DB14-T 2988-2024 山西电子政务外网电子认证应用服务规范

35.240.20CCS

L

0714 DB14/T

2988—2024山西电子政务外网电子认证应用服务规范 山西省市场监督管理局 发

布DB14/T

2988—2024 前言

.................................................................................

II1

...............................................................................

12 规范性引用文件

.....................................................................

13 术语和定义

.........................................................................

14 缩略语

.............................................................................

25 基本要求

...........................................................................

26 服务内容

...........................................................................

27 服务质量

..........................................................................

10DB14/T

2988—2024 本文件按照GB/T

—《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。本文件由山西省政务信息管理局提出、组织实施和监督检查。本文件由山西省市场监督管理局对标准的组织实施情况进行监督检查。本文件由山西省电子政务信息标准化技术委员会归口。本文件起草单位：山西省数字政府服务中心、太原理工大学。本文件主要起草人：张一梅、马志红、赵栓驹、李灯熬、申若琦、张海燕、郝戍峰、郑超。IIDB14/T

2988—20241 范围本文件规定了山西电子政务外网电子认证应用服务的基本要求、服务内容、服务质量等。本文件适用于山西电子政务外网电子认证应用服务。2 规范性引用文件文件。GB/T

25056

信息安全技术

证书认证系统密码及其相关安全技术规范GB/T

35285

信息安全技术

公钥基础设施

基于数字证书的可靠电子签名生成及验证技术要求GM/T

0010

SM2密码算法加密签名消息语法规范GM/T

0067

基于数字证书的身份鉴别接口规范3 术语和定义GB/T

25056界定的以及下列术语和定义适用于本文件。3.1政务

CA理和服务窗口。政务CA是专业化电子政务电子认证服务机构，设有独立密钥管理中心。3.2电子认证采用电子技术检验用户真实性的操作，是以技术为基础，通过政务签发的数字证书对电子政3.3电子政务用户等用户。3.4数字证书一些扩展信息的数字文件。3.5 私钥非对称密码算法中只能由拥有者使用的不公开密钥。3.6数字签名DB14/T

2988—2024的公钥进行验证，用于确认待签名数据的完整性，签名者身份的真实性和签名行为的不可抵赖性。3.7数字信封4缩略语下列符号适用于本文件。CA

Certification

Authority

认证机构PKI

公钥基础设施CRL Certification

Revocation

List

证书撤销列表OCSP Online

Status

Protocol

在线证书状态协议SSL

安全套接层协议5 基本要求5.1 电子认证服务应符合

GB/T

35285、GM/T

0067、GM/T

0010

等国家标准、行业标准的相关要求。5.2 在山西电子政务外网应用中基于证书进行身份认证、数字签名与验签、信息加密与解密时应验证证书的有效性。6 服务内容

6.1 身份认证6.1.1 概述请求认证原文和请求身份认证。6.1.2 身份认证系统配置身份认证系统，基本配置要求包括：——配置政务

根证书；——配置

；——配置CRL，CRL为自动下载，CRL的URL为“ldap://从目录服务系统teRevocationList;binary?sub?(&(objectClass=cRLDistributionPoint)(CN=CEGN

Class

2

IP

6.1.3代理模式请求认证原文和身份认证过程如下：a)

由客户端发起，向代理请求认证原文；DB14/T

2988—2024b)

代理收到请求后，生成随机数作为认证原文，返回给客户端；c)

客户端收到认证原文，弹出证书选择对话框，电子政务用户选择证书输入

码，客户端通过签名证书对应的私钥对认证原文进行签名运算得到签名值，将签名值、签名证书作为认证请求消息，发送给代理；d)

代理收到认证请求，根据认证请求消息内容对电子政务用户身份进行认证，包括验证证书有效期、是否政务

CA

签发、证书状态及签名有效性等；e)

代理验证成功，服务端电子政务外网应用系统解析证书得到证书唯一标识，获取对应的操作权限，客户端登录成功显示登录页面；验证失败拒绝访问，并将失败消息返回给客户端。请求认证原文和身份认证过程见图1。客户端 代理身份认证 服务端开始电子政务用户插入智能密码钥匙访问代理请求认证原文显示页面电子政务用户选择证书

生成随机数将随机数返回请求业面验证签名有效性输入PIN码验证签名有效性签名证书对应的私钥对随验证证书有效性机数签名得到签名值签名证书登录失败登录成功显示登录页面身份认证结束

否

是验证成功返回登录页面图1

请求认证原文和身份认证过程流程图

解析证书得到证书唯一标识获取对应的操作权限6.1.4 调用模式请求认证原文和身份认证过程如下：a)

客户端电子政务用户插入智能密码钥匙通过证书登录，访问电子政务外网应用系统（简称服务端），由客户端发起，向服务端请求认证原文；b)

服务端收到请求后，服务端生成随机数或服务端向身份认证系统请求生成随机数作为认证原文，返回给客户端；DB14/T

2988—2024c)

客户端收到认证原文，弹出证书选择对话框，电子政务用户选择证书输入

码，客户端通过签名证书对应的私钥对认证原文进行签名运算得到签名值，将签名值、签名证书作为认证请求消息，发送给服务端；d)

服务端收到认证请求消息，向身份认证系统发起身份认证请求；e)

身份认证系统收到认证请求，根据认证请求消息内容对电子政务用户身份进行验证，包括验证证书有效期、是否政务

CA

签发、证书状态及签名有效性等，并将验证结果返回给服务端；f)

服务端根据身份认证系统返回的结果，验证成功，解析证书得到证书唯一标识，获取对应的请求认证原文和身份认证过程见图2。

图2

请求认证原文和身份认证过程流程图6.2数字签名与验签6.2.1单向签名与验签客户端对数据进行数字签名，服务端验证成功对数据进行处理，签名验签过程如下：a)

客户端根据业务需求向服务端提交数据；DB14/T

2988—2024b)

客户端使用电子政务用户签名证书对应的私钥对数据进行签名运算得到签名值，将签名值、数据和签名证书发送给服务端；c)

服务端收到客户端的签名值、数据和签名证书，验证客户端证书有效性，用客户端签名证书验证数据签名值；d)

验证成功服务端处理数据，返回数据处理结果，验证失败返回客户端验证失败消息。签名验签过程见图3。

图3 单向签名与验签流程图6.2.2 双向签名与验签客户端与服务端双方分别对数据进行签名和验签，签名验签过程如下：a)

客户端根据业务需求向服务端提交数据；b)

客户端使用电子政务用户签名证书对应的私钥对数据进行签名运算得到签名值，将签名值、数据和签名证书发送给服务端；c)

服务端收到客户端的签名值、数据和签名证书，验证客户端证书有效性，用客户端签名证书验证数据签名值；d)

验证成功服务端处理数据，验证失败返回客户端验证失败消息；e)

服务端完成数据处理，使用服务端签名证书对应的私钥对数据处理结果进行签名运算得到签名值，将数据处理结果、签名值和签名证书发送给客户端；f)

客户端收到服务端的数据处理结果、签名值和签名证书，验证服务端证书有效性，用服务端签名证书验证数据处理结果签名值；g)

验证成功确认处理结果并进行相应的操作，验证失败返回服务端验证失败消息。签名验签过程见图4。DB14/T

2988—2024

图4 双向签名与验签流程图6.3数据加密与解密6.3.1数据加密与解密方式电子政务外网应用系统使用证书加密与解密的方式包括：——使用标准

协议对数据加密与解密；——使用数字信封或签名及数字信封对数据进行加密与解密。应用系统如不需要保存密文，选择标准SSL协议进行数据加密与解密；如需要保存密文，选择数字信封或签名及数字信封进行数据加密与解密。6.3.2标准

协议加密与解密数据加密与解密过程符合标准协议的使用规范。6.3.3数字信封方式的加密与解密消息加密得到消息密文选择一种非对称加密算密密钥加密得到密钥密文形成数字信封DB14/T

2988—2024收方，加密与解密过程如下：a)

发送方获得接收方的加密证书；b)

发送方选择一种对称加密算法，随机生成数据加密密钥；c)

发送方使用对称加密算法和数据加密密钥对消息加密得到消息密文；d)

发送方使用接收方的加密证书，选择一种非对称加密算法对数据加密密钥加密，得到数据加密密钥密文；e)

发送方形成数字信封，发送给接收方；f)

接收方收到数字信封；g)

接收方用非对称加密算法和加密证书对应的私钥解密数据加密密钥密文，得到数据加密密钥；h)

接收方用对称加密算法和数据加密密钥解密消息密文，得到原始消息。加密与解密过程见图5。消息发送方 消息接收方开始选择一种对称加密算法，加密证书用非对称加密算法和加密数据加密密钥密密钥解密消息密文得到结束图5 数字信封方式的加密与解密流程图6.3.4签名及数字信封方式的加密与解密DB14/T

2988—2024收方，加密与解密过程如下：a)

发送方获得接收方的加密证书；b)

发送方使用消息摘要算法对消息计算得到消息摘要，用签名证书对应的私钥对消息摘要进行签名运算得到消息摘要签名值；c)

发送方选择一种对称加密算法，随机生成数据加密密钥；d)

发送方使用对称加密算法和数据加密密钥对消息加密得到消息密文；e)

发送方使用接收方的加密证书，选择一种非对称加密算法对数据加密密钥加密，得到数据加密密钥密文；f)

发送方形成签名及数字信封，发送给接收方；g)

接收方收到签名及数字信封；h)

接收方验证发送方证书有效性，用发送方的签名证书对消息摘要签名值进行验证，验证失败返回发送方验证失败消息；验证成功，用非对称加密算法和加密证书对应的私钥解密数据加密密钥密文，得到数据加密密钥；i)

接收方用对称加密算法和数据加密密钥解密消息密文，得到原始消息。加密与解密过程见图6。用消息摘要算法对消息计算得到消息摘要用签名证书对应的私钥对消息摘要签名得到签名值签名证书选择一种对称加密算法，随机生成数据加密密钥消息加密得到消息密文选择一种非对称加密算法，用加密证书对数据加密密钥加密得到密钥密文形成签名及数字信封DB14/T

2988—2024消息发送方 消息接收方开始加密证书验证发送方证书有效性用发送方签名证书验证消息