國內目前電子證照管理平臺主要依託第三方認證機構建立中心資料庫儲存資料,採用集中化資料庫來完成證照的製作、儲存、資訊查詢和交換共享,資料訪問和更新許可權屬於國家機關,各部門共享,但不能有效解決不同證件之間的資訊壁壘和資訊互通問題。
背景與現狀
區塊鏈去中心化的方式,可以解決資料在儲存和共享環節中存在的安全和信任問題。
在資料共享過程中對資料確權,實現儲存上不可篡改、流通流程可追溯,資料管理可審計的目的,保證資料在儲存、共享、審計等環節中的安全,促進資料的共享共用、增強資料在流通中的信任,消除單點故障、抵禦網路攻擊。
這些是區塊鏈DLT(distributed Ledger Technology)技術具備的主要優勢。證件多、辦證難、用證煩、核查慢等問題在當前身份認證市場普遍存在,製作發行證照需要搭建多級資料中心,不同證照身份系統之間存在資訊壁壘無法完全實現共享資訊。基於區塊鏈技術實現證照存證鏈不再需要構建多級資料中心,只需要建立點對點節點網路,採用主-側鏈多鏈結構,主鏈主要進行身份認證,側鏈認證各種證照(結婚證、不動產證、學位學歷證、營業執照證、衛生許可證),側鏈與主鏈進行錨定,實現證照資訊自由流動。
業務設計
登記--發證---收證---查驗
實體登記-數字身份驗證-數字身份上鍊
個人在指定的業務部門完成實名登記後,即可辦理電子證照的開通、登出、更改等日常業務。發證機構稽覈持證人資訊,生成持證人的數字身份;發證機構用其私鑰對持證人的數字身份簽名後,傳送給持證人,以及向電網資訊中心報審/備案。持證人使用自己的私鑰對接收到的有發證機構簽名的數字身份進行加密,並提交數字身份區塊鏈。數字身份區塊鏈完成驗證和共識過程,實現數字身份的記賬。
查驗
透過手機客戶端、PC工作端進行查驗操作,查驗操作記錄儲存在統一管理中心, 持證人出示客戶端上的數字身份碼,供查證人掃描;查證人利用發證機構的公鑰驗證數字身份是否為發證機構所發;查證人對持證人數字身份資訊進行查證。
總體架構
採用以太坊作為底層技術平臺
資料層:ETH區塊封裝
服務層:賬戶系統、區塊鏈服務、電子證照
使用者層:證照使用者app、發證機構
資料封裝
主鏈-側鏈雙向錨定
不同的證照對應各自的側鏈,側鏈的雙向錨定技術允許信任在不同網路間傳遞,建立個人信用體系。
互動設計
1.身份認證階段
主要涉及區塊鏈平臺、使用者App和後臺管理系統的互動。使用者登入系統ID,後臺管理系統進行身份認證。如果透過則將使用者身份資訊寫入身份管理資料庫。註冊區塊鏈ID,由使用者資訊(姓名、單位、城市、國家及其他代表使用者身份的資訊)生成全網唯一的身份標識,根據這一身份標識,需要判斷使用者是否為新使用者。
2. 發證、收證階段
3. 換證階段
4. 查驗
證人使用者端、持證人使用者端、區塊鏈平臺的互動
功能和API
可信電子證照應用的註冊、發證、查驗等過程,具體包括5個主要功能模組和5個API。
5個主要功能模組為公民使用者App、發證機構前端、區塊鏈平臺、政府業務庫和後臺身份管理資料庫;5個API包括註冊區塊鏈使用者、傳送制證資訊、查驗電子證照資訊、查詢使用者公鑰和查詢電子證明資訊。
註冊使用者
普通使用者、制證機關使用者、查驗機構使用者
輸入賬戶名,輸出區塊鏈地址
輸出:賬戶地址(註冊使用者在區塊鏈上的地址,用於使用者之間傳輸資訊)和賬戶公私鑰
傳送制證資訊
輸入:申請制證使用者的區塊鏈地址(發證機構制證後給該地址使用者傳送制證資訊)、發證機構組織機構程式碼(發證機構的唯一標示)、申請制證使用者的證件資訊(需要使用者公鑰加密)。
輸出:該筆交易的Hash值(交易資訊地址唯一標識)、記錄證件資訊的區塊編號(交易資訊地址唯一標識)。
查驗
輸入:查驗使用者的區塊鏈地址(普通使用者的電子證照資訊)、發證機構組織機構程式碼(發證機構的唯一標示)、被查驗普通使用者的證件資訊(需要查驗使用者公鑰加密)。輸出:該筆交易的Hash值(交易資訊地址唯一標識)、記錄證件資訊的區塊編號(交易資訊地址唯一標識)。
公鑰查詢
輸入:地址資訊。輸出:公鑰資訊。
查詢電子證照
根據區塊數以及交易Hash查詢電子證照資訊,用於普通使用者更新
電子證照資訊
輸入:使用者區塊鏈交易地址(指定查詢的交易地址)、記錄交易資訊的區塊數(指定查詢的區塊)、記錄電子證照的交易Hash(指定查詢的交易)。輸出:制證機構組織機構程式碼(獲取發證機構資訊)、電子證照資訊(獲取電子證照具體資訊)。
基於區塊鏈的資料共享
1. 資料安全共享
共享資料不會直接儲存在區塊鏈上,而是透過智慧合約將其錨定為區塊鏈上的數字資產。
將政府業務庫中共享的資料同步一份到其前置機的ODS中後,再將該部分共享資料在ODS中的訪問資訊加密後作為數字資產的後設資料;當以資料檔案方式提供時,是將政府業務庫中可共享的資料經過加密後,寫到ODS的檔案系統,形成一個共享資料檔案,再將該共享資料檔案的完整性雜湊值作為數字資產的後設資料儲存在區塊鏈上,而共享資料檔案本身依然儲存在政府業務庫前置機的ODS中。
數字資產包括頭資訊和後設資料
結構化資料的數字資產為:版本號+資料型別+數字資產後設資料;非結構化資料的數字資產為:版本號+資料型別+雜湊演算法+數字資產後設資料。
資料共享方透過區塊鏈客戶端釋出數字資產時,數字資產被記錄在交易負載中後提交到預置智慧合約,實現數字資產的釋出。
佔用空間較小的文字資料直接採用鏈上儲存,對佔用空間較大的資料或者檔案則將訪問這類資料的後設資料資訊採用鏈上儲存,檔案本身採用鏈下儲存。鏈下儲存可以是任意網路檔案系統、檔案連結、點對點分散式檔案系統等,如IPFS等。
2. 共享資料註冊與釋出
區塊鏈透過將共享資料轉化為數字資產,再透過智慧合約來對共享資料即數字資產在區塊鏈上進行註冊與釋出。釋出數字資產的智慧合約由政府業務系統提供,並由政府業務系統透過其前置終端部署在區塊鏈上。智慧合約部署完成後,其合約的內容可被區塊鏈中所有參與方共享和檢視,但智慧合約的所有者只有一個,即該智慧合約的部署者也即政府業務系統。
智慧合約的每次觸發執行均會對觸發訊息的傳送者做一次使用者許可權檢查,只有數字資產擁有者即智慧合約的所有者才有權更改智慧合約的共享規則。
數字資產所有者可以在智慧合約中預先設定一個可授權數字身份列表,列出具有共享數字資產獲取許可權的需求方,並維護該列表。智慧合約在執行時會匹配請求者身份,只有列表中的數字身份才能透過智慧合約來請求共享資料。
3. 全域性的共享資料資源目錄
智慧合約保證了只有被授權的和符合許可權觸發規則的查驗方才能觸發資料共享流程的執行,智慧合約在這裡起到了訪問控制的功能。
商業模式
與政府及第三方機構合作運營的方式,由其提供證照業務資料,並在電子證照平臺上發證;為公眾使用者提供免費的存證服務;對於有查驗需求的商業機構及社會組織,則按次數或流量收費,提供有償存證服務。
應 用
1. 電子證照解決紙質材料缺乏導致“辦證多跑”問題
電子證照,因其以二維碼的形式儲存於手機中,方便攜帶和使用,可以實現證照的無紙化審批,減少了紙質證照的使用,降低了社會成本與資源浪費,緩解了證件多、用證煩等證照亂象。
2. 智慧政務
傳統的證件驗證工作煩瑣,行政工作人員要投入大量精力進行人工檢查,既費時又費力。證照電子化可以對列入電子證照服務目錄的證照材料實行機器自動查驗,減少了人工檢查,這樣降低了行政成本,提高了政府原有體系的行政服務效率。
