GB/T 43779-2024

网罗安全时刻 基于密码令牌的

主叫用户真的身份辨认时刻标准

1 边界

本文献规章了在通讯中基于密码令牌传输、考证和解析主叫用户真的身份的时刻要求，刻画了相应的测试评价标准。

本文献适用于教授传输、考证和解析主叫用户真的身份的系统缱绻、分娩和测试。

2 标准性援用文献

下列文献中的实验通过文中的标准性援用而构老本文献必不行少的条件。其中，注日历的援用文献，仅该日历对应的版块适用于本文献；不注日历的援用文献，其最新版块（包括系数的修改单）适用于本文献。

GB/T 15843.2 信息时刻 安全时刻 实体辨认 第2部分：接管对称加密算法的机制

GB／T 15843.3 信息时刻 安全时刻 实体辨认 第3部分：接管数字签名时刻的机制

GB／T 16262.1 信息时刻 抽象语法记法

GB/T 20518 信息安全时刻 公钥基础要领 数字文凭边幅

GB／T 32905 信息安全时刻 SM3 密码杂凑算法

GB／T 32907 信息安全时刻 SM4 分组密码算法

GB/T32918.2 信息安全时刻 SM2椭圆弧线公钥密码算法 第2部分：数字签名算法

3 术语和界说

下列术语和界说适用于本文献。

3.1

主叫方 caller

呼唤连结的发起方，或呼唤连结发起方的智能终局莳植。

3.2

被叫方 called

呼唤连结的剿袭方，或呼唤连结剿袭方的智能终局莳植。

3.3

运营商 carrier

主叫方或被叫方的网罗作事提供商。

注：主叫方运营商和被叫方运营商是疏导的或不同的。

3.4

密码令牌 crypto token

由真的用户接管密码时刻签名，并提交被叫用户考证的，用以表征我方身份的数据报文。注：该数据报文也被称为密码身份令牌或身份令牌。

1

3.5身份凭证签发中心 identity ticket issuer为用户生成、颁发真的身份凭证的机构。3.6凭证签发授权中心 identity ticket issuer authorization authority身份凭证签发中心的授权方，通过数字签名给身份凭证签发中心签发身份凭证的边幅来已毕授权惩处。3.7身份凭证查询作事 identity ticket acquisition service为被叫用户提供查询主叫方身份凭证的作事。注：身份凭证查询作事以云作事等多种网罗作事边幅已毕，在主叫或被叫网罗被看望。3.8权限左证 privilege credential由真的用户接管对称密码时刻臆测取得的，标明我方领有使用权柄的数据。注：权限左证仅当次使用有用。3.9令牌音尘传送作事 token message service为真的用户呼唤提供令牌音尘的传送作事。注：令牌音尘传送作事部署在互联网上、主叫网罗或被叫网罗内。3.10真的身份作事体系 trusted identity services system提供真的身份惩处和评释／考证作事的体系。3.11真的身份凭证 trusted identity ticket由真的身份作事体系签发的含有通讯方真的身份信息格外公钥的数字凭证。3.12真的用户 trusted user央求并取得了真的身份凭证的主叫方或被叫方。注：能考证和解析主叫真的身份，但我方不一定领有真的身份凭证的通讯方在本文献中称为用户。3.13真的身份 trusted identity经由第三方认证的，具有能与用户的行为匹配的身份。4 记号和缩略语4.1 记号下列记号适用于本文献。IDi：由运营系统给第i个真的用户颁发的使用作事进行辨认的身份标记ID，该ID是随即生成的一个128 bit的数据，以保护用户个东谈主信息。Ki：由运营商安全传输给第i个真的用户，对应其IDi的对称密钥。RK：惩处真的用户的运营商的一个惩处用户的主密钥。4.2 缩略语下列缩略语适用于本文献。2

CA：文凭颁发机构（Certificate Authority）

CHAKEN：基于密码令牌的主叫用户真的身份辨认时刻（Caller Identity Authentication Using

Crypto Tokens)

DER：可区别编码规章（Distinguished Encoding Rules）

SIP：会话运转合同（Session Initiation Protocol）

5 空洞

5.1 基于密码令牌的主叫用户真的身份辨认时刻的基喜悦趣

木文献规章的基于密码令牌的主叫用户真的身份辨认时刻（CHAKEN），旨在将主叫方的真的身份安全地展示给被叫方。为完成真的身份的展示，最初需要为经审核的真的用户签发真的身份凭证，该凭证包含可用于解析的经过核验的主叫用户信息，是文本、图片、音频信号或视频信息。其次被叫方诳骗密码令牌和主叫方的真的身份凭证对主叫方进行身份考证，确保主叫方为该真的身份凭证的抓有者。

5.2 真的身份凭证的签发架构

本文献规章的CHAKEN 时刻中，真的用户的身份惩处接管“凭证签发授权中心”加“身份凭证签发中心”两层的模式。授权中心是CHAKEN 体系的信任根，其自签名身份凭证接管真的的边幅预置在用户的密码模块中，或为用户提供真的的下载阶梯。身份凭证签发中心需得到授权中心的许可，并取得授权中心签发的有用的身份凭证武艺为一般用户签发身份凭证。真的身份凭证签发架构如图1所示。

图1 真的身份凭证的签发架构

5.3 真的身份凭证的签发模式

真的身份凭证的签发一般接管两种模式，一种是由身份凭证签发中心平直审核用户信息并给用户签发真的身份凭证，另一种是由身份凭证签发中心的订户，即单元用户或集团用户，对我地契元的下属职工进行审核，再由身份凭证签发中心为该职工签发真的身份凭证。图1中的连结线代表了真的身份凭证的签发旅途，对某一订户，其单元职工的身份凭证的真的审核可由订户我方完成，但该职工的身份信息中的单元信息只然而经过身份凭证签发中心审核的订户的单元信息。

5.4 真的用户的考证

本文献规章的CHAKEN 时刻对真的用户的考证缱绻为两层凭证加一次令牌的模式。即，使用授权中心的根凭证考证身份凭证签发中心的身份凭证，再用身份凭证签发中心的身份凭证考证主叫用户的真的身份凭证，临了用主叫用户的真的身份凭证考证主叫用户发出的密码令牌。

5.5 接管令牌音尘进行身份辨认的基本历程

基于现存电话呼唤，对主叫用户进行身份辨认的基本历程如图2所示。

标引序号阐发：

①-动作前提条件，主叫终局在发出呼唤前通过在线或离线的边幅取得身份凭证签发中心签发的真的身份凭证；

①-主叫方选用被叫号码，选用我方的一个身份（主叫方有一个或多个身份），要是是真的身份，则构建密码令牌发往令牌音尘传送作事；

②-主叫方通过主叫网罗，向被叫方发起呼唤；主叫网罗收到呼唤后，通过中转网罗向被叫网罗发起呼唤；

③-被叫网罗向被叫终局发送主叫的呼唤请求；

④-被叫终局收到呼唤请求后，诳骗索引向令牌音尘传送作事查询主叫发送的密码令牌；

⑤-要是被叫终局内未缓存主叫方的真的身份凭证，通过主叫号码到身份凭证查询系统查询。训戒证正确后将主叫的真的身份解析在用户界面上。然后由用户或用户界说的规章决定是否接通或拒却该呼唤。

图2 真的身份辨认的基本历程

当接管SIP合同呼唤时，SIP合同的呼唤音尘中可佩带主叫身份令牌的查询地址和查询索引，粗略平直佩带身份令牌，也可佩带令牌和身份凭证。

6 安全要求

6.1 真的身份凭证的签发

6.1.1 凭证签发授权中心

对凭证签发授权中心的凭证签发，知足如下方面：

a）凭证签发授权中心应制定我方的电子认证业务声明，包括我方在身份凭证的颁发和使用中的职守和义务、为下级身份凭证签发中心签发身份凭证的过程，以及凭证关连的安全战略界说；

b）凭证签发授权中心应按照GB／T 20518中的边幅要求为我方签发自签名凭证，该自签名凭证应通过至少两种边幅供用户下载；

c）凭证签发授权中心宜在自签名身份凭证中树立Basic constraints扩张中的 pathLenConstraint的值为1；