網(wǎng)絡安全技術 網(wǎng)絡身份認證公共服務 應用接入規(guī)范 征求意見稿

1GB/TXXXXX—XXXX網(wǎng)絡安全技術網(wǎng)絡身份認證公共服務應用接入規(guī)范本文件給出了多種應用接入國家網(wǎng)絡身份認證公共服務平臺的總體接入框架、接入流程和安全測試方法，規(guī)定了接入國家網(wǎng)絡身份認證公共服務平臺的應用服務的安全要求。本文件適用于對接國家網(wǎng)絡身份認證公共服務平臺的應用服務的設計、開發(fā)、測試、運行。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239信息安全技術網(wǎng)絡安全等級保護基本要求GB/T28448信息安全技術網(wǎng)絡安全等級保護測評要求GB/T35273信息安全技術個人信息安全規(guī)范GB/T37092信息安全技術密碼模塊安全要求GB/T38636信息安全技術傳輸層密碼協(xié)議（TLCP）GB/T42573信息安全技術網(wǎng)絡身份服務安全技術要求GB/TXXXX-XXXX國家網(wǎng)絡身份認證公共服務網(wǎng)絡身份認證服務接口技術要求3術語和定義3.1術語和定義下列術語和定義適用于本文件。3.1.1網(wǎng)絡身份networkidentity在網(wǎng)絡空間中可以唯一識別實體的一組屬性。3.1.2國家網(wǎng)絡身份認證公共服務publicserviceofnationalnetworkidentityauthentication國家根據(jù)法定身份證件信息，依托國家統(tǒng)一建設的網(wǎng)絡身份認證公共服務平臺，為自然人提供申領網(wǎng)絡身份符號、網(wǎng)絡身份認證憑證申領以及進行身份核驗等服務。注：本文件所稱法定身份證件包括居民身份證、定居國外的中國公民的護照、港澳居民來往內地通行證、臺灣居民來往大陸通行證、港澳居民居住證、臺灣居民居住證、外3.1.3網(wǎng)絡身份符號networkidentitysymbol與自然人個人身份信息一一對應，由字母和數(shù)字組成、不含明文身份信息的符號，可用于在互聯(lián)網(wǎng)服務及有關部門、行業(yè)管理、服務中非明文登記、核驗自然人身份。2GB/TXXXXX—XXXX3.1.4網(wǎng)絡身份認證憑證networkidentityauthenticationcertificate承載網(wǎng)號及自然人非明文身份信息，可用于在互聯(lián)網(wǎng)服務及有關部門、行業(yè)管理、服務中非明文登記、核驗自然人身份。3.1.5網(wǎng)絡身份應用標識networkidentityforapplication由國家網(wǎng)絡身份認證公共服務平臺生成，供接入機構關聯(lián)自然人的編碼。3.1.6國家網(wǎng)絡身份認證公共服務平臺publicserviceplatformofnationalnetworkidentityauthentication國家統(tǒng)一建設的，提供真實身份信息核驗、真實身份認證、網(wǎng)絡身份簽發(fā)、網(wǎng)絡身份核驗、網(wǎng)絡身份認證等功能的關鍵信息基礎設施。3.1.7國家網(wǎng)絡身份認證移動客戶端nationalnetworkidentityauthenticationmobileapplication為自然人提供申領網(wǎng)號、網(wǎng)證等和相關管理服務的移動客戶端。3.1.8接入機構accessorganization接入國家網(wǎng)絡身份認證公共服務平臺，使用國家網(wǎng)絡身份認證公共服務的組織機構。3.1.9接入機構應用系統(tǒng)accessapplicationsystem由接入機構運營的，使用國家網(wǎng)絡身份認證公共服務的應用系統(tǒng)。注：一般包括客戶端和服務端。3.1.10安全接入設備Secureaccessdevice具備數(shù)據(jù)加密、解密和簽名、驗簽等功能，用于在國家網(wǎng)絡身份認證公共服務平臺和接入機構應用系統(tǒng)之間建立安全通道、交互信息的網(wǎng)絡安全專用設備。3.1.11機構證書Organizationcertificate簽發(fā)給機構（例如，證書認證機構或者屬性授權機構）的證書。[來源：GB/T25069—2022，3.258]3.1.12應用證書Applicationcertificate簽發(fā)給第三方應用服務的數(shù)字證書。3GB/TXXXXX—XXXX3.1.13設備證書Devicecertificate簽發(fā)給安全接入設備的數(shù)字證書。4接入框架4.1概述總體接入框架包括國家網(wǎng)絡身份認證公共服務平臺（以下簡稱“公共服務平臺”）和接入機構應用系統(tǒng)。接入機構應用系統(tǒng)應借助安全接入通道，建立安全連接訪問公共服務平臺，如圖1所示。安全接入通道通過安全接入設備或接入轉發(fā)平臺建立。圖1應用服務總體接入框架國家網(wǎng)絡身份認證公共服務客戶端、應用接入管理系統(tǒng)、應用安全管理系統(tǒng)是公共服務平臺的重要組成部分。國家網(wǎng)絡身份認證公共服務客戶端包括國家網(wǎng)絡身份認證APP、真實身份信息獲取控件、WEB客戶端。接入機構可通過應用接入管理系統(tǒng)完成接入的全流程工作。a)接入機構應用系統(tǒng)客戶端為APP時，通過集成“國家網(wǎng)絡身份認證控件”調取“國家網(wǎng)絡身份認證APP”,獲取“網(wǎng)證”及國家網(wǎng)絡身份認證公共服務的口令（可選）等加密數(shù)據(jù)；通過集成“真實身份信息獲取控件”，獲取身份信息加密數(shù)據(jù)；通過集成“人臉圖像核驗控件”，獲取活體人像數(shù)據(jù)。接入機構應用系統(tǒng)客戶端通過掃碼設備，掃描“國家網(wǎng)絡身份認證APP”中的“網(wǎng)證二維碼”，獲取“網(wǎng)證”加密數(shù)據(jù)；通過人像采集設備獲取人像數(shù)據(jù)。通過上述兩種方式，接入機構應用系統(tǒng)客戶端將獲取的數(shù)據(jù)加密發(fā)送至接入機構應用系統(tǒng)服務端。4GB/TXXXXX—XXXXb)接入機構應用系統(tǒng)客戶端為小程序時，通過小程序平臺APP調取“國家網(wǎng)絡身份認證APP”,獲取“網(wǎng)證”及國家網(wǎng)絡身份認證公共服務的口令（可選）等加密數(shù)據(jù)，按照業(yè)務需要由小程序平臺APP采集活體人像。小程序獲取的數(shù)據(jù)可發(fā)送至接入機構應用系統(tǒng)服務端。c)接入機構應用系統(tǒng)客戶端為WEB客戶端時，通過國家網(wǎng)絡身份認證WEB客戶端交互，獲取網(wǎng)證等加密數(shù)據(jù)，實現(xiàn)網(wǎng)絡身份認證服務。4.2接入模式接入模式分為直連模式和接入轉發(fā)模式。a)直連模式：接入機構應用系統(tǒng)服務端直接與公共服務平臺連接。在業(yè)務過程中，接入機構應用系統(tǒng)服務端應部署安全接入設備，安全接入設備內置公共服務平臺簽發(fā)的機構證書。安全接入設備與公共服務平臺建立安全可靠的業(yè)務訪問通道。接入機構應用系統(tǒng)服務端通過安全接入設備發(fā)送網(wǎng)絡身份認證請求數(shù)據(jù)，訪問公共服務平臺的網(wǎng)絡身份認證服務接口，認證通過后，接收公共服務平臺返回的網(wǎng)絡身份認證響應數(shù)據(jù)，并向接入機構應用系統(tǒng)客戶端返回認證結果。b)接入轉發(fā)模式：不具備直連條件，通過接入轉發(fā)平臺的安全設備與公共服務平臺連接。在業(yè)務過程中，接入機構應用系統(tǒng)服務端連接接入轉發(fā)平臺，接入轉發(fā)平臺應部署安全接入設備，安全接入設備內置公共服務平臺簽發(fā)的機構證書。安全接入設備與公共服務平臺建立安全可靠的業(yè)務訪問通道。接入機構應用系統(tǒng)服務端通過接入轉發(fā)平臺的安全接入設備發(fā)送網(wǎng)絡身份認證請求數(shù)據(jù)，訪問公共服務平臺的網(wǎng)絡身份認證服務接口，認證通過后，接收公共服務平臺返回的網(wǎng)絡身份認證響應數(shù)據(jù)，并向接入機構應用系統(tǒng)客戶端返回認證結果。4.3接入類型按照接入模式不同，接入類型具體分類見表1，具體網(wǎng)絡應用可根據(jù)自身需要選擇以下接入類型。表1接入類型分類表12發(fā)345GB/TXXXXX—XXXX5在自身身份認證能力（如CA）的基礎上集64.4接入流程服務接入分為服務開通、服務調整、服務注銷、證書延期四類。a）服務開通包括接入申請、接入審批、技術對接、協(xié)議簽署、服務上線五個階段。服務內容包括首次接入、新增網(wǎng)絡應用接入、臨時性接入、重大事項變更，1）接入申請階段：接入機構可在應用接入管理系統(tǒng)選擇相應服務開通類型，按照應用接入管理系統(tǒng)要求提供對應要求材料。2)接入審批階段：公共服務平臺審核材料合規(guī)性、安全技術條件，評估服務需求和服務量，審核審批通過發(fā)放接入告知書。3)技術對接階段：安全接入設備部署及證書安裝，測試數(shù)據(jù)準備、開展聯(lián)調測試。4)協(xié)議簽署階段：雙方簽署協(xié)議或者合作備忘錄。5)服務上線階段：可以接入正式線，對用戶提供服務。b)服務調整包括調整申請、調整審批、測試聯(lián)調、服務上線四個階段。c)服務注銷包括注銷申請、服務注銷兩個階段。d)證書延期包括延期申請、延期審核、證書更新三個階段。6GB/TXXXXX—XXXX圖2主要接入流程圖5接入技術要求5.1服務接口要求服務接口技術要求應符合國家標準GB/TXXXX-XXXX《國家網(wǎng)絡身份認證公共服務網(wǎng)絡身份認證服務接口技術要求》。5.2數(shù)據(jù)共享要求數(shù)據(jù)共享應遵循以下要求：a）接入機構申請個人信息數(shù)據(jù)共享，應提供明確的法律法規(guī)政策依據(jù)，如核驗、登記用戶的真實身份信息應有法律法規(guī)政策的明確支撐；7GB/TXXXXX—XXXXb）接入機構共享和使用個人信息前應取得信息主體明確授權同意，當以顯著方式、清晰易懂的語言真實、準確、完整地向信息主體本人告知下列事項：信息來源、共享方式、共享和使用的具體信息項、應用場景、應用目的、共享和使用期限。接入機構變更共享和使用的具體信息項、應用場景、應用目的、應用范圍、共享和使用期限的，應當重新申請共享并獲得個人授權；c）根據(jù)法律法規(guī)政策要求，接入機構需遵循最小、必要的原則，一事一議深入分析業(yè)務應用場景，充分論證應用場景的實際需求，應具有明確、清晰、具體的個人信息處理目的；d）接入機構申請數(shù)據(jù)共享時，應當基于應用場景明確需共享的信息項、使用用途及范圍（如，民航登記個人身份信息，用于安檢管理等）。接入機構應依法依規(guī)使用共享的個人信息，不得濫用、非授權使用、未經許可擴散或泄露所獲取的個人信息，不得直接或以改變數(shù)據(jù)形式等方式提供給第三方，也不得用于或變相用于其他目的，不得超范圍使用，并接受外部監(jiān)督；e）以數(shù)據(jù)接口方式開展信息共享。接入機構首先對接國家網(wǎng)絡身份認證公共服務，經用戶授權對其進行網(wǎng)絡身份認證后，獲得國家網(wǎng)絡身份認證公共服務平臺返回的網(wǎng)絡身份認證憑據(jù)，再根據(jù)網(wǎng)絡身份認證憑據(jù)調用共享信息接口獲取約定的數(shù)據(jù)項，同時提交接入機構相關業(yè)務信息，完成自身業(yè)務流程；f）為便于共享信息安全管理和溯源，信息共享時接入機構應提供辦事機構、辦理事項、辦理時間等業(yè)務信息；g）接入機構使用共享信息應遵循國家有關信息安全管理的規(guī)定，建立健全共享信息安全保障機制，落實安全管理責任，加強信息提供渠道和使用環(huán)境的安全防護，切實保障共享、傳輸和使用安全。6安全要求6.1概述安全要求分為應用客戶端安全要求和應用服務端安全要求。6.2應用客戶端安全要求6.2.1總體安全要求應用客戶端總體安全要求包括：a)應用客戶端應保護個人信息安全，獲取終端用戶授權同意后再開始收集個人信息；b)應用客戶端應采取技術手段，做好身份鑒別、訪問控制、審計日志、數(shù)據(jù)安全、代碼安全、通信安全和惡意行為防范；c)應用客戶端應進行安全風險檢測和安全評估，確保安全能力達到保障公民個人信息和公共服務平臺安全的水平。6.2.2身份鑒別應根據(jù)業(yè)務需要對用戶進行身份真實性鑒別。依托國家網(wǎng)絡身份認證公共服務進行身份鑒別時，應用客戶端應跳轉至國家網(wǎng)絡身份認證APP。應用APP身份鑒別應符合GB/T22239第8.1.4.1節(jié)、GB/T28448第8.1.4.1節(jié)中等保三級身份鑒別相關要求。應用身份鑒別技術要求包括但不限于：a)對需要做用戶身份鑒別的業(yè)務功能，應用應對用戶身份進行鑒別，并提供鑒別失敗時處理措施，如失敗提示等；b)應對用戶身份進行鑒別和標識，標識應具有唯一性；c)應用宜對注冊用戶進行真實身份信息認證；8GB/TXXXXX—XXXXd)當非法鑒別請求、會話超時、連接超時、不完整連接等異常狀態(tài)發(fā)生時，應用應保證會話進入休眠狀態(tài)、鎖定狀態(tài)，并注銷或中斷連接；e)宜采用公共服務平臺提供的用戶網(wǎng)絡應用身份標識，用戶根據(jù)業(yè)務需要允許其同時在一個或多個終端上登錄；f)宜具備密碼強度和密碼時效性檢查機制，根據(jù)業(yè)務安全需要可適時啟用此檢查機制；g)不應內置默認賬戶及默認口令；h)用戶修改或找回密碼時，應用應具備驗證機制；i)在使用過程中涉及驗證碼（包括圖形和手機短信驗證碼）時，驗證碼應在應用的服務器端生成，圖形驗證碼宜具備一定的抗機器識別能力，短信驗證碼應具有防重放攻擊機制。6.2.3個人信息保護個人信息保護應符合GB/T35273的要求。6.2.4訪問控制應用訪問控制技術要求包括但不限于：a)應嚴格控制授權訪問的內容，不應有超出授權范圍的訪問，當接入機構通過應用訪問被保護的用戶數(shù)據(jù)時，應先獲得用戶許可或同意；b)未經用戶許可，應用不應修改終端資源配置，不應修改和刪除終端數(shù)據(jù)；c)若未經用戶許可，應用不應訪問終端信息和終端資源；d)根據(jù)業(yè)務需要，依據(jù)權限互斥的原則，保證用戶、權限合理對應關系，避免任何可能產生安全問題的權限分配方式或結果；e)被用戶賦予或修改權限后，宜不需重啟系統(tǒng)，應用相應的權限即可生效；f)不應攔截或屏蔽系統(tǒng)或設備產生的用戶提示信息或安全警告；g)不應在安全警告顯示前，利用信息或警告誤導或欺騙用戶；h)不應模擬系統(tǒng)信息或安全警告誤導用戶。6.2.5審計日志應用審計日志技術要求包括但不限于：a)應在客戶端記錄用戶使用的日志信息，且日志保存期限不宜少于6個月，如有服務器端，服務器也應記錄相應日志；b)應以合適的方式向用戶展示相關日志信息；c)服務器端日志中禁止記錄用戶敏感信息數(shù)據(jù)，如需要記錄敏感信息數(shù)據(jù)，應進行脫敏、去標識化和匿名化等處理。6.2.6數(shù)據(jù)安全應用數(shù)據(jù)安全技術要求包括但不限于：a)應用需在終端設備上存儲數(shù)據(jù)的，宜存儲于加密文件區(qū)，應保障加密密鑰的安全；b)未經明示用戶且獲得授權的情況下，應用不應收集或修改終端數(shù)據(jù)；c)不應在數(shù)據(jù)存儲、處理、傳輸過程中非法截留或竊取數(shù)據(jù)；d)涉及敏感數(shù)據(jù)需加密存儲，不應采用明文形式存儲或網(wǎng)絡傳輸敏感數(shù)據(jù)；e)對個人敏感信息、企業(yè)敏感信息等關鍵信息的展示，強制要求脫敏處理；f)應用如有數(shù)據(jù)刪除功能，在刪除數(shù)據(jù)前應明確提示用戶，并由用戶確認刪除操作；9GB/TXXXXX—XXXXg)當且僅當APP為前臺活動頁面時，才可進行登陸操作。應采用安全機制保護賬號、密碼和支付信息等敏感數(shù)據(jù)的輸入與顯示，除非用戶主動允許外，不應明文顯示賬號、密碼等敏感數(shù)據(jù)，涉及安全要求較高的重要敏感信息，宜采用安全鍵盤作為數(shù)據(jù)的輸入接口；h)未經用戶授權時，不應傳輸敏感數(shù)據(jù)，在得到用戶授權后傳輸?shù)拿舾袛?shù)據(jù)，應采用加密等安全技術進行傳輸，賬號、密碼傳輸要防止重放攻擊和中間人攻擊；i)未經用戶授權時，不應獲取定位、錄音、拍照、攝像等相關數(shù)據(jù)；j)未經用戶授權時，不應直接或間接讀取、修改、傳輸短信、彩信、通訊錄、通訊記錄、位置信息、上網(wǎng)記錄和日程表數(shù)據(jù)等用戶敏感數(shù)據(jù)；k)使用用戶信息應遵循合法、正當、必要的原則，明示收集使用信息的目的、方式和范圍，并經用戶同意。6.2.7代碼安全應用代碼安全技術要求包括但不限于：a)宜采取反編譯防護、反盜版防護等措施防止被破解、篡改或二次打包，保護源代碼安全；b)所引用或包含接入機構代碼或開源代碼，應進行接入機構代碼或開源代碼安全加固，應對已公布的安全漏洞及時更新；c)代碼中不應存在已公布的高危風險漏洞；d)應禁止內部組件被外部程序調用，如需供外部調用，應檢查調用者是否符合訪問控制機制。6.2.8通信安全應用通信安全要求包括但不限于：a)應用運行過程中，如果有來電、語音、視頻請求時，在請求處理完畢后，根據(jù)實際安全風險決定是否繼續(xù)原來的功能；b)應用應能處理網(wǎng)絡連接中斷，并提示用戶連接中斷的情況；c)網(wǎng)絡異常(如通訊切換或中斷)時，應用應能及時將異常情況通報給用戶；d)網(wǎng)絡通信超時，應用應發(fā)送超時提示信息給用戶；e)當不再需要使用網(wǎng)絡連接時，應用應及時關閉或斷開連接，減少對網(wǎng)絡資源的占用；f)當用戶在公共免費網(wǎng)絡環(huán)境中使用應用，宜提醒用戶注意數(shù)據(jù)安全。6.2.9惡意行為防范6.2.9.1信息竊取未經用戶授權，應用不應獲取或存儲涉及用戶個人信息、銀行賬號信息、地址信息或其他非公開信息。6.2.9.2惡意傳播應用防范惡意傳播包括但不限于：a)不應具有自動通過復制、傳染、投遞、下載等方式將自身及其衍生物或其他軟件進行擴散的行為；b)不應強制推薦用戶下載或安裝其他相關或無關的軟件；c)不應強制用戶推薦本應用或其他軟件，不應強制用戶做關注或分享操作，用戶許可的情況d)不應強行彈廣告窗口、浮窗廣告、推送廣告等，用戶許可的情況除外。GB/TXXXXX—XXXX6.2.9.3功能調用涉及用戶權益、個人信息保護等內容時，未授權的情況下，應用不應調用服務端的相關功能資源。6.2.9.4未授權的惡意行為應用未經授權，不應具有包括但不限于以下的惡意行為：a)長期駐留在系統(tǒng)內存中；b)擅自添加、刪除、修改收藏夾和快捷方式等；c)用戶無法正常退出、卸載、刪除軟件；d)私自啟動、后臺運行、結束應用進程或系統(tǒng)服務，包括但不限于藍牙、攝像、位置定位等；e)在用戶不知情情況下，連接到惡意IP地址或僵尸網(wǎng)絡，跳轉無關的服務器等。6.3應用服務端安全要求6.3.1總體安全要求應用服務端總體安全要求包括：a)業(yè)務機構應用系統(tǒng)服務端的安全等級保護應符合GB/T22239的要求；b)采用的密碼產品應達到GB/T37092二級及以上要求；c)應用服務應采用必要的安全產品和技術手段保護其計算環(huán)境、網(wǎng)絡邊界、網(wǎng)絡通信的安全性，并建立和執(zhí)行配套的安全管理制度；d)應用服務應完成網(wǎng)絡安全等級保護的定級、備案和測評，以及商用密碼應用安全性評估。6.3.2接入安全應用服務端接入安全要求包括：a)應用服務應通過安全接入設備接入國家網(wǎng)絡身份認證公共服務；b)在建立網(wǎng)絡會話連接時實現(xiàn)設備認證、接入管控和網(wǎng)絡層傳輸安全防護；c)在調用國家網(wǎng)絡身份認證公共服務接口時實現(xiàn)應用認證、權限管控和應用層重要數(shù)據(jù)傳輸?shù)陌踩雷o；d)應用服務應通過安全接入設備接受國家網(wǎng)絡身份認證公共服務的統(tǒng)一監(jiān)管。6.3.3身份認證應用服務端身份認證要求包括：a)應用服務端接入應采用公共服務平臺簽發(fā)的證書作為業(yè)務證書進行身份認證；b)應用服務應向公共服務平臺指定機構申請簽發(fā)數(shù)字證書；c)應用服務接入前應完成采用基于數(shù)字證書的身份認證，保證應用服務身份的合法性；d)應用服務的安全責任主體、應用服務以及安全接入設備應具有由公共服務平臺頒發(fā)的以數(shù)字證書為載體的身份標識（機構證書、應用證書和設備證書）；e)應用服務的安全責任主體應借助安全接入設備保護對應私鑰數(shù)據(jù)的全生命周期安全；f)在申請開通國家網(wǎng)絡身份認證公共服務、注冊/申請/更新/撤銷設備證書和應用證書時，應用服務的安全責任主體應基于機構證書實現(xiàn)自身身份認證；g)在建立網(wǎng)絡會話連接前，應用服務側部署的安全接入設備應通過單包授權技術對公共服務平臺實現(xiàn)初步認證，獲得建立網(wǎng)絡會話連接的授權；GB/TXXXXX—XXXXh)在獲得授權后建立網(wǎng)絡會話連接時，安全接入設備應與公共服務平臺實現(xiàn)基于設備證書的雙向身份鑒別；i)在調用國家網(wǎng)絡身份認證公共服務接口時，應基于應用證書實現(xiàn)對應用服務的身份鑒別和權限管控。6.3.4傳輸安全應用服務端傳輸安全要求包括：a)應用服務與公共服務平臺通信過程中，應保證重要數(shù)據(jù)傳輸?shù)臋C密性和完整性；b)網(wǎng)絡層協(xié)議應遵循GB/T38636規(guī)定的傳輸層密碼協(xié)議要求；c)應用服務與國家網(wǎng)絡身份認證公共服務進行數(shù)據(jù)傳輸時，應基于設備證書和合規(guī)的密碼協(xié)議進行網(wǎng)絡層數(shù)據(jù)機密性和完整性保護；d)應基于應用證書和數(shù)字簽名技術保護應用層數(shù)據(jù)機密性和完整性保護。6.3.5監(jiān)管接收應用服務端監(jiān)管接收要求包括：a)應用服務端接入應通過安全接入設備實現(xiàn)監(jiān)管機構的監(jiān)管指令接收；b)應用服務應通過安全接入設備上報本地運行狀態(tài)數(shù)據(jù)等監(jiān)管信息；c)接受國家網(wǎng)絡身份認證公共服務的統(tǒng)一監(jiān)管，并配合執(zhí)行證書撤銷、訪問限流、熔斷等監(jiān)管措施。7測試方法7.1服務接口測試服務接口測試方法應符合國家標準GB/TXXXX-XXXX《國家網(wǎng)絡身份認證公共服務網(wǎng)絡身份認證服務接口技術要求》。7.2應用客戶端安全測試7.2.1身份鑒別7.2.1.1測試方法測試方法包括：a)查看是否能夠根據(jù)業(yè)務需要對用戶進行身份真實性鑒別，依托國家網(wǎng)絡身份認證公共服務進行身份鑒別時，查看應用客戶端是否跳轉至網(wǎng)絡身份認證APP。b)查看應用APP身份鑒別是否符合GB/T22239第8.1.4.1節(jié)、GB/T28448第8.1.4.1節(jié)中等保三級身份鑒別相關要求。c)驗證應用身份鑒別技術是否滿足以下要求：1)對需要做用戶身份鑒別的業(yè)務功能，應用是否對用戶身份進行鑒別，并提供鑒別失敗時處理措施，如失敗提示等；2)是否根據(jù)業(yè)務需要提供登錄控制模塊，對用戶身份進行鑒別和標識；3)應用是否對注冊用戶進行真實身份信息認證；4)當非法鑒別請求、會話超時、連接超時、不完整連接等異常狀態(tài)發(fā)生時，應用是否保證會話進入休眠狀態(tài)、鎖定狀態(tài)，并注銷或中斷連接；GB/TXXXXX—XXXX5)用戶身份標識應具有唯一性，是否允許用戶同時在一個或多個終端上登錄；6)是否具備密碼強度和密碼時效性檢查機制，且能根據(jù)業(yè)務安全需要可適時啟用此檢查機制；7)是否內置有默認賬戶及默認口令；8)用戶修改或找回密碼時，應用是否具備驗證機制；9)在使用過程中涉及驗證碼，包括圖形和手機短信驗證碼，驗證碼是否在應用的服務器端生成，圖形驗證碼是否具備一定的抗機器識別能力，短信驗證碼是否具有防重放攻擊機制。7.2.1.2預期結果預期結果包括：a)對用戶進行了身份真實性鑒別，依托國家網(wǎng)絡身份認證公共服務進行身份鑒別時，應用客戶端跳轉至網(wǎng)絡身份認證APP。b)應用APP身份鑒別符合GB/T22239第8.1.4.1節(jié)、GB/T28448第8.1.4.1節(jié)中規(guī)定的等級保護三級相關要求。c)應用身份鑒別技術滿足以下要求：1)對需要做用戶身份鑒別的業(yè)務功能，應用對用戶身份進行了鑒別，并提供鑒別失敗時處理措施；2)提供登錄控制模塊，對用戶身份進行鑒別和標識；3)應用對注冊用戶進行了真實身份信息認證；4)當非法鑒別請求、會話超時、連接超時、不完整連接等異常狀態(tài)發(fā)生時，應用保證會話進入休眠狀態(tài)、鎖定狀態(tài)，并注銷或中斷連接；5)用戶身份標識具有唯一性，用戶可根據(jù)業(yè)務需要允許其同時在一個或多個終端上登錄；6)具備密碼強度和密碼時效性檢查機制，且能根據(jù)業(yè)務安全需要可適時啟用此檢查機制；7)未內置有默認賬戶及默認口令；8)用戶修改或找回密碼時，應用具備驗證機制；9)驗證碼在應用的服務器端生成，圖形驗證碼具備一定的抗機器識別能力，短信驗證碼具有防重放攻擊機制。7.2.2個人信息保護7.2.2.1測試方法查看個人信息保護是否符合GB/T35273的要求。7.2.2.2預期結果個人信息保護符合GB/T35273的要求。7.2.3訪問控制7.2.3.1測試方法查看應用訪問控制技術是否滿足以下要求：a)查看授權訪問的內容，是否有超出授權范圍的訪問，當接入機構通過應用訪問被保護的用戶數(shù)據(jù)時，是否先獲得用戶許可或同意；b)查看未經用戶許可，應用是否修改終端資源配置，是否修改和刪除終端數(shù)據(jù)；GB/TXXXXX—XXXXc)查看未經用戶許可，應用是否訪問終端信息和終端資源；d)查看是否根據(jù)業(yè)務需要，依據(jù)權限互斥的原則，保證用戶、權限合理對應關系，避免任何可能產生安全問題的權限分配方式或結果；e)查看被用戶賦予或修改權限后，是否需重啟系統(tǒng)，應用相應的權限即可生效；f)查看是否攔截或屏蔽系統(tǒng)或設備產生的用戶提示信息或安全警告；是否在安全警告顯示前，利用信息或警告誤導或欺騙用戶；g)查看是否模擬系統(tǒng)信息或安全警告誤導用戶；h)查看是否有其他訪問控制技術。7.2.3.2預期結果預期結果包括：應用訪問控制技術應滿足但不限于：i)沒有超出授權范圍的訪問，當接入機構通過應用訪問被保護的用戶數(shù)據(jù)時，需先獲得用戶許可或同意；j)未經用戶許可，應用不能修改終端資源配置，不能修改和刪除終端數(shù)據(jù)；k)若未經用戶許可，應用不能訪問終端信息和終端資源；l)用戶、權限對應關系合理，不存在任何可能產生安全問題的權限分配方式或結果；m)被用戶賦予或修改權限后，不需重啟系統(tǒng)，應用相應的權限即可生效；n)系統(tǒng)或設備產生的用戶提示信息或安全警告不會被攔截或屏蔽；安全警告顯示前，不會利用信息或警告誤導或欺騙用戶；o)不存在模擬系統(tǒng)信息或安全警告誤導用戶的情況。7.2.4審計日志7.2.4.1測試方法測試方法包括：a)查看是否記錄用戶使用的日志信息，查看日志保存期限，查看服務器是否記錄相應日志；b)查看是否以合適的方式向用戶展示相關日志信息；c)查看服務器端日志中是否記錄用戶敏感信息數(shù)據(jù)，查看敏感信息數(shù)據(jù)是否進行模糊化處理。7.2.4.2預期結果預期結果包括：a)記錄了用戶使用的日志信息，日志保存期限大于等于6個月，服務器記錄了相應日志；b)以合適的方式向用戶展示相關日志信息；c)服務器端日志中未記錄用戶敏感信息數(shù)據(jù)，根據(jù)需要記錄的敏感信息數(shù)據(jù)進行了模糊化處7.2.5數(shù)據(jù)安全7.2.5.1測試方法測試方法包括：a)查看未經用戶授權，應用是否從終端設備上的加密存儲區(qū)域中解密出加密數(shù)據(jù)的真實內容；b)查看未經明示用戶且獲得授權的情況下，應用是否收集或修改終端數(shù)據(jù)；c)查看在數(shù)據(jù)存儲、處理、傳輸過程中是否非法截留或竊取數(shù)據(jù)；GB/TXXXXX—XXXXd)查看敏感數(shù)據(jù)是否加密存儲以及加密強度；e)查看對個人信息、企業(yè)信息等關鍵信息的展示，是否脫敏處理；f)查看應用在刪除數(shù)據(jù)前是否明確提示用戶，刪除前是否由用戶確認刪除操作；g)查看保護賬號、密碼和支付信息等敏感數(shù)據(jù)的輸入與顯示方式；h)查看是否進行敏感數(shù)據(jù)的傳輸，傳輸時是否采用安全技術；i)查看未經用戶授權時，是否能獲取定位、錄音、拍照、攝像等相關數(shù)據(jù)；j)驗證未經用戶授權時，是否能直接或間接讀取、修改、傳輸短信、彩信、通訊錄、通訊記錄、位置信息、上網(wǎng)記錄和日程表數(shù)據(jù)等用戶敏感數(shù)據(jù)；k)查看使用用戶信息是否遵循合法、正當、必要的原則，明示收集使用信息的目的、方式和范圍，并經用戶同意。7.2.5.2預期結果預期結果包括：a)未經用戶授權，應用不能從終端設備上的加密存儲區(qū)域中解密出加密數(shù)據(jù)的真實內容；b)未經明示用戶且獲得授權的情況下，應用不能收集或修改終端數(shù)據(jù)；c)未在數(shù)據(jù)存儲、處理、傳輸過程中非法截留或竊取數(shù)據(jù)；d)敏感數(shù)據(jù)進行了加密存儲，且加密強度滿足要求；e)對個人信息、企業(yè)信息等關鍵信息的展示，嚴格進行了脫敏處理；f)應用在刪除數(shù)據(jù)前明確提示用戶，并由用戶確認刪除操作；g)采用安全機制保護賬號、密碼和支付信息等敏感數(shù)據(jù)的輸入與顯示，未使用明文顯示賬號、密碼等敏感數(shù)據(jù)，對重要敏感信息，采用安全鍵盤作為數(shù)據(jù)的輸入接口；h)未經用戶授權，不能傳輸敏感數(shù)據(jù)，在得到用戶授權后傳輸?shù)拿舾袛?shù)據(jù)，采用加密等安全技術進行傳輸，賬號、密碼傳輸采用了安全技術防止重放攻擊和中間人攻擊；i)未經用戶授權時，不能獲取定位、錄音、拍照、攝像等相關數(shù)據(jù)；j)未經用戶授權時，不能直接或間接讀取、修改、傳輸短信、彩信、通訊錄、通訊記錄、位置信息、上網(wǎng)記錄和日程表數(shù)據(jù)等用戶敏感數(shù)據(jù)；k)使用用戶信息遵循合法、正當、必要的原則，明示收集使用信息的目的、方式和范圍，并經用戶同意。7.2.6代碼安全7.2.6.1測試方法測試方法包括：a)查看源代碼安全保護措施；b)查看接入機構代碼或開源代碼安全性保護措施；c)測試代碼中風險漏洞情況；d)驗證內部組件是否能被外部程序調用。7.2.6.2預期結果預期結果包括：a)采取反編譯防護、反盜版防護等措施防止被破解、篡改或二次打包，保護源代碼安全；b)有安全保護措施提高接入機構代碼或開源代碼安全性，對已公布的安全漏洞及時進行了更新；GB/TXXXXX—XXXXc)代碼中不存在已公布的高危風險漏洞；d)內部組件禁止被外部程序調用，當內部組件供外部調用時，檢查調用者是否符合訪問控制機制。7.2.7通信安全7.2.7.1測試方法測試方法包括：a)查看應用運行過程中，如果有來電、語音、視頻請求時，應用處理方式；b)測試應用是否能處理網(wǎng)絡連接中斷；c)測試網(wǎng)絡異常(如通訊切換或中斷)時，應用處理方式；d)測試網(wǎng)絡通信超時的處理方式；e)測試當不再需要使用網(wǎng)絡連接時，應用是否能及時關閉或斷開連接；f)查看當用戶在公共免費網(wǎng)絡環(huán)境中使用應用，是否能提醒用戶注意數(shù)據(jù)安全。7.2.7.2預期結果預期結果包括：a)應用運行過程中，如果有來電、語音、視頻請求時，應用自動切換到后臺，優(yōu)先處理通訊請求，并在處理完畢后可正?；謴?，繼續(xù)原來的功能；b)應用能處理網(wǎng)絡連接中斷，并提示用戶連接中斷的情況；c)網(wǎng)絡異常時，應用能及時將異常情況通報給用戶；d)網(wǎng)絡通信超時，應用能發(fā)送超時提示信息給用戶；e)當不再需要使用網(wǎng)絡連接時，應用能及時關閉或斷開連接，減少對網(wǎng)絡資源的占用；f)當用戶在公共免費網(wǎng)絡環(huán)境中使用應用，能提醒用戶注意數(shù)據(jù)安全。7.2.8惡意行為防范7.2.8.1信息竊取7.2.8.1.1測試方法測試未經用戶授權，應用是否能夠獲取或存儲涉及用戶個人信息、銀行賬號信息、地址信息或其他非公開信息。7.2.8.1.2預期結果未經用戶授權，應用不能獲取或存儲涉及用戶個人信息、銀行賬號信息、地址信息或其他非公開信息。7.2.8.2惡意傳播7.2.8.2.1測試方法測試方法包括a)查看是否具有自動通過復制、傳染、投遞、下載等方式將自身及其衍生物或其他軟件進行擴散的行為；b)查看是否強制推薦用戶下載或安裝其他相關或無關的軟件；c)查看是否強制用戶推薦本應用或其他軟件，是否強制用戶做關注或分享操作；GB/TXXXXX—XXXXd)查看是否強行彈廣告窗口、浮窗廣告以及推送廣告等。7.2.8.2.2預期結果預期結果包括：a)不具有自動通過復制、傳染、投遞、下載等方式將自身及其衍生物或其他軟件進行擴散的行為；b)不存在強制推薦用戶下載或安裝其他相關或無關的軟件的情況；c)未經用戶許可，不強制用戶推薦本應用或其他軟件，不強制用戶做關注或分享操作；d)未經用戶許可，不強行彈廣告窗口、浮窗廣告以及推送廣告等。7.2.8.3功能調用7.2.8.3.1測試方法查看在未授權的情況下，應用是否調用服務端的資源。7.2.8.3.2預期結果在未授權的情況下，應用不能調用服務端的任何功能資源。7.2.8.4未授權的惡意行為7.2.8.4.1測試方法查看應用未授權的惡意行為情況。7.2.8.4.2預期結果應用未經授權，不具有以下的惡意行為：a)長期駐留在系統(tǒng)內存中；b)擅自添加、刪除、修改收藏夾和快捷方式等；c)用戶無法正常退出、卸載、刪除軟件；d)私自啟動、后臺運行、結束應用進程或系統(tǒng)服務，包括但不限于藍牙、攝像、位置定位等；e)在用戶不知情情況下，連接到惡意IP地址或僵尸網(wǎng)絡、跳轉無關的服務器等。7.3應用服務端安全測試7.3.1總體要求7.3.1.1測試方法測試方法包括：a)查看業(yè)務機構應用系統(tǒng)服務端是否符合GB/T22239和GB/T28448的等級保護相關要求；b)查看采用的密碼產品檢測報告及資質證書等；c)查看應用服務是否采用必要的安全產品和技術手段保護其計算環(huán)境、網(wǎng)絡邊界、網(wǎng)絡通信的安全性，并建立和執(zhí)行配套的安全管理制度；d)查看應用服務網(wǎng)絡安全等級保護的定級、備案和測評資料，以及商用密碼應用安全性評估報告。7.3.1.2預期結果GB/TXXXXX—XXXX預期結果包括：a)業(yè)務機構應用系統(tǒng)服務端達到GB/T22239和GB/T28448的相關要求；b)采用的密碼產品具有GB/T37092中的二級及以上要求檢測報告或資質證書；c)應用服務采用必要的安全產品和技術手段保護其計算環(huán)境、網(wǎng)絡邊界、網(wǎng)絡通信的安全性，并建立和執(zhí)行配套的安全管理制度；d)應用服務完成網(wǎng)絡安全等級保護的定級、備案和測評，以及商用密碼應用安全性評估。7.3.2接入安全7.3.2.1測試方法測試方法包括：a)查看應用服務接入國家網(wǎng)絡身份認證公共服務方式；b)查看在建立網(wǎng)絡會話連接時實現(xiàn)設備認證、接入管控和網(wǎng)絡層傳輸安全防護；c)查看在調用國家網(wǎng)絡身份認證公共服務接口時實現(xiàn)應用認證、權限管控和應用層重要數(shù)據(jù)傳輸?shù)陌踩雷o；d)查看應用服務接受國家網(wǎng)絡身份認證公共服務的統(tǒng)一監(jiān)管方式。7.3.2.2預期結果預期結果包括：a)應用服務通過安全接入設備接入國家網(wǎng)絡身份認證公共服務；b)在建立網(wǎng)絡會話連接時實現(xiàn)設備認證、接入管控和網(wǎng)絡層傳輸安全防護；c)在調用國家網(wǎng)絡身份認證公共服務接口時實現(xiàn)應用認證、權限管控和應用層重要數(shù)據(jù)傳輸?shù)陌踩雷o；d)應用服務通過安全接入設備接受國家網(wǎng)絡身份認證公共服務的統(tǒng)一監(jiān)管。7.3.3身份認證7.3.3.1測試方法測試方法包括：a)查看應用服務端接入身份認證方式；b)查看應用服務是否向公共服務平臺指定機構申請簽發(fā)數(shù)字證書；c)查看應用服務接入前是否完成采用基于數(shù)字證書的身份認證；d)查看應用服務的安全責任主體、應用服務以及安全接入設備是否具有