GB/T 44285.1-2024 卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分：移动电子身份系统的通用系统架构

ICS35.240.15

CCSL70

中华人民共和国国家标准

GB/T44285.1—2024

卡及身份识别安全设备通过移动

设备进行身份管理的构件第1部分：

移动电子身份系统的通用系统架构

Cardsandsecuritydevicesforpersonalidentification—

Buildingblocksforidentitymanagementviamobiledevices—

Part1：GenericsystemarchitecturesofmobileeIDsystems

（ISO/IEC23220⁃1：2023，MOD）

2024⁃08⁃23发布2025⁃03⁃01实施

国家市场监督管理总局

国家标准化管理委员会发布

GB/T44285.1—2024

目次

前言··························································································································Ⅲ

引言··························································································································Ⅳ

1范围·······················································································································1

2规范性引用文件········································································································1

3术语和定义··············································································································1

4缩略语····················································································································6

5移动证件系统的设计和隐私原则···················································································6

6移动证件系统的通用生存周期阶段和组件·······································································8

7移动证件系统安装阶段的通用系统架构········································································11

8移动证件系统发行阶段的通用系统架构········································································12

9运行阶段的现场身份识别系统架构··············································································17

10运行阶段的远程身份识别系统架构·············································································19

附录A（资料性）发行者在发行阶段部署选项的示例··························································24

附录B（资料性）安装阶段的部署选项的示例···································································30

附录C（资料性）持有者登记的示例···············································································35

附录D（资料性）鉴别的其他物理因素的示例···································································38

参考文献····················································································································41

Ⅰ

GB/T44285.1—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规

定起草。

本文件是GB/T44285《卡及身份识别安全设备通过移动设备进行身份管理的构件》的第1部

分。GB/T44285已经发布了以下部分：

——第1部分：移动电子身份系统的通用系统架构。

本文件修改采用ISO/IEC23220⁃1：2023《卡及身份识别安全设备通过移动设备进行身份管理

的构件第1部分：移动电子身份系统的通用系统架构》。

本文件与ISO/IEC23220⁃1：2023相比做了下述结构调整：

——本文件3.7“发现服务discoveryservice”对应ISO/IEC23220⁃1：2023中3.18的内容。本文

件的3.8~3.18依次顺延对应ISO/IEC23220⁃1：2023的3.7~3.17；

——本文件B.6对应ISO/IEC23220⁃1：2023中B.5的内容。

本文件与ISO/IEC23220⁃1：2023的技术性差异及其原因如下：

——用规范性引用的GB/T35273和GB/T40660替换了ISO/IEC29100和ISO/IEC19286（见

5.2.1），以适应我国的技术条件，增加可操作性。

本文件做了下列编辑性改动：

——增加了缩略语“TRE”（见第4章）；

——增加了B.5的内容。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由全国信息技术标准化技术委员会（SAC/TC28）提出并归口。

本文件起草单位：中国电子技术标准化研究院、江苏赛西科技发展有限公司、深圳赛西信息技术

有限公司、中移动金融科技有限公司、新大陆数字技术股份有限公司、北京安御道合科技有限公司、飞

天诚信科技股份有限公司、北京中电华大电子设计有限责任公司、上海复旦微电子集团股份有限公司、

深圳市雄帝科技股份有限公司、中关村芯海择优科技有限公司、大唐微电子技术有限公司、楚天龙股份

有限公司、北京智芯微电子科技有限公司、东信和平科技股份有限公司、北京握奇数据股份有限公司、

金邦达有限公司、武汉天喻信息产业股份有限公司、蚂蚁科技集团股份有限公司、北京眼神智能科技有

限公司、深圳源明杰科技股份有限公司、北京华大智宝电子系统有限公司、中国邮电器材集团有限公

司、上海浦东艾法金融科技身份认证技术创新中心、中国银联股份有限公司、兴唐通信科技有限公司。

本文件主要起草人：高健、蔡春水、果艳红、曹国顺、谢依夫、林冠辰、朱鹏飞、潘亮、张晖、郑嵩、

何凡、李琨、白婧、楼水勇、赵轶、程文杰、黄海明、徐文军、蒋曲明、林靖、付英春、苏昆、杨春林、李延、

王永涛、王昊、周吉天白、黎理明、王雪聪、钱涛、马立群、吴思捷、束敏、刘志强。

Ⅲ

GB/T44285.1—2024

引言

电子ID应用（eID应用）通常用于具有集成电路的证章和ID卡，允许用户完成电子身份识别、鉴

别或选择创建数字签名。许多不同的应用领域对这些机制都有基本需求，并使用不同的手段来提供这

些功能（例如，人社系统有社保卡或医保卡，金融部门使用银行卡，政府部门有身份证、电子护照或驾

照，教育系统有学生证或图书证，公司有员工卡，个人有会员卡等）。

移动设备（如移动电话或智能电话，可穿戴设备）是许多人日常生活的核心部分。它们不仅用于通

信，还用于发送电子邮件、访问社交媒体、游戏、购物、理财，以及存储私人内容，如照片、视频和音乐。

今天，它们被作为个人设备用于商业和私人应用。随着移动设备在日常活动中的无处不在，用户强烈

要求在他们的移动设备上有电子身份应用程序（eID⁃Apps）或具有身份/鉴别机制的服务，即mdoc应

用程序。

一个mdoc应用程序可以被部署来提供许多不同的数字ID证件。另外，它可以驻留在移动设备

上的其他eID应用程序中。此外，用户可能拥有多个安装mdoc应用程序的移动设备，这导致了凭证

和属性管理机制的增强。

部署mdoc应用程序的技术先决条件已经存在，它们被部分地标准化以支持移动设备上的安全和

隐私。eID应用程序解决方案的容器示例是基于软件的可信执行环境（TEE）、基于硬件的安全元件

（如：通用集成电路卡（UICC）、嵌入式或集成式UICC（eUICC或iUICC）、嵌入式安全元件、带加密模

块的安全存储卡[19]或其他驻留在移动设备上的专用内部安全装置），以及具有基于服务器安全手段的

解决方案。

由于mdoc应用程序可以位于具有不同安全手段的不同形式的移动设备上，它们尽可能地通用，以

便能够被不同的可信eID管理变体所采用。这种多样性也导致了不同级别的安全、信任和保证。因

此，可信的eID管理意味着（远程）管理和使用一个或几个安全元件（例如，以智能网络的形式）、凭证和

用户属性，并具有适合其能力和力量的不同安全级别。

外部世界对mdoc应用程序的访问通过可用的传输通道进行。典型的本地信道为二维条码扫描、

BLE、近场通信（NFC）和WLAN等，而远程通信通常为通过移动网络和WLAN网络的互联网联接。

身份识别方式和传输接口及协议的选择是可信的eID管理的重要部分。

mdoc应用程序被用于日常生活的不同领域，是不同标准化活动的重点。本文件旨在提供其他标

准可使用的机制和协议，以提供互操作性和互换性。考虑到这些基本情况，未来的mdoc应用程序可以

衍生，并可能扩展GB/T44285。

GB/T44285建立在现有标准的基础上，包括四个主要特点：

a）安全通道建立；

b）API调用序列化方法；

c）数据元素命名约定；

d）通信信道协议上的有效载荷传输。

此外，它还增加了建立首次使用信任（TOFU）的手段。

注：GB/T44285继承并增强了移动驾驶执照应用所采用的功能，从而确保与ISO/IEC18013⁃5的向后兼容性。

GB/T44285《卡及身份识别安全设备通过移动设备进行身份管理的构件》拟分为以下六个

部分。

——第1部分：移动电子身份系统的通用系统架构。目的是确定系统通用架构和应用相关流程。

——第2部分：移动电子身份系统的数据对象和编码规则。目的是确定系统通用的数据格式，以

Ⅳ

GB/T44285.1—2024

便于交换。

——第3部分：安装发行阶段的协议和服务。目的是规定发行阶段的协议和服务。

——第4部分：运行阶段的协议和服务。目的是规定运行阶段的协议和服务。

——第5部分：信任模型和可信度评估。目的是规定可信模型和信任等级。

——第6部分：对安全区的可信度进行认证的机制。目的是确定使用安全区可信度认证的机制。

Ⅴ

GB/T44285.1—2024

卡及身份识别安全设备通过移动

设备进行身份管理的构件第1部分：

移动电子身份系统的通用系统架构

1范围

本文件规定了基于移动eID系统的基础设施构件组成的通用系统架构和通用生存周期，同时规范

了mdoc应用程序和移动验证应用的接口和服务。

本文件适用于参与移动eID系统的规范、架构、设计、测试、维护、管理和运行的实体。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于

本文件。

GB/T35273信息安全技术个人信息安全规范

GB/T40660信息安全技术生物特征识别信息保护基本要求

3术语和定义

下列术语和定义适用于本文件。

3.1

属性attribute

用户属性userattribute

实体（3.6）的特征或特性。

示例：实体类型、地址信息、电话号码、权限、MAC地址、域名都是可能的属性。

[来源：ISO/IEC24760⁃1：2019，3.1.3]

3.2

属性声明attributestatement

描述用户属性（3.1）的声明或断言，包括对属性的谓词。

[来源：ISO/IEC19286：2018，3.6]

3.3

鉴别authentication

为实体（3.6）的身份（3.11）提供保证。

[ISO/IEC2911520133.2]

来源：：，

3.4

鉴别协议authenticationprotocol

实体（3.6）和验证者（3.40）之间定义的消息序列，使验证者能够对实体进行鉴别（3.3）。

[来源：ISO/IEC29115：2013，3.4]

1

GB/T44285.1—2024

3.5

凭证credential

作为声称或断言身份（3.11）和/或权利的证据而呈现的数据集。

注：根据ISO/IEC29115，断言被认为比声明更有力的陈述。

示例：由发行人签署的用户属性，参见ISO/IEC19286，作为真实性证明是通过验证电子签名可以由服务提供者验

证的凭证。

[来源：ISO/IEC29115：20133.8]

3.6

实体entity

与某一领域运行相关的项，在这一领域内具有明显可识别性。

注：实体可以有物理或逻辑的体现。

示例：个人、组织、设备、一组这样的项目、电信用户、SIM卡、护照、网络接口卡、软件应用、服务或网站。

[来源：ISO/IEC24760⁃1：2019，3.1.1]

3.7

发现服务discoveryservice

在发行阶段（3.16）运行的服务，通过mdoc应用程序能力描述符来验证mdoc应用程序（3.19）的

特性。

3.8

持有者holder

持有mdoc应用程序（3.19）的实体（3.6），即自然人，使用mdoc应用程序来实现用户身份识别

（3.9）验证应用（3.39）。

3.9

身份识别identification

用户身份识别useridentification

通过一组描述参数的唯一关联在给定上下文中区分实体（3.6）的过程。

示例：用户属性是实体“持有者”的描述性参数。

[来源：ISO/IEC19286：2018，3.15]

3.10

标识符identifier

在给定上下文中，用于标识实体（3.6）与其他实体的数据。

[来源：ISO/IEC19286：2018，3.16]

3.11

身份identity

与实体（3.6）相关的属性（3.1）集。

注1：一个实体会有多个身份。

注2：多个实体会具有相同的身份。

注3：ITU⁃TX1252规定了身份的区别性使用。在本文件中，术语标识符隐含了这个方面。

[来源：ISO/IEC24760⁃1：2019，3.1.2]

3.12

身份或属性提供者服务identityorattributeproviderservice

接收发行者（3.15）授权的属性（3.1），并将这些属性在运行阶段（3.26）提供给验证应用（3.39）的

服务。

注1：身份或属性提供者可以作为中心服务部署，也可以通过使用持有者管理的分布式账本技术作为非中心服务

部署。

2

GB/T44285.1—2024

注2：一个属性提供者服务提供任何类型的属性（3.1）。

注3：一个身份提供者服务使传达身份信息的属性可用。

3.13

ID提供实体ID⁃provisioningentity

代表发行者（3.15）实施安装阶段（3.14）、发行阶段（3.16）和运行阶段（3.26）的全部或部分服务的

实体。

3.14

安装阶段installationphase

移动证件系统（3.23）的阶段，包括将mdoc应用程序（3.19）和相关软件加载到移动设备（3.18）上。

示例：将应用程序加载到智能移动通信终端上或将SA应用程序（如Java卡小程序、CS卡小程序）加载到安全区

域，如嵌入式安全元件[21]，是安装阶段的一部分。

3.15

发行者issuer

实体（3.6）在发行阶段（3.16）提供可用的用户属性（3.1）和发现服务（3.5），并且授权mdoc应用程

序（3.19）的实例化。

注：发行机构充当发行者。

3.16

发行阶段issuingphase

移动证件系统（3.23）的阶段，包括最初发行的用户属性（3.1）或凭证（3.5）或两者都进入mdoc应用

程序（3.19），并可以包括重新发行资格凭证。

注：在文献中，用户属性和凭证的发行也被称为用户属性和凭证的提供。

3.17

发行服务issuingservice

在发行阶段（3.16）运行的服务，提供移动证件（3.22）的所有数据，这些数据要么储存在本地的

mdoc应用程序（3.19），要么储存在远程的身份或属性提供者服务（3.12）。

3.18

移动设备mobiledevice

便携式计算机设备，至少具有以下特点：a)外形小巧，可由个人轻松携带；b)设计用于在没有有线

连接的情况下操作、传输和接收信息;c)拥有本地的、不可拆卸的或可移动的数据存储；d)包括一个独

立的电源;e)包括便携式计算机设备的持有者（3.8）和设备之间互动的装置。

注1：移动设备还可能包括语音通信功能、允许设备采集信息的板载传感器，和/或扩展的计算机功能和连接。

注2：采纳自ISO/IEC18013⁃5。

示例：移动通信终端、平板计算机和电子阅读器都是移动设备。

3.19

mdoc应用程序mdocapp

移动设备（3.18）上的应用程序，管理用户属性（3.1）和凭证（3.5），用于电子身份管理，并控制对用

户属性和凭证的访问，无论用户属性和凭证是存储在移动设备、服务器还是外部设备上。

注：在ISO/IEC18013⁃5中，mdoc代表mdoc应用程序或移动eID。

3.20

MCD鉴证服务MCDattestationservice

签署mdoc能力描述符的服务。

注：mdoc应用程序（3.19）能力描述符在ISO/IECTS23220⁃3[6]中规定。

3

GB/T44285.1—2024

3.21

mdoc应用程序提供者服务mdocappproviderservice

由mdoc应用程序（3.19）提供者在发行阶段（3.16）运行的网络服务，控制移动证件（3.22）在mdoc

应用程序中的发行。

3.22

移动证件mobiledocument

由一个或多个发行者发行的属性（3.1）和凭证（3.5）集合，提供给mdoc应用程序（3.19）进行管理。

注1：一个移动证件被认为是一个数字文件。一个管理多个移动证件的mdoc应用程序也被认为是一个电子钱包。

注2：在ISO/IEC18013⁃5中，mdoc代表mdoc应用程序或移动eID。

示例：移动证件包括电子ID和赋予持有者权限的许可证或凭证。

3.23

移动证件系统mobiledocumentsystem

移动eID系统mobileeID⁃system

用来管理移动证件（3.22）、交互的组件集合。

示例：移动证件系统的组成部分是mdoc应用程序（3.19）、移动验证应用、发行服务或验证服务。

3.24

监控服务monitoringservice

在发行阶段（3.16）运行的服务，控制用户身份识别服务（3.37）、发现服务（3.7）、发行服务（3.17）或

MCD鉴证服务（3.20）的全部或部分。

3.25

现场身份识别on⁃siteidentification

移动证件系统（3.23）的用例，要求提供mdoc应用程序（3.19）的移动设备（3.18）和验证者设备

（3.41）之间进行本地设备对设备的通信，以进行用户身份识别（3.9）。

注：设备对设备鉴别包含具有mdoc应用程序的移动设备和具有验证应用的验证者设备。

3.26

运行阶段operationalphase

移动证件系统（3.23）的阶段，包括使用mdoc应用程序（3.19）来进行用户身份识别（3.9）和鉴别（3.3）。

3.27

远程身份识别remoteidentification

移动证件系统（3.23）的用例，要求在移动设备（3.18）和验证应用程序（3.39）之间通过互联网进行

远程设备到服务的通信，以进行用户身份识别（3.9）。

注：设备到服务的鉴别包括带有mdoc应用程序的移动设备（3.19）和没有验证者设备的验证应用程序。

3.28

远程用户存储服务remoteuserstorageservice

管理数据存储和控制数据访问的服务。

注：需要持有者的授权。

3.29

移除阶段removalphase

移动证件系统（3.23）的阶段，包括从移动设备（3.18）上删除mdoc应用程序（3.19）和相关软件以及

用户属性（3.1）和凭证（3.5）。

3.30

SA应用SA⁃Application

管理凭证（3.5）的安全区（3.33）的应用，可以管理用户属性（3.1），用于用户身份识别（3.9），并可以

4

GB/T44285.1—2024

控制对用户属性的访问。

3.31

SA应用提供者服务SA⁃Applicationproviderservice

通过SA客户端将SA应用（3.30）安装到安全区域的服务。

3.32

安全存储卡securememorycard

非易失性存储卡格式，即安全数字（SD）卡，用于物理尺寸为“原始”“迷你”或“微型”的便携式设备

中，并配有加密模块。

[来源：NISTSP800—157[19]]

3.33

安全区securearea

隔离的移动设备（3.18）的内部或附属区域，即使在主操作系统（OS）被破坏时，也能确保数据的安

全处理和存储。

注：主操作系统也被称为富操作系统或高级操作系统。

示例：安全元件[21]或可信执行环境（TEE）[21]作为一个内部安全区域。通用集成电路卡（UICC）被认为是移动设备

的一个附加安全区域。

3.34

服务器检索令牌serverretrievaltoken

识别持有者（3.8）和移动证件（3.22）的令牌，为身份或属性提供者服务（3.12）。

3.35

可信执行环境Trustedexecutionenvironment；TEE

移动设备的主处理器的安全区（3.33）。

3.36

TSM服务TSM⁃Service

SA应用供应服务，允许加载和安装SA应用（3.30）。

示例：JavaCardApplets、CSCardApplets和Trustlets是SA应用。

3.37

用户身份识别服务useridentificationservice

在发行阶段（3.16）运行的服务，通过电子或非电子方式，以移动证件（3.22）或不移动证件的方式识

别持有者（3.8）。

3.38

确认服务validationservice

运行阶段（3.26）的服务或机制，可以确定移动证件（3.22）的有效性。

注：有效性的确定可以包括移动证件的撤销状态。

示例：凭证吊销列表或公钥目录可以是验证服务的一部分。

3.39

验证应用verificationapplication

mdoc阅读器mdocreader

验证者设备（3.41）上的应用程序或远程服务器上的应用程序，验证用户属性（3.1）和凭证（3.5）从

mdoc应用程序（3.19）或身份或属性提供者服务（3.12）中检索出来。

注1：mdoc应用程序和一个验证应用程序通常是移动证件系统的一部分。

注2：在ISO/IEC18013⁃5中，mdoc阅读器被定义为能够为验证目的检索mdoc数据的设备。

5

GB/T44285.1—2024

3.40

验证者verifier

实体（3.6），控制验证应用（3.39），并使用它来进行用户身份识别（3.9）。

3.41

验证者设备verifierdevice

与提供mdoc应用程序（3.19）的移动设备（3.18）本地连接的设备，并可选择提供验证应用程

序（3.39）。

示例：与移动设备联接的ISO/IEC14443终端是没有验证应用的验证者设备。提供通过ISO/IEC14443与移动

设备联接的验证应用的移动设备是验证者设备。

4缩略语

下列缩略语适用于本文件。

BLE：低功耗蓝牙（BluetoothLowEnergy）

CIIDS：IDS凭证发行者（IDSCertificateIssuers）

CIOFL：开放固件加载器凭证发行者（OFLCertificateIssuers）

eID：电子身份（Electronicidentity）

eMRTD：电子机读旅行证件（electronicMachine⁃ReadableTravelDocument）

eSE：嵌入式安全元件（embeddedsecureelement）

eUICC：嵌入式通用集成电路卡（embeddeduniversalintegratedcircuitcard）

IDS：图像传递服务器（ImageDeliveryServer）

MCD：移动证件应用程序能力描述符（mdocappcapabilitydescriptor）

mdoc：移动证件（mobiledocument）

OEM：原始设备制造商（OriginalEquipmentManufacture）

OFB：开放固件块（OpenFirmwareBlock）

OFL：开放式固件加载器（OpenFirmwareLoader）

SA：安全区（SecureArea）

SAAO：安全区证明对象（SecureAreaAttestationObject）

TEE：可信执行环境（TrustedExecutionEnvironment）

TRE：防篡改元件（TamperResistantElements）

VPP：虚拟主平台（VirtualPrimaryPlatform）

5移动证件系统的设计和隐私原则

5.1设计原则

本文件以服务的形式规定了构建块。实现这些服务的数据交换的协议和接口在GB/T44285的

第2部分、第3部分和第4部分中规定。服务可以由不同的实体（如发行者或代表发行者的实体）运

行。该文件区分了与mdoc应用程序直接通信的服务和与其他（后端）服务进行通信的服务（如发行者

可以运行所有或部分的这些服务）。部署实例见附录A，安装阶段的部署选项的示例见附录B。

符合本文件的移动证件系统支持一种或多种指定的系统架构，包括在移动设备上运行的用于身份和

鉴别持有者的mdoc应用程序。验证者是一个实体，它通过放置在与移动设备有一定距离的验证者设备

或通过在线服务提供验证应用。验证者使用发行者信息和相关的可信度来确定身份或鉴别过程的质量。

用户属性和凭证数据的存储和访问控制由mdoc应用程序、SA应用或远程身份或属性提供者程

6

GB/T44285.1—2024

序或这些选项的组合来管理。使用具有硬件支持的安全区见6.2的SA应用（如包含防篡改的硬件组

件），可在用户身份识别和鉴别过程中提供了更高可信度。

移动证件系统是一个参照ISO/IEC24760⁃1的身份管理系统，对某一领域进行身份管理。参照

ISO/IEC24760⁃1规定建立的身份信任关系的不同域，允许在跨域识别过程中以及在将用户属性从主

域推导到次域时建立信任。因此，用户属性和凭证的重新发行或更新以及撤销和删除的过程和所需的

基础设施都是移动证件系统的一部分。

移动证件系统的通用架构规范，包括服务和接口，如果没有具体说明，按图1确定的规则：

图1体系结构规定的通用记法

5.2个人隐私保护与安全原则

5.2.1通则

本文件涉及个人信息保护应符合GB/T35273的相关要求，本文件涉及生物特征识别信息保护应

符合GB/T40660的相关要求。

5.2.2数据最小化

数据最小化的内容如下。

a）部分属性释放：用户属性和属性声明的部分释放有助于实现数据的最小化。这就需要使用本

身不会导致在每次交易中释放全部或大部分个人可识别信息的技术。

b）不可链接性：保障加密或协议级别的事务不可链接有助于数据最小化。应仅公开了与其他交

易建立必要的可链接性所需的标识符。默认情况下，如果设计了不恰当的加密协议层，使得

建立的事务与其他事务具有可链接性，这与数据最小化的想法背道而驰。

c）领域专有标识符（昵称）：特定于域的标识符或昵称，是另一个实现数据最小化的概念。它们

是标识符的一种形式，可避免在所有的互动中对持有者使用相同的唯一标识符。在移动证件

系统被用于公共机构应用程序和私营机构应用程序时，为了防止一个实体的数据中的大量个

人信息暴露给其他实体，规定政务机构和私营机构应使用不同的标识符。

5.2.3许可和选择

以用户为中心的系统：无论用户属性是由SA应用和/或由远程身份识别或属性提供者管理，持有

者对其属性的使用都有控制权，并可行使知情同意权。

5.2.4准确度和质量

准确度和质量的内容如下。

a）用户绑定：用户属性和凭证将被绑定到持有者，即签发给他的合法持有者。这对任何政府发

7

GB/T44285.1—2024

行的证件的基本功能至关重要，即把属性与它们对应的人联系起来。

b）窃听保护：移动证件系统各组成部分之间执行的协议可以保护通信的个人身份信息不被

窃听。

c）属性真实性和完整性：指被保护的属性的真实性和完整性，以及向依赖实体发行的属性与发

行者所发行的属性一致。因此，属性的完整性和真实性是保证用户属性信息不被篡改的基本

安全属性。实现所含属性的真实性和完整性是任何政府发行的安全证件的基本职能。

d）属性撤销：指防止被撤销的属性在将来的事务中被使用，或者确保这样的使用被验证者识别

为非法。

e）属性更新：指属性值的改变或属性的增加，无论属性是存储在mdoc应用程序中还是存储在远

程身份或属性提供者处。属性更新可以在现场或远程进行，无论持有者是否需要亲自到场。

f）克隆保护：克隆保护可以防止克隆。克隆是指非法复制凭证和用户属性的行为。克隆可以非

法地给使用克隆凭证的各方本来没有的特权。

5.2.5信息安全

安全的数据存储：用户属性、属于声明、凭证、日志等数据被安全地存储，以确保数据的机密性、真

实性、完整性和可用性。这可以保护数据免受未经授权的访问、破坏、使用、修改、披露或丢失等风险。

在技术方面，隐私和安全原则可以通过本GB/T44285中规定的协议和机制来实现。

6移动证件系统的通用生存周期阶段和组件

6.1移动证件系统的生存周期阶段

移动证件系统的部署和运行被分为不同的通用阶段，涉及不同的组件。对这些组件和服务的实施

要求见GB/T44285的第2部分、第3部分、第4部分、第5部分和第6部分的规定。组件的部署示例

见附录A。移动证件系统由以下五个生存周期阶段和过渡见图2组成。

a）初始化阶段是一个开始阶段，包括安装、发行、运行和移除阶段所需的一个或多个基础设施的

设置；这一阶段的规范内容不属于本文件的范围。

注：关于如何在安全区安全地注入信任根的信息，见参考文献[20]。

b）安装阶段，见本文件的第7章，可以通过以下方式进入：

•可以通过从初始化阶段过渡到开始部署阶段，只需开始部署所需的软件，例如mdoc应用

程序或TRE的固件；

•在有新的软件组件的情况下，通过运行阶段过渡来更新mdoc应用程序；

•如果软件组件（如eID应用程序）已经从一个移动设备中移除，且刚被加载到另一个移动

设备上，则可通过从移除阶段过渡到安装阶段，加载移动eID应用程序。

c）发行阶段，见本文件第8章，可以通过以下