GB/T36629.3-2018
信息安全技术公民网络电子身份标识安全技术要求第3部分:验证服务消息及其处理规则
Informationsecuritytechnology—Securitytechniquerequirementsforcitizencyberelectronicidentity—Part3:Verificationservicemessageandprocessingrules
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2019-07-01
- 文件格式PDF
- 文本页数20页
- 文件大小1.06M
以图片形式预览信息安全技术公民网络电子身份标识安全技术要求第3部分:验证服务消息及其处理规则
信息安全技术公民网络电子身份标识安全技术要求第3部分:验证服务消息及其处理规则
国家标准 GB/36629.3一2018 信息安全技术公民网络电子身份 标识安全技术要求第3部分: 验证服务消息及其处理规则 Informationsecuritytechnology一Securitytechniquerequirementsfor citizeneybereleetronicidentity一Part3:Veriicationservice messageandprocessingrules 2018-12-28发布 2019-07-01实施 国家市场监督管理总局 发布 国家标准化管理委员会国家标准
GB;/T36629.3一2018 前 言 GB/T36629《信息安全技术公民网络电子身份标识安全技术要求》分为3个部分: -第1部分:读写机具安全技术要求; -第2部分:载体安全技术要求; 第3部分:验证服务消息及其处理规则
本部分为GB/T36629的第3部分 本部分按照GB/T1.1一2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任
本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
本部分起草单位科学院软件研究所,公安部第三研究所,国防科学技术大学、金联汇通信息技 术有限公司
本部分主要起草人;张立武、张严,杨明慧、邹翔冯登国胡传平、张振峰,陈兵、倪力舜,黄俊 高志刚、夏丽娟、余丹串、贾焰、刘海龙
GB;/T36629.3一2018 信息安全技术公民网络电子身份 标识安全技术要求第3部分: 验证服务消息及其处理规则 范围 GB/T36629的本部分规定了公民网络电子身份标识验证服务与应用服务提供方间传递的消息及 其编码处理规则
本部分适用于公民网络电子身份标识验证服务及使用该服务的应用与系统的设计和开发
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T130002010信息技术通用多八位编码字符集(UCS) GB/T20518信息安全技术公钥基础设施数字证书格式 GB/T25069-2010信息安全技术术语 GB/T26231一2017信息技术开放系统互连对象标识符(OID)的国家编号体系和操作规程 GB/T36632一2018信息安全技术公民网络电子身份标识格式规范 IETFRFC4648一2006Basel6,Base32及Base64数据编码(TheBasel6,Base32,andBase64 DataEncoding) 术语和定义 GB/T25069一2010,GB/T36632一2018界定的以及下列术语和定义适用于本文件 3.1 e服务平台 eIDserviceplatform 提供eID的生成、存储、使用及维护等全生命周期业务处理相关服务的平台
3.2 eD身份验证 eIDverification 通过将所提交的eD身份断言与事先注册的信息进行比较来确认声明的eID身份是否正确的 过程
3.3 elD身份注册elDregistration 通过为实体的身份赋予唯一的elD标识码,提供一组作为声明的身份和/或权利的证据的数据,并 签发eID载体,保证其真实性
3.4 eID移动应用 eIDmobleapplieation 在移动客户端上运行的eID应用
GB/T36629.3一2018 3.5 e验证服务 eIDverifieationserviee 由eID服务平台提供给各应用的进行身份识别及验证的服务
3.6 eD桌面应用 elDdesktopapplieationm 通过桌面客户端运行的elD应用
缩略语 下列缩略语适用于本文件
dID:公民网络电子身份标识(CitizenCyberEleetronieldentity HTTPS安全超文本传输协议(HypertextTransferProtocoloverSeeureSocketLayer OID:对象标识符ObjectIdentifier PIN:个人识别码(PersonalldentifieationNumber) SDK:软件开发工具包(SoftwareDevelopmentKit 5 概述 本部分规定eID身份验证过程中elD服务平台和应用服务提供方间交互流程中传递的消息及其处 理规则
当应用服务提供方需要使用eID验证服务来验证网络用户的访问请求时,应用服务提供方完 成相应的elID加密或签名运算,将结果按照本部分所述封装成符合elD验证服务接口技术要求的消息 再传输给elD服务平台
elID服务平台在完成eID身份验证后,将验证结果按照elD验证服务接口技 术要求的形式返回给应用服务提供方
上述流程的具体步骤如图1所示
应用服务注册 a)服务请求 b挑战 完成eD运算 组建请求数据 elD服务平台 验证请求 eID身份验证 验证结果 1 图 eID身份验证消息传递步骤 本部分所规定的接口应采用HTTPs信道进行传输,且其中使用的涉及保密性,完整性,真实性,不 可否认性的相关技术应遵循密码相关国家标准和行业标准
在接人elD验证服务前,应用服务提供商首先在eID服务平台中进行注册,并获得对应的应用标识 与共享密钥以保证后续流程的执行,注册时发送参数的定义见7.1,eID服务平台对注册请求的返回结 果参数定义见7.2
此过程仅在应用服务提供方首次接人elD验证服务前进行
注为了完成注册,应用服务提供方可能需要通过线下方式向elD服务平台递送审核材料,例如;提交CP备案号、
GB;/T36629.3一2018 营业执照副本、税务登记证、组织机构代码证等
之后,当应用服务提供方需要使用elD验证服务时,执行以下操作 应用服务提供商根据需要向elID服务平台发送服务请求
服务请求消息的参数定义见8.2
a D服务平台返回一个随机数作为本次验证眼务的挑战
响应消息的参数定义见8.3. b 当应用服务提供方向eD服务平台发送服务请求后,应用服务提供方完成相应的elD运算,将 验证请求数据发送给eD服务平台
验证请求消息的参数定义见8.4 eID服务平台在本地执行相关的验证服务后,将验证结果返回给应用服务提供方
验证结果 消息的参数定义见8.5
elID验证服务参数编码规则 6.1消息编码 6.1.1参数类型 本部分使用如下参数类型 -2010中所规定的字符集中的一个字符,本部分中所使用的字符类型 Char:表示GB/T13000一 参数仅包含可见字符,此外,本部分使用过号字符(,",编码U+02C)作为分隔符,因此参数 的值不能包含该字符
Byte;表示8比特长的单个字节
-Char/Byte(X)表示长度固定为X个Char/Byte类型字符的参数
Char/Byte(A..B)表示长度为A至B个Char/IByte类型字符的参数 Char/Byte(0..A)表示可为空且长度至多为A个Char/Byte类型字节的参数
6.1.2 参数编码规则 消息发送方(应用服务提供方和eID平台)应遵循以下规则生成并发送注册请求、注册返回结果、 ID验证服务请求、eID验证请求和eID验证服务返回结果等消息: 消息发送方应将消息中所有参数类型为Byte()的参数的值按照IETFRFC4648一2006中所 述Base64编码规则进行编码,将其转化为Char()类型
b)消息发送方应将转化后的所有参数按照如下格式组装成Char()类型的字符串 “参数标识1”“参数值1” “参数标识2”;“参数值2" “参数标识N”“参数值N" 其中名称/值对的名称应与本部分所规定的参数标识一致,各参数标识间无顺序
在组装时,应忽 略所有的不可见字符
若某参数值为空,则在生成的字符串中,该参数的参数标识保留,参数值设为空 长度为0的字符串)
具体的请求参数示例参见附录A
消息发送方将组装好的数据放人httpbody域中,并新增下列内容以用来描述本协议内容的 版本号
HEAD;“idspprotocolversion=2.0.0” d 消息发送方使用GB/T130002010中规定的UTF-8编码格式数据字符串进行编码,然后用 POST方式将消息发送到请求地址,进行接口调用
接口调用示例参见A.3.
GB/T36629.3一2018 收到消息后,消息接收方应按照本条的参数编码规则的对组装好的参数进行解析,获取各名称 对应的参数值
解析步骤示例参见A.2 6.2签名参数生成规则 当第三方应用与eID服务平台需要生成8.4.4及8.5.4定义的签名值(signature)参数时,应遵循以 下规则生成该参数的值,签名值参数生成示例参见附录B: 应使用8.4.3及8.5.3所述签名方式(sign_type)中指定的签名算法对待签名字符串进行签名 以计算签名值参数的值,使用的签名算法应遵循密码相关国家标准和行业标准
b 待签名字符串应以“app_key-”和app_key的值为结尾
并包含消息中除去签名值和签名方 式两个参数外的其他所有需要使用到的参数的名称和值
名称/值对间应以&"字符进行连接
名称/值对中包含的‘&.'字符应使用“\&"进行转义
c d 名称/值对按名称从a到z的顺序排序,若首字母相同,则依照第二个字母进行排序,以此 类推
注册接口参数 7.1输入参数 7.1.1应用服务提供方信息 参数标识;app_info 参数类型:Char(1..50)
参数说明;必选项
待注册的应用服务提供方信息
7.1.2应用服务提供方名称 参数标识:app_name 参数类型:Char(1.50)
参数说明;必选项
待注册的应用服务提供方名称
7.1.3机构名称 参数标识:app_org
参数类型:Char(1.50). 参数说明;必选项
待注册的应用服务提供方所属机构名称
7.1.4域名 参数标识:app_domain 参数类型;Char(1.8o). 参数说明:必选项
待注册的应用服务提供方的域名
7.1.5IP地址 参数标识:ip_addr
参数类型:Char(1...50 参数说明:必选项
待注册的应用服务提供方的IP地址
GB;/T36629.3一2018 7.1.6结果返回地址 参数标识;return_url
参数类型:Char(1...255 参数说明;必选项
返回结果的URL地址
7.1.7 保留项 参数标识reserved
参数类型:Char(1.10000) 参数说明:可选项
保留字段,为将来定义新的用途所保留
7.2返回参数 7.2.1应用服务提供方信息 参数标识:app_info 参数类型:Char(1..50
待注册的应用服务提供方信息
应与请求中对应项的值相同 参数说明:;必选项
7.2.2应用服务提供方名称 参数标识:app_n name
参数类型:Char(1.50)
参数说明;必选项
待注册的应用服务提供方名称
应与请求中对应项的值相同
7.2.3机构名称 参数标识;app_org
参数类型;Char(1.50)
参数说明;必选项
待注册的应用服务提供方所属机构名称
应与请求中对应项的值相同
7.2.4域名 参数标识;app_domain
参数类型:Char(1..80)
参数说明;必选项
待注册的应用服务提供方的域名
应与请求中对应项的值相同
7.2.5IP地址 参数标识;ip_addr
参数类型:Char(1..50)
参数说明;必选项
待注册的应用服务提供方的IP地址
应与请求中对应项的值相同
7.2.6结果返回URL 参数标识:return_url
参数类型:Char(1.255) 参数说明:必选项
返回结果的URL.地址
应与请求中对应项的值相同
GB/T36629.3一2018 7.2.7应用服务提供方标识 参数标识:app_id. 参数类型:Char(1.39)
参数说明:必选项
用来标识应用服务提供方的唯一应用号,由eID服务平台为应用服务提供方 生成
7.2.8共享密钥 参数标识:app_key
参数类型:Byte(1.100)
由eD服务平台为应用服务提供方生成的共享对称密钥,用于在后续流程使用 参数说明:必选项
预共享密钥对数据进行加密保护,本部分不规定该共享密钥的使用方式
7.2.9服务器URL 参数标识:server_url
参数类型:Char(1..255). 参数说明;必选项
请求服务的URL
7.2.10服务器公钥证书 参数标识;server_cert
参数类型;Byte(0..l0000). 参数说明:必选项
应用服务提供方对返回结果验签所需的证书文件,证书文件的格式应符合 在使用此证书对elD服务平台的签名进行验签之前,应用服务提供方应验证此证书的有 GB/T20518
效性,以确保其是受应用服务提供方信任的有效证书,例如:验证证书的有效期、证书链的有效性等
7.2.11保留项 参数标识;reserved
参数类型:Char(1..10000). 保留字段,为将来定义新的用途所保留
参数说明:可选项
e验证服务消息参数 8 8.1概述 eID验证服务接口包含eID桌面验证服务接口和eID移动验证服务接口,分别为eID桌面应用和 elD移动应用中的应用服务提供方与eD服务平台的交互提供交互协议与数据传输格式要求
数据的 传输包含应用服务提供方发往eID服务平台的请求参数与eI服务平台返回给应用服务提供方的返回 参数
在本部分中,所有签名算法参数的值应以算法对应的oID表示.OD的相关规定见GB/T26231 2017
例如,当使用sM2数字签名算法和sM3散列算法时,该参数的值应为“1.2.156.197.1.501” 8.2应用服务提供方请求消息参数 8.2.1消息类型 参数标识;message_type
GB;/T36629.3一2018 参数类型:Char(2)
参数说明:必选项
消息类型,对于请求消息,固定为字符“o1” 8.2.2应用服务提供方ID 参数标识;app_id. 参数类型;Char(1.39)
参数说明;必选项
注册在elID服务平台的唯一的应用号,前两位为标识位
应与应用服务提供方 从注册接口返回参数中获得的值相一致
8.2.3业务流水号 参数标识:biz_sequence_id
参数类型:Char(64)
参数说明;必选项
应用针对本次验证请求的唯一标识串码 8.2.4保留项 参数标识;reserved. 参数类型:Char(1..l0000). 参数说明:可选项
保留字段,为将来定义新的用途所保留
8.3elD服务平台挑战消息参数 8.3.1消息类型 参数标识 ;message_type 参数类型:Char(2). 参数说明:必选项
消息类型,对于挑战消息,固定为字符“11” 8.3.2应用服务提供方ID 参数标识:app_id
参数类型:Char(1..39)
参数说明:必选项
注册在eID服务平台的唯一的应用号,前两位为标识位
应与应用服务提供方 在请求消息中发送的值相同
8.3.3业务流水号 参数标识;biz_sequence_id
参数类型:Char(64)
应与应用服务提供方在请求消息中发送 参数说明:必选项
应用针对本次请求的唯一标识串码
的值相同
8.3.4挑战随机数 参数标识.challenge_random
参数类型;Byte(32.1024). 参数说明;必选项
elID服务平台发送的挑战随机数,用来保证elID验证过程的新鲜性
该挑战会 在计算elD签名值(8.4.9)时使用
GB/T36629.3一2018 8.3.5消息扩展 参数标识:extension 参数类型Char(1..200) 参数说明;可选项
为后续应用提供一些扩展服务
8.4应用服务提供方验证消息参数 8.4.1消息类型 参数标识;message_type
参数类型;Char(2).
参数说明;必选项
消息类型,对于验证消息,固定为字符“02” 8.4.2应用服务提供方ID 参数标识:app_id
参数类型;Char(1..39)
参数说明;必选项
注册在D服务平台的唯一的应用号,前两位为标识位
应与应用服务提供方 从注册接口返回参数中获得的值相一致 8.4.3签名方式 参数标识 s1gn_type
参数类型:Char(1...100)
参数说明:必选项
签名使用的算法对应的OID. 8.4.4签名值 参数标识;signature 参数类型:Byte(1..2000)
参数说明;必选项
使用sign_type中所规定的签名算法对需要参与签名的参数进行签名得到的 值,签名的具体规则见6.2 8.4.5结果返回URI 参数标识;return_url
参数类型:Char(1..255). 参数说明;必选项
结果返回应用服务提供方路径
8.4.6业务流水号 参数标识:biz_sequence_id
参数类型:Char(64)
参数说明;必选项
应用针对本次请求的唯一标识串码
8.4.7请求时间 参数标识;apply_" time
参数类型:Char(19).
GB;/T36629.3一2018 参数说明;必选项
时间,格式为yyyy-MM-ddHH;mm;ss
8.4.8业务类型 参数标识;biz_type. 参数类型:Char(2). 参数说明;必选项
具体值的含义如下 “o1”;桌面账号绑定; “02”;桌面账号找回 “03”;移动一键账号绑定; ”移动一键账号找回 “04” “05”;桌面安全登录; “o6”;移动一键安全登录 “07”;移动实名认证; “08”;后台实名认证
8.4.9elD用户信息 参数标识eid_user_info. 参数类型:Char(1..100). 参数说明;本参数仅在elID桌面应用类型的应用中使用
当使用时为可选项
在支付业务中,通过 el支付终端SDK签名函数获得的用户信息
8.4.10eID签名值 参数标识;eid_sign_info. 参数类型;Byte(1..2000)
参数说明;本参数仅在eID桌面应用类型的应用中使用
当使用时为必选项
实名认证中,通过 edlD支付终端SDK签名函数获得的签名结果
8.4.11签名算法ID 参数标识:sgnalkeorithm_id
参数类型:Char(1..100)
参数说明;本参数仅在eID桌面应用类型的应用中使用
当使用时为必选项
用户使用eID设备 签名使用的算法对应的OID. 8.4.12待签信息原文 to_sign
参数标识:data 参数类型;Char(1.2000)
参数说明:本参数仅在eID桌面应用类型的应用中使用
当使用时为必选项
用户发起的交易原 文明文 8.4.13elD属性信息 可选项
保留字段
8.4.14消息扩展 参数标识:extension
GB/T36629.3一2018 参数类型:Char(1..200). 参数说明可选项
为后续应用提供一些扩展服务
8.4.15手机号码 参数标识:user_phone 参数类型:Char(1..15)
参数说明:本参数仅在elD移动应用中使用
当使用时为必选项
当前应用运行平台对应的手机 号码
8.4.16保留项 参数标识:reserved
参数类型:Char(1..l10000)
参数说明.可选项
保留字段,为将来定义新的用途所保留
8.5eID服务平台返回参数 8.5.1消息类型 参数标识:message_type
参数类型:Char(2)
参数说明;本参数仅在eID移动应用中使用
当使用时为必选项
消息类型,对于返回消息,固定 为字符“12”
8.5.2返回结果 参数标识:result
参数类型:Char(15)
参数说明;必选项
业务处理结果
8.5.3签名方式 参数标识:sign_type 参数类型:Char(1.100).
参数说明:必选项
签名使用的算法对应的OD 8.5.4签名值 参数标识:signature 参数类型;Byte(1..2000)
参数说明:必选项
使用sign_type中所规定的签名算法对需要参与签名的参数进行签名得到的 值,具体格式见6.2
8.5.5业务流水号 参数标识:biz_sequence_id
参数类型:Char(64). 参数说明:必选项
针对本次请求及应答的唯一标识串码
10
GB;/T36629.3一2018 8.5.6返回时间 参数标识:result_time
参数类型;Char(19). 参数说明;必选项
时间,格式为y-MMddHHmm;ss 8.5.7eID标识码 参数标识elD .code
参数类型:Char(l..80) 参数说明:必选项
用户登录的elD标识码
其格式应符合GB/T366322018的要求 8.5.8用户账户 参数标识: uSeraccOunt
参数类型:Char(1..80)
参数说明;本参数仅在eD桌面应用类型的应用中使用
当使用时为必选项
用户在应用服务提 供方注册的账号
8.5.9消息扩展 参数标识:extension.
参数类型;Char(1.200). 参数说明:可选项
保留字段
8.5.10保留项 参数标识;reserved
参数类型;Char(1.10000. 参数说明:可选项
保留字段,为将来定义新的用途所保留
11
GB/T36629.3一2018 附 录 A 资料性附录) 请求与返回消息处理示例 概述 A.1 本附录描述了第7章和第8章所述各请求与返回消息的解析规则接口调用方式及消息示例,供应 用参考
在应用时,应根据实际情况生成相应的参数内容
为简便起见,示例中省略了证书信息的中间 部分并以“”代替
A.2消息解析步骤示例 对6.1所述消息编码的解析步骤示例如下 消息接收方确定消息字符串的首字符与尾字符分别为'(’与)' a b 使用,’作为分隔符将消息字符串分割成若干名称/值对; 获取相应的名称/值对后,搜索第一个:'作为分隔符,将名称/值对解析为名称和值两部分; c d 确定名称和值均以“'与”’作为起始与结束; 将名称的内容与本部分第7章和第8章规定的各参数的参数标识相同的名称/值对进行处理
对名称未在本部分第7章和第8章参数标识中出现的名称/值对,可忽略或根据业务需要进行 处理 如果存在多个名称相同的名称/值对,且格式符合本部分的规定,可根据需要仅接收最后出现 f 的名称/值对中的值或报错处理 确认收到的数据中值的长度符合本部分第7章和第8章所规定的消息长度; g 确认收到的数据中包含所有必选的参数所对应的名称/值对,且这些参数的值符合本部分定义 h 的参数类型
A.3接口调用示例 本部分规定的各接口的调用方式可采用异步调用或同步调用两种方式,相应的调用方式示例如下 当应用服务提供方通过异步调用方式调用接口时,在请求消息中通过return_url参数发送 a 个供eID服务平台使用的结果返回地址
elD服务平台会在收到应用服务提供方发送的消息 后返回确认消息
应用服务提供方可根据网络与应用实际情况制定超时时间,在超时时间内 未收到elD服务平台的同步返回结果,则进行请求失败处理
随后,elID服务平台会通过参数 中return_url中包含的结果返回将业务处理结果返回给应用服务提供方,应用服务提供方在 接收到eD服务平台的处理结果之后,向edlD服务平台返回确认消息,其内容为(“rceird" “true”),表示已接收到结果
如果eID 服务平台在一定时间内未收到应用服务提供方的接收 确认,会根据策略按一定间隔重复发送直到达到最大重试次数或收到应用服务提供方的接收 确认,应用服务提供方采用重复消息判定机制对此进行处理
b 当应用服务提供方通过同步调用方式调用接口时,eID服务平台会保持会话,待处理完所有业 务以后,按照第7章和第8章中的定义直接返回相关参数
应用服务提供方可根据网络与应 用实际情况制定超时时间,在超时时间内未收到eID服务平台的同步返回结果,则进行请求失 12
GB;/T36629.3一2018 败处理
注册请求与返回消息示例 A.4 A.4.1注册请求消息示例 如7.1所示注册请求消息示例如下 "pp_info""AnExampleServiceeProvidler" 'app_name 'eXample_sp" "app_org 'example_org 'https://www.eidservice.cen" "app_domain" ,98" "p_addr""01.230.3. "return_url""https://www.eidservice.en/return_url" A.4.2注册返回消息示例 如7.2所示注册返回消息示例如下
"app_info""AnExampleServiceProvider "app_name "example_sp" "app_org 'example_org" "app_domain" "https://www.eid-service.cn" "ip_addr""101.230.3.98" "sign_cert CERT=0123456789ABCDEF" "app_id":"01QTl60101l010101111" key":"NzcxRUYzREJGRjVGMUNEQzMyQjlDNTcyOTMwNDc2MTkx(OTk4Q app- jJCRijdDQjk4MUQ3RjvCMzkyMD12NDvGMDkzMQ "server_url""https:;//www.eid.cn/server_ur" server_cert""MIIDYz..75H3TmAzw== A.5桌面验证请求与返回消息示例 A.5.1桌面验证请求消息示例 如8.4所示桌面验证请求消息示例如下
"02" mesage-ye"" "01QT160101l010101111" "ppid" "sign_type""1.2.156.10197.1.501" "signature" NkQ2RkJBMZFQUIyQTEwNTRGNUQx0TgzMzFMzM1ODE3QzhBQzQ1MOVEMZEMz M5MUNENDQzOUQgOD1lQkYyNUI一" 13
GB/T36629.3一2018 https;//www.eid- "eturn-_url" /return_ur -service.cn/ "biz -sequence_id";"F6F242C3BFFBH4F7690C9CE719A2FE9B7"" "2016-08-1609:01;23" "apply_time "01 "biz_type" "eidL_user_info";"vGrRdDdHn5U1XDhZXGFV00xptpFuyUmdyGkTTE+FNXb8Jx52TE JCU3u7wkq十/qecbsCRsuiwnO8IsBD0G;/ILoRg== "eid_sign_info""MzEyNEM1Njg4RDklRjBBMTAyNTJB(OU]JFRDAzMOJFQzgONDM 5REEzODQ2MFCNkQ2RkFENzxdGoTRCNzRBOrU1Ng=一 "sign_algorithm_id";"1.2.156.10197.1.501" "data_to_sign";"ZqL十wkQxrObJ6VHBN1k8DH0dH3h113" "extension""some_extension" A.5.2桌面验证返回消息示例 如8.5所示桌面验证请求消息示例如下
"mme essage_type";"12", "result": "sign_type""1.2.156.10197.1.501" NkQzRkJBMZFQUIyQTEwNTRGNUQxOTgzMz]FMzM1ODE3QzhBQ S1gnatulre zQ1MOVEMZEMzM5MUNENDQzOUQgODI1QkYyNU1="" "biz_sequence_id";"F6F242C3BFFB4F7690C9CE719A2FE9B7" "return_time""2013-01-011l:ll:11" "eID_code";"2016-08-1609:02:02" "user_account":"useraccount "extension":"some_extension A.6移动验证请求与返回消息示例 A.6.1移动验证请求消息示例 如8.4所示移动验证请求消息示例如下,在应用时,应根据实际情况生成相应的参数内容
2 "02 "mesage-ype" "app_id""01QT1601011010101111" "sign_type""1.2.156.10197.1.501" "NkQzRkJBMZFQUIyQTEwNTRGNUQxOTgzMzFMzM1ODE3QzhBQ signature" zQ1MOvVEMZEMzM5MUNENDQaOUQg(ODQlYyNUI=" "eturn_url";”htps://www.ceidservice.cn/'return_url" "biz_sequence_id";"F6F242C3BFFB4F7690C9CE719A2FE9B7" "2016-08-1609;01;23" "apply_time "13012345678" "user_phone" "biz_type""03" 14
GB;/T36629.3一2018 "security_clas""1" extension";"some_extension A.6.2移动验证返回消息示例 如8.5所示移动验证请求消息示例如下,在应用时,应根据实际情况生成相应的参数内容
"message_ype";"12" result" "sign_type""1.2.156.10197.1.501" NkQzRkJBMZFQUIyQTEwNTRGNUQxOTg2MFMM1ODE3QzhBQ SIgnature zQ1MOVEMZEMzM5MUNENDQzOUQgODI1QkYyNUI=" "biz_sequence_id""F6F242C3BFFB4F7690C9CE719A2FE9B7" "return_timme""2013-01-011l:ll:11" "elD_code""2016-08-1609:02:02" "extension":"some_extension 15
GB/T36629.3一2018 附 录 B 资料性附录) 签名参数生成示例 B.1签名参数生成步骤示例 6.2所述签名参数的生成步骤示例如下 消息发送方将消息中除去signature和sign_type两个参数外的其他所有参数作为需签名 a 参数
b 消息发送方对需签名参数数组里的每一个名称/值对按6.2的规则进行排序
排序完成之后 将结果字符串中的所有&.'字符改为“\&”进行转义,之后再把所有数组值以‘&.'字符连接 起来
在步骤b)中得到的字符串后连接“app_key=”和app_key的值后得到最终的待签名字符串 c d) 使用sign_type中规定的签名算法对步骤c)中得到的待签名字符串进行签名
待签名字符串的生成示例参见B.2
B.2待签名字符串示例 例如,对于如下的参数数组 tring[parameters id";"1234567890" "aPp" return_urI""htt url.asp" m/verify/return ttp://www.test,co1 biz d";"12345678901234567890123456789012345678901234567890123456789 sequence 01234" "apply_time";"2013-01-0110:l0;l0" "cellphone""12345678901" 则B.1步骤b)所生成的字符串如下 id=0012345678908.apply_time=2013-01-01 aPp- 0;10;10&.biz _seguence_id=123456789012345678901234567890123456789012345678901234567 8901234&.cellphone=12345678901&.return_url一http:/www.test.com/verify/return_url.asD 之后,根据B】步骤o的描述,直接连接ap_key后得到最终的待签名字符串如下(设pp-key- ap_key”). 1234567890&.apply 2013-01-0110:10:108.biz id time id seguence aPp- 1234567890123456789012345678901234567890123456789012345678901234&.cellphone 12345678901&.retun_ul=htp://www.test.com/verify/return_url.aspapp_key 此字符串便是最终的待签名字符串 16
GB;/T36629.3一2018 参 考文献 GB/T32918.3一2016信息安全技术SM2椭圆曲线公钥密码算法第2部分;数字签名 算法 Format.lstEdition.Oct2013.ECMA-lnternation ECMA-404TheJsONDataInter erdhangel al
信息安全技术公民网络电子身份标识安全技术要求第3部分:验证服务消息及其处理规则GB/T36629.3-2018
随着互联网的普及和发展,网络安全问题越来越受到人们的重视。作为网络安全的一项基础工作,身份识别与认证体系的建立和完善显得尤为重要。而信息安全技术公民网络电子身份标识安全技术要求第3部分:验证服务消息及其处理规则GB/T36629.3-2018标准的出台,则进一步提高了验证服务消息的安全性和可靠性。
验证服务消息是身份识别与认证体系中的一项关键服务,其目的是通过验证用户提供的身份凭证,确保用户身份的真实性和合法性。GB/T36629.3-2018标准主要针对验证服务消息的处理流程、数据格式、加密算法、安全机制等方面进行了详细规定。
该标准要求验证服务消息的发送方应当使用数字签名技术对消息进行签名,并使用相应的公钥证书进行验证。同时,接收方也应当使用数字证书对发送方的身份进行验证,确保消息的来源可信。在传输过程中,验证服务消息应当采用加密算法对消息内容进行保护,防止信息泄露和篡改。
此外,在验证服务消息的处理过程中,该标准还规定了一些必要的安全措施。比如,应当对消息进行有效期检查,防止过期消息被误认为有效;在处理消息时应当注意防范缓冲区溢出、拒绝服务攻击等安全威胁。
总之,信息安全技术公民网络电子身份标识安全技术要求第3部分:验证服务消息及其处理规则GB/T36629.3-2018标准的出台,有助于提高身份识别与认证体系的安全性和可靠性,保障用户的合法权益。未来,我们还需要不断完善相关标准和技术,加强网络安全工作的力度。
