DB14-T 2988-2024 山西电子政务外网电子认证应用服务规范

14I 2 2 2 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定1山西电子政务外网电子认证应用服务规范GB/T25056信息安全技术证书认证系统密码及其相关安全GB/T35285信息安全技术公钥基础设施基于数字证书的可靠电子签名生成及验证技术要求GM/T0010SM2密码算法加密签名消息GM/T0067基于数字证书的身份鉴别接口理和服务窗口。政务CA是专业化电子政务采用电子技术检验用户真实性的操作，是以PKI技术为基础，通过政务CA签发的数字证书对电子政2的公钥进行验证，用于确认待签名数据的完整性，签名者4缩略语CACertificationAuthorityCRLCertificationRevocationList证书OCSPOnlineCertificateStatusProtocol在线证5基本要求5.1电子认证服务应符合GB/T35285、GM/T0067、GM/T0010等国5.2在山西电子政务外网应用中基于证书进行身份认证、数字签名与验签、信息加密与解密时应验证teRevocationList;binary?sub?(&(objectClass=cRLDistributionPoint)(3c)客户端收到认证原文，弹出证书选择对话框，电子政务用户选择证书输入PIN码，过签名证书对应的私钥对认证原文进行签名运算得到签名值，将签名值、签名证书作为认证d)代理收到认证请求，根据认证请求消息内容对电子政务用户身份进行认证，包括验证证书有e)代理验证成功，服务端电子政务外网应用系统解析证书得到证书唯一标识，获取对应的操作权限，客户端登录成功显示登录页面；验证失败拒绝访问，并将失败消息返回给客户端。代理身份认证服务端电子政务用户插入智能密码钥匙访问代理请求认证原文显示页面显示页面输入PIN码签名证书对应的私钥对随机数签名得到签名值签名证书登录成功显示登录页面身份认证结束验证成功生成随机数验证成功将随机数返回请求业面验证证书有效性验证签名有效性<><>解析证书得到证书获取对应的操作权限返回登录页面a)客户端电子政务用户插入智能密码钥匙通过证书登录，访问电子政务外网应用系统（简称服b)服务端收到请求后，服务端生成随机数或服务端向身份认证系统请求生成随机数作为认证原4c)客户端收到认证原文，弹出证书选择对话框，电子政务用户选择证书输入PIN码，过签名证书对应的私钥对认证原文进行签名运算得到签名值，将签名值、签名证书作为认证d)服务端收到认证请求消息，向身份认证系统发起身份认证请求；e)身份认证系统收到认证请求，根据认证请求消息内容对电子政务用户身份进行验证，包括验证证书有效期、是否政务CA签发、证书状态及签名有效性等，并将验证结果返回给服务端；f)服务端根据身份认证系统返回的结果，验证成功，解析证书得到证书唯一标识，获取对应的客户端身份认证服务端开始电子政务用户插入智能密码钥匙访问电子政务外网应用系统请求认证原文>生成随机数生成随机数将随机数返回请求业面显示页面电子政务用户选择证书<输入PIN客户端身份认证服务端开始电子政务用户插入智能密码钥匙访问电子政务外网应用系统请求认证原文>生成随机数生成随机数将随机数返回请求业面显示页面电子政务用户选择证书<输入PIN码签名证书对应的私钥对随机数签名得到签名值签名证书验证证书有效性验证签名有效性签名值签名证书返回验证结果登录成功显示登录页面获取对应的操作权限身份认证结束登录失败 否验证成功登录失败解析证书得到证书唯一标识解析证书得到证书唯一标识客户端对数据进行数字签名，服务端验证成功对数据进行处理，签名验签过程5b)客户端使用电子政务用户签名证书对应的私钥对数据进行签名运算得到签名值，将签名值、c)服务端收到客户端的签名值、数据和签名证书，验证客户端证书有效性，用客户端签名证书客户端服务端开始签名证书对应的私钥对数据签名得到签名值数据签名证书验证失败消息<验签结束验证成功处理数据验证成功处理数据验证客户端证书有效性客户端签名证书验证签名值<><>b)客户端使用电子政务用户签名证书对应的私钥对数据进行签名运算得到签名值，将签名值、c)服务端收到客户端的签名值、数据和签名证书，验证客户端证书有效性，用客户端签名证书d)验证成功服务端处理数据，验证失败返回客户端验证失败消息；e)服务端完成数据处理，使用服务端签名证书对应的私钥对数据处理结果进行签名运算得到签名值，将数据处理结果、签名值和签名证书发f)客户端收到服务端的数据处理结果、签名值和签名证书，验证服务端证书有效性，用服务端6客户端客户端服务端开始签名证书对应的私钥对数据签名得到签名值数据签名证书对应的私钥对数据签名得到签名值数据签名证书验证客户端证书有效性>客户端签名证书验证签名值验证失败消息验证失败消息< 否验证成功验证服务端证书有效性服务端签名证书验证<签名值验证服务端证书有效性服务端签名证书验证<签名值处理数据签名证书对应的私钥对处理结果签名得到签名值数据处理结果签名证书<><>>返回验证失败消息验证成功否>返回验证失败消息确认处理结果进行操作确认处理结果进行操作验签结束应用系统如不需要保存密文，选择标准SSL协议进行数据加密与解密；如需要保存密文，选择数字7c)发送方使用对称加密算法和数据加密密钥对消息加密得到消息密文；d)发送方使用接收方的加密证书，选择一种非对称加密算法对数据加密密钥加密，得到数据加e)发送方形成数字信封，发送给接收消息发送方消息接收方随机生成数据加密密钥消息加密得到消息密文形成数字信封形成数字信封选择一种非对称加密算法，用加密证书对数据加密密钥加密得到密钥密文加密证书用非对称加密算法和加密证书对应的私钥解密得到数据加密密钥用对称加密算法和数据加密密钥解密消息密文得到原始消息8b)发送方使用消息摘要算法对消息计算得到消息摘要，用签名证书对应的私钥对消息摘要进行d)发送方使用对称加密算法和数据加密密钥对消息加密得到消息密文；e)发送方使用接收方的加密证书，选择一种非对称加密算法对数据加密密钥加密，得到数据加h)接收方验证发送方证书有效性，用发送方的签名证书对消息摘要签名值进