1 范圍

      GB/T 36629的本部分規定了公民網絡電子身份標識驗證服務與應用服務提供方間傳遞的消息及其編碼處理規則。

      本部分適用于公民網絡電子身份標識驗證服務及使用該服務的應用與系統的設計和開發。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 13000-2010 信息技術 通用多八位編碼字符集（UCS）

      GB/T 20518 信息安全技術 公鑰基礎設施 數字證書格式

      GB/T 25069-2010 信息安全技術 術語

      GB/T 26231-2017 信息技術 開放系統互連 對象標識符（OID）的國家編號體系和操作規程

      GB/T 36632-2018 信息安全技術 公民網絡電子身份標識格式規范

      IETF RFC 4648-2006 Base16、Base32及 Base64數據編碼（The Base16，Base32， and Base64 Data Encodings)

3 術語和定義

      GB/T 25069-2010、GB/T 36632-2018界定的以及下列術語和定義適用于本文件。

3.1

      eID服務平臺 eID service platform

      提供eID的生成、存儲、使用及維護等全生命周期業務處理相關服務的平臺。

3.2

      eID身份驗證 eID verification

      通過將所提交的eID身份斷言與事先注冊的信息進行比較來確認聲明的eID身份是否正確的過程。

3.3

      eID身份注冊 eID registration

      通過為實體的身份賦予唯一的eID標識碼，提供一組作為聲明的身份和/或權利的證據的數據，并簽發 eID載體，保證其真實性。

3.4

      eID移動應用 eID mobile application

      在移動客戶端上運行的eID應用。

3.5

      eID驗證服務

      eID verification service

      由eID服務平臺提供給各應用的進行身份識別及驗證的服務。

3.6

      elD桌面應用 eID desktop application

      通過桌面客戶端運行的eID應用。

4 縮略語

      下列縮略語適用于本文件。

      eID：公民網絡電子身份標識（Citizen Cyber Electronic Identity）

      HTTPS：安全超文本傳輸協議（Hypertext Transfer Protocol over Secure Socket Layer）

      OID：對象標識符（Object Identifier）

      PIN：個人識別碼（Personal Identification Number）

      SDK：軟件開發工具包（Software Development Kit）

5 概述

      本部分規定eID身份驗證過程中eID服務平臺和應用服務提供方間交互流程中傳遞的消息及其處理規則。當應用服務提供方需要使用eID驗證服務來驗證網絡用戶的訪問請求時，應用服務提供方完成相應的eID加密或簽名運算，將結果按照本部分所述封裝成符合eID驗證服務接口技術要求的消息，再傳輸給eID服務平臺。eID服務平臺在完成eID身份驗證后，將驗證結果按照eID驗證服務接口技術要求的形式返回給應用服務提供方。上述流程的具體步驟如圖1所示。

圖1 eID身份驗證消息傳遞步驟

      本部分所規定的接口應采用HTTPS信道進行傳輸，且其中使用的涉及保密性、完整性、真實性、不可否認性的相關技術應遵循密碼相關國家標準和行業標準。

      在接入eID驗證服務前，應用服務提供商首先在eID服務平臺中進行注冊，并獲得對應的應用標識與共享密鑰以保證后續流程的執行，注冊時發送參數的定義見7.1，eID服務平臺對注冊請求的返回結果參數定義見7.2。此過程僅在應用服務提供方首次接入eID驗證服務前進行。

      注：為了完成注冊，應用服務提供方可能需要通過線下方式向eID服務平臺遞送審核材料，例如：提交ICP備案號、營業執照副本、稅務登記證、組織機構代碼證等。

      之后，當應用服務提供方需要使用eID驗證服務時，執行以下操作：

      a）應用服務提供商根據需要向eID服務平臺發送服務請求。服務請求消息的參數定義見8.2。

      b）eID服務平臺返回一個隨機數作為本次驗證服務的挑戰。響應消息的參數定義見8.3。

      c）當應用服務提供方向eID服務平臺發送服務請求后，應用服務提供方完成相應的eID運算，將驗證請求數據發送給eID服務平臺。驗證請求消息的參數定義見8.4。

      d）eID服務平臺在本地執行相關的驗證服務后，將驗證結果返回給應用服務提供方。驗證結果消息的參數定義見8.5。

6 eID驗證服務參數編碼規則

6.1 消息編碼

6.1.1 參數類型

      本部分使用如下參數類型：

      Char：表示GB/T 13000-2010中所規定的字符集中的一個字符，本部分中所使用的字符類型參數僅包含可見字符，此外，本部分使用逗號字符（‘，’，編碼：U+002C)作為分隔符，因此參數的值不能包含該字符。

      Byte：表示8比特長的單個字節。

      Char/Byte(X)表示長度固定為X個Char/Byte類型字符的參數。

      Char/Byte（A..B）表示長度為A至B個Char Byte類型字符的參數。

      Char/Byte（0..A）表示可為空且長度至多為A個Chahar/Byt 類型字節的參數。

6.1.2 參數編碼規則

      消息發送方（應用服務提供方和eID平臺）應遵循以下規則生成并發送注冊請求、注冊返回結果、eID驗證服務請求、eID驗證請求和eID驗證服務返回結果等消息：

      a）消息發送方應將消息中所有參數類型為1  的參數的值按照IETF RFC 4648-2006中所述Base64編碼規則進行編碼，將其轉化為Char（）類型。

      b）消息發送方應將轉化后的所有參數按照如下格式組裝成 Char（）類型的字符串：

      {

      “參數標識1”：“參數值1”，

      “參數標識2”：“參數值2”，

      “參數標識 N”：“參數值N”，

      }

      其中名稱/值對的名稱應與本部分所規定的參數標識一致，各參數標識間無順序。在組裝時，應忽略所有的不可見字符。若某參數值為空，則在生成的字符串中，該參數的參數標識保留，參數值設為空（長度為0的字符串）。具體的請求參數示例參見附錄A。

      c）消息發送方將組裝好的數據放入http body域中，并新增下列內容以用來描述本協議內容的版本號。

      HEAD:AD:"idsp-protocol-version=2.0.0”

      d）消息發送方使用G  13000-2010中規定的 UTF-8編碼格式數據字符串進行編碼，然后用POST方式將消息發送到請求地址，進行接口調用。接口調用示例參見A.3。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。