身份识别能力培训材料.pdf

身份识别能力培训材料 2012年8月 中国移动通信研究院中国移动通信研究院 朱本浩 业务概述 身份识别应用是用户拥有一张贴片卡（或一部NFC手机），建立与 手机号绑定关系手机号绑定关系，以数字签名方式认证用户身份后实现以数字签名方式认证用户身份后实现后台关联多后台关联多 种应用，满足用户“一卡多用”需求的业务； 消费 刷卡 服务 优惠券 会员卡 用户用户 POS 电子票 系统架构 • 在用户使用身份识别功能时，首先将用户的认证鉴权请求发送给中国移动认证鉴权服 务平台进行签名认证及业务鉴权，认证鉴权通过后将认证结果及对应的BP业务ID发送 给各BP平台，从而由BP平台继续后续业务逻辑处理 身份识别范围 按照目前集团数据部统一规划，会统一全网身份识别能力并正在规 划一些可在全国统一推广的身份识别业务划一些可在全国统一推广的身份识别业务 1、全网正在规划基于身 身份识别业务 基于身份 份识别的电子券业务 的应用的应用 22、各省业务各省业务 身份识别能力身份识别能力 培训重点培训重点 身份识别能力：输出 • 身份识别能力输出1：非实名（绑定手机号） – 判断是否中国移动合法用户使用业务非实名 • 身份识别能力输出身份识别能力输出22 ：实名实名 （（绑定人绑定人）） – 判断是否持卡人本人使用业务 身份识别能力承载类型 • 贴片卡贴片卡 – 普通身份识别贴片卡 – 浦发联名卡 • NFC手机手机 身份识别能力：公私钥对 • 非实名与实名两种类型公私钥对，分别应用于普通应用与高安 全金融应用 • RSARSA非对称密钥长度规定为非对称密钥长度规定为1024bit1024bit • 公私钥对的生成： – 非实名公私钥对：支持发卡时批量写入（贴片）和卡片内部生成两种 形式（NFC） – 实名公私钥对：必须由卡片内部生成 • 签名调用： – 非实名公私钥对：可直接调用私钥签名 – 实名公私钥对实名公私钥对 ：密码验密码验证后方可调用私钥后方可调用私钥签名名 身份识别能力：身份识别序列号 •• 身份识别应用序列号长度为身份识别应用序列号长度为 1414字节字节 • 具体编码规则为： – 2位省代码＋2位类型代码+9位序号+1位校验位 • 身份识别应用序列号由中心身份识别平台按照规范统身份识别应用序列号由中心身份识别平台按照规范统一进进 行管理 身份识别能力：签名算法 •• 规范中定义统一的签名规范中定义统一的签名ComputeCompute DigitalDigital SignatureSignature指令指令 • 支持两种签名算法： – 直接模式：针对输入数据直接利用RSA签名算法进行签名 – 间接模式间接模式：：针对输入数据针对输入