一种电子证照应用副本的安全生成方法及装置

摘要

本发明公开了一种电子证照应用副本的安全生成方法及装置，本方案在电子证照的照面上叠加证照应用内容信息形成电子证照应用副本可视本，进一步在证照应用副本的非照面信息区按类别存储相应的应用副本非照面区信息；对应用副本上的可视本及非照面区信息进行分类签名和加密。本电子证照应用副本的安全生成方案，能够在不同行业不同场景下实现安全的、可靠的和实用的电子证照应用副本的生成；可进一步促进电子证照在不同行业、不同应用场景下的应用示范和全面推广。

说明书

技术领域

本发明涉及信息安全技术，具体涉及电子证照的安全技术。

背景技术

当前，在国家层面，电子证照库被定义为一类基础库，各行各业对电子证照的示范应用和大力推广下，电子证照应用安全越来越受到重视，也越来越广泛地得到关注，但在实际业务应用过程中，考虑到正本的唯一性、法律效力和安全性，持证者往往是基于应用副本来进行的。

因此，其证照应用副本的真实性、安全性、可靠性和实用性显得尤为重要，也会进一步影响到行业推广。

对于证照应用副本的生产技术，目前普遍采用的方法是在通过证照正本复制产生一份新的电子文件，即称之为电子证照应用副本，或在证照正本可视本上叠加新的照面应用信息后，在没有通过有效的数字签名保护下产生一份新的电子文件，即称之为电子证照应用副本。

由正本复制产生应用副本，其在实际应用过程中存在如下问题：

一方面缺少对电子证照正本丢失而造成的影响缺少风险预案保护；

另一方面，正本直接使用，其使用范围、使用用途和使用有效期无法控制，造成电子证照的滥用风险。

由证照正本叠加新的照面信息而没有经过有效数字签名保护所形成的应用副本，其在实际应用过程中存在如下问题：

一方面缺少双向数字签名机制保护，其真实性和可靠性无法得到保护；

另一方面对副本在实际应用场景下包含隐私性的应用性信息缺少以使用者身份进行加密保护，其机密性和安全性无法得到保护；同时缺少对应用副本的授权访问控制，即使用范围、使用用途和使用有效期控制，造成滥用风险；

再一方面在证照应用副本中没有分类存贮证照源数据、扩展性信息和应用副本区信息，其实用性不强；

再一方面，对证照正本文件类型不支持产生多种文件类型的证照副本，实用性不够。

由此可见，提供一种安全可靠的证照应用副本生产技术是本领域亟需解决的技术问题。

发明内容

针对现有证照应用副本生成方案所存在的问题，需要一种安全性可靠，通用性强的电子证照应用副本方案。

为此，本发明所要解决的技术问题是提供一种电子证照应用副本的安全生成方法及装置。

为了解决上述技术问题，本发明提供的电子证照应用副本的安全生成方法，该安全生成方法在电子证照的照面上叠加证照应用内容信息形成电子证照应用副本可视本，进一步在证照应用副本的非照面信息区按类别存储相应的应用副本非照面区信息；对应用副本上的可视本及非照面区信息进行分类签名和加密。

进一步的，所述证照应用内容信息包括持证者所自定义的证照应用副本使用范围、证照应用副本使用用途和证照应用副本使用有效期。

进一步的，所述应用副本非照面区信息包括证照源数据、证照扩展性信息、证照管理性信息和应用副本应用性信息。

进一步的，通过解析对应有效的电子证照，解析出电子证照的照面信息和非照面信息，所述照面信息为证照的可视本信息，所述非照面信息包括证照源数据、证照扩展性信息、证照管理性信息和证照隐藏性信息；

选择相应的证照隐藏性信息和证照应用内容信息来形成应用副本应用性信息。

进一步的，对证照隐藏性信息进行分类存储和展示，以供选择。

进一步的，对应用副本上的可视本及非照面区信息进行分类签名时，

对证照应用副本的可视本信息和副本应用性信息以持证者身份进行数字签名；对证照源数据、证照扩展性信息和证照管理性信息以签发机构身份进行分类数字签名，并保存于证照非照面信息区。

进一步的，对副本应用性信息可选择性地以持证者身份进行加密保护。

进一步的，所述安全生成方法中还包括采集需要生成电子证照应用副本的电子证照的步骤，以及验证所采集到的电子证照的步骤。

为了解决上述技术问题，本发明提供的电子证照应用副本的安全生成装置包括：

数据加解密模块；

数字签名模块；

副本应用参数策略模块，生成副本应用参数策略信息，用于电子证照生成应用副本时使用；

证照应用模板，根据证照类型提供不同的证照应用模板，用于形成证照应用副本的可视本；

证照采集引擎模块，采集需要生成电子证照应用副本的电子证照；

证照验证引擎模块，对采集到的电子证照的真实性和有效性进行验证；

证照解析引擎模块，用于解析验证有效的电子证照，解析出证照的照面信息和证照的非照面性信息；

证照生成引擎模块，在解析出的证照照面信息的基础上根据证照应用模板，动态叠加证照应用内容信息，形成应用副本的可视本，并在应用副本的非照面区按类别存储相应的应用副本非照面区信息；并调用数据加解密模块和数字签名模块对应用副本上的可视本及非照面区信息进行分类签名和加密。

进一步的，所述证照采集需要生成电子证照应用副本的电子证照时，采集到是电子证照正本时用户可选择性生成保真本，并采用影子封装方法进行保护。

本发明提供的电子证照应用副本的安全生成方案，能够在不同行业不同场景下实现安全的、可靠的和实用的基于电子证照应用副本的生成；可进一步促进电子证照在不同行业、不同应用场景下的应用示范和全面推广。

本发明提供的电子证照应用副本的安全生成方案具体通过双向数字签名机制保证电子证照的真实性和可靠性；通过加密机制保证电子证照的机密性和安全性；通过应用副本的授权机制和使用应用副本保证电子证照的安全性；通过分类存储证照照面信息(可视本)和非照面信息，保证电子证照的实用性。

附图说明

以下结合附图和具体实施方式来进一步说明本发明。

图1为本发明实例中电子证照应用副本的安全生成装置组成示意图。

具体实施方式

为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。

虽然现有电子证照产品的生产制作的技术路线存在一定的差异性，但是其普遍做法都是基于全部信息进行数字签名机制保护，从而造成在电子证照产品的生成制作中需要采用基于全部信息进行数字签名的保护机制，无需采用对证照内部信息进行分类应用和保护机制的技术偏见。

针对该情况下，本方案克服现有的技术偏见，摒弃现有技术中采用基于全部信息进行数字签名的保护机制，通过在电子证照(正本、保真本或备案本)的可视本上叠加到预设的证照应用内容信息，形成电子证照应用副本的可视本，并在此基础上，进一步在证照应用副本的非照面信息区按类别存储相应的应用副本非照面区信息；对应用副本上的可视本及非照面区信息进行分类签名和加密。

由此构成的电子证照应用副本的安全生成方案，能够在不同行业不同场景下生成安全的、可靠的和实用性强的电子证照应用副本。

以下说明一下本电子证照应用副本的安全生成方案的实现过程。

(1)采集和验证需要生成电子证照应用副本的电子证照。

这里采集到的电子证照可以为证照正本、备案本或保真本(以下统一简称为电子证照)。同时对采集到的电子证照进行验证，以验证其真实性、有效性。

这里电子证照采集的方式有用户上传证照正本方式、后台存储的证照保真本方式。

另外在这之前，可预先准备好需要生成电子证照应用副本的证照应用模板。

另外，证照的保真本是指运营系统委托保真所用，在证照正本的基础上，在证照正本的可视本上叠加保真文字可视化说明，其具体文字包括但不限于中文简体保真字样，位置不限，在可视本的照面上即可，且含其它语言、字体，用途于委托保真之用，且通过持证者数字签名保护，形成的证照保真本；

(2)解析真实有效的电子证照。

对经过验证真实有效的电子证照进行解析，解析出电子证照的照面信息和证照的非照面性信息。这里的照面信息即为电子证照的可视本信息，非照面信息包括基于XML结构的证照源数据、基于XML结构的证照扩展性信息、基于XML结构的证照管理性信息和基于XML结构的证照隐藏性信息。

在基础上，通过选择相应的证照隐藏性信息和证照应用内容信息来形成应用副本应用性信息。作为举例，如从隐藏性数据区域选择证照的持证者信息和颁发机构信息，并可选择性以应用者身份进行加密存储，形成副本应用性信息。

由此形成的基于XML结构的证照源数据、基于XML结构的证照扩展性信息、基于XML结构的证照管理性信息以及应用副本应用性信息作为应用副本非照面区信息。

(3)生成电子证照应用副本的可视本。

具体，根据证照应用模板，在电子证照的可视本上叠加到预设的证照应用内容信息，形成应用副本的可视本。即将证照应用副本的证照应用内容信息可视化在应用副本照面上。

这里的证照应用内容信息包括但不限于应用副本的使用范围、应用副本的使用用途和应用副本的使用有效期。

由此，在可视本上设置可视化的应用副本使用范围、使用用途和使用有效期，对电子证照应用副本的使用权限进行授权控制，防止应用副本被滥用的风险，安全性高。

(4)按类别存储相应的应用副本非照面区信息。

根据电子证照中的非照面区信息，在证照应用副本的非照面区按类别可叠加相应的基于XML结构的证照源数据、基于XML结构的扩展性信息、基于XML结构的管理性信息和基于XML结构的副本应用性信息，由此可保证生成电子证照应用副本的实用性。

(5)对应用副本上的可视本及非照面区信息进行分类签名和加密。

对生成的证照应用副本的可视本信息和基于XML结构的副本应用性信息以持证者身份进行数字签名；

对基于XML结构的证照源数据、基于XML结构的扩展性信息和基于XML结构的管理性信息以签发机构的身份进行数字签名，并保存于证照非照面信息区；

由此实现双向数字签名机制保证电子证照应用副本的真实性和可靠性。

进一步的，对基于XML结构的副本应用性信息可选择性以持证者身份进行加密存储，即采用持证者身份的密钥进行加密保护，只有持证者才可以解密，保证安全性高。

由此生成的电子证照应用副本中，包括电子证照正本(或备案本，或保真本)的可视本、证照应用模板、电子证照正本(或备案本，或保真本)的源数据、电子证照正本(或备案本，或保真本)的扩展性数据和电子证照应用副本的应用性数据。

这里的证照应用模板包扣但不限于证照应用内容信息、证照应用样式、证照应用样式版本；该证照应用内容信息包括但不限于应用副本的使用范围、使用用途和使用有效期；证照应用样式包括但不限于证照类型、证照名称、证照应用内容对应的证照应用属性定义(内容属性名称、坐标、字体、图形、颜色、大小等)。

电子证照正本(或备案本，或保真本)的源数据包括但不限于证照照面信息、持证者信息；这里的证照照面信息主要由证照类型、证照样式和证照样式版本确定。

电子证照正本(或备案本，或保真本)的扩展性数据包括但不限于证照查询地址、证照验证地址。

电子证照应用副本应用性信息包括但不限于持证者的信息、颁发机关信息、副本应用性信息。

针对上述的电子证照应用副本的安全生产方案，本实例还进一步提供可适于不同行业不同场景下电子证照应用副本的安全产生装置。

参见图1，其所示为本实例提供的电子证照应用副本的安全生成装置100的组成示意图。由图可知，该装置主要包括：

副本应用参数策略模块110、证照应用模板120、证照采集引擎模块130、证照验证引擎模块140、证照解析引擎模块150、证照生成引擎模块160、数据加解密模块170和数字签名模块180。

其中，副本应用参数策略模块110，用于生成副本应用参数策略信息，该副本应用参数策略信息包括但不限于证照应用副本的使用范围，使用用途和使用有效期，用于证照正本(或备案本，或保真本)生成应用副本时使用。

证照应用模板120，根据证照类型定义出不同的证照应用模板，该证照应用模板包括但不限于证照应用内容信息，与证照正本(或备案本，或保真本)的可视本信息叠加在一起形成证照应用副本的可视本。

证照采集引擎模块130，通过不同的方式(人工输入或应用接口)采集需要生成电子证照应用副本的电子证照(正本、或备案本、或保真本)，用于生成证照应用副本的可视本上的照面信息和非照面区的基于XML结构的证照源数据、基于XML结构的扩展性信息、基于XML结构的管理性信息和基于XML结构的副本应用性信息。

证照验证引擎模块140，与证照采集引擎模块130数据连接，根据证照类型、证照类别(不用的版式)和颁证区域，验证证照采集引擎模块130所采集的电子证照的有效性。

证照解析引擎模块150，与证照验证引擎模块140数据连接，针对经过证照验证引擎模块140验证有效的电子证照，根据证照类型和证照类别(不用的版式)，解析出证照的照面信息和证照的非照面性信息。这里的照面信息即证照的可视本信息，非照面信息包括基于XML结构的证照源数据、基于XML结构的证照扩展性信息、基于XML结构的证照管理性信息和基于XML结构的证照隐藏性信息。

证照生成引擎模块160，其与证照解析引擎模块150、副本应用参数策略模块110和证照应用模板120数据连接，根据副本应用参数策略，判断出生成的电子证照应用副本的文件格式，调用相应的证照应用模板，并在电子证照正本(或备案本，或保真本)的可视本基础上，根据证照应用模板，动态叠加应用内容信息，形成应用副本的可视本，并在应用副本的非照面区按类别叠加基于XML结构的证照源数据、基于XML结构的扩展性信息、基于XML结构的管理性信息和基于XML结构的隐藏性信息。

在此基础上，证照生成引擎模块160进一步调用数字签名模块180，对生成的证照应用副本的可视本信息和基于XML结构的副本应用性信息以持证者身份进行数字签名；对基于XML结构的证照源数据、基于XML结构的扩展性信息和基于XML结构的管理性信息以签发机构的身份进行数字签名，并保存于证照非照面信息区。

同时，调用数据加解密模块170对基于XML结构的副本应用性信息可选择性以持证者身份进行加密存储。

数据加解密模块170，提供非对称加密、非对称解密、对称加密和对称解密的国密算法模块，用于数据加解密；

数字签名模块180，提供杂凑、数字签名和验签的国密算法，用于数据真实性和完整性保护。

针对据此构成的电子证照应用副本的安全生成装置100，以下举例说明一下基于该电子证照应用副本安全生成装置进行电子证照应用副本生成的过程。

基于该生成装置生成电子证照应用副本时，通过在证照可视本上叠加到预设的证照应用内容信息，形成应用副本的可视本，在证照源数据、证照扩展性信息和证照管理性信息的基础上，从隐藏性数据区域选择证照的持证者信息和颁发机构信息，并可选择性以应用者身份进行加密存储，形成副本应用性信息，对应用副本的可视本和副本应用性信息以持证者身份进行数字签名，而证照源数据、证照扩展性信息和证照管理性信息相对于电子证照保持不变。

在具体实现时，先启动装置预先加载副本应用参数策略模块、证照应用模板、证照采集引擎模块、证照验证引擎模块、证照解析引擎模块、证照生成引擎模块、数据加解密模块和数字签名模块。后续生成实现过程如下：

步骤1：证照采集引擎采集需要生成电子证照应用副本的电子证照正本(或备案本或保真本)，并根据副本应用参数策略选择采用电子证照正本(或备案本，或保真本)。

若采集到证照正本可选择是否生成保真本到本装置的数据库中。这里的保真本采用影子封装技术进行保护，可用于后续无需证照正本的情况下可直接通过保真本生成应用副本之用。

步骤2：调用证照验证引擎模块验证采集引擎所采集到的电子证照的正本(或备案本，或保真本)的真实性和有效性。

步骤3：调用证照解析引擎模块对真实有效的证照正本(或备案本，或保真本)进行解析，解析出照面信息和非照面信息，照面信息即证照的可视本信息，非照面信息包括基于XML结构的证照源数据、基于XML结构的证照扩展性信息、基于XML结构的证照管理性信息和基于XML结构的证照隐藏性信息。

步骤4：对基于XML结构的证照隐藏性信息进行分类存储和展示，由用户自主进行选择性添加到副本应用性信息；同时由用户自主选择添加具体的证照应用内容信息到副本应用性信息；由此来形成副本应用性信息。

这里基于XML结构的证照隐藏性信息进行分类展示于用户交互界面，以便由用户自主选择，该分类信息包含但不限于持证者的信息(如：营业执照的应用副本分类信息可以包含：投资情况、股东情况、营利情况、信用情况等)。

步骤5：证照生成引擎模块根据副本应用参数策略信息，判断出需要生成的电子证照应用副本的具体文件格式，动态调用对应的证照生成引擎模块，根据证照应用模板，在证照可视本上叠加到预设的证照应用内容信息，形成应用副本的可视本；

步骤6：证照生成引擎模块根据证照正本(或备案本，或保真本)中的非照面区信息，在证照应用副本的非照面区按类别叠加证照正本(或备案本，或保真本)的源数据、扩展性数据和管理性数据，以及可选择性叠加副本应用性信息。

步骤7：证照生成引擎模块调用数字签名模块和数据加解密模块，对证照应用副本的可视本和副本应用性信息采用持证者身份进行数字签名，对证照的副本应用性信息可选择性地以使用者的身份进行加密保护，对证照应用副本的源数据、扩展性信息和管理性信息采用签发机构进行分类数字签名。

步骤8：证照生成引擎模块根据副本应用参数策略信息，生成指定版式文件格式(该文件格式包括但不限于OFD、TIF和PDF)的证照副本文件。

本申请方案中采用双向数字签名机制保证电子证照的真实性和可靠性；可选择性对副本应用性信息以使用者身份进行加密，保证其机密性和安全性；通过应用副本的授权机制和使用应用副本保证电子证照的安全性；通过分类存储证照照面信息(可视本)和非照面信息，保证电子证照的实用性。相对于现有技术，具有如下优点：

1、安全性强：对电子证照公开数据(证照可视本、证照源数据和证照扩展性信息)采用基于国密算法的数字签名，对电子证照管理性信息和副本应用性信息可选择性采用基于国密算法的数字签名和加密保护；通过应用副本的授权机制和使用应用副本保证电子证照的安全性，安全性强；

2、可靠性高：对电子证照公开数据采用数字签名机制保护，对电子证照副本应用性信息采用持证者的数字签名和加密保护，可靠性高；

3、实用性强：在证照非照面区分类存储证照源数据、证照扩展性信息、证照管理性信息和证照副本应用性信息，以及存储结构基于XML结构，同时在证照应用副本的可视本上叠加应用内容信息，可读性和实用性广；

4、适用性广：普适于不同行业不同场景，且电子证照应用副本支持多种版式文件，适用性广；

5、经济价值高：基于电子证照保真技术的应用副本生成方法及装置，安全性强、实用性且适用性广，改变传统证照的传统应用模式，提高工作效率，可带动多行业的经济联动发展，经济价值高。

最后需要指出的上述方案，为纯软件架构，可以透过程序代码布设于实体媒体，如硬盘、软盘、光盘片、或是任何机器可读取(如智能型手机、计算机可读取)储存媒体，当机器加载程序代码且执行，如智能型手机加载且执行，机器成为用以实行本方案的装置。

再者，上述方案亦可以程序代码型态透过一些传送媒体，如电缆、光纤、或是任何传输型态进行传送，当程序代码被机器，如智能型手机接收、加载且执行，机器成为用以实行上述方案的装置。

以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。