DB33-T 2233-2019可信電子證照管理規(guī)范

ICS01.040.03A12

DB33浙 江 省 地 方 標(biāo) 準(zhǔn)DB33/T2233—2019可信電子證照管理規(guī)范Standardofreliableelectroniccertificatemanagement2019-12-30發(fā)布 2020-01-30實(shí)施浙江省市場(chǎng)監(jiān)督管理局 發(fā)布DB33/T2233DB33/T2233—2019II目 次前言 III范圍 1規(guī)性用件 1術(shù)和義 1縮語(yǔ) 2數(shù)結(jié)構(gòu) 22照息 3子照件 3證據(jù) 3可原則 3術(shù)求 3名則 3生周管理 4命期 445新注銷 55數(shù)治理 77據(jù)洗 7享議缺申報(bào) 7安要求 8據(jù)全 8享全 8統(tǒng)全 8附 錄 A 資性）照息據(jù)名說明 9照息據(jù)例 9照息字名 9附 錄 B 規(guī)性）子件名程 10附 錄 C 資性）照子件成方式例 11式件成式 11式件成置程 11附 錄 D 資性）享回?fù)?jù)構(gòu)例 12IIII照息據(jù)享回?cái)?shù)結(jié)示例 12時(shí)享回?cái)?shù)結(jié)構(gòu)例 13附 錄 E 資性）證程明 14線證 14線證 16參考獻(xiàn) 18IIIIII前 言本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由浙江省大數(shù)據(jù)發(fā)展管理局提出并歸口。本標(biāo)準(zhǔn)主要起草人：徐穎、施筱玲、王宏宇、趙程遙、鄭培、王忠義、呂萌學(xué)、田潤(rùn)家、張瑋蘭、陳晶、柴琳、胡濤、徐亦萍、周萬。11可信電子證照管理規(guī)范范圍本規(guī)范規(guī)定了可信電子證照的數(shù)據(jù)結(jié)構(gòu)、可信原則、生命周期管理、數(shù)據(jù)治理以及安全要求。本規(guī)范適用于政務(wù)及公共服務(wù)領(lǐng)域應(yīng)用中各類電子證照數(shù)據(jù)全生命周期的管理。GB/T20520 息全術(shù) 鑰礎(chǔ)施 時(shí)戳規(guī)GB32100 法和他織統(tǒng)社信代編規(guī)則GB/T33481黨政機(jī)關(guān)電子印章應(yīng)用規(guī)范GB/T36901子照 總體術(shù)構(gòu)GB/T36902子照 目錄息范GB/T36903子照 元數(shù)規(guī)范GB/T36904子照 標(biāo)識(shí)范GB/T36905子照 文件術(shù)求GB/T36906子照 共享務(wù)口范下列術(shù)語(yǔ)和定義適用于本文件。3.1數(shù)字書 digitalcertificate3.2電子簽名electronicsignature數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名主體身份并表明簽名主體認(rèn)可其中內(nèi)容的數(shù)據(jù)。3.3電子簽章electronicseal3.422時(shí)間戳 timestampTSA[GB/T20520—2006，定義3.1]3.5證照 certificate由機(jī)關(guān)、團(tuán)體、企業(yè)事業(yè)單位頒發(fā)的、能夠證明資格或權(quán)利等的憑證類文件。包括證件、執(zhí)（牌）照、批文、證明等。3.6電子證照electroniccertificate由計(jì)算機(jī)等電子設(shè)備形成、傳輸和存儲(chǔ)的證照數(shù)據(jù)文件。3.7可信子照 reliableelectroniccertificate3.8證照發(fā)構(gòu) certificateissuingauthority3.9證照源位 certificatedatasourceorganization直接向電子證照庫(kù)提供證照數(shù)據(jù)的部門。縮略語(yǔ)下列縮略語(yǔ)適用于本文件。CA 證認(rèn)機(jī)(CertificationTSA 時(shí)戳構(gòu)(TimeStampAuthority)國(guó)密法 中國(guó)商密碼法JSON JavaScriptObjectNotation)概述所示。33基礎(chǔ)數(shù)據(jù)驗(yàn)證數(shù)據(jù)可信電子證照基礎(chǔ)數(shù)據(jù)驗(yàn)證數(shù)據(jù)證照信息電子證照文件+綁定+電子簽名+時(shí)間戳電子簽名+時(shí)間戳圖1 可信子照據(jù)構(gòu)。唯一標(biāo)識(shí)為賦予電子證照的唯一代碼，應(yīng)符合GB/T36904的要求。證照信息中屬于GB/T36903中元數(shù)據(jù)范圍的，應(yīng)符合其規(guī)定。OFDPDF電子證照文件推薦采用OFD格式，且應(yīng)符合GB/T36905要求和浙江省相關(guān)規(guī)范。（GB20520可信電子證照簽名原則如下：44電子證照系統(tǒng)的總體架構(gòu)應(yīng)符合GB/T36901要求。生成可信電子證照生成原則如下：GB/T20520AB；GB/T3348155（電子證照庫(kù)目錄信息應(yīng)符合GB/T36902要求和浙江省相關(guān)規(guī)范?？尚烹娮幼C照的證照信息配置要求如下：可信電子證照的電子證照文件配置要求如下：。V1、V2。可信電子證照庫(kù)將每個(gè)字段版本默認(rèn)初始化為V1。歸集證照數(shù)源單位通過本單位信息化系統(tǒng)采集證照數(shù)據(jù)，將生成的可信電子證照數(shù)據(jù)推送到電子證照庫(kù)。歷史庫(kù)的證照數(shù)據(jù)應(yīng)長(zhǎng)期保存，法律法規(guī)另有規(guī)定的，從其規(guī)定。共享66GB/T36906對(duì)于無法進(jìn)行數(shù)據(jù)歸集的證明類電子證照，可采用實(shí)時(shí)共享的方式。D.1。注：證照電子文件地址為臨時(shí)地址，有效期5分鐘。實(shí)時(shí)共享流程見圖2?？尚烹娮幼C照庫(kù)系統(tǒng)可信電子證照庫(kù)系統(tǒng)實(shí)時(shí)共享提供系統(tǒng)實(shí)2時(shí)共享接口3 數(shù)據(jù)7實(shí)時(shí)共享數(shù)據(jù)及簽名、時(shí)間戳的標(biāo)準(zhǔn)化封裝處理時(shí)間戳電子簽名計(jì)分析目錄數(shù)據(jù)共享平臺(tái)接口政務(wù)應(yīng)用說明：數(shù)據(jù)共享平臺(tái)接口政務(wù)應(yīng)用1——政務(wù)應(yīng)用調(diào)用數(shù)據(jù)共享服務(wù)平臺(tái)的某個(gè)實(shí)時(shí)共享接口，傳入實(shí)時(shí)共享申請(qǐng)主體等相關(guān)信息等。定的實(shí)時(shí)信息數(shù)據(jù)和電子文件。4—的實(shí)時(shí)共享數(shù)據(jù)。5——實(shí)時(shí)共享提供系統(tǒng)返回可信的實(shí)時(shí)共享數(shù)據(jù)（包括信息數(shù)據(jù)、電子文件、電子簽名、時(shí)間戳）。6——實(shí)時(shí)共享提供系統(tǒng)將實(shí)時(shí)共享數(shù)據(jù)、電子簽名和時(shí)間戳進(jìn)行標(biāo)準(zhǔn)化格式封裝。7——實(shí)時(shí)共享接口將實(shí)時(shí)共享數(shù)據(jù)返回?cái)?shù)據(jù)共享平臺(tái)。8——數(shù)據(jù)共享平臺(tái)將實(shí)時(shí)共享數(shù)據(jù)返回給政務(wù)應(yīng)用。圖2 實(shí)時(shí)享程77提供實(shí)時(shí)共享的證照數(shù)源單位應(yīng)在電子證照庫(kù)系統(tǒng)中進(jìn)行目錄注冊(cè)，進(jìn)行統(tǒng)一管理。證照信息數(shù)據(jù)實(shí)時(shí)共享結(jié)構(gòu)應(yīng)參照證照信息數(shù)據(jù)共享要求，共享返回?cái)?shù)據(jù)結(jié)構(gòu)參照附錄D.2。實(shí)時(shí)共享的電子文件格式應(yīng)符合證照電子文件的要求。實(shí)時(shí)共享接口由證照數(shù)源單位負(fù)責(zé)實(shí)現(xiàn)，通過電子證照庫(kù)系統(tǒng)與數(shù)據(jù)共享平臺(tái)對(duì)接。共享數(shù)據(jù)可信驗(yàn)證應(yīng)至少包括對(duì)證照數(shù)據(jù)正確性、完整性、來源權(quán)威性的驗(yàn)證?？尚烹娮幼C照應(yīng)支持對(duì)證照信息的單獨(dú)可信驗(yàn)證和對(duì)證照電子文件的單獨(dú)可信驗(yàn)證?？尚烹娮幼C照應(yīng)支持應(yīng)用系統(tǒng)在線驗(yàn)證和離線驗(yàn)證。在線驗(yàn)證是應(yīng)用系統(tǒng)通過可信電子證照庫(kù)系統(tǒng)提供的驗(yàn)證服務(wù)接口對(duì)證照信息或證照電子文件進(jìn)E.1。E.2?？倓t可信電子證照數(shù)據(jù)治理主要包括數(shù)據(jù)清洗、證照共享異議/缺失申報(bào)?？尚烹娮幼C照數(shù)據(jù)清洗僅判斷數(shù)據(jù)項(xiàng)是否符合清洗規(guī)則，不對(duì)數(shù)據(jù)項(xiàng)內(nèi)容進(jìn)行修改。清洗規(guī)則包括但不限于以下內(nèi)容：GB32100證照共享異議/缺失申報(bào)流程應(yīng)遵循浙江省公共數(shù)據(jù)平臺(tái)數(shù)據(jù)治理相關(guān)規(guī)范要求。88可信電子證照出入庫(kù)時(shí)均需進(jìn)行數(shù)字簽名驗(yàn)證，保證入庫(kù)出庫(kù)數(shù)據(jù)的完整性，未被篡改。為保證數(shù)據(jù)隱私，可信電子證照庫(kù)管理界面上不可查詢顯示證照的詳細(xì)數(shù)據(jù)內(nèi)容。可信電子證照共享安全需滿足如下要求：可信電子證照相關(guān)系統(tǒng)建設(shè)應(yīng)滿足信息安全等級(jí)保護(hù)三級(jí)或以上的防護(hù)標(biāo)準(zhǔn)要求。99附 錄 A（資料性附錄）證照信息數(shù)據(jù)簽名過程說明{"ZZBH":"1233**************K","CZZT":"浙江省****委員會(huì)","KZ_ZCDZ":"浙江省杭州市**路","KZ_FDDBR":"王**",{"ZZBH":"1233**************K","CZZT":"浙江省****委員會(huì)","KZ_ZCDZ":"浙江省杭州市**路","KZ_FDDBR":"王**","KZ_ZJLY":"全額財(cái)政補(bǔ)助","KZ_ZCZJ":"5195","KZ_JBDW":****"KZ_ZZZT":"ZZYXQQSRQ":"2018-01-01","ZZYXQJZRQ":"2023-01-01"}"CZZT":"浙江省"CZZT":"浙江省****委員會(huì)","KZ_FDDBR":"王**","KZ_JBDW":"杭州市****委員會(huì)","KZ_ZCDZ":"浙江省杭州市**路","KZ_ZCZJ":"5195","KZ_ZJLY,"KZ_ZZZT":"正常","ZZBFJG":"杭州市 機(jī) 構(gòu) 編制委 員 會(huì) 辦公室 ","ZZBH": "2023-01-01","ZZYXQQSRQ":"2018-01-01"為了降低網(wǎng)絡(luò)帶寬占用，使用簽名服務(wù)時(shí)建議先對(duì)上述字符串進(jìn)行哈希運(yùn)算，推薦采用SM3算法或SHA256算法。推薦使用國(guó)家認(rèn)可的CA機(jī)構(gòu)頒發(fā)的SM2算法的數(shù)字證書，遵循《GM/T0009SM2密碼算法使用規(guī)范》標(biāo)準(zhǔn)對(duì)上述字符串進(jìn)行簽名運(yùn)算，得到的簽名值格式也要符合上述標(biāo)準(zhǔn)。1010附 錄 B（）可信電子證照文件如果采用OFD格式，則其數(shù)字簽名應(yīng)符合GB/T36905。OFD簽名時(shí)，遵循GM/T0009對(duì)整個(gè)電子文件數(shù)據(jù)進(jìn)行簽名運(yùn)算，得到的簽名值格式也要符合上述標(biāo)準(zhǔn)。推薦使用國(guó)家認(rèn)可的CA機(jī)構(gòu)頒發(fā)的SM2算法的數(shù)字證書。SHA2561111附 錄 C（資料性附錄）證照電子文件生成配置方式示例版式文件生成的配置過程可以參照以下過程要求：150dpiJPGPNG1:1800KB庫(kù)。1212附 錄 D（）電子證照共享服務(wù)接口如采用一本證照一個(gè)接口的方式，其返回的證照信息數(shù)據(jù)格式描述舉例如下：[{"ELC_LICENCE_NAME":"電子證照名稱","ELC_LICENCE_DEPT":"電子證照來源部門","ELC_LICENCE_CODE":"電子證照編碼","ELC_LICENCE_FILE":{"URL":"電子證照文件地址""SIGN_CERT":"電子證照文件簽名證書","SIGN_VALUE":"電子證照文件簽名值","TSA":"電子證照文件時(shí)間戳簽名值"},"ELC_LICENCE_STRUCT":{"SIGN_CERT":"證照信息數(shù)據(jù)簽名證書","SIGN_VALUE":"證照信息數(shù)據(jù)簽名值","TSA":"證照信息數(shù)據(jù)時(shí)間戳簽名值","DATA":{"KZ_CSRQ":"出生日期-yyyyMMdd","ZZBH":"公民身份號(hào)碼","KZ_CZRKMZ":"民族","ZZBFJG":"簽發(fā)機(jī)關(guān)","KZ_CZRKXB":"性別","CZZT":"姓名","ZZYXQJZRQ":"有效期截止日期-yyyyMMdd","ZZYXQQSRQ":"有效期起始日期-yyyyMMdd","KZ_CZRKZZ":"住址"}},"ELC_LICENCE_RELATES":[{"KZ_NAME":"附件名稱","KZ_FILE_URL":"附件文件地址","SIGN_CERT":"附件簽名證書","SIGN_VALUE":"附件簽名值","TSA":"附件時(shí)間戳簽名值"}]1313證明類實(shí)時(shí)共享接口返回的證照信息數(shù)據(jù)組織結(jié)構(gòu)描述舉例如下：[{"ELC_LICENCE_NAME":"浙江省社會(huì)保險(xiǎn)參保證明（單位專用）","ELC_LICENCE_DEPT":"杭州市社會(huì)保險(xiǎn)管理服務(wù)局","ELC_LICENCE_CODE":"54c3af309a7c4533ac39d52889efed9a","ELC_LICENCE_FILE":{"URL":"證明文件地址""SIGN_CERT":"證明文件簽名證書","SIGN_VALUE":"證明文件簽名值","TSA":"證明文件時(shí)間戳簽名值"},"ELC_LICENCE_STRUCT":"SIGN_CERT":"證明信息數(shù)據(jù)簽名證書","SIGN_VALUE":"證明信息數(shù)據(jù)簽名值","TSA":"證明信息數(shù)據(jù)時(shí)間戳簽名值","DATA":{各廳局定義的具體證明數(shù)據(jù)}}}]1414附 錄 E（資料性附錄）驗(yàn)證過程說明概述可信電子證照庫(kù)提供在線驗(yàn)證服務(wù)，以實(shí)現(xiàn)對(duì)已共享證照信息數(shù)據(jù)和電子文件數(shù)據(jù)的簽名驗(yàn)證功JSON以JAVA語(yǔ)言為例，采用HTTPREST方式提供在線驗(yàn)證服務(wù)，以XXXX證照示例如下：publicvoidtestPost()throwsExceptionpublicvoidtestPost()throwsExceptionStringfull_name"XXXX證";Stringtype_code=“1110****************1";Map<String,String>data=newHashMap<>();data.put("ZZBH","1233**************K");data.put("CZZT","浙江省******路");data.put("KZ_FDDBR","王**");data.put("KZ_ZJLY","全額財(cái)政補(bǔ)助");data.put("KZ_ZCZJ","5195");data.put("KZ_JBDW","杭州市****委員會(huì)");data.put("ZZBFJG","杭州市機(jī)構(gòu)編制委員會(huì)辦公室");data.put("ZZYXQQSRQ","2018-01-01");data.put("ZZYXQJZRQ","2023-01-01");HttpClientclient=HttpClients.createDefault();HttpPostpost=newHttpPost("http://x.x.x.x/api/common/verf_licence_data/V1.0");List<NameVaulePair>urlParameters=newArrayList<>();urlParameters.add(newBasicNameValuePair("full_name",full_name));urlParameters.add(newBasicNameValuePair("type_code",type_code));for(Stringkey:data.keySet()){urlParameters.add(newBasicNameValuePair(key,String.valueOf(data.get(key))));}try{Filefile=newFile("XXXX證電子文件路徑");1515FileInputStreaminputFile=newFileInputStream(file);byte[]buffer=newbyte[(int)file.length()];inputFile.read(buffer);FileInputStreaminputFile=newFileInputStream(file);byte[]buffer=newbyte[(int)file.length()];inputFile.read(buffer);inputFile.close();Stringfile_content=BASE64Encoder().encode(buffer);urlParameters.add(newBasicNameValuePair("file_content",file_content));UrlEncodedFormEntityurlEncodedFormEntity=newUrlEncodedFormEntity(urlParameters,"utf-8");post.setEntity(urlEncodedFormEntity);CloseableHttpResponseresponse=client.execute(post);intstatusCode=response.getStatusLine().getStatusCode();if(statusCode==HttpStatus.SC_OK){HttpEntityresEntity=response.getEntity();if(resEntity!=null){System.out.println(EntityUtils.toString(resEntity));}}else{System.out.println("請(qǐng)求失敗！");}}catch(Exceptione){e.printStackTrace();}finally{response.close();client.close();}}輸入?yún)?shù)以JSON格式描述部分?jǐn)?shù)據(jù)，舉例如下：{{"paramMap":{//如果為空則不驗(yàn)證證照信息數(shù)據(jù)"ZZBH":"1233**************K","CZZT":"浙江省****委員會(huì)","KZ_ZCDZ":"浙江省杭州市**路","KZ_FDDBR":"王**","KZ_ZJLY":"全額財(cái)政補(bǔ)助","KZ_ZCZJ":"5195","KZ_JBDW":"杭州市****委員會(huì)","ZZYXQQSRQ":"2018-01-01","ZZYXQJZRQ":"2023-01-01"1616},},"full_name":"XXXXX證",//證照名稱“