1 范圍
GB/T 36629的本部分規(guī)定了公民網(wǎng)絡(luò)電子身份標(biāo)識驗(yàn)證服務(wù)與應(yīng)用服務(wù)提供方間傳遞的消息及其編碼處理規(guī)則。
本部分適用于公民網(wǎng)絡(luò)電子身份標(biāo)識驗(yàn)證服務(wù)及使用該服務(wù)的應(yīng)用與系統(tǒng)的設(shè)計和開發(fā)。
2 規(guī)范性引用文件
下列文件對于本文件的應(yīng)用是必不可少的�。凡是注日期的引用文件,僅注日期的版本適用于本文件��。凡是不注日期的引用文件��,其最新版本(包括所有的修改單)適用于本文件�。
GB/T 13000-2010 信息技術(shù) 通用多八位編碼字符集(UCS)
GB/T 20518 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 數(shù)字證書格式
GB/T 25069-2010 信息安全技術(shù) 術(shù)語
GB/T 26231-2017 信息技術(shù) 開放系統(tǒng)互連 對象標(biāo)識符(OID)的國家編號體系和操作規(guī)程
GB/T 36632-2018 信息安全技術(shù) 公民網(wǎng)絡(luò)電子身份標(biāo)識格式規(guī)范
IETF RFC 4648-2006 Base16�、Base32及 Base64數(shù)據(jù)編碼(The Base16,Base32�����, and Base64 Data Encodings)
3 術(shù)語和定義
GB/T 25069-2010、GB/T 36632-2018界定的以及下列術(shù)語和定義適用于本文件��。
3.1
eID服務(wù)平臺 eID service platform
提供eID的生成����、存儲、使用及維護(hù)等全生命周期業(yè)務(wù)處理相關(guān)服務(wù)的平臺��。
3.2
eID身份驗(yàn)證 eID verification
通過將所提交的eID身份斷言與事先注冊的信息進(jìn)行比較來確認(rèn)聲明的eID身份是否正確的過程�����。
3.3
eID身份注冊 eID registration
通過為實(shí)體的身份賦予唯一的eID標(biāo)識碼�,提供一組作為聲明的身份和/或權(quán)利的證據(jù)的數(shù)據(jù),并簽發(fā) eID載體�����,保證其真實(shí)性�。
3.4
eID移動應(yīng)用 eID mobile application
在移動客戶端上運(yùn)行的eID應(yīng)用。
3.5
eID驗(yàn)證服務(wù)
eID verification service
由eID服務(wù)平臺提供給各應(yīng)用的進(jìn)行身份識別及驗(yàn)證的服務(wù)�����。
3.6
elD桌面應(yīng)用 eID desktop application
通過桌面客戶端運(yùn)行的eID應(yīng)用。
4 縮略語
下列縮略語適用于本文件���。
eID:公民網(wǎng)絡(luò)電子身份標(biāo)識(Citizen Cyber Electronic Identity)
HTTPS:安全超文本傳輸協(xié)議(Hypertext Transfer Protocol over Secure Socket Layer)
OID:對象標(biāo)識符(Object Identifier)
PIN:個人識別碼(Personal Identification Number)
SDK:軟件開發(fā)工具包(Software Development Kit)
5 概述
本部分規(guī)定eID身份驗(yàn)證過程中eID服務(wù)平臺和應(yīng)用服務(wù)提供方間交互流程中傳遞的消息及其處理規(guī)則��。當(dāng)應(yīng)用服務(wù)提供方需要使用eID驗(yàn)證服務(wù)來驗(yàn)證網(wǎng)絡(luò)用戶的訪問請求時�,應(yīng)用服務(wù)提供方完成相應(yīng)的eID加密或簽名運(yùn)算��,將結(jié)果按照本部分所述封裝成符合eID驗(yàn)證服務(wù)接口技術(shù)要求的消息����,再傳輸給eID服務(wù)平臺��。eID服務(wù)平臺在完成eID身份驗(yàn)證后��,將驗(yàn)證結(jié)果按照eID驗(yàn)證服務(wù)接口技術(shù)要求的形式返回給應(yīng)用服務(wù)提供方�����。上述流程的具體步驟如圖1所示�����。
圖1 eID身份驗(yàn)證消息傳遞步驟
本部分所規(guī)定的接口應(yīng)采用HTTPS信道進(jìn)行傳輸����,且其中使用的涉及保密性�����、完整性�、真實(shí)性���、不可否認(rèn)性的相關(guān)技術(shù)應(yīng)遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)��。
在接入eID驗(yàn)證服務(wù)前����,應(yīng)用服務(wù)提供商首先在eID服務(wù)平臺中進(jìn)行注冊��,并獲得對應(yīng)的應(yīng)用標(biāo)識與共享密鑰以保證后續(xù)流程的執(zhí)行��,注冊時發(fā)送參數(shù)的定義見7.1��,eID服務(wù)平臺對注冊請求的返回結(jié)果參數(shù)定義見7.2���。此過程僅在應(yīng)用服務(wù)提供方首次接入eID驗(yàn)證服務(wù)前進(jìn)行�����。
注:為了完成注冊���,應(yīng)用服務(wù)提供方可能需要通過線下方式向eID服務(wù)平臺遞送審核材料��,例如:提交ICP備案號�����、營業(yè)執(zhí)照副本�、稅務(wù)登記證���、組織機(jī)構(gòu)代碼證等�����。
之后,當(dāng)應(yīng)用服務(wù)提供方需要使用eID驗(yàn)證服務(wù)時����,執(zhí)行以下操作:
a)應(yīng)用服務(wù)提供商根據(jù)需要向eID服務(wù)平臺發(fā)送服務(wù)請求。服務(wù)請求消息的參數(shù)定義見8.2����。
b)eID服務(wù)平臺返回一個隨機(jī)數(shù)作為本次驗(yàn)證服務(wù)的挑戰(zhàn)�����。響應(yīng)消息的參數(shù)定義見8.3�。
c)當(dāng)應(yīng)用服務(wù)提供方向eID服務(wù)平臺發(fā)送服務(wù)請求后�����,應(yīng)用服務(wù)提供方完成相應(yīng)的eID運(yùn)算���,將驗(yàn)證請求數(shù)據(jù)發(fā)送給eID服務(wù)平臺��。驗(yàn)證請求消息的參數(shù)定義見8.4�。
d)eID服務(wù)平臺在本地執(zhí)行相關(guān)的驗(yàn)證服務(wù)后��,將驗(yàn)證結(jié)果返回給應(yīng)用服務(wù)提供方�。驗(yàn)證結(jié)果消息的參數(shù)定義見8.5。
6 eID驗(yàn)證服務(wù)參數(shù)編碼規(guī)則
6.1 消息編碼
6.1.1 參數(shù)類型
本部分使用如下參數(shù)類型:
Char:表示GB/T 13000-2010中所規(guī)定的字符集中的一個字符�����,本部分中所使用的字符類型參數(shù)僅包含可見字符�����,此外,本部分使用逗號字符(‘����,’,編碼:U+002C)作為分隔符���,因此參數(shù)的值不能包含該字符����。
Byte:表示8比特長的單個字節(jié)����。
Char/Byte(X)表示長度固定為X個Char/Byte類型字符的參數(shù)。
Char/Byte(A..B)表示長度為A至B個Char Byte類型字符的參數(shù)�。
Char/Byte(0..A)表示可為空且長度至多為A個Chahar/Byt 類型字節(jié)的參數(shù)。
6.1.2 參數(shù)編碼規(guī)則
消息發(fā)送方(應(yīng)用服務(wù)提供方和eID平臺)應(yīng)遵循以下規(guī)則生成并發(fā)送注冊請求��、注冊返回結(jié)果���、eID驗(yàn)證服務(wù)請求、eID驗(yàn)證請求和eID驗(yàn)證服務(wù)返回結(jié)果等消息:
a)消息發(fā)送方應(yīng)將消息中所有參數(shù)類型為1 的參數(shù)的值按照IETF RFC 4648-2006中所述Base64編碼規(guī)則進(jìn)行編碼��,將其轉(zhuǎn)化為Char()類型。
b)消息發(fā)送方應(yīng)將轉(zhuǎn)化后的所有參數(shù)按照如下格式組裝成 Char()類型的字符串:
{
“參數(shù)標(biāo)識1”:“參數(shù)值1”��,
“參數(shù)標(biāo)識2”:“參數(shù)值2”�����,
“參數(shù)標(biāo)識 N”:“參數(shù)值N”�����,
}
其中名稱/值對的名稱應(yīng)與本部分所規(guī)定的參數(shù)標(biāo)識一致���,各參數(shù)標(biāo)識間無順序����。在組裝時�����,應(yīng)忽略所有的不可見字符��。若某參數(shù)值為空�,則在生成的字符串中,該參數(shù)的參數(shù)標(biāo)識保留��,參數(shù)值設(shè)為空(長度為0的字符串)。具體的請求參數(shù)示例參見附錄A��。
c)消息發(fā)送方將組裝好的數(shù)據(jù)放入http body域中�����,并新增下列內(nèi)容以用來描述本協(xié)議內(nèi)容的版本號����。
HEAD:AD:"idsp-protocol-version=2.0.0”
d)消息發(fā)送方使用G 13000-2010中規(guī)定的 UTF-8編碼格式數(shù)據(jù)字符串進(jìn)行編碼,然后用POST方式將消息發(fā)送到請求地址�,進(jìn)行接口調(diào)用。接口調(diào)用示例參見A.3�。
以上為標(biāo)準(zhǔn)部分內(nèi)容,如需看標(biāo)準(zhǔn)全文�����,請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版�。
