1、GM/T0113-2021目次前言川1范围2规范性引用文件13术语和定义14缩略语5通用在线快捷身份鉴别协议5.1协议架构25.2协议消息相关数据结构55.3协议流程和要求6双因素在线快捷身份鉴别协议1561协议架构1562协议消息框架1763协议流程和要求19附录A(资料性)安全风险及措施建议28附录B(资料性)可信环境实现方式n3附录C(资料性)协议接口32参考文献36GM/T0113-20214缩略语下列缩咯语适用于本文件。APDU:应用协议数据单元(Application Protocol Data Unit)AppID:应用程序标识符(Application Identifier)A
2、SN.1:抽象语法标记(Abstract Synta:Notation One)BAP:生物特征识别身份鉴别协议(Biometric Authentication Protocol)BAPV:生物特征识别身份鉴别协议版本(Biometric Authentication Protocol Version)bkmID:生物特征识别密钥管理器标识符(BAP Key Manager Identifier)KeyID:密钥标识符(Key Identifier)KRD:密钥注册数据(Key Registration Data)PII:个人识别信息(Personal Identifiable Inform
3、ation)PIN:个人识别码(Personal Identification Number)TAP:双因素在线快捷身份鉴别协议(Two-factor Authentication Protocol)TEE:可信行环境(Trusted Execution Environment)TICP:传输层密码协议(Transport Layer Cryptography Protocol)TPM:可信平台模块(Trusted Platform Module)VPN:虚拟专用网络(Virtual Private Network)5通用在线快捷身份鉴别协议5.1协议架构5.1.1概述通用在线快捷身份鉴别协议
4、借助智能设备,结合生物特征识别技术,提供了无口令,安全性能高、使用方便的身份鉴别方案,该协议在GB/T36651规定的基于可信环境的生物特征识别身份鉴别协议框架基础上,针对协议架构、协议流程和要求等进行了细化,并在协议流程和要求中规定了协议的相关消息数据格式。其中,安全风险及措施建议见附录A,关于可信环境实现方式见附录B,关于协议接口见附录C。在实际部署过程中使用的商用密码产品,应当由具备资格的商用密码检测、认证机构检测认证合格后,方可部署到实际系统中。在执行通用在线快捷身份鉴别协议之前,身份鉴别服务器通过用户代理调用生物特征识别密钥管理器接口的发现方法,检查用户设备是否支持通用在线快捷身份鉴别协议。本文件不规定身份鉴别服务器获取生物特征识别密钥管理器相关信息以及厂商公钥信息的方式,身份鉴别服务器可利用生物特征识别密钥管理器接口的发现方法中返回的结果,通过生物特征识别密钥管理器相关提供方的服务来获取这些信息。通用在线快捷身份鉴别协议的交互图如图1所示。其中,图中实线表示消息流由图例中的左侧实体到右侧实体,虚线部分表示消息流由图例中的右侧实休到左侧实体或者是重定向消息流,双向箭头表示两个实体进行交互以完成某操作,跨越实体的虚线表示其他实体通过该实体进行通信,后续交互图中均以此说明为准。图中采用HTTP重定向方式对协议交互情况进行说明。2
