信息安全技術(shù)公民網(wǎng)絡電子身份標識安全技術(shù)要求 第3部分：驗證服務協(xié)議

公民網(wǎng)絡電子身份標識安全技術(shù)要求第3部分：驗證服務協(xié)議范圍本部分規(guī)定了公民網(wǎng)絡電子身份標識驗證過程的參與方、網(wǎng)絡電子身份標識驗證服務接口的調(diào)用方式、消息格式和編碼處理規(guī)則。本部分適用于網(wǎng)絡電子身份標識驗證服務及使用該服務的應用與系統(tǒng)的設計和開發(fā)。規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB13000-2010信息技術(shù)通用多八位編碼字符集（UCS）GB/T25069-2010信息安全技術(shù)術(shù)語GB/T26231-2010信息技術(shù)開放系統(tǒng)互連OID的國家編號體系和注冊規(guī)程IETFRFC4648-2006TheBase16,Base32,andBase64DataEncodings術(shù)語GB/T25069-2010界定的以及下列術(shù)語適用于本文件。網(wǎng)絡電子身份cyberelectronicidentity用于網(wǎng)絡在線識別個人身份的電子標識，也稱網(wǎng)絡電子身份標識，包括公民網(wǎng)絡電子身份標識和普通網(wǎng)絡電子身份標識。普通網(wǎng)絡電子身份標識commoncyberelectronicidentity由證書認證機構(gòu)頒發(fā)的用于網(wǎng)絡在線識別個人身份的網(wǎng)絡電子身份，通過嵌入公民網(wǎng)絡電子身份標識碼與公民網(wǎng)絡電子身份標識建立關(guān)聯(lián)關(guān)系。由一對非對稱密鑰和含有其中公鑰及相關(guān)信息的數(shù)字證書組成。公民網(wǎng)絡電子身份標識citizencyberelectronicidentity；eID 由國家主管部門頒發(fā)，與個人真實身份具有一一對應關(guān)系，用于在線識別公民真實身份的網(wǎng)絡電子身份。由一對非對稱密鑰和含有其公鑰及相關(guān)信息的數(shù)字證書組成。eID服務平臺eIDserviceplatform提供eID的生成、存儲、使用及維護等全生命周期業(yè)務處理相關(guān)服務的系統(tǒng)。eID身份驗證eIDverification通過將所提交的eID身份聲明與事先證明的信息進行比較來確認聲明的eID身份是正確的過程。eID身份注冊eIDregistration通過為實體的身份賦予唯一的eID標識碼，提供一組作為聲明的身份和/或權(quán)利的證據(jù)的數(shù)據(jù)，并簽發(fā)eID載體，保證其真實性。eID移動應用eIDmobileapplication在移動客戶端上運行的eID應用。eID驗證服務eIDauthenticationservice由eID服務平臺提供給各應用的進行身份識別及驗證的服務。eID桌面應用eIDdesktopapplication通過桌面客戶端運行的eID應用。縮略語下列縮略語適用于本文件。AP:應用服務提供商（ApplicationProvider）eID:公民網(wǎng)絡電子身份標識（citizencyberElectronicIDentity）HTTPS:安全超文本傳輸協(xié)議（HypertextTransferProtocoloverSecureSocketLayer）OID:對象標識符（ObjectIdentifier）PIN:個人識別碼（PersonalIdentificationNumber）SDK:軟件開發(fā)工具包（SoftwareDevelopmentKit）概述eID系統(tǒng)的eID身份驗證包含三個參與者：eID服務平臺，應用服務提供商和持有eID的用戶。當應用服務提供商需要使用eID驗證服務來驗證網(wǎng)絡用戶的訪問請求時，應用服務提供商應完成相應的eID加密或簽名運算，將結(jié)果按照本部分所述封裝成符合eID驗證服務接口技術(shù)要求的形式，再傳輸給eID服務平臺。eID服務平臺在完成eID驗證功能后，將驗證結(jié)果按照eID驗證服務接口技術(shù)要求的形式返回給應用服務提供商。應用服務提供商在每次發(fā)送驗證服務請求時，驗證服務都會返回一個隨機數(shù)作為本次驗證服務的挑戰(zhàn)。上述流程如圖1所示，具體步驟如下：eID身份驗證步驟應用服務提供商根據(jù)需要向eID服務平臺發(fā)送服務請求。eID服務平臺返回一個隨機數(shù)作為本次驗證服務的挑戰(zhàn)。應用服務提供商完成相應的eID運算，將待傳輸數(shù)據(jù)按照本部分中8.2節(jié)或9.2節(jié)所規(guī)定的格式要求組建。并將組建完成的數(shù)據(jù)作為驗證請求，發(fā)送給eID服務平臺。eID服務平臺在本地執(zhí)行相關(guān)的驗證服務后，按照本部分中8.3節(jié)或9.3節(jié)的格式返回相應的驗證結(jié)果應用服務提供商。AP在接入eID驗證服務前，應首先在eID服務平臺中進行注冊，并獲得對應的應用標識與共享密鑰。以保證后續(xù)流程的執(zhí)行，并使得eID服務平臺可以對應用服務提供商AP與用戶進行驗證與授權(quán)。只有通過注冊的應用系統(tǒng)，才能與eID驗證服務接口建立合法的通信連接。eID驗證服務將使用應用注冊信息對每次應用訪問進行安全訪問審核。例如：應用服務提供商AP提交ICP備案號，營業(yè)執(zhí)照副本，稅務登記證，組織機構(gòu)代碼證等材料給eID服務平臺，來完成注冊前的審核。相關(guān)注冊要求見7.2節(jié)，eID服務平臺對注冊請求返回結(jié)果見7.3節(jié)。根據(jù)應用的不同，eID驗證服務接口分為eID桌面驗證服務接口和eID移動驗證服務接口。公民網(wǎng)絡電子身份標識驗證服務接口處理規(guī)則消息編碼與處理規(guī)則參數(shù)類型本部分使用如下參數(shù)類型：Char：表示GB13000-2010中所規(guī)定的字符集中的一個字符，本部分中所使用的字符類型參數(shù)僅包含可見字符，此外，本部分使用‘，’字符作為分隔符，因此參數(shù)的值不能包含‘，’字符。Byte：表示8比特長的單個字節(jié)。Char(X)表示長度固定為X個Char類型字符的參數(shù)。Char(A..B)表示長度為A至B個Char類型字符的參數(shù)。Byte(0..A)表示可為空且長度至多為A個Byte類型字節(jié)的參數(shù)。參數(shù)編碼規(guī)則本部分所規(guī)定的接口應采用HTTPS信道進行傳輸。消息發(fā)送方（AP和eID平臺）應按照以下步驟生成并發(fā)送請求參數(shù)：消息發(fā)送方將所有參數(shù)類型為Byte()的參數(shù)的值按照IETFRFC4648-2006中所述Base64編碼規(guī)則進行編碼，將其轉(zhuǎn)化為Char()類型。消息發(fā)送方將所有參數(shù)按照如下格式組裝成Char()類型的字符串：{ “參數(shù)標識1”:“參數(shù)值1”, “參數(shù)標識2”:“參數(shù)值2”, … “參數(shù)標識N”:“參數(shù)值N”,}其中名稱/值對的名稱應與本部分所規(guī)定的參數(shù)標識嚴格一致，各參數(shù)標識間無順序。在組裝時，應忽略所有的不可見字符，具體的請求參數(shù)示例見附錄B。若某參數(shù)值為空，則在生成的字符串中，該參數(shù)的參數(shù)標識保留，參數(shù)值設為空（長度為0的字符串）。消息發(fā)送方將組裝好的數(shù)據(jù)放入httpbody域中，并新增下列內(nèi)容HEAD：“idsp-protocol-version=2.0.0”用來描述本協(xié)議內(nèi)容的版本號。消息發(fā)送方使用ISO/IEC10646:2014中規(guī)定的UTF-8編碼格式對上述字符串進行編碼，然后用POST方式將消息發(fā)送到請求地址。參數(shù)解析要求收到消息后，消息接收方應按照6.1節(jié)規(guī)定的對組裝好的參數(shù)進行解析，獲取各名稱對應的參數(shù)值。對于使用本部分的消息接收方，在對收到的參數(shù)進行解析時應遵循以下要求：消息接收方按照6.1節(jié)規(guī)定的格式對收到的消息進行解析，即確定消息字符串的首字符與尾字符分別為‘{’與‘}’否則當成本次請求失敗進行處理。使用‘，’作為分隔符將消息字符串分割成若干名稱/值對。獲取相應的名稱/值對后，搜索第一個‘:’作為分隔符，將名稱/值對解析為名稱和值兩部分。確定名稱和值均以‘“’與‘”’作為起始與結(jié)束，否則當成本次請求失敗進行處理。將名稱的內(nèi)容與本部分7至9章規(guī)定的各參數(shù)的參數(shù)標識相同的名稱/值對進行處理。如果收到的消息不符合6.1節(jié)規(guī)定的數(shù)據(jù)格式，消息接收方應當成本次請求失敗進行處理。在解析消息時，消息接收方應忽略名稱未在本部分7至9章參數(shù)標識中出現(xiàn)的名稱/值對。在解析消息時，如果存在多個名稱相同的名稱/值對，且格式符合本部分的規(guī)定，則消息接收方可根據(jù)需要當成本次請求失敗進行處理或僅接收最后出現(xiàn)的名稱/值對中的值。在解析消息時，消息接收方應確認收到的數(shù)據(jù)中值的長度符合本部分7至9章所規(guī)定的消息長度，否則當成本次請求失敗進行處理。如果收到的數(shù)據(jù)中未包含一個或多個必選的參數(shù)所對應的名稱/值對，或該參數(shù)的值不符合本部分定義的參數(shù)類型，消息接收方應當成本次請求失敗進行處理。各接口的請求與返回消息示例見附錄B。接口調(diào)用方式eID服務平臺提供的接口調(diào)用方式分為異步調(diào)用和同步調(diào)用兩種。當AP通過異步調(diào)用方式調(diào)用接口時，需要在請求消息中通過return_url參數(shù)發(fā)送一個供eID服務平臺使用的結(jié)果返回地址。eID服務平臺會在收到AP發(fā)送的消息后返回確認消息，其內(nèi)容為：{“received”:”true”}，表示請求已接收到，如果AP在預先定義的超時時間后未收到eID服務平臺的同步返回結(jié)果，應當成本次請求失敗進行處理，不可以將相同的信息進行重復發(fā)送。超時時間可根據(jù)網(wǎng)絡與應用實際情況制定。隨后，eID服務平臺會通過參數(shù)中return_url中包含的結(jié)果返回將業(yè)務處理結(jié)果返回給AP，AP在接收到eID服務平臺的處理結(jié)果之后，需要向eID服務平臺返回確認消息，其內(nèi)容為：{“received”:”true”}，表示已接收到結(jié)果。如果eID服務平臺在超時時間內(nèi)未收到AP的接收確認，eID服務平臺應根據(jù)策略按一定間隔重復發(fā)送直到達到最大重試次數(shù)或收到AP的接收確認。因此，AP有可能會收到多次相同的處理結(jié)果數(shù)據(jù)，AP應自行處理此邏輯，避免異常。當AP通過同步調(diào)用方式調(diào)用接口時，eID服務平臺會保持會話，待處理完所有業(yè)務以后，按照7至9節(jié)中的定義直接返回相關(guān)參數(shù)。如果AP在超時時間內(nèi)未收到eID服務平臺的同步返回結(jié)果，應當成本次請求失敗進行處理。超時時間可根據(jù)網(wǎng)絡與應用實際情況制定。簽名參數(shù)生成當?shù)谌綉门ceID服務平臺需要生成signature參數(shù)時，應按照以下步驟進行處理：生成消息中除去signature和sign_type兩個參數(shù)外的其他所有需要使用到的參數(shù)，將這些參數(shù)作為需簽名參數(shù)。對需簽名參數(shù)數(shù)組里的每一個名稱/值對按名稱從a到z的順序排序，若首字母相同，則依照第二個字母進行排序，以此類推。排序完成之后，將字符串中的所有‘&’字符改為“\&”進行轉(zhuǎn)義，之后再把所有數(shù)組值以‘&’字符連接起來。直接在步驟2)中得到的字符串后連接“app_key=”和app_key的值后得到最終的待簽名字符串。使用sign_type中規(guī)定的簽名算法對步驟3)中的到的待簽名字符串進行簽名，所得的簽名作為signature參數(shù)的值。本節(jié)所規(guī)定的簽名參數(shù)的生成示例見附錄A。注冊接口參數(shù)輸入?yún)?shù)應用服務提供商信息參數(shù)標識：app_info參數(shù)類型：Char(1..50)參數(shù)說明：待注冊的應用服務提供商信息，為必選項。應用服務提供商名稱參數(shù)標識：app_name參數(shù)類型：Char(1..50)參數(shù)說明：待注冊的應用服務提供商名稱，為必選項。機構(gòu)名稱參數(shù)標識：app_org參數(shù)類型：Char(1..50)參數(shù)說明：待注冊的應用服務提供商所屬機構(gòu)名稱，為必選項。域名參數(shù)標識：app_domain參數(shù)類型：Char(1..80)參數(shù)說明：待注冊的應用服務提供商的域名，為必選項。IP地址參數(shù)標識：ip_addr參數(shù)類型：Char(1..15)參數(shù)說明：待注冊的應用服務提供商的IP地址，為必選項。結(jié)果返回地址參數(shù)標識：return_url參數(shù)類型：Char（1..255）參數(shù)說明：返回結(jié)果的URL地址,可空，為必選項。返回參數(shù)應用服務提供商信息參數(shù)標識：app_info參數(shù)類型：Char(1..50)參數(shù)說明：待注冊的應用服務提供商信息，為必選項。應用服務提供商名稱參數(shù)標識：app_name參數(shù)類型：Char(1..50)參數(shù)說明：待注冊的應用服務提供商名稱，為必選項。機構(gòu)名稱參數(shù)標識：app_org參數(shù)類型：Char(1..50)參數(shù)說明：待注冊的應用服務提供商所屬機構(gòu)名稱，為必選項。域名參數(shù)標識：app_domain參數(shù)類型：Char(1..80)參數(shù)說明：待注冊的應用服務提供商的域名，為必選項。IP地址參數(shù)標識：ip_addr參數(shù)類型：Char(1..15)參數(shù)說明：待注冊的應用服務提供商的IP地址，為必選項。結(jié)果返回地址參數(shù)標識：return_url參數(shù)類型：Char（1..255）參數(shù)說明：返回結(jié)果的URL地址，可空，為必選項。應用服務提供商標識參數(shù)標識：app_id參數(shù)類型：Char(39)參數(shù)說明：注冊在eID服務平臺的唯一的應用號，前兩位為標識位，默認為DF，公安應用前兩位為GA，由eID服務平臺頒發(fā)。為必選項。共享密鑰參數(shù)標識：app_key參數(shù)類型：Byte（1..100）參數(shù)說明：由eID服務平臺產(chǎn)生，為必選項。服務器URL參數(shù)標識：server_url參數(shù)類型：Char（1..255）參數(shù)說明：請求服務的地址，為必選項。服務器公鑰證書參數(shù)標識：server_cert參數(shù)類型：Byte(1..10000)參數(shù)說明：應用服務提供商對返回結(jié)果驗簽所需的證書文件，可空，為必選項。eID驗證服務接口概述eID驗證服務接口包含eID桌面驗證服務接口和eID移動驗證服務接口，分別為eID桌面應用與eID移動應用中的應用服務提供商與eID服務平臺的交互提供交互協(xié)議與數(shù)據(jù)傳輸格式要求。數(shù)據(jù)的傳輸包含應用服務提供商發(fā)往eID服務平臺的請求參數(shù)與eID服務平臺返回給應用服務提供商的返回參數(shù)。應用服務提供商請求參數(shù)應用服務提供商ID參數(shù)標識：app_id參數(shù)類型：Char(39)參數(shù)說明：注冊在eID服務平臺的唯一的應用號，前兩位為標識位，為必選項。簽名方式參數(shù)標識：sign_type參數(shù)類型：Char(1..100)參數(shù)說明：簽名使用的算法對應的OID，為必選項。簽名值參數(shù)標識：signature參數(shù)類型：Byte(1..2000)參數(shù)說明：使用sign_type中所規(guī)定的簽名算法對需要參與簽名的參數(shù)進行簽名得到的值，為必選項，具體規(guī)則見6.4節(jié)。結(jié)果返回URL參數(shù)標識：return_url參數(shù)類型：Char(1..255)參數(shù)說明：結(jié)果返回應用服務提供商路徑，為必選項。業(yè)務流水號參數(shù)標識：biz_sequence_id參數(shù)類型：Char(64)參數(shù)說明：應用針對本次請求的唯一標識串碼，為必選項。請求時間參數(shù)標識：apply_time參數(shù)類型：Char(19)參數(shù)說明：時間，格式為yyyy-MM-ddHH:mm:ss；為必選項。業(yè)務類型參數(shù)標識：biz_type參數(shù)類型：Char(2)參數(shù)說明：為必選項。具體值的含義如下：“01”：桌面帳號綁定；“02”：桌面帳號找回；“03”：移動一鍵帳號綁定；“04”：移動一鍵帳號找回；“05”：桌面安全登錄；“06”：移動一鍵安全登錄；“07”：移動實名認證；“08”：后臺實名認證安全等級參數(shù)標識：security_class參數(shù)類型：Char(1)參數(shù)說明：業(yè)務對應用的安全等級，為必選項。eID用戶信息參數(shù)標識：eid_user_info參數(shù)類型：Char(1..100)參數(shù)說明：僅在eID桌面應用中使用。在支付業(yè)務中，通過eID支付終端SDK簽名函數(shù)獲得的用戶信息?？蛇x項。eID簽名值參數(shù)標識：eid_sign_info參數(shù)類型：Byte(1..2000)參數(shù)說明：僅在eID桌面應用中使用。實名認證中，通過eID支付終端SDK簽名函數(shù)獲得的簽名結(jié)果，為必選項。簽名算法ID參數(shù)標識：sign_algorithm_id參數(shù)類型：Char(1..100)參數(shù)說明：僅在eID桌面應用中使用。用戶用eID設備簽名使用的算法對應的OID，為必選項。待簽信息原文參數(shù)標識：data_to_sign參數(shù)類型：Char(1..2000)參數(shù)說明：僅在eID桌面應用中使用。用戶發(fā)起的交易原文明文，為可選項。eID屬性信息可選項。保留。消息擴展參數(shù)標識：extension參數(shù)類型：Char(1..200)參數(shù)說明：為后續(xù)應用提供一些擴展服務，為必選項。手機號碼參數(shù)標識：user_phone參數(shù)類型：Char(1..15)參數(shù)說明：僅在eID移動應用中使用。當前應用運行平臺對應的手機號碼，為必選項。eID服務平臺返回參數(shù)返回結(jié)果參數(shù)標識：result參數(shù)類型：Char(5)參數(shù)說明：業(yè)務處理結(jié)果，為必選項。簽名方式參數(shù)標識：sign_type參數(shù)類型：Char(2)參數(shù)說明：簽名使用的算法對應的OID，為必選項。簽名值參數(shù)標識：signature參數(shù)類型：Byte(1..2000)參數(shù)說明：使用sign_type中所規(guī)定的簽名算法對需要參與簽名的參數(shù)進行簽名得到的值，為必選項，具體格式見6.4節(jié)。業(yè)務流水號參數(shù)標識：biz_sequence_id參數(shù)類型：Char(64)參數(shù)說明：針對本次請求及應答的唯一標識串碼，為必選項。返回時間參數(shù)標識：result_time參數(shù)類型：Char(19)參數(shù)說明：時間，格式為yyyy-MM-ddHH:mm:ss，為必選項。eID標識碼參數(shù)標識：eID_code參數(shù)類型：Char(1..80)參數(shù)說明：用戶登錄的eID標識碼，為必選項。用戶賬戶參數(shù)標識：user_account參數(shù)類型：Char(1..80)參數(shù)說明：僅在eID桌面應用中使用。用戶在應用服務提供商注冊的賬號，為必選項。消息擴展參數(shù)標識：extension參數(shù)類型：Char(1..200)參數(shù)說明：無，為必選項。_________________________________

（資料性附錄）簽名參數(shù)生成示例待簽名字符串生成方法示例例如，對于如下的參數(shù)數(shù)組：string[]parameters={"app_id":"1234567890","return_url":"/verify/return_url.asp","biz_sequence_id":"1234567890123456789012345678901234567890123456789012345678901234","apply_time":"2013-01-0110:10:10","cellphone":"12345678901"};則根據(jù)6章步驟2）規(guī)則所生成的字符串如下：app_id=001234567890&apply_time=2013-01-0110:10:10&biz_sequence_id=1234567890123456789012345678901234567890123456789012345678901234&cellphone=12345678901&return_url=/verify/return_url.asp之后，根據(jù)6章步驟3）規(guī)則的描述，直接連接app_key后得到最終的待簽名字符串如下（設app_key=”app_key”）：app_id=1234567890&apply_time=2013-01-0110:10:10&biz_sequence_id=1234567890123456789012345678901234567890123456789012345678901234&cellphone=12345678901&return_url=/verify/return_url.aspapp_key此字符串便是最終的待簽名字符串。

（資料性附錄）請求與返回消息示例概述本附錄描述了7至9章所述各請求與返回消息的示例，供應用參考，在應用時，應根據(jù)實際情況生成相應的參數(shù)內(nèi)容。注冊請求與返回消息示例注冊請求消息示例如7.2節(jié)所示注冊請求消息示例如下。{"app_info":"eid_service_example","app_name":"example_sp","app_org":"example_org","app_domain":"","ip_addr":"","sign_cert":"CERT=0123456789ABCDEF","app_type":"DF","sign_type":"2","return_url":"/return_url"}注冊返回消息示例如7.3節(jié)所示注冊返回消息示例如下。{"app_info":"eid_service_example","app_name":"example_sp","app_org":"example_org","app_domain":"","ip_addr":"","sign_cert":"CERT=0123456789ABCDEF","app_type":"DF","sign_type":"0197.1.501","return_url":"/return_url","app_id":"DF1234567890123456789012345678901234567","app_key":"0123456789ABCDEF0123456789ABCDEF","server_url":"/server_url","server_cert":"CERT=ABCDEF0123456789"}桌面驗證請求與返回消息示例桌面驗證請求消息示例如8.2節(jié)所示桌面驗證請求消息示例如下。{"app_id":"DF1234567890123456789012345678901234567","sign_type":"0197.1.501","signature":"0123456789ABCDEF","return_url":"/return_url","biz_sequence_id":"00123456789","apply_time":"2013-01-0110:10:10","biz_type":"1","security_class":"1","eid_user_info":"userinfo","eid_sign_info":"0123456789ABCDEF","sign_algorithm_id":"1","data_to_sign":"data","extension":"some_extension"}桌面驗證返回消息示例如8.3節(jié)所示桌面驗證請求消息示例如下。{