ICS 35.240.99 A 90 （报批稿） (本稿完成于2020年10月21日) GA xxxx-xx-xx实施 xxxx-xx-xx发布 移动警务 身份认证技术要求 Mobile police—— Technical requirements for identity authentication 中华人民共和国公安部 发布 中华人民 共和国 公共安 全行业 标准 GA/T XXXX—XXXX 代替 GA/T XXXX—XXXX I 目 次 前 言 ................................ ................................ ........ II 1 范围 ................................ ................................ ........... 1 2 规范性引用文件 ................................ ................................ . 1 3 术语和定义、缩略语 ................................ ............................. 1 4 总体要求 ................................ ................................ ....... 2 5 技术要求 ................................ ................................ ....... 4 6 跨区域认证要求 ................................ ................................ . 5 7 跨平台认证要求 ................................ ................................ . 6 附录A （规范性附录） 跨平台认 证系统接口要求 ................................ ...... 7 GA/T XXXX—XXXX II 前 言 本文件按照GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》 的规定 起草。 本文件由公安部科技信息化局提出。 本文件由公安部计算机与信息处理标准化技术委员会归口。 本文件起草单位： 公安部科技信息化局 、河南省公安厅 、公安部第一研究所、公安部第三研究所、 格尔软件股份有限公司、郑州信大捷安信息技术 股份有限公司 、长春吉大正元信息技术股份有限公司 。 本标准主要起草人： 袁艺芳、 李伟强、王毅、陈巧慧、 张端涛、王卓 、陈骁、陈昌前、陈家明、 梁 松涛、韩秀德、刘兴兴、邓勇。 GA/T XXXX—XXXX 1 移动警务 身份认证技术 要求 1 范围 本文件规定了移动警务身份认证的 总体要求、技术要求 、跨区域 认证要求 和跨平台认证要求 。 本文件适用于移动警务身份认证系统建设、应用接入以及相关产品的设计和开发 。 2 规范性引用文件 下列文件 中的内容通过文中的规范性引用而构成本文件 必不可少的 条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件； 不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069 信息安全技术 术语 GB/T 35678 公共安全 人脸识别应用图像技术要求 GB/T 37076 信息安全技术 指纹识别系统技术要求 GA/T 380 全国公安机关机构代码编制规则 GA/T 543 （所有部分） 公安数据元 GA/T 1053 数据项标准编写要求 GA/T 1054 （所有部分） 公安数据元限定词 GA/T 1561 移动警务系统 总体技术要求 GA/T 1720 移动警务 数字证书 格式要求 GM/Z 0001 密码术语 GM/T 0018 密码设备应用接口规范 GM/T 0034 基于SM2密码算法的证书系统密码及其相关安全技术规范 3 术语和定义 GB/T 25069 、GA/T 1561 和GM/Z 0001 界定的以及下列 术语和定义适用于本 文件。 3.1 移动警务 数字证书 digital certificate for mobile police information system 标识移动警务系统 用户、机构、设备 和应用真实身份的数字证书。 3.2 统一认证 unified authentication 在移动警务系统中，采用一致的 技术手段 ，对认证对象身份 进行鉴别的 过程。 3.3 GA/T XXXX—XXXX 2 票据 token 在统一认证中产生， 表示认证对象访问的许可信息。 4 缩略语 下列缩略语适用于本文件。 ID：身份标识（ Identity ） MAC：介质访问控制 （Media Access Control ） NFC：近场通信 （Near Field Communication ） 5 总体要求 5.1 总体构成 移动警务身份认证 部署在Ⅰ类区域、Ⅱ类区域和Ⅲ类区域中，各区域内身份认证均由对应的认证对 象、认证服务 和认证因子构成。移动警务平台可进行 Ⅱ、Ⅲ类区域之间 的跨平台认证， Ⅰ、Ⅱ、Ⅲ类区 域之间可进行 跨区域认证，移动警务身份认证总体构成示意图见图 1。 用 户 机 构 设 备 应 用认证对象 数字证书 口 令 生物标识 物理标识认证因子 认证服务I类区域II类区域III类区域 A平台 B平台 用 户 机 构 设 备 应 用认证对象 数字证书 口 令 生物标识 物理标识认证因子 认证服务用 户 机 构 设 备 应 用认证对象 数字证书 口 令 生物标识 物理标识认证因子 认证服务 用 户 机 构 设 备 应 用认证对象 数字证书 口 令 生物标识 物理标识认证因子 认证服务用 户 机 构 设 备 应 用认证对象 数字证书 口 令 生物标识 物理标识认证因子 认证服务 用 户 机 构 设 备 应 用认证对象 数字证书 口 令 生物标识 物理标识认证因子 认证服务 图1 移动警务身份认证 总体构成 示意图 GA/T XXXX—XXXX 3 5.2 技术框架 5.2.1 概述 移动警务身份认证技术框架包括认证管理、认证对象、认证服务和认证因子四部分， 移动警务身份 认证技术框架 示意图见 图2。 认证服务认证对象 用户 设备 应用 身 份 认 证 服 务 认证因子机构 数字证书 口令 生物标识 物理标识身 份 验 证 服 务认 证 管 理用户凭证 /票据 机构凭证 /票据 设备凭证 /票据 应用凭证 /票据凭 证 / 票 据 维 护 策 略 管 理认 证 对 象 认 证 方 式 管 理 图2 移动警务身份认证技术 框架示意图 5.2.2 认证对象 认证对象包含用户、机构、设备和应用 等，其中： a) 用户包含内部用户和外部用户，内部用户 包含民警和警务辅助人员 ，外部用户包含党政用户和 企事业用户等； b) 机构包含党政部门和 企事业单位等； c) 设备包含移动警务 终端、服务器和专用设备等 ； d) 应用包含应用客户端和应用服务端 。 5.2.3 认证因子 认证因子包含 但不限于数字证书、口令、生物 标识和物理标识，其中： a) 数字证书采 用SM2算法并符合GM/T 0034 的规定，证书存储方式 采用硬件密码模块或 软件密码 模块； b) 口令包含但不限于 密码口令和短信验证码 ； c) 生物标识包含但不限于 人脸和指纹； d) 物理标识包含但不限 于MAC地址、设备 ID等硬件唯一标识。 GA/T XXXX—XXXX 4 5.2.4 认证服务 认证服务 分为Ⅰ类系统认证服务、 Ⅱ类系统认证服务和 Ⅲ类系统认证服务 ，其中： a) Ⅰ类系统认证服务为 Ⅰ类区域用户提供实名认证，为机构、设备和应用提供统一认证服务，发 放认证凭证 /票据； b) Ⅱ类系统认证服务 为Ⅱ类区域用户、机构、设备和应用提供统一认证服务，发放认证凭证 /票 据； c) Ⅲ类系统认证服务 为Ⅲ类区域用 户、 机构、 设备和应用提 供统一认证服务 ， 发放认证凭证 /票据。 5.2.5 认证管理 认证管理包含 但不限于认证 对象认证方式管理和凭证 /票据维护策略管理，其中： a) 认证对象认证方式管理，按 照Ⅰ、Ⅱ、Ⅲ类区域的安全防护要求，采用单因子、双因子或多因 子认证方式； b) 凭证/票据维护策略管理，按照 Ⅰ、Ⅱ、Ⅲ类区域的安全防护要求，设置凭证 /票据的有效期， 更新、延 期条件等。 6 技术要求 6.1 认证对象要求 6.1.1 用户认证 用户认证需 满足下列要求： a) 根据信息重要程度， Ⅰ类系统用户可采用密码口令、短信 验证码、数