YD_T 3204-2016网络电子身份标识eID体系架构.pdf

ICS 35.110M11YD中华人民共和国通信行业标准YD/T3204—2016网络电子身份标识eID体系架构ReferencearchitectureofelD2016-10-22发布2017-01-01实施中华人民共和国工业和信息化部发布 YD/T3204—2016目次前言II引用.III1范围。2规范性引用文件3术语、定义和缩略语3.1术语和定义3.2缩略语...4网络电子身份标识elD体系架构4.1elD体系架构概述4.2网络身份管理参考模型，4.3elD技术框架，4.4elID层次结构附录A（资料性附录）eID应用场景交互实例参考文献 YD/T3204—20164.4.22基础服务层基础服务层包括编码格式、标识管理、身份审核、基础设施的管理和服务，其中的基础设施包括了系统集群、安全体系和网络接入等。4.4.3身份识别层身份识别层包括eID搭载的载体（如智能卡）和读写机具两方面，包括了eID载体应用按口（接触式非接触式），eID裁体的密钥管理、文件系统管理、elD读写机具应用接口（物理电气、通信、密码等）、eID读写机具的密钥管理和应用安全、eID应用密钥管理。4.4.4验证服务层验证服务层包括eID服务平台、clID为第三方应用提供的移动/桌面接口，提供了架构于身份识别层和业务应用层之闻的软件服务组件。它包括了elD验证服务接口、eID验证服务协议、elD状态查询和签名验证、elD移动/桌面应用接口、针对验证服务接口和移动/桌面应用接口的测试工具、基于eID的属性证明等，其中，eID服务系绕主要是完成基于eID的身份验证服务，及相应的消息格式和处理机制：elD的第三方应用提供的移动/桌面接口机制，让用户除了通过eID移动/桌面应用访间eID载体外，还能通过基于elD的第三方应用接口来访间互联网应用。各类浏览器可以通过调用eID第三方应用接口形成基于elD卡的数字签名、证书校验、密钥交换等操作。4.4.5业务应用层社交应用、IPv6中的应用和虚拟资产保全业务中的应用。4.4.6生命周期管理生命周期管理包括eID的签发管理、发布管理、运维管理和安全管理等。4.4.7信任管理信任管理涉包括跨域访问控制、委托授权、多级数字身份管理、审计追溯、责任认定等，7 YD/T 3204—2016附录A（资料性附录）eID应用场景交互实例A1发行与审核交互实例图A.1展示了elID的发行与审核场景。一个用户在某网络中，请求身份提供方提供真实身份服务。身份提供方在识别用户真实身份过程中，需要向身份基础库核查用户提交的身份信息。实例包含以下实体的交互：一发起注册服务请求的用户；身份基础库：身份提供方（提供身份审核与elD发放等服务）。用户身份提供方身分基酯库注静求根据应用缓别，提真实身份模查身份核查报帮相应结果，生成elD)注册结果：发政钱伟（可造）图A1elD的发行与审核的交互实例图A.1所示的交互实例过程描述如下：1）用户确定身份提供方，并向其发起身份注册请求。2）用户根据应用的级别，向身份提供方提供所需的身份审核信息。3）身份提供方基于身份基础库进行用户真实身份信息的审核，4）身份提供方基于身份基础库的响应结果，决定是否为用户生成elD。5）身份提供方将注册结果返回给用户；如果注册通过，给用户发放eID载体；否则，注册失败。A.2验证交互实例图A.2展示了elD的验证场景。一个用户在某网络中使用elD进行身份验证，包含以下实体的交互：发起服务请求的终端用户；提供网络服务的身份依赖方：身份提供方（提供了身份发现，验证等服务），8 YD/T 3204—2016身分茂供方身的检证请求认证设交R身信总的发联、审核、授验证结果吾允许访问服务图A.2elD验证的交互实例图A.2所示的交互实例过程描述如下：2）身份提供方和用户进行认证协议交换。3）身份提供方对身份依赖方的用户身份信息进行发现、审核和授权的响应。4）身份依赖方收到身份据供方的验证结果，决定是否授权该服务给用户。5）身份依赖方提供给用户是否允许访问服务的响应。用户顺利通过网络身份验证之后，就可以安全地使用相关应用。某些高安全需求等级的网络应用如网络支付等，如上所述的安全查录，还需要在用户与身份依赖方的服务之间增加通信加密等安全措施。A.3更新维护交互实例图A.3展示了eID的更新维护过程。eID的更新维护发起方可以是身份提供方或用户，在维护用户身份过程中，包含以下实体间的交互：一发起服务请求的用户；身份依赖方：身份提供方（提供eID身份更新、维护等服务）：身份基础库。9 YD/T 3204—2016身份提供身分基码军定期实时的更新、维护身份定明/实的更所，维护9份通知身份信息更要表，主动更新、维护分信息图A.3eID信息更新维护的交互实例身份提供方实时或定期向身份基础库提交