DB33_T 2233-2019可信電子證照管理規(guī)范(高清正版）

1、ICS 01.040.03 A12DB33浙江省地方標準DB33/T 22332019可信電子證照管理規(guī)范Standard of reliable electronic certificate management2019 - 12 -30 發(fā)布2020 - 01 - 30 實施浙江省市場監(jiān)督管理局發(fā) 布DB33/T 22332019I目次 HYPERLINK l _bookmark0 前言III HYPERLINK l _bookmark1 范圍1 HYPERLINK l _bookmark2 規(guī)范性引用文件1 HYPERLINK l _bookmark3 術(shù)語和定義1 HYPERLINK

2、l _bookmark4 縮略語2 HYPERLINK l _bookmark5 數(shù)據(jù)結(jié)構(gòu)2 HYPERLINK l _bookmark6 概述2 HYPERLINK l _bookmark7 證照信息3 HYPERLINK l _bookmark8 電子證照文件3 HYPERLINK l _bookmark9 驗證數(shù)據(jù)3 HYPERLINK l _bookmark10 可信原則3 HYPERLINK l _bookmark11 技術(shù)要求3 HYPERLINK l _bookmark12 簽名原則3 HYPERLINK l _bookmark13 生命周期管理4 HYPERLINK l _bo

3、okmark14 生命周期4 HYPERLINK l _bookmark15 生成4 HYPERLINK l _bookmark16 歸集5 HYPERLINK l _bookmark17 更新與注銷5 HYPERLINK l _bookmark18 共享5 HYPERLINK l _bookmark19 數(shù)據(jù)治理7 HYPERLINK l _bookmark20 總則7 HYPERLINK l _bookmark21 數(shù)據(jù)清洗7 HYPERLINK l _bookmark22 共享異議/缺失申報7 HYPERLINK l _bookmark23 安全要求8 HYPERLINK l _book

4、mark24 數(shù)據(jù)安全8 HYPERLINK l _bookmark25 共享安全8 HYPERLINK l _bookmark26 系統(tǒng)安全8 HYPERLINK l _bookmark27 附 錄 A （資料性附錄） 證照信息數(shù)據(jù)簽名過程說明9 HYPERLINK l _bookmark28 證照信息數(shù)據(jù)示例9 HYPERLINK l _bookmark29 證照信息數(shù)字簽名9 HYPERLINK l _bookmark30 附 錄 B （規(guī)范性附錄） 電子文件簽名過程10 HYPERLINK l _bookmark31 附 錄 C （資料性附錄） 證照電子文件生成配置方式示例11 HYP

5、ERLINK l _bookmark32 版式文件生成方式11 HYPERLINK l _bookmark33 版式文件生成配置過程11 HYPERLINK l _bookmark34 附 錄 D （資料性附錄） 共享返回數(shù)據(jù)結(jié)構(gòu)示例12DB33/T 22332019II HYPERLINK l _bookmark35 證照信息數(shù)據(jù)共享返回數(shù)據(jù)結(jié)構(gòu)示例12 HYPERLINK l _bookmark36 實時共享返回的數(shù)據(jù)結(jié)構(gòu)示例13 HYPERLINK l _bookmark37 附 錄 E （資料性附錄） 驗證過程說明14 HYPERLINK l _bookmark38 在線驗證14 HY

6、PERLINK l _bookmark39 離線驗證16 HYPERLINK l _bookmark40 參考文獻18DB33/T 22332019III前言本標準按照GB/T 1.12009給出的規(guī)則起草。本標準由浙江省大數(shù)據(jù)發(fā)展管理局提出并歸口。本標準起草單位：浙江省標準化研究院、浙江匯信科技有限公司、浙江至元數(shù)據(jù)科技有限公司、杭州數(shù)夢工場科技有限公司。本標準主要起草人：徐穎、施筱玲、王宏宇、趙程遙、鄭培、王忠義、呂萌學、田潤家、張瑋蘭、陳晶、柴琳、胡濤、徐亦萍、周萬。DB33/T 223320191可信電子證照管理規(guī)范范圍本規(guī)范規(guī)定了可信電子證照的數(shù)據(jù)結(jié)構(gòu)、可信原則、生命周期管理、數(shù)據(jù)治

7、理以及安全要求。本規(guī)范適用于政務及公共服務領(lǐng)域應用中各類電子證照數(shù)據(jù)全生命周期的管理。規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 20520 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 時間戳規(guī)范GB 32100 法人和其他組織統(tǒng)一社會信用代碼編碼規(guī)則GB/T33481黨政機關(guān)電子印章應用規(guī)范GB/T36901電子證照 總體技術(shù)架構(gòu)GB/T36902電子證照 目錄信息規(guī)范GB/T36903電子證照 元數(shù)據(jù)規(guī)范GB/T36904電子證照 標識規(guī)范GB/T36905電子證照 文件

8、技術(shù)要求GB/T36906電子證照 共享服務接口規(guī)范術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1數(shù)字證書 digital certificate由證書認證機構(gòu)（CA）數(shù)字簽名的包含公開密鑰擁有者信息、公開密鑰、簽發(fā)者信息、有效期以及擴展信息的一系列數(shù)據(jù)。3.2電子簽名 electronic signature數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名主體身份并表明簽名主體認可其中內(nèi)容的數(shù)據(jù)。3.3電子簽章 electronic seal對數(shù)據(jù)電文進行電子簽名，并通過圖像處理技術(shù)將電子簽名操作轉(zhuǎn)化為與紙質(zhì)文件蓋章操作相同的可視化效果。3.4DB33/T 223320192時間戳 time sta

9、mp使用數(shù)字簽名技術(shù)產(chǎn)生的數(shù)據(jù)，簽名的對象包括了原始文件信息、簽名參數(shù)、簽名時間等信息。TSA 對此對象進行數(shù)字簽名產(chǎn)生時間戳，以證明原始文件在簽名時間之前已經(jīng)存在。GB/T 205202006 ，定義3.13.5證 照 certificate由機關(guān)、團體、企業(yè)事業(yè)單位頒發(fā)的、能夠證明資格或權(quán)利等的憑證類文件。包括證件、執(zhí)（牌） 照、批文、證明等。3.6電子證照electronic certificate由計算機等電子設(shè)備形成、傳輸和存儲的證照數(shù)據(jù)文件。3.7可信電子證照 reliable electronic certificate基于“誰頒發(fā)，誰簽名，誰負責”的原則，由證照頒發(fā)機構(gòu)對其所頒

10、發(fā)的電子證照的信息數(shù)據(jù)和版式文件進行電子簽名后生成的符合中華人民共和國電子簽名法的電子證照。3.8證照頒發(fā)機構(gòu) certificate issuing authority依據(jù)法律法規(guī)或服務事項頒發(fā)證照的機構(gòu)。證照頒發(fā)機構(gòu)一般為實體證照上的蓋印機構(gòu)。如果證照上有多個印章或無印章的，則將對證照作出最終審核意見的機構(gòu)判定為證照頒發(fā)機構(gòu)。3.9證照數(shù)源單位 certificate data source organization直接向電子證照庫提供證照數(shù)據(jù)的部門?？s略語下列縮略語適用于本文件。CA證書認證機構(gòu)(Certification Authority) TSA時間戳機構(gòu)(Time Stamp A

11、uthority)國密算法 中國國家商用密碼算法JSON 一種輕量級的數(shù)據(jù)交換格式(JavaScript Object Notation)數(shù)據(jù)結(jié)構(gòu)概述可信電子證照包括基礎(chǔ)數(shù)據(jù)和驗證數(shù)據(jù)，其中基礎(chǔ)數(shù)據(jù)包括證照信息和電子證照文件，驗證數(shù)據(jù)包括電子簽名和時間戳?？尚烹娮幼C照數(shù)據(jù)結(jié)構(gòu)如圖1所示。DB33/T 223320193基礎(chǔ)數(shù)據(jù)綁定驗證數(shù)據(jù)可信電子證照證照信息電子證照文件+電子簽名+時間戳電子簽名+時間戳圖1 可信電子證照數(shù)據(jù)結(jié)構(gòu)證照信息證照信息是指可以用關(guān)系型數(shù)據(jù)庫二維表存儲的字符串、數(shù)字、時間等類型的電子證照數(shù)據(jù)，應包括照面數(shù)據(jù)、管理數(shù)據(jù)（包括狀態(tài)、唯一標識、非照面的業(yè)務標識等）。唯一標識為

12、賦予電子證照的唯一代碼，應符合 GB/T 36904 的要求。證照信息中屬于GB/T 36903 中元數(shù)據(jù)范圍的，應符合其規(guī)定。電子證照文件電子證照文件是以版式文件方式存儲的電子證照文件，要求載明證照的關(guān)鍵信息，原則上應與實體證照樣式和內(nèi)容基本一致的證照版式文件，支持標準版式電子文件，如OFD、PDF等。證照附帶的地圖、圖紙、音視頻、動畫等附件，可以不合并到電子證照文件中，以附件的原有格式分離存儲，通過在電子證照文件中保存其哈希值、索引、數(shù)量、鏈接等方式進行關(guān)聯(lián)，以保證整個電子證照內(nèi)容的完整性。電子證照文件推薦采用OFD格式，且應符合GB/T 36905 要求和浙江省相關(guān)規(guī)范。驗證數(shù)據(jù)驗證數(shù)據(jù)

13、應由證照頒發(fā)機構(gòu)產(chǎn)生。其中電子簽名用來保證電子證照的來源可追溯，內(nèi)容完整，不可篡改；時間戳用來保證電子證照生成（或推送）的時間權(quán)威性，時間戳的管理、格式和時間戳系統(tǒng)安全管理應遵循GB 20520的要求。電子證照的電子簽名應符合中華人民共和國電子簽名法?？尚旁瓌t技術(shù)要求浙江省可信電子證照采用電子簽名技術(shù)，應符合中華人民共和國電子簽名法和國家密碼主管部門的相關(guān)要求?？尚烹娮幼C照出入庫都應進行驗簽，為電子政務應用提供從業(yè)務申報、審核到歸檔的完整可信數(shù)據(jù)支撐。簽名原則可信電子證照簽名原則如下：證照數(shù)據(jù)的簽名遵循“誰頒發(fā)，誰簽名，誰負責”的原則。證照頒發(fā)機構(gòu)或其授權(quán)機構(gòu)對電子證照的證照信息數(shù)據(jù)和電子證照

14、文件進行簽名，并對簽過名的電子證照的真實性、完整性、準確性負責；證照原頒發(fā)機構(gòu)的頒證職能轉(zhuǎn)移到其他機構(gòu)的，存量證照的簽名由原頒發(fā)機構(gòu)負責。證照原頒發(fā)機構(gòu)發(fā)生變更的，存量證照的簽名由變更后的證照頒發(fā)機構(gòu)負責。證照原頒發(fā)機構(gòu)注銷的，DB33/T 223320194存量證照的簽名由職能繼受機構(gòu)負責。證照頒發(fā)機構(gòu)已注銷且該證照已不再頒發(fā)的，存量證照的簽名由檔案部門負責；數(shù)字簽名的行為宜在頒證系統(tǒng)端進行，在頒證業(yè)務產(chǎn)生數(shù)據(jù)時，由頒證系統(tǒng)生成證照信息和證照電子文件，并對其進行簽名。頒證系統(tǒng)無法實現(xiàn)簽名操作的，應在數(shù)據(jù)歸集到電子證照庫之前完成簽名；證照頒發(fā)機構(gòu)無法申請數(shù)字證書的，可授權(quán)證照數(shù)源單位使用本單位

15、的數(shù)字證書對頒發(fā)機構(gòu)頒發(fā)的證照進行簽名；證照頒發(fā)機構(gòu)是證照數(shù)源單位上級部門的，由證照數(shù)源單位和電子證照庫管理機構(gòu)協(xié)商電子證照的簽名方式。生命周期管理生命周期證照生成、更新、歸集、共享、注銷，是一個可信電子證照的生命周期。各階段完成的具體工作如下：可信電子證照生成：證照頒發(fā)機構(gòu)依據(jù)法律、法規(guī)、政策文件進行審批生成證照后，將證照數(shù)據(jù)依據(jù)本規(guī)范進行電子化，統(tǒng)一加電子簽名、時間戳后，形成可信電子證照；可信電子證照更新：證照頒發(fā)機構(gòu)在證照發(fā)生變更后，重新依據(jù)本規(guī)范將變更后的證照電子化， 形成可信電子證照；可信電子證照歸集：可信電子證照由證照數(shù)源單位通過數(shù)據(jù)交換推送到電子證照庫管理機構(gòu)， 然后經(jīng)過清洗、驗

16、簽、關(guān)聯(lián)，最后保存到電子證照庫；可信電子證照共享：應用系統(tǒng)通過電子證照庫的查詢、下載、驗證等共享服務接口使用可信電子證照；可信電子證照注銷：證照頒發(fā)機構(gòu)在進行證照注銷時，將電子證照狀態(tài)變?yōu)樽N，進行數(shù)字簽名和加蓋時間戳，由證照歸集單位重新歸集到電子證照庫?？尚烹娮幼C照有效期為證照頒發(fā)機構(gòu)標識的證照有效期限；電子證照系統(tǒng)的總體架構(gòu)應符合 GB/T 36901 要求。生成生成原則可信電子證照生成原則如下：可信電子證照數(shù)據(jù)宜由證照頒發(fā)機構(gòu)或其授權(quán)機構(gòu)生成，對證照信息數(shù)據(jù)和證照電子文件加上數(shù)字簽名和時間戳，時間戳格式應符合 GB/T 20520 要求，證照信息數(shù)據(jù)數(shù)字簽名過程參見附錄 A，電子文件簽名

17、過程參見附錄 B；可信電子證照庫系統(tǒng)應提供生成標準版式電子文件的服務，以供不具備自行生成標準版式電子文件的證照頒發(fā)機構(gòu)、授權(quán)機構(gòu)或證照歸集單位調(diào)用，生成符合標準的證照電子文件；可信電子證照庫應提供符合國家標準的數(shù)字簽名和時間戳服務，以供不具備自行添加數(shù)字簽名和時間戳能力的證照頒發(fā)機構(gòu)、授權(quán)機構(gòu)或證照歸集單位調(diào)用，為其生成的證照信息和電子文件加上數(shù)字簽名和時間戳；生成的標準版式電子文件中若含有電子簽章，電子簽章應符合 GB/T 33481 要求。生成配置DB33/T 223320195證照注冊證照數(shù)源單位應將要入庫的可信電子證照的通用特征信息注冊到電子證照庫，形成證照目錄信息。證照目錄信息必須包

18、括：證照全名、本級業(yè)務主管單位、證照類型（執(zhí)照、批文、證明、其他）、證照共享狀態(tài)等。電子證照庫目錄信息應符合GB/T 36902要求和浙江省相關(guān)規(guī)范。證照信息配置可信電子證照的證照信息配置要求如下：證照數(shù)源單位應將證照信息配置到電子證照庫；證照信息包括照面字段、非照面字段。照面字段又叫視讀字段，即顯示在電子證照上的數(shù)據(jù)項； 非照面字段是指實體照面上沒有顯示，但是又屬于可信電子證照不可或缺的字段，一般包括狀態(tài)字段、變更時間、變更原因等數(shù)據(jù)項；證照信息中必須包括可以唯一標識一本證照的頒證系統(tǒng)業(yè)務主鍵，用于區(qū)分證照；證照信息中必須包括持證主體信息，持證主體為組織機構(gòu)的，必須有名稱、統(tǒng)一社會信用代碼。

19、持證主體為自然人的，必須有姓名、中華人民共和國居民身份證號或其他唯一性編號；證照信息中必須包括證照頒發(fā)機構(gòu)的統(tǒng)一社會信用代碼。電子證照文件配置可信電子證照的電子證照文件配置要求如下：證照數(shù)源單位應將電子證照文件屬性信息配置到電子證照庫；電子證照文件屬性信息應包括關(guān)聯(lián)證照信息的主鍵、文件存儲地址、簽名驗證信息等；證照頒發(fā)機構(gòu)不具備自行生成電子文件能力的，證照數(shù)源單位可按照可信電子證照庫要求進行文件生成配置，配置方式參照附錄 C。證照版本管理為了適應同一類證照的不同版本，證照信息數(shù)據(jù)各個字段和文件模板都具有版本屬性。版本編號為V+版本號數(shù)字，如V1、V2?？尚烹娮幼C照庫將每個字段版本默認初始化為V

20、1。歸集證照數(shù)源單位通過本單位信息化系統(tǒng)采集證照數(shù)據(jù)，將生成的可信電子證照數(shù)據(jù)推送到電子證照庫。部分無法歸集的證明類可信電子證照，可不將數(shù)據(jù)集中到電子證照庫，但證照數(shù)源單位仍需要按照本規(guī)范要求進行生成和共享操作，并將目錄信息在可信電子證照庫進行注冊。更新與注銷當證照內(nèi)容、狀態(tài)變更時，證照數(shù)源單位應重新向可信電子證照庫歸集該證照數(shù)據(jù)，可信電子證照庫中的原證照數(shù)據(jù)標識為變更，轉(zhuǎn)入歷史庫，同時增加變更后的證照數(shù)據(jù)。當證照注銷時，證照數(shù)源單位應將證照數(shù)據(jù)標識為注銷，并重新歸集該證照數(shù)據(jù)，可信電子證照庫中的證照數(shù)據(jù)標識為注銷，轉(zhuǎn)入歷史庫。歷史庫的證照數(shù)據(jù)應長期保存，法律法規(guī)另有規(guī)定的，從其規(guī)定。共享DB

21、33/T 223320196共享要求可信電子證照宜通過公共數(shù)據(jù)共享平臺向應用系統(tǒng)提供共享，共享內(nèi)容包括證照信息數(shù)據(jù)和電子文件兩部分，共享平臺應支持證照信息的單獨共享?？尚烹娮幼C照庫系統(tǒng)除支持符合 GB/T 36906 規(guī)范要求的共享服務接口外，還應支持為每一類證照提供單獨的共享接口,方便數(shù)據(jù)共享平臺進行接口控制。對于無法進行數(shù)據(jù)歸集的證明類電子證照，可采用實時共享的方式。證照信息數(shù)據(jù)共享證照信息數(shù)據(jù)共享的內(nèi)容至少包括證照信息、證照電子文件屬性數(shù)據(jù)、簽名數(shù)據(jù)、時間戳數(shù)據(jù)。一類證照一個共享接口方式返回的數(shù)據(jù)結(jié)構(gòu)參照附錄D.1。證照電子文件共享應用系統(tǒng)可從證照信息共享接口返回的數(shù)據(jù)中獲取證照電子文件

22、的下載地址，進而取得證照電子文件。注：證照電子文件地址為臨時地址，有效期5分鐘。實時共享實時共享流程實時共享流程見圖2?？尚烹娮幼C照庫系統(tǒng)證照查詢統(tǒng)電子時間目錄計分析簽名戳實時共享提供系統(tǒng)2實時共享接口3根據(jù)申請參數(shù)生成實時共享數(shù)據(jù)實時共享數(shù)據(jù)簽名和時間戳7實時共享數(shù)據(jù)及簽名、時間戳的標準化封裝處理數(shù)據(jù)共享平臺接口政務應用說明：1政務應用調(diào)用數(shù)據(jù)共享服務平臺的某個實時共享接口，傳入實時共享申請主體等相關(guān) 信息等。2數(shù)據(jù)共享平臺轉(zhuǎn)發(fā)到該實時共享提供系統(tǒng)的實時共享接口，傳入申請主體身份信息。3實時共享提供系統(tǒng)的實時共享接口根據(jù)申請主體身份信息，查詢本系統(tǒng)數(shù)據(jù)，提供指定的實時信息數(shù)據(jù)和電子文件。4實

23、時共享提供系統(tǒng)對實時信息數(shù)據(jù)和電子文件進行電子簽名和加蓋時間戳，形成可信 的實時共享數(shù)據(jù)。5實時共享提供系統(tǒng)返回可信的實時共享數(shù)據(jù)（包括信息數(shù)據(jù)、電子文件、電子簽名、 時間戳）。6實時共享提供系統(tǒng)將實時共享數(shù)據(jù)、電子簽名和時間戳進行標準化格式封裝。7實時共享接口將實時共享數(shù)據(jù)返回數(shù)據(jù)共享平臺。8數(shù)據(jù)共享平臺將實時共享數(shù)據(jù)返回給政務應用。圖2 實時共享流程DB33/T 223320197實時共享目錄注冊提供實時共享的證照數(shù)源單位應在電子證照庫系統(tǒng)中進行目錄注冊，進行統(tǒng)一管理。證照信息數(shù)據(jù)實時共享要求證照信息數(shù)據(jù)實時共享結(jié)構(gòu)應參照證照信息數(shù)據(jù)共享要求，共享返回數(shù)據(jù)結(jié)構(gòu)參照附錄D.2。證照電子文件實

24、時共享要求實時共享的電子文件格式應符合證照電子文件的要求。實時共享接口要求實時共享接口由證照數(shù)源單位負責實現(xiàn)，通過電子證照庫系統(tǒng)與數(shù)據(jù)共享平臺對接。共享數(shù)據(jù)可信驗證共享數(shù)據(jù)可信驗證應至少包括對證照數(shù)據(jù)正確性、完整性、來源權(quán)威性的驗證?？尚烹娮幼C照應支持對證照信息的單獨可信驗證和對證照電子文件的單獨可信驗證?？尚烹娮幼C照應支持應用系統(tǒng)在線驗證和離線驗證。在線驗證是應用系統(tǒng)通過可信電子證照庫系統(tǒng)提供的驗證服務接口對證照信息或證照電子文件進 行可信驗證，返回驗證成功或失敗。如果是入庫電子證照，同時返回該證照在電子證照庫中的最新狀態(tài)； 如果是實時共享的電子證照，調(diào)用數(shù)源單位的實時驗證接口返回最新狀態(tài)。

25、參見附錄E.1。離線驗證是應用系統(tǒng)根據(jù)國家密碼管理機構(gòu)制定的數(shù)字簽名標準和時間戳標準進行驗證，不需要連接到電子證照庫。離線驗證無法獲取可信電子證照庫中該證照的最新狀態(tài)。參見附錄E.2。數(shù)據(jù)治理總則可信電子證照數(shù)據(jù)治理主要包括數(shù)據(jù)清洗、證照共享異議/缺失申報。數(shù)據(jù)清洗可信電子證照數(shù)據(jù)清洗僅判斷數(shù)據(jù)項是否符合清洗規(guī)則，不對數(shù)據(jù)項內(nèi)容進行修改。數(shù)據(jù)清洗失敗的數(shù)據(jù)進入異常數(shù)據(jù)反饋流程，反饋給證照數(shù)源單位，由證照數(shù)源單位進行整改后重新歸集。清洗規(guī)則包括但不限于以下內(nèi)容：校驗與部門約定的字段是否必填；校驗日期時間格式正確性；校驗枚舉值正確性；校驗身份證號碼合規(guī)性；校驗統(tǒng)一社會信用代碼合規(guī)性，社會統(tǒng)一信用代

26、碼編碼規(guī)則應符合 GB 32100 的相關(guān)規(guī)定。共享異議/缺失申報在共享的過程中，證照應用部門、證照使用人可以對共享數(shù)據(jù)中存在的數(shù)據(jù)問題進行反饋，包括對數(shù)據(jù)內(nèi)容有異議，或者對證照數(shù)據(jù)缺失進行申報。證照共享異議/缺失申報流程應遵循浙江省公共數(shù)據(jù)平臺數(shù)據(jù)治理相關(guān)規(guī)范要求。DB33/T 223320198安全要求數(shù)據(jù)安全可信電子證照庫數(shù)據(jù)應保存在政務外網(wǎng)政務專有云中，所用新數(shù)據(jù)庫系統(tǒng)和文件存儲系統(tǒng)需符合浙江省政務云安全技術(shù)相關(guān)規(guī)定?？尚烹娮幼C照出入庫時均需進行數(shù)字簽名驗證，保證入庫出庫數(shù)據(jù)的完整性，未被篡改。為保證數(shù)據(jù)隱私，可信電子證照庫管理界面上不可查詢顯示證照的詳細數(shù)據(jù)內(nèi)容。共享安全可信電子證照

27、共享安全需滿足如下要求：僅為經(jīng)過合法授權(quán)的業(yè)務系統(tǒng)提供檢索、驗證與證照獲取服務；經(jīng)合法授權(quán)的業(yè)務系統(tǒng)須保證涉及隱私信息的證照被合法授權(quán)使用；經(jīng)合法授權(quán)的業(yè)務系統(tǒng)應對證照使用者進行身份認證，僅當通過高級實名認證后方可調(diào)用共享服務；共享服務的調(diào)用及響應情況應記錄日志，支持審計；共享服務的日志信息應獨立存儲并永久保存 。系統(tǒng)安全可信電子證照相關(guān)系統(tǒng)建設(shè)應滿足信息安全等級保護三級或以上的防護標準要求。DB33/T 223320199附 錄 A（資料性附錄）證照信息數(shù)據(jù)簽名過程說明證照信息數(shù)據(jù)示例ZZBH: 1233*K, CZZT: 浙江省*委員會, KZ_ZCDZ: 浙江省杭州市*路, KZ_FDD

28、BR: 王*,KZ_ZJLY: 全額財政補助,KZ_ZCZJ: 5195,KZ_JBDW: 杭 州 市 * 委 員 會 , ZZBFJG: 杭州市機構(gòu)編制委員會辦公室, KZ_ZZZT: 正常,ZZYXQQSRQ: 2018-01-01,ZZYXQJZRQ: 2023-01-01可信電子證照的證照信息數(shù)據(jù)推薦以JSON格式進行組織，Key值為英文字母或英文字母+下劃線。以JSON格式描述證照信息部分數(shù)據(jù)，舉例如下：證照信息數(shù)字簽名CZZT:浙江省*委員會,KZ_FDDBR:王*,KZ_JBDW:杭州市*委員會,KZ_ZCDZ:浙江省杭州市*路,KZ_ZCZJ:5195,KZ_ZJLY:全額財政

29、補助,KZ_ZZZT: 正常,ZZBFJG: 杭州市 機 構(gòu) 編 制 委 員 會 辦 公 室 ,ZZBH:1233*K,ZZYXQJZRQ: 2023-01-01,ZZYXQQSRQ: 2018-01-01進行數(shù)字簽名時，Key值以ASCII順序方式轉(zhuǎn)換為鍵值相連的字符串。證照JSON格式Key值轉(zhuǎn)換描述舉例如下：為了降低網(wǎng)絡(luò)帶寬占用，使用簽名服務時建議先對上述字符串進行哈希運算，推薦采用SM3算法或SHA256算法。推薦使用國家認可的CA機構(gòu)頒發(fā)的SM2算法的數(shù)字證書，遵循GM/T 0009 SM2密碼算法使用規(guī)范標準對上述字符串進行簽名運算，得到的簽名值格式也要符合上述標準。DB33/T

30、2233201910附 錄 B（規(guī)范性附錄） 電子文件簽名過程可信電子證照文件如果采用OFD格式，則其數(shù)字簽名應符合GB/T 36905?？尚烹娮幼C照文件如果采用非OFD版式文件格式，如PDF，則將整個電子文件作為一段數(shù)據(jù)，而不用去解析電子文件格式，方便電子證照庫系統(tǒng)處理和統(tǒng)一驗證。為了不破壞電子文件原文，電子文件的簽名值原則上不嵌入到電子文件中，進行獨立存儲。簽名時，遵循 GM/T 0009 對整個電子文件數(shù)據(jù)進行簽名運算，得到的簽名值格式也要符合上述標準。推薦使用國家認可的CA機構(gòu)頒發(fā)的SM2算法的數(shù)字證書。為了降低所需網(wǎng)絡(luò)帶寬要求，調(diào)用簽名服務器時推薦先對電子文件數(shù)據(jù)進行哈希運算，推薦哈

31、希算法為SM3算法、SHA256算法。也可采用與文件存儲服務一致的哈希算法，避免重復計算，方便驗證。DB33/T 2233201911附 錄 C（資料性附錄）證照電子文件生成配置方式示例版式文件生成方式可信電子證照庫版式文件生成可采用證照底圖套顯數(shù)據(jù)方式，原則上生成與實體證照樣式基本一致的電子文件，符合國家政務服務平臺電子證照系列標準。如證照業(yè)務主管部門有特殊要求，在取得電子證照管理機構(gòu)同意后，可自行設(shè)計電子文件格式。版式文件生成配置過程版式文件生成的配置過程可以參照以下過程要求：證照數(shù)源單位提供與證照信息數(shù)據(jù)相對應的空白證照底圖和樣例。證照數(shù)源單位提供的底圖圖片分辨率 150dpi 以上，2

32、4 位以上彩色 JPG 或 PNG 圖片，與實體證照比例為 1:1，單頁大小控制在 800KB 以內(nèi)。同時附上說明文檔，內(nèi)容包括：各照面字段名稱和內(nèi)容的文字大小、顏色、位置；如照面上有印章則說明印章位置、大小、樣式規(guī)則。可信電子證照庫管理機構(gòu)根據(jù)證照數(shù)源單位提供的底圖制作證照模板并上傳到可信電子證照庫。DB33/T 2233201912附 錄 D（資料性附錄） 共享返回數(shù)據(jù)結(jié)構(gòu)示例證照信息數(shù)據(jù)共享返回數(shù)據(jù)結(jié)構(gòu)示例電子證照共享服務接口如采用一本證照一個接口的方式，其返回的證照信息數(shù)據(jù)格式描述舉例如下：ELC_LICENCE_NAME: 電子證照名稱,ELC_LICENCE_DEPT: 電子證照來

33、源部門, ELC_LICENCE_CODE: 電子證照編碼, ELC_LICENCE_FILE: URL: 電 子 證 照 文 件 地 址 SIGN_CERT: 電子證照文件簽名證書, SIGN_VALUE: 電子證照文件簽名值, TSA: 電子證照文件時間戳簽名值, ELC_LICENCE_STRUCT: SIGN_CERT: 證照信息數(shù)據(jù)簽名證書, SIGN_VALUE: 證照信息數(shù)據(jù)簽名值, TSA: 證照信息數(shù)據(jù)時間戳簽名值, DATA: KZ_CSRQ: 出生日期 - yyyyMMdd, ZZBH: 公民身份號碼,KZ_CZRKMZ: 民族,ZZBFJG: 簽發(fā)機關(guān),KZ_CZRKX

34、B: 性別,CZZT: 姓名,ZZYXQJZRQ: 有效期截止日期 - yyyyMMdd, ZZYXQQSRQ: 有效期起始日期 - yyyyMMdd, KZ_CZRKZZ: 住址,ELC_LICENCE_RELATES: KZ_NAME: 附件名稱,KZ_FILE_URL: 附件文件地址, SIGN_CERT: 附件簽名證書, SIGN_VALUE: 附件簽名值,TSA: 附件時間戳簽名值DB33/T 2233201913實時共享返回的數(shù)據(jù)結(jié)構(gòu)示例證明類實時共享接口返回的證照信息數(shù)據(jù)組織結(jié)構(gòu)描述舉例如下： ELC_LICENCE_NAME: 浙江省社會保險參保證明（單位專用）, ELC_LI

35、CENCE_DEPT: 杭州市社會保險管理服務局, ELC_LICENCE_CODE: 54c3af309a7c4533ac39d52889efed9a, ELC_LICENCE_FILE: URL: 證 明 文 件 地 址 SIGN_CERT: 證明文件簽名證書, SIGN_VALUE: 證明文件簽名值, TSA: 證明文件時間戳簽名值, ELC_LICENCE_STRUCT: SIGN_CERT:證明信息數(shù)據(jù)簽名證書, SIGN_VALUE:證明信息數(shù)據(jù)簽名值, TSA:證明信息數(shù)據(jù)時間戳簽名值, DATA: 各廳局定義的具體證明數(shù)據(jù)DB33/T 2233201914附 錄 E（資料性附錄

36、） 驗證過程說明在線驗證概述可信電子證照庫提供在線驗證服務，以實現(xiàn)對已共享證照信息數(shù)據(jù)和電子文件數(shù)據(jù)的簽名驗證功能。簽名驗證服務以接口的形式提供，使用者需以JSON格式傳入待驗簽數(shù)據(jù)、簽名結(jié)果值、簽名證書公鑰，驗簽接口返回驗簽結(jié)果。在線驗證服務示例以JAVA語言為例，采用HTTP REST方式提供在線驗證服務，以XXXX證照示例如下：public void testPost() throws Exception String full_name = XXXX證;String type_code = “1110*1; Map data = new HashMap(); data.put(ZZBH

37、,1233*K); data.put(CZZT, 浙 江 省 * 委 員 會 ); data.put(KZ_ZCDZ,浙江省杭州市*路); data.put(KZ_FDDBR,王*);data.put(KZ_ZJLY,全額財政補助);data.put(KZ_ZCZJ,5195);data.put(KZ_JBDW, 杭 州 市 * 委 員 會 ); data.put(ZZBFJG,杭州市機構(gòu)編制委員會辦公室); data.put(ZZYXQQSRQ,2018-01-01);data.put(ZZYXQJZRQ,2023-01-01);HttpClient client = HttpClients

38、.createDefault();HttpPost post = new HttpPost( HYPERLINK http:/x.x.x.x/api/common/verf_licence_data/V1.0 http:/x.x.x.x/a HYPERLINK http:/x.x.x.x/api/common/verf_licence_data/V1.0 pi/common/verf_licence_data/V1.0);List urlParameters = new ArrayList(); urlParameters.add(new BasicNameValuePair(full_nam

39、e,full_name); urlParameters.add(new BasicNameValuePair(type_code,type_code); for (String key : data.keySet() urlParameters.add(new BasicNameValuePair(key,String.valueOf(data.get(key);try File file = new File(XXXX證電子文件路徑);DB33/T 22332019FileInputStream inputFile = new FileInputStream(file); byte buff

40、er = new byte(int) file.length(); inputFile.read(buffer);inputFile.close();String file_content = BASE64Encoder().encode(buffer); urlParameters.add(new BasicNameValuePair(file_content,file_content);UrlEncodedFormEntity urlEncodedFormEntity = new UrlEncodedFormEntity(urlParameters, utf-8);post.setEnti

41、ty(urlEncodedFormEntity); CloseableHttpResponse response = client.execute(post); int statusCode = response.getStatusLine().getStatusCode(); if(statusCode = HttpStatus.SC_OK) HttpEntity resEntity = response.getEntity(); if(resEntity != null) System.out.println(EntityUtils.toString(resEntity); else System.out.println(請求失?。?; catch (Exception e) e.printStackT