发明内容
为了克服现有技术中的缺陷,本发明提供了一种基于电子法定身份证件实体证生成网络映射证件的方法,以现有电子法定身份证件及其相关的数据库资源等为基础,提出安全可靠、经济易行、符合中国国情的网络法定身份管理方案,解决了中国当前面临的网络法定身份管理难题。
本发明是通过如下技术方案实现的:一种基于电子法定身份证件实体证生成网络映射证件的方法,包括以下步骤:
步骤1)证载信息抽取步骤,包括将法定电子身份证件实体证上记载的信息,划分为以姓名、性别、出生日期和证件号码为基础的个人基本信息,以相片、指纹图像和指纹模板为基础的生物特征信息,以物理防伪、数字防伪为基础的证件防伪特征信息;从法定身份证件实体证记载的信息中抽取内容,所述证载信息源自读取电子法定身份证件方式获得的信息或源自电子法定身份证件制作与签发数据库获得的信息;
步骤2)映射变换步骤,将步骤1)抽取的证载信息经映射变换,形成网络映射证件中存放的要素数据,制作签发网络映射证件;
步骤3)签名步骤,包括将步骤2)中所述映射证件存放的要素数据,附加映射证件的序列号、有效期、颁发者和持有人相关信息后,用网络映射证件签发机构网络映射证件签名数字证书签名,完成网络映射证件签发;
步骤4)网络映射证件撤销列表签发步骤,包括当网络映射证件所关联绑定的实体证件因注销、挂失原因失效时,网络映射证件签发机构在第一时间签发撤销列表,将失效的实体证件对应的网络映射证件同步失效;
步骤5)签名数字证书、网络映射证件和网络映射证件撤销列表发布步骤,包括网络映射证件签名数字证书、网络映射证件、网络映射证件撤销列表,均为网络映射证件验证机构验证网络映射证件时需要使用的,网络映射证件签发机构面向网络映射证件验证机构或子系统实时发布。
进一步地,所述映射变换为数学变换或密码变换。
进一步地,所述签名数据附在网络映射证件电子文件中一并发布,用于验证网络映射证件自身的真实性和完整性。
进一步地,所述网络映射证件中存放的要素数据为源自法定身份证件证载信息;所述映射变换为不可逆的变换,通过要素数据不能逆推出证载信息的原文;所述要素数据公开发布时设有保护持有人的个人信息和隐私的步骤;所述要素数据支持通过网络远程在线安全认证,所述网络远程在线安全认证过程包括设置的抗旁路攻击方法、抗中间人攻击方法、抗重放攻击方法和防窃听方法。
进一步地,步骤4)中包括所述网络映射证件撤销列表,用网络映射证件签发机构网络映射证件签名数字证书签名并更新,当发生实体证件失效时进行紧急更新,网络映射证件有效期不超过对应实体证件的有效期,当所述实体证件自然过期时,所述网络映射证件自然过期,不用通过签发撤销列表确认其失效。
进一步地,步骤5)中包括所述网络映射证件持有人能下载自己的网络映射证件,并在认证过程中主动出示。
与现有技术相比,优越效果在于本发明提出建立一套基于电子法定身份证件实体证生成网络映射证件的方法,在网络空间建立与现实社会中对应的法定身份管理体系,将现实生活中使用法定身份证件证明身份的模式和流程移植到网络空间,发挥法定身份证件在现实社会应用等效的法律效力,解决了网络空间法定身份管理难题。
本发明解决了未搭载个人数字证书的电子法定身份证件无法直接应用于网络法定身份管理的技术难题;相对于目前市面上现有依托人口信息库衍生的形形色色的网络身份认证方式,本发明不再停留在个人信息的形式比对层面,真正解决法定身份认证“实名即实人”问题,有效避免了人工因素造成的主观和非主观失误问题;本发明保持与现实社会中法定身份管理体系相同的体系架构,维持法定身份证件证明持证人法定身份证件真实有效和人证同一性两大核心要点,借助网络映射证件技术实现二代证等电子法定身份证件网上、网下一体化应用,不仅强化了《中华人民共和国居民身份证法》等法律、法规、行政规章普适性,同时符合公众既有普遍认知和习惯,易于接受和普遍推广。
具体实施方式
本发明中“网络映射证件”特指:为适应网络法定身份管理需要,权威机关为未搭载个人数字证书功能的电子法定身份证件持有人签发的,用于网络空间证明法定身份证件持有人法定身份的特定数字文件。网络映射证件,是电子法定身份证件在网络空间的一种映射,与电子法定身份证件实物存在逻辑绑定关系,在网络空间发挥与电子法定身份证件在现实社会中等效的法律作用。
上述电子法定身份证件,包括电子居民身份证、电子护照、电子内地居民往来港澳通行证、电子港澳居民往来内地通行证、电子台湾同胞往来内地通行证和电子内地居民往来台湾通行证等常规意义上的电子法定身份证件。其中,电子居民身份证,即中国目前的第二代居民身份证,以下简称二代证;电子内地居民往来港澳通行证,以下简称电子双程证;电子港澳居民来往内地通行证,以下简称电子回乡证;电子台湾居民来往大陆通行证,以下简称电子台胞证;电子大陆居民往来台湾通行证,以下简称电子大陆证。
上述电子法定身份证件均未搭载个人数字证书功能,不能直接应用于网络法定身份管理。上述数字证书,指《中华人民共和国电子签名法》中定义的电子签名认证证书,即PKI技术体系中定义的公钥数字证书。
下面结合附图对本发明具体实施方式作进一步详细说明。
如图4和5所示,具体说明本发明提供的一种基于电子法定身份证件实体证生成的网络映射证件,包括通过不可逆的映射变换生成的个人基本信息、生物特征信息、证件防伪信息、附加要素信息和数字签名,所述电子法定身份证件包括电子二代身份证、电子护照、电子双程证、电子回乡证、电子台胞证和电子大陆证。所述电子法定身份证件均包含个人基本信息、生物特征信息和证件防伪信息,但不同证件所存储的个人基本信息、生物特征信息和证件防伪信息有所不同,因此,不同法定身份证件生成的网络映射证件也会有所不同。所述个人基本信息包括姓名、性别、住址、出生日期和证件号码。所述生物特征信息包括人脸相片、指纹等。所述证件防伪信息包括物理防伪信息和数字防伪信息。所述附加要素信息包括映射证件序列号、有效期、颁发者和持有人信息。所述数字签名包括签名数据,所述签名数据为附在网络映射证件电子文件中一并发布的签名数据,所述映射变换包括是数学变换或密码变换。所述网络映射证件包括网络映射证件撤销列表,所述网络映射证件撤销列表为在第一时间签发撤销列表,将失效的实体证件信息对应的网络映射证件信息同步失效。
如图6所示,本发明提供了一种基于电子法定身份证件实体证生成网络映射证件的方法,包括以下步骤:
步骤1)证载信息抽取步骤,包括将法定电子身份证件实体证上记载的信息,划分为以姓名、性别、出生日期和证件号码为基础的个人基本信息,以相片、指纹图像和指纹模板为基础的生物特征信息,以物理防伪、数字防伪为基础的证件防伪特征信息;从法定身份证件实体证记载的信息中抽取内容,所述证载信息源自读取电子法定身份证件方式获得的信息或源自电子法定身份证件制作与签发数据库获得的信息;
步骤2)映射变换步骤,将步骤1)抽取的证载信息经映射变换,形成网络映射证件中存放的要素数据,制作签发网络映射证件;
步骤3)签名步骤,包括将步骤2)中所述映射证件存放的要素数据,附加映射证件的序列号、有效期、颁发者、持有人相关信息后,用网络映射证件签发机构网络映射证件签名数字证书签名,完成网络映射证件签发;
步骤4)网络映射证件撤销列表签发步骤,包括当网络映射证件所关联绑定的实体证件因注销、挂失原因失效时,网络映射证件签发机构在第一时间签发撤销列表,将失效的实体证件对应的网络映射证件同步失效;
步骤5)签名数字证书、网络映射证件和网络映射证件撤销列表发布步骤,包括网络映射证件签名数字证书、网络映射证件、网络映射证件撤销列表,都是网络映射证件验证机构验证网络映射证件时使用的,网络映射证件签发机构面向网络映射证件验证机构或子系统实时发布。
其中,所述映射变换为数学变换或密码变换。其中,所述签名数据附在网络映射证件电子文件中一并发布,用于验证网络映射证件自身的真实性和完整性。其中,所述网络映射证件中存放的要素数据为源自法定身份证件证载信息;所述映射变换为不可逆的变换,通过要素数据不能逆推出证载信息的原文;所述要素数据公开发布时设有保护持有人的个人信息和隐私的步骤;所述要素数据支持通过网络远程在线安全认证,所述网络远程在线安全认证过程包括设置的抗旁路攻击、抗中间人攻击、抗重放攻击和防窃听的方法。其中,步骤4)中包括所述网络映射证件撤销列表,用网络映射证件签发机构网络映射证件签名数字证书签名并更新,当发生实体证件失效时进行紧急更新,网络映射证件有效期不超过对应实体证件的有效期,当所述实体证件自然过期时,所述网络映射证件自然过期,不用通过签发撤销列表确认其失效。其中,步骤5)中包括所述网络映射证件持有人能下载自己的网络映射证件,并在认证过程中主动出示。
本发明提出建立一套以电子法定身份证件网络映射证件为核心的网络法定身份管理系统,其基本思想是,在网络空间建立与现实社会中对应的法定身份管理体系,将现实生活中使用法定身份证件证明身份的模式和流程移植到网络空间,发挥法定身份证件在现实社会应用等效的法律效力,解决网络空间法定身份管理难题。
如图1所示,本发明提供的一种基于电子法定身份证件网络映射证件的网络法定身份管理系统,包括交互进行信息传送和验证的网络映射证件签发机构、网络映射证件验证机构、网络业务系统和网络映射证件持有人。
所述网络映射证件签发机构包括法定身份证件签发机构和政府或相关部门授权的专门机构,所述网络映射证件签发机构根据国家政策向法定身份证件持有人签发网络映射证件,所述电子法定身份证件包括二代身份证、电子护照、电子双程证、电子回乡证、电子台胞证和电子大陆证;所述网络映射证件签发机构向网络映射证件持有人本人及网络映射证件验证机构实时发布所签发的网络映射证件,所述网络映射证件验证机构对网络映射证件要素进行认证,包括证件实体认证、人证同一性认证和基本信息核验。
所述证件实体认证包括要求远程客户端被认证方在RF读写设备上出示实体电子法定身份证件,所述网络映射证件验证机构或子系统结合证件实体认证要素和实体电子法定身份证件对挑战指令的应答,判断被认证方出示的是否为网络映射证件所绑定的实体电子法定身份证件;
所述人证同一性认证包括采集远程客户端被认证方的生物特征数据,与人证同一性认证的要素数据进行预定规则的比对,判断被认证方是否为网络映射证件合法持有人,根据人证同一性认证的要素数据所标识的生物特征类型确定,所述生物特征数据包括人脸相片、指纹虹膜和DNA信息;所述基本信息核验包括通过基本信息核验要素,核实业务系统中包括通过手工输入获得的个人信息是否属于网络映射证件合法持有人。
当网络映射证件所对应的法定身份证件实体证件被注销或挂失时,所述网络映射证件签发机构须签发网络映射证件撤销列表,向网络映射证件验证机构实时发布。所述网络映射证件验证机构提供网络映射证件验证服务,所述网络映射证件验证机构可由提供验证服务的第三方独立机构、直接提供验证服务的网络映射证件签发机构和自行完成验证服务的网络业务系统承担。所述网络映射证件持有人为网络业务系统客户,所述网络业务系统客户从网络映射证件签发机构申请网络映射证件,用网络映射证件向网络业务系统证明自己的法定身份,参与具有实名制要求的业务。所述网络业务系统为具有实名制要求的业务系统,例如网上银行和淘宝开店。所述网络映射证件签发机构负责网络映射证件签名数字证书签发、网络映射证件撤销列表签发以及网络映射证件签名数字证书、网络映射证件、网络映射证件撤销列表的对外发布。所述网络法定身份管理系统包括网络映射证件持有人、网络业务系统和网络映射证件验证机构或子系统之间的交互工作模式,所述交互工作模式包括网络映射证件持有人选择网络业务系统某项业务,进行正常交互操作;当业务系统要求认证客户法定身份时,网络映射证件持有人向业务系统出示自己网络映射证件或其标识;网络业务系统向网络映射证件验证机构或子系统发出网络映射证件验证请求,所述验证请求包含网络映射证件或其标识;所述网络映射证件验证机构或子系统接受网络业务系统提交的网络映射证件验证请求,执行网络映射证件验证操作,确认远端客户是否为网络映射证件合法持有人;网络映射证件验证机构或子系统将网络映射证件验证结果反馈给网络业务系统,所述网络业务系统根据网络映射证件验证结果决定是否继续后续网络业务交互,所述确认远端客户是否为网络映射证件合法持有人时,网络映射证件验证机构或子系统与持有人直接或通过业务系统进行远程认证交互。
本发明提供的一种基于电子法定身份证件网络映射证件的网络法定身份管理系统,详细描述如下:
一、网络映射证件签发机构,既能是法定身份证件签发机构,中国法定证件签发机构多数情况下为公安机关,也能是政府或相关部门授权的专门机构。
该机构的主要职责,首先是根据政策向二代身份证、电子护照、电子双程证、电子回乡证、电子台胞证和电子大陆证等法定身份证件持有人签发网络映射证件,并面向网络映射证件持有人本人及网络映射证件验证机构实时发布所签发的网络映射证件;其次,当网络映射证件所对应的法定身份证件实体证件被注销或挂失情况时,该机构还负责签发网络映射证件撤销列表,并面向网络映射证件验证机构实时发布。
网络映射证件验证机构,其主要职责是提供网络映射证件验证服务。
网络业务系统,通常也简称为XX网站,是法定身份的依赖方,即某些业务需要认证客户法定身份,如实名制条件下开立银行账户、申请电子邮件地址、开设微博账号、淘宝开店等。目前,受行政认可的客户法定身份认证方法主要是面签,也就是在业务系统营业网点由业务员人工当面查验客户二代证法定身份证件的方式确认客户法定身份。网络业务系统接入基于电子法定身份证件网络映射证件的网络法定身份管理系统后,借助网络映射证件验证机构提供的网络映射证件验证服务即可远程在线方式确认客户法定身份。
网络映射证件持有人,即网络业务系统客户,从网络映射证件签发机构申请网络映射证件,并用网络映射证件向网络业务系统证明自己的法定身份,参与具有实名制要求的相关业务。
网络映射证件验证服务,既由第三方独立机构提供,也能直接由网络映射证件签发机构提供,还能由网络业务系统自行完成。为便于理解和表述,下文仍将网络映射证件验证服务逻辑上独立体现。
对于由网络映射证件签发机构提供网络映射证件验证服务的情况,如图2所示,网络映射证件及撤销列表发布体现为内部流程。
对于由网络业务系统自行完成网络映射证件验证服务的情况,如图3所示,网络映射证件验证流程的③、④、⑤步体现为内部流程。
二、网络映射证件的签发及相关业务。
网络映射证件的签发及相关业务主要由网络映射证件签发机构负责,其具体业务逻辑如图4所示。所说的相关业务,包括网络映射证件签名数字证书签发、网络映射证件撤销列表签发,以及网络映射证件签名数字证书、网络映射证件、网络映射证件撤销列表的对外发布等。
1、网络映射证件签发行政授权及签名数字证书签发。
网络映射证件签发机构,首先须符合中国的法律、法规规定并得到政府或相关部门授权,确保所签发的网络映射证件的法定效力;其次,签发代表网络映射证件签发机构权威性的网络映射证件签名数字证书。
2、网络映射证件签发。
网络映射证件签发,是基于电子法定身份证件网络映射证件的网络法定身份管理系统最核心和最重要的环节,具体操作包括:
(1)证载信息抽取。所述证载信息,即法定身份证件实体证上记载的信息,划分为姓名、性别、出生日期、证件号码个人基本信息;人脸相片和指纹生物特征信息;以及物理防伪、数字防伪证件防伪特征信息3大类。制作签发网络映射证件,从法定身份证件证载信息中抽取内容,具体抽取证载信息中哪些内容需根据实际需要和相关策略确定。证载信息既可直接通过读取电子法定身份证件获得,也可通过电子法定身份证件制作、签发数据库获得。
(2)映射变换。即将抽取的证载信息经特定变换形成网络映射证件中存放的要素数据的过程。映射变换,既能是数学变换也能是密码变换,具体过程和方法需根据实际需要和相关策略确定。
网络映射证件中存放的要素,总体上具备以下几项特征:一是源自法定身份证件证载信息;二是变换应该是不可逆的,即通过要素数据不能逆推出证载信息原文;三是公开发布不会泄露持有人个人信息和隐私;四是支持通过网络远程在线安全认证,且认证过程具备抗旁路攻击、中间人攻击、重放攻击以及防窃听能力。不同类型的证载信息映射变换后生成不同类型的映射证件要素:姓名、性别、出生日期、证件号码个人基本信息经映射变换后生成基本信息核验要素,用于核实业务系统通过其他途径获得的个人信息是否属于网络映射证件合法持有人;人脸相片、指纹生物特征信息经映射变换后生成人证同一性认证要素,用于认证被认证方是否为网络映射证件合法持有人本人;物理防伪、数字防伪证件防伪特征信息,经映射变换后生成证件实体认证要素,用于认证被认证方是否在线出示了网络映射证件所关联绑定的电子法定身份证件实物。
(3)签名。上述映射证件要素数据,附加映射证件序列号、有效期、颁发者、持有人的相关信息后,用网络映射证件签发机构网络映射证件签名数字证书签名,完成网络映射证件签发。签名数据须附在网络映射证件电子文件中一并发布,用于验证网络映射证件自身的真实性、完整性。
3、网络映射证件撤销列表签发。
当网络映射证件所关联绑定的实体证件,例如因注销、挂失失效时,网络映射证件签发机构在第一时间签发撤销列表,将失效的实体证件对应的网络映射证件同步失效。网络映射证件撤销列表,用网络映射证件签发机构网络映射证件签名数字证书签名并定期更新,当发生实体证件失效时进行紧急更新。网络映射证件有效期不应该超过对应实体证件的有效期,因此实体证件自然过期网络映射证件也自然过期,对此不必通过签发撤销列表确认其失效。
4、签名数字证书、网络映射证件、网络映射证件撤销列表发布。
网络映射证件签名数字证书、网络映射证件、网络映射证件撤销列表,均为网络映射证件验证机构验证网络映射证件时需要使用的,因此网络映射证件签发机构需面向网络映射证件验证机构或子系统实时发布。当然,网络映射证件持有人也能下载自己的网络映射证件,认证过程中主动出示。
三、网络映射证件验证。
网络映射证件验证,是除网络映射证件签发外,基于电子法定身份证件网络映射证件的网络法定身份管理系统另一核心和重要的内容,系统层面涉及网络映射证件持有人、网络业务系统、网络映射证件验证机构或子系统间的交互,如图1、图2、图3中所示,具体流程包括以下内容:
一)网络映射证件持有人,选择网络业务系统某项业务,进行正常交互操作;
二)当业务系统要求认证客户法定身份时,网络映射证件持有人向业务系统出示自己网络映射证件或其标识;
三)网络业务系统向网络映射证件验证机构或子系统发出网络映射证件验证请求,其中含网络映射证件或其标识;
四)网络映射证件验证机构或子系统接受网络业务系统提交的网络映射证件验证请求,执行网络映射证件验证操作,确认远端客户是否为网络映射证件合法持有人。上述过程,网络映射证件验证机构或子系统需要与持有人直接或通过业务系统进行远程认证交互;
五)网络映射证件验证机构或子系统将网络映射证件验证结果反馈给网络业务系统;
六)网络业务系统根据网络映射证件验证结果决定是否继续后续网络业务交互。
其中四)中所述网络映射证件验证机构或子系统完成网络映射证件验证实质性操作,是上述流程的核心环节,具体逻辑如图5所示,此过程划分为以下两部分:
1、网络映射证件的真实性、有效性验证。
(1)获取网络映射证件及其签名数字证书、撤销列表
网络映射证件签发机构网络映射证件签名数字证书是本系统的信任根本,需确认从安全可信取到获得并妥当管理。
网络业务系统提交给网络映射证件验证机构或子系统的网络映射证件验证请求,一种验证请求为包含网络映射证件,另一种验证请求为包含能唯一检索指定网络映射证件的特定标识。如果网络映射证件验证机构或子系统,接收到的是网络映射证件本身,即能使用该网络映射证件进行后续验证操作;若接收到的是网络映射证件标识,需先从网络映射证件目录中检索出该网络映射证件。
验证系统通过解析网络映射证件相关内容,能准确定位到该网络映射证件的颁发者数字证书,即网络映射证件签发机构网络映射证件签名数字证书及对应的网络映射证件撤销列表。
(2)网络映射证件的真实性、有效性验证
网络映射证件验证的最终目的,是通过其包含的证件实体认证要素、人证同一性认证要素及基本信息核验要素确认终端客户法定身份,网络映射证件真实有效是达成此目的的前提。
网络映射证件真实性和有效性验证,包括:
1)是通过检查网络映射证件有效期,确认有效性;
2)是使用网络映射证件签名数字证书验证映射证件签名数据,确认映射证件自身的真实性和完整性;
3)是使用网络映射证件签名数字证书验证映射证件撤销列表签名数据,确认映射证件撤销列表的真实性和完整性;
4)是查看映射证件序列号是否包含在撤销列表之内,确认映射证件有效性。
上述四个方面,任何一项验证失败,映射证件均视为无效。
2、网络映射证件要素认证。
确认网络映射证件真实、有效后,网络映射证件验证机构或子系统便从映射证件中解析所包含的要素,并根据实际业务要求对需要认证的要素实施认证,此过程网络映射证件验证机构或子系统需要与持有人直接或通过业务系统进行远程认证交互。
(1)证件实体认证。此过程要求远程客户端被认证方在RF读写设备上出示实体电子法定身份证件,网络映射证件验证机构或子系统结合证件实体认证要素和实体电子法定身份证件对挑战指令的应答,判断被认证方出示的是否为网络映射证件所绑定的实体电子法定身份证件。
(2)人证同一性认证。此过程采集远程客户端被认证方生物特征数据,并与人证同一性认证要素数据进行预定规则的比对,判断被认证方是否为网络映射证件合法持有人。这里所说的生物特征数据,具体是人脸相片或指纹或其他生物特征,根据人证同一性认证要素所标识的生物特征类型确定,远程生物特征数据采集优选的地加入活体识别功能。
(3)基本信息核验。此过程通过基本信息核验要素,核实业务系统通过手工输入或其他途径获得的个人信息是否属于网络映射证件合法持有人。
本发明并不限于上述实施方式,在不背离本发明的实质内容的情况下,本领域技术人员能想到的任何变形、改进、替换均落入本发明的保护范围。