信息技术智能设备操作系统身份识别服务接口

信息技术智能设备操作系统身份识别服务接口

国家标准 GB/T37743一2019 信息技术智能设备操作系统 身份识别服务接口 nformationteehnology一Identifieationserviceinterfaeesof peraimg>ysteinintelligemtdeviee 2019-08-30发布 2020-03-01实施 国家市场监督管理总局 发布 币国国家标准化管理委员会国家标准
GB/37743一2019 目 次 前言 范围 2 术语和定义 信息格式 智能设备操作系统身份识别服务接口 4.1接口功能概述 4.2子接口l:智能设备操作系统身份识别信息分发 4.3子接口2;智能设备操作系统身份识别信息烧录回执 4.4子接口3:智能设备操作系统身份识别信息产线激活 4.5子接口4:智能设备操作系统身份识别 4.6子接口5:获取鉴别码 .7子接口6.智能设备操作系统身份识别信息加密 子接口7获取身份识别信息 4,8 4.9子接口8,解密身份识别信息 附录A(资料性附录)智能设备操作系统身份识别鉴别码技术 附录B(资料性附录智能设备操作系统身份识别服务接口工作流程 附录c规范性附录)智能设备操作系统身份识别信息服务生存周期
GB/37743一2019 前 言 本标准按照GB/T1.1一2009给出的规则起草 请注意本文件的某些内容可能涉及专利 本文件的发布机构不承担识别这些专利的责任 本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口 本标准起草单位:阿里巴巴()有限公司、电子技术标准化研究院、杭州中天微系统有限公 司北京中电华大电子设计有限责任公司、杭州晨元数据安全技术股份有限公司、国民技术股份有限公 司、江苏卓胜微电子有限公司、上海金雅拓智能卡技术有限公司、恩智浦()管理有限公司、深圳数字 电视国家工程实验室股份有限公司、复旦微电子集团股份有限公司 本标准主要起草人:董侃、方强,姜金龙、马俊国、张展新、穆瑞芬、陈海、李春强,童琪杰,兰天、赵永刚、 王海芳、樊俊锋、闵晓宇、冯欢、田鹰、畅江、郭志
GB/37743一2019 信息技术智能设备操作系统 身份识别服务接口 范围 本标准规定了为智能设备操作系统提供的身份识别服务接口 本标准适用于智能设备发行商定义并烧录设备身份识别信息,云服务提供商识别智能设备 2 术语和定义 下列术语和定义适用于本文件 互联网服务平台internetserviceplatformm 提供互联网增值服务给开发者或消费者的信息系统 2.2 智能设备intelligemtdeviee 接人到互联网服务平台上,并向用户提供信息服务的终潮设备 2.3 智能设备操作系统身份识别服务平台identiricationseryiceplatformofoperatingsysteminintelli- gentdeyiee 向互联网服务平台提供智能设备操作系统身份识别服务的信息系统 2.4 产线许可证produetionlinelieense 智能设备操作系统身份识别信息的烧录厂商用于从身份识别服务端获取身份识别信息的凭证 2.5 鉴别码authentieationcode 用于终端设备身份验证的字符串 2.6 随机因子randomfactor 用于生成随机数的计算因子 2.7 随机数randomnumber 从已有的一组数中选出的一个数,该组数中,每个数出现的概率相同 2.8 身份标识identity 用于标识智能设备操作系统身份的信息 2.9 身份识别信息载体identifiableinformatonmedia 用来承载智能设备操作系统身份识别信息的存储单元,包括但不限制于软件沙箱、安全微控制单 元、可信执行环境(TEE)及安全单元(SE)
GB/T37743一2019 2.10 智能设备操作系统身份识别信息申请者applicantofidentifiableinformationofoperatingsystem inteligentdeviee in 申请智能设备操作系统身份识别信息并进行产线烧录的厂商 2.11 智能设备操作系统身份识别信息使用者 userofidentifiabhleinformatonofoperatingsysteminin- ntdevice ellte" 使用智能设备操作系统身份识别服务平台并提供身份识别服务的开发商,包括但不限制于具备身 份识别服务开发能力的烧录厂商、智能设备制造商及互联网服务平台 信息格式 智能设备操作系统身份识别服务接口用于操作系统识别预置在安全执行单元中的身份识别信息代 码,并提供对该代码进行云端一体化的校验服务 智能设备操作系统身份识别信息应采用以下信息格式 共24个十六进制数字字符,分为5个字段 从左到右,只有在前面的字段(上位字段)完成所有备 字符取值后,才能对紧随其后的字段(下位字段)中各字符赋值 对于同一个上位字段值,其下位字段的 取值应唯一,格式见图1 ×××××× ×××××× ×××××××× ×X 扩展标识符 随机数 产品代码 厂商代码 身份识别服务规范版本 图1信息格式 其中: 身份识别服务规范版本:2位,本标准为01; a b) 厂商代码;6位; 产品代码:6位; c d 随机数:8位,用于鉴别码的生成(智能操作系统身份识别鉴别码技术参见附录A) e 扩展标识符:2位,用于支持组设备认证等场景 智能设备操作系统身份识别服务接口 4.1接口功能概述 参与智能设备操作系统身份识别服务过程的实体包括智能设备(包括安全执行单元及智能设备操 作系统、互联网服务端(包括智能设备操作系统身份识别服务平台及互联网服务平台、互联网服务提 供商、预置产线管理平台 涉及的服务接口是以智能设备操作系统为核心,支持智能设备操作系统与各 实体间传递身份识别信息的接口 接口关系见图2 智能设备操作系统身份识别服务接口工作流程参 见附录B 智能设备操作系统身份识别信息服务生存周期见附录C
GB/37743一2019 互联网服务端 互联网服务提供商 智能设备操作 互联网服务提 (接口I 互联网服务 接口 系统身份识别 供商 平台 服务平台 (接口m 互联网服务提 供商 智能操作系统 (接口VI (接口 预置产线 身份存储模块 鉴别码生成模块 预置产线 安全执行单元 预置产线管理平台 智能设备端 智能设备操作系统身份识别服务接口 智能设备操作系统身份识别服务接口提供以下功能 接口I;身份识别平台与互联网服务提供商间接口 本接口包括以下子接口: a 子接口1;智能设备操作系统身份识别信息分发 1D 2) 子接口2;智能设备操作系统身份识别信息烧录回执， 3) 子接口3;智能设备操作系统身份识别信息产线激活 b)接口I:身份识别平台与互联网服务平台间接口 本接口包括以下子接口 子接口4;智能设备操作系统身份识别 1 子接口5:获取鉴别码 鉴别码的生成可采用挑战应答模式或时间戳模式中的一种; 22) 33) 子接口6;智能设备操作系统身份识别信息加密 接口I:互联网服务平台与智能终端操作系统间接口 本接口的子接口功能与接口I一致 c 置产线管理平台间接口 本接口的子接口功能与接口I一致 d 接口:互联网服务提供商与预置 e 接口V;身份存储模块与预置产线接口 本接口为预置产线身份识别信息预置,通过线 下方式实现 预置产线烧录流程参照附录B智能设备操作系统身份识别服务接口工作 流程 fD 接口:智能终端操作系统与安全执行单元接口 本接口包括以下子接口 1) 子接口7;获取身份识别信息; 子接口8;解密身份识别信息; 2 33 子接口5:获取鉴别码 注:与接口I的子接口5功能一致 4.2子接口1智能设备操作系统身份识别信息分发 智能设备操作系统身份识别信息分发子接口用于在批量生成硬件设备时,智能设备操作系统身份 识别服务平台在智能设备中预置身份信息,参数要求如下 输人参数应包括以下内容: a 1服务端接口版本信息; 请求的身份识别信息数量; 2 33 产线许可证信息
GB/T37743一2019 b 输出参数应包括以下内容 l智能设备操作系统身份识别信息 22 智能设备密钥信息(经许可证公钥加密后的智能设备对称密钥或私钥信息) 4.3子接口2智能设备操作系统身份识别信息烧录回执 智能设备操作系统身份识别信息烧录回执子接口返回智能设备操作系统身份识别信息预置结果， 参数要求如下: 输人参数应包括以下内容 a 搭载身份识别信息的芯片及产品版本信息; 22 智能设备操作系统身份识别信息 33 支持的密码算法; 密钥类型 4！ 5 许可证私钥签名 输出参数应包括智能设备操作系统身份识别信息烧录回执状态 b 4.4子接口3:智能设备操作系统身份识别信息产线激活 智能设备操作系统身份识别信息产线激活子接口用于保证智能设备操作系统身份识别信息的 便捷分配,烧录产线在完成身份识别信息烧录后,智能设备操作系统身份识别信息使用者向智能设 备身份识别服务平台发送激活请求,调用本接口实现智能设备服务与身份识别信息的绑定 参数要 求如下 输人参数应包括以下内容: a 设备端鉴别码 1) 智能设备服务内容 2 输出参数应包括激活结果状态码 b 4.5子接口4智能设备操作系统身份识别 智能设备操作系统身份识别子接口对接人到智能设备操作系统身份识别服务平台的智能设备进行 身份识别 当智能设备使用证书形式进行身份识别时,智能终端与身份识别平台之间采用双向身份认 证 参数要求如下: 输人参数应包括以下内容 a 服务端接口标准版本信息; 1 智能设备操作系统身份识别信息 2 设备端鉴别码; 3 其他的辅助认证信息 4 输出参数应包括认证状态码 b 4.6子接口5获取鉴别码 4.6.1挑战应答模式 挑战应答模式参数要求如下 输人参数应包括以下内容: a 1 挑战字起始地址; 22 参加签名运算的额外数据起始地址;
GB/37743一2019 33 参加签名运算的额外数据长度(可选); 4 鉴别码缓冲长度 b 输出参数应包括以下内容 1)鉴别码; 22 鉴别码起始地址; 33 鉴别码长度 4.6.2时间戳模式 时间戳模式参数要求如下: 输人参数应包括以下内容 a 1) 当前系统时间; 参加签名运算的额外数据起始地址 2 3)参加签名运算的额外数据长度(可选); 4)鉴别码缓冲长度 b)输出参数应包括以下内容: 鉴别码 1 2)鉴别码起始地址; 鉴别码长度 33 4.7子接口6,智能设备操作系统身份识别信息加密 智能设备进行身份信息识别时,应通过智能设备操作系统身份识别信息加密子接口对身份识别信 息进行加密 参数要求如下 输人参数应包括以下内容 a 服务端接口标准版本信息 1 2 智能设备操作系统身份识别信息 设备端鉴别码; 33 其他的辅助认证信息(鉴别码关联的辅助认证数据); 4 待加密的身份识别信息 5 输出参数应包括以下内容 b 1)加密状态(成功或失败); 2)智能设备操作系统身份识别信息; 加密后的身份识别信息 33 4.8子接口7获取身份识别信息 获取身份识别信息子接口实现鉴别码获取和智能设备操作系统身份识别信息认证功能 要求 如下 输人参数应包括;期望的身份识别信息缓冲长度 aa b)输出参数应包括;设备身份识别信息(ID及缓冲长度)或错误码 4.9子接口8;解密身份识别信息 智能设备应提供请求服务端解密身份识别信息子接口 参数要求如下 输人参数应包括以下内容: a 待解密数据的起始地址;
GB/T37743一2019 待解密数据的长度 2 b 输出参数应包括以下内容 1 解密后数据的起始地址; 22 解密后数据的长度
GB/37743一2019 录 附 A 资料性附录 智能设备操作系统身份识别鉴别码技术 鉴别码总体要求 A.1 为保证智能设备发送到智能设备操作系统身份识别服务平台上的信息真实有效,智能设备身份识 别时应上传智能设备操作系统身份识别信息及鉴别码信息 鉴别码信息内容应满足以下技术要求 随机性;鉴别码中包含设备端生成的会话sd及随机因子 a b 真实性:具备真实性校验机制; 时效性;鉴别码应为一次有效,并具备失效时间 c 智能设备操作系统在进行身份识别时,发送鉴别码到智能设备操作系统身份识别服务平台,智能设 备操作系统身份识别服务平台对鉴别码进行解密,通过比对终端与服务端的随机数或挑战数信息验证 智能设备操作系统身份识别信息的真实性 A.2鉴别码交互流程 鉴别码的生成可采用以下两种模式中的一种: -挑战应答模式 -时间截模式 为保证智能设备发送的身份识别信息的完整性,生成鉴别码时可采用附加的信息(如设备端生成的 哈希值等)保证数据完整性 两种模式下鉴别码生成及下发流程如下 挑战应答模式下的鉴别码交互流程如图A.l所示
GB/T37743一2019 智能设备操作 互联网服务提 菜罐份别 智能设备 供商平省 服务平台 1.请求挑战数 2.请求挑战数 3.返回挑战数 4.返回挑战数 5.生成额外的认证数据(可选 6.生成认证码 7.发送认证码 B,生成额外的认证数据(可选) 发送认证码及额外的认证数据 0.认证码验证 l.返回验证结果 12.业务处理 13.返回业务处理结果 注基于挑战应答模式生成鉴别码,可选择携带额外数据参与设备鉴别码的签名运算 图A.1挑战应答模式下的鉴别码交互流程 b时间戳模式下的鉴别码交互流程如图A.2所示 智能设备操作 互联网服务提 智能设备 系统身份识别 供商平省 服务平台 1.状取时间戳 2.生成额外的认证数据 3.生成认证码 4.发送认证码 生成额外的认证数据(可选 6.,发送认证码及额外的认证数据 7.认证码验证 8.返回验证结果 9.业务处理 0.返回业务处理结果 注:基于时间截模式生成鉴别码,可选择携带额外数据参与设备鉴别码的签名运算 时间戳可以由设备端生成,或 由互联网服务提供商平台发送给设备端 图A.2时间戳模式下的鉴别码交互流程
GB/37743一2019 附录 B 资料性附录 智能设备操作系统身份识别服务接口工作流程 智能设备操作系统身份识别服务接口总体工作流程 B.1 智能设备身份识别服务接口总体工作流程如图B.1所示 智能设备操作系统身 产线预置许可证申请 产线预置接口调用 份识别服务接口训角 图B.1智能设备操作系统身份识别服务接口总体工作流程 为能够实现智能设备操作系统身份识别信息在不同实体之间的传输,智能设备操作系统身份识别 服务接口申请方需要按照产线预置许可证申请、产线预置接口调用、智能设备操作系统身份识别服务接 口调用的工作流程执行 B.2产线预置许可证申请流程 为能够使用产线预置接口,智能设备操作身份识别信息申请者需向身份识别服务平台提供方申请 产线预置许可证 产线预置许可证由智能设备操作系统身份识别信息申请者申请,智能设备操作系统 身份识别信息申请者恨据实际生产需求,填写相应申请材料并提交到智能设备操作系统身份识别服务 平台审批,智能设备操作系统身份识别服务平台通过审批以后,下发许可证给智能设备操作系统身份识 别信息申请者 申请流程如图B.2所示 智能设备操作系统 智能设备操作系统 身份识别信息中请 身份别务平 .提交预置许可证申请 2.申请审批 3.下发预置许可证 图B.2产线预置许可证申请流程 图B.2描述了由智能设备操作系统身份识别使用方发起申请至发送预置许可证到智能设备操作系 统身份识别信息预置产线的过程,具体如下: 智能设备操作系统身份识别信息申请者向智能设备操作系统身份识别服务平台提交预置许可 a 证申请 申请材料内容应包括但不限制于 烧录身份识别信息的芯片型号; 1D 22 预置产线许可证对应的公钥
GB/T37743一2019 身份识别信息采用的密钥类型 3 4 申请身份识别信息的厂商名称; 搭载身份识别信息的产品名称; 5 申请身份识别信息的用途说明; 6 7T 计划申请的身份识别信息数量 b 智能设备操作系统身份识别服务平台对申请进行审批并生成许可证 智能设备操作系统身 份识别服务平台应提供身份使用者编码生成功能 智能设备操作系统身份识别服务平台下发预置许可证到智能设备操作系统身份识别信息申 c 请者 B.3产线预置接口调用流程 产线预置接口工作流程如图B.3所示 智能设备操作 智能设备身份 系统身份识别 智能设备 预置产线 服务平台 1.上传产线预置许可证井请求ID 2.验证产线预置许可证 3.下发身份识别预置数据 4.校验身份识别预置数据 5.预置身份识别数据至设备中 6.返回预置结果 7.返回预置结果 图B.3智能设备操作系统身份识别信息产线预置接口工作流程 图B.3描述了由智能设备操作系统身份识别信息预置产线发起申请,完成智能设备操作系统身份 识别信息预置数据获取及预置到身份识别信息载体中的过程 工作流程如下 智能设备操作系统身份识别信息预置产线向智能设备操作系统身份识别服务平台提交产线预 a 置许可证并请求平台批量下发身份识别预置数据 b 智能设备操作系统身份识别服务平台验证产线预置许可证 智能设备操作系统身份识别服务平台下发身份识别预置数据给智能设备操作系统身份识别信 息预置产线 根据设备端采用的加密算法不同,下发的身份预置数据可采用以下两种形式: D及对称密钥信息 1 2 D及设备非对称私钥信息 智能设备预置产线对平台下发的身份识别预置数据进行校验,确保数据的真实性和有效性 d 智能设备返回身份识别数据预置结果给智能设备操作系统身份识别信息预置产线 e fD 智能设备操作系统身份识别信息预置产线透传预置结果给智能设备操作系统身份识别服务 平台 10
GB/37743一2019 B.4智能设备操作系统身份识别服务接口调用流程 当智能设备操作系统需要与其他实体传输身份识别信息时,其接口工作流程如图B.4所示 智能 设备操作系统身份识别服务接口中传递的身份识别信息生存周期按照附录C实现 瓦联网 智能设备 服务平台 1.生产认证码 2求智熊设各操作系统身经识别整还眼务 3.请求智能设备操作系统身份识别验证服务 4.身份识别验证 5 返回身份识别验证结果 6.返回身份识别验证结果 图B.4智能设备操作系统身份识别服务接口流程图 产线激活之后,当智能设备接人到互联网服务平台时,由智能设备操作系统身份识别服务平台进行 审核的身份识别流程,接口工作流程如下 智能设备生成身份识别鉴别码,鉴别码交互流程参照A.2; a b 智能设备发送身份识别信息到互联网服务平台并请求进行身份识别验证服务; c 互联网服务平台转发身份识别服务请求到智能设备操作系统身份识别服务平台; 智能设备操作系统身份识别服务平台解析请求中的身份识别鉴别码 d 智能设备操作系统身份识别服务平台返回身份识别结果给互联网服务平台 e 互联网服务平台转发身份识别结果至智能设备 f 为保证智能设备发送的身份识别信息的真实性和有效性,智能设备发送的身份识别信息中应包含 设备D及整别妈信息 11
GB/T37743一2019 录 附 C 规范性附录) 智能设备操作系统身份识别信息服务生存周期 智能设备操作系统身份识别信息服务生存周期见图C.1 产线激活 产线烧录 身份识别信息 身价识别信息 身份识别信息 产线使能 激活及识别 初始花 更新 Ao 超期未激活 或激精尖败 申请注销 废弃 锁定 开始 图c.1智能设备操作系统身份识别信息服务生存周期 智能设备操作系统身份识别信息申请者在线提交身份识别信息申请并获得通过,智能终端操作系 统身份识别服务平台根据智能设备操作系统身份识别信息申请者申请的配额和相关的参数如厂商编 号、芯片型号,加密算法)来初始化身份识别信息数据库,并给智能设备操作系统身份识别信息申请者返 回证书,智能终端操作系统身份识别信息申请者凭借此证书可访问智能终端操作系统身份识别服务平 台并获取已初始化的身份识别信息 智能设备操作系统身份识别服务接口中传递的身份识别信息生存 周期按照本附录实现 生存周期各状态含义及其流转触发时间如下 身份识别信息初始化:智能设备操作系统身份识别信息申请者在线获取证书后进人身份识别 H 信息初始化状态 流转触发事件如下: 当开始产线烧录时,进人产线使能状态 1！ 22 当超期未烧录或烧录失败时,进人废弃状态 产线使能:从智能终端操作系统身份识别服务平台读取身份识别信息,烧录到设备中并给智 b 能终端操作系统身份识别服务平台回报烧录成功 流转触发事件如下: 当产线发起激活请求后,进人身份识别信息激活及识别状态; 当设备超期未激活或激活失败,进人废弃状态 身份识别信息激活及注册识别;智能设备操作系统身份识别信息申请者完成烧录后,向智能设 备操作系统身份识别平台发送激活请求,服务端可调用产线激活接口实现智能设备服务与身 份识别信息的绑定 在该状态智能终端操作系统身份识别服务平台将提供身份认证等服务 流转触发事件如下 当设备发起注销申请后,进人废弃状态; 1) 2)当设备发出异常报警或锁定请求后,进人锁定状态; 3)设备可以接收智能设备操作系统身份识别平台的更新数据进行身份识别信息更新 d 锁定;该设备被锁定,智能终端操作系统身份识别服务平台不为其提供认证服务(返回认证失 12
GB/37743一2019 败) 流转触发事件如下: 1 当设备发起注销申请时,进人废弃状态 2)当设备发起解锁请求后,进人身份是被信息激活及识别状态 废弃;出错、申请注销后的状态,智能终端操作系统身份识别服务平台不为其提供认证服务(返 回认证失败).

了解智能设备操作系统身份识别服务接口GB/T37743-2019

随着智能设备应用领域的不断拓展，人们对于智能设备身份识别方面的需求也越来越高。而在智能设备操作系统中，身份识别服务接口则是实现这一功能的重要途径之一。

为了规范智能设备操作系统身份识别服务接口的设计与使用，国家标准化管理委员会发布了《信息技术智能设备操作系统身份识别服务接口GB/T37743-2019》。该规范旨在规定身份识别服务接口的定义、功能、接口设计、接口实现、测试方法等方面的要求，从而提高智能设备身份识别服务的安全性、稳定性和互操作性。

该规范主要包括以下内容：

1. 术语和定义
2. 概述
3. 功能要求
4. 接口设计
5. 接口实现
6. 测试方法
7. 质量控制要求
8. 标识、包装、运输与存储
9. 使用说明书要求

通过对这些方面的规范，人们可以更加清晰地了解智能设备操作系统身份识别服务接口的相关信息，从而更好地进行开发、使用和维护。

总之，随着智能设备应用领域的不断扩展和深入，智能设备身份识别的需求也越来越大。而《信息技术智能设备操作系统身份识别服务接口GB/T37743-2019》的发布，则为其规范化、标准化提供了重要的保障。

信息技术智能设备操作系统身份识别服务接口的相关资料

和信息技术智能设备操作系统身份识别服务接口类似的标准

GB/T37743-2019

信息技术智能设备操作系统身份识别服务接口

2022/7/30 19:12:30 现行