基于網證的電子證照亮證服務關鍵技術研究

國偉 李曉婕 李恒訓 北京中盾安信科技發展有限公司

引言

2019年12月20日，為規范全國一體化在線政務服務平臺（以下簡稱一體化在線平臺）電子證照的應用和管理，實現電子證照跨地區、跨部門共享，根據《國務院關于在線政務服務的若干規定》和《國務院關于加快推進全國一體化在線政務服務平臺建設的指導意見》，結合電子證照國家標準和一體化在線平臺實際，國辦電子政務辦制定并發布了《全國一體化在線政務服務平臺電子證照管理辦法（試行）》，其中第八條、第二十二條、第二十三條、第二十四條對于電子證照的使用做出了明確要求，提出“充分依托移動端應用，實現電子亮證、授權用證、委托用證和證照驗證的便捷化。”

截至2020年3月，全國一體化政務服務平臺電子證照共享系統已經匯聚了各類電子證照861類31億張。隨著越來越多的電子證照數據的匯入，在政務業務辦理過程中，如何規范電子證照的應用和管理、保障證照數據的真實可信以及如何保護個人隱私信息，是電子證照共享服務中需要解決的重點問題。

一、基于網證的電子證照亮證服務技術方案

為滿足政務服務中對于電子證照使用的要求，解決電子證照在共享服務中存在的問題，北京中盾安信科技發展有限公司設計了基于網證的電子證照共享服務解決方案，通過在移動端生成電子證照亮證碼，提高了電子證照共享的安全性和便捷性。

（一）技術路線

電子證照亮證碼使用CTID平臺生成的網證代替身份證號等個人信息，通過統一編碼標準，統一賦碼和驗碼，與全國一體化政務服務平臺匯聚的海量電子證照數據進行關聯和綁定，生成具備身份和證照雙重屬性的快速響應二維矩陣碼。在電子證照線下亮證應用中，通過碼中的網證，實現了“人碼合一、身份共識”；通過統一碼標準和證照共享，實現全國“一碼通行”。

電子證照亮證碼采用“A+B”分段編碼標準規范，A段碼為CTID平臺簽發的網證數據區域，為亮證碼的身份屬性，體現亮證碼與人的對應關系；B段碼對應亮證人出示的電子證照標識索引數據，為亮證碼的業務屬性。數據經過二維碼加密機處理轉換為碼圖，符合國標的碼槍、普通掃碼軟件、手機掃碼APP等均可識讀后進行在線驗碼，具備了數據防篡改、防偽造的特性。

（二）電子證照亮證服務系統

1.系統架構

按照GB/T 36901-2018《電子證照總體技術框架》，電子證照系統分為基礎設施層、數據資源層、應用支撐層、業務應用層、用戶及服務層五個層次，整體架構如圖2所示。

基礎設施層提供計算及存儲、網絡、信息安全和其他軟硬件基礎設施，為電子證照系統和業務系統運行提供基礎條件；數據資源層為電子證照共享服務提供證照信息資源支撐；應用支撐層為形成和使用電子證照提供統一身份認證、統一電子印章、版式文件處理和其他共性支撐；業務應用層分為兩部分，電子證照共享服務依托證照數據資源對外提供利用服務，電子證照管理系統負責證照及其目錄信息進行管理；用戶及服務層主要是應用或生成電子證照的業務系統及其用戶。上述各層均依賴安全與運維保障體系提供支撐，同時依賴標準規范和管理制度保證各層級、各系統之間的協作。

亮證服務系統位于業務應用層中，與證照查詢系統和證照驗證系統平臺共同構成電子證照共享服務平臺，與其他系統的邏輯關系如圖3所示。

亮證服務系統由三個主要子系統組成，分別為統一接入控制網關、二維碼客戶業務接入系統和控制管理系統，整體架構如圖4所示。

統一接入控制網關，主要負責電子證照亮證服務平臺外部應用接入的控制，包含驗簽功能、鑒權功能、限流功能、服務轉發等。二維碼客戶業務接入系統（簡稱BAS）主要完成電子證照亮證二維碼的生碼、驗碼，是電子證照亮證服務平臺的核心系統。控制管理子系統負責管理接入電子證照亮證服務平臺的機構信息、限流控制、鑒權管理功能。

2.BAS系統

二維碼客戶業務接入系統（Business Access System，簡稱BAS）作為電子證照亮證服務系統的核心系統，由網證應用服務子系統和二維碼生成子系統構成，依托CTID平臺提供的可信、安全的身份核驗和認證能力，運用安全二維碼專利技術、數據加密技術，提供權威的亮證二維碼生碼和驗碼服務。

（1）BAS系統架構

BAS從上到下可分為接口層、服務層、數據層和資源層四層，如圖5所示。

接口層：BAS由網證應用服務子系統對外提供接口服務，包括服務調用申請、網證下載、身份認證、身份核驗、亮證二維生/驗碼、基礎監控、License監控等接口。

服務層：包含統一服務申請服務、亮證二維碼服務、簽名驗簽服務、網證下載服務、身份認證服務、身份核驗服務、基礎監控服務、License管理服務等組件。

數據層：包括分布式緩存、日志組件和數據庫。分布式緩存用于暫存生命周期內的亮證二維碼，在驗碼時進行快速核驗；日志組件用于記錄服務調用的過程信息和錯誤信息，采用本地文件存儲方式，提供給外部日志系統抽取。

資源層：包括運行網證應用服務子系統的應用服務器集群、運行亮證二維碼生成子系統的二維碼加密機集群，以及為保障與CTID平臺之間通信鏈路安全所需的簽名驗簽服務器集群。

（2）BAS系統業務流程

用戶先在APP上開通和下載網證保存在手機上，需要出示網證二維碼時，APP讀取保存在手機上的網證，通過APP服務端將網證和業務數據封裝并發送至BAS系統，BAS系統向CTID平臺請求到A段碼后，基于業務數據生成B段碼并使用二維碼加密機生成簽名數據。借助A段碼，實現法定強身份認證場景應用；借助B段碼，完成生態內身份與業務的關聯，如圖6所示。

在線上應用場景提供傳統身份信息核驗和身份認證功能，利用網證個人信息脫敏的特征，可充分實現前臺匿名、后臺實名的管理要求；在線下應用場景提供以網證二維碼為載體的身份通行和數據通行能力，為客戶構建數字身份生態體系提供強有力的業務支撐。

3.電子證照亮證服務流程

電子證照持證人在辦理線下業務需要提交電子證照時，首先在手機APP上通過“實名、實人”認證后，查看個人電子證照數據，勾選需要提交的電子證照名稱，由電子證照亮證服務平臺生成亮照二維碼并顯示在手機端，然后由用證機構使用掃描設備掃描亮照二維碼，向電子證照亮證服務平臺發起身份認證及獲取持證人授權的電子證照標識，根據電子證照標識從電子證照共享服務平臺獲取電子證照目錄數據和版式文件，具體流程如圖7所示。

為了掌握和控制工程建設過程中水土流失動態變化情況，全面了解各項措施實施與防治效果，最大限度地減少新增水土流失量，在設計中設置了必要的水土流失監測措施。監測對象主要是棄土、棄渣場等。根據監測的原則、方法、時段、頻次等，同時考慮到本工程的特點，一般情況下，施工期對地表植被破壞面積、棄土棄渣量、水土流失類型、水土流失量、水土流失分布和水土流失危害等每月觀測二次，施工期棄土棄渣量、水土流失量、水土保持措施建設情況等每10天觀測記錄一次，當次降雨量超過50 mm時雨后加測；對植被破壞情況、水土保持植物生長情況在開工當年10月和施工結束年的9月各進行一次調查監測。

（1）出碼流程

持證人打開應用APP，進入“我的證照”界面，選擇需要授權使用的電子證照；APP側以網證、授權證照標識列表為參數，向電子證照亮證服務平臺請求生成亮證二維碼出碼。電子證照亮證服務平臺以網證為參數，向CTID平臺請求生成網證二維碼。CTID根據網證數據生成并返回網證二維碼。電子證照亮證服務平臺建立網證與證照標識的對應關系，生成包含網證+證照標識的亮證二維碼，返回給APP客戶端。APP客戶端向持證人展示亮證二維碼。

（2）驗碼流程

持證方通過APP客戶端向用證機構出示亮證二維碼；用證機構側通過二維碼掃描設備讀取亮證二維碼值，并采集人像數據，將數據發送至電子證照亮證服務平臺進行處理。電子證照亮證服務平臺從亮證二維碼值中解析出持證人網證數據和證照標識，并以網證、人像數據為參數，向CTID平臺請求身份認證。CTID平臺在處理身份認證后向網證亮證服務平臺返回認證結果。電子證照亮證服務平臺根據認證結果及用證機構提供的電子證照標識從電子證照共享服務平臺查詢電子證照數據，并返回給用證機構。

二、應用場景

（一）跨地區電子證照亮證應用

1.場景描述

居住在江蘇省南京市的張女士，居民身份證即將到期需要進行換領，但張女士戶籍在江蘇省蘇州市，因工作原因回原籍辦理費時費力。現在張女士在江蘇省南京市辦理“江蘇省內戶籍居民身份證異地換領”事項時居民身份證原件未隨身攜帶，辦理該事項需要原居民身份證作為辦理材料。

張女士在江蘇省南京市政務服務中心公安局窗口進行“江蘇省內戶籍居民身份證異地換領”事項辦理時，通過江蘇省政務服務APP電子亮證功能出示電子居民身份證亮證碼。政務服務中心窗口工作人員通過掃碼的方式，將亮證碼信息輸入到業務受理系統中，系統通過江蘇省電子證照共享服務系統獲取張女士的電子居民身份證后自動關聯引用，就不必提交居民身份證原件作為辦理材料。

跨地區電子證照共享應用，依托省級平臺提供的統一電子證照共享、統一身份認證、統一電子印章、省級政務服務APP電子亮證功能等支撐服務能力，實現辦事主體在省內異地辦事需要進行跨地區引用辦事主體電子證照時，受理系統或應用在獲得辦事主體的電子證照應用授權前提下，可關聯引用辦事主體的電子證照，無須辦事主體重復提交相關紙質材料。同時在辦事過程中，辦事主體可以以電子亮證的方式表明身份、資質、證明，替代線下實體證照核驗。

3.業務流程

（二）跨部門電子證照亮證應用

1.場景描述

趙奶奶是浙江省杭州市居民，市民卡和居民身份證在外出時丟失，現在趙奶奶需要到市民卡服務中心辦理“市民卡辦理”事項，辦理該事項需要居民身份證作為辦理材料。

趙奶奶到浙江省杭州市市民卡服務中心進行“市民卡辦理”事項申辦時，通過“浙里辦”APP電子亮證功能出示電子居民身份證亮證碼。市民卡服務中心窗口工作人員通過掃碼的方式，將亮證碼信息輸入到業務受理系統中，系統通過杭州市電子證照共享平臺獲取趙奶奶的電子居民身份證后自動關聯引用，就不必提交居民身份證原件作為辦理材料。

2.業務描述

跨部門電子證照的共享應用，依托本地區建設的統一電子證照庫或大數據平臺實現。本地區建設的統一電子證照庫或大數據平臺，通過數據歸集、比對等方式，保證各部門現有電子證照數據的統一管理，并為本地區政務服務平臺或部門自建業務系統提供電子證照共享支撐。

當辦事主體通過本地區政務服務平臺或部門自建系統進行事項申報時，相關系統在獲得辦事主體的電子證照應用授權前提下，可通過本地區電子證照共享服務自動關聯引用已有數據，從而減少辦事主體事項申報的證照材料提交。

3.業務流程

在疫情期間，國家政務服務平臺推出國家平臺“防疫信息健康碼”。受疫情影響，國辦決定基于電子證照亮證二維碼的技術方案，先行啟動國家政務服務平臺防疫健康信息碼開發工作，利用電子證照亮證服務平臺為國家政務服務平臺防疫信息健康碼提供生碼與驗碼功能。目前生碼能力達到每秒1.5萬次，驗碼能力到達每秒10.5萬次。

3月15日，國務院應對新型冠狀病毒肺炎疫情聯防聯控機制綜合組向全國下發《關于依托全國一體化政務服務平臺加快推進“健康通行碼”跨地區互通互認的通知》，明確要求各省（區、市）于3月18日前完成與全國一體化平臺防疫健康信息碼的技術對接和前端應用改造，并深入推廣“健康通行碼”互信互認應用，確保在全國范圍一碼通行。

三、總結與展望

基于網證的電子證照亮證服務，是在遵循國家相關標準的基礎上，讓群眾在證明“我是我”的前提下，以統一的可信數字身份實現電子證照業務跨地區、跨平臺互認共享，真正實現“一碼通行、一碼通辦”。隨著國家政務服務平臺電子證照共享系統的全面試行和推廣，未來基于網證的電子證照亮證服務將被廣泛應用。