各相关单位和专家:
经标准编制单位的辛勤努力,现已形成国家标准《信息安全技术 移动签名通用技术规范》征求意见稿。为确保标准质量,信安标委秘书处面向社会广泛征求意见。
恳切希望您对该标准提出宝贵意见。并将意见于2017年8月17日前反馈给信安标委秘书处。
联系人:许玉娜 xuyuna@cesi.cn 010—64102731
全国信息安全标准化技术委员会秘书处
2017年7月3日
标准文本:移动签名通用技术规范
编制说明:
国家标准《信息安全技术 移动签名通用技术规范》
(征求意见稿)编制说明
一、工作简况
根据全国信息安全标准化技术委员会《关于通报全国信息安全标准化技术委员会2011年信息安全标准项目的通知》(信安秘字[2011]046号)的要求,《信息安全技术 移动签名通用技术规范》国际标准由全国信息安全标准化技术委员会归口并管理,由中国移动通信集团公司承办。
标准制定的主要工作过程如下:
2011年12月至2012年10月,根据标准制定任务开展标准草案编制工作,并组织内部、外部专家进行讨论和审议,形成草案修改稿。
2012年12月,信安标委WG4组组织标准专项评审会议。
2012年12月至2013年12月,先后进行多次小型研讨会,并组织内部、外部专家进行讨论和审议,广泛听取业界和技术专家的意见。
2014年6月,信安标委WG4组组织第二次标准专项评审会议,进一步征求相关专家意见,对标准草案进行修改,形成草案修改稿(征求意见稿)。
2014年7月至2016年5月,进一步进行技术验证并征求相关专家意见,修改标准。
2016年6月至2016年9月,根据全国信安标委会WG4组会议专家意见,进行技术验证并征求相关专家意见,修改标准。
2016年10月信安标委WG4工作组组织专家对标准草稿评审后,同意形成征求意见稿。
2016年10月至2017年4月,根据信安标委会WG4工作组专家评审意见和线下专家意见反馈,对标准进一步修订。
主要起草人及其贡献包括杨志强、张滨、于蓉蓉、袁捷、刘海龙、罗红、路晓明、杨超、董靖宇、邱勤、霍薇靖、蔡准、杨正军、马臣云、林雪焰。其中杨志强、张滨、于蓉蓉、袁捷负责架构设计和研发资源协调管理,罗红、路晓明、杨超负责产品细化流程设计和接口制订,董靖宇、邱勤、霍薇靖、蔡准负责产品研发和流程穿越测试,杨正军、马臣云、林雪焰负责规模化推进,包括支持移动签名的SIM卡和业务对接等。
二、标准编制原则和确定主要内容的论据及解决的主要问题
1、本标准的主要内容
本标准规定了实现移动签名的通用方法,包括基本框架、基本流程、参与实体功能、接口功能及安全要求等。
本标准适用于采用具备移动通信功能的设备或移动设备中的专用安全模块作为电子签名生成装置的电子签名系统的应用、设计、开发和测试。
主要包括:
a)界定了移动签名相关术语和定义;
b)移动签名关键业务流程,包括证书申请、更新和撤销流程;移动签名服务提供者、移动签名设备生成设备等主要实体功能;主要实体间主要接口功能等。
2、本部分在确定主要内容时主要基于如下几个方面:
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 1.1-2009 标准化工作导则 第1部分:标准的结构和编写
GB/T 25064-2010 信息安全技术 公钥基础设施 电子签名格式规范
GB/T 25065-2010 信息安全技术 公钥基础设施 签名生成应用程序的安全要求
GB/T 25056-2010 信息安全技术 证书认证系统密码及其相关安全技术规范
RFC2986 PKCS #10: Certification Request Syntax Specification
三、主要试验[或验证]情况分析
中国移动的主要测试工作包括两方面,一方面是公司内部的流程测试,包含和SIM卡供应商的联调测试、现网发放支持移动签名的SIM卡的流程穿越测试;在内部测试完成后,启动了和民族证券等外部客户的商业联调并顺利完成。
四、知识产权情况说明
无
五、产业化情况、推广应用论证和预期达到的经济效果
目前中国移动已经在现网发放了超过400万张支持移动签名的SIM卡,并广泛与电子政务、电子商务的产业链合作伙伴建立合作关系,极大的解决短信验证码不安全的问题和传统硬件安全介质便捷性的问题,对于提升电子认证的体验、推动传统政务和金融服务向移动互联网演进具有重要的推动作用
六、采用国际标准和国外先进标准情况
采用国际标准如下:
a)ETSI TR 102 203 v1.1.1 Mobile Commerce (M-COMM); Mobile Signatures; Business and Functional Requirements
b)ETSI TS 102 204 v1.1.4 Mobile Commerce (M-COMM); Mobile Signature Service ; Web Service Interface
c)ETSI TR 102 206 v1.1.3 Mobile Commerce (M-COMM); Mobile Signature Service ; Security Framework
d)ETSI TS 102 207 v1.1.3 Mobile Commerce (M-COMM); Mobile Signature Service ; Specification for Roaming in Mobile Signature Services
本标准不涉及关键指标、样品/样机相关情况。
七、与现行相关法律、法规、规章及相关标准的协调性
本标准与我国现行法律、法规、规章及相关标准协调一致,不存在冲突问题。
八、重大分歧意见的处理经过和依据
起草过程中无重大分歧,编制组成员单位协商一致。
九、标准性质的建议
建议为推荐性标准。
十、贯彻标准的要求和措施建议
无组织措施等建议。
十一、替代或废止现行相关标准的建议
无废止和替代相关标准。
十二、其它应予说明的事项
无。
《信息安全技术 移动签名通用技术规范》编制工作组
2017-06-16