1 范圍

      GB/T 36629的本部分規(guī)定了公民網(wǎng)絡電子身份標識驗證服務與應用服務提供方間傳遞的消息及其編碼處理規(guī)則。

      本部分適用于公民網(wǎng)絡電子身份標識驗證服務及使用該服務的應用與系統(tǒng)的設計和開發(fā)。

2 規(guī)范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 13000-2010 信息技術(shù) 通用多八位編碼字符集（UCS）

      GB/T 20518 信息安全技術(shù) 公鑰基礎設施 數(shù)字證書格式

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

      GB/T 26231-2017 信息技術(shù) 開放系統(tǒng)互連 對象標識符（OID）的國家編號體系和操作規(guī)程

      GB/T 36632-2018 信息安全技術(shù) 公民網(wǎng)絡電子身份標識格式規(guī)范

      IETF RFC 4648-2006 Base16、Base32及 Base64數(shù)據(jù)編碼（The Base16，Base32， and Base64 Data Encodings)

3 術(shù)語和定義

      GB/T 25069-2010、GB/T 36632-2018界定的以及下列術(shù)語和定義適用于本文件。

3.1

      eID服務平臺 eID service platform

      提供eID的生成、存儲、使用及維護等全生命周期業(yè)務處理相關服務的平臺。

3.2

      eID身份驗證 eID verification

      通過將所提交的eID身份斷言與事先注冊的信息進行比較來確認聲明的eID身份是否正確的過程。

3.3

      eID身份注冊 eID registration

      通過為實體的身份賦予唯一的eID標識碼，提供一組作為聲明的身份和/或權(quán)利的證據(jù)的數(shù)據(jù)，并簽發(fā) eID載體，保證其真實性。

3.4

      eID移動應用 eID mobile application

      在移動客戶端上運行的eID應用。

3.5

      eID驗證服務

      eID verification service

      由eID服務平臺提供給各應用的進行身份識別及驗證的服務。

3.6

      elD桌面應用 eID desktop application

      通過桌面客戶端運行的eID應用。

4 縮略語

      下列縮略語適用于本文件。

      eID：公民網(wǎng)絡電子身份標識（Citizen Cyber Electronic Identity）

      HTTPS：安全超文本傳輸協(xié)議（Hypertext Transfer Protocol over Secure Socket Layer）

      OID：對象標識符（Object Identifier）

      PIN：個人識別碼（Personal Identification Number）

      SDK：軟件開發(fā)工具包（Software Development Kit）

5 概述

      本部分規(guī)定eID身份驗證過程中eID服務平臺和應用服務提供方間交互流程中傳遞的消息及其處理規(guī)則。當應用服務提供方需要使用eID驗證服務來驗證網(wǎng)絡用戶的訪問請求時，應用服務提供方完成相應的eID加密或簽名運算，將結(jié)果按照本部分所述封裝成符合eID驗證服務接口技術(shù)要求的消息，再傳輸給eID服務平臺。eID服務平臺在完成eID身份驗證后，將驗證結(jié)果按照eID驗證服務接口技術(shù)要求的形式返回給應用服務提供方。上述流程的具體步驟如圖1所示。

圖1 eID身份驗證消息傳遞步驟

      本部分所規(guī)定的接口應采用HTTPS信道進行傳輸，且其中使用的涉及保密性、完整性、真實性、不可否認性的相關技術(shù)應遵循密碼相關國家標準和行業(yè)標準。

      在接入eID驗證服務前，應用服務提供商首先在eID服務平臺中進行注冊，并獲得對應的應用標識與共享密鑰以保證后續(xù)流程的執(zhí)行，注冊時發(fā)送參數(shù)的定義見7.1，eID服務平臺對注冊請求的返回結(jié)果參數(shù)定義見7.2。此過程僅在應用服務提供方首次接入eID驗證服務前進行。

      注：為了完成注冊，應用服務提供方可能需要通過線下方式向eID服務平臺遞送審核材料，例如：提交ICP備案號、營業(yè)執(zhí)照副本、稅務登記證、組織機構(gòu)代碼證等。

      之后，當應用服務提供方需要使用eID驗證服務時，執(zhí)行以下操作：

      a）應用服務提供商根據(jù)需要向eID服務平臺發(fā)送服務請求。服務請求消息的參數(shù)定義見8.2。

      b）eID服務平臺返回一個隨機數(shù)作為本次驗證服務的挑戰(zhàn)。響應消息的參數(shù)定義見8.3。

      c）當應用服務提供方向eID服務平臺發(fā)送服務請求后，應用服務提供方完成相應的eID運算，將驗證請求數(shù)據(jù)發(fā)送給eID服務平臺。驗證請求消息的參數(shù)定義見8.4。

      d）eID服務平臺在本地執(zhí)行相關的驗證服務后，將驗證結(jié)果返回給應用服務提供方。驗證結(jié)果消息的參數(shù)定義見8.5。

6 eID驗證服務參數(shù)編碼規(guī)則

6.1 消息編碼

6.1.1 參數(shù)類型

      本部分使用如下參數(shù)類型：

      Char：表示GB/T 13000-2010中所規(guī)定的字符集中的一個字符，本部分中所使用的字符類型參數(shù)僅包含可見字符，此外，本部分使用逗號字符（‘，’，編碼：U+002C)作為分隔符，因此參數(shù)的值不能包含該字符。

      Byte：表示8比特長的單個字節(jié)。

      Char/Byte(X)表示長度固定為X個Char/Byte類型字符的參數(shù)。

      Char/Byte（A..B）表示長度為A至B個Char Byte類型字符的參數(shù)。

      Char/Byte（0..A）表示可為空且長度至多為A個Chahar/Byt 類型字節(jié)的參數(shù)。

6.1.2 參數(shù)編碼規(guī)則

      消息發(fā)送方（應用服務提供方和eID平臺）應遵循以下規(guī)則生成并發(fā)送注冊請求、注冊返回結(jié)果、eID驗證服務請求、eID驗證請求和eID驗證服務返回結(jié)果等消息：

      a）消息發(fā)送方應將消息中所有參數(shù)類型為1  的參數(shù)的值按照IETF RFC 4648-2006中所述Base64編碼規(guī)則進行編碼，將其轉(zhuǎn)化為Char（）類型。

      b）消息發(fā)送方應將轉(zhuǎn)化后的所有參數(shù)按照如下格式組裝成 Char（）類型的字符串：

      {

      “參數(shù)標識1”：“參數(shù)值1”，

      “參數(shù)標識2”：“參數(shù)值2”，

      “參數(shù)標識 N”：“參數(shù)值N”，

      }

      其中名稱/值對的名稱應與本部分所規(guī)定的參數(shù)標識一致，各參數(shù)標識間無順序。在組裝時，應忽略所有的不可見字符。若某參數(shù)值為空，則在生成的字符串中，該參數(shù)的參數(shù)標識保留，參數(shù)值設為空（長度為0的字符串）。具體的請求參數(shù)示例參見附錄A。

      c）消息發(fā)送方將組裝好的數(shù)據(jù)放入http body域中，并新增下列內(nèi)容以用來描述本協(xié)議內(nèi)容的版本號。

      HEAD:AD:"idsp-protocol-version=2.0.0”

      d）消息發(fā)送方使用G  13000-2010中規(guī)定的 UTF-8編碼格式數(shù)據(jù)字符串進行編碼，然后用POST方式將消息發(fā)送到請求地址，進行接口調(diào)用。接口調(diào)用示例參見A.3。

以上為標準部分內(nèi)容，如需看標準全文，請到相關授權(quán)網(wǎng)站購買標準正版。