《信息安全技术基于多信道证书申请和应用协议应用模式、采用二维码的证书申请和应用协议》由会员分享,可在线阅读,更多相关《信息安全技术基于多信道证书申请和应用协议应用模式、采用二维码的证书申请和应用协议(2页珍藏版)》请在金锄头文库上搜索。
1、附录A(资料性附录)应用模式本标准规定的基于多信道的证书申请协议可用于互联网信道或近场信道可能被窃听的场景,基于多信道的证书应用协议仅可用于单信道可能被窃听的场景。本标准不对证书申请过程中的个人身份核实进行规范。基于多信道的证书申请和应用协议框架图如图A.1所示:图A.1 基于多信道的证书申请和应用协议框架图证书认证系统终端或业务系统终端通过近场信道向智能移动设备发送证书认证系统或业务系统互联网信道通信地址、RND、会话ID(SessionID)或访问令牌等信息,智能移动设备通过无线射频信道向证书认证系统或业务系统通信地址发送相应请求或响应消息,证书认证系统或业务系统通过互联网信道回复智能移动
2、设备,实现证书申请、证书下载、数字签名、签名验证、数据加密、数据解密等操作。近场信道的特征是带宽小,不能进行大量数据传输,数据以明文形式传递,但通信数据不易被窃听,且能通过面对面的方式进行通信双方身份的鉴别。大多数智能移动设备例如智能手机、智能POS机,具备NFC、蓝牙等信道且拥有接入互联网能力,且终端上部署了密码模块,具备密钥管理和密码计算能力,因此,可采用本标识的协议来进行证书申请、数字签名、签名验证、数据加密、数据解密等操作。2附录B(资料性附录)采用二维码的证书申请协议本附录给出了采用二维码的证书申请示例。应用场景为通过手机向证书认证系统申请证书。A.1 二维码内容格式二维码的基本数据
3、结构如下:QRCode : = SEQUENCE tagUTF8String,contentUTF8String上述二维码数据结构中各个域的含义如下:tag域为二维码的类型;content域为该类型二维码的具体内容,可以包含访问地址URI、RND、访问秘密信息AccessKey等参数。RND一般为256比特随机数,AccessKey为至少128比特随机数。RND与AccessKey以URL_BASE64编码方式进行编码。| 表示对数据进行拼接。二维码通常采用字符串方式进行表示,其格式为:TAG:CONTENT其中,TAG表示二维码类型,CONTENT表示内容,两者之间使用英文冒号隔开。A.2
4、采用二维码的证书申请协议采用二维码进行证书申请的具体流程如下:1) 证书认证系统生成RND,形成证书申请二维码并显示在安全屏幕上。证书申请二维码的TAG为CERT,CONTENT为URI/RND。其中,URI为证书认证系统提供的证书申请服务地址;2) 手机通过扫码获取证书认证系统生成的证书申请登记报文;3) 手机生成随机验证码VerificationCode并展示给用户;4) 手机通过无线射频信道向该URI所在的证书认证系统发送证书申请请求消息。5) 证书认证系统接收到手机的请求消息后,显示输入界面,要求用户输入步骤3中手机所生成的VerificationCode;6) 用户使用证书认证系统的
5、终端设备输入VerificationCode;7) 证书认证系统对手机的证书申请请求消息进行验证,包括验证RND是否有效;用户公钥验证对URI、RND和VerificationCode的签名是否正确;厂商ID是否在可信厂商列表中,可选;厂商私钥对RND的签名是否有效,可选。如果验证通过,证书认证系统为该用户申请证书,并通过网络向手机回复证书申请响应消息。手机接收到证书认证系统的证书申请响应消息,提取证书或通过证书下载地址下载证书。证书认证系统也可以生成二维码向申请证书的手机发送证书下载请求消息。证书下载二维码的TAG为DOWNLOAD,CONTENT为URI。其中,URI为证书下载服务的地址。
