直接由 HTTP 协议的 Body 体封装请求参数 ； b) 输出（响应）参数：应包括消息头 HTTP 协议头 Header 和消息体 Body 两部分 ， 输出（响应） 参数 与 图 A.2 相符合，

25、其中： 1) 消息头包含： XXBS（请求者提交的消息标识）、 CWDM（错误代码）、 CWNR（错误内容） 、 XY PZ（需要凭证） /XYPJ（ 需要票据） ； 2) 错误代码类别 应符合 表 A.1 的规定 ； 3) 响应消息 体 XYXXT，由 HTTP 协议的 Body 体封装返回的数据 ； 4) 对于需要返回记录集的接口，宜在返回 消息体 中增加分页参数： JLZS（总记录数）、 DQYM （当前页码）。 H e a d e r X X B S Z Y G S J G B S B o d yZ Y B SY Y P Z / Y Y P J Y H P Z / Y H P J Q Q X X T 图 A.1 输入（请求）参数 图 H e a d e r X X B S C W D MC W N R X Y P Z / X Y P J B o d y X Y X X T 图 A.2 输出（响应）参数 图 表 A.1 错误 类别 代码表 错误类别代码 描述 0 无错误 1 统一认证 错误 2 统一授权 错 误 3 应用市场 错误 4 移动服务总线 错误 5 级联配置管理 错误 6 应用开发服务 错误 7 应用运行监测 错误