CN105357176A - 一种基于电子法定身份证件网络映射证件的网络法定身份管理系统 - Google Patents

Abstract

本发明涉及身份证件管理技术领域，具体涉及一种基于电子法定身份证件网络映射证件的网络法定身份管理系统。本发明提供的一种基于电子法定身份证件网络映射证件的网络法定身份管理系统，包括交互进行信息传送和验证的网络映射证件签发机构、网络映射证件验证机构、网络业务系统和网络映射证件持有人。本发明解决了未搭载个人数字证书的电子法定身份证件无法直接应用于网络法定身份管理的技术难题，相对于目前市面上现有依托人口信息库衍生的形形色色的网络身份认证方式，解决了法定身份认证“实名即实人”问题，有效避免了人工因素造成的主观和非主观失误问题。

Description

一种基于电子法定身份证件网络映射证件的网络法定身份管理系统

技术领域

本发明涉及身份证件技术领域，具体涉及的是一种基于电子法定身份证件网络映射证件的网络法定身份管理系统。

背景技术

现实社会中，为了在法律层面实现可靠的身份管理，政府部门根据法律所赋予或授予的资格或权力而颁发的身份证、护照等法定身份证件，长期以来为保障公民权益、维护社会秩序、保障国家安全等发挥了巨大作用。

随着互联网技术的迅猛发展，现实社会向网络空间深度延伸，网络社会已成为现实社会的重要组成部分。互联网给人们生活带来翻天覆地变化的同时也显著改变了人们的行为方式，收发邮件、社交、购物、银行交易等以前只在现实社会中发生的行为和业务迅速在网络空间出现并得到高速发展。在诸多领域，网络业务正呈现出超越、取代，甚至颠覆传统业务之势。同时，我们也逐步认识到传统的身份管理方法在网络空间已不再适用，由于缺少有效的法定身份管理措施导致网络违法犯罪频发，已严重威胁到公民权益、社会稳定和国家安全。因此，研究制定统一规范的网络法定身份管理办法势在必行。

为解决网络法定身份管理问题，现在业界逐步出现了各具特色的技术和方法，主要包括以下几种解决方案。

一、电子法定身份证件上搭载个人数字证书功能。此解决方案，首先要求电子法定身份证件具备搭载个人数字证书的能力，其次签发机关向证件持证人签发电子法定身份证件的同时签发与电子法定身份证件绑定的个人数字证书，目前多数欧盟国家所签发的电子身份证(eID)即是采用此解决方案。在现场查验模式下，持证人通过出示电子法定身份证件实物证明自己法定身份；在网络查验模式下，持证人通过出示电子法定身份证件搭载的个人数字证书，以远程在线方式证明自己法定身份，并具备现场查验模式等效的法律效力。该方案既解决了线下身份认证问题，同时也解决了线上法定身份认证难题，理论上说是相对比较完善、完美的技术路线。对于直接签发搭载个人数字证书的电子法定身份证件的国家，此方案一次性解决了线上、线下身份管理问题，当然是较好的选择。但中国已经签发了二代证、电子护照、电子双程证、电子回乡证、电子台胞证和电子大陆证等未搭载个人数字证书的电子法定证件，且签发量很大，仅二代证就超过了14亿张。如果中国现阶段采用此解决方案的话，就必须先对二代证、电子护照、电子双程证、电子回乡证、电子台胞证和电子大陆证等进行升级改版，这显然不现实。

二、电子法定身份证件之外，另行签发个人数字证书。此解决方案，不要求电子法定身份证件具备搭载个人数字证书的能力，而是把个人数字证书搭载在USBKey或手机、银行卡等其他硬件介质上，其签发机关既可以是签发电子法定身份证件的政府机关，也可以是第三方商业机构，如《中华人民共和国电子签名法》中规定的电子认证服务提供者等。此方案最明显的特点在于，个人数字证书与电子法定证件相互独立，电子法定身份证件仅用于现场查验模式下证明持证人法定身份，而个人数字证书用于在网络查验模式下远程在线证明证书持有人身份。其最大的缺点也在于此。因个人数字证书与电子法定证件相互独立，公民针对不同的身份查验场景需使用不同的身份凭证，这样不仅会对公民的使用带来不便，更会对证件的签发造成困难。中国过去10年动用了巨大的行政资源和财力、物力才基本实现了13亿人人手一张二代证，再次动用国家力量为全民签发个人数字证书基本是不可行的，若借助商业机构来签发个人数字证书，不仅经济投入十分巨大，普及时间长达数年甚至十年，同时其法律效力和权威性也无法与法定身份证件本身相提并论了。

三、其他解决方案。在没有统一、规范、成熟的网络法定身份管理解决方案的情况下，各商家为落实国家网络实名制政策，探索出了形形色色的网络身份认证手段和方法。早期，商家要求用户主动输入身份证号码和姓名等信息，用户输入什么系统就接受什么，结果发现很难保证用户输入的身份证号码和姓名等信息的真实性，例如，黄牛用“庆丰包子”的姓名抢购火车票就是典型的例子。后来，为解决类似问题，商家对身份验证方式进行了升级，其中手段之一就是把用户输入的身份证号和姓名等提交到全国公民身份号码查询服务中心系统等第三方机构进行核实，第三方系统中存在该人的信息且各项信息匹配则验证通过。这种手段采用的是信息比对信息的方式进行验证，能够识别虚假编造出来的身份信息，但无法识别冒用的真实身份信息。原因很简单，身份证号码及其他个人信息脱离身份证这个载体，其本身就仅仅是一串字符，第三方核查系统只能解决系统中是不是存在这个人的信息，却不能解决“实名即实人”问题。再后来，用户身份验证措施得到了进一步改进，用户被要求提供银行卡号、电话号码，甚至本人手持身份证的照片等，以进一步验证身份。这些辅助手段，对实名制落实确实起到了一定程度的强化作用，但验证效果随着身份欺诈手段不断升级而被逐渐抵消，随之而来的却是身份验证成本的不断提高和用户体验的急剧下降。导致如此结果的根本原因在于，这些辅助验证手段都不是基于严谨的规则和流程，解决的只是形式上的验证，无法达到现实生活中通过法定证件验证身份的同等效力。

中国专利CN1339894A提供了一种身份证明及其制作方法,在身份证明制作过程中，发证机关首先构造第一信息包，第一信息包包括身份信息和生物信息；然后选择一种非对称密钥算法，用私钥对第一信息包进行数字密押，生成第二信息包；最后将密押生成的第二信息包存储在一个媒体中，制成身份证明。但是该发明也没能解决上述存在的能够识别虚假编造出来的身份信息，但无法识别冒用的真实身份信息的问题。

发明内容

为了克服现有技术中的缺陷，本发明提供了一种基于电子法定身份证件网络映射证件的网络法定身份管理系统，所述管理系统包括交互进行信息传送和验证的网络映射证件签发机构、网络映射证件验证机构、网络业务系统和网络映射证件持有人。

进一步地，所述网络映射证件签发机构包括法定身份证件签发机构和政府或相关部门授权的专门机构，所述网络映射证件签发机构根据国家政策向电子法定身份证件持有人签发网络映射证件，所述电子法定身份证件包括二代身份证、电子护照、电子双程证、电子回乡证、电子台胞证和电子大陆证；所述网络映射证件签发机构向网络映射证件持有人本人及网络映射证件验证机构实时发布所签发的网络映射证件；当网络映射证件所对应的法定身份证件实体证件被注销或挂失时，所述网络映射证件签发机构签发网络映射证件撤销列表，向网络映射证件验证机构实时发布。

进一步地，所述网络映射证件验证机构提供网络映射证件验证服务，所述网络映射证件验证机构包括提供验证服务的第三方独立机构、直接提供验证服务的网络映射证件签发机构或自行完成验证服务的网络业务系统。

进一步地，所述网络映射证件持有人为网络业务系统客户，所述网络业务系统客户从网络映射证件签发机构申请网络映射证件，用网络映射证件向网络业务系统证明自己的法定身份，参与具有实名制要求的业务。

进一步地，所述网络业务系统为具有实名制要求的业务系统，包括网上银行和淘宝开店。

进一步地，所述网络映射证件签发机构负责网络映射证件签名数字证书签发、网络映射证件撤销列表签发以及网络映射证件签名数字证书、网络映射证件、网络映射证件撤销列表的对外发布。

进一步地，所述网络法定身份管理系统包括网络映射证件持有人、网络业务系统和网络映射证件验证机构或子系统之间的交互工作模式，所述交互工作模式包括网络映射证件持有人选择网络业务系统某项业务，进行正常交互操作；当业务系统要求认证客户法定身份时，网络映射证件持有人向业务系统出示自己网络映射证件或其标识；网络业务系统向网络映射证件验证机构或子系统发出网络映射证件验证请求，所述验证请求包含网络映射证件或其标识；所述网络映射证件验证机构或子系统接受网络业务系统提交的网络映射证件验证请求，执行网络映射证件验证操作，确认远端客户是否为网络映射证件合法持有人；网络映射证件验证机构或子系统将网络映射证件验证结果反馈给网络业务系统，所述网络业务系统根据网络映射证件验证结果决定是否继续后续网络业务交互。

进一步地，所述确认远端客户是否为网络映射证件合法持有人时，网络映射证件验证机构或子系统与持有人直接或通过业务系统进行远程认证交互。

进一步地，所述网络映射证件验证机构对网络映射证件要素进行认证，包括证件实体认证、人证同一性认证和基本信息核验，

所述证件实体认证包括要求远程客户端被认证方在RF读写设备上出示实体电子法定身份证件，所述网络映射证件验证机构或子系统结合证件实体认证要素和实体电子法定身份证件对挑战指令的应答，判断被认证方出示的是否为网络映射证件所绑定的实体电子法定身份证件；

所述人证同一性认证包括采集远程客户端被认证方的生物特征数据，与人证同一性认证的要素数据进行预定规则的比对，判断被认证方是否为网络映射证件合法持有人，根据人证同一性认证的要素数据所标识的生物特征类型确定，所述生物特征数据包括人脸相片、指纹、虹膜和DNA信息；

所述基本信息核验包括通过基本信息核验要素，核实业务系统中包括通过手工输入获得的个人信息是否属于网络映射证件合法持有人。

与现有技术相比，优越效果在于本发明提出建立一种基于电子法定身份证件网络映射证件的网络法定身份管理系统，在网络空间建立与现实社会中对应的法定身份管理体系，将现实生活中使用法定身份证件证明身份的模式和流程移植到网络空间，发挥法定身份证件在现实社会应用等效的法律效力，解决了网络空间法定身份管理难题问题。

本发明解决了未搭载个人数字证书的电子法定身份证件无法直接应用于网络法定身份管理的技术难题；相对于目前市面上现有依托人口信息库衍生的形形色色的网络身份认证方式，本发明不再停留在个人信息的形式比对层面，真正解决法定身份认证“实名即实人”问题，有效避免了人工因素造成的主观和非主观失误问题；本发明保持与现实社会中法定身份管理体系相同的体系架构，维持法定身份证件证明持证人法定身份证件真实有效和人证同一性两大核心要点，借助网络映射证件技术实现二代证等电子法定身份证件网上、网下一体化应用，不仅强化了《中华人民共和国居民身份证法》等法律、法规、行政规章普适性，同时符合公众既有普遍认知和习惯，易于接受和普遍推广。

附图说明

图1为本发明中基于电子法定身份证件网络映射证件的网络法定身份管理系统组成结构示意图；

图2为本发明中直接由网络映射证件签发机构提供网络映射证件验证服务的系统组成示意图；

图3为本发明中网络业务系统自行完成网络映射证件验证服务的系统组成示意图；

图4为本发明中网络映射证件的签发与管理的示意图；

图5为本发明中网络映射证件的验证逻辑关系示意图；

图6为本发明所述基于电子法定身份证件实体证生成网络映射证件的方法步骤示意图。

具体实施方式

本发明中“网络映射证件”特指：为适应网络法定身份管理需要，权威机关为未搭载个人数字证书功能的电子法定身份证件持有人签发的，用于网络空间证明法定身份证件持有人法定身份的特定数字文件。网络映射证件，是电子法定身份证件在网络空间的一种映射，与电子法定身份证件实物存在逻辑绑定关系，在网络空间发挥与电子法定身份证件在现实社会中等效的法律作用。

上述电子法定身份证件，包括电子居民身份证、电子护照、电子内地居民往来港澳通行证、电子港澳居民往来内地通行证、电子台湾同胞往来内地通行证和电子内地居民往来台湾通行证等常规意义上的电子法定身份证件。其中，电子居民身份证，即中国目前的第二代居民身份证，以下简称二代证；电子内地居民往来港澳通行证，以下简称电子双程证；电子港澳居民来往内地通行证，以下简称电子回乡证；电子台湾居民来往大陆通行证，以下简称电子台胞证；电子大陆居民往来台湾通行证，以下简称电子大陆证。

上述电子法定身份证件均未搭载个人数字证书功能，不能直接应用于网络法定身份管理。上述数字证书，指《中华人民共和国电子签名法》中定义的电子签名认证证书，即PKI技术体系中定义的公钥数字证书。

下面结合附图对本发明具体实施方式作进一步详细说明。

如图4和5所示，具体说明本发明提供的一种基于电子法定身份证件实体证生成的网络映射证件，包括通过不可逆的映射变换生成的个人基本信息、生物特征信息、证件防伪信息、附加要素信息和数字签名，所述电子法定身份证件包括电子二代身份证、电子护照、电子双程证、电子回乡证、电子台胞证和电子大陆证。所述电子法定身份证件均包含个人基本信息、生物特征信息和证件防伪信息，但不同证件所存储的个人基本信息、生物特征信息和证件防伪信息有所不同，因此，不同法定身份证件生成的网络映射证件也会有所不同。所述个人基本信息包括姓名、性别、住址、出生日期和证件号码。所述生物特征信息包括人脸相片、指纹等。所述证件防伪信息包括物理防伪信息和数字防伪信息。所述附加要素信息包括映射证件序列号、有效期、颁发者和持有人信息。所述数字签名包括签名数据，所述签名数据为附在网络映射证件电子文件中一并发布的签名数据，所述映射变换包括是数学变换或密码变换。所述网络映射证件包括网络映射证件撤销列表，所述网络映射证件撤销列表为在第一时间签发撤销列表，将失效的实体证件信息对应的网络映射证件信息同步失效。

如图6所示，本发明提供了一种基于电子法定身份证件实体证生成网络映射证件的方法，包括以下步骤：

步骤1)证载信息抽取步骤，包括将法定电子身份证件实体证上记载的信息，划分为以姓名、性别、出生日期和证件号码为基础的个人基本信息，以相片、指纹图像和指纹模板为基础的生物特征信息，以物理防伪、数字防伪为基础的证件防伪特征信息；从法定身份证件实体证记载的信息中抽取内容，所述证载信息源自读取电子法定身份证件方式获得的信息或源自电子法定身份证件制作与签发数据库获得的信息；

步骤2)映射变换步骤，将步骤1)抽取的证载信息经映射变换，形成网络映射证件中存放的要素数据，制作签发网络映射证件；

步骤3)签名步骤，包括将步骤2)中所述映射证件存放的要素数据，附加映射证件的序列号、有效期、颁发者、持有人相关信息后，用网络映射证件签发机构网络映射证件签名数字证书签名，完成网络映射证件签发；

步骤4)网络映射证件撤销列表签发步骤，包括当网络映射证件所关联绑定的实体证件因注销、挂失原因失效时，网络映射证件签发机构在第一时间签发撤销列表，将失效的实体证件对应的网络映射证件同步失效；

步骤5)签名数字证书、网络映射证件和网络映射证件撤销列表发布步骤，包括网络映射证件签名数字证书、网络映射证件、网络映射证件撤销列表，都是网络映射证件验证机构验证网络映射证件时使用的，网络映射证件签发机构面向网络映射证件验证机构或子系统实时发布。

其中，所述映射变换为数学变换或密码变换。其中，所述签名数据附在网络映射证件电子文件中一并发布，用于验证网络映射证件自身的真实性和完整性。其中，所述网络映射证件中存放的要素数据为源自法定身份证件证载信息；所述映射变换为不可逆的变换，通过要素数据不能逆推出证载信息的原文；所述要素数据公开发布时设有保护持有人的个人信息和隐私的步骤；所述要素数据支持通过网络远程在线安全认证，所述网络远程在线安全认证过程包括设置的抗旁路攻击、抗中间人攻击、抗重放攻击和防窃听的方法。其中，步骤4)中包括所述网络映射证件撤销列表，用网络映射证件签发机构网络映射证件签名数字证书签名并更新，当发生实体证件失效时进行紧急更新，网络映射证件有效期不超过对应实体证件的有效期，当所述实体证件自然过期时，所述网络映射证件自然过期，不用通过签发撤销列表确认其失效。其中，步骤5)中包括所述网络映射证件持有人能下载自己的网络映射证件，并在认证过程中主动出示。

本发明提出建立一套以电子法定身份证件网络映射证件为核心的网络法定身份管理系统，其基本思想是，在网络空间建立与现实社会中对应的法定身份管理体系，将现实生活中使用法定身份证件证明身份的模式和流程移植到网络空间，发挥法定身份证件在现实社会应用等效的法律效力，解决网络空间法定身份管理难题。

如图1所示，本发明提供的一种基于电子法定身份证件网络映射证件的网络法定身份管理系统，包括交互进行信息传送和验证的网络映射证件签发机构、网络映射证件验证机构、网络业务系统和网络映射证件持有人。

所述网络映射证件签发机构包括法定身份证件签发机构和政府或相关部门授权的专门机构，所述网络映射证件签发机构根据国家政策向法定身份证件持有人签发网络映射证件，所述电子法定身份证件包括二代身份证、电子护照、电子双程证、电子回乡证、电子台胞证和电子大陆证；所述网络映射证件签发机构向网络映射证件持有人本人及网络映射证件验证机构实时发布所签发的网络映射证件,所述网络映射证件验证机构对网络映射证件要素进行认证，包括证件实体认证、人证同一性认证和基本信息核验。

所述证件实体认证包括要求远程客户端被认证方在RF读写设备上出示实体电子法定身份证件，所述网络映射证件验证机构或子系统结合证件实体认证要素和实体电子法定身份证件对挑战指令的应答，判断被认证方出示的是否为网络映射证件所绑定的实体电子法定身份证件；

所述人证同一性认证包括采集远程客户端被认证方的生物特征数据，与人证同一性认证的要素数据进行预定规则的比对，判断被认证方是否为网络映射证件合法持有人，根据人证同一性认证的要素数据所标识的生物特征类型确定，所述生物特征数据包括人脸相片、指纹虹膜和DNA信息；所述基本信息核验包括通过基本信息核验要素，核实业务系统中包括通过手工输入获得的个人信息是否属于网络映射证件合法持有人。

当网络映射证件所对应的法定身份证件实体证件被注销或挂失时，所述网络映射证件签发机构须签发网络映射证件撤销列表，向网络映射证件验证机构实时发布。所述网络映射证件验证机构提供网络映射证件验证服务，所述网络映射证件验证机构可由提供验证服务的第三方独立机构、直接提供验证服务的网络映射证件签发机构和自行完成验证服务的网络业务系统承担。所述网络映射证件持有人为网络业务系统客户，所述网络业务系统客户从网络映射证件签发机构申请网络映射证件，用网络映射证件向网络业务系统证明自己的法定身份，参与具有实名制要求的业务。所述网络业务系统为具有实名制要求的业务系统，例如网上银行和淘宝开店。所述网络映射证件签发机构负责网络映射证件签名数字证书签发、网络映射证件撤销列表签发以及网络映射证件签名数字证书、网络映射证件、网络映射证件撤销列表的对外发布。所述网络法定身份管理系统包括网络映射证件持有人、网络业务系统和网络映射证件验证机构或子系统之间的交互工作模式，所述交互工作模式包括网络映射证件持有人选择网络业务系统某项业务，进行正常交互操作；当业务系统要求认证客户法定身份时，网络映射证件持有人向业务系统出示自己网络映射证件或其标识；网络业务系统向网络映射证件验证机构或子系统发出网络映射证件验证请求，所述验证请求包含网络映射证件或其标识；所述网络映射证件验证机构或子系统接受网络业务系统提交的网络映射证件验证请求，执行网络映射证件验证操作，确认远端客户是否为网络映射证件合法持有人；网络映射证件验证机构或子系统将网络映射证件验证结果反馈给网络业务系统，所述网络业务系统根据网络映射证件验证结果决定是否继续后续网络业务交互，所述确认远端客户是否为网络映射证件合法持有人时，网络映射证件验证机构或子系统与持有人直接或通过业务系统进行远程认证交互。

本发明提供的一种基于电子法定身份证件网络映射证件的网络法定身份管理系统，详细描述如下：

一、网络映射证件签发机构，既能是法定身份证件签发机构，中国法定证件签发机构多数情况下为公安机关，也能是政府或相关部门授权的专门机构。

该机构的主要职责，首先是根据政策向二代身份证、电子护照、电子双程证、电子回乡证、电子台胞证和电子大陆证等法定身份证件持有人签发网络映射证件，并面向网络映射证件持有人本人及网络映射证件验证机构实时发布所签发的网络映射证件；其次，当网络映射证件所对应的法定身份证件实体证件被注销或挂失情况时，该机构还负责签发网络映射证件撤销列表，并面向网络映射证件验证机构实时发布。

网络映射证件验证机构，其主要职责是提供网络映射证件验证服务。

网络业务系统，通常也简称为XX网站，是法定身份的依赖方，即某些业务需要认证客户法定身份，如实名制条件下开立银行账户、申请电子邮件地址、开设微博账号、淘宝开店等。目前，受行政认可的客户法定身份认证方法主要是面签，也就是在业务系统营业网点由业务员人工当面查验客户二代证法定身份证件的方式确认客户法定身份。网络业务系统接入基于电子法定身份证件网络映射证件的网络法定身份管理系统后，借助网络映射证件验证机构提供的网络映射证件验证服务即可远程在线方式确认客户法定身份。

网络映射证件持有人，即网络业务系统客户，从网络映射证件签发机构申请网络映射证件，并用网络映射证件向网络业务系统证明自己的法定身份，参与具有实名制要求的相关业务。

网络映射证件验证服务，既由第三方独立机构提供，也能直接由网络映射证件签发机构提供，还能由网络业务系统自行完成。为便于理解和表述，下文仍将网络映射证件验证服务逻辑上独立体现。

对于由网络映射证件签发机构提供网络映射证件验证服务的情况，如图2所示，网络映射证件及撤销列表发布体现为内部流程。

对于由网络业务系统自行完成网络映射证件验证服务的情况，如图3所示，网络映射证件验证流程的③、④、⑤步体现为内部流程。

二、网络映射证件的签发及相关业务。

网络映射证件的签发及相关业务主要由网络映射证件签发机构负责，其具体业务逻辑如图4所示。所说的相关业务，包括网络映射证件签名数字证书签发、网络映射证件撤销列表签发，以及网络映射证件签名数字证书、网络映射证件、网络映射证件撤销列表的对外发布等。

1、网络映射证件签发行政授权及签名数字证书签发。

网络映射证件签发机构，首先须符合中国的法律、法规规定并得到政府或相关部门授权，确保所签发的网络映射证件的法定效力；其次，签发代表网络映射证件签发机构权威性的网络映射证件签名数字证书。

2、网络映射证件签发。

网络映射证件签发，是基于电子法定身份证件网络映射证件的网络法定身份管理系统最核心和最重要的环节，具体操作包括：

(1)证载信息抽取。所述证载信息，即法定身份证件实体证上记载的信息，划分为姓名、性别、出生日期、证件号码个人基本信息；人脸相片和指纹生物特征信息；以及物理防伪、数字防伪证件防伪特征信息3大类。制作签发网络映射证件，从法定身份证件证载信息中抽取内容，具体抽取证载信息中哪些内容需根据实际需要和相关策略确定。证载信息既可直接通过读取电子法定身份证件获得，也可通过电子法定身份证件制作、签发数据库获得。

(2)映射变换。即将抽取的证载信息经特定变换形成网络映射证件中存放的要素数据的过程。映射变换，既能是数学变换也能是密码变换，具体过程和方法需根据实际需要和相关策略确定。

网络映射证件中存放的要素，总体上具备以下几项特征：一是源自法定身份证件证载信息；二是变换应该是不可逆的，即通过要素数据不能逆推出证载信息原文；三是公开发布不会泄露持有人个人信息和隐私；四是支持通过网络远程在线安全认证，且认证过程具备抗旁路攻击、中间人攻击、重放攻击以及防窃听能力。不同类型的证载信息映射变换后生成不同类型的映射证件要素：姓名、性别、出生日期、证件号码个人基本信息经映射变换后生成基本信息核验要素，用于核实业务系统通过其他途径获得的个人信息是否属于网络映射证件合法持有人；人脸相片、指纹生物特征信息经映射变换后生成人证同一性认证要素，用于认证被认证方是否为网络映射证件合法持有人本人；物理防伪、数字防伪证件防伪特征信息，经映射变换后生成证件实体认证要素，用于认证被认证方是否在线出示了网络映射证件所关联绑定的电子法定身份证件实物。

(3)签名。上述映射证件要素数据，附加映射证件序列号、有效期、颁发者、持有人的相关信息后，用网络映射证件签发机构网络映射证件签名数字证书签名，完成网络映射证件签发。签名数据须附在网络映射证件电子文件中一并发布，用于验证网络映射证件自身的真实性、完整性。

3、网络映射证件撤销列表签发。

当网络映射证件所关联绑定的实体证件，例如因注销、挂失失效时，网络映射证件签发机构在第一时间签发撤销列表，将失效的实体证件对应的网络映射证件同步失效。网络映射证件撤销列表，用网络映射证件签发机构网络映射证件签名数字证书签名并定期更新，当发生实体证件失效时进行紧急更新。网络映射证件有效期不应该超过对应实体证件的有效期，因此实体证件自然过期网络映射证件也自然过期，对此不必通过签发撤销列表确认其失效。

4、签名数字证书、网络映射证件、网络映射证件撤销列表发布。

网络映射证件签名数字证书、网络映射证件、网络映射证件撤销列表，均为网络映射证件验证机构验证网络映射证件时需要使用的，因此网络映射证件签发机构需面向网络映射证件验证机构或子系统实时发布。当然，网络映射证件持有人也能下载自己的网络映射证件，认证过程中主动出示。

三、网络映射证件验证。

网络映射证件验证，是除网络映射证件签发外，基于电子法定身份证件网络映射证件的网络法定身份管理系统另一核心和重要的内容，系统层面涉及网络映射证件持有人、网络业务系统、网络映射证件验证机构或子系统间的交互，如图1、图2、图3中所示，具体流程包括以下内容：

一)网络映射证件持有人，选择网络业务系统某项业务，进行正常交互操作；

二)当业务系统要求认证客户法定身份时，网络映射证件持有人向业务系统出示自己网络映射证件或其标识；

三)网络业务系统向网络映射证件验证机构或子系统发出网络映射证件验证请求，其中含网络映射证件或其标识；

四)网络映射证件验证机构或子系统接受网络业务系统提交的网络映射证件验证请求，执行网络映射证件验证操作，确认远端客户是否为网络映射证件合法持有人。上述过程，网络映射证件验证机构或子系统需要与持有人直接或通过业务系统进行远程认证交互；

五)网络映射证件验证机构或子系统将网络映射证件验证结果反馈给网络业务系统；

六)网络业务系统根据网络映射证件验证结果决定是否继续后续网络业务交互。

其中四)中所述网络映射证件验证机构或子系统完成网络映射证件验证实质性操作，是上述流程的核心环节，具体逻辑如图5所示，此过程划分为以下两部分：

1、网络映射证件的真实性、有效性验证。

(1)获取网络映射证件及其签名数字证书、撤销列表

网络映射证件签发机构网络映射证件签名数字证书是本系统的信任根本，需确认从安全可信取到获得并妥当管理。

网络业务系统提交给网络映射证件验证机构或子系统的网络映射证件验证请求，一种验证请求为包含网络映射证件，另一种验证请求为包含能唯一检索指定网络映射证件的特定标识。如果网络映射证件验证机构或子系统，接收到的是网络映射证件本身，即能使用该网络映射证件进行后续验证操作；若接收到的是网络映射证件标识，需先从网络映射证件目录中检索出该网络映射证件。

验证系统通过解析网络映射证件相关内容，能准确定位到该网络映射证件的颁发者数字证书，即网络映射证件签发机构网络映射证件签名数字证书及对应的网络映射证件撤销列表。

(2)网络映射证件的真实性、有效性验证

网络映射证件验证的最终目的，是通过其包含的证件实体认证要素、人证同一性认证要素及基本信息核验要素确认终端客户法定身份，网络映射证件真实有效是达成此目的的前提。

网络映射证件真实性和有效性验证，包括：

1)是通过检查网络映射证件有效期，确认有效性；

2)是使用网络映射证件签名数字证书验证映射证件签名数据，确认映射证件自身的真实性和完整性；

3)是使用网络映射证件签名数字证书验证映射证件撤销列表签名数据，确认映射证件撤销列表的真实性和完整性；

4)是查看映射证件序列号是否包含在撤销列表之内，确认映射证件有效性。

上述四个方面，任何一项验证失败，映射证件均视为无效。

2、网络映射证件要素认证。

确认网络映射证件真实、有效后，网络映射证件验证机构或子系统便从映射证件中解析所包含的要素，并根据实际业务要求对需要认证的要素实施认证，此过程网络映射证件验证机构或子系统需要与持有人直接或通过业务系统进行远程认证交互。

(1)证件实体认证。此过程要求远程客户端被认证方在RF读写设备上出示实体电子法定身份证件，网络映射证件验证机构或子系统结合证件实体认证要素和实体电子法定身份证件对挑战指令的应答，判断被认证方出示的是否为网络映射证件所绑定的实体电子法定身份证件。

(2)人证同一性认证。此过程采集远程客户端被认证方生物特征数据，并与人证同一性认证要素数据进行预定规则的比对，判断被认证方是否为网络映射证件合法持有人。这里所说的生物特征数据，具体是人脸相片或指纹或其他生物特征，根据人证同一性认证要素所标识的生物特征类型确定，远程生物特征数据采集优选的地加入活体识别功能。

(3)基本信息核验。此过程通过基本信息核验要素，核实业务系统通过手工输入或其他途径获得的个人信息是否属于网络映射证件合法持有人。

本发明并不限于上述实施方式，在不背离本发明的实质内容的情况下，本领域技术人员能想到的任何变形、改进、替换均落入本发明的保护范围。

Claims (9)

1.一种基于电子法定身份证件网络映射证件的网络法定身份管理系统，其特征在于，所述管理系统包括交互进行信息传送和验证的网络映射证件签发机构、网络映射证件验证机构、网络业务系统和网络映射证件持有人。

2.根据权利要求1所述基于电子法定身份证件网络映射证件的网络法定身份管理系统，其特征在于，所述网络映射证件签发机构包括法定身份证件签发机构和政府或相关部门授权的专门机构，所述网络映射证件签发机构根据国家政策向电子法定身份证件持有人签发网络映射证件，所述电子法定身份证件包括二代身份证、电子护照、电子双程证、电子回乡证、电子台胞证和电子大陆证；所述网络映射证件签发机构向网络映射证件持有人本人及网络映射证件验证机构实时发布所签发的网络映射证件；当网络映射证件所对应的法定身份证件实体证件被注销或挂失时，所述网络映射证件签发机构签发网络映射证件撤销列表，向网络映射证件验证机构实时发布。

3.根据权利要求1所述基于电子法定身份证件网络映射证件的网络法定身份管理系统，其特征在于，所述网络映射证件验证机构提供网络映射证件验证服务，所述网络映射证件验证机构包括提供验证服务的第三方独立机构、直接提供验证服务的网络映射证件签发机构或自行完成验证服务的网络业务系统。

4.根据权利要求1所述基于电子法定身份证件网络映射证件的网络法定身份管理系统，其特征在于，所述网络映射证件持有人为网络业务系统客户，所述网络业务系统客户从网络映射证件签发机构申请网络映射证件，用网络映射证件向网络业务系统证明自己的法定身份，参与具有实名制要求的业务。

5.根据权利要求1所述基于电子法定身份证件网络映射证件的网络法定身份管理系统，其特征在于，所述网络业务系统为具有实名制要求的网络业务系统，包括网上银行和淘宝开店。

6.根据权利要求1所述基于电子法定身份证件网络映射证件的网络法定身份管理系统，其特征在于，所述网络映射证件签发机构负责网络映射证件签名数字证书签发、网络映射证件撤销列表签发以及网络映射证件签名数字证书、网络映射证件、网络映射证件撤销列表的对外发布。

7.根据权利要求1所述基于电子法定身份证件网络映射证件的网络法定身份管理系统，其特征在于，所述网络法定身份管理系统包括网络映射证件持有人、网络业务系统和网络映射证件验证机构或子系统之间的交互工作模式，所述交互工作模式包括网络映射证件持有人选择网络业务系统某项业务，进行正常交互操作；当业务系统要求认证客户法定身份时，网络映射证件持有人向业务系统出示自己网络映射证件或其标识；网络业务系统向网络映射证件验证机构或子系统发出网络映射证件验证请求，所述验证请求包含网络映射证件或其标识；所述网络映射证件验证机构或子系统接受网络业务系统提交的网络映射证件验证请求，执行网络映射证件验证操作，确认远端客户是否为网络映射证件合法持有人；网络映射证件验证机构或子系统将网络映射证件验证结果反馈给网络业务系统，所述网络业务系统根据网络映射证件验证结果决定是否继续后续网络业务交互。

8.根据权利要求7所述基于电子法定身份证件网络映射证件的网络法定身份管理系统，其特征在于，所述确认远端客户是否为网络映射证件合法持有人时，网络映射证件验证机构或子系统与持有人直接或通过业务系统进行远程认证交互。

9.根据权利要求3所述基于电子法定身份证件网络映射证件的网络法定身份管理系统，其特征在于，所述网络映射证件验证机构对网络映射证件要素进行认证，包括证件实体认证、人证同一性认证和基本信息核验：

所述证件实体认证包括要求远程客户端被认证方在RF读写设备上出示实体电子法定身份证件，所述网络映射证件验证机构或子系统结合证件实体认证要素和实体电子法定身份证件对挑战指令的应答，判断被认证方出示的是否为网络映射证件所绑定的实体电子法定身份证件；

所述人证同一性认证包括采集远程客户端被认证方的生物特征数据，与人证同一性认证的要素数据进行预定规则的比对，判断被认证方是否为网络映射证件合法持有人，根据人证同一性认证的要素数据所标识的生物特征类型确定，所述生物特征数据包括人脸相片、指纹、虹膜和DNA信息；

所述基本信息核验包括通过基本信息核验要素，核实业务系统中包括通过手工输入获得的个人信息是否属于网络映射证件合法持有人。