电子证照库对外服务的安全管控

虞越，王虎

（万达信息股份有限公司，上海 200000）

0 引言

“互联网+政务服务”背景下，电子证照管理服务需求迫切。为解决电子证照管理规范化以及电子证照地区跨部门、跨部门互通互认问题，提出基于区块链技术的电子证照管理服务模型并进行安全性分析，从而为电子证照拥有者以及相关应用系统提供便捷的子证照服务。

1 电子证照库对外服务中的安全问题

1.1 网络传输过程中的安全隐患

有些移动端应用需要使用电子证照，必需通过互联网访问电子证照接口，即使做了源地址绑定，但在传输过程中由于会经过很多无法控制的网络设备，数据仍有可能被劫持和窃取。如果敏感数据以明文方式传输风险巨大，只要劫获数据，就能直接使用数据。如果劫获的数据累积到一定量，还会成为一部分居心叵测的人谋利的手段[1]。

1.2 未经持证人授权使用证照的安全隐患

用证单位要使用持证人的电子证照，需要从持证人处获得身份证号，常用的方式就是通过身份证读卡器，不扫描身份证是无法获取用户身份证号的，这种看似安全的手段，实际上蕴含着很严重的漏洞。首先，从身份证读卡器带出的身份证号为明文数据，这个数据从读卡器中通过I/O 传输到客户机上，这部分尚能控制安全，接下来如果要从客户端传输到服务端，完全由证照使用方来控制，如果管控不好，未在传输中对明文数据进行加密，很容易被网络窃取，也有可能会被利用通过伪造他人身份证号透过不安全的访问请求，获取指定人的证照数据。其次，由于使用方是通过明文身份证号来调用电子证照库接口，这样调用方的开发人员如果在非授权情况下私自访问他人的电子证照，是完全无法管控的，使用方开发人员甚至可以将证照库接口进行二次封装，并向他人提供证照数据访问服务以此谋利，造成数据严重泄漏。虽然以上情况可以通过严格管理制度来约束使用方的规范使用，但未能在技防上更进一步，一旦发生数据泄漏问题，只能通过事后追责的方式来处理问题，但实际已经造成的损失已不可挽回，严重会影响政府在公众面前的形象[2]。

1.3 越权使用证照的安全隐患

为了方便证照的使用，一般情况下只需要亮电子身份证，就可以获取用户的其它各类证照。虽然全局方面有对证照使用方设置可使用证照的权限，但是涉及具体业务仍有可能越权使用证照。比如某个办事人员所涉业务只能使用用户的身份证，但是如果该部门的权限中有结婚证的使用权限，则该业务人员就可以通过系统来访问结婚证。

2 电子证照库对外服务安全问题的解决方案

2.1 网络传输中使用加密技术和访问控制

虽然只是在服务端调用接口，但仍有传输过程中数据被劫获的风险。在传输过程中使用数据加密通道，可以最大程度保护数据的安全。通过加密机建立数据加密通道，在数据传输过程中采用HTTPS 协议，即有很高的效率，又具有标准性，对调用者的对接要求不是很高，只需要做简单的改造，就能将调用HTTP 接口替换成调用HTTPS 接口。

另外，所有接入电子证照库的系统都需要得到电子证照库的认证，通过书面加盖公章申请接入后，电子证照库会发放接口调用的授权码。对接系统需要使用授权码换取接口调用令牌，然后使用令牌来调用接口，令牌在一定周期内有效，如果令牌超过有效期失效，则需要再次通过授权码换取新的调用令牌。没有令牌，或者令牌过期，或者异常令牌都是无法正常调用接口的。这样就限定了调用接口都必需是得到电子证照库授权的，其他人即使知道电子证照库接口调用路径和参数，也无法使用电子证照库接口[3]。另外为了授权的安全性，授权码也不是一直有效的，需要在有效期内进行授权码的换取操作，避免授权码意外泄漏造成问题。

2.2 通过各种安全认证途径实现持证人授权

对于证照库安全来说，调用某个证照必需要由该证照的持证人授权方可使用，这是一个基本原则，如果不遵守这个原则就有证照被滥用的安全风险。持证人授权的方式可以多种多样，只要被证照库认为可信的授权方式都可以运用在证照的调用的安全控制上[3-4]。下面介绍几种比较安全且可行的方式。

（1）证照库延伸的亮证功能可以作为持证人授权的方式，在APP 端或小程序端通过与政府门户的用户体系整合，用户在登录状态下可以在各端出示电子证照的安全二维码。业务对接单位通过扫码并调用证照库的解码接口获取二维码背后的用户信息，完成用户对证照的授权使用。

（2）将用户人脸验证的功能链接，通过扫二维码或者其它方式推送到用户手机上，用户进行人脸验证并与提供的身份证、姓名比对正确后，生成授权码。业务对接单位凭借授权码调用该用户的电子证照，达到用户授权使用的目的。

（3）结合政务门户网站的认证体系，由政务门户网站提供加密的用户身份证或统一社会信用代码信息，用户登录政务门户，使用门户相关业务功能时，视作用户授权相关业务功能使用该用户的证照[5]。

（4）利用证照授权功能，业务欢接单位通过证照库相关接口获取被授权人已被授权的证照，借由证照授权来调用授权人的证照。由于还有授权人的电子委托授权书，授权书中可以有证照的用途，不仅做到了证照的授权使用，还极大的保护了证照被使用的范围。

（5）通过扫国家市场监管总局的电子营业执照的二维码，得到企业用户的授权，然后根据从电子营业执照中解析出来的统一社会信用代码调用企业相关证照，这也算作是一种企业授权证照使用的方式。

（6）为了降低电子证照使用的门槛，可以提供一种简易的用户认证方式，通过验证用户身份证号、姓名以及身份证有效期时间是否一致，来判断是否用户本人有授权业务单位使用本人证照的意愿[6]。因为身份证有效期在身份证背面，一般人无法获知别人的这个信息，所以这种验证方式在特殊场合（比如老人或儿童）结合身份证读卡器是一种理想的做法。

2.3 使用“用证清单”模式限制应用使用证照的范围

依据国务院办公厅2020 年度提供的电子证照种类，已经达到1000 余种，如果业务对接单位可以使用所有的证照，显然是具有安全风险的。证照库通过业务流程维护接口调用帐号、对接单位、业务事项、材料清单和电子证照的映射关系，形成“用证清单”。在业务单位调用电子证照时需要与单位和业务事项绑定，证照接口将只会返回清单中所限的相关证照，这样可以在一定程度上保护用户的隐私，避免业务单位获取到用户与业务无关的电子证照。

在已存在的用证清单的基础上，可以进一步衍生出更安全的用证方式[7]。通过亮证的方式用证相对是比较安全的，因为得到了持证人的授权，但是一张张证照亮证，十分影响使用效率。所以在此基础上又演变出一种以持证人选择多张证照，生成一个多证组合的亮证二维码，这种方式虽然解决了亮证的效率问题，但是在实际业务中却很难应用，因为持证人在办理业务时自己也搞不清楚应该提交哪些证照材料。于是进一步的做法是在业务过程中，先由业务系统根据用证清单给出可能会使用到的证照清单，并推送到持证人的移动端亮证模块，亮证模块显示证照清单请求持证人确认是否授权当前业务系统使用这些证照，确认后生成二维码，业务系统扫码后就能获得持证人授权的一组证照。这样的模式是相对合理的做法，通过这种用证清单加二次确认的做法，证照的使用就更安全可控，在便捷性上符合一般的业务场景，持证人也易于理解这样的亮证流程，在操作上也相对简单，符合一般人对于使用电子证照的认知[8]。

3 结语

解决电子证照对外服务的安全问题，只是在应用层面做到了安全管控。而且受限于信息化建设、硬件设备等制约，有些做法不是最安全的做法，电子证照的安全管控是个持续不断优化的过程，随着条件的不断提升，可以不断加固电子证照的安全建设。电子证照在网络防护、存储安全、管理规范、数据共享等方面还有很多安全问题需要解决。全方位的解决电子证照安全隐患才能更全面的保障整个电子证照库的安全，任何一点小的问题就会产生木桶效应，所以安全问题一定要防微杜渐，并且与时俱进地提供最新的防护手段，以应对层出不穷的安全问题。