電子認證在可信電子證照中的應用

王新華 金 剛 趙喜軍 高尚成

(北京數字認證股份有限公司 北京 100080)

?

電子認證在可信電子證照中的應用

王新華 金 剛 趙喜軍 高尚成

(北京數字認證股份有限公司 北京 100080)

(wangxinhua@bjca.org.cn)

隨著信息技術的快速發展，公眾社會生活和政府運作方式也在發生轉變，政府為提高行政效率和服務水平，現開始大力推行電子證照的服務模式，從而推進網絡化應用.可信電子證照的真實性、可信性是杜絕假證假照泛濫，保障網絡化應用的關鍵.結合電子認證技術、可信電子證照的法律基礎，運用二維碼與數字簽名的結合，從可信電子證照的生成、防偽杜絕假證假照泛濫打印、驗證3個方面論述了電子認證技術在可信電子證照中的應用場景，并指出電子認證的應用效果.

電子認證；電子證照；電子簽名；QR二維碼；數字簽名

隨著互聯網、移動互聯網的發展，以電腦、網絡、通信為主的信息技術，正在深刻地影響著社會生活和政府運作的方式.為創新政務工作模式，提高行政效率和服務水平，政府正在普遍推行電子證照和全流程電子化登記管理改革，推進公眾在線應用電子證照辦理行政審批業務，推進各級行政機關開展全流程電子化、網絡化應用等.

在傳統的行政審批中，人們通過提交紙質證照證明自身的真實性，行政審批人員通過人工手段鑒別證照的真實性，而隨著電子證照、電子化審批的推進，人們將采用電子證照來證明自身在非互見面環境的真實性.在開放的互聯網環境中，電子掃描、圖片技術的普及大大降低偽造電子證照、紙質證照的成本，滋生了假證假照泛濫現象.這種現象究其原因是證照的生成、使用、管理中防偽、真偽鑒別等存在問題，造成證照的可信低，往往需要更多的證照來佐證.為了從根本上解決證照存在的問題，就要解決證照的可信問題，即能順應電子政務電子化潮流，又可提高辦公的效率，還能更方便地為百姓服務.

1 電子證照的可信需求

目前，政府部門和取得法定資質的第三方服務機構發放的證照分為傳統的紙質證照和電子證照2種，在現階段仍保持著2種形態證照的共存.證照包含了證照編號、單位名稱、有效期和說明等內容，并在右下角加蓋發放機構或單位的公章.傳統的紙質證照是將證照信息以特殊紙張打印輸出的證照.電子證照是遵循相關技術規范的數字形態的證照，由計算機等電子設備形成、辦理、傳輸和存儲的證照信息記錄.通俗來講，電子證照是傳統紙質證照的電子化形態.

在現實的應用中，電子證照的可信程度直接影響電子證照的實際應用.如果證照缺少可信的電子化驗證手段，那么用戶提交的證照仍然存在證照被偽造、信息被篡改的可能性，無法被直接使用[3].同樣，采用普通的電子信息存儲方式仍然存在證照被偽造的可能.為了保障電子證照的可信性，首先要確保電子證照與傳統紙質證照具有同等的法律效果，而被法律認可；同時，要保證證照的真實性、防偽性，需要對存儲在電子證照上的電子信息增加安全保護，保證電子信息的安全性，保障紙質信息與電子信息的準確綁定，實現紙質證書與電子信息的雙向互驗.

2 基于電子認證的可信電子證照技術

2.1 電子認證技術簡介

電子簽名(即數字簽名)是在數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據，保障數據電文的真實性、可信性、不可否認性等安全特性.

2.2 電子認證的法律基礎

2005年我國正式頒布并實行了《中華人民共和國電子簽名法》(以下簡稱《電子簽名法》)[1].該法明確規定了電子數據和電子簽名的法律效力，并給出了電子簽名被法律認證條件，為可信電子化文檔被認可提供了法律依據.《電子簽名法》明確規定了可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力，且不得拒絕數據電文作為證據使用.具體要求如下：

1) 書面形式.數據電文格式”固定”,能夠隨時調取.

2) 原件形式.數據電文形式發生改變，能夠還原.

3) 保存形式.數據電文的生成時間和簽名一起儲存.

因此，可靠電子簽名是數據電文具有法律效力的必要條件，而可靠電子簽名可簡單歸納為：

1) 采取合法、可信的第三方電子認證機構簽發的數字證書；

2) 采用基于可靠PKI體系的數字簽名技術；

3) 使用符合規定的簽名設備.

由此可知，可信電子證照的關鍵是對電子證照信息的可靠電子簽名.可靠電子簽名可通過可信二維碼技術實現，并將可靠電子簽名數據包含在可信二維碼中.

2.3 可信二維碼技術

北京數字認證股份有限公司(簡稱“BJCA”)發明的“一種檢驗紙制文檔的內容是否被篡改的方法”專利技術中提出：“將二維碼與數字簽名的結合使用，提供一種檢驗紙制文檔內容是否被篡改的方法，解決電子文檔打印輸出為紙制文檔后文檔內容真實性和有效性驗證的問題.”[2].

通過采用BJCA的“一種檢驗電子文檔內容是否被篡改的方法”專利技術方法[4]，實現可信二維碼，即能解決電子文檔的防偽、真偽鑒別問題，又能解決電子文檔打印輸出為紙制文檔后文檔內容真實性和有效性驗證的問題，并保證了紙質文書信息的快速識別.進而，保障輸出的紙質文檔與電子文檔的一致性.

在可信二維碼中，采用QR碼作為二維碼的技術標準.QR碼(即二維碼)的“QR”是Quick Response 的縮寫.QR碼與其他二維碼相比，具有識讀速度快、數據密度大、占用空間小的優勢.可信二維碼中存儲的內容如圖1所示，包括電子證照的基本信息、數字簽名、數字證書等信息[5].

圖1 二維碼存儲內容組成

從圖1可以看出，可信二維碼將二維碼圖片內的存儲區域劃分為多個區域，存儲相應的信息.通過國家密碼局認可的SM2算法實現對存儲信息的數字簽名，實現電子文檔信息的安全性、防篡改性.

3 電子認證技術的應用

可信電子證照通過采用符合《電子簽名法》的可靠電子簽名要求的可信二維碼技術與電子證照形態的結合，采用國家認可的第三方電子認證服務機構頒發的數字證書，生成可信二維碼，并將可信二維碼融合到電子證照中，保障電子證照的合法性、可信性、防偽性.

從業務流程上，基于數字簽名的可信二維碼包括組織原文信息、對原文信息數字簽名、打印帶二維碼的電子證照以及簽名后數據的安全驗證.

3.1 可信電子證照的生成

可信電子證照的生成采用基于數字簽名生成的二維碼圖片附加到電子證照圖片，生成帶有可信二維碼的可信電子證照，包括組織原文信息和對原文信息數字簽名同，涉及以下幾個步驟：

1) 采集原文信息

二維碼中的原文信息為電子證照的基本內容，對電子證照或紙質證照上的內容按固定格式進行組織，生成二維碼的原文信息.

二維碼原文信息的采集需要采用專用的二維碼生成程序，并根據實際電子證照形式設計二維碼原文信息采集模板，并按照二維碼原文信息采集模板進行設計.

2) 原文信息數字簽名

為了加強電子證照的防篡改性，需要對二維碼中的信息進行數字簽名，簽名內容為組織后的二維碼原文，簽名時，使用由第三方電子認證服務機構為電子證照發放機構簽發的機構簽名數字證書.

通過使用專用的二維碼生成程序對二維碼的原文信息進行數字簽名.簽名后生成帶有原文信息、簽名結果和模板信息的二維碼圖片，并由電子證照的發放機構加載到電子證照中，形成可信的電子證照.

3.2 可信電子證照的防偽打印

證照在現階段各個使用環境存在紙質證照和電子證照2種形態證照的并存，仍需要將可信電子證照進行紙質證照輸出.

對于可信電子證照的輸出打印可以沿用原有的證照紙質件打印方式.

首先，通過將基于帶數字簽名生成的二維碼圖片直接附加到電子證照中，形成帶有可信二維碼的可信電子證照.

最后，通過證照專用打印設備直接打印可信電子證照，輸出紙質證照.

帶有可信二維碼的紙質證照可通過移動端二維碼掃描功能、條碼槍、專用二維碼掃描器對紙質證照上的二維碼進行掃碼，通過專用的可信電子掃碼證照驗證、對比紙質證照信息，進而對紙質證照進行鑒別.如圖2所示：

圖2 可信電子證照的防偽打印

3.3 可信電子證照的驗證

由于目前通用的二維碼驗證程序一般只支持對二維碼原文信息的讀取功能，無法驗證帶有數字簽名的二維碼，因此，需要采用專用的二維碼驗證工具，即可信電子證照核驗工具.

政府部門和取得法定資質的第三方服務機構發放的電子證照由于其公開性特點，需要驗證其二維碼簽名的用戶可能是電子證照的使用方、提供方和其他群體.其對二維碼驗證所使用的硬件環境會比較復雜，大致可分為以下2類：

1) 基于移動終端設備驗證

目前，基于移動終端的二維碼驗證方式比較普通，是可操作性強、使用簡單的一種驗證方式.移動終端通過運行二維碼驗證程序可對電子證照上的二維碼進行掃描，二維碼掃描后對掃描的二維碼進行數字簽名驗證.

2) 使用專用的二維碼讀取設備驗證

除移動終端外，對二維碼的驗證還可以使用專用的二維碼掃描設備(如二維碼掃碼槍)讀取二維碼，并進行驗證.

二維碼掃描成功后驗證程序調用附帶在模板中的簽名證書，對二維碼簽名進行驗證.簽名驗證成功后按照電子證照組織信息，顯示電子證照的內容，并提示驗證成功.如果簽名驗證失敗則直接提示“二維碼簽名驗證未通過”.

結合電子證照的使用場景和使用特點，在以上2種二維碼驗證方式中，基于移動終端設備的二維碼驗證是首選方式.

4 結束語

通過在電子證照中增加帶有數字簽名的可信二維碼形成的可信電子證照，不但可以實現對證照的電子化驗證，杜絕證書被偽造、信息被篡改的可能性；又可對紙質證照、電子證照與證照的電子信息進行雙向互驗及電子證照自身驗證，實現紙質信息、電子證照與電子信息的綁定，保證了可信電子證照的真實性.如果紙質證照、電子證照的信息被篡改，便可通過基于PKI體系的簽名驗證發現.

總之，伴隨互聯網+政務服務改革的到來，全面推行全程全網的政務服務電子化，實現政務業務向電子化、網絡化遷移.可信電子證照是政務業務改革的必要環節.基于電子認證技術的可信電子證照即確保了電子證照的可信性，又保證了打印后的紙質證照和電子證照的記錄信息的一致性，解決了互聯網環境的證照可信問題，為推進電子證照應用奠定了基礎，掃清了政策和法律屏障.

[1]中華人民共和國電子簽名法[OL]. [2015-04-01]. http:www.gov.cnflfg2005-0627content_9785.htm

[2]北京數字認證股份有限公司. 一種檢驗紙質文檔內容是否被篡改的方法: 中國, CN200710152342[P]. 2009-12-02

[3]白穎, 韓立洋. 電子證照檔案管理存在問題及對策分析[J]. 北京檔案, 2015 (9): 37-38

[4]于英政. QR二維碼相關技術的研究[D]. 北京: 北京交通大學, 2014

[5]龍建明, 鄭瑩娜, 肖本海. QR二維碼電子保章信息加密與防偽應用研究[J]. 計算機與數學工程, 2015 (8): 1477-1480王新華

北京數字認證股份有限公司解決方案中心總監，資深專家，主要研究方向為信息安全.

wangxinhua@bjca.org.cn

金 剛

高級工程師，主要研究方向為信息安全.

jingang@bjca.org.cn

趙喜軍

高級工程師，主要研究方向為信息安全.

zhaoxijun@bjca.org.cn

高尚成

高級工程師，主要研究方向為信息安全.

gaoshangcheng@bjca.org.cn

Electronic Authentication in a Trusted Electronic License Application

Wang Xinhua, Jin Gang, Zhao Xijun, and Gao Shangcheng

(BeijingCertificateAuthorityCo.Ltd,Beijing100080)

With the rapid development of information technology, social life and government public works are also shifting. In order to improve the administrative efficiency and service level, government began to push forward the Electronic license, so as to promote web-based applications. The authenticity and credibility of credible Electronic license are the key to put an end to false license and to guarantee web-based applications. The article combined the electronic authentication technology and the credible legal basis for the electronic license, used the two-dimensional code and digital signature technology, discussed the technology of electronic authentication in trusted electronic certification application scenarios from the generation of credible electronic license, the security of elimination false license’s printing, verification, and point out its effect.

electronic authentication; electronic license; electronic signature; QR code; digital signature

2016-05-29

TP309.2