DB3413T 0013-2022 居民服務(wù)一卡通服務(wù)平臺 接入技術(shù)規(guī)范

ICS35.080CCSL773413Serviceplatformforresidentservicecard—SpecificationofaccesstechnologyIDB3413/T0013—2022本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由宿州市人力資源和社會保障局提出并歸口。本文件起草單位：宿州市人力資源和社會保障局、宿州市數(shù)據(jù)資源管理局、宿州市交通運輸局、宿州市公共交通有限公司、宿州市文化和旅游局。本文件主要起草人：劉鋒、程松、崔龍、張夢龍、朱俊臣、高慶濤、高元元、蔣春峰、付瑤、徐珂。1DB3413/T0013—2022居民服務(wù)一卡通服務(wù)平臺接入技術(shù)規(guī)范本文件規(guī)定了接入居民服務(wù)一卡通服務(wù)平臺（以下簡稱“一卡通平臺”）的要求、接入流程、接入方式、接入方法和接入安全控制。本文件適用于一卡通平臺的接入，及與一卡通平臺應(yīng)用相關(guān)的軟件設(shè)計和開發(fā)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T28452信息安全技術(shù)應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求GB/T32918（所有部分）信息安全技術(shù)SM2橢圓曲線公鑰密碼算法GB/T35273信息安全技術(shù)個人信息安全規(guī)范LD/T92社會保險管理信息系統(tǒng)指標(biāo)集與代碼DB3413/T0012-2022居民服務(wù)一卡通服務(wù)平臺數(shù)據(jù)編碼規(guī)范3術(shù)語和定義DB3413/T0012-2022界定的術(shù)語和定義適用于本文件。4要求4.1基本要求4.1.1具有固定的接入IP地址。4.1.2以一卡通平臺分配的用戶ID、用戶密碼接入身份驗證。4.1.3軟件設(shè)計應(yīng)符合GB/T28452的要求。4.1.4系統(tǒng)安全防護能力應(yīng)符合GB/T22239中安全等級保護三級及以上的要求。4.2網(wǎng)絡(luò)類型應(yīng)用系統(tǒng)可通過以下網(wǎng)絡(luò)接入一卡通平臺：a)國家電子政務(wù)外網(wǎng)；b)人力資源和社會保障業(yè)務(wù)專網(wǎng)；c)互聯(lián)網(wǎng)。4.3接口要求2DB3413/T0013—2022一卡通平臺提供標(biāo)準(zhǔn)的應(yīng)用接口，按國家安全標(biāo)準(zhǔn)進行加密傳輸，供應(yīng)用系統(tǒng)調(diào)用，接入方應(yīng)填寫基本信息，見表1。表1接入方基本信息5接入流程5.1應(yīng)用接入流程接入流程圖見圖1。上線上線圖1應(yīng)用接入流程圖5.2接入申請5.2.1接入方按申請表格式要求，提交材料包括接入IP、聯(lián)系人、聯(lián)系方式、機構(gòu)信息、對接內(nèi)容等基礎(chǔ)信息。3DB3413/T0013—20225.2.2接入方按一卡通平臺在線填報要求，線上填報網(wǎng)點、設(shè)備、應(yīng)用系統(tǒng)等運行信息及參數(shù)。5.3接入測試5.3.1接入方按授權(quán)的測試環(huán)境，配置賬戶信息和測試密鑰，并按對接規(guī)范進行開發(fā)，開展聯(lián)調(diào)測試。5.3.2接入方完成測試事項，形成測試報告。5.4上線啟用5.4.1接入方提交上線申請，一卡通平臺分配正式密鑰。5.4.2接入方獲得正式密鑰，配置應(yīng)用系統(tǒng)，完成上線。6接入方式6.1HTTP接入6.1.1采用HTTP/1.1協(xié)議，使用POST方法提交請求，請求包含身份令牌（access_token）參數(shù)。6.1.2請求及返回報文為JSON格式，字符編碼為UTF-8，涉及社會保障參數(shù)，格式應(yīng)符合LD/T92的要求。6.1.3應(yīng)用系統(tǒng)應(yīng)按申請時報備的IP地址接入。6.2H5頁面接入6.2.1采用HTTP/1.1協(xié)議，使用GET方法提交請求。6.2.2請求及返回報文字符編碼為UTF-8，涉及社會保障參數(shù)，格式應(yīng)符合LD/T92的要求。6.2.3應(yīng)用系統(tǒng)拼接URL地址及攜帶參數(shù)（見7.2），發(fā)起GET請求，調(diào)用一卡通平臺H5頁面。6.2.4應(yīng)用系統(tǒng)應(yīng)按申請時報備的IP地址接入。7接入方法7.1HTTP方式接入7.1.1API方式實現(xiàn)數(shù)據(jù)層面交互。通過該方式進行對接，應(yīng)用系統(tǒng)獲取所需要的數(shù)據(jù)，根據(jù)自身業(yè)務(wù)邏輯，開發(fā)相應(yīng)頁面，實現(xiàn)數(shù)據(jù)展示及業(yè)務(wù)辦理。7.1.2API接入應(yīng)符合HTTPrestful風(fēng)格。簽名相關(guān)的公共參數(shù)統(tǒng)一放在請求HTTP的header中。HTTP訪問簽名設(shè)定見附錄A。7.1.3格式：http://{ip}:{port}/api-rest/{sceneCode}/{serviceCode}/{version}?access_token={accessToken}&token={token}&flag={flag}7.1.4輸入?yún)?shù)見表2。表2API請求參數(shù)是是是4DB3413/T0013—2022表2（續(xù)）是是是否否7.2H5頁面方式接入7.2.1請求過程接入方采用基于HTTP協(xié)議的URL通信方式，發(fā)起HTTP請求，將經(jīng)過統(tǒng)一算法進行加密及簽名的參數(shù)串提交到一卡通平臺，一卡通平臺對相關(guān)參數(shù)進行解析核驗，核驗通過后返回對應(yīng)的H5頁面資源。核驗不通過時向接入方提示錯誤信息。7.2.2數(shù)據(jù)交互通過互聯(lián)網(wǎng)進行訪問。接入方按一卡通平臺H5標(biāo)準(zhǔn)規(guī)范拼接URL地址及攜帶參數(shù)。由一卡通平臺H5解析參數(shù)，對應(yīng)用進行身份鑒權(quán)、應(yīng)用訪問鑒權(quán)，鑒權(quán)通過后返回請求的H5資源，用于接入方應(yīng)用端展示。格式：http://{ip}:{port}/api-rest/forward?{sceneCode}/{serviceCode}/${version}?access_token={accessToken}&token={token}&security={encrypt_key}&_api_signature={sign_key}約定：所有請求的charset應(yīng)為UTF-8。輸入?yún)?shù)見表3。表3H5請求參數(shù)是是是是是是否是_api_signature是訪問簽名見附錄B。8接入安全控制8.1身份驗證8.1.1接入方身份驗證基于IP白名單和token訪問令牌，驗證通信身份的合法性，通信報文添加時間5DB3413/T0013—2022戳校驗，驗證應(yīng)用訪問的唯一性。8.1.2應(yīng)用系統(tǒng)使用一卡通平臺分配的用戶ID和密碼，申請調(diào)用獲取身份令牌。8.1.3一卡通平臺對應(yīng)用系統(tǒng)的IP、用戶ID和密碼進行身份校驗，通過后給應(yīng)用系統(tǒng)分配token訪8.2加密方式8.2.1傳輸加密使用標(biāo)準(zhǔn)國密對稱加密SM4算法，對服務(wù)接口報文進行全程傳輸加密。8.2.2安全鑒權(quán)采用請求簽名機制，簽名采用國密非對稱SM2算法，SM2算法應(yīng)符合GB/T32918（所有部分）的要求，雙方以安全方式存儲接口鑒權(quán)密鑰，同時公私鑰傳輸過程中應(yīng)加密。8.2.3密鑰由管理方統(tǒng)一生成和分配管理。8.3加密傳輸過程8.3.1應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)對訪問參數(shù)經(jīng)MD5壓縮加密生成簽名摘要M1，并使用應(yīng)用系統(tǒng)的非對稱SM2私鑰進行簽名，生成A1；并將A1放置head中傳輸，key為SIGN_KEY。應(yīng)用系統(tǒng)隨機生成對稱SM4密鑰隨機串B，并將訪問入?yún)⑦M行加密生成C，同時將B使用一卡通平臺提供的SM2公鑰進行加密,生成D1；并將D1放置head中傳輸，key為ENCRYPT_KEY。向管理方發(fā)起訪問，其中服務(wù)訪問head包括加密通信數(shù)據(jù)D1、簽名A1和報文體C。8.3.2一卡通平臺一卡通平臺用SM2私鑰對D1進行解密，獲取應(yīng)用系統(tǒng)隨機生成對稱SM4密鑰隨機串B。通過B對加密通信信息C進行解密，獲取到訪問入?yún)⒚魑摹Ｓ毛@取到的入?yún)⒚魑倪M行MD5壓縮加密，生成M2。一卡通平臺用應(yīng)用系統(tǒng)提供的非對稱SM2公鑰對A1進行解密，并與M2進行比對驗簽。驗簽通過，說明通信信息中途沒有被篡改，信息傳輸完整，簽名驗證通過，可正常對訪問響應(yīng)處理。8.4個人隱私保護8.4.1應(yīng)用系統(tǒng)需提供個人信息展示功能的，隱私數(shù)據(jù)脫敏范圍不少于50%。b)公民身份號碼和社?？ㄌ柮撁麸@示：***********4432，顯示最后4位，其他隱藏；c)手機號碼脫敏顯示：133****4d)證件有效日期和證件失效日期脫敏顯示：****0421，顯示后4位，其他隱藏；e)用戶戶籍地址、用戶居住地址、用戶工作單位和發(fā)卡地脫敏顯示：北京市海淀區(qū)********，長度大于12時,8.4.2應(yīng)用系統(tǒng)需向第三方應(yīng)用系統(tǒng)提供個人信息共享功能的，應(yīng)按GB/T35273的要求進行數(shù)據(jù)保護處理，并前置本人授權(quán)同意環(huán)節(jié)。6DB3413/T0013—2022HTTP訪問簽名參數(shù)說明A.1文件中HTTP訪問簽名的參數(shù)見表A.1。表A.1API訪問簽名參數(shù)表