電子認證在可信電子證照中的應用

王新華 金 剛 趙喜軍 高尚成

(北京數(shù)字認證股份有限公司 北京 100080)

?

電子認證在可信電子證照中的應用

王新華 金 剛 趙喜軍 高尚成

(北京數(shù)字認證股份有限公司 北京 100080)

(wangxinhua@bjca.org.cn)

隨著信息技術(shù)的快速發(fā)展，公眾社會生活和政府運作方式也在發(fā)生轉(zhuǎn)變，政府為提高行政效率和服務水平，現(xiàn)開始大力推行電子證照的服務模式，從而推進網(wǎng)絡化應用.可信電子證照的真實性、可信性是杜絕假證假照泛濫，保障網(wǎng)絡化應用的關(guān)鍵.結(jié)合電子認證技術(shù)、可信電子證照的法律基礎，運用二維碼與數(shù)字簽名的結(jié)合，從可信電子證照的生成、防偽杜絕假證假照泛濫打印、驗證3個方面論述了電子認證技術(shù)在可信電子證照中的應用場景，并指出電子認證的應用效果.

電子認證；電子證照；電子簽名；QR二維碼；數(shù)字簽名

隨著互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的發(fā)展，以電腦、網(wǎng)絡、通信為主的信息技術(shù)，正在深刻地影響著社會生活和政府運作的方式.為創(chuàng)新政務工作模式，提高行政效率和服務水平，政府正在普遍推行電子證照和全流程電子化登記管理改革，推進公眾在線應用電子證照辦理行政審批業(yè)務，推進各級行政機關(guān)開展全流程電子化、網(wǎng)絡化應用等.

在傳統(tǒng)的行政審批中，人們通過提交紙質(zhì)證照證明自身的真實性，行政審批人員通過人工手段鑒別證照的真實性，而隨著電子證照、電子化審批的推進，人們將采用電子證照來證明自身在非互見面環(huán)境的真實性.在開放的互聯(lián)網(wǎng)環(huán)境中，電子掃描、圖片技術(shù)的普及大大降低偽造電子證照、紙質(zhì)證照的成本，滋生了假證假照泛濫現(xiàn)象.這種現(xiàn)象究其原因是證照的生成、使用、管理中防偽、真?zhèn)舞b別等存在問題，造成證照的可信低，往往需要更多的證照來佐證.為了從根本上解決證照存在的問題，就要解決證照的可信問題，即能順應電子政務電子化潮流，又可提高辦公的效率，還能更方便地為百姓服務.

1 電子證照的可信需求

目前，政府部門和取得法定資質(zhì)的第三方服務機構(gòu)發(fā)放的證照分為傳統(tǒng)的紙質(zhì)證照和電子證照2種，在現(xiàn)階段仍保持著2種形態(tài)證照的共存.證照包含了證照編號、單位名稱、有效期和說明等內(nèi)容，并在右下角加蓋發(fā)放機構(gòu)或單位的公章.傳統(tǒng)的紙質(zhì)證照是將證照信息以特殊紙張打印輸出的證照.電子證照是遵循相關(guān)技術(shù)規(guī)范的數(shù)字形態(tài)的證照，由計算機等電子設備形成、辦理、傳輸和存儲的證照信息記錄.通俗來講，電子證照是傳統(tǒng)紙質(zhì)證照的電子化形態(tài).

在現(xiàn)實的應用中，電子證照的可信程度直接影響電子證照的實際應用.如果證照缺少可信的電子化驗證手段，那么用戶提交的證照仍然存在證照被偽造、信息被篡改的可能性，無法被直接使用[3].同樣，采用普通的電子信息存儲方式仍然存在證照被偽造的可能.為了保障電子證照的可信性，首先要確保電子證照與傳統(tǒng)紙質(zhì)證照具有同等的法律效果，而被法律認可；同時，要保證證照的真實性、防偽性，需要對存儲在電子證照上的電子信息增加安全保護，保證電子信息的安全性，保障紙質(zhì)信息與電子信息的準確綁定，實現(xiàn)紙質(zhì)證書與電子信息的雙向互驗.

2 基于電子認證的可信電子證照技術(shù)

2.1 電子認證技術(shù)簡介

電子簽名(即數(shù)字簽名)是在數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)，保障數(shù)據(jù)電文的真實性、可信性、不可否認性等安全特性.

2.2 電子認證的法律基礎

2005年我國正式頒布并實行了《中華人民共和國電子簽名法》(以下簡稱《電子簽名法》)[1].該法明確規(guī)定了電子數(shù)據(jù)和電子簽名的法律效力，并給出了電子簽名被法律認證條件，為可信電子化文檔被認可提供了法律依據(jù).《電子簽名法》明確規(guī)定了可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力，且不得拒絕數(shù)據(jù)電文作為證據(jù)使用.具體要求如下：

1) 書面形式.數(shù)據(jù)電文格式”固定”,能夠隨時調(diào)取.

2) 原件形式.數(shù)據(jù)電文形式發(fā)生改變，能夠還原.

3) 保存形式.數(shù)據(jù)電文的生成時間和簽名一起儲存.

因此，可靠電子簽名是數(shù)據(jù)電文具有法律效力的必要條件，而可靠電子簽名可簡單歸納為：

1) 采取合法、可信的第三方電子認證機構(gòu)簽發(fā)的數(shù)字證書；

2) 采用基于可靠PKI體系的數(shù)字簽名技術(shù)；

3) 使用符合規(guī)定的簽名設備.

由此可知，可信電子證照的關(guān)鍵是對電子證照信息的可靠電子簽名.可靠電子簽名可通過可信二維碼技術(shù)實現(xiàn)，并將可靠電子簽名數(shù)據(jù)包含在可信二維碼中.

2.3 可信二維碼技術(shù)

北京數(shù)字認證股份有限公司(簡稱“BJCA”)發(fā)明的“一種檢驗紙制文檔的內(nèi)容是否被篡改的方法”專利技術(shù)中提出：“將二維碼與數(shù)字簽名的結(jié)合使用，提供一種檢驗紙制文檔內(nèi)容是否被篡改的方法，解決電子文檔打印輸出為紙制文檔后文檔內(nèi)容真實性和有效性驗證的問題.”[2].

通過采用BJCA的“一種檢驗電子文檔內(nèi)容是否被篡改的方法”專利技術(shù)方法[4]，實現(xiàn)可信二維碼，即能解決電子文檔的防偽、真?zhèn)舞b別問題，又能解決電子文檔打印輸出為紙制文檔后文檔內(nèi)容真實性和有效性驗證的問題，并保證了紙質(zhì)文書信息的快速識別.進而，保障輸出的紙質(zhì)文檔與電子文檔的一致性.

在可信二維碼中，采用QR碼作為二維碼的技術(shù)標準.QR碼(即二維碼)的“QR”是Quick Response 的縮寫.QR碼與其他二維碼相比，具有識讀速度快、數(shù)據(jù)密度大、占用空間小的優(yōu)勢.可信二維碼中存儲的內(nèi)容如圖1所示，包括電子證照的基本信息、數(shù)字簽名、數(shù)字證書等信息[5].

圖1 二維碼存儲內(nèi)容組成

從圖1可以看出，可信二維碼將二維碼圖片內(nèi)的存儲區(qū)域劃分為多個區(qū)域，存儲相應的信息.通過國家密碼局認可的SM2算法實現(xiàn)對存儲信息的數(shù)字簽名，實現(xiàn)電子文檔信息的安全性、防篡改性.

3 電子認證技術(shù)的應用

可信電子證照通過采用符合《電子簽名法》的可靠電子簽名要求的可信二維碼技術(shù)與電子證照形態(tài)的結(jié)合，采用國家認可的第三方電子認證服務機構(gòu)頒發(fā)的數(shù)字證書，生成可信二維碼，并將可信二維碼融合到電子證照中，保障電子證照的合法性、可信性、防偽性.

從業(yè)務流程上，基于數(shù)字簽名的可信二維碼包括組織原文信息、對原文信息數(shù)字簽名、打印帶二維碼的電子證照以及簽名后數(shù)據(jù)的安全驗證.

3.1 可信電子證照的生成

可信電子證照的生成采用基于數(shù)字簽名生成的二維碼圖片附加到電子證照圖片，生成帶有可信二維碼的可信電子證照，包括組織原文信息和對原文信息數(shù)字簽名同，涉及以下幾個步驟：

1) 采集原文信息

二維碼中的原文信息為電子證照的基本內(nèi)容，對電子證照或紙質(zhì)證照上的內(nèi)容按固定格式進行組織，生成二維碼的原文信息.

二維碼原文信息的采集需要采用專用的二維碼生成程序，并根據(jù)實際電子證照形式設計二維碼原文信息采集模板，并按照二維碼原文信息采集模板進行設計.

2) 原文信息數(shù)字簽名

為了加強電子證照的防篡改性，需要對二維碼中的信息進行數(shù)字簽名，簽名內(nèi)容為組織后的二維碼原文，簽名時，使用由第三方電子認證服務機構(gòu)為電子證照發(fā)放機構(gòu)簽發(fā)的機構(gòu)簽名數(shù)字證書.

通過使用專用的二維碼生成程序?qū)ΧS碼的原文信息進行數(shù)字簽名.簽名后生成帶有原文信息、簽名結(jié)果和模板信息的二維碼圖片，并由電子證照的發(fā)放機構(gòu)加載到電子證照中，形成可信的電子證照.

3.2 可信電子證照的防偽打印

證照在現(xiàn)階段各個使用環(huán)境存在紙質(zhì)證照和電子證照2種形態(tài)證照的并存，仍需要將可信電子證照進行紙質(zhì)證照輸出.

對于可信電子證照的輸出打印可以沿用原有的證照紙質(zhì)件打印方式.

首先，通過將基于帶數(shù)字簽名生成的二維碼圖片直接附加到電子證照中，形成帶有可信二維碼的可信電子證照.

最后，通過證照專用打印設備直接打印可信電子證照，輸出紙質(zhì)證照.

帶有可信二維碼的紙質(zhì)證照可通過移動端二維碼掃描功能、條碼槍、專用二維碼掃描器對紙質(zhì)證照上的二維碼進行掃碼，通過專用的可信電子掃碼證照驗證、對比紙質(zhì)證照信息，進而對紙質(zhì)證照進行鑒別.如圖2所示：

圖2 可信電子證照的防偽打印

3.3 可信電子證照的驗證

由于目前通用的二維碼驗證程序一般只支持對二維碼原文信息的讀取功能，無法驗證帶有數(shù)字簽名的二維碼，因此，需要采用專用的二維碼驗證工具，即可信電子證照核驗工具.

政府部門和取得法定資質(zhì)的第三方服務機構(gòu)發(fā)放的電子證照由于其公開性特點，需要驗證其二維碼簽名的用戶可能是電子證照的使用方、提供方和其他群體.其對二維碼驗證所使用的硬件環(huán)境會比較復雜，大致可分為以下2類：

1) 基于移動終端設備驗證

目前，基于移動終端的二維碼驗證方式比較普通，是可操作性強、使用簡單的一種驗證方式.移動終端通過運行二維碼驗證程序可對電子證照上的二維碼進行掃描，二維碼掃描后對掃描的二維碼進行數(shù)字簽名驗證.

2) 使用專用的二維碼讀取設備驗證

除移動終端外，對二維碼的驗證還可以使用專用的二維碼掃描設備(如二維碼掃碼槍)讀取二維碼，并進行驗證.

二維碼掃描成功后驗證程序調(diào)用附帶在模板中的簽名證書，對二維碼簽名進行驗證.簽名驗證成功后按照電子證照組織信息，顯示電子證照的內(nèi)容，并提示驗證成功.如果簽名驗證失敗則直接提示“二維碼簽名驗證未通過”.

結(jié)合電子證照的使用場景和使用特點，在以上2種二維碼驗證方式中，基于移動終端設備的二維碼驗證是首選方式.

4 結(jié)束語

通過在電子證照中增加帶有數(shù)字簽名的可信二維碼形成的可信電子證照，不但可以實現(xiàn)對證照的電子化驗證，杜絕證書被偽造、信息被篡改的可能性；又可對紙質(zhì)證照、電子證照與證照的電子信息進行雙向互驗及電子證照自身驗證，實現(xiàn)紙質(zhì)信息、電子證照與電子信息的綁定，保證了可信電子證照的真實性.如果紙質(zhì)證照、電子證照的信息被篡改，便可通過基于PKI體系的簽名驗證發(fā)現(xiàn).

總之，伴隨互聯(lián)網(wǎng)+政務服務改革的到來，全面推行全程全網(wǎng)的政務服務電子化，實現(xiàn)政務業(yè)務向電子化、網(wǎng)絡化遷移.可信電子證照是政務業(yè)務改革的必要環(huán)節(jié).基于電子認證技術(shù)的可信電子證照即確保了電子證照的可信性，又保證了打印后的紙質(zhì)證照和電子證照的記錄信息的一致性，解決了互聯(lián)網(wǎng)環(huán)境的證照可信問題，為推進電子證照應用奠定了基礎，掃清了政策和法律屏障.

[1]中華人民共和國電子簽名法[OL]. [2015-04-01]. http:www.gov.cnflfg2005-0627content_9785.htm

[2]北京數(shù)字認證股份有限公司. 一種檢驗紙質(zhì)文檔內(nèi)容是否被篡改的方法: 中國, CN200710152342[P]. 2009-12-02

[3]白穎, 韓立洋. 電子證照檔案管理存在問題及對策分析[J]. 北京檔案, 2015 (9): 37-38

[4]于英政. QR二維碼相關(guān)技術(shù)的研究[D]. 北京: 北京交通大學, 2014

[5]龍建明, 鄭瑩娜, 肖本海. QR二維碼電子保章信息加密與防偽應用研究[J]. 計算機與數(shù)學工程, 2015 (8): 1477-1480王新華

北京數(shù)字認證股份有限公司解決方案中心總監(jiān)，資深專家，主要研究方向為信息安全.

wangxinhua@bjca.org.cn

金 剛

高級工程師，主要研究方向為信息安全.

jingang@bjca.org.cn

趙喜軍

高級工程師，主要研究方向為信息安全.

zhaoxijun@bjca.org.cn

高尚成

高級工程師，主要研究方向為信息安全.

gaoshangcheng@bjca.org.cn

Electronic Authentication in a Trusted Electronic License Application

Wang Xinhua, Jin Gang, Zhao Xijun, and Gao Shangcheng

(BeijingCertificateAuthorityCo.Ltd,Beijing100080)

With the rapid development of information technology, social life and government public works are also shifting. In order to improve the administrative efficiency and service level, government began to push forward the Electronic license, so as to promote web-based applications. The authenticity and credibility of credible Electronic license are the key to put an end to false license and to guarantee web-based applications. The article combined the electronic authentication technology and the credible legal basis for the electronic license, used the two-dimensional code and digital signature technology, discussed the technology of electronic authentication in trusted electronic certification application scenarios from the generation of credible electronic license, the security of elimination false license’s printing, verification, and point out its effect.

electronic authentication; electronic license; electronic signature; QR code; digital signature

2016-05-29

TP309.2