书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ 中华人民共和国国家标准 犌犅 ／ 犜 ３６６２９ ． ３ — ２０１８ 信息安全技术 　 公民网络电子身份标识安全技术要求 　 第 ３ 部分 ： 验证服务消息及其处理规则 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犛犲犮狌狉犻狋狔狋犲犮犺狀犻狇狌犲狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉犮犻狋犻狕犲狀犮狔犫犲狉犲犾犲犮狋狉狅狀犻犮犻犱犲狀狋犻狋狔 — 犘犪狉狋 ３ ： 犞犲狉犻犳犻犮犪狋犻狅狀狊犲狉狏犻犮犲犿犲狊狊犪犵犲犪狀犱狆狉狅犮犲狊狊犻狀犵狉狌犾犲狊 ２０１８  １２  ２８ 发布 ２０１９  ０７  ０１ 实施 国家市场监督管理总局 中国国家标准化管理委员会 发布书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 ２ …………………………………………………………………………………………………… ５ 　 概述 ２ ……………………………………………………………………………………………………… ６ 　 ｅＩＤ 验证服务参数编码规则 ３ …………………………………………………………………………… 　 ６．１ 　 消息编码 ３ …………………………………………………………………………………………… 　 ６．２ 　 签名参数生成规则 ４ ………………………………………………………………………………… ７ 　 注册接口参数 ４ …………………………………………………………………………………………… 　 ７．１ 　 输入参数 ４ …………………………………………………………………………………………… 　 ７．２ 　 返回参数 ５ …………………………………………………………………………………………… ８ 　 ｅＩＤ 验证服务消息参数 ６ ………………………………………………………………………………… 　 ８．１ 　 概述 ６ ………………………………………………………………………………………………… 　 ８．２ 　 应用服务提供方请求消息参数 ６ …………………………………………………………………… 　 ８．３ 　 ｅＩＤ 服务平台挑战消息参数 ７ ……………………………………………………………………… 　 ８．４ 　 应用服务提供方验证消息参数 ８ …………………………………………………………………… 　 ８．５ 　 ｅＩＤ 服务平台返回参数 １０ …………………………………………………………………………… 附录 Ａ （ 资料性附录 ） 　 请求与返回消息处理示例 １２ ……………………………………………………… 附录 Ｂ （ 资料性附录 ） 　 签名参数生成示例 １６ ……………………………………………………………… 参考文献 １７ …………………………………………………………………………………………………… Ⅰ 犌犅 ／ 犜 ３６６２９ ． ３ — ２０１８ 前 　　 言 　　 ＧＢ ／ Ｔ３６６２９ 《 信息安全技术 　 公民网络电子身份标识安全技术要求 》 分为 ３ 个部分 ： ——— 第 １ 部分 ： 读写机具安全技术要求 ； ——— 第 ２ 部分 ： 载体安全技术要求 ； ——— 第 ３ 部分 ： 验证服务消息及其处理规则 。 本部分为 ＧＢ ／ Ｔ３６６２９ 的第 ３ 部分 。 本部分按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本部分由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本部分起草单位 ： 中国科学院软件研究所 、 公安部第三研究所 、 国防科学技术大学 、 金联汇通信息技术有限公司 。 本部分主要起草人 ： 张立武 、 张严 、 杨明慧 、 邹翔 、 冯登国 、 胡传平 、 张振峰 、 陈兵 、 倪力舜 、 黄俊 、 高志刚 、 夏丽娟 、 余丹萍 、 贾焰 、 刘海龙 。 Ⅲ 犌犅 ／ 犜 ３６６２９ ． ３ — ２０１８ 信息安全技术 　 公民网络电子身份标识安全技术要求 　 第 ３ 部分 ： 验证服务消息及其处理规则 １ 　 范围 ＧＢ ／ Ｔ３６６２９ 的本部分规定了公民网络电子身份标识验证服务与应用服务提供方间传递的消息及其编码处理规则 。 本部分适用于公民网络电子身份标识验证服务及使用该服务的应用与系统的设计和开发 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ１３０００ — ２０１０ 　 信息技术 　 通用多八位编码字符集 （ ＵＣＳ ） ＧＢ ／ Ｔ２０５１８ 　 信息安全技术 　 公钥基础设施 　 数字证书格式 ＧＢ ／ Ｔ２５０６９ — ２０１０ 　 信息安全技术 　 术语 ＧＢ ／ Ｔ２６２３１ — ２０１７ 　 信息技术 　 开放系统互连 　 对象标识符 （ ＯＩＤ ） 的国家编号体系和操作规程 ＧＢ ／ Ｔ３６６３２ — ２０１８ 　 信息安全技术 　 公民网络电子身份标识格式规范 ＩＥＴＦＲＦＣ４６４８ — ２００６ 　 Ｂａｓｅ１６ 、 Ｂａｓｅ３２ 及 Ｂａｓｅ６４ 数据编码 （ ＴｈｅＢａｓｅ１６ ， Ｂａｓｅ３２ ， ａｎｄＢａｓｅ６４ＤａｔａＥｎｃｏｄｉｎｇｓ ） ３ 　 术语和定义 ＧＢ ／ Ｔ２５０６９ — ２０１０ 、 ＧＢ ／ Ｔ３６６３２ — ２０１８ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 　 犲犐犇 服务平台 　 犲犐犇狊犲狉狏犻犮犲狆犾犪狋犳狅狉犿 提供 ｅＩＤ 的生成 、 存储 、 使用及维护等全生命周期业务处理相关服务的平台 。 ３ ． ２ 　 犲犐犇 身份验证 　 犲犐犇狏犲狉犻犳犻犮犪狋犻狅狀 通过将所提交的 ｅＩＤ 身份断言与事先注册的信息进行比较来确认声明的 ｅＩＤ 身份是否正确的 过程 。 ３ ． ３ 　 犲犐犇 身份注册 　 犲犐犇狉犲犵犻狊狋狉犪狋犻狅狀 通过为实体的身份赋予唯一的 ｅＩＤ 标识码 ， 提供一组作为声明的身份和 ／ 或权利的证据的数据 ， 并签发 ｅＩＤ 载体 ， 保证其真实性 。 ３ ． ４ 　 犲犐犇 移动应用 　 犲犐犇犿狅犫犻犾犲犪狆狆犾犻犮犪狋犻狅狀 在移动客户端上运行的 ｅＩＤ 应用 。 １ 犌犅 ／ 犜 ３６６２９ ． ３ — ２０１８ ３ ． ５ 　 犲犐犇 验证服务 　 犲犐犇狏犲狉犻犳犻犮犪狋犻狅狀狊犲狉狏犻犮犲 由 ｅＩＤ 服务平台提供给各应用的进行身份识别及验证的服务 。 ３ ． ６ 　 犲犐犇 桌面应用 　 犲犐犇犱犲狊犽狋狅狆犪狆狆犾犻犮犪狋犻狅狀 通过桌面客户端运行的 ｅＩＤ 应用 。 ４ 　 缩略语 下列缩略语适用于本文件 。 ｅＩＤ ： 公民网络电子身份标识 （ ＣｉｔｉｚｅｎＣｙｂｅｒＥｌｅｃｔｒｏｎｉｃＩｄｅｎｔｉｔｙ ） ＨＴＴＰＳ ： 安全超文本传输协议 （ ＨｙｐｅｒｔｅｘｔＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌｏｖｅｒＳｅｃｕｒｅＳｏｃｋｅｔＬａｙｅｒ ） ＯＩＤ ： 对象标识符 （ ＯｂｊｅｃｔＩｄｅｎｔｉｆｉｅｒ ） ＰＩＮ ： 个人识别码 （ ＰｅｒｓｏｎａｌＩｄｅｎｔｉｆｉｃａｔｉｏｎＮｕｍｂｅｒ ） ＳＤＫ ： 软件开发工具包 （ ＳｏｆｔｗａｒｅＤｅｖｅｌｏｐｍｅｎｔＫｉｔ ） ５ 　 概述 本部分规定 ｅＩＤ 身份验证过程中 ｅＩＤ 服务平台和应用服务提供方间交互流程中传递的消息及其处 理规则 。 当应用服务提供方需要使用 ｅＩＤ 验证服务来验证网络用户的访问请求时 ， 应用服务提供方完成相应的 ｅＩＤ 加密或签名运算 ， 将结果按照本部分所述封装成符合 ｅＩＤ 验证服务接口技术要求的消息 ， 再传输给 ｅＩＤ 服务平台 。 ｅＩＤ 服务平台在完成 ｅＩＤ 身份验证后 ， 将验证结果按照 ｅＩＤ 验证服务接口技术要求的形式返回给应用服务提供方 。 上述流程的具体步骤如图 １ 所示 。 图 １ 　 犲犐犇 身份验证消息传递步骤 　　 本部分所规定的接口应采用 ＨＴＴＰＳ 信道进行传输 ， 且其中使用的涉及保密性 、 完整性 、 真实性 、 不可否认性的相关技术应遵循密码相关国家标准和行业标准 。 在接入 ｅＩＤ 验证服务前 ， 应用服务提供商首先在 ｅＩＤ 服务平台中进行注册 ， 并获得对应的应用标识与共享密钥以保证后续流程的执行 ， 注册时发送参数的定义见 ７．１ ， ｅＩＤ 服务平台对注册请求的返回结果参数定义见 ７．２ 。 此过程仅在应用服务提供方首次接入 ｅＩＤ 验证服务前进行 。 注 ： 为了完成注册 ， 应用服务提供方可能需要通过线下方式向 ｅＩＤ 服务平台递送审核材料 ， 例如 ： 提交 ＩＣＰ 备案号 、 ２ 犌犅 ／ 犜 ３６６２９ ． ３ — ２０１８ 营业执照副本 、 税务登记证 、 组织机构代码证等 。 之后 ， 当应用服务提供方需要使用 ｅＩＤ 验证服务时 ， 执行以下操作 ： ａ ） 　 应用服务提供商根据需要