電子證照庫(kù)對(duì)外服務(wù)的安全管控

虞越，王虎

（萬(wàn)達(dá)信息股份有限公司，上海 200000）

0 引言

“互聯(lián)網(wǎng)+政務(wù)服務(wù)”背景下，電子證照管理服務(wù)需求迫切。為解決電子證照管理規(guī)范化以及電子證照地區(qū)跨部門(mén)、跨部門(mén)互通互認(rèn)問(wèn)題，提出基于區(qū)塊鏈技術(shù)的電子證照管理服務(wù)模型并進(jìn)行安全性分析，從而為電子證照擁有者以及相關(guān)應(yīng)用系統(tǒng)提供便捷的子證照服務(wù)。

1 電子證照庫(kù)對(duì)外服務(wù)中的安全問(wèn)題

1.1 網(wǎng)絡(luò)傳輸過(guò)程中的安全隱患

有些移動(dòng)端應(yīng)用需要使用電子證照，必需通過(guò)互聯(lián)網(wǎng)訪問(wèn)電子證照接口，即使做了源地址綁定，但在傳輸過(guò)程中由于會(huì)經(jīng)過(guò)很多無(wú)法控制的網(wǎng)絡(luò)設(shè)備，數(shù)據(jù)仍有可能被劫持和竊取。如果敏感數(shù)據(jù)以明文方式傳輸風(fēng)險(xiǎn)巨大，只要劫獲數(shù)據(jù)，就能直接使用數(shù)據(jù)。如果劫獲的數(shù)據(jù)累積到一定量，還會(huì)成為一部分居心叵測(cè)的人謀利的手段[1]。

1.2 未經(jīng)持證人授權(quán)使用證照的安全隱患

用證單位要使用持證人的電子證照，需要從持證人處獲得身份證號(hào)，常用的方式就是通過(guò)身份證讀卡器，不掃描身份證是無(wú)法獲取用戶身份證號(hào)的，這種看似安全的手段，實(shí)際上蘊(yùn)含著很?chē)?yán)重的漏洞。首先，從身份證讀卡器帶出的身份證號(hào)為明文數(shù)據(jù)，這個(gè)數(shù)據(jù)從讀卡器中通過(guò)I/O 傳輸?shù)娇蛻魴C(jī)上，這部分尚能控制安全，接下來(lái)如果要從客戶端傳輸?shù)椒?wù)端，完全由證照使用方來(lái)控制，如果管控不好，未在傳輸中對(duì)明文數(shù)據(jù)進(jìn)行加密，很容易被網(wǎng)絡(luò)竊取，也有可能會(huì)被利用通過(guò)偽造他人身份證號(hào)透過(guò)不安全的訪問(wèn)請(qǐng)求，獲取指定人的證照數(shù)據(jù)。其次，由于使用方是通過(guò)明文身份證號(hào)來(lái)調(diào)用電子證照庫(kù)接口，這樣調(diào)用方的開(kāi)發(fā)人員如果在非授權(quán)情況下私自訪問(wèn)他人的電子證照，是完全無(wú)法管控的，使用方開(kāi)發(fā)人員甚至可以將證照庫(kù)接口進(jìn)行二次封裝，并向他人提供證照數(shù)據(jù)訪問(wèn)服務(wù)以此謀利，造成數(shù)據(jù)嚴(yán)重泄漏。雖然以上情況可以通過(guò)嚴(yán)格管理制度來(lái)約束使用方的規(guī)范使用，但未能在技防上更進(jìn)一步，一旦發(fā)生數(shù)據(jù)泄漏問(wèn)題，只能通過(guò)事后追責(zé)的方式來(lái)處理問(wèn)題，但實(shí)際已經(jīng)造成的損失已不可挽回，嚴(yán)重會(huì)影響政府在公眾面前的形象[2]。

1.3 越權(quán)使用證照的安全隱患

為了方便證照的使用，一般情況下只需要亮電子身份證，就可以獲取用戶的其它各類(lèi)證照。雖然全局方面有對(duì)證照使用方設(shè)置可使用證照的權(quán)限，但是涉及具體業(yè)務(wù)仍有可能越權(quán)使用證照。比如某個(gè)辦事人員所涉業(yè)務(wù)只能使用用戶的身份證，但是如果該部門(mén)的權(quán)限中有結(jié)婚證的使用權(quán)限，則該業(yè)務(wù)人員就可以通過(guò)系統(tǒng)來(lái)訪問(wèn)結(jié)婚證。

2 電子證照庫(kù)對(duì)外服務(wù)安全問(wèn)題的解決方案

2.1 網(wǎng)絡(luò)傳輸中使用加密技術(shù)和訪問(wèn)控制

雖然只是在服務(wù)端調(diào)用接口，但仍有傳輸過(guò)程中數(shù)據(jù)被劫獲的風(fēng)險(xiǎn)。在傳輸過(guò)程中使用數(shù)據(jù)加密通道，可以最大程度保護(hù)數(shù)據(jù)的安全。通過(guò)加密機(jī)建立數(shù)據(jù)加密通道，在數(shù)據(jù)傳輸過(guò)程中采用HTTPS 協(xié)議，即有很高的效率，又具有標(biāo)準(zhǔn)性，對(duì)調(diào)用者的對(duì)接要求不是很高，只需要做簡(jiǎn)單的改造，就能將調(diào)用HTTP 接口替換成調(diào)用HTTPS 接口。

另外，所有接入電子證照庫(kù)的系統(tǒng)都需要得到電子證照庫(kù)的認(rèn)證，通過(guò)書(shū)面加蓋公章申請(qǐng)接入后，電子證照庫(kù)會(huì)發(fā)放接口調(diào)用的授權(quán)碼。對(duì)接系統(tǒng)需要使用授權(quán)碼換取接口調(diào)用令牌，然后使用令牌來(lái)調(diào)用接口，令牌在一定周期內(nèi)有效，如果令牌超過(guò)有效期失效，則需要再次通過(guò)授權(quán)碼換取新的調(diào)用令牌。沒(méi)有令牌，或者令牌過(guò)期，或者異常令牌都是無(wú)法正常調(diào)用接口的。這樣就限定了調(diào)用接口都必需是得到電子證照庫(kù)授權(quán)的，其他人即使知道電子證照庫(kù)接口調(diào)用路徑和參數(shù)，也無(wú)法使用電子證照庫(kù)接口[3]。另外為了授權(quán)的安全性，授權(quán)碼也不是一直有效的，需要在有效期內(nèi)進(jìn)行授權(quán)碼的換取操作，避免授權(quán)碼意外泄漏造成問(wèn)題。

2.2 通過(guò)各種安全認(rèn)證途徑實(shí)現(xiàn)持證人授權(quán)

對(duì)于證照庫(kù)安全來(lái)說(shuō)，調(diào)用某個(gè)證照必需要由該證照的持證人授權(quán)方可使用，這是一個(gè)基本原則，如果不遵守這個(gè)原則就有證照被濫用的安全風(fēng)險(xiǎn)。持證人授權(quán)的方式可以多種多樣，只要被證照庫(kù)認(rèn)為可信的授權(quán)方式都可以運(yùn)用在證照的調(diào)用的安全控制上[3-4]。下面介紹幾種比較安全且可行的方式。

（1）證照庫(kù)延伸的亮證功能可以作為持證人授權(quán)的方式，在APP 端或小程序端通過(guò)與政府門(mén)戶的用戶體系整合，用戶在登錄狀態(tài)下可以在各端出示電子證照的安全二維碼。業(yè)務(wù)對(duì)接單位通過(guò)掃碼并調(diào)用證照庫(kù)的解碼接口獲取二維碼背后的用戶信息，完成用戶對(duì)證照的授權(quán)使用。

（2）將用戶人臉驗(yàn)證的功能鏈接，通過(guò)掃二維碼或者其它方式推送到用戶手機(jī)上，用戶進(jìn)行人臉驗(yàn)證并與提供的身份證、姓名比對(duì)正確后，生成授權(quán)碼。業(yè)務(wù)對(duì)接單位憑借授權(quán)碼調(diào)用該用戶的電子證照，達(dá)到用戶授權(quán)使用的目的。

（3）結(jié)合政務(wù)門(mén)戶網(wǎng)站的認(rèn)證體系，由政務(wù)門(mén)戶網(wǎng)站提供加密的用戶身份證或統(tǒng)一社會(huì)信用代碼信息，用戶登錄政務(wù)門(mén)戶，使用門(mén)戶相關(guān)業(yè)務(wù)功能時(shí)，視作用戶授權(quán)相關(guān)業(yè)務(wù)功能使用該用戶的證照[5]。

（4）利用證照授權(quán)功能，業(yè)務(wù)歡接單位通過(guò)證照庫(kù)相關(guān)接口獲取被授權(quán)人已被授權(quán)的證照，借由證照授權(quán)來(lái)調(diào)用授權(quán)人的證照。由于還有授權(quán)人的電子委托授權(quán)書(shū)，授權(quán)書(shū)中可以有證照的用途，不僅做到了證照的授權(quán)使用，還極大的保護(hù)了證照被使用的范圍。

（5）通過(guò)掃國(guó)家市場(chǎng)監(jiān)管總局的電子營(yíng)業(yè)執(zhí)照的二維碼，得到企業(yè)用戶的授權(quán)，然后根據(jù)從電子營(yíng)業(yè)執(zhí)照中解析出來(lái)的統(tǒng)一社會(huì)信用代碼調(diào)用企業(yè)相關(guān)證照，這也算作是一種企業(yè)授權(quán)證照使用的方式。

（6）為了降低電子證照使用的門(mén)檻，可以提供一種簡(jiǎn)易的用戶認(rèn)證方式，通過(guò)驗(yàn)證用戶身份證號(hào)、姓名以及身份證有效期時(shí)間是否一致，來(lái)判斷是否用戶本人有授權(quán)業(yè)務(wù)單位使用本人證照的意愿[6]。因?yàn)樯矸葑C有效期在身份證背面，一般人無(wú)法獲知?jiǎng)e人的這個(gè)信息，所以這種驗(yàn)證方式在特殊場(chǎng)合（比如老人或兒童）結(jié)合身份證讀卡器是一種理想的做法。

2.3 使用“用證清單”模式限制應(yīng)用使用證照的范圍

依據(jù)國(guó)務(wù)院辦公廳2020 年度提供的電子證照種類(lèi)，已經(jīng)達(dá)到1000 余種，如果業(yè)務(wù)對(duì)接單位可以使用所有的證照，顯然是具有安全風(fēng)險(xiǎn)的。證照庫(kù)通過(guò)業(yè)務(wù)流程維護(hù)接口調(diào)用帳號(hào)、對(duì)接單位、業(yè)務(wù)事項(xiàng)、材料清單和電子證照的映射關(guān)系，形成“用證清單”。在業(yè)務(wù)單位調(diào)用電子證照時(shí)需要與單位和業(yè)務(wù)事項(xiàng)綁定，證照接口將只會(huì)返回清單中所限的相關(guān)證照，這樣可以在一定程度上保護(hù)用戶的隱私，避免業(yè)務(wù)單位獲取到用戶與業(yè)務(wù)無(wú)關(guān)的電子證照。

在已存在的用證清單的基礎(chǔ)上，可以進(jìn)一步衍生出更安全的用證方式[7]。通過(guò)亮證的方式用證相對(duì)是比較安全的，因?yàn)榈玫搅顺肿C人的授權(quán)，但是一張張證照亮證，十分影響使用效率。所以在此基礎(chǔ)上又演變出一種以持證人選擇多張證照，生成一個(gè)多證組合的亮證二維碼，這種方式雖然解決了亮證的效率問(wèn)題，但是在實(shí)際業(yè)務(wù)中卻很難應(yīng)用，因?yàn)槌肿C人在辦理業(yè)務(wù)時(shí)自己也搞不清楚應(yīng)該提交哪些證照材料。于是進(jìn)一步的做法是在業(yè)務(wù)過(guò)程中，先由業(yè)務(wù)系統(tǒng)根據(jù)用證清單給出可能會(huì)使用到的證照清單，并推送到持證人的移動(dòng)端亮證模塊，亮證模塊顯示證照清單請(qǐng)求持證人確認(rèn)是否授權(quán)當(dāng)前業(yè)務(wù)系統(tǒng)使用這些證照，確認(rèn)后生成二維碼，業(yè)務(wù)系統(tǒng)掃碼后就能獲得持證人授權(quán)的一組證照。這樣的模式是相對(duì)合理的做法，通過(guò)這種用證清單加二次確認(rèn)的做法，證照的使用就更安全可控，在便捷性上符合一般的業(yè)務(wù)場(chǎng)景，持證人也易于理解這樣的亮證流程，在操作上也相對(duì)簡(jiǎn)單，符合一般人對(duì)于使用電子證照的認(rèn)知[8]。

3 結(jié)語(yǔ)

解決電子證照對(duì)外服務(wù)的安全問(wèn)題，只是在應(yīng)用層面做到了安全管控。而且受限于信息化建設(shè)、硬件設(shè)備等制約，有些做法不是最安全的做法，電子證照的安全管控是個(gè)持續(xù)不斷優(yōu)化的過(guò)程，隨著條件的不斷提升，可以不斷加固電子證照的安全建設(shè)。電子證照在網(wǎng)絡(luò)防護(hù)、存儲(chǔ)安全、管理規(guī)范、數(shù)據(jù)共享等方面還有很多安全問(wèn)題需要解決。全方位的解決電子證照安全隱患才能更全面的保障整個(gè)電子證照庫(kù)的安全，任何一點(diǎn)小的問(wèn)題就會(huì)產(chǎn)生木桶效應(yīng)，所以安全問(wèn)題一定要防微杜漸，并且與時(shí)俱進(jìn)地提供最新的防護(hù)手段，以應(yīng)對(duì)層出不窮的安全問(wèn)題。