信息安全技術公民網絡電子身份標識安全技術要求 第3部分:驗證服務協(xié)議_第1頁
信息安全技術公民網絡電子身份標識安全技術要求 第3部分:驗證服務協(xié)議_第2頁
信息安全技術公民網絡電子身份標識安全技術要求 第3部分:驗證服務協(xié)議_第3頁
信息安全技術公民網絡電子身份標識安全技術要求 第3部分:驗證服務協(xié)議_第4頁
信息安全技術公民網絡電子身份標識安全技術要求 第3部分:驗證服務協(xié)議_第5頁
已閱讀5頁,還剩10頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

公民網絡電子身份標識安全技術要求第3部分:驗證服務協(xié)議范圍本部分規(guī)定了公民網絡電子身份標識驗證過程的參與方、網絡電子身份標識驗證服務接口的調用方式、消息格式和編碼處理規(guī)則。本部分適用于網絡電子身份標識驗證服務及使用該服務的應用與系統(tǒng)的設計和開發(fā)。規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB13000-2010信息技術通用多八位編碼字符集(UCS)GB/T25069-2010信息安全技術術語GB/T26231-2010信息技術開放系統(tǒng)互連OID的國家編號體系和注冊規(guī)程IETFRFC4648-2006TheBase16,Base32,andBase64DataEncodings術語GB/T25069-2010界定的以及下列術語適用于本文件。網絡電子身份cyberelectronicidentity用于網絡在線識別個人身份的電子標識,也稱網絡電子身份標識,包括公民網絡電子身份標識和普通網絡電子身份標識。普通網絡電子身份標識commoncyberelectronicidentity由證書認證機構頒發(fā)的用于網絡在線識別個人身份的網絡電子身份,通過嵌入公民網絡電子身份標識碼與公民網絡電子身份標識建立關聯(lián)關系。由一對非對稱密鑰和含有其中公鑰及相關信息的數(shù)字證書組成。公民網絡電子身份標識citizencyberelectronicidentity;eID 由國家主管部門頒發(fā),與個人真實身份具有一一對應關系,用于在線識別公民真實身份的網絡電子身份。由一對非對稱密鑰和含有其公鑰及相關信息的數(shù)字證書組成。eID服務平臺eIDserviceplatform提供eID的生成、存儲、使用及維護等全生命周期業(yè)務處理相關服務的系統(tǒng)。eID身份驗證eIDverification通過將所提交的eID身份聲明與事先證明的信息進行比較來確認聲明的eID身份是正確的過程。eID身份注冊eIDregistration通過為實體的身份賦予唯一的eID標識碼,提供一組作為聲明的身份和/或權利的證據(jù)的數(shù)據(jù),并簽發(fā)eID載體,保證其真實性。eID移動應用eIDmobileapplication在移動客戶端上運行的eID應用。eID驗證服務eIDauthenticationservice由eID服務平臺提供給各應用的進行身份識別及驗證的服務。eID桌面應用eIDdesktopapplication通過桌面客戶端運行的eID應用??s略語下列縮略語適用于本文件。AP:應用服務提供商(ApplicationProvider)eID:公民網絡電子身份標識(citizencyberElectronicIDentity)HTTPS:安全超文本傳輸協(xié)議(HypertextTransferProtocoloverSecureSocketLayer)OID:對象標識符(ObjectIdentifier)PIN:個人識別碼(PersonalIdentificationNumber)SDK:軟件開發(fā)工具包(SoftwareDevelopmentKit)概述eID系統(tǒng)的eID身份驗證包含三個參與者:eID服務平臺,應用服務提供商和持有eID的用戶。當應用服務提供商需要使用eID驗證服務來驗證網絡用戶的訪問請求時,應用服務提供商應完成相應的eID加密或簽名運算,將結果按照本部分所述封裝成符合eID驗證服務接口技術要求的形式,再傳輸給eID服務平臺。eID服務平臺在完成eID驗證功能后,將驗證結果按照eID驗證服務接口技術要求的形式返回給應用服務提供商。應用服務提供商在每次發(fā)送驗證服務請求時,驗證服務都會返回一個隨機數(shù)作為本次驗證服務的挑戰(zhàn)。上述流程如圖1所示,具體步驟如下:eID身份驗證步驟應用服務提供商根據(jù)需要向eID服務平臺發(fā)送服務請求。eID服務平臺返回一個隨機數(shù)作為本次驗證服務的挑戰(zhàn)。應用服務提供商完成相應的eID運算,將待傳輸數(shù)據(jù)按照本部分中8.2節(jié)或9.2節(jié)所規(guī)定的格式要求組建。并將組建完成的數(shù)據(jù)作為驗證請求,發(fā)送給eID服務平臺。eID服務平臺在本地執(zhí)行相關的驗證服務后,按照本部分中8.3節(jié)或9.3節(jié)的格式返回相應的驗證結果應用服務提供商。AP在接入eID驗證服務前,應首先在eID服務平臺中進行注冊,并獲得對應的應用標識與共享密鑰。以保證后續(xù)流程的執(zhí)行,并使得eID服務平臺可以對應用服務提供商AP與用戶進行驗證與授權。只有通過注冊的應用系統(tǒng),才能與eID驗證服務接口建立合法的通信連接。eID驗證服務將使用應用注冊信息對每次應用訪問進行安全訪問審核。例如:應用服務提供商AP提交ICP備案號,營業(yè)執(zhí)照副本,稅務登記證,組織機構代碼證等材料給eID服務平臺,來完成注冊前的審核。相關注冊要求見7.2節(jié),eID服務平臺對注冊請求返回結果見7.3節(jié)。根據(jù)應用的不同,eID驗證服務接口分為eID桌面驗證服務接口和eID移動驗證服務接口。公民網絡電子身份標識驗證服務接口處理規(guī)則消息編碼與處理規(guī)則參數(shù)類型本部分使用如下參數(shù)類型:Char:表示GB13000-2010中所規(guī)定的字符集中的一個字符,本部分中所使用的字符類型參數(shù)僅包含可見字符,此外,本部分使用‘,’字符作為分隔符,因此參數(shù)的值不能包含‘,’字符。Byte:表示8比特長的單個字節(jié)。Char(X)表示長度固定為X個Char類型字符的參數(shù)。Char(A..B)表示長度為A至B個Char類型字符的參數(shù)。Byte(0..A)表示可為空且長度至多為A個Byte類型字節(jié)的參數(shù)。參數(shù)編碼規(guī)則本部分所規(guī)定的接口應采用HTTPS信道進行傳輸。消息發(fā)送方(AP和eID平臺)應按照以下步驟生成并發(fā)送請求參數(shù):消息發(fā)送方將所有參數(shù)類型為Byte()的參數(shù)的值按照IETFRFC4648-2006中所述Base64編碼規(guī)則進行編碼,將其轉化為Char()類型。消息發(fā)送方將所有參數(shù)按照如下格式組裝成Char()類型的字符串:{ “參數(shù)標識1”:“參數(shù)值1”, “參數(shù)標識2”:“參數(shù)值2”, … “參數(shù)標識N”:“參數(shù)值N”,}其中名稱/值對的名稱應與本部分所規(guī)定的參數(shù)標識嚴格一致,各參數(shù)標識間無順序。在組裝時,應忽略所有的不可見字符,具體的請求參數(shù)示例見附錄B。若某參數(shù)值為空,則在生成的字符串中,該參數(shù)的參數(shù)標識保留,參數(shù)值設為空(長度為0的字符串)。消息發(fā)送方將組裝好的數(shù)據(jù)放入httpbody域中,并新增下列內容HEAD:“idsp-protocol-version=2.0.0”用來描述本協(xié)議內容的版本號。消息發(fā)送方使用ISO/IEC10646:2014中規(guī)定的UTF-8編碼格式對上述字符串進行編碼,然后用POST方式將消息發(fā)送到請求地址。參數(shù)解析要求收到消息后,消息接收方應按照6.1節(jié)規(guī)定的對組裝好的參數(shù)進行解析,獲取各名稱對應的參數(shù)值。對于使用本部分的消息接收方,在對收到的參數(shù)進行解析時應遵循以下要求:消息接收方按照6.1節(jié)規(guī)定的格式對收到的消息進行解析,即確定消息字符串的首字符與尾字符分別為‘{’與‘}’否則當成本次請求失敗進行處理。使用‘,’作為分隔符將消息字符串分割成若干名稱/值對。獲取相應的名稱/值對后,搜索第一個‘:’作為分隔符,將名稱/值對解析為名稱和值兩部分。確定名稱和值均以‘“’與‘”’作為起始與結束,否則當成本次請求失敗進行處理。將名稱的內容與本部分7至9章規(guī)定的各參數(shù)的參數(shù)標識相同的名稱/值對進行處理。如果收到的消息不符合6.1節(jié)規(guī)定的數(shù)據(jù)格式,消息接收方應當成本次請求失敗進行處理。在解析消息時,消息接收方應忽略名稱未在本部分7至9章參數(shù)標識中出現(xiàn)的名稱/值對。在解析消息時,如果存在多個名稱相同的名稱/值對,且格式符合本部分的規(guī)定,則消息接收方可根據(jù)需要當成本次請求失敗進行處理或僅接收最后出現(xiàn)的名稱/值對中的值。在解析消息時,消息接收方應確認收到的數(shù)據(jù)中值的長度符合本部分7至9章所規(guī)定的消息長度,否則當成本次請求失敗進行處理。如果收到的數(shù)據(jù)中未包含一個或多個必選的參數(shù)所對應的名稱/值對,或該參數(shù)的值不符合本部分定義的參數(shù)類型,消息接收方應當成本次請求失敗進行處理。各接口的請求與返回消息示例見附錄B。接口調用方式eID服務平臺提供的接口調用方式分為異步調用和同步調用兩種。當AP通過異步調用方式調用接口時,需要在請求消息中通過return_url參數(shù)發(fā)送一個供eID服務平臺使用的結果返回地址。eID服務平臺會在收到AP發(fā)送的消息后返回確認消息,其內容為:{“received”:”true”},表示請求已接收到,如果AP在預先定義的超時時間后未收到eID服務平臺的同步返回結果,應當成本次請求失敗進行處理,不可以將相同的信息進行重復發(fā)送。超時時間可根據(jù)網絡與應用實際情況制定。隨后,eID服務平臺會通過參數(shù)中return_url中包含的結果返回將業(yè)務處理結果返回給AP,AP在接收到eID服務平臺的處理結果之后,需要向eID服務平臺返回確認消息,其內容為:{“received”:”true”},表示已接收到結果。如果eID服務平臺在超時時間內未收到AP的接收確認,eID服務平臺應根據(jù)策略按一定間隔重復發(fā)送直到達到最大重試次數(shù)或收到AP的接收確認。因此,AP有可能會收到多次相同的處理結果數(shù)據(jù),AP應自行處理此邏輯,避免異常。當AP通過同步調用方式調用接口時,eID服務平臺會保持會話,待處理完所有業(yè)務以后,按照7至9節(jié)中的定義直接返回相關參數(shù)。如果AP在超時時間內未收到eID服務平臺的同步返回結果,應當成本次請求失敗進行處理。超時時間可根據(jù)網絡與應用實際情況制定。簽名參數(shù)生成當?shù)谌綉门ceID服務平臺需要生成signature參數(shù)時,應按照以下步驟進行處理:生成消息中除去signature和sign_type兩個參數(shù)外的其他所有需要使用到的參數(shù),將這些參數(shù)作為需簽名參數(shù)。對需簽名參數(shù)數(shù)組里的每一個名稱/值對按名稱從a到z的順序排序,若首字母相同,則依照第二個字母進行排序,以此類推。排序完成之后,將字符串中的所有‘&’字符改為“\&”進行轉義,之后再把所有數(shù)組值以‘&’字符連接起來。直接在步驟2)中得到的字符串后連接“app_key=”和app_key的值后得到最終的待簽名字符串。使用sign_type中規(guī)定的簽名算法對步驟3)中的到的待簽名字符串進行簽名,所得的簽名作為signature參數(shù)的值。本節(jié)所規(guī)定的簽名參數(shù)的生成示例見附錄A。注冊接口參數(shù)輸入參數(shù)應用服務提供商信息參數(shù)標識:app_info參數(shù)類型:Char(1..50)參數(shù)說明:待注冊的應用服務提供商信息,為必選項。應用服務提供商名稱參數(shù)標識:app_name參數(shù)類型:Char(1..50)參數(shù)說明:待注冊的應用服務提供商名稱,為必選項。機構名稱參數(shù)標識:app_org參數(shù)類型:Char(1..50)參數(shù)說明:待注冊的應用服務提供商所屬機構名稱,為必選項。域名參數(shù)標識:app_domain參數(shù)類型:Char(1..80)參數(shù)說明:待注冊的應用服務提供商的域名,為必選項。IP地址參數(shù)標識:ip_addr參數(shù)類型:Char(1..15)參數(shù)說明:待注冊的應用服務提供商的IP地址,為必選項。結果返回地址參數(shù)標識:return_url參數(shù)類型:Char(1..255)參數(shù)說明:返回結果的URL地址,可空,為必選項。返回參數(shù)應用服務提供商信息參數(shù)標識:app_info參數(shù)類型:Char(1..50)參數(shù)說明:待注冊的應用服務提供商信息,為必選項。應用服務提供商名稱參數(shù)標識:app_name參數(shù)類型:Char(1..50)參數(shù)說明:待注冊的應用服務提供商名稱,為必選項。機構名稱參數(shù)標識:app_org參數(shù)類型:Char(1..50)參數(shù)說明:待注冊的應用服務提供商所屬機構名稱,為必選項。域名參數(shù)標識:app_domain參數(shù)類型:Char(1..80)參數(shù)說明:待注冊的應用服務提供商的域名,為必選項。IP地址參數(shù)標識:ip_addr參數(shù)類型:Char(1..15)參數(shù)說明:待注冊的應用服務提供商的IP地址,為必選項。結果返回地址參數(shù)標識:return_url參數(shù)類型:Char(1..255)參數(shù)說明:返回結果的URL地址,可空,為必選項。應用服務提供商標識參數(shù)標識:app_id參數(shù)類型:Char(39)參數(shù)說明:注冊在eID服務平臺的唯一的應用號,前兩位為標識位,默認為DF,公安應用前兩位為GA,由eID服務平臺頒發(fā)。為必選項。共享密鑰參數(shù)標識:app_key參數(shù)類型:Byte(1..100)參數(shù)說明:由eID服務平臺產生,為必選項。服務器URL參數(shù)標識:server_url參數(shù)類型:Char(1..255)參數(shù)說明:請求服務的地址,為必選項。服務器公鑰證書參數(shù)標識:server_cert參數(shù)類型:Byte(1..10000)參數(shù)說明:應用服務提供商對返回結果驗簽所需的證書文件,可空,為必選項。eID驗證服務接口概述eID驗證服務接口包含eID桌面驗證服務接口和eID移動驗證服務接口,分別為eID桌面應用與eID移動應用中的應用服務提供商與eID服務平臺的交互提供交互協(xié)議與數(shù)據(jù)傳輸格式要求。數(shù)據(jù)的傳輸包含應用服務提供商發(fā)往eID服務平臺的請求參數(shù)與eID服務平臺返回給應用服務提供商的返回參數(shù)。應用服務提供商請求參數(shù)應用服務提供商ID參數(shù)標識:app_id參數(shù)類型:Char(39)參數(shù)說明:注冊在eID服務平臺的唯一的應用號,前兩位為標識位,為必選項。簽名方式參數(shù)標識:sign_type參數(shù)類型:Char(1..100)參數(shù)說明:簽名使用的算法對應的OID,為必選項。簽名值參數(shù)標識:signature參數(shù)類型:Byte(1..2000)參數(shù)說明:使用sign_type中所規(guī)定的簽名算法對需要參與簽名的參數(shù)進行簽名得到的值,為必選項,具體規(guī)則見6.4節(jié)。結果返回URL參數(shù)標識:return_url參數(shù)類型:Char(1..255)參數(shù)說明:結果返回應用服務提供商路徑,為必選項。業(yè)務流水號參數(shù)標識:biz_sequence_id參數(shù)類型:Char(64)參數(shù)說明:應用針對本次請求的唯一標識串碼,為必選項。請求時間參數(shù)標識:apply_time參數(shù)類型:Char(19)參數(shù)說明:時間,格式為yyyy-MM-ddHH:mm:ss;為必選項。業(yè)務類型參數(shù)標識:biz_type參數(shù)類型:Char(2)參數(shù)說明:為必選項。具體值的含義如下:“01”:桌面帳號綁定;“02”:桌面帳號找回;“03”:移動一鍵帳號綁定;“04”:移動一鍵帳號找回;“05”:桌面安全登錄;“06”:移動一鍵安全登錄;“07”:移動實名認證;“08”:后臺實名認證安全等級參數(shù)標識:security_class參數(shù)類型:Char(1)參數(shù)說明:業(yè)務對應用的安全等級,為必選項。eID用戶信息參數(shù)標識:eid_user_info參數(shù)類型:Char(1..100)參數(shù)說明:僅在eID桌面應用中使用。在支付業(yè)務中,通過eID支付終端SDK簽名函數(shù)獲得的用戶信息。可選項。eID簽名值參數(shù)標識:eid_sign_info參數(shù)類型:Byte(1..2000)參數(shù)說明:僅在eID桌面應用中使用。實名認證中,通過eID支付終端SDK簽名函數(shù)獲得的簽名結果,為必選項。簽名算法ID參數(shù)標識:sign_algorithm_id參數(shù)類型:Char(1..100)參數(shù)說明:僅在eID桌面應用中使用。用戶用eID設備簽名使用的算法對應的OID,為必選項。待簽信息原文參數(shù)標識:data_to_sign參數(shù)類型:Char(1..2000)參數(shù)說明:僅在eID桌面應用中使用。用戶發(fā)起的交易原文明文,為可選項。eID屬性信息可選項。保留。消息擴展參數(shù)標識:extension參數(shù)類型:Char(1..200)參數(shù)說明:為后續(xù)應用提供一些擴展服務,為必選項。手機號碼參數(shù)標識:user_phone參數(shù)類型:Char(1..15)參數(shù)說明:僅在eID移動應用中使用。當前應用運行平臺對應的手機號碼,為必選項。eID服務平臺返回參數(shù)返回結果參數(shù)標識:result參數(shù)類型:Char(5)參數(shù)說明:業(yè)務處理結果,為必選項。簽名方式參數(shù)標識:sign_type參數(shù)類型:Char(2)參數(shù)說明:簽名使用的算法對應的OID,為必選項。簽名值參數(shù)標識:signature參數(shù)類型:Byte(1..2000)參數(shù)說明:使用sign_type中所規(guī)定的簽名算法對需要參與簽名的參數(shù)進行簽名得到的值,為必選項,具體格式見6.4節(jié)。業(yè)務流水號參數(shù)標識:biz_sequence_id參數(shù)類型:Char(64)參數(shù)說明:針對本次請求及應答的唯一標識串碼,為必選項。返回時間參數(shù)標識:result_time參數(shù)類型:Char(19)參數(shù)說明:時間,格式為yyyy-MM-ddHH:mm:ss,為必選項。eID標識碼參數(shù)標識:eID_code參數(shù)類型:Char(1..80)參數(shù)說明:用戶登錄的eID標識碼,為必選項。用戶賬戶參數(shù)標識:user_account參數(shù)類型:Char(1..80)參數(shù)說明:僅在eID桌面應用中使用。用戶在應用服務提供商注冊的賬號,為必選項。消息擴展參數(shù)標識:extension參數(shù)類型:Char(1..200)參數(shù)說明:無,為必選項。_________________________________

(資料性附錄)簽名參數(shù)生成示例待簽名字符串生成方法示例例如,對于如下的參數(shù)數(shù)組:string[]parameters={"app_id":"1234567890","return_url":"/verify/return_url.asp","biz_sequence_id":"1234567890123456789012345678901234567890123456789012345678901234","apply_time":"2013-01-0110:10:10","cellphone":"12345678901"};則根據(jù)6章步驟2)規(guī)則所生成的字符串如下:app_id=001234567890&apply_time=2013-01-0110:10:10&biz_sequence_id=1234567890123456789012345678901234567890123456789012345678901234&cellphone=12345678901&return_url=/verify/return_url.asp之后,根據(jù)6章步驟3)規(guī)則的描述,直接連接app_key后得到最終的待簽名字符串如下(設app_key=”app_key”):app_id=1234567890&apply_time=2013-01-0110:10:10&biz_sequence_id=1234567890123456789012345678901234567890123456789012345678901234&cellphone=12345678901&return_url=/verify/return_url.aspapp_key此字符串便是最終的待簽名字符串。

(資料性附錄)請求與返回消息示例概述本附錄描述了7至9章所述各請求與返回消息的示例,供應用參考,在應用時,應根據(jù)實際情況生成相應的參數(shù)內容。注冊請求與返回消息示例注冊請求消息示例如7.2節(jié)所示注冊請求消息示例如下。{"app_info":"eid_service_example","app_name":"example_sp","app_org":"example_org","app_domain":"","ip_addr":"","sign_cert":"CERT=0123456789ABCDEF","app_type":"DF","sign_type":"2","return_url":"/return_url"}注冊返回消息示例如7.3節(jié)所示注冊返回消息示例如下。{"app_info":"eid_service_example","app_name":"example_sp","app_org":"example_org","app_domain":"","ip_addr":"","sign_cert":"CERT=0123456789ABCDEF","app_type":"DF","sign_type":"0197.1.501","return_url":"/return_url","app_id":"DF1234567890123456789012345678901234567","app_key":"0123456789ABCDEF0123456789ABCDEF","server_url":"/server_url","server_cert":"CERT=ABCDEF0123456789"}桌面驗證請求與返回消息示例桌面驗證請求消息示例如8.2節(jié)所示桌面驗證請求消息示例如下。{"app_id":"DF1234567890123456789012345678901234567","sign_type":"0197.1.501","signature":"0123456789ABCDEF","return_url":"/return_url","biz_sequence_id":"00123456789","apply_time":"2013-01-0110:10:10","biz_type":"1","security_class":"1","eid_user_info":"userinfo","eid_sign_info":"0123456789ABCDEF","sign_algorithm_id":"1","data_to_sign":"data","extension":"some_extension"}桌面驗證返回消息示例如8.3節(jié)所示桌面驗證請求消息示例如下。{

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論