DB33_T 2233-2019可信電子證照管理規(guī)范(高清正版）

1、ICS 01.040.03 A12DB33浙江省地方標(biāo)準(zhǔn)DB33/T 22332019可信電子證照管理規(guī)范Standard of reliable electronic certificate management2019 - 12 -30 發(fā)布2020 - 01 - 30 實(shí)施浙江省市場(chǎng)監(jiān)督管理局發(fā) 布DB33/T 22332019I目次 HYPERLINK l _bookmark0 前言III HYPERLINK l _bookmark1 范圍1 HYPERLINK l _bookmark2 規(guī)范性引用文件1 HYPERLINK l _bookmark3 術(shù)語(yǔ)和定義1 HYPERLINK

2、l _bookmark4 縮略語(yǔ)2 HYPERLINK l _bookmark5 數(shù)據(jù)結(jié)構(gòu)2 HYPERLINK l _bookmark6 概述2 HYPERLINK l _bookmark7 證照信息3 HYPERLINK l _bookmark8 電子證照文件3 HYPERLINK l _bookmark9 驗(yàn)證數(shù)據(jù)3 HYPERLINK l _bookmark10 可信原則3 HYPERLINK l _bookmark11 技術(shù)要求3 HYPERLINK l _bookmark12 簽名原則3 HYPERLINK l _bookmark13 生命周期管理4 HYPERLINK l _bo

3、okmark14 生命周期4 HYPERLINK l _bookmark15 生成4 HYPERLINK l _bookmark16 歸集5 HYPERLINK l _bookmark17 更新與注銷5 HYPERLINK l _bookmark18 共享5 HYPERLINK l _bookmark19 數(shù)據(jù)治理7 HYPERLINK l _bookmark20 總則7 HYPERLINK l _bookmark21 數(shù)據(jù)清洗7 HYPERLINK l _bookmark22 共享異議/缺失申報(bào)7 HYPERLINK l _bookmark23 安全要求8 HYPERLINK l _book

4、mark24 數(shù)據(jù)安全8 HYPERLINK l _bookmark25 共享安全8 HYPERLINK l _bookmark26 系統(tǒng)安全8 HYPERLINK l _bookmark27 附 錄 A （資料性附錄） 證照信息數(shù)據(jù)簽名過(guò)程說(shuō)明9 HYPERLINK l _bookmark28 證照信息數(shù)據(jù)示例9 HYPERLINK l _bookmark29 證照信息數(shù)字簽名9 HYPERLINK l _bookmark30 附 錄 B （規(guī)范性附錄） 電子文件簽名過(guò)程10 HYPERLINK l _bookmark31 附 錄 C （資料性附錄） 證照電子文件生成配置方式示例11 HYP

5、ERLINK l _bookmark32 版式文件生成方式11 HYPERLINK l _bookmark33 版式文件生成配置過(guò)程11 HYPERLINK l _bookmark34 附 錄 D （資料性附錄） 共享返回?cái)?shù)據(jù)結(jié)構(gòu)示例12DB33/T 22332019II HYPERLINK l _bookmark35 證照信息數(shù)據(jù)共享返回?cái)?shù)據(jù)結(jié)構(gòu)示例12 HYPERLINK l _bookmark36 實(shí)時(shí)共享返回的數(shù)據(jù)結(jié)構(gòu)示例13 HYPERLINK l _bookmark37 附 錄 E （資料性附錄） 驗(yàn)證過(guò)程說(shuō)明14 HYPERLINK l _bookmark38 在線驗(yàn)證14 HY

6、PERLINK l _bookmark39 離線驗(yàn)證16 HYPERLINK l _bookmark40 參考文獻(xiàn)18DB33/T 22332019III前言本標(biāo)準(zhǔn)按照GB/T 1.12009給出的規(guī)則起草。本標(biāo)準(zhǔn)由浙江省大數(shù)據(jù)發(fā)展管理局提出并歸口。本標(biāo)準(zhǔn)起草單位：浙江省標(biāo)準(zhǔn)化研究院、浙江匯信科技有限公司、浙江至元數(shù)據(jù)科技有限公司、杭州數(shù)夢(mèng)工場(chǎng)科技有限公司。本標(biāo)準(zhǔn)主要起草人：徐穎、施筱玲、王宏宇、趙程遙、鄭培、王忠義、呂萌學(xué)、田潤(rùn)家、張瑋蘭、陳晶、柴琳、胡濤、徐亦萍、周萬(wàn)。DB33/T 223320191可信電子證照管理規(guī)范范圍本規(guī)范規(guī)定了可信電子證照的數(shù)據(jù)結(jié)構(gòu)、可信原則、生命周期管理、數(shù)據(jù)治

7、理以及安全要求。本規(guī)范適用于政務(wù)及公共服務(wù)領(lǐng)域應(yīng)用中各類電子證照數(shù)據(jù)全生命周期的管理。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 20520 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 時(shí)間戳規(guī)范GB 32100 法人和其他組織統(tǒng)一社會(huì)信用代碼編碼規(guī)則GB/T33481黨政機(jī)關(guān)電子印章應(yīng)用規(guī)范GB/T36901電子證照 總體技術(shù)架構(gòu)GB/T36902電子證照 目錄信息規(guī)范GB/T36903電子證照 元數(shù)據(jù)規(guī)范GB/T36904電子證照 標(biāo)識(shí)規(guī)范GB/T36905電子證照 文件

8、技術(shù)要求GB/T36906電子證照 共享服務(wù)接口規(guī)范術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1數(shù)字證書 digital certificate由證書認(rèn)證機(jī)構(gòu)（CA）數(shù)字簽名的包含公開密鑰擁有者信息、公開密鑰、簽發(fā)者信息、有效期以及擴(kuò)展信息的一系列數(shù)據(jù)。3.2電子簽名 electronic signature數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名主體身份并表明簽名主體認(rèn)可其中內(nèi)容的數(shù)據(jù)。3.3電子簽章 electronic seal對(duì)數(shù)據(jù)電文進(jìn)行電子簽名，并通過(guò)圖像處理技術(shù)將電子簽名操作轉(zhuǎn)化為與紙質(zhì)文件蓋章操作相同的可視化效果。3.4DB33/T 223320192時(shí)間戳 time sta

9、mp使用數(shù)字簽名技術(shù)產(chǎn)生的數(shù)據(jù)，簽名的對(duì)象包括了原始文件信息、簽名參數(shù)、簽名時(shí)間等信息。TSA 對(duì)此對(duì)象進(jìn)行數(shù)字簽名產(chǎn)生時(shí)間戳，以證明原始文件在簽名時(shí)間之前已經(jīng)存在。GB/T 205202006 ，定義3.13.5證 照 certificate由機(jī)關(guān)、團(tuán)體、企業(yè)事業(yè)單位頒發(fā)的、能夠證明資格或權(quán)利等的憑證類文件。包括證件、執(zhí)（牌） 照、批文、證明等。3.6電子證照electronic certificate由計(jì)算機(jī)等電子設(shè)備形成、傳輸和存儲(chǔ)的證照數(shù)據(jù)文件。3.7可信電子證照 reliable electronic certificate基于“誰(shuí)頒發(fā)，誰(shuí)簽名，誰(shuí)負(fù)責(zé)”的原則，由證照頒發(fā)機(jī)構(gòu)對(duì)其所頒

10、發(fā)的電子證照的信息數(shù)據(jù)和版式文件進(jìn)行電子簽名后生成的符合中華人民共和國(guó)電子簽名法的電子證照。3.8證照頒發(fā)機(jī)構(gòu) certificate issuing authority依據(jù)法律法規(guī)或服務(wù)事項(xiàng)頒發(fā)證照的機(jī)構(gòu)。證照頒發(fā)機(jī)構(gòu)一般為實(shí)體證照上的蓋印機(jī)構(gòu)。如果證照上有多個(gè)印章或無(wú)印章的，則將對(duì)證照作出最終審核意見(jiàn)的機(jī)構(gòu)判定為證照頒發(fā)機(jī)構(gòu)。3.9證照數(shù)源單位 certificate data source organization直接向電子證照庫(kù)提供證照數(shù)據(jù)的部門?？s略語(yǔ)下列縮略語(yǔ)適用于本文件。CA證書認(rèn)證機(jī)構(gòu)(Certification Authority) TSA時(shí)間戳機(jī)構(gòu)(Time Stamp A

11、uthority)國(guó)密算法 中國(guó)國(guó)家商用密碼算法JSON 一種輕量級(jí)的數(shù)據(jù)交換格式(JavaScript Object Notation)數(shù)據(jù)結(jié)構(gòu)概述可信電子證照包括基礎(chǔ)數(shù)據(jù)和驗(yàn)證數(shù)據(jù)，其中基礎(chǔ)數(shù)據(jù)包括證照信息和電子證照文件，驗(yàn)證數(shù)據(jù)包括電子簽名和時(shí)間戳?？尚烹娮幼C照數(shù)據(jù)結(jié)構(gòu)如圖1所示。DB33/T 223320193基礎(chǔ)數(shù)據(jù)綁定驗(yàn)證數(shù)據(jù)可信電子證照證照信息電子證照文件+電子簽名+時(shí)間戳電子簽名+時(shí)間戳圖1 可信電子證照數(shù)據(jù)結(jié)構(gòu)證照信息證照信息是指可以用關(guān)系型數(shù)據(jù)庫(kù)二維表存儲(chǔ)的字符串、數(shù)字、時(shí)間等類型的電子證照數(shù)據(jù)，應(yīng)包括照面數(shù)據(jù)、管理數(shù)據(jù)（包括狀態(tài)、唯一標(biāo)識(shí)、非照面的業(yè)務(wù)標(biāo)識(shí)等）。唯一標(biāo)識(shí)為

12、賦予電子證照的唯一代碼，應(yīng)符合 GB/T 36904 的要求。證照信息中屬于GB/T 36903 中元數(shù)據(jù)范圍的，應(yīng)符合其規(guī)定。電子證照文件電子證照文件是以版式文件方式存儲(chǔ)的電子證照文件，要求載明證照的關(guān)鍵信息，原則上應(yīng)與實(shí)體證照樣式和內(nèi)容基本一致的證照版式文件，支持標(biāo)準(zhǔn)版式電子文件，如OFD、PDF等。證照附帶的地圖、圖紙、音視頻、動(dòng)畫等附件，可以不合并到電子證照文件中，以附件的原有格式分離存儲(chǔ)，通過(guò)在電子證照文件中保存其哈希值、索引、數(shù)量、鏈接等方式進(jìn)行關(guān)聯(lián)，以保證整個(gè)電子證照內(nèi)容的完整性。電子證照文件推薦采用OFD格式，且應(yīng)符合GB/T 36905 要求和浙江省相關(guān)規(guī)范。驗(yàn)證數(shù)據(jù)驗(yàn)證數(shù)據(jù)

13、應(yīng)由證照頒發(fā)機(jī)構(gòu)產(chǎn)生。其中電子簽名用來(lái)保證電子證照的來(lái)源可追溯，內(nèi)容完整，不可篡改；時(shí)間戳用來(lái)保證電子證照生成（或推送）的時(shí)間權(quán)威性，時(shí)間戳的管理、格式和時(shí)間戳系統(tǒng)安全管理應(yīng)遵循GB 20520的要求。電子證照的電子簽名應(yīng)符合中華人民共和國(guó)電子簽名法?？尚旁瓌t技術(shù)要求浙江省可信電子證照采用電子簽名技術(shù)，應(yīng)符合中華人民共和國(guó)電子簽名法和國(guó)家密碼主管部門的相關(guān)要求。可信電子證照出入庫(kù)都應(yīng)進(jìn)行驗(yàn)簽，為電子政務(wù)應(yīng)用提供從業(yè)務(wù)申報(bào)、審核到歸檔的完整可信數(shù)據(jù)支撐。簽名原則可信電子證照簽名原則如下：證照數(shù)據(jù)的簽名遵循“誰(shuí)頒發(fā)，誰(shuí)簽名，誰(shuí)負(fù)責(zé)”的原則。證照頒發(fā)機(jī)構(gòu)或其授權(quán)機(jī)構(gòu)對(duì)電子證照的證照信息數(shù)據(jù)和電子證照

14、文件進(jìn)行簽名，并對(duì)簽過(guò)名的電子證照的真實(shí)性、完整性、準(zhǔn)確性負(fù)責(zé)；證照原頒發(fā)機(jī)構(gòu)的頒證職能轉(zhuǎn)移到其他機(jī)構(gòu)的，存量證照的簽名由原頒發(fā)機(jī)構(gòu)負(fù)責(zé)。證照原頒發(fā)機(jī)構(gòu)發(fā)生變更的，存量證照的簽名由變更后的證照頒發(fā)機(jī)構(gòu)負(fù)責(zé)。證照原頒發(fā)機(jī)構(gòu)注銷的，DB33/T 223320194存量證照的簽名由職能繼受機(jī)構(gòu)負(fù)責(zé)。證照頒發(fā)機(jī)構(gòu)已注銷且該證照已不再頒發(fā)的，存量證照的簽名由檔案部門負(fù)責(zé)；數(shù)字簽名的行為宜在頒證系統(tǒng)端進(jìn)行，在頒證業(yè)務(wù)產(chǎn)生數(shù)據(jù)時(shí)，由頒證系統(tǒng)生成證照信息和證照電子文件，并對(duì)其進(jìn)行簽名。頒證系統(tǒng)無(wú)法實(shí)現(xiàn)簽名操作的，應(yīng)在數(shù)據(jù)歸集到電子證照庫(kù)之前完成簽名；證照頒發(fā)機(jī)構(gòu)無(wú)法申請(qǐng)數(shù)字證書的，可授權(quán)證照數(shù)源單位使用本單位

15、的數(shù)字證書對(duì)頒發(fā)機(jī)構(gòu)頒發(fā)的證照進(jìn)行簽名；證照頒發(fā)機(jī)構(gòu)是證照數(shù)源單位上級(jí)部門的，由證照數(shù)源單位和電子證照庫(kù)管理機(jī)構(gòu)協(xié)商電子證照的簽名方式。生命周期管理生命周期證照生成、更新、歸集、共享、注銷，是一個(gè)可信電子證照的生命周期。各階段完成的具體工作如下：可信電子證照生成：證照頒發(fā)機(jī)構(gòu)依據(jù)法律、法規(guī)、政策文件進(jìn)行審批生成證照后，將證照數(shù)據(jù)依據(jù)本規(guī)范進(jìn)行電子化，統(tǒng)一加電子簽名、時(shí)間戳后，形成可信電子證照；可信電子證照更新：證照頒發(fā)機(jī)構(gòu)在證照發(fā)生變更后，重新依據(jù)本規(guī)范將變更后的證照電子化， 形成可信電子證照；可信電子證照歸集：可信電子證照由證照數(shù)源單位通過(guò)數(shù)據(jù)交換推送到電子證照庫(kù)管理機(jī)構(gòu)， 然后經(jīng)過(guò)清洗、驗(yàn)

16、簽、關(guān)聯(lián)，最后保存到電子證照庫(kù)；可信電子證照共享：應(yīng)用系統(tǒng)通過(guò)電子證照庫(kù)的查詢、下載、驗(yàn)證等共享服務(wù)接口使用可信電子證照；可信電子證照注銷：證照頒發(fā)機(jī)構(gòu)在進(jìn)行證照注銷時(shí)，將電子證照狀態(tài)變?yōu)樽N，進(jìn)行數(shù)字簽名和加蓋時(shí)間戳，由證照歸集單位重新歸集到電子證照庫(kù)?？尚烹娮幼C照有效期為證照頒發(fā)機(jī)構(gòu)標(biāo)識(shí)的證照有效期限；電子證照系統(tǒng)的總體架構(gòu)應(yīng)符合 GB/T 36901 要求。生成生成原則可信電子證照生成原則如下：可信電子證照數(shù)據(jù)宜由證照頒發(fā)機(jī)構(gòu)或其授權(quán)機(jī)構(gòu)生成，對(duì)證照信息數(shù)據(jù)和證照電子文件加上數(shù)字簽名和時(shí)間戳，時(shí)間戳格式應(yīng)符合 GB/T 20520 要求，證照信息數(shù)據(jù)數(shù)字簽名過(guò)程參見(jiàn)附錄 A，電子文件簽名

17、過(guò)程參見(jiàn)附錄 B；可信電子證照庫(kù)系統(tǒng)應(yīng)提供生成標(biāo)準(zhǔn)版式電子文件的服務(wù)，以供不具備自行生成標(biāo)準(zhǔn)版式電子文件的證照頒發(fā)機(jī)構(gòu)、授權(quán)機(jī)構(gòu)或證照歸集單位調(diào)用，生成符合標(biāo)準(zhǔn)的證照電子文件；可信電子證照庫(kù)應(yīng)提供符合國(guó)家標(biāo)準(zhǔn)的數(shù)字簽名和時(shí)間戳服務(wù)，以供不具備自行添加數(shù)字簽名和時(shí)間戳能力的證照頒發(fā)機(jī)構(gòu)、授權(quán)機(jī)構(gòu)或證照歸集單位調(diào)用，為其生成的證照信息和電子文件加上數(shù)字簽名和時(shí)間戳；生成的標(biāo)準(zhǔn)版式電子文件中若含有電子簽章，電子簽章應(yīng)符合 GB/T 33481 要求。生成配置DB33/T 223320195證照注冊(cè)證照數(shù)源單位應(yīng)將要入庫(kù)的可信電子證照的通用特征信息注冊(cè)到電子證照庫(kù)，形成證照目錄信息。證照目錄信息必須包

18、括：證照全名、本級(jí)業(yè)務(wù)主管單位、證照類型（執(zhí)照、批文、證明、其他）、證照共享狀態(tài)等。電子證照庫(kù)目錄信息應(yīng)符合GB/T 36902要求和浙江省相關(guān)規(guī)范。證照信息配置可信電子證照的證照信息配置要求如下：證照數(shù)源單位應(yīng)將證照信息配置到電子證照庫(kù)；證照信息包括照面字段、非照面字段。照面字段又叫視讀字段，即顯示在電子證照上的數(shù)據(jù)項(xiàng)； 非照面字段是指實(shí)體照面上沒(méi)有顯示，但是又屬于可信電子證照不可或缺的字段，一般包括狀態(tài)字段、變更時(shí)間、變更原因等數(shù)據(jù)項(xiàng)；證照信息中必須包括可以唯一標(biāo)識(shí)一本證照的頒證系統(tǒng)業(yè)務(wù)主鍵，用于區(qū)分證照；證照信息中必須包括持證主體信息，持證主體為組織機(jī)構(gòu)的，必須有名稱、統(tǒng)一社會(huì)信用代碼。

19、持證主體為自然人的，必須有姓名、中華人民共和國(guó)居民身份證號(hào)或其他唯一性編號(hào)；證照信息中必須包括證照頒發(fā)機(jī)構(gòu)的統(tǒng)一社會(huì)信用代碼。電子證照文件配置可信電子證照的電子證照文件配置要求如下：證照數(shù)源單位應(yīng)將電子證照文件屬性信息配置到電子證照庫(kù)；電子證照文件屬性信息應(yīng)包括關(guān)聯(lián)證照信息的主鍵、文件存儲(chǔ)地址、簽名驗(yàn)證信息等；證照頒發(fā)機(jī)構(gòu)不具備自行生成電子文件能力的，證照數(shù)源單位可按照可信電子證照庫(kù)要求進(jìn)行文件生成配置，配置方式參照附錄 C。證照版本管理為了適應(yīng)同一類證照的不同版本，證照信息數(shù)據(jù)各個(gè)字段和文件模板都具有版本屬性。版本編號(hào)為V+版本號(hào)數(shù)字，如V1、V2?？尚烹娮幼C照庫(kù)將每個(gè)字段版本默認(rèn)初始化為V

20、1。歸集證照數(shù)源單位通過(guò)本單位信息化系統(tǒng)采集證照數(shù)據(jù)，將生成的可信電子證照數(shù)據(jù)推送到電子證照庫(kù)。部分無(wú)法歸集的證明類可信電子證照，可不將數(shù)據(jù)集中到電子證照庫(kù)，但證照數(shù)源單位仍需要按照本規(guī)范要求進(jìn)行生成和共享操作，并將目錄信息在可信電子證照庫(kù)進(jìn)行注冊(cè)。更新與注銷當(dāng)證照內(nèi)容、狀態(tài)變更時(shí)，證照數(shù)源單位應(yīng)重新向可信電子證照庫(kù)歸集該證照數(shù)據(jù)，可信電子證照庫(kù)中的原證照數(shù)據(jù)標(biāo)識(shí)為變更，轉(zhuǎn)入歷史庫(kù)，同時(shí)增加變更后的證照數(shù)據(jù)。當(dāng)證照注銷時(shí)，證照數(shù)源單位應(yīng)將證照數(shù)據(jù)標(biāo)識(shí)為注銷，并重新歸集該證照數(shù)據(jù)，可信電子證照庫(kù)中的證照數(shù)據(jù)標(biāo)識(shí)為注銷，轉(zhuǎn)入歷史庫(kù)。歷史庫(kù)的證照數(shù)據(jù)應(yīng)長(zhǎng)期保存，法律法規(guī)另有規(guī)定的，從其規(guī)定。共享DB

21、33/T 223320196共享要求可信電子證照宜通過(guò)公共數(shù)據(jù)共享平臺(tái)向應(yīng)用系統(tǒng)提供共享，共享內(nèi)容包括證照信息數(shù)據(jù)和電子文件兩部分，共享平臺(tái)應(yīng)支持證照信息的單獨(dú)共享?？尚烹娮幼C照庫(kù)系統(tǒng)除支持符合 GB/T 36906 規(guī)范要求的共享服務(wù)接口外，還應(yīng)支持為每一類證照提供單獨(dú)的共享接口,方便數(shù)據(jù)共享平臺(tái)進(jìn)行接口控制。對(duì)于無(wú)法進(jìn)行數(shù)據(jù)歸集的證明類電子證照，可采用實(shí)時(shí)共享的方式。證照信息數(shù)據(jù)共享證照信息數(shù)據(jù)共享的內(nèi)容至少包括證照信息、證照電子文件屬性數(shù)據(jù)、簽名數(shù)據(jù)、時(shí)間戳數(shù)據(jù)。一類證照一個(gè)共享接口方式返回的數(shù)據(jù)結(jié)構(gòu)參照附錄D.1。證照電子文件共享應(yīng)用系統(tǒng)可從證照信息共享接口返回的數(shù)據(jù)中獲取證照電子文件

22、的下載地址，進(jìn)而取得證照電子文件。注：證照電子文件地址為臨時(shí)地址，有效期5分鐘。實(shí)時(shí)共享實(shí)時(shí)共享流程實(shí)時(shí)共享流程見(jiàn)圖2?？尚烹娮幼C照庫(kù)系統(tǒng)證照查詢統(tǒng)電子時(shí)間目錄計(jì)分析簽名戳實(shí)時(shí)共享提供系統(tǒng)2實(shí)時(shí)共享接口3根據(jù)申請(qǐng)參數(shù)生成實(shí)時(shí)共享數(shù)據(jù)實(shí)時(shí)共享數(shù)據(jù)簽名和時(shí)間戳7實(shí)時(shí)共享數(shù)據(jù)及簽名、時(shí)間戳的標(biāo)準(zhǔn)化封裝處理數(shù)據(jù)共享平臺(tái)接口政務(wù)應(yīng)用說(shuō)明：1政務(wù)應(yīng)用調(diào)用數(shù)據(jù)共享服務(wù)平臺(tái)的某個(gè)實(shí)時(shí)共享接口，傳入實(shí)時(shí)共享申請(qǐng)主體等相關(guān) 信息等。2數(shù)據(jù)共享平臺(tái)轉(zhuǎn)發(fā)到該實(shí)時(shí)共享提供系統(tǒng)的實(shí)時(shí)共享接口，傳入申請(qǐng)主體身份信息。3實(shí)時(shí)共享提供系統(tǒng)的實(shí)時(shí)共享接口根據(jù)申請(qǐng)主體身份信息，查詢本系統(tǒng)數(shù)據(jù)，提供指定的實(shí)時(shí)信息數(shù)據(jù)和電子文件。4實(shí)

23、時(shí)共享提供系統(tǒng)對(duì)實(shí)時(shí)信息數(shù)據(jù)和電子文件進(jìn)行電子簽名和加蓋時(shí)間戳，形成可信 的實(shí)時(shí)共享數(shù)據(jù)。5實(shí)時(shí)共享提供系統(tǒng)返回可信的實(shí)時(shí)共享數(shù)據(jù)（包括信息數(shù)據(jù)、電子文件、電子簽名、 時(shí)間戳）。6實(shí)時(shí)共享提供系統(tǒng)將實(shí)時(shí)共享數(shù)據(jù)、電子簽名和時(shí)間戳進(jìn)行標(biāo)準(zhǔn)化格式封裝。7實(shí)時(shí)共享接口將實(shí)時(shí)共享數(shù)據(jù)返回?cái)?shù)據(jù)共享平臺(tái)。8數(shù)據(jù)共享平臺(tái)將實(shí)時(shí)共享數(shù)據(jù)返回給政務(wù)應(yīng)用。圖2 實(shí)時(shí)共享流程DB33/T 223320197實(shí)時(shí)共享目錄注冊(cè)提供實(shí)時(shí)共享的證照數(shù)源單位應(yīng)在電子證照庫(kù)系統(tǒng)中進(jìn)行目錄注冊(cè)，進(jìn)行統(tǒng)一管理。證照信息數(shù)據(jù)實(shí)時(shí)共享要求證照信息數(shù)據(jù)實(shí)時(shí)共享結(jié)構(gòu)應(yīng)參照證照信息數(shù)據(jù)共享要求，共享返回?cái)?shù)據(jù)結(jié)構(gòu)參照附錄D.2。證照電子文件實(shí)

24、時(shí)共享要求實(shí)時(shí)共享的電子文件格式應(yīng)符合證照電子文件的要求。實(shí)時(shí)共享接口要求實(shí)時(shí)共享接口由證照數(shù)源單位負(fù)責(zé)實(shí)現(xiàn)，通過(guò)電子證照庫(kù)系統(tǒng)與數(shù)據(jù)共享平臺(tái)對(duì)接。共享數(shù)據(jù)可信驗(yàn)證共享數(shù)據(jù)可信驗(yàn)證應(yīng)至少包括對(duì)證照數(shù)據(jù)正確性、完整性、來(lái)源權(quán)威性的驗(yàn)證?？尚烹娮幼C照應(yīng)支持對(duì)證照信息的單獨(dú)可信驗(yàn)證和對(duì)證照電子文件的單獨(dú)可信驗(yàn)證?？尚烹娮幼C照應(yīng)支持應(yīng)用系統(tǒng)在線驗(yàn)證和離線驗(yàn)證。在線驗(yàn)證是應(yīng)用系統(tǒng)通過(guò)可信電子證照庫(kù)系統(tǒng)提供的驗(yàn)證服務(wù)接口對(duì)證照信息或證照電子文件進(jìn) 行可信驗(yàn)證，返回驗(yàn)證成功或失敗。如果是入庫(kù)電子證照，同時(shí)返回該證照在電子證照庫(kù)中的最新狀態(tài)； 如果是實(shí)時(shí)共享的電子證照，調(diào)用數(shù)源單位的實(shí)時(shí)驗(yàn)證接口返回最新狀態(tài)。

25、參見(jiàn)附錄E.1。離線驗(yàn)證是應(yīng)用系統(tǒng)根據(jù)國(guó)家密碼管理機(jī)構(gòu)制定的數(shù)字簽名標(biāo)準(zhǔn)和時(shí)間戳標(biāo)準(zhǔn)進(jìn)行驗(yàn)證，不需要連接到電子證照庫(kù)。離線驗(yàn)證無(wú)法獲取可信電子證照庫(kù)中該證照的最新狀態(tài)。參見(jiàn)附錄E.2。數(shù)據(jù)治理總則可信電子證照數(shù)據(jù)治理主要包括數(shù)據(jù)清洗、證照共享異議/缺失申報(bào)。數(shù)據(jù)清洗可信電子證照數(shù)據(jù)清洗僅判斷數(shù)據(jù)項(xiàng)是否符合清洗規(guī)則，不對(duì)數(shù)據(jù)項(xiàng)內(nèi)容進(jìn)行修改。數(shù)據(jù)清洗失敗的數(shù)據(jù)進(jìn)入異常數(shù)據(jù)反饋流程，反饋給證照數(shù)源單位，由證照數(shù)源單位進(jìn)行整改后重新歸集。清洗規(guī)則包括但不限于以下內(nèi)容：校驗(yàn)與部門約定的字段是否必填；校驗(yàn)日期時(shí)間格式正確性；校驗(yàn)枚舉值正確性；校驗(yàn)身份證號(hào)碼合規(guī)性；校驗(yàn)統(tǒng)一社會(huì)信用代碼合規(guī)性，社會(huì)統(tǒng)一信用代

26、碼編碼規(guī)則應(yīng)符合 GB 32100 的相關(guān)規(guī)定。共享異議/缺失申報(bào)在共享的過(guò)程中，證照應(yīng)用部門、證照使用人可以對(duì)共享數(shù)據(jù)中存在的數(shù)據(jù)問(wèn)題進(jìn)行反饋，包括對(duì)數(shù)據(jù)內(nèi)容有異議，或者對(duì)證照數(shù)據(jù)缺失進(jìn)行申報(bào)。證照共享異議/缺失申報(bào)流程應(yīng)遵循浙江省公共數(shù)據(jù)平臺(tái)數(shù)據(jù)治理相關(guān)規(guī)范要求。DB33/T 223320198安全要求數(shù)據(jù)安全可信電子證照庫(kù)數(shù)據(jù)應(yīng)保存在政務(wù)外網(wǎng)政務(wù)專有云中，所用新數(shù)據(jù)庫(kù)系統(tǒng)和文件存儲(chǔ)系統(tǒng)需符合浙江省政務(wù)云安全技術(shù)相關(guān)規(guī)定?？尚烹娮幼C照出入庫(kù)時(shí)均需進(jìn)行數(shù)字簽名驗(yàn)證，保證入庫(kù)出庫(kù)數(shù)據(jù)的完整性，未被篡改。為保證數(shù)據(jù)隱私，可信電子證照庫(kù)管理界面上不可查詢顯示證照的詳細(xì)數(shù)據(jù)內(nèi)容。共享安全可信電子證照

27、共享安全需滿足如下要求：僅為經(jīng)過(guò)合法授權(quán)的業(yè)務(wù)系統(tǒng)提供檢索、驗(yàn)證與證照獲取服務(wù)；經(jīng)合法授權(quán)的業(yè)務(wù)系統(tǒng)須保證涉及隱私信息的證照被合法授權(quán)使用；經(jīng)合法授權(quán)的業(yè)務(wù)系統(tǒng)應(yīng)對(duì)證照使用者進(jìn)行身份認(rèn)證，僅當(dāng)通過(guò)高級(jí)實(shí)名認(rèn)證后方可調(diào)用共享服務(wù)；共享服務(wù)的調(diào)用及響應(yīng)情況應(yīng)記錄日志，支持審計(jì)；共享服務(wù)的日志信息應(yīng)獨(dú)立存儲(chǔ)并永久保存 。系統(tǒng)安全可信電子證照相關(guān)系統(tǒng)建設(shè)應(yīng)滿足信息安全等級(jí)保護(hù)三級(jí)或以上的防護(hù)標(biāo)準(zhǔn)要求。DB33/T 223320199附 錄 A（資料性附錄）證照信息數(shù)據(jù)簽名過(guò)程說(shuō)明證照信息數(shù)據(jù)示例ZZBH: 1233*K, CZZT: 浙江省*委員會(huì), KZ_ZCDZ: 浙江省杭州市*路, KZ_FDD

28、BR: 王*,KZ_ZJLY: 全額財(cái)政補(bǔ)助,KZ_ZCZJ: 5195,KZ_JBDW: 杭 州 市 * 委 員 會(huì) , ZZBFJG: 杭州市機(jī)構(gòu)編制委員會(huì)辦公室, KZ_ZZZT: 正常,ZZYXQQSRQ: 2018-01-01,ZZYXQJZRQ: 2023-01-01可信電子證照的證照信息數(shù)據(jù)推薦以JSON格式進(jìn)行組織，Key值為英文字母或英文字母+下劃線。以JSON格式描述證照信息部分?jǐn)?shù)據(jù)，舉例如下：證照信息數(shù)字簽名CZZT:浙江省*委員會(huì),KZ_FDDBR:王*,KZ_JBDW:杭州市*委員會(huì),KZ_ZCDZ:浙江省杭州市*路,KZ_ZCZJ:5195,KZ_ZJLY:全額財(cái)政

29、補(bǔ)助,KZ_ZZZT: 正常,ZZBFJG: 杭州市 機(jī) 構(gòu) 編 制 委 員 會(huì) 辦 公 室 ,ZZBH:1233*K,ZZYXQJZRQ: 2023-01-01,ZZYXQQSRQ: 2018-01-01進(jìn)行數(shù)字簽名時(shí)，Key值以ASCII順序方式轉(zhuǎn)換為鍵值相連的字符串。證照J(rèn)SON格式Key值轉(zhuǎn)換描述舉例如下：為了降低網(wǎng)絡(luò)帶寬占用，使用簽名服務(wù)時(shí)建議先對(duì)上述字符串進(jìn)行哈希運(yùn)算，推薦采用SM3算法或SHA256算法。推薦使用國(guó)家認(rèn)可的CA機(jī)構(gòu)頒發(fā)的SM2算法的數(shù)字證書，遵循GM/T 0009 SM2密碼算法使用規(guī)范標(biāo)準(zhǔn)對(duì)上述字符串進(jìn)行簽名運(yùn)算，得到的簽名值格式也要符合上述標(biāo)準(zhǔn)。DB33/T

30、2233201910附 錄 B（規(guī)范性附錄） 電子文件簽名過(guò)程可信電子證照文件如果采用OFD格式，則其數(shù)字簽名應(yīng)符合GB/T 36905?？尚烹娮幼C照文件如果采用非OFD版式文件格式，如PDF，則將整個(gè)電子文件作為一段數(shù)據(jù)，而不用去解析電子文件格式，方便電子證照庫(kù)系統(tǒng)處理和統(tǒng)一驗(yàn)證。為了不破壞電子文件原文，電子文件的簽名值原則上不嵌入到電子文件中，進(jìn)行獨(dú)立存儲(chǔ)。簽名時(shí)，遵循 GM/T 0009 對(duì)整個(gè)電子文件數(shù)據(jù)進(jìn)行簽名運(yùn)算，得到的簽名值格式也要符合上述標(biāo)準(zhǔn)。推薦使用國(guó)家認(rèn)可的CA機(jī)構(gòu)頒發(fā)的SM2算法的數(shù)字證書。為了降低所需網(wǎng)絡(luò)帶寬要求，調(diào)用簽名服務(wù)器時(shí)推薦先對(duì)電子文件數(shù)據(jù)進(jìn)行哈希運(yùn)算，推薦哈

31、希算法為SM3算法、SHA256算法。也可采用與文件存儲(chǔ)服務(wù)一致的哈希算法，避免重復(fù)計(jì)算，方便驗(yàn)證。DB33/T 2233201911附 錄 C（資料性附錄）證照電子文件生成配置方式示例版式文件生成方式可信電子證照庫(kù)版式文件生成可采用證照底圖套顯數(shù)據(jù)方式，原則上生成與實(shí)體證照樣式基本一致的電子文件，符合國(guó)家政務(wù)服務(wù)平臺(tái)電子證照系列標(biāo)準(zhǔn)。如證照業(yè)務(wù)主管部門有特殊要求，在取得電子證照管理機(jī)構(gòu)同意后，可自行設(shè)計(jì)電子文件格式。版式文件生成配置過(guò)程版式文件生成的配置過(guò)程可以參照以下過(guò)程要求：證照數(shù)源單位提供與證照信息數(shù)據(jù)相對(duì)應(yīng)的空白證照底圖和樣例。證照數(shù)源單位提供的底圖圖片分辨率 150dpi 以上，2

32、4 位以上彩色 JPG 或 PNG 圖片，與實(shí)體證照比例為 1:1，單頁(yè)大小控制在 800KB 以內(nèi)。同時(shí)附上說(shuō)明文檔，內(nèi)容包括：各照面字段名稱和內(nèi)容的文字大小、顏色、位置；如照面上有印章則說(shuō)明印章位置、大小、樣式規(guī)則?？尚烹娮幼C照庫(kù)管理機(jī)構(gòu)根據(jù)證照數(shù)源單位提供的底圖制作證照模板并上傳到可信電子證照庫(kù)。DB33/T 2233201912附 錄 D（資料性附錄） 共享返回?cái)?shù)據(jù)結(jié)構(gòu)示例證照信息數(shù)據(jù)共享返回?cái)?shù)據(jù)結(jié)構(gòu)示例電子證照共享服務(wù)接口如采用一本證照一個(gè)接口的方式，其返回的證照信息數(shù)據(jù)格式描述舉例如下：ELC_LICENCE_NAME: 電子證照名稱,ELC_LICENCE_DEPT: 電子證照來(lái)

33、源部門, ELC_LICENCE_CODE: 電子證照編碼, ELC_LICENCE_FILE: URL: 電 子 證 照 文 件 地 址 SIGN_CERT: 電子證照文件簽名證書, SIGN_VALUE: 電子證照文件簽名值, TSA: 電子證照文件時(shí)間戳簽名值, ELC_LICENCE_STRUCT: SIGN_CERT: 證照信息數(shù)據(jù)簽名證書, SIGN_VALUE: 證照信息數(shù)據(jù)簽名值, TSA: 證照信息數(shù)據(jù)時(shí)間戳簽名值, DATA: KZ_CSRQ: 出生日期 - yyyyMMdd, ZZBH: 公民身份號(hào)碼,KZ_CZRKMZ: 民族,ZZBFJG: 簽發(fā)機(jī)關(guān),KZ_CZRKX

34、B: 性別,CZZT: 姓名,ZZYXQJZRQ: 有效期截止日期 - yyyyMMdd, ZZYXQQSRQ: 有效期起始日期 - yyyyMMdd, KZ_CZRKZZ: 住址,ELC_LICENCE_RELATES: KZ_NAME: 附件名稱,KZ_FILE_URL: 附件文件地址, SIGN_CERT: 附件簽名證書, SIGN_VALUE: 附件簽名值,TSA: 附件時(shí)間戳簽名值DB33/T 2233201913實(shí)時(shí)共享返回的數(shù)據(jù)結(jié)構(gòu)示例證明類實(shí)時(shí)共享接口返回的證照信息數(shù)據(jù)組織結(jié)構(gòu)描述舉例如下： ELC_LICENCE_NAME: 浙江省社會(huì)保險(xiǎn)參保證明（單位專用）, ELC_LI

35、CENCE_DEPT: 杭州市社會(huì)保險(xiǎn)管理服務(wù)局, ELC_LICENCE_CODE: 54c3af309a7c4533ac39d52889efed9a, ELC_LICENCE_FILE: URL: 證 明 文 件 地 址 SIGN_CERT: 證明文件簽名證書, SIGN_VALUE: 證明文件簽名值, TSA: 證明文件時(shí)間戳簽名值, ELC_LICENCE_STRUCT: SIGN_CERT:證明信息數(shù)據(jù)簽名證書, SIGN_VALUE:證明信息數(shù)據(jù)簽名值, TSA:證明信息數(shù)據(jù)時(shí)間戳簽名值, DATA: 各廳局定義的具體證明數(shù)據(jù)DB33/T 2233201914附 錄 E（資料性附錄

36、） 驗(yàn)證過(guò)程說(shuō)明在線驗(yàn)證概述可信電子證照庫(kù)提供在線驗(yàn)證服務(wù)，以實(shí)現(xiàn)對(duì)已共享證照信息數(shù)據(jù)和電子文件數(shù)據(jù)的簽名驗(yàn)證功能。簽名驗(yàn)證服務(wù)以接口的形式提供，使用者需以JSON格式傳入待驗(yàn)簽數(shù)據(jù)、簽名結(jié)果值、簽名證書公鑰，驗(yàn)簽接口返回驗(yàn)簽結(jié)果。在線驗(yàn)證服務(wù)示例以JAVA語(yǔ)言為例，采用HTTP REST方式提供在線驗(yàn)證服務(wù)，以XXXX證照示例如下：public void testPost() throws Exception String full_name = XXXX證;String type_code = “1110*1; Map data = new HashMap(); data.put(ZZBH

37、,1233*K); data.put(CZZT, 浙 江 省 * 委 員 會(huì) ); data.put(KZ_ZCDZ,浙江省杭州市*路); data.put(KZ_FDDBR,王*);data.put(KZ_ZJLY,全額財(cái)政補(bǔ)助);data.put(KZ_ZCZJ,5195);data.put(KZ_JBDW, 杭 州 市 * 委 員 會(huì) ); data.put(ZZBFJG,杭州市機(jī)構(gòu)編制委員會(huì)辦公室); data.put(ZZYXQQSRQ,2018-01-01);data.put(ZZYXQJZRQ,2023-01-01);HttpClient client = HttpClients

38、.createDefault();HttpPost post = new HttpPost( HYPERLINK http:/x.x.x.x/api/common/verf_licence_data/V1.0 http:/x.x.x.x/a HYPERLINK http:/x.x.x.x/api/common/verf_licence_data/V1.0 pi/common/verf_licence_data/V1.0);List urlParameters = new ArrayList(); urlParameters.add(new BasicNameValuePair(full_nam

39、e,full_name); urlParameters.add(new BasicNameValuePair(type_code,type_code); for (String key : data.keySet() urlParameters.add(new BasicNameValuePair(key,String.valueOf(data.get(key);try File file = new File(XXXX證電子文件路徑);DB33/T 22332019FileInputStream inputFile = new FileInputStream(file); byte buff

40、er = new byte(int) file.length(); inputFile.read(buffer);inputFile.close();String file_content = BASE64Encoder().encode(buffer); urlParameters.add(new BasicNameValuePair(file_content,file_content);UrlEncodedFormEntity urlEncodedFormEntity = new UrlEncodedFormEntity(urlParameters, utf-8);post.setEnti

41、ty(urlEncodedFormEntity); CloseableHttpResponse response = client.execute(post); int statusCode = response.getStatusLine().getStatusCode(); if(statusCode = HttpStatus.SC_OK) HttpEntity resEntity = response.getEntity(); if(resEntity != null) System.out.println(EntityUtils.toString(resEntity); else System.out.println(請(qǐng)求失敗！); catch (Exception e) e.printStackT