引言

密碼是國之重器，是數(shù)字技術(shù)發(fā)展的安全基因，是保障網(wǎng)絡(luò)與數(shù)據(jù)安全的核心技術(shù)，也是推動我國數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展、構(gòu)建網(wǎng)絡(luò)強(qiáng)國的基礎(chǔ)支撐。數(shù)字簽名技術(shù)在密碼應(yīng)用中已覆蓋很多主要行業(yè)和領(lǐng)域，數(shù)字簽名技術(shù)的應(yīng)用不斷普及，應(yīng)用場景持續(xù)拓寬。

1.數(shù)字簽名，從一個案例說起

姜某與某銀行在手機(jī)銀行APP上簽訂了《某銀行個人借款合同》約定借款。后期因未再按合同約定按期還款，銀行起訴姜某至法院，要求按規(guī)定償還本息。姜某辯稱，雙方之間沒有金融借款合同關(guān)系，因?yàn)槟炽y行提交的借款合同落款處借款人的名字系打印的楷體，不是其本人手寫簽名，故某銀行的起訴沒有法律依據(jù)，請求駁回銀行的訴訟請求。

法院對本案件進(jìn)行了審理，經(jīng)審查認(rèn)為，電子簽名是通過密碼技術(shù)對電子文檔的電子形式簽名，電子合同數(shù)字簽名的外觀形式包含文本式，即數(shù)字簽名外觀是一組無個體特征的通用字體文字，例如楷體、隸書等。《中華人民共和國電子簽名法》第十四條規(guī)定：“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”，某銀行向本院提交的《數(shù)字證書簽名驗(yàn)證報告》，通過電子簽名數(shù)據(jù)信息、時間戳、驗(yàn)證的PDF文檔及其哈希值，驗(yàn)證了案涉借款合同自應(yīng)用本簽名以來，文檔未被修改。

據(jù)此，法院確認(rèn)案涉借款合同的真實(shí)性并認(rèn)定銀行提交的《某銀行個人借款合同》上的簽名為姜某的電子簽名，依法確認(rèn)該合同為有效合同；某銀行提交的證據(jù)已達(dá)到了高度蓋然性的標(biāo)準(zhǔn)，可以認(rèn)定其已向姜某本人發(fā)放了案涉借款，法院依法判決姜某償還所欠借款本息。后姜某提起上訴，二審法院維持原判。

2.關(guān)于數(shù)字簽名

（1）數(shù)字簽名是什么

數(shù)字簽名也稱為電子簽名，或者簡稱為簽名（signature）。不同于郵件末尾附上的用以表明自己的名字和公司等信息的“文字簽名”，數(shù)字簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。

通俗地講，數(shù)字簽名是根據(jù)消息內(nèi)容生成的一串“只有自己才能計算出來的數(shù)值”，而且這串?dāng)?shù)值是會隨著消息內(nèi)容的改變而發(fā)生變化。數(shù)字簽名相當(dāng)于現(xiàn)實(shí)世界中的蓋章、簽字的功能在數(shù)字化世界中進(jìn)行實(shí)現(xiàn)的技術(shù)。

（2）數(shù)字簽名有什么作用

當(dāng)發(fā)送方需要將一段信息發(fā)送給接收方時，如果使用了數(shù)字簽名技術(shù)，那么整個過程可以識別篡改和偽裝，還可以防止否認(rèn)。

接收方能夠識別發(fā)送的信息是否被人篡改，從而保障了信息的完整性；

接收方能夠確認(rèn)發(fā)送方的簽名，但不能偽造；

發(fā)送方發(fā)出簽名過的信息后，不能再否認(rèn)；

一旦發(fā)送方和接收方出現(xiàn)爭執(zhí)，仲裁者可有充足的證據(jù)進(jìn)行評判。

數(shù)字簽名技術(shù)的這些特性，使得其可普遍應(yīng)用在網(wǎng)上審批、辦公、銀行、證券等企業(yè)信息化、電子政務(wù)、電子商務(wù)領(lǐng)域。

（3）數(shù)字簽名和商用密碼技術(shù)

密碼技術(shù)一直以來都被認(rèn)為是最為安全、最為有效、最為經(jīng)濟(jì)、最為可靠的網(wǎng)絡(luò)和信息安全的核心基礎(chǔ)技術(shù)，這是由密碼技術(shù)與生俱來的基本安全屬性所決定的。2020年1月1日，《中華人民共和國密碼法》正式頒布，將我國密碼應(yīng)用和管理的要求提升到了法律的層面。密碼是網(wǎng)絡(luò)安全的核心支撐，是構(gòu)建網(wǎng)絡(luò)信任體系的重要基石，是保護(hù)國家安全的戰(zhàn)略性資源。國家密碼管理局認(rèn)定的商用密碼算法，它是我國自主研發(fā)創(chuàng)新的一套數(shù)據(jù)加密算法，經(jīng)過多年的發(fā)展，已經(jīng)頒布多個算法標(biāo)準(zhǔn)，包括SM1、SM2、SM3、SM4、SM7、SM9、祖沖之密碼算法(ZUC)等。目前應(yīng)用最廣泛的是SM2、SM3、SM4三種商用密碼算法，分別為非對稱加密算法、摘要算法和對稱加密算法。

數(shù)字簽名可以使用到非對稱密碼算法SM2和摘要算法SM3。非對稱密碼算法SM2的公鑰以數(shù)字證書形式存在，可以公開，私鑰必須保密。為保證私鑰的安全性，一般將私鑰保存在硬件密碼設(shè)備中（如個人私鑰可保存在USB Key中，系統(tǒng)私鑰保存在密碼設(shè)備中）。摘要算法SM3是一種把任意長的輸入字符串變化成固定長的輸出字符串的一種函數(shù)。

數(shù)字簽名和密碼技術(shù)中的公鑰密碼有著非常緊密的聯(lián)系，需要使用到公鑰和私鑰組成的密鑰對，即用私鑰加密相當(dāng)于生成簽名，而用公鑰解密則相當(dāng)于驗(yàn)證簽名。

簽名所用的私鑰只能由簽名的人持有，而驗(yàn)證所用的公鑰則是任何需要驗(yàn)證簽名的人都可以持有。由于公鑰密碼算法計算過程的復(fù)雜性，直接對較長的原始信息進(jìn)行簽名會比較耗時，因此采用了單向散列函數(shù)值來生成一條很短的數(shù)據(jù)來代替原始信息，由單向散列函數(shù)的特性同時保證了運(yùn)算速度和信息的一致性。

3.數(shù)字簽名的運(yùn)用現(xiàn)狀和面臨的問題

（1）應(yīng)用不斷普及 場景持續(xù)拓寬

數(shù)字簽名率先受到金融機(jī)構(gòu)的青睞,跟傳統(tǒng)紙質(zhì)合同中的印章/簽名相比,電子印章、電子簽名有著無可比擬的優(yōu)勢,適應(yīng)了當(dāng)下信息化、數(shù)字化發(fā)展的趨勢,幫助企業(yè)/機(jī)構(gòu)提高業(yè)務(wù)管理效率,降低成本,實(shí)現(xiàn)更安全可靠的數(shù)據(jù)保障。在金融、銀行、貸款行業(yè)中可以用于對內(nèi)日常辦公流轉(zhuǎn)的文檔的蓋章簽字,對外涉及業(yè)務(wù)合作協(xié)議,采購合同,貸款申請、信用評估、貸款合同、貸款文件表、說明函等等。

在電子政務(wù)領(lǐng)域，隨著數(shù)字經(jīng)濟(jì)的發(fā)展，政務(wù)的數(shù)字化進(jìn)程加快，采用數(shù)字簽名實(shí)現(xiàn)高效、便捷、安全、低成本的無紙化辦公，推進(jìn)政務(wù)電子化進(jìn)程；在線辦公領(lǐng)域，采用數(shù)字簽名技術(shù)解決了疫情下無法線下簽約的難題，同時使用電子合同也能減少合同存放、郵寄等成本，為企業(yè)達(dá)到降本增效的效果。

目前數(shù)字簽名已經(jīng)覆蓋了很多主要行業(yè)和領(lǐng)域，隨著“互聯(lián)網(wǎng)+”的不斷普及，未來將會有更多行業(yè)產(chǎn)生對電子簽名的需求，應(yīng)用場景持續(xù)拓寬。

（2）政企應(yīng)用上云面臨新的應(yīng)用問題

隨著云計算、大數(shù)據(jù)等信息技術(shù)的飛速發(fā)展，云計算時代到來，各類政務(wù)、企業(yè)應(yīng)用紛紛在云環(huán)境下部署是不可逆轉(zhuǎn)的趨勢。傳統(tǒng)的密碼設(shè)備、密碼產(chǎn)品應(yīng)用方式無法適應(yīng)云計算特性，無法滿足云上數(shù)字簽名應(yīng)用場景的需求。

系統(tǒng)部署問題

數(shù)字簽名技術(shù)在傳統(tǒng)的應(yīng)用場景中，依賴于安全的硬件密碼模塊來進(jìn)行密碼運(yùn)算及密鑰存儲，如采用簽名驗(yàn)簽服務(wù)器、服務(wù)器密碼機(jī)等密碼設(shè)備。但在云環(huán)境中，硬件集成設(shè)施是統(tǒng)一的云服務(wù)器，傳統(tǒng)的硬件密碼模塊或密碼設(shè)備部署困難。

多租戶管理和安全隔離問題

在云環(huán)境中，面臨的是多個租戶單位的數(shù)字簽名需求，相應(yīng)的是需要為這些租戶提供密碼計算資源和密鑰管理，并需要解決租戶間的安全隔離問題。

云環(huán)境下服務(wù)資源彈性擴(kuò)展問題

在云環(huán)境下，由于租戶單位、應(yīng)用系統(tǒng)數(shù)量及業(yè)務(wù)容量的擴(kuò)展，密碼服務(wù)需要具備部署快速、靈活，可以動態(tài)配置，易于水平擴(kuò)展的能力。為了支持云中按需使用、適合大并發(fā)、彈性部署的需求，相應(yīng)的數(shù)字簽名服務(wù)也需要滿足用戶彈性擴(kuò)展的需求。

4.解決之道－－平臺化數(shù)字簽名服務(wù)

安盟信息依托“安盟華御密碼服務(wù)平臺”，為用戶提供集中統(tǒng)一的平臺化數(shù)字簽名服務(wù)，幫助用戶輕松實(shí)現(xiàn)數(shù)字簽名、簽名驗(yàn)證、數(shù)字信封及相關(guān)的運(yùn)營管理和安全審計等功能。

安盟信息數(shù)字簽名服務(wù)架構(gòu)圖

豐富的數(shù)字簽名及驗(yàn)簽服務(wù)功能接口

平臺可為各類電子信息數(shù)據(jù)、電子文檔等提供基于數(shù)字證書的數(shù)字簽名服務(wù)，并可驗(yàn)證簽名數(shù)據(jù)的真實(shí)性、有效性和不可否認(rèn)性；支持不同電子認(rèn)證系統(tǒng)的用戶證書驗(yàn)證，支持根證書、CRL、OCSP等多種方式的證書有效性驗(yàn)證。

提供數(shù)據(jù)簽名驗(yàn)簽服務(wù)接口、文件簽名驗(yàn)簽服務(wù)接口；提供數(shù)字信封服務(wù)接口，實(shí)現(xiàn)數(shù)據(jù)的數(shù)字信封加封解封功能；提供證書驗(yàn)證服務(wù)接口。

密碼運(yùn)算資源水平擴(kuò)展、服務(wù)彈性

平臺采用云服務(wù)器密碼機(jī)等合規(guī)的商用密碼產(chǎn)品，以滿足數(shù)字簽名相關(guān)的密碼運(yùn)算和密鑰管理需求。平臺通過由多臺密碼設(shè)備組成密碼資源池的方式支持密碼能力水平擴(kuò)展，并提供密碼資源的管理、分配、調(diào)度等功能，支持根據(jù)虛擬化服務(wù)實(shí)例動態(tài)分配密碼資源并可彈性擴(kuò)容。

租戶安全隔離

采用云服務(wù)器密碼機(jī)虛擬技術(shù)，可為云租戶獨(dú)立分配密碼資源；采用微服務(wù)和虛擬vHSM隔離，以及多級密鑰保護(hù)機(jī)制，對租戶資源進(jìn)行安全隔離。

在租戶需要使用密鑰進(jìn)行數(shù)字簽名時，通過密鑰管理與密碼計算解耦的方式，支持密碼設(shè)備水平擴(kuò)展，密碼設(shè)備保證密鑰的解密和數(shù)字簽名在隔離的環(huán)境中通過原子操作完成。

運(yùn)營管理、計費(fèi)管理和安全審計

平臺對租戶提供服務(wù)相配套的運(yùn)營管理、計費(fèi)管理和安全審計功能。平臺可支持密碼服務(wù)規(guī)格和性能指標(biāo)的設(shè)定和管理，以及各類密碼服務(wù)的計費(fèi)管理；支持應(yīng)用系統(tǒng)使用密碼服務(wù)的額度配置管理、流量控制。

租戶管理員可通過安全通道登錄平臺進(jìn)行管理配置，以及對本單位各類日志的安全審計。

安全合規(guī)

平臺提供的數(shù)字簽名服務(wù)，采用通過商用密碼檢測中心認(rèn)證的密碼產(chǎn)品，按照國家主管部門認(rèn)可的數(shù)字簽名和簽名驗(yàn)證方式提供服務(wù)接口，保障了安全合規(guī)性。

5.密碼服務(wù)平臺，賦能云租戶數(shù)字簽名

安盟信息基于密碼基因打造安全合規(guī)、統(tǒng)一管理、部署靈活、服務(wù)彈性可計量的密碼服務(wù)平臺，采用多模式資源集成技術(shù)，通過整合各種密碼設(shè)備和系統(tǒng)、數(shù)據(jù)安全防護(hù)產(chǎn)品，打造服務(wù)化、場景化，易于行業(yè)快速對接集成的服務(wù)能力，對外向用戶應(yīng)用系統(tǒng)提供的數(shù)字簽名服務(wù)，可幫助用戶實(shí)現(xiàn)數(shù)字簽名、簽名驗(yàn)證、數(shù)字信封等功能，滿足云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新應(yīng)用場景下的數(shù)字簽名應(yīng)用需求，幫助用戶建立可管可控、便捷易用、安全合規(guī)的數(shù)字簽名服務(wù)體系。