ICS 35.240.20 CCS L 07 14 山西省 地方 标准 DB14/T 2988—2024 山西电子政务外网电子认证应用服务规范 2024 - 02 - 08发布 2024 - 05 - 07实施 山西省市场监督管理局 发布 DB14/T 2988 —2024 I 目次 前言 ................................ ................................ ................. II 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 缩略语 ................................ ................................ ............. 2 5 基本要求 ................................ ................................ ........... 2 6 服务内容 ................................ ................................ ........... 2 7 服务质量 ................................ ................................ .......... 10 DB14/T 2988 —2024 II 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由山西省政务信息管理局提出、组织实施和监督检查。 本文件由山西省市场监督管理局对标准的组织实施情况进行监督检查。 本文件由山西省电子政务信息标准化技术委员会归口。 本文件起草单位：山西省数字政府服务中心 、太原理工大学。 本文件主要起草人：张一梅、马志红、赵栓驹、李灯熬、申若琦、张海燕、郝戍峰、郑超。 DB14/T 2988 —2024 1 山西电子政务外网电子认证应用服务规范 1 范围 本文件规定了山西电子政务外网电子认证应用服务的基本要求、服务内容、服务质量等。 本文件适用于山西电子政务外网电子认证应用服务。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25056 信息安全技术 证书认证系统密码及其相关安全技术规范 GB/T 35285 信息安全技术 公钥基础设施 基于数字证书的可靠电子签名生成及验证技术要求 GM/T 0010 SM2密码算法加密签名消息语法规范 GM/T 0067 基于数字证书的身份鉴别接口规范 3 术语和定义 GB/T 25056 界定的以及 下列术语和定义适用于本文件。 3.1 政务CA 国家电子政务外网数字证书中心，又称“政务 CA”，是国家电子政务外网电子认证工作统一对外管 理和服务窗口。政务 CA是专业化电子政务电子认证服务机构，设有独立密钥管理中心。 3.2 电子认证 采用电子技术检验用户真实性的操作，是以 PKI技术为基础，通过政务 CA签发的数字证书对电子政 务外网上传输的信息进行加密、 解密、 数字签名和签名验签， 保证信息的保密性、 完整性和不可抵赖性。 3.3 电子政务用户 在山西电子政务外网范围内从事电子政务服务活动的政务部门、企事业单位、社会团体和社会公众 等用户。 3.4 数字证书 又称“证书”，是由政务 CA签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及 一些扩展信息的数字文件。 私钥 3.5 非对称密码算法中只能由拥有者使用的不公开密钥。 3.6 数字签名 DB14/T 2988 —2024 2 签名者使用私钥对待签名数据或待签名数据的杂凑值做密码运算得到的结果， 该结果只能用签名者 的公钥进行验证，用于确认待签名数据的完整性，签名者身份的真实性和签名行为的不可抵赖性。 3.7 数字信封 数字信封是 将对称密钥通过非对称加密的结果分发的方法 ， 包含加密数据、 数据加密密钥的密文等。 4 缩略语 下列符号适用于本文件。 CA Certification Authority 认证机构 PKI Public Key Infrastructure 公钥基础设施 CRL Certification Revocation List 证书撤销列表 OCSP Online Certificate Status Protocol 在线证书状态协议 SSL Secure Sockets Layer 安全套接层协议 5 基本要求 电子认证服务应符合 GB/T 35285 、GM/T 0067 、GM/T 0010 等国家标准、行业标准的相关要求 。 5.1 在山西电子政务外网应用中基于证书进行身份认证、数字签名与验签、信息加密与解密时应验证5.2 证书的有效性。 6 服务内容 身份认证 6.1 6.1.1 概述 电子政务用户通过证书登录电子政务外网应用系统， 身份认证系统对证书进行有效性验证和签名验 证，验证成功登录系统，否则，登录失败。身份认证实现方式支持代理模式和调用模式，实现过程包括 请求认证原文和请求身份认证。 6.1.2 身份认证系统配置 身份认证系统，基本配置要求包括： —— 配置政务 CA根证书； —— 配置OCSP； —— 配置CRL，CRL为自动下载， CRL的URL为“ldap://从目录服务系统 IP:端口/o=sicca?certifica teRevocationList;binary?sub?(&(objectClass=cRLDistributionPoint)(CN= CEGN SM2 Class 2 CA ))”； —— 配置电子政务外网应用系统 相关信息，包括系统名称、 IP地址、应用标识、认证方式等信息。 6.1.3 代理模式 请求认证原文和身份认证过程如下： a) 客户端电子政务用户插入智能密码钥匙通过证书登录，访问代理身份认证系统（简称代理）， 由客户端发起，向代理请求认证原文； DB14/T 2988 —2024 3 b) 代理收到请求后，生成随机数作为认证原文，返回给客户端； c) 客户端收到认证原文，弹出证书选择对话框，电子政务用户选择证书输入 PIN码，客户端通 过签名证书对应的私钥对认证原文进行签名运算得到签名值，将签名值、签名证书作为认证 请求消息，发送给代理； d) 代理收到认证请求，根据认证请求消息内容对电子政务用户身份进行认证，包括验证证书有 效期、是否政务 CA签发、证书状态及签名有效性等； e) 代理验证成功，服务端电子政务外网应用系统解析证书得到证书唯一标识，获取对应的操作 权限，客户端登录成功显示登录页面；验证失败拒绝访问，并将失 败消息返回给客户端。 请求认证原文和身份认证过程见图 1。 客户端 代理身份认证 服务端 开始 电子政务用户插入智能 密码钥匙访问代理 请求认证原文生成随机数 将随机数返回请求业面显示页面 电子政务用户选择证书 输入PIN码 签名证书对应的私钥对随 机数签名得到签名值 签名证书验证证书有效性 验证签名有效性 验证成功 登录失败解析证书得到证书 唯一标识 登录成功 显示登录页面否 是 获取对应的操作权限 返回登录页面 身份认证结束 图1 请求认证原文和身份认证过程流程图 6.1.4 调用模式 请求认证原文和身份认证过程如下： a) 客户端电子政务用户插入智能密码钥匙通过证书登录，访问电子政务外网应用系统（简称服 务端），由客户端发起，向服务端请求认证原文； b) 服务端收到请求后，服务端生成随机数或服务端向 身份认证系统 请求生成随机数作为 认证原 文，返回给客户端； DB14/T 2988 —2024 4 c) 客户端收到认证原文，弹出证书选择对话框，电子政务用户选择证书输入 PIN码，客户端通 过签名证书对应的私钥对认证原文进行签名运算得到签名值，将签名值、签名证书作为认证 请求消息，发送给服务端； d) 服务端收到认证请求消息，向身份认证系统发起身份认证请求； e) 身份认证系统收到认证请求，根据认证请求消息内容对电子政务用户身份进行验证，包括验 证证书有效期、是否政务 CA签发、证书状态及签名有效性等，并将验证结果返回给服务端； f) 服