中安云科协同签名系统

一、产品介绍

随着国家信息产业和互联网技术的飞速发展,信息安全在日常生活和经济领域中的重要作用逐渐显现出来。近年来,移动互联网拓展了企业安全防护的边界,带来了更加容易暴露的访问入口,并成为移动安全攻击的首要目标。网上支付和网络购物等金融电子业务迅速膨胀,信息安全问题越来越受到人们的重视,如何创造安全的网络环境成为业界热点话题,而安全的密码产品是创造安全网络环境的基础。

根据《2015年中国电子银行调查报告》显示,63%的用户不使用手机银行的最主要原因为担心不安全。央行高度关注用户个人信息的保护和资金安全,2015年以来央行针对移动金融安全提出了一系列管理要求和办法。其中2016年9月30日银发[2016]261号《关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》中第九条“加强银行非柜面转账管理”的要求中明确支持:除向本人同行账户转账外,银行个人办理非柜面转账业务,单日累计金额超过5万元的,需采用数字证书或者电子签名等安全可靠的支付指令验证方式。

为了保证智能终端传输信息的机密性、完整性、有效性,中安云科自主研制完成了该款协同签名系统。该款产品满足移动端安全需求,提供安全可靠的签名和认证手段。用户不需要携带额外设备,不增加用户额外操作,用户体验好。用户无需采购硬件,降低部署、集成和维护成本。

本系统基于SM2/SM3/SM4密码算法,创新地使用了密钥分割技术,保证了移动终端的身份认证安全、应用安全,移动终端不依赖硬件密码芯片,通过软件实现设备管理、签名/验证、密码运算等功能,是实现移动互联网应用安全的核心技术。本系统为移动互联网应用提供了密码运算支撑能力,用于身份认证、电子签名、数据保护等。可应用于手机银行、移动支付等移动互联网金融业务,提供安全高效的身份认证、交易确认等安全认证能力,构建基于“人-设备-应用”三位一体的移动互联网金融安全认证体系。

本系统使用密钥分割技术,以SM2、SM3、SM4等密码算法为基础,结合国内实际需求,采用国内外先进的技术框架,系统设计和实现符合国家密码管理局颁布的标准规范。

 

二、典型应用

中安云科协同签名系统典型的部署方式如下图所示:

 图片1.png

 

三、产品特点

法律效力:中安云科协同签名系统SM2签名符合《中华人民共和国电子签名法》,具有法律效力。

支持多种算法:支持SM2、SM3、SM4等国家标准密码算法。

完善的管理体系:支持管理员、审计员、操作员的管理体系。

支持多种操作系统:协同签名系统后台服务支持部署在Linux、NUIX、WIN等主流操作系统,协同签名系统智能终端SDK支持适配主流(IOS、安卓)的智能移动设备,支持微信小程序插件、PC端调用。

密钥分割技术:协同签名系统中的SM2私钥使用密钥分割技术生成,从生成到运算整个过程中不出现完整的SM2私钥,保障了私钥的安全。

远程设备管理:支持智能终端设备远程管理,设备丢失或损坏的情况下可在协同签名系统服务端对设备进行挂起或注销。

第三方CA对接:支持对接第三方CA系统。

接口规范:通过《GM_T_0016-2012-智能密码钥匙密码应用接口规范》标准接口完成智能密码的调用,通过《GM_T_0018-2012-密码设备应用接口规范》标准接口完成服务器密码机的调用。

高性价比:支持主流的移动智能设备,无需额外的硬件投入。

高可靠性:协同签名系统的平均无故障工作时间( MTBF) 大于 50,000 小时。

 

四、产品功能

后台服务端

Ø权限管理:操作员的查看、添加、删除等。

Ø应用管理:实现接入应用的管理,包括应用注册、查看等

Ø设备管理:对终端移动终端进行管理:包括设备的查看、挂起、停用

Ø证书管理:对终端移动终端进行管理:包括设备的查看、挂起、停用

Ø日志功能:支持日志的查看、导出、审计功能。

智能终端

移动智能终端支持主流操作系统,提供安卓、IOS下终端开发包,具体功能为:

Ø生成SM2密钥对:生成分散的SM2密钥对。

Ø获取SM2公钥:获取指定的SM2密钥的公钥。

Ø验证PIN:验证指定密钥的口令。

Ø修改PIN:修改指定密钥的口令。

ØSM2数据签名:对传入的数据通过分散的SM2密钥签名运算。

ØSM2数据验证:对传入的数据进行验证运算。

ØP7 Detach签名:对传入的数据进行Detach签名运算。

ØP7 Detach验证:对传入的数据进行Detach验证运算。

ØP7 Attach签名:对传入的数据进行Attach签名运算。

ØP7 Attach验证:对传入的数据进行Attach验证运算。

ØP7数字信封封装:对传入的数据进行P7数字信封封装操作。

ØP7数字信封解析:对传入的数据进行P7数字信封解析操作。

Ø证书导入:导入CA获取的证书和私钥数据(私钥保护结构符合GM_T_0009-2012-SM2 密码算法使用规范)。

Ø证书解析:解析传入的证书相关信息。


五、产品性能

在系统运行的软、硬件以及网络性能满足要求的前提下,交易高峰时段支持500以上并发; 

单台服务支持并发500以上; 

签名响应时间不超过900毫秒,其他请求响应时间不超过1秒;

系统提供7×24小时服务, 处理成功率不低于99%。


六、产品外观

11.png