35.080 ICS L 07 DB36 江 西 省 地 方 标 准 DB 36/ T 1097—2018 政务服务统一身份认证系统接入要求 Access requirements of unified identity authentication system for government services 2018 - 12 -29 发布 江西省市场监督管理局 2019 -07-01 实施 发 布 DB36/T 1097—2018 目 次 前言 ................................................................................ II 引言 ............................................................................... III 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 统一身份认证系统 .................................................................. 2 5 统一身份认证业务流程 .............................................................. 3 6 应用系统接入流程 .................................................................. 7 7 管理与安全要求 ................................................................... 10 附录 A（规范性附录） 身份核验类接口示例及说明 ...................................... 12 附录 B（规范性附录） 单点登录类接口示例及说明 ...................................... 13 附录 C（规范性附录） 服务接口调用类接口示例及说明 .................................. 15 附录 D（规范性附录） eID 服务接口示例及说明 ......................................... 29 附录 E（规范性附录） 用户表信息及状态码列表 ........................................ 31 I DB36/T 1097—2018 前 言 本标准按照GB/T 1.1-2009给出的规则编写。 本标准由江西省发展和改革委员会提出并归口。 本标准主要起草单位：江西省信息中心。 本标准主要起草人：金俊平、吴俐、孙杨、李新华、黄振、侯文刚、王云翔、胡坚勇、龚松、占 晓华、蔡斌、王建、李美全。 II DB36/T 1097—2018 引 言 本标准规定了政务服务统一身份认证系统接入要求，各级政府部门政务服务系统的身份认证通过调 用政务服务统一身份认证系统提供的功能服务，实现网上政务服务“一次注册、全网通行”。 III DB36/T 1097—2018 政务服务统一身份认证系统接入要求 1 范围 本标准规定了政务服务统一身份认证系统（以下简称统一身份认证系统）的业务流程、接入要求、 管理与安全要求。 本标准适用于全省各级政府部门政务服务系统（以下简称政务服务系统）。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。分时注明日期的引用文件，仅注明日期的版本适用于 本文件。凡是不注明日期的引用文件，其最新版本适用于本文件。 《“互联网+政务服务”技术体系建设指南》 (国办函〔2016〕108号) 3 术语和定义 下列术语和定义适用于本文件。 3.1 政务服务系统 各级政府部门建设的面向社会公众提供政务服务的门户和业务系统。 3.2 统一模式 政务服务系统通过调用政务服务统一身份认证系统提供的功能服务，完成用户注册和登录认证的方 式。 3.3 协同模式 政务服务系统仅通过用户注册调用政务服务统一身份认证系统的实名认证接口，完成实名核验。 3.4 JS 对象简谱 Java Script Object Notation（简称JSON），一种轻量级的数据交换格式。它基于 ECMAScript (w3c 制定的js规范)的一个子集，采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层 次结构使得JSON成为理想的数据交换语言。易于人阅读和编写，同时也易于机器解析和生成，并有效 地提升网络传输效率。 3.5 1 DB36/T 1097—2018 Url Encode 一个函数，可将字符串以URL编码，用于编码处理。URL编码(URL encoding)，也称作百分号 编码(Percent-encoding)，是特定上下文的统一资源定位符(URL)的编码机制。适用于统一资源标识符 (URI)的编码，也用于为"application/x-www-form-urlencoded" MIME准备数据，因为它用于通过HTTP 的请求操作(request)提交HTML表单数据。 3.6 eID 以密码技术为基础、以智能安全芯片为载体、由“公安部公民网络身份识别系统”签发给公民的网 络身份标识，能够在不泄露身份信息的前提下在线远程识别身份。 4 统一身份认证系统 4.1 统一身份认证系统总体接入构架 统一身份认证系统总体接入构架示意图见图 1。 图1 总体接入架构示意图 4.2 统一身份认证系统功能定位 4.2.1 成。 4.2.2 4.2.3 a) 2 统一身份认证系统认证服务，由认证服务子系统、信任传递子系统、实名验证服务子系统等组 统一身份认证系统支持统一模式和协同模式两种对接方式与政务服务系统进行对接。 统一身份认证系统应承担以下功能和服务： 提供统一身份信息管理，包括用户注册、用户信息查询修改、用户找回等。其中用户注册包括 用户直接在统一身份认证系统上注册或在政务服务系统上注册后上传到统一身份认证系统的； DB36/T 1097—2018 b) 提供权威的、统一的身份认证服务，完成用户的登录认证建立登录令牌，并接收政务服务系统 登录会话查询与验证，以实现“一次认证、全网通办”； c) 提供统一退出服务； d) 提供信任传递服务，完成跨系统身份认证和单点登录。 4.3 身份认证方式 4.3.1 个人 统一身份认证系统中个人身份认证是通过与公安部可信身份平台及第三方等权威机构进行核验，具 体方式有支付宝认证、eID认证和身份信息认证。 4.3.2 法人 统一身份认证系统法人身份认证是通过与省工商部门、省民政部门和省编办等权威机构共享数据进 行核验。 5 统一身份认证业务流程 5.1 用户注册 5.1.1 统一身份认证系统注册 5.1.1.1 采用统一模式对接中单点登录方式的政务服务系统，用户使用 PC 端在省统一身份认证系统注 册时，具体流程见图 2。 图 2 统一身份认证系统登录注册流程示意图 5.1.1.2 采用统一模式对接中调用接口方式的政务服务系统，用户使用PC端在在政务服务系统的注册 页面注册时，具体流程见图3。 3 DB36/T 1097—2018 图 3 统一身份认证系统调用接口注册流程示意图 5.1.2 政务服务系统注册 采用协同模式建设，用户在政务服务系统的注册页面注册，具体流程见图4。 图 4 政务服务系统的注册流程示意图 5.2 登录认证 5.2.1 统一身份认证系统登录认证 用户在统一身份认证系统登录界面上，或在统一身份认证系统页面入口或通过登录接口进行登录认 证时，具体流程见图5。 4 DB36/T 1097—2018 图 5 统一身份认证系统登录认证流程示意图 5.3 信任传递 5.3.1 从统一身份认证系统到政务服务系统 从统一身份认证系统到政务服务系统的信任传递时，具体流程见图6。 图 6 从统一身份认证系统到政务服务系统信任传递流程示意图 5.3.2 政务服务系统 A 到政务服务系统 B 用户在政务服务系统A登录后，从浏览器中通过收藏夹或直接输入地址访问政务服务系统B时，具体 流程见图7。 5 DB36/T 1097—2018 图 7 从政务服务系统 A 到政务服务系统 B 信任传递流程示意图 5.4 统一退出 5.4.1 在统一身份认证系统退出 用户在统一身份认证系统退出时，具体流程见图8。 图 8 从统一身份认证系统退出流程示意图 5.4.2 政务服务系统退出 用户在政务服务系统退出时，具体流程见图9。 6 DB36/T 1097—2018 图 9 政务服务系统退出流程示意图 6 应用系统接入流程 6.1 政务服务系统申请接入统一身份认证系统时，具体流程见图 10。 7 DB36/T 1097—2018 图 10 政务服务系统接入流程示意图 6.2 接入准备 申请系统应按以下要求进行准备： 8 DB36/T 1097—2018 a) 政务服务系统应明确本地域名规划和认证服务系统域名规划，明确 IP 地址，制定部署方案， 明确地方和部门系统部署位置，确保服务器部署在安全区域内； b) 制定接入方案，描述对接环境和应用系统，描述接口调用方案，描述 IP 网络拓扑和 IP 地址、 域名，描述安全防护方案。云平台、负载均衡设备、CDN 服务应单独详细描述； c) 若政务服务系统有本地用户体系，应保证用户信息应以脱敏方式保存在互联网区、不得使用可 逆加密算法保存用户信息。 6.3 接入申请 政务服务系统可向统一身份认证系统正式申请接入。申请时应须提交以下材料： a） 接入方案； b） 第三方应用接入申请表。 同时，应包含以下要素： a） 申请单位； b） 申请时间； c） 应用名称； d） 应用名称简称； e） 应用类型； f） 应用域名 URL； g） 授权回调 URL； h） 应用退出 URL； i） 应用 Logo； j） 应用描述。 6.4 接入核准 主管部门对申