DB3413T 0013-2022 居民服務(wù)一卡通服務(wù)平臺(tái) 接入技術(shù)規(guī)范

ICS35.080CCSL773413Serviceplatformforresidentservicecard—SpecificationofaccesstechnologyIDB3413/T0013—2022本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由宿州市人力資源和社會(huì)保障局提出并歸口。本文件起草單位：宿州市人力資源和社會(huì)保障局、宿州市數(shù)據(jù)資源管理局、宿州市交通運(yùn)輸局、宿州市公共交通有限公司、宿州市文化和旅游局。本文件主要起草人：劉鋒、程松、崔龍、張夢(mèng)龍、朱俊臣、高慶濤、高元元、蔣春峰、付瑤、徐珂。1DB3413/T0013—2022居民服務(wù)一卡通服務(wù)平臺(tái)接入技術(shù)規(guī)范本文件規(guī)定了接入居民服務(wù)一卡通服務(wù)平臺(tái)（以下簡(jiǎn)稱“一卡通平臺(tái)”）的要求、接入流程、接入方式、接入方法和接入安全控制。本文件適用于一卡通平臺(tái)的接入，及與一卡通平臺(tái)應(yīng)用相關(guān)的軟件設(shè)計(jì)和開(kāi)發(fā)。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T28452信息安全技術(shù)應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求GB/T32918（所有部分）信息安全技術(shù)SM2橢圓曲線公鑰密碼算法GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范LD/T92社會(huì)保險(xiǎn)管理信息系統(tǒng)指標(biāo)集與代碼DB3413/T0012-2022居民服務(wù)一卡通服務(wù)平臺(tái)數(shù)據(jù)編碼規(guī)范3術(shù)語(yǔ)和定義DB3413/T0012-2022界定的術(shù)語(yǔ)和定義適用于本文件。4要求4.1基本要求4.1.1具有固定的接入IP地址。4.1.2以一卡通平臺(tái)分配的用戶ID、用戶密碼接入身份驗(yàn)證。4.1.3軟件設(shè)計(jì)應(yīng)符合GB/T28452的要求。4.1.4系統(tǒng)安全防護(hù)能力應(yīng)符合GB/T22239中安全等級(jí)保護(hù)三級(jí)及以上的要求。4.2網(wǎng)絡(luò)類型應(yīng)用系統(tǒng)可通過(guò)以下網(wǎng)絡(luò)接入一卡通平臺(tái)：a)國(guó)家電子政務(wù)外網(wǎng)；b)人力資源和社會(huì)保障業(yè)務(wù)專網(wǎng)；c)互聯(lián)網(wǎng)。4.3接口要求2DB3413/T0013—2022一卡通平臺(tái)提供標(biāo)準(zhǔn)的應(yīng)用接口，按國(guó)家安全標(biāo)準(zhǔn)進(jìn)行加密傳輸，供應(yīng)用系統(tǒng)調(diào)用，接入方應(yīng)填寫(xiě)基本信息，見(jiàn)表1。表1接入方基本信息5接入流程5.1應(yīng)用接入流程接入流程圖見(jiàn)圖1。上線上線圖1應(yīng)用接入流程圖5.2接入申請(qǐng)5.2.1接入方按申請(qǐng)表格式要求，提交材料包括接入IP、聯(lián)系人、聯(lián)系方式、機(jī)構(gòu)信息、對(duì)接內(nèi)容等基礎(chǔ)信息。3DB3413/T0013—20225.2.2接入方按一卡通平臺(tái)在線填報(bào)要求，線上填報(bào)網(wǎng)點(diǎn)、設(shè)備、應(yīng)用系統(tǒng)等運(yùn)行信息及參數(shù)。5.3接入測(cè)試5.3.1接入方按授權(quán)的測(cè)試環(huán)境，配置賬戶信息和測(cè)試密鑰，并按對(duì)接規(guī)范進(jìn)行開(kāi)發(fā)，開(kāi)展聯(lián)調(diào)測(cè)試。5.3.2接入方完成測(cè)試事項(xiàng)，形成測(cè)試報(bào)告。5.4上線啟用5.4.1接入方提交上線申請(qǐng)，一卡通平臺(tái)分配正式密鑰。5.4.2接入方獲得正式密鑰，配置應(yīng)用系統(tǒng)，完成上線。6接入方式6.1HTTP接入6.1.1采用HTTP/1.1協(xié)議，使用POST方法提交請(qǐng)求，請(qǐng)求包含身份令牌（access_token）參數(shù)。6.1.2請(qǐng)求及返回報(bào)文為JSON格式，字符編碼為UTF-8，涉及社會(huì)保障參數(shù)，格式應(yīng)符合LD/T92的要求。6.1.3應(yīng)用系統(tǒng)應(yīng)按申請(qǐng)時(shí)報(bào)備的IP地址接入。6.2H5頁(yè)面接入6.2.1采用HTTP/1.1協(xié)議，使用GET方法提交請(qǐng)求。6.2.2請(qǐng)求及返回報(bào)文字符編碼為UTF-8，涉及社會(huì)保障參數(shù)，格式應(yīng)符合LD/T92的要求。6.2.3應(yīng)用系統(tǒng)拼接URL地址及攜帶參數(shù)（見(jiàn)7.2），發(fā)起GET請(qǐng)求，調(diào)用一卡通平臺(tái)H5頁(yè)面。6.2.4應(yīng)用系統(tǒng)應(yīng)按申請(qǐng)時(shí)報(bào)備的IP地址接入。7接入方法7.1HTTP方式接入7.1.1API方式實(shí)現(xiàn)數(shù)據(jù)層面交互。通過(guò)該方式進(jìn)行對(duì)接，應(yīng)用系統(tǒng)獲取所需要的數(shù)據(jù)，根據(jù)自身業(yè)務(wù)邏輯，開(kāi)發(fā)相應(yīng)頁(yè)面，實(shí)現(xiàn)數(shù)據(jù)展示及業(yè)務(wù)辦理。7.1.2API接入應(yīng)符合HTTPrestful風(fēng)格。簽名相關(guān)的公共參數(shù)統(tǒng)一放在請(qǐng)求HTTP的header中。HTTP訪問(wèn)簽名設(shè)定見(jiàn)附錄A。7.1.3格式：http://{ip}:{port}/api-rest/{sceneCode}/{serviceCode}/{version}?access_token={accessToken}&token={token}&flag={flag}7.1.4輸入?yún)?shù)見(jiàn)表2。表2API請(qǐng)求參數(shù)是是是4DB3413/T0013—2022表2（續(xù)）是是是否否7.2H5頁(yè)面方式接入7.2.1請(qǐng)求過(guò)程接入方采用基于HTTP協(xié)議的URL通信方式，發(fā)起HTTP請(qǐng)求，將經(jīng)過(guò)統(tǒng)一算法進(jìn)行加密及簽名的參數(shù)串提交到一卡通平臺(tái)，一卡通平臺(tái)對(duì)相關(guān)參數(shù)進(jìn)行解析核驗(yàn)，核驗(yàn)通過(guò)后返回對(duì)應(yīng)的H5頁(yè)面資源。核驗(yàn)不通過(guò)時(shí)向接入方提示錯(cuò)誤信息。7.2.2數(shù)據(jù)交互通過(guò)互聯(lián)網(wǎng)進(jìn)行訪問(wèn)。接入方按一卡通平臺(tái)H5標(biāo)準(zhǔn)規(guī)范拼接URL地址及攜帶參數(shù)。由一卡通平臺(tái)H5解析參數(shù)，對(duì)應(yīng)用進(jìn)行身份鑒權(quán)、應(yīng)用訪問(wèn)鑒權(quán)，鑒權(quán)通過(guò)后返回請(qǐng)求的H5資源，用于接入方應(yīng)用端展示。格式：http://{ip}:{port}/api-rest/forward?{sceneCode}/{serviceCode}/${version}?access_token={accessToken}&token={token}&security={encrypt_key}&_api_signature={sign_key}約定：所有請(qǐng)求的charset應(yīng)為UTF-8。輸入?yún)?shù)見(jiàn)表3。表3H5請(qǐng)求參數(shù)是是是是是是否是_api_signature是訪問(wèn)簽名見(jiàn)附錄B。8接入安全控制8.1身份驗(yàn)證8.1.1接入方身份驗(yàn)證基于IP白名單和token訪問(wèn)令牌，驗(yàn)證通信身份的合法性，通信報(bào)文添加時(shí)間5DB3413/T0013—2022戳校驗(yàn)，驗(yàn)證應(yīng)用訪問(wèn)的唯一性。8.1.2應(yīng)用系統(tǒng)使用一卡通平臺(tái)分配的用戶ID和密碼，申請(qǐng)調(diào)用獲取身份令牌。8.1.3一卡通平臺(tái)對(duì)應(yīng)用系統(tǒng)的IP、用戶ID和密碼進(jìn)行身份校驗(yàn)，通過(guò)后給應(yīng)用系統(tǒng)分配token訪8.2加密方式8.2.1傳輸加密使用標(biāo)準(zhǔn)國(guó)密對(duì)稱加密SM4算法，對(duì)服務(wù)接口報(bào)文進(jìn)行全程傳輸加密。8.2.2安全鑒權(quán)采用請(qǐng)求簽名機(jī)制，簽名采用國(guó)密非對(duì)稱SM2算法，SM2算法應(yīng)符合GB/T32918（所有部分）的要求，雙方以安全方式存儲(chǔ)接口鑒權(quán)密鑰，同時(shí)公私鑰傳輸過(guò)程中應(yīng)加密。8.2.3密鑰由管理方統(tǒng)一生成和分配管理。8.3加密傳輸過(guò)程8.3.1應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)對(duì)訪問(wèn)參數(shù)經(jīng)MD5壓縮加密生成簽名摘要M1，并使用應(yīng)用系統(tǒng)的非對(duì)稱SM2私鑰進(jìn)行簽名，生成A1；并將A1放置head中傳輸，key為SIGN_KEY。應(yīng)用系統(tǒng)隨機(jī)生成對(duì)稱SM4密鑰隨機(jī)串B，并將訪問(wèn)入?yún)⑦M(jìn)行加密生成C，同時(shí)將B使用一卡通平臺(tái)提供的SM2公鑰進(jìn)行加密,生成D1；并將D1放置head中傳輸，key為ENCRYPT_KEY。向管理方發(fā)起訪問(wèn)，其中服務(wù)訪問(wèn)head包括加密通信數(shù)據(jù)D1、簽名A1和報(bào)文體C。8.3.2一卡通平臺(tái)一卡通平臺(tái)用SM2私鑰對(duì)D1進(jìn)行解密，獲取應(yīng)用系統(tǒng)隨機(jī)生成對(duì)稱SM4密鑰隨機(jī)串B。通過(guò)B對(duì)加密通信信息C進(jìn)行解密，獲取到訪問(wèn)入?yún)⒚魑摹Ｓ毛@取到的入?yún)⒚魑倪M(jìn)行MD5壓縮加密，生成M2。一卡通平臺(tái)用應(yīng)用系統(tǒng)提供的非對(duì)稱SM2公鑰對(duì)A1進(jìn)行解密，并與M2進(jìn)行比對(duì)驗(yàn)簽。驗(yàn)簽通過(guò)，說(shuō)明通信信息中途沒(méi)有被篡改，信息傳輸完整，簽名驗(yàn)證通過(guò)，可正常對(duì)訪問(wèn)響應(yīng)處理。8.4個(gè)人隱私保護(hù)8.4.1應(yīng)用系統(tǒng)需提供個(gè)人信息展示功能的，隱私數(shù)據(jù)脫敏范圍不少于50%。b)公民身份號(hào)碼和社?？ㄌ?hào)脫敏顯示：***********4432，顯示最后4位，其他隱藏；c)手機(jī)號(hào)碼脫敏顯示：133****4d)證件有效日期和證件失效日期脫敏顯示：****0421，顯示后4位，其他隱藏；e)用戶戶籍地址、用戶居住地址、用戶工作單位和發(fā)卡地脫敏顯示：北京市海淀區(qū)********，長(zhǎng)度大于12時(shí),8.4.2應(yīng)用系統(tǒng)需向第三方應(yīng)用系統(tǒng)提供個(gè)人信息共享功能的，應(yīng)按GB/T35273的要求進(jìn)行數(shù)據(jù)保護(hù)處理，并前置本人授權(quán)同意環(huán)節(jié)。6DB3413/T0013—2022HTTP訪問(wèn)簽名參數(shù)說(shuō)明A.1文件中HTTP訪問(wèn)簽名的參數(shù)見(jiàn)表A.1。表A.1API訪問(wèn)簽名參數(shù)表