1、 ICS 35.240.99 A 90 ( 报批稿 ) (本稿 完成 于 2020 年 10 月 21 日 ) GA xxxx-xx-xx 实施 xxxx-xx-xx 发布 移动警务 身份认证技术要求 Mobile police Technical requirements for identity authentication 中 华人民共和国公安部 发布 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T XXXX XXXX 代替 GA/T XXXX XXXX I 目 次 前 言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义、缩略语 . 1 4
2、总体要求 . 2 5 技术要求 . 4 6 跨区域认证要求 . 5 7 跨平台认证要求 . 6 附录 A (规范性附录) 跨平台认 证系统接口要求 . 7 GA/T XXXX XXXX II 前 言 本 文件 按照 GB/T 1.1-2020标准化工作导则 第 1 部分:标准化文件的结构和起草规则 的规 定 起草 。 本文件 由公安部科技信息化局提出。 本 文件 由公安部计算机与信息处理标准化技术委员会归口。 本文件 起草单位: 公安部科技信息化局 、 河南省公安厅 、 公安部第一研究所、公安部第三研究所、 格尔软件股份有限公司、郑州信大捷安信息技术 股份 有限公司 、长春吉大正元信息技术股份
3、有限公司 。 本标准主要起草人: 袁艺芳、 李伟强、王毅、陈巧慧、 张端涛、王卓 、 陈骁、陈昌前、陈家明、 梁 松涛 、 韩秀德 、 刘兴兴 、邓勇 。 GA/T XXXX XXXX 1 移动警务 身份认证技术 要求 1 范围 本文件 规定了移动警务身份认证的 总体要求、技术要求 、跨区域 认证要求 和跨平台认证要求 。 本文件 适用于移动警务身份认证系统建设、应用接入以及相关产品的设计和开发 。 2 规范性引用文件 下列文件 中的内容通过文中的规范性引用而构成本文件 必不可少的 条款。其中, 注日期的引用文件, 仅 该 日期 对应的版本适用于本文件; 不注日期的引用文件,其最新版本(包括所
4、有的修改单)适用于本 文件 。 GB/T 25069 信息安全技术 术语 GB/T 35678 公共安全 人脸识别应用图像技术要求 GB/T 37076 信息安全技术 指纹识别系统技术要求 GA/T 380 全国公安机关机构代码编制规则 GA/T 543 (所有部分) 公安数据元 GA/T 1053 数据项标准编写要求 GA/T 1054 (所有部分) 公安数据元限定词 GA/T 1561 移动警务系统 总体技术要求 GA/T 1720 移动警务 数字证书 格式要求 GM/Z 0001 密码术语 GM/T 0018 密码设备应用接口规范 GM/T 0034 基于 SM2密码算法的证书系统密码及
5、其相关安全技术规范 3 术语 和 定义 GB/T 25069、 GA/T 1561和 GM/Z 0001界定的以及下列 术语和定义适用于本 文件 。 3.1 移动警务 数字证书 digital certificate for mobile police information system 标识移动警务系统 用户、机构、设备 和 应用真 实身份的数字证书。 3.2 统一认证 unified authentication 在移动警务系统中,采用一致的 技术手段 , 对 认证对象身份 进行鉴别的 过程。 3.3 GA/T XXXX XXXX 2 票据 token 在统一认证中产生, 表示 认证 对
6、象 访问 的 许可 信息 。 4 缩略语 下列缩略语适用于本文件。 ID: 身份标识( Identity) MAC: 介质访问控制 ( Media Access Control) NFC: 近场通信 ( Near Field Communication) 5 总体要求 5.1 总体 构成 移动警务身份认证 部署在 类 区域 、 类 区域 和 类 区域中 , 各 区域内 身份认证均由对应的认证对 象、认证服务 和 认证 因子 构成 。移动警务平台可进行 、 类区域之间 的 跨平台认证, 、 、 类区 域 之间可进行 跨区 域认证 , 移动警务身份认证总体构成示意图见图 1。 用 户 机 构 设
7、备 应 用 认证对象 数字证书 口 令 生物标识 物理标识 认证因子 认证服务 I 类区域 II 类区域 III 类区域 A 平台 B 平台 用 户 机 构 设 备 应 用 认证对象 数字证书 口 令 生物标识 物理标识 认证因子 认证服务 用 户 机 构 设 备 应 用 认证对象 数字证书 口 令 生物标识 物理标识 认证因子 认证服务 用 户 机 构 设 备 应 用 认证对象 数字证书 口 令 生物标识 物理标识 认证因子 认证服务 用 户 机 构 设 备 应 用 认证对象 数字证书 口 令 生物标识 物理标识 认证因子 认证服务 用 户 机 构 设 备 应 用 认证对象 数字证书 口 令
8、 生物标识 物理标识 认证因子 认证服务 图 1 移动警务身份认证 总体构成 示意 图 GA/T XXXX XXXX 3 5.2 技术框架 5.2.1 概述 移动警务身份认证技术框架包括认证管理、认证对象、认证服务和认证因子四部分, 移动警务身份 认证技术框架 示意图见 图 2。 认证服务 认证对象 用户 设备 应用 身 份 认 证 服 务 认证因子 机构 数字证书 口令 生物标识 物理标识 身 份 验 证 服 务 认 证 管 理 用户凭证 / 票据 机构凭证 / 票据 设备凭证 / 票据 应用凭证 / 票据 凭 证 / 票 据 维 护 策 略 管 理 认 证 对 象 认 证 方 式 管 理
9、图 2 移动警务身份认证技术 框架 示意 图 5.2.2 认证对象 认证 对象包含用户、机构、设备和应用 等,其中: a) 用户 包 含 内部 用户 和 外部 用户 , 内部用户 包含 民警和警务辅助人员 ,外部 用户包含党政用户和 企事业 用户 等; b) 机构 包含党政部门和 企事业 单位等; c) 设备 包含移动警务 终端、服务器和专用设备等 ; d) 应用 包含 应用客户端和应用服务端 。 5.2.3 认证 因子 认证 因子包含 但不限于数字证书、口令、生物 标识和 物理 标识,其中: a) 数字证书采 用 SM2 算法 并符合 GM/T 0034 的规 定 , 证书 存储方式 采用
10、硬件 密码模块或 软件 密码 模块; b) 口令 包含但不限于 密码口令和短信验证码 ; c) 生物 标识 包含但不限于 人脸 和指纹 ; d) 物理 标识 包含但不限 于 MAC 地址、设备 ID 等 硬 件唯一标识。 GA/T XXXX XXXX 4 5.2.4 认证服务 认证服务 分为 类系统认证服务、 类系统认证服务和 类系统认证服务 ,其中: a) 类系统认证服务为 类区域用户提供实名认证,为机构、设备和应用提供统一认证服务,发 放认证凭证 /票据; b) 类系统认证服务 为 类 区域用户、机构、设备和应用提供统一认证服务,发放认证凭证 /票 据; c) 类系统认证服务 为 类区域用
11、 户、机构、设备和应用提 供统一认证服务 ,发放认证凭证 /票据 。 5.2.5 认证 管理 认证 管理包含 但不限于认证 对象认证方式管理和凭证 /票据维护策略管理,其中: a) 认证对象认证方式管理,按 照 、 、 类区域的安全防护要求,采用单因子、双因子或多因 子认证方式; b) 凭证 /票据维护策略管理,按照 、 、 类区域的安全防护要求,设置凭证 /票据的有效期, 更新、延 期条件等。 6 技术 要求 6.1 认证对象要求 6.1.1 用户 认证 用户认证需 满足下列要求: a) 根据信息重要程度, 类系统 用户可 采用 密码 口令、短信 验证码、数字证书、 NFC 读取二代身 份证
12、、生物标识 中的一种或多种方式 进行身份认证 , 对 重要 信息的访问, 还应采用 实名认证 ; b) 类系统用户 应采用 硬件密码模块或软件密码模块 的 移动警务 数字证书进行身份认证,宜 采用 一种或多种其他认证标识进行辅助认证, 认证场景包含人机认证和系统认证等 ; c) 类系统 用户应 采用 硬 件 密码模块 的 移动警务 数字证书 进行身份认证 , 其 他 应符合 类系统 用 户 认证 技术要求。 6.1.2 机构 认证 机构认证应满足下列要求: a) 类系统机构采用数字证书进行认证,同时对其访问的 数据、服务及应用等 资源进行限定 ; b) 类系统机构 采用 硬件密码模块或软件密码
13、模块 的移动警务数字 证书 进行身份认证; c) 类系统机构 采用 硬件密码模块 的移动警务数字 证书 进行身份认证 。 6.1.3 设备 认证 设备认证应满足下列要求: a) 类系统 设备 采用 数字证书或 基于物理标识的认证 方式 进行身份认证; b) 类系统设备采用 硬件密码模块或软件密码模块的移动警务 数字证书进行 身份 认证 , 设备证书 应包括设备的唯一 物理标识; c) 类系统设备采用 硬件密码模块 的移动警务 数字证书进行 身份 认证 , 设备证书应包括设备的唯 一 物理标识。 GA/T XXXX XXXX 5 6.1.4 应用 认证 应用认证应满足下列要求: a) 类系统应用
14、采用数字证书 进行身份认证; b) 类系统应用 采用 硬件密码模块或软件密码模块 的移动警务数字证书进行身份认证; c) 类系统应用 采用 硬件密码模块 的移动警务数字证书进行身份认证 。 6.2 认证 因子 要求 6.2.1 数字证书 数字证书 应 满足下列要求: a) 类系统数字证书密码算法采用国产密码算法 ; b) 、 类系统 移动警务 数字证书采用签名和加密双证书机制,密码算法采用国产密码算法,认 证接口符合 GM/T 0018 的规定 ,证书格式符合 GA/T 1720 的规定 ; c) 数字证书 产品 需 通过国家密码 管理部门检测 。 6.2.2 口令 口令应满足下列要求: a)
15、 口令由大 小写字母、 数字 和 符号组成,长度 8 位 及 以上, 定期更换; b) 口令 进行加密存储和传输 , 具备防暴力破解能力 ; c) 短信验证码长度 6 位 及 以上,设定有效期,且一次有效。 6.2.3 生物 标 识 生物标识 应满足下列要 求: a) 生物特征 信息 进行加密存储和传输 ; b) 人脸图像采集具备活体检测能力,采样、比对的阈值应 符合 GB/T 35678 的规定; c) 指纹识别符合 GB/T 37076 的规定。 6.2.4 物理 标识 物理标识 应选 择硬件 ID、 MAC 地址、蓝牙地址 等 硬件唯一标识 。 7 跨区域认证要求 跨区域认证 应满足 下
16、列 要求: a) 类应用跨区域访问 类系统信息资源时,由 类 系统服务总线向 类 系统 服务总线传递 凭证 /票据的 身份信息 ; b) 类应用跨区域访问 类 系统 信息资源时,由 类系统服务总线 向 类系统服务总线传递 凭证 /票 据的 身份信息 ; c) 类应用跨区域访问 类 系统 信息资源时,由 类系统服务总线 向 类系统服务总线传递 凭证 /票据的 身份信息 。 GA/T XXXX XXXX 6 8 跨平台认证要求 8.1 概述 统一 认证支持跨平台的身份认证与信任传递 ,其 认证机制 与流程 示意图见 图 3。 应用使用地平台 应用归属地平台 应用客户端 统一认证 应用服务端统一认证
17、 a. 登录认证 b. 鉴别用户及应用身份 生成用户及应用凭证 / 票据 c. 返回结果 d. 应用登录 ( 携带用户及应用凭证 / 票据 ) h. 返回结果 e. 验证凭证 / 票据获取用户信息 g. 返回结果及用户信息 f - 2. 异地验证 f - 1. 验证凭证 / 票据获取用户信息 i. 业务交互 ( 携带用户及应用凭证 / 票据 ) 图 3 跨平台身份认证机制与流程 示意 图 跨平台身份认证机制由应用使用地平台和应用归属地平台联动 , 提供统一的身份鉴别、验证和 身份 信息获取 等 服务。应用使用地平台为当地运行的应用客户端提供服务 。 应用归属地平台为当地运行的应 用服务端提供
18、服务。 8.2 跨平台认证流程及要求 跨平台认证流程及要求 如下: a) 应用 客户端 启动时,调用统一认证客户端 的身份凭证 /票据获取 接口 , 传递应用标识等参数; b) 统一认证鉴别 身份 , 进行 鉴权 ,生成凭证 /票据 ; c) 统一认证向应用 客户端 返回或定向广播认证结果,应用 客户端 获取 身份 凭证 /票据 ; d) 应用客户端 登录 应用 归属地平台应用服务端 时 , 在 请求报文 中 携带身份凭证 /票据 ; e) 应用服务端调用应用 归属地 平台 的 统一认证 , 验证 身份凭证 /票据 ,获取身份信息,进行鉴权, 完成登录操作 ; f) 应用归属地平台 的 统一认
19、证验证 应用使用地平台 签发 的身份凭证 /票据 时,可 在 应用 归属地 或 应用 使用地 验证 ,在 应用 归属地 鉴权 ; g) 应用归属地 统一认证 向 应用服务端返回 验证 结果及用户信息; h) 应用服务端向应用客户端返回 验证 结果; i) 在业务交互中,无会话状态维持的应用 需 携带凭证 , 有会话状态维护的应用 需 携带票据 ; j) 跨平台认证接口符合附录 A 的规定。 GA/T XXXX XXXX 7 附录 A (规范性附录) 跨平台认证系统接口 要求 A.1 接口标识命名规则 接口标识命名 规则 应满足以下要求: a) 命名格式: IF-模块标识 -接口类型标识 -接口
20、序号 ; b) 模块标识: MAM 为移动应用市场, UA 为统一认证, UPM 为统一授权, RSB 为服务总线, CCM 为 级联配置管理; c) 接口类型: SDK 为模块客户端接口, SVC 为模块网络服务接口; d) 平台信息、应用信息、资源信息 等 采用 符合 GA/T 543、 GA/T 1053 和 GA/T 1054 规定 的数据元、 限定词和数据项 。 A.2 接口通信协议 接口通信协议 应满足以下要求: a) Android 应用 APP 接口: 用于 原生应用客户端调用。通信协议、接口地址格式和广播接口应满 足以下要求: 1) 通信协议:采用 Android 进程间通信
21、方式 ContentProvier 和广播方式,通过 Android 参 数传递请求、返回内容 ; 2) 接口地址格式:对于 ContentProvider 接口,地址为 URI,格式为 “ content:/com.ydjw. 模块 .接口 ” ; 3) 广播接口:地址由 Intent 封装,格式为“ com.ydjw.模块 .消息标识符参数 ”; b) H5 移动应用客户端接口:用于 H5 Web 应用调用 ,采用 JS、 HTTP 协议 ; c) 网络服务接口:用于服务端调用 ,通信协议和接口地址格式 满足以下要求: 1) 通信协议:采用无状态 HTTP Restful 格式 ,基于 H
22、TTP1.1 协议,通过 POST 方法调用,交 互数据格式为 JSON,交互数据 内容 使用 UTF-8 编码 ; 2) 接口地址格式:地址为 URL, 格式为:“ http:/网络地址 /域名 :端口 /上下文名称 / v版本号 /接口名称 ”,其中 “网络地址”为 IPv4 格式,“端口”为阿拉伯数字, “上 下文 名称 ”为模块名称, “版本号”为十进制阿拉伯数字 。 A.3 接口版本与兼容性 接口版本与兼容性 应满足以下要求: a) 在程序中增加新版本 接口时, 兼容旧版本 ; b) 同一 网络服务接口有多个版本的 , 接口以列表形式上报; c) 兼容不同版本 的 Android A
23、PP 接口 。 A.4 Android 应用 APP 接口参数 Android 应用 APP 接口参数 应 满 足以下要求: a) ContentProvider 接口参数: 输入、输出参数 采用 Android Bundle 封装方式, 由 应用 进行封 装; b) 广播接口参数: 广播消息标识符为大写字母 表示 的静态常量 。 GA/T XXXX XXXX 8 A.5 网络协议接口参数 网络协议接口参数 需 满足以下要求: a) 输入(请求)参数 , 应包括消息头 HTTP 协议头 Header 和消息体 Body 两部分 , 输入 (请求) 参数 与 图 A.1 相符合, 其 中: 1)
24、 请求消息头包含 XXBS(消息标识) 、 YYPZ(应用凭证票据) /YYPJ(应用票据)、 YHPZ(用 户凭证票据) /YHPJ(用户票据)、 ZYBS( 资源标识,可选 ) 和 ZYGSJGBS( 资源归属机构 标识,与资源标识成对出现 ,可选 ) 。其中,资源标识应符合 GA/T 543 的规定,资源归属 机构标识应符合 GA/T 380 的规定 ; 2) 请求消 息体 QQXXT,直接由 HTTP 协议的 Body 体封装请求参数 ; b) 输出(响应)参数:应包括消息头 HTTP 协议头 Header 和消息体 Body 两部分 , 输出(响应) 参数 与 图 A.2 相符合,
25、其中: 1) 消息头包含: XXBS(请求者提交的消息标识)、 CWDM(错误代码)、 CWNR(错误内容) 、 XY PZ(需要凭证) /XYPJ( 需要票据) ; 2) 错误代码类别 应符合 表 A.1 的规定 ; 3) 响应消息 体 XYXXT,由 HTTP 协议的 Body 体封装返回的数据 ; 4) 对于需要返回记录集的接口,宜在返回 消息体 中增加分页参数: JLZS(总记录数)、 DQYM (当前页码)。 H e a d e r X X B S Z Y G S J G B S B o d yZ Y B SY Y P Z / Y Y P J Y H P Z / Y H P J Q Q X X T 图 A.1 输入(请求)参数 图 H e a d e r X X B S C W D MC W N R X Y P Z / X Y P J B o d y X Y X X T 图 A.2 输出(响应)参数 图 表 A.1 错误 类别 代码表 错误类别代码 描述 0 无错误 1 统一认证 错误 2 统一授权 错 误 3 应用市场 错误 4 移动服务总线 错误 5 级联配置管理 错误 6 应用开发服务 错误 7 应用运行监测 错误
