ICS 33.030 M21 YD 中华人民共和国通信行业标准 YD/T3532-2019 移动应用身份认证总体技术要求 GeneralTechnicalRequirementsforAuthenticationonMobile Applications 2019-11-11发布 2020-01-01实施 中华人民共和国工业和信息化部 发布
YD/T3532-2019 目次 前言.... 1范围.. 2规范性引用文件. 3术语、定义和缩略语. 3.1术语和定义.. 3.2缩略语.. 2 4体系结构与功能要求. 3 4.1总体架构. 3 4.2功能要求.. 4 4.3接口定义. .6 5协议会话流程. 7 5.1总体流程. 7 5.2注册流程. 7 5.3认证流程, 8 5.4注销流程. .9 6协议消息格式.. 10 6.1通讯方式.. 6.2消息格式定义, ..11 附录A(规范性附录)接口定义 13 参考文献.. 39
YD/T3532--2019 前言 本标准依据GB/T1.1-2009给出的规则起草。
本标准由中国通信标准化协会提出并归口。
本标准起草单位:中国信息通信研究院、联想移动通信科技有限公司、中国联合网络通信有限公 司、阿里巴巴通信技术(北京)有限公司 本标准起草人:李俊、贺倩、杨楠、王志军、刘镝。
YD/T3532-2019 移动应用身份认证总体技术要求 1范围 本标准描述了移动互联网时代移动应用对用户进行身份认证的技术原理,规定了移动应用身份认证 (MAA)体系结构,制定了移动应用身份认证(MAA)所需要支持的组件功能、消息流程、接口协议 等方面的业务能力总体技术要求。
本标准适用于移动应用身份认证平台的评估、验收等。
2规范性引用文件 下列文件对于本标准的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本标准。
凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本标准。
RFC5056OntheUseofChannelBindingstoSecureChannels安全通道传输绑定 RFC5929 Channel Bindings for TLS TLS传输绑定 3术语、定义和缩略语 3.1术语和定义 3.1.1 断言Assertion 认证主体本身或代表认证主体的实体做出的声明。
3.1.2 认证器Authenticator 用于执行用户身份校验并根据校验结果基于公钥密码算法机制进行身份认证的实体。
认证器可以内 嵌于客户端设备系统之中,也可以独立运行于客户端设备之外。
认证器需要受到严格的安全边界的保护。
3.1.3 认证器元数据AuthenticatorMetadata 记载了认证器基本属性信息的文件,包括认证器的标识符以及认证器厂商根证书等。
身份认证服务 端使用认证器元数据对发起身份认证请求的认证器进行验证。
1
YD/T3532-2019 3.1.4 认证器策略AuthenticatorPolicy 身份认证服务端可以根据自已的安全策略设定认证器策略,可以对发起身份认证请求的认证器进行 各种条件限制和要求,例如可指定接受何种校验用户的方式(如指纹、面部识别、声纹识别、虹膜识别 等)以及哪些认证器(通过认证器标识符等属性)可以进行身份认证等 3.1.5 认证器验证AuthenticatorAttestation 在用户进行注册时,需要对认证器本身进行合法性验证。
认证器内部应预置一个私钥以及公钥证书, 在认证器注册期间,认证器使用该私钥对响应消息进行签名,身份认证服务端则使用认证器元数据中的 根证书对公钥证书及签名消息进行验签。
3.1.6 通道绑定ChannelBinding 利用应用程序在网络层和传输层建立的两个端点之间的安全通道,将身份认证协议与该安全通道进 行绑定,从而使得身份认证过程获得安全通道的增强特性。
见RFC5056[RFC5056]和RFC5929[RFC5929]。
3.1.7 匹配元件Matcher 认证器实体的组件之一,完成对用户身份的校验,例如生物特征识别对比、PIN码对比等。
3.1.8 匹配元件保护MatcherProtection 认证器用于保护匹配元件的安全机制。
例如采用可信执行环境(TEE)、白盒加密以及安全元件(SE)等。
3.1.9 依赖方RelyingParty 依赖于身份认证协议的结果从而建立声称者身份或者属性的信任关系的机构或组织,即部署使用身 份认证系统的机构,一般是Web服务提供方。
3.2缩略语 MAA MobileApplicationAuthentication 移动应用身份认证 PIN Personal IdentificationNu...
