1 范圍

      GB/T 36629的本部分規(guī)定了公民網(wǎng)絡(luò)電子身份標(biāo)識驗(yàn)證服務(wù)與應(yīng)用服務(wù)提供方間傳遞的消息及其編碼處理規(guī)則。

      本部分適用于公民網(wǎng)絡(luò)電子身份標(biāo)識驗(yàn)證服務(wù)及使用該服務(wù)的應(yīng)用與系統(tǒng)的設(shè)計和開發(fā)。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 13000-2010 信息技術(shù) 通用多八位編碼字符集（UCS）

      GB/T 20518 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 數(shù)字證書格式

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

      GB/T 26231-2017 信息技術(shù) 開放系統(tǒng)互連 對象標(biāo)識符（OID）的國家編號體系和操作規(guī)程

      GB/T 36632-2018 信息安全技術(shù) 公民網(wǎng)絡(luò)電子身份標(biāo)識格式規(guī)范

      IETF RFC 4648-2006 Base16、Base32及 Base64數(shù)據(jù)編碼（The Base16，Base32， and Base64 Data Encodings)

3 術(shù)語和定義

      GB/T 25069-2010、GB/T 36632-2018界定的以及下列術(shù)語和定義適用于本文件。

3.1

      eID服務(wù)平臺 eID service platform

      提供eID的生成、存儲、使用及維護(hù)等全生命周期業(yè)務(wù)處理相關(guān)服務(wù)的平臺。

3.2

      eID身份驗(yàn)證 eID verification

      通過將所提交的eID身份斷言與事先注冊的信息進(jìn)行比較來確認(rèn)聲明的eID身份是否正確的過程。

3.3

      eID身份注冊 eID registration

      通過為實(shí)體的身份賦予唯一的eID標(biāo)識碼，提供一組作為聲明的身份和/或權(quán)利的證據(jù)的數(shù)據(jù)，并簽發(fā) eID載體，保證其真實(shí)性。

3.4

      eID移動應(yīng)用 eID mobile application

      在移動客戶端上運(yùn)行的eID應(yīng)用。

3.5

      eID驗(yàn)證服務(wù)

      eID verification service

      由eID服務(wù)平臺提供給各應(yīng)用的進(jìn)行身份識別及驗(yàn)證的服務(wù)。

3.6

      elD桌面應(yīng)用 eID desktop application

      通過桌面客戶端運(yùn)行的eID應(yīng)用。

4 縮略語

      下列縮略語適用于本文件。

      eID：公民網(wǎng)絡(luò)電子身份標(biāo)識（Citizen Cyber Electronic Identity）

      HTTPS：安全超文本傳輸協(xié)議（Hypertext Transfer Protocol over Secure Socket Layer）

      OID：對象標(biāo)識符（Object Identifier）

      PIN：個人識別碼（Personal Identification Number）

      SDK：軟件開發(fā)工具包（Software Development Kit）

5 概述

      本部分規(guī)定eID身份驗(yàn)證過程中eID服務(wù)平臺和應(yīng)用服務(wù)提供方間交互流程中傳遞的消息及其處理規(guī)則。當(dāng)應(yīng)用服務(wù)提供方需要使用eID驗(yàn)證服務(wù)來驗(yàn)證網(wǎng)絡(luò)用戶的訪問請求時，應(yīng)用服務(wù)提供方完成相應(yīng)的eID加密或簽名運(yùn)算，將結(jié)果按照本部分所述封裝成符合eID驗(yàn)證服務(wù)接口技術(shù)要求的消息，再傳輸給eID服務(wù)平臺。eID服務(wù)平臺在完成eID身份驗(yàn)證后，將驗(yàn)證結(jié)果按照eID驗(yàn)證服務(wù)接口技術(shù)要求的形式返回給應(yīng)用服務(wù)提供方。上述流程的具體步驟如圖1所示。

圖1 eID身份驗(yàn)證消息傳遞步驟

      本部分所規(guī)定的接口應(yīng)采用HTTPS信道進(jìn)行傳輸，且其中使用的涉及保密性、完整性、真實(shí)性、不可否認(rèn)性的相關(guān)技術(shù)應(yīng)遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。

      在接入eID驗(yàn)證服務(wù)前，應(yīng)用服務(wù)提供商首先在eID服務(wù)平臺中進(jìn)行注冊，并獲得對應(yīng)的應(yīng)用標(biāo)識與共享密鑰以保證后續(xù)流程的執(zhí)行，注冊時發(fā)送參數(shù)的定義見7.1，eID服務(wù)平臺對注冊請求的返回結(jié)果參數(shù)定義見7.2。此過程僅在應(yīng)用服務(wù)提供方首次接入eID驗(yàn)證服務(wù)前進(jìn)行。

      注：為了完成注冊，應(yīng)用服務(wù)提供方可能需要通過線下方式向eID服務(wù)平臺遞送審核材料，例如：提交ICP備案號、營業(yè)執(zhí)照副本、稅務(wù)登記證、組織機(jī)構(gòu)代碼證等。

      之后，當(dāng)應(yīng)用服務(wù)提供方需要使用eID驗(yàn)證服務(wù)時，執(zhí)行以下操作：

      a）應(yīng)用服務(wù)提供商根據(jù)需要向eID服務(wù)平臺發(fā)送服務(wù)請求。服務(wù)請求消息的參數(shù)定義見8.2。

      b）eID服務(wù)平臺返回一個隨機(jī)數(shù)作為本次驗(yàn)證服務(wù)的挑戰(zhàn)。響應(yīng)消息的參數(shù)定義見8.3。

      c）當(dāng)應(yīng)用服務(wù)提供方向eID服務(wù)平臺發(fā)送服務(wù)請求后，應(yīng)用服務(wù)提供方完成相應(yīng)的eID運(yùn)算，將驗(yàn)證請求數(shù)據(jù)發(fā)送給eID服務(wù)平臺。驗(yàn)證請求消息的參數(shù)定義見8.4。

      d）eID服務(wù)平臺在本地執(zhí)行相關(guān)的驗(yàn)證服務(wù)后，將驗(yàn)證結(jié)果返回給應(yīng)用服務(wù)提供方。驗(yàn)證結(jié)果消息的參數(shù)定義見8.5。

6 eID驗(yàn)證服務(wù)參數(shù)編碼規(guī)則

6.1 消息編碼

6.1.1 參數(shù)類型

      本部分使用如下參數(shù)類型：

      Char：表示GB/T 13000-2010中所規(guī)定的字符集中的一個字符，本部分中所使用的字符類型參數(shù)僅包含可見字符，此外，本部分使用逗號字符（‘，’，編碼：U+002C)作為分隔符，因此參數(shù)的值不能包含該字符。

      Byte：表示8比特長的單個字節(jié)。

      Char/Byte(X)表示長度固定為X個Char/Byte類型字符的參數(shù)。

      Char/Byte（A..B）表示長度為A至B個Char Byte類型字符的參數(shù)。

      Char/Byte（0..A）表示可為空且長度至多為A個Chahar/Byt 類型字節(jié)的參數(shù)。

6.1.2 參數(shù)編碼規(guī)則

      消息發(fā)送方（應(yīng)用服務(wù)提供方和eID平臺）應(yīng)遵循以下規(guī)則生成并發(fā)送注冊請求、注冊返回結(jié)果、eID驗(yàn)證服務(wù)請求、eID驗(yàn)證請求和eID驗(yàn)證服務(wù)返回結(jié)果等消息：

      a）消息發(fā)送方應(yīng)將消息中所有參數(shù)類型為1  的參數(shù)的值按照IETF RFC 4648-2006中所述Base64編碼規(guī)則進(jìn)行編碼，將其轉(zhuǎn)化為Char（）類型。

      b）消息發(fā)送方應(yīng)將轉(zhuǎn)化后的所有參數(shù)按照如下格式組裝成 Char（）類型的字符串：

      {

      “參數(shù)標(biāo)識1”：“參數(shù)值1”，

      “參數(shù)標(biāo)識2”：“參數(shù)值2”，

      “參數(shù)標(biāo)識 N”：“參數(shù)值N”，

      }

      其中名稱/值對的名稱應(yīng)與本部分所規(guī)定的參數(shù)標(biāo)識一致，各參數(shù)標(biāo)識間無順序。在組裝時，應(yīng)忽略所有的不可見字符。若某參數(shù)值為空，則在生成的字符串中，該參數(shù)的參數(shù)標(biāo)識保留，參數(shù)值設(shè)為空（長度為0的字符串）。具體的請求參數(shù)示例參見附錄A。

      c）消息發(fā)送方將組裝好的數(shù)據(jù)放入http body域中，并新增下列內(nèi)容以用來描述本協(xié)議內(nèi)容的版本號。

      HEAD:AD:"idsp-protocol-version=2.0.0”

      d）消息發(fā)送方使用G  13000-2010中規(guī)定的 UTF-8編碼格式數(shù)據(jù)字符串進(jìn)行編碼，然后用POST方式將消息發(fā)送到請求地址，進(jìn)行接口調(diào)用。接口調(diào)用示例參見A.3。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。