1. 關(guān)于數(shù)字簽名

(1) 數(shù)字簽名是什么

數(shù)字簽名也稱為電子簽名,或者簡稱為簽名(signature)。不同于郵件末尾附上的用以表明自己的名字和公司等信息的“文字簽名”,數(shù)字簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。

通俗地講,數(shù)字簽名是根據(jù)消息內(nèi)容生成的一串“只有自己才能計(jì)算出來的數(shù)值”,而且這串?dāng)?shù)值是會(huì)隨著消息內(nèi)容的改變而發(fā)生變化。數(shù)字簽名相當(dāng)于現(xiàn)實(shí)世界中的蓋章、簽字的功能在數(shù)字化世界中進(jìn)行實(shí)現(xiàn)的技術(shù)。

(2) 數(shù)字簽名有什么作用

當(dāng)發(fā)送方需要將一段信息發(fā)送給接收方時(shí),如果使用了數(shù)字簽名技術(shù),那么整個(gè)過程可以識(shí)別篡改和偽裝,還可以防止否認(rèn)。

 接收方能夠識(shí)別發(fā)送的信息是否被人篡改,從而保障了信息的完整性;

 接收方能夠確認(rèn)發(fā)送方的簽名,但不能偽造;

 發(fā)送方發(fā)出簽名過的信息后,不能再否認(rèn);

 一旦發(fā)送方和接收方出現(xiàn)爭執(zhí),仲裁者可有充足的證據(jù)進(jìn)行評(píng)判。

數(shù)字簽名技術(shù)的這些特性,使得其可普遍應(yīng)用在網(wǎng)上審批、辦公、銀行、證券等企業(yè)信息化、電子政務(wù)、電子商務(wù)領(lǐng)域。

(3) 數(shù)字簽名和商用密碼技術(shù)

密碼技術(shù)一直以來都被認(rèn)為是最為安全、最為有效、最為經(jīng)濟(jì)、最為可靠的網(wǎng)絡(luò)和信息安全的核心基礎(chǔ)技術(shù),這是由密碼技術(shù)與生俱來的基本安全屬性所決定的。2020年1月1日,《中華人民共和國密碼法》正式頒布,將我國密碼應(yīng)用和管理的要求提升到了法律的層面。密碼是網(wǎng)絡(luò)安全的核心支撐,是構(gòu)建網(wǎng)絡(luò)信任體系的重要基石,是保護(hù)國家安全的戰(zhàn)略性資源。國家密碼管理局認(rèn)定的商用密碼算法,它是我國自主研發(fā)創(chuàng)新的一套數(shù)據(jù)加密算法,經(jīng)過多年的發(fā)展,已經(jīng)頒布多個(gè)算法標(biāo)準(zhǔn),包括SM1、SM2、SM3、SM4、SM7、SM9、祖沖之密碼算法(ZUC)等。目前應(yīng)用最廣泛的是SM2、SM3、SM4三種商用密碼算法,分別為非對(duì)稱加密算法、摘要算法和對(duì)稱加密算法。

數(shù)字簽名可以使用到非對(duì)稱密碼算法SM2和摘要算法SM3。非對(duì)稱密碼算法SM2的公鑰以數(shù)字證書形式存在,可以公開,私鑰必須保密。為保證私鑰的安全性,一般將私鑰保存在硬件密碼設(shè)備中(如個(gè)人私鑰可保存在USB Key中,系統(tǒng)私鑰保存在密碼設(shè)備中)。摘要算法SM3是一種把任意長的輸入字符串變化成固定長的輸出字符串的一種函數(shù)。

數(shù)字簽名和密碼技術(shù)中的公鑰密碼有著非常緊密的聯(lián)系,需要使用到公鑰和私鑰組成的密鑰對(duì),即用私鑰加密相當(dāng)于生成簽名,而用公鑰解密則相當(dāng)于驗(yàn)證簽名。

簽名所用的私鑰只能由簽名的人持有,而驗(yàn)證所用的公鑰則是任何需要驗(yàn)證簽名的人都可以持有。由于公鑰密碼算法計(jì)算過程的復(fù)雜性,直接對(duì)較長的原始信息進(jìn)行簽名會(huì)比較耗時(shí),因此采用了單向散列函數(shù)值來生成一條很短的數(shù)據(jù)來代替原始信息,由單向散列函數(shù)的特性同時(shí)保證了運(yùn)算速度和信息的一致性。

2. 數(shù)字簽名的運(yùn)用現(xiàn)狀和面臨的問題

(1) 應(yīng)用不斷普及 場景持續(xù)拓寬

數(shù)字簽名率先受到金融機(jī)構(gòu)的青睞,跟傳統(tǒng)紙質(zhì)合同中的印章/簽名相比,電子印章、電子簽名有著無可比擬的優(yōu)勢,適應(yīng)了當(dāng)下信息化、數(shù)字化發(fā)展的趨勢,幫助企業(yè)/機(jī)構(gòu)提高業(yè)務(wù)管理效率,降低成本,實(shí)現(xiàn)更安全可靠的數(shù)據(jù)保障。在金融、銀行、貸款行業(yè)中可以用于對(duì)內(nèi)日常辦公流轉(zhuǎn)的文檔的蓋章簽字,對(duì)外涉及業(yè)務(wù)合作協(xié)議,采購合同,貸款申請(qǐng)、信用評(píng)估、貸款合同、貸款文件表、說明函等等。

在電子政務(wù)領(lǐng)域,隨著數(shù)字經(jīng)濟(jì)的發(fā)展,政務(wù)的數(shù)字化進(jìn)程加快,采用數(shù)字簽名實(shí)現(xiàn)高效、便捷、安全、低成本的無紙化辦公,推進(jìn)政務(wù)電子化進(jìn)程;在線辦公領(lǐng)域,采用數(shù)字簽名技術(shù)解決了疫情下無法線下簽約的難題,同時(shí)使用電子合同也能減少合同存放、郵寄等成本,為企業(yè)達(dá)到降本增效的效果。

目前數(shù)字簽名已經(jīng)覆蓋了很多主要行業(yè)和領(lǐng)域,隨著“互聯(lián)網(wǎng)+”的不斷普及,未來將會(huì)有更多行業(yè)產(chǎn)生對(duì)電子簽名的需求,應(yīng)用場景持續(xù)拓寬。

(2) 政企應(yīng)用上云面臨新的應(yīng)用問題

隨著云計(jì)算、大數(shù)據(jù)等信息技術(shù)的飛速發(fā)展,云計(jì)算時(shí)代到來,各類政務(wù)、企業(yè)應(yīng)用紛紛在云環(huán)境下部署是不可逆轉(zhuǎn)的趨勢。傳統(tǒng)的密碼設(shè)備、密碼產(chǎn)品應(yīng)用方式無法適應(yīng)云計(jì)算特性,無法滿足云上數(shù)字簽名應(yīng)用場景的需求。

 系統(tǒng)部署問題

數(shù)字簽名技術(shù)在傳統(tǒng)的應(yīng)用場景中,依賴于安全的硬件密碼模塊來進(jìn)行密碼運(yùn)算及密鑰存儲(chǔ),如采用簽名驗(yàn)簽服務(wù)器、服務(wù)器密碼機(jī)等密碼設(shè)備。但在云環(huán)境中,硬件集成設(shè)施是統(tǒng)一的云服務(wù)器,傳統(tǒng)的硬件密碼模塊或密碼設(shè)備部署困難。

 多租戶管理和安全隔離問題

在云環(huán)境中,面臨的是多個(gè)租戶單位的數(shù)字簽名需求,相應(yīng)的是需要為這些租戶提供密碼計(jì)算資源和密鑰管理,并需要解決租戶間的安全隔離問題。

 云環(huán)境下服務(wù)資源彈性擴(kuò)展問題

在云環(huán)境下,由于租戶單位、應(yīng)用系統(tǒng)數(shù)量及業(yè)務(wù)容量的擴(kuò)展,密碼服務(wù)需要具備部署快速、靈活,可以動(dòng)態(tài)配置,易于水平擴(kuò)展的能力。為了支持云中按需使用、適合大并發(fā)、彈性部署的需求,相應(yīng)的數(shù)字簽名服務(wù)也需要滿足用戶彈性擴(kuò)展的需求。

3. 解決之道--平臺(tái)化數(shù)字簽名服務(wù)

安盟信息依托“安盟華御密碼服務(wù)平臺(tái)”,為用戶提供集中統(tǒng)一的平臺(tái)化數(shù)字簽名服務(wù),幫助用戶輕松實(shí)現(xiàn)數(shù)字簽名、簽名驗(yàn)證、數(shù)字信封及相關(guān)的運(yùn)營管理和安全審計(jì)等功能。

安盟信息數(shù)字簽名服務(wù)架構(gòu)圖

 豐富的數(shù)字簽名及驗(yàn)簽服務(wù)功能接口

平臺(tái)可為各類電子信息數(shù)據(jù)、電子文檔等提供基于數(shù)字證書的數(shù)字簽名服務(wù),并可驗(yàn)證簽名數(shù)據(jù)的真實(shí)性、有效性和不可否認(rèn)性;支持不同電子認(rèn)證系統(tǒng)的用戶證書驗(yàn)證,支持根證書、CRL、OCSP等多種方式的證書有效性驗(yàn)證。

提供數(shù)據(jù)簽名驗(yàn)簽服務(wù)接口、文件簽名驗(yàn)簽服務(wù)接口;提供數(shù)字信封服務(wù)接口,實(shí)現(xiàn)數(shù)據(jù)的數(shù)字信封加封解封功能;提供證書驗(yàn)證服務(wù)接口。

 密碼運(yùn)算資源水平擴(kuò)展、服務(wù)彈性

平臺(tái)采用云服務(wù)器密碼機(jī)等合規(guī)的商用密碼產(chǎn)品,以滿足數(shù)字簽名相關(guān)的密碼運(yùn)算和密鑰管理需求。平臺(tái)通過由多臺(tái)密碼設(shè)備組成密碼資源池的方式支持密碼能力水平擴(kuò)展,并提供密碼資源的管理、分配、調(diào)度等功能,支持根據(jù)虛擬化服務(wù)實(shí)例動(dòng)態(tài)分配密碼資源并可彈性擴(kuò)容。

 租戶安全隔離

采用云服務(wù)器密碼機(jī)虛擬技術(shù),可為云租戶獨(dú)立分配密碼資源;采用微服務(wù)和虛擬vHSM隔離,以及多級(jí)密鑰保護(hù)機(jī)制,對(duì)租戶資源進(jìn)行安全隔離。

在租戶需要使用密鑰進(jìn)行數(shù)字簽名時(shí),通過密鑰管理與密碼計(jì)算解耦的方式,支持密碼設(shè)備水平擴(kuò)展,密碼設(shè)備保證密鑰的解密和數(shù)字簽名在隔離的環(huán)境中通過原子操作完成。

 運(yùn)營管理、計(jì)費(fèi)管理和安全審計(jì)

平臺(tái)對(duì)租戶提供服務(wù)相配套的運(yùn)營管理、計(jì)費(fèi)管理和安全審計(jì)功能。平臺(tái)可支持密碼服務(wù)規(guī)格和性能指標(biāo)的設(shè)定和管理,以及各類密碼服務(wù)的計(jì)費(fèi)管理;支持應(yīng)用系統(tǒng)使用密碼服務(wù)的額度配置管理、流量控制。

租戶管理員可通過安全通道登錄平臺(tái)進(jìn)行管理配置,以及對(duì)本單位各類日志的安全審計(jì)。

 安全合規(guī)

平臺(tái)提供的數(shù)字簽名服務(wù),采用通過商用密碼檢測中心認(rèn)證的密碼產(chǎn)品,按照國家主管部門認(rèn)可的數(shù)字簽名和簽名驗(yàn)證方式提供服務(wù)接口,保障了安全合規(guī)性。

4. 安盟華御密碼服務(wù)平臺(tái),賦能云租戶數(shù)字簽名

安盟信息基于密碼基因打造安全合規(guī)、統(tǒng)一管理、部署靈活、服務(wù)彈性可計(jì)量的密碼服務(wù)平臺(tái),采用多模式資源集成技術(shù),通過整合各種密碼設(shè)備和系統(tǒng)、數(shù)據(jù)安全防護(hù)產(chǎn)品,打造服務(wù)化、場景化,易于行業(yè)快速對(duì)接集成的服務(wù)能力,對(duì)外向用戶應(yīng)用系統(tǒng)提供的數(shù)字簽名服務(wù),可幫助用戶實(shí)現(xiàn)數(shù)字簽名、簽名驗(yàn)證、數(shù)字信封等功能,滿足云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新應(yīng)用場景下的數(shù)字簽名應(yīng)用需求,幫助用戶建立可管可控、便捷易用、安全合規(guī)的數(shù)字簽名服務(wù)體系。