基于区块链的电子证照政务办理系统及方法与流程

1.本发明涉及计算机、通信和信息安全技术领域，特别涉及一种基于区块链的电子证照政务办理系统及方法。


背景技术：

2.电子证照是一种常见的信息服务标识，是支撑国家“互联网+政务服务”指导方针的重要基础设施。电子证照的应用推动了各省市、部门实现政务服务相互衔接，基于其实现的线上政务办理信息服务也大程度地为人民生活带来便利。结合需求，电子证照的推广有两大基本需求：第一，要求保障电子证照内容可信，且证照办理流程透明可追责；第二，要求保障各类政务办理场景中实体证照共享的安全性与隐私性。对比上述需求，当前国内线上政务办理系统的实现方案存在以下不足：其一，信息服务的应用场景单一，未能实现其与全国各省市，以及各类服务的全面对接；其二，中心化的电子证照维护和存储结构一方面无法保证证照内容可信，另一方面无法对证照审批、签发等各个操作环节实行公开监督导致权威机构业务办理周期的拖延；其三，缺乏安全可信，且满足各项业务办理、督查需求的线上证照共享方案。区块链作为近年的热门技术，其去中心化的体系架构、链上节点交易透明不可篡改的安全特性，为实现可信的综合电子证照政务办理系统提供技术支持。


技术实现要素：

3.本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
4.为此，本发明的一个目的在于提出一种基于区块链的电子证照政务办理系统，该系统实现了对各省市、各类证照办理服务的全面对接。同时，系统内服务办理证照的内容可信、签发环节透明，引入的应用双向验证与授权访问机制的证照查验服务为系统参与用户之间证照的共享提供保护机制。本发明为实现完整证照业务链提供了技术支持。
5.本发明的另一个目的在于提出一种基于区块链的电子证照政务办理方法。
6.为达到上述目的，本发明一方面实施例提出了一种基于区块链的电子证照政务办理系统，包括：
7.政务联盟成员管理模块，用于实行政务联盟通用区块链网络架构的部署与维护，包括联盟链内成员组织和节点构成的初始化与动态准入监管，各类证照办理业务的成员服务创建及其成员证书签发机构的注册，以及网络功能组件的部署；
8.客户端应用程序模块，用于为各地区用户提供线上证照办理服务的综合信息服务系统，包括证照办理与证照查验两大业务功能；
9.电子证照生成模块，用于为审批合规的用户于链上生成其需求类型的电子证照；
10.电子证照签发模块，用于政务机构对系统内生成的电子证照的分发和链上存证；
11.访问控制模块，用于对用户提交的证照查验申请进行授权审理与访问控制；
12.电子证照验证模块，用于证照查验者验证电子证照可信性，包括电子证照内容与签名的验证、电子证照签发记录的溯源与验证和电子证照内容完整性验证。
13.另外，根据本发明上述实施例的基于区块链的电子证照政务办理系统还可以具有以下附加的技术特征：
14.进一步地，在本发明的一个实施例中，所述电子证照政务办理系统应用hyperledger fabric作为底层基础框架，基于所述框架的许可链特性——包括区块链网络成员准入制度和分布式账本——保障了电子证照签发机构的可信性以及网络内信息交易的隐私性，同时也为各部门、实体间事务处理的共识存证和溯源提供了技术支持。
15.进一步地，在本发明的一个实施例中，通过国家公安部门负责电子证照相关政务的全局指导与监督，对各地方级别公安机构业务实行准入的管理与动态监管；依照具体务类型，地方公安机构划分其辖区内不同类型服务成员组，规定提供各类型服务的定点政务机构。
16.进一步地，在本发明的一个实施例中，所述政务联盟成员管理模块具体用于，初始化政务联盟区块链网络组织成员，创建多类别证照办理业务的会员服务并部署证照签发节点，依据网络功能需求部署功能组件实现完整的业务逻辑框架。
17.进一步地，在本发明的一个实施例中，所述客户端应用程序模块包括：政务办理用户备案模块单元、电子证照申请单元、电子证照审理单元和电子证照查询发起单元；
18.所述政务办理用户备案模块单元，用于对使用所述电子证照政务办理系统的用户进行身份审核与备案，并为用户注册系统账户；其中，用户群体包括证照申请人、政务机构和证照查验人；
19.电子证照申请单元，用于向对应政务机构转发证照申请人的证照申请请求；
20.电子证照审理单元，用于系统内政务机构对相关证照申请请求进行受理与审批；
21.电子证照查询发起单元，用于系统内有证照查询意图的用户提交相关证照查验请求。进一步地，在本发明的一个实施例中，所述访问控制模块，具体用于，对系统用户证照查验申请的授权审理与访问控制，其中，所述访问控制模块通过签发访问授权凭据实现证照访问授权，通过智能合约中基于属性的访问控制机制实现系统内证照的访问控制
22.进一步地，在本发明的一个实施例中，所述证照查验者验证电子证照可信性，包括：根据电子证照内容获取签发主体的关键身份属性信息；以由证照签发政务机构公钥证书以及其所属根证书签发中心公钥证书所构成的信任链为依据验证电子证照签发的可信性。
23.进一步地，在本发明的一个实施例中，所述对电子证照签发记录溯源查询验证，包括：利用链码方法获取该项证照在区块链上以交易形式存证的所有处理记录，包括该证照的签发、吊销、修改等操作执行的具体日期、执行者签名等信息，每一项记录皆可溯源、可追责。
24.为达到上述目的，本发明另一方面实施例提出了一种基于区块链的电子证照政务办理方法，包括以下步骤：
25.实行政务联盟通用区块链网络架构的部署与维护，包括联盟链内成员组织和节点构成的初始化与动态准入监管，各类证照办理业务的成员服务创建及其成员证书签发机构的注册，以及网络功能组件的部署；
26.为用户提供可视化综合信息服务系统，为多个地区的用户提供多类型电子证照的线上办理、查证服务；
27.政务机构为审批合规的用户于链上生成其需求类型的电子证照；
28.政务机构将系统内生成的电子证照分发给证照主体并将其于链上存证；
29.政务机构对用户提交的证照查验申请进行授权审理并基于智能合约实现目标证照的访问控制；
30.证照查验者查验电子证照内容及签名的有效性，同时能对目标证照的签发记录于链上进行溯源与验证。
31.另外，根据本发明上述实施例的基于区块链的电子证照政务办理方法还可以具有以下附加的技术特征：
32.进一步地，在本发明的一个实施例中，所述电子证照政务办理系统应用hyperledger fabric作为底层基础框架，基于所述框架的许可链特性——包括区块链网络成员准入制度和分布式账本——保障了电子证照签发机构的可信性以及网络内信息交易的隐私性，同时也为各部门、实体间事务处理的共识存证和溯源提供了技术支持。
33.本发明实施例的基于区块链的电子证照政务办理系统及方法，应用fabric这一新兴联盟链技术，较现有线上电子证照政务办理系统实现以下优势：
34.1、在架构部署与方案设计上实现了与各省市、各类证照办理服务的全面对接；
35.2、基于hyperledger fabric作为联盟链的特性，保障参与证照颁发政务机构的可信性；
36.3、实现去中心化的电子证照维护与存储结构，一方面保证了证照被安全存储且内容可信，另一方面实现了证照签发流程各个节点(包括发行、更改、吊销等)的透明可验证；
37.4、多方监督政务处理进度，提升政务办理效率；
38.5、实现应用双向验证、授权访问机制的线上证照共享方案，在为证照拥有者提供隐私保护的同时，也为系统内业务办理的各个环节提供安全保障。
39.本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。
附图说明
40.本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：
41.图1为根据本发明一个实施例的基于区块链的电子证照政务办理系统结构示意图；
42.图2为根据本发明一个实施例的电子证照格式示例示意图；
43.图3为根据本发明一个实施例的访问授权凭据格式示例示意图；
44.图4为根据本发明一个实施例的基于区块链实现的通用电子证照政务办理体系架构图；
45.图5为根据本发明一个实施例的政务联盟区块链网络部署流程图；
46.图6为根据本发明一个实施例的政务联盟通用区块链网络架构部署案例图；
47.图7为根据本发明一个实施例的应用钱包使用方法示例图；
48.图8为根据本发明一个实施例的电子证照访问控制机制实现流程示意图；
49.图9为根据本发明一个实施例的基于区块链的电子证照政务办理方法流程示意
图。
具体实施方式
50.下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。
51.下面参照附图描述根据本发明实施例提出的基于区块链的电子证照政务办理系统及方法。
52.首先将参照附图描述根据本发明实施例提出的基于区块链的电子证照政务办理系统。
53.图1为根据本发明一个实施例的基于区块链的电子证照政务办理系统结构示意图。
54.如图1所示，该基于区块链的电子证照政务办理系统包括：政务联盟成员管理模块100、客户端应用程序模块200、电子证照生成模块300、电子证照签发模块400、访问控制模块500和电子证照验证模块600。
55.政务联盟成员管理模块100，用于实行政务联盟通用区块链网络架构的部署与维护，包括联盟链内成员组织和节点构成的初始化与动态准入监管，各类证照办理业务的成员服务创建其成员证书签发机构的注册，以及网络功能组件的部署。
56.客户端应用程序模块200，用于为用户提供可视化服务的综合信息服务系统，为多个地区的用户提供多类型电子证照的线上办理、查证服务。
57.电子证照生成模块300，用于为审批合规的用户于链上生成其需求类型的电子证照。
58.电子证照签发模块400，用于政务机构系统内生成的电子证照进行分发以及链上存证。
59.访问控制模块500，用于对用户提交的证照查验申请进行授权审理与访问控制。
60.电子证照验证模块600，用于证照查验者验证电子证照可信性，包括电子证照内容与签名的验证、电子证照签发记录的溯源与验证和电子证照内容完整性验。
61.进一步地，电子证照政务办理系统应用hyperledger fabric作为底层基础框架，基于框架的许可链特性——包括区块链网络成员准入制度和分布式账本——保障了电子证照签发机构的可信性以及网络内信息交易的隐私性，同时也为各部门、实体间事务处理的共识存证和溯源提供了技术支持。
62.本发明涉及的主体主要有四方：地方公安机构、签发电子证照的政务机构、证照申请人以及证照查验人。本发明利用由fabric平台缺省组件fabric ca签发的身份注册证书(enrollment certificates)实例化区块链网络中的证书。
63.依照系统功能需求，该联盟链中流通的证书分为两类：经由政务办理流程由相关机构签发的电子证照，和用于实行证照查验访问授权的访问授权凭据。这两类系统内信息标识皆以x.509标准为格式基础。其中，电子证照实例化通用框架的表项如表格1所示，该电子证照的通用格式定义为包含以下字段的多元组：e
‑
cert＝{版本号，序列号，签名算法，发布者，有效期，主体信息，主体公钥，扩展域字段，数字签名}，其中扩展域中的字段——该系
统基于各类证照签发服务的专业背景，分别制定适用于各行业证照标准的数据项标准实例化接口——通过调用对应接口生成相关属性；而访问授权凭据，其与电子证照在特征上的区别包括：证书有效期为自签发起的两天内；证书扩展域只包含该凭据签发主体被授权访问的目标证照序列号，且该值对应的属性命名为token。电子证照与访问凭据在系统内皆由fabric ca实例化，系统对两种证书的签发主体，即证照拥有者与证照访问者进行权限分隔，主要实现方式是将相关政务机构的证书签发中心的证书颁布主体分为两大组织单元——license和passport(即在fabric签发证书的主体信息字段中，ou属性值为license或passport，license对应电子证照签发主体，passport对应访问授权凭据签发主体)。该部分除了由表1列举了通用电子证照的主要字段描述，本实施例以系统内签发的驾驶资格电子证照，以及针对该电子证照的访问授权凭据为案例，其示例内容分别如图2与图3所示。
64.表1通用电子证照关键字段描述
[0065][0066][0067]
进一步地，本发明实施例设计的电子证照管理体系架构如图4所示，由国家公安部门负责电子证照相关政务的全局指导与监督，对各地方级别公安机构业务实行准入的管理与动态监管；接着，依照各个业务类型，地方公安机构划分其辖区内不同类型服务成员组(如交通业务办理、民政业务办理)，规定提供各类型服务的定点政务机构。上述分层证照管理体系为电子证照的全面推广提供结构上的支持。
[0068]
进一步地，在本发明的实施例中，基于电子证照管理体系的实现需求，政务联盟成员管理模块具体用于，创立与维护通用的电子证照政务联盟区块链网络架构，初始化并动态监管政务联盟的参与地区及其合规政务机构，为系统内多类别证照办理服务进行成员组的分隔与管理并分别为其成员机构注册证书签发机构，最终于网络内创建通信通道。本发明实施例的系统由国家公安机关作为政务联盟区块链网络的发起者，应用hyperledger fabric为基础开发框架，其部署方法详述如下：
[0069]
首先，初始化政务联盟区块链网络组织成员。在对该政务联盟区块链网络进行初始化时，由区块链网络管理员——即国家公安机构对该证照链参与地区(省市)及其相关业务机关以组织的形式加入fabric网络，并为其创建事务处理通道。该设计为实现跨地区、跨
部门的安全政务办理提供结构支持。
[0070]
其次，创建多类别证照办理业务的会员服务并部署证照签发节点，该过程的具体实现流程如图5示，本发明的实施例通过分层部署并管理的证书签发中心实现对证照签发机构的联盟链准入审批与动态监管：应用外部根证书签发中心(下称rca)，以为其注册对应服务成员组中fabric ica节点的方式授权某政务机构于该联盟网络签发电子证照的资格；联盟链网络内的成员政务机构通过维护其专属fabric ica实现电子证照签发以及相关证照查验的授权(签发访问授权凭据)；此外，fabric中通过msp实现组织内成员组的划分，该系统应用智能合约，能够依据msp与fabric ca实现的成员证照属性映射实现对网络内资源访问和系统操作权限的管控。其实现过程详述为：
[0071]
第一，以地区为单位划分组织并部署rca，国家公安机关为授权加入该联盟的各地区公安机构部署根证书签发中心(下称rca)——其由该地方公安机关于本地维护——作为授权本地区内政务机构证照签发资格的功能组件。各个地方公安机关维护的rca，以在网络中为本辖区政务机构注册中间证书签发机构(下称ica)的方式，实现对该机构于当前区块链网络内电子证照签发资格的授权，其中ica由授权政务机构自己维护。
[0072]
第二，按照本地区业务分类划分msp，由于当前证照办理业务种类繁多，包括医疗证照、结婚证、房产证的办理等，rca在组织内通过msp实现其辖区内证照签发机构业务的划分，同时为各类电子证照的实例化定义可调用的数据项标准接口。
[0073]
第三，为目标部署政务机构业务类型分类，对于某一个政务办理机构，规定其办理的具体业务类型，例如将某地方卫生局归类为医疗证照办理业务类型。
[0074]
第四，将目标部署ica映射到对应msp，为授权办理业务的政务机构于该组织内注册ica，以该机构名称对其命名，并将其映射到具体的服务成员组中。该ica的部署方式在实现区块链节点准入机制，保障网络节点可信的同时，为实现系统业务逻辑分隔，各类电子证照数据项标准可调用接口实例化的权限管理工作提供支持。
[0075]
第五，将ica划分为license和passport两大组织单元，分别实行电子证照签发与访问授权凭据的签发业务。fabric的组织中划分的组织单元(ou)，每个单元具有不同的职责与的业务线，其具体表现形式是在证书主体信息字段中的ou属性的值，具体如图2和图3所示。
[0076]
最后，依据网络功能需求部署功能组件实现完整的业务逻辑框架，主要包括：通过部署网络中的orderers节点集群实现网络内的共识算法；通过各组织部署的peer节点托管分布式账本与智能合约；通过部署k
‑
v数据库记录当前网络内变量的状态。
[0077]
综上，本发明实施例中实现的区块链网络由全国各地区政务管理机构组成联盟共同维护，其成员组成由多方共同监督，并由国家公安机关进行全局管理，在一定程度上保证网络中政务的安全可信处理。此外，基于区块链由多方实体共同维护通道内账本的网络结构特征，以及区块链本身的密码学特性，该系统能够保证上链证照的可信性与不可篡改性，同时能够实现对已上链证照操作记录的溯源与追责。
[0078]
具体地，本发明实施例的政务联盟通用区块链网络架构部署过程如图6所示，国家公安机关首先以org_s组织的形式将s市加入证照链业务场景，并为该组织注册rca实施本市内证照签发机关的授权。s市地方公安机构rca以会员服务(msp)的形式将组织划分为交通业务办理、医疗证照办理、民政事务办理等多类服务成员组。当s市交通管理部门a向本地
公安机构rca提交驾驶电子证照签发资格申请——附加相关证明材料由提交机关审核(包括查验申请提交单位是否处于执业状态，其行业许可证是否在有效期内等)；rca会为a注册网络内ica，并将其映射于s市交通业务办理机构成员组driver license msp；接着，rca以a机构命名该ica——a_institution.ica.org_s。以上步骤实现了将a机构设立为s市驾驶证照业务办理的定点可信机构之一的流程，a证照签发机构的身份与该ica的公钥绑定，且该ica代表a机构执行驾照签发与代理签发访问授权凭据的职能。该实施例中，由a机构维护的ica的注册信息如图2、图3中issuer字段所述。
[0079]
举例而言，本发明实施例有hua li与ming li两位系统用户。其中，由hua li向交通管理局a申请驾驶电子证照，同时由ming liu在系统内发起对hua li该驾驶电子证照的查验请求。具体地，该实施例中分别为hua li与ming li签发的电子证照和访问授权凭据如图2和图3所示，结合上述证书格式的定义，示例的具体字段解释如下：
[0080]
其一，交通管理局a为hua li颁布的驾驶电子证照如图2所示：issuer字段为当前驾驶证照的权威签发机构——交通管理局a的基本信息，包括其中的c、st、l字段，以及标注该机构所属组织的o字段皆标明该签发机构地理位置位于s市，ou字段表明当前签发机构办理服务类型，在示例中为驾照办理业务，cn字段表明该签发机构的具体名称，示例中为a；validity字段表明该驾驶电子证照的有效期为7年；subject字段标明该证照签发主体——hua li的身份信息，该字段中的ou属性为license标明hua li被签发的证书类型为电子证照，cn标注hua li的基本信息；subject public key info标注该平台内与hua li身份和操作相绑定的公钥信息；extensions字段为该系统通过调用驾照标准信息项实例化接口生成的hua li身份属性信息，示例中hua li的驾驶电子证照资质类型为c1；最后，该证照由证照签发机构a进行数字签名。
[0081]
其二，ming liu被签发的针对hua li驾驶证照的访问授权凭据如图3所示；issuer字段与电子证照基本一致，由为hua li签发驾驶电子证照的权威机构a代理签发针对其的访问授权凭据；validity字段表明该访问授权凭据的有效期为2天；subject字段的ou属性为passport标明证照主体被签发的证书类型为访问授权凭据，该字段中包含的其他属性皆标明了当前授权用户ming liu的基本信息；关键的，extensions字段只包含一个属性，即token，其值对应被授权访问的hua li驾驶电子证照序列号；最后，由机构a对该访问授权凭据进行签名，该凭据可被验证为有效。该凭据的签发实现了hua li对ming liu访问其驾驶电子证照的短期授权。
[0082]
具体地，该网络架构部署方案利用区块链特性，实现政务联盟各机构的相互监督，保证业务层面各个业务办理机构的可信；同时，应用fabric的会员服务提供商(msp)组件实现政务联盟各成员组织内多类别电子证照业务办理机构成员组的分隔，系统依据专业背景定义组织内各类证照字段标准实现接口，最终能够通过msp实现不同接口在对应场景中的自动实例化(证书生成)以及系统内政务机构成员实体对接口调用权限的管理。
[0083]
进一步地，hyperledger fabric可以通过文件系统实现用户身份的“钱包(wallet)”，用来存储该系统用户于政务联盟区块链网络中获取的证书——该系统的每一个用户都可以包含一组身份，如不同的政务机构所颁布的不同类型的电子证照，以及授权访问不同证照的授权访问凭据。当该用户与政务联盟通道连接时，会从这些身份中选择一个接入应用程序，对应的，该用户可行使该身份对应的权限，如使用电子证照接入应用程序
办理相关政务、使用访问授权凭据接入应用程序对目标电子证照进行查验等。
[0084]
基于以上实施例，由交通局a为hua li签发驾驶证，卫生局c为其签发医疗证照保存至hua li本地文件系统钱包；ming liu于系统内向hua li申请查验其驾驶证，若hua li审批通过，则由交通局a维护ica代理签发访问授权凭据，该凭据的扩展域标注其授权访问的证照号；ming liu使用该凭据登陆系统，则可在两天内对该驾驶证进行查验，具体如图7所示。
[0085]
进一步地，客户端应用程序模块用于为用户提供可视化服务的综合信息服务系统，可为各地区用户提供各类型电子证照的线上办理、查证等服务。包括政务办理用户备案模块单元、电子证照申请单元、电子证照审理单元、电子证照查询发起单元。
[0086]
具体地，在本发明的实施例中，客户端应用程序模块具体用于实现一个综合信息服务系统，其以网络应用的形式，为系统内用户提供信息备案与账户注册的服务，并分别为证照申请人、政务机构、证照查询人三类用户提供电子证照办理申请、电子证照签发线上审批、电子证照查询发起的网页操作页面。
[0087]
其中，政务办理用户备案单元，用于对意图使用本发明实施例的系统的用户(包括证照申请人、政务机构与证照查验人)进行身份审核与备案，并为其注册系统账户。
[0088]
电子证照申请提交单元，用于向对应政务机构转发证照申请人的证照申请请求。
[0089]
电子证照审理单元，用于系统政务机构对相关证照申请进行受理与审批。
[0090]
电子证照查询发起单元，用于系统内有证照查询意图的用户提交相关证照查验请求。
[0091]
具体地，本发明实施例的客户端应用程序模块主要通过网页应用的形式实现，且其中的大部分审核逻辑需要与各地区的政府部门进行对接。
[0092]
第一，初次使用该系统的用户通过该客户端的政务办理用户备案单元进行身份的审核、备案与注册，紧接上述的具体实施例，通过驾驶考试的hua li在本系统中注册的具体过程详细叙述如下：
[0093]
1)hua li在客户端填写相关信息进行实名认证；
[0094]
2)系统对接相关政府部门，对用户身份真实性进行审核；
[0095]
3)若审核通过，则在系统内对hua li的身份信息进行备案，并未该用户创建系统内的账户；
[0096]
第二，电子证照申请提交，由hua li向对应机构提交驾驶证照的签发申请，具体过程详细叙述如下：
[0097]
1)hua li利用其在该系统实名认证后获取的账户，登陆该系统；
[0098]
2)hua li于系统客户端选取业务办理类型为“办证”，并选取具体的证照办理类型；
[0099]
3)系统根据hua li实名认证的地址信息以及其要办理的业务类型，在该区块链网络对应的服务成员组中，匹配条件合适的政务办理机构，假设为a交通管理局；
[0100]
4)hua li于客户端提交驾照资格审核材料，该系统将证照申请请求及其材料转发给a机构审理。
[0101]
第三，在a交通管理局此外对huali的证照申请请求进行审批。在该系统中，被授权加入该政务联盟区块链网络的政务机构拥有专用的账户和客户端操作板块，审理流程详述
如下：
[0102]
1)政务机构a登陆专属账户可以产看到hua li的请求；
[0103]
2)政务机构a可查看hua li实名认证信息，以及其相关验证材料；
[0104]
3)政务机构a可于客户端选择对该证照签发的“批准”与“拒绝”：若批准则在区块链中自动生成电子驾驶证照并上链。
[0105]
自此，hua li可以在该驾照有效期内使用该证照接入通道，进行相关政务办理，期间hua li拥有该身份对应的权限。
[0106]
第四，本发明实施例中，若有系统其他用户，例如交警意图查询hua li驾驶证照的可信性，则于系统内发起请求，其详细步骤说明如下：
[0107]
1)对于在该系统经过实名认证，拥有账户的用户，登陆该系统；
[0108]
2)登陆用户于系统客户端选取业务办理类型为“查证”；
[0109]
3)于客户端查证板块指定目标证照信息(例如录入hua li驾驶证照号，证照拥有者姓名等信息)；
[0110]
4)证照查询申请将被转交到拥有该目标电子证照的医务工作人员页面予以允许查看或拒绝查看的审批。
[0111]
进一步地，在本发明的实施例中，电子证照生成模块用于为审批合规用户生成其需求类型的电子证照。如上文介绍，当由网络管理员对联盟链成员组织进行初始化时，将为组织内每一类电子证照服务定义一套证照标准数据项实例化接口，主要包括该类证照有效期的长短、扩展域字证照相关信息项标准等。
[0112]
在本发明的具体实施例中，交通局a审批于客户端审批通过了hua li的驾照申请，其所维护的ica为该用户签发系统内的电子证照，具体的证照生成规范详描如下，具体案例如图2所示：
[0113]
1)该电子证照issuer字段(签发者)将标记该签发ica信息，依据上述的ica部署方法，该字段所包含的ou属性标注该ica所办理的电子证照办理服务类型，driver license表示驾照业务的办理；同时，其cn属性标注了具体的签发机构名称，即a机构；另外o字段标注了该政务机构所属的组织，即隶属管辖地域为s市；
[0114]
2)电子证照的subject字段，则由该证照签发政务机构据用户实名认证信息自动生成地点、基本信息属性值；此外，由于签发的是电子证照，因此其ou属性首先标注为license，表示该证书类型为电子证照；
[0115]
3)最后，系统自动为该证照的生成调用驾驶电子证照对应的标准实例化接口，依据实名认证与资格审核过程得到的信息项自动生成该证书的有效期、扩展域等字段。
[0116]
进一步地，在本发明的实施例中，电子证照签发模块用于对系统内生成的电子证照的分发以及链上存证，要求用户可使用。hyperledger fabric网络中的账本是有序且不可篡改的状态转换记录，包括区块链(blockchain)和世界状态(word state)两部分。其中，区块链保存着不可变的全部事务处理记录，而世界状态维护账本的当前状态，为应用程序快速查询与溯源提供结构支持。本发明的实施例中，当ica自动生成了签发证书，系统进行以下两个步骤：
[0117]
第一步，该政务机构的管理员以该证照的序列号作为键值，将该电子证照各个字段以键
‑
值对的形式存储进世界状态数据库，并在原有的数据结构基础上添加原始字段的
哈希值作为当前电子证照的完整性验证凭据；在由管理员签发、存证该证照的同时，其颁发记录也将存证于区块链——基于该键值于链上溯源，其第一条事务处理记录即为该电子证照的颁发记录，系统用户操作的每笔交易皆由联盟节点成员共识上链，因而证照的每个操作节点可通过数字签名追责。
[0118]
第二步，fabric ica于网络内为用户签发该电子证照，证照签发主体自动将其保存至本地钱包文件系统中，用户可利用其登陆并使用其对应的权限与身份。
[0119]
进一步地，在本发明的实施例中，访问控制模块用于对系统用户的证照查验申请进行授权审理与访问控制，该模块通过签发访问授权凭据实现证照访问授权，通过智能合约中基于属性的访问控制机制实现系统内证照的访问控制。
[0120]
其中，证照访问授权，如图6所示，ming liu申请获取hua li的驾驶证照的访问权限，其于客户端提交申请，hua li则对其进行授权，于系统内同意后，则由该证照签发机构——交通局a所维护的ica代理签发访问授权访问凭据，具体形式如图3所示：签发者信息与该权威机构一致；证书有效实现为2天，即该授权访问只在两天内有效；证书主体信息标记ou字段为passport；最关键的，扩展字段包含名为token的属性，其值为授权访问证照序列号信息。
[0121]
接着，证照访问控制，其具体实现流程如图8所示。当用户意图查验某证照，其首先于系统内获取访问该证照的访问授权凭据，并使用其接入通道，若钱包中不存在对应的凭据，则无法访问；其次，系统利用智能合约对该证照的属性进行判断，第一，判断该证书类型是否为授权凭据，即ou字段为passport，第二，查看该凭据的扩展域字段中token属性是否为目标访问证照的序列号；接着，当满足上述条件，合约将获取分发该凭据的权威机构公钥，检验其签名，若签名有效，则认为该凭据有效，且当前用户可进一步利用该凭据接入联盟链通道于两天内对该目标证照进行访问和查验。
[0122]
可以理解的是，该电子证照访问控制模块对于系统用户的查验请求，只有授权用户能够获取目标证照的访问权与验证权限。
[0123]
进一步地，电子证照验证模块用于证照查验者验证电子证照可信性，包括电子证照内容与签名的验证以及其签发记录的溯源验证以及证照完整性验证三方面。
[0124]
首先，电子证照内容及签名的验证方法主要为：其一，根据电子证照内容可获取关于签发主体的关键身份属性信息；其二，通过获取证照签发政务机构公钥以及其根ca——地区公安机关的公钥证书，构成信任链验证电子证照签发的可信性；
[0125]
其次，签发记录溯源主要通过以下方式：利用链码方法gethistoryforkey可以获取该项证照在区块链上以交易形式存证的所有处理记录，包括该证照的签发、吊销、修改等操作执行的具体日期、执行者签名等信息，每一项记录皆可溯源、追责；
[0126]
最后，根据证照存储结构中哈希值表项验证该证照内容的完整性。
[0127]
根据本发明实施例提出的基于区块链的电子证照政务办理系统，首先实现了线上电子证照政务办理服务在场景与范围上的扩展——即在地域上与各省市对接，在服务上与各类电子证照办理业务对接；其次，该系统实现了各个政务机构在电子证照业务办理以及审批流程的透明，并能对该过程中的每个操作节点进行溯源和追责；最后，该系统能够实现应用实体双向验证与授权访问机制的电子证照安全共享方案，为政务处理各个环节的隐私性与安全性提供保障。该系统构建方案的推广，为构建完整电子证照业务链，实现跨地区、
跨部门的安全政务办理体系提供支持。
[0128]
其次参照附图描述根据本发明实施例提出的基于区块链的电子证照政务办理方法。
[0129]
图9为根据本发明一个实施例的基于区块链的电子证照政务办理方法流程图。
[0130]
如图9示，该基于区块链的电子证照政务办理方法包括以下步骤：
[0131]
步骤s1，实行政务联盟通用区块链网络架构的部署与维护，包括联盟链内成员组织和节点构成的初始化与动态准入监管，各类证照办理业务的成员服务创建及其成员证书签发机构的注册，以及网络功能组件的部署；
[0132]
步骤s2，为用户提供可视化综合信息服务系统，为多个地区的用户提供多类型电子证照的线上办理、查证服务；
[0133]
步骤s3，政务机构为审批合规的用户于链上生成其需求类型的电子证照；
[0134]
步骤s4，政务机构将系统内生成的电子证照分发给证照主体并将其于链上存证；
[0135]
步骤s5，政务机构对用户提交的证照查验申请进行授权审理并基于智能合约实现目标证照的访问控制；
[0136]
步骤s6，证照查验者查验电子证照内容及签名的有效性，同时能对目标证照的签发记录于链上进行溯源与验证。
[0137]
进一步地，在本发明的一个实施例中，电子证照政务办理系统应用hyperledger fabric作为底层基础框架，基于框架的许可链特性——包括区块链网络成员准入制度和分布式账本——保障了电子证照签发机构的可信性以及网络内信息交易的隐私性，同时也为各部门、实体间事务处理的共识存证和溯源提供了技术支持。
[0138]
需要说明的是，前述对方法实施例的解释说明也适用于该实施例的装置，此处不再赘述。
[0139]
根据本发明实施例提出的基于区块链的电子证照政务办理方法，首先实现了线上电子证照政务办理服务在场景与范围上的扩展——即在地域上与各省市对接，在服务上与各类电子证照办理业务对接；其次，该系统实现了各个政务机构在电子证照业务办理以及审批流程的透明，并能对该过程中的每个操作节点进行溯源和追责；最后，该系统能够实现应用实体双向验证与授权访问机制的电子证照安全共享方案，为政务处理各个环节的隐私性与安全性提供保障。该系统构建方案的推广，为构建完整电子证照业务链，实现跨地区、跨部门的安全政务办理体系提供支持。
[0140]
此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。
[0141]
在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结
合和组合。
[0142]
尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。