English  简体中文
   

澳门可信电子签名云服务介绍(FIDO与PKI的结合)

2018-05-14       撰稿人:张妍


下图展示了澳门可信电子签名云服务(eSignTrust eSignCloud)与FIDO应用相结合的方式。

 

图1 集成了FIDO应用的可信电子签名云服务

用户注册流程:

1)eSignCloud通过Gov. IdP (授权服务器)请求授权

2)eSignCloud通过Gov.IdP获得访问令牌,并使用访问令牌信息创建eSignCloud帐户。

3)eSignTrust RA从eSignTrust CA获得eSignCloud证书。

4)用户登录到eSignCloud,开始注册FIDO和签名人的签名激活数据。
 
 图2 与FIDO相结合的可信电子签名云服务用户注册过程

■用户身份验证和签名流程:

1)(可选)用户登录签名应用程序(SP)。

2)(可选)SP授权同意以下流程:

a. SP向IdP (gov.service)发送授权请求

b. SP重定向用户代理到IdP (gov.service)提供身份验证。

c.用户代理从IdP (gov.service)获得认证码

d.用户代理将验证码发送给SP。

e.SP通过认证码获取访问令牌。

3)用户请求签名服务,然后SP计算DTBS(需要签名的数据)并发送给eSignCloud。

4)eSignCloud FIDO服务器向FIDO客户端发送FIDO身份验证请求。FIDO客户端通过FIDO认证器获取FIDO客户端的私钥访问权。如果成功,FIDO客户端将通过其私钥签署签名激活数据(SAD),并向eSignCloud发送包含SAD的身份验证响应。

5)eSignCloud签名激活模块验证SAD,并激活对加密模块的签名。最后由eSignCloud将签名值发送给SP
 
 
 图3 与FIDO相结合的可信电子签名云服务用户认证和签名过程

 

 

参考:FIDO Alliance and Asia PKI Consortium White Paper:“FIDO and PKI in Asia – Case Study and Recommendations”

 
中国密码学会电子认证专业委员会 版权所有
地址:北京市海淀区闵庄路甲89号 4号楼
联系电话:010-82546543-686
京ICP备05046059号-4