ICS35.080 CCSL77 3413 宿州市地方标准 DB3413/T0013—2022 居民服务一卡通服务平台接入技术规范 Serviceplatformforresidentservicecard—Specificationofaccesstechnology 2022-11-18发布 2022-12-18实施 宿州市市场监督管理局  发布 DB3413/T0013—2022 I前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由宿州市人力资源和社会保障局提出并归口。 本文件起草单位：宿州市人力资源和社会保障局、宿州市数据资源管理局、宿州市交通运输局、宿 州市公共交通有限公司、宿州市文化和旅游局。 本文件主要起草人：刘锋、程松、崔龙、张梦龙、朱俊臣、高庆涛、高元元、蒋春峰、付瑶、徐珂。 DB3413/T0013—2022 1居民服务一卡通服务平台接入技术规范 1范围 本文件规定了接入居民服务一卡通服务平台（以下简称“一卡通平台”）的要求、接入流程、接入 方式、接入方法和接入安全控制。 本文件适用于一卡通平台的接入，及与一卡通平台应用相关的软件设计和开发。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T22239信息安全技术网络安全等级保护基本要求 GB/T28452信息安全技术应用软件系统通用安全技术要求 GB/T32918（所有部分）信息安全技术SM2椭圆曲线公钥密码算法 GB/T35273信息安全技术个人信息安全规范 LD/T92社会保险管理信息系统指标集与代码 DB3413/T0012-2022居民服务一卡通服务平台数据编码规范 3术语和定义 DB3413/T0012-2022界定的术语和定义适用于本文件。 4要求 4.1基本要求 4.1.1具有固定的接入IP地址。 4.1.2以一卡通平台分配的用户ID、用户密码接入身份验证。 4.1.3软件设计应符合GB/T28452的要求。 4.1.4系统安全防护能力应符合GB/T22239中安全等级保护三级及以上的要求。 4.2网络类型 应用系统可通过以下网络接入一卡通平台： a)国家电子政务外网； b)人力资源和社会保障业务专网； c)互联网。 4.3接口要求 DB3413/T0013—2022 2一卡通平台提供标准的应用接口，按国家安全标准进行加密传输，供应用系统调用，接入方应填写 基本信息，见表1。 表1接入方基本信息 信息 说明 单位名称 接入方对应本单位社会统一信用代码的正式全称 社会统一信用代码 接入方登记的有效社会信用代码 服务事项 应用系统接入与一卡通服务目录对应的服务事项 应用场景 向社会公众提供服务的简要说明 申请单位联系人与联系方式 联系人姓名、电话、邮箱等 业务系统IP 应符合4.2要求范围的固定IP地址 应用网点信息 设备部署的网点信息 应用设备 调用服务的设备类型 5接入流程 5.1应用接入流程 接入流程图见图1。 接入方 管理方 开始 接入申请 接入审核 分配账号接入方线上 信息填报 接入信息审核 测试环境授权 上线审批 生产环境授权应用测试 上线申请 上线启用 结束申 请 测 试 上 线 图1应用接入流程图 5.2接入申请 5.2.1接入方按申请表格式要求，提交材料包括接入IP、联系人、联系方式、机构信息、对接内容等 基础信息。 DB3413/T0013—2022 35.2.2接入方按一卡通平台在线填报要求，线上填报网点、设备、应用系统等运行信息及参数。 5.3接入测试 5.3.1接入方按授权的测试环境，配置账户信息和测试密钥，并按对接规范进行开发，开展联调测试。 5.3.2接入方完成测试事项，形成测试报告。 5.4上线启用 5.4.1接入方提交上线申请，一卡通平台分配正式密钥。 5.4.2接入方获得正式密钥，配置应用系统，完成上线。 6接入方式 6.1HTTP接入 6.1.1采用HTTP/1.1协议，使用POST方法提交请求，请求包含身份令牌（access_token）参数。 6.1.2请求及返回报文为JSON格式，字符编码为UTF-8，涉及社会保障参数，格式应符合LD/T92的 要求。 6.1.3应用系统应按申请时报备的IP地址接入。 6.2H5页面接入 6.2.1采用HTTP/1.1协议，使用GET方法提交请求。 6.2.2请求及返回报文字符编码为UTF-8，涉及社会保障参数，格式应符合LD/T92的要求。 6.2.3应用系统拼接URL地址及携带参数（见7.2），发起GET请求，调用一卡通平台H5页面。 6.2.4应用系统应按申请时报备的IP地址接入。 7接入方法 7.1HTTP方式接入 7.1.1API方式实现数据层面交互。通过该方式进行对接，应用系统获取所需要的数据，根据自身业 务逻辑，开发相应页面，实现数据展示及业务办理。 7.1.2API接入应符合HTTPrestful风格。签名相关的公共参数统一放在请求HTTP的header中。HTTP 访问签名设定见附录A。 7.1.3格式： http://{ip}:{port}/api-rest/{sceneCode}/{serviceCode}/{version}?access_token={access Token}&token={token}&flag={flag} 7.1.4输入参数见表2。 表2API请求参数 参数 是否必填 类型 说明 ip 是 字符串 应用服务IP port 是 字符串 应用服务端口 sceneCode 是 字符串 应用场景编码 DB3413/T0013—2022 4表2（续） 参数 是否必填 类型 说明 serviceCode 是 字符串 接口服务编码 version 是 字符串 接口服务版本 accessToken 是 字符串 服务调用凭证令牌 token 否 字符串 调用者信息凭证（无连续访问不上传） flag 否 字符 0：不保留访问信息，1：保留访问信息 7.2H5页面方式接入 7.2.1请求过程 接入方采用基于HTTP协议的URL通信方式，发起HTTP请求，将经过统一算法进行加密及签名的参数 串提交到一卡通平台，一卡通平台对相关参数进行解析核验，核验通过后返回对应的H5页面资源。核验 不通过时向接入方提示错误信息。 7.2.2数据交互 7.2.2.1通过互联网进行访问。 7.2.2.2接入方按一卡通平台H5标准规范拼接URL地址及携带参数。 7.2.2.3由一卡通平台H5解析参数，对应用进行身份鉴权、应用访问鉴权，鉴权通过后返回请求的 H5资源，用于接入方应用端展示。 7.2.2.4格式： http://{ip}:{port}/api-rest/forward?{sceneCode}/{serviceCode}/${version}?access_token ={accessToken}&token={token}&security={encrypt_key}&_api_signature={sign_key} 7.2.2.5约定：所有请求的charset应为UTF-8。输入参数见表3。 表3H5请求参数 参数 是否必填 类型 说明 ip 是 字符串 应用服务IP port 是 字符串 应用服务端口 sceneCode 是 字符串 应用场景编码 serviceCode 是 字符串 接口服务编码 version 是 字符串 接口服务版本 accesstoken 是 字符串 服务调用凭证令牌 token 否 字符串 调用者信息凭证（无连续访问不上传） security 是 字符串 加密串 _api_signaturea是 字符串 访问签名a a访问签名见附录B。 8接入安全控制 8.1身份验证 8.1.1接入方身份验证基于IP白名单和token访问令牌，验证通信身份的合法性，通信报文添加时间 DB3413/T0013—2022 5戳校验，验证应用访问的唯一性。 8.1.2应用系统使用一卡通平台分配的用户ID和密码，申请调用获取身份令牌。 8.1.3一卡通平台对应用系统的IP、用户ID和密码进行身份校验，通过后给应用系统分配token访 问令牌。 8.2加密方式 8.2.1传输加密使用标准国密对称加密SM4算法，对服务接口报文进行全程传输加密。 8.2.2安全鉴权采用请求签名机制，签名采用国密非对称SM2算法，SM2算法应符合GB/T32918（所 有部分）的要求，双方以安全方式存储接口鉴权密钥，同时公私钥传输过程中应加密。 8.2.3密钥由管理方统一生成和分配管理。 8.3加密传输过程 8.3.1应用系统 8.3.1.1应用系统对访问参数经MD5压缩加密生成签名摘要M1，并使用应用系统的非对称SM2私钥进 行签名，生成A1；并将A1放置head中传输，key为SIGN_KEY。 8.3.1.2应用系统随机生成对称SM4密钥随机串B，并将访问入参进行加密生成C，同时将B使用一卡 通平台提供的SM2公钥进行加密,生成D1；并将D1放置head中传输，key为ENCRYPT_KEY。 8.3.1.3向管理方发起访问，其中服务访问head包括加密通信数据D1、签名A1和报文体C。 8.3.2一卡通平台 8.3.2.1一卡通平台用SM2私钥对D1进行解密，获取应用系统随机生成