工商业务系统全程电子化解决方案

2018-11-09王艳敏

网络安全技术与应用 2018年11期

◆王艳敏

工商业务系统全程电子化解决方案

◆王艳敏

(河南中医药大学河南 450046)

为保障工商网上业务系统的安全可靠，保证企业网上申报数据的安全性和合法性，解决责任认定问题，使得工商网上业务受理做到有据可查、有法可依，本文基于电子认证体系的关键要素和工商业务功能需求，按照标准化、结构化、层次化、平台化、模块化的设计思路，构建工商系统全程电子化总体架构，依托“云端”服务平台和客户端关键技术，最终建立统一电子认证服务体系，实现统一的数字证书发放与管理，为工商业务系统搭建一套完整的电子认证公共服务平台，提供身份认证、数字签名、数据加密、电子签章等安全服务。工商系统电子认证公共服务平台实现申请人通过网上系统进行数字证书申请、网上注册、网上填报登记信息、网上签名提交和登记机关对申请人提交的材料进行审查后网上核准、发照、归档，全程无需见面。

工商业务；电子认证；数字签名；电子签章

0 引言

2017年4月10日国家工商总局印发的《关于推行企业登记全程电子化工作的意见》指出，以企业登记全程便捷、高效、利民为目标，在保留窗口登记的同时，开通涵盖所有业务、适用所有企业类型的网上登记系统，使得各类型企业的设立、变更、备案、注销等各个业务环节均可通过互联网办理。

为保障工商网上业务系统的安全可靠，保证企业网上申报数据的安全性和合法性，解决责任认定问题，使工商业务受理做到有据可查、有法可依，本文建立统一电子认证服务体系，实现统一的数字证书发放与管理，为工商业务系统搭建一套完整的电子认证公共服务平台，提供身份认证、数字签名、数据加密、电子签章等安全服务。

1 需求分析

电子认证是基于PKI体系架构，以密码技术为基础，以数字证书为载体，以《中华人民共和国电子签名法》为依据，对网上用户真实身份进行识别，对网上传输的信息用高强度密码进行加密、解密、数字签名和签名验证。电子认证体系建设是网络信任体系的重要组成部分，是基础建设和保障设施之一。

（1）身份真实性鉴别

身份认证是网络安全中最重要的组成部分，也是安全体系的基础。目前最常用的身份认证技术是基于“用户名+口令”的静态单因素身份认证技术，该技术的优点是简单、易用，在一定的安全程度上可以进行有效的用户身份认证，缺点是易被破解，一旦破解将导致数据外泄和系统攻击。

为防止对工商业务系统的非授权访问，避免因非法用户造成重要敏感信息泄露或被篡改，需建设高安全性、高可靠性的用户身份认证机制，保证登录系统各类用户身份的真实性。

（2）可靠的责任认定抗抵赖机制

责任认定及抗抵赖主要是指操作人对其行为的不可抵赖性或不可否认性，在网络信息系统的信息交互过程中，确信所有参与者都不能否认或抵赖曾经完成的操作和产生的数据，防止发信方否认已发送的信息或防止接收方事后否认已经接收到的信息。

在系统业务处理过程中，涉及到重要数据的提交与管理等操作，对各项重要操作产生的数据，都应通过可靠的电子签名或电子签章保障各类重要数据的真实性与完整性，同时提供事后追踪、审核手段，使得对相关操作具有良好的可追溯性，建立起可靠的责任认定抗抵赖机制。

（3）电子签章的可靠性

推广和使用电子认证的目标是业务流程无纸化，在这个过程中，系统面临安全挑战。一是合法性问题，如何使系统上的各类数据管理、业务操作、电子文件有效地代替传统模式下的盖章和签名，并具有法律效力。二是符合传统签章业务习惯，在符合法律要求的同时，最大限度的保证用户原有印章生成、使用和管理习惯，包括电子印章的管理、监控、使用控制以及安全审计。

（4）网络空间司法取证依据

系统能够完整保存用户的电子签名数据，当出现纠纷的时候，相关司法部门可以调用取证，作为法律认可的电子证据。

2 建设目标

建立统一电子认证服务体系，实现便捷的数字证书发放与管理，为工商业务系统搭建一套完整的电子认证公共服务平台，提供身份认证、数字签名、数据加密、电子签章等安全服务，从“可信身份、可信行为、可信数据”等几个方面，提升工商业务系统的安全保障水平，构建安全可靠的数字化环境，保证电子文件的真实性、完整性、有效性。

（1）可信身份认证

解决行为人的身份凭证及凭证认证问题，通过颁发数字证书的形式解决数字证书用户人员身份凭证的真实可靠问题，实现强身份认证。

（2）可信行为

解决用户申请数据行为可追溯和抗抵赖性问题，用户在业务系统中所进行的各项关键操作，均通过电子签名或者电子签章操作，确保了行为人签名的可追溯性和抗抵赖性。

（3）可信数据

解决电子文件的保密性、完整性问题，数字证书用户和工商业务系统交互的过程中，形成了安全传输通道，确保数据传输过程的保密性和安全性。

3 业务分析

3.1 工商全程电子化登记管理系统

企业登记全程电子化实现申请人通过系统进行数字证书申请、网上注册、网上填报登记信息、网上签名提交、登记机关对申请人提交的材料进行审查后网上核准、发照、归档。面向申请人的网上注册、网上申请、电子签名等环节部署于互联网；面向工商工作人员的登记审批环节部署于专网，系统实现互联网和专网数据交换。有条件的地区，可积极创新服务模式，通过提供移动客户端等方式，提高企业登记申请的便利化服务。系统总体设计如图1。

3.2 逻辑结构

依托工商局网上登记系统，企业用户首先通过身份认证，获取第三方CA机构颁发的数字证书，然后通过外网系统申请人或其委托人可以完整地录入登记所需的要素信息。根据传入内网的数据信息，初审人员审查其准确性和有效性，符合要求的予以预审通过，不符合要求的反馈告知修改。预审通过后，申请人或其委托人填写系统自动生成的相应制式表格和自备文书，并使用数字证书进行电子盖章，网上提交相关的申请材料，工商登记人员予以受理、核准，并发放电子营业执照。

图1 企业登记管理系统总体设计图

3.3 总体结构

根据业务需求和功能需求，按照标准化、结构化、层次化、平台化、模块化的设计思路，工商系统全程电子化总体结构如图2所示。

图2 总体架构图

3.3.1电子认证中心

引入权威的第三方电子认证机构，以实现基于开放网络的企业登记全程电子化中业务各参与主体的身份认证，保障网上填报数据、用户信息数据、登记信息数据、电子档案数据的真实性、完整性、不可篡改性、安全性，参与主体行为的鉴别。

3.3.2数字证书

用户通过数字证书，包括企业用户、自然人用户、工商局内部工作人员以数字证书在业务系统登录。

3.3.3企业登记全程电子化系统

在业务系统中引入电子认证基础服务设施，包括签名验签服务器、电子签章系统。与登记全程电子化系统的业务服务器协同工作保障企业登记全程电子化业务全流程的数据、文件、行为安全。

3.4 关键技术

3.4.1“云证书”系统

包括“云端”服务平台和客户端两部分。终端用户的数字证书分别加密碎片化存储在“云端”服务平台和客户端，在使用数字证书时，通过专利算法完成登录认证、电子签名、电子签章等功能，既能保持数字证书的安全性，又具备移动APP的便捷性。“云端”服务平台基于业务支撑能力提供业务服务功能以及对外接口服务，业务支撑能力包括：应用认证、推送服务、访问控制、授权控制、密码运算服务、密钥生成及存储、证书管理等；客户端APP提供功能包括：用户注册、业务开通和退订、业务认证、认证记录查询、密码管理、版本管理等功能。

3.4.2电子签章技术

电子签章技术以先进的数字技术模拟传统实物印章，其管理、使用方式符合实物印章的习惯和体验，其加盖的电子文件具有与实物印章加盖的纸张文件相同的外观、相同的有效性和相似的使用方式。以电子化的签章代替传统的纸质签字盖章流程，帮助用户真正实现无纸化应用，可有效确认电子文档来源、确保文档的完整性、防止对文档未经授权的篡改、确保签名行为的不可否认。

4 关键业务流程

为保障工商网上业务系统的安全可靠，根据《中华人民共和国电子签名法》和《电子认证服务管理规定》的相关条款，采用电子认证技术，能够保证企业网上申报数据的安全性和合法性，解决有关责任认定的问题，使工商受理做到有据可查、有法可依。电子认证主要实现以下功能：

4.1 证书申请

用户下载并安装“云证书”客户端；打开APP，点击注册，输入手机号码、手机验证码；登录APP后，提示用户展示身份证，通过OCR识别并获取姓名、身份证号、头像等个人关键信息并保存至数据库；启动活体检测程序，通过提示用户进行张嘴、眨眼等动作，判断活体，同时抓拍一张照片，和身份证上的照片进行比对；将身份证上识别的姓名、身份证号以及身份证头像与公安部人口库数据进行比对，返回比对结果；比对成功，发放数字证书。比对失败，重新进行身份识别。

4.2 证书登录

4.2.1手机APP模式下登录

“云证书”系统客户端以SDK软件包的形式集成到工商APP产品中。在工商APP进行登录认证操作时，通过调用“云证书”SDK进行确认，从而完成登录认证的过程。其登录流程：用户申请登录业务系统，工商APP调用“云证书”SDK信息；工商APP携带数字证书信息，向业务系统发起登录请求；业务系统将用户请求信息发送到后台认证系统进行验证；将验证结果返回业务系统，确定是否合法用户，允许或者拒绝其登录。

4.2.2PC端WEB应用调用“云证书”登录

工商业务系统在Web登录页面除了传统的证书登录外，还集成了二维码登录功能。用户打开“云证书”客户端APP，扫描二维码，并输入数字证书的PIN码经过认证后实现登录。登录步骤：PC端业务系统在Web登录界面生成登录二维码；用户通过“云证书”APP扫描二维码，输入保护PIN码；“云证书”APP发送登录请求信息到后台认证系统，对用户身份信息进行验证；后台认证系统验证用户身份，将验证结果发送到业务系统后台；.业务系统后台根据认证结果，允许或者拒绝用户登录。

4.3 电子签名

4.3.1工商APP调用“云证书”签名

工商APP用户登录系统后，在进行业务操作时，调用“云证书”进行签名盖章，提交给业务平台；业务平台通过后台的电子组件验证签名的有效性，验证通过之后保存到后台存储服务器。

工商工作人员可以通过PC端的USBkey登录业务系统进行受理，也可以通过手机登录移动APP客户端进行业务受理。包含以下流程：用户阅读需要签名的文档信息并确认；工商APP调用“云证书”SDK软件包，输入保护PIN码；用户对文档进行签名/盖章操作；签名/盖章后的文档上载到业务平台，经过后台验证后进行存储；工商工作人员可以通过手机APP或者在PC端登录业务系统进行处理。

4.3.2PC端Web应用调用“云证书”签名

在PC扫码登录后，进行业务操作确认，在关键环节进行签名操作，通过“云证书”APP客户端，扫描二维码，并输入PIN码，实现签名确认。包含以下流程：应用系统调用“云证书”API，申请签名二维码，返回二维码URL地址；应用系统发送二维码到浏览器，浏览器展现二维码图片；用户打开“云证书”APP客户端，点击扫码；用户输入密钥保护口令或指纹，获取密钥操作权限；“云证书”系统对扫码获取的Hash值进行签名；签名值通过“云证书”后台系统发送到业务系统进行签名合成；Web操作界面提示“签名完成”，流程结束。