安盟信息:密碼服務平臺,賦能云租戶數字簽名
引言
密碼是國之重器,是數字技術發展的安全基因,是保障網絡與數據安全的核心技術,也是推動我國數字經濟高質量發展、構建網絡強國的基礎支撐。數字簽名技術在密碼應用中已覆蓋很多主要行業和領域,數字簽名技術的應用不斷普及,應用場景持續拓寬。
1.數字簽名,從一個案例說起
姜某與某銀行在手機銀行APP上簽訂了《某銀行個人借款合同》約定借款。后期因未再按合同約定按期還款,銀行起訴姜某至法院,要求按規定償還本息。姜某辯稱,雙方之間沒有金融借款合同關系,因為某銀行提交的借款合同落款處借款人的名字系打印的楷體,不是其本人手寫簽名,故某銀行的起訴沒有法律依據,請求駁回銀行的訴訟請求。
法院對本案件進行了審理,經審查認為,電子簽名是通過密碼技術對電子文檔的電子形式簽名,電子合同數字簽名的外觀形式包含文本式,即數字簽名外觀是一組無個體特征的通用字體文字,例如楷體、隸書等。《中華人民共和國電子簽名法》第十四條規定:“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”,某銀行向本院提交的《數字證書簽名驗證報告》,通過電子簽名數據信息、時間戳、驗證的PDF文檔及其哈希值,驗證了案涉借款合同自應用本簽名以來,文檔未被修改。
據此,法院確認案涉借款合同的真實性并認定銀行提交的《某銀行個人借款合同》上的簽名為姜某的電子簽名,依法確認該合同為有效合同;某銀行提交的證據已達到了高度蓋然性的標準,可以認定其已向姜某本人發放了案涉借款,法院依法判決姜某償還所欠借款本息。后姜某提起上訴,二審法院維持原判。
2.關于數字簽名
(1)數字簽名是什么
數字簽名也稱為電子簽名,或者簡稱為簽名(signature)。不同于郵件末尾附上的用以表明自己的名字和公司等信息的“文字簽名”,數字簽名是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。
通俗地講,數字簽名是根據消息內容生成的一串“只有自己才能計算出來的數值”,而且這串數值是會隨著消息內容的改變而發生變化。數字簽名相當于現實世界中的蓋章、簽字的功能在數字化世界中進行實現的技術。
(2)數字簽名有什么作用
當發送方需要將一段信息發送給接收方時,如果使用了數字簽名技術,那么整個過程可以識別篡改和偽裝,還可以防止否認。
接收方能夠識別發送的信息是否被人篡改,從而保障了信息的完整性;
接收方能夠確認發送方的簽名,但不能偽造;
發送方發出簽名過的信息后,不能再否認;
一旦發送方和接收方出現爭執,仲裁者可有充足的證據進行評判。
數字簽名技術的這些特性,使得其可普遍應用在網上審批、辦公、銀行、證券等企業信息化、電子政務、電子商務領域。
(3)數字簽名和商用密碼技術
密碼技術一直以來都被認為是最為安全、最為有效、最為經濟、最為可靠的網絡和信息安全的核心基礎技術,這是由密碼技術與生俱來的基本安全屬性所決定的。2020年1月1日,《中華人民共和國密碼法》正式頒布,將我國密碼應用和管理的要求提升到了法律的層面。密碼是網絡安全的核心支撐,是構建網絡信任體系的重要基石,是保護國家安全的戰略性資源。國家密碼管理局認定的商用密碼算法,它是我國自主研發創新的一套數據加密算法,經過多年的發展,已經頒布多個算法標準,包括SM1、SM2、SM3、SM4、SM7、SM9、祖沖之密碼算法(ZUC)等。目前應用最廣泛的是SM2、SM3、SM4三種商用密碼算法,分別為非對稱加密算法、摘要算法和對稱加密算法。
數字簽名可以使用到非對稱密碼算法SM2和摘要算法SM3。非對稱密碼算法SM2的公鑰以數字證書形式存在,可以公開,私鑰必須保密。為保證私鑰的安全性,一般將私鑰保存在硬件密碼設備中(如個人私鑰可保存在USB Key中,系統私鑰保存在密碼設備中)。摘要算法SM3是一種把任意長的輸入字符串變化成固定長的輸出字符串的一種函數。
數字簽名和密碼技術中的公鑰密碼有著非常緊密的聯系,需要使用到公鑰和私鑰組成的密鑰對,即用私鑰加密相當于生成簽名,而用公鑰解密則相當于驗證簽名。
簽名所用的私鑰只能由簽名的人持有,而驗證所用的公鑰則是任何需要驗證簽名的人都可以持有。由于公鑰密碼算法計算過程的復雜性,直接對較長的原始信息進行簽名會比較耗時,因此采用了單向散列函數值來生成一條很短的數據來代替原始信息,由單向散列函數的特性同時保證了運算速度和信息的一致性。
3.數字簽名的運用現狀和面臨的問題
(1)應用不斷普及 場景持續拓寬
數字簽名率先受到金融機構的青睞,跟傳統紙質合同中的印章/簽名相比,電子印章、電子簽名有著無可比擬的優勢,適應了當下信息化、數字化發展的趨勢,幫助企業/機構提高業務管理效率,降低成本,實現更安全可靠的數據保障。在金融、銀行、貸款行業中可以用于對內日常辦公流轉的文檔的蓋章簽字,對外涉及業務合作協議,采購合同,貸款申請、信用評估、貸款合同、貸款文件表、說明函等等。
在電子政務領域,隨著數字經濟的發展,政務的數字化進程加快,采用數字簽名實現高效、便捷、安全、低成本的無紙化辦公,推進政務電子化進程;在線辦公領域,采用數字簽名技術解決了疫情下無法線下簽約的難題,同時使用電子合同也能減少合同存放、郵寄等成本,為企業達到降本增效的效果。
目前數字簽名已經覆蓋了很多主要行業和領域,隨著“互聯網+”的不斷普及,未來將會有更多行業產生對電子簽名的需求,應用場景持續拓寬。
(2)政企應用上云面臨新的應用問題
隨著云計算、大數據等信息技術的飛速發展,云計算時代到來,各類政務、企業應用紛紛在云環境下部署是不可逆轉的趨勢。傳統的密碼設備、密碼產品應用方式無法適應云計算特性,無法滿足云上數字簽名應用場景的需求。
系統部署問題
數字簽名技術在傳統的應用場景中,依賴于安全的硬件密碼模塊來進行密碼運算及密鑰存儲,如采用簽名驗簽服務器、服務器密碼機等密碼設備。但在云環境中,硬件集成設施是統一的云服務器,傳統的硬件密碼模塊或密碼設備部署困難。
多租戶管理和安全隔離問題
在云環境中,面臨的是多個租戶單位的數字簽名需求,相應的是需要為這些租戶提供密碼計算資源和密鑰管理,并需要解決租戶間的安全隔離問題。
云環境下服務資源彈性擴展問題
在云環境下,由于租戶單位、應用系統數量及業務容量的擴展,密碼服務需要具備部署快速、靈活,可以動態配置,易于水平擴展的能力。為了支持云中按需使用、適合大并發、彈性部署的需求,相應的數字簽名服務也需要滿足用戶彈性擴展的需求。
4.解決之道--平臺化數字簽名服務
安盟信息依托“安盟華御密碼服務平臺”,為用戶提供集中統一的平臺化數字簽名服務,幫助用戶輕松實現數字簽名、簽名驗證、數字信封及相關的運營管理和安全審計等功能。
安盟信息數字簽名服務架構圖
豐富的數字簽名及驗簽服務功能接口
平臺可為各類電子信息數據、電子文檔等提供基于數字證書的數字簽名服務,并可驗證簽名數據的真實性、有效性和不可否認性;支持不同電子認證系統的用戶證書驗證,支持根證書、CRL、OCSP等多種方式的證書有效性驗證。
提供數據簽名驗簽服務接口、文件簽名驗簽服務接口;提供數字信封服務接口,實現數據的數字信封加封解封功能;提供證書驗證服務接口。
密碼運算資源水平擴展、服務彈性
平臺采用云服務器密碼機等合規的商用密碼產品,以滿足數字簽名相關的密碼運算和密鑰管理需求。平臺通過由多臺密碼設備組成密碼資源池的方式支持密碼能力水平擴展,并提供密碼資源的管理、分配、調度等功能,支持根據虛擬化服務實例動態分配密碼資源并可彈性擴容。
租戶安全隔離
采用云服務器密碼機虛擬技術,可為云租戶獨立分配密碼資源;采用微服務和虛擬vHSM隔離,以及多級密鑰保護機制,對租戶資源進行安全隔離。
在租戶需要使用密鑰進行數字簽名時,通過密鑰管理與密碼計算解耦的方式,支持密碼設備水平擴展,密碼設備保證密鑰的解密和數字簽名在隔離的環境中通過原子操作完成。
運營管理、計費管理和安全審計
平臺對租戶提供服務相配套的運營管理、計費管理和安全審計功能。平臺可支持密碼服務規格和性能指標的設定和管理,以及各類密碼服務的計費管理;支持應用系統使用密碼服務的額度配置管理、流量控制。
租戶管理員可通過安全通道登錄平臺進行管理配置,以及對本單位各類日志的安全審計。
安全合規
平臺提供的數字簽名服務,采用通過商用密碼檢測中心認證的密碼產品,按照國家主管部門認可的數字簽名和簽名驗證方式提供服務接口,保障了安全合規性。
5.密碼服務平臺,賦能云租戶數字簽名
安盟信息基于密碼基因打造安全合規、統一管理、部署靈活、服務彈性可計量的密碼服務平臺,采用多模式資源集成技術,通過整合各種密碼設備和系統、數據安全防護產品,打造服務化、場景化,易于行業快速對接集成的服務能力,對外向用戶應用系統提供的數字簽名服務,可幫助用戶實現數字簽名、簽名驗證、數字信封等功能,滿足云計算、大數據、物聯網等新應用場景下的數字簽名應用需求,幫助用戶建立可管可控、便捷易用、安全合規的數字簽名服務體系。
提交
一站式全覆蓋|安盟信息助力建設云密碼服務運營體系
商用密碼產品|服務器密碼機的前世今生
創新商用密碼應用|火力發電廠信息系統密碼應用方案
攜手共赴未來 護航數智發展 新奧集團與安盟信息簽署戰略合作
智慧礦山無人礦車密碼應用解決方案