《粵港澳大灣區(qū)法人和其他組織身份認(rèn)證技術(shù)規(guī)范》

T/GDWJXXXX—XXXX

粵港澳大灣區(qū)法人和其他組織身份認(rèn)證技術(shù)規(guī)范

1范圍

本文件規(guī)定了粵港澳大灣區(qū)法人和其他組織身份認(rèn)證過(guò)程中涉及的通用安全要求、服務(wù)平臺(tái)技術(shù)要

求、數(shù)據(jù)提供方技術(shù)要求、數(shù)據(jù)需求方技術(shù)要求、數(shù)據(jù)接口規(guī)范等內(nèi)容。

本文件適用于能提供粵港澳大灣區(qū)法人和其他組織身份認(rèn)證信息的數(shù)據(jù)提供方，或需要訪問(wèn)粵港澳

大灣區(qū)法人和其他組織身份認(rèn)證信息的數(shù)據(jù)使用方，在信息系統(tǒng)對(duì)接時(shí)需要遵循的技術(shù)規(guī)范。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB32100—2015法人和其他組織統(tǒng)一社會(huì)信用代碼編碼規(guī)則

GB/T19714—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書(shū)管理協(xié)議

GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T25000.23—2019系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)(SQuaRE)第23部分:系統(tǒng)與軟

件產(chǎn)品質(zhì)量測(cè)量

GB/T25056—2018信息安全技術(shù)證書(shū)認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范

GB/T39786—2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求

IETFRFC6960X.509InternetPublicKeyInfrastructureOnlineCertificateStatusProtocol

IETFRFC7515JSONWebSignature(JWS)

IETFRFC7617The'Basic'HTTPAuthenticationScheme

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

身份即服務(wù)identifyasaservice

一種通過(guò)利用云基礎(chǔ)設(shè)施，構(gòu)架在云上的身份服務(wù)。

3.2

身份服務(wù)平臺(tái)identifyserviceplatform

為供需雙方提供身份服務(wù)的信息系統(tǒng)。

3.3

數(shù)據(jù)提供方datasupplier

數(shù)據(jù)交易中出售和提供數(shù)據(jù)產(chǎn)品的組織。

3.4

1

T/GDWJXXXX—XXXX

數(shù)據(jù)需求方datademander

數(shù)據(jù)交易中購(gòu)買和使用數(shù)據(jù)產(chǎn)品的組織。

3.5

電子認(rèn)證服務(wù)機(jī)構(gòu)CertificateAuthority

負(fù)責(zé)創(chuàng)建、分發(fā)證書(shū)并在必要時(shí)提供驗(yàn)證以證實(shí)用戶身份的機(jī)構(gòu)，一般是受用戶信任的權(quán)威機(jī)構(gòu)，

用戶可以選擇該機(jī)構(gòu)為其創(chuàng)建密鑰。通常將電子認(rèn)證服務(wù)機(jī)構(gòu)簡(jiǎn)稱為CA,也稱為CA機(jī)構(gòu)、CA中心、認(rèn)證

機(jī)構(gòu)、證書(shū)認(rèn)證機(jī)構(gòu)等。

注：本文件中，電子認(rèn)證服務(wù)機(jī)構(gòu)指有粵港澳大灣區(qū)電子簽名證書(shū)互認(rèn)資質(zhì)的CA服務(wù)機(jī)構(gòu)，簡(jiǎn)稱粵港澳互認(rèn)CA機(jī)構(gòu)。

3.6

數(shù)字證書(shū)digitalcertificate

由電子認(rèn)證服務(wù)機(jī)構(gòu)采用非對(duì)稱密碼技術(shù)簽發(fā)的、證實(shí)主體身份與特定公鑰間對(duì)應(yīng)關(guān)系的數(shù)據(jù)電

文。

3.7

身份憑證簽發(fā)中心identityticketissuer

為用戶頒發(fā)可信身份憑證的機(jī)構(gòu)。

注：本文件中，身份憑證簽發(fā)中心可以是指粵港澳互認(rèn)CA機(jī)構(gòu)，還可以是其他能簽發(fā)出可信身份憑證的第三方機(jī)構(gòu)。

3.8

可信身份憑證trustedidentityticket

由身份憑證簽發(fā)中心簽發(fā)的含有用戶身份信息的數(shù)字憑證。

注：本文件中，數(shù)字證書(shū)為可信身份憑證的一種。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

IDaaS身份即服務(wù)（identifyasaservice）

CA電子認(rèn)證服務(wù)機(jī)構(gòu)（CertificateAuthority）

CMP證書(shū)管理協(xié)議（Certificatemanagementprotocol）

OCSP在線證書(shū)狀態(tài)查詢服務(wù)（OnlineCertificatestatusProtocol）

5總體要求

5.1總體框架

粵港澳大灣區(qū)法人和其他組織身份認(rèn)證包括數(shù)據(jù)提供方、數(shù)據(jù)需求方、IDaaS身份服務(wù)平臺(tái)、身份

憑證簽發(fā)中心等要素，總體框架如圖1所示。

2

T/GDWJXXXX—XXXX

應(yīng)用交互界面前端生物識(shí)別軟硬件密碼模塊

用戶終端

可信身份憑證

身份鑒別業(yè)務(wù)應(yīng)用身份審核

簽發(fā)

數(shù)據(jù)需求方（應(yīng)用系統(tǒng)）身份憑證簽發(fā)中心

業(yè)務(wù)前臺(tái)數(shù)據(jù)應(yīng)用接口身份憑證管理接口

用戶注冊(cè)

管理后臺(tái)

身份憑證簽發(fā)中

信息管理應(yīng)用接入管理

心接入管理

統(tǒng)一認(rèn)證數(shù)據(jù)源接入管理加密存儲(chǔ)

身份服務(wù)平臺(tái)

數(shù)據(jù)源接口

數(shù)據(jù)采集數(shù)據(jù)處理數(shù)據(jù)比對(duì)數(shù)據(jù)交換

數(shù)據(jù)提供方（粵港澳權(quán)威部門(mén)）

圖1總體框架圖

系統(tǒng)總體框架應(yīng)包括以下幾方面：

a)粵港澳三地不同權(quán)威部門(mén)作為數(shù)據(jù)提供方，為IDaaS身份服務(wù)平臺(tái)、上層應(yīng)用等提供真實(shí)、可

信的粵港澳大灣區(qū)法人及其他組織身份信息，并通過(guò)數(shù)據(jù)源接口為身份服務(wù)平臺(tái)提供服務(wù)；

b)身份服務(wù)平臺(tái)通過(guò)數(shù)據(jù)源接口對(duì)接粵港澳三地不同數(shù)據(jù)提供方，進(jìn)行數(shù)據(jù)的匯總和處理，并提

供以下服務(wù)：

——為上層應(yīng)用提供數(shù)據(jù)應(yīng)用接口；

——通過(guò)業(yè)務(wù)前臺(tái)模塊為終端用戶提供用戶注冊(cè)、信息管理、統(tǒng)一認(rèn)證等；

——通過(guò)身份憑證管理接口為用戶提供身份憑證辦理；

c)各電子商務(wù)、電子政務(wù)等應(yīng)用系統(tǒng)可以作為數(shù)據(jù)需求方，通過(guò)數(shù)據(jù)應(yīng)用接口與身份服務(wù)平臺(tái)對(duì)

接，從身份服務(wù)平臺(tái)獲取、比對(duì)、認(rèn)證粵港澳大灣區(qū)法人及其他組織身份信息；

d)身份憑證簽發(fā)中心為用戶簽發(fā)可信身份憑證。比如：CA機(jī)構(gòu)將基于密碼技術(shù)為用戶簽發(fā)表明其

身份的數(shù)字證書(shū)，用戶基于此數(shù)字證書(shū)及密鑰，可在應(yīng)用系統(tǒng)上進(jìn)行身份鑒別、電子簽名等操

作；

e)用戶終端為用戶提供應(yīng)用系統(tǒng)交互界面。用戶終端可內(nèi)置或插入生物識(shí)別、密碼模塊等硬件身

份認(rèn)證模塊。

5.2總體流程

系統(tǒng)的總體交互流程圖如圖2所示：

3

T/GDWJXXXX—XXXX

身份憑證簽發(fā)中心

c.1）可信身份憑證下發(fā)（可選）

c.2）可信身份憑證申請(qǐng)信息推送（可選）

a）身份注冊(cè)b）數(shù)據(jù)比對(duì)

法人及其他組織用

戶身份服務(wù)平臺(tái)(IDaaS)粵港澳權(quán)威部門(mén)數(shù)據(jù)源

d）訪問(wèn)異地應(yīng)用e）身份信息獲取

粵港澳應(yīng)用

圖2系統(tǒng)總體交互流程圖

系統(tǒng)總體流程包括身份注冊(cè)、身份鑒別、可信身份憑證簽發(fā)、跨境應(yīng)用訪問(wèn)、跨境應(yīng)用身份認(rèn)證幾

方面。

a)身份注冊(cè)：粵港澳法人及其他組織用戶（以下簡(jiǎn)稱“用戶”）通過(guò)用戶終端在IDaaS身份服務(wù)平

臺(tái)（以下簡(jiǎn)稱“平臺(tái)”）進(jìn)行身份注冊(cè)，提交相應(yīng)的身份信息、音視頻信息等。注冊(cè)時(shí)可選擇

是否需要辦理身份憑證，身份憑證可用于后續(xù)的粵港澳應(yīng)用身份認(rèn)證。

注：用戶身份注冊(cè)過(guò)程亦可以通過(guò)業(yè)務(wù)應(yīng)用或身份憑證簽發(fā)中心身份注冊(cè)業(yè)務(wù)頁(yè)面跳轉(zhuǎn)到平臺(tái)。

b)身份鑒別：平臺(tái)根據(jù)用戶來(lái)源，選擇對(duì)應(yīng)區(qū)域的權(quán)威部門(mén)數(shù)據(jù)源，進(jìn)行用戶身份真實(shí)性鑒別，

如對(duì)組織機(jī)構(gòu)信息、個(gè)人身份信息、人臉等生物識(shí)別信息的數(shù)據(jù)識(shí)別比對(duì)，平臺(tái)可根據(jù)身份鑒

別的強(qiáng)度，授予用戶不同的信任等級(jí)。

c)可信身份憑證申請(qǐng)簽發(fā)（可選）：如用戶選擇申請(qǐng)簽發(fā)可信身份憑證，平臺(tái)將根據(jù)相應(yīng)策略選

擇身份憑證簽發(fā)中心，向身份憑證簽發(fā)中心推送可信身份憑證申請(qǐng)信息。身份憑證簽發(fā)中心收

到申請(qǐng)后進(jìn)行可信身份憑證簽發(fā)，并通過(guò)線上或線下方式發(fā)送給用戶。

d)跨境應(yīng)用訪問(wèn)：用戶訪問(wèn)異地應(yīng)用系統(tǒng)時(shí)，將產(chǎn)生異地身份認(rèn)證過(guò)程。若用戶采用身份憑證（如

數(shù)字證書(shū)）進(jìn)行身份認(rèn)證，可通過(guò)平臺(tái)實(shí)現(xiàn)異地用戶的互認(rèn)。若用戶未采用身份憑證進(jìn)行身份

鑒別，則應(yīng)用系統(tǒng)可以跳轉(zhuǎn)到平臺(tái)進(jìn)行單點(diǎn)登錄。用戶單點(diǎn)登錄后，對(duì)應(yīng)用授權(quán)，授權(quán)其訪問(wèn)

指定信息。

e)跨境應(yīng)用身份認(rèn)證：應(yīng)用系統(tǒng)根據(jù)用戶登錄標(biāo)識(shí)或身份憑證標(biāo)識(shí)，從平臺(tái)獲取用戶信息，并根

據(jù)該用戶的信任等級(jí)，授權(quán)相應(yīng)的業(yè)務(wù)服務(wù)。

5.3通用安全要求

5.3.1等級(jí)保護(hù)要求

4

T/GDWJXXXX—XXXX

內(nèi)地管轄的身份數(shù)據(jù)提供方的信息系統(tǒng)、身份服務(wù)平臺(tái)應(yīng)對(duì)物理環(huán)境、通信網(wǎng)絡(luò)、邊界區(qū)域、計(jì)算

環(huán)境等進(jìn)行安全防護(hù)，應(yīng)滿足GB/T22239—2019第三級(jí)及以上要求。

港澳管轄的身份數(shù)據(jù)提供方的信息系統(tǒng)、身份服務(wù)平臺(tái)，可根據(jù)屬地相關(guān)的政策、技術(shù)標(biāo)準(zhǔn)，標(biāo)準(zhǔn)

級(jí)別應(yīng)與內(nèi)地至少等同。

5.3.2密碼應(yīng)用要求

內(nèi)地管轄的身份數(shù)據(jù)提供方的信息系統(tǒng)、身份服務(wù)平臺(tái)應(yīng)對(duì)敏感數(shù)據(jù)進(jìn)行密碼技術(shù)保護(hù)，安全評(píng)估

應(yīng)滿足GB/T39786—2021第三級(jí)及以上要求。

港澳管轄的身份數(shù)據(jù)提供方的信息系統(tǒng)、身份服務(wù)平臺(tái)，可根據(jù)屬地相關(guān)的政策、技術(shù)標(biāo)準(zhǔn)，標(biāo)準(zhǔn)

級(jí)別應(yīng)與內(nèi)地至少等同。

5.3.3數(shù)據(jù)安全要求

內(nèi)地管轄的身份數(shù)據(jù)提供方的信息系統(tǒng)處理個(gè)人信息行為應(yīng)符合GB/T35273—2020第4章要求，遵

循合法、正當(dāng)、必要的原則且不違反相關(guān)監(jiān)管要求。處理數(shù)據(jù)行為應(yīng)符合GB/T39477—2020，對(duì)數(shù)據(jù)實(shí)

行分類分級(jí)保護(hù)，在開(kāi)展數(shù)據(jù)處理活動(dòng)時(shí)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制

度，組織開(kāi)展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。在發(fā)生個(gè)人信

息和數(shù)據(jù)的跨境交互時(shí)，應(yīng)遵循《數(shù)據(jù)出境安全評(píng)估辦法》、《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨

境處理活動(dòng)安全認(rèn)證規(guī)范》、《粵港澳大灣區(qū)（內(nèi)地、香港）個(gè)人信息跨境流動(dòng)標(biāo)準(zhǔn)合同實(shí)施指引》等

國(guó)家相關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)的要求。

港澳管轄的身份數(shù)據(jù)提供方，可根據(jù)屬地相關(guān)的政策、技術(shù)標(biāo)準(zhǔn)，標(biāo)準(zhǔn)級(jí)別應(yīng)與內(nèi)地至少等同。

6跨境身份服務(wù)平臺(tái)技術(shù)要求

6.1功能要求

6.1.1管理后臺(tái)

管理平臺(tái)應(yīng)滿足以下要求：

a)支持?jǐn)?shù)據(jù)源接入管理；

b)支持?jǐn)?shù)據(jù)項(xiàng)管理，并能設(shè)置數(shù)據(jù)項(xiàng)的敏感級(jí)別；

c)支持應(yīng)用接入管理，并做相應(yīng)授權(quán)；

d)支持身份憑證簽發(fā)中心接入管理。

6.1.2業(yè)務(wù)前臺(tái)

業(yè)務(wù)前臺(tái)應(yīng)滿足以下要求：

a)支持用戶的在線注冊(cè)；

b)支持用戶對(duì)自己信息的創(chuàng)建、修改、刪除、授權(quán)訪問(wèn)；

c)支持用戶的統(tǒng)一認(rèn)證、單點(diǎn)登錄。

6.1.3對(duì)外接口

對(duì)外接口應(yīng)滿足以下要求：

a)提供身份數(shù)據(jù)應(yīng)用接口為上層應(yīng)用提供服務(wù)；

b)支持身份數(shù)據(jù)源接口，從跨境身份數(shù)據(jù)提供方獲取數(shù)據(jù)或比對(duì)數(shù)據(jù)；

c)支持身份憑證簽發(fā)中心服務(wù)接口，向身份憑證簽發(fā)中心提交可信身份憑證服務(wù)請(qǐng)求。

6.2性能要求

5

T/GDWJXXXX—XXXX

平臺(tái)應(yīng)滿足GB/T25000.23—2019中性能指標(biāo)。

6.3安全要求

除滿足通用安全要求外，部署在內(nèi)地的身份服務(wù)平臺(tái)還應(yīng)滿足以下要求：

a)滿足GB/T35273—2020要求，對(duì)個(gè)人信息的全生命周期進(jìn)行合規(guī)的處理，對(duì)于敏感個(gè)人信息進(jìn)

行分級(jí)分類管理并做好存儲(chǔ)安全保障，同時(shí)應(yīng)做好用戶知悉和授權(quán)同意，確保信息處理的公開(kāi)

透明；

b)滿足GB/T39477—2020關(guān)于共享數(shù)據(jù)提供方的安全要求；

c)部署在港澳管轄區(qū)域的身份服務(wù)平臺(tái)，可根據(jù)屬地相關(guān)的政策、技術(shù)標(biāo)準(zhǔn)，滿足等同的保護(hù)措

施；

d)應(yīng)對(duì)對(duì)接的身份數(shù)據(jù)提供方進(jìn)行對(duì)接前評(píng)估，包括真實(shí)性、合法性以及功能完善性，確保服務(wù)

的可用性和可靠性；

e)應(yīng)對(duì)對(duì)接的應(yīng)用系統(tǒng)進(jìn)行身份鑒別，確保應(yīng)用系統(tǒng)的真實(shí)性和合法性；

f)應(yīng)采用粵港澳互認(rèn)CA數(shù)字證書(shū)保障數(shù)據(jù)提供方、數(shù)據(jù)需求方等各方身份真實(shí)性。

7跨境身份數(shù)據(jù)提供方技術(shù)要求

7.1功能要求

跨境身份數(shù)據(jù)提供方應(yīng)滿足：

a)支持粵港澳本地法人及其他組織身份信息的核驗(yàn)和比對(duì)；

b)應(yīng)提供數(shù)據(jù)源接口。

7.2安全要求

跨境身份數(shù)據(jù)提供方應(yīng)滿足以下安全要求：

a)對(duì)通過(guò)“數(shù)據(jù)源接口”接入的身份服務(wù)平臺(tái)進(jìn)行身份鑒別，確保身份服務(wù)平臺(tái)的真實(shí)性和合法

性；

b)對(duì)業(yè)務(wù)數(shù)據(jù)應(yīng)采取“本地存儲(chǔ)，非必要數(shù)據(jù)不出庫(kù)”原則，對(duì)于身份信息的鑒真請(qǐng)求，應(yīng)提供

響應(yīng)結(jié)果；

c)大陸管轄的身份數(shù)據(jù)提供方，應(yīng)能滿足GB/T39477-2020中關(guān)于共享數(shù)據(jù)提供方的安全要求；

d)港澳管轄的身份數(shù)據(jù)供應(yīng)方，應(yīng)滿足屬地相關(guān)的政策、技術(shù)標(biāo)準(zhǔn)。

8跨境身份數(shù)據(jù)需求方技術(shù)要求

8.1功能要求

應(yīng)支持第10章節(jié)跨境數(shù)據(jù)接口規(guī)范，對(duì)接身份服務(wù)平臺(tái)。

8.2安全要求

應(yīng)對(duì)對(duì)接的身份服務(wù)平臺(tái)進(jìn)行身份鑒別，確保身份服務(wù)平臺(tái)的真實(shí)性和合法性。

9身份憑證簽發(fā)中心技術(shù)要求

應(yīng)選用技術(shù)成熟、合法設(shè)立的受用戶信任的第三方權(quán)威機(jī)構(gòu)或政府部門(mén)作為身份憑證簽發(fā)中心。對(duì)

身份憑證簽發(fā)中心的要求可參照附錄A。

6

T/GDWJXXXX—XXXX

10跨境數(shù)據(jù)接口規(guī)范

10.1接口協(xié)議及安全要求

跨境身份認(rèn)證數(shù)據(jù)接口協(xié)議及安全要求應(yīng)包括但不限于：

a)通信協(xié)議：web服務(wù)接口應(yīng)采用HTTPS安全傳輸。TLS協(xié)議應(yīng)高于TLS1.2版本。

b)身份鑒別：通信雙方應(yīng)采用粵港澳互認(rèn)CA機(jī)構(gòu)簽發(fā)的數(shù)字證書(shū)進(jìn)行身份鑒別。客戶端可增加

HTTP基礎(chǔ)認(rèn)證（IETFRFC7617）進(jìn)行補(bǔ)充認(rèn)證。

10.2數(shù)據(jù)格式

跨境身份認(rèn)證數(shù)據(jù)接口數(shù)據(jù)格式應(yīng)滿足：

a)請(qǐng)求和響應(yīng)數(shù)據(jù)采用JSON格式對(duì)數(shù)據(jù)進(jìn)行封裝，字符編碼采用UTF-8。

b)對(duì)關(guān)鍵的請(qǐng)求和響應(yīng)數(shù)據(jù)做電子簽名，電子簽名格式遵循JWS標(biāo)準(zhǔn)（IETFRFC7515），簽名證

書(shū)由粵港澳互認(rèn)CA機(jī)構(gòu)簽發(fā)。

10.3數(shù)據(jù)要素

法人及其他組織身份信息數(shù)據(jù)項(xiàng)映射關(guān)系如表1所示：

表1法人和其他組織身份信息數(shù)據(jù)項(xiàng)映射關(guān)系表

大陸數(shù)據(jù)項(xiàng)名稱港澳數(shù)據(jù)項(xiàng)名稱數(shù)據(jù)項(xiàng)英文名稱備注

法人和其他組織機(jī)構(gòu)身份的唯

統(tǒng)一社會(huì)信用代碼商業(yè)登記證號(hào)碼BRnumber

一標(biāo)識(shí)

機(jī)構(gòu)名稱公司名稱CompanyName

大陸為“ML”、香港為“HK”、

行政區(qū)劃地區(qū)Area

澳門(mén)為“MC”

經(jīng)營(yíng)范圍業(yè)務(wù)性質(zhì)BusinessScope

注冊(cè)地址注冊(cè)地址RegisteredAddress

注冊(cè)時(shí)間生效日期IncorporationDate

營(yíng)業(yè)期限屆滿日期ExpiryDate

電話號(hào)碼聯(lián)系方式Contact

機(jī)構(gòu)類型法律地位OrganizationType

法定代表人負(fù)責(zé)人Leader

注：以上數(shù)據(jù)項(xiàng)的JSON表示，均采用英文名稱。

10.4身份數(shù)據(jù)源接口

10.4.1基于關(guān)鍵標(biāo)識(shí)查身份數(shù)據(jù)

接口功能：通過(guò)法人及其他組織唯一標(biāo)識(shí)，查詢到其他信息。

入口參數(shù)：法人及其他組織所屬地區(qū)、法人及其他組織唯一標(biāo)識(shí)、需要查詢的數(shù)據(jù)項(xiàng)名稱。

出口參數(shù)：數(shù)據(jù)項(xiàng)數(shù)據(jù)列表。

10.4.2身份數(shù)據(jù)比對(duì)

接口功能：通過(guò)提供法人及其他組織相關(guān)信息，由數(shù)據(jù)提供方去比對(duì)數(shù)據(jù)是否正確。

入口參數(shù)：法人及其他組織所屬地區(qū)、法人及其他組織唯一標(biāo)識(shí)、需要比對(duì)的數(shù)據(jù)項(xiàng)數(shù)據(jù)列表。

出口參數(shù)：比對(duì)結(jié)果（正確/錯(cuò)誤）。

7

T/GDWJXXXX—XXXX

10.5身份數(shù)據(jù)應(yīng)用接口

10.5.1基于關(guān)鍵標(biāo)識(shí)查身份數(shù)據(jù)

接口功能：通過(guò)法人及其他組織唯一標(biāo)識(shí)，查詢到其他信息。

入口參數(shù)：數(shù)據(jù)提供方權(quán)威級(jí)別要求、法人及其他組織所屬地區(qū)、法人及其他組織唯一標(biāo)識(shí)、需要

查詢的數(shù)據(jù)項(xiàng)名稱。

出口參數(shù)：數(shù)據(jù)項(xiàng)數(shù)據(jù)列表。

注：數(shù)據(jù)提供方權(quán)威級(jí)別包括：政務(wù)權(quán)威、組織權(quán)威、第三方商業(yè)信息、用戶自注冊(cè)等。

10.5.2身份數(shù)據(jù)比對(duì)

接口功能：通過(guò)提供法人及其他組織相關(guān)信息，由數(shù)據(jù)提供方去比對(duì)數(shù)據(jù)是否正確。

入口參數(shù)：數(shù)據(jù)提供方權(quán)威級(jí)別要求、法人及其他組織所屬地區(qū)、法人及其他組織唯一標(biāo)識(shí)、需要

比對(duì)的數(shù)據(jù)項(xiàng)數(shù)據(jù)列表。

出口參數(shù)：比對(duì)結(jié)果（正確/錯(cuò)誤）。

10.5.3基于登錄令牌查身份數(shù)據(jù)

接口功能：用于單點(diǎn)登錄。用戶在身份服務(wù)平臺(tái)單點(diǎn)登錄后訪問(wèn)應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)通過(guò)用戶的登

錄令牌查詢?cè)撚脩舻纳矸菪畔ⅰ?/p>

入口參數(shù)：應(yīng)用認(rèn)證信息、用戶登錄令牌、需要查詢的數(shù)據(jù)項(xiàng)列表。

出口參數(shù)：數(shù)據(jù)項(xiàng)數(shù)據(jù)列表。

8

T/GDWJXXXX—XXXX

附錄A

（資料性）

身份憑證簽發(fā)中心示例

A.1示例1

本示例中，身份憑證簽發(fā)中心以CA機(jī)構(gòu)為例，介紹其技術(shù)要求。

A.1.1資質(zhì)要求

CA機(jī)構(gòu)為粵港澳大灣區(qū)法人和其他組織提供身份認(rèn)證服務(wù)，應(yīng)遵循《粵港兩地電子簽名證書(shū)互認(rèn)證

書(shū)策略》、《粵港兩地電子簽名證書(shū)互認(rèn)辦法》、《港澳兩地電子簽名證書(shū)互認(rèn)的框架性意見(jiàn)》等關(guān)于

粵港澳CA互認(rèn)相關(guān)政策。CA機(jī)構(gòu)應(yīng)在《粵港兩地電子簽名證書(shū)互認(rèn)信任列表》名單之內(nèi)。內(nèi)地管轄的CA

機(jī)構(gòu)應(yīng)具備《電子認(rèn)證服務(wù)許可證》資質(zhì)。

A.1.2服務(wù)要求

CA機(jī)構(gòu)應(yīng)至少提供證書(shū)申請(qǐng)、更新、變更、撤銷服務(wù)。CA機(jī)構(gòu)應(yīng)至少提供CRL證書(shū)吊銷狀態(tài)查驗(yàn)服

務(wù)，宜提供在線證書(shū)狀態(tài)查詢服務(wù)（OCSP），該服務(wù)須按照OCSP協(xié)議（IETFRFC6960），提供實(shí)時(shí)在

線查詢證書(shū)的狀態(tài)。CA機(jī)構(gòu)可根據(jù)用戶的要求提供LDAP證書(shū)發(fā)布服務(wù)。CA機(jī)構(gòu)宜提供CMP（IETFRFC4210，

對(duì)等國(guó)標(biāo)為GB/T19714—2005）線上證書(shū)業(yè)務(wù)服務(wù)。

CA機(jī)構(gòu)簽發(fā)數(shù)字證書(shū)所用密碼算法應(yīng)遵循粵港澳CA互認(rèn)相關(guān)政策要求，數(shù)字證書(shū)格式應(yīng)符合ITU

X.509。

CA機(jī)構(gòu)服務(wù)系統(tǒng)（含CA系統(tǒng)、RA系統(tǒng)、及其他業(yè)務(wù)系統(tǒng)等）的安全要求，應(yīng)遵循屬地政策法規(guī)、技

術(shù)規(guī)范要求。

A.1.3接口要求

CA機(jī)構(gòu)服務(wù)系統(tǒng)為用戶提供線上證書(shū)業(yè)務(wù)服務(wù)的接口，應(yīng)遵循CMP協(xié)議。

CA機(jī)構(gòu)服務(wù)系統(tǒng)提供證書(shū)/證書(shū)狀態(tài)查詢服務(wù)接口，為跨境身份服務(wù)平臺(tái)、用戶終端提供證書(shū)有效

性查驗(yàn)服務(wù)。

9

T/GDWJXXXX—XXXX

參考文獻(xiàn)

[1]GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范

[2]GB/T37932—2019信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求

[3]GB/T37973—2019信息安全技術(shù)大數(shù)據(jù)安全管理指南

[4]GB/T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型

[5]GB/T39477—2020信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求

[6]ISO/IEC19790—2012Informationtechnology—Securitytechniques—Securityrequirements

forcryptographicmodules

_________________________________

10

ICS點(diǎn)擊此處添加ICS號(hào)

點(diǎn)擊此處添加中國(guó)標(biāo)準(zhǔn)文獻(xiàn)分類號(hào)

CCS

團(tuán)體標(biāo)準(zhǔn)

T/GDWJXXXX—2024

粵港澳大灣區(qū)法人和其他組織

身份認(rèn)證技術(shù)規(guī)范

Technicalspecificationsforidentityauthenticationoflegalpersonsandother

organizationsintheGuangdongHongKongMacaoGreaterBayArea

（征求意見(jiàn)稿）

完成時(shí)間：2024-3-25

2024-XX-XX發(fā)布2024-XX-XX實(shí)施

發(fā)布

T/GDWJXXXX—XXXX

粵港澳大灣區(qū)法人和其他組織身份認(rèn)證技術(shù)規(guī)范

1范圍

本文件規(guī)定了粵港澳大灣區(qū)法人和其他組織身份認(rèn)證過(guò)程中涉及的通用安全要求、服務(wù)平臺(tái)技術(shù)要

求、數(shù)據(jù)提供方技術(shù)要求、數(shù)據(jù)需求方技術(shù)要求、數(shù)據(jù)接口規(guī)范等內(nèi)容。

本文件適用于能提供粵港澳大灣區(qū)法人和其他組織身份認(rèn)證信息的數(shù)據(jù)提供方，或需要訪問(wèn)粵港澳

大灣區(qū)法人和其他組織身份認(rèn)證信息的數(shù)據(jù)使用方，在信息系統(tǒng)對(duì)接時(shí)需要遵循的技術(shù)規(guī)范。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB32100—2015法人和其他組織統(tǒng)一社會(huì)信用代碼編碼規(guī)則

GB/T19714—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書(shū)管理協(xié)議

GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T25000.23—2019系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)(SQuaRE)第23部分:系統(tǒng)與軟

件產(chǎn)品質(zhì)量測(cè)量

GB/T25056—2018信息安全技術(shù)證書(shū)認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范

GB/T39786—2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求

IETFRFC6960X.509InternetPublicKeyInfrastructureOnlineCertificateStatusProtocol

IETFRFC7515JSONWebSignature(JWS)

IETFRFC7617The'Basic'HTTPAuthenticationScheme

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

身份即服務(wù)identifyasaservice

一種通過(guò)利用云基礎(chǔ)設(shè)施，構(gòu)架在云上的身份服務(wù)。

3.2

身份服務(wù)平臺(tái)identifyserviceplatform

為供需雙方提供身份服務(wù)的信息系統(tǒng)。

3.3

數(shù)據(jù)提供方datasupplier

數(shù)據(jù)交易中出售和提供數(shù)據(jù)產(chǎn)品的組織。

3.4

1

T/GDWJXXXX—XXXX

數(shù)據(jù)需求方datademander

數(shù)據(jù)交易中購(gòu)買和使用數(shù)據(jù)產(chǎn)品的組織。

3.5

電子認(rèn)證服務(wù)機(jī)構(gòu)CertificateAuthority

負(fù)責(zé)創(chuàng)建、分發(fā)證書(shū)并在必要時(shí)提供驗(yàn)證以證實(shí)用戶身份的機(jī)構(gòu)，一般是受用戶信任的權(quán)威機(jī)構(gòu)，

用戶可以選擇該機(jī)構(gòu)為其創(chuàng)建密鑰。通常將電子認(rèn)證服務(wù)機(jī)構(gòu)簡(jiǎn)稱為CA,也稱為CA機(jī)構(gòu)、CA中心、認(rèn)證

機(jī)構(gòu)、證書(shū)認(rèn)證機(jī)構(gòu)等。

注：本文件中，電子認(rèn)證服務(wù)機(jī)構(gòu)指有粵港澳大灣區(qū)電子簽名證書(shū)互認(rèn)資質(zhì)的CA服務(wù)機(jī)構(gòu)，簡(jiǎn)稱粵港澳互認(rèn)CA機(jī)構(gòu)。

3.6

數(shù)字證書(shū)digitalcertificate

由電子認(rèn)證服務(wù)機(jī)構(gòu)采用非對(duì)稱密碼技術(shù)簽發(fā)的、證實(shí)主體身份與特定公鑰間對(duì)應(yīng)關(guān)系的數(shù)據(jù)電

文。

3.7

身份憑證簽發(fā)中心identityticketissuer

為用戶頒發(fā)可信身份憑證的機(jī)構(gòu)。

注：本文件中，身份憑證簽發(fā)中心可以是指粵港澳互認(rèn)CA機(jī)構(gòu)，還可以是其他能簽發(fā)出可信身份憑證的第三方機(jī)構(gòu)。

3.8

可信身份憑證trustedidentityticket

由身份憑證簽發(fā)中心簽發(fā)的含有用戶身份信息的數(shù)字憑證。

注：本文件中，數(shù)字證書(shū)為可信身份憑證的一種。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

IDaaS身份即服務(wù)（identifyasaservice）

CA電子認(rèn)證服務(wù)機(jī)構(gòu)（CertificateAuthority）

CMP證書(shū)管理協(xié)議（Certificatemanagementprotocol）

OCSP在線證書(shū)狀態(tài)查詢服務(wù)（OnlineCertificatestatusProtocol）

5總體要求

5.1總體框架

粵港澳大灣區(qū)法人和其他組織身份認(rèn)證包括數(shù)據(jù)提供方、數(shù)據(jù)需求方、IDaaS身份服務(wù)平臺(tái)、身份

憑證簽發(fā)中心等要素，總體框架如圖1所示。

2

T/GDWJXXXX—XXXX

應(yīng)用交互界面前端生物識(shí)別軟硬件密碼模塊

用戶終端