安盟信息:密码服务平台,赋能云租户数字签名
引言
密码是国之重器,是数字技术发展的安全基因,是保障网络与数据安全的核心技术,也是推动我国数字经济高质量发展、构建网络强国的基础支撑。数字签名技术在密码应用中已覆盖很多主要行业和领域,数字签名技术的应用不断普及,应用场景持续拓宽。
1.数字签名,从一个案例说起
姜某与某银行在手机银行APP上签订了《某银行个人借款合同》约定借款。后期因未再按合同约定按期还款,银行起诉姜某至法院,要求按规定偿还本息。姜某辩称,双方之间没有金融借款合同关系,因为某银行提交的借款合同落款处借款人的名字系打印的楷体,不是其本人手写签名,故某银行的起诉没有法律依据,请求驳回银行的诉讼请求。
法院对本案件进行了审理,经审查认为,电子签名是通过密码技术对电子文档的电子形式签名,电子合同数字签名的外观形式包含文本式,即数字签名外观是一组无个体特征的通用字体文字,例如楷体、隶书等。《中华人民共和国电子签名法》第十四条规定:“可靠的电子签名与手写签名或者盖章具有同等的法律效力”,某银行向本院提交的《数字证书签名验证报告》,通过电子签名数据信息、时间戳、验证的PDF文档及其哈希值,验证了案涉借款合同自应用本签名以来,文档未被修改。
据此,法院确认案涉借款合同的真实性并认定银行提交的《某银行个人借款合同》上的签名为姜某的电子签名,依法确认该合同为有效合同;某银行提交的证据已达到了高度盖然性的标准,可以认定其已向姜某本人发放了案涉借款,法院依法判决姜某偿还所欠借款本息。后姜某提起上诉,二审法院维持原判。
2.关于数字签名
(1)数字签名是什么
数字签名也称为电子签名,或者简称为签名(signature)。不同于邮件末尾附上的用以表明自己的名字和公司等信息的“文字签名”,数字签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
通俗地讲,数字签名是根据消息内容生成的一串“只有自己才能计算出来的数值”,而且这串数值是会随着消息内容的改变而发生变化。数字签名相当于现实世界中的盖章、签字的功能在数字化世界中进行实现的技术。
(2)数字签名有什么作用
当发送方需要将一段信息发送给接收方时,如果使用了数字签名技术,那么整个过程可以识别篡改和伪装,还可以防止否认。
接收方能够识别发送的信息是否被人篡改,从而保障了信息的完整性;
接收方能够确认发送方的签名,但不能伪造;
发送方发出签名过的信息后,不能再否认;
一旦发送方和接收方出现争执,仲裁者可有充足的证据进行评判。
数字签名技术的这些特性,使得其可普遍应用在网上审批、办公、银行、证券等企业信息化、电子政务、电子商务领域。
(3)数字签名和商用密码技术
密码技术一直以来都被认为是最为安全、最为有效、最为经济、最为可靠的网络和信息安全的核心基础技术,这是由密码技术与生俱来的基本安全属性所决定的。2020年1月1日,《中华人民共和国密码法》正式颁布,将我国密码应用和管理的要求提升到了法律的层面。密码是网络安全的核心支撑,是构建网络信任体系的重要基石,是保护国家安全的战略性资源。国家密码管理局认定的商用密码算法,它是我国自主研发创新的一套数据加密算法,经过多年的发展,已经颁布多个算法标准,包括SM1、SM2、SM3、SM4、SM7、SM9、祖冲之密码算法(ZUC)等。目前应用最广泛的是SM2、SM3、SM4三种商用密码算法,分别为非对称加密算法、摘要算法和对称加密算法。
数字签名可以使用到非对称密码算法SM2和摘要算法SM3。非对称密码算法SM2的公钥以数字证书形式存在,可以公开,私钥必须保密。为保证私钥的安全性,一般将私钥保存在硬件密码设备中(如个人私钥可保存在USB Key中,系统私钥保存在密码设备中)。摘要算法SM3是一种把任意长的输入字符串变化成固定长的输出字符串的一种函数。
数字签名和密码技术中的公钥密码有着非常紧密的联系,需要使用到公钥和私钥组成的密钥对,即用私钥加密相当于生成签名,而用公钥解密则相当于验证签名。
签名所用的私钥只能由签名的人持有,而验证所用的公钥则是任何需要验证签名的人都可以持有。由于公钥密码算法计算过程的复杂性,直接对较长的原始信息进行签名会比较耗时,因此采用了单向散列函数值来生成一条很短的数据来代替原始信息,由单向散列函数的特性同时保证了运算速度和信息的一致性。
3.数字签名的运用现状和面临的问题
(1)应用不断普及 场景持续拓宽
数字签名率先受到金融机构的青睐,跟传统纸质合同中的印章/签名相比,电子印章、电子签名有着无可比拟的优势,适应了当下信息化、数字化发展的趋势,帮助企业/机构提高业务管理效率,降低成本,实现更安全可靠的数据保障。在金融、银行、贷款行业中可以用于对内日常办公流转的文档的盖章签字,对外涉及业务合作协议,采购合同,贷款申请、信用评估、贷款合同、贷款文件表、说明函等等。
在电子政务领域,随着数字经济的发展,政务的数字化进程加快,采用数字签名实现高效、便捷、安全、低成本的无纸化办公,推进政务电子化进程;在线办公领域,采用数字签名技术解决了疫情下无法线下签约的难题,同时使用电子合同也能减少合同存放、邮寄等成本,为企业达到降本增效的效果。
目前数字签名已经覆盖了很多主要行业和领域,随着“互联网+”的不断普及,未来将会有更多行业产生对电子签名的需求,应用场景持续拓宽。
(2)政企应用上云面临新的应用问题
随着云计算、大数据等信息技术的飞速发展,云计算时代到来,各类政务、企业应用纷纷在云环境下部署是不可逆转的趋势。传统的密码设备、密码产品应用方式无法适应云计算特性,无法满足云上数字签名应用场景的需求。
系统部署问题
数字签名技术在传统的应用场景中,依赖于安全的硬件密码模块来进行密码运算及密钥存储,如采用签名验签服务器、服务器密码机等密码设备。但在云环境中,硬件集成设施是统一的云服务器,传统的硬件密码模块或密码设备部署困难。
多租户管理和安全隔离问题
在云环境中,面临的是多个租户单位的数字签名需求,相应的是需要为这些租户提供密码计算资源和密钥管理,并需要解决租户间的安全隔离问题。
云环境下服务资源弹性扩展问题
在云环境下,由于租户单位、应用系统数量及业务容量的扩展,密码服务需要具备部署快速、灵活,可以动态配置,易于水平扩展的能力。为了支持云中按需使用、适合大并发、弹性部署的需求,相应的数字签名服务也需要满足用户弹性扩展的需求。
4.解决之道--平台化数字签名服务
安盟信息依托“安盟华御密码服务平台”,为用户提供集中统一的平台化数字签名服务,帮助用户轻松实现数字签名、签名验证、数字信封及相关的运营管理和安全审计等功能。
安盟信息数字签名服务架构图
丰富的数字签名及验签服务功能接口
平台可为各类电子信息数据、电子文档等提供基于数字证书的数字签名服务,并可验证签名数据的真实性、有效性和不可否认性;支持不同电子认证系统的用户证书验证,支持根证书、CRL、OCSP等多种方式的证书有效性验证。
提供数据签名验签服务接口、文件签名验签服务接口;提供数字信封服务接口,实现数据的数字信封加封解封功能;提供证书验证服务接口。
密码运算资源水平扩展、服务弹性
平台采用云服务器密码机等合规的商用密码产品,以满足数字签名相关的密码运算和密钥管理需求。平台通过由多台密码设备组成密码资源池的方式支持密码能力水平扩展,并提供密码资源的管理、分配、调度等功能,支持根据虚拟化服务实例动态分配密码资源并可弹性扩容。
租户安全隔离
采用云服务器密码机虚拟技术,可为云租户独立分配密码资源;采用微服务和虚拟vHSM隔离,以及多级密钥保护机制,对租户资源进行安全隔离。
在租户需要使用密钥进行数字签名时,通过密钥管理与密码计算解耦的方式,支持密码设备水平扩展,密码设备保证密钥的解密和数字签名在隔离的环境中通过原子操作完成。
运营管理、计费管理和安全审计
平台对租户提供服务相配套的运营管理、计费管理和安全审计功能。平台可支持密码服务规格和性能指标的设定和管理,以及各类密码服务的计费管理;支持应用系统使用密码服务的额度配置管理、流量控制。
租户管理员可通过安全通道登录平台进行管理配置,以及对本单位各类日志的安全审计。
安全合规
平台提供的数字签名服务,采用通过商用密码检测中心认证的密码产品,按照国家主管部门认可的数字签名和签名验证方式提供服务接口,保障了安全合规性。
5.密码服务平台,赋能云租户数字签名
安盟信息基于密码基因打造安全合规、统一管理、部署灵活、服务弹性可计量的密码服务平台,采用多模式资源集成技术,通过整合各种密码设备和系统、数据安全防护产品,打造服务化、场景化,易于行业快速对接集成的服务能力,对外向用户应用系统提供的数字签名服务,可帮助用户实现数字签名、签名验证、数字信封等功能,满足云计算、大数据、物联网等新应用场景下的数字签名应用需求,帮助用户建立可管可控、便捷易用、安全合规的数字签名服务体系。
提交
一站式全覆盖|安盟信息助力建设云密码服务运营体系
商用密码产品|服务器密码机的前世今生
创新商用密码应用|火力发电厂信息系统密码应用方案
携手共赴未来 护航数智发展 新奥集团与安盟信息签署战略合作
智慧矿山无人矿车密码应用解决方案