互联网+政务服务“一网通办” 多元可信身份认证及电子签名/签章服务解决方案
1 政策及背景
2016年9月,国务院印发《国务院关于加快推进“互联网+政务服务”工作的指导意见》(国发[2016]55号),提出推进“互联网+政务服务”,是贯彻落实党中央、国务院决策部署,把简政放权、放管结合、优化服务、将改革推向纵深的关键环节,转变政府职能,提高政府服务效率和透明度,便利群众办事创业,进一步激发市场活力和社会创造力具有重要意义。
国发[2016]55号文件明确要求:“积极推动电子证照、电子公文、电子签章等在政务服务中的应用,开展网上验证核对,避免重复提交材料和循环证明。推进政府部门各业务系统与政务服务平台的互联互通,加强平台间对接联动,统一身份认证,按需共享数据,做到“单点登录、全网通办”。利用统一的政务服务资源,积极推进平台服务向移动端、自助终端、热线电话等延伸,为企业和群众提供多样便捷的办事渠道。”
2016年12月20日国务院办公厅印发《“互联网+政务服务”技术体系建设指南的通知》(国办函〔2016〕108号),推进“互联网+政务服务”工作是党中央、国务院做出的重大决策部署。各地区各部门要按照《建设指南》要求,结合实际统筹推动本地区本部门网上政务服务平台建设,积极开展政务服务相关体制机制和应用服务创新。
2018年7月18日,国务院总理李克强主持召开国务院常务会议,部署持续优化营商环境,提高综合竞争力;确定加快建设全国一体化在线政务服务平台的措施,以“一网通办”更加便利群众办事创业。会议指出,建设全流程、一体化全国政务服务在线平台,实现“一网通办”,是深化“放管服”改革、推动政府治理现代化的重要举措。一是各级政务服务平台要从政府供给导向向群众需求导向转变,二是加快打破“信息孤岛”,实现数据“一网共享”,建设身份认证、电子印章、电子证照等统一系统,注重回应和解决社会热点难点问题。三是通过政府购买服务,鼓励社会力量参与政务服务平台建设,强化网络安全保障,抓紧完善标准和法规,用信息技术提高政务服务可及性和便捷度。
2018年07月31日《国务院关于加快推进全国一体化在线政务服务平台建设的指导意见》(国发〔2018〕27号),指出“充分利用各地区各部门已建政务服务平台,整合各类政务服务资源,协同共建,整体联动,不断提升建设集约化、管理规范化、服务便利化水平”。“加强对各级政务服务平台移动端的日常监管,强化注册认证、安全检测、安全加固、应用下载和使用推广等规范管理。充分发挥“两微一端”等政务新媒体优势,同时积极利用第三方平台不断拓展政务服务渠道,提升政务服务便利化水平”。“基于自然人身份信息、法人单位信息等国家认证资源,建设全国统一身份认证系统,积极稳妥与第三方机构开展网上认证合作,为各地区和国务院有关部门政务服务平台及移动端提供统一身份认证服务”。
2 名词解释
身份认证:指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。
身份鉴别:又称为身份识别、实名认证、实名勘验,是指证实用户(或其他实体)的真实身份与其所声称的身份是否相符的过程。身份鉴别与身份认证的区别在于,身份鉴别只是确认某人的身份,而身份认证除了确认某人的身份以外,还要确认他具有的权利。通常,身份鉴别是身份认证的前置过程。
可信身份:通过某种鉴别方式和认证方式,确认其身份真实性以及与身份相关联的权限,并且这种真实性和权限关联性在业务的任何一个环节能够被可靠继承、传递和验证,称为可信身份。
信任传递:实现用户、业务系统的强身份鉴别、跨地方或部门条件下的信任传递。本方案中特指在统一身份认证系统中,通过某地的已登录身份传递到另一地完成登录的过程。
身份标识:能够证明用户实体身份的凭证,例如身份证、机构代码证、手机号、银行卡、数字证书、微信账号、人脸、指纹等等。
身份映射:将用户的一种身份标识与另一种身份标识建立对应关系,例如将用户的身份证标识与数字证书标识建立关联,即可以使用数字证书来代表身份证。
登录认证:指用户登录计算机或网络系统时,进行的身份认证。
电子签名:是指数字电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
电子签章:又称为电子印章,是电子签名的一种表现形式,利用图像处理技术将电子签名操作转化为与纸质文件盖章操作相同的可视效果,同时利用电子签名技术保障电子信息的真实性和完整性以及签名人的不可否认性。
云签:指电子签名/签章云服务,在安全和合规的前提下,用户不需要任何硬件介质,只用电脑、手机通过云签平台,即完成可靠电子签名/签章;
UKey证书:存储在USBKey(也称U盾)的符合X.509格式的数字证书,证书的密钥受到U盾中的硬件密码模块保护;UKey证书一般用于基于PC的身份
手证通证书:存储在移动设备(手机、Pad)中的符合X.509格式的数字证书,证书的密钥受到移动设备中的软件密码模块保护;
云证书:存储在云设备(云服务器)中的符合X.509格式的数字证书,证书的密钥受到云服务器中的软件密码模块保护。
3 建设目标
按照《“互联网+政务服务”技术体系建设指南》和《在线政务服务平台建设的指导意见》的各项要求,基于我们对《建设指南》和《指导意见》中有关用户注册、用户鉴别、CA认证、多元身份识别、实名身份勘验、统一认证、统一印章等需求要点,总结整合我省省级“互联网+政务服务”建设成果,以满足“一网通办”为目标,陕西CA提出“多元可信身份认证+电子签名签章”的综合解决方案,包括以下七个方面:
1、PKI/CA安全支撑平台(简称CA支撑平台):为在线政务服务平台提供本地签名验签、数据加密、时间同步、移动认证、日志审计等基础密码服务支撑,以及与多元可信身份认证管理服务云平台、电子签名/签章公共服务云平台的连接。该平台我省各级机构大都已经建立,部分单位需要按要求做SM2算法升级。
2、多元可信身份认证管理云服务平台(简称云认证平台):为不同网络身份标识的用户提供可信、方便的身份鉴别和身份认证服务,同时为政务系统提供统一的用户访问与权限管理功能。多元可信身份认证管理服务云平台是陕西CA投资运营的第三方的、云化的公共服务平台,已上线运营,以云服务方式为各级电子政务门户提供,根据需要,也可以私有化部署。
3、电子签名签章云服务平台(电子印章中心):为政府、企事业单位以及个人提供形态多样、便捷可靠的电子签名/签章云服务,包括文档签名签章、审批签章、电子证照盖章、移动签名、批量签章等等。电子签名签章公共服务云平台(电子印章中心)是陕西CA投资运营的第三方的、云化的公共服务平台,已上线运营,以云服务方式为各级电子政务应用提供,根据需要,也可以私有化部署。
4、统一认证和单点登录系统:以服务方式,可以利用多元可信身份认证管理服务云平台包含的统一认证和单点登录系统;以产品方式,可以在各“互联网+政务服务”门户独立建设统一认证和单点登录系统,也可接第三方统一认证和单点登录系统。
5、门户及业务集成系统:为各级电子政务门户使用多元可信身份认证管理服务云平台功能提供服务接口和对接工具,为各级电子政务应用提供使用电子签名签章公共服务云平台(电子印章中心)功能提供服务接口和对接工具。
6、CA证书与电子印章的管理机制:企业一证通证书用户以及其他已经具备CA证书的企业用户利用CA证书关联注册,同时发放并关联电子印章;已有企业证书但不用关联注册的企业用户,按照标准流程方式注册,经过实名鉴别后,自动检索证书库关联已发放的证书和电子印章;个人用户或没有CA证书的企业,按照标准流程方式注册,经过实名鉴别后,个人用户自动发放手证通手机证书并开通手写签名(个人印章),企业用户自动发放云证书并发放和关联企业电子印章。
7、运维和运营机制:所有用户一旦注册完成,都可全部免费使用证书和印章。按照“通过政府购买服务,鼓励社会力量参与政务服务平台建设”的原则由各级政务部门购买服务,不向使用人收费。服务内容包括面向所有用户的全生命周期的数字证书服务、电子印章服务、实名验证服务、业务端运维服务、业务端支撑服务、终端咨询及支持服务。
4 技术方案设计
4.1 设计思想
(1)易用性
由于互联网用户众多,其网络身份也多种多样,如何让不同身份标识的用户在不改变其使用习惯的同时方便访问在线政务服务平台,这就需要提供多元的身份鉴别方式,提供简单高效的注册登录方式,以降低政务系统的使用难度,提高用户的满意度。
(2)经济性
虽然目前强身份认证的方式很多,但是在经济性方面都有一些局限,例如短信认证,身份证认证等,每一次认证都会产生费用,对政务服务的双方来讲,都不是最佳的认证方式。数字证书作为一种强身份认证方式,就具有低成本优势,可作为政务系统高频的认证方式。
(3)独立性
为了加快打破“信息孤岛”,实现数据“一网共享”,用户身份信息应该从政务系统中剥离出来,由独立的管理平台来提供统一的身份服务。这样做,也能够降低政务系统集成的复杂度和时间,利于用户数据共享。
(4)合规性
虽然用户的身份标识和认证方式很多,包括身份证、机构代码证、手机号、银行卡、数字证书、微信账号、人脸图像、指纹等等,但是从法律上来讲,除了数字证书以外,均不能衍生出合法的电子签名签章功能,因此体现权威性的政务服务平台,需要给用户提供以数字证书为支撑的、合法合规的电子签名签章服务。当然,在合规的前提下,应尽可能的好用、易用。
4.2 总体设计
政府机构在“互联网+政务服务”改革中,提出让“群众最多跑一次”、“不见面审批”和“一网通办”的工作要求,并以次为契机完善电子政务信息化建设、优化网上公共服务的流程、提升政府服务便利化水平。通过“网上申报、网上受理、网上审核、身份认证、电子印章、电子签章、电子证照”等方式,实现政务服务的全程电子化。传统的身份认证模式和电子签章技术就不能满足新的政务服务要求,存在方式单一、不易使用、用户数据分散、系统集成困难的缺点,因此陕西CA针对“互联网+政务服务”的在线政务服务平台,构建以PKI和数字证书为支撑的“多元可信身份认证管理服务平台”和“电子签名签章公共服务平台”,并根据标准对接国家统一身份认证平台和统一印章平台,实现突出易用、经济、独立和合规的特点,做到标准统一、整体联动、业务协同,推动实现政务服务“一网通办”。总体框架如下图5.1所示:
该总体框架表述了陕西省各级“互联网+政务服务”业务系统实现多元可信身份认证和电子签名签章的逻辑结构:
自左到右分为三个层面:用户端、业务端、支撑端。用户端既可以是PC终端,也可以是手持设备如手机终端;用户既可以严格使用一证通USB-Key数字证书,也可以使用手证通手机证书,对自然人、企业或政务工作人员可以通过用户名/密码、手机号、身份证号、银行卡号、社保医保卡号、支付宝、微信等多元身份要素经身份鉴别,颁发云证书或手证通手机证书,并将经身份鉴别的个人身份要素与云端CA证书映射,实现多元可信身份认证,个人用户可以根据个人喜好选择以上任一身份要素登录系统。以上任一身份要素只要通过了身份鉴别,都有一个云证书或手证通证书透明映射关联该用户的身份凭证,这种方式既保障了便捷性,也保证了安全合规性,并能够实现电子签名、电子签章、手写签名。
当用户登录政务服务门户时,通过多元可信身份认证管理云服务平台完成用户的身份鉴别、实名认证和用户注册,然后用户可以使用多元身份标识(邮箱、手机号、身份证号、U盾、手证通、云证书、微信、支付宝等任何唯一标识码)登录门户和访问业务端系统。完成用户注册的同时,由多元可信身份认证管理云服务对接子平台通过标准接口将用户信息上传至国家统一身份认证系统,实现用户信息共享及跨域访问。
用户在政务系统中办理申请、审核等业务时,需要进行电子签名和(或)电子签章,则通过调用电子签名签章云服务平台对外提供的签名(签章)服务完成。涉及电子证照的生成、查询、验证等业务,电子签名签章云服务平台能够对接统一电子印章平台完成电子印章的下载、加盖、查验和管理功能。
证书库统一存储政务CA和陕西CA颁发的数字证书,用于支撑统一认证、电子印章、电子签章等应用。