王新華 金 剛 趙喜軍 高尚成

(北京數(shù)字認(rèn)證股份有限公司 北京 100080)

?

電子認(rèn)證在可信電子證照中的應(yīng)用

王新華 金 剛 趙喜軍 高尚成

(北京數(shù)字認(rèn)證股份有限公司 北京 100080)

(wangxinhua@bjca.org.cn)

隨著信息技術(shù)的快速發(fā)展，公眾社會(huì)生活和政府運(yùn)作方式也在發(fā)生轉(zhuǎn)變，政府為提高行政效率和服務(wù)水平，現(xiàn)開始大力推行電子證照的服務(wù)模式，從而推進(jìn)網(wǎng)絡(luò)化應(yīng)用.可信電子證照的真實(shí)性、可信性是杜絕假證假照泛濫，保障網(wǎng)絡(luò)化應(yīng)用的關(guān)鍵.結(jié)合電子認(rèn)證技術(shù)、可信電子證照的法律基礎(chǔ)，運(yùn)用二維碼與數(shù)字簽名的結(jié)合，從可信電子證照的生成、防偽杜絕假證假照泛濫打印、驗(yàn)證3個(gè)方面論述了電子認(rèn)證技術(shù)在可信電子證照中的應(yīng)用場景，并指出電子認(rèn)證的應(yīng)用效果.

電子認(rèn)證；電子證照；電子簽名；QR二維碼；數(shù)字簽名

隨著互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)的發(fā)展，以電腦、網(wǎng)絡(luò)、通信為主的信息技術(shù)，正在深刻地影響著社會(huì)生活和政府運(yùn)作的方式.為創(chuàng)新政務(wù)工作模式，提高行政效率和服務(wù)水平，政府正在普遍推行電子證照和全流程電子化登記管理改革，推進(jìn)公眾在線應(yīng)用電子證照辦理行政審批業(yè)務(wù)，推進(jìn)各級行政機(jī)關(guān)開展全流程電子化、網(wǎng)絡(luò)化應(yīng)用等.

在傳統(tǒng)的行政審批中，人們通過提交紙質(zhì)證照證明自身的真實(shí)性，行政審批人員通過人工手段鑒別證照的真實(shí)性，而隨著電子證照、電子化審批的推進(jìn)，人們將采用電子證照來證明自身在非互見面環(huán)境的真實(shí)性.在開放的互聯(lián)網(wǎng)環(huán)境中，電子掃描、圖片技術(shù)的普及大大降低偽造電子證照、紙質(zhì)證照的成本，滋生了假證假照泛濫現(xiàn)象.這種現(xiàn)象究其原因是證照的生成、使用、管理中防偽、真?zhèn)舞b別等存在問題，造成證照的可信低，往往需要更多的證照來佐證.為了從根本上解決證照存在的問題，就要解決證照的可信問題，即能順應(yīng)電子政務(wù)電子化潮流，又可提高辦公的效率，還能更方便地為百姓服務(wù).

1 電子證照的可信需求

目前，政府部門和取得法定資質(zhì)的第三方服務(wù)機(jī)構(gòu)發(fā)放的證照分為傳統(tǒng)的紙質(zhì)證照和電子證照2種，在現(xiàn)階段仍保持著2種形態(tài)證照的共存.證照包含了證照編號、單位名稱、有效期和說明等內(nèi)容，并在右下角加蓋發(fā)放機(jī)構(gòu)或單位的公章.傳統(tǒng)的紙質(zhì)證照是將證照信息以特殊紙張打印輸出的證照.電子證照是遵循相關(guān)技術(shù)規(guī)范的數(shù)字形態(tài)的證照，由計(jì)算機(jī)等電子設(shè)備形成、辦理、傳輸和存儲(chǔ)的證照信息記錄.通俗來講，電子證照是傳統(tǒng)紙質(zhì)證照的電子化形態(tài).

在現(xiàn)實(shí)的應(yīng)用中，電子證照的可信程度直接影響電子證照的實(shí)際應(yīng)用.如果證照缺少可信的電子化驗(yàn)證手段，那么用戶提交的證照仍然存在證照被偽造、信息被篡改的可能性，無法被直接使用[3].同樣，采用普通的電子信息存儲(chǔ)方式仍然存在證照被偽造的可能.為了保障電子證照的可信性，首先要確保電子證照與傳統(tǒng)紙質(zhì)證照具有同等的法律效果，而被法律認(rèn)可；同時(shí)，要保證證照的真實(shí)性、防偽性，需要對存儲(chǔ)在電子證照上的電子信息增加安全保護(hù)，保證電子信息的安全性，保障紙質(zhì)信息與電子信息的準(zhǔn)確綁定，實(shí)現(xiàn)紙質(zhì)證書與電子信息的雙向互驗(yàn).

2 基于電子認(rèn)證的可信電子證照技術(shù)

2.1 電子認(rèn)證技術(shù)簡介

電子簽名(即數(shù)字簽名)是在數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)，保障數(shù)據(jù)電文的真實(shí)性、可信性、不可否認(rèn)性等安全特性.

2.2 電子認(rèn)證的法律基礎(chǔ)

2005年我國正式頒布并實(shí)行了《中華人民共和國電子簽名法》(以下簡稱《電子簽名法》)[1].該法明確規(guī)定了電子數(shù)據(jù)和電子簽名的法律效力，并給出了電子簽名被法律認(rèn)證條件，為可信電子化文檔被認(rèn)可提供了法律依據(jù).《電子簽名法》明確規(guī)定了可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力，且不得拒絕數(shù)據(jù)電文作為證據(jù)使用.具體要求如下：

1) 書面形式.數(shù)據(jù)電文格式”固定”,能夠隨時(shí)調(diào)取.

2) 原件形式.數(shù)據(jù)電文形式發(fā)生改變，能夠還原.

3) 保存形式.數(shù)據(jù)電文的生成時(shí)間和簽名一起儲(chǔ)存.

因此，可靠電子簽名是數(shù)據(jù)電文具有法律效力的必要條件，而可靠電子簽名可簡單歸納為：

1) 采取合法、可信的第三方電子認(rèn)證機(jī)構(gòu)簽發(fā)的數(shù)字證書；

2) 采用基于可靠PKI體系的數(shù)字簽名技術(shù)；

3) 使用符合規(guī)定的簽名設(shè)備.

由此可知，可信電子證照的關(guān)鍵是對電子證照信息的可靠電子簽名.可靠電子簽名可通過可信二維碼技術(shù)實(shí)現(xiàn)，并將可靠電子簽名數(shù)據(jù)包含在可信二維碼中.

2.3 可信二維碼技術(shù)

北京數(shù)字認(rèn)證股份有限公司(簡稱“BJCA”)發(fā)明的“一種檢驗(yàn)紙制文檔的內(nèi)容是否被篡改的方法”專利技術(shù)中提出：“將二維碼與數(shù)字簽名的結(jié)合使用，提供一種檢驗(yàn)紙制文檔內(nèi)容是否被篡改的方法，解決電子文檔打印輸出為紙制文檔后文檔內(nèi)容真實(shí)性和有效性驗(yàn)證的問題.”[2].

通過采用BJCA的“一種檢驗(yàn)電子文檔內(nèi)容是否被篡改的方法”專利技術(shù)方法[4]，實(shí)現(xiàn)可信二維碼，即能解決電子文檔的防偽、真?zhèn)舞b別問題，又能解決電子文檔打印輸出為紙制文檔后文檔內(nèi)容真實(shí)性和有效性驗(yàn)證的問題，并保證了紙質(zhì)文書信息的快速識別.進(jìn)而，保障輸出的紙質(zhì)文檔與電子文檔的一致性.

在可信二維碼中，采用QR碼作為二維碼的技術(shù)標(biāo)準(zhǔn).QR碼(即二維碼)的“QR”是Quick Response 的縮寫.QR碼與其他二維碼相比，具有識讀速度快、數(shù)據(jù)密度大、占用空間小的優(yōu)勢.可信二維碼中存儲(chǔ)的內(nèi)容如圖1所示，包括電子證照的基本信息、數(shù)字簽名、數(shù)字證書等信息[5].

圖1 二維碼存儲(chǔ)內(nèi)容組成

從圖1可以看出，可信二維碼將二維碼圖片內(nèi)的存儲(chǔ)區(qū)域劃分為多個(gè)區(qū)域，存儲(chǔ)相應(yīng)的信息.通過國家密碼局認(rèn)可的SM2算法實(shí)現(xiàn)對存儲(chǔ)信息的數(shù)字簽名，實(shí)現(xiàn)電子文檔信息的安全性、防篡改性.

3 電子認(rèn)證技術(shù)的應(yīng)用

可信電子證照通過采用符合《電子簽名法》的可靠電子簽名要求的可信二維碼技術(shù)與電子證照形態(tài)的結(jié)合，采用國家認(rèn)可的第三方電子認(rèn)證服務(wù)機(jī)構(gòu)頒發(fā)的數(shù)字證書，生成可信二維碼，并將可信二維碼融合到電子證照中，保障電子證照的合法性、可信性、防偽性.

從業(yè)務(wù)流程上，基于數(shù)字簽名的可信二維碼包括組織原文信息、對原文信息數(shù)字簽名、打印帶二維碼的電子證照以及簽名后數(shù)據(jù)的安全驗(yàn)證.

3.1 可信電子證照的生成

可信電子證照的生成采用基于數(shù)字簽名生成的二維碼圖片附加到電子證照圖片，生成帶有可信二維碼的可信電子證照，包括組織原文信息和對原文信息數(shù)字簽名同，涉及以下幾個(gè)步驟：

1) 采集原文信息

二維碼中的原文信息為電子證照的基本內(nèi)容，對電子證照或紙質(zhì)證照上的內(nèi)容按固定格式進(jìn)行組織，生成二維碼的原文信息.

二維碼原文信息的采集需要采用專用的二維碼生成程序，并根據(jù)實(shí)際電子證照形式設(shè)計(jì)二維碼原文信息采集模板，并按照二維碼原文信息采集模板進(jìn)行設(shè)計(jì).

2) 原文信息數(shù)字簽名

為了加強(qiáng)電子證照的防篡改性，需要對二維碼中的信息進(jìn)行數(shù)字簽名，簽名內(nèi)容為組織后的二維碼原文，簽名時(shí)，使用由第三方電子認(rèn)證服務(wù)機(jī)構(gòu)為電子證照發(fā)放機(jī)構(gòu)簽發(fā)的機(jī)構(gòu)簽名數(shù)字證書.

通過使用專用的二維碼生成程序?qū)ΧS碼的原文信息進(jìn)行數(shù)字簽名.簽名后生成帶有原文信息、簽名結(jié)果和模板信息的二維碼圖片，并由電子證照的發(fā)放機(jī)構(gòu)加載到電子證照中，形成可信的電子證照.

3.2 可信電子證照的防偽打印

證照在現(xiàn)階段各個(gè)使用環(huán)境存在紙質(zhì)證照和電子證照2種形態(tài)證照的并存，仍需要將可信電子證照進(jìn)行紙質(zhì)證照輸出.

對于可信電子證照的輸出打印可以沿用原有的證照紙質(zhì)件打印方式.

首先，通過將基于帶數(shù)字簽名生成的二維碼圖片直接附加到電子證照中，形成帶有可信二維碼的可信電子證照.

最后，通過證照專用打印設(shè)備直接打印可信電子證照，輸出紙質(zhì)證照.

帶有可信二維碼的紙質(zhì)證照可通過移動(dòng)端二維碼掃描功能、條碼槍、專用二維碼掃描器對紙質(zhì)證照上的二維碼進(jìn)行掃碼，通過專用的可信電子掃碼證照驗(yàn)證、對比紙質(zhì)證照信息，進(jìn)而對紙質(zhì)證照進(jìn)行鑒別.如圖2所示：

圖2 可信電子證照的防偽打印

3.3 可信電子證照的驗(yàn)證

由于目前通用的二維碼驗(yàn)證程序一般只支持對二維碼原文信息的讀取功能，無法驗(yàn)證帶有數(shù)字簽名的二維碼，因此，需要采用專用的二維碼驗(yàn)證工具，即可信電子證照核驗(yàn)工具.

政府部門和取得法定資質(zhì)的第三方服務(wù)機(jī)構(gòu)發(fā)放的電子證照由于其公開性特點(diǎn)，需要驗(yàn)證其二維碼簽名的用戶可能是電子證照的使用方、提供方和其他群體.其對二維碼驗(yàn)證所使用的硬件環(huán)境會(huì)比較復(fù)雜，大致可分為以下2類：

1) 基于移動(dòng)終端設(shè)備驗(yàn)證

目前，基于移動(dòng)終端的二維碼驗(yàn)證方式比較普通，是可操作性強(qiáng)、使用簡單的一種驗(yàn)證方式.移動(dòng)終端通過運(yùn)行二維碼驗(yàn)證程序可對電子證照上的二維碼進(jìn)行掃描，二維碼掃描后對掃描的二維碼進(jìn)行數(shù)字簽名驗(yàn)證.

2) 使用專用的二維碼讀取設(shè)備驗(yàn)證

除移動(dòng)終端外，對二維碼的驗(yàn)證還可以使用專用的二維碼掃描設(shè)備(如二維碼掃碼槍)讀取二維碼，并進(jìn)行驗(yàn)證.

二維碼掃描成功后驗(yàn)證程序調(diào)用附帶在模板中的簽名證書，對二維碼簽名進(jìn)行驗(yàn)證.簽名驗(yàn)證成功后按照電子證照組織信息，顯示電子證照的內(nèi)容，并提示驗(yàn)證成功.如果簽名驗(yàn)證失敗則直接提示“二維碼簽名驗(yàn)證未通過”.

結(jié)合電子證照的使用場景和使用特點(diǎn)，在以上2種二維碼驗(yàn)證方式中，基于移動(dòng)終端設(shè)備的二維碼驗(yàn)證是首選方式.

4 結(jié)束語

通過在電子證照中增加帶有數(shù)字簽名的可信二維碼形成的可信電子證照，不但可以實(shí)現(xiàn)對證照的電子化驗(yàn)證，杜絕證書被偽造、信息被篡改的可能性；又可對紙質(zhì)證照、電子證照與證照的電子信息進(jìn)行雙向互驗(yàn)及電子證照自身驗(yàn)證，實(shí)現(xiàn)紙質(zhì)信息、電子證照與電子信息的綁定，保證了可信電子證照的真實(shí)性.如果紙質(zhì)證照、電子證照的信息被篡改，便可通過基于PKI體系的簽名驗(yàn)證發(fā)現(xiàn).

總之，伴隨互聯(lián)網(wǎng)+政務(wù)服務(wù)改革的到來，全面推行全程全網(wǎng)的政務(wù)服務(wù)電子化，實(shí)現(xiàn)政務(wù)業(yè)務(wù)向電子化、網(wǎng)絡(luò)化遷移.可信電子證照是政務(wù)業(yè)務(wù)改革的必要環(huán)節(jié).基于電子認(rèn)證技術(shù)的可信電子證照即確保了電子證照的可信性，又保證了打印后的紙質(zhì)證照和電子證照的記錄信息的一致性，解決了互聯(lián)網(wǎng)環(huán)境的證照可信問題，為推進(jìn)電子證照應(yīng)用奠定了基礎(chǔ)，掃清了政策和法律屏障.

[1]中華人民共和國電子簽名法[OL]. [2015-04-01]. http:www.gov.cnflfg2005-0627content_9785.htm

[2]北京數(shù)字認(rèn)證股份有限公司. 一種檢驗(yàn)紙質(zhì)文檔內(nèi)容是否被篡改的方法: 中國, CN200710152342[P]. 2009-12-02

[3]白穎, 韓立洋. 電子證照檔案管理存在問題及對策分析[J]. 北京檔案, 2015 (9): 37-38

[4]于英政. QR二維碼相關(guān)技術(shù)的研究[D]. 北京: 北京交通大學(xué), 2014

[5]龍建明, 鄭瑩娜, 肖本海. QR二維碼電子保章信息加密與防偽應(yīng)用研究[J]. 計(jì)算機(jī)與數(shù)學(xué)工程, 2015 (8): 1477-1480王新華

北京數(shù)字認(rèn)證股份有限公司解決方案中心總監(jiān)，資深專家，主要研究方向?yàn)樾畔踩?

wangxinhua@bjca.org.cn

金 剛

高級工程師，主要研究方向?yàn)樾畔踩?

jingang@bjca.org.cn

趙喜軍

高級工程師，主要研究方向?yàn)樾畔踩?

zhaoxijun@bjca.org.cn

高尚成

高級工程師，主要研究方向?yàn)樾畔踩?

gaoshangcheng@bjca.org.cn

Electronic Authentication in a Trusted Electronic License Application

Wang Xinhua, Jin Gang, Zhao Xijun, and Gao Shangcheng

(BeijingCertificateAuthorityCo.Ltd,Beijing100080)

With the rapid development of information technology, social life and government public works are also shifting. In order to improve the administrative efficiency and service level, government began to push forward the Electronic license, so as to promote web-based applications. The authenticity and credibility of credible Electronic license are the key to put an end to false license and to guarantee web-based applications. The article combined the electronic authentication technology and the credible legal basis for the electronic license, used the two-dimensional code and digital signature technology, discussed the technology of electronic authentication in trusted electronic certification application scenarios from the generation of credible electronic license, the security of elimination false license’s printing, verification, and point out its effect.

electronic authentication; electronic license; electronic signature; QR code; digital signature

2016-05-29

TP309.2