YD/T 3455-2019 标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
YD/T 3455-2019 基于eID的属性证明规范.pdf根据属性证明的基本原则是在保证用户隐私的前提下,满足信息系统合法合理的属性使用需求。 根据属性的类型和应用场景的不同,属性证明可以分为用户授权模式和用户直接证明模式。 用户授权模式由用户授权属性管理机构代替用户完成属性证明过程。该模式适用于用户并没有获得 和存储有效的由属性管理机构签发的属性凭证的环境。 用户直接证明模式由用户使用eID直接完成属性的证明过程。该模式适用于用户拥有并存储着属性 管理机构签发的属性凭证的属性。用户直接证明模式可以降低属性管理机构的属性证明负担。 上述两种证明模式并没有明确的分界线,可以协同使用。在实际的应用中,属性的证明模式应由属 性管理机构根据应用需求进行确定。 本标准中对上述两种委托模式进行了定义,该定义包含前置条件、证明流程和安全要求三部分。其 中前置条件是在属性证明之前应完成的过程,不需要在每次属性证明过程中重复执行。 在进行属性证明之前,用户应该已经申请并获得有效的eID。“有效的”是指由eID服务平台签发 的、处于有效期的并且未被撤销的eID。 当且仅当用户需要使用信息系统的某项服务,且该项服务需要获取并使用用户属性时,信息系统才 允许发起属性证明协议。一般情况下信息系统需要对用户eID进行有效性验证,请参照参考文献[1,2.3]。
5.2.2用户授权模式
5.2.2.1前置条件
用户授权模式的前置条件是用户拥有有效的eLD
QC/T 930-3013 波纹管用夹箍5.2.2.2证明流程
用户授权模式的证明流程如下。 1)信息系统首先向用户发起获取属性的请求,并提供属性的用途和使用范围信息。
YD/T34552019
用户根据情况对该请求进行判定,若充许该信息系统使用相应的属性,则为信息系统生成相应 属性的使用授权;若不允许该信息系统使用相应的属性,则拒绝该请求。 3)信息系统在获得用户的授权后,向属性管理机构提交属性申请和用户授权凭证。 4)属性管理机构向检查用户授权凭证,若是有效的授权凭证,则向信息系统出示相应的属性,否 则拒绝请求。
5.2.2.3安全要求
用户授权模式应遵循如下安全要求。 一用户产生的属性授权应当包含但不限于信息系统标识、IP、授权的属性、时间戳和eID签名。 属性管理机构应检查eID授权凭证的有效性,包括但不限于时间戳和eID签名。 属性管理机构应检查信息系统提交的用户eID信息的有效性,及与授权凭证是否对应。 属性管理机构应检查属性证明请求的有效性,包括但不限于时间戳和信息系统的签名的有效性 防止消息重放攻击。 在具有eID隐私保护的应用环境中,应保证属性管理机构可以从盲化的eID信息中恢复出eID 的唯一标识,以获取用户的属性。
5.2.3用户直接证明模式
5.2.3.1前置条件
用户拥有有效的eID。 用户拥有有效的由属性管理机构签发的属性凭证
用户拥有有效的eID。
5.2.3.2证明流程
用户直接证明模式的证明流程如下。 1) 信息系统首先向用户发起获取属性的请求,并提供属性的用途和使用范围信息。 2 用户根据情况对该请求进行判定,若允许该信息系统使用相应的属性,则为信息系统生成相 应属性的使用授权:若不允许该信息系统使用相应的属性,则拒绝该请求。
5.2.3.3安全要求
用户授权模式应遵循如下安全要求。 用户应检查属性证明请求的有效性,包括但不限于时间戳和信息系统的签名的有效性,防 息重放攻击。
处理结果编码(参见附录B)。
处理结果编码(参见附录B)。
6.2.1.4用户的输入
YD/T34552019
6.2.1.5用户的输出 用户的输出如下。 属性使用授权,见A.2.6。
6.2.1.5用户的输出
用户的输出如下。 属性使用授权,见A.2.6
6.2.2.2信息系统的输入
6.2.2.3信息系统的输出
信息系统的输出如下。 属性的名称和值。 属性管理机构对属性的签名。
6.2.2.4属性管理机构的输入
用户的输入如下。 属性管理机构的公钥。 属性管理机构的私钥。 用户属性集,见A.2.2。
6.2.2.5属性管理机构的输出
用户的输出如下。 属性证明记录数据。
7.2.1.4属性管理机构的输入
7.2.1.5属性管理机构的输出
属性管理机构的输出如下。 属性签发记录数据。
YD/T34552019
7.2.2.2信息系统的输入
7.2.2.3信息系统的输出
信息系统的输出如下。 用户属性的证明(信息系统不一定获取用户属性值)
7.2.2.4用户的输入
7.2.2.5用户的输出
用户的输出如下。 属性证明结果,
本附录采用GB/T16262中定义的ASN.1编码方法定义了本标准中涉及到的数据的格式 报热尘定
AttributeSet::=SEQUENCEOF attr1 Attribute:
AttributeSet::=SEQUENCEOF attr1 Attribute:
A.2.3属性名称列表
AttributeNameSet::=SEQUENCEOF attrINameUTF8String; 一属性名称
A.2.4属性使用许可
YD/T34552019
validBefore Timestamp, 一过期时间 issuerCN UTF8String, signature ElectronicSignatureFormats —见GB/T25064—2010
A.2.5 elID唯一标识
ID code:=UTF8String
A.2.6属性使用授权
YD/T34552019
每个接口调用完成后,需要返回标准定义的输出。若接口执行中出现问题,则应设定结果代码,结 果代码的具体定义见B.2。若结果代码不为0,则接口的输出无效。
表B.1通用结果编码
YD/T34552019
YD/T34552019
GB/T 14909-2021 能量系统 分析技术导则附录C (资料性附录) 基于elD的直接属性证明
基于eID的直接属性证明系统中,包含三个系统过程:系统建立,属性凭证签发和属性凭证出示过 程。系统初始化过程为系统产生必须的公共参数,并通过公开通道分发给所有用户。凭证签发过程由用 户和属性管理机构执行签发协议,最终用户得到由属性管理机构签发的有效的属性凭证。属性出示过程 由用户和依赖方执行属性凭证出示协议,最终用户向依赖方证明其拥有由属性管理机构签发的有效的属 性凭证。
系统建立算法仅在属性管理机构初始化时执行一次,为系统选择合适的公开参数,并把公开参数通 过公开信道分发,使得用户和其他使用属性服务的参与方可以方便的获取。 属性服务方从信任提供方获取一对公私钥,并获得相应的公钥证书,用来证明属性管理机构的身份 和生成签名(身份鉴别的密钥对和生成属性凭证的密钥对可以不同,在这种情况下,属性服务方有两对 密钥)。该公私钥对既可以是基于RSA算法,也可以基于SM2算法,具体的算法并不影响本系统。 首先属性管理机构选择一个阶为素数p的素数阶循环群G,其中p是群的阶。属性管理机构设定 系统支持的最大属性个数n;选择一个散列/随机函数H:{0,1)*>Zp(即任意长度的比特串到整数的映 射);并随机选择n+4个G中的元素eo,e,e2,e,8o,81,82,83,g则方案公共参数为(G,p e,e,e2,e,80,81,82,83,"g)。为了保证公开参数的有效性,属性服务者可以在分发公共参数的同时, 生成并分发他对公共参数的签名信息。
YD/T34552019
用户与属性管理机构通过出示协议,实现用户向依赖方 性凭证。在执行协议前,用户应从信任提供方获得eID,并从属性管理机构获取了所需的属性凭证。用 户和依赖方的交互流程如下。 1)为了防止中间人攻击,用户首先验证依赖方的公钥证书,并与依赖方建立TLS安全会话信道, 本协议的后续部分在TLS的保护下完成。 2)若用户只需要出示其中的某一部分属性,则属性凭证中的属性列表减去要出示的属性构成的 属性列表>,o,o,AttrCert>发送给验证者。
3)依赖方首先验证属性证书的有效期,签发者信息是否有效。 4 如果属性证书验证通过,则与用户进行一次挑战响应协议,确认用户拥有公钥对应的私钥,流 程如下。 a) 依赖方选择一个随机数,发送给用户。 b)用户收到随机数后,使用eID对随机数进行签名,并返回签名数据。 c)依赖方使用公钥验证签名是否正确。若验证通过,则继续进行;否则结束协议。 5) 否是data的一个有效签名。如果是有效的签名,则认为用户的属性证明有效,否则认为用户 的属性无效。
JJG 155-2016 工作毛细管黏度计检定规程[1]网络电子身份标识eID验证服务接口技术要求 [2]网络电子身份标识eID移动应用接口技术要求 [3]网络电子身份标识eID桌面应用接口技术要求
YD/T34552019