GB_T 43779-2024 网络安全技术 基于密码令牌的主叫用户可信身份鉴别技术规范.docx

《GB_T 43779-2024 网络安全技术 基于密码令牌的主叫用户可信身份鉴别技术规范.docx》由会员分享，可在线阅读，更多相关《GB_T 43779-2024 网络安全技术 基于密码令牌的主叫用户可信身份鉴别技术规范.docx（27页珍藏版）》请在优知文库上搜索。

1、ICS35.030CCS1.80OB中华人民共和国国家标准GB/T437792024网络安全技术基于密码令牌的主叫用户可信身份鉴别技术规范CybersecuritytechnologyTechnicalspecificationforcalleridentityauthenticationusingcryptotokens2024-04-25发布2024-11-01实施国家市场监督管理总局国家标准化管理委员会目次前言I引言II1范围12规范性引用文件13术语和定义14符号和缩略语24.1 符号24.2 缩略语25概述35.1 基于密码令牌的主叫用户可信身份鉴别技术的基本原理35.2 可信身份凭

2、证的签发架构35.3 可信身份凭证的签发模式35.4 可信用户的验证45.5 采用令牌消息进行身份鉴别的基本流程46安全要求46.1 可信身份凭证的签发46.2 主叫可信身份的传送、鉴别与信息展示56.3 可信身份凭证数据内容与格式要求76.4 密码令牌数据内容与格式要求77测试评价方法87.1 授权中心与身份凭证签发中心87.2 主叫终端97.3 被叫终端97.4 令牌消息传送服务97.5 身份凭证查询系统1（）附录A（规范性）可信身份凭证数据内容与格式的ASN.1描述11附录B（规范性）密码令牌数据内容与格式ASN.1描述15附录C（规范性）基于SIP呼叫的密码令牌传送方法17附录D（资料

3、性）终端展示界面示例18参考文献22本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会（SAe/TC260）提出并归口。本文件起草单位：中国科学院大学、中国电信集团有限公司、中国电子技术标准化研究院、中国移动通信集团有限公司、中国信息通信研究院、北京数字认证股份有限公司、华为技术有限公司、北京小米移动软件有限公司、OPPo广东移动通信有限公司、中兴通讯股份有限公司、北京三星通信技术研究有限公司、微位（深圳）网络科技有限公司、广东省电子商务认

4、证有限公司、深圳市电子商务安全证书管理有限公司、中科信息安全共性技术国家工程研究中心有限公司、联通智慧安全科技有限公司、北京信安世纪科技股份有限公司、联通（广东）产业互联网有限公司、国民认证科技（北京）有限公司、郑州信大捷安信息技术股份有限公司、数安时代科技股份有限公司、工业信息安全（四川）创新中心有限公司、成都亚信网络安全产业技术研究院有限公司、武汉大学。本文件主要起草人：荆继武、王跃武、刘紫千、上官晓丽、刘丽敏、魏亮、詹榜华、寇春静、任兰芳、郑学欣、王平建、颜雪薇、常新苗、雷灵光、黄钱红、李根、王榕、王鹏、华孝泉、吴越、鲍博武、陈木来、梁宁宁、吴昊、李彦峰、王志辉、胡建勋、金刚、张宇、吕召

5、彪、李俊、刘为华、廖正赞、周蔚林、罗影、张文科、吴强、陈晶、赵文博。引言本文件的发布机构提请注意，声明符合本文件时，可能涉及第5章、第6章与可信身份凭证签发、传送、鉴别与信息展示，以及令牌消息传送服务相关的专利的使用。本文件的发布机构对于上述专利的真实性、有效性和范围无任何立场。该专利持有人已向本文件的发布机构承诺，他愿意同任何申请人在合理且无歧视的条款和条件下，就符合本文件规定的方式使用给予免费的专利授权许可进行谈判。该专利持有人的声明已在本文件发布机构备案。相关信息可通过以下联系方式获得：专利持有人姓名：中国科学院大学地址：北京市石景山区玉泉路19号甲专利持有人姓名：微位（深圳）网络科技有

6、限公司地址：深圳市南山区粤海街道高新区社区科技南路18号深圳湾科技生态园12栋A座601专利持有人姓名：艾迪通证技术（北京）有限公司地址：深圳市南山区粤海街道高新区社区科技南路18号深圳湾科技生态园12栋A座601请注意除了上述专利外，本文件的某些内容仍可能涉及专利。本文件的发布机构不承担识别专利的责任。网络安全技术基于密码令牌的主叫用户可信身份鉴别技术规范1范围本文件规定了在通信中基于密码令牌传输、验证和显示主叫用户可信身份的技术要求，描述了相应的测试评价方法。本文件适用于指导传输、验证和显示主叫用户可信身份的系统设计、生产和测试。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本

7、文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T15843.2信息技术安全技术实体鉴别第2部分：采用对称加密算法的机制GB/T15843.3信息技术安全技术实体鉴别第3部分：采用数字签名技术的机制GB/T16262.1信息技术抽象语法记法GB/T20518信息安全技术公钥基础设施数字证书格式GB/T32905信息安全技术SM3密码杂凑算法GB/T32907信息安全技术SM4分组密码算法GB/T32918.2信息安全技术SM2椭圆曲线公钥密码算法第2部分：数字签名算法3术语和定义下列术语和定义适用

8、于本文件。3.1主叫方caller呼叫连接的发起方，或呼叫连接发起方的智能终端设备。3.2被叫方called呼叫连接的接收方，或呼叫连接接收方的智能终端设备。3.3运营商carrier主叫方或被叫方的网络服务提供商。注：主叫方运营商和被叫方运营商是相同的或不同的。3.4密码令牌cryptotoken由可信用户采用密码技术签名，并提交被叫用户验证的，用以表征自己身份的数据报文。注：该数据报文也被称为密码身份令牌或身份令牌。3.5身份凭证签发中心identityticketissuer为用户生成、颁发可信身份凭证的机构。3.6凭证签发授权中心identityticketissuerauthoriz

9、ationauthority身份凭证签发中心的授权方，通过数字签名给身份凭证签发中心签发身份凭证的方式来实现授权管理。3.7凭ii国询服务identityticketacquisitionservice为被叫用户提供查询主叫方身份凭证的服务。注：身份凭证查询服务以云服务等多种网络服务形式实现，在主叫或被叫网络被访问。3.8权限凭据privilegecredential由可信用户采用对称密码技术计算获得的，表明自己拥有使用权利的数据。注：权限凭据仅当次使用有效。3.9令牌消息传送服务tokenmessageservice为可信用户呼叫提供令牌消息的传送服务。注：令牌消息传送服务部署在互联网上、主

10、叫网络或被叫网络内。3.10可信身份服务体系trustedidentityservicessystem提供可信身份管理和证明/验证服务的体系。3.11可信身份凭证trustedidentityticket由可信身份服务体系签发的含有通信方可信身份信息及其公钥的数字凭证。3.12可信用户trusteduser申请并获得了可信身份凭证的主叫方或被叫方。注：能脸证和显示主叫可信身份，但自己不一定拥有可信身份凭证的通信方在本文件中称为用户。3.13可信身份trustedidentity经由第三方认证的，具有能与用户的行为匹配的身份。4符号和缩略语4.1 符号下列符号适用于本文件。IDi:由运营系统给第

11、i个可信用户颁发的使用服务进行鉴别的身份标识ID,该ID是随机生成的个128bit的数据，以保护用户个人信息。Ki:由运营商安全传输给第i个可信用户，对应其IDi的对称密钥。RK:管理可信用户的运营商的一个管理用户的主密钥。4.2 缩略语下列缩略语适用于本文件。CA:证书颁发机构(CertifiCaIeAuthority)CHAKEN:基于密码令牌的主叫用户可信身份鉴别技术(CanerIdentityAuthenticationUsingCryptoTokens)DER:可辨别编码规则(DiSlingUiShedEncodingRules)SIP:会话初始协议(SeSSionInitiatio

12、nProtocol)5.1 基于密码令牌的主叫用户可信身份鉴别技术的基本原理木文件规定的基于密码令牌的主叫用户可信身份鉴别技术(CHAKEN),旨在将主叫方的可信身份安全地展示给被叫方。为完成可信身份的展示，首先需要为经审核的可信用户签发可信身份凭证，该凭证包含可用于显示的经过核验的主叫用户信息，是文本、图片、音频信号或视频信息。其次被叫方利用密码令牌和主叫方的可信身份凭证对主叫方进行身份验证，确保主叫方为该可信身份凭证的持有者。5.2 可信身份凭证的签发架构本文件规定的CHAKEN技术中，可信用户的身份管理采用“凭证签发授权中心”加“身份凭证签发中心”两层的模式。授权中心是CHAKEN体系的

13、信任根，其自签名身份凭证采用可信的方式预置在用户的密码模块中，或为用户提供可信的下载途径。身份凭证签发中心需得到授权中心的许可，并获得授权中心签发的有效的身份凭证才能为一般用户签发身份凭证。可信身份凭证签发架构如图1所示。5.3 可信身份凭证的签发模式可信身份凭证的签发一般采用两种模式，一种是由身份凭证签发中心直接审核用户信息并给用户签发可信身份凭证，另一种是由身份凭证签发中心的订户，即单位用户或集团用户，对自己单位的下属员工进行审核，再由身份凭证签发中心为该员工签发可信身份凭证。图1中的连接线代表了可信身份凭证的签发路径，对某一订户，其单位员工的身份凭证的可信审核可由订户自己完成，但该员工的

14、身份信息中的单位信息只能是经过身份凭证签发中心审核的订户的单位信息。5.4 可信用户的验证本文件规定的CHAKEN技术对可信用户的验证设计为两层凭证加一次令牌的模式。即，使用授权中心的根凭证验证身份凭证签发中心的身份凭证，再用身份凭证签发中心的身份凭证验证主叫用户的可信身份凭证，最后用主叫用户的可信身份凭证验证主叫用户发出的密码令牌。5.5 采用令牌消息进行身份饕别的基本流程基于现有电话呼叫，对主叫用户进行身份鉴别的基本流程如图2所示。标引序号说明：作为前提条件，主叫终端在发出呼叫前通过在线或离线的方式获得身份凭证签发中心签发的可信身份凭证；主叫方选定被叫号码，选用自己的一个身份住叫方有一个或

15、多个身份）,如果是可信身份，则构建密码令牌发往令牌消息传送服务；_主口防通过主叫理斯向被叫方发起呼叫；主叫I卿好蚂叫后，通过中转I嘴向被叫网络发起呼叫；被叫网络向被叫终端发送主叫的呼叫请求；被叫终端收到呼叫请求后，利用索引向令牌消息传送服务查询主叫发送的密码令牌；一如果被叫终端内未缓存主叫方的可信身份凭证，通过主叫号码到身份凭证查询系统查询。经脸证正确后将主叫的可信身份显示在用户界面上。然后由用户或用户定义的规则决定是否接通或拒绝该呼叫。图2可信身份鉴别的基本流程当采用SIP协议呼叫时，SIP协议的呼叫消息中可携带主叫身份令牌的查询地址和查询索引，或者直接携带身份令牌，也可携带令牌和身份凭证。6安全要求6.1 可信身份凭证的签发6.1.1 凭证签发授权中心对凭证签发授权中心的凭证签发，满足如下方面：a）凭证签发授权中心应制定自己的电子认证业务声明，包括自己在身份凭证的颁发和使用中的责任和义务、为下级身份凭证签发中心签发身份凭证的过程，以及凭证相关的安全