GM-T0126-2023 HTML密码应用置标语法.docx

《GM-T0126-2023 HTML密码应用置标语法.docx》由会员分享，可在线阅读，更多相关《GM-T0126-2023 HTML密码应用置标语法.docx（16页珍藏版）》请在优知文库上搜索。

1、ICS35.030CCS1.80中华人民共和国密码行业标准GM/T01262023HTM1.密码应用置标语法HTM1.cryptographicapp1.icationmarkupsyntax20206-012023T204发布国家密码管理局发布前言III引言IV1范阚12规范性引用文件3术语和定义4缩略谱5网页密码标签交互过程5.1 交互过程25.2 指示性网页获取25.3 客户端证书上传25.4 密码应用网页下驳25.5 加密数据上传35.6 签名数据上传36密码标签格式36.1 证书标签36.2 会话密钥标签363签名标签36.4 验签标签46.5 图片验签标签46.6 加密标签46.7

2、 解密标签46.8 加密签名标签56.9 验签解密标签57标签解析过程67.1 证书标签解析67.2 会话密钥标签斛析67.3 签名标签解析67.4 脸签标签解析67.5 图片验签标签解析67.6 加密标签解析77.7 解密标签解析77.8 加密签名标签解析77.9 5金签解密标签解析78网页安全要求7附录A（资料性）密码标签示例8的文献11本文件按照GR，TI12020标准化匚作杼如笫1惬分；标准化文件的结构和起草规则$的规定起草.请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的必任.本文件由常码行业标准化技术委员会提出并妇口.本文件起草单位：北京而泰方W1.科技股份有限

3、公司、格尔软件股份有限公司、北京小田科技有限公司、中电科网络安全科技股份布f限公司，吉大正元信&技术股份有限公司、兴唐通信科技仃很公司、无锡江南信息安全工程技术中心本文件下：要起垠人I辑红宇，柳增珞、郑强，张立任.安晓江、王深、罗俊*罗影，王鹤、王斌、电图丽、王妮海、馀明典,本文件在浏览器处理的ItS文木置标讲m中引入密码标笠，通过密码标签提升网页访问的安全性，密科标签的意义在于实现网页数据交入内W.的安全性,同InTpS和SS1.相比，密码标衽不是工作在传输层,而是工作在应用层.IVHTM1.密码应用标语法1本文件定义了HTM1.密玛标壁的交互过程、密码标答格式及其解析过程和附灾安全要求.本

4、文件适用于浏览器对网页密码标签处理.2 SUS性引用文件卜列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中.注口期的引用文件，仅该H期对应的版本动用于本文件；不注H期的弓I用文件，其最新版本(包括所有的修改用)适用于本文件。GB1T187922002信息技术文件描述和处理语言超文本置标语言(HTM1.)3术语祠定义下列术语和定义适用于本文件。3.1I1.文本标&hyper(extmarkuphnuurI1.iGB.T18792-2002所规范的和用于描述网页的置标语言.3.2标筌tag一套贸.标暗法，用于对网页的描述。3.3属性attribute开始标舞中的用骅号连接的名字和

5、值.3.4密码应用cryptographicapp1.ication用于加密、解密、签名和验签密码功能的应用.3.5密码标签cryptographicta*用于完成密文、数字关行、数字证的等笔码功能的网页标笠，4书下列缩略讲适用于本文件.bie64:种RFC4648定义的编码(BaSe64EncodingiECB:电闪本:作模式(EkCtrOniCCodebookOperationMode)HTMk如文本黄标if!i(HyperTextMarkup1.mgugeHTTP:亚文本传输协议(HyPerTeZTransferPEOeOOID：标识(Iden1.hy)5网页密码标釜交互过程5.1网页应

6、用中为保证应用数据在网络传输中的安全性,应对眼务牌和客户端之间传递的网页内容中的特定元素迸行密码保护.为此应对网页标签进行扩展,以支持加密和签名数据的传输和处理.客户端首先应配况用户的加密/卷名证书及密钥，对于网站的加密/签名证书，可事先根据域名进行配置.也可后续通过网站的密码院用网页下发.客户汨附使用浏览器进行网页文件的处理.服务端应配置自身的加密/钻名证书及密钥，也应预先电置.用户的加密/签名证书。支持密码标维的网页处理流程如图1所示.一户端Iat务.I(示性网友I11TPGEnng)I117PfWT0)(0powebpageIK11PCCT1.POSTHm.diU)CiiICopowge

7、1.f11pF0J11MM1.uMB1密码应用网页处理SUK在改取密码应用网页(3)之前.首先服务斯根据策略判断是否向浏览器发送上传证书的指示性网页(1),浏览器收到(1)后,会上传客户涉证朽(2).在获取了密码应用网页(3之后,如果霸要上传会话密粉加密的用户数据,将执行CO,如果需要上传用户签名的数据,将执行(5).网页密码标线由浏览器解析.应用签Z标签时.服务福期望客户箍根据标签定义进行签名操作.H1.务册会对维名进行验势.应用加密林蝮时,就是服务谕期电客户沏根据标签定义进行加密操作.服务责会对密文进行解密.浏览湍所处理的HTM1.网页应符合G&T187922002的规定.5.2 指示性网

8、页禁取当浏览器访问密码应用网页时，服务端根据策略判断是否向浏览器发送上传证书的指示性网页(indicateWebPHge).指示浏览港上传客户端证书.5.3 客户证书上传如果收到指示性网页，浏览器应通过HrTPPOST方法将客户端证书(gm_ccri)上传。5.4 密码应用网员下浏览器应通过HrrPGET方法荻取相应的定码应用网页(CrypWCbP吧c).网页中的内容包含U1.1.务瑞证书信纪、用服务端私税签名的数掘、用客户湘证书公钥保护的会话密仍的数据以及用会话*伺加密的数据，浏览器应诳行相应的收彩和解监操作，成功则进行解析和网页显示。5.5 HAMft在密码应用网页中输入用户数据后，如果数

9、据属于要加密的范国，浏览器应生成公话密钥并使用服务端证书公钥加密保护.然后使用会话密钥加密相应的数据,并通过HrrPPOST方法上传加密的会话密钠和加密数据,其他部分与普通网页操作相同.5.6 签如传在密码应用网页中输入用户数据后，如果数据屈于要签名的范围，浏览着应使用客户端私伪签名相应的数据,并通过HHPPoST方法上传数据和签名,其他部分与普通网页操作相同.6密码标筌格式&1证书*筌开始标&结束标签：g11vcert）在开始标签中名字为name的翅性，v1.为其名字.在开始标签中名字为Iype的属性,v2为其证书类型标识部支持的取值包括“encrypt”和Fgna-ture,a在开始标签中

10、名字为Ya1.Ue的舐性，v3为其证书内容，证书内容使用ba*G编码，该标签位于标签内，供后续的加密、脸签等标签使用,标卷示例见附录A。6.2 会话密辆标签开始标签：Vgm-SC$ionkcyname=v1.CE_id=v2va1.uc=v3结束标签：在开始标签中名字为name的属性，Y1.为其名字.在开始标签中名字为cen_id的属性，v2为加密会话密钥所使用的客户端公伪证书的ID该ID为证书序列号。在开始标签中名字为Va1.UC的属性，丫3为其加密会话密钥内容,加常会话密钥内容使用basc64编码.该标签位于结束标签：在开始标签和结束标签之间包含input标签用于用户的输入.在提交疗件触发

11、后，除了提交用户input标签对应的namea1.ue对之外，应后接数字签名项，数字签名项的名字为gmsign.其类型为IR.其取值字符即通过如下步嘿得到。a）使用用户签名私钥对用户input标签对应的namca1.uc对的字符串进行数字签名所得的签名值,b）对签考他进行basc64编码的到字符申.提交数据通过InTPPoST方式发送服务端.&4开始标塞：(gn.verifynane=viCerUd=V2a1.g_hash=v3hash=v,4va1.ue=v5)结束标签：g11i-vcrify)在开始标签中名字为name的属性，V1.为其名字。在开始标签中名字为Ejd的屈性,v2为其篮名所使

12、用的服务地公W证书的ID.该ID为证书序列号。在开始标签中名字为HgJwsh的同性，v3为其杂凑算法标识小，支持的取值包括*02”。在开始标签中名字为hash的属性，M为待签名的杂凑值，使用bge编码。在开始标签中名字为MUe的属性，5为签名佰，使用base64编码，该标签位于ViXXiy)标维内客户端对开始标维和结束标签间的网页元素的输入值使用CEJd对应的证书公钥遂行舱签操作,如果险卷通过塔对网页元素遂行斛折和网页展示，否则应将网页元索替换成脸算错误提示字符串,&5开始标签：(gni_imgSrC=VIcen_id=v2a1.g_hash=v3va1.e=v4a1.t=v5)结束标签：在开

13、始标签中名字为的属性，V1.为其UR1.值为外部图片的地址.在开始标签中名字为art_ki的属性，丫2为其签名所使用的公物证书的ID,该ID为证书序列号.在开始标签中名字为a1.hash的属性，3为其杂凌算法标识串，支持的取值包括*Mn.在开始标签中名字为va1.ue的属性，2为其军名内容.签名内容使用base64编码。图片验签标签是一类特殊的验签标笠.该标笠位hbody)标签内,客户端对该标维中的图片根据相应的参数进行腿操作,如果脍签通过,则对图片进行解析和整示否则应将网页元素替换成限整错误提示字符申,&6开始标卷：gm_cncrypt_forma1.g-cncryp结束标签：p(_fbni

14、)a1.g_encrypi属性取值V1.为其加除算法标识申，支持的取值包括“snW,mode_enciypi的屈性，、,2为其对做法加密模式标识小，支M的取值包括“dr”“时ttotb,在开始标签和结束标签之间包含至少个而网标签用于用户的输入，在提交事件触发后，提交用户input标签对应的名字/密文字符申对。密文字符串的类型为text,其取值字符串通过如下步骤得到.a)使用会话密钥对用户输入的字符串进行加密得到密文.b)对密文进行bascM编码得到字符申。提交数据通过HTrPPoST方式发送服务端，开始标签：gm_decrj311a11e=v1.cert-id=v2a1.g-eryp3mode_encr)pt=v4iv=v5结束标签：g111.decrypt在开始标笠中名字为name的属性，v1.为其名字.在开始标签中名字为Cc1.id的屈性，v2为其加密所使用的客户端公钥证书的】D,该ID为证书序列号,