面向企业登记全程电子化服务的移动智能签名应用

摘   要：随着移动互联网和商用密码行业的发展，手机等移动智能终端已经具备了作为数字证书私钥介质存储的条件，也明显地提高了用户使用数字证书的便捷性。论文中所涉及项目在企业登记全程电子化中创新使用了手机盾，将PKI密码技术与云服务技术相结合，以云端+SDK中间件方式实现了以手机作为数字证书的载体，在企业设立登记、变更登记、注销登记等业务环节进行自然人电子签名，同时还应用了符合国情的电子印章技术，使得电子签名具备类似纸质文件签名的可视效果，完成了移动智能签名，保障了移动端用户身份的真实性、签署材料的完整性和有效性。同时，在全国14个省份企业登记全程电子化项目的建设中得到了实际应用和推广，助力实现了“一网办，不见面”的登记模式。

关键词：商用密码;手机盾;可信身份;数字证书;密钥分割

中图分类号：TP309          文献标识码：B

Abstract： With the development of the mobile Internet and the commercial password industry， mobile intelligent terminals such as mobile phones have been equipped with the conditions to be stored as the private key media of digital certificates and greatly improved the convenience for users to use digital certificates. This project in the enterprise registration to the innovative use of the mobile phone in electronic shield， combining PKI password technology and cloud service technology， implements the cloud + SDK middleware way to mobile phones as the carrier of digital certificate， the enterprise establishment registration， change registration， cancellation registration and other business links with a natural person electronic signature， as well as the application conforms to the national conditions of electronic seal technology， the electronic signature has the similar paper document signature visual effects， completed the mobile intelligent signature， guarantee the authenticity of the mobile end user identity， integrity and effectiveness of the signed material. The project has been practically applied and promoted in the whole process of enterprise registration electronic project construction in 14 provinces of China， helping to realize the registration mode of "one network office， no meeting".

Key words： business password; mobile shield; trusted identity; digital certificate; division of the secret key

1 引言

推行工商局企業登记全程电子化管理，是新形势下全面深化“放管服”改革的重大举措，是顺应商事登记制度改革、建立便捷高效、规范统一、推进宽进严管登记制度的有效手段。采用依法设立的第三方电子认证服务机构发放的数字证书，为工商局企业登记全程电子化管理提供身份认证、电子签名等服务，既符合《电子签名法》及电子政务电子认证相关法律规定，又能够发挥数字证书的优势。同时，这也是充分利用社会资源服务政府的合理方式，符合国家深化改革发展方向。

2  项目需求

企业登记全程电子化不仅需要保障在PC端的全程电子化，还需要在移动端采取全程电子化，实现“一网办，不见面”的登记模式，那么如何确保用户在移动终端上身份的真实性，提交电子材料的完整性、机密性以及不可抵赖性成为业务系统正常开展的基础，在企业登记全程电子化项目中安全性需求主要包括四方面。

2.1 提高移动智能终端身份认证的安全性

目前采用“用户名+口令”的弱认证方式是大多系统建设时的第一选择。但这种方式存在很多弊端，这种弱认证方式破解很简单，很容易导致内部重要数据的外泄，甚至整个系统遭受破坏性攻击。为加强企业登记全程电子化服务平台在移动智能终端身份认证的安全性，避免因非法用户造成工商重要敏感信息泄露或被篡改，需在移动智能终端建设具备高安全性、高可靠性的用户身份认证机制，保证登录系统用户身份的真实性。

2.2 建立可靠的责任认定及抗抵赖机制

责任认定及抗抵赖主要是指操作人对其行为的不可抵赖性或不可否认性，在网络信息系统的信息交互过程中，确信所有参与者都不能否认或抵赖曾经完成的操作和产生的数据，防止发信方否认已发送的信息或防止接收方事后否认已經接收到的信息。

涉及到重要数据的提交与管理等操作，以及对各项重要操作产生的数据，都应通过可靠的电子签名保障各类重要数据的机密性与完整性，同时提供事后追踪、审核手段，使得对相关操作具有良好的可追溯性，建立起可靠的责任认定抗抵赖机制。

2.3 确保移动智能终端电子签名的可靠性

随着电子认证的推广和使用，目标是取代传统的业务流程，实现无纸化。在这个过程中，不得不面临着新的安全挑战。

（1）合法性需求：如何使全程电子化服务平台上的各类数据管理、业务操作、电子材料有效地代替传统模式下的签名，并具有法律效力。

（2）符合传统签名业务习惯：在符合法律要求的同时，最大限度地保证自然人原有签名的使用习惯。

2.4 提供司法部门网络空间取证依据

企业登记全程电子化服务平台能够完整保存自然人的电子签名数据，当出现法律纠纷时，相关司法部门可以调用取证，作为法律认可的电子证据。

3 手机盾应用方案

3.1 手机盾概述

手机盾针对云模式下的移动端电子认证需求，将PKI密码技术与云服务技术相结合，以云端+APP方式实现电子签名功能，能够为电子政务、银行、第三方支付、电子商务、移动办公等提供安全、便捷、灵活的身份认证及交易认证服务，产品全部采用国家标准密码算法，产品安全性与合规性已通过国家密码检测中心认证，如图1所示。

3.2 手机盾部署模式

手机盾SDK软件包集成在掌上工商APP中，在需要进行身份认证的环节，为企业登记全程电子化系统提供安全的身份认证服务，集成方式示意图如图2所示。

3.3 手机盾关键业务流程

3.3.1 注册、认证以及下证

使用移动端的自然人用户通过在集成了手机盾SDK软件包的掌上工商APP上提交注册信息，包括个人身份证号码、姓名、手机号等关键信息，并拍照上传身份证正反面以及手持身份证照片，身份信息认证通过后，申请数据通过移动数字证书平台提交到信安CA，由信安CA发放数字证书，数字证书自动下载到移动终端，如图3所示。

注册认证详细步骤：

（1）用户打开掌上工商APP，提示注册;

（2）填写姓名、身份证号等关键基本信息;

（3）拍照上传身份证正反面以及手持身份证照片信息;

（4）将基本信息与公安部人口库进行比对，通过后，把身份证正反面、手持身份证照片通过移动数字证书平台传给信安CA进行制证;

（5）证书和密钥自动上传至用户的移动终端，供用户使用;

（6）完成注册、认证以及下证的过程。

3.3.2 PC端Web应用调用手机盾登录

企业登记全程电子化服务平台在登录页面除了传统的证书登录外，还集成二维码扫码登录功能。移动端用户可以通过打开掌上工商APP，扫描二维码，并输入手机端数字证书的PIN码经过认证后，实现登录，如图4所示。

业务流程：

（1）PC端业务系统在登录界面生成登录二维码;

（2）用户通过掌上工商APP扫描二维码，输入数字证书的保护PIN码;

（3）掌上工商APP发送登录请求信息到后台认证系统，对用户身份信息进行验证;

（4）后台认证系统将认证结果发送到全程电子化后台;

（5）全程电子化系统后台根据认证结果，允许或者拒绝用户登录。

3.3.3 PC端Web应用调用手机盾签名

在PC端扫码登录后，进行业务操作确认，在关键环节进行签名操作，通过掌上工商APP，扫描二维码，并输入数字证书的PIN码，经过认证后，实现签名确认，如图5所示。

业务流程：

（1）应用系统调用手机盾API，申请签名二维码，返回二维码URL地址;

（2）应用系统发送二维码到浏览器，浏览器展现二维码图片;

（3）用户打开掌上工商APP，点击扫码;

（4）用户输入密钥保护口令，获取密钥操作权限;

（5）提交认证处理信息;

（6）手机盾和云密码机配合完成密钥的协同计算;

（7）推送签名或认证结果到全程电子化系统。

3.3.4 掌上工商APP调用手机盾登录

在掌上工商APP进行登录认证操作时，通过调用手机盾的数字证书进行确认，从而完成登录认证的过程，其登录流程如图6所示。

业务流程：

（1）用户申请登录业务系统时，掌上工商APP调用手机盾数字证书信息;

（2）掌上工商APP携带数字证书信息，向全程电子化系统发起登录请求;

（3）全程电子化系统将用户请求信息发送到后台认证系统进行验证;

（4）将验证结果返回全程电子化系统，确定是否合法用户，允许或者拒绝登录。

3.3.5 掌上工商APP调用手机盾签名

掌上工商APP用户登录系统后，在进行业务操作时，调用手机盾数字证书进行签名盖章，提交给业务平台。业务平台通过后台的电子组件验证签名的有效性，验证通过之后保存到后台存储服务器。

工作人员可以通过PC端的USB Key登录业务系统进行受理，也可以通过手机登录掌上工商APP客户端进行业务受理，详细的流程如图7所示。

业务流程：

（1）用户阅读需要签名的文档信息，并确认;

（2）掌上工商APP客户端调用手机盾数字证书，输入数字证书保护PIN码;

（3）用户对文档进行签名/盖章操作;

（4）签名/盖章后的文档上载到全程电子化服务平台，经过后台验证后进行存储;

（5）内部工作人员可以通过掌上工商APP/PC端登录业务系统，进行业务处理。

4  关键技术

4.1 电子签名技术

电子签名是数字证书的基本功能之一，只要是经过签名的数据，签名人就必须对自己的行为负责。随着《中华人民共和国电子签名法》的颁布和实施，电子签名得到了明确的法律保护，电子签名和手工签名、盖章有同等的法律效力。只要能够验证对方的数字签名，就不能够抵赖自己的行为，这样可以保护各方的合法权益，如图8所示。

4.2 传输加密技术

为了保障用户的数据安全，保证数据不被他人截获，需要对所传输的数据进行加密。通常，B/S结构的应用系统采用HTTPS协议来加密所传输的数据。浏览器和应用服务器之间建立SSL（安全套接层）加密通道，在浏览器和服务器之间所传输的数据都是经过高强度加密的，能够保证他人截获数据后无法破解其中的内容，如图9所示。

4.3 实时真随机数生成技术

移动终端模块中随机数生成采用了系统中Linux内核随机数据、传感器数据以及网络传输数据等系统实时信息共同生成真随机数。

4.4 分散密钥存储及运算技术

为了提供密钥在设备存储和运算过程的安全性，手机盾模块基于SM2算法的密钥分散存储及合作运算技术实现了数字签名及解密操作，攻击者攻击任何一方均无法获取完整私鑰，从而保证了私钥的安全性，如图10所示。

4.5 模块自验证技术

手机盾模块实现了模块自验证技术，模块启动过程中通过验证模块完整性、软固件完整性以及算法完整性测试，验证模块是否被篡改，模块验证通过才可正常使用，否则模块进入错误状态，无法正常使用，从而保证模块使用的安全性和合法性。

5 结束语

河南省信息化发展有限公司参与该项目中电子认证的建设，使用自主研发的手机盾，利用移动终端（手机/平板电脑）来实现传统U盾（USB Key）的认证功能，通过手机盾与全程电子化系统的结合，实现了多种签名方式并存，方便用户和企业选择合适的方式进行电子签名。除了在线手写签名、通过河南省电子政务统一认证平台电子签名，系统还使用了云签技术，通过发放手机证书实现无介质、零费用的电子签名，确保提交的材料具有不可更改和不可抵赖性。

手机盾在工商全程电子化项目中的应用，实现了基于证书的身份认证登录、业务文件的签名、数据文件的加密功能，为河南、湖北、安徽、西藏、黑龙江等14个省份的工商局企业登记全程电子化服务平台建立了严密可信的电子认证体系。

参考文献

[1] 徐琪，崔久强.云计算环境下的电子签名服务研究[J].软件，2016，37（6）：33-36.

[2] 顾青，谢超，冯四风. 网络可信身份管理体系研究[J].信息安全研究，2016年10期.

[3] 王艳敏. 工商业务系统全程电子化解决方案[J].网络安全技术与应用，2018年11期.

[4] 冯四风，梁艳敏，王亚红，黄奚芳.工商管理全程电子化关键问题研究[J].电子商务，2016年09期.

[5] 石跃军. CA系统在工商行政管理电子政务中的应用[J].信息网络安全，2005年08期.

[6] 于志勇.基于数字证书技术的电子签章关键技术研究及应用[D].中国海洋大学，2009.

[7] 白双元.数字证书签名验签原理及在手机端的应用[J].数字通信世界，2018年03期.

[8] 孙金生.企业移动电子签名系统设计与实现[J].电脑知识与技术，2018年16期.

[9] 范琳琳.基于SM2门限密钥分散的电子签名系统研究与实现[D].西南科技大学，2018.

作者简介：

彭天强（1978-），男，汉族，湖北随州人，博士;主要研究方向和关注领域：电子认证、电子签名、信息安全、人工智能、智慧城市信息化建设。