工商業務系統全程電子化解決方案

◆王艷敏

?

工商業務系統全程電子化解決方案

◆王艷敏

(河南中醫藥大學 河南 450046)

為保障工商網上業務系統的安全可靠，保證企業網上申報數據的安全性和合法性，解決責任認定問題，使得工商網上業務受理做到有據可查、有法可依，本文基于電子認證體系的關鍵要素和工商業務功能需求，按照標準化、結構化、層次化、平臺化、模塊化的設計思路，構建工商系統全程電子化總體架構，依托“云端”服務平臺和客戶端關鍵技術，最終建立統一電子認證服務體系，實現統一的數字證書發放與管理，為工商業務系統搭建一套完整的電子認證公共服務平臺，提供身份認證、數字簽名、數據加密、電子簽章等安全服務。工商系統電子認證公共服務平臺實現申請人通過網上系統進行數字證書申請、網上注冊、網上填報登記信息、網上簽名提交和登記機關對申請人提交的材料進行審查后網上核準、發照、歸檔，全程無需見面。

工商業務；電子認證；數字簽名；電子簽章

0 引言

2017年4月10日國家工商總局印發的《關于推行企業登記全程電子化工作的意見》指出，以企業登記全程便捷、高效、利民為目標，在保留窗口登記的同時，開通涵蓋所有業務、適用所有企業類型的網上登記系統，使得各類型企業的設立、變更、備案、注銷等各個業務環節均可通過互聯網辦理。

為保障工商網上業務系統的安全可靠，保證企業網上申報數據的安全性和合法性，解決責任認定問題，使工商業務受理做到有據可查、有法可依，本文建立統一電子認證服務體系，實現統一的數字證書發放與管理，為工商業務系統搭建一套完整的電子認證公共服務平臺，提供身份認證、數字簽名、數據加密、電子簽章等安全服務。

1 需求分析

電子認證是基于PKI體系架構，以密碼技術為基礎，以數字證書為載體，以《中華人民共和國電子簽名法》為依據，對網上用戶真實身份進行識別，對網上傳輸的信息用高強度密碼進行加密、解密、數字簽名和簽名驗證。電子認證體系建設是網絡信任體系的重要組成部分，是基礎建設和保障設施之一。

（1）身份真實性鑒別

身份認證是網絡安全中最重要的組成部分，也是安全體系的基礎。目前最常用的身份認證技術是基于“用戶名+口令”的靜態單因素身份認證技術，該技術的優點是簡單、易用，在一定的安全程度上可以進行有效的用戶身份認證，缺點是易被破解，一旦破解將導致數據外泄和系統攻擊。

為防止對工商業務系統的非授權訪問，避免因非法用戶造成重要敏感信息泄露或被篡改，需建設高安全性、高可靠性的用戶身份認證機制，保證登錄系統各類用戶身份的真實性。

（2）可靠的責任認定抗抵賴機制

責任認定及抗抵賴主要是指操作人對其行為的不可抵賴性或不可否認性，在網絡信息系統的信息交互過程中，確信所有參與者都不能否認或抵賴曾經完成的操作和產生的數據，防止發信方否認已發送的信息或防止接收方事后否認已經接收到的信息。

在系統業務處理過程中，涉及到重要數據的提交與管理等操作，對各項重要操作產生的數據，都應通過可靠的電子簽名或電子簽章保障各類重要數據的真實性與完整性，同時提供事后追蹤、審核手段，使得對相關操作具有良好的可追溯性，建立起可靠的責任認定抗抵賴機制。

（3）電子簽章的可靠性

推廣和使用電子認證的目標是業務流程無紙化，在這個過程中，系統面臨安全挑戰。一是合法性問題，如何使系統上的各類數據管理、業務操作、電子文件有效地代替傳統模式下的蓋章和簽名，并具有法律效力。二是符合傳統簽章業務習慣，在符合法律要求的同時，最大限度的保證用戶原有印章生成、使用和管理習慣，包括電子印章的管理、監控、使用控制以及安全審計。

（4）網絡空間司法取證依據

系統能夠完整保存用戶的電子簽名數據，當出現糾紛的時候，相關司法部門可以調用取證，作為法律認可的電子證據。

2 建設目標

建立統一電子認證服務體系，實現便捷的數字證書發放與管理，為工商業務系統搭建一套完整的電子認證公共服務平臺，提供身份認證、數字簽名、數據加密、電子簽章等安全服務，從“可信身份、可信行為、可信數據”等幾個方面，提升工商業務系統的安全保障水平，構建安全可靠的數字化環境，保證電子文件的真實性、完整性、有效性。

（1）可信身份認證

解決行為人的身份憑證及憑證認證問題，通過頒發數字證書的形式解決數字證書用戶人員身份憑證的真實可靠問題，實現強身份認證。

（2）可信行為

解決用戶申請數據行為可追溯和抗抵賴性問題，用戶在業務系統中所進行的各項關鍵操作，均通過電子簽名或者電子簽章操作，確保了行為人簽名的可追溯性和抗抵賴性。

（3）可信數據

解決電子文件的保密性、完整性問題，數字證書用戶和工商業務系統交互的過程中，形成了安全傳輸通道，確保數據傳輸過程的保密性和安全性。

3 業務分析

3.1 工商全程電子化登記管理系統

企業登記全程電子化實現申請人通過系統進行數字證書申請、網上注冊、網上填報登記信息、網上簽名提交、登記機關對申請人提交的材料進行審查后網上核準、發照、歸檔。面向申請人的網上注冊、網上申請、電子簽名等環節部署于互聯網；面向工商工作人員的登記審批環節部署于專網，系統實現互聯網和專網數據交換。有條件的地區，可積極創新服務模式，通過提供移動客戶端等方式，提高企業登記申請的便利化服務。系統總體設計如圖1。

3.2 邏輯結構

依托工商局網上登記系統，企業用戶首先通過身份認證，獲取第三方CA機構頒發的數字證書，然后通過外網系統申請人或其委托人可以完整地錄入登記所需的要素信息。根據傳入內網的數據信息，初審人員審查其準確性和有效性，符合要求的予以預審通過，不符合要求的反饋告知修改。預審通過后，申請人或其委托人填寫系統自動生成的相應制式表格和自備文書，并使用數字證書進行電子蓋章，網上提交相關的申請材料，工商登記人員予以受理、核準，并發放電子營業執照。

圖1 企業登記管理系統總體設計圖

3.3 總體結構

根據業務需求和功能需求，按照標準化、結構化、層次化、平臺化、模塊化的設計思路，工商系統全程電子化總體結構如圖2所示。

圖2 總體架構圖

3.3.1電子認證中心

引入權威的第三方電子認證機構，以實現基于開放網絡的企業登記全程電子化中業務各參與主體的身份認證，保障網上填報數據、用戶信息數據、登記信息數據、電子檔案數據的真實性、完整性、不可篡改性、安全性，參與主體行為的鑒別。

3.3.2數字證書

用戶通過數字證書，包括企業用戶、自然人用戶、工商局內部工作人員以數字證書在業務系統登錄。

3.3.3企業登記全程電子化系統

在業務系統中引入電子認證基礎服務設施，包括簽名驗簽服務器、電子簽章系統。與登記全程電子化系統的業務服務器協同工作保障企業登記全程電子化業務全流程的數據、文件、行為安全。

3.4 關鍵技術

3.4.1“云證書”系統

包括“云端”服務平臺和客戶端兩部分。終端用戶的數字證書分別加密碎片化存儲在“云端”服務平臺和客戶端，在使用數字證書時，通過專利算法完成登錄認證、電子簽名、電子簽章等功能，既能保持數字證書的安全性，又具備移動APP的便捷性。“云端”服務平臺基于業務支撐能力提供業務服務功能以及對外接口服務，業務支撐能力包括：應用認證、推送服務、訪問控制、授權控制、密碼運算服務、密鑰生成及存儲、證書管理等；客戶端APP提供功能包括：用戶注冊、業務開通和退訂、業務認證、認證記錄查詢、密碼管理、版本管理等功能。

3.4.2電子簽章技術

電子簽章技術以先進的數字技術模擬傳統實物印章，其管理、使用方式符合實物印章的習慣和體驗，其加蓋的電子文件具有與實物印章加蓋的紙張文件相同的外觀、相同的有效性和相似的使用方式。以電子化的簽章代替傳統的紙質簽字蓋章流程，幫助用戶真正實現無紙化應用，可有效確認電子文檔來源、確保文檔的完整性、防止對文檔未經授權的篡改、確保簽名行為的不可否認。

4 關鍵業務流程

為保障工商網上業務系統的安全可靠，根據《中華人民共和國電子簽名法》和《電子認證服務管理規定》的相關條款，采用電子認證技術，能夠保證企業網上申報數據的安全性和合法性，解決有關責任認定的問題，使工商受理做到有據可查、有法可依。電子認證主要實現以下功能：

4.1 證書申請

用戶下載并安裝“云證書”客戶端；打開APP，點擊注冊，輸入手機號碼、手機驗證碼；登錄APP后，提示用戶展示身份證，通過OCR識別并獲取姓名、身份證號、頭像等個人關鍵信息并保存至數據庫；啟動活體檢測程序，通過提示用戶進行張嘴、眨眼等動作，判斷活體，同時抓拍一張照片，和身份證上的照片進行比對；將身份證上識別的姓名、身份證號以及身份證頭像與公安部人口庫數據進行比對，返回比對結果；比對成功，發放數字證書。比對失敗，重新進行身份識別。

4.2 證書登錄

4.2.1手機APP模式下登錄

“云證書”系統客戶端以SDK軟件包的形式集成到工商APP產品中。在工商APP進行登錄認證操作時，通過調用“云證書”SDK進行確認，從而完成登錄認證的過程。其登錄流程：用戶申請登錄業務系統，工商APP調用“云證書”SDK信息；工商APP攜帶數字證書信息，向業務系統發起登錄請求；業務系統將用戶請求信息發送到后臺認證系統進行驗證；將驗證結果返回業務系統，確定是否合法用戶，允許或者拒絕其登錄。

4.2.2PC端WEB應用調用“云證書”登錄

工商業務系統在Web登錄頁面除了傳統的證書登錄外，還集成了二維碼登錄功能。用戶打開“云證書”客戶端APP，掃描二維碼，并輸入數字證書的PIN碼經過認證后實現登錄。登錄步驟：PC端業務系統在Web登錄界面生成登錄二維碼；用戶通過“云證書”APP掃描二維碼，輸入保護PIN碼；“云證書”APP發送登錄請求信息到后臺認證系統，對用戶身份信息進行驗證；后臺認證系統驗證用戶身份，將驗證結果發送到業務系統后臺；.業務系統后臺根據認證結果，允許或者拒絕用戶登錄。

4.3 電子簽名

4.3.1工商APP調用“云證書”簽名

工商APP用戶登錄系統后，在進行業務操作時，調用“云證書”進行簽名蓋章，提交給業務平臺；業務平臺通過后臺的電子組件驗證簽名的有效性，驗證通過之后保存到后臺存儲服務器。

工商工作人員可以通過PC端的USBkey登錄業務系統進行受理，也可以通過手機登錄移動APP客戶端進行業務受理。包含以下流程：用戶閱讀需要簽名的文檔信息并確認；工商APP調用“云證書”SDK軟件包，輸入保護PIN碼；用戶對文檔進行簽名/蓋章操作；簽名/蓋章后的文檔上載到業務平臺，經過后臺驗證后進行存儲；工商工作人員可以通過手機APP或者在PC端登錄業務系統進行處理。

4.3.2PC端Web應用調用“云證書”簽名

在PC掃碼登錄后，進行業務操作確認，在關鍵環節進行簽名操作，通過“云證書”APP客戶端，掃描二維碼，并輸入PIN碼，實現簽名確認。包含以下流程：應用系統調用“云證書”API，申請簽名二維碼，返回二維碼URL地址；應用系統發送二維碼到瀏覽器，瀏覽器展現二維碼圖片；用戶打開“云證書”APP客戶端，點擊掃碼；用戶輸入密鑰保護口令或指紋，獲取密鑰操作權限；“云證書”系統對掃碼獲取的Hash值進行簽名；簽名值通過“云證書”后臺系統發送到業務系統進行簽名合成；Web操作界面提示“簽名完成”，流程結束。

4.4 企業登記和營業執照申請

根據《工商總局關于推行企業登記全程電子化工作的意見》和修訂的文書規范，支持包括內資、外資、個人獨資企業、合伙企業等市場主體的網上注冊登記業務，企業登記全程電子化流程主要涉及網上申請注冊、網上填報、受理核發、執照發放、歸檔。

用戶憑數字證書登錄工商企業登記管理系統，通過在線填報公司基本信息、投資人信息、財務負責人信息、公司章程、董事信息等基本相關信息，生成整套的PDF格式電子申請材料，其他公司股東憑證書登錄系統，流轉簽名蓋章后，完成后提交審核。

4.5 電子營業執照的生成和發放

用戶提交申請后，由工商局工作人員對所遞交的材料進行審核。通過后點擊“生成電子營業執照”按鈕，系統根據企業相關申請信息，生成PDF格式的營業執照模板，然后調用國家工商總局數字證書進行電子簽章操作。生成的電子營業執照保存在工商業務系統數據庫，用戶可以通過Web頁面或者APP查看、下載和打印。

5 方案優勢

5.1 無介質、無費用

“云證書”利用移動終端來實現傳統U盾的功能，取代了硬件介質USBKey，方便用戶。同時針對用戶所發放的“云證書”不收取任何費用。

5.2 便民利民效率高

通過在線電子營業執照系統提交申請，借助“云證書”實現電子文檔的蓋章簽名功能，不僅省去了用戶往返柜臺辦理的麻煩，也大大提升工商內部工作人員的工作效率。

5.3 身份真實性確認

“云證書”是一種權威性的電子文檔，是由權威公正的第三方CA機構頒發，它能提供在互聯網上進行身份驗證的功能，確保登錄用戶身份的真實性、可靠性。

5.4 建立可靠的責任認定抗抵賴機制

在系統業務處理過程中，涉及到重要數據的提交與管理等操作，對各項重要操作產生的數據，都通過可靠的電子簽名或電子簽章保障各類重要數據的真實性與完整性，同時提供事后追蹤、審核手段，使得對相關操作具有良好的可追溯性，建立起可靠的責任認定抗抵賴機制。

5.5 網絡空間司法取證依據

系統能夠完整保存用戶的電子簽名數據，當出現糾紛的時候，相關司法部門可以調用取證，作為法律認可的電子證據。

[1]劉旭，白波.GB/T 35289-2017《信息安全技術 電子認證服務機構服務質量規范》[J].標準生活，2018.

[2]賈偉峰.電子認證服務在云環境下的應用研究[J].網絡安全技術與應用，2017.

[3]荊繼武，劉麗敏.電子認證走進2.0時代[J].信息安全研究，2017.

[4]崔靖昀，陳煒美.基于“互聯網+電子認證”技術的檢驗檢測報告服務平臺研發[J].中國特種設備安全，2016.

[5]王紹剛，劉海法，王申，寧紅宙，張慶勝.基于USBKey的電子認證在國產操作系統應用技術方法[J].信息安全研究，2016.

[6]王新華，金剛，趙喜軍，高尚成.電子認證在可信電子證照中的應用[J].信息安全研究，2016.

[7]王勇，岑榮偉，郭紅，李新友.國家電子政務外網電子認證系統SM2國密算法升級改造方案研究[J].信息網絡安全，2012.