• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    淺析電子簽章應(yīng)用安全與技術(shù)*

    2020-03-26 08:26:40謝志勇高超航
    通信技術(shù) 2020年2期
    關(guān)鍵詞:簽章印章密碼

    謝志勇,廖 敏,高超航,王 銳

    (衛(wèi)士通信息產(chǎn)業(yè)股份有限公司,四川 成都 610041)

    0 引 言

    隨著國家在電子政務(wù)、電子商務(wù)、電子金融、電力、能源、通信、交通、科學(xué)研究、網(wǎng)絡(luò)教育、網(wǎng)絡(luò)醫(yī)療保健和社會保障等應(yīng)用領(lǐng)域的信息化建設(shè)的大量展開,基本網(wǎng)絡(luò)架構(gòu)正逐步形成,各項信任服務(wù)體系正逐步建設(shè),相應(yīng)的技術(shù)規(guī)范、建設(shè)規(guī)范、檢測規(guī)范等也在不斷制定和完善。電子簽章是網(wǎng)絡(luò)信任服務(wù)體系中一項重要的基礎(chǔ)設(shè)施,代表著權(quán)威和信用,是信息化建設(shè)的重要內(nèi)容。依據(jù)《中華人民共和國電子簽名法》,電子簽名的有效性具有法律基礎(chǔ),促使以電子簽名技術(shù)為基礎(chǔ)的電子簽章應(yīng)用得到了快速發(fā)展。

    隨著5G網(wǎng)絡(luò)建設(shè)的推進(jìn),未來將是一個萬物互聯(lián)的世界,必將促進(jìn)云計算、大數(shù)據(jù)、AI、工業(yè)控制和物聯(lián)網(wǎng)的發(fā)展,并改變各行各業(yè)的生產(chǎn)和生活方式。電子簽章作為數(shù)字化辦公系統(tǒng)的一項基礎(chǔ)設(shè)施,在電子政務(wù)、電子商務(wù)中會進(jìn)一步得到廣泛應(yīng)用,也必將對電子簽章提出新的要求。筆者從規(guī)范化、安全化和云密碼技術(shù)下電子簽章的應(yīng)用3個層面,分析電子簽章安全技術(shù),以期為開發(fā)者提供技術(shù)參考。

    1 電子簽章規(guī)范化

    當(dāng)前電子簽章產(chǎn)品已在很多行業(yè)得到了廣泛應(yīng)用,但是產(chǎn)品一般對電子簽名技術(shù)的設(shè)計和應(yīng)用不夠規(guī)范,同時存在不同程度的安全缺陷,不能達(dá)到真正合格的電子簽章系統(tǒng)要求。

    (1)未遵循統(tǒng)一的電子印章標(biāo)準(zhǔn)規(guī)范,無法互通互認(rèn)。

    (2)密碼算法使用不規(guī)范,無法滿足密碼安全的要求。

    (3)電子印章的簽發(fā)使用流程與實際應(yīng)用環(huán)境脫節(jié),檢測機(jī)構(gòu)缺乏權(quán)威的統(tǒng)一管理及權(quán)威認(rèn)證檢測方案。

    為了解決上述問題,國家相關(guān)主管部門制定了一系列標(biāo)準(zhǔn)規(guī)范,結(jié)合電子簽章的相關(guān)規(guī)范,從底層密碼算法到上層業(yè)務(wù)應(yīng)用,形成了一套完整的電子簽章應(yīng)用規(guī)范體系,如圖1所示。

    電子簽章應(yīng)用規(guī)范體系覆蓋了密碼算法、密碼接口、密碼服務(wù)、電子簽章軟件、電子印章應(yīng)用接口、電子文檔文件(版式軟件)和業(yè)務(wù)應(yīng)用等,而密碼安全技術(shù)規(guī)范和網(wǎng)絡(luò)安全技術(shù)規(guī)范明確了電子簽章在信息系統(tǒng)的安全規(guī)范。電子簽章應(yīng)用規(guī)范體系從密碼算法、密碼接口、密碼服務(wù)到電子印章的制作管理、電子印章格式、簽章文件格式和應(yīng)用流程,進(jìn)行了全網(wǎng)標(biāo)準(zhǔn)統(tǒng)一,實現(xiàn)了同類產(chǎn)品和上下游產(chǎn)品的互通,保障了電子簽章應(yīng)用具有權(quán)威性和有效性。

    密碼算法、密碼接口及密碼服務(wù)應(yīng)遵循國家密碼管理局的相關(guān)密碼算法、密碼設(shè)備接口及認(rèn)證體系規(guī)范?!禛M/T 0031-2014安全電子簽章密碼技術(shù)規(guī)范》統(tǒng)一了電子印章、電子簽章的數(shù)據(jù)格式和簽章、驗章流程,《GM/T 0047-2016安全電子簽章密碼檢測規(guī)范》明確了電子簽章檢測內(nèi)容和檢測大綱,《GB/T 33481黨政機(jī)關(guān)電子印章應(yīng)用規(guī)范》對制章、用章、驗章和簽章應(yīng)用組件進(jìn)行了規(guī)范,《GB/T 33190電子文件存儲與交換格式 文書類版式文檔》規(guī)范中定義了開放式版式文檔,即OFD板式文件格式,統(tǒng)一了簽章文件格式,從根本上保障了電子簽名對文檔的保護(hù)。

    圖1 電子簽章應(yīng)用規(guī)范體系

    為了規(guī)范各廠家電子簽章產(chǎn)品的設(shè)計,國家密碼主管部門正在完善電子簽章檢測標(biāo)準(zhǔn)和檢測工具,在遵循GB/T 33481、GB/T 33190、GM/T 0031和GM/T 0047等規(guī)范基礎(chǔ)上,從多個維度進(jìn)行檢測,確保電子簽章產(chǎn)品設(shè)計合規(guī)、正確和有效。

    2 電子簽章安全化

    電子簽章在各行各業(yè)中廣泛應(yīng)用,其安全性面臨新的挑戰(zhàn),特別是基于人工智能技術(shù)的數(shù)據(jù)深度偽造,將威脅網(wǎng)絡(luò)安全、社會安全和國家安全。人工智能可利用收集的訓(xùn)練數(shù)據(jù)進(jìn)行特征學(xué)習(xí),生成逼真的虛假信息內(nèi)容。為防止對信息進(jìn)行篡改并進(jìn)行深度偽裝,電子簽章利用電子簽名技術(shù)保證信息的完整性、真實性和不可抵賴性,但需要不斷提高自身的安全性。因此,筆者認(rèn)為電子簽章系統(tǒng)應(yīng)在遵循GM/T0054規(guī)范和等級保護(hù)2.0的基礎(chǔ)上,重點(diǎn)從以下幾個方面提高安全性。

    2.1 提高密碼模塊的安全性

    2.1.1 密碼模塊

    電子簽章系統(tǒng)應(yīng)采用獲得國家密碼管理主管部門型號證書的密碼模塊。電子簽章進(jìn)行的運(yùn)算等均要在密碼模塊邊界內(nèi)部進(jìn)行,同時簽章應(yīng)用程序訪問密碼模塊要有實體鑒權(quán)等保護(hù)措施。

    2.1.2 密鑰管理

    電子簽章的相關(guān)密鑰的生成、存儲、分發(fā)、使用、歸檔、銷毀和密鑰的備份恢復(fù)等管理措施遵循GM/T0054。密鑰的隨機(jī)性質(zhì)量應(yīng)符合GM/T0005的要求,密鑰應(yīng)存儲在密碼模塊內(nèi)部,不得以明文形式出現(xiàn)在密碼模塊的外部。使用密鑰的過程有安全保護(hù)措施,并滿足GMT/T0028的要求。

    2.2 構(gòu)建電子簽章安全計算環(huán)境

    構(gòu)建電子簽章安全計算環(huán)境[1],具體如下。

    2.2.1 身份鑒別

    電子簽章用戶應(yīng)采用智能密碼鑰匙等硬件裝置加PIN口令登錄系統(tǒng)。登錄系統(tǒng)時應(yīng)采用密碼技術(shù)進(jìn)行身份鑒別,并可抵抗重放攻擊。登錄口令有復(fù)雜度要求和輸入錯誤超限后帳戶被鎖定保護(hù)。

    2.2.2 訪問控制

    電子簽章的安全管理員、審計管理員、制章申請操作員和制章審批操作員等不同用戶角色,應(yīng)分配不同的權(quán)限。系統(tǒng)可以對每個用戶的設(shè)置訪問控制策略,所有用戶均不能直接訪問系統(tǒng)資源,所有資源進(jìn)行業(yè)務(wù)封裝后按需分配給用戶。系統(tǒng)要對多余或過期的用戶進(jìn)行刪除操作,避免共享賬戶的存在。

    2.2.3 安全審計

    電子簽章應(yīng)有可靠的系統(tǒng)審計功能。安全日志應(yīng)記錄管理員和操作員的重要操作行為,包括角色名稱、操作行為、操作時間以及操作結(jié)果等,應(yīng)采用密碼技術(shù)保證審計日志記錄的真實性、完整性和不可抵賴性。

    2.2.4 入侵防范

    電子簽章軟件要遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序。完成部署后,關(guān)閉所有與業(yè)務(wù)無關(guān)的服務(wù)端口。對管理終端設(shè)置安全策略,對每個業(yè)務(wù)操作內(nèi)容均進(jìn)行有效性檢驗,保證通過人機(jī)接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求,對部署的系統(tǒng)進(jìn)行定期安全漏洞掃描。

    2.2.5 惡意代碼防范

    對電子簽章系統(tǒng)進(jìn)行代碼漏洞審查,對所有輸入數(shù)據(jù)均進(jìn)行內(nèi)控審查,攔截所有輸入內(nèi)容中的特殊指令字符,不執(zhí)行輸入內(nèi)容中攜帶的任何指令。

    2.2.6 可信驗證

    通過系統(tǒng)重構(gòu)可信主機(jī)、主板集成或配插PCI可信控制卡或配接USB可信控制模塊等技術(shù)手段,實現(xiàn)基于可信根對系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗證,并在電子簽章系統(tǒng)業(yè)務(wù)的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗證,在檢測到重要文件、執(zhí)行程序和關(guān)鍵數(shù)據(jù)等其可信性受到破壞后進(jìn)行報警或停止工作,并生成告警日志。

    2.2.7 數(shù)據(jù)安全

    在數(shù)據(jù)傳輸過程中,對身份鑒別數(shù)據(jù)、密鑰數(shù)據(jù)、印章狀態(tài)數(shù)據(jù)和印章授權(quán)數(shù)據(jù)等敏感數(shù)據(jù)采用密碼技術(shù)進(jìn)行機(jī)密性和完整性保護(hù);重要的數(shù)據(jù)進(jìn)行存儲時,對印章狀態(tài)數(shù)據(jù)、日志審計數(shù)據(jù)以及印章授權(quán)數(shù)據(jù)等采用密碼技術(shù)進(jìn)行完整性和真實性保護(hù),當(dāng)數(shù)據(jù)的完整性和真實性被破壞時,存儲的數(shù)據(jù)失效,業(yè)務(wù)中止并發(fā)出告警提示。

    2.2.8 剩余信息保護(hù)

    用戶退出系統(tǒng)登錄后,釋放占用的所有系統(tǒng)資源,清除所有會話數(shù)據(jù);系統(tǒng)服務(wù)中止或用戶業(yè)務(wù)退出或中止后,所存儲在硬盤或內(nèi)存中的所有相關(guān)敏感數(shù)據(jù)或臨時數(shù)據(jù)全部清除,避免出現(xiàn)臟數(shù)據(jù)。

    2.2.9 個人信息保護(hù)

    僅采集和保存電子簽章業(yè)務(wù)必需的用戶個人信息,不對未授權(quán)訪問和非法提供任何用戶個人信息。

    2.3 提高產(chǎn)品組件的自主創(chuàng)新率

    當(dāng)前,要實現(xiàn)核心技術(shù)不受制于人,自主創(chuàng)新是歷史的必然,也是時代的要求。電子簽章系統(tǒng)使用組件的自主創(chuàng)新率是決定系統(tǒng)是否安全可靠的重要因素。

    電子簽章系統(tǒng)集成的密碼部件應(yīng)自主創(chuàng)新可控,不但密碼算法要采用國產(chǎn)算法,而且系統(tǒng)所采用的主處理器、操作系統(tǒng)、數(shù)據(jù)庫以及應(yīng)用中間件等也應(yīng)是自主創(chuàng)新可控的。其中,密碼部件、主處理器和操作系統(tǒng)是決定是否能自主可控的重要標(biāo)志。

    3 云密碼技術(shù)下電子簽章的應(yīng)用

    當(dāng)前智慧城市的全面建設(shè)和5G網(wǎng)絡(luò)時代的來臨,各地政務(wù)、金融、能源等行業(yè)云和數(shù)據(jù)中心正逐漸形成規(guī)模,傳統(tǒng)的信息系統(tǒng)正在向云上遷移,所以傳統(tǒng)的密碼安全保障的方式已不能滿足要求。為適應(yīng)數(shù)據(jù)集中、平臺資源匯集,服務(wù)平臺化的工作模式,密碼服務(wù)應(yīng)用將實現(xiàn)泛在化。而電子簽章作為一種密碼應(yīng)用系統(tǒng),與移動辦公應(yīng)用緊密相關(guān),電子簽章的密碼也將實現(xiàn)泛在化應(yīng)用。

    3.1 云密碼資源池

    密碼的“泛在化”是通過密碼服務(wù)云來實現(xiàn)[2],從而推進(jìn)數(shù)字社會中的密碼隨時、隨地可用。密碼技術(shù)與云平臺相結(jié)合,以密碼資源池化的密碼運(yùn)算能力為電子簽章系統(tǒng)提供簽名、驗簽等密碼服務(wù),形成了電子簽章系統(tǒng)密碼資源及服務(wù)。

    云簽章系統(tǒng)如圖2所示。密碼資源池將靜態(tài)的密碼模塊作為密碼資源池的抽象集合,以池化機(jī)制為云密碼對外提供可按需分配且可彈性伸縮的云密碼服務(wù)資源[3];通過對密碼資源池的統(tǒng)一管理,實現(xiàn)密碼資源的申請、共享、調(diào)度和按需分配,提供密碼資源監(jiān)控、部署以及回收等云密碼資源池運(yùn)維功能,從而降低運(yùn)營成本,提高管理和應(yīng)用效率。

    圖2 云簽章系統(tǒng)

    云密碼資源服務(wù)提供商構(gòu)建密碼服務(wù)平臺與公有云和混合云服務(wù)提供商對接,具有合規(guī)、安全和有效的密鑰管理服務(wù)能力,提供便捷的基礎(chǔ)密碼運(yùn)算接口,最終建設(shè)成多方聯(lián)合的密碼安全服務(wù)生態(tài)。成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司一直深耕黨政和重要行業(yè)領(lǐng)域,服務(wù)于國家的信息安全建設(shè),保障國家關(guān)鍵基礎(chǔ)設(shè)施運(yùn)行,結(jié)合云計算、大數(shù)據(jù)等新技術(shù)的演進(jìn),正在打造面向關(guān)鍵信息基礎(chǔ)設(shè)施的密碼服務(wù)云,直接為電子簽章、電子公文等密碼應(yīng)用云平臺提供密碼支撐服務(wù),并以此平臺構(gòu)建全國一體化的密碼服務(wù)體系。

    3.2 電子簽章云服務(wù)

    電子簽章云服務(wù)系統(tǒng)一般由電子印章制章系統(tǒng)和電子簽章服務(wù)系統(tǒng)兩大部分組成,系統(tǒng)間關(guān)系如圖2所示。電子簽章服務(wù)系統(tǒng)面向電子印章授權(quán)應(yīng)用的客戶端提供標(biāo)準(zhǔn)接口,提供電子印章列表獲取服務(wù)和用戶使用授權(quán)服務(wù)。而電子簽章云服務(wù)系統(tǒng)還與基礎(chǔ)服務(wù)系統(tǒng)對接,與證書服務(wù)對接,獲取證書頒發(fā)、證書驗證等服務(wù);與可信時間服務(wù)系統(tǒng)對接,獲取可信時間及驗證服務(wù)等。

    3.3 云端簽章、驗章

    云簽章客戶端面向電子簽章應(yīng)用客戶端提供電子印章應(yīng)用接口,如圖3所示,為應(yīng)用客戶端封裝出支持多種電子文檔形態(tài)的簽章套件,并提供電子印章獲取服務(wù)、代理摘要運(yùn)算服務(wù)、電子簽章服務(wù)和簽章驗證服務(wù)。

    圖3 簽章客戶端

    3.4 與區(qū)塊鏈技術(shù)相結(jié)合

    區(qū)塊鏈?zhǔn)且环N按照時間順序?qū)?shù)據(jù)區(qū)塊以順序相連的方式組合成的一種鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu),并以密碼學(xué)方式保證的不可篡改和不可偽造的分布式賬本。當(dāng)前區(qū)塊鏈行業(yè)正處于2.0到3.0的過渡階段,智能合約和分布式應(yīng)用(Decentralize Application,DAPP)的價值互聯(lián)網(wǎng)將初步形成,并成為數(shù)字經(jīng)濟(jì)的基礎(chǔ)設(shè)施。目前,公鏈、私鏈或聯(lián)盟鏈都有一些小規(guī)模行業(yè)應(yīng)用,區(qū)塊鏈行業(yè)的應(yīng)用生態(tài)正在建立。

    區(qū)塊鏈技術(shù)與電子公文、電子印章相結(jié)合,形成電子簽章區(qū)塊鏈,再將電子簽章區(qū)塊鏈框架嵌入云計算平臺,打造成“區(qū)塊鏈即服務(wù)”(Blockchain as a Service,BaaS)[4],利用云服務(wù)基礎(chǔ)設(shè)施的部署和管理優(yōu)勢,為電子簽章開發(fā)者提供便捷、高性能的區(qū)塊鏈環(huán)境和配套服務(wù),幫助開發(fā)者拓展更多的客戶端應(yīng)用支持電子簽章區(qū)塊鏈平臺。

    與區(qū)塊鏈技術(shù)相結(jié)合,是電子簽章產(chǎn)品當(dāng)前發(fā)展的一個趨勢,將極大提高電子簽章的安全特性。首先區(qū)塊鏈可保證電子文檔的完整性,簽章數(shù)據(jù)域電子文檔數(shù)據(jù)存儲在由多方共同維護(hù)的共享賬本上,不可篡改,不可抵賴,也不會丟失;其次,文檔內(nèi)容能加密存儲,只有參與人和提前指定的機(jī)構(gòu)才可以解密查看,從數(shù)據(jù)層面上保護(hù)了簽章文檔信息的隱私;再次,通過底層區(qū)塊鏈,實現(xiàn)全流程上鏈,并將電子簽章平臺、制章機(jī)構(gòu)、用章機(jī)構(gòu)等節(jié)點(diǎn)打通,打造從業(yè)務(wù)過程到公文簽署再到公文驗證等全生命周期的服務(wù),做到每一步簽署都有據(jù)可查,形成了完整的去中心化的證據(jù)鏈條,從而實現(xiàn)安全、可靠、便捷、易用的目的。

    4 結(jié) 語

    電子簽章系統(tǒng)作為一種密碼應(yīng)用產(chǎn)品,符合相關(guān)密碼技術(shù)規(guī)范要求是產(chǎn)品的第一要務(wù),而在滿足規(guī)范的前提下,應(yīng)努力提升產(chǎn)品的安全性,才能適應(yīng)新時代網(wǎng)絡(luò)安全的要求。電子簽章也要與云計算、區(qū)塊鏈和人工智能等新技術(shù)相結(jié)合,才能更好地在我國的政務(wù)、金融、貿(mào)易以及醫(yī)療衛(wèi)生等各行業(yè)中得到安全、高效、便捷的應(yīng)用。文章為電子簽章產(chǎn)品開發(fā)者分析了新的安全與技術(shù)應(yīng)用方向,希望能為推動我國網(wǎng)絡(luò)安全建設(shè)邁向新的高度提供參考。

    猜你喜歡
    簽章印章密碼
    基于自動定位功能的電子竣工圖章技術(shù)探究
    山東檔案(2023年5期)2024-01-02 10:58:08
    我終于有了自己的印章
    電子簽章共享服務(wù)平臺設(shè)計
    我們有印章咯
    大灰狼畫報(2022年4期)2022-06-05 07:13:16
    密碼里的愛
    密碼疲勞
    英語文摘(2020年3期)2020-08-13 07:27:02
    自制橡皮印章
    童話世界(2017年14期)2017-06-05 09:13:49
    印章
    密碼藏在何處
    電子簽章制作系統(tǒng)設(shè)計與開發(fā)研究
    武安市| 精河县| 安吉县| 陆川县| 濮阳县| 兴安县| 达州市| 大方县| 和硕县| 余江县| 曲阳县| 施甸县| 林周县| 拉萨市| 阳山县| 闵行区| 元朗区| 新宁县| 潼关县| 白玉县| 共和县| 汶川县| 鄂托克前旗| 福贡县| 清远市| 定州市| 临邑县| 武冈市| 安龙县| 高邑县| 宁海县| 康定县| 措美县| 延川县| 喀喇沁旗| 亳州市| 崇仁县| 土默特右旗| 临安市| 石狮市| 铁力市|